ASDM 시작 문제 해결
목차
소개
이 문서에서는 ASDM(Adaptive Security Appliance Device Manager) 시작 문제의 트러블슈팅 프로세스에 대해 설명합니다.
배경
이 문서는 다음 문서와 함께 ASDM 문제 해결 시리즈의 일부입니다.
링크1<>
링크2<>
링크3<>
ASDM 시작 문제 해결
문제 1. ASDM에 "Unable to launch device manager from(디바이스 관리자를 시작할 수 없음)" 메시지가 표시됩니다.
ASDM을 사용하여 방화벽에 연결하려고 시도할 때 다음 증상 중 하나 이상이 나타납니다.
- "Unable to launch device manager from(디바이스 관리자를 시작할 수 없음)" 오류 메시지가 ASDM에 표시됩니다.
- Java 디버그 로그는 다음 예외 중 하나를 표시합니다.
java.net.ConnectException: Connection timed out: connect
at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
java.net.ConnectException: Connection refused: connect
at java.net.DualStackPlainSocketImpl.waitForConnect(Native Method)
Trying for ASDM Version file; url = https://192.0.2.1/admin/
java.io.FileNotFoundException: https://192.0.2.1/admin/version.prop
java.net.SocketException: Connection reset
at java.net.SocketInputStream.read(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at sun.security.ssl.SSLSocketInputRecord.read(Unknown Source)
이 증상을 확인하려면 Java 콘솔 로그를 활성화합니다.
문제 해결 - 권장 조치
- ASA, ASDM 및 운영 체제 버전이 호환되는지 확인합니다. Cisco Secure Firewall ASA 릴리스 노트, Cisco Secure Firewall ASDM 릴리스 노트, Cisco Secure Firewall ASA 호환성을 참조하십시오.
- ASDM 호스팅 운영 체제(OS)에서 OS 방화벽 및 기타 보안 소프트웨어가 두 방향(인그레스 및 이그레스) 모두에서 ASDM 연결 패킷을 허용하는지 확인합니다.
- ASDM 호스팅 운영 체제(OS)에서 보안 소프트웨어(예: 안티바이러스) 및 보안 정책에서 ASDM 및 Java 소프트웨어 실행을 허용하는지 확인합니다.
- HTTP 서버가 활성화되어 있고 올바른 호스트/인터페이스가 구성되어 있는지 확인합니다.
# show run http
http server enable
http 192.0.2.0 255.255.255.0 management
Cisco 버그 ID CSCwc67687 "ASA HA 장애 조치가 HTTP 서버 재시작 실패 및 ASDM 중단을 트리거함"으로 인해 실행 중인 컨피그레이션에서 http server enable 명령이 사라질 수 있습니다.
참고: 이 결함은 최근 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오.
- ASDM 이미지가 로컬 플래시에서 사용 가능하고 구성되었는지 확인합니다.
# dir flash:
Directory of disk0:/
150 drwx 4096 05:55:01 Nov 14 2024 log
1074037795 -rw- 123665740 23:30:37 Oct 17 2024 asdm.bin
# show run asdm
asdm image disk0:/asdm.bin
no asdm history enable
- 데이터 인터페이스를 통해 ASA에 연결하는 경우 3DES/AES 라이센스를 사용할 수 있는지 확인합니다.
# show ver | grep Encryption
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
- WebVPN이 동일한 인터페이스에서 활성화된 경우 WebVPN 및 ASDM에 대해 서로 다른 포트가 구성되었는지 확인합니다. WebVPN 포트를 변경하거나 HTTPS 서버 포트를 변경합니다.
이 예에서는 WebVPN 및 ASDM 액세스가 모두 구성됩니다. WebVPN 서비스는 기본 HTTPS 포트 443에서 실행되고 있으며 ASDM용 HTTPS 포트는 8443으로 구성되어 있습니다.
# show run webvpn
webvpn
enable outside <-- default HTTPS port 443
# show run http
http server enable 8443 <-- custom HTTPS port 8443
http 192.0.2.0 255.255.255.0 outside
- 네트워크의 중간 디바이스에서 ASDM 및 방화벽을 사용하는 호스트의 연결을 허용해야 합니다.
잠재적 문제:
- 잘못된 라우팅
- 잘못된 NAT/포트 전달
- 전송 경로에서 트래픽이 차단됨
방화벽 관점에서 연결을 확인하려면 특정 인터페이스에서 패킷 캡처를 구성할 수 있습니다.
# show run http
http server enable
http 192.0.2.0 255.255.255.0 management
# cap capm interface management match tcp any any eq https
# show capture capm
138 packets captured
1: 14:20:44.355526 192.0.2.35.50590 > 198.51.100.141.443: S 3649403547:3649403547(0) win 64240
2: 14:20:44.356152 198.51.100.141.443 > 192.0.2.35.50590: S 0:0(0) ack 3649403548 win 32768
3: 14:20:44.357388 192.0.2.35.50590 > 198.51.100.141.443: . ack 1 win 64240
4: 14:20:44.384715 192.0.2.35.50590 > 198.51.100.141.443: P 3649403548:3649403918(370) ack 1 win 32768
5: 14:20:44.384806 198.51.100.141.443 > 192.0.2.35.50590: . ack 3649403918 win 32398
6: 14:20:44.385829 198.51.100.141.443 > 192.0.2.35.50590: P 1:760(759) ack 3649403918 win 32768
- ASDM의 현재 리소스 사용량이 한도를 초과하지 않는지 확인합니다.
