Problemas de conexión ASA al Cisco Adaptive Security Device
Anuncio
Problemas de conexión ASA al Cisco Adaptive Security Device Manager Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Metodología de Troubleshooting Configuración ASA Imagen de ASDM en el Flash Imagen de ASDM funcionando Restricciones del servidor HTTP Otros problemas de la configuración posible Conectividad de red Software de aplicación Funcione con los comandos con el HTTPS Información Relacionada Introducción Este documento proporciona la metodología de Troubleshooting necesaria examinar los problemas hechos frente cuando usted accede/configuración el dispositivo de seguridad adaptante de Cisco (ASA) con el Cisco Adaptive Security Device Manager (ASDM). El ASDM entrega la Administración de seguridad y los servicios de supervisión para los dispositivos de seguridad a través de una interfaz de administración gráfica. Contribuido por Ishwinder Cheema y Jay Johnston, ingenieros de Cisco TAC. Prerrequisitos Requisitos Los escenarios, los síntomas, y los pasos enumerados en este documento se escriben para resolver problemas los problemas después de que la configuración inicial se configure en el ASA. Para la configuración inicial, refiera al acceso del ASDM que configura para la sección de los dispositivos de la guía de Configuración de ASDM de los funcionamientos generales de la serie de Cisco ASA, 7.1. Este documento utiliza el ASA CLI para resolver problemas, que requiere el acceso del Secure Shell (SSH) /Telnet/Console al ASA. Componentes Utilizados La información en este documento se basa en el ASDM y el ASA. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Metodología de Troubleshooting Hay tres puntas de la falla principal en las cuales este documento de Troubleshooting se centra. Si usted se adhiere al proceso de Troubleshooting general en esta orden, este documento debe ayudarle a determinar el problema exacto con el uso/el acceso del ASDM. Configuración ASA Conectividad de red Software de aplicación Configuración ASA Hay tres configuraciones esenciales que están presentes en el ASA que es necesario para acceder con éxito el ASDM: Imagen de ASDM en el Flash Imagen de ASDM funcionando Restricciones del servidor HTTP Imagen de ASDM en el Flash Aseegurese que la versión requerida del ASDM está cargada al flash. Puede cualquiera ser cargada con actualmente la versión del funcionamiento del ASDM o con otros métodos convencionales de transferencia de archivos al ASA, tal como TFTP. Ingrese el flash de la demostración en el ASA CLI para ayudarle a enumerar los archivos presentes en memoria flash ASA. Marque para saber si hay la presencia del archivo del ASDM: ciscoasa# show flash --#-249 250 251 252 253 76267 4096 15243264 25196544 17738924 Feb May May Mar Mar 28 12 08 11 28 --length-- 2013 2013 2013 2013 2013 19:58:18 20:26:12 21:59:10 22:43:40 00:12:12 -----date/time------ path startup-config.cfg sdesktop asa823-k8.bin asa845-k8.bin asdm-702.bin ---- ASDM Image Para verificar más lejos si la imagen presente en el flash es válida y no corromper, usted puede utilizar el comando verify para comparar el hash salvado MD5 en el paquete de software y el hash MD5 del presente real del archivo: ciscoasa# verify flash:/asdm-702.bin Verifying file integrity of disk0:/asdm-702.bin !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Done! Embedded Hash MD5: e441a5723505b8753624243c03a40980 Computed Hash MD5: e441a5723505b8753624243c03a40980 CCO Hash MD5: c305760ec1b7f19d910c4ea5fa7d1cf1 Signature Verified Verified disk0:/asdm-702.bin Este paso debe ayudarle a verificar si la imagen es presente y su integridad en el ASA. Imagen de ASDM funcionando Este proceso se define bajo Configuración de ASDM en el ASA. Una definición de la configuración de muestra de la imagen actual que es parecer usados esto: imagen disk0:/asdm-702.bin del asdm Para verificar más lejos, usted puede también utilizar el comando de la imagen del asdm de la demostración: ciscoasa# show asdm image Device Manager image file, disk0:/asdm-702.bin Restricciones del servidor HTTP Este paso es esencial en la Configuración de ASDM, porque define que las redes tienen acceso al ASA. Una configuración de muestra parece esto: http server enable http 192.168.1.0 255.255.255.0 inside http 64.0.0.0 