將SNMP與安全裝置PIX/ASA配合使用

簡介

您可以使用簡單網路管理協定(SNMP)監控PIX上的系統事件。 本文檔介紹如何在PIX中使用SNMP，其中包括：

• 通過PIX或到PIX運行SNMP的命令

• PIX輸出示例

• PIX軟體版本4.0及更高版本中的管理資訊庫(MIB)支援

• 陷阱級別

• 系統日誌嚴重性級別示例

• PIX和SNMP裝置發現問題

注意：snmpget/snmpwalk的埠是UDP/161。SNMP陷阱的埠是UDP/162。

必要條件

需求

本文件沒有特定需求。

採用元件

本檔案中的資訊是根據Cisco Secure PIX防火牆軟體版本4.0及更新版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

相關產品

此配置還可以與思科自適應安全裝置(ASA)版本7.x配合使用。

慣例

為了間距考量，本文檔中的某些輸出和日誌資料行已被換行。

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

通過PIX/ASA的SNMP

從外部到內部的陷阱

為了允許從50.50.50.50到10.10.10的陷阱：

 conduit permit udp host 50.50.50.75 eq snmptrap host 50.50.50.50
 static (inside,outside) 50.50.50.75 10.10.10.10 netmask 255.255.255.255 0 0

如果您使用訪問控制清單(ACL)（在PIX 5.0及更高版本中可用，而不是管道）：

access-list Inbound permit udp host 50.50.50.50 host 50.50.50.75 eq snmptrap 
access-group Inbound in interface outside

PIX顯示：

302005: Built UDP connection for faddr 50.50.50.50/2388 
   gaddr 50.50.50.75/162 laddr 10.10.10.10/162

從內部到外部的陷阱

預設情況下（在沒有出站清單的情況下）允許出站流量，PIX顯示：

305002: Translation built for gaddr 50.50.50.80 to laddr 10.31.1.5
302005: Built UDP connection for faddr 50.50.50.50/162 
   gaddr 50.50.50.80/2982 laddr 10.31.1.5/2982

從外部到內部的輪詢

為了允許從171.68.118.118到10.10.20的輪詢：

static (inside,outside) 171.68.118.150 10.10.10.20 netmask 255.255.255.255 0 0
conduit permit udp host 171.68.118.150 eq snmp host 171.68.118.118

如果您使用ACL（在PIX 5.0及更高版本中提供），而不是管道：

access-list Inbound permit udp host 171.68.118.118 host 171.68.118.150 eq snmp 
access-group Inbound in interface outside

從內部到外部輪詢

預設情況下（在沒有出站清單的情況下）允許出站流量，PIX顯示：

305002: Translation built for gaddr 99.99.99.11 to laddr 172.18.124.115
302005: Built UDP connection for faddr 99.99.99.5/161
   gaddr 99.99.99.11/36086 laddr 172.18.124.115/36086

PIX/ASA的SNMP

MIB支援（按版本）

以下是PIX中的MIB支援版本：

• PIX防火牆軟體版本4.0至5.1 - MIB-II的系統和介面組(請參閱RFC 1213 )，但不包括AT、ICMP、TCP、UDP、EGP、傳輸、IP或SNMP組CISCO-SYSLOG-MIB-V1SMI.my。

• PIX防火牆軟體版本5.1.x及更高版本 — 先前MIB和CISCO-MEMORY-POOL-MIB.my以及CISCO-FIREWALL-MIB.my的cfwSystem分支。

• PIX防火牆軟體版本5.2.x及更高版本 — 以前的MIB和IP組的ipAddrTable。

• PIX防火牆軟體版本6.0.x及更高版本 — 以前的MIB和MIB-II OID的修改，用於按型號識別PIX（並啟用CiscoView 5.2支援）。 新對象識別符號(OID)可在CISCO-PRODUCTS-MIB中找到；例如，PIX 515具有OID 1.3.6.1.4.1.9.1.390。

• PIX防火牆軟體版本6.2.x及更高版本 — 先前MIB和CISCO-PROCESS-MIB-V1SMI.my。

• PIX/ASA軟體版本7.x — 先前的MIB和IF-MIB、SNMPv2-MIB、ENTITY-MIB、CISCO-REMOTE-ACCESS-MONITOR-MIB、CISCO-CRYPTO-ACCELERATOR-MIB、ALTIGA-GLOBAL-REG。

