Resolución de problemas de conexión ASA en ASDM

Opciones de descarga

  • PDF     (504.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (314.8 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (416.6 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:2 de agosto de 2023
ID del documento:116403

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la metodología de troubleshooting necesaria para examinar los problemas enfrentados cuando usted accede/configura Cisco ASA con Cisco ASDM.

    Prerequisites

    Requirements

    Los escenarios, síntomas y pasos enumerados en este documento se escriben para la resolución de problemas después de configurar la configuración inicial en el dispositivo de seguridad adaptable (ASA). Para la configuración inicial, consulte la sección Configuración del Acceso ASDM para Dispositivos de la Guía de Configuración del Administrador Adaptable de Dispositivos de Seguridad (ASDM) de Operaciones Generales de la Serie ASA de Cisco, 7.1.

    Este documento utiliza la CLI de ASA para la resolución de problemas, que requiere acceso Secure Shell (SSH)/Telnet/Console al ASA.

    Componentes Utilizados

    La información de este documento se basa en ASA y ASDM.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    ASDM ofrece servicios de administración y supervisión de seguridad para dispositivos de seguridad a través de una interfaz de administración gráfica.

    Metodología de Troubleshooting

    Hay tres puntos de fallo principales en los que se centra este documento de solución de problemas. Si se adhiere al proceso general de solución de problemas en este orden, este documento puede ayudarlo a determinar el problema exacto con el uso/acceso de ASDM.

    • Configuración de Cisco ASA
    •  Conectividad de red
    •  Software de aplicaciones

    Configuración de Cisco ASA

    Hay tres configuraciones esenciales que están presentes en el ASA que se necesitan para acceder con éxito al ASDM:

    • Imagen de ASDM en Flash
    • Imagen de ASDM en uso
    • Restricciones del servidor HTTP

    Imagen de ASDM en Flash

    Asegúrese de que la versión requerida del ASDM esté cargada en la memoria flash. Se puede cargar con la versión ejecutada actualmente del ASDM o con otros métodos convencionales de transferencia de archivos al ASA, como TFTP.

    Ingrese show flash en la CLI ASA para ayudarlo a enumerar los archivos presentes en la memoria flash ASA. Verifique la presencia del archivo ASDM:

    ciscoasa# show flash
 --#--  --length--  -----date/time------  path

 249  76267       Feb 28 2013 19:58:18  startup-config.cfg
 250  4096        May 12 2013 20:26:12  sdesktop
 251  15243264    May 08 2013 21:59:10  asa823-k8.bin
 252  25196544    Mar 11 2013 22:43:40  asa845-k8.bin
 253  17738924    Mar 28 2013 00:12:12  asdm-702.bin    ---- ASDM Image

    Para verificar más si la imagen presente en la memoria flash es válida y no está dañada, puede utilizar el comando verify para comparar el hash MD5 almacenado en el paquete de software y el hash MD5 del archivo real presente:

    ciscoasa# verify flash:/asdm-702.bin
    Verifying file integrity of disk0:/asdm-702.bin
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Done!
    Embedded Hash MD5: e441a5723505b8753624243c03a40980
    Computed Hash MD5: e441a5723505b8753624243c03a40980
    CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
    Signature Verified
    Verified disk0:/asdm-702.bin

    Este paso puede ayudarlo a verificar si la imagen está presente y su integridad en el ASA.

    Imagen de ASDM en uso

    Este proceso se define en la configuración de ASDM en ASA. Una definición de configuración de ejemplo de la imagen actual que se utiliza es similar a la siguiente:

    asdm image disk0:/asdm-702.bin

    Para verificar más, también puede utilizar el comando show asdm image:

    ciscoasa# show asdm image
    Device Manager image file, disk0:/asdm-702.bin

    Restricciones del servidor HTTP

    Este paso es esencial en la configuración de ASDM porque define qué redes tienen acceso al ASA. Una configuración de muestra es similar a la siguiente:

    http server enable
    http 192.168.1.0 255.255.255.0 inside

    http 10.0.0.1 255.0.0.0 outside

    Verifique que tiene las redes necesarias definidas en la configuración anterior. La ausencia de estas definiciones hace que el punto de ejecución de ASDM agote el tiempo de espera mientras se conecta y da este error:

    Cisco ASDM-IDM Launcher

    La página de inicio de ASDM (https://<dirección IP de ASA>/admin) hace que se agote el tiempo de espera de la solicitud y no se muestre ninguna página.

