《 ASA Clientless SSL VPN(WebVPN)故障排除技術說明》
目錄
簡介
本文檔列出了ASA 7.1、7.2和8.0版採用的無客戶端SSL VPN(WebVPN)故障排除技術。這些版本之間已取得重要進展,需要採用各種故障排除技術。
必要條件
需求
本文件沒有特定需求。
採用元件
本文檔中的資訊基於運行軟體版本7.1或更高版本的Cisco 5500系列ASA。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
疑難排解
對ASA上的無客戶端SSL VPN連線(WebVPN)進行故障排除的前提是,通過螢幕截圖和HTML捕獲工具獲得對客戶端體驗的可視性,然後在直接連線到正在訪問的URL/應用程式時將其與相同資訊進行比較。
ASA 7.1/7.2版無客戶端
本節介紹ASA 7.1/7.2版以及直到(但不包括)8.0版的所有過渡版本的故障排除技術。
在此版本中,如果複雜的Java/Javascript函式遇到困難,可以考慮其他選項(例如應用程式訪問埠轉發或使用proxy-bypass)。有關這些替代方案的詳細資訊,請參閱配置應用程式訪問和使用代理旁路。
在大多數情況下,如果通過無客戶端SSL VPN訪問的URL對Internet Explorer失敗,則對於其他瀏覽器也會失敗。
為了確保這不依賴於客戶端PC或作業系統,請使用其他位置的其他客戶端。也可以測試IPsec或SSL VPN客戶端的使用。
確保ASA包括在瀏覽器受信任區域中(如為WebVPN在瀏覽器上啟用Cookie中所述),並確保Cookie已按照啟用Cookie中的說明啟用。
如果此過程仍失敗,請完成以下步驟以收集必要資訊,然後開啟TAC案例。
-
清除瀏覽器快取,如清除瀏覽器快取中所述。
-
按照清除Java快取記憶體中的說明清除Java快取記憶體。
-
如配置快取中所述,禁用ASA上的WebVPN快取。
-
如果存在Java小程式,請在Applet視窗中使用調試級別5,如啟用Java小程式調試選項中所述。
-
通過無客戶端SSL VPN登入ASA。
-
在問題URL之前的URL上,按照啟用HTML捕獲工具中所述,在瀏覽器中啟用HTML捕獲工具。
-
捕獲從此點到有問題的URL的序列。
-
按鍵盤上的Ctrl+Print Screen可捕獲螢幕快照。
-
停止HTML捕獲工具。
-
當您通過ASA通過IPsec或SSL VPN會話直接連線到URL或直接連線到同一個LAN網段(如果可能)並將資料傳送到TAC進行分析時,請執行相同的步驟1至9。
ASA 8.0版無客戶端
本節介紹ASA 8.0版和所有interim使用的故障排除技術。
在此版本中,如果複雜URL或應用程式難以通過無客戶端SSL VPN,則其他選項(例如使用智慧隧道)是強大的替代方案。如需智慧通道的詳細資訊,請參閱設定智慧通道存取。
您還可以考慮應用存取連線埠轉送或使用Proxy-bypass。有關這些替代方案的詳細資訊,請參閱配置應用程式訪問和使用代理旁路。
在大多數情況下,如果通過無客戶端SSL VPN訪問的URL對Internet Explorer失敗,則對於其他瀏覽器也會失敗。
為了確保這不依賴於客戶端PC或作業系統,請使用其他位置的其他客戶端。也可以測試IPsec或SSL VPN客戶端的使用。
確保ASA包括在瀏覽器受信任區域中(如為WebVPN在瀏覽器上啟用Cookie中所述),並確保Cookie已按照啟用Cookie中的說明啟用。
如果應用程式遇到無客戶端內容轉換引擎(CTE/rewriter)的問題,您可以修改該應用程式的書籤,以啟用智慧隧道選項,如下圖所示:
為書籤啟用此選項不需要其他配置。與埠轉發類似,這是另一個方便的選項,按一下書籤即可開啟使用智慧隧道傳遞應用流量並避免重寫問題的新視窗。
當您對TCP Winsock 32應用(例如RDP)使用此功能時,管理員需要確定通過智慧隧道使用的進程。例如,RDP使用mstsc.exe進程;可以為此進程建立簡單的智慧隧道條目。
更複雜的應用程式可能會衍生出多個進程。在WebVPN門戶頁面中,選擇Application Access面板。一旦載入,允許的應用清單即可連線到網路的專用端。
如果此過程仍失敗,請完成以下步驟以收集必要資訊,然後開啟TAC案例。
-
清除瀏覽器快取,如清除瀏覽器快取中所述。
-
按照清除Java快取記憶體中的說明清除Java快取記憶體。
