排除ASDM許可證、升級和相容性問題
目錄
簡介
本文檔介紹ASDM許可證、升級和相容性問題的故障排除過程。
背景
本文檔是Adaptive Security Appliance Device Manager(ASDM)故障排除系列的一部分,本文檔包括以下文檔:
ASDM升級問題
問題1.如何將ASA/ASDM升級從源版本X升級到目標版本Y?
使用者需要獲得從源版本X升級到目標版本Y的ASA/ASDM升級幫助。
疑難排解 — 建議動作
1.確保ASA、ASDM、作業系統和Java版本與目標版本相容。 請參閱 《 Cisco Secure Firewall ASA發佈說明》中, Cisco Secure Firewall ASDM發行說明中, Cisco安全防火牆ASA相容性.
ASA、ASDM、作業系統和Java版本必須相容,且目標版本必須在特定硬體上支援。https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html
2.對於在Firepower 4100/9300上運行的ASA,確保Firepower可擴展作業系統(FXOS)與ASA軟體版本相容。請參閱Cisco Firepower 4100/9300 FXOS相容性。
3.請查閱相關資料,以確保熟悉目標版本中的變更。 《 Cisco Secure Firewall ASA發佈說明》中, Cisco Secure Firewall ASDM發行說明.在案例中 Firepower 4100/9300,通過檢視 《 FXOS發佈說明》.
4.確保檢查版本說明中的升級路徑。在本示例中,版本7.22的發行說明中的表2包含從早期版本到目標版本的升級路徑:
5.滿足相容性要求後,從「軟體下載」頁面下載目標ASA/ASDM和FXOS版本(僅限Firepower 4100/9300)。確保選擇特定的硬體型號,如本例所示。建議版本以金星標籤:
6.確保完成該章節:規劃升級和章節:Cisco Secure Firewall ASA升級指南中的ASA升級指南。
參考資料
- 《 Cisco Secure Firewall ASA發佈說明》
- Cisco Secure Firewall ASDM發行說明
- Cisco安全防火牆ASA相容性
- Cisco Firepower 4100/9300 FXOS相容性
- Cisco Secure Firewall ASA升級指南
問題2.推薦的ASA/ASDM版本是什麼?
使用者詢問有關ASA/ASDM的建議版本的資訊。
疑難排解 — 建議動作
Cisco TAC不提供有關軟體版本的建議。使用者可以下載基於軟體品質、穩定性和壽命的思科建議版本。建議版本標有金星,如下所示:
問題3.通過工具 > 檢查ASA/ASDM更新,在ASDM中檢查ASA/ASDM更新失敗
通過工具 > 檢查ASA/ASDM更新在ASDM中檢查ASA/ASDM更新失敗。具體來說,可以觀察到以下症狀:
1.按一下「登入」按鈕後,即使提供了正確的身份證明,也會重新出現「輸入網路密碼」視窗。
2.在Java控制檯日誌中顯示「後設資料請求失敗」錯誤:
2024-06-16 13:00:03,471 [ERROR] Error::Failed : Request processing
88887 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - Error::Failed : Request processing
2024-06-16 13:00:03,472 [ERROR] Error::Access token request processing failed
88888 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - Error::Access token request processing failed
2024-06-16 13:00:04,214 [ERROR] getMetaDataResponse :: Server returned HTTP response code: 403 for URL: https://api.cisco.com/software/v3.0/metadata/udi/PID%3A+ASA5525+VID%3A+V01+SN%3A+FOX1316G5R5/mdf_id/282867084/software_type_id/282885451/current_release/X
89630 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - getMetaDataResponse :: Server returned HTTP response code: 403 for URL: https://api.cisco.com/software/v3.0/metadata/udi/PID%3A+ASA5525+VID%3A+V01+SN%3A+FOX1316G5R5/mdf_id/282867084/software_type_id/282885451/current_release/X
2024-06-16 13:00:04,214 [ERROR] error::Meta data request failed.
89630 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - error::Meta data request failed.
疑難排解 — 建議動作
請參閱軟體思科錯誤ID CSCvf91260 "ASDM:由於不可忽略的欄位,無法從CCO進行升級。「後設資料請求失敗」。因應措施是直接從下載頁面下載映像並上傳到防火牆。
問題4.哪些版本包含針對特定漏洞修復的漏洞?
