ASA シリーズ syslog メッセージ
syslog メッセージ
syslog メッセージ
発行日;2013/12/08 | 英語版ドキュメント(2013/12/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

syslog メッセージ

メッセージ 101001 ~ 199021

101001

101002

101003、101004

101005

103001

103002

103003

103004

103005

103006

103007

104001、104002

104003

104004

105001

105002

105003

105004

105005

105006、105007

105008

105009

105010

105011

105020

105021

105031

105032

105034

105035

105036

105037

105038

105039

105040

105042

105043

105044

105045

105046

105047

105048

106001

106002

106006

106007

106010

106011

106012

106013

106014

106015

106016

106017

106018

106020

106021

106022

106023

106024

106025、106026

106027

106100

106101

106102

106103

107001

107002

108002

108003

108004

108005

108006

108007

109001

109002

109003

109005

109006

109007

109008

109010

109011

109012

109013

109014

109016

109017

109018

109019

109020

109021

109022

109023

109024

109025

109026

109027

109028

109029

109030

109031

109032

109033

109034

109036

109037

109038

109039

110002

110003

111001

111002

111003

111004

111005

111007

111008

111009

111010

111111

112001

113001

113003

113004

113005

113006

113007

113008

113009

113010

113011

113012

113013

113014

113015

113016

113017

113018

113019

113020

113021

113022

113023

113024

113025

113026

113027

113028

113029

113030

113031

113032

113033

113034

113035

113036

113037

113038

113039

113040

114001

114002

114003

114004

114005

114006

114007

114008

114009

114010

114011

114012

114013

114014

114015

114016

114017

114018

114019

114020

114021

114022

114023

115000

115001

115002

120001

120002

120003

120004

120005

120006

120007

120008

120009

120010

120012

199001

199002

199003

199005

199010

199011

199012

199013

199014

199015

199016

199017

199018

199019

199020

199021

メッセージ 201002 ~ 219002

201002

201003

201004

201005

201006

201008

201009

201010

201011

201012

201013

202001

202005

202010

202011

208005

209003

209004

209005

210001

210002

210003

210005

210006

210007

210008

210010

210011

210020

210021

210022

211001

211003

211004

212001

212002

212003

212004

212005

212006

212009

212010

212011

212012

213001

213002

213003

213004

213005

213006

214001

215001

217001

216001

216002

216003

216004

216005

218001

218002

218003

218004

219002

メッセージ 302003 ~ 339009

302003

302004

302010

302012

302013

302014

302015

302016

302017

302018

302019

302020

302021

302033

302034

302302

302303

302304

303002

303004

303005

304001

304002

304003

304004

304005

304006

304007

304008

304009

305005

305006

305007

305008

305009

305010

305011

305012

305013

308001

308002

311001

311002

311003

311004

312001

313001

313004

313005

313008

313009

314001

314002

314003

314004

314005

314006

315004

315011

316001

316002

317001

317002

317003

317004

317005

317006

317007

317008

318001

318002

318003

318004

318005

318006

318007

318008

318009

318101

318102

318103

318104

318105

318106

318107

318108

318109

318110

318111

318112

318113

318114

318115

318116

318117

318118

318119

318120

318121

318122

318123

318125

318126

318127

319001

319002

319003

319004

320001

321001

321002

321003

321004

321005

321006

321007

322001

322002

322003

322004

323001

323002

323003

323004

323005

323006

323007

324000

324001

324002

324003

324004

324005

324006

324007

324008

324300

324301

325001

325002

325004

325005

325006

326001

326002

326004

326005

326006

326007

326008

326009

326010

326011

326012

326013

326014

326015

326016

326017

326019

326020

326021

326022

326023

326024

326025

326026

326027

326028

327001

327002

327003

328001

329001

331001

331002

332001

332002

332003

332004

333001

333002

333003

333004

333005

333006

333007

333008

333009

333010

334001

334002

334003

334004

334005

334006

334007

334008

334009

335001

335002

335003

335004

335004

335005

335006

335007

335008

335009

335010

335011

335012

335013

335014

336001

336002

336003

336004

336005

336006

336007

336008

336009

336010

336011

337001

337002

337003

337004

337005

337006

337007

337008

337009

338001

338002

338003

338004

338005

338006

338007

338008

338101

338102

338103

338104

338201

338202

338203

338204

338301

338302

338303

338304

338305

338306

338307

338308

338309

338310

339001

339002

339003

339004

339005

339006

339007

339008

339009

340001

340002

341001

341002

341003

341004

341005

341006

341007

341008

341010

341011

メッセージ 400000 ~ 450001

4000nn

401001

401002

401003

401004

401005

402114

402115

402116

402117

402118

402119

402120

402121

402122

402123

402124

402125

402126

402127

402128

402129

402130

402131

402140

402141

402142

402143

402144

402145

402146

402147

402148

403101

403102

403103

403104

403106

403107

403108

403109

403110

403500

403501

403502

403503

403504

403505

403506

403507

405001

405003

405101

405002

405101

405102

405103

405104

405105

405106

405107

405201

405300

405301

406001

406002

407001

407002

407003

408001

408002

408003

409001

409002

409003

409004

409005

409006

409007

409008

409009

409010

409011

409012

409013

409023

409101

409102

409103

409104

409105

409106

409107

409108

409109

409110

409111

409112

409113

409114

409115

409116

409117

409118

409119

409120

409121

409122

409123

409125

409128

410001

410002

410003

410004

411001

411002

411003

411004

411005

412001

412002

413001

413002

413003

413004

413005

413006

413007

413008

414001

414002

414003

414004

414005

414006

414007

414008

415001

415002

415003

415004

415005

415006

415007

415008

415009

415010

415011

415012

415013

415014

415015

415016

415017

415018

415019

415020

416001

417001

417004

417006

418001

419001

419002

419003

420001

420002

420003

420004

420005

420006

420007

420008

421001

421002

421003

421004

421005

421006

421007

422004

422005

422006

423001

423002

423003

423004

423005

424001

424002

425001

425002

425003

425004

425005

425006

426001

426002

426003

426004

426101

426102

426103

426104

428002

429001

429002

429003

429004

429005

429006

429007

429008

431001

431002

444004

444005

444007

444100

444101

444102

444103

444104

444105

444106

444107

444108

444109

444110

444111

446001

446003

447001

448001

450001

メッセージ 500001 ~ 509001

500001

500002

500003

500004

500005

501101

502101

502102

502103

502111

502112

503001

503101

504001

504002

505001

505002

505003

505004

505005

505006

505007

505008

505009

505010

505011

505012

505013

505014

505015

505016

506001

507001

507002

507003

508001

508002

509001

メッセージ 602101 ~ 634001

602101

602103

602104

602303

602304

602305

603101

603102

603103

603104

603105

603106

603107

603108

603109

603110

604101

604102

604103

604104

604105

605004

605005

606001

606002

606003

606004

607001

607002

607003

608001

608002

608003

608004

608005

609001

609002

610001

610002

610101

611101

611102

611103

611104

611301

611302

611303

611304

611305

611306

611307

611308

611309

611310

611311

611312

611313

611314

611315

611316

611317

611318

611319

611320

611321

611322

611323

612001

612002

612003

613001

613002

613003

613101

613102

613103

613104

614001

614002

615001

615002

616001

617001

617002

617003

617004

617100

620001

620002

621001

621002

621003

621006

621007

622001

622101

622102

634001

メッセージ 701001 ~ 775007

701001

701002

702305

702307

703001

703002

709001、709002

709003

709004

709005

709006

709007

710001

710002

710003

710004

710005

710006

710007

711001

711002

711003

711004

711005

711006

713004

713201

713202

713006

713008

713009

713010

713012

713014

713016

713017

713018

713020

713022

713024

713025

713028

713029

713032

713033

713034

713035

713039

713040

713041

713042

713043

713048

713049

713050

713052

713056

713060

713061

713062

713063

713065

713066

713068

713072

713073

713074

713075

713076

713078

713081

713082

713083

713084

713085

713086

713088

713092

713094

713098

713099

713102

713103

713104

713105

713107

713109

713112

713113

713114

713115

713117

713118

713119

713120

713121

713122

713123

713124

713127

713128

713129

713130

713131

713132

713133

713134

713135

713136

713137

713138

713139

713140

713141

713142

713143

713144

713145

713146

713147

713148

713149

713152

713154

713155

713156

713157

713158

713159

713160

713161

713162

713163

713164

713165

713166

713167

713168

713169

713170

713171

713172

713174

713176

713177

713178

713179

713182

713184

713185

713186

713187

713189

713190

713191

713193

713194

713195

713196

713197

713198

713199

713203

713204

713205

713206

713208

713209

713210

713211

713212

713213

713214

713215

713216

713217

713218

713219

713220

713221

713222

713223

713224

713225

713226

713227

713228

713229

713230

713231

713232

713233

713234

713235

713236

713237

713238

713239

713240

713241

713242

713243

713244

713245

713246

713247

713248

713249

713250

713251

713252

713253

713254

713255

713256

713257

713258

713259

713260

713261

713262

713263

713264

713265

713266

713267

713268

713269

713270

713271

713272

713273

713274

713900

713901

713902

713903

713904

713905

713906

714001

714002

714003

714004

714005

714006

714007

714011

715001

715004

715005

715006

715007

715008

715009

715013

715019

715020

715021

715022

715027

715028

715033

715034

715035

715036

715037

715038

715039

715040

715041

715042

715044

715045

715046

715047

715048

715049

715050

715051

715052

715053

715054

715055

715056

715057

715058

715059

715060

715061

715062

715063

715064

715065

715066

715067

715068

715069

715070

715071

715072

715074

715075

715076

715077

715080

716001

716002

716003

716004

716005

716006

716007

716008

716009

716010

716011

716012

716013

716014

716015

716016

716017

716018

716019

716020

716021

716022

716023

716024

716025

716026

716027

716028

716029

716030

716031

716032

716033

716034

716035

716036

716037

716038

716039

716040

716041

716042

716043

716044

716045

716046

716047

716048

716049

716050

716051

716052

716053

716054

716055

716056

716057

716058

716059

716060

716500

716501

716502

716503

716504

716505

716506

716507

716508

716509

716510

716512

716513

716515

716516

716517

716518

716519

716520

716521

716522

716525

716526

716527

716528

716600

716601

716602

716603

717001

717002

717003

717004

717005

717006

717007

717008

717009

717010

717011

717012

717013

717014

717015

717016

717017

717018

717019

717020

717021

717022

717023

717024

717025

717026

717027

717028

717029

717030

717031

717033

717034

717035

717036

717037

717038

717039

717040

717041

717042

717043

717044

717045

717046

717047

717048

717049

717050

717051

718001

718002

718003

718004

718005

718006

718007

718008

718009

718010

718011

718012

718013

718014

718015

718016

718017

718018

718019

718020

718021

718022

718023

718024

718025

718026

718027

718028

718029

718030

718031

718032

718033

718034

718035

718036

718037

718038

718039

718040

718041

718042

718043

718044

718045

718046

718047

718048

718049

718050

718051

718052

718053

718054

718055

718056

718057

718058

718059

718060

718061

718062

718063

718064

718065

718066

718067

718068

718069

718070

718071

718072

718073

718074

718075

718076

718077

718078

718079

718080

718081

718082

718083

718084

718085

718086

718087

718088

719001

719002

719003

719004

719005

719006

719007

719008

719009

719010

719011

719012

719013

719014

719015

719016

719017

719018

719019

719020

719021

719022

719023

719024

719025

719026

720001

720002

720003

720004

720005

720006

720007

720008

720009

720010

720011

720012

720013

720014

720015

720016

720017

720018

720019

720020

720021

720022

720023

720024

720025

720026

720027

720028

720029

720030

720031

720032

720033

720034

720035

720036

720037

720038

720039

720040

720041

720042

720043

720044

720045

720046

720047

720048

720049

720050

720051

720052

720053

720054

720055

720056

720057

720058

720059

720060

720061

720062

720063

720064

720065

720066

720067

720068

720069

720070

720071

720072

720073

721001

721002

721003

721004

721005

721006

721007

721008

721009

721010

721011

721012

721013

721014

721015

721016

721017

721018

721019

722001

722002

722003

722004

722005

722006

722007

722008

722009

722010

722011

722012

722013

722014

722015

722016

722017

722018

722019

722020

722021

722022

722023

722024

722025

722026

722027

722028

722029

722030

722031

722032

722033

722034

722035

722036

722037

722038

722039

722040

722041

722042

722043

722044

722045

722046

722047

722048

722049

722050

722051

722053

723001

723002

723003

723004

723005

723006

723007

723008

723009

723010

723011

723012

723013

723014

724001

724002

725001

725002

725003

725004

725005

725006

725007

725008

725009

725010

725011

725012

725013

725014

725015

726001

730001

730002

730003

730004

730005

730006

730007

730008

730009

730010

731001

731002

731003

732001

732002

732003

733100

733101

733102

733103

733104

733105

734001

734002

734003

734004

734005

735001

735002

735003

735004

735005

735006

735007

735008

735009

735010

735011

735012

735013

735014

735015

735016

735017

735018

735019

735020

735021

735022

735023

735024

735025

735026

735027

735028

735029

736001

737001

737002

737003

737004

737005

737006

737007

737008

737009

737010

737011

737012

737013

737014

737015

737016

737017

737018

737019

737023

737024

737025

737026

737027

737028

737029

737030

737031

737032

737033

741000

741001

741002

741003

741004

741005

741006

742001

742002

742003

742004

742005

742006

742007

742008

742009

742010

743000

743001

743002

743004

746001

746002

746003

746004

746005

746006

746007

746008

746009

746010

746011

746012

746013

746014

746015

746016

746017

746018

746019

747001

747002

747003

747004

747005

747006

747007

747008

747009

747010

747011

747012

747013

747014

747015

747016

747017

747018

747019

747020

747021

747022

747023

747024

747025

747026

747027

747028

747029

747030

747031

747032

747033

750001

750002

750003

750004

750005

750006

750007

750008

750009

750011

750012

751001

751002

751003

751004

751005

751006

751007

751008

751009

751010

751011

751012

751013

751014

751015

751016

751017

751018

751019

751020

751021

751022

751023

752001

752002

752003

752004

752005

752006

752007

752008

752009

752010

752011

752012

752013

752014

752015

752016

752017

766001

766002

766003

766004

766005

766006

766007

766008

766009

766010

766011

766012

766013

766014

766015

766016

766017

766018

766019

766020

766201

766202

766203

766204

766251

766252

766253

766254

766301

766302

766303

766304

766305

766307

766308

766309

766310

766311

766312

766313

767001

768001

768002

768003

769001

769002

769003

769004

770001

770002

770003

770001

770002

770003

771001

771002

772002

772003

772004

772005

772006

774001

774002

775001

775002

775003

775004

775005

775006

775007

syslog メッセージ

この章では、メッセージについて番号順に説明します。


) 番号が連番から抜けている場合、そのメッセージは ASA コードにはありません。


ロギング、SNMP、および NetFlow を設定する方法については、『CLI 設定ガイド』を参照してください。

表 1-1 に、メッセージのクラスおよび各クラスに関連付けられているメッセージ ID を示します。メッセージ ID の有効な範囲は 100000 ~ 999999 です。

 

表 1-1 syslog メッセージのクラスおよび関連付けられているメッセージ ID 番号

クラス
定義
syslog メッセージの ID 番号

aaa、auth

ユーザ認証

109、113

acl

アクセス リスト

106

appfw

アプリケーション ファイアウォール

415

bridge

トランスペアレント ファイアウォール

110、220

ca

PKI 認証局

717

citrix

Web VPN

723

clst

クラスタリング

747

cmgr

カード管理

323

config

コマンド インターフェイス

111、112、208、308

cts

Cisco TrustSec

776

dap

ダイナミック アクセス ポリシー

734

eap、eapoudp

ネットワーク アドミッション コントロール

333、334

eigrp

EIGRP ルーティング

336

email

電子メール プロキシ

719

envmon

環境モニタリング

735

ha

高可用性(フェールオーバー)

101、102、103、104、105、210、311、709、727

id

Identity-Based ファイアウォール

746

ids

侵入検知システム

400、733

ikev2

IKEv2 ツールキット

750、751、752

ip

IP スタック

209、215、313、317、408

ipaa

IP アドレス割り当て

735

ips

侵入防御システム

400、401、420

ipv6

IPv6

325

l4tm

ブラック リスト、ホワイト リスト、およびグレー リスト

338

lb

ロード バランシング

728

lic

ライセンス

444

nac policy

ネットワーク アドミッション コントロール ポリシー

731

nac settings

ネットワーク アドミッション コントロール設定

732

nap

ネットワーク アクセス ポイント

713

np

ネットワーク プロセッサ

319

npssl

NP SSL

725

ospf

OSPF ルーティング

318、409、503、613

passwd

パスワードの暗号化

742

pp

Phone Proxy

337

rip

RIP ルーティング

107、312

rm

リソース マネージャ

321

sch

Smart Call Home

120

session

ユーザ セッション

106、108、201、202、204、302、303、304、305、314、405、406、407、500、502、607、608、609、616、620、703、710

snmp

SNMP

212

ssafe

ScanSafe

775

ssl

Secure Socket Layer

725

svc

SSL VPN クライアント

722

sys

システム

199、211、214、216、306、307、315、414、604、605、606、610、612、614、615、701、711、741

td

脅威の検出

733

vipr

UC-IME

339

vn

VLAN Mapping

730

vpdn

PPTP および L2TP セッション

213、403、603

vpn

IKE および IPsec

316、320、402、404、501、602、702、713、714、715

vpnc

VPN クライアント

611

vpnfo

VPN フェールオーバー

720

vpnlb

VPN ロード バランシング

718

webfo

Web ベースのフェールオーバー

721

webvpn

Web ベースの VPN

716

xlate

NAT および PAT

305

この章は、次の項で構成されています。

「メッセージ 101001 ~ 199021」

「メッセージ 201002 ~ 219002」

「メッセージ 302003 ~ 339009」

「メッセージ 400000 ~ 450001」

「メッセージ 500001 ~ 509001」

「メッセージ 602101 ~ 634001」

「メッセージ 701001 ~ 775007」

メッセージ 101001 ~ 199021

この項では、101001 から 199021 までのメッセージについて説明します。

101001

エラー メッセージ %ASA-1-101001: (Primary) Failover cable OK.

説明 フェールオーバー ケーブルが接続され、正常に機能しています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 不要です。

101002

エラー メッセージ %ASA-1-101002: (Primary) Bad failover cable.

説明 フェールオーバー ケーブルが接続されていますが、正常に機能していません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 フェールオーバー ケーブルを交換します。

101003、101004

エラー メッセージ %ASA-1-101003: (Primary) Failover cable not connected (this unit). エラー メッセージ %ASA-1-101004: (Primary) Failover cable not connected (other unit).

説明 フェールオーバー モードがイネーブルになっていますが、フェールオーバー ケーブルがフェールオーバー ペアの一方の装置に接続されていません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 フェールオーバー ケーブルをフェールオーバー ペアの両方の装置に接続します。

101005

エラー メッセージ %ASA-1-101005: (Primary) Error reading failover cable status.

説明 フェールオーバー ケーブルが接続されていますが、プライマリ装置が自分のステータスを判断できません。

推奨処置 ケーブルを交換します。

103001

エラー メッセージ %ASA-1-103001: (Primary) No response from other firewall (reason code = code).

説明 プライマリ装置がフェールオーバー ケーブル経由でセカンダリ装置と通信できません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。 表 1-2 に、フェールオーバーが発生した原因を判断するための原因コードおよび説明を示します。

 

表 1-2 理由コード

理由コード
説明

1

ローカル装置が、LAN フェールオーバーが発生した場合はフェールオーバー LAN インターフェイス上で、シリアルフェールオーバーが発生した場合はシリアル フェールオーバー ケーブル上で、hello パケットを受信しておらず、ピアがダウンしたと宣言しています。

2

インターフェイスが 4 つのフェールオーバー テストのうちのいずれか 1 つを通過させませんでした。4 つのテストは、1)Link Up、2)Monitor for Network Traffic、3)ARP、および 4)Broadcast Ping です。

3

シリアル ケーブルでコマンドが送信された後 15 秒以上適切な ACK が受信されません。

4

フェールオーバー LAN インターフェイスがダウンし、他のデータ インターフェイスは、別のインターフェイスのテストに応答していません。また、ローカル装置はピアがダウンしていることを宣言しています。

5

コンフィギュレーション同期化プロセス中に、スタンバイ ピアがダウンしました。

推奨処置 フェールオーバー ケーブルが正しく接続され、両方の装置が同じハードウェア、ソフトウェア、およびコンフィギュレーションになっていることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。

103002

エラー メッセージ %ASA-1-103002: (Primary) Other firewall network interface interface_number OK.

説明 セカンダリ装置のネットワーク インターフェイスが正常であることをプライマリ装置が検出しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 不要です。

103003

エラー メッセージ %ASA-1-103003: (Primary) Other firewall network interface interface_number failed.

説明 セカンダリ装置に不良ネットワーク インターフェイスをプライマリ装置が検出しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 セカンダリ装置のネットワーク接続とネットワーク ハブ接続を確認します。必要に応じて、障害の発生したネットワーク インターフェイスを交換します。

103004

エラー メッセージ %ASA-1-103004: (Primary) Other firewall reports this firewall failed. Reason: reason-string

説明 プライマリ装置に障害が発生していることを示すメッセージをプライマリ装置がセカンダリ装置から受信しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。理由は、次のいずれかになります。

フェールオーバー コマンド インターフェイスのポーリング パケット失敗がしきい値を超過しました。

LAN フェールオーバー インターフェイスが失敗しました。

ピアが Standby Ready 状態への移行に失敗しました。

コンフィギュレーションの完全なレプリケーションに失敗しました。このファイアウォールのコンフィギュレーションが同期していない可能性があります。

フェールオーバー メッセージの送信に失敗し、受信使用状態の ACK が受信されません。

推奨処置 プライマリ装置のステータスを確認します。

103005

エラー メッセージ %ASA-1-103005: (Primary) Other firewall reporting failure. Reason: SSM card failure

説明 セカンダリ装置がプライマリ装置に SSM カードの障害を報告しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 セカンダリ装置のステータスを確認します。

103006

エラー メッセージ %ASA-1-103006: (Primary|Secondary) Mate version ver_num is not compatible with ours ver_num

説明 ローカル装置と異なるバージョンを実行している、HA Hitless Upgrade 機能と互換性がないピア装置を ASA が検出しました。

ver_num :バージョン番号

推奨処置 両方の装置に、同じバージョンまたは互換性のあるバージョンのイメージをインストールします。

103007

エラー メッセージ %ASA-1-103007: (Primary|Secondary) Mate version ver_num is not identical with ours ver_num

説明 ピア装置で実行されているバージョンがローカル装置と異なるが、Hitless Upgrade をサポートしており、ローカル装置と互換性があることを ASA が検出しました。イメージのバージョンが異なるために、システムのパフォーマンスが低下するおそれがあります。また、異なるイメージを長期間実行すると、ASA で安定性の問題が発生する可能性があります。

ver_num :バージョン番号

推奨処置 できるだけ早く、両方の装置に同じバージョンのイメージをインストールします。

104001、104002

エラー メッセージ %ASA-1-104001: (Primary) Switching to ACTIVE (cause: string ). エラー メッセージ %ASA-1-104002: (Primary) Switching to STANDBY (cause: string ).

説明 スタンバイ装置で failover active コマンドを入力するか、またはアクティブ装置で no failover active コマンドを入力することによって強制的にフェールオーバー ペアの役割が切り替えられました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。string 変数の値は次のとおりです。

state check

bad/incomplete config

ifc [interface] check, mate is healthier

the other side wants me to standby

in failed state, cannot be active

switch to failed state

other unit set to active by CLI config command fail active

推奨処置 手作業による介入が原因でメッセージが表示される場合は、処置は不要です。それ以外の場合は、セカンダリ装置から報告された原因を使用して、ペアの装置両方のステータスを確認します。

104003

エラー メッセージ %ASA-1-104003: (Primary) Switching to FAILED.

説明 プライマリ装置に障害が発生しました。

推奨処置 プライマリ装置のメッセージを確認して、問題の内容を示す表示がないかどうかを調べます(メッセージ 104001 を参照)。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

104004

エラー メッセージ %ASA-1-104004: (Primary) Switching to OK.

説明 前に障害になった装置が再び動作していると報告しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 不要です。

105001

エラー メッセージ %ASA-1-105001: (Primary) Disabling failover.

説明 バージョン 7.x 以降では、このメッセージは、モードのミスマッチ(シングルまたはマルチ)、ライセンスのミスマッチ(暗号化またはコンテキスト)、またはハードウェアの相違(一方の装置には IPS SSM がインストールされ、そのピアには CSC SSM がインストールされている)が原因でフェールオーバーが自動的にディセーブルになったことを示す場合があります。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 不要です。

105002

エラー メッセージ %ASA-1-105002: (Primary) Enabling failover.

説明 これまでフェールオーバーをディセーブルにしていたコンソールで引数を指定せずに failover コマンドが使用されました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 不要です。

105003

エラー メッセージ %ASA-1-105003: (Primary) Monitoring on interface interface_name waiting

説明 ASA が指定されたネットワーク インターフェイス(フェールオーバー ペアの相手装置とのインターフェイス)をテストしています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 不要です。ASA は、正常動作中に自分のネットワーク インターフェイスを頻繁にモニタします。

105004

エラー メッセージ %ASA-1-105004: (Primary) Monitoring on interface interface_name normal

説明 指定されたネットワーク インターフェイスのテストが成功しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 不要です。

105005

エラー メッセージ %ASA-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.

説明 フェールオーバー ペアの一方の装置がペアの相手装置と通信できなくなりました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 指定されたインターフェイスに接続されているネットワークが正しく機能していることを確認します。

105006、105007

エラー メッセージ %ASA-1-105006: (Primary) Link status Up on interface interface_name. エラー メッセージ %ASA-1-105007: (Primary) Link status Down on interface interface_name.

説明 指定されたインターフェイスのリンク ステータスのモニタリング結果が報告されました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 リンク ステータスがダウンである場合は、指定されたインターフェイスに接続されているネットワークが正しく動作していることを確認します。

105008

エラー メッセージ %ASA-1-105008: (Primary) Testing interface interface_name.

説明 指定されたネットワーク インターフェイスのテストが発生しました。このテストは、想定された間隔後に ASA がそのインターフェイス上でスタンバイ装置からメッセージを受け取ることができなかった場合に限って実行されます。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 不要です。

105009

エラー メッセージ %ASA-1-105009: (Primary) Testing on interface interface_name {Passed|Failed}.

説明 前のインターフェイス テストの結果(Passed または Failed)が報告されました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 結果が Passed であれば不要です。結果が Failed の場合は、両方のフェールオーバー装置へのネットワーク ケーブル接続、およびネットワーク自体が正しく機能していることをチェックし、スタンバイ装置のステータスを確認します。

105010

エラー メッセージ %ASA-3-105010: (Primary) Failover message block alloc failed

説明 ブロック メモリが枯渇しています。これは一時メッセージで、ASA は回復する必要があります。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 show blocks コマンドを使用して、現在のブロック メモリをモニタします。

105011

エラー メッセージ %ASA-1-105011: (Primary) Failover cable communication failure

説明 フェールオーバー ケーブルがプライマリ装置とセカンダリ装置間の通信を許可していません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 ケーブルが正しく接続されていることを確認します。

105020

エラー メッセージ %ASA-1-105020: (Primary) Incomplete/slow config replication

説明 フェールオーバーが発生すると、アクティブな ASA はメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 ASA がフェールオーバーを検出した後、ASA は自動的にリブートして、フラッシュ メモリからコンフィギュレーションをロードするか、または別の ASA と再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方の ASA 装置が互いに通信できることを確認します。

105021

エラー メッセージ %ASA-1-105021: ( failover_unit ) Standby unit failed to sync due to a locked context_name config. Lock held by lock_owner_name

説明 コンフィギュレーションの同期化中に、他の何らかのプロセスが 5 分を超えてコンフィギュレーションをロックして、フェールオーバー プロセスが新しいコンフィギュレーションを適用するのを妨げている場合、スタンバイ装置は自分自身をリロードします。これは、コンフィギュレーション同期化の進行中に、管理者がスタンバイ装置で実行コンフィギュレーションに目を通している場合に発生することがあります。『 Cisco ASA 5500 Series Command Reference 』で、特権 EXEC モードの show running-config コマンドと、グローバル コンフィギュレーション モードの pager lines num コマンドも参照してください。

推奨処置 スタンバイ装置が最初にブートし、アクティブ装置とのフェールオーバー接続を確立している間は、スタンバイ装置でコンフィギュレーションを表示または修正しないでください。

105031

エラー メッセージ %ASA-1-105031: Failover LAN interface is up

説明 LAN フェールオーバー インターフェイス リンクがアップしています。

推奨処置 不要です。

105032

エラー メッセージ %ASA-1-105032: LAN Failover interface is down

説明 LAN フェールオーバー インターフェイス リンクがダウンしています。

推奨処置 LAN フェールオーバー インターフェイスの接続を確認します。速度または二重通信の設定が正しいことを確認します。

105034

エラー メッセージ %ASA-1-105034: Receive a LAN_FAILOVER_UP message from peer.

説明 ピアがブートされて、初期コンタクト メッセージが送信されました。

推奨処置 不要です。

105035

エラー メッセージ %ASA-1-105035: Receive a LAN failover interface down msg from peer.

説明 ピア LAN フェールオーバー インターフェイス リンクがダウンしています。装置がスタンバイ モードになっている場合、アクティブ モードに切り替わります。

推奨処置 ピア LAN フェールオーバー インターフェイスの接続を確認します。

105036

エラー メッセージ %ASA-1-105036: dropped a LAN Failover command message.

説明 ASA は無応答の LAN フェールオーバー コマンド メッセージを廃棄しました。これは LAN フェールオーバー インターフェイスに接続障害が存在することを示します。

推奨処置 LAN インターフェイス ケーブルが接続されていることを確認します。

105037

エラー メッセージ %ASA-1-105037: The primary and standby units are switching back and forth as the active unit.

説明 プライマリ装置およびスタンバイ装置がアクティブ装置として交互に切り替わっています。これは、LAN フェールオーバー接続障害またはソフトウェアのバグが存在することを示します。

推奨処置 LAN インターフェイス ケーブルが接続されていることを確認します。

105038

エラー メッセージ %ASA-1-105038: (Primary) Interface count mismatch

説明 フェールオーバーが発生すると、アクティブな ASA はメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 ASA によってフェールオーバーが検出されると、ASA は自動的にリブートして、フラッシュ メモリからコンフィギュレーションをロードするか、または別の ASA と再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方の ASA 装置が互いに通信できることを確認します。

105039

エラー メッセージ %ASA-1-105039: (Primary) Unable to verify the Interface count with mate. Failover may be disabled in mate.

説明 フェールオーバーは最初にプライマリおよびセカンダリの ASA で設定されているインターフェイスの数が同じであることを確認します。このメッセージは、セカンダリ ASA で設定されているインターフェイスの数をプライマリ ASA が確認できないことを示します。このメッセージは、プライマリ ASA がフェールオーバー インターフェイス経由でセカンダリ ASA と通信できないことを示します。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。

推奨処置 プライマリおよびセカンダリ ASA でフェールオーバー LAN、インターフェイス コンフィギュレーション、およびステータスを確認します。セカンダリ ASA が ASA アプリケーションを実行しており、フェールオーバーがイネーブルになっていることを確認します。

105040

エラー メッセージ %ASA-1-105040: (Primary) Mate failover version is not compatible.

説明 プライマリおよびセカンダリの ASA は、フェールオーバー ペアとして動作するために同じフェールオーバー ソフトウェアのバージョンを実行する必要があります。このメッセージは、セカンダリ ASA のフェールオーバー ソフトウェアのバージョンがプライマリ ASA と互換性がないことを示します。フェールオーバーがプライマリ ASA でディセーブルになっています。Primary は、セカンダリの ASA の場合は Secondary と示されることもあります。

推奨処置 フェールオーバーをイネーブルにするために、プライマリおよびセカンダリの ASA 間で一致したソフトウェア バージョンを使用します。

105042

エラー メッセージ %ASA-1-105042: (Primary) Failover interface OK

説明 LAN フェールオーバー インターフェイス リンクがアップしています。

説明 セカンダリ ASA にフェールオーバー メッセージを送信するために使用されるインターフェイスが機能しています。Primary は、セカンダリの ASA の場合は Secondary と示されることもあります。

推奨処置 不要です。

105043

エラー メッセージ %ASA-1-105043: (Primary) Failover interface failed

説明 LAN フェールオーバー インターフェイス リンクがダウンしています。

推奨処置 LAN フェールオーバー インターフェイスの接続を確認します。速度または二重通信の設定が正しいことを確認します。

105044

エラー メッセージ %ASA-1-105044: (Primary) Mate operational mode mode is not compatible with my mode mode.

説明 動作モード(シングルまたはマルチ)がフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。

推奨処置 同じ動作モードになるようにフェールオーバー ピアを設定してから、フェールオーバーを再度イネーブルにします。

105045

エラー メッセージ %ASA-1-105045: (Primary) Mate license (number contexts) is not compatible with my license (number contexts).

説明 フィーチャ ライセンスがフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。

推奨処置 同じフィーチャ ライセンスを持つようにフェールオーバー ピアを設定してから、フェールオーバーを再度イネーブルにします。

105046

エラー メッセージ %ASA-1-105046 (Primary|Secondary) Mate has a different chassis

説明 2 つのフェールオーバー装置が異なるタイプのシャーシを持っています。たとえば、一方が 3 スロットのシャーシを持ち、もう一方が 6 スロットのシャーシを持つ場合です。

推奨処置 2 つのフェールオーバー装置が同じであることを確認します。

105047

エラー メッセージ %ASA-1-105047: Mate has a io_card_name1 card in slot slot_number which is different from my io_card_name2

説明 2 つのフェールオーバー装置は、対応するスロットに異なるタイプのカードが実装されています。

推奨処置 フェールオーバー装置のカード コンフィギュレーションが同じであることを確認します。

105048

エラー メッセージ %ASA-1-105048: ( unit ) Mate's service module ( application ) is different from mine ( application )

説明 アクティブ装置とスタンバイ装置のサービス モジュールで異なるアプリケーションが動作していることをフェールオーバー プロセスが検出しました。異なるサービス モジュールが使用されている場合、2 つのフェールオーバー装置は互換性がありません。

unit :プライマリまたはセカンダリ

application :アプリケーションの名前(たとえば、InterScan Security Card)

推奨処置 フェールオーバーを再度イネーブルにする前に、両方の装置が同じサービス モジュールを装備していることを確認します。

106001

エラー メッセージ %ASA-2-106001: Inbound TCP connection denied from IP_address/port to IP_address/port flags tcp_flags on interface interface_name

説明 内部アドレスへの接続の試行が、指定されたトラフィック タイプに定義されたセキュリティ ポリシーによって拒否されました。表示される IP アドレスは、NAT によって表示される IP アドレスではなく実際の IP アドレスです。表示される tcp_flags 値は、接続が拒否されたときに存在していた TCP ヘッダーのフラグに対応します。たとえば、ASA に接続状態が存在しない TCP パケットが到着し、それが廃棄された場合です。このパケットの tcp_flags は FIN および ACK です。

tcp_flags を次に示します。

ACK:肯定応答番号が受信されました。

FIN:データが送信されました。

PSH:受信者がデータをアプリケーションに渡しました。

RST:接続がリセットされました。

SYN:シーケンス番号が接続を開始するために同期化されました。

URG:緊急ポインタが有効であると宣言されました。

推奨処置 不要です。

106002

エラー メッセージ %ASA-2-106002: protocol Connection denied by outbound list acl_ID src inside_address dest outside_address

説明 指定された接続は、 outbound deny コマンドが原因で失敗しました。 protocol 変数は ICMP、TCP、または UDP になります。

推奨処置 show outbound コマンドを使用して、発信リストを確認します。

106006

エラー メッセージ %ASA-2-106006: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port on interface interface_name.

説明 着信 UDP パケットが、指定されたトラフィック タイプに定義されているセキュリティ ポリシーによって拒否されました。

推奨処置 不要です。

106007

エラー メッセージ %ASA-2-106007: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port due to DNS {Response|Query}.

説明 DNS クエリーまたは応答を含んでいる UDP パケットが拒否されました。

推奨処置 内部ポート番号が 53 の場合、内部ホストはキャッシング ネーム サーバとして設定されていると考えられます。 access-list コマンド文を追加して、UDP ポート 53 のトラフィックおよび内部ホストの変換エントリを許可します。外部ポート番号が 53 の場合、DNS サーバの応答が遅かったため、クエリーには別のサーバが応答したと考えられます。

106010

エラー メッセージ %ASA-3-106010: Deny inbound protocol src [ interface_name : source_address/source_port ] [([ idfw_user | FQDN_string ], sg_info )] dst [ interface_name : dest_address / dest_port }[([ idfw_user | FQDN_string ], sg_info )]

説明 着信接続は、セキュリティ ポリシーによって拒否されました。

推奨処置 トラフィックを許可する必要がある場合は、セキュリティ ポリシーを修正します。このメッセージが繰り返し表示される場合は、リモート ピアの管理者にお問い合わせください。

106011

エラー メッセージ %ASA-3-106011: Deny inbound (No xlate) string

説明 このメッセージは、Web ブラウザ経由でインターネットにアクセスしている内部ユーザがいる場合、通常のトラフィック条件で表示されます。接続がリセットされた場合は常に、ASA が接続リセットを受信した後にその接続の端にあるホストがパケットを送信すると、このメッセージが表示されます。これは通常、無視してかまいません。

推奨処置 no logging message 106011 コマンドを入力して、このメッセージが syslog サーバに記録されないようにします。

106012

エラー メッセージ %ASA-6-106012: Deny IP from IP_address to IP_address , IP options hex.

説明 IP パケットが IP オプションとともに表示されました。IP オプションはセキュリティ リスクと見なされるので、パケットは廃棄されました。

推奨処置 リモート ホスト システムの管理者に問い合わせて、問題を判別します。 ローカル サイトを確認して、あいまいなソース ルーティングや厳密なソース ルーティングがないかどうかを調べます。

106013

エラー メッセージ %ASA-2-106013: Dropping echo request from IP_address to PAT address IP_address

説明 ASA は、PAT グローバル アドレスに対応する宛先アドレスを持つ着信 ICMP エコー要求パケットを廃棄しました。着信パケットは、そのパケットを受信するべき PAT ホストを指定できないので廃棄されます。

推奨処置 不要です。

106014

エラー メッセージ %ASA-3-106014: Deny inbound icmp src interface_name : IP_address [([ idfw_user | FQDN_string ], sg_info )] dst interface_name : IP_address [([ idfw_user | FQDN_string ], sg_info )] (type dec , code dec )

説明 ASA は、すべての着信 ICMP パケット アクセスを拒否しました。デフォルトで、ICMP パケットはすべて、特に許可されている場合を除き、アクセスを拒否されます。

推奨処置 不要です。

106015

エラー メッセージ %ASA-6-106015: Deny TCP (no connection) from IP_address /port to IP_address /port flags tcp_flags on interface interface_name.

