对ASDM上的ASA连接问题进行故障排除

下载选项

PDF (639.3 KB)
在各种设备上使用 Adobe Reader 查看
ePub (311.3 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (413.0 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2023 年 8 月 2 日

文档 ID:116403

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍检查访问/配置带Cisco ASDM的Cisco ASA时所面临的问题的必要故障排除方法。

先决条件

要求

本文档中列出的场景、症状和步骤用于在自适应安全设备(ASA)上设置初始配置后进行故障排除。有关初始配置，请参阅《思科ASA系列常规操作自适应安全设备管理器(ASDM)配置指南7.1》中的为设备配置ASDM访问部分。

本文档使用ASA CLI进行故障排除，需要通过Secure Shell (SSH)/Telnet/控制台访问ASA。

使用的组件

本文档中的信息基于ASA和ASDM。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

ASDM通过图形管理界面为安全设备提供安全管理和监控服务。

故障排除方法

本故障排除文档重点介绍三个主要故障点。如果遵循此顺序的一般故障排除过程，本文档可帮助您确定ASDM使用/访问的确切问题。

ASA 配置
网络连接
应用软件

ASA 配置

ASA上存在成功访问ASDM所需的三个基本配置：

闪存中的ASDM映像
正在使用的ASDM映像
HTTP服务器限制

闪存中的ASDM映像

确保所需的ASDM版本已上传到闪存。它可以使用当前运行的ASDM版本或通过TFTP等其他常规文件传输方法上传到ASA。

在ASA CLI上输入show flash以帮助您列出ASA闪存中的文件。检查是否存在ASDM文件：

ciscoasa# show flash
 --#--  --length--  -----date/time------  path

 249  76267       Feb 28 2013 19:58:18  startup-config.cfg
 250  4096        May 12 2013 20:26:12  sdesktop
 251  15243264    May 08 2013 21:59:10  asa823-k8.bin
 252  25196544    Mar 11 2013 22:43:40  asa845-k8.bin
 253  17738924    Mar 28 2013 00:12:12  asdm-702.bin    ---- ASDM Image

为进一步验证闪存中的映像是否有效且未损坏，您可以使用verify命令来比较软件包中存储的MD5散列与当前实际文件的MD5散列：

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

此步骤可帮助您验证映像是否存在及其在ASA上的完整性。

正在使用的ASDM映像

此过程在ASA上的ASDM配置下定义。使用的当前映像的示例配置定义如下所示：

asdm image disk0：/asdm-702.bin

为进一步验证，还可以使用show asdm image命令：

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

HTTP服务器限制

此步骤在ASDM配置中至关重要，因为它定义了哪些网络可以访问ASA。示例配置如下所示：

http server enable
http 192.168.1.0 255.255.255.0 inside

http 10.0.0.1 255.0.0.0 outside

检验您是否有在前面的配置中定义的必要网络。缺少这些定义会导致ASDM启动程序在连接时超时，并出现以下错误：

Cisco ASDM-IDM Launcher

ASDM启动页面(https://<ASA IP address>/admin)导致请求超时，并且不显示任何页面。

进一步验证HTTP服务器是否使用非标准端口进行ASDM连接，例如8443。以下内容在配置中突出显示：

ciscoasa(config)# show run http
http server enable 8443

如果它使用非标准端口，则连接ASDM启动器中的ASA时，需要将该端口指定为：

Specify Port when Connecting to the ASA in ASDM Launcher

当您访问ASDM启动页面时，这也适用：https://10.106.36.132:8443/admin

其他可能的配置问题

完成前面的步骤后，如果客户端上的所有功能都正常，则ASDM可以打开。但是，如果仍然遇到问题，请从另一台计算机打开ASDM。如果成功，则问题可能出在应用级别，并且ASA配置正常。但是，如果仍然无法启动，请完成以下步骤以进一步验证ASA端配置：

