Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module システム メッセージ ガイド Version 3.1
システム ログ メッセージ
システム ログ メッセージ
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

システム ログ メッセージ

メッセージ 101001 ~ 199009

101001

101002

101003、101004

101005

102001

103001

103002

103003

103004

103005

104001、104002

104003

104004

105001

105002

105003

105004

105005

105006、105007

105008

105009

105010

105011

105020

105021

105031

105032

105034

105035

105036

105037

105038

105039

105040

105042

105043

105044

105045

105046

105047

106001

106002

106006

106007

106010

106011

106012

106013

106014

106015

106016

106017

106018

106020

106021

106022

106023

106024

106025、106026

106027

106100

106101

107001

107002

108002

108003

109001

109002

109003

109005

109006

109007

109008

109010

109011

109012

109013

109014

109016

109017

109018

109019

109020

109021

109022

109023

109024

109025

109026

109027

109028

109030

109031

111003

111004

111005

111007

111008

111009

111111

112001

113001

113003

113004

113005

113006

113007

113008

113009

113010

113011

113012

113013

113014

113015

113016

113017

113018

113019

199001

199002

199003

199005

199006

199907

199908

199909

メッセージ 201002 ~ 217001

201002

201003

201004

201005

201006

201008

201009

201010

202001

202005

202011

208005

209003

209004

209005

210001

210002

210003

210005

210006

210007

210008

210010

210020

210021

210022

211001

211003

212001

212002

212003

212004

212005

212006

214001

215001

217001

メッセージ 302003 ~ 326028

302003

302004

302009

302010

302012

302013

302014

302015

302016

302017

302018

302019

302020

302021

302022

302023

302302

303002

303003

303004

304001

304002

304003

304004

304005

304006

304007

304008

304009

305005

305006

305007

305008

305009

305010

305011

305012

308001

308002

311001

311002

311003

311004

312001

313001

313003

313004

314001

315004

315011

316001

317001

317002

317003

317004

317005

318001

318002

318003

318004

318005

318006

318007

318008

319001

319002

319003

319004

320001

321001

321002

321003

321004

322001

322002

322003

322004

323004

323005

324000

324001

324002

324003

324004

324005

324006

324007

325001

325002

326001

326002

326004

326005

326006

326007

326008

326009

326010

326011

326012

326013

326014

326015

326016

326017

326019

326020

326021

326022

326023

326024

326025

326026

326027

326028

メッセージ 400000 ~ 418001

402101

402102

402103

402106

404101

404102

405001

405101

405002

405101

405102

405103

405104

405105

405201

406001

406002

407001

407002

407003

408001

408002

409001

409002

409003

409004

409005

409006

409007

409008

409009

409010

409011

409012

409013

409023

410001

411001

411002

411003

411004

412001

412002

413001

413002

413003

413004

414001

414002

416001

417001

417004

417006

418001

419001

420001

メッセージ 500001 ~ 507001

500001

500002

500003

500004

501101

502101

502102

502103

502111

502112

503001

504001

504002

505001

505002

505003

505004

505005

505006

505007

506001

507001

メッセージ 602101 ~ 609002

602101

602102

602201

602202

602203

602301

602302

602303

602304

604101

604102

604103

604104

606001

606002

606003

606004

607001

608001

609001

609002

610001

610002

610101

612001

612002

612003

613001

613002

613003

614001

614002

615001

615002

616001

617001

617002

617003

617004

620001

620002

621001

621002

621003

621006

621007

メッセージ 701001 ~ 720073

701001

701002

702201

702202

702203

702204

702205

702206

702207

702208

702209

702210

702211

702212

702301

702302

702303

703001

703002

709001、709002

709003

709004

709005

709006

709007

710001

710002

710003

710004

710005

710006

711001

711002

713004

713006

713008

713009

713010

713012

713014

713016

713017

713018

713020

713022

713024

713025

713026

713027

713028

713029

713030

713031

713032

713033

713034

713035

713036

713037

713039

713040

713041

713042

713043

713047

713048

713049

713050

713051

713052

713056

713059

713060

713061

713062

713063

713065

713066

713068

713072

713073

713074

713075

713076

713078

713081

713082

713083

713084

713085

713086

713088

713092

713094

713098

713099

713102

713103

713104

713105

713107

713109

713112

713113

713114

713115

713116

713117

713118

713119

713120

713121

713122

713123

713124

713127

713128

713129

713130

713131

713132

713133

713134

713135

713136

713137

713138

713139

713140

713141

713142

713143

713144

713145

713146

713147

713148

713149

713152

713154

713155

713156

713157

713158

713159

713160

713161

713162

713163

713164

713165

713166

713167

713168

713169

713170

713171

713172

713174

713176

713177

713178

713179

713182

713184

713185

713186

713187

713189

713190

713193

713194

713195

713196

713197

713198

713199

713203

713204

713205

713206

713208

713209

713210

713211

713212

713213

713214

713215

713216

713217

713218

713219

713220

713221

713222

713223

713224

713225

713226

713229

713236

713229

713900

713901

713902

713903

713904

713905

713906

714001

714002

714003

714004

714005

714006

714007

714011

715001

715004

715005

715006

715007

715008

715009

715013

715019

715020

715021

715022

715027

715028

715033

715034

715035

715036

715037

715038

715039

715040

715041

715042

715044

715045

715046

715047

715048

715049

715050

715051

715052

715053

715054

715055

715056

715057

715058

715059

715060

715061

715062

715063

715064

715065

715066

715067

715068

715069

715070

715071

715072

715074

715075

715076

715077

717001

717002

717003

717004

717005

717006

717007

717008

717009

717010

717011

717012

717013

717014

717015

717016

717017

717018

717019

717022

717025

717028

717029

718001

718002

718003

718004

718005

718006

718007

718008

718009

718010

718011

718012

718013

718014

718015

718016

718017

718018

718019

718020

718021

718022

718023

718024

718025

718026

718027

718028

718029

718030

718031

718032

718033

718034

718035

718036

718037

718038

718039

718040

718041

718042

718043

718044

718045

718046

718047

718048

718049

718050

718051

718052

718053

718054

718055

718056

718057

718058

718059

718060

718061

718062

718063

718064

718065

718066

718067

718068

718069

718070

718071

718072

718073

718074

718075

718076

718077

718078

718079

718080

718081

718084

718085

718086

718087

718088

719001

719002

719003

719004

719005

719006

719007

719008

719009

719010

719011

719012

719013

719014

719015

719016

719025

719026

720001

720002

720003

720004

720005

720006

720007

720008

720009

720010

720011

720012

720013

720014

720015

720016

720017

720018

720019

720020

720021

720022

720023

720024

720025

720026

720027

720028

720029

720030

720031

720032

720033

720034

720035

720036

720037

720038

720039

720040

720041

720042

720043

720044

720045

720046

720047

720048

720049

720050

720051

720052

720053

720054

720055

720056

720057

720058

720059

720060

720061

720062

720063

720064

720065

720066

720067

720068

720069

720070

720071

720072

720073

システム ログ メッセージ

この章では、FWSM のシステム ログ メッセージを示します。メッセージ コードの番号順に各メッセージを示します。


) このマニュアルに記載されているメッセージは、ソフトウェアの Version 3.1 以降に該当します。番号が順序から抜けている場合、そのメッセージはセキュリティ アプライアンス コードから除外されています。


この章の内容は、次のとおりです。

メッセージ 101001 ~ 199009(p.2-2)

メッセージ 201002 ~ 217001(p.2-35)

メッセージ 302003 ~ 326028(p.2-45)

メッセージ 400000 ~ 418001(p.2-76)

メッセージ 500001 ~ 507001(p.2-90)

メッセージ 602101 ~ 609002(p.2-95)

メッセージ 701001 ~ 720073(p.2-106)

メッセージ 101001 ~ 199009

ここでは、メッセージ 101001 ~ 199009 を示します。

101001

エラー メッセージ %FWSM-1-101001: (Primary) Failover cable OK.

説明 フェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが存在し、正常に機能していることを表します。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

101002

エラー メッセージ %FWSM-1-101002: (Primary) Bad failover cable.

説明 フェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが存在していても、正常に機能していないことを表します。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 フェールオーバー ケーブルを交換してください。

101003、101004

エラー メッセージ %FWSM-1-101003: (Primary) Failover cable not connected (this unit). エラー メッセージ %FWSM-1-101004: (Primary) Failover cable not connected (other unit).

説明 両方ともフェールオーバー メッセージです。これらのメッセージは、フェールオーバー モードがイネーブルであるにも関わらず、フェールオーバー ペアのいずれかの装置でフェールオーバー ケーブルが接続されていない場合に記録されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 フェールオーバー ペアの両方の装置で、フェールオーバー ケーブルを接続してください。

101005

エラー メッセージ %FWSM-1-101005: (Primary) Error reading failover cable status.

説明 フェールオーバー メッセージです。フェールオーバー ケーブルが接続されていても、プライマリ装置がケーブルのステータスを判別できない場合に表示されます。

推奨処置 ケーブルを交換してください。

102001

エラー メッセージ %FWSM-1-102001: (Primary) Power failure/System reload other side.

説明 フェールオーバー メッセージです。このメッセージは、プライマリ装置がもう一方の装置でシステム リロードまたは電源障害を検出した場合に記録されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 リロードが実行された装置で show crashinfo コマンドを発行し、リロードに関連するトレースバックがあるかどうかを確認します。さらに、装置に電源が投入され、電源コードが正しく接続されているかどうかを確認してください。

103001

エラー メッセージ %FWSM-1-103001: (Primary) No response from other firewall (reason code = code).

説明 フェールオーバー メッセージです。プライマリ装置がフェールオーバー ケーブルを介してセカンダリ装置と通信できないときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。 表2-1 に、フェールオーバーが発生した理由を表す理由コードを示します。

 

表2-1 理由コード

理由コード
説明

1

フェールオーバー hello が 30 秒以上、検出されていません。フェールオーバー hello は、他方の Cisco ASA 装置上でフェールオーバーが正常に動作していることを示します。

2

インターフェイスが 4 つのフェールオーバー テストのいずれかに失敗しました。4 つのテストとは、1)リンク アップ、2)ネットワーク トラフィックのモニタ、3)ARP テスト、4)ブロードキャスト ping テストです。

3

シリアル ケーブルを介してコマンドが送信されたあと 15 秒以上が経過し、適正な ACK が検出されません。

推奨処置 フェールオーバー ケーブルが正しく接続されていて、両方の装置が同じハードウェア、ソフトウェア、およびコンフィギュレーションを使用していることを確認してください。問題が解決できない場合は、TAC に連絡してください。

103002

エラー メッセージ %FWSM-1-103002: (Primary) Other firewall network interface interface_number OK.

説明 フェールオーバー メッセージです。このメッセージは、プライマリ装置がセカンダリ装置のネットワーク インターフェイスが正常であることを検出した場合に表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。考えられる interface_number 変数の値については、 FWSM のログと SNMP の設定 表1-4 を参照してください。

推奨処置 対処は不要です。

103003

エラー メッセージ %FWSM-1-103003: (Primary) Other firewall network interface interface_number failed.

説明 フェールオーバー メッセージです。プライマリ装置が、セカンダリ装置上に不正なネットワーク インターフェイスを検出したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 セカンダリ装置上のネットワーク接続、およびネットワークのハブ接続を確認してください。必要に応じて、障害のあるネットワーク インターフェイスを交換してください。

103004

エラー メッセージ %FWSM-1-103004: (Primary) Other firewall reports this firewall failed.

説明 フェールオーバー メッセージです。プライマリ装置が、セカンダリ装置から、プライマリの障害を示すメッセージを受信したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 プライマリ装置のステータスを確認してください。

103005

エラー メッセージ %FWSM-1-103005: (Primary) Other firewall reporting failure.

説明 フェールオーバー メッセージです。セカンダリ装置が、プライマリ装置に対して障害を報告したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 セカンダリ装置のステータスを確認してください。

104001、104002

エラー メッセージ %FWSM-1-104001: (Primary) Switching to ACTIVE (cause: string ). エラー メッセージ %FWSM-1-104002: (Primary) Switching to STNDBY (cause: string ).

説明 両方ともフェールオーバー メッセージです。スタンバイ装置上で failover active コマンドを入力するか、アクティブ装置上で no failover active コマンドを入力することによって、これら 2 つの装置の役割を強制的に切り替えた場合に、通常これらのメッセージが記録されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。string 変数として、考えられる値は次のとおりです。

state check(ステート確認)

bad/incomplete config(不正または不完全なコンフィギュレーション)

ifc [interface] check, mate is healthier(インターフェイスの確認、両装置の相違)

the other side wants me to standby(他方がスタンバイを要求)

in failed state, cannot be active(障害ステートにより、アクティブにできない)

switch to failed state(障害ステートへの切り替え)

推奨処置 手動で強制的に切り替えた場合には、対処は不要です。それ以外の場合は、セカンダリ装置により報告された原因を参照し、両方の装置のステータスを確認してください。

104003

エラー メッセージ %FWSM-1-104003: (Primary) Switching to FAILED.

説明 フェールオーバー メッセージです。プライマリ装置に障害が発生したときに表示されます。

推奨処置 プライマリ装置のシステム ログ メッセージを調べ、問題の原因を確認してください(メッセージ 104001 を参照)。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

104004

エラー メッセージ %FWSM-1-104004: (Primary) Switching to OK.

説明 フェールオーバー メッセージです。障害のあった装置が正常に戻ったときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

105001

エラー メッセージ %FWSM-1-105001: (Primary) Disabling failover.

説明 フェールオーバー メッセージです。コンソールに no failover コマンドを入力したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

105002

エラー メッセージ %FWSM-1-105002: (Primary) Enabling failover.

説明 フェールオーバー メッセージです。フェールオーバーがディセーブルになっていた状態で、引数を指定せずに failover コマンドをコンソールに入力したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

105003

エラー メッセージ %FWSM-1-105003: (Primary) Monitoring on interface interface_name waiting

説明 フェールオーバー メッセージです。Cisco ASA はフェールオーバー ペアの他方の装置との間で、特定のネットワーク インターフェイスをテスト中です。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。Cisco ASA は標準動作の間、頻繁にネットワーク インターフェイスをモニタします。

105004

エラー メッセージ %FWSM-1-105004: (Primary) Monitoring on interface interface_name normal

説明 フェールオーバー メッセージです。特定のネットワーク インターフェイスのテストが正常に完了しました。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

105005

エラー メッセージ %FWSM-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.

説明 フェールオーバー メッセージです。フェールオーバー ペアの装置が他方の装置と通信できない状態を示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 特定のインターフェイスに接続しているネットワークが正常に動作しているかどうかを確認してください。

105006、105007

エラー メッセージ %FWSM-1-105006: (Primary) Link status ‘Up' on interface interface_name. エラー メッセージ %FWSM-1-105007: (Primary) Link status ‘Down' on interface interface_name.

説明 両方ともフェールオーバー メッセージです。特定のインターフェイスのリンク ステータスのモニタ結果を示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 リンク ステータスがダウンの場合には、特定のインターフェイスに接続しているネットワークが正常に動作しているかどうかを確認してください。

105008

エラー メッセージ %FWSM-1-105008: (Primary) Testing interface interface_name.

説明 フェールオーバー メッセージです。特定のネットワーク インターフェイスのテスト中に表示されます。このテストは、Cisco ASA が特定のインターフェイス上のスタンバイ装置から、一定時間を経過してもメッセージを受信できなかった場合にのみ実行されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

105009

エラー メッセージ %FWSM-1-105009: (Primary) Testing on interface interface_name {Passed|Failed}.

説明 フェールオーバー メッセージです。このメッセージでは、直前に実行されたインターフェイス テストの結果(Passed または Failed)が報告されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 結果が Passed の場合、対処は不要です。結果が Failed の場合は、両方のフェールオーバー装置にネットワーク ケーブルが正しく接続されているかどうか、ネットワークが正常に動作しているかどうかを確認し、さらにスタンバイ装置のステータスを確認してください。

105010

エラー メッセージ %FWSM-3-105010: (Primary) Failover message block alloc failed

説明 ブロック メモリが不足しています。これは一時的なメッセージで、Cisco ASA は回復処理を行います。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 show blocks コマンドを使用して、現在のブロック メモリの状態をモニタしてください。

105011

エラー メッセージ %FWSM-1-105011: (Primary) Failover cable communication failure

説明 フェールオーバー ケーブルが原因で、プライマリ装置とセカンダリ装置間の通信ができません。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 ケーブルが正しく接続されていることを確認してください。

105020

エラー メッセージ %FWSM-1-105020: (Primary) Incomplete/slow config replication

説明 フェールオーバーを実行したとき、アクティブ Cisco ASA がメモリ内にコンフィギュレーションの一部だけを検出しました。通常、複製サービスに割り込みが発生したことが原因です。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 Cisco ASA がフェールオーバーを検出すると、Cisco ASA は自動的に自身をリロードし、フラッシュ メモリからコンフィギュレーションをロードするか、他方の Cisco ASA と再同期します。フェールオーバーが頻繁に発生している場合は、フェールオーバー設定をチェックし、両方の Cisco ASA 装置が互いに通信できることを確認してください。

105021

エラー メッセージ %FWSM-1-105021: ( failover_unit ) Standby unit failed to sync due to a locked context_name config. Lock held by lock_owner_name

説明 コンフィギュレーションの同期中に、他の何らかのプロセスによるコンフィギュレーションのロックが 5 分を超えると、スタンバイ装置は自身をリロードします。これにより、フェールオーバー プロセスで新しいコンフィギュレーションが適用される事態が防止されます。この状況は、コンフィギュレーションの同期化が進行しているときに、管理者がスタンバイ装置で実行コンフィギュレーションを呼び出したときに発生する場合があります。 show running-config EXEC コマンドおよび pager lines num CONFIG コマンドも参照してください。

推奨処置 スタンバイ装置をアップにして、アクティブ装置とフェールオーバー接続を確立している間に、コンフィギュレーションを表示または変更しないでください。

105031

エラー メッセージ %FWSM-1-105031: Failover LAN interface is up

説明 LAN フェールオーバー インターフェイス リンクがアップしています。

推奨処置 対処は不要です。

105032

エラー メッセージ %FWSM-1-105032: LAN Failover interface is down

説明 LAN フェールオーバー インターフェイス リンクがダウンしています。

推奨処置 LAN フェールオーバー インターフェイスの接続を確認してください。速度およびデュプレックスの設定が正しいかどうかを確認します。

105034

エラー メッセージ %FWSM-1-105034: Receive a LAN_FAILOVER_UP message from peer.

説明 ピアが起動し、初期コンタクト メッセージを送信しました。

推奨処置 対処は不要です。

105035

エラー メッセージ %FWSM-1-105035: Receive a LAN failover interface down msg from peer.

説明 ピアの LAN フェールオーバー インターフェイス リンクがダウンしています。装置がスタンバイ モードの場合、アクティブ モードに切り替わります。

推奨処置 ピアの LAN フェールオーバー インターフェイスの接続を確認してください。

105036

エラー メッセージ %FWSM-1-105036: dropped a LAN Failover command message.

説明 Cisco ASA が確認応答できない LAN フェールオーバー コマンド メッセージを廃棄しました。LAN フェールオーバー インターフェイスに接続の問題があることを示しています。

推奨処置 LAN インターフェイス ケーブルが接続されているかどうかを確認してください。

105037

エラー メッセージ %FWSM-1-105037: The primary and standby units are switching back and forth as the active unit.

説明 プライマリ装置とスタンバイ装置が交互にアクティブ装置になっています。LAN フェールオーバー接続に問題があるか、ソフトウェアのバグを示しています。

推奨処置 LAN インターフェイス ケーブルが接続されているかどうかを確認してください。

105038

エラー メッセージ %FWSM-1-105038: (Primary) Interface count mismatch

説明 フェールオーバーを実行したとき、アクティブ Cisco ASA がメモリ内にコンフィギュレーションの一部だけを検出しました。通常、複製サービスに割り込みが発生したことが原因です。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 Cisco ASA がフェールオーバーを検出すると、Cisco ASA は自動的に自身をリロードし、フラッシュ メモリからコンフィギュレーションをロードするか、他方の Cisco ASA と再同期します。フェールオーバーが頻繁に発生している場合は、フェールオーバー設定をチェックし、両方の Cisco ASA 装置が互いに通信できることを確認してください。

105039

エラー メッセージ %FWSM-1-105039: (Primary) Unable to verify the Interface count with mate. Failover may be disabled in mate.

説明 フェールオーバーでは、最初に、プライマリとセカンダリの Cisco ASA に同数のインターフェイスが設定されているかどうかが確認されます。このメッセージは、プライマリ Cisco ASA がセカンダリ Cisco ASA に設定されているインターフェイス数を確認できなかったことを示しています。これは、プライマリ Cisco ASA がフェールオーバー インターフェイス上でセカンダリ Cisco ASA と通信できないことを意味しています。セカンダリ Cisco ASA の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 フェールオーバー LAN、インターフェイス設定、およびプライマリとセカンダリ Cisco ASA のステータスを確認してください。セカンダリ Cisco ASA が Cisco ASA アプリケーションを実行していて、フェールオーバーがイネーブルであることを確認します。

105040

エラー メッセージ %FWSM-1-105040: (Primary) Mate failover version is not compatible.

説明 フェールオーバー ペアとして動作するには、プライマリとセカンダリ Cisco ASA が同じフェールオーバー ソフトウェア バージョンを実行している必要があります。このメッセージは、セカンダリ Cisco ASA のフェールオーバー ソフトウェアのバージョンが、プライマリ Cisco ASA と互換でないことを示しています。プライマリ Cisco ASA 上でフェールオーバーがディセーブルです。セカンダリ Cisco ASA の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 フェールオーバーをイネーブルにするには、プライマリとセカンダリ Cisco ASA に同一のソフトウェア バージョンを使用してください。

105042

エラー メッセージ %FWSM-1-105042: (Primary) Failover interface OK

説明 LAN フェールオーバー インターフェイス リンクがアップしています。

説明 セカンダリ Cisco ASA へのフェールオーバー メッセージの送信に使用するインターフェイスは機能しています。セカンダリ Cisco ASA の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

105043

エラー メッセージ %FWSM-1-105043: (Primary) Failover interface failed

説明 LAN フェールオーバー インターフェイス リンクがダウンしています。

推奨処置 LAN フェールオーバー インターフェイスの接続を確認してください。速度およびデュプレックスの設定が正しいかどうかを確認します。

105044

エラー メッセージ %FWSM-1-105044: (Primary) Mate operational mode mode is not compatible with my mode mode.

説明 フェールオーバー ピア間で動作モード(シングルまたはマルチ)が一致していない場合、フェールオーバーはディセーブルになります。

推奨処置 フェールオーバー ピアを同じ動作モードに設定し、フェールオーバーを再びイネーブルにしてください。

105045

エラー メッセージ %FWSM-1-105045: (Primary) Mate license (number contexts) is not compatible with my license (number contexts).

説明 フェールオーバー ピア間で機能ライセンスが一致しない場合、フェールオーバーはディセーブルになります。

推奨処置 フェールオーバー ピアに同じ機能ライセンスを設定し、フェールオーバーを再びイネーブルにしてください。

105046

エラー メッセージ %FWSM-1-105046 (Primary|Secondary) Mate has a different chassis

説明 2 台のフェールオーバー装置のシャーシ タイプが異なる場合に、このメッセージが発行されます。

推奨処置 2 台のフェールオーバー装置が同じであるかどうかを確認してください。

105047

エラー メッセージ %FWSM-1-105047: Mate has a io_card_name1 card in slot slot_number which is different from my io_card_name2

説明 2 台のフェールオーバー装置の対応するスロットに搭載されているカード タイプが異なります。

推奨処置 フェールオーバー装置のカード構成が同じであるかどうかを確認してください。

106001

エラー メッセージ %FWSM-2-106001: Inbound TCP connection denied from IP_address /port to IP_address /port flags tcp_flags on interface interface_name

説明 接続関連メッセージです。内部アドレスへの接続の試みが、セキュリティ ポリシーによって拒否されたときに発生します。tcp_flags の値は、接続が拒否された時点の TCP ヘッダー内のフラグに対応します。たとえば、TCP パケットの到達時に Cisco ASA に接続ステートが存在しない場合、そのパケットはドロップされます。このパケットの tcp_flags は、FIN および ACK です。

tcp_flags は、次のとおりです。

ACK ― 確認応答番号が受信されました。

FIN ― データが送信されました。

PSH ― 受信側がアプリケーションにデータを転送しました。

RST ― 接続がリセットされました。

SYN ― 接続を開始するためにシーケンス番号が同期化されました。

URG ― 緊急ポインタが有効と宣言されました。

推奨処置 対処は不要です。

106002

エラー メッセージ %FWSM-2-106002: protocol Connection denied by outbound list acl_ID src inside_address dest outside_address

説明 接続関連メッセージです。 outbound deny コマンドにより、特定の接続に失敗したときに表示されます。 protocol 変数は、ICMP、TCP、または UDP です。

推奨処置 show outbound コマンドを使用して、発信リストを確認してください。

106006

エラー メッセージ %FWSM-2-106006: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port on interface interface_name.

説明 接続関連メッセージです。セキュリティ ポリシーによって着信 UDP パケットが拒否されたときに表示されます。

推奨処置 対処は不要です。

106007

エラー メッセージ %FWSM-2-106007: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port due to DNS {Response|Query}.

説明 接続関連メッセージです。DNS クエリまたは DNS 応答を含む UDP パケットが拒否されたときに表示されます。

推奨処置 内部ポート番号が 53 の場合、内部ホストは通常、キャッシング ネーム サーバとして設定されています。UDP ポート 53 でトラフィックを許可する access-list コマンド ステートメントを追加してください。外部ポート番号が 53 の場合には、DNS サーバの応答がかなり遅いため、クエリが他のサーバによって応答されています。

106010

エラー メッセージ %FWSM-3-106010: Deny inbound protocol src interface_name : dest_address / dest_port dst interface_name : source_address / source_port

説明 接続関連メッセージです。セキュリティ ポリシーによって着信接続が拒否されたときに表示されます。

推奨処置 トラフィックを許可する場合、セキュリティ ポリシーを修正します。このメッセージが一定間隔で発生する場合は、リモート ピアの管理者に連絡してください。

106011

エラー メッセージ %FWSM-3-106011: Deny inbound (No xlate) string

説明 Web ブラウザを使用してインターネットにアクセスしている内部ユーザが存在する場合、通常のトラフィック状況下でこのメッセージが表示されます。接続がリセットされると、Cisco ASA がリセットを受信したあとで、接続の反対側のホストがパケットを送信し、このメッセージが表示されます。通常、このメッセージは無視してかまいません。

推奨処置 no logging message 106011 コマンドを入力して、このシステム ログ メッセージが syslog& サーバにロギングされないようにしてください。

106012

エラー メッセージ %FWSM-6-106012: Deny IP from IP_address to IP_address , IP options hex.

説明 パケット完全性チェック メッセージです。 IP オプションを持つ IP パケットが検出されました。IP オプションはセキュリティ上のリスクとみなされるので、パケットは廃棄されます。

推奨処置 リモート ホスト システム管理者に連絡し、問題を解決してください。 ローカル サイトの設定が、ルース ソース ルーティングまたはストリクト ソース ルーティングのどちらであるかを確認してください。

106013

エラー メッセージ %FWSM-2-106013: Dropping echo request from IP_address to PAT address IP_address

説明 Cisco ASA が、PAT グローバル アドレスに対応する宛先アドレスを持つ着信 ICMP エコー要求パケットを廃棄しました。パケットを受信すべき PAT ホストを特定できない着信パケットは、廃棄されます。

推奨処置 対処は不要です。

106014

エラー メッセージ %FWSM-3-106014: Deny inbound icmp src interface_name: IP_address dst interface_name: IP_address (type dec, code dec)

説明 Cisco ASA が着信 ICMP パケット アクセスを拒否しました。デフォルトでは、特に許可されないかぎり、すべての ICMP パケットがアクセスを拒否されます。

推奨処置 対処は不要です。

106015

エラー メッセージ %FWSM-6-106015: Deny TCP (no connection) from IP_address /port to IP_address /port flags tcp_flags on interface interface_name.

説明 Cisco ASA が、 Cisco ASA の接続テーブルで接続が関連付けられていない TCP パケットを廃棄しました。 Cisco ASA はパケット内の SYN フラグ(新しい接続の確立要求を示す)を検索します。SYN フラグが見つからず、なおかつ既存の接続が存在しない場合、 Cisco ASA はパケットを廃棄します。

推奨処置 Cisco ASA がこれらの無効な TCP パケットを大量に受信している場合には、対応が必要です。その場合は、パケットの送信元を追跡して、これらのパケットが送信された理由を判別してください。

106016

エラー メッセージ %FWSM-2-106016: Deny IP spoof from ( IP_address ) to IP_address on interface interface_name.

説明 Cisco ASA が、無効な送信元アドレスを持つパケットを廃棄しました。 無効な送信元アドレスとは、次に属するアドレスのことです。

ループバック ネットワーク(127.0.0.0)

ブロードキャスト(制限付き、ネット向け、サブネット向け、および全サブネット向け)

宛先ホスト(land.c)

スプーフ パケットの検出をさらに強化するには、conduit コマンドを使用して、送信元アドレスが内部ネットワークに属するパケットを廃棄するように Cisco ASA を設定します。 icmp コマンドが実装されているので、 conduit コマンドは否定され、正常に動作する保証がなくなっています。

推奨処置 外部ユーザが保護されたネットワークに危害を加えようとしているかどうかを確認してください。誤って設定されているクライアントがないかどうかを確認してください。

106017

エラー メッセージ %FWSM-2-106017: Deny IP due to Land Attack from IP_address to IP_address

説明 Cisco ASA が、IP 宛先と IP 送信元アドレスが等しく、宛先ポートと送信元ポートが等しいパケットを受信しました。これは、システムを攻撃する目的のスプーフ パケットを意味しています。この攻撃は、Land Attackと呼ばれています。

推奨処置 このメッセージが頻発する場合、攻撃が進行している可能性があります。このパケットには、攻撃の発信元を特定する十分な情報はありません。

106018

エラー メッセージ %FWSM-2-106018: ICMP packet type ICMP_type denied by outbound list acl_ID src inside_address dest outside_address

説明 ローカル ホスト(inside_address)から外部ホスト(outside_address)に宛てられた特定の ICMP タイプの発信 ICMP パケットが、発信 ACL リストによって拒否されました。

推奨処置 対処は不要です。

106020

エラー メッセージ %FWSM-2-106020: Deny IP teardrop fragment (size = number, offset = number) from IP_address to IP_address

説明 Cisco ASA が、小さなオフセットまたは重複フラグメントのいずれかが含まれている teardrop 署名を持つ IP パケットを廃棄したことを示しています。これは、Cisco ASA または Intrusion Detection System(IDS; 侵入検知システム)を回避しようとした悪意あるイベントです。

推奨処置 リモート ピアの管理者に連絡するか、セキュリティ ポリシーに従って報告してください。

106021

エラー メッセージ %FWSM-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name

説明 攻撃が進行中です。誰かが着信接続上で IP アドレスのスプーフィングを試みています。リバース ルート ルックアップとも呼ばれるユニキャスト RPF により、ルートと矛盾する送信元アドレスを持つパケットが検出され、Cisco ASA 上で攻撃の一部であるとみなされました。

ip verify reverse-path コマンドを使用してユニキャスト RPF をイネーブルにしたとき、このメッセージが表示されます。この機能は、インターフェイスに入力されるパケットに対して作用します。この機能を外部に設定した場合、Cisco ASA は外部から着信するパケットをチェックします。

Cisco ASA は source_address に基づいてルートを検索します。エントリが見つからずルートが定義されていない場合、このシステム ログ メッセージが表示され、接続は切断されます。

ルートが存在する場合、Cisco ASA はそのルートがどのインターフェイスに対応するかをチェックします。パケットが別のインターフェイスに着信した場合、スプーフか、または宛先へのパスが複数ある非対称ルーティング環境が存在しています。Cisco ASA は非対称ルーティングをサポートしていません。

Cisco ASA を内部インターフェイスに設定している場合、スタティックな route コマンド ステートメントまたは RIP がチェックされます。source_address が見つからない場合、内部ユーザがそれらのアドレスをスプーフィングしています。

推奨処置 攻撃が進行中でも、この機能がイネーブルであれば、対処は不要です。Cisco ASA が攻撃を拒絶します。

106022

エラー メッセージ %FWSM-1-106022: Deny protocol connection spoof from source_address to dest_address on interface interface_name

説明 特定の接続に一致するパケットが、その接続が開始されるインターフェイスとは異なるインターフェイスに着信しました。

たとえば、ユーザが内部インターフェイス上で接続を開始したにもかかわらず、Cisco ASA が境界インターフェイス上で同じ接続の到着を検知した場合、Cisco ASA には 1 つの宛先に対して複数のパスが存在することになります。この状況を非対称ルーティングといいます。Cisco ASA では非対称ルーティングはサポートされていません。

また、攻撃者が Cisco ASA に侵入するための手段として、1 つの接続から別の接続にパケットを追加しようとしている可能性もあります。いずれの場合も、Cisco ASA はこのメッセージを表示し、接続を切断します。

推奨処置 このメッセージは、ip verify reverse-path コマンドが設定されていない場合に表示されます。ルーティングが非対称でないことを確認してください。

106023

エラー メッセージ %FWSM-4-106023: Deny protocol src [ interface_name : source_address/source_port ] dst interface_name : dest_address/dest_port [type { string }, code { code }] by access_group acl_ID

説明 ACL(アクセス制御リスト)によって IP パケットが拒否されました。このメッセージは、ACL に対し、 log オプションをイネーブルに設定していない場合にも表示されます。

推奨処置 同じ送信元アドレスについて、このメッセージが続いて表示される場合は、フット プリンティングまたはポート スキャン攻撃が試みられている可能性があります。リモート ホストの管理者に連絡してください。

106024

エラー メッセージ %FWSM-2-106024: Access rules memory exhausted

説明 アクセス リストのコンパイル プロセスでメモリ不足が発生しました。アクセス リストが最後にコンパイルされてから追加されたコンフィギュレーション情報は、すべてシステムから削除され、最後にコンパイルされたアクセス リストのセットが引き続き使用されます。

推奨処置 アクセス リスト、AAA、ICMP、SSH、Telnet、およびその他のルール タイプは、アクセス リスト ルール タイプとして保存およびコンパイルされます。これらのルール タイプの一部を削除して、他のルール タイプを追加できるようにしてください。

106025、106026

エラー メッセージ %FWSM-6-106025: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol エラー メッセージ %FWSM-6-106026: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol

説明 複数コンテキスト モードでパケットのセキュリティ コンテキストを判別できません。どちらのメッセージも、ルータおよびトランスペアレント モードでパケットがドロップされた場合に表示される可能性があります。

推奨処置 対処は不要です。

106027

エラー メッセージ %FWSM-4-106027:Failed to determine the security context for the packet:vlansource Vlan#:ethertype src sourceMAC dst destMAC

説明 複数コンテキスト モードでパケットのセキュリティ コンテキストを判別できません。このメッセージは、非 IP パケットがトランスペアレント モードでドロップされた場合のみ、生成されます。

推奨処置 対処は不要です。

106100

エラー メッセージ %FWSM-4-106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name / source_address ( source_port ) -> interface_name / dest_address ( dest_port ) hit-cnt number ({first hit | number -second interval})

説明 access-list コマンドに log オプションを設定した場合、パケットが ACL ステートメントに一致しました。メッセージのレベルは、 access-list コマンドで設定されているレベルによって決まります(デフォルトでは、レベルは 6 です)。このメッセージは、最初のヒットまたは一定期間における総ヒット件数のいずれかを表します。このメッセージは、メッセージ 106023(拒否されたパケットだけを記録し、ヒット カウントや設定可能なレベルは含まない)よりも多くの情報を提供します。次に、このメッセージの値を示します。

permitted | denied | est-allowed ― これらの値は、パケットが ACL によって許可(または拒否)されたことを示します。値が est-allowed である場合、パケットは ACL によって拒否されましたが、確立済みのセッションには許可されています(たとえば、内部ユーザがインターネットのアクセスを許可された場合、通常は ACL によって拒否される応答パケットでも受け入れられます)。

protocol TCP UDP ICMP 、または IP プロトコル番号

interface_name ― ロギングされたフローの送信元または宛先のインターフェイス名。VLAN インターフェイスがサポートされています。

source_address ― ロギングされたフローの送信元 IP アドレス

dest_address ― ロギングされたフローの宛先 IP アドレス

source_port ― ロギングされたフローの送信元ポート(TCP または UDP)。ICMP の場合、このフィールドは 0 です。

dest_port ― ロギングされたフローの宛先ポート(TCP または UDP)。ICMP の場合、このフィールドは icmp-type です。

hit-cnt number ― 設定された期間内で、このフローがこの ACL エントリによって許可または拒否された回数。このフローに関して Cisco ASA が初めてこのシステム ログ メッセージを生成する時点では、この値は 1 です。

first hit ― このフローに関して最初に生成されたメッセージ

number -second interval ― ヒット カウントを累積する時間。このインターバルは、 access-list コマンドで interval オプションを指定して設定します。

推奨処置 対処は不要です。

106101

エラー メッセージ %FWSM-1-106101 The number of ACL log deny-flows has reached limit ( number ).

説明 ACL deny ステートメント( access-list id deny コマンド)に log オプションを設定している場合に、トラフィック フローがこの ACL ステートメントに一致すると、Cisco ASA はそのフロー情報をキャッシュに保管します。Cisco ASA 上でキャッシュに保管された一致フロー数が、ユーザの設定による( access-list deny-flow-max コマンド)制限数を超えると、このメッセージが表示されます。

number 値は、 access-list deny-flow-max コマンドで設定された制限数です。

推奨処置 対処は不要です。DoS 攻撃の結果、このメッセージが表示される場合があります。

107001

エラー メッセージ %FWSM-1-107001: RIP auth failed from IP_address : version=number, type=string, mode=string, sequence=number on interface interface_name

説明 アラート ログ メッセージです。Cisco ASA が不正認証の RIP 応答メッセージを受信しました。ルータまたはセキュリティ アプライアンスの設定が誤っているか、または Cisco ASA のルーティング テーブルに対する攻撃が失敗したためにこのメッセージが表示された可能性があります。

推奨処置 このメッセージは攻撃の可能性を示しているので、モニタする必要があります。メッセージに示されている送信元 IP アドレスが未知のアドレスである場合には、信頼できるエンティティ間の RIP 認証キーを変更してください。攻撃者が既存のキーを判別しようとしている可能性があります。

107002

エラー メッセージ %FWSM-1-107002: RIP pkt failed from IP_address : version=number on interface interface_name

説明 アラート ログ メッセージです。このメッセージの原因としては、ルータのバグ、非 RFC 値を含むパケット、または不正エントリが考えられます。これは通常の状況ではなく、Cisco ASA のルーティング テーブルの悪用が試みられている可能性があります。

推奨処置 このメッセージは攻撃の可能性を示しているので、モニタする必要があります。パケットが認証された場合、有効であれば、パケット内に不正データが含まれています。状況をモニタし、パケットの発信者が疑わしい場合には、キーを変更してください。

108002

エラー メッセージ %FWSM-2-108002: SMTP replaced string: out source_address in inside_address data: string

説明 fixup protocol smtp コマンドによって生成されるメール ガード(SMTP)メッセージです。Cisco ASA が電子メール アドレス内の無効な文字をスペースに置き換えたときに表示されます。

推奨処置 対処は不要です。

108003

エラー メッセージ %FWSM-2-108003: Terminating ESMTP/SMTP connection; malicious pattern detected in the mail address from source_interface:source_address/source_port to dest_interface:dest_address/dset_port . Data: string

説明 メール ガード(SMTP)によって生成されるメッセージです。Cisco ASA が電子メール アドレス内に悪意あるパターンを検出し、接続を切断したときに表示されます。攻撃が進行中であることを示します。

推奨処置 対処は不要です。

109001

エラー メッセージ %FWSM-6-109001: Auth start for user user from inside_address/ inside_port to outside_address/ outside_port

説明 Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)メッセージです。Cisco ASA に AAA が設定されていて、特定のユーザからの認証要求が検出されたときに表示されます。

推奨処置 対処は不要です。

109002

エラー メッセージ %FWSM-6-109002: Auth from inside_address/inside_port to outside_address/outside_port failed (server IP_address failed) on interface interface_name.

説明 AAA メッセージです。モジュールが特定の認証サーバと通信できなかったため、認証要求に失敗したときに表示されます。

推奨処置 特定の認証サーバ上で、認証デーモンが実行されているかどうかを確認してください。

109003

エラー メッセージ %FWSM-6-109003: Auth from inside_address to outside_address/outside_port failed (all servers failed) on interface interface_name.

説明 AAA メッセージです。認証サーバを検出できないときに表示されます。

推奨処置 Cisco ASA から認証サーバに ping を実行してください。デーモンが実行されているかどうかを確認してください。

109005

エラー メッセージ %FWSM-6-109005: Authentication succeeded for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 AAA メッセージです。特定の認証要求に成功したときに表示されます。

推奨処置 対処は不要です。

109006

エラー メッセージ %FWSM-6-109006: Authentication failed for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 AAA メッセージです。不正パスワードなどの原因により、特定の認証要求に失敗したときに表示されます。

推奨処置 対処は不要です。

109007

エラー メッセージ %FWSM-6-109007: Authorization permitted for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 AAA メッセージです。特定の許可要求に成功したときに表示されます。

推奨処置 対処は不要です。

109008

エラー メッセージ %FWSM-6-109008: Authorization denied for user user from outside_address/outside_port to inside_address/ inside_port on interface interface_name.

説明 AAA メッセージです。不正パスワードなどの原因により、ユーザが特定のアドレスへのアクセスを許可されなかったときに表示されます。

推奨処置 対処は不要です。

109010

エラー メッセージ %FWSM-3-109010: Auth from inside_address/inside_port to outside_address/outside_port failed (too many pending auths) on interface interface_name.

