Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
セキュリティ アプライアンスのトラブル シューティング
セキュリティ アプライアンスのトラブルシューティング
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

セキュリティ アプライアンスのトラブルシューティング

コンフィギュレーションのテスト

ICMP デバッグ メッセージとシステム ログ メッセージのイネーブル化

セキュリティ アプライアンス インターフェイスの ping

セキュリティ アプライアンスによる ping

テスト コンフィギュレーションのディセーブル化

トレースルート

パケット トレーサ

セキュリティ アプライアンスのリロード

パスワード回復の実行

ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワードの回復

PIX 500 シリーズセキュリティ アプライアンスのパスワードの回復

パスワード回復のディセーブル化

ソフトウェア イメージをロードするための ROM モニタの使用

フラッシュ ファイル システムの消去

その他のトラブルシューティング ツール

デバッグ メッセージの表示

パケットの取得

クラッシュ ダンプの表示

一般的な問題

セキュリティ アプライアンスのトラブルシューティング

この章では、adaptive security applianceのトラブルシューティングの方法について説明します。次の項で構成されています。

「コンフィギュレーションのテスト」

「セキュリティ アプライアンスのリロード」

「パスワード回復の実行」

「ソフトウェア イメージをロードするための ROM モニタの使用」

「フラッシュ ファイル システムの消去」

「その他のトラブルシューティング ツール」

「一般的な問題」

コンフィギュレーションのテスト

この項では、シングルモードの adaptive security appliance または各セキュリティ コンテキストの接続性をテストする方法、adaptive security appliance インターフェイスを ping する方法、あるインターフェイス上のホストが別のインターフェイス上のホストに ping できるようにする方法について説明します。

ping およびデバッグ メッセージはトラブルシューティング時に限りイネーブルにしてください。adaptive security applianceのテストが終了したら、「テスト コンフィギュレーションのディセーブル化」の手順を実行します。

この項は、次の内容で構成されています。

「ICMP デバッグ メッセージとシステム ログ メッセージのイネーブル化」

「セキュリティ アプライアンス インターフェイスの ping」

「セキュリティ アプライアンスによる ping」

「テスト コンフィギュレーションのディセーブル化」

ICMP デバッグ メッセージとシステム ログ メッセージのイネーブル化

デバッグ メッセージとシステム ログ メッセージは、ping が成功しない理由をトラブルシューティングするのに役立ちます。adaptive security applianceは、adaptive security appliance インターフェイスへの ping に対する ICMP デバッグ メッセージだけを表示します。adaptive security applianceを経由する他のホストへの ping に対する ICMP デバッグ メッセージは表示しません。デバッグ メッセージとシステム ログ メッセージをイネーブルにするには、次の手順を実行します。


ステップ 1 adaptive security appliance インターフェイスへの ping の ICMP パケット情報を表示するには、次のコマンドを入力します。

hostname(config)# debug icmp trace
 

ステップ 2 Telnet セッションまたは SSH セッションに送信するシステム ログ メッセージを設定するには、次のコマンドを入力します。

hostname(config)# logging monitor debug
 

あるいは、 logging buffer debug コマンドを使用してログ メッセージをバッファに送信してから、後で show logging コマンドを使用してそれらを表示することもできます。

ステップ 3 システム ログ メッセージを Telnet または SSH セッションに送信するには、次のコマンドを入力します。

hostname(config)# terminal monitor
 

ステップ 4 システム ログ メッセージをイネーブルにするには、次のコマンドを入力します。

hostname(config)# logging on
 


 

次に、外部ホスト(209.165.201.2)からadaptive security applianceの外部インターフェイス(209.165.201.1)への ping が成功した例を示します。

hostname(config)# debug icmp trace
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 512) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 768) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 768) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 1024) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 1024) 209.165.201.1 > 209.165.201.2
 

この例では、ICMP パケット長(32 バイト)、ICMP パケット識別子(1)、および ICMP シーケンス番号(ICMP シーケンス番号は 0 から始まり、要求が送信されるたびに増分されます)が示されています。

