Безопасность : Cisco Adaptive Security Device Manager

Проблемы с подключением ASA к Cisco Adaptive Security Device Manager

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет методику устранения проблем, необходимую для исследования проблем, столкнутых при доступе к устройству адаптивной защиты Cisco (ASA) с Cisco Adaptive Security Device Manager (ASDM). ASDM отправляет управление системой безопасности и сервисы мониторинга для устройств безопасности через графический интерфейс управления.

Внесенный Ишвиндером Чеемой и Джеем Джонстоном, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Сценарии, признаки и шаги, перечисленные в этом документе, записаны для того, чтобы решить проблемы после того, как начальная конфигурация будет установлена на ASA. Для начальной конфигурации обратитесь к Доступу ASDM Настройки для раздела Устройств Руководства по конфигурации ASDM Общих функционирований Серии Cisco ASA, 7.1.

Этот документ использует CLI ASA для устранения проблем, которое требует Secure Shell (SSH)/Telnet/Console доступ к ASA.

Используемые компоненты

Сведения в этом документе основываются на ASDM и ASA.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Методика устранения проблем

Существует три точки серьезного сбоя, на которых фокусируется эта документация по устранению проблем. Если вы придерживаетесь процесса общей информации по устранению проблем в этом заказе, этот документ должен помочь вам определять точную проблему с использованием/доступом ASDM.

  • Конфигурация ASA
  • Сетевое подключение
  • Прикладное программное обеспечение

Конфигурация ASA

Существует три существенных конфигурации, которые присутствуют на ASA, которые необходимы для успешного доступа к ASDM:

  • Образ ASDM во Флэше
  • Образ ASDM в использовании
  • Ограничения сервера HTTP

Образ ASDM во Флэше

Удостоверьтесь, что необходимая версия ASDM загружена к флэш-памяти. Это может или быть загружено с в настоящее время выполняемой версией ASDM или с другими условными методами передачи файла к ASA, такими как TFTP.

Введите show flash в CLI ASA, чтобы помочь вам перечислять подарок файлов на флэш-памяти ASA. Проверьте для присутствия файла ASDM:

ciscoasa# show flash --#--  --length--  -----date/time------  path

249 76267 Feb 28 2013 19:58:18 startup-config.cfg
250 4096 May 12 2013 20:26:12 sdesktop
251 15243264 May 08 2013 21:59:10 asa823-k8.bin
252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin
253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image

Чтобы далее проверить, допустим ли подарок образа на флэш-памяти и не поврежден, можно использовать команду verify для сравнения сохраненного хэша MD5 в пакете ПО и хэша MD5 фактического подарка файла:

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash     MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

Этот шаг должен помочь вам проверять, присутствует ли образ и его целостность на ASA.

Образ ASDM в использовании

Этот процесс определен под конфигурацией ASDM на ASA. Определение примера конфигурации текущего образа, который используется, похоже на это:

asdm отображают disk0:/asdm-702.bin

Для дальнейшей проверки можно также использовать показ asdm, отображают команду:

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

Ограничения сервера HTTP

Этот шаг важен в конфигурации ASDM, потому что это определяет, какие сети имеют доступ к ASA. Пример конфигурации похож на это:

http server enable
http 192.168.1.0 255.255.255.0 inside

http 64.0.0.0 255.0.0.0 outside

Проверьте, что вам определили нужные сети в предыдущей конфигурации. Отсутствие тех определений заставляет модуль запуска ASDM испытывать таймаут, в то время как это подключает и дает эту ошибку:

Страница запуска ASDM (https://<IP-адрес ASA> / admin) вызывает запрос испытать таймаут, и никакая страница не отображена.

Далее проверьте, что сервер HTTP использует нестандартный порт для соединения ASDM, такой как 8443. Это выделено в конфигурации:

CiscoASA (config) # показывает выполненный http

http server включает 8443

Если это использует нестандартный порт, необходимо задать порт, когда вы соединяетесь с ASA в модуле запуска ASDM как:

Это также просит при доступе к странице запуска ASDM: https://10.106.36.132:8443/admin

Другие проблемы возможной конфигурации

После того, как вы выполняете предыдущие шаги, ASDM должен открыться, если все функционально на клиентской стороне. Однако, если вы все еще испытываете проблемы, открываете ASDM от другой машины. Если вы успешно выполняетесь, проблема, вероятно, на прикладном уровне, и конфигурация ASA прекрасна. Однако, если это все еще не в состоянии запускать, выполните эти шаги для дальнейшей проверки конфигураций стороны ASA:

  1. Проверьте конфигурацию Уровня защищенных сокетов (SSL) на ASA. ASDM использует SSL, в то время как это связывается с ASA. На основе пути запущен ASDM, более новое операционное программное обеспечение не могло бы позволить использование более слабых шифров, когда это выполняет согласование о сеансах SSL.