使用者詢問特定漏洞的修正版本。
疑難排解 — 建議動作
- 確保檢查受影響產品的安全建議。
- 在安全建議中,將現有硬體和軟體版本提供給軟體檢查器,然後按一下Check:
3.如果固定版本可用,請記下「第一個固定」或「未受影響」列中的版本:
4.完成「問題1.如何將ASA/ASDM升級從源版本X升級到目標版本Y?」中的步驟 部分,用於升級軟體。
問題5. "% ERROR:ASDM包未進行數位簽章。正在拒絕配置。」 錯誤消息
「% ERROR:ASDM包未進行數位簽章。正在拒絕配置。」 使用asdm image <image path>命令設定新ASDM映像時出現錯誤消息。
疑難排解 — 建議動作
1. ASA驗證ASDM映像是否為思科數位簽章的映像。如果嘗試運行帶有此修復程式的ASA版本的舊版ASDM映像,則會阻止ASDM並顯示消息「%ERROR:ASA CLI上顯示檔案disk0:/<filename>"的簽名無效。ASDM 7.18(1.152)及更高版本向後相容所有ASA版本,即使沒有此修復程式也如此。請參閱Cisco ASDM 7.17(x)版本說明中的重要說明部分。
2.對於在安全防火牆3100上運行的ASA,檢查軟體思科錯誤ID CSCwc12322 「Digital signed ASDM image verification error on FPR3100 platforms(FPR3100平台上的數位簽章ASDM映像驗證錯誤)」。
參考資料
問題6.無法在多情景模式下檢查ASA/ASDM更新
在多情景模式下,Tools > Check for ASA/ASDM Updates選項呈灰色顯示:
疑難排解 — 建議動作
通常,此選項呈灰色顯示,因為在Device List頁籤中,當前選擇上下文是admin上下文:
在這種情況下,請按兩下System圖示,確保切換到系統上下文:
問題7. 「Cisco's General Terms form has been accepted or rejected to continue download.」 錯誤消息
「思科通用條款表未被接受或拒絕繼續下載。」 當使用者嘗試通過工具 > 檢查ASA/ASDM更新選單更新ASA/ASDM映像時,會顯示錯誤消息。
疑難排解 — 建議動作
如果使用者未接受終端使用者授權合約(EULA),系統會顯示此錯誤訊息。若要繼續,請確保接受EULA。
參考資料
問題8. 無法下載特定硬體的軟體
「軟體下載」(Software Download)頁面未顯示特定硬體的某些ASA/ASDM軟體版本。
疑難排解 — 建議動作
特定硬體的軟體可用性主要取決於相容性和壽命終止(EoL)里程碑。在不相容情況、EoL產品或延遲發行的情況下,通常不能下載軟體版本。
確保執行以下步驟以驗證相容性和受支援的版本:
- 檢查軟體和硬體版本之間的相容性。請參閱Cisco安全防火牆ASA相容性。
- 檢查軟體維護版本結束日期和壽命終止和銷售終止通知中的最後支援日期
- 軟體維護版本結束日期 — 思科工程部門可以發佈任何最終軟體維護版本或錯誤修復的最後日期。在此日期之後,思科工程部門將不再開發、修復、維護或測試產品軟體。
- 最後支援日期 — 收到產品適用服務和支援的最後日期(根據有效服務合約或保修條款和條件授權)。在此日期之後,該產品的所有支援服務都將不可用,該產品將作廢。
3.檢視思科安全防火牆ASA版本說明和思科安全防火牆ASDM版本說明,瞭解推遲或刪除版本。
參考資料
問題9. 「Error occurred in perform File Transfer HTTP Response code -1(執行檔案傳輸HTTP響應代碼–1時出錯)」錯誤消息
當使用者使用ASDM Tools > File Management選項將檔案上傳到防火牆時,將顯示「Error occurred in perform File Transfer HTTP Response code -1」錯誤消息。
疑難排解 — 建議動作
請參閱軟體思科錯誤ID CSCvf85831 "ASDM錯誤"Error occurred in perform File Transfer HTTP Response code -1" during image upload"。
ASDM相容性問題
本節介紹最常見的ASDM相容性相關問題。
一般來說,ASDM必須與這些元件相容:
- ASA
- Java
- 作業系統(OS)
- 瀏覽器
- SFR模組(如果使用)
因此,在安裝或升級ASDM之前,強烈建議始終首先檢查下表:
然後「每個型號的ASA和ASDM相容性」表,例如:
附註:
新的ASA版本需要協調的ASDM版本或更高版本;不能將舊版本的ASDM與新版本的ASA一起使用。
範例 1
您不能將ASDM 7.17與ASA 9.18配合使用。對於ASA中繼,您可以繼續使用當前的ASDM版本,除非另有說明。例如,您可以將ASA 9.22(1.2)與ASDM 7.22(1)配合使用。
範例 2