验证ASA上的安全套接字层(SSL)配置。ASDM在与ASA通信时使用SSL。根据ASDM的启动方式，较新的操作系统软件在协商SSL会话时不允许使用较弱的密码。使用show run all ssl命令验证在ASA上允许哪些密码，以及配置中是否指定了任何特定SSL版本：
```
ciscoasa# show run all ssl
ssl server-version any  <--- Check SSL Version restriction configured on the ASA
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
permitted on the ASA
```
如果ASDM启动时出现任何SSL密码协商错误，则这些错误会显示在ASA日志中：
```
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
no shared cipher
%ASA-6-302014: Teardown TCP connection 3 for mgmt:10.103.236.189/52501 to 
identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
```
如果看到特定设置，请将其恢复为默认值。请注意，VPN-3DES-AES许可证需要在ASA上启用，以使ASA在配置中使用3DES和AES密码。这可以通过CLI上的show version命令进行验证。输出显示如下：
```
ciscoasa#show version

Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 64MB
Slot 1: ATA Compact Flash, 32MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
<snip>
Failover            : Active/Active
VPN-DES             : Enabled  
VPN-3DES-AES        : Enabled
<snip>
```
可以从思科许可网站免费获取VPN-3DES-AES许可证。单击Security Products，然后选择Cisco ASA 3DES/AES License。

注意：在随附8.6/9.x代码的新ASA 5500-X平台中，默认情况下会将SSL密码设置设置为des-sha1，这将导致ASDM会话不起作用。有关详细信息，请参阅ASA 5500-x： ASDM和其他SSL功能不可用的文章。
验证已在ASA上启用WebVPN。如果启用，则需要在访问ASDM Web启动页时使用此URL (https://10.106.36.132/admin)以访问它。
在ASA上检查端口443的网络地址转换(NAT)配置。这会导致ASA不处理ASDM请求，而是将其发送到已为其配置NAT的网络/接口。
如果已验证所有内容并且ASDM仍然超时，请验证ASA是否已设置为在ASA CLI上使用show asp table socket命令侦听为ASDM定义的端口。输出可以显示ASA侦听ASDM端口：
```
Protocol  Socket    Local Address               Foreign Address         State
SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN
```
如果此输出未显示，请删除并重新应用ASA上的HTTP服务器配置，以重置ASA软件上的套接字。
如果在登录/验证ASDM时遇到问题，请验证HTTP的身份验证选项设置正确。如果未设置身份验证命令，您可以使用ASA启用密码登录到ASDM。如果要启用基于用户名/密码的身份验证，则需要输入以下配置以从ASA用户名/密码数据库对到ASA的ASDM/HTTP会话进行身份验证：
```
aaa authentication http console LOCAL
```
启用以前的命令时，请记住创建用户名/密码：
```
username <username> password <password> priv <Priv level>
```
如果上述步骤均无效，ASA上提供以下调试选项供进一步调查：
```
debug http 255
debug asdm history 255
```

网络连接

如果您已完成上一节但仍无法访问ASDM，则下一步是从要访问ASDM的计算机验证与ASA的网络连接。验证ASA是否从客户端接收请求时，需要执行几个基本的故障排除步骤：

使用互联网控制消息协议(ICMP)进行测试。
对要从中访问ASDM的ASA接口执行ping操作。如果允许ICMP通过您的网络，并且ASA接口级别没有限制，则ping操作可以成功。如果ping失败，可能是由于ASA和客户端计算机之间存在通信问题。但是，这不是确定是否存在此类通信问题的决定性步骤。
确认数据包捕获。
在要访问ASDM的接口上放置数据包捕获。捕获可显示发往接口IP地址的TCP数据包到达时目的端口号为443（默认）。

要配置捕获，请使用以下命令：

capture asdm_test interface 
    
    
      match tcp host 
     
 
     
       eq 443 host 
       
      
    
For example, cap asdm_test interface mgmt match tcp host 10.106.36.132 
eq 443 host 10.106.36.13