    Проверьте, какие шифры позволены на ASA, и если какие-либо определенные версии SSL заданы в конфигурации с показом выполняет всю ssl команду:
    ciscoasa# show run all ssl
    ssl server-version any <--- Check SSL Version restriction configured on the ASA
    ssl client-version any
    ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
    permitted on the ASA
    Если существуют какие-либо ошибки согласования шифра SSL, в то время как ASDM запускает, они отображаются в журналах ASA:
    %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
    no shared cipher
    %ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
    identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
    Если вы видите определенные параметры настройки, возвращаетесь их к по умолчанию.

    Заметьте, что лицензия AES VPN-3DES должна быть позволена на ASA для 3DES и шифров AES использоваться ASA в конфигурации. Это может быть проверено с командой Show version на CLI. Выходные данные отображаются как это:
    ciscoasa#show version

    Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
    Internal ATA Compact Flash, 64MB
    Slot 1: ATA Compact Flash, 32MB
    BIOS Flash M50FW080 @ 0xffe00000, 1024KB
    <snip>
    Failover           : Active/Active
    VPN-DES            : Enabled  
    VPN-3DES-AES       : Enabled
    <snip>
    Лицензия AES VPN-3DES может быть получена бесплатно из Сайта лицензирования Cisco. Нажмите Security Products, и затем выберите Cisco ASA 3DES/AES License.

    Примечание: В новом ASA 5500-X платформы, которые отправляют с кодом 8.6/9.x, параметры настройки шифра SSL, установлены в des-sha1 по умолчанию, который заставляет сеансы ASDM не работать. См. 5500-x ASA: ASDM и другая функция SSL не работают из статьи коробки для получения дополнительной информации.

  2. Проверьте, что WebVPN включают на ASA. Если это включено, необходимо использовать этот URL (https://10.106.36.132/admin) для доступа к нему при доступе к веб-странице запуска ASDM.

  3. Проверьте для конфигурации Технологии NAT на ASA для порта 443. Это заставляет ASA не обрабатывать запросы о ASDM, а скорее передавать им к сети/интерфейсу, для которой был настроен NAT.

  4. Если все проверено, и ASDM все еще испытывает таймаут, проверьте, что ASA установлен для прослушивания на порту, определенном для ASDM с командой show asp table socket на CLI ASA. Выходные данные должны показать, что ASA слушает на порту ASDM:
    Protocol Socket   Local Address              Foreign Address        State
    SSL      0001b91f 10.106.36.132:443          0.0.0.0:*              LISTEN
    Если эти выходные данные не отображают, удаляют и повторно применяют конфигурацию сервера HTTP на ASA для сброса сокета на программном обеспечении ASA.

  5. При испытании проблем, когда вы регистрируете в/аутентифицировать к ASDM, проверяете, что параметры проверки подлинности для HTTP установлены правильно. Если никакие команды проверки подлинности не установлены, можно использовать enable password ASA для регистрации к ASDM. Если вы хотите включить username/passoword-based аутентификацию, необходимо ввести эту конфигурацию для аутентификации ASDM/СЕАНСОВ HTTP на ASA от имени пользователя/базы данных паролей ASA:
    aaa authentication http console LOCAL
    Не забудьте создавать имя пользователя/пароль, когда вы выполните предыдущую команду:
    username <username> password <password> priv <Priv level>
    Если ни один из этих шагов не помогает, эти параметры отладки доступны на ASA для дополнительного исследования:
    debug http 255
    debug asdm history 255

Сетевое подключение

Если вы завершили предыдущий раздел и все еще неспособны обратиться к ASDM, следующий шаг должен проверить сетевое подключение к вашему ASA от машины, от которой вы хотите обратиться к ASDM. Существует несколько основных действий по устранению проблем, чтобы проверить, что ASA получает запрос от клиентского компьютера:

  1. Тест с протоколом ICMP.
    Пропингуйте интерфейс ASA, от которого вы хотите обратиться к ASDM. Эхо-запрос должен быть успешным, если ICMP позволяют пересечь вашу сеть и нет никаких ограничений на уровень интерфейса ASA. Если эхо-запрос отказывает, это, вероятно, потому что существует проблема подключения между ASA и клиентским компьютером. Однако это не окончательный шаг, чтобы решить, что существует тот тип проблемы подключения.

  2. Подтвердите с захватом пакета.
    Разместите захват пакета в интерфейс, от которого вы хотите обратиться к ASDM. Перехват должен показать, что пакеты TCP, предназначенные к IP-адресу интерфейса, поступают с номером порта назначения 443 (по умолчанию).