説明 AAA メッセージです。サーバ上で待機中の要求が多すぎるため、認証要求を処理できないときに表示されます。

推奨処置 認証サーバによる認証要求への応答が遅すぎないかどうかを確認してください。floodguard enable コマンドを使用して、Flood Defender 機能をイネーブルにしてください。

109011

エラー メッセージ %FWSM-2-109011: Authen Session Start: user ' user ', sid number

説明 ホストと Cisco ASA 間で認証セッションが開始され、まだ完了していません。

推奨処置 対処は不要です。

109012

エラー メッセージ %FWSM-5-109012: Authen Session End: user 'user', sid number, elapsed number seconds

説明 認証キャッシュのタイムアウトが発生しました。ユーザは次の接続で再認証する必要があります。このタイマーの長さは、timeout uauth コマンドで変更できます。

推奨処置 対処は不要です。

109013

エラー メッセージ %FWSM-3-109013: User must authenticate before using this service

説明 ユーザがサービスを使用するには、認証される必要があります。

推奨処置 サービスを使用する前に、FTP、Telnet、または HTTP を使用して認証を受けてください。

109014

エラー メッセージ %FWSM-7-109014: uauth_lookup_net fail for uauth_in()

説明 認証要求に、対応する許可要求がありませんでした。

推奨処置 コンフィギュレーションに aaa authentication および aaa authorization コマンドが両方とも含まれているかどうかを確認してください。

109016

エラー メッセージ %FWSM-3-109016: Can't find authorization ACL acl_ID for user ' user '

説明 AAA サーバでこのユーザ用に定義されているアクセス制御リストが、Cisco ASA 上に存在しません。Cisco ASA を設定する前に AAA サーバを設定すると、このエラーが発生することがあります。AAA サーバ上の Vender-Specific Attribute(VSA)の値は、次のいずれかです。

acl=acl_ID

shell:acl=acl_ID

ACS:CiscoSecured-Defined-ACL=acl_ID

推奨処置 Cisco ASA に ACL を追加し、AAA サーバ上で指定されている名前と同じ名前を使用してください。

109017

エラー メッセージ %FWSM-4-109017: User at IP_address exceeded auth proxy connection limit (max)

説明 ユーザが認証プロキシの制限値を超過しており、プロキシへの接続が多すぎます。

推奨処置 proxy-limit proxy_limit コマンドを使用してプロキシの制限値を大きくするか、使用していない接続を閉じるようにユーザに指示します。このエラーが頻発する場合は、DoS 攻撃の可能性があります。

109018

エラー メッセージ %FWSM-3-109018: Downloaded ACL acl_ID is empty

説明 ダウンロードされた許可アクセス制御リストに ACE がありません。この状況の原因としては、アトリビュート ストリング [ip:inacl#] のスペルが間違っているか、または access-list コマンドが脱落していることが考えられます。

junk:junk# 1=permit tcp any any eq junk ip:inacl#1=”

推奨処置 AAA サーバ上でエラーを示した ACL コンポーネントを訂正してください。

109019

エラー メッセージ %FWSM-3-109019: Downloaded ACL acl_ID has parsing error; ACE string

説明 ダウンロードされた許可アクセス制御リストのアトリビュート ストリング ip:inacl#NNN=で、シーケンス番号 NNN の解析中にエラーが検出されました。理由としては、= が脱落している、数値以外の値が含まれている、[#]と[=]の間にスペース以外の文字がある、NNN が 999999999 より大きいことが考えられます。

ip:inacl# 1 permit tcp any any
ip:inacl# 1junk2=permit tcp any any
ip:inacl# 1000000000=permit tcp any any

推奨処置 AAA サーバ上でエラーを示した ACL 要素を訂正してください。

109020

エラー メッセージ %FWSM-3-109020: Downloaded ACL has config error; ACE

説明 ダウンロードされた許可アクセス制御リストのいずれかのコンポーネントに、設定の誤りがあります。システム ログ メッセージには、この要素のテキスト全体が含まれます。このメッセージの原因は通常、無効な access-list コマンド ステートメントによります。

推奨処置 AAA サーバ上でエラーを示した ACL コンポーネントを訂正してください。

109021

エラー メッセージ %FWSM-7-109021: Uauth null proxy error

説明 内部的なユーザ認証エラーが発生しました。

推奨処置 対処は不要です。ただし、このエラーが繰り返し発生する場合は、Cisco TAC に連絡してください。

109022

エラー メッセージ %FWSM-4-109022: exceeded HTTPS proxy process limit

説明 HTTPS 認証ごとに、Cisco ASA は 1 つのプロセスを使用して認証要求を処理します。同時に実行するプロセス数が、システムでの最大数を超えると、Cisco ASA は認証を実行しなくなり、このメッセージが表示されます。

推奨処置 対処は不要です。

109023

エラー メッセージ %FWSM-3-109023: User from source_address / source_port to dest_address / dest_port on interface outside_interface must authenticate before using this service.

説明 AAA メッセージです。 このサービス ポートを使用するには、設定されたポリシーに基づいて認証を受ける必要があります。

推奨処置 Telnet、FTP、または HTTP を使用して認証を実行してから、上記のサービス ポートの使用を試みてください。

109024

エラー メッセージ %FWSM-6-109024: Authorization denied from source_address / source_port to dest_address / dest_port (not authenticated) on interface interface_name using protocol

説明 AAA メッセージです。Cisco ASA に AAA が設定されていて、ユーザが事前認証なしで Cisco ASA 経由での TCP 接続を試みたときに表示されます。

推奨処置 対処は不要です。

109025

エラー メッセージ %FWSM-6-109025: Authorization denied (acl= acl_ID ) for user ' user ' from source_address / source_port to dest_address / dest_port on interface interface_name using protocol

説明 アクセス制御リストによるチェックに失敗しました。このチェックで deny 条件に一致したか、または一致する条件がありませんでした(暗黙的 deny)。Cisco Secure Access Control Server(ACS)上の AAA 許可ポリシーに基づいて定義されたユーザ アクセス制御リスト acl_ID によって、接続が拒否されました。

推奨処置 対処は不要です。

109026

エラー メッセージ %FWSM-3-109026: [ aaa protocol ] Invalid reply digest received; shared server key may be mismatched.

説明 AAA サーバからの応答の有効性を確認できませんでした。不正なサーバ キーが設定されている可能性があります。このイベントは、RADIUS または TACACS+ サーバとのトランザクション中に発生することがあります。

推奨処置 aaa-server コマンドで設定されているサーバ キーが正しいかどうかを確認してください。

109027

エラー メッセージ %FWSM-4-109027: [aaa protocol] Unable to decipher response message Server = server_ IP_address , User = user

説明 AAA サーバからの応答の有効性を確認できませんでした。設定されているサーバ キーが不正であると考えられます。このメッセージは、RADIUS または TACACS+ サーバとのトランザクション中に表示されることがあります。 server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。

推奨処置 aaa-server コマンドで設定されているサーバ キーが正しいかどうかを確認してください。

109028

エラー メッセージ %FWSM-4-109028: aaa bypassed for same-security traffic from ingress_ interface:source_address/source_port to egress_interface:dest_address/dest_port

説明 設定されている AAA ルールに一致するセキュリティ トラフィックに関して、AAA がバイパスされています。同じセキュリティ レベルに設定された 2 つのインターフェイスをトラフィックが通過し、同じセキュリティ トラフィックが許可され、なおかつ AAA 設定で include または exclude 構文が使用されている場合にのみ、この状況が発生することがあります。

推奨処置 対処は不要です。

109030

エラー メッセージ %FWSM-4-109030: Autodetect ACL convert wildcard did not convert ACL access_list source | dest netmask netmask .

説明 RADIUS サーバに設定されたダイナミック ACL が、ワイルドカード ネットマスクを自動的に検出するメカニズムによって変換されない場合に、このメッセージが表示されます。ネットマスクがワイルドカードか、それとも通常のネットマスクであるかを、このメカニズムで判別できない場合に、この問題が発生します。

access_list ― 変換できなかったアクセス リスト

source ― 送信元の IP アドレス

dest ― 宛先の IP アドレス

netmask ― 送信元または宛先アドレスのサブネット マスク(ドット付き 10 進表記)

推奨処置 RADIUS サーバ上のアクセス リストのネットマスクに、ワイルドカードが設定されているかどうかを確認します。ネットマスクがワイルドカードであり、なおかつサーバ上のすべてのアクセス リスト ネットマスクがワイルドカードである場合には、AAA サーバの acl-netmask-convert wildcard 設定を使用します。そうでない場合には、ネットマスクを通常のネットマスク、またはホールのないワイルドカード ネットマスクに変更します。言い換えると、ネットマスクがバイナリ 1の連なり(たとえば、00000000.00000000.00011111.11111111 または 16 進 0.0.31.255)を表す場合です。マスクが通常のマスクであり、そのサーバ上のすべてのアクセス リスト ネットマスクが通常のマスクである場合には、AAA サーバの
acl-netmask-convert normal 設定を使用します。

109031

エラー メッセージ %FWSM-4-109031: NT Domain Authentication Failed: rejecting guest login for username .

説明 ゲスト アカウント アクセス用に設定された NT 認証ドメインに対してユーザが認証を試み、ユーザ名が NT サーバ上で有効なユーザ名でない場合に、このメッセージが表示されます。接続は拒否されます。

推奨処置 ユーザが有効なユーザである場合は、NT サーバにアカウントを追加してください。ユーザにアクセスを許可しない場合は、処置は不要です。

111003

エラー メッセージ %FWSM-5-111003: IP_address Erase configuration

説明 管理メッセージです。コンソールで write erase コマンドを入力し、フラッシュ メモリの内容が消去されたときに表示されます。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。

推奨処置 コンフィギュレーションを消去した場合には、Cisco ASA を再設定し、新しいコンフィギュレーションを保存する必要があります。あるいは、フロッピーまたはネットワーク上の TFTP サーバに保存されている既存のコンフィギュレーションから情報を復元することもできます。

111004

エラー メッセージ %FWSM-5-111004: IP_address end configuration: {FAILED|OK}

説明 config floppy/memory/ network コマンドまたは write floppy/memory/network/standby コマンドを入力したときに表示されるメッセージです。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。

推奨処置 メッセージが OK で終わっている場合、対処は不要です。メッセージに障害が示されている場合には、問題の解決を試みてください。たとえば、フロッピー ディスクに保存する場合には、フロッピー ディスクが書き込み保護されていないこと、TFTP サーバに保存する場合には、サーバが稼働していることを確認します。

111005

エラー メッセージ %FWSM-5-111005: IP_address end configuration: OK

説明 コンフィギュレーション モードを終了すると表示されるメッセージです。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。

推奨処置 対処は不要です。

111007

エラー メッセージ %FWSM-5-111007: Begin configuration: IP_address reading from device.

説明 コンフィギュレーションを読み込むために、 reload コマンドまたは configure コマンドを入力したときに表示されるメッセージです。device には、floppy、memory、net、standby、または terminal が表示されます。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。

推奨処置 対処は不要です。

111008

エラー メッセージ %FWSM-5-111008: User user executed the command string

説明 ユーザがコンフィギュレーションを変更するコマンドを入力しました。

推奨処置 対処は不要です。

111009

エラー メッセージ %FWSM-7-111009:User user executed cmd: string

説明 ユーザがコンフィギュレーションを変更しないコマンドを入力しました。

推奨処置 対処は不要です。

111111

エラー メッセージ %FWSM-1-111111 error_message

説明 システム エラーまたはインフラストラクチャ エラーが発生しました。

推奨処置 このエラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントに関する詳細情報とともに、TAC に提出してください。

112001

エラー メッセージ %FWSM-2-112001: ( string : dec ) Clear complete.

説明 モジュールのコンフィギュレーションをクリアする要求が完了したときに表示されるメッセージです。送信元ファイルおよび行番号が表示されます。

推奨処置 対処は不要です。

113001

エラー メッセージ %FWSM-3-113001: Unable to open AAA session. Session limit [ limit ] reached.

説明 システム リソースが使用不能のため、IPSec トンネルに対する AAA 動作が実行できませんでした。 limit 値は、同時に実行できる AAA トランザクションの最大数を表します。

推奨処置 可能であれば、AAA リソースに対する要求を減らしてください。

113003

エラー メッセージ %FWSM-6-113003: AAA group policy for user user is being set to policy_name .

説明 トンネル グループに対応付けられたグループ ポリシーが、ユーザ固有のポリシー policy_name によって上書きされています。 policy_name は、LOCAL 認証を設定するときに username コマンドで設定したポリシー名か、または RADIUS 認証を設定するときに RADIUS CLASS アトリビュートで返されるポリシー名です。

推奨処置 対処は不要です。

113004

エラー メッセージ %FWSM-6-113004: AAA user aaa_type Successful: server = server_IP_address , User = user

説明 IPSec 接続の AAA 動作が正常に完了したことを示すメッセージです。AAA タイプは、[authentication]、[authorization]、または[accounting]です。 server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。

推奨処置 対処は不要です。

113005

エラー メッセージ %FWSM-6-113005: AAA user authentication Rejected: reason = string : server = server_IP_address , User = user

説明 IPSec 接続に対応付けられたユーザに関する認証要求または許可要求が拒否されたことを示すメッセージです。要求が拒否された理由は、 reason フィールドに表示されます。
server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。 aaa_operation は、authentication(認証)または authorization(許可)です。

推奨処置 対処は不要です。

113006

エラー メッセージ %FWSM-6-113006: User user locked out on exceeding number successive failed authentication attempts

説明 ローカルに設定されたユーザがロックアウトされています。このユーザに関する認証が一定の回数にわたって連続的に失敗し、管理者が clear aaa local user lockout コマンドを使用してユーザをアンロックしないかぎり、今後も認証が失敗することを示しています。 user は現在ロックされているユーザです。 number は、 aaa local authentication attempts max-fail コマンドで設定されている連続的な失敗のスレッシュホールドです。

推奨処置 clear_aaa_local_user_lockout コマンドを使用してユーザをアンロックするか、または許容される連続的な認証失敗の最大回数を調整してください。

113007

エラー メッセージ %FWSM-6-113007: User user unlocked by administrator

説明 ローカルに設定されたユーザが、 aaa local authentication attempts max-fail コマンドで設定されている連続的な認証失敗の最大回数を超過してロックアウトされたあと、特定の管理者によってアンロックされました。

推奨処置 対処は不要です。

113008

エラー メッセージ %FWSM-6-113008: AAA transaction status ACCEPT: user = user

説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが正常に完了しました。 user は、接続に対応付けられたユーザ名です。

推奨処置 対処は不要です。

113009

エラー メッセージ %FWSM-6-113009: AAA retrieved default group policy policy for user user

説明 IPSec の認証または許可の処理中に、このメッセージが表示される場合があります。 tunnel-group コマンドで指定されているグループ ポリシーのアトリビュートが取得されました。

推奨処置 対処は不要です。

113010

エラー メッセージ %FWSM-6-113010: AAA challenge received for user user from server server_ IP_address

説明 IPSec 接続の認証で、SecurID サーバを使用して認証が実行された場合に、このメッセージが表示されることがあります。認証に先立って、ユーザにさらに情報を要求するプロンプトが表示されます。 server _IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。

推奨処置 対処は不要です。

113011

エラー メッセージ %FWSM-6-113011: AAA retrieved user specific group policy policy for user user

説明 IPSec 接続の認証または許可の処理中に、このイベントが発生する場合があります。 tunnel-group コマンドで指定されているグループ ポリシーのアトリビュートが取得されました。

推奨処置 対処は不要です。

113012

エラー メッセージ %FWSM-6-113012: AAA user authentication Successful: local database : user = user

説明 IPSec 接続に対応付けられたユーザが、ローカル ユーザ データベースで正常に認証されました。 user は、接続に対応付けられたユーザ名です。

推奨処置 対処は不要です。

113013

エラー メッセージ %FWSM-6-113013: AAA unable to complete the request Error: reason = reason : user = user

説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが、エラーのため失敗したか、またはポリシー違反のため拒否されました。詳細情報は reason フィールドで提供されます。 user は、接続に対応付けられたユーザ名です。

推奨処置 対処は不要です。

113014

エラー メッセージ %FWSM-6-113014: AAA authentication server not accessible: server = server_ IP_address : user = user

説明 IPSec 接続に対応する AAA トランザクション中に、デバイスが設定された AAA サーバと通信できませんでした。 aaa-server グループで設定されているバックアップ サーバと、これらのサーバのアベイラビリティに応じて、ユーザの接続の試みが失敗したことを表す場合もあれば、そうでない場合もあります。

推奨処置 設定されている AAA サーバとの接続を確認してください。

113015

エラー メッセージ %FWSM-6-113015: AAA user authentication Rejected: reason = reason : local database: user = user

説明 IPSec 接続に対応付けられたユーザに関して、ローカル ユーザ データベースへの認証要求が拒否されました。要求が拒否された理由は、 reason フィールドで表示されます。 user は、接続に対応付けられたユーザ名です。

推奨処置 対処は不要です。

113016

エラー メッセージ %FWSM-6-113016: AAA credentials rejected: reason = reason : server = server_ IP_address : user = user

説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが、エラーのため失敗したか、またはポリシー違反のため拒否されました。詳細情報は reason フィールドで表示されます。 server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。

推奨処置 対処は不要です。

113017

エラー メッセージ %FWSM-6-113017: AAA credentials rejected: reason = reason : local database: user = user\

説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが、エラーのため失敗したか、またはポリシー違反のため拒否されたことを示すメッセージです。詳細情報は reason フィールドで表示されます。このイベントは、外部 AAA サーバではなくローカル ユーザ データベースを使用する AAA トランザクションの場合にのみ表示されます。 user は、接続に対応付けられたユーザ名です。

推奨処置 対処は不要です。

113018

エラー メッセージ %FWSM-3-113018: User: user , Unsupported downloaded ACL Entry: ACL_entry , Action: action

説明 認証サーバから、サポートされないフォーマットの ACL エントリがダウンロードされました。このメッセージの値について、次に説明します。

user ― ログインを試みたユーザ

ACL_entry ― 認証サーバからダウンロードされた、サポートされない ACL エントリ

action ― サポートされない ACL エントリを検出したときに実行されたアクション

推奨処置 管理者は、サポートされる ACL エントリのフォーマットに適合するよう、認証サーバ上の ACL エントリを変更する必要があります。

113019

エラー メッセージ %FWSM-4-113019: Group = group , Username = user , IP = peer_address , Session disconnected. Session Type: type , Duration: duration , Bytes xmt: count , Bytes rcv: count ,

説明 これは情報メッセージです。

group ― グループ名

user ― ユーザ名

peer_address ― ピアのアドレス

type ― セッション タイプ(IPSec、UDP など)

duration ― 接続の持続時間

count ― バイト数

推奨処置 対処は不要です。

199001

エラー メッセージ %FWSM-5-199001: Reload command executed from telnet (remote IP_address ).

説明 reload コマンドにより、Cisco ASA の再起動を開始したホストのアドレスを示すメッセージです。

推奨処置 対処は不要です。

199002

エラー メッセージ %FWSM-6-199002: startup completed. Beginning operation.

説明 Cisco ASA が初期ブートとフラッシュ メモリの読み込みシーケンスを終了し、正常に動作できる準備が整いました。


) このメッセージは、no logging message コマンドを使用してディセーブルにすることはできません。


推奨処置 対処は不要です。

199003

エラー メッセージ %FWSM-6-199003: Reducing link MTU dec .

説明 Cisco ASA が、内部ネットワークよりも大きい MTU を使用する外部ネットワークからパケットを受信しました。この場合、Cisco ASA は外部ホストに ICMP メッセージを送信し、適切な MTU をネゴシエートします。ログ メッセージには、ICMP メッセージのシーケンス番号が含まれます。

推奨処置 対処は不要です。

199005

エラー メッセージ %FWSM-6-199005: Startup begin

説明 Cisco ASA が起動しました。

推奨処置 対処は不要です。

199006

エラー メッセージ %FWSM-5-199006: Orderly reload started at when by whom . Reload reason: reason

説明 リロード動作が開始されたとき、このメッセージが生成されます。

when ― 順序に従ったリロード動作が開始された時刻。時刻のフォーマットは、hh:mm:ss timezone weekday month day year です(例:13:23:45 UTC Sun Dec 28 2003)。

whom ― リロードをスケジュールしたユーザまたはシステム

reason ― リロードの理由。完全な理由が表示されない場合、 unspecified というストリングが表示されます。

推奨処置 対処は不要です。

199907

エラー メッセージ %FWSM-5-1999007:IP detected an attached application using port port while removing context

説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。

推奨処置 対処は不要です。

199908

エラー メッセージ %FWSM-5-1999008: Protocol detected an attached application using local port local_port and destination port dest_port

説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。

推奨処置 対処は不要です。

199909

エラー メッセージ %FWSM-7-199009: ICMP detected an attached application while removing a context

説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。

推奨処置 対処は不要です。

メッセージ 201002 ~ 217001

ここでは、メッセージ 201002 ~ 217001 を示します。

201002

エラー メッセージ %FWSM-3-201002: Too many TCP connections on {static|xlate} global_address ! econns nconns

説明 接続関連メッセージです。特定のグローバル アドレスへの TCP 接続が最大数を超えたときに表示されます。econns 変数は初期接続の最大数、nconns 変数はスタティックまたは変換(xlate)が許可された接続の最大数です。

推奨処置 show static または show nat コマンドを使用して、スタティック アドレスへの接続の最大数を確認してください。この制限数は変更できます。

201003

エラー メッセージ %FWSM-2-201003: Embryonic limit exceeded nconns / elimit for outside_address / outside_port ( global_address ) inside_address / inside_port on interface interface_name

説明 Cisco ASA へのトラフィックに関する接続関連メッセージです。特定の外部アドレスから、特定のスタティック グローバル アドレス経由で、特定のローカル アドレスに宛てられた初期接続の数が、制限数を超えたことを示しています。Cisco ASA への初期接続が制限数に達すると、Cisco ASA はこれらの接続を受け入れようとしますが、接続にタイム リミットを適用します。これにより、Cisco ASA の稼働率がかなり高い場合でも、一部の接続を確立することができます。nconns 変数は受信した初期接続数、 elimit 変数は static コマンドまたは nat コマンドで指定されている初期接続の制限数を示します。

推奨処置 このメッセージは、メッセージ 201002 よりも重大な過負荷を示しています。SYN 攻撃を受けた場合、または正常なトラフィック量がきわめて増加した場合に、過負荷が発生します。show static コマンドを使用して、スタティック アドレスへの初期接続の最大数を確認してください。

201004

エラー メッセージ %FWSM-3-201004: Too many UDP connections on {static|xlate} global_address ! udp connections limit

説明 接続関連メッセージです。特定のグローバル アドレスへの UDP 接続の数が最大数を超えたときに表示されます。udp conn limit 変数は、スタティックまたは変換で許可される UDP 接続の最大数です。

推奨処置 show static または show nat コマンドを使用して、スタティック アドレスへの接続の最大数を確認してください。この最大数は変更できます。

201005

エラー メッセージ %FWSM-3-201005: FTP data connection failed for IP_address IP_address

説明 Cisco ASA がメモリ不足のため、FTP のデータ接続を追跡する構造を割り当てられませんでした。

推奨処置 メモリ使用量を減らすか、メモリを増設してください。

201006

エラー メッセージ %FWSM-3-201006: RCMD backconnection failed for IP_address / port

説明 接続関連メッセージです。メモリ不足のため、Cisco ASA が rsh コマンドの着信標準出力用の接続を事前に割り当てられないときに表示されます。

推奨処置 rsh クライアントのバージョンを確認してください。Cisco ASA がサポートするのは、Berkeley rsh だけです。また、メモリ使用量を減らすか、メモリを増設してください。

201008

エラー メッセージ %FWSM-3-201008: The Cisco ASA is disallowing new connections.

説明 TCP システム ログ メッセージをイネーブルにしていて syslog& サーバに到達できない場合、または Cisco ASA Syslog サーバ(PFSS)を使用していて Windows NT システムのディスクが満杯の場合に、このメッセージが表示されます。

推奨処置 TCP システム ログ メッセージをディセーブルにしてください。PFSS を使用している場合は、PFSS が存在する Windows NT システムのスペースを解放してください。また、Syslog サーバがアップしていて、Cisco ASA のコンソールからホストに ping を実行できることを確認してください。そのあと、TCP システム ログ メッセージを再開してトラフィックを流します。

201009

エラー メッセージ %FWSM-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded

説明 接続関連メッセージです。特定のスタティック アドレスへの接続が最大数を超えたときに表示されます。number 変数は、 IP_address 変数で表されるホストに許可される接続の最大数です。

推奨処置 特定のアドレスへの接続に関して設定されている制限をチェックするには、show static コマンドおよび show nat コマンドを使用します。この制限数は変更できます。

201010

エラー メッセージ %FWSM-3-201010: Embryonic connection limit exceeded econns / limit for dir packet from source_address / source_port to dest_address / dest_port on interface interface_name

説明 set connection embryonic-conn-max MPC コマンドでトラフィック クラスに対して設定されている、初期接続の制限数を超えたために、TCP 接続の確立に失敗しました。

econns ― 設定されているトラフィック クラスに対応する初期接続の現在の数

limit ― このトラフィック クラスに設定されている初期接続の制限数

dir
input:接続を開始する最初のパケットは、インターフェイス interface_name の入力パケットです。
output:接続を開始する最初のパケットは、インターフェイス interface_name の出力パケットです。

source_address / source_port ― 接続を開始するパケットの送信元 IP アドレスおよび送信元ポート

dest_address / dest_port ― 接続を開始するパケットの宛先 IP アドレスおよび宛先ポート

interface_name ― ポリシー制限が実施されるインターフェイスの名前

推奨処置 対処は不要です。

202001

エラー メッセージ %FWSM-3-202001: Out of address translation slots!

説明 接続関連メッセージです。Cisco ASA に使用可能なアドレス変換スロットが残っていない場合に、このメッセージが表示されます。

推奨処置 グローバル プールのサイズが、内部ネットワークのクライアント数に適しているか確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。メモリ不足が原因でこのエラー メッセージが表示される場合もあります。メモリ使用量を減らすか、可能であればメモリを増設してください。

202005

エラー メッセージ %FWSM-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port

説明 接続関連メッセージです。接続オブジェクト(xlate)が不正なリストに含まれているときに表示されます。

推奨処置 TAC に連絡してください。

202011

エラー メッセージ %FWSM-3-202011: Connection limit exceeded econns / limit for dir packet from source_address / source_port to dest_address / dest_port on interface interface_name

説明 set connection conn-max MPC コマンドでトラフィック クラスに対して設定されている接続の制限数を超過したため、TCP または UDP 接続の作成が失敗したときに、このメッセージが表示されます。

econns ― 設定されているトラフィック クラスに対応する初期接続の現在の数

limit ― このトラフィック クラスに設定されている初期接続の制限数

dir
input ― 接続を開始する最初のパケットは、インターフェイス interface_name の入力パケットです。
output ― 接続を開始する最初のパケットは、インターフェイス interface_name の出力パケットです。

source_address / source_port ― 接続を開始するパケットの送信元 IP アドレスおよび送信元ポート

dest_address / dest_port ― 接続を開始するパケットの宛先 IP アドレスおよび宛先ポート

interface_name ― ポリシー制限が実施されるインターフェイスの名前

推奨処置 対処は不要です。

208005

エラー メッセージ %FWSM-3-208005: (function:line_num) clear command return code

説明 フラッシュ メモリのコンフィギュレーションを消去しようとしたときに、Cisco ASA がゼロ以外の値(内部エラー)を受信しました。このメッセージには、発生元のサブルーチンのファイル名と行番号が表示されます。

推奨処置 パフォーマンス上の理由から、エンド ホストが IP フラグメントを挿入しないように設定する必要があります。この設定変更は、おそらく NFS に起因するものです。読み取りおよび書き込みのサイズを、NFS のインターフェイス Maximum Transmisson Unit(MTU; 最大伝送ユニット)に合わせて設定してください。

209003

エラー メッセージ %FWSM-4-209003: Fragment database limit of number exceeded: src = source_address , dest = dest_address , proto = protocol , id = number

説明 再構築を待機中の IP フラグメント数が多すぎます。デフォルトでは、フラグメントの最大数は 200 です(最大数を上げる方法については、『 Cisco Security Appliance Command Reference 』の fragment size コマンドを参照してください)。Cisco ASA では、同時に再構築できる IP フラグメント数が制限されています。ネットワークに異常が発生した場合に、Cisco ASA のメモリ不足を回避するためです。通常、フラグメント化されるトラフィックは、トラフィック総数のうち、わずかな割合でなければなりません。例外は、フラグメント化されるトラフィックの割合が高い、UDP 接続で NFS を使用しているネットワーク環境です。このタイプのトラフィックを Cisco ASA 経由で転送する場合には、TCP 接続の NFS に変更することを検討してください。フラグメント化を防止する方法については、『 Cisco Security Appliance Command Reference 』の sysopt connection tcpmss bytes コマンドを参照してください。

推奨処置 このメッセージが頻発する場合には、DoS 攻撃が進行中である可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。

209004

エラー メッセージ %FWSM-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes : src = source_address , dest = dest_address , proto = protocol , id = number

説明 IP フラグメントの構造が不正です。再構築された IP パケットの合計サイズが、上限の 65535 バイトを超えています。

推奨処置 侵入イベントが進行中である可能性があります。このメッセージが頻発する場合には、リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。

209005

エラー メッセージ %FWSM-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.

説明 24 を超えるフラグメントに分割されている IP パケットを Cisco ASA が拒否しています。詳細については、『 Cisco Security Appliance Command Reference 』の fragment コマンドを参照してください。

推奨処置 侵入イベントが進行中である可能性があります。このメッセージが頻発する場合には、リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。 fragment chain xxx interface_name コマンドを使用すると、パケット単位のフラグメント数を変更できます。

210001

エラー メッセージ %FWSM-3-210001: LU sw_module_name error = number

説明 ステートフル フェールオーバー エラーが発生しました。

推奨処置 Cisco ASA を通過するトラフィックが減少しても、このエラーが頻発する場合には、Cisco TAC に連絡してください。

210002

エラー メッセージ %FWSM-3-210002: LU allocate block ( bytes ) failed.

説明 ステートフル フェールオーバーで、スタンバイ Cisco ASA にステートフル情報を送信するためのメモリ ブロックを割り当てられなかったことを示しています。

推奨処置 show interface コマンドを使用してフェールオーバー インターフェイスを調べ、正常に送信できるかどうかを確認してください。また、 show block コマンドを使用して、現在のメモリ ブロックを確認してください。いずれかのメモリ ブロック内で現在の使用可能メモリが 0 の場合には、Cisco ASA ソフトウェアを再起動し、メモリ ブロックの損失を回復してください。

210003

エラー メッセージ %FWSM-3-210003: Unknown LU Object number

説明 ステートフル フェールオーバーで、サポートされていない論理アップデート オブジェクトを受信したため、処理できませんでした。原因としては、メモリの損傷、LAN 伝送、またはその他のイベントが考えられます。

推奨処置 このエラーが稀にしか発生しない場合、処置は不要です。このエラーが頻発する場合は、ステートフル フェールオーバー リンクの LAN 接続を確認してください。フェールオーバー リンクの LAN 接続の障害がエラーの原因でなかった場合は、外部ユーザが保護されたネットワークの脆弱化を試みていないかどうかを確認してください。誤って設定されているクライアントがないかどうかを確認してください。

210005

エラー メッセージ %FWSM-3-210005: LU allocate connection failed

説明 ステートフル フェールオーバーで、スタンバイ装置に新しい接続を割り当てることができません。Cisco ASA 上で使用可能な RAM(ランダム アクセス メモリ)が不足しているか、RAM の空き容量がなくなっている可能性があります。

推奨処置 show memory コマンドを使用して使用可能なメモリを調べ、Cisco ASA にシステムの空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合には、Cisco ASA のメモリを増設してください。

210006

エラー メッセージ %FWSM-3-210006: LU look NAT for IP_address failed

説明 ステートフル フェールオーバーで、スタンバイ装置上の IP アドレスに対応する NAT グループを検索できませんでした。アクティブおよびスタンバイの Cisco ASA 装置が同期化されていない可能性があります。

推奨処置 アクティブ装置上で write standby コマンドを使用し、スタンバイ装置とシステム メモリを同期化してください。

210007

エラー メッセージ %FWSM-3-210007: LU allocate xlate failed

説明 ステートフル フェールオーバーで、変換(xlate)スロット レコードの割り当てに失敗しました。

推奨処置 show memory コマンドを使用して使用可能なメモリを調べ、Cisco ASA にシステムの空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合は、メモリを増設してください。

210008

エラー メッセージ %FWSM-3-210008: LU no xlate for inside_address / inside_port outside_address / outside_port

説明 ステートフル フェールオーバー接続用の変換スロット(xlate)レコードが見つからないため、接続情報を処理できません。

推奨処置 アクティブ装置上で write standby コマンドを入力し、アクティブ装置とスタンバイ装置のシステム メモリを同期化してください。

210010

エラー メッセージ %FWSM-3-210010: LU make UDP connection for outside_address : outside_port inside_address : inside_port failed

説明 ステートフル フェールオーバーで、UDP 接続用の新しいレコードを割り当てられませんでした。

推奨処置 show memory コマンドを使用して使用可能なメモリを調べ、Cisco ASA にシステムの空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合は、メモリを増設してください。

210020

エラー メッセージ %FWSM-3-210020: LU PAT port port reserve failed

説明 ステートフル フェールオーバーで、使用中の特定の PAT アドレスを割り当てられませんでした。

推奨処置 アクティブ装置上で write standby コマンドを入力し、アクティブ装置とスタンバイ装置のシステム メモリを同期化してください。

210021

エラー メッセージ %FWSM-3-210021: LU create static xlate global_address ifc interface_name failed

説明 ステートフル フェールオーバーで、変換スロット(xlate)を作成できませんでした。

推奨処置 アクティブ装置上で write standby コマンドを入力し、アクティブ装置とスタンバイ装置のシステム メモリを同期化してください。

210022

エラー メッセージ %FWSM-6-210022: LU missed number updates

説明 ステートフル フェールオーバーでは、スタンバイ装置に送信する各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が、最新の更新レコードの順序と異なる場合、抜けている番号の情報が失われたとみなされ、このエラー メッセージが表示されます。

推奨処置 LAN の割り込みが発生していなければ、両方の Cisco ASA 装置の使用可能なメモリを調べ、ステートフル情報を処理できる十分なメモリがあるかどうかを確認してください。 show failover コマンドを使用して、ステートフル情報の更新状況をモニタしてください。

211001

エラー メッセージ %FWSM-3-211001: Memory allocation Error

説明 RAM の割り当てに失敗しました。

推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。

211003

エラー メッセージ %FWSM-3-211003: CPU utilization for number seconds = percent

説明 number で示される秒数にわたり、CPU 使用率が 100% を超えると、このメッセージが表示されます。

推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。

212001

エラー メッセージ %FWSM-3-212001: Unable to open SNMP channel (UDP port port ) on interface interface_number , error code = code

説明 SNMP メッセージです。このインターフェイス上にある SNMP 管理ステーションから Cisco ASA に宛てられた SNMP 要求を、Cisco ASA 上で受信できないことを示しています。これは、任意のインターフェイスから Cisco ASA を通過する SNMP トラフィックには影響しません。

エラー コード -1 は、Cisco ASA がこのインターフェイスで SNMP 転送を開けなかったことを表します。これは、SNMP がクエリを受け付けるポートを、すでに他の機能に使用されているポートに変更しようとした場合に発生することがあります。この場合、SNMP が使用するポートは、着信 SNMP クエリに関するデフォルトのポート(UDP/161)にリセットされます。

エラー コード -2 は、Cisco ASA がこのインターフェイスで SNMP 転送をバインドできなかったことを表します。

推奨処置 トラフィックが減少して Cisco ASA が一部のリソースを取り戻したとき、そのインターフェイスに関して snmp-server host コマンドを再入力してください。

212002

エラー メッセージ %FWSM-3-212002: Unable to open SNMP trap channel (UDP port port ) on interface interface_number , error code = code

説明 SNMP メッセージです。このインターフェイス上にある SNMP 管理ステーションに対して Cisco ASA が Cisco ASA からの SNMP トラップを送信できないことを示しています。これは、任意のインターフェイスから Cisco ASA を通過する SNMP トラフィックには影響しません。

エラー コード -1 は、Cisco ASA がこのインターフェイスで SNMP トラップ転送を開けなかったことを示します。

エラー コード -2 は、Cisco ASA がこのインターフェイスで SNMP トラップ転送をバインドできなかったことを示します。

推奨処置 トラフィックが減少して Cisco ASA が一部のリソースを取り戻したとき、そのインターフェイスに関して snmp-server host コマンドを再入力してください。

212003

エラー メッセージ %FWSM-3-212003: Unable to receive an SNMP request on interface interface_number , error code = code , will try again.

説明 SNMP メッセージです。特定のインターフェイス上の Cisco ASA への SNMP 要求の受信時に、内部エラーが発生したときに表示されます。

推奨処置 対処は不要です。Cisco ASA の SNMP エージェントは、次の SNMP 要求を待機します。

212004

エラー メッセージ %FWSM-3-212004: Unable to send an SNMP response to IP Address IP_address Port port interface interface_number , error code = code

説明 SNMP メッセージです。Cisco ASA から特定インターフェイス上の特定のホストへの SNMP 応答の送信時に、内部エラーが発生したときに表示されます。

推奨処置 対処は不要です。

212005

エラー メッセージ %FWSM-3-212005: incoming SNMP request ( number bytes) on interface interface_name exceeds data buffer size, discarding this SNMP request.

説明 SNMP メッセージです。Cisco ASA に宛てられた着信 SNMP 要求の長さが、内部処理中に要求を保存する内部データ バッファのサイズ(512 バイト)を超えたことを示しています。Cisco ASA はこの要求を処理できません。この状況は、任意のインターフェイスから Cisco ASA を通過する SNMP トラフィックには影響しません。

推奨処置 SNMP 管理ステーションが短い要求を送信するように設定してください。たとえば、1 つの要求で複数の MIB 変数のクエリを送信するのではなく、1 つの要求に 1 つの MIB 変数のクエリだけを送信するようにします。SNMP マネージャ ソフトウェアの設定変更が必要になることがあります。

212006

エラー メッセージ %FWSM-3-212006: Dropping SNMP request from source_address / source_port to interface_name : dest_address / dest_port because: reason .

