Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コンフィ ギュレーション ガイド(CLI を使用)
ファイアウォール サービス モジュールのトラ ブルシューティング
ファイアウォール サービス モジュールのトラブルシューティング
発行日;2012/02/01 | 英語版ドキュメント(2011/12/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

ファイアウォール サービス モジュールのトラブルシューティング

設定のテスト

ICMP デバッグ メッセージとシステム ログ メッセージのイネーブル化

のインターフェイスへの ping の実行

経由の ping の実行

テスト設定のディセーブル化

のリロード

パスワード復旧の実行

アプリケーション パーティションのパスワードおよび AAA 設定の消去

メンテナンス パーティション パスワードのリセット

その他のトラブルシューティング ツール

デバッグ メッセージの表示

パケットのキャプチャ

キャプチャの概要

キャプチャの制限事項

パケット キャプチャの設定

クラッシュ ダンプの表示

一般的な問題

ファイアウォール サービス モジュールのトラブルシューティング

この章では、FWSM のトラブルシューティングの手順について説明します。内容は次のとおりです。

「設定のテスト」

「FWSM のリロード」

「パスワード復旧の実行」

「その他のトラブルシューティング ツール」

「一般的な問題」

設定のテスト

ここでは、シングルモードの FWSM または各セキュリティ コンテキストに対して接続テストを行う手順について説明します。FWSM のインターフェイスに ping を実行する手順、および 1 つのインターフェイス上のホストから他のインターフェイス上のホストに ping を実行する手順を示します。

トラブルシューティングでは、ping およびデバッグに関するメッセージだけをイネーブルにすることを推奨します。FWSM のテストが終了したら、「テスト設定のディセーブル化」の手順に従ってください。

ここでは、次の内容について説明します。

「ICMP デバッグ メッセージとシステム ログ メッセージのイネーブル化」

「FWSM のインターフェイスへの ping の実行」

「FWSM 経由の ping の実行」

「テスト設定のディセーブル化」

ICMP デバッグ メッセージとシステム ログ メッセージのイネーブル化

デバッグ メッセージとシステム ログ メッセージは、ping に失敗した原因を特定する場合に役立ちます。FWSM には、FWSM のインターフェイスへの ping に関する ICMP デバッグ メッセージだけが表示されます。FWSM 経由で他のホストに宛てた ping に関するメッセージは表示されません。デバッグ メッセージとシステム ログ メッセージをイネーブルにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、FWSM のインターフェイスへの ping に関する ICMP パケット情報を表示します。

hostname(config)# debug icmp trace
 

ステップ 2 次のコマンドを入力して、Telnet または SSH セッションにシステム ログ メッセージが送信されるように設定します。

hostname(config)# logging monitor debug
 

または、 logging buffer debug コマンドを使用してメッセージをバッファに送信し、そのあとで show logging コマンドを使用して表示することもできます。

ステップ 3 次のコマンドを入力して、Telnet または SSH セッションにシステム ログ メッセージを送信します。

hostname(config)# terminal monitor
 

ステップ 4 次のコマンドを入力して、システム ログ メッセージをイネーブルにします。

hostname(config)# logging enable
 


 

次に、外部ホスト(209.165.201.2)から FWSM の外部インターフェイス(209.165.201.1)への ping に成功した例を示します。

hostname(config)# debug icmp trace
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 512) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 768) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 768) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 1024) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 1024) 209.165.201.1 > 209.165.201.2
 

この例には、ICMP パケット長(32 バイト)、ICMP パケット ID(1)、および ICMP シーケンス番号(ICMP シーケンス番号は 0 から始まり、要求が送信されるごとに増分されます)が示されています。

FWSM のインターフェイスへの ping の実行

FWSM のインターフェイスが稼動中であり、FWSM と接続先ルータが正しくルーティングされているかどうかをテストするには、FWSM のインターフェイスに ping を実行します。FWSM のインターフェイスに ping を実行する手順は、次のとおりです。


ステップ 1 インターフェイス名、セキュリティ レベル、および IP アドレスを明記したシングルモードの FWSM またはセキュリティ コンテキストの接続図を作成します。この接続図には、直接接続されたルータ、および FWSM への ping の実行元となるルータの反対側のホストも明記する必要があります。この情報は、ここで説明する手順、および「FWSM 経由の ping の実行」の手順で使用します。次に例を示します。

図 25-1 インターフェイス、ルータ、およびホストを明記したネットワーク接続図

 

ステップ 2 直接接続された ルータから FWSM の各インターフェイスに ping を実行します。トランスペアレント モードの場合は、管理 IP アドレスに ping を送信します。

このテストによって、FWSM のインターフェイスがアクティブであり、VLAN が正しく設定されているかどうかを確認します。

ping に失敗した場合は、FWSM のインターフェイスがアクティブでないか、インターフェイスが正しく設定されていないか、または FWSM とルータ間のスイッチが停止している可能性があります(図 25-2を参照)。この場合は、パケットが到達しないため、FWSM 上にデバッグ メッセージもシステム ログ メッセージも表示されません。

図 25-2 FWSM のインターフェイスへの ping の失敗

 

ping が FWSM に到達し、FWSM から応答が返されると、次のようなデバッグ メッセージが表示されます。

ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
 

ping 応答がルータに返らない場合、スイッチ ループが発生しているか、または IP アドレスが重複している可能性があります(図 25-3を参照)。

図 25-3 IP アドレスの重複による ping の失敗

 

ステップ 3 リモート ホストから FWSM の各インターフェイスに ping を実行します。トランスペアレント モードの場合は、管理 IP アドレスに ping を送信します。

このテストでは、直接接続されたルータがホストと FWSM 間のパケットをルーティングできること、および FWSM からホストに返されるパケットが正しくルーティングされていることを確認します。

ping に失敗した場合は、中継ルータを経由したホストまでのルートが FWSM に正しく設定されていない可能性があります(図 25-4を参照)。この場合は、ping に成功したことを示すデバッグ メッセージが表示されますが、システム ログ メッセージ 110001 でルーティング障害が発生していることが示されます。

図 25-4 FWSM のルート未設定による ping の失敗

 


 

FWSM 経由の ping の実行

FWSM のインターフェイスへの ping に成功したら、FWSM 経由でトラフィックを正しく転送できるかどうかを確認する必要があります。ルーテッド モードでは、このテストによって、NAT が設定されている場合に正しく実行されるかどうかを確認できます。NAT を使用しないトランスペアレント モードの場合は、FWSM が正しく動作していることをこのテストで確認します。トランスペアレント モードで ping に失敗した場合は、Cisco TAC に連絡してください。

異なるインターフェイス上のホスト間で ping を実行する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、任意の送信元ホストからの ICMP を許可するアクセス リストを追加します。

hostname(config)# access-list ICMPACL extended permit icmp any any
 

デフォルトでは、ホストがセキュリティの低いインターフェイスにアクセスする場合、すべてのトラフィックが許可されます。ただし、セキュリティの高いインターフェイスにアクセスするには、前述のアクセス リストが必要です。

ステップ 2 次のコマンドを入力して、各送信元インターフェイスにアクセス リストを割り当てます。

hostname(config)# access-group ICMPACL in interface interface_name
 

各送信元インターフェイスについて、このコマンドを繰り返します。

ステップ 3 次のコマンドを入力して、ICMP 応答が送信元ホストに戻されるように、ICMP インスペクション エンジンをイネーブルにします。

hostname(config)# class-map ICMP-CLASS
hostname(config-cmap)# match access-list ICMPACL
hostname(config-cmap)# policy-map ICMP-POLICY
hostname(config-pmap)# class ICMP-CLASS
hostname(config-pmap-c)# inspect icmp
hostname(config-pmap-c)# service-policy ICMP-POLICY global
 

または、FWSM 経由で ICMP トラフィックを返すことを許可するために、ICMPACL アクセス リストを宛先インターフェイスに適用することもできます。

ステップ 4 送信元インターフェイス上のホストまたはルータから、他のインターフェイス上の他のホストまたはルータに ping を実行します。

確認するインターフェイスの各ペアについて、この手順を繰り返します。

ping に成功すると、ルーテッド モードのアドレス変換を確認するシステム ログ メッセージ(305009 または 305011)と ICMP 接続が確立されたことを示すメッセージ(302020)が表示されます。 show xlate コマンドと show conns コマンドを入力して、この情報を表示することもできます。

