프레임 삭제 이유
----------------------------------------------------------------
어플라이언스가 IPSec NAT-T keepalive 메시지를 수신하면 이 카운터의 값이 증가합니다. NAT-T keepalive 메시지는 NAT-T IPSec 피어와 어플라이언스 간의 NAT/PAT 플로우 정보를 네트워크 디바이스에서 최신 상태로 유지하기 위해 IPSec 피어에서 어플라이언스로 전송됩니다.
어플라이언스에서 IPSec NAT-T를 구성한 경우 이 메시지가 표시되는 것은 정상적인 현상이며 문제가
아닙니다. 어플라이언스에 NAT-T가 구성되어 있지 않다면 네트워크 트래픽을 분석하여 NAT-T 트래픽의
출처를 확인하십시오.
----------------------------------------------------------------
어플라이언스가 UDP를 통한 IPSec keepalive 메시지를 수신하면 이 카운터의 값이 증가합니다. UDP를 통한 IPSec keepalive 메시지는 IPSec 피어와 어플라이언스 간의 NAT/PAT 플로우 정보를 네트워크 디바이스에서 최신 상태로 유지하기 위해 IPSec 피어에서 어플라이언스로 전송됩니다. 참고 - 이러한 메시지는 UDP를 통해 전송되며 UDP 포트 4500으로 주소가 지정되는 업계 표준 NAT-T keepalive 메시지가 아닙니다.
어플라이언스에서 UDP를 통한 IPSec를 구성한 경우 이 메시지가 표시되는 것은 정상적인 현상이며 문제가 아닙니다. 어플라이언스에 UDP를 통한 IPSec가 구성되어 있지 않다면 네트워크 트래픽을 분석하여 NAT-T 트래픽의 출처를 확인하십시오.
----------------------------------------------------------------
어플라이언스가 AH 또는 ESP 프로토콜이 아닌 IPSec 연결에서 패킷을 수신하면 이 카운터의 값이 증가합니다. 이러한 현상은 정상적인 상태가 아닙니다.
어플라이언스에서 AH 또는 ESP로 표시되지 않은 IPSec가 많이 수신되는 경우 네트워크 트래픽을 분석하여 트래픽의 출처를 확인하십시오.
----------------------------------------------------------------
어플라이언스가 IP 버전 6 헤더로 캡슐화된 IPSec ESP 패킷, IPSec NAT-T ESP 패킷 또는 UDP를 통한 IPSec ESP 패킷을 수신하면 이 카운터의 값이 증가합니다. 어플라이언스는 현재 IP 버전 6으로 캡슐화된
IPSec 세션을 지원하지 않습니다.
----------------------------------------------------------------
어플라이언스가 NAT-T를 협상한 IPSec 연결에서 패킷을 수신했는데 해당 패킷의 주소가 NAT-T UDP 대상 포트 4500으로 지정되어 있지 않거나 페이로드 길이가 잘못된 경우 이 카운터의 값이 증가합니다.
네트워크 트래픽을 분석하여 NAT-T 트래픽의 출처를 확인하십시오.
----------------------------------------------------------------
어플라이언스가 UDP를 통한 IPSec를 협상한 IPSec 연결에서 패킷을 수신했는데 해당 패킷의 페이로드 길이가 잘못된 경우 이 카운터의 값이 증가합니다.
네트워크 트래픽을 분석하여 NAT-T 트래픽의 출처를 확인하십시오.
----------------------------------------------------------------
암호화가 필요한데 IPSec 보안 연결이 설정되지 않은 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가합니다. 이러한 현상은 대개 LAN 간 IPSec 컨피그레이션에서 나타나는 정상적인 상태입니다. 이 메시지가 표시되면 어플라이언스가 대상 피어와의 ISAKMP 협상을 시작하게 됩니다.
어플라이언스에서 LAN 간 IPSec를 구성한 경우 이 메시지가 표시되는 것은 정상적인 현상이며 문제가 아닙니다. 그러나 이 카운터의 값이 빠르게 증가하는 경우 암호화 컨피그레이션 오류 또는 네트워크 오류로 인해 ISAKMP 협상을 완료할 수 없는 것일 수 있습니다. 대상 피어와 통신할 수 있는지를 확인하고 'show running-config' 명령을 통해 암호화 컨피그레이션을 확인하십시오.
----------------------------------------------------------------
어플라이언스가 암호화되었어야 하는데 암호화되지 않은 패킷을 수신하면 이 카운터의 값이 증가합니다.
이 패킷은 어플라이언스에서 구성 및 설정된 IPSec 연결의 내부 헤더 보안 정책 확인에서 일치하는 것으로
확인되었으나 암호화되지 않은 상태로 수신되었습니다. 이러한 현상은 보안 문제입니다.
네트워크 트래픽을 분석하여 스푸핑된 IPSec 트래픽의 출처를 확인하십시오.
----------------------------------------------------------------
어플라이언스가 암호화되었어야 하는데 암호화되지 않은 패킷을 수신하면 이 카운터의 값이 증가합니다.
이 패킷은 어플라이언스에서 구성 및 설정된 IPSec 연결의 내부 헤더 보안 정책 확인에서 일치하는 것으로
확인되었으나 암호화되지 않은 상태로 수신되었습니다. 이러한 현상은 보안 문제입니다.
네트워크 트래픽을 분석하여 스푸핑된 IPSec 트래픽의 출처를 확인하십시오.
----------------------------------------------------------------
어플라이언스가 삭제 중인 IPSec 연결과 연결된 패킷을 수신하면 이 카운터의 값이 증가합니다.
IPSec 터널이 해제된 경우 이러한 상황은 정상적인 현상입니다.
----------------------------------------------------------------
이름: invalid-encryption-packet
어플라이언스가 암호화 플래그가 설정되지 않은 플로우에서 IPSec 연결과 관련된 패킷을 수신하면 이 카운터의 값이 증가합니다.
정상 작동 상태의 일부분으로 이 카운터의 값이 증가하는 현상이 나타날 수 있습니다. 하지만 이 카운터의 값이 빠르게 증가하고 트래픽이 중단되는 경우에는 잘못된 컨피그레이션 또는 소프트웨어 결함으로 인한 현상일
수도 있습니다.
----------------------------------------------------------------
이름: mp-svc-delete-in-progress
연결을 삭제하는 중에 SVC 모듈에서 데이터를 수신함:
보안 어플라이언스가 삭제 중인 SVC 연결과 연결된 패킷을 수신하면 이 카운터의 값이 증가합니다.
SVC 연결이 해제된 경우 이러한 상황은 정상적인 현상입니다. 이 오류가 반복적으로 발생하거나 많이 발생하는 경우에는 클라이언트에 네트워크 연결 문제가 있는 것일 수 있습니다.
----------------------------------------------------------------
SVC 모듈에서 프레임이 잘못된 데이터를 수신함:
보안 어플라이언스가 SVC 또는 제어 소프트웨어에서 디코드할 수 없는 패킷을 수신하면 이 카운터의 값이
증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다. SVC 또는 보안 어플라이언스에 결함이 있을 수 있습니다.
722037(SVC에서 수신된 데이터에만 해당됨).
----------------------------------------------------------------
SVC 모듈에서 잘못된 길이의 데이터를 수신함:
보안 어플라이언스가 SVC 또는 제어 소프트웨어에서 계산되고 지정된 길이가 일치하지 않는 패킷을 수신하면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다. SVC 또는 보안 어플라이언스에 결함이 있을 수 있습니다.
722037(SVC에서 수신된 데이터에만 해당됨).
----------------------------------------------------------------
SVC 모듈에서 알 수 없는 데이터 프레임을 수신함:
보안 어플라이언스가 SVC에서 데이터 유형을 알 수 없는 패킷을 수신하면 이 카운터의 값이 증가합니다.
클라이언트가 사용 중인 SVC가 보안 어플라이언스 소프트웨어의 버전과 호환되는지 검수하십시오.
----------------------------------------------------------------
이름: mp-svc-addr-renew-response
SVC 모듈에서 주소 갱신 응답 데이터 프레임을 수신함:
보안 어플라이언스가 SVC에서 주소 갱신 응답 메시지를 수신하면 이 카운터의 값이 증가합니다. SVC는
이러한 메시지를 보내서는 안 됩니다.
이러한 현상은 Cisco TAC에 SVC 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
패킷을 네트워크에 추가하기 위해 MAC 헤더를 앞에 추가할 공간이 패킷 데이터 앞에 충분하지 않으면
이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
암호 해독된 데이터를 삽입하기 위해 암호화된 데이터를 수신한 인터페이스를 찾을 수 없으면 이 카운터의
값이 증가합니다.
연결 중에 인터페이스가 종료되면 이러한 현상이 발생할 수 있습니다. 인터페이스를 다시 활성화/확인하십시오. 이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타낼 수도 있습니다.
----------------------------------------------------------------
보안 어플라이언스가 이 데이터를 전송해야 하는 SVC 세션을 확인할 수 없으면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
보안 어플라이언스가 오류 정보를 CP에 보낼 수 없으면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
이름: mp-svc-session-lock-failure
보안 어플라이언스가 이 데이터를 전송해야 하는 SVC 세션의 잠금을 획득할 수 없으면 이 카운터의 값이
증가합니다.
이러한 현상은 정상 작동 중에는 발생해서는 안 되며 어플라이언스에 소프트웨어 문제가 있음을 나타낼
수 있습니다. 이 오류가 발생하는 경우 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
이름: mp-svc-decompress-error
SVC에서 데이터 압축을 푸는 중에 보안 어플라이언스에 오류가 발생하면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다. SVC 또는 보안 어플라이언스에 결함이 있을 수 있습니다.
----------------------------------------------------------------
이름: mp-svc-compress-error
SVC에 데이터를 압축하는 중에 보안 어플라이언스에 오류가 발생하면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다. SVC 또는 보안 어플라이언스에 결함이 있을 수 있습니다.
----------------------------------------------------------------
SVC 모듈에서 프레임의 L2 데이터를 찾을 수 없음:
보안 어플라이언스가 SVC에서 수신한 데이터의 L2 MAC 헤더를 찾을 수 없으면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
SVC 모듈이 프레임에서 잘못된 L2 데이터를 발견함:
보안 어플라이언스가 SVC에서 수신한 데이터에 잘못된 L2 MAC 헤더가 연결되어 있으면 이 카운터의 값이
증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
이름: mp-svc-invalid-mac-len
SVC 모듈이 프레임에서 잘못된 L2 데이터 길이를 발견함:
보안 어플라이언스가 SVC에서 수신한 데이터에 잘못된 L2 MAC 길이가 연결되어 있으면 이 카운터의 값이
증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
SVC가 일시적으로 데이터를 더는 수락하지 않아 보안 어플라이언스가 데이터를 삭제해야 하는 경우 이 카운터의 값이 증가합니다.
asp-drop 유형의 패킷 캡처를 사용하여 패킷의 방향을 확인하십시오. 대개 이 메시지는 클라이언트가 데이터를 더는 수락할 수 없음을 나타냅니다. 드물기는 하지만 이 카운터는 패킷 방향이 어플라이언스를 향하는 경우 어플라이언스에서 인바운드 트래픽을 처리하지 못함을 나타낼 수 있습니다.
----------------------------------------------------------------
SVC 모듈이 패킷을 프래그먼트화할 수 없음:
SVC로 전송할 패킷을 프래그먼트화할 수 없거나 패킷을 프래그먼트화하기에 충분한 데이터 버퍼가 없으면
이 카운터의 값이 증가합니다.
SVC의 MTU를 늘려 프래그멘테이션을 줄이십시오. 프래그멘테이션을 허용하지 않는 애플리케이션은 사용하지 마십시오. 디바이스의 로드를 줄여 사용할 수 있는 데이터 버퍼를 늘리십시오.
----------------------------------------------------------------
AnyConnect 클라이언트로 전송할 패킷을 압축할 수 없으면 이 카운터의 값이 증가합니다.
AnyConnect 클라이언트에 대해 모든 압축을 비활성화합니다.
----------------------------------------------------------------
이름: mp-svc-bad-decompress
AnyConnect 클라이언트에서 수신한 패킷의 압축을 풀 수 없으면 이 카운터의 값이 증가합니다.
AnyConnect 클라이언트에 대해 모든 압축을 비활성화합니다.
----------------------------------------------------------------
VPN 핸들이 이미 있어서 어플라이언스가 VPN 핸들을 작성할 수 없으면 이 카운터의 값이 증가합니다.
정상 작동의 일환으로 이 카운터의 값이 증가할 수도 있습니다. 하지만 이 카운터의 값이 빠르게 증가하고 VPN 기반 애플리케이션에서 중대한 오작동이 발생하는 경우에는 소프트웨어 결함으로 인한 현상일 수도 있습니다. Cisco TAC에 문의하여 문제를 추가로 조사하십시오.
----------------------------------------------------------------
IPSec 작업을 시도했는데 내부 잠금 오류로 인해 작업이 실패하면 이 카운터의 값이 증가합니다.
이러한 현상은 정상 작동 중에는 발생해서는 안 되며 어플라이언스에 소프트웨어 문제가 있음을 나타낼
수 있습니다. 이 오류가 발생하는 경우 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
어플라이언스가 블록을 전달하려고 하는데 VPN 핸들이 참조하는 플로우가 블록과 연결된 플로우가 다르면
이 카운터의 값이 증가합니다.
이러한 현상은 정상적인 상태가 아닙니다. ‘show console-output’을 수행하여 해당 출력을 Cisco TAC에 추가 분석을 위해 전달하십시오.
----------------------------------------------------------------
이름: vpn-reclassify-failed
VPN 상태 변경 이후 VPN 플로우를 재분류하지 못해 플로우의 패킷이 삭제되면 이 카운터의 값이 증가합니다.
VPN CLI 또는 터널 상태 변경으로 인해 재분류해야 하는 VPN 플로우의 패킷이 도착하면 이 카운터의 값이 증가합니다. 기존 정책과 더는 일치하지 않는 플로우는 해제되며 패킷은 삭제됩니다.
이 이벤트에 포함된 새로운 syslog는 없습니다.
----------------------------------------------------------------
내부 잠금 오류로 인해 VPN 플로우를 작성할 수 없으면 이 카운터의 값이 증가합니다.
이러한 현상은 정상 작동 중에는 발생해서는 안 되며 어플라이언스에 소프트웨어 문제가 있음을 나타낼 수
있습니다. 이 오류가 발생하는 경우 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
보안 어플라이언스가 암호화 또는 암호 해독이 필요한 패킷을 수신했는데 이 작업을 수행하는 데 필요한 ASP VPN 컨텍스트가 더 이상 유효하지 않으면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
패킷 암호를 해독할 때는 암호화 맵 컨피그레이션과 대조하여 내부 패킷을 검사합니다. 수신되었던 암호화
맵 엔트리가 아닌 다른 엔트리와 일치하는 패킷은 삭제되며 이 카운터의 값이 증가합니다. 이러한 현상의 일반적인 원인은 두 암호화 맵 엔트리가 비슷한/중복되는 주소 공간을 포함하는 경우입니다.
VPN 컨피그레이션에서 중복 네트워크를 확인하십시오. 그리고 ACL의 'deny' 규칙 사용 방식과 암호화 맵의 순서를 확인하십시오.
----------------------------------------------------------------
이름: ipsec-selector-failure
IPSec VPN 내부 정책 선택기 불일치 탐지됨:
터널용으로 구성되어 있는 정책과 일치하지 않는 내부 IP 헤더가 포함된 IPSec 패킷이 수신되면 이 카운터의 값이 증가합니다.
터널의 암호화 ACL이 올바르며 허용되는 모든 패킷이 터널 ID에 포함되어 있는지 확인하십시오. 이 메시지가 반복적으로 표시되는 경우에는 box가 공격을 받고 있지 않은지 확인하십시오.
----------------------------------------------------------------
어플라이언스가 암호화 맵 등 보안 정책 데이터베이스의 엔트리와 일치하는 패킷을 수신했는데 보안 연결이 협상 중인 상태이며 아직 완료되지 않은 경우 이 카운터의 값이 증가합니다.
또한 어플라이언스가 보안 정책 데이터베이스의 엔트리와 일치하는 패킷을 수신했는데 보안 연결이 삭제되었거나 삭제되는 중인 경우에도 이 카운터의 값이 증가합니다. 이 표시와 'Tunnel has been town down(터널이 해제됨)' 표시 간의 차이점은, 'Tunnel has been town down(터널이 해제됨)' 표시의 경우 설정된 플로우에 대해 표시된다는 것입니다.
IPSec 터널을 협상 또는 삭제하는 중인 경우 이러한 상황은 정상적인 현상입니다.
----------------------------------------------------------------
어플라이언스가 레이어 2 패킷을 속도가 제한된 제어 포인트 서비스 루틴으로 전달하려고 하는데 현재 초당 속도 제한이 초과된 경우 이 카운터의 값이 증가합니다. 현재 속도가 제한된 제어 포인트 서비스 루틴으로 전송할 수 있는 레이어 2 패킷은 ARP 패킷뿐입니다. ARP 패킷 속도 제한은 인터페이스당 500ARP/초입니다.
네트워크 트래픽을 분석하여 높은 ARP 패킷 속도의 이유를 확인하십시오.
----------------------------------------------------------------
제어 포인트로 패킷을 펀트하기 위한 데이터 구조 작성용 메모리가 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
이러한 상태가 일시적으로만 나타나는 경우에는 아무런 조치를 취하지 않아도 됩니다. 하지만 메모리 부족으로 인해 이러한 상태가 지속되면 시스템을 업그레이드해야 할 수도 있습니다.
----------------------------------------------------------------
펀트 큐 제한이 초과되면 이 카운터의 값이 증가하고 패킷이 삭제됩니다. 펀트 큐 제한 초과는 제어 포인트에서 병목 현상이 발생함을 나타냅니다.
아무런 조치를 취하지 않아도 됩니다. 이러한 현상은 디자인상의 제한입니다.
----------------------------------------------------------------
플로우를 해제하는 중이면 이 카운터의 값이 증가하며 검사를 위해 대기된 모든 패킷은 삭제됩니다.
----------------------------------------------------------------
보안 어플라이언스가 지원되지 않는 링크 레벨 프로토콜에 속하는 프레임을 수신하거나 프레임에 지정된 L3 유형이 어플라이언스에서 지원되지 않으면 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
연결된 호스트의 링크 레벨 프로토콜 설정이 적절한지 확인하십시오.
----------------------------------------------------------------
IP 헤더의 계산된 체크섬이 헤더에 기록된 체크섬과 일치하지 않는 IP 패킷을 어플라이언스가 수신하면
이 카운터의 값이 증가하며 패킷이 삭제됩니다.
잘못된 케이블을 사용하거나 라인에서 노이즈가 발생하면 패킷이 손상될 수 있습니다. 피어가 손상된 패킷을 전송하며 공격이 진행 중인 것일 수도 있습니다. 패킷 캡처 기능을 사용하여 패킷의 원본을 자세히 확인하십시오.
----------------------------------------------------------------
이름: unsupported-ip-version
IP 헤더의 버전 필드에 지원되지 않는 버전이 포함된 IP 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다. 구체적으로는 패킷이 버전 4 또는 버전 6에 속하지 않는 경우가 여기에 해당됩니다. 패킷은 삭제됩니다.
연결된 네트워크의 다른 디바이스가 버전 4 또는 6에 속하는 IP 패킷만 전송하도록 구성되어 있는지 확인합니다.
----------------------------------------------------------------
ttl(Time to Live) 값이 허용되는 제한을 초과하는 IP 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다. 구체적으로는 set connection decrement-ttl 명령이 구성되어 있을 때 패킷의 ttl 값이 1인 경우 또는 해당 명령이 구성되어 있지 않을 때 패킷의 ttl 값이 1 미만인 경우 패킷은 삭제됩니다.
----------------------------------------------------------------
홉 제한 값이 허용되는 제한을 초과한 IPv6 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다. 구체적으로는 패킷의 홉 제한이 1 미만이면 패킷이 삭제됩니다.
----------------------------------------------------------------
IP 헤더의 헤더 길이 또는 총 길이 필드가 올바르지 않거나 수신된 패킷 길이를 따르지 않는 IPv4 또는 IPv6 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
보안 어플라이언스의 프래그멘테이션 모듈이 IP 버전 4 또는 버전 6에 속하지 않는 프래그먼트화된 패킷을 수신하거나 전송을 시도하는 경우 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
해당 디바이스 및 연결된 네트워크의 다른 디바이스 MTU를 확인하여 디바이스가 해당 프래그먼트를 처리하는 이유를 확인하십시오.
----------------------------------------------------------------
이름: invalid-tcp-hdr-length
크기가 허용되는 최소 헤더 길이보다 작거나 수신된 패킷 길이를 따르지 않는 TCP 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다.
잘못된 패킷은 공격자가 전송하는 가짜 패킷일 수 있습니다.
다음 syslog에서 출처의 트래픽을 조사하십시오.
----------------------------------------------------------------
헤더의 필드에서 계산한 크기가 네트워크에서 수신한 패킷의 측정된 크기와 다른 UDP 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다.
잘못된 패킷은 공격자가 전송하는 가짜 패킷일 수 있습니다.
----------------------------------------------------------------
공통 헤더 크기가 필요한 공통 헤더 크기(12바이트)보다 작은 SCTP 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다.
잘못된 패킷은 공격자가 전송하는 가짜 패킷일 수 있습니다.
----------------------------------------------------------------
보안 어플라이언스가 인접성을 가져오려고 했는데 다음 홉의 MAC 주소를 가져올 수 없으면 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
이 삭제 이유에 대해 캡처를 구성하고, 지정한 대상 주소의 호스트가 연결된 네트워크에 있거나 디바이스에서 라우팅 가능한지 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 인접성을 가져오려고 했는데 다음 홉의 MAC 주소를 가져올 수 없으면 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
이 삭제 이유에 대해 캡처를 구성하고, 지정한 대상 주소의 호스트가 연결된 네트워크에 있거나 디바이스에서 라우팅 가능한지 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 인접성을 가져오려고 했는데 다음 홉의 MAC 주소를 가져올 수 없으면 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
이 삭제 이유에 대해 캡처를 구성하고, 지정한 대상 주소의 호스트가 연결된 네트워크에 있거나 디바이스에서 라우팅 가능한지 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 인접성을 가져오려고 했는데 다음 홉의 MAC 주소를 가져올 수 없으면 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
이 삭제 이유에 대해 캡처를 구성하고, 지정한 대상 주소의 호스트가 연결된 네트워크에 있거나 디바이스에서 라우팅 가능한지 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 인접성을 가져오려고 했는데 다음 홉의 MAC 주소를 가져올 수 없으면 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
이 삭제 이유에 대해 캡처를 구성하고, 지정한 대상 주소의 호스트가 연결된 네트워크에 있거나 디바이스에서 라우팅 가능한지 확인하십시오.
----------------------------------------------------------------
투명 모드의 어플라이언스가 해당 MAC 주소로 전송된 비IP 패킷을 수신했는데 어플라이언스에서 해당 패킷을 처리하기 위해 실행 중인 해당 서비스가 없으면 이 카운터의 값이 증가합니다.
어플라이언스가 공격을 받고 있는지 확인하십시오. 의심스러운 패킷이 없거나 디바이스가 투명 모드가 아닌 경우에는 소프트웨어 오류로 인해 이 카운터의 값이 증가할 가능성이 높습니다. 카운터 값의 증가 원인이 되는 트래픽 캡처를 시도하고 Cisco TAC에 문의하십시오.
----------------------------------------------------------------
보안 어플라이언스가 인터페이스에서 패킷을 전송하려고 하는데 라우팅 테이블에서 해당 패킷용 경로를 찾을 수 없으면 이 카운터의 값이 증가합니다.
생성된 syslog에서 확인한 대상 주소로의 경로가 있는지 확인하십시오.
----------------------------------------------------------------
이름: invalid-vxlan-segment-id
세그먼트 ID가 잘못된 VXLAN 패킷을 보안 어플라이언스가 캡슐화 해제하는 경우 이 카운터의 값이
증가합니다.
----------------------------------------------------------------
이름: invalid-vxlan-segment-id-tvi
세그먼트 ID가 잘못된 VXLAN 패킷을 TVI 인터페이스가 처리하는 경우 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
VNI 인터페이스에서 태그 스위칭이 활성화되어 있을 때 보안 어플라이언스가 지정된 in 태그에 대해 out
태그를 조회하지 못하면 이 카운터의 값이 증가합니다.
생성된 syslog에서 확인한 in 태그에 대해 out 태그가 있는지 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 지정된 세그먼트 ID로 VNI 인터페이스를 식별하지 못하면 이 카운터의 값이 증가합니다.
syslog의 세그먼트 ID가 인터페이스에 구성되어 있는지 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 VNI 인터페이스에 대해 NVE 인터페이스를 식별하지 못하면 이 카운터의 값이
증가합니다.
모든 인터페이스에 대해 NVE가 구성되어 있는지 확인합니다.
----------------------------------------------------------------
보안 어플라이언스가 피어 NVE의 IP와 MAC 주소를 가져오지 못하면 이 카운터의 값이 증가합니다.
NVE에 대해 피어 NVE가 구성되어 있거나 확인 가능한 상태인지 확인합니다.
----------------------------------------------------------------
보안 어플라이언스가 VXLAN을 통해 패킷을 캡슐화하지 못하면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
STS가 NAT와 다른 이그레스(egress) 인터페이스를 찾음:
보안 어플라이언스가 STS와 NAT에서 서로 다른 이그레스(egress) 인터페이스를 찾는 경우 이 카운터의
값이 증가합니다.
syslog에 표시되어 있는 인터페이스의 NAT 컨피그레이션이 올바른지 확인합니다.
----------------------------------------------------------------
이름: invalid-vxlan-segment-id-fp
세그먼트 ID가 잘못된 FP의 VXLAN 패킷을 보안 어플라이언스가 캡슐화 해제하는 경우 이 카운터의 값이
증가합니다.
----------------------------------------------------------------
보안 어플라이언스가 VXLAN 대상 포트 번호가 올바른 UDP 패킷을 수신했는데 VXLAN 헤더를 디코딩하지 못한 경우 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: vxlan-invalid-header-thru-traffic
through-the-box 트래픽의 VXLAN 헤더 형식 잘못됨:
보안 어플라이언스가 VXLAN 대상 포트 번호가 올바른 through-the-box UDP 패킷을 수신했는데 VXLAN
헤더를 디코딩하지 못한 경우 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: vxlan-invalid-udp-checksum
UDP 헤더의 체크섬 값이 잘못된 VXLAN 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: vxlan-invalid-nve-peer
보안 어플라이언스가 구성되어 있지 않은 NVE 피어에서 VXLAN 패킷을 수신하면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
보안 어플라이언스가 피어 NVE에 대한 다음 홉을 찾지 못하면 이 카운터의 값이 증가합니다.
소스 인터페이스를 통해 피어 NVE에 연결할 수 있는지 확인하십시오.