説明 SNMP メッセージです。デバイスが自身に対する SNMP 要求を、次の理由で処理できなかったときに表示されます。

snmp-server がディセーブルであるため

SNMPv3 をサポートしていないため

推奨処置 snmp-server enable コマンドを発行し、SNMP デーモンが動作しているかどうかを確認してください。デバイスが処理するのは、SNMPv1 パケットおよび v2c パケットだけです。

214001

エラー メッセージ %FWSM-2-214001: Terminating manager session from IP_address on interface interface_name . Reason: incoming encrypted data ( number bytes) longer than number bytes

説明 Cisco ASA の管理ポートに宛てられた暗号化データ パケットの長さが、特定の上限値を超えています。悪意のある行為の可能性があります。Cisco ASA はこの管理接続をただちに終了します。

推奨処置 管理接続が Cisco Secure Policy Manager によって開始されたものであるかどうかを確認してください。

215001

エラー メッセージ %FWSM-2-215001:Bad route_compress() call, sdb= number

説明 内部ソフトウェア エラーが発生しました。

推奨処置 TAC に連絡してください。

217001

エラー メッセージ %FWSM-2-217001: No memory for string in string

説明 メモリ不足のため動作が失敗しました。

推奨処置 十分なメモリがある場合は、このエラー メッセージをコピーし、コンフィギュレーションおよびエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

メッセージ 302003 ~ 326028

ここでは、メッセージ 302003326028 を示します。

302003

エラー メッセージ %FWSM-6-302003: Built H245 connection for foreign_address outside_address / outside_port local_address inside_address / inside_port

説明 接続関連メッセージです。 outside_address から inside_address に H.245 接続が開始されたときに、このメッセージが表示されます。このメッセージが発生するのは、Cisco ASA が Intel Internet Phone の使用を検出した場合だけです。外部ポート(outside_port)が表示されるのは、Cisco ASA の外部からの接続の場合だけです。ローカル ポート値(inside_port)が表示されるのは、内部インターフェイス上で開始された接続の場合だけです。

推奨処置 対処は不要です。

302004

エラー メッセージ %FWSM-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address / outside_port to local_address inside_address /inside_port

説明 接続関連メッセージです。ローカル アドレス( inside_address) から外部アドレス( outside_address) に H.323 UDP バック接続があらかじめ割り当てられたときに、このメッセージが表示されます。このメッセージが発生するのは、Cisco ASA が Intel Internet Phone の使用を検出した場合だけです。外部ポート( outside_port )が表示されるのは、Cisco ASA の外部からの接続の場合だけです。ローカル ポート値(inside_port)が表示されるのは、内部インターフェイス上で開始された接続の場合だけです。

推奨処置 対処は不要です。

302009

エラー メッセージ %FWSM-6-302009: Rebuilt TCP connection number for foreign_address outside_address / outside_port global_address global_address / global_port local_address inside_address / inside_port

説明 接続関連メッセージです。TCP 接続がフェールオーバー後に再確立されたときに、このメッセージが表示されます。もう一方の Cisco ASA に、同期パケットが送信されます。 outside_address IP アドレスは、外部ホストです。 global_address IP アドレスは、低いセキュリティ レベルのインターフェイスのグローバル アドレスです。 inside_address IP アドレスは、高いセキュリティ レベルのインターフェイス上の Cisco ASA の「向こう側」にあるローカル IP アドレスです。

推奨処置 対処は不要です。

302010

エラー メッセージ %FWSM-6-302010: connections in use, connections most used

説明 接続関連メッセージです。このメッセージは、TCP 接続が再開された後に表示されます。 connections は接続数です。

推奨処置 対処は不要です。

302012

エラー メッセージ %FWSM-6-302012: Pre-allocate H225 Call Signalling Connection for faddr IP_address / port to laddr IP_address

説明 H.225 セカンダリ チャネルがあらかじめ割り当てられています。

推奨処置 対処は不要です。

302013

エラー メッセージ %FWSM-6-302013: Built {inbound|outbound} TCP connection _ id for interface:real-address/real-port ( mapped-address/mapped-port ) to interface:real-address / real-port ( mapped-address/mapped-port ) [( user )]

説明 2 つのホスト間に TCP 接続スロットが作成されました。

connection_id は、Unique Identifier(UID; 固有識別情報)です。

interface real-address real-port は、実ソケットを表します。

mapped-address、mapped-port は、マッピングされたソケットを表します。

user は、ユーザの AAA 名です。

inbound が表示される場合、最初の制御接続は外部から開始されています。たとえば、FTP では、最初の制御チャネルが inbound であれば、データ転送チャネルはすべて inbound です。outbound が表示される場合、最初の制御接続は内部から開始されています。

推奨処置 対処は不要です。

302014

エラー メッセージ %FWSM-6-302014: Teardown TCP connection id for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [ reason ] [( user )]

説明 2 つのホスト間の TCP 接続スロットが削除されました。次に、このメッセージの値を示します。

connection id は、UID です。

interface、real-address、real-port は、実ソケットを表します。

duration は、接続の持続時間です。

bytes bytes は、その接続で転送されたデータ量です。

user は、ユーザの AAA 名です。

reason 変数は、接続を終了させた動作を表します。 reason 変数は、 表2-2 に示されている TCP 終了理由のいずれかに設定されます。

 

表2-2 TCP 終了の理由

理由
説明

Conn-timeout

接続がアイドル状態のまま設定されたアイドル タイムアウトが経過し、接続が終了

Deny Terminate

アプリケーションの検証によってフローが終了

FIN Timeout

最後の ACK を 10 分間にわたって待機後、またはハーフ クローズ タイムアウト後に強制終了

Flow closed by inspection

検査機能によってフローが終了

Flow terminated by IPS

IPS によってフローが終了

Flow reset by IPS

IPS によってフローがリセット

Invalid SYN

SYN パケットが無効

Idle Timeout

アイドル時間がタイムアウト値を超過したため接続がタイムアウト

IPS fail-close

IPS カードがダウンしたためフローが終了

SYN Control

不正な側からのバック チャネルの開始

SYN Timeout

1 往復半ハンドシェークの完了を 2 分待機したあと、強制的に終了

TCP bad retransmission

TCP 再送信が不良のため接続が終了

TCP FINs

通常のクローズ ダウン シーケンス

TCP Invalid SYN

TCP SYN パケットが無効

TCP Reset-I

内部からのリセット

TCP Reset-O

外部からのリセット

TCP segment partial overlap

部分的に重複するセグメントを検出

TCP unexpected window size variation

TCP ウィンドウ サイズの変化により接続が終了

Tunnel has been torn down

トンネルがダウンしたためフローが終了

Unauth Deny

URL フィルタによる拒否

Unknown

catch-all エラー

Xlate Clear

コマンドラインの削除

推奨処置 対処は不要です。

302015

エラー メッセージ %FWSM-6-302015: Built {inbound|outbound} UDP connection number for interface_name:real_address/real_port ( mapped_address/mapped_port ) to interface_name:real_address / real_port ( mapped_address/mapped_port ) [( user )]

説明 2 つのホスト間の UDP 接続スロットが作成されました。次に、このメッセージの値を示します。

connection number ― UID

interface、real_address、real_port ― 実ソケット

mapped_address および mapped_port ― マッピングされたソケット

user ― ユーザの AAA 名

inbound が指定されている場合、最初の制御接続は外部から開始されています。たとえば、UDP では、最初の制御チャネルが inbound であれば、データ転送チャネルはすべて inbound です。outbound が表示される場合、最初の制御接続は内部から開始されています。

推奨処置 対処は不要です。

302016

エラー メッセージ %FWSM-6-302016: Teardown UDP connection number for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [( user )]

説明 2 つのホスト間の UDP 接続スロットが削除されました。次に、このメッセージの値を示します。

connection number は、UID です。

interface、real_address、real_port は、実ソケットです。

time は、接続の持続時間です。

bytes は、その接続で転送されたデータ量です。

connection id は、UID です。

interface、real-address、real-port は、実ソケットです。

duration は、接続の持続時間です。

bytes は、その接続で転送されたデータ量です。

user は、ユーザの AAA 名です。

推奨処置 対処は不要です。

302017

エラー メッセージ %FWSM-6-302017: Built { inbound | outbound } GRE connection id from
interface:real_address ( translated_address ) to interface:real_address/real_cid ( translated_address/translated_cid )[( user )

説明 2 つのホスト間の GRE 接続スロットが作成されました。 id は、UID です。 interface、real_address、real_cid は、2 つのシンプレックス PPTP GRE ストリームのいずれかを表します。カッコで囲まれた translated_address translated_cid は、NAT で変換後の値です。

If inbound が表示される場合、この接続は着信にしか使用できません。 outbound が表示される場合、この接続は発信にしか使用できません。次に、このメッセージの値を示します。

id ― 接続を表す固有の番号

inbound ― 制御接続は着信 PPTP GRE フロー用

outbound ― 制御接続は発信 PPTP GRE フロー用

interface_name ― インターフェイス名

real_address ― 実ホストの IP アドレス

real_cid ― 接続の変換前のコール ID

translated_address ― 変換後の IP アドレス

translated_cid ― 変換後のコール

user ― AAA ユーザ名

推奨処置 これは情報メッセージです。

302018

エラー メッセージ %FWSM-6-302018: Teardown GRE connection id from interface:real_address ( translated_address ) to interface:real_address/real_cid ( translated_address/translated_cid ) duration hh:mm:ss bytes bytes [( user )]

説明 2 つのホスト間の GRE 接続スロットが削除されました。 interface、real_address、real_port は、実ソケットを表します。 duration は、接続の持続時間です。次に、このメッセージの値を示します。

id ― 接続を表す固有の番号

interface ― インターフェイス名

real_address ― 実ホストの IP アドレス

real_port ― 実ホストのポート番号

hh:mm:ss ― 時分秒フォーマットの時刻

bytes ― GRE セッションで転送された PPP バイト数

reason ― 接続が終了した理由

user ― AAA ユーザ名

推奨処置 これは情報メッセージです。

302019

エラー メッセージ %FWSM-3-302019: H.323 library_name ASN Library failed to initialize, error code number

説明 Cisco ASA が H.323 メッセージのデコードに使用する特定の ASN ライブラリが初期化に失敗しました。Cisco ASA は、着信する H.323 パケットをデコードまたは検査できません。Cisco ASA は、H.323 パケットを変更なしで通過させます。次に H.323 メッセージが着信すると、Cisco ASA は再びライブラリの初期化を試みます。

推奨処置 特定のライブラリに関してこのメッセージが常に表示される場合は、Cisco TAC に連絡し、すべてのログ メッセージ(なるべくタイムスタンプ付きで)を提出してください。

302020

エラー メッセージ %FWSM-6-302020: Built {in | out}bound ICMP connection for faddr
{ faddr | icmp_seq_num} gaddr { gaddr | cmp_type } laddr laddr

説明 fixup protocol icmp コマンドを使用してステートフル ICMP をイネーブルにしたとき、ICMP セッションが fast-path で確立されました。

推奨処置 対処は不要です。

302021

エラー メッセージ %FWSM-6-302021: Teardown ICMP connection for faddr { faddr | icmp_seq_num } gaddr { gaddr | cmp_type } laddr laddr

説明 fixup protocol icmp コマンドを使用してステートフル ICMP をイネーブルにしたとき、ICMP セッションが fast-path で削除されました。

推奨処置 対処は不要です。

302022

エラー メッセージ %FWSM-6-302022: Built IP protocol 103 connection 219025360 for int_112:172.16.2.1 (172.16.2.1) to int_102:172.16.112.2 (172.16.112.2)

説明 2 つのホスト間の TCP/UDP 以外の接続スロットが作成されました。

推奨処置 対処は不要です。

302023

エラー メッセージ %FWSM-6-302023: Teardown IP protocol 103 connection 219025359 for int_102:172.16.2.1 to int_112:172.16.112.2 duration 0:00:35 bytes 74

説明 2 つのホスト間の TCP/UDP 以外の接続スロットが削除されました。

推奨処置 対処は不要です。

302302

エラー メッセージ %FWSM-3-302302: ACL = deny; no sa created

説明 IPSec プロキシが一致しません。ネゴシエートした SA のプロキシ ホストが、access-listコマンドの deny ポリシーの対象です。

推奨処置 コンフィギュレーションの access-list コマンド ステートメントを確認してください。ピアの管理者に連絡してください。

303002

エラー メッセージ %FWSM-6-303002: source_address {Stored|Retrieved} dest_address : mapped_address

説明 FTP/URL メッセージです。特定のホストが、特定の FTP サイトからデータの保存または検索を試みたときに表示されます。

推奨処置 対処は不要です。

303003

エラー メッセージ %FWSM-6-303003: FTP cmd_name command denied - failed strict inspection, terminating connection from source_interface : source_address / source_port to dest_interface : dest_address / dest_port

説明 FTP トラフィックに対してストリクト インスペクションを使用するときに、このメッセージが表示されます。 ftp-map コマンドによるストリクト FTP インスペクション ポリシーによって FTP 要求コマンドが拒否された場合に表示されます。

推奨処置 対処は不要です。

303004

エラー メッセージ %FWSM-5-303004: FTP cmd_string command unsupported - failed strict inspection, terminating connection from source_interface : source_address / source_port to dest_interface : dest_address / dest_interface

説明 FTP トラフィックに対してストリクト FTP インスペクションを使用するときに、このメッセージが表示されます。FTP 要求メッセージに、デバイスが認識できないコマンドが含まれている場合に表示されます。

推奨処置 対処は不要です。

304001

エラー メッセージ %FWSM-5-304001: user source_address Accessed {JAVA URL|URL} dest_address : url .

説明 FTP/URL メッセージです。特定のホストが特定の URL にアクセスを試みたときに表示されます。

推奨処置 対処は不要です。

304002

エラー メッセージ %FWSM-5-304002: Access denied URL chars SRC IP_address DEST IP_address : chars

説明 FTP/URL メッセージです。送信元アドレスから特定の URL または FTP サイトへのアクセスが拒否されたときに表示されます。

推奨処置 対処は不要です。

304003

エラー メッセージ %FWSM-3-304003: URL Server IP_address timed out URL url

説明 URL サーバがタイムアウトしました。

推奨処置 対処は不要です。

304004

エラー メッセージ %FWSM-6-304004: URL Server IP_address request failed URL url

説明 FTP/URL メッセージです。Websense サーバ要求が失敗したときに表示されます。

推奨処置 対処は不要です。

304005

エラー メッセージ %FWSM-7-304005: URL Server IP_address request pending URL url

説明 FTP/URL メッセージです。Websense サーバ要求が待機中であるときに表示されます。

推奨処置 対処は不要です。

304006

エラー メッセージ %FWSM-3-304006: URL Server IP_address not responding

説明 FTP/URL メッセージです。Websense サーバにアクセスできません。これが唯一のサーバである場合、Cisco ASA は同じサーバへのアクセスを試みようとしています。複数のサーバがある場合、別のサーバにアクセスをしようとしています。

推奨処置 対処は不要です。

304007

エラー メッセージ %FWSM-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.

説明 FTP/URL メッセージです。filter コマンドの allow オプションを使用したとき、Websense サーバから応答がないときに表示されます。Cisco ASA は、サーバから応答があるまで、すべての Web 要求をフィルタリングせずに続行させます。

推奨処置 対処は不要です。

304008

エラー メッセージ %FWSM-2-304008: LEAVING ALLOW mode, URL Server is up.

説明 FTP/URL メッセージです。filter コマンドの allow オプションを使用したとき、Cisco ASA が、それまで応答のなかった Websense サーバから応答メッセージを受信したときに表示されます。この応答メッセージを受信すると、Cisco ASA は許可モードを終了し、URL フィルタリング機能を再びイネーブルにします。

推奨処置 対処は不要です。

304009

エラー メッセージ %FWSM-7-304009: Ran out of buffer blocks specified by url-block command

説明 URL 待機バッファ ブロックのスペースが不足しています。

推奨処置 url-block block block_size コマンドを使用して、バッファ ブロック サイズを変更してください。

305005

エラー メッセージ %FWSM-3-305005: No translation group found for protocol src interface_name:dest_address / dest_port dst interface_name : source_address/source_port

説明 パケットが発信 nat コマンドのルールと一致しません。

推奨処置 このメッセージはコンフィギュレーション エラーを示しています。送信元ホストにダイナミック NAT を使用する場合は、 nat コマンドが送信元 IP アドレスと一致しているかどうかを確認してください。送信元ホストにスタティック NAT を使用する場合は、 static コマンドのローカル IP アドレスが一致しているかどうかを確認してください。送信元ホストに NAT を使用しない場合は、NAT 0 ACL にバインドされた ACL(アクセス制御リスト)を確認してください。

305006

エラー メッセージ %FWSM-3-305006: {outbound static|identity|portmap|regular) translation creation failed for protocol src interface_name:source_address/source_port dst interface_name:dest_address/dest_port

説明 プロトコル(UDP、TCP、または ICMP)が Cisco ASA 経由で変換を作成できませんでした。このメッセージは、Cisco ASA にネットワーク アドレスまたはブロードキャスト アドレス宛てのパケットを許可しないように要求した注意事項 CSCdr0063 への対策として表示されます。Cisco ASA は、static コマンド ステートメントで明示的に指定されたアドレスに対して、このチェックを行います。この変更があると、着信トラフィックについて、Cisco ASA は宛先 IP アドレスがネットワーク アドレスまたはブロードキャスト アドレスの場合、変換を拒否します。

Cisco ASA は、すべての ICMP メッセージ タイプに PAT を適用するわけではなく、PAT ICMP エコーおよびエコー/応答パケット(タイプ 8 および 0)のみ適用します。具体的にいうと、ICMP エコーまたはエコー/応答パケットだけが PAT xlate を作成します。したがって、その他の ICMP メッセージ タイプが廃棄されると、システム ログ メッセージ 305006が(Cisco ASA 上で)生成されます。

Cisco ASA は、static コマンド ステートメントに設定されたグローバル IP およびマスクを使用して、標準 IP アドレスとネットワーク IP アドレスまたはブロードキャスト IP アドレスを区別します。グローバル IP アドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、Cisco ASA は着信パケットについて、ネットワーク IP アドレスまたはブロードキャスト IP アドレス用の変換(xlate)を作成しません。

次に例を示します。

static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128

 

グローバル アドレス 10.2.2.128 がネットワーク アドレスとして、10.2.2.255 がブロードキャスト アドレスとして応答されます。既存の変換がない場合、Cisco ASA は 10.2.2.128 または 10.2.2.255 宛の着信パケットを拒否し、このシステム ログ メッセージを生成します。

疑わしい IP がホスト IP である場合、サブネットの static の前に、ホスト マスクを指定した static コマンドを個別に設定します(static コマンド ステートメントに関する最初の一致のルール)。次の static コマンドを使用すると、Cisco ASA は 10.2.2.128 に対しホスト アドレスとして応答します。

static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128

 

疑わしい IP アドレスを持つ内部ホストから開始されたトラフィックによって、変換が作成される場合があります。Cisco ASA は、ネットワーク IP アドレスまたはブロードキャスト IP アドレスを、サブネットの static 設定が重複したホスト IP アドレスとみなすので、ネットワーク アドレス変換は、両方の static コマンドで同じでなければなりません。

推奨処置 対処は不要です。

305007

エラー メッセージ %FWSM-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number

説明 Cisco ASA が、どのグローバル プールにも存在しないアドレスの変換を試みました。Cisco ASA はこのアドレスが削除されているものとみなし、要求を廃棄します。

推奨処置 対処は不要です。

305008

エラー メッセージ %FWSM-3-305008: Free unallocated global IP address.

説明 Cisco ASA カーネルが、未割り当てのグローバル IP アドレスを解放してアドレス プールに返そうとするという、矛盾した状態が発生したことを検知しました。Cisco ASA のステートフル フェールオーバーのセットアップ中に、アクティブ装置とスタンバイ装置間で一部の内部ステートが瞬間的に同期外れになった場合、この状態が発生することがあります。重大な状態ではないので、同期は自動的に回復します。

推奨処置 このメッセージが継続的に表示される場合は、TAC に報告してください。

305009

エラー メッセージ %FWSM-6-305009: Built {dynamic|static} translation from interface_name [( acl-name )]: real_address to interface_name:mapped_address

説明 アドレス変換スロットが作成されました。このスロットは、送信元アドレスをローカル側からグローバル側に変換します。逆方向では、このスロットは宛先アドレスをグローバル側からローカル側に変換します。

推奨処置 対処は不要です。

305010

エラー メッセージ %FWSM-6-305010: Teardown {dynamic|static} translation from interface_name:real_address to interface_name:mapped_address duration time

説明 アドレス変換スロットが削除されました。

推奨処置 対処は不要です。

305011

エラー メッセージ %FWSM-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address/real_port to interface_name:mapped_address/mapped_port

説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。このスロットは、送信元ソケットをローカル側からグローバル側に変換します。逆方向では、このスロットは宛先ソケットをグローバル側からローカル側に変換します。

推奨処置 対処は不要です。

305012

エラー メッセージ %FWSM-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name [( acl-name )]: real_address /{ real_port | real_ICMP_ID }to interface_name:mapped_address /{ mapped_port | mapped_ICMP_ID } duration time

説明 アドレス変換スロットが削除されました。

推奨処置 対処は不要です。

308001

エラー メッセージ %FWSM-6-308001: console enable password incorrect for number tries (from IP_address )

説明 Cisco ASA 管理メッセージです。イネーブル モードを開始するパスワードが、特定の回数だけ誤って入力されたときに表示されます。入力できるのは、3 回までです。

推奨処置 パスワードを確認し、再び接続を試みてください。

308002

エラー メッセージ %FWSM-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address

説明 1 つまたは複数の static コマンド ステートメントで IP アドレスが重複しています。 global_address はセキュリティ レベルの低いインターフェイス上のグローバル アドレス、 inside_address はセキュリティ レベルの高いインターフェイス上のローカル アドレスです。

推奨処置 show static コマンドを使用して、コンフィギュレーションの static コマンド ステートメントを表示し、重複するコマンドを修正してください。最も一般的な重複は、10.1.1.0 などのネットワーク アドレスを指定し、別の static コマンドで 10.1.1.5 など、その範囲内のホストを指定したときに発生します。

311001

エラー メッセージ %FWSM-6-311001: LU loading standby start

説明 スタンバイ Cisco ASA が初めてオンラインになったときに、スタンバイ Cisco ASA にステートフル フェールオーバー アップデート情報が送信されました。

推奨処置 対処は不要です。

311002

エラー メッセージ %FWSM-6-311002: LU loading standby end

説明 スタンバイ Cisco ASA へのステートフル フェールオーバー アップデート情報の送信が停止しました。

推奨処置 対処は不要です。

311003

エラー メッセージ %FWSM-6-311003: LU recv thread up

説明 スタンバイ Cisco ASA からのアップデート確認応答を受信しました。

推奨処置 対処は不要です。

311004

エラー メッセージ %FWSM-6-311004: LU xmit thread up

説明 ステートフル フェールオーバー更新がスタンバイ Cisco ASA に送信されたことを示しています。

推奨処置 対処は不要です。

312001

エラー メッセージ %FWSM-6-312001: RIP hdr failed from IP_address : cmd= string , version= number domain= string on interface interface_name

説明 Cisco ASA が、応答以外のオペレーション コードを持つ RIP メッセージを受信しました。メッセージのバージョン番号がこのインターフェイスの予期した番号と異なり、ルーティング ドメイン エントリがゼロ以外です。

推奨処置 これは情報メッセージですが、他の RIP デバイスが Cisco ASA と通信するために正しく設定されていない可能性も示しています。

313001

エラー メッセージ %FWSM-3-313001: Denied ICMP type= number , code= code from IP_address on interface interface_name

説明 アクセス リストに icmp コマンドを使用したとき、最初に一致したエントリが許可エントリである場合、ICMP パケットは継続的に処理されます。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しない場合、Cisco ASA は ICMP パケットを廃棄して、このシステム ログ メッセージを生成します。 icmp コマンドにより、インターフェイスへの ping がイネーブルまたはディセーブルになります。ping がディセーブルの場合、ネットワーク上で Cisco ASA を検知できません。この機能は、Configurable Proxy Pinging とも呼ばれます。

推奨処置 ピア デバイスの管理者に連絡してください。

313003

エラー メッセージ %FWSM-4-313003: Invalid destination for ICMP error

説明 ICMP エラー メッセージの宛先が、その ICMP エラー メッセージの原因となった IP パケットの送信元と異なっています。

推奨処置 このメッセージが頻発する場合は、アクティブ なネットワーク プローブ、ICMP エラー メッセージを隠密的なチャネルとして使用する試み、または IP ホストの誤動作の可能性があります。ICMP エラー メッセージが発生したホストの管理者に連絡してください。

313004

エラー メッセージ %FWSM-4-313004:Denied ICMP type= icmp_type , from source_address oninterface interface_name to dest_address :no matching session

説明 ステートフル ICMP 機能によって追加されたセキュリティ チェックの結果、ICMP パケットが Cisco ASA によってドロップされました。通常、これに該当するのは、Cisco ASA を通過した有効なエコー要求が存在しない ICMP エコー応答や、Cisco ASA 上で確立された TCP、UDP、または ICMP セッションに関係しない ICMP エラー メッセージです。

推奨処置 対処は不要です。

314001

エラー メッセージ %FWSM-6-314001: Pre-allocate RTSP UDP backconnection for foreign_address outside_address / outside_port to local_address inside_address / inside_port

説明 Cisco ASA が、指定の IP アドレスおよびポートに対して RTSP 接続を開始しました。

推奨処置 対処は不要です。

315004

エラー メッセージ %FWSM-3-315004: Fail to establish SSH session because RSA host key retrieval failed.

説明 Cisco ASA が、SSH セッションの確立に必要な Cisco ASA の RSA ホスト キーを見つけられませんでした。Cisco ASA のホスト キーが生成されていないか、または Cisco ASA のライセンスで DES または 3DES が許可されていないため、ホスト キーが存在しない可能性があります。

推奨処置 コンソールから show ca mypubkey rsa コマンドを入力し、Cisco ASA の RSA ホスト キーが存在するかどうかを確認してください。存在しない場合には、show version コマンドを入力して、Cisco ASA のライセンスで DES または 3DES が許可されているかどうかを確認してください。

315011

エラー メッセージ %FWSM-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason

説明 このメッセージは、SSH セッションの完了後に表示されます。ユーザが quit または exit を入力した場合は、 terminated normally (正常終了)のメッセージが表示されます。ほかの理由でセッションが切断された場合には、その理由が表示されます。 表2-3 に、考えられるセッションの切断理由を示します。

 

表2-3 SSH の切断理由

テキスト ストリング
説明
処置

Bad checkbytes

SSH キー交換時にチェック バイトで不一致が検出されました。

SSH セッションを再起動してください。

CRC check failed

特定のパケットに関して計算された CRC 値が、パケットに組み込まれている CRC 値と一致しません。このパケットは不正です。

対処は不要です。このメッセージが続く場合は、TAC に連絡してください。

Decryption failure

SSH キー交換時に SSH セッション キーの復号化が失敗しました。

RSA ホスト キーを確認し、再試行してください。

Format error

SSH バージョン交換時に非プロトコル バージョン メッセージを受信しました。

SSH クライアントを調べ、サポートされているバージョンかどうかを確認してください。

Internal error

Cisco ASA 上の SSH の内部エラー、または RSA キーが Cisco ASA に入力されていないか検索できないことを示しています。

Cisco ASA コンソールから show ca mypubkey rsa コマンドを入力し、RSA ホスト キーが存在するかどうかを確認してください。存在しない場合、
show version コマンドも入力して、DES または 3DES が許可されているかどうかを確認してください。RSA ホストキーが存在している場合は、SSH セッションを再起動してください。

Invalid cipher type

SSH クライアントがサポート対象外のサイファを要求しました。

show version コマンドを使用して、ライセンスでサポートされている機能を確認し、サポート対象のサイファを使用するように SSH クライアントを再設定してください。

Invalid message length

Cisco ASA に着信した SSH メッセージの長さが 262,144 バイトを超えているか、または 4096 バイト未満です。データが壊れている可能性があります。

対処は不要です。

Invalid message type

Cisco ASA が非 SSH メッセージを受信したか、サポート対象外または不要な SSH メッセージを受信しました。

ピアが SSH クライアントであるかどうかを確認してください。クライアントが SSHv1 をサポートしており、このメッセージが続く場合には、Cisco ASA シリアル コンソールから debug ssh コマンドを入力して、デバッグ メッセージをキャプチャします。TAC に連絡してください。

Out of memory

一般にトラフィック量が多く Cisco ASA の稼働率が高いために、Cisco ASA が SSH サーバ用のメモリを割り当てられないことを示しています。

SSH セッションをあとで再起動してください。

Rejected by server

ユーザ認証に失敗しました。

ユーザ名とパスワードを確認するようにユーザに通知してください。

Reset by client

SSH クライアントが Cisco ASA に SSH_MSG_DISCONNECT メッセージを送信しました。

対処は不要です。

status code: hex ( hex )

ユーザが SSH コンソールで quit または exit を入力する代わりに、Windows 上で SSH クライアント ウィンドウを閉じました。

対処は不要です。クライアントを整然とした方法で終了するようにユーザに指示してください。

Terminated by operator

Cisco ASA のコンソールで
ssh disconnect コマンドを入力することにより、SSH セッションを終了しました。

対処は不要です。

Time-out activated

ssh timeout コマンドで指定された時間が経過し、SSH セッションがタイムアウトしました。

SSH 接続を再起動してください。必要な場合、ssh timeout コマンドを使用して、デフォルト値である 5 分を最大 60 分まで延長できます。

推奨処置 対処は不要です。

316001

エラー メッセージ %FWSM-3-316001: Denied new tunnel to IP_address . VPN peer limit ( platform_vpn_peer_limit ) exceeded

説明 プラットフォーム VPN ピアの制限数以上の VPN トンネル(ISAKMP/IPSec)の確立が同時に試みられた場合、余剰のトンネルが打ち切られます。

推奨処置 対処は不要です。

317001

エラー メッセージ %FWSM-3-317001: No memory available for limit_slow

説明 メモリ不足のため、要求された処理に失敗しました。

推奨処置 ほかのシステム動作を減らして、メモリを解放してください。必要に応じて、メモリ構成をアップグレードしてください。

317002

エラー メッセージ %FWSM-3-317002: Bad path index of number for IP_address , number max

説明 ソフトウェア エラーが発生しました。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

317003

エラー メッセージ %FWSM-3-317003: IP routing table creation failure - reason

説明 内部ソフトウェア エラーにより、新しい IP ルーティング テーブルを作成できませんでした。

推奨処置 表示されたメッセージを正確にコピーし、TAC に報告してください。

317004

エラー メッセージ %FWSM-3-317004: IP routing table limit warning

説明 指定の IP ルーティング テーブルのルート数が、設定されている警告制限数に達しました。

推奨処置 テーブル内のルート数を減らすか、制限数を再設定してください。

317005

エラー メッセージ %FWSM-3-317005: IP routing table limit exceeded - reason , IP_address netmask

説明 制限数を超えたルートをテーブルに追加しようとしています。

推奨処置 テーブル内のルート数を減らすか、制限数を再設定してください。

318001

エラー メッセージ %FWSM-3-318001: Internal error: reason

説明 内部ソフトウェア エラーが発生しました。このメッセージは 5 秒間隔で表示されます。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

318002

エラー メッセージ %FWSM-3-318002: Flagged as being an ABR without a backbone area

説明 ルータが Area Border Router(ABR; エリア境界ルータ)としてフラグ付けされましたが、ルータにバックボーン エリアが設定されていません。このメッセージは 5 秒間隔で表示されます。

推奨処置 OSPF プロセスを再起動してください。

318003

エラー メッセージ %FWSM-3-318003: Reached unknown state in neighbor state machine

説明 内部ソフトウェア エラーが発生しました。このメッセージは 5 秒間隔で表示されます。

推奨処置 対処は不要です。

318004

エラー メッセージ %FWSM-3-318004: area string lsid IP_address mask netmask adv IP_address type number

説明 OSPF の Link State Advertisement(LSA; リンク ステート アドバタイズ)検索に問題があり、メモリ リークが発生した可能性があります。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

318005

エラー メッセージ %FWSM-3-318005: lsid ip_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number

説明 OSPF のデータベースと IP ルーティング テーブルの間で矛盾が検出されました。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

318006

エラー メッセージ %FWSM-3-318006: if interface_name if_state number

説明 内部エラーが発生しました。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

318007

エラー メッセージ %FWSM-3-318007: OSPF is enabled on interface_name during idb initialization

説明 内部エラーが発生しました。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

318008

エラー メッセージ %FWSM-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id

説明 OSPF プロセスがリセットされ、新しいルータ ID を選択しています。これにより、すべての仮想リンクがダウンします。

推奨処置 新しいルータ ID が反映されるように、すべての仮想リンク ネイバ上で仮想リンク コンフィギュレーションを変更してください。

319001

エラー メッセージ %FWSM-3-319001: Acknowledge for arp update for IP address dest_address not received ( number ).

説明 システムの過負荷により、Cisco ASA の ARP プロセスの内部同期が失われました。

推奨処置 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。

319002

エラー メッセージ %FWSM-3-319002: Acknowledge for route update for IP address dest_address not received ( number ).

説明 システムの過負荷により、Cisco ASA のルーティング モジュールの内部同期が失われました。

推奨処置 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。

319003

エラー メッセージ %FWSM-3-319003: Arp update for IP address address to NPn failed.

説明 ARP エントリを更新するとき、内部 ARP テーブルを更新するためのメッセージが Network Processor(NP)に送信されます。このとき、FWSM のメモリ利用率が高かったり、内部テーブルが満杯であると、NP へのメッセージが拒否され、このメッセージが生成されることがあります。

推奨処置 ARP テーブルが満杯になっていないかどうかを確認してください。満杯でなければ、FWSM の負荷(CPU 利用率および 1 秒あたりの接続数)を調べてください。CPU 利用率が高い場合、または 1 秒あたりの接続数が多い場合には、通常の負荷に戻った時点で正常な動作が再開されます。

319004

エラー メッセージ %FWSM-3-319004: Route update for IP address dest_address failed ( number ).

説明 システムの過負荷により、FWSM のルーティング モジュールの内部同期が失われました。

推奨処置 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。

320001

エラー メッセージ %FWSM-3-320001: The subject name of the peer cert is not allowed for connection

説明 Cisco ASA が簡単な FWSM リモート デバイスまたはサーバである場合、ピアの証明書に、 ca verifycertdn コマンドと一致しない件名が含まれています。

推奨処置 このメッセージは、デバイスがピアの IP アドレスをスプーフィングし、Cisco ASA からの VPN 接続を代行受信しようとする「Man in the Middle」攻撃を表す場合があります。

321001

エラー メッセージ %FWSM-5-321001: Resource var1 limit of var2 reached.

説明 特定のリソースに設定されている使用率またはレート制限に達したことを示しています。

推奨処置 対処は不要です。

321002

エラー メッセージ %FWSM-5-321002: Resource var1 rate limit of var2 reached.

説明 特定のリソースに設定されている使用率またはレート制限に達したことを示しています。

推奨処置 対処は不要です。

321003

エラー メッセージ %FWSM-6-321003: Resource var1 log level of var2 reached.

説明 特定のリソースに設定されている使用率またはレート ログ レベルに達したことを示しています。

推奨処置 対処は不要です。

321004

エラー メッセージ %FWSM-6-321004: Resource var1 rate log level of var2 reached

説明 特定のリソースに設定されている使用率またはレート ログ レベルに達したことを示しています。

推奨処置 対処は不要です。

322001

エラー メッセージ %FWSM-3-322001: Deny MAC address MAC_address, possible spoof attempt on interface interface

説明 Cisco ASA が指定のインターフェイス上で不正な MAC アドレスからパケットを受信しましたが、パケットの送信元 MAC アドレスは、コンフィギュレーションにある別のインターフェイスに静的にバインドされています。原因としては、MAC スプーフィング攻撃またはコンフィギュレーションの誤りの可能性があります。

推奨処置 コンフィギュレーションを確認して適切に対処してください。不正なホストを検出するか、またはコンフィギュレーションを訂正します。

322002

エラー メッセージ %FWSM-3-322002: ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is {statically|dynamically} bound to MAC Address MAC_address_2 .

説明 ARP 検査モジュールがイネーブルの場合、パケットでアドバタイズされた新しい ARP エントリが、静的な設定または動的な学習による IP-MAC アドレス バインディングに適合しているかどうかをチェックした上で、Cisco ASA から ARP パケットが転送されます。このチェックに失敗すると、ARP 検査モジュールは ARP パケットをドロップし、このメッセージを生成します。この状況の原因としては、ネットワーク上の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)の可能性があります。

推奨処置 攻撃が原因である場合は、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションである場合は、バインディングを訂正してください。

322003

エラー メッセージ %FWSM-3-322003:ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is not bound to any MAC Address.

説明 ARP 検査モジュールがイネーブルの場合、パケットでアドバタイズされた新しい ARP エントリが、静的な設定による IP-MAC アドレス バインディングに適合しているかどうかをチェックした上で、Cisco ASA から ARP パケットが転送されます。このチェックに失敗すると、ARP 検査モジュールは ARP パケットをドロップし、このメッセージを生成します。この状況の原因としては、ネットワーク上の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)の可能性があります。

推奨処置 攻撃が原因である場合は、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションである場合は、バインディングを訂正してください。

322004

エラー メッセージ %FWSM-6-322004: No management IP address configured for transparent firewall. Dropping protocol protocol packet from interface_in : source_address / source_port to interface_out : dest_address / dest_port

説明 トランスペアレント モードで設定された管理 IP アドレスがないため、Cisco ASA がパケットを廃棄しました。

protocol ― プロトコルのストリングまたは値

interface_in ― 入力インターフェイス名

source_address ― パケットの送信元 IP アドレス

source_port ― パケットの送信元ポート

interface_out ― 出力インターフェイス名

dest_address ― パケットの宛先 IP アドレス

dest_port ― パケットの宛先ポート

推奨処置 デバイスに管理 IP アドレスおよびマスクの値を設定してください。

323004

エラー メッセージ %FWSM-3-323004: Module in slot slotnum failed to write software v newver (currently v ver ), reason . Hw-module reset is required before further use.

説明 指定のスロット番号のモジュールがソフトウェア バージョンの受け入れに失敗し、UNRESPONSIVE ステートに移行します。ソフトウェアを更新するまで、このモジュールは使用できません。

slotnum ― モジュールの搭載先スロット番号

newver ― モジュールに正常に書き込めなかったソフトウェアの新しいバージョン番号(例:1.0(1)0)

ver ― モジュールの現在のソフトウェア バージョン番号(例:1.0(1)0)

reason ― 新しいバージョンがモジュールに書き込めなかった理由。表示される可能性のある reason の値は次のとおりです。

write failure.

failed to create a thread to write the image.

推奨処置 hw-module module slotnum reset コマンドを使用してモジュールをリセットしてから、さらにアップグレードを試みてください。モジュール ソフトウェアが更新できないと、モジュールは使用できません。モジュールがシャーシに完全に装着されているかどうかを確認してください。モジュール ソフトウェアの更新を何回か試みても失敗する場合は、Cisco TAC に連絡してください。

323005

エラー メッセージ %FWSM-3-323005: Module in slot slotnum can not be powered on completely

説明 モジュールの電源が完全にオンにならないことを示すメッセージです。この状況が是正されるまで、モジュールは UNRESPONSIVE ステートのままになります。原因としては、モジュールがスロットに完全に装着されていない場合が考えられます。

slotnum ― モジュールの搭載先スロット番号

推奨処置 モジュールがスロットに完全に装着されているかどうか、モジュールのいずれかのステータス LED が点灯しているかどうかを確認します。モジュールを完全に装着し直したあと、そのモジュールが電源投入されたことをシステムが認識するまで、1 分ほどかかる場合があります。モジュールが確かに装着されていて、 hw-module module slotnum reset コマンドを使用してモジュールをリセットしても、このメッセージが表示される場合には、Cisco TAC に連絡してください。

324000

エラー メッセージ %FWSM-3-324000: Drop GTPv version message msg_type from source_interface : source_address / source_port to dest_interface : dest_address / dest_port Reason: reason

説明 処理中のパケットが、 reason 変数で指定されるフィルタリング要件を満たさないため廃棄されました。

推奨処置 対処は不要です。

324001

エラー メッセージ %FWSM-3-324001: GTPv0 packet parsing error from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value , Reason: reason

説明 パケットの処理中にエラーが発生しました。考えられる理由は次のとおりです。

必須の IE が欠落

必須の IE が不正

IE の順序が不正

無効なメッセージ フォーマット

オプションの IE が不正

無効な TEID

不明の IE

長さフィールドが不正

不明の GTP メッセージ

メッセージの長さが不足

予期しないメッセージの検出

ヌルの TID

サポート対象外のバージョン

推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。このメッセージが頻発する場合は、エンドポイントが攻撃の一環として不正なパケットを送信している可能性があります。

324002

エラー メッセージ %FWSM-3-324002: No PDP[MCB] exists to process GTPv0 msg_type from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value

説明 このメッセージの前にメッセージ 321100(メモリ割り当てエラー)が表示されている場合、このメッセージは、リソース不足のため PDP コンテキストを作成できなかったことを表します。このメッセージの前にメッセージ 321100 が表示されなかった場合、バージョン 0 の場合は、対応する PDP コンテキストが見つからなかったことを表します。バージョン 1 の場合は、このメッセージの前にメッセージ 324001 が表示されている場合、パケット処理エラーが発生し、処理が停止したことを表します。

推奨処置 メモリ割り当てエラーが原因でこのメッセージが頻発する場合は、Cisco TAC に連絡してください。

324003

エラー メッセージ %FWSM-3-324003: No matching request to process GTPv version msg_type from source_interface:source_address/source_port to source_interface:dest_address/dest_port

説明 受信した応答には、要求キュー内に対応する要求がなかったので、この応答を処理すべきではありません。

推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。このメッセージが頻発する場合は、エンドポイントが攻撃の一環として不正なパケットを送信している可能性があります。

324004

エラー メッセージ %FWSM-3-324004: GTP packet with version%d from source_interface : source_address / source_port to dest_interface : dest_address / dest_port is not supported

説明 処理中のパケットのバージョンは、現在サポートされているバージョン(0 または 1)以外です。出力されるバージョン番号が不正で、頻繁に見られる場合には、エンドポイントが攻撃の一環として不正なパケットを送信している可能性があります。

推奨処置 対処は不要です。

324005

エラー メッセージ %FWSM-3-324005: Unable to create tunnel from source_interface : source_address / source_port to dest_interface : dest_address / dest_port

説明 TPDU に対応するトンネルの作成を試みているときに、エラーが発生しました。

推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。このエラーが頻発する場合は、必要なデバッグ情報を収集し、Cisco TAC に連絡してください。

324006

エラー メッセージ %FWSM-3-324006:GSN IP_address tunnel limit tunnel_limit exceeded, PDP Context TID tid failed

説明 要求を送信している GSN が、作成できるトンネルの最大数を超過したので、トンネルは作成されません。

推奨処置 トンネルの制限数を上げることを検討するか、またはネットワーク上に攻撃の可能性がないかどうかを確認してください。

324007

エラー メッセージ %FWSM-3-324007: Unable to create GTP connection for response from source_interface:source_address/0 to dest_interface:dest_address/dest_port

説明 TPDU に対応して異なる SGSN または GGSN のトンネルの作成を試みているときに、エラーが発生しました。

推奨処置 デバッグ情報やメッセージを調べて、接続が正常に作成されなかった理由を確認してください。問題をデバッグできない場合には、必要なデバッグ情報を収集して Cisco TAC に連絡してください。

325001

エラー メッセージ %FWSM-3-325001: Router ipv6_address on interface has conflicting ND (Neighbor Discovery) settings

説明 リンク上の他のルータが、矛盾したパラメータのあるルータ アドバタイズを送信しました。 ipv6_address は、他のルータの IPv6 アドレスです。 interface は、他のルータとのリンクのインターフェイス名です。

推奨処置 リンク上のすべての IPv6 ルータが、ルータ アドバタイズで hop_limit
managed_config_flag
other_config_flag reachable_time 、および ns_interval に同じパラメータを使用しており、なおかつ、いくつかのルータがアドバタイズしている同じプレフィクスについて、優先される有効なライフタイムが同じであるかどうかを確認してください。インターフェイスに関するパラメータを一覧表示するには、show ipv6 interface コマンドを入力します。

325002

エラー メッセージ %FWSM-4-325002: Duplicate address ipv6_address / MAC_address on interface

説明 別のシステムが同じ IPv6 アドレスを使用しています。 ipv6_address は、もう一方のルータの IPv6 アドレスです。 MAC_address は、もう一方のシステムの MAC アドレス(既知の場合)であり、不明の場合には[unknown]と表示されます。 interface は、もう一方のシステムのリンクのインターフェイス名です。

推奨処置 2 つのシステムのうちいずれか一方の IPv6 アドレスを変更してください。

326001

エラー メッセージ %FWSM-3-326001: Unexpected error in the timer library: error_message

説明 コンテキストまたは適切なタイプのないマネージド タイマー イベントを受信したか、またはハンドラが存在しません。キューに格納されるイベント数がシステムの制限数を超過し、あとで処理されることになった場合にも、このメッセージが表示されます。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326002

エラー メッセージ %FWSM-3-326002: Error in error_message : error_message

説明 IGMP プロセスを要求に応じてシャットダウンできませんでした。このシャットダウンの準備として実行されたイベントが、同期外れになっている可能性があります。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326004

エラー メッセージ %FWSM-3-326004: An internal error occurred while processing a packet queue

説明 IGMP パケット キューがパケットのないシグナルを受信しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326005

エラー メッセージ %FWSM-3-326005: Mrib notification failed for ( IP_address, IP_address )

説明 データ駆動イベントをトリガーするパケットを受信し、MRIB に通知する試みが失敗しました。

推奨処置 システムの起動後にこのメッセージが続く場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326006

エラー メッセージ %FWSM-3-326006: Entry-creation failed for ( IP_address, IP_address )

説明 MFIB が MRIB からエントリ アップデートを受信しましたが、表示されるアドレスに関連するエントリを作成できませんでした。これによってメモリ不足が引き起こされる場合があります。

推奨処置 メモリが十分にある場合には、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326007

エラー メッセージ %FWSM-3-326007: Entry-update failed for ( IP_address, IP_address )

説明 MFIB が MRIB からインターフェイス アップデートを受信しましたが、表示されるアドレスに関連するインターフェイスを作成できませんでした。結果的にメモリ不足が発生する場合があります。

推奨処置 メモリが十分にある場合には、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326008

エラー メッセージ %FWSM-3-326008: MRIB registration failed

説明 MFIB が MRIB に登録できませんでした。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326009

エラー メッセージ %FWSM-3-326009: MRIB connection-open failed

説明 MFIB が MRIB への接続を開始できませんでした。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326010

エラー メッセージ %FWSM-3-326010: MRIB unbind failed

説明 MFIB が MRIB からアンバインドできませんでした。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326011

エラー メッセージ %FWSM-3-326011: MRIB table deletion failed

説明 MFIB が削除されているはずのテーブルを検索できませんでした。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326012

エラー メッセージ %FWSM-3-326012: Initialization of string functionality failed

説明 機能が初期化できませんでした。このコンポーネントは、この機能なしで引き続き動作する場合があります。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326013

エラー メッセージ %FWSM-3-326013: Internal error: string in string line %d (%s)

説明 MRIB で根本的なエラーが発生しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326014

エラー メッセージ %FWSM-3-326014: Initialization failed: error_message error_message

説明 MRIB が初期化できませんでした。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326015

エラー メッセージ %FWSM-3-326015: Communication error: error_message error_message

説明 MRIB が不正な形式のアップデートを受信しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326016

エラー メッセージ %FWSM-3-326016: Failed to set un-numbered interface for interface_name ( string )

説明 PIM トンネルが送信元アドレスなしで使用できません。この状況の原因は、番号付きのインターフェイスが見つからないこと、または何らかの内部エラーです。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326017

エラー メッセージ %FWSM-3-326017: Interface Manager error - string in string : string

説明 PIM トンネル インターフェイスの作成中にエラーが発生しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326019

エラー メッセージ %FWSM-3-326019: string in string : string

説明 PIM RP トンネル インターフェイスの作成中にエラーが発生しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326020

エラー メッセージ %FWSM-3-326020: List error in string : string

説明 PIM インターフェイス リストの処理中にエラーが発生しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326021

エラー メッセージ %FWSM-3-326021: Error in string : string

説明 PIM トンネル インターフェイスの SRC の設定中にエラーが発生しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326022

エラー メッセージ %FWSM-3-326022: Error in string : string

説明 PIM プロセスを要求に応じてシャットダウンできませんでした。このシャットダウンの準備として実行されたイベントが、同期外れになっている可能性があります。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326023

エラー メッセージ %FWSM-3-326023: string - IP_address : string

説明 PIM グループ範囲の処理中にエラーが発生しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326024

エラー メッセージ %FWSM-3-326024: An internal error occurred while processing a packet queue.