トランスペアレント モードで ping に失敗した場合は、Cisco TAC に連絡してください。

ルーテッド モードで ping に失敗した場合、NAT が正しく設定されていない可能性があります(図 25-5を参照)。この状況は、NAT 制御をイネーブルにしている場合によく発生します。この場合は、NAT 変換に失敗したことを示すシステム ログ メッセージ(305005 または 305006)が表示されます。外部ホストから内部ホストに ping を実行した場合に、スタティック変換(NAT 制御に必要)が設定されていないと、メッセージ 106010:deny inbound icmp が表示されます。


) FWSM には、FWSM のインターフェイスへの ping に関する ICMP デバッグ メッセージだけが表示されます。FWSM 経由で他のホストに宛てた ping に関するメッセージは表示されません。


図 25-5 FWSM のアドレス変換の問題による ping の失敗

 


 

テスト設定のディセーブル化

テストが完了したら、FWSM 宛ての ICMP と FWSM 経由の ICMP を許可し、デバッグ メッセージを出力するテスト設定をディセーブルにします。設定をそのまま有効にしておくと、重大なセキュリティ リスクが生じることがあります。また、デバッグ メッセージを生成すると、FWSM のパフォーマンスが遅くなります。

テスト設定をディセーブルにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、ICMP デバッグ メッセージをディセーブルにします。

hostname(config)# no debug icmp trace
 

ステップ 2 必要に応じて、次のコマンドを入力して、ロギングをディセーブルにします。

hostname(config)# no logging on
 

ステップ 3 次のコマンドを入力して、ICMPACL アクセス リストを削除し、関連する access-group コマンドも削除します。

hostname(config)# no access-list ICMPACL
 

ステップ 4 (任意)ICMP インスペクション エンジンをディセーブルにする場合には、次のコマンドを入力します。

hostname(config)# no service-policy ICMP-POLICY
 


 

FWSM のリロード

マルチモードでは、システム実行スペースからだけリロードできます。次のコマンドを入力して、FWSM をリロードします。

hostname# reload
 

パスワード復旧の実行

ここでは、パスワードを忘れた場合または AAA 設定が原因でロックアウトされた場合の回復手順について説明します。

「アプリケーション パーティションのパスワードおよび AAA 設定の消去」

「メンテナンス パーティション パスワードのリセット」

アプリケーション パーティションのパスワードおよび AAA 設定の消去

パスワードを忘れた場合、または AAA(認証、許可、アカウンティング)設定によってロックアウトされた場合には、パスワードおよび AAA コンフィギュレーションの一部をデフォルト値にリセットできます。この手順を実行するには、メンテナンス パーティションにログインする必要があります。


ステップ 1 スイッチのプロンプトで次のコマンドを入力して、アプリケーション ブート パーティションを設定します。

Router# set boot device cf:n [mod_num]
 

モジュール用のデフォルトのブート パーティションは cf:4 です。メンテナンス パーティションは cf:1 です。この手順の後半で、パスワードの消去対象とするブート パーティションを指定します。

ステップ 2 次のコマンドを入力して、FWSM をメンテナンス パーティションで起動します。

Router# hw-module module mod_num reset cf:1
 

ステップ 3 次のコマンドを入力して、FWSM とのセッションを確立します。

Router# session slot mod_num processor 1
 

ステップ 4 次のコマンドを入力して、メンテナンス パーティションにルートとしてログインします。

Login: root
 

ステップ 5 プロンプトにパスワードを入力します。

Password: password
 

デフォルトのパスワードは「cisco」です。

ステップ 6 次のコマンドを入力して、ログイン パスワード、イネーブル パスワード、 aaa authentication console コマンド、および aaa authorization command コマンドを消去します。

root@localhost# clear passwd cf:{4 | 5}
 

パスワードを消去するブート パーティションを指定します。FWSM はデフォルトで cf:4 から起動します。ブート パーティションの表示方法の詳細については、ステップ 1を参照してください。

ステップ 7 次のように、画面のプロンプトに従って入力します。

Do you wish to erase the passwords? [yn] y
The following lines will be removed from the configuration:
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
Do you want to remove the commands listed above from the configuration?
[yn] y
Passwords and aaa commands have been erased.
 


 

メンテナンス パーティション パスワードのリセット

メンテナンス パーティションのパスワードを忘れた場合は、デフォルト値にリセットできます。この場合は、アプリケーション パーティションにログインしている必要があります。マルチモードでは、システム実行スペースからだけパスワードをリセットできます。

メンテナンス パスワードをリセットするには、次のコマンドを入力します。

hostname# clear mp-passwd
 

パスワードをリセットしたあと、デフォルト値を使用して FWSM にログインできます。

FWSM にログインしたら、 reload または reboot コマンドを入力して再起動します。

メンテナンス パーティションから起動するように FWSM を設定し直すには、 hw-module module mod_num reset cf:1 コマンドを入力します。

詳細については、「デフォルト ブート パーティションの設定」および「メンテナンス パーティション パスワードのリセット」を参照してください。

その他のトラブルシューティング ツール

FWSM には、Cisco TAC から支援を受ける際に役立つ他のトラブルシューティング ツールが用意されています。

「デバッグ メッセージの表示」

「パケットのキャプチャ」

「クラッシュ ダンプの表示」

デバッグ メッセージの表示

デバッグ出力には、CPU 処理の中で高いプライオリティが割り当てられるため、システム性能が低下することがあります。このため、 debug コマンドは、特定の問題のトラブルシューティングを行う場合や、Cisco TAC とのトラブルシューティング セッション中以外は使用しないでください。また、 debug コマンドは、使用中のユーザが少なく、ネットワーク トラフィックも少ない時間帯に実行するようにしてください。こうすることにより、デバッグ コマンドの処理のオーバーヘッドによって被る影響が少なくなります。デバッグ メッセージをイネーブルにする場合は、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の debug コマンドの説明を参照してください。

パケットのキャプチャ

パケットのキャプチャは、接続に関する問題のトラブルシューティングを行ったり、疑いのある動作を監視する場合に役立つことがあります。ここでは、次の内容について説明します。

「キャプチャの概要」

「キャプチャの制限事項」

「パケット キャプチャの設定」

キャプチャの概要

FWSM は、それ自体を通過する IP トラフィックをすべてトラッキングできます。また、FWSM へのすべての管理トラフィック(SSH トラフィックや Telnet トラフィックなど)を含む、FWSM 宛ての IP トラフィックをすべてキャプチャすることもできます。

FWSM のアーキテクチャは、パケット処理用の異なる 3 セットのプロセッサで構成されます。このアーキテクチャにより、キャプチャ機能にいくつかの制限が課せられます。通常、FWSM のパケット フォワーディング機能の大部分は、2 つのフロントエンド ネットワーク プロセッサで処理されます。アプリケーション インスペクションが必要な場合にかぎり、パケットは制御プレーンの汎用プロセッサに送信されます(詳細については、「ステートフル インスペクションの概要」を参照してください)。パケットがセッション管理パス ネットワーク プロセッサに送信されるのは、アクセラレーション パス プロセッサにセッションが存在しない場合だけです。

FWSM で転送または廃棄されたすべてのパケットは 2 つのフロントエンド ネットワーク プロセッサに到着するため、これらのネットワーク プロセッサにパケット キャプチャ機能が実装されています。したがって、FWSM に到着したすべてのパケットは、トラフィック インターフェイス用に適切なキャプチャが設定されている場合に、これらのフロントエンド ネットワーク プロセッサで処理できます。着信側でパケットがキャプチャされるのは、パケットが FWSM のインターフェイスに到着した時点であり、発信側でパケットがキャプチャされるのは、パケットがネットワーク上に送出される直前です。

キャプチャの制限事項

次に、キャプチャ機能の制限事項をいくつか示します。ほとんどの制限事項は、FWSM アーキテクチャの分散特性と、FWSM で使用されているハードウェア アクセラレータによるものです。