# show resource usage resource ASDM
Resource Current Peak Limit Denied Context
ASDM 1 1 5 0 admin
활성 ASDM 연결 목록을 확인하려면 show conn all protocol tcp port <port> 명령을 사용합니다. HTTP 서버 서버가 사용하는 올바른 포트를 제공해야 합니다(show run http).
# show conn all protocol tcp port 443
2 in use, 8 most used
TCP management 192.0.2.35:50620 NP Identity Ifc 198.51.100.141:443, idle 0:00:08, bytes 119188, flags UOB
또는 활성 ASDM 연결을 확인하는 데 show asp table socket 명령을 사용할 수 있습니다. HTTP 서버가 실행 중인 포트와의 연결만 확인합니다(show run http).
# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 0027eb28 LISTEN 198.51.100.141:443 0.0.0.0:*
SSL 00305798 ESTAB 198.51.100.141:443 192.0.2.35:50620
clear conn all protocol tcp port <port> 명령을 사용하여 연결을 지울 수 있습니다.
- management-access <interface> 명령이 구성되어 있고 ASDM이 VPN(Virtual Private Network Connection)을 통해 <interface> IP에 연결되어 있으면 management-access <interface>를 제거한 후 다시 추가합니다. Cisco 버그 ID CSCvu의 해결 방법입니다60373
"ASA - Management-access does not work over Tunnel Interface(ASA - 관리 액세스가 터널 인터페이스에서 작동하지 않음)".
- Cisco 버그 ID CSCwd를 확인합니다04210 “ASA: ASDM 세션이 CLOSE_WAIT에 머물러 관리 기능이 부족해짐" 이 결함으로 인해 ASDM 세션이 "Lost connection to firewall(방화벽에 대한 연결 끊김)" 메시지로 종료될 수 있으며, 더 이상 방화벽에 연결하지 못할 수 있습니다. 해결 방법은 방화벽을 다시 로드하는 것입니다.
- Cisco 버그 ID CSCwh를 확인합니다32118 "HTTP 세션이 CLOSE_WAIT에 머물러 ASDM 관리 세션 할당량에 도달했습니다." 이 결함으로 인해 HTTP 세션이 CLOSE_WAIT 상태로 고정되었기 때문에 ASDM 관리 세션 할당량에 도달합니다. 해결 방법:
- ASDM에 대한 현재 및 리소스 사용량을 확인합니다.
# show resource usage resource ASDM
Resource Current Peak Limit Denied Context
ASDM 1 1 5 0 admin
- 현재 값이 제한과 같으면 HTTPS 세션의 상태를 확인합니다.
# debug menu npshim -w
Handle State Intf
...
720108b6 CLOSE_WAIT
57835276 CLOSE_WAIT
58068272 CLOSE_WAIT
6ae93b92 CLOSE_WAIT
- CLOSE_WAIT 상태의 항목이 여러 개 있는 경우 debug menu pdm 3 명령을 사용하여 이러한 세션을 모두 지웁니다.
- show blocks 명령 출력에서 블록 고갈의 증상, 특히 LOW 및 CNT 열의 최저 값을 확인합니다.
- 256바이트 및 1550바이트 블록 크기가 모두 소진되어 복구되었습니다.
# show blocks
SIZE MAX LOW CNT
0 5700 5608 5700
4 900 899 899
80 5000 4575 5000
256 13568 0 13563
1550 50000 0 49974
- 256바이트 및 1550바이트 블록 크기가 모두 소진되어 복구되지 않았습니다.
# show blocks
SIZE MAX LOW CNT
0 5700 5608 5700
4 900 899 899
80 5000 4575 5000
256 13568 0 0
1550 50000 0 0
Cisco 버그 ID CSCvv71435 "ASA 256 및/또는 1550 block depletion cares DMA Memory unreleased allocation"을 참조하십시오.
해결 방법:
- 속도 제한 syslog 메시지가 빠른 속도로 생성됩니다. 메시지 비율이 높은 가장 일반적인 메시지 ID는 다음과 같은 연결 생성 및 해체 메시지입니다.
%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] to interface:real-address/real-port (mapped-address/mapped-port) [(idfw_user)] [(user)]
%ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]
이 경우 가능한 속도 제한 컨피그레이션은 다음과 같습니다.
logging rate-limit 1 10000 message 302013
logging rate-limit 1 10000 message 302014
기타 잠재적 메시지는 다음과 같습니다. 302015 / 302016 / 302017 / 302018 / 302020 / 302036 / 302303 / 302304 / 302305 / 302306. 참조: logging rate-limit 명령 참조.
- 빠른 속도로 생성 중인 로그 메시지를 비활성화합니다.
no logging message 302013
no logging message 302014
- Reactive 옵션은 할당된 DMA 메모리를 해제하기 위해 디바이스를 다시 로드하는 것입니다. 이러한 문제가 재발하지 않도록 예방책 중 하나를 사용하는 것을 고려하십시오.
- 이러한 라인과 같은 로그가 ASA 콘솔에 표시되는지 확인합니다. 이 경우 ASDM 또는 SSH 연결을 설정하지 못합니다.
ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007fa3b0c29000 errno (mmap:umap) 12:0Message #10 :
First MMAP Req/Updated 36864/45056 Front 0x00007fa3b0c28000 rtn 0x00007fa3b0c29000 back 0x00007fa3b0c32000
Message #11 : process_create: out of stack memory for name accept/ssh_2 size 32768 prio 3
Message #12 : _listen_ssh: failed to create thread for interface 2 port 22
Cisco 버그 ID CSCwc23844 "30% 이상의 여유 메모리가 있음에도 불구하고 ASAv 높은 CPU 및 스택 메모리 할당 오류"를 참조하십시오. 임시 해결 방법은 방화벽을 재부팅하는 것입니다.
참고: 이 결함은 최근 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오.
참조
- Cisco Secure Firewall ASA 릴리스 정보
- Cisco Secure Firewall ASDM 릴리스 정보
- Cisco Secure Firewall ASA 호환성
- logging rate-limit 명령 참조
문제 2. ASDM 사용자 인터페이스는 Java Web Launch-Starting을 통해 액세스할 수 없습니다.
증상을 확인하려면 Java 콘솔 로그를 활성화합니다.
Java 콘솔 로그에는 다음과 같은 메시지가 표시됩니다.
NLPException[category: Download Error : Exception: java.io.FileNotFoundException: https://192.0.2.1/admin/public/asdm.jnlp : LaunchDesc: null
at com.sun.javaws.Main.launchApp(Unknown Source)
at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
at com.sun.javaws.Main.access$000(Unknown Source)
at com.sun.javaws.Main$1.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Caused by: java.io.FileNotFoundException: https://10.75.32.2/admin/public/asdm.jnlp
at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.access$200(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection$9.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at java.security.AccessController.doPrivilegedWithCombiner(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)
문제 해결 - 권장 조치
ASDM 7.18 Java Web Launch 지원 종료 - ASDM 7.18부터 JRE 8 및 JNLP(Java Network Launching Protocol)에 대한 Oracle의 지원 종료로 인해 ASDM은 더 이상 Java Web Start를 지원하지 않습니다. ASDM을 시작하려면 ASDM Launcher를 설치해야 합니다. Cisco Secure Firewall ASDM, 7.18(x)의 릴리스 정보를 참조하십시오.
참조
문제 3. ASDM이 'ASDM이 디바이스에서 현재 컨피그레이션을 로드하는 동안 잠시 기다려 주십시오.'에서 중단됩니다.
ASDM UI에 표시되는 오류는 다음과 같습니다.
문제 해결 - 권장 조치
이는 Cisco 버그 ID CSCvv에서 추적한 알려진 결함입니다14818 잘못된 팝업: ASDM이 디바이스에서 현재 컨피그레이션을 로드하는 동안 잠시 기다려 주십시오.
참고: 이 결함은 최근 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오.
문제 4. ASDM 시작 오류: JNLP 파일의 JAR 리소스가 동일한 인증서로 서명되지 않음
ASDM UI에 표시되는 오류는 다음과 같습니다. '애플리케이션을 시작할 수 없습니다.'
ASDM Java 로그는 다음을 보여줍니다. 'JNLP 파일의 JAR 리소스가 동일한 인증서로 서명되지 않음'
문제 해결 - 권장 조치
이는 Cisco 버그 ID CSCwc에서 추적한 알려진 결함입니다13294 ASA: ASDM과 Java Web Launch를 사용하여 ASA에 연결할 수 없음
참고: 이 결함은 최근 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오.
참고: ASDM Java Web Launch 지원은 7.18 릴리스 코드로 종료되었습니다. ASDM 7.18부터 JRE 8 및 JNLP(Java Network Launching Protocol)에 대한 Oracle의 지원 종료로 인해 ASDM은 더 이상 Java Web Start를 지원하지 않습니다. ASDM을 시작하려면 ASDM Launcher를 설치해야 합니다.
참조
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_17/release/notes/rn717.html
문제 5. 디바이스 컨피그레이션을 로드하는 동안 ASDM이 77%로 중단됨
실행 중인 컨피그레이션을 구문 분석하는 동안 ASDM이 77%에서 중단됩니다.
문제 해결 - 권장 조치
이는 Cisco 버그 ID CSCvh에 의해 추적되는 알려진 결함입니다02586 디바이스 컨피그레이션을 로드하는 동안 ASDM이 77% 정지됨
참고: 이 결함은 최근 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오.
문제 6. 스탠바이 방화벽에서 ASDM에 액세스할 수 없습니다.
문제 해결 - 권장 조치
두 방화벽에 다음 기능이 있는지 확인합니다.
동일한 ASA 소프트웨어 이미지(예:
asa# show run boot
boot system disk0:/cisco-asa-fp1k.9.22.1.1.SPA
동일한 ASDM 소프트웨어 이미지(예:
asa# show asdm image
Device Manager image file, disk0:/asdm-7221.bin
문제 7. ASDM이 'Software update completed(소프트웨어 업데이트 완료)'에서 멈춥니다.