您有ASAS 9.8(4)32。您可以使用ASDM 7.19(1)對其進行管理,因為ASDM向後相容,除非在ASDM發行說明中另有說明。
參考資料
- https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25469
- https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65776
問題1:Java版本不相容
疑難排解 — 建議步驟
檢查Java控制檯日誌:
然後檢查Java和ASA相容性指南:
- https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25469
- https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65776
問題2. ASA和ASDM版本不相容
如果您遇到不相容的ASA和ASDM版本,則可能會失去對ASDM UI的訪問。
疑難排解 — 建議步驟
您需要從裝置的CLI安裝ASDM版本,通過TFTP將映像複製到ASA的快閃記憶體中,然後按照以下指南中的說明使用命令「asdm image」設定ASDM映像:
範例
asa# copy tftp flash
Address or name of remote host []? 10.62.146.125
Source filename []? asdm-7221.bin
Destination filename [asdm-7221.bin]?
Verifying file disk0:/asdm-7221.bin...
Writing file disk0:/asdm-7221.bin...
INFO: No digital signature found
126659176 bytes copied in 70.590 secs (1809416 bytes/sec)
asa# config terminal
asa(config)# asdm image disk0:/asdm-7151-150.bin
asa(config)# copy run start
Source filename [running-config]?
Cryptochecksum: afae0454 bf24b2ac 1126e026 b1a26a2c
4303 bytes copied in 0.210 secs
問題3. ASDM和OpenJDK支援
Cisco ASDM映像正式不支援OpenJDK。因此,有兩種可用選項:
- Oracle JRE:包含用於在主機PC上啟動ASDM的Java Web Start運行時。要使用此方法,需要在本地PC上安裝64位Oracle JRE。您可以從Java的官方網站下載此檔案。
- OpenJRE:開放的JRE映像與Oracle映像相同,但不同之處在於,您不需要在本機PC上安裝64位Oracle JRE,因為映像本身具有Java Web Start功能來啟動ASDM。這就是為什麼OpenJRE映像的大小大於Oracle JRE的原因。請注意,使用較舊的Java版本會看到OpenJRE,因為它們是使用在ASDM openJRE開發週期開始時提供的最新穩定版本編譯的。
Oracle JRE與OpenJRE
| Oracle JRE |
OpenJRE |
|
| 需要在終端主機上安裝Java |
是 |
否(它整合了自己的Java) |
| 專有 |
是 |
否(開源) |
| 影象大小 |
中 |
規模更大,因為它還整合了Java |
| 映像名稱 |
asdm-xxxx.bin |
asdm-openjre-xxxx.bin |
提示:如果您決定更改ASDM啟動程式版本,請先解除安裝現有的ASDM啟動程式,然後通過通過HTTPS連線到ASA來安裝新的。
參考資料
- https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472
- OpenJDK:完整的開發和運行環境、開源、GPL許可證。
- Oracle JRE:只有運行時環境(專有許可證)需要商業許可證才能用於生產。
- OpenJRE:僅限運行時環境、開源、GPL許可證。
- https://www.oracle.com/java/technologies/javase/jre8-readme.html
問題4. ASDM和Java Azul Zulu相容性
基於Oracle JRE的ASDM映像不支援Java Azul Zulu。另一方面,基於ASDM OpenJRE的圖片來自於Azul Zulu的整合。有關可用選項,請檢視「問題3」建議。
問題5.警告:在檔案disk0:/asdm-xxx.bin中未找到簽名
範例:
asa# copy tftp flash:
Address or name of remote host [192.0.2.5]?
