Syslog メッセージ 400000 ~ 450001

この章は、次の項で構成されています。

メッセージ 400000 ~ 409128

この章では、400000 ~ 409128 のメッセージについて説明します。

4000nn

エラーメッセージ %ASA-4-4000nn: IPS:number string from IP_address to IP_address on interface interface_name

説明 メッセージ 400000 ~ 400051 は、Cisco Intrusion Prevention Service のシグニチャ メッセージです。

推奨アクション Cisco.com にある『Cisco Intrusion Prevention Service User Guide』を参照してください。

今回のリリースの ASA では、すべてのシグニチャ メッセージがサポートされているわけではありません。IPS メッセージは、すべて 4-4000nn で始まり、次の形式になります。

number

シグニチャ番号。詳細については、Cisco.com にある『Cisco Intrusion Prevention Service User Guide』を参照してください。

string

シグニチャ メッセージ(NetRanger シグニチャ メッセージとほぼ同じです)。

IP_address

シグニチャが適用されるローカル ツー リモート アドレス。

interface_name

シグニチャが基づくインターフェイスの名前。

次に例を示します。


%ASA-4-400013 IPS:2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
%ASA-4-400032 IPS:4051 UDP Snork attack from 10.1.1.1 to 192.168.1.1 on interface outside

次の表に、サポートされているシグニチャ メッセージを示します。

表 1. IPS Syslog メッセージ

メッセージ番号

シグニチャ ID

シグニチャ タイトル

シグニチャ タイプ

400000

1000

IP options-Bad Option List

情報

400001

1001

IP options-Record Packet Route

情報

400002

1002

IP options-Timestamp

情報

400003

1003

IP options-Security

情報

400004

1004

IP options-Loose Source Route

情報

400005

1005

IP options-SATNET ID

情報

400006

1006

IP options-Strict Source Route

情報

400007

1100

IP Fragment 攻撃

攻撃

400008

1102

IP Impossible Packet

攻撃

400009

1103

IP fragments overlap

攻撃

400010

2000

ICMP Echo Reply

情報

400011

2001

ICMP Host Unreachable

情報

400012

2002

ICMP Source Quench

情報

400013

2003

ICMP Redirect

情報

400014

2004

ICMP Echo Request

情報

400015

2005

ICMP Time Exceeded for a Datagram

情報

400016

2006

ICMP Parameter Problem on Datagram

情報

400017

2007

ICMP Timestamp Request

情報

400018

2008

ICMP Timestamp Reply

情報

400019

2009

ICMP Information Request

情報

400020

2010

ICMP Information Reply

情報

400021

2011

ICMP Address Mask Request

情報

400022

2012

ICMP Address Mask Reply

情報

400023

2150

Fragmented ICMP Traffic

攻撃

400024

2151

Large ICMP Traffic

攻撃

400025

2154

Ping of Death Attack

攻撃

400026

3040

TCP NULL flags

攻撃

400027

3041

TCP SYN+FIN flags

攻撃

400028

3042

TCP FIN only flags

攻撃

400029

3153

FTP Improper Address Specified

攻撃

400030

3154

FTP Improper Port Specified

攻撃

400031

4050

UDP Bomb attack

攻撃

400032

4051

UDP Snork attack

攻撃

400033

4052

UDP Chargen DoS attack

攻撃

400034

6050

DNS HINFO Request

情報

400035

6051

DNS Zone Transfer

情報

400036

6052

DNS Zone Transfer from High Port

情報

400037

6053

DNS Request for All Records

情報

400038

6100

RPC Port Registration

情報

400039

6101

RPC Port Unregistration

情報

400040

6102

RPC Dump

情報

400041

6103

Proxied RPC Request

攻撃

400042

6150

ypserv (YP server daemon) Portmap Request

情報

400043

6151

ypbind (YP bind daemon) Portmap Request

情報

400044

6152

yppasswdd (YP password daemon) Portmap Request

情報

400045

6153

ypupdated (YP update daemon) Portmap Request

情報

400046

6154

ypxfrd (YP transfer daemon) Portmap Request

情報

400047

6155

mountd (mount daemon) Portmap Request

情報

400048

6175

rexd (remote execution daemon) Portmap Request

情報

400049

6180

rexd (remote execution daemon) Attempt

情報

400050

6190

statd Buffer Overflow

攻撃

401001

エラーメッセージ %ASA-4-401001: Shuns cleared

説明メモリから既存の排除を削除するために clear shun コマンドが入力されました。組織によるシャニング アクティビティの記録が許可されました。

推奨アクション必要なし。

401002

エラーメッセージ %ASA-4-401002: Shun added: IP_address IP_address port port

説明 shun コマンドが入力されました。このコマンドの最初の IP アドレスは排除されたホストです。その他のアドレスとポートはオプションであり、有効な場合は接続を終了するのに使用されます。組織によるシャニング アクティビティの記録が許可されました。

推奨アクション必要なし。

401003

エラーメッセージ %ASA-4-401003: Shun deleted: IP_address

説明排除されたホストの 1 つが排除データベースから削除されました。組織によるシャニング アクティビティの記録が許可されました。

推奨アクション必要なし。

401004

エラーメッセージ %ASA-4-401004: Shunned packet: IP_address = IP_address on interface interface_name

説明 IP SRC によって定義されたホストは排除データベースのホストであるために、パケットが廃棄されました。排除されたホストは、そこで排除されたインターフェイスにトラフィックを渡すことはできません。たとえば、インターネット上の外部ホストは外部インターフェイス上で排除されます。排除されたホストのアクティビティの記録が提供されました。このメッセージとメッセージ %ASA-4-401005 を使用すると、このホストに関するリスクを詳しく見積もることができます。

推奨アクション必要なし。

401005

エラーメッセージ %ASA-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port

説明 Secure Firewall ASA のメモリが不足しています。排除が適用できません。

推奨アクション Cisco IPS は、引き続き、この規則を適用しようとします。メモリを再利用して排除を手動で再適用するか、または Cisco IPS によって排除が適用されるのを待機します。

402114

エラーメッセージ%ASA-4-402114: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP to local_IP with an invalid SPI.

  • >protocol:IPSec プロトコル
  • >spi:IPSec のセキュリティ パラメータ インデックス
  • seq_num>:IPSec シーケンス番号
  • remote_IP>:トンネルのリモート エンドポイントの IP アドレス
  • >username:IPSec トンネルに関連付けられているユーザー名
  • local_IP>:トンネルのローカル エンドポイントの IP アドレス

説明 SA データベースに存在しない SPI を指定している IPSec パケットを受信しました。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。また、IPSec ピアによって不正なパケットが送信されたことを示すこともあります。これも攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

推奨アクション ローカル SA が消去されたことを、ピアは認識していない可能性があります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に接続を再度確立することがあります。あるいは、問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合わせます。

402115

エラーメッセージ%ASA-4-402115: IPSEC: Received a packet from remote_IP to local_IP containing act_prot data instead of exp_prot data.

説明期待された ESP ヘッダーのない IPSec パケットを受信しました。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃を示している可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

  • remote_IP>:トンネルのリモート エンドポイントの IP アドレス
  • local_IP>:トンネルのローカル エンドポイントの IP アドレス
  • >act_prot:受信した IPSec プロトコル
  • >exp_prot:期待された IPSec プロトコル

推奨アクション ピアの管理者にお問い合わせください。

402116

エラーメッセージ %ASA-4-402116: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP . The decapsulated inner packet doesn’t match the negotiated policy in the SA. The packet specifies its destination as pkt_daddr , its source as pkt_saddr , and its protocol as pkt_prot . The SA specifies its local proxy as id_daddr /id_dmask /id_dprot /id_dport and its remote proxy as id_saddr /id_smask /id_sprot /id_sport .

説明カプセル化解除された IPSec パケットがネゴシエートされた ID と一致しません。ピアは、このセキュリティ アソシエーションを通じて他のトラフィックを送信中です。これは、ピアによるセキュリティ アソシエーション選択エラーが原因であるか、攻撃の一部の場合である可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

  • >protocol:IPSec プロトコル
  • >spi:IPSec のセキュリティ パラメータ インデックス
  • seq_num>:IPSec シーケンス番号
  • remote_IP>:トンネルのリモート エンドポイントの IP アドレス
  • >username:IPSec トンネルに関連付けられているユーザー名
  • local_IP>:トンネルのローカル エンドポイントの IP アドレス
  • pkt_daddr>:カプセル化解除されたパケットからの宛先アドレス
  • pkt_saddr>:カプセル化解除されたパケットからの送信元アドレス
  • pkt_prot>:カプセル化解除されたパケットからのトランスポート プロトコル
  • id_daddr>:ローカル プロキシ IP アドレス
  • id_dmask>:ローカル プロキシ IP サブネット マスク
  • id_dprot>:ローカル プロキシ トランスポート プロトコル
  • id_dport>:ローカル プロキシ ポート
  • id_saddr>:リモート プロキシ IP アドレス
  • id_smask>:リモート プロキシ IP サブネット マスク
  • id_sprot>:リモート プロキシ トランスポート プロトコル
  • id_sport>:リモート プロキシ ポート

推奨アクション ピアの管理者に問い合わせて、ポリシーの設定を比較します。

402117

エラーメッセージ %ASA-4-402117: IPSEC: Received a non-IPsec (protocol ) packet from remote_IP to local_IP .