ASDM UI가 'Software update completed(소프트웨어 업데이트 완료)'에서 중지됩니다. 단계
ASDM Java 로그에는 다음 항목이 표시됩니다.
java.lang.NullPointerException
at vk.cz(vk.java:780)
at vk.b(vk.java:609)
at vk.<init>(vk.java:409)
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:170)
at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:177)
at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
vk,cz 등등 은(는) 어떤 문자이든 가능합니다. 예를 들면 다음과 같습니다.
java.lang.NullPointerException
at t6.cr(t6.java:742)
at t6.b(t6.java:573)
at t6.<init>(t6.java:386)
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:168)
at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
Exception in Starting Main window
Exception in thread "SGZ Loader: launchSgzApplet" java.lang.NullPointerException
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:175)
at com.cisco.nm.dice.loader.Loader$1.run(Unknown Source)
문제 해결 - 권장 조치
ASDM 사용자에게 권한 레벨 15가 있는지 확인합니다.
asa# show run username
username test password ***** pbkdf2 privilege 3 <- this will not work
이 방법은 다음과 같은 효과를 발휘합니다.
asa# show run username
username test password ***** pbkdf2 privilege 15
문제 8. 실행 중인 컨피그레이션을 구문 분석하는 동안 ASA의 ASDM에서 다중 컨텍스트가 57%로 중단됨
ASDM UI가 57%로 고정됩니다. UI에는 다음이 표시됩니다. ASDM이 디바이스에서 현재 컨피그레이션을 로드하는 동안 잠시 기다려 주십시오.
문제 해결 - 권장 조치
일반적으로 이러한 모든 조건이 충족될 때 표시됩니다.
- ASA가 다중 컨텍스트 모드에 있음
- 4개 이상의 서버를 포함하는 aaa-server 그룹이 있습니다.
솔루션
그룹에서 aaa-server의 수를 줄입니다. 예를 들면 다음과 같습니다.
공격 전:
aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
key *****
aaa-server ACS (management) host 192.0.2.2
key *****
aaa-server ACS (management) host 192.0.2.3
key *****
aaa-server ACS (management) host 192.0.2.4
key *****
aaa-server ACS (management) host 192.0.2.5
key *****
aaa-server ACS (management) host 192.0.2.6
key *****
변경:
asa(config)# no aaa-server ACS (management) host 192.0.2.5
asa(config)# no aaa-server ACS (management) host 192.0.2.6
이후:
aaa-server ACS protocol tacacs+
aaa-server ACS (management) host 192.0.2.1
key *****
aaa-server ACS (management) host 192.0.2.2
key *****
aaa-server ACS (management) host 192.0.2.3
key *****
aaa-server ACS (management) host 192.0.2.4
key *****
참조
문제 9. vASA에서 ASDM에 액세스할 수 없습니다.
다음과 같은 메시지가 많이 표시됩니다.
Problem Details: ERROR: FAIL to ALLOC the stack page 0xffffffffffffffff[size 36864] to 0x00007ff62429c000 errno (mmap:umap) 12:0 First MMAP Req/Updated 36864/45056 Front 0x00007ff62429b000 rtn 0x00007ff62429c000 back 0x00007ff6242a5000
기타 증상:
- 낮은 사용률을 보이는 'show cpu core'에도 불구하고 'show cpu' 출력에서 높은 CPU 사용률
- 콘솔의 스택 메모리 할당 오류
- 디바이스에 대한 SSH 불가
- SNMP 폴링 실패
이는 Cisco 버그 ID CSCwc에서 추적한 알려진 결함입니다23844 여유 메모리가 30% 이상임에도 불구하고 ASAv의 높은 CPU 및 스택 메모리 할당 오류
참고: 이 결함은 최근 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오.
Windows OS에서 ASDM 관련 문제 해결
문제 1. ASA + SFR을 사용하는 경우 ASDM에서 방화벽 컨피그레이션을 로드하지 않습니다.
ASDM UI에 표시되는 오류는 다음과 같습니다.
'ASDM에서 방화벽의 컨피그레이션을 로드할 수 없습니다. 디바이스에 대한 연결을 확인하거나 나중에 다시 시도하십시오.'
문제 해결 - 권장 조치
ASDM 릴리스 정보를 확인합니다. 지원되는 OS는 다음과 같습니다.
관련 섹션:
이 스크린샷은 ASDM 7.18 릴리스 노트에서 가져온 것입니다.
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html
보이는 것처럼 Windows 11과 2022는 목록에 없습니다.
또한 ASDM 7.16과 마찬가지로 Windows Server 2016 및 Server 2019에서는 Firepower 모듈의 ASDM 관리가 지원되지 않습니다. 또는 ASA 관리를 위해 ASDM을 사용할 때 FMC를 사용하여 Firepower 모듈을 관리할 수 있습니다.
문제 해결 팁: ASDM에서 Java 콘솔 로그를 확인합니다.
지원되지 않는 OS의 경우 다음과 같은 상황이 나타납니다.
Caused by: java.lang.ExceptionInInitializerError: Exception com.teamdev.jxbrowser.chromium.internal.EnvironmentException: Unsupported operating system. Supported OS: Windows XP (SP2), 7, 8, 10, Vista, 2003 (SP1), 2008, 2012, Mac OS X & Linux. Current OS: Windows 11 [in thread "AWT-EventQueue-0"]
at com.teamdev.jxbrowser.chromium.internal.Environment.checkEnvironment(Unknown Source)
…
솔루션
따라서 ASDM을 사용하여 ASA를 관리하려면 다음과 같은 옵션을 사용할 수 있습니다.
