أستكشاف أخطاء اتصال ASA وإصلاحها على ASDM

المقدمة

يصف هذا المستند منهجية أستكشاف الأخطاء وإصلاحها اللازمة لفحص المشاكل التي تواجهها عند الوصول إلى/تكوين Cisco ASA مع Cisco ASDM.

المتطلبات الأساسية

المتطلبات

تتم كتابة السيناريوهات والأعراض والخطوات المدرجة في هذا المستند لحل المشاكل بعد إعداد التكوين الأولي على جهاز الأمان القابل للتكيف (ASA). للحصول على التكوين الأولي، ارجع إلى قسم تكوين وصول ASDM للأجهزة من دليل تكوين مدير أجهزة الأمان القابل للتكيف (ASDM) من سلسلة Cisco ASA Series، الإصدار 7.1.

يستخدم هذا المستند واجهة سطر أوامر (CLI) ASA لاستكشاف الأخطاء وإصلاحها، وهو ما يتطلب وصول طبقة الأمان (SSH)/برنامج Telnet/وحدة التحكم إلى ASA.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى ASA و ASDM.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يوفر ASDM خدمات إدارة الأمان والمراقبة لأجهزة الأمان من خلال واجهة إدارة رسومية.

منهجية أستكشاف الأخطاء وإصلاحها

هناك ثلاث نقاط فشل رئيسية يركز عليها مستند أستكشاف الأخطاء وإصلاحها هذا. إذا قمت بالتقيد بعملية أستكشاف الأخطاء وإصلاحها العامة بهذا الترتيب، فيمكن أن يساعدك هذا المستند في تحديد المشكلة الدقيقة المتعلقة باستخدام/وصول ASDM.

• تكوين ASA
•  الاتصال بالشبكة
•  برنامج التطبيق

تكوين ASA

هناك ثلاثة تكوينات أساسية موجودة على ASA يلزم إجراؤها للوصول بنجاح إلى ASDM:

• صورة ASDM في Flash
• صورة ASDM قيد الاستخدام
• قيود خادم HTTP

صورة ASDM في Flash

تأكد من تحميل الإصدار المطلوب من ASDM إلى الذاكرة المؤقتة (flash). يمكن إما تحميلها باستخدام إصدار ASDM الذي يتم تشغيله حاليا أو مع الطرق التقليدية الأخرى لنقل الملف إلى ASA، مثل TFTP.

دخلت عرض برق على ال ASA CLI in order to ساعدت أنت قائمة المبرد حاضر على ال ASA برق ذاكرة. التحقق من وجود ملف ASDM:

ciscoasa# show flash
 --#--  --length--  -----date/time------  path

 249  76267       Feb 28 2013 19:58:18  startup-config.cfg
 250  4096        May 12 2013 20:26:12  sdesktop
 251  15243264    May 08 2013 21:59:10  asa823-k8.bin
 252  25196544    Mar 11 2013 22:43:40  asa845-k8.bin
 253  17738924    Mar 28 2013 00:12:12  asdm-702.bin    ---- ASDM Image

لمزيد من التحقق من صحة الصورة الموجودة على ذاكرة Flash (الذاكرة المؤقتة) وعدم تلفها، يمكنك إستخدام الأمر verify لمقارنة تجزئة MD5 المخزنة في حزمة البرنامج والتجزئة MD5 للملف الفعلي الموجود:

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

يمكن أن تساعدك هذه الخطوة في التحقق من وجود الصورة ومن تكاملها على ASA.

صورة ASDM قيد الاستخدام

يتم تحديد هذه العملية ضمن تكوين ASDM على ASA. يبدو تعريف تكوين عينة للصورة الحالية المستخدمة كما يلي:

ASDM image disk0:/asdm-702.bin

in order to دققت أكثر، أنت يستطيع أيضا استعملت العرض asdm صورة أمر:

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

قيود خادم HTTP

هذه الخطوة ضرورية في تكوين ASDM لأنها تحدد الشبكات التي لها حق الوصول إلى ASA. يبدو تكوين عينة كما يلي:

http server enable
http 192.168.1.0 255.255.255.0 inside

http 10.0.0.1 255.0.0.0 outside

تحقق من توفر الشبكات الضرورية المعرفة في التكوين السابق. يتسبب غياب هذه التعريفات في انتهاء مهلة مشغل ASDM أثناء إتصاله وإعطائه هذا الخطأ:

تتسبب صفحة تشغيل ASDM (https://<ASA IP address>/admin) في انتهاء وقت الطلب ولا يتم عرض أية صفحة.

