使用ASDM管理ASA上的FirePOWER模块
目录
简介
本文档介绍自适应安全设备管理器(ASDM)软件如何与自适应安全设备(ASA)及其上安装的FirePOWER软件模块进行通信。
安装在ASA上的FirePOWER模块可以通过以下任一方式进行管理:
- Firepower管理中心(FMC) — 这是开箱即用的管理解决方案。
- ASDM — 这是机上管理解决方案。
先决条件
要求
启用ASDM管理的ASA配置:
ASA5525(config)# interface GigabitEthernet0/0 ASA5525(config-if)# nameif INSIDE ASA5525(config-if)# security-level 100 ASA5525(config-if)# ip address 192.168.75.23 255.255.255.0 ASA5525(config-if)# no shutdown ASA5525(config)# ASA5525(config)# http server enable ASA5525(config)# http 192.168.75.0 255.255.255.0 INSIDE ASA5525(config)# asdm image disk0:/asdm-762150.bin ASA5525(config)# ASA5525(config)# aaa authentication http console LOCAL ASA5525(config)# username cisco password cisco
检查ASA/SFR模块之间的兼容性,否则将看不到FirePOWER选项卡。
此外,在ASA上,应启用3DES/AES许可证:
ASA5525# show version | in 3DES Encryption-3DES-AES : Enabled perpetual
确保ASDM客户端系统运行受支持的Java JRE版本。
使用的组件
- Microsoft Windows 7主机
- 运行ASA版本9.6(2.3)的ASA5525-X
- ASDM 版本 7.6.2.150
- FirePOWER软件模块6.1.0-330
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
架构
ASA有三个内部接口:
- asa_dataplane — 用于将数据包从ASA数据路径重定向到FirePOWER软件模块。
- asa_mgmt_plane — 用于允许FirePOWER管理接口与网络通信。
- cplane — 用于在ASA和FirePOWER模块之间传输keepalive的控制平面接口。
您可以捕获所有内部接口中的流量:
ASA5525# capture CAP interface ? asa_dataplane Capture packets on dataplane interface asa_mgmt_plane Capture packets on managementplane interface cplane Capture packets on controlplane interface
这可以如下所示:
用户通过ASDM连接到ASA时的后台操作
请考虑以下拓扑:
当用户启动到ASA的ASDM连接时,将发生以下事件:
第1步 — 用户启动ASDM连接
用户指定用于HTTP管理的ASA IP地址,输入凭证,并发起到ASA的连接:
在后台,在ASDM和ASA之间建立SSL隧道:
这可以如下所示:
第2步 — ASDM发现ASA配置和FirePOWER模块IP地址
在ASA上输入debug http 255命令,以显示ASDM连接到ASA时在后台执行的所有检查:
ASA5525# debug http 255 … HTTP: processing ASDM request [/admin/exec/show+module] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+module' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+cluster+interface-mode] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+cluster+interface-mode' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+cluster+info] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+cluster+info' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+module+sfr+details] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+module+sfr+details' from host 192.168.75.22
- show module - ASDM发现ASA模块。
- show module sfr details - ASDM发现模块详细信息,包括FirePOWER管理IP地址。
在后台,这些将被视为从PC到ASA IP地址的一系列SSL连接:
第3步 — ASDM启动与FirePOWER模块的通信
由于ASDM知道FirePOWER管理IP地址,因此它向模块发起SSL会话:
这在后台将显示为从ASDM主机到FirePOWER管理IP地址的SSL连接:
这可以如下所示:
ASDM对FirePOWER进行身份验证,并且由于FirePOWER证书是自签名的,因此会显示安全警告:
第4步 — ASDM检索FirePOWER菜单项
身份验证成功后,ASDM从FirePOWER设备检索菜单项:
检索到的选项卡如下例所示:
它还检索ASA FirePOWER配置菜单项:
故障排除
如果ASDM无法使用FirePOWER管理IP地址建立SSL隧道,则它只加载此FirePOWER菜单项:
ASA FirePOWER配置项目也将丢失:
验证1
确保ASA管理接口处于UP状态,且连接到该接口的交换机端口处于正确的VLAN中:
ASA5525# show interface ip brief | include Interface|Management0/0 Interface IP-Address OK? Method Status Protocol Management0/0 unassigned YES unset up up
推荐的故障排除
- 设置正确的VLAN。
- 打开端口(检查电缆,检查交换机端口配置(速度/双工/关闭))。
验证2
确保FirePOWER模块已完全初始化、启动并运行:
ASA5525# show module sfr details Getting details from the Service Module, please wait... Card Type: FirePOWER Services Software Module Model: ASA5525 Hardware version: N/A Serial Number: FCH1719J54R Firmware version: N/A Software version: 6.1.0-330 MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2 App. name: ASA FirePOWER App. Status: Up App. Status Desc: Normal Operation App. version: 6.1.0-330 Data Plane Status: Up Console session: Ready Status: Up DC addr: No DC Configured Mgmt IP addr: 192.168.75.123 Mgmt Network mask: 255.255.255.0 Mgmt Gateway: 192.168.75.23 Mgmt web ports: 443 Mgmt TLS enabled: true