説明 PIM パケット キューがパケットのないシグナルを受信しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326025

エラー メッセージ %FWSM-3-326025: string

説明 メッセージの送信を試みているときに内部エラーが発生しました。メッセージの受信時にスケジュールされていたイベント(PIM トンネル IDB の削除など)は、実行されない可能性があります。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326026

エラー メッセージ %FWSM-3-326026: Server unexpected error: error_messsage

説明 MRIB がクライアントを登録できませんでした。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326027

エラー メッセージ %FWSM-3-326027: Corrupted update: error_messsage

説明 MRIB が壊れたアップデートを受信しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

326028

エラー メッセージ %FWSM-3-326028: Asynchronous error: error_messsage

説明 MRIB API で処理されない非同期エラーが発生しました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

メッセージ 400000 ~ 418001

ここでは、メッセージ 400000 ~ 420003 を示します。

402101

エラー メッセージ %FWSM-4-402101: decaps: rec'd IPSEC packet has invalid spi for destaddr= dest_address , prot= protocol , spi= number

説明 Security Association Database(SADB)に存在しない Security Parameters Index(SPI)を指定する IPSec パケットを受信しました。この状況は、IPSec ピア間の SA エージングにわずかな誤差がある場合、一時的に発生することがあります。また、ローカル SA が消去された場合にも発生します。IPSec ピアから誤ったパケットが送信された可能性もあります。攻撃の可能性もあります。

推奨処置 ローカル SA が消去されたことについて、ピアが認識しないことがあります。ローカル ルータから新しい接続を確立すると、両ピアの接続が正常に再確立する場合があります。この問題が持続する場合には、新しい接続の確立を試みるか、ピアの管理者に連絡してください。

402102

エラー メッセージ %FWSM-4-402102: decapsulate: packet missing {AH|ESP}, destadr= dest_address , actual prot= protocol

説明 受信した IPSec パケットに、予期した Authentication Header(AH; 認証ヘッダー)または Encapsulating Security Payload(ESP)ヘッダーがありません。ピアが、ネゴシエートしたセキュリティ ポリシーに一致しないパケットを送信しています。攻撃の可能性があります。

推奨処置 ピアの管理者に連絡してください。

402103

エラー メッセージ %FWSM-4-402103: identity doesn't match negotiated identity (ip) dest_address= dest_address , src_addr= source_address , prot= protocol , (ident) local= inside_address , remote= remote_address , local_proxy= IP_address / IP_address / port / port , remote_proxy= IP_address / IP_address / port / port

説明 カプセル化されていない IPSec パケットが、ネゴシエートした ID と一致しません。セキュリティ アソシエーションの選択が誤っているので、ピアはこのセキュリティ アソシエーションを通じて別のトラフィックを送信しています。悪意のある行為の可能性があります。

推奨処置 ピアの管理者に連絡し、ポリシー設定を比較してください。

402106

エラー メッセージ %FWSM-4-402106: Rec'd packet not an IPSEC packet (ip) dest_address= dest_address , src_addr= source_address , prot= protocol

説明 受信したパケットがクリプトマップ ACL に一致していますが、そのパケットは IPSec でカプセル化されていません。IPSec ピアがカプセル化されていないパケットを送信しています。このエラーは、ピア上のポリシー設定エラーによって発生します。たとえば、Cisco ASA は外部インターフェイス ポート 23 に対しては、暗号化された Telnet トラフィックだけを受け入れます。ポート 23 で外部インターフェイスに IPSec 暗号化なしで Telnet 接続を試みると、このメッセージが表示されます。このエラーは悪意あるイベントを表している場合もあります。ここに記述する状況以外では、このシステム ログ メッセージは生成されません(たとえば、Cisco ASA インターフェイス自身へのトラフィックの場合は、このメッセージは生成されません)。TCP 要求および UDP 要求を追跡するメッセージについては、メッセージ 710001、710002、および 710003 を参照してください。

推奨処置 ピアの管理者に連絡し、ポリシー設定を比較してください。

404101

エラー メッセージ %FWSM-4-404101: ISAKMP: Failed to allocate address for client from pool string

説明 ISAKMP が、ip local pool コマンドで指定したプールからの VPN クライアント用の IP アドレスの割り当てに失敗しました。

推奨処置 ip local pool コマンドを使用して、プールに IP アドレスを追加してください。

404102

エラー メッセージ %FWSM-3-404102: ISAKMP: Exceeded embryonic limit

説明 500 を超える初期セキュリティ アソシエーション(SA)が存在し、DoS 攻撃の可能性があります。

推奨処置 show crypto isakmp ca コマンドを使用して、攻撃の発信元を調べてください。送信元が判明したら、不当な IP アドレスまたはネットワークからのアクセスを拒否してください。

405001

エラー メッセージ %FWSM-4-405001: Received ARP {request | response} collision from IP_address / MAC_address on interface interface_name

説明 Cisco ASA が受信した ARP パケットの MAC アドレスが、ARP キャッシュ エントリと異なっています。

推奨処置 正当なトラフィックの場合もありますが、ARP ポイズニング攻撃が進行中の可能性もあります。送信元 MAC アドレスを調べ、パケットの発信元を判別し、それが有効なホストに属するものであるかどうかを確認してください。

405101

エラー メッセージ %FWSM-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]

説明 モジュールが接続の開始中に RAM システム メモリの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。

推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合は、TAC に連絡してください。グローバル プールのサイズが、内部ネットワークのクライアント数に適しているかどうかを確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。このメッセージは、メモリ不足の場合にも表示されます。メモリ使用量を減らすか、メモリを増設してください。

405002

エラー メッセージ %FWSM-4-405002: Received mac mismatch collision from IP_address / MAC_address for authenticated host

説明 このパケットに、次のいずれかの条件があると考えられます。

Cisco ASA が、いずれかの非認証エントリから、IP アドレスが同じでも MAC アドレスが異なるパケットを受信しました。

Cisco ASA 上で vpnclient mac-exempt コマンドを設定しており、Cisco ASA が対応する非認証エントリから、MAC アドレスは免除されていても IP アドレスが異なるパケットを受信しました。

推奨処置 正当なトラフィックの可能性もありますが、スプーフィング攻撃が進行している可能性もあります。送信元 MAC アドレスおよび IP アドレスを調べ、パケットの発信元を判別し、それが有効なホストに属するものであるかどうかを確認してください。

405101

エラー メッセージ %FWSM-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address[/inside_port ]

説明 Cisco ASA が接続の開始中に RAM システム メモリの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。

推奨処置 グローバル プールのサイズが、内部ネットワークのクライアント数に適しているか確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。メモリ不足が原因の可能性もあります。メモリ使用量を減らすか、メモリを増設してください。このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。

405102

エラー メッセージ %FWSM-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]

説明 Cisco ASA が接続の開始中に RAM システム メモリの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。

推奨処置 グローバル プールのサイズが、内部ネットワークのクライアント数に適しているか確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。メモリ不足が原因の可能性もあります。メモリ使用量を減らすか、メモリを増設してください。このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。

405103

エラー メッセージ %FWSM-4-405103: H225 message from source_address / source_port to dest_address / dest_port contains bad protocol discriminator hex

説明 PIX はプロトコル識別子 0x08 を予期したにも関わらず、受信したのは 0x08 以外でした。エンドポイントが不正なパケットを送信しているか、または最初のセグメント以外のメッセージ セグメントを受信した場合に発生します。

推奨処置 対処は不要です。パケットは通過を認められます。

405104

エラー メッセージ %FWSM-4-405104: H225 message received from outside_address / outside_port to inside_address / inside_port before SETUP

説明 受信した H.225 メッセージの順序が不正であるときに、このメッセージが表示されます。初期 SETUP メッセージを受信する前に H.225 メッセージを受信しましたが、これは許容されない状況です。Cisco ASA はその他の H.225 メッセージを受け入れる前に、H.225 コール シグナリング チャネルの初期 SETUP メッセージを受信する必要があります。

推奨処置 対処は不要です。

405105

エラー メッセージ %FWSM-4-405105: H323 RAS message AdmissionConfirm received from source_address / source_port to dest_address/dest_port without an AdmissionRequest

説明 ゲートキーパが Admission Confirm(ACF)を送信しましたが、Cisco ASA はゲートキーパに Admission Request(ARQ)を送信しませんでした。

推奨処置 表示される source_address のゲートキーパをチェックして、ゲートキーパが ACF を送信したにも関わらず Cisco ASA から ARQ を受信しなかった理由を判別してください。

405201

エラー メッセージ %FWSM-4-405201: ILS ILS_message_type from inside_interface:source_IP_address to outside_interface:/destination_IP_address has wrong embedded address embedded_IP_address

説明 ILS パケット ペイロードに埋め込まれたアドレスが、IP パケット ヘッダーの送信元 IP アドレスと一致しません。

推奨処置 source_IP_address で表されるホストをチェックして、不正な埋め込み IP アドレスのある ILS パケットを送信した理由を判別してください。

406001

エラー メッセージ %FWSM-4-406001: FTP port command low port: IP_address/port to IP_address on interface interface_name

説明 クライアントが FTP port コマンドを入力し、1024 未満のポート(通常、サーバ ポート専用の well known ポート範囲)を指定しました。このメッセージは、サイトのセキュリティ ポリシーの回避が試みられていることを示しています。Cisco ASA はこのパケットをドロップし、接続を終了して、このイベントを記録します。

推奨処置 対処は不要です。

406002

エラー メッセージ %FWSM-4-406002: FTP port command different address: IP_address( IP_address ) to IP_address on interface interface_name

説明 クライアントが FTP port コマンドを発行し、接続に使用しているアドレス以外のアドレスを指定しました。このエラー メッセージは、サイトのセキュリティ ポリシーの回避が試みられていることを示しています。たとえば、攻撃者がパケットを途中で変更し、正しい送信元情報の代わりに別の送信元情報を書き込むことで、FTP セッションの乗っ取りを試みている可能性があります。セキュリティ アプライアンス はこのパケットを廃棄し、接続を終了して、このイベントを記録します。カッコ内のアドレスは、port コマンドのアドレスです。

推奨処置 対処は不要です。

407001

エラー メッセージ %FWSM-4-407001: Deny traffic for local-host interface_name:inside_address , license limit of number exceeded

説明 ホストの制限値を超過しました。次の条件が真である場合に、内部ホストは制限値までカウントされます。

内部ホストは直前の 5 分以内に、Cisco ASA 経由でトラフィックを転送している。

内部ホストは現在、Cisco ASA での変換接続またはユーザ認証を予約している。

推奨処置 ホストの制限値は、ローエンド プラットフォームに対して実施されます。ホストの制限値を表示するには、 show version コマンドを使用します。現在のアクティブなホストおよび Cisco ASA でセッションを実行している内部ユーザを表示するには、 show local-host コマンドを使用します。1 人または複数のユーザを強制的に接続解除するには、 clear local-host コマンドを使用します。内部ユーザを迅速に期限切れにして制限値から取り除くには、xlate、connection、および uauth タイムアウトを推奨値またはそれより小さい値に設定します( 表2-4 を参照)。

 

表2-4 タイムアウトおよび推奨値

タイムアウト
推奨値

xlate

00:05:00(5 分)

conn

00:01:00(1 時間)

uauth

00:05:00(5 分)

407002

エラー メッセージ %FWSM-3-407002: Embryonic limit nconns/elimit for through connections exceeded. outside_address / outside_port to global_address ( inside_address )/ inside_port on interface interface_name

説明 Cisco ASA 経由での接続に関するメッセージです。特定の外部アドレスから特定のグローバル アドレスを経由して特定のローカル アドレスに到達する接続数が、そのスタティックに関する最大の初期接続数の制限値を超過した場合に、このメッセージが表示されます。Cisco ASA は、接続用のメモリが割り当て可能であれば、その接続の受け入れを試み、ローカル ホストの代わりに外部ホストに SYN_ACK パケットを送信します。Cisco ASA は適切なステート情報を保持し、パケットを廃棄し、クライアントの確認応答を待機します。

推奨処置 正当なトラフィックの場合もありますが、DoS 攻撃が進行している可能性もあります。送信元アドレスを調べ、パケットの発信元を判別し、それが有効なホストかどうかを確認してください。

407003

エラー メッセージ %FWSM-4-407003: Established limit for RPC services exceeded number

説明 Cisco ASA は、ホールの最大数に達しているにも関わらず、RPC サーバのペアまたは設定済みのサービス用に新しいホールを開こうとしました。

推奨処置 ほかのホールが(該当するタイムアウトによって)閉じられるまで待つか、またはサーバのアクティブ ペアまたはサービスの数を制限してください。

408001

エラー メッセージ %FWSM-4-408001: IP route counter negative - reason , IP_address Attempt: number

説明 IP ルート カウンタを負の値まで減らそうとして失敗しました。

推奨処置 clear ip route * コマンドを入力して、ルート カウンタをリセットしてください。メッセージが継続的に表示される場合には、メッセージを正確にコピーして、TAC に報告してください。

408002

エラー メッセージ %FWSM-4-408002: ospf process id route type update address1 netmask1 [ distance1/metric1 ] via source IP:interface1 address2 netmask2 [ distance2/metric2 ] interface2

説明 既存のルートと同じディスタンスで、より良好なメトリックを持つ別のインターフェイスから、ネットワーク アップデートを受信しました。新しいルートは、別のインターフェイス経由でインストールされた既存のルートを上書きします。この新しいルートは冗長性の確保だけを目的とし、ネットワーク上でのパス変更を意味します。この変更は、トポロジーと再配布を通じて制御する必要があります。この変更によって影響される既存の接続があれば、その接続はおそらくディセーブルされ、タイムアウトします。このパス変更は、ネットワーク トポロジーがパス冗長性をサポートするように設計されている場合にのみ発生します。その場合、この変更は予期されています。

推奨処置 対処は不要です。

409001

エラー メッセージ %FWSM-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls

説明 ソフトウェアが、予期しない状態を検出しました。ルータは修復操作を実行して、動作を継続します。

推奨処置 対処は不要です。

409002

エラー メッセージ %FWSM-4-409002: db_free: external LSA IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

推奨処置 対処は不要です。

409003

エラー メッセージ %FWSM-4-409003: Received invalid packet: reason from IP_address , interface_name

説明 無効な OSPF パケットを受信しました。エラー メッセージに詳細が表示されます。OSPF コンフィギュレーションが誤っているか、送信側の内部エラーが原因として考えられます。

推奨処置 受信側と送信側の OSPF コンフィギュレーションに不一致がないかどうかを確認してください。

409004

エラー メッセージ %FWSM-4-409004: Received reason from unknown neighbor IP_address

説明 OSPF hello パケット、データベース記述パケット、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できません。

推奨処置 この状況は、自動的に回復します。

409005

エラー メッセージ %FWSM-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name

説明 システムは OSPF パケットを受信しましたが、OSPF パケットのフィールド長が通常のヘッダー サイズよりも短いか、到着時の IP パケットのサイズと矛盾しています。これは、パケット送信側のコンフィギュレーション エラーを示しています。

推奨処置 近接アドレスから問題のあるルータを特定し、そのルータを再起動してください。

409006

エラー メッセージ %FWSM-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name

説明 ルータが、LSA タイプが無効である LSA を受信しました。メモリが壊れているか、ルータ上の予期しない動作が原因です。

推奨処置 近接アドレスから問題のあるルータを特定し、そのルータを再起動してください。TAC に連絡して指示を受け、問題の原因を調べてください。

409007

エラー メッセージ %FWSM-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

409008

エラー メッセージ %FWSM-4-409008: Found generating default LSA with non-zero mask LSA type : number Mask: netmask metric : number area : string

説明 内部ソフトウェア エラーが発生したため、ルータは誤ったマスクを使用してデフォルトの LSA を生成しようとしました。誤ったメトリックが使用された可能性もあります。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

409009

エラー メッセージ %FWSM-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID

説明 OSPF が、いずれかの OSPF インターフェイスの IP アドレスからのルータ ID の割り当てに失敗しました。

推奨処置 少なくとも 1 つのインターフェイスが起動し、有効な IP アドレスが割り当てられていることを確認してください。ルータ上で複数の OSPF プロセスを実行する場合、各プロセスに一意のルータ ID が必要です。各プロセスがルータ ID を取得できるように、十分なインターフェイス数をアップにしておく必要があります。

409010

エラー メッセージ %FWSM-4-409010: Virtual link information found in non-backbone area: string

説明 内部エラーが発生しました。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

409011

エラー メッセージ %FWSM-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name

説明 OSPF が、このルーティング プロセスと同じルータ ID を持つネイバから、hello パケットを受信しました。完全な隣接関係を確立できません。

推奨処置 OSPF のルータ ID は一意でなければなりません。近接ルータ ID を変更してください。

409012

エラー メッセージ %FWSM-4-409012: Detected router with duplicate router ID IP_address in area string

説明 OSPF が、このルーティング プロセスと同じルータ ID を持つネイバから、hello パケットを受信しました。完全な隣接関係を確立できません。

推奨処置 OSPF のルータ ID は一意でなければなりません。近接ルータ ID を変更してください。

409013

エラー メッセージ %FWSM-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address

説明 OSPF が、このルーティング プロセスと同じルータ ID を持つネイバから、hello パケットを受信しました。完全な隣接関係を確立できません。

推奨処置 OSPF のルータ ID は一意でなければなりません。近接ルータ ID を変更してください。

409023

エラー メッセージ %FWSM-4-409023: Attempting AAA Fallback method method_name for request_type request for user user :Auth-server group server_tag unreachable

説明 外部サーバへの認証または許可の試みが失敗し、ローカル ユーザ データベースを使用して実行されます。 aaa_operation は、[authentication]または[authorization]のいずれかです。 username は、接続に対応付けられたユーザです。 server_group は、サーバに到達不可能な AAA サーバ グループです。

推奨処置 設定されている AAA サーバとの接続に問題がないかどうかを最初に確認してください。Cisco ASA から認証サーバに ping を実行してください。AAA サーバ上でデーモンが動作しているかどうかを確認してください。

410001

エラー メッセージ %FWSM-4-410001: UDP DNS request from source_interface:source_address / source_port to dest_interface:dest_address/dest_port ; (label length | domain-name length) 52 bytes exceeds remaining packet length of 44 bytes.

説明 UDP DNS パケットでドメイン名の長さが 255 バイトを超えると、このメッセージが表示されます(RFC 1035 セクション3.1 を参照)。

推奨処置 対処は不要です。

411001

エラー メッセージ %FWSM-4-411001:Line protocol on interface interface_name changed state to up

説明 ライン プロトコルのステータスが down から up に変化しました。 interface_name が[inside]、[outside]などの論理インターフェイス名である場合、このメッセージは、論理インターフェイスのライン プロトコルが down から up に変化したことを示します。 interface_name が[Ethernet0]、[GigabitEthernet0/1]などの物理インターフェイス名である場合、このメッセージは、物理インターフェイスのライン プロトコルが down から up に変化したことを示します。

推奨処置 対処は不要です。

411002

エラー メッセージ %FWSM-4-411002:Line protocol on interface interface_name changed state to down

説明 ライン プロトコルのステータスが up から downに変化しました。 interface_name が[inside]、[outside]などの論理インターフェイス名である場合、このメッセージは、論理インターフェイスのライン プロトコルが up から down に変化したことを示します。この場合、物理インターフェイスのライン プロトコル ステータスには影響ありません。 interface_name が[Ethernet0]、[GigabitEthernet0/1]などの物理インターフェイス名である場合、このメッセージは、物理インターフェイスのライン プロトコルが up から down にに変化したことを示します。

推奨処置 これがインターフェイス上で予期しないイベントである場合は、物理回線をチェックしてください。

411003

エラー メッセージ %FWSM-4-411003: Configuration status on interface interface_name changed state to downup

推奨処置 これが予期しないイベントである場合は、物理回線をチェックしてください。

411004

エラー メッセージ %FWSM-4-411004: Configuration status on interface interface_name changed state to up

説明 インターフェイスのコンフィギュレーション ステータスがダウンからアップに変更されました。

推奨処置 対処は不要です。

412001

エラー メッセージ %FWSM-4-412001:MAC MAC_address moved from interface_1 to interface_2

説明 1 つのモジュール インターフェイスから別のインターフェイスへのホストの移動が検知されると、このメッセージが生成されます。トランスペアレント Cisco ASA の場合、ホスト(MAC)と Cisco ASA ポート間のマッピングは、レイヤ 2 転送テーブルで維持されます。このテーブルによって、パケットの送信元 MAC アドレスが Cisco ASA ポートに動的にバインドされます。このプロセスで、インターフェイス間でのホストの移動が検知されると、このメッセージが生成されます。

推奨処置 ホストの移動は有効な場合もありますが、他のインターフェイス上でホスト MAC のスプーフィングが試みられた可能性もあります。MAC スプーフィング試行の場合には、ネットワーク上で脆弱なホストを特定してそれらを削除するか、またはスタティック MAC アドレスを設定してください(その場合、MAC アドレスとポートのバインディングは変更できません)。単なるホストの移動の場合には、対処は不要です。

412002

エラー メッセージ %FWSM-4-412002:Detected bridge table full while inserting MAC MAC_address on interface interface . Number of entries = num

説明 ブリッジ テーブルが満杯な状態でエントリの追加が試みられたときに、このメッセージが生成されます。Cisco ASA はコンテキストごとに 1 つのレイヤ 2 転送テーブルを維持し、コンテキストがそのサイズ制限を超えると、このメッセージが生成されます。MAC アドレスは追加されますが、テーブル内で既存のダイナミック エントリのうち最も古いエントリ(存在する場合)を置き換えます。

推奨処置 攻撃が試みられた可能性があります。新しいブリッジ テーブル エントリが有効かどうかを確認してください。攻撃の場合には、EtherType ACL を使用して脆弱なホストをアクセス制御してください。

413001

エラー メッセージ %FWSM-4-413001: Module in slot slotnum is not able to shut down. Module Error: errnum message

説明 slotnum に搭載されたモジュールが、FWSM システム モジュールからのシャットダウン要求に従いませんでした。モジュールは割り込み不可能なタスク(ソフトウェアのアップグレードなど)を実行していた可能性があります。モジュールがシャットダウンできなかった理由と対処方法は、 errnum および message テキストで表示されます。

推奨処置 モジュール上のタスクが完了するまで待ち、それからモジュールをシャットダウンするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールがシャットダウンできない原因となっているタスクを停止してください。

413002

エラー メッセージ %FWSM-4-413002: Module in slot slotnum is not able to reload. Module Error: errnum message

説明 slotnum に搭載されたモジュールが、FWSM システム モジュールからのリロード要求に従いませんでした。モジュールは割り込み不可能なタスク(ソフトウェアのアップグレードなど)を実行していた可能性があります。モジュールがリロードできなかった理由と対処方法は、 errnum および message テキストで表示されます。

推奨処置 モジュール上のタスクが完了するまで待ち、それからモジュールをリロードするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールがリロードできない原因となっているタスクを停止してください。

413003

エラー メッセージ %FWSM-4-413003: Module in slot slotnum is not a recognized type

説明 有効なカード タイプとして認識されないカードが検出された場合に表示されます。

推奨処置 搭載されているモジュール タイプをサポートする FWSM システム ソフトウェアのバージョンにアップグレードしてください。

413004

エラー メッセージ %FWSM-4-413004: Module in slot slotnum failed to write software v newver (currently v ver ), reason . Trying again.

説明 指定のスロット番号のモジュールがソフトウェア バージョンの受け入れに失敗し、UNRESPONSIVE ステートに移行します。モジュール ソフトウェアを更新する試みがもう一度、行われます。

slotnum ― モジュールの搭載先スロット番号

newver ― モジュールに正常に書き込めなかったソフトウェアの新しいバージョン番号(例:1.0(1)0)

ver ― モジュールの現在のソフトウェア バージョン番号(例:1.0(1)0)

reason ― 新しいバージョンがモジュールに書き込めなかった理由。表示される可能性のある reason の値は次のとおりです。

write failure.

failed to create a thread to write the image.

推奨処置 対処は不要です。後続の試行で、更新の成功または失敗を表すメッセージが生成されます。更新後にモジュールが UP に移行したかどうかを確認するには、 show module slotnum コマンドを使用します。

414001

エラー メッセージ %FWSM-3-414001: Failed to save logging buffer using file name filename to FTP server ftp_server_address on interface interface_name : [ fail_reason ]

説明 ロギング モジュールがロギング バッファを外部 FTP サーバに保存できなかった場合に、このシステム ログ メッセージが表示されます。

推奨処置 失敗の理由に基づいて、適切な処置を行ってください。

プロトコル エラー ― FTP サーバと Cisco ASA の接続に問題がなく、FTP サーバが FTP PORT コマンドと put 要求を受け入れ可能であることを確認してください。

無効なユーザ名またはパスワード ― 設定されている FTP クライアントのユーザ名とパスワードが正しいかどうかを確認してください。

その他のエラー ― Cisco TAC に連絡し、指示を受けてください。

414002

エラー メッセージ %FWSM-3-414002: Failed to save logging buffer to flash:/syslog directory using file name: filename : [ fail_reason ]

説明 ロギング モジュールがロギング バッファをシステム フラッシュに保存できなかった場合に、このシステム ログ メッセージが表示されます。

推奨処置 失敗の理由がスペース不足の場合には、システム フラッシュの空き容量を調べ、設定されている logging flash-size コマンドの制限が適切かどうかを確認してください。フラッシュ ファイル システムの IO エラーの場合には、シスコのテクニカル サポートに連絡して指示を受けてください。

416001

エラー メッセージ %FWSM-4-416001: Dropped UDP SNMP packet from source_interface : source_IP / source_port to dest_interface : dest_address/dest_port ; version ( prot_version ) is not allowed through the firewall

説明 An SNMP パケットが、不正なパケット フォーマットのため、または Cisco ASA で認められない prot_version のために、Cisco ASA の通過を拒否されました。 prot_version フィールドに表示される値は、1、2、2c、3 のいずれかです。

推奨処置 snmp-map コマンドを使用して、SNMP 検査に関する設定を変更します。このコマンドを使用すると、ユーザ側で特定のプロトコル バージョンを許可または禁止することができます。

417001

エラー メッセージ %FWSM-4-417001: Unexpected event received: number

説明 プロセスが信号を受信しましたが、このイベントに対応するハンドラが見つかりませんでした。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

417004

エラー メッセージ %FWSM-4-417004: Filter violation error: conn number ( string : string ) in string

説明 クライアントが所有していないルート アトリビュートの変更を試みました。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

417006

エラー メッセージ %FWSM-4-417006: No memory for string ) in string . Handling: string

説明 メモリ不足のため操作が失敗しましたが、その操作は別のメカニズムによって処理されます。

説明 メモリが十分にある場合には、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

418001

エラー メッセージ %FWSM-4-418001: Through-the-device packet to/from management-only network is denied: protocol_string from interface_name IP_address ( port ) to interface_name IP_address ( port )

説明 特定の送信元から宛先へのパケットが、管理専用のネットワークとの間で Cisco ASA を通過しているため、廃棄されました。

protocol_string ― TCP、UDP、ICMP、または 10 進数で表されるプロトコル ID

interface_name ― インターフェイス名

IP_address ― IP アドレス

port ― ポート番号

推奨処置 誰が何の目的で、このようなパケットを発信しているのかを調査してください。

419001

set connection advanced-options tmap service-policy global_policy global

420001

メッセージ 500001 ~ 507001

ここでは、メッセージ 500001 ~ 507001 を示します。

500001

エラー メッセージ %FWSM-5-500001: ActiveX content modified src IP_address dest IP_address on interface interface_name .

説明 filter コマンドを使用して activex オプションをオンにした場合に、Cisco ASA が ActiveX オブジェクトを検出したときに、このメッセージが表示されます。activex オプションを使用すると、Cisco ASA は ActiveX コンテンツが HTML オブジェクトとしてタギングされないように変更して、ActiveX コンテンツをフィルタリングすることができます。

推奨処置 対処は不要です。

500002

エラー メッセージ %FWSM-5-500002: Java content modified src IP_address dest IP_address on interface interface_name .

説明 filter コマンドを使用して java オプションをオンにした場合に、Cisco ASA が Java アプレットを検出したときに、このメッセージが表示されます。java オプションを使用すると、Cisco ASA は Java コンテンツが HTML オブジェクトとしてタギングされないように変更して、Java コンテンツをフィルタリングすることができます。

推奨処置 対処は不要です。

500003

エラー メッセージ %FWSM-5-500003: Bad TCP hdr length (hdrlen= bytes , pktlen= bytes ) from source_address / source_port to dest_address / dest_port , flags: tcp_flags , on interface interface_name

説明 TCP のヘッダー長が誤っていることを示しています。OS(オペレーティング システム)によっては、ディセーブルのソケットへの接続要求の応答時に、TCP リセット(RST)が正しく処理されません。クライアントが Cisco ASA の外部の FTP サーバに接続を試みたとき、FTP がリスニングしていないと、サーバは RST を送信します。オペレーティング システムによっては、誤った TCP ヘッダー長が送信されるため、この問題が発生します。UDP は、ICMP ポート到達不能メッセージを使用します。

TCP ヘッダー長がパケット長より大きいために、負数バイトの転送を示していることがあります。システム ログ メッセージでは負数が符号なしの数値として表示されるので、1 秒間の転送サイズが 4 GB のように、異常に大きな値として表示されることがあります。

推奨処置 対処は不要です。このメッセージは頻繁には発生しません。

500004

エラー メッセージ %FWSM-4-500004: Invalid transport field for protocol= protocol , from source_address / source_port to dest_address / dest_port

説明 プロトコルの送信元または宛先ポート番号がゼロという、無効な転送番号が存在することを示しています。 protocol 値は、TCP の場合は 6、UDP の場合は 17 です。

推奨処置 このメッセージが継続的に表示される場合は、ピアの管理者に連絡してください。

501101

エラー メッセージ %FWSM-5-501101: User transitioning priv level

説明 コマンドの権限レベルが変更されました。

推奨処置 対処は不要です。

502101

エラー メッセージ %FWSM-5-502101: New user added to local dbase: Uname: user Priv: privilege_level Encpass: string

説明 新しいユーザ名レコードが作成されました。ユーザ名、権限レベル、および暗号化パスワードがメッセージに表示されます。

推奨処置 対処は不要です。

502102

エラー メッセージ %FWSM-5-502102: User deleted from local dbase: Uname: user Priv: privilege_level Encpass: string

説明 ユーザ名レコードが削除されました。ユーザ名、権限レベル、および暗号化パスワードがメッセージに表示されます。

推奨処置 対処は不要です。

502103

エラー メッセージ %FWSM-5-502103: User priv level changed: Uname: user From: privilege_level To: privilege_level

説明 ユーザの権限レベルが変更されました。

推奨処置 対処は不要です。

502111

エラー メッセージ %FWSM-5-502111: New group policy added: name: policy_name Type: policy_type

説明 group-policy CLI コマンドを使用してグループ ポリシーが設定されていることを表します。 policy_name は、グループ ポリシー名です。 policy_type は、[internal]または[external]のいずれかです。

推奨処置 対処は不要です。

502112

エラー メッセージ %FWSM-5-502112: Group policy deleted: name: policy_name Type: policy_type

説明 group-policy CLI コマンドを使用してグループ ポリシーが削除されたことを表します。 policy_name はグループ ポリシー名です。 policy_type は、[internal]または[external]のいずれかです。

推奨処置 対処は不要です。

503001

エラー メッセージ %FWSM-5-503001: Process number, Nbr IP_address on interface_name from string to string , reason

説明 OSPF ネイバのステートが変更されました。メッセージに、変更内容と理由が表示されます。このメッセージが表示されるのは、OSPF プロセスに log-adjacency-changes コマンドが設定されている場合だけです。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

504001

エラー メッセージ %FWSM-5-504001: Security context context_name was added to the system

説明 セキュリティ コンテキストがシステムに正常に追加されました。

推奨処置 対処は不要です。

504002

エラー メッセージ %FWSM-5-504002: Security context context_name was removed from the system

説明 セキュリティ コンテキストがシステムから正常に削除されました。

推奨処置 対処は不要です。

505001

エラー メッセージ %FWSM-5-505001: Module in slot slotnum is shutting down. Please wait...

説明 カードのシャットダウン中に表示されます。

推奨処置 対処は不要です。

505002

エラー メッセージ %FWSM-5-505002: Module in slot slotnum is reloading. Please wait...

説明 カードのリロード中に表示されます。

推奨処置 対処は不要です。

505003

エラー メッセージ %FWSM-5-505003: Module in slot slotnum is resetting. Please wait...

説明 モジュールのリセット中に表示されます。

推奨処置 対処は不要です。

505004

エラー メッセージ %FWSM-5-505004: Module in slot slotnum shutdown is complete.

説明 モジュールがシャットダウンされたときに表示されます。

推奨処置 対処は不要です。

505005

エラー メッセージ %FWSM-5-505005: Module in slot slotnum is initializing control communication. Please wait...

説明 モジュールが認識され、FWSM システム モジュールがこのモジュールとの制御チャネル通信を初期化しているときに表示されます。

推奨処置 対処は不要です。

505006

エラー メッセージ %FWSM-5-505006: Module in slot slotnum is Up.

説明 モジュールが制御チャネルの初期化を完了し、UP ステートになったときに表示されます。

推奨処置 対処は不要です。

505007

エラー メッセージ %FWSM-5-505007: Module in slot slotnum is recovering. Please wait...

説明 モジュールが hw-module module slotnum recover boot コマンドによって回復されているときに表示されます。

推奨処置 対処は不要です。

506001

エラー メッセージ %FWSM-5-506001: event_source_string event_string

説明 ファイル システムのステータスが変化しました。このメッセージは、ファイル システムが使用可能または使用不可能になったイベントと、そのイベントの発生元を記述します。ファイル システム ステータスの変化を引き起こしたイベントの発生元とイベントの例は、次のとおりです。

External Compact Flash removed

External Compact Flash inserted

External Compact Flash -unknown event

推奨処置 対処は不要です。

507001

エラー メッセージ %FWSM-5-507001: Terminating TCP-Proxy connection from interface_inside : source_address / source_port to interface_outside : dest_address / dest_port - reassembly limit of limit bytes exceeded

説明 TCP セグメントの組み立て中に、再組み立てバッファの制限を超過したときに表示されます。

source_address/source_port ― 接続を開始するパケットの送信元 IP アドレスおよび送信元ポート

dest_address/dest_port ― 接続を開始するパケットの宛先 IP アドレスおよび宛先ポート

interface_inside ― 接続を開始したパケットが着信するインターフェイスの名前

interface_outside ― 接続を開始したパケットが発信されるインターフェイスの名前

limit ― このトラフィック クラスに設定されている初期接続の制限数

推奨処置 対処は不要です。

メッセージ 602101 ~ 609002

ここでは、メッセージ 602101 ~ 609002 を示します。

602101

エラー メッセージ %FWSM-6-602101: PMTU-D packet number bytes greater than effective mtu number dest_addr= dest_address , src_addr= source_address , prot= protocol

説明 このメッセージは、Cisco ASA が ICMP 宛先到達不能メッセージを送信した場合、および [don't-fragment] ビットが設定されているけれども、フラグメント化が必要な場合に生成されます。

推奨処置 データが正常に送信されていることを確認してください。

602102

エラー メッセージ %FWSM-6-602102: Adjusting IPSec tunnel mtu...

説明 パス MTU 検出により、IPSec トンネルの MTU(最大伝送ユニット)が調整されました。

推奨処置 IPSec トンネルの MTU を確認してください。実効 MTU が標準より小さい場合には、中間リンクを確認してください。

602201

エラー メッセージ %FWSM-6-602201: ISAKMP Phase 1 SA created (local IP_address / port (initiator|responder), remote IP_address / port , authentication= auth_type , encryption= encr_alg , hash= hash_alg , group= DH_grp , lifetime= seconds )

説明 ISAKMP SA が作成されたときに表示されます。

推奨処置 対処は不要です。

602202

エラー メッセージ %FWSM-6-602202: ISAKMP session connected (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP ピアが接続しました。

推奨処置 対処は不要です。

602203

エラー メッセージ %PIX-6-602203: ISAKMP session disconnected (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP ピアが接続解除しました。

推奨処置 対処は不要です。

602301

エラー メッセージ %FWSM-6-602301: sa created...

説明 新しいセキュリティ アソシエーション(SA)が作成されました。

推奨処置 対処は不要です。

602302

エラー メッセージ %FWSM-6-602302: deleting sa

説明 SA が削除されました。

推奨処置 対処は不要です。

602303

エラー メッセージ %FWSM: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) has been created.

direction ― SA の方向(inbound または outbound)

tunnel_type ― SA のタイプ(remote access または L2L)

spi ― IPSec セキュリティ パラメータ インデックス

local_IP ― トンネル ローカル エンドポイントの IP アドレス

remote_IP ― トンネル リモート エンドポイントの IP アドレス

username ― IPSec トンネルに対応付けられたユーザ名

説明 新しい SA が作成されました。

推奨処置 対処は不要です。

602304

エラー メッセージ %FWSM-6-602304: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) has been deleted.

説明 SA が削除されたときに表示されます。

direction ― SA の方向(inbound または outbound)

tunnel_type ― SA のタイプ(remote access または L2L)

spi ― IPSec セキュリティ パラメータ インデックス

local_IP ― トンネル ローカル エンドポイントの IP アドレス

remote_IP ― トンネル リモート エンドポイントの IP アドレス

username ― IPSec トンネルに対応付けられたユーザ名

推奨処置 対処は不要です。

604101

エラー メッセージ %FWSM-6-604101: DHCP client interface interface_name : Allocated ip = IP_address , mask = netmask , gw = gateway_address

説明 Cisco ASA DHCP クライアントが DHCP サーバから正常に IP アドレスを取得しました。dhcpc コマンド ステートメントによって、Cisco ASA は DHCP サーバからネットワーク インターフェイスの IP アドレスおよびネットワーク マスクのほかに、デフォルト ルートも取得できます。default route ステートメントでは、ゲートウェイ アドレスをデフォルト ルータのアドレスとして使用します。

推奨処置 対処は不要です。

604102

エラー メッセージ %FWSM-6-604102: DHCP client interface interface_name : address released

説明 Cisco ASA の DHCP クライアントが、割り当て済みの IP アドレスを DHCP サーバに戻しました。

推奨処置 対処は不要です。

604103

エラー メッセージ %FWSM-6-604103: DHCP daemon interface interface_name : address granted MAC_address ( IP_address )

説明 Cisco ASA の DHCP サーバが、外部クライアントに IP アドレスを付与しました。

推奨処置 対処は不要です。

604104

エラー メッセージ %FWSM-6-604104: DHCP daemon interface interface_name : address released

説明 外部クライアントから、Cisco ASA の DHCP サーバに IP アドレスが戻されました。

推奨処置 対処は不要です。

606001

エラー メッセージ %FWSM-6-606001: ASDM session number number from IP_address started

説明 管理者が認証され、ASDM セッションが開始されたことを示しています。

推奨処置 対処は不要です。

606002

エラー メッセージ %FWSM-6-606002: ASDM session number number from IP_address ended

説明 ASDM セッションが終了したことを示しています。

推奨処置 対処は不要です。

606003

エラー メッセージ %FWSM-6-606003: ASDM logging session number id from IP_address started id session ID assigned

説明 リモート管理クライアントによって ASDM ロギング接続が開始されました。

IP_address ― リモート管理クライアントの IP アドレス

推奨処置 対処は不要です。

606004

エラー メッセージ %FWSM-6-606004: ASDM logging session number id from IP_address ended

説明 ASDM ロギング接続が終了しました。

id ― 割り当て済みのセッション ID

IP_address ― リモート管理クライアントの IP アドレス

推奨処置 対処は不要です。

607001

エラー メッセージ %FWSM-6-607001: Pre-allocate SIP connection_type secondary channel for interface_name : IP_address / port to interface_name:IP_address from string message

説明 SIP メッセージの検査後に、 fixup sip コマンドにより SIP 接続が割り当てられたことを示しています。 connection_type は、次のいずれかのストリングです。

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

推奨処置 対処は不要です。

608001

エラー メッセージ %FWSM-6-608001: Pre-allocate Skinny connection_type secondary channel for interface_name : IP_address to interface_name : IP_address/port from string message

説明 Skinny メッセージの検査後に、 fixup skinny コマンドにより Skinny 接続が割り当てられたことを示しています。 connection_type は、次のいずれかのストリングです。

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

推奨処置 対処は不要です。

609001

エラー メッセージ %FWSM-6-609001: Built local-host interface_name:IP_address

説明 インターフェイス interface_name に接続するホストの IP_address 用に、ネットワーク ステート コンテナが予約されました。これは情報メッセージです。

推奨処置 対処は不要です。

609002

エラー メッセージ %FWSM-6-609002: Teardown local-host interface_name:IP_address duration time

説明 インターフェイス interface_name に接続するホストの IP_address 用のネットワーク ステート コンテナが削除されました。これは情報メッセージです。

推奨処置 対処は不要です。

610001

エラー メッセージ %FWSM-3-610001: NTP daemon interface interface_name : Packet denied from IP_address

説明 設定されている NTP サーバと一致しないホストから、NTP パケットを受信しました。Cisco ASA は単に NTP クライアントであり、タイム サーバではないので、NTP 要求には応答しません。

推奨処置 対処は不要です。

610002

エラー メッセージ %FWSM-3-610002: NTP daemon interface interface_name : Authentication failed for packet from IP_address

説明 受信した NTP パケットが認証チェックに失敗しました。

推奨処置 Cisco ASA および NTP サーバが両方とも認証を使用し、同じキー番号および値を使用するように設定されているかどうかを確認してください。

610101

エラー メッセージ %FWSM-6-610101: Authorization failed: Cmd: command Cmdtype: command_modifier

説明 指定のコマンドが、コマンド許可に失敗しました。 command_modifier は、次のいずれかのストリングです。

cmd (このストリングは、コマンドに修飾子がないことを意味します)

clear

no

show

説明 Cisco ASA が上記の 4 つのコマンド タイプ以外の値を検出した場合は、[ unknown command type ] というメッセージが表示されます。

推奨処置 対処は不要です。

612001

エラー メッセージ %FWSM-5-612001: Auto Update succeeded: filename , version: number

説明 自動アップデート サーバからのアップデートが成功しました。 filename 変数は、image、ASDM file、または configuration のいずれかです。 version number 変数は、アップデートのバージョン番号です。

推奨処置 対処は不要です。

612002

エラー メッセージ %FWSM-4-612002: Auto Update failed: filename , version: number , reason: reason

説明 自動アップデート サーバからのアップデートが失敗したことを示しています。 filename 変数は、image、ASDM file、または configuration のいずれかです。 version number 変数は、アップデートのバージョン番号です。 reason 変数は、アップデートが失敗した理由を示します。失敗の原因としては、無効なイメージ ファイル、サーバへの接続切断、コンフィギュレーション エラーなどがあります。

推奨処置 自動アップデート サーバのコンフィギュレーションを確認してください。

612003

エラー メッセージ %FWSM-4-612003:Auto Update failed to contact: url , reason: reason

説明 自動アップデート デーモンが指定の URL url に接続できなかったことを示しています。この URL は、自動アップデート サーバの URL、または自動アップデート サーバによって返された、いずれかのファイル サーバの URL です。 reason フィールドは、接続が失敗した理由を示します。失敗の原因としては、サーバからの応答がなかった場合、認証の失敗、ファイルが見つからなかった場合などが考えられます。

推奨処置 自動アップデート サーバのコンフィギュレーションを確認してください。

613001

エラー メッセージ %FWSM-6-613001: Checksum Failure in database in area string Link State Id IP_address Old Checksum number New Checksum number

説明 OSPF が、データベースでメモリの破壊によるチェックサム エラーを検出しました。

推奨処置 OSPF プロセスを再起動してください。

613002

エラー メッセージ %FWSM-6-613002: interface interface_name has zero bandwidth

説明 インターフェイスの帯域幅がゼロとして報告されました。

推奨処置 TAC に連絡して指示を受け、問題の原因を調べてください。

613003

エラー メッセージ %FWSM-6-613003: IP_address netmask changed from area string to area string

