用防火墙和内存池MIB(Using the Firewall and Memory Pool MIBs)
Cisco防火墙和内存池MIB让您可以轮询故障转换和系统状态。本部分包括以下内容:
ipAddrTable说明(ipAddrTable Notes)
浏览故障转换状态(Viewing Failover Status)
验证内存使用率(Verifying Memory Usage)
浏览连接数(Viewing The Connection Count)
浏览系统缓存使用率(Viewing System Buffer Usage)
在每部分最后的表中,每个返回值的意义都显示在括号中。
ipAddrTable说明(ipAddrTable Notes)
SNMP ip.ipAddrTable的使用要求所有接口都分别有各自独特的地址。假如接口未被分配IP地址,则其IP地址默认为127.0.0.1。拥有重复IP地址会导致SNMP治理站无限循环。工作循环就是向每个接口分配一个不同的地址。例如,您可将一个地址设置为127.0.0.1,另一地址设置为127.0.0.2等。
SNMP使用一系列GetNext操作来转换MIB树。每个GetNext请求均以前-请求的结果为基础。因此,假如两个连续接口有相同的IP 127.0.0.1(表索引),GetNext功能返回127.0.0.1,这是正确的;然而,当SNMP使用同一结果(127.0.0.1)生成下一GetNext请求,该请求与前一请求一样,从而会导致治理站无限循环。
例如:GetNext (ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1)
在SNMP协议中,MIB表索引必须是独一无二的,以便代理识别MIB表的某一行。ip.AddrTable的表索引是PIX防火墙接口IP地址,故此IP地址应独一无二;否则,SNMP代理将发生混乱并可能返回有相同IP(索引)的另一接口(行)的信息。
浏览故障转换状态(Viewing Failover Status)
Cisco防火墙MIB的cfsHardwareStatusTable答应您确定是否启动故障转换以及哪个单元处在活动状态。Cisco防火墙MIB通过cfwHardwareStatusTable对象中的两行来指示故障转换状态。从PIX防火墙命令行,您可用show failover命令浏览故障转换状态。您可从以下路径访问对象表:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatus.cfwHardwareStatusTable
故障转换状态对象
对象 对象类型 行1:如禁用故障转换时则返回 行1:如启用故障转换时返回 行2:如启用故障转换时返?/td
cfwHardwareType
(表索引) Hardware 6(如为基本单元) 6(如为基本单元) 7(如为备用单元)
cfwHardware
Information SnmpAdminString 空白 空白 空白
cfwHardware
StatusValue HardwareStatus 0(未使用?/td active 或 9(如为活动单元)或是standby或10(如为备用单元) active 或 9(如为活动单元)或是standby或10如为备用单元
cfwHardware
StatusDetail SnmpAdminString Failover Off 空白 空白
cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6 :0
cfwHardwareStatusValue.7 :0
cfwHardwareStatusDetail.6 :Failover Off
cfwHardwareStatusDetail.7 :Failover Off
在此表中,表索引cfwHardwareType作为.6或.7附在每个随后对象的最后。cfwHardwareInformation域为空白,cfwHardwareStatus值为0,而cfwHardwareStatusDetail包含Failover Off,这表示故障转换状态。
启动故障转换时,MIB查询范例生成下列信息:
cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6 : active
cfwHardwareStatusValue.7 : standby
cfwHardwareStatusDetail.6 :
cfwHardwareStatusDetail.7 :
在此表中,只有cfwHardwareStatusValue包含数值,即active或standby来表示每个单元的状态。
验证内存使用率(Verifying Memory Usage)
您可确定Cisco内存池MIB带有多少空闲内存。从PIX防火墙命令行,可用show memory命令浏览内存使用率。以下是show memory命令的输出范例。
show memory
16777216 bytes total, 5595136 bytes free
您可从以下路径访问MIB对象:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoMemoryPoolMIB. ciscoMemoryPoolObjects.ciscoMemoryPoolTable
内存使用率
对象 对象类型 返回值
ciscoMemoryPoolType CiscoMemoryPoolTypes 1 (处理器内存)(表索引)
ciscoMemoryPoolType 1 (处理器内存)
ciscoMemoryPoolName DisplayString PIX 系统内存
ciscoMemoryPoolAlternate Integer32 0 (无备用内存池)
ciscoMemoryPoolValid TruthValue true (表明其余对象的值正确)
ciscoMemoryPoolUsed Gauge32 integer (目前在用的字节数-
