この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、FWSM のシステム ログ メッセージを示します。メッセージ コードの番号順に各メッセージを示します。
(注) このマニュアルに記載されているメッセージは、ソフトウェアの Version 3.2 以降に該当します。番号が順序から抜けている場合、そのメッセージはソフトウェアから除外されています。
• メッセージ 101001 ~ 199009(p.1-2)
• メッセージ 201002 ~ 217001(p.1-38)
• メッセージ 302003 ~ 326028(p.1-48)
• メッセージ 400000 ~ 418001(p.1-80)
• メッセージ 500001 ~ 507001(p.1-101)
ここでは、メッセージ 101001 ~ 199009 を示します。
説明 フェールオーバー メッセージであり、フェールオーバー ケーブルが存在し、正常に機能していることを表します。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージであり、フェールオーバー ケーブルが存在するが、正常に機能していないことを表します。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 どちらの例もフェールオーバー メッセージであり、フェールオーバー モードがイネーブルであるにも関わらず、フェールオーバー ペアのいずれかの装置でフェールオーバー ケーブルが接続されていない場合に記録されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージであり、フェールオーバー ケーブルが接続されていても、プライマリ装置がケーブルのステータスを判別できない場合に表示されます。
説明 フェールオーバー メッセージであり、プライマリ装置がもう一方の装置でシステム リロードまたは電源障害を検出した場合に記録されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 リロードが実行された装置で show crashinfo コマンドを発行し、リロードに関連するトレースバックがあるかどうかを確認します。さらに、装置に電源が投入され、電源コードが正しく接続されているかどうかを確認してください。
説明 フェールオーバー メッセージであり、プライマリ装置がフェールオーバー ケーブルを介してセカンダリ装置と通信できないときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。 表1-1 に、フェールオーバーが発生した理由を表す理由コードを示します。
|
|
---|---|
フェールオーバー hello が 30 秒以上、検出されていません。フェールオーバー hello は、他方のセキュリティ アプライアンス装置上でフェールオーバーが正しく動作していることを示します。 |
|
推奨処置 フェールオーバー ケーブルが正しく接続されていて、両方の装置が同じハードウェア、ソフトウェア、およびコンフィギュレーションを使用していることを確認してください。問題が解決できない場合は、TAC に連絡してください。
説明 フェールオーバー メッセージであり、プライマリ装置がセカンダリ装置のネットワーク インターフェイスが正常であることを検出した場合に表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージであり、プライマリ装置が、セカンダリ装置上に不正なネットワーク インターフェイスを検出したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 セカンダリ装置上のネットワーク接続、およびネットワークのハブ接続を確認してください。必要に応じて、障害のあるネットワーク インターフェイスを交換してください。
説明 フェールオーバー メッセージであり、プライマリ装置が、セカンダリ装置から、プライマリの障害を示すメッセージを受信したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージであり、セカンダリ装置が、プライマリ装置に対して障害を報告したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 ローカル装置と異なり、HA Hitless Upgrade 機能と互換性がないバージョンをピア装置が実行していることをファイアウォールが検出したときに表示されます。
説明 ローカル装置とは異なるが Hitless Upgrade をサポートしていて互換性があるバージョンをピア装置が実行していることをファイアウォールが検出したときに表示されます。イメージ バージョンが同一ではないためにシステム パフォーマンスが低下することがあり、異なるバージョンを長期間実行している場合は、ピア装置で安定性の問題が発生することがあります。
説明 どちらの例もフェールオーバー メッセージであり、スタンバイ装置上で failover active コマンドを入力するか、アクティブ装置上で no failover active コマンドを入力することによって、これら2つの装置の役割を強制的に切り替えた場合に、通常これらのメッセージが記録されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。string 変数として、考えられる値は次のとおりです。
• bad/incomplete config(不正または不完全なコンフィギュレーション)
• ifc [interface] check, mate is healthier(インターフェイスの確認、両装置の相違)
• the other side wants me to standby(他方がスタンバイを要求)
• in failed state, cannot be active(障害ステートにより、アクティブにできない)
• switch to failed state(障害ステートへの切り替え)
推奨処置 手動で強制的に切り替えた場合には、対処は不要です。それ以外の場合は、セカンダリ装置により報告された原因を参照し、両方の装置のステータスを確認してください。
説明 フェールオーバー メッセージであり、プライマリ装置に障害が発生したときに表示されます。
推奨処置 プライマリ装置のシステム ログ メッセージを調べ、問題の原因を確認してください(メッセージ 104001 を参照)。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージであり、障害のあった装置が正常に戻ったときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージであり、コンソールに no failover コマンドを入力したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージであり、フェールオーバーがディセーブルになっていた状態で、引数を指定せずに failover コマンドをコンソールに入力したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。セキュリティ アプライアンスはフェールオーバー ペアの他方の装置との間で、特定のネットワーク インターフェイスをテスト中です。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 対処は不要です。セキュリティ アプライアンスは標準動作の間、頻繁にネットワーク インターフェイスをモニタします。
説明 フェールオーバー メッセージです。特定のネットワーク インターフェイスのテストが正常に完了しました。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージであり、フェールオーバー ペアの装置が他方の装置と通信できない状態を示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 どちらの例もフェールオーバー メッセージであり、特定のインターフェイスのリンク ステータスのモニタ結果を示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 リンク ステータスがダウンの場合には、特定のインターフェイスに接続しているネットワークが正常に動作しているかどうかを確認してください。
説明 フェールオーバー メッセージであり、特定のネットワーク インターフェイスのテスト中に表示されます。このテストは、セキュリティ アプライアンスが特定のインターフェイス上のスタンバイ装置から、一定時間を経過してもメッセージを受信できなかった場合にのみ実行されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージであり、このメッセージでは、直前に実行されたインターフェイス テストの結果(Passed または Failed)が報告されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 結果が Passed の場合、対処は不要です。結果が Failed の場合は、両方のフェールオーバー装置にネットワーク ケーブルが正しく接続されているかどうか、ネットワークが正常に動作しているかどうかを確認し、さらにスタンバイ装置のステータスを確認してください。
説明 ブロック メモリが不足しています。これは一時的なメッセージで、セキュリティ アプライアンスは回復処理を行います。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー ケーブルが原因で、プライマリ装置とセカンダリ装置間の通信ができません。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバーを実行したとき、アクティブ セキュリティ アプライアンスがメモリ内にコンフィギュレーションの一部だけを検出しました。通常、複製サービスに割り込みが発生したことが原因です。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 セキュリティ アプライアンスがフェールオーバーを検出すると、セキュリティ アプライアンスは自動的に自身をリロードし、フラッシュ メモリからコンフィギュレーションをロードするか、他方のセキュリティ アプライアンスと再同期します。フェールオーバーが頻繁に発生している場合は、フェールオーバー設定をチェックし、両方のセキュリティ アプライアンス装置が互いに通信できることを確認してください。
説明 コンフィギュレーションの同期中に、別のプロセスによるコンフィギュレーションのロックが 5 分を超えると、スタンバイ装置は自身をリロードします。これにより、フェールオーバー プロセスで新しいコンフィギュレーションが適用される事態が防止されます。この状況は、コンフィギュレーションの同期化が進行しているときに、管理者がスタンバイ装置で実行コンフィギュレーションを呼び出したときに発生する場合があります。 show running-config EXEC コマンドおよび pager lines num CONFIG コマンドを参照してください。
推奨処置 スタンバイ装置を初めてブートして、アクティブ装置とフェールオーバー接続を確立している間に、コンフィギュレーションを表示または変更しないでください。
説明 LAN フェールオーバー インターフェイス リンクがダウンしています。
推奨処置 LAN フェールオーバー インターフェイスの接続を確認してください。速度およびデュプレックスの設定が正しいかどうかを確認します。
説明 ピアの LAN フェールオーバー インターフェイス リンクがダウンしています。装置がスタンバイ モードの場合、アクティブ モードに切り替わります。
説明 ASDM が確認応答できない LAN フェールオーバ コマンド メッセージを廃棄しました。LAN フェールオーバー インターフェイスに接続の問題があることを示しています。
説明 プライマリ装置とスタンバイ装置が交互にアクティブ装置になっています。LAN フェールオーバー接続に問題があるか、ソフトウェアの不具合を示しています。
説明 フェールオーバーを実行したとき、アクティブ セキュリティ アプライアンスがメモリ内にコンフィギュレーションの一部だけを検出しました。通常、複製サービスに割り込みが発生したことが原因です。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 セキュリティ アプライアンスがフェールオーバーを検出すると、セキュリティ アプライアンスは自動的にフラッシュ メモリからコンフィギュレーションをリロードするか、他方のセキュリティ アプライアンスと再同期します。フェールオーバーが頻繁に発生している場合は、フェールオーバー設定をチェックし、両方のセキュリティ アプライアンスが互いに通信できることを確認してください。
説明 フェールオーバーでは、最初に、プライマリとセカンダリのセキュリティ アプライアンスに同数のインターフェイスが設定されているかどうかが確認されます。このメッセージは、セカンダリセキュリティ アプライアンスで設定されているインターフェイスの数をプライマリ セキュリティ アプライアンスが確認できず、プライマリ セキュリティ アプライアンスがフェールオーバー インターフェイスでセカンダリ セキュリティ アプライアンスとやり取りできないことを示します。セカンダリ セキュリティ アプライアンスの場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 フェールオーバー LAN、インターフェイス設定、およびプライマリとセカンダリ セキュリティ アプライアンスのステータスを確認してください。セカンダリ セキュリティ アプライアンスがセキュリティ アプライアンス アプリケーションを実行していて、フェールオーバーがイネーブルであることを確認します。
説明 フェールオーバー ペアとして動作するには、プライマリとセカンダリ セキュリティ アプライアンスが同じフェールオーバー ソフトウェア バージョンを実行している必要があります。このメッセージは、セカンダリ セキュリティ アプライアンスのフェールオーバー ソフトウェアのバージョンが、プライマリ セキュリティ アプライアンスと互換でないことを示しています。プライマリ セキュリティ アプライアンス上でフェールオーバーがディセーブルです。セカンダリ セキュリティ アプライアンスの場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 フェールオーバーをイネーブルにするには、プライマリとセカンダリ セキュリティ アプライアンスに同一のソフトウェア バージョンを使用してください。
説明 LAN フェールオーバー インターフェイス リンクがアップしています。
説明 セカンダリ セキュリティ アプライアンスへのフェールオーバー メッセージの送信に使用するインターフェイスは機能しています。セカンダリ セキュリティ アプライアンスの場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 LAN フェールオーバー インターフェイス リンクがダウンしています。
推奨処置 LAN フェールオーバー インターフェイスの接続を確認してください。速度およびデュプレックスの設定が正しいかどうかを確認します。
説明 フェールオーバー ピア間で動作モード(シングルまたはマルチ)が一致していない場合、フェールオーバーはディセーブルになります。
説明 2 台のフェールオーバー装置のシャーシ タイプが異なる場合に、このメッセージが発行されます。たとえば片方が 3 スロット シャーシで、他方が 6 スロット シャーシである場合に発行されます。
説明 接続関連のメッセージであり、内部アドレスへの接続の試みが、セキュリティ ポリシーによって拒否されたときに発生します。tcp_flags の値は、接続が拒否された時点の TCP ヘッダー内のフラグに対応します。たとえば、TCP パケットの到達時にセキュリティ アプライアンスに接続ステートが存在しない場合、そのパケットはドロップされます。このパケットの tcp_flags は、FIN および ACK です。
• PSH ― 受信側がアプリケーションにデータを転送しました。
説明 接続関連のメッセージであり、 outbound deny コマンドにより、特定の接続に失敗したときに表示されます。 protocol 変数は、ICMP、TCP、または UDP です。
説明 接続関連のメッセージであり、DNS クエリまたは DNS 応答を含む UDP パケットが拒否されたときに表示されます。
推奨処置 内部ポート番号が 53 の場合、内部ホストは通常、キャッシング ネーム サーバとして設定されています。UDP ポート 53 でトラフィックを許可する access-list コマンド ステートメントを追加してください。外部ポート番号が 53 の場合には、DNS サーバの応答がかなり遅いため、クエリが他のサーバによって応答されています。
説明 接続関連のメッセージであり、セキュリティ ポリシーによって着信接続が拒否されたときに表示されます。
推奨処置 トラフィックを許可する場合、セキュリティ ポリシーを修正します。このメッセージが一定間隔で発生する場合は、リモート ピアの管理者に連絡してください。
説明 Web ブラウザを使用してインターネットにアクセスしている内部ユーザが存在する場合、通常のトラフィック状況下でこのメッセージが表示されます。接続がリセットされるたびに、セキュリティ アプライアンスがリセットを受信したあとで、接続の反対側のホストがパケットを送信したとき、このメッセージが表示されます。通常、このメッセージは無視してかまいません。
推奨処置 no logging message 106011 コマンドを入力して、このシステム ログ メッセージが syslog サーバにロギングされないようにしてください。
説明 パケット完全性チェック メッセージです。 IP オプションを持つ IP パケットが検出されました。IP オプションはセキュリティ上のリスクとみなされるので、パケットは廃棄されます。
推奨処置 リモート ホスト システム管理者に連絡し、問題を解決してください。 ローカル サイトの設定が、ルース ソース ルーティングまたはストリクト ソース ルーティングのどちらであるかを確認してください。
説明 セキュリティ アプライアンスが、PAT グローバル アドレスに対応する宛先アドレスを持つ着信 ICMP エコー要求パケットを廃棄しました。パケットを受信すべき PAT ホストを特定できない着信パケットは、廃棄されます。
説明 セキュリティ アプライアンス が着信 ICMP パケット アクセスを拒否しました。デフォルトでは、特に許可されないかぎり、すべての ICMP パケットがアクセスを拒否されます。
説明 セキュリティ アプライアンス が、 セキュリティ アプライアンス の接続テーブルで接続が関連付けられていない TCP パケットを廃棄しました。 セキュリティ アプライアンス はパケット内の SYN フラグ(新しい接続の確立要求を示す)を検索します。SYN フラグが見つからず、なおかつ既存の接続が存在しない場合、 セキュリティ アプライアンス はパケットを廃棄します。
推奨処置 セキュリティ アプライアンス がこれらの無効な TCP パケットを大量に受信している場合には、対応が必要です。その場合は、パケットの送信元を追跡して、これらのパケットが送信された理由を判別してください。
説明 セキュリティ アプライアンスが、無効な送信元アドレスを持つパケットを廃棄しました。 無効な送信元アドレスとは、次に属するアドレスのことです。
• ブロードキャスト(制限付き、ネット向け、サブネット向け、および全サブネット向け)
スプーフ パケットの検出をさらに強化するには、conduit コマンドを使用して、送信元アドレスが内部ネットワークに属するパケットを廃棄するようにセキュリティ アプライアンスを設定します。 icmp コマンドが実装されているので、 conduit コマンドは否定され、正常に動作する保証がなくなっています。
推奨処置 外部ユーザが保護されたネットワークに危害を加えようとしているかどうかを確認してください。誤って設定されているクライアントがないかどうかを確認してください。
説明 セキュリティ アプライアンスが、IP 宛先と IP 送信元アドレスが等しく、宛先ポートと送信元ポートが等しいパケットを受信しました。これは、システムを攻撃する目的のスプーフ パケットを意味しています。この攻撃は、Land Attack と呼ばれています。
推奨処置 このメッセージが頻発する場合、攻撃が進行している可能性があります。このパケットには、攻撃の発信元を特定する十分な情報はありません。
説明 ローカル ホスト(inside_address)から外部ホスト(outside_address)に宛てられた特定の ICMP タイプの発信 ICMP パケットが、発信 ACL リストによって拒否されました。
説明 セキュリティ アプライアンスが、小さなオフセットまたは重複フラグメントのいずれかが含まれている teardrop 署名を持つ IP パケットを廃棄したことを示しています。これは、セキュリティ アプライアンスまたは侵入防御サービスを回避しようとした悪意あるイベントです。
説明 攻撃が進行中です。誰かが着信接続上で IP アドレスのスプーフィングを試みています。リバース ルート ルックアップとも呼ばれるユニキャスト RPF により、ルートと矛盾する送信元アドレスを持つパケットが検出され、セキュリティ アプライアンス上で攻撃の一部であるとみなされました。
ip verify reverse-path コマンドを使用してユニキャスト RPF をイネーブルにしたとき、このメッセージが表示されます。この機能は、インターフェイスに入力されるパケットに対して作用します。この機能を外部に設定した場合、セキュリティ アプライアンスは外部から着信するパケットをチェックします。
セキュリティ アプライアンスは source_address に基づいてルートを検索します。エントリが見つからずルートが定義されていない場合、このシステム ログ メッセージが表示され、接続は切断されます。
ルートが存在する場合、セキュリティ アプライアンスはそのルートがどのインターフェイスに対応するかをチェックします。パケットが別のインターフェイスに着信した場合、スプーフか、または宛先へのパスが複数ある非対称ルーティング環境が存在しています。セキュリティ アプライアンスは非対称ルーティングをサポートしていません。
セキュリティ アプライアンスを内部インターフェイスに設定している場合、スタティックな route コマンド ステートメントまたは RIP がチェックされます。source_address が見つからない場合、内部ユーザがそれらのアドレスをスプーフィングしています。
推奨処置 攻撃が進行中でも、この機能がイネーブルであれば、対処は不要です。セキュリティ アプライアンスが攻撃を拒絶します。
説明 特定の接続に一致するパケットが、その接続が開始されるインターフェイスとは異なるインターフェイスに着信しました。
たとえば、ユーザが内部インターフェイス上で接続を開始したにもかかわらず、セキュリティ アプライアンスが境界インターフェイス上で同じ接続の到着を検知した場合、セキュリティ アプライアンスには 1 つの宛先に対して複数のパスが存在することになります。この状況を非対称ルーティングといいます。セキュリティ アプライアンスでは非対称ルーティングはサポートされていません。
また、攻撃者がセキュリティ アプライアンスに侵入するための手段として、1 つの接続から別の接続にパケットを追加しようとしている可能性もあります。いずれの場合も、セキュリティ アプライアンスはこのメッセージを表示し、接続を切断します。
推奨処置 このメッセージは、ip verify reverse-path コマンドが設定されていない場合に表示されます。ルーティングが非対称でないことを確認してください。
説明 ACL によって IP パケットが拒否されました。このメッセージは、ACL に対し、 log オプションをイネーブルに設定していない場合にも表示されます。
推奨処置 同じ送信元アドレスについて、このメッセージが続いて表示される場合は、フット プリンティングまたはポート スキャン攻撃が試みられている可能性があります。リモート ホストの管理者に連絡してください。
説明 アクセス リストのコンパイル プロセスでメモリ不足が発生しました。アクセス リストが最後にコンパイルされてから追加されたコンフィギュレーション情報は、すべてシステムから削除され、最後にコンパイルされたアクセス リストのセットが引き続き使用されます。
推奨処置 アクセス リスト、AAA、ICMP、SSH、Telnet、およびその他のルール タイプは、アクセス リスト ルール タイプとして保存およびコンパイルされます。これらのルール タイプの一部を削除して、他のルール タイプを追加できるようにしてください。
説明 複数コンテキスト モードでパケットのセキュリティ コンテキストを判別できません。どちらのメッセージも、ルータまたはトランスペアレント モードでパケットがドロップされた場合に表示される可能性があります。
説明 複数コンテキスト モードでパケットのセキュリティ コンテキストを判別できません。このメッセージは、非 IP パケットがトランスペアレント モードでドロップされた場合のみ、生成されます。
説明 access-list コマンドに log オプションを設定した場合、パケットが ACL ステートメントに一致しました。メッセージのレベルは、 access-list コマンドで設定されているレベルによって決まります(デフォルトでは、レベルは 6 です)。
このメッセージは、最初のヒットまたは一定期間における総ヒット件数のいずれかを表します。このメッセージは、メッセージ 106023(拒否されたパケットだけを記録し、ヒット カウントや設定可能なレベルは含まない)よりも多くの情報を提供します。次に、このメッセージの値を示します。
• permitted | denied | est-allowed ― これらの値は、パケットが ACL によって許可(または拒否)されたことを示します。値が est-allowed である場合、パケットは ACL によって拒否されましたが、確立済みのセッションには許可されています(たとえば、内部ユーザがインターネットのアクセスを許可された場合、通常は ACL によって拒否される応答パケットでも受け入れられます)。
• protocol ― TCP、UDP、ICMP、または IP プロトコル番号
• interface_name ― ロギングされたフローの送信元または宛先のインターフェイス名。VLAN インターフェイスがサポートされています。
• source_address ― ロギングされたフローの送信元 IP アドレス
• dest_address ― ロギングされたフローの宛先 IP アドレス
• source_port ― ロギングされたフローの送信元ポート(TCP または UDP)。ICMP の場合、この変数は 0 です。
• dest_port ― ロギングされたフローの宛先ポート(TCP または UDP)。ICMP の場合、この変数は icmp-type です。
• hit-cnt number ― 設定された期間内で、このフローがこの ACL エントリによって許可または拒否された回数。このフローに関してセキュリティ アプライアンスが初めてこのシステム ログ メッセージを生成する時点では、この値は 1 です。
• first hit ― このフローに関して最初に生成されたメッセージ
• number -second interval ― ヒット カウントを累積する時間。このインターバルは、 access-list コマンドで interval オプションを指定して設定します。
説明 ACL deny ステートメント( access-list id deny コマンド)に log オプションを設定している場合に、トラフィック フローがこの ACL ステートメントに一致すると、セキュリティ アプライアンスはそのフロー情報をキャッシュに保管します。セキュリティ アプライアンス上でキャッシュに保管された一致フロー数が、ユーザの設定による( access-list deny-flow-max コマンド)制限数を超えると、このメッセージが表示されます。
説明 アラート ログ メッセージです。セキュリティ アプライアンスが不正認証の RIP 応答メッセージを受信しました。ルータまたはASDMの設定が誤っているか、またはセキュリティ アプライアンスのルーティング テーブルに対する攻撃が失敗したためにこのメッセージが表示された可能性があります。
推奨処置 このメッセージは攻撃の可能性を示しているので、モニタする必要があります。メッセージに示されている送信元 IP アドレスが未知のアドレスである場合には、信頼できるエンティティ間の RIP 認証キーを変更してください。攻撃者が既存のキーを判別しようとしている可能性があります。
説明 アラート ログ メッセージであり、このメッセージの原因としては、ルータのバグ、非 RFC 値を含むパケット、または不正エントリが考えられます。これは通常の状況ではなく、セキュリティ アプライアンスのルーティング テーブルの悪用が試みられている可能性があります。
推奨処置 このメッセージは攻撃の可能性を示しているので、モニタする必要があります。パケットが認証された場合、有効であれば、パケット内に不正データが含まれています。状況をモニタし、パケットの発信者が疑わしい場合には、キーを変更してください。
説明 fixup protocol smtp コマンドによって生成されるメール ガード(SMTP)メッセージです。セキュリティ アプライアンスが電子メール アドレス内の無効な文字をスペースに置き換えたときに表示されます。
説明 メール ガード(SMTP)によって生成されるメッセージであり、セキュリティ アプライアンスが電子メール アドレス内に悪意あるパターンを検出し、接続を切断したときに表示されます。攻撃が進行中であることを示します。
説明 AAA メッセージであり、セキュリティ アプライアンスに Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)が設定されていて、特定のユーザからの認証要求が検出されたときに表示されます。
説明 AAA メッセージであり、モジュールが特定の認証サーバと通信できなかったため、認証要求に失敗したときに表示されます。
説明 AAA メッセージであり、すべての認証サーバで障害が発生したときに表示されます。このサーバは自動的に再び ACTIVE にマークされ、認証要求を 1 つずつ各サーバに送信しつづけます。
推奨処置 セキュリティ アプライアンスから認証サーバに ping を実行してください。デーモンが実行されているかどうかを確認してください。
説明 AAA メッセージであり、不正パスワードなどの原因により、ユーザが特定のアドレスへのアクセスを許可されなかったときに表示されます。
説明 AAA メッセージであり、サーバ上で待機中の要求が多すぎるため、認証要求を処理できないときに表示されます。
