ASDM 라이센스, 업그레이드 및 호환성 문제 해결
목차
소개
이 문서에서는 ASDM 라이센스, 업그레이드 및 호환성 문제에 대한 트러블슈팅 프로세스에 대해 설명합니다.
배경
이 문서는 ASDM(Adaptive Security Appliance Device Manager) 문제 해결 시리즈의 일부이며 다음 문서와 함께 제공됩니다.
ASDM 업그레이드 문제
문제 1. ASA/ASDM 업그레이드를 소스 버전 X에서 타겟 버전 Y로 업그레이드하는 방법
사용자는 소스 버전 X에서 타겟 버전 Y로의 ASA/ASDM 업그레이드에 대한 지원이 필요합니다.
문제 해결 - 권장 조치
1. ASA, ASDM, 운영 체제 및 Java 버전이 대상 버전과 호환되는지 확인합니다. 다음을 참조하십시오. Cisco Secure Firewall ASA 릴리스 정보, Cisco Secure Firewall ASDM 릴리스 정보, Cisco Secure Firewall ASA 호환성.
ASA, ASDM, 운영 체제 및 Java 버전은 호환되어야 하며, 대상 버전은 특정 하드웨어에서 지원되어야 합니다. https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html
2. Firepower 4100/9300에서 실행되는 ASA의 경우 FXOS(Firepower eXtensible Operating System)와 ASA 소프트웨어 버전이 호환되는지 확인합니다. Cisco Firepower 4100/9300 FXOS 호환성을 참조하십시오.
3. 대상 버전의 변경 내용을 숙지하려면 Cisco Secure Firewall ASA 릴리스 정보, Cisco Secure Firewall ASDM 릴리스 정보. 의 경우에는 Firepower 4100/9300에서는 FXOS 릴리스 정보.
4. 릴리스 정보에서 업그레이드 경로를 확인하십시오. 이 예에서 버전 7.22의 릴리스 정보의 표 2에는 이전 버전에서 대상 버전으로의 업그레이드 경로가 포함되어 있습니다.
5. 호환성 요구 사항이 충족되면 소프트웨어 다운로드 페이지에서 대상 ASA/ASDM 및 FXOS 버전(Firepower 4100/9300만 해당)을 다운로드합니다. 이 예시에 나와 있는 것처럼 특정 하드웨어 모델을 선택해야 합니다. 추천 릴리스에는 골든 별이 표시됩니다.
6. 다음 장을 통과하십시오. 업그레이드 계획 및 장: Cisco Secure Firewall ASA Upgrade Guide에서 ASA를 업그레이드합니다.
참조
- Cisco Secure Firewall ASA 릴리스 정보
- Cisco Secure Firewall ASDM 릴리스 정보
- Cisco Secure Firewall ASA 호환성
- Cisco Firepower 4100/9300 FXOS 호환성
- Cisco Secure Firewall ASA 업그레이드 가이드
문제 2. ASA/ASDM에 권장되는 버전은 무엇입니까?
사용자는 ASA/ASDM의 권장 버전에 대해 묻습니다.
문제 해결 - 권장 조치
Cisco TAC에서는 소프트웨어 버전에 대한 권장 사항을 제공하지 않습니다. 사용자는 소프트웨어 품질, 안정성 및 수명을 기준으로 Cisco 권장 릴리스를 다운로드할 수 있습니다. 제안된 릴리스에는 아래와 같이 황금 별이 표시됩니다.
문제 3. ASDM에서 Tools(툴)를 통한 ASA/ASDM 업데이트 확인 실패 > Check for ASA/ASDM Updates(ASA/ASDM 업데이트 확인)
Tools(툴)를 통한 ASDM에서 ASA/ASDM 업데이트 확인 > Check for ASA/ASDM Updates(ASA/ASDM 업데이트 확인)가 실패합니다. 특히 다음과 같은 증상이 관찰됩니다.
1. 올바른 인증서가 제공되더라도 로그인 버튼을 클릭한 후 네트워크 비밀번호 입력 창이 다시 나타납니다.
