show opdata ~ show raid コマンド
show opdata ~ show raid コマンド
発行日;2012/11/27   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

show opdata ~ show raid コマンド

show opdata adisessions

現在の認証ディレクトリ インターフェイス(ADI)セッション情報を表示するには、show opdata adisessions コマンドを使用します。

show opdata adisessions

Syntax Description

このコマンドには、引数またはキーワードはありません。

Command Default

デフォルトの動作や値はありません。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(2)

このコマンドが追加されました。

Usage Guidelines

show opdata adisessions コマンドは、現在の ADI セッションのディレクトリ(ユーザから IP アドレスへの接続マッピング)を表示するために使用します。 次の情報が表示されます。

フィールド

説明

total_sessions

ディレクトリの現在のセッションの合計数。

contained_op_data {...}

各セッション エントリは次の情報で構成されます。

  • realm:トラフィックを認証するために使用される領域、または認証サーバ。
  • username:このセッションで認証されたユーザの名前。
  • ip:このセッションに割り当てられた IP アドレス。
  • identity_type:セッションからフローのマッピングのタイプ。
  • auth_typ:このセッションの認証のタイプ。

Examples

次に show opdata adisessions コマンドの出力例を示します。


(注)  


ADI セッション ディレクトリは、場所によっては「VDI(仮想ディレクトリ インターフェイス)」セッション ディレクトリと呼ばる場合もあります。略語は同じ意味で使用されます。


hostname>show opdata adisessions
Vdi Session Directory:
============================ 
total_sessions: 4
contained_op_data {
  realm: "my_asacx"
  username: "doe, john"
  ip: "198.51.100.1"
  identity_type: IDENTITY_PASSIVE
  auth_type: AUTH_TYPE_NEGOTIATE
}
contained_op_data {
  realm: "my_asacx"
  username: "administrator"
  ip: "192.0.2.5"
  identity_type: IDENTITY_PASSIVE
  auth_type: AUTH_TYPE_NEGOTIATE
}
contained_op_data {
  realm: "my_asacx"
  username: "administrator"
  ip: "192.0.2.4"
  identity_type: IDENTITY_PASSIVE
  auth_type: AUTH_TYPE_NEGOTIATE
}
contained_op_data {
  realm: "my_asacx"
  username: "smith, john"
  ip: "198.51.100.2"
  identity_type: IDENTITY_PASSIVE
  auth_type: AUTH_TYPE_NEGOTIATE
}

hostname>

Related Commands

コマンド

説明

clear opdata adisessions

すべての ADI セッション情報をクリアします。

show opdata arptable

データ プレーンのアドレス解決プロトコル(ARP)テーブルを表示するには、show opdata arptable コマンドを使用します。

show opdata arptable

Syntax Description

このコマンドには、引数またはキーワードはありません。

Command Default

デフォルトの動作や値はありません。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

このコマンドが追加されました。

Usage Guidelines

デバイスの各コンテキストに割り当てられている各インターフェイスからの各 ARP エントリに対して次の情報が表示されます。

フィールド

説明

コンテキスト:名前、インターフェイス:名前

entry

各エントリは、リモート ピアの IP アドレス、ステータス、MAC アドレス、およびヒット数(アドレス変換)で構成されます。

Examples

次に、データ プレーン ARP テーブルの統計情報を表示する例を示します。 出力は簡略化のために編集されています。

hostname>show opdata arptable
Data Plane ARP Table:
=====================

Context: NATIVE, Interface: outside
  192.168.1.10                            Active   0050.56aa.0022 hits 0
  0.0.0.0                                 Active   0050.56aa.0022 hits 0
  192.168.2.1                             Active   0050.5600.0203 hits 796

Context: NATIVE, Interface: inside
  192.168.1.10                            Active   0050.56aa.0022 hits 0
  0.0.0.0                                 Active   0050.56aa.0022 hits 0
  192.168.2.2                             Active   0050.5600.0202 hits 1202
... (Remaining output removed for publishing purposes) ...

Related Commands

関連するコマンドはありません。

show opdata blocks

パケット バッファ ブロック情報を表示するには、show opdata blocks コマンドを表示します。

show opdata blocks { free | assigned | free core | assigned core | interface | core }

Syntax Description

core

(オプション)コアごとのブロックの使用状況のデータを表示します。

free

(オプション)使用可能なブロックを表示します。 show opdata blocks free コマンドには、次のキーワードを付加することができます。

  • core:(オプション)コアごとのベースで使用可能なブロックを表示します。
assigned

(オプション)割り当て済みでアプリケーションによって使用されているブロックを表示します。 show opdata blocks assigned コマンドには、次のキーワードを付加することができます。

  • core:(オプション)コアごとのベースで使用可能なブロックを表示します。
interface

(オプション)インターフェイスごとのブロックの使用状況のデータを表示します。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

このコマンドが追加されました。

Usage Guidelines

さまざまなメモリおよびシステム バッファの使用状況の統計情報を表示するには、show opdata blocks コマンドを使用します。 この情報は、リークの検出に役立ち、システムが過負荷になっているかどうかを確認します。

Examples

show opdata blocks コマンドは、追加のキーワードなしで使用できます。 次に、出力の例を示します。

hostname>show opdata blocks
Data Plane Blocks Usage  Stats:
===========================
  SIZE    MAX    LOW    CNT 
 
     0    100    100    100 
     4    100    100    100 
    80   5400   5400   5400 
   256   5100   5100   5100 
  1550  10100  10100  10100 
  2048   2100   2100   2100 
  9472   5000   5000   5000 

show opdata blocks で表示されるカラムは次のとおりです。

  • SIZE:ブロック プールのサイズ(バイト)。 それぞれのサイズは、次のような特定のタイプを表します。
    • 0:重複メッセージ(dupb)ブロックに使用されます。
    • 4:DNS、ISAKMP、URL フィルタリング、uauth、TFTP、TCP モジュールなどのアプリケーションの既存のブロックを複製します。 また、このサイズのブロックはドライバなどにパケットを転送するために使用できます。
    • 80:TCP 代行受信で確認応答パケットを生成するために、およびフェールオーバー hello メッセージに使用されます
    • 256:ステートフル フェールオーバー アップデート、syslog メッセージおよびその他の TCP 機能に使用されます。 これらのブロックは、主にステートフル フェールオーバーのメッセージに使用されます。 アクティブなデバイスは、パケットを生成してスタンバイ状態のデバイスに送信し、変換と接続のテーブルを更新します。 接続が頻繁に作成または切断されるバースト トラフィックが発生すると、使用可能なブロックの数が 0 まで低下することがあります。 この状況は、1 つまたはそれ以上の接続がスタンバイ状態のデバイスに対して更新されなかったことを示しています。 ステートフル フェールオーバー プロトコルは、不明な変換または接続を次回に捕捉します。 256 バイト ブロックの CNT カラムが長時間にわたって 0 またはその付近で停滞している場合は、デバイスの処理している 1 秒あたりの接続数が非常に多いために、変換テーブルと接続テーブルの同期が取れている状態をデバイスが維持できない問題が発生します。 デバイスから送信される syslog メッセージも 256 バイト ブロックを使用しますが、256 バイト ブロック プールが枯渇するような量が発行されることは通常ありません。 CNT カラムの示す 256 バイト ブロックの数が 0 に近い場合は、Debugging(レベル 7)のログを syslog サーバに記録していないことを確認してください。 ロギングは、デバッグのために詳細な情報が必要となる場合を除いて、Notification(レベル 5)以下に設定することを推奨します。
    • 1550:処理用のイーサネット パケットを格納するために使用されます。 パケットは、インターフェイスに入ると入力インターフェイス キューに配置され、次にオペレーティング システムに渡されてブロックに配置されます。 デバイスは、パケットを許可するか拒否するかをセキュリティ ポリシーに基づいて決定し、パケットを発信インターフェイス上の出力キューに配置します。 デバイスがトラフィックの負荷に対応できていない場合は、使用可能なブロックの数が 0 付近で停滞します(CNT カラムに示されます)。 CNT カラムが 0 になると、デバイスはさらにブロックを確保しようとします(最大で 8192 個まで)。 使用できるブロックがない場合、パケットは廃棄されます。
    • 2048:制御の更新に使用される制御フレームまたはガイド付きフレーム。
    • 9472:
  • MAX:指定したバイト ブロックのプールで使用可能なブロックの最大数。 最大ブロック数は、起動時に割り当てられます。 通常、ブロックの最大数は変化しません。 例外は 256 バイト ブロックと 1550 バイト ブロックで、デバイスはこれらのブロックを必要に応じてダイナミックに作成できます(最大で 8192 個)。
  • LOW:直近のリブート以降に利用可能な、このサイズのブロックの最小数。 LOW カラムが 0 である場合は、先行のイベントでメモリが消耗したことを示します。
  • CNT:特定のサイズのブロック プールで現在使用可能なブロックの数。 CNT カラムが 0 である場合は、メモリが現在いっぱいであることを意味します。

次に show opdata blocks assigned の出力例を示します。

hostname>show opdata blocks assigned
Data Plane Blocks Usage  Stats:
===========================
 Class 0, size 0
 Block   allocd_by    freed_by  data size   alloccnt     dup_cnt    oper location
 
   Found 100 of 100 blocks 
   Displaying 0 of 100 blocks 

 Class 1, size 4
 Block   allocd_by    freed_by  data size   alloccnt     dup_cnt    oper location
 
   Found 100 of 100 blocks 
   Displaying 0 of 100 blocks 

 Class 2, size 80
 Block   allocd_by    freed_by  data size   alloccnt     dup_cnt    oper location
 
   Found 5400 of 5400 blocks 
   Displaying 0 of 5400 blocks 

 Class 3, size 256
 Block   allocd_by    freed_by  data size   alloccnt     dup_cnt    oper location
 
   Found 5100 of 5100 blocks 
   Displaying 0 of 5100 blocks 

 Class 4, size 1550
 Block   allocd_by    freed_by  data size   alloccnt     dup_cnt    oper location
 
   Found 10100 of 10100 blocks 
   Displaying 0 of 10100 blocks 

 Class 5, size 2048
 Block   allocd_by    freed_by  data size   alloccnt     dup_cnt    oper location
 
   Found 2100 of 2100 blocks 
   Displaying 0 of 2100 blocks 

 Class 9, size 9472
 Block   allocd_by    freed_by  data size   alloccnt     dup_cnt    oper location
 
   Found 5000 of 5000 blocks 
   Displaying 0 of 5000 blocks 
表 1 show opdata blocks assigned(assigned core、free、free core)の表示カラム

カラム

説明

Block

ブロックのアドレス。

allocd_by

ブロックを最後に使用したアプリケーションのプログラム アドレス(使用されていない場合は 0)。

freed_by

ブロックを最後に解放したアプリケーションのプログラム アドレス。

data size

ブロック内のアプリケーション バッファまたはパケット データのサイズ

alloccnt

このブロックが作成後に使用された回数。

dup_cnt

このブロックに対する現時点での参照回数(このブロックが使用されている場合)。0 は 1 回の参照、1 は 2 回の参照を意味します。

oper

ブロックに対して最後に実行された動作(alloc、get、put、free)。

location

ブロックを使用しているアプリケーション。または、ブロックを最後に割り当てたアプリケーションのプログラム アドレス(allocd_by フィールドと同じ)。

次に、show opdata blocks free の出力例を示します。 出力は簡略化のために編集されています。

hostname>show opdata blocks free
 Class 5, size 2048
 Block   allocd_by    freed_by  data size   alloccnt     dup_cnt    oper location
0x7f2db8b81080 (nil) 0x6a75b8          0          0 4294967295  free freelist            
0x7f2db8b80340 (nil) 0x6a75b8          0          0 4294967295  free freelist            
0x7f2db8b7f600 (nil) 0x6a75b8          0          0 4294967295  free freelist            
0x7f2db8b7e8c0 (nil) 0x6a75b8          0          0 4294967295  free freelist            
0x7f2db8b7db80 (nil) 0x6a75b8          0          0 4294967295  free freelist     
... (Portions of output removed for publishing purposes) ...
0x7f2db8b3ec80 (nil) 0x6a75b8          0          0 4294967295  free freelist            
0x7f2db8b3df40 (nil) 0x6a75b8          0          0 4294967295  free freelist            
 
   Found 2100 of 2100 blocks 
   Displaying 82 of 2100 blocks 

次に、show opdata blocks interface の出力例を示します。

hostname>show opdata blocks interface
Data Plane Blocks Usage  Stats:
===========================
  Memory Pool  SIZE   LIMIT/MAX     LOW     CNT  GLB:HELD  GLB:TOTAL 
 
       DMA    9472       6144    2200    2200         0             0 
   Cache pool statistics:
     Queue          LIMIT/MAX     LOW     CNT 
    Core 0              1024       0      15 
    Core 1              1024      15     437 
    Core 2              1024      13     422 
    Core 3              1024    1024       0 
    Global              1024       0       0 
 

Related Commands

関連するコマンドはありません。

show opdata connections

現在およびピーク時の TCP および UDP の同時接続の数を表示するには、show opdata connections コマンドを使用します。

show opdata connections

Syntax Description

このコマンドには、引数またはキーワードはありません。

Command Default

デフォルトの動作や値はありません。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

このコマンドが追加されました。

Usage Guidelines

次の情報がデバイスに対して表示されます。

表 2 show opdata connections の表示フィールド

フィールド

説明

in_use_connections

アクティブな TCP および UDP 接続の数。

most_used_connections

TCP および UDP の同時接続の最大数。

contained_op_data {...}

最近開始された個別接続の詳細。 詳細には、プロトコル、インターフェイスとの関係、ポート情報、時刻データおよび転送されるバイトが含まれます。

最大 200 の接続の詳細が表示されます。 つまり、デバイスの接続は最近の約 200 件だけが表示されます。 接続数が 200 未満の場合、すべてが表示されます。 200 を超える場合、最近の 200 件が「Displayed first NNN Connections(最近の接続 NNN 件を表示しています)」のメッセージとともに表示されます。

デバイスへの合計接続数を見つけるには、show opdata summary コマンドを使用して、固定接続の合計数を一覧表示します。

Examples

hostname>show opdata connections
Data Plane Connections:
=======================
in_use_connections: 1724
most_used_connections: 123729
contained_op_data {
  protocol: TCP
  from_interface: "inside"
  from_ip: "192.168.1.173"
  from_port: 32183
  to_interface: "inside"
  to_ip: "192.168.2.7"
  to_port: 80
  idle_time: 4849
  up_time: 5264
  idle_timeout: 3660000
  bytes_transferred: 3425
}
contained_op_data {
  protocol: TCP
  from_interface: "inside"
  from_ip: "192.168.1.173"
  from_port: 32178
  to_interface: "inside"
  to_ip: "192.168.2.3"
  to_port: 80
  idle_time: 14238
  up_time: 14473
  idle_timeout: 3660000
  bytes_transferred: 6435
}

... (Remaining output removed for publishing purposes) ...

hostname>

Related Commands

コマンド

説明

clear opdata connections

接続の統計情報をクリアします。

show opdata flowdrop

トラブルシューティングに役立てるためにドロップされたフロー(接続)の情報を表示するには、show opdata flowdrop コマンドを使用します。

show opdata flowdrop

Syntax Description

このコマンドには、引数またはキーワードはありません。

Command Default

デフォルトの動作や値はありません。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

このコマンドが追加されました。

Usage Guidelines

次の表に、フロー(接続)がドロップされた原因を説明します。


(注)  


この情報はデバッグの目的でのみ使用されます。また、情報の出力は変更される可能性があります。 このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。


Reason

説明

Tunnel has been torn down (tunnel-torn-down)

IPSec セキュリティ アソシエーションが削除中の確立済みフローに関連付けられたパケットをアプライアンスが受信すると、このカウンタが増分します。

推奨事項:IPSec トンネルが何らかの理由で切断された場合、これは正常な状態です。

No memory to complete flow (out-of-memory)

アプライアンスがメモリ不足のためにフローを作成できない場合、このカウンタが増分します。

推奨事項:現在の接続をチェックして、アプライアンスが攻撃を受けていないことを確認します。 また、設定したタイムアウト値が大きすぎるために、アイドル状態のフローがメモリに長時間常駐していないかどうかも確認します。 空きメモリをチェックし、空きメモリが少ない場合は、どのプロセスがメモリの大部分を使用しているかを確認します。

Parent flow is closed (parent-closed)

下位フローの親フローが終了すると、下位フローも終了します。 たとえば、FTP データ制御フロー(親フロー)が終了すると、この理由により FTP データ フロー(下位フロー)も終了します。 また、この理由は、制御アプリケーションによってセカンダリ フロー(pin-hole)が終了した場合にも該当します。 たとえば、BYE メッセージを受信すると、SIP インスペクション エンジン(制御アプリケーション)は対応する SIP RTP フロー(セカンダリ フロー)を終了します。

推奨事項:なし。

Flow closed by inspection (closed-by-inspection)

この理由は、アプリケーション インスペクション中にエラーが検出されたためにフローが終了したことによるものです。 たとえば、H323 メッセージの検査中にエラーが検出された場合、この理由により対応する H323 フローが終了します。