这会捕获从连接到ASDM的ASA接口上端口443的所有TCP流量。此时通过ASDM连接或打开ASDM Web启动页面。然后，使用show capture asdm_test命令查看捕获的数据包的结果：

ciscoasa# show capture asdm_test
 
 Three packets captured
 
    1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
       S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
 
    2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
       S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
 
    3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
       S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>

此捕获显示从客户端计算机到ASA的同步(SYN)请求，但ASA不发送任何响应。如果您看到与之前类似的捕获，则意味着数据包到达ASA，但ASA不响应这些请求，这会将问题隔离到ASA自身。请参阅本文档的第一部分以进一步排除故障。

但是，如果您没有看到与之前类似的输出，并且没有捕获任何数据包，则意味着ASA和ASDM客户端计算机之间存在连接问题。确认没有可以阻止TCP端口443流量的中间设备，并且没有可阻止流量到达ASA的浏览器设置（例如代理设置）。

通常，数据包捕获是确定到ASA的路径是否畅通，以及是否需要进一步诊断以排除网络连接问题的好方法。

应用软件

本节介绍如何对客户端计算机上安装的ASDM启动程序软件进行故障排除，使其无法启动/加载。ASDM启动程序是驻留在客户端机器上并连接到ASA以检索ASDM映像的组件。检索后，ASDM映像通常存储在缓存中并从缓存获取，直到ASA端发现任何更改（例如ASDM映像更新）为止。

完成以下基本故障排除步骤以排除客户端计算机上的任何问题：

从其他计算机打开ASDM启动页面。如果启动，则意味着问题出在客户端计算机上。如果它发生故障，请使用故障排除指南从头开始按顺序隔离相关组件。
通过Web启动打开ASDM，然后直接从此处启动软件。如果成功，则可能是ASDM启动器安装有问题。从客户端计算机上卸载ASDM启动程序，然后从ASA Web启动程序自身重新安装它。
清除用户主目录中的ASDMcache目录。删除整个缓存目录时，会清除缓存。如果ASDM成功启动，还可以从ASDM File菜单内清除缓存。
验证已安装正确的Java版本。Cisco ASDM发行版本注释列出测试Java版本的要求。
清除 Java 缓存.在Java控制面板中，选择常规>临时Internet文件。然后，单击查看以启动Java Cache Viewer。删除引用或与ASDM相关的所有条目。
如果这些步骤失败，请从客户端计算机上收集调试信息，以便进一步调查。使用URL启用ASDM调试：https://<ASA的IP地址>？debug=5，例如https://10.0.0.1?debug=5。
使用Java版本6（也称为版本1.6）时，可从Java控制面板>高级启用Java调试消息。然后选择调试下的复选框。请勿在Java控制台下选择Do not start console。在ASDM启动之前，必须启用Java调试。

Java控制台输出记录在用户主目录的.asdm/log目录中。ASDM日志也可以在同一目录中找到。

使用HTTPS运行命令

此过程有助于确定HTTP通道的任何第7层问题。当您无法访问ASDM应用本身，并且没有任何可用于管理设备的CLI访问时，此信息证明非常有用。

用于访问ASDM Web启动页面的URL也可用于在ASA上运行任何配置级命令。此URL可用于对ASA进行基本级别的配置更改，包括远程设备重新加载。要输入命令，请使用以下语法：

https://<ASA的IP地址>/admin/exec/<command>

如果命令中存在空格，并且浏览器无法分析URL中的空格字符，则可以使用+或%20来指示空格。

例如，https://10.106.36.137/admin/exec/show ver会产生到浏览器的show version输出：

Cisco Adaptive Security Appliance Software Version 8.4(3)

此命令执行方法要求HTTP服务器在ASA上启用并且必要的HTTP限制处于活动状态。但是，这不需要在ASA上存在ASDM映像。

版本	发布日期	备注
2.0	02-Aug-2023	已删除PII。添加了Alt文本。更新的元数据、标题、简介、法律免责声明、机器翻译、样式要求和格式。
1.0	19-Jul-2013	初始版本