Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module システム メッセージ ガイド Version 2.3
システム メッセージ
システム メッセージ
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

システム メッセージ

メッセージ103001~199009

103001

103003

103004

103005

104001、104002

104003

104004

105001

105002

105003

105004

105005

105006、105007

105008

105009

105010

105011

105038

105039

105040

105042

105043

105044

105045

106001

106002

106006

106007

106010

106011

106012

106013

106014

106015

106016

106017

106018

106020

106021

106022

106023

106024

106025、106026

106027

106100

106101

107001

107002

108002

109001

109002

109003

109005

109006

109007

109008

109010

109011

109012

109013

109016

109017

109018

109019

109020

109022

109024

109025

110001

111001

111003

111004

111005

111006

111007

111008

111009

112001

199001

199002

199003

199005

199007

199008

199009

メッセージ201002~215001

201002

201003

201004

201005

201006

202001

202005

208005

209003

209004

209005

210002

210005

210006

210007

210008

210022

211001

211003

212001

212002

212003

212004

212005

213001

213002

213003

213004

214001

215001

メッセージ302003~322003

302003

302004

302010

302012

302013

302014

302015

302016

302020

302021

302302

303002

304001

304002

304003

304004

304005

304006

304007

304008

304009

305005

305006

305007

305008

305009

305010

305011

305012

307001

307002

307003

307004

308001

308002

309001

309002

309004

311001

311002

311003

311004

312001

313001

313004

314001

315001

315002

315003

315004

315005

315011

316001

317001

317002

317003

317004

317005

318001

318002

318003

318004

318005

318006

318007

318008

319001

319002

319003

319004

321001

321002

321003

321004

322001

322002

322003

メッセージ400000~412002

4000nn

401001

401002

401003

401004

401005

402101

402102

402103

402106

403101

403102

403103

403104

403106

403107

403108

403109

403110

404101

404102

405001

405101

405102

405104

406001

406002

407002

407003

408001

408002

409001

409002

409003

409004

409005

409006

409007

409008

409009

409010

409011

409012

409013

410001

411001

411002

411003

411004

412001

412002

メッセージ500003~504002

500003

500004

501101

502101

502102

502103

503001

504001

504002

メッセージ602101~616001

602101

602102

602301

602302

603101

603102

603103

603104

603105

603106

603107

604101

604102

604103

604104

605001

605002

605003

606001

606002

607001

608001

610101

611101

611102

611103

612001

612002

612003

613001

613002

613003

615001

615002

616001

メッセージ701001~710005

701001

701002

702301

702302

702303

703001

703002

709001、709002

709003

709004

709005

709006

709007

710002

710003

710005

システム メッセージ

この章では、Cisco Firewall Services Module(FWSM)のシステム ログ メッセージをリストします。メッセージ コードの番号順に各メッセージを示します。


) このマニュアルに記載されているメッセージは、Cisco FWSMリリース2.3以降に対応します。番号が順序から抜けている場合、そのメッセージはFWSMのコードから除外されています。


この章の内容は、次のとおりです。

メッセージ103001~199009(p.2-2)

「メッセージ201002~215001」

メッセージ302003~322003(p.2-33)

メッセージ400000~412002(p.2-53)

メッセージ500003~504002(p.2-68)

メッセージ602101~616001(p.2-70)

メッセージ701001~710005(p.2-78)

メッセージ103001~199009

ここでは、メッセージ 103001 199009 を示します。

103001

エラー メッセージ %FWSM-1-103001: (Primary) No response from other firewall (reason code = code).

説明 フェールオーバー メッセージです。プライマリ装置がフェールオーバー ケーブルを介してセカンダリ装置と通信できないときにロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。 表 2-1 に、フェールオーバーが発生した理由を表す理由コードを示します。

 

表 2-1 理由コード

理由コード
説明

1

シリアル ケーブル上で30秒以上、フェールオーバーhelloが検出されていません。フェールオーバーhelloは、他方のファイアウォール装置上でフェールオーバーが正常に動作していることを示します。

2

インターフェイスが4つのテストのいずれかに失敗しました。4つのテストとは、1)リンク アップ、2)ネットワーク トラフィックのモニタ、3)ARPテスト、4)ブロードキャストpingテストです。

3

シリアル ケーブルを介してコマンドが送信されたあと15秒以上が経過し、適正なACKが検出されません。

対処方法 フェールオーバー ケーブルが正しく接続されていて、両方の装置が同じハードウェア、ソフトウェア、およびコンフィギュレーションを使用していることを確認してください。問題が解決できない場合は、TACに連絡してください。

103003

エラー メッセージ %FWSM-1-103003: (Primary) Other firewall network interface interface_number failed.

説明 フェールオーバー メッセージです。プライマリ装置が、セカンダリ装置上に不正なネットワーク インターフェイスを検出したときにロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。考えられる interface_number 変数の値については、表 1-3を参照してください。

対処方法 セカンダリ装置上のネットワーク接続、およびネットワークのハブ接続を確認してください。必要に応じて、障害のあるネットワーク インターフェイスを交換してください。

103004

エラー メッセージ %FWSM-1-103004: (Primary) Other firewall reports this firewall failed.

説明 フェールオーバー メッセージです。プライマリ装置が、セカンダリ装置から、プライマリの障害を示すメッセージを受信したときにロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 プライマリ装置のステータスを確認してください。

103005

エラー メッセージ %FWSM-1-103005: (Primary) Other firewall reporting failure.

説明 フェールオーバー メッセージです。セカンダリ装置が、プライマリ装置に対して障害を報告したときにロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 セカンダリ装置のステータスを確認してください。

104001、104002

エラー メッセージ %FWSM-1-104001: (Primary) Switching to ACTIVE (cause: string ). エラー メッセージ %FWSM-1-104002: (Primary) Switching to STNDBY (cause: string ).

説明 両方ともフェールオーバー メッセージです。セカンダリ装置上で failover active コマンドを入力するか、プライマリ装置上で no failover active コマンドを入力することによって、これら2つの装置の役割を強制的に切り替えた場合に、通常これらのメッセージがロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。string変数として、考えられる値は次のとおりです。

state check(ステート確認)

bad/incompleted config(不正または不完全なコンフィギュレーション)

ifc [interface] check, mate is healthier(インターフェイスの確認、両装置の相違)

the otherside want me standby(他方の装置からスタンバイの指示)

in failed state, cannot be active(障害ステートにより、アクティブにできない)

switch to failed state(障害ステートへの切り替え)

対処方法 手動で強制的に切り替えた場合には、対処は不要です。それ以外の場合は、セカンダリ装置により報告された原因を参照し、両方の装置のステータスを確認してください。

104003

エラー メッセージ %FWSM-1-104003: (Primary) Switching to FAILED.

説明 フェールオーバー メッセージです。プライマリ装置に障害が発生したときにロギングされます。

対処方法 プライマリ装置のシステム ログ メッセージを調べ、問題の原因を確認してください(メッセージ104001を参照)。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

104004

エラー メッセージ %FWSM-1-104004: (Primary) Switching to OK.

説明 フェールオーバー メッセージです。障害のあった装置が正常に戻ったときにロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。

105001

エラー メッセージ %FWSM-1-105001: (Primary) Disabling failover.

説明 フェールオーバー メッセージです。コンソールに no failover コマンドを入力したときにロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。

105002

エラー メッセージ %FWSM-1-105002: (Primary) Enabling failover.

説明 フェールオーバー メッセージです。フェールオーバーがディセーブルになっていた状態で、引数を指定せずに failover コマンドをコンソールに入力したときにロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。

105003

エラー メッセージ %FWSM-1-105003: (Primary) Monitoring on interface interface_name waiting

説明 フェールオーバー メッセージです。FWSMはフェールオーバー ペアの他方の装置との間で、特定のネットワーク インターフェイスをテスト中です。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。ファイアウォールは標準動作の間、頻繁にネットワーク インターフェイスをモニタします。

105004

エラー メッセージ %FWSM-1-105004: (Primary) Monitoring on interface interface_name normal

説明 フェールオーバー メッセージです。特定のネットワーク インターフェイスのテストが正常に完了しました。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。

105005

エラー メッセージ %FWSM-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.

説明 フェールオーバー メッセージです。フェールオーバー ペアの装置が他方の装置と通信できない状態を示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 特定のインターフェイスに接続しているネットワークが正常に動作しているかどうかを確認してください。

105006、105007

エラー メッセージ %FWSM-1-105006: (Primary) Link status ‘Up' on interface interface_name. エラー メッセージ %FWSM-1-105007: (Primary) Link status ‘Down' on interface interface_name.

説明 両方ともフェールオーバー メッセージです。特定のインターフェイスのリンク ステータスのモニタ結果を示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 リンク ステータスがダウンの場合には、特定のインターフェイスに接続しているネットワークが正常に動作しているかどうかを確認してください。

105008

エラー メッセージ %FWSM-1-105008: (Primary) Testing interface interface_name.

説明 フェールオーバー メッセージです。FWSMが特定のネットワーク インターフェイスをテストしているときにロギングされます。このテストは、FWSMが特定のインターフェイス上のスタンバイ装置から、一定時間を経過してもメッセージを受信できなかった場合にのみ実行されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。

105009

エラー メッセージ %FWSM-1-105009: (Primary) Testing on interface interface_name {Passed|Failed}.

説明 フェールオーバー メッセージです。このメッセージでは、直前に実行されたインターフェイス テストの結果(PassedまたはFailed)が報告されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 結果がPassedの場合は、不要です。結果がFailedの場合は、両方のフェールオーバー装置にネットワーク ケーブルが正しく接続されているかどうか、ネットワークが正常に動作しているかどうかを確認し、さらにスタンバイ装置のステータスを確認してください。

105010

エラー メッセージ %FWSM-3-105010: (Primary) Failover message block alloc failed

説明 ブロック メモリが不足しています。これは一時的なメッセージで、FWSMは回復処理を行います。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 show blocksコマンドを使用して、現在のブロック メモリの状態をモニタしてください。

105011

エラー メッセージ %FWSM-1-105011: (Primary) Failover cable communication failure

説明 フェールオーバー ケーブルが原因で、プライマリ装置とセカンダリ装置間の通信ができません。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 ケーブルが正しく接続されていることを確認してください。

105038

エラー メッセージ %FWSM-1-105038: (Primary) Interface count mismatch

説明 このフェールオーバー メッセージは、プライマリ装置とセカンダリ}装置に設定されているインターフェイス数が一致しないことを示しています。プライマリ装置とセカンダリ装置の設定インターフェイスが同数でない場合、フェールオーバーはイネーブルになりません。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 プライマリ装置とセカンダリ装置のVLAN(仮想LAN)コンフィギュレーションを確認してください。プライマリ装置で、nameifコマンドが正しく設定されているかどうかを確認します。コンフィギュレーションを確認して修正したあと、プライマリ装置にfailoverコマンドを入力し、フェールオーバーを再びイネーブルに設定してください。

105039

エラー メッセージ %FWSM-1-105039: (Primary) Unable to verify the Interface count with mate. Failover may be disabled in mate.

説明 フェールオーバーでは、最初に、プライマリ装置とセカンダリ装置に同数のインターフェイスが設定されているかどうかが確認されます。このメッセージは、プライマリ装置がセカンダリ装置に設定されているインターフェイス数を確認できなかったことを示しています。これは、プライマリ装置がフェールオーバー インターフェイス上でセカンダリ装置と通信できないことを意味しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 フェールオーバーVLAN、インターフェイス コンフィギュレーション、およびプライマリ装置とセカンダリ装置のステータスを確認してください。セカンダリ装置がファイアウォール アプリケーションを実行し、フェールオーバーがイネーブルに設定されていることを確認します。

105040

エラー メッセージ %FWSM-1-105040: (Primary) Mate failover version is not compatible.

説明 フェールオーバー ペアとして設定するには、プライマリ装置とセカンダリ装置が同じフェールオーバー ソフトウェア バージョンを実行している必要があります。このメッセージは、セカンダリ装置のフェールオーバー ソフトウェア バージョンがプライマリ装置のバージョンと異なることを示しています。プライマリ装置上のフェールオーバーはディセーブルになります。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 フェールオーバーをイネーブルにするには、プライマリ装置とセカンダリ装置に同一のソフトウェア バージョンを使用してください。

105042

エラー メッセージ %FWSM-1-105042: (Primary) Failover interface OK

説明 セカンダリ装置へのフェールオーバー メッセージの送信に使用するインターフェイスが機能しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。

105043

エラー メッセージ %FWSM-1-105043: (Primary) Failover interface failed

説明 セカンダリ装置へのフェールオーバー メッセージの送信に使用するインターフェイスが不正です。引き続き、アクティブ装置はアクティブ、スタンバイ装置はスタンバイのままです。ただし、フェールオーバー インターフェイスが正常に戻るまでは、障害検出またはスイッチオーバーは実行されません。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 VLANが正しく設定されていて、フェールオーバー インターフェイスがセカンダリとして設定されていることを確認してください。

105044

エラー メッセージ %FWSM-1-105044: (Primary) Mate operational mode mode is not compatible with my mode mode.

説明 フェールオーバー ピア間で動作モード(シングルまたはマルチ)が一致していない場合、フェールオーバーはディセーブルになります。

対処方法 フェールオーバー ピアを同じ動作モードに設定し、フェールオーバーを再びイネーブルにしてください。

105045

エラー メッセージ %FWSM-1-105045: (Primary) Mate license (number contexts) is not compatible with my license (number contexts).

説明 フェールオーバー ピア間で機能ライセンスが一致しない場合、フェールオーバーはディセーブルになります。

対処方法 フェールオーバー ピアに同じ機能ライセンスを設定し、フェールオーバーを再びイネーブルにしてください。

106001

エラー メッセージ %FWSM-2-106001: Inbound TCP connection denied from IP_address/port to IP_address/port flags tcp_flags on interface interface_name

説明 接続関連メッセージです。内部アドレスへの接続の試みが、セキュリティ ポリシーによって拒否されたときに発生します。tcp_flagsの値は、接続が拒否された時点のTCPヘッダー内のフラグに対応します。たとえば、TCPパケットの到達時にFWSMに接続ステートが存在しない場合、そのパケットはドロップされます。このパケットのtcp_flags値は、FINおよびACKです。

tcp_flagsの値は、次のとおりです。

ACK ― 確認応答番号が受信されました。

FIN ― データが送信されました。

PSH ― 受信側がアプリケーションにデータを転送しました。

RST ― 接続がリセットされました。

SYN ― 接続を開始するためにシーケンス番号が同期化されました。

URG ― 緊急ポインタが有効と宣言されました。

対処方法 不要です。

106002

エラー メッセージ %FWSM-2-106002: protocol Connection denied by outbound list acl_ID src inside_address dest outside_address

説明 接続関連メッセージです。 outbound deny コマンドにより、特定の接続に失敗したときにロギングされます。protocol変数は、ICMP、TCP、またはUDPです。

対処方法 show outbound コマンドを使用して、発信リストを確認してください。

106006

エラー メッセージ %FWSM-2-106006: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port on interface interface_name.

説明 接続関連メッセージです。セキュリティ ポリシーによって着信UDPパケットが拒否されたときにロギングされます。

対処方法 不要です。

106007

エラー メッセージ %FWSM-2-106007: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port due to DNS {Response|Query}.

説明 接続関連メッセージです。DNSクエリまたはDNS応答を含むUDPパケットが拒否されたときにロギングされます。

対処方法 内部ポート番号が53の場合、内部ホストは通常、キャッシング ネーム サーバとして設定されています。UDPポート53でトラフィックを許可する access-list コマンド ステートメントを追加してください。外部ポート番号が53の場合には、DNSサーバの応答がかなり遅いため、クエリが他のサーバによって応答されています。

106010

エラー メッセージ %FWSM-3-106010: Deny inbound protocol src interface_name : dest_address / dest_port dst interface_name : source_address / source_port

説明 接続関連メッセージです。セキュリティ ポリシーによって着信接続が拒否されたときにロギングされます。

対処方法 トラフィックを許可する場合、セキュリティ ポリシーを修正します。このメッセージが一定間隔で発生する場合は、リモート ピアの管理者に連絡してください。

106011

エラー メッセージ %FWSM-3-106011: Deny inbound (No xlate) string

説明 Webブラウザを使用してインターネットにアクセスしている内部ユーザが存在する場合、通常のトラフィック状況下でこのメッセージが表示されます。接続がリセットされると、FWSMがリセットを受信したあとで、接続の反対側のホストがパケットを送信し、このメッセージが表示されます。通常、このメッセージは無視してかまいません。

対処方法 no logging message 106011 コマンドを入力して、このSyslogメッセージがSyslogサーバにロギングされないようにしてください。

106012

エラー メッセージ %FWSM-6-106012: Deny IP from IP_address to IP_address, IP options hex.

