Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Utilisation ASDM de gérer un module de FirePOWER sur une ASA

Options de téléchargement

  • PDF     (868.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d’appareils
  • ePub     (745.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:20 août 2019
ID du document:200889
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment le logiciel d'Adaptive Security Device Manager (ASDM) communique avec l'appliance de sécurité adaptable (ASA) et un module logiciel de FirePOWER installé là-dessus.

    Un module de FirePOWER qui est installé sur une ASA peut être géré par l'un ou l'autre :

    • Centre de Gestion de FirePOWER (FMC) - C'est la solution de Gestion de hors fonction-case.
    • ASDM - C'est la solution de Gestion de sur-case.

    Conditions préalables

    Exigences

    Une configuration ASA pour activer la Gestion ASDM :

    ASA5525(config)# interface GigabitEthernet0/0
ASA5525(config-if)# nameif INSIDE
ASA5525(config-if)# security-level 100
ASA5525(config-if)# ip address 192.168.75.23 255.255.255.0
ASA5525(config-if)# no shutdown
ASA5525(config)#
ASA5525(config)# http server enable
ASA5525(config)# http 192.168.75.0 255.255.255.0 INSIDE
ASA5525(config)# asdm image disk0:/asdm-762150.bin
ASA5525(config)#
ASA5525(config)# aaa authentication http console LOCAL
ASA5525(config)# username cisco password cisco

    Vérifiez la compatibilité entre le module ASA/SFR, autrement les onglets de FirePOWER ne seront pas vus.

    Supplémentaire, sur l'ASA le permis 3DES/AES devrait être activé :

    ASA5525# show version | in 3DES
Encryption-3DES-AES               : Enabled        perpetual

    Assurez que le système client ASDM exécute une version prise en charge de Javas JRE.

    Composants utilisés

    • Un hôte de Microsoft Windows 7
    • ASA5525-X qui exécute la version 9.6(2.3) ASA
    • Version 7.6.2.150 ASDM
    • Module logiciel 6.1.0-330 de FirePOWER

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Architecture

    L'ASA a trois interfaces internes :

    • asa_dataplane - Il est utilisé pour réorienter des paquets du chemin de données ASA au module logiciel de FirePOWER.
    • asa_mgmt_plane - Il est utilisé pour permettre à l'interface de gestion de FirePOWER pour communiquer avec le réseau.
    • cplane - Contrôlez l'interface plate qui est utilisée pour transférer le Keepalives entre l'ASA et le module de FirePOWER.

    Vous pouvez capturer le trafic dans toutes les interfaces internes :

    ASA5525# capture CAP interface ?

  asa_dataplane   Capture packets on dataplane interface
  asa_mgmt_plane  Capture packets on managementplane interface
  cplane          Capture packets on controlplane interface

    Ceci peut être visualisé comme suit :

    Traitement de fond quand un utilisateur se connecte à une ASA par l'intermédiaire de l'ASDM

    Considérez cette topologie :

    Quand un utilisateur initie une connexion ASDM à l'ASA, ces événements se produiront :

    Étape 1 - L'utilisateur initie la connexion ASDM

    L'utilisateur spécifie l'adresse IP ASA utilisée pour la Gestion de HTTP, entre dans les qualifications, et initie une connexion vers l'ASA :

    À l'arrière-plan, un tunnel SSL entre l'ASDM et l'ASA est établi :




    Ceci peut être visualisé comme suit :

    Étape 2 - L'ASDM découvre la configuration ASA et l'adresse IP de module de FirePOWER

    Sélectionnez la commande du HTTP 255 de débogage sur l'ASA afin d'afficher tous les contrôles qui sont faits à l'arrière-plan quand l'ASDM se connecte à l'ASA :

    ASA5525# debug http 255
…
HTTP: processing ASDM request [/admin/exec/show+module] with cookie-based authentication 
HTTP: processing GET URL '/admin/exec/show+module' from host 192.168.75.22
HTTP: processing ASDM request [/admin/exec/show+cluster+interface-mode] with cookie-based authentication 
HTTP: processing GET URL '/admin/exec/show+cluster+interface-mode' from host 192.168.75.22
HTTP: processing ASDM request [/admin/exec/show+cluster+info] with cookie-based authentication 
HTTP: processing GET URL '/admin/exec/show+cluster+info' from host 192.168.75.22
HTTP: processing ASDM request [/admin/exec/show+module+sfr+details] with cookie-based authentication 
HTTP: processing GET URL '/admin/exec/show+module+sfr+details' from host 192.168.75.22
    • show module - L'ASDM découvre les modules ASA.
    • détails de sfr de show module - L'ASDM découvre les détails de module, qui incluent l'adresse IP de Gestion de FirePOWER.

