目录简介先决条件要求使用的组件体系结构背景操作,当用户连接到ASA通过ASDMStep1-用户首次ASDM连接第2步-ASDM发现ASA配置和Firepower模块IP地址第3步-ASDM起动往Firepower模块的通信第4步-ASDM检索Firepower菜单项故障排除相关信息简介本文描述可适应安全设备管理器(ASDM)软件如何与可适应的安全工具(ASA)和对此安装的Firepower软件模块联络.
在ASA上安装的Firepower模块可以由管理:Firepower管理中心(FMC)-这是箱外管理解决方案.
qASDM-这是在箱上管理解决方案.
q先决条件要求对enable(event)ASDM管理的一种ASA配置:ASA5525(config)#interfaceGigabitEthernet0/0ASA5525(config-if)#nameifINSIDEASA5525(config-if)#security-level100ASA5525(config-if)#ipaddress192.
168.
75.
23255.
255.
255.
0ASA5525(config-if)#noshutdownASA5525(config)#ASA5525(config)#httpserverenableASA5525(config)#http192.
168.
75.
0255.
255.
255.
0INSIDEASA5525(config)#asdmimagedisk0:/asdm-762150.
binASA5525(config)#ASA5525(config)#aaaauthenticationhttpconsoleLOCALASA5525(config)#usernameciscopasswordcisco检查在ASA/SFR模块之间的兼容性,否则Firepower选项将看不到.
另外,在ASA3DES/AES许可证应该是启用的:ASA5525#showversion|in3DESEncryption-3DES-AES:Enabledperpetual保证ASDM客户端系统运行JavaJRE支持的版本.
使用的组件微软视窗7主机q运行ASA版本9.
6(2.
3)的ASA5525-XqASDM版本7.
6.
2.
150qFirepower软件模块6.
1.
0-330q本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您的网络处于活动状态,请确保您了解所有命令的潜在影响.
体系结构ASA有三个内部界面:asa_dataplane-它用于重定向自ASA数据路径的信息包到Firepower软件模块.
qasa_mgmt_plane-它用于允许Firepower管理接口与网络联络.
qcplane-使用调用Keepalive在ASA和Firepower模块之间的控制层面接口.
q您能捕获在所有内部界面的数据流:ASA5525#captureCAPinterfaceasa_dataplaneCapturepacketsondataplaneinterfaceasa_mgmt_planeCapturepacketsonmanagementplaneinterfacecplaneCapturepacketsoncontrolplaneinterface这可以形象化如下:背景操作,当用户连接到ASA通过ASDM考虑此拓扑:当用户首次与ASA的ASDM连接,这些事件将发生:Step1-用户首次ASDM连接用户指定用于HTTP管理的ASAIP地址,输入证件,并且首次往ASA的连接:在背景中,在ASDM和ASA之间的一条SSL隧道设立:这可以形象化如下:第2步-ASDM发现ASA配置和Firepower模块IP地址输入调试http255on命令ASA为了显示在背景中进行的所有检查,当ASDM连接到ASA时:ASA5525#debughttp255…HTTP:processingASDMrequest[/admin/exec/show+module]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+module'fromhost192.
168.
75.
22HTTP:processingASDMrequest[/admin/exec/show+cluster+interface-mode]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+cluster+interface-mode'fromhost192.
168.
75.
22HTTP:processingASDMrequest[/admin/exec/show+cluster+info]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+cluster+info'fromhost192.
168.
75.
22HTTP:processingASDMrequest[/admin/exec/show+module+sfr+details]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+module+sfr+details'fromhost192.
168.
75.
22showmodule-ASDM发现ASA模块.
qshowmodulesfr详细资料-ASDM发现模块详细资料,包括Firepower管理IP地址.
q这些在背景中将被看到作为从PC的一系列的SSL连接往ASAIP地址:第3步-ASDM起动往Firepower模块的通信因为ASDM认识Firepower管理IP地址,起动往模块的SSL会话:这在背景中将被看到,从ASDM主机的SSL连接往Firepower管理IP地址:这可以形象化如下:ASDM验证Firepower,并且安全警告显示,因为Firepower认证自已签署的:第4步-ASDM检索Firepower菜单项在成功的验证以后,ASDM从Firepower设备检索菜单项:被检索的选项在本例中显示:它也检索ASAFirepower配置菜单项目:故障排除万一ASDM不能设立一条SSL隧道用Firepower管理IP地址,然后只将装载此Firepower菜单项:ASAFirepower配置条目将失踪:验证1切记ASA管理接口启用和连接孔被连接到它在适当的VLAN:ASA5525#showinterfaceipbrief|includeInterface|Management0/0InterfaceIP-AddressOKMethodStatusProtocolManagement0/0unassignedYESunsetupup推荐排除故障设置适当的VLAN.
q提出端口(请检查电缆,检查交换端口配置(速度/双工/关闭)).
q验证2切记Firepower模块充分地初始化,和运行:ASA5525#showmodulesfrdetailsGettingdetailsfromtheServiceModule,pleasewait.
