Seguridad : Cisco Adaptive Security Device Manager

Problemas de conexión ASA al Cisco Adaptive Security Device Manager

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento proporciona la metodología de Troubleshooting necesaria examinar los problemas hechos frente cuando usted accede/configuración el dispositivo de seguridad adaptante de Cisco (ASA) con el Cisco Adaptive Security Device Manager (ASDM). El ASDM entrega la Administración de seguridad y los servicios de supervisión para los dispositivos de seguridad a través de una interfaz de administración gráfica.

Contribuido por Ishwinder Cheema y Jay Johnston, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Los escenarios, los síntomas, y los pasos enumerados en este documento se escriben para resolver problemas los problemas después de que la configuración inicial se configure en el ASA. Para la configuración inicial, refiera al acceso del ASDM que configura para la sección de los dispositivos de la guía de Configuración de ASDM de los funcionamientos generales de la serie de Cisco ASA, 7.1.

Este documento utiliza el ASA CLI para resolver problemas, que requiere el acceso del Secure Shell (SSH) /Telnet/Console al ASA.

Componentes Utilizados

La información en este documento se basa en el ASDM y el ASA.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Metodología de Troubleshooting

Hay tres puntas de la falla principal en las cuales este documento de Troubleshooting se centra. Si usted se adhiere al proceso de Troubleshooting general en esta orden, este documento debe ayudarle a determinar el problema exacto con el uso/el acceso del ASDM.

  • Configuración ASA
  • Conectividad de red
  • Software de aplicación

Configuración ASA

Hay tres configuraciones esenciales que están presentes en el ASA que es necesario para acceder con éxito el ASDM:

  • Imagen de ASDM en el Flash
  • Imagen de ASDM funcionando
  • Restricciones del servidor HTTP

Imagen de ASDM en el Flash

Aseegurese que la versión requerida del ASDM está cargada al flash. Puede cualquiera ser cargada con actualmente la versión del funcionamiento del ASDM o con otros métodos convencionales de transferencia de archivos al ASA, tal como TFTP.

Ingrese el flash de la demostración en el ASA CLI para ayudarle a enumerar los archivos presentes en memoria flash ASA. Marque para saber si hay la presencia del archivo del ASDM:

ciscoasa# show flash --#--  --length--  -----date/time------  path

249 76267 Feb 28 2013 19:58:18 startup-config.cfg
250 4096 May 12 2013 20:26:12 sdesktop
251 15243264 May 08 2013 21:59:10 asa823-k8.bin
252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin
253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image

Para verificar más lejos si la imagen presente en el flash es válida y no corromper, usted puede utilizar el comando verify para comparar el hash salvado MD5 en el paquete de software y el hash MD5 del presente real del archivo:

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

Este paso debe ayudarle a verificar si la imagen es presente y su integridad en el ASA.

Imagen de ASDM funcionando

Este proceso se define bajo Configuración de ASDM en el ASA. Una definición de la configuración de muestra de la imagen actual que es parecer usados esto:

imagen disk0:/asdm-702.bin del asdm

Para verificar más lejos, usted puede también utilizar el comando de la imagen del asdm de la demostración:

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

Restricciones del servidor HTTP

Este paso es esencial en la Configuración de ASDM, porque define que las redes tienen acceso al ASA. Una configuración de muestra parece esto:

http server enable
http 192.168.1.0 255.255.255.0 inside

http 64.0.0.0 255.0.0.0 outside

Verifique que usted haga las redes necesarias definir en la configuración previa. La ausencia de esas definiciones hace el activador de ASDM medir el tiempo hacia fuera mientras que conecta y da este error:

Se visualiza la página del lanzamiento del ASDM (dirección IP >/admin de https:// <ASA) causa la petición de medir el tiempo hacia fuera y ninguna página.

Verifique más lejos que el servidor HTTP utilice un puerto no estándar para la conexión del ASDM, tal como 8443. Esto se resalta en la configuración:

HTTP del funcionamiento de la demostración del ciscoasa(config)#

permiso 8443 del servidor HTTP

Si utiliza un puerto no estándar, usted necesita especificar el puerto cuando usted conecta con el ASA en el activador de ASDM como:

Esto también solicita cuando usted accede la página del lanzamiento del ASDM: https://10.106.36.132:8443/admin

Otros problemas de la configuración posible

Después de que usted complete los pasos anteriores, el ASDM debe abrirse si todo es funcional en el lado del cliente. Sin embargo, si usted todavía experimenta los problemas, abra el ASDM de otra máquina. Si usted tiene éxito, el IS-IS del problema probablemente en el nivel de aplicación, y la configuración ASA está muy bien. Sin embargo, si todavía no puede iniciar, complete estos pasos para verificar más lejos las configuraciones del ASA-lado:

  1. Verifique la configuración de Secure Sockets Layer (SSL) en el ASA. El ASDM utiliza el SSL mientras que comunica con el ASA. De acuerdo con la manera que se inicia el ASDM, un más nuevo software de sistema operativo no pudo permitir el uso de cifras más débiles cuando negocia a las sesiones SSL.