セキュリティ アプライアンス インターフェイスの ping

adaptive security appliance インターフェイスが起動して動作しているか、およびadaptive security applianceと接続ルータが正しく稼動しているかどうかをテストするには、adaptive security appliance インターフェイスを ping します。adaptive security appliance インターフェイスを ping するには、次の手順を実行します。


ステップ 1 インターフェイス名、セキュリティ レベル、および IP アドレスを示すシングルモードのadaptive security applianceまたはセキュリティ コンテキストの概略図を作成します。


) この手順では IP アドレスを使用しますが、ping コマンドは DNS 名のほかに、name コマンドでローカル IP アドレスに割り当てられた名前もサポートしています。


概略図には、直接接続されたすべてのルータ、およびadaptive security applianceを ping するルータの反対側にあるホストも含める必要があります。この手順と「セキュリティ アプライアンスによる ping」の手順の情報を使用してください。次の例を参考にしてください。

図 40-1 インターフェイス、ルータ、およびホストを含むネットワーク図

 

ステップ 2 直接接続されたルータから各 adaptive security applianceインターフェイスを ping します。透過モードでは、管理 IP アドレスを ping します。このテストは、adaptive security appliance インターフェイスがアクティブであること、およびインターフェイス コンフィギュレーションが正しいことを確認します。

adaptive security applianceインターフェイスがアクティブではない場合、インターフェイス コンフィギュレーションが正しくない場合、またはadaptive security applianceとルータの間でスイッチがダウンしている場合、ping は失敗する可能性があります(図 40-2 を参照)。この場合、adaptive security applianceにパケットが到達しないため、デバッグ メッセージやシステム ログ メッセージは表示されません。

図 40-2 セキュリティ アプライアンス インターフェイスでの ping の失敗

 

ping がadaptive security applianceに到達し、adaptive security applianceが応答すると、次のようなデバッグ メッセージが表示されます。

ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
 

ping 応答がルータに戻されない場合は、スイッチ ループまたは冗長 IP アドレスが存在する可能性があります(図 40-3 を参照)。

図 40-3 IP アドレッシングの問題による ping の失敗

 

ステップ 3 リモート ホストから各adaptive security appliance インターフェイスを ping します。透過モードでは、管理 IP アドレスを ping します。このテストは、直接接続されたルータがホストとadaptive security applianceの間でパケットをルーティングできるか、およびadaptive security applianceがパケットを正確にルーティングしてホストに戻せるかどうかを確認します。

中間ルータを通ってホストに戻るルートがadaptive security applianceにない場合、ping は失敗する可能性があります(図 40-4 を参照)。この場合、デバッグ メッセージには ping が成功したことが示されますが、ルーティングの失敗を示すシステム ログ メッセージ 110001 が表示されます。

図 40-4 セキュリティ アプライアンスに戻るルートがないことによる ping の失敗

 


 

セキュリティ アプライアンスによる ping

adaptive security appliance インターフェイスを正常に ping した後、トラフィックがadaptive security applianceを正常に通過できることを確認してください。ルーテッド モードでは、このテストによって、NAT が正しく稼動していることが示されます(設定されている場合)。透過モードの場合は、NAT を使用しないので、このテストではadaptive security applianceが正しく動作していることが確認されます。透過モードの ping が失敗した場合は、Cisco TAC にお問い合せください。

異なるインターフェイス上のホスト間で ping するには、次の手順を実行します。


ステップ 1 発信元ホストから ICMP を許可するアクセスリストを追加するには、次のコマンドを入力します。

hostname(config)# access-list ICMPACL extended permit icmp any any
 

デフォルトでは、ホストが低セキュリティ インターフェイスにアクセスすると、すべてのトラフィックが通過を許可されます。ただし、高セキュリティ インターフェイスにアクセスするには、先行するアクセスリストが必要です。