推奨処置 認証サーバによる認証要求への応答が遅すぎないかどうかを確認してください。floodguard enable コマンドを使用して、Flood Defender 機能をイネーブルにしてください。
説明 認証キャッシュのタイムアウトが発生しました。ユーザは次の接続で再認証する必要があります。このタイマーの長さは、timeout uauth コマンドで変更できます。
推奨処置 コンフィギュレーションに aaa authentication および aaa authorization コマンドが両方とも含まれているかどうかを確認してください。
説明 AAA サーバでこのユーザ用に定義されているアクセス コントロール リストが、セキュリティ アプライアンス上に存在しません。セキュリティ アプライアンスを設定する前に AAA サーバを設定すると、このエラーが発生することがあります。AAA サーバ上の Vender-Specific Attribute(VSA)の値は、次のいずれかです。
• ACS:CiscoSecured-Defined-ACL=acl_ID
推奨処置 セキュリティ アプライアンスに ACL を追加し、AAA サーバ上で指定されている名前と同じ名前を使用してください。
説明 ユーザが認証プロキシの制限値を超過しており、プロキシへの接続が多すぎます。
推奨処置 proxy-limit proxy_limit コマンドを使用してプロキシの制限値を大きくするか、使用していない接続を閉じるようにユーザに指示します。このエラーが頻発する場合は、DoS 攻撃の可能性があります。
説明 ダウンロードされた許可アクセス コントロール リストに ACE がありません。この状況の原因としては、アトリビュート ストリング [ip:inacl#] のスペルが間違っているか、または access-list コマンドが脱落していることが考えられます。
説明 ダウンロードされた許可アクセス コントロール リストのアトリビュート ストリング ip:inacl#NNN= で、シーケンス番号 NNN の解析中にエラーが検出されました。理由としては、= が脱落している、数値以外の値が含まれている、[#] と [=] の間にスペース以外の文字がある、NNN が 999999999 より大きいことが考えられます。
例を示します。
説明 ダウンロードされた許可アクセス コントロール リストのいずれかのコンポーネントに、設定の誤りがあります。システム ログ メッセージには、この要素のテキスト全体が含まれます。このメッセージの原因は通常、無効な access-list コマンド ステートメントによります。
説明 HTTPS 認証ごとに、セキュリティ アプライアンスは 1 つのプロセスを使用して認証要求を処理します。同時に実行するプロセス数が、システムでの最大数を超えると、セキュリティ アプライアンスは認証を実行しなくなり、このメッセージが表示されます。
説明 AAA メッセージです。このサービス ポートを使用するには、設定されたポリシーに基づいて認証を受ける必要があります。
推奨処置 Telnet、FTP、または HTTP を使用して認証を実行してから、このサービス ポートの使用を試みてください。
説明 AAA メッセージです。セキュリティ アプライアンスに AAA が設定されていて、ユーザが事前認証なしでセキュリティ アプライアンス経由での TCP 接続を試みたときに表示されます。
説明 アクセス コントロール リストによるチェックに失敗しました。このチェックで deny 条件に一致したか、または一致する条件がありませんでした(暗黙的 deny)。Cisco Secure Access Control Server(ACS)上の AAA 許可ポリシーに従って定義されたユーザ アクセス コントロール リスト acl_ID によって、接続が拒否されました。
説明 AAA サーバからの応答の有効性を確認できませんでした。不正なサーバ キーが設定されている可能性があります。このイベントは、RADIUS または TACACS+ サーバとのトランザクション中に発生することがあります。
説明 AAA サーバからの応答の有効性を確認できませんでした。設定されているサーバ キーが不正であると考えられます。このメッセージは、RADIUS または TACACS+ サーバとのトランザクション中に表示されることがあります。 server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。
説明 設定されている AAA ルールに一致するセキュリティ トラフィックに関して、AAA がバイパスされています。同じセキュリティ レベルに設定された 2 つのインターフェイスをトラフィックが通過し、同じセキュリティ トラフィックが許可され、なおかつ AAA 設定で include または exclude 構文が使用されている場合にのみ、この状況が発生することがあります。
説明 ユーザ認証時に RADIUS サーバからダウンロードしたアクセス リストの解析中に構文エラーが発生しました。
• string ― アクセス リストの正しい解析を妨害する構文エラーについて詳述するエラー メッセージ
推奨処置 このメッセージの情報を使用して、RADIUS サーバ設定内のアクセス リスト定義の構文エラーを特定し、訂正してください。
説明 RADIUS サーバに設定されたダイナミック ACL が、ワイルドカード ネットマスクを自動的に検出するメカニズムによって変換されない場合に、このメッセージが表示されます。ネットマスクがワイルドカードか、それとも通常のネットマスクであるかを、このメカニズムで判別できない場合に、この問題が発生します。
• access_list ― 変換できなかったアクセス リスト
• netmask ― 送信元または宛先アドレスのサブネット マスク(ドット付き 10 進表記)
推奨処置 RADIUS サーバ上のアクセス リストのネットマスクに、ワイルドカードが設定されているかどうかを確認します。ネットマスクがワイルドカードであり、なおかつサーバ上のすべてのアクセス リスト ネットマスクがワイルドカードである場合には、AAA サーバの acl-netmask-convert に wildcard 設定を使用します。そうでない場合には、ネットマスクを通常のネットマスク、またはネットマスクに 2 進数の 1 が連続するときはホールのないワイルドカード ネットマスクに変更します。たとえば、00000000.00000000.00011111.11111111、または 16 進の 0.0.31.255 のような場合です。マスクが通常のマスクであり、そのサーバ上のすべてのアクセス リスト ネットマスクが通常のマスクである場合には、AAA サーバの acl-netmask-convert に normal 設定を使用します。
説明 ゲスト アカウント アクセス用に設定された NT 認証ドメインに対してユーザが認証を試み、ユーザ名が NT サーバ上で有効なユーザ名でない場合に、このメッセージが表示されます。接続は拒否されます。
推奨処置 ユーザが有効なユーザである場合は、NT サーバにアカウントを追加してください。ユーザにアクセスを許可しない場合、処置は不要です。
説明 ネットワーク ユーザの認証中に RADIUS サーバからアクセス コントロール リストを受信したときに表示されます。ログ イベントは、アクセス リストのいずれかの要素に構文エラーがあることを示します。構文エラーが発生した場合、その要素は廃棄されますが、残りのアクセス リストは適用されます。メッセージには、形式が誤っている要素のテキスト全体が含まれます。この状態で認証エラーとなることはありません。
• access_list ― show access-list コマンドの出力に表示される、ダイナミック アクセス リストに割り当てられた名前
• username ― 接続がこのアクセス リストに従うユーザの名前
説明 入力されたパスワードが失効していることを表すメッセージです。ユーザはパスワードの変更を要求され、新しいパスワードを入力します。
説明 非認証タイムアウトのために接続が切断されたことを示します。
説明 トラフィックが多いため、RADIUS および TACACS+ のパケット識別子が不足したとき、クライアントを認証できないことを示します。識別子は、RADIUS および TACACS+ のパケット内の 8 ビットです。そのため、最大 256 個のパケットが同時に存在できます。
• application ― クライアントが接続するアプリケーション(FTP や Telnet など)
• auth_proto ― 使用された認証プロトコル(Radius または TACACS+)
このシステム ログ メッセージは、クライアントの次のメッセージに加えて表示されます。
説明 コンソールの「Unproxy Failed」エラー メッセージを追跡し、エラーの原因に関する詳細情報を提供します。 Func_ID 変数は、このメッセージが生成された機能を示します。
• ユーザが仮想 Telnet で接続しているが、非認証フラグが仮想に設定されていない。
• dupb() コールがエラーになった。つまりブロック障害が重複した。
• uauth_pickapp() コールにおいて、別の uauth モジュールのコールでエラーが発生した。
説明 ルート ルックアップ エラーを示します。パケットが宛先 IP アドレスを探していますが、ルーティング テーブルにその IP アドレスがありません。
説明 <> コマンドを入力し、フロッピー ディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、コンソール端末などのデバイスから設定を読み取るときに表示されます。 IP_address は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。
説明 管理メッセージです。コンソールで write erase コマンドを入力し、フラッシュ メモリの内容が消去されたときに表示されます。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。
推奨処置 コンフィギュレーションを消去した場合には、セキュリティ アプライアンスを再設定し、新しいコンフィギュレーションを保存する必要があります。あるいは、フロッピー ディスクまたはネットワーク上の TFTP サーバに保存されている既存のコンフィギュレーションから情報を復元することもできます。
説明 config floppy/memory/ network コマンドまたは write floppy/memory/network/standby コマンドを入力したときに表示されるメッセージです。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。
推奨処置 メッセージが OK で終わっている場合、対処は不要です。メッセージに障害が示されている場合には、問題の解決を試みてください。たとえば、フロッピー ディスクに保存する場合には、フロッピー ディスクが書き込み保護されていないこと、TFTP サーバに保存する場合には、サーバが稼働していることを確認します。
説明 コンフィギュレーション モードを終了すると表示されるメッセージです。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。
説明 コンフィギュレーションを読み込むために、 reload コマンドまたは configure コマンドを入力したときに表示されるメッセージです。device には、floppy、memory、net、standby、または terminal が表示されます。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。
説明 システム エラーまたはインフラストラクチャ エラーが発生しました。
推奨処置 このエラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントに関する詳細情報とともに、Cisco TAC に提出してください。
説明 モジュールのコンフィギュレーションをクリアする要求が完了したときに表示されるメッセージです。送信元ファイルおよび行番号が表示されます。
説明 システム リソースが使用不能のため、IPSec トンネルに対する AAA 動作が実行できませんでした。 limit 値は、同時に実行できる AAA トランザクションの最大数を表します。
説明 トンネル グループに対応付けられたグループ ポリシーが、ユーザ固有のポリシー policy_name によって上書きされています。 policy_name は、LOCAL 認証を設定するときに username コマンドで設定したポリシー名か、または RADIUS 認証を設定するときに RADIUS CLASS アトリビュートで返されるポリシー名です。
説明 IPSec 接続の AAA 動作が正常に完了したことを示すメッセージです。AAA タイプは、[authentication]、[authorization]、または [accounting] です。 server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続に対応付けられたユーザに関する認証要求または許可要求が拒否されたことを示すメッセージです。要求が拒否された理由は、 reason 変数に表示されます。 server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。 aaa_operation は、authentication(認証)または authorization(許可)です。
説明 ローカルに設定されたユーザがロックアウトされています。このユーザに関する認証が一定の回数にわたって連続的に失敗し、管理者が clear aaa local user lockout コマンドを使用してユーザをアンロックしないかぎり、今後も認証が失敗することを示しています。 user は現在ロックされているユーザです。 number は、 aaa local authentication attempts max-fail コマンドで設定されている連続的な失敗のしきい値です。
推奨処置 clear_aaa_local_user_lockout コマンドを使用してユーザをアンロックするか、または許容される連続的な認証失敗の最大回数を調整してください。
説明 ローカルに設定されたユーザが、 aaa local authentication attempts max-fail コマンドで設定されている連続的な認証失敗の最大回数を超過してロックアウトされたあと、特定の管理者によってアンロックされました。
説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが正常に完了しました。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続の認証または許可の処理中に、このメッセージが表示される場合があります。 tunnel-group コマンドで指定されているグループ ポリシーのアトリビュートが取得されました。
説明 IPSec 接続の認証で、SecurID サーバを使用して認証が実行された場合に、このメッセージが表示されることがあります。ユーザは、認証される前に詳細情報の入力を要求されます。 server _IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続の認証または許可の処理中に、このイベントが発生する場合があります。 tunnel-group コマンドで指定されているグループ ポリシーのアトリビュートが取得されました。
説明 IPSec 接続に対応付けられたユーザが、ローカル ユーザ データベースに正常に認証されました。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが、エラーのため失敗したか、またはポリシー違反のため拒否されました。詳細情報は reason 変数で表示されます。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続に対応付けられた AAA トランザクション中に、デバイスが設定された AAA サーバと通信できませんでした。 aaa-server グループで設定されているバックアップ サーバと、これらのサーバのアベイラビリティに応じて、ユーザの接続の試みが失敗したことを表す場合もあれば、そうでない場合もあります。
説明 IPSec 接続に対応付けられたユーザに関して、ローカル ユーザ データベースへの認証要求が拒否されました。要求が拒否された理由に関する詳細情報は、 reason 変数で表示されます。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが、エラーのため失敗したか、またはポリシー違反のため拒否されました。詳細情報は reason 変数で表示されます。 server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが、エラーのため失敗したか、またはポリシー違反のため拒否されたことを示します。詳細情報は reason 変数で表示されます。このイベントは、外部 AAA サーバではなくローカル ユーザ データベースを使用する AAA トランザクションの場合にのみ表示されます。 user は、接続に対応付けられたユーザ名です。
説明 サポートされない形式の ACL エントリが、認証サーバからダウンロードされました。次に、このメッセージの値を示します。
• ACL_entry ― 認証サーバからダウンロードされた、サポートされない ACL エントリ
• action ― サポートされない ACL エントリを検出したときに実行されたアクション
推奨処置 管理者は、サポートされる ACL エントリのフォーマットに適合するよう、認証サーバ上の ACL エントリを変更する必要があります。
説明 reload コマンドにより、セキュリティ アプライアンスの再起動を開始したホストのアドレスを示すメッセージです。
説明 セキュリティ アプライアンスが初期ブートとフラッシュ メモリの読み込みシーケンスを終了し、正常に動作できる準備が整いました。
(注) このメッセージは、no logging message コマンドを使用してディセーブルにすることはできません。
説明 セキュリティ アプライアンスが、内部ネットワークよりも大きい MTU を使用する外部ネットワークからパケットを受信しました。この場合、セキュリティ アプライアンスは外部ホストに ICMP メッセージを送信し、適切な MTU をネゴシエートします。ログ メッセージには、ICMP メッセージのシーケンス番号が含まれます。
説明 リロード動作が開始されたとき、このメッセージが生成されます。
• when ― 順序に従ったリロード動作が開始された時刻。時刻のフォーマットは、hh:mm:ss timezone weekday month day year です(例:13:23:45 UTC Sun Dec 28 2003)。
• whom ― リロードをスケジュールしたユーザまたはシステム
• reason ― リロードの理由。完全な理由が表示されない場合、 unspecified というストリングが表示されます。
説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。
説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。
説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。
ここでは、メッセージ 201002 ~ 217001 を示します。
説明 接続関連メッセージです。特定のグローバル アドレスへの TCP 接続が最大数を超えたときに表示されます。econns 変数は初期接続の最大数、nconns 変数はスタティックまたは変換(xlate)が許可された接続の最大数です。
推奨処置 show static または show nat コマンドを使用して、スタティック アドレスへの接続の最大数を確認してください。この制限数は変更できます。
説明 セキュリティ アプライアンスへのトラフィックに関する接続関連メッセージです。特定の外部アドレスから、特定のスタティック グローバル アドレス経由で、特定のローカル アドレスに宛てられた初期接続の数が、制限数を超えたことを示しています。セキュリティ アプライアンスへの初期接続が制限数に達すると、セキュリティ アプライアンスはこれらの接続を受け入れようとしますが、接続にタイム リミットを適用します。これにより、セキュリティ アプライアンスの稼働率がかなり高い場合でも、一部の接続を確立することができます。nconns 変数は受信した初期接続数、 elimit 変数は static コマンドまたは nat コマンドで指定されている初期接続の制限数を示します。
推奨処置 このメッセージは、メッセージ 201002 よりも重大な過負荷を示しています。SYN 攻撃を受けた場合、または正常なトラフィック量がきわめて増加した場合に、過負荷が発生します。show static コマンドを使用して、スタティック アドレスへの初期接続の最大数を確認してください。
説明 接続関連メッセージです。特定のグローバル アドレスへの UDP 接続の数が最大数を超えたときに表示されます。udp conn limit 変数は、スタティックまたは変換で許可される UDP 接続の最大数です。
推奨処置 show static または show nat コマンドを使用して、スタティック アドレスへの接続の最大数を確認してください。この最大数は変更できます。
説明 接続関連メッセージです。メモリ不足のため、セキュリティ アプライアンスが rsh コマンドの着信標準出力用の接続を事前に割り当てられないときに表示されます。
推奨処置 rsh クライアントのバージョンを確認してください。セキュリティ アプライアンスがサポートするのは、Berkeley rsh だけです。また、メモリ使用量を減らすか、メモリを増設してください。
説明 接続関連メッセージです。特定のスタティック アドレスへの接続が最大数を超えたときに表示されます。number 変数は、 IP_address 変数で表されるホストに許可される接続の最大数です。
推奨処置 特定のアドレスへの接続に関して設定されている制限をチェックするには、show static コマンドおよび show nat コマンドを使用します。この制限数は変更できます。
説明 接続関連メッセージです。セキュリティ アプライアンスに使用可能なアドレス変換スロットが残っていない場合に、このメッセージが表示されます。
推奨処置 グローバル プールのサイズが、内部ネットワークのクライアント数に適しているか確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。メモリ不足が原因でこのエラー メッセージが表示される場合もあります。メモリ使用量を減らすか、可能であればメモリを増設してください。
説明 set connection conn-max Modular Policy Framework コマンドでトラフィック クラスに対して設定されている接続の制限数を超過したため、TCP または UDP 接続の作成が失敗したときに、このメッセージが表示されます。
• econns ― 設定されているトラフィック クラスに対応する初期接続の現在の数
• limit ― このトラフィック クラスに設定されている初期接続の制限数
• dir :
input ― 接続を開始する最初のパケットは、インターフェイス interface_name の入力パケットです。
output ― 接続を開始する最初のパケットは、インターフェイス interface_name の出力パケットです。
• source_address/source_port ― 接続を開始するパケットの送信元 IP アドレスおよび送信元ポート
• dest_address/dest_port ― 接続を開始するパケットの宛先 IP アドレスおよび宛先ポート
説明 フラッシュ メモリのコンフィギュレーションを消去しようとしたときに、セキュリティ アプライアンスがゼロ以外の値(内部エラー)を受信しました。このメッセージには、発生元のサブルーチンのファイル名と行番号が表示されます。
推奨処置 パフォーマンス上の理由から、エンド ホストが IP フラグメントを挿入しないように設定する必要があります。この設定変更は、おそらく NFS に起因するものです。読み取りおよび書き込みのサイズを、NFS のインターフェイス Maximum Transmisson Unit(MTU; 最大伝送ユニット)に合わせて設定してください。
説明 再構築を待機中の IP フラグメント数が多すぎます。デフォルトでは、フラグメントの最大数は 200 です(最大数を上げる方法については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の fragment size コマンドを参照してください)。セキュリティ アプライアンスでは、同時に再構築できる IP フラグメント数が制限されています。ネットワークに異常が発生した場合に、セキュリティ アプライアンスのメモリ不足を回避するためです。通常、フラグメント化されるトラフィックは、トラフィック総数のうち、わずかな割合でなければなりません。例外は、フラグメント化されるトラフィックの割合が高い、UDP 接続で NFS を使用しているネットワーク環境です。このタイプのトラフィックをセキュリティ アプライアンス経由で転送する場合には、TCP 接続の NFS に変更することを検討してください。フラグメント化を防止する方法については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の sysopt connection tcpmss bytes コマンドを参照してください。
推奨処置 このメッセージが頻発する場合には、DoS 攻撃が進行中である可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。
説明 IP フラグメントの構造が不正です。再構築された IP パケットの合計サイズが、上限の 65535 バイトを超えています。
推奨処置 侵入イベントが進行中である可能性があります。このメッセージが頻発する場合には、リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。
説明 24 を超えるフラグメントに分割されている IP パケットをセキュリティ アプライアンスが拒否しています。詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の fragment コマンドを参照してください。
推奨処置 侵入イベントが進行中である可能性があります。このメッセージが頻発する場合には、リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。
fragment chain xxx interface_name コマンドを使用すると、パケット単位のフラグメント数を変更できます。
説明 ステートフル フェールオーバー エラーが発生しました。
推奨処置 セキュリティ アプライアンスを通過するトラフィックが減少しても、このエラーが頻発する場合には、Cisco TAC に連絡してください。
説明 ステートフル フェールオーバーで、スタンバイ セキュリティ アプライアンスにステートフル情報を送信するためのメモリ ブロックを割り当てられなかったことを示しています。
推奨処置 show interface コマンドを使用してフェールオーバー インターフェイスを調べ、正常に送信できるかどうかを確認してください。また、 show block コマンドを使用して、現在のメモリ ブロックを確認してください。いずれかのメモリ ブロック内で現在の使用可能メモリが 0 の場合には、セキュリティ アプライアンス ソフトウェアを再起動し、メモリ ブロックの損失を回復してください。
説明 ステートフル フェールオーバーで、サポートされていない論理アップデート オブジェクトを受信したため、処理できませんでした。原因としては、メモリの損傷、LAN 伝送、またはその他のイベントが考えられます。
推奨処置 このエラーが稀にしか発生しない場合、処置は不要です。このエラーが頻発する場合は、ステートフル フェールオーバー リンクの LAN 接続を確認してください。フェールオーバー リンクの LAN 接続の障害がエラーの原因でなかった場合は、外部ユーザが保護されたネットワークの脆弱化を試みていないかどうかを確認してください。誤って設定されているクライアントがないかどうかを確認してください。
説明 ステートフル フェールオーバーで、スタンバイ装置に新しい接続を割り当てることができません。セキュリティ アプライアンス上で使用可能な RAM(ランダム アクセス メモリ)が不足しているか、RAM の空き容量がなくなっている可能性があります。
推奨処置 show memory コマンドを使用して使用可能なメモリを調べ、セキュリティ アプライアンスにシステムの空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合には、セキュリティ アプライアンスのメモリを増設してください。
説明 ステートフル フェールオーバーで、スタンバイ装置上の IP アドレスに対応する NAT グループを検索できませんでした。アクティブおよびスタンバイのセキュリティ アプライアンス装置が同期化されていない可能性があります。
推奨処置 アクティブ装置上で write standby コマンドを使用し、スタンバイ装置とシステム メモリを同期化してください。
説明 ステートフル フェールオーバーで、変換(xlate)スロット レコードの割り当てに失敗しました。
推奨処置 show memory コマンドを使用して使用可能なメモリを調べ、セキュリティ アプライアンスにシステムの空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合は、メモリを増設してください。
説明 ステートフル フェールオーバー接続用の変換スロット(xlate)レコードが見つからないため、接続情報を処理できません。
推奨処置 アクティブ装置上で write standby コマンドを入力し、アクティブ装置とスタンバイ装置のシステム メモリを同期化してください。
説明 ステートフル フェールオーバーで、UDP 接続用の新しいレコードを割り当てられませんでした。
推奨処置 show memory コマンドを使用して使用可能なメモリを調べ、セキュリティ アプライアンスにシステムの空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合は、メモリを増設してください。
説明 ステートフル フェールオーバーで、使用中の特定の PAT アドレスを割り当てられませんでした。
推奨処置 アクティブ装置上で write standby コマンドを入力し、アクティブ装置とスタンバイ装置のシステム メモリを同期化してください。
