Introducción
Este documento describe la metodología de troubleshooting necesaria para examinar los problemas enfrentados cuando usted accede/configura Cisco ASA con Cisco ASDM.
Prerequisites
Requirements
Los escenarios, síntomas y pasos enumerados en este documento se escriben para la resolución de problemas después de configurar la configuración inicial en el dispositivo de seguridad adaptable (ASA). Para la configuración inicial, consulte la sección Configuración del Acceso ASDM para Appliances de la Guía de Configuración del Administrador Adaptable de Dispositivos de Seguridad (ASDM) de Operaciones Generales de la Serie ASA de Cisco, 7.1.
Este documento utiliza la CLI de ASA para la resolución de problemas, que requiere acceso Secure Shell (SSH)/Telnet/Console al ASA.
Componentes Utilizados
La información de este documento se basa en ASA y ASDM.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
ASDM ofrece servicios de administración y supervisión de seguridad para dispositivos de seguridad a través de una interfaz de administración gráfica.
Metodología de Troubleshooting
Hay tres puntos de fallo principales en los que se centra este documento de solución de problemas. Si se adhiere al proceso general de solución de problemas en este orden, este documento puede ayudarlo a determinar el problema exacto con el uso/acceso de ASDM.
- Configuración de ASA
- Conectividad de red
- Software de aplicaciones
Configuración de ASA
Hay tres configuraciones esenciales que están presentes en el ASA que se necesitan para acceder con éxito al ASDM:
- Imagen de ASDM en Flash
- Imagen de ASDM en uso
- Restricciones del servidor HTTP
Imagen de ASDM en Flash
Asegúrese de que la versión requerida del ASDM esté cargada en la memoria flash. Se puede cargar con la versión ejecutada actualmente del ASDM o con otros métodos convencionales de transferencia de archivos al ASA, como TFTP.
Ingrese show flash en la CLI ASA para ayudarlo a enumerar los archivos presentes en la memoria flash ASA. Verifique la presencia del archivo ASDM:
ciscoasa# show flash
--#-- --length-- -----date/time------ path
249 76267 Feb 28 2013 19:58:18 startup-config.cfg
250 4096 May 12 2013 20:26:12 sdesktop
251 15243264 May 08 2013 21:59:10 asa823-k8.bin
252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin
253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image
Para verificar más si la imagen presente en la memoria flash es válida y no está dañada, puede utilizar el comando verify para comparar el hash MD5 almacenado en el paquete de software y el hash MD5 del archivo real presente:
ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin
Este paso puede ayudarlo a verificar si la imagen está presente y su integridad en el ASA.
Imagen de ASDM en uso
Este proceso se define en la configuración de ASDM en ASA. Una definición de configuración de ejemplo de la imagen actual que se utiliza es similar a la siguiente:
asdm image disk0:/asdm-702.bin
Para verificar más, también puede utilizar el comando show asdm image:
ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin
Restricciones del servidor HTTP
Este paso es esencial en la configuración de ASDM porque define qué redes tienen acceso al ASA. Una configuración de muestra es similar a la siguiente:
http server enable
http 192.168.1.0 255.255.255.0 inside
http 10.0.0.1 255.0.0.0 outside
Verifique que tiene las redes necesarias definidas en la configuración anterior. La ausencia de estas definiciones hace que el punto de ejecución de ASDM agote el tiempo de espera mientras se conecta y da este error:
La página de inicio de ASDM (https://<dirección IP de ASA>/admin) hace que se agote el tiempo de espera de la solicitud y no se muestre ninguna página.
Verifique además que el servidor HTTP utiliza un puerto no estándar para la conexión ASDM, como 8443. Esto se resalta en la configuración:
ciscoasa(config)# show run http
http server enable 8443
Si utiliza un puerto no estándar, debe especificar el puerto cuando se conecta al ASA en el punto de ejecución de ASDM como:
Esto también se aplica cuando accede a la página de inicio de ASDM: https://10.106.36.132:8443/admin
Otros posibles problemas de configuración
Después de completar los pasos anteriores, el ASDM puede abrirse si todo funciona en el lado del cliente. Sin embargo, si todavía experimenta problemas, abra el ASDM desde otra máquina. Si tiene éxito, el problema es que probablemente se encuentra en el nivel de la aplicación y la configuración de ASA está bien. Sin embargo, si todavía no se inicia, complete estos pasos para verificar más las configuraciones del lado de ASA:
- Verifique la configuración de Secure Sockets Layer (SSL) en el ASA. ASDM utiliza SSL mientras se comunica con ASA. Según la forma en que se inicia ASDM, el software de SO más reciente no puede permitir el uso de cifrados más débiles cuando negocia sesiones SSL. Verifique qué cifrados se permiten en el ASA y si se especifican versiones específicas de SSL en la configuración con el comando show run all ssl:
ciscoasa# show run all ssl
ssl server-version any <--- Check SSL Version restriction configured on the ASA
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
permitted on the ASA
Si hay errores de negociación de cifrado SSL mientras se inicia el ASDM, se muestran en los registros de ASA:
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
no shared cipher
%ASA-6-302014: Teardown TCP connection 3 for mgmt:10.103.236.189/52501 to
identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
Si ve una configuración específica, vuelva a la configuración predeterminada. Observe que la licencia VPN-3DES-AES debe estar habilitada en ASA para los cifrados 3DES y AES que debe utilizar ASA en la configuración. Esto se puede verificar con el comando show version en la CLI. El resultado se muestra de la siguiente manera:
ciscoasa#show version
Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 64MB
Slot 1: ATA Compact Flash, 32MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
<snip>
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
<snip>
Se puede obtener una licencia VPN-3DES-AES sin coste alguno en el sitio web de licencias de Cisco. Haga clic en Security Products y, a continuación, seleccione Cisco ASA 3DES/AES License.
