セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA セキュリティ アプライアンスに関する FAQ

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 8 月 30 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


質問


概要

このドキュメントでは、PIX 500 シリーズや ASA 5500 シリーズ アプライアンスなどの Cisco セキュリティ アプライアンスに関して最もよくある質問(FAQ)について回答します。

このドキュメントの対象読者は、CLI コマンドとその機能を理解しており、以前のバージョンの PIX ソフトウェアを設定した経験のあるセキュリティ アプライアンス管理者です。

ソフトウェア バージョンとの互換性

Q. PIX 7.x は、どのデバイスでサポートされていますか。

A. PIX 515、PIX 515E、PIX 525、PIX 535、およびすべての Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス(ASA 5510、ASA 5520、ASA 5540)が、ソフトウェア バージョン 7.x 以降をサポートします。

PIX 501、PIX 506E、および PIX 520 セキュリティ アプライアンスは、ソフトウェア バージョン 7.x ではサポートされません。

Q. ソフトウェア バージョン 6.x で動作する PIX 515/515E モデルを所有しており、7.x にアップグレードしたいと考えています。 これは可能ですか。

A. はい。必要なメモリ モジュールがあれば、可能です。 PIX 515/515E をアップグレードする前に、『Cisco PIX 515/515E セキュリティ アプライアンスでの PIX ソフトウェア v7.0 用メモリ アップグレード』を参照して、具体的なメモリ要件を調べてください。

Q. PIX 7.0 での変更点と新機能には何がありますか。 バージョンを 6.x から 7.x にアップグレードしたときに、古い機能は自動的に考慮されるのですか。

A. PIX 7.0 の変更点と新機能に関する詳細は、『PIX セキュリティ アプライアンス バージョン 7.0 での変更点』を参照してください。

変更および廃止された機能とコマンドのほとんどは、システムで PIX セキュリティ アプライアンス 7.x をブートした時点で、自動的に変換されます。 いくつかの機能やコマンドでは、アップグレード前またはアップグレード中に手動での介入が必要になります。 詳細は、『変更および廃止された機能とコマンド』を参照してください。

設定の問題

Q. バージョン 7.x が稼働するセキュリティ アプライアンス用の基本設定はどのように実行しますか。

A. 『Cisco セキュリティ アプライアンス コマンドライン設定ガイド、バージョン 7.1』の「基本設定」セクションを参照してください。

Q. PIX 7.x では、インターフェイスをどのように設定するのですか。

A. PIX/ASA 7.0 ルータに類似し、Cisco IOS を切り替えるセットアップはありますか。 できるだけ密接に。 PIX/ASA 7.0 では、設定は次のようになります。

interface Ethernet0
         description Outside Interface
         speed 100
         duplex full
         nameif outside
         security-level 0
         ip address 10.10.80.4 255.255.255.0 standby 10.10.80.6

詳細は、『PIX 7.0 でのインターフェイス パラメータの設定』を参照してください。

Q. ASA または PIX でのアクセス リスト(ACL)の作成方法を教えてください。

A. アクセス リストは、同じアクセス リスト ID を持つ 1 つまたは複数のアクセス コントロール エントリ(ACE)で構成されます。アクセス リストは、ネットワーク アクセスを制御するため、または多くの機能が動作する対象のトラフィックを指定するために使用します。 ACE を追加するには、グローバル コンフィギュレーション モードで access-list <ID> extended コマンドを使用します。 ACE を削除するには、このコマンドの no 形式を使用します。 アクセス リスト全体を削除するには、clear configure access-list コマンドを使用します。

次の access-list コマンドでは、(アクセス リストを適用しているインターフェイス上の)すべてのホストがセキュリティ アプライアンスを通過できます。

hostname(config)#access-list ACL_IN extended permit ip any any

アクセス リストは、セキュリティ アプライアンスを通過するトラフィックを制御するように設定されている場合、有効になる前に、access-group コマンドをインターフェイスに適用する必要があります。 各インターフェイスの各方向に適用できるのは 1 つのアクセス リストだけです。

あるインターフェイスの受信方向または送信方向に拡張アクセス リストを適用するには、次のコマンドを入力します。

hostname(config)#access-group access_list_name {in | out} interface interface_name 
[per-user-override]

次の例は、セキュリティ アプライアンス経由でネットワーク 10.0.0.0 /24 を許可する Inside インターフェイスに適用される受信アクセス リストを示しています。

hostname(config)#access-list INSIDE extended permit ip 10.0.0.0 255.255.255.0 any
hostname(config)#access-group INSIDE in interface inside

次の例は、セキュリティ アプライアンスの外部にあるすべてのホストに 172.20.1.10 にあるサーバへの Web アクセスをセキュリティ アプライアンス経由で持つことを許可する Outside インターフェイスに適用される受信アクセス リストを示しています。

hostname(config)#access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www
hostname(config)#access-group OUTSIDE in interface outside

注: アクセス リストの最後には、黙示的に「deny」が含まれています。 これは、ACL が適用された後は、ACL 内の ACE で明示的に許可されていないトラフィックはすべて拒否されることを意味します。

Q. 他のインターフェイスのようにトラフィックを通過させるために、ASA 上で management0/0 インターフェイスを使用できますか。

A. はい。 詳細は、management-only コマンドを参照してください。

Q. セキュリティ アプライアンスのセキュリティ コンテキストとはどういう意味ですか。

A. 単一のハードウェア PIX は、セキュリティ コンテキストと呼ばれる複数の仮想デバイスにパーティショニングできます。 それぞれのコンテキストは独立したデバイスになり、それら独自のセキュリティ ポリシー、インターフェイス、管理者があります。 複数のコンテキストは、複数の独立したデバイスのようなものです。 多くの機能はマルチ コンテキスト モードでサポートされており、ルーティング テーブル、ファイアウォール機能、IPS、管理を備えています。 VPN とダイナミック ルーティング プロトコルを含む、一部の機能はサポートされていません。

Q. ASA や PIX では VPN ユーザのグループロック機能はどのように設定するのですか。

A. グループ ロックを設定するには、Remote Authentication Dial-In User Service(RADIUS)サーバのクラス属性 25 にグループ ポリシー名を送信し、ポリシー内のユーザをロックするためにグループを選択します。