説明 ステートフル フェールオーバーで、変換スロット(xlate)を作成できませんでした。
推奨処置 アクティブ装置上で write standby コマンドを入力し、アクティブ装置とスタンバイ装置のシステム メモリを同期化してください。
説明 ステートフル フェールオーバーでは、スタンバイ装置に送信する各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が、最新の更新レコードの順序と異なる場合、抜けている番号の情報が失われたとみなされ、このエラー メッセージが表示されます。
推奨処置 LAN の割り込みが発生していなければ、両方のセキュリティ アプライアンス装置の使用可能なメモリを調べ、ステートフル情報を処理できる十分なメモリがあるかどうかを確認してください。 show failover コマンドを使用して、ステートフル情報の更新状況をモニタしてください。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。
説明 number で示される秒数にわたり、CPU 使用率が 100% を超えると、このメッセージが表示されます。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。
説明 SNMP メッセージであり、このインターフェイス上にある SNMP 管理ステーションからセキュリティ アプライアンスに宛てられた SNMP 要求を、セキュリティ アプライアンス上で受信できないことを示しています。これは、任意のインターフェイスからセキュリティ アプライアンスを通過する SNMP トラフィックには影響しません。
• エラー コード -1 は、セキュリティ アプライアンスがインターフェイスで SNMP 転送を開けなかったことを示します。これは、SNMP がクエリを受信するポートを、すでに別の機能によって使用されているポートに変更しようとしたときに発生することがあります。この場合、SNMP が使用するポートは、着信 SNMP クエリのデフォルト ポートにリセットされます(UDP/161)。
• エラー コード -2 は、セキュリティ アプライアンスがこのインターフェイスで SNMP 転送をバインドできなかったことを表します。
推奨処置 トラフィックが減少してセキュリティ アプライアンスが一部のリソースを取り戻したとき、そのインターフェイスに関して snmp-server host コマンドを再入力してください。
説明 SNMP メッセージであり、セキュリティ アプライアンスがセキュリティ アプライアンスからの SNMP トラップをこのインターフェイス上にある SNMP 管理ステーションに送信できないことを示しています。これは、任意のインターフェイスからセキュリティ アプライアンスを通過する SNMP トラフィックには影響しません。
• エラー コード -1 は、セキュリティ アプライアンスがこのインターフェイスで SNMP トラップ転送を開けなかったことを表します。
• エラー コード -2 は、セキュリティ アプライアンスがこのインターフェイスで SNMP トラップ転送をバインドできなかったことを表します。
推奨処置 トラフィックが減少してセキュリティ アプライアンスが一部のリソースを取り戻したとき、そのインターフェイスに関して snmp-server host コマンドを再入力してください。
説明 SNMP メッセージであり、特定のインターフェイス上のセキュリティ アプライアンスへの SNMP 要求の受信時に、内部エラーが発生したときに表示されます。
説明 SNMP メッセージであり、セキュリティ アプライアンスから特定インターフェイス上の特定のホストへの SNMP 応答の送信時に、内部エラーが発生したときに表示されます。
説明 SNMP メッセージであり、セキュリティ アプライアンスに宛てられた着信 SNMP 要求の長さが、内部処理中に要求を保存する内部データ バッファのサイズ(512 バイト)を超えたことを示しています。セキュリティ アプライアンスはこの要求を処理できません。この状況は、任意のインターフェイスからセキュリティ アプライアンスを通過する SNMP トラフィックには影響しません。
推奨処置 SNMP 管理ステーションが短い要求を送信するように設定してください。たとえば、1 つの要求で複数の MIB 変数のクエリを送信するのではなく、1 つの要求に 1 つの MIB 変数のクエリだけを送信するようにします。SNMP 管理ソフトウェアの設定変更が必要になることがあります。
説明 SNMP メッセージであり、デバイスが SNMP 要求を、次の理由で処理できなかったときに表示されます。
推奨処置 snmp-server enable コマンドを発行し、SNMP デーモンが動作しているかどうかを確認してください。デバイスが処理するのは、SNMPv1 パケットおよび v2c パケットだけです。
説明 セキュリティ アプライアンスの管理ポートに宛てられた暗号化データ パケットの長さが、特定の上限値を超えています。悪意のある行為の可能性があります。セキュリティ アプライアンスはこの管理接続をただちに終了します。
推奨処置 管理接続が Cisco Secure Policy Manager によって開始されたものであるかどうかを確認してください。
推奨処置 メモリが十分にある場合には、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に送信してください。
ここでは、メッセージ 302003 ~ 326028 を示します。
説明 接続関連メッセージです。 outside_address から inside_address に H.245 接続が開始されたときに、このメッセージが表示されます。このメッセージが発生するのは、セキュリティ アプライアンスが Intel Internet Phone の使用を検出した場合だけです。外部ポート(outside_port)が表示されるのは、セキュリティ アプライアンスの外部からの接続の場合だけです。ローカル ポート値(inside_port)が表示されるのは、内部インターフェイス上で開始された接続の場合だけです。
説明 接続関連のメッセージであり、ローカル アドレス( inside_address) から外部アドレス( outside_address) に H.323 UDP バック接続があらかじめ割り当てられたときに、このメッセージが表示されます。このメッセージが発生するのは、セキュリティ アプライアンスが Intel Internet Phone の使用を検出した場合だけです。外部ポート( outside_port )が表示されるのは、セキュリティ アプライアンスの外部からの接続の場合だけです。ローカル ポート値
(inside_port)が表示されるのは、内部インターフェイス上で開始された接続の場合だけです。
説明 接続関連のメッセージであり、TCP 接続がフェールオーバー後に再確立されたときに表示されます。もう一方のセキュリティ アプライアンスに、同期パケットが送信されます。 outside_address IP アドレスは、外部ホストです。 global_address IP アドレスは、低いセキュリティ レベルのインターフェイスのグローバル アドレスです。 inside_address IP アドレスは、高いセキュリティ レベルのインターフェイス上のセキュリティ アプライアンスの「向こう側」にあるローカル IP アドレスです。
説明 接続関連メッセージです。このメッセージは、TCP 接続が再開されたあとに表示されます。 connections は接続数です。
説明 2 つのホスト間に TCP 接続スロットが作成されました。
• connection_id は、Unique Identifier(UID; 固有識別情報)です。
• interface 、 real-address 、 real-port は、実ソケットを表します。
• mapped-address および mapped-port は、マッピングされたソケットを表します。
inbound が表示される場合、最初の制御接続は外部から開始されています。たとえば、FTP では、最初の制御チャネルが inbound であれば、データ転送チャネルはすべて inbound です。outbound が表示される場合、最初の制御接続は内部から開始されています。
説明 2 つのホスト間の TCP 接続スロットが削除されました。次に、このメッセージの値を示します。
• interface、real-address、real-port は、実ソケットを表します。
• bytes bytes は、その接続で転送されたデータ量です。
reason 変数は、接続を終了させた動作を表します。 reason 変数は、 表1-2 に示されている TCP 終了理由のいずれかに設定されます。
|
|
---|---|
FTP データ制御チャネルがタイムアウトしたため、FWSM は接続しているすべてのデータ チャネルを削除する必要があります。 |
|
リソース制限に達したため、接続を閉じる必要があります。リソース制限は、ファイアウォールによるコンテキストごとに 100 を超えない接続というようにユーザが定義します。 |
|
説明 2 つのホスト間の UDP 接続スロットが作成されました。次に、このメッセージの値を示します。
• interface、real_address、real_port ― 実ソケット
• mapped_address および mapped_port ― マッピングされたソケット
inbound が指定されている場合、最初の制御接続は外部から開始されています。たとえば、UDP では、最初の制御チャネルが inbound であれば、データ転送チャネルはすべて inbound です。outbound が表示される場合、最初の制御接続は内部から開始されています。
説明 2 つのホスト間の UDP 接続スロットが削除されました。次に、このメッセージの値を示します。
• interface、real_address、real_port は、実ソケットです。
説明 2 つのホスト間の GRE 接続スロットが作成されました。 id は、UID です。 interface、real_address、real_cid は、2 つのシンプレックス PPTP GRE ストリームのいずれかを表します。カッコで囲まれた translated_address 、 translated_cid は、NAT で変換後の値です。
If inbound が表示される場合、この接続は着信にしか使用できません。 outbound が表示される場合、この接続は発信にしか使用できません。次に、このメッセージの値を示します。
• inbound ― 制御接続は着信 PPTP GRE フロー用
• outbound ― 制御接続は発信 PPTP GRE フロー用
• real_address ― 実ホストの IP アドレス
説明 2 つのホスト間の GRE 接続スロットが削除されました。 interface、real_address、real_port は、実ソケットを表します。 duration は、接続の持続時間です。次に、このメッセージの値を示します。
• real_address ― 実ホストの IP アドレス
説明 セキュリティ アプライアンスが H.323 メッセージのデコードに使用する特定の ASN ライブラリが初期化に失敗しました。セキュリティ アプライアンスは、着信する H.323 パケットをデコードまたは検査できません。セキュリティ アプライアンスは、H.323 パケットを変更なしで通過させます。次に H.323 メッセージが着信すると、セキュリティ アプライアンスは再びライブラリの初期化を試みます。
推奨処置 特定のライブラリに関してこのメッセージが常に表示される場合は、Cisco TAC に連絡し、すべてのログ メッセージ(なるべくタイムスタンプ付きで)を提出してください。
説明 fixup protocol icmp コマンドを使用してステートフル ICMP をイネーブルにしたとき、ICMP セッションが fast-path で確立されました。
説明 fixup protocol icmp コマンドを使用してステートフル ICMP をイネーブルにしたとき、ICMP セッションが fast-path で削除されました。
説明 接続関連のメッセージであり、外部アドレスからローカル アドレスに GUP 接続が開始されたときに表示されます。外部(outside)ポートが表示されるのは、FWSM の外部からの接続の場合だけです。ローカル(inside)ポート値が表示されるのは、内部インターフェイス上で開始された接続の場合だけです。
説明 モジュールが接続の開始中に RAM システム メモリの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。
推奨処置 このメッセージが定期的に発生する場合は、無視してください。このメッセージが頻繁に繰り返される場合には、TAC に連絡してください。グローバル プールのサイズが、内部ネットワークのクライアント数に適しているかどうかを確認してください。または、変換および接続のタイムアウト インターバルを短縮してください。このメッセージは、メモリ不足の場合にも表示されることがあります。メモリ使用量を減らすか、メモリを増設してください。
説明 IPSec プロキシが一致しません。ネゴシエートした SA のプロキシ ホストが、access-list コマンドの deny ポリシーの対象です。
推奨処置 コンフィギュレーションの access-list コマンド ステートメントを確認してください。ピアの管理者に連絡してください。
説明 FTP/URL メッセージです。特定のホストが、特定の FTP サイトからデータの保存または検索を試みたときに表示されます。
説明 FTP トラフィックに対してストリクト インスペクションを使用するときに、このメッセージが表示されます。 ftp-map コマンドによるストリクト FTP インスペクション ポリシーによって FTP 要求コマンドが拒否された場合に表示されます。
説明 FTP トラフィックに対してストリクト FTP インスペクションを使用するときに、このメッセージが表示されます。FTP 要求メッセージに、デバイスが認識できないコマンドが含まれている場合に表示されます。
説明 FTP/URL メッセージです。送信元アドレスから特定の URL または FTP サイトへのアクセスが拒否されたときに表示されます。
説明 FTP/URL メッセージです。Websense サーバにアクセスできません。これが唯一のサーバである場合、セキュリティ アプライアンスは同じサーバへのアクセスを試みようとしています。複数のサーバがある場合、別のサーバにアクセスをしようとしています。
説明 FTP/URL メッセージです。filter コマンドの allow オプションを使用したとき、Websense サーバから応答がないときに表示されます。セキュリティ アプライアンスは、サーバから応答があるまで、すべての Web 要求をフィルタリングせずに続行させます。
説明 FTP/URL メッセージです。filter コマンドの allow オプションを使用したとき、セキュリティ アプライアンスが、それまで応答のなかった Websense サーバから応答メッセージを受信したときに表示されます。この応答メッセージを受信すると、セキュリティ アプライアンスは許可モードを終了し、URL フィルタリング機能を再びイネーブルにします。
説明 URL 待機バッファ ブロックのスペースが不足しています。
推奨処置 url-block block block_size コマンドを使用して、バッファ ブロック サイズを変更してください。
説明 パケットが発信 nat コマンドのルールと一致しません。
推奨処置 このメッセージはコンフィギュレーション エラーを示しています。送信元ホストにダイナミック NAT を使用する場合は、 nat コマンドが送信元 IP アドレスと一致しているかどうかを確認してください。送信元ホストにスタティック NAT を使用する場合は、 static コマンドのローカル IP アドレスが一致しているかどうかを確認してください。送信元ホストに NAT を使用しない場合は、NAT 0 ACL にバインドされた ACL を確認してください。
説明 プロトコル(UDP、TCP、または ICMP)がセキュリティ アプライアンス経由で変換を作成できませんでした。このメッセージは、セキュリティ アプライアンスにネットワーク アドレスまたはブロードキャスト アドレス宛てのパケットを許可しないように要求した注意事項 CSCdr00663 への対策として表示されます。セキュリティ アプライアンスは、static コマンド ステートメントで明示的に指定されたアドレスに対して、このチェックを行います。この変更があると、着信トラフィックについて、セキュリティ アプライアンスは宛先 IP アドレスがネットワーク アドレスまたはブロードキャスト アドレスの場合、変換を拒否します。
セキュリティ アプライアンスは、すべての ICMP メッセージ タイプに PAT を適用するわけではなく、PAT ICMP エコーおよびエコー/応答パケット(タイプ 8 および 0)のみ適用します。具体的にいうと、ICMP エコーまたはエコー/応答パケットだけが PAT xlate を作成します。したがって、その他の ICMP メッセージ タイプが廃棄されると、このメッセージが生成されます。
セキュリティ アプライアンスは、static コマンド ステートメントに設定されたグローバル IP およびマスクを使用して、標準 IP アドレスとネットワーク IP アドレスまたはブロードキャスト IP アドレスを区別します。グローバル IP アドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、セキュリティ アプライアンスは着信パケットについて、ネットワーク IP アドレスまたはブロードキャスト IP アドレス用の変換(xlate)を作成しません。
static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128
グローバル アドレス 10.2.2.128 がネットワーク アドレスとして、10.2.2.255 がブロードキャスト アドレスとして応答されます。既存の変換がない場合、セキュリティ アプライアンスは 10.2.2.128 または 10.2.2.255 宛の着信パケットを拒否し、このシステム ログ メッセージを生成します。
疑わしい IP がホスト IP である場合、サブネットの static の前に、ホスト マスクを指定した static コマンドを個別に設定します(static コマンド ステートメントに関する最初の一致のルール)。次の static コマンド文を使用すると、セキュリティ アプライアンスは 10.2.2.128 に対しホスト アドレスとして応答します。
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128
疑わしい IP アドレスを持つ内部ホストから開始されたトラフィックによって、変換が作成される場合があります。セキュリティ アプライアンスは、ネットワーク IP アドレスまたはブロードキャスト IP アドレスを、サブネットの static 設定が重複したホスト IP アドレスとみなすので、ネットワーク アドレス変換は、両方の static コマンドで同じでなければなりません。
説明 セキュリティ アプライアンスが、どのグローバル プールにも存在しないアドレスの変換を試みました。セキュリティ アプライアンスはこのアドレスが削除されているものとみなし、要求を廃棄します。
説明 セキュリティ アプライアンス カーネルが、未割り当てのグローバル IP アドレスを解放してアドレス プールに返そうとするという、矛盾した状態が発生したことを検知しました。セキュリティ アプライアンスのステートフル フェールオーバーのセットアップ中に、アクティブ装置とスタンバイ装置間で一部の内部ステートが瞬間的に同期外れになった場合、この状態が発生することがあります。重大な状態ではないので、同期は自動的に回復します。
説明 アドレス変換スロットが作成されました。このスロットは、送信元アドレスをローカル側からグローバル側に変換します。逆方向では、このスロットは宛先アドレスをグローバル側からローカル側に変換します。
説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。このスロットは、送信元ソケットをローカル側からグローバル側に変換します。逆方向では、このスロットは宛先ソケットをグローバル側からローカル側に変換します。
説明 セキュリティ アプライアンス管理メッセージです。イネーブル モードを開始するパスワードが、特定の回数だけ誤って入力されたときに表示されます。入力できるのは、3 回までです。
説明 1 つまたは複数の static コマンド ステートメントで IP アドレスが重複しています。 global_address はセキュリティ レベルの低いインターフェイス上のグローバル アドレス、 inside_address はセキュリティ レベルの高いインターフェイス上のローカル アドレスです。
推奨処置 show static コマンドを使用して、コンフィギュレーションの static コマンド ステートメントを表示し、重複するコマンドを修正してください。最も一般的な重複は、10.1.1.0 などのネットワーク アドレスを指定し、別の static コマンドで 10.1.1.5 など、その範囲内のホストを指定したときに発生します。
説明 スタンバイ セキュリティ アプライアンスが初めてオンラインになったときに、スタンバイ セキュリティ アプライアンスにステートフル フェールオーバー アップデート情報が送信されました。
説明 スタンバイ セキュリティ アプライアンスへのステートフル フェールオーバー アップデート情報の送信が停止しました。
説明 セキュリティ アプライアンスが、応答以外のオペレーション コードを持つ RIP メッセージを受信しました。メッセージのバージョン番号がこのインターフェイスの予期した番号と異なり、ルーティング ドメイン エントリがゼロ以外です。
推奨処置 これは情報メッセージですが、他の RIP デバイスがセキュリティ アプライアンスと通信するために正しく設定されていない可能性も示しています。
説明 アクセス リストに icmp コマンドを使用したとき、最初に一致したエントリが許可エントリである場合、ICMP パケットは継続的に処理されます。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しない場合、セキュリティ アプライアンスは ICMP パケットを廃棄して、このシステム ログ メッセージを生成します。 icmp コマンドにより、インターフェイスへの ping がイネーブルまたはディセーブルになります。ping がディセーブルの場合、ネットワーク上でセキュリティ アプライアンスを検知できません。この機能は、Configurable Proxy Pinging とも呼ばれます。
説明 ICMP エラー メッセージの宛先が、その ICMP エラー メッセージの原因となった IP パケットの送信元と異なっています。
推奨処置 このメッセージが頻発する場合は、アクティブ なネットワーク プローブ、ICMP エラー メッセージを隠密的なチャネルとして使用する試み、または IP ホストの誤動作の可能性があります。ICMP エラー メッセージが発生したホストの管理者に連絡してください。
説明 ステートフル ICMP 機能によって追加されたセキュリティ チェックの結果、ICMP パケットがセキュリティ アプライアンスによってドロップされました。通常、これに該当するのは、セキュリティ アプライアンスを通過した有効なエコー要求が存在しない ICMP エコー応答や、セキュリティ アプライアンス上で確立された TCP、UDP、または ICMP セッションに関係しない ICMP エラー メッセージです。
説明 セキュリティ アプライアンスが、SSH セッションの確立に必要なセキュリティ アプライアンスの RSA ホスト キーを見つけられませんでした。セキュリティ アプライアンスのホスト キーが生成されていないか、またはセキュリティ アプライアンスのライセンスで DES または 3DES が許可されていないため、ホスト キーが存在しない可能性があります。
推奨処置 コンソールから show ca mypubkey rsa コマンドを入力し、セキュリティ アプライアンスの RSA ホスト キーが存在するかどうかを確認してください。存在しない場合には、show version コマンドを入力して、セキュリティ アプライアンスのライセンスで DES または 3DES が許可されているかどうかを確認してください。
説明 このメッセージは、SSH セッションの完了後に表示されます。ユーザが quit または exit を入力した場合は、 terminated normally (正常終了)のメッセージが表示されます。ほかの理由でセッションが切断された場合には、その理由が表示されます。 表1-3 に、考えられるセッションの切断理由を示します。
説明 プラットフォーム VPN ピアの制限数以上の VPN トンネル(ISAKMP/IPSec)の確立が同時に試みられた場合、余剰のトンネルが打ち切られます。
推奨処置 ほかのシステム動作を減らして、メモリを解放してください。必要に応じて、メモリ構成をアップグレードしてください。
説明 ルータが Area Border Router(ABR; エリア境界ルータ)としてフラグ付けされましたが、ルータにバックボーン エリアが設定されていません。このメッセージは 5 秒間隔で表示されます。
説明 OSPF の Link State Advertisement(LSA; リンク ステート アドバタイズ)検索に問題があり、メモリ リークが発生した可能性があります。
説明 OSPF プロセスがリセットされ、新しいルータ ID を選択しています。これにより、すべての仮想リンクがダウンします。
推奨処置 新しいルータ ID が反映されるように、すべての仮想リンク ネイバ上で仮想リンク コンフィギュレーションを変更してください。
説明 システムの過負荷により、セキュリティ アプライアンスの ARP プロセスの内部同期が失われました。
推奨処置 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。
説明 システムの過負荷により、セキュリティ アプライアンスのルーティング モジュールの内部同期が失われました。
推奨処置 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。
説明 ARP エントリを更新するとき、内部 ARP テーブルを更新するためのメッセージが Network Processor(NP)に送信されます。このとき、FWSM のメモリ利用率が高かったり、内部テーブルが満杯であると、NP へのメッセージが拒否され、このメッセージが生成されることがあります。
推奨処置 ARP テーブルが満杯になっていないかどうかを確認してください。満杯でなければ、FWSM の負荷(CPU 利用率および 1 秒あたりの接続数)を調べてください。CPU 利用率が高い場合、または 1 秒あたりの接続数が多い場合には、通常の負荷に戻った時点で正常な動作が再開されます。
説明 システムの過負荷により、FWSM のルーティング モジュールの内部同期が失われました。
推奨処置 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。
説明 セキュリティ アプライアンスが簡単な FWSM リモート デバイスまたはサーバである場合、ピアの証明書に、 ca verifycertdn コマンドと一致しない件名が含まれています。
推奨処置 このメッセージは、デバイスがピアの IP アドレスをスプーフィングし、セキュリティ アプライアンスからの VPN 接続を代行受信しようとする「Man in the Middle」攻撃を表す場合があります。
説明 セキュリティ アプライアンスが指定のインターフェイス上で不正な MAC アドレスからパケットを受信しましたが、パケットの送信元 MAC アドレスは、コンフィギュレーションにある別のインターフェイスに静的にバインドされています。原因としては、MAC スプーフィング攻撃またはコンフィギュレーションの誤りの可能性があります。
推奨処置 コンフィギュレーションを確認して適切に対処してください。不正なホストを検出するか、またはコンフィギュレーションを訂正します。
説明 ARP 検査モジュールがイネーブルの場合、パケットでアドバタイズされた新しい ARP エントリが、静的な設定または動的な学習による IP-MAC アドレス バインディングに適合しているかどうかをチェックした上で、セキュリティ アプライアンスから ARP パケットが転送されます。このチェックに失敗すると、ARP 検査モジュールは ARP パケットをドロップし、このメッセージを生成します。この状況の原因としては、ネットワーク上の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)の可能性があります。
推奨処置 攻撃が原因である場合は、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションである場合は、バインディングを訂正してください。
説明 ARP 検査モジュールがイネーブルの場合、パケットでアドバタイズされた新しい ARP エントリが、静的な設定による IP-MAC アドレス バインディングに適合しているかどうかをチェックした上で、セキュリティ アプライアンスから ARP パケットが転送されます。このチェックに失敗すると、ARP 検査モジュールは ARP パケットをドロップし、このメッセージを生成します。この状況の原因としては、ネットワーク上の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)の可能性があります。
推奨処置 攻撃が原因である場合は、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションである場合は、バインディングを訂正してください。
説明 トランスペアレント モードで設定された管理 IP アドレスがないため、セキュリティ アプライアンスがパケットを廃棄しました。
• source_address ― パケットの送信元 IP アドレス
説明 指定のスロット番号のモジュールがソフトウェア バージョンの受け入れに失敗し、UNRESPONSIVE ステートに移行します。ソフトウェアを更新するまで、このモジュールは使用できません。
• newver ― モジュールに正常に書き込めなかったソフトウェアの新しいバージョン番号(例:1.0(1)0)
• ver ― モジュールの現在のソフトウェア バージョン番号(例:1.0(1)0)
• reason ― 新しいバージョンがモジュールに書き込めなかった理由。表示される可能性のある reason の値は次のとおりです。
― failed to create a thread to write the image.