説明 ASA は、 関連付けられている接続が ASA 接続テーブルにない TCP パケットを廃棄しました。 ASA は、 新しい接続の確立要求を示す SYN フラグをパケットで探します。その SYN フラグが設定されておらず、既存の接続もない場合、 ASA はそのパケットを廃棄します。

推奨処置 ASA がこれらの無効な TCP パケットを大量に受信する場合を除き、不要です。大量に受信する場合は、パケットを送信元までトレースして、これらのパケットが送信された原因を判別します。

106016

エラー メッセージ %ASA-2-106016: Deny IP spoof from ( IP_address ) to IP_address on interface interface_name.

説明 宛先 IP アドレスが 0.0.0.0 で、宛先 MAC アドレスが ASA インターフェイスのアドレスのパケットが ASA インターフェイスに到着しました。また、このメッセージは、ASA が無効な送信元アドレス(たとえば、次に示すアドレスなどの無効アドレス)を持つパケットを廃棄した場合にも生成されます。

ループバック ネットワーク(127.0.0.0)

ブロードキャスト(limited、net-directed、subnet-directed、および all-subnets-directed)

宛先ホスト(land.c)

スプーフィング パケット検出をさらに強化するには、 icmp コマンドを使用して、内部ネットワークに属する送信元アドレスを持つパケットを廃棄するように ASA を設定します。 現在、 access-list コマンドは推奨されておらず、正しく動作することも保証されていません。

推奨処置 外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。設定に誤りのあるクライアントをチェックします。

106017

エラー メッセージ %ASA-2-106017: Deny IP due to Land Attack from IP_address to IP_address

説明 IP 送信元アドレスと IP 宛先が同一で、かつ宛先ポートと送信元ポートが同一のパケットを ASA が受信しました。このメッセージは、システムの攻撃を目的としてスプーフィングされたパケットを示します。この攻撃は、Land 攻撃と呼ばれます。

推奨処置 このメッセージが引き続き表示される場合は、攻撃が進行中である可能性があります。パケットは、攻撃の起点を決定するのに十分な情報を提供しません。

106018

エラー メッセージ %ASA-2-106018: ICMP packet type ICMP_type denied by outbound list acl_ID src inside_address dest outside_address

説明 ローカル ホスト(inside_address)から外部ホスト(outside_address)への発信 ICMP パケット(指定された ICMP のパケット)が発信 ACL リストによって拒否されました。

推奨処置 不要です。

106020

エラー メッセージ %ASA-2-106020: Deny IP teardrop fragment (size = number, offset = number) from IP_address to IP_address

説明 ASA が、小さなオフセットまたはフラグメントの重複が含まれる teardrop シグニチャを持つ IP パケットを廃棄しました。これは、ASA または侵入検知システムを欺く敵対イベントです。

推奨処置 リモート ピアの管理者に問い合わせるか、またはセキュリティ ポリシーに従ってこの問題の解決を依頼します。

106021

エラー メッセージ %ASA-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name

説明 攻撃が進行中です。着信接続で IP アドレスをスプーフィングしようとする試みが行われています。逆ルート ルックアップとも呼ばれる Unicast RPF は、ルートによって表される送信元アドレスを持たないパケットを検出し、そのパケットを ASA への攻撃の一部であると想定します。

このメッセージは、ip verify reverse-path コマンドで Unicast RPF をイネーブルにしている場合に表示されます。この機能は、インターフェイスに入力されるパケットについて動作します。外側で設定されている場合、ASA は、外部から到達するパケットを確認します。

ASA は、source_address に基づいてルートを検索します。エントリが検出されず、ルートが定義されない場合は、このメッセージが表示され、接続は廃棄されます。

ルートがある場合、ASA は対応するインターフェイスを確認します。パケットが別のインターフェイスに到着した場合、このパケットはスプーフィングであるか、または宛先までに複数のパスがある非対称ルーティング環境が存在しています。ASA は、非対称ルーティングはサポートしていません。

ASA が内部インターフェイスで設定されている場合はスタティック route コマンド文または RIP をチェックし、source_address が見つからない場合は、内部ユーザがアドレスをスプーフィングしています。

推奨処置 攻撃が進行中であっても、この機能がイネーブルになっていれば、ユーザによる処置は不要です。ASA により、攻撃が阻止されます。

106022

エラー メッセージ %ASA-1-106022: Deny protocol connection spoof from source_address to dest_address on interface interface_name

説明 接続と一致するパケットが、その接続が開始されたインターフェイスとは異なるインターフェイスに到着しました。また、ip verify reverse-path コマンドが設定されていません。

たとえば、ユーザが内部インターフェイスで接続を開始したが、ASA が境界インターフェイスに到着する同じ接続を検出する場合、ASA は宛先へのパスを複数持っていることになります。これは非対称ルーティングと呼ばれ、ASA ではサポートされていません。

攻撃者は、ASA に侵入する方法として、1 つの接続から別の接続にパケットを付加しようと試みることもあります。どちらの場合も、ASA はこのメッセージを表示して、接続を廃棄します。

推奨処置 ルーティングが非対称でないことを確認します。

106023

エラー メッセージ %ASA-4-106023: Deny protocol src [ interface_name : source_address / source_port ] [([ idfw_user | FQDN_string ], sg_info )] dst interface_name : dest_address / dest_port [([ idfw_user | FQDN_string ], sg_info )] [type { string }, code { code }] by access_group acl_ID [0x8ed66b60, 0xf8852875]

説明 実際の IP パケットが ACL によって拒否されました。このメッセージは、ACL に対して log オプションをイネーブルにしていない場合でも表示されます。IP アドレスは、NAT によって表示される値ではなく実際の IP アドレスです。一致するものが見つかった場合、IP アドレスに対応するユーザ ID 情報と FQDN 情報の両方が出力されます。ASA は、識別情報(ドメイン\ユーザ)または FQDN(ユーザ名が使用できない場合)のいずれかをログに記録します。識別情報または FQDN が使用可能な場合、ASA は、この情報を送信元と宛先の両方のログに記録します。

推奨処置 同じ送信元アドレスからのメッセージが引き続き表示される場合は、フットプリンティングまたはポート スキャンが行われている可能性があります。リモート ホストの管理者にお問い合わせください。

106024

エラー メッセージ %ASA-2-106024: Access rules memory exhausted

説明 アクセス リストのコンパイル プロセスで、メモリが不足しています。最後の正常なアクセス リスト以降に追加されたコンフィギュレーション情報はすべて、ASA から削除されました。最新のコンパイル済みアクセス リストのセットが引き続き使用されます。

推奨処置 Access Lists、AAA、ICMP、SSH、Telnet、および他の規則タイプは、アクセス リストの規則タイプとして格納され、コンパイルされます。これらの規則タイプの一部を削除して、他の規則タイプを追加できるようにします。

106025、106026

エラー メッセージ %ASA-6-106025: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol エラー メッセージ %ASA-6-106026: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol

説明 マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。どちらのメッセージも、ルータまたはトランスペアレント モードで廃棄される IP パケットに対して生成されることがあります。

推奨処置 不要です。

106027

エラー メッセージ %ASA-4-106027:Failed to determine the security context for the packet:vlansource Vlan#:ethertype src sourceMAC dst destMAC

説明 マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。このメッセージは、トランスペアレント モードで廃棄される非 IP パケットに対してだけ生成されます。

推奨処置 不要です。

106100

エラー メッセージ %ASA-6-106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name / source_address ( source_port ) ( idfw_user , sg_info ) interface_name / dest_address ( dest_port ) ( idfw_user , sg_info ) hit-cnt number ({first hit | number -second interval}) hash codes

説明 最初の出現か、またはある期間の合計出現数を示します。このメッセージは、拒否されたパケットだけを記録して、ヒット数も設定可能なレベルも含まないメッセージ 106023 よりも多くの情報を提供します。

アクセス リストの行に log 引数が含まれている場合、非同期パケットが ASA に到達し、アクセス リストによって評価されることによって、このメッセージ ID がトリガーされる可能性があると想定されます。たとえば、ASA で(接続テーブルに TCP 接続が存在しない)ACK パケットを受信した場合、ASA によってメッセージ 106100 が生成される可能性があります。このメッセージは、パケットは許可されたが、一致する接続が存在しないために後で正しく廃棄されることを示します。

メッセージの値は次のとおりです。

permitted | denied | est-allowed:これらの値は、パケットが ACL によって許可されたか拒否されたかを指摘します。値が est-allowed の場合、パケットは ACL によって拒否されましたが、すでに確立されているセッションで許可されました(たとえば、内部ユーザがインターネットへのアクセスを許可され、通常は ACL によって拒否される応答パケットが許可されます)。

protocol :TCP、UDP、ICMP、または IP プロトコル番号。

interface_name :ログ フローの送信元または宛先のインターフェイス名。VLAN インターフェイスがサポートされています。

source_address :ログ フローの送信元 IP アドレス。IP アドレスは、NAT によって表示される値ではなく実際の IP アドレスです。

dest_address :ログ フローの宛先 IP アドレス。IP アドレスは、NAT によって表示される値ではなく実際の IP アドレスです。

source_port :ログ フローの送信元ポート(TCP または UDP)。ICMP の場合、送信元ポートの後の数字は、メッセージ タイプです。

idfw_user :ASA が当該 IP アドレスのユーザ名を見つけた場合に既存の syslog に追加される、ドメイン名を含むユーザ識別用ユーザ名。

sg_info : ASA によって当該 IP アドレスのセキュリティ グループ タグが検出された場合に syslog に追加されるセキュリティ グループ タグ。セキュリティ グループ名は、セキュリティ グループ タグがあればそれとともに表示されます。

dest_port :ログ フローの宛先ポート(TCP または UDP)。ICMP の場合、宛先ポートの後の数字は ICMP メッセージ コードです。これは一部のメッセージ タイプに使用可能です。タイプ 8 の場合、これは常に 0 です。ICMP メッセージ タイプのリストについては、次の URL を参照してください。 http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml

hit-cnt number :設定した期間に、このフローが ACL エントリによって許可または拒否された回数。ASA がこのフローに対して最初のメッセージを生成するときの値は 1 です。

first hit:このフローに対して生成された最初のメッセージ。

number -second interval:ヒット数を累算する対象期間。この期間は、 access-list コマンドで interval オプションを使用して設定します。

ハッシュ コード:オブジェクト グループ ACE および構成要素の通常の ACE には、必ず 2 が表示されます。値は、パケットがヒットする ACE 上で決定されます。これらのハッシュ コードを表示するには show-access list コマンドを入力します。

推奨処置 不要です。

106101

エラー メッセージ %ASA-1-106101 The number of ACL log deny-flows has reached limit ( number ).

説明 ACL deny 文( access-list id deny コマンド)に log オプションを設定してあり、トラフィック フローが ACL 文と一致する場合、ASAはフロー情報をキャッシュします。このメッセージは、ASAでキャッシュされる一致フローの数がユーザが設定した制限( access-list deny-flow-max コマンドを使用)を超えたことを示します。このメッセージは、Denial of Service(DoS; サービス拒絶)攻撃の結果生成される可能性があります。

number access-list deny-flow-max コマンドを使用して設定された制限

推奨処置 不要です。

106102

エラー メッセージ %ASA-6-106102: access-list acl_ID {permitted|denied} protocol for user username interface_name / source_address source_port interface_name / dest_address dest_port hit-cnt number {first hit| number -second interval} hash codes

説明 VPN フィルタを通じて適用されるアクセス リストによってパケットが許可または拒否されました。このメッセージは、メッセージ 106100 に相当する VPN/AAA フィルタのメッセージです。

推奨処置 不要です。

106103

エラー メッセージ %ASA-4-106103: access-list acl_ID denied protocol for user username interface_name / source_address source_port interface_name / dest_address dest_port hit-cnt number first hit hash codes

説明 VPN フィルタを通じて適用されるアクセス リストによってパケットが拒否されました。このメッセージは、メッセージ 106023 に相当する VPN/AAA フィルタのメッセージです。

推奨処置 不要です。

107001

エラー メッセージ %ASA-1-107001: RIP auth failed from IP_address : version=number, type=string, mode=string, sequence=number on interface interface_name

説明 ASAは不正な認証を持つ RIP 応答メッセージを受信しました。このメッセージは、ルータまたは ASA の設定の誤り、または ASA のルーティング テーブルへの攻撃の失敗が原因となることもあります。

推奨処置 このメッセージは攻撃の可能性を示しているため、モニタする必要があります。このメッセージに示されている送信元 IP アドレスを熟知していない場合は、信頼できるエンティティ間で RIP 認証キーを交換します。攻撃者が既存のキーを判別しようと試みている可能性もあります。

107002

エラー メッセージ %ASA-1-107002: RIP pkt failed from IP_address : version=number on interface interface_name

説明 このメッセージは、ルータのバグ、非 RFC 値を内部に持つパケット、または形式が誤っているエントリが原因で表示される可能性があります。これは発生してはならないもので、ASA のルーティング テーブルを利用しようとする試みの可能性もあります。

推奨処置 このメッセージは攻撃の可能性を示しているため、モニタする必要があります。パケットは認証を渡しましたが(イネーブルの場合)、不良データがパケット内にあります。パケットの発信者について疑わしい点があれば、状況をモニタしてキーを変更します。

108002

エラー メッセージ %ASA-2-108002: SMTP replaced string: out source_address in inside_address data: string

説明 Mail Guard(SMTP)メッセージが inspect esmtp コマンドによって生成されました。ASA は、電子メール アドレスの無効な文字をスペースで置き換えました。

推奨処置 不要です。

108003

エラー メッセージ %ASA-2-108003: Terminating ESMTP/SMTP connection; malicious pattern detected in the mail address from source_interface:source_address/source_port to dest_interface:dest_address/dset_port . Data: string

説明 ASA は、電子メール アドレスに悪意のあるパターンを検出して、接続をドロップしました。攻撃が進行中です。

推奨処置 不要です。

108004

エラー メッセージ %ASA-4-108004: action_class: action ESMTP req_resp from src_ifc:sip | sport to dest_ifc:dip | dport;further_info

説明 ESMTP メッセージに対して ESMTP 分類が実施され、指定の基準が満たされました。設定済みのアクションが実行されます。

action_class :アクションのクラス(ESMTP の match コマンドの場合は ESMTP Classification、パラメータ コマンドの場合は ESMTP Parameter)

action :実行されるアクション(Dropped、Dropped connection for、Reset connection for、または Masked header flags for)

req_resp :要求または応答

src_ifc :送信元インターフェイス名

sip|sport :送信元 IP アドレスまたは送信元ポート

dest_ifc :宛先インターフェイス名

dip|dport :宛先 IP アドレスまたは宛先ポート

further info :次のいずれか

1 つの match コマンドの場合:matched Class id : match_command (たとえば、matched Class 1234: match body length 100)。

パラメータ コマンドの場合: parameter-command : descriptive-message (たとえば、mail-relay: No Mail Relay allowed)

推奨処置 不要です。

108005

エラー メッセージ %ASA-6-108005: action_class: Received ESMTP req_resp from src_ifc:sip | sport to dest_ifc:dip | dport;further_info

説明 ESMTP メッセージに対して ESMTP 分類が実施され、指定の基準が満たされました。スタンドアロンのログ アクションが実行されます。

action_class :アクションのクラス(ESMTP の match コマンドの場合は ESMTP Classification、パラメータ コマンドの場合は ESMTP Parameter)

req_resp :要求または応答

src_ifc :送信元インターフェイス名

sip|sport :送信元 IP アドレスまたは送信元ポート

dest_ifc :宛先インターフェイス名

dip|dport :宛先 IP アドレスまたは宛先ポート

further info :次のいずれか

1 つの match コマンドの場合:matched Class id : match_command (たとえば、matched Class 1234: match body length 100)

パラメータ コマンド(パラメータ セクションのコマンド)の場合: parameter-command : descriptive-message (たとえば、mail-relay: No Mail Relay allowed)

推奨処置 不要です。

108006

エラー メッセージ %ASA-7-108006: Detected ESMTP size violation from src_ifc:sip | sport to dest_ifc:dip | dport; declared size is: decl_size, actual size is act_size.

説明 このイベントは、ESMTP メッセージのサイズが RCPT コマンドで宣言されたサイズを超えている場合に生成されます。

src_ifc :送信元インターフェイス名

sip|sport :送信元 IP アドレスまたは送信元ポート

dest_ifc :宛先インターフェイス名

dip|dport :宛先 IP アドレスまたは宛先ポート

decl_size :宣言されたサイズ

act_size :実際のサイズ

推奨処置 不要です。

108007

エラー メッセージ %ASA-6-108007: TLS started on ESMTP session between client client-side interface-name : client IP address / client port and server server-side interface-name : server IP address / server port

説明 ESMTP 接続でサーバがクライアントの STARTTLS コマンドに対して 220 応答コードで応答しました。ESMTP インスペクション エンジンでは、この接続のトラフィックは検査されなくなります。

client-side interface-name :クライアント側に向かうインターフェイスの名前

client IP address :クライアントの IP アドレス

client port :クライアントの TCP ポート番号

server-side interface-name :サーバ側に向かうインターフェイスの名前

server IP address :サーバの IP アドレス

server port :サーバの TCP ポート番号

推奨処置 メッセージをログに記録して確認します。この接続に関連付けられている ESMTP ポリシー マップに「allow-tls action log」が設定されていることを確認します。設定されていない場合は、Cisco TAC にお問い合わせください。

109001

エラー メッセージ %ASA-6-109001: Auth start for user user from inside_address/ inside_port to outside_address/ outside_port

説明 ASA が AAA 用に設定されており、指定されたユーザによる認証要求を検出しました。

推奨処置 不要です。

109002

エラー メッセージ %ASA-6-109002: Auth from inside_address/inside_port to outside_address/outside_port failed (server IP_address failed) on interface interface_name.

説明 指定された認証サーバにモジュールがアクセスできないために認証要求が失敗しました。

推奨処置 指定された認証サーバ上で認証デーモンが動作していることを確認します。

109003

エラー メッセージ %ASA-6-109003: Auth from inside_address to outside_address/outside_port failed (all servers failed) on interface interface_name, so marking all servers ACTIVE again.

説明 認証サーバが見つかりません。

推奨処置 ASA から認証サーバに対して ping を実行します。デーモンが動作していることを確認します。

109005

エラー メッセージ %ASA-6-109005: Authentication succeeded for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 指定された認証要求が成功しました。

推奨処置 不要です。

109006

エラー メッセージ %ASA-6-109006: Authentication failed for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 おそらくパスワードが誤っているために、指定された認証要求が失敗しました。

推奨処置 不要です。

109007

エラー メッセージ %ASA-6-109007: Authorization permitted for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 指定された認可要求が成功しました。

推奨処置 不要です。

109008

エラー メッセージ %ASA-6-109008: Authorization denied for user user from outside_address/outside_port to inside_address/ inside_port on interface interface_name.

説明 おそらくパスワードが誤っているために、指定されたアドレスへのアクセスをユーザが許可されませんでした。

推奨処置 不要です。

109010

エラー メッセージ %ASA-3-109010: Auth from inside_address/inside_port to outside_address/outside_port failed (too many pending auths) on interface interface_name.

説明 サーバで多くの要求が保留中であるために、認証要求が処理できませんでした。

推奨処置 認証サーバが遅すぎるために認証要求に応答できないのかどうかを確認します。Flood Defender 機能を floodguard enable コマンドでイネーブルにします。

109011

エラー メッセージ %ASA-2-109011: Authen Session Start: user ' user ', sid number

説明 認証セッションがホストと ASA の間で開始されましたが、まだ完了していません。

推奨処置 不要です。

109012

エラー メッセージ %ASA-5-109012: Authen Session End: user 'user', sid number, elapsed number seconds

説明 認証キャッシュがタイムアウトになっています。 ユーザは、次の接続で再認証が必要になります。timeout uauth コマンドを使用して、このタイマーのタイムアウト時間を変更できます。

推奨処置 不要です。

109013

エラー メッセージ %ASA-3-109013: User must authenticate before using this service

説明 ユーザは、サービスを使用する前に認証を受ける必要があります。

推奨処置 サービスを使用する前に FTP、Telnet、または HTTP を使用して認証します。

109014

エラー メッセージ %ASA-7-109014: A non-Telnet connection was denied to the configured virtual Telnet IP address.

説明 認証の要求に、対応する認可の要求がありませんでした。

推奨処置 aaa authentication および aaa authorization コマンド文がコンフィギュレーションに含まれていることを確認します。

109016

エラー メッセージ %ASA-3-109016: Can't find authorization ACL acl_ID for user ' user '

説明 このユーザの AAA サーバで指定された ACL が、ASA に存在しません。このエラーは、ASA を設定する前に AAA サーバを設定した場合に発生することがあります。AAA サーバでベンダー固有属性(VSA)が次の値のいずれかになっている可能性があります。

acl=acl_ID

shell:acl=acl_ID

ACS:CiscoSecured-Defined-ACL=acl_ID

推奨処置 ASA に ACL を追加し、AAA サーバで指定したものと同じ名前を必ず使用します。

109017

エラー メッセージ %ASA-4-109017: User at IP_address exceeded auth proxy connection limit (max)

説明 ユーザが、ユーザ認証のプロキシ制限を超えて、プロキシに多くの接続を開きました。

推奨処置 proxy-limit proxy_limit コマンドを入力してプロキシ制限を増やすか、または未使用の接続を閉じるようユーザに要求します。引き続きエラーが表示される場合は、DoS 攻撃の可能性を示していることもあります。

109018

エラー メッセージ %ASA-3-109018: Downloaded ACL acl_ID is empty

説明 ダウンロードされた認可に ACE がありません。この状況は、属性文字列 ip:inacl# のつづりの誤り、または access-list コマンドの省略が原因となっている可能性があります。

junk:junk# 1=permit tcp any any eq junk ip:inacl#1=”
 

推奨処置 指摘されたエラーのある ACL コンポーネントを AAA サーバ上で修正します。

109019

エラー メッセージ %ASA-3-109019: Downloaded ACL acl_ID has parsing error; ACE string

説明 ダウンロードした認可の属性文字列 ip:inacl#NNN= のシーケンス番号 NNN を解析中にエラーが発生しました。= の欠落、数字以外の文字やスペース以外の文字が # と = の間にある、NNN が 999999999 より大きい、などの原因が考えられます。

ip:inacl# 1 permit tcp any any
ip:inacl# 1junk2=permit tcp any any
ip:inacl# 1000000000=permit tcp any any
 

推奨処置 指摘されたエラーのある ACL 要素を AAA サーバ上で修正します。

109020

エラー メッセージ %ASA-3-109020: Downloaded ACL has config error; ACE

説明 ダウンロードされた認可のコンポーネントの 1 つにコンフィギュレーション エラーがあります。要素のテキスト全体がメッセージに含まれています。このメッセージは通常、無効な access-list コマンド文が原因となっています。

推奨処置 指摘されたエラーのある ACL コンポーネントを AAA サーバ上で修正します。

109021

エラー メッセージ %ASA-7-109021: Uauth null proxy error

説明 内部ユーザ認証エラーが発生しました。

推奨処置 不要です。ただし、このエラーが繰り返し表示される場合は、Cisco TAC にお問い合わせください。

109022

エラー メッセージ %ASA-4-109022: exceeded HTTPS proxy process limit

説明 ASA は、各 HTTPS 認証に対して 1 つの専用プロセスで認証要求を処理します。同時に動作しているプロセスの数がシステムによって課せられた制限を超えると、ASA は認証を実行せず、このメッセージが表示されます。

推奨処置 不要です。

109023

エラー メッセージ %ASA-3-109023: User from source_address / source_port to dest_address / dest_port on interface outside_interface must authenticate before using this service.

説明 このサービス ポートは、設定されたポリシーに基づいて認証を受けてから、使用する必要があります。

推奨処置 このサービス ポートを使用しようとするときは、事前に Telnet、FTP、または HTTP を使用して認証します。

109024

エラー メッセージ %ASA-6-109024: Authorization denied from source_address / source_port to dest_address / dest_port (not authenticated) on interface interface_name using protocol

説明 ASA が AAA 用に設定され、ユーザが事前の認証なしに ASA を通して TCP 接続を行おうとした場合に表示されます。

推奨処置 不要です。

109025

エラー メッセージ %ASA-6-109025: Authorization denied (acl= acl_ID ) for user ' user ' from source_address / source_port to dest_address / dest_port on interface interface_name using protocol

説明 チェックが失敗しました。チェックは、拒否と一致したか、または暗黙的な拒否のように、いずれとも一致しませんでした。接続は、Cisco Secure Access Control Server(ACS)の AAA 許可ポリシーに従って定義されたユーザ acl_ID によって拒否されました。

推奨処置 不要です。

109026

エラー メッセージ %ASA-3-109026: [ aaa protocol ] Invalid reply digest received; shared server key may be mismatched.

説明 AAA サーバからの応答が検証できません。設定されたサーバ キーが誤っている可能性があります。このメッセージは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に生成されることがあります。

推奨処置 aaa-server コマンドを使用して設定されたサーバ キーが正しいことを確認します。

109027

エラー メッセージ %ASA-4-109027: [aaa protocol] Unable to decipher response message Server = server_IP_address , User = user

説明 AAA サーバからの応答が検証できません。設定されたサーバ キーが誤っている可能性があります。このメッセージは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に表示されることがあります。server_IP_address は、関連する AAA サーバの IP アドレスです。user は、接続に関連付けられているユーザ名です。

推奨処置 aaa-server コマンドを使用して設定されたサーバ キーが正しいことを確認します。

109028

エラー メッセージ %ASA-4-109028: aaa bypassed for same-security traffic from ingress_ interface:source_address/source_port to egress_interface:dest_address/dest_port

説明 AAA が設定された AAA 規則と一致する同じセキュリティ トラフィックに対してバイパスされています。これが発生する可能性があるのは、同じ設定済みセキュリティ レベルを持つ 2 つのインターフェイス間をトラフィックが通過する場合、同じセキュリティ トラフィックが許可される場合、および AAA コンフィギュレーションが include 構文または exclude 構文を使用する場合だけです。

推奨処置 不要です。

109029

エラー メッセージ %ASA-5-109029: Parsing downloaded ACL: string

説明 ユーザ認証中に RADIUS サーバからダウンロードされたアクセス リストを解析している間に構文エラーが発生しました。

string :アクセス リストの正しい解析を妨げた構文エラーを詳述するエラー メッセージ

推奨処置 このメッセージに提示されている情報を使用して、RADIUS サーバ コンフィギュレーション内のアクセス リスト定義にある構文エラーを特定し、訂正します。

109030

エラー メッセージ %ASA-4-109030: Autodetect ACL convert wildcard did not convert ACL access_list source | dest netmask netmask .

説明 RADIUS サーバで設定されたダイナミック ACL が、ワイルドカード ネットマスクを自動的に検出するメカニズムによって変換されませんでした。問題は、ネットマスクがワイルドカードであるか、通常のネットマスクであるかをこのメカニズムが判別できないために発生します。

access_list :変換できないアクセス リスト

source :送信元 IP アドレス

dest :宛先 IP アドレス

netmask :宛先アドレスまたは送信元アドレスに対する 10 進数表記のサブネット マスク

推奨処置 RADIUS サーバのアクセス リスト ネットマスクを確認して、ワイルドカード コンフィギュレーションがないかどうかを調べます。ネットマスクをワイルドカードにする予定の場合、およびそのサーバのアクセス リスト ネットマスクすべてがワイルドカードである場合、AAA サーバの acl-netmask-convert に wildcard 設定を使用します。それ以外の場合は、ネットマスクを通常のネットマスクまたはホールを含まないワイルドカード ネットマスクに変更します(つまり、ネットマスクは連続する 2 進数の 1 を提示します。たとえば、00000000.00000000.00011111.11111111 または 16 進数の 0.0.31.255 のようになります)。マスクを通常にする予定の場合、およびそのサーバのすべてのアクセス リスト ネットマスクが通常である場合、AAA サーバの acl-netmask-convert に normal 設定を使用します。

109031

エラー メッセージ %ASA-4-109031: NT Domain Authentication Failed: rejecting guest login for username .

説明 ユーザがゲスト アカウントのアクセス用に設定された NT ドメインに認証を試み、username が NT サーバで有効なユーザ名ではありません。接続は拒否されます。

推奨処置 ユーザが有効なユーザの場合は、アカウントを NT サーバに追加します。ユーザがアクセスを許可されていない場合は、処置は不要です。

109032

エラー メッセージ %ASA-3-109032: Unable to install ACL access_list , downloaded for user username ; Error in ACE: ace .

説明 ASA は、ユーザ接続に適用するアクセス コントロール リストを RADIUS サーバから受信しましたが、リストのエントリに構文エラーが含まれています。エラーが含まれるリストを使用すると、セキュリティ ポリシー違反になる可能性があるため、ASA はユーザを認証できませんでした。

access_list show access-list コマンドの出力に表示されるダイナミック アクセス リストに割り当てられている名前

username :その接続がこのアクセス リストの制御を受けるユーザの名前

ace :エラーが検出されたときに処理されていたアクセス リストのエントリ

推奨処置 RADIUS サーバのコンフィギュレーションのアクセス リスト定義を訂正します。

109033

エラー メッセージ %ASA-4-109033: Authentication failed for admin user user from src_IP . Interactive challenge processing is not supported for protocol connections

説明 管理接続の認証中に AAA チャレンジ処理がトリガーされましたが、ASAはそのクライアント アプリケーションでの対話型チャレンジ処理を開始できません。このような場合は、認証試行が拒否され、接続が拒否されます。

user :認証対象のユーザの名前

src_IP :クライアント ホストの IP アドレス

protocol :クライアント接続プロトコル(SSH v1 または管理 HTTP)

推奨処置 これらの接続タイプに対してチャレンジ処理が発生しないように AAA を再設定します。これは、通常、RSA SecurID サーバ、または RADIUS 経由のトークンベース AAA サーバに対して、これらの接続タイプの認証を避けることを意味します。

109034

エラー メッセージ %ASA-4-109034: Authentication failed for network user user from src_IP/port to dst_IP/port . Interactive challenge processing is not supported for protocol connections

説明 ネットワーク接続の認証中に AAA チャレンジ処理がトリガーされましたが、ASAはそのクライアント アプリケーションでの対話型チャレンジ処理を開始できません。このような場合は、認証試行が拒否され、接続が拒否されます。

user :認証対象のユーザの名前

src_IP/port :クライアント ホストの IP アドレスおよびポート

dst_IP/port :クライアントが接続しようとしているサーバの IP アドレスおよびポート

protocol :クライアント接続プロトコル(たとえば、FTP)

推奨処置 これらの接続タイプに対してチャレンジ処理が発生しないように AAA を再設定します。これは、通常、RSA SecurID サーバ、または RADIUS 経由のトークンベース AAA サーバに対して、これらの接続タイプの認証を避けることを意味します。

109036

エラー メッセージ %ASA-6-109036: Exceeded 1000 attribute values for the attribute name attribute for user username .

説明 LDAP 応答メッセージに、1000 を超える値を持つ属性が含まれています。

attribute_name :LDAP 属性名

username :ログイン時のユーザ名

推奨処置 不要です。

109037

エラー メッセージ %ASA-3-109037: Exceeded 5000 attribute values for the attribute name attribute for user username .

説明 ASA では、AAA サーバから同じ属性の複数の値を受信することがサポートされています。AAA サーバから同じ属性に関して 5000 を超える値を含む応答が送信されてきた場合、ASA ではこの応答メッセージを形式誤りとして処理し、認証を拒否します。このような状況は、特殊なテスト ツールを使用するラボ環境でだけ確認されています。実際の実稼働ネットワークで発生する可能性はまずありません。

attribute_name :LDAP 属性名

username :ログイン時のユーザ名

推奨処置 プロトコル スニファ(WireShark など)を使用して ASA と AAA サーバ間の認証トラフィックを取り込み、トレース ファイルを Cisco TAC に転送して分析を依頼してください。

109038

エラー メッセージ %ASA-3-109038: Attribute internal-attribute-name value string-from-server from AAA server could not be parsed as a type internal-attribute-name string representation of the attribute name

説明 AAA サブシステムが AAA サーバからの属性を内部表現へと解析しようとして失敗しました。

string-from-server :AAA サーバから受信した文字列。40 文字に切り捨てられます。

type :指定された属性のタイプ

推奨処置 属性が AAA サーバ上に正しく生成されていることを確認します。詳細については、 debug ldap コマンドおよび debug radius コマンドを使用します。

109039

エラー メッセージ %ASA-5-109039: AAA Authentication:Dropping an unsupported IPv6/IP46/IP64 packet from lifc : laddr to fifc : faddr

説明 NAT によって IPv6 アドレスに変換される IPv6 アドレスまたは IPv4 アドレスを含むパケットには、AAA の認証または承認が必要です。AAA の認証および承認は IPv6 アドレスをサポートしません。パケットはドロップされます。

lifc :入力インターフェイス

laddr :送信元 IP アドレス

fifc :出力インターフェイス

faddr :NAT 変換後の宛先 IP アドレス(存在する場合)

推奨処置 対処は不要です。

110002

エラー メッセージ %ASA-6-110002: Failed to locate egress interface for protocol from src interface : src IP/src port to dest IP/dest port

説明 パケットの送信に使用するインターフェイスを ASA が検出しようとしたときに、エラーが発生しました。

protocol :パケットのプロトコル

src interface :パケットの送信元インターフェイス

src IP :パケットの送信元 IP アドレス

src port :送信元ポート番号

dest IP :パケットの宛先 IP アドレス

dest port :宛先ポート番号

推奨処置 エラー メッセージ、コンフィギュレーション、およびエラーの原因となったイベントの詳細をコピーし、Cisco TAC にお問い合わせください。

110003

エラー メッセージ %ASA-6-110003: Routing failed to locate next-hop for protocol from src interface : src IP/src port to dest interface : dest IP/dest port

説明 インターフェイス ルーティング テーブル上のネクスト ホップを ASA が検出しようとしたときに、エラーが発生しました。

protocol :パケットのプロトコル

src interface :パケットの送信元インターフェイス

src IP :パケットの送信元 IP アドレス

src port :送信元ポート番号

dest IP :パケットの宛先 IP アドレス

dest port :宛先ポート番号

推奨処置 エラー メッセージ、コンフィギュレーション、およびエラーの原因となったイベントの詳細をコピーし、Cisco TAC にお問い合わせください。デバッグ時にルーティング テーブルの詳細を表示するには、 show asp table routing コマンドを使用します。

111001

エラー メッセージ %ASA-5-111001: Begin configuration: IP_address writing to device

説明 コンフィギュレーションを device(フロッピーディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末のいずれか)に格納する write コマンドを入力しました。 IP_address は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111002

エラー メッセージ %ASA-5-111002: Begin configuration: IP_address reading from device

説明 コンフィギュレーションを device(フロッピーディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末のいずれか)から読み取る read コマンドを入力しました。 IP_address は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111003

エラー メッセージ %ASA-5-111003: IP_address Erase configuration

説明 コンソールで write erase コマンドを入力してフラッシュ メモリの内容を消去しました。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 コンフィギュレーションを消去した後、ASAを再設定して新しいコンフィギュレーションを保存します。または、フロッピーディスクまたはネットワークの他の場所にある TFTP サーバに以前保存してあるコンフィギュレーションから情報を復元できます。

111004

エラー メッセージ %ASA-5-111004: IP_address end configuration: {FAILED|OK}

説明 config floppy/memory/ network コマンドまたは write floppy/memory/network/standby コマンドを入力しました。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 メッセージが OK で終われば不要です。このメッセージでエラーが表示された場合は、問題を解決します。たとえば、フロッピーディスクに書き込む場合は、フロッピーディスクが書き込み禁止になっていないことを確認します。TFTP サーバに書き込む場合は、サーバが動作していることを確認します。

111005

エラー メッセージ %ASA-5-111005: IP_address end configuration: OK

説明 コンフィギュレーション モードを終了しました。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111007

エラー メッセージ %ASA-5-111007: Begin configuration: IP_address reading from device.

説明 reload コマンドまたは configure コマンドを入力してコンフィギュレーションを読み込みました。device テキストは、フロッピーディスク、メモリ、ネット、スタンバイ、または端末になります。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。

推奨処置 不要です。

111008

エラー メッセージ %ASA-5-111008: User user executed the command string

説明 ユーザが show コマンド以外の任意のコマンドを入力しました。

推奨処置 不要です。

111009

エラー メッセージ %ASA-7-111009:User user executed cmd: string

説明 ユーザにより、コンフィギュレーションが変更されないコマンドが入力されました。このメッセージは、 show コマンドに限り表示されます。

推奨処置 不要です。

111010

エラー メッセージ %ASA-5-111010: User username , running application-name from IP ip addr , executed cmd

説明 ユーザが設定変更を行いました。

username :設定変更を行ったユーザ

application-name :ユーザが実行しているアプリケーション

ip addr :管理ステーションの IP アドレス

cmd :ユーザが実行したコマンド

推奨処置 不要です。

111111

エラー メッセージ %ASA-1-111111 error_message

説明 システム エラーまたはインフラストラクチャ エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

112001

エラー メッセージ %ASA-2-112001: ( string : dec ) Clear complete.

説明 モジュール コンフィギュレーションを消去する要求が完了しました。ソース ファイルおよび行番号が特定されます。

推奨処置 不要です。

113001

エラー メッセージ %ASA-3-113001: Unable to open AAA session. Session limit [ limit ] reached.

説明 AAA リソースが使用できないために、IPSec トンネルまたは WebVPN 接続で AAA 動作を実行できません。 limit 値は、同時 AAA トランザクションの最大数を示します。

推奨処置 可能であれば、AAA リソースの要求を減らします。

113003

エラー メッセージ %ASA-6-113003: AAA group policy for user user is being set to policy_name .

説明 トンネル グループに関連付けられているグループ ポリシーが、ユーザ固有のポリシー policy_name で上書きされます。 policy_name は、LOCAL 認証の設定時に username コマンドを使用して指定されており、RADIUS 認証の設定時に RADIUS CLASS 属性で返されます。

推奨処置 不要です。

113004

エラー メッセージ %ASA-6-113004: AAA user aaa_type Successful: server = server_IP_address, User = user

説明 IPSec または WebVPN 接続に対する AAA 操作が正常に完了しました。AAA タイプは、認証、許可、またはアカウンティングです。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。

推奨処置 不要です。

113005

エラー メッセージ %ASA-6-113005: AAA user authentication Rejected: reason = string : server = server_IP_address , User = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの認証要求または認可要求が拒否されました。要求が拒否された理由の詳細は reason フィールドに示されています。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。 aaa_operation は、認証または認可のどちらかです。

推奨処置 不要です。

113006

エラー メッセージ %ASA-6-113006: User user locked out on exceeding number successive failed authentication attempts

説明 ローカルに設定されているユーザがロックアウトされています。このメッセージは、このユーザについて認証失敗が連続して設定回数だけ発生したときに現れ、今後このユーザが認証を受けようとしても、管理者が clear aaa local user lockout コマンドを使用してユーザをアンロックするまでは、すべて拒否されることを示します。 user は現在ロックされているユーザであり、 number aaa local authentication attempts max-fail コマンドを使用して設定されている連続失敗しきい値です。

推奨処置 clear_aaa_local_user_lockout コマンドを使用してユーザをアンロックするか、許容される連続認証失敗の最大数を調整します。

113007

エラー メッセージ %ASA-6-113007: User user unlocked by administrator

説明 ローカルに設定されたユーザが、 aaa local authentication attempts max-fail コマンドを使用して設定された連続認証失敗の最大数を超えたためロックアウトされた後、表示されている管理者によってアンロックされました。

推奨処置 不要です。

113008

エラー メッセージ %ASA-6-113008: AAA transaction status ACCEPT: user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが正常に完了しました。user は、接続に関連付けられているユーザ名です。

推奨処置 不要です。

113009

エラー メッセージ %ASA-6-113009: AAA retrieved default group policy policy for user user

説明 IPSec 接続または WebVPN 接続の認証または認可が発生しました。 tunnel-group コマンドまたは webvpn コマンドで指定されたグループ ポリシーの属性が取得されました。

推奨処置 不要です。

113010

エラー メッセージ %ASA-6-113010: AAA challenge received for user user from server server_IP_address

説明 SecurID サーバを使用した IPSec 接続の認証が発生しました。ユーザは、認証に先立って詳細情報を入力するよう求められます。

user :接続に関連付けられているユーザ名

server _IP_address :関連する AAA サーバの IP アドレス

推奨処置 不要です。

113011

エラー メッセージ %ASA-6-113011: AAA retrieved user specific group policy policy for user user

説明 IPSec 接続または WebVPN 接続の認証または認可が発生しました。 tunnel-group コマンドまたは webvpn コマンドで指定されたグループ ポリシーの属性が取得されました。

推奨処置 不要です。

113012

エラー メッセージ %ASA-6-113012: AAA user authentication Successful: local database: user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザが、ローカル ユーザ データベースに正常に認証されました。

user :接続に関連付けられているユーザ名

推奨処置 不要です。

113013

エラー メッセージ %ASA-6-113013: AAA unable to complete the request Error: reason = reason : user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。

reason :理由の詳細

user :接続に関連付けられているユーザ名

推奨処置 不要です。

113014

エラー メッセージ %ASA-6-113014: AAA authentication server not accessible: server = server_IP_address : user = user

説明 デバイスが、IPSec 接続または WebVPN 接続に関連付けられている AAA トランザクション中に設定済み AAA サーバと通信できませんでした。このため、ユーザが接続しようとしたとき、 aaa-server グループに設定されているバックアップ サーバおよびそのサーバのアベイラビリティ次第で、接続に失敗する場合も、失敗しない場合もあります。

推奨処置 設定済みの AAA サーバとの接続を確認します。

113015

エラー メッセージ %ASA-6-113015: AAA user authentication Rejected: reason = reason : local database: user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザのローカル ユーザ データベースへの認証要求が拒否されました。

reason :要求が拒否された理由の詳細

user :接続に関連付けられているユーザ名

推奨処置 不要です。

113016

エラー メッセージ %ASA-6-113016: AAA credentials rejected: reason = reason : server = server_IP_address : user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。

reason :理由の詳細

server_IP_address :関連する AAA サーバの IP アドレス

user :接続に関連付けられているユーザ名

推奨処置 不要です。

113017

エラー メッセージ %ASA-6-113017: AAA credentials rejected: reason = reason : local database: user = user

説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。このイベントが表示されるのは、AAA トランザクションが外部 AAA サーバではなくローカル ユーザ データベースと行われる場合だけです。

reason :理由の詳細

user :接続に関連付けられているユーザ名

推奨処置 不要です。

113018

エラー メッセージ %ASA-3-113018: User: user , Unsupported downloaded ACL Entry: ACL_entry , Action: action

説明 サポートされていないフォーマットの ACL エントリが認証サーバからダウンロードされました。メッセージの値は次のとおりです。

user :ログインを試行しているユーザ

ACL_entry :認証サーバからダウンロードされたサポートされていない ACL エントリ

action :サポートされていない ACL エントリに対して実行するアクション

推奨処置 認証サーバの ACL エントリは、サポートされている ACL エントリ フォーマットに適合するように管理者が変更する必要があります。

113019

エラー メッセージ %ASA-4-113019: Group = group , Username = username , IP = peer_address , Session disconnected. Session Type: type , Duration: duration , Bytes xmt: count , Bytes rcv: count , Reason: reason

説明 最大アイドル ユーザが切断されたタイミングとその理由を示します。

group :グループ名

username :ユーザ名

IP :ピア アドレス

Session Type :セッション タイプ(たとえば IPSec または UDP)

duration :接続期間(時間、分、および秒)

Bytes xmt :送信されたバイト数

Bytes rcv :受信されたバイト数

reason :切断原因

ユーザから要求された

搬送が失われた

サービスが失われた

アイドル タイムアウト

最大時間を超過した

管理者がリセットした

管理者がリブートした

管理者がシャットダウンした

ポート エラー

NAS エラー

NAS 要求

NAS リブート

ポートの不要化

接続が切り替えられた。同一ユーザによる同時ログイン許容数を超えたことを示します。この問題を解決するには、同時ログイン数を増やすか、ユーザに対して特定のユーザ名とパスワードで 1 回だけログインを許可するようにします。

ポートが中断された

サービスが使用不可

コールバック

ユーザ エラー

ホストが要求した

SA が期限切れ

IKE の削除

帯域幅の管理エラー

証明書が失効

フェーズ 2 の不一致

ファイアウォールの不一致

ピア アドレスの変更

ACL 解析エラー

フェーズ 2 エラー

設定エラー

ピアの再接続

内部エラー

クリプト マップ ポリシーが見つからない

L2TP 開始

VLAN マッピング エラー

NAC ポリシー エラー

ダイナミック アクセス ポリシーの終了

サポートされていないクライアント タイプ

不明

推奨処置 理由に問題が示されていない限り、処置は不要です。

113020

エラー メッセージ %ASA-3-113020: Kerberos error: Clock skew with server ip_address greater than 300 seconds

説明 Kerberos サーバ経由の IPSec または WebVPN のユーザの認証が、ASA のクロックとそのサーバのクロックが 5 分(300 秒)以上ずれているために失敗しました。この失敗が起こったときは、接続しようとしても拒否されます。

ip_address :Kerberos サーバの IP アドレス

推奨処置 ASA サーバと Kerberos サーバのクロックを同期させます。

113021

エラー メッセージ %ASA-3-113021: Attempted console login failed. User username did NOT have appropriate Admin Rights.

説明 ユーザが管理コンソールにアクセスしようとしましたが、拒否されました。

username :ユーザが入力したユーザ名

推奨処置 新しく追加された admin 権限ユーザの場合は、そのユーザのサービス タイプ(LOCAL または RADIUS 認証サーバ)が次のようなアクセスを許可するように設定されていることを確認します。

nas-prompt:コンソールへのログインおよび要求されたレベルの EXEC 特権を許可しますが、イネーブル(コンフィギュレーション修正)アクセスは許可しません。

admin:すべてのアクセスを許可します。コマンド特権によって制約できます。

上記以外のユーザの場合は、そのユーザが管理コンソールへの不適切なアクセスを試みています。実行されるアクションは、このような問題に関する社内のポリシーに適合している必要があります。

113022

エラー メッセージ %ASA-2-113022: AAA Marking RADIUS server servername in aaa-server group AAA-Using-DNS as FAILED

説明 ASA が AAA サーバに認証、許可、またはアカウンティングの要求を試みましたが、設定されているタイムアウト期間内に応答を受信しませんでした。この AAA サーバには失敗のマークが付けられます。この AAA サーバは、サービスから削除されました。

protocol :次のいずれかのタイプの認証プロトコル

- RADIUS

- TACACS+

- NT

- RSA SecurID

- Kerberos

- LDAP

ip-addr :AAA サーバの IP アドレス

tag :サーバ グループ名

推奨処置 AAA サーバがオンラインで、ASAからアクセスできることを確認します。

113023

エラー メッセージ %ASA-2-113023: AAA Marking protocol server ip-addr in server group tag as ACTIVE

説明 以前失敗のマークを付けられた AAA サーバが、ASA によって再びアクティブにされました。AAA 要求の処理に、この AAA サーバを使用できるようになりました。

protocol :次のいずれかのタイプの認証プロトコル

- RADIUS

- TACACS+

- NT

- RSA SecurID

- Kerberos

- LDAP

ip-addr :AAA サーバの IP アドレス

tag :サーバ グループ名

推奨処置 不要です。

113024

エラー メッセージ %ASA-5-113024: Group tg : Authenticating type connection from ip with username, user_name , from client certificate

説明 ユーザ名の事前入力機能によって、AAA 用にクライアント証明書から抽出されたユーザ名で元のユーザ名が上書きされました。

tg :トンネル グループ

type :接続のタイプ(SSL クライアントまたはクライアントレス)

ip :接続しているユーザの IP アドレス

user_name :AAA 用にクライアント証明書から抽出された名前

推奨処置 不要です。

113025

エラー メッセージ %ASA-5-113025: Group tg : fields Could not authenticate connection type connection from ip

説明 証明書からユーザ名を正常に抽出できませんでした。

tg :トンネル グループ

fields :検索対象の DN フィールド

connection type :接続のタイプ(SSL クライアントまたはクライアントレス)

ip :接続しているユーザの IP アドレス

推奨処置 管理者は、 authentication aaa certificate ssl certificate-authentication 、および authorization-dn-attributes の各キーワードが正しく設定されていることを確認する必要があります。

113026

エラー メッセージ %ASA-4-113026: Error error while executing Lua script for group tunnel group

説明 AAA 用にクライアント証明書からユーザ名を抽出中に、エラーが発生しました。このメッセージは、username-from-certificate use-script オプションが有効な場合にだけ生成されます。

error :Lua 環境から返されたエラー文字列

tunnel group :証明書からユーザ名を抽出しようとしたトンネル グループ

推奨処置 username-from-certificate use-script で使用されているスクリプトにエラーがないかどうかを調べます。

113027

エラー メッセージ %ASA-2-113027: Error activating tunnel-group scripts

説明 スクリプト ファイルを正常にロードできません。username-from-certificate use-script オプションを使用するトンネル グループが正しく動作していません。

推奨処置 管理者は、ASDM を使用して、スクリプト ファイルにエラーがないかどうかを確認する必要があります。 debug aaa コマンドを使用して詳細なエラー メッセージを取得すると役立ちます。

113028

エラー メッセージ %ASA-7-113028: Extraction of username from VPN client certificate has string. [Request num ]

説明 証明書のユーザ名の処理要求は、実行中であるか、終了しました。

num :要求の ID(ファイバへのポインタの値)。単調に増加する番号です。

string :次のいずれかのステータス メッセージ。

- 要求された

- 開始された

- エラーで終了した

- 正常に終了した

- 完了した

推奨処置 不要です。

113029

エラー メッセージ %ASA-4-113029: Group group User user IP ipaddr Session could not be established: session limit of num reached

説明 現在のセッション数が最大セッション ロードを超過しているため、ユーザ セッションを確立できません。

推奨処置 可能であれば、設定されている制限を増加し、ロード バランス クラスタを増やします。

113030

エラー メッセージ %ASA-4-113030: Group group User user IP ipaddr User ACL acl from AAA doesn't exist on the device, terminating connection.

説明 指定された ACL が ASA 上で見つかりませんでした。

group :グループの名前

user :ユーザの名前

ipaddr :IP アドレス

acl :ACL 名

推奨処置 コンフィギュレーションを変更して、指定された ACL を追加するか、ACL の名前を修正します。

113031

エラー メッセージ %ASA-4-113031: Group group User user IP ipaddr AnyConnect vpn-filter filter is an IPv6 ACL; ACL not applied.

説明 適用される ACL のタイプが誤っています。 vpn-filter コマンドによって、IPv6 ACL が IPv4 ACL として設定されています。

group :ユーザのグループ ポリシー名

user :ユーザ名

ipaddr :ユーザのパブリック(割り当てられていない)IP アドレス

filter :VPN フィルタの名前

推奨処置 ASA の VPN フィルタと IPv6 VPN フィルタの設定、および AAA(RADIUS)サーバのフィルタ パラメータを検証します。正しいタイプの ACL が指定されていることを確認します。

113032

エラー メッセージ %ASA-4-113032: Group group User user IP ipaddr AnyConnect ipv6-vpn-filter filter is an IPv4 ACL; ACL not applied.

説明 適用される ACL のタイプが誤っています。 ipv6-vpn-filter コマンドによって、IPv4 ACL が IPv6 ACL として設定されています。

group :ユーザのグループ ポリシー名

user :ユーザ名

ipaddr :ユーザのパブリック(割り当てられていない)IP アドレス

filter :VPN フィルタの名前

推奨処置 ASA の VPN フィルタと IPv6 VPN フィルタの設定、および AAA(RADIUS)サーバのフィルタ パラメータを検証します。正しいタイプの ACL が指定されていることを確認します。

113033

エラー メッセージ %ASA-6-113033: Group group User user IP ipaddr AnyConnect session not allowed. ACL parse error.

説明 関連する ACL が解析していないため、このグループ内の指定されたユーザの WebVPN セッションが許可されません。このエラーが修正されるまで、ユーザが WebVPN を介してログインすることは許可されません。

group :ユーザのグループ ポリシー名

user :ユーザ名

ipaddr :ユーザのパブリック(割り当てられていない)IP アドレス

推奨処置 WebVPN ACL を修正します。

113034

エラー メッセージ %ASA-4-113034: Group group User user IP ipaddr User ACL acl from AAA ignored, AV-PAIR ACL used instead.

説明 Cisco AV-PAIR ACL が使用されたため、指摘された ACL が使用されませんでした。

group :グループの名前

user :ユーザの名前

ipaddr :IP アドレス

acl :ACL 名

推奨処置 使用する正しい ACL を確認し、コンフィギュレーションを修正します。

113035

エラー メッセージ %ASA-4-113035: Group group User user IP ipaddr Session terminated: AnyConnect not enabled or invalid AnyConnect image on the ASA.

説明 ユーザが AnyConnect クライアントを使用してログインしました。SVC サービスがグローバルにイネーブルになっていないか、または SVC イメージが無効か破損しています。セッション接続が終了されました。

group :ユーザの接続試行時に適用されるグループ ポリシーの名前

user :接続を試行しているユーザの名前

iaddrp :接続を試行しているユーザの IP アドレス

推奨処置 svc-enable コマンドを使用して、SVC をグローバルにイネーブルにします。 svc image コマンドを使用して新しいイメージをリロードすることで、SVC イメージの整合性とバージョンを検証します。

113036

エラー メッセージ %ASA-4-113036: Group group User user IP ipaddr AAA parameter name value invalid.

説明 指摘されたパラメータの値が不良です。 値は非常に長い可能性があるため、表示されません。

group :グループの名前

user :ユーザの名前

ipadddr :IP アドレス

name :パラメータの名前

推奨処置 コンフィギュレーションを変更して、指摘されたパラメータを修正します。

113037

エラー メッセージ %ASA-6-113037: Reboot pending, new sessions disabled. Denied user login.

説明 ASA がリブート処理中のため、ユーザが WebVPN にログインできません。

推奨処置 不要です。

113038

エラー メッセージ %ASA-4-113038: Group group User user IP ipaddr Unable to create AnyConnect parent session.

説明 リソースの問題のため、指定されたグループ内のユーザに対して AnyConnect セッションが作成されませんでした。たとえば、ユーザが最大ログイン制限に達した可能性があります。

group :グループの名前

user :ユーザの名前

ipadddr :IP アドレス

推奨処置 不要です。

113039

エラー メッセージ %ASA-6-113039: Group group User user IP ipaddr AnyConnect parent session started.

説明 指定された IP アドレスにおけるこの group 内の user に対して AnyConnect セッションが開始されました。ユーザが AnyConnect ログイン ページを介してログインすると、AnyConnect セッションが開始されます。

group :グループの名前

user :ユーザの名前

ipadddr :IP アドレス

推奨処置 不要です。

113040

エラー メッセージ %ASA-4-113040: Terminating the VPN connection attempt from attempted group . Reason: This connection is group locked to locked group.

説明 接続が試行されるトンネル グループは、グループ ロックに設定されているトンネル グループと同じではありません。

attempted group :接続が着信するトンネル グループ

locked group :接続がロックまたは制限されているトンネル グループ

推奨処置 グループ ポリシーまたはユーザ属性のグループロック値を確認します。

114001

エラー メッセージ %ASA-1-114001: Failed to initialize 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードを初期化できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114002

エラー メッセージ %ASA-1-114002: Failed to initialize SFP in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの SFP コネクタを初期化できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114003

エラー メッセージ %ASA-1-114003: Failed to run cached commands in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードにキャッシュされたコマンドを実行できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114004

エラー メッセージ %ASA-6-114004: 4GE SSM I/O Initialization start.

説明 4GE SSM I/O の初期化が開始されたことがユーザに通知されました。

syslog_id :メッセージ識別子。

推奨処置 不要です。

114005

エラー メッセージ %ASA-6-114005: 4GE SSM I/O Initialization end.

説明 4GE SSM I/O の初期化が終了したことがユーザに通知されました。

syslog_id :メッセージ識別子。

推奨処置 不要です。

114006

エラー メッセージ %ASA-3-114006: Failed to get port statistics in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのポート統計情報を取得できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114007

エラー メッセージ %ASA-3-114007: Failed to get current msr in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードの現在のモジュール ステータス レジスタ情報を取得できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114008

エラー メッセージ %ASA-3-114008: Failed to enable port after link is up in 4GE SSM I/O card due to either I2C serial bus access error or switch access error.

説明 I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのために、Up 状態へのリンク移行が 4GE SSM I/O カードで検出された後に ASA がポートをイネーブルにできませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114009

エラー メッセージ %ASA-3-114009: Failed to set multicast address in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのマルチキャスト アドレスを設定できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114010

エラー メッセージ %ASA-3-114010: Failed to set multicast hardware address in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのマルチキャスト ハードウェア アドレスを設定できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114011

エラー メッセージ %ASA-3-114011: Failed to delete multicast address in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのマルチキャスト アドレスを削除できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114012

エラー メッセージ %ASA-3-114012: Failed to delete multicast hardware address in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのマルチキャスト ハードウェア アドレスを削除できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114013

エラー メッセージ %ASA-3-114013: Failed to set mac address table in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードの MAC アドレス テーブルを設定できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114014

エラー メッセージ %ASA-3-114014: Failed to set mac address in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードの MAC アドレスを設定できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114015

エラー メッセージ %ASA-3-114015: Failed to set mode in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードの個別モードまたは混在モードを設定できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114016

エラー メッセージ %ASA-3-114016: Failed to set multicast mode in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのマルチキャスト モードを設定できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114017

エラー メッセージ %ASA-3-114017: Failed to get link status in 4GE SSM I/O card (error error_string ).

説明 I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのために ASA が 4GE SSM I/O カードのリンク ステータスを取得できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. システム管理者に通知します。

2. イベントに関連付けられているメッセージとエラーを記録して確認します。

3. ASAで実行しているソフトウェアをリブートします。

4. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

5. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114018

エラー メッセージ %ASA-3-114018: Failed to set port speed in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのポート速度を設定できませんでした。

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114019

エラー メッセージ %ASA-3-114019: Failed to set media type in 4GE SSM I/O card (error error_string ).

説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのメディア タイプを設定できませんでした

syslog_id :メッセージ識別子。

error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114020

エラー メッセージ %ASA-3-114020: Port link speed is unknown in 4GE SSM I/O card.

説明 ASA が 4GE SSM I/O カードのポート リンク速度を検出できませんでした。

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージを記録して確認します。

2. 4GE SSM I/O カードをリセットし、ソフトウェアがイベントから自動的に回復するかどうかを観察します。

3. ソフトウェアが自動的に回復しない場合は、デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114021

エラー メッセージ %ASA-3-114021: Failed to set multicast address table in 4GE SSM I/O card due to error .

説明 I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのために ASA が 4GE SSM I/O カードのマルチキャスト アドレス テーブルを設定できませんでした。

error :スイッチ アクセス エラー(10 進数のエラー コード)または I2C シリアル バス エラー。考えられる I2C シリアル バス エラーは次のとおりです。

- I2C_BUS_TRANSACTION_ERROR

- I2C_CHKSUM_ERROR

- I2C_TIMEOUT_ERROR

- I2C_BUS_COLLISION_ERROR

- I2C_HOST_BUSY_ERROR

- I2C_UNPOPULATED_ERROR

- I2C_SMBUS_UNSUPPORT

- I2C_BYTE_COUNT_ERROR

- I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージを記録して確認します。

2. ASAのリブートを試みます。

3. ソフトウェアが自動的に回復しない場合は、デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

114022

エラー メッセージ %ASA-3-114022: Failed to pass broadcast traffic in 4GE SSM I/O card due to error_string

説明 スイッチ アクセス エラーが原因で ASA が 4GE SSM I/O カードでブロードキャスト トラフィックを渡すことができませんでした。

error_string :10 進エラー コードであるスイッチ アクセス エラー

推奨処置 次の手順を実行します。

1. イベントが含まれているメッセージとエラーを記録します。

2. ssm4ge_dump ファイルをコンパクト フラッシュから取得し、Cisco TAC に送信します。

3. 手順 1 および 2 で収集した情報を Cisco TAC に連絡します。


) 4GE SSM が自動的にリセットされ回復します。


114023

エラー メッセージ %ASA-3-114023: Failed to cache/flush mac table in 4GE SSM I/O card due to error_string .

説明 I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーが原因で、4GE SSM I/O カードで MAC テーブルをキャッシュまたはフラッシュできませんでした。このメッセージが表示されるのは稀です。

error_string :I2C シリアル バス エラー(可能な値については、2 番めの項目を参照)またはスイッチ アクセス エラー(10 進エラー コード)。

I2C シリアル バス エラーは次のとおりです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントが含まれている syslog メッセージとエラーを記録します。

2. ASA のソフトウェア リブートを試みます。

3. ASA の電源を一度切ってから再投入します。


) 電源を切った後、必ず数秒待ってから電源を入れます。手順 1 ~ 3 を完了した後、問題が解決しない場合は、Cisco TAC に連絡して、手順 1 の情報を提供します。ASA の RMA が必要になる場合があります。


115000

エラー メッセージ %ASA-2-115000: Critical assertion in process: process name fiber: fiber name , component: component name , subcomponent: subcomponent name , file: filename , line: line number , cond: condition

説明 重要なアサーションが失敗しました。このメッセージは、チェック ビルドでの開発時にだけ使用され、実稼働ビルドでは使用されません。

process name :プロセスの名前

fiber name :ファイバの名前

component name :指摘されたコンポーネントの名前

subcomponent name :指摘されたサブコンポーネントの名前

filename :指摘されたファイルの名前

line number :指摘された行の行番号

condition :指摘された状態

推奨処置 優先度の高い障害を記録として残し、アサーションの原因を調査し、問題を修正する必要があります。

115001

エラー メッセージ %ASA-3-115001: Error in process: process name fiber: fiber name , component: component name , subcomponent: subcomponent name , file: filename , line: line number , cond: condition

説明 エラー アサーションが失敗しました。このメッセージは、チェック ビルドでの開発時にだけ使用され、実稼働ビルドでは使用されません。

process name :プロセスの名前

fiber name :ファイバの名前

component name :指摘されたコンポーネントの名前

subcomponent name :指摘されたサブコンポーネントの名前

filename :指摘されたファイルの名前

line number :指摘された行の行番号

condition :指摘された状態

推奨処置 障害を記録として残し、アサーションの原因を調査し、問題を修正する必要があります。

115002

エラー メッセージ %ASA-4-115002: Warning in process: process name fiber: fiber name , component: component name , subcomponent: subcomponent name , file: filename , line: line number , cond: condition

説明 警告アサーションが失敗しました。このメッセージは、チェック ビルドでの開発時にだけ使用され、実稼働ビルドでは使用されません。

process name :プロセスの名前

fiber name :ファイバの名前

component name :指摘されたコンポーネントの名前

subcomponent name :指摘されたサブコンポーネントの名前

filename :指摘されたファイルの名前

line number :指摘された行の行番号

condition :指摘された状態

推奨処置 アサーションの原因を調査し、問題が見つかった場合は、障害を記録として残し、問題を修正する必要があります。

120001

エラー メッセージ %ASA-5-120001: Smart Call-Home Module is started.

説明 システムがブートして安定した状態でフェールオーバーした後、Smart Call-Home モジュールが正常に起動し、Smart Call-Home イベントを処理する準備ができています。

推奨処置 不要です。

120002

エラー メッセージ %ASA-5-120002: Smart Call-Home Module is terminated.

説明 Smart Call-Home モジュールがディセーブルになった後、終了しました。

推奨処置 不要です。

120003

エラー メッセージ %ASA-6-120003: Process event group title

説明 Smart Call-Home モジュールがキューから処理するイベントを取得しました。

group :イベント グループ。インベントリ、設定、診断、環境、スナップショット、テレメトリ、脅威、およびテストのいずれか。

title :イベントのタイトル

推奨処置 不要です。

120004

エラー メッセージ %ASA-4-120004: Event group title is dropped. Reason reason

説明 Smart Call-Home イベントは廃棄されました。イベントが破棄される原因としては、内部エラー、イベント キューが一杯である、またはメッセージが生成された後、処理される前に Smart Call-Home モジュールがディセーブルになったことが考えられます。

group :イベント グループ。インベントリ、設定、診断、環境、スナップショット、テレメトリ、脅威、およびテストのいずれか。

title :イベントのタイトル

reason :次のいずれかの破棄の理由。

Internal Error:メモリ不足、CLI の解析失敗など、さまざまな内部システム エラーが発生しました。

Queue Full:イベント数が設定された制限に達しました。

Cancelled:Smart Call-Home モジュールがディセーブルであるため、イベントは取り消されました。

推奨処置 破棄の理由が Queue Full の場合、イベント キュー サイズおよびレート制限の設定を増やし、イベント キューがたまらないようにしてください。破棄の理由が Internal Error である場合、 debug sch fail コマンドを入力してデバッグをオンにし、詳細なデバッグ情報を取得します。

120005

エラー メッセージ %ASA-4-120005: Message group to destination is dropped. Reason reason

説明 Smart Call-Home メッセージは廃棄されました。メッセージが破棄される原因としては、内部エラー、ネットワーク エラー、またはメッセージが生成された後、配信される前に Smart Call-Home モジュールがディセーブルになったことが考えられます。

group :イベント グループ。インベントリ、設定、診断、環境、スナップショット、テレメトリ、脅威、およびテストのいずれか。

destination :電子メールまたは URL の宛先

reason :次のいずれかの破棄の理由。

Internal Error:さまざまな内部システム エラーが発生しました。

Delivery Failed:パケットは、ネットワーク エラーが発生したため送信できません。

Cancelled:Smart Call-Home モジュールがディセーブルであるため、イベントは取り消されました。

推奨処置 破棄の理由が Delivery Failed の場合、再送に 3 回失敗したか、エラーがローカル(宛先へのルートなしなど)のためにメッセージが破棄されます。配信失敗理由のメッセージ 120006 を検索するか、 debug sch fail デバッグ コマンドを入力してデバッグを有効にし、より詳細なデバッグ情報を取得します。

120006

エラー メッセージ %ASA-4-120006: Delivering message group to destination failed. Reason reason

説明 Smart Call Home モジュールがメッセージを配信しようとして、エラーが発生しました。一時的なエラーの可能性があります。メッセージは、メッセージ 120006 が生成される場合は破棄されません。メッセージは、再送信のためにキューに格納される場合があります。メッセージは、メッセージ 120005 が生成される場合にのみ破棄されます。

group :イベント グループ。インベントリ、設定、診断、環境、スナップショット、テレメトリ、脅威、およびテストのいずれか

destination :電子メールまたは URL の宛先

reason :失敗理由

推奨処置 メッセージ中のエラー理由を確認します。理由が、NO_ROUTE、INVALID_ADDRESS、または INVALID_URL である場合は、システム設定、DNS、および名前の設定を確認します。

120007

エラー メッセージ %ASA-6-120007: Message group to destination delivered.

説明 Smart Call Home メッセージは正常に配信されました。

group :イベント グループ。インベントリ、設定、診断、環境、スナップショット、テレメトリ、脅威、およびテストのいずれか

destination :電子メールまたは URL の宛先

推奨処置 不要です。

120008

エラー メッセージ %ASA-5-120008: SCH client client is activated.

説明 Smart Call Home モジュールがイネーブルにされ、イベント グループもイネーブルにされ、そのイベント グループが少なくとも 1 つのアクティブ プロファイルによってサブスクライブされています。これらの条件が満たされている場合、そのグループのすべてのクライアントがアクティブになります。

client :Smart Call Home クライアント名

推奨処置 不要です。

120009

エラー メッセージ %ASA-5-120009: SCH client client is deactivated.

説明 Smart Call Home モジュールがディセーブルにされているか、イベント グループがイネーブルにされているか、イベント グループがどのアクティブ プロファイルからもサブスクライブされていません。これらの条件が満たされている場合、そのイベント グループのクライアントが非アクティブになります。

client :Smart Call Home クライアント名

推奨処置 不要です。

120010

エラー メッセージ %ASA-3-120010: Notify command command to SCH client client failed. Reason reason .

説明 Smart Call Home モジュールは、コール バック機能によって、特定のイベントを Smart Call Home クライアントに通知しました。クライアントがコマンドを正しく解釈しないか、コマンドを認識しないか、コマンドを処理できない場合、エラーが返されます。

command :ENABLE、DISABLE、または READY

client :Smart Call Home クライアント名

reason :失敗の理由

推奨処置 debug sch fail コマンドを入力してデバッグをオンにし、詳細なデバッグ情報を取得します。

120012

エラー メッセージ %ASA-5-120012: User username chose to choice call-home anonymous reporting at the prompt.

説明 管理者は、ユーザが匿名のレポートをイネーブル、ディセーブル、または延期するために、Smart Call Home のプロンプトに応答したことを通知されました。

username :プロンプトに応答したユーザ

choice :可能なエントリは enable、disable、または postpone です。

推奨処置 将来匿名レポートをイネーブルにするには、 call-home reporting anonymous コマンドを入力します。匿名レポートをディセーブルにするには、 no call-home reporting anonymous コマンドを入力します。

199001

エラー メッセージ %ASA-5-199001: Reload command executed from Telnet (remote IP_address ).

説明 reload コマンドで ASA のリブートを開始するホストのアドレスがログに記録されました。

推奨処置 不要です。

199002

エラー メッセージ %ASA-6-199002: startup completed. Beginning operation.

説明 ASA が、その初期ブートおよびフラッシュ メモリ読み取りシーケンスを完了し、正常動作を開始する準備が整いました。


) このメッセージは、no logging message コマンドを使用してもブロックできません。


推奨処置 不要です。

199003

エラー メッセージ %ASA-6-199003: Reducing link MTU dec .

説明 ASA が、内部ネットワークよりも大きい MTU を使用している外部ネットワークからパケットを受信しました。その後 ASA は、適切な MTU をネゴシエートするため、ICMP メッセージをその外部ホストに送信しました。ログ メッセージには、ICMP メッセージのシーケンス番号が含まれています。

推奨処置 不要です。

199005

エラー メッセージ %ASA-6-199005: Startup begin

説明 ASA が起動しました。

推奨処置 不要です。

199010

エラー メッセージ %ASA-1-199010: Signal 11 caught in process/fiber(rtcli async executor process)/(rtcli async executor) at address 0xf132e03b, corrective action at 0xca1961a0

説明 システムは重大なエラーから回復しました。

推奨処置 Cisco TAC にお問い合わせください。

199011

エラー メッセージ %ASA-2-199011: Close on bad channel in process/fiber process/fiber , channel ID p , channel state s process/fiber name of the process/fiber that caused the bad channel close operation.

説明 予期しないチャネル クローズ状態が検出されました。

p :チャネル ID

process/fiber :不正なチャネル クローズ動作の原因となったプロセス/ファイバの名前

s :チャネル状態

推奨処置 Cisco TAC にお問い合わせのうえ、ログ ファイルを添付してください。

199012

エラー メッセージ %ASA-1-1199012: Stack smash during new_stack_call in process/fiber process/fiber , call target f , stack size s , process/fiber name of the process/fiber that caused the stack smash

説明 スタック スマッシュ状態が検出されました。

f :new_stack_call のターゲット

process/fiber :スタック スマッシュの原因となったプロセス/ファイバの名前

s :new_stack_call で指定されている新しいスタック サイズ

推奨処置 Cisco TAC にお問い合わせのうえ、ログ ファイルを添付してください。

199013

エラー メッセージ %ASA-1-199013: syslog

説明 変数 syslog が補助的なプロセスによって生成されました。

syslog :アラート syslog が外部プロセスから verbatim を渡しました

推奨処置 Cisco TAC にお問い合わせください。

199014

エラー メッセージ %ASA-2-199014: syslog

説明 変数 syslog が補助的なプロセスによって生成されました。

syslog :重大な syslog が外部プロセスから verbatim を渡しました

推奨処置 Cisco TAC にお問い合わせください。

199015

エラー メッセージ %ASA-3-199015: syslog

説明 変数 syslog が補助的なプロセスによって生成されました。

syslog :エラー syslog が外部プロセスから verbatim を渡しました

推奨処置 Cisco TAC にお問い合わせください。

199016

エラー メッセージ %ASA-4-199016: syslog

説明 変数 syslog が補助的なプロセスによって生成されました。

syslog :警告 syslog が外部プロセスから verbatim を渡しました

推奨処置 Cisco TAC にお問い合わせください。

199017

エラー メッセージ %ASA-5-199017: syslog

説明 変数 syslog が補助的なプロセスによって生成されました。

syslog :通知 syslog が外部プロセスから verbatim を渡しました

推奨処置 不要です。

199018

エラー メッセージ %ASA-6-199018: syslog

説明 変数 syslog が補助的なプロセスによって生成されました。

syslog :情報 syslog が外部プロセスから verbatim を渡しました

推奨処置 不要です。

199019

エラー メッセージ %ASA-7-199019: syslog

説明 変数 syslog が補助的なプロセスによって生成されました。

syslog :デバッグ syslog が外部プロセスから verbatim を渡しました

推奨処置 不要です。

199020

エラー メッセージ %ASA-2-199020: System memory utilization has reached X %. System will reload if memory usage reaches the configured trigger level of Y %.

説明 システム メモリの使用率がシステム メモリのウォッチドッグ機能の設定値の 80% に達しました。

推奨処置 トラフィック負荷を軽減し、トラフィック インスペクションを削除し、ACL エントリの数を減らすなどして、システム メモリの使用率を減らしてください。メモリ リークが疑われる場合は、Cisco TAC にお問い合わせください。

199021

エラー メッセージ %ASA-1-199021: System memory utilization has reached the configured watchdog trigger level of Y %. System will now reload

説明 システム メモリの使用率がシステム メモリのウォッチドッグ機能の設定値の 100% に達しました。システムは自動的にリロードされます。

推奨処置 トラフィック負荷を軽減し、トラフィック インスペクションを削除し、ACL エントリの数を減らすなどして、システム メモリの使用率を減らしてください。メモリ リークが疑われる場合は、Cisco TAC にお問い合わせください。

メッセージ 201002 ~ 219002

この項では、201002 から 219002 までのメッセージについて説明します。

201002

エラー メッセージ %ASA-3-201002: Too many TCP connections on {static|xlate} global_address ! econns nconns

説明 指定されたグローバル アドレスへの TCP 接続が最大数を超えました。

econns:最大初期接続数

nconns:スタティックまたは xlate グローバル アドレスに許可される最大接続数

推奨処置 show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201003

エラー メッセージ %ASA-2-201003: Embryonic limit exceeded nconns/elimit for outside_address/outside_port ( global_address ) inside_address / inside_port on interface interface_name

説明 指定されたスタティック グローバル アドレスを持つ、指定された外部アドレスから指定されたローカル アドレスへの初期接続の数が初期接続の制限を超えました。ASA への初期接続の制限に達すると、ASA は何としても受け入れようと試みますが、その接続に時間制限を課します。この状況により、たとえ ASA がビジー状態であっても、一部の接続が成功することがあります。このメッセージは、メッセージ 201002 より重大なオーバーロードを示しています。このオーバーロードは、SYN 攻撃、または正規のトラフィックの非常に重い負荷が原因で発生します。

nconns:受信した最大初期接続数

elimit :static コマンドまたは nat コマンドで指定された最大初期接続数

推奨処置 show static コマンドを使用して、スタティック アドレスへの初期接続に課されている制限を確認します。

201004

エラー メッセージ %ASA-3-201004: Too many UDP connections on {static|xlate} global_address!udp connections limit

説明 指定されたグローバル アドレスへの UDP 接続が最大数を超えました。

udp conn limit:スタティック アドレスまたは変換に許可される UDP 接続の最大数

推奨処置 show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201005

エラー メッセージ %ASA-3-201005: FTP data connection failed for IP_address IP_address

説明 ASA が、メモリ不足のため FTP のデータ接続を追跡するための構造を割り当てることができません。

推奨処置 メモリ使用量を減らすか、または増設メモリを購入します。

201006

エラー メッセージ %ASA-3-201006: RCMD backconnection failed for IP_address/port .

説明 メモリ不足のため ASA が rsh コマンドに対する着信標準出力のための接続を事前割り当てできません。

推奨処置 rsh クライアント バージョンを確認します。ASA がサポートしているのは Berkeley rsh クライアント バージョンだけです。メモリ使用量を減らすか、または増設メモリを購入することもできます。

201008

エラー メッセージ %ASA-3-201008: Disallowing new connections.

説明 TCP システム ログ メッセージングをイネーブルにしても syslog サーバに到達できないか、ASA syslog サーバ(PFSS)を使用しており Windows NT システムのディスクが満杯になっているか、自動アップデート タイムアウトが設定されており Auto Update Server に到達できません。

推奨処置 TCP syslog メッセージングをディセーブルにします。PFSS を使用している場合は、PFSS のある Windows NT システム上のスペースを解放します。さらに、syslog サーバが動作しており、ASA コンソールからそのホストに ping できることを確認します。次に、TCP システム メッセージ ロギングを再開してトラフィックを許可します。Auto Update Server に一定期間アクセスしなかった場合、 [no] auto-update timeout period コマンドを入力してパケットの送信が停止されるようにします。

201009

エラー メッセージ %ASA-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded

説明 指定されたスタティック アドレスへの接続が最大数を超えました。

number:ホストに許可されている接続の最大数

IP_address :ホスト IP アドレス

interface_name :ホストの接続先インターフェイスの名前

推奨処置 show static コマンドおよび show nat コマンドを使用して、アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201010

エラー メッセージ %ASA-3-201010: Embryonic connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name

説明 TCP 接続を確立しようとしたが、トラフィック クラスに対して set connection embryonic-conn-max MPC コマンドで設定されている初期接続の制限を超えたために失敗しました。

econns :設定したトラフィック クラスに関連付けられている初期接続の現在の数

limit :設定した初期接続のトラフィック クラスの制限

dir :input(接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです)または output(接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです)

source_address/source_port :接続を開始しているパケットの送信元の実際の IP アドレスと送信元ポート

dest_address/dest_port :接続を開始しているパケットの宛先の実際の IP アドレスと宛先ポート

interface_name :ポリシー制限が強制されているインターフェイスの名前

推奨処置 不要です。

201011

エラー メッセージ %ASA-3-201011: Connection limit exceeded cnt / limit for dir packet from sip / sport to dip / dport on interface if_name .

説明 ASA 経由の新しい接続により、少なくとも 1 つの設定済み最大接続制限を超えました。このメッセージは、 static コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、ASA 経由の新しい接続は許可されません。

cnt :現在の接続数

limit :設定されている接続制限

dir :トラフィックの方向(着信または発信)

sip :送信元の実際の IP アドレス

sport :送信元ポート

dip :宛先の実際の IP アドレス

dport :宛先ポート

if_name :トラフィックを受信したインターフェイスの名前

推奨処置 不要です。

201012

エラー メッセージ %ASA-6-201012: Per-client embryonic connection limit exceeded curr num / limit for [input|output] packet from IP_address / port to ip / port on interface interface_name

説明 TCP 接続を確立しようとしましたが、クライアントごとの初期接続制限を超えたために失敗しました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

curr num :現在の数

limit :設定されている制限

[input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット

IP_address :実際の IP アドレス

port :TCP ポートまたは UDP ポート

interface_name :ポリシーが適用されているインターフェイスの名前

推奨処置 制限に達すると、SYN フラッド アタックを防止するために、それ以降の接続要求はすべて ASA によってプロキシされます。クライアントが 3 ウェイ ハンドシェイクを終了できる場合に限り、ASA はサーバに接続します。これは、通常、エンド ユーザにもアプリケーションにも影響しません。ただし、正当に多数の初期接続を必要とするアプリケーションに問題が生じる場合は、 set connection per-client-embryonic-max コマンドを入力して設定を調整できます。

201013

エラー メッセージ %ASA-3-201013: Per-client connection limit exceeded curr num / limit for [input|output] packet from ip / port to ip / port on interface interface_name

説明 クライアントごとの接続制限を超えたため、接続が拒否されました。

curr num :現在の数

limit :設定されている制限

[input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット

ip :実際の IP アドレス

port :TCP ポートまたは UDP ポート

interface_name :ポリシーが適用されているインターフェイスの名前

推奨処置 制限に達すると、それ以降の接続要求はすべて警告なしで廃棄されます。通常は、アプリケーションで接続が再試行されるため、遅延が発生します。再試行がすべて失敗した場合にはタイムアウトも発生します。アプリケーションが正当に多数の同時接続を必要とする場合は、 set connection per-client-max コマンドを入力して設定を調整できます。

202001

エラー メッセージ %ASA-3-202001: Out of address translation slots!

説明 ASA に使用可能なアドレス変換スロットがなくなりました。

推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または可能であれば増設メモリを購入します。

202005

エラー メッセージ %ASA-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port

説明 接続オブジェクト(xlate)が誤ったリストに入っています。

推奨処置 Cisco TAC にお問い合わせください。

202010

エラー メッセージ %ASA-3-202010: [NAT | PAT] pool exhausted for pool-name , port range [1-511 | 512-1023 | 1024-65535]. Unable to create protocol connection from in-interface : src-ip / src-port to out-interface : dst-ip / dst-port

pool-name :NAT または PAT プール名

protocol :接続を作成するために使用されるプロトコル

in-interface :入力インターフェイス

src-ip :送信元 IP アドレス

src-port :送信元ポート

out-interface :出力インターフェイス

dest-ip :宛先 IP アドレス

dst-port :宛先ポート

説明 ASA に使用可能なアドレス変換プールがなくなりました。

推奨処置 プール内のすべてのアドレスとポートを使い果たした原因を特定するには、 show nat pool および show nat detail コマンドを使用します。これが通常の状態で発生している場合は、NAT/PAT プールに IP アドレスを追加します。

202011

エラー メッセージ %ASA-3-202011: Connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name

説明 TCP 接続または UDP 接続を作成しようとしたが、トラフィック クラスに対して set connection conn-max MPC コマンドで設定されている接続の制限を超えたために失敗しました。

econns :設定したトラフィック クラスに関連付けられている初期接続の現在の数

limit :設定した初期接続のトラフィック クラスの制限

dir :input(接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです) または output(接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです)

source_address / source_port :接続を開始しているパケットの送信元 IP アドレスと送信元ポート

dest_address / dest_port :接続を開始しているパケットの宛先 IP アドレスと宛先ポート

interface_name :ポリシー制限が強制されているインターフェイスの名前

推奨処置 不要です。

208005

エラー メッセージ %ASA-3-208005: (function:line_num) clear command return code

説明 ASA が、フラッシュ メモリ内のコンフィギュレーションを消去しようとしたときに非ゼロ値(内部エラー)を受信しました。このメッセージには、報告サブルーチンのファイル名および行番号が含まれています。

推奨処置 パフォーマンス上の理由から、エンド ホストは IP フラグメントを投入しないように設定する必要があります。このコンフィギュレーションの変更は、NFS が原因と考えられます。読み取りサイズおよび書き込みサイズを NFS のインターフェイス MTU と等しく設定します。

209003

エラー メッセージ %ASA-4-209003: Fragment database limit of number exceeded: src = source_address , dest = dest_address , proto = protocol , id = number

説明 現在リアセンブリを待っている IP フラグメントが多すぎます。デフォルトでは、フラグメントの最大数は 200 です(最大値を大きくするには、コマンド リファレンスの fragment size コマンドを参照してください)。ASAは、同時にリアセンブリできる IP フラグメントの数を制限します。この制約により、異常なネットワーク条件下でASAのメモリが枯渇するのが防止されます。一般に、フラグメント化されたトラフィックは、混合トラフィック全体のわずかな割合に抑える必要があります。例外は、ほとんどがフラグメント化されたトラフィックである NFS over UDP のネットワーク環境の場合です。ASAこのタイプのトラフィックが経由で中継される場合、その代わりに NFS over TCP の使用を検討します。フラグメント化を防ぐには、『コマンド リファレンス』の sysopt connection tcpmss bytes コマンドを参照してください。

推奨処置 このメッセージが引き続き表示される場合は、DoS 攻撃(サービス拒絶攻撃)が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。

209004

エラー メッセージ %ASA-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes : src = source_address , dest = dest_address , proto = protocol , id = number

説明 IP フラグメントの形式が誤っています。リアセンブリ済み IP パケットの合計サイズが、最大可能サイズの 65,535 バイトを超えています。

推奨処置 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。

209005

エラー メッセージ %ASA-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.

説明 ASA は、24 よりも多くのフラグメントにフラグメント化されている IP パケットを拒否します。詳細については、コマンド リファレンスの fragment コマンドを参照してください。

推奨処置 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。 fragment chain xxx interface_name コマンドを使用して、パケットあたりのフラグメントの数を変更できます。

210001

エラー メッセージ %ASA-3-210001: LU sw_module_name error = number

説明 ステートフル フェールオーバー エラーが発生しました。

推奨処置 ASA 経由のトラフィックが減少した後もこのエラーが引き続き表示される場合は、Cisco TAC にこのエラーを報告してください。

210002

エラー メッセージ %ASA-3-210002: LU allocate block ( bytes ) failed.

説明 ステートフル フェールオーバーが、ステートフル情報をスタンバイ ASA に送信するためのメモリのブロックを割り当てることができません。

推奨処置 show interface コマンドを使用してフェールオーバー インターフェイスを調べて、その送信が正常であることを確認します。さらに、 show block コマンドを使用して、現在のブロック メモリを調べます。現在使用可能なカウントが 0 になっているメモリのブロックがあれば、ASA ソフトウェアをリロードして失われたメモリのブロックを回復します。

210003

エラー メッセージ %ASA-3-210003: Unknown LU Object number

説明 ステートフル フェールオーバーが、サポートされていない Logical Update オブジェクトを受信し、そのオブジェクトを処理できませんでした。これは、破損したメモリ、LAN 伝送、または他のイベントが原因となっている可能性があります。

推奨処置 このエラーがまれにしか表示されない場合は、処置は不要です。このエラーが頻繁に発生する場合は、ステートフル フェールオーバー リンク LAN 接続を確認します。エラーが不適切なフェールオーバー リンク LAN 接続のためでない場合は、外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。また、誤って設定したクライアントがないかどうかも確認します。

210005

エラー メッセージ %ASA-3-210005: LU allocate connection failed

説明 ステートフル フェールオーバーが、スタンバイ装置に新しい接続を割り当てられません。これは、ASA内の利用可能な RAM メモリがほとんどないか、またはまったくないことが原因となっている可能性があります。

推奨処置 show memory コマンドを使用して ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリをASAに追加します。

210006

エラー メッセージ %ASA-3-210006: LU look NAT for IP_address failed

説明 ステートフル フェールオーバーが、スタンバイ装置上で IP アドレス用の NAT グループを検出できませんでした。アクティブおよびスタンバイの ASA が相互に同期していない可能性があります。

推奨処置 アクティブ装置で write standby コマンドを使用して、システム メモリをスタンバイ装置に同期させます。

210007

エラー メッセージ %ASA-3-210007: LU allocate xlate failed

説明 ステートフル フェールオーバーが、変換スロット レコードを割り当てることができませんでした。

推奨処置 show memory コマンドを使用して ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。

210008

エラー メッセージ %ASA-3-210008: LU no xlate for inside_address / inside_port outside_address / outside_port

説明 ASA でステートフル フェールオーバー接続の変換スロットレコードを検出できませんでした。そのため、ASA で接続情報を処理できませんでした。

推奨処置 アクティブ装置で write standby コマンドを使用して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。

210010

エラー メッセージ %ASA-3-210010: LU make UDP connection for outside_address : outside_port inside_address : inside_port failed

説明 ステートフル フェールオーバーが、UDP 接続に新しいレコードを割り当てることができませんでした。

推奨処置 show memory コマンドを使用して ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。

210011

エラー メッセージ %ASA-3-210011: Connection limit exceeded cnt / limit for dir packet from sip / sport to dip / dport on interface if_name .

説明 ASA 経由の新しい接続の確立により、少なくとも 1 つの設定済み最大接続制限を超えました。このメッセージは、 static コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、ASA 経由の新しい接続は許可されません。接続制限は正当な理由で設定されているため、このメッセージは DOS 攻撃の可能性を示すことがあります。その場合、トラフィックの送信元はスプーフィングされた IP アドレスである可能性があります。

cnt :現在の接続数

limit :設定されている接続制限

dir :トラフィックの方向(着信または発信)

sip :送信元 IP アドレス

sport :送信元ポート

dip :宛先 IP アドレス

dport :宛先ポート

if_name :トラフィック ユニットを受信したインターフェイスの名前(Primary または Secondary)

推奨処置 送信元 IP アドレスが必ずしもランダムではない場合は、送信元を特定し、それをアクセス リストでブロックすると攻撃を防止できます。その他の場合は、スニファ トレースを取得してトラフィックの発信元を分析することが、正規のトラフィックから不要なトラフィックを切り分けるのに有効です。

210020

エラー メッセージ %ASA-3-210020: LU PAT port port reserve failed

説明 ステートフル フェールオーバーが、使用中の特定の PAT アドレスを割り当てることができません。

推奨処置 アクティブ装置で write standby コマンドを使用して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。

210021

エラー メッセージ %ASA-3-210021: LU create static xlate global_address ifc interface_name failed

説明 ステートフル フェールオーバーが変換スロットを作成できません。

推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。

210022

エラー メッセージ %ASA-6-210022: LU missed number updates

説明 ステートフル フェールオーバーが、スタンバイ装置に送信された各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が最後にアップデートされたレコードと一致していない場合、その間の情報が失われたものと見なされ、その結果、このエラー メッセージが送信されます。

推奨処置 LAN の中断が発生しない場合、両方の ASA 装置の利用可能なメモリをチェックして、ステートフル情報を処理するのに十分なメモリがあることを確認します。 show failover コマンドを使用して、ステートフル情報のアップデートの品質をモニタします。

211001

エラー メッセージ %ASA-3-211001: Memory allocation Error

説明 ASA は RAM システム メモリの割り当てに失敗しました。

推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。

211003

エラー メッセージ %ASA-3-211003: Error in computed percentage CPU usage value

説明 CPU 使用率が 100 %を超えています。

推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。

211004

エラー メッセージ %ASA-1-211004: WARNING: Minimum Memory Requirement for ASA version ver not met for ASA image. min MB required, actual MB found.

説明 ASA がこのバージョンの最小メモリ要件を満たしていません。メモリのアップグレードが必要です。すぐにメモリをアップグレードできない場合は、ASA を 8.2(1) 以前のバージョンにダウングレードします。最小メモリ要件を満たさずに 8.3 イメージの実行を継続することはサポートされず、重大なシステム障害が発生することがあります。

ver :実行イメージのバージョン番号

min :インストールされたイメージを実行するために必要な RAM の最小容量。使用可能なメモリ アップグレード PID 番号は次のとおりです。

ASA5505-MEM-512=

ASA5510-MEM-1GB=

ASA5520-MEM-2GB=

ASA5540-MEM-2GB=

actual :現在システムに搭載されているメモリの量

推奨処置 必要な量の RAM を搭載します。必要な量の RAM を注文するには、メモリ アップグレード PID 番号を使用します。

212001

エラー メッセージ %ASA-3-212001: Unable to open SNMP channel (UDP port port ) on interface interface_number , error code = code

説明 ASA は、このインターフェイス上にある SNMP 管理ステーションから ASA 宛ての SNMP 要求を受信できません。任意のインターフェイス上で ASA を通過する SNMP トラフィックは影響を受けません。エラー コードは次のとおりです。

エラー コード -1 は、ASA がそのインターフェイスに対して SNMP トランスポートを開けないことを示します。このエラーは、SNMP がクエリーを受け入れるポートを別の機能ですでに使われているポートに変更しようとした場合に発生する可能性があります。この場合、SNMP が使用するポートは、着信 SNMP クエリー用のデフォルト ポート(UDP 161)にリセットされます。

エラー コード -2 は、ASA がそのインターフェイスに対して SNMP トランスポートをバインドできないことを示します。

推奨処置 トラフィック量が少ないときに、ASAがリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。

212002

エラー メッセージ %ASA-3-212002: Unable to open SNMP trap channel (UDP port port ) on interface interface_number , error code = code

説明 ASA は、ASA からこのインターフェイス上にある SNMP 管理ステーションに自分の SNMP トラップを送信できません。任意のインターフェイス上で ASA を通過する SNMP トラフィックは影響を受けません。エラー コードは次のとおりです。

エラー コード -1 は、ASA がそのインターフェイスに対して SNMP トラップ トランスポートを開けないことを示します。

エラー コード -2 は、ASA がそのインターフェイスに対して SNMP トラップ トランスポートをバインドできないことを示します。

エラー コード -3 は、ASA がトラップ チャネルを書き込み専用として設定できないことを示します。

推奨処置 トラフィック量が少ないときに、ASAがリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。

212003

エラー メッセージ %ASA-3-212003: Unable to receive an SNMP request on interface interface_number , error code = code , will try again.

説明 指定されたインターフェイス上で ASA 宛ての SNMP 要求を受信する際に内部エラーが発生しました。エラー コードは次のとおりです。

エラー コード -1 は、ASA がインターフェイスに対してサポートされているトランスポート タイプを検出できないことを示します。

エラー コード -5 は、ASAがインターフェイスの UDP チャネルからデータを受信しなかったことを示します。

エラー コード -7 は、ASAがサポートされているバッファ サイズを超える着信要求を受信したことを示します。

エラー コード -14 は、ASA が UDP チャネルからの送信元 IP アドレスを判別できないことを示します。

エラー コード -22 は、ASAが無効なパラメータを受信したことを示します。

推奨処置 不要です。ASA SNMP エージェントは元に戻って次の SNMP 要求を待ちます。

212004

エラー メッセージ %ASA-3-212004: Unable to send an SNMP response to IP Address IP_address Port port interface interface_number , error code = code

説明 指定されたインターフェイス上の指定されたホストに ASA から SNMP 応答を送信する際に内部エラーが発生しました。エラー コードは次のとおりです。

エラー コード -1 は、ASA がインターフェイスに対してサポートされているトランスポート タイプを検出できないことを示します。

エラー コード -2 は、ASAが無効なパラメータを送信したことを示します。

エラー コード -3 は、ASAが UDP チャネルに宛先 IP アドレスを設定できなかったことを示します。

エラー コード -4 は、ASAがサポートされている UDP セグメント サイズを超える PDU 長を送信したことを示します。

エラー コード -5 は、ASAが PDU 構築用のシステム ブロックを割り当てることができなかったことを示します。

推奨処置 不要です。

212005

エラー メッセージ %ASA-3-212005: incoming SNMP request ( number bytes) on interface interface_name exceeds data buffer size, discarding this SNMP request.

説明 ASA 宛ての着信 SNMP 要求の長さが、内部処理中に要求を格納するために使用される内部データ バッファのサイズ(512 バイト)を超えています。ASAはこの要求を処理できません。任意のインターフェイス上で ASA を通過する SNMP トラフィックは影響を受けません。

推奨処置 SNMP 管理ステーションに長さの短い要求を再送信させます。たとえば、1 つの要求で複数の MIB 変数にクエリーを実行するのではなく、1 つの要求で 1 つの MIB 変数だけにクエリーを実行するようにします。SNMP マネージャ ソフトウェアのコンフィギュレーションの修正が必要になる可能性もあります。

212006

エラー メッセージ %ASA-3-212006: Dropping SNMP request from src_addr / src_port to ifc : dst_addr / dst_port because: reason username

説明 ASA が次の理由により自分宛ての SNMP 要求を処理できません。

user not found:ユーザ名がローカル SNMP ユーザ データベース内に見つかりません。

username exceeds maximum length:PDU に埋め込まれているユーザ名が SNMP RFC で許可されている最大長を超えています。

authentication algorithm failure:無効なパスワードにより認証が失敗したか、またはパケットが不適切なアルゴリズムで認証されました。

privacy algorithm failure:無効なパスワードによりプライバシー障害が発生したか、またはパケットが不適切なアルゴリズムで暗号化されました。

error decrypting request:ユーザ要求を復号化するプラットフォーム暗号モジュールでエラーが発生しました。

error encrypting response:ユーザ応答またはトラップ通知を暗号化するプラットフォーム暗号モジュールでエラーが発生しました。

engineBoots has reached maximum value:engineBoots 変数が最大許容値に達しました。詳細については、メッセージ 212011 を参照してください。


) 上記の各理由の後にユーザ名が表示されます。


推奨処置 ASA SNMP サーバ設定をチェックし、NMS コンフィギュレーションで想定どおりのユーザ、認証、および暗号化設定が使用されていることを確認します。プラットフォーム暗号モジュールのエラーを分離するには、 show crypto accelerator statistics コマンドを入力します。

212009

エラー メッセージ %ASA-5-212009: Configuration request for SNMP group groupname failed. User username , reason .

説明 ユーザが SNMP サーバのグループ コンフィギュレーションを変更しようとしました。グループを参照する 1 人または複数のユーザの設定が不十分であるため、要求されたグループの変更に応じることができません。

groupname :グループ名を表す文字列

username :ユーザ名を表す文字列

reason :次のいずれかの原因を表す文字列

- missing auth-password :ユーザがグループに認証を追加しようとしましたが、その際、認証パスワードを指定しませんでした。

- missing priv-password :ユーザがグループにプライバシーを追加しようとしましたが、その際、暗号化パスワードを指定しませんでした。

- reference group intended for removal :ユーザが、所属ユーザが存在するグループを削除しようとしました。

推奨処置 ユーザは、グループを変更したり、指摘されたユーザを削除したりする前に、指摘されたユーザのコンフィギュレーションをアップデートする必要があります。その後で、グループを変更し、ユーザを追加し直します。

212010

エラー メッセージ %ASA-3-212010: Configuration request for SNMP user % s failed. Host % s reason .

説明 ユーザが SNMP サーバのユーザ コンフィギュレーションを変更しようとしました。つまり、対象のユーザを参照する 1 つまたは複数のホストを削除しようとしました。ホストごとに 1 つのメッセージが生成されます。

%s :ユーザ名またはホスト名を表す文字列

reason :次の原因を表す文字列

- references user intended for removal :ユーザ名がホストから削除されようとしました。

推奨処置 ユーザは、ユーザを変更したり、指摘されたホストを削除したりする前に、指摘されたホストのコンフィギュレーションをアップデートする必要があります。その後で、ユーザを変更し、ホストを追加し直します。

212011

エラー メッセージ %ASA-3-212011: SNMP engineBoots is set to maximum value. Reason : %s User intervention necessary.

例を示します。

%ASA-3-212011: SNMP engineBoots is set to maximum value. Reason: error accessing persistent data. User intervention necessary.
 

説明 デバイスが 214783647 回(engineBoots 変数の最大許容値)リブートされたか、またはフラッシュ メモリから固定値を読み取り中にエラーが発生しました。engineBoots 値は、フラッシュ メモリ内の flash:/snmp/ ctx-name ファイルに格納されます。ここで、 ctx-name はコンテキストの名前です。シングルモードの場合、このファイルの名前は flash:/snmp/single_vf です。マルチモードの場合、管理コンテキスト用のファイルの名前は flash:/snmp/admin です。リブート時にデバイスでファイルの読み書きができない場合、engineBoots 値は最大値に設定されます。

%s :engineBoots 値が最大許容値に設定されている原因を表す文字列。有効な文字列は「device reboots」および「error accessing persistent data」の 2 つです。

推奨処置 1 つ目の文字列の場合、管理者は、すべての SNMP バージョン 3 ユーザを削除してから追加し直すことで、engineBoots 変数を 1 にリセットする必要があります。それ以降のすべてのバージョン 3 クエリーは、すべてのユーザが削除されるまで失敗します。2 つ目の文字列の場合、管理者は、コンテキスト固有のファイルを削除し、すべての SNMP バージョン ユーザを削除してから追加し直すことで、engineBoots 変数を 1 にリセットする必要があります。それ以降のすべてのバージョン 3 クエリーは、すべてのユーザが削除されるまで失敗します。

212012

エラー メッセージ %ASA-3-212012: Unable to write SNMP engine data to persistent storage.

説明 SNMP エンジン データはファイル flash:/snmp/ context-name に書き込まれます。たとえば、シングルモードでは、データは flash:/snmp/single_vf ファイルに書き込まれます。マルチモードの管理コンテキストでは、ファイルはディレクトリ flash:/snmp/admin に書き込まれます。flash:/snmp ディレクトリの作成または flash:/snmp/ context-name ファイルの作成に失敗すると、エラーが発生する可能性があります。また、ファイルへの書き込みに失敗した場合も、エラーが発生する可能性があります。

推奨処置 システム管理者は、flash:/snmp/ context-name ファイルを削除し、すべての SNMP バージョン 3 ユーザを削除してから追加し直す必要があります。この手順により、flash:/snmp/ context-name ファイルが再作成されるはずです。問題が解決しない場合、システム管理者はフラッシュの再フォーマットを試みる必要があります。

213001

エラー メッセージ %ASA-3-213001: PPTP control daemon socket io string , errno = number .

説明 内部 TCP ソケット I/O エラーが発生しました。

推奨処置 Cisco TAC にお問い合わせください。

213002

エラー メッセージ %ASA-3-213002: PPTP tunnel hashtable insert failed, peer = IP_address .

説明 新しい PPTP トンネルの作成中に、内部ソフトウェア エラーが発生しました。

推奨処置 Cisco TAC にお問い合わせください。

213003

エラー メッセージ %ASA-3-213003: PPP virtual interface interface_number isn't opened.

説明 PPP 仮想インターフェイスのクローズ中に、内部ソフトウェア エラーが発生しました。

推奨処置 Cisco TAC にお問い合わせください。

213004

エラー メッセージ %ASA-3-213004: PPP virtual interface interface_number client ip allocation failed.

説明 IP アドレスを PPTP クライアントに割り当てている間に、IP ローカル アドレス プールの枯渇により内部ソフトウェア エラーが発生しました。

推奨処置 ip local pool コマンドを使用して、さらに大きいプールを割り当てることを検討します。

213005

エラー メッセージ %ASA-3-213005%: Dynamic-Access-Policy action (DAP) action aborted

説明 DAP は、ユーザの認可権限およびリモート エンドポイント デバイスのポスチャ アセスメント結果に基づいて設定済みアクセス ポリシーを選択することにより、動的に作成されます。作成された動的ポリシーは、セッションを終了する必要があることを示しています。

推奨処置 不要です。

213006

エラー メッセージ %ASA-3-213006%: Unable to read dynamic access policy record.

説明 DAP ポリシー レコード データの取得でエラーが発生したか、またはアクションのコンフィギュレーションが欠落していました。

推奨処置 コンフィギュレーションの変更によって、DAP レコードが削除された可能性があります。 ASDM を使用して、DAP レコードを再作成します。

214001

エラー メッセージ %ASA-2-214001: Terminating manager session from IP_address on interface interface_name . Reason: incoming encrypted data ( number bytes) longer than number bytes

説明 ASA 管理ポート宛ての着信暗号化データ パケットは、指定された上限をパケット長が超えていることを示します。これは敵対イベントの場合があります。ASAは、ただちにこの管理接続を終了します。

推奨処置 管理接続が Cisco Secure Policy Manager によって開始されたことを確認します。

215001

エラー メッセージ %ASA-2-215001:Bad route_compress() call, sdb = number

説明 内部ソフトウェア エラーが発生しました。

推奨処置 Cisco TAC にお問い合わせください。

217001

エラー メッセージ %ASA-2-217001: No memory for string in string

説明 メモリ不足が原因で動作が失敗しました。

推奨処置 十分なメモリが存在する場合は、エラー メッセージ、コンフィギュレーション、およびこのエラーの発端になったイベントの詳細を、Cisco TAC に送付してください。

216001

エラー メッセージ %ASA- n -216001: internal error in: function : message

説明 正常動作中に発生してはならないさまざまな内部エラーが発生しました。重大度は、メッセージの原因によって異なります。

n :メッセージの重大度

function :影響を受けたコンポーネント

message :問題の原因を説明するメッセージ

推奨処置 Bug Toolkit で特定のテキスト メッセージを検索します。また、アウトプット インタープリタを使用して問題の解決を試みます。問題が解決しない場合、Cisco TAC にお問い合わせください。

216002

エラー メッセージ ASA-3-216002: Unexpected event (major: major_id , minor: minor_id ) received by task_string in function at line: line_num

説明 タスクがイベント通知に登録したが、そのタスクが特定のイベントを処理できません。監視できるイベントには、キュー、ブーリアン、タイマー サービスに関連付けられているイベントが含まれます。登録されているイベントのいずれかが発生した場合、スケジューラはタスクを再起動してイベントを処理します。このメッセージは、予期しないイベントがタスクを再起動したが、タスクがそのイベントの処理方法を認識していない場合に生成されます。

イベントが未処理のままになっている場合、そのイベントが頻繁にタスクを再起動して処理されていることを確認しますが、これは正常状態では発生してはならないことです。このメッセージが表示される場合、必ずしもデバイスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。

major_id :イベント識別子

minor_id :イベント識別子

task_string :タスクが自分自身を認識するために通過させたカスタム文字列

function :予期しないイベントを受信した機能

line_num :コード中の行番号

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

216003

エラー メッセージ %ASA-3-216003: Unrecognized timer timer_ptr , timer_id received by task_string in function at line: line_num

説明 予期しないタイマー イベントがタスクを再起動したが、タスクがそのイベントの処理方法を認識していません。タスクは、一連のタイマー サービスをスケジューラに登録できます。タイマーのいずれかが期限満了になった場合、スケジューラはタスクを再起動してアクションを実行します。このメッセージは、認識できないタイマー イベントによってタスクが再起動された場合に生成されます。

期限満了になったタイマーは、タスクが未処理のままになっている場合、途切れることなくタスクを再起動して処理されていることを確認しますが、これは望ましいことではありません。これは正常状態では発生してはならないことです。このメッセージが表示される場合、必ずしもデバイスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。

timer_ptr :タイマーへのポインタ

timer_id :タイマー識別子

task_string :タスクが自分自身を認識するために通過させたカスタム文字列

function :予期しないイベントを受信した機能

line_num :コード中の行番号

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

216004

エラー メッセージ %ASA-4-216004:prevented: error in function at file ( line ) - stack trace

説明 内部ロジック エラーが発生しました。このエラーは、正常動作中に発生してはならないものです。

error :内部ロジック エラー。考えられるエラーは、次のとおりです。

- 例外

- ヌル ポインタの逆参照

- 範囲外の配列インデックス

- 無効なバッファ サイズ

- 入力からの書き込み

- 送信元と宛先の重複

- 無効な日付

- 配列インデックスからのアクセス オフセット

function :エラーを生成した呼び出し機能。

file(line) :エラーを生成したファイルと行番号。

stack trace :完全なコール スタック トレースバック。呼び出し機能から開始します。たとえば、("0x001010a4 0x00304e58 0x00670060 0x00130b04") です。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

216005

エラー メッセージ %ASA-1-216005: ERROR: Duplex-mismatch on interface_name resulted in transmitter lockup. A soft reset of the switch was performed.

説明 ポート上のデュプレックスのミスマッチが原因で問題が発生し、ポートでパケットを転送できません。この状況が検出されたため、スイッチが自動回復するようにリセットされました。このメッセージは ASA 5505 にだけ適用されます。

interface_name :ロックされたインターフェイス名

推奨処置 指定されたポートとそれに接続されている ASA 5505 との間にデュプレックスのミスマッチが存在します。両方のデバイスを自動回復に設定するか、または両方のデバイスでデュプレックスのミスマッチが同じになるようにハードコードすることで、デュプレックスのミスマッチを修正します。

218001

エラー メッセージ %ASA-2-218001: Failed Identification Test in slot# [ fail #/ res ].

説明 ASA の slot# のモジュールが、シスコ純正製品として識別できません。シスコの保証およびサポート プログラムは、シスコ純正製品だけに適用されます。シスコは、サポート問題の原因がシスコ製以外のメモリ、SSM モジュール、SSC モジュールなどのモジュールに関連していると判断した場合、現在の保証またはシスコ サポート プログラム(SmartNet など)の下でのサポートを拒否することがあります。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されたとおりに、メッセージをコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。

218002

エラー メッセージ %ASA-2-218002: Module ( slot# ) is a registered proto-type for Cisco Lab use only, and not certified for live network operation.

説明 指摘された場所のハードウェアが、シスコのラボで製造されたプロトタイプ モジュールです。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。

218003

エラー メッセージ %ASA-2-218003: Module Version in slot# is obsolete. The module in slot = slot# is obsolete and must be returned via RMA to Cisco Manufacturing. If it is a lab unit, it must be returned to Proto Services for upgrade.

説明 古いハードウェアが検出されたか、 show module コマンドがモジュールに対して実行されました。このメッセージは、最初に表示された後 1 分ごとに生成されます。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されたとおりに、メッセージをコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。

218004

エラー メッセージ %ASA-2-218004: Failed Identification Test in slot# [ fail# / res ]

説明 指定された場所でハードウェアを識別しているときに問題が発生しました。

推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されたとおりに、メッセージをコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。

219002

エラー メッセージ %ASA-3-219002: I2C_API_name error, slot = slot_number , device = device_number , address = address , byte count = count . Reason: reason_string

説明 ハードウェアまたはソフトウェアの問題が原因で I2C シリアル バス API が失敗しました。

I2C_API_name :失敗した I2C API。次のいずれかです。

I2C_read_byte_w_wait()

I2C_read_word_w_wait()

I2C_read_block_w_wait()

I2C_write_byte_w_wait()

I2C_write_word_w_wait()

I2C_write_block_w_wait()

I2C_read_byte_w_suspend()

I2C_read_word_w_suspend()

I2C_read_block_w_suspend()

I2C_write_byte_w_suspend()

I2C_write_word_w_suspend()

I2C_write_block_w_suspend()

slot_number :このメッセージを生成した I/O 動作が行われたスロットの番号(16 進数)。スロット番号は、シャーシ内のスロットとして一意でないことがあります。シャーシによっては、2 つの異なるスロットが同じ I2C スロット番号を持つことがあります。また、値は必ずしもスロット数以下ではありません。値は、I2C ハードウェアがどのように配線されているかによって異なります。

device_number :I/O 動作が行われたスロット上のデバイスの番号(16 進数)。

address :I/O 動作が行われたデバイスのアドレス(16 進数)。

byte_count :I/O 動作のバイト数(10 進数形式)。

error_string :エラーの原因。次のいずれかです。

I2C_BUS_TRANSACTION_ERROR

I2C_CHKSUM_ERROR

I2C_TIMEOUT_ERROR

I2C_BUS_COLLISION_ERROR

I2C_HOST_BUSY_ERROR

I2C_UNPOPULATED_ERROR

I2C_SMBUS_UNSUPPORT

I2C_BYTE_COUNT_ERROR

I2C_DATA_PTR_ERROR

推奨処置 次の手順を実行します。

1. イベントに関連付けられているメッセージとエラーを記録して確認します。このメッセージが継続的に表示されず、数分後に表示されなくなる場合は、I2C シリアル バスのビジー状態が原因である可能性があります。

2. ASAで実行しているソフトウェアをリブートします。

3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。

4. 問題が解決しない場合、Cisco TAC にお問い合わせください。

メッセージ 302003 ~ 339009

この項では、302003 から 339009 までのメッセージについて説明します。

302003

エラー メッセージ %ASA-6-302003: Built H245 connection for foreign_address outside_address / outside_port local_address inside_address / inside_port

説明 H.245 接続が outside_address から inside_address に向けて開始されました。ASA は、Intel Internet Phone の使用を検出しました。外部ポート( outside_port )は、ASA外部からの接続にしか表示されません。ローカル ポート値( inside_port )は、内部インターフェイスで開始された接続にしか表示されません。

推奨処置 不要です。

302004

エラー メッセージ %ASA-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address / outside_port to local_address inside_address / inside_port

説明 H.323 UDP バック接続がローカル アドレス( inside_address )から外部アドレス( outside_address )に事前割り当てされました。ASA は、Intel Internet Phone の使用を検出しました。外部ポート( outside_port )は、ASA外部からの接続にしか表示されません。ローカル ポート値( inside_port )は、内部インターフェイスで開始された接続にしか表示されません。

推奨処置 不要です。

302010

エラー メッセージ %ASA-6-302010: connections in use, connections most used

説明 TCP 接続が再起動しました。

connections :接続数

推奨処置 不要です。

302012

エラー メッセージ %ASA-6-302012: Pre-allocate H225 Call Signalling Connection for faddr IP_address / port to laddr IP_address

説明 H.225 二次チャネルは事前割り当て済みです。

推奨処置 不要です。

302013

エラー メッセージ %ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface : real-address / real-port ( mapped-address/mapped-port ) [( idfw_user )] to interface : real-address / real-port ( mapped-address/mapped-port ) [( idfw_user )] [( user )]

説明 2 つのホスト間に TCP 接続スロットが作成されました。

connection_id :一意の識別子

interface real-address real-port :実際のソケット

mapped-address、mapped-port :マッピングされたソケット

user :ユーザの AAA の名前

idfw_user :アイデンティティ ファイアウォールのユーザ名

inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、FTP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。

推奨処置 不要です。

302014

エラー メッセージ %ASA-6-302014: Teardown TCP connection id for interface : real-address / real-port [( idfw_user )] to interface : real-address / real-port [( idfw_user )] duration hh:mm:ss bytes bytes [ reason ] [( user )]

説明 2 つのホスト間の TCP 接続が削除されました。メッセージの値は次のとおりです。

id :一意の識別子

interface、real-address、real-port :実際のソケット

duration :接続のライフタイム

bytes 接続中のデータ転送量

user :ユーザの AAA の名前

idfw_user :アイデンティティ ファイアウォールのユーザ名

reason :接続終了の原因となったアクション。 reason 変数には、 表 1-3 に示されている TCP 終了の原因の 1 つが設定されています。

表 1-3 TCP 終了の原因

原因
説明

Conn-timeout

非アクティビティ タイマーの期限切れのため、フローが終了したときに接続が終了しました。

Deny Terminate

フローは、アプリケーション インスペクションによって終了されました。

Failover primary closed

アクティブ装置から受信したメッセージが原因で、フェールオーバー ペアのスタンバイ装置が接続を削除しました。

FIN Timeout

最終 ACK を 10 分間待機した後、またはハーフクローズ タイムアウト後の強制終了です。

Flow closed by inspection

フローは、検査機能によって終了されました。

Flow terminated by IPS

フローは、IPS によって終了されました。

Flow reset by IPS

フローは、IPS によってリセットされました。

Flow terminated by TCP Intercept

フローは、TCP 代行受信によって終了されました。

Flow timed out

フローがタイムアウトしました。

Flow timed out with reset

フローがタイムアウトしましたが、リセットされました。

Flow is a loopback

フローはループバックです。

Free the flow created as result of packet injection

Packet Tracer 機能によって ASA を介してシミュレート パケットが送信されたため、接続が確立されました。

Invalid SYN

SYN パケットが無効でした。

Idle Timeout

タイム アウト値よりも長時間アイドルであったため接続がタイム アウトしました。

IPS fail-close

フローは、IPS カードのダウンのため終了されました。

No valid adjacency

ASAが隣接情報を取得しようとしましたが、ネクスト ホップの MAC アドレスを取得できなかった場合、このカウンタが増分します。パケットはドロップされます。

Pinhole Timeout

ASA がセカンダリ フローを開始しましたが、タイムアウト間隔内にこのフローにパケットが渡されなかったためにフローが削除されたことを報告するため、このカウンタが増分します。セカンダリ フローの例としては、FTP コントロール チャネル上でネゴシエーションの成功後に作成される FTP データ チャネルがあります。

Route change

ASA が低コスト(より良いメトリック)ルートを追加した場合、着信パケットが新しいルートに一致すると、ユーザ設定のタイムアウト値(floating-conn)後に既存の接続が切断されます。後続のパケットは、良好なメトリックを持つインターフェイスから接続を再構築します。コストが小さいルートの追加がアクティブ フローに影響を与えることを防ぐため、floating-conn 設定タイムアウト値を 0:0:0 に設定できます。

SYN Control

バック チャネル開始が誤った側から発生しました。

SYN Timeout

3 ウェイ ハンドシェイクの完了を 30 秒間待機した後の強制終了です。

TCP bad retransmission

不良 TCP 再送が原因で接続は終了しました。

TCP FINs

正常なクローズダウン シーケンスが発生しました。理由の後に IP アドレスが続きます。

TCP Invalid SYN

無効な TCP SYN パケットです。

TCP Reset - APPLIANCE

フローは、ASA によって TCP リセットが生成された場合に終了します。

TCP Reset - I

内部からリセットされました。

TCP Reset - O

外部からリセットされました。

TCP segment partial overlap

部分的に重複するセグメントが検出されました。

TCP unexpected window size variation

TCP ウィンドウ サイズに変動があるため接続は終了しました。

Tunnel has been torn down

トンネルがダウンしているため、フローは終了しました。

Unauth Deny

許可は、URL フィルタによって拒否されました。

Unknown

不明なエラーが発生しました。

Xlate Clear

コマンド ラインが削除されました。

推奨処置 不要です。

302015

エラー メッセージ %ASA-6-302015: Built {inbound|outbound} UDP connection number for interface_name : real_address / real_port ( mapped_address / mapped_port ) [( idfw_user )] to interface_name : real_address / real_port ( mapped_address / mapped_port )[( idfw_user )] [( user )]

説明 2 つのホスト間に UDP 接続スロットが作成されました。メッセージの値は次のとおりです。

number :一意の識別子

interface、real_address、real_port :実際のソケット

mapped_address、mapped_port :マッピングされたソケット

user :ユーザの AAA の名前

idfw_user :アイデンティティ ファイアウォールのユーザ名

inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、UDP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。

推奨処置 不要です。

302016

エラー メッセージ %ASA-6-302016: Teardown UDP connection number for interface : real-address / real-port [( idfw_user )] to interface : real-address / real-port [( idfw_user )] duration hh : mm : ss bytes bytes [( user )]

説明 2 つのホスト間の UDP 接続スロットが削除されました。メッセージの値は次のとおりです。

number :一意の識別子

interface、real_address、real_port :実際のソケット

time :接続のライフタイム

bytes :接続中のデータ転送量

id :一意の識別子

interface、real-address、real-port :実際のソケット

duration :接続のライフタイム

bytes :接続中のデータ転送量

user :ユーザの AAA の名前

idfw_user :アイデンティティ ファイアウォールのユーザ名

推奨処置 不要です。

302017

エラー メッセージ %ASA-6-302017: Built {inbound|outbound} GRE connection id from interface : real_address ( translated_address ) [( idfw_user )] to interface : real_address / real_cid ( translated_address / translated_cid ) [( idfw_user )] [( user )

説明 2 つのホスト間に GRE 接続スロットが作成されました。 id は、一意の識別子です。 interface、real_address、real_cid タプルは、2 つのシンプレックス PPTP GRE ストリームのうちの 1 つを示します。カッコ付きの translated_address translated_cid タプルは、Network Address Translation(NAT; ネットワーク アドレス変換)で変換された値を示します。

inbound が表示されている場合、接続は着信だけに使用できます。outbound が表示されている場合、接続は発信だけに使用できます。メッセージの値は次のとおりです。

id :接続を識別するための一意の番号

inbound :制御接続は着信 PPTP GRE フロー用

outbound :制御接続は発信 PPTP GRE フロー用

interface_name :インターフェイス名

real_address :実際のホストの IP アドレス

real_cid :接続の変換前のコール ID

translated_address :変換後の IP アドレス

translated_cid :変換後のコール

user :AAA ユーザ名

idfw_user :アイデンティティ ファイアウォールのユーザ名

推奨処置 不要です。

302018

エラー メッセージ %ASA-6-302018: Teardown GRE connection id from interface : real_address ( translated_address ) [( idfw_user )] to interface : real_address / real_cid ( translated_address / translated_cid ) [( idfw_user )] duration hh : mm : ss bytes bytes [( user )]

説明 2 つのホスト間の GRE 接続スロットが削除されました。 interface、real_address、real_port タプルは、実際のソケットを示します。 Duration は、接続のライフタイムを示します。メッセージの値は次のとおりです。

id :接続を識別するための一意の番号

interface :インターフェイス名

real_address :実際のホストの IP アドレス

real_port :実際のホストのポート番号

hh:mm:ss :時:分:秒の形式の時間

bytes :GRE セッションで転送された PPP バイトの数

reason :接続が終了された原因

user :AAA ユーザ名

idfw_user :アイデンティティ ファイアウォールのユーザ名

推奨処置 不要です。

302019

エラー メッセージ %ASA-3-302019: H.323 library_name ASN Library failed to initialize, error code number

説明 指摘された ASN ライブラリ(ASAが H.323 メッセージのデコードに使用するライブラリ)の初期化に失敗しました。ASAは到着する H.323 パケットのデコードも検査もできません。ASAは、何も修正を加えずに H.323 パケットが通過できるようにします。次の H.323 メッセージが到着すると、ASA はライブラリを再度初期化しようとします。

推奨処置 このメッセージが特定のライブラリに対して始終生成される場合は、Cisco TAC にお問い合わせのうえ、すべてのログ メッセージ(タイムスタンプ付きが望ましい)を送付してください。

302020

エラー メッセージ %ASA-6-302020: Built {in | out}bound ICMP connection for faddr { faddr | icmp_seq_num } [( idfw_user )] gaddr { gaddr | cmp_type } laddr laddr [( idfw_user )]

説明 inspect icmp コマンドを使用してステートフル ICMP をイネーブルにしたときに、ICMP セッションがファースト パスで確立されました。

推奨処置 不要です。

302021

エラー メッセージ %ASA-6-302021: Teardown ICMP connection for faddr { faddr | icmp_seq_num } [( idfw_user )] gaddr { gaddr | cmp_type } laddr laddr [( idfw_user )]

説明 inspect icmp コマンドを使用してステートフル ICMP をイネーブルにすると、ICMP セッションがファースト パスで削除されます。

推奨処置 不要です。

302033

エラー メッセージ %ASA-6-302033:Pre-allocated H323 GUP Connection for faddr interface : foreign address / foreign-port to laddr interface : local-address / local-port

説明 GUP 接続は外部アドレスからローカル アドレスに開始されました。外部ポートは、セキュリティ デバイスの外部からの接続にしか表示されません。ローカル ポート値(内部ポート)は、内部インターフェイスで開始された接続にしか表示されません。

interface :インターフェイス名

foreign-address :外部ホストの IP アドレス

foreign-port :外部ホストのポート番号

local-address :ローカル ホストの IP アドレス

local-port :ローカル ホストのポート番号

推奨処置 不要です。

302034

エラー メッセージ %ASA-4-302034: Unable to pre-allocate H323 GUP Connection for faddr interface : foreign address / foreign-port to laddr interface : local-address / local-port

説明 モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

interface :インターフェイス名

foreign-address :外部ホストの IP アドレス

foreign-port :外部ホストのポート番号

local-address :ローカル ホストの IP アドレス

local-port :ローカル ホストのポート番号

推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。または、変換と接続のタイムアウト間隔を短くします。このメッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。

302302

エラー メッセージ %ASA-3-302302: ACL = deny; no sa created

説明 IPSec プロキシのミスマッチが発生しました。ネゴシエートした SA のプロキシ ホストは、deny access-list コマンド ポリシーに対応します。

推奨処置 コンフィギュレーションの access-list コマンド文を確認します。ピアの管理者にお問い合わせください。

302303

エラー メッセージ %ASA-6-302303: Built TCP state-bypass connection conn_id from initiator_interface : real_ip / real_port ( mapped_ip / mapped_port ) to responder_interface : real_ip / real_port ( mapped_ip / mapped_port )

説明 新しい TCP 接続が作成されました。この接続は、TCP 状態バイパス接続です。このタイプの接続では、すべての TCP 状態チェックと追加のセキュリティ チェックおよび検査がバイパスされます。

推奨処置 標準的なすべての TCP 状態チェックと他のすべてのセキュリティ チェックおよび検査によって TCP トラフィックを保護する必要がある場合は、 no set connection advanced-options tcp-state-bypass コマンドを使用して、TCP トラフィックに対してこの機能をディセーブルにできます。

302304

エラー メッセージ %ASA-6-302304: Teardown TCP state-bypass connection conn_id from initiator_interface :ip/port to responder_interface :ip/port duration , bytes , teardown reason .

説明 新しい TCP 接続が切断されました。この接続は、TCP 状態バイパス接続です。このタイプの接続では、すべての TCP 状態チェックと追加のセキュリティ チェックおよび検査がバイパスされます。

duration :TCP 接続の期間

bytes :TCP 接続で転送された合計バイト数

teardown reason :TCP 接続の切断原因

推奨処置 標準的なすべての TCP 状態チェックと他のすべてのセキュリティ チェックおよび検査によって TCP トラフィックを保護する必要がある場合は、 no set connection advanced-options tcp-state-bypass コマンドを使用して、TCP トラフィックに対してこの機能をディセーブルにできます。

303002

エラー メッセージ %ASA-6-303002: FTP connection from src_ifc : src_ip / src_port to dst_ifc : dst_ip / dst_port , user username action file filename

説明 クライアントは、FTP サーバとの間でファイルをアップロードまたはダウンロードしました。

src_ifc :クライアントが存在するインターフェイス。

src_ip :クライアントの IP アドレス。

src_port :クライアント ポート。

dst_ifc :サーバが存在するインターフェイス。

dst_ip :FTP サーバの IP アドレス。

dst_port :サーバ ポート。

username :FTP ユーザ名。

action :保存または取得されたアクション。

filename :保存または取得したファイル。

推奨処置 不要です。

303004

エラー メッセージ %ASA-5-303004: FTP cmd_string command unsupported - failed strict inspection, terminating connection from source_interface : source_address / source_port to dest_interface : dest_address/dest_interface

説明 FTP トラフィックの厳密な FTP 検査が使用される、FTP 要求メッセージに、デバイスに認識されないコマンドが含まれています。

推奨処置 不要です。

303005

エラー メッセージ %ASA-5-303005: Strict FTP inspection matched match_string in policy-map policy-name , action_string from src_ifc : sip / sport to dest_ifc : dip / dport

説明 FTP 検査で、設定済みの値(ファイル名、ファイル タイプ、要求コマンド、サーバ、ユーザ名)のいずれかと一致した場合、このメッセージの action_string で指定されたアクションが実行されます。

match_string :ポリシー マップ内の match 節

policy-name :一致したポリシー マップ

action_string :実行するアクション(たとえば、Reset Connection)

src_ifc :送信元インターフェイス名

sip :送信元 IP アドレス

sport :送信元ポート

dest_ifc :宛先インターフェイス名

dip :宛先 IP アドレス

dport :宛先ポート

推奨処置 不要です。

304001

エラー メッセージ %ASA-5-304001: user@source_address [( idfw_user )] Accessed URL dest_address : url .

説明 指摘されたホストが指摘された URL にアクセスしようとしました。

推奨処置 不要です。

304002

エラー メッセージ %ASA-5-304002: Access denied URL chars SRC IP_address [( idfw_user )] DEST IP_address : chars

説明 送信元アドレスから指摘された URL または FTP サイトへのアクセスが拒否されました。

推奨処置 不要です。

304003

エラー メッセージ %ASA-3-304003: URL Server IP_address timed out URL url

説明 URL サーバがタイムアウトになっています。

推奨処置 不要です。

304004

エラー メッセージ %ASA-6-304004: URL Server IP_address request failed URL url

説明 Websense サーバ要求が失敗しました。

推奨処置 不要です。

304005

エラー メッセージ %ASA-7-304005: URL Server IP_address request pending URL url

説明 Websense サーバ要求が保留中です。

推奨処置 不要です。

304006

エラー メッセージ %ASA-3-304006: URL Server IP_address not responding

説明 Websense サーバはアクセスに使用できません。ASAは、Websense サーバがインストールされている唯一のサーバである場合は同サーバに、または複数のサーバがある場合は別のサーバに、アクセスしようとします。

推奨処置 不要です。

304007

エラー メッセージ %ASA-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.

説明 filter コマンドの allow オプションを使用し、Websense サーバが応答していません。ASAは、サーバが使用できない間すべての Web 要求がフィルタリングせずに継続できるようにします。

推奨処置 不要です。

304008

エラー メッセージ %ASA-2-304008: LEAVING ALLOW mode, URL Server is up.

説明 filter コマンドの allow オプションを使用し、ASA が、以前は応答しなかった Websense サーバから応答メッセージを受け取りました。この応答メッセージによりASAは allow モードを終了します。これで URL フィルタリング機能が再びイネーブルになります。

推奨処置 不要です。

304009

エラー メッセージ %ASA-7-304009: Ran out of buffer blocks specified by url-block command

説明 URL 保留バッファ ブロックが領域を使い切りました。

推奨処置 url-block block block_size コマンドを入力して、バッファ ブロック サイズを変更します

305005

エラー メッセージ %ASA-3-305005: No translation group found for protocol src interface_name : source_address / source_port [( idfw_user )] dst interface_name : dest_address / dest_port [( idfw_user )]

説明 パケットがどの発信 nat コマンド規則とも一致しません。指摘された送信元システムおよび宛先システムに NAT が設定されていない場合、メッセージは頻繁に生成されます。

推奨処置 このメッセージはコンフィギュレーション エラーを示します。送信元ホストにダイナミック NAT が望ましい場合は、 nat コマンドが送信元 IP アドレスと一致することを確認します。送信元ホストにスタティック NAT が望ましい場合は、 static コマンドのローカル IP アドレスが一致することを確認します。送信元ホストに NAT が望ましくない場合は、NAT 0 ACL にバインドされている ACL を確認します。

305006

エラー メッセージ %ASA-3-305006: {outbound static|identity|portmap|regular) translation creation failed for protocol src interface_name : source_address / source_port [( idfw_user )] dst interface_name : dest_address / dest_port [( idfw_user )]

説明 プロトコル(UDP、TCP、または ICMP)が ASA 経由で変換を作成できませんでした。ASA は、ネットワーク アドレスまたはブロードキャスト アドレス宛てのパケットの通過を許可していません。ASA は、static コマンドで明示的に識別されるアドレスに対してこのチェックを行います。着信トラフィックの場合、ASA はネットワーク アドレスまたはブロードキャスト アドレスと識別された IP アドレスの変換を拒否します。

ASA は、すべての ICMP メッセージ タイプに PAT を適用するのではなく、ICMP エコーとエコー応答パケット(タイプ 8 と 0)に限り PAT を適用します。特に、ICMP エコーまたはエコー応答パケットだけが、PAT 変換を作成します。そのため、他の ICMP メッセージ タイプが廃棄されるとき、このメッセージが生成されます。

ASA は、設定済み static コマンドのグローバル IP アドレスとマスクを使用して、標準 IP アドレスを、ネットワーク IP アドレスまたはブロードキャスト IP アドレスと区別します。グローバル IP アドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、ASA は着信パケットのネットワーク IP アドレスまたはブロードキャスト IP アドレスに対して変換を作成しません。

例を示します。

static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128
 

ASA は、ネットワーク アドレスとしてグローバル アドレス 10.2.2.128 に応答し、ブロードキャスト アドレスとして 10.2.2.255 に応答します。既存の変換がない場合、ASA は、10.2.2.128 または 10.2.2.255 宛ての着信パケットを拒否して、このメッセージに記録します。

疑わしい IP アドレスがホスト IP アドレスである場合、サブネット static コマンドの直前にホスト マスクを持つ別の static コマンドを設定します(static コマンドに対する最初の一致規則)。その後の static コマンドでは、ASA がホスト アドレスとして 10.2.2.128 に応答します。

static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128
 

変換は、疑わしい IP アドレスを持つ内部ホストから開始されるトラフィックによって作成される可能性があります。ASA はネットワーク IP アドレスまたはブロードキャスト IP アドレスを重複したサブネット スタティック コンフィギュレーションを持つホスト IP と見なすので、両方の static コマンドのネットワーク アドレス変換は同じである必要があります。

推奨処置 不要です。

305007

エラー メッセージ %ASA-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number

説明 ASA が、自分のグローバル プールで見つけられないアドレスを変換しようとしました。ASA は、アドレスが削除されているとして、要求を廃棄します。

推奨処置 不要です。

305008

エラー メッセージ %ASA-3-305008: Free unallocated global IP address.

説明 ASA カーネルは、割り当てられていないグローバル IP アドレスを解放してアドレス プールに戻そうとしたときに、不整合状態を検出しました。この異常状態は、ASA がステートフル フェールオーバー セットアップを実行中で、一部の内部状態がアクティブ装置とスタンバイ装置との間で瞬間的に同期していない場合に発生する可能性があります。この状態は破局的なものではなく、同期は自動的に回復します。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

305009

エラー メッセージ %ASA-6-305009: Built {dynamic|static} translation from interface_name [(acl-name)]:real_address [( idfw_user )] to interface_name : mapped_address

説明 アドレス変換スロットが作成されました。スロットは、送信元アドレスをローカル側からグローバル側に変換します。また、逆方向では、宛先アドレスをグローバル側からローカル側に変換します。

推奨処置 不要です。

305010

エラー メッセージ %ASA-6-305010: Teardown {dynamic|static} translation from interface_name : real_address [( idfw_user )] to interface_name : mapped_address duration time

説明 アドレス変換スロットが削除されました。

推奨処置 不要です。

305011

エラー メッセージ %ASA-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name : real_address / real_port [( idfw_user )] to interface_name : mapped_address / mapped_port

説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側に送信元ソケットを変換します。逆に、スロットは、グローバル側からローカル側に宛先ソケットを変換します。

推奨処置 不要です。

305012

エラー メッセージ %ASA-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name [( acl-name )]: real_address /{ real_port | real_ICMP_ID } [( idfw_user )] to interface_name : mapped_address /{ mapped_port | mapped_ICMP_ID } duration time

説明 アドレス変換スロットが削除されました。

推奨処置 不要です。

305013

エラー メッセージ %ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name : source_address / source_port [( idfw_user )] dst interface_name : dst_address / dst_port [( idfw_user )] denied due to NAT reverse path failure.

説明 実際のアドレスを使用して、マップされたホストへの接続を試みましたが、拒否されました。

推奨処置 NAT を使用するホストと同じインターフェイス上にないホストに接続する場合は、実際のアドレスではなく、マップされたアドレスを使用します。また、アプリケーションに IP アドレスが埋め込まれている場合は、 inspect コマンドをイネーブルにします。

308001

エラー メッセージ %ASA-6-308001: console enable password incorrect for number tries (from IP_address )

説明 これは ASA 管理メッセージです。このメッセージは、特権モードに入るためにユーザがパスワードを指摘された回数だけ誤って入力した後に表示されます。最大試行回数は 3 回です。

推奨処置 パスワードを確認し、再度試行します。

308002

エラー メッセージ %ASA-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address

説明 1 つまたは複数の static コマンド文の IP アドレスが重複しています。 global_address は低セキュリティ レベルのインターフェイス上のアドレスであるグローバル アドレスであり、 inside_address は高セキュリティ レベルのインターフェイス上のアドレスであるローカル アドレスです。

推奨処置 show static コマンドを使用してコンフィギュレーションの static コマンド文を表示し、重複しているコマンドを修正します。最も一般的な重複は、10.1.1.0 などのネットワーク アドレスを指定して、別の static コマンドで 10.1.1.5 などその範囲内にあるホストを指定する場合に発生します。

311001

エラー メッセージ %ASA-6-311001: LU loading standby start

説明 スタンバイ ASA が最初にオンラインになるときに、ステートフル フェールオーバー アップデート情報がスタンバイ ASA に送信されました。

推奨処置 不要です。

311002

エラー メッセージ %ASA-6-311002: LU loading standby end

説明 ステートフル フェールオーバー アップデート情報が、スタンバイ ASA への送信を停止しました。

推奨処置 不要です。

311003

エラー メッセージ %ASA-6-311003: LU recv thread up

説明 アップデート肯定応答がスタンバイ ASA から受信されました。

推奨処置 不要です。

311004

エラー メッセージ %ASA-6-311004: LU xmit thread up

説明 ステートフル フェールオーバー アップデート情報が、スタンバイ ASA に送信されました。

推奨処置 不要です。

312001

エラー メッセージ %ASA-6-312001: RIP hdr failed from IP_address : cmd= string , version= number domain= string on interface interface_name

説明 ASA が応答以外のオペレーション コードを持つ RIP メッセージを受信し、メッセージはこのインターフェイスで予想されるバージョン番号とは異なる番号を持ち、ルーティング ドメインのエントリは非ゼロでした。別の RIP デバイスは ASA と通信するように正しく設定されていない可能性があります。

推奨処置 不要です。

313001

エラー メッセージ %ASA-3-313001: Denied ICMP type= number , code= code from IP_address on interface interface_name

説明 icmp コマンドをアクセス リストとともに使用している場合、最初に一致したエントリが許可エントリであれば、ICMP パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、ASA は ICMP パケットを廃棄し、このメッセージを生成します。 icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping の実行がディセーブルの場合、ASA はネットワーク上で検出できません。この機能は、設定可能なプロキシ ping とも呼ばれます。

推奨処置 ピア デバイスの管理者にお問い合わせください。

313004

エラー メッセージ %ASA-4-313004:Denied ICMP type= icmp_type , from source_address on interface interface_name to dest_address :no matching session

説明 ステートフル ICMP 機能で追加されたセキュリティ チェックのため、ICMP パケットが ASA によって廃棄されました。通常、これに該当するのは、すでに ASA を通過した有効なエコー要求を含まない ICMP エコー応答、またはすでに ASA で確立されている TCP、UDP、または ICMP セッションに関連しない ICMP エラー メッセージのいずれかです。

推奨処置 不要です。

313005

エラー メッセージ %ASA-4-313005: No matching connection for ICMP error message: icmp_msg_info on interface_name interface. Original IP payload: embedded_frame_info icmp_msg_info = icmp src src_interface_name : src_address [([ idfw_user | FQDN_string ], sg_info )] dst dest_interface_name : dest_address [([ idfw_user | FQDN_string ], sg_info )] (type icmp_type, code icmp_code ) embedded_frame_info = prot src source_address / source_port [([ idfw_user | FQDN_string ], sg_info )] dst dest_address / dest_port [( idfw_user | FQDN_string ), sg_info ]

説明 ICMP エラー メッセージが ASA ですでに確立されているどのセッションとも関連しないため、ICMP エラー パケットが ASA によって廃棄されました。

推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

313008

エラー メッセージ %ASA-3-313008: Denied ICMPv6 type= number , code= code from IP_address on interface interface_name

説明 icmp コマンドをアクセス リストとともに使用している場合、最初に一致したエントリが許可エントリであれば、ICMPv6 パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、ASA は ICMPv6 パケットを廃棄し、このメッセージを生成します。

icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping をディセーブルにすると、ASA がネットワーク上で検出できなくなります。この機能は、「設定可能なプロキシ ping」とも呼ばれます。

推奨処置 ピア デバイスの管理者にお問い合わせください。

313009

エラー メッセージ %ASA-4-313009: Denied invalid ICMP code icmp-code , for src-ifc : src-address / src-port (mapped-src-address/mapped-src-port) to dest-ifc : dest-address / dest-port (mapped-dest-address/mapped-dest-port) [ user ], ICMP id icmp-id , ICMP type icmp-type

説明 コードが不正な(ゼロ以外)ICMP エコー要求または応答パケットを受信しました。

推奨処置 断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

314001

エラー メッセージ %ASA-6-314001: Pre-allocated RTSP UDP backconnection for src_intf : src_IP to dst_intf : dst_IP / dst_port.

説明 ASA が、サーバからデータを受信していた RTSP クライアントに対して UDP メディア チャネルを開きました。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

dst_intf :宛先インターフェイス名

dst_IP :宛先 IP アドレス

dst_port :宛先ポート

推奨処置 不要です。

314002

エラー メッセージ %ASA-6-314002: RTSP failed to allocate UDP media connection from src_intf : src_IP to dst_intf : dst_IP / dst_port : reason_string.

説明 ASA がメディア チャネルに対して新しいピンホールを開くことができません。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

dst_intf :宛先インターフェイス名

dst_IP :宛先 IP アドレス

dst_port :宛先ポート

reason_string :「Pinhole already exists」または「Unknown」

推奨処置 原因が不明な場合は、ASA のメモリが不足しているため、 show memory コマンドを実行して利用可能な空きメモリを確認するか、または show conn コマンドを実行して使用されている接続数を確認します。

314003

エラー メッセージ %ASA-6-314003: Dropped RTSP traffic from src_intf : src_ip due to: reason .

説明 RTSP メッセージに予約ポート範囲内のポートが含まれているか、または最大許容制限を超える長さの URL が含まれているため、RTSP メッセージがユーザ設定の RTSP セキュリティ ポリシーに違反しました。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

reason :原因。次のいずれかの可能性があります。

- エンドポイントが予約ポート範囲 0 ~ 1024 のメディア ポートをネゴシエートしています。

- URL の長さ( url length バイト)が最大長( url length limit バイト)を超えています。

推奨処置 RTSP クライアントがセキュリティ ポリシーに違反するメッセージを送信する原因を調査します。要求された URL が正当である場合は、RTSP ポリシー マップで、より長い URL 長制限を指定して、ポリシーを緩和できます。

314004

エラー メッセージ %ASA-6-314004: RTSP client src_intf:src_IP accessed RTSP URL RTSP URL

説明 RTSP クライアントが RTSP サーバにアクセスしようとしました。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

RTSP URL :RTSP サーバの URL

推奨処置 不要です。

314005

エラー メッセージ %ASA-6-314005: RTSP client src_intf:src_IP denied access to URL RTSP_URL.

説明 RTSP クライアントが禁止サイトにアクセスしようとしました。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

RTSP_URL :RTSP サーバの URL

推奨処置 不要です。

314006

エラー メッセージ %ASA-6-314006: RTSP client src_intf:src_IP exceeds configured rate limit of rate for request_method messages.

説明 特定の RTSP 要求メッセージが、RTSP ポリシーの設定済みレート制限を超えました。

src_intf :送信元インターフェイス名

src_IP :送信元インターフェイス IP アドレス

rate :設定済みレート制限

request_method :要求メッセージのタイプ

推奨処置 クライアントからの特定の RTSP 要求メッセージがレート制限を超えた原因を調査します。

315004

エラー メッセージ %ASA-3-315004: Fail to establish SSH session because RSA host key retrieval failed.

説明 ASA が、SSH セッションの確立に必要な RSA ホスト キーを見つけられません。ホスト キーが生成されていなかったため、またはこの ASA のライセンスが DES または 3DES 暗号化を許可しないために、ASA ホスト キーがない可能性があります。

推奨処置 ASA コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、 show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開します。RSA ホスト キーを生成するには、 crypto key mypubkey rsa コマンドを入力します。

315011

エラー メッセージ %ASA-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason

説明 SSH セッションが終了しました。ユーザが quit または exit を入力すると、 terminated normally メッセージが表示されます。別の原因でセッションが切断された場合は、テキストで原因が説明されます。 表 1-4 に、考えられるセッション切断の原因を示します。

 

表 1-4 SSH 切断の原因

テキスト文字列
説明
アクション

Bad checkbytes

SSH キー交換中にチェック バイトにミスマッチが検出されました。

SSH セッションを再開します。

CRC check failed

特定のパケットに対して計算された CRC 値が、パケットに埋め込まれている CRC 値と一致しません。パケットが不良です。

不要です。このメッセージが引き続き表示される場合は、Cisco TAC にお問い合わせください。

Decryption failure

SSH キーの交換中に SSH セッション キーの解読が失敗しました。

RSA ホスト キーを確認し、再度試行します。

Format error

非プロトコル バージョンのメッセージが、SSH バージョン交換中に受信されました。

SSH クライアントをチェックし、サポート対象のバージョンであることを確認します。

Internal error

このメッセージは、ASA 上の SSH の内部エラー、あるいは RSA キーが ASA に入力されていないか、または取得できないことを示します。

ASA コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、 show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開します。RSA ホスト キーを生成するには、 crypto key mypubkey rsa コマンドを入力します。

Invalid cipher type

SSH クライアントがサポートされていない暗号を要求しました。

show version コマンドを入力し、ライセンスがサポートしている機能を確認してから、サポートされている暗号を使用するように SSH クライアントを再設定します。

Invalid message length

ASA に到着する SSH メッセージの長さが 262,144 バイトを超えているか、または 4,096 バイト未満です。データが破損している可能性があります。

不要です。

Invalid message type

ASA が非 SSH メッセージを受信したか、あるいはサポートされていない SSH メッセージまたは要求されていない SSH メッセージを受信しました。

ピアが SSH クライアントであるかどうかを確認します。ピアが SSHv1 をサポートしているクライアントであり、このメッセージが引き続き表示される場合は、ASA シリアル コンソールから debug ssh コマンドを入力して、デバッグ メッセージを取り込みます。その後、Cisco TAC にお問い合わせください。

Out of memory

このメッセージは、ASA が SSH サーバが使用するメモリを割り当てられず、おそらくはトラフィックが多いためにASA がビジーになっている場合に表示されます。

後で SSH セッションを再開します。

Rejected by server

ユーザの認証に失敗しました。

ユーザ名とパスワードを確認するようユーザに求めます。

Reset by client

SSH クライアントが SSH_MSG_DISCONNECT メッセージを ASA に送信しました。

不要です。

status code: hex ( hex )

ユーザが、SSH コンソールで quit または exit を入力せずに、SSH クライアント ウィンドウ(Windows で実行中)を閉じました。

不要です。クライアントをただ終了するのではなく、正常に終了するようユーザに推奨します。

Terminated by operator

SSH セッションが、ASA コンソールで ssh disconnect コマンドの入力により終了されました。

不要です。

Time-out activated

SSH セッションが、ssh timeout コマンドで指定された継続時間を超えたため、タイムアウトしました。

SSH 接続を再開します。ssh timeout コマンドを使用して、5 分のデフォルト値を必要に応じて最大 60 分まで延長することができます。

推奨処置 不要です。

316001

エラー メッセージ %ASA-3-316001: Denied new tunnel to IP_address . VPN peer limit ( platform_vpn_peer_limit) exceeded

説明 プラットフォーム VPN ピアの上限でサポートされているよりも多くの VPN トンネル(ISAKMP/IPSec)を同時に確立しようとした場合、過剰なトンネルは打ち切られます。

推奨処置 不要です。

316002

エラー メッセージ %ASA-3-316002: VPN Handle error: protocol= protocol , src in_if_num : src_addr , dst out_if_num : dst_addr

説明 VPN ハンドルがすでに存在するため、ASA は VPN ハンドルを作成できません。

protocol :VPN フローのプロトコル

in_if_num :VPN フローの入力インターフェイス番号

src_addr :VPN フローの送信元 IP アドレス

out_if_num :VPN フローの出力インターフェイス番号

dst_addr :VPN フローの宛先 IP アドレス

推奨処置 このメッセージは、正常動作中に発生することもあります。ただし、メッセージが繰り返し表示され、VPN ベースのアプリケーションに深刻な誤動作が発生する場合は、ソフトウェア障害が原因となっている可能性があります。次のコマンドを入力して詳細な情報を収集し、Cisco TAC に問題の調査を依頼してください。

capture name type asp-drop vpn-handle-error
show asp table classify crypto detail
show asp table vpn-context
 

317001

エラー メッセージ %ASA-3-317001: No memory available for limit_slow

説明 要求された動作がメモリ不足状態が原因で失敗しました。

推奨処置 他のシステム アクティビティを減らしてメモリの使用を軽減します。状況に応じて、より大容量のメモリ構成にアップグレードしてください。

317002

エラー メッセージ %ASA-3-317002: Bad path index of number for IP_address , number max

説明 ソフトウェア エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

317003

エラー メッセージ %ASA-3-317003: IP routing table creation failure - reason

説明 内部ソフトウェア エラーが発生したため、新しい IP ルーティング テーブルの作成が妨げられました。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

317004

エラー メッセージ %ASA-3-317004: IP routing table limit warning

説明 名前付き IP ルーティング テーブル内のルート数が、設定された警告制限に到達しました。

推奨処置 テーブルのルート数を減らすか、制限を設定し直します。

317005

エラー メッセージ %ASA-3-317005: IP routing table limit exceeded - reason , IP_address netmask

説明 追加のルートはテーブルに加えられます。

推奨処置 テーブルのルート数を減らすか、制限を設定し直します。

317006

エラー メッセージ %ASA-3-317006: Pdb index error pdb , pdb_index , pdb_type

説明 PDB に対するインデックスが範囲外です。

pdb :Protocol Descriptor Block(PDB インデックス エラーの記述子)

pdb_index :PDB インデックス識別子

pdb_type :PDB インデックス エラーのタイプ

推奨処置 問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco TAC にお問い合わせのうえ、TAC の担当者に収集した情報をご提供ください。

317007

エラー メッセージ %ASA-6-317007: Added route_type route dest_address netmask via gateway_address [ distance / metric ] on interface_name route_type

説明 新しいルートがルーティング テーブルに追加されました。

ルーティング プロトコルのタイプ:

C:接続、S:スタティック、I:IGRP、R:RIP、M:モバイル

B:BGP、D:EIGRP、EX:EIGRP 外部、O:OSPF

IA:OSPF 内部エリア、N1:OSPF NSSA 外部タイプ 1

N2:OSPF NSSA 外部タイプ 2、E1:OSPF 外部タイプ 1

E2:OSPF 外部タイプ 2、E:EGP、i:IS-IS、L1:IS-IS レベル 1

L2:IS-IS レベル 2、ia:IS-IS 内部エリア

dest_address :このルートの宛先ネットワーク

netmask :宛先ネットワークのネットマスク

gateway_address :宛先ネットワークが到達のために使用するゲートウェイのアドレス

distance :このルートのアドミニストレーティブ ディスタンス

metric :このルートのメトリック

interface_name :トラフィックがルーティングされるネットワーク インターフェイス名

推奨処置 対処は不要です。

317008

エラー メッセージ %ASA-6-317007: Deleted route_type route dest_address netmask via gateway_address [ distance / metric ] on interface_name route_type

説明 新しいルートがルーティング テーブルから削除されました。

ルーティング プロトコルのタイプ:

C:接続、S:スタティック、I:IGRP、R:RIP、M:モバイル

B:BGP、D:EIGRP、EX:EIGRP 外部、O:OSPF

IA:OSPF 内部エリア、N1:OSPF NSSA 外部タイプ 1

N2:OSPF NSSA 外部タイプ 2、E1:OSPF 外部タイプ 1

E2:OSPF 外部タイプ 2、E:EGP、i:IS-IS、L1:IS-IS レベル 1

L2:IS-IS レベル 2、ia:IS-IS 内部エリア

dest_address :このルートの宛先ネットワーク

netmask :宛先ネットワークのネットマスク

gateway_address :宛先ネットワークが到達のために使用するゲートウェイのアドレス

distance :このルートのアドミニストレーティブ ディスタンス

metric :このルートのメトリック

interface_name :トラフィックがルーティングされるネットワーク インターフェイス名

推奨処置 対処は不要です。

318001

エラー メッセージ %ASA-3-318001: Internal error: reason

説明 内部ソフトウェア エラーが発生しました。このメッセージは 5 秒ごとに表示されます。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318002

エラー メッセージ %ASA-3-318002: Flagged as being an ABR without a backbone area

説明 ルータには、ルータで設定されたバックボーン エリアのないエリア境界ルータとしてフラグが付いています。このメッセージは 5 秒ごとに表示されます。

推奨処置 OSPF プロセスを再起動します。

318003

エラー メッセージ %ASA-3-318003: Reached unknown state in neighbor state machine

説明 内部ソフトウェア エラーが発生しました。このメッセージは 5 秒ごとに表示されます。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318004

エラー メッセージ %ASA-3-318004: area string lsid IP_address mask netmask adv IP_address type number

説明 OSPF プロセスで リンクステート アドバタイズメントの検出に問題が生じました。これはメモリ リークにつながる可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

318005

エラー メッセージ %ASA-3-318005: lsid ip_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number

説明 OSPF で、そのデータベースと IP ルーティング テーブルとの間に不整合が検出されました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

318006

エラー メッセージ %ASA-3-318006: if interface_name if_state number

説明 内部エラーが発生しました。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318007

エラー メッセージ %ASA-3-318007: OSPF is enabled on interface_name during idb initialization

説明 内部エラーが発生しました。

推奨処置 エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

318008

エラー メッセージ %ASA-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id

説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。このアクションによってすべての仮想リンクが停止させられます。

推奨処置 すべての隣接仮想リンクの仮想リンク コンフィギュレーションを、新しいルータ ID を反映するように変更します。

318009

エラー メッセージ %ASA-3-318009: OSPF: Attempted reference of stale data encountered in function , line: line_num

説明 OSPF が動作中で、他の場所で削除された一部の関連データ構造を参照しようとしました。インターフェイスおよびルータのコンフィギュレーションを消去すると、問題が解決する可能性があります。しかし、このメッセージが表示される場合は、シーケンスの一部のステップによってデータ構造の早期削除が生じているので、調査する必要があります。

function :予期しないイベントを受信した機能

line_num :コード中の行番号

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

318101

エラー メッセージ %ASA-3-318101: Internal error: REASON

説明 内部ソフトウェア エラーが発生しました。

REASON :イベントの詳細な原因

推奨処置 対処は不要です。

318102

エラー メッセージ %ASA-3-318102: Flagged as being an ABR without a backbone area

説明 ルータ内のバックボーン領域なしに、ルータが Area Border Router(ABR)としてフラグが設定されています。

推奨処置 OSPF プロセスを再起動します。

318103

エラー メッセージ %ASA-3-318103: Reached unknown state in neighbor state machine

説明 内部ソフトウェア エラーが発生しました。

推奨処置 対処は不要です。

318104

エラー メッセージ %ASA-3-318104: DB already exist: area AREA_ID_STR lsid i adv i type 0x x

説明 OSPF で LSA を見つけることができないため、メモリのリークが発生する可能性があります。

AREA_ID_STR :領域を表す文字列

i :整数値

x :整数値の 16 進表記

推奨処置 対処は不要です。

318105

エラー メッセージ %ASA-3-318105: lsid i adv i type 0x x gateway i metric d network i mask i protocol #x attr #x net-metric d

説明 OSPF で、そのデータベースと IP ルーティング テーブルとの間に不整合が検出されました。

i :整数値

x :整数値の 16 進表記

d :数値

推奨処置 対処は不要です。

318106

エラー メッセージ %ASA-3-318106: if IF_NAME if_state d

説明 内部エラーが発生しました。

IF_NAME : 影響を受けるインターフェイスの名前

d :数値

推奨処置 対処は不要です。

318107

エラー メッセージ %ASA-3-318107: OSPF is enabled on IF_NAME during idb initialization

説明 内部エラーが発生しました。

IF_NAME : 影響を受けるインターフェイスの名前

推奨処置 対処は不要です。

318108

エラー メッセージ %ASA-3-318108: OSPF process d is changing router-id. Reconfigure virtual link neighbors with our new router-id

説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。これにより、すべての仮想リンクがダウンします。再び動作させるには、すべての仮想リンク ネイバー上の仮想リンク設定を変更する必要があります。

d :プロセス ID を表す番号

推奨処置 すべての近隣仮想リンクの仮想リンク コンフィギュレーションを、新しいルータ ID を含むように変更します。

318109

エラー メッセージ %ASA-3-318109: OSPFv3 has received an unexpected message: 0 x / 0 x

説明 OSPFv3 が予期しないプロセス間メッセージを受信しました。

x :整数値の 16 進表記

推奨処置 対処は不要です。

318110

エラー メッセージ %ASA-3-318110: Invalid encrypted key s .

説明 指定された暗号キーが無効です。

s :暗号キーを表す文字列

推奨処置 クリア テキストのキーを指定し、 service password-encryption コマンドを入力して暗号化するか、または指定した暗号キーが有効であることを確認します。指定された暗号キーが無効な場合は、システム設定時にエラー メッセージが表示されます。

318111

エラー メッセージ %ASA-3-318111: SPI u is already in use with ospf process d

説明 すでに使用されている SPI を使用しようとしました。

u :SPI を表す番号

d :プロセス ID を表す番号

推奨処置 別の SPI を選択してください。

318112

エラー メッセージ %ASA-3-318112: SPI u is already in use by a process other than ospf process d .

説明 すでに使用されている SPI を使用しようとしました。

u :SPI を表す番号

d :プロセス ID を表す番号

推奨処置 別の SPI を選択してください。すでに使用されている SPI のリストを表示するには、 show crypto ipv6 ipsec sa コマンドを入力します。

318113

エラー メッセージ %ASA-3-318113: s s is already configured with SPI u .

説明 すでに使用されている SPI を使用しようとしました。

s :インターフェイスを表す文字列

u :SPI を表す番号

推奨処置 最初に SPI を設定解除するか、別の SPI を選択します。

318114

エラー メッセージ %ASA-3-318114: The key length used with SPI u is not valid

説明 キーの長さが間違っています。

u :SPI を表す番号

推奨処置 有効な IPsec キーを選択します。IPsec 認証キーは 32 桁(MD5)または 40 桁(SHA-1)の 16 進数値である必要があります。

318115

エラー メッセージ %ASA-3-318115: s error occured when attempting to create an IPsec policy for SPI u

説明 IPsec API(内部)エラーが発生しました。

s :エラーを表す文字列

u :SPI を表す番号

推奨処置 対処は不要です。

318116

エラー メッセージ %ASA-3-318116: SPI u is not being used by ospf process d .

説明 OSPFv3 で使用されていない SPI を設定解除しようとしました。

u :SPI を表す番号

d :プロセス ID を表す番号

推奨処置 OSPFv3 によって使用されている SPI を確認するには、 show コマンドを入力します。

318117

エラー メッセージ %ASA-3-318117: The policy for SPI u could not be removed because it is in use.

説明 表示された SPI のポリシーを削除しようとしましたが、そのポリシーがまだセキュア ソケットにより使用されていました。

u :SPI を表す番号

推奨処置 対処は不要です。

318118

エラー メッセージ %ASA-3-318118: s error occured when attemtping to remove the IPsec policy with SPI u

説明 IPsec API(内部)エラーが発生しました。

s :指定されたエラーを表す文字列

u :SPI を表す番号

推奨処置 対処は不要です。

318119

エラー メッセージ %ASA-3-318119: Unable to close secure socket with SPI u on interface s

説明 IPsec API(内部)エラーが発生しました。

u :SPI を表す番号

s :指定されたインターフェイスを表す文字列

推奨処置 対処は不要です。

318120

エラー メッセージ %ASA-3-318120: OSPFv3 was unable to register with IPsec

説明 内部エラーが発生しました。

推奨処置 対処は不要です。

318121

エラー メッセージ %ASA-3-318121: IPsec reported a GENERAL ERROR: message s , count d

説明 内部エラーが発生しました。

s :指定されたメッセージを表す文字列

d :生成メッセージの総数を表す数値

推奨処置 対処は不要です。

318122

エラー メッセージ %ASA-3-318122: IPsec sent a s message s to OSPFv3 for interface s . Recovery attempt d

説明 内部エラーが発生しました。システムがセキュアなソケットの再オープンと復旧を試みています。

s :指定されたメッセージと指定されたインターフェイスを表す文字列

d :リカバリ試行回数を表す数値

推奨処置 対処は不要です。

318123

エラー メッセージ %ASA-3-318123: IPsec sent a s message s to OSPFv3 for interface IF_NAME . Recovery aborted

説明 内部エラーが発生しました。リカバリの試行の最大数を超えました。

s :指定されたメッセージを表す文字列

IF_NAME :指定されたインターフェイス

推奨処置 対処は不要です。

318125

エラー メッセージ %ASA-3-318125: Init failed for interface IF_NAME

説明 インタフェースの初期化に失敗しました。考えられる原因は、次のとおりです。

インターフェイスの接続先となる領域が削除されています。

リンク スコープのデータベースを作成できませんでした。

ローカル ルータのネイバー データブロックを作成できませんでした。

推奨処置 インターフェイスを初期設定するコンフィギュレーション コマンドを削除して、再試行します。

318126

エラー メッセージ %ASA-3-318126: Interface IF_NAME is attached to more than one area

説明 インターフェイスが、インターフェイスのリンク先以外の領域のインターフェイス リストに含まれています。

IF_NAME :指定されたインターフェイス

推奨処置 対処は不要です。

318127

エラー メッセージ %ASA-3-318127: Could not allocate or find the neighbor

説明 内部エラーが発生しました。

推奨処置 対処は不要です。

319001

エラー メッセージ %ASA-3-319001: Acknowledge for arp update for IP address dest_address not received ( number ).

説明 ASA 内の ARP プロセスが、ASA のオーバーロードが原因で内部同期外れになっています。

推奨処置 不要です。一時的なエラーです。ASA の平均負荷をチェックし、許容量を超えて使用されていないことを確認します。

319002

エラー メッセージ %ASA-3-319002: Acknowledge for route update for IP address dest_address not received ( number ).

説明 ASA 内のルーティング モジュールが、ASA のオーバーロードが原因で内部同期外れになっています。

推奨処置 不要です。一時的なエラーです。ASA の平均負荷をチェックし、許容量を超えて使用されていないことを確認します。

319003

エラー メッセージ %ASA-3-319003: Arp update for IP address address to NPn failed.

説明 ARP エントリをアップデートする必要がある場合、内部 ARP テーブルをアップデートするためにネットワーク プロセッサ(NP)にメッセージが送信されます。モジュールでメモリ使用率が高くなっている場合、または内部テーブルが満杯になっている場合は、NP へのメッセージが拒否されて、このメッセージが生成される可能性があります。

推奨処置 ARP テーブルが満杯であるかどうかを確認します。満杯ではない場合、CPU 使用率および秒あたりの接続数を確認してモジュールの負荷を調べます。CPU 使用率が高いか、秒あたりの接続数が多い場合、負荷が正常に戻ると正常動作が再開されます。

319004

エラー メッセージ %ASA-3-319004: Route update for IP address dest_address failed ( number ).

説明 ASA 内のルーティング モジュールが、システムのオーバーロードが原因で内部同期外れになっています。

推奨処置 不要です。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。

320001

エラー メッセージ %ASA-3-320001: The subject name of the peer cert is not allowed for connection

説明 ASA が簡単な VPN リモート デバイスまたはサーバである場合、ピア証明書には ca verifycertdn コマンドの出力と一致しないサブジェクト名が含まれています。中間者攻撃が発生している可能性もあります。これは、デバイスがピア IP アドレスをスプーフィングし、ASA から VPN 接続を代行受信しようとするものです。

推奨処置 不要です。

321001

エラー メッセージ %ASA-5-321001: Resource var1 limit of var2 reached.

説明 指摘されたリソースの設定使用率またはレート制限に達しました。

推奨処置 不要です。

321002

エラー メッセージ %ASA-5-321002: Resource var1 rate limit of var2 reached.

説明 指摘されたリソースの設定使用率またはレート制限に達しました。

推奨処置 不要です。

321003

エラー メッセージ %ASA-6-321003: Resource var1 log level of var2 reached.

説明 指摘されたリソースの設定リソース使用率またはレート ログ レベルに達しました。

推奨処置 不要です。

321004

エラー メッセージ %ASA-6-321004: Resource var1 rate log level of var2 reached

説明 指摘されたリソースの設定リソース使用率またはレート ログ レベルに達しました。

推奨処置 不要です。

321005

エラー メッセージ %ASA-2-321005: System CPU utilization reached utilization %

説明 システムの CPU 使用率が 95% 以上に到達し、5 分間このレベルにとどまっています。

utilization % :使用されている CPU のパーセンテージ

推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、 show cpu コマンドの出力を確認し、CPU 使用率を確認します。これが高い場合は、Cisco TAC にお問い合わせください。

321006

エラー メッセージ %ASA-2-321006: System memory usage reached utilization %

説明 システムのメモリ使用率が 80% 以上に到達し、5 分間このレベルにとどまっています。

utilization % :使用されている CPU のパーセンテージ

推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、 show memory コマンドの出力を確認し、メモリ使用率を確認します。これが高い場合は、Cisco TAC にお問い合わせください。

321007

エラー メッセージ %ASA-3-321007: System is low on free memory blocks of size block_size ( free_blocks CNT out of max_blocks MAX)

説明 システムでメモリの空きブロックが不足しています。ブロックが不足すると、トラフィックの中断が発生する可能性があります。

block_size :メモリのブロック サイズ(たとえば、4、1550、8192)

free_blocks :空きブロック数。 show blocks コマンドの使用後に CNT カラムに示されます

max_blocks :システムが割り当てることができるブロックの最大数。 show blocks コマンドの使用後 MAX カラムに示されます

推奨処置 表示されたブロック サイズの出力の CNT カラムの空きブロックの量をモニタするには、 show blocks コマンドを使用します。CNT カラムが長時間にわたってゼロかそれに非常に近いままになる場合、ASA がオーバーロードになっているか、追加調査が必要な別の問題が発生している可能性があります。

322001

エラー メッセージ %ASA-3-322001: Deny MAC address MAC_address, possible spoof attempt on interface interface

説明 ASA が、疑わしい MAC アドレスからのパケットを指定のインターフェイス上で受信しましたが、そのパケットの送信元 MAC アドレスは、コンフィギュレーションでは別のインターフェイスにスタティックにバインドされています。MAC スプーフィング攻撃または設定ミスが原因である可能性があります。

推奨処置 コンフィギュレーションを調べ、攻撃ホストを突き止めるか、またはコンフィギュレーションを訂正して適切な処置を行います。

322002

エラー メッセージ %ASA-3-322002: ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is {statically|dynamically} bound to MAC Address MAC_address_2 .

説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスまたは動的に取得された IP-MAC アドレスのバインディングに従っているかどうかをチェックしてから、ASA を介して ARP パケットを転送します。このチェックが失敗した場合、ARP 検査モジュールは ARP パケットを廃棄し、このメッセージを生成します。この状況は、ネットワーク内の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)が原因となっている可能性があります。

推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。

322003

エラー メッセージ %ASA-3-322003:ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is not bound to any MAC Address.

説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスのバインディングに従っているかどうかをチェックしてから、ASA を介して ARP パケットを転送します。このチェックが失敗した場合、ARP 検査モジュールは ARP パケットを廃棄し、このメッセージを生成します。この状況は、ネットワーク内の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)が原因となっている可能性があります。

推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。

322004

エラー メッセージ %ASA-6-322004: No management IP address configured for transparent firewall. Dropping protocol protocol packet from interface_in : source_address / source_port to interface_out : dest_address / dest_port

説明 管理 IP アドレスがトランスペアレント モードで設定されていないため、ASA がパケットを廃棄しました。

protocol :プロトコルの文字列または値

interface_in :入力インターフェイス名

source_address :パケットの送信元 IP アドレス

source_port :パケットの送信元ポート

interface_out :出力インターフェイス名

dest_address :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 デバイスに管理 IP アドレスとマスクの値を設定します。

323001

エラー メッセージ %ASA-3-323001: Module module_id experienced a control channel communications failure. エラー メッセージ %ASA-3-323001: Module in slot slot_num experienced a control channel communications failure.

説明 ASA が、制御チャネルを介して、指定されたスロットに設置されているモジュールと通信できません。

module_id :ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。

slot_num :ハードウェアのサービス モジュールの場合、障害が発生したスロットを指定します。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

323002

エラー メッセージ %ASA-3-323002: Module module_id is not able to shut down, shut down request not answered. エラー メッセージ %ASA-3-323002: Module in slot slot_num is not able to shut down, shut down request not answered.

説明 設置されているモジュールが、シャットダウン要求に応答しませんでした。

module_id :ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。

slot_num :ハードウェアのサービス モジュールの場合、障害が発生したスロットを指定します。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

323003

エラー メッセージ %ASA-3-323003: Module module_id is not able to reload, reload request not answered. エラー メッセージ %ASA-3-323003: Module in slot slotnum is not able to reload, reload request not answered.

説明 設置されているモジュールが、リロード要求に応答しませんでした。

module_id :ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。

slot_num :ハードウェアのサービス モジュールの場合、障害が発生したスロットを指定します。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

323004

エラー メッセージ %ASA-3-323004: Module string one failed to write software newver (currently ver ), reason . Hw-module reset is required before further use.

説明 モジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュールは、ソフトウェアがアップデートされるまで使用できません。

string one :モジュールを示すテキスト文字列

newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。

ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。

reason :新しいバージョンがモジュールに書き込みできなかった原因。 reason に考えられる値は、次のとおりです。

- 書き込みの失敗

- イメージを書き込むスレッド作成の失敗

推奨処置 モジュール ソフトウェアは、アップデートできない場合、使用できなくなります。問題が解決しない場合、Cisco TAC にお問い合わせください。

323005

エラー メッセージ %ASA-3-323005: Module module_id can not be started completely エラー メッセージ %ASA-3-323005: Module in slot slot_num can not be started completely

説明 このメッセージは、モジュールが完全には起動できないことを示します。モジュールは、この状態が修正されるまで、UNRESPONSIVE 状態のままになります。最も可能性が高い原因として、モジュールがスロットに正しく取り付けられていないことが考えられます。

module_id :ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。

slot_num :ハードウェアのサービス モジュールの場合、モジュールが装着されているスロット番号を指定します。

推奨処置 モジュールが正しく取り付けられていることを確認し、モジュールのステータス LED が点灯しているかどうかをチェックします。モジュールを正しく取り付け直した後、モジュールが電源投入されたことを ASA が認識するまで数分かかることがあります。モジュールが取り付けられていることを確認し、 sw-module module service-module-name reset コマンドまたは hw-module module slotnum reset コマンドを使用してモジュールをリセットした後もこのメッセージが表示される場合は、Cisco TAC にお問い合わせください。

323006

エラー メッセージ %ASA-1-323006: Module ips experienced a data channel communication failure, data channel is DOWN.

説明 データ チャネル通信障害が発生し、ASA がサービス モジュールにトラフィックを転送できなかったことを示しています。この障害が HA コンフィギュレーションのアクティブ ASA で発生した場合は、フェールオーバーがトリガーされます。また、この障害によって、通常はサービス モジュールに送信されるトラフィックに、設定済みのフェール オープン ポリシーまたはフェール クローズ ポリシーが適用されます。このメッセージは、システム モジュールとサービス モジュールの間で ASA のデータプレーンを介した通信上の問題が発生すると必ず生成されます。このような問題は、サービス モジュールが停止、リセット、取り外し、またはディセーブルにされた場合に発生する可能性があります。

推奨処置 IPS などのソフトウェア サービスモジュールの場合、 sw-module module ips recover コマンドを使用してモジュールを回復します。ハードウェア サービス モジュールの場合、このメッセージが SSM のリロードまたはリセットの結果として生成されたのではなく、SSM が UP 状態に戻った後に、対応する syslog メッセージ 505010 が表示されない場合は、 hw-module module 1 reset コマンドを使用してモジュールをリセットします。

323007

エラー メッセージ %ASA-3-323007: Module in slot slot experienced a firware failure and the recovery is in progress.

説明 4GE-SSM が装着された ASA で、短い電力サージが発生し、その後リブートされました。その結果、4GE-SSM は、無応答状態でオンラインになっている可能性があります。ASA は、4GE-SSM が無応答であることを検出し、自動的に 4GE-SSM を再起動します。

推奨処置 不要です。

324000

エラー メッセージ %ASA-3-324000: Drop GTPv version message msg_type from source_interface : source_address / source_port to dest_interface:dest_address/dest_port Reason: reason

説明 処理中のパケットが、 reason 変数に記述されているフィルタリング要件を満たしていないため、廃棄されました。

推奨処置 不要です。

324001

エラー メッセージ %ASA-3-324001: GTPv0 packet parsing error from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value , Reason: reason

説明 パケットの処理にエラーがありました。考えられる原因は次のとおりです。

必須 IE の不足

必須の IE の不正

IE の順序の誤り

無効なメッセージ フォーマット

オプションの IE の不正

無効な TEID

不明な IE

不正な長さのフィールド

不明な GTP メッセージ

短すぎるメッセージ

予期しないメッセージの表示

ヌル TID

バージョンの未サポート

推奨処置 このメッセージが一定期間ごとに表示される場合は、無視してかまいません。このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

324002

エラー メッセージ %ASA-3-324002: No PDP[MCB] exists to process GTPv0 msg_type from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value

説明 このメッセージが 321100(メモリ割り当てのエラー)の後に表示される場合、メッセージは PDP コンテキストを作成するのに十分なリソースがなかったことを示します。それ以外の場合、メッセージ 321100 がこの前に表示されることはありません。バージョン 0 では、対応する PDP コンテキストが見つからないことを示します。バージョン 1 では、メッセージ 324001 の後にこのメッセージが表示された場合、パケット処理エラーが発生して動作が停止しました。

推奨処置 問題が解決しない場合は、送信元が有効な PDP コンテキストなしにパケットを送信している理由を特定します。

324003

エラー メッセージ %ASA-3-324003: No matching request to process GTPv version msg_type from source_interface:source_address/source_port to source_interface:dest_address/dest_port

説明 受信した応答は、要求キューと一致する要求が含まれていないため、それ以上処理されません。

推奨処置 このメッセージが一定期間ごとに表示される場合は、無視してかまいません。しかし、このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

324004

エラー メッセージ %ASA-3-324004: GTP packet with version%d from source_interface : source_address / source_port to dest_interface : dest_address / dest_port is not supported

説明 処理中のパケットが、現在サポートされているバージョン 0 またはバージョン 1 以外のバージョンになっています。プリント アウトされているバージョン番号が誤った番号であり、頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。

推奨処置 不要です。

324005

エラー メッセージ %ASA-3-324005: Unable to create tunnel from source_interface : source_address / source_port to dest_interface : dest_address / dest_port

説明 転送プロトコル データ ユニットのトンネルを作成する試行中にエラーが発生しました。

推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。

324006

エラー メッセージ %ASA-3-324006:GSN IP_address tunnel limit tunnel_limit exceeded, PDP Context TID tid failed

説明 要求を送信している GPRS サポート ノードが、作成される最大許容トンネル数を超えたため、トンネルが作成されません。

推奨処置 トンネル制限を増やす必要があるかどうか、またはネットワークへの攻撃の可能性があるかどうかを確認します。

324007

エラー メッセージ %ASA-3-324007: Unable to create GTP connection for response from source_address / 0 to dest_address / dest_port

説明 異なるサービス GPRS サポート ノードまたはゲートウェイ GPRS サポート ノードの転送プロトコル データ ユニットのトンネルを作成する試行中にエラーが発生しました。

推奨処置 デバッグ メッセージを調べて、接続が正しく作成されなかった理由を確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。

324008

エラー メッセージ %ASA-3-324008: No PDP exists to update the data sgsn [ggsn] PDPMCB Info REID: teid_value , Request TEID; teid_value , Local GSN: IPaddress ( VPIfNum ), Remove GSN: IPaddress ( VPIfNum )

説明 データ sgsn/ggsn PDPMCB 情報で PDP を更新するために GTP HA メッセージをスタンバイ装置で受信したときに、以前の PDP 更新メッセージがスタンバイ装置に正しく配信されていないか、または正常に処理されなかったため、PDP が見つかりません。

推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に発生する場合は、Cisco TAC にお問い合わせください。

324300

エラー メッセージ %ASA-3-324300: Radius Accounting Request from from_addr has an incorrect request authenticator

説明 ホストに共有秘密が設定されている場合は、その秘密によって要求オーセンティケータが検証されます。検証に失敗すると、ログに記録され、パケット処理が停止します。

from_addr :RADIUS アカウンティング要求を送信しているホストの IP アドレス

推奨処置 正しい共有秘密が設定されていることを確認します。正しい共有秘密が設定されている場合は、パケットの送信元を入念にチェックし、スプーフィングされていなかったことを確認します。

324301

エラー メッセージ %ASA-3-324301: Radius Accounting Request has a bad header length hdr_len , packet length pkt_len

説明 アカウンティング要求メッセージのヘッダーに示されているパケット長が実際のパケット長と異なるため、パケット処理が停止します。

hdr_len :要求のヘッダーに示されているパケット長

pkt_len :実際のパケット長

推奨処置 パケットがスプーフィングされていなかったことを確認します。パケットが正当である場合は、パケットを取り込み、メッセージで指摘されているように、ヘッダー長が誤っていることを確認します。ヘッダー長が正しく、問題が解決しない場合は、Cisco TAC にお問い合わせください。

325001

エラー メッセージ %ASA-3-325001: Router ipv6_address on interface has conflicting ND (Neighbor Discovery) settings

説明 リンク上の別のルータが、矛盾するパラメータを持つルータ アドバタイズメントを送信しました。

ipv6_address :相手側ルータの IPv6 アドレス

interface :相手側ルータとのリンクのインターフェイス名

推奨処置 リンク上の IPv6 ルータがすべて、 hop_limit managed_config_flag other_config_flag reachable_time 、および ns_interval についてルータ アドバタイズメントに同じパラメータを持つことを確認し、複数のルータによってアドバタイズされる、同じプレフィックスの優先される有効なライフタイムが同じであることを確認します。インターフェイスごとにパラメータを示すには、 show ipv6 interface コマンドを入力します。

325002

エラー メッセージ %ASA-4-325002: Duplicate address ipv6_address/MAC_address on interface

説明 別のシステムが IPv6 アドレスを使用しています。

ipv6_address :相手側ルータの IPv6 アドレス

MAC_address :既知の場合は相手側システムの MAC アドレス、それ以外の場合は unknown

interface :相手側システムとのリンクのインターフェイス名

推奨処置 2 つのシステムのうちの 1 つの IPv6 アドレスを変更します。

325004

エラー メッセージ %ASA-4-325004: IPv6 Extension Header hdr_type action configuration. protocol from src_int : src_ipv6_addr / src_port to dst_interface : dst_ipv6_addr / dst_port .

説明 ユーザが指定した IPv6 ヘッダー拡張に対して 1 つまたは複数のアクションを設定しました。

hdr_type :次のいずれかの値になります。

ah:AH 拡張ヘッダーに対してアクションを設定しました

count:拡張ヘッダー数に対してアクションを設定しました

destination-option:宛先オプションの拡張ヘッダーに対してアクションを設定しました

esp:ESP 拡張ヘッダーに対してアクションを設定しました

fragment:フラグメント拡張ヘッダーに対してアクションを設定しました

hop-by-hop:ホップバイホップ拡張ヘッダーに対してアクションを設定しました

routing-address count:ルーティング拡張ヘッダーのアドレス数に対してアクションを設定しました

routing-type:ルーティング タイプ拡張ヘッダーに対してアクションを設定しました

action :次のいずれかの値になります。

denied:パケットは拒否されます。

denied/logged:パケットは拒否され、記録されます。

logged:パケットは記録されます。

推奨処置 設定されたアクションが期待されない場合、 policy-map コマンドの下で、 match header extension_header_type コマンドと parameters コマンドを確認し、正しい変更を加えます。例を示します。

hostname (config)# policy-map type inspect ipv6 pname
hostname (config-pmap)# parameters
hostname (config-pmap-p)# no match header extension_header_type ! to remove the configuration
hostname (config-pmap-p)# no drop ! so packets with the specified extension_header_type are not dropped
hostname (config-pmap-p)# no log ! so packets with the specified extension_header_type are not logged
hostname (config-pmap-p)# no drop log ! so packets with the specified extension_header_type are not dropped or logged

325005

エラー メッセージ %ASA-4-325005: Invalid IPv6 Extension Header Content: string . detail regarding protocol, ingress and egress interface

説明 不正な拡張ヘッダーを持つ IPv6 パケットが検出されました。

string :次のいずれかの値になります。

- wrong extension header order

- duplicate extension header

- routing extension header

推奨処置 ドロップされたパケットを記録するために capture コマンドを設定してから、パケットがドロップされる原因を解析します。IPv6 拡張ヘッダーの有効性チェックを無視できる場合には、次のコマンドを入力して、IPv6 ポリシー マップの有効性チェックをディセーブルにします。

hostname (config)# policy-map type inspect ipv6 policy_name
hostname (config-pmap)# parameters
hostname (config-pmap-p)# no verify-header type
 

325006

エラー メッセージ %ASA-4-325006: IPv6 Extension Header not in order: Type hdr_type occurs after Type hdr_type . TCP prot from inside src_int : src_ipv6_addr / src_port to dst_interface : dst_ipv6_addr / dst_port

説明 順序が不正な拡張ヘッダーを持つ IPv6 パケットが検出されました。

推奨処置 ドロップされたパケットを記録するために capture コマンドを設定してから、ドロップされたパケットの拡張ヘッダの順序を解析します。順序が不正なヘッダー拡張が許可されている場合、次のコマンドを入力して、IPv6 タイプ ポリシー マップで正しくない順序のチェックをディセーブルにします。

hostname (config)# policy-map type inspect ipv6 policy_name
hostname (config-pmap)# parameters
hostname (config-pmap-p)# no verify-header order
 

326001

エラー メッセージ %ASA-3-326001: Unexpected error in the timer library: error_message

説明 管理対象タイマー イベントが、コンテキストも正しいタイプもなしで受信されたか、あるいはハンドラがありません。または、キューに入るイベントの数がシステム制限を超えると、後で処理が試行されます。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326002

エラー メッセージ %ASA-3-326002: Error in error_message : error_message

説明 IGMP プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326004

エラー メッセージ %ASA-3-326004: An internal error occurred while processing a packet queue

説明 IGMP パケット キューがパケットを持たない信号を受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326005

エラー メッセージ %ASA-3-326005: Mrib notification failed for ( IP_address , IP_address )

説明 データ駆動型イベントをトリガーするパケットが受信され、MRIB を通知する試行が失敗しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326006

エラー メッセージ %ASA-3-326006: Entry-creation failed for ( IP_address , IP_address )

説明 MFIB は MRIB からエントリのアップデートを受信しましたが、表示されるアドレスに関連するエントリを作成できませんでした。メモリ不足が原因として考えられます。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326007

エラー メッセージ %ASA-3-326007: Entry-update failed for ( IP_address , IP_address )

説明 MFIB が MRIB からインターフェイスのアップデートを受信しましたが、表示されるアドレスに関連するインターフェイスを作成できませんでした。メモリ不足が原因として考えられます。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326008

エラー メッセージ %ASA-3-326008: MRIB registration failed

説明 MFIB が MRIB に登録できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326009

エラー メッセージ %ASA-3-326009: MRIB connection-open failed

説明 MFIB が MRIB への接続を開けませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326010

エラー メッセージ %ASA-3-326010: MRIB unbind failed

説明 MFIB が MRIB からアンバインドできませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326011

エラー メッセージ %ASA-3-326011: MRIB table deletion failed

説明 MFIB が削除されるはずだったテーブルを取得できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326012

エラー メッセージ %ASA-3-326012: Initialization of string functionality failed

説明 指摘された機能の初期化が失敗しました。このコンポーネントは引き続き、機能なしでも動作する可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326013

エラー メッセージ %ASA-3-326013: Internal error: string in string line %d ( %s )

説明 MRIB で基本エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326014

エラー メッセージ %ASA-3-326014: Initialization failed: error_message error_message

説明 MRIB が初期化できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326015

エラー メッセージ %ASA-3-326015: Communication error: error_message error_message

説明 MRIB が形式が誤っているアップデートを受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326016

エラー メッセージ %ASA-3-326016: Failed to set un-numbered interface for interface_name ( string )

説明 PIM トンネルが送信元アドレスがないため使用できませんでした。この状況は、番号付きインターフェイスが見つからないため、または内部エラーが原因で発生します。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326017

エラー メッセージ %ASA-3-326017: Interface Manager error - string in string : string

説明 PIM トンネル インターフェイスを作成中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326019

エラー メッセージ %ASA-3-326019: string in string : string

説明 PIM RP トンネル インターフェイスを作成中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326020

エラー メッセージ %ASA-3-326020: List error in string : string

説明 PIM インターフェイス リストを処理中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326021

エラー メッセージ %ASA-3-326021: Error in string : string

説明 PIM トンネル インターフェイスの SRC を設定中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326022

エラー メッセージ %ASA-3-326022: Error in string : string

説明 PIM プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326023

エラー メッセージ %ASA-3-326023: string - IP_address : string

説明 PIM グループ範囲を処理中に、エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326024

エラー メッセージ %ASA-3-326024: An internal error occurred while processing a packet queue.

説明 PIM パケット キューがパケットを持たない信号を受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326025

エラー メッセージ %ASA-3-326025: string

説明 メッセージ送信の試行中に、内部エラーが発生しました。PIM トンネル IDB の削除など、メッセージの受信時に発生するようスケジュールされたイベントが発生しない可能性があります。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326026

エラー メッセージ %ASA-3-326026: Server unexpected error: error_message

説明 MRIB がクライアントを登録できませんでした。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326027

エラー メッセージ %ASA-3-326027: Corrupted update: error_message

説明 MRIB が破損したアップデートを受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

326028

エラー メッセージ %ASA-3-326028: Asynchronous error: error_message

説明 MRIB API で未処理の非同期エラーが発生しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

327001

エラー メッセージ %ASA-3-327001: IP SLA Monitor: Cannot create a new process

説明 IP SLA モニタが新しいプロセスを開始できませんでした。

推奨処置 システム メモリを確認します。メモリが不足している場合は、それが原因である可能性があります。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。

327002

エラー メッセージ %ASA-3-327002: IP SLA Monitor: Failed to initialize, IP SLA Monitor functionality will not work

説明 IP SLA モニタが初期化に失敗しました。この状態は、タイマー ホイール機能が初期化に失敗した場合、またはプロセスが作成されなかった場合に発生します。タスクを完了するために利用できるメモリが十分でない可能性があります。

推奨処置 システム メモリを確認します。メモリが不足している場合は、それが原因である可能性があります。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。

327003

エラー メッセージ %ASA-3-327003: IP SLA Monitor: Generic Timer wheel timer functionality failed to initialize

説明 IP SLA モニタがタイマー ホイールを初期化できません。

推奨処置 システム メモリを確認します。メモリが不足している場合は、そのためにタイマー ホイール機能が初期化されませんでした。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。

328001

エラー メッセージ %ASA-3-328001: Attempt made to overwrite a set stub function in string .

説明 レジストリ チェック付きスタブが起動されたときのコールバックとして、1 つの機能を設定できます。コールバック機能がすでに設定されていたため、新しいコールバックの設定試行が失敗しました。

string :機能の名前

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

329001

エラー メッセージ %ASA-3-329001: The string0 subblock named string1 was not removed

説明 ソフトウェア エラーが発生しました。IDB サブブロックを削除できません。

string0 :SWIDB または HWIDB

string1 :サブブロックの名前

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

331001

エラー メッセージ ASA-3-331001: Dynamic DNS Update for ' fqdn_name ' = ip_address failed

説明 ダイナミック DNS サブシステムが DNS サーバ上のリソース レコードをアップデートできませんでした。この障害は、ASA が DNS サーバにアクセスできない場合、または対象のシステム上で DNS サービスが動作していない場合に発生する可能性があります。

fqdn_name :DNS アップデートが試行された完全修飾ドメイン名

ip_address :DNS アップデートの IP アドレス

推奨処置 DNS サーバが設定されており、ASA から到達可能であることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。

331002

エラー メッセージ ASA-5-331002: Dynamic DNS type RR for (' fqdn_name ' - ip_address | ip_address - ' fqdn_name ') successfully updated in DNS server dns_server_ip

説明 DNS サーバでダイナミック DNS アップデートが成功しました。

type :リソース レコードのタイプ(A または PTR)

fqdn_name :DNS アップデートが試行された完全修飾ドメイン名

ip_address :DNS アップデートの IP アドレス

dns_server_ip :DNS サーバの IP アドレス

推奨処置 不要です。

332001

エラー メッセージ %ASA-3-332001: Unable to open cache discovery socket, WCCP V2 closing down.

説明 内部エラーです。WCCP プロセスが、キャッシュからのプロトコル メッセージのリッスンに使用される UDP ソケットを開くことができなかったことを示しています。

推奨処置 IP コンフィギュレーションが正しいこと、および少なくとも 1 つの IP アドレスが設定されていることを確認します。

332002

エラー メッセージ %ASA-3-332002: Unable to allocate message buffer, WCCP V2 closing down.

説明 内部エラーです。WCCP プロセスが、着信プロトコル メッセージを保持するためのメモリを割り当てることができなかったことを示しています。

推奨処置 すべてのプロセスに利用可能な十分なメモリがあることを確認します。

332003

エラー メッセージ %ASA-5-332003: Web Cache IP_address / service_ID acquired

説明 ASA の Web キャッシュからのサービスが取得されました。

IP_address :Web キャッシュの IP アドレス

service_ID :WCCP サービス識別子

推奨処置 不要です。

332004

エラー メッセージ %ASA-1-332004: Web Cache IP_address / service_ID lost

説明 ASA の Web キャッシュからのサービスが失われました。

IP_address :Web キャッシュの IP アドレス

service_ID :WCCP サービス識別子

推奨処置 指摘された Web キャッシュの動作を確認します。

333001

エラー メッセージ %ASA-6-333001: EAP association initiated - context: EAP-context

説明 リモート ホストとの EAP アソシエーションが開始されました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

333002

エラー メッセージ %ASA-5-333002: Timeout waiting for EAP response - context: EAP-context

説明 EAP 応答を待っている間にタイムアウトが発生しました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

333003

エラー メッセージ %ASA-6-333003: EAP association terminated - context: EAP-context

説明 リモート ホストとの EAP アソシエーションが終了しました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

333004

エラー メッセージ %ASA-7-333004: EAP-SQ response invalid - context: EAP-context

説明 EAP ステータス クエリーの応答が、基本的なパケット検証に失敗しました。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

333005

エラー メッセージ %ASA-7-333005: EAP-SQ response contains invalid TLV(s) - context: EAP-context

説明 EAP ステータス クエリーの応答に、1 つまたは複数の無効な TLV が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

333006

エラー メッセージ %ASA-7-333006: EAP-SQ response with missing TLV(s) - context: EAP-context

説明 EAP ステータス クエリーの応答に、1 つまたは複数の必須 TLV がありません。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

333007

エラー メッセージ %ASA-7-333007: EAP-SQ response TLV has invalid length - context: EAP-context

説明 EAP ステータス クエリーの応答に、無効な長さの TLV が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

333008

エラー メッセージ %ASA-7-333008: EAP-SQ response has invalid nonce TLV - context: EAP-context

説明 EAP ステータス クエリーの応答に、無効なナンス TLV が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

333009

エラー メッセージ %ASA-6-333009: EAP-SQ response MAC TLV is invalid - context: EAP-context

説明 EAP ステータス クエリーの応答に、計算された MAC と一致しない MAC が含まれています。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

333010

エラー メッセージ %ASA-5-333010: EAP-SQ response Validation Flags TLV indicates PV request - context: EAP-context

説明 EAP ステータス クエリーの応答に、ピアが完全なポスチャ検証を要求したことを示す検証フラグ TLV が含まれています。

推奨処置 不要です。

334001

エラー メッセージ %ASA-6-334001: EAPoUDP association initiated - host-address

説明 リモート ホストとの EAPoUDP アソシエーションが開始されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334002

エラー メッセージ %ASA-5-334002: EAPoUDP association successfully established - host-address

説明 ホストとの EAPoUDP アソシエーションが正常に確立されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334003

エラー メッセージ %ASA-5-334003: EAPoUDP association failed to establish - host-address

説明 ホストとの EAPoUDP アソシエーションを確立できませんでした。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 Cisco Secure Access Control Server のコンフィギュレーションを確認します。

334004

エラー メッセージ %ASA-6-334004: Authentication request for NAC Clientless host - host-address

説明 NAC クライアントレス ホストの認証要求が行われました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334005

エラー メッセージ %ASA-5-334005: Host put into NAC Hold state - host-address

説明 ホストの NAC セッションが Hold 状態になりました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334006

エラー メッセージ %ASA-5-334006: EAPoUDP failed to get a response from host - host-address

説明 ホストから EAPoUDP 応答を受信しませんでした。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334007

エラー メッセージ %ASA-6-334007: EAPoUDP association terminated - host-address

説明 ホストとの EAPoUDP アソシエーションが終了しました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

334008

エラー メッセージ %ASA-6-334008: NAC EAP association initiated - host-address , EAP context: EAP-context

説明 EAPoUDP がホストとの EAP を開始しました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。

推奨処置 不要です。

334009

エラー メッセージ %ASA-6-334009: Audit request for NAC Clientless host - Assigned_IP.