説明受信パケットはクリプト マップ ACL と一致したが、IPSec でカプセル化されていません。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックだけを受信するようにファイアウォールを設定できます。IPSec 暗号化を行わずに Telnet を使用して、ポート 23 上で外部インターフェイスにアクセスしようとすると、このメッセージが表示されますが、ポート 23 以外の外部インターフェイスに対する Telnet またはトラフィックの場合は表示されません。このエラーは、攻撃を示すこともあります。このメッセージは、これらの条件以外では生成されません(たとえば、Secure Firewall ASA インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージ 710001、710002、および 710003 を参照してください。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

  • >protocol:IPSec プロトコル
  • remote_IP>:トンネルのリモート エンドポイントの IP アドレス
  • local_IP>:トンネルのローカル エンドポイントの IP アドレス

推奨アクション ピアの管理者に問い合わせて、ポリシーの設定を比較します。

402118

エラーメッセージ%ASA-4-402118: IPSEC: Received an protocol packet (SPI=spi , sequence number seq_num ) from remote_IP (username ) to local_IP containing an illegal IP fragment of length frag_len with offset frag_offset .

説明カプセル化解除された IPSec パケットに、128 バイト以下のオフセットの IP フラグメントが含まれていました。最新バージョンの IP RFC のセキュリティ アーキテクチャでは、リアセンブリ攻撃を防止するために最小 IP フラグメント オフセットを 128 バイトにすることを推奨しています。これは攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

  • >protocol:IPSec プロトコル
  • >spi:IPSec のセキュリティ パラメータ インデックス
  • seq_num>:IPSec シーケンス番号
  • remote_IP>:トンネルのリモート エンドポイントの IP アドレス
  • >username:IPSec トンネルに関連付けられているユーザー名
  • local_IP>:トンネルのローカル エンドポイントの IP アドレス
  • frag_len>:IP フラグメント長
  • frag_offset>:IP フラグメント オフセット(バイト)

推奨アクション リモート ピアの管理者に問い合わせて、ポリシーの設定を比較します。

402119

エラーメッセージ%ASA-4-402119: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP that failed anti-replay checking.

説明シーケンス番号が無効な IPSec パケットを受信しました。ピアは、以前に使用された可能性のあるシーケンス番号が含まれたパケットを送信中です。このメッセージは、受け入れ許容範囲外のシーケンス番号の IPSec パケットを受信したことを示します。このパケットは、可能性ある攻撃の一部として IPSec により廃棄されます。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

  • >protocol:IPSec プロトコル
  • >spi:IPSec のセキュリティ パラメータ インデックス
  • seq_num>:IPSec シーケンス番号
  • remote_IP>:トンネルのリモート エンドポイントの IP アドレス
  • >username:IPSec トンネルに関連付けられているユーザー名
  • local_IP>:トンネルのローカル エンドポイントの IP アドレス

推奨アクション ピアの管理者にお問い合わせください。

402120

エラーメッセージ %ASA-4-402120: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP that failed authentication.

説明 IPSec パケットを受信したが認証に失敗しました。パケットはドロップされます。パケットは中継中に破損したか、ピアが無効な IPSec パケットを送信している可能性があります。これらのパケットの多くを同じピアから受信した場合、攻撃を示している可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。

  • >protocol:IPSec プロトコル
  • >spi:IPSec のセキュリティ パラメータ インデックス
  • seq_num>:IPSec シーケンス番号
  • remote_IP>:トンネルのリモート エンドポイントの IP アドレス
  • >username:IPSec トンネルに関連付けられているユーザー名
  • local_IP>:トンネルのローカル エンドポイントの IP アドレス

推奨アクション受信したパケットの認証失敗が多い場合は、リモート ピアの管理者にお問い合わせください。

402121

エラーメッセージ %ASA-4-402121: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from peer_addr (username ) to lcl_addr that was dropped by IPsec (drop_reason ).

説明カプセル化解除する IPSec パケットを受信したが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、Secure Firewall ASA の設定または Secure Firewall ASA そのものに問題が存在する可能性があることを示しています。

  • >protocol:IPSec プロトコル
  • >spi:IPSec のセキュリティ パラメータ インデックス
  • seq_num>:IPSec シーケンス番号
  • peer_addr>:トンネルのリモート エンドポイントの IP アドレス
  • >username:IPSec トンネルに関連付けられているユーザー名
  • lcl_addr>:トンネルのローカル エンドポイントの IP アドレス
  • drop_reason>:パケットが廃棄された原因

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

402122

エラーメッセージ %ASA-4-402122: Received a cleartext packet from src_addr to dest_addr that was to be encapsulated in IPsec that was dropped by IPsec (drop_reason ).

説明 IPSec でカプセル化するパケットを受信しましたが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、Secure Firewall ASA の設定または Secure Firewall ASA そのものに問題が存在する可能性があることを示しています。

  • src_addr >:送信元 IP アドレス
  • dest_addr >:宛先 > IP アドレス
  • drop_reason>:パケットが廃棄された原因

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

402123

エラーメッセージ %ASA-4-402123: CRYPTO: The accel_type hardware accelerator encountered an error (code=error_string ) while executing crypto command command .

説明ハードウェア アクセラレータを使用した crypto コマンドの実行中にエラーが検出されました。アクセラレータの問題を示している可能性があります。このタイプのエラーは、さまざまな理由で発生します。このメッセージは、原因の判定に役立つように暗号アクセラレータ カウンタを補足します。

  • accel_type:ハードウェア アクセラレータ タイプ
  • >error_string:エラーのタイプを示すコード
  • command:エラーを生成した暗号コマンド

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

402124

エラーメッセージ %ASA-4-402124: CRYPTO: The ASA hardware accelerator encountered an error (Hardware error address, Core, Hardware error code, IstatReg, PciErrReg, CoreErrStat, CoreErrAddr, Doorbell Size, DoorBell Outstanding, SWReset).

説明暗号ハードウェア チップが重大エラーを報告しました。チップが動作不能であることを示します。このメッセージからの情報は、詳細を取り込み、問題をさらに分析できるようにします。この状態が検出されると、暗号チップがリセットされ、円滑にSecure Firewall ASA の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。このメッセージには、暗号ハードウェアに関連する次のようなさまざまなパラメータが含まれています。

  • HWErrAddr>:ハードウェア アドレス(暗号チップによって設定)
  • Core>:エラーが発生している暗号コア
  • HwErrCode>:ハードウェア エラー コード(暗号チップによって設定)
  • IstatReg>:割り込みステータス レジスタ(暗号チップによって設定)
  • PciErrReg>:PCI エラー レジスタ(暗号チップによって設定)
  • CoreErrStat>:コア エラー ステータス(暗号チップによって設定)
  • CoreErrAddr>:コア エラー アドレス(暗号チップによって設定)
  • Doorbell Size>:許可される暗号コマンドの最大数
  • DoorBell Outstanding>:処理待ちの暗号コマンド数
  • SWReset>:ブート後の暗号チップ リセット回数

(注)  


The %ASA-vpn-4-402124: CRYPTO: The ASA hardware accelerator encountered an error (HWErrAddr= 0x40EE9800, Core= 0, HwErrCode= 23, IstatReg= 0x8, PciErrReg= 0x0, CoreErrStat= 0x41, CoreErrAddr= 0x844E9800, Doorbell Size[0]= 2048, DoorBell Outstanding[0]= 0, Doorbell Size[1]= 0, DoorBell Outstanding[1]= 0, SWReset= 99) エラーメッセージは、AnyConnect の問題と、AnyConnect 3.1.x にアップグレードする回避策を示します。

推奨アクション メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。

402125

エラーメッセージ %ASA-4-402125: The ASA hardware accelerator ring timed out (parameters ).

