Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
トラブルシューティング
トラブルシューティング
発行日;2012/05/09 | 英語版ドキュメント(2012/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

トラブルシューティング

コンフィギュレーションのテスト

ICMP デバッグ メッセージと Syslog メッセージのイネーブル化

のインターフェイスへの ping の実行

上のトラフィックの通過

テスト コンフィギュレーションのディセーブル化

トレースルートによるパケット ルーティングの決定

パケット トレーサによるパケットの追跡

のリロード

パスワード回復の実行

Cisco ASA 5500 のパスワード回復

パスワード回復のディセーブル化

SSM ハードウェア モジュールのパスワードのリセット

ソフトウェア イメージをロードするための ROM モニタの使用

フラッシュ ファイル システムの消去

その他のトラブルシューティング ツール

デバッグ メッセージの表示

パケットの取得

クラッシュ ダンプの表示

コア ダンプ

Per-Process の CPU 使用率のモニタリング

一般的な問題

コンフィギュレーションのテスト

この項では、シングル モード ASAまたは各セキュリティ コンテキストの接続性のテスト方法、ASA インターフェイスを ping する方法、およびあるインターフェイスにあるホストが他のインターフェイスのホストに ping できるようにする方法について説明します。

ping メッセージおよびデバッグ メッセージはトラブルシューティング時に限りイネーブルにしてください。ASA のテストが終了したら、「テスト コンフィギュレーションのディセーブル化」の手順に従ってください。

この項は、次の内容で構成されています。

「ICMP デバッグ メッセージと Syslog メッセージのイネーブル化」

「ASA のインターフェイスへの ping の実行」

「ASA 上のトラフィックの通過」

「テスト コンフィギュレーションのディセーブル化」

「トレースルートによるパケット ルーティングの決定」

「パケット トレーサによるパケットの追跡」

ICMP デバッグ メッセージと Syslog メッセージのイネーブル化

デバッグ メッセージと syslog メッセージは、ping が成功しない理由をトラブルシューティングするのに役立ちます。ASA では、ASA インターフェイスへの ping に対する ICMP デバッグ メッセージだけが表示されます。ASA を経由する他のホストへの ping に対する ICMP デバッグ メッセージは表示されません。デバッグ メッセージと syslog メッセージをイネーブルにするには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

debug icmp trace

ASA インターフェイスへの ping の ICMP パケット情報を表示します。

ステップ 2

logging monitor debug

Telnet セッションまたは SSH セッションに送信する syslog メッセージを設定します。


) あるいは、logging buffer debug コマンドを使用してログ メッセージをバッファに送信してから、show logging コマンドを使用してそれらを表示することもできます。


ステップ 3

terminal monitor

Telnet セッションまたは SSH セッションに syslog メッセージを送信します。

ステップ 4

logging on

syslog メッセージの生成をイネーブルにします。

次に、外部ホスト(209.165.201.2)から ASA の外部インターフェイス(209.165.201.1)への ping が成功した例を示します。

hostname(config)# debug icmp trace
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 512) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 768) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 768) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 1024) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 1024) 209.165.201.1 > 209.165.201.2
 

この出力では、ICMP パケット長(32 バイト)、ICMP パケット識別子(1)、および ICMP シーケンス番号(ICMP シーケンス番号は 0 から始まり、要求が送信されるたびに増分されます)が示されています。

ASA のインターフェイスへの ping の実行

ASA インターフェイスが起動して動作しているかどうか、およびASAと接続ルータが正しく動作しているかどうかをテストするには、ASA インターフェイスを ping します。ASA インターフェイスを ping するには、次の手順を実行します。


ステップ 1 インターフェイス名、セキュリティ レベル、および IP アドレスを示すシングル モードのASAまたはセキュリティ コンテキストの図を作成します。


) この手順では IP アドレスを使用しますが、ping コマンドでは、DNS 名および name コマンドを使用してローカル IP アドレスに割り当てられた名前もサポートされます。


図には、直接接続されたすべてのルータ、および ASA を ping するルータの反対側にあるホストも含める必要があります。この情報はこの手順と「ASA 上のトラフィックの通過」の手順で使用します。(図 81-1 を参照)。