推奨事項:なし。

Failover primary closed (fo-primary-closed)

スタンバイ装置がアクティブ装置からフロー削除メッセージを受信し、フローを終了しました。

推奨事項:アプライアンスがステートフル フェールオーバーを実行している場合は、スタンバイ アプライアンス上で切断された接続が複製されるたびに、このカウンタが増分します。

Flow closed by failover standby (fo-standby)

スタンバイ状態のアプライアンスまたはコンテキストに through-the-appliance パケットが届くと、フローが作成され、そのパケットはドロップされ、作成されたフローは削除されます。 このカウンタは、この方法でフローが削除される場合に、その都度増分します。

推奨事項:アクティブなアプライアンスまたはコンテキスト上では、このカウンタが増分することはありません。 ただし、スタンバイ アプライアンスまたはコンテキスト上では、増分するのが普通です。

Standby flow replication error (fo_rep_err)

スタンバイ装置がフローの複製に失敗しました。

推奨事項:アプライアンスが VPN トラフィックを処理している場合は、IKE SA 情報よりも先にフローが複製されるため、このカウンタはスタンバイ装置上で常に増分しています。 この場合、アクションは不要です。

ただし、アプライアンスが VPN トラフィックを処理していない場合は、ソフトウェア障害があります。 スタンバイ装置のデバッグをオンにしてデバッグ出力を収集し、この問題を Cisco TAC に報告してください。

Flow is a loopback (loopback)

この理由は、1)U-turn トラフィックがあり、2)same-security-traffic permit intra-interface が設定されていない場合にフローが終了したことを示します。

推奨事項:インターフェイス上で U-turn トラフィックを許可するには、そのインターフェイスを same-security-traffic permit intra-interface で設定します。

Flow is denied by access rule (acl-drop)

このカウンタは、ドロップ ルールがフローの作成を拒否すると増分します。 ACL がインターフェイスなどに適用されていて、各種機能がオン/オフになっている場合、これはアプライアンスに電源が投入されたときに作成されたデフォルトのルールであることもあります。

デフォルトのルールによるドロップとは別に、フローは次の理由で拒否される場合があります。

  • インターフェイスに ACL ルールが設定されている。
  • AAA に設定された ACL および AAA ルールがユーザを拒否した。
  • 管理専用インターフェイスに through-box トラフィックが到達した。
  • IPSec がイネーブルになっているインターフェイスに、暗号化されていないトラフィックが到達した。
  • ACL の末尾に暗黙の「deny IP any any」ルールがある。

推奨事項:パケット ドロップ(106023、106100、106004)に関連する syslog をすべて特定します。 フロー ドロップにより、対応するパケットドロップの syslog が発行されます。

Pinhole timeout (pinhole-timeout)

アプライアンスがセカンダリ フローを開始しましたが、タイムアウト間隔内にこのフローにパケットが渡されなかったためにフローが削除されたことを報告する場合、このカウンタが増分します。 セカンダリ フローの例としては、FTP コントロール チャネル上でネゴシエーションの成功後に作成される FTP データ チャネルがあります。

推奨事項:アクションは不要です。

Host is removed (host-removed)

clear local-host コマンドに応答してフローが削除されました。

推奨事項:なし(これは情報カウンタです)。

Xlate Clear (xlate-removed)

clear xlate または clear local-host コマンドに応じてフローが削除されました。

推奨事項:なし(これは情報カウンタです)。

Connection timeout (connection-timeout)

非アクティブ タイムアウトが期限切れになったためにフローが終了すると、このカウンタが増分します。

推奨事項:アクションは不要です。

Connection limit exceeded (conn-limit-exceeded)

これは、接続の制限を超えたためにフローが終了したことを示します。

推奨事項:なし。

TCP FINs (tcp-fins)

TCP FIN パケットが受信されたために TCP フローが終了しました。

推奨事項:なし。 このカウンタは、FIN で各 TCP 接続が正常に終了すると増分します。

SYN Timeout (syn-timeout)

初期タイマーが期限切れになったために TCP フローが終了しました。

推奨事項:接続の確立に時間のかかる有効なセッションの場合は、初期タイムアウトを増分します。

FIN Timeout (fin-timeout)

この理由は、ハーフクローズ タイマーが時間切れになったために TCP フローが終了したことによるものです。

推奨事項:TCP フローの終了よりも時間のかかる有効なセッションがある場合は、ハーフクローズ タイムアウトを増分します。

TCP Reset-I (reset-in)

この理由は、(セキュリティが低いインターフェイスからセキュリティが同じまたは高いインターフェイスへの)発信フロー上で TCP リセットを受信して、そのフローが終了したことによるものです。

推奨事項:なし。

TCP Reset-O (reset-out)

この理由は、(セキュリティが高いインターフェイスからセキュリティが低いインターフェイスへの)着信フロー上で TCP リセットを受信して、そのフローが終了したことによるものです。

推奨事項:なし。

TCP Reset-APPLIANCE (reset-appliance)

この理由は、TCP リセットがアプライアンスによって生成されたときにフローが終了したことを示します。

推奨事項:なし。

Close recursive flow (recurse)

フローが再帰的に解放されました。 この理由はペア フロー、マルチキャスト スレーブ フローおよび syslog フローに該当し、これらの各下位フロー対して syslog メッセージは発行されません。

推奨事項:アクションは不要です。

TCP intercept, no response from server (tcp-intecept-no-response)

SYN 再送信は、1 秒に 1 回の割合で 3 回試行した後にタイムアウトになります。 サーバが到達不能のため、接続が切断されました。

推奨事項:サーバが ASA から到達可能であるかどうかをチェックします。

TCP intercept unexpected state (tcp-intercept-unexpected)

TCP 代行受信モジュールの論理エラーです。このようなことは発生しないようになっています。

推奨事項:メモリの破損、または TCP 代行受信モジュールの論理エラーを示しています。

TCP bad retransmission (tcpnorm-rexmit-bad)

この理由は、check-retransmission 機能がイネーブルになっている時に、TCP エンドポイントから元のパケットと異なるデータが再送信されて TCP フローが終了したことによるものです。

推奨事項:TCP の再送信の際に異なるデータを送信するという方法で、TCP エンドポイントが攻撃を加えている可能性があります。 パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。

TCP unexpected window size variation (tcpnorm-win-variation)

この理由は、TCP エンドポイントにアドバタイズされたウィンドウ サイズが、大量のデータを受け取ることもなく激変し、TCP フローが終了したことによるものです。

推奨事項:この接続を許可するには、tcp-map で window-variation 設定を使用します。

TCP invalid SYN (tcpnorm-invalid-syn)

この理由は、SYN パケットが無効の場合に TCP フローが終了したことによるものです。

推奨事項:無効なチェックサムや無効な TCP ヘッダーなどの様々な理由で SYN パケットが無効になっている場合があります。 なぜ SYN パケットが無効になるかを理解するには、パケット キャプチャ機能を使用してください。 これらの接続を許可する場合は、tcp-map 設定を使用してチェックをバイパスします。

Multicast interface removed (mcast-intrf-removed)

出力インターフェイスがマルチキャスト エントリから削除された。 - または - すべての出力インターフェイスがマルチキャスト エントリから削除された。

推奨事項:アクションは不要です。 - または - このグループに受信者が存在しないことを確認します。

Multicast entry removed (mcast-entry-removed)

マルチキャスト フローに一致するパケットが着信したが、マルチキャスト サービスがイネーブルでなくなっていた、またはマルチキャスト フローが作成された後で再度イネーブルにされた。 - または - マルチキャスト エントリが削除されたために、フローもクリーン アップされますが、パケットはデータ パスに再び挿入されます。

推奨事項:ディセーブルになっているマルチキャストを再びイネーブルにします。 - または - 必要なアクションはありません。

Flow terminated by TCP Intercept (tcp-intercept-kill)

最初の SYN で SYN のための接続が作成され、TCP 代行受信が SYN クッキーで応答する場合、または TCP 代行受信がサーバに SYN を送信する際に、クライアントからの有効な ACK の表示後にサーバが RST で応答する場合、TCP 代行受信は接続を切断します。

推奨事項:ネイリング規則がある、パケットが VPN トンネル経由で着信する、またはクライアントに到達するネクスト ホップ ゲートウェイ アドレスが解決されない場合を除き、通常 TCP 代行受信では最初の SYN に対する接続は作成されません。 そのため、これは最初の SYN に対して接続が作成されたことを示しています。 TCP 代行受信がサーバから RST を受信すると、そのサーバ上の対応するポートが閉じる可能性があります。

Audit failure (audit-failure)

関連付けられたアクションとしてリセットした ip audit シグニチャと一致した後、フローは解放されました。

推奨事項:このシグニチャと一致したときにフローの削除を望まない場合は、ip audit コマンドからリセット アクションを削除します。

Flow terminated by IPS (ips-request)

この理由は、IPS モジュールの要求どおりにフローが終了したことによるものです。

推奨事項:IPS モジュールの syslog およびアラートを確認します。

IPS fail-close (ips-fail-close)

この理由は、IPS カードがダウンしている状態で、fail-close オプションが IPS 検査で使用されたためにフローが終了したことによるものです。

推奨事項:IPS カードを確認して動作させます

Flow terminated by punt action (reinject-punt)

検査や AAA などの高度なサービスによる処理のためにパケットが例外パスにパントされるとこのカウンタが増分し、フローで違反を検出したサービス ルーチンはフローをドロップするように要求します。 このフローはただちにドロップされます。

推奨事項:詳細については、サービス ルーチンによってトリガーされた syslog を参照します。 フロー ドロップにより、対応する接続も終了します。

Flow shunned (shunned)

排除データベース内にあるホストと一致する送信元 IP アドレスを持つパケットを受信した場合、このカウンタが増分します。 shun コマンドが適用される場合、それぞれの既存のフローが shun コマンドに一致するたびに増分します。

推奨事項:アクションは不要です。

Host limit exceeded (host-limit)

このカウンタは、ライセンス数がホスト制限を超えた場合に増分します。

NAT failed (nat-failed)

IP を変換する、またはヘッダーを転送するための xlate の作成が失敗しました。

推奨事項:NAT が必要でない場合は、nat-control をディセーブルにします。 そうでない場合は、static、nat、global のいずれかのコマンドを使用して、ドロップされたフローに NAT ポリシーを設定します。 ダイナミック NAT では、各 nat コマンドが少なくとも 1 つの global コマンドとペアになっていることを確認します。 NAT 規則を確認するには、show nat および debug pix process を使用します

NAT reverse path failed (nat-rpf-failed)

変換されたホストの実際のアドレスを使用してそのホストに接続しようとしましたが、拒否されました。

推奨事項:NAT を実施しているホストと同じインターフェイス上にない場合は、実際のアドレスの代わりにマッピング アドレスを使用してホストに接続します。 また、アプリケーションが IP アドレスを埋め込む場合は、適切な inspect コマンドをイネーブルにします。

IPSec over IPv6 unsupported (no-ipv6-ipsec)

アプライアンスが、IP バージョン 6 のヘッダーでカプセル化された IPSec ESP パケット、IPSec NAT-T ESP パケット、または IPSec over UDP ESP パケットを受信した場合、このカウンタが増分します。 アプライアンスは現在 IP バージョン 6 でカプセル化された IPSec セッションをサポートしていません。

推奨事項:なし。

Tunnel being brought up or torn down (tunnel-pending)

アプライアンスがセキュリティ ポリシー データベース(たとえば crypto map)のエントリに一致するパケットを受信したが、セキュリティ アソシエーションがネゴシエーションの途中でまだ完了していない場合、このカウンタが増分します。 また、アプライアンスがセキュリティ ポリシー データベースのエントリに一致するパケットを受信したが、セキュリティ アソシエーションが削除された、または削除中である場合にも、このカウンタが増分します。 この表示と「Tunnel has been torn down」表示の違いは、「Tunnel has been torn down」表示は確立済みのフロー用であるということです。

推奨事項:IPSec トンネルがネゴシエーション中または削除中の場合、これは正常な状態です。

Need to start IKE negotiation (need-ike)

アプライアンスが、暗号化の必要があるのに IPSec セキュリティ アソシエーションを確立していないパケットを受信した場合、このカウンタが増分します。 通常 LAN-to-LAN IPSec コンフィギュレーションでは、これは正常な状態です。 これが表示されると、アプライアンスは宛先ピアとの ISAKMP ネゴシエーションを開始します。

推奨事項:アプライアンス上で IPSec LAN-to-LAN を設定している場合は、この表示は正常なもので、問題を示すものではありません。 ただし、このカウンタが急速に増分する場合は、crypto の設定エラーまたはネットワーク エラーにより、ISAKMP ネゴシエーションが完了できないことを示している可能性があります。 宛先ピアと通信可能であることを確認し、show running-config コマンドで crypto 設定を確認します。

VPN handle error (vpn-handle-error)

このカウンタは、VPN 処理がすでに存在するために、アプライアンスで VPN 処理を作成できない場合に増分します。

推奨事項:このカウンタは、通常の動作が行われる過程で増分していく可能性があります。 ただし、カウンタが急速に増分している場合や、VPN ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥である可能性があります。 Cisco TAC にお問い合わせください。

VPN handle not found (vpn-handle-not-found)

データグラムが暗号化または復号ルールにヒットし、関連するフローに VPN 処理が見つからない場合、このカウンタは増分します。

推奨事項:このカウンタは、通常の動作が行われる過程で増分していく可能性があります。 ただし、カウンタが急速に増分している場合や、VPN ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥である可能性があります。 Cisco TAC にお問い合わせください。

Inspection failure (inspect-fail)

アプライアンスが、接続のために NP によって行われるプロトコル検査をイネーブルにできなかった場合、このカウンタが増分します。 原因として考えられるのは、メモリ割り当てが失敗したこと、または ICMP エラー メッセージの場合は、この ICMP エラー メッセージに埋め込まれているフレームに関連した確立済みの接続をアプライアンスが検出できなかったことです。

推奨事項:システム メモリの使用状況をチェックします。 ICMP エラー メッセージに関しては、攻撃が原因の場合、ホストに対して ACL を使用させないようにすることができます。

Failed to allocate inspection (no-inspect)

このカウンタは、接続が確立されたときにセキュリティ アプライアンスがランタイム検査のデータ構造の割り当てに失敗すると増分します。 接続はドロップされます。

推奨事項:このエラーの条件は、セキュリティ アプライアンスがシステム メモリを使い切ると発生します。 show memory コマンドを発行して、使用可能な空きメモリをチェックします。

Flow reset by IPS (reset-by-ips)

この理由は、IPS モジュールの要求どおりに TCP フローが終了したことによるものです。

推奨事項:IPS モジュールの syslog およびアラートを確認します。

Non-tcp/udp flow reclaimed for new request (flow-reclaimed)

再要求可能なフローが削除されて新しいフローの要求が可能になると、このカウンタが増分します。 これは、アプライアンスを通過するフロー数がソフトウェアの制限で許可された最大数と等しくなり、新しいフロー要求が受信された場合にのみ発生します。 この状況が発生すると、再要求可能なフロー数がアプライアンスで許可されている VPN トンネル数を超えた場合、最も古い再要求可能なフローが削除され、新しいフローが可能になります。 すべてのフローが再要求可能とされていますが、(1)TCP、UDP、GRE、およびフェールオーバー フロー、(2)ICMP フロー(ICMP ステートフル検査がイネーブルの場合)、(3)アプライアンスへの ESP フローは除きます。

推奨事項:このカウンタが徐々に増分する場合は、アクションは不要です。 このカウンタが急速に増分する場合は、アプライアンスが攻撃を受けていて、アプライアンスのフロー再作成と再要求に時間がかかっていることを示している可能性があります。

non-syn TCP (non_tcp_syn)

この理由は、最初のパケットが SYN パケットではなかったために TCP フローが終了したことによるものです。

推奨事項:なし。

IPSec spoof packet detected (ipsec-spoof-detect)

このカウンタは、暗号化されているはずが暗号化されていないパケットをアプライアンスが受信すると増分します。 このパケットは、アプライアンスで設定、確立された IPSec 接続の内部ヘッダー セキュリティ ポリシー チェックに一致しましたが、暗号化されずに受信されました。 これはセキュリティの問題です。

推奨事項:ネットワーク トラフィックを分析し、スプーフィングされた IPSec トラフィックの送信元を特定します。

RM xlate limit reached (rm-xlate-limit)

このカウンタは、あるコンテキストまたはシステムの xlate が最大数に達し、新しい接続が試行されると増分します。

推奨事項:デバイスの管理者は、show resource usage コマンドおよび show resource usage system コマンドを使用して、コンテキストやシステムのリソース制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整できます。

RM host limit reached (rm-host-limit)

このカウンタは、あるコンテキストまたはシステムのホストが最大数に達し、新しい接続が試行されると増分します。

推奨事項:デバイスの管理者は、show resource usage コマンドおよび show resource usage system コマンドを使用して、コンテキストやシステムのリソース制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整できます。

RM inspect rate limit reached (rm-inspect-rate-limit)

