Syslog メッセージ 201002 ~ 219002

この章は、次の項で構成されています。

メッセージ 201002 ~ 210022

この章では、201002 から 210022 までのメッセージについて説明します。

201002

エラーメッセージ %ASA-3-201002: Too many TCP connections on {static|xlate} global_address ! econns nconns

説明指定されたグローバル アドレスへの TCP 接続が最大数を超えました。

  • econns:最大初期接続数
  • nconns:スタティックまたは xlate グローバル アドレスに許可される最大接続数

推奨アクション show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201003

エラーメッセージ %ASA-2-201003: Embryonic limit exceeded nconns/elimit for outside_address/outside_port (global_address ) inside_address /inside_port on interface interface_name

説明指定されたスタティック グローバル アドレスを持つ、指定された外部アドレスから指定されたローカル アドレスへの初期接続の数が初期接続の制限を超えました。Secure Firewall ASAへの初期接続の制限に達すると、Secure Firewall ASAは何としても受け入れようと試みますが、その接続に時間制限を課します。この状況により、たとえSecure Firewall ASAがビジー状態であっても、一部の接続が成功することがあります。このメッセージは、メッセージ 201002 より重大なオーバーロードを示しています。このオーバーロードは、SYN 攻撃、または正規のトラフィックの非常に重い負荷が原因で発生します。

  • nconns:受信した最大初期接続数
  • elimit:static コマンドまたは nat コマンドで指定された最大初期接続数

推奨アクション show static コマンドを使用して、スタティック アドレスへの初期接続に課されている制限を確認します。

201004

エラーメッセージ %ASA-3-201004: Too many UDP connections on {static|xlate} global_address!udp connections limit

説明指定されたグローバル アドレスへの UDP 接続が最大数を超えました。

  • udp conn limit:スタティック アドレスまたは変換に許可される UDP 接続の最大数

推奨アクション show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201005

エラーメッセージ %ASA-3-201005: FTP data connection failed for IP_address IP_address

説明 Secure Firewall ASA が、メモリ不足のため FTP のデータ接続を追跡するための構造を割り当てることができません。

推奨アクション メモリ使用量を減らすか、または増設メモリを購入します。

201006

エラーメッセージ %ASA-3-201006: RCMD backconnection failed for IP_address/port.

説明メモリ不足のため Secure Firewall ASArsh コマンドに対する着信標準出力のための接続を事前割り当てできません。

推奨アクション rsh クライアント バージョンを確認します。Secure Firewall ASA がサポートしているのは Berkeley rsh クライアント バージョンだけです。メモリ使用量を減らすか、または増設メモリを購入することもできます。

201008

エラーメッセージ %ASA-3-201008: Disallowing new connections.

説明 TCP システム ログ メッセージングをイネーブルにしても syslog サーバーに到達できないか、ASA syslog サーバー(PFSS)を使用しており Windows NT システムのディスクが満杯になっているか、自動アップデート タイムアウトが設定されており Auto Update Server に到達できません。

推奨アクション TCP Syslog メッセージングを無効にします。PFSS を使用している場合は、PFSS のある Windows NT システム上のスペースを解放します。さらに、syslog サーバーが動作しており、ASA コンソールからそのホストに ping できることを確認します。次に、TCP システム メッセージ ロギングを再開してトラフィックを許可します。Auto Update Server に一定期間アクセスしなかった場合、[no] auto-update timeout period コマンドを入力してパケットの送信が停止されるようにします。

201009

エラーメッセージ %ASA-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded

説明指定されたスタティック アドレスへの接続が最大数を超えました。

  • number:ホストに許可されている接続の最大数
  • IP_address:ホスト IP アドレス
  • interface_name:ホストの接続先インターフェイスの名前

推奨アクション show static コマンドおよび show nat コマンドを使用して、アドレスへの接続に課されている制限を確認します。制限は設定可能です。

201010

エラーメッセージ %ASA-6-201010: Embryonic connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name

説明 TCP 接続を確立しようとしたが、トラフィック クラスに対して set connection embryonic-conn-max MPC コマンドで設定されている初期接続の制限を超えたために失敗しました。

Cisco ASA のさまざまな管理インターフェイス、データインターフェイス、およびプロトコルへの異常な着信トラフィックの影響を軽減するために、インターフェイスにはデフォルトの初期制限 100 が設定されます。この syslog メッセージは、ASA インターフェイスへの初期接続数が 100 を超えると表示されます。このデフォルト値は変更または無効にできません。

  • econns:設定したトラフィック クラスに関連付けられている初期接続の現在の数
  • limit:設定した初期接続のトラフィック クラスの制限
  • dir:input(接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです)または output(接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです)
  • source_address/source_port:接続を開始しているパケットの送信元の実際の IP アドレスと送信元ポート
  • dest_address/dest_port:接続を開始しているパケットの宛先の実際の IP アドレスと宛先ポート
  • interface_name:ポリシー制限が強制されているインターフェイスの名前

推奨アクション必要なし。

201011

エラーメッセージ %ASA-3-201011: Connection limit exceeded cnt /limit for dir packet from sip /sport to dip /dport on interface if_name .

