Cisco ASA防火牆 IOS恢復 與 ASDM連接

 現在disk里所有文件包括IOS都已經被清空了，已無法進入系統，Error 15：File not found，系統不停的反復重啟

 

 一旦出現以上錯誤提示，就代表設備的操作系統已經掛了。恢復的方法：

 

一、IOS恢復

首先准備一根Console線，連接電腦，啟動到該界面按ESC，進入common監控模式

 

  准備鏡像、及相關工具。

從網上下載該設備的IOS鏡像，以及ASDM軟件。（注意系統與軟件的兼容性，有的低版本ASDM無法在高版本的系統下運行）

https://tdoas.de/Cisco/Firewall/ASA

IOS選擇 asa962-smp-k8.bin

 

 ASDM選擇 asdm-771.bin

 

 下載到本地計算機，然后再下載 tftpd軟件（百度一大堆，有64位和32位，版本無所謂）

 

   運行tftpd軟件

 

 用網線將Management0/0端口連接到本地局域網，確保該端口能與本地計算機通訊

 

設置IP地址，與鏡像 

rommon #1> ADDRESS=10.6.6.249        //設置防火牆地址
rommon #2> GATEWAY=10.6.6.254        //網關
rommon #3> IMAGE=asa962-smp-k8.bin   //需要導入IOS的名稱，注意別寫錯了，不然無法上傳
rommon #4> SERVER=10.6.6.2           //設置服務器IP，也就是PC的IP
rommon #5> sync                      //保存

Updating NVRAM Parameters...
測試網絡，確保連接暢通
rommon #6> ping 10.6.6.2
Sending 20, 100-byte ICMP Echoes to 10.6.6.2, timeout is 4 seconds:
?!!!!!!!!!!!!!!!!!!!
Success rate is 95 percent (19/20)

如果連接不通，可以使用set命令檢查配置是否正確

 

一切准備就緒后，tftpdnld 命令開始導入：

rommon #8> tftpdnld

 

  主機端也會有導入進度提示

 

 等待幾分鍾導入完成后，系統將使用該鏡像自動進入到操作系統。

進入后會有提示：Pre-configure Firewall now through interactive prompts [yes]?  是否要重新配置？這里選擇是

 

雖然現在進入了系統，但是ios本身並不在設備中，我們要把ios通過tftp從主機傳到設備中來，才能在關機后設備能正常啟動，否則關機后設備仍然無法啟動。

 

這路選擇直接回車，是

Firewall Mode [Routed]: 　　　　　　　　　　 指定防火牆模式，直接回車
Enable password [<use current password>]: admin 設置enable密碼
Allow password recovery [yes]?  　　　　　　是否允許密碼恢復
Clock (UTC):　　時間設置
  Year [2020]: 
  Month [Jan]: 月份輸入英文
  Day [3]:
  Time [06:45:11]: 14:52:33
Management IP address: 10.6.6.249  　　　　設置Management接口IP地址
Management network mask: 255.255.255.0    子網掩碼
Host name: asa5525     　　設置防火牆名稱
Domain name: cisco.com 　　域名
IP address of host running Device Manager: 10.6.6.2 運行管理軟件的主機地址
Use this configuration and save to flash? [yes]yes  是否保存到flash

如果這里無法保存，會繼續提示Pre-configure Firewall now through interactive prompts [yes]?no  如再次提示，輸入no

初始化完成后，進入到了我們熟悉的界面

 

en，輸入剛才設置的密碼， conf t進入全局模式，第一次會有一個提示:

Would you like to enable anonymous error reporting to help improve  是否要啟用匿名錯誤報告以幫助改進

這里隨便選，啟用后，代碼會有提示信息

 

通過show version可以看到system image file不在flash中，我們需要將flash導入到設備。

 

有時候在導入設備可能會失敗，報錯：

%Error copying tftp://192.168.0.1/asa916-k8.bin (Not enough space on device) 提示沒有空間

解決方法：將flash格式化一遍即可 

ciscoasa# format flash:

 

 測試與主機的連通性，准備就緒后開始導入鏡像

 asa5525(config)# copy tftp: flash:

Address or name of remote host []? 10.6.6.2   　　主機IP地址

Source filename []? asa962-smp-k8.bin                  需要導入IOS的名稱，同樣注意別寫錯了

Destination filename [asa962-smp-k8.bin]?             這直接回車

 然后同樣方法導入asdm軟件

 