옵션 1: 다른 이전 호스트(예: Windows 2010, Windows Server 2012 등)에서 ASA 및 Firepower 모듈을 관리합니다.
옵션 2: FMC를 사용하여 Firepower 모듈을 관리하고 ASDM을 사용하여 ASA를 계속 관리합니다.
옵션 3: firepower 모듈을 종료합니다.
ASA5508# sw-module module sfr shutdown
Shutdown module sfr? [confirm]
Shutdown issued for module sfr.
옵션 4: firepower 모듈을 더 이상 사용할 계획이 없는 경우 다음 단계를 수행하여 제거할 수 있습니다.
ASA5508# sw-module module sfr uninstall
옵션 5: Cisco TAC과 협력하여 Cisco 버그 ID CSCwj에서 해결 방법을 적용합니다51536 jxbrowser.jar 파일을 수동으로 대체합니다. 이 해결 방법으로는 여전히 문제가 해결되지 않을 수 있습니다. 그런 경우에는 앞의 옵션을 고려해야 합니다.
문제 2. Firepower 패키지를 다운로드하는 동안 ASDM이 중단됩니다.
문제 해결 - 권장 조치
firepower 호환성 가이드에 따르면 ASA 9.8(4.45)+, 9.12(4.50)+, 9.14(4.14)+ 및 9.16(3.19)+를 사용하는 Firepower 모듈 관리에 대해서는 ASDM이 지원되지 않습니다. 이 릴리스로 모듈을 관리하려면 FMC를 사용해야 합니다. 이러한 ASA 릴리스에는 ASDM 7.18(1.152) 이상이 필요하지만 ASA Firepower 모듈에 대한 ASDM 지원이 7.16으로 종료되었습니다.
솔루션
따라서 ASDM을 사용하여 ASA를 관리하려면 다음과 같은 옵션을 사용할 수 있습니다.
옵션 1: 다른 이전 호스트(예: Windows 2010, Windows Server 2012 등)에서 ASA 및 Firepower 모듈을 관리합니다.
옵션 2: FMC를 사용하여 Firepower 모듈을 관리하고 ASDM을 사용하여 ASA를 계속 관리합니다.
옵션 3: firepower 모듈을 종료합니다.
ASA5508# sw 모듈 sfr 종료
모듈 sfr 종료? [확인]
모듈 sfr에 대해 종료가 실행되었습니다.
옵션 4: firepower 모듈을 더 이상 사용할 계획이 없는 경우 다음 단계를 수행하여 제거할 수 있습니다.
ASA5508# sw-module module sfr 제거
참조
문제 3. Windows 호스트에 표시되는 "이 앱은 PC에서 실행할 수 없습니다" 오류 메시지
문제 해결 - 권장 조치
ASDM Launcher를 설치하면 Windows에서 ASDM 바로 가기 대상을 Windows 스크립팅 호스트 경로로 교체할 수 있으며, 이 경우 오류가 발생합니다. 바로 가기 대상을 수정하려면
- Start(시작) > Cisco ASDM-IDM Launcher(Cisco ASDM-IDM Launcher)를 선택하고 Cisco ASDM-IDM Launcher 애플리케이션을 마우스 오른쪽 버튼으로 클릭합니다.
- 추가 > 파일 위치 열기를 선택합니다. 바로 가기 아이콘이 있는 디렉터리가 열립니다.
- 바로 가기 아이콘을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
- 대상을 다음으로 변경: C:\Windows\System32\wscript.exe invisible.vbs run.bat(invisible.vbs run.bat는 ASDM을 여는 데 사용되는 스크립트이므로 마지막에 둡니다).
5. 확인을 클릭합니다.
참조
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html
문제 4. 'javaw.exe'를 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인한 후 다시 시도하십시오.
문제 해결 - 권장 조치
- 일반적으로 이 오류는 컴퓨터에 Java가 없는 것과 관련이 있습니다. Windows 호스트에 호환되는 Java 버전이 설치되어 있는지 확인합니다. https://www.java.com/en/download/help/windows_manual_download.html
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_22/release/notes/rn722.html#id_25472
- Windows 환경 변수 경로에 Java 프로그램의 정확한 경로가 있는지 확인합니다.
- Java 업그레이드 후 문제가 발생한 경우 Java 버전을 롤백하는 것을 고려하십시오.
- ASDM Desktop(ASDM 데스크톱) 아이콘이 올바른 설치 경로를 가리키는지 확인합니다. 그렇지 않으면 삭제하고 새 바로 가기를 만듭니다.
문제 5. 대상 상자의 바로 가기 'C:\Windows\system32\invisible.vbs'에 문제가 있습니다.
오류 표시: 대상 상자에 지정된 이름 'C:\Windows\system32\invisible.vbs'이 잘못되었습니다. 경로와 파일 이름이 올바른지 확인하십시오.
경우에 따라 오류는 다음과 같습니다. 스크립트 파일 'C:\Windows\system32\invisible.vgs'을 찾을 수 없습니다.