図 81-1 インターフェイス、ルータ、およびホストを含むネットワーク図

 

ステップ 2 直接接続されたルータから各ASA インターフェイスを ping します。トランスペアレント モードでは、管理 IP アドレスを ping します。このテストは、ASA インターフェイスがアクティブであること、およびインターフェイス コンフィギュレーションが正しいことを確認します。

ASA インターフェイスがアクティブではない場合、インターフェイス コンフィギュレーションが正しくない場合、またはASAとルータの間でスイッチがダウンしている場合、ping は失敗する可能性があります(図 81-2 を参照)。この場合、パケットがASAに到達しないので、デバッグ メッセージや syslog メッセージは表示されません。

図 81-2 ASA のインターフェイスへの ping の失敗

 

ping がASAに到達し、応答があると、次のようなデバッグ メッセージが表示されます。

ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
 

ping 応答がルータに戻されない場合は、スイッチ ループまたは冗長 IP アドレスが存在する可能性があります(図 81-3 を参照)。

図 81-3 IP アドレッシングの問題による ping の失敗

 

ステップ 3 リモート ホストから各ASA インターフェイスを ping します。トランスペアレント モードでは、管理 IP アドレスを ping します。このテストは、直接接続されたルータがホストとASAの間でパケットをルーティングできるかどうか、およびASAがパケットを正確にルーティングしてホストに戻せるかどうかを確認します。

中間ルータを通ってホストに戻るルートがASAにない場合、ping は失敗する可能性があります(図 81-4 を参照)。この場合、デバッグ メッセージには ping が成功したことが示されますが、ルーティングの失敗を示す syslog メッセージ 110001 が表示されます。

図 81-4 セキュリティ アプライアンスに戻りルートがないことによる ping の失敗

 


 

ASA 上のトラフィックの通過

ASA インターフェイスを正常に ping した後で、トラフィックがASAを正常に通過できることを確認します。ルーテッド モードでは、このテストによって、Network Address Translation(NAT; ネットワーク アドレス変換)が正しく動作していることが示されます(設定されている場合)。トランスペアレント モードでは、NAT は使用されないので、このテストではASAが正しく動作していることが確認されます。トランスペアレント モードで ping が失敗した場合は、Cisco TAC にお問い合せください。

異なるインターフェイス上のホスト間で ping するには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

access-list ICMPACL extended permit icmp any any

発信元ホストから ICMP を許可するアクセス リストを追加します。


) デフォルトでは、ホストが低セキュリティ インターフェイスにアクセスすると、すべてのトラフィックが通過を許可されます。ただし、高セキュリティ インターフェイスにアクセスするには、先行するアクセス リストが必要です。


ステップ 2

access-group ICMPACL in interface interface_name

各発信元インターフェイスにアクセス リストを割り当てます。


) 各発信元インターフェイスに対してこのコマンドを繰り返します。


ステップ 3

class-map ICMP-CLASS
match access-list ICMPACL
policy-map ICMP-POLICY
class ICMP-CLASS
inspect icmp
service-policy ICMP-POLICY global

ICMP インスペクション エンジンをイネーブルにして、ICMP 応答が発信元ホストに戻されるようにします。


) あるいは、ICMP アクセス リストを宛先インターフェイスに適用し、ASAを介して ICMP トラフィックを戻すこともできます。


ステップ 4

logging on

syslog メッセージの生成をイネーブルにします。

ホストまたはルータから発信元インターフェイスを介して別のインターフェイス上の別のホストまたはルータに ping します。

確認が必要なすべてのインターフェイス ペアに対して、このステップを繰り返します。

ping が成功すると、ルーテッド モードのアドレス変換(305009 または 305011)と ICMP 接続が確立されたこと(302020)を確認する syslog メッセージが表示されます。 show xlate コマンドまたは show conns コマンドを入力してこの情報を表示することもできます。

トランスペアレント モードの ping が失敗した場合は、Cisco TAC にお問い合せください。

ルーテッド モードでは、NAT が正しく設定されていないために ping が失敗することがあります(図 81-5 を参照)。この場合、NAT が失敗したことを示す syslog メッセージが表示されます(305005 または 305006)。外部ホストから内部ホストに ping し、スタティック変換がない場合は、次の syslog メッセージが表示されます。

%ASA-3-106010: deny inbound icmp.


