ASDM无法正常登陆ASA

下载选项

PDF (222.0 KB)
在各种设备上使用 Adobe Reader 查看
ePub (100.3 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (127.3 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2013 年 7 月 19 日

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意，翻译版本仅供参考，如有任何不一致之处，以本内容的英文版本为准。

硬件平台

ASA 5500 系列

软件版本

所有版本

问题描述

用户有一台新上线的ASA 5585 防火墙,发现在日常使用维护中，少部分用户可以正常的使用ASDM登陆ASA进行配置和管理，大部分用户的电脑不能够正常的登陆ASDM。有问题的用户在IE浏览器,敲入ASA的地址以后没有任何反应，页面呈现空白页。

问题分析思路

确认防火墙上的相关配置是否无误。
能够访问ASDM 和不能够访问ASDM的电脑是否是同一网段,设备是否有区别。
在用户的笔记本上抓包分析，能够访问ASDM和不能访问ASDM分析不同点。
查看ASA上相关的log 信息。

故障排除步骤

确实配置

show run http
检查交换机上关于http 配置，是否在正确的接口上调用了命令，是否允许相应的网络访问.

ciscoasa(config)# show run http 
http server enable
http 10.1.0.0 255.255.0.0 outside
http 0.0.0.0 0.0.0.0 inside

用户的inside 接口确实是放行了所有的地址来访问ASA.

show run asdm
检查ASDM 调用asdm image 的情况。

ciscoasa(config)# show run asdm
asdm image disk0:/asdm-711-52.bin
no asdm history enable

show asp table socket
查看对应的接口是否在监听443端口

ciscoasa(config)# show asp table socket
Protocol  Socket    Local Address               Foreign Address         State
TCP       0000f1bf  10.75.61.192:23             0.0.0.0:*               LISTEN
SSL       0001d87f  10.14.48.54:443             0.0.0.0:*               LISTEN
SSL       0001e97f  10.193.11.4:443             0.0.0.0:*               LISTEN ciscoasa(config)#

从配置上分析配置都是正确的配置，而且相应的接口也在监听TCP对应的443端口。

询问用户能够访问ASDM 和不同够访问ASDM 的主机是否在同一个网段 ?

网管ASA的PC都是同一交换机上同一VLAN的主机。
从网络路径上分析,所有PC经过的路径都是相同的，排错网络差异的问题。

抓包分析。

有问题的数据包

对比两个样本的数据包发现，有问题的PC在于ASA在SSL 建立的过程中失败了。
SSL Handshake Failure (40)

在ASA上打开log功能，记录在用户登录ASDM过程中的SSL建立过程的log。

ciscoasa(config)# show run logging 
logging enable
logging class ssl buffered debugging 
ciscoasa(config)#

使用 logging class 命令可以使ASA只存储特定类别的log。

ciscoasa(config)# show logging 
Syslog logging: enabled
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
%ASA-6-725001: Starting SSL handshake with client inside:192.188.1.235/49972 for TLSv1
session.
%ASA-7-725010: Device supports the following 1 cipher(s).
%ASA-7-725011: Cipher[1] : DES-CBC-SHA
%ASA-7-725008: SSL client inside:192.188.1.235/49972 proposes the following 8 cipher(s).
%ASA-7-725011: Cipher[1] : AES128-SHA
%ASA-7-725011: Cipher[2] : AES256-SHA
%ASA-7-725011: Cipher[3] : RC4-SHA
%ASA-7-725011: Cipher[4] : DES-CBC3-SHA
%ASA-7-725011: Cipher[5] : DHE-DSS-AES128-SHA
%ASA-7-725011: Cipher[6] : DHE-DSS-AES256-SHA
%ASA-7-725011: Cipher[7] : EDH-DSS-DES-CBC3-SHA
%ASA-7-725011: Cipher[8] : RC4-MD5
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no shared cipher

可以看到当前ASA 就支持一种加密算法DES-CBC-SHA, 而这仅有的一种加密方式又不在浏览器支持的范围内，所有PC无法与ASA完成SSL的握手连接。

查看当前ASA SSL的配置，并添加加密方式。

ciscoasa(config)# show run all ssl 
ssl server-version any
ssl client-version any
ssl encryption des-sha1
ssl certificate-authentication fca-timeout 2

发现只有1种加密方式，这时候我们尝试去添加更多的加密算法。通过show version 检查 ASA是不是有3DES-AES 加密的license. 如果没有需要申请相应的license。

ciscoasa(config)# show version 
					
VPN-DES                           : Enabled        perpetual
VPN-3DES-AES                      : Enabled        perpetual

我们给ASA添加其他的加密算法。

ciscoasa(config)# ssl encryption 3des-sha1 des-sha1 aes128-sha1 aes256-sha1

用户可以成功的登陆ASDM

经验总结

要分析ASDM登陆ASA的整个过程。
先是https网页登陆进入，然后是允许java 程序。
在日常的troubleshooting 中一定要注意观察设备的系统日志。
有时候日志能够帮我们快速准确的定位问题。