    Verifique además que el servidor HTTP utiliza un puerto no estándar para la conexión ASDM, como 8443. Esto se resalta en la configuración:

    ciscoasa(config)# show run http
    http server enable 8443

    Si utiliza un puerto no estándar, debe especificar el puerto cuando se conecta al ASA en el punto de ejecución de ASDM como:

    Specify Port when Connecting to the ASA in ASDM Launcher

    Esto también se aplica cuando accede a la página de inicio de ASDM: https://10.106.36.132:8443/admin

    Otros posibles problemas de configuración

    Después de completar los pasos anteriores, el ASDM puede abrirse si todo funciona en el lado del cliente. Sin embargo, si todavía experimenta problemas, abra el ASDM desde otra máquina. Si tiene éxito, el problema es que probablemente se encuentra en el nivel de la aplicación y la configuración de ASA está bien. Sin embargo, si todavía no se inicia, complete estos pasos para verificar más las configuraciones del lado de ASA:

    1. Verifique la configuración de Secure Sockets Layer (SSL) en el ASA. ASDM utiliza SSL mientras se comunica con ASA. Según la forma en que se inicia ASDM, el software de SO más reciente no puede permitir el uso de cifrados más débiles cuando negocia sesiones SSL. Verifique qué cifrados se permiten en el ASA y si se especifican versiones específicas de SSL en la configuración con el comando show run all ssl: 
      ciscoasa# show run all ssl
      ssl server-version any  <--- Check SSL Version restriction configured on the ASA
      ssl client-version any
      ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
      permitted on the ASA
      Si hay errores de negociación de cifrado SSL mientras se inicia el ASDM, se muestran en los registros de ASA: 
      %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
      no shared cipher
      %ASA-6-302014: Teardown TCP connection 3 for mgmt:10.103.236.189/52501 to 
      identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
      Si ve una configuración específica, vuelva a la configuración predeterminada. Observe que la licencia VPN-3DES-AES debe estar habilitada en ASA para los cifrados 3DES y AES que debe utilizar ASA en la configuración. Esto se puede verificar con el comando show version en la CLI. El resultado se muestra de la siguiente manera: 
      ciscoasa#show version

      Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
      Internal ATA Compact Flash, 64MB
      Slot 1: ATA Compact Flash, 32MB
      BIOS Flash M50FW080 @ 0xffe00000, 1024KB
      <snip>
      Failover            : Active/Active
      VPN-DES             : Enabled  
      VPN-3DES-AES        : Enabled
      <snip>
      Se puede obtener una licencia VPN-3DES-AES sin coste alguno en el sitio web de licencias de Cisco. Haga clic en Security Products y, a continuación, seleccione Cisco ASA 3DES/AES License.

      Nota: En las nuevas plataformas ASA 5500-X que se envían con código 8.6/9.x, la configuración de cifrado SSL se establece en des-sha1 de forma predeterminada, lo que hace que las sesiones ASDM no funcionen. Consulte el artículo ASA 5500-x: ASDM y otras funciones SSL no funcionan de forma inmediata para obtener más información.