たとえば、Cisco 123 ユーザを RemoteGroup グループにロックするには、RADIUS サーバ上のこのユーザに対して Internet Engineering Task Force(IETF)属性 25 クラス OU=RemotePolicy を定義します。

Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)/PIX にグループ ロックを設定するには、次の設定例を参照してください。

group-policy RemotePolicy internal
group-policy RemotePolicy attributes
dns-server value x.x.x.x
group-lock value RemoteGroup

tunnel-group RemoteGroup type ipsec-ra
tunnel-group RemoteGroup general-attributes
address-pool cisco
authentication-server-group RADIUS-Group
default-group-policy RemotePolicy

注:  OU は、グループ ポリシーを設定し、グループ ポリシーはユーザを優先 tunnel-group にロックします。

Cisco Secure ACS for Windows を設定するために、RADIUS サーバで、ASA に設定された特定のグループにユーザをロックします。

Q. PIX/ASA でパケットをキャプチャするにはどうすればよいですか。

A. パケット キャプチャ機能を使用すれば、PIX/ASA でパケットをキャプチャできます。 パケット キャプチャ機能の設定方法の詳細は、『ASA/PIX/FWSM: CLI および ASDM の設定例を使用してキャプチャするパケット』を参照してください。

Q. HTTP トラフィックを ASA の HTTPS にリダイレクトするにはどうすればよいですか。

A. グローバル コンフィギュレーション モードで http redirect コマンドを発行して、セキュリティ アプライアンスが HTTP 接続を HTTPS にリダイレクトするように指定します。

hostname(config)#http redirect interface [port] 

Q. ASA は、ホストの MAC アドレスについてどのように学習するのですか。

A. レイヤ 2 ヘッダーに ARP 情報がある ASA に SYN パケットを発行する場合であっても、ASA は直接接続されたサブネット内のホストに ARP 要求を発行します。 ファイアウォールは、SYN パケットからホストの MAC アドレスを学習せずに、ホストに対して ARP 要求を発行する必要があります。 ホストが ARP 要求に応答しない場合、ASA はパケットをドロップします。

Q. 物理インターフェイスをトランキングし、複数の物理インターフェイスを使用する代わりにサブインターフェイスを使用する場合、Cisco ASA に直接影響を与えますか。

A. いいえ。パケットの 802.1q ヘッダーに必要な追加処理のほかに、Cisco ASA に大きな影響は与えるものはありません。

Q. Cisco ASA の同じセキュリティ インターフェイス間にの NAT/PAT を設定できますか。

A. はい。 Cisco ASA ソフトウェア リリース 8.3 以降で設定できます。

ソフトウェアのアップグレードの問題

Q. PIX を 6.x から 7.x にアップグレードしました。 アップグレード後、トラフィック量が同じなのに CPU の使用率が 8 ~ 10% 高くなっていることに気づきました。 この増加は正常な状態ですか。

A. PIX 7.0 では、6.x のバージョンと比較して syslog の量が 3 倍になっており、さらに新機能が追加されています。 6.x に比べて CPU 使用率が増加するのは、正常な状態です。

接続性の問題

Q. セキュリティ アプライアンス 7.0 を使用しているときに Outside インターフェイスの外側に ping できません。 これはどのように解決すればよいですか。

A. PIX 7.x では、内部ユーザが外部に ping するのに 2 つのオプションがあります。 最初のオプションは、エコー メッセージの各タイプに特定のルールを設定することです。 次に、例を示します。

access-list 101 permit icmp any any echo-reply
        access-list 101 permit icmp any any source-quench 
        access-list 101 permit icmp any any unreachable  
        access-list 101 permit icmp any any time-exceeded
        access-group 101 in interface outside

これにより、内部ユーザが外部ホストに PING する際に、ファイアウォールでこれらのリターン メッセージだけが許可されます。 他のタイプの ICMP ステータス メッセージは阻止対象とされ、ファイアウォールでは、他のすべての ICMP メッセージがブロックされます。

もう 1 つのオプションは、ICMP インスペクションを設定することです。 これにより、信頼できる IP アドレスのファイアウォール通過が許可され、信頼できるアドレスへの応答だけが許可されます。 これにより、すべての内部インターフェイスは外部に対して ping を実行できるようになり、ファイアウォールは応答を返せるようになります。 さらに、ファイアウォールを通過する ICMP トラフィックを監視できるという利点があります。

次に、例を示します。

policy-map global_policy
    class inspection_default
     inspect icmp

Q. VPN トンネル経由で接続すると、セキュリティ アプライアンスの Inside インターフェイスにアクセスできません。 これを実現するにはどうすればいいですか。

A. グローバル コンフィギュレーション モードで management-access が設定されていない限り、セキュリティ アプライアンスの Inside インターフェイスには Outside からアクセスできず、Outside インターフェイスには Inside からアクセスできません。 management-access を有効にした場合は、適切なホストに対して Telnet、SSH、または HTTP アクセスを設定する必要があります。

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

Q. ASA の VPN トンネル経由で IP Phone に接続できないのですが、その理由は何ですか。

A. 認証の問題である可能性があります。 IP Phone ユーザ グループで認証(X-auth)がイネーブルになっていることを確認してください。

ASDM 関連

Q. ASA/PIX の ASDM をイネーブルまたはアクセス可能にするにはどうすればよいですか。

A. ASDM を使用するには、HTTPS サーバをイネーブルにして、セキュリティ アプライアンスへの HTTPS 接続を許可する必要があります。 これらのすべての作業は、setup コマンドを使用することで完了します。

詳細は、『ASDM 用の HTTPS アクセスの許可』を参照してください。

サポートされている機能

Q. セキュリティ アプライアンスの 2 つの動作モードは何ですか。

A. PIX セキュリティ アプライアンスは、次の 2 つの異なるファイアウォール モードで動作できます。

  1. ルーテッド モード:ルーテッド モードでは、PIX のインターフェイスに IP アドレスが割り当てられており、PIX を通過するパケットに対してルータ ホップとして機能します。 トラフィック検査と転送決定は、すべて、レイヤ 3 のパラメータに基づいて行われます。 これは、7.0 よりも前のバージョンの PIX ファイアウォールが動作する仕組みです。