----------------------------------------------------------------
이름: vxlan-invalid-vni-mcast-ip
보안 어플라이언스가 VNI 인터페이스에서 멀티캐스트 그룹 IP를 가져오지 못하면 이 카운터의 값이
증가합니다.
피어 NVE가 구성되어 있지 않은 경우 VNI 인터페이스에 유효한 멀티캐스트 그룹 IP가 구성되어 있는지
확인하십시오.
----------------------------------------------------------------
이름: vxlan-missing-peer-vtep-ip
보안 어플라이언스가 VXLAN 캡슐화를 위한 내부 대상 IP의 피어 VTEP IP를 찾지 못하면 이 카운터의
값이 증가합니다.
show arp vtep-mapping/show mac-address-table vtep-mapping/show ipv6 neighbor vtep-mapping에서 원하는 원격 내부 호스트용 VTEP IP가 있는지 확인하십시오.
----------------------------------------------------------------
인터페이스에 IP 확인 기능이 구성되어 있는데 소스 IP의 경로 조회에서 패킷을 수신한 인터페이스와
같은 경로가 조회되지 않은 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다.
아래 syslog에 출력된 소스 IP를 기준으로 트래픽 소스를 추적하여 해당 소스에서 스푸핑된 트래픽을
전송하는 이유를 조사하십시오.
----------------------------------------------------------------
패킷에 삭제 규칙이 적용되어 패킷이 삭제되면 이 카운터의 값이 증가합니다. 이 규칙은 box가 생성되거나, 다양한 기능을 설정/해제하거나, ACL을 인터페이스 또는 기타 기능에 적용하는 등의 경우에 작성된 기본 규칙일 수 있습니다. 패킷은 기본 규칙에 의해서도 삭제될 수 있으며 다음과 같은 이유로 인해 삭제될 수도 있습니다.
2) AAA에 대해 ACL이 구성되어 있는데 사용자가 AAA를 거부함
3) through-the-box 트래픽이 관리 전용 IFC에 도착함
4) IPSec가 활성화된 인터페이스에 암호화되지 않은 트래픽이 도착함
아래에 나와 있는 ACL 중 하나가 실행되었는지 확인하십시오.
----------------------------------------------------------------
이름: no-same-security-traffic
same-security-traffic이 구성되지 않음:
암호 해독 및 암호화 터널을 동일한 인터페이스에서 소유하고 same-security-traffic이 구성되지 않은
경우 이 카운터의 값이 증가합니다.
"same-security-traffic permit intra-interface"를 구성하십시오.
----------------------------------------------------------------
이름: unable-to-create-flow
시스템 리소스 제한으로 인해 플로우 작성이 실패하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
제한될 수 있는 리소스는 다음과 같습니다.
원인 1과 2는 동시에 발생하며 플로우 삭제 이유로는 "플로우를 완료할 수 있는 메모리가 없습니다."
가 표시됩니다.
- 사용 가능한 시스템 메모리가 부족한지 관찰합니다.
- 플로우 삭제 이유로 "플로우를 완료할 수 있는 메모리가 없습니다."가 표시되는지 관찰합니다.
- ‘show resource usage’ 명령을 사용하여 연결 수가 시스템 연결 제한에 도달하는지 관찰합니다.
----------------------------------------------------------------
새로 작성한 플로우를 플로우 해시 테이블에 삽입했는데 해시 테이블이 가득 차서 삽입이 실패한 경우 이
카운터의 값이 증가합니다. 플로우와 패킷은 삭제됩니다. 이 카운터는 최대 연결 제한에 도달하면 값이 증가하는 카운터와는 다릅니다.
이 메시지는 정상적으로 수행되었어야 하는 작업을 지원하기 위한 리소스가 시스템에 없음을 나타냅니다. 'show conn' 출력의 연결 수가 구성된 유휴 시간 제한 값을 초과했는지 확인하십시오. 해당 값을 초과한 경우 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
어플라이언스가 해당 어플라이언스로 주소가 지정된 IPSec ESP 패킷을 수신했는데 이 패킷이 어플라이언스에서 현재 확인할 수 없는 SPI(보안 파라미터 지수)를 지정하는 경우 이 카운터의 값이 증가합니다.
SPI가 잘못 표시되는 경우는 흔히 나타나며 특히 키 재생성 처리 중에는 이러한 현상이 자주 발생합니다. 그러나 잘못 표시되는 SPI가 많은 경우에는 문제가 있거나 DoS 공격이 발생한 것일 수 있습니다. 잘못 표시되는 SPI의 비율이 높은 경우 네트워크 트래픽을 분석하여 ESP 트래픽의 출처를 확인하십시오.
----------------------------------------------------------------
지원되지 않는 IPv6 확장 헤더가 포함된 IPv6 패킷이 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다. 지원되는 IPv6 확장 헤더는 TCP, UDP, ICMPv6, ESP, AH, 홉 옵션, 대상 옵션 및 프래그먼트입니다. IPv6 라우팅 확장 헤더는 지원되지 않으며 위에 나와 있지 않은 모든 확장 헤더는 지원되지 않습니다. IPv6 ESP 및 AH 헤더는 패킷이 through-the-box인 경우에만 지원됩니다. to-the-box IPv6 ESP 및 AH 패킷은 지원되지 않으며 삭제됩니다.
호스트가 잘못 구성된 경우 이 오류가 발생할 수 있습니다. 이 오류가 반복적으로 발생하거나 많이 발생하는 경우에는 DoS 공격 시도와 같은 가상의 활동이나 악의적인 활동이 진행되고 있음을 나타낼 수도 있습니다.
----------------------------------------------------------------
비가로채기/비고정 연결의 첫 번째 패킷으로 SYN이 아닌 패킷이 수신되었습니다.
정상 상태에서는 어플라이언스가 연결을 이미 닫았는데 클라이언트나 서버는 연결이 열려 있다고 생각하여
데이터를 계속 전송하는 경우 이러한 현상이 발생할 수 있습니다. 이러한 현상이 발생할 수 있는 경우의 예로는 'clear local-host' 또는 'clear xlate'를 실행한 직후를 들 수 있습니다. 또한 연결을 최근에 제거하지
않았는데 카운터의 값이 빠르게 증가하는 경우에는 어플라이언스가 공격을 받고 있는 것일 수도 있습니다.
이 경우에는 스니퍼 추적을 캡처하여 원인을 파악하십시오.
----------------------------------------------------------------
계산된 TCP 체크섬이 TCP 헤더에 기록된 체크섬과 일치하지 않는 TCP 패킷을 어플라이언스가 수신하면
이 카운터의 값이 증가하며 패킷이 삭제됩니다.
잘못된 케이블을 사용하거나 라인에서 노이즈가 발생하면 패킷이 손상될 수 있습니다. TCP 엔드포인트가
손상된 패킷을 전송하며 공격이 진행 중인 것일 수도 있습니다. 패킷 캡처 기능을 사용하여 패킷의 원본을 자세히 확인하십시오. TCP 체크섬이 잘못된 패킷을 허용하려면 tcp-map 아래에서 checksum-verification 기능을
비활성화하십시오.
----------------------------------------------------------------
TCP 헤더의 TCP 플래그가 잘못된 TCP 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다. 예를 들어 SYN 및 FIN TCP 플래그가 모두 설정된 패킷은 삭제됩니다.
잘못된 케이블을 사용하거나 라인에서 노이즈가 발생하면 패킷이 손상될 수 있습니다. TCP 엔드포인트가 손상된 패킷을 전송하며 공격이 진행 중인 것일 수도 있습니다. 패킷 캡처 기능을 사용하여 패킷의 원본을 자세히 확인하십시오.
----------------------------------------------------------------
TCP 헤더에 예약 플래그가 설정되어 있는 TCP 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
잘못된 케이블을 사용하거나 라인에서 노이즈가 발생하면 패킷이 손상될 수 있습니다. TCP 엔드포인트가
손상된 패킷을 전송하며 공격이 진행 중인 것일 수도 있습니다. 패킷 캡처 기능을 사용하여 패킷의 원본을 자세히 확인하십시오. 이러한 TCP 패킷을 허용하거나 예약된 플래그를 지우고 패킷을 전달하려면 tcp-map 아래에서 reserved-bits 컨피그레이션을 사용하십시오.
----------------------------------------------------------------
비표준 TCP 헤더 옵션이 포함된 TCP 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
이러한 TCP 패킷을 허용하거나 비표준 TCP 헤더 옵션을 패킷을 허용하려면 tcp-map 아래에서 tcp-options 컨피그레이션을 사용하십시오.
----------------------------------------------------------------
데이터 길이가 피어 TCP 엔드포인트에서 알림을 받은 MSS보다 큰 TCP 패킷을 어플라이언스가 수신하면
이 카운터의 값이 증가하며 패킷이 삭제됩니다.
이러한 TCP 패킷을 허용하려면 tcp-map 아래에서 exceed-mss 컨피그레이션을 사용하십시오.
----------------------------------------------------------------
데이터가 포함된 TCP SYN-ACK 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
잘못된 케이블을 사용하거나 라인에서 노이즈가 발생하면 패킷이 손상될 수 있습니다. TCP 엔드포인트가 손상된 패킷을 전송하며 공격이 진행 중인 것일 수도 있습니다. 패킷 캡처 기능을 사용하여 패킷의 원본을 자세히 확인하십시오.
----------------------------------------------------------------
데이터가 포함된 TCP SYN 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
이러한 TCP 패킷을 허용하려면 tcp-map 아래에서 syn-data 컨피그레이션을 사용하십시오.
----------------------------------------------------------------
원시 TCP 연결이 이미 열린 상태에서 어플라이언스가 서버에서 TCP SYN 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
연결을 닫기 위해 FIN을 전송한 엔드포인트에서 어플라이언스가 새 TCP 데이터 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
어플라이언스가 3방향 핸드셰이크 중에 잘못된 TCP 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다. 예를 들어 이러한 현상이 발생하면 클라이언트의 SYN-ACK가 삭제됩니다.
----------------------------------------------------------------
TCP 시퀀스 번호가 잘못된 RST 또는 FIN 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
3방향 핸드셰이크 중에 TCP 시퀀스 번호가 잘못된 SYN 또는 SYN-ACK 패킷을 어플라이언스가 수신하면
이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
3방향 핸드셰이크 중에 TCP 확인 응답 번호가 잘못된 SYN-ACK 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
설정된 TCP 연결에서 어플라이언스가 TCP SYN 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
설정된 TCP 연결에서 어플라이언스가 TCP SYN-ACK 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
시퀀스 번호가 피어 TCP 엔드포인트에서 허용하는 기간을 벗어난 TCP 데이터 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
확인 응답 번호가 피어 TCP 엔드포인트에서 전송한 데이터보다 큰 TCP 패킷을 어플라이언스가 수신하면
이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
어플라이언스가 활성 장치로 전환된 직후 설정된 연결에서 SYN, FIN, RST 등의 제어 플래그가 포함된 TCP 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
3방향 핸드셰이크 중에 어플라이언스가 클라이언트에서 TCP ACK 패킷을 수신했는데 시퀀스 번호가 다음 번에 필요한 시퀀스 번호가 아닌 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
어플라이언스가 연결에서 순서가 잘못된 TCP 패킷을 수신했는데 해당 패킷을 저장할 버퍼 공간이 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다. 일반적으로 패킷은 어플라이언스가 검사하는 연결 순서 또는 패킷이 검사를 위해 SSM으로 전송되는 순서로 정렬됩니다. 또한 기본 큐 크기가 있으며, 이 기본 큐 크기를 초과하는 패킷이 수신되면 해당 패킷은 삭제됩니다.
ASA 플랫폼에서는 tcp-map 아래의 queue-limit 컨피그레이션을 사용하여 큐 크기를 늘릴 수 있습니다.
----------------------------------------------------------------
이름: tcp-global-buffer-full
TCP 글로벌 순서가 잘못된 패킷 버퍼 가득 참:
보안 어플라이언스가 연결에서 순서가 잘못된 TCP 패킷을 수신했는데 글로벌 버퍼를 더는 사용할 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다. 일반적으로 패킷은 보안 어플라이언스가 검사하는 연결 순서 또는 패킷이 검사를 위해 SSM으로 전송되는 순서로 정렬됩니다. 글로벌 잘못된 순서 버퍼 큐가 가득 차면 패킷이 삭제되며 이 카운터의 값이 증가합니다.
이러한 상태는 모든 글로벌 버퍼를 사용할 때의 일시적인 현상입니다. 이 카운터의 값이 계속 증가하는 경우 네트워크에서 잘못된 순서 트래픽의 양이 많은지 확인하십시오. 같은 플로우의 트래픽이 네트워크에서 서로 다른 경로를 사용하기 때문일 수 있습니다.
----------------------------------------------------------------
대기된 잘못된 순서 TCP 패킷이 버퍼에 너무 오랫동안 보류되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다. 일반적으로 패킷은 보안 어플라이언스가 검사하는 연결 순서 또는 패킷이 검사를 위해 SSM으로 전송되는 순서로 정렬됩니다. 필요한 다음 TCP 패킷이 특정 기간 내에 도착하지 않으면 대기된 잘못된 순서 패킷이 삭제됩니다.
사용량이 많은 네트워크에서 흔히 발생하는 네트워크 혼잡 현상으로 인해 필요한 다음 TCP 패킷이 도착하지 않을 수 있습니다. 이 경우 엔드 호스트의 TCP 재전송 메커니즘이 패킷을 재전송하며, 그러면 세션은 계속됩니다.
----------------------------------------------------------------
어플라이언스가 설정된 연결에서 시퀀스 번호가 기간 내에 포함되기는 하지만 필요한 다음 시퀀스 번호가
아닌 TCP SYN 또는 TCP RST 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
어플라이언스가 재전송된 데이터 패킷을 수신하여 피어 TCP 엔드포인트에서 데이터를 확인한 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
잘못된 순서 패킷 큐에 이미 포함되어 있는 재전송된 데이터 패킷을 어플라이언스가 수신하면 이 카운터의
값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
타임스탬프 헤더 옵션이 포함된 TCP 패킷에 대한 PAWS(Protect Against Wrapped Sequences) 테스트가 실패하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
이러한 연결을 계속 진행할 수 있도록 허용하려면 tcp-map 아래의 tcp-options 컨피그레이션을 사용하여 타임스탬프 옵션을 지우십시오.
----------------------------------------------------------------
이 이유는 연결 제한이 초과되었을 때 TCP 연결 설정 단계 중에 TCP 패킷을 삭제하는 이유로 제시됩니다. 'set connection conn-max' 작업 명령을 통해 연결 제한을 구성합니다.
이 카운터의 값이 빠르게 증가하는 경우 syslog를 확인하여 연결 제한에 도달한 호스트를 확인하십시오. 트래픽이 정상 상태이면 연결 제한을 늘려야 하거나 호스트가 공격을 받고 있는 것일 수 있습니다.
----------------------------------------------------------------
이 이유는 연결 제한 또는 호스트 연결 제한이 초과되었을 때 패킷을 삭제하는 이유로 제시됩니다. 해당
패킷이 TCP 연결 설정 중에 연결 제한으로 인해 삭제되는 TCP 패킷인 경우 삭제 이유 'TCP 연결 제한에 도달함'도 보고됩니다.
이 카운터의 값이 빠르게 증가하는 경우 syslog를 확인하여 연결 제한에 도달한 호스트를 확인하십시오. 트래픽이 정상 상태이면 연결 제한을 늘려야 하거나 호스트가 공격을 받고 있는 것일 수 있습니다.
----------------------------------------------------------------
재전송 확인 기능이 활성화되어 있는 상태에서 부분 TCP 재전송이 수신되면 이 카운터의 값이 증가하며
패킷이 삭제됩니다.
----------------------------------------------------------------
이 패킷과 일치하는 연결이 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
SCTP 패킷 크기가 최소 길이인 16보다 작음:
SCTP 패킷 크기가 공통 헤더와 청크 헤더를 합한 크기보다 작으면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
이름: sctp-pkt-partial_chunk
SCTP 패킷에 부분 청크가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
SCTP 청크 길이 값이 청크 헤더 크기보다 작음:
SCTP 청크 길이 값이 청크 헤더 크기보다 작으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-too-small
SCTP 청크 길이 값이 INIT 청크 크기보다 작음:
SCTP 청크 길이 값이 INIT 청크의 크기보다 작으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-param-too-small
SCTP INIT 청크 파라미터 길이 값이 파라미터 헤더 크기보다 작음:
SCTP 파라미터 길이 값이 파라미터 헤더 크기보다 작으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-new-addr
SCTP 재시작 INIT 청크에 새 주소가 포함되어 있음:
SCTP 재시작 INIT 청크에 새 주소가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-initack-too-small
SCTP 청크 길이 값이 INIT ACK 청크 크기보다 작음:
SCTP 청크 길이 값이 INIT ACK 청크의 크기보다 작으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-in-shutdown
SCTP INIT 청크가 종료 상태로 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-initack-no-matching-init
SCTP INITACK 청크에 일치하는 INIT 없음:
일치하는 INIT가 없는 SCTP INIT ACK 청크가 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
이러한 삭제는 클라이언트와 서버 간에 이중화 경로가 있는 경우 또는 네트워크의 혼잡으로 인해 INIT에 대해 생성된 연결이 해제된 후 INIT ACK가 수신될 수 있는 경우에 발생할 수 있습니다. 이 오류가 많이 발생하는 경우 패킷 캡처 기능을 사용하여 문제를 격리하십시오.
----------------------------------------------------------------
이름: sctp-chunk-init-0-tag
SCTP INIT에 값이 0인 시작 태그가 포함되어 있음:
SCTP INIT 청크에 값이 0인 시작 태그가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-initack-0-tag
SCTP INIT ACK에 값이 0인 시작 태그가 포함되어 있음:
SCTP INIT ACK 청크에 값이 0인 시작 태그가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-rwnd-too-small
SCTP INIT receive-window 값이 너무 작음:
SCTP INIT 청크 receive-window 값이 너무 작으면(1500 미만) 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-initack-rwnd-too-small
SCTP INIT ACK receive-window 값이 너무 작음:
SCTP INIT ACK 청크 receive-window 값이 너무 작으면(1500 미만) 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-0-stream-cnt
SCTP INIT에 값이 0인 인바운드/아웃바운드 스트림 개수가 포함되어 있음:
SCTP INIT 청크에 값이 0인 인바운드/아웃바운드 스트림 개수가 포함되어 있으면 이 카운터의 값이
증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-ack-0-stream-cnt
SCTP INIT ACK에 값이 0인 인바운드/아웃바운드 스트림 개수가 포함되어 있음:
SCTP INIT ACK 청크에 값이 0인 인바운드/아웃바운드 스트림 개수가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-inv-param-len
SCTP INIT ACK에 잘못된 파라미터 길이 값이 포함되어 있음:
SCTP INIT ACK 청크에 잘못된 파라미터 길이 값이 포함되어 있으면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-inv-ipv4-param-len
SCTP INIT에 잘못된 ipv4 파라미터 길이 값이 포함되어 있음:
SCTP INIT 청크에 잘못된 ipv4 파라미터 길이 값이 포함되어 있으면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-ack-inv-ipv4-param-len
SCTP INIT ACK에 잘못된 ipv4 파라미터 길이 값이 포함되어 있음:
SCTP INIT ACK 청크에 잘못된 ipv4 파라미터 길이 값이 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-inv-ipv6-param-len
SCTP INIT에 잘못된 ipv6 파라미터 길이 값이 포함되어 있음:
SCTP INIT 청크에 잘못된 ipv6 파라미터 길이 값이 포함되어 있으면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-ack-inv-ipv6-param-len
SCTP INIT ACK에 잘못된 ipv6 파라미터 길이 값이 포함되어 있음:
SCTP INIT ACK 청크에 잘못된 ipv6 파라미터 길이 값이 포함되어 있으면 이 카운터의 값이 증가하며
패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-cookie-echo-no-assoc
연결이 없는 SCTP COOKIE ECHO가 수신됨:
연결이 없는 SCTP COOKIE ECHO 청크가 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-cookie-ack-no-assoc
연결이 없는 SCTP COOKIE ACK가 수신됨:
연결이 없는 SCTP COOKIE ACK 청크가 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-cookie-echo-cookie-len
SCTP COOKIE ECHO에 길이가 다른 쿠키가 포함되어 있음:
SCTP COOKIE ECHO 청크에 길이가 다른 에코된 쿠키가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-cookie-echo-in-close
SCTP COOKIE ECHO가 CLOSED 상태로 수신됨:
SCTP COOKIE ECHO 청크가 연결 CLOSED 상태로 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-cookie-echo-in-shut
종료 중에 SCTP COOKIE ECHO가 수신됨:
SCTP COOKIE ECHO 청크가 연결 종료 중에 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-cookie-ack-in-invalid-state
SCTP COOKIE ACK가 COOKIE ECHOED 상태로 수신되지 않음:
SCTP COOKIE ACK 청크가 COOKIE ECHOED 상태로 수신되지 않으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-shutdown-too-small
SCTP SHUTDOWN 청크 길이가 너무 작으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-shutdown-in-invalid-state
SCTP SHUTDOWN이 유효한 상태로 수신되지 않음:
SCTP SHUTDOWN 청크가 유효한 상태로 수신되지 않으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-shutdown-ack-in-invalid-state
SCTP SHUTDOWN ACK가 유효한 상태로 수신되지 않음:
SCTP SHUTDOWN ACK 청크가 유효한 상태로 수신되지 않으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-shutdown-complete-in-invalid-state
SCTP SHUTDOWN COMPLETE가 유효한 상태로 수신되지 않음:
SCTP SHUTDOWN COMPLETE 청크가 유효한 상태로 수신되지 않으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-sack-in-invalid-state
SCTP SACK가 유효한 상태로 수신되지 않음:
SCTP SACK 청크가 유효한 상태로 수신되지 않으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-sack-too-small
SCTP SACK 청크 길이가 너무 작으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-fwd-tsn-in-invalid-state
SCTP FWD TSN이 유효한 상태로 수신되지 않음:
SCTP FORWARD CUMULATIVE TSN 청크가 유효한 상태로 수신되지 않으면 이 카운터의 값이 증가하며
패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-fwd-tsn-too-small
SCTP FORWARD CUMULATIVE TSN 청크 길이가 너무 작으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-fwd-tsn-gap-out-of-range
SCTP FWD TSN 간격이 범위를 벗어남:
SCTP FORWARD CUMULATIVE TSN 간격이 범위(100)를 벗어나면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-restart-bad-ip
SCTP INIT(재시작)에 이전 INIT에 없는 IP 주소가 포함되어 있음:
SCTP INIT(재시작) 청크에 이전 INIT에 없는 IP 주소가 포함되어 있으면 이 카운터의 값이 증가하며
패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-asconf-auth-inconsistent
SCTP INIT에 AUTH가 지원되지 않는 ASCONF 지원이 포함되어 있음:
SCTP INIT 청크에 AUTH가 지원되지 않는 ASCONF 지원이 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-redundancy-auth-inconsistent
SCTP INIT에 AUTH가 지원되지 않는 REDUNDANCY 지원이 포함되어 있음:
SCTP INIT 청크에 AUTH가 지원되지 않는 REDUNDANCY 지원이 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-invalid-bundle
SCTP 청크 번들에 INIT, INIT_ACK 또는 SHUTDOWN_COMPLETE가 포함됨:
SCTP 청크 번들에 INIT, INIT_ACK 또는 SHUTDOWN_COMPLETE가 포함된 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
SCTP 패킷 번들의 데이터 청크 뒤에 컨트롤 청크가 있음:
SCTP 패킷의 데이터 청크 뒤에 컨트롤 청크가 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-unrec-param
SCTP 청크에 인식할 수 없는 파라미터가 포함되어 있음:
SCTP 청크에 인식할 수 없는 파라미터가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-param-supaddrlen-inv
SCTP 청크 파라미터 SUPPORTED ADDRESS에 잘못된 길이가 포함되어 있음:n SCTP INIT/INIT ACK 청크 파라미터 SUPPORTED ADDRESS에 잘못된 길이(4 미만)가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-pkt-auth-chunk-extra
SCTP 패킷에 둘 이상의 AUTH 청크가 포함되어 있음:
SCTP 패킷에 둘 이상의 AUTH 청크가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-pkt-auth-chunk-no-data
SCTP 패킷에 AUTH 청크만 포함되어 있음:
SCTP 패킷에 AUTH 청크만 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-initack-chunk-inv-state
COOKIE-WAIT가 아닌 상태에서 SCTP INIT ACK 청크가 수신됨:
COOKIE-WAIT가 아닌 상태에서 INIT ACK 청크가 포함된 SCTP 패킷이 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-zero-ver-tag
확인 태그가 없는 SCTP 비INIT/ABORT 청크가 수신됨:
INIT/ABORT 청크를 포함하는 패킷에 확인 태그가 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-inva-ver-tag
잘못된 확인 태그를 포함하는 SCTP 청크가 수신됨:
패킷이 연결 태그와 일치하지 않는 확인 태그를 포함하는 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-abort-chunk-unexpected
예기치 않게 SCTP ABORT 청크가 수신됨:
SCTP 청크가 예기치 않게 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-shutack-chunk-unexpected
예기치 않게 SCTP SHUTDOWN ACK 청크가 수신됨:
SHUTDOWN ACK가 예기치 않게 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-shutcomplete-chunk-unexpected
예기치 않게 SCTP SHUTDOWN COMPLETE 청크가 수신됨:
SHUTDOWN COMPLETE가 예기치 않게 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-unexpected
청크가 예기치 않게 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-data-chunk-in-invalid-state
SCTP DATA 청크가 잘못된 상태로 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-descriptor-unavailable
SCTP DATA 청크 설명자를 사용할 수 없음:
SCTP 청크 설명자를 사용할 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-dgram-header-unavailable
SCTP 데이터그램 헤더를 사용할 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-stream-id-invalid
SCTP DATA 청크에 잘못된 스트림 ID가 포함되어 있음:
SCTP DATA 청크에 잘못된 스트림 ID가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-data-chunk-len-invalid
SCTP DATA 청크의 청크 길이가 잘못된 경우 이 카운터의 값이 증가하며 청크가 삭제됩니다.
----------------------------------------------------------------
이름: sctp-data-chunk-len-too-small
SCTP DATA 청크 길이가 너무 작으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-data-chunk-len-exceeds-rwnd
SCTP DATA 청크 길이가 수신 기간보다 큼:
SCTP DATA 청크 길이가 수신 기간보다 크면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-duplicate-data-stream
중복 SCTP DATA 스트림이 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
SCTP 잘못된 순서 패킷 큐가 기본 제한인 20을 초과하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-reorder-queue-timeout
잘못된 순서 SCTP 데이터 청크가 30초 동안 버퍼에 유지되어 있었던 경우 이 카운터의 값이 증가하며 데이터 청크가 삭제됩니다.
----------------------------------------------------------------
fixme 삭제 이유가 포함된 SCTP 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: sctp-reorder-queue-limit
스트림에 대해 잘못된 순서 청크의 제한(스트림당 50개)이 초과되면 이 카운터의 값이 증가하며 청크가
삭제됩니다.
