排除ASDM许可证、升级和兼容性问题
目录
简介
本文档介绍ASDM许可证、升级和兼容性问题的故障排除过程。
背景
本文档是自适应安全设备管理器(ASDM)故障排除系列的一部分,包括以下文档:
ASDM升级问题
问题1.如何将ASA/ASDM从源版本X升级到目标版本Y?
用户需要从源版本X升级到目标版本Y的ASA/ASDM升级帮助。
故障排除 — 建议的操作
1.确保ASA、ASDM、操作系统和Java版本与目标版本兼容。 请参阅 思科安全防火墙ASA版本说明, 思科安全防火墙ASDM版本说明, 思科安全防火墙ASA兼容性.
ASA、ASDM、操作系统和Java版本必须兼容,而且目标版本必须在特定硬件上支持。https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html
2.对于在Firepower 4100/9300上运行的ASA,确保Firepower可扩展操作系统(FXOS)与ASA软件版本兼容。请参阅Cisco Firepower 4100/9300 FXOS兼容性。
3.检查目标版本中的更改,确保熟悉这些更改。 思科安全防火墙ASA版本说明, 思科安全防火墙ASDM版本说明.如果是 Firepower 4100/9300,通过查看 FXOS版本说明.
4.确保检查版本说明中的升级路径。在本示例中,版本7.22发行版本注释中的表2包含从早期版本到目标版本的升级路径:
5.满足兼容性要求后,从“软件下载”页面下载目标ASA/ASDM和FXOS版本(仅限Firepower 4100/9300)。确保选择特定硬件型号,如本例所示。推荐的版本以金星标记:
6.确保完成本章:规划升级和章节:Cisco Secure Firewall ASA升级指南中的ASA升级。
参考
问题2.推荐的ASA/ASDM版本是什么?
用户询问ASA/ASDM的推荐版本。
故障排除 — 建议的操作
Cisco TAC不提供有关软件版本的建议。用户可根据软件质量、稳定性和寿命下载思科建议版本。建议的版本以金星标记,如下所示:
问题3.通过工具 > 检查ASA/ASDM更新,在ASDM中检查ASA/ASDM更新失败
通过Tools > Check for ASA/ASDM Updates在ASDM中检查ASA/ASDM更新失败。具体来说,可以观察到以下症状:
1.单击“登录”按钮后,即使提供了正确的凭证,也会再次出现“输入网络密码”窗口。
2.在Java控制台日志中显示“元数据请求失败”错误:
2024-06-16 13:00:03,471 [ERROR] Error::Failed : Request processing
88887 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - Error::Failed : Request processing
2024-06-16 13:00:03,472 [ERROR] Error::Access token request processing failed
88888 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - Error::Access token request processing failed
2024-06-16 13:00:04,214 [ERROR] getMetaDataResponse :: Server returned HTTP response code: 403 for URL: https://api.cisco.com/software/v3.0/metadata/udi/PID%3A+ASA5525+VID%3A+V01+SN%3A+FOX1316G5R5/mdf_id/282867084/software_type_id/282885451/current_release/X
89630 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - getMetaDataResponse :: Server returned HTTP response code: 403 for URL: https://api.cisco.com/software/v3.0/metadata/udi/PID%3A+ASA5525+VID%3A+V01+SN%3A+FOX1316G5R5/mdf_id/282867084/software_type_id/282885451/current_release/X
2024-06-16 13:00:04,214 [ERROR] error::Meta data request failed.
89630 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - error::Meta data request failed.
故障排除 — 建议的操作
请参阅软件Cisco Bug ID CSCvf91260“ASDM:由于不可忽略的字段,从CCO升级不起作用。“元数据请求失败”。解决方法是直接从下载页面下载映像并上传到防火墙。
问题4.哪些版本包含针对特定漏洞的修复版本?