문제 해결 - 권장 조치
- Windows 호스트에 ASDM을 설치할 때 관리자 권한이 있는지 확인합니다. 경우에 따라 Windows 사용자를 위한 Active Directory 설정은 Windows에서 ASDM을 성공적으로 실행하는 데 필요한 프로그램 파일 위치에 대한 액세스를 제한할 수 있습니다. 다음 디렉토리에 대한 액세스가 필요합니다.
- 바탕 화면 폴더
- C:\Windows\System32C:\Users\<사용자 이름>\.asdm
- C:\Program 파일(x86)\Cisco Systems
Active Directory가 디렉터리 액세스를 제한하고 있는 경우 Active Directory 관리자에게 액세스를 요청해야 합니다.
- Windows 호스트에 다른 버전의 Java를 설치해 보십시오.
참조
https://www.cisco.com/c/en/us/td/docs/security/asdm/7_18/release/notes/rn718.html#id_25476
문제 6. Windows 스크립트 호스트가 스크립트 파일 "C:\WINDOWS\system32\invisible.vbs"을 찾을 수 없습니다.
ASDM Launcher를 시작하려고 하면 다음 오류가 나타납니다.
문제 해결 - 권장 조치
다음 단계를 수행합니다.
- Windows 호스트를 재부팅하고 ASDM Launcher의 모든 인스턴스를 삭제/제거합니다.
- ASDM Launcher의 최신 버전이지만 호환되는 버전을 다시 설치합니다. 최신 버전이 없는 경우 이전에 설치한 것과 동일한 ASDM Launcher를 설치합니다.
- 올바른 Java 버전이 설치되었는지 확인합니다.
또는 로컬 PC에 Oracle Java를 설치할 필요가 없으므로 OpenJRE 기반 ASDM 설치 관리자를 사용할 수 있습니다.
문제 해결 - 권장 조치
다음 단계를 수행합니다.
- Windows 호스트를 재부팅하고 ASDM Launcher의 모든 인스턴스를 삭제/제거합니다.
- ASDM Launcher의 최신 버전이지만 호환되는 버전을 다시 설치합니다. 최신 버전이 없는 경우 이전에 설치한 것과 동일한 ASDM Launcher를 설치합니다.
- 올바른 Java 버전이 설치되었는지 확인합니다.
또는 로컬 PC에 Oracle Java를 설치할 필요가 없으므로 OpenJRE 기반 ASDM 설치 관리자를 사용할 수 있습니다.
문제 7. Windows Server 2022에서는 ASDM이 작동하지 않습니다.
문제 해결 - 권장 조치
이 작성 시에는 Windows Server 2022가 지원되지 않습니다. https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-release-notes-list.html에서 최신 ASDM 릴리스 노트를 확인하고 Windows Server 2022가 나열되지 않은 경우 지원되는 목록에서 다른 OS를 사용하십시오.
문제 8. ASDM UI 글꼴 크기가 너무 작습니다.
문제 해결 - 권장 조치
다음 단계를 수행하십시오.
- 설치한 javaw.exe(C:\ProgramData\Oracle\Java\javapath)를 찾거나 ASDM에서 Task Manager를 열고 실행 중인 서비스를 찾습니다.
- 마우스 오른쪽 단추 클릭 -> 속성
- 호환성 탭으로 이동
- 'Change high DPI settings(높은 DPI 설정 변경)'를 클릭합니다.
- 'Use this setting to fix scaling problems instead of this program instead of Settings'(설정에 있는 문제 대신 이 프로그램의 크기 조정 문제를 해결하려면 이 설정 사용) 확인란을 활성화합니다.
- 'Override high DPI scaling behavior'(높은 DPI 배율 동작 재정의) 확인란을 활성화하고 'System (Enhanced)(시스템(고급))'을 선택합니다.
공격 전:
이후:
문제 9. Java 오류
ASDM UI에서는 다음 Java 오류 중 하나 이상을 표시할 수 있습니다. 오류: java.dll을 찾을 수 없습니다.
또는
오류: Java SE Runtime Environment를 찾을 수 없습니다.
또는
오류: 레지스트리 키 'Software\JavaSoft\Java Runtime Environment'\CurrentVersion'에는 'x.x' 값이 있지만 'x.x'가 필요합니다.
문제 해결 - 권장 조치
- 다른 버전의 Java가 설치되어 있는지 확인합니다.
- 다른 버전이 설치된 경우 모든 Java 버전을 제거합니다. Java 8도 제거해야 합니다.
팁: 레지스트리에서 이 키를 검토할 수 있습니다. HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Runtime Environment - 설치된 버전을 확인합니다.
또한 이 키를 통해 모든 버전이 완전히 제거되었음을 확인할 수 있습니다.
경고: Windows 레지스트리를 사용할 때는 주의하십시오!
- 호환되는 Java 버전을 다시 설치합니다.
문제 10. 백엔드의 ASDM 버전 7.19.1.94 openJRE 버전 파일이 여전히 OracleJRE 버전을 표시합니다.
openJRE의 정상적인 동작
일반적으로 JRE 기반 ASDM 이미지를 설치 및 열면 Java 버전에 반영됩니다.
그리고 이 경로 아래에 'jre' 폴더가 생성됩니다. C:\Program 파일(x86)\Cisco Systems\ASDM\jre
여기에서 Azul Zulu에 대한 정보가 포함된 릴리스 파일을 찾을 수 있습니다.