----------------------------------------------------------------
이름: sctp-reassembly-queue-timeout
프래그먼트화된 청크가 30초 동안 리어셈블리 큐에 유지되어 있었던 경우 이 카운터의 값이 증가하며 프래그먼트화된 청크가 리어셈블리 큐에서 삭제됩니다.
----------------------------------------------------------------
이름: sctp-reassembly-queue-limit
리어셈블리 큐의 프래그먼트 수가 최대값(6)에 도달하고 나면 이 카운터의 값이 증가하며 프래그먼트화된
청크가 리어셈블리 큐에서 삭제됩니다.
----------------------------------------------------------------
이름: sctp-reassembly-buffer-size-limit
SCTP 리어셈블리 데이터그램 큐 바이트 크기 제한 초과됨:
데이터그램 리어셈블리 큐에 있는 청크의 총 바이트 크기가 최대값(8192바이트)에 도달하고 나면 이 카운터의 값이 증가하며 리어셈블리 데이터그램이 스트림 리어셈블리 큐(모든 프래그먼트)에서 삭제됩니다.
----------------------------------------------------------------
이름: sctp-reorder-stream-limit
순서 바꾸기의 SCTP 스트림 수가 제한을 초과함:
순서 바꾸기의 스트림 수가 최대값(64*CPU 코어 수)에 도달한 후에 첫 번째 잘못된 순서 청크가 수신되면 이 카운터의 값이 증가하며 청크가 삭제됩니다.
----------------------------------------------------------------
이름: sctp-reassembly-system-limit
SCTP 리어셈블리 데이터그램 큐 제한 초과됨:
ASA에 있는 리어셈블리 큐의 데이터그램 수가 최대값(코어당 125개)에 도달하고 나면 이 카운터의 값이 증가하며 새 수신 프래그먼트에 대해 리어셈블리 데이터그램이 작성되지 않습니다. 프래그먼트가 번들로 포함되어 있으면 패킷이 다시 작성되며, 그렇지 않으면 전체 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-invalid-fragments
이 카운터의 값이 증가하며 아직 대기되지 않은 프래그먼트를 비롯하여 리어셈블리 큐의 모든 프래그먼트가 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-shutdown-no-assoc
연결이 없는 SCTP SHUTDOWN이 수신됨:
연결이 없는 SCTP SHUTDOWN 청크가 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-shutdown-ack-no-assoc
연결이 없는 SCTP SHUTDOWN ACK가 수신됨:
연결이 없는 SCTP SHUTDOWN ACK 청크가 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-shutdown-comp-no-assoc
연결이 없는 SCTP SHUTDOWN COMPLETE가 수신됨:
연결이 없는 SCTP SHUTDOWN COMPLETE 청크가 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-sack-no-assoc
연결이 없는 SCTP SACK 청크가 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-heartbeat-no-assoc
연결이 없는 SCTP HEARTBEAT가 수신됨:
연결이 없는 SCTP HEARTBEAT 청크가 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-heartbeat-ack-no-assoc
연결이 없는 SCTP HEARTBEAT ACK가 수신됨:
연결이 없는 SCTP HEARTBEAT ACK 청크가 수신되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
check-retransmission 기능이 활성화되어 있는 상태에서 원본 패킷과 다른 데이터가 포함된 TCP 재전송이 수신된 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: tcpnorm-win-variation
TCP 엔드포인트에서 알림을 받은 윈도우 크기가 해당 분량의 데이터를 수락하지 않고 크게 변경된 경우
이 카운터의 값이 증가하며 패킷이 삭제됩니다.
이러한 패킷을 허용하려면 tcp-map 아래에서 window-variation 컨피그레이션을 사용하십시오.
----------------------------------------------------------------
이름: tcp-bad-option-length
어플라이언스가 TCP 옵션 길이가 0(비NOP 옵션의 경우 잘못된 값)인 TCP 패킷을 수신하면 이 카운터의
값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이그레스(egress)/인그레스 인터페이스에 속도 제한(폴리싱)이 구성되어 있는 상태에서 이그레스(egress)/인그레스 트래픽이 구성된 버스트 속도를 초과하면 이 카운터의 값이 증가합니다. 각 패킷이 삭제될 때마다 카운터의 값이 증가합니다.
인터페이스로 들어오고 인터페이스에서 나가는 트래픽의 속도가 구성된 속도보다 빠른 이유를 조사하여 확인합니다. 이러한 상태는 정상적인 현상일 수도 있고 바이러스나 공격 시도를 나타내는 것일 수도 있습니다.
----------------------------------------------------------------
QoS 컨피그레이션이 변경되거나 제거되면 전송 대기 중인 출력 큐의 기존 패킷이 삭제되며 이 카운터의 값이 증가합니다.
정상적인 상황에서는 사용자가 QoS 컨피그레이션을 변경한 경우 이러한 현상이 나타날 수 있습니다. QoS 컨피그레이션 변경을 수행하지 않았는데 이러한 현상이 발생하면 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
어플라이언스가 패킷에 대해 암호화 작업 수행을 시도했는데 암호화 작업이 실패하면 이 카운터의 값이 증가합니다. 이러한 현상은 정상적인 상태가 아니며 어플라이언스에 소프트웨어 또는 하드웨어 문제가 있을 수 있음을 나타낼 수 있습니다.
잘못된 암호화 관련 메시지가 많이 표시되는 경우 어플라이언스 서비스를 받아야 할 수 있습니다. syslog 402123을 활성화하여 암호화 오류가 하드웨어 또는 소프트웨어 오류인지를 확인해야 합니다. 'show ipsec stats' CLI 명령을 사용하여 글로벌 IPSec 통계에서 오류 카운터를 확인할 수도 있습니다. 이러한 오류를 트리거하는 IPSec SA를 확인할 수 있는 경우에는 'show ipsec sa detail' 명령의 SA 통계도 문제를 진단하는
데 유용합니다.
----------------------------------------------------------------
이름: ssl-first-record-invalid
SSL 첫 번째 핸드셰이크 레코드의 최소 길이는 11바이트여야 합니다. 첫 번째 레코드가 11바이트보다
작으면 패킷은 삭제됩니다.
첫 번째 SSL 레코드가 11바이트보다 작은 잘못된 SSL 레코드 유형이 있으면 이 카운터의 값이 증가합니다. 원격 피어에서 수신된 이러한 잘못된 유형은 치명적 오류로 간주되며, 이 오류가 발생하는 SSL 패킷은 삭제해야 합니다.
----------------------------------------------------------------
이름: ssl-record-length-invalid
SSL 핸드셰이크 레코드의 최소 길이는 4바이트여야 합니다. 핸드셰이크 레코드가 4바이트보다 작으면 패킷은 삭제됩니다.
SSL 레코드가 4바이트보다 작은 잘못된 SSL 레코드 유형이 있으면 이 카운터의 값이 증가합니다. 원격 피어에서 수신된 이러한 잘못된 유형은 치명적 오류로 간주되며, 이 오류가 발생하는 SSL 패킷은 삭제해야 합니다.
----------------------------------------------------------------
이름: ssl-alert-length-invalid
SSL 핸드셰이크 경고의 최소 길이는 2바이트여야 합니다. 핸드셰이크 레코드가 2바이트보다 작으면 패킷은 삭제됩니다.
SSL 경고가 2바이트보다 작은 잘못된 SSL 레코드 유형이 있으면 이 카운터의 값이 증가합니다. 원격 피어에서 수신된 이러한 잘못된 유형은 치명적 오류로 간주되며, 이 오류가 발생하는 SSL 패킷은 삭제해야 합니다.
----------------------------------------------------------------
어플라이언스가 패킷에 대해 암호화 작업 수행을 시도했는데 암호화 작업이 실패하면 이 카운터의 값이 증가합니다. 이러한 현상은 정상적인 상태가 아니며 어플라이언스에 소프트웨어 또는 하드웨어 문제가 있을 수 있음을 나타낼 수 있습니다.
잘못된 암호화 관련 메시지가 많이 표시되는 경우 어플라이언스 서비스를 받아야 할 수 있습니다. syslog 402123을 활성화하여 암호화 오류가 하드웨어 또는 소프트웨어 오류인지를 확인해야 합니다. 'show ipsec stats' CLI 명령을 사용하여 글로벌 IPSec 통계에서 오류 카운터를 확인할 수도 있습니다. 이러한 오류를 트리거하는 IPSec SA를 확인할 수 있는 경우에는 'show ipsec sa detail' 명령의 SA 통계도 문제를 진단하는
데 유용합니다.
----------------------------------------------------------------
이 카운터는 어플라이언스에서 더 이상 사용되지 않으며 값도 증가하지 않습니다.
----------------------------------------------------------------
보안 어플라이언스에서 다음 항목을 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
- 패킷의 멀티캐스트 MAC 주소가 패킷의 멀티캐스트 대상 IP 주소와 일치하지 않는 IPv4 멀티캐스트 패킷을 수신하는 경우
- 겹치는 프래그먼트 또는 작은 오프셋이 포함된 IPv6 또는 IPv4 티어드롭 프래그먼트를 수신하는 경우
- IP 감사(IPS) 서명과 일치하는 IPv4 패킷을 수신하는 경우
보안 정책에 따라 이 문제를 에스컬레이션하거나 원격 피어 관리자에게 문의하십시오.
IP 감사 공격에 대한 세부 설명과 syslog는 명령 참조 가이드의 IP 감사 서명 섹션을 참조하십시오.
----------------------------------------------------------------
데이터 플레인의 보안 컨텍스트에 유효한 정책이 설치되어 있지 않으면 이 카운터의 값이 증가하며 모든 패킷이 삭제됩니다.
이 카운터의 값이 계속 증가하면 데이터 플레인 로그에서 정책 설치 장애가 발생한 이유를 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 다음과 같은 상태이면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
1) 라우팅 모드에서 through-the-box를 통해 다음 항목을 수신하는 경우:
- 대상 IP 주소가 0.0.0.0인 IPv4 패킷
- 소스 IP 주소가 0.0.0.0인 IPv4 패킷
2) 라우팅 또는 투명 모드에서 다음 항목이 포함된 through-the-box IPv4 패킷을 수신하는 경우:
- 값이 0인 소스 IP 주소의 첫 번째 옥텟
- 값이 모두 0인 소스 IP 주소의 네트워크 부분
- 값이 모두 1인 소스 IP 주소의 네트워크 부분
- 값이 모두 0이거나 1인 소스 IP 주소 호스트 부분
- 값이 모두 0인 대상 IP 주소 호스트 부분
3) 라우팅 또는 투명 모드에서 소스 및 대상 IP 주소가 동일한 IPv4 또는 IPv6 패킷을 수신하는 경우
보안 어플라이언스의 상태가 1) 및 2)에 해당하는 경우 외부 사용자가 보호된 네트워크의 보안 침해를 시도하는지 확인하십시오. 잘못 구성된 클라이언트가 있는지 확인하십시오.
3) 이 메시지 카운터의 값이 빠르게 증가하는 경우에는 공격이 진행 중일 수 있습니다. 패킷 캡처 기능을
사용하여 asp 유형 패킷을 캡처한 다음 해당 패킷에서 소스 MAC 주소의 출처를 확인하십시오.
----------------------------------------------------------------
ip 옵션이 포함된 유니캐스트 패킷이나 수락하도록 구성되지 않은 ip-options가 포함된 멀티캐스트 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
ip 옵션이 포함된 패킷을 발신인이 전송하는 이유를 조사합니다.
----------------------------------------------------------------
스탠바이 유닛에서 손상된 논리적 업데이트 패킷을 수신했습니다.
잘못된 케이블/인터페이스 카드를 사용하거나 라인에서 노이즈가 발생하거나 소프트웨어에 결함이 있으면
패킷이 손상될 수 있습니다. 인터페이스는 정상 작동 중인 것으로 확인되면 Cisco TAC에 문제를 보고하십시오.
----------------------------------------------------------------
through-the-box 패킷이 스탠바이 상태로 어플라이언스나 컨텍스트에 도착하여 플로우가 작성되면 패킷이 삭제되고 플로우가 제거됩니다. 이러한 방식으로 패킷이 삭제될 때마다 이 카운터의 값이 증가합니다.
활성 어플라이언스 또는 컨텍스트에서는 이 카운터의 값이 증가하면 안 됩니다. 그러나 스탠바이 상태의
어플라이언스나 컨텍스트에서 이 카운터의 값이 증가하는 것은 정상적인 현상입니다.
----------------------------------------------------------------
레이어 2 스위칭용으로 구성된 어플라이언스가 수행하는 레이어 2 대상 MAC 주소 조회가 실패하면 이 카운터의 값이 증가합니다. 조회 장애 시 어플라이언스는 대상 MAC 검색 프로세스를 시작하여 ARP 및/또는 ICMP
메시지를 통해 호스트 위치를 찾으려고 합니다.
어플라이언스가 레이어 2 스위칭용으로 구성되어 있을 때 조회가 실패하는 것은 정상적인 현상입니다. show mac-address-table을 실행하여 현재 어플라이언스가 검색한 L2 MAC 주소 위치의 목록을 표시할 수도 있습니다.
----------------------------------------------------------------
인그레스 인터페이스가 특정 브리지 그룹에 속해 있는 상태에서 인그레스 BVI 인터페이스에 대해 nameif가 구성되지 않은 다른 브리지 그룹이나 L3 인터페이스에 속하는 인터페이스를 통해 트래픽을 전송하면 이 카운터의 값이 증가합니다.
트래픽이 BVI 인터페이스에서 전송되려면 인그레스 BVI 인터페이스에서 nameif를 구성해야 합니다.
----------------------------------------------------------------
이름: bvi-unsupported-packet
BVI 인터페이스에서 지원되지 않는 패킷이 펀트되면 이 카운터의 값이 증가합니다.
패킷을 분석하여 BVI 인터페이스에서 펀트하려고 시도하는 지원되지 않는 패킷의 소스를 확인합니다.
----------------------------------------------------------------
어플라이언스/컨텍스트가 투명 모드용으로 구성된 상태에서 대상 인터페이스의 L2 MAC 주소가 인그레스
인터페이스의 주소와 동일함을 어플라이언스가 확인하는 경우 이 카운터의 값이 증가합니다.
어플라이언스/컨텍스트가 투명 모드용으로 구성되어 있을 때 이 카운터의 값이 증가하는 것은 정상적인 현상입니다. 어플라이언스 인터페이스는 프로미스큐어스 모드로 작동하므로 어플라이언스/컨텍스트는 로컬 LAN 세그먼트의 모든 패킷을 수신합니다.
----------------------------------------------------------------
보안 어플라이언스가 이미 만료된 플로우에 속하는 새 패킷이나 캐시된 패킷을 삽입하려고 하면 이 카운터의 값이 증가합니다. 또한 어플라이언스가 이미 만료된 tcp 플로우에서 rst 전송을 시도하거나, IDS에서 패킷이 반환되었는데 플로우가 이미 만료된 경우에도 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
유효한 애플리케이션이 선점되는 경우 시간 제한이 더 길어야 하는지 조사합니다.
----------------------------------------------------------------
보안 어플라이언스가 이미 만료된 플로우에 속하는 새 패킷이나 캐시된 패킷을 삽입하려고 하면 이 카운터의 값이 증가합니다. 또한 어플라이언스가 이미 만료된 tcp 플로우에서 rst 전송을 시도하거나, IDS에서 패킷이
반환되었는데 플로우가 이미 만료된 경우에도 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
유효한 애플리케이션이 선점되는 경우 시간 제한이 더 길어야 하는지 조사합니다.
----------------------------------------------------------------
보안 어플라이언스가 이미 만료된 플로우에 속하는 새 패킷이나 캐시된 패킷을 삽입하려고 하면 이 카운터의 값이 증가합니다. 또한 어플라이언스가 이미 만료된 tcp 플로우에서 rst 전송을 시도하거나, IDS에서 패킷이 반환되었는데 플로우가 이미 만료된 경우에도 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
유효한 애플리케이션이 선점되는 경우 시간 제한이 더 길어야 하는지 조사합니다.
----------------------------------------------------------------
보안 어플라이언스가 이미 만료된 플로우에 속하는 새 패킷이나 캐시된 패킷을 삽입하려고 하면 이 카운터의 값이 증가합니다. 또한 어플라이언스가 이미 만료된 tcp 플로우에서 rst 전송을 시도하거나, IDS에서 패킷이 반환되었는데 플로우가 이미 만료된 경우에도 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
유효한 애플리케이션이 선점되는 경우 시간 제한이 더 길어야 하는지 조사합니다.
----------------------------------------------------------------
보안 어플라이언스가 이미 만료된 플로우에 속하는 새 패킷이나 캐시된 패킷을 삽입하려고 하면 이 카운터의 값이 증가합니다. 또한 어플라이언스가 이미 만료된 tcp 플로우에서 rst 전송을 시도하거나, IDS에서 패킷이 반환되었는데 플로우가 이미 만료된 경우에도 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
유효한 애플리케이션이 선점되는 경우 시간 제한이 더 길어야 하는지 조사합니다.
----------------------------------------------------------------
이름: inspect-icmp-out-of-app-id
ICMP 검사 엔진이 '앱 ID' 데이터 구조를 할당하지 못하는 경우 이 카운터의 값이 증가합니다. 이 데이터 구조는 ICMP 패킷의 시퀀스 번호를 저장하는 데 사용됩니다.
시스템 메모리 사용량을 확인하십시오. 이 이벤트는 대개 시스템의 메모리가 부족하면 발생합니다.
----------------------------------------------------------------
이름: inspect-icmp-bad-code
ICMP 검사에서 잘못된 icmp 코드가 확인됨:
ICMP 에코 요청 또는 회신 메시지의 ICMP 코드가 0이 아닌 경우 이 카운터의 값이 증가합니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-icmp-seq-num-not-matched
ICMP 검사에서 시퀀스 번호가 일치하지 않음:
ICMP 에코 회신 메시지의 시퀀스 번호가 같은 연결에서 이전에 어플라이언스로 전달된 ICMP 에코 메시지와 일치하지 않으면 이 카운터의 값이 증가합니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-icmp-error-no-existing-conn
ICMP 오류 검사에서 기존 연결을 찾지 못함:
ICMP 오류 메시지에 임베드되어 있는 프레임과 관련하여 설정된 연결을 어플라이언스가 찾을 수 없는 경우 이 카운터의 값이 증가합니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-icmp-error-different-embedded-conn
ICMP 오류 검사에서 다른 임베디드 연결이 확인됨:
ICMP 오류 메시지에 임베드된 프레임이 ICMP 연결 작성 시 확인되었던 설정된 연결과 일치하지 않으면 이 카운터의 값이 증가합니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-icmp-invalid-pak
어플라이언스가 잘못된 ICMPv4 또는 ICMPv6 패킷을 탐지하면 이 카운터의 값이 증가합니다. 불완전한
ICMP 헤더, 형식이 잘못된 ICMP 다음 헤더, ICMPv6 NS(네이버 요청)의 잘못된 홉 제한 등을 예로 들 수
있습니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-icmpv6-error-invalid-pak
ICMPv6 오류 검사에서 잘못된 패킷이 탐지됨:
어플라이언스가 ICMPv6 패킷에 임베드되어 있는 잘못된 프레임을 탐지하면 이 카운터의 값이 증가합니다. 이 검사는 IPv6 패킷에 대한 검사와 동일합니다. 불완전한 IPv6 헤더, 형식이 잘못된 IPv6 다음 헤더 등을 예로 들 수 있습니다.
----------------------------------------------------------------
이름: inspect-icmpv6-error-no-existing-conn
ICMPv6 오류 검사에서 기존 연결을 찾지 못함:
ICMPv6 오류 메시지에 임베드되어 있는 프레임과 관련하여 설정된 연결을 어플라이언스가 찾을 수 없는 경우 이 카운터의 값이 증가합니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-icmp-error-nat64-error
ICMP NAT64 오류 검사에서 XLATE 오류가 확인됨:
어플라이언스가 ICMP 오류 메시지를 IPv6과 IPv4 간에 변환할 수 없으면 이 카운터의 값이 증가합니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-icmp-nat64-frag
ICMP NAT64 검사에서 프래그멘테이션 오류가 확인됨:
프래그멘테이션으로 인해 어플라이언스가 ICMP 메시지를 IPv6과 IPv4 간에 변환할 수 없으면 이 카운터의 값이 증가합니다. RFC-6145에 따라 ICMP 패킷 프래그먼트는 변환되지 않습니다.
----------------------------------------------------------------
이름: inspect-stun-out-of-trans-id
STUN 검사 엔진이 '변환 ID' 데이터 구조를 할당하지 못하는 경우 이 카운터의 값이 증가합니다. 이 데이터 구조는 STUN 패킷의 트랜잭션 ID를 저장하는 데 사용됩니다.
시스템 메모리 사용량을 확인하십시오. 이 이벤트는 대개 시스템의 메모리가 부족하면 발생합니다.
----------------------------------------------------------------
이름: inspect-stun-out-of-memory
STUN 검사 엔진이 메모리를 할당하지 못하는 경우 이 카운터의 값이 증가합니다.
시스템 메모리 사용량을 확인하십시오. 이 이벤트는 대개 시스템의 메모리가 부족하면 발생합니다.
----------------------------------------------------------------
이름: inspect-stun-trans-id-no-match
STUN 검사에서 변환 ID가 일치하지 않음:
STUN 성공/오류 응답 메시지의 트랜잭션 ID가 같은 연결에서 이전에 어플라이언스로 전달된 STUN 요청
메시지와 일치하지 않으면 이 카운터의 값이 증가합니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-stun-invalid-pak
어플라이언스가 잘못된 STUN 패킷을 탐지하면 이 카운터의 값이 증가합니다.
불완전한 STUN 헤더, 형식이 잘못된 STUN 헤더 등을 예로 들 수 있습니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-stun-pinhole-fail
어플라이언스가 STUN 요청 및 정상적인 응답 메시지 교환 이후 핀홀을 열지 못하면 이 카운터의 값이 증가합니다.
시스템 메모리 사용량을 확인하십시오. 이 이벤트는 대개 시스템의 메모리가 부족하면 발생합니다.
----------------------------------------------------------------
이름: inspect-dns-invalid-pak
어플라이언스가 잘못된 DNS 패킷을 탐지하면 이 카운터의 값이 증가합니다. DNS 헤더가 없는 DNS 패킷,
헤더의 카운터와 일치하지 않는 DNS 리소스 레코드의 수 등을 예로 들 수 있습니다.
----------------------------------------------------------------
이름: inspect-dns-opt-format-error
DNS 검사에서 여러 OPT 레코드가 발견됨:
단일 DNS 패킷에서 여러 OPT 레코드가 발견되면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: inspect-dns-invalid-domain-label
DNS 검사에서 잘못된 도메인 레이블이 발견됨:
어플라이언스가 잘못된 DNS 도메인 이름이나 레이블을 탐지하면 이 카운터의 값이 증가합니다. RFC 1035에 따라 DNS 도메인 이름 및 레이블을 확인합니다.
조치가 필요하지 않습니다. 도메인 이름 및 레이블 검사를 수행하지 않으려는 경우에는 DNS 검사 정책
맵(지원되는 릴리스의 경우)에서 protocol-enforcement 파라미터를 비활성화하십시오.
----------------------------------------------------------------
이름: inspect-dns-pak-too-long
DNS 메시지의 길이가 구성되어 있는 최대 허용 값을 초과하면 이 카운터의 값이 증가합니다.
조치가 필요하지 않습니다. DNS 메시지 길이 검사를 수행하지 않으려는 경우에는 DNS 검사 정책 맵(지
원되는 릴리스의 경우)에서 'message-length maximum' 파라미터를 비활성화하거나 'maximum-length' 옵션을 사용하지 않고 DNS 검사를 활성화하십시오.
----------------------------------------------------------------
이름: inspect-dns-out-of-app-id
DNS 검사 엔진이 DNS 메시지 ID 저장을 위한 데이터 구조를 할당하지 못하는 경우 이 카운터의 값이 증가합니다.
시스템 메모리 사용량을 확인하십시오. 이 이벤트는 대개 시스템의 메모리가 부족하면 발생합니다.
----------------------------------------------------------------
이름: inspect-dns-id-not-matched
DNS 응답 메시지의 ID가 같은 연결에서 이전에 어플라이언스로 전달된 DNS 쿼리와 일치하지 않으면 이 카운터의 값이 증가합니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-dns-umbrella-no-memory
DNS 검사 시 Umbrella 메모리 할당 실패:
Umbrella가 새 메모리를 할당할 수 없으면 이 카운터의 값이 증가합니다. 처리 중인 현재 패킷이 삭제되었습니다.
시스템 로드를 확인하십시오. 메모리 사용량을 확인하십시오.
----------------------------------------------------------------
이름: inspect-dns-umbrella-flow-exp
Umbrella DNS 패킷 지연. 플로우 만료됨:
Umbrella의 DNS 응답이 패킷을 리디렉션하는 페어링 클라이언트 플로우를 찾을 수 없는 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
Umbrella 리졸버(Resolver)에 대한 연결성 또는 네트워크 지연을 확인하십시오.
----------------------------------------------------------------
이름: inspect-dns-umbrella-appid-fail
Umbrella DNS 트랜잭션 ID 항목 생성 또는 조회 실패:
일치하는 요청 응답 트랜잭션 ID가 없습니다. app-id 테이블이 업데이트되지 않았습니다.
DNS 플로우, 시스템 로드, 메모리 사용량을 확인하십시오.
----------------------------------------------------------------
이름: dns-guard-out-of-app-id
DNS 보호 기능을 통한 앱 ID 할당 실패:
DNS 보호 기능이 DNS 메시지 ID 저장을 위한 데이터 구조를 할당하지 못하는 경우 이 카운터의 값이 증가합니다.
시스템 메모리 사용량을 확인하십시오. 이 이벤트는 대개 시스템의 메모리가 부족하면 발생합니다.
----------------------------------------------------------------
이름: dns-guard-id-not-matched
DNS 응답 메시지의 ID가 같은 연결에서 이전에 어플라이언스로 전달된 DNS 쿼리와 일치하지 않으면
이 카운터의 값이 증가합니다. 이 카운터의 값은 DNS 보호 기능을 통해 증가합니다.
이벤트가 가끔씩만 발생한다면 조치를 취할 필요가 없습니다. 공격으로 인해 이벤트가 발생하는 경우에는 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-rtp-invalid-length
UDP 패킷 길이가 RTP 헤더의 크기보다 작으면 이 카운터의 값이 증가합니다.
조치가 필요하지 않습니다. 캡처를 사용하여 잘못된 패킷을 전송하는 RTP 소스를 파악할 수 있으며, ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-rtp-invalid-version
RTP 버전 필드에 2 이외의 버전이 포함되어 있으면 이 카운터의 값이 증가합니다.