説明 パケット完全性チェック メッセージです。 IPオプションを持つIPパケットが検出されました。IPオプションはセキュリティ上のリスクとみなされるので、パケットは廃棄されます。

対処方法 リモート ホスト システム管理者に連絡し、問題を解決してください。 ローカル サイトの設定がルース ソース ルーティングかストリクト ソース ルーティングかを確認してください。

106013

エラー メッセージ %FWSM-2-106013: Dropping echo request from IP_address to PAT address IP_address

説明 PATグローバル アドレスと一致する宛先アドレスを持つ着信ICMPエコー要求パケットをFWSMが廃棄したときにロギングされるメッセージです。パケットを受信すべきPATホストを特定できない着信パケットは、廃棄されます。

対処方法 不要です。

106014

エラー メッセージ %FWSM-3-106014: Deny inbound icmp src interface_name: IP_address dst interface_name: IP_address (type dec, code dec)

説明 FWSMがすべての着信ICMPパケットのアクセスを拒否しているときにロギングされるメッセージです。 デフォルトでは、特に許可されないかぎり、すべてのICMPパケットがアクセスを拒否されます。

対処方法 不要です。

106015

エラー メッセージ %FWSM-6-106015: Deny TCP (no connection) from IP_address/port to IP_address/port flags tcp_flags on interface interface_name.

説明 FWSMが、自身の接続テーブルで接続が関連付けられていないTCPパケットを廃棄したときにロギングされるメッセージです。FWSMはパケット内のSYNフラグ(新しい接続の確立要求を示す)を検索します。SYNフラグが見つからず、なおかつ既存の接続が存在しない場合、そのパケットは廃棄されます。

対処方法 FWSMがこれらの無効なTCPパケットを大量に受信している場合には、対応が必要です。その場合は、パケットの送信元を追跡して、これらのパケットが送信された理由を判別してください。

106016

エラー メッセージ %FWSM-2-106016: Deny IP spoof from (IP_address) to IP_address on interface interface_name.

説明 送信元アドレスが無効であるパケットをFWSMが廃棄したときにロギングされるメッセージです。無効な送信元アドレスとは、次に属するアドレスのことです。

ループバック ネットワーク(127.0.0.0)

ブロードキャスト(制限付き、ネット向け、サブネット向け、および全サブネット向け)

宛先ホスト(land.c)

sysopt connection enforcesubnetコマンドがイネーブルの場合、FWSMは送信元アドレスが宛先サブネットに属しているパケットを廃棄し、これらのパケットがFWSMを通過しないようにします。

対処方法 外部ユーザが保護されたネットワークに危害を加えようとしているかどうかを確認してください。誤って設定されているクライアントがないかどうかを確認してください。

106017

エラー メッセージ %FWSM-2-106017: Deny IP due to Land Attack from IP_address to IP_address

説明 IP送信元アドレスがIP宛先と同じで、宛先ポートが送信元ポートと同じであるパケットをFWSMが受信したときに表示されます。これは、システムを攻撃する目的のスプーフ パケットを意味しています。この攻撃は、Land Attackと呼ばれています。

対処方法 このメッセージが頻発する場合、攻撃が進行している可能性があります。このパケットには、攻撃の発信元をつきとめる十分な情報はありません。

106018

エラー メッセージ %FWSM-2-106018: ICMP packet type ICMP_type denied by outbound list acl_ID src inside_address dest outside_address

説明 ローカル ホスト(inside_address)から外部ホスト(outside_address)に宛てられた特定のICMPタイプの発信ICMPパケットが、発信ACLリストによって拒否されたときにロギングされるメッセージです。

対処方法 不要です。

106020

エラー メッセージ %FWSM-2-106020: Deny IP teardrop fragment (size = number, offset = number) from IP_address to IP_address

説明 FWSMが、小さなオフセットまたは重複フラグメントのいずれかが含まれているteardrop署名を持つIPパケットを廃棄したことを示しています。これは、ファイアウォールまたはIntrusion Detection System(IDS;侵入検知システム)を回避しようとした悪意あるイベントです。

対処方法 リモート ピアの管理者に連絡するか、セキュリティ ポリシーに従って報告してください。

106021

エラー メッセージ %FWSM-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name

説明 誰かが着信接続上でIPアドレスのスプーフィングを試みています。このメッセージは、ip verify reverse-pathコマンドにより、ユニキャストReverse Path Forwarding(RPF)がイネーブルに設定されていることを示しています。リバース ルート ルックアップとも呼ばれるユニキャストRPFにより、ルートと矛盾する送信元アドレスを持つパケットが検出され、ファイアウォール上で攻撃の一部であるとみなされました。

対処方法 不要です。

106022

エラー メッセージ %FWSM-1-106022: Deny protocol connection spoof from source_address to dest_address on interface interface_name

説明 接続が存在し、その接続に一致するパケットが、接続を開始したインターフェイスから別のインターフェイスに到達した場合にのみ、このメッセージが表示されます。

たとえば、ユーザが内部インターフェイス上で接続を開始したにもかかわらず、FWSMが境界インターフェイス上で同じ接続の到着を検知した場合、1つの宛先に対して複数のパスが存在することになります。この状況を非対称ルーティングといいます。FWSMでは非対称ルーティングはサポートされていません。

また、攻撃者がファイアウォールに侵入するための手段として、1つの接続から別の接続にパケットを追加しようとしている可能性もあります。いずれの場合も、このメッセージが表示され、接続は切断されます。

対処方法 このメッセージは、ip verify reverse-pathコマンドが設定されていない場合に表示されます。ルーティングが非対称でないことを確認してください。

106023

エラー メッセージ %FWSM-4-106023: Deny protocol src [ interface_name : source_address/source_port ] dst interface_name : dest_address/dest_port [type { string }, code { code }] by access_group acl_ID

説明 ACL(アクセス制御リスト)によってIPパケットが拒否されました。このメッセージは、ACLに対し、 log オプションをイネーブルに設定していない場合にも表示されます。

対処方法 同じ送信元アドレスについて、このメッセージが続いて表示される場合は、フット プリンティングまたはポート スキャン攻撃が試みられている可能性があります。リモート ホストの管理者に連絡してください。

106024

エラー メッセージ %FWSM-2-106024: Access rules memory exhausted

説明 このメッセージは、アクセス リストのコンパイル プロセスでメモリ不足が発生したことを示しています。アクセス リストが最後にコンパイルされてから追加されたコンフィギュレーション情報は、すべてシステムから削除され、最後にコンパイルされたアクセス リストのセットが引き続き使用されます。

対処方法 アクセス リスト、AAA、ICMP、SSH、Telnet、およびその他のルール タイプは、アクセス リスト ルール タイプとして保管およびコンパイルされます。これらのルール タイプの一部を削除して、他のルール タイプを追加できるようにしてください。

106025、106026

エラー メッセージ %FWSM-6-106025: Failed to determine the security context for the packet:sourceVlan:sourceIP destIP sourcePort destPort protocol エラー メッセージ %FWSM-6-106026: Failed to determine the security context for the packet:sourceVlan:sourceIP destIP sourcePort destPort protocol

説明 複数コンテキスト モードのパケットのセキュリティ コンテキストを判別できない場合に、これらのメッセージが生成されます。どちらのメッセージも、ルータおよびトランスペアレント モードでパケットがドロップされた場合に表示される可能性があります。

対処方法 不要です。

106027

エラー メッセージ %FWSM-4-106027:Failed to determine the security context for the packet:vlansource Vlan#:ethertype src sourceMAC dst destMAC

説明 複数コンテキスト モードのパケットのセキュリティ コンテキストを判別できない場合に、このメッセージが生成されます。このメッセージは、非IPパケットがトランスペアレント モードでドロップされた場合のみ、生成されます。

対処方法 不要です。

106100

エラー メッセージ %FWSM- 6 -106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name / source_address ( source_port ) -> interface_name / dest_address ( dest_port ) hit-cnt number ({first hit | number -second interval})

説明 access-list コマンドで log オプションを設定している場合に、パケットがACLステートメントと一致したとき、このメッセージがロギングされます。メッセージのレベルは、 access-list コマンドで設定されているレベルによって決まります(デフォルトでは、レベルは6です)。このメッセージは、最初のヒットまたは一定期間における総ヒット件数のいずれかを表します。このメッセージは、メッセージ106023(拒否されたパケットだけを記録し、ヒット カウントや設定可能なレベルは含まない)よりも多くの情報を提供します。次に、このメッセージの値を示します。

permitted | denied | est-allowed ― これらの値は、パケットがACLによって許可(または拒否)されたことを示します。値がest-allowedである場合、パケットはACLによって拒否されましたが、確立済みのセッションには許可されています(たとえば、内部ユーザがインターネットのアクセスを許可された場合、通常はACLによって拒否される応答パケットでも受け入れられます)。

protocol TCP UDP ICMP 、またはIPプロトコル番号

interface_name ― ロギングされたフローの送信元または宛先のインターフェイス名。VLANインターフェイスがサポートされています。

source_address ― ロギングされたフローの送信元IPアドレス

dest_address ― ロギングされたフローの宛先IPアドレス

source_port ― ロギングされたフローの送信元ポート(TCPまたはUDP)。ICMPの場合、このフィールドは0です。

dest_port ― ロギングされたフローの宛先ポート(TCPまたはUDP)。ICMPの場合、このフィールドは icmp-type です。

hit-cnt number ― 設定された期間内で、このフローがこのACLエントリによって許可または拒否された回数。このフローに関する最初のSyslogメッセージが生成された時点では、この値は1です。

first hit ― このフローに関して最初に生成されたメッセージ

number -second interval ― ヒット カウントを累積する時間。このインターバルは、 access-list コマンドで interval オプションを指定して設定します。

対処方法 不要です。

106101

エラー メッセージ %FWSM-1-106101: The number of ACL log deny-flows has reached limit ( number ).

説明 ACL deny ステートメント( access-list id deny コマンド)に log オプションを設定している場合に、トラフィック フローがこのACLステートメントに一致すると、FWSMはそのフロー情報をキャッシュに保管します。FWSM上でキャッシュに保管された一致フロー数が、ユーザの設定による( access-list deny-flow-max コマンド)制限数を超えると、このメッセージがロギングされます。

number値 は、 access-list deny-flow-max コマンドで設定された制限数です。

対処方法 不要です。DoS攻撃の結果、このメッセージが表示される場合があります。

107001

エラー メッセージ %FWSM-1-107001: RIP auth failed from IP_address: version=number, type=string, mode=string, sequence=number on interface interface_name

説明 アラート ログ メッセージです。FWSMが不正認証のRIP応答メッセージを受信しました。ルータまたはFWSMの設定が誤っているか、またはFWSMのルーティング テーブルに対する攻撃が失敗したためにこのメッセージが表示された可能性があります。

対処方法 このメッセージは攻撃の可能性を示しているので、モニタする必要があります。メッセージに示されている送信元IPアドレスが未知のアドレスである場合には、信頼できるエンティティ間のRIP認証キーを変更してください。攻撃者が既存のキーを判別しようとしている可能性があります。

107002

エラー メッセージ %FWSM-1-107002: RIP pkt failed from IP_address: version=number on interface interface_name

説明 アラート ログ メッセージです。このメッセージの原因としては、ルータのバグ、非RFC値を含むパケット、または不正エントリが考えられます。これは通常の状況ではなく、FWSMのルーティング テーブルの悪用が試みられている可能性があります。

対処方法 このメッセージは攻撃の可能性を示しているので、モニタする必要があります。パケットが認証された場合、有効であれば、パケット内に不正データが含まれています。状況をモニタし、パケットの発信者が疑わしい場合には、キーを変更してください。

108002

エラー メッセージ %FWSM-2-108002: SMTP replaced string: out source_address in inside_address data: string

説明 fixup protocol smtpコマンドによって生成されるメール ガード(SMTP)メッセージです。FWSMが電子メール アドレス内の無効な文字をスペースに置き換えたときにロギングされます。

対処方法 不要です。

109001

エラー メッセージ %FWSM-6-109001: Auth start for user user from inside_address/ inside_port to outside_address/ outside_port

説明 Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)メッセージです。FWSMにAAAが設定されていて、特定のユーザからの認証要求が検出されたときにロギングされます。

対処方法 不要です。

109002

エラー メッセージ %FWSM-6-109002: Auth from inside_address/inside_port to outside_address/outside_port failed (server IP_address failed) on interface interface_name.

説明 AAAメッセージです。FWSMが特定の認証サーバと通信できなかったため、認証要求に失敗したときにロギングされます。

対処方法 特定の認証サーバ上で、認証デーモンが実行されているかどうかを確認してください。

109003

エラー メッセージ %FWSM-6-109003: Auth from inside_address to outside_address/outside_port failed (all servers failed) on interface interface_name.

説明 AAAメッセージです。認証サーバを検出できないときにロギングされます。

対処方法 FWSMから認証サーバにpingを実行してください。デーモンが実行されているかどうかを確認してください。

109005

エラー メッセージ %FWSM-6-109005: Authentication succeeded for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 AAAメッセージです。特定の認証要求に成功したときにロギングされます。

対処方法 不要です。

109006

エラー メッセージ %FWSM-6-109006: Authentication failed for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 AAAメッセージです。不正パスワードなどの原因により、特定の認証要求に失敗したときにロギングされます。

対処方法 不要です。

109007

エラー メッセージ %FWSM-6-109007: Authorization permitted for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 AAAメッセージです。特定の許可要求に成功したときにロギングされます。

対処方法 不要です。

109008

エラー メッセージ %FWSM-6-109008: Authorization denied for user user from outside_address/outside_port to inside_address/inside_port on interface interface_name.

説明 AAAメッセージです。不正パスワードなどの原因により、ユーザが特定のアドレスへのアクセスを許可されなかったときにロギングされます。

対処方法 不要です。

109010

エラー メッセージ %FWSM-3-109010: Auth from inside_address/inside_port to outside_address/outside_port failed (too many pending auths) on interface interface_name.

説明 AAAメッセージです。サーバ上で待機中の要求が多すぎるため、認証要求を処理できないときにロギングされます。

対処方法 認証サーバによる認証要求への応答が遅すぎないかどうかを確認してください。floodguard enableコマンドを使用して、Flood Defender機能をイネーブルにしてください。

109011

エラー メッセージ %FWSM-2-109011: Authen Session Start: user ' user ', sid number

説明 ホストとFWSM間で認証セッションが開始され、まだ完了していません。

対処方法 不要です。

109012

エラー メッセージ %FWSM-5-109012: Authen Session End: user 'user', sid number, elapsed number seconds

説明 認証キャッシュのタイムアウトが発生しました。ユーザは次の接続で再認証する必要があります。このタイマーの長さは、timeout uauthコマンドで変更できます。

対処方法 不要です。

109013

エラー メッセージ %FWSM-3-109013: User must authenticate before using this service

説明 ユーザがサービスを使用するには、認証される必要があります。

対処方法 サービスを使用する前に、FTP、Telnet、またはHTTPを使用して認証を受けてください。

109016

エラー メッセージ %FWSM-3-109016: Can't find authorization ACL acl_ID on 'FWSM' for user ' user '

説明 AAAサーバでこのユーザ用に定義されているアクセス制御リストが、FWSM上に存在しません。FWSMを設定する前にAAAサーバを設定すると、このエラーが発生することがあります。AAAサーバ上のVender-Specific Attribute(VSA)の値は、次のいずれかです。

acl=acl_ID

shell:acl=acl_ID

ACS:CiscoSecured-Defined-ACL=acl_ID

対処方法 FWSMにACLを追加し、AAAサーバ上で指定されている名前と同じ名前を使用してください。

109017

エラー メッセージ %FWSM-4-109017: User at IP_address exceeded auth proxy connection limit (max)

説明 ユーザが認証プロキシの制限値を超過しており、プロキシへの接続が多すぎます。

対処方法 proxy-limit proxy_limit コマンドを使用してプロキシの制限値を大きくするか、使用していない接続を閉じるようにユーザに指示します。このエラーが頻発する場合は、DoS攻撃の可能性があります。

109018

エラー メッセージ %FWSM-3-109018: Downloaded ACL acl_ID is empty

説明 ダウンロードされた許可アクセス制御リストにACEがありません。この状況の原因としては、アトリビュート ストリング[ip:inacl#]のスペルが間違っているか、または access-listコマンドが脱落していることが考えられます。

junk:junk# 1=permit tcp any any eq junk" "ip:inacl#1=”

対処方法 AAAサーバ上でエラーを示したACLコンポーネントを訂正してください。

109019

エラー メッセージ %FWSM-3-109019: Downloaded ACL acl_ID has parsing error; ACE string

説明 ダウンロードされた許可アクセス制御リストのアトリビュート ストリング"ip:inacl#NNN="で、シーケンス番号NNNの解析中にエラーが検出されました。

対処方法 AAAサーバ上でエラーを示したACL要素を訂正してください。

109020

エラー メッセージ %FWSM-3-109020: Downloaded ACL has config error; ACE

説明 ダウンロードされた許可アクセス制御リストのいずれかのコンポーネントに、設定の誤りがあります。Syslogメッセージには、この要素のテキスト全体が含まれます。このメッセージの原因は通常、無効なaccess-listコマンド ステートメントによります。

対処方法 AAAサーバ上でエラーを示したACLコンポーネントを訂正してください。

109022

エラー メッセージ %FWSM-4-109022: exceeded HTTPS proxy process limit

説明 HTTPS認証ごとに、FWSMは1つのプロセスを使用して認証要求を処理します。同時に実行するプロセス数が、システムでの最大数を超えると、FWSMは認証を実行しなくなり、このメッセージが表示されます。

対処方法 不要です。

109024

エラー メッセージ %FWSM-6-109024: Authorization denied from source_IP_Address/src_port to dest_IP_Address/dest_port (not authenticated) on interface interface_name using protocol

説明 AAAメッセージです。FWSMにAAAが設定されていて、ユーザが事前認証なしでモジュール経由でのTCP接続を試みたときにロギングされます。

対処方法 不要です。

109025

エラー メッセージ %FWSM-6-109025: Authorization denied (acl=acl_ID) for user user from source_address/source_port to dest_address/dest_port on interface interface_name using protocol

説明 アクセス制御リストによるチェックに失敗しました。このチェックでdeny条件に一致したか、または一致する条件がありませんでした(暗黙的deny)。Cisco Secure Access Control Server(ACS)上のAAA許可ポリシーに基づいて定義されたユーザ アクセス制御リストacl_IDによって、接続が拒否されました。

対処方法 不要です。

110001

エラー メッセージ %FWSM-6-110001: No route to dest_address from source_address

説明 ルート ルックアップ障害を示しています。パケットが探している宛先IPアドレスが、ルーティング テーブルに存在しません。

対処方法 ルーティング テーブルを調べ、宛先へのルートが存在することを確認してください。

111001

エラー メッセージ %FWSM-5-111001: Begin configuration: IP_address writing to device

説明 コンフィギュレーションをデバイス(フロッピー ディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末)に保管するために、 write コマンドが入力したときにロギングされるメッセージです。IP_address値は、ログインがコンソール ポート経由か、またはTelnet接続を使用して行われたかを示します。

対処方法 不要です。

111003

エラー メッセージ %FWSM-5-111003: IP_address Erase configuration

説明 FWSM管理メッセージです。コンソールで write erase コマンドを入力し、フラッシュ メモリの内容が消去されたときにロギングされます。IP_address値は、ログインがコンソール ポート経由か、またはTelnet接続を使用して行われたかを示します。

対処方法 コンフィギュレーションを消去した場合には、FWSMを再設定し、新しいコンフィギュレーションを保存する必要があります。あるいは、フロッピーまたはネットワーク上のTFTPサーバに保存されている既存のコンフィギュレーションから情報を復元することもできます。

111004

エラー メッセージ %FWSM-5-111004: IP_address end configuration: {FAILED|OK}

説明 config floppy/memory/ network コマンドまたは write floppy/memory/network/standby コマンドを入力したときにロギングされるメッセージです。IP_address値は、ログインがコンソール ポート経由か、またはTelnet接続を使用して行われたかを示します。

対処方法 メッセージがOKで終わっている場合には、不要です。メッセージに障害が示されている場合には、問題の解決を試みてください。たとえば、フロッピー ディスクに保存する場合には、フロッピー ディスクが書き込み保護されていないこと、TFTPサーバに保存する場合には、サーバが稼働していることを確認します。

111005

エラー メッセージ %FWSM-5-111005: IP_address end configuration: OK

説明 コンフィギュレーション モードを終了するとロギングされるメッセージです。IP_address値は、ログインがコンソール ポート経由か、またはTelnet接続を使用して行われたかを示します。

対処方法 不要です。

111006

エラー メッセージ %FWSM-5-111006: Console Login from user at IP_addr

説明 FWSMに接続したことを示しています。認証がイネーブルの場合には、ユーザ名が表示されます。それ以外の場合は、nobodyと表示されます。IP-addrは、ログインがコンソール ポート経由か、またはTelnet接続を使用して行われたかを示します。

対処方法 不要です。

111007

エラー メッセージ %FWSM-5-111007: Begin configuration: IP_address reading from device.

説明 コンフィギュレーションを読み込むために、 reload コマンドまたは configure コマンドを入力したときにロギングされるメッセージです。deviceには、floppy、memory、net、standby、またはterminalが表示されます。IP_address値は、ログインがコンソール ポート経由か、またはTelnet接続を使用して行われたかを示します。

対処方法 不要です。

111008

エラー メッセージ %FWSM-5-111008: User user executed the command string

説明 情報メッセージです。ユーザがコンフィギュレーションを変更するコマンドを入力しました。

対処方法 不要です。

111009

エラー メッセージ %FWSM-7-111009:User user executed cmd: string

説明 情報メッセージです。ユーザがコンフィギュレーションを変更しないコマンドを入力しました。

対処方法 不要です。

112001

エラー メッセージ %FWSM-2-112001: ( string : dec ) FWSM Clear complete.

説明 FWSMのコンフィギュレーションをクリアする要求が完了したときにロギングされるメッセージです。送信元ファイルおよび行番号が表示されます。

対処方法 不要です。

199001

エラー メッセージ %FWSM-5-199001: FWSM reload command executed from telnet (remote IP_address).

説明 reload コマンドにより、FWSMの再起動を開始したホストのアドレスをログします。

対処方法 不要です。

199002

エラー メッセージ %FWSM-6-199002: FWSM startup completed. Beginning operation.

説明 FWSMが初期起動およびフラッシュ メモリの読み取りシーケンスを完了し、正常に動作できる状態になったときにロギングされるメッセージです。


) このメッセージは、no logging messageコマンドを使用してディセーブルにすることはできません。


対処方法 不要です。

199003

エラー メッセージ %FWSM-6-199003: Reducing link MTU dec.

説明 FWSMが外部ネットワークから、内部ネットワークよりも大きいMTU(最大伝送ユニット)を使用するパケットを受信したときにロギングされるメッセージです。この場合、FWSMは外部ホストにICMPメッセージを送信し、適切なMTUをネゴシエートします。ログ メッセージには、ICMPメッセージのシーケンス番号が含まれます。

対処方法 不要です。

199005

エラー メッセージ %FWSM-6-199005: FWSM Startup begin

説明 FWSMが起動したときにロギングされるメッセージです。

対処方法 不要です。

199007

エラー メッセージ %FWSM-7-199007:IP detected an attached application using port port while removing context

説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。

対処方法 不要です。

199008

エラー メッセージ %FWSM-7-199008:Protocol detected an attached application using local port local_port and destination port dest_port

説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。

対処方法 不要です。

199009

エラー メッセージ %FWSM-7-199009: ICMP detected an attached application while removing a context

説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。

対処方法 不要です。

メッセージ201002~215001

ここでは、メッセージ 201002 215001 を示します。

201002

エラー メッセージ %FWSM-3-201002: Too many TCP connections on {static|xlate} global_address! econns nconns

説明 接続関連メッセージです。特定のグローバル アドレスへのTCP接続が最大数を超えたときにロギングされます。econns変数は初期接続の最大数、nconns変数はスタティックまたは変換(xlate)が許可された接続の最大数です。

対処方法 show static またはshow natコマンドを使用して、スタティック アドレスへの接続の最大数を確認してください。この制限数は変更できます。

201003

エラー メッセージ %FWSM-2-201003: Embryonic limit exceeded nconns/elimit for outside_address/outside_port (global_address) inside_address/inside_port on interface interface_name

説明 FWSMへのトラフィックに関する接続関連メッセージです。特定の外部アドレスから、特定のスタティック グローバル アドレス経由で、特定のローカル アドレスに宛てられた初期接続の数が、制限数を超えたことを示しています。FWSMへの初期接続が制限数に達すると、FWSMはこれらの接続を受け入れようとしますが、接続にタイム リミットを適用します。これにより、FWSMの稼働率がかなり高い場合でも、一部の接続を確立することができます。nconns変数は受信した初期接続数、 elimit 変数はstaticコマンドまたはnatコマンドで指定されている初期接続の制限数を示します。

対処方法 このメッセージは、メッセージ201002よりも重大な過負荷を示しています。SYN攻撃を受けた場合、または正常なトラフィック量がきわめて増加した場合に、過負荷が発生します。show staticコマンドを使用して、スタティック アドレスへの初期接続の最大数を確認してください。

201004

エラー メッセージ %FWSM-3-201004: Too many UDP connections on {static|xlate} global_address! udp conn limit

説明 接続関連メッセージです。特定のグローバル アドレスへのUDP接続の数が最大数を超えたときにロギングされます。udp conn limit変数は、スタティックまたは変換で許可されるUDP接続の最大数です。

対処方法 show static またはshow natコマンドを使用して、スタティック アドレスへの接続の最大数を確認してください。この最大数は変更できます。

201005

エラー メッセージ %FWSM-3-201005: FTP data connection failed for IP_addr

説明 メモリ不足のため、FWSMが、FTPのデータ接続を追跡するための構造を割り当てられないことを示しています。

対処方法 メモリ使用量を減らすか、メモリを増設してください。

201006

エラー メッセージ %FWSM-3-201006: RCMD backconnection failed for IP_address/port

説明 接続関連メッセージです。メモリ不足のため、FWSMが rsh コマンドの着信標準出力用の接続を事前に割り当てられないときにロギングされます。

対処方法 rsh クライアントのバージョンを確認してください。FWSMがサポートするのは、Berkeley rsh だけです。また、メモリ使用量を減らすか、メモリを増設してください。

202001

エラー メッセージ %FWSM-3-202001: Out of address translation slots!

説明 接続関連メッセージです。FWSMにアドレス変換スロットの空きがないときにロギングされます。

対処方法 グローバル プールのサイズが、内部ネットワークのクライアント数に適しているか確認してください。PATアドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。メモリ不足のためにこのメッセージが生成される場合があります。可能であればメモリ使用量を減らしてください。

202005

エラー メッセージ %FWSM-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port

説明 接続関連メッセージです。接続オブジェクト(xlate)が不正なリストに含まれているときにロギングされます。

対処方法 TACに連絡してください。

208005

エラー メッセージ %FWSM-3-208005: (function:line_num) FWSM clear command return code

説明 フラッシュ メモリのコンフィギュレーションを消去しようとしたときに、FWSMがゼロ以外の値(内部エラー)を受信しました。このメッセージには、報告されたサブルーチンのファイル名と行番号が表示されます。

対処方法 パフォーマンス上の理由から、エンド ホストがIPフラグメントを挿入しないように設定する必要があります。このコンフィギュレーションの変更は、多くの場合、NFSに起因すると考えられます。読み取りおよび書き込みのサイズを、NFSのインターフェイスMaximum Transmisson Unit(MTU;最大伝送ユニット)に合わせて設定してください。

209003

エラー メッセージ %FWSM-4-209003: Fragment database limit of number exceeded: src = IP_address,dest = IP_address, proto = protocol, id = number

説明 再構築を待機中のIPフラグメント数が多すぎます。デフォルトでは、フラグメントの最大数は200です(最大数を上げる方法については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の fragment size コマンドを参照してください)。FWSMでは、同時に再構築できるIPフラグメント数が制限されています。ネットワークに異常が発生した場合に、FWSMのメモリ不足を回避するためです。通常、フラグメント化されるトラフィックは、トラフィック総数のうち、わずかな割合でなければなりません。例外は、フラグメント化されるトラフィックの割合が高い、UDP接続でNFSを使用しているネットワーク環境です。このタイプのトラフィックをFWSM経由で転送する場合には、TCP接続のNFSに変更することを検討してください。フラグメント化を防止する方法については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』のsysopt connection tcpmss bytesコマンドを参照してください。

対処方法 このメッセージが頻発する場合には、DoS攻撃が進行中である可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。

209004

エラー メッセージ %FWSM-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes: src = IP_address, dest = IP_address, proto = protocol, id = number

説明 IPフラグメントの構造が不正です。再構築されたIPパケットの合計サイズが、上限の65535バイトを超えています。

対処方法 侵入イベントが進行中である可能性があります。このメッセージが頻発する場合には、リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。

209005

エラー メッセージ FWSM-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.

説明 24を超えるフラグメントに分割されているIPパケットをFWSMが拒否しています。

対処方法 侵入イベントが進行中である可能性があります。このメッセージが頻発する場合には、リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。 fragment chain xxx int_name コマンドを使用すると、パケット単位のフラグメント数を変更できます。

210002

エラー メッセージ %FWSM-3-210002: LU allocate block (bytes) failed.

説明 ステートフル フェールオーバーで、スタンバイ装置にステートフル情報を送信するためのメモリ ブロックを割り当てられなかったことを示しています。

対処方法 show interface コマンドを使用してフェールオーバー インターフェイスを調べ、正常に送信できるかどうかを確認してください。また、 show block コマンドを使用して、現在のメモリ ブロックを確認してください。いずれかのメモリ ブロック内で現在の使用可能メモリが0の場合には、FWSMソフトウェアを再起動し、メモリ ブロックの損失を回復してください。

210005

エラー メッセージ %FWSM-3-210005: LU allocate connection failed

説明 ステートフル フェールオーバーで、スタンバイ装置に新しい接続を割り当てることができません。モジュール内で使用可能なRAM(ランダム アクセス メモリ)が不足している、または存在しない可能性があります。

対処方法 show memory コマンドを使用して使用可能なメモリを調べ、システムに空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合には、FWSMのメモリを増設してください。

210006

エラー メッセージ %FWSM-3-210006: LU look NAT for IP_address failed

説明 ステートフル フェールオーバーで、スタンバイ装置上のIPアドレスに対応するNATグループを検索できませんでした。アクティブおよびスタンバイのファイアウォール}装置が同期化されていない可能性があります。

対処方法 アクティブ装置上で write standby コマンドを使用し、スタンバイ装置とシステム メモリを同期化してください。

210007

エラー メッセージ %FWSM-3-210007: LU allocate xlate failed

説明 ステートフル フェールオーバーで、変換(xlate)スロット レコードの割り当てに失敗しました。

対処方法 show memory コマンドを使用して使用可能なメモリを調べ、システムに空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合は、メモリを増設してください。

210008

エラー メッセージ %FWSM-3-210008: LU no xlate for inside_address/inside_port outside_address/outside_port

説明 ステートフル フェールオーバー接続用の変換スロット(xlate)レコードが見つからないため、接続情報を処理できません。

対処方法 アクティブ装置上で write standby コマンドを入力し、アクティブ装置とスタンバイ装置のシステム メモリを同期化してください。

210022

エラー メッセージ %FWSM-6-210022: LU missed number updates

説明 ステートフル フェールオーバーでは、スタンバイ装置に送信する各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が、最新の更新レコードの順序と異なる場合、抜けている番号の情報が失われたとみなされ、このエラー メッセージが表示されます。

対処方法 LANの割り込みが発生していなければ、両方のFWSM装置の使用可能なメモリを調べ、ステートフル情報を処理できる十分なメモリがあるかどうかを確認してください。 show failover コマンドを使用して、ステートフル情報の更新状況をモニタしてください。

211001

エラー メッセージ %FWSM-3-211001: Memory allocation Error

説明 RAMの割り当てに失敗しました。

対処方法 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TACに連絡してください。

211003

エラー メッセージ %FWSM-3-211003: CPU utilization for number seconds = percent

説明 number で示される秒数にわたり、CPU使用率が100%を超えると、このメッセージが表示されます。

対処方法 このメッセージが頻繁に繰り返される場合には、TACに連絡してください。

212001

エラー メッセージ %FWSM-3-212001: Unable to open SNMP channel (UDP port port) on interface interface_number, error code = code

説明 SNMPメッセージです。このインターフェイス上にあるSNMP管理ステーションからFWSMに宛てられたSNMP要求を、FWSM上で受信できないことを示しています。これは、任意のインターフェイスからFWSMを通過するSNMPトラフィックには影響しません。

エラー コード-1は、モジュールがこのインターフェイスでSNMP転送を開けなかったことを示します。

エラー コード-2は、このインターフェイスでSNMP転送をバインドできなかったことを示します。

対処方法 トラフィックが減少し、FWSMがそのリソースの一部を再要求したときに、そのインターフェイスに対して、snmp-server hostコマンドを再設定してください。

212002

エラー メッセージ %FWSM-3-212002: Unable to open SNMP trap channel (UDP port port) on interface interface_number, error code = code

説明 SNMPメッセージです。このインターフェイス上にあるSNMP管理ステーションに対してFWSMがSNMPトラップを送信できないことを示しています。これは、任意のインターフェイスからFWSMを通過するSNMPトラフィックには影響しません。

エラー コード-1は、モジュールがこのインターフェイスでSNMPトラップ転送を開けなかったことを示します。

エラー コード-2は、このインターフェイスでSNMPトラップ転送をバインドできなかったことを示します。

対処方法 トラフィックが減少し、FWSMがそのリソースの一部を再要求したときに、そのインターフェイスに対して、snmp-server hostコマンドを再設定してください。

212003

エラー メッセージ %FWSM-3-212003: Unable to receive an SNMP request on interface interface_number, error code = code, will try again.

説明 SNMPメッセージです。特定のインターフェイス上のFWSMへのSNMP要求の受信時に、内部エラーが発生したときにロギングされます。

対処方法 不要です。FWSMのSNMPエージェントは、次のSNMP要求を待機します。

212004

エラー メッセージ %FWSM-3-212004: Unable to send an SNMP response to IP Address IP_address Port port interface interface_number, error code = code

説明 SNMPメッセージです。FWSMから特定インターフェイス上の特定のホストへのSNMP応答の送信時に、内部エラーが発生したときにロギングされます。

対処方法 不要です。

212005

エラー メッセージ %FWSM-3-212005: incoming SNMP request (number bytes) on interface interface_name exceeds data buffer size, discarding this SNMP request.

説明 SNMPメッセージです。FWSMに宛てられた着信SNMP要求の長さが、内部処理中に要求を保管する内部データ バッファのサイズ(512バイト)を超えたことを示しています。FWSMはこの要求を処理できません。この状況は、任意のインターフェイスからFWSMを通過するSNMPトラフィックには影響しません。

対処方法 SNMP管理ステーションが短い要求を送信するように設定してください。たとえば、1つの要求で複数のMIB変数のクエリを送信するのではなく、1つの要求に1つのMIB変数のクエリだけを送信するようにします。SNMPマネージャ ソフトウェアの設定変更が必要になることがあります。

213001

エラー メッセージ %FWSM-3-213001: PPTP control daemon socket io string, errno = number.

説明 内部TCPソケットのI/Oエラーが発生しました。

対処方法 TACに問題を報告してください。

213002

エラー メッセージ %FWSM-3-213002: PPTP tunnel hashtable insert failed, peer = IP_address.

説明 新しいPPTPトンネルの作成時に内部ソフトウェア エラーが発生しました。

対処方法 TACに問題を報告してください。

213003

エラー メッセージ %FWSM-3-213003: PPP virtual interface interface_ number isn't opened.

説明 PPP仮想インターフェイスを閉じるときに内部ソフトウェア エラーが発生しました。

対処方法 TACに問題を報告してください。

213004

エラー メッセージ %FWSM-3-213004: PPP virtual interface interface_ number client ip allocation failed.

説明 IPアドレスをPPTPクライアントに割り当てる時に、内部ソフトウェア エラーが発生しました。

対処方法 このエラーは、IPローカル アドレス プールが不足したときに発生します。 ip local pool コマンドを使用して、大きいプールを割り当てることを検討してください。

214001

エラー メッセージ %FWSM-2-214001: Terminating manager session from IP_address on interface interface_name . Reason: incoming encrypted data ( number bytes) longer than number bytes

説明 FWSMの管理ポートに宛てられた暗号化データ パケットの長さが、特定の上限値を超えています。悪意のある行為の可能性があります。FWSMはこの管理接続をただちに終了します。

対処方法 管理接続がCisco Secure Policy Managerによって開始されたものであるかどうかを確認してください。

215001

エラー メッセージ %FWSM-2-215001:Bad route_compress() call, sdb= number

説明 内部ソフトウェア エラーが発生しました。

対処方法 TACに連絡してください。

メッセージ302003~322003

ここでは、メッセージ 302003 322003 を示します。

302003

エラー メッセージ %FWSM-6-302003: Built H245 connection for foreign_address outside_address/outside_port local_address inside_address/inside_port

説明 接続関連メッセージです。外部アドレス outside_address からローカル アドレス
inside_address
にH.245接続が開始されるとロギングされます。このメッセージが発生するのは、FWSMがIntel Internet Phoneの使用を検出した場合だけです。外部ポート(outside_port)が表示されるのは、FWSMの外部からの接続の場合だけです。ローカル ポート値(inside_port)が表示されるのは、内部インターフェイス上で開始された接続の場合だけです。

対処方法 不要です。

302004

エラー メッセージ %FWSM-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address/outside_port to local_address inside_address/inside_port

説明 接続関連メッセージです。外部アドレス outside_address からローカル アドレス
inside_address
にH.323 UDPバック接続が割り当てられたときにロギングされます。このメッセージが発生するのは、FWSMがIntel Internet Phoneの使用を検出した場合だけです。外部ポート(outside_port)が表示されるのは、FWSMの外部からの接続の場合だけです。ローカル ポート値(inside_port)が表示されるのは、内部インターフェイス上で開始された接続の場合だけです。

対処方法 不要です。

302010

エラー メッセージ %FWSM-6-302010: connections in use, connections most used

説明 接続関連メッセージです。このメッセージは、TCP接続が再開された後に表示されます。connectionsは接続数です。

対処方法 不要です。

302012

エラー メッセージ %FWSM-6-302012: Pre-allocate H225 Call Signalling Connection for faddr ip address/port to laddr ip address

説明 H.225セカンダリ チャネルが割り当てられたことを通知するメッセージです。

対処方法 不要です。

302013

エラー メッセージ %FWSM-6-302013: Built {inbound|outbound} TCP connection id for interface:real-address/real-port (mapped-address/mapped-port) to interface:real-address/real-port (mapped-address/mapped-port) [(user)]

説明 2つのホスト間にTCP接続スロットが作成されました。

connection id は、Unique Identifier(UID;固有識別情報)です。

interface real-address real-port は、実ソケットを表します。

mapped-address mapped-port は、マッピングされたソケットを表します。

user は、ユーザのAAA(認証、許可、アカウンティング)名です。

inboundが表示される場合、最初の制御接続は外部から開始されています。たとえば、FTPでは、最初の制御チャネルがinboundであれば、データ転送チャネルはすべてinboundです。outboundが指定されている場合、最初の制御接続は内部から開始されています。

対処方法 不要です。

302014

エラー メッセージ %FWSM-6-302014: Teardown TCP connection id for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [reason] [(user)]

説明 2つのホスト間のTCP接続スロットが削除されました。

connection id は、UIDです。

interface real-address real-port は、実ソケットを表します。

duration は、接続の持続時間です。

bytes bytes は、その接続で転送されたデータ量です。

user は、ユーザのAAA名です。

reason 変数は、接続を終了させた動作を表します。 reason 変数は、 表 2-2 に示されているTCP終了理由のいずれかに設定します。

 

表 2-2 TCP終了の理由

理由
説明

Reset-I

内部からのリセット

Reset-O

外部からのリセット

TCP FINs

通常のクローズ ダウン シーケンス

FIN Timeout

最後のACKを15秒待機したあと、強制的に終了

SYN Timeout

1往復半ハンドシェークの完了を2分待機したあと、強制的に終了

Xlate Clear

コマンドラインの削除

Deny

アプリケーションの検査による終了

SYN Control

不正な側からのバック チャネルの開始

Uauth Deny

URLフィルタによる拒否

Unknown

catch-allエラー

対処方法 不要です。

302015

エラー メッセージ %FWSM-6-302015: Built {inbound|outbound} UDP connection id for interface:real-address/real-port (mapped-address/mapped-port) to interface:real-address/real-port (mapped-address/mapped-port) [(user)]

説明 2つのホスト間のUDP接続スロットが削除されました。inboundが指定されている場合、最初の制御接続は外部から開始されています。

対処方法 不要です。

302016

エラー メッセージ %FWSM-6-302016: Teardown UDP connection id for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [(user)]

説明 2つのホスト間のUDP接続スロットが削除されました。

connection id は、UIDです。

interface real-address real-port は、実ソケットを表します。

duration は、接続の持続時間です。

bytes bytes は、その接続で転送されたデータ量です。

user は、ユーザのAAA名です。

対処方法 不要です。

302020

エラー メッセージ %FWSM-6-302020: Built {in | out}bound ICMP connection for faddr {faddr | icmp_seq_num} gaddr {gaddr | cmp_type} laddr laddr

説明 fixup protocol icmpコマンドを使用してステートフルICMPをイネーブルにしたとき、ICMPセッションがfast-pathで確立されました。

対処方法 不要です。

302021

エラー メッセージ %FWSM-6-302021: Teardown ICMP connection for faddr {faddr | icmp_seq_num} gaddr {gaddr | cmp_type} laddr laddr

説明 fixup protocol icmpコマンドを使用してステートフルICMPをイネーブルにしたとき、ICMPセッションがfast-pathで削除されました。

対処方法 不要です。

302302

エラー メッセージ %FWSM-3-302302: ACL = deny; no sa created

説明 IPSecプロキシが一致しません。ネゴシエートしたSAのプロキシ ホストが、access-listコマンドのdenyポリシーの対象です。

対処方法 コンフィギュレーションのaccess-listコマンド ステートメントを確認してください。ピアの管理者に連絡してください。

303002

エラー メッセージ %FWSM-6-303002: source_address {Stored|Retrieved} dest_address: mapped_address

説明 FTP/URLメッセージです。特定のホストが、特定のFTPサイトからデータの保管または検索を試みたときにロギングされます。

対処方法 不要です。

304001

エラー メッセージ %FWSM-5-304001: user source_address Accessed {JAVA URL|URL} dest_address: url.

説明 FTP/URLメッセージです。特定のホストが特定のURLにアクセスを試みたときにロギングされます。

対処方法 不要です。

304002

エラー メッセージ %FWSM-5-304002: Access denied URL chars SRC IP_addr DEST IP_addr: chars

説明 FTP/URLメッセージです。送信元アドレスから特定のURLまたはFTPサイトへのアクセスが拒否されたときにロギングされます。

対処方法 不要です。

304003

エラー メッセージ %FWSM-3-304003: URL Server IP_address timed out URL url

説明 URLサーバがタイムアウトしたときにロギングされます。

対処方法 不要です。

304004

エラー メッセージ %FWSM-6-304004: URL Server IP_address request failed URL url

説明 FTP/URLメッセージです。Websenseサーバ要求が失敗したときにロギングされます。

対処方法 不要です。

304005

エラー メッセージ %FWSM-7-304005: URL Server IP_address request pending URL url

説明 FTP/URLメッセージです。Websenseサーバ要求が待機中であるときにロギングされます。

対処方法 不要です。

304006

エラー メッセージ %FWSM-3-304006: URL Server IP_address not responding

説明 FTP/URLメッセージです。Websenseサーバにアクセスできません。これが唯一のサーバである場合、FWSMは同じサーバへのアクセスを試みようとしているか、または複数のサーバがある場合、FWSMは別のサーバにアクセスをしようとしています。

対処方法 不要です。

304007

エラー メッセージ %FWSM-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.

説明 FTP/URLメッセージです。filterコマンドのallowオプションを使用したとき、Websenseサーバから応答がないときにロギングされます。FWSMは、サーバから応答があるまで、すべてのWeb要求をフィルタリングせずに続行させます。

対処方法 不要です。

304008

エラー メッセージ %FWSM-2-304008: LEAVING ALLOW mode, URL Server is up.

説明 FTP/URLメッセージです。filterコマンドのallowオプションを使用したとき、FWSMが、それまで応答のなかったWebsenseサーバから応答メッセージを受信したときにロギングされます。この応答メッセージを受信すると、FWSMは許可モードを終了し、URLフィルタリング機能を再びイネーブルにします。

対処方法 不要です。

304009

エラー メッセージ %FWSM-7-304009: Ran out of buffer blocks specified by url-block command

説明 URL待機バッファ ブロックのスペースが不足しています。

対処方法 url-block block block_size コマンドを使用して、バッファ ブロック サイズを変更してください。

305005

エラー メッセージ %FWSM-3-305005: No translation group found for protocol src interface_name : dest_address / dest_port dst interface_name : source_address / source_port

説明 パケットが発信natコマンドのルールと一致しません。

対処方法 このメッセージはコンフィギュレーション エラーを示しています。送信元ホストにダイナミックNATを使用する場合は、 nat コマンドが送信元IPアドレスと一致しているかどうかを確認してください。送信元ホストにスタティックNATを使用する場合は、 static コマンドのローカルIPアドレスが一致しているかどうかを確認してください。送信元ホストにNATを使用しない場合は、NAT 0 ACLにバインドされたACL(アクセス制御リスト)を確認してください。

305006

エラー メッセージ %FWSM-3-305006: Regular translation creation failed for protocol src interface_name:source_address/ source_ port dst interface_name:dest_address/ dest_ port

説明 プロトコル(UDP、TCP、またはICMP)がFWSM経由で変換を作成できませんでした。このメッセージは、FWSMにネットワーク アドレスまたはブロードキャスト アドレス宛てのパケットを許可しないように要求した注意事項CSCdr0063に対する応答として表示されます。FWSMは、staticコマンド ステートメントで明示的に指定されたアドレスに対して、このチェックを行います。この変更があると、着信トラフィックについて、宛先IPアドレスがネットワーク アドレスまたはブロードキャスト アドレスの場合、変換が拒否されます。

FWSMは、staticコマンド ステートメントに設定されたグローバルIPおよびマスクを使用して、標準IPアドレスとネットワークIPアドレスまたはブロードキャストIPアドレスを区別します。グローバルIPアドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、FWSMは着信パケットについて、ネットワークIPアドレスまたはブロードキャストIPアドレス用の変換(xlate)を作成しません。

次に例を示します。

static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128
 

グローバル アドレス10.2.2.128がネットワーク アドレスとして、10.2.2.255がブロードキャスト アドレスとして応答されます。既存の変換が存在しない場合、モジュールは10.2.2.128または10.2.2.255を宛先とする着信パケットを拒否し、このSyslogメッセージを生成します。

疑わしいIPがホストIPである場合、サブネットのstaticの前に、ホスト マスクを指定したstaticコマンドを個別に設定します(staticコマンド ステートメントに関する最初の一致のルール)。次のstaticコマンドを使用すると、モジュールは10.2.2.128に対しホスト アドレスとして応答します。

static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128
 

疑わしいIPアドレスを持つ内部ホストから開始されたトラフィックによって、変換が作成される場合があります。FWSMは、ネットワークIPアドレスまたはブロードキャストIPアドレスを、サブネットのstatic設定が重複したホストIPアドレスとみなすので、ネットワーク アドレス変換は、両方の static コマンドで同じでなければなりません。

対処方法 原因は、内部エラーまたはコンフィギュレーション エラーのいずれかです。

305007

エラー メッセージ %FWSM-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number

説明 FWSMがどのグローバル プールにも存在しないアドレスの変換を試みました。FWSMはこのアドレスが削除されているものとみなし、要求を廃棄します。

対処方法 不要です。

305008

エラー メッセージ %FWSM-3-305008: Free unallocated global IP address.

説明 モジュール カーネルが、未割り当てのグローバルIPアドレスを解放してアドレス プールに返そうとするという、矛盾した状態が発生したことを検知しました。FWSMのステートフル フェールオーバーのセットアップ中に、アクティブ装置とスタンバイ装置間で一部の内部ステートが瞬間的に同期外れになった場合、この状態が発生することがあります。重大な状態ではないので、FWSMは自動的に回復します。

対処方法 このメッセージが継続的に表示される場合は、TACに報告してください。

305009

エラー メッセージ %FWSM-6-305009: Built {dynamic|static} translation from interface_name:real_address to interface_name:mapped_address

説明 アドレス変換スロットが作成されました。このスロットは、送信元アドレスをローカル側からグローバル側に変換します。逆方向では、このスロットは宛先アドレスをグローバル側からローカル側に変換します。

対処方法 不要です。

305010

エラー メッセージ %FWSM-6-305010: Teardown {dynamic|static} translation from interface_name:real_address to interface_name:mapped_address duration time

説明 アドレス変換スロットが削除されました。

対処方法 不要です。

305011

エラー メッセージ %FWSM-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address / real_port to interface_name:mapped_address / mapped_port

説明 TCP、UDP、またはICMPアドレス変換スロットが作成されました。このスロットは、送信元ソケットをローカル側からグローバル側に変換します。逆方向では、このスロットは宛先ソケットをグローバル側からローカル側に変換します。

対処方法 不要です。

305012

エラー メッセージ %FWSM-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address / real_port to interface_name:mapped_address / mapped_port duration time

説明 アドレス変換スロットが削除されました。

対処方法 不要です。

307001

エラー メッセージ %FWSM-6-307001: Denied Telnet login session from IP_addr on interface int_name.

説明 FWSMが、内部ネットワーク上の指定のIPアドレスからTelnetポートへの接続の試みを拒否したことを示しています。

対処方法 コンソールから show telnet コマンドを入力し、ホストまたはネットワークからのTelnetアクセスが許可されるように設定されているかどうかを確認してください。

307002

エラー メッセージ %FWSM-6-307002: Permitted Telnet login session from IP_addr

説明 FWSMへの正常なTelnet接続のログを示しています。

対処方法 不要です。

307003

エラー メッセージ %FWSM-6-307003: telnet login session failed from IP_addr (num attempts) on interface int_name.

説明 同じ接続上で誤ったTelnetパスワードが複数回入力されたことを示しています。コンソールTelnetセッションへのログインは、入力は3回まで許可されます。

対処方法 パスワードを確認し、再び接続を試みてください。

307004

エラー メッセージ %FWSM-4-307004: Telnet session limit exceeded. Connection request from IP_addr on interface int_name.

説明 FWSMへのTelnet接続が最大数を超えたことを示しています。FWSMは、指定のネットワーク上の指定のIPアドレスに対して、自身のTelnetポートへの接続を拒否します。

対処方法 不要です。

308001

エラー メッセージ %FWSM-6-308001: FWSM console enable password incorrect for number tries (from IP_address)

説明 モジュール管理メッセージです。イネーブル モードを開始するパスワードが指定の回数分、誤って入力されると、ロギングされます。入力できるのは、3回までです。

対処方法 イネーブル モードのパスワードは、FWSMへのTelnetアクセス用のパスワードと異なることがあります。パスワードを確認し、再び接続を試みてください。

308002

エラー メッセージ %FWSM-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address

説明 1つまたは複数のstaticコマンド ステートメントでIPアドレスが重複すると、このメッセージが表示されます。global_addressはセキュリティ レベルの低いインターフェイス上のグローバル アドレス、inside_addressはセキュリティ レベルの高いインターフェイス上のローカル アドレスです。

対処方法 show staticコマンドを使用して、コンフィギュレーションのstaticコマンド ステートメントを表示し、重複するコマンドを修正してください。最も一般的な重複は、10.1.1.0などのネットワーク アドレスを指定し、別のstaticコマンド ステートメントで10.1.1.5など、その範囲内のホストを指定したときに発生します。

309001

エラー メッセージ %FWSM-3-309001: Denied manager connection from IP_addr.

説明 FWSMが、内部ネットワーク上の指定のIPアドレスに対して、自身ののTelnetポートへの接続の試みを拒否したことを示しています。

対処方法 不要です。

309002

エラー メッセージ %FWSM-6-309002: Permitted manager connection from IP_address.

説明 モジュール管理メッセージです。指定のアドレスからファイアウォール管理ポートへの接続が成功したログを示しています。

対処方法 不要です。

309004

エラー メッセージ %FWSM-4-309004: Manager session limit exceeded. Connection request from IP_addr on interface int_name

説明 FWSMの管理用の接続が、最大数を超えたことを示しています。FWSMは、指定のネットワーク上の指定のIPアドレスに対して、自身の管理ポートへの接続を拒否します。

対処方法 不要です。

311001

エラー メッセージ %FWSM-6-311001: LU loading standby start

説明 スタンバイ装置が初めてオンラインになったときに、ステートフル フェールオーバー更新情報がそのスタンバイ装置に送信されたことを示しています。

対処方法 不要です。

311002

エラー メッセージ %FWSM-6-311002: LU loading standby end

説明 ステートフル フェールオーバー更新情報のスタンバイ装置への送信が終了すると、このメッセージが表示されます。

対処方法 不要です。

311003

エラー メッセージ %FWSM-6-311003: LU recv thread up

説明 スタンバイ装置から更新の確認応答を受信すると、このメッセージが表示されます。

対処方法 不要です。

311004

エラー メッセージ %FWSM-6-311004: LU xmit thread up

説明 ステートフル フェールオーバー更新がスタンバイ装置に送信されたことを示しています。

対処方法 不要です。

312001

エラー メッセージ %FWSM-6-312001: RIP hdr failed from IP_address: cmd=string, version=number domain=string on interface interface_name

説明 FWSMが、応答以外のオペレーション コードを持つRIPメッセージを受信しました。メッセージのバージョン番号がこのインターフェイスの予期した番号と異なり、ルーティング ドメイン エントリがゼロ以外です。

対処方法 これは情報メッセージですが、他のRIPデバイスがFWSMと通信するために正しく設定されていない可能性も示しています。

313001

エラー メッセージ %FWSM-3-313001: Denied ICMP type=number, code=code from IP_address on interface interface_name

説明 アクセス リストにicmpコマンドを使用したとき、最初に一致したエントリが許可エントリである場合、ICMPパケットは継続的に処理されます。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しない場合、FWSMはICMPパケットを廃棄して、このSyslogメッセージを生成します。 icmp コマンドにより、インターフェイスへのpingがイネーブルまたはディセーブルになります。pingがディセーブルの場合、ネットワーク上でFWSMを検知できません。この機能は、Configurable Proxy Pingingとも呼ばれます。

対処方法 ピア デバイスの管理者に連絡してください。

313004

エラー メッセージ %FWSM-4-313004:Denied ICMP type=icmp_type, from src_IP_address oninterface intf_name to dest_IP_address:no matching session

説明 ステートフルICMP機能によって追加されたセキュリティ チェックの結果、ICMPパケットがドロップされました。通常、これに該当するのは、ファイアウォールを通過した有効なエコー要求が存在しないICMPエコー応答や、FWSM上で確立されたTCP、UDP、またはICMPセッションに関係しないICMPエラー メッセージです。

対処方法 不要です。

314001

エラー メッセージ %FWSM-6-314001: Pre-allocate RTSP UDP backconnection for foreign_address outside_address/outside_port to local_address inside_address/inside_port

説明 FWSMが、指定のIPアドレスおよびポートに対してRTSP接続を開始しました。

対処方法 不要です。

315001

エラー メッセージ %FWSM-3-315001: Denied SSH session from IP_addr on interface int_name

説明 FWSMが、指定のネットワーク インターフェイス上の指定のIPアドレスからのSecure Shell(SSH;セキュア シェル)ポートへの接続の試みを拒否したことを示しています。

対処方法 コンソールから show ssh コマンドを入力し、ホストまたはネットワークからのSSHアクセスが許可されるように設定されているかどうかを確認してください。

315002

エラー メッセージ %FWSM-6-315002: Permitted SSH session from IP_addr on interface int_name for user "user_id"

説明 SSHセッションが開始されたことを示しています。ip_addr値は、SSHクライアントのホストのアドレスです。int_name値は、SSHセッションが開始されたインターフェイスです。 user_id値は、クライアントがアクセスしているユーザ名です。SSHセッションのステータスを表示するには、 ssh show sessions コマンドを使用します。

説明 不要です。

315003

エラー メッセージ %FWSM-6-315003: SSH login session failed from IP_addr on (num attempts) on interface int_name by user "user_id"

説明 同じ接続上で誤ったユーザIDまたはパスワードが指定の回数入力された場合に表示されます。このメッセージは、SSHコンソール セッションへのログインでは、入力は3回まで許可されます。ip_addr値は、SSHクライアントのホストのアドレスです。int_name値は、SSHセッションが開始されたインターフェイスです。user_ID値は、クライアントがアクセスを試みているユーザ名です。

対処方法 このメッセージが頻繁に表示されるのでなければ、対処は不要です。このメッセージが頻繁に表示される場合には、攻撃の可能性があります。ユーザに、ユーザ名とパスワードを確認するように通知してください。

315004

エラー メッセージ %FWSM-3-315004: Fail to establish SSH session because FWSM RSA host key retrieval failed.

説明 FWSMが、SSHセッションの確立に必要となる、FWSMのRSAホスト キーを検出できないときに、このSSHメッセージが表示されます。FWSMのホスト キーが生成されていないか、またはFWSMのライセンスでDESまたは3DESが許可されていないため、ファイアウォールのホスト キーが存在しない可能性があります。

対処方法 コンソールからshow ca mypubkey rsaコマンドを入力し、FWSMのRSAホスト キーが存在するかどうかを確認してください。存在しない場合には、show versionコマンドを入力して、FWSMのライセンスでDESまたは3DESが許可されているかどうかを確認してください。

315005

エラー メッセージ %FWSM-4-315005: SSH session limit exceeded. Connection request from IP_addr on interface int_name

説明 FWSMへのSSH接続が最大数を超えたことを示しています。指定のネットワーク上の指定のIPアドレスからFWSMのSSHポートへの接続が拒否されます。

対処方法 不要です。

315011

エラー メッセージ %FWSM-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason

説明 このメッセージは、SSHセッションの完了後に表示されます。ユーザが quit または exit を入力した場合は、terminated normally(正常終了)のメッセージが表示されます。ほかの理由でセッションが切断された場合には、その理由が表示されます。 表 2-3 に、考えられるセッションの切断理由を示します。

対処方法 不要です。

 

表 2-3 SSHの切断理由

テキスト ストリング
説明
処置

Bad checkbytes

SSHキー交換時にチェック バイトで不一致が検出されました。

SSHセッションを再起動してください。

CRC check failed

特定のパケットに関して計算されたCRC値が、パケットに組み込まれているCRC値と一致しません。このパケットは不正です。

不要です。このメッセージが続く場合は、TACに連絡してください。

Decryption failure

SSHキー交換時にSSHセッション キーの復号化が失敗しました。

RSAホスト キーを確認し、再試行してください。

Format error

SSHバージョン交換時に非プロトコル バージョン メッセージを受信しました。

SSHクライアントを調べ、サポートされているバージョンかどうかを確認してください。

Internal error

FWSM上のSSHの内部エラー、またはRSAキーがFWSMに入力されていないか検索できないことを示しています。

FWSMコンソールから show ca mypubkey rsa コマンドを入力し、RSAホスト キーが存在するかどうかを確認してください。存在しない場合、 show version コマンドも入力して、DESまたは3DESが許可されているかどうかを確認してください。RSAホストキーが存在している場合は、SSHセッションを再起動してください。

Invalid cipher type

SSHクライアントがサポート対象外のサイファを要求しました。

show version コマンドを使用して、ライセンスでサポートされている機能を確認し、サポート対象のサイファを使用するようにSSHクライアントを再設定してください。

Invalid message length

FWSMに着信したSSHメッセージの長さが262,144バイトを超えているか、または4096バイト未満です。データが壊れている可能性があります。

不要です。

Invalid message type

FWSMが非SSHメッセージを受信したか、サポート対象外または不要なSSHメッセージを受信しました。

ピアがSSHクライアントであるかどうかを確認してください。クライアントがSSHv1をサポートしており、このメッセージが続く場合には、FWSMシリアル コンソールから debug ssh コマンドを入力して、デバッグ メッセージをキャプチャします。TACに連絡してください。

Out of memory

一般にトラフィック量が多くFWSMの稼働率が高いために、FWSMがSSHサーバ用のメモリを割り当てられないことを示しています。

SSHセッションをあとで再起動してください。

Rejected by server

ユーザ認証に失敗しました。

ユーザ名とパスワードを確認するようにユーザに通知してください。

Reset by client

SSHクライアントがFWSMにSSH_MSG_DISCONNECTメッセージを送信しました。

不要です。

status code: hex ( hex )

ユーザがSSHコンソールで quit または exit を入力する代わりに、Windows上でSSHクライアント ウィンドウを閉じました。

不要です。クライアントを整然とした方法で終了するようにユーザに指示してください。

Terminated by operator

FWSMのコンソールで ssh disconnect を入力することにより、SSHセッションを終了しました。

不要です。

Time-out activated

ssh timeoutコマンドで指定された時間が過ぎたために、SSHセッションがタイムアウトしました。

SSH接続を再起動してください。必要な場合、ssh timeoutコマンドを使用して、デフォルト値である5分を最大60分まで延長できます。

316001

エラー メッセージ %FWSM-3-316001: Cannot create more ISAKMP peers, exceeding the limit of number peers.

説明 ライセンスで許可されているピアの最大数にすでに達しているため、新しいピアが接続できなかったときに、このメッセージが生成されます。

対処方法 ほかのピアが接続解除するまで待つか、またはライセンスをアップグレードして接続可能なピア数を増やしてください。

317001

エラー メッセージ %FWSM-3-317001: No memory available for limit_slow

説明 メモリ不足のため、要求された処理に失敗しました。

対処方法 ほかのシステム動作を減らして、メモリを解放してください。必要に応じて、メモリ構成をアップグレードしてください。

317002

エラー メッセージ %FWSM-3-317002: Bad path index of number for IP_address , number max

説明 ソフトウェア エラーが発生しました。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

317003

エラー メッセージ %FWSM-3-317003: IP routing table creation failure - reason

説明 内部ソフトウェア エラーにより、新しいIPルーティング テーブルを作成できませんでした。

対処方法 表示されたメッセージを正確にコピーし、TACに報告してください。

317004

エラー メッセージ %FWSM-3-317004: IP routing table limit warning

説明 指定のIPルーティング テーブルのルート数が、設定されている警告制限数に達しました。

対処方法 テーブル内のルート数を減らすか、制限数を再設定してください。

317005

エラー メッセージ %FWSM-3-317005: IP routing table limit exceeded - reason , IP_address netmask

説明 制限数を超えたルートをテーブルに追加しようとしています。

対処方法 テーブル内のルート数を減らすか、制限数を再設定してください。

318001

エラー メッセージ %FWSM-3-318001: Internal error: reason

説明 内部ソフトウェア エラーが発生しました。このメッセージは5秒間隔で表示されます。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

318002

エラー メッセージ %FWSM-3-318002: Flagged as being an ABR without a backbone area

説明 ルータがArea Border Router(ABR;エリア境界ルータ)としてフラグ付けされましたが、ルータにバックボーン エリアが設定されていません。このメッセージは5秒間隔で表示されます。

対処方法 OSPFプロセスを再起動してください。

318003

エラー メッセージ %FWSM-3-318003: Reached unknown state in neighbor state machine

説明 内部ソフトウェア エラーが発生しました。このメッセージは5秒間隔で表示されます。

対処方法 不要です。

318004

エラー メッセージ %FWSM-3-318004: area string lsid IP_address mask netmask adv IP_address type number

説明 OSPFのLink State Advertisement(LSA;リンク ステート アドバタイズ)検索に問題があり、メモリ リークが発生した可能性があります。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

318005

エラー メッセージ %FWSM-3-318005: lsid IP_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number

説明 OSPFのデータベースとIPルーティング テーブルの間で矛盾が検出されました。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

318006

エラー メッセージ %FWSM-3-318006: if interface_name if_state number

説明 内部エラーが発生しました。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

318007

エラー メッセージ %FWSM-3-318007: OSPF is enabled on interface_name during idb initialization

説明 内部エラーが発生しました。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

318008

エラー メッセージ %FWSM-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id

説明 OSPFプロセスがリセットされ、新しいルータIDを選択しています。これにより、すべての仮想リンクがダウンします。

対処方法 新しいルータIDが反映されるように、すべての仮想リンク ネイバ上で仮想リンク コンフィギュレーションを変更してください。

319001

エラー メッセージ %FWSM-3-319001: Acknowledge for arp update for IP address dest_addr not received (number).

説明 システムの過負荷により、FWSMのARPプロセスの内部同期が失われました。

対処方法 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。

319002

エラー メッセージ %FWSM-3-319002: Acknowledge for route update for IP address dest_addr not received (number).

説明 システムの過負荷により、FWSMのルーティング モジュールの内部同期が失われました。

対処方法 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。

319003

エラー メッセージ %FWSM-3-319003: Arp update for IP address address to NPn failed.

説明 ARPエントリを更新するとき、内部ARPテーブルを更新するためのメッセージがNetwork Processor(NP)に送信されます。このとき、FWSMのメモリ利用率が高かったり、内部テーブルが満杯であると、NPへのメッセージが拒否され、このメッセージが生成されることがあります。

対処方法 ARPテーブルが満杯になっていないかどうかを確認してください。満杯でなければ、FWSMの負荷(CPU利用率および1秒あたりの接続数)を調べてください。CPU利用率が高い場合、または1秒あたりの接続数が多い場合には、通常の負荷に戻った時点で正常な動作が再開されます。

319004

エラー メッセージ %FWSM-3-319004: Route update for IP address dest_addr failed (number).

説明 システムの過負荷により、FWSMのルーティング モジュールの内部同期が失われました。

対処方法 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。

321001

エラー メッセージ %FWSM-5-321001: Resource var1 limit of var2 reached.

説明 特定のリソースに設定されている使用率またはレート制限に達したことを示しています。

対処方法 不要です。

321002

エラー メッセージ %FWSM-5-321002: Resource var1 rate limit of var2 reached.

説明 特定のリソースに設定されている使用率またはレート制限に達したことを示しています。

対処方法 不要です。

321003

エラー メッセージ %FWSM-6-321003: Resource var1 log level of var2 reached.

説明 特定のリソースに設定されている使用率またはレート ログ レベルに達したことを示しています。

対処方法 不要です。

321004

エラー メッセージ %FWSM-6-321004: Resource var1 rate log level of var2 reached

説明 特定のリソースに設定されている使用率またはレート ログ レベルに達したことを示しています。

対処方法 不要です。

322001

エラー メッセージ %FWSM-3-322001: Deny MAC address mac-address, possible spoof attempt on interface interface

説明 FWSMが指定のインターフェイス上で不正なMACアドレスからパケットを受信しましたが、パケットの送信元MACアドレスは、コンフィギュレーションにある別のインターフェイスに静的にバインドされています。原因としては、MACスプーフィング攻撃またはコンフィギュレーションの誤りの可能性があります。

対処方法 コンフィギュレーションを確認して適切に対処してください。不正なホストを検出するか、またはコンフィギュレーションを訂正します。

322002

エラー メッセージ %FWSM-3-322002: ARP inspection check failed for arp {request|response} received from host mac-address on interface interface. This host is advertising MAC Address mac-address-1 for IP Address ip-address, which is {statically|dynamically} bound to MAC Address mac-address-2.

説明 ARP検査モジュールがイネーブルの場合、パケットでアドバタイズされた新しいARPエントリが、静的な設定または動的な学習によるIP-MACアドレス バインディングに適合しているかどうかをチェックした上で、FWSMからARPパケットが転送されます。このチェックに失敗すると、ARP検査モジュールはARPパケットをドロップし、このメッセージを生成します。この状況の原因としては、ネットワーク上のARPスプーフィング攻撃または無効なコンフィギュレーション(IP-MACバインディング)の可能性があります。

対処方法 攻撃が原因である場合は、ACLを使用してホストを拒否することができます。原因が無効なコンフィギュレーションである場合は、バインディングを訂正してください。

322003

エラー メッセージ %FWSM-3-322003:ARP inspection check failed for arp {request|response} received from host mac-address on interface interface. This host is advertising MAC Address mac-address-1 for IP Address ip-address, which is not bound to any MAC Address.

説明 ARP検査モジュールがイネーブルの場合、パケットでアドバタイズされた新しいARPエントリが、静的な設定によるIP-MACアドレス バインディングに適合しているかどうかをチェックした上で、FWSMからARPパケットが転送されます。このチェックに失敗すると、ARP検査モジュールはARPパケットをドロップし、このメッセージを生成します。この状況の原因としては、ネットワーク上のARPスプーフィング攻撃または無効なコンフィギュレーション(IP-MACバインディング)の可能性があります。

対処方法 攻撃が原因である場合は、ACLを使用してホストを拒否することができます。原因が無効なコンフィギュレーションである場合は、バインディングを訂正してください。

メッセージ400000~412002

ここでは、メッセージ400000~412002を示します。

4000nn

エラー メッセージ %FWSM-4-4000nn: IDS:number st ring from IP_address to IP_address on interface interface_name

説明 メッセージ400000~400051は、Cisco Intrusion Detection System (IDS;侵入検知システム)のシグニチャ メッセージです。

対処方法 詳細については、『Cisco Intrusion Detection System Version 2.2.1 User Guide』を参照してください。次のWebサイトの「NSDB and Signatures」に、シグニチャ番号(number)別の説明があります。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm

シグニチャ メッセージはいずれも、このリリースのFWSMではサポートされていません。IDS Syslogメッセージはすべて%FWSM-4-4000nnで始まり、形式は次のとおりです。

%FWSM-4-4000nn IDS:number string from IP_address to IP_address on interface interface_name

オプション:

number

シグニチャ番号。次のWebサイトにある『Cisco Intrusion Detection System Version 2.2.1 User Guide』を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm

string

シグニチャ メッセージ。NetRangerシグニチャ メッセージとほぼ同じです。

IP_address

シグニチャが適用されるローカルからリモートへのアドレス

interface_name

シグニチャの発信インターフェイス名

次に例を示します。

%FWSM-4-400013 IDS:2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
%FWSM-4-400032 IDS:4051 UDP Snork attack from 10.1.1.1 to 192.168.1.1 on interface outside
 

表 2-4 に、サポートされているシグニチャ メッセージを示します。

 

表 2-4 IDS Syslogメッセージ

メッセージ番号
シグニチャID
シグニチャ タイトル
シグニチャ タイプ

400000

1000

IP options-Bad Option List

情報

400001

1001

IP options-Record Packet Route

情報

400002

1002

IP options-Timestamp

情報

400003

1003

IP options-Security

情報

400004

1004

IP options-Loose Source Route

情報

400005

1005

IP options-SATNET ID

情報

400006

1006

IP options-Strict Source Route

情報

400007

1100

IP Fragment Attack

攻撃

400008

1102

IP Impossible Packet

攻撃

400009

1103

IP Fragments Overlap

攻撃

400010

2000

ICMP Echo Reply

情報

400011

2001

ICMP Host Unreachable

情報

400012

2002

ICMP Source Quench

情報

400013

2003

ICMP Redirect

情報

400014

2004

ICMP Echo Request

情報

400015

2005

ICMP Time Exceeded for a Datagram

情報

400016

2006

ICMP Parameter Problem on Datagram

情報

400017

2007

ICMP Timestamp Request

情報

400018

2008

ICMP Timestamp Reply

情報

400019

2009

ICMP Information Request

情報

400020

2010

ICMP Information Reply

情報

400021

2011

ICMP Address Mask Request

情報

400022

2012

ICMP Address Mask Reply

情報

400023

2150

Fragmented ICMP Traffic

攻撃

400024

2151

Large ICMP Traffic

攻撃

400025

2154

Ping of Death Attack

攻撃

400026

3040

TCP NULL flags

攻撃

400027

3041

TCP SYN+FIN flags

攻撃

400028

3042

TCP FIN only flags

攻撃

400029

3153

FTP Improper Address Specified

情報

400030

3154

FTP Improper Port Specified

情報

400031

4050

UDP Bomb attack

攻撃

400032

4051

UDP Snork attack

攻撃

400033

4052

UDP Chargen DoS attack

攻撃

400034

6050

DNS HINFO Request

攻撃

400035

6051

DNS Zone Transfer

攻撃

400036

6052

DNS Zone Transfer from High Port

攻撃

400037

6053

DNS Request for All Records

攻撃

400038

6100

RPC Port Registration

情報

400039

6101

RPC Port Unregistration

情報

400040

6102

RPC Dump

情報

400041

6103

Proxied RPC Request

攻撃

400042

6150

ypserv (YP server daemon) Portmap Request

情報

400043

6151

ypbind (YP bind daemon) Portmap Request

情報

400044

6152

yppasswdd (YP password daemon) Portmap Request

情報

400045

6153

ypupdated (YP update daemon) Portmap Request

情報

400046

6154

ypxfrd (YP transfer daemon) Portmap Request

情報

400047

6155

mountd (mount daemon) Portmap Request

情報

400048

6175

rexd (remote execution daemon) Portmap Request

情報

400049

6180

rexd (remote execution daemon) Attempt

情報

400050

6190

statd Buffer Overflow

攻撃

401001

エラー メッセージ %FWSM-4-401001: Shuns cleared

説明 メモリから既存のshun(排除)を削除するために、 clear shun コマンドが入力されました。

対処方法 不要です。このメッセージは、排除動作の記録として表示されます。

401002

エラー メッセージ %FWSM-4-401002: Shun added: IP_address IP_address port port

説明 最初のIPアドレスを排除ホストとする shun コマンドが入力されました。それ以外のアドレスおよびポートはオプションであり、使用可能な場合は接続の終了に使用されます。

対処方法 不要です。このメッセージは、排除動作の記録として表示されます。

401003

エラー メッセージ %FWSM-4-401003: Shun deleted: IP_address

説明 1つの排除ホストが、shunデータベースから削除されました。

対処方法 不要です。このメッセージは、排除動作の記録として表示されます。

401004

エラー メッセージ %FWSM-4-401004: Shunned packet: IP_address ==> IP_address on interface interface_name

説明 IP SRCによって定義されたホストが排除データベース内のホストであるため、パケットがドロップされました。排除ホストは、排除されたインターフェイス上ではトラフィックを転送できません。たとえば、インターネット上の外部ホストは、外部インターフェイス上で排除することができます。

対処方法 不要です。このメッセージは、排除ホストの動作の記録になります。このメッセージとメッセージ%FWSM-4-401005を使用して、このホストに関する詳細なリスク アセスメントを行うことができます。

401005

エラー メッセージ %FWSM-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port

説明 FWSMのメモリ不足により、排除を適用できません。

対処方法 IDSでは、このルールの適用を継続的に試みる必要があります。メモリを再要求して手動で排除を再適用するか、Cisco IDSによる実行を待機してください。

402101

エラー メッセージ %FWSM-4-402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=dest_address, prot=protocol, spi=number

説明 Security Association Database(SADB)に存在しないSecurity Parameters Index(SPI)を指定するIPSecパケットを受信しました。この状況は、IPSecピア間のSAエージングにわずかな誤差がある場合、一時的に発生することがあります。また、ローカルSAが消去された場合にも発生します。IPSecピアから誤ったパケットが送信された可能性もあります。攻撃の可能性もあります。

対処方法 ローカルSAが消去されたことについて、ピアが認識しないことがあります。ローカル ルータから新しい接続を確立すると、両ピアの接続が正常に再確立する場合があります。この問題が持続する場合には、新しい接続の確立を試みるか、ピアの管理者に連絡してください。

402102

エラー メッセージ %FWSM-4-402102: decapsulate: packet missing {AH|ESP}, destadr= dest_address , actual prot=protocol

説明 受信したIPSecパケットに、予期したAuthentication Header(AH;認証ヘッダー)またはEncapsulating Security Payload(ESP)ヘッダーがありません。ピアが、ネゴシエートしたセキュリティ ポリシーに一致しないパケットを送信しています。攻撃の可能性があります。

対処方法 ピアの管理者に連絡してください。

402103

エラー メッセージ %FWSM-4-402103: identity doesn't match negotiated identity (ip) dest_address= dest_address, src_addr= source_address, prot= protocol, (ident) local=inside_address, remote=remote_address, local_proxy=IP_address/IP_address/port/port, remote_proxy=IP_address/IP_address/port/port

説明 カプセル化されていないIPSecパケットが、ネゴシエートしたIDと一致しません。セキュリティ アソシエーションの選択が誤っているので、ピアはこのセキュリティ アソシエーションを通じて別のトラフィックを送信しています。悪意のある行為の可能性があります。

対処方法 ピアの管理者に連絡し、ポリシー設定を比較してください。

402106

エラー メッセージ %FWSM-4-402106: Rec'd packet not an IPSEC packet (ip) dest_address= dest_address, src_addr= source_address, prot= protocol

説明 受信したパケットがクリプトマップACLに一致していますが、そのパケットはIPSecでカプセル化されていません。IPSecピアがカプセル化されていないパケットを送信しています。このエラーは、ピア上のポリシー設定エラーによって発生します。たとえば、FWSMは外部インターフェイス ポート23に対しては、暗号化されたTelnetトラフィックだけを受け入れます。ポート23で外部インターフェイスにIPSec暗号化なしでTelnet接続を試みると、このメッセージが表示されます。このエラーは悪意あるイベントを表している場合もあります。ここに記述する状況以外では、このSyslogメッセージは生成されません(たとえば、モジュール インターフェイス自身へのトラフィックの場合は、このメッセージは生成されません)。TCP要求およびUDP要求を追跡するメッセージについては、メッセージ710001、710002、および710003を参照してください。

対処方法 ピアの管理者に連絡し、ポリシー設定を比較してください。

403101

エラー メッセージ %FWSM-4-403101: PPTP session state not established, but received an XGRE packet, tunnel_id=number, session_id=number

説明 FWSMが、対応する制御接続セッションのないPPTP XGREパケットを受信しました。

対処方法 このメッセージが頻繁に繰り返される場合には、TACに問題を報告してください。

403102

エラー メッセージ %FWSM-4-403102: PPP virtual interface interface_name rcvd pkt with invalid protocol: protocol, reason: reason.

説明 FWSMが、プロトコル フィールドが無効なXGREカプセル化PPPパケットを受信しました。

対処方法 このメッセージが頻繁に繰り返される場合には、TACに問題を報告してください。

403103

エラー メッセージ %FWSM-4-403103: PPP virtual interface max connections reached.

説明 FWSMが新しいPPTP接続を受け入れられません。

対処方法 不要です。接続が可能になり次第、新しい接続が割り当てられます。

403104

エラー メッセージ %FWSM-4-403104: PPP virtual interface interface_name requires mschap for MPPE.

説明 Microsoft Point-to-Point Encryption(MPPE)が設定されていますが、MS-CHAP認証が設定されていません。

対処方法 vpdn group group_name ppp authentication コマンドを使用して、MS-CHAP認証を追加してください。

403106

エラー メッセージ %FWSM-4-403106: PPP virtual interface interface_name requires RADIUS for MPPE.

説明 MPPEが設定されていますが、RADIUS認証が設定されていません。

対処方法 vpdn group group_name ppp authentication コマンドを使用して、RADIUS認証を追加してください。

403107

エラー メッセージ %FWSM-4-403107: PPP virtual interface interface_name missing aaa server group info

説明 AAA(認証、許可、アカウンティング)サーバのコンフィギュレーション情報が見つかりません。

対処方法 vpdn group group_name client authentication aaa aaa_server_group コマンドを使用して、AAAサーバ情報を追加してください。

403108

エラー メッセージ %FWSM-4-403108: PPP virtual interface interface_name missing client ip address option

説明 クライアントIPアドレス プール情報が存在しません。

対処方法 vpdn group group_name client configuration address local address_pool_name コマンドを使用して、IPアドレス プール情報を追加してください。

403109

エラー メッセージ %FWSM-4-403109: Rec'd packet not an PPTP packet. (ip) dest_address= dest_address, src_addr= source_address, data: string.

説明 FWSMが、スプーフィングされたPPTPパケットを受信しました。悪意のある行為の可能性があります。

対処方法 ピアの管理者に連絡し、PPTPコンフィギュレーションの設定を確認してください。

403110

エラー メッセージ %FWSM-4-403110: PPP virtual interface interface_name , user: user missing MPPE key from aaa server.

説明 AAAサーバが、MPPE暗号化ポリシーの設定に必要なMPPEキー アトリビュートを返していません。

対処方法 AAAサーバのコンフィギュレーションを確認し、AAAサーバがMPPEキー アトリビュートを返せない場合は、代わりにローカル認証を使用します( vpdn group group_name client authentication local コマンドを使用)。

404101

エラー メッセージ %FWSM-4-404101: ISAKMP: Failed to allocate address for client from pool string

説明 ISAKMPが、ip local poolコマンド ステートメントで指定したプールからのVPNクライアント用のIPアドレスの割り当てに失敗しました。

対処方法 ip local poolコマンドを使用して、プールにIPアドレスを追加してください。

404102

エラー メッセージ %FWSM-3-404102: ISAKMP: Exceeded embryonic limit

説明 500を超える初期セキュリティ アソシエーション(SA)が存在し、DoS攻撃の可能性があります。

対処方法 show crypto isakmp caコマンドを使用して、攻撃の発信元を調べてください。送信元が判明したら、不当なIPアドレスまたはネットワークからのアクセスを拒否してください。

405001

エラー メッセージ %FWSM-4-405001: Received ARP {request | response} collision from IP_address/mac_address on interface interface_name

説明 FWSMが受信したARPパケットのMACアドレスが、ARPキャッシュ エントリと異なっています。

対処方法 正当なトラフィックの場合もありますが、ARPポイズニング攻撃が進行中の可能性もあります。送信元MACアドレスを調べ、パケットの発信元を判別し、それが有効なホストに属するものであるかどうかを確認してください。

405101

エラー メッセージ %FWSM-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address[/outside_port] to local_address inside_address[/inside_port]

説明 FWSMが接続の開始中にRAM(ランダム アクセス メモリ)の割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。

対処方法 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TACに連絡してください。グローバル プールのサイズが、内部ネットワークのクライアント数に適しているかどうかを確認してください。PATアドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。このメッセージは、メモリ不足の場合にも表示されます。メモリ使用量を減らすか、メモリを増設してください。

405102

エラー メッセージ %FWSM-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address[/outside_port] to local_address inside_address[/inside_port]

説明 FWSMが接続の開始中にRAMの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。

対処方法 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TACに連絡してください。また、グローバル プールのサイズが、内部ネットワークのクライアント数に適しているかどうかを確認してください。PATアドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。このメッセージは、メモリ不足の場合にも表示されます。メモリ使用量を減らすか、メモリを増設してください。

405104

エラー メッセージ %FWSM-4-405104: H225 message received from outside_address / outside_port to inside_address / inside_port before SETUP

説明 受信したH.225メッセージの順序が不正であるときに、このメッセージが表示されます。初期SETUPメッセージを受信する前にH.225メッセージを受信しましたが、これは許容されない状況です。FWSMはその他のH.225メッセージを受け入れる前に、H.225コール シグナリング チャネルの初期SETUPメッセージを受信する必要があります。

対処方法 不要です。

406001

エラー メッセージ %FWSM-4-406001: FTP port command low port: IP_address / port to IP_address on interface interface_name

説明 クライアントがFTP portコマンドを入力し、1024未満のポート(通常、サーバ ポート専用のwell knownポート範囲)を指定しました。このメッセージは、サイトのセキュリティ ポリシーの回避が試みられていることを示しています。FWSMはこのパケットをドロップし、接続を終了して、このイベントを記録します。

対処方法 不要です。

406002

エラー メッセージ %FWSM-4-406002: FTP port command different address: IP_address ( IP_address ) to IP_address on interface interface_name

説明 クライアントがFTP portコマンドを発行し、接続に使用しているアドレス以外のアドレスを指定しました。このメッセージは、サイトのセキュリティ ポリシーの回避が試みられていることを示しています。FWSMはこのパケットをドロップし、接続を終了して、このイベントを記録します。

対処方法 不要です。

407002

エラー メッセージ %FWSM-4-407002: Embryonic limit neconns/elimit for through connections exceeded.outside_address/outside_port to global_address (inside_address)/inside_port on interface interface_name

説明 このメッセージは、FWSM経由の接続に関連するメッセージです。指定の外部アドレスから指定のローカル アドレスに宛てられた指定のグローバル アドレスを使用する接続が、そのスタティック アドレスの初期接続の最大数を超えたときにロギングされます。メモリを割り当てることができれば、FWSMは接続の確立を試みます。FWSMは、ローカル ホストの代わりに外部ホストにSYN_ACKパケットを送信します。FWSMは適切なステート情報を保持し、パケットをドロップし、クライアントの確認応答を待機します。

対処方法 正当なトラフィックの場合もありますが、DoS攻撃が進行中の可能性もあります。送信元アドレスを調べ、パケットの発信元を判別し、それが有効なホストかどうかを確認してください。

407003

エラー メッセージ %FWSM-4-407003: Established limit for RPC services exceeded number

説明 FWSMがRPCサーバのペア用に新しいホールを開こうとしているか、またはホールの最大数に達したあとで設定済みのサービスを開始しようとしているときに、このメッセージが生成されます。

対処方法 ほかのホールが(該当するタイムアウトによって)閉じられるまで待つか、またはサーバのアクティブ ペアまたはサービスの数を制限してください。

408001

エラー メッセージ %FWSM-4-408001: IP route counter negative - reason , IP_address Attempt: number

説明 IPルート カウンタを負の値まで減らそうとして失敗しました。

対処方法 clear ip route * コマンドを入力して、ルート カウンタをリセットしてください。メッセージが継続的に表示される場合には、メッセージを正確にコピーして、TACに報告してください。

408002

エラー メッセージ %FWSM-4-408002: ospf process id route type update address1 mask1 [distance1/metric1] via source IP:interface1 address2 mask2 [distance2/metric2] interface2

説明 既存のルートと同じディスタンスで、より良好なメトリックを持つ別のインターフェイスから、ネットワーク アップデートを受信しました。新しいルートは、別のインターフェイス経由でインストールされた既存のルートを上書きします。この新しいルートは冗長性の確保だけを目的とし、ネットワーク上でのパス変更を意味します。この変更は、トポロジーと再配布を通じて制御する必要があります。この変更によって影響される既存の接続は、使用されていない可能性が高く、タイムアウトします。このパス変更は、ネットワーク トポロジーがパス冗長性をサポートするように設計されている場合にのみ発生します。その場合、この変更は予期されています。

対処方法 不要です。

409001

エラー メッセージ %FWSM-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls

説明 ソフトウェアが、予期せぬ状態を検出しました。ルータは修復操作を実行して、動作を継続します。

対処方法 不要です。

409002

エラー メッセージ %FWSM-4-409002: db_free: external LSA IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

対処方法 不要です。

409003

エラー メッセージ %FWSM-4-409003: Received invalid packet: reason from IP_address , interface_name

説明 無効なOSPFパケットを受信しました。エラー メッセージに詳細が表示されます。OSPFコンフィギュレーションが誤っているか、送信側の内部エラーが原因として考えられます。

対処方法 受信側と送信側のOSPFコンフィギュレーションに不一致がないかどうかを確認してください。

409004

エラー メッセージ %FWSM-4-409004: Received reason from unknown neighbor IP_address

説明 OSPF helloパケット、データベース記述パケット、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できません。

対処方法 この状況は、自動的に回復するはずです。

409005

エラー メッセージ %FWSM-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name

説明 システムはOSPFパケットを受信しましたが、OSPFパケットのフィールド長が通常のヘッダー サイズよりも短いか、到着時のIPパケットのサイズと矛盾しています。これは、パケット送信側のコンフィギュレーション エラーを示しています。

対処方法 近接アドレスから問題のあるルータを特定し、そのルータを再起動してください。

409006

エラー メッセージ %FWSM-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name

説明 ルータが、LSAタイプが無効であるLSAを受信しました。メモリが壊れているか、ルータ上の予期せぬ動作が原因です。

対処方法 近接アドレスから問題のあるルータを特定し、そのルータを再起動してください。TACに連絡して指示を受け、問題の原因を調べてください。

409007

エラー メッセージ %FWSM-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

409008

エラー メッセージ %FWSM-4-409008: Found generating default LSA with non-zero mask LSA type : number Mask : IP_address metric : number area : string

説明 内部ソフトウェア エラーが発生したため、ルータは誤ったマスクを使用してデフォルトのLSAを生成しようとしました。誤ったメトリックが使用された可能性もあります。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

409009

エラー メッセージ %FWSM-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID

説明 OSPFが、いずれかのOSPFインターフェイスのIPアドレスからのルータIDの割り当てに失敗しました。

対処方法 少なくとも1つのインターフェイスが起動し、有効なIPアドレスが割り当てられていることを確認してください。ルータ上で複数のOSPFプロセスを実行する場合、各プロセスに一意のルータIDが必要です。各プロセスがルータIDを取得できるように、十分なインターフェイス数をアップにしておく必要があります。

409010

エラー メッセージ %FWSM-4-409010: Virtual link information found in non-backbone area: string

説明 内部エラーが発生しました。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

409011

エラー メッセージ %FWSM-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name

説明 OSPFが、このルーティング プロセスと同じルータIDを持つネイバから、helloパケットを受信しました。完全な隣接関係を確立できません。

対処方法 OSPFのルータIDは一意でなければなりません。ネイバのルータIDを変更してください。

409012

エラー メッセージ %FWSM-4-409012: Detected router with duplicate router ID IP_address in area string

説明 OSPFが、このルーティング プロセスと同じルータIDを持つネイバから、helloパケットを受信しました。完全な隣接関係を確立できません。

対処方法 OSPFのルータIDは一意でなければなりません。ネイバのルータIDを変更してください。

409013

エラー メッセージ %FWSM-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address

説明 OSPFが、このルーティング プロセスと同じルータIDを持つネイバから、helloパケットを受信しました。完全な隣接関係を確立できません。

対処方法 OSPFのルータIDは一意でなければなりません。ネイバのルータIDを変更してください。

410001

エラー メッセージ %FWSM-4-410001: UDP DNS packet dropped due to domainname length check of 255 bytes: actual length:<n> bytes

説明 UDP DNSパケットでドメイン名の長さが255バイトを超えると、このメッセージが表示されます。

対処方法 不要です。

411001

エラー メッセージ %FWSM-4-411001: Line protocol on interface interface_name changed state to up

説明 インターフェイスのライン プロトコルがダウンからアップに変更されました。

対処方法 不要です。

411002

エラー メッセージ %FWSM-4-411002: Line protocol on interface interface_name changed state to down

説明 インターフェイスのライン プロトコルがアップからダウンに変更されました。

対処方法 不要です。

411003

エラー メッセージ %FWSM-4-411003: Configuration status on interface interface_name changed state to up

説明 インターフェイスのコンフィギュレーション ステータスがダウンからアップに変更されました。

対処方法 不要です。

411004

エラー メッセージ %FWSM-4-411004: Configuration status on interface interface_name changed state to up

説明 インターフェイスのコンフィギュレーション ステータスがダウンからアップに変更されました。

対処方法 不要です。

412001

エラー メッセージ %FWSM-4-412001:MAC <mac-address> moved from <interface-1> to <interface-2>

説明 1つのモジュール インターフェイスから別のインターフェイスへのホストの移動が検知されると、このメッセージが生成されます。トランスペアレント ファイアウォールの場合、ホスト(MAC)とファイアウォール ポート間のマッピングは、レイヤ2転送テーブルで維持されます。このテーブルによって、パケットの送信元MACアドレスがファイアウォール ポートに動的にバインドされます。このプロセスで、インターフェイス間でのホストの移動が検知されると、このメッセージが生成されます。

対処方法 ホストの移動は有効な場合もありますが、他のインターフェイス上でホストMACのスプーフィングが試みられた可能性もあります。MACスプーフィング試行の場合には、ネットワーク上で脆弱なホストを特定してそれらを削除するか、またはスタティックMACアドレスを設定してください(その場合、MACアドレスとポートのバインディングは変更できません)。単なるホストの移動の場合には、対処は不要です。

412002

エラー メッセージ %FWSM-4-412002:Detected bridge table full while inserting MAC <mac-address> on interface <interface>. Number of entries = <num>

説明 ブリッジ テーブルが満杯な状態でエントリの追加が試みられたときに、このメッセージが生成されます。FWSMはコンテキストごとに1つのレイヤ2転送テーブルを維持し、コンテキストがそのサイズ制限を超えると、このメッセージが生成されます。MACアドレスは追加されますが、テーブル内で既存のダイナミック エントリのうち最も古いエントリ(存在する場合)を置き換えます。

対処方法 攻撃が試みられた可能性があります。新しいブリッジ テーブル エントリが有効かどうかを確認してください。攻撃の場合には、EtherType ACLを使用して脆弱なホストをアクセス制御してください。

メッセージ500003~504002

ここでは、メッセージ 500003 504002 を示します。

500003

エラー メッセージ %FWSM-5-500003: Bad TCP hdr length (hdrlen=bytes, pktlen=bytes) from source_address/source_port to dest_address/dest_port, flags: tcp_flags, on interface interface_name

説明 TCPのヘッダー長が誤っていることを示しています。OS(オペレーティング システム)によっては、ディセーブルのソケットへの接続要求の応答時に、TCP リセット(RST)が正しく処理されません。クライアントがファイアウォールの外部のFTPサーバに接続を試みたとき、FTPがリスニングしていないと、サーバはRSTを送信します。オペレーティング システムによっては、誤ったTCPヘッダー長が送信されるため、この問題が発生します。UDPは、ICMPポート到達不能メッセージを使用します。

TCPヘッダー長がパケット長より大きいために、負数バイトの転送を示していることがあります。Syslogでは負数が符号なしの数値として表示されるので、1秒間の転送サイズが4 GBのように、異常に大きな値として表示されることがあります。

対処方法 不要です。このメッセージは頻繁には発生しません。

500004

エラー メッセージ %FWSM-4-500004: Invalid transport field for protocol=protocol, from source_address / source_port to dest_address / dest_port

説明 プロトコルの送信元または宛先ポート番号がゼロという、無効な転送番号が存在することを示しています。protocol値は、TCPの場合は6、UDPの場合は17です。

対処方法 このメッセージが継続的に表示される場合は、ピアの管理者に連絡してください。

501101

エラー メッセージ %FWSM-5-501101: User transitioning priv level

説明 コマンドの権限レベルが変更されました。

対処方法 不要です。

502101

エラー メッセージ %FWSM-5-502101: New user added to local dbase: Uname: user Priv: privilege_level Encpass: string

説明 新しいユーザ名レコードが作成されました。ユーザ名、権限レベル、および暗号化パスワードがメッセージに表示されます。

対処方法 不要です。

502102

エラー メッセージ %FWSM-5-502102: User deleted from local dbase: Uname: user Priv: privilege_level Encpass: string

説明 ユーザ名レコードが削除されました。ユーザ名、権限レベル、および暗号化パスワードがメッセージに表示されます。

対処方法 不要です。

502103

エラー メッセージ %FWSM-5-502103: User priv level changed: Uname: user From: privilege_level To: privilege_level

説明 ユーザの権限レベルが変更されました。

対処方法 不要です。

503001

エラー メッセージ %FWSM-5-503001: Process number, Nbr IP_address on interface_name from string to string , reason

説明 OSPFネイバのステートが変更されました。メッセージに、変更内容と理由が表示されます。このメッセージが表示されるのは、OSPFプロセスに log-adjacency-changes コマンドが設定されている場合だけです。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

504001

エラー メッセージ %FWSM-5-504001: Security context context-name was added to the system

説明 セキュリティ コンテキストがシステムに正常に追加されました。

対処方法 不要です。

504002

エラー メッセージ %FWSM-5-504002: Security context context-name was removed from the system

説明 セキュリティ コンテキストがシステムから正常に削除されました。

対処方法 不要です。

メッセージ602101~616001

ここでは、メッセージ 602101 616001 を示します。

602101

エラー メッセージ %FWSM-6-602101: PMTU-D packet number bytes greater than effective mtu number dest_addr=dest_address, src_addr=source_address, prot=protocol

説明 このメッセージは、FWSMがICMP宛先到達不能メッセージを送信した場合、および[don't-fragment]ビットが設定されているけれども、フラグメント化が必要な場合に生成されます。

対処方法 データが正常に送信されていることを確認してください。

602102

エラー メッセージ %FWSM-6-602102: Adjusting IPSec tunnel mtu...

