Cisco Adaptive Security Device Manager에 대한 ASA 연결 문제

소개

이 문서에서는 Cisco ASDM(Adaptive Security Device Manager)을 사용하여 Cisco ASA(Adaptive Security Appliance)에 액세스/구성할 때 발생하는 문제를 검토하는 데 필요한 문제 해결 방법을 제공합니다. ASDM은 그래픽 관리 인터페이스를 통해 보안 어플라이언스에 대한 보안 관리 및 모니터링 서비스를 제공합니다.

사전 요구 사항

요구 사항

이 문서에 나열된 시나리오, 증상 및 단계는 ASA에 초기 컨피그레이션이 설정된 후 문제 해결을 위해 작성되었습니다. 초기 컨피그레이션에 대한 자세한 내용은 Cisco ASA Series General Operations ASDM Configuration Guide, 7.1의 Configuring ASDM Access for Appliances 섹션을 참조하십시오.

이 문서에서는 ASA에 대한 SSH(Secure Shell)/텔넷/콘솔 액세스가 필요한 문제 해결을 위해 ASA CLI를 사용합니다.

사용되는 구성 요소

이 문서의 정보는 ASDM 및 ASA를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

문제 해결 방법론

이 문제 해결 문서에서는 세 가지 주요 장애 지점이 중점적으로 다룹니다. 이 순서대로 일반적인 문제 해결 프로세스를 준수하는 경우 이 문서는 ASDM 사용/액세스의 정확한 문제를 확인하는 데 도움이 됩니다.

• ASA 컨피그레이션
• 네트워크 연결
• 애플리케이션 소프트웨어

ASA 컨피그레이션

ASDM에 성공적으로 액세스하기 위해 필요한 세 가지 필수 컨피그레이션이 ASA에 있습니다.

• 플래시의 ASDM 이미지
• 사용 중인 ASDM 이미지
• HTTP 서버 제한

플래시의 ASDM 이미지

필요한 버전의 ASDM이 플래시에 업로드되었는지 확인합니다. 현재 실행 중인 ASDM 버전 또는 TFTP와 같은 다른 일반적인 파일 전송 방법으로 업로드할 수 있습니다.

ASA 플래시 메모리에 있는 파일을 나열하는 데 도움이 되도록 ASA CLI에 show flash를 입력합니다. ASDM 파일이 있는지 확인합니다.

ciscoasa# show flash --#--  --length--  -----date/time------  path

249  76267       Feb 28 2013 19:58:18  startup-config.cfg
250  4096        May 12 2013 20:26:12  sdesktop 
251  15243264    May 08 2013 21:59:10  asa823-k8.bin 
252  25196544    Mar 11 2013 22:43:40  asa845-k8.bin 
253  17738924    Mar 28 2013 00:12:12  asdm-702.bin    ---- ASDM Image

플래시에 있는 이미지가 유효하고 손상되지 않았는지 더 자세히 확인하려면 verify 명령을 사용하여 소프트웨어 패키지의 저장된 MD5 해시와 실제 파일의 MD5 해시를 비교할 수 있습니다.

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

이 단계는 이미지가 있는지, ASA에서 이미지가 무결성을 확인하는 데 도움이 됩니다.

사용 중인 ASDM 이미지

이 프로세스는 ASA의 ASDM 컨피그레이션에서 정의됩니다. 현재 이미지의 샘플 컨피그레이션 정의는 다음과 같습니다.

asdm 이미지 disk0:/asdm-702.bin

자세히 확인하려면 show asdm image 명령을 사용할 수도 있습니다.

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

HTTP 서버 제한

이 단계는 ASA에 액세스할 수 있는 네트워크를 정의하므로 ASDM 컨피그레이션에서 필수적입니다. 샘플 컨피그레이션은 다음과 같습니다.

http server enable
http 192.168.1.0 255.255.255.0 inside

http 64.0.0.0 255.0.0.0 outside

이전 컨피그레이션에 필요한 네트워크가 정의되어 있는지 확인합니다. 이러한 정의가 없으면 ASDM 시작 관리자가 연결 중에 시간 초과되어 다음 오류가 발생합니다.

ASDM 시작 페이지(https://<ASA IP address>/admin)로 인해 요청이 시간 초과되고 페이지가 표시되지 않습니다.

HTTP 서버가 8443과 같은 ASDM 연결에 비표준 포트를 사용하는지 확인합니다. 컨피그레이션에서 강조 표시됩니다.

ciscoasa (config)# show run http

http server enable 8443

비표준 포트를 사용하는 경우 다음과 같이 ASDM 시작 관리자에서 ASA에 연결할 때 포트를 지정해야 합니다.