Nota: En las nuevas plataformas ASA 5500-X que se envían con código 8.6/9.x, la configuración de cifrado SSL se establece en des-sha1 de forma predeterminada, lo que hace que las sesiones ASDM no funcionen. Consulte el artículo ASA 5500-x: ASDM y otras funciones SSL no funcionan de forma inmediata para obtener más información.
- Verifique que WebVPN esté habilitado en ASA. Si está habilitada, debe utilizar esta URL (https://10.106.36.132/admin) para acceder a ella cuando acceda a la página de inicio web de ASDM.
- Compruebe si hay una configuración de traducción de direcciones de red (NAT) en el ASA para el puerto 443. Esto hace que el ASA no procese las solicitudes para el ASDM sino que las envíe a la red/interfaz para la cual se ha configurado el NAT.
- Si todo se verifica y el ASDM aún agota el tiempo de espera, verifique que el ASA esté configurado para escuchar en el puerto definido para ASDM con el comando show asp table socket en la CLI ASA. El resultado puede mostrar que ASA escucha en el puerto ASDM:
Protocol Socket Local Address Foreign Address State
SSL 0001b91f 10.106.36.132:443 0.0.0.0:* LISTEN
Si este resultado no se muestra, quite y vuelva a aplicar la configuración del servidor HTTP en el ASA para restablecer el socket en el software ASA.
- Si experimenta problemas al iniciar sesión/autenticarse en el ASDM, verifique que las opciones de autenticación para HTTP estén configuradas correctamente. Si no se configuran comandos de autenticación, puede utilizar la contraseña de habilitación de ASA para iniciar sesión en el ASDM. Si desea habilitar la autenticación basada en nombre de usuario/contraseña, debe ingresar esta configuración para autenticar las sesiones ASDM/HTTP al ASA desde la base de datos de nombre de usuario/contraseña del ASA:
aaa authentication http console LOCAL
Recuerde crear un nombre de usuario/contraseña cuando habilite el comando anterior:
username <username> password <password> priv <Priv level>
Si ninguno de estos pasos ayuda, estas opciones de debug están disponibles en el ASA para una investigación adicional:
debug http 255
debug asdm history 255
Conectividad de red
Si ha completado la sección anterior y aún no puede acceder al ASDM, el siguiente paso es verificar la conectividad de red a su ASA desde la máquina desde la cual desea acceder al ASDM. Hay algunos pasos básicos de troubleshooting para verificar que el ASA reciba la solicitud de la máquina cliente:
- Pruebe con el protocolo de mensajes de control de Internet (ICMP).
Haga ping en la interfaz ASA desde la que desea acceder al ASDM. El ping puede ser exitoso si se permite que ICMP atraviese su red y no hay restricciones en el nivel de interfaz ASA. Si el ping falla, probablemente se deba a un problema de comunicación entre el ASA y la máquina cliente. Sin embargo, este no es un paso concluyente para determinar que existe ese tipo de problema de comunicación.
- Confirme con captura de paquetes.
Coloque una captura de paquetes en la interfaz desde la cual desea acceder al ASDM. La captura puede mostrar que los paquetes TCP destinados a la dirección IP de la interfaz llegan con el número de puerto de destino 443 (predeterminado).