تحقق أكثر من أن خادم HTTP يستخدم منفذا غير قياسي لاتصال ASDM، مثل 8443. يتم إبراز ذلك في التكوين:

cisco coasa(config)#show run http
تمكين خادم HTTP 8443

إذا كان يستخدم منفذا غير قياسي، فأنت بحاجة إلى تحديد المنفذ عندما تتصل ب ASA في مشغل ASDM باسم:

ينطبق هذا أيضا عندما تصل إلى صفحة إطلاق ASDM: https://10.106.36.132:8443/admin

مشاكل تكوين أخرى محتملة

بعد اكتمال الخطوات السابقة، يمكن فتح ASDM إذا كان كل شيء يعمل على جانب العميل. ومع ذلك، إذا كنت لا تزال تواجه مشاكل، فافتح ASDM من جهاز آخر. إذا نجحت، فستكون المشكلة على الأرجح على مستوى التطبيق، ويكون تكوين ASA على ما يرام. ومع ذلك، إذا فشل في التشغيل حتى الآن، فقم بإكمال الخطوات التالية لمزيد من التحقق من تكوينات جانب ASA:

1. تحقق من تكوين طبقة مآخذ التوصيل الآمنة (SSL) على ASA. يستخدم ASDM SSL أثناء إتصاله ب ASA. استنادا إلى الطريقة التي يتم بها تشغيل ASDM، لا يمكن لبرنامج نظام التشغيل الأحدث السماح باستخدام شفرات أضعف عند التفاوض على جلسات عمل SSL. تحقق من التشفير المسموح به على ASA، وإذا تم تحديد أي إصدارات SSL معينة في التكوين باستخدام الأمر show run all ssl:
   

   ciscoasa# show run all ssl
   ssl server-version any  <--- Check SSL Version restriction configured on the ASA
   ssl client-version any
   ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
   permitted on the ASA

   إذا كانت هناك أي أخطاء في تفاوض تشفير SSL أثناء تشغيل ASDM، فإنها تعرض في سجلات ASA:
   

   %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
   no shared cipher
   %ASA-6-302014: Teardown TCP connection 3 for mgmt:10.103.236.189/52501 to 
   identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance

   إذا رأيت إعدادات معينة، قم بردهم إلى الإعداد الافتراضي. لاحظ أنه يجب تمكين ترخيص VPN-3DES-AES على ASA لتشفير 3DES و AES الذي سيتم إستخدامه من قبل ASA في التكوين. يمكن التحقق من هذا الإجراء باستخدام الأمر show version على واجهة سطر الأوامر. يتم عرض المخرجات بهذا الشكل:
   

   ciscoasa#show version
   
   Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
   Internal ATA Compact Flash, 64MB
   Slot 1: ATA Compact Flash, 32MB
   BIOS Flash M50FW080 @ 0xffe00000, 1024KB
   <snip>
   Failover            : Active/Active
   VPN-DES             : Enabled  
   VPN-3DES-AES        : Enabled
   <snip>

   يمكن الحصول على ترخيص VPN-3DES-AES دون أي تكلفة من موقع ترخيص Cisco على الويب. انقر فوق منتجات الأمان، ثم أختر ترخيص Cisco ASA 3DES/AES.
   

   ملاحظة: في الأنظمة الأساسية ASA 5500-X الجديدة التي يتم شحنها مع 8.6/9.x code، يتم تعيين إعدادات تشفير SSL على des-sha1 بشكل افتراضي، مما يؤدي إلى عدم عمل جلسات ASDM. ارجع إلى وظيفة ASA 5500-X: لا يعمل ASDM ووظيفة SSL الأخرى خارج المربع للحصول على مزيد من المعلومات.

2. تحقق من تمكين WebVPN على ASA. في حالة تمكينها، يلزمك إستخدام عنوان URL هذا (https://10.106.36.132/admin) للوصول إليها عند الوصول إلى صفحة إطلاق ويب ل ASDM.
3. فحصت ل شبكة عنوان ترجمة (nat) تشكيل على ال ASA لميناء 443. وهذا يتسبب في أن لا يعالج ASA طلبات ASDM بل يرسلها إلى الشبكة/الواجهة التي تم تكوين NAT لها.
4. إذا تم التحقق من كل شيء وكانت ASDM لا تزال في وضع المهلة، فتحقق من إعداد ASA للاستماع على المنفذ المحدد ل ASDM باستخدام الأمر show asp table socket على واجهة سطر الأوامر (CLI) الخاصة ب ASA. الإنتاج يستطيع أبديت أن ال ASA يستمع على ال ASDM ميناء:
   

   Protocol  Socket    Local Address               Foreign Address         State
   SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN

   إذا لم يعرض هذا الإخراج، فقم بإزالة تكوين خادم HTTP وإعادة تطبيقه على ASA لإعادة ضبط مأخذ التوصيل على برنامج ASA.
5. إذا واجهت مشاكل عند تسجيل الدخول/المصادقة إلى ASDM، فتحقق من إعداد خيارات المصادقة ل HTTP بشكل صحيح. إذا لم يتم تعيين أي أوامر مصادقة، فيمكنك إستخدام كلمة مرور تمكين ASA لتسجيل الدخول إلى ASDM. إن يريد أنت أن يمكن username/كلمة baser صحة هوية، أنت تحتاج أن يدخل هذا تشكيل in order to صادقت ASDM/HTTP جلسة إلى ال ASA من ال ASA username/كلمة قاعدة معطيات:
   

   aaa authentication http console LOCAL

   تذكر أن يخلق username/كلمة عندما أنت تخلق الأمر سابق:
   

   username <username> password <password> priv <Priv level>

   إذا لم يساعد أي من هذه الخطوات، فإن خيارات تصحيح الأخطاء هذه متاحة على ASA لمزيد من التحقيق:
   

   debug http 255
   debug asdm history 255

الاتصال بالشبكة

إذا كنت قد أتمت القسم السابق وما زلت غير قادر على الوصول إلى ASDM، فإن الخطوة التالية هي التحقق من اتصال الشبكة ب ASA الخاص بك من الجهاز الذي تريد الوصول من خلاله إلى ASDM. هناك بعض الخطوات الأساسية لاستكشاف الأخطاء وإصلاحها للتحقق من أن ASA يتلقى الطلب من جهاز العميل:

1. إختبار مع بروتوكول رسائل التحكم في الإنترنت (ICMP).
   يؤز واجهة ASA التي تريد الوصول من خلالها إلى ASDM. يمكن أن يكون إختبار الاتصال ناجحا إذا تم السماح ل ICMP باجتياز شبكتك ولا توجد قيود على مستوى واجهة ASA. إذا فشل إختبار الاتصال، فقد يكون ذلك بسبب وجود مشكلة في الاتصال بين ASA وجهاز العميل. بيد أن هذه ليست خطوة حاسمة لتحديد وجود ذلك النوع من مشكلة الاتصال.
2. التأكيد باستخدام التقاط الحزمة.
   ضع التقاط حزمة على الواجهة التي تريد الوصول من خلالها إلى ASDM. يمكن أن يظهر الالتقاط أن حزم TCP الموجهة إلى عنوان IP للواجهة تصل مع منفذ الوجهة رقم 443 (الافتراضي).

استعملت in order to شكلت التقاط، هذا أمر:

capture asdm_test interface 
    
    
      match tcp host 
     
 
     
       eq 443 host 
       
      
    
For example, cap asdm_test interface mgmt match tcp host 10.106.36.132 
eq 443 host 10.106.36.13

على قبض هذا أي حركة مرور TCP تأتي للمنفذ 443 على واجهة ASA التي تتصل منها ب ASDM. اتصل عبر ASDM في هذه المرحلة أو افتح صفحة بدء ويب ل ASDM. ثم أستخدم الأمر show capture asdm_test لعرض نتيجة الحزم التي تم الاستيلاء عليها:

ciscoasa# show capture asdm_test
 
 Three packets captured
 
    1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
       S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
 
    2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
       S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
 
    3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
       S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>

يظهر هذا الالتقاط طلب مزامنة (SYN) من جهاز العميل إلى ASA، ولكن ASA لا يرسل أي إستجابة. إذا كنت ترى التقاط مماثل للالتقاط السابق، فإنه يعني أن الحزم تصل إلى ASA ولكن ASA لا يستجيب إلى هذه الطلبات، مما يعزل الإصدار إلى ASA نفسه. أحلت أول قسم من هذا وثيقة in order to تحريت بعد ذلك.

مهما، إن لا يرى أنت إنتاج مماثل إلى السابق وما من ربط سقطت، هو يعني أن هناك مشكلة توصيل بين ال ASA وجهاز عميل ASDM. دققت أن هناك ما من وسيط أداة أن يستطيع منعت TCP ميناء 443 حركة مرور وأن هناك ما من متصفح عملية إعداد، مثل وكيل عملية إعداد، أن يستطيع منعت الحركة مرور من الوصول إلى ال ASA.

بشكل خاص، يعد التقاط الحزمة طريقة جيدة لتحديد ما إذا كان المسار إلى ASA واضحا، وما إذا كانت هناك حاجة إلى مزيد من التشخيصات لاستبعاد مشاكل اتصال الشبكة.

برنامج التطبيق

يوضح هذا القسم كيفية أستكشاف أخطاء برنامج مشغل ASDM التي تم تثبيتها على جهاز العميل وإصلاحها عند فشله في التشغيل/التحميل. قاعدة بيانات ASDM هي المكون الموجود على جهاز العميل ويتصل بالمحول ASA لاسترداد صورة ASDM. بمجرد إستردادها، يتم تخزين صورة ASDM عادة في ذاكرة التخزين المؤقت ويتم أخذها من هناك حتى ملاحظة أي تغييرات في جانب ASA، مثل تحديث صورة ASDM.