Source filename []? asdm-7171.bin
Destination filename [asdm-7171.bin]?
Accessing ftp://192.0.2.5/asdm-7171.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/asdm-7171.bin...
%WARNING: Signature not found in file disk0:/asdm-7171.bin.
疑難排解 — 建議步驟
這通常是ASA與ASDM的相容性問題。檢查ASDM相容性指南,確保ASDM與ASA映像相容。您可以在以下位置找到ASA和ASDM相容性矩陣:
https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65776
問題6. "% ERROR:ASDM包未進行數位簽章。正在拒絕配置。」
當使用設定新的ASDM映像時,將顯示此錯誤消息。 asdm image <image path> 指令。
疑難排解 — 建議動作
- ASA驗證ASDM映像是否為思科數位簽章的映像。如果嘗試運行帶有此修復程式的ASA版本的舊版ASDM映像,則會阻止ASDM並顯示消息「%ERROR:ASA CLI上顯示檔案disk0:/<filename>"的簽名無效。ASDM 7.18(1.152)及更高版本向後相容所有ASA版本,即使沒有此修復程式也如此。請參閱中的重要註意部分 思科ASDM 7.17(x)版本說明.
- 更新主機PC上的Java版本。
- 對於在安全防火牆3100上運行的ASA,請檢查軟體思科錯誤ID CSCwc12322 「FPR3100平台上的數位簽章ASDM映像驗證錯誤」
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc12322
問題7。「%ERROR:簽名對檔案disk0:/<filename>"無效
檔案複製過程中會顯示錯誤,例如:
asa# copy tftp://cisco:cisco@192.0.2.1/cisco-asa-fp2k.9.20.3.7.SPA
Address or name of remote host [192.0.2.1]?
Source filename [cisco-asa-fp2k.9.20.3.7.SPA]?
Destination filename [cisco-asa-fp2k.9.20.3.7.SPA]?
Accessing tftp://cisco:<password>@192.0.2.1/cisco-asa-fp2k.9.20.3.7.SPA...
!!!!!!!!!!!!!!!!!!!...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp2k.9.20.3.7.SPA...
%ERROR: Signature not valid for file disk0:/cisco-asa-fp2k.9.20.3.7.SPA.
疑難排解 — 建議動作
ASA 9.14(4.14)及更高版本要求ASDM 7.18(1.152)或更高版本。ASA現在驗證ASDM映像是否為思科數位簽章的映像。如果嘗試運行早於7.18(1.152)的ASDM映像,並且運行帶有此修復程式的ASA版本,則會阻止ASDM並顯示消息「%ERROR:ASA CLI上顯示檔案disk0:/<filename>"的簽名無效。
此更改是由Cisco ASDM和ASA軟體客戶端任意代碼執行漏洞(CVE ID CVE-2022-20829)引起的
- https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwb05291
- https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwb05264
如果裝置在平台模式下運作,請依照本檔案中的說明上傳映像: https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#topic_zp4_dzj_cjb
參考資料
- ASDM版本說明: https://www.cisco.com/c/en/us/td/docs/security/asdm/7_14/release/notes/rn714.html#reference_yw3_ngz_vhb
- ASA升級指南: https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#task_E9EE51964590499999B1D976F66E2771
問題8.安全防火牆狀態(Hostscan)相容性
與ASA版本相比,Hostscan版本更多地取決於AnyConnect版本。您可以在此處找到兩個版本:軟體下載 — Cisco Systems:
https://software.cisco.com/download/home/283000185
問題9.最新支援的版本
疑難排解 — 建議動作
如果您希望瞭解防火牆支援的最新ASDM版本,需要檢查的文檔主要有兩種:
具體來說,ASA型號表
第二個文檔是SW下載頁面:
https://software.cisco.com/download/home/286291275
您可以找到硬體支援的每個軟體系列的最新ASDM版本,例如:
