Este documento fornece a metodologia de solução de problemas necessária para examinar problemas enfrentados ao acessar/configurar o Cisco Adaptive Security Appliance (ASA) com o Cisco Adaptive Security Device Manager (ASDM). O ASDM oferece serviços de gerenciamento e monitoramento de segurança para dispositivos de segurança por meio de uma interface gráfica de gerenciamento.
Os cenários, sintomas e etapas listados neste documento são escritos para solução de problemas após a configuração inicial no ASA. Para obter a configuração inicial, consulte a seção Configurando o acesso ASDM para dispositivos do Guia de Configuração ASDM de Operações Gerais do Cisco ASA Series, 7.1.
Este documento usa a CLI do ASA para solução de problemas, que exige acesso de Shell Seguro (SSH)/Telnet/Console ao ASA.
As informações neste documento são baseadas no ASDM e no ASA.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Há três pontos principais de falha nos quais este documento de solução de problemas se concentra. Se você aderir ao processo geral de solução de problemas nesta ordem, este documento deve ajudá-lo a determinar o problema exato com o uso/acesso do ASDM.
Há três configurações essenciais que estão presentes no ASA necessárias para acessar o ASDM com êxito:
Certifique-se de que a versão necessária do ASDM esteja carregada na memória flash. Ele pode ser carregado com a versão atualmente executada do ASDM ou com outros métodos convencionais de transferência de arquivos para o ASA, como o TFTP.
Insira show flash no ASA CLI para ajudá-lo a listar os arquivos presentes na memória flash do ASA. Verifique a presença do arquivo ASDM:
ciscoasa# show flash --#-- --length-- -----date/time------ path
249 76267 Feb 28 2013 19:58:18 startup-config.cfg
250 4096 May 12 2013 20:26:12 sdesktop
251 15243264 May 08 2013 21:59:10 asa823-k8.bin
252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin
253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image
Para verificar se a imagem presente na memória flash é válida e não está corrompida, você pode usar o verify para comparar o hash MD5 armazenado no pacote de software e o hash MD5 do arquivo real presente:
ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin
Esta etapa deve ajudá-lo a verificar se a imagem está presente e sua integridade no ASA.
Esse processo é definido na configuração do ASDM no ASA. Um exemplo de definição de configuração da imagem atual que é usada é semelhante a este:
asdm image disk0:/asdm-702.bin
Para verificar melhor, você também pode usar o comando show asdm image:
ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin
Essa etapa é essencial na configuração do ASDM, pois define quais redes têm acesso ao ASA. Um exemplo de configuração é semelhante a:
http server enable
http 192.168.1.0 255.255.255.0 inside
http 64.0.0.0 255.0.0.0 outside
Verifique se você tem as redes necessárias definidas na configuração anterior. A ausência dessas definições faz com que o iniciador ASDM exceda o tempo limite enquanto se conecta e apresenta este erro:
A página de lançamento do ASDM (https://<endereço IP do ASA>/admin) faz com que o tempo limite da solicitação seja excedido e nenhuma página é exibida.
Verifique ainda se o servidor HTTP usa uma porta não padrão para a conexão ASDM, como 8443. Isso é destacado na configuração:
ciscoasa(config)# show run http
http server enable 8443
Se ela usar uma porta fora do padrão, você precisará especificar a porta quando se conectar ao ASA no iniciador ASDM como:
Isso também se aplica a quando você acessa a página inicial do ASDM: https://10.106.36.132:8443/admin
Depois de concluir as etapas anteriores, o ASDM deverá abrir se tudo estiver funcionando no lado do cliente. No entanto, se ainda tiver problemas, abra o ASDM de outra máquina. Se você for bem-sucedido, o problema provavelmente está no nível do aplicativo e a configuração do ASA está boa. No entanto, se ainda não for iniciado, faça o seguinte para verificar ainda mais as configurações do ASA:
ciscoasa# show run all sslSe houver algum erro de negociação de cifras SSL enquanto o ASDM é iniciado, eles serão exibidos nos registros do ASA:
ssl server-version any <--- Check SSL Version restriction configured on the ASA
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
permitted on the ASA
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:Se você vir configurações específicas, reverta-as para o padrão.
no shared cipher
%ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
ciscoasa#show versionUma licença VPN-3DES-AES pode ser obtida sem nenhum custo do site de licenciamento da Cisco. Clique em Produtos de segurança e escolha Cisco ASA 3DES/AES License.
Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 64MB
Slot 1: ATA Compact Flash, 32MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
<snip>
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
<snip>
Protocol Socket Local Address Foreign Address StateSe essa saída não for exibida, remova e reaplique a configuração do servidor HTTP no ASA para redefinir o soquete no software ASA.
SSL 0001b91f 10.106.36.132:443 0.0.0.0:* LISTEN
aaa authentication http console LOCALLembre-se de criar um nome de usuário/senha ao habilitar o comando anterior:
username <username> password <password> priv <Priv level>Se nenhuma dessas etapas ajudar, essas opções de depuração estão disponíveis no ASA para investigação adicional:
debug http 255
debug asdm history 255
Se você tiver concluído a seção anterior e ainda não puder acessar o ASDM, a próxima etapa será verificar a conectividade de rede com o ASA da máquina a partir da qual deseja acessar o ASDM. Há algumas etapas básicas de Troubleshooting para verificar se o ASA recebe a solicitação da máquina cliente:
capture asdm_test interfaceIsso captura todo o tráfego TCP que vem para a porta 443 na interface ASA a partir da qual você se conecta ao ASDM. Conecte-se via ASDM neste momento ou abra a página de inicialização da Web do ASDM. Em seguida, use o comando show capture asdm_test para ver o resultado dos pacotes capturados:match tcp host
eq 443 host
For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
eq 443 host 10.106.36.13
ciscoasa# show capture asdm_testEssa captura mostra uma solicitação de sincronização (SYN) da máquina cliente para o ASA, mas o ASA não envia resposta. Se você vir uma captura semelhante à anterior, significa que os pacotes chegam ao ASA, mas o ASA não responde a essas solicitações, o que isola o problema para o próprio ASA. Consulte a primeira seção deste documento para fazer troubleshooting adicional.
Three packets captured
1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
Esta seção descreve como solucionar problemas do software iniciador do ASDM que foi instalado na máquina cliente quando ele falha ao iniciar/carregar. O iniciador ASDM é o componente que reside na máquina cliente e se conecta ao ASA para recuperar a imagem do ASDM. Depois de recuperada, a imagem do ASDM é geralmente armazenada em cache e é tirada de lá até que qualquer alteração seja percebida no lado do ASA, como uma atualização de imagem do ASDM.
Conclua estas etapas básicas de solução de problemas para excluir quaisquer problemas na máquina cliente:
Este procedimento ajuda a determinar quaisquer problemas da Camada 7 para o canal HTTP. Essas informações se mostram úteis quando você está em uma situação em que o aplicativo ASDM em si não está acessível e não há nenhum acesso CLI disponível para gerenciar o dispositivo.
O URL usado para acessar a página de lançamento da Web do ASDM também pode ser usado para executar qualquer comando de nível de configuração no ASA. Esse URL pode ser usado para fazer alterações de configuração em um nível básico no ASA, que inclui um recarregamento de dispositivo remoto. Para inserir um comando, use esta sintaxe:
https://<endereço IP do ASA>/admin/exec/<comando>
Se houver um espaço no comando e o navegador não puder analisar caracteres de espaço em uma URL, você poderá usar o + sinal ou %20 para indicar o espaço.
Por exemplo, https://10.106.36.137/admin/exec/show resulta em uma saída show version para o navegador:
Esse método de execução de comando exige que o servidor HTTP esteja ativado no ASA e tenha as restrições HTTP necessárias ativas. No entanto, isso NÃO exige que uma imagem ASDM esteja presente no ASA.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
31-Jul-2013 |
Versão inicial |