ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
トラブルシューティング
トラブルシューティング
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

トラブルシューティング

コンフィギュレーションのテスト

のインターフェイスへの ping の実行

トラフィックの の通過

のコンフィギュレーションおよび動作の検証、および ping を使用したインターフェイスのテストの実行

インターフェイスからの ping の送信

インターフェイスへの ping の送信

のインターフェイスを通貨する ping

ping ツールのトラブルシューティング

ping ツールの使い方

トレースルートによるパケット ルーティングの決定

パケット トレーサによるパケットの追跡

TCP パケット損失への対応

その他のトラブルシューティング ツール

Packet Capture Wizard を使用したキャプチャの設定と実行

Ingress Traffic Selector

Egress Traffic Selector

バッファ

Summary

キャプチャの実行

キャプチャの保存

管理者によるクライアントレス SSL VPN ユーザへのアラート送信

内部ログ バッファをフラッシュ メモリに保存する

ASDM Java Console による記録されたエントリの参照とコピー

パフォーマンスのモニタリング

システム リソースのモニタリング

Blocks

CPU

メモリ

接続のモニタリング

プロセスごとの CPU 使用率のモニタリング

一般的な問題

その他のトラブルシューティング

トラブルシューティング

この章では、ASA のトラブルシューティングの方法について説明します。次の項目を取り上げます。

「コンフィギュレーションのテスト」

「その他のトラブルシューティング ツール」

「一般的な問題」

「その他のトラブルシューティング」

コンフィギュレーションのテスト

この項では、シングル モード ASAまたは各セキュリティ コンテキストの接続性のテスト方法、ASA インターフェイスを ping する方法、およびあるインターフェイスにあるホストが他のインターフェイスのホストに ping できるようにする方法について説明します。

この項は、次の内容で構成されています。

「ASA のインターフェイスへの ping の実行」

「トラフィックの ASA の通過」

「ASA のコンフィギュレーションおよび動作の検証、および ping を使用したインターフェイスのテストの実行」

「トレースルートによるパケット ルーティングの決定」

「パケット トレーサによるパケットの追跡」

ASA のインターフェイスへの ping の実行

ASA インターフェイスが起動して動作しているかどうか、およびASAと接続ルータが正しく動作しているかどうかをテストするには、ASA インターフェイスを ping します。ASA インターフェイスを ping するには、次の手順を実行します。


ステップ 1 インターフェイス名、セキュリティ レベル、および IP アドレスを示すシングル モードのASAまたはセキュリティ コンテキストの図を作成します。


) この手順では IP アドレスを使用しますが、ping コマンドでは、DNS 名および name コマンドを使用してローカル IP アドレスに割り当てられた名前もサポートされます。


図には、直接接続されたすべてのルータ、および ASA を ping するルータの反対側にあるホストも含める必要があります。この情報はこの手順と「トラフィックの ASA の通過」の手順で使用します。(図 80-1 を参照)。

図 80-1 インターフェイス、ルータ、およびホストを含むネットワーク図

 

ステップ 2 直接接続されたルータから各ASA インターフェイスを ping します。トランスペアレント モードでは、管理 IP アドレスを ping します。このテストは、ASA インターフェイスがアクティブであること、およびインターフェイス コンフィギュレーションが正しいことを確認します。

ASA インターフェイスがアクティブではない場合、インターフェイス コンフィギュレーションが正しくない場合、またはASAとルータの間でスイッチがダウンしている場合、ping は失敗する可能性があります(図 80-2 を参照)。この場合、パケットがASAに到達しないので、デバッグ メッセージや syslog メッセージは表示されません。

図 80-2 ASA のインターフェイスへの ping の失敗

 

ping がASAに到達し、応答があると、次のようなデバッグ メッセージが表示されます。

ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
 

ping 応答がルータに戻されない場合は、スイッチ ループまたは冗長 IP アドレスが存在する可能性があります(図 80-3 を参照)。

図 80-3 IP アドレッシングの問題による ping の失敗

 

ステップ 3 リモート ホストから各ASA インターフェイスを ping します。トランスペアレント モードでは、管理 IP アドレスを ping します。このテストは、直接接続されたルータがホストとASAの間でパケットをルーティングできるかどうか、およびASAがパケットを正確にルーティングしてホストに戻せるかどうかを確認します。

中間ルータを通ってホストに戻るルートがASAにない場合、ping は失敗する可能性があります(図 80-4 を参照)。この場合、デバッグ メッセージには ping が成功したことが示されますが、ルーティングの失敗を示す syslog メッセージ 110001 が表示されます。

図 80-4 セキュリティ アプライアンスに戻りルートがないことによる ping の失敗

 


 

トラフィックの ASA の通過

ASA インターフェイスを正常に ping した後で、トラフィックが ASA を正常に通過できることを確認します。ルーテッド モードでは、このテストによって、Network Address Translation(NAT; ネットワーク アドレス変換)が正しく動作していることが示されます(設定されている場合)。トランスペアレント モードでは、NAT は使用されないので、このテストではASAが正しく動作していることが確認されます。トランスペアレント モードで ping が失敗した場合は、Cisco TAC にお問い合わせください。

ASA のコンフィギュレーションおよび動作の検証、および ping を使用したインターフェイスのテストの実行

ping ツールは、ASAおよび関係する通信リンクのコンフィギュレーションおよび動作を検証する場合、また他のネットワーク デバイスをテストする場合に便利です。

この項は、次の内容で構成されています。

「ASA インターフェイスからの ping の送信」

「ASA インターフェイスへの ping の送信」

「ASA のインターフェイスを通貨する ping」

「ping ツールのトラブルシューティング」

「ping ツールの使い方」

ping が IP アドレスに送信されると、応答が返されます。このプロセスを使用して、ネットワーク デバイスは、相互に検出、識別、およびテストすることができます。

ping ツールでは、ICMP(RFC 777 および RFC 792 に記載)を使用して、2 つのネットワーク デバイス間でのエコー要求とエコー応答のトランザクションを定義します。エコー要求パケットは、ネットワーク デバイスの IP アドレスへ送信されます。受信側のデバイスは送信元と宛先のアドレスを逆にしてから、そのパケットをエコー応答として送り返します。

管理者は、次の方法で ASDM の ping インタラクティブ診断ツールを使用できます。

2 つのインターフェイス間のループバック テスト:同じ ASA で一方のインターフェイスから相手側のインターフェイスに ping を外部ループバック テストとして起動すると、双方のインターフェイスの基本的な「アップ」ステータスおよび動作を検証できます。

ASAへの ping 送信:ping ツールにより、別のASAのインターフェイスに ping を送信し、そのインターフェイスがアップしていて応答することを確認できます。

ASAを通過する ping 送信:ping ツールの送信 ping パケットがデバイスに到達する途中で、中間のASAを通過する場合があります。エコー パケットは、返されるときにそのインターフェイスを両方とも通過します。この手順によって、中間にある装置のインターフェイス、動作、応答時間についての基本的なテストができます。

ネットワーク デバイスの疑わしい動作をテストするための ping 送信:正常に機能していないと思われるネットワーク デバイスに対して、ASAのインターフェイスから ping を送信できます。インターフェイスが正しく設定されているにもかかわらずエコーを受信しない場合は、デバイスに問題があると考えられます。

中間の通信状態をテストする場合の ping 送信:正常に機能し、エコー要求を返すことがわかっているネットワーク デバイスに対して、ASAのインターフェイスから ping を送信できます。エコーを受信した場合、中間にあるデバイスがすべて正常に動作し、物理的に正しく接続されていることが確認されたことになります。

ASA インターフェイスからの ping の送信

インターフェイスの基本的なテストを行う場合は、正常に機能し、中間通信パスを経由して応答を返すことがわかっているネットワーク デバイスに対して、ASA のインターフェイスから ping 送信を開始できます。基本的なテストの場合は、次の手順を必ず実行してください。

「既知の正常な」デバイスが、ASA のインターフェイスから送信された ping を受信することを確認します。ping を受信しない場合は、送信ハードウェアまたはインターフェイスのコンフィギュレーションに問題がある可能性があります。

ASA のインターフェイスが正しく設定されているにもかかわらず、「既知の正常な」デバイスからエコー応答を受信しない場合は、インターフェイス ハードウェアの受信機能に問題があると考えられます。「既知の正常な」受信機能を持つ別のインターフェイスで、同じ「既知の正常な」デバイスに対して ping を送信してエコーを受信できる場合、最初のインターフェイスのハードウェアの受信機能に問題があると確認されたことになります。

ASA インターフェイスへの ping の送信

ASA のインターフェイスに ping を送信しようとする場合は、[Tools] > [Ping] の順に選択して、そのインターフェイスで ping 応答(ICMP エコー応答 がイネーブルになっていることを確認してください。ping 機能がディセーブルになっていると、ASA は他のデバイスやソフトウェア アプリケーションから検出されず、ASDM の ping ツールに応答しません。

ASA のインターフェイスを通貨する ping

「既知の正常な」送信元からの他のタイプのネットワーク トラフィックが ASA を通過していることを確認するには、[Monitoring] > [Interfaces] > [Interface Graphs] または SNMP 管理ステーションを選択します。

内部ホストから外部ホストへの ping 送信をイネーブルにするには、[Configuration] > [Firewall] > [Objects] > [IP Names] の順に選択して、内部および外部インターフェイスの両方の ICMP アクセスを正しく設定します。

ping ツールのトラブルシューティング

ping を送信してエコーを受信しない場合は、ASA のコンフィギュレーションまたは動作にエラーがあることも原因として考えられます。必ずしも ping を送信した IP アドレスから応答がないことが原因であるとは限りません。ping ツールを使用して、ASAのインターフェイスから、インターフェイスに、またはインターフェイスを通過させて ping を送信する前に、次の基本的な確認を行ってください。

インターフェイスが設定されていることを確認します。[Configuration] > [Device Setup] > [Interfaces] を選択します。

スイッチやルータなど通信パスの中間デバイスで、他のタイプのネットワーク トラフィックが正常に配信されていることを確認します。

「既知の正常な」送信元からの他のタイプのトラフィックが通過することを確認します。[Monitoring] > [Interfaces] > [Interface Graphs] を選択します。

ping ツールの使い方

ping ツールを使用するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [Ping] の順に選択します。

[Ping] ダイアログボックスが表示されます。

ステップ 2 [IP Address] フィールドに、ICMP エコー要求パケットの宛先 IP アドレスを入力します。

ping は、IPv6 アドレスでも実行できます。


) [Configuration] > [Firewall] > [Objects] > [IP Names] ペインでホスト名が割り当てられている場合は、IP アドレスの代わりにホスト名を使用できます。


ステップ 3 (任意)ドロップダウン リストから、エコー要求パケットを送信するASAのインターフェイスを選択します。指定しない場合、ASAはルーティング テーブルを調べ、宛先アドレスを見つけて必要なインターフェイスを使用します。

ステップ 4 [Ping] をクリックして、指定したインターフェイスまたはデフォルトのインターフェイスから、指定した IP アドレスに ICMP エコー要求パケットを送信し、応答タイマーを開始します。

応答は [Ping Output] 領域に表示されます。IP アドレスへの ping は 3 回送信され、結果は次のフィールドに表示されます。

ping が送信されたデバイスの IP アドレスまたはデバイス名(設定されている場合)。ホストやネットワークに割り当てたデバイス名は、結果が「NO response」でも表示される場合があります。

ping が送信されると、指定した最大値つまりタイムアウト値でミリ秒タイマーが作動します。このタイマーは、異なるルートやアクティビティ レベルの相対応答時間をテストするのに便利です。

ping の実行結果の例:

Sending 5, 100-byte ICMP Echos to out-pc, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

ping が失敗した場合、実行結果は次のようになります。

Sending 5, 100-byte ICMP Echos to 10.132.80.101, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)
 

ステップ 5 新しい IP アドレスを入力するには、[Clear Screen] をクリックして、[Ping output] 領域から前の応答を削除します。


 

トレースルートによるパケット ルーティングの決定

Traceroute ツールにより、パケットが宛先に到着するまでのルートを判断できます。このツールは、送信される各プローブの結果を出力します。出力の各行が 1 つの TTL 値に対応します(昇順)。次の表に、このツールによって出力される記号の一覧を示します。

 

出力記号
説明

*

タイムアウトの期間内にプローブへの応答を受信しませんでした。

nn msec

各ノードで、指定した数のプローブのラウンドトリップにかかる時間(ミリ秒)。

!N.

ICMP ネットワークに到達できません。

!H

ICMP ホストに到達できません。

!P

ICMP に到達できません。

!A

ICMP が設定によって禁止されています。

?

ICMP の原因不明のエラーが発生しました。

Traceroute ツールを使用するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [Traceroute] の順に選択します。

[Traceroute] ダイアログボックスが表示されます。

ステップ 2 ルート トレースの対象となるホストの名前を入力します。ホスト名が指定されている場合は、[Configuration] > [Firewall] > [Objects] > [IP Names] の順に選択して名前を定義するか、またはこのツールをイネーブルにするように DNS サーバを設定して、ホスト名を IP アドレスに解決します。

ステップ 3 応答を待機しているときの接続タイムアウト時間を秒単位で入力します。デフォルトは 3 秒です。

ステップ 4 UDP プローブ メッセージで使用される宛先ポートを入力します。デフォルトは 33434 です。

ステップ 5 各 TTL レベルで送信されるプローブ数を入力します。デフォルトは 3 です。

ステップ 6 最初のプローブの最小および最大 TTL 値を指定します。デフォルトの最小値は 1 です。値を大きくすると、始めに表示される既知のホップが少なくなります。デフォルトの最大値は 30 です。トレースルートは、パケットが宛先に到達するか、または最大値に達すると終了します。

ステップ 7 [Specify source interface or IP address] チェックボックスをオンにします。ドロップダウン リストから、パケット トレースの送信元インターフェイスまたは IP アドレスを選択します。この IP アドレスはいずれかのインターフェイスの IP アドレスにする必要があります。トランスペアレント モードの場合は、ASAの管理 IP アドレスにする必要があります。

ステップ 8 名前解決が設定されている場合、使用されたホップ名を出力結果に表示するには、[Reverse Resolve] チェックボックスをオンにします。出力結果に IP アドレスを表示するには、このチェックボックスをオフにします。

ステップ 9 UDP プローブ パケットの代わりに ICMP プローブ パケットを使用するよう指定するには、[Use ICMP] チェックボックスをオンにします。

ステップ 10 [Trace Route] をクリックしてトレースルートを開始します。

[Traceroute Output] 領域に、トレースルートの結果についての詳細なメッセージが表示されます。

ステップ 11 [Clear Output] をクリックして新しいトレースルートを開始します。


 

パケット トレーサによるパケットの追跡

パケット トレーサ ツールは、パケット スニフィングとネットワーク障害箇所特定のためのパケット追跡を実現するとともに、パケットに関する詳細情報とASAによるパケットの処理方法を示します。コンフィギュレーション コマンドが原因でパケットがドロップしたのではない場合、パケット トレーサ ツールにより、原因に関する詳細な情報が読みやすい形式で表示されます。

また、パケットが正しく動作しているかどうかを確認するために、パケット トレーサ ツールを使用して、ASAを通過するパケットのライフスパンをトレースできます。このツールを使用して、次のことを行えます。

ネットワーク内にドロップするすべてのパケットをデバッグする。

コンフィギュレーションが意図したとおりに機能しているかを確認する。

パケットに適用可能なすべてのルール、およびルールが追加される原因となった CLI コマンドを表示する。

データ パス内でのパケット変化を時系列で表示する。

データ パスにトレーサ パケットを挿入する。

ユーザ アイデンティティおよび FQDN に基づいて IPv4 アドレスまたは IPv6 アドレスを検索する。

パケット トレーサを開くには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、 [Tools] > [Packet Tracer] の順に選択します。

[Cisco ASDM Packet Tracer] ダイアログボックスが表示されます。

ステップ 2 ドロップダウン リストからパケット トレースの送信元インターフェイスを選択します。

ステップ 3 パケット トレースのプロトコル タイプを指定します。指定できるプロトコル タイプは、ICMP、IP、TCP、および UDP です。

ステップ 4 [Source IP Address] フィールドにパケット トレースの送信元 IP アドレスを入力します。

ステップ 5 TCP および UDP の場合のみ、ドロップダウン リストから、パケット トレースの送信元ポートを選択します。

ステップ 6 [Destination IP Address] フィールドに、パケット トレースの宛先 IP アドレスを入力します。

ステップ 7 TCP および UDP の場合のみ、ドロップダウン リストから、パケット トレースの宛先ポートを選択します。

ステップ 8 ICMP の場合のみ、[Type] ドロップダウン リストから、パケット トレースのタイプを選択します。次に、該当するフィールドにトレース コードとトレース ID を入力します。

ステップ 9 IP の場合のみ、[Protocol] フィールドにプロトコル番号を入力します。有効値の範囲は 0 ~ 255 です。

ステップ 10 [Start] をクリックして、パケットをトレースします。

[Information Display Area] に、パケット トレースの結果に関する詳細情報が表示されます。


) パケット トレースをグラフィカルに表現するには、[Show animation] チェックボックスをオンにします。


ステップ 11 [Clear] をクリックして新しいパケット トレースを開始します。


 

TCP パケット損失への対応

TCP パケット損失のトラブルシューティングの詳細については、「TCP マップを使用した TCP ノーマライザのカスタマイズ」を参照してください。

 

その他のトラブルシューティング ツール

ASAには、使用できるその他のトラブルシューティング ツールがあります。この項は、次の内容で構成されています。

「Packet Capture Wizard を使用したキャプチャの設定と実行」

「管理者によるクライアントレス SSL VPN ユーザへのアラート送信」

「内部ログ バッファをフラッシュ メモリに保存する」

「ASDM Java Console による記録されたエントリの参照とコピー」

「パフォーマンスのモニタリング」

「システム リソースのモニタリング」

「接続のモニタリング」

「プロセスごとの CPU 使用率のモニタリング」

Packet Capture Wizard を使用したキャプチャの設定と実行

Packet Capture Wizard を使用して、エラーのトラブルシューティングを行う場合のキャプチャを設定および実行できます。キャプチャでは、アクセス リストを使用して、送信元と宛先のアドレスとポート、および 1 つ以上のインターフェイスにキャプチャされるトラフィックのタイプを制限できます。このウィザードは、入出力インターフェイスのそれぞれでキャプチャを 1 回実行します。キャプチャしたパケットは、PC に保存してパケット アナライザで分析できます。


) このツールは、クライアントレス SSL VPN キャプチャをサポートしていません。


キャプチャを設定および実行するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Wizards] > [Packet Capture Wizard] の順に選択します。

[Overview of Packet Capture] 画面には、ウィザードを完了するまでに行うタスクの一覧が表示されます。

ステップ 2 [Next] をクリックして [Ingress Traffic Selector] 画面を表示します。

ステップ 3 ドロップダウン リストから入力インターフェイスを選択します。

ステップ 4 [Packet Match Criteria] 領域で、次のいずれかの操作を実行します。

パケット一致で使用するアクセス リストを指定するには、[Specify access-list] オプション ボタンをクリックし、[Select access list] ドロップダウン リストからアクセス リストを選択します。現在のドロップダウン リストに、事前に設定されているアクセス リストを追加するには、[Manage] をクリックして [ACL Manager] ペインを表示します。アクセス リストを選択して、[OK] をクリックします。

パケット パラメータを指定するには、[Specify Packet Parameters] オプション ボタンをクリックします。

ステップ 5 [Next] をクリックして [Ingress Traffic Selector] 画面を表示します。詳細については、「Ingress Traffic Selector」を参照してください。

ステップ 6 送信元ホストの IP アドレスを入力し、ドロップダウン リストからネットワーク IP アドレスを選択します。

ステップ 7 宛先ホストの IP アドレスを入力し、ドロップダウン リストからネットワーク IP アドレスを選択します。

ステップ 8 キャプチャするプロトコル タイプをドロップダウン リストから選択します。指定できるキャプチャのプロトコル タイプは、ah、eigrp、esp、gre、icmp、icmp6、igmp、igrp、ip、ipinip、nos、ospf、pcp、pim、snp、tcp、または udp です。

ステップ 9 [Next] をクリックして、[Egress Traffic Selector] 画面を表示します。詳細については、「Egress Traffic Selector」を参照してください。

ステップ 10 ドロップダウン リストから出力インターフェイスを選択します。

ステップ 11 送信元ホストの IP アドレスを入力し、ドロップダウン リストからネットワーク IP アドレスを選択します。

ステップ 12 宛先ホストの IP アドレスを入力し、ドロップダウン リストからネットワーク IP アドレスを選択します。


) 送信元ポートのサービス、宛先ポートのサービスおよび ICMP タイプは読み取り専用であり、[Ingress Traffic Selector] 画面での選択に基づきます。


ステップ 13 [Next] をクリックして [Buffers & Captures] 画面を表示します。詳細については、「バッファ」を参照してください。

ステップ 14 [Capture Parameters] 領域で、10 秒ごとに最新のキャプチャを自動的に保持するには、[Get capture every 10 seconds] チェックボックスをオンにします。デフォルトでは、このキャプチャは循環バッファを使用します。

ステップ 15 [Buffer Parameters] 領域で、バッファ サイズとパケット サイズを指定します。バッファ サイズは、キャプチャがパケットを保存するために使用可能なメモリの最大容量です。パケット サイズは、キャプチャが保持できる最長のパケットです。できる限り多くの情報をキャプチャするため、最長パケット サイズを使用することを推奨します。

a. パケット サイズを入力します。有効なサイズ範囲は 14 ~ 1522 バイトです。

b. バッファ サイズを入力します。有効なサイズ範囲は 1534 ~ 33554432 バイトです。

c. キャプチャされたパケットを保存するには、[Use circular buffer] チェックボックスをオンにします。


) この設定を選択すると、すべてのバッファ ストレージが使用されている場合、キャプチャは最も古いパケットへの上書きを始めます。


ステップ 16 [Next] をクリックして [Summary] 画面を表示します。画面に、入力したトラフィック セレクタとバッファ パラメータが表示されます。詳細については、「Summary」を参照してください。

ステップ 17 [Next] をクリックして [Run Captures] 画面を表示し、次に [Start] をクリックしてパケットのキャプチャを開始します。[Stop] をクリックしてキャプチャを終了します。詳細については、「キャプチャの実行」を参照してください。

ステップ 18 残りのバッファ スペースを確認するには、[Get Capture Buffer] をクリックします。現在のパケットの内容を削除して、バッファに別のパケットをキャプチャするスペースを確保するには、[Clear Buffer on Device] をクリックします。

ステップ 19 [Save captures] をクリックして、[Save Capture] ダイアログボックスを表示します。キャプチャしたパケットに含める形式として、[ASCII] または [PCAP] を選択します。入力キャプチャ、出力キャプチャ、またはその両方を保存するオプションを選択できます。

ステップ 20 入力パケット キャプチャを保存するには、[Save Ingress Capture] をクリックして [Save capture file] ダイアログボックスを表示します。PC 上でのストレージの場所を指定し、[Save] をクリックします。

ステップ 21 [Launch Network Sniffer Application] をクリックして、[Tools] > [Preferences] で指定したパケット分析アプリケーションを起動し、入力キャプチャを分析します。

ステップ 22 出力パケット キャプチャを保存するには、[Save Egress Capture] をクリックして [Save capture file] ダイアログボックスを表示します。PC 上でのストレージの場所を指定し、[Save] をクリックします。

ステップ 23 [Launch Network Sniffer Application] をクリックして、[Tools] > [Preferences] で指定したパケット分析アプリケーションを起動し、出力キャプチャを分析します。

ステップ 24 [Close] をクリックし、次に [Finish] をクリックしてウィザードを終了します。


 

Ingress Traffic Selector

パケット キャプチャの入力インターフェイス、送信元と宛先のホストとネットワーク、およびプロトコルを設定するには、次の手順を実行します。


ステップ 1 入力インターフェイス名を入力します。

ステップ 2 入力送信元ホストおよびネットワークを入力します。

ステップ 3 入力宛先ホストおよびネットワークを入力します。

ステップ 4 キャプチャするプロトコル タイプを指定します。指定できるプロトコルは、ah、eigrp、esp、gre、icmp、icmp6、igmp、igrp、ip、ipinip、nos、ospf、pcp、pim、snp、tcp、または udp です。

a. ICMP にのみ ICMP タイプを入力します。指定できるタイプは、all、alternate address、conversion-error、echo、echo-reply、information-reply、information-request、mask-reply、mask-request、mobile-redirect、parameter-problem、redirect、router-advertisement、router-solicitation、source-quench、time-exceeded、timestamp-reply、timestamp-request、traceroute、または unreachable です。

b. TCP および UDP プロトコルだけの送信元および宛先ポートのサービスを指定します。指定できるオプションは次のとおりです。

すべてのサービスを含めるには、[All Services] を選択します。

サービス グループを含めるには、[Service Groups] を選択します。

特定のサービスを含めるには、aol、bgp、chargen、cifx、citrix-ica、ctiqbe、daytime、discard、domain、echo、exec、finger、ftp、ftp-data、gopher、h323、hostname、http、https、ident、imap4、irc、kerberos、klogin、kshell、ldap、ldaps、login、lotusnotes、lpd、netbios-ssn、nntp、pcanywhere-data、pim-auto-rp、pop2、pop3、pptp、rsh、rtsp、sip、smtp、sqlnet、ssh、sunrpc、tacacs、talk、telnet、uucp、または whois のいずれかを指定します。


 

Egress Traffic Selector

パケット キャプチャでの出力インターフェイス、送信元と宛先のホストとネットワーク、および送信元と宛先ポートのサービスを設定するには、次の手順を実行します。


ステップ 1 出力インターフェイス名を入力します。

ステップ 2 出力送信元ホストおよびネットワークを入力します。

ステップ 3 出力宛先ホストおよびネットワークを入力します。

入力設定時に選択したプロトコル タイプがすでにリストされています。


 

バッファ

パケット キャプチャのパケット サイズ、バッファ サイズ、および循環バッファを使用するかどうかを設定するには、次の手順を実行します。


ステップ 1 キャプチャが保持できる最長のパケットを入力します。できるだけ多くの情報をキャプチャするために、指定可能な最長サイズを使用してください。

ステップ 2 パケットを保存するためにキャプチャが使用できるメモリの最大容量を入力します。

ステップ 3 パケットの保存には循環バッファを使用します。循環バッファのバッファ ストレージがすべて使い尽くされると、キャプチャは最も古いパケットから上書きを始めます。


 

Summary

[Summary] 画面には、パケット キャプチャのトラフィック セレクタおよびバッファ パラメータが表示されます。

キャプチャの実行

キャプチャ セッションの開始および停止、キャプチャ バッファの表示、ネットワーク アナライザ アプリケーションの起動、パケット キャプチャの保存、およびバッファのクリアを行うには、次の手順を実行します。


ステップ 1 選択したインターフェイスでパケット キャプチャ セッションを開始するには、[Start] をクリックします。

ステップ 2 選択したインターフェイスでパケット キャプチャ セッションを停止するには、[Stop] をクリックします。

ステップ 3 インターフェイスでキャプチャされたパケットのスナップショットを取得するには、[Get Capture Buffer] をクリックします。

ステップ 4 入力インターフェイスでキャプチャ バッファを表示するには、[Ingress] をクリックします。

ステップ 5 出力インターフェイスでキャプチャ バッファを表示するには、[Egress] をクリックします。

ステップ 6 デバイスのバッファをクリアするには、[Clear Buffer on Device] をクリックします。

ステップ 7 入力キャプチャまたは出力キャプチャを分析する場合に、[Tools] > [Preferences] で指定したパケット分析アプリケーションを起動するには、[Launch Network Sniffer Application] をクリックします。

ステップ 8 入力キャプチャと出力キャプチャを ASCII または PCAP 形式で保存するには、[Save Captures] をクリックします。


 

キャプチャの保存

パケットをさらに分析するために、入力および出力パケット キャプチャを ASCII または PCAP ファイル形式で保存するには、次の手順を実行します。


ステップ 1 キャプチャ バッファを ASCII 形式で保存するには、[ASCII] をクリックします。

ステップ 2 キャプチャ バッファを PCAP 形式で保存するには、[PCAP] をクリックします。

ステップ 3 入力パケット キャプチャを保存するファイルを指定するには、[Save ingress capture] をクリックします。

ステップ 4 出力パケット キャプチャを保存するファイルを指定するには、[Save egress capture] をクリックします。


 

管理者によるクライアントレス SSL VPN ユーザへのアラート送信

クライアントレス SSL VPN ユーザにアラート メッセージ(接続ステータスに関するものなど)を送信するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [Administrator's Alert Message to Clientless SSL VPN Users] の順に選択します。

[Administrator's Alert Message to Clientless SSL VPN Users] ダイアログボックスが表示されます。

ステップ 2 送信する新規または編集済みのアラート内容を入力して、[Post Alert] をクリックします。

ステップ 3 現在のアラート内容を削除して新しいアラート内容を入力するには、[Cancel Alert] をクリックします。


 

内部ログ バッファをフラッシュ メモリに保存する

内部ログ バッファをフラッシュ メモリに保存するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[File] > [Save Internal Log Buffer to Flash] の順に選択します。

[Enter Log File Name] ダイアログボックスが表示されます。

ステップ 2 最初のオプションを選択し、LOG-YYYY-MM-DD-hhmmss.txt 形式のデフォルト ファイル名でログ バッファを保存します。

ステップ 3 2 番目のオプションを選択し、そのログ バッファのファイル名を指定します。

ステップ 4 ログ バッファのファイル名を入力して [OK] をクリックします。


 

ASDM Java Console による記録されたエントリの参照とコピー

ASDM Java コンソールを使用して、ASDM エラーのトラブルシューティングに役立つ、記録されたエントリをテキスト形式で表示およびコピーできます。

ASDM Java Console にアクセスするには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [ASDM Java Console] の順に選択します。

ステップ 2 仮想マシンのメモリ統計を表示するには、コンソールで m と入力します。

ステップ 3 ガーベージ コレクションを実行するには、コンソールで g と入力します。

ステップ 4 メモリの使用状況を監視するには、Windows Task Manager を開き asdm_launcher.exe ファイルをダブルクリックします。


) メモリ割り当ての最大値は 256 MB です。



 

パフォーマンスのモニタリング

ASA のパフォーマンス情報をグラフ形式または表形式で表示するには、次の手順を実行します。


ステップ 1 ASDM メイン ウィンドウで、[Monitoring] > [Properties] > [Connection] > [Graphs] > [Perfmon] の順に選択します。

ステップ 2 [Available Graphs] リストからエントリを 1 つ以上選択し、[Add] をクリックして、それらのエントリを [Selected Graphs] リストに移動します。エントリを [Selected Graphs] リストから削除するには、[Remove] をクリックします。使用可能なオプションは次のとおりです。

[AAA Perfmon]:ASAの AAA パフォーマンス情報を表示します。

[Inspection Perfmon]:ASAの検査パフォーマンス情報を表示します。

[Web Perfmon]:URL アクセスおよび URL サーバ要求などのASAの Web パフォーマンス情報を表示します。

[Connections Perfmon]:ASAの接続パフォーマンス情報を表示します。

[Xlate Perfmon]:ASAの NAT パフォーマンス情報を表示します。

1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。

ステップ 3 既存のウィンドウ タイトルを使用するには、ドロップダウン リストからいずれかを選択します。新しいウィンドウにグラフを表示するには、[Graph Window Title] フィールドに新しいウィンドウ タイトルを入力します。

ステップ 4 [Show Graphs] をクリックして、新しいグラフ ウィンドウまたは更新したグラフ ウィンドウにパフォーマンス統計情報を表示します。

ステップ 5 [Table] タブをクリックして、同じパフォーマンス統計情報を表形式で表示します。

ステップ 6 いずれかのタブ上の [View] ドロップダウン リストから、情報を更新して表示する期間を [Real-time, data every 10 sec]、[Last 10 minutes, data every 10 sec]、[Last 60 minutes, data every 1 min]、[Last 12 hours, data every 12 minutes]、または [Last 5 days, data every two hours] から選択します。

ステップ 7 (任意)[Export] をクリックして、[Export Graph Data] ダイアログボックスを表示します。エクスポートするよう選択されたパフォーマンス統計情報は、すでにオンになっています。

ステップ 8 (任意)[Export] を再度クリックして、[Save] ダイアログボックスを表示します。

ステップ 9 (任意)[Save] をクリックして、パフォーマンス統計情報をローカル ドライブ上のテキスト ファイル(.txt)に保存し、後で参照できるようにします。

ステップ 10 (任意)[Print] をクリックして、[Print Graph] ダイアログボックスを表示します。

ステップ 11 (任意)ドロップダウン リストからグラフまたはテーブル名を選択し、[Print] をクリックして、[Print] ダイアログボックスを表示します。

ステップ 12 (任意)[OK] をクリックして、選択したパフォーマンス統計情報を印刷します。


 

システム リソースのモニタリング

この項は、次の内容で構成されています。

「Blocks」

「CPU」

「メモリ」

Blocks

空きメモリ ブロックおよび使用中のメモリ ブロックを表示するには、次の手順を実行します。


ステップ 1 ASDM メイン ウィンドウで、[Monitoring] > [Properties] > [System Resources Graphs] > [Blocks] の順に選択します。

ステップ 2 [Available Graphs] リストからエントリを 1 つ以上選択し、[Add] をクリックして、それらのエントリを [Selected Graphs] リストに移動します。エントリを [Selected Graphs] リストから削除するには、[Remove] をクリックします。使用可能なオプションは次のとおりです。

[Blocks Used]:ASAで使用中のメモリ ブロックを表示します。

[Blocks Free]:ASAの空きメモリ ブロックを表示します。

1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。

ステップ 3 既存のウィンドウ タイトルを使用するには、ドロップダウン リストからいずれかを選択します。新しいウィンドウにグラフを表示するには、[Graph Window Title] フィールドに新しいウィンドウ タイトルを入力します。

ステップ 4 [Show Graphs] をクリックして、新しいグラフ ウィンドウまたは更新したグラフ ウィンドウにシステム リソース統計情報を表示します。

ステップ 5 [Table] タブをクリックして、同じパフォーマンス統計情報を表形式で表示します。

ステップ 6 いずれかのタブ上の [View] ドロップダウン リストから、情報を更新して表示する期間を [Real-time, data every 10 sec]、[Last 10 minutes, data every 10 sec]、[Last 60 minutes, data every 1 min]、[Last 12 hours, data every 12 minutes]、または [Last 5 days, data every two hours] から選択します。

ステップ 7 (任意)[Export] をクリックして、[Export Graph Data] ダイアログボックスを表示します。エクスポートするよう選択されたメモリ ブロック統計情報は、すでにオンになっています。

ステップ 8 (任意)[Export] を再度クリックして、[Save] ダイアログボックスを表示します。

ステップ 9 (任意)[Save] をクリックして、メモリ ブロック統計情報をローカル ドライブ上のテキスト ファイル(.txt)に保存し、後で参照できるようにします。

ステップ 10 (任意)[Print] をクリックして、[Print Graph] ダイアログボックスを表示します。

ステップ 11 (任意)ドロップダウン リストからグラフまたはテーブル名を選択し、[Print] をクリックして、[Print] ダイアログボックスを表示します。

ステップ 12 (任意)[OK] をクリックして、選択したメモリ ブロック統計情報を印刷します。


 

CPU

CPU 使用率を表示するには、次の手順を実行します。


ステップ 1 ASDM メイン ウィンドウで、[Monitoring] > [Properties] > [System Resources Graphs] > [CPU] の順に選択します。

ステップ 2 [Available Graphs] リストからエントリを 1 つ以上選択し、[Add] をクリックして、それらのエントリを [Selected Graphs] リストに移動します。エントリを [Selected Graphs] リストから削除するには、[Remove] をクリックします。

1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。

ステップ 3 既存のウィンドウ タイトルを使用するには、ドロップダウン リストからいずれかを選択します。新しいウィンドウにグラフを表示するには、[Graph Window Title] フィールドに新しいウィンドウ タイトルを入力します。

ステップ 4 [Show Graphs] をクリックして、新しいグラフ ウィンドウまたは更新したグラフ ウィンドウにシステム リソース統計情報を表示します。

ステップ 5 [Table] タブをクリックして、同じパフォーマンス統計情報を表形式で表示します。

ステップ 6 いずれかのタブ上の [View] ドロップダウン リストから、情報を更新して表示する期間を [Real-time, data every 10 sec]、[Last 10 minutes, data every 10 sec]、[Last 60 minutes, data every 1 min]、[Last 12 hours, data every 12 minutes]、または [Last 5 days, data every two hours] から選択します。

ステップ 7 (任意)[Export] をクリックして、[Export Graph Data] ダイアログボックスを表示します。エクスポートするよう選択された CPU 使用率統計情報は、すでにオンになっています。

ステップ 8 (任意)[Export] を再度クリックして、[Save] ダイアログボックスを表示します。

ステップ 9 (任意)[Save] をクリックして、CPU 使用率統計情報をローカル ドライブ上のテキスト ファイル(.txt)に保存し、後で参照できるようにします。

ステップ 10 (任意)[Print] をクリックして、[Print Graph] ダイアログボックスを表示します。

ステップ 11 (任意)ドロップダウン リストからグラフまたはテーブル名を選択し、[Print] をクリックして、[Print] ダイアログボックスを表示します。

ステップ 12 (任意)[OK] をクリックして、選択した CPU 使用率統計情報を印刷します。


 

メモリ

メモリ使用率を表示するには、次の手順を実行します。


ステップ 1 ASDM メイン ウィンドウで、[Monitoring] > [Properties] > [System Resources Graphs] > [Blocks] の順に選択します。

ステップ 2 [Available Graphs] リストからエントリを 1 つ以上選択し、[Add] をクリックして、それらのエントリを [Selected Graphs] リストに移動します。エントリを [Selected Graphs] リストから削除するには、[Remove] をクリックします。使用可能なオプションは次のとおりです。

[Free Memory]:ASAの空きメモリを表示します。

[Used Memory]:ASAの使用中のメモリを表示します。

1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。

ステップ 3 既存のウィンドウ タイトルを使用するには、ドロップダウン リストからいずれかを選択します。新しいウィンドウにグラフを表示するには、[Graph Window Title] フィールドに新しいウィンドウ タイトルを入力します。

ステップ 4 [Show Graphs] をクリックして、新しいグラフ ウィンドウまたは更新したグラフ ウィンドウにシステム リソース統計情報を表示します。

ステップ 5 [Table] タブをクリックして、同じパフォーマンス統計情報を表形式で表示します。

ステップ 6 いずれかのタブ上の [View] ドロップダウン リストから、情報を更新して表示する期間を [Real-time, data every 10 sec]、[Last 10 minutes, data every 10 sec]、[Last 60 minutes, data every 1 min]、[Last 12 hours, data every 12 minutes]、または [Last 5 days, data every two hours] から選択します。

ステップ 7 (任意)[Export] をクリックして、[Export Graph Data] ダイアログボックスを表示します。エクスポートするよう選択されたメモリ使用率統計情報は、すでにオンになっています。

ステップ 8 (任意)[Export] を再度クリックして、[Save] ダイアログボックスを表示します。

ステップ 9 (任意)[Save] をクリックして、メモリ使用率統計情報をローカル ドライブ上のテキスト ファイル(.txt)に保存し、後で参照できるようにします。

ステップ 10 (任意)[Print] をクリックして、[Print Graph] ダイアログボックスを表示します。

ステップ 11 (任意)ドロップダウン リストからグラフまたはテーブル名を選択し、[Print] をクリックして、[Print] ダイアログボックスを表示します。

ステップ 12 (任意)[OK] をクリックして、選択したメモリ使用率統計情報を印刷します。


 

接続のモニタリング

現在の接続を表形式で表示するには、ASDM メイン ウィンドウで、[Monitoring] > [Properties] > [Connections] の順に選択します。各接続は、次のパラメータにより識別されます。

プロトコル

送信元 IP アドレス

送信元ポート

宛先 IP アドレス

宛先ポート

最後にパケットが送信または受信されてからのアイドル時間

その接続で送信および受信されたトラフィックの量

プロセスごとの CPU 使用率のモニタリング

CPU で実行されているプロセスをモニタできます。特定のプロセスで使用される CPU の使用率に関する情報を取得できます。CPU 使用率の統計情報は降順で並べられ、使用率の最も高いプロセスが先頭に表示されます。また、プロセスごとの CPU に対する負荷に関する情報(記録時間の 5 秒前、1 分前、および 5 分前の情報)も含まれています。この情報は 5 秒おきに自動的に更新され、リアルタイムの統計情報が表示されます。ASDM では、30 秒おきに更新されます。

CPU 使用率をプロセスごとに表示するには、次の手順を実行します。


ステップ 1 ASDM メイン ウィンドウで、[Monitoring] > [Properties] > [Per-Process CPU Usage] の順に選択します。

ステップ 2 画面の自動リフレッシュを停止するには、[Stop auto-refresh] をクリックします。

ステップ 3 画面上の情報をローカルのテキスト ファイルに保存するには、[Save log to local file] をクリックします。

[Save] ダイアログボックスが表示されます。

ステップ 4 テキスト ファイルの名前を入力し、[Save] をクリックします。

CPU 使用率の範囲に応じてプロセスを色分けするには、[Configure CPU usage] をクリックします。

[Color Settings] ダイアログボックスが表示されます。

ステップ 5 範囲のオプション(49% 以下、50 ~ 79%、および 80% 以上)の中からいずれかを選択します。

ステップ 6 前景または背景のセルをクリックして [Pick a Color] ダイアログボックスを表示し、指定した範囲の前景色および背景色を選択します。

ステップ 7 [Swatches]、[HSB]、または [RGB] のいずれかのタブをクリックして、カラー パレットを選択します。 完了したら、[OK] をクリックします。

ステップ 8 [OK] をクリックすると、色分けされたエントリが表示されます。

ステップ 9 [Refresh] をクリックすると、いつでも手動でデータをリフレッシュできます。


 

一般的な問題

この項では、ASAの一般的な問題とそれらを解決する方法について説明します。

症状 コンテキスト コンフィギュレーションが保存されておらず、リロード時に失われました。

考えられる原因 コンテキスト実行スペース内で各コンテキストを保存しませんでした。コマンドラインでコンテキストを設定している場合、次のコンテキストに切り替える前に現在のコンテキストを保存しませんでした。

推奨処置 copy run start コマンドを使用して、コンテキスト実行スペース内で各コンテキストを保存します。スタートアップ コンフィギュレーションをアクティブ コンフィギュレーションとしてロードします。パスワードを変更し、copy run start コマンドを入力します。システム実行スペースからはコンテキストを保存できません。

症状 ASA インターフェイスへの Telnet または SSH 接続を確立できません。

考えられる原因 ASAへの Telnet または SSH をイネーブルにしていません。

推奨処置 「ASDM、Telnet、または SSH の ASA アクセスの設定」の説明に従って、ASA への Telnet または SSH をイネーブルにします。

症状 ASA インターフェイスを ping できません。

考えられる原因 ASAへの ICMP をディセーブルにしています。

推奨処置 icmp コマンドを使用して、IP アドレス用にASAへの ICMP をイネーブルにします。

症状 アクセス リストで許可されていても、ASAを介して ping することができません。

考えられる原因 ICMP インスペクション エンジンをイネーブルにしていないか、入力インターフェイスと出力インターフェイスの両方でアクセス リストを適用していません。

推奨処置 ICMP はコネクションレス型プロトコルなので、ASAはトラフィックが戻ることを自動的には許可しません。応答トラフィックを許可するために、入力インターフェイスだけではなく出力インターフェイスにもアクセス リストを適用するか、あるいは ICMP 接続がステートフル接続として扱われるように ICMP インスペクション エンジンをイネーブルにします。

症状 同一セキュリティ レベルにある 2 つのインターフェイス間をトラフィックが通過しません。

考えられる原因 同一セキュリティ レベルにあるインターフェイス間をトラフィックが通過できるようにする機能をイネーブルにしていません。

推奨処置 「同じセキュリティ レベルの通信の許可」の説明に従って、この機能をイネーブルにします。

症状 スタンバイ デバイスへのフェールオーバー中に IPsec トンネルが二重化されません。

考えられる原因 ASAが接続されているスイッチ ポートが 1000 ではなく 10/100 に設定されています。

推奨処置 ASAが接続されているスイッチ ポートを 1000 に設定します。

その他のトラブルシューティング

ここでは、ASA のトラブルシューティングに関する追加情報について説明します。

最大コンフィギュレーション サイズ:ASDM では、512 KB の最大コンフィギュレーション サイズをサポートします。このサイズを超えると、パフォーマンスの問題が生じることがあります。たとえば、コンフィギュレーションのロード時には、完了したコンフィギュレーションの割合がステータス ダイアログに表示されます。このとき、サイズの大きいコンフィギュレーションでは、ASDM によってまだコンフィギュレーションの処理が行われていても、完了した割合の増分が停止し、操作が中断されているように見えます。このような状況が発生した場合は、ASDM システム ヒープ メモリの増大を検討することを推奨します。

ASDM ヒープ メモリ サイズを増大するには、次の手順を実行してランチャのショートカットを変更します。


ステップ 1 ASDM-IDM ランチャのショートカットを右クリックし、[Properties] を選択します。

ステップ 2 [Shortcut] タブを選択します。

ステップ 3 [Target] フィールドで、「-Xmx」のプレフィックスが付いた引数を変更し、目的のヒープ サイズを指定します。たとえば、768 MB の場合は -Xmx768m に変更し、1 GB の場合は -Xmx1g に変更します。このパラメータの詳細については、http://docs.oracle.com/javase/1.5.0/docs/tooldocs/windows/java.html で Oracle の資料を参照してください。