) ASAでは、ASA インターフェイスへの ping に対する ICMP デバッグ メッセージだけが表示されます。ASAを経由する他のホストへの ping に対する ICMP デバッグ メッセージは表示されません。


図 81-5 ASA のアドレス変換の問題による ping の失敗

 

 

テスト コンフィギュレーションのディセーブル化

テストの完了後、ICMP のASAへの送信および通過を許可し、デバッグ メッセージを表示するテスト コンフィギュレーションをディセーブルにします。このコンフィギュレーションをそのままにしておくと、深刻なセキュリティ リスクが生じる可能性があります。また、デバッグ メッセージはASAのパフォーマンスを低下させます。

テスト コンフィギュレーションをディセーブルにするには、次の手順を実行します。

 

 
コマンド
目的

ステップ 1

no debug icmp trace

ICMP デバッグ メッセージをディセーブルにします。

ステップ 2

no logging on

ロギングをディセーブルにします。

ステップ 3

no access-list ICMPACL

ICMPACL アクセス リストを削除し、関連する access-group コマンドを削除します。

ステップ 4

no service-policy ICMP-POLICY

(オプション)ICMP インスペクション エンジンをディセーブルにします。

トレースルートによるパケット ルーティングの決定

パケットのルートは、トレースルート機能を使用してトレースできます。この機能には、 traceroute コマンドでアクセスできます。トレースルートは、無効なポート上の宛先に UDP パケットを送信することで機能します。ポートが有効ではないため、宛先までの間にあるルータから ICMP Time Exceeded メッセージが返され、ASAにエラーが報告されます。


 

パケット トレーサによるパケットの追跡

パケット トレーサ ツールは、パケット スニフィングとネットワーク障害箇所特定のためのパケット追跡を実現するとともに、パケットに関する詳細情報とASAによるパケットの処理方法を示します。コンフィギュレーション コマンドが原因でパケットがドロップしたのではない場合、パケット トレーサ ツールにより、原因に関する詳細な情報が読みやすい形式で表示されます。

また、パケットが正しく動作しているかどうかを確認するために、パケット トレーサ ツールを使用して、ASAを通過するパケットのライフスパンをトレースできます。このツールを使用すると次のことができます。

ネットワーク内にドロップするすべてのパケットをデバッグする。

コンフィギュレーションが意図したとおりに機能しているかを確認する。

パケットに適用可能なすべてのルール、およびルールが追加される原因となった CLI コマンドを表示する。

データ パス内でのパケット変化を時系列で表示する。

データ パスにトレーサ パケットを挿入する。

パケットを追跡するには、次のコマンドを入力します。

 

コマンド
目的
packet-tracer
 

hostname# packet-tracer

packet dropped due to bad ip header ( reason )

パケットに関する詳細情報とASAによるパケットの処理方法を示します。例は、ヘッダーの検証が無効なためにパケットがドロップされた場合に表示される、結果メッセージを示しています。

ASA のリロード

マルチ モードでは、システム実行スペースからしかリロードできません。ASAをリロードするには、次のコマンドを入力します。

 

コマンド
目的
reload

ASAをリロードします。

パスワード回復の実行

この項では、パスワードを忘れた場合、または AAA 設定のためにロックアウトされた場合にパスワードを回復する方法、およびセキュリティ向上のためにパスワードの回復をディセーブルにする方法について説明します。この項は、次の内容で構成されています。

「Cisco ASA 5500 のパスワード回復」

「パスワード回復のディセーブル化」

「SSM ハードウェア モジュールのパスワードのリセット」

Cisco ASA 5500 のパスワード回復

Cisco ASA 5500 のパスワードを回復するには、次の手順を実行します。


ステップ 1 「アプライアンス コマンドライン インターフェイスへのアクセス」に従って、ASA のコンソール ポートに接続します。

ステップ 2 ASAの電源を切ってから、投入します。

ステップ 3 スタートアップ後、ROMMON モードに入るようにプロンプトが表示されたら、 Escape キーを押します。

ステップ 4 コンフィギュレーション レジスタ値をアップデートするには、次のコマンドを入力します。

rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM...
 