このカウンタは、コンテキストまたはシステムの検査レートが最大数に達し、新しい接続が試行されると増分します。

推奨事項:デバイスの管理者は、show resource usage コマンドおよび show resource usage system コマンドを使用して、コンテキストやシステムのリソース制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整できます。

tcpmod-connect-clash

TCP 接続ソケットは、既存のリッスン接続と衝突します。 これは、内部システムのエラーです TAC に連絡します。

SVC spoof packet detected (svc-spoof-detect)

このカウンタは、暗号化されているはずが暗号化されていないパケットをセキュリティ アプライアンスが受信すると増分します。 このパケットは、セキュリティ アプライアンスで設定、確立された SVC 接続の内部ヘッダー セキュリティ ポリシー チェックに一致しましたが、暗号化されずに受信されました。 これはセキュリティの問題です。

推奨事項:ネットワーク トラフィックを分析し、スプーフィングされた SVC トラフィックの送信元を特定します。

Flow terminated by service module (ssm-app-request)

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。 カウンタは、SSM で実行するアプリケーションがセキュリティ アプライアンスに接続を終了するよう要求すると増分します。

推奨事項:SSM によって生成された事故レポートまたはシステム メッセージを照会して、詳細情報を取得することができます。 手順については、SSM に付属のマニュアルを参照してください。

Service module failed (ssm-app-fail)

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。 このカウンタは、SSM により検査中の接続が、SSM にエラーが生じたために終了すると増分します。

推奨事項:セキュリティ アプライアンスのコントロール プレーン内で動作しているカード マネージャ プロセスが、システム メッセージと CLI 警告を発行してこのエラーを通知します。 SSM エラーの問題解決については、SSM に付属のマニュアルを参照してください。 必要に応じて Cisco Technical Assistance Center(TAC)にお問い合わせください。

Service module incompetent (ssm-app-incompetent)

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。 SSM による接続の検査が予定されているが、SSM が検査できない場合に増分します。 このカウンタは将来使用するために予約されます。 現在のリリースでは常に 0 である必要があります。

推奨事項:なし。

SSL bad record detected (ssl-bad-record-detect)

このカウンタは、リモート ピアから不明の SSL レコード タイプを受信するたびに増分します。 ピアから受信した不明のレコード タイプはすべて重大エラーとして処理され、このエラーが検出された SSL 接続は終了しなければなりません。

推奨事項:このカウンタが増分するのはどんなときでも正常でありません。 このカウンタが増分する場合、通常、SSL プロトコルの状態がクライアント ソフトウェアと同期していないこと示します。 この問題の原因として最も可能性があるのは、クライアント ソフトウェア内のソフトウェアの欠陥です。 Cisco TAC にそのクライアント ソフトウェアまたは Web ブラウザのバージョンについて問い合わせ、この問題を解決するために SSL データ交換のネットワーク トレースを提供してください。

SSL handshake failed (ssl-handshake-failed)

このカウンタは、SSL ハンドシェイクの失敗により TCP 接続がドロップすると増分します。

推奨事項:このカウンタは、SSL ハンドシェイクの失敗により TCP 接続がドロップしたことを示します。 ハンドシェイク障害状況により生成された syslog 情報に基づいて問題を解決できない場合は、Cisco TAC に問い合わせる際に、関連する syslog 情報を提供してください。

SSL malloc error (ssl-malloc-error)

このカウンタは、SSL ライブラリ内で malloc のエラーが発生すると増分します。 これは、SSL がメモリ バッファまたはパケット ブロックを割り当てることができないメモリ不足状態であることを示します。

推奨事項:セキュリティ アプライアンスのメモリとパケット ブロックの状態を調べ、このメモリ情報を Cisco the TAC に連絡してください。

CTM crypto request error (ctm-crypto-request-error)

このカウンタは、CTM が暗号要求を受け入れない場合に、その都度増分します。 これは通常、暗号ハードウェア要求のキューがいっぱいになっていることを示します。

推奨事項:show crypto protocol statistics ssl コマンドを発行し、この情報を Cisco TAC に提供してください。

SSL record decryption failed (ssl-record-decrypt-error)

このカウンタは、SSL データを受信中に復号化エラーが発生すると増分します。 これは通常、ASA またはピアの SSL コードにバグがある場合、または攻撃者がデータ ストリームを変更している可能があることを示します。 SSL 接続は終了されます。

推奨事項:ASA に対する SSL データ ストリームを検証します。 攻撃者がいない場合は、Cisco TAC へ報告すべきソフトウェア エラーがあることを示します。

A new socket connection was not accepted (np-socket-conn-not-accepted)

このカウンタは、セキュリティ アプライアンスによって新規のソケット接続が受け入れられない場合に増分します。

推奨事項:このカウンタは、通常の動作が行われる過程で増分していく可能性があります。 ただし、カウンタが急速に増分している場合や、ソケット ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥によって発生している可能性があります。 Cisco TAC に連絡して、問題を詳しく調査してください。

NP socket failure (np-socket-failure)

これは、重大なソケット処理エラーに対する一般的なカウンタです。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

NP socket relay failure (np-socket-relay-failure)

これは、ソケット リレーの処理エラーに対する一般的なカウンタです。

推奨事項:このカウンタは、通常の動作が行われる過程で増分していく可能性があります。 ただし、カウンタが急速に増分している場合や、ソケット ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥によって発生している可能性があります。 Cisco TAC に連絡して、問題を詳しく調査してください。

NP socket data movement failure (np-socket-data-move-failure)

このカウンタは、ソケット データの移動時にエラーがあると増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

NP socket new connection failure (np-socket-new-conn-failure)

このカウンタは、ソケットの新規接続が失敗すると増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

NP socket transport closed (np-socket-transport-closed)

このカウンタは、ソケットに関連する転送が異常終了すると増分します。

推奨事項:このカウンタは、通常の動作が行われる過程で増分していく可能性があります。 ただし、カウンタが急速に増分している場合や、ソケット ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥によって発生している可能性があります。 Cisco TAC に連絡して、問題を詳しく調査してください。

NP socket block conversion failure (np-socket-block-conv-failure)

このカウンタは、ソケット ブロック変換エラーがあると増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

SSL received close alert (ssl-received-close-alert)

このカウンタは、セキュリティ アプライアンスがリモート クライアントから終了アラートを受信すると増分します。 これは、クライアントが接続をドロップしようとしていることを通知したことを示します。 通常の接続切断プロセスの一部です。

推奨事項:なし。

An SVC socket connection is being disconnected on the standby unit (svc-failover)

このカウンタは、アクティブ装置がフェールオーバー変遷の一部としてスタンバイ状態に移行するときに新規の SVC ソケット接続が切断されると増分します。

推奨事項:なし。 これは、現在のデバイスがアクティブからスタンバイに移行する際の SVC 接続の通常のクリーンアップの一部です。 デバイスでの既存の SVC 接続は有効でなるので、削除する必要があります。

Max per-flow children limit exceeded (children-limit)

1 つの親フローに関連付けられた子フローが、内部の制限である 200 を超えています。

推奨事項:このメッセージは、動作の不正なアプリケーションまたはファイアウォールのメモリを消費するアクティブな試みを示します。 set connection per-client-max コマンドを使用して制限を微調整してください。 FTP の場合は、さらに inspect ftp の strict オプションをイネーブルにします。

packet-tracer traced flow drop (tracer-flow)

このカウンタは、トレースが完了して解放されたフローについて、packet-tracer により内部的に使用されます。

推奨事項:なし。

looping-address (sp-looping-address)

このカウンタは、フローの送信元アドレスと宛先アドレスが同じである場合に増分します。 アドレスのプライバシーが有効になっている SIP フローは、同じ送信元および宛先アドレスを持つことが正常であるため、除外されます。

推奨事項:このカウンタが増分する条件は 2 つあります。 一つは、アプライアンスが送信元アドレスと宛先アドレスが同じであるパケットを受信することです。 これは、一種の DoS 攻撃を表します。 もう一つは、アプライアンスの NAT の NAT 設定で送信元アドレスと宛先アドレスが同じであることです。 syslog メッセージ 106017 を検査して、カウンタの増分の原因である IP アドレスを特定し、その後攻撃パケットのパケット キャプチャをイネーブルにして、追加の分析を実行する内容を確認する必要があります。

No valid adjacency (no-adjacency)

有効な出力隣接情報がない既存のフローのパケットをセキュリティ アプライアンスが受信すると、このカウンタが増分します。 これは、ネクスト ホップが到達不可能であるか、ルーティング変更がダイナミック ルーティング環境で実施された場合に発生します。

推奨事項:アクションは不要です。

IPSec VPN inner policy selector mismatch detected (ipsec-selector-failure)

このカウンタは、内部の IP ヘッダーでトンネルの設定ポリシーと一致しない IPSec パケットを受信したときに増分します。

推奨事項:トンネルの暗号 ACL リストが正しく、許容されるすべてのパケットがトンネル ID に含まれていることを確認します。 このメッセージが繰り返し表示される場合は、ボックスが攻撃されていないことを確認してください。

NP midpath service failure (np-midpath-service-failure)

これは、重大な midpath サービスのエラーに対する一般的なカウンタです。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

SVC replacement connection established (svc-replacement-conn)

このカウンタは、SVC 接続が新規接続によって置換されるときに増分します。

推奨事項:なし。 これは、ユーザが ASA への接続を維持するのが困難であることを示す場合があります。 ユーザは、ホーム ネットワークとインターネット接続の品質を評価できます。

NP midpath CP event failure (np-midpath-cp-event-failure)

これは、CP に送信できなかった重要な midpath イベントに対するカウンタです。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

NP virtual context removed (np-context-removed)

フローに関連付ける仮想コンテキストが削除された場合、このカウンタが増分します。 これは、マルチコア環境で 1 つのコア CPU が仮想コンテキストを破壊中に、もう 1 つのコア CPU がコンテキストにフローを作成しようとした場合に発生する可能性があります。

推奨事項:アクションは不要です。

Expired VPN context (vpn-context-expired)

このカウンタは、暗号化または復号化を必要とするパケットをセキュリティ アプライアンスが受信する場合、または操作を実行するために必要な ASP VPN が有効でなくなる場合に増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

IPSec locking error (vpn-lock-error)

内部ロック エラーが原因で VPN フローを作成できない場合、このカウンタが増分します。

推奨事項:この状態は、通常の動作時に発生することはなく、アプライアンスにソフトウェアの問題が発生していることを示す場合があります。 このエラーが発生した場合は、Cisco Technical Assistance Center(TAC)にお問い合せください。

Flow removed from standby unit due to idle timeout (fover-idle-timeout)

フローが動作している場合に固定内部で行われる必要があるアクティブからの定期的な更新を、スタンバイ装置が受信しなくなると、フローはアイドル状態と見なされます。 このカウンタは、これらのフローがスタンバイ装置から削除されると増分します。

推奨事項:これは情報カウンタです。

Flow matched dynamic-filter blacklist (dynamic-filter)

トラフィックをドロップするように設定された脅威レベルのしきい値より高い脅威レベルのダイナミック フィルタ ブラック リストまたはグレイリストのエントリにフローが一致しました。

推奨事項: 感染したホストを追跡するには、内部 IP アドレスを使用します。 感染を削除するに復旧手順を実行します。

Examples

次に show opdata flowdrop コマンドの出力例を示します。

hostname>show opdata flowdrop
Data Plane Drop Stats:
======================

Related Commands

コマンド

説明

clear opdata flowdrop

ドロップされたフローの記録をクリアします。

show opdata framedrop

ドロップされたフレーム(パケット)に関する情報を表示します。

show opdata framedrop

トラブルシューティングに役立てるためにドロップされたフレームの情報を表示するには、show opdata framedrop コマンドを使用します。

show opdata framedrop

Syntax Description

このコマンドには、引数またはキーワードはありません。

Command Default

デフォルトの動作や値はありません。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

このコマンドが追加されました。

Usage Guidelines

次の表に、フレーム(パケット)がドロップされた原因を説明します。


(注)  


この情報はデバッグの目的でのみ使用されます。また、情報の出力は変更される可能性があります。 このコマンドを使用したシステム デバッグについて支援が必要な場合は、Cisco TAC にお問い合わせください。


Reason

説明

Punt rate limit exceeded (punt-rate-limit)

アプライアンスがレイヤ 2 パケットをレート制限されたコントロール ポイント サービス ルーチンに転送しようとしたが、レート制限(毎秒)を超えている場合、このカウンタが増分します。 現在、レート制限されているコントロール ポイント サービス ルーチン宛てのレイヤ 2 パケットは、ARP パケットだけです。 ARP パケットのレート制限は、インターフェイスあたり毎秒 500 です。

推奨事項:ネットワーク トラフィックを分析し、ARP パケットのレート制限を超えた理由を判断します。

Punt no memory (punt-no-mem)

パケットをコントロール ポイントにパントするためのデータ構造を作成するメモリがない場合、このカウンタが増分し、パケットはドロップされます。

推奨事項:この状態が一時的なものであれば、処理は不要です。 メモリ不足が原因で、この状態が引き続き発生する場合は、システムをアップグレードする必要があります。

Punt queue limit exceeded (punt-queue-limit)

パントのキュー制限を超えた(つまり、コントロール ポイントでボトルネックが発生していることを示す)場合、このカウンタが増分し、パケットはドロップされます。

推奨事項:処理は不要です。 これは設計上の制限値です。

Flow is being freed (flow-being-freed)

フローが解放され、検査のためにキューに入れられたすべてのパケットがドロップされると、このカウンタが増分します。

推奨事項:処理は不要です。

Invalid Encapsulation (invalid-encap)

サポートされていないリンクレベルのプロトコルに属するフレームを受信した場合、またはフレームに指定されているレイヤ 3 タイプがサポートされていない場合、このカウンタが増分します。 パケットはドロップされます。

推奨事項:直接接続されているホストのリンクレベル プロトコルの設定が正しいことを確認します。

Invalid IP header (invalid-ip-header)

IP ヘッダーの算出されたチェックサムとヘッダーに記録されているチェックサムが一致しない IP パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。 また、ピアから破損したパケットが送信され、攻撃を受けている可能性もあります。 パケット キャプチャを使用して、パケットの発信元の詳細を確認してください。

Unsupported IP version (unsupported-ip-version)

IP ヘッダーのバージョン フィールド内に、サポートされていないバージョンを持つ IP パケットを受信した場合(具体的には、パケットがバージョン 4 またはバージョン 6 に属していない場合)、このカウンタが増分します。 パケットはドロップされます。

推奨事項:ネットワークに接続されている他のデバイスが、バージョン 4 または 6 のみに属する IP パケットを送信するように設定されていることを確認します。

Invalid IP Length (invalid-ip-length)

IPv4 または IPv6 パケットを受信し、そのパケットの IP ヘッダー内のヘッダー長フィールドまたは全長フィールドが有効でない、または受信したパケット長と矛盾する場合、このカウンタが増分します。

推奨事項:なし。

Invalid Ethertype (invalid-ethertype)

フラグメンテーション モジュールが、IP バージョン 4 またはバージョン 6 に属さないフラグメント化されたパケットを受信した場合、または送信しようとした場合、このカウンタが増分します。 パケットはドロップされます。

推奨事項:デバイスの MTU とネットワークに接続されている他のデバイスを確認し、デバイスがなぜそのようなフラグメントを処理しているのかを判断します。

Invalid TCP Length (invalid-tcp-hdr-length)

パケット サイズが許可されている最小ヘッダー長よりも小さい TCP パケット、または受信したパケット長と矛盾する TCP パケットを受信した場合、このカウンタが増分します。

推奨事項:無効なパケットは、攻撃者から送信された偽造パケットの可能性があります。 トラフィックの送信元を調査します。

Invalid UDP Length (invalid-udp-length)

受信した UDP パケットのサイズが、ヘッダー内のフィールドから計算されたサイズと、ネットワークから受信したときに測定されたサイズで異なる場合、このカウンタが増分します。

推奨事項:無効なパケットは、攻撃者から送信された偽造パケットの可能性があります。

No valid adjacency (no-adjacency)

デバイスが隣接情報を取得しようとしましたが、ネクスト ホップの MAC アドレスを取得できなかった場合、このカウンタが増分します。 パケットはドロップされます。

推奨事項:このドロップの理由でキャプチャを設定し、指定された宛先アドレスのホストが、接続されたネットワークに存在すること、またはデバイスからルーティング可能であることを確認します。

Unexpected packet (unexpected-packet)

このカウンタは、トランスペアレント モードでデバイスが MAC アドレス宛の非 IP パケットを受信するが、このパケットを処理するための該当するサービスがアプライアンス上にない場合に増分します。

推奨事項:デバイスが攻撃を受けているかどうか確認します。 疑わしいパケットがない場合、またはデバイスがトランスペアレント モードでない場合、このカウンタは、ソフトウェア エラーが原因で増分していると考えられます。 カウンタの増分の原因であるトラフィックを把握し、Cisco Technical Assistance Center(TAC)に連絡してください。

No route to host (no-route)

デバイスがパケットをインターフェイスから送信しようとしましたが、そのためのルートがルーティング テーブルで見つからなかった場合、このカウンタが増分します。

推奨事項:宛先アドレスへのルートが存在することを確認してください。

Reverse-path verify failed (rpf-violated)

IP-verify がインターフェイス上に設定されていて、受信したパケットの発信元 IP ルート検索から得られたインターフェイスが、このパケットが受信されたインターフェイスと異なる場合、このカウンタが増分します。

推奨事項:トラフィックの送信元をトレースし、スプーフィングされたトラフィックを送信している原因を特定します。

Flow is denied by configured rule (acl-drop)

このカウンタは、パケットがドロップ ルールによってドロップされると増分します。 ACL がインターフェイスなどに適用されていて、各種機能がオン/オフになっている場合、これはデバイスに電源が投入されたときに作成されたデフォルトのルールであることもあります。

デフォルトのルールによるドロップとは別に、パケットは次の理由でドロップされる場合があります。

  • インターフェイスに ACL ルールが設定されている。
  • AAA に設定された ACL および AAA ルールがユーザを拒否した。
  • 管理専用インターフェイスに through-box トラフィックが到達した。
  • IPSec がイネーブルになっているインターフェイスに、暗号化されていないトラフィックが到達した。

推奨事項:ACL ルールの 1 つに一致しているかどうかを確認します。

Flow denied due to resource limitation (unable-to-create-flow)

このカウンタは、システム リソースが制限されているため、フローの作成が失敗すると増分し、パケットはドロップされます。 リソースの制限は、次のとおりです。

  • システム メモリが少ない
  • パケット ブロック拡張メモリが少ない
  • システムの接続制限

最初の 2 つの原因は、「No memory to complete flow」というフローのドロップ理由と同時に発生します。

推奨事項:フリー システムのメモリが少ないかどうかを確認します。 「No memory to complete flow」というフローのドロップ理由が発生しているかどうかを確認します。 接続数がシステムの接続制限に達しているかどうかを確認します。

Flow hash full (unable-to-add-flow)

テーブルが満杯であるために新しく作成されたフローがフロー ハッシュ テーブルに挿入できない場合、このカウンタが増分します。 フローとパケットはドロップされます。 (これは、最大接続制限のカウンタではありません)。

推奨事項:このメッセージは、デバイスがリソース不足で、操作が成功しなかったことを示しています。 接続数が設定されたアイドル タイムアウト値を超えているかどうかを確認するには、show opdata connections コマンドを使用します。 超えている場合は、Cisco TAC に連絡してください。

Invalid SPI (np-sp-invalid-spi)

デバイスにアドレス指定される IPsec カプセル化セキュリティ ペイロード(ESP)パケットを受信し、現在デバイスで認識されていない SPI(セキュリティ パラメータ インデックス)が指定されると、このカウンタが増分します。

推奨事項:無効な SPI が時折表示されます(特にキーの再生成処理中)。 無効な SPI が何度も表示される場合は、何らかの問題または DoS 攻撃を示している可能性があります。 無効な SPI が頻繁に表示される場合は、ネットワーク トラフィックを分析して ESP トラフィックの送信元を特定します。

Unsupported IPv6 header (unsupport-ipv6-hdr)

サポートされていない IPv6 拡張ヘッダーが付いた IPv6 パケットを受信した場合、このカウンタが増分し、そのパケットはドロップされます。 サポートされている IPv6 拡張ヘッダーは、TCP、UDP、ICMPv6、ESP、AH、Hop オプション、Destination オプション、および Fragment です。 IPv6 ルーティング拡張ヘッダーはサポートされていません。また、上記以外の拡張ヘッダーもサポートされていません。 IPv6 ESP ヘッダーと AH ヘッダーは、パケットが through-the-box の場合にのみサポートされます。 To-the-box の IPv6 ESP パケットと AH パケットはサポートされず、ドロップされます。

推奨事項:このエラーは、ホスト設定の誤りが原因である可能性があります。 このエラーが再発する場合、または何度も発生する場合は、DoS 攻撃など偽のアクティビティや悪意のあるアクティビティを示している可能性があります。

NAT-T keepalive message (natt-keepalive)

このカウンタは、IPSec NAT-T キープアライブ メッセージを受信したときに増分します。 NAT-T キープアライブ メッセージは、ネットワーク デバイスで NAT/PAT フロー情報を最新のものにするために IPSec ピアから送信されます。

推奨事項:このデバイス上で IPSec NAT-T を設定している場合は、この表示は正常なもので、問題を示すものではありません。 アプライアンス上で NAT-T を設定していない場合は、ネットワーク トラフィックを分析し、NAT-T トラフィックの発信元を特定します。

First TCP packet not SYN (tcp-not-syn)

代行受信でもなくネイリングもされていない接続の最初のパケットとして、SYN ではないパケットを受信しました。

推奨事項:通常の状態では、接続がすでに終了しているにもかかわらず、ピアが接続が有効であると判断してデータの送信を続けている可能性があります。 ただし、接続が削除された直後でもないのに、このカウンタが急速に増分する場合は、アプライアンスが攻撃を受けている可能性もあります。

Bad TCP checksum (bad-tcp-cksum)

算出された TCP チェックサムと TCP ヘッダーに記録されているチェックサムが一致しない TCP パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。 また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。

Bad TCP flags (bad-tcp-flags)

TCP ヘッダー内の TCP フラグが無効な TCP パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。 たとえば、SYN フラグと FIN TCP フラグがセットされているパケットは、ドロップされます。

推奨事項:ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。 また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。

TCP reserved flags set (tcp-reserved-set)

TCP ヘッダー内に設定された予約済みのフラグが付いた TCP パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。 また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。

TCP option list invalid (tcp-bad-option-list)

受信した TCP パケットの TCP ヘッダーに非標準の TCP ヘッダー オプションが付属している場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:そのような TCP パケットを許可する、または非標準の TCP ヘッダー オプションを消去してこのパケットを許可するには、デバイスの TCP を再設定します。

TCP data exceeded MSS (tcp-mss-exceeded)

受信した TCP パケットのデータの長さが、ピア TCP エンドポイントから通知された MSS よりも大きい場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:そのような TCP パケットを許可するには、デバイスの TCP を再設定します。

TCP SYNACK with data (tcp-synack-data)

受信した TCP SYN-ACK パケットにデータがある場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。 また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。

TCP SYN with data (tcp-syn-data)

受信した TCP SYN パケットにデータがある場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:そのような TCP パケットを許可するには、デバイスの TCP を再設定します。

TCP Dual open denied (tcp-dual-open)

TCP SYN パケットを受信し、すでに初期 TCP 接続を開始している場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP data send after FIN (tcp-data-past-fin)

FIN を送信済みで接続を終了したエンドポイントから新しい TCP データ パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP failed 3 way handshake (tcp-3whs-failed)

スリーウェイ ハンドシェイク中に無効な TCP パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP RST/FIN out of order (tcp-rstfin-ooo)

受信した RST パケットまたは FIN パケットの TCP シーケンス番号が不適切な場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP SEQ in SYN/SYNACK invalid (tcp-seq-syn-diff)

スリーウェイ ハンドシェイク中に受信した SYN パケットまたは SYN-ACK パケットの TCP シーケンス番号が不適切な場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP ACK in SYNACK invalid (tcp-ack-syn-diff)

スリーウェイ ハンドシェイク中に受信した SYN-ACK パケットの TCP の確認応答番号が不適切な場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP SYN on established conn (tcp-syn-ooo)

確立された TCP 接続で TCP SYN パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP SYNACK on established conn (tcp-synack-ooo)

確立された TCP 接続で TCP SYN-ACK パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP packet SEQ past window (tcp-synack-ooo)

受信した TCP データ パケットのシーケンス番号が、ピア TCP エンドポイントで許可されているウィンドウを超えている場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP invalid ACK (tcp-invalid-ack)

受信した TCP パケットの確認応答番号が、ピア TCP エンドポイントから送信されたデータよりも大きい場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP replicated flow pak drop (tcp-fo-drop)

このカウンタは、アプライアンスがアクティブ装置となった直後に、確立した接続上で、SYN、FIN、または RST などのコントロール フラグを持つ TCP パケットを受信すると増分し、パケットはドロップされます。

推奨事項:なし。

TCP ACK in 3 way handshake invalid (tcp-discarded-ooo)

スリーウェイ ハンドシェイク中に受信した TCP ACK パケットのシーケンス番号が次に予測されるシーケンス番号ではなかった場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP Out-of-Order packet buffer full (tcp-buffer-full)

接続上で順序が乱れた TCP パケットを受信したが、このパケットを保存するバッファがない場合、このカウンタが増分し、このパケットはドロップされます。 通常 TCP パケットは、順番に接続上に配置されてアプライアンスによって検査されるか、またはパケットがモジュールに送信されて検査されます。 デフォルトのキュー サイズがあり、このデフォルトのキュー サイズを超えるパケットを受信すると、ドロップされます。

推奨事項:キュー制限設定時に、ASA プラットフォームでキュー サイズを増加できます。

TCP global Out-of-Order packet buffer full (tcp-global-buffer-full)

接続上で順序が乱れた TCP パケットを受信したが、グローバル バッファがない場合、このカウンタが増分し、このパケットはドロップされます。 通常 TCP パケットは、順番に接続上に配置されてアプライアンスによって検査されるか、またはパケットがモジュールに送信されて検査されます。

推奨事項:すべてのグローバル バッファがいっぱいである場合、これは一時的な状態です。 このカウンタが継続的に増加する場合、ネットワークを調べ、同じフロー内でネットワークを介して別のルートを取っているトラフィックが原因で、順序が乱れた大量のトラフィックが発生していないかどうかを確認します。

TCP Out-of-Order packet buffer timeout (tcp-buffer-timeout)

順序が乱れた TCP パケットがキューに入れられ、バッファ内に長時間維持された場合、このカウンタが増分し、このパケットはドロップされます。 通常 TCP パケットは、順番に接続上に配置されてアプライアンスによって検査されるか、またはパケットがモジュールに送信されて検査されます。 次に予測される TCP パケットが一定期間内に到着しなければ、キューに入れられた、順序が乱れたパケットはドロップされます。

推奨事項:次の予測される TCP パケットが到着できない原因は、通常ビジー状態のネットワークで発生するネットワークの混雑である場合があります。 エンド ホストの TCP 再送信のメカニズムがパケットを再送信し、セッションは継続されます。

TCP RST/SYN in window (tcp-rst-syn-in-win)

確立された接続上で受信した TCP SYN パケットまたは TCP RST パケットのシーケンス番号が、ウィンドウ内にはあるが次に予測されるシーケンス番号ではなかった場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP DUP and has been ACKed (tcp-acked)

再送信されたデータ パケットを受信し、このデータがピア TCP エンドポイントにより確認応答された場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP dup of packet in Out-of-Order queue (tcp-dup-in-queue)

再送信されたデータ パケットを受信し、このデータが順序が乱れたパケットのキューにすでに存在する場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:なし。

TCP packet failed PAWS test (tcp-paws-fail)

タイムスタンプ ヘッダー オプションが指定されている TCP パケットが、PAWS(Protect Against Wrapped Sequences)テストに失敗した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:このような接続の続行を許可するには、TCP オプションを再設定します。

TCP connection limit reached (tcp-conn-limit)

この理由は、接続制限値を超えた場合に、TCP 接続の確立中に TCP パケットがドロップされたことによるものです。

推奨事項:このメッセージ カウンタが急速に増分する場合は、接続が制限に達しているホストを特定します。 トラフィックが正常な場合、またはホストが攻撃を受けている場合は、接続制限値を増分する必要があることもあります。

Connection limit reached (conn-limit)

この理由は、接続制限値またはホスト接続制限値を超えたためにパケットがドロップされたことによるものです。 このパケットが、接続制限値により TCP 接続設定フェーズ中にドロップされた TCP パケットの場合は、ドロップ理由「TCP connection limit reached」も報告されます。

推奨事項:このメッセージ カウンタが急速に増分する場合は、接続が制限に達しているホストを特定します。 トラフィックが正常な場合、またはホストが攻撃を受けている場合は、接続制限値を増分する必要があることもあります。

TCP retransmission partial (tcp_xmit_partial)

check-retransmission 機能がイネーブルになっていて、不完全な TCP 再送信を受信した場合、このカウンタが増分し、パケットはドロップされます。

推奨事項:なし。

TCP bad retransmission (tcpnorm-rexmit-bad)

check-retransmission 機能がイネーブルになっていて、元のパケットと異なるデータを持つ TCP 再送信を受信した場合、このカウンタが増分し、パケットはドロップされます。

推奨事項:なし。

TCP unexpected window size variation (tcpnorm-win-variation)

TCP エンドポイントにアドバタイズされたウィンドウ サイズが、大量のデータを受け取ることもなく激変した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:このパケットを許可するには、TCP の window-size 設定を変更します。

IPSEC/UDP keepalive message (ipsecudp-keepalive)

このカウンタは、IPSec over UDP キープアライブ メッセージを受信したときに増分します。 IPSec over UDP キープアライブ メッセージは、ネットワーク デバイスで NAT/PAT フロー情報を最新のものにするために IPSec ピアから送信されます。 UDP 経由で伝送され UDP ポート 4500 にアドレス指定される、業界標準の NAT-T キープアライブ メッセージはありません。

推奨事項:IPSec over UDP を設定している場合は、この表示は正常なもので、問題を示すものではありません。 デバイス上で IPSec over UDP を設定していない場合は、ネットワーク トラフィックを分析し、IPSec over UDP トラフィックの発信元を特定します。

QoS rate exceeded (rate-exceeded)

レート制限(ポリシング)が出力/入力インターフェイスに設定され、出力/入力トラフィック レートが設定されたバースト レートを超えた場合、このカウンタが増分します。 パケットがドロップされるたび、このカウンタが増分します。

推奨事項:インターフェイスで送受信されるトラフィックのレートが設定されたレートを超えた原因を特定します。 正常な状態の場合もあれば、ウイルスの感染や攻撃を示している可能性もあります。

Rate-limiter queued packet dropped (queue-removed)

QoS 設定が変更または削除されると、出力キューで送信の待機をしていたパケットはドロップされ、このカウンタが増分します。

推奨事項:通常の状態では、QoS 設定が変更された場合に発生することがあります。 QoS 設定に変更を行っていないときにこれが発生した場合は、Cisco Technical Assistance Center(TAC)にお問い合わせください。

Bad crypto return in packet (bad-crypto)

デバイスがパケットの暗号化を試みましたが、暗号化が失敗した場合、このカウンタが増分します。 これは正常な状態ではなく、ソフトウェアまたはハードウェアに問題がある可能性を示しています。

推奨事項:不良暗号の表示を何度も受信する場合は、デバイスの点検が必要である可能性があります。

IPSec not AH or ESP (bad-ipsec-prot)

AH または ESP プロトコルでない IPSec 接続でパケットを受信した場合、このカウンタが増分します。 これは正常な状態ではありません。

推奨事項:AH または ESP ではない IPSec 表示が何度も表示される場合は、ネットワークを分析し、トラフィックの送信元を特定します。

IPSec via IPV6 (ipsec-ipv6)

IPv6 ヘッダーでカプセル化された IPSec ESP パケット、IPSec NAT-T ESP パケット、または IPSec over UDP ESP パケットを受信した場合、このカウンタが増分します。 IPv6 でカプセル化された IPSec セッションは現在サポートされていません。

推奨事項:なし。

BAD IPSec NATT packet (bad-ipsec-natt)

IPSec 接続上で NAT-T とネゴシエートしたパケットを受信したが、パケットのアドレスが NAT-T UDP の宛先ポートである 4500 になっていない、またはパケットのペイロード長が無効である場合、このカウンタが増分します。

推奨事項:ネットワークを分析し、NAT-T トラフィックの送信元を特定します。

BAD IPSec UDP packet (bad-ipsec-udp)

IPSec over UDP とネゴシエート済みの IPSec 接続上でパケットを受信したが、このパケットのペイロード長が無効だった場合、このカウンタが増分します。

推奨事項:ネットワークを分析し、IPSec トラフィックの送信元を特定します。

IPSec SA not negotiated yet (ipsec-need-sa)

暗号化の必要があるのに IPSec セキュリティ アソシエーションを確立していないパケットを受信した場合、このカウンタが増分します。 通常 LAN-to-LAN IPSec コンフィギュレーションでは、これは正常な状態です。 これが表示されると、アプライアンスは宛先ピアとの ISAKMP ネゴシエーションを開始します。

推奨事項:デバイス上で IPSec LAN-to-LAN を設定している場合は、この表示は正常なもので、問題を示すものではありません。 ただし、このカウンタが急速に増分する場合は、crypto の設定エラーまたはネットワーク エラーにより、ISAKMP ネゴシエーションが完了できないことを示している可能性があります。 宛先ピアと通信可能であることを確認し、crypto 設定を確認します。

CTM returned error (ctm-error)

パケットの暗号化を試みましたが、暗号化が失敗した場合、このカウンタが増分します。 これは正常な状態ではなく、ソフトウェアまたはハードウェアに問題がある可能性を示しています。

推奨事項:不良暗号の表示を何度も受信する場合は、デバイスの点検が必要である可能性があります。

Send to CTM returned error (send-ctm-error)

このカウンタは使用されていないため、増分することはありません。

推奨事項:なし。

IPSec spoof detected (ipsec-spoof)

このカウンタは、暗号化されているはずが暗号化されていないパケットを受信すると増分します。 このパケットは、設定され確立された IPSec 接続の内部ヘッダー セキュリティ ポリシー チェックに一致しましたが、暗号化されずに受信されました。 これはセキュリティの問題です。

推奨事項:ネットワークを分析し、スプーフィングされた IPSec トラフィックの送信元を特定します。

IPSec Clear Pkt w/no tunnel (ipsec-clearpkt-notun)

このカウンタは、確立されたトンネルがない IPSec clear-text パケットを受信すると増分します。 パケットはドロップされ、トンネルはパケットが再送信された場合に確立されます。

推奨事項:なし。

IPSec tunnel is down (ipsec-tun-down)

このカウンタは、削除中の IPSec 接続に関連付けられているパケットを受信した場合に増分します。

推奨事項:IPSec トンネルが何らかの理由で切断された場合、これは正常な状態です。

Early security checks failed (security-failed)

このカウンタは次の場合に増分し、パケットはドロップされます。

  • マルチキャスト MAC アドレスがマルチキャストの宛先 IP アドレスと一致しない IPv4 マルチキャスト パケットを受信した場合。
  • 小さなオフセットまたは重複したフラグメントを含む IPv6 または IPv4 のティアドロップ フラグメントを受信した場合。
  • IP 監査(IPS)のシグニチャと一致する IPv4 パケットを受信した場合。

推奨事項:リモート ピアの管理者に連絡する、またはセキュリティ ポリシーに従ってこの問題の危険度を高くします。

Slowpath security checks failed (sp-security-failed)

このカウンタは次の場合に増分し、パケットはドロップされます。

  1. ルーテッド モードで、次の through-the-box パケットのいずれかを受信した場合。
    • レイヤ 2 ブロードキャスト パケット。
    • 宛先 IP アドレス 0.0.0.0 の IPv4 パケット。
    • 送信元 IP アドレス 0.0.0.0 の IPv4 パケット。
  2. ルーテッド モードまたはトランスペアレント モードで、次のいずれかの状態の through-the-box IPv4 パケットを受信した場合。
    • 送信元 IP アドレスの最初のオクテットがゼロ。
    • 送信元 IP アドレスがループバック IP アドレスと等しい。
    • 送信元 IP アドレスのネットワーク部分がすべてゼロ。
    • 送信元 IP アドレスのネットワーク部分がすべて 1。
    • 送信元 IP アドレスのホスト部分がすべてゼロまたはすべて 1。
  3. ルーテッドまたはトランスペアレント モードで、送信元 IP アドレスと宛先 IP アドレスが同じ IPv4 または IPv6 パケットを受信した場合。

推奨事項:1 および 2 については、外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうかを確認します。 設定に誤りのあるクライアントをチェックします。 3 については、このメッセージ カウンタが急速に増分する場合は、攻撃が進行中である可能性があります。 これらの原因を特定するには、パケットの送信元 MAC アドレスを確認します。

IPv6 slowpath security checks failed (ipv6_sp-security-failed)

このカウンタは次のいずれかの場合に増分し、パケットはドロップされます。

  • 送信元アドレスと宛先アドレスが同じである IPv6 through-the-box パケット。
  • パケットのリンク ローカル送信元アドレスまたは宛先アドレスを持つ IPv6 through-the-box パケット。
  • マルチキャストの宛先アドレスを持つ IPv6 through-the-box パケット。

推奨事項:上記のようなパケットは、悪意のあるアクティビティを示しているか、IPv6 ホストの設定が誤っている結果である可能性があります。 これらの原因を特定するには、パケットの送信元 MAC アドレスを確認します。

IP option drop (invalid-ip-option)

ユニキャスト パケットまたはマルチキャスト パケットに対して IP オプションを受信するように設定されていないのに、デバイスが受信した場合、このカウンタが増分します。 パケットはドロップされます。

推奨事項:IP オプションを指定されたパケットがリモート ホストから送信された理由を特定します。

Invalid LU packet (lu-invalid-pkt)

スタンバイ装置が破損した Logical Update パケットを受信しました。

推奨事項:ケーブル不良、インターフェイス カード、回線上のノイズ、またはソフトウェアの欠陥により、パケットが破損した可能性があります。 インターフェイスが正しく機能しているように見えても、この問題を Cisco TAC に報告してください。

Dropped by standby unit (fo-standby)

スタンバイ状態のデバイスに through-the-box パケットが届き、フローが作成されると、そのパケットはドロップされ、作成されたフローは削除されます。 このカウンタは、この理由でパケットがドロップされる場合に、その都度増分します。

推奨事項:アクティブなデバイスまたはコンテキスト上では、このカウンタが増分することはありません。 ただし、スタンバイ状態のデバイスまたはコンテキスト上では、増分するのが普通です。

Dst MAC L2 Lookup Failed (dst-l2_lookup-fail)

トランスペアレント モードで、レイヤ 2 宛先 MAC アドレスの検索をアプライアンスが実行して失敗した場合、このカウンタが増分します。 検索が失敗すると、アプライアンスは宛先 MAC の探索プロセスを開始し、ARP/ICMP メッセージからリモート ホストの位置を特定しようとします。

推奨事項:アプライアンスがトランスペアレント モードに設定されている場合、これは正常な状態です。

L2 Src/Dst same LAN port (l2_same-lan-port)

アプライアンスまたはコンテキストがトランスペアレント モードに設定されていて、アプライアンスが宛先インターフェイスと入力インターフェイスののレイヤ 2 MAC アドレスが同じであることを検出した場合、このカウンタが増分します。

推奨事項:アプライアンスまたはコンテキストがトランスペアレント モードで動作している場合、これは正常な状態です。 アプライアンスが無差別モードで動作しているため、アプライアンスまたはコンテキストはローカル LAN セグメント上のすべてのパケットを受信します。

Expired flow (flow-expired)

アプライアンスが新しいパケットまたはキャッシュされたパケットを投入しようとしたが、そのパケットがすでに期限切れのフローに属している場合、このカウンタが増分します。 また、アプライアンスがすでに期限切れの TCP フロー上で RST を送信しようとした場合、または IDS ブレードからパケットが返されてもそのフローがすでに期限切れの場合にも増分します。 パケットはドロップされます。

推奨事項:有効なアプリケーションが優先されている場合、タイムアウトの延長が必要かどうかを判断します。

ICMP Inspect out of App ID (inspect-icmp-out-of-app-id)

ICMP インスペクション エンジンが「App ID」データ構造の割り当てに失敗した場合、このカウンタが増分します。 このデータ構造は、ICMP パケットのシーケンス番号を保存するのに使用します。

推奨事項:システム メモリの使用状況をチェックします。 通常このイベントは、システムがメモリ不足になった場合に発生します。

ICMP Inspect seq num not matched (inspect-icmp-seq-num-not-matched)

ICMP エコー応答メッセージ内のシーケンス番号が、同じ接続上で先にアプライアンスを通過した ICMP エコー メッセージのいずれにも一致しない場合、このカウンタが増分します。

推奨事項:これが断続的なイベントの場合、アクションは不要です。 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

ICMP Error Inspect no existing conn (inspect-icmp-error-no-existing-conn)

ICMP エラー メッセージに埋め込まれたフレームに関連する確立済みの接続をアプライアンスが見つけられなかった場合、このカウンタが増分します。

推奨事項:これが断続的なイベントの場合、アクションは不要です。 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

ICMP Error Inspect different embedded conn (inspect-icmp-error-different-embedded-conn)

ICMP エラー メッセージに埋め込まれたフレームが、ICMP 接続の作成時に識別された確立済みの接続と一致しない場合、このカウンタが増分します。

推奨事項:これが断続的なイベントの場合、アクションは不要です。 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

ICMPv6 Error Inspect invalid packet (inspect-icmpv6-error-invalid-pak)

アプライアンスが ICMPv6 パケットに埋め込まれた無効なフレームを検出した場合、このカウンタが増分します。 このチェックは IPv6 パケットと同じものです。 例:不完全な IPv6 ヘッダー、不正な形式の IPv6 Next ヘッダーなど。

推奨事項:アクションは不要です。

ICMPv6 Error Inspect no existing conn (inspect-icmpv6-error-no-existing-conn)

ICMP v6 エラー メッセージに埋め込まれたフレームに関連する確立済みの接続をアプライアンスが見つけられなかった場合、このカウンタが増分します。

推奨事項:これが断続的なイベントの場合、アクションは不要です。 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

DNS Inspect invalid packet (inspect-dns-invalid-pak)

アプライアンスが無効な DNS パケットを検出した場合、このカウンタが増分します。 たとえば、DNS パケットに DNS ヘッダーがない場合や、DNS リソース レコード数がヘッダー内のカウンタと一致しない場合などです。

推奨事項:アクションは不要です。

DNS Inspect invalid domain label (inspect-dns-invalid-domain-label)

無効な DNS ドメイン名またはラベルをアプライアンスが検出した場合、このカウンタが増分します。 DNS ドメイン名とラベルのチェックは、RFC 1035 ごとに行われます。

推奨事項:アクションは不要です。 ドメイン名、ラベルのチェックが必要でない場合は、DNS 検査ポリシーの protocol-enforcement パラメータをディセーブルにします。

DNS Inspect packet too long (inspect-dns-pak-too-long)

DNS メッセージ長が設定されている最大値を超えると、このカウンタが増分します。

推奨事項:アクションは不要です。 DNS メッセージ長のチェックが必要でない場合は、DNS 検査を maximum-length オプションなしでイネーブルにするか、DNS 検査ポリシーの message-length maximum パラメータをディセーブルにします。

DNS Inspect out of App ID (inspect-dns-out-of-app-id)

DNS インスペクション エンジンが、DNS メッセージの ID を保存するためのデータ構造の割り当てに失敗した場合、このカウンタが増分します。

推奨事項:システム メモリの使用状況をチェックします。 通常このイベントは、システムがメモリ不足になった場合に発生します。

DNS Inspect ID not matched (inspect-dns-id-not-matched)

DNS 応答メッセージの ID が、同じ接続上で先にセキュリティ アプライアンスを通過した DNS クエリーのいずれにも一致しなかった場合、このカウンタが増分します。

推奨事項:これが断続的なイベントの場合、アクションは不要です。 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

DNS Guard out of App ID (dns-guard-out-of-app-id)

DNS Guard 機能が、DNS メッセージの ID を保存するためのデータ構造の割り当てに失敗した場合、このカウンタが増分します。

推奨事項:システム メモリの使用状況をチェックします。 通常このイベントは、システムがメモリ不足になった場合に発生します。

DNS Guard ID not matched (dns-guard-id-not-matched)

DNS 応答メッセージの ID が、同じ接続上で先にセキュリティ アプライアンスを通過した DNS クエリーのいずれにも一致しなかった場合、このカウンタが増分します。

推奨事項:これが断続的なイベントの場合、アクションは不要です。 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。

Invalid RTP Packet length (inspect-rtp-invalid-length)

このカウンタは、UDP パケット長が RTP ヘッダーのサイズよりも短い場合に増分します。

推奨事項:アクションは不要です。 必要な場合は、不適切なパケットを送信している RTP 送信元を特定し、ACL を利用するホストを拒否できます。

Invalid RTP Version field (inspect-rtp-invalid-version)

このカウンタは、RTP バージョン フィールドが 2 以外のバージョンを含む場合に増分します。

推奨事項:ネットワーク内の RTP ソースは RFC 1889 に一致しない RTP パケットを送信しているようです。 この原因を特定する必要があります。必要な場合は ACL を使用するホストを拒否できます。

Invalid RTP Payload type field (inspect-rtp-invalid-payload-type)

このカウンタは、信号を発信しているチャンネルが RTP セカンダリ接続の自動メディア タイプについてネゴシエートしているときに、RTP ペイロード タイプ フィールドにオーディオ ペイロード タイプが含まれていないと増分します。 カウンタは、ビデオ ペイロード タイプの場合と同じように増分します。

推奨事項:ネットワーク内の RTP ソースはオーディオ RTP セカンダリ接続を使用してビデオを送信しています(逆の場合も同じ)。 この操作が行われないようにする場合は、ACL を使用するホストを拒否できます。

Invalid RTP Synchronization Source field (inspect-rtp-ssrc-mismatch)

このカウンタは、パケット内の RTP SSRC フィールドが、すべての RTP パケット内の RTP ソースからの、検査により確認された SSRC と一致しないと増分します。

推奨事項:これは、ネットワーク内の RTP ソースがリブートして SSRC を変更したためか、またはネットワーク上の別のホストがファイアウォール上で開かれているセカンダリ RTP 接続を使用して RTP パケットを送信しようとしているために生じます。 問題があるかどうか確認するために、さらに調べる必要があります。

RTP Sequence number out of range (inspect-rtp-sequence-num-outofrange)

このカウンタは、パケット内の RTP シーケンス番号が検査により予想された範囲内にないと増分します。

推奨事項:RTP ソースからシーケンス番号が順番どおりでない場合、検査によって復元され、新しいシーケンス番号からトラッキングが開始されるので、アクションは必要ありません。

RTP out of sequence packets in probation period (inspect-rtp-max-outofseq-paks-probation)

このカウンタは、RTP ソースを確認中に、順番どおりでないパケットの数が 20 を超えると増分します。 検査では、順番どおりのパケットを 5 つ検出すると、ソースが確認済みであると判断されます。

推奨事項:RTP ソースを調べて、最初のいくつかのパケットが順番どおりに着信しない理由を確認し、RTP ソースを訂正します。

Invalid RTCP Packet length (inspect-rtcp-invalid-length)

このカウンタは、UDP パケット長が RTCP ヘッダーのサイズよりも短い場合に増分します。

推奨事項:アクションは不要です。 キャプチャを利用すると、不適切なパケットを送信している RTP 送信元を特定できるので、ACL を使用しているホストを拒否できます。

Invalid RTCP Version field (inspect-rtcp-invalid-version)

このカウンタは、RTCP バージョン フィールドが 2 以外のバージョンを含む場合に増分します。

推奨事項:ネットワーク内の RFC ソースは RFC 1889 に適合する RTCP パケットを送信していないようです。 この原因を特定する必要があります。必要な場合はアクセス リストを使用するホストを拒否できます。

Invalid RTCP Payload type field (inspect-rtcp-invalid-payload-type)

このカウンタは、RTCP ペイロード タイプ フィールドに 200 から 204 の値が含まれていない場合に増分します。

推奨事項:RTP のソースを検証して、RFC 1889 で推奨される範囲外のペイロード タイプが送信された理由を確認する必要があります。

Inspect SRTP Encryption failed (inspect-srtp-encrypt-failed)

このカウンタは、SRTP 暗号化が失敗すると増分します。

推奨事項:リブート後もエラーが続く場合は、TAC に問い合わせて SRTP 暗号化がハードウェア暗号アクセラレータに失敗する原因を調べます。

Inspect SRTP Decryption failed (inspect-srtp-decrypt-failed)

このカウンタは、SRTP 復号化が失敗すると増分します。

推奨事項:リブート後もエラーが続く場合は、TAC に問い合わせて SRTP 復号化がハードウェア暗号アクセラレータに失敗する原因を調べます。

Inspect SRTP Authentication tag validation failed (inspect-srtp-validate-authtag-failed)

このカウンタは、SRTP 認証タグの検証が失敗すると増分します。

推奨事項:アクションは不要です。 エラーが続く場合は、ファイアウォールに到達する SRTP パケットが改ざんされています。管理者は原因を特定する必要があります。

Inspect SRTP Authentication tag generation failed (inspect-srtp-generate-authtag-failed)

このカウンタは、SRTP 認証タグの生成が失敗すると増分します。

推奨事項:アクションは不要です。

Inspect SRTP failed to find output flow (inspect-srtp-no-output-flow)

電話プロキシからのフローを作成できなかった場合、またはフローが切断された場合、このカウンタが増分します

推奨事項:アクションは不要です。 フローの作成は、メモリ不足が原因で失敗することがあります。

Inspect SRTP setup in CTM failed (inspect-srtp-setup-srtp-failed)

このカウンタは、CTM の SRTP 設定が失敗すると増分します。

推奨事項:アクションは不要です。 エラーが続く場合は、TAC に問い合わせて CTM コールが失敗する原因を調べます。

Inspect SRTP failed to find keys for both parties (inspect-srtp-one-part-no-key)

検査 SRTP がメディア セッションで入力されたキーを検索し、キーのパーティーが 1 つしかなかった場合、このカウンタが増分します。

推奨事項:アクションは不要です。 このカウンタは、コールの開始フェーズで増分する場合がありますが、コールの信号交換が完了すると、最終的に両パーティーそれぞれのキーを認識します。

Inspect SRTP Media session lookup failed (inspect-srtp-no-media-session)

このカウンタは、SRTP メディア セッションの検索に失敗すると増分します。

推奨事項:アクションは不要です。 メディア セッションは、IP アドレスが信号交換の一部として解析されたときに、検査 SIP または Skinny によって作成されます。 原因を特定するには、信号メッセージをデバッグします。

Inspect SRTP Remote Phone Proxy IP not populated (inspect-srtp-no-remote-phone-proxy-ip)

このカウンタは、リモート電話のプロキシ IP が入力されない場合に増分します

推奨事項:アクションは不要です。 リモート電話のプロキシ IP アドレスは、信号交換から入力されます。 エラーが続く場合は、信号メッセージをデバッグし、ASA にすべての信号メッセージが表示されているかどうかを確認します。

Inspect SRTP client port wildcarded in media session (inspect-srtp-client-port-not-present)

このカウンタは、クライアント ポートがメディア セッションに入力されていない場合に増分します

推奨事項:アクションは不要です。 クライアント ポートは、メディア ストリームがクライアントから入るときに動的に入力されます。 クライアントがメディア パケットを送信しているかどうかを確認するためにメディア パケットをキャプチャします。

IPS Module requested drop (ips-request)

パケットが IPS エンジンのシグニチャと一致すると、このカウンタが増分し、IPS モジュールの要求に従ってこのパケットはドロップされます

推奨事項:IPS モジュールの syslog およびアラートを確認します。

IPS card is down (ips-fail-close)

IPS カードがダウンしている状態で、IPS 検査で fail-close オプションが使用された場合、このカウンタが増分します。

推奨事項:IPS カードを確認して動作させます。

IPS config removed for connection (ips-fail)

特定の接続用の IPS 設定が見つからない場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:IPS で設定が変更されていないかどうかを確認します。

Executing IPS software does not support IPv6 (ips-no-ipv6)

IPv6 をサポートしていない IPS SSM カードでソフトウェアが実行されているために、IPS SSM に向けて送信されるように設定された IPv6 パケットが廃棄された場合、このカウンタが増分します。

推奨事項:IPS ソフトウェアをバージョン 6.2 以降にアップグレードします。

FP L2 rule drop (l2_acl)

アプライアンスがレイヤ 2 ACL のためにパケットを拒否した場合、このカウンタが増分します。 アプライアンスは、ルーテッド モードではデフォルトで、1)IPv4 パケット、2)IPv6 パケット、3)ARP パケット、4)FFFF:FFFF:FFFF の L2 宛先 MAC(ブロードキャスト)、5)0100:5E00:0000-0100:5EFE:FFFF の宛先 L2 を持つ IPv4 MCAST パケット、6)3333:0000:0000-3333:FFFF:FFFF の宛先 L2 を持つ IPv6 MCAST のパケットを許可し、トランスペアレント モードではデフォルトで、ルーテッド モード ACL を許可して、1)0100:0CCC:CCCD の宛先 L2 を持つ BPDU パケット、2)0900:0700:0000-0900:07FF:FFFF の宛先 L2 を持つ Appletalk パケットを許可します。ユーザは、Ethertype ACL を設定し、インターフェイスに適用して他のタイプの L2 トラフィックを許可することもできます。 (注)L2 ACL によって許可されたパケットは、L3 ~ L4 ACL によってドロップされる場合があります。

推奨事項:アプライアンス/コンテキストをトランスペアレント モードで実行していて、非 IP パケットがアプライアンスによってドロップされる場合、EtherType ACL を設定し、アクセス グループに ACL を適用できます。 (注)アプライアンスの ethertype CLI は、プロトコル タイプと L2 宛先以外の MAC アドレスのみをサポートしています。

Intercept unexpected packet (intercept-unexpected)

サーバからの SYNACK を待機中にクライアントからデータを受信したか、TCP 代行受信の特定の状態で処理できないパケット クライアントからデータを受信しました。

推奨事項:このドロップが接続の失敗の原因である場合、接続のクライアント側およびサーバ側のスニファ トレースを実行し、この問題を報告してください。 ボックスは攻撃を受けている可能性があります。スニファ トレースまたはキャプチャが原因を特定するのに役立ちます。

FP no mcast entry (no-mcast-entry)

マルチキャスト フローに一致するパケットが着信したが、マルチキャスト サービスがイネーブルでなくなっていた、またはマルチキャスト フローが作成された後で再度イネーブルにされた。 - または - パケットが CP にパントされた後にマルチキャスト エントリの変更が検出され、エントリが存在しないために NP がパケットを転送できない。

推奨事項:ディセーブルになっているマルチキャストを再びイネーブルにします。 - または - 必要なアクションはありません。

FP no mcast output intrf (no-mcast-intrf)

すべての出力インターフェイスがマルチキャスト エントリから削除された。 - または - マルチキャスト パケットを転送できなかった。

推奨事項:このグループに受信者が存在しないことを確認します。 - または - このパケットにフローがあることを確認します。

Fragment reassembly failed (fragment-reassembly-failed)

このカウンタは、アプライアンスが一連の断片化されたパケットを 1 つのパケットに再構成できなかった場合に増分します。 一連のフラグメント パケットはすべてドロップされます。 ほとんどの場合、再構成されたパケットにメモリを配分中にエラーが発生したことが原因であると考えられます。

推奨事項:show blocks コマンドを使用して、現在のブロック メモリを監視します。

Virtual firewall classification failed (ifc-classify)

パケットが共有インターフェイスに到着しましたが、特定のコンテキスト インターフェイスへの分類が失敗しました。

推奨事項:カスタマイズ可能な MAC アドレスをサポートしないソフトウェア バージョンについては、global または static コマンドを使用して、各コンテキスト インターフェイスに属する IPv4 アドレスを指定します。 カスタマイズ可能な MAC アドレスをサポートするソフトウェア バージョンについては、システム コンテキストの mac-address auto をイネーブルにします。 あるいは、各コンテキスト インターフェイスのサブモードで mac-address を使用し、共有インターフェイスに存在する各コンテキスト インターフェイスに固有の MAC アドレスを設定します。

Connection locking failed (connection-lock)

パケットの処理待ち中に、使用予定であったフローが破壊されました。

推奨事項:メッセージは、アクティブにパケットを処理しているデバイスの接続を削除するために、ユーザ インターフェイス コマンドから発生する場合があります。 それ以外の場合は、フロー ドロップ カウンタを調べてください。 このメッセージは、フローがエラーから強制的にドロップされる場合に表示されることがあります。

Interface is down (interface-down)

このカウンタは、shutdown インターフェイス サブモード コマンドによってシャットダウンされたインターフェイス上でパケットを受信するたびに増分します。 入トラフィックでは、セキュリティ コンテキスト分類が行われ、そのコンテキストに関連付けられたインターフェイスがシャットダウンしている場合、このパケットはドロップされます。 出トラフィックでは、出トラフィックがシャットダウンしている場合、パケットがドロップされます。

推奨事項:アクションは不要です。

Invalid App length (invalid-app-length)

アプライアンスがパケット内にレイヤ 7 ペイロードの無効な長さを検出した場合、このカウンタが増分します。 現在は、DNS Guard 機能のみによるドロップをカウントします。 例:不完全な DNS ヘッダー。

推奨事項:アクションは不要です。

Loopback buffer full (loopback-buffer-full)

アプライアンスのあるコンテキストから別のコンテキストに、共有インターフェイスを介してパケットが送信されたが、ループバック キューにバッファの空き領域がない場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項:システム CPU をチェックして、過負荷になっていないかどうか確認します。

Non-IP packet received in routed mode (non-ip-pkt-in-routed-mode)

アプライアンスが受信したパケットが IPv4、IPv6、ARP のいずれでもなく、アプライアンスまたはコンテキストがルーテッド モードに設定されている場合、このカウンタが増分します。 通常の動作では、このパケットはデフォルトの L2 ACL 設定によってドロップされます。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

FP host move packet (host-move-pkt)

アプライアンスまたはコンテキストがトランスペアレント モードに設定されていて、既知の L2 MAC アドレスの発信元インターフェイスが異なるインターフェイス上で検出された場合、このカウンタが増分します。

推奨事項:これは、ホストがあるインターフェイス(たとえば LAN セグメント)から別のインターフェイスに移動したことを示しています。 実際にホストが移動している場合、トランスペアレント モードではこれは正常な状態です。 ただし、ホストがインターフェイス間であちこち移動する場合は、ネットワーク ループが存在している可能性があります。

No management IP address configured for TFW (tfw-no-mgmt-ip-config)

セキュリティ アプライアンスがトランスペアレント モードで IP パケットを受信したが、管理 IP アドレスが定義されていない場合、このカウンタが増分します。 パケットはドロップされます。

推奨事項:デバイスに管理 IP アドレスとマスク値を設定します。

Packet shunned (shunned)

排除データベース内にあるホストと一致する送信元 IP アドレスを持つパケットを受信した場合、このカウンタが増分します。

推奨事項:アクションは不要です。

RM connection limit reached (rm-conn-limit)

このカウンタは、コンテキストまたはシステムの最大接続数に達して新しい接続が試行されると増分します。

推奨事項:デバイスの管理者は、show resource usage コマンドおよび show resource usage system コマンドを使用して、コンテキストやシステムのリソース制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整できます。

RM connection rate limit reached (rm-conn-rate-limit)

このカウンタは、コンテキストまたはシステムの最大接続レートに達して新しい接続が試行されると増分します。

推奨事項:デバイスの管理者は、show resource usage コマンドおよび show resource usage system コマンドを使用して、コンテキストやシステムのリソース制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整できます。

Dropped pending packets in a closed socket (np-socket-closed)

ソケットがユーザまたはソフトウェアにより突然終了すると、そのソケットのパイプライン中にある保留中のパケットもドロップします。 このカウンタは、パイプライン中にある各ソケットがドロップするたびに増分します。

推奨事項:このカウンタは、一般的に、通常の動作の一部として増分していきます。 ただし、カウンタが急速に増分している場合や、ソケット ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥によって発生している可能性があります。 Cisco TAC に連絡して、問題を詳しく調査してください。

Port Forwarding Queue Is Full (mp-pf-queue-full)

このカウンタは、ポート フォワーディング アプリケーションの内部キューがいっぱいである際に、別の伝送パケットを受信した場合に増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

SVC Module received data while connection was being deleted (mp-svc-delete-in-progress)

このカウンタは、セキュリティ アプライアンスが、削除中の SVC 接続に関連付けられたパケットを受信すると増分します。

推奨事項:SVC トンネルが何らかの理由で切断された場合、これは正常な状態です。 このエラーが繰り返し何度も発生する場合は、クライアントのネットワーク接続に問題があると考えられます。

SVC Module received badly framed data (mp-svc-bad-framing)

このカウンタは、セキュリティ アプライアンスが SVC から、またはデコードできないコントロール ソフトウェアからパケットを受信すると増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。 SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

SVC Module received bad data length (mp-svc-bad-length)

このカウンタは、セキュリティ アプライアンスが SVC から、または計算された指定の長さが一致しないコントロール ソフトウェアからパケットを受信すると増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。 SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

SVC Module received unknown data frame (mp-svc-unknown-type)

このカウンタは、セキュリティ アプライアンスがデータのタイプが不明な SVC からパケットを受信すると増分します。

推奨事項:クライアントが使用している SVC がセキュリティ アプライアンス ソフトウェアのバージョンと適合しているかどうかを確認します。

SVC Module received address renew response data frame (mp-svc-addr-renew-response)

このカウンタは、セキュリティ アプライアンスが SVC から Address Renew Response メッセージを受信すると増分します。 SVC はこのメッセージを送信しません。

推奨事項:これは、SVC ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

SVC Module does not have enough space to insert header (mp-svc-no-prepend)

このカウンタは、ネットワークにパケットを配置するために、パケット データの前に Mac ヘッダーを付加する十分なスペースがない場合に増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

SVC Module does not have a channel for re-injection (mp-svc-no-channel)

このカウンタは、暗号化データを受信したインターフェイスが、復号化データを注入する際に検出されないと増分します。

推奨事項:インターフェイスが接続中にシャットダウンすると、この現象が発生します。インターフェイスを再イネーブルにしてチェックしてください。 接続中にシャットダウンしたのでない場合は、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

SVC Module does not have a session (mp-svc-no-session)

このカウンタは、セキュリティ アプライアンスがこのデータを送信しなければならない SVC セッションを決定できない場合に増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

SVC Module decompression error (mp-svc-decompres-error)

このカウンタは、セキュリティ アプライアンスが SVC からのデータを圧縮解除中にエラーを検出すると増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。 SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

SVC Module compression error (mp-svc-compress-error)

このカウンタは、セキュリティ アプライアンスが、SVC に対してデータを圧縮中にエラーを検出すると増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。 SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

SVC Module unable to find L2 data for frame (mp-svc-no-mac)

このカウンタは、セキュリティ アプライアンスが SVC から受信したデータの L2 MAC ヘッダーを検出できない場合に増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

SVC Module found invalid L2 data in the frame (mp-svc-invalid-mac)

このカウンタは、セキュリティ アプライアンスが SVC から受信したデータに添付された L2 MAC ヘッダーが無効であると検出した場合に増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

SVC Module found invalid L2 data length in the frame (mp-svc-invalid-mac-len)

このカウンタは、セキュリティ アプライアンスが SVC から受信したデータに添付された L2 MAC 長が無効であると検出した場合に増分します。

推奨事項:これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

SVC Session is in flow control (mp-svc-flow-control)

このカウンタは、SVC が一時的にこれ以上データを受信できないため、セキュリティ アプライアンスがデータをドロップする必要がある場合に増分します。

推奨事項:クライアントがこれ以上データを受信できないことを示します。 クライアントは受信するトラフィックの量を減らす必要があります。

SVC Module unable to fragment packet (mp-svc-no-fragment)

このカウンタは、SVC に送信するパケットのフラグメンテーションが許可されない場合、またはパケットをフラグメンテーションするために十分なデータ バッファがない場合に増分します。

推奨事項:SVC の MTU を増やしてフラグメンテーションを削減してください。 フラグメンテーションを許容しないアプリケーションの使用は避けてください。 デバイスにかかる負荷を少なくして、使用可能なデータ バッファを増加させてください。

Invalid packet received from SSM card (ssm-dpp-invalid)

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。 セキュリティ アプライアンスが内部データ プレーン インターフェイスから ASA SSM Dataplane Protocol(ASDP)パケットを受信するが、それを解析する適切なドライバを検出できない場合に増分します。

推奨事項:データ プレーン ドライバは、システムにインストールされた SSM のタイプに応じて動的に登録されます。 したがって、この現象は、セキュリティ アプライアンスが完全に初期化される前にデータ プレーン パケットが到着すると発生する可能性があります。 このカウンタ値は通常 0 です。 少々のドロップがあっても気にする必要はありません。 ただし、システムが起動して稼働中であるときにこのカウンタの値が上昇し続ける場合は、問題があることを示している可能性があります。 これがセキュリティ アプライアンスの正常な動作に影響を与えると思われる場合は、Cisco Technical Assistance Center(TAC)に連絡してください。

Invalid ASDP packet received from SSM card (ssm-asdp-invalid)

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。 セキュリティ アプライアンスが内部データ プレーン インターフェイスから ASA SSM Dataplane Protocol(ASDP)パケットを受信したが、このパケットを解析してドライバに問題が生じると増分します。 ASDP は、CSC-SSM と同様に、特定のタイプの SSM と通信するためにセキュリティ アプライアンスが使用するプロトコルです。 この現象は、さまざまな理由により生じます。たとえば、ASDP プロトコルのバージョンがセキュリティ アプライアンスと SSM 間で適合しなかった場合、コントロール プレーン内のカード マネージャ プロセスがシステム メッセージと CLI 警告を送信して、インストールする適切なバージョンのイメージを通知します。ASDP パケットがセキュリティ アプライアンス側ですでに終了している接続に属している場合もあります。セキュリティ アプライアンスがスタンバイ状態に切り替わっている場合(フェールオーバーがイネーブルになっている場合)には、これ以降トラフィックを通過させることができません。また、ASDP ヘッダーとペイロードの解析時に予期しない値があった場合もあります。

推奨事項:カウンタは通常 0 または非常に小さい数値です。 ただし、カウンタが長期わたって少しずつ増分した場合、特にフェールオーバーがあったときや、CLI 経由でセキュリティ アプライアンスの接続を手動で消去したときは考慮する必要がありません。 カウントが通常動作時に急激に増分した場合は、Cisco Technical Assistance Center(TAC)に連絡してください。

Service module requested drop (ssm-app-request)

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。 このカウンタは、SSM で実行するアプリケーションが、セキュリティ アプライアンスがパケットをドロップすることを要求すると増分します。

推奨事項:詳細については、事故レポート、または SSM により生成されるシステム メッセージを照会することで取得することができます。 手順については、SSM に付属のマニュアルを参照してください。

Service module is down (ssm-app-fail)

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。 SSM により検査されるパケットが、SSM が使用不可になったためにドロップすると増分します。 たとえば、ソフトウェアまたはハードウェアの欠陥、ソフトウェアまたはシグナチャのアップグレード、またはシャットダウンするモジュールなどです。

推奨事項:セキュリティ アプライアンスのコントロール プレーンで実行するカード マネージャ プロセスは、システム メッセージと CLI 警告を発行してその障害を通知します。 SSM エラーの問題解決については、SSM に付属のマニュアルを参照してください。 必要に応じて Cisco Technical Assistance Center(TAC)にお問い合わせください。

No route to host for WCCP returned packet (wccp-return-no-route)

このカウンタは、パケットがキャッシュ エンジンから戻され、セキュリティ アプライアンスがこのパケットの元のソースのルートを検出できない場合に増分します。

推奨事項:キャッシュ エンジンから戻されたパケットのソース IP アドレスのルートが存在することを確認します。

No route to Cache Engine (wccp-redirect-no-route)

このカウンタは、セキュリティ アプライアンスがパケットのリダイレクトを試行し、キャッシュ エンジンへのルートを検出できない場合に増分します。

推奨事項:キャッシュ エンジンへのルートが存在することを確認してください。

VPN Handle Error (vpn-handle-error)

このカウンタは、VPN 処理がすでに存在するために、アプライアンスで VPN 処理を作成できない場合に増分します。

推奨事項:このカウンタは、通常の動作が行われる過程で増分していく可能性があります。ただし、カウンタが急速に増分している場合や、VPN ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥によって発生している可能性があります。 Cisco TAC に連絡して、問題を詳しく調査してください。

Telnet not permitted on least secure interface (telnet-not-permitted)

アプライアンスがそのアプライアンスに対して TELNET セッションを確立しようとする TCP SYN パケットを受信する際に、セキュリティ レベルが最も低いインターフェイスでそのパケットを受信した場合は、このカウンタが増分し、パケットがドロップされます。

推奨事項:セキュリティ レベルが最も低いインターフェイスを介してアプライアンスへの TELNET セッションを確立するには、まずそのインターフェイスへの IPSec トンネルを確立し、そのトンネルを使用して TELNET セッションを接続してください。

Data path channel closed (channel-closed)

このチャネルを介してパケットの送出を試行する前にデータ パス チャネルが閉じると、このカウンタは増分します。

推奨事項:マルチプロセッサ システムで、(たとえば、CLI を使用して)1 つのプロセッサがチャネルを閉じたときに、別のプロセッサがチャネルを介してパケットを送信しようとした場合、このような状態が発生しても異常ではありません。

Dispatch decode error (dispatch-decode-err)

パケット ディスパッチ モジュールがフレームをデコードするときにエラーを検出すると、このカウンタは増分します。 このエラーの一例として、サポートされていないパケット フレームがあります。

推奨事項:キャプチャ ツールを使用してパケット形式を確認してください。

IPSec locking error (ipsec-lock-error)

このカウンタは、IPSec 動作が試行されると増分しますが、内部ロック エラーによって失敗します。

推奨事項:この状態は、通常の動作時に発生することはなく、アプライアンスにソフトウェアの問題が発生していることを示す場合があります。 このエラーが発生した場合は、Cisco Technical Assistance Center(TAC)にお問い合せください。

CP event queue error (cp-event-queue-error)

キューの長さが超過したために、CP イベント キュー エンキュー試行が失敗した場合、このカウンタは増加します。 このキューは、追加処理用のコントロール ポイントにパケットをパントするためにデータ パスで使用されます。 このような状況が発生する可能性があるのは、マルチプロセッサ環境だけです。 パケットをキューに入れようとしたモジュールは、このエラーに応答してモジュール独自のパケットに固有のドロップを発行する場合があります。

推奨事項:このエラーにより、パケットが完全に処理されないことが示されていても、接続に悪影響が及ばないことがあります。 条件が解消されない、または接続に悪影響が及ぶ場合は、Cisco Technical Assistance Center(TAC)に連絡してください。

Host limit exceeded (host-limit)

このカウンタは、ライセンスされたホストが制限を超えた場合に増分します。

推奨事項:なし。

CP syslog event queue error (cp-syslog-event-queue-error)

キューの長さが超過したために、CP syslog イベント キュー エンキュー試行が失敗した場合、このカウンタは増加します。 UDP サーバ以外のロギング先が設定されている場合、データ パスはこのキューを使用して、ロギング イベントをコントロール ポイントにパントします。 このような状況が発生する可能性があるのは、マルチプロセッサ環境だけです。

推奨事項:このエラーにより、ロギング イベントが完全に処理されないことが示されていても、UDP サーバへのロギングには影響はありません。 このような状況が解消されない場合は、ロギング レベルを下げる、ロギング先を削除することを検討する、あるいは Cisco Technical Assistance Center(TAC)に連絡してください。

Dispatch block unavailable (dispatch-block-alloc)

インターフェイス ドライバで受信されたパケットを処理するために、アプライアンスがコア ローカル ブロックを割り当てることができなかった場合、このカウンタが増分し、パケットはドロップされます。

推奨事項:このような状態は、後で処理するためにキューに入れられているパケット、またはブロック リークによって発生する場合があります。 コア ローカル ブロックが空きリソース再バランス ロジックによって時間通りに補充されない場合は、コア ローカル ブロックも利用できないことがあります。 show blocks core を使用して、問題を詳しく診断してください。

VPN Handle Mismatch (vpn-handle-mismatch)

アプライアンスがブロックを転送する必要があり、VPN ハンドルによって参照されるフローがブロックに関連付けられたフローと異なる場合、このカウンタが増分します。

推奨事項:これは正常な状態ではありません。 詳細な分析のため、show console-output を実行して出力を CISCO TAC に送信してください。

Async lock queue limit exceeded (async-lock-queue-limit)

各 async lock 作業キューが 1000 に制限されています。 制限を超える SIP パケットの作業キューへの送信が試行された場合、パケットはドロップされます。

推奨事項:SIP トラフィックだけがドロップされる場合があります。 SIP パケットに同じ親ロックがあり、同じ async lock キューにキューイングする場合、シングル コアだけですべてのメディアを処理するため、ブロックが枯渇する場合があります。 async lock キューのサイズが制限を超えた場合に、SIP パケットのキューが試行されると、パケットはドロップされます。

Examples

次に、show opdata framedrop コマンドの出力例を示します。

hostname>show opdata framedrop
Data Plane Drop Stats:
======================
Flow is being freed (flow-being-freed)              413
TCP failed 3 way handshake (tcp-3whs-failed)        49364
TCP RST/FIN out of order (tcp-rstfin-ooo)           597549
Connection limit reached (conn-limit)               3
Expired flow (flow-expired)                         92133
Unable to obtain connection lock (connection-lock)  46
TCP Proxy no inspection (tcp-proxy-no-inspection)   230594

Related Commands

コマンド

説明

clear opdata framedrop

ドロップされたフレームの記録をクリアします。

show opdata flowdrop

ドロップされたフロー(接続)に関する情報を表示します。

show opdata interface

すべてのデータ プレーン インターフェイスの基本的な統計情報を表示するには、show opdata interface コマンドを使用します。

show opdata interface [ detail ]

Syntax Description

detail

(オプション)ssm-translate インターフェイス固有の詳細な統計情報を表示します。 この詳細情報は、show opdata interface コマンドで表示されるすべての統計情報に、入力(RX)キューおよび出力(TX)キューの統計情報を加えたものです。

Command Default

デフォルトの動作や値はありません。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

このコマンドが追加されました。

Usage Guidelines

次の情報が、デバイスの各インターフェイスに対して表示されます。 これらはデータプレーン NIC 統計情報ですが、show interface は、管理インターフェイスおよびカード マネージャ インターフェイスの情報を表示します。

表 3 show opdata interface および show opdata interface detail の表示フィールド

フィールド

説明

Interface:

タイプ、スロット、および名前 (「GigabitEthernet1 (outside)」など)

NIC カウンタおよび NP カウンタ

packets input

このインターフェイスで受信したパケットの数。 このラインには次のものが含まれます。

  • [bytes]:このインターフェイスで受信されたバイト数。
  • [no Buffer]:ブロック割り当てからの失敗の数。

Received

受信したブロードキャスト パケットおよびパケットに関する情報。以下に具体例を示します。

  • [broadcasts]:受信したブロードキャストの数。
  • [runts]:最小のパケット サイズ(64 バイト)よりも小さいために廃棄されたパケットの数。 ラントは通常、コリジョンによって発生します。 不適切な配線や電気干渉によって発生することもあります。
  • [giants]:最大パケット サイズを超過したためにドロップされたパケット数 たとえば、1518 バイトよりも大きいイーサネット パケットはジャイアントと見なされます。

input errors

次に示すタイプを含めた入力エラーの総数。 また、その他の入力関連のエラーによって入力エラー数が増えたり、一部のデータグラムに複数のエラーが存在していたりする可能性があります。したがって、この合計は、これらのタイプにリストされているエラーの数を超えることがあります。

  • [CRC]:巡回冗長検査エラーの数。 ステーションがフレームを送信すると、フレームの末尾に CRC を付加します。 この CRC は、フレーム内のデータに基づくアルゴリズムから生成されます。 送信元と宛先の間でフレームが変更された場合、システムは CRC が一致しないことを通知します。 CRC の数値が高いことは、通常、コリジョンの結果であるか、ステーションが不良データを送信することが原因です。
  • [frame]:フレーム エラーの数。 不良フレームには、長さが正しくないパケットや、フレーム チェックサムが正しくないパケットがあります。 このエラーは通常、コリジョンまたはイーサネット デバイスの誤動作が原因です。
  • [Overruns]:入力レートがデータを処理するデバイスの機能を超えたために、デバイスが受信データをハードウェア バッファに配信できなかった回数。
  • [ignored]:このフィールドは使用されません。 値は常にゼロになります。
  • [abort]:このフィールドは使用されません。 値は常にゼロになります。

pause input/resume input

インターフェイスで入力が一時停止した回数と、入力が再起動した回数。

packets output

このインターフェイスに送信されたパケットの数。 このラインは次のものも含みます。

  • [bytes]:このインターフェイスに送信されたバイト数。
  • [underruns]:デバイスが処理するより早くトランスミッタが実行された回数。

pause output/resume output

インターフェイスで出力が一時停止した回数と、出力が再起動した回数。

output errors

設定されたコリジョンの最大数を超えたため送信されなかったフレームの数。 このカウンタは、ネットワーク トラフィックが多い場合にのみ増加します。

collisions

イーサネット コリジョン(単一および複数のコリジョン)が原因で再送信されたメッセージの数。 これは通常、過渡に延長した LAN で発生します(イーサネット ケーブルまたはトランシーバ ケーブルが長すぎる、ステーション間のリピータが 2 つよりも多い、またはマルチポート トランシーバのカスケードが多すぎる場合)。 衝突するパケットは一度だけカウントされます。

interface resets

インターフェイスがリセットされた回数。 インターフェイスで 3 秒間送信できない場合、デバイスはインターフェイスをリセットして送信を再開します。 この間隔では、接続状態が維持されます。 インターフェイスのリセットは、インターフェイスがループバックまたはシャットダウンする場合も発生します。

late collisions

通常のコリジョン ウィンドウの外側でコリジョンが発生したため、送信されなかったフレームの数。 レイト コリジョンは、パケットの送信中に遅れて検出されるコリジョンです。 通常、これらは発生することはありません。 2 枚のイーサネット ホストが情報を同時に送信しようすると、パケットで早期に衝突して両方ともバック オフするか、2 番目のホストが 1 番目の送信を認識して待機します。

レイト コリジョンでは、別のデバイスが割り込んでイーサネットでパケットを送信しようとしますが、このデバイスのパケットの送信は一部のみ完了します。 パケットの最初の部分を保持するバッファを解放する可能性があるため、このデバイスはパケットを再送しません。 このことは一般的に問題になりません。その理由は、ネットワーキング プロトコルはパケットを再送することでコリジョンを処理する設計になっているためです。 ただし、レイト コリジョンはネットワークに問題が存在することを示しています。 一般的な問題は、リピータで接続された大規模ネットワーク、および仕様の範囲を超えて動作しているイーサネット ネットワークです。

deferred

リンク上のアクティビティが原因で送信前に保留されたフレームの数。

input reset drops

リセットが発生したときに RX リングでドロップしたパケットの数。

output reset drops

リセットが発生したときに TX リングでドロップしたパケットの数。

次の統計情報は、showopdatainterface にキーワードの detail を含めると出力に追加されます。

RX Queue Stats

入力キュー内のパケット数(現行値と最大値)。 次のものも含みます。

  • [hardware]:ハードウェア キューのパケット数。
  • [software]:ソフトウェア キューのパケット数。

TX Queue Stats

出力キュー内のパケットの数(現行値と最大値)。 次のものも含みます。

  • [hardware]:ハードウェア キューのパケット数。
  • [software]:ソフトウェア キューのパケット数。

Examples

次に show opdata interface detail の出力例を示します。

hostname>show opdata interface detail
Data Plane Interface Stats:
===========================
output: "Interface: GigabitEthernet0 (inside) 
=================================== 
NIC Counters: 
283 packets input, 22074 bytes, 0 no buffer 
Received 0 broadcasts, 0 runts, 0 giants 
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 
0 pause input, 0 resume input 

283 packets output, 22074 bytes, 0 underruns 
0 pause output, 0 resume output 
0 output errors, 0 collisions, 0 interface rests 
0 late collisions, 0 deferred 
0 input reset drops, 0 output reset drops 

NP Counters: 
19 packets input, 844 bytes, 19 dropped, 
0 packets output, 0 bytes 

RX Queue Stats: 
RX[0]: 283 packets input, 22074 bytes, Blocks free curr/low 1007/915
RX[1]: 0 packets input, 0 bytes, Blocks free curr/low 1007/1007
	
TX Queue Stats: 
RX[0]: 283 packets input, 22074 bytes, Blocks free curr/low 1007/1000
RX[1]: 0 packets input, 0 bytes, Blocks free curr/low 1007/1007 

... (Remaining output removed for publishing purposes) ...

Related Commands

コマンド

説明

clear opdata interface

データ プレーン インターフェイス統計情報をクリアします。

show interfaces

システムのインターフェイス統計情報を表示します。

show opdata policy

このデバイスに定義されているポリシー要素のデータ プレーン定義および統計情報を表示するには、show opdata policy キーワードコマンドを使用します

show opdata policy { dest | source | table | tags }

Syntax Description

dest

(オプション)デバイスのポリシーで定義されている宛先 IP アドレスを一覧表示します。

source

(オプション)デバイスのポリシーで定義されている送信元 IP アドレスを一覧表示します。

table

(オプション)全体的なポリシー アクセスおよび検出情報を一覧表示します。

tags

(オプション)使用可能な内部ポリシー タグ定義を一覧表示します。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

このコマンドが追加されました。

Usage Guidelines

これらのコマンドは、セキュリティ タグの定義および検出統計情報などのポリシー データのデータ プレーン レベルのリストを表示します。 この情報は、Cisco TAC を利用したトラブルシューティングで使用されることを想定しています。

Examples

ここでは、様々なshow opdata policy キーワードコマンドの出力例を示します。

次は show opdata policy tags の出力例です。

asacx>show opdata policy tags
Data Plane Policy Stats:
========================
output: "svc dpv table
Running policy version 1919 with bitmap-size 1026, 253 access rules, 2 authn rules

hits 0, uid 32, protocol 2, protocol_mask 0xff, protocol_subtype 0, protocol_subtype_mask 0 dscp 0, dscp_mask 0

hits 0, uid 33, protocol 6, protocol_mask 0xff, protocol_subtype 0, protocol_subtype_mask 0 dscp 0, dscp_mask 0
dport 7, dport_mask 0xffff

hits 0, uid 35, protocol 17, protocol_mask 0xff, protocol_subtype 0, protocol_subtype_mask 0 dscp 0, dscp_mask 0
dport 7, dport_mask 0xffff

hits 0, uid 36, protocol 6, protocol_mask 0xff, protocol_subtype 0, protocol_subtype_mask 0 dscp 0, dscp_mask 0
dport 9, dport_mask 0xffff

... (Intervening lines removed for publishing purposes) ...

hits 0, uid 383, protocol 6, protocol_mask 0xff, protocol_subtype 0, protocol_subtype_mask 0 dscp 0, dscp_mask 0
dport 1521, dport_mask 0xffff

"
hostname>

次は show opdata policy table の出力例です。

hostname>show opdata policy table
Data Plane Policy Stats:
========================
Policy table
Running policy version 167 with bitmap-size 45, 8 access rules, 0 authn rules

Domain: TAG hits 78175831, uid 44, persisted_policy_id 1302, flags 0x13, decision NP_DPV_PERMIT resolvable
key vector: Start: 42\n 
mask vector: Start: 42\n

Domain: TAG hits 78168139, uid 44, persisted_policy_id 1302, flags 0x13, decision NP_DPV_PERMIT resolvable
key vector: Start: 43\n 
mask vector: Start: 43\n

Domain: TAG hits 78205549, uid 44, persisted_policy_id 1302, flags 0x13, decision NP_DPV_PERMIT resolvable
key vector: Start: 41\n 
mask vector: Start: 41\n

Domain: TAG hits 78168139, uid 44, persisted_policy_id 1302, flags 0x13, decision NP_DPV_PERMIT resolvable
key vector: Start: 40\n 
mask vector: Start: 40\n

... (Intervening lines removed for publishing purposes) ...

Domain: TAG hits 28705931, uid 36, persisted_policy_id 1303, flags 0x3, decision NP_DPV_PERMIT resolvable
key vector: Start: 33\n
mask vector: Start: 33\n

Domain: ACCESS hits 45102, uid 1, persisted_policy_id 1303, flags 0x15, decision NP_DPV_DENY 
key vector: Start: 37 44\n 
mask vector: Start: 37 44\n

Domain: ACCESS hits 0, uid 1, persisted_policy_id 1303, flags 0x15, decision NP_DPV_DENY 
key vector: Start: 38 44\n 
mask vector: Start: 38 44\n

Domain: ACCESS hits 0, uid 2, persisted_policy_id 1301, flags 0x4, decision NP_DPV_DENY 
key vector: Start: 36\n 
mask vector: Start: 36\n

Domain: ACCESS hits 28705931, uid 3, persisted_policy_id 1299, flags 0x5, decision NP_DPV_PERMIT 
key vector: Start: 36\n 
mask vector: Start: 36\n

Domain: ACCESS hits 79244183, uid 3, persisted_policy_id 1299, flags 0x5, decision NP_DPV_PERMIT 
key vector: Start: 37\n 
mask vector: Start: 37\n

Domain: ACCESS hits 112352, uid 4, persisted_policy_id 1292, flags 0x5, decision NP_DPV_DENY 
key vector: Start:\n 
mask vector: Start:\n

Domain: ACCESS hits 0, uid 7, persisted_policy_id 0, flags 0x5, decision NP_DPV_PERMIT 
key vector: Start:\n 
mask vector: Start:\n
... (Remaining lines removed for publishing purposes) ...

hostname>

次は show opdata policy source の出力例です。

hostname>show opdata policy source
Data Plane Policy Stats:
========================
output: "src netobj ipv4 dpv table
Running policy version 1919 with bitmap-size 1026, 253 access rules, 2 authn rules

tmatch_hitcnt 0, objgrp_id 39, v4_ip 192.168.1.250, v4_mask 255.255.255.255, 

tmatch_hitcnt 0, objgrp_id 40, v4_ip 192.168.1.254, v4_mask 255.255.255.255, 

tmatch_hitcnt 0, objgrp_id 44, v4_ip 192.168.1.148, v4_mask 255.255.255.255, 

tmatch_hitcnt 0, objgrp_id 45, v4_ip 192.168.1.149, v4_mask 255.255.255.255, 

... (Intervening lines removed for publishing purposes) ...

"
Data Plane Policy Stats:
========================
output: "src netobj ipv6 dpv table
Running policy version 1919 with bitmap-size 1026, 253 access rules, 2 authn rules

"

次は show opdata policy dest の出力例です。

hostname>show opdata policy dest
Data Plane Policy Stats:
========================
output: "dst netobj ipv4 dpv table
Running policy version 1919 with bitmap-size 1026, 253 access rules, 2 authn rules

tmatch_hitcnt 0, objgrp_id 34, v4_ip 98.159.213.230, v4_mask 255.255.255.255, 

tmatch_hitcnt 0, objgrp_id 41, v4_ip 254.56.30.26, v4_mask 255.255.255.255, 

tmatch_hitcnt 0, objgrp_id 42, v4_ip 116.88.189.169, v4_mask 255.255.255.255, 

tmatch_hitcnt 0, objgrp_id 43, v4_ip 2.83.107.64, v4_mask 255.255.255.255, 

... (Intervening lines removed for publishing purposes) ...

"
Data Plane Policy Stats:
========================
output: "dst netobj ipv6 dpv table
Running policy version 1919 with bitmap-size 1026, 253 access rules, 2 authn rules

"

Related Commands

関連するコマンドはありません。

show opdata summary

データ プレーンからのサマリー情報を表示するには、show opdata summary コマンドを使用します。

show opdata summary

Syntax Description

このコマンドには、引数またはキーワードはありません。

Command Default

デフォルトの動作や値はありません。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

このコマンドが追加されました。

Usage Guidelines

このコマンドは、データ プレーン トラフィックの統計情報の要約を表示するのに使用します。 次の情報が表示されます。

フィールド

説明

active_connections

デバイスへの現在アクティブな TCP および UDP 接続の数。

total_packets_passed

デバイスから渡されたパケットの総数。

acl_deny_packets_dropped

アクセス コントロール ルールによって拒否されてドロップされたパケットの数。

total_flows_dropped

デバイスにドロップされたフロー(接続)の総数。

total_packets_dropped

何らかの理由でドロップされたパケットの総数。

Examples

次に、show opdata summary の出力例を示します。

hostname>show opdata summary
Data Plane Summary Data:
========================
active_connections: 89
total_packets_passed: 24063
acl_deny_packets_dropped: 1688
total_flows_dropped: 24
total_packets_dropped: 4571

Related Commands

関連するコマンドはありません。

show partitions

デバイス パーティション情報のリストを表示するには、show partitions コマンドを使用します。

show partitions

Syntax Description

このコマンドには、引数またはキーワードはありません。

Command Default

デフォルトの動作や値はありません。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

このコマンドが追加されました。

Usage Guidelines

show partitions コマンドは、デバイスのハード ディスクと埋め込まれた USB(eUSB)フラッシュ ドライブのパーティション テーブルのリストを表示するために使用します。 この情報には、ディスク形状とシリンダーやブロックのサイズが含まれます。

Examples

次に show partitions コマンドの出力例を示します。 特定の値に付けられた + や - は、端数の切り上げ/切り捨てを示していることに注意してください。実際の値は多少上下します。

asacx>show partitions

Disk /dev/sda: 72961 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

   Device Boot Start     End   #cyls    #blocks   Id  System
/dev/sda1          0+  72960   72961- 586059232   83  Linux
/dev/sda2          0       -       0          0    0  Empty
/dev/sda3          0       -       0          0    0  Empty
/dev/sda4          0       -       0          0    0  Empty

Disk /dev/sdb: 72961 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

   Device Boot Start     End   #cyls    #blocks   Id  System
/dev/sdb1          0+  72960   72961- 586059232   83  Linux
/dev/sdb2          0       -       0          0    0  Empty
/dev/sdb3          0       -       0          0    0  Empty
/dev/sdb4          0       -       0          0    0  Empty

Disk /dev/sdc: 72961 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

   Device Boot Start     End   #cyls    #blocks   Id  System
/dev/sdc1          0+  72960   72961- 586059232   83  Linux
/dev/sdc2          0       -       0          0    0  Empty
/dev/sdc3          0       -       0          0    0  Empty
/dev/sdc4          0       -       0          0    0  Empty



Disk /dev/sdd: 72961 cylinders, 255 heads, 63 sectors/track
Units = cylinders of 8225280 bytes, blocks of 1024 bytes, counting from 0

   Device Boot Start     End   #cyls    #blocks   Id  System
/dev/sdd1          0+  72960   72961- 586059232   83  Linux
/dev/sdd2          0       -       0          0    0  Empty
/dev/sdd3          0       -       0          0    0  Empty
/dev/sdd4          0       -       0          0    0  Empty

Disk /dev/sde: 1022 cylinders, 248 heads, 62 sectors/track
Units = cylinders of 7872512 bytes, blocks of 1024 bytes, counting from 0

   Device Boot Start     End   #cyls    #blocks   Id  System
/dev/sde1   *      0+     55      56-    430527+  83  Linux
/dev/sde2         56     464     409    3144392   83  Linux
/dev/sde3        465     873     409    3144392   83  Linux
/dev/sde4        874    1021     148    1137824   83  Linux

Related Commands

コマンド

説明

partition

デバイスのハード ドライブと eUSB にシステム ファイル保管用の新しいパーティションを作成します。既存の情報は上書きされます。

show platform hardware

トラブルシューティングの際に Cisco TAC に役立つハードウェア固有のプラットフォーム情報を表示するには、show platform hardware コマンドを使用します。

show platform hardware { scsi | info | dmidecode }

Syntax Description

scsi

ホスト バス アダプタ番号、バスのアドレス、およびターゲット ID を含む、SCSI 接続デバイスのすべてのホスト情報を表示します

info

マザーボードのシリアル番号、製品 ID およびバージョン番号など、特定のハードウェアの関連情報を表示します。

dmidecode

システムのデスクトップ管理インターフェイス(DMI)テーブルを表示します。 この情報は、主にハードウェア コンポーネントの説明から構成されます (このテーブルは、システム管理 BIOS テーブルまたは SMBIOS テーブルとも呼ばれます)。

(注)     

このキーワードは、PRSM コンソールまたは SSH セッションでのみ使用できます。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。
  • PRSM のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

PRSM 9.0(1)

このコマンドが追加されました。

Usage Guidelines

show platform hardware コマンドは、ハードウェアの問題を Cisco TAC とともに解決する際に役立つ可能性のある、SCSI デバイスおよびハードウェアコンポーネントの情報にアクセスして表示するために使用します。

Related Commands

コマンド

説明

show platform software

特定のソフトウェア プラットフォーム情報を表示します。

show platform software

トラブルシューティングの際に Cisco TAC に役立つソフトウェア固有のプラットフォーム情報を表示するには show platform software コマンドを使用します。

show platform software { network options | components | fstab | lv | pv | rpms | swap | utilization [detail] | grub | iptables }

Syntax Description

network options

IP 転送およびスプーフィング保護がイネーブルになっているかどうかを含め、現在のネットワークの設定を表示します。

components

デバイスのオペレーティング システムに従って、インストールされているソフトウェア パッケージのリストが表示されます。

fstab

すべての使用可能なディスクおよびパーティションを一覧表示し、ファイルシステムのテーブルを表示します。

lv

サイズおよびパスなど、すべてのアクティブな論理ボリュームに関する情報を表示します。

pv

物理ボリューム情報を表示します。

rpms

RPM パケット マネージャ(RPM)に従って、インストールされているソフトウェア パッケージのリストが表示されます。

swap

仮想メモリとスワップ統計情報を表示します。

utilization

プロセッサの使用状況、メモリ使用状況、ほとんどの CPU サイクルを使用しているプロセスなどの現在のシステム使用状況の情報を表示します。

このコマンドには次のキーワードを付けることもできます。

  • detail :(Optional)(任意)一部のスレッドの詳細を追加して、システム使用状況の情報を表示します。
grub

カーネルのパーティション、パス、ファイル名を含むデ、バイスの GRand Unified ブートローダ(GRUB)ブートアップの情報を表示します。

iptables

管理インターフェイスまたはポートへのアクセスを制御するシステムに定義されている IP パケット フィルタ ルール(ファイアウォール ルール)を表示します。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。
  • PRSM のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

PRSM 9.0(1)

このコマンドが追加されました。

Usage Guidelines

show platform software コマンドは、ソフトウェアの問題とシステムのボトルネックを Cisco TAC とともに解決する際に役立つ可能性のある、システム関連情報にアクセスして表示するために使用します。

Related Commands

コマンド

説明

show platform hardware

ソフトウェア固有のプラットフォーム情報を表示します。

show raid

現在の状態を含む、接続された RAID アレイのステータス情報をデバイスごとに表示するには、show raid コマンドを使用します。


(注)  


このコマンドは Cisco ASA 5585-X CX Security Services Processor に適用されます。 ASA CX ソフトウェア モジュール には適用されません。 ASA CX ソフトウェア モジュール の RAID ステータスを表示するには、ASA のコマンドライン インターフェイスから show RAID コマンドを使用します。


show raid

Syntax Description

このコマンドには、引数またはキーワードはありません。

Command Default

デフォルトの動作や値はありません。

Command Modes

このコマンドは次のコンテキストで使用できます。
  • ASA CX のコンソールまたは SSH セッション。

Command History

リリース

変更内容

ASA CX Software 9.0(1)

このコマンドが追加されました。

Usage Guidelines

RAID デバイスはディスク障害の発生時にデータ保護を提供するために複数の実際のブロック デバイスから作成された仮想デバイスです。 接続された RAID(独立ディスクの冗長アレイ)でアクティブな各デバイスの現在のステータスを表示できます。 接続された RAID アレイのものも含め、ASA CX は自動的にすべてのディスク ドライブを管理することに注意してください。

個々の RAID のコンポーネントでは、表示される情報は基本的に Superblock で、アレイ情報、使用可能な空き容量および状態を含みます。

Examples

show raid コマンドの出力例を示します。 出力は簡略化のために編集されています。

hostname> show raid
/dev/md0:
        Version : 0.90
  Creation Time : Tue Nov 15 14:09:24 2011
     Raid Level : raid1
     Array Size : 3148672 (3.00 GiB 3.22 GB)
  Used Dev Size : 3148672 (3.00 GiB 3.22 GB)
   Raid Devices : 2
  Total Devices : 2
Preferred Minor : 0
    Persistence : Superblock is persistent

    Update Time : Fri Mar 23 13:55:39 2012
          State : clean
 Active Devices : 2
Working Devices : 2
 Failed Devices : 0
  Spare Devices : 0

           UUID : 56a43ec8:b06323c5:bfbc7f69:238aba8a
         Events : 0.4

    Number   Major   Minor   RaidDevice State
       0       8       17        0      active sync   /dev/sdb1
       1       8       49        1      active sync   /dev/sdd1
/dev/md1:
        Version : 0.90
  Creation Time : Tue Nov 15 14:09:26 2011
     Raid Level : raid1
     Array Size : 3148672 (3.00 GiB 3.22 GB)
  Used Dev Size : 3148672 (3.00 GiB 3.22 GB)
   Raid Devices : 2
  Total Devices : 2
Preferred Minor : 1
    Persistence : Superblock is persistent

    Update Time : Thu Mar  8 13:26:20 2012
          State : clean
 Active Devices : 2
Working Devices : 2
 Failed Devices : 0
  Spare Devices : 0

           UUID : 21ea8606:f982d196:bfbc7f69:238aba8a
         Events : 0.8

    Number   Major   Minor   RaidDevice State
       0       8       18        0      active sync   /dev/sdb2
       1       8       50        1      active sync   /dev/sdd2

... (Remaining output removed for publishing purposes) ...

次の表で出力フィールドを説明します。

表 4 show raid の表示フィールド

フィールド

説明

identifier

アレイ コンポーネントの ID(例:/dev/md0)

Version

Superblock(RAID メタ データ)のフォーマット:

  • [0.90]:元のフォーマット。これがデフォルトです。 アレイはそれぞれ 2 テラバイトの 28 デバイスに制限されます。
  • [1.0、1.1、1.2]:いくつかの制限を持つ新しいフォーマット バージョン。 これらの 1.n バージョンはそれぞれ、デバイスで別のロケーションにある Superblock を保存します。

Creation Time

このコンポーネントが設定された日時。

Raid Level

このアレイによって使用されるデータ ストレージ方式(RAID 0、RAID 1、RAID 5、RAID 6、および RAID 10)。 RAID 1 はミラーリング方式です。

Array Size

すべてのコンポーネントのデバイスで使用可能な合計ストレージ(バイト、ギビバイト、ギガバイト)。

Used Dev Size

各デバイスで合計容量に影響するメモリ容量(バイト、ギビバイト、ギガバイト)。 これは最小のデバイスまたはパーティションによって決まります。大きいデバイスには未使用のスペースがある場合があります。

Raid Devices

スペア、不足、障害が発生したデバイスを含む完全なアレイのメンバ デバイスの合計数。

Total Devices

使用可能な機能デバイスの数。

Preferred Minor

自動構築されたデバイスの場合、この RAID コンポーネントの優先マイナー番号(特定のデバイス ID)。 たとえば /dev/md1 では、マイナー番号は 1 です。

Persistence

Superblock がアレイのすべてのコンポーネントのデバイスに特定の位置に書き込まれること持続性 Superblock(アレイが作成されたときのデフォルト)は、Superblock がアレイのすべてのコンポーネント デバイスで特定の位置に書き込まれることを意味します。 その後、RAID 設定は関連ディスクから直接読み取ることができます。

Update Time

アレイのステータスが変更された時刻。 ステータス変更には、アクティブ化、障害などが含まれます。

State

アレイの現在の状態。状態には次のものがあります。

  • [active]:完全に動作可能で、入出力と再同期が進行中である可能性があります。
  • [clean]:アクティブです。保留を書き込みません。
  • [dirty]:アクティブです。進行を書き込みます。

Active Devices

アレイの現在の機能デバイスの数。予備のデバイスは含まれていません。

Working Devices

アレイの使用可能な(障害のない)デバイスの総数。つまり、アクティブ デバイスと予備のデバイス。

Failed Devices

アレイの障害の発生したデバイス。

Spare Devices

現在アレイに割り当てられている予備のデバイスの数。

UUID

アレイの Superblock に保存されている 128 ビットの 16 進数汎用一意識別子(UUID)。ランダムに生成され、RAID を一意にタグ付けるために使用されます。 すべてのコンポーネント デバイスがこの ID を共有します

Events

アレイのイベント カウンタ。Superblock が更新されるたびに増分されます。

component-disk information

Linux は、メジャーおよびマイナーの 2 つの番号で、すべてのブロック デバイスを識別します。 メジャー番号は通常、デバイス タイプに対応し、マイナー番号は、そのグループ内の特定のデバイスの ID です。 たとえば、「Major 8」は SCSI ディスクを示します。

RAID デバイスの各コンポーネントを次に示します。

Related Commands

コマンド

説明

show partitions

デバイス パーティション情報のリストを表示します。