    Ceux-ci seront vus à l'arrière-plan comme gamme de connexions SSL du PC vers l'adresse IP ASA :

    Étape 3 - L'ASDM initie la transmission vers le module de FirePOWER

    Puisque l'ASDM connaît l'adresse IP de Gestion de FirePOWER, elle initie des sessions SSL vers le module :

    Ceci sera vu à l'arrière-plan comme des connexions SSL de l'hôte ASDM vers l'adresse IP de Gestion de FirePOWER :

    Ceci peut être visualisé comme suit :

    L'ASDM authentifie FirePOWER et une alerte de sécurité est affichée puisque le certificat de FirePOWER auto-est signé :

    Étape 4 - L'ASDM récupère les commandes de menu de FirePOWER

    Après l'authentification réussie, l'ASDM récupère les commandes de menu du périphérique de FirePOWER :

    Les onglets récupérés sont affichés dans cet exemple :

    Il récupère également l'élément de menu de configuration ASA FirePOWER :

    Dépanner

    Au cas où l'ASDM ne pourrait pas établir un tunnel SSL avec l'adresse IP de Gestion de FirePOWER, puis il chargera seulement cette commande de menu de FirePOWER :

    L'élément de configuration ASA FirePOWER manquera aussi bien :

    Vérification 1

    Assurez-vous que l'interface de gestion ASA est EN HAUSSE et le switchport connecté à lui est dans le VLAN approprié :

    ASA5525# show interface  ip brief | include Interface|Management0/0
Interface                  IP-Address      OK? Method Status                Protocol
Management0/0              unassigned      YES unset  up                    up

    Dépannage recommandé

    • Placez le VLAN approprié.
    • Apportez le port (vérifiez le câble, vérifiez la configuration switchport (vitesse/duplex/fermé)).

    Vérification 2

    Assurez-vous que le module de FirePOWER est entièrement initialisé, VERS LE HAUT DE, et s'exécuter :

    ASA5525# show module sfr details
Getting details from the Service Module, please wait...

Card Type:          FirePOWER Services Software Module
Model:              ASA5525
Hardware version:   N/A
Serial Number:      FCH1719J54R
Firmware version:   N/A
Software version:   6.1.0-330
MAC Address Range:  6c41.6aa1.2bf2 to 6c41.6aa1.2bf2
App. name:          ASA FirePOWER
App. Status:        Up
App. Status Desc:   Normal Operation
App. version:       6.1.0-330
Data Plane Status:  Up
Console session:    Ready
Status:             Up
DC addr:            No DC Configured
Mgmt IP addr:       192.168.75.123
Mgmt Network mask:  255.255.255.0
Mgmt Gateway:       192.168.75.23
Mgmt web ports:     443
Mgmt TLS enabled:   true

    A5525# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
> show version
--------------------[ FP5525-3 ]--------------------
Model                     : ASA5525 (72) Version 6.1.0 (Build 330)
UUID                      : 71fd1be4-7641-11e6-87e4-d6ca846264e3
Rules update version      : 2016-03-28-001-vrt
VDB version               : 270
----------------------------------------------------

>

    Dépannage recommandé

    • Vérifiez la sortie de la commande de console de log de sfr de show module pour des erreurs ou des pannes.

    Vérification 3

    Vérifiez la Connectivité de base entre l'hôte ASDM et l'IP de Gestion de module de FirePOWER avec des commandes telles que le ping et le tracert/traceroute :

    Dépannage recommandé

    • Routage de contrôle le long du chemin.
    • Vérifiez qu'il n'y a aucun périphérique dans le chemin qui bloquent le trafic.

    Vérification 4

    Si l'hôte ASDM et l'adresse IP de Gestion de FirePOWER sont dans le même réseau de la couche 3, vérifiez la table de Protocole ARP (Address Resolution Protocol) sur l'hôte ASDM :

    Dépannage recommandé

    • S'il n'y a aucune entrée d'ARP, employez Wireshark afin de vérifier la transmission d'ARP. Assurez que les adresses MAC des paquets sont correctes.
    • S'il y a des entrées d'ARP, assurez qu'ils sont corrects.

    Vérification 5

    Activez la capture sur le périphérique ASDM tandis que vous vous connectez par l'intermédiaire de l'ASDM afin de voir s'il y a transmission appropriée de TCP entre l'hôte et le module de FirePOWER. Au minimum, vous devriez voir :

    • Prise de contact à trois voies de TCP entre l'hôte ASDM et l'ASA.
    • Tunnel SSL établi entre l'hôte ASDM et l'ASA.
    • Prise de contact à trois voies de TCP entre l'hôte ASDM et l'adresse IP de Gestion de module de FirePOWER.
    • Tunnel SSL établi entre l'hôte ASDM et l'adresse IP de Gestion de module de FirePOWER.

    Dépannage recommandé

    • Si la prise de contact à trois voies de TCP échoue, assurez-vous qu'il n'y a pas le trafic ou des périphériques asymétriques dans le chemin qui bloquent les paquets TCP.
    • Si le SSL échoue, vérifiez s'il n'y a aucun périphérique dans faire de chemin homme-dans-le-moyen (MITM) (l'émetteur de certificat de serveur donnera un signe pour ceci).