네트워크의 RTP 소스가 RFC 1889를 준수하는 RTP 패킷을 전송하고 있지 않은 것 같습니다. 그 이유를
파악한 다음 필요한 경우 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-rtp-invalid-payload-type
신호 채널에서 이 RTP 보조 연결의 오디오 미디어 유형을 협상할 때 RTP 페이로드 유형 필드에 오디오 페이로드 유형이 포함되어 있지 않으면 이 카운터의 값이 증가합니다. 비디오 페이로드 유형의 경우에도 마찬가지로 카운터의 값이 증가합니다.
네트워크의 RTP 소스가 오디오 RTP 보조 연결을 사용하여 비디오를 전송하고 있거나, 비디오 RTP 보조 연결을 사용하여 오디오를 전송하고 있습니다. 이러한 현상을 방지하려는 경우 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-rtp-ssrc-mismatch
패킷의 RTP SSRC 필드가 모든 RTP 패킷에 포함된 이 RTP 소스에 대한 검사에서 확인된 SSRC와 일치하지 않으면 이 카운터의 값이 증가합니다.
네트워크의 RTP 소스가 재부팅 중이어서 SSRC가 변경되고 있거나, 네트워크의 다른 호스트가 방화벽에서
열려 있는 보조 RTP 연결을 사용하여 RTP 패킷 전송을 시도하고 있기 때문일 수 있습니다. 이러한 현상은 추가로 조사하여 문제가 있는지를 확인해야 합니다.
----------------------------------------------------------------
이름: inspect-rtp-sequence-num-outofrange
패킷의 RTP 시퀀스 번호가 검사에 필요한 범위에 속하지 않으면 이 카운터의 값이 증가합니다.
RTP 소스의 시퀀스 번호 범위를 벗어나면 검사에서 시퀀스 번호를 복구하여 새 시퀀스 번호에서 추적을
시작하므로 별도의 조치를 취할 필요가 없습니다.
----------------------------------------------------------------
이름: inspect-rtp-max-outofseq-paks-probation
관찰 기간에 RTP 시퀀스 외부 패킷 수가 초과됨:
RTP 소스를 검수하는 중에 시퀀스를 벗어난 패킷의 수가 20개를 초과하면 이 카운터의 값이 증가합니다.
관찰 기간 동안 검사에서는 시퀀스 내 패킷 5개를 확인하여 소스 검수 여부를 고려합니다.
RTP 소스를 검사해 처음 몇 개의 패킷이 시퀀스를 벗어난 이유를 확인하고 해당 패킷을 수정합니다.
----------------------------------------------------------------
이름: inspect-rtcp-invalid-length
UDP 패킷 길이가 RTCP 헤더의 크기보다 작으면 이 카운터의 값이 증가합니다.
조치가 필요하지 않습니다. 캡처를 사용하여 잘못된 패킷을 전송하는 RTP 소스를 파악할 수 있으며, ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-rtcp-invalid-version
RTCP 버전 필드에 2 이외의 버전이 포함되어 있으면 이 카운터의 값이 증가합니다.
네트워크의 RTP 소스가 RFC 1889를 준수하는 RTCP 패킷을 전송하고 있지 않은 것 같습니다. 그 이유를
파악한 다음 필요한 경우 ACL을 사용하여 호스트를 거부할 수 있습니다.
----------------------------------------------------------------
이름: inspect-rtcp-invalid-payload-type
RTCP 페이로드 유형 필드에 값 200~204가 포함되어 있지 않으면 이 카운터의 값이 증가합니다.
RTP 소스를 검수하여 RFC 1889에서 권장하는 범위를 벗어난 페이로드 유형을 전송하는 이유를 확인해야
합니다.
----------------------------------------------------------------
패킷이 IPS 엔진의 서명과 일치하는 경우 이 카운터의 값이 증가하며 IPS 모듈의 요청에 따라 패킷이 삭제됩니다.
IPS 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
패킷이 CXSC 엔진의 서명과 일치하는 경우 이 카운터의 값이 증가하며 CXSC 모듈의 요청에 따라 패킷이
삭제됩니다.
CXSC 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
이름: cxsc-bad-tlv-received
패킷에 잘못된 TLV가 포함되어 있으면 이 카운터의 값이 증가하며 CXSC 모듈의 요청에 따라 패킷이 삭제됩니다.
CXSC 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
이름: cxsc-malformed-packet
패킷이 잘못된 형식이면 이 카운터의 값이 증가하며 CXSC 모듈의 요청에 따라 패킷이 삭제됩니다.
CXSC 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
특정 연결에 대한 CXSC 컨피그레이션을 찾을 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
CXSC에 대해 컨피그레이션 변경을 수행했는지 확인하십시오.
----------------------------------------------------------------
CXSC 카드가 다운되어 CXSC 작업에서 fail-close 옵션이 사용된 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
보안 어플라이언스가 CXSC HA 요청 패킷을 수신했는데 해당 패킷을 처리할 수 없으면 이 카운터의 값이
증가하며 패킷이 삭제됩니다.
ASA HA 상태를 변경한 직후와 같이 CXSC에 최신 ASA HA 상태가 적용되어 있지 않으면 가끔씩 이러한 현상이 발생할 수 있습니다. 그러나 카운터의 값이 계속 증가하면 CXSC와 ASA가 동기화되지 않기 때문일 수 있습니다. 이러한 경우에는 Cisco TAC에 지원을 요청하십시오.
----------------------------------------------------------------
메시지 헤더가 잘못된 CXSC 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
이러한 현상은 발생해서는 안 됩니다. Cisco TAC에 지원을 요청하십시오.
----------------------------------------------------------------
이름: cxsc-bad-handle-received
CXSC 모듈의 패킷에서 잘못된 플로우 핸들이 수신되어 플로우가 삭제됩니다.
CX 플로우의 핸들이 플로우 기간 중에 변경되었으므로 이 카운터의 값이 증가하며 플로우와 패킷은
삭제됩니다.
CXSC 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
CXSC 잘못된 모니터 전용 모드 수신 패킷 삭제:
보안 어플라이언스가 모니터 전용 모드에서 CXSC 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
이러한 현상은 발생해서는 안 됩니다. Cisco TAC에 지원을 요청하십시오.
----------------------------------------------------------------
패킷이 SFR 엔진의 서명과 일치하는 경우 이 카운터의 값이 증가하며 SFR 모듈의 요청에 따라 패킷이
삭제됩니다.
SFR 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
패킷에 잘못된 TLV가 포함되어 있으면 이 카운터의 값이 증가하며 SFR 모듈의 요청에 따라 패킷이
삭제됩니다.
SFR 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
패킷이 잘못된 형식이면 이 카운터의 값이 증가하며 SFR 모듈의 요청에 따라 패킷이 삭제됩니다.
SFR 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
SFR 카드가 다운되어 SFR 작업에서 fail-close 옵션이 구성된 경우 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
특정 연결에 대한 SFR 컨피그레이션을 찾을 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
SFR에 대해 컨피그레이션 변경을 수행했는지 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 SFR HA 요청 패킷을 수신했는데 해당 패킷을 처리할 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
ASA HA 상태를 변경한 직후와 같이 SFR에 최신 ASA HA 상태가 적용되어 있지 않으면 가끔씩 이러한 현상이 발생할 수 있습니다. 그러나 카운터의 값이 계속 증가하면 SFR과 ASA가 동기화되지 않기 때문일 수 있습니다. 이러한 경우에는 Cisco TAC에 지원을 요청하십시오.
----------------------------------------------------------------
메시지 헤더가 잘못된 SFR 패킷을 보안 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
이러한 현상은 발생해서는 안 됩니다. Cisco TAC에 지원을 요청하십시오.
----------------------------------------------------------------
이름: sfr-bad-handle-received
SFR 모듈의 패킷에서 잘못된 플로우 핸들이 수신되어 플로우가 삭제됩니다.
SFR 플로우의 핸들이 플로우 기간 중에 변경되었으므로 이 카운터의 값이 증가하며 플로우와 패킷은
삭제됩니다.
SFR 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
SFR 잘못된 모니터 전용 모드 수신 패킷 삭제:
보안 어플라이언스가 모니터 전용 모드에서 SFR 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
이러한 현상은 발생해서는 안 됩니다. Cisco TAC에 지원을 요청하십시오.
----------------------------------------------------------------
이름: inspect-dp-out-of-memory
검사 데이터 경로에서 메모리를 할당하지 못하면 이 카운터의 값이 증가합니다.
시스템 메모리 사용량을 확인하십시오. 이 이벤트는 대개 시스템의 메모리가 부족하면 발생합니다.
----------------------------------------------------------------
이름: app-recv-queue-not-ready
검사 데이터 경로 피어 인덱스가 준비되지 않음:
큐를 수신하는 애플리케이션이 준비되지 않은 상태이면 이 카운터의 값이 증가합니다.
이 이벤트는 시스템을 부팅하는 중이거나 Snort를 가동 또는 중지하는 중인 경우 등 시스템이 일시적인 상태일 때만 발생합니다.
----------------------------------------------------------------
이 카운터의 값이 증가하며 Snort 모듈의 요청에 따라 패킷이 삭제됩니다.
Snort 정책에서 플로우를 거부하는 규칙을 검토하십시오.
----------------------------------------------------------------
Snort 모듈이 다운되어 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
Snort 통계에서 SNORT 인스턴스가 다운된 이유를 검토하십시오.
----------------------------------------------------------------
SNORT 인스턴스가 사용 중이어서 프레임을 처리할 수 없으므로 프레임 삭제:
Snort 모듈이 사용 중이어서 프레임을 처리할 수 없으므로 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
Snort 통계에서 SNORT 인스턴스의 로드가 많은 이유를 검토하십시오.
----------------------------------------------------------------
이름: ips-license-disabled-fail-close
IPS 모듈 라이선스가 비활성화되어 IPS 검사에서 fail-close 옵션이 사용된 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
IPS 모듈 라이선스가 활성화된 활성화 키를 적용하십시오.
----------------------------------------------------------------
특정 연결에 대한 IPS 컨피그레이션을 찾을 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
IPS에 대해 컨피그레이션 변경을 수행했는지 확인하십시오.
----------------------------------------------------------------
IPS 카드가 다운되어 IPS 검사에서 fail-close 옵션이 사용된 경우 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
실행 중인 IPS 소프트웨어가 IPv6을 지원하지 않음:
IPS SSM 카드에서 실행되고 있는 소프트웨어가 IPv6을 지원하지 않아 IPS SSM으로 전송되도록 구성된 IPv6 패킷이 삭제되면 이 카운터의 값이 증가합니다.
IPS 소프트웨어를 버전 6.2 이상으로 업그레이드하십시오.
----------------------------------------------------------------
어플라이언스가 레이어 2 ACL로 인해 패킷을 거부하면 이 카운터의 값이 증가합니다. 기본적으로 라우팅
모드에서 어플라이언스는 다음 항목을 허용합니다.
4) L2 대상 MAC FFFF:FFFF:FFFF(브로드캐스트)
5) 대상 L2가 0100:5E00:0000-0100:5EFE:FFFF인 IPv4 MCAST 패킷
6) 대상 L2가 3333:0000:0000-3333:FFFF:FFFF인 IPv6 MCAST 패킷
기본적으로 투명 모드에서는 라우팅 모드 ACL과 다음 항목이 허용됩니다.
1) 대상 L2가 0100:0CCC:CCCD인 BPDU 패킷
2) 대상 L2가 0900:0700:0000-0900:07FF:FFFF인 Appletalk 패킷
사용자는 ethertype ACL을 구성한 다음 인터페이스에 적용하여 다른 유형의 L2 트래픽을 허용할 수도 있습니다.
참고 - L2 ACL에서 허용되는 패킷이 L3-L4 ACL에 의해 삭제될 수도 있습니다.
어플라이언스/컨텍스트를 투명 모드에서 실행 중인데 비IP 패킷이 어플라이언스에 의해 삭제되는 경우 ethertype ACL을 구성하여 액세스 그룹에 ACL을 적용할 수 있습니다. 참고 - 어플라이언스 ethertype CLI는 프로토콜 유형만 지원하며 L2 대상 MAC 주소는 지원하지 않습니다.
----------------------------------------------------------------
레이어 2 ACL 검사를 적용할 때 VXLAN out-tag를 찾지 못하여 어플라이언스가 패킷을 거부하면 이 카운터의 값이 증가합니다.
이러한 현상은 VXLAN 기반 태그 스위칭 활용 사례에서만 발생합니다. VXLAN segment-id 컨피그레이션
및 태그 스위칭 테이블이 올바른지 확인하십시오.
----------------------------------------------------------------
어플라이언스가 레이어 2 ACL로 인해 패킷을 거부하면 이 카운터의 값이 증가합니다. 기본적으로 라우팅
모드에서 어플라이언스는 다음 항목을 허용합니다.
4) L2 대상 MAC FFFF:FFFF:FFFF(브로드캐스트)
5) 대상 L2가 0100:5E00:0000-0100:5EFE:FFFF인 IPv4 MCAST 패킷
6) 대상 L2가 3333:0000:0000-3333:FFFF:FFFF인 IPv6 MCAST 패킷
기본적으로 투명 모드에서는 라우팅 모드 ACL과 다음 항목이 허용됩니다.
1) 대상 L2가 0100:0CCC:CCCD인 BPDU 패킷
2) 대상 L2가 0900:0700:0000-0900:07FF:FFFF인 Appletalk 패킷
사용자는 ethertype ACL을 구성한 다음 인터페이스에 적용하여 다른 유형의 L2 트래픽을 허용할
수도 있습니다.
참고 - L2 ACL에서 허용되는 패킷이 L3-L4 ACL에 의해 삭제될 수도 있습니다.
어플라이언스/컨텍스트를 투명 모드에서 실행 중인데 비IP 패킷이 어플라이언스에 의해 삭제되는 경우 ethertype ACL을 구성하여 액세스 그룹에 ACL을 적용할 수 있습니다. 참고 - 어플라이언스 ethertype CLI는 프로토콜 유형만 지원하며 L2 대상 MAC 주소는 지원하지 않습니다.
----------------------------------------------------------------
서버로부터의 SYNACK를 대기하는 중에 클라이언트에서 데이터를 수신했거나, TCP 가로채기의 특정 상태에서 처리할 수 없는 패킷을 수신했습니다.
이 삭제로 인해 연결에 장애가 발생하면 문제를 보고하는 동시에 연결의 클라이언트 및 서버측에서 스니퍼
추적을 수행하십시오. box가 공격을 받고 있을 수 있으므로, 스니퍼 추적 또는 캡처를 수행하면 문제 원인의
범위를 좁힐 수 있습니다.
----------------------------------------------------------------
멀티캐스트 플로우와 일치하는 패킷이 도착했으나 멀티캐스트 서비스가 더 이상 활성화되어 있지 않거나 플로우가 작성된 후에 다시 활성화되었습니다.
패킷이 CP에 펀트된 후에 멀티캐스트 엔트리 변경이 탐지되었으며, 엔트리가 없으므로 NP가 더 이상 패킷을 전달할 수 없습니다.
멀티캐스트가 비활성화되어 있으면 다시 활성화하십시오.
----------------------------------------------------------------
모든 출력 인터페이스가 멀티캐스트 엔트리에서 제거되었습니다.
이 그룹용 수신기가 더 이상 없는지 확인하십시오.
이 패킷에 대한 플로우가 있는지 확인하십시오.
----------------------------------------------------------------
이름: fragment-full-reassembly-failed
어플라이언스가 프래그먼트화된 패킷 체인을 단일 패킷으로 리어셈블하는 동안 메모리를 할당하지 못하면 이 카운터의 값이 증가합니다. 체인의 모든 프래그먼트 패킷은 삭제됩니다.
show blocks 명령을 사용하여 현재 블록 메모리를 모니터링합니다.
----------------------------------------------------------------
공유 인터페이스에 도착한 패킷을 특정 컨텍스트 인터페이스로 분류하지 못했습니다.
맞춤화 가능한 mac-address를 지원하지 않는 소프트웨어 버전의 경우 "global" 또는 "static" 명령을
사용하여 각 컨텍스트 인터페이스에 속하는 IPv4 주소를 지정하십시오. 맞춤화 가능한 mac-address를 지원하는 소프트웨어 버전의 경우에는 시스템 컨텍스트에서 "mac-address auto"를 활성화하십시오. 또는 각 컨텍스트
인터페이스 하위 모드에서 "mac-address" 명령을 사용하여 공유 인터페이스에 있는 각 컨텍스트 인터페이스용으로 고유한 MAC 주소를 구성하십시오.
----------------------------------------------------------------
패킷 처리를 대기하는 동안 패킷 처리에 사용해야 하는 플로우가 삭제되었습니다.
이 메시지는 패킷을 처리 중인 디바이스의 연결을 제거하기 위한 사용자 인터페이스 명령에서 표시될 수 있습니다. 그 외의 경우에는 플로우 삭제 카운터를 조사하십시오. 오류에서 플로우를 강제로 삭제하면 이 메시지가 표시될 수 있습니다.
----------------------------------------------------------------
'shutdown' 인터페이스 하위 모드 명령을 통해 종료된 인터페이스에서 수신되는 각 패킷에 대해 이 카운터의 값이 증가합니다. 인그레스 트래픽의 경우에는 보안 컨텍스트 분류 이후 컨텍스트와 연결된 인터페이스가 종료되면 패킷이 삭제됩니다. 이그레스(egress) 트래픽의 경우에는 이그레스(egress) 인터페이스가 종료되면 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: service-interface-down
service-interface가 구성되지 않은 경우 ASA 1000V에서 vPath 태그가 지정된 모든 트래픽을
삭제합니다.
다음 명령을 사용하여 모든 보안 프로필 인터페이스가 내부 인터페이스와 연결되어 있는지 확인하십시오.
service-interface security-profile all <내부 인터페이스 이름>
----------------------------------------------------------------
어플라이언스가 패킷에 포함된 레이어 7 페이로드의 잘못된 길이를 탐지하면 이 카운터의 값이 증가합니다.
현재 이 카운터는 DNS 보호 기능에 의한 삭제 수만 계산합니다. 불완전한 DNS 헤더 등을 예로 들 수 있습니다.
----------------------------------------------------------------
패킷이 공유 인터페이스를 통해 어플라이언스의 컨텍스트 간에 전송되는데 루프백 큐에 버퍼 공간이 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
시스템 CPU가 오버로드되지 않았는지 확인하십시오.
----------------------------------------------------------------
이름: non-ip-pkt-in-routed-mode
어플라이언스/컨텍스트가 라우팅 모드용으로 구성되어 있는 상태에서 어플라이언스가 IPv4, IPv6 또는 ARP가 아닌 패킷을 수신하면 이 카운터의 값이 증가합니다. 정상 작동 시 이러한 패킷은 기본 L2 ACL 컨피그레이션에 의해 삭제됩니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
어플라이언스/.컨텍스트가 투명 모드용으로 구성되어 있는데 알려진 L2 MAC 주소의 소스 인터페이스가 다른 인터페이스에서 탐지되면 이 카운터의 값이 증가합니다.
이러한 현상은 호스트가 LAN 세그먼트 등의 특정 인터페이스에서 다른 인터페이스로 이동되었음을 나타냅니다. 투명 모드에서 호스트가 실제로 이동된 경우 이러한 상태는 정상적인 현상입니다. 하지만 인터페이스 간 호스트 이동이 되풀이되는 경우에는 네트워크 루프가 있는 것일 수 있습니다.
----------------------------------------------------------------
이름: tfw-no-mgmt-ip-config
TFW용 관리 IP 주소가 구성되어 있지 않음:
보안 어플라이언스가 투명 모드에서 IP 패킷을 수신했는데 관리 IP 주소가 정의되어 있지 않으면 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
관리 IP 주소와 마스크 값을 사용하여 디바이스를 구성하십시오.
----------------------------------------------------------------
이름: passenger-flow-failed
보안 어플라이언스가 터널 IP 패킷을 수신하고 여객 IP 패킷 처리 중에 오류가 발생하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
소스 IP 주소가 차단 데이터베이스의 호스트와 일치하는 패킷이 수신되면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
시스템이나 컨텍스트의 최대 연결 수에 도달하여 새 연결을 시도할 때 이 카운터의 값이 증가합니다.
디바이스 관리자는 'show resource usage' 및 'show resource usage system' 명령을 사용하여 컨텍스트 및 시스템 리소스 제한과 'Denied(거부됨)' 상태의 연결 수를 확인하고 원하는 경우 리소스 제한을 조정할 수 있습니다.
----------------------------------------------------------------
시스템이나 컨텍스트의 최대 연결 속도에 도달하여 새 연결을 시도할 때 이 카운터의 값이 증가합니다.
디바이스 관리자는 'show resource usage' 및 'show resource usage system' 명령을 사용하여 컨텍스트 및 시스템 리소스 제한과 'Denied(거부됨)' 상태의 연결 수를 확인하고 원하는 경우 리소스 제한을 조정할 수 있습니다.
----------------------------------------------------------------
사용자나 소프트웨어가 소켓을 갑자기 닫으면 해당 소켓의 파이프라인에서 보류 중인 패킷도 삭제됩니다.
파이프라인에서 패킷이 삭제될 때마다 이 카운터의 값이 증가합니다.
정상 작동 상태의 일부분으로 이 카운터의 값이 증가하는 현상은 흔히 나타납니다. 하지만 이 카운터의 값이 빠르게 증가하고 소켓 기반 애플리케이션에서 중대한 오작동이 발생하는 경우에는 소프트웨어 결함으로 인한 현상일 수도 있습니다. Cisco TAC에 문의하여 문제를 추가로 조사하십시오.
----------------------------------------------------------------
포트 전달 애플리케이션의 내부 큐가 가득 찬 상태에서 전송을 위한 다른 패킷이 수신되면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
이 카운터는 ASA 5500 Series Adaptive Security Appliance에만 적용됩니다. 보안 어플라이언스가
내부 데이터 플레인에서 수신한 패킷을 구문 분석하기 위한 올바른 드라이버를 찾을 수 없으면 이 카운터의 값이 증가합니다.
데이터 플레인 드라이버는 시스템에 설치된 SSM의 유형에 따라 동적으로 등록됩니다. 그러므로 보안 어플라이언스가 완전히 초기화되기 전에 데이터 플레인 패킷이 도착하면 이러한 현상이 발생할 수 있습니다. 이 카운터의 값은 대개 0입니다. 패킷이 몇 개 삭제되는 것은 문제가 되지 않습니다. 하지만 시스템이 가동 및 실행 중일 때 이 카운터의 값이 계속 증가하면 문제가 있는 것일 수 있습니다. 보안 어플라이언스의 정상 작동에 영향을 주는 것으로 의심된다면 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
SSM 카드에서 잘못된 ASDP 패킷이 수신됨:
이 카운터는 ASA 5500 Series Adaptive Security Appliance에만 적용됩니다. 보안 어플라이언스가 내부 데이터 플레인 인터페이스에서 ASDP(ASA SSM 데이터 플레인 프로토콜) 패킷을 수신했는데 해당 패킷을 구문 분석할 때 드라이버에서 문제가 발생한 경우 이 카운터의 값이 증가합니다. ASDP는 보안 어플라이언스에서 CSC-SSM과 같은 특정 유형의 SSM과 통신하는 데 사용하는 프로토콜입니다. 이러한 현상은 여러 가지 이유로 발생할 수 있습니다. 보안 어플라이언스와 SSM 간에 ASDP 프로토콜 버전이 호환되지 않는 경우를 예로 들 수 있습니다. 이러한 경우 컨트롤 플레인의 카드 관리자 프로세스에서 시스템 메시지와 CLI 경고를 생성하여 설치해야 하는 적절한 이미지 버전을 알려 줍니다. ASDP 패킷이 보안 어플라이언스에서 이미 종료된 연결에 속하거나, 보안 어플라이언스가 스탠바이 상태로 전환되어 트래픽을 더 이상 전달할 수 없는 상태일 수도 있습니다(장애 조치가 활성화되어 있는 경우). 또는 ASDP 헤더와 페이로드를 구문 분석할 때 예기치 않은 값이 발견되었을 수도
있습니다.
이 카운터의 값은 대개 0이거나 매우 작은 숫자입니다. 하지만 카운터의 값이 장기적으로 조금씩 증가하는 것은 문제가 아닙니다. 특히 장애 조치가 수행되었거나 CLI를 통해 보안 어플라이언스에서 연결을 수동으로 지운 경우에는 카운터의 값이 증가할 수 있습니다. 정상 작동 중에 카운터의 값이 급격히 증가하는 경우에는 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
이 카운터는 ASA 5500 Series Adaptive Security Appliance에만 적용됩니다. SSM에서 실행 중인
애플리케이션이 보안 어플라이언스에 패킷 삭제를 요청하면 이 카운터의 값이 증가합니다.
SSM 자체에서 생성된 시스템 메시지 또는 인시던트 보고서를 쿼리하면 추가 정보를 확인할 수 있습니다.
해당 지침은 SSM과 함께 제공된 설명서를 참조하십시오.
----------------------------------------------------------------
이 카운터는 ASA 5500 Series Adaptive Security Appliance에만 적용됩니다. SSM이 사용할 수
없는 상태가 되어 SSM이 검사해야 하는 패킷이 삭제된 경우 이 카운터의 값이 증가합니다. 소프트웨어/하드웨어
장애, 소프트웨어/서명 업그레이드, 종료 중인 모듈 등을 예로 들 수 있습니다.
보안 어플라이언스 컨트롤 플레인에서 실행 중인 카드 관리자 프로세스에서 장애를 알려 주는 시스템 메시지 및 CLI 경고를 생성했을 것입니다. SSM 장애를 트러블슈팅하려면 SSM과 함께 제공된 설명서를 참조하십시오.
필요한 경우 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
WCCP에서 반환된 패킷에 대한 호스트로의 경로 없음:
캐시 엔진에서 패킷이 반환되었는데 보안 어플라이언스가 패킷 원본 소스의 경로를 찾을 수 없으면 이 카운터의 값이 증가합니다.
캐시 엔진에서 반환된 패킷의 소스 IP 주소 경로가 있는지 확인하십시오.
----------------------------------------------------------------
이름: wccp-redirect-no-route
보안 어플라이언스가 패킷을 리디렉션하려고 하는데 캐시 엔진의 경로를 찾을 수 없으면 이 카운터의 값이
증가합니다.
----------------------------------------------------------------
최소 보안 인터페이스에서는 텔넷이 허용되지 않음:
어플라이언스가 어플라이언스에 대해 TELNET 세션 설정을 시도하는 TCP SYN 패킷을 최소 보안 인터페이스에서 수신한 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
최소 보안 인터페이스를 통해 어플라이언스로의 TELNET 세션을 설정하려면 먼저 해당 인터페이스로의 IPSec 터널을 설정한 다음 이 터널을 통해 TELNET 세션을 연결합니다.
