Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド
Firewall Services Module のモニタお よびトラブルシューティング
Firewall Services Moduleのモニタおよびトラブルシューティング
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Firewall Services Moduleのモニタおよびトラブルシューティング

のモニタリング

システム メッセージの使用方法

SNMPの使用方法

SNMPの概要

SNMPのイネーブル化

FWSMのトラブルシューティング

コンフィギュレーションのテスト

ICMPデバッグ メッセージおよびシステム メッセージのイネーブル化

のインターフェイスへのpingの実行

経由のpingの実行

テスト コンフィギュレーションのディセーブル化

のリロード

CLIからののリロード

スイッチからののリロード

パスワードおよびAAAのトラブルシューティング

アプリケーション パーティションのパスワードおよびAAA設定のクリア

メンテナンス パーティションのパスワードの回復

その他のトラブルシューティング ツール

デバッグ メッセージの表示

パケットのキャプチャ

クラッシュ ダンプの表示

一般的な問題

Firewall Services Moduleのモニタおよびトラブルシューティング

この章では、Firewall Services Module(FWSM)のモニタおよびトラブルシューティングの方法について説明します。内容は次のとおりです。

「FWSMのモニタリング」

「FWSMのトラブルシューティング」

FWSMのモニタリング

FWSMは、システム メッセージまたはSNMP(簡易ネットワーク管理プロトコル)を使用してモニタできます。ここでは、次の内容について説明します。

「システム メッセージの使用方法」

「SNMPの使用方法」

システム メッセージの使用方法

FWSMには、多数のシステム メッセージが提供されています。ロギングを設定し、システム メッセージの説明を表示する手順は、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module System Messages Guide 』を参照してください。

SNMPの使用方法

ここでは、SNMPの使用方法について説明します。内容は次のとおりです。

「SNMPの概要」

「SNMPのイネーブル化」

SNMPの概要

FWSMは、SNMP v1を使用したネットワーク モニタをサポートしています。FWSMではラップおよびSNMP Get要求はサポートされますが、SNMP Set要求はサポートされません。

FWSMからNetwork Management Station(NMS;ネットワーク管理ステーション)にトラップ(イベント通知)が送信されるように設定したり、NMSを使用してFWSM上のManagement Information Base(MIB;管理情報ベース)を参照できます。MIBは定義の集合で、FWSMは各定義の値のデータベースを保持します。MIBを参照するには、NMSからSNMP Get要求を発行します。SNMPトラップを受信して、MIBを参照するには、CiscoWorks for Windowsまたは任意の他のSNMP v1、MIB-II準拠ブラウザを使用します。

表 17-1 に、サポート対象のMIB、FWSMのトラップ、およびマルチモードの各コンテキストのトラップを示します。Cisco MIBは、次のWebサイトからダウンロードできます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

ダウンロードしたMIBを、NMS用にコンパイルします。

 

表 17-1 SNMPのMIBおよびトラップのサポート

サポート対象のMIB
またはトラップ
説明

SNMPコア トラップ

FWSMは、次のコアSNMPトラップを送信します。

認証 ― NMSが正しいコミュニティ ストリングを認証しなかったためにSNMP要求に失敗した場合

リンクアップ ― VLANインターフェイスがアップになった場合

リンクダウン ― nameif コマンドが削除された場合や、スイッチ コンフィギュレーションからVLANが削除された場合などの理由により、VLANインターフェイスがダウンした場合

コールドスタート ― FWSMを再起動して実行した場合

MIB-II

FWSMは、次のグループおよびテーブルの参照をサポートしています。

システム

インターフェイス

ip.ipAddrTable

Cisco Firewall MIB

FWSMは、次のグループの参照をサポートしています。

cfwEvents

cfwSystem

この情報は、単一コンテキストではなく装置全体のフェールオーバー ステータスに関するcfwSystem.cfwStatusです。

FWSMは、次のトラップをサポートしています。

cfwSecurityNotification

Ciscoメモリ プールMIB

FWSMは、次のテーブルの参照をサポートしています。

ciscoMemoryPoolTable ― このテーブルに保管されるメモリ使用状況は、FWSMの汎用プロセッサだけに適用され、ネットワーク プロセッサには適用されません。

CiscoプロセスMIB

FWSMは、次のテーブルの参照をサポートしています。

cpmCPUTotalTable ― このテーブルに保管されるCPU使用率は、FWSMの汎用プロセッサだけに適用され、ネットワーク プロセッサには適用されません。