IMPLEMENTOR="Azul Systems, Inc."
IMPLEMENTOR_VERSION="Zulu8.74.0.17-CA-win64"
JAVA_VERSION="1.8.0_392"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:51a769a8708c"
openJRE의 잘못된 동작
이제 문제는 일부 ASDM 버전(예: 7.19.1.94)에서 UI가 다음과 같이 표시된다는 것입니다.
C:\Program Files (x86)\Cisco Systems\ASDM\jre\release 파일에는 다음과 같은 내용이 표시됩니다.
JAVA_VERSION="1.8.0_351"
OS_NAME="Windows"
OS_VERSION="5.2"
OS_ARCH="amd64"
SOURCE=".:git:c72692150ec4+"
BUILD_TYPE="commercial"
문제 해결 - 권장 단계
이는 알려진 Cisco 버그 ID CSCwf입니다74697 백엔드의 ASDM 버전 7.19.1.94 openJRE 버전 파일에 OracleJRE 버전이 여전히 표시됨
참고: 이 결함은 최근 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오.
해결 방법:
>= 7.18.1.161 또는 >= 7.19.1.95 OpenJRE 버전 저장소를 사용합니다.
문제 11. ASDM java 오류 "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"
증상(둘 다 참이어야 함):
- ASDM은 문제 없이 작동합니다.
- ASDM Java 로그는
0 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup - CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing:
[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 46 [SGZ Loader: launchSgzApplet] ERROR com.cisco.pdm.headless.startup –
CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing messenger: cqq@1a3c930 Env.isAsdmInHeadlessMode()-------------->false IO Exception occurs while reading the dap file. java.io.FileNotFoundException: https://192.0.2.1 /admin/flash/dap.xml
No CSD version
문제 해결 - 권장 조치
이는 Cisco 버그 ID CSCwe에 의해 추적된 알려진 외관 결함입니다28411 ASDM java 오류 "[ERROR] CLI-PASSTHROUGH-DEBUG Inside doInitialProcessing"
참고: 이 결함은 최근 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오
ASDM 연결 문제 해결
문제 1. 최대 세션 수에 도달하여 ASDM 시작이 실패함
"프로토콜 http 또는 사용자에 대한 최대 관리 세션 수가 이미 있습니다. Please try again later" 오류 메시지가 ASDM에 표시됩니다.
ASDM에서 컨텍스트 간을 전환할 때도 유사한 오류가 표시될 수 있습니다.
문제 해결 - 권장 조치
Cisco 버그 ID CSCwd04210을 참조하십시오. ASA: ASDM 세션이 CLOSE_WAIT에 머물러 관리 기능이 부족해짐" 이 결함으로 인해 ASDM 세션이 "Lost connection to firewall(방화벽에 대한 연결 끊김)" 메시지로 종료될 수 있으며, 더 이상 방화벽에 연결하지 못할 수 있습니다.
참고: 이 결함은 최근 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오.
문제 2. ASDM에서 로드/연결 시간 증가
ASDM 초기 연결/로드 시간은 Cisco 버그 ID CSCvw79912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability"에 대한 수정을 실행하는 버전에서 증가합니다.
문제 해결 - 권장 조치
Cisco 버그 ID CSCwd58653 "ASDM 초기 연결/로드 시간 증가"를 참조하십시오.
참고: 이 결함은 최근 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오.
ASDM 메모리 관련 문제 해결
문제 1. 컨피그레이션 로드 중 응답하지 않거나 ASDM 사용자 인터페이스가 느림
ASDM을 실행할 때 다음 증상 중 하나 이상이 관찰됩니다.
- 컨피그레이션을 로드하는 동안 ASDM UI가 응답하지 않거나 느려집니다.
- "ASDM에서 방화벽의 컨피그레이션을 로드할 수 없습니다. 디바이스에 대한 연결을 확인하고 나중에 다시 시도하십시오." 오류 메시지가 표시됩니다.
- "Retrieval of Data (validating running configuration)(데이터 검색(실행 중인 컨피그레이션 확인))" 메시지가 몇 시간 등의 긴 시간 동안 표시됩니다.
- Java 콘솔 로그에는 다음 행이 표시됩니다.
Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
Exception in thread "LoadConfigThread" java.lang.OutOfMemoryError: GC overhead limit exceeded
또는
Exception in thread "AWT-EventQueue-0" java.lang.OutOfMemoryError: Java heap space
java.lang.reflect.InvocationTargetException
at java.awt.EventQueue.invokeAndWait(Unknown Source)
at java.awt.EventQueue.invokeAndWait(Unknown Source)
at javax.swing.SwingUtilities.invokeAndWait(Unknown Source)
at c1.f(c1.java:483)
at c1.setVisible(c1.java:455)
at ve.setVisible(ve.java:165)
at vd.d(vd.java:873)
at com.cisco.pdm.PDMApplet.populateLoginHistory(PDMApplet.java:268)
at com.cisco.pdm.PDMApplet.start(PDMApplet.java:233)
at com.cisco.nm.dice.loader.Loader$1.run(Loader.java:416)
Caused by: java.lang.OutOfMemoryError: Java heap space
이 증상을 확인하려면 Java 콘솔 로그를 활성화합니다.
