本帖最后由 Rocky 于 2018-1-29 14:37 编辑
故障排除步骤
经验总结
要分析ASDM登陆ASA的整个过程。
先是https网页登陆进入,然后是允许java 程序。
在日常的troubleshooting 中一定要注意观察设备的系统日志。
有时候日志能够帮我们快速准确的定位问题。
以上信息来源:
ASDM无法正常登陆ASA
https://www.cisco.com/c/zh_cn/su ... ascmlogintoasa.html
另外楼主也可以参考一下论坛的这篇帖子:
Cisco ASA5525X 无法使用ASDM,打开网站404错误
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=34483
故障排除步骤
- 确实配置
show run http
检查交换机上关于http 配置,是否在正确的接口上调用了命令,是否允许相应的网络访问.
ciscoasa(config)# show run http http server enablehttp 10.1.0.0 255.255.0.0 outsidehttp 0.0.0.0 0.0.0.0 inside 检查交换机上关于http 配置,是否在正确的接口上调用了命令,是否允许相应的网络访问.
用户的inside 接口确实是放行了所有的地址来访问ASA.
show run asdm
检查ASDM 调用asdm image 的情况。
ciscoasa(config)# show run asdmasdm image disk0:/asdm-711-52.binno asdm history enable 检查ASDM 调用asdm image 的情况。
show asp table socket
查看对应的接口是否在监听443端口
ciscoasa(config)# show asp table socketProtocol Socket Local Address Foreign Address StateTCP 0000f1bf 10.75.61.192:23 0.0.0.0:* LISTENSSL 0001d87f 10.14.48.54:443 0.0.0.0:* LISTENSSL 0001e97f 10.193.11.4:443 0.0.0.0:* LISTEN ciscoasa(config)# 查看对应的接口是否在监听443端口
从配置上分析配置都是正确的配置,而且相应的接口也在监听TCP对应的443端口。
- 询问用户能够访问ASDM 和不同够访问ASDM 的主机是否在同一个网段 ?
网管ASA的PC都是同一交换机上同一VLAN的主机。
从网络路径上分析,所有PC经过的路径都是相同的,排错网络差异的问题。
从网络路径上分析,所有PC经过的路径都是相同的,排错网络差异的问题。
- 抓包分析。
有问题的数据包
有问题的数据包
对比两个样本的数据包发现,有问题的PC在于ASA在SSL 建立的过程中失败了。
SSL Handshake Failure (40)
SSL Handshake Failure (40)
- 在ASA上打开log功能,记录在用户登录ASDM过程中的SSL建立过程的log。
使用 logging class 命令可以使ASA只存储特定类别的log。
ciscoasa(config)# show logging Syslog logging: enabled。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。%ASA-6-725001: Starting SSL handshake with client inside:192.188.1.235/49972 for TLSv1session.%ASA-7-725010: Device supports the following 1 cipher(s).%ASA-7-725011: Cipher[1] : DES-CBC-SHA%ASA-7-725008: SSL client inside:192.188.1.235/49972 proposes the following 8 cipher(s).%ASA-7-725011: Cipher[1] : AES128-SHA%ASA-7-725011: Cipher[2] : AES256-SHA%ASA-7-725011: Cipher[3] : RC4-SHA%ASA-7-725011: Cipher[4] : DES-CBC3-SHA%ASA-7-725011: Cipher[5] : DHE-DSS-AES128-SHA%ASA-7-725011: Cipher[6] : DHE-DSS-AES256-SHA%ASA-7-725011: Cipher[7] : EDH-DSS-DES-CBC3-SHA%ASA-7-725011: Cipher[8] : RC4-MD5%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no shared cipher 可以看到当前ASA 就支持一种加密算法DES-CBC-SHA, 而这仅有的一种加密方式又不在浏览器支持的范围内,所有PC无法与ASA完成SSL的握手连接。
- 查看当前ASA SSL的配置,并添加加密方式。
发现只有1种加密方式,这时候我们尝试去添加更多的加密算法。 通过show version 检查 ASA是不是有3DES-AES 加密的license. 如果没有需要申请相应的license。
ciscoasa(config)# show version VPN-DES : Enabled perpetualVPN-3DES-AES : Enabled perpetual 我们给ASA添加其他的加密算法。
ciscoasa(config)# ssl encryption 3des-sha1 des-sha1 aes128-sha1 aes256-sha1 - 用户可以成功的登陆ASDM
经验总结
要分析ASDM登陆ASA的整个过程。
先是https网页登陆进入,然后是允许java 程序。
在日常的troubleshooting 中一定要注意观察设备的系统日志。
有时候日志能够帮我们快速准确的定位问题。
以上信息来源:
ASDM无法正常登陆ASA
https://www.cisco.com/c/zh_cn/su ... ascmlogintoasa.html
另外楼主也可以参考一下论坛的这篇帖子:
Cisco ASA5525X 无法使用ASDM,打开网站404错误
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=34483