説明 IPSEC の記述子リングまたは SSL/Admin の記述子リングが進行していないことを暗号ドライバが検出しました。つまり、暗号チップが機能していないと思われます。この状態が検出されると、暗号チップがリセットされ、円滑にSecure Firewall ASA の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。

  • >ring:IPSEC リングまたは Admin リング
  • parameters >:次のとおり。

- Desc>:記述子アドレス

- CtrlStat>:制御/ステータス値

- ResultP>:成功ポインタ

- ResultVal>:成功値

- Cmd>:暗号コマンド

- CmdSize>:コマンド サイズ

- Param>:コマンド パラメータ

- Dlen>:データ長

- DataP>:データ ポインタ

- CtxtP>:VPN コンテキスト ポインタ

- SWReset>:ブート後の暗号チップ リセット回数

推奨アクション メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。

402126

エラーメッセージ %ASA-4-402126: CRYPTO: The ASA created Crypto Archive File Archive Filename as a Soft Reset was necessary. Please forward this archived information to Cisco.

説明ハードウェア暗号チップで機能上の問題が検出されました(syslog メッセージ 402124 および 402125 を参照)。暗号の問題をさらにデバッグするために、現在の暗号ハードウェア環境(ハードウェア レジスタおよび暗号記述エントリ)を含む暗号アーカイブ ファイルが生成されます。ブート時に、フラッシュ ファイル システム上に crypto_archive ディレクトリが自動的に作成されました(事前に存在していなかった場合)。このディレクトリには、最大 2 つの暗号アーカイブ ファイルが存在できます。

  • >Archive Filename:暗号アーカイブ ファイルの名前。暗号アーカイブ ファイルの名前は crypto_arch_x.bin という形式です。ここで、x は 1 または 2 です。

推奨アクション暗号アーカイブ ファイルを Cisco TAC に転送し、さらなる分析を依頼してください。

402127

エラーメッセージ %ASA-4-402127: CRYPTO: The ASA is skipping the writing of latest Crypto Archive File as the maximum # of files, max_number, allowed have been written to archive_directory . Please archive & remove files from Archive Directory if you want more Crypto Archive Files saved.

説明ハードウェア暗号チップで機能上の問題が検出されました(メッセージ 4402124 および 4402125 を参照)。このメッセージは、最大数の暗号アーカイブ ファイルがすでに存在していたため、暗号アーカイブ ファイルが書き込まれなかったことを示しています。

  • max_number >:アーカイブ ディレクトリで許可されているファイルの最大数(現在は 2 に設定されています)
  • >archive_directory:アーカイブ ディレクトリの名前

推奨アクション以前に生成された暗号アーカイブ ファイルを Cisco TAC に転送します。以前に生成されたアーカイブ ファイルを削除して、別のアーカイブ ファイルを書き込むことができるようにします(必要であると思われる場合)。

402128

エラーメッセージ %ASA-5-402128: CRYPTO: An attempt to allocate a large memory block failed, size: size , limit: limit

説明 SSL 接続で許容量を超えるメモリの使用が試みられています。要求が拒否されました。

  • size:割り当てられようとしたメモリ ブロックのサイズ
  • limit:許容割り当てメモリの最大サイズ

推奨アクションこのメッセージが引き続き表示される場合は、SSL サービス拒絶攻撃が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダにお問い合わせください。

402129

エラーメッセージ %ASA-6-402129: CRYPTO: An attempt to release a DMA memory block failed, location: address

説明内部ソフトウェア エラーが発生しました。

  • address:解放されようとしたアドレス

推奨アクション Cisco TAC に連絡して、サポートを受けてください。

402130

エラーメッセージ %ASA-6-402130: CRYPTO: Received an ESP packet (SPI = xxxxxxxxxx, sequence number=xxxx) from 172.16.0.1 (user=user) to 192.168.0.2 with incorrect IPsec padding.

説明 Secure Firewall ASA の暗号ハードウェア アクセラレータで無効な埋め込みデータを含む IPSec パケットが検出されました。ATT VPN クライアントでは、IPSec パケットの埋め込みが不適切に行われる場合があります。

  • SPI:パケットに関連付けられている SPI

  • sequence number:パケットに関連付けられているシーケンス番号

  • user:ユーザー名文字列

  • padding:パケットからの埋め込みデータ

推奨アクションこのメッセージが不要であり、Secure Firewall ASA の問題が示されていない場合、ATT VPN クライアントを使用しているお客様は VPN クライアント ソフトウェアのアップグレードが必要になることがあります。

402131

エラーメッセージ %ASA-4-402131: CRYPTO: status changing the accel_instance hardware accelerator's configuration bias from old_config_bias to new_config_bias .

説明ハードウェア アクセラレーション設定が Secure Firewall ASA で変更されました。一部の Secure Firewall ASAプラットフォームには、複数のハードウェア アクセラレータがあります。ハードウェア アクセラレータの変更ごとに 1 件の syslog メッセージが生成されます。

  • status:success または failure を示します
  • accel_instance:ハードウェア アクセラレータのインスタンス
  • old_config_bias:古い設定
  • new_config_bias:新しい設定

推奨アクション設定を変更しようとしてアクセラレータのいずれかが失敗した場合は、ロギング情報を収集し、Cisco TAC に連絡してください。障害が発生した場合、ソフトウェアは、設定変更を複数回再試行します。再試行が失敗した場合、ソフトウェアは元の構成バイアスにフォールバックします。ハードウェア アクセラレータの再設定に複数回失敗する場合、ハードウェアの障害を示している可能性があります。

402140

エラーメッセージ %ASA-3-402140: CRYPTO: RSA key generation error: modulus len len

説明 RSA 公開キー ペアの生成時にエラーが発生しました。

  • len:ビット単位で示したプライム モジュラスの長さ

推奨アクション Cisco TAC に連絡して、サポートを受けてください。

402141

エラーメッセージ %ASA-3-402141: CRYPTO: Key zeroization error: key set type , reason reason

説明 RSA 公開キー ペアの生成時にエラーが発生しました。

  • type:次のいずれかのキー セット タイプ。DH、RSA、DSA、unknown
  • reason:予期しない暗号化セッション タイプ

推奨アクション Cisco TAC に連絡して、サポートを受けてください。

402142

エラーメッセージ %ASA-3-402142: CRYPTO: Bulk data op error: algorithm alg , mode mode

説明対称キー操作中にエラーが発生しました。

  • op:encryption または decryption のいずれかの操作
  • alg:次のいずれかの暗号化アルゴリズム。DES、3DES、AES、RC4
  • mode:次のいずれかのモード。CBC、CTR、CFB、ECB、stateful-RC4、stateless-RC4

推奨アクション Cisco TAC に連絡して、サポートを受けてください。

402143

エラーメッセージ %ASA-3-402143: CRYPTO: alg type key op

説明非対称キー操作中にエラーが発生しました。

  • alg:RSA または DSA のいずれかの暗号化アルゴリズム
  • type:public または private のいずれかのキー タイプ
  • op:encryption または decryption のいずれかの操作

推奨アクション Cisco TAC に連絡して、サポートを受けてください。

402144

エラーメッセージ %ASA-3-402144: CRYPTO: Digital signature error: signature algorithm sig , hash algorithm hash

説明デジタル署名の生成中にエラーが発生しました。

  • sig:RSA または DSA のいずれかの署名アルゴリズム
  • hash:次のいずれかのハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512

推奨アクション Cisco TAC に連絡して、サポートを受けてください。

402145

エラーメッセージ %ASA-3-402145: CRYPTO: Hash generation error: algorithm hash

説明ハッシュ生成エラーが発生しました。

  • hash:次のいずれかのハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512

推奨アクション Cisco TAC に連絡して、サポートを受けてください。

402146

エラーメッセージ %ASA-3-402146: CRYPTO: Keyed hash generation error: algorithm hash , key len len

説明キー付きハッシュ生成エラーが発生しました。

  • hash:次のいずれかのハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512
  • len:ビット単位のキーの長さ

推奨アクション Cisco TAC に連絡して、サポートを受けてください。

402147

エラーメッセージ %ASA-3-402147: CRYPTO: HMAC generation error: algorithm alg

説明 HMAC の生成エラーが発生しました。

  • alg:次のいずれかの HMAC アルゴリズム。HMAC-MD5、HMAC-SHA1、HMAC-SHA2、AES-XCBC

推奨アクション Cisco TAC に連絡して、サポートを受けてください。

402148

エラーメッセージ %ASA-3-402148: CRYPTO: Random Number Generator error

説明乱数ジェネレータ エラーが発生しました。

推奨アクション Cisco TAC に連絡して、サポートを受けてください。

402149

エラーメッセージ %ASA-3-402149: CRYPTO: weak encryption type (length ). Operation disallowed. Not FIPS 140-2 compliant

説明 Secure Firewall ASA は、2048 ビット未満の RSA キーまたは DH グループ 1、2、または 5 を使用しようとしました。

  • encryption type:暗号化タイプ
  • length:RSA キー長または DH グループ番号

推奨アクション少なくとも 2048 ビットの RSA キーを使用するように Secure Firewall ASA または外部アプリケーションを設定するか、1、2、または 5 以外の DH グループを設定します。

402150

エラーメッセージ %ASA-3-402150: CRYPTO: Deprecated hash algorithm used for RSA operation (hash alg ). Operation disallowed. Not FIPS 140-2 compliant

説明デジタル証明書の署名または FIPS 140-2 認定の検証に、許容できないハッシュ アルゴリズムが使用されています。

  • operation:署名または検証
  • hash alg:許容できないハッシュ アルゴリズムの名前

推奨アクション デジタル証明書の署名または FIPS 140-2 認定の検証に、最小限の許容可能なハッシュ アルゴリズムを使用していることを確認します。SHA-256、SHA-384、および SHA-512 が含まれます。

403101

エラー メッセージ %ASA-4-403101: PPTP session state not established, but received an XGRE packet, tunnel_id=number , session_id=number

説明 ASA が、対応する制御接続セッションのない PPTP XGRE パケットを受信しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

403102

エラー メッセージ %ASA-4-403102: PPP virtual interface interface_name rcvd pkt with invalid protocol: protocol , reason: reason .

説明 プロトコル フィールドが無効な XGRE カプセル化 PPP パケットをモジュールが受信しました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

403103

エラー メッセージ %ASA-4-403103: PPP virtual interface max connections reached.

説明 モジュールは、追加の PPTP 接続を受け入れることはできません。接続は有効になるとすぐに割り当てられます。

推奨アクション必要なし。

403104

エラー メッセージ %ASA-4-403104: PPP virtual interface interface_name requires mschap for MPPE.

説明 MPPE は設定されていましたが、MS-CHAP 認証が設定されていませんでした。

推奨アクション vpdn group group_name ppp authentication コマンドを使って、MS-CHAP 認証を追加します。

403106

エラー メッセージ %ASA-4-403106: PPP virtual interface interface_name requires RADIUS for MPPE.

説明 MPPE は設定されていましたが、RADIUS 認証が設定されていませんでした。

推奨アクション vpdn group group_name ppp authentication コマンドを使って、RADIUS 認証を追加します。

403107

エラー メッセージ %ASA-4-403107: PPP virtual interface interface_name missing aaa server group info

説明 AAA サーバー設定情報を検出できません。

推奨アクション vpdn group group_name client authentication aaa aaa_server_group コマンドを使って、AAA サーバー情報を追加します。

403108

エラー メッセージ %ASA-4-403108: PPP virtual interface interface_name missing client ip address option

説明 クライアント IP アドレス プール情報が不足しています。

推奨アクション vpdn group group_name client configuration address local address_pool_name コマンドを使い、IP アドレス プール情報を追加します。

403109

エラーメッセージ %ASA-4-403109: Rec'd packet not an PPTP packet. (ip ) dest_address=dest_address, src_addr= source_address, data: string.

説明 モジュールは敵対イベントを示す可能性があるスプーフィングされた PPTP パケットを受信しました。

推奨アクション ピアの管理者に問い合わせて、PPTP コンフィギュレーション設定を確認します。

403110

エラー メッセージ %ASA-4-403110: PPP virtual interface interface_name , user: user missing MPPE key from aaa server.

説明 AAA サーバーは、MPPE 暗号化ポリシーのセットアップに必要な MPPE キー属性を返しませんでした。

推奨アクション AAA サーバー設定を確認しますAAA サーバーが MPPE キー属性を返せない場合は、代わりに vpdn group group_name client authentication local コマンドを入力してローカル認証を使用します。

403500

エラーメッセージ %ASA-6-403500: PPPoE - Service name 'any' not received in PADO. Intf:interface_name AC:ac_name .

説明 Secure Firewall ASA が、インターネット サービス プロバイダのアクセス コントローラからの PPPoE サービス any を要求しました。サービス プロバイダからの応答には他のサービスが含まれていますが、サービス any は含まれていません。これは、プロトコルの実装の不一致です。PADO パケットは正常に処理されて、接続ネゴシエーションが続行されます。

推奨アクション必要なし。

403501

エラーメッセージ %ASA-3-403501: PPPoE - Bad host-unique in PADO - packet dropped. Intf:interface_name AC:ac_name

説明 Secure Firewall ASA は、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。Secure Firewall ASA はこの応答に対応する接続要求を識別できませんでした。パケットは廃棄され、接続ネゴシエーションは切断されました。

推奨アクション インターネット サービス プロバイダにお問い合わせください。サービス プロバイダのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。

403502

エラーメッセージ %ASA-3-403502: PPPoE - Bad host-unique in PADS - dropping packet. Intf:interface_name AC:ac_name

説明 Secure Firewall ASA は、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。Secure Firewall ASA はこの応答に対応する接続要求を識別できませんでした。パケットは廃棄され、接続ネゴシエーションは切断されました。

推奨アクション インターネット サービス プロバイダにお問い合わせください。サービス プロバイダのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。

403503

エラーメッセージ %ASA-3-403503: PPPoE:PPP link down:reason

説明 PPP リンクがダウンしました。これが発生する原因は数多くあります。最初の形式に表示される理由は、PPP からの理由の場合です。

推奨アクション ネットワーク リンクを調べて、リンクが接続されていることを確認します。アクセス コンセントレータがダウンしていることがあります。認証プロトコルがアクセス コンセントレータと一致し、名前とパスワードが正しいことを確認します。ISP またはネットワーク サポート担当者にこの情報を確認します。

403504

エラーメッセージ %ASA-3-403504: PPPoE:No 'vpdn group group_name ' for PPPoE is created

説明 PPPoE では、PPPoE セッションを開始する前に、ダイヤルアウト コンフィギュレーションが必要です。一般的にコンフィギュレーションでは、ダイヤル ポリシー、PPP 認証、ユーザー名、およびパスワードを指定する必要があります。次の例では、Secure Firewall ASAを PPPoE ダイヤルアウト用に設定します。my-username コマンドおよび my-password コマンドは、必要であれば PAP を使用して、アクセス コンセントレータの認証に使用されます。

次に例を示します。


ciscoASA# vpdn group my-pppoe request dialout pppoe
ciscoASA# vpdn group my-pppoe ppp authentication pap
ciscoASA# vpdn group my-pppoe localname my-username
ciscoASA# vpdn username my-username password my-password
ciscoASA# ip address outside pppoe setroute

推奨アクション PPPoE に VPDN グループを設定します。

403505

エラーメッセージ %ASA-4-403505: PPPoE:PPP - Unable to set default route to IP_address at interface_name

説明通常、このメッセージには「default route already exists」というメッセージが続きます。

推奨アクション現行のデフォルト ルートを削除するか、または setroute パラメータを削除して、PPPoE と手動で設定したルートが競合しないようにします。

403506

エラーメッセージ %ASA-4-403506: PPPoE:failed to assign PPP IP_address netmask netmask at interface_name

説明このメッセージには、「subnet is the same as interface」または「on failover channel」というメッセージのいずれかが続きます。

推奨アクション最初の場合は、競合の原因となったアドレスを変更します。2 番目の場合は、フェールオーバー インターフェイス以外のインターフェイスに PPPoE を設定します。

403507

エラーメッセージ %ASA-3-403507: PPPoE:PPPoE client on interface interface failed to locate PPPoE vpdn group group_name

説明 pppoe client vpdn group group_name コマンドを入力して、インターフェイス上の PPPoE クライアントが特定の VPDN グループを使用するように設定できます。システムの起動時に、設定した名前の PPPoE VPDN グループが見つからなかった場合、このメッセージが生成されます。

  • interface:どのインターフェイス上の PPPoE クライアントに障害が発生したか
  • group_name:インターフェイス上の PPPoe クライアントの VPDN グループ名

推奨アクション次の手順を実行します。

  1. vpdn group group_name コマンドを入力して、必要な VPDN グループを追加します。グローバル コンフィギュレーション モードでダイヤルアウト PPPoE を要求し、すべてのグループ プロパティを追加します。
  2. 指摘されたインターフェイスから pppoe client vpdn group group_name コマンドを削除します。この場合、PPPoE クライアントは、定義済みの最初の PPPoE VPDN グループを使用しようとします。

(注)  


すべての変更内容は、ip address pppoe コマンドを入力してインターフェイス上の PPPoE クライアントを再起動した後に限り有効になります。

405001

エラーメッセージ %ASA-4-405001: Received ARP {request | response} collision from IP_address /MAC_address on interface interface_name with existing ARP entry IP_address /MAC_address

説明 Secure Firewall ASA が ARP パケットを受信しましたが、パケットの MAC アドレスが ARP キャッシュ エントリと異なっています。

推奨アクションこのトラフィックは、正当である場合もあれば、ARP ポイズニング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。

405002

エラーメッセージ %ASA-4-405002: Received mac mismatch collision from IP_address /MAC_address for authenticated host

説明このパケットは、次のどちらかの条件の場合に表示されます。

  • Secure Firewall ASAは IP アドレスが同じだが、MAC アドレスがその uauth エントリの 1 つとは異なるパケットを受信しました。
  • Secure Firewall ASAvpnclient mac-exempt コマンドを設定しました。除外 MAC アドレスを持つが、対応する uauth エントリとは異なる IP アドレスを持つパケットが Secure Firewall ASA によって受信されました。

推奨アクションこのトラフィックは、正当である場合もあれば、スプーフィング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスと IP アドレスを確認してパケットの送信元と、そのパケットが有効なホストに属しているかどうかを調べます。

405003

エラーメッセージ %ASA-4-405003: IP address collision detected between host IP_address at MAC_address and interface interface_name , MAC_address .