    2. Verifique que WebVPN esté habilitado en ASA. Si está habilitada, debe utilizar esta URL (https://10.106.36.132/admin) para acceder a ella cuando acceda a la página de inicio web de ASDM.
    3. Compruebe si hay una configuración de traducción de direcciones de red (NAT) en el ASA para el puerto 443. Esto hace que el ASA no procese las solicitudes para el ASDM sino que las envíe a la red/interfaz para la cual se ha configurado el NAT.
    4. Si todo se verifica y el ASDM aún agota el tiempo de espera, verifique que el ASA esté configurado para escuchar en el puerto definido para ASDM con el comando show asp table socket en la CLI ASA. El resultado puede mostrar que ASA escucha en el puerto ASDM: 
      Protocol  Socket    Local Address               Foreign Address         State
      SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN
      Si este resultado no se muestra, quite y vuelva a aplicar la configuración del servidor HTTP en el ASA para restablecer el socket en el software ASA.
    5. Si experimenta problemas al iniciar sesión/autenticarse en el ASDM, verifique que las opciones de autenticación para HTTP estén configuradas correctamente. Si no se configuran comandos de autenticación, puede utilizar la contraseña de habilitación de ASA para iniciar sesión en el ASDM. Si desea habilitar la autenticación basada en nombre de usuario/contraseña, debe ingresar esta configuración para autenticar las sesiones ASDM/HTTP al ASA desde la base de datos de nombre de usuario/contraseña de ASA:
      aaa authentication http console LOCAL
      Recuerde crear un nombre de usuario/contraseña cuando habilite el comando anterior:
      username <username> password <password> priv <Priv level>
      Si ninguno de estos pasos ayuda, estas opciones de debug están disponibles en el ASA para una investigación adicional:
      debug http 255
      debug asdm history 255

    Conectividad de red

    Si ha completado la sección anterior y aún no puede acceder al ASDM, el siguiente paso es verificar la conectividad de red a su ASA desde la máquina desde la cual desea acceder al ASDM. Hay algunos pasos básicos de troubleshooting para verificar que el ASA reciba la solicitud de la máquina cliente:

    1. Pruebe con el protocolo de mensajes de control de Internet (ICMP).
      Haga ping en la interfaz ASA desde la que desea acceder al ASDM. El ping puede ser exitoso si se permite que ICMP atraviese su red y no hay restricciones en el nivel de interfaz ASA. Si el ping falla, probablemente se deba a un problema de comunicación entre el ASA y la máquina cliente. Sin embargo, este no es un paso concluyente para determinar que existe ese tipo de problema de comunicación.
    2. Confirme con captura de paquetes.
      Coloque una captura de paquetes en la interfaz desde la cual desea acceder al ASDM. La captura puede mostrar que los paquetes TCP destinados a la dirección IP de la interfaz llegan con el número de puerto de destino 443 (predeterminado).

    Para configurar una captura, utilice este comando:

    capture asdm_test interface 
    
    
      match tcp host 
     
     
     
       eq 443 host 
       
      
    
    For example, cap asdm_test interface mgmt match tcp host 10.106.36.132 
    eq 443 host 10.106.36.13

    Esto captura todo el tráfico TCP que viene para el puerto 443 en la interfaz ASA desde la cual se conecta al ASDM. Conéctese a través de ASDM en este punto o abra la página de inicio web de ASDM. A continuación, utilice el comando show capture asdm_test para ver el resultado de los paquetes capturados:

    ciscoasa# show capture asdm_test
     
     Three packets captured
     
        1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
           S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
     
        2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
           S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
     
        3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
           S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>

    Esta captura muestra una solicitud de sincronización (SYN) de la máquina cliente al ASA, pero el ASA no envía ninguna respuesta. Si ve una captura similar a la anterior, significa que los paquetes llegan al ASA pero el ASA no responde a esas solicitudes, lo que aísla el problema al ASA mismo. Consulte la primera sección de este documento para resolver problemas adicionales.


    Sin embargo, si no ve una salida similar a la anterior y no se capturan paquetes, significa que hay un problema de conectividad entre el ASA y la máquina cliente ASDM. Verifique que no haya dispositivos intermediarios que puedan bloquear el tráfico del puerto TCP 443 y que no haya ninguna configuración del navegador, como la configuración de Proxy, que pueda evitar que el tráfico llegue al ASA.


    Normalmente, la captura de paquetes es una buena manera de determinar si la ruta al ASA es clara y si no se pueden necesitar más diagnósticos para descartar problemas de conectividad de red.