推奨処置 hw-module module slotnum reset コマンドを使用してモジュールをリセットしてから、さらにアップグレードを試みてください。モジュールがシャーシに完全に装着されているかどうかを確認してください。モジュール ソフトウェアの更新を何回か試みても失敗する場合は、Cisco TAC に連絡してください。
説明 モジュールの電源が完全にオンにならないことを示すメッセージです。この状況が是正されるまで、モジュールは UNRESPONSIVE ステートのままになります。原因としては、モジュールがスロットに完全に装着されていない場合が考えられます。
推奨処置 モジュールがスロットに完全に装着されているかどうか、モジュールのいずれかのステータス LED が点灯しているかどうかを確認します。モジュールを完全に装着し直したあと、そのモジュールが電源投入されたことをシステムが認識するまで、1 分ほどかかる場合があります。モジュールが確かに装着されていて、 hw-module module slotnum reset コマンドを使用してモジュールをリセットしても、このメッセージが表示される場合には、Cisco TAC に連絡してください。
説明 パケットの処理中にエラーが発生しました。考えられる理由は次のとおりです。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。このメッセージが頻発する場合は、エンドポイントが攻撃の一環として不正なパケットを送信している可能性があります。
説明 このメッセージの前にメッセージ 321100(メモリ割り当てエラー)が表示されている場合、このメッセージは、リソース不足のため PDP コンテキストを作成できなかったことを表します。このメッセージの前にメッセージ 321100 が表示されなかった場合、バージョン 0 の場合は、対応する PDP コンテキストが見つからなかったことを表します。バージョン 1 の場合は、このメッセージの前にメッセージ 324001 が表示されている場合、パケット処理エラーが発生し、処理が停止したことを表します。
説明 受信した応答には、要求キュー内に対応する要求がなかったので、この応答を処理すべきではありません。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。ただし、このメッセージが頻発する場合は、エンドポイントが攻撃の一環として不正なパケットを送信している可能性があります。
説明 処理中のパケットのバージョンは、現在サポートされているバージョン(0 または 1)以外です。出力されるバージョン番号が不正で、頻繁に見られる場合には、エンドポイントが攻撃の一環として不正なパケットを送信している可能性があります。
説明 TPDU に対応するトンネルの作成を試みているときに、エラーが発生しました。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。このエラーが頻発する場合は、必要なデバッグ メッセージを収集し、Cisco TAC に連絡してください。
説明 要求を送信している GSN が、作成できるトンネルの最大数を超過したので、トンネルは作成されません。
推奨処置 トンネルの制限数を上げることを検討するか、またはネットワーク上で可能な攻撃が発生したかどうかを確認してください。
説明 TPDU に対応して異なる SGSN または GGSN のトンネルの作成を試みているときに、エラーが発生しました。
推奨処置 デバッグ メッセージを調べて、接続が正常に作成されなかった理由を確認してください。問題を解決できない場合には、必要な情報を収集して Cisco TAC に連絡してください。
説明 リンク上の他のルータが、矛盾したパラメータのあるルータ アドバタイズを送信しました。 ipv6_address は、他のルータの IPv6 アドレスです。 interface は、他のルータとのリンクのインターフェイス名です。
推奨処置 リンク上のすべての IPv6 ルータが、ルータ アドバタイズで hop_limit 、
managed_config_flag 、 other_config_flag 、 reachable_time 、および ns_interval に同じパラメータを使用しており、なおかつ、いくつかのルータがアドバタイズしている同じプレフィクスについて、優先される有効なライフタイムが同じであるかどうかを確認してください。インターフェイスに関するパラメータを一覧表示するには、 show ipv6 interface コマンドを入力します。
説明 別のシステムが同じ IPv6 アドレスを使用しています。 ipv6_address は、もう一方のルータの IPv6 アドレスです。 MAC_address は、もう一方のシステムの MAC アドレス(既知の場合)であり、不明の場合には [unknown] と表示されます。 interface は、もう一方のシステムのリンクのインターフェイス名です。
説明 コンテキストまたは適切なタイプのないマネージド タイマー イベントを受信したか、またはハンドラが存在しません。キューに格納されるイベント数がシステムの制限数を超過し、あとで処理されることになった場合にも、このメッセージが表示されます。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 IGMP プロセスを要求に応じてシャットダウンできませんでした。このシャットダウンの準備として実行されたイベントが、同期外れになっている可能性があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 IGMP パケット キューがパケットのないシグナルを受信しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 データ駆動イベントをトリガーするパケットを受信し、MRIB に通知する試みが失敗しました。
推奨処置 システムの起動後にこのメッセージが続く場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MFIB が MRIB からエントリ アップデートを受信しましたが、表示されるアドレスに関連するエントリを作成できませんでした。これによってメモリ不足が引き起こされる場合があります。
推奨処置 メモリが十分にある場合には、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MFIB が MRIB からインターフェイス アップデートを受信しましたが、表示されるアドレスに関連するインターフェイスを作成できませんでした。結果的にメモリ不足が発生する場合があります。
推奨処置 メモリが十分にある場合には、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MFIB が MRIB への接続を開始できませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MFIB が MRIB からアンバインドできませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MFIB が削除されているはずのテーブルを検索できませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 機能が初期化できませんでした。このコンポーネントは、この機能なしで引き続き動作する場合があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM トンネルが送信元アドレスなしで使用できません。この状況の原因は、番号付きのインターフェイスが見つからないこと、または何らかの内部エラーです。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM トンネル インターフェイスの作成中にエラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM RP トンネル インターフェイスの作成中にエラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM インターフェイス リストの処理中にエラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM トンネル インターフェイスの SRC の設定中にエラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM プロセスを要求に応じてシャットダウンできませんでした。このシャットダウンの準備として実行されたイベントが、同期外れになっている可能性があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM パケット キューがパケットのないシグナルを受信しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 メッセージの送信を試みているときに内部エラーが発生しました。メッセージの受信時にスケジュールされていたイベント(PIM トンネル IDB の削除など)は、実行されない可能性があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MRIB API で処理されない非同期エラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
ここでは、メッセージ 400000 ~ 420003 を示します。
説明 受信した IPSec パケットが、Security Association Database(SADB)に存在しない Security Parameters Index(SPI)を指定しています。次のうちいずれかの理由により、一時的にこのような状態になっている可能性があります。
• IPSec ピア間の SA のエージングにおけるわずかな違い
推奨処置 ローカル SA が消去されたことについて、ピアが認識しないことがあります。ローカル ルータから新しい接続を確立すると、両ピアの接続が正常に再確立する場合があります。この問題が持続する場合には、新しい接続の確立を試みるか、ピアの管理者に連絡してください。
説明 受信した IPSec パケットに、予期した Authentication Header(AH; 認証ヘッダー)または Encapsulating Security Payload(ESP)ヘッダーがありません。ピアが、ネゴシエートしたセキュリティ ポリシーに一致しないパケットを送信しており、これは攻撃を示すことがあります。
説明 カプセル化されていない IPSec パケットが、ネゴシエートした ID と一致しません。セキュリティ アソシエーションの選択が誤っているので、ピアはこのセキュリティ アソシエーションを通じて別のトラフィックを送信しています。悪意のある行為の可能性があります。
説明 受信したパケットがクリプトマップ ACL に一致していますが、そのパケットは IPSec でカプセル化されていません。IPSec ピアがカプセル化されていないパケットを送信しています。このエラーは、ピア上のポリシー設定エラーによって発生します。たとえば、セキュリティ アプライアンスは外部インターフェイス ポート 23 に対しては、暗号化された Telnet トラフィックだけを受け入れます。ポート 23 で外部インターフェイスに IPSec 暗号化なしで Telnet 接続を試みると、このメッセージが表示されます。このエラーは悪意あるイベントを表している場合もあります。ここに記述する状況以外では、このシステム ログ メッセージは生成されません(たとえば、セキュリティ アプライアンス インターフェイス自身へのトラフィックの場合は、このメッセージは生成されません)。TCP 要求および UDP 要求を追跡するには、メッセージ 701001、701002、710003 を参照してください。
説明 ISAKMP が、ip local pool コマンドで指定したプールからの VPN クライアント用の IP アドレスの割り当てに失敗しました。
説明 500 を超える初期セキュリティ アソシエーション(SA)が存在し、DoS 攻撃の可能性があります。
推奨処置 show crypto isakmp ca コマンドを使用して、攻撃の発信元を調べてください。送信元が判明したら、不当な IP アドレスまたはネットワークからのアクセスを拒否してください。
説明 セキュリティ アプライアンスが受信した ARP パケットの MAC アドレスが、ARP キャッシュ エントリと異なっています。
推奨処置 正当なトラフィックの場合もありますが、ARP ポイズニング攻撃が進行中の可能性もあります。送信元 MAC アドレスを調べ、パケットの発信元を判別し、それが有効なホストに属するものであるかどうかを確認してください。
説明 モジュールが接続の開始中に RAM システム メモリの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。グローバル プールのサイズが、内部ネットワークのクライアント数に適しているかどうかを確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。このメッセージは、メモリ不足の場合にも表示されます。メモリ使用量を減らすか、メモリを増設してください。
説明 このパケットに、次のいずれかの条件があると考えられます。
• セキュリティ アプライアンスが、いずれかの非認証エントリから、IP アドレスが同じでも MAC アドレスが異なるパケットを受信しました。
• セキュリティ アプライアンス上で vpnclient mac-exempt コマンドを設定しており、セキュリティ アプライアンスが対応する非認証エントリから、MAC アドレスは免除されていても IP アドレスが異なるパケットを受信しました。
推奨処置 正当なトラフィックの可能性もありますが、スプーフィング攻撃が進行している可能性もあります。送信元 MAC アドレスおよび IP アドレスを調べ、パケットの発信元を判別し、それが有効なホストに属するものであるかどうかを確認してください。
説明 セキュリティ アプライアンスが接続の開始中に RAM システム メモリの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。
推奨処置 グローバル プールのサイズが、内部ネットワークのクライアント数に適しているか確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。メモリ不足が原因の可能性もあります。メモリ使用量を減らすか、メモリを増設してください。このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。
説明 セキュリティ アプライアンスが接続の開始中に RAM システム メモリの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。
推奨処置 グローバル プールのサイズが、内部ネットワークのクライアント数に適しているか確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。メモリ不足が原因の可能性もあります。メモリ使用量を減らすか、メモリを増設してください。このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。
説明 セキュリティ アプライアンスはプロトコル識別子 0x08 を予期したにも関わらず、受信したのは 0x08 以外でした。エンドポイントが不正なパケットを送信しているか、または最初のセグメント以外のメッセージ セグメントを受信した場合に発生します。
説明 受信した H.225 メッセージの順序が不正であるときに、このメッセージが表示されます。初期 SETUP メッセージを受信する前に H.225 メッセージを受信しましたが、これは許容されない状況です。セキュリティ アプライアンスはその他の H.225 メッセージを受け入れる前に、H.225 コール シグナリング チャネルの初期 SETUP メッセージを受信する必要があります。
説明 ゲートキーパが Admission Confirm(ACF)を送信しましたが、セキュリティ アプライアンスはゲートキーパに Admission Request(ARQ)を送信しませんでした。
推奨処置 表示される source_address のゲートキーパをチェックして、ゲートキーパが ACF を送信したにも関わらずセキュリティ アプライアンスから ARQ を受信しなかった理由を判別してください。
説明 ILS パケット ペイロードに埋め込まれたアドレスが、IP パケット ヘッダーの送信元 IP アドレスと一致しません。
推奨処置 特定の source_IP_address で表されるホストをチェックして、不正な埋め込み IP アドレスのある ILS パケットを送信した理由を判別してください。
説明 クライアントが FTP port コマンドを入力し、1024 未満のポート(通常、サーバ ポート専用の well known ポート範囲)を指定しました。このメッセージは、サイトのセキュリティ ポリシーの回避が試みられていることを示しています。セキュリティ アプライアンスはこのパケットを廃棄し、接続を終了して、このイベントを記録します。
説明 クライアントが FTP port コマンドを発行し、接続に使用しているアドレス以外のアドレスを指定しました。このエラー メッセージは、サイトのセキュリティ ポリシーの回避が試みられていることを示しています。たとえば、攻撃者がパケットを途中で変更し、正しい送信元情報の代わりに別の送信元情報を入力することで、FTP セッションの乗っ取りを試みている可能性があります。セキュリティ アプライアンスはこのパケットを廃棄し、接続を終了して、このイベントを記録します。カッコ内のアドレスは、port コマンドのアドレスです。
説明 ホストの制限値を超過しました。次の条件が真である場合に、内部ホストは制限値までカウントされます。
• 内部ホストは直前の 5 分以内に、セキュリティ アプライアンス経由でトラフィックを転送している。
• 内部ホストは現在、セキュリティ アプライアンスでの変換接続またはユーザ認証を予約している。
推奨処置 ホストの制限値は、ローエンド プラットフォームに対して実施されます。ホストの制限値を表示するには、 show version コマンドを使用します。現在のアクティブなホストおよびセキュリティ アプライアンスでセッションを実行している内部ユーザを表示するには、 show local-host コマンドを使用します。1 人または複数のユーザを強制的に接続解除するには、 clear local-host コマンドを使用します。内部ユーザを迅速に期限切れにして制限値から取り除くには、xlate、connection、および uauth タイムアウトを 表1-4 に示す推奨値またはそれより小さい値に設定します
|
|
---|---|
説明 セキュリティ アプライアンス経由での接続に関するメッセージです。特定の外部アドレスから特定のグローバル アドレスを経由して特定のローカル アドレスに到達する接続数が、その状態に関する最大の初期接続数の制限値を超過した場合に、このメッセージが表示されます。セキュリティ アプライアンスは、接続用のメモリが割り当て可能であれば、その接続の受け入れを試み、ローカル ホストの代わりに外部ホストに SYN_ACK パケットを送信します。セキュリティ アプライアンスは適切なステート情報を保持し、パケットを廃棄し、クライアントの確認応答を待機します。
推奨処置 正当なトラフィックの場合もありますが、DoS 攻撃が進行している可能性もあります。送信元アドレスを調べ、パケットの発信元を判別し、それが有効なホストかどうかを確認してください。
説明 セキュリティ アプライアンスは、ホールの最大数に達しているにも関わらず、RPC サーバのペアまたは設定済みのサービス用に新しいホールを開こうとしました。
推奨処置 ほかのホールが(該当するタイムアウトによって)閉じられるまで待つか、またはサーバのアクティブ ペアまたはサービスの数を制限してください。
説明 IP ルート カウンタを負の値まで減らそうとして失敗しました。
推奨処置 clear ip route * コマンドを入力して、ルート カウンタをリセットしてください。メッセージが継続的に表示される場合には、メッセージを正確にコピーして、TAC に報告してください。
説明 既存のルートと同じディスタンスで、より良好なメトリックを持つ別のインターフェイスから、ネットワーク アップデートを受信しました。新しいルートは、別のインターフェイス経由でインストールされた既存のルートを上書きします。この新しいルートは冗長性の確保だけを目的とし、ネットワーク上でのパス変更を意味します。この変更は、ネットワーク トポロジーと再配布を通じて制御する必要があります。この変更によって影響される既存の接続があれば、その接続はおそらくディセーブルされ、タイムアウトします。このパス変更は、ネットワーク トポロジーがパス冗長性をサポートするように設計されている場合にのみ発生します。その場合、この変更は予期されています。
説明 無効な OSPF パケットを受信しました。エラー メッセージに詳細が表示されます。OSPF コンフィギュレーションが誤っているか、送信側の内部エラーが原因として考えられます。
説明 OSPF hello パケット、データベース記述パケット、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できません。
説明 システムは OSPF パケットを受信しましたが、OSPF パケットの変数の長さが通常のヘッダー サイズよりも短いか、到着時の IP パケットのサイズと矛盾しています。これは、パケット送信側のコンフィギュレーション エラーを示しています。
説明 ルータが、LSA タイプが無効である LSA を受信しました。メモリが壊れているか、ルータ上の予期しない動作が原因です。
推奨処置 近接アドレスから問題のあるルータを特定し、そのルータを再起動してください。TAC に連絡して指示を受け、問題の原因を調べてください。
説明 内部ソフトウェア エラーが発生したため、ルータは誤ったマスクを使用してデフォルトの LSA を生成しようとしました。誤ったメトリックが使用された可能性もあります。
説明 OSPF が、いずれかの OSPF インターフェイスの IP アドレスからのルータ ID の割り当てに失敗しました。
推奨処置 少なくとも 1 つのインターフェイスが起動し、有効な IP アドレスが割り当てられていることを確認してください。ルータ上で複数の OSPF プロセスを実行する場合、各プロセスに一意のルータ ID が必要です。各プロセスがルータ ID を取得できるように、十分なインターフェイス数をアップにしておく必要があります。
説明 OSPF が、このルーティング プロセスと同じルータ ID を持つネイバから、hello パケットを受信しました。完全な隣接関係を確立できません。
説明 OSPF が、このルーティング プロセスと同じルータ ID を持つネイバから、hello パケットを受信しました。完全な隣接関係を確立できません。
説明 OSPF が、このルーティング プロセスと同じルータ ID を持つネイバから、hello パケットを受信しました。完全な隣接関係を確立できません。
説明 外部サーバに対する認証または許可がエラーになり、この認証または許可がローカル ユーザ データベースを使用して実行されます。 method_name は、「authentication」または「authorization」のいずれかです。 user は、接続に対応付けられたユーザです。 server_tag は、サーバが到達不能になった AAA サーバ グループの名前です。
推奨処置 設定されている AAA サーバとの接続に問題がないかどうかを最初に確認してください。セキュリティ アプライアンスから認証サーバに ping を実行してください。AAA サーバ上でデーモンが動作しているかどうかを確認してください。
説明 UDP DNS パケットでドメイン名の長さが 255 バイトを超えると、このメッセージが表示されます。詳細については、RFC 1035 セクション3.1 を参照してください。
説明 ライン プロトコルのステータスが down から up に変化しました。 interface_name が [inside]、[outside] などの論理インターフェイス名である場合、このメッセージは、論理インターフェイスのライン プロトコルが down から up に変化したことを示します。 interface_name が [Ethernet0]、[GigabitEthernet0/1] などの物理インターフェイス名である場合、このメッセージは、物理インターフェイスのライン プロトコルが down から up に変化したことを示します。
説明 ライン プロトコルのステータスが up から down に変化しました。 interface_name が [inside]、[outside] などの論理インターフェイス名である場合、このメッセージは、論理インターフェイスのライン プロトコルが up から down に変化したことを示します。この場合、物理インターフェイスのライン プロトコル ステータスには影響ありません。 interface_name が
[Ethernet0]、[GigabitEthernet0/1] などの物理インターフェイス名である場合、このメッセージは、物理インターフェイスのライン プロトコルが up から down に変化したことを示します。
説明 1 つのモジュール インターフェイスから別のインターフェイスへのホストの移動が検知されると、このメッセージが生成されます。トランスペアレント セキュリティ アプライアンスの場合、ホスト(MAC)とセキュリティ アプライアンス ポート間のマッピングは、レイヤ 2 転送テーブルで維持されます。このテーブルによって、パケットの送信元 MAC アドレスがセキュリティ アプライアンス ポートに動的にバインドされます。このプロセスで、インターフェイス間でのホストの移動が検知されると、このメッセージが生成されます。
推奨処置 ホストの移動は有効な場合もありますが、他のインターフェイス上でホスト MAC のスプーフィングが試みられた可能性もあります。MAC スプーフィング試行の場合には、ネットワーク上で脆弱なホストを特定してそれらを削除するか、またはスタティック MAC アドレスを設定してください(その場合、MAC アドレスとポートのバインディングは変更できません)。単なるホストの移動の場合には、対処は不要です。
説明 ブリッジ テーブルが満杯な状態でエントリの追加が試みられたときに、このメッセージが生成されます。セキュリティ アプライアンスはコンテキストごとに 1 つのレイヤ 2 転送テーブルを維持し、コンテキストがそのサイズ制限を超えると、このメッセージが生成されます。MAC アドレスは追加されますが、テーブル内で既存のダイナミック エントリのうち最も古いエントリ(存在する場合)を置き換えます。
推奨処置 攻撃が試みられた可能性があります。新しいブリッジ テーブル エントリが有効かどうかを確認してください。攻撃の場合には、EtherType ACL を使用して脆弱なホストをアクセス制御してください。
説明 slotnum に搭載されたモジュールが、FWSM システム モジュールからのシャットダウン要求に従いませんでした。モジュールは割り込み不可能なタスク(ソフトウェアのアップグレードなど)を実行していた可能性があります。モジュールがシャットダウンできなかった理由と対処方法は、 errnum および message テキストで表示されます。
推奨処置 モジュール上のタスクが完了するまで待ち、それからモジュールをシャットダウンするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールがシャットダウンできない原因となっているタスクを停止してください。
説明 slotnum に搭載されたモジュールが、FWSM システム モジュールからのリロード要求に従いませんでした。モジュールは割り込み不可能なタスク(ソフトウェアのアップグレードなど)を実行していた可能性があります。モジュールがリロードできなかった理由と対処方法は、 errnum および message テキストで表示されます。
推奨処置 モジュール上のタスクが完了するまで待ち、それからモジュールをリロードするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールがリロードできない原因となっているタスクを停止してください。
説明 有効なカード タイプとして認識されないカードが検出された場合に表示されます。
推奨処置 搭載されているモジュール タイプをサポートする FWSM システム ソフトウェアのバージョンにアップグレードしてください。
説明 指定のスロット番号のモジュールがソフトウェア バージョンの受け入れに失敗し、UNRESPONSIVE ステートに移行します。モジュール ソフトウェアを更新する試みがもう一度、行われます。
• newver ― モジュールに正常に書き込めなかったソフトウェアの新しいバージョン番号(例:1.0(1)0)
• ver ― モジュールの現在のソフトウェア バージョン番号(例:1.0(1)0)
• reason ― 新しいバージョンがモジュールに書き込めなかった理由。表示される可能性のある reason の値は次のとおりです。
― failed to create a thread to write the image.
