이 문서에서는 Cisco ASDM(Adaptive Security Device Manager)을 사용하여 Cisco ASA(Adaptive Security Appliance)에 액세스/구성할 때 발생하는 문제를 검토하는 데 필요한 문제 해결 방법을 제공합니다. ASDM은 그래픽 관리 인터페이스를 통해 보안 어플라이언스에 대한 보안 관리 및 모니터링 서비스를 제공합니다.
이 문서에 나열된 시나리오, 증상 및 단계는 ASA에 초기 컨피그레이션이 설정된 후 문제 해결을 위해 작성되었습니다. 초기 컨피그레이션에 대한 자세한 내용은 Cisco ASA Series General Operations ASDM Configuration Guide, 7.1의 Configuring ASDM Access for Appliances 섹션을 참조하십시오.
이 문서에서는 ASA에 대한 SSH(Secure Shell)/텔넷/콘솔 액세스가 필요한 문제 해결을 위해 ASA CLI를 사용합니다.
이 문서의 정보는 ASDM 및 ASA를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 문제 해결 문서에서는 세 가지 주요 장애 지점이 중점적으로 다룹니다. 이 순서대로 일반적인 문제 해결 프로세스를 준수하는 경우 이 문서는 ASDM 사용/액세스의 정확한 문제를 확인하는 데 도움이 됩니다.
ASDM에 성공적으로 액세스하기 위해 필요한 세 가지 필수 컨피그레이션이 ASA에 있습니다.
필요한 버전의 ASDM이 플래시에 업로드되었는지 확인합니다. 현재 실행 중인 ASDM 버전 또는 TFTP와 같은 다른 일반적인 파일 전송 방법으로 업로드할 수 있습니다.
ASA 플래시 메모리에 있는 파일을 나열하는 데 도움이 되도록 ASA CLI에 show flash를 입력합니다. ASDM 파일이 있는지 확인합니다.
ciscoasa# show flash --#-- --length-- -----date/time------ path
249 76267 Feb 28 2013 19:58:18 startup-config.cfg
250 4096 May 12 2013 20:26:12 sdesktop
251 15243264 May 08 2013 21:59:10 asa823-k8.bin
252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin
253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image
플래시에 있는 이미지가 유효하고 손상되지 않았는지 더 자세히 확인하려면 verify 명령을 사용하여 소프트웨어 패키지의 저장된 MD5 해시와 실제 파일의 MD5 해시를 비교할 수 있습니다.
ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin
이 단계는 이미지가 있는지, ASA에서 이미지가 무결성을 확인하는 데 도움이 됩니다.
이 프로세스는 ASA의 ASDM 컨피그레이션에서 정의됩니다. 현재 이미지의 샘플 컨피그레이션 정의는 다음과 같습니다.
asdm 이미지 disk0:/asdm-702.bin
자세히 확인하려면 show asdm image 명령을 사용할 수도 있습니다.
ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin
이 단계는 ASA에 액세스할 수 있는 네트워크를 정의하므로 ASDM 컨피그레이션에서 필수적입니다. 샘플 컨피그레이션은 다음과 같습니다.
http server enable
http 192.168.1.0 255.255.255.0 inside
http 64.0.0.0 255.0.0.0 outside
이전 컨피그레이션에 필요한 네트워크가 정의되어 있는지 확인합니다. 이러한 정의가 없으면 ASDM 시작 관리자가 연결 중에 시간 초과되어 다음 오류가 발생합니다.
ASDM 시작 페이지(https://<ASA IP address>/admin)로 인해 요청이 시간 초과되고 페이지가 표시되지 않습니다.
HTTP 서버가 8443과 같은 ASDM 연결에 비표준 포트를 사용하는지 확인합니다. 컨피그레이션에서 강조 표시됩니다.
ciscoasa (config)# show run http
http server enable 8443
비표준 포트를 사용하는 경우 다음과 같이 ASDM 시작 관리자에서 ASA에 연결할 때 포트를 지정해야 합니다.
이는 ASDM 시작 페이지에 액세스할 때도 적용됩니다. https://10.106.36.132:8443/admin
이전 단계를 완료한 후 모든 기능이 클라이언트 측에서 작동하는 경우 ASDM이 열어야 합니다. 그러나 문제가 계속되면 다른 시스템에서 ASDM을 엽니다. 성공할 경우, 문제가 애플리케이션 레벨에서 발생할 수 있으며 ASA 컨피그레이션은 정상입니다. 그러나 아직 시작하지 못한 경우 다음 단계를 완료하여 ASA 측 컨피그레이션을 추가로 확인합니다.
ciscoasa# show run all sslASDM이 실행되는 동안 SSL 암호 협상 오류가 발생하면 ASA 로그에 표시됩니다.
ssl server-version any <--- Check SSL Version restriction configured on the ASA
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
permitted on the ASA
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:특정 설정이 표시되면 기본값으로 되돌립니다.
no shared cipher
%ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
ciscoasa#show versionVPN-3DES-AES 라이센스는 Cisco 라이센싱 웹 사이트에서 무료로 구입할 수 있습니다. Security Products(보안 제품)를 클릭한 다음 Cisco ASA 3DES/AES License(Cisco ASA 3DES/AES 라이센스)를 선택합니다.
Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 64MB
Slot 1: ATA Compact Flash, 32MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
<snip>
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
<snip>
Protocol Socket Local Address Foreign Address State이 출력이 표시되지 않으면 ASA 소프트웨어에서 소켓을 재설정하려면 ASA에서 HTTP 서버 컨피그레이션을 제거하고 다시 적용합니다.
SSL 0001b91f 10.106.36.132:443 0.0.0.0:* LISTEN
aaa authentication http console LOCAL이전 명령을 활성화할 때 사용자 이름/비밀번호를 생성해야 합니다.
username <username> password <password> priv <Priv level>이러한 단계 중 아무 것도 도움이 되지 않으면 ASA에서 추가 조사를 위해 이러한 디버그 옵션을 사용할 수 있습니다.
debug http 255
debug asdm history 255
이전 섹션을 완료했지만 ASDM에 액세스할 수 없는 경우, 다음 단계는 ASDM에 액세스하려는 시스템에서 ASA에 대한 네트워크 연결을 확인하는 것입니다. ASA가 클라이언트 시스템에서 요청을 수신하는지 확인하기 위한 몇 가지 기본적인 트러블슈팅 단계가 있습니다.
capture asdm_test interfaceASDM에 연결하는 ASA 인터페이스에서 포트 443에 대해 오는 모든 TCP 트래픽을 캡처합니다. 이 시점에서 ASDM을 통해 연결하거나 ASDM 웹 시작 페이지를 엽니다. 그런 다음 캡처된 패킷의 결과를 보려면 show capture asdm_test 명령을 사용합니다.match tcp host
eq 443 host
For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
eq 443 host 10.106.36.13
ciscoasa# show capture asdm_test이 캡처는 클라이언트 시스템에서 ASA로의 동기화(SYN) 요청을 표시하지만 ASA는 응답을 보내지 않습니다. 이전 캡처와 유사한 캡처가 나타나는 경우 패킷이 ASA에 도달하지만 ASA는 이러한 요청에 응답하지 않으며, 이는 문제를 ASA 자체에 격리합니다. 자세한 문제를 해결하려면 이 문서의 첫 번째 섹션을 참조하십시오.
Three packets captured
1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
이 섹션에서는 시작/로드에 실패할 때 클라이언트 시스템에 설치된 ASDM 시작 관리자 소프트웨어를 트러블슈팅하는 방법에 대해 설명합니다. ASDM Launcher는 클라이언트 시스템에 상주하는 구성 요소로서 ASDM 이미지를 검색하기 위해 ASA에 연결합니다. ASDM 이미지가 검색되면 ASDM 이미지 업데이트와 같은 ASA 측에서 변경 사항이 표시될 때까지 ASDM 이미지가 일반적으로 캐시에 저장되고 여기에서 가져옵니다.
클라이언트 시스템의 모든 문제를 제외하려면 다음 기본 문제 해결 단계를 완료합니다.
이 절차는 HTTP 채널에 대한 레이어 7 문제를 확인하는 데 도움이 됩니다. 이 정보는 ASDM 애플리케이션 자체에 액세스할 수 없고 디바이스를 관리하는 데 사용할 수 있는 CLI 액세스가 없는 상황에서 유용합니다.
ASDM 웹 시작 페이지에 액세스하는 데 사용되는 URL을 사용하여 ASA에서 모든 컨피그레이션 레벨 명령을 실행할 수도 있습니다. 이 URL을 사용하여 원격 디바이스 다시 로드가 포함된 ASA의 기본 레벨에서 컨피그레이션을 변경할 수 있습니다. 명령을 입력하려면 다음 구문을 사용합니다.
https://<ASA의 IP 주소>/admin/exec/<명령>
명령에 공백이 있고 브라우저에서 URL의 스페이스 문자를 구문 분석할 수 없는 경우 +기호 또는 %20을 사용하여 공백을 나타낼 수 있습니다.
예를 들어, https://10.106.36.137/admin/exec/show 버전은 브라우저에 show version 출력을 생성합니다.
이 명령 실행 방법을 사용하려면 HTTP 서버가 ASA에서 활성화되고 필요한 HTTP 제한이 활성 상태여야 합니다. 그러나 ASA에 ASDM 이미지가 있어야 하는 것은 아닙니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
31-Jul-2013 |
최초 릴리스 |