註：PROCESS MIB支援的部分是ciscoProcessMIBObjects分支的cpmCPU分支的cpmCPUTotalTable分支。在MIB的ciscoProcessMIBObjects分支的cpmProcess分支中，不支援ciscoProcessMIBNotifications分支ciscoProcessMIBconformance分支，也不支援cpmProcessTable和cpmProcessExtTable這兩個表。

在PIX/ASA中開啟SNMP

發出以下命令以允許PIX中的輪詢/查詢和陷阱：

snmp-server host #.#.#.#

!--- IP address of the host allowed to poll !--- and where to send traps.

snmp-server community <whatever>
snmp-server enable traps

PIX軟體版本6.0.x及更高版本在陷阱和查詢方面允許更精細的操作。

snmp-server host #.#.#.#

!--- The host is to be sent traps and can query.

snmp-server host #.#.#.# trap 

!--- The host is to be sent traps and cannot query.

snmp-server host #.#.#.# poll 

!--- The host can query but is not to be sent traps.

PIX/ASA軟體版本7.x在陷阱和查詢方面允許更精細的操作。

hostname(config)#snmp-server host <interface_name> <ip_address> trap 
               community <community string>

!--- The host is to be sent traps and cannot query !--- with community string specified.

hostname(config)#snmp-server host <interface_name> <ip_address> poll 
               community <community string>

!--- The host can query but is not to be sent traps !--- with community string specified.

注意：如果要將NMS限製為僅接收陷阱或僅瀏覽（輪詢），請指定陷阱或輪詢。預設情況下，NMS可以使用這兩個功能。

預設情況下，SNMP陷阱在UDP埠162上傳送。您可以使用udp-port關鍵字更改埠號。

SNMP到PIX/ASA — 輪詢

PIX返回的變數取決於版本中的mib支援。運行6.2.1的PIX的snmpwalk的輸出示例位於本文檔的末尾。較早版本的軟體只返回先前提到的mib值。

PIX/ASA的SNMP — 陷阱

注意：PIX防火牆的SNMP OID顯示在從PIX防火牆傳送的SNMP事件陷阱中。在PIX軟體版本6.0之前，OID 1.3.6.1.4.1.9.1.227一直用作PIX防火牆系統OID。新的特定型號的OID可在CISCO-PRODUCTS-MIB中找到。

發出以下命令開啟PIX中的陷阱：

snmp-server host #.#.#.#

!--- IP address of the host allowed to do queries !--- and where to send traps.

snmp-server community 
      
      
        snmp-server enable traps 
      

陷阱版本4.0至5.1

使用PIX軟體4.0及更高版本時，可以生成以下陷阱：

cold start = 1.3.6.1.6.3.1.1.5.1
link_up = 1.3.6.1.6.3.1.1.5.4
link_down = 1.3.6.1.6.3.1.1.5.3
syslog trap (clogMessageGenerated) = 1.3.6.1.4.1.9.9.41.2.0.1

陷阱更改(PIX 5.1)

在PIX軟體版本5.1.1及更高版本中，陷阱級別與syslog陷阱的syslog級別分開。PIX仍然傳送系統日誌陷阱，但可以配置更精細的粒度。此示例原始trapd.log檔案（對於HP OpenView [HPOV]或Netview也是如此）包括3個link_up陷阱和9個syslog陷阱，其中包括7個不同的syslog id:101003、104001、111005、111007、199002、302005、305002。

trapd.log示例

952376318 1 Mon Mar 06 15:58:38 2000 10.31.1.150 - 1=20 2=7 
   3=Syslog Trap 4=199002: 
PIX startup completed. Beginning operation. 5=0;1 .1.3.6.1.4.1.9.9.4 1.2.0.1 0

952376318 1 Mon Mar 06 15:58:38 [10.31.1.150.2.2] %PIX-1-104001: (Secondary) 
Switching to ACTIVE - no failover cable.

