请使用ASDM管理在ASA的一个Firepower模块
目录简介先决条件要求使用的组件体系结构背景操作,当用户连接到ASA通过ASDMStep1-用户首次ASDM连接第2步-ASDM发现ASA配置和Firepower模块IP地址第3步-ASDM起动往Firepower模块的通信第4步-ASDM检索Firepower菜单项故障排除相关信息简介本文描述可适应安全设备管理器(ASDM)软件如何与可适应的安全工具(ASA)和对此安装的Firepower软件模块联络.
在ASA上安装的Firepower模块可以由管理:Firepower管理中心(FMC)-这是箱外管理解决方案.
qASDM-这是在箱上管理解决方案.
q先决条件要求对enable(event)ASDM管理的一种ASA配置:ASA5525(config)#interfaceGigabitEthernet0/0ASA5525(config-if)#nameifINSIDEASA5525(config-if)#security-level100ASA5525(config-if)#ipaddress192.
168.
75.
23255.
255.
255.
0ASA5525(config-if)#noshutdownASA5525(config)#ASA5525(config)#httpserverenableASA5525(config)#http192.
168.
75.
0255.
255.
255.
0INSIDEASA5525(config)#asdmimagedisk0:/asdm-762150.
binASA5525(config)#ASA5525(config)#aaaauthenticationhttpconsoleLOCALASA5525(config)#usernameciscopasswordcisco检查在ASA/SFR模块之间的兼容性,否则Firepower选项将看不到.
另外,在ASA3DES/AES许可证应该是启用的:ASA5525#showversion|in3DESEncryption-3DES-AES:Enabledperpetual保证ASDM客户端系统运行JavaJRE支持的版本.
使用的组件微软视窗7主机q运行ASA版本9.
6(2.
3)的ASA5525-XqASDM版本7.
6.
2.
150qFirepower软件模块6.
1.
0-330q本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您的网络处于活动状态,请确保您了解所有命令的潜在影响.
体系结构ASA有三个内部界面:asa_dataplane-它用于重定向自ASA数据路径的信息包到Firepower软件模块.
qasa_mgmt_plane-它用于允许Firepower管理接口与网络联络.
qcplane-使用调用Keepalive在ASA和Firepower模块之间的控制层面接口.
q您能捕获在所有内部界面的数据流:ASA5525#captureCAPinterfaceasa_dataplaneCapturepacketsondataplaneinterfaceasa_mgmt_planeCapturepacketsonmanagementplaneinterfacecplaneCapturepacketsoncontrolplaneinterface这可以形象化如下:背景操作,当用户连接到ASA通过ASDM考虑此拓扑:当用户首次与ASA的ASDM连接,这些事件将发生:Step1-用户首次ASDM连接用户指定用于HTTP管理的ASAIP地址,输入证件,并且首次往ASA的连接:在背景中,在ASDM和ASA之间的一条SSL隧道设立:这可以形象化如下:第2步-ASDM发现ASA配置和Firepower模块IP地址输入调试http255on命令ASA为了显示在背景中进行的所有检查,当ASDM连接到ASA时:ASA5525#debughttp255…HTTP:processingASDMrequest[/admin/exec/show+module]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+module'fromhost192.
168.
75.
22HTTP:processingASDMrequest[/admin/exec/show+cluster+interface-mode]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+cluster+interface-mode'fromhost192.
168.
75.
22HTTP:processingASDMrequest[/admin/exec/show+cluster+info]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+cluster+info'fromhost192.
168.
75.
22HTTP:processingASDMrequest[/admin/exec/show+module+sfr+details]withcookie-basedauthenticationHTTP:processingGETURL'/admin/exec/show+module+sfr+details'fromhost192.
168.
75.
22showmodule-ASDM发现ASA模块.
qshowmodulesfr详细资料-ASDM发现模块详细资料,包括Firepower管理IP地址.
q这些在背景中将被看到作为从PC的一系列的SSL连接往ASAIP地址:第3步-ASDM起动往Firepower模块的通信因为ASDM认识Firepower管理IP地址,起动往模块的SSL会话:这在背景中将被看到,从ASDM主机的SSL连接往Firepower管理IP地址:这可以形象化如下:ASDM验证Firepower,并且安全警告显示,因为Firepower认证自已签署的:第4步-ASDM检索Firepower菜单项在成功的验证以后,ASDM从Firepower设备检索菜单项:被检索的选项在本例中显示:它也检索ASAFirepower配置菜单项目:故障排除万一ASDM不能设立一条SSL隧道用Firepower管理IP地址,然后只将装载此Firepower菜单项:ASAFirepower配置条目将失踪:验证1切记ASA管理接口启用和连接孔被连接到它在适当的VLAN:ASA5525#showinterfaceipbrief|includeInterface|Management0/0InterfaceIP-AddressOKMethodStatusProtocolManagement0/0unassignedYESunsetupup推荐排除故障设置适当的VLAN.
q提出端口(请检查电缆,检查交换端口配置(速度/双工/关闭)).
q验证2切记Firepower模块充分地初始化,和运行:ASA5525#showmodulesfrdetailsGettingdetailsfromtheServiceModule,pleasewait.