用户询问特定漏洞的固定版本。
故障排除 — 建议的操作
- 确保检查受影响产品的安全建议。
- 在安全建议中,将现有硬件和软件版本提供给软件检查器,然后单击Check:
3.如果固定版本可用,请记下“第一个固定”或“未受影响”列中的版本:
4.执行“问题1.如何将ASA/ASDM从源版本X升级到目标版本Y?”中的步骤 部分,用于升级软件。
问题5.“%错误:ASDM包未进行数字签名。拒绝配置。" 错误消息
“%错误:ASDM包未进行数字签名。拒绝配置。" 使用asdm image <image path>命令设置新ASDM映像时出现错误消息。
故障排除 — 建议的操作
1. ASA验证ASDM映像是否为思科数字签名映像。如果您尝试使用此修复程序运行ASA版本的旧版ASDM映像,ASDM将被阻止,并显示消息“%ERROR:签名对文件disk0:/<filename>”无效,将在ASA CLI中显示。ASDM版本7.18(1.152)及更高版本向后兼容所有ASA版本,即使没有此修复程序也如此。请参阅Cisco ASDM 7.17(x)版本说明中的重要说明部分。
2.对于在安全防火墙3100上运行的ASA,请检查软件Cisco bug ID CSCwc12322 “Digital signed ASDM image verification error on FPR3100 platforms(FPR3100平台上的数字签名ASDM映像验证错误)”。
参考
问题6.在多情景模式下无法检查ASA/ASDM更新
在多情景模式下,Tools > Check for ASA/ASDM Updates选项将灰显:
故障排除 — 建议的操作
通常,此选项呈灰色显示,因为在Device List选项卡中,当前选择上下文是admin上下文:
在这种情况下,请确保通过双击System图标切换到系统情景:
问题7.“尚未接受或拒绝思科通用条款表以继续下载。” 错误消息
“思科通用条款表格未被接受或拒绝,无法继续下载。” 当用户尝试通过Tools > Check for ASA/ASDM Updates菜单更新ASA/ASDM映像时,会显示错误消息。
故障排除 — 建议的操作
如果用户不接受最终用户许可协议(EULA),则会显示此错误消息。要继续,请确保接受EULA。
参考
问题 8. 无法下载特定硬件的软件
“软件下载”(Software Download)页面不显示特定硬件的某些ASA/ASDM软件版本。
故障排除 — 建议的操作
特定硬件的软件可用性主要取决于兼容性和寿命终止(EoL)里程碑。如果产品不兼容、EoL产品或延迟发布,则通常不能下载软件版本。
确保完成以下步骤以验证兼容性和受支持的版本:
- 检查软件和硬件版本之间的兼容性。请参阅Cisco安全防火墙ASA兼容性。
- 检查软件维护版本终止日期和寿命终止通知和销售终止通知中的最后支持日期
- 软件维护版本结束日期 — 思科工程部门可以发布任何最终软件维护版本或漏洞修复的最后日期。在此日期之后,思科工程部门将不再开发、维修、维护或测试产品软件。
- 最后支持日期 — 根据有效服务合同或保修条款和条件获得产品适用服务和支持的最后日期。在此日期之后,该产品的所有支持服务将不可用,并且该产品将作废。
3.查看Cisco Secure Firewall ASA Release Notes和Cisco Secure Firewall ASDM Release Notes,了解延迟或删除版本。
参考
问题9. “Error occurred in perform File Transfer HTTP Response code -1(执行文件传输HTTP响应代码–1时出错)”错误消息
当用户使用ASDM Tools > File Management选项将文件上传到防火墙时,会显示“Error occurred in perform File Transfer HTTP Response code -1”错误消息。
故障排除 — 建议的操作
请参阅软件Cisco Bug ID CSCvf85831 “ASDM error "Error occurred in perform File Transfer HTTP Response code -1" during image upload”。
ASDM兼容性问题
本节介绍最常见的ASDM兼容性问题。
通常,ASDM必须与以下组件兼容:
- ASA
- Java
- 操作系统 (OS)
- 浏览器
- SFR模块(如果使用)
因此,在安装或升级ASDM之前,强烈建议始终首先检查下表:
然后“ASA和ASDM每个型号的兼容性”表,例如:
注意:
新的ASA版本需要协调的ASDM版本或更高版本;不能将旧版本的ASDM与新版本的ASA一起使用。
示例 1
不能将ASDM 7.17与ASA 9.18一起使用。对于ASA中继,您可以继续使用当前ASDM版本,除非另有说明。例如,您可以将ASA 9.22(1.2)与ASDM 7.22(1)配合使用。
