Cisco ASA サービス モジュール CLI コンフィギュレーション ガイド ソフトウェア バージョン 8.5
トラブルシューティング
トラブルシューティング
発行日;2012/09/24 | 英語版ドキュメント(2012/05/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

トラブルシューティング

コンフィギュレーションのテスト

ICMP デバッグ メッセージと Syslog メッセージのイネーブル化

のインターフェイスへの ping の実行

上のトラフィックの通過

テスト コンフィギュレーションのディセーブル化

トレースルートによるパケット ルーティングの決定

パケット トレーサによるパケットの追跡

TCP パケット損失の処理

のリロード

パスワード回復の実行

のパスワードの回復

パスワード回復のディセーブル化

SSM ハードウェア モジュールのパスワードのリセット

ソフトウェア イメージをロードするための ROM モニタの使用

フラッシュ ファイル システムの消去

その他のトラブルシューティング ツール

デバッグ メッセージの表示

パケットの取得

クラッシュ ダンプの表示

コアダンプ

プロセスごとの CPU 使用状況のモニタリング

一般的な問題

コンフィギュレーションのテスト

この項では、シングル モード ASASMまたは各セキュリティ コンテキストの接続性のテスト方法、ASASM インターフェイスを ping する方法、およびあるインターフェイスにあるホストが他のインターフェイスのホストに ping できるようにする方法について説明します。

ping メッセージおよびデバッグ メッセージはトラブルシューティング時に限りイネーブルにしてください。ASASM のテストが終了したら、「テスト コンフィギュレーションのディセーブル化」の手順に従ってください。

この項は、次の内容で構成されています。

「ICMP デバッグ メッセージと Syslog メッセージのイネーブル化」

「ASASM のインターフェイスへの ping の実行」

「ASASM 上のトラフィックの通過」

「テスト コンフィギュレーションのディセーブル化」

「トレースルートによるパケット ルーティングの決定」

「パケット トレーサによるパケットの追跡」

「TCP パケット損失の処理」

ICMP デバッグ メッセージと Syslog メッセージのイネーブル化

デバッグ メッセージと syslog メッセージは、ping が成功しない理由をトラブルシューティングするのに役立ちます。ASASMでは、ASASM インターフェイスへの ping に対する ICMP デバッグ メッセージだけが表示されます。ASASMを経由する他のホストへの ping に対する ICMP デバッグ メッセージは表示されません。デバッグ メッセージと syslog メッセージをイネーブルにするには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

debug icmp trace
 
hostname(config)# debug icmp trace

ASASM インターフェイスへの ping の ICMP パケット情報を表示します。

ステップ 2

logging monitor debug
 
hostname(config)# logging monitor debug

Telnet セッションまたは SSH セッションに送信する syslog メッセージを設定します。


) あるいは、logging buffer debug コマンドを使用してログ メッセージをバッファに送信してから、show logging コマンドを使用してそれらを表示することもできます。


ステップ 3

terminal monitor
 
hostname(config)# terminal monitor

Telnet セッションまたは SSH セッションに syslog メッセージを送信します。

ステップ 4

logging on
 
hostname(config)# logging on

syslog メッセージの生成をイネーブルにします。

デフォルト グローバル ポリシーへの ICMP インスペクションをイネーブルにするには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

policy-map name
 

hostname(config)# policy-map global_policy

ポリシー マップを設定し、アクションをトラフィック クラスに関連付けます。

ステップ 2

class classmap_ name
 

hostname(config-pmap)# class inspection_default

クラス マップ トラフィックにアクションを割り当てることができるように、クラス マップをポリシー マップに割り当てます。

ステップ 3

inspect icmp
 
hostname(config)# inspect icmp

ICMP インスペクションをイネーブルにします。

次に、外部ホスト(209.165.201.2)から ASASM の外部インターフェイス(209.165.201.1)への ping が成功した例を示します。

hostname(config)# debug icmp trace
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 512) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 768) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 768) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 1024) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 1024) 209.165.201.1 > 209.165.201.2
 

この出力では、ICMP パケット長(32 バイト)、ICMP パケット識別子(1)、および ICMP シーケンス番号(ICMP シーケンス番号は 0 から始まり、要求が送信されるたびに増分されます)が示されています。

ASASM のインターフェイスへの ping の実行

ASASM インターフェイスが起動して動作しているかどうか、およびASASMと接続ルータが正しく動作しているかどうかをテストするには、ASASM インターフェイスを ping します。ASASM インターフェイスを ping するには、次の手順を実行します。


ステップ 1 インターフェイス名、セキュリティ レベル、および IP アドレスを示すシングル モードのASASMまたはセキュリティ コンテキストの図を作成します。


) この手順では IP アドレスを使用しますが、ping コマンドでは、DNS 名および name コマンドを使用してローカル IP アドレスに割り当てられた名前もサポートされます。


図には、直接接続されたすべてのルータ、および ASASM を ping するルータの反対側にあるホストも含める必要があります。この情報はこの手順と「ASASM 上のトラフィックの通過」の手順で使用します。(図 57-1を参照)。

図 57-1 インターフェイス、ルータ、およびホストを含むネットワーク図

 

ステップ 2 直接接続されたルータから各ASASM インターフェイスを ping します。トランスペアレント モードでは、管理 IP アドレスを ping します。このテストは、ASASM インターフェイスがアクティブであること、およびインターフェイス コンフィギュレーションが正しいことを確認します。

ASASM インターフェイスがアクティブではない場合、インターフェイス コンフィギュレーションが正しくない場合、またはASASMとルータの間でスイッチがダウンしている場合、ping は失敗する可能性があります(図 57-2 を参照)。この場合、パケットがASASMに到達しないので、デバッグ メッセージや syslog メッセージは表示されません。

図 57-2 ASASM インターフェイスへの ping の失敗

 

ping がASASMに到達し、応答があると、次のようなデバッグ メッセージが表示されます。

ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
 

ping 応答がルータに戻されない場合は、スイッチ ループまたは冗長 IP アドレスが存在する可能性があります(図 57-3 を参照)。

図 57-3 IP アドレッシングの問題による ping の失敗

 

ステップ 3 リモート ホストから各ASASM インターフェイスを ping します。トランスペアレント モードでは、管理 IP アドレスを ping します。このテストは、直接接続されたルータがホストとASASMの間でパケットをルーティングできるかどうか、およびASASMがパケットを正確にルーティングしてホストに戻せるかどうかを確認します。

中間ルータを通ってホストに戻るルートがASASMにない場合、ping は失敗する可能性があります(図 57-4 を参照)。この場合、デバッグ メッセージには ping が成功したことが示されますが、ルーティングの失敗を示す syslog メッセージ 110001 が表示されます。

図 57-4 セキュリティ アプライアンスに戻りルートがないことによる ping の失敗

 


 

ASASM 上のトラフィックの通過

ASASM インターフェイスを正常に ping した後で、トラフィックが ASASM を正常に通過できることを確認します。ルーテッド モードでは、このテストによって、Network Address Translation(NAT; ネットワーク アドレス変換)が正しく動作していることが示されます(設定されている場合)。トランスペアレント モードでは、NAT は使用されないので、このテストではASASMが正しく動作していることが確認されます。トランスペアレント モードで ping が失敗した場合は、Cisco TAC にお問い合わせください。

異なるインターフェイス上のホスト間で ping するには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

access-list ICMPACL extended permit icmp any any
 
hostname(config)# access-list ICMPACL extended permit icmp any any

発信元ホストから ICMP トラフィックを許可するアクセス リストを追加します。


) デフォルトでは、ホストが低セキュリティ インターフェイスにアクセスすると、すべてのトラフィックが通過を許可されます。ただし、高セキュリティ インターフェイスにアクセスするには、先行するアクセス リストが必要です。


ステップ 2

access-group ICMPACL in interface interface_name
 
hostname(config)# access-group ICMPACL in interface inside

各発信元インターフェイスにアクセス リストを割り当てます。各発信元インターフェイスに対してこのコマンドを繰り返します。

ステップ 3

class-map ICMP-CLASS
match access-list ICMPACL
policy-map ICMP-POLICY
class ICMP-CLASS
inspect icmp
service-policy ICMP-POLICY global
 
hostname(config)# class-map ICMP-CLASS
hostname(config-cmap)# match access-list ICMPACL
hostname(config)# policy-map ICMP-POLICY
hostname(config-pmap)# class ICMP-CLASS
hostname(config-pmap)# inspect icmp
hostname(config)# service-policy ICMP-POLICY global

ICMP インスペクション エンジンをイネーブルにして、ICMP 応答が発信元ホストに戻されるようにします。

低セキュリティ インターフェイスにアクセスする場合は、ICMP インスペクションをイネーブルにする必要があります。ただし、高セキュリティ インターフェイスにアクセスするには、ICMP インスペクションおよび先行するアクセス リストをイネーブルにする必要があります。


) あるいは、ICMP アクセス リストを宛先インターフェイスに適用し、ASASMを介して ICMP トラフィックを戻すこともできます。


ステップ 4

logging on
 
hostname(config)# logging on

syslog メッセージの生成をイネーブルにします。

ping が成功すると、ルーテッド モードのアドレス変換(305009 または 305011)と ICMP 接続が確立されたこと(302020)を確認する syslog メッセージが表示されます。 show xlate コマンドまたは show conns コマンドを入力してこの情報を表示することもできます。

トランスペアレント モードの ping が失敗した場合は、Cisco TAC にお問い合わせください。

ルーテッド モードでは、NAT が正しく設定されていないために ping が失敗することがあります(図 57-5 を参照)。この場合、NAT が失敗したことを示す syslog メッセージが表示されます(305005 または 305006)。外部ホストから内部ホストに ping し、スタティック変換がない場合は、次の syslog メッセージが表示されます。

%ASA-3-106010: deny inbound icmp.

(注) ASASMでは、ASASM インターフェイスへの ping に対する ICMP デバッグ メッセージだけが表示されます。ASASMを経由する他のホストへの ping に対する ICMP デバッグ メッセージは表示されません。

図 57-5 ASASM のアドレス変換の問題による ping の失敗

 

 

テスト コンフィギュレーションのディセーブル化

テストの完了後、ICMP のASASMへの送信および通過を許可し、デバッグ メッセージを表示するテスト コンフィギュレーションをディセーブルにします。このコンフィギュレーションをそのままにしておくと、深刻なセキュリティ リスクが生じる可能性があります。また、デバッグ メッセージはASASMのパフォーマンスを低下させます。

テスト コンフィギュレーションをディセーブルにするには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

no debug icmp trace
 

hostname (config)# no debug icmp trace

ICMP デバッグ メッセージをディセーブルにします。

ステップ 2

no logging on
 
hostname (config)# no logging on

ロギングをディセーブルにします。

ステップ 3

no access-list ICMPACL
 
hostname (config)# no access-list ICMPACL

ICMPACL アクセス リストを削除し、関連する access-group コマンドを削除します。

ステップ 4

no service-policy ICMP-POLICY
 
hostname (config)# no service-policy ICMP-POLICY

(任意)ICMP インスペクション エンジンをディセーブルにします。

トレースルートによるパケット ルーティングの決定

パケットのルートは、トレースルート機能を使用してトレースできます。この機能には、 traceroute コマンドでアクセスできます。トレースルートは、無効なポート上の宛先に UDP パケットを送信することで機能します。ポートが有効ではないため、宛先までの間にあるルータから ICMP Time Exceeded メッセージが返され、ASASMにエラーが報告されます。

パケット トレーサによるパケットの追跡

パケット トレーサ ツールは、パケット スニフィングとネットワーク障害箇所特定のためのパケット追跡を実現するとともに、パケットに関する詳細情報とASASMによるパケットの処理方法を示します。コンフィギュレーション コマンドが原因でパケットがドロップしたのではない場合、パケット トレーサ ツールにより、原因に関する詳細な情報が読みやすい形式で表示されます。

また、パケットが正しく動作しているかどうかを確認するために、パケット トレーサ ツールを使用して、ASASMを通過するパケットのライフスパンをトレースできます。このツールでは、次の処理を行うことができます。

ネットワーク内にドロップするすべてのパケットをデバッグする。

コンフィギュレーションが意図したとおりに機能しているかを確認する。

パケットに適用可能なすべてのルール、およびルールが追加される原因となった CLI コマンドを表示する。

データ パス内でのパケット変化を時系列で表示する。

データ パスにトレーサ パケットを挿入する。

ユーザ ID と FQDN に基づく IPv4 または IPv6 アドレスを検索します。

パケットを追跡するには、次のコマンドを入力します。

 

コマンド
目的
packet-tracer input [ ifc_name ] [ icmp [ sip | user username | fqdn fqdn-string ] type code ident [ dip | fqdn fqdn-string ]] | [ tcp [ sip | user username | fqdn fqdn-string ] sport [ dip | fqdn fqdn-string ] dport ] | [ udp [ sip | user username | fqdn fqdn- string ] sport [ dip | fqdn fqdn-string ] dport ] | [ rawip [ sip | user username | fqdn fqdn-string ] [ dip | fqdn fqdn-string ]] [ detailed ] [ xml ]
 

hostname# packet-tracer input inside tcp 10.2.25.3 www 209.165.202.158 aol detailed

パケットに関する詳細情報とASASMによるパケットの処理方法を示します。詳細情報を出力し、内部ホスト 10.2.25.3 から外部ホスト 209.165.202.158 にパケット トレーシングをイネーブルにする例を示します。

TCP パケット損失の処理

TCP パケット損失のトラブルシューティングの詳細については、「TCP マップを使用した TCP ノーマライザのカスタマイズ」を参照してください。

ASASM のリロード

ASASMをリロードするには、次のコマンドを入力します。

 

コマンド
目的
reload
 
hostname (config)# reload

ASASM を再起動します。

(注) マルチ モードでは、システム実行スペースからしかリロードできません。

パスワード回復の実行

この項では、パスワードを忘れた場合、または AAA 設定のためにロックアウトされた場合にパスワードを回復する方法、およびセキュリティ向上のためにパスワードの回復をディセーブルにする方法について説明します。この項は、次の内容で構成されています。

「ASASM のパスワードの回復」

「パスワード回復のディセーブル化」

「SSM ハードウェア モジュールのパスワードのリセット」

ASASM のパスワードの回復

ASASM のパスワードを回復するには、次の手順を実行します。


ステップ 1 「コマンドライン ASA サービス モジュールインターフェイスへのアクセス」に従って、ASASM のコンソール ポートに接続します。

ステップ 2 ASASMの電源を切ってから、投入します。

ステップ 3 スタートアップ後、ROMMON モードに入るようにプロンプトが表示されたら、 Escape キーを押します。

ステップ 4 コンフィギュレーション レジスタ値をアップデートするには、次のコマンドを入力します。

rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM...
 

ステップ 5 スタートアップ コンフィギュレーションを無視するようにASASMを設定するには、次のコマンドを入力します。

rommon #1> confreg
 

ASASM によって現在のコンフィギュレーションのレジスタ値が表示され、それを変更するかどうかが尋ねられます。

Current Configuration Register: 0x00000041
Configuration Summary:
boot default image from Flash
ignore system configuration
 
Do you wish to change this configuration?y/n [n]: y
 

ステップ 6 後で回復できるように、現在のコンフィギュレーションのレジスタ値を記録します。

ステップ 7 値を変更する場合は、プロンプトに対して Y を入力します。

ASASMによって、新しい値の入力を求めるプロンプトが表示されます。

ステップ 8 すべての設定についてデフォルト値を受け入れます。プロンプトに対して、 Y を入力します。

ステップ 9 次のコマンドを入力して、ASASMをリロードします。

rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
 
Loading disk0:/asa800-226-k8.bin... Booting...Loading...
 

ASASM は、スタートアップ コンフィギュレーションの代わりにデフォルト コンフィギュレーションをロードします。

ステップ 10 次のコマンドを入力して、特権 EXEC モードにアクセスします。

hostname# enable
 

ステップ 11 パスワードの入力を求められたら、 Enter キーを押します。

パスワードは空白です。

ステップ 12 次のコマンドを入力して、スタートアップ コンフィギュレーションをロードします。

hostname# copy startup-config running-config
 

ステップ 13 次のコマンドを入力して、グローバル コンフィギュレーション モードにアクセスします。

hostname# configure terminal
 

ステップ 14 次のコマンドを入力して、デフォルト コンフィギュレーションで必要に応じてパスワードを変更します。

hostname(config)# password password
hostname(config)# enable password password
hostname(config)# username name password password
 

ステップ 15 次のコマンドを入力して、デフォルト コンフィギュレーションをロードします。

hostname(config)# no config-register
 

デフォルト コンフィギュレーションのレジスタ値は 0x1 です。コンフィギュレーション レジスタの詳細については、 コマンド リファレンスを参照してください。

ステップ 16 次のコマンドを入力して、新しいパスワードをスタートアップ コンフィギュレーションに保存します。

hostname(config)# copy running-config startup-config
 


 

パスワード回復のディセーブル化

権限のないユーザがパスワード回復メカニズムを使用してASASMを危険にさらすことがないように、パスワード回復をディセーブルにするには、次のコマンドを入力します。

 

コマンド
目的
no service password-recovery
 

hostname (config)# no service password-recovery

パスワード回復をディセーブルにします。

ASASM で、 no service password-recovery コマンドを使用すると、ROMMON モードに入って、コンフィギュレーションを変更するのを防ぐことができます。ROMMON モードに入ると、ASASM では、すべてのフラッシュ ファイル システムの消去を求めるプロンプトが表示されます。最初に消去を実行しないと、ROMMON モードを開始できません。フラッシュ ファイル システムを消去しない場合、ASASM はリロードされます。パスワード回復は ROMMON モードの使用と既存のコンフィギュレーションの保持に依存しているので、この消去によって、パスワードの回復ができなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態に回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。

コンフィギュレーション ファイルに表示される service password-recovery コマンドは、情報のためだけのものです。CLI プロンプトに対してコマンドを入力すると、設定は NVRAM に保存されます。設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なるバージョンで新規コンフィギュレーションをロードしても、設定は変更されません。ASASMが(パスワード回復の準備で)スタートアップ時にスタートアップ コンフィギュレーションを無視するように設定されている場合にパスワード回復をディセーブルにすると、ASASMは通常どおりスタートアップ コンフィギュレーションをロードするように設定を変更します。フェールオーバーを使用し、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置が設定されている場合は、 no service password recovery コマンドでスタンバイ装置に複製したときにコンフィギュレーション レジスタに同じ変更が加えられます。

SSM ハードウェア モジュールのパスワードのリセット

SSM ハードウェア モジュールのパスワードをデフォルトの「cisco」にリセットするには、次のコマンドを入力します。


) SSM ハードウェア モジュールがアップ状態にあり、パスワードのリセットがサポートされていることを確認します。


 

コマンド
目的
hw-module module 1 password-reset
Reset the password on module in slot 1? [confirm] y
hostname# y

ここで、 1 は、SSM ハードウェア モジュール上の指定したスロット番号です。


) AIP SSM で、このコマンドを入力するとハードウェア モジュールがリブートされます。モジュールはリブートが終了するまでオフラインです。モジュールのステータスをモニタするには、show module コマンドを入力します。AIP SSM では、バージョン 6.0 以降でこのコマンドがサポートされています。

CSC SSM で、このコマンドを入力すると、パスワードがリセットされた後でハードウェア モジュールの Web サービスがリセットされます。ASDM への接続が失われる、またはハードウェア モジュールからログ アウトされることがあります。CSC SSM では、2010 年 1 月、最新バージョン 6.3 以降のリリースでこのコマンドがサポートされています。


ASASM ソフトウェア イメージをロードするための ROM モニタの使用

TFTP を使用して ROM モニタ モードから ASASM へソフトウェア イメージをロードするには、次の手順を実行します。


ステップ 1 「コマンドライン ASA サービス モジュールインターフェイスへのアクセス」に従って、ASASM のコンソール ポートに接続します。

ステップ 2 ASASM イメージをリロードすることを確認します。

ステップ 3 スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、 Escape キーを押します。

ステップ 4 ROMMOM モードで、IP アドレス、TFTP サーバ アドレス、ゲートウェイ アドレス、ソフトウェア イメージ ファイル、ポートおよび VLAN を含む、ASASM に対するインターフェイス設定を次のように定義します。

rommon #1> ADDRESS=172.16.145.149
rommon #2> SERVER=172.16.171.125
rommon #3> GATEWAY=172.16.145.129
rommon #4> IMAGE=f1/asa851-smp-k8.bin
rommon #5> PORT=Data0
rommon #6> VLAN=1
Data0
Link is UP
MAC Address: 0012.d949.15b8

) ネットワークへの接続がすでに存在することを確認してください。


ステップ 5 設定を検証するには、 set コマンドを入力します。

rommon #7> set
ROMMON Variable Settings:
ADDRESS=172.16.145.149
SERVER=172.16.171.125
GATEWAY=172.16.145.129
PORT=Data0
VLAN=1
IMAGE=f1/asa851-smp-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=2
RETRY=20
 

ステップ 6 ping server コマンドを入力して、TFTP サーバを ping します。

rommon #8> ping server
Sending 20, 100-byte ICMP Echoes to server 172.16.171.125, timeout is 2 seconds:
 
Success rate is 100 percent (20/20)
 

ステップ 7 tftp コマンドを入力して、ソフトウェア イメージをロードします。

rommon #9> tftp
Clearing EOBC receive queue ...
cmostime_set = 1
ROMMON Variable Settings:
ADDRESS=172.16.145.149
SERVER=172.16.171.125
GATEWAY=172.16.145.129
PORT=Data0
VLAN=1
IMAGE=f1/asa851-smp-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=2
RETRY=20
 
tftp f1/asa851-smp-k8.bin@172.16.171.125 via 172.16.145.129
Starting download.Press ESC to abort.
 

ソフトウェア イメージが正常にロードされたら、ASASMにより ROMMOM モードが自動的に終了します。


) ROMMON のブート完了後に、システム フラッシュにイメージを個別にダウンロードする必要があります。ROMMON モードにモジュールをブートすると、リロード時にシステム イメージが維持されません。


ステップ 8 正しいソフトウェア イメージが ASASM にロードされたことを検証するには、次のコマンドを入力して、バージョンを確認します。

hostname# show version
 


 

フラッシュ ファイル システムの消去

フラッシュ ファイル システムを消去するには、次の手順を実行します。


ステップ 1 「コマンドライン ASA サービス モジュールインターフェイスへのアクセス」に従って、ASASM のコンソール ポートに接続します。

ステップ 2 ASASM の電源を切ってから、投入します。

ステップ 3 スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、 Escape キーを押します。

ステップ 4 非表示のシステム ファイルを含め、すべてのファイルを上書きしてファイル システムを消去する erase コマンドを入力します。

rommon #1> erase [disk0: | disk1: | flash:]


 

その他のトラブルシューティング ツール

ASASMには、使用できるその他のトラブルシューティング ツールがあります。この項は、次の内容で構成されています。

「デバッグ メッセージの表示」

「パケットの取得」

「クラッシュ ダンプの表示」

「コアダンプ」

「プロセスごとの CPU 使用状況のモニタリング」

デバッグ メッセージの表示

デバッグ出力は CPU プロセスで高プライオリティが割り当てられているため、デバッグ出力を行うとシステムが使用できなくなることがあります。このため、特定の問題のトラブルシューティングを行う場合や、Cisco TAC とのトラブルシューティング セッションの間に限り debug コマンドを使用してください。さらに、 debug コマンドはネットワーク トラフィックとユーザが少ないときに使用することをお勧めします。このような時間帯を選んでデバッグを実行すると、 debug コマンドの処理の負担によってシステム利用が影響を受ける可能性が少なくなります。デバッグ メッセージをイネーブルにする方法は、コマンド リファレンスの debug コマンドを参照してください。

パケットの取得

パケットの取得は、接続障害のトラブルシューティングや不審なアクティビティのモニタを行う場合に便利です。パケット取得機能を使用する場合は、Cisco TAC に連絡することをお勧めします。 コマンド リファレンス capture コマンドを参照してください。

クラッシュ ダンプの表示

ASASMがクラッシュした場合に、クラッシュ ダンプ情報を表示できます。クラッシュ ダンプの内容を調べる必要がある場合は、Cisco TAC に連絡することをお勧めします。 コマンド リファレンス show crashdump コマンドを参照してください。

コアダンプ

コア ダンプは、プログラムが異常終了(クラッシュ)した場合の実行中のプログラムのスナップショットです。コア ダンプは、エラーを診断またはデバッグするため、および障害を後からオフサイトで分析できるよう、クラッシュを保存するために使用されます。Cisco TAC では、ユーザがコア ダンプ機能をイネーブルにして、ASASMでのアプリケーションまたはシステムのクラッシュをトラブルシューティングする必要がある場合があります。 コマンド リファレンス coredump コマンドを参照してください。

プロセスごとの CPU 使用状況のモニタリング

CPU 上で実行されているプロセスをモニタリングできます。特定のプロセスに使用する CPU 使用率に関する情報を取得できます。CPU 使用率に関する統計情報は、最も高い使用率を最上部に表示する降順にソートされます。また、ログ時刻の 5 秒、1 分、5 分前の、プロセスごとの CPU 負荷に関する情報も含まれます。この情報は 5 秒おきに更新されるため、リアルタイムの統計を確認できます。任意の設定済みコンテキストで消費される、プロセス関連の CPU へ負荷の内訳を確認するには、show process cpu-usage sorted コマンドを使用できます。

一般的な問題

この項では、ASASMの一般的な問題とそれらを解決する方法について説明します。

症状 コンテキスト コンフィギュレーションが保存されておらず、リロード時に失われました。

考えられる原因 コンテキスト実行スペース内で各コンテキストを保存しませんでした。コマンドラインでコンテキストを設定している場合、次のコンテキストに切り替える前に現在のコンテキストを保存しませんでした。

推奨処置 copy run start コマンドを使用して、コンテキスト実行スペース内で各コンテキストを保存します。アクティブ コンフィギュレーションとして、スタートアップ コンフィギュレーションをロードします。その後、パスワードを変更し、copy run start コマンドを入力します。システム実行スペースからはコンテキストを保存できません。

症状 ASASM インターフェイスへの Telnet または SSH 接続を確立できません。

考えられる原因 ASASMへの Telnet または SSH をイネーブルにしていません。

推奨処置 「ASDM、Telnet、または SSH の ASA アクセスの設定」に従って、ASASM への Telnet または SSH をイネーブルにします。

症状 ASASM インターフェイスを ping できません。

考えられる原因 ASASMへの ICMP をディセーブルにしています。

推奨処置 icmp コマンドを使用して、IP アドレス用にASASMへの ICMP をイネーブルにします。

症状 アクセス リストで許可されていても、ASASMを介して ping することができません。

考えられる原因 ICMP インスペクション エンジンをイネーブルにしていないか、入力インターフェイスと出力インターフェイスの両方でアクセス リストを適用していません。

推奨処置 ICMP はコネクションレス型プロトコルなので、ASASMはトラフィックが戻ることを自動的には許可しません。応答トラフィックを許可するために、入力インターフェイスだけではなく出力インターフェイスにもアクセス リストを適用するか、あるいは ICMP 接続がステートフル接続として扱われるように ICMP インスペクション エンジンをイネーブルにします。

症状 同一セキュリティ レベルにある 2 つのインターフェイス間をトラフィックが通過しません。

考えられる原因 同一セキュリティ レベルにあるインターフェイス間をトラフィックが通過できるようにする機能をイネーブルにしていません。

推奨処置 「同じセキュリティ レベルの通信の許可」の説明に従って、この機能をイネーブルにします。

症状 スタンバイ デバイスへのフェールオーバー中に IPSec トンネルが二重化されません。

考えられる原因 ASASMが接続されているスイッチ ポートが 1000 ではなく 10/100 に設定されています。

推奨処置 ASASMが接続されているスイッチ ポートを 1000 に設定します。