説明ネットワーク内のクライアントの IP アドレスが Secure Firewall ASA インターフェイス IP アドレスと同じです。

推奨アクション クライアントの IP アドレスを変更します。

405101

エラーメッセージ %ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/outside_port ] to local_address inside_address [/inside_port ]

説明モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨アクションこのメッセージが定期的に表示される場合は、無視できます。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。

405102

エラーメッセージ %ASA-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address [/outside_port ] to local_address inside_address [/inside_port ]

説明 Secure Firewall ASA が、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。

推奨アクション グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。また、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが定期的に表示される場合は、無視できます。問題が解決しない場合、Cisco TAC にお問い合わせください。

405103

エラーメッセージ %ASA-4-405103: H225 message from source_address/source_port to dest_address /dest_port contains bad protocol discriminator hex

説明 Secure Firewall ASA はプロトコル識別子 0x08 を予測していますが、0x08 以外の識別子を受信しました。エンドポイントから不良パケットが送信されているか、または最初のセグメント以外のメッセージ セグメントを受信した可能性があります。パケットの通過は許可されます。

推奨アクション 必要なし。

405104

エラーメッセージ %ASA-4-405104: H225 message received from outside_address /outside_port to inside_address /inside_port before SETUP

説明初期 SETUP メッセージの前に H.225 メッセージを正しくない順序で受信しました。これは許可されません。Secure Firewall ASA は、その H.225 コール シグナリング チャネルに関する初期 SETUP メッセージを受信してから、他のすべての H.225 メッセージを受信する必要があります。

推奨アクション必要なし。

405105

エラーメッセージ %ASA-4-405105: H323 RAS message AdmissionConfirm received from source_address /source_port to dest_address /dest_port without an AdmissionRequest

説明ゲートキーパーから ACF が送信されましたが、Secure Firewall ASA はゲートキーパーに ARQ を送信していません。

推奨アクション指摘された source_address のゲートキーパーを確認して、Secure Firewall ASA から ARQ を受信していないのに ACF が送信された理由を判定します。

405106

エラー メッセージ %ASA-4-405106: H323 num channel is not created from %I/%d to %I/%d %s

説明 ASA が H.323 メディアタイプ チャネルに関して一致条件を作成しようとしました。詳細については、match media-type コマンドを参照してください。

推奨アクション必要なし。

405107

エラー メッセージ %ASA-4-405107: H245 Tunnel is detected and connection dropped from %I/%d to %I/%d %s

説明 コール セットアップ中に試行された H.245 トンネル制御のために、H.323 接続が廃棄されました。詳細については、h245-tunnel-block コマンドを参照してください。

推奨アクション必要なし。

405201

エラー メッセージ %ASA-4-405201: ILS ILS_message_type from inside_interface:source_IP_address to outside_interface:/destination_IP_address has wrong embedded address embedded_IP_address

説明 ILS パケット ペイロードに埋め込まれたアドレスが、IP パケット ヘッダーの送信元 IP アドレスと異なっていました。

推奨アクション source_IP_address で指摘されたホストを確認して、誤った埋め込み IP アドレスで ILS パケットが送信された理由を判定します。

405300

エラー メッセージ %ASA-4-405300: Radius Accounting Request received from from_addr is not allowed

説明 ポリシー マップに設定されていないホストからのアカウンティング要求を受け取りました。このメッセージがログに記録され、処理が停止します。

  • from_addr:要求を送信しているホストの IP アドレス

推奨アクション ホストが RADIUS アカウンティング メッセージを ASA に送信するように設定されている場合は、サービス ポリシーに適用された正しいポリシー マップにホストが設定されていることを確認します。ホストが RADIUS アカウンティング メッセージを ASA に送信するように設定されていない場合は、メッセージが送信されている原因を確認します。メッセージが正当でない場合は、適切な ACL を作成してパケットを廃棄します。

405301

エラー メッセージ %ASA-4-405301: Attribute attribute_number does not match for user user_ip

説明 validate-attribute コマンドが入力された場合に、受信したアカウンティング要求開始に格納されている属性値が、エントリ(存在する場合)に格納されている属性値と一致しません。

  • attribute_number:RADIUS アカウンティングで検証される RADIUS 属性。値の範囲は 1 ~ 191 です。ベンダー固有の属性はサポートされていません。
  • user_ip:ユーザーの IP アドレス(Framed IP 属性)。

推奨アクション必要なし。

406001

エラーメッセージ %ASA-4-406001: FTP port command low port: IP_address /port to IP_address on interface interface_name

説明クライアントが FTP ポート コマンドを入力して、1024(通常はサーバー ポート専用の周知のポート範囲にある)より小さなポート番号を指定しました。これは、サイト セキュリティ ポリシーを回避しようとしていることを示します。Secure Firewall ASAは、パケットの廃棄、接続の終了、およびイベントの記録を行います。

推奨アクション必要なし。

406002

エラーメッセージ %ASA-4-406002: FTP port command different address: IP_address(IP_address ) to IP_address on interface interface_name

説明クライアントが FTP ポート コマンドを実行して、接続に使用されているアドレス以外のアドレスを指定しました。サイト セキュリティ ポリシーを回避しようとする試みが発生しました。たとえば、攻撃者が途中でパケットを変更し、正しいソース情報の代わりに別のソース情報を設定して FTP セッションをハイジャックしようとしている場合があります。Secure Firewall ASAは、パケットの廃棄、接続の終了、およびイベントの記録を行います。カッコ内のアドレスは、ポート コマンドからのアドレスです。

推奨アクション必要なし。

407001

エラーメッセージ %ASA-4-407001: Deny traffic for local-host interface_name :inside_address , license limit of number exceeded

説明ホスト制限を超えました。次のどちらかの条件に当てはまる場合、内部ホストは制限にカウントされます。

  • 内部ホストは、この 5 分以内に、Secure Firewall ASA経由でトラフィックを転送しました。
  • 内部ホストは、Secure Firewall ASA で、xlate 接続またはユーザー認証を予約しました。

推奨アクション ホスト制限はローエンド プラットフォームに適用されます。ホスト制限を表示するには、show version コマンドを使用します。Secure Firewall ASA でのセッションを持つ現在のアクティブ ホストと内部ユーザーを表示するには、show local-host コマンドを使用します。1 つまたは複数のユーザーを強制的に切断するには、clear local-host コマンドを使用します。内部ユーザーを制限になる前に期限切れにするには、xlate、接続、および uauth タイムアウトを次の表に示す推奨値以下に設定します。

表 2. タイムアウトおよび推奨値

タイムアウト

推奨値

xlate

00:05:00(5 分)

conn

00:01:00(1 時間)

uauth

00:05:00(5 分)

407002

エラーメッセージ %ASA-4-407002: Embryonic limit nconns /elimit for through connections exceeded.outside_address /outside_port to global_address (inside_address )/inside_port on interface interface_name

説明指摘されたグローバル アドレスを経由して、指摘された外部アドレスから指摘されたローカル アドレスに接続された数が、そのスタティックの最大初期制限を超えました。Secure Firewall ASA は、接続にメモリが割り当て可能な場合は、その接続を受け入れようとします。ローカル ホストに代わってプロキシ ホストとなり、SYN_ACK パケットを外部ホストに送信します。Secure Firewall ASAは、該当する状態情報を保持し、パケットを廃棄して、クライアントからの ACK を待ちます。このメッセージは、正当なトラフィックを示す場合もあれば、DoS 攻撃が進行中であることを示す場合もあります。

推奨アクション送信元アドレスを調べてパケットの送信元を判別し、それを有効なホストが送信しているかどうかを確認します。

407003

エラーメッセージ %ASA-4-407003: Established limit for RPC services exceeded number

説明 Secure Firewall ASA は、最大ホール数に達した後、すでに設定されている RPC サーバー ペアまたは RPC サービス ペアに対して、新規のホールをオープンしようとしました。

推奨アクション他のホールがクローズされるのを待機するか(関連タイムアウト有効期限を使用)、またはサーバーまたはサービスのアクティブ ペア数を制限します。

408001

エラーメッセージ %ASA-4-408001: IP route counter negative - reason , IP_address Attempt: number