  2. トランスペアレント モード:トランスペアレント モードでは、PIX のインターフェイスには IP アドレスは割り当てられていません。 その代わりに、PIX は MAC アドレス テーブルを維持し、それに基づいて転送デシジョンを行うレイヤ 2 ブリッジとして機能します。 完全拡張 IP アクセス リストを使用することは引き続き可能であり、ファイアウォールはどのレイヤの IP アクティビティでも検査できます。 この動作モードでは、PIX は、「Bump-In-The-Wire(BITW)」あるいは「ステルス ファイアウォール」と呼ばれることもよくあります。 ルーテッド モードと比較すると、トランスペアレント モードが動作する仕組みにはその他に次の重要な相違点があります。

    • サポートされるのは Inside および Outside という 2 つのインターフェイスだけ

    • PIX がホップではなくなったので、NAT はサポートされておらず、不要です。

      注: NAT と PAT は、ASA/PIX リリース 8.0(2) 以降のトランスペアレント ファイアウォールではサポートされます。

トランスペアレント モードでセキュリティ アプライアンスを設定する方法の詳細は、『PIX/ASA: 透過型ファイアウォールの設定例』を参照してください。 詳細は、『透過モードでの NAT』を参照してください。

注: トランスペアレント モードとルーテッド モードはセキュリティへのアプローチが異なるので、PIX がトランスペアレント モードに切り替えられると、動作中の設定はクリアされます。 ルーテッド モードの動作中の設定は、フラッシュまたは外部サーバに保存するようにしてください。

Q. ASA は ISP ロード バランシングをサポートしますか。

A. いいえ。ロード バランシングは、セキュリティ アプライアンスにトラフィックを受け渡すルータによって処理される必要があります。

Q. BGP を使用した MD5 認証は ASA 経由でサポートされますか。

A. いいえ。MD5 認証は ASA 経由ではサポートされません。ただし、回避策としてそれをディセーブルにすることはできます。 詳細は、『PIX/ASA 7.x: ASA を経由する BGP の設定例』を参照してください。

Q. PIX/ASA は EtherChannel/ポートチャネル インターフェイスをサポートしますか。

A. はい。EtherChannel のサポートは、ASA ソフトウェア バージョン 8.4 で導入されました。 最大 48 個の 802.3ad EtherChannel(1 つあたりのアクティブ インターフェイス 8 個)を設定できます。 詳細は、『ASA バージョン 8.4 のリリース ノート』を参照してください。

Q. Anyconnect と Cisco VPN Client は ASA 上で同時に動作しますか。

A. はい、両者は相互に関係してはいないので、同時に動作します。 Anyconnect は SSL 上で動作し、Cisco VPN Client は IPSEC 上で動作します。

Q. ASA/PIX は Skype をブロックできますか。

A. 残念ながら、PIX/ASA は Skype トラフィックをブロックできません。 Skype には、ダイナミック ポートとネゴシエートし、暗号化されたトラフィックを使用する機能があります。 トラフィックが暗号化されているので、検索するパターンが存在せず、事実上 Skype を検出するのは不可能です。

最終的には、Cisco Intrusion Prevention System(IPS; 侵入防御システム)を使用できます。 これには、バージョンを同期させるために Skype サーバに接続する Windows Skype Client を検出できるいくつかの署名があります。 これは通常はクライアントが接続を開始するときに行われます。 センサーが最初の Skype 接続をピックアップするときに、そのサービスを誰が使用しているのかを発見でき、その IP アドレスから開始されたすべての接続をブロックすることができます。

Q. ASA は SNMPv3 をサポートしますか。

A. はい。 Cisco ASA ソフトウェア リリース 8.2 は、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)バージョン 3 という、最新バージョンの SNMP をサポートし、プロトコル動作をセキュアにするために、認証とプライバシーのオプションを追加します。

Q. IP アドレスではなく、名前でエントリをログに記録する方法はありますか。

A. 名前と IP アドレスとの関連付けを可能にするにするには names コマンドを使用します。 1 つの名前に関連付けられるのは、1 つの IP アドレスだけです。 先に names コマンドを使用してから name コマンドを使用する必要があります。 names コマンドを使用した直後に、name コマンドを使用し、その後 write memory コマンドを使用します。

name コマンドでは、テキスト名と IP アドレスへのマップ テキスト文字列によってホストを識別できます。 設定から名前のリストを消去するには、clear configure name コマンドを使用します。 ログしている名前の値をディセーブルにするには、no names コマンドを使用します。 name コマンドと names コマンドは、両方とも設定に保存されます。

Q. ip accounting コマンドは PIX/ASA 7.x で利用できますか。

A. いいえ。

Q. セキュリティ アプライアンス 7.0 は Are You There(AYT)機能をサポートしますか。

A. はい。 AYT のシナリオでは、リモート ユーザが PC 上にパーソナル ファイアウォールをインストールしていることになっています。 VPN Client は、ローカル ファイアウォール上で定義されたファイアウォール ポリシーを強制し、ファイアウォールが動作中であることを確認するために監視します。 ファイアウォールが動作を停止した場合、VPN Client は PIX または ASA への接続を廃棄します。 このファイアウォールの強制メカニズムを Are You There(AYT)と呼びます。その理由は、VPN Client がファイアウォールに対して「そこにいますか」 メッセージを定期的に送信することでファイアウォールを監視するからです。 応答が戻ってこない場合、VPN Client はファイアウォールがダウンしたことを認識し、PIX セキュリティ アプライアンスへの接続を終了します。 これらの PC ファイアウォールは、ネットワーク管理者があらかじめ設定している可能性がありますが、この方法により、ユーザが独自の設定にカスタマイズできます。

Q. セキュリティ アプライアンス経由で、TLS/SSL を使用した FTP はサポートされていますか。

A. いいえ。 通常の FTP 接続では、クライアントかサーバのいずれかが他方に、データ転送に使用するポートを通知する必要があります。 PIX は、このやりとりを監視して、そのポートをオープンにできます。 ところが、TLS/SSL を使用した FTP では、このやりとりは暗号化され、PIX はどのポートをオープンするのかを判別できません。 そして、TLS/SSL を使用した FTP 接続は最終的に失敗します。