255.0.0.0 outside Verifique que usted haga las redes necesarias definir en la configuración previa. La ausencia de esas definiciones hace el activador de ASDM medir el tiempo hacia fuera mientras que conecta y da este error: Se visualiza la página del lanzamiento del ASDM (dirección IP >/admin de https:// <ASA) causa la petición de medir el tiempo hacia fuera y ninguna página. Verifique más lejos que el servidor HTTP utilice un puerto no estándar para la conexión del ASDM, tal como 8443. Esto se resalta en la configuración: HTTP del funcionamiento de la demostración del ciscoasa(config)# permiso 8443 del servidor HTTP Si utiliza un puerto no estándar, usted necesita especificar el puerto cuando usted conecta con el ASA en el activador de ASDM como: Esto también solicita cuando usted accede la página del lanzamiento del ASDM: https://10.106.36.132:8443/admin Otros problemas de la configuración posible Después de que usted complete los pasos anteriores, el ASDM debe abrirse si todo es funcional en el lado del cliente. Sin embargo, si usted todavía experimenta los problemas, abra el ASDM de otra máquina. Si usted tiene éxito, el IS-IS del problema probablemente en el nivel de aplicación, y la configuración ASA está muy bien. Sin embargo, si todavía no puede iniciar, complete estos pasos para verificar más lejos las configuraciones del ASA-lado: 1. Verifique la configuración de Secure Sockets Layer (SSL) en el ASA. El ASDM utiliza el SSL mientras que comunica con el ASA. De acuerdo con la manera que se inicia el ASDM, un más nuevo software de sistema operativo no pudo permitir el uso de cifras más débiles cuando negocia a las sesiones SSL. Verifique qué cifras se permiten en el ASA, y si especifican a algunos SSL versión específicos en la configuración con la demostración funcione con todo el comando SSL: ciscoasa# show run all ssl ssl server-version any <--- Check SSL Version restriction configured on the ASA ssl client-version any ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers permitted on the ASA Si hay algunos errores de negociación de la cifra SSL mientras que los lanzamientos del ASDM, ellos visualizan en los registros ASA: %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no shared cipher %ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance Si usted ve las configuraciones específicas, inviértalas al valor por defecto. Note que la licencia VPN-3DES-AES necesita ser habilitada en el ASA para que las cifras 3DES y AES sean utilizadas por el ASA en la configuración. Esto se puede verificar con el comando show version en el CLI. Las visualizaciones de la salida como esto: ciscoasa#show version Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz Internal ATA Compact Flash, 64MB Slot 1: ATA Compact Flash, 32MB BIOS Flash M50FW080 <snip> Failover VPN-DES VPN-3DES-AES <snip> @ 0xffe00000, 1024KB : Active/Active : Enabled : Enabled Una licencia VPN-3DES-AES se puede obtener sin ningún coste de Cisco que autoriza el sitio web. Haga clic los productos de seguridad, y después elija la licencia de Cisco ASA 3DES/AES. Nota: En las nuevas Plataformas ASA 5500-X que envían con el código 8.6/9.x, las configuraciones de la cifra SSL se fijan al dessha1 por abandono, que hace a las sesiones ASDM no trabajar. Refiera al ASA 5500-x: El ASDM y la otra función SSL no se resuelven del artículo del cuadro para más información. 2. Verifique que el WebVPN esté habilitado en el ASA. Si se habilita, usted necesita utilizar este URL (https://10.106.36.132/admin) para accederlo cuando usted accede la página del lanzamiento de la red del ASDM. 3. Marque para saber si hay una configuración del Network Address Translation (NAT) en el ASA para el puerto 443. Esto hace el ASA no procesar los pedidos el ASDM sino enviarlos bastante a la red/a la interfaz para las cuales se ha configurado el NAT. 4. Si se verifica todo y el ASDM todavía mide el tiempo hacia fuera, verifique que el ASA esté configurado para escuchar en el puerto definido el ASDM con el comando socket de la tabla de la demostración ASP en el ASA CLI. La salida debe mostrar que el ASA escucha en el puerto del ASDM: Protocol SSL Socket 0001b91f Local Address 10.106.36.132:443 Foreign Address 0.0.0.0:* State LISTEN Si esta salida no visualiza, quite y reaplique la configuración