セキュリティ : Cisco Adaptive Security Device Manager

Cisco Adaptive Security Device Manager への ASA 接続に関する問題

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco Adaptive Security Device Manager (ASDM)で Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)にアクセスしたり/設定するとき直面される問題を検査するのに必要なトラブルシューティング手順を提供したものです。 ASDM はグラフィカル マネージメントインターフェイスを通してセキュリティ アプライアンス モデルのためのセキュリティ マネジメントおよび監視サービスを提供します。

Ishwinder Cheema およびジェイ ジョンソンによって貢献される、Cisco TAC エンジニア。

前提条件

要件

初期設定が ASA で設定された後この資料にリストされているシナリオ、現象およびステップは問題を解決するために書かれています。 初期設定に関しては、Cisco ASA シリーズ 操作全般 ASDM コンフィギュレーション ガイドのアプライアンス セクションのための設定 ASDM アクセスを、7.1 参照して下さい。

この資料は ASA にセキュア シェル(SSH) /Telnet/Console アクセスを必要とするトラブルシューティングのために ASA CLI を使用します。

使用するコンポーネント

この文書に記載されている情報は ASDM および ASA に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

トラブルシューティング方法

このトラブルシューティングに関する文書が焦点を合わせる 3 つの主な障害ポイントがあります。 この順序で一般的 な トラブルシューティング プロセスに付着する場合、この資料は ASDM 使用/アクセスにおけるまさにその問題を判別するのを助ける必要があります。

  • ASA の設定
  • ネットワーク接続
  • アプリケーション ソフトウェア

ASA の設定

3 概要コンフィギュレーションがあります ASA にある正常に ASDM にアクセスするために必要の:

  • フラッシュするの ASDM イメージ
  • 使用中の ASDM イメージ
  • HTTPサーバ制限

フラッシュするの ASDM イメージ

ASDM の必須バージョンがフラッシュするにアップロードされることを確かめて下さい。 それは ASDM の実行バージョンまたは TFTP のような ASA へのファイル転送の他の従来の方法と、現在アップロードすることができます。

ASA フラッシュ メモリのファイルをリストするのを助けるために ASA CLI の show flash を入力して下さい。 ASDM ファイルの存在があるように確認して下さい:

ciscoasa# show flash --#--  --length--  -----date/time------  path

249 76267 Feb 28 2013 19:58:18 startup-config.cfg
250 4096 May 12 2013 20:26:12 sdesktop
251 15243264 May 08 2013 21:59:10 asa823-k8.bin
252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin
253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image

更にフラッシュするのイメージが有効、破損していないかどうか確認するために、ソフトウエアパッケージの保存された MD5 ハッシュおよび現在の実際のファイルの MD5 ハッシュを比較するために verify コマンドを使用できます:

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

このステップはイメージが ASA の提供および統合であるかどうか確認するのを助ける必要があります。

使用中の ASDM イメージ

このプロセスは ASA の ASDM 設定の下で定義されます。 このように使用されたなである現在のイメージの設定 例 定義:

asdm イメージ disk0:/asdm-702.bin

更に確認するために、また提示 asdm イメージ コマンドを使用できます:

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

HTTPサーバ制限

このステップはネットワークに ASA にアクセスできる定義するので、ASDM 設定で必要です。 このように設定 例な:

http server enable
http 192.168.1.0 255.255.255.0 inside

http 64.0.0.0 255.0.0.0 outside

以前のコンフィギュレーションで必要なネットワークを定義してもらうことを確認して下さい。 このエラーを接続し、与える間、それらの定義の不在により ASDM ランチャーは時間を計ります:

ASDM 起動ページにより(https:// <ASA IP アドレス >/admin)要求は No ページ 表示する時間を計ります。

HTTPサーバが ASDM 接続のために標準外ポートを使用する 8443 のようなことを更に、確認して下さい。 これは設定で強調表示されます:

ciscoasa(config)# show run http

HTTPサーバ イネーブル 8443

それが標準外ポートを使用する場合、ASDM ランチャーの ASA にとして接続するときポートを規定 する必要があります:

これはまた ASDM 起動ページにアクセスするときに適用します: https://10.106.36.132:8443/admin

他の可能性のある 設定 に関する 問題

前の手順を完了した後、ASDM はすべてがクライアント側で機能である場合開く必要があります。 ただしそれでも問題に直面したら、別のマシンからの ASDM を開いて下さい。 成功する場合、問題 is is おそらく水平なアプリケーションでおよび ASA 設定はうまくあります。 ただしそれがそれでも起動しなかったら更に ASA 側コンフィギュレーションを確認するためにこれらのステップを完了して下さい:

  1. ASA の Secure Sockets Layer (SSL) 設定を確認して下さい。 ASDM は ASA と通信する間、SSL を使用します。 SSL セッションをネゴシエートするとき ASDM が、より新しい OSソフトウェア起動する方法に基づいてより弱い暗号の使用方法を許可しないかもしれません。

