排除ASDM上的ASA連線故障

下載選項

PDF (660.0 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (310.9 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (412.6 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2023 年 8 月 2 日

文件 ID:116403

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹在透過Cisco ASDM訪問/配置Cisco ASA時檢查所面臨的問題所必需的故障排除方法。

必要條件

需求

本文檔中列出的場景、症狀和步驟是為了在自適應安全裝置(ASA)上設定初始配置後進行故障排除而編寫的。有關初始配置，請參閱《Cisco ASA系列通用操作自適應安全裝置管理器(ASDM)配置指南7.1》中的「為裝置配置ASDM訪問」部分。

本文檔使用ASA CLI進行故障排除，這需要透過Secure Shell (SSH)/Telnet/控制檯訪問ASA。

採用元件

本文檔中的資訊基於ASA和ASDM。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

ASDM透過圖形管理介面為安全裝置提供安全管理和監控服務。

故障排除方法

本故障排除文檔重點關注三個主要故障點。如果遵循此順序中的常規故障排除過程，本文檔可幫助您確定ASDM使用/訪問的準確問題。

ASA配置
網路連線
應用程式軟體

ASA配置

ASA上存在三個成功訪問ASDM所需的基本配置：

快閃記憶體中的ASDM映像
正在使用的ASDM映像
HTTP伺服器限制

快閃記憶體中的ASDM映像

確保所需的ASDM版本已上傳到快閃記憶體。它可以與ASDM的當前運行版本一起上傳，也可以與其他常規檔案傳輸方法一起上傳到ASA，例如TFTP。

在ASA CLI上輸入show flash，以幫助您列出ASA快閃記憶體中顯示的檔案。檢查是否存在ASDM檔案：

ciscoasa# show flash
 --#--  --length--  -----date/time------  path

 249  76267       Feb 28 2013 19:58:18  startup-config.cfg
 250  4096        May 12 2013 20:26:12  sdesktop
 251  15243264    May 08 2013 21:59:10  asa823-k8.bin
 252  25196544    Mar 11 2013 22:43:40  asa845-k8.bin
 253  17738924    Mar 28 2013 00:12:12  asdm-702.bin    ---- ASDM Image

為進一步驗證快閃記憶體中的映像是否有效且未損壞，您可以使用verify命令來比較軟體套件中儲存的MD5雜湊和當前實際檔案的MD5雜湊：

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

此步驟可以幫助您驗證映像是否存在及其在ASA上的完整性。

正在使用的ASDM映像

此過程在ASA上的ASDM配置下定義。目前使用的影像組態定義範例如下：

asdm image disk0：/asdm-702.bin

為進一步驗證，還可以使用show asdm image命令：

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

HTTP伺服器限制

此步驟在ASDM配置中至關重要，因為它定義了哪些網路可以訪問ASA。示例配置如下所示：

http server enable
http 192.168.1.0 255.255.255.0 inside

http 10.0.0.1 255.0.0.0 outside

確認您在先前的設定中定義了必要的網路。缺少這些定義會導致ASDM啟動程式在連線時超時，並出現以下錯誤：

Cisco ASDM-IDM Launcher

ASDM啟動頁面(https://<ASA IP地址>/admin)導致請求超時，並且不顯示任何頁面。

進一步驗證HTTP伺服器是否使用非標準埠進行ASDM連線，例如8443。這會在組態中反白顯示：

ciscoasa(config)# show run http
http伺服器啟用8443

如果它使用非標準埠，則當連線到ASDM啟動程式中的ASA時，您需要將該埠指定為：

Specify Port when Connecting to the ASA in ASDM Launcher

當您訪問ASDM啟動頁：https://10.106.36.132:8443/admin時，這也適用

其他可能的組態問題

完成前述步驟後，如果客戶端上的所有裝置都正常工作，則ASDM可以打開。但是，如果仍然遇到問題，請從另一台電腦打開ASDM。如果成功，則問題可能發生在應用級別，並且ASA配置正常。但是，如果仍然無法啟動，請完成以下步驟以進一步驗證ASA端配置：

