安全 : Cisco Adaptive Security Device Manager

对Cisco Adaptive Security Device Manager的ASA连接问题

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文提供必要的故障排除方法检查面对的问题,当您访问/配置思科可适应安全工具(ASA)时有Cisco Adaptive Security Device Manager的(ASDM)。ASDM通过一个图形管理接口提供安全管理和监控服务安全工具的。

贡献用Ishwinder Cheema和杰伊约翰斯顿, Cisco TAC工程师。

先决条件

要求

在初始配置在ASA后,设置在本文列出的方案、症状和步骤为排除故障问题写入。对于初始配置,参考思科ASA系列一般操作ASDM配置指南的伊莱克斯部分的配置的ASDM访问, 7.1。

本文使用ASA CLI排除故障,要求对ASA的安全壳SSH /Telnet/Console访问。

使用的组件

本文档中的信息根据ASDM和ASA。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

故障排除方法

有此故障排除文档着重的三主要故障点。如果遵守通用故障排除进程按此顺序,本文应该帮助您确定与ASDM使用/访问的确切的问题。

  • ASA 配置
  • 网络连接
  • 应用软件

ASA 配置

有是存在ASA是需要的为了顺利地访问ASDM的三重要配置:

  • 在闪存的ASDM镜像
  • 在使用中ASDM的镜像
  • HTTP服务器限制

在闪存的ASDM镜像

确保ASDM的要求的版本上传对闪存。它可能当前上传与ASDM的运行或与文件传输其他常规方法对ASA的,例如TFTP。

在ASA CLI的回车show flash为了帮助您列出文件在ASA闪存提交。检查ASDM文件的出现:

ciscoasa# show flash --#--  --length--  -----date/time------  path

249 76267 Feb 28 2013 19:58:18 startup-config.cfg
250 4096 May 12 2013 20:26:12 sdesktop
251 15243264 May 08 2013 21:59:10 asa823-k8.bin
252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin
253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image

为了进一步验证,如果镜像在闪存有效和不毁损,您能使用verify命令为了比较在软件包的存储的MD5哈希和实际文件存在的MD5哈希:

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

如果镜像是存在和其完整性在ASA,此步骤应该帮助您验证。

在使用中ASDM的镜像

此进程定义在ASA的ASDM配置下。是被使用的如下所示:当前镜像的配置示例定义

asdm镜像disk0:/asdm-702.bin

为了进一步验证,您能也使用显示asdm镜像命令:

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

HTTP服务器限制

此步骤在ASDM配置里是重要的,因为网络访问ASA的定义了。配置示例如下所示:

http server enable
http 192.168.1.0 255.255.255.0 inside

http 64.0.0.0 255.0.0.0 outside

验证您安排必需的网络定义在先前配置里。当连接并且给此错误时,缺乏那些定义造成ASDM发射器计时:

ASDM启动页(https:// <ASA IP地址>/admin)不导致请求计时和页显示。

进一步请验证HTTP服务器使用一个非标准端口ASDM连接,例如8443。这在配置里突出显示:

ciscoasa(config)- show run http

HTTP服务器enable (event) 8443

如果它使用一个非标准端口,您需要指定端口,当您连接对在ASDM发射器的ASA如下时:

当您访问ASDM启动页时,这也申请:https://10.106.36.132:8443/admin

其他可能的配置问题

在您完成上一个步骤后, ASDM应该打开,如果一切是工作在客户端。然而,如果仍然遇到问题,请打开从另一计算机的ASDM。如果成功,问题is is在应用级和可能ASA配置优良是。然而,如果它仍然不能启动,请完成这些步骤进一步验证ASA旁拉配置:

  1. 验证在ASA的安全套接字协议层(SSL)配置。当与ASA时,联络ASDM使用SSL。基于在ASDM启动的途中,更新的OS软件也许不允许更加弱的密码器使用情况,当协商SSL会话时。

