请使用ASDM管理在ASA的一个Firepower模块

目录简介先决条件要求使用的组件体系结构背景操作,当用户连接到ASA通过ASDMStep1-用户首次ASDM连接第2步-ASDM发现ASA配置和Firepower模块IP地址第3步-ASDM起动往Firepower模块的通信第4步-ASDM检索Firepower菜单项故障排除相关信息简介本文描述可适应安全设备管理器(ASDM)软件如何与可适应的安全工具(ASA)和对此安装的Firepower软件模块联络.
在ASA上安装的Firepower模块可以由管理:Firepower管理中心(FMC)-这是箱外管理解决方案.
qASDM-这是在箱上管理解决方案.
q先决条件要求对enable(event)ASDM管理的一种ASA配置:ASA5525(config)#interfaceGigabitEthernet0/0ASA5525(config-if)#nameifINSIDEASA5525(config-if)#security-level100ASA5525(config-if)#ipaddress192.
168.
75.
23255.
255.
255.
0ASA5525(config-if)#noshutdownASA5525(config)#ASA5525(config)#httpserverenableASA5525(config)#http192.
168.
75.
0255.
255.
255.
0INSIDEASA5525(config)#asdmimagedisk0:/asdm-762150.
binASA5525(config)#ASA5525(config)#aaaauthenticationhttpconsoleLOCALASA5525(config)#usernameciscopasswordcisco检查在ASA/SFR模块之间的兼容性,否则Firepower选项将看不到.
另外,在ASA3DES/AES许可证应该是启用的:ASA5525#showversion|in3DESEncryption-3DES-AES:Enabledperpetual保证ASDM客户端系统运行JavaJRE支持的版本.
使用的组件微软视窗7主机q运行ASA版本9.
6(2.
3)的ASA5525-XqASDM版本7.
6.
2.
150qFirepower软件模块6.
1.
0-330q本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您的网络处于活动状态,请确保您了解所有命令的潜在影响.

体系结构ASA有三个内部界面:asa_dataplane-它用于重定向自ASA数据路径的信息包到Firepower软件模块.
qasa_mgmt_plane-它用于允许Firepower管理接口与网络联络.
qcplane-使用调用Keepalive在ASA和Firepower模块之间的控制层面接口.
q您能捕获在所有内部界面的数据流:ASA5525#captureCAPinterfaceasa_dataplaneCapturepacketsondataplaneinterfaceasa_mgmt_planeCapturepacketsonmanagementplaneinterfacecplaneCapturepacketsoncontrolplaneinterface这可以形象化如下:背景操作,当用户连接到ASA通过ASDM考虑此拓扑:当用户首次与ASA的ASDM连接,这些事件将发生:Step1-用户首次ASDM连接用户指定用于HTTP管理的ASAIP地址,输入证件,并且首次往ASA的连接:在背景中,在ASDM和ASA之间的一条SSL隧道设立:这可以形象化如下:第2步-ASDM发现ASA配置和Firepower模块IP地址输入调试http255on命令ASA为了显示在背景中进行的所有检查,当ASDM连接到ASA时:ASA5525#debughttp255…HTTP:processingASDMrequest[/admin/exec/show+module]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+module'fromhost192.
168.
75.
22HTTP:processingASDMrequest[/admin/exec/show+cluster+interface-mode]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+cluster+interface-mode'fromhost192.
168.
75.
22HTTP:processingASDMrequest[/admin/exec/show+cluster+info]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+cluster+info'fromhost192.
168.
75.
22HTTP:processingASDMrequest[/admin/exec/show+module+sfr+details]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+module+sfr+details'fromhost192.
168.
75.
22showmodule-ASDM发现ASA模块.
qshowmodulesfr详细资料-ASDM发现模块详细资料,包括Firepower管理IP地址.
q这些在背景中将被看到作为从PC的一系列的SSL连接往ASAIP地址:第3步-ASDM起动往Firepower模块的通信因为ASDM认识Firepower管理IP地址,起动往模块的SSL会话:这在背景中将被看到,从ASDM主机的SSL连接往Firepower管理IP地址:这可以形象化如下:ASDM验证Firepower,并且安全警告显示,因为Firepower认证自已签署的:第4步-ASDM检索Firepower菜单项在成功的验证以后,ASDM从Firepower设备检索菜单项:被检索的选项在本例中显示:它也检索ASAFirepower配置菜单项目:故障排除万一ASDM不能设立一条SSL隧道用Firepower管理IP地址,然后只将装载此Firepower菜单项:ASAFirepower配置条目将失踪:验证1切记ASA管理接口启用和连接孔被连接到它在适当的VLAN:ASA5525#showinterfaceipbrief|includeInterface|Management0/0InterfaceIP-AddressOKMethodStatusProtocolManagement0/0unassignedYESunsetupup推荐排除故障设置适当的VLAN.
q提出端口(请检查电缆,检查交换端口配置(速度/双工/关闭)).
q验证2切记Firepower模块充分地初始化,和运行:ASA5525#showmodulesfrdetailsGettingdetailsfromtheServiceModule,pleasewait.
.
.
CardType:FirePOWERServicesSoftwareModuleModel:ASA5525Hardwareversion:N/ASerialNumber:FCH1719J54RFirmwareversion:N/ASoftwareversion:6.
1.
0-330MACAddressRange:6c41.
6aa1.
2bf2to6c41.
6aa1.
2bf2App.
name:ASAFirePOWERApp.
Status:UpApp.
StatusDesc:NormalOperationApp.
version:6.
1.
0-330DataPlaneStatus:UpConsolesession:ReadyStatus:UpDCaddr:NoDCConfiguredMgmtIPaddr:192.
168.
75.
123MgmtNetworkmask:255.
255.
255.
0MgmtGateway:192.
168.
75.
23Mgmtwebports:443MgmtTLSenabled:trueA5525#sessionsfrconsoleOpeningconsolesessionwithmodulesfr.
Connectedtomodulesfr.
Escapecharactersequenceis'CTRL-^X'.
>showversionFP5525-3Model:ASA5525(72)Version6.
1.
0(Build330)UUID:71fd1be4-7641-11e6-87e4-d6ca846264e3Rulesupdateversion:2016-03-28-001-vrtVDBversion:270>推荐排除故障检查console命令showmodulesfr的日志的输出错误或故障.
q验证3检查ASDM主机和Firepower模块管理IP用命令例如ping和tracert/traceroute之间的基本连通性:推荐排除故障检查沿路径的路由.
q验证没有阻塞数据流在路径的设备.
q验证4如果ASDM主机和Firepower管理IP地址在同样第3层网络,请检查在ASDM主机的地址解析服务(ARP)表:推荐排除故障如果没有ARP条目,请使用Wireshark为了检查ARP通信.
保证信息包的MAC地址是正确的.

q如果有ARP条目,请保证他们是正确的.
q验证5在ASDM设备的Enable(event)捕获,当您通过ASDM连接为了发现时是否有主机和Firepower模块之间的适当的TCP通信.
最少,您应该看到:在ASDM主机和ASA之间的TCP三通的握手.
qSSL隧道设立在ASDM主机和ASA之间.
q在ASDM主机和Firepower模块管理IP地址之间的TCP三通的握手.
qSSL隧道设立在ASDM主机和Firepower模块管理IP地址之间.
q推荐排除故障如果TCP三通的握手发生故障,请保证没有阻拦TCP信息包的不对称的数据流或设备在路径.