ステップ 5 スタートアップ コンフィギュレーションを無視するようにASAを設定するには、次のコマンドを入力します。

rommon #1> confreg
 

ASA によって現在のコンフィギュレーションのレジスタ値が表示され、それを変更するかどうかが尋ねられます。

Current Configuration Register: 0x00000041
Configuration Summary:
boot default image from Flash
ignore system configuration
 
Do you wish to change this configuration?y/n [n]: y
 

ステップ 6 後で回復できるように、現在のコンフィギュレーションのレジスタ値を記録します。

ステップ 7 値を変更する場合は、プロンプトに対して Y を入力します。

ASAによって、新しい値の入力を求めるプロンプトが表示されます。

ステップ 8 すべての設定についてデフォルト値を受け入れます。プロンプトに対して、 Y を入力します。

ステップ 9 次のコマンドを入力して、ASAをリロードします。

rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
 
Loading disk0:/asa800-226-k8.bin... Booting...Loading...
 

ASA は、スタートアップ コンフィギュレーションの代わりにデフォルト コンフィギュレーションをロードします。

ステップ 10 次のコマンドを入力して、特権 EXEC モードにアクセスします。

hostname# enable
 

ステップ 11 パスワードの入力を求められたら、 Enter キーを押します。

パスワードは空白です。

ステップ 12 次のコマンドを入力して、グローバル コンフィギュレーション モードにアクセスします。

hostname# configure terminal
 

ステップ 13 次のコマンドを入力して、デフォルト コンフィギュレーションで必要に応じてパスワードを変更します。

hostname(config)# password password
hostname(config)# enable password password
hostname(config)# username name password password
 

ステップ 14 次のコマンドを入力して、デフォルト コンフィギュレーションをロードします。

hostname(config)# no config-register
 

デフォルト コンフィギュレーションのレジスタ値は 0x1 です。コンフィギュレーション レジスタの詳細については、 Cisco ASA 5500 Series Command Reference 』を参照してください。

ステップ 15 次のコマンドを入力して、新しいパスワードをスタートアップ コンフィギュレーションに保存します。

hostname(config)# copy running-config startup-config
 


 

パスワード回復のディセーブル化

権限のないユーザがパスワード回復メカニズムを使用してASAを危険にさらすことがないように、パスワード回復をディセーブルにするには、次のコマンドを入力します。

 

コマンド
目的
no service password-recovery

パスワード回復をディセーブルにします。

ASA 5500 シリーズ ASA で、 no service password-recovery コマンドを使用すると、ユーザが ROMMON モードに入って、コンフィギュレーションを変更するのを防ぐことができます。ユーザが ROMMON モードに入ると、ASAはユーザに対し、すべてのフラッシュ ファイル システムを消去するように求めるプロンプトを表示します。ユーザはこの消去をまず実行しないと、ROMMON モードに入れません。ユーザがフラッシュ ファイル システムを消去しない場合、ASAはリロードします。パスワード回復は ROMMON モードの使用と既存のコンフィギュレーションの保持に依存しているので、この消去によって、パスワードの回復ができなくなります。ただし、パスワードを回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなります。この場合、システムを動作可能な状態に回復するには、新しいイメージとバックアップ コンフィギュレーション ファイル(入手できる場合)をロードします。

コンフィギュレーション ファイルに表示される service password-recovery コマンドは、情報のためだけのものです。CLI プロンプトに対してコマンドを入力すると、設定は NVRAM に保存されます。設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なるバージョンで新規コンフィギュレーションをロードしても、設定は変更されません。ASAが(パスワード回復の準備で)スタートアップ時にスタートアップ コンフィギュレーションを無視するように設定されている場合にパスワード回復をディセーブルにすると、ASAは通常どおりスタートアップ コンフィギュレーションをロードするように設定を変更します。フェールオーバーを使用し、スタートアップ コンフィギュレーションを無視するようにスタンバイ装置が設定されている場合は、 no service password recovery コマンドでスタンバイ装置に複製したときにコンフィギュレーション レジスタに同じ変更が加えられます。

SSM ハードウェア モジュールのパスワードのリセット

SSM ハードウェア モジュールのパスワードをデフォルトの「cisco」にリセットするには、次のコマンドを入力します。


) SSM ハードウェア モジュールがアップ状態にあり、パスワードのリセットがサポートされていることを確認します。


 

コマンド
目的
hw-module module 1 password-reset
Reset the password on module in slot 1? [confirm] y
hostname# y

ここで、 1 は、SSM ハードウェア モジュール上の指定したスロット番号です。


) AIP SSM で、このコマンドを入力するとハードウェア モジュールがリブートされます。モジュールはリブートが終了するまでオフラインです。モジュールのステータスをモニタするには、show module コマンドを入力します。AIP SSM では、バージョン 6.0 以降でこのコマンドがサポートされています。

CSC SSM で、このコマンドを入力すると、パスワードがリセットされた後でハードウェア モジュールの Web サービスがリセットされます。ASDM への接続が失われる、またはハードウェア モジュールからログ アウトされることがあります。CSC SSM では、2010 年 1 月の最新バージョン 6.3 でこのコマンドがサポートされています。


ソフトウェア イメージをロードするための ROM モニタの使用

この項では、TFTP を使用して ROM モニタ モードからASAへソフトウェア イメージをロードする方法を説明します。

ASAへソフトウェア イメージをロードするには、次の手順を実行します。


ステップ 1 「アプライアンス コマンドライン インターフェイスへのアクセス」に従って、ASA のコンソール ポートに接続します。

ステップ 2 ASAの電源を切ってから、投入します。

ステップ 3 スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、 Escape キーを押します。

ステップ 4 ROMMOM モードで、IP アドレス、TFTP サーバ アドレス、ゲートウェイ アドレス、ソフトウェア イメージ ファイル、およびポートを含む、ASAに対するインターフェイス設定を次のように定義します。

rommon #1> ADDRESS=10.132.44.177
rommon #2> SERVER=10.129.0.30
rommon #3> GATEWAY=10.132.44.1
rommon #4> IMAGE=f1/asa800-232-k8.bin
rommon #5> PORT=Ethernet0/0
Ethernet0/0
Link is UP
MAC Address: 0012.d949.15b8

) ネットワークへの接続がすでに存在することを確認してください。


ステップ 5 設定を検証するには、 set コマンドを入力します。

rommon #6> set
ROMMON Variable Settings:
ADDRESS=10.132.44.177
SERVER=10.129.0.30
GATEWAY=10.132.44.1
PORT=Ethernet0/0
VLAN=untagged
IMAGE=f1/asa800-232-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
 

ステップ 6 ping server コマンドを入力して、TFTP サーバを ping します。

rommon #7> ping server
Sending 20, 100-byte ICMP Echoes to server 10.129.0.30, timeout is 4 seconds:
 
Success rate is 100 percent (20/20)
 

ステップ 7 tftp コマンドを入力して、ソフトウェア イメージをロードします。

rommon #8> tftp
ROMMON Variable Settings:
ADDRESS=10.132.44.177
SERVER=10.129.0.30
GATEWAY=10.132.44.1
PORT=Ethernet0/0
VLAN=untagged
IMAGE=f1/asa800-232-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
 
tftp f1/asa800-232-k8.bin@10.129.0.30 via 10.132.44.1
 
Received 14450688 bytes
 
Launching TFTP Image...
Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 5 16:00:07 MST 2007
 
Loading...
 

ソフトウェア イメージが正常にロードされたら、適応型セキュリティ アプライアンスにより ROMMOM モードが自動的に終了します。

ステップ 8 正しいソフトウェア イメージが適応型セキュリティ アプライアンスにロードされたことを検証するには、次のコマンドを入力して、適応型セキュリティ アプライアンス内のバージョンを確認します。

hostname# show version
 


 

フラッシュ ファイル システムの消去

フラッシュ ファイル システムを消去するには、次の手順を実行します。


ステップ 1 「アプライアンス コマンドライン インターフェイスへのアクセス」に従って、ASA のコンソール ポートに接続します。

ステップ 2 ASAの電源を切ってから、投入します。

ステップ 3 スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、 Escape キーを押します。

ステップ 4 ファイル システムを消去するには、erase コマンドを入力します。このコマンドで、すべてのファイルが上書きされ、非表示のシステム ファイルを含むファイル システムが消去されます。

rommon #1> erase [disk0: | disk1: | flash:]


 

その他のトラブルシューティング ツール

ASAには、使用できるその他のトラブルシューティング ツールがあります。この項は、次の内容で構成されています。

「デバッグ メッセージの表示」

「パケットの取得」

「クラッシュ ダンプの表示」

「コア ダンプ」

「Per-Process の CPU 使用率のモニタリング」

デバッグ メッセージの表示

デバッグ出力は CPU プロセスで高プライオリティが割り当てられているため、デバッグ出力を行うとシステムが使用できなくなることがあります。このため、特定の問題のトラブルシューティングを行う場合や、Cisco TAC とのトラブルシューティング セッションの間に限り debug コマンドを使用してください。さらに、ネットワーク トラフィック量やユーザ数が少ない期間に debug コマンドを使用することをお勧めします。このような期間にデバッグを実行すると、 debug コマンドの処理オーバーヘッドの増加によってシステムの使用に影響が生じる可能性が低くなります。デバッグ メッセージをイネーブルにする方法は、『 Cisco ASA 5500 Series Command Reference 』の debug コマンドを参照してください。

Per-Process の CPU 使用率のモニタリング

CPU 上のプロセス実行をモニタリングできるようになりました。特定のプロセスによる CPU 使用率に関連する情報を入手できます。CPU 使用率の統計は降順に表示され、最も使用率の高いプロセスが一番上に示されます。また、ログに記録する時刻の 5 秒、1 分、および 5 分前に、CPU の負荷に関する情報がプロセス単位で提供されます。情報は 5 秒おきに自動的に更新され、リアルタイムの統計情報が表示されます。show process cpu-usage sorted コマンドを使用すると、設定済みコンテキストによって使用される、CPU に対するプロセス関連の負荷の詳細を表示できます。

一般的な問題

この項では、ASAの一般的な問題とそれらを解決する方法について説明します。

症状 コンテキスト コンフィギュレーションが保存されておらず、リロード時に失われました。

考えられる原因 コンテキスト実行スペース内で各コンテキストを保存しませんでした。コマンドラインでコンテキストを設定している場合、次のコンテキストに切り替える前に現在のコンテキストを保存しませんでした。

推奨処置 copy run start コマンドを使用して、コンテキスト実行スペース内で各コンテキストを保存します。システム実行スペースからはコンテキストを保存できません。

症状 ASA インターフェイスへの Telnet または SSH 接続を確立できません。

考えられる原因 ASAへの Telnet または SSH をイネーブルにしていません。

推奨処置 「ASDM、Telnet、または SSH の ASA アクセスの設定」に従って、ASAへの Telnet または SSH をイネーブルにします。

症状 ASA インターフェイスを ping できません。

考えられる原因 ASAへの ICMP をディセーブルにしています。

推奨処置 icmp コマンドを使用して、IP アドレス用にASAへの ICMP をイネーブルにします。

症状 アクセス リストで許可されていても、ASAを介して ping することができません。

考えられる原因 ICMP インスペクション エンジンをイネーブルにしていないか、入力インターフェイスと出力インターフェイスの両方でアクセス リストを適用していません。

推奨処置 ICMP はコネクションレス型プロトコルなので、ASAはトラフィックが戻ることを自動的には許可しません。応答トラフィックを許可するために、入力インターフェイスだけではなく出力インターフェイスにもアクセス リストを適用するか、あるいは ICMP 接続がステートフル接続として扱われるように ICMP インスペクション エンジンをイネーブルにします。

症状 同一セキュリティ レベルにある 2 つのインターフェイス間をトラフィックが通過しません。

考えられる原因 同一セキュリティ レベルにあるインターフェイス間をトラフィックが通過できるようにする機能をイネーブルにしていません。

推奨処置 「同じセキュリティ レベルの通信の許可」の説明に従って、この機能をイネーブルにします。

症状 スタンバイ デバイスへのフェールオーバー中に IPsec トンネルが二重化されません。

考えられる原因 ASAが接続されているスイッチ ポートが 1000 ではなく 10/100 に設定されています。

推奨処置 ASAが接続されているスイッチ ポートを 1000 に設定します。