In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird die Methode zur Fehlerbehebung beschrieben, die erforderlich ist, um Probleme beim Zugriff auf/bei der Konfiguration der Cisco ASA mit Cisco ASDM zu untersuchen.
Die in diesem Dokument aufgeführten Szenarien, Symptome und Schritte dienen der Behebung von Problemen, nachdem die Erstkonfiguration der Adaptive Security Appliance (ASA) abgeschlossen ist. Weitere Informationen zur Erstkonfiguration finden Sie im Abschnitt Configuring ASDM Access for Appliances (Konfigurieren des ASDM-Zugriffs für Appliances) im Cisco ASA Series General Operations Adaptive Security Device Manager (ASDM) Configuration Guide, 7.1.
In diesem Dokument wird die ASA-CLI zur Fehlerbehebung verwendet. Hierfür ist SSH (Secure Shell)/Telnet/Konsole für den Zugriff auf die ASA erforderlich.
Die Informationen in diesem Dokument basieren auf ASA und ASDM.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
ASDM bietet Sicherheits-Management- und Überwachungsservices für Security Appliances über eine grafische Verwaltungsoberfläche.
Es gibt drei Hauptfehlerpunkte, auf die sich dieses Dokument zur Fehlerbehebung konzentriert. Wenn Sie den allgemeinen Fehlerbehebungsprozess in dieser Reihenfolge befolgen, hilft Ihnen dieses Dokument, das genaue Problem mit der Verwendung/dem Zugriff von ASDM zu ermitteln.
Die ASA verfügt über drei grundlegende Konfigurationen, die für den erfolgreichen Zugriff auf den ASDM erforderlich sind:
Stellen Sie sicher, dass die erforderliche Version des ASDM in den Flash-Speicher hochgeladen wird. Es kann entweder mit der aktuell ausgeführten Version des ASDM hochgeladen werden oder mit anderen konventionellen Methoden der Dateiübertragung an die ASA, wie TFTP.
Geben Sie show flash in der ASA-CLI ein, um die Dateien aufzulisten, die sich im ASA-Flash-Speicher befinden. Überprüfen Sie, ob die ASDM-Datei vorhanden ist:
ciscoasa# show flash --#-- --length-- -----date/time------ path 249 76267 Feb 28 2013 19:58:18 startup-config.cfg 250 4096 May 12 2013 20:26:12 sdesktop 251 15243264 May 08 2013 21:59:10 asa823-k8.bin 252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin 253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image
Um weiter zu überprüfen, ob das im Flash vorhandene Image gültig und nicht beschädigt ist, können Sie den Befehl verify verwenden, um den gespeicherten MD5-Hash im Softwarepaket mit dem MD5-Hash der tatsächlich vorhandenen Datei zu vergleichen:
ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin
Mit diesem Schritt können Sie überprüfen, ob das Image vorhanden ist und ob es auf dem ASA-Gerät geschützt ist.
Dieser Prozess wird in der ASDM-Konfiguration auf der ASA definiert. Eine Beispielkonfigurationsdefinition des aktuellen verwendeten Abbilds sieht wie folgt aus:
asdm image disk0:/asdm-702.bin
Sie können auch den Befehl show asdm image verwenden, um weitere Informationen zu erhalten:
ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin
Dieser Schritt ist für die ASDM-Konfiguration wichtig, da er definiert, welche Netzwerke Zugriff auf die ASA haben. Eine Beispielkonfiguration sieht wie folgt aus:
http server enable
http 192.168.1.0 255.255.255.0 inside
http 10.0.0.1 255.0.0.0 outside
Überprüfen Sie, ob die erforderlichen Netzwerke in der vorherigen Konfiguration definiert wurden. Das Fehlen dieser Definitionen führt dazu, dass der ASDM-Launcher beim Herstellen der Verbindung eine Zeitüberschreitung aufweist, und gibt den folgenden Fehler aus:
Die ASDM-Startseite (https://<ASA-IP-Adresse>/admin) verursacht ein Timeout für die Anforderung, und es wird keine Seite angezeigt.
