La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritta la modalità di comunicazione del software ASDM con l'appliance ASA (Adaptive Security Appliance) e con il modulo software FirePOWER installato.
Un modulo FirePOWER installato su un'ASA può essere gestito da:
Una configurazione ASA per abilitare la gestione ASDM:
ASA5525(config)# interface GigabitEthernet0/0 ASA5525(config-if)# nameif INSIDE ASA5525(config-if)# security-level 100 ASA5525(config-if)# ip address 192.168.75.23 255.255.255.0 ASA5525(config-if)# no shutdown ASA5525(config)# ASA5525(config)# http server enable ASA5525(config)# http 192.168.75.0 255.255.255.0 INSIDE ASA5525(config)# asdm image disk0:/asdm-762150.bin ASA5525(config)# ASA5525(config)# aaa authentication http console LOCAL ASA5525(config)# username cisco password cisco
Verificare la compatibilità tra il modulo ASA/SFR, altrimenti le schede FirePOWER non vengono visualizzate.
Inoltre, sull'appliance ASA la licenza 3DES/AES deve essere abilitata:
ASA5525# show version | in 3DES Encryption-3DES-AES : Enabled perpetual
Assicurarsi che il sistema client ASDM esegua una versione supportata di Java JRE.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
L'ASA ha tre interfacce interne:
È possibile acquisire il traffico in tutte le interfacce interne:
ASA5525# capture CAP interface ? asa_dataplane Capture packets on dataplane interface asa_mgmt_plane Capture packets on managementplane interface cplane Capture packets on controlplane interface
È possibile visualizzare quanto segue:
Supponiamo di avere questa topologia:
Quando un utente avvia una connessione ASDM all'appliance ASA, si verificano i seguenti eventi:
L'utente specifica l'indirizzo IP ASA utilizzato per la gestione HTTP, immette le credenziali e avvia una connessione all'appliance ASA:
In background, viene stabilito un tunnel SSL tra l'ASDM e l'ASA:
È possibile visualizzare quanto segue:
Immettere il comando debug http 255 sull'appliance ASA per visualizzare tutti i controlli eseguiti in background quando l'appliance ASDM si connette all'appliance ASA:
ASA5525# debug http 255 … HTTP: processing ASDM request [/admin/exec/show+module] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+module' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+cluster+interface-mode] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+cluster+interface-mode' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+cluster+info] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+cluster+info' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+module+sfr+details] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+module+sfr+details' from host 192.168.75.22
Sullo sfondo, vengono visualizzate come una serie di connessioni SSL dal PC all'indirizzo IP dell'appliance ASA:
Poiché ASDM conosce l'indirizzo IP di gestione FirePOWER, avvia le sessioni SSL verso il modulo:
Questa condizione viene vista in background come connessioni SSL dall'host ASDM all'indirizzo IP di gestione FirePOWER:
È possibile visualizzare quanto segue:
L'ASDM autentica FirePOWER e viene visualizzato un avviso di sicurezza poiché il certificato FirePOWER è autofirmato:
Una volta completata l'autenticazione, ASDM recupera le voci di menu dal dispositivo FirePOWER:
Le schede recuperate sono mostrate in questo esempio:
Recupera anche la voce di menu ASA FirePOWER Configuration:
Nel caso in cui ASDM non sia in grado di stabilire un tunnel SSL con l'indirizzo IP di FirePOWER Management, viene caricata solo la seguente voce di menu FirePOWER:
Manca anche l'elemento di configurazione ASA FirePOWER:
Verifica 1
Verificare che l'interfaccia di gestione ASA sia attiva e che la porta dello switch connessa si trovi nella VLAN corretta:
ASA5525# show interface ip brief | include Interface|Management0/0 Interface IP-Address OK? Method Status Protocol Management0/0 unassigned YES unset up up
Procedura di risoluzione consigliata
Verifica 2
Verificare che il modulo FirePOWER sia completamente inizializzato, attivo e in esecuzione:
ASA5525# show module sfr details Getting details from the Service Module, please wait... Card Type: FirePOWER Services Software Module Model: ASA5525 Hardware version: N/A Serial Number: FCH1719J54R Firmware version: N/A Software version: 6.1.0-330 MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2 App. name: ASA FirePOWER App. Status: Up App. Status Desc: Normal Operation App. version: 6.1.0-330 Data Plane Status: Up Console session: Ready Status: Up DC addr: No DC Configured Mgmt IP addr: 192.168.75.123 Mgmt Network mask: 255.255.255.0 Mgmt Gateway: 192.168.75.23 Mgmt web ports: 443 Mgmt TLS enabled: true
