win7 系统无法使用asdm管理防火墙(转)
http://www.szcywl.com/bbs/forum.php?mod=viewthread&tid=3634
今天碰到一个有点意思的问题,分享一下思路和解决方法 问题是这样的,一台ASA5520防火墙需要开启asdm管理,具体命令就不说了,敲上去后,xp系统装好相应的java版本,测试均ok,但问题就出在了用win7的系统测试的时候,换遍各种浏览器无法解决问题,具体情况见截图,崩溃中....... 百思不得其解的时候找到了一篇不错的文章,思路是这样的 winxp用的ie支持des加密,而win7的ie把des加密关掉了,而ASA上SSL 加密算法没有添加其他的加密方式,以防外一,我会在ASA把所有的加密方式都添加上,让不同的浏览器自己去和ASA协商加密方式。命令如下 ciscoasa(config)# ssl encryption 3des-sha1 aes128-sha1 aes256-sha1 rc4-md5 rc4-sha1 加上以上命令,再用win7进行测试,效果 你懂的 |
http://www.starland.net.cn/blog/view/147/1.aspx
最近在 Cisco ASA 5505 上配置了 SSL VPN,配置挺顺利,用 ASDM 的向导就可以搞定。但是,遇到了一个棘手问题,在 Windows 7 上的用户不能访问 VPN 网站,连页面都打不开。而在 Windows XP 上的 IE 7、IE 8 访问都没问题,不过 Firefox 也不能访问。开始以为是数字证书有问题,折腾了很久也没搞定,查了一下资料,感觉是加密算法的问题。今天终于找到了两篇文章,解决了我的疑难。顺便鄙视一下百度,找点技术资料太难了,还是谷歌强大,不过有时还得用用 IPv6,不然那墙会碍事。
《Windows7 无法打开ASA SSL VPN 首页》详细分析了为什么 Windows 7 上的用户不能访问 SSL VPN 网站。我也在 ASA 上打开了 LOG,然后用 Windows 7 访问 VPN 网站。
日志记录如下:
%ASA-6-302014: Teardown TCP connection 36 for outside:58.XXX.XXX.XXX/50756 to identity:58.YYY.YYY.YYY/443
duration 1:11:27 bytes 2933271 TCP Reset-O
%ASA-6-725007: SSL session with client outside:58.XXX.XXX.XXX/50756 terminated.
%ASA-6-302013: Built inbound TCP connection 332 for outside:58.XXX.XXX.XXX/47719 (58.XXX.XXX.XXX/47719)
to identity:58.YYY.YYY.YYY/443 (58.YYY.YYY.YYY/443)
%ASA-6-302013: Built inbound TCP connection 333 for outside:58.XXX.XXX.XXX/54483 (58.XXX.XXX.XXX/54483)
to identity:58.YYY.YYY.YYY/443 (58.YYY.YYY.YYY/443)
%ASA-6-725001: Starting SSL handshake with client outside:58.XXX.XXX.XXX/47719 for TLSv1 session.
%ASA-7-725010: Device supports the following 1 cipher(s).
%ASA-7-725011: Cipher[1] : DES-CBC-SHA
%ASA-7-725008: SSL client outside:58.XXX.XXX.XXX/47719 proposes the following 8 cipher(s).
%ASA-7-725011: Cipher[1] : AES128-SHA
%ASA-7-725011: Cipher[2] : AES256-SHA
%ASA-7-725011: Cipher[3] : RC4-SHA
%ASA-7-725011: Cipher[4] : DES-CBC3-SHA
%ASA-7-725011: Cipher[5] : DHE-DSS-AES128-SHA
%ASA-7-725011: Cipher[6] : DHE-DSS-AES256-SHA
%ASA-7-725011: Cipher[7] : EDH-DSS-DES-CBC3-SHA
%ASA-7-725011: Cipher[8] : RC4-MD5
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no shared cipher
说明设备上使用的加密算法与客户端可用的加密算法不能匹配。解决办法就是在 ASA 指定 Windows 7 支持的加密算法,命令为:ssl encryption 加密算法,如:ssl encryption aes128-sha1。
但另一个问题又出现了,因为 ASA 的版本是 K8,不支持 3DES/AES 的加密,上述命令不能生效。
彷徨时,转机出现,思科中文技术社区的一个帖子救了我。版主指点可在思科网站的该网址https://tools.cisco.com/SWIFT/Licensing/PrivateRegistrationServlet?FormId=139 免费升级 Cisco ASA 5500 系列的 3DES/AES 加密的 license、activation key。
输入 show version 命令,获取设备的序列号,填好思科网站里的表格,之后自动授权系统会进行处理,成功后就能在注册的邮箱里收到“Your ASA 3DES License Key”这封信。接下来输入 activation-key <40位的16进制激活码> 命令,系统提示
Validating activation key. This may take a few minutes...
Both Running and Flash permanent activation key was updated with the requested key.
保存后重启设备。
升级成功后,设备版本应该显示:
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
现在再输入 ssl encryption aes128-sha1 命令就没有问题了。成功后,测试 Windows 7 + IE 9 的 SSL VPN 访问,都正常。
搞定了 ASA 5505,顺便把另一台 ASA 5540 也升级了。
参考资料:
1、《Windows7 无法打开ASA SSL VPN 首页》,http://china-ccie.com/doc/Win7-SSL-VPN/Win7-SSL-VPN_chs.html
2、《Anyconnect2.3在XP下成功的和ASA8.2建立VPN连接,在VISTA和Win7连接ASA就失败。》,http://bbs.cisco-club.com.cn/viewthread.php?tid=628