この状況で 1 つの可能な回避策として、データ チャネルを暗号化するために引き続き TLS/SSL を使用しながら、「clear command channel」の使用をサポートする FTP クライアントを使用することがあります。 このオプションをイネーブルにすると、PIX では、どのポートをオープンする必要があるかが判断できます。

Q. セキュリティ アプライアンスは DDNS をサポートしますか。

A. はい。セキュリティ アプライアンスは DDNS をサポートします。 詳細は、「Dynamic DNS の設定」を参照してください。

Q. PIX は WebVPN/SSL VPN をサポートしていますか。

A. いいえ。ただし、これは Cisco 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)でサポートされています。

Q. PIX は Cisco AnyConnect VPN Client をサポートしていますか。

A. いいえ。これは Cisco 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)だけでサポートされています。

Q. PIX は AIP-SSM や CSC-SSM のようなサービス モジュールをサポートしていますか。

A. いいえ。

Q. Cisco セキュリティ アプライアンスは IPsec Manual Keying(手動暗号化)をサポートしていますか。

A. いいえ。

Q. ASA は NT を使用したパスワード管理をサポートしますか。

A. ASA は NT を使用したパスワード管理をサポートしません。

注: セキュリティ アプライアンスは、RADIUS および LDAP プロトコルのパスワード管理をサポートします。

Q. Cisco 5500 シリーズ ASA は、Cisco ルータのような Policy Based Routing(PBR; ポリシー ベース ルーティング)を実行できますか。 たとえば、メール トラフィックは最初の ISP にルーティングされ、http トラフィックは 2 番目の ISP にルーティングされるといったことです。

A. 残念ながら、現時点で ASA でポリシー ベース ルーティングを実行する方法はありません。 これは、将来 ASA に追加される機能になる可能性があります。

注: route-map コマンドは、OSPF および RIP などのルーティング プロトコル間でメトリックを使用してルートを再配布する方法とルータのようにポリシー ルートの通常のトラフィックを再配布しない方法を制御するために使用されます。

Q. ASA 5510 を Easy VPN クライアントとして使用できますか。

A. いいえ。Easy VPN クライアント設定は、ASA 5505 だけでサポートされています。

Q. ASA は非対称ルーティングをサポートしていますか。

A. ASA はバージョン 8.2(1) 以降で非対称ルーティングをサポートしています。 8.2(1) よりも前のバージョンの ASA ではサポートされていません。

Q. ASA の VPN のトンネル経由でダイナミック ルーティングを設定できますか。

A. いいえ。 これは、ASA ではまだサポートされていない、トンネル インターフェイスを使用することでのみ可能です。

Q. ASA は PPTP クライアントをサポートしていますか。

A. いいえ。

Q. ASA は、DSCP 値でのパケットの QoS マーキングをサポートしていますか。

A. いいえ。ASA は、DSCP トラフィックの照合と、それを DSCP 値を変更せずに次のホップ デバイスに渡すことだけをサポートします。 詳細は、「DSCP と DiffServ の保存」を参照してください。

Q. ASA/PIX バージョン 7.0 以降でサポートされる IPsec トランスフォーム(ESP、AH)は何ですか。

A. IPsec Encapsulating Security Payload(ESP)の暗号化と認証だけがサポートされます。 Authentication Header(AH)トランスフォームは ASA/PIX バージョン 7.0 以降ではサポートされません。

Q. ASA は Universal Plug and Play(UPnP; ユニバーサル プラグアンドプレイ)機能をサポートしますか。

A. いいえ。ASA は、現時点では Universal Plug and Play(UPnP; ユニバーサル プラグアンドプレイ)機能をサポートしません。

Q. ASA は発信元ベース ルーティングをサポートしていますか。

A. いいえ。

Q. H.329 トラフィックは PIX/ASA 8.1 以降を通過しますか。

A. いいえ。

Q. ASA は H.460 プロトコル検査をサポートしていますか。

A. いいえ。

Q. ASA は、認証後に直接イネーブル モードにユーザをログインさせる EXEC 認可をサポートしていますか。

A. いいえ。EXEC 認可機能は ASA ではサポートされていません。

Q. ASA はブロードキャスト トラフィックがインターフェイスを通過することを許可しますか。

A. いいえ。

Q. 5505 ASA の間で L2L VPN の 2 要素認証を設定することはできますか。

A. 2 要素認証は、AnyConnect と SSL VPN だけを対象として、ASA バージョン 8.2.x 以降で設定できます。 L2L VPN に対して 2 要素認証を設定することはできません。

Q. 1 つの ASA に 2 つの電話プロキシを追加することはできますか。

A. いいえ。 1 つの ASA に 2 つの電話プロキシを追加することは、ASA でサポートしていないので、できません。

Q. ASA は NetFlow 設定をサポートしますか。

A. はい。この機能は Cisco ASA バージョン 8.1.x 以降でサポートされています。 完全な実装についての詳細は、『Cisco NetFlow 実装』ガイドを参照してください。 完全な設定の概要については、『NetFlow セキュア イベント ロギングの設定』の「NewFlow セキュア イベント ロギングの設定例」セクションを参照してください。

Q. ASA は Sharepoint をサポートしますか。

A. ASA 7.1 と 7.2 は Sharepoint をサポートしません。 Sharepoint 2003(2.0 および 3.0)は ASA バージョン 8.x 以降でのサポートされます。 pureclientless モード(smarttunnels なし、Port Forwarder なし)での Sharepoint 2.0 および 3.0 の Office ドキュメントを編集もサポートされます。 同様に、スマート トンネルも ASA 8.0.4 時点で使用できます。 4. 8.0 の Sharepoint 2003 でサポートされるすべての基本的な機能は、ASA バージョン 8.2 5.の 2007 でサポートされます。

Q. ASA は、Android デバイスのネイティブ L2TP/IPsec クライアントをサポートしますか。

A. Android は、完全な RFC 準拠ではなく、バージョン 8.4.1 以降の Cisco ASA でサポートされます。 詳細は、『サポートされるクライアント』を参照してください。

Q. ASA で設定できる ACL の最大数はいくつですか。

A. ASA で設定できる ACL の数値の制限は定義されていません。 ASA に存在するメモリによって異なります。

Q. SNMP を使用して ASA 設定をバックアップできますか。

A. いいえ。これを行うには、Cisco Config Copy MIB を必要とする SNMP writenet を使用する必要があります。 現在、この特定の MIB は Cisco ASA ではサポートされていないためサポートされません。