    Verifique qué cifras se permiten en el ASA, y si especifican a algunos SSL versión específicos en la configuración con la demostración funcione con todo el comando SSL:
    ciscoasa# show run all ssl
    ssl server-version any <--- Check SSL Version restriction configured on the ASA
    ssl client-version any
    ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
    permitted on the ASA
    Si hay algunos errores de negociación de la cifra SSL mientras que los lanzamientos del ASDM, ellos visualizan en los registros ASA:
    %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
    no shared cipher
    %ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
    identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
    Si usted ve las configuraciones específicas, inviértalas al valor por defecto.

    Note que la licencia VPN-3DES-AES necesita ser habilitada en el ASA para que las cifras 3DES y AES sean utilizadas por el ASA en la configuración. Esto se puede verificar con el comando show version en el CLI. Las visualizaciones de la salida como esto:
    ciscoasa#show version

    Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
    Internal ATA Compact Flash, 64MB
    Slot 1: ATA Compact Flash, 32MB
    BIOS Flash M50FW080 @ 0xffe00000, 1024KB
    <snip>
    Failover            : Active/Active
    VPN-DES             : Enabled  
    VPN-3DES-AES        : Enabled
    <snip>
    Una licencia VPN-3DES-AES se puede obtener sin ningún coste de Cisco que autoriza el sitio web. Haga clic los productos de seguridad, y después elija la licencia de Cisco ASA 3DES/AES.

    Nota: En las nuevas Plataformas ASA 5500-X que envían con el código 8.6/9.x, las configuraciones de la cifra SSL se fijan al des-sha1 por abandono, que hace a las sesiones ASDM no trabajar. Refiera al ASA 5500-x: El ASDM y la otra función SSL no se resuelven del artículo del cuadro para más información.

  2. Verifique que el WebVPN esté habilitado en el ASA. Si se habilita, usted necesita utilizar este URL (https://10.106.36.132/admin) para accederlo cuando usted accede la página del lanzamiento de la red del ASDM.

  3. Marque para saber si hay una configuración del Network Address Translation (NAT) en el ASA para el puerto 443. Esto hace el ASA no procesar los pedidos el ASDM sino enviarlos bastante a la red/a la interfaz para las cuales se ha configurado el NAT.

  4. Si se verifica todo y el ASDM todavía mide el tiempo hacia fuera, verifique que el ASA esté configurado para escuchar en el puerto definido el ASDM con el comando socket de la tabla de la demostración ASP en el ASA CLI. La salida debe mostrar que el ASA escucha en el puerto del ASDM:
    Protocol  Socket    Local Address               Foreign Address         State
    SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN
    Si esta salida no visualiza, quite y reaplique la configuración de servidor HTTP en el ASA para reajustar el socket en el software ASA.

  5. Si usted experimenta los problemas cuando usted inicia sesión/autentique al ASDM, verifican que las opciones de autenticación para el HTTP están configuradas correctamente. Si no se fija a ningunos comandos authentication, usted puede utilizar la contraseña habilitada ASA para iniciar sesión al ASDM. Si usted quiere habilitar el nombre de usuario/la autenticación passoword-basada, usted necesita ingresar esta configuración para autenticar las sesiones ASDM/HTTP al ASA del nombre de usuario/de la base de datos de contraseñas ASA:
    aaa authentication http console LOCAL
    Recuerde crear un nombre de usuario/una contraseña cuando usted habilita el comando anterior:
    username <username> password <password> priv <Priv level>
    Si ningunos de estos pasos ayudan, estas opciones del debug están disponibles en el ASA para la investigación adicional:
    debug http 255
    debug asdm history 255

Conectividad de red

Si usted ha completado la sección anterior y no puede todavía acceder el ASDM, el siguiente paso es verificar la conectividad de red a su ASA de la máquina de la cual usted quiere acceder el ASDM. Hay algunos pasos básicos para Troubleshooting para verificar que el ASA recibe la petición de la máquina del cliente:

  1. Pruebe con el Internet Control Message Protocol (ICMP).
    Haga ping la interfaz ASA de la cual usted quiere acceder el ASDM. El ping debe ser acertado si el ICMP se permite atravesar su red y no hay restricciones en el nivel de la interfaz ASA. Si el ping falla, está probablemente porque hay un problema de comunicación entre el ASA y la máquina del cliente. Sin embargo, esto no es un paso concluyente a determinar que hay ese tipo de problema de comunicación.

  2. Confirme con la captura de paquetes.
    Ponga a una captura de paquetes en la interfaz de la cual usted quiere acceder el ASDM. La captura debe mostrar que los paquetes TCP destinados a la dirección IP de la interfaz llegan con el número de puerto de destino 443 (valor por defecto).