Para configurar una captura, utilice este comando:
capture asdm_test interface
match tcp host
eq 443 host
For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
eq 443 host 10.106.36.13
Esto captura todo el tráfico TCP que viene para el puerto 443 en la interfaz ASA desde la cual se conecta al ASDM. Conéctese a través de ASDM en este punto o abra la página de inicio web de ASDM. A continuación, utilice el comando show capture asdm_test para ver el resultado de los paquetes capturados:
ciscoasa# show capture asdm_test
Three packets captured
1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
Esta captura muestra una solicitud de sincronización (SYN) de la máquina cliente al ASA, pero el ASA no envía ninguna respuesta. Si ve una captura similar a la anterior, significa que los paquetes llegan al ASA pero el ASA no responde a esas solicitudes, lo que aísla el problema al ASA mismo. Consulte la primera sección de este documento para resolver problemas adicionales.
Sin embargo, si no ve una salida similar a la anterior y no se capturan paquetes, significa que hay un problema de conectividad entre el ASA y la máquina cliente ASDM. Verifique que no haya dispositivos intermediarios que puedan bloquear el tráfico del puerto TCP 443 y que no haya ninguna configuración del navegador, como la configuración de Proxy, que pueda evitar que el tráfico llegue al ASA.
Normalmente, la captura de paquetes es una buena manera de determinar si la ruta al ASA es clara y si no se pueden necesitar más diagnósticos para descartar problemas de conectividad de red.
Software de aplicaciones
En esta sección se describe cómo resolver problemas del software de ejecución de ASDM que se ha instalado en la máquina cliente cuando no se inicia/carga. El punto de ejecución de ASDM es el componente que reside en la máquina cliente y se conecta al ASA para recuperar la imagen de ASDM. Una vez recuperada, la imagen de ASDM se almacena generalmente en la memoria caché y se toma de allí hasta que cualquier cambio se note en el lado de ASA, tal como una actualización de la imagen de ASDM.
Complete estos pasos básicos de troubleshooting para descartar cualquier problema en la máquina cliente:
- Abra la página de inicio de ASDM desde otro equipo. Si se inicia, significa que el problema está en la máquina cliente en cuestión. Si falla, utilice la guía de localización de averías desde el principio para aislar los componentes involucrados en orden.
- Abra el ASDM a través del lanzamiento web, e inicie el software directamente desde allí. Si tiene éxito, es probable que haya problemas con la instalación del punto de ejecución de ASDM. Desinstale el punto de ejecución de ASDM del equipo cliente y vuelva a instalarlo desde el propio inicio web de ASA.
- Borre el directorio de caché del ASDM en el directorio principal del usuario. La caché se borra cuando se elimina todo el directorio de caché. Si el ASDM se inicia con éxito, también puede borrar la memoria caché desde el menú Archivo ASDM.
- Verifique que esté instalada la versión de Java adecuada. Las Release Notes de Cisco ASDM enumeran los requisitos para las versiones de Java probadas.
- Borre la caché de Java. En el Panel de control de Java, elija General > Archivo temporal de Internet. Luego, haga clic en Ver para iniciar un Visor de Caché de Java. Elimine todas las entradas que hagan referencia o estén relacionadas con ASDM.
- Si estos pasos fallan, recopile la información de depuración del equipo cliente para una investigación adicional. Habilite la depuración para ASDM con la URL: https://<dirección IP del ASA>?debug=5 por ejemplo, https://10.0.0.1?debug=5.
Con la versión 6 de Java (también denominada versión 1.6), los mensajes de depuración de Java se habilitan desde el Panel de control de Java > Avanzado. A continuación, active las casillas de verificación de Depuración. No seleccione No iniciar la consola en la consola Java. La depuración de Java debe estar habilitada antes de que se inicie ASDM.
El resultado de la consola Java se registra en el directorio .asdm/log del directorio principal del usuario. Los registros de ASDM también se pueden encontrar en el mismo directorio.
Ejecutar comandos con HTTPS
Este procedimiento ayuda a determinar cualquier problema de Capa 7 para el canal HTTP. Esta información resulta útil cuando se encuentra en una situación en la que la aplicación ASDM en sí no es accesible y no hay ningún acceso CLI disponible para administrar el dispositivo.
La URL que se utiliza para acceder a la página de inicio web de ASDM también se puede utilizar para ejecutar cualquier comando de nivel de configuración en el ASA. Esta URL se puede utilizar para realizar cambios de configuración en un nivel básico al ASA, que incluye una recarga de dispositivo remoto. Para ingresar un comando, utilice esta sintaxis:
https://<dirección IP del ASA>/admin/exec/<comando>
Si hay un espacio en el comando y el explorador no puede analizar los caracteres de espacio en una dirección URL, puede utilizar el signo + o %20 para indicar el espacio.
Por ejemplo, https://10.106.36.137/admin/exec/show ver da como resultado una salida show version al navegador:
Este método de ejecución de comandos requiere que el servidor HTTP esté habilitado en ASA y que tenga activas las restricciones HTTP necesarias. Sin embargo, esto NO requiere que una imagen ASDM esté presente en el ASA.
Información Relacionada