説明 IP ルート カウンタを負の値に減少しようとしましたが失敗しました。

推奨アクション clear ip route コマンドを入力して、ルート カウンタをリセットします。問題が解決しない場合、Cisco TAC にお問い合わせください。

408002

エラーメッセージ %ASA-4-408002: ospf process id route type update address1 netmask1 [distance1/metric1 ] via source IP :interface1 address2 netmask2 [distance2 /metric2 ] interface2

説明既存のルートよりも適切なメトリックを持つ同じ距離の別のインターフェイスからネットワーク アップデートを受信しました。新規のルートによって、別のインターフェイスを使用してインストールされた既存のルートが上書きされます。新規のルートは冗長目的に限り使用され、ネットワーク内でパスが移動されたことを意味します。この変更は、トポロジと再配布を使用して制御する必要があります。この変更の影響を受ける既存の接続は、ディセーブルにされる可能性があり、タイムアウトになります。このパスの移動は、パス冗長をサポートするようにネットワーク トポロジが特に設計されている場合(このケースが予測されます)に限り発生します。

推奨アクション 必要なし。

408003

エラーメッセージ %ASA-4-408003: can't track this type of object hex

説明トラッキング システムのコンポーネントが、サポートしていないオブジェクト タイプを検出しました。STATE オブジェクトが予期されていました。

  • hex:メモリ内の変数値またはアドレスを示す 16 進値

推奨アクション トラック オブジェクトを再設定して、STATE オブジェクトにします。

408101

エラーメッセージ %ASA-4-408101: KEYMAN : Type encrption_type encryption unknown. Interpreting keystring as literal.

説明 フォーマットタイプがシステムによって認識されませんでした。キー文字列形式タイプ値 0(暗号化されていないキー文字列)または 7(隠しキー文字列)の後にスペースを続けたものが、形式を示すために実際のキー文字列の前に置かれている可能性があります。システムは未知のタイプ値も受け付けますが、その場合は、暗号化されないキー文字列と見なされます。

推奨アクション 正しい形式のタイプ値を使用するか、タイプ値の後ろのスペースを削除します。

408102

エラーメッセージ %ASA-4-408102: KEYMAN : Bad encrypted keystring for key id key_id.

説明 暗号化されたキー文字列を正しく復号化できませんでした。システム設定時にキー文字列が破損した可能性があります。

推奨アクション key-string コマンドを再入力して、キー文字列をもう一度設定します。

409001

エラーメッセージ %ASA-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls

説明ソフトウェアによって、予想外の状態が検出されました。ルータによって修正処置が行われ、続行されます。

推奨アクション必要なし。

409002

エラーメッセージ %ASA-4-409002: db_free: external LSA IP_address netmask

説明内部ソフトウェア エラーが発生しました。

推奨アクション 必要なし。

409003

エラーメッセージ %ASA-4-409003: Received invalid packet: reason from IP_address , interface_name

説明無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、送信側の誤った OSPF コンフィギュレーションか内部エラーの可能性があります。

推奨アクション受信側の OSPF コンフィギュレーションと送信側のコンフィギュレーションに不整合がないかを確認します。

409004

エラーメッセージ %ASA-4-409004: Received reason from unknown neighbor IP_address

説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できません。

推奨アクション 必要なし。

409005

エラーメッセージ %ASA-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name

説明 Secure Firewall ASA は、正常なヘッダー サイズよりも短いフィールド長の OSPF パケット、または到着した IP パケットのサイズと一致しない OSPF パケットを受信しました。これは、パケットの送信側のコンフィギュレーション エラーを示しています。

推奨アクション隣接アドレスから、問題のルータを特定しリブートします。

409006

エラーメッセージ %ASA-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name

説明 LSA タイプが無効の LSA をルータが受信しました。原因は、ルータ上のメモリの破損または予想外の動作のどちらかです。

推奨アクション隣接アドレスから、問題のルータを特定しリブートします。問題が解決しない場合、Cisco TAC にお問い合わせください。

409007

エラーメッセージ %ASA-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask

説明内部ソフトウェア エラーが発生しました。

推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

409008

エラーメッセージ %ASA-4-409008: Found generating default LSA with non-zero mask LSA type: number Mask: netmask metric: number area: string

説明ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーが発生したためにメトリックが間違っている可能性があります。

推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

409009

エラーメッセージ %ASA-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID

説明 OSPF は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして、失敗しました。

推奨アクション IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、各プロセスは一意のルータ ID を必要とします。十分な数のインターフェイスを動作させて、各プロセスがルータ ID を取得できるようにする必要があります。

409010

エラーメッセージ %ASA-4-409010: Virtual link information found in non-backbone area: string

説明内部エラーが発生しました。

推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。

409011

エラーメッセージ %ASA-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。

推奨アクション OSPF ルータ ID を一意にしてください。隣接ルータのルータ ID を変更します。

409012

エラーメッセージ %ASA-4-409012: Detected router with duplicate router ID IP_address in area string

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。

推奨アクション OSPF ルータ ID を一意にしてください。隣接ルータのルータ ID を変更します。

409013

エラーメッセージ %ASA-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。

推奨アクション OSPF ルータ ID を一意にしてください。隣接ルータのルータ ID を変更します。

409014

エラーメッセージ %ASA-4-409014: No valid authentication send key is available on interface nameif.

説明 インターフェイスで設定されている認証キーが無効です。

推奨アクション 新しいキーを設定します。

409015

エラーメッセージ %ASA-4-409015: Key ID key-id received on interface nameif.

説明 設定されたキーチェーンで ID が見つかりません。

推奨アクション キー ID を使用して新しいセキュリティ アソシエーションを設定します。

409016

エラーメッセージ %ASA-4-409016: Key chain name key-chain-name on nameif is invalid.

説明 OSPF インターフェイスで設定されているキーチェーン名がグローバルキーチェーン設定と一致しません。

推奨アクション設定を修正します。OSPF 認証コマンドを削除するか、グローバル コンフィギュレーション モードでキーチェーンを設定してください。

409017

エラーメッセージ %ASA-4-409017: Key ID key-id in key chain key-chain-name is invalid.

説明 キーチェーンで設定されているキー ID が OSPF の範囲外です。これは、OSPF に関して許容されない範囲のキー ID 値をキーチェーンが許可するために発生する可能性があります。

推奨アクション 1 ~ 255 の範囲内のキー ID を使用して新しいセキュリティ アソシエーションを設定します。

409023

エラーメッセージ %ASA-4-409023: Attempting AAA Fallback method method_name for request_type request for user user :Auth-server group server_tag unreachable

説明外部サーバーに対する認証または認可の試行が失敗し、ローカル ユーザー データベースを使用して実行されます。

  • aaa_operation:認証または許可
  • username:接続に関連付けられているユーザー
  • server_group:サーバーが到達不能であった AAA サーバーの名前

推奨アクション最初の方法で設定された AAA サーバーの接続性の問題を調査します。Secure Firewall ASAから認証サーバに対して ping を実行します。AAA サーバーでデーモンが動作中であることを確認します。

409101

エラーメッセージ %ASA-4-409101: Received invalid packet: s from P , s

説明無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、OSPF の設定間違い、または送信側の内部エラーです。

推奨アクション受信側と送信側の OSPF 設定に不整合がないかどうかを確認してください。

409102

エラーメッセージ %ASA-4-409102: Received packet with incorrect area from P , s , area AREA_ID_STR , packet area AREA_ID_STR

説明 OSPF パケットがこのインターフェイスの領域に一致しないエリア ID をヘッダーに受信しました。

推奨アクション受信側と送信側の OSPF 設定に不整合がないかどうかを確認してください。

409103

エラーメッセージ %ASA-4-409103: Received s from unknown neighbor i

説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できませんでした。

推奨アクション必要なし。

409104

エラーメッセージ %ASA-4-409104: Invalid length d in OSPF packet type d from P (ID i ), s

説明 OSPF パケットを受信しましたが、長さフィールドが通常のヘッダー サイズよりも短かったか、または受信時の IP パケットのサイズと整合性がありませんでした。パケットの送信側でエラーが発生しました。

推奨アクション 必要なし。

409105

エラーメッセージ %ASA-4-409105: Invalid lsa: s : Type 0x x , Length 0x x , LSID u from i

説明ルータで LSA を受信しましたが、データが無効です。この LSA には、無効な LSA タイプ、不正なチェックサム、または誤った長さが含まれています。これはメモリの破損またはルータでの予期しない動作によるものです。

推奨アクション隣接アドレスから、問題のルータを特定し、以下を実行します。

  • show running-config コマンドを入力して、ルータの実行コンフィギュレーションを収集します。
  • show ipv6 ospf database コマンドを入力し、エラーの内容を特定できるデータを収集します。
  • show ipv6 ospf database link-state-id コマンドを入力します。link-state-id 引数には無効な LSA の IP アドレスを指定します。
  • show logging コマンドを実行し、エラーの特定に役立つ情報を収集します。
  • ルータを再起動します。