----------------------------------------------------------------
이름: ipv6-sp-security-failed
다음 이유 중 하나에 해당하는 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
1) 소스 및 대상 주소가 동일한 IPv6 through-the-box 패킷
2) 링크-로컬 소스 주소나 대상 주소가 포함된 IPv6 through-the-box 패킷
3) 멀티캐스트 대상 주소가 포함된 IPv6 through-the-box 패킷
이러한 패킷은 악의적인 활동을 나타낼 수도 있고 IPv6 호스트를 잘못 구성한 결과일 수도 있습니다.
패킷 캡처 기능을 사용하여 asp 유형 패킷을 캡처한 다음 소스 MAC 주소를 사용하여 소스를 식별하십시오.
소스 주소와 대상 주소가 동일한 경우 syslog 106016/그 외의 경우에는 없음
----------------------------------------------------------------
이름: ipv6-eh-inspect-failed
어플라이언스가 IPv6 패킷을 수신했는데 메모리 할당이 실패하여 확장 헤더를 검사할 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'show memory' 출력도 검사하여 어플라이언스 작동을 위해 충분한 메모리가 있는지 확인하십시오.
----------------------------------------------------------------
잘못된 IPv6 확장 헤더가 탐지되어 거부됨:
잘못된 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
'policy-map type ipv6'에서 'parameters'의 'verify-header type'을 확인하십시오. 헤더 적합성
확인을 건너뛸 수 있는 경우에는 'verify-header type'을 제거하십시오.
----------------------------------------------------------------
순서가 올바르지 않은 IPv6 확장 헤더가 탐지되어 거부됨:
순서가 올바르지 않은 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'policy-map type ipv6'에서 'parameters'의 'verify-header order'를 확인하십시오. 헤더 순서를
임의로 지정할 수 있는 경우에는 'verify-header order'를 제거하십시오.
----------------------------------------------------------------
사용자 컨피그레이션에서 IPv6 mobility 확장 헤더가 거부됨:
mobility 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신했는데 사용자 컨피그레이션 규칙에 의해 헤더가 거부되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'policy-map type ipv6'에서 'match header mobility'의 동작을 확인하십시오. mobility를 허용해야 하는 경우 'drop' 동작을 제거하십시오.
----------------------------------------------------------------
이름: ipv6-mobility-type-denied
사용자 컨피그레이션에서 IPv6 mobility type 확장 헤더가 거부됨:
mobility type 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신했는데 사용자 컨피그레이션 규칙에 의해 헤더가 거부되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'policy-map type ipv6'에서 'match header mobility type'의 동작을 확인하십시오. mobility를 허용해야 하는 경우 'drop' 동작을 제거하십시오.
----------------------------------------------------------------
사용자 컨피그레이션에서 IPv6 fragmentation 확장 헤더가 거부됨:
fragmentation 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신했는데 사용자 컨피그레이션 규칙에 의해 헤더가 거부되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'policy-map type ipv6'에서 'match header fragmentation'의 동작을 확인하십시오. fragmentation을 허용해야 하는 경우 'drop' 동작을 제거하십시오.
----------------------------------------------------------------
이름: ipv6-routing-type-denied
IPv6 확장 헤더 컨피그레이션에서 routing type이 거부됨:
routing type 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신했는데 사용자 컨피그레이션 규칙에 의해 헤더가 거부되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'policy-map type ipv6'에서 'match header routing-type'의 동작을 확인하십시오. routing-type을 허용해야 하는 경우 'drop' 동작을 제거하십시오.
----------------------------------------------------------------
구성된 최대 확장 헤더를 초과하는 IPv6 확장 헤더가 거부됨:
IPv6 확장 헤더 컨피그레이션에서 확장 헤더 개수가 거부됨:
fragmentation 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신했는데 사용자 컨피그레이션 규칙에 의해 헤더가 거부되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'policy-map type ipv6'에서 'match header fragmentation'의 동작을 확인하십시오. fragmentation을 허용해야 하는 경우 'drop' 동작을 제거하십시오.
----------------------------------------------------------------
이름: ipv6-dest-option-denied
IPv6 확장 헤더 컨피그레이션에서 destination-option이 거부됨:
destination-option 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신했는데 사용자 컨피그레이션
규칙에 의해 헤더가 거부되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'policy-map type ipv6'에서 'match header destination-option'의 동작을 확인하십시오. destination-option을 허용해야 하는 경우 'drop' 동작을 제거하십시오.
----------------------------------------------------------------
이름: ipv6-hop-by-hop-denied
사용자 컨피그레이션에서 IPv6 hop-by-hop 확장 헤더가 거부됨:
hop-by-hop 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신했는데 사용자 컨피그레이션 규칙에 의해 헤더가 거부되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'policy-map type ipv6'에서 'match header hop-by-hop'의 동작을 확인하십시오. hop-by-hop을 허용해야 하는 경우 'drop' 동작을 제거하십시오.
----------------------------------------------------------------
IPv6 확장 헤더 컨피그레이션에서 ESP가 거부됨:
ESP 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신했는데 사용자 컨피그레이션 규칙에 의해 헤더가 거부되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'policy-map type ipv6'에서 'match header esp'의 동작을 확인하십시오. ESP를 허용해야 하는 경우 'drop' 동작을 제거하십시오.
----------------------------------------------------------------
IPv6 확장 헤더 컨피그레이션에서 AH가 거부됨:
AH 확장 헤더가 포함된 IPv6 패킷을 어플라이언스가 수신했는데 사용자 컨피그레이션 규칙에 의해 헤더가
거부되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
'policy-map type ipv6'에서 'match header ah'의 동작을 확인하십시오. AH를 허용해야 하는 경우 'drop' 동작을 제거하십시오.
----------------------------------------------------------------
데이터 경로 채널을 통해 패킷 전송을 시도하기 전에 해당 채널이 닫힌 경우 이 카운터의 값이 증가합니다. 권장 사항:
멀티 프로세서 시스템에서는 프로세서 하나가 CLI 등을 통해 채널을 닫았는데 다른 프로세서가 해당 채널을 통해 패킷 전송을 시도하는 경우가 흔히 있습니다.
----------------------------------------------------------------
프레임을 디코딩할 때 패킷 디스패치 모듈이 오류를 발견하면 이 카운터의 값이 증가합니다. 패킷 프레임이 지원되지 않는 경우 등을 예로 들 수 있습니다. 권장 사항:
캡처 도구를 사용하여 패킷 형식을 확인하십시오.
----------------------------------------------------------------
큐 길이가 초과되어 CP 이벤트 큐 대기 시도가 실패한 경우 이 카운터의 값이 증가합니다. 이 큐는 data-path에서 추가 처리를 위해 패킷을 control-point로 펀트하는 데 사용됩니다. 이러한 상황은 멀티 프로세서 환경에서만 나타날 수 있습니다. 패킷 대기를 시도한 모듈은 이 오류에 대한 응답으로 자체 패킷 관련 삭제를 실행할 수 있습니다. 권장 사항:
이 오류는 패킷을 완전히 처리하지 못했음을 나타내기는 하지만 연결 성능을 저하하지는 않습니다. 이러한 상태가 계속되거나 연결 성능이 저하된다면 Cisco Technical Assistance Center (TAC)에 문의하십시오. Syslog:
----------------------------------------------------------------
라이선스를 받은 호스트 제한이 초과되면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: cp-syslog-event-queue-error
큐 길이가 초과되어 CP syslog 이벤트 큐 대기 시도가 실패한 경우 이 카운터의 값이 증가합니다. 이 큐는 UDP 서버 이외의 로깅 대상이 구성되어 있을 때 data-path에서 로깅 이벤트를 control-point로 펀트하는 데 사용됩니다. 이러한 상황은 멀티 프로세서 환경에서만 나타날 수 있습니다. 권장 사항:
이 오류는 로깅 이벤트를 완전히 처리하지 못했음을 나타내기는 하지만 UDP 서버에 대한 로깅에는 영향을 주지 않습니다. 이러한 상태가 계속되는 경우에는 로깅 레벨 낮추기 및/또는 로깅 대상 제거를 고려하거나 Cisco Technical Assistance Center (TAC)에 문의하십시오. Syslog:
----------------------------------------------------------------
어플라이언스가 인터페이스 드라이버에서 수신한 패킷을 처리하기 위해 코어 로컬 블록을 할당할 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
나중에 처리하기 위해 패킷이 대기되어 있거나 블록이 유출되어 이러한 현상이 발생할 수 있습니다. 사용 가능한 리소스 재밸런싱 논리를 통해 보충되지 않은 경우에도 코어 로컬 블록을 사용할 수 없습니다. "show blocks core"를 사용하여 문제를 추가로 진단하십시오.
----------------------------------------------------------------
패킷을 해시할 수 있는 로드 밸런서 큐는 32,000개입니다. 각 큐의 패킷 수는 1,000개로 제한됩니다. 이보다 더 많은 패킷을 포함하려고 하면 tail drop이 수행되며 이 카운터의 값이 증가합니다.
이러한 현상이 너무 자주 발생하면 영향을 받는 큐와 해당 큐에 해시하는 연결을 확인하십시오. 그리고 해당 정보를 개발 담당자에게 보내십시오.
----------------------------------------------------------------
이름: async-lock-queue-limit
각 비동기 잠금 작업 큐의 패킷 수는 1,000개로 제한됩니다. 이보다 많은 SIP 패킷을 작업 큐로 디스패치하려고 하면 패킷이 삭제됩니다.
SIP 트래픽만 삭제할 수 있습니다. SIP 패킷의 상위 잠금이 동일하며 같은 비동기 잠금 큐에 이러한 패킷을 대기시킬 수 있는 경우에는 블록이 소진될 수 있습니다. 코어 하나가 모든 미디어를 처리하기 때문입니다. 비동기 잠금 큐의 크기가 제한을 초과한 상태에서 SIP 패킷을 대기시키려고 하면 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: security-profile-not-used
security-profile이 사용되지 않음:
이 트래픽은 security-profile을 사용하지 않습니다. ASA 1000V를 통과하는 트래픽은 Nexus 1000V에 구성된 security-profile을 사용해야 합니다.
"show port-profile"을 사용하여 Nexus 1000V의 port-profile 컨피그레이션을 검사하여 각 port-profile에 대해 트래픽을 ASA 1000V로 리디렉션하는 security-profile이 구성되어 있는지와, Nexus 1000V 및 ASA 1000V 간에 security-profile 이름이 일치하는지 확인하십시오. ASA 1000V에서 "service-interface security-profile all <내부 인터페이스 이름>"을 사용하여 security-profile이 내부 인터페이스와 연결되어 있는지 확인하십시오. Nexus 1000V에서는 "show vsn port"를, ASA 1000V에서는 "show vsn security-profile"을 사용하여 두 디바이스의 security-profile ID가 일치하는지 확인하십시오.
----------------------------------------------------------------
이름: security-profile-not-matched
security-profile이 일치하지 않음:
이 트래픽에는 ASA 1000V의 security-profile과 일치하지 않는 security-profile ID가 포함되어
있습니다.
"show port-profile"을 사용하여 Nexus 1000V의 port-profile 컨피그레이션을 검사하여 각 port-profile에 대해 트래픽을 ASA 1000V로 리디렉션하는 security-profile이 구성되어 있는지와, Nexus 1000V 및 ASA 1000V 간에 security-profile 이름이 일치하는지 확인하십시오. ASA 1000V에서 "service-interface security-profile all <내부 인터페이스 이름>"을 사용하여 security-profile이 내부 인터페이스와 연결되어 있는지 확인하십시오. Nexus 1000V에서는 "show vsn port"를, ASA 1000V에서는 "show vsn security-profile"을 사용하여 두 디바이스의 security-profile ID가 일치하는지 확인하십시오.
----------------------------------------------------------------
패킷이 공유 인터페이스를 통해 어플라이언스의 컨텍스트 간에 전송되는데 루프백 큐가 잠금을 획득하지 못한 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
이러한 현상은 정상 작동 중에는 발생해서는 안 되며 어플라이언스에 소프트웨어 문제가 있음을 나타낼
수 있습니다. 이 오류가 발생하는 경우 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
이름: loopback-ifc-not-found
Loopback output interface not found(루프백 출력 인터페이스를 찾을 수 없음):
패킷이 공유 인터페이스를 통해 어플라이언스의 컨텍스트 간에 전송되는데 루프백 큐가 출력 인터페이스를
찾을 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
이러한 현상은 정상 작동 중에는 발생해서는 안 되며 어플라이언스에 소프트웨어 문제가 있음을 나타낼
수 있습니다. 이 오류가 발생하는 경우 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
이름: loopback-count-exceeded
패킷이 공유 인터페이스를 통해 어플라이언스의 컨텍스트 간에 전송되는데 이 패킷이 루프백 큐에 포함될 수 있는 횟수가 초과된 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
각 컨텍스트의 컨텍스트 컨피그레이션을 확인하십시오. 컨텍스트 컨피그레이션의 루프로 진입 중인 패킷이 컨텍스트 사이에 걸려 있어서 루프백 큐에 반복적으로 포함되는 것일 수 있습니다.
----------------------------------------------------------------
SA 규칙에 따라 IKE에 SA 필요 표시를 해야 하는데 속도 제한이 초과됨:
속도가 제한된 제어 포인트 서비스 루틴에 새 SA가 필요함을 나타내는 메시지를 어플라이언스가 전송하려고
하는데 현재 초당 속도 제한이 초과된 경우 이 카운터의 값이 증가합니다. 현재 속도는 2초당 메시지 1개입니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 삭제됩니다.
----------------------------------------------------------------
이름: ike-sa-global-rate-limit
IKE에 SA 필요 표시를 해야 하는데 글로벌 속도 제한이 초과됨:
속도가 제한된 제어 포인트 서비스 루틴에 새 SA가 필요함을 나타내는 메시지를 어플라이언스가 전송하려고 하는데 현재 글로벌 초당 속도 제한이 초과된 경우 이 카운터의 값이 증가합니다. 현재 속도는 초당 메시지 10개입니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 삭제됩니다.
----------------------------------------------------------------
이름: backplane-channel-null
카드 백플레인 채널이 NULL입니다. 이러한 현상은
채널이 제대로 초기화되지 않아서 닫아야 했던 경우 발생할 수 있습니다. ASA는 패킷을 삭제합니다.
이러한 현상은 발생해서는 안 됩니다. Cisco TAC에 지원을 요청하십시오.
----------------------------------------------------------------
이름: unable-to-replicate-packets
리소스 제한으로 인해 패킷이 삭제되어 복제되지 않음:
공유 인터페이스의 경우에는 멀티캐스트 및 브로드캐스트 트래픽을 루프백해야 합니다. 시스템 리소스 '패킷 블록 확장 메모리' 제한에 도달하면 이 카운터의 값이 증가하고 패킷이 삭제되며 다른 컨텍스트로 패킷이 복제되지 않습니다.
- 사용 가능한 시스템 메모리가 부족한지 관찰합니다.
----------------------------------------------------------------
이름: inspect-scansafe-server-not-reachable
ScanSafe 클라우드가 다운되었음을 보안 어플라이언스가 확인하면 이 카운터의 값이 증가합니다. 그러면 패킷이 삭제되며 연결은 닫힙니다.
보안 어플라이언스에서 구성된 ScanSafe 서버에 연결할 수 있는지 확인합니다.
----------------------------------------------------------------
이름: inspect-scansafe-public_key_not_configured
ScanSafe 공개 키가 구성되어 있지 않으면 이 카운터의 값이 증가합니다. 그러면 패킷이 삭제되며 연결은 닫힙니다.
보안 어플라이언스에 ScanSafe 공개 키가 구성되어 있는지 확인합니다.
----------------------------------------------------------------
이름: inspect-scansafe-license-key-not-configured
ScanSafe 라이선스 키가 구성되지 않음:
ScanSafe 라이선스 키가 구성되어 있지 않으면 이 카운터의 값이 증가합니다. 그러면 패킷이 삭제되며 연결은 닫힙니다.
보안 어플라이언스에 ScanSafe 라이선스 키가 구성되어 있는지 확인합니다.
----------------------------------------------------------------
이름: inspect-scansafe-encoding-failed
사용자 및 그룹 이름의 base64 인코딩이 실패하면 이 카운터의 값이 증가합니다. 그러면 패킷이 삭제되며 연결은 닫힙니다.
----------------------------------------------------------------
이름: inspect-scansafe-hdr-encryption-failed
ScanSafe 헤더 암호화가 실패하면 이 카운터의 값이 증가합니다. 그러면 패킷이 삭제되며 연결은 닫힙니다.
----------------------------------------------------------------
이름: inspect-scansafe-max-conn-reached
ScanSafe 검사 허용되는 최대 연결 수에 도달함:
플랫폼에서 허용되는 최대 동시 ScanSafe 연결 수에 이미 도달했는데 새 연결을 받으면 이 카운터의 값이 증가합니다. 그러면 패킷이 삭제되며 연결은 닫힙니다.
----------------------------------------------------------------
이름: inspect-scansafe-duplicate-conn
소스 IP 주소와 포트가 동일한 중복 연결이 있으면 이 카운터의 값이 증가합니다. 그러면 이 패킷은 삭제되며 연결이 닫힙니다.
----------------------------------------------------------------
이름: np-socket-lock-failure
내부 소켓 잠금을 가져오지 못하여 보류 중인 패킷이 삭제됨:
내부 소켓 잠금 가져오기 시도가 실패하면 이 오류가 발생합니다.
이러한 현상은 정상 작동 중에는 발생해서는 안 되며 어플라이언스에 소프트웨어 문제가 있음을 나타낼
수 있습니다. 이 오류가 발생하는 경우 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
이름: mp-service-inject-failed
SERVICE 모듈을 통한 패킷 삽입 시도가 실패하면 이 오류가 발생합니다.
----------------------------------------------------------------
이름: same-physical-interface
플로우는 ASA 1000V에서 입력과 출력에 동일한 물리적 인터페이스를 사용할 수 없습니다.
ASA 1000V에 구성되어 있는 NAT 및 라우팅 정책을 확인하십시오. ASA 1000V "packet-tracer" 명령을 사용하여 구성되어 있는 NAT 및 라우팅 정책에 따라 사용 중인 security-profile을 확인하십시오. "show running-config service-interface"를 사용하여 물리적 인터페이스와 구성된 security-profile 간의 연결을 표시하십시오.
----------------------------------------------------------------
이름: vPath-license-failure
vPath 라이선스 장애로 인해 패킷이 삭제됨:
ASA 1000V의 라이선스 장애로 인해 트래픽이 삭제되었습니다.
Nexus 1000V를 검사하여 사용 중인 모든 ASA 1000V 가상 머신을 지원하기에 충분한 ASA 1000V 라이선스가 설치되어 있는지 확인하십시오. "show license"를 사용하여 ASA 1000V에 대해 사용 가능한 라이선스를
확인하고, "show license usage"를 사용하여 해당 라이선스의 상태를 확인하십시오.
----------------------------------------------------------------
이름: nat-64-or-46-conversion-fail
IPv6 트래픽과 IPv4 트래픽 간의 변환에서 장애가 발생하면 이러한 현상이 나타납니다.
NAT64 또는 NAT46 정책이 올바르게 구성되어 있는지 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 잘못된 CMD 패킷을 수신하면 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
연결된 CMD 지원 디바이스의 CMD 설정이 적절한지 확인하십시오.
----------------------------------------------------------------
인터페이스가 CMD를 수신하도록 구성되어 있지 않음
보안 어플라이언스의 CMD 패킷을 수신하도록 구성되지 않은 인터페이스에서 CMD 패킷이 수신되면 이 카운터의 값이 증가합니다. 패킷은 삭제됩니다.
고려 대상 인터페이스의 CMD 설정이 적절한지 확인하십시오.
----------------------------------------------------------------
이름: cluster-not-supported
----------------------------------------------------------------
플로우가 없는 클러스터 데이터 패킷이 수신되었습니다.
----------------------------------------------------------------
이름: cluster-invalid-owner
소유자가 클러스터에 없을 때 클러스터 데이터 패킷이 수신되었습니다.
----------------------------------------------------------------
이름: cluster-stub-uninterested
소유자 또는 디렉터가 없을 때 클러스터 데이터 패킷이 수신되었습니다.
----------------------------------------------------------------
이름: cluster-ccl-cfull-sent
CCL을 통해 클러스터 데이터 패킷이 수신되었으며 전체 플로우가 새 소유자에서 작성되었습니다. 이 패킷은 더는 필요하지 않습니다.
----------------------------------------------------------------
클러스터 데이터 패킷이 소유자+디렉터 장치에서 수신되어야 하는데 백업 장치에서 CCL을 통해 수신되었습니다.
----------------------------------------------------------------
디렉터에서 클러스터 패킷이 수신되었으며 스텁 플로우가 전체 플로우로 변환되었습니다. 이 패킷을 삭제하고 재전송을 대기하십시오.
----------------------------------------------------------------
CCL을 통해 클러스터 데이터 패킷이 수신되었으나 일치하는 플로우가 확인되지 않았으며 장치의 역할을
알 수 없습니다.
----------------------------------------------------------------
이름: cluster-ccl-unknown-stub
CCL을 통해 클러스터 데이터 패킷이 수신되었으며 일치하는 스텁 플로우가 확인되었으나 장치의 역할을
알 수 없습니다.
----------------------------------------------------------------
클러스터 데이터 패킷이 수신되어 플로우 소유자가 업데이트되었습니다.
----------------------------------------------------------------
----------------------------------------------------------------
클러스터가 CLU(클러스터 논리 업데이트) 메시지를 많이 전송해야 하여 초과 등록되었을 수 있습니다.
클러스터가 초과 등록되어 CLU(클러스터 논리 업데이트) 메시지를 많이 보내야 하므로 이러한 동작은 정상적인 현상입니다. 클러스터를 초과 등록하지 마십시오.
----------------------------------------------------------------
이름: cluster-slave-ignored
플로우가 클러스터 슬레이브에서 삭제 분류 규칙과 일치함:
장치가 슬레이브일 때 L3 클러스터에서 멀티캐스트 라우팅 패킷이 수신되었습니다. 이러한 패킷은 마스터
장치만 처리할 수 있습니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 마스터에 의해 처리됩니다.
----------------------------------------------------------------
이름: cluster-non-owner-ignored
플로우가 클러스터 비소유자에서 삭제 분류 규칙과 일치함:
장치가 선택한 소유자 장치가 아닐 때 L3 클러스터 인터페이스에서 멀티캐스트 데이터 패킷이 수신되었습니다. 이러한 패킷은 선택한 소유자 장치만 처리할 수 있습니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 선택한 소유자 장치 하나에 의해 처리됩니다.
----------------------------------------------------------------
IP 또는 전송 헤더 변환을 위한 xlate를 작성하지 못했습니다.
NAT를 사용하지 않으려면 "nat-control"을 비활성화하십시오. 그렇지 않은 경우에는 "static", "nat" 또는 "global" 명령을 사용하여 삭제된 플로우에 대해 NAT 정책을 구성하십시오. 동적 NAT의 경우에는 각 "nat" 명령을 하나 이상의 "global" 명령과 쌍으로 지정해야 합니다. "show nat" 및 "debug pix process"를 사용하여 NAT 규칙을 확인하십시오.
305005, 305006, 305009, 305010, 305011, 305012
----------------------------------------------------------------
변환된 호스트의 실제 주소를 사용하여 변환된 호스트에 연결하려는 시도가 거부되었습니다.
NAT를 수행 중인 호스트와 같은 인터페이스에 있지 않은 경우에는 실제 주소가 아닌 매핑된 주소를 사용하여 호스트에 연결하십시오. 또한 애플리케이션이 IP 주소를 임베드하는 경우 적절한 inspect 명령을 활성화하십시오.
----------------------------------------------------------------
클러스터링 통신을 위한 입력 값에 예기치 않은 값이나 잘못된 값이 포함되어 있습니다.
이러한 현상은 내부 소프트웨어 오류일 수 있습니다. Cisco Systems에 문의하십시오.
----------------------------------------------------------------
이름: nat-no-xlate-to-pat-pool
연결에 대해 PAT 풀의 매핑된 주소와 대상이 일치하는 기존 xlate가 없습니다.
액세스 권한이 필요한 경우 정적 PAT를 구성하십시오.
----------------------------------------------------------------
이름: pat-port-block-state-mismatch
클러스터 전반에서 포트 차단 상태와 컨피그레이션 간에 불일치가 있습니다. 대개 이 문제는 유동 PAT 규칙이 활성 변환을 통해 "block-allocation"에서 regular로 또는 그 반대로 변환되는 경우에 발생합니다.
다음 권장 단계를 실행하십시오. 1. 이 불일치 상태를 야기한 현재 정책을 제거합니다. 2. 제거된 정책에 의해 "cluster exec clear xlate global <ip1[-ip2]>"로 설정된 활성 변환을 지웁니다. 3. "cluster exec show xlate global <ip1[-ip2]>"를 통해 이전 글로벌 IP를 사용하는 활성 변환이 없는지 확인합니다. 4. 필요한 pat-pool 옵션을 사용하여 정책을 다시 추가합니다.
----------------------------------------------------------------
이름: cluster-peer-mcast-ignored
플로우가 클러스터 피어 mcast 데이터 트래픽 분류 규칙과 일치함:
클러스터 피어 장치의 해당 인터페이스에서 생성된 멀티캐스트 데이터 패킷이 L3 클러스터 인터페이스에서
수신되었습니다. 이 패킷은 L3 서브넷에서 플러드된 패킷입니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 클러스터에서 전달되었으며 클러스터에 의해 무시되어야 합니다.
----------------------------------------------------------------
이름: cluster-dispatch-queue-fail
클러스터가 패킷을 글로벌 디스패치 작업 큐에 대기시키지 못함:
전달된 데이터 패킷을 글로벌 디스패치 작업 큐에 대기시키지 못했습니다.
이러한 현상은 내부 소프트웨어 오류일 수 있습니다. Cisco Systems에 문의하십시오.
----------------------------------------------------------------
이름: cluster-dir-flow-create-fail
클러스터 디렉터가 디렉터 플로우를 작성하지 못함:
디렉터가 스텁 플로우 작성을 시도했는데 리소스 제한으로 인해 작성이 실패했습니다. 제한될 수 있는 리소스는 다음과 같습니다.
원인 1과 2는 동시에 발생하며 플로우 삭제 이유로는 "플로우를 완료할 수 있는 메모리가 없습니다."
가 표시됩니다.
- 사용 가능한 시스템 메모리가 부족한지 관찰합니다.
- 플로우 삭제 이유로 "플로우를 완료할 수 있는 메모리가 없습니다."가 표시되는지 관찰합니다.
- ‘show resource usage’ 명령을 사용하여 연결 수가 시스템 연결 제한에 도달하는지 관찰합니다.
----------------------------------------------------------------
이름: cluster-early-sec-chk-fail
ACL, WCCP 리디렉션, TCP 가로채기 또는 IP 옵션으로 인해 디렉터에서 적용한 초기 보안 검사가 실패했습니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 삭제됩니다.
----------------------------------------------------------------
이름: cluster-queued-ccl-unknown
CCL을 통해 수신되었던 대기된 클러스터 데이터 패킷이 처리되었으나 장치의 역할을 알 수 없습니다.