示例 2
您有ASAS 9.8(4)32。您可以使用ASDM 7.19(1)对其进行管理,因为ASDM向后兼容,除非ASDM版本说明中另有说明。
参考
- https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25469
- https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65776
问题1. Java版本不兼容
故障排除 — 建议的步骤
检查Java控制台日志:
然后检查Java和ASA兼容性指南:
- https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25469
- https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65776
问题2. ASA和ASDM版本不兼容
如果您遇到不兼容的ASA和ASDM版本,则可能会失去对ASDM UI的访问权限。
故障排除 — 建议的步骤
您需要从设备的CLI安装ASDM版本,通过TFTP将映像复制到ASA的闪存中,然后按照以下指南中的说明使用命令“asdm image”设置ASDM映像:
示例
asa# copy tftp flash
Address or name of remote host []? 10.62.146.125
Source filename []? asdm-7221.bin
Destination filename [asdm-7221.bin]?
Verifying file disk0:/asdm-7221.bin...
Writing file disk0:/asdm-7221.bin...
INFO: No digital signature found
126659176 bytes copied in 70.590 secs (1809416 bytes/sec)
asa# config terminal
asa(config)# asdm image disk0:/asdm-7151-150.bin
asa(config)# copy run start
Source filename [running-config]?
Cryptochecksum: afae0454 bf24b2ac 1126e026 b1a26a2c
4303 bytes copied in 0.210 secs
问题3. ASDM和OpenJDK支持
Cisco ASDM映像正式不支持OpenJDK。因此,有2个可用选项:
- Oracle JRE:包含用于在主机PC上启动ASDM的Java Web Start运行时。要使用此方法,需要在本地PC上安装64位Oracle JRE。您可以从Java的官方网站下载此文件。
- OpenJRE:开放的JRE映像与Oracle映像相同,但不同之处在于,您不需要在本地PC上安装64位Oracle JRE,因为映像本身具有Java Web Start功能来启动ASDM。这就是为什么OpenJRE映像的大小大于Oracle JRE的原因。请注意,OpenJRE将使用较旧的Java版本进行编译,因为它们使用的是在ASDM openJRE开发周期开始时提供的最新稳定版本。
Oracle JRE与OpenJRE
| Oracle JRE |
OpenJRE |
|
| 要求在终端主机上安装Java |
Yes |
否(它集成了自己的Java) |
| 专有 |
Yes |
否(开源) |
| 图像大小 |
中 |
规模更大,因为它还集成了Java |
| 镜像名称 |
asdm-xxxx.bin |
asdm-openjre-xxxx.bin |
提示:如果您决定更改ASDM启动器版本,请先卸载现有的ASDM启动器,然后通过通过HTTPS连接到ASA来安装新的。
参考
- https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472
- OpenJDK:完整的开发和运行环境、开源、GPL许可证。
- Oracle JRE:仅运行时环境、专有许可证需要商业许可证才能用于生产。
- OpenJRE:仅限运行时环境、开源、GPL许可证。
- https://www.oracle.com/java/technologies/javase/jre8-readme.html
问题4. ASDM和Java Azul Zulu兼容性
基于Oracle JRE的ASDM映像不支持Java Azul Zulu。另一方面,基于ASDM OpenJRE的映像会与祖鲁集成。有关可用选项,请查看“问题3”建议。
问题5.警告:在文件disk0:/asdm-xxx.bin中找不到签名
示例:
asa# copy tftp flash:
Address or name of remote host [192.0.2.5]?