収集された情報からエラーの特定ができない場合は、Cisco TAC に連絡して、収集した情報を提出してください。

409106

エラーメッセージ %ASA-4-409106: Found generating default LSA with non-zero mask LSA type: 0x x Mask: i metric: lu area: AREA_ID_STR

説明ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーのためにメトリックが間違っている可能性があります。

推奨アクション 必要なし。

409107

エラーメッセージ %ASA-4-409107: OSPFv3 process d could not pick a router-id, please configure manually

説明 OSPFv3 は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして、失敗しました。

推奨アクション IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、各プロセスは一意のルータ ID を必要とします。十分な数量のインターフェイスを稼働状態にして、それぞれがルータ ID を得られるようにします。

409108

エラーメッセージ %ASA-4-409108: Virtual link information found in non-backbone area: AREA_ID_STR

説明内部エラーが発生しました。

推奨アクション 必要なし。

409109

エラーメッセージ %ASA-4-409109: OSPF detected duplicate router-id i from P on interface IF_NAME

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。OSPF ルータ ID は一意である必要があります。

推奨アクション ネイバー ルータ ID を変更します。

409110

エラーメッセージ %ASA-4-409110: Detected router with duplicate router ID i in area AREA_ID_STR

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。OSPF ルータ ID は一意である必要があります。

推奨アクション ネイバー ルータ ID を変更します。

409111

エラーメッセージ %ASA-4-409111: Multiple interfaces (IF_NAME /IF_NAME ) on a single link detected.

説明同じリンク上の複数のインターフェイスで OSPFv3 をイネーブルにすることはサポートされていません。

推奨アクション OSPFv3 は、1 本を除いたすべてのインターフェイスでディセーブルにするか、パッシブにする必要があります。

409112

エラーメッセージ %ASA-4-409112: Packet not written to the output queue

説明内部エラーが発生しました。

推奨アクション 必要なし。

409113

エラーメッセージ %ASA-4-409113: Doubly linked list linkage is NULL

説明内部エラーが発生しました。

推奨アクション必要なし。

409114

エラーメッセージ %ASA-4-409114: Doubly linked list prev linkage is NULL x

説明内部エラーが発生しました。

推奨アクション必要なし。

409115

エラーメッセージ %ASA-4-409115: Unrecognized timer d in OSPF s

説明内部エラーが発生しました。

推奨アクション 必要なし。

409116

エラーメッセージ %ASA-4-409116: Error for timer d in OSPF process s

説明内部エラーが発生しました。

推奨アクション 必要なし。

409117

エラーメッセージ %ASA-4-409117: Can't find LSA database type x , area AREA_ID_STR , interface x

説明内部エラーが発生しました。

推奨アクション必要なし。

409118

エラーメッセージ %ASA-4-409118: Could not allocate DBD packet

説明内部エラーが発生しました。

推奨アクション必要なし。

409119

エラーメッセージ %ASA-4-409119: Invalid build flag x for LSA i , type 0x x

説明内部エラーが発生しました。

推奨アクション必要なし。

409120

エラーメッセージ %ASA-4-409120: Router-ID i is in use by ospf process d

説明 Secure Firewall ASA が別のプロセスで使用中のルータ ID を割り当てようとしました。

推奨アクション 1 つのプロセスに対して別のルータ ID を設定します。

409121

エラーメッセージ %ASA-4-409121: Router is currently an ASBR while having only one area which is a stub area

説明 ASBR は AS External または NSSA LSA を伝送できる領域に接続する必要があります。

推奨アクション ルータの接続先となる領域を NSSA または通常の領域にします。

409122

エラーメッセージ %ASA-4-409122: Could not select a global IPv6 address. Virtual links require at least one global IPv6 address.

説明仮想リンクが設定されました。仮想リンクが機能するためには、グローバル IPv6 アドレスが使用可能である必要があります。しかし、グローバル IPv6 アドレスがルータ上に見つかりませんでした。

推奨アクションこのルータのインターフェイス上でグローバル IPv6 アドレスを設定します。

409123

エラーメッセージ %ASA-4-409123: Neighbor command allowed only on NBMA networks

説明 neighbor コマンドは NBMA ネットワークでのみ使用できます。

推奨アクション neighbor コマンドの設定オプションを確認し、ネイバー インターフェイスのオプションまたはネットワーク タイプを修正します。

409125

エラーメッセージ %ASA-4-409125: Can not use configured neighbor: poll and priority options are allowed only for a NBMA network

説明設定されたネイバーは、ポイントツーマルチポイント ネットワークで検出され、poll オプションまたは priority オプションが設定されました。これらのオプションは、NBMA タイプのネットワークにのみ使用できます。

推奨アクション neighbor コマンドの設定オプションを確認し、ネイバー インターフェイスのオプションまたはネットワーク タイプを修正します。

409128

エラーメッセージ %ASA-4-409128: OSPFv3-d Area AREA_ID_STR : Router i originating invalid type 0x x LSA, ID u , Metric d on Link ID d Link Type d

説明このメッセージに示されたルータから無効なメトリックの LSA が送信されています。これがルータ LSA であり、リンク メトリックがゼロの場合、ネットワーク上にルーティング ループとトラフィック損失が存在する危険性があります。

推奨アクション報告された LSA を送信したルータに、当該 LSA タイプおよびリンク タイプに有効なメトリックを設定します。

メッセージ 410001 ~ 450001

この章では、410001 から 450001 までのメッセージについて説明します。

410001

エラーメッセージ %ASA-4-410001: UDP DNS request from source_interface :source_address /source_port to dest_interface :dest_address /dest_port ; (label length | domain-name length)number bytes exceeds remaining packet length of 63 bytes.

説明 ラベルの長さが UDP DNS パケットのバイト数を超えています。詳細については、RFC 1035 の 2.3.4 項を参照してください。。

推奨アクション ラベル長を超えるパケットを許可するには、ポリシーマップの作成後、カスタム DNS クラスマップを追加してトラフィックを照合し、インスペクションから除外します。

410002

エラーメッセージ %ASA-2-410002: Dropped num DNS responses with mis-matched id in the past sec second(s): from src_ifc :sip /sport to dest_ifc :dip /dport

説明 ASA が、ミスマッチの DNS 識別子を持つ過剰な数の DNS 応答を検出しました。ミスマッチの DNS 識別子の比率が高い場合は、キャッシュに対する攻撃を示している可能性があります。しきい値は、id-mismatch DNS ポリシー マップ パラメータ サブモード コマンドで設定します。

  • numid-mismatch コマンドによって設定されている ID ミスマッチ インスタンスの数
  • secid-mismatch コマンドによって設定されている期間(秒単位)
  • src_ifc:ミスマッチの DNS 識別子を持つ DNS メッセージが受信された送信元インターフェイス名
  • sip:送信元 IP アドレス
  • sport:送信元ポート
  • dest_ifc:宛先インターフェイス名
  • dip:宛先 IP アドレス
  • dport:宛先ポート

推奨アクション メッセージで IP アドレスとポートを確認し、攻撃元をトレースします。その攻撃元からのトラフィックを永続的にブロックするように ACL を設定できます。

410003

エラーメッセージ %ASA-4-410003: action_class : action DNS query_response from src_ifc :sip /sport to dest_ifc :dip /dport ; further_info

説明 DNS メッセージに対して DNS 分類が実施され、指定の基準が満たされました。結果として、設定されたアクションが実行されます。

  • action_class:DNS 分類アクション クラス
  • action:実行されるアクション(Dropped、Dropped (no TSIG)、または Masked header flags for)
  • query_response:クエリまたは応答のいずれか
  • src_ifc:送信元インターフェイス名
  • sip:送信元 IP アドレス
  • sport:送信元ポート
  • dest_ifc:宛先インターフェイス名
  • dip:宛先 IP アドレス
  • dport:宛先ポート
  • further_info:matched Class id: class_name、matched Class id: match_command(スタンドアロンの match コマンドの場合)、TSIG resource record not present(tsig enforced コマンドによって生成されたメッセージの場合)のいずれか

推奨アクション必要なし。

410004

エラーメッセージ %ASA-6-410004: action_class : action DNS query_response from src_ifc :sip /sport to dest_ifc :dip /dport ; further_info

説明 DNS メッセージに対して DNS 分類が実施され、指定の基準が満たされました。

  • action_class:DNS 分類アクション クラス
  • action:実行されるアクション(Received または Received (no TSIG))
  • query_response:クエリまたは応答のいずれか
  • src_ifc:送信元インターフェイス名
  • sip:送信元 IP アドレス
  • sport:送信元ポート
  • dest_ifc:宛先インターフェイス名
  • dip:宛先 IP アドレス
  • dport:宛先ポート
  • further_info:matched Class id: class_name、matched Class id: match_command(スタンドアロンの match コマンドの場合)、TSIG resource record not present(tsig enforced コマンドによって生成されたメッセージの場合)のいずれか

