第一,安装了Java 6 update10以上版本后无法正常使用ASDM。错误提示为无法读取ASA的配置。
解决办法-卸载update10以上版本。
第二,ASA的show run命令结果中看不到Default Group Policy (DfltGrpPolicy,Group Policy是用于设置***连接的)的设置。
解决办法:可以在ASDM中查看。
第三,最容易导致***连接失败的原因之一:两端ACL不完全匹配。
解决办法:为了降低***连接失败的可能性,建议两端ACL配置要完全匹配。举例A端和B端要配置***通道:
A端内网192.168.1.0/24
B端内网192.168.2.0/24
现在要让A端的主机192.168.1.1访问B端的主机192.168.2.1
建议的写法
在A端的防火墙上的ACL要写成允许192.168.1.1访问B端的192.168.2.1
在B端的防火墙上的ACL要写成允许192.168.2.1访问A端的192.168.1.1
虽然有时候用子网来代替主机地址也可能正常工作(如下例),但很多次配置的经验证明这是不可靠的。
错误的写法
在A端的防火墙上的ACL要写成允许192.168.1.0/24访问B端的192.168.2.1
在B端的防火墙上的ACL要写成允许192.168.2.1访问A端的192.168.1.1