2. Java 콘솔 로그에 "메타 데이터 요청 실패" 오류가 표시됩니다.
2024-06-16 13:00:03,471 [ERROR] Error::Failed : Request processing
88887 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - Error::Failed : Request processing
2024-06-16 13:00:03,472 [ERROR] Error::Access token request processing failed
88888 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - Error::Access token request processing failed
2024-06-16 13:00:04,214 [ERROR] getMetaDataResponse :: Server returned HTTP response code: 403 for URL: https://api.cisco.com/software/v3.0/metadata/udi/PID%3A+ASA5525+VID%3A+V01+SN%3A+FOX1316G5R5/mdf_id/282867084/software_type_id/282885451/current_release/X
89630 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - getMetaDataResponse :: Server returned HTTP response code: 403 for URL: https://api.cisco.com/software/v3.0/metadata/udi/PID%3A+ASA5525+VID%3A+V01+SN%3A+FOX1316G5R5/mdf_id/282867084/software_type_id/282885451/current_release/X
2024-06-16 13:00:04,214 [ERROR] error::Meta data request failed.
89630 [Thread-30] ERROR com.cisco.dmcommon.util.DMCommonEnv - error::Meta data request failed.
문제 해결 - 권장 조치
소프트웨어 Cisco 버그 ID CSCvf91260 "ASDM: 무시할 수 없는 필드 때문에 CCO에서 업그레이드가 작동하지 않습니다. "메타데이터 요청 실패" 해결 방법은 다운로드 페이지에서 이미지를 직접 다운로드하고 방화벽에 업로드하는 것입니다.
문제 4. 어떤 버전에 특정 취약성에 대한 수정 사항이 포함되어 있습니까?
사용자는 특정 취약성의 고정 버전에 대해 묻습니다.
문제 해결 - 권장 조치
- 영향을 받는 제품에 대한 보안 권고 사항을 확인하십시오.
- 보안 권고 사항에서 소프트웨어 검사기에 기존 하드웨어 및 소프트웨어 버전을 제공하고 Check(확인)를 클릭합니다.
3. 고정 버전을 사용할 수 있는 경우, 첫 번째 고정 또는 영향 없음 열의 버전을 기록합니다.
4. "문제 1. ASA/ASDM을 소스 버전 X에서 타겟 버전 Y로 업그레이드하는 방법은?"의 단계를 진행합니다. 섹션을 참조하십시오.
문제 5. "% 오류: ASDM 패키지가 디지털 서명되지 않았습니다. 컨피그레이션을 거부하는 중입니다." 오류 메시지가 표시됩니다
"% 오류: ASDM 패키지가 디지털 서명되지 않았습니다. 컨피그레이션을 거부하는 중입니다." asdm image <image path> 명령을 사용하여 새 ASDM 이미지를 설정할 때 오류 메시지가 표시됩니다.
문제 해결 - 권장 조치
1. ASA는 ASDM 이미지가 Cisco 디지털 서명 이미지인지 확인합니다. 이 수정 사항과 함께 ASA 버전으로 이전 ASDM 이미지를 실행하려고 하면 ASDM이 차단되고 "%ERROR: Signature not valid for file disk0:/<filename>"이 ASA CLI에 표시됩니다. ASDM 릴리스 7.18(1.152) 이상은 이 수정 사항이 없는 버전이라도 모든 ASA 버전과 역호환됩니다. Cisco ASDM, 7.17(x) 릴리스 노트의 중요 참고 섹션을 참조하십시오.
2. Secure Firewall 3100에서 실행되는 ASA의 경우 소프트웨어 Cisco 버그 ID CSCwc12322 "FPR3100 플랫폼의 디지털 서명 ASDM 이미지 확인 오류"를 확인합니다.
참조
문제 6. 다중 컨텍스트 모드에서 ASA/ASDM 업데이트를 확인할 수 없습니다.
Tools(툴) > Check for ASA/ASDM Updates(ASA/ASDM 업데이트 확인) 옵션은 다중 컨텍스트 모드에서 회색으로 비활성화됩니다.
문제 해결 - 권장 조치
일반적으로 이 옵션은 회색으로 표시됩니다. Device List(디바이스 목록) 탭에서 현재 선택 컨텍스트가 관리 컨텍스트이기 때문입니다.
이 경우 시스템 아이콘을 두 번 클릭하여 시스템 컨텍스트로 전환해야 합니다.
문제 7. "Cisco의 일반 약관 양식이 계속 다운로드되지 않았거나 거부되었습니다." 오류 메시지가 표시됩니다
"Cisco의 일반 약관 양식은 계속 다운로드하기 위해 승인되거나 거부되지 않았습니다." 오류 메시지는 사용자가 Tools > Check for ASA/ASDM Updates(ASA/ASDM 업데이트 확인) 메뉴를 통해 ASA/ASDM 이미지를 업데이트하려고 시도할 때 표시됩니다.
문제 해결 - 권장 조치
이 오류 메시지는 EULA(end-user license agreement)가 사용자에 의해 승인되지 않은 경우 표시됩니다. 계속하려면 EULA에 동의해야 합니다.
참조
문제 8. 특정 하드웨어에 대한 소프트웨어를 다운로드할 수 없음
Software Download(소프트웨어 다운로드) 페이지에는 특정 하드웨어에 대한 일부 ASA/ASDM 소프트웨어 버전이 표시되지 않습니다.
문제 해결 - 권장 조치
특정 하드웨어의 소프트웨어 가용성은 주로 호환성 및 EoL(End-of-Life) 이정표에 따라 달라집니다. 비호환성, EoL 제품 또는 릴리스 지연의 경우 일반적으로 소프트웨어 버전을 다운로드할 수 없습니다.
호환성 및 지원되는 버전을 확인하려면 다음 단계를 거쳐야 합니다.
- 소프트웨어와 하드웨어 버전 간의 호환성을 확인합니다. Cisco Secure Firewall ASA 호환성을 참조하십시오.
- End-of-Life 및 End-of-Sale 알림에서 SW 유지 보수 릴리스 종료일과 지원 종료일 확인
- SW 유지 보수 릴리스 종료일 - Cisco Engineering에서 최종 소프트웨어 유지 보수 릴리스 또는 버그 수정을 릴리스할 수 있는 마지막 날짜입니다. 이 날짜 이후에는 Cisco Engineering에서 더 이상 제품 소프트웨어를 개발, 수리, 유지 보수 또는 테스트하지 않습니다.
- Last Date of Support - 유효한 서비스 계약 또는 보증 조건에 따라 제품에 대한 해당 서비스 및 지원을 받을 수 있는 마지막 날짜입니다. 이 날짜가 지나면 해당 제품에 대한 모든 지원 서비스를 사용할 수 없게 되며 해당 제품은 단종됩니다.
3. Cisco Secure Firewall ASA 릴리스 노트 및 Cisco Secure Firewall ASDM 릴리스 노트에서 릴리스의 연기 또는 제거를 확인합니다.
참조
- Cisco Secure Firewall ASA 호환성
- EoL 및 EoS 공지
- Cisco Secure Firewall ASA 릴리스 정보
- Cisco Secure Firewall ASDM 릴리스 정보
문제 9. "파일 전송 HTTP 응답 코드 -1을(를) 수행하는 동안 오류가 발생했습니다." 오류 메시지
사용자가 ASDM Tools > File Management 옵션을 사용하여 방화벽에 파일을 업로드할 때 "Error occurred in performing File Transfer HTTP Response code -1" 오류 메시지가 표시됩니다.
문제 해결 - 권장 조치
소프트웨어 Cisco 버그 ID CSCvf85831 "ASDM error "Error occured in performing File Transfer HTTP Response code -1" during image upload(이미지 업로드 중 파일 전송 HTTP 응답 코드 -1"을 수행하는 동안 오류가 발생했습니다)"를 참조하십시오.
ASDM 호환성 문제
이 섹션에서는 가장 일반적인 ASDM 호환성 관련 문제를 다룹니다.
일반적으로 ASDM은 다음 구성 요소와 호환되어야 합니다.
- ASA
- 자바
- 운영 체제(OS)
- 브라우저
- SFR 모듈(사용되는 경우)
따라서 ASDM을 설치하거나 업그레이드하기 전에 항상 다음 표를 먼저 확인하는 것이 좋습니다.