Überprüfen Sie außerdem, ob der HTTP-Server einen nicht standardmäßigen Port für die ASDM-Verbindung verwendet, z. B. 8443. Dies wird in der Konfiguration hervorgehoben:
ciscoasa(config)# show run http
HTTP-Server - Aktivieren 8443
Wenn ein nicht standardmäßiger Port verwendet wird, müssen Sie den Port für die Verbindung mit der ASA im ASDM-Launcher wie folgt angeben:
Dies gilt auch für den Zugriff auf die ASDM-Startseite: https://10.106.36.132:8443/admin
Nachdem Sie die vorherigen Schritte durchgeführt haben, kann der ASDM geöffnet werden, wenn auf der Client-Seite alles funktioniert. Wenn dennoch Probleme auftreten, öffnen Sie den ASDM von einem anderen Computer. Wenn Sie Erfolg haben, liegt das Problem wahrscheinlich auf Anwendungsebene, und die ASA-Konfiguration ist in Ordnung. Sollte der Start jedoch weiterhin fehlschlagen, führen Sie die folgenden Schritte aus, um die ASA-Konfigurationen zu überprüfen:
ciscoasa# show run all sslWenn beim Start des ASDM SSL-Verschlüsselungsverhandlungsfehler auftreten, werden diese in den ASA-Protokollen angezeigt:
ssl server-version any <--- Check SSL Version restriction configured on the ASA
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
permitted on the ASA
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:Wenn Sie bestimmte Einstellungen sehen, setzen Sie sie auf die Standardeinstellungen zurück. Beachten Sie, dass die VPN-3DES-AES-Lizenz auf der ASA aktiviert sein muss, damit die 3DES- und AES-Chiffren von der ASA in der Konfiguration verwendet werden können. Dies kann mit dem Befehl show version in der CLI überprüft werden. Die Ausgabe wird wie folgt angezeigt:
no shared cipher
%ASA-6-302014: Teardown TCP connection 3 for mgmt:10.103.236.189/52501 to
identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
ciscoasa#show versionEine VPN-3DES-AES-Lizenz kann kostenlos von der Cisco Lizenzierungs-Website bezogen werden. Klicken Sie auf Security Products, und wählen Sie dann Cisco ASA 3DES/AES License (Cisco ASA 3DES/AES-Lizenz).
Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 64MB
Slot 1: ATA Compact Flash, 32MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
<snip>
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
<snip>
Hinweis: Auf den neuen ASA 5500-X-Plattformen, die mit 8.6/9.x ausgeliefert werden, sind die SSL-Verschlüsselungseinstellungen standardmäßig auf des-sha1 festgelegt, was dazu führt, dass die ASDM-Sitzungen nicht funktionieren. Weitere Informationen finden Sie im Artikel zur ASA 5500-x: ASDM- und andere SSL-Funktionen funktionieren nicht sofort.
Protocol Socket Local Address Foreign Address StateWenn diese Ausgabe nicht angezeigt wird, entfernen Sie die HTTP-Serverkonfiguration auf der ASA, und wenden Sie sie erneut an, um den Socket der ASA-Software zurückzusetzen.
SSL 0001b91f 10.106.36.132:443 0.0.0.0:* LISTEN
aaa authentication http console LOCALDenken Sie daran, einen Benutzernamen/ein Kennwort zu erstellen, wenn Sie den vorherigen Befehl aktivieren:
username <username> password <password> priv <Priv level>Wenn keiner dieser Schritte hilfreich ist, stehen die folgenden Debug-Optionen auf dem ASA zur weiteren Untersuchung zur Verfügung:
debug http 255
debug asdm history 255
Wenn Sie den vorherigen Abschnitt abgeschlossen haben und weiterhin nicht auf den ASDM zugreifen können, müssen Sie im nächsten Schritt die Netzwerkverbindung zu Ihrer ASA von dem Computer überprüfen, von dem aus Sie auf den ASDM zugreifen möchten. Es gibt einige grundlegende Schritte zur Fehlerbehebung, um sicherzustellen, dass die ASA die Anforderung vom Client-Computer erhält:
Verwenden Sie den folgenden Befehl, um eine Erfassung zu konfigurieren:
capture asdm_test interfacematch tcp host
eq 443 host
For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
eq 443 host 10.106.36.13
Dadurch wird der TCP-Datenverkehr erfasst, der für Port 443 an der ASA-Schnittstelle eingeht, von der aus Sie eine Verbindung zum ASDM herstellen. Zu diesem Zeitpunkt Verbindung über ASDM herstellen oder die ASDM-Startseite öffnen. Verwenden Sie dann den Befehl show capture asdm_test, um das Ergebnis der erfassten Pakete anzuzeigen:
ciscoasa# show capture asdm_test
Three packets captured
1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
Diese Erfassung zeigt eine Synchronisierungsanforderung (SYN) vom Client-System an die ASA, die jedoch keine Antwort sendet. Wenn Ihnen eine Aufzeichnung ähnlich wie die vorherige angezeigt wird, bedeutet dies, dass die Pakete die ASA erreichen, die ASA jedoch nicht auf diese Anfragen reagiert. Dadurch wird das Problem gegenüber der ASA selbst isoliert. Im ersten Abschnitt dieses Dokuments finden Sie weitere Informationen zur Fehlerbehebung.
