排除PIX设备管理器故障

前言
本文解释解决问题方法的PIX设备管 理器(PDM)软件。

硬件和软件版本
本文 的信息根据以下的软件及硬件版本。

Cisco PIX防火墙软件版本6.1(1)
PDM版本1.1(2)
解决PDM访问问题
验证PDM软件 安装
为了访问PDM，必须符合以下二 个需求：
数据加密标准(DES)或三重 数据加密标准(3DES)激活密钥在您的PIX被启用。
PDM的 一个独立的 软件镜象在PIX闪存被装载。
验证您 符合这些要求，从 PIX命令线 路输入show version命令。 PIX防火墙版本一定是6.0或更加 极大的。 以下信息出现：
pixfirewall# show version
Cisco Secure PIX Firewall Version 6.1(1)
PIX Device Manager Version 1.1(2)   
<snip>
Licensed Features:
Failover:   Enabled
VPN-DES:    Enabled
VPN-3DES:   Disabled

如 果错过表示您的PIX或PDM版本的线路，并且如果DES和3DES失效，您 不会能访问PDM 软件。如果没有一个DES键，您能获得 PIX 56-bit许可证升级密钥 从Cisco软件中心。访问软件 中心，您必须是 注册的用户并且 您必须登录。 如果没有一个DES键并且不是注册的用 户，您可以通过发送电子邮件得到免费密码到licensing@cisco.com 带有PIX 序号当在PIX 在 show version 命令看起来。
如果需 要安装键，您必须重新载入PIX 软件。这是唯一的方式可以 安装DES/3DES键。关于重新载入PIX软件一个逐步程序，请参 阅 升级PIX防火墙从启动帮助或 " 升级Cisco安全PIX防火墙的软件的监 控模式部分"。
安装PDM软件
如果已经 不安排PDM软件安装，使用copy tftp flash:pdm命令装载 它。 请勿使用 copy tftp flash 命令。
其次，遵从规程在 安装PDM 在PIX防火墙上 到安装并且运行在PIX防火墙的PDM软件。
设置PDM软件
在您安装了PDM软件并且安排DES/3DES 被启用之后 ，从 PIX命令线路运行设 置设置PDM运行在PIX和启用您想要允许对PDM的访问的特定主 机或网络。 保证年是正确的当通过设置问题或者生成的认证 无效。用于设置的域名可以是您的域或所有任意地选择的串 的名字以<为密钥生成将使用的text.text的形式>; 名字转换 不需要工作。并且，按Enter选择默认值。
设置进程的示例如下所示。
pixfirewall(config)&#35; setup
Pre-configure PIX Firewall now through interactive prompts [yes]?
Enable password [<use current password>]:
Clock (UTC):
   Year [2001]:
   Month [Dec]:
   Day [7]:
   Time [17:43:35]:
Inside IP address [127.0.0.1]: 172.16.1.2
Inside network mask [255.255.255.255]: 255.255.255.0
Host name [pixfirewall]:
Domain name: cisco.com
IP address of host running PIX Device Manager: 172.16.1.43
The following configuration will be used:
Enable password: <current password>
Clock (UTC): 17:43:35 Dec 7 2001
Inside IP address: 172.16.1.2
Inside network mask: 255.255.255.0
Host name: pixfirewall
Domain name: cisco.com
IP address of host running PIX Device Manager: 172.16.1.43
Use this configuration and write to flash? yes
Building configuration...
Cryptochecksum: e6dd475b 322e8674 1dc237c3 543afdef
[OK]
pixfirewall(config)&#35;
访问PDM软件
访问PDM软件，键入 https://<pix_interface_ip_address > 在您的浏览器。此语法示例是 https://172.16.1.2。
当用户名/密码机箱出现时并且如果 AAA认证不打开然后PIX远程登录密码在密码框应该进来。如 果AAA认证 打开(例如 Telnet对PIX和PIX请求用户名/密码而不是密码)，则PIX用户名在密 码框在用户名机箱和密码应该进来。
如果PIX命令授权打开(在PIX版本6.2或以上)并且某些用户不能执行 所有命令(例如 write terminal、 write memory或者 configure terminal) ，则那些用户在PDM将类似地被限制(到监控仅PIX，或者到执行命令 的一子集)。在PIX 6.2或以上，您能确定用户是否有最强大 的权限(15)通过执行Telnet到PIX和该用户和发出 在激活模式 显示 curpriv 命令。
故障排除
如果继续到PDM的经验问题 ，尝试下面的某些建议。
检查适当地 安装了PDM：
show version
.
Cisco PIX Firewall Version 6.1(1)
Cisco PIX Device Manager Version 1.0(2)
.
检查DES激活密钥启用：
show version
.
VPN-DES: Enabled
.

检查代理 在浏览器没有被启用。
验证软件设置正确的年通过发出 show clock命令。使 用以下命令如果需要修改年：
clock set <hh:mm:ss> <月> <日> <年>
在正常运 行之下，当时PIX设置在正确时间，连接用PDM导致用 show ca mypubkey rsa命令是可视的认证的生成 。 如果有某个问题或 没有时钟未在原始连接之时适当地至于是否设置，在早先步骤重置 了时钟如所描述。撤消现有的证书通过发出 ca zeroize rsa命令，然后 与PDM重新连接到原因键重新生成。
验证您连接使用 https://。
在下载PDM 软件之前到PIX，切记PDM软件的FTP是一个二进制转换通过键入 bin 在 Ftp transfer命令线路。 如果转移在ASCII或如果PDM文件否 则损坏，您可以接受"DM不是安装的"消息。
验证您使用的浏览器有适当的Java版本。
对于Microsoft Internet Explorer ，在Windows系统，去 Start > Run 并且键 入 wjview 确定版本( 或键入 wjview 在 DOS 提示符)。示例输出如下所示。
Microsoft (R) VM for Java, 5.0 Release 5.0.0.3802
前4个数字应该是3167或更加极大与PDM 一起使用。
为Netscape如果安装，4.5.x或 4.7.x， Java插件选 项应该失效。禁用插件，去 编辑> 首选>提前 并且设置 启用 Java插件选项为"功能失效"。如果 没看见复选框，默认情况下则没有使用Java插件。
验证您运行一个支持的浏览器为您使用PDM的版本。 除什么的之外浏览器或Java版本测试了可能不工作。
如果一些位置能连接到PIX为管理并 且其他不能，确信，您有一个条目为管理PIX每个单元的IP地址：
http <ip_address> [netmask] [if_name]
http server enable
如果看见认为"的消息PIX有未知的 一个版本号"，然后这一般是结果的在不满足之上列出的其中一个条 件，例如：
PDM版本不与PIX版本一致(检查PDM说明文件前提 )
不支持浏览器版本(检查PDM说明文 件前提)
Java版本是不正确的或Java 插件启用(请参阅 上述)
如果所有发 生故障， 与 CISCO TAC联系。 请准备提供show tech的输出 从PIX、 调试ssl 从PIX，关 于您的浏览器版本的Java 控制台输出从您的浏览器和信息帮助解 决问题。