説明 指摘された割り当て済み IP アドレスの監査要求が送信されています。

Assigned_IP :クライアントに割り当てられている IP アドレス

推奨処置 不要です。

335001

エラー メッセージ %ASA-6-335001: NAC session initialized - host-address

説明 リモート ホストの NAC セッションが開始されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。

推奨処置 不要です。

335002

エラー メッセージ %ASA-5-335002: Host is on the NAC Exception List - host-address , OS: oper-sys

説明 クライアントが NAC 例外リストに入っているため、ポスチャ検証の対象になりません。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

oper-sys :ホストのオペレーティング システム(たとえば、Windows XP)。

推奨処置 不要です。

335003

エラー メッセージ %ASA-5-335003: NAC Default ACL applied, ACL: ACL-name - host-address

説明 クライアントに NAC デフォルト ACL が適用されました。

ACL-name :適用されている ACL の名前。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨処置 不要です。

335004

エラー メッセージ %ASA-6-335004: NAC is disabled for host - host-address

説明 リモート ホストに対して NAC がディセーブルになっています。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨処置 不要です。

335004

エラー メッセージ %ASA-6-335004: NAC is disabled for host - host-address

説明 リモート ホストに対して NAC がディセーブルになっています。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨処置 不要です。

335005

エラー メッセージ %ASA-4-335005: NAC Downloaded ACL parse failure - host-address

説明 ダウンロードされた ACL の解析に失敗しました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨処置 Cisco Secure Access Control Server のコンフィギュレーションを確認します。

335006

エラー メッセージ %ASA-6-335006: NAC Applying ACL: ACL-name - host-address

説明 NAC ポスチャ検証の結果として適用されている ACL の名前です。

ACL-name :適用されている ACL の名前。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨処置 不要です。

335007

エラー メッセージ %ASA-7-335007: NAC Default ACL not configured - host-address

説明 NAC デフォルト ACL が設定されていません。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨処置 不要です。

335008

エラー メッセージ %ASA-5-335008: NAC IPsec terminate from dynamic ACL: ACL-name - host-address

説明 PV の結果として取得されたダイナミック ACL には IPSec の終端が必要です。

ACL-name :適用されている ACL の名前。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨処置 不要です。

335009

エラー メッセージ %ASA-6-335009: NAC Revalidate request by administrative action - host-address

説明 管理者によって NAC の Revalidate 動作が要求されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨処置 不要です。

335010

エラー メッセージ %ASA-6-335010: NAC Revalidate All request by administrative action - num sessions

説明 管理者によって NAC の Revalidate All 動作が要求されました。

num :再検証されるセッション数を示す 10 進の整数

推奨処置 不要です。

335011

エラー メッセージ %ASA-6-335011: NAC Revalidate Group request by administrative action for group-name group - num sessions

説明 管理者によって NAC の Revalidate Group 動作が要求されました。

group-name :VPN グループ名

num :再検証されるセッション数を示す 10 進の整数

推奨処置 不要です。

335012

エラー メッセージ %ASA-6-335012: NAC Initialize request by administrative action - host-address

説明 管理者によって NAC の Initialize 動作が要求されました。

host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。

推奨処置 不要です。

335013

エラー メッセージ %ASA-6-335013: NAC Initialize All request by administrative action - num sessions

説明 管理者によって NAC の Initialize All 動作が要求されました。

num :再検証されるセッション数を示す 10 進の整数

推奨処置 不要です。

335014

エラー メッセージ %ASA-6-335014: NAC Initialize Group request by administrative action for group-name group - num sessions

説明 管理者によって NAC の Initialize Group 動作が要求されました。

group-name :VPN グループ名

num :再検証されるセッション数を示す 10 進の整数

推奨処置 不要です。

336001

エラー メッセージ %ASA-3-336001 Route desination_network stuck-in-active state in EIGRP- ddb_name as_num. Cleaning up

説明 SIA 状態とは、EIGRP ルータが指定された時間(約 3 分)以内に 1 つ以上のネイバーからクエリーに対する応答を受信できなかったことを意味します。この状態が発生した場合、EIGRP は、応答を送信しなかった隣接ルータとの隣接関係を解消し、アクティブになったルートに関するエラー メッセージをログに記録します。

destination_network :アクティブになったルート

ddb_name :IPv4

as_num :EIGRP ルータ

推奨処置 ルータが一部の隣接ルータから応答を受信しなかった原因、およびルートが消失した原因を確認します。

336002

エラー メッセージ %ASA-3-336002: Handle handle_id is not allocated in pool.

説明 EIGRP ルータは、ネクスト ホップのハンドルを見つけることができません。

handle_id :見つからないハンドルの ID

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

336003

エラー メッセージ %ASA-3-336003: No buffers available for bytes byte packet

説明 DUAL ソフトウェアが、パケット バッファを割り当てることができませんでした。ASA のメモリが不足している可能性があります。

bytes :パケット内のバイト数

推奨処置 show mem または show tech コマンドを入力して、ASA のメモリが不足しているかどうかを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。

336004

エラー メッセージ %ASA-3-336004: Negative refcount in pakdesc pakdesc.

説明 リファレンス カウントのパケット カウントが負になりました。

pakdesc :パケット識別子

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

336005

エラー メッセージ %ASA-3-336005: Flow control error, error , on interface_name.

説明 インターフェイスでマルチキャストのフローブロックが発生しています。Qelm はキュー要素で、この場合は、この特定のインターフェイスのキューにある最後のマルチキャスト パケットです。

error :エラー文:Qelm on flow ready

interface_name :エラーが発生したインターフェイスの名前

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

336006

エラー メッセージ %ASA-3-336006: num peers exist on IIDB interface_name.

説明 EIGRP の IDB のクリーンアップ中またはクリーンアップ後、特定のインターフェイス上にピアがまだ存在しています。

num :ピアの数

interface_name :インターフェイス名

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

336007

エラー メッセージ %ASA-3-336007: Anchor count negative

説明 エラーが発生し、アンカーの解放時にアンカー カウントが負になりました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

336008

エラー メッセージ %ASA-3-336008: Lingering DRDB deleting IIDB, dest network, nexthop address (interface), origin origin_str

説明 インターフェイスが削除されており、長期の DRDB が存在します。

network:宛先ネットワーク

address:ネクストホップ アドレス

interface:ネクストホップ インターフェイス

origin_str:起点を定義する文字列

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

336009

エラー メッセージ %ASA-3-336009 ddb_name as_id: Internal Error

説明 内部エラーが発生しました。

ddb_name :PDM 名(たとえば、IPv4 PDM)

as_id :自律システム ID

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

336010

エラー メッセージ %ASA-5-336010 EIGRP- ddb_name tableid as_id: Neighbor address (%interface) is event_msg: msg

説明 隣接ルータがアップまたはダウンしました。

ddb_name :IPv4

tableid :RIB の内部 ID

as_id :自律システム ID

address :隣接ルータの IP アドレス

interface :インターフェイスの名前

event_msg :隣接ルータで発生しているイベント(つまり、up または down)

msg :イベントの原因。( event_msg msg の値ペアには次のものがあります)

- 再同期:ピア正常再開

- ダウン:ホールディング タイマーの失効

- アップ:新しい隣接

- ダウン:認証失敗

- ダウン:アクティブなスタック

- ダウン:インターフェイス PEER-TERMINATION の受信

- ダウン:K-value の不一致

- ダウン:ピア終了の受信

- ダウン:INIT 状態のスタック

- ダウン:ピア情報の変更

- ダウン:サマリの設定

- ダウン:最大ホップカウントの変更

- ダウン:メトリックの変更

- ダウン:(理由なし)

推奨処置 隣接ルータのリンクがダウンまたはフラッピングしている原因を確認します。これは、問題の兆候である可能性があります。または、これが原因で問題が発生する可能性があります。

336011

エラー メッセージ %ASA-6-336011: event event

説明 デュアル イベントが発生しました。イベントは次のいずれかです。

Redist rt change

SIA Query while Active

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

337001

エラー メッセージ %ASA-3-337001: Phone Proxy SRTP: Encryption failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port

説明 暗号ハードウェアで SRTP 暗号化を実行できませんでした。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケット出力インターフェイスの送信元ポート

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 このメッセージが引き続き表示される場合は、暗号ハードウェアをデバッグして SRTP 暗号化が失敗する原因を特定してもらうよう Cisco TAC に依頼してください。

337002

エラー メッセージ %ASA-3-337002: Phone Proxy SRTP: Decryption failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port

説明 暗号ハードウェアで SRTP 復号化を実行できませんでした。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケット出力インターフェイスの送信元ポート

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 このメッセージが引き続き表示される場合は、暗号ハードウェアをデバッグして SRTP 復号化が失敗する原因を特定してもらうよう Cisco TAC に依頼してください。

337003

エラー メッセージ %ASA-3-337003: Phone Proxy SRTP: Authentication tag generation failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port

説明 暗号ハードウェアで認証タグの生成に失敗しました。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケット出力インターフェイスの送信元ポート

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 このメッセージが引き続き表示される場合は、暗号ハードウェアをデバッグして認証タグの SRTP 生成が失敗する原因を特定してもらうよう Cisco TAC に依頼してください。

337004

エラー メッセージ %ASA-3-337004: Phone Proxy SRTP: Authentication tag validation failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port

説明 計算された認証タグがパケット内の認証タグと一致しません。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケット出力インターフェイスの送信元ポート

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 攻撃が進行中かどうかを確認します。

337005

エラー メッセージ %ASA-4-337005: Phone Proxy SRTP: Media session not found for media_term_ip / media_term_port for packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port

説明 ASA でメディア終端 IP アドレスおよびポートを宛先とした SRTP/RTP パケットを受信したが、このパケットを処理するための対応するメディア セッションが見つかりませんでした。

in_ifc :入力インターフェイス

src_ip :パケットの送信元 IP アドレス

src_port :パケットの送信元ポート

out_ifc :出力インターフェイス

dest_ip :パケットの宛先 IP アドレス

dest_port :パケットの宛先ポート

推奨処置 このメッセージがコールの最後に生成された場合、正常であると考えられます。シグナリング メッセージによりメディア セッションは解放された可能性がありますが、エンドポイントでは引き続きいくつかの SRTP または RTP パケットが送信されているためです。このメッセージが奇数のメディア終端ポートに対して生成された場合、エンドポイントでは RTCP が送信されており、それを CUCM からディセーブルにする必要があります。このメッセージがコールに対して継続的に生成される場合は、電話プロキシ デバッグ コマンドまたは取り込みコマンドを使用してシグナリング メッセージ トランザクションをデバッグし、シグナリング メッセージがメディア終端 IP アドレスおよびポートで変更されているかどうかを確認します。

337006

エラー メッセージ %ASA-3-337006: Phone Proxy SRTP: Failed to sign file filename requested by UDP client cifc:caddr/cport for sifc : saddr / sport

説明 暗号ハードウェアで暗号化の実行とファイルのシグニチャの作成が失敗しました。

filename :ファイルの名前

sifc :サーバ インターフェイス

saddr :サーバ IP アドレス

sport :サーバ ポート

cifc :クライアント インターフェイス

caddr :クライアント IP アドレス

cport :クライアント ポート

推奨処置 このメッセージが引き続き表示される場合は、関連するメッセージで暗号ハードウェア エンジン関連の他のエラーを確認してください。

337007

エラー メッセージ %ASA-3-337007: Phone Proxy SRTP: Failed to find configuration file filename for UDP client cifc:caddr/cport by server sifc : saddr / sport

説明 電話によりそのコンフィギュレーション ファイルが要求されたときに CUCM から File Not Found エラーが返されました。

filename :ファイルの名前

sifc :サーバ インターフェイス

saddr :サーバ IP アドレス

sport :サーバ ポート

cifc :クライアント インターフェイス

caddr :クライアント IP アドレス

cport :クライアント ポート

推奨処置 対象の電話が CUCM で設定されていることを確認します。

337008

エラー メッセージ %ASA-3-337008: Phone Proxy: Unable to allocate media port from media-termination address phone_proxy_ifc : media_term_IP for client_ifc : client_IP / client_port ; call failed.

説明 新しいメディア セッションの作成時に ASA でメディアに割り当てるポートを検出できませんでした。このメッセージは、ユーザが電話プロキシ用に media-termination address コマンドで指定したポート範囲が十分に広くない場合や利用可能なすべてのポートがすでに使用されている場合にも表示されることがあります。

media-termination address :メディア終端アドレス

phone_proxy_ifc :メディア終端インターフェイス名(ID)

media_term_ip :メディア終端 IP アドレス

client_ifc :クライアント インターフェイス名

client_ip :クライアント IP アドレス

client_port :クライアント ポート

推奨処置 電話プロキシ コンフィギュレーションを確認して、指定されているメディア ポートの範囲を調べ、範囲が狭すぎる場合は広範囲のメディア ポートを割り当てます(セキュリティ ポリシーで許可される場合)。デフォルトのポート範囲は 16384 ~ 32767 です。

337009

エラー メッセージ %ASA-3-337009: Unable to create secure phone entry, interface : IPaddr is already configured for the same MAC mac_addr .

説明 同じセキュア電話を異なる IP アドレスで登録しようとしました。古い IP アドレスに対応する MAC アドレスのエントリはすでに存在するため、同じ MAC アドレスと別の IP アドレスを使用したエントリを複数登録することはできません。

interface :既存のエントリの登録に使用されたインターフェイス名

ipaddr :既存のセキュア電話エントリの IP アドレス

mac_addr :電話の MAC アドレス

推奨処置 show phone-proxy secure-phones コマンドの出力を確認します。問題の原因になっているエントリをクリアするには、 clear コマンドを使用し、新しい IP アドレスで電話機を登録します。

338001

エラー メッセージ %ASA-4-338001: Dynamic filter monitored blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブラックリスト ドメインからのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。

338002

エラー メッセージ %ASA-4-338002: Dynamic filter monitored blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブラックリスト ドメイン名へのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。

338003

エラー メッセージ %ASA-4-338003: Dynamic filter monitored blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブラックリスト IP アドレスからのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。

338004

エラー メッセージ %ASA-4-338004: Dynamic filter monitored blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブラックリスト IP アドレスへのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。

338005

エラー メッセージ %ASA-4-338005: Dynamic filter dropped blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブラックリスト ドメイン名からトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 不要です。

338006

エラー メッセージ %ASA-4-338006: Dynamic filter dropped blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブラックリスト ドメイン名へのトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 不要です。

338007

エラー メッセージ %ASA-4-338007: Dynamic filter dropped blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), source malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブラックリスト IP アドレスからのトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 不要です。

338008

エラー メッセージ %ASA-4-338008: Dynamic filter dropped blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のブラックリスト IP アドレスへのトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 不要です。

338101

エラー メッセージ %ASA-4-338101: Dynamic filter action whitelisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: domain name

説明 ダイナミック フィルタ データベース内のホワイトリスト ドメインからのトラフィックが発生しました。

推奨処置 不要です。

338102

エラー メッセージ %ASA-4-338102: Dynamic filter action whitelisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name

説明 ダイナミック フィルタ データベース内のホワイトリスト ドメイン名へのトラフィックが発生しました。

推奨処置 不要です。

338103

エラー メッセージ %ASA-4-338103: Dynamic filter action whitelisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: ip address/netmask

説明 ダイナミック フィルタ データベース内のホワイトリスト IP アドレスからのトラフィックが発生しました。

推奨処置 不要です。

338104

エラー メッセージ %ASA-4-338104: Dynamic filter action whitelisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask

説明 ダイナミック フィルタ データベース内のホワイトリスト IP アドレスへのトラフィックが発生しました。

推奨処置 不要です。

338201

エラー メッセージ %ASA-4-338201: Dynamic filter monitored greylisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のグレーリスト ドメインからのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドと dynamic-filter ambiguous-is-black コマンドを入力して自動的にこのようなトラフィックをドロップします。

338202

エラー メッセージ %ASA-4-338202: Dynamic filter monitored greylisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のグレーリスト ドメイン名へのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドと dynamic-filter ambiguous-is-black コマンドを入力して自動的にこのようなトラフィックをドロップします。

338203

エラー メッセージ %ASA-4-338203: Dynamic filter dropped greylisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のグレーリスト ドメイン名からのトラフィックが拒否されました。ただし、悪意のある IP アドレスはダイナミック フィルタ データベースで認識されていないドメイン名にも解決されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 悪意のあるサイトへのアクセスがドロップされました。IP アドレスがブラック リスト ドメイン名と不明なドメイン名の両方に一致するグレーリスト トラフィックを自動的にドロップしない場合は、 dynamic-filter ambiguous-is-black コマンドをディセーブルにします。

338204

エラー メッセージ %ASA-4-338204: Dynamic filter dropped greylisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

説明 ダイナミック フィルタ データベース内のグレーリスト ドメイン名へのトラフィックが拒否されました。ただし、悪意のある IP アドレスはダイナミック フィルタ データベースで認識されていないドメイン名にも解決されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。

推奨処置 悪意のあるサイトへのアクセスがドロップされました。IP アドレスがブラック リスト ドメイン名と不明なドメイン名の両方に一致するグレーリスト トラフィックを自動的にドロップしない場合は、 dynamic-filter ambiguous-is-black コマンドをディセーブルにします。

338301

エラー メッセージ %ASA-4-338301: Intercepted DNS reply for domain name from in_interface : src_ip_addr / src_port to out_interface : dest_ip_addr / dest_port , matched list

説明 管理者のホワイトリスト、ブラックリスト、または IronPort リストに存在する DNS 応答が代行受信されました。

name :ドメイン名

list :ドメイン名、管理者のホワイトリスト、ブラックリスト、または IronPort リストを含むリスト

推奨処置 不要です。

338302

エラー メッセージ %ASA-5-338302: Address ipaddr discovered for domain name from list , Adding rule

説明 ダイナミック フィルタ規則テーブルに対する DNS 応答から検出された IP アドレスが追加されました。

ipaddr :DNS 応答からの IP アドレス

name :ドメイン名

list :ドメイン名、管理者のブラックリスト、または IronPort リストを含むリスト

推奨処置 不要です。

338303

エラー メッセージ %ASA-5-338303: Address ipaddr ( name) timed out, Removing rule

説明 ダイナミック フィルタ規則テーブルから検出された IP アドレスが削除されました。

ipaddr :DNS 応答からの IP アドレス

name :ドメイン名

推奨処置 不要です。

338304

エラー メッセージ %ASA-6-338304: Successfully downloaded dynamic filter data file from updater server url

説明 新しいバージョンのデータ ファイルがダウンロードされました。

url :アップデータ サーバの URL

推奨処置 不要です。

338305

エラー メッセージ %ASA-3-338305: Failed to download dynamic filter data file from updater server url

説明 ダイナミック フィルタ データベースのダウンロードに失敗しました。

url :アップデータ サーバの URL

推奨処置 アップデータ サーバの URL を解決できるように、ASA に DNS コンフィギュレーションが存在することを確認します。ASA からサーバに対して ping を実行できない場合は、正しいネットワーク接続およびルーティング コンフィギュレーションについてネットワーク管理者に確認してください。問題が解決しない場合、Cisco TAC にお問い合わせください。

338306

エラー メッセージ %ASA-3-338306: Failed to authenticate with dynamic filter updater server url

説明 ASA はダイナミック フィルタ アップデータ サーバに対する認証に失敗しました。

url :アップデータ サーバの URL

推奨処置 Cisco TAC にお問い合わせください。

338307

エラー メッセージ %ASA-3-338307: Failed to decrypt downloaded dynamic filter database file

説明 ダウンロードしたダイナミック フィルタ データベース ファイルの復号化に失敗しました。

推奨処置 Cisco TAC にお問い合わせください。

338308

エラー メッセージ %ASA-5-338308: Dynamic filter updater server dynamically changed from old_server_host : old_server_port to new_server_host : new_server_port

説明 ASA は、新しいアップデータ サーバのホストまたはポートに向けられました。

old_server_host : old_server_port :今までのアップデータ サーバのホストとポート

new_server_host : new_server_port :新しいアップデータ サーバのホストとポート

推奨処置 不要です。

338309

エラー メッセージ %ASA-3-338309: The license on this ASA does not support dynamic filter updater feature.

説明 ダイナミック フィルタ アップデータはライセンス対象の機能です。ただし、ASA のライセンスでは、この機能はサポートされていません。

推奨処置 不要です。

338310

エラー メッセージ %ASA-3-338310: Failed to update from dynamic filter updater server url, reason: reason string

説明 ASA でダイナミック フィルタ アップデータ サーバからのアップデートの受信に失敗しました。

url :アップデータ サーバの URL

reason string :失敗の原因。次のいずれかです。

- アップデータ サーバへの接続失敗

- 無効なサーバ応答の受信

- 無効なサーバ マニフェストの受信

- 格納されているアップデート ファイル情報のエラー

- スクリプト エラー

- 機能コール エラー

- メモリ不足

推奨処置 サーバへのネットワーク接続を確認します。 show dynamic-filter updater-client コマンドの出力に示されるサーバ URL に対して ping を実行します。ポートがネットワークを通過できるようになっていることを確認します。ネットワーク接続に問題がない場合は、ネットワーク管理者にお問い合わせください。

339001

エラー メッセージ %ASA-3-339001: UC-IME-SIG: Ticket not found in SIP %s from %s : %A / %d to % s : %A/%d , packet dropped

説明 UC-IME SIP シグナリングでは、外部から受信したすべての Dialog-forming SIP メッセージに X-Cisco-ViPR-Ticket ヘッダーが含まれている必要があります。このヘッダーがメッセージに含まれていない場合、メッセージは、SIP 検査中にドロップされます。このヘッダーは、検査しようとしているメッセージの既存の SIP セッション(現在の SIP 検査ルールによって決定される)が見つからない場合のみ必要です。

%s :SIP メッセージの名前(INVITE または REFER)

%s :送信元インターフェイス名(inside または outside)

%A :送信元 IP アドレス

%d :送信元ポート

%s :宛先インターフェイス名(inside または outside)

%A :宛先 IP アドレス

%d :宛先ポート

推奨処置 UC-IME コールがスプーフィングされているかどうかを確認します。

339002

エラー メッセージ %ASA-3-339002: UC-IME-SIG: Invalid ticket in SIP %s from %s : %A / %d to %s : %A / %d , packet dropped, %s

説明 UC-IME チケット検査および検証を実行するとき、タイムスタンプの有効性やエポックの照合など、複数のデータ チェックが実行されます。これらのチェックのいずれかが失敗すると、SIP メッセージまたはパケットはドロップされます。

%s :SIP メッセージの名前(INVITE または REFER)

%s :送信元インターフェイス名(inside または outside)

%A :送信元 IP アドレス

%d :送信元ポート

%s :宛先インターフェイス名(inside または outside)

%A :宛先 IP アドレス

%d :宛先ポート

%s :エラー状態に関する詳細説明またはデータ

推奨処置 UC-IME コールがスプーフィングされているかどうかを確認します。エラー状態の詳細情報を取得するために UC-IME のデバッグ トレースをオンにします。

339003

エラー メッセージ %ASA-3-339003: UC-IME-SIG: Non-dialog forming SIP %s received from %s : %A / %d to %s : %A / %d , packet dropped

説明 SIP メッセージが UC-IME 機能により検査される場合、メッセージが既存の SIP セッションに属するかどうかを確認されます。非 UC-IME シナリオでは、受信した SIP 要求は SIP セッションを作成します(設定されたポリシーで許可されている場合)。ただし、UC-IME 機能では、非 dialog-creating SIP メッセージは ASA で SIP セッションの作成を許可されず、ドロップされます。

%s :SIP メッセージの名前(INVITE または REFER)

%s :送信元インターフェイス名(inside または outside)

%A :送信元 IP アドレス

%d :送信元ポート

%s :宛先インターフェイス名(inside または outside)

%A :宛先 IP アドレス

%d :宛先ポート

推奨処置 UC-IME コールがスプーフィングされているかどうかを確認します。

339004

エラー メッセージ %ASA-3-339004: UC-IME-SIG: Dropping SIP %s received from %s : %A / %d to %s : %A / %d , route header validation failed, %s

説明 発信 SIP メッセージが UC-IME 機能により検査されるとき、SIP ルート ヘッダーに含まれるドメイン名が TLS 証明書のドメイン名と比較されます。この比較により、ASA の UC-IME 機能は、SIP メッセージが目的のエンタープライズで実際に終端しているかどうかを判別できます。一致しない場合、リモート エンドがそのドメインを提供しておらず、SIP セッションを終了する必要があることを意味します。

%s :SIP メッセージの名前(INVITE または REFER)

%s :送信元インターフェイス名(inside または outside)

%A :送信元 IP アドレス

%d :送信元ポート

%s :宛先インターフェイス名(inside または outside)

%A :宛先 IP アドレス

%d :宛先ポート

%s :エラー状態に関する詳細説明またはデータ(たとえば受信したドメイン名)

推奨処置 リモート エンタープライズが UC-IME コールをハイジャックしようとしているかどうかを確認します。

339005

エラー メッセージ %ASA-3-339005: UC-IME-SIG: Message received from %s : %A / %d to %s : %A / %d does not contain SRTP, message dropped

説明 UC-IME SIP シグナリングでは、外部からのメディア コンテンツを持つ受信 SIP メッセージは、SRTP であることが必要です。このコンテンツが SRTP でない場合は、メッセージは SIP 検査中にドロップされます。

%s :送信元インターフェイス名(inside または outside)

%A :送信元 IP アドレス

%d :送信元ポート

%s :宛先インターフェイス名(inside または outside)

%A :宛先 IP アドレス

%d :宛先ポート

推奨処置 不要です。

339006

エラー メッセージ %ASA-3-339006: UC-IME-Offpath: Failed to map remote UCM address %A : %d on %s interface, request from local UCM %A : %d on %s interface, reason %s

説明 UC-IME マッピング サービスが正しく動作するためには、グローバル NAT の設定が正しいことが必要です。誤設定が検出されると、管理者に通知するためのメッセージが生成されます。同時に、UCM クライアントからのすべての要求は、マッピング サービスの STUN メッセージ形式に準拠している必要があります。すべての不適合要求はサイレントに廃棄され、この発生に関して管理者に通知するためのメッセージが生成されます。

%A :リモート UCM の IP アドレス

%d :リモート UCM ポート

%s :リモート UCM の IP アドレスまたはポート アドレスのインターフェイス

%A :ローカル UCM の IP アドレス(マッピング サービス接続に使用)

%d :ローカル UCM ポート(マッピング サービス接続に使用)

%s :ローカル UCM の IP アドレスまたはポート アドレスのインターフェイス

%s :失敗理由

推奨処置 UC-IME Offpath および UCM Offpath が正しく設定されていることを確認します。

339007

エラー メッセージ %ASA-6-339007: UC-IME-Offpath: Mapped address %A : %d on %s interface for remote UCM %A : %d on %s interface, request from local UCM %A : %d on %s interface

説明 UC-IME マッピング サービス コールは、マッピング サービス クライアント(UCM)アドレス(IP:ポート)およびリモート UCM アドレス(IP:ポート)に基づいて追跡されます。管理者は、Offpath UC-IME コールをデバッグするためにこの情報を使用できます。

%A :マップされた IP アドレス

%d :マップされたポート

%s :マップされた IP アドレスまたはポート アドレスのインターフェイス

%A :リモート UCM の IP アドレス

%d :リモート UCM ポート

%s :リモート UCM の IP アドレスまたはポート アドレスのインターフェイス

%A :ローカル UCM の IP アドレス(マッピング サービス接続に使用)

%d :ローカル UCM ポート(マッピング サービス接続に使用)

%s :ローカル UCM の IP アドレスまたはポート アドレスのインターフェイス

推奨処置 不要です。

339008

エラー メッセージ %ASA-6-339008: UC-IME-Media: Media session with Call-ID %s and Session-ID %s terminated. RTP monitoring parameters: Failover state: %s , Refer msgs sent: %d , Codec payload format: %s , RTP ptime (ms): %d , Max RBLR pct( x100): %d , Max ITE count in 8 secs: %d , Max BLS (ms): %d , Max span PDV (usec): %d , Min span PDV (usec): %d , Mov avg span PDV (usec): %d , Total ITE count: %d , Total sec count: %d , Concealed sec count: %d , Severely concealed sec count: %d , Max call interval (ms): %d

説明 UC-IME メディア セッションの終了は、コール ID またはセッション ID に基づいて追跡されます。このメッセージは、メディア セッションの終わりにトリガーされます。コールの QoS を改善するために管理者が感度パラメータを調整できるように、RTP モニタリング アルゴリズムによって返されるパラメータが含められます。

%s :フェールオーバーの状態。次のいずれかになります。

- No error, for an active session

- No media at startup timer expired

- Error in received sequence numbering

- Both ITE and BLS thresholds exceeded

- BLS threshold exceeded within Burst Interval

- RBLR threshold exceeded within last 8 sec

- Combination (> 3/4 RBLR + > 3/4 BLS) failover

- No media since last received packet exceeded

- ITE threshold exceeded

%s :コーデック ペイロード形式。次のいずれかになります。

- UNKNOWN

- G722

- PCMU

- PCMA

- iLBC

- iSAC

推奨処置 不要です。

339009

エラー メッセージ %ASA-6-339009: UC-IME: Ticket Password changed. Please update the same on UC-IME server.

説明 ASA 管理者は、古いパスワードを知らなくてもチケット パスワードを変更できます。このメッセージは、管理者がこの変更を認識していることを確認するために生成されます。メッセージは、ASA 上で UC-IME パスワードが変更された場合に、すべてが正しく機能するためには UC-IME サーバでもパスワードを変更する必要があることを管理者が思い出すのにも役立ちます。

推奨処置 UC-IME サーバ上で変更されたチケット パスワードが、ASA で設定された値と一致することを確認します。

340001

エラー メッセージ %ASA-3-340001: Loopback-proxy error: error_string context id context_id , context type = version / request_type / address_type client socket (internal)= client_address_internal / client_port_internal server socket (internal)= server_address_internal / server_port_internal server socket (external)= server_address_external / server_port_external remote socket (external)= remote_address_external / remote_port_external

説明 ループ バック プロキシは、ASA で実行されているサード パーティ製アプリケーションがネットワークにアクセスすることを可能にします。ループ バック プロキシでエラーが発生しました。

context_id :各ループ バッククライアント プロキシ要求に対して生成される一意の 32 ビットコンテキスト ID

version :プロトコル バージョン

request_type :要求タイプ。TC(TCP 接続)、TB(TCP バインド)、または UA(UDP アソシエーション)のいずれかになります。

address_type :アドレス タイプ、IP4(IPv4)、IP6(IPv6)、または DNS(ドメイン名サービス)のいずれかになります。

client_address_internal/server_address_internal :ループバック クライアントおよびループバック サーバが通信に使用するアドレス

client_port_internal / server_port_internal :ループバック クライアントおよびループバック サーバが通信に使用するポート

server_address_external / remote_address_external :ループバック サーバとリモート ホストが通信に使用するアドレス

server_port_external / remote_port_external :ループバック サーバとリモート ホストが通信に使用するポート

error_string :問題の解決に役立つエラー文字列

推奨処置 syslog メッセージをコピーし、Cisco TAC にお問い合わせください。

340002

エラー メッセージ %ASA-6-340002: Loopback-proxy info: error_string context id context_id , context type = version / request_type / address_type client socket (internal)= client_address_internal / client_port_internal server socket (internal)= server_address_internal / server_port_internal server socket (external)= server_address_external / server_port_external remote socket (external)= remote_address_external / remote_port_external

説明 ループ バック プロキシは、ASA で実行されているサード パーティ製アプリケーションがネットワークにアクセスすることを可能にします。ループバック プロキシは、トラブルシューティングで使用するデバッグ情報を生成しました。

context_id :各ループ バッククライアント プロキシ要求に対して生成される一意の 32 ビットコンテキスト ID

version :プロトコル バージョン

request_type :要求タイプ。TC(TCP 接続)、TB(TCP バインド)、または UA(UDP アソシエーション)のいずれかになります。

address_type :アドレス タイプ、IP4(IPv4)、IP6(IPv6)、または DNS(ドメイン名サービス)のいずれかになります。

client_address_internal/server_address_internal :ループバック クライアントおよびループバック サーバが通信に使用するアドレス

client_port_internal / server_port_internal :ループバック クライアントおよびループバック サーバが通信に使用するポート

server_address_external / remote_address_external :ループバック サーバとリモート ホストが通信に使用するアドレス

server_port_external / remote_port_external :ループバック サーバとリモート ホストが通信に使用するポート

error_string :問題の解決に役立つエラー文字列

推奨処置 syslog メッセージをコピーし、Cisco TAC にお問い合わせください。

341001

エラー メッセージ %ASA-6-341001: Policy Agent started successfully for VNMC vnmc_ip_addr

説明 ポリシー エージェント プロセス(DME、ducatiAG および commonAG)が正常に開始されました。

vnmc_ip_addr :VNMC サーバの IP アドレス

推奨処置 なし。

341002

エラー メッセージ %ASA-6-341002: Policy Agent stopped successfully for VNMC vnmc_ip_addr

説明 ポリシー エージェント プロセス(DME、ducatiAG および commonAG)が停止しました。

vnmc_ip_addr :VNMC サーバの IP アドレス

推奨処置 なし。

341003

エラー メッセージ %ASA-3-341003: Policy Agent failed to start for VNMC vnmc_ip_addr

説明 ポリシー エージェントの開始に失敗しました。

vnmc_ip_addr :VNMC サーバの IP アドレス

推奨処置 コンソールの履歴やエラー メッセージの disk0:/pa/log/vnm_pa_error_status をチェックします。ポリシー エージェントの開始を再試行するには、 registration host コマンドを再実行します。

341004

エラー メッセージ %ASA-3-341004: Storage device not available: Attempt to shutdown module %s failed.

説明 すべての SSD が失敗したか、アップ状態のシステムから削除されました。システムがソフトウェア モジュールをシャット ダウンしようとしましたが、失敗しました。

%s :ソフトウェア モジュール(cxsc など)

推奨処置 削除されたか、障害が発生したドライブを交換し、ASA をリロードします。

341005

エラー メッセージ %ASA-3-341005: Storage device not available. Shutdown issued for module %s .

説明 すべての SSD が失敗したか、アップ状態のシステムから削除されました。システムがソフトウェア モジュールをシャット ダウンしています。

%s :ソフトウェア モジュール(cxsc など)

推奨処置 削除されたか、障害が発生したドライブを交換し、ソフトウェア モジュールをリロードします。

341006

%ASA-3-341006: Storage device not available.Failed to stop recovery of module %s .

説明 すべての SSD に障害が発生したか、リカバリ状態のシステムから削除されました。システムがリカバリを停止しようとしましたが、失敗しました。

%s :ソフトウェア モジュール(cxsc など)

推奨処置 削除されたか、障害が発生したドライブを交換し、ASA をリロードします。

341007

%ASA-3-341007: Storage device not available.Further recovery of module %s was stopped.This may take several minutes to complete.

説明 すべての SSD に障害が発生したか、リカバリ状態のシステムから削除されました。システムはソフトウェア モジュールのリカバリを中断します。

%s :ソフトウェア モジュール(cxsc など)

推奨処置 削除されたか、障害が発生したドライブを交換し、ソフトウェア モジュールをリロードします。

341008

%ASA-3-341008: Storage device not found.Auto-boot of module %s cancelled.Install drive and reload to try again.

説明 システムをアップ状態にした後、すべての SSD に障害が発生したか、システムをリロードする前に削除されました。ブート中のデフォルト動作ではソフトウェア モジュールが自動ブートされますが、利用可能なストレージ デバイスがないため、その動作がブロックされます。

推奨処置 削除されたか、障害が発生したドライブを交換し、ソフトウェア モジュールをリロードします。

341010

エラー メッセージ %ASA-6-341010: Storage device with serial number ser_no [inserted into | removed from] bay bay_no

説明 ASA が挿入または削除のイベントを検出し、この syslog メッセージをすぐに生成します。

推奨処置 対処は不要です。

341011

エラー メッセージ %ASA-3-341011: Storage device with serial number ser_no in bay bay_no faulty.