    Для настройки перехвата используйте эту команду:
    capture asdm_test interface <name of the ASA interface> match tcp host 
    <IP address of the interface> eq 443 host <IP address of the client machine>

    For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
    eq 443 host 10.106.36.13
    Это перехватывает любой Трафик TCP, который прибывает для порта 443 в интерфейс ASA, от которого вы соединяетесь с ASDM. Подключение через ASDM на этом этапе или открытый сеть ASDM запускает страницу. Затем используйте show capture asdm_test команда для просмотра результата перехваченных пакетов:
    ciscoasa# show capture asdm_test

    Three packets captured

      1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

      2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

      3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
    Этот перехват показывает синхронизировать (SYN) запрос от клиентского компьютера до ASA, но ASA не передает ответа. Если вы видите перехват, подобный предыдущему, это означает, что пакеты достигают ASA, но ASA не отвечает на те запросы, который изолирует проблему к самому ASA. См. первый раздел этого документа для устранения проблем далее.

    Однако, если вы не видите выходные данные, подобные предыдущему, и никакие пакеты не перехвачены, это означает, что существуют неполадки подключения между ASA и клиентским компьютером ASDM. Проверьте, что нет никаких посреднических устройств, которые могли бы заблокировать порт TCP 443 трафика и что нет никаких настроек обозревателя, таких как Параметры прокси, которые могли препятствовать тому, чтобы трафик достиг ASA.

    Как правило, захват пакета является хорошим способом определить, ясен ли путь к ASA, и если дальнейшая диагностика не могла бы быть необходима для исключения сбоев сетевого подключения.

Прикладное программное обеспечение

В этом разделе описывается устранить неполадки программного обеспечения модуля запуска ASDM, которое было установлено на клиентском компьютере, когда это не в состоянии запускать/загружать. Модуль запуска ASDM является компонентом, который находится на клиентском компьютере и подключениях к ASA для получения образа ASDM. После того, как полученный, образ ASDM обычно сохранен в кэше и взят оттуда, пока любые изменения не замечены на стороне ASA, такой как обновление образа ASDM.

Завершите эти основные действия по устранению проблем для исключения любых проблем на клиентском компьютере:

  1. Откройте страницу запуска ASDM от другой машины. Если это запускает, это означает, что проблема с рассматриваемым клиентским компьютером. Если это отказывает, придерживайтесь руководства по поиску и устранению проблем с начала изолировать включенные компоненты в заказе.

  2. Откройте ASDM через веб-запуск и запустите программное обеспечение непосредственно оттуда. Если это успешно выполняется, вероятно, что существуют проблемы с установкой модуля запуска ASDM. Деинсталлируйте модуль запуска ASDM от клиентского компьютера и повторно установите, это от сети ASA начинается.

  3. Очистите каталог кэша ASDM в главном каталоге пользователя. Например, в Windows 7, это расположено здесь: C : \Users \<username> \.asdm\cache. Кэш очищен при удалении всего каталога кэша. Если ASDM запускается успешно, можно также очистить кэш из Меню Файл ASDM.

  4. Проверьте, что установлена соответствующая версия Java. Комментарии к выпуску Cisco ASDM перечисляют требования для протестированных Версий Java.

  5. Очистите кэш Java. В Панели управления Java выберите General> Temporary Internet File. Затем нажмите View для запуска Средства просмотра Кэша Java. Удалите все записи, которые обращаются к или отнесены к ASDM.

  6. Если эти шаги отказывают, собирают информацию об отладке от клиентского компьютера для дополнительного исследования. Включите отладку для ASDM с URL: https://адрес <IP ASA>? debug=5, например, https://10.0.0.1? debug=5.

    С Версией Java 6 (также названный Версией 1.6), сообщения отладки Java включены от Панели управления Java> Усовершенствованные. Затем установите флажки при Отладке. Не выбирайте Do not start console under the Java console. Отладка Java должна быть включена, прежде чем ASDM запускается.


    Вывод на консоль Java зарегистрирован в .asdm/log каталоге главного каталога пользователя. Журналы ASDM могли бы также быть найдены в том же каталоге. Например, в Windows 7, журналы находятся под C:\Users\<username>/.asdm/log/.

Команды выполнения с HTTPS

Эта процедура помогает определять любые проблемы Уровня 7 для канала HTTP. Эта информация оказывается полезной, когда вы находитесь в ситуации, где само приложение ASDM не доступно, и нет никакого доступа CLI, доступного для управления устройством.

URL, который используется для доступа к веб-странице запуска ASDM, может также использоваться для выполнения любых команд уровня конфигурации на ASA. Этот URL может использоваться для изменения конфигурацию на базовом уровне ASA, который включает повторную загрузку удаленного устройства. Для ввода команды используйте этот синтаксис:

https://адрес <IP ASA>/admin/exec / <команда>

Если существует пространство в команде, и браузер неспособен проанализировать пробелы в URL, можно использовать + знак или %20 для указания на пространство.

Например, https://10.106.36.137/admin/exec/show версия приводит к выходным данным show version к браузеру:

Этот метод выполнения команды требует, чтобы сервер HTTP был включен на ASA и имел необходимые активные ограничения HTTP. Однако это НЕ требует, чтобы образ ASDM присутствовал на ASA.

Дополнительные сведения



Document ID: 116403