952376332 1 Mon Mar 06 15:58:52 2000 10.31.1.150 - 1=20 2=2 
   3=Syslog Trap 4=101003: (Secondary) Failover cable not connected (this unit) 
   5=1400;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

952376332 1 Mon Mar 06 15:58:52 [10.31.1.150.2.2] %PIX-1-101003: (Secondary) 
Failover cable not connected (this unit)

952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 
   3=Syslog Trap 4=305002: 
Translation built for gaddr 50.50.50.75 to laddr 171.68.118.118 5=2800;1 
.1.3.6.1.4.1.9.9.41.2.0.1 0

952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 
   3=Syslog Trap 4=302005: Built UDP connection for faddr 50.50.50.50/2388 
   gaddr 50.50.50.75/162 laddr 171.68.118.118/162 
   5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 1;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0

952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 2;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0

952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 3;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0

952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6 
   3=Syslog Trap 4=111007: Begin configuration: console reading from terminal 
   5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

952376365 1 Mon Mar 06 15:59:25 2000 10.31.1.150 - 1=20 2=6 
   3=Syslog Trap 4=111005: console end configuration: OK 
   5=4700;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

每個陷阱的說明 — trapd.log

199002 (syslog)
4=199002: PIX startup completed. Beginning operation. 
5=0;1 .1.3.6.1.4.1.9.9.41.2.0.1 0



104001 (syslog)
Mar 6 15:58:38 [10.31.1.150.2.2] %PIX-1-104001: (Secondary) 
Switching to ACTIVE - no failover cable.


101003 (syslog)
952376332 1 Mon Mar 06 15:58:52 2000 10.31.1.150 - 1=20 2=2 
   3=Syslog Trap 4=101003: (Secondary) Failover cable not connected (this unit) 
   5=1400;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


101003 (syslog)
Mar 6 15:58:52 [10.31.1.150.2.2] %PIX-1-101003: (Secondary) Failover cable not 
connected (this unit)


305002 (syslog)
952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 
   3=Syslog Trap 4=305002: Translation built for gaddr 50.50.50.75 
   to laddr 171.68.118.118 5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


302005 (syslog)
952376345 1 Mon Mar 06 15:59:05 2000 10.31.1.150 - 1=20 2=7 
   3=Syslog Trap 4=302005: Built UDP connection for faddr 50.50.50.50/2388 
   gaddr 50.50.50.75/162 laddr 171.68.118.118/162 
   5=2800;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


Linkup (linkup)
952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 1;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0


Linkup (linkup)
952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 2;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0


Linkup (linkup)
952376347 1 Mon Mar 06 15:59:07 2000 10.31.1.150 - Agent Interface Up (linkUp 
Trap) enterprise:ENTERPRISES.9.1.227 (.1.3.6.1.4.1.9.1.227) on interface 3;1 
.1.3.6.1.6.3.1.1.5.4.1.3.6.1.4.1.9.1.227 0


Linkup (syslog)
952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6 
   3=Syslog Trap 4=111007: Begin configuration: console reading from terminal 
   5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


111007 (syslog)
952376360 1 Mon Mar 06 15:59:20 2000 10.31.1.150 - 1=20 2=6 
   3=Syslog Trap 4=111007: Begin configuration: console reading from terminal 
   5=4200;1 .1.3.6.1.4.1.9.9.41.2.0.1 0


111005 (syslog)
952376365 1 Mon Mar 06 15:59:25 2000 10.31.1.150 - 1=20 2=6 
   3=Syslog Trap 4=111005: console end configuration: OK 
   5=4700;1 .1.3.6.1.4.1.9.9.41.2.0.1 0

系統日誌嚴重性級別示例

從文檔中複製這些資訊，以說明七條報文。

Alert:
  %PIX-1-101003:(Primary) failover cable not connected (this unit)
  %PIX-1-104001:(Primary) Switching to ACTIVE (cause:reason)
  Notification:
  %PIX-5-111005:IP_addr end configuration: OK
  %PIX-5-111007:Begin configuration: IP_addr reading from device.
  Informational:
  %PIX-6-305002:Translation built for gaddr IP_addr to laddr IP_addr
  %PIX-6-302005:Built UDP connection for faddr faddr/fport gaddr gaddr/gport 
     laddr laddr/lport
  %PIX-6-199002:Auth from laddr/lport to faddr/fport failed 
     (server IP addr failed) in interface int name.