----------------------------------------------------------------
이름: cluster-dir-nat-changed
대기된 CCL 데이터 패킷이 처리 가능 상태가 되기 전에 NAT 정책 변경, 업데이트 또는 만료로 인해 클러스터 디렉터 NAT 동작이 변경되었습니다. 권장 사항:
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 삭제됩니다.
----------------------------------------------------------------
이름: cluster-dir-invalid-ifc
클러스터 디렉터에 인그레스/이그레스(egress) 인터페이스가 잘못된 패킷이 있음:
클러스터 디렉터가 잘못된 인그레스 및/또는 이그레스(egress) 인터페이스를 포함하는 이전에 대기된 패킷을 처리했습니다. 이 동작은 패킷이 처리 가능한 상태가 되기 전에 CLI를 통해 인터페이스를 제거했기 때문에
발생한 것입니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 삭제됩니다.
----------------------------------------------------------------
이름: cluster-slave-data-ifc-not-ready
슬레이브 장치의 클러스터 데이터 인터페이스가 준비되지 않았습니다. 일부 데이터 인터페이스의 상태가 마스터와 다릅니다. 관리 전용이 아닌 L3 인터페이스의 경우 데이터 인터페이스가 준비되기 전에는 슬레이브가 이 L3 인터페이스에서 연결을 소유할 수 없습니다. 슬레이브가 소유해야 하는 패킷은 삭제됩니다. from-the-box 패킷도 슬레이브의 데이터 인터페이스가 준비되기 전에 삭제됩니다. 슬레이브의 데이터 인터페이스가 준비되고 슬레이브가 클러스터에 완전히 조인되고 나면 이 삭제는 수행되지 않습니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 삭제됩니다.
----------------------------------------------------------------
이름: nat-cluster-pool-update-fail
클러스터 마스터가 슬레이브로 NAT 풀 업데이트를 전송하지 못함:
클러스터 마스터가 슬레이브 장치로 NAT 풀 업데이트를 전송하지 못했습니다. 시스템 리소스가 부족하면
이러한 삭제 작업이 더 많이 수행됩니다.
- 사용 가능한 시스템 메모리가 부족한지 관찰합니다.
- "SEC_NAT_SEND_NO_BUFFER" 카운터의 값이 증가하는지 관찰합니다.
----------------------------------------------------------------
이름: nat-cluster-invalid-unxlate-redirect
클러스터 멤버가 피어에서 잘못된 NAT 미변환 리디렉션 패킷을 삭제함:
클러스터 멤버가 피어에서 NAT 미변환 패킷을 수신했습니다. 그러나 이 멤버는 패킷이 속하는 NAT 주소
풀을 소유하고 있지 않습니다.
이 카운터의 값이 증가하는 것은 클러스터 멤버 장애 이후의 일시적인 현상입니다. 그러나 이 카운터의 값이 계속 증가하는 경우 내부 소프트웨어 오류가 발생한 것일 수 있습니다. 이러한 경우에는 Cisco Systems에 문의하십시오. syslog:
----------------------------------------------------------------
ASAv에 라이선스가 없습니다. ASAv에 라이선스를 적용할 때까지는 어플라이언스를 통과하는 모든 데이터 트래픽이 삭제됩니다.
"show activation-key"를 사용하여 플랫폼 라이선스 상태를 확인하고 적절한 ASAv 플랫폼 라이선스를
설치하십시오.
----------------------------------------------------------------
이름: cluster-forward-error
클러스터 멤버가 CCL을 통해 데이터 패킷을 전송하지 못함:
클러스터 멤버가 CCL 링크를 통해 컨트롤 패킷을 전송하지 못했습니다.
----------------------------------------------------------------
이름: cluster-tp-version-incompatible
패킷에 비호환 전송 프로토콜이 포함되어 있음:
패킷의 전송 프로토콜에 호환되지 않는 전송 프로토콜이 포함되어 있습니다.
----------------------------------------------------------------
이름: cluster-ip-version-error
레이어 2 헤더와 레이어 3 헤더 간 IP 버전 불일치:
레이어 2 헤더와 레이어 3 헤더의 IP 프로토콜 버전이 일치하지 않습니다.
----------------------------------------------------------------
이름: cluster-tp-sender-myself
ID가 자신과 동일한 장치에서 CCL을 통해 DP 메시지가 전송됨:
전송 헤더의 발신인 정보가 발신인이 자신임을 나타냅니다. ID가 중복되는 두 클러스터가 같은 네트워크
세그먼트에 있는 경우 이러한 현상이 발생할 수 있습니다.
----------------------------------------------------------------
----------------------------------------------------------------
----------------------------------------------------------------
패킷이 IPv4, IPv6 또는 ARP 패킷이 아닙니다.
----------------------------------------------------------------
패킷의 전송 레이어 헤더를 가져오지 못했습니다.
----------------------------------------------------------------
----------------------------------------------------------------
이름: cluster-frag-owner-query-error
클러스터 프래그먼트가 플로우 소유자에 대해 플로우 디렉터를 쿼리하지 못함:
첫 번째 프래그먼트를 플로우 디렉터에 전달할 때 장애가 발생했거나 프래그먼트 체인 재삽입 장애가 발생했습니다.
----------------------------------------------------------------
프래그먼트의 형식이 올바르게 지정되지 않아 처리할 수 없거나 프래그먼트 소유자에게 전달하지 못했습니다.
----------------------------------------------------------------
이름: cluster-bad-ifc-goid-in-trailer
트레일러에서 추출한 goid가 유효한 실제 ifc가 아닙니다.
----------------------------------------------------------------
이름: cluster-bad-trailer-tlv
클러스터 CCL 패킷 트레일러에 잘못된 tlv가 있음:
클러스터 CCL 인터페이스에서 수신된 패킷에 잘못된 트레일러 tlv 옵션이 있습니다.
----------------------------------------------------------------
이름: rule-transaction-in-progress
이 이유는 트랜잭션 커밋 모드를 사용 중이며 초기 규칙 트랜잭션 컴파일이 아직 진행 중일 때 패킷을 삭제하는 이유로 제시됩니다. ASA가 이 상태일 때는 모든 through-the-box 트래픽이 삭제됩니다.
이러한 상태는 시스템 초기화 또는 보안 컨텍스트 초기화 중에 한 번 발생하는 정상적인 현상입니다.
이러한 상태의 지속시간은 컨피그레이션에 포함된 ACL 또는 NAT와 같은 규칙의 수에 따라 달라집니다.
----------------------------------------------------------------
이름: mcast-in-nonactive-device
HA 모드의 디바이스가 활성 상태가 아닐 때 멀티캐스트 패킷을 수신함:
이 이유는 디바이스가 HA 모드이며 현재 활성 상태가 아닌데 멀티캐스트 패킷이 수신될 때 패킷을 삭제하는 이유로 제시됩니다. HA 디바이스는 활성 상태에서만 멀티캐스트를 처리할 수 있으므로 수신된 패킷은 삭제됩니다.
----------------------------------------------------------------
이름: cluster-semi-scale-not-ready
준 스케일러블 소유자 플로우가 아직 준비되지 않음:
벌크 동기화에서 이 준 스케일러블 플로우의 유효한 새 소유자를 아직 선택하지 않았습니다.
----------------------------------------------------------------
이름: cluster-app-no-forward
일부 애플리케이션의 패킷을 전달하는 경우 문제가 발생할 수 있습니다.
----------------------------------------------------------------
패킷을 네트워크에 추가하기 위해 헤더를 앞에 추가할 공간이 패킷 데이터 앞에 충분하지 않으면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
이름: tcp-proxy-no-inspection
TCP 프록시가 검사를 위한 패킷을 전달할 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
GTP 검사에서 검증 또는 내부 오류를 발견하거나 정책 삭제를 수행하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
문제를 해결하려면 이 ASP 삭제 이유를 사용하여 삭제된 GTP 패킷을 캡처합니다.
----------------------------------------------------------------
이름: tcp-proxy-3whs-failed
TCP 프록시의 3방향 핸드셰이크 중에 오류가 발생하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-mixed-mode-failed
혼합 모드 작업 중에 경량 TCP 프록시에서 전체 모드 TCP 프록시로 전환할 때 TCP 프록시에서 오류가 발생하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-mixed-mode-drop
TCP 프록시가 경량 TCP 프록시에서 전체 TCP 프록시로 전환할 때 이 카운터의 값이 증가하며 경량 프록시 TX 큐가 지워집니다. 검사가 진행 중일 때는 FIN 세그먼트가 대기됩니다. 전체 프록시를 트리거할 때 이 큐를 지워야 합니다.
----------------------------------------------------------------
TCP 프록시가 경량 모드에서 처리해야 하는 순서가 잘못된 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-retransmit-drop
TCP 프록시가 아직 검사 중인 재전송 패킷을 수신한 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: pdts-snort-info-missing
플로우에서 pdts Snort 정보가 누락됨:
Snort에서 검사할 플로우에 Snort 데이터를 캡처하기 위한 관련 정보가 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-fp2lw-enqueue-limit-drop
전체 프록시를 우회하려고 시도하는 동안 TCP 프록시가 패킷을 수신하고 프록시 레이어가 대기열 추가 제한에 도달하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-null-flow-drop
TCP 프록시가 존재하지 않는 플로우에 대한 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-copy-failed-drop
TCP 프록시가 새 패킷을 할당할 수 없어 패킷을 복사할 수 없게 되면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-l2-copy-failed-drop
TCP 프록시가 전체 프록시 모드에서 L2 헤더를 패킷에 복사할 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-l2-no-header-room
전체 프록시 모드에서 패킷의 L2 헤더에 대한 헤더 공간이 남아 있지 않으면 이 카운터의 값이 증가하며
패킷이 삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-l2-not-initialized
패킷의 L2 헤더가 전체 프록시 모드에서 초기화되지 않은 경우 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-invalid-tcp-state-drop
TCB가 잘못된 상태이면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: tcp-proxy-invalid-tcp-checksum-drop
데이터 패킷이 포함된 RST/FIN이 잘못된 체크섬으로 수신되면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
이름: pdts-punt-limit-exceeded
데이터 경로에서 패킷을 검사기로 펀트하는데 대기된 패킷 수가 최대 제한을 초과한 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: monitor-only-mode-hdr-mismatch
모니터 전용 모드 컨피그레이션과 AFBP 헤더 플래그가 일치하지 않으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
인라인 탭 및 패시브 모드에서 패킷 처리가 완료되고 나면 이 카운터의 값이 증가합니다. 패킷은 이 처리
후에 삭제됩니다.
이러한 모드에서는 정상적인 동작이므로 조치가 필요하지 않습니다.
----------------------------------------------------------------
데이터 경로가 고속 전달된 플로우의 잘못된 순서를 방지하기 위해 패킷을 버퍼링하는데 대기된 패킷의 수가 최대 제한을 초과한 경우 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
PBR에 구성되어 있는 다음 홉이 연결된 IP의 홉이면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
PBR에서 연결된 IP를 다음 홉으로 추가하지 마십시오.
----------------------------------------------------------------
이름: object-group-search-threshold-exceeded
access-list와 대조하여 패킷이 확인되고 패킷과 일치하는 access-list object-groups의 수가 10000을 초과하면 이 카운터의 값이 증가합니다. 이 경우 패킷이 삭제됩니다. object-group-search access-control 기능이 활성화되어 있을 때 패킷이 지나치게 많은 수의 object-groups와 일치하는 경우 access-list 확인은 디바이스 성능에 부정적인 영향을 줄 수 있습니다.
트래픽이 지나치게 많은 수의 object-groups와 일치하지 않도록 access-list 및 object-groups 컨피그레이션을 재구성하십시오. 일반적으로 이 문제는 겹치거나 중복되는 개체 수가 많은 경우에 트리거됩니다. 'capture asp type asp-drop ogs-match-limit-exceeded'와 'show capture asp'를 차례로 사용하여
삭제되는 트래픽을 조사하십시오.
----------------------------------------------------------------
정책 조회를 위해 MEMIF에서 비 IP 패킷이 수신되면 이 카운터의 값이 증가합니다. 이 경우 비 IP 패킷은 삭제됩니다.
정책 조회를 위해 송신자가 비 IP 패킷을 전송하는 이유를 조사하십시오.
----------------------------------------------------------------
정책 조회를 위한 태그가 지정되지 않은 MEMIF에서 패킷이 수신되면 이 카운터의 값이 증가합니다.
이 경우 해당 패킷은 삭제됩니다.
정책 조회를 위해 송신자가 비 IP 패킷을 전송하는 이유를 조사하십시오.
----------------------------------------------------------------
전처리기가 트레이서에 패킷 정보를 전송하는 중:
이 카운터는 Snort에서 내부적으로 사용합니다.
----------------------------------------------------------------
이 카운터는 Snort에서 내부적으로 사용합니다.
----------------------------------------------------------------
패킷이 차단되지 않는 경우 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
패킷이 알 수 없는 전처리기에 의해 차단되면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
DAQ에서 패킷을 재전송해야 하는 경우 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
Snort에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 Snort의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
AppID 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 AppID 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
SSL 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 SSL 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
방화벽 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 방화벽 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
종속 포털 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 종속 포털 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
안전 검색 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 안전 검색 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
SI 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 SI 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
사전 필터 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 사전 필터 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
FTP 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 FTP 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
스트림 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 스트림 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
세션 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 세션 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
조각 모음 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 조각 모음 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
Snort 반응 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 Snort 반응 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
Snort 응답 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 Snort 응답 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
평판 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 평판 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
x-link2state 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 x-link2state 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
back orifice 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 back orifice 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
SMB 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 SMB 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
파일 프로세스 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 파일 프로세스 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
IPS 전처리기에 의해 차단되거나 블랙리스트에 추가됨:
이 카운터의 값이 증가하며 IPS 전처리기의 요청에 따라 패킷이 삭제됩니다.
추적이 활성화된 캡처 또는 패킷 트레이서에서 Snort 출력을 검토하십시오.
----------------------------------------------------------------
이름: cluster-ccl-bad-unxlate-redirect
클러스터 멤버가 피어에서 예기치 않은 NAT 미변환 리디렉션 패킷을 삭제함:
유동 PAT 풀 소유자가 피어에서 NAT 미변환 패킷을 수신했습니다. 그러나 이는 디렉터 스텁 플로우와 일치합니다.
이 카운터의 값이 증가하는 것은 클러스터 멤버 장애 이후의 일시적인 현상입니다. 그러나 이 카운터의
값이 계속 증가하는 경우 타이밍 문제로 오류가 발생한 것일 수 있습니다. 이러한 경우에는 Cisco Systems
에 문의하십시오.
----------------------------------------------------------------
이름: cluster-ccl-bad-unxlate-redirect
클러스터 멤버가 피어에서 예기치 않은 NAT 미변환 리디렉션 패킷을 삭제함:
유동 PAT 풀 소유자가 피어에서 NAT 미변환 패킷을 수신했습니다. 그러나 이는 백업 스텁 플로우와
일치합니다.
이 카운터의 값이 증가하는 것은 클러스터 멤버 장애 이후의 일시적인 현상입니다. 그러나 이 카운터의
값이 계속 증가하는 경우 타이밍 문제로 오류가 발생한 것일 수 있습니다. 이러한 경우에는 Cisco Systems
에 문의하십시오.
----------------------------------------------------------------
이름: unsupported_8021q_vlan_tags
보안 어플라이언스가 VLAN 태그 레이어가 너무 많은 패킷을 수신하면 이 카운터의 값이 증가하며 패킷이
삭제됩니다.
----------------------------------------------------------------
이름: fragment-reassembly-failed
어플라이언스가 프래그먼트화된 IP 패킷을 리어셈블하지 못하면 이 카운터의 값이 증가합니다. 체인의 모든 프래그먼트 패킷은 삭제됩니다.
'show fragment' 명령을 사용하여 모든 실패 카운터를 확인하십시오.
----------------------------------------------------------------
이름: vpn-cflow-fail-due-to-full-flow
이미 전체 플로우가 있으므로 전달된 VPN 디코딩 패킷을 수신하는 피어에서 클러스터 스텁 플로우를 생성하지 못하면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: unable-to-create-vpn-fwd-cflow
전달된 VPN 디코딩 패킷을 수신하는 피어에서 클러스터 스텁 플로우를 생성하지 못하면 이 카운터의 값이
증가합니다.
----------------------------------------------------------------
이름: unable-to-find-vpn-context
VPN 컨텍스트를 찾지 못하여 패킷이 삭제됨:
클러스터 피어가 패킷을 암호화하려고 하지만 VPN 컨텍스트를 가져오지 못하면 이 카운터의 값이
증가합니다.
----------------------------------------------------------------
클러스터 노드가 VPN 디렉터의 연결에 대한 소유자를 찾지 못하면 이 카운터의 값이 증가합니다.
디렉터 노드가 쿼리를 처리할 준비가 되었는지 확인하십시오.
----------------------------------------------------------------
이름: invalid-owner-id-received
잘못된 소유자 ID가 수신되어 패킷이 삭제됨:
클러스터 노드가 VPN 디렉터로부터 잘못된 소유자 ID를 받으면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: unable-to-add-to-owner-table
소유자 테이블에 항목을 추가하지 못하여 패킷이 삭제됨:
클러스터 노드가 연결에 대한 소유자 항목을 추가하지 못하면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: ike-spi-corrupted-value
패킷이 전송 중에 변경되었을 수 있음을 나타내는 SPI 일관성 확인 실패 시 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
시스템 로그에서 패킷 원본에 대한 자세한 정보를 확인하십시오. 이 상황은 정상이며 일시적으로 나타날
수 있습니다. 삭제가 계속될 경우 TAC에 연락하여 문제를 추가로 조사하십시오.
----------------------------------------------------------------
이름: ike-spi-cookie-expired
수신 패킷에서 받은 SPI가 만료된 것으로 간주되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
시스템 로그에서 패킷 원본에 대한 자세한 정보를 확인하십시오. 이것이 유효한 피어 연결인 경우에는 네트워크 지연이 매우 길어서 발생할 수 있으므로 지연을 해소해야 합니다. 삭제가 계속될 경우 TAC에 연락하여 문제를 추가로 조사하십시오.
----------------------------------------------------------------
이름: snort-invalid-verdict
판정이 잘못되어 관련 조치를 취할 수 없으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
모듈별 Snort/pdts 디버그 메시지를 활성화하고 검토합니다.
----------------------------------------------------------------
Snort에 의해 패킷이 블랙리스트에 추가됨:
Snort에 의해 플로우가 블랙리스트에 추가되면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
Snort 정책에서 플로우를 거부하는 규칙을 검토하십시오.
----------------------------------------------------------------
이 카운터의 값이 증가하며 Snort의 요청에 따라 패킷이 삭제됩니다.
Snort 정책에서 플로우를 거부하는 규칙을 검토하십시오.
----------------------------------------------------------------
Snort의 요청에 따라 패킷이 자동으로 삭제됨:
이 카운터의 값이 증가하며 Snort의 요청에 따라 패킷이 삭제됩니다.
모듈별 Snort/pdts 디버그 메시지를 활성화하고 검토합니다.
----------------------------------------------------------------
Snort에 의해 프레이밍된 패킷이 잘못되어 삭제되어야 하는 경우 이 카운터의 값이 증가합니다.
모듈별 Snort/pdts 디버그 메시지를 활성화하고 검토합니다.
----------------------------------------------------------------
Snort에서 수신된 패킷을 리어셈블하는 동안 오류 발생:
Snort에서 수신된 패킷을 리어셈블하는 동안 오류가 발생하면 이 카운터의 값이 증가합니다.
모듈별 Snort/pdts 디버그 메시지를 활성화하고 검토합니다.
----------------------------------------------------------------
이름: failed-to-setup-pdts-flow-param
pdts 플로우 매개변수 설정 중 오류 발생:
pdts 플로우 매개변수 설정 시 오류가 발생하면 이 카운터의 값이 증가합니다.
모듈별 Snort/pdts 디버그 메시지를 활성화하고 검토합니다.
----------------------------------------------------------------
이름: ha-nlp-invalid-fragments
NLP가 페일오버 링크에서 잘못된 프래그먼트를 전송함:
NLP가 페일오버 링크를 통해 잘못된 크기의 프래그먼트화된 패킷을 전송하려고 하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: ha-nlp-lu-link-not-ready
페일오버 링크가 NLP 패킷을 처리할 준비가 되지 않음:
NLP가 패킷을 송신하거나 수신하려고 하지만 페일오버 링크 lu 상태가 다운이면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: ha-nlp-send-ha-msg-err
HA 페일오버 링크를 통한 NLP 패킷 전송 실패:
NLP가 페일오버 링크를 통해 패킷을 전송하지 못하면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
show counter 결과에서 실패에 대한 자세한 정보를 확인하십시오.
----------------------------------------------------------------
이름: invalid-map-address-port
MAP(Mapping of Address and Port) 도메인 기본 매핑 규칙과 일치하는 주소를 갖는 패킷에 일관되지
않은 인코딩이 있거나 사용된 포트 번호가 할당된 범위 내에 있지 않습니다.
MAP BR 컨피그레이션과 CE 컨피그레이션이 동일한 MAP 도메인 내에서 일관된지 확인하십시오. 이는 비승인 MAP CE에서 할당되지 않은 포트를 악의적으로 사용하려고 하는 경우에도 발생할 수 있습니다.
----------------------------------------------------------------
이 카운터의 값이 증가하며 Snort의 요청에 따라 패킷이 지연됩니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
-----------------------------------------------------------------
플로우 삭제 이유
----------------------------------------------------------------
IPSec 보안 연결을 삭제 중인 설정된 플로우와 연결되어 있는 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가합니다.
IPSec 터널이 해제된 경우 이러한 상황은 정상적인 현상입니다.
----------------------------------------------------------------
어플라이언스가 IP 버전 6 헤더로 캡슐화된 IPSec ESP 패킷, IPSec NAT-T ESP 패킷 또는 UDP를 통한 IPSec ESP 패킷을 수신하면 이 카운터의 값이 증가합니다. 어플라이언스는 현재 IP 버전 6으로 캡슐화된 IPSec 세션을 지원하지 않습니다.
----------------------------------------------------------------
어플라이언스가 암호화 맵 등 보안 정책 데이터베이스의 엔트리와 일치하는 패킷을 수신했는데 보안 연결이 협상 중인 상태이며 아직 완료되지 않은 경우 이 카운터의 값이 증가합니다.
또한 어플라이언스가 보안 정책 데이터베이스의 엔트리와 일치하는 패킷을 수신했는데 보안 연결이 삭제되었거나 삭제되는 중인 경우에도 이 카운터의 값이 증가합니다. 이 표시와 'Tunnel has been town down(터널이 해제됨)' 표시 간의 차이점은, 'Tunnel has been town down(터널이 해제됨)' 표시의 경우 설정된 플로우에 대해 표시된다는 것입니다.
IPSec 터널을 협상 또는 삭제하는 중인 경우 이러한 상황은 정상적인 현상입니다.
----------------------------------------------------------------
암호화가 필요한데 IPSec 보안 연결이 설정되지 않은 패킷을 어플라이언스가 수신하면 이 카운터의 값이 증가합니다. 이러한 현상은 대개 LAN 간 IPSec 컨피그레이션에서 나타나는 정상적인 상태입니다. 이 메시지가 표시되면 어플라이언스가 대상 피어와의 ISAKMP 협상을 시작하게 됩니다.
어플라이언스에서 LAN 간 IPSec를 구성한 경우 이 메시지가 표시되는 것은 정상적인 현상이며 문제가 아닙니다. 그러나 이 카운터의 값이 빠르게 증가하는 경우 암호화 컨피그레이션 오류 또는 네트워크 오류로 인해 ISAKMP 협상을 완료할 수 없는 것일 수 있습니다.
대상 피어와 통신할 수 있는지를 확인하고 'show running-config' 명령을 통해 암호화 컨피그레이션을 확인하십시오.
----------------------------------------------------------------
VPN 핸들이 이미 있어서 어플라이언스가 VPN 핸들을 작성할 수 없으면 이 카운터의 값이 증가합니다.
정상 작동 상태의 일부분으로 이 카운터의 값이 증가하는 현상이 나타날 수 있습니다. 하지만 이 카운터의 값이 빠르게 증가하고 VPN 기반 애플리케이션에서 중대한 오작동이 발생하는 경우에는 소프트웨어 결함으로 인한 현상일 수도 있습니다. 다음 명령을 사용하여 이 카운터와 관련된 자세한 정보를 수집한 다음 Cisco TAC에 문의하여 해당 문제를 추가로 조사하십시오.
capture <이름> type asp-drop vpn-handle-error
show asp table classify crypto
show asp table vpn-context detail
----------------------------------------------------------------
데이터그램에서 암호화 또는 암호 해독 작업이 수행되는데 데이터그램이 있는 플로우용 VPN 핸들을 찾을
수 없으면 이 카운터의 값이 증가합니다.
정상 작동 상태의 일부분으로 이 카운터의 값이 증가하는 현상이 나타날 수 있습니다. 하지만 이 카운터의 값이 빠르게 증가하고 VPN 기반 애플리케이션에서 중대한 오작동이 발생하는 경우에는 소프트웨어 결함으로 인한 현상일 수도 있습니다. 다음 명령을 사용하여 이 카운터와 관련된 자세한 정보를 수집한 다음 Cisco TAC에 문의하여 해당 문제를 추가로 조사하십시오.
capture <이름> type asp-drop vpn-handle-not-found
show asp table classify crypto
show asp table vpn-context detail
----------------------------------------------------------------
어플라이언스가 암호화되었어야 하는데 암호화되지 않은 패킷을 수신하면 이 카운터의 값이 증가합니다.
이 패킷은 어플라이언스에서 구성 및 설정된 IPSec 연결의 내부 헤더 보안 정책 확인에서 일치하는 것으로
확인되었으나 암호화되지 않은 상태로 수신되었습니다. 이러한 현상은 보안 문제입니다.
네트워크 트래픽을 분석하여 스푸핑된 IPSec 트래픽의 출처를 확인하십시오.
----------------------------------------------------------------
일반 텍스트 플로우가 IPSec 터널 플로우 처리에 실패하면 이 카운터의 값이 증가합니다.
다음 명령을 사용하여 보다 구체적인 패킷 삭제를 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 암호화되었어야 하는데 암호화되지 않은 패킷을 수신하면 이 카운터의 값이 증가합니다. 이 패킷은 보안 어플라이언스에서 구성 및 설정된 SVC 연결의 내부 헤더 보안 정책 확인에서 일치하는 것으로 확인되었으나 암호화되지 않은 상태로 수신되었습니다. 이러한 현상은 보안 문제입니다.
네트워크 트래픽을 분석하여 스푸핑된 SVC 트래픽의 출처를 확인하십시오.
----------------------------------------------------------------
스탠바이 유닛에서 SVC 소켓 연결을 끊는 중:
장애 조치 전환의 일부분으로 활성 장치가 스탠바이 상태로 전환될 때 연결이 끊기는 각각의 새 SVC 소켓 연결에 대해 이 카운터의 값이 증가합니다.
없음. 이러한 작업은 현재 디바이스가 활성 상태에서 스탠바이 상태로 전환될 때 SVC 연결을 정리하는 정상적인 현상입니다. 디바이스의 기존 SVC 연결은 더 이상 유효하지 않으므로 제거해야 합니다.
----------------------------------------------------------------
SVC 연결이 새 연결로 대체되면 이 카운터의 값이 증가합니다.
없음. 이러한 현상은 사용자가 ASA에 대한 연결을 유지 보수하는 데 문제가 있음을 나타내는 것일 수 있습니다. 사용자는 홈 네트워크와 인터넷 연결의 품질을 평가해야 합니다.
----------------------------------------------------------------
이름: ipsec-selector-failure
IPSec VPN 내부 정책 선택기 불일치 탐지됨:
터널용으로 구성되어 있는 정책과 일치하지 않는 내부 IP 헤더가 포함된 IPSec 패킷이 수신되면 이 카운터의 값이 증가합니다.
터널의 암호화 ACL이 올바르며 허용되는 모든 패킷이 터널 ID에 포함되어 있는지 확인하십시오. 이 메시지가 반복적으로 표시되는 경우에는 box가 공격을 받고 있지 않은지 확인하십시오.
----------------------------------------------------------------
보안 어플라이언스가 암호화 또는 암호 해독이 필요한 패킷을 수신했는데 이 작업을 수행하는 데 필요한 ASP VPN 컨텍스트가 더 이상 유효하지 않으면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
패킷 암호를 해독할 때는 암호화 맵 컨피그레이션과 대조하여 내부 패킷을 검사합니다. 수신되었던 암호화 맵 엔트리가 아닌 다른 엔트리와 일치하는 패킷은 삭제되며 이 카운터의 값이 증가합니다. 이러한 현상의 일반적인 원인은 두 암호화 맵 엔트리가 비슷한/중복되는 주소 공간을 포함하는 경우입니다.
VPN 컨피그레이션에서 중복 네트워크를 확인하십시오. 그리고 ACL의 'deny' 규칙 사용 방식과 암호화 맵의 순서를 확인하십시오.
----------------------------------------------------------------
내부 잠금 오류로 인해 VPN 플로우를 작성할 수 없으면 이 카운터의 값이 증가합니다.
이러한 현상은 정상 작동 중에는 발생해서는 안 되며 어플라이언스에 소프트웨어 문제가 있음을 나타낼
수 있습니다. 이 오류가 발생하는 경우 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
이름: vpn-reclassify_failed
기존 VPN 정책에 따라 플로우를 재분류할 수 없습니다.
VPN 정책이 변경되면 해당 정책과 더 이상 일치하지 않는 플로우는 이러한 플로우에 대한 패킷이 도착하면 해제됩니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
이 이벤트에 포함된 새로운 syslog는 없습니다.
----------------------------------------------------------------
암호 해독 정책을 사용할 수 없어 플로우를 작성할 수 없음:
암호 해독 정책이 완전히 초기화되기 전에 VPN 플로우 작성을 시도했습니다. 이러한 상태는 일시적인 현상이며 암호 해독 정책의 설치가 완료되면 해결됩니다.
정상 작동 상태의 일부분으로 이 카운터의 값이 증가하는 현상이 나타날 수 있습니다. 하지만 이 카운터의 값이 빠르게 증가하고 트래픽이 중단되는 경우에는 잘못된 컨피그레이션 또는 소프트웨어 결함으로 인한 현상일 수도 있습니다. 다음 명령을 사용하여 이 카운터와 관련된 자세한 정보를 수집한 다음 Cisco TAC에 문의하여 해당 문제를 추가로 조사하십시오.
capture <이름> type asp-drop vpn-missing-decrypt
이 이벤트에 포함된 새로운 syslog는 없습니다.
----------------------------------------------------------------
잘못된 암호 해독 규칙이 발견되어 플로우를 작성할 수 없음:
이러한 상태는 클러스터링이 활성화되어 있고 VPN 모드가 분산으로 설정되어 있으면 나타나는 일시적인 현상입니다.
정상 작동 상태의 일부분으로 이 카운터의 값이 증가하는 현상이 나타날 수 있습니다. 하지만 이 카운터의 값이 빠르게 증가하고 트래픽이 중단되는 경우에는 잘못된 컨피그레이션 또는 소프트웨어 결함으로 인한 현상일 수도
있습니다. 다음 명령을 사용하여 이 카운터와 관련된 자세한 정보를 수집한 다음 Cisco TAC에 문의하여 해당
문제를 추가로 조사하십시오.
이 이벤트에 포함된 새로운 syslog는 없습니다.
----------------------------------------------------------------
이름: vpn-invalid-encryption
암호화 플래그가 설정되지 않아 플로우가 삭제됨:
정상 작동 상태의 일부분으로 이 카운터의 값이 증가하는 현상이 나타날 수 있습니다. 하지만 이 카운터의 값이 빠르게 증가하고 트래픽이 중단되는 경우에는 잘못된 컨피그레이션 또는 소프트웨어 결함으로 인한 현상일 수도
있습니다. 다음 명령을 사용하여 이 카운터와 관련된 자세한 정보를 수집한 다음 Cisco TAC에 문의하여 해당
문제를 추가로 조사하십시오.
이 이벤트에 포함된 새로운 syslog는 없습니다.
----------------------------------------------------------------
메모리가 부족하여 어플라이언스가 플로우를 작성할 수 없으면 이 카운터의 값이 증가합니다.
현재 연결을 점검하여 box가 공격을 받고 있지 않은지 확인하십시오. 또한 구성된 시간 제한 값이 너무 커서 유휴 플로우가 메모리에 더 오랫동안 유지되는지도 확인하십시오. 'show memory'를 실행하여 사용 가능한 여유 메모리를 확인하십시오. 여유 메모리가 부족하면 'show processes memory'를 실행하여 대부분의 메모리를 사용하는 프로세스를 확인하십시오.
----------------------------------------------------------------
종속 플로우의 상위 플로우를 닫으면 종속 플로우도 닫힙니다. 예를 들어 제어 플로우(상위 플로우)가
종료되면 이러한 이유로 인해 FTP 데이터 플로우(종속 플로우)가 닫힙니다. 제어 애플리케이션에 의해 보조
플로우(핀홀)가 닫힐 때도 이 이유가 제공됩니다. 예를 들어 BYE 메시지가 수신되면 SIP 검사 엔진(제어
애플리케이션)이 해당하는 SIP RTP 플로우(보조 플로우)를 닫습니다.
----------------------------------------------------------------
이 이유는 애플리케이션 검사 중에 탐지된 오류로 인해 플로우를 닫는 이유로 제시됩니다. 예를 들어 H323 메시지 검사 중에 오류가 탐지되면 해당 H323 플로우가 닫히며 이 이유가 제시됩니다.
----------------------------------------------------------------
스탠바이 유닛이 활성 장치에서 플로우 삭제 메시지를 수신하여 플로우를 종료했습니다.
어플라이언스에서 스테이트풀 장애 조치를 실행 중인 경우 스탠바이 어플라이언스에서 해제되는 모든 복제
연결에 대해 이 카운터의 값이 증가해야 합니다.
----------------------------------------------------------------
through-the-box 패킷이 스탠바이 상태로 어플라이언스나 컨텍스트에 도착하여 플로우가 작성되면 패킷이 삭제되고 플로우가 제거됩니다. 이러한 방식으로 플로우가 제거될 때마다 이 카운터의 값이 증가합니다.
활성 어플라이언스 또는 컨텍스트에서는 이 카운터의 값이 증가하면 안 됩니다. 그러나 스탠바이 상태의 어플라이언스나 컨텍스트에서 이 카운터의 값이 증가하는 것은 정상적인 현상입니다.
----------------------------------------------------------------
스탠바이 유닛이 플로우를 복제하지 못했습니다.
어플라이언스가 VPN 트래픽을 처리 중인 경우 IKE SA 정보가 생성되기 전에 플로우가 복제될 수 있으므로 스탠바이 유닛에서 이 카운터의 값이 계속 증가할 수 있습니다. 이러한 경우에는 조치가 필요하지 않습니다. 어플라이언스가 VPN 트래픽을 처리하고 있지 않다면 이러한 현상은 소프트웨어 결함을 나타내므로 디버그 기능을 설정해야 합니다. 스탠바이 유닛에서 "debug fover fail"을 실행하고 디버그 출력을 수집한 다음 Cisco TAC에 문제를 보고하십시오.
----------------------------------------------------------------
이 이유는 1) 플로우에 U턴 트래픽이 있으며 2) 'same-security-traffic permit intra-interface'가 구성되어 있지 않은 상태로 인해 플로우를 닫는 이유로 제시됩니다.
인터페이스에서 U턴 트래픽을 허용하려면 'same-security-traffic permit intra-interface'를 포함하여 인터페이스를 구성합니다.
----------------------------------------------------------------
패킷에 삭제 규칙이 적용되어 플로우 작성이 거부되면 이 카운터의 값이 증가합니다. 이 규칙은 box가 생성되거나, 다양한 기능을 설정/해제하거나, ACL을 인터페이스 또는 기타 기능에 적용하는 등의 경우에 작성된 기본 규칙일 수 있습니다. 플로우는 기본 규칙에 의해서도 삭제될 수 있으며 다음과 같은 이유로 인해 거부될
수도 있습니다.
2) AAA에 대해 ACL이 구성되어 있는데 사용자가 AAA를 거부함
3) through-the-box 트래픽이 관리 전용 IFC에 도착함
4) IPSec가 활성화된 인터페이스에 암호화되지 않은 트래픽이 도착함
5) ACL 끝에 있는 'ip any any'를 암시적으로 거부함
패킷 삭제와 관련된 syslog 중 하나가 생성되는지 관찰하십시오. 플로우가 삭제되면 해당하는 패킷이 삭제되며, 그러면 필수 syslog가 생성됩니다.
----------------------------------------------------------------
재분류 후 액세스 규칙에 의해 플로우가 거부됨:
ACL 규칙 재분류 이후 패킷에 삭제 규칙이 적용되면 이 카운터의 값이 증가합니다.
패킷 삭제와 관련된 syslog 중 하나가 생성되는지 관찰하십시오. 플로우가 삭제되면 해당하는 패킷이 삭제되며, 그러면 필수 syslog가 생성됩니다.
----------------------------------------------------------------
어플라이언스가 보조 플로우를 열었는데 시간 제한 간격 내에 이 플로우를 통과한 패킷이 없어서 플로우가 제거된 경우 이 카운터의 값이 증가합니다. 보조 플로우의 예로는 FTP 제어 채널의 협상이 정상적으로 완료되고 나면 작성되는 FTP 데이터 채널을 들 수 있습니다.
----------------------------------------------------------------
"clear local-host" 명령에 대한 응답으로 플로우가 제거되었습니다.
302014, 302016, 302018, 302021, 305010, 305012, 609002
----------------------------------------------------------------
"clear xlate" 또는 "clear local-host" 명령에 대한 응답으로 플로우가 제거되었습니다.
302014, 302016, 302018, 302021, 305010, 305012, 609002
----------------------------------------------------------------
비활성 상태 타이머가 만료되어 플로우가 닫히면 이 카운터의 값이 증가합니다.
302014, 302016, 302018, 302021
----------------------------------------------------------------
이 이유는 연결 제한 초과 시 플로우를 닫는 이유로 제시됩니다. 'set connection conn-max' 작업 명령을 통해 연결 제한을 구성합니다.
----------------------------------------------------------------
이 이유는 TCP FIN 패킷 수신 시 TCP 플로우를 닫는 이유로 제시됩니다.
TCP 연결이 FIN을 통해 정상적으로 종료될 때마다 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이 이유는 원시 타이머 만료로 인해 TCP 플로우를 닫는 이유로 제시됩니다.
세션이 유효하며 연결을 설정하는 데 시간이 더 오래 걸리는 경우에는 원시 시간 제한을 늘리십시오.
----------------------------------------------------------------
이 이유는 절반 닫힌 타이머 만료로 인해 TCP 플로우를 닫는 이유로 제시됩니다.
세션이 유효하며 TCP 플로우를 닫는 데 시간이 더 오래 걸리는 경우에는 절반 닫기 시간 제한을 늘리십시오.
----------------------------------------------------------------
이 이유는 플로우에서 TCP 재설정이 수신되어 보안 레벨이 낮은 인터페이스에서 보안이 동일하거나 높은 인터페이스로의 아웃바운드 플로우를 닫는 이유로 제시됩니다.
----------------------------------------------------------------
이 이유는 플로우에서 TCP 재설정이 수신되어 보안 레벨이 높은 인터페이스에서 낮은 인터페이스로의 인바운드 플로우를 닫는 이유로 제시됩니다.
----------------------------------------------------------------
이 이유는 어플라이언스에서 TCP 재설정을 생성할 때 플로우를 닫는 이유로 제시됩니다.
----------------------------------------------------------------
플로우가 재귀적으로 해제되었습니다. 이 이유는 쌍 플로우, 멀티캐스트 슬레이브 플로우 및 syslog 플로우에 대해 syslog가 생성되지 않도록 하기 위해 이러한 각 종속 플로우에 적용됩니다.
----------------------------------------------------------------
이름: tcp-intecept-no-response
초당 한 번씩 3번 시도한 후 SYN 재전송 시간이 초과되었습니다. 서버에 연결할 수 없어 연결을 해제하는 중입니다.
ASA에서 서버에 연결할 수 있는지 확인하십시오.
----------------------------------------------------------------
이름: tcp-intercept-unexpected
TCP 가로채기 모듈에서 논리 오류가 발생했습니다. 이러한 오류는 발생해서는 안 됩니다.
이러한 현상은 TCP 가로채기 모듈의 메모리 손상 또는 기타 논리 오류를 나타냅니다.
----------------------------------------------------------------
이 이유는 check-retransmissions 기능이 활성화되어 있는 상태에서 TCP 엔드포인트가 원본 패킷과 다른 데이터가 포함된 재전송 데이터를 전송한 경우 TCP 플로우를 닫는 이유로 제시됩니다.
TCP 엔드포인트가 TCP 재전송에서 다른 데이터를 전송하는 방식으로 공격을 하고 있는 것일 수 있습니다. 패킷 캡처 기능을 사용하여 패킷의 원본을 자세히 확인하십시오.
----------------------------------------------------------------
이름: tcpnorm-win-variation
이 이유는 TCP 엔드포인트에서 알림을 받은 윈도우 크기가 해당 분량의 데이터를 수락하지 않고 크게 변경된 경우 TCP 플로우를 닫는 이유로 제시됩니다.
이 연결을 허용하려면 tcp-map 아래에서 window-variation 컨피그레이션을 사용하십시오.
----------------------------------------------------------------
이 이유는 SYN 패킷이 잘못된 경우 TCP 플로우를 닫는 이유로 제시됩니다.
체크섬이나 TCP 헤더가 잘못된 경우 등의 여러 가지 이유로 인해 SYN 패킷이 잘못된 상태가 될
수 있습니다. 패킷 캡처 기능을 사용하여 SYN 패킷이 잘못된 상태인 이유를 파악하십시오. 이러한 연결을
허용하려면 tcp-map 컨피그레이션을 사용하여 검사를 바이패스하십시오.
----------------------------------------------------------------
SCTP INIT에 값이 0인 시작 태그가 포함되어 있음:
SCTP INIT 청크에 값이 0인 시작 태그가 포함되어 있으면 이 카운터의 값이 증가하며 플로우가
삭제됩니다.
----------------------------------------------------------------
SCTP INIT ACK에 값이 0인 시작 태그가 포함되어 있음:
SCTP INIT ACK 청크에 값이 0인 시작 태그가 포함되어 있으면 이 카운터의 값이 증가하며 플로우가 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-0-stream-cnt
SCTP INIT에 값이 0인 인바운드/아웃바운드 스트림 개수가 포함되어 있음:
SCTP INIT 청크에 값이 0인 인바운드/아웃바운드 스트림 개수가 포함되어 있으면 이 카운터의 값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-timeout
SCTP INIT 시간 초과됨(INIT ACK 수신되지 않음):
SCTP INIT 청크 시간 제한 값의 제한에 도달하면 이 카운터의 값이 증가하며 플로우가 삭제됩니다.
이 삭제는 INIT 청크의 수신자가 INIT ACK에 응답하지 않거나 클라이언트와 서버 간에 이중화 경로가 있으며 INIT의 나가는 경로와 INIT ACK의 들어오는 경로가 서로 다른 경우에 발생할 수 있습니다. 이 오류가 많이 발생하는 경우 패킷 캡처 기능을 사용하여 문제를 격리하십시오.
----------------------------------------------------------------
이름: sctp-chunk-cookie-timeout
INIT ACK 또는 COOKIE ECHO 수신 이후의 SCTP 쿠키 상태 시간 제한 값의 제한에 도달하면 이 카운터의 값이 증가하며 플로우가 삭제됩니다.
----------------------------------------------------------------
SCTP가 엔드포인트에서 ABORT를 수신함:
SCTP ABORT 청크가 수신되면 이 카운터의 값이 증가하며 플로우가 삭제됩니다.
----------------------------------------------------------------
이름: sctp-chunk-init-ack-0-stream-cnt
SCTP INIT ACK에 값이 0인 인바운드/아웃바운드 스트림 개수가 포함되어 있음:
SCTP INIT ACK 청크에 값이 0인 인바운드/아웃바운드 스트림 개수가 포함되어 있으면 이 카운터의
값이 증가하며 패킷이 삭제됩니다.
----------------------------------------------------------------
이름: sctp-shutdown-timeout
SCTP SHUTDOWN 시간 초과됨(INIT SHUTDOWN 수신되지 않음):
SCTP SHUTDOWN 청크 시간 제한 값의 제한에 도달하면 이 카운터의 값이 증가하며 플로우가 삭제됩니다.
----------------------------------------------------------------
멀티캐스트 엔트리에서 출력 인터페이스가 제거되었습니다.
모든 출력 인터페이스가 멀티캐스트 엔트리에서 제거되었습니다.
이 그룹용 수신기가 더 이상 없는지 확인하십시오.
----------------------------------------------------------------
멀티캐스트 플로우와 일치하는 패킷이 도착했으나 멀티캐스트 서비스가 더 이상 활성화되어 있지 않거나 플로우가 작성된 후에 다시 활성화되었습니다.
멀티캐스트 엔트리가 삭제되어 플로우를 정리하는 중이나 패킷은 데이터 경로에 다시 삽입될 예정입니다.
멀티캐스트가 비활성화되어 있으면 다시 활성화하십시오.
----------------------------------------------------------------
TCP 가로채기에서는 연결이 해제되고(첫 번째 SYN인 경우) SYN에 대해 연결이 작성된 다음 SYN 쿠키를 사용하여 TCP 가로채기가 복제됩니다. 또는 클라이언트에서 유효한 ACK가 확인되고 나면 TCP 가로채기에서 서버로 SYN을 전송할 때 서버가 RST로 응답합니다.
고정된 규칙이 있거나, 패킷이 VPN 터널을 통과하거나, 클라이언트 연결을 위한 다음 홉 게이트웨이 주소를 확인할 수 없는 경우를 제외하면 TCP 가로채기에서는 대개 첫 번째 SYN에 대한 연결이 작성되지 않습니다. 그러므로 첫 번째 SYN의 경우 이러한 현상은 연결이 작성됨을 나타냅니다. TCP 가로채기가 서버에서 RST를 수신하는 경우에는 서버에서 해당 포트가 닫혀 있을 가능성이 높습니다.
----------------------------------------------------------------
연결된 동작으로 재설정된 "ip audit" 서명 일치 이후 플로우가 해제되었습니다.
이 서명 일치 시에 플로우를 제거하지 않으려는 경우에는 "ip audit" 명령에서 재설정 동작을
제거하십시오.
----------------------------------------------------------------
이 이유는 CXSC 모듈의 요청에 따라 플로우를 종료하는 이유로 제시됩니다.
CXSC 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
이 이유는 CXSC 카드가 다운되어 CXSC 작업에서 fail-close 옵션이 사용된 경우 플로우를 종료하는 이유로 제시됩니다.
----------------------------------------------------------------
CX의 잘못된 핸들로 인해 ASA에서 플로우를 종료함
CX에서 수신된 핸들이 유효하지 않아 플로우를 삭제하는 중입니다.
CXSC 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
이 이유는 CXSC 모듈의 요청에 따라 TCP 플로우를 종료하는 이유로 제시됩니다.
CXSC 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
이 이유는 SFR 모듈의 요청에 따라 플로우를 종료하는 이유로 제시됩니다.
SFR 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
이 이유는 SFR 카드가 다운되어 SFR 작업에서 fail-close 옵션이 사용된 경우 플로우를 종료하는 이유로 제시됩니다.
----------------------------------------------------------------
SFR의 잘못된 핸들로 인해 ASA에서 플로우를 종료함
SFR에서 수신된 핸들이 유효하지 않아 플로우를 삭제하는 중입니다.
SFR 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
이 이유는 SFR 모듈의 요청에 따라 TCP 플로우를 종료하는 이유로 제시됩니다.
SFR 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
이 이유는 SNORT 모듈의 요청에 따라 플로우를 종료하는 이유로 제시됩니다.
Snort 정책에서 플로우를 거부하는 규칙을 검토하십시오.
----------------------------------------------------------------
이 이유는 IPS 모듈의 요청에 따라 플로우를 종료하는 이유로 제시됩니다.
IPS 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
이 이유는 IPS 카드가 다운되어 IPS 검사에서 fail-close 옵션이 사용된 경우 플로우를 종료하는 이유로 제시됩니다.
----------------------------------------------------------------
이름: ips-license-disabled-fail-close
이 이유는 IPS 모듈 라이선스가 비활성화되어 IPS 검사에서 fail-close 옵션이 사용된 경우 플로우를 종료하는 이유로 제시됩니다.
IPS 모듈 라이선스가 활성화된 활성화 키를 적용하십시오.
----------------------------------------------------------------
inspect, aaa 등의 고급 서비스 중 하나를 통해 처리하기 위해 패킷이 exception-path로 펀트되었는데 서비스 루틴이 플로우에서 이동 중인 트래픽에서 위반 사항을 탐지하여 플로우 삭제를 요청하면 이 카운터의 값이 증가합니다. 플로우는 즉시 삭제됩니다.
서비스 루틴에서 생성된 syslog를 통해 자세한 정보를 확인하십시오. 플로우 삭제 시에는 해당 연결이 종료됩니다.
----------------------------------------------------------------
소스 IP 주소가 차단 데이터베이스의 호스트와 일치하는 패킷이 수신되면 이 카운터의 값이 증가합니다. shun 명령이 적용되면 shun 명령과 일치하는 각각의 기존 플로우에 대해 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
----------------------------------------------------------------
IP 또는 전송 헤더 변환을 위한 xlate를 작성하지 못했습니다.
NAT를 사용하지 않으려면 "nat-control"을 비활성화하십시오. 그렇지 않은 경우에는 "static", "nat" 또는 "global" 명령을 사용하여 삭제된 플로우에 대해 NAT 정책을 구성하십시오. 동적 NAT의 경우에는 각 "nat" 명령을 하나 이상의 "global" 명령과 쌍으로 지정해야 합니다. "show nat" 및 "debug pix process"를 사용하여 NAT 규칙을 확인하십시오.
305005, 305006, 305009, 305010, 305011, 305012
----------------------------------------------------------------
변환된 호스트의 실제 주소를 사용하여 변환된 호스트에 연결하려는 시도가 거부되었습니다.
NAT를 수행 중인 호스트와 같은 인터페이스에 있지 않은 경우에는 실제 주소가 아닌 매핑된 주소를
사용하여 호스트에 연결하십시오. 또한 애플리케이션이 IP 주소를 임베드하는 경우 적절한 inspect 명령을
활성화하십시오.
----------------------------------------------------------------
어플라이언스가 연결에 대해 NP에서 수행하는 프로토콜 검사를 활성화하지 못하면 이 카운터의 값이
증가합니다. 메모리 할당 장애가 원인일 수도 있고, ICMP 오류 메시지의 경우에는 ICMP 오류 메시지에
임베드된 프레임과 관련하여 설정된 연결을 어플라이언스가 찾을 수 없는 것일 수도 있습니다.
시스템 메모리 사용량을 확인하십시오. ICMP 오류 메시지의 경우 공격이 원인이라면 ACL을 사용하여
호스트를 거부할 수 있습니다.
----------------------------------------------------------------
보안 어플라이언스가 연결 작성 시 런타임 검사 데이터 구조를 할당하지 못하면 이 카운터의 값이
증가합니다. 연결은 삭제됩니다.
보안 어플라이언스의 시스템 메모리가 부족하면 이 오류 상태가 발생합니다. "show memory" 명령을 실행하여 현재 사용 가능한 여유 메모리를 확인하십시오.
----------------------------------------------------------------
이 이유는 IPS 모듈의 요청에 따라 TCP 플로우를 종료하는 이유로 제시됩니다.
IPS 모듈의 syslog 및 경고를 확인하십시오.
----------------------------------------------------------------
새 요청을 위해 비TCP/UDP 플로우가 회수됨:
새 플로우를 위한 공간을 확보하기 위해 회수 가능한 플로우가 제거되면 이 카운터의 값이 증가합니다.
어플라이언스를 통과하는 플로우의 수가 소프트웨어에서 적용하는 제한에 의해 허용되는 최대 수와 같으며 새 플로우 요청이 수신되는 경우에만 이 작업이 수행됩니다. 이 작업 수행 시 회수 가능한 플로우의 수가 어플라이언스에서 허용하는 VPN 터널의 수를 초과하면 새 플로우를 위한 공간을 확보하기 위해 가장 오래된 회수 가능 플로우가 제거됩니다. 다음을 제외한 모든 플로우는 회수 가능한 것으로 간주됩니다.
1. TCP, UDP, GRE 및 장애 조치 플로우
2. ICMP 스테이트풀 검사가 활성화된 경우의 ICMP 플로우
이 카운터의 값이 천천히 증가한다면 조치를 취할 필요가 없습니다. 하지만 이 카운터의 값이 빠르게 증가하는 경우에는 어플라이언스가 공격을 받고 있어서 플로우를 회수하고 다시 작성하는 데 시간이 더 많이 걸리는 것일 수 있습니다.
----------------------------------------------------------------
이 이유는 첫 번째 패킷이 SYN 패킷이 아닐 때 TCP 플로우를 종료하는 이유로 제시됩니다.
----------------------------------------------------------------
시스템이나 컨텍스트의 최대 xlate 수에 도달하여 새 연결을 시도할 때 이 카운터의 값이 증가합니다.
디바이스 관리자는 'show resource usage' 및 'show resource usage system' 명령을 사용하여 컨텍스트 및 시스템 리소스 제한과 'Denied(거부됨)' 상태의 연결 수를 확인하고 원하는 경우 리소스 제한을 조정할 수 있습니다.