 使用dir查看文件已經導入成功

 

 設置啟動文件

asa5525(config)# boot system disk0:/asa962-smp-k8.bin             設置IOS

asa5525(config)# asdm image disk0:/asdm-771.bin               設置asdm

asa5525(config)# wr                                                                    保存

asa5525(config)# reload                                                             重新啟動，配置生效

 

二、寫入license

默認安裝的系統是沒有授權的，許多功能需要授權后才能使用

使用show version查看激活狀態

 

 如上，很多功能都是Disabled狀態

需要自己從Cisco官網申請license， http://www.cisco.com/go/license

或者下載Cisco ASA Keygen軟件破解，

官網申請太麻煩，而且不一定能申請到，所以這里就使用Cisco ASA Keygen破解

 

 

 

 說明：

• Serial Number:系統的序列號，show version可以查看系統序列號；
• Licensed Cores：選擇Premium，為系統永久授權。

 使用步驟：

填寫序列號，點擊【Greedy 】--【Licensed Cores】選擇【Premium】，即永久授權。點擊【Etis atis animatis】…得到圖片最下面的授權碼。直接復制即可。

 

 

最后別忘了 保存。再次show version 查看激活狀態：

 

 

三、配置asdm圖形化管理界面

開啟http服務並設置允許連接的遠程主機

asa5525# conf t 　　　　　　 進入全局模式
asa5525(config)# webvpn 　　進入webvpn模式
asa5525(config-webvpn)#  username admin password admin  新建一個用戶名/密碼
asa5525(config)# inte m0/0  進入管理接口
asa5525(config-if)# ip add 10.6.6.249 255.255.255.0  設置IP地址
asa5525(config-if)# nameif management  給端口命名
asa5525(config-if)# no sh  激活端口
asa5525(config-if)# q 　　  退出管理接口
asa5525(config)# http server enable  開啟http服務
asa5525(config)# http 0 0 management 設置管理口可連接的IP地址
asa5525(config)# wr m 保存

添加SSL加密算法

asa5525(config)# ssl encryption 3des-sha1 des-sha1 aes128-sha1 aes256-sha1

注：雖然是http服務，但是web連接使用的是https協議。安全產品的web登錄都是https協議。

檢查http配置

asa5525(config)# show run http
http server enable
http 0.0.0.0 0.0.0.0 management

檢查ASDM調用image的情況

asa5525(config)# show run asdm
asdm image disk0:/asdm-771.bin
no asdm history enable

查看對應接口是否存在監聽443端口

asa5525(config)# show asp table socket

Protocol     Socket     State       Local Address       Foreign Address
SSL         00004638    LISTEN     10.6.6.249:443       0.0.0.0:*     

查看當前SSL配置

asa5525(config)# show run all ssl                                         
ssl server-version tlsv1
ssl client-version tlsv1
ssl cipher default custom "DES-CBC3-SHA:DES-CBC-SHA:AES128-SHA:AES256-SHA"
ssl cipher tlsv1 custom "DES-CBC3-SHA:DES-CBC-SHA:AES128-SHA:AES256-SHA"
ssl cipher tlsv1.1 low
ssl cipher tlsv1.2 low
ssl cipher dtlsv1 custom "DES-CBC3-SHA:DES-CBC-SHA:AES128-SHA:AES256-SHA"
ssl dh-group group2
ssl ecdh-group group19
ssl certificate-authentication fca-timeout 2

 一切確定OK，打開瀏覽器訪問ASA虛擬機

 

 

 

 

  如圖：圖形化管理界面要安裝兩個軟件：ASDM Launcher、JAVA軟件

 

 ASDM的安裝，必須是基於JAVA環境的，所以需要安裝JAVA。

首先安裝准備好的JAVA軟件，安裝過程略。（別忘了設置環境變量）

 

Jdk下載地址: https://pan.baidu.com/s/1YoVOPHFG92BQMb4U9I8Nqw 提取碼: uvjg

然后點擊安裝ASDM Launcher，點擊后輸入ASA上創建的賬戶登陸

 

登錄后會下載或安裝dm插件，安裝

 

 安裝完成后會在桌面上生成一個圖標，直接打開，如下：

 

  輸入ASAv的地址及賬戶，點擊OK登錄即可

安全警告勾選 始終信任

 

 登錄后的界面如下：

 

  以后的登錄就是使用此軟件，不在使用web登錄。如需登錄，直接點擊桌面上的圖標即可。