de servidor HTTP en el ASA para reajustar el socket en el software ASA. 5. Si usted experimenta los problemas cuando usted inicia sesión/autentique al ASDM, verifican que las opciones de autenticación para el HTTP están configuradas correctamente. Si no se fija a ningunos comandos authentication, usted puede utilizar la contraseña habilitada ASA para iniciar sesión al ASDM. Si usted quiere habilitar el nombre de usuario/la autenticación passoword-basada, usted necesita ingresar esta configuración para autenticar las sesiones ASDM/HTTP al ASA del nombre de usuario/de la base de datos de contraseñas ASA: aaa authentication http console LOCAL Recuerde crear un nombre de usuario/una contraseña cuando usted habilita el comando anterior: username <username> password <password> priv <Priv level> Si ningunos de estos pasos ayudan, estas opciones del debug están disponibles en el ASA para la investigación adicional: debug http 255 debug asdm history 255 Conectividad de red Si usted ha completado la sección anterior y no puede todavía acceder el ASDM, el siguiente paso es verificar la conectividad de red a su ASA de la máquina de la cual usted quiere acceder el ASDM. Hay algunos pasos básicos para Troubleshooting para verificar que el ASA recibe la petición de la máquina del cliente: 1. Pruebe con el Internet Control Message Protocol (ICMP). Haga ping la interfaz ASA de la cual usted quiere acceder el ASDM. El ping debe ser acertado si el ICMP se permite atravesar su red y no hay restricciones en el nivel de la interfaz ASA. Si el ping falla, está probablemente porque hay un problema de comunicación entre el ASA y la máquina del cliente. Sin embargo, esto no es un paso concluyente a determinar que hay ese tipo de problema de comunicación. 2. Confirme con la captura de paquetes. Ponga a una captura de paquetes en la interfaz de la cual usted quiere acceder el ASDM. La captura debe mostrar que los paquetes TCP destinados a la dirección IP de la interfaz llegan con el número de puerto de destino 443 (valor por defecto). Para configurar una captura, utilice este comando: capture asdm_test interface <name of the ASA interface> match tcp host <IP address of the interface> eq 443 host <IP address of the client machine> For example, cap asdm_test interface mgmt match tcp host 10.106.36.132 eq 443 host 10.106.36.13 El captura tráfico TCP que viene para el puerto 443 en la interfaz ASA de la cual usted conecta con el ASDM. Conecte vía el ASDM en este momento o abra la página del lanzamiento de la red del ASDM. Entonces utilice el comando más asdm_test de la captura de la demostración para ver el resultado de los paquetes capturados: ciscoasa# show capture asdm_test Three packets captured 1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443: S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK> 2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443: S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK> 3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443: S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK> Esta captura muestra una petición de la sincronización (SYN) de la máquina del cliente al ASA, pero el ASA no envía ninguna respuesta. Si usted ve una captura similar la anterior, significa que el alcance de los paquetes el ASA sino el ASA no responde a esas peticiones, que aísla el problema al ASA sí mismo. Refiera a la primera sección de este documento para resolver problemas más lejos. Sin embargo, si usted no ve que no se captura la salida similar al anterior y ningunos paquetes, significa que hay un problema de conectividad entre el ASA y la máquina del cliente del ASDM. Verifique que no haya dispositivos intermediarios que pudieron bloquear el tráfico del puerto TCP 443 y que allí no son ninguna configuración del buscador, tal como configuraciones de representación, que podrían evitar que el tráfico alcance el ASA. Típicamente, la captura de paquetes es una buena manera de determinar si la trayectoria al ASA está clara, y si otros diagnósticos no pudieron ser necesarios eliminar los problemas de conectividad de red. Software de aplicación Esta sección describe cómo resolver problemas el software del activador de ASDM que ha estado instalado en la máquina del cliente cuando falla iniciar/carga. El activador