驗證ASA上的安全套接字層(SSL)配置。ASDM在與ASA通訊時使用SSL。根據ASDM的啟動方式，較新的作業系統軟體在協商SSL會話時不允許使用較弱的密碼。使用show run all ssl命令驗證在ASA上允許哪些密碼，以及配置中是否指定了任何特定SSL版本：
```
ciscoasa# show run all ssl
ssl server-version any  <--- Check SSL Version restriction configured on the ASA
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
permitted on the ASA
```
如果在ASDM啟動時出現任何SSL密碼協商錯誤，這些錯誤將顯示在ASA日誌中：
```
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
no shared cipher
%ASA-6-302014: Teardown TCP connection 3 for mgmt:10.103.236.189/52501 to 
identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
```
如果看到特定設定，請將其恢復為預設值。請注意，需要在ASA上啟用VPN-3DES-AES許可證，ASA才能在配置中使用3DES和AES密碼。這可以在CLI上透過show version命令進行驗證。輸出顯示如下：
```
ciscoasa#show version

Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
Internal ATA Compact Flash, 64MB
Slot 1: ATA Compact Flash, 32MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
<snip>
Failover            : Active/Active
VPN-DES             : Enabled  
VPN-3DES-AES        : Enabled
<snip>
```
可以從思科許可網站免費獲取VPN-3DES-AES許可證。按一下Security Products，然後選擇Cisco ASA 3DES/AES License。

注意：在隨附8.6/9.x代碼的新ASA 5500-X平台中，SSL密碼設定預設設定為des-sha1，這將導致ASDM會話不起作用。有關詳細資訊，請參閱ASA 5500-x： ASDM和其他SSL功能無法開箱文章。
驗證ASA上是否啟用了WebVPN。如果已啟用，則需要在訪問ASDM Web啟動頁時使用此URL (https://10.106.36.132/admin)來訪問它。
在ASA上檢查埠443的網路地址轉換(NAT)配置。這會導致ASA不處理ASDM請求，而是將其傳送到已為其配置NAT的網路/介面。
如果已驗證所有內容並且ASDM仍然超時，則使用ASA CLI上的show asp table socket 命令驗證ASA是否已設定為偵聽為ASDM定義的埠。輸出可以顯示ASA在ASDM埠上偵聽：
```
Protocol  Socket    Local Address               Foreign Address         State
SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN
```
如果此輸出未顯示，請刪除並重新應用ASA上的HTTP伺服器配置，以便重置ASA軟體上的套接字。
如果在登入/驗證到ASDM時遇到問題，請驗證HTTP的身份驗證選項設定是否正確。如果未設定任何身份驗證命令，您可以使用ASA啟用密碼登入ASDM。如果要啟用基於使用者名稱/密碼的身份驗證，則需要輸入此配置，以便從ASA使用者名稱/密碼資料庫對ASA的ASDM/HTTP會話進行身份驗證：
```
aaa authentication http console LOCAL
```
啟用上一個命令時，請記得建立使用者名稱/密碼：
```
username <username> password <password> priv <Priv level>
```
如果這些步驟均無幫助，則在ASA上可以使用以下調試選項進行進一步調查：
```
debug http 255
debug asdm history 255
```

網路連線

如果您已完成上一節並且仍然無法訪問ASDM，則下一步是從要訪問ASDM的電腦驗證到ASA的網路連線。有一些基本的故障排除步驟用於驗證ASA是否從客戶端電腦接收請求：

測試網際網路控制訊息通訊協定(ICMP)。
對要訪問ASDM的ASA介面執行ping操作。如果允許ICMP透過您的網路，並且ASA介面級別沒有限制，則ping操作可以成功。如果ping失敗，則可能是由於ASA和客戶端電腦之間存在通訊問題。但是，這並不是確定是否存在這種通訊問題的決定性步驟。
確認資料包捕獲。
在要訪問ASDM的介面上放置資料包捕獲。捕獲可顯示發往介面IP地址的TCP資料包到達時目的埠號為443（預設）。

要配置捕獲，請使用以下命令：

capture asdm_test interface 
    
    
      match tcp host 
     
 
     
       eq 443 host 
       
      
    
For example, cap asdm_test interface mgmt match tcp host 10.106.36.132 
eq 443 host 10.106.36.13

