Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
トラブルシューティング
トラブルシューティング
発行日;2012/02/01 | 英語版ドキュメント(2011/10/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

トラブルシューティング

コンフィギュレーションのテスト

ICMP デバッグ メッセージと Syslog メッセージのイネーブル化

適応型セキュリティ アプライアンス インターフェイスの ping

適応型セキュリティ アプライアンス上のトラフィックの通過

テスト コンフィギュレーションのディセーブル化

トレースルートによるパケット ルーティングの決定

パケット トレーサによるパケットの追跡

適応型セキュリティ アプライアンスのリロード

パスワード回復の実行

ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワードの回復

パスワード回復のディセーブル化

SSM ハードウェア モジュールのパスワードのリセット

ソフトウェア イメージをロードするための ROM モニタの使用

フラッシュ ファイル システムの消去

その他のトラブルシューティング ツール

デバッグ メッセージの表示

パケットの取得

クラッシュ ダンプの表示

コア ダンプ

一般的な問題

コンフィギュレーションのテスト

この項では、シングルモード 適応型セキュリティ アプライアンスまたは各セキュリティ コンテキストの接続性のテスト方法、適応型セキュリティ アプライアンス インターフェイスを ping する方法、およびあるインターフェイスにあるホストが他のインターフェイスのホストに ping できるようにする方法について説明します。

ping メッセージおよびデバッグ メッセージはトラブルシューティング時に限りイネーブルにしてください。適応型セキュリティ アプライアンスのテストが終了したら、「テスト コンフィギュレーションのディセーブル化」の手順を実行します。

この項は、次の内容で構成されています。

「ICMP デバッグ メッセージと Syslog メッセージのイネーブル化」

「適応型セキュリティ アプライアンス インターフェイスの ping」

「適応型セキュリティ アプライアンス上のトラフィックの通過」

「テスト コンフィギュレーションのディセーブル化」

「トレースルートによるパケット ルーティングの決定」

「パケット トレーサによるパケットの追跡」

ICMP デバッグ メッセージと Syslog メッセージのイネーブル化

デバッグ メッセージと syslog メッセージは、ping が成功しない理由をトラブルシューティングするのに役立ちます。適応型セキュリティ アプライアンスでは、適応型セキュリティ アプライアンス インターフェイスへの ping に対する ICMP デバッグ メッセージだけが表示されます。適応型セキュリティ アプライアンスを経由する他のホストへの ping に対する ICMP デバッグ メッセージは表示されません。デバッグ メッセージと syslog メッセージをイネーブルにするには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

debug icmp trace

適応型セキュリティ アプライアンス インターフェイスへの ping の ICMP パケット情報を表示します。

ステップ 2

logging monitor debug

Telnet セッションまたは SSH セッションに送信する syslog メッセージを設定します。


) あるいは、logging buffer debug コマンドを使用してログ メッセージをバッファに送信してから、show logging コマンドを使用してそれらを表示することもできます。


ステップ 3

terminal monitor

Telnet セッションまたは SSH セッションに syslog メッセージを送信します。

ステップ 4

logging on

syslog メッセージの生成をイネーブルにします。

次に、外部ホスト(209.165.201.2)から適応型セキュリティ アプライアンスの外部インターフェイス(209.165.201.1)への ping が成功した例を示します。

hostname(config)# debug icmp trace
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 512) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 768) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 768) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 1024) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 1024) 209.165.201.1 > 209.165.201.2
 

この出力では、ICMP パケット長(32 バイト)、ICMP パケット識別子(1)、および ICMP シーケンス番号(ICMP シーケンス番号は 0 から始まり、要求が送信されるたびに増分されます)が示されています。

適応型セキュリティ アプライアンス インターフェイスの ping

適応型セキュリティ アプライアンス インターフェイスが起動して動作しているかどうか、および適応型セキュリティ アプライアンスと接続ルータが正しく動作しているかどうかをテストするには、適応型セキュリティ アプライアンス インターフェイスを ping します。適応型セキュリティ アプライアンス インターフェイスを ping するには、次の手順を実行します。


ステップ 1 インターフェイス名、セキュリティ レベル、および IP アドレスを示すシングルモードの適応型セキュリティ アプライアンスまたはセキュリティ コンテキストの図を作成します。


) この手順では IP アドレスを使用しますが、ping コマンドでは、DNS 名および name コマンドを使用してローカル IP アドレスに割り当てられた名前もサポートされます。


図には、直接接続されたすべてのルータ、および適応型セキュリティ アプライアンスを ping するルータの反対側にあるホストも含める必要があります。この情報はこの手順と「適応型セキュリティ アプライアンス上のトラフィックの通過」の手順で使用します。次に例を示します。

図 77-1 インターフェイス、ルータ、およびホストを含むネットワーク図

 

ステップ 2 直接接続されたルータから各適応型セキュリティ アプライアンス インターフェイスを ping します。トランスペアレント モードでは、管理 IP アドレスを ping します。このテストは、適応型セキュリティ アプライアンス インターフェイスがアクティブであること、およびインターフェイス コンフィギュレーションが正しいことを確認します。

適応型セキュリティ アプライアンス インターフェイスがアクティブではない場合、インターフェイス コンフィギュレーションが正しくない場合、または適応型セキュリティ アプライアンスとルータの間でスイッチがダウンしている場合、ping は失敗する可能性があります(図 77-2 を参照)。この場合、パケットが適応型セキュリティ アプライアンスに到達しないので、デバッグ メッセージや syslog メッセージは表示されません。

図 77-2 適応型セキュリティ アプライアンス インターフェイスでの ping の失敗

 

ping が適応型セキュリティ アプライアンスに到達し、応答があると、次のようなデバッグ メッセージが表示されます。

ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
 

ping 応答がルータに戻されない場合は、スイッチ ループまたは冗長 IP アドレスが存在する可能性があります(図 77-3 を参照)。

図 77-3 IP アドレッシングの問題による ping の失敗

 

ステップ 3 リモート ホストから各適応型セキュリティ アプライアンス インターフェイスを ping します。トランスペアレント モードでは、管理 IP アドレスを ping します。このテストは、直接接続されたルータがホストと適応型セキュリティ アプライアンスの間でパケットをルーティングできるかどうか、および適応型セキュリティ アプライアンスがパケットを正確にルーティングしてホストに戻せるかどうかを確認します。

中間ルータを通ってホストに戻るルートが適応型セキュリティ アプライアンスにない場合、ping は失敗する可能性があります(図 77-4 を参照)。この場合、デバッグ メッセージには ping が成功したことが示されますが、ルーティングの失敗を示す syslog メッセージ 110001 が表示されます。

図 77-4 セキュリティ アプライアンスに戻りルートがないことによる ping の失敗

 


 

適応型セキュリティ アプライアンス上のトラフィックの通過

適応型セキュリティ アプライアンス インターフェイスを正常に ping した後で、トラフィックが適応型セキュリティ アプライアンスを正常に通過できることを確認します。ルーテッド モードでは、このテストによって、Network Address Translation(NAT; ネットワーク アドレス変換)が正しく動作していることが示されます(設定されている場合)。トランスペアレント モードでは、NAT は使用されないので、このテストでは適応型セキュリティ アプライアンスが正しく動作していることが確認されます。トランスペアレント モードで ping が失敗した場合は、Cisco TAC にお問い合せください。

異なるインターフェイス上のホスト間で ping するには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

access-list ICMPACL extended permit icmp any any

発信元ホストから ICMP を許可するアクセスリストを追加します。


) デフォルトでは、ホストが低セキュリティ インターフェイスにアクセスすると、すべてのトラフィックが通過を許可されます。ただし、高セキュリティ インターフェイスにアクセスするには、先行するアクセスリストが必要です。


ステップ 2

access-group ICMPACL in interface interface_name

各発信元インターフェイスにアクセスリストを割り当てます。


) 各発信元インターフェイスに対してこのコマンドを繰り返します。


ステップ 3

class-map ICMP-CLASS
match access-list ICMPACL
policy-map ICMP-POLICY
class ICMP-CLASS
inspect icmp
service-policy ICMP-POLICY global

ICMP 検査エンジンをイネーブルにして、ICMP 応答が発信元ホストに戻されるようにします。


) あるいは、ICMP アクセスリストを宛先インターフェイスに適用し、適応型セキュリティ アプライアンスを介して ICMP トラフィックを戻すこともできます。


ステップ 4

logging on

syslog メッセージの生成をイネーブルにします。

ホストまたはルータから発信元インターフェイスを介して別のインターフェイス上の別のホストまたはルータに ping します。

確認が必要なすべてのインターフェイス ペアに対して、このステップを繰り返します。

ping が成功すると、ルーテッド モードのアドレス変換(305009 または 305011)と ICMP 接続が確立されたこと(302020)を確認する syslog メッセージが表示されます。 show xlate コマンドまたは show conns コマンドを入力してこの情報を表示することもできます。

トランスペアレント モードの ping が失敗した場合は、Cisco TAC にお問い合せください。

ルーテッド モードでは、NAT が正しく設定されていないために ping が失敗することがあります(図 77-5 を参照)。この失敗は、NAT 制御をイネーブルにした場合に発生する可能性が高くなります。この場合、NAT が失敗したことを示す syslog メッセージが表示されます(305005 または 305006)。外部ホストから内部ホストに ping し、スタティック変換(NAT 制御を必要とする)がない場合は、次の syslog メッセージが表示されます。

%ASA-3-106010: deny inbound icmp.


) 適応型セキュリティ アプライアンスでは、適応型セキュリティ アプライアンス インターフェイスへの ping に対する ICMP デバッグ メッセージだけが表示されます。適応型セキュリティ アプライアンスを経由する他のホストへの ping に対する ICMP デバッグ メッセージは表示されません。


図 77-5 適応型セキュリティ アプライアンスがアドレスを変換しないことによる ping の失敗

 

 

テスト コンフィギュレーションのディセーブル化

テストの完了後、ICMP の適応型セキュリティ アプライアンスへの送信および通過を許可し、デバッグ メッセージを表示するテスト コンフィギュレーションをディセーブルにします。このコンフィギュレーションをそのままにしておくと、深刻なセキュリティ リスクが生じる可能性があります。また、デバッグ メッセージは適応型セキュリティ アプライアンスのパフォーマンスを低下させます。

テスト コンフィギュレーションをディセーブルにするには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

no debug icmp trace

ICMP デバッグ メッセージをディセーブルにします。

ステップ 2

no logging on

ロギングをディセーブルにします。

ステップ 3

no access-list ICMPACL

ICMPACL アクセスリストを削除し、関連する access-group コマンドを削除します。

ステップ 4

no service-policy ICMP-POLICY

(オプション)ICMP 検査エンジンをディセーブルにします。

トレースルートによるパケット ルーティングの決定

パケットのルートは、トレースルート機能を使用してトレースできます。この機能には、 traceroute コマンドでアクセスできます。トレースルートは、無効なポート上の宛先に UDP パケットを送信することで機能します。ポートが有効ではないため、宛先までの間にあるルータから ICMP Time Exceeded メッセージが返され、適応型セキュリティ アプライアンスにエラーが報告されます。

パケット トレーサによるパケットの追跡

パケット トレーサ ツールは、パケット スニフィングとネットワーク障害箇所特定のためのパケット追跡を実現するとともに、パケットに関する詳細情報と適応型セキュリティ アプライアンスによるパケットの処理方法を示します。コンフィギュレーション コマンドが原因でパケットがドロップしたのではない場合、パケット トレーサ ツールにより、原因に関する詳細な情報が読みやすい形式で表示されます。

また、パケットが正しく動作しているかどうかを確認するために、パケット トレーサ ツールを使用して、適応型セキュリティ アプライアンスを通過するパケットのライフスパンをトレースできます。このツールを使用すると次のことができます。

ネットワーク内にドロップするすべてのパケットをデバッグする。

コンフィギュレーションが意図したとおりに機能しているかを確認する。

パケットに適用可能なすべての規則、および規則が追加される原因となった CLI コマンドを表示する。

データ パス内でのパケット変化を時系列で表示する。

データ パスにトレーサ パケットを挿入する。

パケットを追跡するには、次のコマンドを入力します。

 

コマンド
目的
packet-tracer
 

hostname# packet-tracer

packet dropped due to bad ip header ( reason )

パケットに関する詳細情報と適応型セキュリティ アプライアンスによるパケットの処理方法を示します。例は、ヘッダーの検証が無効なためにパケットがドロップされた場合に表示される、結果メッセージを示しています。

適応型セキュリティ アプライアンスのリロード

マルチモードでは、システム実行スペースからしかリロードできません。適応型セキュリティ アプライアンスをリロードするには、次のコマンドを入力します。

 

コマンド
目的
reload

適応型セキュリティ アプライアンスをリロードします。

パスワード回復の実行

この項では、パスワードを忘れた場合、または AAA 設定のためにロックアウトされた場合にパスワードを回復する方法、およびセキュリティ向上のためにパスワードの回復をディセーブルにする方法について説明します。この項は、次の内容で構成されています。

「ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワードの回復」

「パスワード回復のディセーブル化」

「SSM ハードウェア モジュールのパスワードのリセット」

ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワードの回復

ASA 5500 シリーズ適応型適応型セキュリティ アプライアンスのパスワードを回復するには、次の手順を実行します。


ステップ 1 「コマンドライン インターフェイスへのアクセス」の説明に従って、適応型セキュリティ アプライアンスのコンソール ポートに接続します。

ステップ 2 適応型セキュリティ アプライアンスの電源を切ってから、投入します。

ステップ 3 スタートアップ後、ROMMON モードに入るようにプロンプトが表示されたら、 Escape キーを押します。

ステップ 4 コンフィギュレーション レジスタ値をアップデートするには、次のコマンドを入力します。

rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM...
 

ステップ 5 スタートアップ コンフィギュレーションを無視するように適応型セキュリティ アプライアンスを設定するには、次のコマンドを入力します。

rommon #1> confreg
 

適応型適応型セキュリティ アプライアンスによって、現在のコンフィギュレーションのレジスタ値が表示され、その値を変更するかどうかが尋ねられます。

Current Configuration Register: 0x00000041
Configuration Summary:
boot default image from Flash
ignore system configuration
 
Do you wish to change this configuration?y/n [n]: y
 

ステップ 6 後で回復できるように、現在のコンフィギュレーションのレジスタ値を記録します。

ステップ 7 値を変更する場合は、プロンプトに対して Y を入力します。

適応型セキュリティ アプライアンスは、新しい値の入力を求めるプロンプトを表示します。

ステップ 8 すべての設定についてデフォルト値を受け入れます。プロンプトに対して、 Y を入力します。

ステップ 9 次のコマンドを入力して、適応型セキュリティ アプライアンスをリロードします。

rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
 
Loading disk0:/asa800-226-k8.bin... Booting...Loading...
 

適応型適応型セキュリティ アプライアンスは、スタートアップ コンフィギュレーションの代わりにデフォルト コンフィギュレーションをロードします。

ステップ 10 次のコマンドを入力して、特権 EXEC モードにアクセスします。

hostname# enable
 

ステップ 11 パスワードの入力を求められたら、 Enter キーを押します。

パスワードはブランクです。

ステップ 12 次のコマンドを入力して、グローバル コンフィギュレーション モードにアクセスします。

hostname# configure terminal
 

ステップ 13 次のコマンドを入力して、デフォルト コンフィギュレーションで必要に応じてパスワードを変更します。

hostname(config)# password password
hostname(config)# enable password password
hostname(config)# username name password password
 

ステップ 14 次のコマンドを入力して、デフォルト コンフィギュレーションをロードします。

hostname(config)# no config-register
 

デフォルト コンフィギュレーションのレジスタ値は 0x1 です。コンフィギュレーション レジスタの詳細については、 Cisco ASA 5500 Series Command Reference 』を参照してください。

ステップ 15 次のコマンドを入力して、新しいパスワードをスタートアップ コンフィギュレーションに保存します。

hostname(config)# copy running-config startup-config
 


 

パスワード回復のディセーブル化

権限のないユーザがパスワード回復メカニズムを使用して適応型セキュリティ アプライアンスを危険にさらすことがないように、パスワード回復をディセーブルにするには、次のコマンドを入力します。

 

コマンド
目的
no service password-recovery

パスワード回復をディセーブルにします。

ASA 5500 シリーズ適応型セキュリティ アプライアンスで、 no service password-recovery コマンドを使用すると、ユーザが ROMMON モードに入って、コンフィギュレーションを変更するのを防ぐことができます。ユーザが ROMMON モードに入ると、適応型セキュリティ アプライアンスはユーザに対し、すべてのフラッシュ ファイル システムを消去するように求めるプロンプトを表示します。ユーザはこの消去をまず実行しないと、ROMMON モードに入れません。ユーザがフラッシュ ファイル システムを消去しない場合、適応型セキュリティ アプライアンスはリロードします。パスワード回復は ROMMON モードの使用と既存のコンフィギュレーションの保持に依存しているので、この消去によって、パスワードの回復ができなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態に回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。

コンフィギュレーション ファイルに表示される service password-recovery コマンドは、情報のためだけのものです。CLI プロンプトに対してコマンドを入力すると、設定は NVRAM に保存されます。設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なるバージョンで新規コンフィギュレーションをロードしても、設定は変更されません。適応型セキュリティ アプライアンスが(パスワード回復の準備で)スタートアップ時にスタートアップ コンフィギュレーションを無視するように設定されている場合にパスワード回復をディセーブルにすると、通常どおりスタートアップ コンフィギュレーションをロードするように、適応型セキュリティ アプライアンスによって設定が変更されます。フェールオーバーを使用し、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置が設定されている場合は、 no service password recovery コマンドでスタンバイ装置に複製したときにコンフィギュレーション レジスタに同じ変更が加えられます。

SSM ハードウェア モジュールのパスワードのリセット

SSM ハードウェア モジュールのパスワードをデフォルトの「cisco」にリセットするには、次のコマンドを入力します。


) SSM ハードウェア モジュールがアップ状態にあり、パスワードのリセットがサポートされていることを確認します。


 

コマンド
目的
hw-module module 1 password-reset
Reset the password on module in slot 1? [confirm] y
hostname# y

ここで、 1 は、SSM ハードウェア モジュール上の指定したスロット番号です。


) AIP SSM で、このコマンドを入力するとハードウェア モジュールがリブートされます。モジュールはリブートが終了するまでオフラインです。モジュールのステータスをモニタするには、show module コマンドを入力します。AIP SSM では、バージョン 6.0 以降でこのコマンドがサポートされています。

CSC SSM で、このコマンドを入力すると、パスワードがリセットされた後でハードウェア モジュールの Web サービスがリセットされます。ASDM への接続が失われる、またはハードウェア モジュールからログ アウトされることがあります。CSC SSM では、2010 年 1 月の最新バージョン 6.3 でこのコマンドがサポートされています。


ソフトウェア イメージをロードするための ROM モニタの使用

この項では、TFTP を使用する ROM モニタ モードから、適応型セキュリティ アプライアンスにソフトウェア イメージをロードする方法について説明します。

ソフトウェア イメージを適応型セキュリティ アプライアンスにロードするには、次の手順を実行します。


ステップ 1 「コマンドライン インターフェイスへのアクセス」の説明に従って、適応型セキュリティ アプライアンスのコンソール ポートに接続します。

ステップ 2 適応型セキュリティ アプライアンスの電源を切ってから、投入します。

ステップ 3 スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、 Escape キーを押します。

ステップ 4 ROMMOM モードで、適応型セキュリティ アプライアンスに対するインターフェイス設定を定義します。設定には、次のような IP アドレス、TFTP サーバ アドレス、ゲートウェイ アドレス、ソフトウェア イメージ ファイル、およびポートが含まれます。

rommon #1> ADDRESS=10.132.44.177
rommon #2> SERVER=10.129.0.30
rommon #3> GATEWAY=10.132.44.1
rommon #4> IMAGE=f1/asa800-232-k8.bin
rommon #5> PORT=Ethernet0/0
Ethernet0/0
Link is UP
MAC Address: 0012.d949.15b8

) ネットワークへの接続がすでに存在することを確認してください。


ステップ 5 設定を検証するには、 set コマンドを入力します。

rommon #6> set
ROMMON Variable Settings:
ADDRESS=10.132.44.177
SERVER=10.129.0.30
GATEWAY=10.132.44.1
PORT=Ethernet0/0
VLAN=untagged
IMAGE=f1/asa800-232-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
 

ステップ 6 ping server コマンドを入力して、TFTP サーバを ping します。

rommon #7> ping server
Sending 20, 100-byte ICMP Echoes to server 10.129.0.30, timeout is 4 seconds:
 
Success rate is 100 percent (20/20)
 

ステップ 7 tftp コマンドを入力して、ソフトウェア イメージをロードします。

rommon #8> tftp
ROMMON Variable Settings:
ADDRESS=10.132.44.177
SERVER=10.129.0.30
GATEWAY=10.132.44.1
PORT=Ethernet0/0
VLAN=untagged
IMAGE=f1/asa800-232-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
 
tftp f1/asa800-232-k8.bin@10.129.0.30 via 10.132.44.1
 
Received 14450688 bytes
 
Launching TFTP Image...
Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 5 16:00:07 MST 2007
 
Loading...
 

ソフトウェア イメージが正常にロードされたら、適応型セキュリティ アプライアンスにより ROMMOM モードが自動的に終了します。

ステップ 8 正しいソフトウェア イメージが適応型セキュリティ アプライアンスにロードされたことを検証するには、次のコマンドを入力して、適応型セキュリティ アプライアンス内のバージョンを確認します。

hostname# show version
 


 

フラッシュ ファイル システムの消去

フラッシュ ファイル システムを消去するには、次の手順を実行します。


ステップ 1 「コマンドライン インターフェイスへのアクセス」の説明に従って、適応型セキュリティ アプライアンスのコンソール ポートに接続します。

ステップ 2 適応型セキュリティ アプライアンスの電源を切ってから、投入します。

ステップ 3 スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、 Escape キーを押します。

ステップ 4 ファイル システムを消去するには、erase コマンドを入力します。このコマンドで、すべてのファイルが上書きされ、非表示のシステム ファイルを含むファイル システムが消去されます。

rommon #1> erase [disk0: | disk1: | flash:]


 