    Software de aplicaciones

    En esta sección se describe cómo resolver problemas del software de ejecución de ASDM que se ha instalado en la máquina cliente cuando no se inicia/carga. El punto de ejecución de ASDM es el componente que reside en la máquina cliente y se conecta al ASA para recuperar la imagen de ASDM. Una vez recuperada, la imagen de ASDM se almacena generalmente en la memoria caché y se toma de allí hasta que cualquier cambio se note en el lado de ASA, tal como una actualización de la imagen de ASDM.

    Complete estos pasos básicos de troubleshooting para descartar cualquier problema en la máquina cliente:

    1. Abra la página de inicio de ASDM desde otro equipo. Si se inicia, significa que el problema está en la máquina cliente en cuestión. Si falla, utilice la guía de localización de averías desde el principio para aislar los componentes involucrados en orden.
    2. Abra el ASDM a través del lanzamiento web, e inicie el software directamente desde allí. Si tiene éxito, es probable que haya problemas con la instalación del punto de ejecución de ASDM. Desinstale el punto de ejecución de ASDM del equipo cliente y vuelva a instalarlo desde el propio inicio web de ASA.
    3. Borre el directorio ASDMcache en el directorio de inicio del usuario. La caché se borra cuando se elimina todo el directorio de caché. Si el ASDM se inicia con éxito, también puede borrar la memoria caché desde el menú Archivo ASDM.
    4. Verifique que esté instalada la versión de Java adecuada. Las Release Notes de Cisco ASDM enumeran los requisitos para las versiones de Java probadas.
    5. Borre la caché de Java. En el Panel de control de Java, elija General > Archivo temporal de Internet. Luego, haga clic en Ver para iniciar un Visor de Caché de Java. Elimine todas las entradas que hagan referencia o estén relacionadas con ASDM.
    6. Si estos pasos fallan, recopile la información de depuración del equipo cliente para una investigación adicional. Habilite la depuración para ASDM con la URL: https://<dirección IP del ASA>?debug=5 por ejemplo, https://10.0.0.1?debug=5.
      Con la versión 6 de Java (también denominada versión 1.6), los mensajes de depuración de Java se habilitan desde el Panel de control de Java > Avanzado. A continuación, active las casillas de verificación de Depuración. No seleccione No iniciar la consola en la consola Java. La depuración de Java debe estar habilitada antes de que se inicie ASDM.

      Java Control Panel - Debugging and Show Console


      El resultado de la consola Java se registra en el directorio .asdm/log del directorio principal del usuario. Los registros de ASDM también se pueden encontrar en el mismo directorio. 

    Ejecutar comandos con HTTPS

    Este procedimiento ayuda a determinar cualquier problema de Capa 7 para el canal HTTP. Esta información resulta útil cuando se encuentra en una situación en la que la aplicación ASDM en sí no es accesible y no hay ningún acceso CLI disponible para administrar el dispositivo.

    La URL que se utiliza para acceder a la página de inicio web de ASDM también se puede utilizar para ejecutar cualquier comando de nivel de configuración en el ASA. Esta URL se puede utilizar para realizar cambios de configuración en un nivel básico al ASA, que incluye una recarga de dispositivo remoto. Para ingresar un comando, utilice esta sintaxis:

    https://<dirección IP del ASA>/admin/exec/<comando>

    Si hay un espacio en el comando y el explorador no puede analizar los caracteres de espacio en una dirección URL, puede utilizar el signo + o %20 para indicar el espacio.

    Por ejemplo, https://10.106.36.137/admin/exec/show ver da como resultado una salida show version al navegador:

    Cisco Adaptive Security Appliance Software Version 8.4(3)

    Este método de ejecución de comandos requiere que el servidor HTTP esté habilitado en ASA y que tenga activas las restricciones HTTP necesarias. Sin embargo, esto NO requiere que una imagen ASDM esté presente en el ASA.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    02-Aug-2023
    PII eliminado. Texto alternativo agregado. Metadatos actualizados, título, introducción, renuncia de responsabilidad legal, traducción automática, requisitos de estilo y formato.
    1.0
    19-Jul-2013
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Ishwinder Cheema
      Cisco TAC Engineer
    • Jay Johnston
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos