Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
セキュリティ アプライアンスのトラブ ルシューティング
セキュリティ アプライアンスのトラブルシューティング
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

セキュリティ アプライアンスのトラブルシューティング

コンフィギュレーションのテスト

ICMP デバッグ メッセージとシステム メッセージのイネーブル化

セキュリティ アプライアンス インターフェイスの ping

セキュリティ アプライアンスによる ping

テスト コンフィギュレーションのディセーブル化

セキュリティ アプライアンスのリロード

パスワード回復の実行

ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワード回復の実行

PIX 500 シリーズ セキュリティ アプライアンスのパスワード回復

パスワード回復のディセーブル化

その他のトラブルシューティング ツール

デバッグ メッセージの表示

パケットの取得

クラッシュ ダンプの表示

一般的な問題

セキュリティ アプライアンスのトラブルシューティング

この章では、セキュリティ アプライアンスのトラブルシューティングの方法について説明します。次の項で構成されています。

「コンフィギュレーションのテスト」

「セキュリティ アプライアンスのリロード」

「パスワード回復の実行」

「その他のトラブルシューティング ツール」

「一般的な問題」

コンフィギュレーションのテスト

この項では、シングルモードのセキュリティ アプライアンスまたは各セキュリティ コンテキストの接続性をテストする方法について説明します。次の手順では、セキュリティ アプライアンス インターフェイスを ping する方法と、あるインターフェイス上のホストが別のインターフェイス上のホストに ping できるようにする方法について説明します。

ping およびデバッグ メッセージはトラブルシューティング時に限りイネーブルにしてください。セキュリティ アプライアンスのテストが終了したら、「テスト コンフィギュレーションのディセーブル化」の手順を実行します。

この項の内容は次のとおりです。

「ICMP デバッグ メッセージとシステム メッセージのイネーブル化」

「セキュリティ アプライアンス インターフェイスの ping」

「セキュリティ アプライアンスによる ping」

「テスト コンフィギュレーションのディセーブル化」

ICMP デバッグ メッセージとシステム メッセージのイネーブル化

デバッグ メッセージとシステム メッセージは、ping が成功しない理由をトラブルシューティングするのに役立ちます。セキュリティ アプライアンスは、セキュリティ アプライアンス インターフェイスへの ping に対する ICMP デバッグ メッセージのみを表示します。セキュリティ アプライアンスを経由する他のホストへの ping に対する ICMP デバッグ メッセージは表示しません。デバッグ メッセージとシステム メッセージをイネーブルにするには、次の手順を実行します。


ステップ 1 セキュリティ アプライアンス インターフェイスへの ping の ICMP パケット情報を表示するには、次のコマンドを入力します。

hostname(config)# debug icmp trace
 

ステップ 2 Telnet セッションまたは SSH セッションに送信するシステム メッセージを設定するには、次のコマンドを入力します。

hostname(config)# logging monitor debug
 

あるいは、 logging buffer debug を使用してメッセージをバッファに送信してから、後で show logging コマンドを使用してそれらを表示することもできます。

ステップ 3 システム メッセージを Telnet または SSH セッションに送信するには、次のコマンドを入力します。

hostname(config)# terminal monitor
 

ステップ 4 システム メッセージをイネーブルにするには、次のコマンドを入力します。

hostname(config)# logging on
 


 

次に、外部ホスト(209.165.201.2)からセキュリティ アプライアンスの外部インターフェイス(209.165.201.1)への ping が成功した例を示します。

hostname(config)# debug icmp trace
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 512) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 768) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 768) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 1024) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 1024) 209.165.201.1 > 209.165.201.2
 

この例では、ICMP パケット長(32 バイト)、ICMP パケット識別子(1)、および ICMP シーケンス番号(ICMP シーケンス番号は 0 から始まり、要求が送信されるたびに増分されます)が示されています。

セキュリティ アプライアンス インターフェイスの ping

セキュリティ アプライアンス インターフェイスが起動して動作していること、およびセキュリティ アプライアンスと接続ルータが正しくルーティングされていることをテストするには、セキュリティ アプライアンス インターフェイスを ping します。セキュリティ アプライアンス インターフェイスを ping するには、次の手順を実行します。


ステップ 1 インターフェイス名、セキュリティ レベル、および IP アドレスを示すシングルモードのセキュリティ アプライアンスまたはセキュリティ コンテキストの概略図を作成します。概略図には、直接接続されたすべてのルータ、およびセキュリティ アプライアンスを ping するルータの反対側にあるホストも含める必要があります。この手順と 「セキュリティ アプライアンスによる ping」の手順の情報を使用してください。次の例を参考にしてください。