문제 해결 - 권장 조치
- ASA, ASDM 및 운영 체제 버전이 호환되는지 확인합니다. Cisco Secure Firewall ASA 릴리스 노트, Cisco Secure Firewall ASDM 릴리스 노트, Cisco Secure Firewall ASA 호환성을 참조하십시오.
- 운영 체제에서 ASDM 컨피그레이션 메모리를 늘립니다.
창
- ASDM 설치 디렉토리(예: C:\Program Files (x86)\Cisco Systems\ASDM)로 이동합니다.
- 텍스트 편집기로 run.bat 파일을 편집합니다.
- "start javaw.exe"로 시작하는 줄에서 접두사가 "-Xmx"인 인수를 변경하여 원하는 힙 크기를 지정합니다. 예를 들어, 768MB의 경우 -Xmx768M, 1GB의 경우 -Xmx1G로 변경합니다.
- run.bat 파일을 저장합니다.
맥 OS
- Cisco ASDM-IDM 아이콘을 마우스 오른쪽 버튼으로 클릭하고 Show Package Contents(패키지 콘텐츠 표시)를 선택합니다.
- Contents 폴더에서 Info.plist 파일을 두 번 클릭합니다. 개발자 도구가 설치되어 있으면 속성 목록 편집기에서 열립니다. 그렇지 않으면 TextEdit에서 열립니다.
- Java > VMOptions 아래에서 접두사가 "-Xmx"인 문자열을 변경하여 원하는 힙 크기를 지정합니다. 예를 들어, 768MB의 경우 -Xmx768M, 1GB의 경우 -Xmx1G로 변경합니다.
- 이 파일이 잠겨 있으면 다음과 같은 오류가 표시됩니다.
- 잠금 해제를 클릭하고 파일을 저장합니다. 잠금 해제 대화 상자가 표시되지 않으면 편집기를 종료하고 Cisco ASDM-IDM 아이콘을 마우스 오른쪽 버튼으로 클릭한 다음 Copy Cisco ASDM-IDM을 선택하고 Desktop과 같은 쓰기 권한이 있는 위치에 붙여넣습니다. 그런 다음 이 복사본에서 힙 크기를 변경합니다.
참조
문제 2. ASDM에서 방화벽에 연결할 수 없습니다.
"ASDM이 일시적으로 방화벽에 연결할 수 없습니다." 오류 또는 ASDM을 시작할 때 "Unable to launch device manager(디바이스 관리자를 시작할 수 없음)"가 표시됩니다.
- ASDM HTTPS 연결의 일부 패킷이 (ctm-error) CTM에서 ASP(Accelerated Security Path)에 오류 삭제 이유를 반환하면 삭제됩니다.
# capture asp type asp-drop all buffer 33554432 match ip host 192.0.2.1 host 192.0.2.1 eq https
# show capture
capture asp type asp-drop all buffer 33554432 [Capturing - 587 bytes]
match ip host 192.0.2.1 host 192.0.2.2 eq https
# show cap asp
1 packet captured
1: 10:41:04.850648 192.0.2.1.56667 > 192.0.2.2.443: P 758423982:758424499(517) ack 2534033991 win 64440 Drop-reason: (ctm-error) CTM returned error
- 실패한 블록 수는 256개이며 크기가 1550개인 블록 수는 0이 아니며 FAILED 카운터가 증가합니다.
# show block
SIZE MAX LOW CNT FAILED
0 2950 2865 2950 0
4 400 398 399 0
80 2500 2369 2500 0
256 6302 0 6274 50693
1550 22147 0 22111 769896
2048 8848 8844 8848 0
2560 2964 2962 2964 0
4096 100 99 100 0
8192 100 99 100 0
9344 100 99 100 0
16384 154 153 154 0
65664 16 16 16 0
- MEMPOOL_DMA 메모리 풀의 여유 메모리 양은 일반적으로 몇 바이트 또는 킬로바이트 정도로 매우 적습니다.
# show memory detail | begin MEMPOOL_DMA
MEMPOOL_DMA POOL STATS:
Non-mmapped bytes allocated = 230686720
Number of free chunks = 175
Number of mmapped regions = 0
Mmapped bytes allocated = 0
Max memory footprint = 230686720
Keepcost = 336
Max contiguous free mem = 21136
Allocated memory in use = 230548640
Free memory = 138080
문제 해결 - 권장 조치
- Cisco 버그 ID CSCvv71435 "ASA 256 및/또는 1550 block depletion cares DMA Memory unreleased allocation"을 확인합니다. 결함 증상은 302013 또는 302014과 같은 syslogs 메시지의 높은 속도로 관찰됩니다.
해결 방법 섹션의 단계를 수행합니다.
- Cisco 버그 ID CSCwd58653 "ASDM initial connection/load time increated"를 확인합니다. ASDM 업그레이드 후 ASDM 초기 연결/로드 시간이 증가하여 Cisco 버그 ID CSCvw79912 "Cisco Adaptive Security Device Manager Remote Code Execution Vulnerability" 버전이 수정되었습니다.
참고: Cisco 버그 ID CSCwd58653 및 Cisco 버그 ID CSCvw79912 최신 ASDM 소프트웨어 릴리스에서 수정되었습니다. 자세한 내용은 결함 세부사항을 확인하십시오.
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
28-Nov-2024 |
최초 릴리스 |
피드백