이는 ASDM 시작 페이지에 액세스할 때도 적용됩니다. https://10.106.36.132:8443/admin

기타 가능한 구성 문제

이전 단계를 완료한 후 모든 기능이 클라이언트 측에서 작동하는 경우 ASDM이 열어야 합니다. 그러나 문제가 계속되면 다른 시스템에서 ASDM을 엽니다. 성공할 경우, 문제가 애플리케이션 레벨에서 발생할 수 있으며 ASA 컨피그레이션은 정상입니다. 그러나 아직 시작하지 못한 경우 다음 단계를 완료하여 ASA 측 컨피그레이션을 추가로 확인합니다.

1. ASA에서 SSL(Secure Sockets Layer) 컨피그레이션을 확인합니다. ASDM은 ASA와 통신하는 동안 SSL을 사용합니다. ASDM을 시작하는 방법에 따라, 새로운 OS 소프트웨어는 SSL 세션을 협상할 때 더 약한 암호를 사용하지 못할 수 있습니다.
   
   ASA에서 허용되는 암호와 show run all ssl 명령을 사용하여 컨피그레이션에 특정 SSL 버전이 지정되어 있는지 확인합니다.
   

   ciscoasa# show run all ssl
   ssl server-version any <--- Check SSL Version restriction configured on the ASA
   ssl client-version any
   ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
   permitted on the ASA

   ASDM이 실행되는 동안 SSL 암호 협상 오류가 발생하면 ASA 로그에 표시됩니다.
   

   %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
   no shared cipher
   %ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
   identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance

   특정 설정이 표시되면 기본값으로 되돌립니다.
   
   ASA에서 컨피그레이션에서 3DES 및 AES 암호화를 사용하려면 ASA에서 VPN-3DES-AES 라이센스를 활성화해야 합니다. 이는 CLI에서 show version 명령을 사용하여 확인할 수 있습니다. 다음과 같은 출력이 표시됩니다.
   

   ciscoasa#show version
   
   Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
   Internal ATA Compact Flash, 64MB
   Slot 1: ATA Compact Flash, 32MB
   BIOS Flash M50FW080 @ 0xffe00000, 1024KB
   <snip>
   Failover            : Active/Active
   VPN-DES             : Enabled  
   VPN-3DES-AES        : Enabled
   <snip>

   VPN-3DES-AES 라이센스는 Cisco 라이센싱 웹 사이트에서 무료로 구입할 수 있습니다. Security Products(보안 제품)를 클릭한 다음 Cisco ASA 3DES/AES License(Cisco ASA 3DES/AES 라이센스)를 선택합니다.
   

   참고: 8.6/9.x 코드와 함께 제공되는 새로운 ASA 5500-X 플랫폼에서 SSL 암호 설정은 기본적으로 des-sha1로 설정되어 ASDM 세션이 작동하지 않습니다. ASA 5500-x를 참조하십시오. ASDM 및 기타 SSL 기능은 추가 정보를 위해 기본 기사에서 작동하지 않습니다.

2. ASA에서 WebVPN이 활성화되었는지 확인합니다. 활성화된 경우 ASDM 웹 시작 페이지에 액세스할 때 액세스하려면 이 URL(https://10.106.36.132/admin)을 사용해야 합니다.


3. 포트 443에 대해 ASA에서 NAT(Network Address Translation) 컨피그레이션을 확인합니다. 이로 인해 ASA가 ASDM에 대한 요청을 처리하지 않고 NAT가 구성된 네트워크/인터페이스로 전송합니다.


4. 모든 것이 확인되고 ASDM이 아직 시간 초과된 경우, ASA CLI에서 show asp table socket 명령을 사용하여 ASDM에 대해 정의된 포트에서 ASA가 수신 대기하도록 설정되었는지 확인합니다. ASA가 ASDM 포트에서 수신 대기함을 출력에 표시해야 합니다.
   

   Protocol  Socket    Local Address               Foreign Address         State
   SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN

   이 출력이 표시되지 않으면 ASA 소프트웨어에서 소켓을 재설정하려면 ASA에서 HTTP 서버 컨피그레이션을 제거하고 다시 적용합니다.