図36-1 インターフェイス、ルータ、およびホストを含むネットワーク概略図

 

ステップ 2 直接接続された ルータから各セキュリティ アプライアンス インターフェイスを ping します。透過モードでは、管理 IP アドレスを ping します。

このテストは、セキュリティ アプライアンス インターフェイスがアクティブであること、およびインターフェイス コンフィギュレーションが正しいことを確認します。

セキュリティ アプライアンス インターフェイスがアクティブではない場合、インターフェイス コンフィギュレーションが正しくない場合、またはセキュリティ アプライアンスとルータの間でスイッチがダウンしている場合、ping は失敗する可能性があります(図36-2 を参照)。この場合、パケットが到達しないので、デバッグ メッセージやシステム メッセージはセキュリティ アプライアンスに表示されません。

図36-2 セキュリティ アプライアンス インターフェイスでの ping の失敗

 

ping がセキュリティ アプライアンスに到達し、セキュリティ アプライアンスが応答すると、次のようなデバッグ メッセージが表示されます。

ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
 

ping 応答がルータに戻されない場合は、スイッチ ループまたは冗長 IP アドレスの可能性があります(図36-3 を参照)。

図36-3 IP アドレッシングの問題による ping の失敗

 

ステップ 3 リモート ホストから各セキュリティ アプライアンス インターフェイスを ping します。透過モードでは、管理 IP アドレスを ping します。

このテストは、直接接続されたルータがホストとセキュリティ アプライアンスの間でパケットをルーティングできること、およびセキュリティ アプライアンスがパケットを正確にルーティングしてホストに戻せることを確認します。

中間ルータを通ってホストに戻るルートがセキュリティ アプライアンスにない場合、ping は失敗する可能性があります(図36-4 を参照)。この場合、デバッグ メッセージには ping が成功したことが示されますが、ルーティングの失敗を示すシステム メッセージ 110001 が表示されます。

図36-4 セキュリティ アプライアンスにルートがないことによる ping の失敗

 


 

セキュリティ アプライアンスによる ping

セキュリティ アプライアンス インターフェイスを正常に ping した後、トラフィックがセキュリティ アプライアンスを正常に通過できることを確認する必要があります。ルーテッド モードでは、このテストによって、NAT が正しく機能していることが示されます(設定されている場合)。透過モードの場合は、NAT を使用しないので、このテストではセキュリティ アプライアンスが正しく動作していることが確認されます。透過モードで ping が失敗した場合は、Cisco TAC にお問い合せください。

異なるインターフェイス上のホスト間で ping するには、次の手順を実行します。


ステップ 1 発信元ホストから ICMP を許可するアクセスリストを追加するには、次のコマンドを入力します。

hostname(config)# access-list ICMPACL extended permit icmp any any
 

デフォルトでは、ホストが低セキュリティ インターフェイスにアクセスすると、すべてのトラフィックが通過を許可されます。ただし、高セキュリティ インターフェイスにアクセスするには、先行するアクセスリストが必要です。

ステップ 2 各発信元インターフェイスにアクセスリストを割り当てるには、次のコマンドを入力します。

hostname(config)# access-group ICMPACL in interface interface_name
 

各発信元インターフェイスに対してこのコマンドを繰り返します。

ステップ 3 ICMP 応答が発信元ホストに戻されるように ICMP 検査エンジンをイネーブルにするには、次のコマンドを入力します。

hostname(config)# class-map ICMP-CLASS
hostname(config-cmap)# match access-list ICMPACL
hostname(config-cmap)# policy-map ICMP-POLICY
hostname(config-pmap)# class ICMP-CLASS
hostname(config-pmap-c)# inspect icmp
hostname(config-pmap-c)# service-map ICMP-POLICY global
 

あるいは、ICMPACL アクセスリストを宛先インターフェイスに適用し、セキュリティ アプライアンスを介して ICMP トラフィックを戻すこともできます。

ステップ 4 ホストまたはルータから発信元インターフェイスを介して別のインターフェイス上の別のホストまたはルータに ping します。

確認が必要なすべてのインターフェイス ペアに対して、このステップを繰り返します。

ping が成功すると、ルーテッド モードのアドレス変換(305009 または 305011)と ICMP 接続が確立されたこと(302020)を確認するシステム メッセージが表示されます。 show xlate および show conns コマンドを入力してこの情報を表示することもできます。

透過モードの ping が失敗した場合は、Cisco TAC にお問い合せください。

ルーテッド モードでは、NAT が正しく設定されていないために ping が失敗する可能性があります(図36-5 を参照)。これは、NAT 制御をイネーブルにした場合に発生する可能性があります。この場合、NAT 変換が失敗したことを示すシステム メッセージが表示されます(305005 または 305006)。外部ホストから内部ホストに ping し、スタティック変換(NAT 制御を必要とする)がない場合は、メッセージ 106010: deny inbound icmp が表示されます。