de ASDM es el componente que reside en la máquina del cliente y conecta con el ASA para extraer la Imagen de ASDM. Una vez que está extraída, la Imagen de ASDM se salva en el caché y se toma generalmente de allí hasta que cualquier cambio se note en el lado ASA, tal como una actualización de la Imagen de ASDM. Complete estos pasos básicos para Troubleshooting para eliminar cualquier problema en la máquina del cliente: 1. Abra la página del lanzamiento del ASDM de otra máquina. Si inicia, significa que el problema está con la máquina del cliente en la pregunta. Si falla, siga el guía de Troubleshooting desde el principio para aislar los componentes implicados en la orden. 2. Abra el ASDM vía el lanzamiento de la red, y ponga en marcha el software directamente de allí. Si tiene éxito, es probable que haya problemas con la instalación del activador de ASDM. Desinstale el activador de ASDM de la máquina del cliente, y reinstalelo del lanzamiento sí mismo de la red ASA. 3. Borre el directorio de caché ASDM en el directorio de inicio del usuario. Por ejemplo, en Windows 7, se localiza aquí: <username> \ .asdm \ caché de C:\Users\. Se borra el caché cuando usted borra el directorio de caché entero. Si el ASDM comienza con éxito, usted puede también claro el caché dentro del menú de archivos del ASDM. 4. Verifique que la versión Java adecuada esté instalada. Los Release Note del ASDM de Cisco enumeran los requisitos para las versiones de Java probadas. 5. Borre el caché de las Javas. En el panel de control Java, elija el general > el Archivo de Internet temporario. Entonces, la opinión del tecleo para iniciar una Java oculta el Visualizador. Borre todas las entradas que se refieran o se relacionen con el ASDM. 6. Si estos pasos fallan, recoja la información de debugging de la máquina del cliente para la investigación adicional. Habilite el debugging para el ASDM con el URL: https:// < dirección IP del ASA>?debug=5 e.g. https://10.0.0.1?debug=5. Con la versión de Java 6 (también llamada versión 1.6), los mensajes de debugging de las Javas se habilitan del panel de control Java > avanzado. Entonces seleccione las casillas de verificación bajo debugging. No seleccione no encienden la consola bajo la consola Java. El debugging de las Javas debe ser habilitado antes de que el ASDM comience. Registran a la salida de la consola Java en el .asdm/el directorio del registro del directorio de inicio de usuario. Los registros del ASDM se pudieron también encontrar en el mismo directorio. Por ejemplo, en Windows 7, los registros están bajo C:\Users\ <username>/.asdm/log/. Funcione con los comandos con el HTTPS Este procedimiento ayuda a determinar cualquier problema de la capa 7 para el canal HTTP. Esta información prueba útil cuando usted es en una situación donde no está accesible la aplicación ASDM sí mismo, y no hay ningún acceso CLI disponible manejar el dispositivo. El URL que se utiliza para acceder la página del lanzamiento de la red del ASDM se puede también utilizar para funcionar con cualquier comando del configuración-nivel en el ASA. Este URL se puede utilizar para realizar los cambios de configuración en un nivel básico al ASA, que incluye una recarga del dispositivo remoto. Para ingresar un comando, utilice este sintaxis: https:// < dirección IP del ASA>/admin/exec/<command> Si hay un espacio en el comando y el navegador no puede analizar los caracteres de espacio en un URL, usted puede utilizar + muestra o %20 de indicar el espacio. Por ejemplo, el ver de https://10.106.36.137/admin/exec/show da lugar a una demostración version output al navegador: Este método de ejecución del comando requiere que habiliten al servidor HTTP en el ASA y tiene las restricciones necesarias HTTP activas. Sin embargo, esto no requiere una Imagen de ASDM estar presente en el ASA. Información Relacionada Configurar el acceso del ASDM para los dispositivos ASA 5500-x: El ASDM y la otra función SSL no se resuelven del cuadro Release Note del ASDM de Cisco Página de la licencia de Cisco para obtener una licencia 3DES/AES en el ASA Soporte Técnico y Documentación - Cisco Systems © 1992-2016 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 17 Octubre 2016 http://www.cisco.com/cisco/web/support/LA/111/1119/1119623_116403-configure-asdm-00.html