這會捕獲從連線到ASDM的ASA介面上埠443的所有TCP流量。此時透過ASDM進行連線，或打開ASDM Web啟動頁面。然後，使用show capture asdm_test命令檢視捕獲的資料包的結果：

ciscoasa# show capture asdm_test
 
 Three packets captured
 
    1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
       S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
 
    2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
       S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
 
    3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
       S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>

此捕獲顯示從客戶端電腦到ASA的同步(SYN)請求，但ASA未傳送響應。如果您看到與之前類似的捕獲，則意味著資料包到達ASA，但ASA不響應這些請求，這樣會將問題隔離到ASA本身。請參閱本文檔的第一部分以進一步排除故障。

但是，如果您沒有看到與之前類似的輸出，並且沒有捕獲任何資料包，則表示ASA和ASDM客戶端電腦之間存在連線問題。確認沒有可以阻止TCP埠443流量的中間裝置，並且沒有瀏覽器設定（例如代理設定）可以阻止流量到達ASA。

通常，資料包捕獲是確定通往ASA的路徑是否清晰，以及是否需要進一步診斷以排除網路連線問題的一種好方法。

應用程式軟體

本節介紹如何排除客戶端電腦上安裝的ASDM啟動程式軟體無法啟動/載入時的故障。ASDM啟動程式是駐留在客戶端電腦上並連線到ASA以檢索ASDM映像的元件。檢索後，ASDM映像通常儲存在快取中，並從快取中獲取，直到ASA端發現任何更改（例如ASDM映像更新）。

完成以下基本故障排除步驟，以排除客戶端電腦上出現的任何問題：

從另一台電腦打開ASDM啟動頁面。如果啟動，則表示問題出在客戶端機器上。如果失敗，請使用故障排除指南從頭開始按順序隔離相關元件。
透過Web啟動打開ASDM，並從那裡直接啟動軟體。如果成功，則可能是ASDM啟動程式安裝存在問題。從客戶端電腦上解除安裝ASDM啟動程式，然後從ASA Web啟動本身重新安裝它。
清除使用者主目錄中的ASDMcache目錄。當您刪除整個快取目錄時，快取就會被清除。如果ASDM成功啟動，您還可以從ASDM File選單清除快取。
驗證已安裝正確的Java版本。Cisco ASDM發行版本註釋列出了所測試Java版本的要求。
清除Java快取。在Java控制台中，選擇常規>臨時Internet檔案。然後，按一下檢視以啟動Java Cache Viewer。刪除所有引用或與ASDM相關的條目。
如果這些步驟失敗，請從使用者端機器收集偵錯資訊以進行進一步調查。啟用使用URL的ASDM調試：https://<ASA的IP地址>？debug=5，例如https://10.0.0.1?debug=5。
使用Java版本6（也稱為版本1.6）時，可從Java控制台>高級啟用Java調試消息。然後選擇Debugging下的覈取方塊。請勿在Java控制檯下選擇不啟動控制檯。啟動ASDM之前必須啟用Java調試。

Java控制檯輸出記錄在使用者主目錄的.asdm/log目錄中。ASDM日誌也可以在同一個目錄中找到。

使用HTTPS執行命令

此過程有助於確定HTTP通道的任何第7層問題。當ASDM應用程式本身不可訪問，並且沒有任何CLI訪問可用於管理裝置時，此資訊會非常有用。

用於訪問ASDM Web啟動頁面的URL也可用於在ASA上運行任何配置級別的命令。此URL可用於在基本級別對ASA進行配置更改，包括遠端裝置重新載入。若要輸入命令，請使用以下語法：

https://<ASA的IP地址>/admin/exec/<命令>

如果命令中有空格，並且瀏覽器無法分析URL中的空格字元，您可以使用+符號或%20來指示空格。

例如，https://10.106.36.137/admin/exec/show ver會產生到瀏覽器的show version輸出：

Cisco Adaptive Security Appliance Software Version 8.4(3)

此命令執行方法要求在ASA上啟用HTTP伺服器並且啟用必要的HTTP限制。但是，這不需要在ASA上存在ASDM映像。

修訂	發佈日期	意見
2.0	02-Aug-2023	已刪除PII。增加了Alt文本。更新的中繼資料、標題、簡介、法律免責宣告、機器翻譯、樣式要求和格式。
1.0	19-Jul-2013	初始版本