总字节减去空闲字节)
ciscoMemoryPoolFree Gauge32 integer (当前空闲的字节数)
ciscoMemoryPoolLargestFree Gauge32 0 (不可获得信息)
在HP OpenView Browse MIB应用的“MIB值”窗口中,MIB查询范例生成以下信息:
ciscoMemoryPoolName.1 :PIX system memory
ciscoMemoryPoolAlternate.1 :0
ciscoMemoryPoolValid.1 :true
ciscoMemoryPoolUsed.1 :12312576
ciscoMemoryPoolFree.1 :54796288
ciscoMemoryPoolLargestFree.1 :0
在此表中,表索引cisco MemoryPoolName作为.1值附在每个随后对象值的最后。
cisco MemoryPoolUsed对象列出当前在用的字节数12312576,ciscoMemoryPoolFree对象则列出了当前空闲的字节数54796288。其它对象则总是列出表18中的值。
浏览连接数(Viewing The Connection Count)
您可从Cisco防火墙MIB中的cfwConnectionStatTable浏览在用的连接数。从PIX防火墙命令行,您可用show conn命令浏览连接数。以下是show conn命令输出范例,可确认cfwConnectionStatTable中的信息的初始出处。
show conn
15 in use, 88 most used
cfwConectionStatTable对象表可从以下路径访问:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwConnectionStatTable
对象 对象类型 行1:返回值 行2:返回值
CfwConnectionStatService(表索引) Services 40(IP协议) 40(IP协议)
CfwConnectionStatType(表索引) ConnectionStat 6(当前在用连接) 7(高)
cfwConnectionStatDescription SnmpAdminString 整个防火墙当前在用的连接数 自系统启动以来曾经在用的最高连接数
cfwConnectionStatCount Counter32 0(未用) 0(未用)
cfwConnectionStatValue Gauge32 Integer(在用数目) Integer(最多使用数目)
在HP OpenView Browse MIB应用的“MIB值”窗口中,MIB查询范例生成以下信息:
cfwConnectionStatDescription.40.6 :number of connections currently in use by the entire firewall
cfwConnectionStatDescription.40.7 :highest number of connections in use at any one time since system startup
cfwConnectionStatCount.40.6 :0
cfwConnectionStatCount.40.7 :0
cfwConnectionStatValue.40.6 :15
cfwConnectionStatValue.40.7 :88
在此表中,表索引cfwConnectionStatService作为.40附在每个随后对象之后,而表索引cfwConnectionStatType则为.6 (表示在用的连接数) 或.7(表示最多使用的连接数)。cfwConnectionStatValue对象然后可列出连接数。cfwConnectionStatCount对象常返回0值。
浏览系统缓存使用率(Viewing System Buffer Usage)
您可在多行cfwBufferStats表中浏览Cisco防火墙MIB的系统缓存使用率。系统缓存使用率提供了PIX防火墙达到其容量限制的早期报警。在命令行上,您可用show blocks命令来浏览此信息。以下是show blocks命令的输出范例,显示了cfwBufferStatsTable是如何传播的。
show blocks
SIZE MAX LOW CNT
4 1600 1600 1600
80 100 97 97
256 80 79 79
1550 780 402 404
65536 8 8 8
您可在以下路径浏览cfwBufferStatsTable:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB. ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwBufferStatsTable
下表列出了浏览系统块使用率所需的对象。
对象 对象类型 第一行:返回值 下一行:返回值 下一行:返回值
CfwBufferStatSize(表索引)
Unsigned32 Integer(SIZE值;例如,4字节块则为4) Integer(SIZE值;例如,4字节块则为4) Integer(SIZE值;例如,4字节块则为4)
CfwBufferStatType(表索引) ResourceStatistics 3(最大) 5(最低) 8(当前)
cfwBufferStatInformation SnmpAdminString 已分配integer字节块的最大数目(integer是块中的字节数) 自启动以来可用的最少integer字节块(integer是块中的字节数) 当前的可用integer字节块的数目(integer是块中的字节数)
cfwBufferStatValue Gauge32 integer(最大值) integer(最低值) integer(当前值)
注重 这三行对每个在show blocks命令的输出中列出的块大小进行重复.
