取消
显示结果 
搜索替代 
您的意思是: 
cancel
8975
查看次数
54
有帮助
8
评论
jingjian
Spotlight
Spotlight
最近调试ASA5525防火墙遇到一个问题,所有配置做完之后,想开启ASDM监控防火墙的状态,在浏览器输入防火墙的管理地址后,本以为会弹出下载安装ASDM的页面,但是显示的却是无法连接。下面是排错过程分享给大家,希望遇到相同的问题可以顺利解决。
1.ping 管理地址,测试结果,通。
2.检查http服务,没问题,已经开启了。
3. 检查http的认证信息 aaa authentication http console LOCAL ,也已经配置,没有问题。
4.开始怀疑防火墙的版本, 这台墙是K8版本,不支持3DES和AES,难道和这个有关系?于是申请了K9的license,升级后,问题依旧如此。
5.无奈,开dubug,看到如下信息:
%ASA-6-725001: Starting SSL handshake with client mgmt:192.168.1.100/60000 for TLSv1 session.
%ASA-7-725010: Device supports the following 1 cipher(s).
%ASA-7-725011: Cipher[1] : DES-CBC-SHA
%ASA-7-725008: SSL client mgmt:192.168.1.100/60000 proposes the following 10 cipher(s).
%ASA-7-725011: Cipher[1] : DHE-RSA-AES128-SHA
%ASA-7-725011: Cipher[2] : DHE-DSS-AES128-SHA
%ASA-7-725011: Cipher[3] : DHE-RSA-AES256-SHA
%ASA-7-725011: Cipher[4] : DHE-DSS-AES256-SHA
%ASA-7-725011: Cipher[5] : EDH-RSA-DES-CBC3-SHA
%ASA-7-725011: Cipher[6] : AES128-SHA
%ASA-7-725011: Cipher[7] : AES256-SHA
%ASA-7-725011: Cipher[8] : DES-CBC3-SHA
%ASA-7-725011: Cipher[9] : RC4-SHA
%ASA-7-725011: Cipher[10] : RC4-MD5
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no shared cipher
看到这些,已经确定确实是算法引起的,浏览器支持很多算法,但是防火墙支持DES-CBC-SHA这中算法,而恰恰浏览器不支持。
6. 查了一些资料,找到一条关键命令‘ciscoasa# show running-config all ssl’,看以看到系统默认只配置‘des-sha1’ssl server-version any
ssl client-version any
ssl encryption des-sha1
ssl certificate-authentication fca-timeout 2
7. 找到原因后,就通过如下命令将所有的算法都配置上了
ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 dhe-aes128-sha1 dhe-aes256-sha1 rc4-md5 rc4-sha1
8. 最后在浏览器输入管理地址,ASDM下载界面成功弹出,下载安装,一切顺利。
评论
Yanli Sun
Community Manager
Community Manager
感谢版主分享
byl_qware_com
Level 8
Level 8
分享的非常有帮忙,谢谢!
bo chen
Spotlight
Spotlight
好东西 收藏了
wuleihen
Spotlight
Spotlight
那是不是可以把老版本的加密方式给关闭啊?是不是相对而言不安全啊??
moxiuli
Level 9
Level 9
很实用的分享,找机会试一试
zjliao
Spotlight
Spotlight
楼主,想请教一下,通过命令将所有的算法都配置上了,这个对设备而言会有什么影响吗?
jiahao xian
Level 1
Level 1
我补充一个,之前也遇到,按楼主这个配置也不行,后面发现是没有3des的lic,需要上官网申请个免费的3des,通过show ver 可以看是否有这个lic,所以两个同时检查。
wanhuaye
Level 1
Level 1
看一下学飞一下。。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接