推奨処置 対処は不要です。後続の試行で、更新の成功または失敗を表すメッセージが生成されます。更新後にモジュールが UP に移行したかどうかを確認するには、 show module slotnum コマンドを使用します。
説明 ロギング モジュールがロギング バッファを外部 FTP サーバに保存できなかった場合に、このシステム ログ メッセージが表示されます。
推奨処置 失敗の理由に基づいて、適切な処置を行ってください。
• プロトコル エラー ― FTP サーバとセキュリティ アプライアンスの接続に問題がなく、FTP サーバが FTP PORT コマンドと put 要求を受け入れ可能であることを確認してください。
• 無効なユーザ名またはパスワード ― 設定されている FTP クライアントのユーザ名とパスワードが正しいかどうかを確認してください。
説明 ロギング モジュールがロギング バッファをシステム フラッシュ メモリに保存できなかった場合に、このシステム ログ メッセージが表示されます。
推奨処置 失敗の理由がスペース不足の場合には、システム フラッシュの空き容量を調べ、設定されている logging flash-size コマンドの制限が適切かどうかを確認してください。フラッシュ ファイル システムの IO エラーの場合には、Cisco TAC に連絡して指示を受けてください。
説明 http-map port-misuse コマンドを設定し、トンネリング プロトコルを検出したときに表示されます。ユーザが HTTP でトンネリング プロトコルを実行し、ポリシーに違反した可能性があることを示します。
• internal_sig_id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action ― ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• dest_address ― トンネリングが検出されたパケットの宛先アドレス
• source_address ― トンネリングが検出されたパケットの送信元アドレス
説明 http-map port-misuse コマンドを設定し、インスタント メッセージ プロトコルを検出したときに表示されます。ユーザが HTTP でインスタント メッセンジャー プロトコルを実行し、ポリシーに違反した可能性があることを示します。
• action ― ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• dest_address ― インスタント メッセンジャー プロトコルが検出されたパケットの宛先アドレス
• instant_messenger_type ― 検出されたインスタント メッセンジャ プロトコルのタイプを示します。
• internal_sig_id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
説明 http-map port-misuse コマンドを設定し、ピアツーピア プロトコルが検出されたときに表示されます。ユーザが HTTP でピアツーピア プロトコルを実行し、ポリシーに違反した可能性があることを示します。
• internal_sig_id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action ― ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• peer_to_peer_type ― 検出されたピアツーピア プロトコルのタイプを示します。
• source_address ― ピアツーピア プロトコルが検出されたパケットの送信元アドレス
説明 http-map content-type-verification コマンドを設定し、コンテンツタイプ HTTP ヘッダー変数の MIME タイプが許可コンテンツ タイプのリストに見つからず、ポリシーに違反した可能性があるときに表示されます。
• internal_sig_id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action ― ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• mime_type ― コンテンツタイプ HTTP ヘッダー変数にあるコンテンツタイプ
• source_address ― 認識されない MIME タイプが検出されたパケットの送信元アドレス
説明 http-map content-type-verification コマンドを設定し、コンテンツタイプ HTTP ヘッダー変数の MIME タイプが許可タイプのポリシーのリストに見つかるが、そのタイプのファイルを識別する正しいマジック ナンバーがメッセージ本文に含まれないときに表示されます。例外的なメッセージであり、禁止データを接続で密輸しようとしたことを示すことがあります。
このメッセージではレートが制限されています。つまりその後の違反はログされません。
• Internal_Sig_Id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• Action ― ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• source_address ― コンテンツ タイプ確認エラーが検出されたパケットの送信元アドレス
説明 http-map content-length コマンドを設定し、コンテンツの長さがユーザ定義の長さを超えたときに表示されます。ユーザ定義ポリシーの許可以上のデータを送信しようとしたことを示します。
• internal_sig_id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action ― ユーザ設定アクションにより、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• size ― ユーザ定義の最大値を超えたメッセージの長さ
• content-length ― コンテンツ長 HTTP ヘッダー変数にあるコンテンツの長さ
• source_address ― コンテンツ サイズ違反が検出されたパケットの送信元アドレス
説明 http-map request-method ext コマンドを設定して指定拡張メソッドをログするときに表示されます。拡張メソッドを使用し、ユーザ定義ポリシーに基づいてアクションを取ろうとしたことを示します。
• internal_sig_id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action ― ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• method_name ― アラートの原因となった RFC メソッドの名前
• source_address ― RFC メソッドが検出されたパケットの送信元アドレス
説明 http-map request-method rfc コマンドを設定して指定 RFC メソッドをログするときに表示されます。RFC メソッドを使用し、ユーザ定義ポリシーに基づいてアクションを取ろうとしたことを示します。
• internal_sig_id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action ― ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• method_name ― アラートの原因となった RFC メソッドの名前
• source_address ― RFC メソッドが検出されたパケットの送信元アドレス
説明 http-map max-header-length コマンドを設定し、ユーザ指定のヘッダーの長さより長い HTTP ヘッダーが検出されたときに表示されます。ユーザ定義の最大長より長いヘッダーが送信され、ユーザ定義ポリシーに違反したことを示します。
• internal_sig_id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action ― ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• source_address ― 長すぎるヘッダー長が検出されたパケットの送信元アドレス
説明 http-map strict-http コマンドを設定し、ストリームが RFC 準拠確認に違反したときに表示されます。ユーザが HTTP トランザクションのポートでプロトコルを実行し、ユーザ定義ポリシーに違反した可能性があります。
• internal_sig_id:アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action:ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• source_address:HTTP 以外のプロトコルが検出されたパケットの送信元アドレス
説明 http-map max-url-length コマンドを設定し、ユーザ指定の最大 URL 長より長い URL が検出されたときに表示されます。長すぎる URL は、攻撃が試されたことを示すことがあります。
• internal_sig_id:アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action:ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• source_address:長すぎる URL が検出されたパケットの送信元アドレス
説明 http-map strict-http コマンドを設定し、HTTP 回避技法が検出されたときに表示されます。ハッカーは URL を難読化し、セキュリティ チェックを迂回しようとします。このメッセージは攻撃を示します。
• internal_sig_id:アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action:ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• source_address:難読化が検出されたパケットの送信元アドレス
説明 http-map transfer-encoding コマンドを設定し、禁止されている転送符号化が検出されたときに表示されます。ユーザが、ユーザ設定ポリシーに違反するメッセージを送信しました。
• internal_sig_id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action ― ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• Xfer_encode ― 認識されているが禁止されている転送符号化である、実際の転送符号化文字列が含まれます。文字列が認識されている転送符号化でない場合は、「Transfer encoding not allowed」と表示されます。
• source_address ― 問題の転送符号化が検出されたパケットの送信元アドレス
説明 http-map strict-http コマンドを設定し、10 より多い未応答 HTTP 要求が単一接続で検出されたときに表示されます。ユーザは複数の HTTP 要求メッセージを送信しましたが、それが応答されていません。HTTP サーバが接続のサーバサイドに存在しない場合、これは攻撃を示すことがあります。
(注) このメッセージは、FWSM がパケットを廃棄したことを示しません。
• internal_sig_id ― アラートをトリガーした特定ポリシーを識別するために開発者が使用する内部「ポリシー番号」
• action ― ユーザ設定により、 Reset または Drop に設定されます。 Log に設定した場合は、ヌル ストリング "" が渡されます。
• source_address ― 最終未応答要求が検出されたパケットの送信元アドレス
説明 SNMP パケットが、不正なパケット フォーマットのため、またはセキュリティ アプライアンスで認められない prot_version のために、セキュリティ アプライアンスの通過を拒否されました。 prot_version 変数に表示される値は、1、2、2c、3 のいずれかです。
推奨処置 snmp-map コマンドを使用して、SNMP 検査に関する設定を変更します。このコマンドを使用すると、ユーザ側で特定のプロトコル バージョンを許可または禁止することができます。
説明 プロセスが信号を受信しましたが、このイベントに対応するハンドラが見つかりませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 クライアントが所有していないルート アトリビュートの変更を試みました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 メモリ不足のため操作が失敗しましたが、その操作は別のメカニズムによって処理されます。
説明 メモリが十分にある場合には、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 特定の送信元から宛先へのパケットが、管理専用のネットワークとの間でセキュリティ アプライアンスを通過しているため、廃棄されました。
ここでは、メッセージ 500001 ~ 507001 を示します。
説明 filter コマンドを使用して activex オプションをオンにした場合に、セキュリティ アプライアンスが ActiveX オブジェクトを検出したときに、このメッセージが表示されます。activex オプションを使用すると、セキュリティ アプライアンスは ActiveX コンテンツが HTML オブジェクトとしてタギングされないように変更して、ActiveX コンテンツをフィルタリングすることができます。
説明 filter コマンドを使用して java オプションをオンにした場合に、セキュリティ アプライアンスが Java アプレットを検出したときに、このメッセージが表示されます。java オプションを使用すると、セキュリティ アプライアンスは Java コンテンツが HTML オブジェクトとしてタギングされないように変更して、Java コンテンツをフィルタリングすることができます。
説明 TCP のヘッダー長が誤っていることを示しています。OS(オペレーティング システム)によっては、ディセーブルのソケットへの接続要求の応答時に、TCP リセット(RST)が正しく処理されません。クライアントがセキュリティ アプライアンスの外部の FTP サーバに接続を試みたとき、FTP がリスニングしていないと、サーバは RST を送信します。オペレーティング システムによっては、誤った TCP ヘッダー長が送信されるため、この問題が発生します。UDP は、ICMP ポート到達不能メッセージを使用します。
TCP ヘッダー長がパケット長より大きいために、負数バイトの転送を示していることがあります。システム ログ メッセージでは負数が符号なしの数値として表示されるので、1 秒間の転送サイズが 4 GB のように、異常に大きな値として表示されることがあります。
説明 プロトコルの送信元または宛先ポート番号がゼロという、無効な転送番号が存在することを示しています。 protocol 値は、TCP の場合は 6、UDP の場合は 17 です。
説明 group-policy CLI コマンドを使用してグループ ポリシーが設定されたことを示します。 policy_name はグループ ポリシーの名前です。 policy_type の値は「internal」または「external」になります。
説明 group-policy CLI コマンドを使用してグループ ポリシーが削除されました。 policy_name はグループ ポリシーの名前です。 policy_type の値は「internal」または「external」になります。
説明 OSPF ネイバのステートが変更されました。メッセージに、変更内容と理由が表示されます。このメッセージが表示されるのは、OSPF プロセスに log-adjacency-changes コマンドが設定されている場合だけです。
説明 ファイル システムのステータスが変化しました。このメッセージは、ファイル システムが使用可能または使用不可能になったイベントと、そのイベントの発生元を記述します。ファイル システム ステータスの変化を引き起こしたイベントの発生元とイベントの例は、次のとおりです。
• External Compact Flash removed
• External Compact Flash inserted
説明 TCP セグメントの組み立て中に、再組み立てバッファの制限を超過したときに表示されます。
• source_address/source_port ― 接続を開始するパケットの送信元 IP アドレスおよび送信元ポート
• dest_address/dest_port ― 接続を開始するパケットの宛先 IP アドレスおよび宛先ポート
• interface_inside ― 接続を開始したパケットが着信するインターフェイスの名前
• interface_outside ― 接続を開始したパケットが発信されるインターフェイスの名前
ここでは、メッセージ 602101 ~ 609002 を示します。
説明 このメッセージは、セキュリティ アプライアンスが ICMP 宛先到達不能メッセージを送信し、[don't-fragment] ビットが設定されているけれどもフラグメント化が必要な場合に生成されます。
説明 パス MTU 検出により、IPSec トンネルの MTU(最大伝送ユニット)が調整されました。
推奨処置 IPSec トンネルの MTU を確認してください。実効 MTU が標準より小さい場合には、中間リンクを確認してください。
• direction ― SA の方向(インバウンドまたはアウトバウンド)
• tunnel_type ― SA のタイプ(リモート アクセスまたは L2L)
• spi ― IPSec セキュリティ パラメータ インデックス
• local_IP ― トンネル ローカル エンドポイントの IP アドレス
• remote_IP ― トンネル リモート エンドポイントの IP アドレス
• direction ― SA の方向(インバウンドまたはアウトバウンド)
• tunnel_type ― SA のタイプ(リモート アクセスまたは L2L)
• spi ― IPSec セキュリティ パラメータ インデックス
• local_IP ― トンネル ローカル エンドポイントの IP アドレス
• remote_IP ― トンネル リモート エンドポイントの IP アドレス
説明 セキュリティ アプライアンス DHCP クライアントが DHCP サーバから正常に IP アドレスを取得しました。dhcpc コマンド ステートメントによって、セキュリティ アプライアンスは DHCP サーバからネットワーク インターフェイスの IP アドレスおよびネットワーク マスクのほかに、デフォルト ルートも取得できます。default route ステートメントでは、ゲートウェイ アドレスをデフォルト ルータのアドレスとして使用します。
説明 セキュリティ アプライアンスの DHCP クライアントが、割り当て済みの IP アドレスを DHCP サーバに戻しました。
説明 リモート管理クライアントによって ASDM ロギング接続が開始されました。
説明 SIP メッセージの検査後に、 fixup sip コマンドにより SIP 接続が割り当てられたことを示しています。 connection_type は、次のいずれかのストリングです。
説明 Skinny メッセージの検査後に、 fixup skinny コマンドにより Skinny 接続が割り当てられたことを示しています。 connection_type は、次のいずれかのストリングです。
説明 インターフェイス interface_name に接続するホストの IP_address 用に、ネットワーク ステート コンテナが予約されました。これは情報メッセージです。
説明 インターフェイス interface_name に接続するホストの IP_address 用のネットワーク ステート コンテナが削除されました。これは情報メッセージです。
説明 設定されている NTP サーバと一致しないホストから、NTP パケットを受信しました。セキュリティ アプライアンスは単に NTP クライアントであり、タイム サーバではないので、NTP 要求には応答しません。
説明 受信した NTP パケットが認証チェックに失敗しました。
推奨処置 セキュリティ アプライアンスおよび NTP サーバが両方とも認証を使用し、同じキー番号および値を使用するように設定されているかどうかを確認してください。
説明 指定のコマンドが、コマンド許可に失敗しました。 command_modifier は、次のいずれかのストリングです。
– cmd (このストリングは、コマンドに修飾子がないことを意味します)
説明 セキュリティ アプライアンスが上記の 4 つのコマンド タイプ以外の値を検出した場合は、[ unknown command type ] というメッセージが表示されます。
説明 自動アップデート サーバからのアップデートが成功しました。 filename 変数は、image、ASDM file、または configuration のいずれかです。version number 変数は、アップデートのバージョン番号です。
説明 自動アップデート サーバからのアップデートが失敗したことを示しています。 filename 変数は、image、ASDM file、または configuration のいずれかです。 version number 変数は、アップデートのバージョン番号です。 reason 変数は、アップデートが失敗した理由を示します。失敗の原因としては、無効なイメージ ファイル、サーバへの接続切断、コンフィギュレーション エラーなどがあります。
説明 自動アップデート デーモンが指定の URL url に接続できなかったことを示しています。この URL は、自動アップデート サーバの URL、または自動アップデート サーバによって返された、いずれかのファイル サーバの URL です。 reason 変数は、接続が失敗した理由を示します。失敗の原因としては、サーバからの応答がなかった場合、認証の失敗、ファイルが見つからなかった場合などが考えられます。
説明 スプリット DNS により、DNS クエリが本来の送信先サーバからプライマリ エンタープライズ DNS サーバにリダイレクトされています。
説明 スプリット DNS により、DNS クエリがエンタープライズ DNS サーバから本来の送信先サーバからプライマリ エンタープライズ にリダイレクトされています。
説明 MGCP データ チャネル接続、RTP、または RTCP が割り当てられました。このメッセージでは、接続の割り当てをトリガーしたメッセージも示します。
説明 要求がピアによって受け入れられなかったときに表示されるメッセージです。Create PDP Context 要求でよくある状況です。
説明 データベースから PDP コンテキストが削除されたときに表示されるメッセージです。原因としては、期限切れ、Delete PDP Context 要求/応答の交換、またはユーザによる CLI 経由での削除があります。
説明 Create PDP Context 要求を受け入れる応答の受信後、GTP トンネルが作成されたときに表示されるメッセージです。
説明 Create PDP Context 要求または応答で指定される SGSN または GGSN シグナリング アドレスが、送信した SGSN/GGSN とは異なる場合に表示されるメッセージです。
説明 セキュリティ アプライアンスが、指定の CTIQBE メディア トラフィックに接続オブジェクトを事前に割り当てます。このメッセージは、10 秒で 1 回にレート制限されています。
説明 セキュリティ アプライアンスが、サポート対象外のバージョン番号を持つ CTIQBE メッセージを受信しました。セキュリティ アプライアンスは、このパケットを廃棄します。このメッセージは、10 秒で 1 回にレート制限されています。
推奨処置 このログ メッセージでキャプチャされたバージョン番号が極端に大きい(10 より大きい)場合、パケットが不正フォーマットになっていたか、CTIQBE 以外のパケットであったか、セキュリティ アプライアンスに着信する前に壊れていた可能性があります。パケットの送信元を調べることを推奨します。バージョン番号が一般的な小さい値(10 以下)の場合には、Cisco TAC に連絡し、この CTIQBE バージョンに対応する新しいセキュリティ アプライアンス イメージが使用可能かどうかを確認してください。
説明 マルチキャストをサポートしないインターフェイス上で PIM をイネーブルにしようとしたときに、このメッセージが表示されます。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 マルチキャストをサポートしないインターフェイス上で IGMP をイネーブルにしようとしたときに、このメッセージが表示されます。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 イベント マネージャの作成数が、予期される量を超過した場合に表示されるメッセージです。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 データ駆動イベントをトリガーするパケットを受信したけれども、MRIB への接続がダウンしている場合に表示されるメッセージです。通知はキャンセルされました。
推奨処置 システムの起動後にこのメッセージが続く場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 Rendezvous Point(RP; ランデブー ポイント)として設定されている、または Network Address Translation(NAT; ネットワーク アドレス変換)を使用するように設定されている PIM ルータが、他の PIM ルータからの PIM 登録パケットを受信したときに表示されます。このパケットにカプセル化されているデータは無効です。
推奨処置 送信側のルータは誤って RFC 以外の登録を送信している可能性があります。送信側のルータをアップグレードしてください。
説明 ピアとの BGP セッションが確立したことをユーザに通知します。設定された近接 IP アドレスおよび AS 番号が表示されます。
説明 ピアとの BGP セッションが切断したことをユーザに通知します。設定された近接 IP アドレスおよび AS 番号が表示されます。
ここでは、メッセージ 701001 ~ 720073 を示します。
ほとんどの ISAKMP システム ログ メッセージには、トンネルを識別するのに役立つ、共通の前置オブジェクトがあります。システム ログ メッセージの説明テキストの前に、該当するオブジェクトがあれば表示されます。システム ログ メッセージが生成される時点でオブジェクトが不明の場合には、固有の [ heading = value ] の組み合わせは表示されません。
[Group = groupname , Username = user , IP = IP_address , ...]
Group はトンネル グループ、username はローカル データベースまたは AAA サーバにあるユーザ名、IP address はリモート アクセス クライアントまたは L2L ピアのパブリック IP アドレスです。
説明 AAA メッセージであり、モジュールのユーザ認証レートが高すぎて、新しい AAA 要求を処理できないときに表示されます。
推奨処置 floodguard enable コマンドを使用して、Flood Defender 機能をイネーブルにしてください。
説明 AAA メッセージであり、モジュールのユーザ認証レートが高すぎて、新しい AAA 要求を処理できないときに表示されます。
推奨処置 floodguard enable コマンドを使用して、Flood Defender 機能をイネーブルにしてください。
説明 リモート ピアが応答していません。ISAKMP は直前のパケットを再送信しています。
推奨処置 リモート ホストへのネットワーク接続と、ローカルおよびリモート デバイスの VPN コンフィギュレーションを確認してください。
説明 リモート ピアが応答していません。ISAKMP は直前のパケットを再送信しています。
推奨処置 リモート ホストへのネットワーク接続と、ローカルおよびリモート デバイスの VPN コンフィギュレーションを確認してください。
説明 ISAKMP が無効なメッセージまたは不正な形式のメッセージを受信しました。リモート ピアとの同期外れ、メッセージの復号化の問題、またはメッセージを受信した順序が不正だったことを表す場合があります。
推奨処置 事前共有鍵を使用している場合は、ローカルの事前共有鍵がローカルおよびリモート デバイスで正しく設定されているかどうかを確認してください。ローカルおよびリモートのコンフィギュレーションを確認してください。SA がアップしない場合は、詳細なトラブルシューティングが必要となることがあります。
説明 ISAKMP が、前に受信したパケットと重複するパケットを受信しました。正常な動作時にも発生する場合がありますが、ISAKMP 交換でのエラーの副作用として発生する場合もあります。
説明 セキュリティ アプライアンスがサポート対象外のバージョン番号を持つ H.323 パケットを受信しました。セキュリティ アプライアンスは、パケットのプロトコル バージョン変数をサポート対象の最大バージョンに変更する場合があります。
推奨処置 セキュリティ アプライアンスが VoIP ネットワーク上でサポートする H.323 バージョンを使用してください。
説明 このデバッグ メッセージは、セキュリティ アプライアンスが特定の H.225 メッセージを受信し、セキュリティ アプライアンスが指定の 2 つの H.323 エンドポイント用に新しいシグナリング接続オブジェクトを開始したことを示しています。
説明 フェールオーバー メッセージです。アクティブ装置からスタンバイ装置へのコンフィギュレーションの複製が開始されたときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。アクティブ装置からスタンバイ装置へのコンフィギュレーションの複製が完了したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 スタンバイ セキュリティ アプライアンスが、アクティブ セキュリティ アプライアンスから複製コンフィギュレーションの最初の部分を受信したことを示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了できなかったときに表示されます。メッセージの最後に、障害の原因となったコマンドが表示されます。
説明 セキュリティ アプライアンスに送信された最初の TCP パケットが TCP セッションを要求したときに、このメッセージが表示されます。このパケットは、1 往復半ハンドシェークの最初の SYN パケットです。該当するアクセス コントロール リスト(Telnet、HTTP、または SSH)によってパケットが許可された場合に、このメッセージが表示されます。ただし、SYN Cookie の確認はまだ完了しておらず、ステートは予約されていません。
説明 TCP 接続の場合、セキュリティ アプライアンスに送信された 2 番めの TCP パケットが TCP セッションを要求したときに、このメッセージが表示されます。このパケットは 1 往復半ハンドシェークの最後の ACK パケットです。該当するアクセス コントロール リスト(Telnet、HTTP、または SSH)によってパケットが許可された場合に、このメッセージが表示されます。また、SYN クッキーの確認が成功し、TCP セッション用にステートは予約済みです。
UDP 接続の場合、接続が許可されました。たとえば、許可された SNMP 管理ステーションからの SNMP 要求をモジュールが受信し、その要求を処理すると、このメッセージ(サービスが snmp であるとき)が表示されます。このメッセージは、10 秒で 1 回にレート制限されています。
説明 ASDM がインターフェイス サービスへの接続の試みを拒否したときに、このメッセージが表示されます。たとえば、ファイアウォールが不正な SNMP 管理ステーションからの SNMP 要求を受信すると、このメッセージが表示される場合があります。
推奨処置 show run http 、 show run ssh 、または show run telnet コマンドを使用して、ホストまたはネットワークからのサービス アクセスを許可するように ASDM が設定されているかどうかを確認してください。このメッセージが頻繁に表示される場合には、攻撃の可能性があります。
説明 サービスへのセキュリティ アプライアンスの管理接続の最大数を超過しました。セキュリティ アプライアンスは、管理サービスごとに最大 5 つの管理接続を同時に許可します。
説明 UDP 要求を処理する UDP サーバがセキュリティ アプライアンスにないときに、このメッセージが表示されます。TCP パケットがセキュリティ アプライアンス上のどのセッションにも属していない場合にも、このメッセージが表示されることがあります。また、許可されたホストからであっても、空白のペイロードを持つ SNMP 要求をセキュリティ アプライアンスが受信した場合にも、このメッセージが表示されます。サービスが snmp である場合、ログ受信側の負荷を防止するため、このメッセージは最大で 10 秒に 1 回しか生成されません。
推奨処置 DHCP、RIP、NetBIOS などのブロードキャスト サービスを利用するネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが異常に多く発生する場合には、攻撃の可能性があります。
説明 セキュリティ アプライアンスに IP プロトコル要求を処理する IP サーバがない場合に、このメッセージが表示されます。たとえば、セキュリティ アプライアンスが TCP または UDP 以外の IP パケットを受信し、セキュリティ アプライアンスが要求を処理できない場合などです。
推奨処置 DHCP、RIP、NetBIOS などのブロードキャスト サービスを利用するネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが異常に多く発生する場合には、攻撃の可能性があります。