在HP OpenView Browse MIB应用的“MIB值”窗口中,MIB查询范例生成以下信息:
cfwBufferStatInformation.4.3 :maximum number of allocated 4 byte blocks
cfwBufferStatInformation.4.5 :fewest 4 byte blocks available since system startup
cfwBufferStatInformation.4.8 :current number of available 4 byte blocks
cfwBufferStatInformation.80.3 :maximum number of allocated 80 byte blocks
cfwBufferStatInformation.80.5 fewest 80 byte blocks available since system startup
cfwBufferStatInformation.80.8 :current number of available 80 byte blocks
cfwBufferStatInformation.256.3 :maximum number of allocated 256 byte blocks
cfwBufferStatInformation.256.5 :fewest 256 byte blocks available since system startup
cfwBufferStatInformation.256.8 :current number of available 256 byte blocks
cfwBufferStatInformation.1550.3 :maximum number of allocated 1550 byte blocks
cfwBufferStatInformation.1550.5 :fewest 1550 byte blocks available since system startup
cfwBufferStatInformation.1550.8 :current number of available 1550 byte blocks
cfwBufferStatValue.4.3: 1600
cfwBufferStatValue.4.5: 1600
cfwBufferStatValue.4.8: 1600
cfwBufferStatValue.80.3: 400
cfwBufferStatValue.80.5: 396
cfwBufferStatValue.80.8: 400
cfwBufferStatValue.256.3: 1000
cfwBufferStatValue.256.5: 997
cfwBufferStatValue.256.8: 999
cfwBufferStatValue.1550.3: 1444
cfwBufferStatValue.1550.5: 928
cfwBufferStatValue.1550.8: 932
在此列表中,第一个表索引cfwBuffer作为附在每个项目最后的第一个数字出现,如.4或.256。
另一表索引cfwBufferStatType在第一个索引后作.3、.5或.8出现。对于每个块大小,cfwBufferStatInformation对象确认值的类型,而cfwBufferStatValue对象则确认每个值的字节数。
使用SSH(Using SSH)
SSH(安全壳式程式)是运行于可靠传输层上的应用,如提供强大验证和加密功能。PIX防火墙支持SSH版本1中提供的SSH远程壳式程序。SSH 1也可与Cisco ISO软件设备共用。最多可答应5个SSH客户机同时访问PIX防火墙控制台。
注重 在客户机可与PIX防火墙控制台连接前为PIX防火墙生成一个RSA密钥对。为使用SSH,您的PIX防火墙就需有一个DES或3DES激活密钥。
目前远程配置PIX防火墙单元的方法包括启动一条到PIX防火墙的Telnet连接,以开始一个壳式会话并进入配置模式。此连接方法仅可提供与Telnet相同的安全性,而Telnet的安全性只是作为较低层加密(如IPSec)和应用安全性(远程主机处的用户名/口令验证)提供的。PIX防火墙SSH实施提供了一个无IPSec的安全远程壳式会话,仅起到服务器的作用,即PIX防火墙不能启动SSH连接。