説明 OSPF コンフィギュレーションの変更により、ネットワーク範囲のエリアが変更されました。

推奨処置 正しいネットワーク範囲を指定して、OSPF を再設定してください。

614001

エラー メッセージ %FWSM-6-614001: Split DNS: request patched from server: IP_address to server: IP_address

説明 スプリット DNS により、DNS クエリが本来の送信先サーバからプライマリ エンタープライズ DNS サーバにリダイレクトされています。

推奨処置 対処は不要です。

614002

エラー メッセージ %FWSM-6-614002: Split DNS: reply from server: IP_address reverse patched back to original server: IP_address

説明 スプリット DNS により、DNS クエリがエンタープライズ DNS サーバから本来の送信先サーバからプライマリ エンタープライズ にリダイレクトされています。

推奨処置 対処は不要です。

615001

エラー メッセージ %FWSM-6-615001: vlan number not available for firewall interface

説明 スイッチが FWSM から VLAN(仮想 LAN)を削除しました。

推奨処置 これは情報メッセージです。

615002

エラー メッセージ %FWSM-6-615002: vlan number available for firewall interface

説明 スイッチが FWSM に VLAN を追加しました。

推奨処置 これは情報メッセージです。

616001

エラー メッセージ %FWSM-6-616001:Pre-allocate MGCP data_channel connection for inside_interface : inside_address to outside_interface : outside_address / port from message_type message

説明 MGCP データ チャネル接続、RTP、または RTCP が割り当てられました。このメッセージでは、接続の割り当てをトリガーしたメッセージも示します。

推奨処置 対処は不要です。

617001

エラー メッセージ %FWSM-6-617001: GTPv version msg_type from source_interface:source_address/source_port not accepted by source_interface:dest_address/dest_port

説明 要求がピアによって受け入れられなかったときに表示されるメッセージです。Create PDP Context 要求でよくある状況です。

推奨処置 対処は不要です。

617002

エラー メッセージ %FWSM-6-617002: Removing v1 PDP Context with TID tid from GGSN IP_address and SGSN IP_address , Reason: reason or Removing v1 primary | secondary PDP Context with TID tid from GGSN IP_address and SGSN IP_address , Reason: reason

説明 データベースから PDP コンテキストが削除されたときに表示されるメッセージです。原因としては、期限切れ、Delete PDP Context 要求/応答の交換、またはユーザによる CLI 経由での削除があります。

推奨処置 対処は不要です。

617003

エラー メッセージ %FWSM-6-617003: GTP Tunnel created from source_interface:source_address/source_port to source_interface:dest_address/dest_port

説明 Create PDP Context 要求を受け入れる応答の受信後、GTP トンネルが作成されたときに表示されるメッセージです。

推奨処置 対処は不要です。

617004

エラー メッセージ %FWSM-6-617004: GTP connection created for response from source_interface:source_address/0 to source_interface:dest_address/dest_port

説明 Create PDP Context 要求または応答で指定される SGSN または GGSN シグナリング アドレスが、送信した SGSN/GGSN とは異なる場合に表示されるメッセージです。

推奨処置 対処は不要です。

620001

エラー メッセージ %FWSM-6-620001: Pre-allocate CTIQBE {RTP | RTCP} secondary channel for interface_name:outside_address[/outside_port] to interface_name:inside_address[/inside_port] from CTIQBE_message_name message

説明 Cisco ASA が、指定の CTIQBE メディア トラフィックに接続オブジェクトを割り当てます。このメッセージは、10 秒で 1 回にレート制限されています。

推奨処置 対処は不要です。

620002

エラー メッセージ %FWSM-4-620002: Unsupported CTIQBE version: hex : from interface_name:IP_address/port to interface_name:IP_address/port

説明 Cisco ASA が、サポート対象外のバージョン番号を持つ CTIQBE メッセージを受信しました。Cisco ASA は、このパケットを廃棄します。このメッセージは、10 秒で 1 回にレート制限されています。

推奨処置 このログ メッセージでキャプチャされたバージョン番号が極端に大きい(10 より大きい)場合、パケットのフォーマットが不正、CTIQBE 以外のパケット、または Cisco ASA に着信する前にパケットが壊れていた可能性があります。パケットの送信元を調べることを推奨します。バージョン番号が一般的な小さい値(10 以下)の場合には、Cisco TAC に連絡し、この CTIQBE バージョンに対応する新しい Cisco ASA イメージが使用可能かどうかを確認してください。

621001

エラー メッセージ %FWSM-6-621001: Interface interface_name does not support multicast, not enabled

説明 マルチキャストをサポートしないインターフェイス上で PIM をイネーブルにしようとしたときに、このメッセージが表示されます。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

621002

エラー メッセージ %FWSM-6-621002: Interface interface_name does not support multicast, not enabled

説明 マルチキャストをサポートしないインターフェイス上で igmp をイネーブルにしようとしたときに、このメッセージが表示されます。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。

621003

エラー メッセージ %FWSM-6-621003: The event queue size has exceeded number

説明 イベント マネージャの作成数が、予期される量を超過した場合に表示されるメッセージです。

推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、TAC に提出してください。

621006

エラー メッセージ %FWSM-6-621006: Mrib disconnected, ( IP_address , IP_address ) event cancelled

説明 データ駆動イベントをトリガーするパケットを受信したけれども、MRIB への接続がダウンしている場合に表示されるメッセージです。通知はキャンセルされました。

推奨処置 システムの起動後にこのメッセージが続く場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、TAC に提出してください。

621007

エラー メッセージ %FWSM-6-621007: Bad register from interface_name : IP_address to IP_address for ( IP_address , IP_address )

説明 Rendezvous Point(RP; ランデブー ポイント)として設定されている、または Network Address Translation(NAT; ネットワーク アドレス変換)を使用するように設定されている PIM ルータが、他の PIM ルータからの PIM 登録パケットを受信したときに表示されます。このパケットにカプセル化されているデータは無効です。

推奨処置 送信側のルータは誤って RFC 以外の登録を送信している可能性があります。送信側のルータをアップグレードしてください。

メッセージ 701001 ~ 720073

ここでは、メッセージ 701001 ~ 720073 を示します。

ほとんどの ISAKMP Syslog には、トンネルを識別するのに役立つ、共通の前置オブジェクトがあります。システム ログ メッセージの説明テキストの前に、該当するオブジェクトがあれば表示されます。システム ログ メッセージが生成される時点でオブジェクトが不明の場合には、固有の[ heading = value ]の組み合わせは表示されません。

このオブジェクトは次の形式で表示されます。

[Group = groupname , Username = user , IP = IP_address , ...]

Group はトンネル グループ、username はローカル データベースまたは AAA サーバにあるユーザ名、IP address はリモート アクセス クライアントまたは L2L ピアのパブリック IP アドレスです。

701001

エラー メッセージ %FWSM-7-701001: alloc_user() out of Tcp_user objects

説明 AAA(認証、許可、アカウンティング)メッセージです。モジュールのユーザ認証レートが高すぎて、新しい AAA 要求を処理できないときに表示されます。

推奨処置 floodguard enable コマンドを使用して、Flood Defender 機能をイネーブルにしてください。

701002

エラー メッセージ %FWSM-7-701002: alloc_user() out of Tcp_proxy objects

説明 AAA メッセージです。モジュールのユーザ認証レートが高すぎて、新しい AAA 要求を処理できないときに表示されます。

エラー メッセージ Enable Flood Defender with the floodguard enable command.

702201

エラー メッセージ %FWSM-7-702201: ISAKMP Phase 1 delete received (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP 削除メッセージを受信しました。

推奨処置 対処は不要です。

702202

エラー メッセージ %FWSM-7-702202: ISAKMP Phase 1 delete sent (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP 削除メッセージを送信しました。

推奨処置 対処は不要です。

702203

エラー メッセージ %FWSM-7-702203: ISAKMP DPD timed out (local IP_address (initiator|responder), remote IP_address )

説明 リモート ピアが応答していません。DPD により、ピアがタイムアウトしました。

推奨処置 リモート ホストへのネットワーク接続を確認してください。

702204

エラー メッセージ %FWSM-7-702204: ISAKMP Phase 1 retransmission (local IP_address (initiator|responder), remote IP_address )

説明 リモート ピアが応答していません。ISAKMP は直前のパケットを再送信しています。

推奨処置 リモート ホストへのネットワーク接続と、ローカルおよびリモート デバイスの VPN コンフィギュレーションを確認してください。

702205

エラー メッセージ %FWSM-7-702205: ISAKMP Phase 2 retransmission (local IP_address (initiator|responder), remote IP_address )

説明 リモート ピアが応答していません。ISAKMP は直前のパケットを再送信しています。

推奨処置 リモート ホストへのネットワーク接続と、ローカルおよびリモート デバイスの VPN コンフィギュレーションを確認してください。

702206

エラー メッセージ %FWSM-7-702206: ISAKMP malformed payload received (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP が不正なメッセージまたは不正なフォーマットのメッセージを受信しました。リモート ピアとの同期外れ、メッセージの復号化の問題、またはメッセージを受信した順序が不正だったことを表す場合があります。

推奨処置 事前共有鍵を使用している場合は、ローカルの事前共有鍵がローカルおよびリモート デバイスで正しく設定されているかどうかを確認してください。ローカルおよびリモートのコンフィギュレーションを確認してください。必要とされる SA がアップにならない場合は、さらにトラブルシューティングが必要になる可能性があります。

702207

エラー メッセージ %FWSM-7-702207: ISAKMP duplicate packet detected (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP が、前に受信したパケットと重複するパケットを受信しました。正常な動作時にも発生する場合がありますが、ISAKMP 交換でのエラーの副作用として発生する場合もあります。

推奨処置 接続と、ローカルおよびリモートのコンフィギュレーションを確認してください。

702208

エラー メッセージ %FWSM-7-702208: ISAKMP Phase 1 exchange started (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP がリモート ピアとの新しいフェーズ 1 メッセージ交換を開始しました。

推奨処置 対処は不要です。

702209

エラー メッセージ %FWSM-7-702209: ISAKMP Phase 2 exchange started (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP がリモート ピアとの新しいフェーズ 2 メッセージ交換を開始しました。

推奨処置 対処は不要です。

702210

エラー メッセージ %FWSM-7-702210: ISAKMP Phase 1 exchange completed(local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP がフェーズ 1 交換を終了しました。

推奨処置 対処は不要です。

702211

エラー メッセージ %FWSM-7-702211: ISAKMP Phase 2 exchange completed(local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP がフェーズ 2 交換を終了しました。

推奨処置 対処は不要です。

702212

エラー メッセージ %FWSM-7-702212: ISAKMP Phase 1 initiating rekey (local IP_address (initiator|responder), remote IP_address )

説明 ISAKMP はフェーズ 1 再キーイングを初期化中です。

推奨処置 対処は不要です。

702301

エラー メッセージ %FWSM-7-702301: lifetime expiring...

説明 SA のライフタイムが満了しました。

推奨処置 デバッギング メッセージです。

702302

エラー メッセージ %FWSM-3-702302: replay rollover detected...

説明 IPSec トンネルで 40 億超のパケットを受信し、新しいトンネルをネゴシエートしています。

推奨処置 ピアの管理者に連絡し、SA ライフタイムの設定を比較してください。

702303

エラー メッセージ %FWSM-7-702303: sa_request...

説明 IPSec が新しい SA 用の IKE を要求しました。

推奨処置 これは、デバッグ メッセージです。

703001

エラー メッセージ %FWSM-7-703001: H.225 message received from interface_name:IP_address/port to interface_name:IP_address/port is using an unsupported version number

説明 Cisco ASA がサポート対象外のバージョン番号を持つ H.323 パケットを受信しました。Cisco ASA は、パケットのプロトコル バージョン フィールドをサポート対象の最大バージョンに変更する場合があります。

推奨処置 Cisco ASA が VoIP ネットワーク上でサポートする H.323 バージョンを使用してください。

703002

エラー メッセージ %FWSM-7-703002: Received H.225 Release Complete with newConnectionNeeded for interface_name : IP_address to interface_name:IP_address/port

説明 このデバッグ メッセージは、Cisco ASA が特定の H.225 メッセージを受信し、Cisco ASA が指定の 2 つの H.323 エンドポイント用に新しいシグナリング接続オブジェクトを開始したことを示しています。

推奨処置 対処は不要です。

709001、709002

エラー メッセージ %FWSM-7-709001: FO replication failed: cmd= command returned= code エラー メッセージ %FWSM-7-709002: FO unreplicable: cmd= command

説明 これらのフェールオーバー メッセージは、開発デバッグ テスト時にのみ表示されます。

推奨処置 対処は不要です。

709003

エラー メッセージ %FWSM-1-709003: (Primary) Beginning configuration replication: Sending to mate.

説明 フェールオーバー メッセージです。アクティブ装置からスタンバイ装置へのコンフィギュレーションの複製が開始されたときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

709004

エラー メッセージ %FWSM-1-709004: (Primary) End Configuration Replication (ACT)

説明 フェールオーバー メッセージです。アクティブ装置からスタンバイ装置へのコンフィギュレーションの複製が完了したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

709005

エラー メッセージ %FWSM-1-709005: (Primary) Beginning configuration replication: Receiving from mate.

説明 スタンバイ Cisco ASA が、アクティブ Cisco ASA から複製コンフィギュレーションの最初の部分を受信したことを示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

709006

エラー メッセージ %FWSM-1-709006: (Primary) End Configuration Replication (STB)

説明 フェールオーバー メッセージです。スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。

推奨処置 対処は不要です。

709007

エラー メッセージ %FWSM-2-709007: Configuration replication failed for command command

説明 フェールオーバー メッセージです。スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了できなかったときに表示されます。メッセージの最後に、障害の原因となったコマンドが表示されます。

推奨処置 コマンド名を書き留めて、TAC に連絡してください。

710001

エラー メッセージ %FWSM-7-710001: TCP access requested from source_address/source_port to interface_name:dest_address/service

説明 Cisco ASA に宛てられた最初の TCP パケットが TCP セッションの確立を要求したときに、このメッセージが表示されます。このパケットは、1 往復半ハンドシェークの最初の SYN パケットです。該当するアクセス制御リスト(Telnet、HTTP、または SSH)によってパケットが許可された場合に、このメッセージが表示されます。ただし、SYN Cookie の確認はまだ完了しておらず、ステートは予約されていません。

推奨処置 対処は不要です。

710002

エラー メッセージ %FWSM-7-710002: {TCP|UDP} access permitted from source_address/source_port to interface_name:dest_address/service

説明 TCP 接続の場合、Cisco ASA に宛てられた 2 番めの TCP パケットが TCP セッションの確立を要求したときに、このメッセージが表示されます。このパケットは 1 往復半ハンドシェークの最後の ACK です。該当するアクセス制御リスト(Telnet、HTTP、または SSH)によってパケットが許可された場合に、このメッセージが表示されます。また、SYN クッキーの確認が成功し、TCP セッション用にステートは予約済みです。

UDP 接続の場合、接続が許可されました。たとえば、許可された SNMP 管理ステーションからの SNMP 要求をモジュールが受信し、その要求を処理すると、このメッセージ(サービスは SNMP)が表示されます。このメッセージは、10 秒で 1 回にレート制限されています。

推奨処置 対処は不要です。

710003

エラー メッセージ %PIX-3-710003: {TCP|UDP} access denied by ACL from source_IP/source_port to interface_name:dest_IP/service

次に例を示します。

%PIX-3-710003: UDP access denied by ACL from 95.1.1.14/5000 to outside:95.1.1.13/1005

説明 セキュリティ アプライアンスがインターフェイス サービスへの接続の試みを拒否したときに、このメッセージが表示されます。たとえば、ファイアウォールが不正な SNMP 管理ステーションからの SNMP 要求を受信すると、このメッセージが表示される場合があります。

推奨処置 show run http show run ssh 、または show run telnet コマンドを使用して、ホストまたはネットワークからのサービス アクセスを許可するようにセキュリティ アプライアンスが設定されているかどうかを確認してください。このメッセージが頻繁に表示される場合には、攻撃の可能性があります。

710004

エラー メッセージ %FWSM-7-710004: TCP connection limit exceeded from source_address/source_port to interface_name:dest_address/service

説明 サービスへの Cisco ASA の管理接続の最大数を超過しました。Cisco ASA は、管理サービスごとに最大 5 つの管理接続を同時に許可します。

推奨処置 コンソールから kill コマンドを使用して、不要なセッションを開放してください。

710005

エラー メッセージ %FWSM-7-710005: {TCP|UDP} request discarded from source_address/source_port to interface_name:dest_address/service

説明 UDP 要求を処理する UDP サーバが Cisco ASA にないときに、このメッセージが表示されます。TCP パケットが Cisco ASA 上のどのセッションにも属していない場合にも、このメッセージが表示されることがあります。また、許可されたホストからであっても、空白のペイロードを持つ SNMP 要求を Cisco ASA が受信した場合にも、このメッセージ(サービスは snmp )が表示されます。サービスが snmp である場合、ログ受信側の負荷を防止するため、このメッセージは最大で 10 秒に 1 回しか生成されません。

推奨処置 DHCP、RIP、NetBios などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが異常に多く発生する場合には、攻撃の可能性があります。

710006

エラー メッセージ %FWSM-7-710006: protocol request discarded from source_address to interface_name:dest_address

説明 Cisco ASA に IP プロトコル要求を処理する IP サーバがない場合に、このメッセージが表示されます。たとえば、Cisco ASA が TCP または UDP 以外の IP パケットを受信し、Cisco ASA が要求を処理できない場合などです。

推奨処置 DHCP、RIP、NetBios などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが異常に多く発生する場合には、攻撃の可能性があります。

711001

エラー メッセージ %FWSM-7-711001: debug_trace_msg

説明 ロギング機能に関する logging debug-trace コマンドを入力したあとに、このシステム ログ メッセージが表示されます。logging debug-trace をイネーブルにすると、すべてのデバッグ メッセージがシステム ログ メッセージにリダイレクトされて処理されます。セキュリティ上の理由から、システム ログ メッセージ出力は暗号化するか、またはセキュアな帯域外ネットワークで送信する必要があります。

推奨処置 対処は不要です。

711002

エラー メッセージ %FWSM-7-711002: Task ran for elapsed_time msecs, process = process_name

説明 プロセスが 100 ミリ秒よりも長く CPU を使用しているときに、このメッセージが表示されます。このメッセージは、CPU を使用しているプロセスにフラグを付ける、デバッグ目的で使用されます。

推奨処置 対処は不要です。

713004

エラー メッセージ %FWSM-3-713004: device scheduled for reboot or shutdown, IKE key acquire message on interface interface num , for Peer IP_address ignored

説明 Cisco ASA がトンネルの開始を試みているリモート エンティティから IKE パケットを受信したときに、このメッセージが表示されます。Cisco ASA はリブートまたはシャットダウンがスケジュールされているので、トンネルを確立することはできません。この IKE パケットは無視され、廃棄されます。

推奨処置 対処は不要です。

713006

エラー メッセージ %FWSM-5-713006: Failed to obtain state for message Id message_number , Peer Address: IP_address

説明 Cisco ASA が受信したメッセージ ID を認識していないことを表すメッセージです。メッセージ ID は、特定の IKE フェーズ 2 ネゴシエーションを識別する目的で使用されます。Cisco ASA にエラー条件が存在する可能性がありますが、2 つの IKE ピアが同期外れになっている場合もあります。

推奨処置 対処は不要です。

713008

エラー メッセージ %FWSM-3-713008: Key ID in ID payload too big for pre-shared IKE tunnel

説明 ID ペイロードで受信したキー ID 値が、事前共有鍵認証を使用する、この IKE セッションのグループ名で認められる最大サイズよりも長いことを表すメッセージです。これは無効な値であり、セッションはリジェクトされます。Cisco ASA では、このサイズのグループ名を作成できないので、表示されるキー ID は使用できません。クライアント上の不正なグループ名を変更するように、ユーザに通知してください。

推奨処置 クライアント ピア(最も可能性が高いのは Altiga RA クライアント)で有効なグループ名が指定されているかどうかを確認してください。現時点ではグループ名の最大長は 32 です。

713009

エラー メッセージ %FWSM-3-713009: OU in DN in ID payload too big for Certs IKE tunnel

説明 ID ペイロードで受信した DN の OU 値が、Certs 認証を使用する、この IKE セッションのグループ名で認められる最大サイズよりも長いことを表すメッセージです。この OU はスキップされ、別の OU または他の基準と一致するグループが検索されます。

推奨処置 Cisco ASA にグループのある OU をクライアントが使用するには、グループ名が有効な長さでなければなりません。現時点ではグループ名の最大長は 32 です。

713010

エラー メッセージ %FWSM-5-713010: IKE area: failed to find centry for message Id message_number

説明 一意のメッセージ ID によって conn_entry(IPSec SA に対応する IKE フェーズ 2 の構造)を検索する試みが失敗したときに、このメッセージが表示されます。内部構造が見つかりませんでした。セッションが標準外の方法で終了した場合に発生する可能性もありますが、最も考えられる原因は内部エラーです。

推奨処置 この問題が続く場合は、ピアを調べてください。

713012

エラー メッセージ %FWSM-3-713012: Unknown protocol ( protocol ). Not adding SA w/spi=SPI value

説明 ピアから不正な IPSec プロトコルまたはサポート対象外の IPSec プロトコルを受信したときに、このメッセージが表示されます。

推奨処置 ピアの ISAKMP フェーズ 2 コンフィギュレーションが Cisco ASA と互換であるかどうかを確認してください。

713014

エラー メッセージ %FWSM-3-713014: Unknown Domain of Interpretation (DOI): DOI value

説明 ピアから受信した ISAKMP Domain of Interpretation(DOI)がサポート対象外である場合に、このメッセージが表示されます。

推奨処置 ピアの ISAKMP DOI コンフィギュレーションを確認してください。

713016

エラー メッセージ %FWSM-3-713016: Unknown identification type, Phase 1 or 2, Type ID_Type

説明 ピアから受信した ID が不明の場合に、このメッセージが表示されます。この ID は未知の有効な ID の場合もありますが、無効な ID または壊れた ID の場合もあります。

推奨処置 ヘッドエンドおよびピアのコンフィギュレーションを確認してください。

713017

エラー メッセージ %FWSM-3-713017: Identification type not supported, Phase 1 or 2, Type ID_Type

説明 ピアから受信したフェーズ 1 またはフェーズ 2 ID が、正当であってもサポート対象外であることを表すメッセージです。

推奨処置 ヘッドエンドおよびピアのコンフィギュレーションを確認してください。

713018

エラー メッセージ %FWSM-3-713018: Unknown ID type during find of group name for certs, Type ID_Type

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713020

エラー メッセージ %FWSM-3-713020: No Group found by matching OU(s) from ID payload: OU_value

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713022

エラー メッセージ %FWSM-3-713022: No Group found matching peer_ID or IP_address for Pre-shared key peer IP_address

説明 ピアから指定された値(キー ID または IP アドレス)と同じ名前のグループがグループ データベースに存在しないことを表すメッセージです。

推奨処置 ピアのコンフィギュレーションを確認してください。

713024

エラー メッセージ %FWSM-7-713024: Received local Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port

説明 Cisco ASA がリモート ピアのフェーズ 2 ローカル プロキシ ID ペイロードを受信したことを表すメッセージです。

推奨処置 対処は不要です。

713025

エラー メッセージ %FWSM-7-713025: Received remote Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port

説明 Cisco ASA がリモート ピアのフェーズ 2 リモート プロキシ ID ペイロードを受信したことを表すメッセージです。

推奨処置 対処は不要です。

713026

エラー メッセージ %FWSM-7-713026: Transmitted local Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port

説明 Cisco ASA がフェーズ 2 ローカル プロキシ ID ペイロードを送信したことを表すメッセージです。

推奨処置 対処は不要です。

713027

エラー メッセージ %FWSM-7-713027: Transmitted remote Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port

説明 Cisco ASA がフェーズ 2 リモート プロキシ ID ペイロードを送信したことを表すメッセージです。

推奨処置 対処は不要です。

713028

エラー メッセージ %FWSM-7-713028: Received local Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port

説明 Cisco ASA がリモート ピアのフェーズ 2 ローカル プロキシ ID ペイロードを受信し、そのペイロードに IP アドレス範囲が含まれていたことを表すメッセージです。

推奨処置 対処は不要です。

713029

エラー メッセージ %FWSM-7-713029: Received remote Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port

説明 Cisco ASA がリモート ピアのフェーズ 2 リモート プロキシ ID ペイロードを受信し、そのペイロードに IP アドレス範囲が含まれていたことを表すメッセージです。

推奨処置 対処は不要です。

713030

エラー メッセージ %FWSM-7-713030: Transmitted local Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port

説明 Cisco ASA がフェーズ 2 ローカル プロキシ ID ペイロードを送信したことを表すメッセージです。

推奨処置 対処は不要です。

713031

エラー メッセージ %FWSM-7-713031: Transmitted remote Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port

説明 Cisco ASA がフェーズ 2 リモート プロキシ ID ペイロードを送信したことを表すメッセージです。

推奨処置 対処は不要です。

713032

エラー メッセージ %FWSM-3-713032: Received invalid local Proxy Range IP_address - IP_address

説明 ローカル ID ペイロードに範囲 ID タイプが含まれていて、指定の下位アドレスが上位アドレスよりも小さくなかった場合に、このメッセージが表示されます。コンフィギュレーションの問題を表している可能性があります。

推奨処置 ISAKMP フェーズ 2 パラメータの設定を確認してください。

713033

エラー メッセージ %FWSM-3-713033: Received invalid remote Proxy Range IP_address - IP_address

説明 リモート ID ペイロードに範囲 ID タイプが含まれていて、指定の下位アドレスが上位アドレスよりも小さくなかった場合に、このメッセージが表示されます。コンフィギュレーションの問題を表している可能性があります。

推奨処置 ISAKMP フェーズ 2 パラメータの設定を確認してください。

713034

エラー メッセージ %FWSM-7-713034: Received local IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port

説明 フェーズ 2 ID ペイロードでローカル IP プロキシ サブネットのデータを受信したときに、このメッセージが表示されます。

推奨処置 対処は不要です。

713035

エラー メッセージ %FWSM-7-713035: Received remote IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port

説明 フェーズ 2 ID ペイロードでリモート IP プロキシ サブネットのデータを受信したときに、このメッセージが表示されます。

推奨処置 対処は不要です。

713036

エラー メッセージ %FWSM-7-713036: Transmitted local IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port

説明 フェーズ 2 ID ペイロードでローカル IP プロキシ サブネットのデータを送信したときに、このメッセージが表示されます。

推奨処置 対処は不要です。

713037

エラー メッセージ %FWSM-7-713037: Transmitted remote IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port

説明 フェーズ 2 ID ペイロードでリモート IP プロキシ サブネットのデータを送信したときに、このメッセージが表示されます。

推奨処置 対処は不要です。

713039

エラー メッセージ %FWSM-7-713039: Send failure: Bytes ( number ), Peer: IP_address

説明 内部ソフトウェア エラーが発生し、ISAKMP パケットを送信できなかった場合に、このメッセージが表示されます。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713040

エラー メッセージ %FWSM-7-713040: Could not find connection entry and can not encrypt: msgid message_number

説明 内部ソフトウェア エラーが発生し、フェーズ 2 データ構造が見つからないことを表すメッセージです。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713041

エラー メッセージ %FWSM-5-713041: IKE Initiator: new or rekey Phase 1 or 2, Intf interface_number , IKE Peer IP_address local Proxy Address IP_address , remote Proxy Address IP_address , Crypto map ( crypto map tag )

説明 Cisco ASA がイニシエータとしてトンネルをネゴシエートしていることを表すメッセージです。

推奨処置 対処は不要です。

713042

エラー メッセージ %FWSM-3-713042: IKE Initiator unable to find policy: Intf interface_number , Src: source_address , Dst: dest_address

説明 IPSec 高速パスが IKE をトリガーするパケットを処理したけれども、IKE のポリシー検索が失敗したことを表すメッセージです。このエラーはタイミングに関連する可能性があります。IKE が開始要求を処理する前に、IKE をトリガーする ACL が削除されている可能性があります。この問題はほとんどの場合、自動的に解決されます。

説明 この状況が続く場合は、L2L コンフィギュレーションを確認してください。暗号マップに関係する ACL に特に注意してください。

713043

エラー メッセージ %FWSM-3-713043: Cookie/peer address IP_address session already in progress

説明 元のトンネルの進行中に、再び IKE がトリガーされたことを表すメッセージです。

推奨処置 対処は不要です。

713047

エラー メッセージ %FWSM-3-713047: Unsupported Oakley group: Group Diffie-Hellman group

説明 Cisco ASA が、リモート ピアの提案する Diffie-Hellman グループをサポートしていないことを表すメッセージです。Diffie-Hellman グループは、フェーズ 1 で Diffie-Hellman キーを生成し、フェーズ 2 で Perfect Forward Secrecy(PFS)用の Diffie-Hellman キーを生成します。

説明 ピアの Diffie-Hellman キーの設定を確認してください。また、Cisco ASA に対する提案が正しいかどうかも確認してください。

713048

エラー メッセージ %FWSM-3-713048: Error processing payload: Payload ID: id

説明 処理できないペイロードを持つパケットを受信したことを表すメッセージです。

推奨処置 この問題が続く場合は、ピアのコンフィギュレーションに誤りがある可能性があります。

713049

エラー メッセージ %FWSM-5-713049: Security negotiation complete for tunnel_type type ( group_name ) Initiator/Responder , Inbound SPI = SPI , Outbound SPI = SPI

説明 IPSec トンネルの開始を表すメッセージです。

推奨処置 対処は不要です。

713050

エラー メッセージ %FWSM-5-713050: Connection terminated for peer IP_address . Reason: termination reason Remote Proxy IP_address , Local Proxy IP_address

説明 IPSec トンネルの終了を表すメッセージです。

推奨処置 対処は不要です。

713051

エラー メッセージ %FWSM-3-713051: Terminating connection attempt: IPSEC not permitted for group ( group_name )

説明 ユーザ、グループ、またはインターフェイス ポリシーによって IPSec トンネルが拒否されていることを表すメッセージです。

推奨処置 IPSec を使用するには、ポリシーで適切なトンネリング プロトコルを選択してください。

713052

エラー メッセージ %FWSM-7-713052: User ( user ) authenticated.

説明 リモート アクセス ユーザが認証されたことを表すメッセージです。

推奨処置 対処は不要です。

713056

エラー メッセージ %FWSM-3-713056: Tunnel rejected: SA ( SA_name ) not found for group ( group_name )!

説明 IPSec SA が見つからなかったことを表すメッセージです。

推奨処置 リモート アクセス トンネルの場合、グループとユーザのコンフィギュレーションを調べ、ユーザ グループにトンネル グループとグループ ポリシーが設定されていることを確認してください。外部認証のユーザおよびグループの場合、返された認証アトリビュートを確認してください。

713059

エラー メッセージ %FWSM-3-713059: Tunnel Rejected: User ( user ) matched with group name, group-lock check failed.

説明 ユーザがトンネル グループとユーザ名に同じストリングを使用して認証を試みたことを表すメッセージです。

推奨処置 ユーザを認証するには、グループとユーザ名が異なっている必要があります。

713060

エラー メッセージ %FWSM-3-713060: Tunnel Rejected: User ( user ) not member of group ( group_name ), group-lock check failed.

説明 ユーザが IPSec ネゴシエーションで送信されたグループとは別のグループに設定されていることを表すメッセージです。

推奨処置 Cisco VPN クライアントと事前共有鍵を使用している場合は、クライアント上で設定されているグループが、Cisco ASA 上でそのユーザに対応付けられているグループと同じであるかどうかを確認してください。デジタル証明書を使用している場合は、証明書の OU フィールドでグループが指定されていなければ、ユーザはデフォルトでリモート アクセスのデフォルト グループに設定されます。

713061

エラー メッセージ %FWSM-3-713061: Tunnel rejected: Crypto Map Policy not found for Src: source_address , Dst: dest_address !

説明 Cisco ASA が、メッセージで表示されるプライベート ネットワークまたはホストに関するセキュリティ ポリシー情報を見つけられなかったことを表すメッセージです。これらのネットワークまたはホストは、イニシエータによって送信され、Cisco ASA 上のどの暗号 ACL とも一致しません。最も考えられる原因は、設定の誤りです。

推奨処置 接続の両側で暗号 ACL の保護ネットワークの設定を調べ、イニシエータ上のローカル ネットワークがレスポンダ上のリモート ネットワークであり、その逆も成り立っているかどうかを確認してください。ワイルドカード マスク、ホスト アドレスとネットワーク アドレスなどに特に注意してください。シスコ以外の実装では、プライベート アドレスが、プロキシ アドレスまたはレッド ネットワークとしてラベル付けされている場合があります。

713062

エラー メッセージ %FWSM-3-713062: IKE Peer address same as our interface address IP_address

説明 IKE ピアとして設定されている IP アドレスが、Cisco ASA のいずれかの IP インターフェイス上で設定されている IP アドレスと同じてす。

推奨処置 L2L のコンフィギュレーションと、IP インターフェイスのコンフィギュレーションを確認してください。

713063

エラー メッセージ %FWSM-3-713063: IKE Peer address not configured for destination IP_address

説明 IKE ピアのアドレスが、L2L トンネルに設定されていないことを表すメッセージです。

推奨処置 L2L のコンフィギュレーションを確認してください。

713065

エラー メッセージ %FWSM-3-713065: IKE Remote Peer did not negotiate the following: proposal attribute

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713066

エラー メッセージ %FWSM-7-713066: IKE Remote Peer configured for SA: SA_name

説明 ピアの暗号ポリシー設定を表すメッセージです。

推奨処置 対処は不要です。

713068

エラー メッセージ %FWSM-5-713068: Received non-routine Notify message: notify_type (notify_value)

説明 このイベントの原因となった通知メッセージが、通知処理コードで明示的に処理されないことを表すメッセージです。

推奨処置 固有の理由情報を検証して、対処を決定してください。IKE ピア間の設定の不一致を表す、多くの通知メッセージがあります。

713072

エラー メッセージ %FWSM-3-713072: Password for user ( user ) too long, truncating to number characters

説明 ユーザのパスワードが長すぎることを表すメッセージです。

推奨処置 認証サーバ上でパスワードの長さを訂正してください。

713073

エラー メッセージ %FWSM-5-713073: Responder forcing change of P hase 1/Phase 2 rekeying duration from larger_value to smaller_value seconds

説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、イニシエータの値が小さいことを表します。

推奨処置 対処は不要です。

713074

エラー メッセージ %FWSM-5-713074: Responder forcing change of IPSec rekeying duration from larger_value to smaller_value Kbs

説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、イニシエータの値が小さいことを表します。

推奨処置 対処は不要です。

713075

エラー メッセージ %FWSM-5-713075: Overriding Initiator's IPSec rekeying duration from larger_value to smaller_value seconds

説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、レスポンダの値が小さいことを表します。

推奨処置 対処は不要です。

713076

エラー メッセージ %FWSM-5-713076: Overriding Initiator's IPSec rekeying duration from larger_value to smaller_value Kbs

説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、レスポンダの値が小さいことを表します。

推奨処置 対処は不要です。

713078

エラー メッセージ %FWSM-2-713078: Temp buffer for building mode config attributes exceeded: bufsize available_size , used value

説明 modecfg アトリビュートの処理中に内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 不要なトンネル グループ アトリビュートをディセーブルにするか、または長すぎるテキスト メッセージを短縮します。問題が解消されない場合は、エラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報およびコンフィギュレーション ファイルとともに Cisco TAC に提出して、指示を受けてください。

713081

エラー メッセージ %FWSM-3-713081: Unsupported certificate encoding type encoding_type

説明 ロードされた証明書のいずれかが読み取り不可能であり、サポート対象外の符号化方式の可能性があることを表すメッセージです。

推奨処置 デジタル証明書およびトラストポイントの設定を確認してください。

713082

エラー メッセージ %FWSM-3-713082: Failed to retrieve identity certificate

説明 このトンネルに関するアイデンティティ証明書が見つかりませんでした。

推奨処置 デジタル証明書およびトラストポイントの設定を確認してください。

713083

エラー メッセージ %FWSM-3-713083: Invalid certificate handle

説明 このトンネルに関するアイデンティティ証明書が見つからなかったことを表すメッセージです。

推奨処置 デジタル証明書およびトラストポイントの設定を確認してください。

713084

エラー メッセージ %FWSM-3-713084: Received invalid phase 1 port value ( port ) in ID payload

説明 IKE フェーズ 1 ID ペイロードで受信したポート値が不正であることを表すメッセージです。許容可能な値は、0 または 500(ISAKMP または IKE)です。

推奨処置 ピアが IKE 規格に準拠していないか、またはネットワークの問題によりパケットが壊れた可能性があります。

713085

エラー メッセージ %FWSM-3-713085: Received invalid phase 1 protocol ( protocol ) in ID payload

説明 IKE フェーズ 1 ID ペイロードで受信したプロトコル値が不正であることを表すメッセージです。許容可能な値は、0 または 17(UDP)です。

推奨処置 ピアが IKE 規格に準拠していないか、またはネットワークの問題によりパケットが壊れた可能性があります。

713086

エラー メッセージ %FWSM-3-713086: Received unexpected Certificate payload Possible invalid Auth Method (Auth method (auth numerical value))

説明 証明書ペイロードを受信したにも関わらず、内部証明書ハンドルではアイデンティティ証明書がないと示されています。通常の登録方式で証明書ハンドルを取得しなかった可能性があります。考えられる理由の 1 つは、認証方式が RSA または DSS シグニチャでないことですが、双方の設定が誤っていれば IKE SA ネゴシエーションが失敗するはずです。

推奨処置 アプライアンスおよびピア上で、トラストポイントと ISAKMP の設定を確認してください。

713088

エラー メッセージ %FWSM-3-713088: Set Cert filehandle failure: no IPSec SA in group group_name

説明 デジタル証明書の情報に基づいてトンネル グループを見つけることができませんでした。

推奨処置 トンネル グループがピアの証明書情報を処理するように、適切に設定されているかどうかを確認してください。

713092

エラー メッセージ %FWSM-5-713092: Failure during phase 1 rekeying attempt due to collision

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 ほとんどの場合、悪性のイベントではありませんが、重大な影響がある場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713094

エラー メッセージ %FWSM-7-713094: Cert validation failure: handle invalid for Main/Aggressive Mode Initiator/Responder !

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 トラストポイントを再登録しなければならない場合があります。問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713098

エラー メッセージ %FWSM-3-713098: Aborting: No identity cert specified in IPSec SA ( SA_name )!

説明 証明書に基づく IKE セッションの確立が試みられましたが、暗号ポリシーでアイデンティティ証明書が指定されていないことを表すメッセージです。

推奨処置 ピアに送信するアイデンティティ証明書/トラストポイントを指定してください。

713099

エラー メッセージ %FWSM-7-713099: Tunnel Rejected: Received NONCE length number is out of range!

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713102

エラー メッセージ %FWSM-3-713102: Phase 1 ID Data length number too long - reject tunnel!

説明 IKE が受信した ID ペイロードに含まれる Identification Data フィールドのサイズが 2K 以上だったことを表すメッセージです。

推奨処置 対処は不要です。

713103

エラー メッセージ %FWSM-7-713103: Invalid (NULL) secret key detected while computing hash

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713104

エラー メッセージ %FWSM-7-713104: Attempt to get Phase 1 ID data failed while hash computation

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713105

エラー メッセージ %FWSM-3-713105: Zero length data in ID payload received during phase 1 or 2 processing

説明 ピアが ID データのない ID ペイロードを送信したことを表すメッセージです。これは無効です。

推奨処置 ピアのコンフィギュレーションを確認してください。

713107

エラー メッセージ %FWSM-3-713107: IP_Address request attempt failed!

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713109

エラー メッセージ %FWSM-3-713109: Unable to process the received peer certificate

説明 Cisco ASA がリモート ピアから受信した証明書を処理できなかったことを表すメッセージです。証明書データのフォーマットが不正だった場合や、証明書のデータをアプライアンスが保存できなかった場合が考えられます。原因としては、たとえば 4096 ビットより大きいパブリック キー サイズなどがあります。

推奨処置 リモート ピア上で別の証明書を使用して、接続の再確立を試みてください。

713112

エラー メッセージ %FWSM-3-713112: Failed to process CONNECTED notify (SPI SPI_value )!

説明 Cisco ASA が通知タイプ CONNECTED を含む通知ペイロードを正常に処理できなかったことを表すメッセージです。SPI を使用して IKE フェーズ 2 構造を見つけられなかった場合や、受信した ISAKMP ヘッダーで commit ビットが設定されていなかった場合が考えられます。後者の場合、IKE ピアが規格に準拠していない可能性があります。

推奨処置 問題が続く場合は、ピアのコンフィギュレーションを確認し、commit ビット処理をディセーブルにしてください。

713113

エラー メッセージ %FWSM-7-713113: Deleting IKE SA with associated IPSec connection entries. IKE peer: IP_address , SA address: internal_SA_address , tunnel count: count

説明 IKE SA が 0 以外のトンネル カウントで削除されたことを表すメッセージです。IKE SA のトンネル カウントが対応付けられた接続エントリとの同期を失ったか、または対応する接続エントリの cookie フィールドと、その接続エントリがポイントする IKE SA の cookie フィールドが同期を失ったことを意味します。この状況が発生すると、IKE SA および対応するデータ構造は解放されないので、データ構造をポイントしている可能性のあるエントリが古いポインタを使用することはありません。

推奨処置 対処は不要です。エラー回復が組み込まれています。

713114

エラー メッセージ %FWSM-7-713114: Connection entry (conn entry internal address) points to IKE SA ( SA_internal_address ) for peer IP_address , but cookies don't match

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713115

エラー メッセージ %FWSM-5-713115: Client rejected NAT enabled IPSec request, falling back to standard IPSec

説明 Cisco ASA による、UDP 上での IPSec の使用の試みをクライアントがリジェクトしました。UDP 上の IPSec を使用すると、複数のクライアントが NAT デバイス経由で Cisco ASA への同時トンネルを確立できます。クライアントが要求をリジェクトした理由としては、この機能をサポートしていないか、またはこの機能を使用するように設定されていないことが考えられます。

推奨処置 ヘッドエンドとピアのコンフィギュレーションを確認してください。

713116

エラー メッセージ %FWSM-3-713116: Terminating connection attempt: L2TP-over-IPSEC attempted by group (group_name) but L2TP disabled

説明 ユーザまたはグループが L2TP-over-IPSec 接続を試みましたが、この Cisco ASA ではL2TP プロトコルがイネーブルではありません。

推奨処置 L2TP のコンフィギュレーションを確認してください。

713117

エラー メッセージ %FWSM-7-713117: Received Invalid SPI notify (SPI SPI_Value )!

説明 SPI 値で表される IPSec SA が、リモート ピア上でアクティブでなくなっていることを表すメッセージです。リモート ピアがリブートまたはリセットされた可能性があります。

推奨処置 ピアに確立済みの適切な SA がなくなっていることを DPD が認識すれば、この問題は自動的に解消されるはずです。DPD がイネーブルでない場合、該当するトンネルを手動で再確立する必要があります。

713118

エラー メッセージ %FWSM-3-713118: Detected invalid Diffie-Helmann group_descriptor group_number , in IKE area

説明 group_descriptor フィールドにサポート対象外の値が含まれていることを表すメッセージです。現時点でサポートされているのは、グループ 1、2、5、7 だけです。conn-entry の場合、 group_descriptor フィールドが 0 に設定され、Perfect Forward Secrecy(PFS)がディセーブルであることを表す場合もあります。

推奨処置 ピアの Diffie-Hellman の設定を確認してください。

713119

エラー メッセージ %FWSM-3-713119: PHASE 1 COMPLETED

説明 IKE フェーズ 1 が正常に終了した場合に表示されるメッセージです。

推奨処置 対処は不要です。

713120

エラー メッセージ %FWSM-5-713120: PHASE 2 COMPLETED (msgid=msg_id)

説明 IKE フェーズ 2 が正常に終了した場合に表示されるメッセージです。

推奨処置 対処は不要です。

713121

エラー メッセージ %FWSM-7-713121: Keep-alive type for this connection: keepalive_type

説明 このトンネルに使用されているキープアライブ メカニズムのタイプを表すメッセージです。

推奨処置 対処は不要です。

713122

エラー メッセージ %FWSM-3-713122: Keep-alives configured keepalive_type but peer IP_address support keep-alives (type = keepalive_type )

説明 このデバイスでキープアライブがオン(またはオフ)に設定されているにも関わらず、IKE ピアがキープアライブをサポートする(またはサポートしない)ことを表すメッセージです。

推奨処置 これが意図的である場合には、処置は不要です。意図的でない場合、両方のデバイスでキープアライブの設定を変更してください。

713123

エラー メッセージ %FWSM-3-713123: IKE lost contact with remote peer, deleting connection (keepalive type: keepalive_type )

説明 リモート IKE ピアが所定の時間内にキープアライブに応答しなかったために、IKE ピアとの接続が終了したことを表すメッセージです。使用されているキープアライブ メカニズムもメッセージで表示されます。

推奨処置 対処は不要です。

713124

エラー メッセージ %FWSM-3-713124: Received DPD sequence number rcv_sequence_# in DPD Action, description expected seq #

説明 リモート IKE ピアが送信した DPD に含まれるシーケンス番号が、予測されるシーケンス番号とは異なっていることを表すメッセージです。パケットは廃棄されます。

推奨処置 ネットワークにパケット損失の問題があることを表している可能性があります。

713127

エラー メッセージ %FWSM-3-713127: Xauth required but selected Proposal does not support xauth, Check priorities of ike xauth proposals in ike proposal list

説明 ピアが XAUTH を実行しようとしたにも関わらず、Cisco ASA が XAUTH IKE プロポーザルを選択しなかった場合に、このメッセージが表示されます。

推奨処置 IKE プロポーザル リストで、IKE XAUTH プロポーザルのプライオリティを確認してください。

713128

エラー メッセージ %FWSM-3-713128: Connection attempt to VCPIP redirected to VCA peer IP_address via load balancing

説明 VCPIP への接続の試みが、ロードバランシングによって負荷の少ないピアにリダイレクトされた場合に、このメッセージが表示されます。

推奨処置 対処は不要です。

713129

エラー メッセージ %FWSM-3-713129: Received unexpected Transaction Exchange payload type: payload_id

説明 XAUTH または Mode-cfg の実行中に、予期しないペイロードを受信したことを表すメッセージです。2 つのピアが同期外れになっているか、XAUTH または Mode-cfg のバージョンが一致していないか、またはリモート ピアが適切な RFC に適合していない可能性があります。

推奨処置 各ピアのコンフィギュレーションを確認してください。

713130

エラー メッセージ %FWSM-5-713130: Received unsupported transaction mode attribute: attribute id

説明 現在サポートされていない、有効なトランザクション モード アトリビュート(XAUTH または Mode Cfg)の要求をデバイスが受信したことを表すメッセージです。この状況は一般に、悪性ではありません。

推奨処置 対処は不要です。

713131

エラー メッセージ %FWSM-5-713131: Received unknown transaction mode attribute: attribute_id

説明 Cisco ASA が、認識しないトランザクション モード アトリビュート(XAUTH または Mode)の要求を受信したことを表すメッセージです。有効なアトリビュートでも現バージョンの config モードでサポートされていない場合や、ピアが独自仕様の無効な値を送信している場合が考えられます。接続に問題が生じることはありませんが、ピアの機能に影響する可能性があります。

推奨処置 対処は不要です。

713132

エラー メッセージ %FWSM-3-713132: Cannot obtain an IP_address for remote peer

説明 リモート アクセス クライアントの IP アドレスを提供する内部ユーティリティからのアドレス要求が、満たされなかったことを表すメッセージです。

推奨処置 IP アドレス割り当て方式の設定を確認してください。

713133

エラー メッセージ %FWSM-3-713133: Mismatch: Overriding phase 2 DH Group(DH group DH group_id ) with phase 1 group(DH group DH group_number

説明 設定されたフェーズ 2 PFS グループが、フェーズ 1 でネゴシエートされた DH グループと異なります。

推奨処置 対処は不要です。

713134

エラー メッセージ %FWSM-3-713134: Mismatch: P1 Authentication algorithm in the crypto map entry different from negotiated algorithm for the L2L connection

説明 設定された LAN 間プロポーザルが、LAN 間の接続で認められるものではない場合に、このメッセージが表示されます。どちら側がイニシエータであるかに応じて、異なるプロポーザルが使用されます。

推奨処置 対処は不要です。

713135

エラー メッセージ %FWSM-5-713135: message received, redirecting tunnel to IP_address .

説明 リモート Cisco ASA 上でのロードバランシングによって、トンネルがリダイレクトされることを表すメッセージです。REDIRECT_CONNECTION 通知パケットを受信した場合に、このメッセージが表示されます。

推奨処置 対処は不要です。

713136

エラー メッセージ %FWSM-5-713136: IKE session establishment timed out [ IKE_state_name ], aborting!

説明 SA が非アクティブな状態でハングしていることをリーパが検出しました。リーパはハングした SA の削除を試みます。

推奨処置 対処は不要です。

713137

エラー メッセージ %FWSM-5-713137: Reaper overriding refCnt [ref_count] and tunnelCnt [tunnel_count] -- deleting SA!

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713138

エラー メッセージ %FWSM-3-713138: Group group_name not found and BASE GROUP default preshared key not configured

説明 ピアの IP アドレスと同じ名前を持つグループが、グループ データベースに存在しない場合に表示されるメッセージです。Main モードでは、Cisco ASA はいずれかのデフォルト グループに設定されているデフォルトの事前共有鍵の使用を試みます。デフォルトの事前共有鍵が設定されていません。

推奨処置 事前共有鍵の設定を確認してください。

713139

エラー メッセージ %FWSM-5-713139: group_name not found, using BASE GROUP default preshared key

説明 ピアの IP アドレスと同じ名前を持つトンネル グループが、グループ データベースに存在しません。Main モードでは、Cisco ASA はデフォルト グループに設定されているデフォルトの事前共有鍵の使用を試みます。

推奨処置 対処は不要です。

713140

エラー メッセージ %FWSM-3-713140: Split Tunneling Policy requires network list but none configured

説明 スプリット トンネリング ポリシーが、トンネリングを分割するかローカル LAN アクセスを許可するように設定されている場合に、このメッセージが表示されます。VPN クライアントが必要とする情報を表すため、スプリット トンネリング ACL が定義されている必要があります。

推奨処置 ACL の設定を確認してください。

713141

エラー メッセージ %FWSM-3-713141: Client-reported firewall does not match configured firewall: action tunnel. Received -- Vendor: vendor(id) , Product product(id) , Caps: capability_value . Expected -- Vendor: vendor(id) , Product: product(id) , Caps: capability_value

説明 クライアントに搭載されている Cisco ASA が、設定上必要な Cisco ASA と一致しないことを表すメッセージです。このメッセージでは実際の値と必要な値がリストされ、トンネルが打ち切られるか許可されるかが示されます。

推奨処置 クライアントに別のパーソナル Cisco ASA を搭載するか、または Cisco ASA の設定を変更してください。

713142

エラー メッセージ %FWSM-3-713142: Client did not report firewall in use, but there is a configured firewall: action tunnel. Expected -- Vendor: vendor(id) , Product product(id) , Caps: capability_value

説明 クライアントが ModeCfg によって使用中の Cisco ASA を報告しない場合に、このメッセージが表示されます。このイベントでは、必要な値がリストされ、トンネルが打ち切られるか許可されるかが示されます。製品ストリングの後ろにある数値は、許可される全製品のビットマスクです。

推奨処置 クライアントに別のパーソナル Cisco ASA を搭載するか、または Cisco ASA の設定を変更してください。

713143

エラー メッセージ %FWSM-7-713143: Processing firewall record. Vendor: vendor(id) , Product: product(id) , Caps: capability_value , Version Number: version_number , Version String: version_text

説明 クライアントに搭載されている Cisco ASA に関するデバッグ情報を提供するメッセージです。

推奨処置 対処は不要です。

713144

エラー メッセージ %FWSM-5-713144: Ignoring received malformed firewall record; reason - error_reason TLV type attribute_value correction

説明 クライアントから不正な Cisco ASA 情報を受信したことを表すメッセージです。

推奨処置 クライアント上のパーソナル Cisco ASA の設定および Cisco ASA を確認してください。

713145

エラー メッセージ %FWSM-6-713145: Detected Hardware Client in network extension mode, adding static route for address: IP_address , mask: netmask

説明 ネットワーク拡張モードでハードウェア クライアントとのトンネルがネゴシエートされ、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのスタティック ルートが追加されることを表すメッセージです。これにより、Cisco ASA はそのリモート ネットワークを、ヘッドエンドのプライベート側にある全ルータに認識させることができます。

推奨処置 対処は不要です。

713146

エラー メッセージ %FWSM-3-713146: Could not add route for Hardware Client in network extension mode, address: IP_address , mask: netmask

説明 内部ソフトウェア エラーが発生したことを表すメッセージです。ネットワーク拡張モードでハードウェア クライアントとのトンネルがネゴシエートされ、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのスタティック ルートの追加が失敗しました。ルーティング テーブルが満杯であるか、アドレッシング エラーの可能性があります。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713147

エラー メッセージ %FWSM-6-713147: Terminating tunnel to Hardware Client in network extension mode, deleting static route for address: IP_address , mask: netmask

説明 ネットワーク拡張モードでハードウェア クライアントへのトンネルが削除され、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのスタティック ルートが削除されることを表すメッセージです。

推奨処置 対処は不要です。

713148

エラー メッセージ %FWSM-5-713148: Terminating tunnel to Hardware Client in network extension mode, unable to delete static route for address: IP_address , mask: netmask

説明 ネットワーク拡張モードでハードウェア クライアントへのトンネルの削除中に、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのルートが削除できなかったことを表すメッセージです。

推奨処置 アドレッシングまたはソフトウェアに問題がある可能性があります。ルーティング テーブルを調べて、問題のルートがないことを確認してください。ルートがある場合、ハードウェア クライアントへのトンネルが完全に削除されている場合に限り、そのルートを手動で削除してください。

713149

エラー メッセージ %FWSM-3-713149: Hardware client security attribute attribute_name was enabled but not requested.

説明 ヘッドエンドの Cisco ASA で、特定のハードウェア クライアントのセキュリティ アトリビュートがイネーブルと指定されているにも関わらず、VPN3002 ハードウェア クライアントがそのアトリビュートを要求していません。

推奨処置 ハードウェア クライアントの設定を確認してください。

713152

エラー メッセージ %FWSM-3-713152: Unable to obtain any rules from filter ACL_tag to send to client for CPP, terminating connection.

説明 クライアントが CPP を使用して自身の Cisco ASA をプロビジョニングする必要があるにも関わらず、ヘッドエンド デバイスがクライアントに送信すべき ACL を取得できなかったことを表すメッセージです。設定の誤りによるものと考えられます。

推奨処置 クライアントのグループ ポリシーで CPP に指定されている ACL を確認してください。

713154

エラー メッセージ %FWSM-4-713154: DNS lookup for peer_description Server [ server_name ] failed!

説明 特定のサーバに関する DNS 検索が解決されなかったことを表すメッセージです。

推奨処置 Cisco ASA 上の DNS サーバの設定を確認してください。さらに、DNS サーバが正常に動作していて、IP アドレス マッピングのホスト名があることを確認してください。

713155

エラー メッセージ %FWSM-5-713155: DNS lookup for Primary VPN Server [ server_name ] successfully resolved after a previous failure. Resetting any Backup Server init.

説明 プライマリ サーバに関する前回の DNS ルックアップの失敗により、システムがバックアップ ピアを初期化した可能性があります。プライマリ サーバの以降の DNS 検索は最終的に成功し、バックアップ サーバが初期化されていてもリセットされることを表すメッセージです。この時点よりあとに開始されたトンネルが、プライマリ サーバの目標となります。

推奨処置 対処は不要です。

713156

エラー メッセージ %FWSM-5-713156: Initializing Backup Server [ server_name or IP_address ]

説明 クライアントがバックアップ サーバにフェールオーバーするか、またはプライマリ サーバに関する DNS 検索の失敗によりバックアップ サーバが初期化されたことを表すメッセージです。この時点よりあとに開始されたトンネルが、指定のバックアップ サーバの目標となります。

推奨処置 対処は不要です。

713157

エラー メッセージ %FWSM-4-713157: Timed out on initial contact to server [ server_name or IP_address ] Tunnel could not be established.

説明 クライアントが IKE MSG1 を送信してトンネルの開始を試みましたが、反対側の Cisco ASA から応答を受信しなかったことを表すメッセージです。バックアップ サーバが使用可能であれば、クライアントはいずれかのバックアップ サーバとの接続を試みます。

推奨処置 ヘッドエンドの Cisco ASA との接続を確認してください。

713158

エラー メッセージ %FWSM-5-713158: Client rejected NAT enabled IPSec Over UDP request, falling back to IPSec Over TCP

説明 クライアントが IPSec over TCP を使用するように設定されていることを表すメッセージです。このクライアントは、Cisco ASA が IPSec over UDP を使用する試みをリジェクトしました。

推奨処置 TCP が望ましい場合には、処置は不要です。そうでない場合は、クライアントの設定を確認してください。

713159

エラー メッセージ %FWSM-3-713159: TCP Connection to Firewall Server has been lost, restricted tunnels are now allowed full network access

説明 Cisco ASA サーバへの TCP 接続が、何らかの理由で切断されたことを表すメッセージです。考えられる原因としては、サーバのリブート、ネットワークの問題、SSL の不一致などがあります。

推奨処置 初期接続が行われたあとでサーバとの接続が切断された場合は、サーバとネットワークの接続を確認する必要があります。初期接続がただちに切断された場合は、SSL 認証に問題があると考えられます。

713160

エラー メッセージ %FWSM-7-713160: Remote user (session Id - id ) has been granted access by the Firewall Server

説明 Cisco ASA サーバに対するリモート ユーザの認証が正常に行われたことを表すメッセージです。

推奨処置 対処は不要です。

713161

エラー メッセージ %FWSM-3-713161: Remote user (session Id - id ) network access has been restricted by the Firewall Server

説明 Cisco ASA サーバが Cisco ASA に対し、このユーザを制限する必要があるという旨のメッセージを送信しました。理由としては、Cisco ASA ソフトウェアのアップグレード、アクセス権の変更などがあります。Cisco ASA サーバは処理が完了次第、このユーザをフル アクセス モードに戻します。

推奨処置 処置は不要ですが、ユーザがフル アクセス ステートにモードに戻されない場合は例外です。その場合には、Cisco ASA サーバを調べ、実行された処理およびリモート マシンで稼働中の Cisco ASA ソフトウェアの状態を確認してください。

713162

エラー メッセージ %FWSM-3-713162: Remote user (session Id - id ) has been rejected by the Firewall Server

説明 Cisco ASA サーバがこのユーザをリジェクトしたことを表すメッセージです。

推奨処置 Cisco ASA サーバ上のポリシー情報を調べ、ユーザが正しく設定されているかどうかを確認してください。

713163

エラー メッセージ %FWSM-3-713163: Remote user (session Id - id ) has been terminated by the Firewall Server

説明 Cisco ASA サーバがこのユーザ セッションを終了したことを表すメッセージです。クライアント マシン上でインテグリティ エージェントが動作を停止した場合、またはセキュリティ ポリシーがリモート ユーザによって何らかの方法で変更された場合に、このメッセージが表示されます。

推奨処置 クライアント マシンの Cisco ASA ソフトウェアが引き続き稼働していて、ポリシーが正しいかどうかを確認してください。

713164

エラー メッセージ %FWSM-7-713164: The Firewall Server has requested a list of active user sessions

説明 Cisco ASA サーバが古いデータを検出した場合、または(リブート時のように)セッション データを失った場合に、このサーバがセッション情報を要求していることを表すメッセージです。

推奨処置 対処は不要です。

713165

エラー メッセージ %FWSM-3-713165: Client IKE Auth mode differs from the group's configured Auth mode

説明 クライアントのトンネル グループのポリシーがデジタル証明書を使用するように設定されているにも関わらず、クライアントが事前共有鍵を使用してネゴシエートしたことを表すメッセージです。

推奨処置 クライアントの設定を確認してください。

713166

エラー メッセージ %FWSM-3-713166: Headend security gateway has failed our user authentication attempt - check configured username and password

説明 ハードウェア クライアントが拡張認証に失敗したことを表すメッセージです。ユーザ名とパスワード、または認証サーバに問題があると考えられます。

推奨処置 双方に設定されているユーザ名とパスワードの値が一致しているかどうかを確認してください。また、ヘッドエンドの認証サーバが正常に動作しているかどうかを確認してください。

713167

エラー メッセージ %FWSM-3-713167: Remote peer has failed user authentication - check configured username and password

説明 リモート ユーザが拡張認証に失敗したことを表すメッセージです。ユーザ名とパスワード、または認証サーバに問題があると考えられます。

推奨処置 双方に設定されているユーザ名とパスワードの値が一致しているかどうかを確認してください。また、リモートの認証に使用されている認証サーバが正常に動作しているかどうかを確認してください。

713168

エラー メッセージ %FWSM-3-713168: Re-auth enabled, but tunnel must be authenticated interactively!

説明 再キーイングに対する再認証がイネーブルに設定されているにも関わらず、トンネル認証に手動での介入が必要であることを表すメッセージです。

推奨処置 手動での介入が望ましい場合は、処置は不要です。そうでない場合は、対話型認証の設定を確認してください。

713169

エラー メッセージ %FWSM-7-713169: IKE Received delete for rekeyed SA IKE peer: IP_address , SA address: internal_SA_address , tunnelCnt: tunnel_count

説明 再キーイングが完了したあとで、IKE がリモート ピアから古い IKE SA を削除する delete メッセージを受信したことを表すメッセージです。

推奨処置 対処は不要です。

713170

エラー メッセージ %FWSM- 7-713170: IKE Received delete for rekeyed centry IKE peer: IP_address , centry address: internal_address , msgid: id

説明 フェーズ 2 再キーイングが完了したあとで、IKE がリモート ピアから古い conn-entry を削除する delete メッセージを受信しました。

推奨処置 対処は不要です。

713171

エラー メッセージ %FWSM- 7-713171: NAT-Traversal sending NAT-Original-Address payload

説明 フェーズ 2 で、UDP-Encapsulated-Transport が提案または選択されました。この場合、NAT-Traversal に対するこのペイロードを送信する必要があります。

推奨処置 対処は不要です。

713172

エラー メッセージ %FWSM- 6-713172: Automatic NAT Detection Status: Remote end is|is not behind a NAT device This end is|is_not behind a NAT device

説明 NAT-Traversal による NAT 自動検出の結果です。

推奨処置 対処は不要です。

713174

エラー メッセージ %FWSM- 3-713174: Hardware Client connection rejected! Network Extension Mode is not allowed for this group!

説明 ハードウェア クライアントがネットワーク拡張モードを使用してトンネリングを試みていますが、ネットワーク拡張モードは認められていません。

推奨処置 ネットワーク拡張モードの設定をPAT モードと照らし合わせて確認してください。

713176

エラー メッセージ %FWSM- 2-713176: Device_type memory resources are critical, IKE key acquire message on interface interface_number , for Peer IP_address ignored

説明 アプライアンスが、指定のピアへの IPSec トンネルをトリガーするデータを処理していることを表すイベントです。メモリ リソースがクリティカルな状態なので、これ以上のトンネルは開始できません。このデータ パケットは無視されて廃棄されています。

推奨処置 この状況が続く場合は、アプライアンスが効率的に設定されているかどうかを確認してください。このアプリケーション用には、メモリを増設したアプライアンスが必要であることを表している場合があります。

713177

エラー メッセージ %FWSM- 6-713177: Received remote Proxy Host FQDN in ID Payload: Host Name: host_name Address IP_address , Protocol protocol , Port port

説明 FQDN を含むフェーズ 2 ID ペイロードをピアから受信しました。

推奨処置 対処は不要です。

713178

エラー メッセージ %FWSM- 5-713178: IKE Initiator received a packet from its peer without a Responder cookie

説明 内部ソフトウェア エラーが発生しました。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713179

エラー メッセージ %FWSM- 5-713179: IKE AM Initiator received a packet from its peer without a payload_type payload

説明 内部ソフトウェア エラーが発生しました。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713182

エラー メッセージ %FWSM- 3-713182: IKE could not recognize the version of the client! IPSec Fragmentation Policy will be ignored for this connection!

説明 内部ソフトウェア エラーが発生しました。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713184

エラー メッセージ %FWSM- 6-713184: Client Type: Client_type Client Application Version: Application_version_string

説明 クライアントの OS およびアプリケーション バージョンを表すイベントです。この情報が入手できない場合には、N/A と表示されます。

推奨処置 対処は不要です。

713185

エラー メッセージ %FWSM- 3-713185: Error: Username too long - connection aborted

説明 クライアントが返したユーザ名の長さが無効であり、トンネルが切断されました。

推奨処置 ユーザ名を確認し、必要に応じて変更してください。

713186

エラー メッセージ %FWSM- 3-713186: Invalid secondary domain name list received from the authentication server. List Received: list_text Character index ( value ) is illegal

説明 外部 RADIUS 認証サーバから、無効なセカンダリ ドメイン名リストを受信しました。スプリット トンネリングを使用している場合、このリストは、クライアントがトンネル経由で解決すべきドメインを表します。

推奨処置 RADIUS サーバ上の Secondary-Domain-Name-List アトリビュート(ベンダー固有アトリビュート 29)の指定を訂正してください。このリストは、コンマで区切ったドメイン名のリストでなければなりません。ドメイン名には、英数字、ハイフン、アンダースコア、およびピリオド以外の文字が含まれていてはなりません。

713187

エラー メッセージ %FWSM- 7-713187: Tunnel Rejected: IKE peer does not match remote peer as defined in L2L policy IKE peer address: IP_address , Remote peer address: IP_address

説明 このトンネルの確立を試みた IKE ピアは、受信側のリモート サブネットにバインドされている ISAKMP コンフィギュレーションで設定されている IKE ピアではありません。

推奨処置 ヘッドエンドおよびピアの L2L 設定値が正しいかどうかを確認してください。

713189

エラー メッセージ %FWSM- 3-713189: Attempted to assign network or broadcast IP_address , removing ( IP_address ) from pool.

説明 プールから取得した IP アドレスが、このサブネットのネットワーク アドレスまたはブロードキャスト アドレスです。このアドレスは使用不可能としてマークされます。

推奨処置 一般にこのエラーは悪性ではありませんが、IP アドレス プールの設定を確認する必要があります。

713190

エラー メッセージ %FWSM- 7-713190: Got bad refCnt ( ref_count_value ) assigning IP_address ( IP_address )

説明 この SA の参照カウンタが無効です。

推奨処置 この問題は自動的に解消されます。

713193

エラー メッセージ %FWSM- 3-713193: Received packet with missing payload, Expected payload: payload_id

説明 アプライアンスが受信した、指定のエクスチェンジ タイプの暗号化/非暗号化パケットで、1 つまたは複数のペイロードが欠落していました。一般に、ピアに問題があることを表します。

推奨処置 ピアが有効な IKE メッセージを送信しているかどうかを確認してください。

713194

エラー メッセージ %FWSM- 3-713194: IKE|IPSec Delete With Reason message: termination_reason

説明 delete メッセージを終了理由コード付きで受信しました。

推奨処置 対処は不要です。

713195

エラー メッセージ %FWSM- 3-713195: Tunnel rejected: Originate-Only: Cannot accept incoming tunnel yet!

説明 Originate Only のピアは、最初の P2 トンネルの確立後でないと、着信接続を受け入れられません。トンネルが確立されると、どの方向のデータでも、追加のフェーズ 2 トンネルを開始できます。

推奨処置 別の動作が望ましい場合は、Originate Only の設定を変更する必要があります。

713196

エラー メッセージ %FWSM- 5-713196: Remote L2L Peer IP_address initiated a tunnel with same outer and inner addresses.Peer could be Originate Only - Possible misconfiguration!

説明 リモート L2L ピアが Public-Public トンネルを開始しました。このピアは相手先として Answer Only のピアを必要としていますが、こちら側はそれに該当しません。設定の誤りと考えられます。

推奨処置 双方の L2L の設定を確認してください。

713197

エラー メッセージ %FWSM- 5-713197: The configured Confidence Interval of number seconds is invalid for this tunnel_type connection. Enforcing the second default.

説明 グループに設定されている Confidence Interval が、有効な範囲外です。

推奨処置 グループの Confidence 設定を調べ、有効な範囲内であるかどうかを確認してください。

713198

エラー メッセージ %FWSM- 3-713198: User Authorization failed: user User authorization failed.

説明 このイベントには、理由を表すストリングが含まれます。

推奨処置 グループの設定とクライアントの許可を確認してください。

713199

エラー メッセージ %FWSM- 5-713199: Reaper corrected an SA that has not decremented the concurrent IKE negotiations counter ( counter_value )!

説明 リーパが内部ソフトウェア エラーを訂正しました。

推奨処置 問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713203

エラー メッセージ %FWSM-3-713203: IKE Receiver: Error reading from socket.

説明 受信した IKE パケットの読み取り中にエラーが発生したことを表すメッセージです。これは一般に内部エラーであり、ソフトウェアに問題があることを示している場合があります。

推奨処置 通常、この問題は悪性ではなく、システムは自動的に訂正されます。この問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713204

エラー メッセージ %FWSM-7-713204: Adding static route for client address: IP_address

説明 ピアに割り当てられたアドレス、またはハードウェア クライアントによって保護されるネットワークへのルートが、ルーティング テーブルに追加されました。

推奨処置 不要です。

713205

エラー メッセージ %FWSM-3-713205: Could not add static route for client address: IP_address

説明 クライアントに割り当てられたアドレス、またはハードウェア クライアントによって保護されたネットワークへのルートを追加する試みが、失敗しました。ルーティング テーブルでのルートの重複、または壊れたネットワーク アドレスが原因と考えられます。重複したルートの場合、ルートが正しくクリーンアップされていないか、または複数のクライアントがネットワークまたはアドレスを共有している可能性があります。

推奨処置 IP ローカル プールの設定と、その他に使用されている IP アドレス割り当てメカニズム(たとえば、DHCP または RADIUS)を確認してください。ルーティング テーブルからルートがクリアされているかどうかを確認してください。また、ピア システムでのネットワークおよびアドレスの設定も確認してください。

713206

エラー メッセージ %FWSM-3-713206: Tunnel Rejected: Conflicting protocols specified by tunnel-group and group-policy

説明 グループ ポリシーで認められるトンネルが、トンネル グループの設定で認められるトンネルと異なるために、トンネルが廃棄されたときに表示されるメッセージです。

推奨処置 トンネル グループおよびグループ ポリシーの設定を確認してください。

713208

エラー メッセージ %FWSM-3-713208: Cannot create dynamic rule for Backup L2L entry rule rule_id

説明 IKE をトリガーし、IPSec データを正しく処理するための ACL の作成が失敗したことを表すメッセージです。このエラーは、バックアップ L2L の設定に固有のものです。設定エラー、キャパシティ エラー、または内部ソフトウェア エラーの可能性があります。

推奨処置 デバイスが最大数の Cisco ASA および最大数の VPN トンネルで稼働している場合、メモリの問題が考えられます。そうでない場合は、バックアップ L2L と暗号マップの設定(暗号マップに対応付けられた ACL)を確認してください。

713209

エラー メッセージ %FWSM-3-713209: Cannot delete dynamic rule for Backup L2L entry rule id

説明 IKE をトリガーし、IPSec データを正しく処理するための ACL の削除が失敗したことを表すメッセージです。このエラーは、バックアップ L2L の設定に固有のものです。内部ソフトウェア エラーの可能性があります。

推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713210

エラー メッセージ %FWSM-3-713210: Cannot create dynamic map for Backup L2L entry rule_id

説明 バックアップ L2L の設定に対応付けられたダイナミック暗号マップの実行時インスタンスの作成が失敗したことを表すメッセージです。設定エラー、キャパシティ エラー、または内部ソフトウェア エラーの可能性があります。

推奨処置 デバイスが最大数の Cisco ASA および最大数の VPN トンネルで稼働している場合、メモリの問題が考えられます。そうでない場合は、バックアップ L2L と暗号マップの設定(暗号マップに対応付けられた ACL)を確認してください。

713211

エラー メッセージ %FWSM-6-713211: Adding static route for L2L peer coming in on a dynamic map. address: IP_address , mask: netmask

説明 Cisco ASA がピアのプライベート アドレスまたはネットワークへのルートを追加することを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。

推奨処置 対処は不要です。

713212

エラー メッセージ %FWSM-3-713212: Could not add route for L2L peer coming in on a dynamic map. address: IP_address , mask: netmask

説明 Cisco ASA が、ピアのプライベート アドレスまたはネットワークへのルートの追加に失敗したことを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。ルートが重複している可能性があります。Cisco ASA のルーティング テーブルが満杯になっているか、以前使用したルートが削除されていない可能性があります。

推奨処置 ルーティング テーブルを調べ、ルートを追加する余地があるかどうか、古いルートが存在していないかどうかを確認してください。テーブルが満杯の場合、または古いルートが含まれている場合には、それらのルートを削除してやり直してください。この問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713213

エラー メッセージ %FWSM-6-713213: Deleting static route for L2L peer that came in on a dynamic map. address: IP_address , mask: netmask

説明 Cisco ASA がピアのプライベート アドレスまたはネットワークへのルートを削除することを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。

推奨処置 対処は不要です。

713214

エラー メッセージ %FWSM-3-713214: Could not delete route for L2L peer that came in on a dynamic map. address: IP_address , mask: netmask

説明 Cisco ASA がピアのプライベート アドレスまたはネットワークへのルートを削除中に、エラーが発生したことを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。ルートがすでに削除されているか、または内部ソフトウェア エラーが発生している可能性があります。

推奨処置 ルートがすでに削除されている場合は、状況は悪性ではなく、デバイスは正常に機能します。問題が続く場合、または VPN トンネル経由でルーティングの問題につながる可能性がある場合は、VPN L2L 設定のルーティングおよびアドレッシングの部分を確認してください。リバース ルートの入力と、該当する暗号マップに対応付けられた ACL を確認してください。この問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713215

エラー メッセージ %FWSM-6-713215: No match against Client Type and Version rules. Client: type version is/is not allowed by default

説明 クライアントのタイプおよびバージョンが、Cisco ASA に設定されているどのルールにも一致しなかったことを表すメッセージです。デフォルトのアクションが表示されます。

推奨処置 デフォルトのアクションおよび展開上の要件を確認し、適切な変更を行ってください。

713216

エラー メッセージ %FWSM-5-713216: Rule: action Client type : version Client: type version is/is not allowed

説明 クライアントのタイプおよびバージョンが、いずれかのルールに一致したことを表すメッセージです。一致の結果およびルールが表示されます。

推奨処置 展開上の要件を確認し、適切な変更を行ってください。

713217

エラー メッセージ %FWSM-3-713217: Skipping unrecognized rule: action: action client type: client_type client version: client_version

説明 クライアントのタイプおよびバージョンに関するルールのフォーマットに誤りがあることを表すメッセージです。必要なフォーマットは、action client type | client version action であり、[permit]または[deny]の client type および client version が、Session Management に表示されます。パラメータごとに使用できるワイルドカード(*)は 1 つだけです。

推奨処置 ルールを訂正してください。

713218

エラー メッセージ %FWSM-3-713218: Tunnel Rejected: Client Type or Version not allowed.

説明 設定されているルールに従って、クライアントのアクセスがリジェクトされたことを表すメッセージです。

推奨処置 対処は不要です。

713219

エラー メッセージ %FWSM-6-713219: Queueing KEY-ACQUIRE messages to be processed when P1 SA is complete.

説明 フェーズ 1 の完了後に、フェーズ 2 メッセージがキューに格納されたことを表すメッセージです。

推奨処置 対処は不要です。

713220

エラー メッセージ %FWSM-6-713220: De-queueing KEY-ACQUIRE messages that were left pending.

説明 キューに格納されたフェーズ 2 メッセージを処理中であることを表すメッセージです。

推奨処置 対処は不要です。

713221

エラー メッセージ %FWSM-7-713221: Static Crypto Map check, checking map = crypto_map_tag , seq = seq_number ...

説明 Cisco ASA が暗号マップを反復的に使用し、コンフィギュレーション情報を探していることを表すメッセージです。

推奨処置 対処は不要です。

713222

エラー メッセージ %FWSM-7-713222: Static Crypto Map check, map = crypto_map_tag , seq = seq_number , ACL does not match proxy IDs src: source_address dst: dest_address

説明 Cisco ASA が設定されている暗号マップを反復的に使用しても、対応する ACL との一致が見つからなかったことを表すメッセージです。一般に、ACL 設定の誤りを意味します。

推奨処置 このトンネル ピアに対応付けられた ACL を調べ、VPN トンネルの両側とも適切なプライベート ネットワークを指定しているかどうかを確認してください。

713223

エラー メッセージ %FWSM-7-713223: Static Crypto Map check, map = crypto_map_tag , seq = seq_number , no ACL configured

説明 このピアに対応付けられた暗号マップが、ACL にリンクされていないことを表すメッセージです。

推奨処置 この暗号マップに対応する ACL が存在していて、その ACL に、VPN トンネルの両側からの適切なプライベート アドレスまたはネットワークが含まれているかどうかを確認してください。

713224

エラー メッセージ %FWSM-7-713224: Static Crypto Map Check by-passed: Crypto map entry incomplete!

説明 この VPN トンネルに対応付けられた暗号マップで、重要な情報が欠落していることを表すメッセージです。

推奨処置 暗号マップが両方の VPN ピア、トランスフォーム セット、および対応する ACL を含めて、正しく設定されているかどうかを確認してください。

713225

エラー メッセージ %FWSM-7-713225: [IKEv1], Static Crypto Map check, map map_name , seq = sequence_number is a successful match

説明 Cisco ASA が、この VPN トンネルに一致する有効な暗号マップを見つけ出したことを表すメッセージです。

推奨処置 対処は不要です。

713226

エラー メッセージ %FWSM-3-713226: Connection failed with peer IP_address , no trust-point defined in tunnel-group tunnel_group

説明 デバイスがデジタル証明書を使用するように設定した場合、コンフィギュレーションにトラスト ポイントが指定されている必要があります。コンフィギュレーションにトラスト ポイントがない場合に、このメッセージが生成され、エラーが示されます。

IP_address ― ピアの IP アドレス

tunnel_group ― コンフィギュレーションでトラスト ポイントが欠落しているトンネル グループ

推奨処置 デバイスの管理者が、コンフィギュレーションでトラスト ポイントを指定する必要があります。

713229

エラー メッセージ %FWSM-5-713229: Auto Update - Notification to client client_ip of update string: message_string .

説明 VPN リモート アクセス クライアントに、最新のソフトウェアがダウンロード可能である旨が通知されたとき、このメッセージが表示されます。リモート クライアントのユーザが、クライアント アクセス ソフトウェアを更新する必要があります。

client_ip ― リモート クライアントの IP アドレス

message_string ― リモート クライアントに送信されたメッセージ テキスト

推奨処置 対処は不要です。

713236

エラー メッセージ %FWSM-7-713236: IKE_DECODE tx/rx Message (msgid=msgid) with payloads :payload1 (payload1_len) + payload2 (payload2_len)...total length : tlen

説明 IKE が各種のメッセージを送受信したときに、このメッセージが表示されます。

次に、IKE が 8 バイトのハッシュ ペイロード、11 バイトの通知ペイロード、および 13 バイトのベンダー固有ペイロードのあるメッセージを受信したときの出力例を示します。

%PIX-7-713236: IKE_DECODE RECEIVED Message msgid=0) with payloads : HDR + HASH (8) + NOTIFY (11) + VENDOR (13) + VENDOR (13) + NONE (0)

推奨処置 対処は不要です。

713229

エラー メッセージ %FWSM-5-713229: Auto Update - Notification to client client_ip of update string: message_string .

説明 VPN リモート アクセス クライアントに、最新のソフトウェアがダウンロード可能である旨が通知されたとき、このメッセージが表示されます。リモート クライアントのユーザが、クライアント アクセス ソフトウェアを更新する必要があります。

client_ip ― リモート クライアントの IP アドレス

message_string ― リモート クライアントに送信されたメッセージ テキスト

推奨処置 対処は不要です。

エラー メッセージ

713900

エラー メッセージ %FWSM-7-713900: Descriptive_event_string .

説明 重大なイベントまたは障害を説明する、複数のテキスト ストリングで構成される場合のあるメッセージです。

推奨処置 問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

713901

エラー メッセージ %FWSM-7-713901: Descriptive_event_string .

説明 発生したエラーを説明する、複数のテキスト ストリングで構成される場合のあるメッセージです。ヘッドエンドまたはリモート アクセス クライアントの設定が誤っている可能性があります。イベント ストリングで、発生したエラーの詳細が示されます。

推奨処置 トラブルシューティングして、エラーの原因を特定しなければならない場合があります。両方のピアで isakmp および crypto map の設定を確認してください。

713902

エラー メッセージ %FWSM-3-713902 Descriptive_event_string

説明 エラーを説明する、複数のテキスト ストリングで構成される場合のあるシステム ログ メッセージです。ヘッドエンドまたはリモート アクセス クライアントの設定が誤っている可能性があります。

推奨処置 設定をトラブルシューティングして、エラーの原因を特定しなければならない場合があります。両方のピアで ISAKMP および暗号マップの設定を確認してください。

713903

エラー メッセージ %FWSM-4-713903: Descriptive_event_string .

説明 警告を表す、複数のテキスト ストリングで構成される場合のあるシステム ログ メッセージです。予期しないピアの動作(接続の切断など)によって発生することがあります。

推奨処置 メッセージのみです。

713904

エラー メッセージ %FWSM-5-713904: Descriptive_event_string .

説明 一般的なステータス情報を説明する、複数のテキスト ストリングで構成される場合のあるシステム ログ メッセージです。これらのメッセージは、発生したイベントの追跡に使用されます。

推奨処置 メッセージのみです。

713905

エラー メッセージ %FWSM-7-713905: Descriptive_event_string .

説明 一般的なステータス情報を説明する、複数のテキスト ストリングで構成される場合のあるシステム ログ メッセージです。これらのメッセージは、発生したイベントの追跡に使用されます。

推奨処置 メッセージのみです。

713906

エラー メッセージ %FWSM-7-713906: debug_message

説明 各種の VPN デバッグ イベントに使用されるメッセージです。

推奨処置 対処は不要です。このメッセージはデバッグ目的で提供されています。

714001

エラー メッセージ %FWSM-7-714001: Description of event or packet

説明 IKE プロトコル イベントまたはパケットの説明

推奨処置 メッセージのみです。

714002

エラー メッセージ %FWSM-7-714002: IKE Initiator starting QM: msg id = message_number

説明 Cisco ASA がフェーズ 2 イニシエータとして、Quick モード エクスチェンジの最初のパケットを送信しました。

推奨処置 メッセージのみです。

714003

エラー メッセージ %FWSM-7-714003: IKE Responder starting QM: msg id = message_number

説明 Cisco ASA がフェーズ 2 レスポンダとして、Quick モード エクスチェンジの最初のパケットを受信しました。

推奨処置 メッセージのみです。

714004

エラー メッセージ %FWSM-7-714004: IKE Initiator sending 1st QM pkt: msg id = message_number

説明 最初の Quick モード パケットのプロトコル デコード

推奨処置 メッセージのみです。

714005

エラー メッセージ %FWSM-7-714005: IKE Responder sending 2nd QM pkt: msg id = message_number

説明 2 番めの Quick モード パケットのプロトコル デコード

推奨処置 メッセージのみです。

714006

エラー メッセージ %FWSM-7-714006: IKE Initiator sending 3rd QM pkt: msg id = message_number

説明 3 番めの Quick モード パケットのプロトコル デコード

推奨処置 メッセージのみです。

714007

エラー メッセージ %FWSM-7-714007: IKE Initiator sending Initial Contact

説明 Cisco ASA が初期コンタクト ペイロードを作成して送信しました。

推奨処置 メッセージのみです。

714011

エラー メッセージ %FWSM-7-714011: Description of received ID values

説明 ネゴシエーション中に、表示される ID 情報を受信しました。

推奨処置 メッセージのみです。

715001

エラー メッセージ %FWSM-7-715001: Descriptive statement

説明 Cisco ASA に発生したイベントまたは問題を説明するメッセージです。

推奨処置 説明の内容によって処置が異なります。

715004

エラー メッセージ %FWSM-7-715004: subroutine name () Q Send failure: RetCode ( return_code )

説明 メッセージをキューに格納しようとしたとき、内部エラーが発生したことを表すメッセージです。

推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715005

エラー メッセージ %FWSM-7-715005: subroutine name () Bad message code: Code ( message_code )

説明 内部サブルーチンが不正なメッセージ コードを受信したことを表すメッセージです。

推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715006

エラー メッセージ %FWSM-7-715006: IKE got SPI from key engine: SPI = SPI_value

説明 IKE サブシステムが IPSec から SPI 値を受信したことを表すメッセージです。

推奨処置 対処は不要です。

715007

エラー メッセージ %FWSM-7-715007: IKE got a KEY_ADD msg for SA: SPI = SPI_value

説明 IKE がトンネル ネゴシエーションを完了し、IPSec 用の適切な暗号化およびハッシュ キーを正常にロードしたことを表すメッセージです。

推奨処置 対処は不要です。

715008

エラー メッセージ %FWSM-7-715008: Could not delete SA SA_address, refCnt = number , caller = calling_subroutine_address

説明 コール側のサブルーチンが IPSec SA を削除できなかったことを表すメッセージです。参照カウントの問題を示している可能性があります。

推奨処置 このイベントの結果、古い SA の数が増える場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715009

エラー メッセージ %FWSM-7-715009: IKE Deleting SA: Remote Proxy IP_address , Local Proxy IP_address

説明 表示されるプロキシ アドレスを持つ SA が削除されたことを表すメッセージです。

推奨処置 対処は不要です。

715013

エラー メッセージ %FWSM-7-715013: Tunnel negotiation in progress for destination IP_address , discarding data

説明 IKE がこのデータ用のトンネルを確立中であることを表すメッセージです。トンネルが完全に確立されるまで、このトンネルで保護されるすべてのパケットが廃棄されます。

推奨処置 対処は不要です。

715019

エラー メッセージ %FWSM-7-715019: IKEGetUserAttributes: Attribute name = name

説明 Cisco ASA が処理している modecfg アトリビュートの名前および値のペアを表示するメッセージです。

推奨処置 対処は不要です。

715020

エラー メッセージ %FWSM-7-715020: construct_cfg_set: Attribute name = name

説明 Cisco ASA が送信している modecfg アトリビュートの名前および値のペアを表示するメッセージです。

推奨処置 対処は不要です。

715021

エラー メッセージ %FWSM-7-715021: Delay Quick Mode processing, Cert/Trans Exch/RM DSID in progress

説明 フェーズ 1 の処理がすべて完了するまで(トランザクション モードなど)、Quick モード処理が遅延することを表すメッセージです。

推奨処置 対処は不要です。

715022

エラー メッセージ %FWSM-7-715022: Resume Quick Mode processing, Cert/Trans Exch/RM DSID completed

説明 フェーズ 1 の処理が完了し、Quick モードが再開されたことを表すメッセージです。

推奨処置 対処は不要です。

715027

エラー メッセージ %FWSM-7-715027: IPSec SA Proposal # chosen_proposal , Transform # chosen_transform acceptable Matches global IPSec SA entry # crypto_map_index

説明 レスポンダが受信したペイロードから、指定の IPSec SA プロポーザルおよびトランスフォームが選択されたことを表すメッセージです。IKE ネゴシエーションに関する問題をデバッグするとき、このデータが役立ちます。

推奨処置 対処は不要です。

715028

エラー メッセージ %FWSM-7-715028: IKE SA Proposal # 1, Transform # chosen_transform acceptable Matches global IKE entry # crypto_map_index

説明 レスポンダが受信したペイロードから、指定の IKE SA トランスフォームが選択されたことを表すメッセージです。IKE ネゴシエーションに関する問題をデバッグするとき、このデータが役立ちます。

推奨処置 対処は不要です。

715033

エラー メッセージ %FWSM-7-715033: Processing CONNECTED notify (MsgId message_number )

説明 Cisco ASA が、通知タイプ CONNECTED(16384)の通知ペイロードを含むメッセージを処理中であることを表します。CONNECTED 通知は、commit bit 処理の終了に使用され、レスポンダからイニシエータに送信される 4 番めの全体的 Quick モード パケットに含まれています。

推奨処置 対処は不要です。

715034

エラー メッセージ %FWSM-7-715034: action IOS keep alive payload: proposal= time 1/time 2 sec.