説明 Secure Firewall ASA 経由の新しい接続により、少なくとも 1 つの設定済み最大接続制限を超えました。このメッセージは、static コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、Secure Firewall ASA 経由の新しい接続は許可されません。

  • cnt:現在の接続数
  • limit:設定されている接続制限
  • dir:トラフィックの方向(着信または発信)
  • sip:送信元の実際の IP アドレス
  • sport:送信元ポート
  • dip:宛先の実際の IP アドレス
  • dport:宛先ポート
  • if_name:トラフィックを受信したインターフェイスの名前

推奨アクション必要なし。

201012

エラーメッセージ %ASA-6-201012: Per-client embryonic connection limit exceeded curr num /limit for [input|output] packet from IP_address / port to ip /port on interface interface_name

説明 TCP 接続を確立しようとしましたが、クライアントごとの初期接続制限を超えたために失敗しました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

  • curr num:現在の数
  • limit:設定されている制限
  • [input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット
  • IP_address:実際の IP アドレス
  • port:TCP ポートまたは UDP ポート
  • interface_name:ポリシーが適用されているインターフェイスの名前

推奨アクション制限に達すると、SYN フラッド アタックを防止するために、それ以降の接続要求はすべて Secure Firewall ASA によってプロキシされます。クライアントが 3 ウェイ ハンドシェイクを終了できる場合に限り、Secure Firewall ASAはサーバーに接続します。これは、通常、エンド ユーザーにもアプリケーションにも影響しません。ただし、正当に多数の初期接続を必要とするアプリケーションに問題が生じる場合は、set connection per-client-embryonic-max コマンドを入力して設定を調整できます。

201013

エラーメッセージ %ASA-3-201013: Per-client connection limit exceeded curr num /limit for [input|output] packet from ip /port to ip /port on interface interface_name

説明クライアントごとの接続制限を超えたため、接続が拒否されました。

  • curr num:現在の数
  • limit:設定されている制限
  • [input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット
  • ip:実際の IP アドレス
  • port:TCP ポートまたは UDP ポート
  • interface_name:ポリシーが適用されているインターフェイスの名前

推奨アクション制限に達すると、それ以降の接続要求はすべて警告なしで廃棄されます。通常は、アプリケーションで接続が再試行されるため、遅延が発生します。再試行がすべて失敗した場合にはタイムアウトも発生します。アプリケーションが正当に多数の同時接続を必要とする場合は、set connection per-client-max コマンドを入力して設定を調整できます。

202001

エラー メッセージ %ASA-3-202001: Out of address translation slots!

説明 ASA に使用可能なアドレス変換スロットがなくなりました。

推奨アクション グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または可能であれば増設メモリを購入します。

202005

エラー メッセージ %ASA-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port

説明 接続オブジェクト(xlate)が誤ったリストに入っています。

推奨アクション Cisco TAC にお問い合わせください。

202010

(フローあり)エラーメッセージ %ASA-3-202010: [NAT | PAT] pool exhausted in pool pool-name IP ip_address, port range [1-511 | 512-1023 | 1024-65535]. Unable to create protocol connection from in-interface :src-ip /src-port to out-interface :dst-ip /dst-port

(フローなし)エラーメッセージ %ASA-3-202010: [NAT | PAT] pool exhausted in pool pool-name IP ip_address. Unable to create connection.

説明

  • pool-name:NAT または PAT プール名。インターフェイス PAT またはマッピング IP が raw アドレスの場合、プール名は空の文字列("")としてログに記録されます。
  • protocol:接続を作成するために使用されるプロトコル
  • in-interface:入力インターフェイス
  • src-ip:送信元 IP アドレス
  • src-port:送信元ポート
  • out-interface:出力インターフェイス
  • dest-ip:宛先 IP アドレス
  • dst-port:宛先ポート

Secure Firewall ASA に使用可能なアドレス変換プールがなくなりました。

推奨アクション プール内のすべてのアドレスとポートを使い果たした原因を特定するには、show nat pool および show nat detail コマンドを使用します。これが通常の状態で発生している場合は、NAT/PAT プールに IP アドレスを追加します。

202016

エラーメッセージ %ASA-3-202016: "%d: Unable to pre-allocate SIP %s secondary channel for message" \ "from %s:%A/%d to %s:%A/%d with PAT and missing port information.\n"

説明

SIP アプリケーションによってメディア ポートが 0 に設定されている SDP ペイロードが生成された場合、そのような無効なポート要求に PAT xlate を割り当てて、この syslog を含むパケットを廃棄することはできません。

推奨アクションなし。これは、アプリケーション特有の問題です。

208005

エラーメッセージ %ASA-3-208005: (function:line_num) clear command return code

説明 Secure Firewall ASA が、フラッシュ メモリ内のコンフィギュレーションを消去しようとしたときに非ゼロ値(内部エラー)を受信しました。このメッセージには、報告サブルーチンのファイル名および行番号が含まれています。

推奨アクション パフォーマンス上の理由から、エンド ホストは IP フラグメントを投入しないように設定する必要があります。このコンフィギュレーションの変更は、NFS が原因と考えられます。読み取りサイズおよび書き込みサイズを NFS のインターフェイス MTU と等しく設定します。

209003

エラーメッセージ %ASA-4-209003: Fragment database limit of number exceeded: src = source_address , dest = dest_address , proto = protocol , id = number