ステップ 2 各発信元インターフェイスにアクセスリストを割り当てるには、次のコマンドを入力します。

hostname(config)# access-group ICMPACL in interface interface_name
 

各発信元インターフェイスに対してこのコマンドを繰り返します。

ステップ 3 ICMP 検査エンジンをイネーブルにして ICMP 応答が発信元ホストに戻るようにするには、次のコマンドを入力します。

hostname(config)# class-map ICMP-CLASS
hostname(config-cmap)# match access-list ICMPACL
hostname(config-cmap)# policy-map ICMP-POLICY
hostname(config-pmap)# class ICMP-CLASS
hostname(config-pmap-c)# inspect icmp
hostname(config-pmap-c)# service-policy ICMP-POLICY global
 

あるいは、ICMP アクセスリストを宛先インターフェイスに適用し、adaptive security applianceを介して ICMP トラフィックを戻すこともできます。

ステップ 4 ホストまたはルータから発信元インターフェイスを介して別のインターフェイス上の別のホストまたはルータに ping します。

確認が必要なすべてのインターフェイス ペアに対して、このステップを繰り返します。

ping が成功すると、ルーテッド モードのアドレス変換(305009 または 305011)と ICMP 接続が確立されたこと(302020)を確認するシステム ログ メッセージが表示されます。 show xlate または show conns コマンドを入力してこの情報を表示することもできます。

透過モードの ping が失敗した場合は、Cisco TAC にお問い合せください。

ルーテッド モードでは、NAT が正しく設定されていないために ping が失敗する可能性があります(図 40-5 を参照)。この障害は、NAT 制御をイネーブルにした場合に発生する可能性があります。この場合、NAT が失敗したことを示すシステム ログ メッセージが表示されます(305005 または 305006)。外部ホストから内部ホストに ping し、スタティック変換(NAT 制御を必要とする)がない場合は、次のシステム ログ メッセージが表示されます。「106010: deny inbound icmp.」


) adaptive security applianceは、adaptive security appliance インターフェイスへの ping に対する ICMP デバッグ メッセージだけを表示します。adaptive security applianceを経由する他のホストへの ping に対する ICMP デバッグ メッセージは表示しません。


図 40-5 セキュリティ アプライアンスがアドレスを変換しないことによる ping の失敗

 


 

テスト コンフィギュレーションのディセーブル化

テストの完了後、ICMP のadaptive security applianceへの送信および通過を許可し、デバッグ メッセージを表示するテスト コンフィギュレーションをディセーブルにします。このコンフィギュレーションをそのままにしておくと、深刻なセキュリティ リスクが生じる可能性があります。また、デバッグ メッセージはadaptive security applianceのパフォーマンスを低下させます。

テスト コンフィギュレーションをディセーブルにするには、次の手順を実行します。


ステップ 1 ICMP デバッグ メッセージをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no debug icmp trace
 

ステップ 2 ロギングをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no logging on
 

ステップ 3 ICMPACL アクセスリストを削除し、関連する access-group コマンドを削除するには、次のコマンドを入力します。

hostname(config)# no access-list ICMPACL
 

ステップ 4 (オプション)ICMP 検査エンジンをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no service-policy ICMP-POLICY
 


 

トレースルート

トレースルート機能を使用して、パケットのルートをトレースできます。 traceroute コマンドを使用してアクセスします。トレースルートは、UDP パケットを無効なポート上の宛先に送信することにより機能します。ポートが有効ではないので、宛先に到達する途中にあるルータは ICMP 時間超過メッセージを返し、そのエラーをセキュリティ アプライアンスに報告します。

パケット トレーサ

さらに、セキュリティ アプライアンスでのパケットの一部始終をトレースして、パケットがパケット トレーサ ツールで正しく動作しているかどうかを確認できます。このツールでは次のことができます。

