今天同事搞cisco的ASA防火墙,配置ASDM,没有搞定。于是,向我求救,好吧那我来看看。
检查http配置
先看了下http配置,已经进行了配置,没有问题。
ciscoasa(config)# show run http server enable http 192.168.1.100 255.255.255.255 inside
但是https://ip并不能访问,使用chrome访问报如下错误:
Error 113 (net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH): Unknown error.
google了下,VPN-3DES-AES加密没有激活。下面进行激活。
激活VPN-3DES-AES
Cisco的ASA默认并没有对VPN-3DES-AES激活,需要自己申请license,这个是免费的可以再这里申请http://www.cisco.com/go/license.以下是未激活前:
ciscoasa(config)#show version Licensed features for this platform: Maximum Physical Interfaces : Unlimited perpetual Maximum VLANs : 100 perpetual Inside Hosts : Unlimited perpetual Failover : Active/Active perpetual VPN-DES : Enabled perpetual VPN-3DES-AES : Disabled perpetual
收到license后进行如下激活:
ciscoasa(config)# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490
当我再次访问https://ip,依旧不能访问。问题出现在ssl加密算法没有配置aes256-sha1,aes128-sha1,3des-sha1。如下:
ciscoasa(config)show ssl Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1 Start connections using SSLv3 and negotiate to SSLv3 or TLSv1 Enabled cipher order: des-sha1 Disabled ciphers: 3des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 null-sha1 No SSL trust-points configured Certificate authentication is not enabled
进行ssl加密配置。
ciscoasa(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1
当我再在次访问https://ip,依旧依旧不能访问,报了如下错:
The requested URL /admin/public/index.html was not found on this server.
嗯,缺少asdm的一个bin文件。
配置asdm-702.bin
下载一个asdm-702.bin,使用tftp copy到flash目录。
ciscoasa(config)#copy tftp: flash:asdm-702.bin ciscoasa(config)#asdm image flash:/asdm-702.bin ciscoasa(config)#wr
这次终于可以访问https://ip,ok收工~