説明 パスMTU検出により、IPSecトンネルのMTU(最大伝送ユニット)が調整されました。

対処方法 IPSecトンネルのMTUを確認してください。実効MTUが標準より小さい場合には、中間リンクを確認してください。

602301

エラー メッセージ %FWSM-6-602301: sa created...

説明 新しいセキュリティ アソシエーション(SA)が作成されました。

対処方法 これは情報メッセージです。

602302

エラー メッセージ %FWSM-6-602302: deleting sa

説明 SAが削除されました。

対処方法 これは情報メッセージです。

603101

エラー メッセージ %FWSM-6-603101: PPTP received out of seq or duplicate pkt, tnl_id=number, sess_id=number, seq=number.

説明 FWSMが、誤った順序でPPTPパケットまたは重複したPPTPパケットを受信しました。

対処方法 パケット カウントが大きい場合は、ピアの管理者に連絡して、クライアントのPPTP設定を確認してください。

603102

エラー メッセージ %FWSM-6-603102: PPP virtual interface interface_name - user: user aaa authentication started.

説明 FWSMがAAA(認証、許可、アカウンティング)サーバに認証要求を送信しました。

対処方法 不要です。

603103

エラー メッセージ %FWSM-6-603103: PPP virtual interface interface_name - user: user aaa authentication status

説明 FWSMがAAAサーバから認証応答を受信しました。

対処方法 不要です。

603104

エラー メッセージ %FWSM-6-603104: PPTP Tunnel created, tunnel_id is number , remote_peer_ip is remote_address , ppp_virtual_interface_id is number , client_dynamic_ip is IP_address , username is user , MPPE_key_strength is string

説明 PPTPトンネルが作成されました。

対処方法 不要です。

603105

エラー メッセージ %FWSM-6-603105: PPTP Tunnel deleted, tunnel_id = number, remote_peer_ip= remote_address

説明 PPTPトンネルが削除されました。

対処方法 不要です。

603106

エラー メッセージ %FWSM-6-603106: L2TP Tunnel created, tunnel_id is number, remote_peer_ip is remote_address, ppp_virtual_interface_id is number, client_dynamic_ip is IP_address, username is user

説明 L2TPトンネルが作成されました。

対処方法 不要です。

603107

エラー メッセージ %FWSM-6-603107: L2TP Tunnel deleted, tunnel_id = number, remote_peer_ip = remote_address

説明 L2TPトンネルが削除されました。

対処方法 不要です。

604101

エラー メッセージ %FWSM-6-604101: DHCP client interface interface_name: Allocated ip = IP_address, mask = net mask, gw = gateway_address

説明 FWSM DHCPクライアントがDHCPサーバから正常にIPアドレスを取得しました。dhcpcコマンド ステートメントによって、FWSMはDHCPサーバからネットワーク インターフェイスのIPアドレスおよびネットワーク マスクのほかに、デフォルト ルートも取得できます。default routeステートメントでは、ゲートウェイ アドレスをデフォルト ルータのアドレスとして使用します。

対処方法 不要です。

604102

エラー メッセージ %FWSM-6-604102: DHCP client interface interface_name: address released

説明 FWSMのDHCPクライアントが、割り当て済みのIPアドレスをDHCPサーバに戻しました。

対処方法 不要です。

604103

エラー メッセージ %FWSM-6-604103: DHCP daemon interface interface_name: address granted MAC_address (IP_address)

説明 FWSMのDHCPサーバが、外部クライアントにIPアドレスを付与しました。

対処方法 不要です。

604104

エラー メッセージ %FWSM-6-604104: DHCP daemon interface interface_name: address released

説明 外部クライアントから、FWSMのDHCPサーバにIPアドレスが戻されました。

対処方法 不要です。

605001

エラー メッセージ %FWSM-3-605001: HTTP daemon interface int_name: Connection denied from IP_addr

説明 FWSMへのHTTP接続が拒否されたことを示しています。

対処方法 不要です。

605002

エラー メッセージ %FWSM-4-605002: HTTP daemon connection limit exceeded

説明 Cisco Secure PDMでFWSMへのHTTP接続数が超過したことを示しています。

対処方法 不要です。

605003

エラー メッセージ %FWSM-6-605003: HTTP daemon: Login failed from IP_addr for user "user_id"

説明 FWSMへのCisco Secure PDMログインに失敗したことを示しています。

対処方法 不要です。

606001

エラー メッセージ %FWSM-6-606001: PDM session number number from IP_address started

説明 管理者が認証され、PDMセッションが開始されたことを示しています。

対処方法 不要です。

606002

エラー メッセージ %FWSM-6-606002: PDM session number number from IP_address ended

説明 PDMセッションが終了したことを示しています。

対処方法 不要です。

607001

エラー メッセージ %FWSM-6-607001: Pre-allocate SIP connection_type secondary channel for interface_name:IP_address/port to interface_name:IP_address from string message

説明 SIPメッセージの検査後に、 fixup sip コマンドによりSIP接続が割り当てられたことを示しています。 connection_type 値 は、次のいずれかのストリングです。

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

対処方法 不要です。

608001

エラー メッセージ %FWSM-6-608001: Pre-allocate Skinny connection_type secondary channel for interface_name:IP_address to interface_name:IP_address/port from string message

説明 Skinnyメッセージの検査後に、 fixup skinny コマンドによりSkinny接続が割り当てられたことを示しています。 connection_type値 は、次のいずれかのストリングです。

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

対処方法 不要です。

610101

エラー メッセージ %FWSM-6-610101: Authorization failed: Cmd: command Cmdtype: command_modifier

説明 指定のコマンドが、コマンド許可に失敗しました。 command_modifier 値は、次のいずれかのストリングです。

cmd (このストリングは、コマンドに修飾子がないことを意味します。)

clear

no

show

説明 FWSMが上記の4つのコマンド タイプ以外の値を検出した場合は、[ unknown command type]というメッセージが表示されます。

対処方法 不要です。

611101

エラー メッセージ %FWSM-6-611101: User authentication succeeded: Uname: user

説明 FWSMへのアクセス時に、ユーザが認証されました。

対処方法 不要です。

611102

エラー メッセージ %FWSM-6-611102: User authentication failed: Uname: user

説明 FWSMへのアクセス時に、ユーザ認証に失敗しました。

対処方法 不要です。

611103

エラー メッセージ %FWSM-5-611103: User logged out: Uname: user

説明 表示のユーザがログアウトしました。

対処方法 不要です。

612001

エラー メッセージ %FWSM-5-612001: Auto Update succeeded: filename , version: number

説明 自動アップデート サーバからのアップデートが成功しました。 filename 変数は、FWSMイメージ、PDMファイル、またはコンフィギュレーションを表します。 version のnumber 変数は、アップデートのバージョン番号です。

対処方法 不要です。

612002

エラー メッセージ %FWSM-4-612002: Auto Update failed: filename , version: number , reason: reason

説明 自動アップデート サーバからのアップデートが失敗したことを示しています。 filename 変数は、FWSMイメージ、PDMファイル、またはコンフィギュレーションを表します。 version のnumber 変数は、アップデートのバージョン番号です。 reason 変数は、アップデートが失敗した理由を示します。失敗の原因としては、無効なイメージ ファイル、サーバへの接続切断、およびコンフィギュレーション エラーがあります。

対処方法 自動アップデート サーバのコンフィギュレーションを確認してください。

612003

エラー メッセージ %FWSM-4-612003:Auto Update failed to contact: url , reason: reason

説明 自動アップデート デーモンが指定のURLに接続できなかったことを示しています。URLは自動アップデート サーバの場合もありますが、自動アップデート サーバから返されたいずれかのファイル サーバURLの場合もあります。 reason フィールド変数は、接続が失敗した理由を示します。失敗の原因としては、サーバからの応答がなかった場合、認証の失敗、およびファイルが見つからなかった場合が考えられます。

対処方法 自動アップデート サーバのコンフィギュレーションを確認してください。

613001

エラー メッセージ %FWSM-6-613001: Checksum Failure in database in area string Link State Id IP_address Old Checksum number New Checksum number

説明 OSPFが、メモリ破壊に起因するデータベース内のチェックサム エラーを検出しました。

対処方法 OSPFプロセスを再起動してください。

613002

エラー メッセージ %FWSM-6-613002: interface interface_name has zero bandwidth

説明 インターフェイスの帯域幅がゼロとして報告されました。

対処方法 TACに連絡して指示を受け、問題の原因を調べてください。

613003

エラー メッセージ %FWSM-6-613003: IP_address netmask changed from area string to area string

説明 OSPFコンフィギュレーションの変更により、ネットワーク範囲のエリアが変更されました。

対処方法 正しいネットワーク範囲を指定して、OSPFを再設定してください。

615001

エラー メッセージ %FWSM-6-615001: vlan number not available for firewall interface

説明 スイッチがFWSMからVLAN(仮想LAN)を削除しました。

対処方法 これは情報メッセージです。

615002

エラー メッセージ %FWSM-6-615002: vlan number available for firewall interface

説明 スイッチがFWSMにVLANを追加しました。

対処方法 これは情報メッセージです。

616001

エラー メッセージ %FWSM-6-616001:Pre-allocate MGCP data-channel connection for inside_ifc:inside_ip address to outside_ifc:outside_ipaddress/port from message_type message

説明 MGCPデータ チャネル接続、RTP、またはRTCPが割り当てられました。このメッセージでは、接続の割り当てをトリガーしたメッセージも示します。

対処方法 情報メッセージです。

メッセージ701001~710005

ここでは、メッセージ 701001 710005 を示します。

701001

エラー メッセージ %FWSM-7-701001: alloc_user() out of Tcp_user objects

説明 AAA(認証、許可、アカウンティング)メッセージです。FWSMのユーザ認証レートが大きすぎて、新しいAAA要求を処理できないときにロギングされます。

対処方法 floodguard enableコマンドを使用して、Flood Defender機能をイネーブルにしてください。

701002

エラー メッセージ %FWSM-7-701002: alloc_user() out of Tcp_proxy objects

説明 AAAメッセージです。FWSMのユーザ認証レートが大きすぎて、新しいAAA要求を処理できないときにロギングされます。

対処方法 floodguard enableコマンドを使用して、Flood Defender機能をイネーブルにしてください。

702301

エラー メッセージ %FWSM-7-702301: lifetime expiring...

説明 SAのライフタイムが満了しました。

対処方法 これは、デバッグ メッセージです。

702302

エラー メッセージ %FWSM-3-702302: replay rollover detected...

説明 IPSecトンネルで40億超のパケットを受信し、新しいトンネルをネゴシエートしています。

対処方法 ピアの管理者に連絡し、SAライフタイムの設定を比較}してください。

702303

エラー メッセージ %FWSM-7-702303: sa_request...

説明 IPSecが新しいSA用のIKEを要求しました。

対処方法 これは、デバッグ メッセージです。

703001

エラー メッセージ %FWSM-7-703001: H.225 message received from interface_name : ip_address / port to interface_name : ip_address / port is using an unsupported version number

説明 FWSMがサポート対象外のバージョン番号を持つH.323パケットを受信しました。FWSMは、パケットのプロトコル バージョン フィールドをサポート対象の最大バージョンに変更する場合があります。

対処方法 FWSMがVoIPネットワーク上でサポートするH.323バージョンを使用してください。

703002

エラー メッセージ %FWSM-7-703002: Received H.225 Release Complete with newConnectionNeeded for interface_name : ip_address to interface_name : ip_address / port

説明 このデバッグ メッセージは、FWSMが特定のH.225メッセージを受信し、指定の2つのH.323エンドポイント用に新しいシグナリング接続オブジェクトを開始したことを示しています。

対処方法 不要です。

709001、709002

エラー メッセージ %FWSM-7-709001: FO replication failed: cmd=command returned= code エラー メッセージ %FWSM-7-709002: FO unreplicable: cmd=command

説明 これらのフェールオーバー メッセージは、開発デバッグ テスト時にのみ表示されます。

対処方法 不要です。

709003

エラー メッセージ %FWSM-1-709003: (Primary) Beginning configuration replication: Receiving from mate.

説明 フェールオーバー メッセージです。アクティブ装置からスタンバイ装置へのコンフィギュレーションの複製が開始されたときにロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。

709004

エラー メッセージ %FWSM-1-709004: (Primary) End Configuration Replication (ACT)

説明 フェールオーバー メッセージです。アクティブ装置からスタンバイ装置へのコンフィギュレーションの複製が完了したときにロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。

709005

エラー メッセージ %FWSM-1-709005: (Primary) Beginning configuration replication: Receiving from mate.

説明 スタンバイ装置が、アクティブ装置から複製コンフィギュレーションの最初の部分を受信したことを示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。

709006

エラー メッセージ %FWSM-1-709006: (Primary) End Configuration Replication (STB)

説明 フェールオーバー メッセージです。スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了したときにロギングされます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

対処方法 不要です。

709007

エラー メッセージ %FWSM-2-709007: Configuration replication failed for command command

説明 フェールオーバー メッセージです。スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了できなかったときにロギングされます。メッセージの最後に、障害の原因となったコマンドが表示されます。

対処方法 コマンド名を書き留めて、TACに連絡してください。

710002

エラー メッセージ %FWSM-7-710002: {TCP|UDP} access permitted from source_address/source_port to interface_name:dest_address/service

説明 TCP接続の場合、FWSMに宛てられた2番めのTCPパケットがTCPセッションの確立を要求したときに、このメッセージが表示されます。このパケットは1往復半ハンドシェークの最後のACKです。該当するアクセス制御リスト(Telnet、HTTP、またはSSH)によってパケットが許可された場合に、このメッセージが表示されます。また、SYNクッキーの確認が成功し、TCPセッション用にステートは予約済みです。

UDP接続の場合、接続が許可されました。たとえば、許可されたSNMP管理ステーションからのSNMP要求をFWSMが受信し、その要求を処理すると、このメッセージ(サービスはSNMP)が表示されます。サービスがSNMPである場合、ログ受信側の負荷を防止するため、このメッセージは最大で10秒に1 回しか生成されません。

対処方法 不要です。

710003

エラー メッセージ %FWSM-3-710003: {TCP|UDP} access denied by ACL from source_address/source_port to interface_name:dest_address/service

説明 FWSMがインターフェイス サービスへの接続を拒否したときに、このメッセージが表示されます。たとえば、不正なSNMP管理ステーションからのSNMP要求をFWSMが受信した場合に、このメッセージ(サービスはSNMP)が表示されます。

対処方法 show http、show ssh、またはshow telnetコマンドを使用して、ホストまたはネットワークからのサービス アクセスを許可するようにFWSMが設定されているかどうかを確認してください。このメッセージが頻繁に表示される場合には、攻撃の可能性があります。

710005

エラー メッセージ %FWSM-7-710005: {TCP|UDP} request discarded from source_address/source_port to interface_name:dest_address/service

説明 UDP要求を処理するUDPサーバがFWSMにないときに、このメッセージが表示されます。このメッセージは、FWSM上のどのセッションにも属さないTCPパケットを表す場合もあります。また、許可されたホストからであっても、ペイロードが空白のSNMP要求を受信した場合、このメッセージ(サービスはSNMP)が表示されます。サービスがSNMPである場合、ログ受信側の負荷を防止するため、このメッセージは最大で10秒に1 回しか生成されません。

対処方法 DHCP、RIP、NetBiosなどのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが異常に多く発生する場合には、攻撃の可能性があります。