    どの暗号が ASA で許可される、どの仕様 SSL バージョンでも show run の設定ですべての ssl コマンド 規定 されたらか確認すれば:
    ciscoasa# show run all ssl
    ssl server-version any <--- Check SSL Version restriction configured on the ASA
    ssl client-version any
    ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
    permitted on the ASA
    ASDM が起動する間、SSL 暗号ネゴシエーションエラーがあれば、ASA ログで表示する:
    %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
    no shared cipher
    %ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
    identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
    特定の設定を見る場合、デフォルトにそれらを戻して下さい。

    ことに設定で ASA が使用されるトリプル DES および AES 暗号のための ASA で有効に される VPN-3DES-AES ライセンス必要注意して下さい。 これは CLI の show version コマンドで確認することができます。 このような出力表示:
    ciscoasa#show version

    Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
    Internal ATA Compact Flash, 64MB
    Slot 1: ATA Compact Flash, 32MB
    BIOS Flash M50FW080 @ 0xffe00000, 1024KB
    <snip>
    Failover            : Active/Active
    VPN-DES             : Enabled  
    VPN-3DES-AES        : Enabled
    <snip>
    VPN-3DES-AES ライセンスは Webサイトを認可する Cisco からのコストなしで得ることができます。 製品を『Security』 をクリック し、次に ASA 3DES/AES ライセンスを『Cisco』 を選択 して下さい。

    : 8.6/9.x コードと出荷する新しい ASA 5500-X プラットフォームでは、SSL 暗号設定は des-sha1 にデフォルトで行われます、ASDM セッションがはたらきます。 ASA 5500-x を参照して下さい: ASDM および他の SSL 機能は詳細についてはボックス技術情報の解決しません

  2. WebVPN が ASA で有効に なることを確認して下さい。 それが有効に なる場合、ASDM Web 起動ページにアクセスするときアクセスするためそれにこの URL (https://10.106.36.132/admin) を使用する必要があります。

  3. ポート 443 のための ASA のネットワーク アドレス変換(NAT) 設定があるように確認して下さい。 これにより ASA は ASDM のための要求を処理しないためにむしろ NAT が設定されたインターフェイス/ネットワークに送信 しますが。

  4. すべてが確認されたらおよび ASDM がそれでも時間を計ったら、ASA が ASA CLI の提示非対称多重処理システム表 ソケット コマンドで ASDM を定義されるポートで聞き取るために設定されることを確認して下さい。 出力は ASA が ASDM ポートで受信することを示す必要があります:
    Protocol  Socket    Local Address               Foreign Address         State
    SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN
    この出力が表示する場合、ASA ソフトウェアのソケットをリセットするために ASA の HTTPサーバ 設定を取除き、再適用して下さい。

  5. HTTP のための認証オプションは正しく設定されることを ASDM へのログイン/認証する、確認する時問題に直面すれば。 認証コマンドが設定 されない場合、ASDM にログインに ASA イネーブルパスワードを使用できます。 ユーザ名/passoword ベースの認証を有効に したいと思う場合 ASA の username/password データベースからの ASA に ASDM/HTTP セッションを認証するためにこの設定を入力する必要があります:
    aaa authentication http console LOCAL
    前のコマンドを有効に するとき username/password を作成することを忘れないようにして下さい:
    username <username> password <password> priv <Priv level>
    これらのステップのどれも助けない場合、これらのデバッグ オプションはより詳しい調査に ASA で利用できます:
    debug http 255
    debug asdm history 255

ネットワーク接続

前のセクションを終了し、ASDM にアクセスすることがそれでもできない場合次 の ステップは ASDM にアクセスしたいと思うマシンからの ASA へネットワーク接続を確認することです。 少数の基本的な トラブルシューティング の 手順が ASA がクライアントマシンから要求を受け取ることを確認するためにあります:

  1. インターネット制御メッセージ プロトコル (ICMP)とテストして下さい
    ASDM にアクセスしたいと思う ASA インターフェイスを ping して下さい。 PING は ICMP がネットワークを横断すればことができ、ASA インターフェイス レベルに制限がなければ場合正常であるはずです。 PING が通らない場合、ASA とクライアントマシン間にコミュニケーション問題があるのでおそらくあります。 ただし、これはコミュニケーション問題にはその型があることを判別する決定的なステップではないです。

  2. パケットキャプチャと確認して下さい
    ASDM にアクセスしたいと思うインターフェイスにパケットキャプチャを置いて下さい。 キャプチャはインターフェイス IP アドレスに向かう TCP パケットが宛先ポート番号 443 (デフォルト)によって着くことを示す必要があります。

    キャプチャを設定するために、このコマンドを使用して下さい:
    capture asdm_test interface <name of the ASA interface> match tcp host 
    <IP address of the interface> eq 443 host <IP address of the client machine>

    For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
    eq 443 host 10.106.36.13
    ASDM に接続する ASA インターフェイスのポート 443 のために来るこれは TCPトラフィックをキャプチャ します。 ASDM によってこの時点で接続するか、または ASDM Web 起動ページを開いて下さい。 それからキャプチャ されるパケットの結果を表示するために提示キャプチャを asdm_test コマンド使用して下さい:
    ciscoasa# show capture asdm_test