解釋系統日誌嚴重性級別

級別	含義
0	系統不可用 — 緊急
1	立即採取行動 — 警報
2	嚴重情況 — 嚴重
3	錯誤消息 — 錯誤
4	警告消息 — 警告
5	正常但重要的情況 — 通知
6	資訊 — 資訊
7	調試消息 — 調試

為陷阱子集配置PIX 5.1及更高版本

如果PIX配置具有：

snmp-server host inside #.#.#.#

生成的唯一陷阱是標準陷阱：冷啟動、鏈路啟動和鏈路關閉（不是系統日誌）。

如果PIX配置具有：

snmp-server enable traps
logging history debug

然後生成所有標準陷阱和所有系統日誌陷阱。在我們的示例中，這些是syslog條目101003、104001、111005、111007、199002、302005和305002，以及PIX生成的任何其他syslog輸出。由於為debug設定的日誌記錄歷史記錄以及這些陷阱編號位於通知、警報和資訊級別中，因此級別調試包括以下內容：

如果PIX配置具有：

snmp-server enable traps
logging history (a_level_below_debugging)

然後，生成調試以下級別的所有標準和所有陷阱。如果使用logging history notification命令，則將包含處於緊急、警報、嚴重、錯誤、警告和通知級別（但不包括資訊或調試級別）的所有系統日誌陷阱。 在我們的案例中，將包括111005、111007、101003和104001（以及PIX將在即時網路中生成的其他任何內容）。

如果PIX配置具有：

snmp-server enable traps
logging history whatever_level
no logging message 305002
no logging message 302005
no logging message 111005

則不生305002消息302005、111005。如果將PIX設定為logging history debug，您將看到消息104001、101003、111007、199002和所有其他PIX消息，但不會看到列出的3條消息(305002、302005、111005)。

為陷阱子集配置PIX/ASA 7.x

如果PIX配置具有：

snmp-server host 
      
       
       
         community 
         
        
      

生成的唯一陷阱是標準陷阱：身份驗證、冷啟動、鏈路啟動和鏈路關閉（不是系統日誌）。

其餘配置與PIX軟體版本5.1及更高版本類似，除了PIX/ASA版本7.x外，snmp-server enable traps命令具有其他選項，如ipsec、remote-access和entity

注意：請參閱監控安全裝置的啟用SNMP部分，以瞭解有關PIX/ASA中的SNMP陷阱的詳細資訊

SNMP問題

PIX發現

如果PIX響應SNMP查詢並報告其OID為1.3.6.1.4.1.9.1.227，或者在PIX防火牆軟體6.0版或更高版本中，作為ID列在該型號的CISCO-PRODUCTS-MIB中，則PIX工作正常。

在5.2.x之前的PIX代碼版本中，當新增了對IP組的ipAddrTable的支援時，網路管理站可能無法將PIX繪製為PIX。如果網路管理站能ping通PIX，它應該始終能夠檢測到PIX的存在，但它可能不會作為PIX繪製（一個有兩個燈的黑盒）。除了需要支援IP組的ipAddrTable之外，HPOV、Netview和大多數其他網路管理站還需要瞭解PIX返回的OID是PIX的OID，以便顯示正確的圖示。

CiscoView 5.2中增加了對PIX管理的CiscoView支援；還需要PIX 6.0.x版。在早期的PIX版本中，第三方管理應用程式允許HPOV網路節點管理器識別PIX防火牆和運行PIX防火牆管理器的系統。

發現PIX內的裝置

如果PIX配置正確，它將從外部向內部傳遞SNMP查詢和陷阱。由於網路地址轉換(NAT)通常在PIX上配置，因此需要靜態才能完成此操作。問題在於，當網路管理站對網路中的私人位址進行強制傳輸時，封包的外部標頭與ipAddrTable中的資訊不一致。這裡是171.68.118.150（靜態到PIX中的10.10.10.20），您可以看到裝置171.68.118.150報告它有兩個介面：10.10.10.20和10.31.1.50:

ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.10.10.20 : IpAddress: 10.10.10.20
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.31.1.50 : IpAddress: 10.31.1.50

