请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 1936|回复: 7

【原创故障案例分享】ASA5525 无法使用浏览器打开ASDM

[复制链接]
发表于 2018-4-17 15:58:57 | 显示全部楼层 |阅读模式
最近调试ASA5525防火墙遇到一个问题,所有配置做完之后,想开启ASDM监控防火墙的状态,在浏览器输入防火墙的管理地址后,本以为会弹出下载安装ASDM的页面,但是显示的却是无法连接。下面是排错过程分享给大家,希望遇到相同的问题可以顺利解决。
1.ping 管理地址,测试结果,通。
2.检查http服务,没问题,已经开启了。
3. 检查http的认证信息 aaa authentication http console LOCAL ,也已经配置,没有问题。
4.开始怀疑防火墙的版本, 这台墙是K8版本,不支持3DES和AES,难道和这个有关系?于是申请了K9的license,升级后,问题依旧如此。
5.无奈,开dubug,看到如下信息:
%ASA-6-725001: Starting SSL handshake with client mgmt:192.168.1.100/60000 for TLSv1 session.
%ASA-7-725010: Device supports the following 1 cipher(s).
%ASA-7-725011: Cipher[1] : DES-CBC-SHA
%ASA-7-725008: SSL client mgmt:192.168.1.100/60000 proposes the following 10 cipher(s).
%ASA-7-725011: Cipher[1] : DHE-RSA-AES128-SHA
%ASA-7-725011: Cipher[2] : DHE-DSS-AES128-SHA
%ASA-7-725011: Cipher[3] : DHE-RSA-AES256-SHA
%ASA-7-725011: Cipher[4] : DHE-DSS-AES256-SHA
%ASA-7-725011: Cipher[5] : EDH-RSA-DES-CBC3-SHA
%ASA-7-725011: Cipher[6] : AES128-SHA
%ASA-7-725011: Cipher[7] : AES256-SHA
%ASA-7-725011: Cipher[8] : DES-CBC3-SHA
%ASA-7-725011: Cipher[9] : RC4-SHA
%ASA-7-725011: Cipher[10] : RC4-MD5
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no shared cipher

看到这些,已经确定确实是算法引起的,浏览器支持很多算法,但是防火墙支持DES-CBC-SHA这中算法,而恰恰浏览器不支持。
6. 查了一些资料,找到一条关键命令‘ciscoasa# show running-config all ssl’,看以看到系统默认只配置‘des-sha1’ssl server-version any
ssl client-version any
ssl encryption des-sha1
ssl certificate-authentication fca-timeout 2

7. 找到原因后,就通过如下命令将所有的算法都配置上了
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 dhe-aes128-sha1 dhe-aes256-sha1 rc4-md5 rc4-sha1
8. 最后在浏览器输入管理地址,ASDM下载界面成功弹出,下载安装,一切顺利。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (4 评价)
发表于 2018-4-17 16:52:39 | 显示全部楼层
感谢版主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
发表于 2018-4-17 17:16:37 | 显示全部楼层
分享的非常有帮忙,谢谢!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
发表于 2018-4-23 15:50:15 | 显示全部楼层
好东西 收藏了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-4-26 09:12:54 | 显示全部楼层
那是不是可以把老版本的加密方式给关闭啊?是不是相对而言不安全啊??
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-4-28 11:07:21 | 显示全部楼层
很实用的分享,找机会试一试
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-5-2 16:10:31 | 显示全部楼层
算法很重要。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-5-5 15:48:18 | 显示全部楼层
要重视防火墙的状态。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2018-8-15 11:49 , Processed in 0.102572 second(s), 55 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表