Q. Cisco ビデオ ユニット間のテレビ会議のコール中にラップトップのプレゼンテーションを開始できません。 ビデオ コールは問題なく動作しますが、ラップトップからのビデオ プレゼンテーションが動作しません。 この問題はどうすれば解決しますか。

A. ラップトップからのプレゼンテーションを使用すテレビ会議は H.239 プロトコルで動作します。8.2 より前の Cisco ASA ソフトウェア バージョンではサポートされていません。 テレビ会議でデータ表示を確実に実行できるようにするには、Cisco ASA がビデオ エンド ポイント間の H.239 の適切なネゴシエーションをサポートする必要があります。 このサポートを利用できるのは Cisco ASA ソフトウェア リリース 8.2 以降です。 この問題を解決するには、ソフトウェア リリースの安定したバージョン(8.2.4 など)にアップグレードします。

Q. ASA 5505 で 802.1x 認証を設定することはできますか。

A. いいえ。 ASA 5505 で 802.1x 認証を設定することはできません。

Q. Cisco ASA は IPSec VPN トンネル経由で送信されるマルチキャスト トラフィックをサポートしますか。

A. いいえ。 これは Cisco ASA ではサポートされていないため実行できません。 回避策として、暗号化される前に GRE を使用してマルチキャスト トラフィックをカプセル化することができます。 まず、Cisco ルータで GRE を使用してマルチキャスト パケットをカプセル化する必要があります。その後、この GRE パケットは IPsec 暗号化のために Cisco ASA に転送されます。

Q. Cisco ASA はアクティブ/アクティブ モードで動作しています。 Cisco ASA を VPN ゲートウェイとして設定する必要があります。 これは可能ですか。

A. 複数のコンテキストと VPN が同時に動作できないため設定できません。 Cisco ASA は、アクティブ/スタンバイ モードのときにのみ VPN 用に設定できます。

Q. Cisco ASA を VPN サーバとして使用している場合、アカウンティング レコードを経由して、クライアントのタイプに関する情報(AnyConnect または IPSec)を RADIUS データベースに送信することはできますか。

A. クライアントが使用しているサービスのタイプを送信するための属性がないため送信できません。

Q. ASA ボットネット フィルタ: ASA のダイナミック ブロックに関するレポートを確認するにはどうすればよいのですか。

A. ASA のダイナミック ブロックに関するレポートは、show dynamic-filter reports top コマンドを使用して確認できます。 詳細については、『Cisco ASA ボットネット トラフィック フィルタを使用したボットネット対応』を参照してください。

Q. Cisco Discovery Protocol(CDP)は PIX/ASA でサポートされていますか。

A. PIX/ASA はセキュリティ デバイスであるため、CDP をサポートしません。

Q. Cisco Network Assistant(CNA)を使用して ASA を管理できますか。

A. はい。CNA の最新バージョンは ASA をサポートします。 詳細は、『サポートされるデバイスの一覧』を参照してください。

Q. 認証局(CA)として機能し、VPN のクライアントに証明書を発行するように ASA を設定することはできますか。

A. はい。ASA 8.x 以降を使用して、ASA をローカル CA として機能するように設定できます。 現在、ASA は、この CA.によって発行された証明書を持つ SSL VPN クライアントの認証のみ行うことができます。IPSec クライアントは、まだサポートされていません。 詳細は、『ローカル CA』を参照してください。

注: アクティブ/アクティブ フェールオーバーまたは VPN ロード バランシングを使用している場合、ローカル CA 機能はサポートされません。 ローカル CA は、別の CA の下位になることはできません。 これは、ルート CA としてのみ機能することができます。

フェールオーバー

Q. Failover ライセンスを持つセキュリティ アプライアンスは、アクティブ/アクティブ フェールオーバーの一部になれますか。

A. セキュリティ アプライアンス フェールオーバー ユニットは、新しい Failover アクティブ/アクティブ ライセンス アップグレードがインストールされていれば、アクティブ/アクティブ フェールオーバー ペアで使用できるようになります(アクティブ/アクティブには 1 つの UR モデルと 1 つの「FO アクティブ/アクティブ」モデルが必要です)。 ライセンスの詳細は、『機能のライセンスと仕様』を参照してください。

Q. ASA は、フェールオーバー用に設定されたときに SSL VPN をサポートしますか。

A. ASA は、アクティブ/スタンバイ フェールオーバー用に設定されたときにのみ SSL VPN サポートし、アクティブ/アクティブ フェールオーバー用に設定されたときは SSL VPN をサポートしません。 詳細は、『ASA による SSL VPN アプリケーション トラフィックおよび設定のフェールオーバー対応』を参照してください。

エラー メッセージ

Q. EZVPN が ASA 5505 上でイネーブルになったときに、フェールオーバーを設定できません。 次のエラー メッセージはなぜ表示されるのでしょうか。 「error : -- ERROR]] vpnclient enable * Disable failover CONFIG CONFLICT: Configuration that would prevent successful Cisco Easy VPN Remote operation has been detected, and is listed above. Please resolve the above configuration conflict(s) and re-enable?」

A. ASA 5505 がリモート ユーザ用に EasyVPN を使用している場合(クライアント モード)、フェールオーバーは動作しますが、ASA を Easy VPN Client で使用するように設定している場合(Network-Extension モード:NEM モード)、フェールオーバーが設定されると動作しません。 そのため、フェールオーバーは ASA がリモート ユーザ用に EZVPN を使用している場合(クライアント モード)だけで動作し、そのため、前述のエラーが発生します。

Q. 3 番目の VLAN を設定すると次のエラー メッセージが表示されます。 の部分は次のとおりです。 -「- ERROR: This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface(s) with nameif already configured.」 このエラーを解決するにはどうすればよいのですか。

A. このエラーは、ASA でライセンス制限があるために発生しています。 ルーテッド モードでさらに VLAN を設定するには、Security Plus ライセンスを取得する必要があります。 Base ライセンスで設定できるのは 3 つのアクティブな VLAN だけであり、Security Plus ライセンスでは最大 20 のアクティブ VLAN を設定できます。 Base ライセンスでは 3 番目の VLAN を作成できますが、この VLAN は Outside または Inside に対してだけ通信するものであり、両方の方向には通信できません。 両方の方向での通信が必要な場合は、このライセンスをアップグレードする必要があります。 また、Base ライセンスを使用する場合、このインターフェイスを 3 番目の VLAN にして、それが他の 1 つの VLAN への問い合わせを開始するのを制限するには、hostname(config-if)# no forward interface vlan number コマンドを使用します。 これで 3 番目の VLAN を設定できます。

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 %「%ASA-6-110002: Failed to locate egress interface for UDP from outside: x.x.x.x/xxxx to x.x.x.x/xxxx?