這對網路管理站是否有意義？大概不會。陷阱會出現同樣的問題：如果10.31.1.50介面關閉，裝置171.68.118.150將報告介面10.31.1.50關閉。

嘗試從外部管理內部網路的另一個問題是「繪製」網路。如果管理站是Netview或HPOV，則這些產品使用「netmon」守護程式從裝置讀取路由表。路由表用於發現。PIX不支援足夠的RFC 1213 ，無法將路由表返回到網路管理站，出於安全原因，這無論如何都不是好主意。當查詢靜態時，PIX內的裝置會報告它們的路由表，而所有公共IP裝置（靜態）會報告所有專用介面。如果PIX內的其他私有地址沒有靜態資訊，則無法對其進行查詢。如果網路管理站有靜態資訊，則無法知道靜態資訊是什麼。

發現PIX外部的裝置

由於PIX內的網路管理站查詢報告「公共」介面的公有地址，因此外部對內部問題的發現不適用。

171.68.118.118位於內部，10.10.10.25位於外部。當171.68.118.118傳送10.10.10.25時，該框正確報告了它的介面，即，報頭與資料包內部相同：

ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.10.10.25 : IpAddress: 10.10.10.25
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.31.1.50 : IpAddress: 10.31.1.50

PIX 6.2版snmpwalk

在HPOV管理站上使用snmpwalk -c public <pix_ip_address>命令執行snmpwalk。PIX 6.2可用的所有MIB都在執行snmpwalk之前載入。

system.sysDescr.0 : DISPLAY STRING- (ascii):  
Cisco PIX Firewall Version 6.2(1) 
system.sysObjectID.0 : OBJECT IDENTIFIER:       
.iso.org.dod.internet.private.enterprises.cisco.ciscoProducts.390 
system.sysUpTime.0 : Timeticks: (6630200) 18:25:02.00 
system.sysContact.0 : DISPLAY STRING- (ascii): 
system.sysName.0 : DISPLAY STRING- (ascii):  satan 
system.sysLocation.0 : DISPLAY STRING- (ascii): 
system.sysServices.0 : INTEGER: 4 
interfaces.ifNumber.0 : INTEGER: 3 
interfaces.ifTable.ifEntry.ifIndex.1 : INTEGER: 1 
interfaces.ifTable.ifEntry.ifIndex.2 : INTEGER: 2 
interfaces.ifTable.ifEntry.ifIndex.3 : INTEGER: 3 
interfaces.ifTable.ifEntry.ifDescr.1 : DISPLAY STRING- (ascii):  
PIX Firewall 'outside' interface 
interfaces.ifTable.ifEntry.ifDescr.2 : DISPLAY STRING- (ascii):  
PIX Firewall 'inside' interface 
interfaces.ifTable.ifEntry.ifDescr.3 : DISPLAY STRING- (ascii):  
PIX Firewall 'intf2' interface 
interfaces.ifTable.ifEntry.ifType.1 : INTEGER: ethernet-csmacd 
interfaces.ifTable.ifEntry.ifType.2 : INTEGER: ethernet-csmacd 
interfaces.ifTable.ifEntry.ifType.3 : INTEGER: ethernet-csmacd 
interfaces.ifTable.ifEntry.ifMtu.1 : INTEGER: 1500 
interfaces.ifTable.ifEntry.ifMtu.2 : INTEGER: 1500 
interfaces.ifTable.ifEntry.ifMtu.3 : INTEGER: 1500 
interfaces.ifTable.ifEntry.ifSpeed.1 : Gauge32: 10000000 
interfaces.ifTable.ifEntry.ifSpeed.2 : Gauge32: 10000000 
interfaces.ifTable.ifEntry.ifSpeed.3 : Gauge32: 10000000 
interfaces.ifTable.ifEntry.ifPhysAddress.1 : OCTET STRING-   
(hex): length = 6 
     0:  00 50 54 fe ea 30 -- -- -- -- -- -- -- -- -- --     
.PT..0.......... 

interfaces.ifTable.ifEntry.ifPhysAddress.2 : OCTET STRING-   (hex): length = 6 
     0:  00 50 54 fe ea 31 -- -- -- -- -- -- -- -- -- --     
.PT..1.......... 

interfaces.ifTable.ifEntry.ifPhysAddress.3 : OCTET STRING-   (hex): length = 6 
     0:  00 90 27 42 fb be -- -- -- -- -- -- -- -- -- --     
..'B............ 