    验证哪些密码器在ASA允许,并且,如果任何特定SSL版本在与show run的配置里指定所有ssl命令:
    ciscoasa# show run all ssl
    ssl server-version any <--- Check SSL Version restriction configured on the ASA
    ssl client-version any
    ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
    permitted on the ASA
    如果有任何SSL密码器协商错误,当ASDM启动,他们在ASA日志时显示:
    %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
    no shared cipher
    %ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
    identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
    如果看到特定设置,请恢复他们对默认。

    注意VPN-3DES-AES许可证需要启用在ASA能将使用的3DES和AES密码器的ASA在配置里。这可以用show version命令验证在CLI。象这样的输出显示:
    ciscoasa#show version

    Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
    Internal ATA Compact Flash, 64MB
    Slot 1: ATA Compact Flash, 32MB
    BIOS Flash M50FW080 @ 0xffe00000, 1024KB
    <snip>
    Failover            : Active/Active
    VPN-DES             : Enabled  
    VPN-3DES-AES        : Enabled
    <snip>
    VPN-3DES-AES许可证可以获取,不用任何开销从思科许可授权的网站。点击安全产品,然后选择思科ASA 3DES/AES许可证

    注意:默认情况下在装备8.6/9.x代码的新的ASA 5500-X平台中, SSL密码器设置设为des-sha1,引起ASDM会话不工作。参考ASA 5500-x :ASDM和其他SSL功能不解决方框条款欲知更多信息。

  2. 验证WebVPN在ASA启用。如果它启用,您需要使用此URL (https://10.106.36.132/admin)为了访问它,当您访问ASDM Web启动页时。

  3. 检查在ASA的一网络地址转换(NAT)配置端口的443。这造成ASA不处理要求ASDM,然而相当发送他们到NAT配置的网络/接口。

  4. 如果一切验证,并且ASDM仍然计时,请验证ASA在为与显示asp表的ASDM定义的端口设置侦听socket命令在ASA CLI。输出应该显示ASA在ASDM端口侦听:
    Protocol  Socket    Local Address               Foreign Address         State
    SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN
    如果此输出不显示,删除和重新应用在ASA的HTTP服务器配置为了重置在ASA软件的socket。

  5. 如果遇到问题,当您登陆/时验证对ASDM,验证HTTP的认证选项正确地设置。如果认证命令没有设置,您能使用ASA特权密码登陆到ASDM。如果要启用用户名/基于passoword的验证,您需要输入此配置为了验证ASDM/HTTP会话到从ASA的用户名/密码数据库的ASA :
    aaa authentication http console LOCAL
    当您启用前面的命令时,请切记创建用户名/密码:
    username <username> password <password> priv <Priv level>
    如果这些步骤都不帮助,这些调试选项是可用的在ASA为进一步调查:
    debug http 255
    debug asdm history 255

网络连接

如果完成前面部分并且无法访问ASDM,下一步是验证网络连通性对您的从您要访问ASDM的计算机的ASA。有一些基本故障排除步骤为了验证ASA收到从客户端机器的请求:

  1. 与互联网控制消息协议(ICMP)的测验
    ping您要访问ASDM的ASA接口。ping应该是成功的,如果ICMP允许穿程您的网络,并且没有在ASA接口级上的限制。如果ping发生故障,很可能是,因为有在ASA和客户端机器之间的一个通信问题。然而,这不是确定一个决定性的步骤有那种通信问题。

  2. 与数据包捕获的确认
    放置一数据包捕获在您要访问ASDM的接口。捕获应该显示TCP信息包被注定对接口IP地址用目的端口443 (默认)到达。

    为了配置捕获,请使用此命令:
    capture asdm_test interface <name of the ASA interface> match tcp host 
    <IP address of the interface> eq 443 host <IP address of the client machine>

    For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
    eq 443 host 10.106.36.13
    为ASA接口的端口443来您连接对ASDM的这捕获所有TCP数据流。通过ASDM这时连接或打开ASDM Web启动页。然后请使用显示捕获asdm_test命令为了查看捕获的数据包的结果:
    ciscoasa# show capture asdm_test