그런 다음 ASA 및 ASDM Compatibility Per Model(모델별 ASA 및 ASDM 호환성) 테이블을 예로 들 수 있습니다.
참고:
새 ASA 버전에는 조정 ASDM 버전 이상이 필요합니다. 이전 버전의 ASDM은 새 버전의 ASA와 함께 사용할 수 없습니다.
예 1
ASA 9.18에서는 ASDM 7.17을 사용할 수 없습니다. ASA 인터페이스의 경우 별도의 설명이 없는 한 현재 ASDM 버전을 계속 사용할 수 있습니다. 예를 들어 ASA 9.22(1.2)를 ASDM 7.22(1)와 함께 사용할 수 있습니다.
예 2
ASAS 9.8(4)32가 있습니다. ASDM 릴리스 노트에서 달리 언급하지 않는 한 ASDM은 이전 버전과 호환되므로 ASDM 7.19(1)을 사용하여 관리할 수 있습니다.
참조
- https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25469
- https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65776
문제 1. 호환되지 않는 Java 버전
문제 해결 - 권장 단계
Java 콘솔 로그를 확인합니다.
그런 다음 Java 및 ASA 호환성 가이드를 확인합니다.
- https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25469
- https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65776
문제 2. 호환되지 않는 ASA 및 ASDM 버전
호환되지 않는 ASA 및 ASDM 버전이 있는 경우 ASDM UI에 액세스할 수 없습니다.
문제 해결 - 권장 단계
디바이스의 CLI에서 ASDM 버전을 설치하고, TFTP를 통해 ASA의 플래시에 이미지를 복사한 다음 아래 가이드에 설명된 대로 "asdm image" 명령을 사용하여 ASDM 이미지를 설정해야 합니다.
예
asa# copy tftp flash
Address or name of remote host []? 10.62.146.125
Source filename []? asdm-7221.bin
Destination filename [asdm-7221.bin]?
Verifying file disk0:/asdm-7221.bin...
Writing file disk0:/asdm-7221.bin...
INFO: No digital signature found
126659176 bytes copied in 70.590 secs (1809416 bytes/sec)
asa# config terminal
asa(config)# asdm image disk0:/asdm-7151-150.bin
asa(config)# copy run start
Source filename [running-config]?
Cryptochecksum: afae0454 bf24b2ac 1126e026 b1a26a2c
4303 bytes copied in 0.210 secs
문제 3. ASDM 및 OpenJDK 지원
Cisco ASDM 이미지는 OpenJDK를 공식적으로 지원하지 않습니다. 따라서 다음 2가지 옵션을 사용할 수 있습니다.
- Oracle JRE: 호스트 PC에서 ASDM을 시작하는 Java Web Start 런타임을 포함합니다. 이 방법을 사용하려면 64비트 Oracle JRE를 로컬 PC에 설치해야 합니다. 자바 공식 웹사이트에서 다운로드 할 수 있습니다.
- OpenJRE: 열린 JRE 이미지는 Oracle 이미지와 동일하지만, 차이점은 이미지 자체에 ASDM을 시작하는 Java Web Start 기능이 있으므로 로컬 PC에 64비트 Oracle JRE를 설치할 필요가 없다는 것입니다. 따라서 OpenJRE 이미지의 크기가 Oracle JRE보다 큽니다. OpenJRE는 ASDM openJRE 개발 주기 시작 시 사용할 수 있는 안정적인 최신 버전으로 컴파일되기 때문에 좀 더 오래된 Java 릴리스를 사용하는 OpenJRE를 볼 수 있습니다.
Oracle JRE vs OpenJRE
| Oracle JRE |
OpenJRE |
|
| 엔드 호스트에 Java를 설치해야 합니다. |
예 |
아니요(자체 Java 통합) |
| 독점 |
예 |
아니요(오픈 소스) |
| 이미지 크기 |
중간 |
Java 통합 솔루션이므로 더 커짐 |
| 이미지 이름 |
asdm-xxxx.bin |
asdm-openjre-xxxx.bin |
팁: ASDM Launcher 버전을 변경하려면 먼저 기존 ASDM Launcher를 제거한 다음 HTTPS를 통해 ASA에 연결하여 새 버전을 설치합니다.