説明 キープアライブ ペイロード メッセージの送受信処理が実行中であることを表すメッセージです。

推奨処置 対処は不要です。

715035

エラー メッセージ %FWSM-7-715035: Starting IOS keepalive monitor: seconds sec.

説明 キープアライブ タイマーが、可変の秒数にわたってキープアライブ メッセージをモニタすることを表すメッセージです。

推奨処置 対処は不要です。

715036

エラー メッセージ %FWSM-7-715036: Sending keep-alive of type notify_type (seq number number )

説明 キープアライブ通知メッセージの送信が実行中であることを表すメッセージです。

推奨処置 対処は不要です。

715037

エラー メッセージ %FWSM-7-715037: Unknown IOS Vendor ID version: major.minor.variance

説明 このバージョンの IOS の機能が不明であることを表すメッセージです。

推奨処置 IKE キープアライブなどの機能にインターオペラビリティの問題がある可能性があります。このようなインターオペラビリティの問題に結び付く場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、IOS および Cisco ASA のソフトウェア バージョンも含めて、収集した情報とともに Cisco TAC に提出し、指示を受けてください。

715038

エラー メッセージ %FWSM-7-715038: action Spoofing_information Vendor ID payload (version: major.minor.variance , capabilities: value )

説明 IOS Vendor ID ペイロードの処理が実行されたことを表すメッセージです。実行中のメッセージは、IOS をスプーフィングする Altiga である可能性があります。

推奨処置 対処は不要です。

715039

エラー メッセージ %FWSM-7-715039: Unexpected cleanup of tunnel table entry during SA delete.

説明 IKE トンネル テーブルに、SA が解放された時点で削除されなかったエントリがあることを表すメッセージです。ステート マシンのバグを表します。

推奨処置 問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715040

エラー メッセージ %FWSM-7-715040: Deleting active auth handle during SA deletion: handle = internal_authentication_handle

説明 SA の削除時に、認証ハンドルが引き続きアクティブであったことを表すメッセージです。これはエラー状況におけるクリーンアップ リカバリの一部分です。

推奨処置 対処は不要です。

715041

エラー メッセージ %FWSM-7-715041: Received keep-alive of type keepalive_type , not the negotiated type

説明 指定のタイプの予期しないキープアライブをメッセージで受信したことを表します。

推奨処置 両方のピアでキープアライブの設定を確認してください。

715042

エラー メッセージ %FWSM-7-715042: IKE received response of type failure_type to a request from the IP_address utility

説明 リモート アクセス クライアントの IP アドレスを提供する内部ユーティリティからのアドレス要求が、満たされなかったことを表します。このメッセージの可変のテキストで、より具体的な原因が示されます。

推奨処置 IP アドレス割り当ての設定を確認し、適切に調整してください。

715044

エラー メッセージ %FWSM-7-715044: Ignoring Keepalive payload from vendor not support KeepAlive capability

説明 ベンダーからの IOS キープアライブ ペイロードに、KA 機能が設定されていませんでした。ペイロードは無視されます。

推奨処置 メッセージのみです。

715045

エラー メッセージ %FWSM-7-715045: ERROR: malformed Keepalive payload

説明 受信したキープアライブ ペイロードのフォーマットが不正です。ペイロードは無視されます。

推奨処置 メッセージのみです。

715046

エラー メッセージ %FWSM-7-715046: constructing payload_description payload

説明 作成中の IKE ペイロードに関する詳細情報を表示します。

推奨処置 メッセージのみです。

715047

エラー メッセージ %FWSM-7-715047: processing payload_description payload

説明 受信して処理中の IKE ペイロードに関する詳細情報を表示します。

推奨処置 メッセージのみです。

715048

エラー メッセージ %FWSM-7-715048: Send VID_type VID

説明 送信された Vendor ID ペイロードのタイプを表示します。

推奨処置 メッセージのみです。

715049

エラー メッセージ %FWSM-7-715049: Received VID_type VID

説明 受信した Vendor ID ペイロードのタイプを表示します。

推奨処置 メッセージのみです。

715050

エラー メッセージ %FWSM-7-715050: Claims to be IOS but failed authentication

説明 IOS VID と似ていますが、 hmac_sha が一致しません。

推奨処置 両方のピアでベンダー ID の設定を確認してください。この問題によってインターオペラビリティに問題が生じる場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715051

エラー メッセージ %FWSM-7-715051: Received unexpected TLV type TLV_type while processing FWTYPE ModeCfg Reply

説明 FWTYPE ModeCfg 応答の処理中に、不明の TLV を Cisco ASA レコードで受信しました。これは廃棄されます。原因としては、パケットが壊れている場合、または接続先クライアントがサポートする Cisco ASA プロトコルのバージョンが新しい場合が考えられます。

推奨処置 Cisco VPN Client にインストールされているパーソナル FW と、Cisco ASA 上のパーソナル FW の設定を確認してください。VPN Client と Cisco ASA のバージョンが一致していない場合もあります。

715052

エラー メッセージ %FWSM-7-715052: Old P1 SA is being deleted but new SA is DEAD, cannot transition centries

説明 古い P1 SA を削除していますが、移行すべき新しい SA にも削除のマークが付けられているので、新しい SA に移行できません。一般に、2 つの IKE ピアが同期外れになっていて、それぞれ異なる再キーイング時間を使用している可能性があります。この問題は自動的に解消されますが、新しい P1 SA が再確立されるまで、わずかなデータ損失が生じることがあります。

推奨処置 メッセージのみです。

715053

エラー メッセージ %FWSM-7-715053: MODE_CFG: Received request for attribute_info !

説明 指定のアトリビュートを要求する、モード設定メッセージを受信しました。

推奨処置 メッセージのみです。

715054

エラー メッセージ %FWSM-7-715054: MODE_CFG: Received attribute_name reply: value

説明 リモート ピアからモード設定応答メッセージを受信しました。

推奨処置 メッセージのみです。

715055

エラー メッセージ %FWSM-7-715055: Send attribute_name

説明 リモート ピアにモード設定メッセージを送信しました。

推奨処置 メッセージのみです。

715056

エラー メッセージ %FWSM-7-715056: Client is configured for TCP_transparency

説明 リモート側(クライアント)に IPSec Over TCP が設定されているので、ヘッドエンドの Cisco ASA はクライアントと IPSec Over UDP または IPSec over NAT-T をネゴシエートすることはできません。

推奨処置 トンネルが確立されない場合、いずれかのピアの NAT 透過性の設定を調整しなければならない場合があります。そうでない場合、これは情報メッセージです。

715057

エラー メッセージ %FWSM-7-715057: Auto-detected a NAT device with NAT-Traversal. Ignoring IPSec-over-UDP configuration.

説明 NAT-Traversal が検出されたため、IPSec-over-UDP モードの設定情報が交換できません。

推奨処置 メッセージのみです。

715058

エラー メッセージ %FWSM-7-715058: NAT-Discovery payloads missing. Aborting NAT-Traversal.

説明 NAT-Traversal VID を交換したあと、リモート側が NAT トラバーサルに必要な NAT-D ペイロードを提供しませんでした。少なくとも 2 つの NAT-D ペイロードを受信する必要があります。

推奨処置 このエラーは NAT-T 実装への不適合を表している場合があります。問題のピアがシスコ製品の場合、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、製品番号およびソフトウェア バージョンも含めて、収集した情報とともに Cisco TAC に提出し、指示を受けてください。問題のピアがシスコ製品でない場合は、製造元のテクニカル サポートに連絡してください。

715059

エラー メッセージ %FWSM-7-715059: Proposing/Selecting only UDP-Encapsulated-Tunnel and UDP-Encapsulated-Transport modes defined by NAT-Traversal

説明 NAT-Traversal を正常にネゴシエートするには、SA で定義されている通常のトランスポートおよびトンネル モードではなく、これらのモードを使用する必要があります。

推奨処置 メッセージのみです。

715060

エラー メッセージ %FWSM-7-715060: Dropped received IKE fragment. Reason: reason

説明 フラグメントが廃棄された理由が表示されます。

推奨処置 廃棄の理由によって異なりますが、中間にある NAT デバイスの問題または不適合のピアを示している可能性があります。

715061

エラー メッセージ %FWSM-7-715061: Rcv'd fragment from a new fragmentation set. Deleting any old fragments.

説明 同じパケットを別の MTU にフラグメント化して再送信した場合と、まったく別のパケットの場合があります。

推奨処置 メッセージのみです。

715062

エラー メッセージ %FWSM-7-715062: Error assembling fragments! Fragment numbers are non-continuous.

説明 フラグメント番号にギャップがあります。

推奨処置 ネットワークに問題があることを示している可能性があります。この状況によってトンネルが切断されたり、ある種のピアが Cisco ASA とネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、製品番号およびソフトウェア バージョンも含めて、収集した情報とともに Cisco TAC に提出し、指示を受けてください。

715063

エラー メッセージ %FWSM-7-715063: Successfully assembled an encrypted pkt from rcv'd fragments!

説明 フラグメント化された状態で受信したパケットの組み立てが成功しました。

推奨処置 メッセージのみです。

715064

エラー メッセージ %FWSM-7-715064 -- IKE Peer included IKE fragmentation capability flags: Main Mode: true/false Aggressive Mode: true/false

説明 ピアはメッセージで提供された情報に基づいて IKE フラグメンテーションをサポートします。

推奨処置 メッセージのみです。

715065

エラー メッセージ %FWSM-7-715065: IKE state_machine subtype FSM error history (struct data_structure_address ) state , event : state/event pairs

説明 フェーズ 1 エラーが発生し、 state event のヒストリ ペアが時間をさかのぼる順序で表示されます。

推奨処置 ほとんどの場合、悪性のエラーではありません。望ましくない動作に関連してこれらのメッセージが表示される場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715066

エラー メッセージ %FWSM-7-715066: Can't load an IPSec SA! The corresponding IKE SA contains an invalid logical ID.

説明 IKE SA の論理 ID がヌルです。フェーズ 2 ネゴシエーションが打ち切られます。

推奨処置 内部エラーが発生しました。デバイスが回復して正常に動作しない場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715067

エラー メッセージ %FWSM-7-715067: QM IsRekeyed: existing sa from different peer, rejecting new sa

説明 確立しようとしている LAN-TO-LAN SA は、すでに存在しています。つまり、同じリモート ネットワークでピアの異なる SA が存在します。この設定は無効なので、新しい SA は削除されます。

推奨処置 対応するすべてのピアで、LAN-TO-LAN の設定を確認してください。具体的には、複数のピアがプライベート ネットワークを共有することはできません。

715068

エラー メッセージ %FWSM-7-715068: QM IsRekeyed: duplicate sa found by address , deleting old sa

説明 確立しようとしているリモート アクセス SA は、すでに存在しています。つまり、同じリモート ネットワークでピアの異なる SA が存在します。単にピアの IP アドレスが変更された可能性があるので、古い SA は削除されます。

推奨処置 クライアント トンネルが急に終了した場合は特に、悪性の状況ではありません。望ましくない動作に関連してこのメッセージが表示される場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715069

エラー メッセージ %FWSM-7-715069: Invalid ESP SPI size of SPI_size

説明 受信した IPSec SA プロポーザルに、無効な ESP SPI サイズが指定されています。このプロポーザルはスキップされます。

推奨処置 一般に悪性の状況ではありませんが、ピアが不適合の可能性もあります。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715070

エラー メッセージ %FWSM-7-715070: Invalid IPComp SPI size of SPI_size

説明 受信した IPSec SA プロポーザルに、無効な IPComp SPI サイズが指定されています。このプロポーザルはスキップされます。

推奨処置 一般に悪性の状況ではありませんが、ピアが不適合の可能性もあります。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715071

エラー メッセージ %FWSM-7-715071: AH proposal not supported

説明 IPSec AH フロポーザルはサポートされていません。このプロポーザルはスキップされます。

推奨処置 メッセージのみです。

715072

エラー メッセージ %FWSM-7-715072: Received proposal with unknown protocol ID protocol_ID

説明 受信した IPSec SA プロポーザルに、不明のプロトコル ID が指定されています。このプロポーザルはスキップされます。

推奨処置 一般に悪性の状況ではありませんが、ピアが不適合の可能性もあります。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715074

エラー メッセージ %FWSM-7-715074: Could not retrieve authentication attributes for peer IP_address

説明 リモート ユーザに関する許可情報を取得できませんでした。

推奨処置 認証および許可の設定がすべて正しいかどうかを確認してください。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

715075

エラー メッセージ %FWSM-7-715075: Group = group_name , Username = client , IP = IP_address Received keep-alive of type message_type (seq number number )

説明 この新しいメッセージは、DPD送信メッセージを記録する 715036 [DPD R-U-THERE]メッセージとペアになっています。

次の 2 つのケースがあります。

1) ピアが送信した[DPD R-U-THERE]メッセージを受信した場合

2) ピアが応答した[DPD R-U-THERE-ACK]メッセージを受信した場合

次の点を確認してください。

ケース 1 ― [DPD R-U-THERE]を受信し、そのシーケンス番号は発信した DPD 応答メッセージの番号と一致しています。

f1 がピアから[DPD R-U-THERE]を受信せずに[DPD R-U-THERE-ACK]を送信した場合、セキュリティ違反の可能性があります。

ケース 2 ― 受信した[DPD R-U-THERE-ACK]メッセージのシーケンス番号は、直前に送信した DPD メッセージの番号と一致しています。

f1 がピアに[DPD R-U-THERE]を送信したあと、適当な時間内に[DPD R-U-THERE-ACK]を受信できなかった場合、トンネルがダウンしている可能性があります。

group_name ― ピアの VPN グループ名

client ― ピアのユーザ名

IP_address ― VPN ピアの IP アドレス

message_type ― メッセージ タイプ([DPD R-U-THERE]または[DPD R-U-THERE-ACK])

number ― DPD シーケンス番号

推奨処置 対処は不要です。

715076

エラー メッセージ %FWSM-7-715076: Computing hash for ISAKMP

説明 IKE が各種のハッシュ値を計算した場合に表示されます。

このオブジェクトは次のように前置されます。

Group = groupname , Username = username , IP = ip_address , ...

推奨処置 対処は不要です。

715077

エラー メッセージ %FWSM-7-715077: Pitcher: msg string , spi spi

説明 IKE に各種のメッセージが送信された場合に表示されます。

msg_string は、次のいずれかです。

received a key acquire message

received SPI for non-existent SA

received key delete msg

received KEY_UPDATE

received KEY_REKEY_IB

received KEY_REKEY_OB

received KEY_SA_ACTIVE

could not find IKE SA to activate IPSEC (OB)

could not find IKE SA to rekey IPSEC (OB)

KEY_SA_ACTIVE no centry found

KEY_ADD centry not found

KEY_UPDATE centry not found

他の ISAKMP と同様、次の説明が適用されます。

このオブジェクトは次のように前置されます。

Group = groupname , Username = username , IP = ip_address , ...

推奨処置 対処は不要です。

717001

エラー メッセージ %FWSM-3-717001: Querying keypair failed.

説明 登録要求で、必要なキーペアが見つかりませんでした。

推奨処置 トラストポイントの設定に、有効なキーペアが存在するかどうかを確認し、登録をもう一度サブミットしてください。

717002

エラー メッセージ %FWSM-3-717002: Certificate enrollment failed for trustpoint trustpoint_name. Reason: reason_string .

説明 この trustpoint_name トラストポイントへの登録要求が失敗しました。

trustpoint name ― 登録要求の対象となったトラストポイント名

reason_string ― 登録要求が失敗した理由

推奨処置 失敗の理由に応じて、CA サーバを確認してください。

717003

エラー メッセージ %FWSM-6-717003: Certificate received from Certificate Authority for trustpoint trustpoint_name .

説明 この trustpoint_name トラストポイントに関して、CA から証明書を正常に受信しました。

推奨処置 対処は不要です。

717004

エラー メッセージ %FWSM-6-717004: PKCS #12 export failed for trustpoint trustpoint_name .

説明 トラストポイント trustpoint_name がエクスポートに失敗しました。CA 証明書しか存在せず、トラストポイントのアイデンティティ証明書が存在しないか、または必要なキーペアが欠落している可能性があります。

推奨処置 トラストポイントに関して、必要な証明書とキーペアが存在するかどうかを確認してください。

717005

エラー メッセージ %FWSM-6-717005: PKCS #12 export succeeded for trustpoint trustpoint_name .

説明 トラストポイント trustpoint_name が正常にエクスポートされました。

推奨処置 対処は不要です。

717006

エラー メッセージ %FWSM-6-717006: PKCS #12 import failed for trustpoint trustpoint_name .

説明 要求したトラストポイント trustpoint_name のインポートが処理できませんでした。

推奨処置 インポートしたデータの完全性を調べ、 pkcs12 レコード全体を正しくペーストしているかどうかを確認して、もう一度インポートしてください。

717007

エラー メッセージ %FWSM-6-717007: PKCS #12 import succeeded for trustpoint trustpoint_name .

説明 要求したトラストポイント trustpoint_name のインポートが正常に完了しました。

推奨処置 対処は不要です。

717008

エラー メッセージ %FWSM-2-717008: Insufficient memory to process_requiring_memory .

説明 process_requiring_memory へのメモリの割り当て中に、内部エラーが発生しました。他のプロセスのメモリ割り当てに問題が生じ、処理が不可能になる可能性があります。

推奨処置 メモリに関する統計情報およびログを収集してデバッグしたあと、システムをリロードしてください。

717009

エラー メッセージ %FWSM-3-717009: Certificate validation failed. Reason: reason_string .

説明 証明書の確認が、 reason_string で示される理由によって失敗しました。 reason_string は、エラーの理由を表し、無効になった証明書を確認しようとした場合や、証明書のアトリビュートが無効な場合、または設定の問題が考えられます。

reason_string ― 証明書の確認が失敗した理由

推奨処置 reason_string で適切なトラストポイントが見つからない旨が示された場合は、確認のための有効なトラストポイントが設定されているかどうかを調べてください。システム時刻を調べ、CA 時刻に対して正確かどうかを確認してください。 reason_string を確認し、指摘された問題を訂正してください。

717010

エラー メッセージ %FWSM-3-717010: CRL polling failed for trustpoint trustpoint_name .

説明 Certificate Revocation List(CRL)ポーリングが失敗し、CRL チェックが必要な場合、接続が拒否される可能性があります。

trustpoint_name ― CRL を要求したトラストポイントの名前

推奨処置 設定されている CRL ディストリビューション ポイントとの接続を調べ、手動での CRL 取得も正常に動作するかどうかを確認してください。

717011

エラー メッセージ %FWSM-2-717011: Unexpected event event event_ID

説明 正常な状況下では予想外のイベントが発生したことを表すログ メッセージです。

推奨処置 問題を記録し、Cisco TAC に連絡してください。

717012

エラー メッセージ %FWSM-3-717012: Failed to refresh CRL cache entry from the server for trustpoint trustpoint_name at time_of_failure

説明 指定のトラストポイント trustpoint_name で、指定の時刻 time_of_failure に、キャッシュに格納された CRL エントリの更新が失敗したことを表すログ メッセージです。システム上で CRL が古くなっているために、有効な CRL を必要とする接続が拒否される可能性があります。

推奨処置 サーバとの接続について、ネットワークのダウン、サーバのダウンなども含めて確認してください。 crypto ca crl retrieve コマンドを使用して、CRL を手動で取得してください。

717013

エラー メッセージ %FWSM-5-717013: Removing a cached CRL to accommodate an incoming CRL. Issuer: issuer

説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスを設定している場合、接続のたびに CRL をダウンロードしなくても済むように、CRL をメモリにキャッシュすることができます。キャッシュが満杯になり着信した CRL を格納できない場合、必要なスペースを作るために古い CRL が削除されます。このログ イベントは、CRL を削除するたびに生成されます。

推奨処置 対処は不要です。

717014

エラー メッセージ %FWSM-5-717014: Unable to cache a CRL received from CDP due to size limitations (CRL size = size , available cache space = space )

説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスを設定している場合、接続のたびに CRL をダウンロードしなくても済むように、CRL をメモリにキャッシュすることができます。受信した CRL が大きすぎてキャッシュに格納できない場合、このログ イベントが生成されます。

推奨処置 対処は不要です。容量の大きい CRL は引き続きサポートされていますが、キャッシュには格納できません。このような CRL は、IPSec 接続のたびにダウンロードすることになります。その結果、IPSec 接続がバーストしたときに、パフォーマンスに影響が及ぶ可能性があります。

717015

エラー メッセージ %FWSM-3-717015: CRL received from issuer is too large to process (CRL size = crl_size , maximum CRL size = max_crl_size )

説明 IPSec 接続によって、許容される CRL の最大サイズ max_crl_size を超えた CRL がダウンロードされる場合に、このログ イベントが生成されます。これは接続の失敗を引き起こすエラー条件です。このメッセージは、10 秒で 1 回にレート制限されています。

推奨処置 CRL による無効の確認方式の最大の欠点は、スケーラビリティです。この問題を解決するには、CA ベース ソリューションを検証して CRL のサイズを小さくするか、または CRL での確認を必要としないようにデバイスを設定するしかありません。

717016

エラー メッセージ %FWSM-6-717016: Removing expired CRL from the CRL cache. Issuer: issuer

説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスを設定している場合、接続のたびに CRL をダウンロードしなくても済むように、CRL をメモリにキャッシュすることができます。CA が期限切れの時刻を指定している場合、または設定されたキャッシュ時間が経過して CRL がキャッシュから削除された場合に、このログ イベントが生成されます。

推奨処置 対処は不要です。このイベントは定期的に発生します。

717017

エラー メッセージ %FWSM-3-717017: Failed to query CA certificate for trustpoint trustpoint_name from enrollment_url

説明 CA に CA 証明書を要求してトラストポイントを認証しようとしたときに発生する可能性があるエラーです。

推奨処置 このトラストポイントに登録 URL が設定されていることを確認し、CA サーバとの接続を確認して、要求をやり直してください。

717018

エラー メッセージ %FWSM-3-717018: CRL received from issuer has too many entries to process (number of entries = number_of_entries , maximum number allowed = max_allowed )

説明 IPSec 接続によって、サポート可能な数より多い無効エントリを含む CRL がダウンロードされた場合に、このログ イベントが生成されます。これは接続の失敗を引き起こすエラー条件です。このメッセージは、10 秒で 1 回にレート制限されています。

issuer ― CRL 発行元の X.500 名

number_of_entries ― 受信した CRL に含まれる無効エントリの数

max_allowed ― デバイスがサポートしている CRL エントリの最大数

推奨処置 CRL による無効の確認方式の最大の欠点は、スケーラビリティです。この問題を解決するには、CA ベース ソリューションを検証して CRL のサイズを小さくするか、または CRL での確認を必要としないようにデバイスを設定するしかありません。

717019

エラー メッセージ %FWSM-3-717019: Failed to insert CRL for trustpoint trustpoint_name . Reason: failure_reason .

説明 取得した CRL が無効であり、 failure_reason で示される理由により、キャッシュに格納できない場合に生成されるログ イベントです。

trustpoint_name ― CRL を要求したトラストポイントの名前

failure_reason ― CRL をキャッシュに格納できない理由

推奨処置 現在のシステム時刻が CA 時刻に対して正確であるかどうかを確認してください。NextUpdate フィールドがない場合は、NextUpdate フィールドを無視するようにトラストポイントを設定してください。

717022

エラー メッセージ %FWSM-6-717022 Certificate was successfully validated. certificate identifiers

説明 指定の証明書の確認が成功したときに表示されるメッセージです。

certificate identifiers ― 確認に成功した証明書の情報。理由、シリアル番号、件名などが含まれる場合があります。

推奨処置 対処は不要です。

717025

エラー メッセージ %FWSM-7-717025 Validating certificate chain containing number of certs certificate(s).

説明 一連の証明書を確認中に表示されるメッセージです。

number of certs ― 一連の証明書の数

推奨処置 対処は不要です。

717028

エラー メッセージ %FWSM-6-717028 Certificate chain was successfully validated additional info .

説明 一連の証明書の確認が成功したときに表示されるメッセージです。

additional info ― 一連の証明書を確認した方法についての情報を提供します。たとえば[with warning]の場合、CRL チェックは実行されていません。

推奨処置 対処は不要です。

717029

エラー メッセージ %FWSM-7-717029 Identified client certificate within certificate chain. serial number: serial_number , subject name: subject_name .

説明 クライアント証明書であることが判明した証明書を表すメッセージです。

serial_number ― クライアント証明書として識別された証明書のシリアル番号

subject_name ― クライアント証明書として識別された証明書に含まれる件名

推奨処置 対処は不要です。

718001

エラー メッセージ %FWSM-7-718001: Internal interprocess communication queue send failure: code error_code

説明 VPNLB キューにメッセージを格納しようとしたときに、内部ソフトウェア エラーが発生しました。

推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718002

エラー メッセージ %FWSM-5-718002: Create peer IP_address failure, already at maximum of number_of_peers

説明 ロードバランシング ピアの最大数を超過しました。新しいピアは無視されます。

推奨処置 ロードバランシングおよびネットワークの設定を確認し、LB ピア数が許容される最大数を超過しないようにしてください。

718003

エラー メッセージ %FWSM-6-718003: Got unknown peer message message_number from IP_address , local version version_number , remote version version_number

説明 いずれかの LB ピアから、認識されないロードバランシング メッセージを受信しました。ピア間でバージョンが一致していない可能性がありますが、最も考えられる原因は、内部ソフトウェア エラーです。

推奨処置 すべての LB ピアが互換であるかどうかを確認してください。互換であるにも関わらず、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718004

エラー メッセージ %FWSM-6-718004: Got unknown internal message message_number

説明 不明の内部メッセージを受信しました。一般に、内部ソフトウェア エラーを表します。

推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718005

エラー メッセージ %FWSM-5-718005: Fail to send to IP_address , port port

説明 ロードバランシング ソケットでパケットを送信しようとしたときに、内部ソフトウェア エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718006

エラー メッセージ %FWSM-5-718006: Invalid load balancing state transition [cur= state_number ][event= event_number ]

説明 ステート マシン エラーが発生しました。内部ソフトウェア エラーの可能性があります。

推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718007

エラー メッセージ %FWSM-5-718007: Socket open failure failure_code

説明 ロードバランシング ソケットをオープンしようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718008

エラー メッセージ %FWSM-5-718008: Socket bind failure failure_code

説明 ロードバランシング ソケットへのバインドを試みたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718009

エラー メッセージ %FWSM-5-718009: Send HELLO response failure to IP_address

説明 いずれかの LB ピアに Hello 応答メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718010

エラー メッセージ %FWSM-5-718010: Sent HELLO response to IP_address

説明 セキュリティ アプライアンスが LB ピアに Hello 応答メッセージを送信しました。

推奨処置 メッセージのみです。

718011

エラー メッセージ %FWSM-5-718011: Send HELLO request failure to IP_address

説明 いずれかの LB ピアに Hello 要求メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718012

エラー メッセージ %FWSM-5-718012: Sent HELLO request to IP_address

説明 セキュリティ アプライアンスが LB ピアに Hello 要求メッセージを送信しました。

推奨処置 メッセージのみです。

718013

エラー メッセージ %FWSM-6-718013: Peer IP_address is not answering HELLO

説明 LB ピアが Hello に応答していません。

推奨処置 LBSSF ピアのステータスを調べ、ネットワーク接続を確認してください。

718014

エラー メッセージ %FWSM-5-718014: Master peer IP_address is not answering HELLO

説明 LB マスター ピアが Hello に応答していません。

推奨処置 LBSSF マスター ピアのステータスを調べ、ネットワーク接続を確認してください。

718015

エラー メッセージ %FWSM-5-718015: Received HELLO request from IP_address

説明 セキュリティ アプライアンスが LB ピアから Hello 要求メッセージを受信しました。

推奨処置 メッセージのみです。

718016

エラー メッセージ %FWSM-5-718016: Received HELLO response from IP_address

説明 セキュリティ アプライアンスが LB ピアから Hello 応答パケットを受信しました。

推奨処置 メッセージのみです。

718017

エラー メッセージ %FWSM-7-718017: Got timeout for unknown peer IP_address msg type message_type

説明 セキュリティ アプライアンスが不明のピアについてタイムアウトを処理しました。ピアはすでにアクティブ リストから削除されている可能性があるので、このメッセージは無視されています。

推奨処置 このメッセージが続く場合や、望ましくない結果を引き起こす場合には、LB ピアを調べ、すべてのピアが正しく設定されているかどうかを確認してください。

718018

エラー メッセージ %FWSM-7-718018: Send KEEPALIVE request failure to IP_address

説明 いずれかの LB ピアにキープアライブ要求メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718019

エラー メッセージ %FWSM-7-718019: Sent KEEPALIVE request to IP_address

説明 セキュリティ アプライアンスが LB ピアにキープアライブ要求メッセージを送信しました。

推奨処置 メッセージのみです。

718020

エラー メッセージ %FWSM-7-718020: Send KEEPALIVE response failure to IP_address

説明 いずれかの LB ピアにキープアライブ応答メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718021

エラー メッセージ %FWSM-7-718021: Sent KEEPALIVE response to IP_address

説明 セキュリティ アプライアンスが LB ピアにキープアライブ応答メッセージを送信しました。

推奨処置 メッセージのみです。

718022

エラー メッセージ %FWSM-7-718022: Received KEEPALIVE request from IP_address

説明 セキュリティ アプライアンスが LB ピアからキープアライブ要求メッセージを受信しました。

推奨処置 メッセージのみです。

718023

エラー メッセージ %FWSM-7-718023: Received KEEPALIVE response from IP_address

説明 セキュリティ アプライアンスが LB ピアからキープアライブ応答メッセージを受信しました。

推奨処置 メッセージのみです。

718024

エラー メッセージ %FWSM-5-718024: Send CFG UPDATE failure to IP_address

説明 いずれかの LB ピアにコンフィギュレーション アップデート メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718025

エラー メッセージ %FWSM-7-718025: Sent CFG UPDATE to IP_address

説明 セキュリティ アプライアンスが LB ピアにコンフィギュレーション アップデート メッセージを送信しました。

推奨処置 メッセージのみです。

718026

エラー メッセージ %FWSM-7-718026: Received CFG UPDATE from IP_address

説明 セキュリティ アプライアンスが LB ピアからコンフィギュレーション アップデート メッセージを受信しました。

推奨処置 メッセージのみです。

718027

エラー メッセージ %FWSM-6-718027: Received unexpected KEEPALIVE request from IP_address

説明 メッセージのみです。

推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、すべての LB ピアが正しく設定され、正常に検出されているかどうかを確認してください。

718028

エラー メッセージ %FWSM-5-718028: Send OOS indicator failure to IP_address

説明 いずれかの LB ピアに OOS Indicator メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718029

エラー メッセージ %FWSM-7-718029: Sent OOS indicator to IP_address

説明 セキュリティ アプライアンスが LB ピアに OOS Indicator メッセージを送信しました。

推奨処置 メッセージのみです。

718030

エラー メッセージ %FWSM-6-718030: Received planned OOS from IP_address

説明 セキュリティ アプライアンスが LB ピアから計画された OOS メッセージを受信しました。

推奨処置 メッセージのみです。

718031

エラー メッセージ %FWSM-5-718031: Received OOS obituary for IP_address

説明 セキュリティ アプライアンスが LB ピアから OOS Obituary を受信しました。

推奨処置 メッセージのみです。

718032

エラー メッセージ %FWSM-5-718032: Received OOS indicator from IP_address

説明 セキュリティ アプライアンスが LB ピアから OOS Indicator を受信しました。

推奨処置 メッセージのみです。

718033

エラー メッセージ %FWSM-5-718033: Send TOPOLOGY indicator failure to IP_address

説明 いずれかの LB ピアにトポロジー インジケータ メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718034

エラー メッセージ %FWSM-7-718034: Sent TOPOLOGY indicator to IP_address

説明 セキュリティ アプライアンスが LB ピアにトポロジー インジケータ メッセージを送信しました。

推奨処置 メッセージのみです。

718035

エラー メッセージ %FWSM-7-718035: Received TOPOLOGY indicator from IP_address

説明 セキュリティ アプライアンスが LB ピアからトポロジー インジケータ メッセージを受信しました。

推奨処置 メッセージのみです。

718036

エラー メッセージ %FWSM-7-718036: Process timeout for req-type type_value , exid exchange_ID , peer IP_address

説明 セキュリティ アプライアンスがピアのタイムアウトを処理しました。

推奨処置 ピアがタイムアウトする必然性があったかどうかを確認してください。必然性がない場合、ピアの LB 設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。

718037

エラー メッセージ %FWSM-6-718037: Master processed number_of_timeouts timeouts

説明 マスター ロールのセキュリティ アプライアンスが、指定の回数のピア タイムアウトを処理しました。

推奨処置 タイムアウトが妥当かどうかを確認してください。妥当でない場合、ピアの LB 設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。

718038

エラー メッセージ %FWSM-6-718038: Slave processed number_of_timeouts timeouts

説明 スレーブ ロールのセキュリティ アプライアンスが、指定の回数のピア タイムアウトを処理しました。

推奨処置 タイムアウトが妥当かどうかを確認してください。妥当でない場合、ピアの LB 設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。

718039

エラー メッセージ %FWSM-6-718039: Process dead peer IP_address

説明 セキュリティ アプライアンスがデッド ピアを検出しました。

推奨処置 デッド ピアの検出が妥当かどうかを確認してください。妥当でない場合、ピアの LB 設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。

718040

エラー メッセージ %FWSM-6-718040: Timed-out exchange ID exchange_ID not found

説明 セキュリティ アプライアンスがデッド ピアを検出しましたが、エクスチェンジ ID は認識できませんでした。

推奨処置 メッセージのみです。

718041

エラー メッセージ %FWSM-7-718041: Timeout [msgType= type ] processed with no callback

説明 セキュリティ アプライアンスがデッド ピアを検出しましたが、その処理でコール バックを使用しませんでした。

推奨処置 メッセージのみです。

718042

エラー メッセージ %FWSM-5-718042: Unable to ARP for IP_address

説明 セキュリティ アプライアンスがピアとの接続を試みたときに、ARP 障害が発生しました。

推奨処置 ネットワークが正常に動作していて、すべてのピアが相互に通信可能であるかどうかを確認してください。

718043

エラー メッセージ %FWSM-5-718043: Updating/removing duplicate peer entry IP_address

説明 セキュリティ アプライアンスが重複するピア エントリを検出し、削除しました。

推奨処置 メッセージのみです。

718044

エラー メッセージ %FWSM-5-718044: Deleted peer IP_address

説明 セキュリティ アプライアンスが LB ピアを削除しました。

推奨処置 メッセージのみです。

718045

エラー メッセージ %FWSM-5-718045: Created peer IP_address

説明 セキュリティ アプライアンスが LB ピアを検出しました。

推奨処置 メッセージのみです。

718046

エラー メッセージ %FWSM-7-718046: Create group policy policy_name

説明 セキュリティ アプライアンスが、LB ピアと安全に通信するためのグループ ポリシーを作成しました。

推奨処置 メッセージのみです。

718047

エラー メッセージ %FWSM-7-718047: Fail to create group policy policy_name

説明 セキュリティ アプライアンスが LB ピア間の通信を保護するグループ ポリシーの作成中に、エラーが発生しました。

推奨処置 LB の設定を確認してください。

718048

エラー メッセージ %FWSM-5-718048: Create of secure tunnel failure for peer IP_address

説明 セキュリティ アプライアンスが LB ピアへの IPSec トンネルを確立中に、エラーが発生しました。

推奨処置 LB の設定が正しく、ネットワークが正常に動作しているかどうかを確認してください。

718049

エラー メッセージ %FWSM-7-718049: Created secure tunnel to peer IP_address

説明 セキュリティ アプライアンスが LB ピアへの IPSec トンネルを正常に確立しました。

推奨処置 メッセージのみです。

718050

エラー メッセージ %FWSM-5-718050: Delete of secure tunnel failure for peer IP_address

説明 セキュリティ アプライアンスが LB ピアへの IPSec トンネルを終了中に、エラーが発生しました。

推奨処置 LB の設定が正しく、ネットワークが正常に動作しているかどうかを確認してください。

718051

エラー メッセージ %FWSM-6-718051: Deleted secure tunnel to peer IP_address

説明 セキュリティ アプライアンスが LB ピアへの IPSec トンネルを正常に終了しました。

推奨処置 メッセージのみです。

718052

エラー メッセージ %FWSM-5-718052: Received GRAT-ARP from duplicate master MAC_address

説明 セキュリティ アプライアンスが重複するマスターから根拠のない ARP を受信しました。

推奨処置 LB の設定を調べ、ネットワークが正常に動作しているかどうかを確認してください。

718053

エラー メッセージ %FWSM-5-718053: Detected duplicate master, mastership stolen MAC_address

説明 セキュリティ アプライアンスがマスターの重複を検出しました。マスターシップが盗まれています。

推奨処置 LB の設定を調べ、ネットワークが正常に動作しているかどうかを確認してください。

718054

エラー メッセージ %FWSM-5-718054: Detected duplicate master MAC_address and going to SLAVE

説明 セキュリティ アプライアンスがマスターの重複を検出し、スレーブ モードに切り替えました。

推奨処置 LB の設定を調べ、ネットワークが正常に動作しているかどうかを確認してください。

718055

エラー メッセージ %FWSM-5-718055: Detected duplicate master MAC_address and staying MASTER

説明 セキュリティ アプライアンスがマスターの重複を検出し、スレーブ モードを続けています。

推奨処置 LB の設定を調べ、ネットワークが正常に動作しているかどうかを確認してください。

718056

エラー メッセージ %FWSM-7-718056: Deleted Master peer, IP IP_address

説明 セキュリティ アプライアンスが内部テーブルから LB マスターを削除しました。

推奨処置 メッセージのみです。

718057

エラー メッセージ %FWSM-5-718057: Queue send failure from ISR, msg type failure_code

説明 割り込みサービス ルーティングからメッセージを VPNLB キューに格納しようとしたとき、内部ソフトウェア エラーが発生しました。

推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718058

エラー メッセージ %FWSM-7-718058: State machine return code: action_routine , return_code

説明 このイベントは、LB 有限ステート マシンに属するアクション ルーチンのリターン コードを追跡します。

推奨処置 メッセージのみです。

718059

エラー メッセージ %FWSM-7-718059: State machine function trace: state= state_name , event= event_name , func= action_routine

説明 このイベントは、LB 有限ステート マシンのイベントおよびステートを追跡します。

推奨処置 メッセージのみです。

718060

エラー メッセージ %FWSM-5-718060: Inbound socket select fail: context= context_ID .

説明 ソケット選択コールがエラーを返し、ソケットを読み取れませんでした。内部ソフトウェア エラーの可能性があります。

推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718061

エラー メッセージ %FWSM-5-718061: Inbound socket read fail: context= context_ID .

説明 選択コールを通じてデータを検出したあと、ソケットの読み取りが失敗しました。内部ソフトウェア エラーの可能性があります。

推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718062

エラー メッセージ %FWSM-5-718062: Inbound thread is awake (context= context_ID ).

説明 LB プロセスが起動して処理を開始するたびに表示されます。

推奨処置 メッセージのみです。

718063

エラー メッセージ %FWSM-5-718063: Interface interface_name is down.

説明 LB プロセスでインターフェイスがダウンしていることが検出されました。

推奨処置 インターフェイスの設定を調べ、このインターフェイスが正常に動作しているかどうかを確認してください。

718064

エラー メッセージ %FWSM-5-718064: Admin. interface interface_name is down.

説明 LB プロセスで管理インターフェイスがダウンしていることが検出されました。

推奨処置 管理インターフェイスの設定を調べ、このインターフェイスが正常に動作しているかどうかを確認してください。

718065

エラー メッセージ %FWSM-5-718065: Cannot continue to run (public= up/down , private= up/down , enable= LB_state , master= IP_address , session= Enable/Disable ).

説明 全部の前提条件が満たされていないため、LB プロセスを実行できないことを表すメッセージです。前提条件は、2 つのアクティブ インターフェイスおよび LB がイネーブルであることです。

推奨処置 インターフェイスの設定を調べ、少なくとも 2 つのインターフェイスが正常に動作しているかどうかを確認してください。また、LB の設定も確認してください。

718066

エラー メッセージ %FWSM-5-718066: Cannot add secondary address to interface interface_name , ip IP_address .

説明 LB では、外部インターフェイスへのセカンダリ アドレスの追加が必要です。このイベントは、セカンダリ アドレスを追加するときにエラーが発生したことを表します。

推奨処置 セカンダリ アドレスとして使用しているアドレスを調べ、有効な一意のアドレスであるかどうかを確認してください。外部インターフェイスの設定を確認してください。

718067

エラー メッセージ %FWSM-5-718067: Cannot delete secondary address to interface interface_name , ip IP_address .