説明現在リアセンブリを待っている IP フラグメントが多すぎます。デフォルトでは、フラグメントの最大数は 200 です(最大値を大きくするには、コマンド リファレンス ガイドの fragment size コマンドを参照してください)。Secure Firewall ASAは、同時にリアセンブリできる IP フラグメントの数を制限します。この制約により、異常なネットワーク条件下でSecure Firewall ASAのメモリが枯渇するのが防止されます。一般に、フラグメント化されたトラフィックは、混合トラフィック全体のわずかな割合に抑える必要があります。例外は、ほとんどがフラグメント化されたトラフィックである NFS over UDP のネットワーク環境の場合です。Secure Firewall ASAこのタイプのトラフィックが経由で中継される場合、その代わりに NFS over TCP の使用を検討します。フラグメント化を防ぐには、コマンド リファレンス ガイドの sysopt connection tcpmss bytes コマンドを参照してください。

推奨アクションこのメッセージが引き続き表示される場合は、DoS 攻撃(サービス拒絶攻撃)が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダにお問い合わせください。

209004

エラーメッセージ %ASA-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes : src = source_address , dest = dest_address , proto = protocol , id = number

説明 IP フラグメントの形式が誤っています。リアセンブリ済み IP パケットの合計サイズが、最大可能サイズの 65,535 バイトを超えています。

推奨アクション侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダにお問い合わせください。

209005

エラーメッセージ %ASA-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.

説明 Secure Firewall ASA は、24 よりも多くのフラグメントにフラグメント化されている IP パケットを拒否します。詳細については、コマンド リファレンス ガイドの fragment コマンドを参照してください。

推奨アクション侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダにお問い合わせください。fragment chain xxx interface_name コマンドを使用して、パケットあたりのフラグメントの数を変更できます。

209006

エラーメッセージ %ASA-4-209006: Fragment queue threshold exceeded, dropped protocol fragment from IP address/port to IP address/port on outside interface.

説明 Secure Firewall ASA は、フラグメントデータベースのしきい値(インターフェイスあたりのキューサイズの 2/3)を超過すると、フラグメントパケットをドロップします。

推奨アクション必要なし。

210001

エラーメッセージ %ASA-3-210001: LU sw_module_name error = number

説明ステートフル フェールオーバー エラーが発生しました。

推奨アクション Secure Firewall ASA 経由のトラフィックが減少した後もこのエラーが引き続き表示される場合は、Cisco TAC にこのエラーを報告してください。

210002

エラーメッセージ %ASA-3-210002: LU allocate block (bytes ) failed.

説明ステートフル フェールオーバーが、ステートフル情報をスタンバイ Secure Firewall ASA に送信するためのメモリのブロックを割り当てることができません。

推奨アクション show interface コマンドを使用してフェールオーバー インターフェイスを調べて、その送信が正常であることを確認します。さらに、show block コマンドを使用して、現在のブロック メモリを調べます。現在使用可能なカウントが 0 になっているメモリのブロックがあれば、Secure Firewall ASA ソフトウェアをリロードして失われたメモリのブロックを回復します。

210003

エラーメッセージ %ASA-3-210003: Unknown LU Object number

説明ステートフル フェールオーバーが、サポートされていない Logical Update オブジェクトを受信し、そのオブジェクトを処理できませんでした。これは、破損したメモリ、LAN 伝送、または他のイベントが原因となっている可能性があります。

推奨アクションこのエラーがまれにしか表示されない場合は、処置は不要です。このエラーが頻繁に発生する場合は、ステートフル フェールオーバー リンク LAN 接続を確認します。エラーが不適切なフェールオーバー リンク LAN 接続のためでない場合は、外部ユーザーが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。また、誤って設定したクライアントがないかどうかも確認します。

210005

エラーメッセージ %ASA-3-210005: LU allocate secondary (optional ) connection failed for protocol [TCP |UDP ] connection from ingress interface name :Real IP Address /Real Port to egress interface name :Real IP Address /Real Port

説明ステートフル フェールオーバーが新しい接続をスタンバイ装置に割り当てることができません。これは、Secure Firewall ASA内の利用可能な RAM メモリがほとんどないか、またはまったくないことが原因となっている可能性があります。これは、リソース制限または設定されたリソース使用制限に達したためにフロー作成が失敗した場合にも発生する可能性があります。


(注)  


syslog メッセージの secondary フィールドはオプションで、接続がセカンダリ接続の場合にのみ表示されます。

推奨アクション show memory コマンドを使用して Secure Firewall ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリをSecure Firewall ASAに追加します。show resource usage コマンドと show asp drop を使用してリソース制限を確認し、デバイスがリソース制限に達していないことを確認します。

210006

エラーメッセージ %ASA-3-210006: LU look NAT for IP_address failed

説明ステートフル フェールオーバーが、スタンバイ装置上で IP アドレス用の NAT グループを検出できませんでした。アクティブおよびスタンバイの Secure Firewall ASA が相互に同期していない可能性があります。

推奨アクション アクティブ装置で write standby コマンドを使用して、システム メモリをスタンバイ装置に同期させます。

210007

エラーメッセージ %ASA-3-210007: LU allocate xlate failed for type [static | dynamic ]-[NAT | PAT ] secondary(optional) protocol translation from ingress interface name :Real IP Address /real port (Mapped IP Address /Mapped Port ) to egress interface name :Real IP Address /Real Port (Mapped IP Address /Mapped Port )