    Vérification 6

    Afin de vérifier le trafic à et du module de FirePOWER, capture d'enable sur l'interface d'asa_mgmt_plane. Dans la capture, vous pouvez voir :

    • Demande d'ARP de l'hôte ASDM (paquet 42).
    • Réponse d'ARP du module de FirePOWER (paquet 43).
    • Prise de contact à trois voies de TCP entre l'hôte ASDM et le module de FirePOWER (paquets 44-46).

    ASA5525# capture FP_MGMT interface asa_mgmt_plane
    ASA5525# show capture FP_MGMT | i 192.168.75.123

    42: 20:27:28.532076 arp who-has 192.168.75.123 tell 192.168.75.22
    43: 20:27:28.532153 arp reply 192.168.75.123 is-at 6c:41:6a:a1:2b:f2
    44: 20:27:28.532473 192.168.75.22.48391 > 192.168.75.123.443: S 2861923942:2861923942(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
    45: 20:27:28.532549 192.168.75.123.443 > 192.168.75.22.48391: S 1324352332:1324352332(0) ack 2861923943 win 14600 <mss 1460,nop,nop,sackOK,nop,wscale 7>
    46: 20:27:28.532839 192.168.75.22.48391 > 192.168.75.123.443: . ack 1324352333 win 16695

    Dépannage recommandé

    • Mêmes que dans la vérification 5.

    Vérification 7

    Vérifiez que l'utilisateur ASDM a le niveau de privilège 15. Une manière de confirmer ceci est de sélectionner la commande du HTTP 255 de débogage tandis qu'elle se connecte par l'intermédiaire de l'ASDM :

    ASA5525# debug http 255
debug http enabled at level 255.
HTTP: processing ASDM request [/admin/asdm_banner] with cookie-based authentication (aware_webvpn_conf.re2c:444)
HTTP: check admin session. Cookie index [2][c8a06c50]
HTTP: Admin session cookie [A27614B@20480@78CF@58989AACB80CE5159544A1B3EE62661F99D475DC]
HTTP: Admin session idle-timeout reset
HTTP: admin session verified =  [1]
HTTP: username = [user1], privilege = [14]

    Dépannage recommandé

    • Si le niveau de privilège n'est pas 15, alors essai avec un utilisateur qui a le niveau 15.

    Vérification 8

    Si entre l'hôte ASDM et le module de FirePOWER il y a traduction d'adddress de réseau (NAT) pour l'adresse IP de Gestion de FirePOWER, alors vous devez spécifier l'adresse IP de NATed :

    Dépannage recommandé

    • Les captures aux points d'extrémité (ASA/SFR et fin-hôte) confirmeront ceci.

    Vérification 9

    Assurez-vous que le module de FirePOWER n'est pas déjà géré par FMC, parce que dans cela le cas que FirePOWER tabule dans l'ASDM manquera :

    ASA5525# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
> show managers
Managed locally.

>

    Une autre méthode est avec la commande de détails de sfr de show module :

    ASA5525# show module sfr details
Getting details from the Service Module, please wait...

Card Type:          FirePOWER Services Software Module
Model:              ASA5525
Hardware version:   N/A
Serial Number:      FCH1719J54R
Firmware version:   N/A
Software version:   6.1.0-330
MAC Address Range:  6c41.6aa1.2bf2 to 6c41.6aa1.2bf2
App. name:          ASA FirePOWER
App. Status:        Up
App. Status Desc:   Normal Operation
App. version:       6.1.0-330
Data Plane Status:  Up
Console session:    Ready
Status:             Up
DC addr:            No DC Configured
Mgmt IP addr:       192.168.75.123
Mgmt Network mask:  255.255.255.0
Mgmt Gateway:       192.168.75.23
Mgmt web ports:     443
Mgmt TLS enabled:   true

    Dépannage recommandé

    Vérification 10

    Vérifiez la capture de wireshark afin de s'assurer que le client ASDM se connecte à une version appropriée de TLS (par exemple, TLSv1.2).

    Dépannage recommandé

    • Accordez les configurations SSL de navigateur.
    • Essai avec un autre navigateur.
    • Essai d'un autre fin-hôte.

    Vérification 11

    Vérifiez du guide de compatibilité de Cisco ASA que les images ASA/ASDM sont compatibles.

    Dépannage recommandé

    • Utilisez une image compatible ASDM.

    Vérification 12

    Vérifiez du guide de compatibilité de Cisco ASA que le périphérique de FirePOWER est compatible avec la version ASDM.

    Dépannage recommandé

    • Utilisez une image compatible ASDM.

    Informations connexes
    TAC Authored

    Contribution d’experts de Cisco

    • Mikis Zafeiroudis
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    Suivez-nous
    Salle de presseÉvénementsBloguesCommunauté
    À propos de nous
    Communiquer Avec Nous
    Travailler Avec Nous