ネットワーク上でのすべてのパケット ドロップのデバッグ

コンフィギュレーションが意図したとおりに機能しているかどうかの検証

パケットに適切な規則と規則を追加する CLI コマンドの表示

データ パスでのパケット変更のタイム ラインの表示

トレーサ パケットのデータ パスへの挿入

packet-tracer コマンドはパケットに関して、また、セキュリティ アプライアンスでの処理方法に関して詳細な情報を提供します。コンフィギュレーションからのコマンドがパケットをドロップしなかった場合、 packet-tracer コマンドがわかりやすい原因情報を提供します。たとえば、無効なヘッダー検証が原因でパケットがドロップした場合、次の内容のメッセージが表示されます。「パケットはヘッダーが無効なためにドロップしました(理由)」

セキュリティ アプライアンスのリロード

マルチモードでは、システム実行スペースからしかリロードできません。adaptive security applianceをリロードするには、次のコマンドを入力します。

hostname# reload
 

パスワード回復の実行

この項では、パスワードを忘れた場合、または AAA 設定のためロックアウト状態を生み出した場合に回復する方法、そしてセキュリティの向上のためパスワードの回復をディセーブルにする方法について説明します。この項は、次の内容で構成されています。

「ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワードの回復」

「PIX 500 シリーズセキュリティ アプライアンスのパスワードの回復」

「パスワード回復のディセーブル化」

ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワードの回復

ASA 5500 シリーズadaptive security applianceのパスワードを回復するには、次の手順を実行します。


ステップ 1 「コマンドライン インターフェイスへのアクセス」の手順に従って、adaptive security applianceのコンソール ポートに接続します。

ステップ 2 adaptive security applianceの電源を切ってから、投入します。

ステップ 3 スタートアップの後、ROMMON モードを入力するように求めるプロンプトが表示されたら、Escape キーを押します。

ステップ 4 コンフィギュレーションのレジスタ値を更新するには、次のコマンドを入力します。

rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM...
 

ステップ 5 スタートアップ コンフィギュレーションを無視するようにadaptive security applianceを設定するには、次のコマンドを入力します。

rommon #1> confreg
 

adaptive security applianceによって現在のコンフィギュレーションのレジスタ値が表示され、それを変更するかどうかが尋ねられます。

Current Configuration Register: 0x00000041
Configuration Summary:
boot default image from Flash
ignore system configuration
 
Do you wish to change this configuration? y/n [n]: y
 

ステップ 6 後で回復できるように、現在のコンフィギュレーションのレジスタ値を記録します。

ステップ 7 値を変更する場合は、プロンプトに対して Y を入力します。

adaptive security applianceによって、新しい値の入力を求めるプロンプトが表示されます。

ステップ 8 すべての設定に対するデフォルト値を受け入れます。プロンプトに対して Y を入力します。

ステップ 9 次のコマンドを入力して、adaptive security applianceをリロードします。

rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
 
Loading disk0:/asa800-226-k8.bin... Booting...Loading...
 

adaptive security applianceは、スタートアップ コンフィギュレーションの代わりにデフォルト コンフィギュレーションをロードします。

ステップ 10 次のコマンドを入力して、特権 EXEC モードにアクセスします。

hostname> enable
 

ステップ 11 パスワードの入力を求められたら、 Enter キーを押します。

パスワードはブランクです。

ステップ 12 次のコマンドを入力して、グローバル コンフィギュレーション モードにアクセスします。

hostname# configure terminal
 

ステップ 13 次のコマンドを入力し、デフォルト コンフィギュレーションで必要に応じてパスワードを変更します。

hostname(config)# password password
hostname(config)# enable password password
hostname(config)# username name password password
 

ステップ 14 次のコマンドを入力して、デフォルト コンフィギュレーションをロードします。

hostname(config)# no config-register
 

デフォルト コンフィギュレーションのレジスタ値は 0x1 です。コンフィギュレーション レジスタの詳細については、『 Cisco ASA 5580 Adaptive Security Appliance Command Reference 』を参照してください。

ステップ 15 次のコマンドを入力して、新しいパスワードをスタートアップ コンフィギュレーションに保存します。

hostname(config)# copy running-config startup-config
 


 

PIX 500 シリーズセキュリティ アプライアンスのパスワードの回復

PIX 500 シリーズadaptive security applianceでパスワード回復を実行すると、ログイン パスワード、イネーブル パスワード、および aaa authentication console コマンドが消去されます。PIX 500 シリーズ adaptive security applianceのパスワードを回復するには、次の手順を実行します。


