思科 CISCO ASA web接口不能访问

今天同事搞cisco的ASA防火墙，配置ASDM，没有搞定。于是，向我求救，好吧那我来看看。

检查http配置

先看了下http配置，已经进行了配置，没有问题。

ciscoasa(config)# show run
http server enable
http 192.168.1.100 255.255.255.255 inside

但是https://ip并不能访问，使用chrome访问报如下错误：

Error 113 (net::ERR_SSL_VERSION_OR_CIPHER_MISMATCH): Unknown error.

google了下，VPN-3DES-AES加密没有激活。下面进行激活。

激活VPN-3DES-AES

Cisco的ASA默认并没有对VPN-3DES-AES激活，需要自己申请license，这个是免费的可以再这里申请http://www.cisco.com/go/license.以下是未激活前：

ciscoasa(config)#show version
Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 100            perpetual
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
VPN-DES                           : Enabled        perpetual
VPN-3DES-AES                      : Disabled       perpetual

收到license后进行如下激活：

ciscoasa(config)# activation-key 0xd11b3d48 0xa80a4c0a 0x48e0fd1c 0xb0443480 0x843fc490

当我再次访问https://ip，依旧不能访问。问题出现在ssl加密算法没有配置aes256-sha1，aes128-sha1，3des-sha1。如下：

ciscoasa(config)show ssl
Accept connections using SSLv2, SSLv3 or TLSv1 and negotiate to SSLv3 or TLSv1
Start connections using SSLv3 and negotiate to SSLv3 or TLSv1
Enabled cipher order: des-sha1
Disabled ciphers: 3des-sha1 rc4-md5 rc4-sha1 aes128-sha1 aes256-sha1 null-sha1
No SSL trust-points configured
Certificate authentication is not enabled

进行ssl加密配置。

ciscoasa(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1

当我再在次访问https://ip，依旧依旧不能访问，报了如下错：

The requested URL /admin/public/index.html was not found on this server.

嗯，缺少asdm的一个bin文件。

配置asdm-702.bin

下载一个asdm-702.bin，使用tftp copy到flash目录。

ciscoasa(config)#copy tftp: flash:asdm-702.bin
ciscoasa(config)#asdm image flash:/asdm-702.bin
ciscoasa(config)#wr

这次终于可以访问https://ip，ok收工~