interfaces.ifTable.ifEntry.ifAdminStatus.1 : INTEGER: up 
interfaces.ifTable.ifEntry.ifAdminStatus.2 : INTEGER: up 
interfaces.ifTable.ifEntry.ifAdminStatus.3 : INTEGER: down 
interfaces.ifTable.ifEntry.ifOperStatus.1 : INTEGER: up 
interfaces.ifTable.ifEntry.ifOperStatus.2 : INTEGER: up 
interfaces.ifTable.ifEntry.ifOperStatus.3 : INTEGER: down 
interfaces.ifTable.ifEntry.ifLastChange.1 : Timeticks: (6630200) 18:25:02.00 
interfaces.ifTable.ifEntry.ifLastChange.2 : Timeticks: (6630200) 18:25:02.00 
interfaces.ifTable.ifEntry.ifLastChange.3 : Timeticks: (6630200) 18:25:02.00 
interfaces.ifTable.ifEntry.ifInOctets.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifInOctets.2 : Counter: 19120151 
interfaces.ifTable.ifEntry.ifInOctets.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifInUcastPkts.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifInUcastPkts.2 : Counter: 1180 
interfaces.ifTable.ifEntry.ifInUcastPkts.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifInNUcastPkts.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifInNUcastPkts.2 : Counter: 246915 
interfaces.ifTable.ifEntry.ifInNUcastPkts.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifInDiscards.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifInDiscards.2 : Counter: 0 
interfaces.ifTable.ifEntry.ifInDiscards.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifInErrors.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifInErrors.2 : Counter: 0 
interfaces.ifTable.ifEntry.ifInErrors.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutOctets.1 : Counter: 60 
interfaces.ifTable.ifEntry.ifOutOctets.2 : Counter: 187929 
interfaces.ifTable.ifEntry.ifOutOctets.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutUcastPkts.1 : Counter: 1 
interfaces.ifTable.ifEntry.ifOutUcastPkts.2 : Counter: 2382 
interfaces.ifTable.ifEntry.ifOutUcastPkts.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutNUcastPkts.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutNUcastPkts.2 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutNUcastPkts.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutDiscards.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutDiscards.2 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutDiscards.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutErrors.1 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutErrors.2 : Counter: 0 
interfaces.ifTable.ifEntry.ifOutErrors.3 : Counter: 0 
interfaces.ifTable.ifEntry.ifSpecific.1 : OBJECT IDENTIFIER:    
.ccitt.zeroDotZero 
interfaces.ifTable.ifEntry.ifSpecific.2 : OBJECT IDENTIFIER:    
.ccitt.zeroDotZero 
interfaces.ifTable.ifEntry.ifSpecific.3 : OBJECT IDENTIFIER:    
.ccitt.zeroDotZero 
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.212.3.3.1 : IpAddress:   
212.3.3.1 
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.10.48.66.47 : IpAddress: 
10.48.66.47 
ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1 : IpAddress:   
127.0.0.1 
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.212.3.3.1 : INTEGER: 1 
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.10.48.66.47 : INTEGER: 2 
ip.ipAddrTable.ipAddrEntry.ipAdEntIfIndex.127.0.0.1 : INTEGER: 3 
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.212.3.3.1 : IpAddress:        
255.255.255.0 
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.10.48.66.47 : IpAddress:      
255.255.254.0 
ip.ipAddrTable.ipAddrEntry.ipAdEntNetMask.127.0.0.1 : IpAddress:        
255.255.255.255 
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.212.3.3.1 : INTEGER: 0 
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.10.48.66.47 : INTEGER: 0 
ip.ipAddrTable.ipAddrEntry.ipAdEntBcastAddr.127.0.0.1 : INTEGER: 0 
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.212.3.3.1 : INTEGER: 
65535 
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.10.48.66.47 : INTEGER: 
65535 
ip.ipAddrTable.ipAddrEntry.ipAdEntReasmMaxSize.127.0.0.1 : INTEGER: 
65535 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolName.1 : 
DISPLAY STRING- (ascii):  PIX system memory 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolAlternate.1 : 
INTEGER: 0 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolValid.1 : 
INTEGER: true 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolUsed.1 : 
Gauge32: 21430272 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolFree.1 : 
Gauge32: 12124160 
cisco.ciscoMgmt.ciscoMemoryPoolMIB.ciscoMemoryPoolObjects.
ciscoMemoryPoolTable.ciscoMemoryPoolEntry.ciscoMemoryPoolLargestFree.1 : 
   Gauge32: 0 
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotalPhysicalIndex.1 : INTEGER: 0 
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal5sec.1 : Gauge32: 0 
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal1min.1 : Gauge32: 0 
cisco.ciscoMgmt.ciscoProcessMIB.ciscoProcessMIBObjects.cpmCPU.
cpmCPUTotalTable.cpmCPUTotalEntry.cpmCPUTotal5min.1 : Gauge32: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareInformation.
6 : OCTET STRING- (ascii): 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareInformation.
7 : OCTET STRING- (ascii): 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusValue.
6 : INTEGER: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusValue.
7 : INTEGER: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusDetail.
6 : OCTET STRING- (ascii):   Failover Off 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatus.cfwHardwareStatusTable.cfwHardwareStatusEntry.cfwHardwareStatusDetail.
7 : OCTET STRING- (ascii):   Failover Off 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.3 : OCTET STRING- (ascii):  maximum number of allocated 4 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.5 : OCTET STRING- (ascii):  fewest 4 byte blocks available 
   since system startup 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
4.8 : OCTET STRING- (ascii):  current number of available 4 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.3 : OCTET STRING- (ascii): maximum number of allocated 80 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.5 : OCTET STRING- (ascii): fewest 80 byte blocks available 
   since system startup 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
80.8 : OCTET STRING- (ascii): current number of available 80 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
256.3 : OCTET STRING- (ascii): maximum number of allocated 256 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
256.5 : OCTET STRING- (ascii): fewest 256 byte blocks available 
   since system startup 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
   256.8 : OCTET STRING- (ascii): current number of available 256 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.3 : OCTET STRING- (ascii):  maximum number of allocated 1550 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.5 : OCTET STRING- (ascii): fewest 1550 byte blocks available 
   since system startup 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatInformation.
1550.8 : OCTET STRING- (ascii): current number of available 1550 byte blocks 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.3 : Gauge32: 1600 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.5 : Gauge32: 1599 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
4.8 : Gauge32: 1600 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.3 : Gauge32: 400 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.5 : Gauge32: 374 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
80.8 : Gauge32: 400 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.3 : Gauge32: 500 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.5 : Gauge32: 498 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
256.8 : Gauge32: 500 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.3 : Gauge32: 1252 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.5 : Gauge32: 865 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwBufferStatsTable.cfwBufferStatsEntry.cfwBufferStatValue.
1550.8 : Gauge32: 867 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatDescription.40.6 : 
OCTET STRING- (ascii):       number of connections currently in use 
   by the entire firewall 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatDescription.40.7 : 
OCTET STRING- (ascii):       highest number of connections in use 
   at any one time since system startup 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatCount.40.6 : 
Counter: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatCount.40.7 : 
Counter: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatValue.40.6 : 
Gauge32: 0 
cisco.ciscoMgmt.ciscoFirewallMIB.ciscoFirewallMIBObjects.cfwSystem.
cfwStatistics.cfwConnectionStatTable.cfwConnectionStatEntry.
   cfwConnectionStatValue.40.7 : 
Gauge32: 0 
End of MIB View.

建立TAC案例時要收集的資訊

完成本文檔中的故障排除步驟後，如果您仍需要幫助，並且希望使用Cisco TAC建立案例，請確保包含此資訊以對PIX防火牆進行故障排除。
問題描述和相關拓撲詳細資訊 開啟案例之前執行的故障排除 show tech-support命令的輸出 使用logging buffered debugging命令運行後show log命令的輸出，或顯示問題的控制檯捕獲（如果可用） 將收集的資料以非壓縮純文字檔案格式(.txt)附加到您的案例。 您可以使用TAC服務請求工具（僅限註冊客戶）將資訊上傳到您的案件。 如果您無法訪問案件查詢工具，可以將電子郵件附件中的資訊傳送到attach@cisco.com，並將案例編號填寫在郵件主題行。

相關資訊

• Cisco Secure PIX防火牆命令參考
• Cisco PIX防火牆軟體產品支援
• 要求建議(RFC)
• 技術支援與文件 - Cisco Systems