ステップ 1 Cisco.com から、adaptive security applianceでアクセス可能な TFTP サーバに PIX パスワード ツールを ダウンロードします。手順については、次の URL を参照してください。

 

ステップ 2 「コマンドライン インターフェイスへのアクセス」の手順に従って、adaptive security applianceのコンソール ポートに接続します。

ステップ 3 adaptive security applianceの電源を切ってから、投入します。

ステップ 4 スタートアップ メッセージが表示された直後に、 Escape キーを押してモニタ モードに入ります。

ステップ 5 モニタ モードで、次のコマンドを入力して TFTP サーバにアクセスするためのインターフェイス ネットワーク設定値を設定します。

monitor> interface interface_id
monitor> address interface_ip
monitor> server tftp_ip
monitor> file pw_tool_name
monitor> gateway gateway_ip
 

ステップ 6 次のコマンドを入力して、TFTP サーバから PIX パスワード ツールをダウンロードします。

monitor> tftp
 

サーバに到達できない場合は、 ping address コマンドを入力して接続をテストします。

ステップ 7 「Do you wish to erase the passwords?」プロンプトで、 Y を入力します。

これで、デフォルト ログイン パスワード「cisco」とブランクのイネーブル パスワードでログインできるようになります。


 

次の例は、外部インターフェイス上の TFTP サーバによる PIX 500 シリーズ adaptive security applianceでのパスワード回復を示しています。

monitor> interface 0
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
 
Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9
monitor> address 10.21.1.99
address 10.21.1.99
monitor> server 172.18.125.3
server 172.18.125.3
monitor> file np70.bin
file np52.bin
monitor> gateway 10.21.1.1
gateway 10.21.1.1
monitor> ping 172.18.125.3
Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor> tftp
tftp np52.bin@172.18.125.3 via 10.21.1.1
Received 73728 bytes
 
Cisco PIX password tool (4.0) #0: Tue Aug 22 23:22:19 PDT 2005
Flash=i28F640J5 @ 0x300
BIOS Flash=AT29C257 @ 0xd8000
 
Do you wish to erase the passwords? [yn] y
Passwords have been erased.
 
Rebooting....
 

パスワード回復のディセーブル化

権限のないユーザがパスワード回復メカニズムを使用してadaptive security applianceを危険にさらすことがないように、パスワード回復をディセーブルにできます。パスワード回復をディセーブルにするには、次のコマンドを入力します。

hostname(config)# no service password-recovery
 

ASA 5500 シリーズ適応型セキュリティ アプライアンスで、 no service password-recovery コマンドは、ユーザが ROMMON モードを入力しないようにして、コンフィギュレーションが変更されないようにします。ユーザが ROMMON モードを入力すると、adaptive security applianceはユーザに対し、すべてのフラッシュ ファイル システムを消去するように求めるプロンプトを表示します。ユーザはこの消去をまず実行しないと、ROMMON モードを入力できません。ユーザがフラッシュ ファイル システムを消去しない場合、adaptive security applianceによってリロードされます。パスワード回復は ROMMON モードの使用と既存のコンフィギュレーションの保持に依存しているので、この消去によって、パスワードを回復することはできなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態まで復元するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。

service password-recovery コマンドは、情報提供の目的に限りコンフィギュレーション ファイルに表示されます。CLI プロンプトでこのコマンドを入力すると、設定が NVRAM に保存されます。設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なるバージョンで新規コンフィギュレーションをロードしても、設定は変更されません。adaptive security applianceが(パスワード回復の準備で)起動時にスタートアップ コンフィギュレーションを無視するように設定されている場合にパスワード回復をディセーブルにすると、adaptive security applianceは通常どおりスタートアップ コンフィギュレーションをロードするように設定を変更します。フェールオーバーを使用し、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置が設定されている場合は、 no service password recovery コマンドがスタンバイ装置に複製したときにコンフィギュレーション レジスタに同じ変更が加えられます。