    Three packets captured

       1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

       2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

       3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
    此捕获显示从客户端机器的一同步(SYN)请求到ASA,但是ASA发送无响应。如果看到捕获类似于上一个一个,意味着数据包伸手可及的距离ASA,然而ASA不回答那些请求,查出对ASA的问题。参考本文第一部分为了进一步排除故障。

    然而,如果看不到输出类似于上一个和数据包没有捕获,意味着有在ASA和ASDM客户端机器之间的连接问题。验证没有也许阻塞TCP端口443流量,并且那里是没有浏览器设置,例如代理设置,可能防止流量到达ASA的中介设备。

    一般,数据包捕获是确定的好办法ASA的路径是否是确切,并且进一步诊断是否也许不是需要的排除网络连接问题。

应用软件

此部分描述如何排除故障在客户端机器安装的ASDM发射器软件,当发生故障启动/负载时。ASDM发射器是在客户端机器驻留并且连接对ASA为了检索ASDM镜像的组件。一旦检索, ASDM镜像在缓存通常存储和从那里被采取,直到所有更改在ASA侧被注意,例如ASDM镜像更新。

完成这些基本故障排除步骤为了排除在客户端机器的所有问题:

  1. 打开从另一计算机的ASDM启动页。如果它启动,意味着问题是有问题的客户端机器。如果它失败,从开始请跟随故障排除指南隔离包含的组件按顺序。

  2. 通过Web启动打开ASDM,并且启动软件直接地从那里。如果它成功,很可能有与ASDM发射器安装的问题。卸载从客户端机器的ASDM发射器,并且从ASA Web启动重新安装它。

  3. 清除在用户的主目录的ASDM的缓存目录。例如,在Windows 7,它查找此处:C:\Users\ <username> \ .asdm \缓存。缓存,当您删除整个缓存目录时,清除。如果ASDM顺利地开始,您也能清楚缓存从ASDM文件菜单的内部

  4. 验证适当的Java版本安装。思科ASDM版本注释列出测试的Java版本的需求。

  5. 清除Java缓存。在Java控制面板中,请选择常规>临时互联网文件。然后,请点击视图为了启动Java缓存查看器。删除参考的所有条目或与ASDM涉及。

  6. 如果这些步骤发生故障,从进一步调查的客户端机器请收集调试信息。启用ASDM的调试与URL :ASA>?debug=5 https://10.0.0.1?debug=5的即https:// < IP地址。

    当Java版本6 (也呼叫Version 1.6), Java调试消息从Java控制面板>Advanced启用。然后请选择复选框在调试下。请勿选择不启动控制台JAVA控制台下。Java调试,在ASDM开始前,必须启用。


    Java控制台输出在用户的主目录的.asdm/日志目录被记录。ASDM日志在同一个目录也许也被找到。例如,在Windows 7,日志在C:\Users\ <username>/.asdm/log/下

运行命令与HTTPS

此步骤帮助确定HTTP信道的所有第七层问题。此信息证明有用的,当您是在ASDM应用程序不可访问的情况时,并且没有管理设备的所有CLI访问联机。

URL使用访问的ASDM Web启动页可能也用于运行所有配置级别on命令ASA。此URL可以用于为了做配置更改在一个基本级别对ASA,包括远程设备重新加载。为了输入命令,请使用此语法:

ASA>/admin/exec/<command>的https:// < IP地址

如果有在命令的一空间,并且浏览器无法解析在URL的空格符,您能使用+符号或%20指示空间。

例如, https://10.106.36.137/admin/exec/show Ver导致show version输出到浏览器:

命令执行此方法要求HTTP服务器在ASA启用并且有活动必要的HTTP的限制。然而,这不要求ASDM镜像是存在ASA。

相关信息



Document ID: 116403