Wenn die Ausgabe jedoch nicht ähnlich wie beim vorherigen Beispiel aussieht und keine Pakete erfasst werden, liegt ein Verbindungsproblem zwischen der ASA und dem ASDM-Client-Computer vor. Vergewissern Sie sich, dass keine zwischengeschalteten Geräte den Datenverkehr des TCP-Ports 443 blockieren können und dass keine Browsereinstellungen (z. B. Proxy-Einstellungen) vorhanden sind, die verhindern könnten, dass der Datenverkehr die ASA erreicht.
In der Regel stellt die Paketerfassung eine gute Möglichkeit dar, um festzustellen, ob der Pfad zur ASA eindeutig ist und ob keine weitere Diagnose erforderlich ist, um Probleme mit der Netzwerkverbindung zu vermeiden.
In diesem Abschnitt wird die Fehlerbehebung für die ASDM-Launcher-Software beschrieben, die auf dem Client-Computer installiert wurde, wenn sie nicht gestartet bzw. geladen werden kann. Der ASDM-Launcher ist die Komponente, die sich auf dem Client-Computer befindet und mit der ASA verbunden ist, um das ASDM-Image abzurufen. Nach dem Abruf wird das ASDM-Image in der Regel im Cache gespeichert und von dort übernommen, bis auf der ASA-Seite Änderungen festgestellt werden, z. B. eine Aktualisierung des ASDM-Images.
Führen Sie die folgenden grundlegenden Schritte zur Fehlerbehebung aus, um alle Probleme auf dem Client-Computer auszuschließen:
Mit diesem Verfahren können Sie alle Layer-7-Probleme für den HTTP-Kanal ermitteln. Diese Informationen erweisen sich als nützlich, wenn auf die ASDM-Anwendung selbst nicht zugegriffen werden kann und kein CLI-Zugriff zur Verwaltung des Geräts verfügbar ist.
Über die URL, die für den Zugriff auf die ASDM-Startseite verwendet wird, können auf der ASA auch beliebige Befehle auf Konfigurationsebene ausgeführt werden. Diese URL kann verwendet werden, um Konfigurationsänderungen auf einer grundlegenden Ebene an der ASA vorzunehmen, wozu auch ein Neuladen der Remote-Geräte gehört. Um einen Befehl einzugeben, verwenden Sie folgende Syntax:
https://<IP-Adresse der ASA>/admin/exec/<command>
Wenn der Befehl ein Leerzeichen enthält und der Browser keine Leerzeichen in einer URL analysieren kann, können Sie das Zeichen + oder %20 verwenden, um das Leerzeichen anzugeben.
Beispiel: https://10.106.36.137/admin/exec/show ver führt zu einer Ausgabe von show version an den Browser:
Für diese Befehlsausführungsmethode muss der HTTP-Server auf der ASA aktiviert sein und die erforderlichen HTTP-Einschränkungen aktiviert haben. Hierfür ist jedoch KEIN ASDM-Image auf der ASA erforderlich.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
02-Aug-2023 |
PII entfernt.
Alternativer Text hinzugefügt.
Aktualisierte Metadaten, Titel, Einführung, Haftungsausschluss, maschinelle Übersetzung, Stilanforderungen und Formatierung. |
1.0 |
19-Jul-2013 |
Erstveröffentlichung |