1 つのインターフェイスに対して複数のキャプチャを設定することはできません。ただし、設定に柔軟性を持たせるために、キャプチャ アクセス リストに複数の ACE を設定できます。

キャプチャできるのは、IP トラフィックだけです。キャプチャ機能では、ARP などの非 IP パケットをキャプチャすることはできません。

共有 VLAN の場合:

VLAN 用に設定できるキャプチャは 1 つだけです。共有 VLAN 上で複数のコンテキストにキャプチャを設定した場合、最後に設定したキャプチャだけが使用されます。

最後に設定した(アクティブな)キャプチャを削除すると、他のコンテキストにキャプチャが設定されている場合でも、アクティブなキャプチャが存在しなくなります。キャプチャをアクティブにするには、削除したキャプチャをもう一度追加する必要があります。

キャプチャの接続先となっているインターフェイスに入ったすべてのトラフィック(キャプチャ アクセス リストと一致したもの)がキャプチャされます。これには、共有 VLAN 上の他のコンテキストへのトラフィックも含まれます。

したがって、コンテキスト B でも使用されている VLAN 上のコンテキスト A でキャプチャをイネーブルにすると、コンテキスト A とコンテキスト B の両方の入トラフィックがキャプチャされます。

出トラフィックでは、アクティブなキャプチャが設定されたコンテキストのトラフィックだけがキャプチャされます。唯一の例外は、ICMP インスペクションをイネーブルにしていない(これにより、アクセラレーション パスで ICMP トラフィックのセッションが開始されない)場合です。この場合は、共有 VLAN 上のすべてのコンテキストの入 ICMP トラフィックと出 ICMP トラフィックの両方がキャプチャされます。

パケット キャプチャの設定

通常、キャプチャを設定する場合には、キャプチャ対象のトラフィックを照合するアクセス リストを設定する必要があります。トラフィック パターンを照合するアクセス リストを設定したら、キャプチャを定義し、このアクセス リストをキャプチャと、キャプチャの設定対象となるインターフェイスに関連付ける必要があります。キャプチャが機能するのは、アクセス リストとインターフェイスが IPv4 トラフィック用のキャプチャに関連付けられている場合だけです。IPv6 トラフィックには、アクセス リストは必要ありません。

IPv4 トラフィック用のパケット キャプチャを設定する手順は、次のとおりです。


ステップ 1 「拡張アクセス リストの追加」に従って、キャプチャする必要のあるトラフィックを照合する拡張アクセス リストを設定します。

次に、すべてのトラフィックを識別するアクセス リストの例を示します。

hostname(config)# access-list capture extended permit ip any any
 

ステップ 2 キャプチャを設定するには、次のコマンドを入力します。

hostname(config)# capture name access-list acl_name interface interface_name
 

デフォルトでは、キャプチャを設定すると、サイズが 512 KB のリニア キャプチャ バッファが作成されます。循環バッファを任意に設定できます。デフォルトでは、68 バイトのパケットだけがバッファ内にキャプチャされます。この値を任意に変更できます。これらのオプションとその他のオプションについては、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の capture コマンドの説明を参照してください。

次に、ステップ 1 で設定した(外部インターフェイスに適用される)キャプチャ アクセス リストを使用して、ip-capture というキャプチャを作成するコマンドの例を示します。

hostname(config)# capture ip-capture access-list capture interface outside
 

ステップ 3 キャプチャを表示するには、次のコマンドを入力します。

hostname(config)# show capture name
 

copy capture コマンドを使用してキャプチャをコピーすることもできます。詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。

ステップ 4 バッファを保持してキャプチャを終了するには、次のコマンドを入力します。

hostname(config)# no capture name access-list acl_name interface interface_name
 

ステップ 5 バッファを削除してキャプチャを終了するには、次のコマンドを入力します。

hostname(config)# no capture name
 


 

クラッシュ ダンプの表示

FWSM がクラッシュした場合は、クラッシュ ダンプ情報を表示できます。クラッシュ ダンプを解釈する際には、Cisco TAC に連絡することを推奨します。『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の show crashdump コマンドの説明を参照してください。