PIX 500 シリーズ セキュリティ アプライアンスで、 no service password-recovery コマンドは、すべてのフラッシュ ファイル システムの消去をユーザに求めるプロンプトを表示するように PIX パスワード ツールに強制します。ユーザは、まずこの消去を実行しないと、PIX パスワード ツールを使用できません。ユーザがフラッシュ ファイル システムを消去しない場合、adaptive security applianceによってリロードされます。パスワード回復は既存のコンフィギュレーションの保持に依存しているので、この消去によって、パスワードを回復することはできなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態まで復元するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。

ソフトウェア イメージをロードするための ROM モニタの使用

この項では、TFTP を使用して ROM モニタ モードからadaptive security applianceへソフトウェア イメージをロードする方法を説明します。

adaptive security applianceへソフトウェア イメージをロードするには、次の手順を実行します。


ステップ 1 「コマンドライン インターフェイスへのアクセス」の手順に従って、adaptive security applianceのコンソール ポートに接続します。

ステップ 2 adaptive security applianceの電源を切ってから、投入します。

ステップ 3 スタートアップ中、ROMMON モードを入力するように求めるプロンプトが表示されたら、 Escape キーを押します。

ステップ 4 ROMMOM モードで、IP アドレス、TFTP サーバ アドレス、ゲートウェイ アドレス、ソフトウェア イメージ ファイル、およびポートを含む、adaptive security applianceに対するインターフェイス設定を次のように定義します。

rommon #1> ADDRESS=10.132.44.177
rommon #2> SERVER=10.129.0.30
rommon #3> GATEWAY=10.132.44.1
rommon #4> IMAGE=f1/asa800-232-k8.bin
rommon #5> PORT=Ethernet0/0
Ethernet0/0
Link is UP
MAC Address: 0012.d949.15b8

) ネットワーク接続が存在していることを確認してください。


ステップ 5 設定を検証するには set コマンドを入力します。

rommon #6> set
ROMMON Variable Settings:
ADDRESS=10.132.44.177
SERVER=10.129.0.30
GATEWAY=10.132.44.1
PORT=Ethernet0/0
VLAN=untagged
IMAGE=f1/asa800-232-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
 

ステップ 6 ping server コマンドを入力して TFTP サーバへ ping します。

rommon #7> ping server
Sending 20, 100-byte ICMP Echoes to server 10.129.0.30, timeout is 4 seconds:
 
Success rate is 100 percent (20/20)
 

ステップ 7 tftp コマンドを入力してソフトウェア イメージをロードします。

rommon #8> tftp
ROMMON Variable Settings:
ADDRESS=10.132.44.177
SERVER=10.129.0.30
GATEWAY=10.132.44.1
PORT=Ethernet0/0
VLAN=untagged
IMAGE=f1/asa800-232-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
 
tftp f1/asa800-232-k8.bin@10.129.0.30 via 10.132.44.1
 
Received 14450688 bytes
 
Launching TFTP Image...
Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 5 16:00:07 MST 2007
 
Loading...
 

ソフトウェア イメージが正常にロードされると、適応型セキュリティ アプライアンスは自動的に ROMMOM モードを出ます。

ステップ 8 ソフトウェア イメージが適応型セキュリティ アプライアンスへ正常にロードされたことを検証するには、次のコマンドを入力して適応型セキュリティ アプライアンスのバージョンを確認してください。

hostname> show version
 


 

フラッシュ ファイル システムの消去


ステップ 1 「コマンドライン インターフェイスへのアクセス」の手順に従って、adaptive security applianceのコンソール ポートに接続します。

ステップ 2 adaptive security applianceの電源を切ってから、投入します。

ステップ 3 スタートアップ中、ROMMON モードを入力するように求めるプロンプトが表示されたら、 Escape キーを押します。

ステップ 4 ファイル システムを消去するには、erase コマンドを入力します。これによってすべてのファイルが上書きされ、非表示のシステム ファイルを含むファイル システムが消去されます。

rommon #1> erase [disk0: | disk1: | flash:]