説明 ロギング機能に関する logging debug-trace コマンドを入力したあとに、このシステム ログ メッセージが表示されます。 logging debug-trace をイネーブルにすると、すべてのデバッグ メッセージがシステム ログ メッセージにリダイレクトされて処理されます。セキュリティ上の理由から、システム ログ メッセージ出力は暗号化するか、またはセキュアな帯域外ネットワークで送信する必要があります。
説明 プロセスが 100 ミリ秒よりも長く CPU を使用しているときに、このメッセージが表示されます。このメッセージは、CPU を使用しているプロセスにフラグを付ける、デバッグ目的で使用されます。
説明 FWSM が任意の vpif API で無効な vpifnum を検出したときに表示されます。通常動作中に発生してはならない内部矛盾を示します。
• vpifnum ― インターフェイスに指定されている 32 ビット値
推奨処置 debug pix vpifapi コマンドを入力し、Cisco TAC に出力を提出してください。このエラーに先立つイベントの詳細も提出してください。
説明 ASDM がトンネルの開始を試みているリモート エンティティから IKE パケットを受信したときに、このメッセージが表示されます。ASDM はリブートまたはシャットダウンがスケジュールされているので、トンネルを確立することはできません。この IKE パケットは無視され、廃棄されます。
説明 セキュリティ アプライアンスが受信したメッセージ ID を認識していないことを表すメッセージです。メッセージ ID は、特定の IKE フェーズ 2 ネゴシエーションを識別する目的で使用されます。セキュリティ アプライアンスにエラー条件が存在する可能性がありますが、2 つの IKE ピアが同期外れになっている場合もあります。
説明 ID ペイロードで受信したキー ID 値が、事前共有鍵認証を使用する、この IKE セッションのグループ名で認められる最大サイズよりも長いことを表すメッセージです。これは無効な値であり、セッションはリジェクトされます。セキュリティ アプライアンスでは、このサイズのグループ名を作成できないので、表示されるキー ID は使用できません。クライアント上の不正なグループ名を変更するように、ユーザに通知してください。
推奨処置 クライアント ピア(最も可能性が高いのは RA クライアント)で有効なグループ名が指定されているかどうかを確認してください。現時点ではグループ名の最大長は 32 です。
説明 ID ペイロードで受信した DN の OU 値が、Certs 認証を使用する、この IKE セッションのグループ名で認められる最大サイズよりも長いことを表すメッセージです。この OU はスキップされ、別の OU または他の基準と一致するグループが検索されます。
推奨処置 セキュリティ アプライアンスにグループのある OU をクライアントが使用するには、グループ名が有効な長さでなければなりません。現時点ではグループ名の最大長は 32 です。
説明 一意のメッセージ ID によって conn_entry(IPSec SA に対応する IKE フェーズ 2 の構造)を検索する試みが失敗したときに、このメッセージが表示されます。内部構造が見つかりませんでした。これは、セッションが非標準的な方法で終了した場合に発生することがあります。これは、高い確立で内部エラーです。
説明 ピアから不正な IPSec プロトコルまたはサポート対象外の IPSec プロトコルを受信したときに、このメッセージが表示されます。
推奨処置 ピアの ISAKMP フェーズ 2 コンフィギュレーションがセキュリティ アプライアンスと互換であるかどうかを確認してください。
説明 ピアから受信した ISAKMP Domain of Interpretation(DOI) がサポート対象外である場合に、このメッセージが表示されます。
説明 ピアから受信した ID が不明の場合に、このメッセージが表示されます。この ID は未知の有効な ID の場合もありますが、無効な ID または壊れた ID の場合もあります。
説明 ピアから受信したフェーズ 1 またはフェーズ 2 ID が、正当であってもサポート対象外であることを表すメッセージです。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ピアから指定された値(キー ID または IP アドレス)と同じ名前のグループがグループ データベースに存在しないことを表すメッセージです。
説明 セキュリティ アプライアンスがリモート ピアのフェーズ 2 ローカル プロキシ ID ペイロードを受信したことを表すメッセージです。
説明 セキュリティ アプライアンスがリモート ピアのフェーズ 2 リモート プロキシ ID ペイロードを受信したことを表すメッセージです。
説明 セキュリティ アプライアンスがフェーズ 2 ローカル プロキシ ID ペイロードを送信したことを表すメッセージです。
説明 セキュリティ アプライアンスがフェーズ 2 リモート プロキシ ID ペイロードを送信したことを表すメッセージです。
説明 セキュリティ アプライアンスがリモート ピアのフェーズ 2 ローカル プロキシ ID ペイロードを受信し、そのペイロードに IP アドレス範囲が含まれていたことを表すメッセージです。
説明 セキュリティ アプライアンスがリモート ピアのフェーズ 2 リモート プロキシ ID ペイロードを受信し、そのペイロードに IP アドレス範囲が含まれていたことを表すメッセージです。
説明 セキュリティ アプライアンスがフェーズ 2 ローカル プロキシ ID ペイロードを送信したことを表すメッセージです。
説明 セキュリティ アプライアンスがフェーズ 2 リモート プロキシ ID ペイロードを送信したことを表すメッセージです。
説明 ローカル ID ペイロードに範囲 ID タイプが含まれていて、指定の下位アドレスが上位アドレスよりも小さくなかった場合に、このメッセージが表示されます。これは設定の問題を示すことがあります。
説明 リモート ID ペイロードに範囲 ID タイプが含まれていて、指定の下位アドレスが上位アドレスよりも小さくなかった場合に、このメッセージが表示されます。これは設定の問題を示すことがあります。
説明 フェーズ 2 ID ペイロードでローカル IP プロキシ サブネットのデータを受信したときに、このメッセージが表示されます。
説明 フェーズ 2 ID ペイロードでリモート IP プロキシ サブネットのデータを受信したときに、このメッセージが表示されます。
説明 フェーズ 2 ID ペイロードでローカル IP プロキシ サブネットのデータを送信したときに、このメッセージが表示されます。
説明 フェーズ 2 ID ペイロードでリモート IP プロキシ サブネットのデータを送信したときに、このメッセージが表示されます。
説明 内部ソフトウェア エラーが発生し、ISAKMP パケットを送信できなかった場合に、このメッセージが表示されます。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部ソフトウェア エラーが発生し、フェーズ 2 データ構造が見つからないことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IPSec 高速パスが IKE をトリガーするパケットを処理したけれども、IKE のポリシー検索が失敗したことを表すメッセージです。このエラーはタイミングに関連する可能性があります。IKE が開始要求を処理する前に、IKE をトリガーする ACL が削除されている可能性があります。この問題はほとんどの場合、自動的に解決されます。
説明 この状況が続く場合は、L2L コンフィギュレーションを確認してください。暗号マップに関係する ACL に特に注意してください。
説明 セキュリティ アプライアンスが、リモート ピアの送信する Diffie-Hellman グループをサポートしていないことを表すメッセージです。Diffie-Hellman グループは、フェーズ 1 で Diffie-Hellman キーを生成し、フェーズ 2 で Perfect Forward Secrecy(PFS)用の Diffie-Hellman キーを生成します。
説明 ピアの Diffie-Hellman キーの設定、および Diffie-Hellman がセキュリティ アプライアンスで正しくサポートされていることを確認してください。
説明 ユーザ、グループ、またはインターフェイス ポリシーによって IPSec トンネルが拒否されていることを表すメッセージです。
説明 IPSec SA が見つからなかったことを表すメッセージです。
推奨処置 リモート アクセス トンネルの場合、グループとユーザのコンフィギュレーションを調べ、ユーザ グループにトンネル グループとグループ ポリシーが設定されていることを確認してください。外部認証のユーザおよびグループの場合、返された認証アトリビュートを確認してください。
説明 ユーザが IPSec ネゴシエーションで送信されたグループとは別のグループに設定されていることを表すメッセージです。
推奨処置 Cisco VPN クライアントと事前共有鍵を使用している場合は、クライアント上で設定されているグループが、セキュリティ アプライアンス上でそのユーザに対応付けられているグループと同じであるかどうかを確認してください。デジタル証明書を使用している場合、グループは証明書の OU 変数で指定されるか、デフォルトでユーザに対応付けられたリモート アクセスのデフォルト グループに設定されます。
説明 セキュリティ アプライアンスが、メッセージで表示されるプライベート ネットワークまたはホストに関するセキュリティ ポリシー情報を見つけられなかったことを表すメッセージです。これらのネットワークまたはホストは、イニシエータによって送信され、セキュリティ アプライアンス上のどの暗号 ACL とも一致しません。最も考えられる原因は、設定の誤りです。
推奨処置 接続の両側で暗号 ACL の保護ネットワークの設定を調べ、イニシエータ上のローカル ネットワークがレスポンダ上のリモート ネットワークであり、その逆も成り立っているかどうかを確認してください。ワイルドカード マスク、ホスト アドレス、ネットワーク アドレスなどには、特に注意してください。シスコ以外の実装では、プライベート アドレスがプロキシ アドレスまたはレッド ネットワークとしてラベル付けされることがあります。
説明 IKE ピアとして設定されている IP アドレスが、セキュリティ アプライアンスのいずれかの IP インターフェイス上で設定されている IP アドレスと同じてす。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 このイベントの原因となった通知メッセージが、通知処理コードで明示的に処理されないことを表すメッセージです。
推奨処置 固有の理由情報を検証して、対処を決定してください。IKE ピア間の設定の不一致を表す、多くの通知メッセージがあります。
説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、イニシエータの値が小さいことを表します。
説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、イニシエータの値が小さいことを表します。
説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、レスポンダの値が小さいことを表します。
説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、レスポンダの値が小さいことを表します。
説明 modecfg アトリビュートの処理中に内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 不要なトンネル グループ アトリビュートをディセーブルにするか、または長すぎるテキスト メッセージを短縮します。問題が解消されない場合は、エラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報およびコンフィギュレーション ファイルとともに Cisco TAC に提出して、指示を受けてください。
説明 ロードされた証明書のいずれかが読み取り不可能であり、サポート対象外の符号化方式の可能性があることを表すメッセージです。
説明 このトンネルに関するアイデンティティ証明書がセキュリティ アプライアンスで見つからなかったことを表すメッセージです。
説明 IKE フェーズ 1 ID ペイロードで受信したポート値が不正であることを表すメッセージです。許容可能な値は、0 または 500(ISAKMP または IKE)です。
説明 IKE フェーズ 1 ID ペイロードで受信したプロトコル値が不正であることを表すメッセージです。許容可能な値は、0 または 17(UDP)です。
説明 証明書ペイロードを受信したが、アイデンティティ証明書がないことを内部証明書ハンドルが示しているときに表示されます。通常の登録方法で証明書ハンドルが取得されなかった可能性があります。考えられる理由の 1 つは、認証方式が RSA または DSS シグニチャでないことですが、双方の設定が誤っていれば IKE SA ネゴシエーションが失敗するはずです。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 ほとんどの場合、悪性イベントではありませんが、深刻な影響がある場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 トラストポイントを再登録しなければならない場合があります。問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 証明書に基づく IKE セッションの確立が試みられましたが、暗号ポリシーでアイデンティティ証明書が指定されていないことを表すメッセージです。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IKE が受信した ID ペイロードに含まれる Identification Data 変数のサイズが 2K 以上だったことを表すメッセージです。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスがリモート ピアから受信した証明書を処理できなかったことを示します。証明書データの形式が誤っていたか、証明書のデータをアプライアンスで保存できなかった場合に発生することがあります。原因としては、たとえば 4096 ビットより大きいパブリック キー サイズなどがあります。
説明 通知タイプ CONNECTED を含む通知ペイロードをセキュリティ アプライアンスが正常に処理できなかったことを示します。SPI を使用して IKE フェーズ 2 構造を見つけられなかった場合や、受信した ISAKMP ヘッダーで commit ビットが設定されていなかった場合が考えられます。後者の場合、IKE ピアが規格に準拠していない可能性があります。
推奨処置 問題が続く場合は、ピアのコンフィギュレーションを確認し、commit ビット処理をディセーブルにしてください。
説明 IKE SA が 0 以外のトンネル カウントで削除されたことを表すメッセージです。IKE SA のトンネル カウントが対応付けられた接続エントリとの同期を失ったか、または対応する接続エントリの cookie 変数と、その接続エントリがポイントする IKE SA の cookie 変数が同期を失ったことを意味します。この状況が発生すると、IKE SA および対応するデータ構造は解放されないので、データ構造をポイントしている可能性のあるエントリが古いポインタを使用することはありません。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスによる、UDP 上での IPSec の使用の試みをクライアントがリジェクトしました。UDP 上の IPSec を使用すると、複数のクライアントが NAT デバイス経由でセキュリティ アプライアンスへの同時トンネルを確立できます。クライアントが要求をリジェクトした理由としては、この機能をサポートしていないか、またはこの機能を使用するように設定されていないことが考えられます。
説明 ユーザまたはグループが L2TP-over-IPSec 接続を試みましたが、このセキュリティ アプライアンスではL2TP プロトコルがイネーブルではありません。
説明 SPI 値で表される IPSec SA が、リモート ピア上でアクティブでなくなっていることを表すメッセージです。リモート ピアがリブートまたはリセットされた可能性があります。
推奨処置 ピアに確立済みの適切な SA がなくなっていることを DPD が認識すれば、この問題は自動的に解消されるはずです。DPD がイネーブルでない場合、該当するトンネルを手動で再確立する必要があります。
説明 group_descriptor 変数にサポート対象外の値が含まれていることを表すメッセージです。現在、グループ 1、グループ 2、グループ 5、グループ 7 のみがサポートされています。conn_entry の場合、 group_descriptor 変数が 0 に設定され、Perfect Forward Secrecy(PFS)がディセーブルであることを表す場合もあります。
説明 このデバイスでキープアライブがオンまたはオフに設定されているにも関わらず、IKE ピアがキープアライブをサポートする、またはサポートしないことを表すメッセージです。
推奨処置 この設定が意図的なものである場合、対処は不要です。意図的でない場合、両方のデバイスでキープアライブの設定を変更してください。
説明 リモート IKE ピアが所定の時間内にキープアライブに応答しなかったために、IKE ピアとの接続が終了したことを表すメッセージです。使用されているキープアライブ メカニズムもメッセージで表示されます。
説明 リモート IKE ピアが送信した DPD に含まれるシーケンス番号が、予測されるシーケンス番号とは異なっていることを表すメッセージです。パケットは廃棄されます。
説明 ピアが xauth を実行しようとしたにも関わらず、セキュリティ アプライアンスが xauth IKE プロポーザルを選択しなかった場合に、このメッセージが表示されます。
説明 VCPIP への接続の試みが、ロードバランシングによって負荷の少ないピアにリダイレクトされた場合に、このメッセージが表示されます。
説明 xauth または modecfg の実行中に、予期しないペイロードを受信したことを表すメッセージです。2 つのピアが同期外れになっているか、xauth または modecfg のバージョンが一致していないか、またはリモート ピアが適切な RFC に適合していない可能性があります。
説明 現在サポートされていない、有効なトランザクション モード アトリビュート(xauth または modecfg)の要求をデバイスが受信したことを表すメッセージです。この状況は一般に、悪性ではありません。
説明 セキュリティ アプライアンスが、認識しないトランザクション モード アトリビュート(xauth または modecfg)の要求を受信したことを表すメッセージです。有効なアトリビュートでも現バージョンの設定モードでサポートされていない場合や、ピアが独自仕様の無効な値を送信している場合が考えられます。接続に問題が生じることはありませんが、ピアの機能に影響する可能性があります。
説明 リモート アクセス クライアントの IP アドレスを提供する内部ユーティリティからのアドレス要求が、満たされなかったことを表すメッセージです。
説明 設定された LAN 間プロポーザルが、LAN 間の接続で認められるものではない場合に、このメッセージが表示されます。どちら側がイニシエータであるかに応じて、異なるプロポーザルが使用されます。
説明 リモート セキュリティ アプライアンス上でのロードバランシングによって、トンネルがリダイレクトされることを表すメッセージです。REDIRECT_CONNECTION 通知パケットを受信した場合に、このメッセージが表示されます。
説明 SA が非アクティブな状態でハングしていることをリーパが検出しました。リーパはハングした SA の削除を試みます。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ピアの IP アドレスと同じ名前を持つグループが、グループ データベースに存在しない場合に表示されるメッセージです。Main モードでは、セキュリティ アプライアンスはいずれかのデフォルト グループに設定されているデフォルトの事前共有鍵の使用を試みます。デフォルトの事前共有鍵が設定されていません。
説明 ピアの IP アドレスと同じ名前を持つトンネル グループが、グループ データベースに存在しません。Main モードでは、セキュリティ アプライアンスはデフォルト グループに設定されているデフォルトの事前共有鍵の使用を試みます。
説明 スプリット トンネリング ポリシーが、トンネリングを分割するかローカル LAN アクセスを許可するように設定されている場合に、このメッセージが表示されます。VPN クライアントが必要とする情報を表すため、スプリット トンネリング ACL が定義されている必要があります。
説明 クライアントに搭載されているセキュリティ アプライアンスが、設定上必要なセキュリティ アプライアンスと一致しないことを表すメッセージです。このメッセージでは実際の値と必要な値がリストされ、トンネルが打ち切られるか許可されるかが示されます。
推奨処置 クライアントに別のパーソナル セキュリティ アプライアンスを搭載するか、またはセキュリティ アプライアンスの設定を変更してください。
説明 クライアントが modecfg によって使用中のセキュリティ アプライアンスを報告しない場合に、このメッセージが表示されます。このイベントでは、必要な値がリストされ、トンネルが打ち切られるか許可されるかが示されます。製品ストリングの後ろにある数値は、許可される全製品のビットマスクです。
推奨処置 クライアントに別のパーソナル セキュリティ アプライアンスを搭載するか、またはセキュリティ アプライアンスの設定を変更してください。
説明 クライアントから不正なセキュリティ アプライアンス情報を受信したことを表すメッセージです。
推奨処置 クライアント上のパーソナル セキュリティ アプライアンスの設定およびセキュリティ アプライアンスを確認してください。
説明 ネットワーク拡張モードでハードウェア クライアントとのトンネルがネゴシエートされ、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのスタティック ルートが追加されることを表すメッセージです。これにより、セキュリティ アプライアンスはそのリモート ネットワークを、ヘッドエンドのプライベート側にある全ルータに認識させることができます。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。ネットワーク拡張モードでハードウェア クライアントとのトンネルがネゴシエートされ、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのスタティック ルートの追加が失敗しました。ルーティング テーブルが満杯であるか、アドレッシング エラーの可能性があります。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ネットワーク拡張モードでハードウェア クライアントへのトンネルが削除され、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのスタティック ルートが削除されることを表すメッセージです。
説明 ネットワーク拡張モードでハードウェア クライアントへのトンネルの削除中に、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのルートが削除できなかったことを表すメッセージです。
推奨処置 アドレッシングまたはソフトウェアに問題がある可能性があります。ルーティング テーブルを調べて、問題のルートがないことを確認してください。ルートがある場合、ハードウェア クライアントへのトンネルが完全に削除されている場合に限り、そのルートを手動で削除してください。
説明 ヘッドエンドのセキュリティ アプライアンスで、特定のハードウェア クライアントのセキュリティ アトリビュートがイネーブルと指定されているにも関わらず、VPN 3002 ハードウェア クライアントがそのアトリビュートを要求していません。
説明 クライアントが CPP を使用して自身のセキュリティ アプライアンスをプロビジョニングする必要があるにも関わらず、ヘッドエンド デバイスがクライアントに送信すべき ACL を取得できなかったことを表すメッセージです。設定の誤りによるものと考えられます。
説明 特定のサーバに関する DNS 検索が解決されなかったことを表すメッセージです。
推奨処置 セキュリティ アプライアンス上の DNS サーバの設定を確認してください。さらに、DNS サーバが正常に動作していて、IP アドレス マッピングのホスト名があることを確認してください。
説明 プライマリ サーバに関する前回の DNS ルックアップの失敗により、システムがバックアップ ピアを初期化した可能性があります。プライマリ サーバの以降の DNS 検索は最終的に成功し、バックアップ サーバが初期化されていてもリセットされることを表すメッセージです。この時点よりあとに開始されたトンネルが、プライマリ サーバの目標となります。
説明 クライアントがバックアップ サーバにフェールオーバーするか、またはプライマリ サーバに関する DNS 検索の失敗によりバックアップ サーバが初期化されたことを表すメッセージです。この時点よりあとに開始されたトンネルが、指定のバックアップ サーバの目標となります。
説明 クライアントが IKE MSG1 を送信してトンネルの開始を試みましたが、反対側のセキュリティ アプライアンスから応答を受信しなかったことを表すメッセージです。バックアップ サーバが使用可能であれば、クライアントはいずれかのバックアップ サーバとの接続を試みます。
説明 クライアントが IPSec over TCP を使用するように設定されていることを表すメッセージです。このクライアントは、セキュリティ アプライアンスが IPSec over UDP を使用する試みをリジェクトしました。
説明 セキュリティ アプライアンス サーバへの TCP 接続が、何らかの理由で切断されたことを表すメッセージです。考えられる原因としては、サーバのリブート、ネットワークの問題、SSL の不一致などがあります。
推奨処置 初期接続が行われたあとでサーバとの接続が切断された場合は、サーバとネットワークの接続を確認する必要があります。初期接続がただちに切断された場合は、SSL 認証に問題があると考えられます。
説明 セキュリティ アプライアンス サーバがセキュリティ アプライアンスに対し、このユーザを制限する必要があるという旨のメッセージを送信しました。理由としては、セキュリティ アプライアンス ソフトウェアのアップグレードや権限の変更などがあります。セキュリティ アプライアンス サーバは処理が完了次第、ユーザをフル アクセス モードに戻します。
推奨処置 処置は不要ですが、ユーザがフル アクセス ステートに戻されない場合は例外です。その場合には、セキュリティ アプライアンス サーバを調べ、実行された処理およびリモート マシンで稼働中のセキュリティ アプライアンス ソフトウェアの状態を確認してください。
説明 セキュリティ アプライアンス サーバがこのユーザをリジェクトしたことを表すメッセージです。
推奨処置 セキュリティ アプライアンス サーバ上のポリシー情報を調べ、ユーザが正しく設定されているかどうかを確認してください。
説明 セキュリティ アプライアンス サーバがこのユーザ セッションを終了したことを表すメッセージです。クライアント マシン上でインテグリティ エージェントが動作を停止した場合、またはセキュリティ ポリシーがリモート ユーザによって何らかの方法で変更された場合に、このメッセージが表示されます。
推奨処置 クライアント マシンのセキュリティ アプライアンス ソフトウェアが引き続き稼働していて、ポリシーが正しいかどうかを確認してください。
説明 セキュリティ アプライアンス サーバが古いデータを検出した場合、または(リブート時のように)セッション データを失った場合に、このサーバがセッション情報を要求していることを表すメッセージです。
説明 クライアントのトンネル グループのポリシーがデジタル証明書を使用するように設定されているにも関わらず、クライアントが事前共有鍵を使用してネゴシエートしたことを表すメッセージです。
説明 ハードウェア クライアントが拡張認証に失敗したことを表すメッセージです。ユーザ名とパスワード、または認証サーバに問題があると考えられます。
推奨処置 双方に設定されているユーザ名とパスワードの値が一致しているかどうかを確認してください。また、ヘッドエンドの認証サーバが正常に動作しているかどうかを確認してください。
説明 リモート ユーザが拡張認証に失敗したことを表すメッセージです。ユーザ名とパスワード、または認証サーバに問題があると考えられます。
推奨処置 双方に設定されているユーザ名とパスワードの値が一致しているかどうかを確認してください。また、リモート ユーザの認証に使用されている認証サーバが正常に動作しているかどうかを確認してください。
説明 再キーイングに対する再認証がイネーブルに設定されているにも関わらず、トンネル認証に手動での介入が必要であることを表すメッセージです。
説明 再キーイングが完了したあとで、IKE がリモート ピアから古い IKE SA を削除する delete メッセージを受信したことを表すメッセージです。
説明 フェーズ 2 再キーイングが完了したあとで、IKE がリモート ピアから古い conn_entry を削除する delete メッセージを受信しました。
説明 フェーズ 2 で、UDP-Encapsulated-Transport が提案または選択されました。この場合、NAT-Traversal に対するこのペイロードを送信します。
説明 ハードウェア クライアントがネットワーク拡張モードを使用してトンネリングを試みていますが、このモードは認められていません。
説明 アプライアンスが、指定のピアへの IPSec トンネルをトリガーするデータを処理していることを表すイベントです。メモリ リソースがクリティカルな状態なので、これ以上のトンネルは開始できません。このデータ パケットは無視されて廃棄されています。
推奨処置 この状況が続く場合は、アプライアンスが効率的に設定されているかどうかを確認してください。このアプリケーション用には、メモリを増設したアプライアンスが必要であることを表している場合があります。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 クライアントの OS およびアプリケーション バージョンを表すイベントです。この情報が入手できない場合には、N/A と表示されます。
説明 外部 RADIUS 認証サーバから、無効なセカンダリ ドメイン名リストを受信しました。スプリット トンネリングを使用している場合、このリストは、クライアントがトンネル経由で解決すべきドメインを表します。
推奨処置 RADIUS サーバ上の Secondary-Domain-Name-List アトリビュート(ベンダー固有アトリビュート 29)の指定を訂正してください。このリストは、コンマで区切ったドメイン名のリストでなければなりません。ドメイン名には、英数字、ハイフン、アンダースコア、およびピリオド以外の文字が含まれていてはなりません。
説明 このトンネルの確立を試みた IKE ピアは、受信側のリモート サブネットにバインドされている ISAKMP コンフィギュレーションで設定されている IKE ピアではありません。
説明 プールから取得した IP アドレスが、このサブネットのネットワーク アドレスまたはブロードキャスト アドレスです。このアドレスは使用不可能としてマークされます。
説明 アプライアンスが受信した、指定のエクスチェンジ タイプの暗号化または非暗号化パケットで、1 つまたは複数のペイロードが欠落していました。一般に、ピアに問題があることを表します。
説明 Originate Only のピアは、最初の P2 トンネルの確立後でないと、着信接続を受け入れられません。トンネルが確立されると、どの方向のデータでも、追加のフェーズ 2 トンネルを開始できます。
説明 リモート L2L ピアが Public-Public トンネルを開始しました。このピアは相手先として Answer Only のピアを必要としていますが、それが見つかりません。設定の誤りがあると考えられます。
推奨処置 この状態が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 受信した IKE パケットの読み取り中にエラーが発生したことを表すメッセージです。これは一般に内部エラーであり、ソフトウェアに問題があることを示している場合があります。
推奨処置 通常、この問題は悪性ではなく、システムは自動的に訂正されます。この問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ピアに割り当てられたアドレス、またはハードウェア クライアントによって保護されるネットワークへのルートが、ルーティング テーブルに追加されました。
説明 クライアントに割り当てられたアドレス、またはハードウェア クライアントによって保護されたネットワークへのルートを追加する試みが、失敗しました。ルーティング テーブルでのルートの重複、または壊れたネットワーク アドレスが原因と考えられます。重複したルートの場合、ルートが正しくクリーンアップされていないか、または複数のクライアントがネットワークまたはアドレスを共有している可能性があります。
推奨処置 IP ローカル プールの設定と、その他に使用されている IP アドレス割り当てメカニズム(たとえば、DHCP または RADIUS)を確認してください。ルーティング テーブルからルートがクリアされているかどうかを確認してください。また、ピア システムでのネットワークおよびアドレスの設定も確認してください。
説明 グループ ポリシーで認められるトンネルが、トンネル グループの設定で認められるトンネルと異なるために、トンネルが廃棄されたときに表示されるメッセージです。