説明 ASA は 10 分ごとにハード ディスク ドライブ(HDD)のヘルス ステータスをポーリングし、HDD が障害状態の場合は、この syslog メッセージを生成します。

推奨処置 対処は不要です。

メッセージ 400000 ~ 450001

この項では、400000 から 450001 までのメッセージについて説明します。

4000nn

エラー メッセージ %ASA-4-4000nn: IPS: number string from IP_address to IP_address on interface interface_name

説明 メッセージ 400000 ~ 400051 は、Cisco Intrusion Prevention Service のシグニチャ メッセージです。

推奨処置 Cisco.com にある『Cisco Intrusion Prevention Service User Guide』を参照してください。

今回のリリースの ASA では、シグニチャ メッセージがすべてサポートされているわけではありません。IPS メッセージは、すべて 4-4000nn で始まり、次の形式になります。

 

number

シグニチャ番号。詳細については、Cisco.com にある『Cisco Intrusion Prevention Service User Guide』を参照してください。

string

シグニチャ メッセージ(NetRanger シグニチャ メッセージとほぼ同じです)。

IP_address

シグニチャが適用されるローカル ツー リモート アドレス。

interface_name

シグニチャが基づくインターフェイスの名前。

例を示します。

%ASA-4-400013 IPS:2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
%ASA-4-400032 IPS:4051 UDP Snork attack from 10.1.1.1 to 192.168.1.1 on interface outside
 

表 1-5 に、サポートされているシグニチャ メッセージを示します。

 

表 1-5 IPS Syslog メッセージ

メッセージ番号
シグニチャ ID
シグニチャ タイトル
シグニチャ タイプ

400000

1000

IP options-Bad Option List

Informational

400001

1001

IP options-Record Packet Route

Informational

400002

1002

IP options-Timestamp

Informational

400003

1003

IP options-Security

Informational

400004

1004

IP options-Loose Source Route

Informational

400005

1005

IP options-SATNET ID

Informational

400006

1006

IP options-Strict Source Route

Informational

400007

1100

IP Fragment Attack

Attack

400008

1102

IP Impossible Packet

Attack

400009

1103

IP Fragments Overlap

Attack

400010

2000

ICMP Echo Reply

Informational

400011

2001

ICMP Host Unreachable

Informational

400012

2002

ICMP Source Quench

Informational

400013

2003

ICMP Redirect

Informational

400014

2004

ICMP Echo Request

Informational

400015

2005

ICMP Time Exceeded for a Datagram

Informational

400016

2006

ICMP Parameter Problem on Datagram

Informational

400017

2007

ICMP Timestamp Request

Informational

400018

2008

ICMP Timestamp Reply

Informational

400019

2009

ICMP Information Request

Informational

400020

2010

ICMP Information Reply

Informational

400021

2011

ICMP Address Mask Request

Informational

400022

2012

ICMP Address Mask Reply

Informational

400023

2150

Fragmented ICMP Traffic

Attack

400024

2151

Large ICMP Traffic

Attack

400025

2154

Ping of Death Attack

Attack

400026

3040

TCP NULL flags

Attack

400027

3041

TCP SYN+FIN flags

Attack

400028

3042

TCP FIN only flags

Attack

400029

3153

FTP Improper Address Specified

Informational

400030

3154

FTP Improper Port Specified

Informational

400031

4050

UDP Bomb attack

Attack

400032

4051

UDP Snork attack

Attack

400033

4052

UDP Chargen DoS attack

Attack

400034

6050

DNS HINFO Request

Informational

400035

6051

DNS Zone Transfer

Informational

400036

6052

DNS Zone Transfer from High Port

Informational

400037

6053

DNS Request for All Records

Informational

400038

6100

RPC Port Registration

Informational

400039

6101

RPC Port Unregistration

Informational

400040

6102

RPC Dump

Informational

400041

6103

Proxied RPC Request

Attack

400042

6150

ypserv (YP server daemon) Portmap Request

Informational

400043

6151

ypbind (YP bind daemon) Portmap Request

Informational

400044

6152

yppasswdd (YP password daemon) Portmap Request

Informational

400045

6153

ypupdated (YP update daemon) Portmap Request

Informational

400046

6154

ypxfrd (YP transfer daemon) Portmap Request

Informational

400047

6155

mountd (mount daemon) Portmap Request

Informational

400048

6175

rexd (remote execution daemon) Portmap Request

Informational

400049

6180

rexd (remote execution daemon) Attempt

Informational

400050

6190

statd Buffer Overflow

Attack

401001

エラー メッセージ %ASA-4-401001: Shuns cleared

説明 メモリから既存の排除を削除するために clear shun コマンドが入力されました。組織によるシャニング アクティビティの記録が許可されました。

推奨処置 不要です。

401002

エラー メッセージ %ASA-4-401002: Shun added: IP_address IP_address port port

説明 shun コマンドが入力されました。このコマンドの最初の IP アドレスは排除されたホストです。その他のアドレスとポートはオプションであり、有効な場合は接続を終了するのに使用されます。組織によるシャニング アクティビティの記録が許可されました。

推奨処置 不要です。

401003

エラー メッセージ %ASA-4-401003: Shun deleted: IP_address

説明 排除されたホストの 1 つが排除データベースから削除されました。組織によるシャニング アクティビティの記録が許可されました。

推奨処置 不要です。

401004

エラー メッセージ %ASA-4-401004: Shunned packet: IP_address = IP_address on interface interface_name

説明 IP SRC によって定義されたホストは排除データベースのホストであるために、パケットが廃棄されました。排除されたホストは、そこで排除されたインターフェイスにトラフィックを渡すことはできません。たとえば、インターネット上の外部ホストは外部インターフェイス上で排除されます。排除されたホストのアクティビティの記録が提供されました。このメッセージとメッセージ %ASA-4-401005 を使用すると、このホストに関するリスクを詳しく見積もることができます。

推奨処置 不要です。

401005

エラー メッセージ %ASA-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port

説明 ASA のメモリが不足しています。排除が適用できません。

推奨処置 Cisco IPS は、引き続き、この規則を適用しようとします。メモリを再利用して排除を手動で再適用するか、または Cisco IPS によって排除が適用されるのを待機します。

402114

エラー メッセージ %ASA-4-402114: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP to local_IP with an invalid SPI.

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

remote_IP:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

local_IP:トンネルのローカル エンドポイントの IP アドレス

説明 SA データベースに存在しない SPI を指定している IPSec パケットを受信しました。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。また、IPSec ピアによって不正なパケットが送信されたことを示すこともあります。これも攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

推奨処置 ローカル SA が消去されたことを、ピアは認識していないことがあります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に接続を再度確立することがあります。あるいは、問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合わせます。

402115

エラー メッセージ %ASA-4-402115: IPSEC: Received a packet from remote_IP to local_IP containing act_prot data instead of exp_prot data.

説明 期待された ESP ヘッダーのない IPSec パケットを受信しました。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃を示している可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

remote_IP:トンネルのリモート エンドポイントの IP アドレス

local_IP:トンネルのローカル エンドポイントの IP アドレス

act_prot :受信した IPSec プロトコル

exp_prot :期待された IPSec プロトコル

推奨処置 ピアの管理者にお問い合わせください。

402116

エラー メッセージ %ASA-4-402116: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP ( username ) to local_IP . The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as pkt_daddr , its source as pkt_saddr , and its protocol as pkt_prot . The SA specifies its local proxy as id_daddr / id_dmask / id_dprot / id_dport and its remote proxy as id_saddr / id_smask / id_sprot / id_sport .

説明 カプセル化解除された IPSec パケットがネゴシエートされた ID と一致しません。ピアは、このセキュリティ アソシエーションを通じて他のトラフィックを送信中です。これは、ピアによるセキュリティ アソシエーション選択エラーが原因であるか、攻撃の一部の場合である可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

remote_IP:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

local_IP:トンネルのローカル エンドポイントの IP アドレス

pkt_daddr:カプセル化解除されたパケットからの宛先アドレス

pkt_saddr:カプセル化解除されたパケットからの送信元アドレス

pkt_prot:カプセル化解除されたパケットからのトランスポート プロトコル

id_daddr:ローカル プロキシ IP アドレス

id_dmask:ローカル プロキシ IP サブネット マスク

id_dprot:ローカル プロキシ トランスポート プロトコル

id_dport:ローカル プロキシ ポート

id_saddr:リモート プロキシ IP アドレス

id_smask:リモート プロキシ IP サブネット マスク

id_sprot:リモート プロキシ トランスポート プロトコル

id_sport:リモート プロキシ ポート

推奨処置 ピアの管理者に問い合わせて、ポリシーの設定を比較します。

402117

エラー メッセージ %ASA-4-402117: IPSEC: Received a non-IPsec ( protocol ) packet from remote_IP to local_IP .

説明 受信パケットはクリプト マップ ACL と一致したが、IPSec でカプセル化されていません。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックだけを受信するようにファイアウォールを設定できます。IPSec 暗号化を行わずに Telnet を使用して、ポート 23 上で外部インターフェイスにアクセスしようとすると、このメッセージが表示されますが、ポート 23 以外の外部インターフェイスに対する Telnet またはトラフィックの場合は表示されません。このエラーは、攻撃を示すこともあります。このメッセージは、これらの条件以外では生成されません(たとえば、ASA インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージ 710001、710002、および 710003 を参照してください。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル

remote_IP:トンネルのリモート エンドポイントの IP アドレス

local_IP:トンネルのローカル エンドポイントの IP アドレス

推奨処置 ピアの管理者に問い合わせて、ポリシーの設定を比較します。

402118

エラー メッセージ %ASA-4-402118: IPSEC: Received an protocol packet (SPI= spi , sequence number seq_num ) from remote_IP ( username ) to local_IP containing an illegal IP fragment of length frag_len with offset frag_offset .

説明 カプセル化解除された IPSec パケットに、128 バイト以下のオフセットの IP フラグメントが含まれていました。最新バージョンの IP RFC のセキュリティ アーキテクチャでは、リアセンブリ攻撃を防止するために最小 IP フラグメント オフセットを 128 バイトにすることを推奨しています。これは攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

remote_IP:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

local_IP:トンネルのローカル エンドポイントの IP アドレス

frag_len:IP フラグメント長

frag_offset:IP フラグメント オフセット(バイト)

推奨処置 リモート ピアの管理者に問い合わせて、ポリシーの設定を比較します。

402119

エラー メッセージ %ASA-4-402119: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP ( username ) to local_IP that failed anti-replay checking.

説明 シーケンス番号が無効な IPSec パケットを受信しました。ピアは、以前に使用された可能性のあるシーケンス番号が含まれたパケットを送信中です。このメッセージは、受け入れ許容範囲外のシーケンス番号の IPSec パケットを受信したことを示します。このパケットは、可能性のある攻撃の一部として IPSec により廃棄されます。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

remote_IP:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

local_IP:トンネルのローカル エンドポイントの IP アドレス

推奨処置 ピアの管理者にお問い合わせください。

402120

エラー メッセージ %ASA-4-402120: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP ( username ) to local_IP that failed authentication.

説明 IPSec パケットを受信したが認証に失敗しました。パケットはドロップされます。パケットは中継中に破損したか、ピアが無効な IPSec パケットを送信している可能性があります。これらのパケットの多くを同じピアから受信した場合、攻撃を示している可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

remote_IP:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

local_IP:トンネルのローカル エンドポイントの IP アドレス

推奨処置 受信したパケットの認証失敗が多い場合は、リモート ピアの管理者にお問い合わせください。

402121

エラー メッセージ %ASA-4-402121: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from peer_addr ( username ) to lcl_addr that was dropped by IPsec ( drop_reason ).

説明 カプセル化解除する IPSec パケットを受信したが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、ASA の設定または ASA そのものに問題が存在する可能性があることを示しています。

protocol :IPSec プロトコル

spi :IPSec のセキュリティ パラメータ インデックス

seq_num:IPSec シーケンス番号

peer_addr:トンネルのリモート エンドポイントの IP アドレス

username :IPSec トンネルに関連付けられているユーザ名

lcl_addr:トンネルのローカル エンドポイントの IP アドレス

drop_reason:パケットが廃棄された原因

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

402122

エラー メッセージ %ASA-4-402122: Received a cleartext packet from src_addr to dest_addr that was to be encapsulated in IPsec that was dropped by IPsec ( drop_reason ).

説明 IPSec でカプセル化するパケットを受信しましたが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、ASA の設定または ASA そのものに問題が存在する可能性があることを示しています。

src_addr :送信元 IP アドレス

dest_addr :宛先 IP アドレス

drop_reason:パケットが廃棄された原因

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

402123

エラー メッセージ %ASA-4-402123: CRYPTO: The accel_type hardware accelerator encountered an error (code= error_string ) while executing crypto command command .

説明 ハードウェア アクセラレータを使用した crypto コマンドの実行中にエラーが検出されました。アクセラレータの問題を示している可能性があります。このタイプのエラーは、さまざまな理由で発生します。このメッセージは、原因の判定に役立つように暗号アクセラレータ カウンタを補足します。

accel_type:ハードウェア アクセラレータ タイプ

error_string :エラーのタイプを示すコード

command:エラーを生成した暗号コマンド

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

402124

エラー メッセージ %ASA-4-402124: CRYPTO: The ASA hardware accelerator encountered an error (Hardware error address, Core, Hardware error code, IstatReg, PciErrReg, CoreErrStat, CoreErrAddr, Doorbell Size, DoorBell Outstanding, SWReset).

説明 暗号ハードウェア チップが重大エラーを報告しました。チップが動作不能であることを示します。このメッセージからの情報は、詳細を取り込み、問題をさらに分析できるようにします。この状態が検出されると、暗号チップがリセットされ、円滑にASA の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。このメッセージには、暗号ハードウェアに関連する次のようなさまざまなパラメータが含まれています。

HWErrAddr:ハードウェア アドレス(暗号チップによって設定)

Core:エラーが発生している暗号コア

HwErrCode:ハードウェア エラー コード(暗号チップによって設定)

IstatReg:割り込みステータス レジスタ(暗号チップによって設定)

PciErrReg:PCI エラー レジスタ(暗号チップによって設定)

CoreErrStat:コア エラー ステータス(暗号チップによって設定)

CoreErrAddr:コア エラー アドレス(暗号チップによって設定)

Doorbell Size:許可される暗号コマンドの最大数

DoorBell Outstanding:処理待ちの暗号コマンド数

SWReset:ブート後の暗号チップ リセット回数

推奨処置 メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。

402125

エラー メッセージ %ASA-4-402125: The ASA hardware accelerator ring timed out ( parameters ).

説明 IPSEC の記述子リングまたは SSL/Admin の記述子リングが進行していないことを暗号ドライバが検出しました。つまり、暗号チップが機能していないと思われます。この状態が検出されると、暗号チップがリセットされ、円滑にASA の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。

ring :IPSEC リングまたは Admin リング

parameters :次のとおり

- Desc:記述子アドレス

- CtrlStat:制御/ステータス値

- ResultP:成功ポインタ

- ResultVal:成功値

- Cmd:暗号コマンド

- CmdSize:コマンド サイズ

- Param:コマンド パラメータ

- Dlen:データ長

- DataP:データ ポインタ

- CtxtP:VPN コンテキスト ポインタ

- SWReset:ブート後の暗号チップ リセット回数

推奨処置 メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。

402126

エラー メッセージ %ASA-4-402126: CRYPTO: The ASA created Crypto Archive File Archive Filename as a Soft Reset was necessary. Please forward this archived information to Cisco.

説明 ハードウェア暗号チップで機能上の問題が検出されました(syslog メッセージ 402124 および 402125 を参照)。暗号の問題をさらにデバッグするために、現在の暗号ハードウェア環境(ハードウェア レジスタおよび暗号記述エントリ)を含む暗号アーカイブ ファイルが生成されます。ブート時に、フラッシュ ファイル システム上に crypto_archive ディレクトリが自動的に作成されました(事前に存在していなかった場合)。このディレクトリには、最大 2 つの暗号アーカイブ ファイルが存在できます。

Archive Filename :暗号アーカイブ ファイルの名前。暗号アーカイブ ファイルの名前は crypto_arch_x.bin という形式です。ここで、x は 1 または 2 です。

推奨処置 暗号アーカイブ ファイルを Cisco TAC に転送し、さらなる分析を依頼してください。

402127

エラー メッセージ %ASA-4-402127: CRYPTO: The ASA is skipping the writing of latest Crypto Archive File as the maximum # of files, max_number, allowed have been written to archive_directory . Please archive & remove files from Archive Directory if you want more Crypto Archive Files saved.

説明 ハードウェア暗号チップで機能上の問題が検出されました(メッセージ 4402124 および 4402125 を参照)。このメッセージは、最大数の暗号アーカイブ ファイルがすでに存在していたため、暗号アーカイブ ファイルが書き込まれなかったことを示しています。

max_number :アーカイブ ディレクトリで許可されているファイルの最大数(現在は 2 に設定されています)

archive_directory :アーカイブ ディレクトリの名前

推奨処置 以前に生成された暗号アーカイブ ファイルを Cisco TAC に転送します。以前に生成されたアーカイブ ファイルを削除して、別のアーカイブ ファイルを書き込むことができるようにします(必要であると思われる場合)。

402128

エラー メッセージ %ASA-5-402128: CRYPTO: An attempt to allocate a large memory block failed, size: size , limit: limit

説明 SSL 接続で許容量を超えるメモリの使用が試みられています。要求が拒否されました。

size :割り当てられようとしたメモリ ブロックのサイズ

limit :許容割り当てメモリの最大サイズ

推奨処置 このメッセージが引き続き表示される場合は、SSL サービス拒絶攻撃が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。

402129

エラー メッセージ %ASA-6-402129: CRYPTO: An attempt to release a DMA memory block failed, location: address

説明 内部ソフトウェア エラーが発生しました。

address :解放されようとしたアドレス

推奨処置 Cisco TAC に連絡して、サポートを受けてください。

402130

エラー メッセージ %ASA-6-402130: CRYPTO: Received an ESP packet (SPI = 0x54A5C634, sequence number=0x7B) from 75.2.96.101 (user=user) to 85.2.96.10 with incorrect IPsec padding.

説明 ASA の暗号ハードウェア アクセラレータで無効な埋め込みデータを含む IPSec パケットが検出されました。ATT VPN クライアントでは、IPSec パケットの埋め込みが不適切に行われる場合があります。

SPI :パケットに関連付けられている SPI

sequence number :パケットに関連付けられているシーケンス番号

user :ユーザ名文字列

padding :パケットからの埋め込みデータ

推奨処置 このメッセージが不要であり、ASA の問題が示されていない場合、ATT VPN クライアントを使用しているお客様は VPN クライアント ソフトウェアのアップグレードが必要になることがあります。

402131

エラー メッセージ %ASA-4-402131: CRYPTO: status changing the accel_instance hardware accelerator's configuration bias from old_config_bias to new_config_bias .

説明 ハードウェア アクセラレーション設定が ASA で変更されました。一部の ASAプラットフォームには、複数のハードウェア アクセラレータがあります。ハードウェア アクセラレータの変更ごとに 1 件の syslog メッセージが生成されます。

status :success または failure を示します

accel_instance :ハードウェア アクセラレータのインスタンス

old_config_bias :古い設定

new_config_bias :新しい設定

推奨処置 設定を変更しようとしてアクセラレータのいずれかが失敗した場合、ロギング情報を収集し、Cisco TAC に連絡してください。障害が発生した場合、ソフトウェアは、設定変更を複数回再試行します。再試行が失敗した場合、ソフトウェアは元の構成バイアスにフォールバックします。ハードウェア アクセラレータの再設定に複数回失敗する場合、ハードウェアの障害を示している可能性があります。

402140

エラー メッセージ %ASA-3-402140: CRYPTO: RSA key generation error: modulus len len

説明 RSA 公開キー ペアの生成時にエラーが発生しました。

len :ビット単位で示したプライム モジュラスの長さ

推奨処置 Cisco TAC に連絡して、サポートを受けてください。

402141

エラー メッセージ %ASA-3-402141: CRYPTO: Key zeroization error: key set type , reason reason

説明 RSA 公開キー ペアの生成時にエラーが発生しました。

type :次のいずれかのキー セット タイプ。DH、RSA、DSA、unknown

reason :予期しない暗号化セッション タイプ

推奨処置 Cisco TAC に連絡して、サポートを受けてください。

402142

エラー メッセージ %ASA-3-402142: CRYPTO: Bulk data op error: algorithm alg , mode mode

説明 対称キー操作中にエラーが発生しました。

op :encryption または decryption のいずれかの操作

alg :次のいずれかの暗号化アルゴリズム。DES、3DES、AES、RC4

mode :次のいずれかのモード。CBC、CTR、CFB、ECB、stateful-RC4、stateless-RC4

推奨処置 Cisco TAC に連絡して、サポートを受けてください。

402143

エラー メッセージ %ASA-3-402143: CRYPTO: alg type key op

説明 非対称キー操作中にエラーが発生しました。

alg :RSA または DSA のいずれかの暗号化アルゴリズム

type :public または private のいずれかのキー タイプ

op :encryption または decryption のいずれかの操作

推奨処置 Cisco TAC に連絡して、サポートを受けてください。

402144

エラー メッセージ %ASA-3-402144: CRYPTO: Digital signature error: signature algorithm sig , hash algorithm hash

説明 デジタル署名の生成中にエラーが発生しました。

sig :RSA または DSA のいずれかの署名アルゴリズム

hash :次のいずれかのハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512

推奨処置 Cisco TAC に連絡して、サポートを受けてください。

402145

エラー メッセージ %ASA-3-402145: CRYPTO: Hash generation error: algorithm hash

説明 ハッシュ生成エラーが発生しました。

hash :次のいずれかのハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512

推奨処置 Cisco TAC に連絡して、サポートを受けてください。

402146

エラー メッセージ %ASA-3-402146: CRYPTO: Keyed hash generation error: algorithm hash , key len len

説明 キー付きハッシュ生成エラーが発生しました。

hash :次のいずれかのハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512

len :ビット単位で示したキーの長さ

推奨処置 Cisco TAC に連絡して、サポートを受けてください。

402147

エラー メッセージ %ASA-3-402147: CRYPTO: HMAC generation error: algorithm alg

説明 HMAC の生成エラーが発生しました。

alg :次のいずれかの HMAC アルゴリズム。HMAC-MD5、HMAC-SHA1、HMAC-SHA2、AES-XCBC

推奨処置 Cisco TAC に連絡して、サポートを受けてください。

402148

エラー メッセージ %ASA-3-402148: CRYPTO: Random Number Generator error

説明 乱数ジェネレータ エラーが発生しました。

推奨処置 Cisco TAC に連絡して、サポートを受けてください。

403101

エラー メッセージ %ASA-4-403101: PPTP session state not established, but received an XGRE packet, tunnel_id= number , session_id= number

説明 ASA が、対応する制御接続セッションのない PPTP XGRE パケットを受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

403102

エラー メッセージ %ASA-4-403102: PPP virtual interface interface_name rcvd pkt with invalid protocol: protocol , reason: reason .

説明 プロトコル フィールドが無効な XGRE カプセル化 PPP パケットをモジュールが受信しました。

推奨処置 問題が解決しない場合、Cisco TAC にお問い合わせください。

403103

エラー メッセージ %ASA-4-403103: PPP virtual interface max connections reached.

説明 モジュールは、追加の PPTP 接続を受け入れることはできません。接続は有効になるとすぐに割り当てられます。

推奨処置 不要です。

403104

エラー メッセージ %ASA-4-403104: PPP virtual interface interface_name requires mschap for MPPE.

説明 MPPE は設定されていましたが、MS-CHAP 認証が設定されていませんでした。

推奨処置 vpdn group group_name ppp authentication コマンドで、MS-CHAP 認証を追加します。

403106

エラー メッセージ %ASA-4-403106: PPP virtual interface interface_name requires RADIUS for MPPE.

説明 MPPE は設定されていましたが、RADIUS 認証が設定されていませんでした。

推奨処置 vpdn group group_name ppp authentication コマンドで、RADIUS 認証を追加します。

403107

エラー メッセージ %ASA-4-403107: PPP virtual interface interface_name missing aaa server group info

説明 AAA サーバ設定情報を検出できません。

推奨処置 vpdn group group_name client authentication aaa aaa_server_group コマンドで、AAA サーバ情報を追加します。

403108

エラー メッセージ %ASA-4-403108: PPP virtual interface interface_name missing client ip address option

説明 クライアント IP アドレス プール情報が不足しています。

推奨処置 vpdn group group_name client configuration address local address_pool_name コマンドで、IP アドレス プール情報を追加します。

403109

エラー メッセージ %ASA-4-403109: Rec'd packet not an PPTP packet. ( ip ) dest_address = dest_address , src_addr = source_address , data: string.

説明 モジュールは敵対イベントを示す可能性があるスプーフィングされた PPTP パケットを受信しました。

推奨処置 ピアの管理者に問い合わせて、PPTP コンフィギュレーション設定を確認します。

403110

エラー メッセージ %ASA-4-403110: PPP virtual interface interface_name , user: user missing MPPE key from aaa server.

説明 AAA サーバは、MPPE 暗号化ポリシーのセットアップに必要な MPPE キー属性を返しませんでした。

推奨処置 AAA サーバの設定を確認してください。AAA サーバが MPPE キー属性を返せない場合は、代わりに vpdn group group_name client authentication local コマンドを入力してローカル認証を使用します。

403500

エラー メッセージ %ASA-6-403500: PPPoE - Service name 'any' not received in PADO. Intf: interface_name AC: ac_name .

説明 ASA が、インターネット サービス プロバイダーのアクセス コントローラからの PPPoE サービス any を要求しました。サービス プロバイダーからの応答には他のサービスが含まれていますが、サービス any は含まれていません。これは、プロトコルの実装の不一致です。PADO パケットは正常に処理されて、接続ネゴシエーションが続行されます。

推奨処置 不要です。

403501

エラー メッセージ %ASA-3-403501: PPPoE - Bad host-unique in PADO - packet dropped. Intf: interface_name AC: ac_name

説明 ASA は、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。ASA はこの応答に対応する接続要求を識別できませんでした。パケットは廃棄され、接続ネゴシエーションは切断されました。

推奨処置 インターネット サービス プロバイダーにお問い合わせください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。

403502

エラー メッセージ %ASA-3-403502: PPPoE - Bad host-unique in PADS - dropping packet. Intf: interface_name AC: ac_name

説明 ASA は、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。ASA はこの応答に対応する接続要求を識別できませんでした。パケットは廃棄され、接続ネゴシエーションは切断されました。

推奨処置 インターネット サービス プロバイダーにお問い合わせください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。

403503

エラー メッセージ %ASA-3-403503: PPPoE:PPP link down: reason

説明 PPP リンクがダウンしました。これが発生する原因は数多くあります。最初の形式に表示される理由は、PPP からの理由の場合です。

推奨処置 ネットワーク リンクを調べて、リンクが接続されていることを確認します。アクセス コンセントレータがダウンしていることがあります。認証プロトコルがアクセス コンセントレータと一致し、名前とパスワードが正しいことを確認します。ISP またはネットワーク サポート担当者にこの情報を確認します。

403504

エラー メッセージ %ASA-3-403504: PPPoE:No 'vpdn group group_name ' for PPPoE is created

説明 PPPoE では、PPPoE セッションを開始する前に、ダイヤルアウト コンフィギュレーションが必要です。一般的にコンフィギュレーションでは、ダイヤル ポリシー、PPP 認証、ユーザ名、およびパスワードを指定する必要があります。次の例では、ASA を PPPoE ダイヤルアウト用に設定します。my-username コマンドおよび my-password コマンドは、必要であれば PAP を使用して、アクセス コンセントレータの認証に使用されます。

例を示します。

hostname# vpdn group my-pppoe request dialout pppoe
hostname# vpdn group my-pppoe ppp authentication pap
hostname# vpdn group my-pppoe localname my-username
hostname# vpdn username my-username password my-password
hostname# ip address outside pppoe setroute
 

推奨処置 PPPoE 用の VPDN グループを設定します。

403505

エラー メッセージ %ASA-4-403505: PPPoE:PPP - Unable to set default route to IP_address at interface_name

説明 通常、このメッセージには「default route already exists」というメッセージが続きます。

推奨処置 現行のデフォルト ルートを削除するか、または setroute パラメータを削除して、PPPoE と手動で設定したルートが競合しないようにします。

403506

エラー メッセージ %ASA-4-403506: PPPoE:failed to assign PPP IP_address netmask netmask at interface_name

説明 このメッセージには、「subnet is the same as interface」または「on failover channel」というメッセージのいずれかが続きます。

推奨処置 最初の場合は、競合の原因となったアドレスを変更します。2 番目の場合は、フェールオーバー インターフェイス以外のインターフェイスに PPPoE を設定します。

403507

エラー メッセージ %ASA-3-403507: PPPoE:PPPoE client on interface interface failed to locate PPPoE vpdn group group_name

説明 pppoe client vpdn group group_name コマンドを入力して、インターフェイス上の PPPoE クライアントが特定の VPDN グループを使用するように設定できます。システムの起動時に、設定した名前の PPPoE VPDN グループが見つからなかった場合、このメッセージが生成されます。

interface :どのインターフェイス上の PPPoE クライアントに障害が発生したか

group_name :インターフェイス上の PPPoE クライアントの VPDN グループ名

推奨処置 次の手順を実行します。

1. vpdn group group_name コマンドを入力して、必要な VPDN グループを追加します。グローバル コンフィギュレーション モードでダイヤルアウト PPPoE を要求し、すべてのグループ プロパティを追加します。

2. 指摘されたインターフェイスから pppoe client vpdn group group_name コマンドを削除します。この場合、PPPoE クライアントは、定義済みの最初の PPPoE VPDN グループを使用しようとします。


) すべての変更内容は、ip address pppoe コマンドを入力してインターフェイス上の PPPoE クライアントを再起動した後に限り有効になります。


405001

エラー メッセージ %ASA-4-405001: Received ARP {request | response} collision from IP_address / MAC_address on interface interface_name to IP_address / MAC_address on interface interface_name

説明 ASA が ARP パケットを受信しましたが、パケットの MAC アドレスが ARP キャッシュ エントリと異なっています。

推奨処置 このトラフィックは、正当である場合もあれば、ARP ポイズニング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。

405003

エラー メッセージ %ASA-4-405003: IP address collision detected between host IP_address at MAC_address and interface interface_name , MAC_address .

説明 ネットワーク内のクライアントの IP アドレスが ASA インターフェイス IP アドレスと同じです。

推奨処置 クライアントの IP アドレスを変更します。

405101

エラー メッセージ %ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]

説明 モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨処置 このメッセージが定期的に表示される場合は、無視できます。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。

405002

エラー メッセージ %ASA-4-405002: Received mac mismatch collision from IP_address / MAC_address for authenticated host

説明 このパケットは、次のどちらかの条件の場合に表示されます。

ASA は IP アドレスが同じだが、MAC アドレスがその uauth エントリの 1 つとは異なるパケットを受信しました。

ASA に vpnclient mac-exempt コマンドを設定しました。除外 MAC アドレスを持つが、対応する uauth エントリとは異なる IP アドレスを持つパケットが ASA によって受信されました。

推奨処置 このトラフィックは、正当である場合もあれば、スプーフィング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスと IP アドレスを確認してパケットの送信元と、そのパケットが有効なホストに属しているかどうかを調べます。

405101

エラー メッセージ %ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [ / inside_port ]

説明 ASA が、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。また、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが定期的に表示される場合は、無視できます。問題が解決しない場合、Cisco TAC にお問い合わせください。

405102

エラー メッセージ %ASA-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]

説明 ASA が、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。また、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが定期的に表示される場合は、無視できます。問題が解決しない場合、Cisco TAC にお問い合わせください。

405103

エラー メッセージ %ASA-4-405103: H225 message from source_address/source_port to dest_address / dest_port contains bad protocol discriminator hex

説明 ASA はプロトコル識別子 0x08 を予測していますが、0x08 以外の識別子を受信しました。エンドポイントから不良パケットが送信されているか、または最初のセグメント以外のメッセージ セグメントを受信した可能性があります。パケットの通過は許可されます。

推奨処置 不要です。

405104

エラー メッセージ %ASA-4-405104: H225 message received from outside_address / outside_port to inside_address / inside_port before SETUP

説明 初期 SETUP メッセージの前に H.225 メッセージを正しくない順序で受信しました。これは許可されません。ASA は、その H.225 コール シグナリング チャネルに関する初期 SETUP メッセージを受信してから、他のすべての H.225 メッセージを受信する必要があります。

推奨処置 不要です。

405105

エラー メッセージ %ASA-4-405105: H323 RAS message AdmissionConfirm received from source_address / source_port to dest_address / dest_port without an AdmissionRequest

説明 ゲートキーパーから ACF が送信されましたが、ASA はゲートキーパーに ARQ を送信していません。

推奨処置 指摘された source_address のゲートキーパーを確認して、ASA から ARQ を受信していないのに ACF が送信された理由を判定します。

405106

エラー メッセージ %ASA-4-405106: H323 num channel is not created from %I/%d to %I/%d %s

説明 ASA が H.323 メディア タイプ チャネルに関して一致条件を作成しようとしました。詳細については、 match media-type コマンドを参照してください。

推奨処置 不要です。

405107

エラー メッセージ %ASA-4-405107: H245 Tunnel is detected and connection dropped from %I/%d to %I/%d %s

説明 コール セットアップ中に試行された H.245 トンネル制御のために、H.323 接続が廃棄されました。詳細については、 h245-tunnel-block コマンドを参照してください。

推奨処置 不要です。

405201

エラー メッセージ %ASA-4-405201: ILS ILS_message_type from inside_interface:source_IP_address to outside_interface:/destination_IP_address has wrong embedded address embedded_IP_address

説明 ILS パケット ペイロードに埋め込まれたアドレスが、IP パケット ヘッダーの送信元 IP アドレスと異なっていました。

推奨処置 source_IP_address で指摘されたホストを確認して、誤った埋め込み IP アドレスで ILS パケットが送信された理由を判定します。

405300

エラー メッセージ %ASA-4-405300: Radius Accounting Request received from from_addr is not allowed

説明 ポリシー マップに設定されていないホストからのアカウンティング要求を受け取りました。このメッセージがログに記録され、処理が停止します。

from_addr :要求を送信しているホストの IP アドレス

推奨処置 ホストが RADIUS アカウンティング メッセージを ASA に送信するように設定されている場合は、サービスポリシーに適用された正しいポリシー マップにホストが設定されていることを確認します。ホストが RADIUS アカウンティング メッセージを ASA に送信するように設定されていない場合は、メッセージが送信されている原因を確認します。メッセージが正当でない場合は、適切な ACL を作成してパケットを廃棄します。

405301

エラー メッセージ %ASA-4-405301: Attribute attribute_number does not match for user user_ip

説明 validate-attribute コマンドが入力された場合に、受信したアカウンティング要求開始に格納されている属性値が、エントリ(存在する場合)に格納されている属性値と一致しません。

attribute_number :RADIUS アカウンティングで検証される RADIUS 属性。値の範囲は 1 ~ 191 です。ベンダー固有の属性はサポートされていません。

user_ip :ユーザの IP アドレス(Framed IP 属性)。

推奨処置 不要です。

406001

エラー メッセージ %ASA-4-406001: FTP port command low port: IP_address / port to IP_address on interface interface_name

説明 クライアントが FTP ポート コマンドを入力して、1024(通常はサーバ ポート専用の周知のポート範囲にある)より小さなポート番号を指定しました。これは、サイト セキュリティ ポリシーを回避しようとしていることを示します。ASA は、パケットの廃棄、接続の終了、およびイベントの記録を行います。

推奨処置 不要です。

406002

エラー メッセージ %ASA-4-406002: FTP port command different address: IP_address( IP_address ) to IP_address on interface interface_name

説明 クライアントが FTP ポート コマンドを実行して、接続に使用されているアドレス以外のアドレスを指定しました。サイト セキュリティ ポリシーを回避しようとする試みが発生しました。たとえば、攻撃者が途中でパケットを変更し、正しいソース情報の代わりに別のソース情報を設定して FTP セッションをハイジャックしようとしている場合があります。ASA は、パケットの廃棄、接続の終了、およびイベントの記録を行います。カッコ内のアドレスは、ポート コマンドからのアドレスです。

推奨処置 不要です。

407001

エラー メッセージ %ASA-4-407001: Deny traffic for local-host interface_name : inside_address , license limit of number exceeded

説明 ホスト制限を超えました。次のどちらかの条件に当てはまる場合、内部ホストは制限にカウントされます。

内部ホストは、この 5 分以内に、ASA 経由でトラフィックを転送しました。

内部ホストは、ASA で、xlate 接続またはユーザ認証を予約しました。

推奨処置 ホスト制限はローエンド プラットフォームに適用されます。ホスト制限を表示するには、 show version コマンドを使用します。ASA でのセッションを持つ現在のアクティブ ホストと内部ユーザを表示するには、 show local-host コマンドを使用します。1 つまたは複数のユーザを強制的に切断するには、 clear local-host コマンドを使用します。内部ユーザを制限になる前に期限切れにするには、xlate、接続、および uauth タイムアウトを推奨値以下に設定します。( 表 1-6 を参照)。

 

表 1-6 タイムアウトおよび推奨値

タイムアウト
推奨値

xlate

00:05:00(5 分)

conn

00:01:00(1 時間)

uauth

00:05:00(5 分)

407002

エラー メッセージ %ASA-4-407002: Embryonic limit nconns / elimit for through connections exceeded. outside_address / outside_port to global_address ( inside_address )/ inside_port on interface interface_name

説明 指摘されたグローバル アドレスを経由して、指摘された外部アドレスから指摘されたローカル アドレスに接続された数が、そのスタティックの最大初期制限を超えました。ASA は、接続にメモリが割り当て可能な場合は、その接続を受け入れようとします。ローカル ホストに代わってプロキシ ホストとなり、SYN_ACK パケットを外部ホストに送信します。ASA は、該当する状態情報を保持し、パケットを廃棄して、クライアントからの ACK を待ちます。このメッセージは、正当なトラフィックを示す場合もあれば、DoS 攻撃が進行中であることを示す場合もあります。

推奨処置 送信元アドレスを調べてパケットの送信元を判別し、それを有効なホストが送信しているかどうかを確認します。

407003

エラー メッセージ %ASA-4-407003: Established limit for RPC services exceeded number

説明 ASA は、最大ホール数に達した後、すでに設定されている RPC サーバ ペアまたは RPC サービス ペアに対して、新規のホールをオープンしようとしました。

推奨処置 他のホールがクローズされるのを待機するか(関連タイムアウト有効期限を使用)、またはサーバまたはサービスのアクティブ ペア数を制限します。

408001

エラー メッセージ %ASA-4-408001: IP route counter negative - reason , IP_address Attempt: number

説明 IP ルート カウンタを負の値に減少しようとしましたが失敗しました。

推奨処置 clear ip route コマンドを入力して、ルート カウンタをリセットします。問題が解決しない場合、Cisco TAC にお問い合わせください。

408002

エラー メッセージ %ASA-4-408002: ospf process id route type update address1 netmask1 [ distance1/metric1 ] via source IP : interface1 address2 netmask2 [ distance2 / metric2 ] interface2

説明 既存のルートよりも適切なメトリックを持つ同じ距離の別のインターフェイスからネットワーク アップデートを受信しました。新規のルートによって、別のインターフェイスを使用してインストールされた既存のルートが上書きされます。新規のルートは冗長目的に限り使用され、ネットワーク内でパスが移動されたことを意味します。この変更は、トポロジと再配布を使用して制御する必要があります。この変更の影響を受ける既存の接続は、ディセーブルにされる可能性があり、タイムアウトになります。このパスの移動は、パス冗長をサポートするようにネットワーク トポロジが特に設計されている場合(このケースが予測されます)に限り発生します。

推奨処置 不要です。

408003

エラー メッセージ %ASA-4-408003: can't track this type of object hex

説明 トラッキング システムのコンポーネントが、サポートしていないオブジェクト タイプを検出しました。STATE オブジェクトが予期されていました。

hex :メモリ内の変数値またはアドレスを示す 16 進値

推奨処置 トラック オブジェクトを再設定して、STATE オブジェクトにします。

409001

エラー メッセージ %ASA-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls

説明 ソフトウェアによって、予想外の状態が検出されました。ルータによって修正処置が行われ、続行されます。

推奨処置 不要です。

409002

エラー メッセージ %ASA-4-409002: db_free: external LSA IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

推奨処置 不要です。

409003

エラー メッセージ %ASA-4-409003: Received invalid packet: reason from IP_address , interface_name

説明 無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、送信側の誤った OSPF コンフィギュレーションか内部エラーの可能性があります。

推奨処置 受信側の OSPF コンフィギュレーションと送信側のコンフィギュレーションに不整合がないかを確認します。

409004

エラー メッセージ %ASA-4-409004: Received reason from unknown neighbor IP_address

説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できません。

推奨処置 不要です。

409005

エラー メッセージ %ASA-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name

説明 ASA は、正常なヘッダー サイズよりも短いフィールド長の OSPF パケット、または到着した IP パケットのサイズと一致しない OSPF パケットを受信しました。これは、パケットの送信側のコンフィギュレーション エラーを示しています。

推奨処置 隣接アドレスから、問題のルータを特定しリブートします。

409006

エラー メッセージ %ASA-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address</