Cisco Syslog MIB

FWSMは、次のトラップをサポートしています。

clogMessageGenerated

このMIBは参照できません。

SNMPのイネーブル化

FWSM上で実行されるSNMPエージェントは、2つの機能を実行します。

NMSからのSNMP要求への応答

NMSへのトラップ(イベント通知)の送信

SNMPエージェントをイネーブルにし、FWSMに接続できるNMSを指定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、FWSMに接続できるNMSのIPアドレスを指定します。

FWSM/contexta(config)# snmp-server host interface_name ip_address [trap | poll] [udp-port port]
 

NMSをトラップ受信またはブラウジング(ポーリング)だけに制限する場合には、 trap または poll を指定します。デフォルトでは、NMSは両方の機能を実行します。

SNMPトラップは、デフォルトではUDPポート162上で送信されます。ポート番号を変更するには、 udp-port キーワードを使用します。

ステップ 2 次のコマンドを入力して、コミュニティ ストリングを指定します。

FWSM/contexta(config)# snmp-server community key
 

SNMPコミュニティ ストリングは、FWSMとNMS間の共有シークレットです。キーには、最大32文字の値を大文字と小文字を区別して指定します。スペースは入力できません。デフォルトは、 public です。

ステップ 3 (任意)SNMPサーバの位置またはコンタクト情報を設定する場合には、次のコマンドを入力します。

FWSM/contexta(config)# snmp-server {contact | location} text
 

ステップ 4 次のコマンドを入力して、FWSMからNMSへのトラップ送信をイネーブルにします。

FWSM/contexta(config)# snmp-server enable traps [all | syslog | firewall | snmp [trap1] [trap2] [...]]
 

デフォルトでは、SNMPコア トラップ( snmp )はイネーブルです。コマンドにトラップのタイプを指定しないと、デフォルトの syslog が使用されます。すべてのトラップをイネーブルまたはディセーブルにするには、 all オプションを入力します。 snmp を使用すると、各トラップ タイプを個別に指定できます。トラップのリストについては、表 17-1を参照してください。

ステップ 5 次のコマンドを入力して、システム メッセージがNMSにトラップとして送信されるように設定します。

FWSM/contexta(config)# logging history level
 

上記の snmp-server enable traps コマンドを使用して、 syslog トラップをイネーブルにしておく必要があります。

ステップ 6 次のコマンドを入力して、NMSに送信されるシステム メッセージが生成されるように、ロギングをイネーブルにします。

FWSM/contexta(config)# logging on
 


 

次に、FWSMで内部インターフェイス上のホスト192.168.3.2からの要求を受信し、FWSMからはSNMPトラップを送信しない例を示します。

FWSM/contexta(config)# snmp-server host 192.168.3.2
FWSM/contexta(config)# snmp-server location building 42
FWSM/contexta(config)# snmp-server contact kim lee
FWSM/contexta(config)# snmp-server community ohwhatakeyisthee
 

FWSMのトラブルシューティング

ここでは、FWSMのトラブルシューティングの手順について説明します。内容は次のとおりです。

「コンフィギュレーションのテスト」

「FWSMのリロード」

「パスワードおよびAAAのトラブルシューティング」

「その他のトラブルシューティング ツール」

「一般的な問題」

コンフィギュレーションのテスト

ここでは、シングルモードのFWSM、または各セキュリティ コンテキストについて、接続テストを行う手順について説明します。FWSMのインターフェイスにpingを実行する方法、および1つのインターフェイス上のホストから他のインターフェイス上のホストにpingを実行する方法が示されています。

トラブルシューティングでは、pingおよびデバッグに関するメッセージだけをイネーブルにすることを推奨します。FWSMのテストが終了したら、「テスト コンフィギュレーションのディセーブル化」の手順に従ってください。

ここでは、次の内容について説明します。

「ICMPデバッグ メッセージおよびシステム メッセージのイネーブル化」

「FWSMのインターフェイスへのpingの実行」

「FWSM経由のpingの実行」

「テスト コンフィギュレーションのディセーブル化」

ICMPデバッグ メッセージおよびシステム メッセージのイネーブル化

デバッグ メッセージおよびシステム メッセージは、pingが失敗した原因を判別する場合に役立ちます。FWSMには、FWSMのインターフェイスへのpingに関するICMPデバッグ メッセージだけが表示されます。FWSM経由で他のホストに宛てたpingのメッセージは表示されません。デバッグ メッセージおよびシステム メッセージをイネーブルにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、FWSMのインターフェイスへのpingに関するICMPパケット情報が表示されるように設定します。

FWSM/contexta(config)# debug icmp trace
 

ステップ 2 次のコマンドを入力して、TelnetまたはSSHセッションにシステム メッセージが送信されるように設定します。

FWSM/contexta(config)# logging monitor debug
 

または、 logging buffer debug コマンドを使用してメッセージをバッファに送信し、あとで show logging コマンドを使用して表示することもできます。

ステップ 3 次のコマンドを入力して、使用するTelnetまたはSSHセッションにシステム メッセージが送信されるように設定します。

FWSM/contexta(config)# terminal monitor
 

ステップ 4 次のコマンドを入力して、システム メッセージをイネーブルにします。

FWSM/contexta(config)# logging on
 


 

次に、外部ホスト(209.165.201.2)からFWSMの外部インターフェイス(209.165.201.1)へのpingに成功した例を示します。

FWSM/contexta(config)# debug icmp trace
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 512) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 768) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 768) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 1024) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 1024) 209.165.201.1 > 209.165.201.2
 

この例には、ICMPパケット長(32バイト)、ICMPパケットID(1)、およびICMPシーケンス番号が示されています(ICMPシーケンス番号は0から開始され、要求が送信されるごとに増分されます)。

FWSMのインターフェイスへのpingの実行

FWSMのインターフェイスがアップで実行中であり、FWSMと接続先ルータのルーティングが正しく実行されているかどうかをテストするには、FWSMのインターフェイスにpingを実行します。FWSMのインターフェイスにpingを実行する手順は、次のとおりです。


ステップ 1 シングルモードFWSM、またはインターフェイス名、セキュリティ レベル、およびIPアドレスを明記したセキュリティ コンテキストの接続図を作成します。この接続図には、直接接続されたルータ、およびFWSMに対してpingを実行するルータの反対側のホストも明記する必要があります。この情報は、ここで説明する手順、および「FWSM経由のpingの実行」の手順で使用します(図 17-1を参照)。

図 17-1 インターフェイス、ルータ、およびホストを明記したネットワーク接続図

 

ステップ 2 次のコマンドを入力して、FWSMへのICMPをイネーブルにします。

FWSM/contexta(config)# icmp permit any interface_name
 

テスト対象の各インターフェイスについて、このコマンドを入力します。

ステップ 3 直接接続された ルータからFWSMの各インターフェイスにpingを実行します。トランスペアレント モードの場合は、管理IPアドレスにpingを送信します。

このテストによって、FWSMのインターフェイスがアクティブで、VLANが正しく設定されているかどうかを確認します。

pingに失敗した場合、FWSMのインターフェイスがアクティブでないか、VLAN設定が不正であるか、またはFWSMとルータ間のスイッチがダウンしている可能性があります(図 17-2を参照)。失敗した場合、パケットが到達しないので、FWSM上にデバッグ メッセージまたはシステム メッセージは表示されません。

図 17-2 FWSMインターフェイスへのpingの失敗

 

pingがFWSMに到達し、FWSMから応答が返されると、次のようなデバッグ メッセージが表示されます。

ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
 

ping応答がルータに返らない場合、スイッチ ループが発生しているか、またはIPアドレスが重複している可能性があります(図 17-3を参照)。

図 17-3 IPアドレスの重複によるpingの失敗

 

ステップ 4 リモート ホストからFWSMの各インターフェイスにpingを実行します。トランスペアレント モードの場合は、管理IPアドレスにpingを送信します。

このテストでは、直接接続されたルータがホストとFWSM間のパケットをルーティングできること、およびFWSMからホストに返されるパケットが正しくルーティングされていることを確認します。

pingに失敗した場合、FWSMに、中継ルータを経由したホストまでのルートが正しく設定されていない可能性があります(図 17-4を参照)。この場合、pingに成功したことを示すデバッグ メッセージが表示されますが、システム メッセージ110001によりルーティング障害が発生していることが示されます。

図 17-4 FWSMのルート未設定によるpingの失敗

 


 

FWSM経由のpingの実行

FWSMのインターフェイスへのpingに成功したら、FWSM経由でトラフィックを正しく転送できるかどうかを確認する必要があります。ルーテッド モードの場合には、このテストによって、NATが正しく実行されているかどうかを確認できます。NATを使用しないトランスペアレント モードの場合には、このテストによってFWSMが正しく動作していることを確認します。トランスペアレント モードでpingに失敗した場合には、テクニカルサポートに連絡してください。

pingは、リモート ネットワークへの接続が通常許可されるホストから送信します。外部ホストから内部へのアクセスを許可しない場合には、外部から内部に対してpingを実行する必要はありません。

異なるインターフェイス上のホスト間でpingを実行する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、任意の送信元ホストからのICMPを許可するACLを追加します。

FWSM/contexta(config)# access-list ICMPTEST extended permit icmp any any
 

ステップ 2 次のコマンドを入力して、各送信元インターフェイスにACLを割り当てます。

FWSM/contexta(config)# access-group ICMPTEST in interface interface_name
 

各送信元インターフェイスについて、このコマンドを繰り返します。

ステップ 3 次のコマンドを入力して、ICMP応答が送信元ホストに戻されるように、ICMPインスペクション エンジンをイネーブルにします。

FWSM/contexta(config)# fixup protocol icmp
 

または、ICMPTEST ACLを宛先インターフェイスに適用して、FWSM経由でICMPトラフィックを返すことを許可することもできます。

ステップ 4 送信元インターフェイス上のホストまたはルータから、他のインターフェイス上の他のホストまたはルータにpingを実行します。

確認したいインターフェイスの各ペアについて、この手順を繰り返します。

pingに成功すると、ルーテッド モードのアドレス変換を確認するシステム メッセージ(305009または305011)、およびICMP接続が確立されたことを示すメッセージ(302020)が表示されます。 show xlate コマンドまたは show conns コマンドを入力して、この情報を表示することもできます。

トランスペアレント モードでpingに失敗した場合には、テクニカルサポートに連絡してください。

ルーテッド モードでpingに失敗した場合、NATが正しく設定されていない可能性があります(図 17-5を参照)。この場合、NAT変換に失敗したことを示すシステム メッセージ(305005または305006)が表示されます。外部ホストから内部ホストにpingを実行した場合、スタティック変換が設定されていないと、メッセージ106010:deny inbound icmpが表示されます。


) FWSMには、FWSMのインターフェイスへのpingに関するICMPデバッグ メッセージだけが表示されます。FWSM経由で他のホストに宛てたpingのメッセージは表示されません。


図 17-5 FWSMのアドレス変換の問題によるpingの失敗

 


 

テスト コンフィギュレーションのディセーブル化

テストが完了したら、FWSM宛て、またはFWSM経由のICMPを許可し、デバッグ メッセージを出力するテスト用のコンフィギュレーションをディセーブルにします。コンフィギュレーションをそのまま有効にしておくと、重大なセキュリティ リスクが生じることがあります。また、デバッグ メッセージを生成すると、FWSMのパフォーマンスが遅くなります。

テスト コンフィギュレーションをディセーブルにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、ICMPデバッグ メッセージをディセーブルにします。

FWSM/contexta(config)# no debug icmp trace
 

ステップ 2 必要に応じて、次のコマンドを入力して、ロギングをディセーブルにします。

FWSM/contexta(config)# no logging on
 

ステップ 3 次のコマンドを入力して、すべてのインターフェイスについて、FWSMへのICMPをディセーブルにします。

FWSM/contexta(config)# clear icmp
 

特定のインターフェイスでICMPをディセーブルにしたい場合には、 no icmp permit interface_name コマンドを使用します。

ステップ 4 次のコマンドを入力して、ICMPTEST ACLを削除し、関連する access-group コマンドを削除します。

FWSM/contexta(config)# no access-list ICMPTEST
 

ステップ 5 (任意)ICMPインスペクション エンジンをディセーブルにする場合には、次のコマンドを入力します。

FWSM/contexta(config)# no fixup protocol icmp
 


 

FWSMのリロード

FWSMをリロードする必要がある場合には、次の項目を参照してください。

「FWSM CLIからのFWSMのリロード」

「スイッチからのFWSMのリロード」

FWSM CLIからのFWSMのリロード


 

マルチモードでは、システム実行スペースからのみリロードできます。FWSMのCLIからFWSMをリロードするには、次のコマンドを入力します。

FWSM# reload
 


 

スイッチからのFWSMのリロード

スイッチから現在のパーティションにFWSMをリロードする必要がある場合には、実行中のOperating System(OS;オペレーティング システム)に適したコマンドを入力します。その他のオプションについては、「FWSMのリセットまたは特定のパーティションからの起動」を参照してください。

Cisco IOSソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset
 

Catalyst OSソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num
 

パスワードおよびAAAのトラブルシューティング

ここでは、パスワードを忘れた場合、またはAAA設定が原因でロックアウトされた場合の回復手順について説明します。

「アプリケーション パーティションのパスワードおよびAAA設定のクリア」

「メンテナンス パーティションのパスワードの回復」

アプリケーション パーティションのパスワードおよびAAA設定のクリア

パスワードを忘れた場合、またはAAA(認証、許可、アカウンティング)設定によってロックアウトされた場合には、パスワードおよびAAAコンフィギュレーションの一部をデフォルト値にリセットできます。この手順を実行するには、メンテナンス パーティションにログインする必要があります。


ステップ 1 OSに応じて、次のコマンドを入力して、FWSMのメンテナンス パーティションを起動します。

Cisco IOSソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset cf:1
 

Catalyst OSソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num cf:1
 

ステップ 2 OSに応じて、次のコマンドを入力して、FWSMへのセッションを開始します。

Cisco IOSソフトウェアの場合、次のコマンドを入力します。

Router# session slot mod_num processor 1
 

Catalyst OSソフトウェアの場合、次のコマンドを入力します。

Console> (enable) session mod_num
 

ステップ 3 次のコマンドを入力して、メンテナンス パーティションにrootとしてログインします。

Login: root
 

ステップ 4 プロンプトにパスワードを入力します。

Password: password
 

デフォルトのパスワードは[cisco]です。

ステップ 5 次のコマンドを入力して、ログイン パスワード、イネーブル パスワード、 aaa authentication console コマンド、および aaa authorization command コマンドを消去します。

root@localhost# clear passwd cf:{4 | 5}
 

ステップ 6 次のように、画面のプロンプトに従って入力します。

Do you wish to erase the passwords? [yn] y
The following lines will be removed from the configuration:
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
Do you want to remove the commands listed above from the configuration?
[yn] y
Passwords and aaa commands have been erased.
 


 

メンテナンス パーティションのパスワードの回復

メンテナンス パーティションのパスワードを忘れた場合、これらをデフォルト値にリセットできます。この場合には、アプリケーション パーティションにログインしている必要があります。マルチモードでは、システム実行スペースからのみ、パスワードをリセットできます。


 

メンテナンス パスワードをリセットするには、次のコマンドを入力します。

FWSM# clear mp-passwd
 


 

その他のトラブルシューティング ツール

FWSMには、テクニカル サポートから支援を受けるときに役立つ、他のトラブルシューティング ツールが提供されています。

「デバッグ メッセージの表示」

「パケットのキャプチャ」

「クラッシュ ダンプの表示」

デバッグ メッセージの表示

デバッグ メッセージを生成すると、FWSMのパフォーマンスが非常に遅くなることがあります。ただし、FWSMのトラブルシューティングを行う場合には、デバッグ メッセージが役立ちます。FWSMをデバッグする場合には、テクニカルサポートに連絡して支援を受けることを推奨します。デバッグ メッセージをイネーブルにするときは、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の debug コマンドの説明を参照してください。

パケットのキャプチャ

接続に関する問題のトラブルシューティングを行ったり、不審な動作をモニタする場合には、パケットのキャプチャが役立つことがあります。FWSMでは、管理トラフィックおよびインスペクション エンジンを含め、汎用プロセッサを通過するトラフィックのパケット情報を追跡できます。(多くの転送トラフィックのように)ネットワーク プロセッサを通過するトラフィックを、FWSMでキャプチャすることはできません。パケット キャプチャ機能を使用する場合には、テクニカルサポートに連絡することを推奨します。『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の capture コマンドの説明を参照してください。

クラッシュ ダンプの表示

FWSMがクラッシュした場合には、クラッシュ ダンプ情報を表示できます。クラッシュ ダンプを解釈するときは、テクニカルサポートに連絡することを推奨します。『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の show crashdump コマンドの説明を参照してください。