أكمل الخطوات الأساسية لاستكشاف الأخطاء وإصلاحها لاستبعاد أي مشاكل موجودة على جهاز العميل:

1. افتح صفحة تشغيل ASDM من جهاز آخر. وإذا تم إطلاقه، فهذا يعني أن المشكلة تكمن في آلة العميل المعنية. إذا فشل، أستخدم دليل أستكشاف الأخطاء وإصلاحها من البداية لعزل المكونات المعنية بالترتيب.
2. افتح ASDM عبر بدء تشغيل الويب، وقم بتشغيل البرنامج مباشرة من هناك. إذا نجح، فمن المحتمل أن تكون هناك مشاكل في تثبيت قاذف ASDM. قم بإزالة تثبيت مشغل ASDM من جهاز العميل، وأعد تثبيته من بدء تشغيل ويب ASA نفسه.
3. امسح دليل ASDMcache في الدليل الرئيسي للمستخدم. يتم مسح ذاكرة التخزين المؤقت عند حذف دليل ذاكرة التخزين المؤقت بالكامل. إذا تم بدء تشغيل ASDM بنجاح، يمكنك أيضا مسح ذاكرة التخزين المؤقت من داخل قائمة ملف ASDM.
4. تحقق من تثبيت إصدار Java المناسب. تسرد ملاحظات إصدار Cisco ASDM متطلبات إصدارات Java التي تم إختبارها.
5. مسح ذاكرة التخزين المؤقت لـ Java. في لوحة تحكم Java، أختر عام > ملف إنترنت مؤقت. ثم انقر فوق عرض لتشغيل عارض ذاكرة التخزين المؤقت في جافا. احذف جميع الإدخالات التي تشير إلى ASDM أو المتعلقة بها.
6. في حالة فشل هذه الخطوات، قم بجمع معلومات تصحيح الأخطاء من جهاز العميل لمزيد من التحقيق. قم بتمكين تصحيح الأخطاء ل ASDM باستخدام عنوان URL: https://<IP address of the ASA>؟debug=5 على سبيل المثال، https://10.0.0.1?debug=5.
   باستخدام Java الإصدار 6 (يسمى أيضا الإصدار 1.6)، يتم تمكين رسائل تصحيح أخطاء Java من لوحة تحكم Java > متقدم. ثم حدد خانات الاختيار تحت تصحيح الأخطاء. لا تقم بتحديد عدم بدء وحدة التحكم ضمن وحدة تحكم Java. يجب تمكين تصحيح أخطاء Java قبل بدء تشغيل ASDM.
   

   

   
   يتم تسجيل إخراج وحدة تحكم Java في دليل .asdm/log الخاص بالدليل الرئيسي للمستخدم. كما يمكن العثور على سجلات ASDM في نفس الدليل. 

تشغيل الأوامر باستخدام HTTPS

يساعد هذا الإجراء في تحديد أي مشاكل من الطبقة 7 لقناة HTTP. تثبت هذه المعلومات أنها مفيدة عندما تكون في حالة لا يمكن فيها الوصول إلى تطبيق ASDM نفسه، ولا يوجد أي وصول ل CLI متاح لإدارة الجهاز.

يمكن أيضا إستخدام عنوان URL الذي يتم إستخدامه للوصول إلى صفحة بدء ويب ل ASDM لتشغيل أي أوامر على مستوى التكوين على ASA. يمكن إستخدام عنوان URL هذا لإجراء تغييرات التكوين على المستوى الأساسي إلى ASA، والذي يتضمن إعادة تحميل جهاز عن بعد. دخلت in order to دخلت أمر، يستعمل هذا إعراب:

https://<ip address of the ASA>/admin/exec/<command>

إذا كانت هناك مساحة في الأمر، ولم يتمكن المستعرض من تحليل أحرف المسافة في عنوان URL، يمكنك إستخدام علامة + أو ٪20 للإشارة إلى المساحة.

على سبيل المثال، ينتج عن https://10.106.36.137/admin/exec/showنافذة إخراج show version إلى المستعرض:

تتطلب طريقة تنفيذ الأمر هذه تمكين خادم HTTP على ASA وتنشيط قيود HTTP الضرورية. ومع ذلك، لا يتطلب ذلك وجود صورة ASDM على ASA.

معلومات ذات صلة

• تكوين وصول ASDM للأجهزة
• ASA 5500-X: لا تعمل وظيفة ASDM وغيرها من وظائف SSL خارج المربع
• ملاحظات إصدار Cisco ASDM
• صفحة ترخيص Cisco للحصول على ترخيص 3DES/AES على ASA
• الدعم التقني والمستندات - Cisco Systems