asdm无法正常登陆asa.pdfVIP

ASDM无法正常登陆ASA 目录 硬件平台 软件版本 问题描述    问题分析思路   故障排除步骤 经验总结 硬件平台 ASA 5500 系列 软件版本 所有版本 问题描述 用户有一台新上线的ASA 5585 防火墙,发现在日常使用维护中，少部分用户可以正常的使用 ASDM登陆ASA进行配置和管理，大部分用户的电脑不能够正常的登陆ASDM。 有问题的用户在 IE浏览器,敲入ASA的地址以后没有任何反应，页面呈现空白页。 问题分析思路 1. 确认防火墙上的相关配置是否无误。 2. 能够访问ASDM 和不能够访问ASDM的电脑是否是同一网段,设备是否有区别。 3. 在用户的笔记本上抓包分析，能够访问ASDM和不能访问ASDM分析不同点。 4. 查看ASA上相关的log 信息。 故障排除步骤 1. 确实配置 show run http 检查交换机上关于http 配置，是否在正确的接口上调用了命令，是否允许相应的网络访问. ciscoasa(config)# show run http http server enable http outside http inside 用户的inside 接口确实是放行了所有的地址来访问ASA. show run asdm 检查ASDM 调用asdm image 的情况。 ciscoasa(config)# show run asdm asdm image disk0:/asdm-711-52.bin no asdm history enable show asp table socket 查看对应的接口是否在监听443端口 ciscoasa(config)# show asp table socket Protocol Socket Local Address Foreign Address State TCP 0000f1bf 92:23 :* LISTEN SSL 0001d87f 4:443 :* LISTEN SSL 0001e97f :443 :* LISTEN ciscoasa(config)# 从配置上分析配置都是正确的配置，而且相应的接口也在监听TCP对应的443端口。 2. 询问用户能够访问ASDM 和不同够访问ASDM 的主机是否在同一个网段 ? 网管ASA的PC都是同一交换机上同一VLAN的主机。 从网络路径上分析,所有PC经过的路径都是相同的，排错网络差异的问题。 3. 抓包分析。 有问题的数据包 有问题的数据包 对比两个样本的数据包发现，有问题的PC在于ASA在SSL 建立的过程中失败了。 SSL Handshake Failure (40) 4. 在ASA上打开log功能，记录在用户登录ASDM过程中的SSL建立过程的log。 ciscoasa(config)# show run logging logging enable logging class ssl buffered debugging ciscoasa(config)# 使用 logging class 命令可以使ASA只存储特定类别的log。 ciscoasa(config)# show logging Syslog logging: enabled %ASA-6-725001: Starting SSL handshake with client inside:35/49972 for TLSv1 session. %ASA-7-725010: Device supports the following 1 cipher(s). %ASA-7-725011: Cipher[1] : DES-CBC-SHA %ASA-7-725008: SSL client inside:35/49972 proposes the following 8 cipher(s). %ASA-7-725011: Cipher[1] : AES128-SHA %ASA-7-725011: Cipher[2] : AES256-