) セキュリティ アプライアンスは、セキュリティ アプライアンス インターフェイスへの ping に対する ICMP デバッグ メッセージのみを表示します。セキュリティ アプライアンスを経由する他のホストへの ping に対する ICMP デバッグ メッセージは表示しません。


図36-5 セキュリティ アプライアンスがアドレスを変換しないことによる ping の失敗

 


 

テスト コンフィギュレーションのディセーブル化

テストの完了後、ICMP のセキュリティ アプライアンスへの送信および通過を許可し、デバッグ メッセージを表示するテスト コンフィギュレーションをディセーブルにします。このコンフィギュレーションをそのままにしておくと、深刻なセキュリティ リスクが生じる可能性があります。また、デバッグ メッセージはセキュリティ アプライアンスのパフォーマンスを低下させます。

テスト コンフィギュレーションをディセーブルにするには、次の手順を実行します。


ステップ 1 ICMP デバッグ メッセージをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no debug icmp trace
 

ステップ 2 ロギングをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no logging on
 

ステップ 3 ICMPACL アクセスリストを削除し、関連する access-group コマンドも削除するには、次のコマンドを入力します。

hostname(config)# no access-list ICMPACL
 

ステップ 4 (オプション)ICMP 検査エンジンをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no service-map ICMP-POLICY
 


 

セキュリティ アプライアンスのリロード

マルチモードでは、システム実行スペースからしかリロードできません。セキュリティ アプライアンスをリロードするには、次のコマンドを入力します。

hostname# reload
 

パスワード回復の実行

この項では、パスワードを忘れた場合、または AAA 設定のためロックアウト状態を生み出した場合に回復する方法について説明します。セキュリティの向上のためパスワードの回復をディセーブルにすることもできます。ここでは、次の項目について説明します。

「ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワード回復の実行」

「PIX 500 シリーズ セキュリティ アプライアンスのパスワード回復」

「パスワード回復のディセーブル化」

ASA 5500 シリーズ適応型セキュリティ アプライアンスのパスワード回復の実行

パスワードの喪失から回復するには、次の手順を実行します。


ステップ 1 「コマンドライン インターフェイスへのアクセス」に従って、セキュリティ アプライアンスのコンソール ポートに接続します。

ステップ 2 セキュリティ アプライアンスの電源を切ってから、投入します。

ステップ 3 スタートアップ メッセージで、ROMMON を入力するように求めるプロンプトが表示されたら、 Escape キーを押します。

ステップ 4 リロード時にスタートアップ コンフィギュレーションを無視するようにセキュリティ アプライアンスを設定するには、次のコマンドを入力します。

rommon #1> confreg
 

セキュリティ アプライアンスによって現在のコンフィギュレーションのレジスタ値が表示され、その値を変更するかどうかが尋ねられます。

Current Configuration Register: 0x00000011
Configuration Summary:
boot TFTP image, boot default image from Flash on netboot failure
Do you wish to change this configuration? y/n [n]:
 

ステップ 5 後で回復できるように、現在のコンフィギュレーションのレジスタ値を記録します。

ステップ 6 値を変更する場合は、プロンプトに対して Y を入力します。

セキュリティ アプライアンスによって、新しい値の入力を求めるプロンプトが表示されます。

ステップ 7 すべての設定についてデフォルト値を受け入れます。ただし、「disable system configuration?」値のプロンプトに対しては Y を入力します。

ステップ 8 次のコマンドを入力して、セキュリティ アプライアンスをリロードします。

rommon #2> boot
 

セキュリティ アプライアンスは、スタートアップ コンフィギュレーションの代わりにデフォルト コンフィギュレーションをロードします。

ステップ 9 次のコマンドを入力して、特権 EXEC モードに入ります。

hostname> enable
 

ステップ 10 パスワードの入力を求められたら、 Return キーを押します。

パスワードはブランクです。

ステップ 11 次のコマンドを入力して、スタートアップ コンフィギュレーションをロードします。

hostname# copy startup-config running-config
 

ステップ 12 次のコマンドを入力して、グローバル コンフィギュレーション モードに入ります。

hostname# configure terminal
 

ステップ 13 必要に応じて次のコマンドを入力し、コンフィギュレーションでパスワードを変更します。

hostname(config)# password password
hostname(config)# enable password password
hostname(config)# username name password password
 

ステップ 14 次のコマンドを入力して、次回のリロード時にスタートアップ コンフィギュレーションをロードするようにコンフィギュレーション レジスタを変更します。

hostname(config)# config-register value
 

ここで、 valueステップ 5 でメモしたコンフィギュレーション レジスタ値です。0x1 はデフォルト コンフィギュレーション レジスタです。コンフィギュレーション レジスタの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。

ステップ 15 次のコマンドを入力して、新しいパスワードをスタートアップ コンフィギュレーションに保存します。

hostname(config)# copy running-config startup-config
 


 

PIX 500 シリーズ セキュリティ アプライアンスのパスワード回復

セキュリティ アプライアンスでパスワード回復を実行すると、ログイン パスワード、イネーブル パスワード、および aaa authentication console コマンドが消去されます。これらのコマンドを消去してデフォルト パスワードでログインできるようにするには、次の手順を実行します。


ステップ 1 Cisco.com から、セキュリティ アプライアンスでアクセス可能な TFTP サーバに PIX パスワード ツールを ダウンロードします。次の URL で「Password Recovery Procedure for the PIX」の資料内のリンクを参照してください。

ステップ 2 「コマンドライン インターフェイスへのアクセス」に従って、セキュリティ アプライアンスのコンソール ポートに接続します。

ステップ 3 セキュリティ アプライアンスの電源を切ってから、投入します。

ステップ 4 スタートアップ メッセージが表示された直後に、 Escape キーを押してモニタ モードに入ります。

ステップ 5 次のコマンドを入力して、TFTP サーバにアクセスするインターフェイスのネットワーク設定値を設定します。

monitor> interface interface_id
monitor> address interface_ip
monitor> server tftp_ip
monitor> file pw_tool_name
monitor> gateway gateway_ip
 

ステップ 6 次のコマンドを入力して、TFTP サーバから PIX パスワード ツールをダウンロードします。

monitor> tftp
 

サーバに到達できない場合は、 ping address コマンドを入力して接続をテストします。

ステップ 7 「Do you wish to erase the passwords?」プロンプトで、 Y を入力します。

これで、デフォルト ログイン パスワード「cisco」とブランクのイネーブル パスワードでログインできるようになります。


 

次の例は、外部インターフェイス上の TFTP サーバによる PIX パスワード回復を示しています。

monitor> interface 0
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
 
Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9
monitor> address 10.21.1.99
address 10.21.1.99
monitor> server 172.18.125.3
server 172.18.125.3
monitor> file np70.bin
file np52.bin
monitor> gateway 10.21.1.1
gateway 10.21.1.1
monitor> ping 172.18.125.3
Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor> tftp
tftp np52.bin@172.18.125.3 via 10.21.1.1...................................
Received 73728 bytes
 
Cisco PIX password tool (4.0) #0: Tue Aug 22 23:22:19 PDT 2005
Flash=i28F640J5 @ 0x300
BIOS Flash=AT29C257 @ 0xd8000
 
Do you wish to erase the passwords? [yn] y
Passwords have been erased.
 
Rebooting....
 

パスワード回復のディセーブル化

権限のないユーザがパスワード回復メカニズムを使用してセキュリティ アプライアンスを危険にさらすことがないように、パスワード回復をディセーブルにすることができます。パスワード回復をディセーブルにするには、次のコマンドを入力します。

hostname(config)# no service password-recovery
 

ASA 5500 シリーズ適応型セキュリティ アプライアンスで、 no service password-recovery コマンドは、ユーザが ROMMON を入力しないようにして、コンフィギュレーションが変更されないようにします。ユーザが ROMMON を入力すると、セキュリティ アプライアンスはユーザに対し、すべてのフラッシュ ファイル システムを消去するように求めるプロンプトを表示します。ユーザはこの消去をまず実行しないと、ROMMON を入力できません。ユーザがフラッシュ ファイル システムを消去しない場合、セキュリティ アプライアンスはリロードします。パスワード回復は ROMMON の使用と既存のコンフィギュレーションの保持に依存しているので、この消去によって、パスワードを回復することはできなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態まで回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。 service password-recovery コマンドは、情報提供の目的に限りコンフィギュレーション ファイルに表示されます。CLI プロンプトでこのコマンドを入力すると、設定が NVRAM に保存されます。設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なるバージョンで新規コンフィギュレーションをロードしても、設定は変更されません。セキュリティ アプライアンスが(パスワード回復の準備で)起動時にスタートアップ コンフィギュレーションを無視するように設定されている場合にパスワード回復をディセーブルにすると、セキュリティ アプライアンスは通常どおりスタートアップ コンフィギュレーションをブートするように設定を変更します。フェールオーバーを使用し、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置が設定されている場合は、 no service password recovery コマンドがスタンバイ装置に複製したときにコンフィギュレーション レジスタに同じ変更が加えられます。

PIX 500 シリーズ セキュリティ アプライアンスで、 no service password-recovery コマンドは、すべてのフラッシュ ファイル システムの消去をユーザに求めるプロンプトを表示するように PIX パスワード ツールに強制します。ユーザは、まずこの消去を実行しないと、PIX パスワード ツールを使用できません。ユーザがフラッシュ ファイル システムを消去しない場合、セキュリティ アプライアンスはリロードします。パスワード回復は既存のコンフィギュレーションの保持に依存しているので、この消去によって、パスワードを回復することはできなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態まで回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。

その他のトラブルシューティング ツール

セキュリティ アプライアンスには、Cisco TAC とともに使用するその他のトラブルシューティング ツールがあります。

「デバッグ メッセージの表示」

「パケットの取得」

「クラッシュ ダンプの表示」

デバッグ メッセージの表示

デバッグ出力は CPU プロセスで高優先順位が割り当てられているため、デバッグ出力を行うとシステムが使用できなくなることがあります。このため、特定の問題のトラブルシューティングを行う場合や、Cisco TAC とのトラブルシューティング セッションの間に限り debug コマンドを使用してください。さらに、ネットワーク トラフィック量やユーザ数が少ない期間に debug コマンドを使用することをお勧めします。このような期間にデバッグを実行すると、debug コマンドの処理オーバーヘッドの増加によってシステムの使用に影響が生じる可能性が低くなります。デバッグ メッセージをイネーブルにする方法は、『 Cisco Security Appliance Command Reference 』の debug コマンドを参照してください。

パケットの取得

パケットの取得は、接続障害のトラブルシューティングや不審なアクティビティの監視を行う場合に便利です。パケット取得機能を使用する場合は、Cisco TAC に連絡することをお勧めします。『 Cisco Security Appliance Command Reference 』の capture コマンドを参照してください。

クラッシュ ダンプの表示

セキュリティ アプライアンスがクラッシュした場合に、クラッシュ ダンプ情報を表示できます。クラッシュ ダンプの内容を調べる必要がある場合は、Cisco TAC に連絡することをお勧めします。『 Cisco Security Appliance Command Reference 』の show crashdump コマンドを参照してください。

一般的な問題

この項では、セキュリティ アプライアンスの一般的な問題とそれらを解決する方法について説明します。

現象 コンテキスト コンフィギュレーションが保存されておらず、リロード時に失われました。

考えられる原因 コンテキスト実行スペース内で各コンテキストを保存しませんでした。コマンドラインでコンテキストを設定している場合、次のコンテキストに切り替える前にコンテキストを保存しませんでした。

推奨処置 copy run start コマンドを使用して、コンテキスト実行スペース内で各コンテキストを保存します。システム実行スペースからはコンテキストを保存できません。

現象 セキュリティ アプライアンス インターフェイスへの Telnet 接続または SSH を確立できません。

考えられる原因 セキュリティ アプライアンスへの Telnet または SSH をイネーブルにしませんでした。

推奨処置 「Telnet アクセスの許可」または 「SSH アクセスの許可」に従って、セキュリティ アプライアンスへの Telnet または SSH をイネーブルにします。

現象 セキュリティ アプライアンス インターフェイスを ping できません。

考えられる原因 セキュリティ アプライアンスへの ICMP をディセーブルにしました。

推奨処置 icmp コマンドを使用して、IP アドレス用にセキュリティ アプライアンスへの ICMP をイネーブルにします。

現象 アクセスリストで許可されているにもかかわらず、セキュリティ アプライアンスを介して ping することができません。

考えられる原因 ICMP 検査エンジンをイネーブルにしていないか、入力インターフェイスと出力インターフェイスの両方でアクセスリストを適用していません。

推奨処置 ICMP はコネクションレス型プロトコルなので、セキュリティ アプライアンスはトラフィックが戻ることを自動的には許可しません。応答トラフィックを許可するために、入力インターフェイスだけではなく出力インターフェイスにもアクセスリストを適用するか、あるいは ICMP 接続がステートフル接続として扱われるように ICMP 検査エンジンをイネーブルにします。

現象 同一セキュリティ レベルにある 2 つのインターフェイス間をトラフィックが通過しません。

考えられる原因 同一セキュリティ レベルにあるインターフェイス間をトラフィックが通過できるようにする機能をイネーブルにしていません。

推奨処置 「同一セキュリティ レベルにあるインターフェイス間の通信の許可」に従って、この機能をイネーブルにします。