説明 IKE をトリガーし、IPSec データを正しく処理するための ACL の作成が失敗したことを表すメッセージです。このエラーは、バックアップ L2L の設定に固有のものです。設定エラー、キャパシティ エラー、または内部ソフトウェア エラーの可能性があります。
推奨処置 デバイスが最大数のセキュリティ アプライアンス接続および最大数の VPN トンネルで稼働している場合は、メモリの問題が考えられます。そうでない場合は、バックアップ L2L と暗号マップの設定(暗号マップに対応付けられた ACL)を確認してください。
説明 IKE をトリガーし、IPSec データを正しく処理するための ACL の削除が失敗したことを表すメッセージです。このエラーは、バックアップ L2L の設定に固有のものです。内部ソフトウェア エラーの可能性があります。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 バックアップ L2L の設定に対応付けられたダイナミック暗号マップの実行時インスタンスの作成が失敗したことを表すメッセージです。設定エラー、キャパシティ エラー、または内部ソフトウェア エラーの可能性があります。
推奨処置 デバイスが最大数のセキュリティ アプライアンス接続および最大数の VPN トンネルで稼働している場合は、メモリの問題が考えられます。そうでない場合は、バックアップ L2L と暗号マップの設定(暗号マップに対応付けられた ACL)を確認してください。
説明 セキュリティ アプライアンスがピアのプライベート アドレスまたはネットワークへのルートを追加することを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。
説明 セキュリティ アプライアンスが、ピアのプライベート アドレスまたはネットワークへのルートの追加に失敗したことを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。ルートが重複しているか、ルーティング テーブルが満杯になっているか、以前使用したルートが削除されていない可能性があります。
推奨処置 ルーティング テーブルを調べ、ルートを追加する余地があるかどうか、古いルートが存在していないかどうかを確認してください。テーブルが満杯の場合、または古いルートが含まれている場合には、それらのルートを削除してやり直してください。問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスがピアのプライベート アドレスまたはネットワークへのルートを削除することを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。
説明 セキュリティ アプライアンスがピアのプライベート アドレスまたはネットワークへのルートを削除中に、エラーが発生したことを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。ルートがすでに削除されているか、または内部ソフトウェア エラーが発生している可能性があります。
推奨処置 ルートがすでに削除されている場合は、状況は悪性ではなく、デバイスは正常に機能します。問題が続く場合、または VPN トンネル経由でルーティングの問題につながる可能性がある場合は、VPN L2L 設定のルーティングおよびアドレッシングの部分を確認してください。リバース ルートの入力と、該当する暗号マップに対応付けられた ACL を確認してください。問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 クライアントのタイプおよびバージョンが、セキュリティ アプライアンスに設定されているどのルールにも一致しなかったことを表すメッセージです。デフォルトのアクションが表示されます。
説明 クライアントのタイプおよびバージョンが、いずれかのルールに一致したことを表すメッセージです。一致の結果およびルールが表示されます。
説明 クライアントのタイプおよびバージョンに関するルールのフォーマットに誤りがあることを表すメッセージです。必要なフォーマットは、action client type | client version action; であり、[permit] または [deny] の client type および client version が、Session Management に表示されます。パラメータごとに使用できるワイルドカード(*)は 1 つだけです。
説明 セキュリティ アプライアンスが暗号マップを反復的に使用し、コンフィギュレーション情報を探していることを表すメッセージです。
説明 セキュリティ アプライアンスが設定されている暗号マップを反復的に使用しても、対応する ACL との一致が見つからなかったことを表すメッセージです。一般に、ACL 設定の誤りを意味します。
推奨処置 このトンネル ピアに対応付けられた ACL を調べ、VPN トンネルの両側とも適切なプライベート ネットワークを指定しているかどうかを確認してください。
説明 このピアに対応付けられた暗号マップが、ACL にリンクされていないことを表すメッセージです。
推奨処置 この暗号マップに対応する ACL が存在していて、その ACL に、VPN トンネルの両側からの適切なプライベート アドレスまたはネットワークが含まれているかどうかを確認してください。
説明 この VPN トンネルに対応付けられた暗号マップで、重要な情報が欠落していることを表すメッセージです。
推奨処置 暗号マップが両方の VPN ピア、トランスフォーム セット、および対応する ACL を含めて、正しく設定されているかどうかを確認してください。
説明 セキュリティ アプライアンスが、この VPN トンネルに一致する有効な暗号マップを見つけ出したことを表すメッセージです。
説明 デバイスがデジタル証明書を使用するように設定した場合、コンフィギュレーションにトラストポイントが指定されている必要があります。コンフィギュレーションにトラストポイントがない場合に、このメッセージが生成され、エラーが示されます。
説明 VPN リモート アクセス クライアントに、最新のソフトウェアがダウンロード可能である旨が通知されたとき、このメッセージが表示されます。リモート クライアントのユーザが、クライアント アクセス ソフトウェアを更新する必要があります。
• client_ip ― リモート クライアントの IP アドレス
説明 IKE が各種のメッセージを送受信したときに、このメッセージが表示されます。
次に、IKE が 8 バイトのハッシュ ペイロード、11 バイトの通知ペイロード、および 13 バイトのベンダー固有ペイロードのあるメッセージを受信したときの出力例を示します。
説明 VPN リモート アクセス クライアントに、最新のソフトウェアがダウンロード可能である旨が通知されたとき、このメッセージが表示されます。リモート クライアントのユーザが、クライアント アクセス ソフトウェアを更新する必要があります。
• client_ip ― リモート クライアントの IP アドレス
説明 重大なイベントまたは障害を説明する、複数のテキスト ストリングで構成される場合のあるメッセージです。
推奨処置 問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 発生したエラーを説明する、複数のテキスト ストリングで構成される場合のあるメッセージです。ヘッドエンドまたはリモート アクセス クライアントの設定が誤っている可能性があります。イベント ストリングで、発生したエラーの詳細が示されます。
推奨処置 トラブルシューティングして、エラーの原因を特定しなければならない場合があります。両方のピアで ISAKMP および暗号マップの設定を確認してください。
説明 エラーを説明する、複数のテキスト ストリングで構成される場合のあるシステム ログ メッセージです。ヘッドエンドまたはリモート アクセス クライアントの設定が誤っている可能性があります。
推奨処置 設定をトラブルシューティングして、エラーの原因を特定しなければならない場合があります。両方のピアで ISAKMP および暗号マップの設定を確認してください。
説明 警告を表す、複数のテキスト ストリングで構成される場合のあるメッセージです。予期しないピアの動作(接続の切断など)によって発生することがあります。
説明 一般的なステータス情報を説明する、複数のテキスト ストリングで構成される場合のあるメッセージです。これらのメッセージは、発生したイベントの追跡に使用されます。
説明 一般的なステータス情報を説明する、複数のテキスト ストリングで構成される場合のあるメッセージです。これらのメッセージは、発生したイベントの追跡に使用されます。
説明 セキュリティ アプライアンスがフェーズ 2 イニシエータとして、Quick モード エクスチェンジの最初のパケットを送信しました。
説明 セキュリティ アプライアンスがフェーズ 2 レスポンダとして、Quick モード エクスチェンジの最初のパケットを受信しました。
説明 メッセージをキューに格納しようとしたとき、内部エラーが発生したことを表すメッセージです。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部サブルーチンが不正なメッセージ コードを受信したことを表すメッセージです。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IKE がトンネル ネゴシエーションを完了し、IPSec 用の適切な暗号化およびハッシュ キーを正常にロードしたことを表すメッセージです。
説明 コール側のサブルーチンが IPSec SA を削除できなかったことを表すメッセージです。参照カウントの問題を示している可能性があります。
推奨処置 このイベントの結果、古い SA の数が増える場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IKE がこのデータ用のトンネルを確立中であることを表すメッセージです。トンネルが完全に確立されるまで、このトンネルで保護されるすべてのパケットが廃棄されます。
説明 セキュリティ アプライアンスが処理している modecfg アトリビュートの名前および値のペアを表示するメッセージです。
説明 セキュリティ アプライアンスが送信している modecfg アトリビュートの名前および値のペアを表示するメッセージです。
説明 フェーズ 1 の処理がすべて完了するまで(トランザクション モードなど)、Quick モード処理が遅延することを表すメッセージです。
説明 レスポンダが受信したペイロードから、指定の IPSec SA プロポーザルおよびトランスフォームが選択されたことを表すメッセージです。IKE ネゴシエーションに関する問題をデバッグするとき、このデータが役立ちます。
説明 レスポンダが受信したペイロードから、指定の IKE SA トランスフォームが選択されたことを表すメッセージです。IKE ネゴシエーションに関する問題をデバッグするとき、このデータが役立ちます。
説明 セキュリティ アプライアンスが、通知タイプ CONNECTED(16384)の通知ペイロードを含むメッセージを処理中であることを表します。CONNECTED 通知は、commit bit 処理の終了に使用され、レスポンダからイニシエータに送信される 4 番めの全体的 Quick モード パケットに含まれています。
説明 キープアライブ タイマーが、変数が示す秒数にわたってキープアライブ メッセージを監視することを表すメッセージです。
説明 このバージョンの Cisco IOS ソフトウェアの機能が不明であることを示します。
推奨処置 IKE キープアライブなどの機能に相互運用性の問題がある可能性があります。このような相互運用性の問題に結び付く場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、IOS ソフトウェアおよびセキュリティ アプライアンスのバージョンも含めて、収集した情報とともに Cisco TAC に提出し、指示を受けてください。
説明 Cisco IOS ソフトウェアの Vendor ID ペイロードの処理が実行されたことを表すメッセージです。実行中の処理は、Cisco IOS ソフトウェアのスプーフィングである可能性があります。
説明 IKE トンネル テーブルに、SA が解放された時点で削除されなかったエントリがあることを表すメッセージです。ステート マシンの不具合を表します。
推奨処置 問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 SA の削除時に、認証ハンドルが引き続きアクティブであったことを表すメッセージです。これはエラー状況におけるクリーンアップ リカバリの一部分です。
説明 リモート アクセス クライアントの IP アドレスを提供する内部ユーティリティからのアドレス要求が、満たされなかったことを表します。このメッセージの可変のテキストで、より具体的な原因が示されます。
説明 キープアライブ機能が設定されていない状態で、セキュリティ アプライアンスが Cisco IOS ソフトウェアのキープアライブ ペイロードをベンダーから受信しました。ペイロードは無視されます。
説明 このメッセージは Cisco IOS ベンダー ID と似ていますが、 hmac_sha と一致しません。
推奨処置 両方のピアで Cisco IOS のベンダー ID の設定を確認してください。この問題が相互運用性に影響する場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 FWTYPE モード設定応答の処理中に、不明の TLV をセキュリティ アプライアンス レコードで受信しました。これは廃棄されます。原因としては、パケットが壊れている場合、または接続先クライアントがサポートするセキュリティ アプライアンス プロトコルのバージョンが新しい場合が考えられます。
推奨処置 Cisco VPN Client にインストールされているファイアウォールと、セキュリティ アプライアンス上のファイアウォールの設定を確認してください。VPN クライアントとセキュリティ アプライアンスのバージョンが一致していない場合もあります。
説明 古い P1 SA を削除していますが、移行すべき新しい SA にも削除のマークが付けられているので、新しい SA に移行できません。一般に、2 つの IKE ピアが同期外れになっていて、それぞれ異なる再キーイング時間を使用している可能性があります。この問題は自動的に解消されますが、新しい P1 SA が再確立されるまで、わずかなデータ損失が生じることがあります。
説明 リモート側(クライアント)に IPSec over TCP が設定されているので、ヘッドエンドのセキュリティ アプライアンスはクライアントと IPSec over UDP または IPSec over NAT-T をネゴシエートすることはできません。
推奨処置 トンネルが確立されない場合、いずれかのピアの NAT 透過性の設定を調整しなければならない場合があります。そうでない場合、これは情報メッセージです。
説明 NAT-Traversal VID を交換したあと、リモート側が NAT トラバーサルに必要な NAT-D ペイロードを提供しませんでした。少なくとも 2 つの NAT-D ペイロードを受信する必要があります。
推奨処置 このエラーは NAT-T 実装への不適合を表している場合があります。問題のピアがシスコ製品の場合、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、製品番号およびソフトウェア バージョンも含めて、収集した情報とともに Cisco TAC に提出し、指示を受けてください。問題のピアがシスコ製品でない場合は、製造元のテクニカル サポートに連絡してください。
説明 NAT-Traversal を正常にネゴシエートするには、SA で定義されている通常のトランスポート モードおよびトンネル モードではなく、UDP-Encapsulated-Tunnel モードおよび UDP-Encapsulated-Transport モードを使用する必要があります。
推奨処置 処置は理由によって異なりますが、このメッセージは中間にある NAT デバイスの問題または不適合のピアを示している可能性があります。
推奨処置 ネットワークに問題があることを示している可能性があります。この状況によってトンネルが切断されたり、ある種のピアがセキュリティ アプライアンスとネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、製品番号およびソフトウェア バージョンも含めて、収集した情報とともに Cisco TAC に提出し、指示を受けてください。
説明 フェーズ 1 エラーが発生し、 state 、 event のヒストリ ペアが時間をさかのぼる順序で表示されます。
推奨処置 ほとんどの場合、悪性のエラーではありません。望ましくない動作に関連してこれらのメッセージが表示される場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IKE SA の論理 ID がヌルです。フェーズ 2 ネゴシエーションが打ち切られます。
推奨処置 内部エラーが発生しました。デバイスが回復して正常に動作しない場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 確立しようとしている LAN-to-LAN SA が、すでに存在しています。つまり、同じリモート ネットワーク内にピアの異なる SA が存在します。この設定は無効なので、新しい SA は削除されます。
推奨処置 対応するすべてのピアで、LAN-to-LAN の設定を確認してください。複数のピアがプライベート ネットワークを共有することはできません。
説明 確立しようとしているリモート アクセス SA が、すでに存在しています。つまり、同じリモート ネットワーク内にピアの異なる SA が存在します。ピアの IP アドレスが変更された可能性があるので、古い SA は削除されます。
推奨処置 クライアント トンネルが急に終了した場合は特に、悪性の状況ではありません。望ましくない動作に関連してこのメッセージが表示される場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ESP SPI サイズが無効である IPSec SA プロポーザルをセキュリティ アプライアンスが受信しました。このプロポーザルはスキップされます。
推奨処置 一般に悪性の状況ではありませんが、ピアが不適合の可能性もあります。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IPComp SPI サイズが無効である IPSec SA プロポーザルをセキュリティ アプライアンスが受信しました。このプロポーザルはスキップされます。
推奨処置 一般に悪性の状況ではありませんが、ピアが不適合の可能性もあります。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 プロトコル ID が不明である IPSec SA プロポーザルをセキュリティ アプライアンスが受信しました。このプロポーザルはスキップされます。
推奨処置 一般に悪性の状況ではありませんが、ピアが不適合の可能性もあります。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスがリモート ユーザに関する許可情報を取得できませんでした。
推奨処置 認証および許可の設定がすべて正しいかどうかを確認してください。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 このメッセージは、DPD 送信メッセージを記録する 715036 [DPD R-U-THERE] メッセージとペアになっています。
• IP_address ― VPN ピアの IP アドレス
• message_type ― メッセージ タイプ([DPD R-U-THERE] または [DPD R-U-THERE-ACK])
• ケース 1 ― 受信したピアが [DPD R-U-THERE] メッセージを送信した場合
[DPD R-U-THERE] メッセージを受信し、そのシーケンス番号は発信した DPD 応答の番号と一致しています。
f1 がピアから [DPD R-U-THERE] メッセージを受信する前に [DPD R-U-THERE-ACK] を送信した場合、セキュリティ違反の可能性があります。
• ケース 2 ― 受信したピアが [DPD R-U-THERE-ACK] メッセージで応答した場合
受信した [DPD R-U-THERE-ACK] メッセージのシーケンス番号は、直前に送信した DPD メッセージの番号と一致しています。
f1 がピアに [DPD R-U-THERE] メッセージを送信したあと、適当な時間内に [DPD R-U-THERE-ACK] メッセージを受信できなかった場合、トンネルがダウンしている可能性があります。
説明 IKE が各種のハッシュ値を計算した場合に表示されます。
• Group = groupname , Username = username , IP = ip_address , ...
説明 IKE に各種のメッセージが送信された場合に表示されます。
• Received a key acquire message.
• Received SPI for a non-existent SA.
• Could not find IKE SA to activate IPSEC (OB).
• Could not find IKE SA to rekey IPSEC (OB).
• KEY_SA_ACTIVE no centry found.
• KEY_UPDATE centry not found.
説明 この trustpoint_name トラストポイントへの登録要求が失敗しました。
説明 トラストポイント trustpoint_name がエクスポートに失敗しました。CA 証明書しか存在せず、トラストポイントのアイデンティティ証明書が存在しないか、または必要なキーペアが欠落している可能性があります。
説明 要求したトラストポイント trustpoint_name のインポートが処理できませんでした。
推奨処置 インポートしたデータの完全性を調べ、PKCS 12 レコード全体を正しく入力しているかどうかを確認して、もう一度インポートしてください。
説明 process_requiring_memory へのメモリの割り当て中に、内部エラーが発生しました。他のプロセスのメモリ割り当てに問題が生じ、処理が不可能になる可能性があります。
説明 証明書の確認が、 reason_string で示される理由によって失敗しました。 reason_string は、エラーの理由を表し、無効になった証明書を確認しようとした場合や、証明書のアトリビュートが無効な場合、または設定の問題が考えられます。
• reason_string ― 証明書の確認が失敗した理由
推奨処置 reason_string で適切なトラストポイントが見つからない旨が示された場合は、確認のための有効なトラストポイントが設定されているかどうかを調べてください。システム時刻を調べ、CA 時刻に対して正確かどうかを確認してください。 reason_string を確認し、指摘された問題を訂正してください。
説明 Certificate Revocation List(CRL)ポーリングが失敗し、CRL チェックが必要な場合、接続が拒否される可能性があります。
• trustpoint_name ― CRL を要求したトラストポイントの名前
推奨処置 設定されている CRL ディストリビューション ポイントとの接続を調べ、手動での CRL 取得も正常に動作するかどうかを確認してください。
説明 指定のトラストポイント trustpoint_name で、指定の時刻 time_of_failure に、キャッシュに格納された CRL エントリの更新が失敗したことを表すログ メッセージです。システム上で CRL が古くなっているために、有効な CRL を必要とする接続が拒否される可能性があります。
推奨処置 サーバとの接続について、ネットワークのダウン、サーバのダウンなども含めて確認してください。 crypto ca crl retrieve コマンドを使用して、CRL を手動で取得してください。
説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスを設定している場合、接続のたびに CRL をダウンロードしなくても済むように、CRL をメモリにキャッシュすることができます。キャッシュが満杯になり着信した CRL を格納できない場合、必要なスペースを作るために古い CRL が削除されます。このログ イベントは、CRL を削除するたびに生成されます。
説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスを設定している場合、接続のたびに CRL をダウンロードしなくても済むように、CRL をメモリにキャッシュすることができます。受信した CRL が大きすぎてキャッシュに格納できない場合、このログ イベントが生成されます。
推奨処置 対処は不要です。容量の大きい CRL は引き続きサポートされていますが、キャッシュには格納できません。このような CRL を IPSec 接続のたびにダウンロードすることになり、IPSec 接続のバースト時にパフォーマンスに影響することがあります。
説明 IPSec 接続によって、許容される CRL の最大サイズ max_crl_size を超えた CRL がダウンロードされる場合に、このログ イベントが生成されます。これは接続の失敗を引き起こすエラー条件です。このメッセージは、10 秒で 1 回にレート制限されています。
推奨処置 CRL による無効の確認方式の最大の欠点は、スケーラビリティです。この問題を解決するには、CA ベース ソリューションを検証して CRL のサイズを小さくするか、または CRL での確認を必要としないようにデバイスを設定するしかありません。
説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスを設定している場合、接続のたびに CRL をダウンロードしなくても済むように、CRL をメモリにキャッシュすることができます。CA が期限切れの時刻を指定している場合、または設定されたキャッシュ時間が経過して CRL がキャッシュから削除された場合に、このログ イベントが生成されます。
説明 CA に CA 証明書を要求してトラストポイントを認証しようとしたときに発生する可能性があるエラーです。
推奨処置 このトラストポイントに登録 URL が設定されていることを確認し、CA サーバとの接続を確認して、要求をやり直してください。
説明 IPSec 接続によって、サポート可能な数より多い無効エントリを含む CRL がダウンロードされた場合に、このログ イベントが生成されます。これは接続の失敗を引き起こすエラー条件です。このメッセージは、10 秒で 1 回にレート制限されています。
• number_of_entries ― 受信した CRL に含まれる無効エントリの数
• max_allowed ― デバイスがサポートしている CRL エントリの最大数
推奨処置 CRL による無効の確認方式の最大の欠点は、スケーラビリティです。この問題を解決するには、CA ベース ソリューションを検証して CRL のサイズを小さくするか、または CRL での確認を必要としないようにデバイスを設定するしかありません。
説明 取得した CRL が無効であり、 failure_reason で示される理由により、キャッシュに格納できない場合に生成されるログ イベントです。
• trustpoint_name ― CRL を要求したトラストポイントの名前
• failure_reason ― CRL をキャッシュに格納できない理由
推奨処置 現在のシステム時刻が CA 時刻に対して正確であるかどうかを確認してください。NextUpdate 変数がない場合は、この変数を無視するようにトラストポイントを設定してください。
説明 指定の証明書の確認が成功したときに表示されるメッセージです。
• certificate identifiers ― 確認に成功した証明書の情報。理由、シリアル番号、件名などが含まれる場合があります。
説明 一連の証明書の確認が成功したときに表示されるメッセージです。
• additional info ― 一連の証明書を確認した方法についての詳細情報。たとえば [with warning] の場合、CRL チェックは実行されていません。
説明 クライアント証明書であることが判明した証明書を表すメッセージです。
• serial_number ― クライアント証明書として識別された証明書のシリアル番号
説明 VPNLB キューにメッセージを格納しようとしたときに、内部ソフトウェア エラーが発生しました。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ロードバランシング ピアの最大数を超過しました。新しいピアは無視されます。
推奨処置 ロードバランシングおよびネットワークの設定を確認し、ロードバランシング ピア数が許容される最大数を超過しないようにしてください。
説明 いずれかのロードバランシング ピアから、認識されないロードバランシング メッセージを受信しました。ピア間でバージョンが一致していない可能性がありますが、最も考えられる原因は、内部ソフトウェア エラーです。
推奨処置 すべてのロードバランシング ピアが互換であるかどうかを確認してください。互換であるにも関わらず、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスが不明の内部メッセージを受信しました。一般に、内部ソフトウェア エラーを表します。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ロードバランシング ソケットでパケットを送信しようとしたときに、内部ソフトウェア エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ステート マシン エラーが発生しました。内部ソフトウェア エラーの可能性があります。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ロードバランシング ソケットをオープンしようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ロードバランシング ソケットへのバインドを試みたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 いずれかのロードバランシング ピアに Hello 応答メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 いずれかのロードバランシング ピアに Hello 要求メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスが不明のピアについてタイムアウトを処理しました。ピアはすでにアクティブ リストから削除されている可能性があるので、このメッセージは無視されています。
推奨処置 このメッセージが続く場合や、望ましくない結果を引き起こす場合には、ロードバランシング ピアを調べ、すべてのピアが正しく設定されているかどうかを確認してください。
説明 いずれかのロードバランシング ピアにキープアライブ要求メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 いずれかのロードバランシング ピアにキープアライブ応答メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 いずれかのロードバランシング ピアにコンフィギュレーション アップデート メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスがロードバランシング ピアにコンフィギュレーション アップデート メッセージを送信しました。
説明 セキュリティ アプライアンスがロードバランシング ピアからコンフィギュレーション アップデート メッセージを受信しました。
推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、すべてのロードバランシング ピアが正しく設定され、正常に検出されているかどうかを確認してください。
説明 いずれかのロードバランシング ピアに OOS Indicator メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスがロードバランシング ピアから OOS Indicator メッセージを受信しました。
説明 いずれかのロードバランシング ピアにトポロジー インジケータ メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスがピアのタイムアウトを処理しました。
推奨処置 ピアがタイムアウトする必然性があったかどうかを確認してください。妥当でない場合、ピアのロードバランシング設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。
説明 マスター ロールのセキュリティ アプライアンスが、指定の回数のピア タイムアウトを処理しました。
推奨処置 タイムアウトが妥当かどうかを確認してください。妥当でない場合、ピアのロードバランシング設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。
説明 スレーブ ロールのセキュリティ アプライアンスが、指定の回数のピア タイムアウトを処理しました。
推奨処置 タイムアウトが妥当かどうかを確認してください。妥当でない場合、ピアのロードバランシング設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。
説明 セキュリティ アプライアンスがダウン ピアを検出しました。
推奨処置 ダウン ピアの検出が妥当かどうかを確認してください。妥当でない場合、ピアのロードバランシング設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。
説明 セキュリティ アプライアンスがロードバランシング ピア間の通信を保護するグループ ポリシーの作成中に、エラーが発生しました。
説明 セキュリティ アプライアンスがロードバランシング ピアへの IPSec トンネルを確立中に、エラーが発生しました。
説明 セキュリティ アプライアンスがロードバランシング ピアへの IPSec トンネルを終了中に、エラーが発生しました。