一般的な問題

ここでは、FWSMの一般的な問題と、解決方法について説明します。

現象 スイッチのCLIからFWSMをリセットすると、システムが常にメンテナンス パーティションで起動する。

考えられる原因 デフォルトのブート パーティションがcf:1に設定されています。

対処方法 「デフォルト ブート パーティションの設定」の説明に従って、デフォルトのブート パーティションを変更します。

現象 アプリケーション パーティションと同じパスワードでメンテナンス パーティションにログインできない。

考えられる原因 アプリケーション パーティションとメンテナンス パーティションのパスワード データベースが異なっています。

対処方法 パーティションに対応するパスワードを使用します。詳細については、「パスワードの変更」を参照してください。

現象 トラフィックがFWSMを通過しない。

考えられる原因 VLANがスイッチに設定されていないか、FWSMに割り当てられていません。

対処方法 VLANを設定し、「Firewall Services ModuleへのVLAN割り当て」の説明に従ってFWSMにVLANを割り当てます。

現象 コンテキスト内でVLANインターフェイスを設定できない。

考えられる原因 そのVLANがコンテキストに割り当てられていません。

対処方法 「セキュリティ コンテキストの設定」の説明に従って、コンテキストにVLANを割り当てます。

現象 MSFCに複数のSwitched Virtual Interface(SVI)を追加できない。

考えられる原因 複数のSVIがイネーブルに設定されていません。

対処方法 「MSFCへのSVIの追加」の説明に従って、複数のSVIをイネーブルにします。

現象 コンテキストのコンフィギュレーションが保存されず、リロードすると失われる。

考えられる原因 各コンテキストがコンテキスト実行スペース内に保存されていません。コマンドラインでコンテキストを設定し、そのコンテキストを保存せずに、次のコンテキストに移行したと考えられます。

対処方法 copy run start コマンドを使用して、各コンテキストをコンテキスト実行スペース内に保存します。システム実行スペースからコンテキストを保存することはできません。

現象 FWSMのインターフェイスにTelnetまたはSSH(セキュア シェル)で接続できない。

考えられる原因 FWSMへのTelnet接続またはSSH接続がイネーブルに設定されていません。

対処方法 「Telnetの許可」または「SSHの許可」の説明に従って、FWSMへのTelnet接続またはSSH接続をイネーブルにします。

現象 FWSMのインターフェイスにpingを実行できない。

考えられる原因 FWSMへのICMPがイネーブルに設定されていません。

対処方法 「FWSMとのICMP送受信の許可」の説明に従って、FWSMへのICMPをイネーブルにします。

現象 ACLで許可されているのに、FWSMからpingを実行できない。

考えられる原因 ICMPインスペクション エンジンがイネーブルに設定されていないか、送信元インターフェイスおよび宛先インターフェイスの両方にACLが適用されていません。

対処方法 ICMPはコネクションレス型プロトコルなので、FWSMは戻りトラフィックを自動的には許可しません。応答トラフィックを許可するには、送信元インターフェイスだけでなく宛先インターフェイスにもACLを適用するか、またはICMPインスペクション エンジンをイネーブルにして、ICMP接続をステートフル接続として処理します。

現象 セキュリティの高いインターフェイスからセキュリティの低いインターフェイスへのトラフィックが、FWSMを通過しない。

考えられる原因 セキュリティの高いインターフェイスに、トラフィックを許可するACLが適用されていません。PIXファイアウォールと異なり、FWSMでは、インターフェイス間のトラフィックは自動的には許可されません。

対処方法 送信元インターフェイスに、トラフィックを許可するACLを適用します。「拡張ACLの追加」を参照してください。

現象 同じセキュリティ レベルの2つのインターフェイス間でトラフィックを転送できない。

考えられる原因 同じセキュリティ レベルのインターフェイス間のトラフィックを許可する機能が、イネーブルに設定されていません。

対処方法 「同じセキュリティ レベルのインターフェイス間の通信」の説明に従って、この機能をイネーブルにします。

現象 FWSMのフェールオーバーが実行されても、セカンダリ装置がトラフィックを転送しない。

考えられる原因 両方の装置に共通のVLANが割り当てられていません。

対処方法 スイッチ コンフィギュレーションで、両方の装置に共通のVLANが割り当てられているかどうかを確認します。