その他のトラブルシューティング ツール

適応型セキュリティ アプライアンスには、使用できるその他のトラブルシューティング ツールがあります。この項は、次の内容で構成されています。

「デバッグ メッセージの表示」

「パケットの取得」

「クラッシュ ダンプの表示」

「コア ダンプ」

デバッグ メッセージの表示

デバッグ出力は CPU プロセスで高プライオリティが割り当てられているため、デバッグ出力を行うとシステムが使用できなくなることがあります。このため、特定の問題のトラブルシューティングを行う場合や、Cisco TAC とのトラブルシューティング セッションの間に限り debug コマンドを使用してください。さらに、ネットワーク トラフィック量やユーザ数が少ない期間に debug コマンドを使用することをお勧めします。このような期間にデバッグを実行すると、 debug コマンドの処理オーバーヘッドの増加によってシステムの使用に影響が生じる可能性が低くなります。デバッグ メッセージをイネーブルにする方法は、『 Cisco ASA 5500 Series Command Reference 』の debug コマンドを参照してください。

パケットの取得

パケットの取得は、接続障害のトラブルシューティングや不審なアクティビティのモニタを行う場合に便利です。パケット取得機能を使用する場合は、Cisco TAC に連絡することをお勧めします。 『Cisco ASA 5500 Series Command Reference 』の capture コマンドを参照してください。

クラッシュ ダンプの表示

適応型セキュリティ アプライアンスがクラッシュした場合に、クラッシュ ダンプ情報を表示できます。クラッシュ ダンプの内容を調べる必要がある場合は、Cisco TAC に連絡することをお勧めします。 『Cisco ASA 5500 Series Command Reference 』の show crashdump コマンドを参照してください。

一般的な問題

この項では、適応型セキュリティ アプライアンスの一般的な問題とそれらを解決する方法について説明します。

症状 コンテキスト コンフィギュレーションが保存されておらず、リロード時に失われました。

考えられる原因 コンテキスト実行スペース内で各コンテキストを保存しませんでした。コマンドラインでコンテキストを設定している場合、次のコンテキストに切り替える前に現在のコンテキストを保存しませんでした。

推奨処置 copy run start コマンドを使用して、コンテキスト実行スペース内で各コンテキストを保存します。システム実行スペースからはコンテキストを保存できません。

症状 適応型セキュリティ アプライアンス インターフェイスへの Telnet または SSH 接続を確立できません。

考えられる原因 適応型セキュリティ アプライアンスへの Telnet または SSH をイネーブルにしませんでした。

推奨処置 「ASDM、Telnet、または SSH のデバイス アクセスの設定」に従って、適応型セキュリティ アプライアンスへの Telnet または SSH をイネーブルにします。

症状 適応型セキュリティ アプライアンス インターフェイスを ping できません。

考えられる原因 適応型セキュリティ アプライアンスへの ICMP をディセーブルにしました。

推奨処置 icmp コマンドを使用して、IP アドレス用に適応型セキュリティ アプライアンスへの ICMP をイネーブルにします。

症状 アクセスリストで許可されていても、適応型セキュリティ アプライアンスを介して ping することができません。

考えられる原因 ICMP 検査エンジンをイネーブルにしていないか、入力インターフェイスと出力インターフェイスの両方でアクセスリストを適用していません。

推奨処置 ICMP はコネクションレス型プロトコルなので、適応型セキュリティ アプライアンスはトラフィックが戻ることを自動的には許可しません。応答トラフィックを許可するために、入力インターフェイスだけではなく出力インターフェイスにもアクセスリストを適用するか、あるいは ICMP 接続がステートフル接続として扱われるように ICMP 検査エンジンをイネーブルにします。

症状 同一セキュリティ レベルにある 2 つのインターフェイス間をトラフィックが通過しません。

考えられる原因 同一セキュリティ レベルにあるインターフェイス間をトラフィックが通過できるようにする機能をイネーブルにしていません。

推奨処置 「同じセキュリティ レベルの通信の許可」の説明に従って、この機能をイネーブルにします。

症状 スタンバイ デバイスへのフェールオーバー中に IPSec トンネルが二重化されません。

考えられる原因 適応型セキュリティ アプライアンスが接続されているスイッチ ポートが 1000 ではなく 10/100 に設定されています。

推奨処置 適応型セキュリティ アプライアンスが接続されているスイッチ ポートを 1000 に設定します。