Ce document fournit la méthodologie de dépannage nécessaire pour examiner les problèmes rencontrés lors de l'accès/de la configuration de Cisco Adaptive Security Appliance (ASA) avec Cisco Adaptive Security Device Manager (ASDM). ASDM fournit des services de gestion et de surveillance de la sécurité pour les appliances de sécurité via une interface de gestion graphique.
Les scénarios, symptômes et étapes répertoriés dans ce document sont écrits pour le dépannage des problèmes après la configuration initiale sur l'ASA. Pour la configuration initiale, reportez-vous à la section Configuration de l'accès ASDM pour les appareils du Guide de configuration ASDM des opérations générales de la gamme Cisco ASA, 7.1.
Ce document utilise l'interface de ligne de commande ASA pour le dépannage, qui nécessite un accès SSH (Secure Shell)/Telnet/Console à l'ASA.
Les informations de ce document sont basées sur l'ASDM et l'ASA.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Ce document de dépannage se concentre sur trois points principaux de défaillance. Si vous respectez la procédure de dépannage générale décrite dans cet ordre, ce document doit vous aider à déterminer le problème exact de l'utilisation/accès ASDM.
Trois configurations essentielles sont présentes sur l'ASA et sont nécessaires pour accéder à l'ASDM :
Assurez-vous que la version requise de l'ASDM est téléchargée dans la mémoire Flash. Il peut être téléchargé avec la version en cours d'exécution de l'ASDM ou avec d'autres méthodes conventionnelles de transfert de fichiers vers l'ASA, comme TFTP.
Entrez show flash sur l'interface de ligne de commande ASA afin de vous aider à répertorier les fichiers présents sur la mémoire flash ASA. Vérifiez la présence du fichier ASDM :
ciscoasa# show flash --#-- --length-- -----date/time------ path
249 76267 Feb 28 2013 19:58:18 startup-config.cfg
250 4096 May 12 2013 20:26:12 sdesktop
251 15243264 May 08 2013 21:59:10 asa823-k8.bin
252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin
253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image
Afin de vérifier davantage si l'image présente sur la mémoire flash est valide et non endommagée, vous pouvez utiliser la commande verify afin de comparer le hachage MD5 stocké dans le package logiciel et le hachage MD5 du fichier réel présent :
ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin
Cette étape doit vous aider à vérifier si l'image est présente et son intégrité sur l'ASA.
Ce processus est défini dans la configuration ASDM sur l'ASA. Voici un exemple de définition de configuration de l'image actuelle utilisée :
asdm image disk0:/asdm-702.bin
Afin de vérifier plus en détail, vous pouvez également utiliser la commande show asdm image :
ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin
Cette étape est essentielle dans la configuration de l'ASDM, car elle définit quels réseaux ont accès à l'ASA. Voici un exemple de configuration :
http server enable
http 192.168.1.0 255.255.255.0 inside
http 64.0.0.0 255.0.0.0 outside
Vérifiez que les réseaux nécessaires sont définis dans la configuration précédente. L'absence de ces définitions provoque le délai d'expiration du lanceur ASDM lors de sa connexion et donne cette erreur :
La page de lancement de l'ASDM (https://<adresse IP ASA>/admin) provoque l'expiration de la demande et aucune page n'est affichée.
Vérifiez en outre que le serveur HTTP utilise un port non standard pour la connexion ASDM, tel que 8443. Ceci est mis en surbrillance dans la configuration :
ciscoasa(config)# show run http
http server enable 8443
S'il utilise un port non standard, vous devez spécifier le port lorsque vous vous connectez à l'ASA dans le lanceur ASDM comme suit :
Cela s'applique également lorsque vous accédez à la page de lancement d'ASDM : https://10.106.36.132:8443/admin
Une fois les étapes précédentes terminées, l'ASDM doit s'ouvrir si tout fonctionne du côté du client. Cependant, si vous rencontrez toujours des problèmes, ouvrez l'ASDM à partir d'une autre machine. Si vous réussissez, le problème se situe probablement au niveau de l'application et la configuration ASA est correcte. Cependant, si le lancement échoue toujours, complétez ces étapes pour vérifier les configurations côté ASA :
ciscoasa# show run all sslS'il y a des erreurs de négociation de chiffrement SSL pendant le lancement de l'ASDM, elles s'affichent dans les journaux ASA :
ssl server-version any <--- Check SSL Version restriction configured on the ASA
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
permitted on the ASA
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:Si des paramètres spécifiques s'affichent, revenez à leur valeur par défaut.
no shared cipher
%ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
ciscoasa#show versionUne licence VPN-3DES-AES peut être obtenue sans aucun coût sur le site Web de licence Cisco. Cliquez sur Produits de sécurité, puis sélectionnez Licence Cisco ASA 3DES/AES.
Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 64MB
Slot 1: ATA Compact Flash, 32MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
<snip>
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
<snip>
Protocol Socket Local Address Foreign Address StateSi ce résultat n'apparaît pas, supprimez et réappliquez la configuration du serveur HTTP sur l'ASA afin de réinitialiser le socket sur le logiciel ASA.
SSL 0001b91f 10.106.36.132:443 0.0.0.0:* LISTEN
aaa authentication http console LOCALN'oubliez pas de créer un nom d'utilisateur/mot de passe lorsque vous activez la commande précédente :
username <username> password <password> priv <Priv level>Si aucune de ces étapes n'aide, ces options de débogage sont disponibles sur l'ASA pour une analyse plus approfondie :
debug http 255
debug asdm history 255
Si vous avez terminé la section précédente et que vous ne pouvez toujours pas accéder à l'ASDM, l'étape suivante consiste à vérifier la connectivité réseau à votre ASA à partir de la machine à partir de laquelle vous voulez accéder à l'ASDM. Il existe quelques étapes de dépannage de base afin de vérifier que l'ASA reçoit la requête de la machine cliente :
capture asdm_test interfaceCeci capture tout trafic TCP provenant du port 443 de l'interface ASA à partir de laquelle vous vous connectez à l'ASDM. Connectez-vous via ASDM à ce stade ou ouvrez la page de lancement Web d'ASDM. Ensuite, utilisez la commande show capture asdm_test afin d'afficher le résultat des paquets capturés :match tcp host
eq 443 host
For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
eq 443 host 10.106.36.13
ciscoasa# show capture asdm_testCette capture montre une requête de synchronisation (SYN) de la machine cliente vers l'ASA, mais l'ASA n'envoie aucune réponse. Si vous voyez une capture similaire à la précédente, cela signifie que les paquets atteignent l'ASA mais l'ASA ne répond pas à ces requêtes, ce qui isole le problème à l'ASA lui-même. Reportez-vous à la première section de ce document afin de dépanner plus loin.
Three packets captured
1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
Cette section décrit comment dépanner le logiciel de lancement ASDM qui a été installé sur l'ordinateur client lorsqu'il ne parvient pas à démarrer/charger. Le lanceur ASDM est le composant qui réside sur la machine cliente et se connecte à l'ASA afin de récupérer l'image ASDM. Une fois récupérée, l'image ASDM est généralement stockée dans le cache et est prise de là jusqu'à ce que toute modification soit détectée du côté ASA, telle qu'une mise à jour d'image ASDM.
Complétez ces étapes de dépannage de base afin d'éliminer tout problème sur l'ordinateur client :
Cette procédure permet de déterminer les problèmes de couche 7 pour le canal HTTP. Ces informations s'avèrent utiles lorsque vous vous trouvez dans une situation où l'application ASDM elle-même n'est pas accessible et où il n'y a aucun accès CLI disponible pour gérer le périphérique.
L'URL utilisée pour accéder à la page de lancement Web d'ASDM peut également être utilisée pour exécuter toutes les commandes de niveau configuration sur l'ASA. Cette URL peut être utilisée afin d'apporter des modifications de configuration à un niveau de base à l'ASA, qui inclut un rechargement de périphérique distant. Pour entrer une commande, utilisez la syntaxe suivante :
https://<adresse IP de l'ASA>/admin/exec/<commande>
Si la commande comporte un espace et que le navigateur ne peut pas analyser les caractères d'espace dans une URL, vous pouvez utiliser le signe + ou %20 pour indiquer l'espace.
Par exemple, https://10.106.36.137/admin/exec/show ver génère une sortie show version dans le navigateur :
Cette méthode d'exécution de commande nécessite que le serveur HTTP soit activé sur l'ASA et que les restrictions HTTP nécessaires soient actives. Cependant, ceci ne nécessite PAS la présence d'une image ASDM sur l'ASA.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
31-Jul-2013 |
Première publication |