A5525# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show version --------------------[ FP5525-3 ]-------------------- Model : ASA5525 (72) Version 6.1.0 (Build 330) UUID : 71fd1be4-7641-11e6-87e4-d6ca846264e3 Rules update version : 2016-03-28-001-vrt VDB version : 270 ---------------------------------------------------- >
Procedura di risoluzione consigliata
Verifica 3
Verificare la connettività di base tra l'host ASDM e l'IP di gestione del modulo FirePOWER con comandi quali ping e traceroute/traceroute:
Procedura di risoluzione consigliata
Verifica 4
Se l'host ASDM e l'indirizzo IP di gestione FirePOWER si trovano nella stessa rete di layer 3, controllare la tabella Address Resolution Protocol (ARP) sull'host ASDM:
Procedura di risoluzione consigliata
Verifica 5
Abilitare la cattura sul dispositivo ASDM durante la connessione tramite ASDM per verificare che la comunicazione TCP tra l'host e il modulo FirePOWER sia corretta. Verrà visualizzato quanto meno quanto segue:
Procedura di risoluzione consigliata
Verifica 6
Per controllare il traffico da e verso il modulo FirePOWER, abilitare l'acquisizione sull'interfaccia asa_mgmt_plane. Nell'acquisizione è possibile visualizzare:
ASA5525# capture FP_MGMT interface asa_mgmt_plane
ASA5525# show capture FP_MGMT | i 192.168.75.123
…
42: 20:27:28.532076 arp who-has 192.168.75.123 tell 192.168.75.22
43: 20:27:28.532153 arp reply 192.168.75.123 is-at 6c:41:6a:a1:2b:f2
44: 20:27:28.532473 192.168.75.22.48391 > 192.168.75.123.443: S 2861923942:2861923942(0) win 8192
45: 20:27:28.532549 192.168.75.123.443 > 192.168.75.22.48391:
S 1324352332:1324352332(0)
ack 2861923943 win 14600
46: 20:27:28.532839 192.168.75.22.48391 > 192.168.75.123.443: .
ack 1324352333 win 16695
Procedura di risoluzione consigliata
Verifica 7
Verificare che l'utente ASDM disponga del livello di privilegio 15. Per verificare questa condizione, immettere il comando debug http 255 durante la connessione tramite ASDM:
ASA5525# debug http 255 debug http enabled at level 255. HTTP: processing ASDM request [/admin/asdm_banner] with cookie-based authentication (aware_webvpn_conf.re2c:444) HTTP: check admin session. Cookie index [2][c8a06c50] HTTP: Admin session cookie [A27614B@20480@78CF@58989AACB80CE5159544A1B3EE62661F99D475DC] HTTP: Admin session idle-timeout reset HTTP: admin session verified = [1] HTTP: username = [user1], privilege = [14]
Procedura di risoluzione consigliata
Verifica 8
Se tra l'host ASDM e il modulo FirePOWER è presente un NAT (Network Address Translation) per l'indirizzo IP di FirePOWER Management, è necessario specificare l'indirizzo IP NAT:
Procedura di risoluzione consigliata
Verifica 9
Verificare che il modulo FirePOWER non sia già gestito da FMC, in quanto in tal caso le schede FirePOWER in ASDM risultano mancanti:
ASA5525# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show managers Managed locally. >
Un altro metodo consiste nell'utilizzare il comando show module sfr details:
ASA5525# show module sfr details Getting details from the Service Module, please wait... Card Type: FirePOWER Services Software Module Model: ASA5525 Hardware version: N/A Serial Number: FCH1719J54R Firmware version: N/A Software version: 6.1.0-330 MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2 App. name: ASA FirePOWER App. Status: Up App. Status Desc: Normal Operation App. version: 6.1.0-330 Data Plane Status: Up Console session: Ready Status: Up DC addr: No DC Configured Mgmt IP addr: 192.168.75.123 Mgmt Network mask: 255.255.255.0 Mgmt Gateway: 192.168.75.23 Mgmt web ports: 443 Mgmt TLS enabled: true
Procedura di risoluzione consigliata
Verifica 10
Controllare l'acquisizione di wireshark per verificare che il client ASDM si connetta con una versione TLS corretta (ad esempio, TLSv1.2).
Procedura di risoluzione consigliata
Verifica 11
Verificare nella guida alla compatibilità Cisco ASA che le immagini ASA/ASDM siano compatibili.
Procedura di risoluzione consigliata
Verifica 12
Verificare nella guida alla compatibilità Cisco ASA che il dispositivo FirePOWER sia compatibile con la versione ASDM.
Procedura di risoluzione consigliata
Revisione | Data di pubblicazione | Commenti |
---|---|---|
2.0 |
14-Jul-2023 |
Certificazione |
1.0 |
14-Dec-2016 |
Versione iniziale |