A. ASA は、VPN Client がピアツーピア プログラムを使用しようとして、トラフィックがトンネル内に入り、そこにピアツーピア サーバが存在しないときに、このエラー メッセージを表示します。 この問題を解決するには、インターネットに出て行く必要のあるトラフィックがトンネルを通過せず、パケットがファイアウォールによって廃棄されないように、スプリット トンネルを設定します。 詳細は、『PIX/ASA 7.x: ASA で VPN クライアントのスプリット トンネリングを許可するための設定例』を参照してください。

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 エラー: execUpgradeSoftware: operation timed out with 0 out of 1 bytes received?」

A. FTP で AIP-SSM をアップグレードしようとすると、タイムアウトする可能性があります。 問題を解決するには、FTP タイムアウト値を大きくします。

例:

configure terminal
service host
network-settings
ftp-timeout 2700
exit

変更を保存します。

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 %「%ASA-4-402123: CRYPTO: The ASA hardware accelerator encountered an error?」

A. この問題を解決するには、次のいずれかの回避策を実行します。

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 「unable to send authentication message?」

A. LOCAL(内部)認証を使用する場合、ASA はパスワード管理をサポートしません。 この問題を解決するには、パスワード管理を設定しているのであれば、削除してください。

Q. ASA の認証をテストしているときに次のエラー メッセージが表示された場合、どのようにしたら解決できるでしょうか。 エラー: Authentication Server not responding: No error?」
ASA# test aaa-server authentication TAC_SRVR_GRP username test password test123
Server IP Address or name: ACS-SERVER
INFO: Attempting Authentication test to IP address <ACS-SERVER> (timeout: 12 seconds)
ERROR: Authentication Server not responding: No error

A. この問題を解決するには、次のいずれかの項目をチェックします。

  • ping テストを使用して ASA と AAA サーバ間の接続を確認し、ASA から AAA サーバに到達できることを確認します。

  • ASA での AAA 関連の設定を確認し、AAA サーバが正しく記述されているかどうかを確認します。

    ASA# show run aaa-server 
    aaa-server RAD_SRVR_GRP protocol radius
    aaa-server RAD_SRVR_GRP host ACS-SERVER
     key *
    aaa-server TAC_SRVR_GRP protocol tacacs+
    aaa-server TAC_SRVR_GRP host ACS-SERVER
     key *
  • RADIUS が TACACS ポートの場合、AAA サーバと ASA 間のパスにあるファイアウォールによってブロックされているかどうかを確認します。 対応するポートが使用されているプロトコルに基づいて開くことを確認します。

  • AAA サーバのパラメータを確認します。

  • AAA サーバをリロードします。

認証のテストに成功すると、次のメッセージが表示されます。

ASA(config)# test aaa authentication topix host 10.24.10.10 username test password test1234
INFO: Attempting Authentication test to IP address <10.24.0.10> (timeout: 12 seconds)
INFO: Authentication Successful

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 %「%Error opening disk0:/.private/startup-config (Read-only file system) Error executing command [FAILED]?」

A. この問題を解決するには、ASA/PIX で flash コマンドか FSCK コマンドをフォーマットします。

Q. 次の ASDM エラー メッセージを解決するにはどうすればよいのですか。 「Unconnected sockets not implemented?」

A. この問題は、ASDM バージョン 5.0 以降が、ASA、PIX、または FWSM 上で動作しており、Java 6 Update 10 以降を使用しているときに発生します。 ASDM をロード中に次のメッセージが表示されます。

ASDM cannot be loaded. Click OK to exit ASDM.
Unconnected sockets not implemented.

この問題を解決するには、Java 6 Update 10 をアンインストールして、Java 6 Update 7 をインストールします。 詳細については、CSCsv12681登録ユーザ専用を参照してください。

ASDM が Java 6 Update 10 を正しくロードするには、ASDM を ASDM 6.1(5)51 にアップデートする必要があります。 詳細は、『Cisco ASDM リリース ノート バージョン 6.1(5)』の「ASDM クライアント オペレーティング システムとブラウザの要件」セクションを参照してください。

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 %「%ASA-1-199010: Signal 11 caught in process/fiber(rtcli async executor process)/(rtcli async executor) at address 0xf132e03b, corrective action at 0xca1961a0?」

A. この問題は、ASA をアクセスするために ASDM が使用されたとき、または、ASA 上で CPU 使用率が高いときに発生する可能性があります。 通常、このメッセージは、システムがクラッシュするのをエラー回復メカニズムが防ぐときに表示されます。

このメッセージが表示されたときに他の問題が伴わないのであれば、無視できます。 これはパフォーマンスに影響を与えない回復可能なエラーです。

Q. Oracle トラフィックがファイアウォールを通過しません。 この問題を解決するには、どうすればよいですか。

A. この問題は、ファイアウォールの sqlnet 検査機能が原因です。 これが発生すると、接続が分断されます。 sqlnet 検査エンジン用の TCP プロキシは、1 つの TCP セグメント内で複数の TNS フレームを処理するように設計されました。 sqlnet 検査は、コード複合体をレンダリングする 1 つのパケットで多くの TNS フレームを処理します。

この問題を解決するには、検査エンジンが 1 つのパケットで複数の TNS フレームを処理しないようにします。 それぞれの TNS フレームが別々の TCP パケットになり、個別に検査されることが想定されています。