 

その他のトラブルシューティング ツール

adaptive security applianceには、使用可能なトラブルシューティング ツールがあります。この項は、次の内容で構成されています。

「デバッグ メッセージの表示」

「パケットの取得」

「クラッシュ ダンプの表示」

デバッグ メッセージの表示

デバッグ出力は CPU プロセスで高優先順位が割り当てられているため、デバッグ出力を行うとシステムが使用できなくなることがあります。このため、特定の問題のトラブルシューティングを行う場合や、Cisco TAC とのトラブルシューティング セッションの間に限り debug コマンドを使用してください。さらに、ネットワーク トラフィック量やユーザ数が少ない期間に debug コマンドを使用することをお勧めします。このような期間にデバッグを実行すると、debug コマンドの処理オーバーヘッドの増加によってシステムの使用に影響が生じる可能性が低くなります。デバッグ メッセージをイネーブルにする方法は、『 Cisco ASA 5580 Adaptive Security Appliance Command Reference 』の debug コマンドを参照してください。

パケットの取得

パケットの取得は、接続障害のトラブルシューティングや不審なアクティビティの監視を行う場合に便利です。パケット取得機能を使用する場合は、Cisco TAC に連絡することをお勧めします。『 Cisco ASA 5580 Adaptive Security Appliance Command Reference 』の capture コマンドを参照してください。

クラッシュ ダンプの表示

adaptive security applianceがクラッシュした場合に、クラッシュ ダンプ情報を表示できます。クラッシュ ダンプの内容を調べる必要がある場合は、Cisco TAC に連絡することをお勧めします。『 Cisco ASA 5580 Adaptive Security Appliance Command Reference 』の show crashdump コマンドを参照してください。

一般的な問題

この項では、adaptive security applianceの一般的な問題とそれらを解決する方法について説明します。

症状 コンテキスト コンフィギュレーションが保存されておらず、リロード時に失われました。

考えられる原因 コンテキスト実行スペース内で各コンテキストを保存しませんでした。コマンドラインでコンテキストを設定している場合、次のコンテキストに切り替える前に現在のコンテキストを保存しませんでした。

推奨処置 copy run start コマンドを使用して、コンテキスト実行スペース内で各コンテキストを保存します。システム実行スペースからはコンテキストを保存できません。

症状 adaptive security appliance インターフェイスへの Telnet または SSH 接続を確立できません。

考えられる原因 adaptive security applianceへの Telnet または SSH をイネーブルにしませんでした。

推奨処置 adaptive security applianceまたは「Telnet アクセスの許可」の手順に従って、「SSH アクセスの許可」への Telnet または SSH をイネーブルにします。

症状 adaptive security appliance インターフェイスを ping できません。

考えられる原因 adaptive security applianceへの ICMP をディセーブルにしました。

推奨処置 icmp コマンドを使用して、IP アドレス用にadaptive security applianceへの ICMP をイネーブルにします。

症状 アクセスリストで許可されているにもかかわらず、adaptive security applianceを介して ping することができません。

考えられる原因 ICMP 検査エンジンをイネーブルにしていないか、入力インターフェイスと出力インターフェイスの両方でアクセスリストを適用していません。

推奨処置 ICMP はコネクションレス型プロトコルなので、adaptive security applianceはトラフィックが戻ることを自動的には許可しません。応答トラフィックを許可するために、入力インターフェイスだけではなく出力インターフェイスにもアクセスリストを適用するか、あるいは ICMP 接続がステートフル接続として扱われるように ICMP 検査エンジンをイネーブルにします。

症状 同一セキュリティ レベルにある 2 つのインターフェイス間をトラフィックが通過しません。

考えられる原因 同一セキュリティ レベルにあるインターフェイス間をトラフィックが通過できるようにする機能をイネーブルにしていません。

推奨処置 「同一セキュリティ レベルにあるインターフェイス間の通信の許可」の手順に従って、この機能をイネーブルにします。