.
.
CardType:FirePOWERServicesSoftwareModuleModel:ASA5525Hardwareversion:N/ASerialNumber:FCH1719J54RFirmwareversion:N/ASoftwareversion:6.
1.
0-330MACAddressRange:6c41.
6aa1.
2bf2to6c41.
6aa1.
2bf2App.
name:ASAFirePOWERApp.
Status:UpApp.
StatusDesc:NormalOperationApp.
version:6.
1.
0-330DataPlaneStatus:UpConsolesession:ReadyStatus:UpDCaddr:NoDCConfiguredMgmtIPaddr:192.
168.
75.
123MgmtNetworkmask:255.
255.
255.
0MgmtGateway:192.
168.
75.
23Mgmtwebports:443MgmtTLSenabled:trueA5525#sessionsfrconsoleOpeningconsolesessionwithmodulesfr.
Connectedtomodulesfr.
Escapecharactersequenceis'CTRL-^X'.
>showversionFP5525-3Model:ASA5525(72)Version6.
1.
0(Build330)UUID:71fd1be4-7641-11e6-87e4-d6ca846264e3Rulesupdateversion:2016-03-28-001-vrtVDBversion:270>推荐排除故障检查console命令showmodulesfr的日志的输出错误或故障.
q验证3检查ASDM主机和Firepower模块管理IP用命令例如ping和tracert/traceroute之间的基本连通性:推荐排除故障检查沿路径的路由.
q验证没有阻塞数据流在路径的设备.
q验证4如果ASDM主机和Firepower管理IP地址在同样第3层网络,请检查在ASDM主机的地址解析服务(ARP)表:推荐排除故障如果没有ARP条目,请使用Wireshark为了检查ARP通信.
保证信息包的MAC地址是正确的.
q如果有ARP条目,请保证他们是正确的.
q验证5在ASDM设备的Enable(event)捕获,当您通过ASDM连接为了发现时是否有主机和Firepower模块之间的适当的TCP通信.
最少,您应该看到:在ASDM主机和ASA之间的TCP三通的握手.
qSSL隧道设立在ASDM主机和ASA之间.
q在ASDM主机和Firepower模块管理IP地址之间的TCP三通的握手.
qSSL隧道设立在ASDM主机和Firepower模块管理IP地址之间.
q推荐排除故障如果TCP三通的握手发生故障,请保证没有阻拦TCP信息包的不对称的数据流或设备在路径.
亚洲云Asiayun怎么样?亚洲云成立于2021年,隶属于上海玥悠悠云计算有限公司(Yyyisp),是一家新国人IDC商家,且正规持证IDC/ISP/CDN,商家主要提供数据中心基础服务、互联网业务解决方案,及专属服务器租用、云服务器、云虚拟主机、专属服务器托管、带宽租用等产品和服务。Asiayun提供源自大陆、香港、韩国和美国等地骨干级机房优质资源,包括BGP国际多线网络,CN2点对点直连带宽以...
老薛主机,虽然是第一次分享这个商家的信息,但是这个商家实际上也有存在有一些年头。看到商家有在进行夏季促销,比如我们很多网友可能有需要的香港VPS主机季度及以上可以半价优惠,如果有在选择不同主机商的香港机房的可以看看老薛主机商家的香港VPS。如果没有记错的话,早年这个商家是主营个人网站虚拟主机业务的,还算不错在异常激烈的市场中生存到现在,应该算是在众多商家中早期积累到一定的用户群的,主打小众个人网站...
腾讯云双十一活动已于今天正式开启了,多重优惠享不停,首购服务器低至0.4折,比如1C2G5M轻量应用服务器仅48元/年起,2C4G8M也仅70元/年起;个人及企业用户还可以一键领取3500-7000元满减券,用于支付新购、续费、升级等各项账单;企业用户还可以以首年1年的价格注册.COM域名。活动页面:https://cloud.tencent.com/act/double11我们分享的信息仍然以秒...