참조
- https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472
- OpenJDK: 전체 개발 및 런타임 환경, 오픈 소스, GPL 라이센스.
- Oracle JRE: 런타임 환경만 해당, 독점 라이센스이며, 프로덕션 사용을 위해 상업용 라이센스가 필요합니다.
- OpenJRE: 런타임 환경 전용, 오픈 소스, GPL 라이센스.
- https://www.oracle.com/java/technologies/javase/jre8-readme.html
문제 4. ASDM 및 Java Azul Zulu 호환성
Oracle JRE 기반 ASDM 이미지는 Java Azul Zulu를 지원하지 않습니다. 반면, ASDM OpenJRE 기반 이미지는 Azul Zulu 통합으로 제공됩니다. 사용 가능한 옵션에 대한 'Problem 3' 권장 사항을 확인하십시오.
문제 5. 경고: disk0:/asdm-xxx.bin 파일에서 시그니처를 찾을 수 없습니다.
예:
asa# copy tftp flash:
Address or name of remote host [192.0.2.5]?
Source filename []? asdm-7171.bin
Destination filename [asdm-7171.bin]?
Accessing ftp://192.0.2.5/asdm-7171.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/asdm-7171.bin...
%WARNING: Signature not found in file disk0:/asdm-7171.bin.
문제 해결 - 권장 단계
이는 일반적으로 ASA 대 ASDM 호환성 문제입니다. ASDM 호환성 가이드를 확인하고 ASDM이 ASA 이미지와 호환되는지 확인합니다. ASA 및 ASDM 호환성 매트릭스는 다음 사이트에서 확인할 수 있습니다.
https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65776
문제 6. "% 오류: ASDM 패키지가 디지털 서명되지 않았습니다. 컨피그레이션을 거부하는 중입니다."
이 오류 메시지는 를 사용하여 새 ASDM 이미지를 설정할 때 표시됩니다. asdm 이미지 <이미지 경로> 명령을 실행합니다.
문제 해결 - 권장 조치
- ASA는 ASDM 이미지가 Cisco 디지털 서명 이미지인지 확인합니다. 이 수정 사항과 함께 ASA 버전으로 이전 ASDM 이미지를 실행하려고 하면 ASDM이 차단되고 "%ERROR: Signature not valid for file disk0:/<filename>"이 ASA CLI에 표시됩니다. ASDM 릴리스 7.18(1.152) 이상은 이 수정 사항이 없는 버전이라도 모든 ASA 버전과 역호환됩니다. 의 중요 참고 섹션을 참조하십시오. Cisco ASDM 릴리스 정보, 7.17(x).
- 호스트 PC에서 Java 버전을 업데이트합니다.
- Secure Firewall 3100에서 실행되는 ASA의 경우 소프트웨어 Cisco 버그 ID를 확인합니다 CSCwc12322 "FPR3100 플랫폼의 디지털 서명 ASDM 이미지 확인 오류"
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc12322
문제 7. "%ERROR: disk0:/<filename>" 파일에 대한 서명이 올바르지 않습니다.
파일 복사 중에 오류가 표시됩니다. 예를 들면 다음과 같습니다.
asa# copy tftp://cisco:cisco@192.0.2.1/cisco-asa-fp2k.9.20.3.7.SPA
Address or name of remote host [192.0.2.1]?
Source filename [cisco-asa-fp2k.9.20.3.7.SPA]?
Destination filename [cisco-asa-fp2k.9.20.3.7.SPA]?
Accessing tftp://cisco:<password>@192.0.2.1/cisco-asa-fp2k.9.20.3.7.SPA...
!!!!!!!!!!!!!!!!!!!...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp2k.9.20.3.7.SPA...
%ERROR: Signature not valid for file disk0:/cisco-asa-fp2k.9.20.3.7.SPA.
문제 해결 - 권장 조치
ASA 9.14(4.14) 이상에는 ASDM 7.18(1.152) 이상이 필요합니다. 이제 ASA는 ASDM 이미지가 Cisco 디지털 서명 이미지인지 확인합니다. 이 수정 사항이 있는 ASA 버전으로 7.18(1.152)보다 오래된 ASDM 이미지를 실행하려고 하면 ASDM이 차단되고 "%ERROR: Signature not valid for file disk0:/<filename>"이 ASA CLI에 표시됩니다.
이러한 변경은 Cisco ASDM 및 ASA 소프트웨어 클라이언트측 임의 코드 실행 취약성(CVE ID CVE-2022-20829)으로 인해 도입되었습니다
- https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwb05291
- https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwb05264
디바이스가 플랫폼 모드에서 작동하는 경우 이 문서의 지침을 따라 이미지를 업로드하십시오. https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#topic_zp4_dzj_cjb
참조
- ASDM 릴리스 정보: https://www.cisco.com/c/en/us/td/docs/security/asdm/7_14/release/notes/rn714.html#reference_yw3_ngz_vhb
- ASA 업그레이드 가이드: https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#task_E9EE51964590499999B1D976F66E2771
문제 8. Secure Firewall Posture(Hostscan) 호환성
Hostscan 버전은 ASA 버전보다 AnyConnect 버전에 더 의존합니다. 다음 두 가지 버전을 모두 찾을 수 있습니다. 소프트웨어 다운로드 - Cisco Systems:
https://software.cisco.com/download/home/283000185
문제 9. 지원되는 최신 버전
문제 해결 - 권장 조치
방화벽에 지원되는 최신 ASDM 버전을 알고 싶다면 주로 두 개의 문서를 확인해야 합니다.
- ASDM 릴리스 정보: https://www.cisco.com/c/en/us/td/docs/security/asdm/7_14/release/notes/rn714.html#reference_yw3_ngz_vhb
특히 ASA 모델 테이블은
두 번째 문서는 소프트웨어 다운로드 페이지입니다.
https://software.cisco.com/download/home/286291275
HW에서 지원하는 소프트웨어 트레인당 최신 ASDM 버전을 찾을 수 있습니다. 예를 들면 다음과 같습니다.
문제 10. Linux에서 ASDM 지원
문제 해결 - 권장 조치
Linux는 공식적으로 지원되지 않습니다.
관련 개선 사항:
Cisco 버그 ID CSCwk67345 
ENH: 지원되는 OS 목록에 Linux 포함
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwk67345
문제 11. ASDM 지원 종료
문제 해결 - 권장 조치
ASA/ASDM End-of-Life 및 End-of-Sale 알림을 참조하십시오.
https://www.cisco.com/c/en/us/products/security/asa-firepower-services/eos-eol-notice-listing.html
ASDM 라이센스 문제
이 섹션에서는 가장 일반적인 ASDM 라이센스 관련 문제를 다룹니다.
Smart Licensing 모델은 다음에서 사용됩니다.
- Firepower 4100/9300 섀시 등록: ASA의 라이센스 관리
- ASAv, Firepower 1000, Firepower 2100, Firepower 9300 및 Firepower 4100: 라이센스: Smart Software Licensing(ASAv, Firepower 기반 ASA)
다른 모든 모델은 PAK(Product Authorization Key) 라이센싱을 사용합니다.
참조
- Cisco Secure Firewall ASA Series 기능 라이센스 - 모델 지침
https://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/licenseroadmap.html
문제 1. 3DES/AES Smart License가 없음
관리 인터페이스를 사용하여 액세스하지 않는 한 ASDM에는 ASA에 Strong Encryption 라이센스(3DES/AES)가 필요합니다. 데이터 인터페이스를 통해 ASDM 액세스를 활성화하려면 3DES/AES 라이센스를 받아야 합니다.
Cisco에 3DES/AES 라이센스를 요청하려면
- https://www.cisco.com/go/license으로 이동
- Continue to Product License Registration을 클릭합니다.
- Licensing Portal(라이센싱 포털)에서 텍스트 필드 옆의 Get Other Licenses(기타 라이센스 가져오기)를 클릭합니다.
- 드롭다운 목록에서 IPS, Crypto, Other...를 선택합니다.
- Search by Keyword(키워드로 검색) 필드에 ASA를 입력합니다.
- Product(제품) 목록에서 Cisco ASA 3DES/AES License(Cisco ASA 3DES/AES 라이센스)를 선택하고 Next(다음)를 클릭합니다.
- ASA의 일련 번호를 입력하고 프롬프트를 통해 ASA에 대한 3DES/AES 라이센스를 요청합니다.
문제 해결 - 권장 조치
라이센스를 활성화하고 Cisco Smart Licensing 포털에 등록하려면 다음 항목이 있어야 합니다.
- ASA 시계는 올바른 시간을 표시합니다. NTP 서버를 사용하는 것이 좋습니다.
- Cisco Smart Licensing 포털로 라우팅
- HTTPS 트래픽은 방화벽에서 라이센싱 포털로 차단된 것이 아닙니다. 방화벽의 캡처 컬렉션에서 이를 확인할 수 있습니다.
- HTTP 프록시 서버를 사용해야 하는 경우 다음과 같이 필요한 명령을 포함합니다.
ciscoasa(config)# call-home
ciscoasa(cfg-call-home)# http-proxy 10.1.1.1 port 443
문제 2. Oracle Java JRE 라이센스 요구 사항
문제 해결 - 권장 조치
ASDM .bin 이미지 파일은 두 가지 유형으로 제공됩니다.
- Oracle JRE: 호스트 PC에서 ASDM을 시작하는 Java Web Start 런타임을 포함합니다. 이 방법을 사용하려면 64비트 Oracle JRE를 로컬 PC에 설치해야 합니다. 자바 공식 웹사이트에서 다운로드 할 수 있습니다.
- OpenJRE: 열린 JRE 이미지는 Oracle 이미지와 동일하지만, 차이점은 이미지 자체에 ASDM을 시작하는 Java Web Start 기능이 있으므로 로컬 PC에 64비트 Oracle JRE를 설치할 필요가 없다는 것입니다.
Oracle 기반 ASDM 이미지를 사용하기로 결정한 경우, 비개인용 용도로 사용할 때 Java 라이센스가 있어야 합니다. Oracle Java SE 라이센스 FAQ에 따르면:
개인 용도는 데스크톱 또는 랩톱 컴퓨터에서 Java를 사용하여 게임을 하거나 다른 개인 애플리케이션을 실행하는 등의 작업을 수행하는 것입니다. 데스크톱 또는 랩톱 컴퓨터에서 Java를 비즈니스 운영의 일부로 사용하는 경우에는 개인적인 용도가 아닙니다. 예를 들어, Java 생산성 애플리케이션을 사용하여 자신의 숙제나 개인 세금을 수행할 수 있지만 비즈니스 회계에는 이를 사용할 수 없습니다.
Java 라이센스를 적용하지 않으려면 OpenJRE 기반 ASDM 이미지를 사용할 수 있습니다.
참조
- https://www.oracle.com/java/technologies/javase/jdk-faqs.html
- ASDM 7.22에 대한 ASDM Java 요구 사항: https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472
- ASDM 7.22의 ASDM 호환성 참고 사항: https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25476
문제 3. 다중 컨텍스트 모드의 Site-to-Site VPN 라이센스에 대한 ASDM 경고
ASDM에 다음 항목이 표시됩니다.
경고: 이 컨텍스트에 할당된 사이트 대 사이트 VPN 라이선스가 없습니다. 이 컨텍스트에 VPN 라이센스를 할당하려면 보안 컨텍스트 관리로 이동하십시오.
문제 해결 - 권장 조치
이는 다음 항목에 의해 추적되는 외관 소프트웨어 결함입니다.
Cisco 버그 ID CSCvj66962 ASDM 7.9(2) ASA 9.6(4)8 다중 컨텍스트 L2L 영구 오류
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvj66962
결함을 등록할 수 있으므로 결함 업데이트에 대한 알림을 받게 됩니다.
참조
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
2.0 |
29-Nov-2024 |
최초 릴리스 |
1.0 |
29-Nov-2024 |
최초 릴리스 |
피드백