説明 セカンダリ アドレスを削除できませんでした。アドレッシングの問題または内部ソフトウェア エラーの可能性があります。

推奨処置 外部インターフェイスのアドレッシング情報を調べ、有効な一意のセカンダリ アドレスであるかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718068

エラー メッセージ %FWSM-5-718068: Start VPN Load Balancing in context context_ID .

説明 LB プロセスが起動され初期化されました。

推奨処置 メッセージのみです。

718069

エラー メッセージ %FWSM-5-718069: Stop VPN Load Balancing in context context_ID .

説明 LB プロセスが停止しました。

推奨処置 メッセージのみです。

718070

エラー メッセージ %FWSM-5-718070: Reset VPN Load Balancing in context context_ID .

説明 LB プロセスがリセットされました。

推奨処置 メッセージのみです。

718071

エラー メッセージ %FWSM-5-718071: Terminate VPN Load Balancing in context context_ID .

説明 LB プロセスが終了しました。

推奨処置 メッセージのみです。

718072

エラー メッセージ %FWSM-5-718072: Becoming master of Load Balancing in context context_ID .

説明 セキュリティ アプライアンスが LB マスターになりました。

推奨処置 メッセージのみです。

718073

エラー メッセージ %FWSM-5-718073: Becoming slave of Load Balancing in context context_ID .

説明 セキュリティ アプライアンスが LB スレーブになりました。

推奨処置 メッセージのみです。

718074

エラー メッセージ %FWSM-5-718074: Fail to create access list for peer context_ID .

説明 ACL を使用して、LB ピアが通信できるセキュア トンネルを作成します。セキュリティ アプライアンスが、いずれかの ACL を作成できませんでした。アドレッシングの問題または内部ソフトウェアの問題の可能性があります。

推奨処置 すべてのピアで内部インターフェイスのアドレッシング情報を確認し、すべてのピアが正しく検出されるようにします。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718075

エラー メッセージ %FWSM-5-718075: Peer IP_address access list not set.

説明 セキュア トンネルを削除するとき、対応する ACL のないピア エントリをセキュリティ アプライアンスが検出しました。

推奨処置 メッセージのみです。

718076

エラー メッセージ %FWSM-5-718076: Fail to create tunnel group for peer IP_address .

説明 セキュリティ アプライアンスが LB ピア間の通信を保護するトンネル グループの作成中に、エラーが発生しました。

推奨処置 LB の設定を確認してください。

718077

エラー メッセージ %FWSM-5-718077: Fail to delete tunnel group for peer IP_address .

説明 セキュリティ アプライアンスが LB ピア間の通信を保護するトンネル グループの削除中に、エラーが発生しました。

推奨処置 メッセージのみです。

718078

エラー メッセージ %FWSM-5-718078: Fail to create crypto map for peer IP_address .

説明 セキュリティ アプライアンスが LB ピア間の通信を保護する暗号マップの作成中に、エラーが発生しました。

推奨処置 LB の設定を確認してください。

718079

エラー メッセージ %FWSM-5-718079: Fail to delete crypto map for peer IP_address .

説明 セキュリティ アプライアンスが LB ピア間の通信を保護する暗号マップの削除中に、エラーが発生しました。

推奨処置 メッセージのみです。

718080

エラー メッセージ %FWSM-5-718080: Fail to create crypto policy for peer IP_address .

説明 セキュリティ アプライアンスが LB ピア間の通信を保護するトランスフォーム セットの作成中に、エラーが発生しました。内部ソフトウェアの問題の可能性があります。

推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718081

エラー メッセージ %FWSM-5-718081: Fail to delete crypto policy for peer IP_address .

説明 セキュリティ アプライアンスが LB ピア間の通信を保護するトランスフォーム セットの削除中に、エラーが発生しました。

推奨処置 メッセージのみです。

718084

エラー メッセージ %FWSM-5-718084: Public/cluster IP not on the same subnet: public IP_address , mask netmask , cluster IP_address

説明 クラスタの IP アドレスは、セキュリティ アプライアンスの外部インターフェイスと同じサブネット内でなければなりません。このイベントは、同じネットワークでないことを表します。

推奨処置 クラスタ(または仮想)IP アドレスと外部インターフェイス アドレスが同じネットワークにあるかどうかを確認してください。

718085

エラー メッセージ %FWSM-5-718085: Interface interface_name has no IP address defined.

説明 指定のインターフェイスに IP アドレスがありません。

推奨処置 インターフェイスの IP アドレスを設定してください。

718086

エラー メッセージ %FWSM-5-718086: Fail to install LB NP rules: type rule_type , dst interface_name , port port .

説明 セキュリティ アプライアンスが LB ピア間の通信を保護する SoftNP ACL ルールの作成中に、エラーが発生しました。内部ソフトウェアの問題の可能性があります。

推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。

718087

エラー メッセージ %FWSM-5-718087: Fail to delete LB NP rules: type rule_type , rule rule_ID .

説明 セキュリティ アプライアンスが LB ピア間の通信を保護する SoftNP ACL ルールの削除中に、エラーが発生しました。

推奨処置 メッセージのみです。

718088

エラー メッセージ %FWSM-7-718088: Possible VPN LB misconfiguration. Offending device MAC MAC_address .

説明 マスターが重複しています。いずれかの LB ピアの設定が誤っている可能性があります。

推奨処置 すべてのピアの LB 設定を確認してください。特に、指定のピアに注意してください。

719001

エラー メッセージ %FWSM-6-719001: Email Proxy session could not be established: session limit of maximum_sessions has been reached.

説明 最大セッション数の制限に達したため、着信 E メール プロキシ セッションを確立できなかったことを表すメッセージです。 maximum_sessions が最大セッション数です。

推奨処置 対処は不要です。

719002

エラー メッセージ %FWSM-3-719002: Email Proxy session pointer from source_address has been terminated due to reason error.

説明 セッションがエラーのために終了したことを表すメッセージです。考えられるエラーとしては、セッション データベースにセッションを追加できなかった場合、メモリ割り当てが失敗した場合、チャネルへのデータの書き込みが失敗した場合などがあります。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレス、 reason はエラーのタイプです。

推奨処置 対処は不要です。

719003

エラー メッセージ %FWSM-6-719003: Email Proxy session pointer resources have been freed for source_address .

説明 セッションの終了後に、動的に割り当てられたセッション構造が解放され、NULL に設定されたことを表すメッセージです。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。

推奨処置 対処は不要です。

719004

エラー メッセージ %FWSM-6-719004: Email Proxy session pointer has been successfully established for source_address .

説明 新しい着信 E メール クライアント セッションが確立されました。

推奨処置 対処は不要です。

719005

エラー メッセージ %FWSM-7-719005: FSM NAME has been created using protocol for session pointer from source_address .

説明 新しい着信セッション用に FSM が作成されたことを表すメッセージです。NAME はセッションの FSM インスタンス名、 protocol は E メール プロトコル タイプ(POP3、IMAP、SMTP など)、 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。

推奨処置 対処は不要です。

719006

エラー メッセージ %FWSM-7-719006: Email Proxy session pointer has timed out for source_address because of network congestion.

説明 ネットワーク輻輳のため、E メール クライアントまたは E メール サーバにデータを送信できないことを表すメッセージです。ブロック タイマーが起動されます。このタイマーがタイムアウトすると、セッションが期限切れになります。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。

推奨処置 2~3分後に操作をやり直してください。

719007

エラー メッセージ %FWSM-7-719007: Email Proxy session pointer cannot be found for source_address .

説明 セッション データベースで一致するセッションが見つからない場合に表示されるメッセージです。セッション ポインタが不正です。 pointer はセッション構造のポインタ、
source_address
は E メール プロキシ クライアントの IP アドレスです。

推奨処置 対処は不要です。

719008

エラー メッセージ %FWSM-3-719008: Email Proxy service is shutting down.

説明 E メール プロキシがディセーブルの場合に表示されるメッセージです。すべてのリソースがクリーンアップされ、すべてのスレッドが終了します。

推奨処置 対処は不要です。

719009

エラー メッセージ %FWSM-7-719009: Email Proxy service is starting.

説明 E メール プロキシがイネーブルの場合に表示されるメッセージです。

推奨処置 対処は不要です。

719010

エラー メッセージ %FWSM-6-719010: protocol Email Proxy feature is disabled on interface interface_name .

説明 CLI から起動された特定のエントリ ポイントで、E メール プロキシ機能がディセーブルになったときに表示されるメッセージです。これはユーザ用の主要な「オフ」スイッチです。すべてのインターフェイスですべてのプロトコルをオフにすると、メイン シャットダウン ルーチンが起動され、グローバル リソースやスレッドなどがクリーンアップされます。 protocol は E メール プロトコル プロキシのタイプ(POP3、IMAP、SMTP など)、 interface_name はセキュリティ アプライアンスのインターフェイス名です。

推奨処置 対処は不要です。

719011

エラー メッセージ %FWSM-6-719011: Protocol Email Proxy feature is enabled on interface interface_name .

説明 CLI から起動された特定のエントリ ポイントで、E メール プロキシ機能がイネーブルになったときに表示されるメッセージです。これはユーザ用の主要な「オン」スイッチです。メイン スタートアップ ルーチンでこのスイッチを初めて使用した時点で、グローバル リソースやスレッドなどが割り当てられます。以降のコールでは、特定のプロトコルのリスン スレッドを起動するだけで済みます。 protocol は E メール プロトコル プロキシのタイプ(POP3、IMAP、SMTP など)、 interface_name はセキュリティ アプライアンスのインターフェイス名です。

推奨処置 対処は不要です。

719012

エラー メッセージ %FWSM-6-719012: Email Proxy server listening on port port for mail protocol protocol .

説明 設定済みのポートに特定のプロトコルに関するリスン チャネルが開かれ、そのポートが TCP セレクト グループに追加されたときに表示されるメッセージです。 port は設定済みのポート番号、 protocol は E メール プロキシ プロトコルのタイプ(POP3、IMAP、SMTP など)です。

推奨処置 対処は不要です。

719013

エラー メッセージ %FWSM-6-719013: Email Proxy server closing port port for mail protocol protocol .

説明 設定済みのポートに特定のプロトコルに関するリスン チャネルが閉じられ、そのポートが TCP セレクト グループから削除されたときに表示されるメッセージです。 port は設定済みのポート番号、 protocol は E メール プロキシ プロトコルのタイプ(POP3、IMAP、SMTP など)です。

推奨処置 対処は不要です。

719014

エラー メッセージ %FWSM-5-719014: Email Proxy is changing listen port from old_port to new_port for mail protocol protocol .

説明 特定のプロトコルに関するリスン ポートで変更がシグナリングされたときに表示されるメッセージです。そのポートでイネーブルのすべてのインターフェイスで、リスン チャネルが閉じられ、新しいポートでリスンが再開されます。この動作は CLI から起動します。 old_port は設定済みの古いポート番号、 new_port は設定済みの新しいポート番号、 protocol は E メール プロキシ プロトコルのタイプ(POP3、IMAP、SMTP など)です。

推奨処置 対処は不要です。

719015

エラー メッセージ %FWSN-7-719015: Parsed emailproxy session pointer from source_address username: mailuser = mail_user , vpnuser = VPN_user , mailserver = server

説明 クライアントからユーザ名ストリングを、vpnuser(名前デリミタ)mailuser(サーバ デリミタ)mailserver(例:xxx:yyy@cisco.com)のフォーマットで受信したときに表示されるメッセージです。名前デリミタは省略可能です。このデリミタを省略する場合、VPN ユーザ名とメール ユーザ名は共通です。サーバ デリミタは省略可能です。このデリミタを省略する場合、設定されているデフォルトのメール サーバが使用されます。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレス、mail_user は E メール アカウント ユーザ名、 VPN_user は WebVPN ユーザ名、 server は E メール サーバです。

推奨処置 対処は不要です。

719016

エラー メッセージ %FWSM-7-719016: Parsed emailproxy session pointer from source_address password: mailpass = ******, vpnpass= ******

説明 クライアントからパスワード ストリングを、vpnpass(名前デリミタ)mailpass(例:xxx:yyy)のフォーマットで受信したときに表示されるメッセージです。名前デリミタは省略可能です。このデリミタを省略する場合、VPN パスワードとメール パスワードは共通です。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。

推奨処置 対処は不要です。

719025

エラー メッセージ %FWSM-6-719025: Email Proxy DNS name resolution failed for hostname .

説明 ホスト名が無効であるか、または使用可能な DNS サーバがないために、ホスト名を IP アドレスで解決できない場合に表示されるメッセージです。 hostname は、解決する必要のあるホスト名です。

推奨処置 DNS サーバのアベイラビリティを調べ、有効なメール サーバ名が設定されているかどうかを確認してください。

719026

エラー メッセージ %FWSM-6-719026: Email Proxy DNS name hostname resolved to IP_address .

説明 ホスト名が IP アドレスで正しく解決されたことを表すメッセージです。 hostname は解決する必要のあるホスト名、 IP_address は設定されたメール サーバ名から解決された IP アドレスです。

推奨処置 対処は不要です。

720001

エラー メッセージ %FWSM-4-720001: (VPN- unit ) Failed to initialize with Chunk Manager.

説明 VPN フェールオーバー サブシステムが、メモリ バッファ管理サブシステムの初期化に失敗したときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 このメッセージはシステム全体の問題を表しており、VPN フェールオーバー サブシステムを起動できません。システム ログ メッセージを調べ、システム レベルで初期化に問題を生じている兆候がないかどうかを確認してください。

720002

エラー メッセージ %FWSM-6-720002: (VPN- unit ) Starting VPN Stateful Failover Subsystem...

説明 VPN フェールオーバー サブシステムが起動され、システムがブートしたことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 対処は不要です。

720003

エラー メッセージ %FWSM-6-720003: (VPN- unit ) Initialization of VPN Stateful Failover Component completed successfully

説明 ブート時に VPN フェールオーバー サブシステムの初期化が完了したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 対処は不要です。

720004

エラー メッセージ %FWSM-6-720004: (VPN- unit ) VPN failover main thread started.

説明 ブート時に VPN フェールオーバーのメインの処理スレッドが起動したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 対処は不要です。

720005

エラー メッセージ %FWSM-6-720005: (VPN- unit ) VPN failover timer thread started.

説明 ブート時に VPN フェールオーバーのタイマー処理スレッドが起動したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 対処は不要です。

720006

エラー メッセージ %FWSM-6-720006: (VPN- unit ) VPN failover sync thread started.

説明 ブート時にシステムのバルク同期処理スレッドが起動したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 対処は不要です。

720007

エラー メッセージ %FWSM-4-720007: (VPN- unit ) Failed to allocate chunk from Chunk Manager.

説明 事前に割り当てられたメモリ バッファの集合が使い果たされたことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 このメッセージはリソースの問題を表しています。処理中のメッセージが多すぎて、システムに高負荷が生じている可能性があります。VPN フェールオーバー サブシステムによって未処理のメッセージが処理され、割り当てられていたメモリが解放されると、この状況が改善される可能性があります。

720008

エラー メッセージ %FWSM-4-720008: (VPN- unit ) Failed to register to High Availability Framework.

説明 VPN フェールオーバー サブシステムがコアのフェールオーバー サブシステムに登録できなかったときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 VPN フェールオーバー サブシステムが起動できません。他のサブシステムに初期化の問題がある可能性があります。システム ログ メッセージを調べ、システム全体で初期化に問題を生じている兆候がないかどうかを確認してください。

720009

エラー メッセージ %FWSM-4-720009: (VPN-unit) Failed to create version control block.

説明 VPN フェールオーバー サブシステムが、バージョン コントロール ブロックを作成できなかったときに表示されるメッセージです。VPN フェールオーバー サブシステムが、現在のリリースと下位互換性のあるファームウェア バージョンを検索するには、このステップが必要です。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 VPN フェールオーバー サブシステムが起動できません。他のサブシステムに初期化の問題がある可能性があります。システム ログ メッセージを調べ、システム全体で初期化に問題を生じている兆候がないかどうかを確認してください。

720010

エラー メッセージ %FWSM-6-720010: (VPN- unit ) VPN failover client is being disabled

説明 オペレータがフェールオーバー キーを定義せずにフェールオーバーをイネーブルにしたときに表示されるメッセージです。VPN フェールオーバーを使用するには、フェールオーバー キーを定義する必要があります。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 failover key コマンドを使用して、アクティブ ユニットとスタンバイ ユニットの間の共有秘密鍵を定義してください。

720011

エラー メッセージ %FWSM-4-720011: (VPN- unit ) Failed to allocate memory

説明 VPN フェールオーバー サブシステムがメモリ バッファを割り当てられなかったときに表示されるメッセージです。システム全体でリソースに問題があります。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 システムに高負荷が生じている可能性があります。着信トラフィックを減らして、システムの負荷を下げれば、この状況が改善される可能性があります。着信トラフィックを減らすことで、現在の作業負荷を処理するために割り当てられているメモリが使用可能になり、システムが正常な動作に戻る可能性があります。

720012

エラー メッセージ %FWSM-6-720012: (VPN- unit ) Failed to update IPSec failover runtime data on the standby unit.

説明 対応する IPSec トンネルがスタンバイ ユニット上で削除されたために、VPN フェールオーバー サブシステムが IPSec 関連の実行時データを更新できないときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 対処は不要です。

720013

エラー メッセージ %FWSM-4-720013: (VPN-unit) Failed to insert certificate in trust point trustpoint_name

説明 VPN フェールオーバー サブシステムが、トラストポイントに証明書の挿入を試みたときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。 trustpoint_name は、トラストポイントの名前です。

推奨処置 証明書の内容を確認し、無効でないかどうかをチェックしてください。

720014

エラー メッセージ %FWSM-6-720014: (VPN- unit ) Phase 2 connection entry (msg_id= message_number , my cookie= mine , his cookie= his ) contains no SA list.

説明 フェーズ 2 接続エントリにリンクする SA がないときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 message_number はフェーズ 2 接続エントリのメッセージ ID、 mine はこちら側のフェーズ 1 Cookie、 his はピアのフェーズ 1 Cookie です。

推奨処置 対処は不要です。

720015

エラー メッセージ %FWSM-6-720015: (VPN- unit ) Cannot found Phase 1 SA for Phase 2 connection entry (msg_id= message_number ,my cookie= mine , his cookie= his ).

説明 特定のフェーズ 2 接続エントリに対応するフェーズ 1 SA が見つからないときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 message_number はフェーズ 2 接続エントリのメッセージ ID、 mine はこちら側のフェーズ 1 Cookie、 his はピアのフェーズ 1 Cookie です。

推奨処置 対処は不要です。

720016

エラー メッセージ %FWSM-5-720016: (VPN-unit) Failed to initialize default timer # index .

説明 VPN フェールオーバー サブシステムが、特定のタイマー イベントを初期化できなかったときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 index はタイマー イベントの内部インデックスです。

推奨処置 ブート時に VPN フェールオーバー サブシステムが起動できません。システム ログ メッセージを調べ、システム全体で初期化に問題を生じている兆候がないかどうかを確認してください。

720017

エラー メッセージ %FWSM-5-720017: (VPN- unit ) Failed to update LB runtime data

説明 VPN フェールオーバー サブシステムが、VPN ロードバランシング実行時データを更新できなかったときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 対処は不要です。

720018

エラー メッセージ %FWSM-5-720018: (VPN- unit ) Failed to get a buffer from the underlying core high availability subsystem. Error code code.

説明 システムに高負荷が生じている可能性があります。VPN フェールオーバー サブシステムがフェールオーバー バッファを取得できませんでした。 unit は「Primary」または「Secondary」のいずれかです。 code はハイ アベイラビリティ サブシステムから返されたエラー コードです。

推奨処置 着信トラフィックの量を減らして、現在の負荷条件を改善してください。着信トラフィックが少なくなると、負荷の処理用に割り当てられていたメモリが解放されます。

720019

エラー メッセージ %FWSM-5-720019: (VPN- unit ) Failed to update cTCP statistics.

説明 VPN フェールオーバー サブシステムが、IPSec/cTCP 関連の統計情報を更新できなかったときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。

推奨処置 対処は不要です。定期的に更新が送信されるので、スタンバイ ユニットの IPSec/cTCP 統計情報は、次の更新メッセージで更新されるはずです。

720020

エラー メッセージ %FWSM-5-720020: (VPN- unit ) Failed to send type timer message.

説明 VPN フェールオーバー サブシステムが、スタンバイ ユニットに定期的なタイマー メッセージを送信できなかったときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 type はタイマー メッセージのタイプです。

推奨処置 対処は不要です。次のタイムアウトで、定期的なタイマー メッセージが再送信されます。

720021

エラー メッセージ %FWSM-5-720021: (VPN- unit ) HA non-block send failed for peer msg message_number . HA error code .

説明 VPN フェールオーバー サブシステムが、ノンブロック メッセージを送信できませんでした。

unit ― 「Primary」または「Secondary」のいずれか

message_number ― ピア メッセージの ID 番号

code ― エラー リターン コード

推奨処置 システムの高負荷やシステム リソース不足などによる一時的な状況です。システム リソースが解放されると、状況は改善されます。

720022

エラー メッセージ %FWSM-4-720022: (VPN- unit ) Cannot find trust point trustpoint

説明 VPN フェールオーバー サブシステムがトラストポイントを名前で検索したときに、エラーが発生しました。

unit ― 「Primary」または「Secondary」のいずれか

trustpoint ― トラストポイント名

推奨処置 トラストポイントがオペレータによって削除されている可能性があります。

720023

エラー メッセージ %FWSM-6-720023: (VPN- unit ) HA status callback: Peer is not present.

説明 これは情報メッセージです。ピアが使用可能または使用不可能になったことをローカル デバイスが検知すると、VPN フェールオーバー サブシステムは、コア フェールオーバー サブシステムから通知を受けます。

unit ― 「Primary」または「Secondary」のいずれか

not ― 「not」または「」のいずれか

推奨処置 対処は不要です。

720024

エラー メッセージ %FWSM-6-720024: (VPN- unit ) HA status callback: Control channel is status .

説明 フェールオーバー制御チャネルが「up」または「down」であることを表す情報メッセージです。フェールオーバー制御チャネルは、 failover link および show failover コマンドで定義します。これらのコマンドでは、フェールオーバー リンク チャネルが「up」または「down」であることが示されます。

unit ― 「Primary」または「Secondary」のいずれか

status ― 「up」または「down」のいずれか

推奨処置 対処は不要です。

720025

エラー メッセージ %FWSM-6-720025: (VPN- unit ) HA status callback: Data channel is status .

説明 フェールオーバー データ チャネルが up または down であることを示す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

status ― 「up」または「down」のいずれか

推奨処置 対処は不要です。

720026

エラー メッセージ %FWSM-6-720026: (VPN- unit ) HA status callback: Current progression is being aborted.

説明 オペレータまたはその他の外部条件によって、フェールオーバー ピアが役割(アクティブまたはスタンバイ)に同意する前に、現在のフェールオーバーの進行が打ち切られた場合にのみ、このメッセージが生成されます。たとえば、ネゴシエーション中にスタンバイ ユニットで failover active コマンドが入力された場合などです。また、アクティブ ユニットがリブートされた場合にも生成されます。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720027

エラー メッセージ %FWSM-6-720027: (VPN- unit ) HA status callback: My state state .

説明 ローカル フェールオーバー デバイスの状態が変化したときに表示される情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

state ― ローカル フェールオーバー デバイスの現在の状態

推奨処置 対処は不要です。

720028

エラー メッセージ %FWSM-6-720028: (VPN- unit ) HA status callback: Peer state state .

unit ― 「Primary」または「Secondary」のいずれか

state ― フェールオーバー ピアの現在の状態

説明 フェールオーバー ピアの現在の状態を報告する情報メッセージです。

推奨処置 対処は不要です。

720029

エラー メッセージ %FWSM-6-720029: (VPN- unit ) HA status callback: Start VPN bulk sync state.

unit ― 「Primary」または「Secondary」のいずれか

説明 アクティブ ユニットがすべてのステート情報をスタンバイ ユニットに送信する準備が整ったときに生成される情報メッセージです。

推奨処置 対処は不要です。

720030

エラー メッセージ %FWSM-6-720030: (VPN- unit ) HA status callback: Stop bulk sync state.

unit ― 「Primary」または「Secondary」のいずれか

説明 アクティブ ユニットがスタンバイ ユニットへのステート情報の送信を終了したときに生成される、情報メッセージです。

推奨処置 対処は不要です。

720031

エラー メッセージ %FWSM-7-720031: (VPN- unit ) HA status callback: Invalid event received. event= event_ID .

説明 VPN フェールオーバー サブシステムが、基盤となっているフェールオーバー サブシステムから無効なコールバック イベントを受信したときに生成されるメッセージです。

unit ― 「Primary」または「Secondary」のいずれか

event_ID ― 受信した無効なイベント ID

推奨処置 これは、デバッグ メッセージです。

720032

エラー メッセージ %FWSM-6-720032: (VPN- unit ) HA status callback: id= ID , seq= sequence_# , grp= group , event= event , op= operand , my= my_state , peer= peer_state .

説明 VPN フェールオーバー サブシステムが、基盤となっているフェールオーバー サブシステムからステータス更新を通知されたときに生成される情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

ID ― クライアントの ID 番号

sequence_# ― シーケンス番号

group ― グループ ID

event ― 現在のイベント

operand ― 現在のオペランド

my_state ― システムの現在の状態

peer_state ― ピアの現在の状態

推奨処置 対処は不要です。

720033

エラー メッセージ %FWSM-4-720033: (VPN- unit ) Failed to queue add to message queue.

説明 システム リソースが不足している可能性があることを表すメッセージです。VPN フェールオーバー サブシステムが内部メッセージをキューに格納しようとしたとき、エラーが発生しました。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 システムに高負荷が生じており、VPN フェールオーバー サブシステムが着信トラフィックを処理するためのリソースを割り当てられなかったことを表す、一時的な状況の可能性があります。現在のシステム負荷が減少し、システム リソースが使用可能になって再び新しいメッセージを処理できるようになると、このエラー条件は解消される可能性があります。

720034

エラー メッセージ %FWSM-7-720034: (VPN- unit ) Invalid type ( type ) for message handler.

説明 VPN フェールオーバー サブシステムが無効なメッセージ タイプを処理しようとしたとき、エラーが発生しました。

unit ― 「Primary」または「Secondary」のいずれか

type ― メッセージ タイプ

推奨処置 これは、デバッグ メッセージです。

720035

エラー メッセージ %FWSM-5-720035: (VPN- unit ) Fail to look up CTCP flow handle

説明 VPN フェールオーバー サブシステムが検索を試みましたが、スタンバイ ユニットで cTCP フローが事前に削除されていた可能性があります。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 cTCP フローが削除された兆候がないかどうかをシステム ログ メッセージで調べ、フローが削除された理由(アイドル タイムアウトなど)を確認してください。

720036

エラー メッセージ %FWSM-5-720036: (VPN- unit ) Failed to process state update message from the active peer.

説明 VPN フェールオーバー サブシステムが、スタンバイ ユニットから受信したステート更新メッセージの処理中にエラーが発生しました。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 高負荷またはシステム リソースの不足に起因する一時的な状況の可能性があります。

720037

エラー メッセージ %FWSM-6-720037: (VPN- unit ) HA progression callback: id= id ,seq= sequence_number ,grp= group ,event= event ,op= operand , my= my_state ,peer= peer_state .

unit ― 「Primary」または「Secondary」のいずれか

id ― クライアント ID

sequence_number ― シーケンス番号

group ― グループ ID

event ― 現在のイベント

operand ― 現在のオペランド

my_state ― システムの現在の状態

peer_state ― ピアの現在の状態

説明 現在のフェールオーバーの進行状況を表す情報メッセージです。

推奨処置 対処は不要です。

720038

エラー メッセージ %FWSM-4-720038: (VPN- unit ) Corrupted message from active unit.

説明 スタンバイ ユニットが、アクティブ ユニットから壊れたメッセージを受信しました。アクティブ ユニットからのメッセージが壊れています。アクティブ ユニットとスタンバイ ユニットで稼働中のファームウェアが非互換の可能性があります。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 ローカル ユニットがフェールオーバー ペアのアクティブ ユニットになったことを表す情報メッセージです。

720039

エラー メッセージ %FWSM-6-720039: (VPN- unit ) VPN failover client is transitioning to active state

説明 ローカル ユニットがフェールオーバー ペアのアクティブ ユニットになったことを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720040

エラー メッセージ %FWSM-6-720040: (VPN- unit ) VPN failover client is transitioning to standby state.

説明 ローカル ユニットがフェールオーバー ペアのスタンバイ ユニットになったことを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720041

エラー メッセージ %FWSM-7-720041: (VPN- unit ) Sending type message id to standby unit

説明 アクティブ ユニットからスタンバイ ユニットにメッセージが送信されたことを表すデバッグ メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

type ― メッセージ タイプ

id ― メッセージ ID

推奨処置 対処は不要です。

720042

エラー メッセージ %FWSM-7-720042: (VPN- unit ) Receiving type message id from active unit

説明 スタンバイ ユニットがメッセージを受信したことを表すデバッグ メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

type ― メッセージ タイプ

id ― メッセージ ID

推奨処置 対処は不要です。

720043

エラー メッセージ %FWSM-4-720043: (VPN- unit ) Failed to send type message id to standby unit

説明 VPN フェールオーバー サブシステムがアクティブ ユニットからスタンバイ ユニットにメッセージを送信しようとしたとき、エラーが発生しました。これは 720018(コア フェールオーバー サブシステムでフェールオーバー バッファが不足、またはフェールオーバー LAN リンクがダウン)に起因している可能性があります。

unit ― 「Primary」または「Secondary」のいずれか

type ― メッセージ タイプ

id ― メッセージ ID

推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作していて、フェールオーバー LAN リンクが「up」であるかどうかを確認してください。

720044

エラー メッセージ %FWSM-4-720044: (VPN- unit ) Failed to receive message from active unit

説明 VPN フェールオーバー サブシステムがスタンバイ ユニットでメッセージを受信しようとしたとき、エラーが発生しました。原因としては、メッセージが壊れている場合や、着信メッセージを保存する十分なメモリが割り当てられない場合があります。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 show failover コマンドを使用して受信エラーを調べ、これが VPN フェールオーバーに固有の問題か、それとも一般的なフェールオーバーの問題であるかどうかを確認してください。メッセージが壊れている原因としては、アクティブ ユニットとスタンバイ ユニットのファームウェア バージョンが非互換であることが考えられます。 show memory コマンドを使用して、メモリが不足していないかどうかを確認してください。

720045

エラー メッセージ %FWSM-6-720045: (VPN- unit ) Start bulk syncing of state information on standby unit.

説明 スタンバイ ユニットが、アクティブ ユニットからのバルク同期情報の受信を開始するように通知されたことを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720046

エラー メッセージ %FWSM-6-720046: (VPN- unit ) End bulk syncing of state information on standby unit

説明 スタンバイ ユニットが、アクティブ ユニットからのバルク同期の完了を通知されたことを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720047

エラー メッセージ %FWSM-4-720047: (VPN- unit ) Failed to sync SDI node secret file for server IP_address on the standby unit.

説明 VPN フェールオーバー サブシステムが、スタンバイ ユニット上の SDI サーバ用のノード シークレット ファイルを同期化しようとしたとき、エラーが発生しました。SDI ノード シークレット ファイルはフラッシュに保存されています。このエラーは、フラッシュ ファイル システムが満杯か壊れていることを表す場合があります。

unit ― 「Primary」または「Secondary」のいずれか

IP_address ― サーバの IP アドレス

推奨処置 dir コマンドを使用して、フラッシュの内容を表示してください。ノード シークレット ファイル名は、「 ip .sdi」です。

720048

エラー メッセージ %FWSM-7-720048: (VPN- unit ) FSM action trace begin: state=state, last event= event , func= function .

unit ― 「Primary」または「Secondary」のいずれか

state ― 現在の状態

event ― 最後のイベント

function ― 現在実行中の機能

説明 VPN フェールオーバー サブシステムの有限ステート マシン機能が起動されたことを表すデバッグ メッセージです。

推奨処置 対処は不要です。

720049

エラー メッセージ %FWSM-7-720049: (VPN- unit ) FSM action trace end: state=state, last event= event , return= return , func= function .

説明 VPN フェールオーバー サブシステムの有限ステート マシン機能が完了したことを表すデバッグ メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

state ― 現在の状態

event ― 最後のイベント

return ― リターン コード

function ― 現在実行中の機能

推奨処置 対処は不要です。

720050

エラー メッセージ %FWSM-7-720050: (VPN- unit ) Failed to remove timer. ID = id .

説明 タイマー処理スレッドからタイマーを削除できないことを表すデバッグ メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

id ― タイマー ID

推奨処置 対処は不要です。

720051

エラー メッセージ %FWSM-4-720051: (VPN- unit ) Failed to add new SDI node secret file for server id on the standby unit.

説明 VPN フェールオーバー サブシステムが、スタンバイ ユニット上の SDI サーバ用のノード シークレット ファイルを追加しようとしたとき、エラーが発生しました。SDI ノード シークレット ファイルはフラッシュに保存されています。このエラーは、フラッシュ ファイル システムが満杯か壊れていることを表す場合があります。

unit ― 「Primary」または「Secondary」のいずれか

id ― SDI サーバの IP アドレス

推奨処置 dir コマンドを使用して、フラッシュの内容を表示してください。ノード シークレット ファイル名は、「 ip .sdi」です。

720052

エラー メッセージ %FWSM-4-720052: (VPN- unit ) Failed to delete SDI node secret file for server id on the standby unit.

説明 VPN フェールオーバー サブシステムが、アクティブ ユニット上のノード シークレット ファイルを削除しようとしたときにエラーが発生しました。削除対象のノード シークレット ファイルがフラッシュ ファイル システムに存在しない場合、またはフラッシュ ファイル システムの読み取りに問題がある場合が考えられます。

unit ― 「Primary」または「Secondary」のいずれか

IP_address ― SDI サーバの IP アドレス

推奨処置 dir コマンドを使用して、フラッシュの内容を表示してください。ノード シークレット ファイル名は、「 ip .sdi」です。

720053

エラー メッセージ %FWSM-4-720053: (VPN- unit ) Failed to add cTCP IKE rule during bulk sync, peer= IP_address , port= port

説明 VPN フェールオーバー サブシステムがバルク同期中に、スタンバイ ユニット上の cTCP IKE ルールをロードしようとしたときにエラーが発生しました。

unit ― 「Primary」または「Secondary」のいずれか

IP_address ― ピアの IP アドレス

port ― ピアのポート番号

推奨処置 スタンバイ ユニットに高負荷が生じているために、新しい IKE ルール要求がタイムアウトした可能性があります。

720054

エラー メッセージ %FWSM-4-720054: (VPN- unit ) Failed to add new cTCP record, peer= IP_address , port= port .

説明 cTCP レコードがスタンバイに複製され、更新できません。対応する IPSec over cTCP トンネルがフェールオーバー後に正常に動作していない可能性があります。

unit ― 「Primary」または「Secondary」のいずれか

IP_address ― ピアの IP アドレス

port ― ピアのポート番号

推奨処置 cTCP データベースが満杯になっている場合や、同じピア IP アドレスおよびポート番号を持つレコードが存在する場合が考えられます。これは一時的な状況で、終了時には改善される可能性があります。

720055

エラー メッセージ %FWSM-4-720055: (VPN- unit ) VPN Stateful failover can only be run in single/non-transparent mode.

説明 シングル(非トランスペアレント)モードで動作していない場合、VPN サブシステムは起動されず、このメッセージが表示されます。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 VPN フェールオーバーをサポートする適切なモードにデバイスを設定し、デバイスを再起動してください。

720056

エラー メッセージ %FWSM-6-720056: (VPN- unit ) VPN Stateful failover Message Thread is being disabled.

説明 ユーザがフェールオーバーをイネーブルにしようとしても、フェールオーバー キーが定義されておらず、VPN フェールオーバー サブシステムのメインのメッセージ処理スレッドがディセーブルになっていることを表す情報メッセージです。VPN フェールオーバーを実行するには、フェールオーバー キーが必要です。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 不要です。

720057

エラー メッセージ %FWSM-6-720057: (VPN- unit ) VPN Stateful failover Message Thread is enabled.

説明 フェールオーバーがイネーブルで、フェールオーバー キーが定義されている場合、VPN フェールオーバー サブシステムのメインのメッセージ処理スレッドがイネーブルであることを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720058

エラー メッセージ %FWSM-6-720058: (VPN- unit ) VPN Stateful failover Timer Thread is disabled.

説明 フェールオーバー キーが定義されておらず、フェールオーバーがイネーブルの場合、VPN フェールオーバー サブシステムのメインのタイマー処理スレッドがディセーブルであることを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720059

エラー メッセージ %FWSM-6-720059: (VPN- unit ) VPN Stateful failover Timer Thread is enabled.

説明 フェールオーバー キーが定義されていて、フェールオーバーがイネーブルの場合、VPN フェールオーバー サブシステムのメインのタイマー処理スレッドがイネーブルであることを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720060

エラー メッセージ %FWSM-6-720060: (VPN- unit ) VPN Stateful failover Sync Thread is disabled.

説明 フェールオーバーがイネーブルでも、フェールオーバー キーが定義されていない場合、VPN フェールオーバー サブシステムのメインのバルク同期処理スレッドがディセーブルであることを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720061

エラー メッセージ %FWSM-6-720061: (VPN- unit ) VPN Stateful failover Sync Thread is enabled.

説明 フェールオーバーがイネーブルで、フェールオーバー キーが定義されている場合、VPN フェールオーバー サブシステムのメインのバルク同期処理スレッドがイネーブルであることを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720062

エラー メッセージ %FWSM-6-720062: (VPN- unit ) Active unit started bulk sync of state information to standby unit.

説明 VPN フェールオーバー サブシステムのアクティブ ユニットが、スタンバイ ユニットへのステート情報のバルク同期を開始したことを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720063

エラー メッセージ %FWSM-6-720063: (VPN- unit ) Active unit completed bulk sync of state information to standby.

説明 VPN フェールオーバー サブシステムのアクティブ ユニットが、スタンバイ ユニットへのステート情報のバルク同期を終了したことを表す情報メッセージです。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 対処は不要です。

720064

エラー メッセージ %FWSM-4-720064: (VPN- unit ) Failed to update cTCP database record for peer= IP_address , port= port during bulk sync.

説明 VPN フェールオーバー サブシステムがバルク同期中に、既存の cTCP レコードを更新しようとしたときエラーが発生しました。cTCP レコードがスタンバイ ユニットの cTCP データベースから削除されていて、見つかりません。

unit ― 「Primary」または「Secondary」のいずれか

IP_address ― ピアの IP アドレス

port ― ピアのポート番号

推奨処置 システム ログ メッセージを確認してください。

720065

エラー メッセージ %FWSM-4-720065: (VPN- unit ) Failed to add new cTCP IKE rule, peer= peer , port= port .

説明 VPN フェールオーバー サブシステムが、スタンバイ ユニットの cTCP データベース エントリに新しい IKE ルールを追加しようとしたときエラーが発生しました。

unit ― 「Primary」または「Secondary」のいずれか

IP_address ― ピアの IP アドレス

port ― ピアのポート番号

推奨処置 システムに高負荷が生じていて、cTCP IKE ルールを追加する要求がタイムアウトした可能性があります。一時的な状況の可能性があります。

720066

エラー メッセージ %FWSM-4-720066: (VPN- unit ) Failed to activate IKE database.

説明 スタンバイ ユニットがアクティブ ステートへの移行中に、VPN フェールオーバー サブシステムが IKE SA データベースをアクティブ化しようとしたときにエラーが発生しました。スタンバイ ユニットにリソース関連の問題があって、IKE SA データベースがアクティブ化できなかった可能性があります。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかを確認してください。また、Syslog でその他の IKE 関連のエラーがないかどうかも確認してください。

720067

エラー メッセージ %FWSM-4-720067: (VPN- unit ) Failed to deactivate IKE database.

説明 アクティブ ユニットがスタンバイ ステートへの移行中に、VPN フェールオーバー サブシステムが IKE SA データベースを非アクティブ化しようとしたときにエラーが発生しました。アクティブ ユニットにリソース関連の問題があって、IKE SA データベースが非アクティブ化できなかった可能性があります。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかを確認してください。また、Syslog でその他の IKE 関連のエラーがないかどうかも確認してください。

720068

エラー メッセージ %FWSM-4-720068: (VPN- unit ) Failed to parse peer message.

説明 VPN フェールオーバー サブシステムが、スタンバイ ユニットで受信したピア メッセージを解析しようとしたとき、エラーが発生しました。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 スタンバイ ユニットで受信したピア メッセージが解析できません。アクティブ ユニットおよびスタンバイ ユニットが同じバージョンのファームウェアを実行しているかどうかを確認してください。また、 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかも確認してください。

720069

エラー メッセージ %FWSM-4-720069: (VPN- unit ) Failed to activate cTCP database.

説明 スタンバイ ユニットがアクティブ ステートへの移行中に、VPN フェールオーバー サブシステムが cTCP データベースをアクティブ化しようとしたときにエラーが発生しました。スタンバイ ユニットにリソース関連の問題があって、cTCP データベースがアクティブ化できなかった可能性があります。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかを確認してください。また、Syslog でその他の cTCP 関連のエラーがないかどうかも確認してください。

720070

エラー メッセージ %FWSM-4-720070: (VPN- unit ) Failed to deactivate cTCP database.

説明 アクティブ ユニットがスタンバイ ステートへの移行中に、VPN フェールオーバー サブシステムが cTCP データベースを非アクティブ化しようとしたときにエラーが発生しました。アクティブ ユニットにリソース関連の問題があって、cTCP データベースが非アクティブ化できなかった可能性があります。

unit ― 「Primary」または「Secondary」のいずれか

推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかを確認してください。また、Syslog でその他の cTCP 関連のエラーがないかどうかも確認してください。

720071

エラー メッセージ %FWSM-5-720071: (VPN- unit ) Failed to update cTCP dynamic data.

説明 VPN フェールオーバー サブシステムが cTCP ダイナミック データを更新しようとしたとき、エラーが発生しました。

unit ― 「Primary」または「Secondary」のいずれか

説明 一時的な状況の可能性があります。これは定期的な更新なので、時間をおいて同じエラーが発生するかどうかを確認してください。また、Syslog で他のフェールオーバー関連のメッセージがないかどうかも確認してください。

720072

エラー メッセージ %FWSM-4-720072: (VPN- unit ) Cannot find trust point tp

説明 VPN フェールオーバー サブシステムがトラストポイントを名前で検索したときに、エラーが発生しました。

unit ― 「Primary」または「Secondary」のいずれか

tp ― トラストポイント名

推奨処置 トラストポイントがオペレータによって削除されている可能性があります。 show crypto ca trustpoint CLI コマンドを使用して、トラストポイントが設定に含まれているかどうかを確認してください。

720073

エラー メッセージ %FWSM-4-720073: (VPN- unit ) Fail to insert certificate in trust point trustpoint on the standby unit.

説明 VPN フェールオーバー サブシステムが、トラストポイントに証明書を挿入しようとしたときに、エラーが発生しました。証明書の内容が無効だった可能性があります。

unit ― 「Primary」または「Secondary」のいずれか

trustpoint ― トラストポイント名

推奨処置 アクティブ ユニットで「write standby」を実行し、証明書を手動でスタンバイ ユニットに複製してください。システム ログ メッセージを調べ、フェールオーバーおよび PKI 関連のエラーがないかどうかを確認してください。