説明ステートフル フェールオーバーが変換スロット レコードの割り当てに失敗しました。

推奨アクション show memory コマンドを使用して Secure Firewall ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。

210008

エラーメッセージ %ASA-3-210008: LU no xlate for inside_address /inside_port outside_address /outside_port

説明 Secure Firewall ASA でステートフル フェールオーバー接続の変換スロットレコードを検出できません。そのため、Secure Firewall ASA で接続情報を処理できません。

推奨アクション アクティブ装置で write standby コマンドを使用して、システム メモリをアクティブ装置とスタンバイ装置間で同期させます。

210010

エラーメッセージ %ASA-3-210010: LU make UDP connection for outside_address :outside_port inside_address :inside_port failed

説明ステートフル フェールオーバーが、UDP 接続に新しいレコードを割り当てることができませんでした。

推奨アクション show memory コマンドを使用して Secure Firewall ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。

210020

エラーメッセージ %ASA-3-210020: LU PAT port port reserve failed

説明ステートフル フェールオーバーが、使用中の特定の PAT アドレスを割り当てることができません。

推奨アクション アクティブ装置で write standby コマンドを使用して、システム メモリをアクティブ装置とスタンバイ装置間で同期させます。

210021

エラーメッセージ %ASA-3-210021: LU create static xlate global_address ifc interface_name failed

説明ステートフル フェールオーバーが変換スロットを作成できません。

推奨アクション アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。

210022

エラーメッセージ %ASA-6-210022: LU missed number updates

説明ステートフル フェールオーバーは、スタンバイ装置に送信された各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が最後にアップデートされたレコードと一致していない場合、その間の情報が失われたものと見なされ、その結果、このエラー メッセージが送信されます。

推奨アクション LAN の中断が発生しない場合、両方の Secure Firewall ASA 装置の利用可能なメモリをチェックして、ステートフル情報を処理するのに十分なメモリがあることを確認します。show failover コマンドを使用して、ステートフル情報のアップデートの品質をモニターします。

メッセージ 211001 ~ 219002

この章では、211001 から 219002 までのメッセージについて説明します。

211001

エラーメッセージ %ASA-3-211001: Memory allocation Error

説明 Secure Firewall ASA は RAM システム メモリの割り当てに失敗しました。

推奨アクションこのメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。

211003

エラーメッセージ %ASA-3-211003: Error in computed percentage CPU usage value

説明 CPU 使用率が 100 %を超えています。

推奨アクションこのメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。

211004

エラーメッセージ %ASA-1-211004: WARNING: Minimum Memory Requirement for ASA version ver not met for ASA image. min MB required, actual MB found.

説明 Secure Firewall ASA がこのバージョンの最小メモリ要件を満たしていません。

  • ver:実行イメージのバージョン番号
  • min:インストールされたイメージを実行するために必要な RAM の最小容量。
  • actual:現在システムに搭載されているメモリの量

推奨アクション必要量の RAM をインストールします。

212001

エラーメッセージ %ASA-3-212001: Unable to open SNMP channel (UDP port port ) on interface interface_number , error code = code

説明 Secure Firewall ASA は、このインターフェイス上にある SNMP 管理ステーションから Secure Firewall ASA 宛ての SNMP 要求を受信できません。任意のインターフェイス上で Secure Firewall ASA を通過する SNMP トラフィックは影響を受けません。エラー コードは次のとおりです。

  • エラー コード -1 は、Secure Firewall ASA がそのインターフェイスに対して SNMP トランスポートを開けないことを示します。このエラーは、SNMP がクエリーを受け入れるポートを別の機能ですでに使われているポートに変更しようとした場合に発生する可能性があります。この場合、SNMP が使用するポートは、着信 SNMP クエリー用のデフォルト ポート(UDP 161)にリセットされます。
  • エラー コード -2 は、Secure Firewall ASA がそのインターフェイスに対して SNMP トランスポートをバインドできないことを示します。

推奨アクション トラフィック量が少ないときに、Secure Firewall ASA がリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。

212002

エラーメッセージ %ASA-3-212002: Unable to open SNMP trap channel (UDP port port ) on interface interface_number , error code = code

説明 Secure Firewall ASA は、Secure Firewall ASA からこのインターフェイス上にある SNMP 管理ステーションに自分の SNMP トラップを送信できません。任意のインターフェイス上で Secure Firewall ASA を通過する SNMP トラフィックは影響を受けません。エラー コードは次のとおりです。

  • エラー コード -1 は、Secure Firewall ASA がそのインターフェイスに対して SNMP トラップ トランスポートを開けないことを示します。
  • エラー コード -2 は、Secure Firewall ASA がそのインターフェイスに対して SNMP トラップ トランスポートをバインドできないことを示します。
  • エラー コード -3 は、Secure Firewall ASA がトラップ チャネルを書き込み専用として設定できないことを示します。

推奨アクション トラフィック量が少ないときに、Secure Firewall ASA がリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。

212003

エラーメッセージ %ASA-3-212003: Unable to receive an SNMP request on interface interface_number , error code = code , will try again.