.
.
CardType:FirePOWERServicesSoftwareModuleModel:ASA5525Hardwareversion:N/ASerialNumber:FCH1719J54RFirmwareversion:N/ASoftwareversion:6.
1.
0-330MACAddressRange:6c41.
6aa1.
2bf2to6c41.
6aa1.
2bf2App.
name:ASAFirePOWERApp.
Status:UpApp.
StatusDesc:NormalOperationApp.
version:6.
1.
0-330DataPlaneStatus:UpConsolesession:ReadyStatus:UpDCaddr:NoDCConfiguredMgmtIPaddr:192.
168.
75.
123MgmtNetworkmask:255.
255.
255.
0MgmtGateway:192.
168.
75.
23Mgmtwebports:443MgmtTLSenabled:trueA5525#sessionsfrconsoleOpeningconsolesessionwithmodulesfr.
Connectedtomodulesfr.
Escapecharactersequenceis'CTRL-^X'.
>showversionFP5525-3Model:ASA5525(72)Version6.
1.
0(Build330)UUID:71fd1be4-7641-11e6-87e4-d6ca846264e3Rulesupdateversion:2016-03-28-001-vrtVDBversion:270>推荐排除故障检查console命令showmodulesfr的日志的输出错误或故障.
q验证3检查ASDM主机和Firepower模块管理IP用命令例如ping和tracert/traceroute之间的基本连通性:推荐排除故障检查沿路径的路由.
q验证没有阻塞数据流在路径的设备.
q验证4如果ASDM主机和Firepower管理IP地址在同样第3层网络,请检查在ASDM主机的地址解析服务(ARP)表:推荐排除故障如果没有ARP条目,请使用Wireshark为了检查ARP通信.
保证信息包的MAC地址是正确的.
q如果有ARP条目,请保证他们是正确的.
q验证5在ASDM设备的Enable(event)捕获,当您通过ASDM连接为了发现时是否有主机和Firepower模块之间的适当的TCP通信.
最少,您应该看到:在ASDM主机和ASA之间的TCP三通的握手.
qSSL隧道设立在ASDM主机和ASA之间.
q在ASDM主机和Firepower模块管理IP地址之间的TCP三通的握手.
qSSL隧道设立在ASDM主机和Firepower模块管理IP地址之间.
q推荐排除故障如果TCP三通的握手发生故障,请保证没有阻拦TCP信息包的不对称的数据流或设备在路径.
- 请使用ASDM管理在ASA的一个Firepower模块相关文档
- 命令ssl连接
- 配置ssl连接
- OpenStack混合云,超越基础资源混合
- 密钥ssl连接
- ISE状态前的样式比较和过帐2.2
- 与比利时eID卡的ASA
pacificrack:超级秒杀,VPS低至$7.2/年,美国洛杉矶VPS,1Gbps带宽
pacificrack又追加了3款特价便宜vps搞促销,而且是直接7折优惠(一次性),低至年付7.2美元。这是本月第3波便宜vps了。熟悉pacificrack的知道机房是QN的洛杉矶,接入1Gbps带宽,KVM虚拟,纯SSD RAID10,自带一个IPv4。官方网站:https://pacificrack.com支持PayPal、支付宝等方式付款7折秒杀优惠码:R3UWUYF01T内存CPUSS...
HostDare($33.79/年)CKVM和QKVM套餐 可选CN2 GIA线路
关于HostDare服务商在之前的文章中有介绍过几次,算是比较老牌的服务商,但是商家背景财力不是特别雄厚,算是比较小众的个人服务商。目前主流提供CKVM和QKVM套餐。前者是电信CN2 GIA,不过库存储备也不是很足,这不九月份发布新的补货库存活动,有提供九折优惠CN2 GIA,以及六五折优惠QKVM普通线路方案。这次活动截止到9月30日,不清楚商家这次库存补货多少。比如 QKVM基础的五个方案都...
inux国外美老牌PhotonVPS月$2.5 ,Linux系统首月半价
PhotonVPS 服务商我们是不是已经很久没有见过?曾经也是相当的火爆的,我们中文习惯称作为饭桶VPS主机商。翻看之前的文章,在2015年之前也有较多商家的活动分享的,这几年由于服务商太多,乃至于有一些老牌的服务商都逐渐淡忘。这不有看到PhotonVPS商家发布促销活动。PhotonVPS 商家七月份推出首月半价Linux系统VPS主机,首月低至2.5美元,有洛杉矶、达拉斯、阿什本机房,除提供普...
-
朗逸和速腾哪个好速腾和朗逸哪个更好?朗逸和速腾哪个好大众速腾和朗逸哪个好啊?炒股软件哪个好请问有什么好用的免费股票软件?英语词典哪个好买什么英语词典比较好苹果手机助手哪个好iphone手机助手哪个好用?美国国际东西方大学出国留学,美国“野鸡大学”有哪些?美国国际东西方大学美国新常春藤大学有哪些?google广告申请Google广告用户申请有何绝招?360云盘关闭360云盘已经关闭了 文件怎么下360云盘共享群360网盘共享群怎样利用最有价值?