5. ASDM에 로그인/인증할 때 문제가 발생하면 HTTP에 대한 인증 옵션이 올바르게 설정되었는지 확인합니다. 인증 명령이 설정되지 않은 경우 ASA enable 비밀번호를 사용하여 ASDM에 로그인할 수 있습니다. 사용자 이름/비밀번호 기반 인증을 활성화하려면 ASA의 사용자 이름/비밀번호 데이터베이스에서 ASA에 대한 ASDM/HTTP 세션을 인증하려면 이 컨피그레이션을 입력해야 합니다.
   

   aaa authentication http console LOCAL

   이전 명령을 활성화할 때 사용자 이름/비밀번호를 생성해야 합니다.
   

   username <username> password <password> priv <Priv level>

   이러한 단계 중 아무 것도 도움이 되지 않으면 ASA에서 추가 조사를 위해 이러한 디버그 옵션을 사용할 수 있습니다.
   

   debug http 255
   debug asdm history 255

네트워크 연결

이전 섹션을 완료했지만 ASDM에 액세스할 수 없는 경우, 다음 단계는 ASDM에 액세스하려는 시스템에서 ASA에 대한 네트워크 연결을 확인하는 것입니다. ASA가 클라이언트 시스템에서 요청을 수신하는지 확인하기 위한 몇 가지 기본적인 트러블슈팅 단계가 있습니다.

1. ICMP(Internet Control Message Protocol)로 테스트합니다.
   ASDM에 액세스하려는 ASA 인터페이스를 ping합니다. ICMP가 네트워크를 통과하도록 허용되고 ASA 인터페이스 레벨에 제한이 없는 경우 ping이 성공해야 합니다. Ping에 실패하면 ASA와 클라이언트 시스템 간에 통신 문제가 있기 때문일 수 있습니다. 그러나 이러한 유형의 통신 문제가 있음을 확인하기 위한 결정적인 단계는 아닙니다.


2. 패킷 캡처로 확인합니다.
   ASDM에 액세스하려는 인터페이스에 패킷 캡처를 배치합니다. 캡처는 인터페이스 IP 주소로 전송되는 TCP 패킷이 목적지 포트 번호 443(기본값)과 함께 도착함을 나타내야 합니다.
   
   캡처를 구성하려면 다음 명령을 사용합니다.
   

   capture asdm_test interface 
          
          
            match tcp host 
           
    
           
             eq 443 host 
             
            
          
   For example, cap asdm_test interface mgmt match tcp host 10.106.36.132 
   eq 443 host 10.106.36.13

   ASDM에 연결하는 ASA 인터페이스에서 포트 443에 대해 오는 모든 TCP 트래픽을 캡처합니다. 이 시점에서 ASDM을 통해 연결하거나 ASDM 웹 시작 페이지를 엽니다. 그런 다음 캡처된 패킷의 결과를 보려면 show capture asdm_test 명령을 사용합니다.
   

   ciscoasa# show capture asdm_test
   
    Three packets captured
   
       1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
   
       2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
   
       3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>

   이 캡처는 클라이언트 시스템에서 ASA로의 동기화(SYN) 요청을 표시하지만 ASA는 응답을 보내지 않습니다. 이전 캡처와 유사한 캡처가 나타나는 경우 패킷이 ASA에 도달하지만 ASA는 이러한 요청에 응답하지 않으며, 이는 문제를 ASA 자체에 격리합니다. 자세한 문제를 해결하려면 이 문서의 첫 번째 섹션을 참조하십시오.
   
   그러나 이전 버전과 유사한 출력이 표시되지 않고 패킷이 캡처되지 않은 경우 ASA와 ASDM 클라이언트 시스템 간에 연결 문제가 있음을 의미합니다. TCP 포트 443 트래픽을 차단할 수 있는 중간 장치가 없고 트래픽이 ASA에 도달하는 것을 막을 수 있는 프록시 설정과 같은 브라우저 설정이 없는지 확인합니다.
   
   일반적으로 패킷 캡처는 ASA에 대한 경로가 명확한지, 네트워크 연결 문제를 제외하기 위해 추가 진단이 필요하지 않은지 확인하는 좋은 방법입니다.

애플리케이션 소프트웨어

이 섹션에서는 시작/로드에 실패할 때 클라이언트 시스템에 설치된 ASDM 시작 관리자 소프트웨어를 트러블슈팅하는 방법에 대해 설명합니다. ASDM Launcher는 클라이언트 시스템에 상주하는 구성 요소로서 ASDM 이미지를 검색하기 위해 ASA에 연결합니다. ASDM 이미지가 검색되면 ASDM 이미지 업데이트와 같은 ASA 측에서 변경 사항이 표시될 때까지 ASDM 이미지가 일반적으로 캐시에 저장되고 여기에서 가져옵니다.