    Para configurar una captura, utilice este comando:
    capture asdm_test interface <name of the ASA interface> match tcp host 
    <IP address of the interface> eq 443 host <IP address of the client machine>

    For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
    eq 443 host 10.106.36.13
    El captura tráfico TCP que viene para el puerto 443 en la interfaz ASA de la cual usted conecta con el ASDM. Conecte vía el ASDM en este momento o abra la página del lanzamiento de la red del ASDM. Entonces utilice el comando más asdm_test de la captura de la demostración para ver el resultado de los paquetes capturados:
    ciscoasa# show capture asdm_test

    Three packets captured

       1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

       2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

       3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
    Esta captura muestra una petición de la sincronización (SYN) de la máquina del cliente al ASA, pero el ASA no envía ninguna respuesta. Si usted ve una captura similar la anterior, significa que el alcance de los paquetes el ASA sino el ASA no responde a esas peticiones, que aísla el problema al ASA sí mismo. Refiera a la primera sección de este documento para resolver problemas más lejos.

    Sin embargo, si usted no ve que no se captura la salida similar al anterior y ningunos paquetes, significa que hay un problema de conectividad entre el ASA y la máquina del cliente del ASDM. Verifique que no haya dispositivos intermediarios que pudieron bloquear el tráfico del puerto TCP 443 y que allí no son ninguna configuración del buscador, tal como configuraciones de representación, que podrían evitar que el tráfico alcance el ASA.

    Típicamente, la captura de paquetes es una buena manera de determinar si la trayectoria al ASA está clara, y si otros diagnósticos no pudieron ser necesarios eliminar los problemas de conectividad de red.

Software de aplicación

Esta sección describe cómo resolver problemas el software del activador de ASDM que ha estado instalado en la máquina del cliente cuando falla iniciar/carga. El activador de ASDM es el componente que reside en la máquina del cliente y conecta con el ASA para extraer la Imagen de ASDM. Una vez que está extraída, la Imagen de ASDM se salva en el caché y se toma generalmente de allí hasta que cualquier cambio se note en el lado ASA, tal como una actualización de la Imagen de ASDM.

Complete estos pasos básicos para Troubleshooting para eliminar cualquier problema en la máquina del cliente:

  1. Abra la página del lanzamiento del ASDM de otra máquina. Si inicia, significa que el problema está con la máquina del cliente en la pregunta. Si falla, siga el guía de Troubleshooting desde el principio para aislar los componentes implicados en la orden.

  2. Abra el ASDM vía el lanzamiento de la red, y ponga en marcha el software directamente de allí. Si tiene éxito, es probable que haya problemas con la instalación del activador de ASDM. Desinstale el activador de ASDM de la máquina del cliente, y reinstalelo del lanzamiento sí mismo de la red ASA.

  3. Borre el directorio de caché ASDM en el directorio de inicio del usuario. Por ejemplo, en Windows 7, se localiza aquí: <username> \ .asdm \ caché de C:\Users\. Se borra el caché cuando usted borra el directorio de caché entero. Si el ASDM comienza con éxito, usted puede también claro el caché dentro del menú de archivos del ASDM.

  4. Verifique que la versión Java adecuada esté instalada. Los Release Note del ASDM de Cisco enumeran los requisitos para las versiones de Java probadas.

  5. Borre el caché de las Javas. En el panel de control Java, elija el general > el Archivo de Internet temporario. Entonces, la opinión del tecleo para iniciar una Java oculta el Visualizador. Borre todas las entradas que se refieran o se relacionen con el ASDM.

  6. Si estos pasos fallan, recoja la información de debugging de la máquina del cliente para la investigación adicional. Habilite el debugging para el ASDM con el URL: https:// < dirección IP del ASA>?debug=5 e.g. https://10.0.0.1?debug=5.

    Con la versión de Java 6 (también llamada versión 1.6), los mensajes de debugging de las Javas se habilitan del panel de control Java > avanzado. Entonces seleccione las casillas de verificación bajo debugging. No seleccione no encienden la consola bajo la consola Java. El debugging de las Javas debe ser habilitado antes de que el ASDM comience.


    Registran a la salida de la consola Java en el .asdm/el directorio del registro del directorio de inicio de usuario. Los registros del ASDM se pudieron también encontrar en el mismo directorio. Por ejemplo, en Windows 7, los registros están bajo C:\Users\ <username>/.asdm/log/.

Funcione con los comandos con el HTTPS

Este procedimiento ayuda a determinar cualquier problema de la capa 7 para el canal HTTP. Esta información prueba útil cuando usted es en una situación donde no está accesible la aplicación ASDM sí mismo, y no hay ningún acceso CLI disponible manejar el dispositivo.

El URL que se utiliza para acceder la página del lanzamiento de la red del ASDM se puede también utilizar para funcionar con cualquier comando del configuración-nivel en el ASA. Este URL se puede utilizar para realizar los cambios de configuración en un nivel básico al ASA, que incluye una recarga del dispositivo remoto. Para ingresar un comando, utilice este sintaxis:

https:// < dirección IP del ASA>/admin/exec/<command>

Si hay un espacio en el comando y el navegador no puede analizar los caracteres de espacio en un URL, usted puede utilizar + muestra o %20 de indicar el espacio.

Por ejemplo, el ver de https://10.106.36.137/admin/exec/show da lugar a una demostración version output al navegador:

Este método de ejecución del comando requiere que habiliten al servidor HTTP en el ASA y tiene las restricciones necesarias HTTP activas. Sin embargo, esto no requiere una Imagen de ASDM estar presente en el ASA.

Información Relacionada



Document ID: 116403