説明 割り込みサービス ルーティングからメッセージを VPNLB キューに格納しようとしたとき、内部ソフトウェア エラーが発生しました。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 このイベントは、ロードバランシング有限ステート マシンに属するアクション ルーチンのリターン コードを追跡します。
説明 ソケット選択コールがエラーを返し、ソケットを読み取れませんでした。内部ソフトウェア エラーの可能性があります。
推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 選択コールを通じてデータを検出したあと、ソケットの読み取りが失敗しました。内部ソフトウェア エラーの可能性があります。
推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 全部の前提条件が満たされていないため、ロードバランシング プロセスを実行できないことを表すメッセージです。前提条件は、2 つのアクティブ インターフェイスおよびロードバランシングがイネーブルであることです。
推奨処置 インターフェイスの設定を調べ、少なくとも 2 つのインターフェイスが正常に動作しているかどうかを確認してください。ロードバランシング設定も確認してください。
説明 ロードバランシングでは、外部インターフェイスへのセカンダリ アドレスの追加が必要です。このイベントは、セカンダリ アドレスを追加するときにエラーが発生したことを表します。
推奨処置 セカンダリ アドレスとして使用しているアドレスを調べ、有効な一意のアドレスであるかどうかを確認してください。外部インターフェイスの設定も確認してください。
説明 セカンダリ アドレスを削除できませんでした。アドレッシングの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 外部インターフェイスのアドレッシング情報を調べ、有効な一意のセカンダリ アドレスであるかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ACL を使用して、ロードバランシング ピアが通信できるセキュア トンネルを作成します。セキュリティ アプライアンスが、いずれかの ACL を作成できませんでした。アドレッシングの問題または内部ソフトウェアの問題の可能性があります。
推奨処置 すべてのピアで内部インターフェイスのアドレッシング情報を確認し、すべてのピアが正しく検出されるようにします。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュア トンネルを削除するとき、対応する ACL のないピア エントリをセキュリティ アプライアンスが検出しました。
説明 セキュリティ アプライアンスがロードバランシング ピア間の通信を保護するトンネル グループの作成中に、エラーが発生しました。
説明 セキュリティ アプライアンスがロードバランシング ピア間の通信を保護するトンネル グループの削除中に、エラーが発生しました。
説明 セキュリティ アプライアンスがロードバランシング ピア間の通信を保護する暗号マップの作成中に、エラーが発生しました。
説明 セキュリティ アプライアンスがロードバランシング ピア間の通信を保護する暗号マップの削除中に、エラーが発生しました。
説明 セキュリティ アプライアンスがロードバランシング ピア間の通信を保護するトランスフォーム セットの作成中に、エラーが発生しました。内部ソフトウェアの問題の可能性があります。
推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスがロードバランシング ピア間の通信を保護するトランスフォーム セットの削除中に、エラーが発生しました。
説明 クラスタの IP アドレスは、セキュリティ アプライアンスの外部インターフェイスと同じサブネット内でなければなりません。このイベントは、同じネットワークでないことを表します。
推奨処置 クラスタ(または仮想)IP アドレスと外部インターフェイス アドレスが同じネットワークにあるかどうかを確認してください。
説明 セキュリティ アプライアンスがロードバランシング ピア間の通信を保護する SoftNP ACL ルールの作成中に、エラーが発生しました。内部ソフトウェアの問題の可能性があります。
推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスがロードバランシング ピア間の通信を保護する SoftNP ACL ルールの削除中に、エラーが発生しました。
説明 最大セッション数の制限に達したため、着信 E メール プロキシ セッションを確立できなかったことを表すメッセージです。 maximum_sessions が最大セッション数です。
説明 セッションがエラーのために終了したことを表すメッセージです。考えられるエラーとしては、セッション間データベース追加のエラー、メモリ割り当てエラー、チャネルへのデータ書き込みエラーなどが挙げられます。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレス、 reason はエラー タイプです。
説明 セッションの終了後に、動的に割り当てられたセッション構造が解放され、NULL に設定されたことを表すメッセージです。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。
説明 新しい着信セッション用に FSM が作成されたことを表すメッセージです。NAME はセッションの FSM インスタンス名、 protocol は E メール プロトコル タイプ(POP3、IMAP、SMTP など)、 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。
説明 ネットワーク輻輳のため、E メール クライアントまたは E メール サーバにデータを送信できないことを表すメッセージです。ブロック タイマーが起動されます。このタイマーがタイムアウトすると、セッションが期限切れになります。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。
説明 セッション データベースで一致するセッションが見つからない場合に表示されるメッセージです。セッション ポインタが不正です。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。
説明 E メール プロキシがディセーブルの場合に表示されるメッセージです。すべてのリソースがクリーンアップされ、すべてのスレッドが終了します。
説明 CLI から起動された特定のエントリ ポイントで、E メール プロキシ機能がディセーブルになったときに表示されるメッセージです。これはユーザ用の主要な「オフ」スイッチです。すべてのインターフェイスですべてのプロトコルをオフにしているときは、メイン シャットダウン ルーチンが呼び出されて、グローバル リソースやスレッドなどがクリーンアップされます。 protocol は E メール プロトコル プロキシのタイプ(POP3、IMAP、SMTP など)、 interface_name はセキュリティ アプライアンスのインターフェイス名です。
説明 CLI から起動された特定のエントリ ポイントで、E メール プロキシ機能がイネーブルになったときに表示されるメッセージです。これはユーザ用の主要な「オン」スイッチです。初めて使用するときは、メイン起動ルーチンが呼び出されて、グローバル リソースやスレッドなどが割り当てられます。その後の呼び出しでは、特定プロトコル用にリッスン スレッドを起動することのみが必要です。 protocol は E メール プロトコル プロキシのタイプ(POP3、IMAP、SMTP など)、 interface_name はセキュリティ アプライアンスのインターフェイス名です。
説明 設定済みのポートに特定のプロトコルに関するリスン チャネルが開かれ、そのポートが TCP セレクト グループに追加されたときに表示されるメッセージです。 port は設定済みのポート番号、 protocol は E メール プロキシ プロトコルのタイプ(POP3、IMAP、SMTP など)です。
説明 設定済みのポートに特定のプロトコルに関するリスン チャネルが閉じられ、そのポートが TCP セレクト グループから削除されたときに表示されるメッセージです。 port は設定済みのポート番号、 protocol は E メール プロキシ プロトコルのタイプ(POP3、IMAP、SMTP など)です。
説明 特定のプロトコルに関するリスン ポートで変更がシグナリングされたときに表示されるメッセージです。そのポートでイネーブルのすべてのインターフェイスで、リスン チャネルが閉じられ、新しいポートでリスンが再開されます。この動作は CLI から起動します。 old_port は設定済みの古いポート番号、 new_port は設定済みの新しいポート番号、 protocol は E メール プロキシ プロトコルのタイプ(POP3、IMAP、SMTP など)です。
説明 クライアントからユーザ名ストリングを、vpnuser(名前デリミタ)mailuser(サーバ デリミタ)mailserver(例:xxx:yyy@example.com)のフォーマットで受信したときに表示されるメッセージです。名前デリミタは省略可能です。このデリミタを省略する場合、VPN ユーザ名とメール ユーザ名は共通です。サーバ デリミタは省略可能です。このデリミタを省略する場合、設定されているデフォルトのメール サーバが使用されます。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレス、mail_user は E メール アカウント ユーザ名、 VPN_user は WebVPN ユーザ名、 server は E メール サーバです。
説明 クライアントからパスワード ストリングを、vpnpass(名前デリミタ)mailpass(例:xxx:yyy)のフォーマットで受信したときに表示されるメッセージです。名前デリミタは省略可能です。このデリミタを省略する場合、VPN パスワードとメール パスワードは共通です。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。
説明 ホスト名が無効であるか、または使用可能な DNS サーバがないために、ホスト名を IP アドレスで解決できない場合に表示されるメッセージです。 hostname は、解決する必要のあるホスト名です。
説明 ホスト名が IP アドレスで正しく解決されたことを表すメッセージです。 hostname は解決する必要のあるホスト名、 IP_address は設定されたメール サーバ名から解決された IP アドレスです。
説明 VPN フェールオーバー サブシステムが、メモリ バッファ管理サブシステムの初期化に失敗したときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 このメッセージはシステム全体の問題を表しており、VPN フェールオーバー サブシステムを起動できません。システム ログ メッセージを調べ、システム レベルで初期化に問題を生じている兆候がないかどうかを確認してください。
説明 VPN フェールオーバー サブシステムが起動され、システムがブートしたことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 ブート時に VPN フェールオーバー サブシステムの初期化が完了したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 ブート時に VPN フェールオーバーのメインの処理スレッドが起動したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 ブート時に VPN フェールオーバーのタイマー処理スレッドが起動したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 ブート時にシステムのバルク同期処理スレッドが起動したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 事前に割り当てられたメモリ バッファの集合が使い果たされたことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 このメッセージはリソースの問題を表しています。処理中のメッセージが多すぎて、システムに高負荷が生じている可能性があります。VPN フェールオーバー サブシステムによって未処理のメッセージが処理され、割り当てられていたメモリが解放されると、この状況が改善される可能性があります。
説明 VPN フェールオーバー サブシステムがコアのフェールオーバー サブシステムに登録できなかったときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 VPN フェールオーバー サブシステムが起動できません。他のサブシステムに初期化の問題がある可能性があります。システム ログ メッセージを調べ、システム全体で初期化に問題を生じている兆候がないかどうかを確認してください。
説明 VPN フェールオーバー サブシステムが、バージョン コントロール ブロックを作成できなかったときに表示されるメッセージです。VPN フェールオーバー サブシステムが、現在のリリースと下位互換性のあるファームウェア バージョンを検索するには、このステップが必要です。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 VPN フェールオーバー サブシステムが起動できません。他のサブシステムに初期化の問題がある可能性があります。システム ログ メッセージを調べ、システム全体で初期化に問題を生じている兆候がないかどうかを確認してください。
説明 オペレータがフェールオーバー キーを定義せずにフェールオーバーをイネーブルにしたときに表示されるメッセージです。VPN フェールオーバーを使用するには、フェールオーバー キーを定義する必要があります。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 failover key コマンドを使用して、アクティブ装置とスタンバイ装置の間の共有秘密鍵を定義してください。
説明 VPN フェールオーバー サブシステムがメモリ バッファを割り当てられなかったときに表示されるメッセージです。システム全体でリソースに問題があります。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 システムに高負荷が生じている可能性があります。着信トラフィックを減らして、システムの負荷を下げれば、この状況が改善される可能性があります。着信トラフィックを減らすことで、現在の作業負荷を処理するために割り当てられているメモリが使用可能になり、システムが正常な動作に戻る可能性があります。
説明 対応する IPSec トンネルがスタンバイ装置上で削除されたために、VPN フェールオーバー サブシステムが IPSec 関連の実行時データを更新できないときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 VPN フェールオーバー サブシステムが、トラストポイントに証明書の挿入を試みたときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。 trustpoint_name は、トラストポイントの名前です。
説明 フェーズ 2 接続エントリにリンクする SA がないときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 message_number はフェーズ 2 接続エントリのメッセージ ID、 mine はこちら側のフェーズ 1 Cookie、 his はピアのフェーズ 1 Cookie です。
説明 特定のフェーズ 2 接続エントリに対応するフェーズ 1 SA が見つからないときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 message_number はフェーズ 2 接続エントリのメッセージ ID、 mine はこちら側のフェーズ 1 Cookie、 his はピアのフェーズ 1 Cookie です。
説明 VPN フェールオーバー サブシステムが、特定のタイマー イベントを初期化できなかったときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 index はタイマー イベントの内部インデックスです。
推奨処置 ブート時に VPN フェールオーバー サブシステムが起動できません。システム ログ メッセージを調べ、システム全体で初期化に問題を生じている兆候がないかどうかを確認してください。
説明 VPN フェールオーバー サブシステムが、VPN ロードバランシング実行時データを更新できなかったときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 システムに高負荷が生じている可能性があります。VPN フェールオーバー サブシステムがフェールオーバー バッファを取得できませんでした。 unit は「Primary」または「Secondary」のいずれかです。 code はハイ アベイラビリティ サブシステムから返されたエラー コードです。
推奨処置 着信トラフィックの量を減らして、現在の負荷条件を改善してください。着信トラフィックが少なくなると、負荷の処理用に割り当てられていたメモリが解放されます。
説明 VPN フェールオーバー サブシステムが、IPSec/cTCP 関連の統計情報を更新できなかったときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 対処は不要です。定期的に更新が送信されるので、スタンバイ装置の IPSec/cTCP 統計情報は、次の更新メッセージで更新されるはずです。
説明 VPN フェールオーバー サブシステムが、スタンバイ装置に定期的なタイマー メッセージを送信できなかったときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 type はタイマー メッセージのタイプです。
説明 VPN フェールオーバー サブシステムが、ノンブロック メッセージを送信できませんでした。
• unit ― 「Primary」または「Secondary」のいずれか
• message_number ― ピア メッセージの ID 番号
推奨処置 システムの高負荷やシステム リソース不足などによる一時的な状況です。システム リソースが使用可能になると、状況は改善されます。
説明 VPN フェールオーバー サブシステムがトラストポイントを名前で検索したときに、エラーが発生しました。
説明 これは情報メッセージです。ピアが使用可能または使用不可能になったことをローカル装置が検知すると、VPN フェールオーバー サブシステムは、コア フェールオーバー サブシステムから通知を受けます。
説明 フェールオーバー制御チャネルが「up」または「down」であることを表す情報メッセージです。フェールオーバー制御チャネルは、 failover link および show failover コマンドで定義します。これらのコマンドでは、フェールオーバー リンク チャネルが「up」または「down」であることが示されます。
説明 フェールオーバー データ チャネルが up または down であることを示す情報メッセージです。
説明 オペレータまたはその他の外部条件によって、フェールオーバー ピアが役割(アクティブまたはスタンバイ)に同意する前に、現在のフェールオーバーの進行が打ち切られた場合にのみ、このメッセージが生成されます。たとえば、ネゴシエーション中にスタンバイ装置で failover active コマンドが入力された場合などです。また、アクティブ装置がリブートされた場合にも生成されます。
説明 ローカル フェールオーバー デバイスの状態が変化したときに表示される情報メッセージです。
• unit ― 「Primary」または「Secondary」のいずれか
説明 フェールオーバー ピアの現在の状態を報告する情報メッセージです。
説明 アクティブ装置がすべてのステート情報をスタンバイ装置に送信する準備が整ったときに生成される情報メッセージです。
説明 アクティブ装置がスタンバイ装置へのステート情報の送信を終了したときに生成される情報メッセージです。
説明 VPN フェールオーバー サブシステムが、基盤となっているフェールオーバー サブシステムから無効なコールバック イベントを受信したときに生成されるメッセージです。
説明 VPN フェールオーバー サブシステムが、基盤となっているフェールオーバー サブシステムからステータス更新を通知されたときに生成される情報メッセージです。
説明 システム リソースが不足している可能性があることを表すメッセージです。VPN フェールオーバー サブシステムが内部メッセージをキューに格納しようとしたとき、エラーが発生しました。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 システムに高負荷が生じており、VPN フェールオーバー サブシステムが着信トラフィックを処理するためのリソースを割り当てられなかったことを表す、一時的な状況の可能性があります。現在のシステム負荷が減少し、システム リソースが使用可能になって再び新しいメッセージを処理できるようになると、このエラー条件は解消される可能性があります。
説明 VPN フェールオーバー サブシステムが無効なメッセージ タイプを処理しようとしたとき、エラーが発生しました。
説明 VPN フェールオーバー サブシステムが検索を試みましたが、スタンバイ装置で cTCP フローが事前に削除されていた可能性があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 cTCP フローが削除された兆候がないかどうかをシステム ログ メッセージで調べ、フローが削除された理由(アイドル タイムアウトなど)を確認してください。
説明 VPN フェールオーバー サブシステムが、スタンバイ装置から受信したステート更新メッセージの処理中にエラーが発生しました。
説明 現在のフェールオーバーの進行状況を表す情報メッセージです。
説明 スタンバイ装置が、アクティブ装置から壊れたメッセージを受信しました。アクティブ装置からのメッセージが壊れています。アクティブ装置とスタンバイ装置で稼働中のファームウェアが非互換の可能性があります。
説明 ローカル装置がフェールオーバー ペアのアクティブ装置になったことを表す情報メッセージです。
説明 ローカル装置がフェールオーバー ペアのスタンバイ装置になったことを表す情報メッセージです。
説明 アクティブ装置からスタンバイ装置にメッセージが送信されたことを表すデバッグ メッセージです。
説明 スタンバイ装置がメッセージを受信したことを表すデバッグ メッセージです。
説明 VPN フェールオーバー サブシステムがアクティブ装置からスタンバイ装置にメッセージを送信しようとしたとき、エラーが発生しました。これはメッセージ 720018(コア フェールオーバー サブシステムでフェールオーバー バッファが不足、またはフェールオーバー LAN リンクがダウン)に起因している可能性があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作していて、フェールオーバー LAN リンクが動作しているかどうかを確認してください。
説明 VPN フェールオーバー サブシステムがスタンバイ装置でメッセージを受信しようとしたとき、エラーが発生しました。原因としては、メッセージが壊れている場合や、着信メッセージを保存する十分なメモリが割り当てられていない場合があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを使用して受信エラーを調べ、これが VPN フェールオーバーに固有の問題か、それとも一般的なフェールオーバーの問題であるかどうかを確認してください。メッセージが壊れている原因としては、アクティブ装置とスタンバイ装置のファームウェア バージョンが非互換であることが考えられます。 show memory コマンドを使用して、メモリが不足していないかどうかを確認してください。
説明 スタンバイ装置が、アクティブ装置からのバルク同期情報の受信を開始するように通知されたことを表す情報メッセージです。
説明 スタンバイ装置が、アクティブ装置からのバルク同期の完了を通知されたことを表す情報メッセージです。
説明 VPN フェールオーバー サブシステムが、スタンバイ装置上の SDI サーバ用のノード シークレット ファイルを同期化しようとしたとき、エラーが発生しました。SDI ノード シークレット ファイルはフラッシュ メモリに保存されています。このエラーは、フラッシュ ファイル システムが満杯か壊れていることを表す場合があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 dir コマンドを使用して、フラッシュの内容を表示してください。ノード シークレット ファイル名は、「 ip .sdi」です。
説明 VPN フェールオーバー サブシステムの有限ステート マシン機能が起動されたことを表すデバッグ メッセージです。
説明 VPN フェールオーバー サブシステムの有限ステート マシン機能が完了したことを表すデバッグ メッセージです。
説明 タイマー処理スレッドからタイマーを削除できないことを表すデバッグ メッセージです。
説明 VPN フェールオーバー サブシステムが、スタンバイ装置上の SDI サーバ用のノード シークレット ファイルを追加しようとしたとき、エラーが発生しました。SDI ノード シークレット ファイルはフラッシュ メモリに保存されています。このエラーは、フラッシュ ファイル システムが満杯か壊れていることを表す場合があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 dir コマンドを使用して、フラッシュの内容を表示してください。ノード シークレット ファイル名は、「 ip .sdi」です。
説明 VPN フェールオーバー サブシステムが、アクティブ装置上のノード シークレット ファイルを削除しようとしたときにエラーが発生しました。削除対象のノード シークレット ファイルがフラッシュ ファイル システムに存在しない場合、またはフラッシュ ファイル システムの読み取りに問題がある場合が考えられます。
• unit ― 「Primary」または「Secondary」のいずれか
• IP_address ― SDI サーバの IP アドレス
推奨処置 dir コマンドを使用して、フラッシュの内容を表示してください。ノード シークレット ファイル名は、「 ip .sdi」です。
説明 VPN フェールオーバー サブシステムがバルク同期中に、スタンバイ装置上の cTCP IKE ルールをロードしようとしたときにエラーが発生しました。
説明 cTCP レコードがスタンバイ装置に複製され、更新できません。対応する IPSec over cTCP トンネルがフェールオーバー後に正常に動作していない可能性があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 cTCP データベースが満杯になっている場合や、同じピア IP アドレスおよびポート番号を持つレコードが存在する場合が考えられます。これは一時的な状況で、既存リソースが使用可能になると改善される可能性があります。
説明 シングル(非トランスペアレント)モードで動作していない場合、VPN サブシステムは起動されず、このメッセージが表示されます。
説明 ユーザがフェールオーバーをイネーブルにしようとしても、フェールオーバー キーが定義されておらず、VPN フェールオーバー サブシステムのメインのメッセージ処理スレッドがディセーブルになっていることを表す情報メッセージです。VPN フェールオーバーを実行するには、フェールオーバー キーが必要です。
説明 フェールオーバーがイネーブルで、フェールオーバー キーが定義されている場合、VPN フェールオーバー サブシステムのメインのメッセージ処理スレッドがイネーブルであることを表す情報メッセージです。
説明 フェールオーバー キーが定義されておらず、フェールオーバーがイネーブルの場合、VPN フェールオーバー サブシステムのメインのタイマー処理スレッドがディセーブルであることを表す情報メッセージです。
説明 フェールオーバー キーが定義されていて、フェールオーバーがイネーブルの場合、VPN フェールオーバー サブシステムのメインのタイマー処理スレッドがイネーブルであることを表す情報メッセージです。
説明 フェールオーバーがイネーブルでも、フェールオーバー キーが定義されていない場合、VPN フェールオーバー サブシステムのメインのバルク同期処理スレッドがディセーブルであることを表す情報メッセージです。
説明 フェールオーバーがイネーブルで、フェールオーバー キーが定義されている場合、VPN フェールオーバー サブシステムのメインのバルク同期処理スレッドがイネーブルであることを表す情報メッセージです。
説明 VPN フェールオーバー サブシステムのアクティブ装置が、スタンバイ装置へのステート情報のバルク同期を開始したことを表す情報メッセージです。
説明 VPN フェールオーバー サブシステムのアクティブ装置が、スタンバイ装置へのステート情報のバルク同期を終了したことを表す情報メッセージです。
説明 VPN フェールオーバー サブシステムがバルク同期中に、既存の cTCP レコードを更新しようとしたときエラーが発生しました。cTCP レコードがスタンバイ装置の cTCP データベースから削除されていて、見つかりません。
説明 VPN フェールオーバー サブシステムが、スタンバイ装置の cTCP データベース エントリに新しい IKE ルールを追加しようとしたときエラーが発生しました。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 システムに高負荷が生じた可能性があり、cTCP IKE ルール タイムアウトを追加する要求が完了しませんでした。一時的な状況の可能性があります。
説明 スタンバイ装置がアクティブ ステートへの移行中に、VPN フェールオーバー サブシステムが IKE SA データベースをアクティブ化しようとしたときにエラーが発生しました。スタンバイ装置にリソース関連の問題があって、IKE SA データベースがアクティブ化できなかった可能性があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかを確認してください。また、システム ログでその他の IKE 関連のエラーがないかどうかも確認してください。
説明 アクティブ装置がスタンバイ ステートへの移行中に、VPN フェールオーバー サブシステムが IKE SA データベースを非アクティブ化しようとしたときにエラーが発生しました。アクティブ装置にリソース関連の問題があって、IKE SA データベースが非アクティブ化できなかった可能性があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを入力して、フェールオーバー ペアが動作しているかどうかを確認してください。また、システム ログで IKE 関連のエラーがないかどうかも確認してください。
説明 VPN フェールオーバー サブシステムが、スタンバイ装置で受信したピア メッセージを解析しようとしたとき、エラーが発生しました。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 スタンバイ装置で受信したピア メッセージが解析できません。アクティブ装置およびスタンバイ装置が同じバージョンのファームウェアを実行しているかどうかを確認してください。また、 show failover コマンドを使用して、フェールオーバー ペアが動作しているかどうかも確認してください。
説明 スタンバイ装置がアクティブ ステートへの移行中に、VPN フェールオーバー サブシステムが cTCP データベースをアクティブ化しようとしたときにエラーが発生しました。スタンバイ装置にリソース関連の問題があって、cTCP データベースがアクティブ化できなかった可能性があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを入力して、フェールオーバー ペアが動作しているかどうかを確認してください。また、システム ログでその他の cTCP 関連のエラーがないかどうかも確認してください。
説明 アクティブ装置がスタンバイ ステートへの移行中に、VPN フェールオーバー サブシステムが cTCP データベースを非アクティブ化しようとしたときにエラーが発生しました。アクティブ装置にリソース関連の問題があって、cTCP データベースが非アクティブ化できなかった可能性があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかを確認してください。また、システム ログで cTCP 関連のエラーがないかどうかも確認してください。
説明 VPN フェールオーバー サブシステムが cTCP ダイナミック データを更新しようとしたとき、エラーが発生しました。
• unit ― 「Primary」または「Secondary」のいずれか
説明 一時的な状況の可能性があります。これは定期的な更新なので、時間をおいて同じエラーが発生するかどうかを確認してください。また、システム ログで他のフェールオーバー関連のメッセージがないかどうかも確認してください。
説明 VPN フェールオーバー サブシステムがトラストポイントを名前で検索したときに、エラーが発生しました。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 トラストポイントがオペレータによって削除されている可能性があります。 show crypto ca trustpoint コマンドを使用して、トラストポイントが設定に含まれているかどうかを確認してください。
説明 VPN フェールオーバー サブシステムが、トラストポイントに証明書を挿入しようとしたときに、エラーが発生しました。証明書の内容が無効だった可能性があります。
• unit ― 「Primary」または「Secondary」のいずれか
推奨処置 アクティブ装置で「write standby」を実行し、証明書を手動でスタンバイ装置に複製してください。システム ログ メッセージを調べ、フェールオーバーまたは PKI 関連のエラーがないかどうかを確認してください。