请使用ASDM管理在ASA的一个Firepower模块
目录
简介
本文描述可适应安全设备管理器(ASDM)软件如何与可适应的安全工具(ASA)和对此安装的Firepower软件模块联络。
在ASA上安装的Firepower模块可以由管理:
- Firepower管理中心(FMC) -这是箱外管理解决方案。
- ASDM -这是在箱上管理解决方案。
先决条件
要求
对enable (event) ASDM管理的一种ASA配置:
ASA5525(config)# interface GigabitEthernet0/0 ASA5525(config-if)# nameif INSIDE ASA5525(config-if)# security-level 100 ASA5525(config-if)# ip address 192.168.75.23 255.255.255.0 ASA5525(config-if)# no shutdown ASA5525(config)# ASA5525(config)# http server enable ASA5525(config)# http 192.168.75.0 255.255.255.0 INSIDE ASA5525(config)# asdm image disk0:/asdm-762150.bin ASA5525(config)# ASA5525(config)# aaa authentication http console LOCAL ASA5525(config)# username cisco password cisco
检查在ASA/SFR模块之间的兼容性,否则Firepower选项将看不到。
另外,在ASA 3DES/AES许可证应该是启用的:
ASA5525# show version | in 3DES Encryption-3DES-AES : Enabled perpetual
保证ASDM客户端系统运行Java JRE支持的版本。
使用的组件
- 微软视窗7主机
- 运行ASA版本9.6(2.3)的ASA5525-X
- ASDM版本7.6.2.150
- Firepower软件模块6.1.0-330
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
体系结构
ASA有三个内部界面:
- asa_dataplane -它用于重定向自ASA数据路径的信息包到Firepower软件模块。
- asa_mgmt_plane -它用于允许Firepower管理接口与网络联络。
- cplane -使用调用Keepalive在ASA和Firepower模块之间的控制层面接口。
您能捕获在所有内部界面的数据流:
ASA5525# capture CAP interface ? asa_dataplane Capture packets on dataplane interface asa_mgmt_plane Capture packets on managementplane interface cplane Capture packets on controlplane interface
这可以形象化如下:
背景操作,当用户连接到ASA通过ASDM
考虑此拓扑:
当用户首次与ASA的ASDM连接,这些事件将发生:
Step1 -用户首次ASDM连接
用户指定用于HTTP管理的ASA IP地址,输入证件,并且首次往ASA的连接:
在背景中,在ASDM和ASA之间的一条SSL隧道设立:
这可以形象化如下:
第2步- ASDM发现ASA配置和Firepower模块IP地址
输入调试http 255 on命令ASA为了显示在背景中进行的所有检查,当ASDM连接到ASA时:
ASA5525# debug http 255 … HTTP: processing ASDM request [/admin/exec/show+module] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+module' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+cluster+interface-mode] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+cluster+interface-mode' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+cluster+info] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+cluster+info' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+module+sfr+details] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+module+sfr+details' from host 192.168.75.22
- show module - ASDM发现ASA模块。
- show module sfr详细资料- ASDM发现模块详细资料,包括Firepower管理IP地址。
这些在背景中将被看到作为从PC的一系列的SSL连接往ASA IP地址:
第3步- ASDM起动往Firepower模块的通信
因为ASDM认识Firepower管理IP地址,起动往模块的SSL会话:
这在背景中将被看到,从ASDM主机的SSL连接往Firepower管理IP地址:
这可以形象化如下:
ASDM验证Firepower,并且安全警告显示,因为Firepower认证自已签署的:
第4步- ASDM检索Firepower菜单项
在成功的验证以后, ASDM从Firepower设备检索菜单项:
被检索的选项在本例中显示:
它也检索ASA Firepower配置菜单项目:
故障排除
万一ASDM不能设立一条SSL隧道用Firepower管理IP地址,然后只将装载此Firepower菜单项:
ASA Firepower配置条目将失踪:
验证1
切记ASA管理接口启用和连接孔被连接到它在适当的VLAN :
ASA5525# show interface ip brief | include Interface|Management0/0 Interface IP-Address OK? Method Status Protocol Management0/0 unassigned YES unset up up
推荐排除故障
- 设置适当的VLAN。
- 提出端口(请检查电缆,检查交换端口配置(速度/双工/关闭))。
验证2
切记Firepower模块充分地初始化,和运行:
ASA5525# show module sfr details Getting details from the Service Module, please wait... Card Type: FirePOWER Services Software Module Model: ASA5525 Hardware version: N/A Serial Number: FCH1719J54R Firmware version: N/A Software version: 6.1.0-330 MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2 App. name: ASA FirePOWER App. Status: Up App. Status Desc: Normal Operation App. version: 6.1.0-330 Data Plane Status: Up Console session: Ready Status: Up DC addr: No DC Configured Mgmt IP addr: 192.168.75.123 Mgmt Network mask: 255.255.255.0 Mgmt Gateway: 192.168.75.23 Mgmt web ports: 443 Mgmt TLS enabled: true