    Three packets captured

       1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

       2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

       3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
    このキャプチャはクライアントマシンから ASA に同期(SYN)要求を示しますが、ASA は無応答を返します。 前のものと同じようなキャプチャに会う場合パケット範囲がそれらの要求に ASA ASA に問題自体を特定する ASA 応答しないが、ことを意味します。 更に解決するためにこの資料の最初のセクションを参照して下さい。

    ただし前と同じような出力およびパケットはキャプチャ されないことを、見なければ、ASA と ASDM クライアントマシン間に接続に関する問題があることを意味します。 TCPポート 443 トラフィックをブロックするかもしれないそこにブラウザ設定、トラフィックは ASA に達することを防ぐ可能性がある、プロキシ 設定のようなでなく中間デバイスがないことを確認して下さい。

    通常、パケットキャプチャはです ASA へのパスがクリアだったかどうか、そして確認するよい方法ネットワーク接続上の問題を除外するためにそれ以上の診断が必要ではないかもしれなければ。

アプリケーション ソフトウェア

このセクションは/ロード起動するために失敗するとき ASDM ランチャー ソフトウェアを解決する方法を記述しますクライアントマシンでインストールされていた。 クライアントマシンに常駐し、ASA に ASDM イメージを取得するために接続する ASDM ランチャーはコンポーネントです。 取得されて、ASDM イメージは通常キャッシュでどの変更でも ASA 側で注意されるまで保存され、そこにから ASDM イメージ アップデートのような撮られます。

クライアントマシンの問題を除外するためにこれらの基本的な トラブルシューティング の 手順を完了して下さい:

  1. 別のマシンからの ASDM 起動ページを開いて下さい。 起動する場合、問題が疑わしいクライアントマシンとあることを意味します。 それが失敗した場合、順序で複雑なコンポーネントを隔離するためにトラブルシューティングガイドに最初から続いて下さい。

  2. ASDM を Web 起動によって開き、そこにからソフトウェアを直接起動させて下さい。 成功する場合、ASDM ランチャー インストールにおいての問題がある可能性が高いといえます。 クライアントマシンからの ASDM ランチャーをアンインストールし、ASA Web 起動自体から再インストールして下さい。

  3. ユーザのホーム ディレクトリの ASDM のキャッシュ ディレクトリをクリアして下さい。 たとえば、Windows 7 で、それはここに見つけられます: C:\Users\ <username> \ .asdm \キャッシュ。 キャッシュは全体のキャッシュ ディレクトリを削除するとき消去されます。 ASDM が首尾よく開始する場合、ASDM File メニュー内からキャッシュ クリアまたできます。

  4. 適切な Java バージョンがインストールされていることを確認します。 Cisco ASDM リリース ノートはテストされた Java バージョンのための必要条件をリストします。

  5. Java キャッシュを消去して下さい。 Javaコントロールパネルで、> インターネット一時ファイル 『General』 を選択 して下さい。 それから、Java キャッシュ ビューアを起動させるために『View』 をクリック して下さい。 ASDM と参照するか、または関連しているすべてのエントリを削除して下さい。

  6. これらのステップが失敗した場合、より詳しい調査のためのクライアントマシンからデバッグ情報を収集して下さい。 URL の ASDM のためのデバッグを有効にして下さい: https:// < ASA>?debug=5 例えば https://10.0.0.1?debug=5 の IP アドレス。

    Java バージョン 6 が(また Version と、Java デバッグメッセージは Javaコントロールパネルから > 高度有効に なります 1.6)呼ばれて。 それからデバッグの下でチェックボックスを選択して下さい。 開始しません Javaコンソールの下でコンソールを選択しないで下さい。 Java デバッグは ASDM が開始する前に有効に する必要があります。


    Javaコンソール出力はユーザのホーム ディレクトリの .asdm/ログ ディレクトリに記録されます。 ASDM ログはまた同じディレクトリで見つけられるかもしれません。 たとえば、Windows 7 で、ログは C:\Users\ <username>/.asdm/log/の下にあります。

HTTPS とコマンドを実行して下さい

このプロシージャは HTTP チャネルのためのレイヤ7 問題の判別を助けます。 この情報は ASDM アプリケーション自体がアクセスが不可能である、利用可能 な CLI アクセスがデバイスを管理するためにない状況にとき有用証明し。

ASDM Web 起動ページにアクセスするのに使用する URL も ASA の設定レベル コマンドを実行するのに使用することができます。 この URL はリモートデバイス リロードを含む ASA に水平な基本でコンフィギュレーション変更を行なうために使用することができます。 コマンドを入力するために、この構文を使用して下さい:

https:// < ASA>/admin/exec/<command> の IP アドレス

コマンドに領域があり、ブラウザが URL の空白文字を解析することができなければ領域を示す + サインか %20 使用できます。

たとえば、https://10.106.36.137/admin/exec/show ver はブラウザに show version 出力という結果に終ります:

コマンドの実行のこの方式は HTTPサーバが ASA で有効に なる必要とし、アクティブな必要な HTTP 制限がことをあります。 ただし、これは ASDM イメージが ASA にあるように要求しません。

関連情報



Document ID: 116403