説明指定されたインターフェイス上で Secure Firewall ASA 宛ての SNMP 要求を受信する際に内部エラーが発生しました。エラー コードは次のとおりです。

  • エラー コード -1 は、Secure Firewall ASA がインターフェイスに対してサポートされているトランスポート タイプを検出できないことを示します。
  • エラー コード -5 は、Secure Firewall ASAがインターフェイスの UDP チャネルからデータを受信しなかったことを示します。
  • エラー コード -7 は、Secure Firewall ASAがサポートされているバッファ サイズを超える着信要求を受信したことを示します。
  • エラー コード -14 は、Secure Firewall ASA が UDP チャネルからの送信元 IP アドレスを判別できないことを示します。
  • エラー コード -22 は、Secure Firewall ASAが無効なパラメータを受信したことを示します。

推奨アクション必要なし。Secure Firewall ASA SNMP エージェントは元に戻って次の SNMP 要求を待ちます。

212004

エラーメッセージ %ASA-3-212004: Unable to send an SNMP response to IP Address IP_address Port port interface interface_number , error code = code

説明指定されたインターフェイス上の指定されたホストに Secure Firewall ASA から SNMP 応答を送信する際に内部エラーが発生しました。エラー コードは次のとおりです。

  • エラー コード -1 は、Secure Firewall ASA がインターフェイスに対してサポートされているトランスポート タイプを検出できないことを示します。
  • エラー コード -2 は、Secure Firewall ASAが無効なパラメータを送信したことを示します。
  • エラー コード -3 は、Secure Firewall ASAが UDP チャネルに宛先 IP アドレスを設定できなかったことを示します。
  • エラー コード -4 は、Secure Firewall ASAがサポートされている UDP セグメント サイズを超える PDU 長を送信したことを示します。
  • エラー コード -5 は、Secure Firewall ASAが PDU 構築用のシステム ブロックを割り当てることができなかったことを示します。

推奨アクション必要なし。

212005

エラーメッセージ %ASA-3-212005: incoming SNMP request (number bytes) on interface interface_name exceeds data buffer size, discarding this SNMP request.

説明 Secure Firewall ASA 宛ての着信 SNMP 要求の長さが、内部処理中に要求を格納するために使用される内部データ バッファのサイズ(512 バイト)を超えています。Secure Firewall ASAはこの要求を処理できません。任意のインターフェイス上で Secure Firewall ASA を通過する SNMP トラフィックは影響を受けません。

推奨アクション SNMP 管理ステーションに長さの短い要求を再送信させます。たとえば、1 つの要求で複数の MIB 変数にクエリーを実行するのではなく、1 つの要求で 1 つの MIB 変数だけにクエリーを実行するようにします。SNMP マネージャ ソフトウェアのコンフィギュレーションの修正が必要になる可能性もあります。

212006

エラーメッセージ %ASA-3-212006: Dropping SNMP request from src_addr /src_port to ifc :dst_addr /dst_port because: reason username

説明 Secure Firewall ASA が次の理由により自分宛ての SNMP 要求を処理できません。

  • user not found:ユーザー名がローカル SNMP ユーザー データベース内に見つかりません。
  • username exceeds maximum length:PDU に埋め込まれているユーザー名が SNMP RFC で許可されている最大長を超えています。
  • authentication algorithm failure:無効なパスワードにより認証が失敗したか、またはパケットが不適切なアルゴリズムで認証されました。
  • privacy algorithm failure:無効なパスワードによりプライバシー障害が発生したか、またはパケットが不適切なアルゴリズムで暗号化されました。
  • error decrypting request:ユーザー要求を復号化するプラットフォーム暗号モジュールでエラーが発生しました。
  • error encrypting response:ユーザー応答またはトラップ通知を暗号化するプラットフォーム暗号モジュールでエラーが発生しました。
  • engineBoots has reached maximum value:engineBoots 変数が最大許容値に達しました。詳細については、メッセージ 212011 を参照してください。

(注)  


上記の各理由の後にユーザー名が表示されます。

推奨アクション Secure Firewall ASA SNMP サーバー設定をチェックし、NMS コンフィギュレーションで想定どおりのユーザー、認証、および暗号化設定が使用されていることを確認します。プラットフォーム暗号モジュールのエラーを分離するには、show crypto accelerator statistics コマンドを入力します。

212009

Error Message %ASA-5-212009: Configuration request for SNMP group groupname failed. User username , reason .

説明ユーザーが SNMP サーバーのグループ コンフィギュレーションを変更しようとしました。グループを参照する 1 人または複数のユーザーの設定が不十分であるため、要求されたグループの変更に応じることができません。

  • groupname:グループ名を表す文字列
  • username:ユーザー名を表す文字列
  • reason:次のいずれかの原因を表す文字列

- missing auth-password:ユーザーがグループに認証を追加しようとしましたが、その際、認証パスワードを指定しませんでした。

- missing priv-password:ユーザーがグループにプライバシーを追加しようとしましたが、その際、暗号化パスワードを指定しませんでした。

- reference group intended for removal:ユーザーが、所属ユーザーが存在するグループを削除しようとしました。

推奨アクション ユーザーは、グループを変更したり、指摘されたユーザーを削除したりする前に、指摘されたユーザーのコンフィギュレーションをアップデートする必要があります。その後で、グループを変更し、ユーザーを追加し直します。

212010

エラーメッセージ %ASA-3-212010: Configuration request for SNMP user %s failed. Host %s reason .