A5525# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show version --------------------[ FP5525-3 ]-------------------- Model : ASA5525 (72) Version 6.1.0 (Build 330) UUID : 71fd1be4-7641-11e6-87e4-d6ca846264e3 Rules update version : 2016-03-28-001-vrt VDB version : 270 ---------------------------------------------------- >
推荐排除故障
- 检查console命令show module sfr的日志的输出错误或故障。
验证3
检查ASDM主机和Firepower模块管理IP用命令例如ping和tracert/traceroute之间的基本连通性:
推荐排除故障
- 检查沿路径的路由。
- 验证没有阻塞数据流在路径的设备。
验证4
如果ASDM主机和Firepower管理IP地址在同样第3层网络,请检查在ASDM主机的地址解析服务(ARP)表:
推荐排除故障
- 如果没有ARP条目,请使用Wireshark为了检查ARP通信。保证信息包的MAC地址是正确的。
- 如果有ARP条目,请保证他们是正确的。
验证5
在ASDM设备的Enable (event)捕获,当您通过ASDM连接为了发现时是否有主机和Firepower模块之间的适当的TCP通信。最少,您应该看到:
- 在ASDM主机和ASA之间的TCP三通的握手。
- SSL隧道设立在ASDM主机和ASA之间。
- 在ASDM主机和Firepower模块管理IP地址之间的TCP三通的握手。
- SSL隧道设立在ASDM主机和Firepower模块管理IP地址之间。
推荐排除故障
- 如果TCP三通的握手发生故障,请保证没有阻拦TCP信息包的不对称的数据流或设备在路径。
- 如果SSL发生故障,请检查是否没有在路径执行的设备人在这中间(MITM) (服务器证明发布者将产生此的一个暗示)。
验证6
为了到/从Firepower模块检查数据流,在asa_mgmt_plane接口的enable (event)捕获。在捕获,您能看到:
- 从ASDM主机(信息包42)的ARP请求。
- 从Firepower模块(信息包43)的ARP应答。
- 在ASDM主机和Firepower模块(信息包之间的TCP三通的握手44-46)。
ASA5525# capture FP_MGMT interface asa_mgmt_plane
ASA5525# show capture FP_MGMT | i 192.168.75.123
…
42: 20:27:28.532076 arp who-has 192.168.75.123 tell 192.168.75.22
43: 20:27:28.532153 arp reply 192.168.75.123 is-at 6c:41:6a:a1:2b:f2
44: 20:27:28.532473 192.168.75.22.48391 > 192.168.75.123.443: S 2861923942:2861923942(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
45: 20:27:28.532549 192.168.75.123.443 > 192.168.75.22.48391: S 1324352332:1324352332(0) ack 2861923943 win 14600 <mss 1460,nop,nop,sackOK,nop,wscale 7>
46: 20:27:28.532839 192.168.75.22.48391 > 192.168.75.123.443: . ack 1324352333 win 16695
推荐排除故障
- 同一样在验证5。
验证7
验证ASDM用户有权限级别15。当通过ASDM时,连接一种方式确认此将输入调试http 255命令:
ASA5525# debug http 255
debug http enabled at level 255.
HTTP: processing ASDM request [/admin/asdm_banner] with cookie-based authentication (aware_webvpn_conf.re2c:444)
HTTP: check admin session. Cookie index [2][c8a06c50]
HTTP: Admin session cookie [A27614B@20480@78CF@58989AACB80CE5159544A1B3EE62661F99D475DC]
HTTP: Admin session idle-timeout reset
HTTP: admin session verified = [1]
HTTP: username = [user1], privilege = [14]
推荐排除故障
- 如果权限级别不是15,则与有第15级的用户的尝试。
验证8
如果在ASDM主机和Firepower模块之间有网络adddress转换(NAT) Firepower管理IP地址的,则您需要指定NAT的IP地址:
推荐排除故障
- 在端点的捕获(ASA/SFR和终端-主机)将确认此。
验证9
切记Firepower模块没有由FMC已经管理,因为在那种情况下在ASDM的Firepower选项将失踪:
ASA5525# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
> show managers
Managed locally.
>
另一个方法是show module sfr详细资料命令:
ASA5525# show module sfr details
Getting details from the Service Module, please wait...
Card Type: FirePOWER Services Software Module
Model: ASA5525
Hardware version: N/A
Serial Number: FCH1719J54R
Firmware version: N/A
Software version: 6.1.0-330
MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 6.1.0-330
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.75.123
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.168.75.23
Mgmt web ports: 443
Mgmt TLS enabled: true
推荐排除故障
- 如果设备已经被管理,您需要未注册它,在您从ASDM前管理它。请参阅Firepower管理中心配置指南。
验证10
检查wireshark捕获为了保证ASDM客户端连接一个适当的TLS版本(例如, TLSv1.2)。
推荐排除故障
- 调整浏览器SSL设置。
- 用另一个浏览器尝试。
- 从另一终端-主机尝试。
验证11
验证在Cisco ASA兼容性指南ASA/ASDM镜像兼容。
推荐排除故障
- 请使用一个兼容的ASDM镜像。
验证12
验证在Cisco ASA兼容性指南Firepower设备是与ASDM版本兼容。
推荐排除故障
- 请使用一个兼容的ASDM镜像。
相关信息
反馈