2017-11-21 09:39 AM - 最終編集日: 2023-12-21 09:58 AM 、編集者: JapanTAC_CSC
このドキュメントでは、Cisco ASDMのアクセスのための基本的な設定およびトラブルシューティングのステップについて記載します。
Cisco ASDMは、シスコのセキュリティアプライアンス等のセットアップ、設定、および管理を簡単にする直観的なグラフィカルユーザインターフェイスが搭載されています。Cisco ASDMは、ローカルアプリケーションまたはJava Web Startアプリケーションとして実行できます。
以下よりCisco ASDM使用の際に起こりうる、一般的な問題の概要について説明します。
!-- Enable listening on port 443 --!
http server enable
!-- Define what subnets on what interface are allowed to access the ASDM--!
http <ip subnet> <subnet mask> <interface>
!-- Specify an ASDM image in case of multiple images on the Flash --!
asdm image <path>
設定例:
http server enable
http 192.168.1.0 255.255.255.0 inside
asdm image flash:/asdm-623.bin
確認例:
show asp table socket
Protocol Socket Local Address Foreign Address State
SSL 0000375f 192.168.1.1:443 0.0.0.0:* LISTEN
!-- This shows that the ASA is listening on its interface on port 443 --!
ステップ1: アクセスできるPC /ラップトップからASAにpingできるかどうかを確認します。
ステップ2: コンフィギュレーションが適切であるか確認します。
show run http [httpサーバが有効になっているかどうかをチェックし、アクセスしようとしているインターフェイスでhttpアクセスが許可されていることを確認します]
show run asdm [asdmイメージが記述されており、バージョンがASAイメージバージョンと互換性があることを確認します。]
show flash [上記のasdmイメージがフラッシュにあるか確認します。]
ステップ3: ASAがインターフェイス上でhttps要求をリッスンしていることを確認します
show asp table socket [Local Addressの下に<interface ip>:<http server port>が表示され、LISTEN状態になっているはずです。
ステップ4: ステップ1から3が正しく行われている場合、次のセクションで述べる問題の1つにあてはまるかもしれません。
各例のインターフェイスIPは 10.76.75.48を利用してます。
ASDM Launcher Fails
以前ASDMのアクセスはhttps://10.76.75.48経由で動作していましたが、デスクトップ上のショートカットからだと動作しません。
解決方法
ASDMランチャーは、Windows上の64ビットJavaバージョンでは機能しませんので、WebブラウザからASDMにアクセスしてください。
HTTP 404 not found (type 1)
10.76.75.48にpingが成功 。 ウェブブラウザにhttps://10.76.75.48と入力します。「Certificate Error: Navigation Blocked” page」ページが表示されます。次に、「Continue to the Website」をクリックすると、HTTP 404 not found表示されます。
ASAでのDebug HTTPは以下の出力となります:
HTTP: processing GET URL '/' from host 64.103.226.131
HTTP: redirecting to: /admin/public/index.html
HTTP: session verified = [0]
HTTP: processing GET URL '/admin/public/index.html' from host 64.103.226.131
HTTP: authentication not required
HTTP: file not found: public/index.html
解決方法
"asdm image xxx"コマンドを設定してるか確認してください。 注:コマンドを追加し、ASDMからログインして削除しても、ブラウザの履歴/キャッシュにそのファイルが存在する限り、新しくASDMアクセスは引き続き機能します。
HTTP 404 not found (type 2)
10.76.75.48にpingが成功。ウェブブラウザにhttps://10.76.75.48と入力します 。しばらくして、HTTP 404 not foundが表示されます。
ログの出力例:
%ASA-3-710003: TCP access denied by ACL from 64.103.226.131/3212 to outside:10.76.75.48/443
%ASA-7-710005: TCP request discarded from 64.103.226.131/3212 to outside:10.76.75.48/443
%ASA-3-710003: TCP access denied by ACL from 64.103.226.131/3212 to outside:10.76.75.48/443
%ASA-7-710005: TCP request discarded from 64.103.226.131/3212 to outside:10.76.75.48/443
キャプチャ表示例:
17: 23:27:51.854844 64.103.226.131.3212 > 10.76.75.48.443: S 247161576:247161576(0) win 64512 <mss 1260,nop,nop,sackOK>
18: 23:27:54.806019 64.103.226.131.3212 > 10.76.75.48.443: S 247161576:247161576(0) win 64512 <mss 1260,nop,nop,sackOK>
解決方法
ASAがそのインターフェイスでリッスンしているかどうかを確認するには、show asp table socketの出力を確認します。 コンフィギュレーションに不備があるか、または 更なる分析が必要な問題にヒットしているからかもしれません。
WebVPN conflict
10.76.75.48にpingが成功 。ウェブブラウザにhttps://10.76.75.48と入力します。 Cisco SSL VPNサービスが起動し、ログインク情報の入力を求めるプロンプトが表示されます。
解決方法
webvpnがポートを使用するので、asdmを443以外のポートで実行するように設定します。 ASDMにアクセスするため、http server enable XXを使用し、443ではなくXXポートでリスニングを有効にし、https://10.76.75.48:XXと入力します。
または、SSL VPNにアクセスするためにhttps://10.76.75.48を使用し、ASDMにアクセスするためにhttps://10.76.75.48/adminを使用してください。
Weak Encryption
10.76.75.48にpingが成功。Webブラウザにhttps://10.76.75.48と入力します。 下記のエラーメッセージが表示されます。
ASAのデバッグレベルログ:
%ASA-7-725011: Cipher[1] : DHE-DSS-AES256-SHA
%ASA-7-725011: Cipher[2] : AES256-SHA
%ASA-7-725011: Cipher[3] : DHE-RSA-AES256-SHA