클라이언트 시스템의 모든 문제를 제외하려면 다음 기본 문제 해결 단계를 완료합니다.

1. 다른 시스템에서 ASDM 시작 페이지를 엽니다. 문제가 실행되면 문제가 클라이언트 시스템에 있음을 의미합니다. 장애가 발생한 경우 문제 해결 가이드를 처음부터 따라 관련 구성 요소를 순서대로 격리합니다.


2. 웹 실행을 통해 ASDM을 열고 여기에서 직접 소프트웨어를 실행합니다. 성공하면 ASDM 시작 관리자 설치에 문제가 있을 수 있습니다. 클라이언트 컴퓨터에서 ASDM 시작 관리자를 제거하고 ASA 웹 시작 자체에서 다시 설치합니다.


3. 사용자의 홈 디렉토리에서 ASDM의 캐시 디렉토리를 지웁니다. 예를 들어 Windows 7에서는 다음과 같은 위치에 있습니다. C:\Users\<username>\.asdm\cache. 전체 캐시 디렉토리를 삭제하면 캐시가 지워집니다. ASDM이 성공적으로 시작되면 ASDM File 메뉴 내에서 캐시를 지울 수도 있습니다.


4. 올바른 Java 버전이 설치되어 있는지 확인합니다. Cisco ASDM 릴리스 노트에는 테스트된 Java 버전에 대한 요구 사항이 나열됩니다.


5. Java 캐시를 지웁니다. Java 제어판에서 일반 > 임시 인터넷 파일을 선택합니다. 그런 다음 보기를 클릭하여 Java 캐시 뷰어를 시작합니다. ASDM을 참조하거나 관련된 모든 항목을 삭제합니다.


6. 이러한 단계가 실패할 경우 추가 조사를 위해 클라이언트 컴퓨터에서 디버깅 정보를 수집합니다. URL을 사용하여 ASDM에 대한 디버깅을 활성화합니다. https://<ASA의 IP 주소>?debug=5(예: https://10.0.0.1?debug=5).
   
   Java 버전 6(버전 1.6이라고도 함)에서는 Java 제어판 > 고급에서 Java 디버깅 메시지가 활성화됩니다. 그런 다음 디버깅 아래의 확인란을 선택합니다. Java 콘솔 아래에서 Do not start console(콘솔 시작 안 함)을 선택하지 마십시오. ASDM을 시작하기 전에 Java 디버깅을 활성화해야 합니다.
   

   

   
   Java 콘솔 출력은 사용자 홈 디렉토리의 .asdm/log 디렉토리에 기록됩니다. ASDM 로그는 동일한 디렉토리에서 찾을 수도 있습니다. 예를 들어 Windows 7의 경우 로그는 C:\Users\<username>/.asdm/log/에 있습니다.

HTTPS로 명령 실행

이 절차는 HTTP 채널에 대한 레이어 7 문제를 확인하는 데 도움이 됩니다. 이 정보는 ASDM 애플리케이션 자체에 액세스할 수 없고 디바이스를 관리하는 데 사용할 수 있는 CLI 액세스가 없는 상황에서 유용합니다.

ASDM 웹 시작 페이지에 액세스하는 데 사용되는 URL을 사용하여 ASA에서 모든 컨피그레이션 레벨 명령을 실행할 수도 있습니다. 이 URL을 사용하여 원격 디바이스 다시 로드가 포함된 ASA의 기본 레벨에서 컨피그레이션을 변경할 수 있습니다. 명령을 입력하려면 다음 구문을 사용합니다.

https://<ASA의 IP 주소>/admin/exec/<명령>

명령에 공백이 있고 브라우저에서 URL의 스페이스 문자를 구문 분석할 수 없는 경우 +기호 또는 %20을 사용하여 공백을 나타낼 수 있습니다.

예를 들어, https://10.106.36.137/admin/exec/show 버전은 브라우저에 show version 출력을 생성합니다.

이 명령 실행 방법을 사용하려면 HTTP 서버가 ASA에서 활성화되고 필요한 HTTP 제한이 활성 상태여야 합니다. 그러나 ASA에 ASDM 이미지가 있어야 하는 것은 아닙니다.

관련 정보

• 어플라이언스에 대한 ASDM 액세스 구성
• ASA 5500-x: ASDM 및 기타 SSL 기능이 즉시 작동하지 않음
• Cisco ASDM 릴리스 정보
• ASA에서 3DES/AES 라이센스를 얻기 위한 Cisco 라이센스 페이지
• 기술 지원 및 문서 − Cisco Systems

개정 이력