この動作はソフトウェア バグに記載されています。 詳細は、CSCsr27940登録ユーザ専用CSCsr14351登録ユーザ専用を参照してください。

この問題の解決策を次に示します。

sqlnet 検査をディセーブルにするために、クラス コンフィギュレーション モードで no inspect sqlnet コマンドを使用します。

ASA(config)#class-map sqlnet-port
ASA(config-cmap)#match port tcp eq 1521
ASA(config-cmap)#exit
ASA(config)#policy-map sqlnet_policy
ASA(config-pmap)#class sqlnet-port
ASA(config-pmap-c)#no inspect sqlnet
ASA(config-pmap-c)#exit
ASA(config)#service-policy sqlnet_policy interface outside

詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス、バージョン 8.0』の「SQLNet 検査」セクションを参照してください。

Q. 次のようなエラー メッセージが表示され、ASA のフラッシュにソフトウェア イメージをコピーすることができません。 「Error writing disk0:/asa8XX-XX.bin (Cannot allocate memory)

A. この問題は、ソフトウェア イメージをロードするために、ファイアウォールがメモリ(RAM)を割り当てることができない場合に発生する可能性があります。

ASA は、イメージが ASA に転送される間、イメージ全体を RAM にバッファリングします。 フラッシュへの書き込みが完了するまで、ソフトウェア イメージ全体を保持するのに十分な大きさの空きメモリ ブロックが必要です。 ASA がイメージをフラッシュに書き込むには、イメージ全体をバッファリングするために 1 個のフル メモリ ブロックを利用できる必要があります。

メモリ使用量は ASA で使用できる機能に直接関係します。 これらの機能は、イメージをロードする方法(ネットワーク経由またはフラッシュ経由)に関係なく、ASA が起動されるたびにロードされます。 メモリ使用量を削減するために、現在使用していない機能をディセーブルにすることができます。 WebVPN、SSLVPN、および脅威の検出は、大量のメモリを消費しがちであることに注意してください。

ROM モニタ(ROMmon)を使用してイメージをコピーするか、または tftp を介して起動し、ネットワークを介して ASA を起動した後にイメージをコピーするようにブート パラメータを設定することもできます。 ROMmon では設定をロードしないので、これらの機能はロードされません。 したがって、この方法を使用してファイルをコピーする場合、問題が発生することはありません。

次の回避策を実行します。

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 [「[ERROR] threat-detection statistics host number-of-rate 0 threat-detection statistics host number-of-rate 0 ^ % Invalid input detected at '^' marker?」

A. このエラーは、ASDM で脅威検出機能を使用しているときに発生することがあります。 この問題を解決するには、コマンドの送信に CLI を使用するか、ASDM をダウングレードします。

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 %「%ERROR: copying 'disk0:/csco_config/97/customization/index.ini' to a temporary ramfs file failed?」

A. この問題は、Cisco Bug ID CSCsy77628登録ユーザ専用)によるものです。 この問題を解決するには、特権 EXEC モードで revert webvpn all コマンドを実行して、すべての WebVPN 設定をクリアします。 最初から再設定して、ASA をリロードします。

Q. ASA の次のエラー メッセージを解決するにはどうすればよいのですか。 エラー: mount: Mounting /dev/hda1 on /mnt/disk0 failed: Invalid argument?」

A. この問題を解決するには、フラッシュを再フォーマットします。 これで問題が解決しない場合は、TAC に問い合せて、サポートを依頼してください。

Q. 英語以外の文字をバナーに追加しようとすると、ASA で次のエラー メッセージが表示されます。 「The CLI generated has unsupported characters. ASA does not accept such characters. The following line(s) has unsupported characters.」 このエラーを解決するにはどうすればよいのですか。

A. これは、Cisco Bug ID CSCsz32125登録ユーザ専用)によるものです。 この問題を解決するには、ASA をソフトウェア バージョン 8.0(4.34) にアップグレードします。

Q. ASA の次のエラー メッセージを解決するにはどうすればよいのですか。 %「%ASA-1-216005: エラー: Duplex-mismatch on Et0/0 resulted in transmitter lockup. A soft reset of the switch was performed?」

A. このエラー メッセージは、指定されたポートとそれに接続されているデバイスの間にデュプレックス ミスマッチが存在するときに見られます。 両方のデバイスを両方の側で auto または hard-coding the duplex のいずれか同じ設定にして、デュプレックス ミスマッチを修正します。 これにより問題は解決します。

注: この問題については Cisco Bug ID CSCsm87892 に記載があります。このバグは、現在、Resolved(解決済み)状態になっています。 詳細は、CSCsm87892登録ユーザ専用)を参照してください。

Q. AIP-SSM モジュールで復旧処理をしたところ、そのモジュールが繰り返しリブートするようになり、次のエラー メッセージが表示されるようになりました。 「Bad magic number (0x-682a2af).」 このエラーを解決するにはどうすればよいのですか。

A. この問題は、復旧またはイメージの変更に誤ったファイルを使用した場合に発生します。 .img ファイルではなく .pkg ファイルを使用した場合、この動作でこのエラーになります。 また、このエラーは .img ファイルに問題がなくても ASA がブート ループで留まる場合にも発生します。 この問題を解決する唯一の方法は、センサーのイメージを変更することです。

Q. AIP-SSM 用の Global Correlations アップデートをダウンロードすると、次のエラー メッセージが表示されるのはなぜですか。 「collaborationApp[530] rep/E A global correlation update failed: Failed download of ibrs/1.1/config/default/1236210407 : HTTP connection failed collaborationApp[459] rep/E A global correlation update failed: Failed download of ibrs/1.1/drop/default/1296529950 : URI does not contain a valid ip address?」

A. この問題は、設定されている URL フィルタリングが原因で発生した可能性があり、これは、トラフィック フローに影響し、また、ASA を経由してインターネットへと到達することのできる AIP-SSM モジュールの管理インターフェイスが原因である可能性もあります。 設定された URL フィルタリングが、デバイス(AIP-SSM)が Global Correlations に到達するのをブロックしないようにします。これによって問題が解決します。 この問題は、前の GC のアップデートが破損している場合に発生します。 この問題は、通常、GC サービスの電源をオフにした後、オンにすると修正できます。 IDM で、[Global Correlation] > [Policies] > [Global Correlation] > [Inspection/Reputation] の順に選択します。 次に、[Global Correlation Inspection] および [Reputation Filtering]([On] の場合)を [Off] に設定します。 変更を適用して、10 分待ちます。 機能を再びオンにして、監視します。