%ASA-7-725011: Cipher[4] : DHE-RSA-AES128-SHA
%ASA-7-725011: Cipher[5] : DHE-DSS-AES128-SHA
%ASA-7-725011: Cipher[6] : RC4-MD5
%ASA-7-725011: Cipher[7] : RC4-SHA
%ASA-7-725011: Cipher[8] : AES128-SHA
%ASA-7-725011: Cipher[9] : EDH-RSA-DES-CBC3-SHA
%ASA-7-725011: Cipher[10] : EDH-DSS-DES-CBC3-SHA
%ASA-7-725011: Cipher[11] : DES-CBC3-SHA
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no shared cipher
%ASA-6-302014: Teardown TCP connection 79 for outside:64.103.226.131/4514 to identity:10.76.75.48/443 duration 0:00:00 bytes 7 TCP Reset by appliance
これは、ASAで使用されているSSL暗号化規格がブラウザで使用されているものと一致しないことを示しています。 ASAで使用されているものを表示させるには、show run all sslというコマンドを入力してください。
次のようなものが表示されます。ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
解決方法
Configモードで、ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 というコマンドを入力してください。 ライセンスエラーが発生した場合は、VPN-AES-3DESライセンスを調達して適用してください。この手順は、次のリンクから確認できます: Obtaining a 3DES/AES License 。 ライセンスが適用されたら、再度コマンドを入力してください。
Java not installed on computer
Webブラウザにhttps://10.76.75.48と入力します。そして、ASDMページで次のオプションが表示されます。
解決方法
“Install Java Web Start”をクリックすると、必要なJavaバージョンがインストールされます。 また、インターネットから最新のJAVA JREをダウンロードしてインストールすることもできます。
Incompatible Java Version
10.76.75.48にpingが成功。 ウェブブラウザにhttps://10.76.75.48と入力します。ログイン情報を入力後、ロードプロセスが開始されますが、ここで停止してしまう。 このエラーは、5.0(x)のような古いASDMバージョンで見られた事象です。(訳者注釈:ASDM 5.xは 2017年現在サポート対象外です。)
解決方法
Javaをベースバージョンにダウングレードします。たとえば、上記のスクリーンショットでは、使用しているJREがJava 6アップデート20であることがわかります。それをアンインストールし、Java 6ベースバージョンをインストールします。バーが100%になるとすぐにASDMスクリーンがロードされます。使用しているASDMのバージョンが5.0(9)未満の場合は、5.0(9)にアップグレードします。
ASDMにアクセスする以外にも、https://<interface ip>/ ... urlで他にもいくつかできる事があります。
showコマンドを HTTPSから実行する
アドレスバーに下記ように入力すると、ブラウザにすべてのshowコマンドの出力を表示できます。
https://<interface ip>/admin/exec/show [command]
操作例
https://10.76.75.48/admin/exec/show run は、実行コンフィギュレーションをブラウザに表示します。
Text based Monitoring
接続数、xlate数、メモリブロック使用量などの基本情報のほとんどをリアルタイムで監視できます。https://<interface ip>/admin/ asdm_handlerは10秒ごとに統計を表示します。これら情報は特定のシナリオで役立つかもしれません。
操作例
以下は https://10.76.75.48/admin/asdm_handlerの、ブラウザ上の表示例です。
METRICS_INFO|BEGIN
TIMESTAMP|1300332039|UTC|0
VERSION|ASA|8.0(4)|pdm|6.3(5)
UPTIME|12083|CONFIG_MOD|370|CONFIG_SAVED|294|CONFIG_STATUS|0x0
INTERFACE|man|up|UP|IP|10.76.75.56|MASK|255.255.255.192|IBC|207|OBC|342|IPC|4|... <o/p deprecated>
MEM|FREE|1919075000|USED|149167432|
CPU|0|
BLOCK|ABLK0|700|UBLK0|0|ABLK4|99|UBLK4|1|ABLK80|700|UBLK80|0|ABLK256|100|........ <o/p deprecated>
PERFMON|XLATES|0|CONNECTIONS|0|TCP CONNS|0|UDP CONNS|0|URLS|0|URLSERVER|0|....... <o/p deprecated>
CONN|CUR|1|MAX|2|
XLATE|CUR|0|MAX|0|
SA|ISAKMP_SAS|0|IPSEC_SAS|0|
TUNNEL|L2TP_SESS|0|L2TP_TUNN|0|WEBVPN_SESS|0|SVC_SESS|0|TOTAL_SESS|0|
METRICS_INFO|END
Javaバージョンのアーカイブ
http://www.oracle.com/technetwork/java/archive-139210.html
ASDMリリースノートのリスト
http://www.cisco.com/en/US/products/ps6121/prod_release_notes_list.html
3DES / AESライセンスの取得
http://www.cisco.com/en/US/docs/security/asa/asa80/getting_started/asa5500/quick/guide/DESlic.html
ASDM 6.xを使用したASDMイメージのアップグレード
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008067e9f9.shtml#asdm6.x2
CLIを使用したASDMイメージのアップグレード
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008067e9f9.shtml#maintask21
Cisco ASDMの使用/アクセスに関する問題に関する文書
http://www.cisco.com/en/US/products/ps6121/products_tech_note09186a0080aaeff5.shtml
Telnet / ssh / httpsのASAへのアクセスに関するトラブルシューティングに関する文書
https://supportforums.cisco.com/docs/DOC-13012
ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
*Thanks to the auther, Mr. Shrinkant Sundaresh.
This document is translated from the below original document.
https://supportforums.cisco.com/t5/security-documents/asdm-access-troubleshooting/ta-p/3122148
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします