问题描述:晚上打算使用ASA的ASDM软件看下设备状态,结果在DMZ接口,outside接口允许http后,均无法通过web进行登陆,修改http端口后也一样, telnet设置的端口没问题,在inside接口可以正常登陆(不要怀疑http配置,绝对没问题)后续试着在CLI下配置完SSL ***后,也不能在outside进行登陆(×××折腾了我四个小时,一直怀疑SSL ×××配置的问题)telnet 443端口没问题,就是无法通过WEB进行访问,同样在inside接口访问没问题,但是×××连接建立不起来。


排错思路,

在outside接口尝试登录http后,提示无法打开网页,同时通过在防火墙上使用(config)#show asp drop命令观察发现在 flow drop中有一个新出现的条目 SSL handshake failed(SSL-handshake-failed),



根据此提示猜想有可能是由于没有协商成功导致建立连接失败,然后试着使用 show ssl errors发现了N多no shared cipher 的报错,猜想可能是由于密钥原因导致的




然后试着通过 sho run ssl 查看ssl配置,发现SSL加密方式为des-sha1,




通过show version发现 ×××-3DES-AES 处于disable状态, 然后迅速去cisco官网下载了个×××-3DES-AES的activation-key,开启×××-3DES-AES,开启后,通过命令 (config)#ssl encryption 3des-sha1 将SSL加密方式改为 3DES,



改完后,再次在outside接口和其他接口进行web登录测试,果然没有出现问题,折腾了一个晚上,终于搞定,简单记录下,方便自己,方便大家,有问题可以联系我,互相交流, Ozeds QQ 6904591