説明ユーザーが SNMP サーバーのユーザー コンフィギュレーションを変更しようとしました。つまり、対象のユーザーを参照する 1 つまたは複数のホストを削除しようとしました。ホストごとに 1 つのメッセージが生成されます。

  • %s:ユーザー名またはホスト名を表す文字列
  • reason:次の原因を表す文字列

- references user intended for removal:ユーザー名がホストから削除されようとしました。

推奨アクション ユーザーは、ユーザーを変更したり、指摘されたホストを削除したりする前に、指摘されたホストのコンフィギュレーションをアップデートする必要があります。その後で、ユーザーを変更し、ホストを追加し直します。

212011

エラーメッセージ %ASA-3-212011: SNMP engineBoots is set to maximum value.Reason : %s User intervention necessary.

次に例を示します。


%ASA-3-212011: SNMP engineBoots is set to maximum value. Reason: error accessing persistent data. User intervention necessary.

説明デバイスが 214783647 回(engineBoots 変数の最大許容値)リブートされたか、またはフラッシュ メモリから固定値を読み取り中にエラーが発生しました。engineBoots 値は、フラッシュ メモリ内の flash:/snmp/ctx-name ファイルに格納されますここで、ctx-name はコンテキストの名前です。シングル モードの場合、このファイルの名前は flash:/snmp/single_vf です。マルチモードの場合、管理コンテキスト用のファイルの名前は flash:/snmp/admin です。リブート時にデバイスでファイルの読み書きができない場合、engineBoots 値は最大値に設定されます。

  • %s:engineBoots 値が最大許容値に設定されている原因を表す文字列。有効な 2 つの文字列は、「device reboots」と「error accessing persistent data」です。

推奨アクション 1 つ目の文字列の場合、管理者は、すべての SNMP バージョン 3 ユーザーを削除してから追加し直すことで、engineBoots 変数を 1 にリセットする必要があります。それ以降のすべてのバージョン 3 クエリーは、すべてのユーザーが削除されるまで失敗します。2 つ目の文字列の場合、管理者は、コンテキスト固有のファイルを削除し、すべての SNMP バージョン ユーザーを削除してから追加し直すことで、engineBoots 変数を 1 にリセットする必要があります。それ以降のすべてのバージョン 3 クエリーは、すべてのユーザーが削除されるまで失敗します。

212012

エラーメッセージ %ASA-3-212012: Unable to write SNMP engine data to persistent storage.

説明 SNMP エンジン データはファイル flash:/snmp/context-name に書き込まれます。たとえば、シングルモードでは、データは flash:/snmp/single_vf ファイルに書き込まれます。マルチモードの管理コンテキストでは、ファイルはディレクトリ flash:/snmp/admin に書き込まれます。flash:/snmp ディレクトリの作成または flash:/snmp/context-name ファイルの作成に失敗すると、エラーが発生する可能性があります。また、ファイルへの書き込みに失敗した場合も、エラーが発生する可能性があります。

推奨アクション システム管理者は、flash:/snmp/context-name ファイルを削除し、すべての SNMP バージョン 3 ユーザーを削除してから追加し直す必要があります。この手順により、flash:/snmp/context-name ファイルが再作成されるはずです。問題が解決しない場合、システム管理者はフラッシュの再フォーマットを試みる必要があります。

213001

エラー メッセージ %ASA-3-213001: PPTP control daemon socket io string , errno = number .

説明 内部 TCP ソケット I/O エラーが発生しました。

推奨アクション Cisco TAC にお問い合わせください。

213002

エラー メッセージ %ASA-3-213002: PPTP tunnel hashtable insert failed, peer = IP_address .

説明 新しい PPTP トンネルの作成中に、内部ソフトウェア エラーが発生しました。

推奨アクション Cisco TAC にお問い合わせください。

213003

エラー メッセージ %ASA-3-213003: PPP virtual interface interface_number isn't opened.

説明 PPP 仮想インターフェイスのクローズ中に、内部ソフトウェア エラーが発生しました。

推奨アクション Cisco TAC にお問い合わせください。

213004

エラー メッセージ %ASA-3-213004: PPP virtual interface interface_number client ip allocation failed.

説明 IP アドレスを PPTP クライアントに割り当てている間に、IP ローカル アドレス プールの枯渇により内部ソフトウェア エラーが発生しました。

推奨アクション ip local pool コマンドを使用して、より大きなプールを割り当てることを検討してください。

213005

エラー メッセージ %ASA-3-213005%: Dynamic-Access-Policy action (DAP) action aborted

説明 DAP は、ユーザーの認可権限およびリモート エンドポイント デバイスのポスチャ アセスメント結果に基づいて設定済みアクセス ポリシーを選択することにより、動的に作成されます。作成された動的ポリシーは、セッションを終了する必要があることを示しています。

推奨アクション必要なし。

213006

エラーメッセージ %ASA-3-213006: Unable to read dynamic access policy record.