一般的な問題

ここでは、FWSM の一般的な問題と、問題の解決方法について説明します。

症状 スイッチの CLI から FWSM をリセットすると、システムが常にメンテナンス パーティションで起動される。

考えられる原因 デフォルトのブート パーティションが cf:1 に設定されています。

推奨処置 「デフォルト ブート パーティションの設定」の説明に従って、デフォルトのブート パーティションを変更します。

症状 アプリケーション パーティションと同じパスワードでメンテナンス パーティションにログインできない。

考えられる原因 アプリケーション パーティションとメンテナンス パーティションのパスワード データベースが異なっています。

推奨処置 パーティションに対応するパスワードを使用します。詳細については、「パスワードの変更」を参照してください。

症状 トラフィックが FWSM を通過しない。

考えられる原因 VLAN がスイッチ上に設定されていないか、FWSM に割り当てられていません。

推奨処置 VLAN を設定し、「ファイアウォール サービス モジュールへの VLAN の割り当て」の説明に従って FWSM に VLAN を割り当てます。

症状 コンテキスト内で VLAN インターフェイスを設定できない。

考えられる原因 その VLAN はコンテキストに割り当てられていません。

推奨処置 「セキュリティ コンテキストの設定」の説明に従って、コンテキストに VLAN を割り当てます。

症状 MSFC に複数の Switched Virtual Interface(SVI; スイッチ仮想インターフェイス)を追加できない。

考えられる原因 複数の SVI がイネーブルに設定されていません。

推奨処置 「MSFC へのスイッチ仮想インターフェイスの追加」の説明に従って、複数の SVI をイネーブルにします。

症状 FWSM のインターフェイスに Telnet も SSH(セキュア シェル)も接続できない。

考えられる原因 FWSM への Telnet 接続も SSH 接続もイネーブルに設定されていません。

推奨処置 「Telnet アクセスの許可」または「SSH アクセスの許可」の説明に従って FWSM への Telnet 接続または SSH 接続をイネーブルにします。

症状 FWSM のインターフェイスに ping を実行できない。

考えられる原因 FWSM への ICMP がイネーブルに設定されていません。

推奨処置 「FWSM との ICMP 送受信の許可」の説明に従って FWSM への ICMP をイネーブルにします。

症状 アクセス リストで許可されているにも関わらず、FWSM 経由で ping を実行できない。

考えられる原因 ICMP インスペクション エンジンがイネーブルに設定されていないか、送信元インターフェイスおよび宛先インターフェイスの両方にアクセス リストが適用されていません。

推奨処置 ICMP はコネクションレス型プロトコルであるため、FWSM は戻りトラフィックの通過を自動的に許可しません。応答トラフィックを許可するには、送信元インターフェイスだけでなく宛先インターフェイスにもアクセス リストを適用するか、または ICMP インスペクション エンジンをイネーブルにして、ICMP 接続をステートフル接続として処理します。

症状 セキュリティの高いインターフェイスからセキュリティの低いインターフェイスへのトラフィックが FWSM を通過しない。

考えられる原因 セキュリティの高いインターフェイスに、トラフィックを許可するアクセス リストが適用されていません。PIX ファイアウォールとは異なり、FWSM はインターフェイス間のトラフィックの通過を自動的に許可しません。

推奨処置 送信元インターフェイスに、トラフィックを許可するアクセス リストを適用します。「拡張アクセス リストの追加」を参照してください。

症状 同じセキュリティ レベルの 2 つのインターフェイス間でトラフィックを転送できない。

考えられる原因 同じセキュリティ レベルのインターフェイス間のトラフィックを許可する機能が、イネーブルに設定されていません。

推奨処置 「同一セキュリティ レベルのインターフェイス間の通信の許可」の説明に従って、この機能をイネーブルにします。

症状 FWSM でフェールオーバーが実行された場合でも、セカンダリ ユニットがトラフィックを転送しない。

考えられる原因 両方の装置に共通の VLAN が割り当てられていません。

推奨処置 スイッチ コンフィギュレーションで、両方の装置に共通の VLAN が割り当てられているかどうかを確認します。