-
如配置快取中所述,禁用ASA上的WebVPN快取。
-
如果存在Java小程式,請在Applet視窗中使用調試級別5,如啟用Java小程式調試選項中所述。
-
通過無客戶端SSL VPN登入ASA。
-
在問題URL之前的URL上,按照啟用HTML捕獲工具中所述,在瀏覽器中啟用HTML捕獲工具。
-
捕獲從此點到有問題的URL的序列。
-
按鍵盤上的Ctrl+Print Screen可捕獲螢幕快照。
-
停止HTML捕獲工具。
-
當您通過IPsec或Any Connect SSL會話通過ASA直接連線到URL或直接連線到同一個LAN網段(如果可能)時,請執行步驟1至9,完成這些步驟,並將資料傳送到TAC進行分析
程式
將ASA新增為受信任的站點
當您在Internet Explorer中訪問ASA時,如果該站點未作為受信任的站點包括在內,您將收到證書錯誤。
完成以下步驟,將ASA新增為受信任站點:
-
在Internet Explorer中,選擇「工具」>「Internet選項」。
-
按一下Security頁籤,然後選擇Trused sites。
-
按一下Sites。
-
新增ASA的https://地址,然後按一下Add。
-
新增站點後,Internet Explorer狀態列中將顯示「受信任的站點」圖示。
註:有關此過程的詳細資訊,請參閱使用Internet Explorer 6安全設定 
。
啟用Cookie
完成以下步驟以啟用cookie:
-
在Internet Explorer中,選擇「工具」>「Internet選項」。
-
按一下Privacy頁籤,然後按一下Advanced。
-
在「高級隱私設定」對話方塊中,選中覆蓋自動cookie處理覈取方塊,按一下接受單選按鈕,然後按一下確定。
清除瀏覽器快取
完成以下步驟,清除Internet Explorer的快取:
-
在Internet Explorer中,選擇「工具」>「Internet選項」。
-
在「常規」頁籤上,按一下「瀏覽歷史記錄」部分中的刪除。
-
按一下「Delete All」。
-
選中Also delete files and settings stored by add-ons覈取方塊,然後按一下Yes。
-
清除快取後,關閉瀏覽器的所有例項,然後重新啟動瀏覽器。
注意:若要清除其他瀏覽器的快取,請參閱如何清除瀏覽器的快取(以提高其效能)?
清除Java快取
完成以下步驟以清除Java快取記憶體:
-
從Windows「開始」選單中選擇「控制面板」。
-
按兩下Java。
-
按一下「Settings」。
-
按一下「Delete Files」。
注意:請參閱如何清除Java快取? 獲取有關此過程的更多資訊。
啟用Java Applet調試選項
完成以下步驟以啟用Java applet調試選項:
-
確保啟用Java 1.4或更高版本:
-
從Windows「開始」選單中選擇「控制面板」。
-
按兩下Java。
-
按一下About,然後檢查版本號。
注意:您可以從http://java.com/en/下載Java更新
。 -
-
確保將Java配置為啟用跟蹤、顯示控制檯以及將Microsoft Internet Explorer設定為預設瀏覽器,如下圖所示:
-
確保按照清除Java快取記憶體中所述清除Java快取記憶體。
-
在Internet Explorer中,選擇工具> Java控制檯以開啟Java調試視窗。
-
開啟Java控制檯調試視窗後,按5以設定跟蹤級別
當訪問包含Java Applet的URL時,此視窗將捕獲該活動。
-
按一下「Copy」以複製資訊。
啟用HTML捕獲工具
有許多不同的HTML捕獲工具可用來收集資料,其中一些已列在此處。將以下HTML捕獲工具之一安裝到用於資料收集練習的客戶端PC上:
注意:此過程使用HTTPWatch應用程式。
安裝應用程式後,請完成以下步驟:
-
按Shift+P+F+2或按一下瀏覽器視窗中的圖示以啟用HTTPWatch。
-
啟用應用程式後,瀏覽器視窗底部會出現一個與以下影象類似的視窗:
-
按一下「Record」以記錄資料;按一下「Stop」以停止錄製。
註:建議使用HttpWatch 7.x來記錄資料。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
29-Apr-2008 |
初始版本 |
意見