説明 DAP ポリシー レコード データの取得でエラーが発生したか、またはアクションのコンフィギュレーションが欠落していました。

推奨アクション コンフィギュレーションの変更によって、DAP レコードが削除された可能性があります。ASDM を使用して、DAP レコードを再作成します。

213007

エラー メッセージ %ASA-4-213007: L2TP: Failed to install Redirect URL: redirect URL Redirect ACL: non_exist for assigned IP .

説明 リダイレクト URL をインストールし、ISE から ACL を受け取りましたが、ASA にリダイレクト ACL が存在しないため、L2TP 接続でエラーが発生しました。

  • redirect URL:HTTP トラフィック リダイレクションの URL
  • assigned IP:ユーザーに割り当てられる IP アドレス

推奨アクション ASA にリダイレクト ACL を設定します。

214001

Error Message %ASA-2-214001: Terminating manager session from IP_address on interface interface_name . Reason: incoming encrypted data (number bytes) longer than number bytes

説明 Secure Firewall ASA 管理ポート宛ての着信暗号化データ パケットは、指定された上限をパケット長が超えていることを示します。これは敵対イベントの場合があります。Secure Firewall ASAは、ただちにこの管理接続を終了します。

推奨アクション管理接続が Cisco Secure Policy Manager によって開始されたことを確認します。

215001

エラーメッセージ %ASA-2-215001:Bad route_compress() call, sdb = number

説明内部ソフトウェア エラーが発生しました。

推奨アクション Cisco TAC にお問い合わせください。

217001

エラーメッセージ %ASA-2-217001: No memory for string in string

説明メモリ不足が原因で動作が失敗しました。

推奨アクション十分なメモリが存在する場合は、エラー メッセージ、コンフィギュレーション、およびこのエラーの発端になったイベントの詳細を、Cisco TAC に送付してください。

216001

エラーメッセージ %ASA-n-216001: internal error in: function : message

説明正常動作中に発生してはならないさまざまな内部エラーが発生しました。シビラティ(重大度)は、メッセージの原因によって異なります。

  • n:メッセージのシビラティ(重大度)
  • function:影響を受けたコンポーネント
  • message:問題の原因を説明するメッセージ

推奨アクション Bug Toolkit で特定のテキスト メッセージを検索します。また、アウトプット インタープリタを使用して問題の解決を試みます。問題が解決しない場合、Cisco TAC にお問い合わせください。

216002

エラーメッセージ %ASA-3-216002: Unexpected event (major: major_id , minor: minor_id ) received by task_string in function at line: line_num

説明タスクがイベント通知に登録したが、そのタスクが特定のイベントを処理できません。監視できるイベントには、キュー、ブーリアン、タイマー サービスに関連付けられているイベントが含まれます。登録されているイベントのいずれかが発生した場合、スケジューラはタスクを再起動してイベントを処理します。このメッセージは、予期しないイベントがタスクを再起動したが、タスクがそのイベントの処理方法を認識していない場合に生成されます。

イベントが未処理のままになっている場合、そのイベントが頻繁にタスクを再起動して処理されていることを確認しますが、これは正常状態では発生してはならないことです。このメッセージが表示される場合、必ずしもデバイスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。

  • major_id:イベント識別子
  • minor_id:イベント識別子
  • task_string:タスクが自分自身を認識するために通過させたカスタム文字列
  • function:予期しないイベントを受信した機能
  • line_num:コード中の行番号

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

216003

エラーメッセージ %ASA-3-216003: Unrecognized timer timer_ptr , timer_id received by task_string in function at line: line_num

説明予期しないタイマー イベントがタスクを再起動したが、タスクがそのイベントの処理方法を認識していません。タスクは、一連のタイマー サービスをスケジューラに登録できます。タイマーのいずれかが期限満了になった場合、スケジューラはタスクを再起動してアクションを実行します。このメッセージは、認識できないタイマー イベントによってタスクが再起動された場合に生成されます。

期限満了になったタイマーは、タスクが未処理のままになっている場合、途切れることなくタスクを再起動して処理されていることを確認しますが、これは望ましいことではありません。これは正常状態では発生してはならないことです。このメッセージが表示される場合、必ずしもデバイスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。

  • timer_ptr:タイマーへのポインタ
  • timer_id:タイマー識別子
  • task_string:タスクが自分自身を認識するために通過させたカスタム文字列
  • function:予期しないイベントを受信した機能
  • line_num:コード中の行番号

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

216004

エラーメッセージ %ASA-4-216004:prevented: error in function at file (line ) - stack trace

説明内部ロジック エラーが発生しました。このエラーは、正常動作中に発生してはならないものです。

  • error:内部ロジック エラー。考えられるエラーは、次のとおりです。

- 例外

- ヌル ポインタの逆参照

- 範囲外の配列インデックス

- 無効なバッファ サイズ

- 入力からの書き込み

- 送信元と宛先の重複

- 無効な日付

- 配列インデックスからのアクセス オフセット

  • function:エラーを生成した呼び出し機能
  • file(line):エラーを生成したファイルと行番号
  • stack trace:完全なコール スタック トレースバック。呼び出し機能から開始します。たとえば、("0x001010a4 0x00304e58 0x00670060 0x00130b04") です。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

216005

エラーメッセージ %ASA-1-216005: ERROR: Duplex-mismatch on interface_name resulted in transmitter lockup. A soft reset of the switch was performed.