Q. ASA の次のエラー メッセージを解決するにはどうすればよいのですか。 「Secure Connection Failed. An error occurred during a connection to x.x.x.x. Cannot communicate securely with peer: no common encryption algorithm(s). ((Error code: ssl_error_no_cypher_overlap)

A. これは、Cisco Bug ID CSCtc37947登録ユーザ専用)によるものです。 この問題を解決するには、CSC の root アカウントで自動アップデート用に作成された一時ファイルを削除してから、サービスを再起動します。

Q. Grayware 用の ASA の次のエラー メッセージを解決するにはどうすればよいのですか。 「GraywarePattern : Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages. The zip file may be corrupted. This can happen due to an unstable network connection. Please try downloading the file again.. The error code is 24?」

A. この問題を解決するには、3DES アクティベーション キーを入力するか、ASA で ciscoasa(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1 des-sha1 rc4-md5 コマンドを使用します。 このコマンドは、SSL/TLS プロトコルが使用する暗号化アルゴリズムを指定するために使用されます。

Q. ASA 5505 のインターフェイスを設定しているときに次のエラー メッセージが表示された場合、どのようにしたら解決できるでしょうか。 エラー: This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface(s)?」

A. この問題は、ASA に存在するライセンスに基づいて通信することが許可されているインターフェイスの数が原因で発生します。 ASA 5505 などの内蔵スイッチのモデルに対しては、インターフェイス コンフィギュレーション モードで forward interface コマンドを使用して、ある VLAN が別の VLAN に問い合わせを開始するために接続を戻します。 ある VLAN に対して別の VLAN への問い合わせを開始することを制限するには、このコマンドの no 形式を使用します。 ライセンスがサポートする VLAN の数がいくつなのかに従って 1 つの VLAN を制限する必要がある可能性があります。

Q. ASA の次のエラー メッセージを解決するにはどうすればよいのですか。 %「%Error opening system: //running-config (No such device)?」

A. このエラー メッセージを解決するには ASA をリロードします。

Q. 次のエラーが表示されました。 [「[ERR-PAT-0003] The update system cannot find the required files in the decompressed set of update files, and cannot continue. This message is for diagnostic purpose only. Customers - please contact Technical Support. while upgrading to the latest pkg file on CSC-SSM.」 なぜこのエラーが発生するのでしょうか。

A. これは、Cisco Bug ID CSCta99320登録ユーザ専用)によるものです。 詳細は、このバグを参照してください。

Q. ASA で次のエラー メッセージが表示され、ASA がリブートしません。 「mempool: error 12 creating global shared pool.」 なぜこれが発生するのでしょうか。また、どうすれば解決できますか。

A. この問題は、特定のプラットフォームで適切な量よりも多くの RAM をインストールしようとすると発生する場合があります。 たとえば、ASA5540 に 4 GB の RAM をインストールしようとすると、これはエラーになります。ASA5540 では 2 GB よりも多くの RAM を作動してはならないためです。

新しい RAM をインストールするときには、次の点を考慮に入れてください。

  • ASA には新しい RAM だけをインストールする。 古い RAM は取り外し、余分な RAM スロットにロードしてはならない。

  • 新しい RAM は交互のスロットにインストールする。 最適なパフォーマンスを得るために、DIMM はスロット P13 と P15 にインストールする。

Q. 次のエラーが表示されます。 %「%ASA-4-402125: CRYPTO: The ASA hardware accelerator Ipsec ring timed out (Desc= 0xD6AF25E0, CtrlStat= 0xA000, ResultP= 0xD2D10A00, ResultVal= 186, Cmd= 0x10, CmdSize= 0, Param= 0x0, Dlen= 152, DataP= 0xD2D10974, CtxtP= 0xD46E6B10, SWReset= 21)」 なぜ、このような現象が発生するのでしょうか。

A. これは、Cisco Bug ID CSCti17266登録ユーザ専用)によるものです。 詳細は、このバグを参照してください。

この動作に関連する別のバグは、CSCtn56501登録ユーザ専用)です。

Q. ASA で、次のエラー メッセージが表示されます。 「418001: Through-the-device packet to/from management-only network is denied: icmp src In-DMZ:192.168.145.53 dst Mgt-Net:10.40.10.1 (type 8, code 0).」 どのように解決しますか。

A. これが設定されているインターフェイスから management-only コマンドを削除します。 この特ケースでは、上記のエラー メッセージで、Mgt-Net インターフェイスから management-only コマンドを削除します。

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 %「%PIX|ASA-5-713137: Reaper overriding refCnt [ref_count] and tunnelCnt [tunnel_count] -- deleting SA!?」

A. これは、Cisco Bug ID CSCsq91271登録ユーザ専用)によるものです。 詳細は、このバグを参照してください。

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 「CRYPTO: The ASA is skipping the writing of latest Crypto Archive File as the maximum # of files ( 2 ) allowed have been written to < disk0:/crypto_archive >. Please archive & remove files from < disk0:/crypto_archive > if you want more Crypto Archive Files saved"?」

A. これは、クリプト エンジンの異常が原因で発生する可能性があります。 この動作は、Cisco Bug ID CSCtg58074登録ユーザ専用)および CSCsm77854登録ユーザ専用)で報告されています。 一時的な回避策は、クリプト アーカイブ ファイルをフラッシュから削除し、デバイスをリロードすることです。 このエラーは、既存のトラフィックに影響しないように思われます。 この問題の根本的な解決策が必要な場合は、Cisco TAC に連絡して、専門技術者がビルドしたイメージを入手してください。

Q. 次のエラー メッセージを解決するにはどうすればよいのですか。 エラー: Feb 19 2010|15:58:33|450001|XXX.YYY.ZZZ.ZZ||Deny traffic for protocol 6 src inside:192.168.1.63/2988 dst outside:XXX.YYY.ZZZ.ZZ/6667, licensed host limit of 10 exceeded.?」

A. これはライセンスに関連する問題です。 ファイアウォールで基本ライセンスを実行している場合、10 個以上の接続を確立することはできません。 show version コマンドを使用して確認してください。 この問題を解決するには、ファイアウォールのライセンス アップグレードを実行します。 詳細は、シスコ ライセンス チームにお問い合わせください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 68330