A5525# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show version --------------------[ FP5525-3 ]-------------------- Model : ASA5525 (72) Version 6.1.0 (Build 330) UUID : 71fd1be4-7641-11e6-87e4-d6ca846264e3 Rules update version : 2016-03-28-001-vrt VDB version : 270 ---------------------------------------------------- >
推荐的故障排除
- 检查show module sfr log console命令的输出中是否有错误或故障。
验证3
使用ping和tracert/traceroute等命令检查ASDM主机和FirePOWER模块管理IP之间的基本连接:
推荐的故障排除
- 检查沿路径的路由。
- 检验路径中是否没有设备阻止流量。
验证4
如果ASDM主机和FirePOWER管理IP地址位于同一第3层网络中,请检查ASDM主机上的地址解析协议(ARP)表:
推荐的故障排除
- 如果没有ARP条目,请使用Wireshark检查ARP通信。确保数据包的MAC地址正确。
- 如果有ARP条目,请确保它们正确。
验证5
在通过ASDM连接时,在ASDM设备上启用捕获,以查看主机与FirePOWER模块之间是否有正确的TCP通信。至少,您应看到:
- ASDM主机和ASA之间的TCP三次握手。
- 在ASDM主机和ASA之间建立的SSL隧道。
- ASDM主机与FirePOWER模块管理IP地址之间的TCP三次握手。
- 在ASDM主机和FirePOWER模块管理IP地址之间建立SSL隧道。
推荐的故障排除
- 如果TCP三次握手失败,请确保路径中不存在阻止TCP数据包的非对称流量或设备。
- 如果SSL失败,请检查路径中是否没有执行中间人(MITM)的设备(服务器证书颁发者将提供此提示)。
验证6
要检查进出FirePOWER模块的流量,请在asa_mgmt_plane接口上启用捕获。在捕获中,您可以看到:
- 来自ASDM主机(数据包42)的ARP请求。
- 来自FirePOWER模块(数据包43)的ARP应答。
- ASDM主机与FirePOWER模块(数据包44-46)之间的TCP三次握手。
ASA5525# capture FP_MGMT interface asa_mgmt_plane
ASA5525# show capture FP_MGMT | i 192.168.75.123
…
42: 20:27:28.532076 arp who-has 192.168.75.123 tell 192.168.75.22
43: 20:27:28.532153 arp reply 192.168.75.123 is-at 6c:41:6a:a1:2b:f2
44: 20:27:28.532473 192.168.75.22.48391 > 192.168.75.123.443: S 2861923942:2861923942(0) win 8192
45: 20:27:28.532549 192.168.75.123.443 > 192.168.75.22.48391:
S 1324352332:1324352332(0)
ack 2861923943 win 14600
46: 20:27:28.532839 192.168.75.22.48391 > 192.168.75.123.443: .
ack 1324352333 win 16695
推荐的故障排除
- 与验证5中相同。
验证7
验证ASDM用户是否具有权限级别15。确认此情况的一种方法是在通过ASDM连接时输入debug http 255命令:
ASA5525# debug http 255 debug http enabled at level 255. HTTP: processing ASDM request [/admin/asdm_banner] with cookie-based authentication (aware_webvpn_conf.re2c:444) HTTP: check admin session. Cookie index [2][c8a06c50] HTTP: Admin session cookie [A27614B@20480@78CF@58989AACB80CE5159544A1B3EE62661F99D475DC] HTTP: Admin session idle-timeout reset HTTP: admin session verified = [1] HTTP: username = [user1], privilege = [14]
推荐的故障排除
- 如果权限级别不是15,请尝试与级别为15的用户联系。
验证8
如果ASDM主机和FirePOWER模块之间存在用于FirePOWER管理IP地址的网络地址转换(NAT),则需要指定NATed IP地址:
推荐的故障排除
- 终端(ASA/SFR和终端主机)的捕获将确认这一点。
验证9
确保FirePOWER模块尚未由FMC管理,因为在这种情况下,ASDM中的FirePOWER选项卡将丢失:
ASA5525# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show managers Managed locally. >
另一种方法是使用show module sfr details命令:
ASA5525# show module sfr details Getting details from the Service Module, please wait... Card Type: FirePOWER Services Software Module Model: ASA5525 Hardware version: N/A Serial Number: FCH1719J54R Firmware version: N/A Software version: 6.1.0-330 MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2 App. name: ASA FirePOWER App. Status: Up App. Status Desc: Normal Operation App. version: 6.1.0-330 Data Plane Status: Up Console session: Ready Status: Up DC addr: No DC Configured Mgmt IP addr: 192.168.75.123 Mgmt Network mask: 255.255.255.0 Mgmt Gateway: 192.168.75.23 Mgmt web ports: 443 Mgmt TLS enabled: true
推荐的故障排除
- 如果设备已经受管,则需要在从ASDM管理设备之前将其注销。请参阅《Firepower管理中心配置指南》。
验证10
检查wireshark捕获,以确保ASDM客户端与适当的TLS版本(例如TLSv1.2)连接。
推荐的故障排除
- 调整浏览器SSL设置。
- 尝试使用其他浏览器。
- 从另一台终端主机尝试。
验证11
在《Cisco ASA兼容性指南》中验证ASA/ASDM映像是否兼容。
推荐的故障排除
- 使用兼容的ASDM映像。
验证12
在《Cisco ASA兼容性指南》中验证FirePOWER设备是否与ASDM版本兼容。
推荐的故障排除
- 使用兼容的ASDM映像。
反馈