説明 ポート上のデュプレックスのミスマッチが原因で問題が発生し、ポートでパケットを転送できません。この状況が検出されたため、スイッチが自動回復するようにリセットされました。このメッセージは ASA 5505 にだけ適用されます。

  • interface_name:ロックされたインターフェイス名

推奨アクション 指定されたポートとそれに接続されている ASA 5505 との間にデュプレックスのミスマッチが存在します。両方のデバイスを自動回復に設定するか、または両方のデバイスでデュプレックスのミスマッチが同じになるようにハードコードすることで、デュプレックスのミスマッチを修正します。

218001

エラーメッセージ %ASA-2-218001: Failed Identification Test in slot# [fail #/res ].

説明 Secure Firewall ASAslot# のモジュールが、シスコ純正製品として識別できません。シスコの保証およびサポート プログラムは、シスコ純正製品だけに適用されます。シスコは、サポート問題の原因がシスコ製以外のメモリ、SSM モジュール、SSC モジュールなどのモジュールに関連していると判断した場合、現在の保証またはシスコ サポート プログラム(SmartNet など)の下でのサポートを拒否することがあります。

推奨アクションこのメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されたとおりに、メッセージをコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。

218002

エラーメッセージ %ASA-2-218002: Module (slot# ) is a registered proto-type for Cisco Lab use only, and not certified for live network operation.

説明指摘された場所のハードウェアが、シスコのラボで製造されたプロトタイプ モジュールです。

推奨アクションこのメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。

218003

エラーメッセージ %ASA-2-218003: Module Version in slot# is obsolete. The module in slot = slot# is obsolete and must be returned via RMA to Cisco Manufacturing. If it is a lab unit, it must be returned to Proto Services for upgrade.

説明古いハードウェアが検出されたか、show module コマンドがモジュールに対して実行されました。このメッセージは、最初に表示された後 1 分ごとに生成されます。

推奨アクションこのメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されたとおりに、メッセージをコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。

218004

エラーメッセージ %ASA-2-218004: Failed Identification Test in slot# [fail# /res ]

説明指定された場所のハードウェアを特定する際に問題が発生しました。

推奨アクションこのメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されたとおりに、メッセージをコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。

218005

エラーメッセージ %ASA-2-218005: Inconsistency detected in the system information programmed in non-volatile memory

説明不揮発性メモリにプログラムされたシステム情報が一貫していません。この syslog は、IDPROM の内容が ACT2 EEPROM の内容と一致しないことを Secure Firewall ASA が検出した場合にブートアップ中に生成されます。IDPROM と ACT2 EEPROM は製造時に全く同じ内容でプログラムされているため、この問題は製造時のエラーによるものか、または IDPROM の内容が改ざんされた場合に発生します。

推奨アクション メッセージが繰り返し表示される場合は、show tech-support コマンドの出力を収集し、Cisco TAC に連絡してください。

219002

エラーメッセージ %ASA-3-219002: I2C_API_name error, slot = slot_number , device = device_number , address = address , byte count = count . Reason: reason_string

説明ハードウェアまたはソフトウェアの問題が原因で I2C シリアル バス API が失敗しました。

  • I2C_API_name:失敗した I2C API。次のいずれかです。
    • I2C_read_byte_w_wait()
    • I2C_read_word_w_wait()
    • I2C_read_block_w_wait()
    • I2C_write_byte_w_wait()
    • I2C_write_word_w_wait()
    • I2C_write_block_w_wait()
    • I2C_read_byte_w_suspend()
    • I2C_read_word_w_suspend()
    • I2C_read_block_w_suspend()
    • I2C_write_byte_w_suspend()
    • I2C_write_word_w_suspend()
    • I2C_write_block_w_suspend()
  • slot_number:このメッセージを生成した I/O 動作が行われたスロットの番号(16 進数)。スロット番号は、シャーシ内のスロットとして一意でないことがあります。シャーシによっては、2 つの異なるスロットが同じ I2C スロット番号を持つことがあります。また、値は必ずしもスロット数以下ではありません。値は、I2C ハードウェアがどのように配線されているかによって異なります。
  • device_number:I/O 動作が行われたスロット上のデバイスの番号(16 進数)。
  • address:I/O 動作が行われたデバイスのアドレス(16 進数)。
  • byte_count:I/O 動作のバイト数(10 進数形式)。
  • error_string:エラーの原因。次のいずれかです。
    • I2C_BUS_TRANSACTION_ERROR
    • I2C_CHKSUM_ERROR
    • I2C_TIMEOUT_ERROR
    • I2C_BUS_COLLISION_ERROR
    • I2C_HOST_BUSY_ERROR
    • I2C_UNPOPULATED_ERROR
    • I2C_SMBUS_UNSUPPORT
    • I2C_BYTE_COUNT_ERROR
    • I2C_DATA_PTR_ERROR

推奨アクション次の手順を実行します。

  1. イベントに関連付けられているメッセージとエラーを記録して確認します。このメッセージが継続的に表示されず、数分後に表示されなくなる場合は、I2C シリアル バスのビジー状態が原因である可能性があります。
  2. Secure Firewall ASAで実行しているソフトウェアをリブートします。
  3. デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。
  4. 問題が解決しない場合、Cisco TAC にお問い合わせください。