Source filename []? asdm-7171.bin
Destination filename [asdm-7171.bin]?
Accessing ftp://192.0.2.5/asdm-7171.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/asdm-7171.bin...
%WARNING: Signature not found in file disk0:/asdm-7171.bin.
故障排除 — 建议的步骤
这通常是ASA与ASDM的兼容性问题。检查ASDM兼容性指南,确保ASDM与ASA映像兼容。您可以在以下网址找到ASA和ASDM兼容性矩阵:
https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65776
问题6.“%错误:ASDM包未进行数字签名。拒绝配置。"
当使用设置新的ASDM映像时,会显示此错误消息。 asdm image <image path> 命令。
故障排除 — 建议的操作
- ASA验证ASDM映像是否为思科数字签名映像。如果您尝试使用此修复程序运行ASA版本的旧版ASDM映像,ASDM将被阻止,并显示消息“%ERROR:签名对文件disk0:/<filename>”无效,将在ASA CLI中显示。ASDM版本7.18(1.152)及更高版本向后兼容所有ASA版本,即使没有此修复程序也如此。请参阅中的重要说明部分 思科ASDM 7.17(x)版本说明.
- 更新主机PC上的Java版本。
- 对于在安全防火墙3100上运行的ASA,请检查软件Cisco Bug ID CSCwc12322 "FPR3100平台上的数字签名ASDM映像验证错误"
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc12322
问题7。“%ERROR:签名对文件disk0:/<filename>”无效
文件复制期间会显示错误,例如:
asa# copy tftp://cisco:cisco@192.0.2.1/cisco-asa-fp2k.9.20.3.7.SPA
Address or name of remote host [192.0.2.1]?
Source filename [cisco-asa-fp2k.9.20.3.7.SPA]?
Destination filename [cisco-asa-fp2k.9.20.3.7.SPA]?
Accessing tftp://cisco:<password>@192.0.2.1/cisco-asa-fp2k.9.20.3.7.SPA...
!!!!!!!!!!!!!!!!!!!...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp2k.9.20.3.7.SPA...
%ERROR: Signature not valid for file disk0:/cisco-asa-fp2k.9.20.3.7.SPA.
故障排除 — 建议的操作
ASA 9.14(4.14)及更高版本需要ASDM 7.18(1.152)或更高版本。ASA现在验证ASDM映像是否为思科数字签名的映像。如果您尝试使用具有此修复程序的ASA版本运行早于7.18(1.152)的ASDM映像,则会阻止ASDM并显示消息“%ERROR:签名对文件disk0:/<filename>”无效,将在ASA CLI中显示。
此更改是由Cisco ASDM和ASA软件客户端任意代码执行漏洞(CVE ID CVE-2022-20829)引起的
- https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwb05291
- https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwb05264
如果设备在平台模式下运行,请按照本文档中的说明上传映像: https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#topic_zp4_dzj_cjb
参考
- ASDM版本说明: https://www.cisco.com/c/en/us/td/docs/security/asdm/7_14/release/notes/rn714.html#reference_yw3_ngz_vhb
- ASA升级指南: https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#task_E9EE51964590499999B1D976F66E2771
问题8.安全防火墙状态(Hostscan)兼容性
Hostscan版本取决于AnyConnect版本,而不是ASA版本。您可以在此处找到两个版本:软件下载 — Cisco Systems:
https://software.cisco.com/download/home/283000185
问题9.受支持的最新版本
故障排除 — 建议的操作
如果您希望了解防火墙支持的最新ASDM版本,需要检查的文档主要有两种:
具体来说,ASA型号表
第二个文档是SW下载页面:
https://software.cisco.com/download/home/286291275
您可以找到硬件支持的每个软件系列的最新ASDM版本,例如:
问题10. Linux上的ASDM支持
故障排除 — 建议的操作
Linux未正式支持。
相关增强:
Cisco Bug ID CSCwk67345 
增强版:在支持的操作系统列表中包括Linux
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwk67345
问题11. ASDM支持终止
故障排除 — 建议的操作
请查阅ASA/ASDM生命周期终止和销售终止通知:
https://www.cisco.com/c/en/us/products/security/asa-firepower-services/eos-eol-notice-listing.html
ASDM许可证问题
本节介绍最常见的ASDM许可证相关问题。
智能许可模式用于:
- Firepower 4100/9300机箱注册:ASA许可证管理
- ASAv、Firepower 1000、Firepower 2100、Firepower 9300和Firepower 4100:许可证:智能软件许可(ASAv、Firepower上的ASA)
所有其他型号均使用产品授权密钥(PAK)许可
参考
- 思科安全防火墙ASA系列功能许可证 — 型号指南
https://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/licenseroadmap.html
问题1.缺少3DES/AES智能许可证
ASDM需要ASA上的强加密许可证(3DES/AES),除非您使用管理接口访问它。要通过数据接口启用ASDM访问,您需要获取3DES/AES许可证。
向思科请求3DES/AES许可证的步骤:
- 转至 https://www.cisco.com/go/license
- 单击Continue to Product License Registration。
- 在许可门户中,点击文本字段旁边的获取其他许可证。
- 从下拉列表中选择IPS、Crypto、Other...。
- 在Search by Keyword字段中键入ASA。
- 在产品列表中选择Cisco ASA 3DES/AES许可证,然后单击下一步。
- 输入ASA的序列号,然后按照提示为ASA请求3DES/AES许可证。
故障排除 — 建议的操作
要启用许可证并注册到思科智能许可门户,请确保以下项目已就绪:
- ASA时钟显示正确的时间。建议使用NTP服务器。
- 路由至思科智能许可门户。
- 从防火墙到许可门户的HTTPS流量不会被阻止。防火墙上的捕获收集可以确认这一点。
- 如果需要使用HTTP代理服务器,请包含所需的命令,例如:
ciscoasa(config)# call-home
ciscoasa(cfg-call-home)# http-proxy 10.1.1.1 port 443
问题2. Oracle Java JRE许可要求
故障排除 — 建议的操作
ASDM .bin映像文件有两种形式:
- Oracle JRE:包含用于在主机PC上启动ASDM的Java Web Start运行时。要使用此方法,需要在本地PC上安装64位Oracle JRE。您可以从Java的官方网站下载此文件。
- OpenJRE:开放的JRE映像与Oracle映像相同,但不同之处在于,您不需要在本地PC上安装64位Oracle JRE,因为映像本身具有Java Web Start功能来启动ASDM。
如果您决定使用基于Oracle的ASDM映像,当您将其用于非个人用途时,需要具有Java许可证。根据Oracle Java SE许可常见问题:
个人使用是指在台式机或笔记本电脑上使用Java来玩游戏或运行其他个人应用程序。如果您在台式机或笔记本电脑上使用Java作为任何业务操作的一部分,则这不是个人使用。例如,您可以使用Java生产力应用程序来完成自己的家庭作业或个人税费,但不能使用它来执行企业会计工作。
如果您不想应用任何Java许可证,可以使用基于OpenJRE的ASDM映像。
参考
- https://www.oracle.com/java/technologies/javase/jdk-faqs.html
- ASDM 7.22的ASDM Java要求:https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472
- ASDM 7.22的ASDM兼容性说明:https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25476
问题3.有关多情景模式中的站点到站点VPN许可证的ASDM警告
ASDM显示以下内容:
警告:没有为此情景分配站点到站点VPN许可证。请转至安全情景管理以将VPN许可证分配到此情景。
故障排除 — 建议的操作
这是一个表面软件缺陷,跟踪者为:
Cisco Bug ID CSCvj66962 ASDM 7.9(2)ASA 9.6(4)8多情景L2L持续错误
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvj66962
您可以订用缺陷,因此您将收到有关缺陷更新的通知。
参考
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
29-Nov-2024
|
首次公开发布 |
1.0 |
29-Nov-2024
|
初始版本 |
反馈