問題10. Linux上的ASDM支援
疑難排解 — 建議動作
Linux未正式支援。
相關增強功能:
思科錯誤ID CSCwk67345 
ENH:在支援的OS清單中包括Linux
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwk67345
問題11. ASDM支援終止
疑難排解 — 建議動作
請參閱ASA/ASDM生命週期終止和銷售終止通知:
https://www.cisco.com/c/en/us/products/security/asa-firepower-services/eos-eol-notice-listing.html
ASDM許可證問題
本節介紹最常見的ASDM許可證相關問題。
智慧許可模式由以下人員使用:
- Firepower 4100/9300機箱註冊:適用於ASA的許可證管理
- ASAv、Firepower 1000、Firepower 2100、Firepower 9300和Firepower 4100:許可證:智慧軟體許可(ASAv、Firepower上的ASA)
所有其他型號使用產品授權金鑰(PAK)許可
參考資料
- Cisco安全防火牆ASA系列功能許可證 — 型號指南
https://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/licenseroadmap.html
問題1. 3DES/AES智慧許可證丟失
ASDM需要在ASA上獲得強加密許可證(3DES/AES),除非您使用管理介面訪問它。要通過資料介面啟用ASDM訪問,您需要獲得3DES/AES許可證。
要向思科請求3DES/AES許可證,請執行以下操作:
- 轉到https://www.cisco.com/go/license
- 按一下Continue to Product License Registration。
- 在許可門戶中,點選文本欄位旁邊的獲取其他許可。
- 從下拉選單中選擇IPS、Crypto、Other..。
- 在「Search by Keyword」欄位中鍵入ASA。
- 在Product清單中選擇Cisco ASA 3DES/AES License,然後按一下Next。
- 輸入ASA的序列號,然後按照提示請求ASA的3DES/AES許可證。
疑難排解 — 建議動作
要啟用許可證並註冊到思科智慧許可門戶,請確保以下專案已準備就緒:
- ASA時鐘顯示正確的時間。建議使用NTP伺服器。
- 路由至思科智慧許可門戶。
- 從防火牆到許可門戶的HTTPS流量不會被阻止。防火牆上的捕獲收集可以確認這一點。
- 如果需要使用HTTP Proxy伺服器,請包含所需的指令,例如:
ciscoasa(config)# call-home
ciscoasa(cfg-call-home)# http-proxy 10.1.1.1 port 443
問題2. Oracle Java JRE許可要求
疑難排解 — 建議動作
ASDM .bin映像檔案有兩種形式:
- Oracle JRE:包含用於在主機PC上啟動ASDM的Java Web Start運行時。要使用此方法,需要在本地PC上安裝64位Oracle JRE。您可以從Java的官方網站下載此檔案。
- OpenJRE:開放的JRE映像與Oracle映像相同,但不同之處在於,您不需要在本機PC上安裝64位Oracle JRE,因為映像本身具有Java Web Start功能來啟動ASDM。
如果您決定使用基於Oracle的ASDM映像,則在將其用於非個人用途時需要具有Java許可證。根據Oracle Java SE許可常見問題解答:
個人使用是指在台式機或筆記型電腦上使用Java來玩遊戲或運行其他個人應用程式。如果您在台式機或筆記型電腦上使用Java作為任何業務操作的一部分,則這不是個人使用。例如,可以使用Java生產力應用程式執行自己的作業或個人稅,但不能使用它執行企業會計。
如果您不想應用任何Java許可證,您可以使用基於OpenJRE的ASDM映像。
參考資料
- https://www.oracle.com/java/technologies/javase/jdk-faqs.html
- ASDM 7.22的ASDM Java要求:https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472
- ASDM 7.22的ASDM相容性說明:https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25476
問題3.多情景模式下站點到站點VPN許可證的ASDM警告
ASDM顯示以下內容:
警告:沒有為此上下文分配站點到站點VPN許可證。請轉到安全上下文管理以將VPN許可證分配給此上下文。
疑難排解 — 建議動作
這是一個表面軟體缺陷,跟蹤者:
思科錯誤ID CSCvj66962 ASDM 7.9(2)ASA 9.6(4)8多情景L2L持續錯誤
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvj66962
您可以訂閱缺陷,這樣您就會收到缺陷更新的通知。
參考資料
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
29-Nov-2024
|
初始版本 |
1.0 |
29-Nov-2024
|
初始版本 |
意見