----------------------------------------------------------------
시스템이나 컨텍스트의 최대 호스트 수에 도달하여 새 연결을 시도할 때 이 카운터의 값이 증가합니다.
디바이스 관리자는 'show resource usage' 및 'show resource usage system' 명령을 사용하여 컨텍스트 및 시스템 리소스 제한과 'Denied(거부됨)' 상태의 연결 수를 확인하고 원하는 경우 리소스 제한을 조정할 수 있습니다.
----------------------------------------------------------------
이름: rm-inspect-rate-limit
시스템이나 컨텍스트의 최대 검사 속도에 도달하여 새 연결을 시도할 때 이 카운터의 값이 증가합니다.
디바이스 관리자는 'show resource usage' 및 'show resource usage system' 명령을 사용하여 컨텍스트 및 시스템 리소스 제한과 'Denied(거부됨)' 상태의 연결 수를 확인하고 원하는 경우 리소스 제한을 조정할 수 있습니다.
----------------------------------------------------------------
TCP 연결 소켓이 기존 수신 대기 연결과 충돌합니다. 이러한 현상은 내부 시스템 오류입니다. TAC에 문의하
십시오.
----------------------------------------------------------------
이 카운터는 ASA 5500 Series Adaptive Security Appliance에만 적용됩니다. SSM에서 실행 중인
애플리케이션이 보안 어플라이언스에 연결 종료를 요청하면 이 카운터의 값이 증가합니다.
SSM 자체에서 생성된 시스템 메시지 또는 인시던트 보고서를 쿼리하면 추가 정보를 확인할 수 있습니다.
해당 지침은 SSM과 함께 제공된 설명서를 참조하십시오.
----------------------------------------------------------------
이 카운터는 ASA 5500 Series Adaptive Security Appliance에만 적용됩니다. SSM에 장애가 발생하여 SSM이 검사 중인 연결이 종료되면 이 카운터의 값이 증가합니다.
보안 어플라이언스 컨트롤 플레인에서 실행 중인 카드 관리자 프로세스에서 장애를 알려 주는 시스템 메시지 및 CLI 경고를 생성했습니다. SSM 장애를 트러블슈팅하려면 SSM과 함께 제공된 설명서를 참조하십시오. 필요한 경우 Cisco Technical Assistance Center (TAC)에 문의하십시오.
----------------------------------------------------------------
이 카운터는 ASA 5500 Series Adaptive Security Appliance에만 적용됩니다. SSM이 연결을
검사해야 하는데 검사할 수 없는 경우 이 카운터의 값이 증가합니다. 이 카운터는 나중에 사용하기 위해
예약되어 있습니다. 현재 릴리스에서 이 카운터의 값은 항상 0이어야 합니다.
----------------------------------------------------------------
이름: ssl-bad-record-detect
원격 피어에서 알 수 없는 SSL 레코드 유형을 수신할 때마다 이 카운터의 값이 증가합니다. 피어에서 수신되는 알 수 없는 레코드 유형은 치명적 오류로 간주되며, 이 오류가 발생하는 SSL 연결은 종료해야 합니다.
시기에 관계없이 이 카운터의 값이 증가하는 현상은 정상 상태가 아닙니다. 이 카운터의 값이 증가하는 경우 대개 SSL 프로토콜 상태가 클라이언트 소프트웨어와 동기화되지 않는 것입니다. 이 문제의 원인일 가능성이 가장 높은 것은 클라이언트 소프트웨어의 소프트웨어 결함입니다. 이 문제를 트러블슈팅하려면 Cisco TAC에 연락하여 사용 중인 클라이언트 소프트웨어 또는 웹 브라우저 버전을 알리고, SSL 데이터 교환의 네트워크 추적 내용을 제공하십시오.
----------------------------------------------------------------
SSL 핸드셰이크가 실패하여 TCP 연결이 삭제되면 이 카운터의 값이 증가합니다.
이 메시지는 SSL 핸드셰이크가 실패하여 TCP 연결이 삭제되었음을 나타냅니다. 핸드셰이크 장애 상태로 인해 생성된 syslog 정보를 토대로 하여 문제를 해결할 수 없는 경우 Cisco TAC에 문의할 때 관련 syslog 정보를 포함하십시오.
----------------------------------------------------------------
DTLS 클라이언트 hello 메시지 처리가 완료된 후 UDP 연결이 삭제되면 이 카운터의 값이 증가합니다.
이 카운터가 증가한다고 해서 오류가 발생한 것은 아닙니다.
----------------------------------------------------------------
SSL 라이브러리에서 malloc 장애가 발생할 때마다 이 카운터의 값이 증가합니다. 이러한 현상은 SSL이
메모리 버퍼나 패킷 블록을 할당할 수 없는 메모리 부족 상황이 발생했음을 나타내는 것입니다.
보안 어플라이언스 메모리 및 패킷 블록 상태를 확인하고 Cisco TAC에 연락하여 이 메모리 정보를 알려
주시기 바랍니다.
----------------------------------------------------------------
이름: ctm-crypto-request-error
CTM에서 암호화 요청을 수락할 수 없을 때마다 이 카운터의 값이 증가합니다. 이러한 현상은 대개 암호화 하드웨어 요청 큐가 가득 찼음을 의미합니다.
show crypto protocol statictics ssl 명령을 실행한 후 Cisco TAC에 연락하여 해당 명령의 출력
정보를 알려 주시기 바랍니다.
----------------------------------------------------------------
이름: ssl-record-decrypt-error
SSL 데이터 수신 중에 암호 해독 오류가 발생하면 이 카운터의 값이 증가합니다. 이러한 현상은 보통 ASA나 피어의 SSL 코드에 버그가 있거나, 공격자가 데이터 스트림을 수정하고 있음을 의미합니다. SSL 연결이 닫혔습니다.
ASA에서 SSL 데이터 스트림을 조사하십시오. 공격자가 없다면 이러한 현상은 소프트웨어 오류를 나타내므로 Cisco TAC에 보고해야 합니다.
----------------------------------------------------------------
이름: np-socket-conn-not-accepted
보안 어플라이언스에서 새 소켓 연결을 수락하지 않을 때마다 이 카운터의 값이 증가합니다.
정상 작동 상태의 일부분으로 이 카운터의 값이 증가하는 현상이 나타날 수 있습니다. 하지만 이 카운터의 값이 빠르게 증가하고 소켓 기반 애플리케이션에서 중대한 오작동이 발생하는 경우에는 소프트웨어 결함으로 인한 현상일 수도 있습니다. Cisco TAC에 문의하여 문제를 추가로 조사하십시오.
----------------------------------------------------------------
중요한 소켓 처리 오류를 나타내는 일반 카운터입니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
이름: np-socket-relay-failure
소켓 릴레이 처리 오류를 나타내는 일반 카운터입니다.
정상 작동 상태의 일부분으로 이 카운터의 값이 증가하는 현상이 나타날 수 있습니다. 하지만 이 카운터의 값이 빠르게 증가하고 소켓 기반 애플리케이션에서 중대한 오작동이 발생하는 경우에는 소프트웨어 결함으로 인한 현상일 수도 있습니다. Cisco TAC에 문의하여 문제를 추가로 조사하십시오.
----------------------------------------------------------------
이름: np-socket-data-move-failure
소켓 데이터 이동 오류가 발생하면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
이름: np-socket-new-conn-failure
새 소켓 연결 장애가 발생하면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
이름: np-socket-transport-closed
소켓에 연결된 전송이 갑자기 닫히면 이 카운터의 값이 증가합니다.
정상 작동 상태의 일부분으로 이 카운터의 값이 증가하는 현상이 나타날 수 있습니다. 하지만 이 카운터의 값이 빠르게 증가하고 소켓 기반 애플리케이션에서 중대한 오작동이 발생하는 경우에는 소프트웨어 결함으로 인한 현상일 수도 있습니다. Cisco TAC에 문의하여 문제를 추가로 조사하십시오.
----------------------------------------------------------------
이름: np-socket-block-conv-failure
소켓 블록 변환 장애가 발생하면 이 카운터의 값이 증가합니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
이름: ssl-received-close-alert
보안 어플라이언스가 원격 클라이언트에서 닫기 경고를 수신할 때마다 이 카운터의 값이 증가합니다. 이러한 현상은 연결을 삭제할 것이라는 알림을 클라이언트가 보냈음을 나타냅니다. 이러한 알림은 정상적인 연결 끊기
프로세스의 일부분입니다.
----------------------------------------------------------------
상위 플로우 하나와 연결된 하위 플로우의 수가 내부 제한인 200개를 초과합니다.
이 메시지는 잘못된 애플리케이션 동작이나 방화벽 메모리를 소진시키려는 실제 시도를 나타냅니다.
"set connection per-client-max" 명령을 사용하여 제한을 추가로 미세 조정하십시오. FTP의 경우에는 "inspect ftp"에서 "strict" 옵션도 추가로 활성화하십시오.
----------------------------------------------------------------
packet-tracer가 플로우 삭제를 추적함:
이 카운터는 추적이 완료된 후 packet-tracer가 플로우를 해제하는 데 내부적으로 사용됩니다.
----------------------------------------------------------------
플로우의 소스 주소와 대상 주소가 같으면 이 카운터의 값이 증가합니다. 주소 개인정보가 활성화되어 있는 SIP 플로우는 제외됩니다. 이러한 플로우의 경우 소스 주소와 대상 주소가 같은 것이 정상이기 때문입니다.
이 카운터의 값은 두 가지 상황에서 증가할 수 있습니다. 그 중 하나는 소스 주소가 대상과 같은 패킷을 어플라이언스가 수신하는 경우입니다. 이러한 현상은 DoS 공격의 한 을 나타냅니다. 두 번째 상황은 어플라이언스의 NAT 컨피그레이션이 소스 주소가 대상 주소와 같아지도록 NAT를 수행하는 경우입니다. syslog 메시지 106017을 검사하여 카운터 값 증가의 원인이 되는 IP 주소를 확인한 다음, 패킷 캡처를 활성화하여 문제를 발생시키는 패킷을 캡처하고 추가 분석을 수행해야 합니다.
----------------------------------------------------------------
보안 어플라이언스가 더 이상 유효한 출력 인접성이 없는 기존 플로우에서 패킷을 수신하면 이 카운터의 값이 증가합니다. 다음 홉에 더 이상 연결할 수 없거나 라우팅이 변경된 경우(대개 동적 라우팅 환경에서) 이러한
현상이 발생할 수 있습니다.
----------------------------------------------------------------
이름: np-midpath-service-failure
중요한 중간 경로 서비스 오류를 나타내는 일반 카운터입니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
이름: np-midpath-cp-event-failure
CP로 전송할 수 없는 중요한 중간 경로 이벤트를 나타내는 카운터입니다.
이러한 현상은 Cisco TAC에 소프트웨어 오류를 보고해야 함을 나타냅니다.
----------------------------------------------------------------
플로우와 연결하려는 가상 컨텍스트가 제거된 경우 이 카운터의 값이 증가합니다. 멀티 코어 환경에서 CPU 코어 하나가 가상 컨텍스트를 삭제하고 있는데 다른 CPU가 해당 컨텍스트에서 플로우를 작성하려고 하면 이러한 현상이 발생할 수 있습니다.
----------------------------------------------------------------
유휴 시간 제한으로 인해 플로우가 스탠바이 유닛에서 제거됨:
스탠바이 유닛이 활성 장치에서 주기적 업데이트를 더 이상 수신하지 않으면 플로우는 유휴 상태로 간주됩니다. 플로우가 활성 상태이면 고정된 간격으로 업데이트가 수신되어야 합니다. 이러한 플로우가 스탠바이 유닛에서 제거되면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
플로우가 dynamic-filter 블랙리스트와 일치함:
플로우가 dynamic-filter 블랙리스트 또는 그레이리스트 엔트리와 일치하며 위협 레벨이 트래픽을 삭제하도록 구성된 위협 레벨 임계값보다 높습니다.
내부 IP 주소를 사용하여 감염된 호스트를 추적하십시오. 또한 치료 단계를 수행하여 감염 항목을 제거하십시오.
----------------------------------------------------------------
----------------------------------------------------------------
검사기에 대기된 세그먼트 수가 제한에 도달함:
이 플로우에서 검사기에 대기된 패킷 수가 제한에 도달했습니다. 따라서 플로우를 종료하는 중입니다.
----------------------------------------------------------------
이름: pdts-rule-meta-failed
rule-meta 할당에 실패하여 플로우가 종료되면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: tcp-full-proxy-required
전체 TCP 프록시가 필요한데 모니터 전용 모드에서는 해당 기능을 사용할 수 없음:
이 플로우에는 전체 TCP 프록시가 필요한데 모니터 전용 모드에서는 해당 기능을 사용할 수 없습니다.
----------------------------------------------------------------
시스템이 더 낮은 비용(더 효율적인 메트릭)의 경로를 추가하면 새 경로와 일치하는 수신 패킷의 경우
사용자가 구성한 시간 제한 이후 기존 연결이 해제됩니다. 후속 패킷은 더 효율적인 메트릭을 사용하여 인터페이스에서 연결을 다시 작성합니다.
비용이 더 낮은 경로 추가 시 활성 플로우에는 영향이 없도록 하려는 경우 'floating-conn' 컨피그레이션 시간 제한 값을 0:0:0으로 설정할 수 있습니다.
----------------------------------------------------------------
SVC VPN 내부 정책 선택기 불일치 탐지됨:
터널용 정책과 일치하지 않는 내부 IP 헤더가 포함된 SVC 패킷이 수신되면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
이름: vPath-license-failure
vPath 라이선스 장애로 인해 플로우가 종료됨:
ASA 1000V의 라이선스 장애로 인해 플로우가 삭제되었습니다.
Nexus 1000V를 검사하여 사용 중인 모든 ASA 1000V 가상 머신을 지원하기에 충분한 ASA 1000V 라이선스가 설치되어 있는지 확인하십시오. "show license"를 사용하여 ASA 1000V에 대해 사용 가능한 라이선스를
확인하고, "show license usage"를 사용하여 해당 라이선스의 상태를 확인하십시오.
----------------------------------------------------------------
이름: svc-conn-timer-cb-fail
연결의 비동기 잠금 큐에 이벤트를 추가하려는 시도가 실패하면 이러한 현상이 발생합니다.
----------------------------------------------------------------
이름: svc-udp-conn-timer-cb-fail
연결의 비동기 잠금 큐에 이벤트를 추가하려는 시도가 실패하면 이러한 현상이 발생합니다.
----------------------------------------------------------------
이름: nat64/46-conversion-fail
IPv6 트래픽과 IPv4 트래픽 간의 변환에서 장애가 발생하면 이러한 현상이 나타납니다.
----------------------------------------------------------------
이름: cluster-cflow-clu-closed
CLU가 포함된 클러스터 플로우가 소유자에서 닫힘:
디렉터/백업 장치가 소유자 장치에서 클러스터 플로우 CLU 삭제 메시지를 수신하여 플로우를 종료했습니다.
소유자 장치에서 해제되는 모든 복제 CLU에 대해 이 카운터의 값이 증가해야 합니다.
----------------------------------------------------------------
이름: cluster-cflow-nat-pool-removed
존재하지 않는 NAT 풀로 인해 클러스터 플로우가 제거됨:
이미 제거된 NAT 풀 IP를 참조하므로 디렉터/백업 플로우가 삭제되는 중입니다.
----------------------------------------------------------------
이름: cluster-cflow-stale-clu-closed
오래된 소유자로 인해 CLU가 있는 클러스터 플로우가 제거됨:
오래된 소유자 정보가 있으므로 클러스터 플로우가 제거되었습니다. 이는 일반적으로 신뢰할 수 있는 메시지가 아니므로 CLU_DELETE가 누락되어 오래된 정보가 생길 수 있습니다.
----------------------------------------------------------------
이름: cluster-cflow-clu-timeout
유휴 시간 제한으로 인해 CLU가 포함된 클러스터 플로우가 제거됨:
디렉터/백업 장치가 소유자에서 주기적 업데이트를 더 이상 수신하지 않으면 CLU가 포함된 클러스터 플로우는 유휴 상태로 간주됩니다. 플로우가 활성 상태이면 고정된 간격으로 업데이트가 수신되어야 합니다.
----------------------------------------------------------------
플로우가 클러스터 리디렉션 분류 규칙과 일치함:
앞으로는 스텁 전달 플로우가 플로우를 소유한 클러스터 장치로 패킷을 전달합니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 CCL(Cluster Control Link)을 통해 소유자에게 전달되었습니다.
----------------------------------------------------------------
이름: cluster-drop-on-slave
플로우가 클러스터 슬레이브에서 삭제 분류 규칙과 일치함:
마스터 장치에서만 처리하면 되는 L3 서브넷의 패킷이 모든 장치에 표시되는 경우에 해당됩니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다. 패킷은 마스터에 의해 처리됩니다.
----------------------------------------------------------------
이름: cluster-director-change
클러스터 죠인 이벤트로 인해 플로우 디렉터가 변경됨:
새 장치가 클러스터에 조인되어 현재 플로우의 디렉터로 지정되어 있습니다. 오래된 디렉터/백업은 해당
플로우를 제거했으며, 플로우 소유자가 새 디렉터를 업데이트할 예정입니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-mcast-owner-change
클러스터 죠인 또는 이탈로 인해 멀티캐스트 플로우 소유자가 변경됨:
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-convert-to-dirbak
전달 또는 리디렉션 플로우가 디렉터 또는 백업 플로우로 변환됨:
디렉터 또는 백업 플로우를 작성할 수 있도록 전달 또는 리디렉션 플로우가 제거되었습니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-mobility-owner-removed
플로우 모빌리티가 이 플로우를 다른 장치로 이동했습니다. 이 오래된 소유자는 제거됩니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-mobility-fwder-removed
플로우 모빌리티가 이 플로우를 다른 장치로 이동했습니다. 이 오래된 전달자는 백업으로 변환되므로 제거될 예정입니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-mobility-backup-removed
플로우 모빌리티가 이 플로우를 다른 장치로 이동했습니다. 새 소유자 및 디렉터가 다른 노드에 있으므로 이 백업은 제거됩니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-mobility-owner-2-dir
플로우 모빌리티의 오래된 소유자/디렉터가 디렉터로만 변경됨:
플로우 모빌리티가 이 플로우를 다른 장치로 이동했습니다. 이 장치는 소유자 겸 디렉터였으나 현재는 디렉터 플로우만 호스트합니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: inspect-scansafe-server-not-reachable
ScanSafe 서버가 구성되지 않았거나 클라우드가 다운됨:
ScanSafe 서버 IP가 ScanSafe 일반 옵션에 지정되어 있지 않거나 ScanSafe 서버에 연결할 수 없습니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
다른 소유자에 의해 기존 소유자가 재정의되고 이후에 디렉터로 지정됨:
다른 장치가 플로우를 소유하여 플로우를 삭제하고 이후에 디렉터 플로우를 대신 생성하도록 요청합니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
다른 소유자에 의해 기존 소유자가 재정의되고 이후에 전달자로 지정됨:
다른 장치가 플로우를 소유하여 플로우를 삭제하고 이후에 전달자 플로우를 대신 생성하도록 요청합니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-director-closed
소유자 장치가 디렉터 장치에서 클러스터 플로우 CLU 삭제 메시지를 수신하여 플로우를 종료했습니다.
디렉터 장치에서 해제되는 모든 복제 CLU에 대해 이 카운터의 값이 증가해야 합니다.
----------------------------------------------------------------
이름: cluster-pinhole-master-change
마스터가 변경되어 마스터 전용 핀홀 플로우가 벌크 동기화에서 제거됨:
클러스터 마스터가 변경되어 마스터 전용 핀홀 플로우가 벌크 동기화 중에 제거되었습니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-parent-owner-left
상위 플로우가 이탈하여 벌크 동기화에서 플로우가 제거됨:
상위 플로우의 소유자가 클러스터에서 이탈하여 벌크 동기화 중에 플로우가 제거되었습니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-ctp-punt-channel-missing
CTP 펀트 채널이 누락되어 벌크 동기화에서 플로우가 제거됨:
클러스터의 복원된 플로우에서 CTP 펀트 채널이 누락되어 벌크 동기화에서 플로우가 제거되었습니다.
클러스터 마스터가 방금 클러스터에서 이탈했을 수 있습니다. 그리고 CCL(Cluster Control Link)에서
패킷이 삭제되었을 수 있습니다.
----------------------------------------------------------------
이름: invalid-vxlan-segment-id
플로우에 잘못된 VXLAN segment-id가 연결되어 있음을 보안 어플라이언스가 확인하면 이 카운터의 값이
증가합니다.
----------------------------------------------------------------
보안 어플라이언스가 플로우에 대해 VNI 인터페이스의 NVE 인터페이스를 식별하지 못하면 이 카운터의 값이 증가합니다.
모든 인터페이스에 대해 NVE가 구성되어 있는지 확인합니다.
----------------------------------------------------------------
보안 어플라이언스가 플로우에 대한 피어 NVE의 IP와 MAC 주소를 가져오지 못하면 이 카운터의 값이 증가합니다.
NVE에 대해 피어 NVE가 구성되어 있거나 확인 가능한 상태인지 확인합니다.
----------------------------------------------------------------
보안 어플라이언스가 플로우에 대해 VXLAN을 통해 패킷을 캡슐화하지 못하면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
보안 어플라이언스가 피어 NVE에 대한 다음 홉을 찾지 못하면 이 카운터의 값이 증가합니다.
소스 인터페이스를 통해 피어 NVE에 연결할 수 있는지 확인하십시오.
----------------------------------------------------------------
이름: vxlan-invalid-vni-mcast-ip
보안 어플라이언스가 VNI 인터페이스에서 멀티캐스트 그룹 IP를 가져오지 못하면 이 카운터의 값이
증가합니다.
피어 NVE가 구성되어 있지 않은 경우 VNI 인터페이스에 유효한 멀티캐스트 그룹 IP가 구성되어 있는지 확인하십시오.
----------------------------------------------------------------
이름: vxlan-missing-peer-vtep-ip
보안 어플라이언스가 VXLAN 캡슐화를 위한 내부 대상 IP의 피어 VTEP IP를 찾지 못하면 이 카운터의 값이 증가합니다.
show arp vtep-mapping/show mac-address-table vtep-mapping/show ipv6 neighbor vtep-mapping에서 원하는 원격 내부 호스트용 VTEP IP가 있는지 확인하십시오.
----------------------------------------------------------------
이 이유는 상위 인터페이스가 영역에 조인하거나 영역에서 이탈하여 플로우를 종료하는 이유로 제시됩니다.
302014, 302016, 302018, 302021, 302304
----------------------------------------------------------------
이름: flow-missing-snort-info
Snort 검사 시 플로우에서 pdts Snort 정보가 누락됨:
이 이유는 연결에 Snort 관련 구조가 없어 플로우를 종료하는 이유로 제시됩니다.
----------------------------------------------------------------
이 이유는 상위 인터페이스가 한 VRF에서 다른 VRF로 이동하여 플로우를 종료하는 이유로 제시됩니다.
----------------------------------------------------------------
이 이유는 새 VPN 스텁 연결을 준비하면서 충돌하는 연결을 해제하는 이유로 제시됩니다.
----------------------------------------------------------------
이름: cluster-cflow-isakmp-owner-closed
ISAKMP 소유자에서 클러스터 플로우가 닫힘:
디렉터/백업 장치가 전달 장치에서 ISAKMP 리디렉션 패킷을 수신하여 플로우를 종료했습니다.
ISAKMP 소유자 장치의 ISAKMP 리디렉션 패킷으로 인해 cflow가 해제될 때마다 이 카운터의 값이 증가해야 합니다.
----------------------------------------------------------------
이름: vpn-context-association-failure
VPN 컨텍스트를 클러스터 플로우와 연결하지 못하면 이 카운터의 값이 증가합니다.
----------------------------------------------------------------
SPI가 손상되거나 만료된 IKE 패킷에 대한 플로우가 제거됨:
SPI가 손상되거나 만료되어 이 플로우의 IKE 패킷이 삭제되면 이 카운터의 값이 증가하며 플로우가
삭제됩니다.
시스템 로그에서 패킷 원본에 대한 자세한 정보를 확인하십시오. 이 상황은 정상이며 일시적으로 나타날
수 있습니다. 삭제가 계속될 경우 TAC에 연락하여 문제를 추가로 조사하십시오.
----------------------------------------------------------------
이름: max-retries-of-retransmission-exceeded
TCP 패킷이 최대 재전송 재시도 횟수를 초과하여 피어가 응답하지 않으므로 연결이 해제되었습니다.
----------------------------------------------------------------
이름: probe-max-retries-of-retransmission-exceeded
TCP 패킷이 최대 프로브 재전송 재시도 횟수를 초과하여 피어가 응답하지 않으므로 연결이 해제되었습니다.
----------------------------------------------------------------
이름: probe-max-retransmission-time-elapsed
TCP 패킷에 대한 최대 프로브 시간이 경과하여 피어가 응답하지 않으므로 연결이 해제되었습니다.
----------------------------------------------------------------
이름 : probe-retransmit-invalid-timeout
잘못된 프로브 시간 초과로 플로우가 전체 프록시로 이동했으므로 연결이 해제되었습니다.
----------------------------------------------------------------
이름: probe-received-tcp-reset
프로브 연결이 서버에서 RST를 수신하여 연결이 해제되었습니다.
----------------------------------------------------------------
이름: probe-received-tcp-fin
프로브 연결이 서버에서 FIN을 수신하여 연결이 해제되었습니다.
----------------------------------------------------------------
프로브 연결에 성공하여 연결이 해제되었습니다.
----------------------------------------------------------------
이름: cluster-dup-owner-to-dir
중복된 소유자 플로우가 탐지되었으며 기존 소유자가 이후에 디렉터로 지정됨:
다른 장치가 플로우를 소유하여 플로우를 삭제하고 이후에 디렉터 플로우를 대신 생성해야 합니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-dir-removed-dup-owner
다른 장치가 플로우를 소유하고 있으므로 디렉터가 이 장치에서 플로우를 삭제했습니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: cluster-removed-stale-stub
이는 오래된 스텁 플로우이므로 소유자가 이 장치에서 플로우를 삭제했습니다.
이 카운터는 정보 제공용이며 이러한 동작은 정상적인 현상입니다.
----------------------------------------------------------------
이름: invalid-map-address-port
MAP(Mapping of Address and Port) 도메인 기본 매핑 규칙과 일치하는 주소를 갖는 패킷에 일관되지
않은 인코딩이 있거나 사용된 포트 번호가 할당된 범위 내에 있지 않습니다.
MAP BR 컨피그레이션과 CE 컨피그레이션이 동일한 MAP 도메인 내에서 일관된지 확인하십시오. 이는 비승인 MAP CE에서 할당되지 않은 포트를 악의적으로 사용하려고 하는 경우에도 발생할 수 있습니다.
----------------------------------------------------------------
피드백