推奨アクション必要なし。

411001

エラーメッセージ %ASA-4-411001: Line protocol on interface interface_name changed state to up

説明ライン プロトコルのステータスが、ダウンからアップに変更されました。interface_name が論理インターフェイス名(inside および outside など)の場合、このメッセージは、論理インターフェイス回線プロトコルが down から up に変化したことを示します。interface_name が物理インターフェイス名(Ethernet0 および GigabitEthernet0/1 など)の場合、このメッセージは、物理インターフェイス回線プロトコルが down から up に変化したことを示します。

推奨アクション 必要なし。

411002

エラーメッセージ %ASA-4-411002:Line protocol on interface interface_name changed state to down

説明ライン プロトコルのステータスが、アップからダウンに変更されました。interface_name が論理インターフェイス名(inside および outside など)の場合、このメッセージは、論理インターフェイス回線プロトコルが up から down に変化したことを示します。この場合、物理インターフェイス回線プロトコルのステータスは影響を受けません。interface_name が物理インターフェイス名(Ethernet0 および GigabitEthernet0/1 など)の場合、このメッセージは、物理インターフェイス回線プロトコルが up から down に変化したことを示します。

推奨アクションこれがインターフェイス上の予期しないイベントの場合、物理回線を確認します。

411003

エラーメッセージ %ASA-4-411003: Configuration status on interface interface_name changed state to downup

説明インターフェイスのコンフィギュレーション ステータスが、ダウンからアップに変更されました。

推奨アクションこれが予期しないイベントの場合は、物理回線を確認します。

411004

エラーメッセージ %ASA-4-411004: Configuration status on interface interface_name changed state to up

説明インターフェイスのコンフィギュレーション ステータスが、ダウンからアップに変更されました。

推奨アクション 必要なし。

411005

エラーメッセージ %ASA-4-411005: Interface variable 1 experienced a hardware transmit hang. The interface has been reset.

説明インターフェイスでハードウェア送信フリーズが発生しました。フル動作にインターフェイスを復元するには、イーサネット コントローラのリセットが必要です。

  • variable 1:GigabitEthernet0/0 などのインターフェイス名

推奨アクション必要なし。

412001

エラーメッセージ %ASA-4-412001:MAC MAC_address moved from interface_1 to interface_2

説明あるモジュール インターフェイスから別のモジュール インターフェイスへのホスト移動が検出されました。透過Secure Firewall ASAでは、ホスト(MAC)とSecure Firewall ASA ポートの間のマッピングはレイヤ 2 転送テーブルに保持されています。このテーブルでは、パケットの送信元 MAC アドレスが 1 つの Secure Firewall ASAポートにダイナミックにバインドされます。このプロセスでは、インターフェイス間でのホストの移動が検出されると常に、このメッセージが生成されます。

推奨アクション ホストの移動は、有効である場合もあれば、他のインターフェイス上のホスト MAC をスプーフィングしようとしている場合もあります。MAC スプーフィングの場合は、ネットワーク上の脆弱なホストを特定して削除するか、またはスタティック MAC エントリ(MAC アドレスおよびポート バインディングは変更できない)を設定します。ホストが正規に移動されている場合は、対処は不要です。

412002

エラーメッセージ %ASA-4-412002:Detected bridge table full while inserting MAC MAC_address on interface interface . Number of entries = num

説明ブリッジ テーブルがいっぱいの場合に、さらに 1 つエントリを追加しようとしました。Secure Firewall ASAは、コンテキストごとに別個のレイヤ 2 転送テーブルを保持しており、コンテキストがサイズ制限を超えると常にこのメッセージが生成されます。MAC アドレスは追加されますが、テーブル内の最も古い既存のダイナミック エントリ(有効な場合)が置換されます。攻撃が行われようとした可能性があります。

推奨アクション新規ブリッジ テーブル エントリが有効であることを確認します。攻撃の場合には、EtherType ACL を使用して脆弱なホストへのアクセスを制御します。

413001

エラーメッセージ %ASA-4-413001: Module module_id is not able to shut down. Module Error: errnum message

説明 module_id で識別されるモジュールは、Secure Firewall ASA システム モジュールからのシャットダウンの要求に応じることができませんでした。ソフトウェア アップグレードのような中断できないタスクを実行していることがあります。errnum および message テキストに、モジュールをシャットダウンできなかった理由と推奨される修正処置が記載されています。

推奨アクション モジュール上のタスクが完了するのを待ってからモジュールをシャットダウンするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールのシャットダウンを妨げているタスクを停止します。

413002

エラーメッセージ %ASA-4-413002: Module module_id is not able to reload. Module Error: errnum message

説明 module_id で識別されるモジュールは、Secure Firewall ASA モジュールからのリロードの要求に応じることができませんでした。ソフトウェア アップグレードのような中断できないタスクを実行していることがあります。errnum および message テキストに、モジュールをリロードできなかった理由と推奨される修正処置が記載されています。

推奨アクション モジュールのタスクが完了するのを待ってからモジュールをリロードするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールのリロードを妨げているタスクを停止します。

413003

エラーメッセージ %ASA-4-413003: Module string one is not a recognized type

説明有効なモジュール タイプとして認識されないモジュールが検出されました。

推奨アクション インストールされているモジュール タイプをサポートする Secure Firewall ASA ソフトウェアのバージョンにアップグレードします。

413004

エラーメッセージ %ASA-4-413004: Module string one failed to write software newver (currently ver ), reason . Trying again.

説明モジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュール ソフトウェアのアップデートがさらに試行されます。

  • >string one:モジュールを示すテキスト文字列
  • >newver:モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)
  • >ver:モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)
  • >reason:新しいバージョンがモジュールに書き込みできなかった原因。>reason に考えられる値は、次のとおりです。

- write failure

- failed to create a thread to write the image

推奨アクション必要なし。その後の試行で、アップデートの成功または失敗を示すメッセージが生成されます。その後のアップデート試行後の UP へのモジュール遷移を確認するには、show module コマンドを使用します。

413005

エラーメッセージ %ASA-4-413005: Module module_id , application is not supported app_name version app_vers type app_type

エラーメッセージ %ASA-4-413005: Module prod_id in slot slot_num , application is not supported app_name version app_vers type app_type

説明スロット slot_num に設置されているモジュールが、サポートされていないアプリケーション バージョンまたはアプリケーション タイプを実行していました。

  • module_id:ソフトウェア サービス モジュールの名前
  • prod_id:製品 ID 文字列
  • slot_num:モジュールが搭載されているスロット番号。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。
  • app_name:アプリケーション名(文字列)
  • app_vers:アプリケーションのバージョン(文字列)
  • app_type:アプリケーションのタイプ(10 進数)

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

413006

エラーメッセージ %ASA-4-413006: prod-id Module software version mismatch; slot slot is prod-id version running-vers . Slot slot prod-id requires required-vers .

説明スロット slot のモジュール上で動作しているソフトウェアのバージョンが、別のモジュールから要求されたバージョンではありませんでした。

  • slot:スロット 0 はシステムのメイン ボードを示します。スロット 1 は拡張スロットに設置されているモジュールを示す。
  • prod_id:スロット slot に設置されているデバイスの製品 ID 文字列
  • running_vers:スロット slot に設置されているモジュール上で現在動作しているソフトウェアのバージョン
  • required_vers:スロット slot のモジュールから要求されたソフトウェアのバージョン

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

413007

エラーメッセージ %ASA-1-413007: An unsupported ASA and IPS configuration is installed.mpc_description with ips_description is not supported.

説明 サポートされていない Secure Firewall ASA および IPS の設定が、スロット 1 の IPS SSP のセットアップ中に検出されました。Secure Firewall ASA は、サポートされない設定で正常に機能し続けます。

  • mpc_description:ASA モデルの説明文字列。ASA5585-SSP-10、ASA5585-SSP-20、ASA5585-SSP-40、ASA5585-SSP-60、ASA5585-SSP-10-K7、ASA5585-SSP-20-K7、ASA5585-SSP-40-K7、ASA5585-SSP-60-K7 のいずれか。
  • ips_description:IPS SSP モデルの説明文字列。ASA5585-SSP-IPS10、ASA5585-SSP-IPS20、ASA5585-SSP-IPS40、ASA5585-SSP-IPS60、ASA5585-SSP-P10K7、ASA5585-SSP-P20K7、ASA5585-SSP-P40K7、ASA5585-SSP-P60K7 のいずれか。

推奨アクション 必要なし。

413008

エラーメッセージ % ASA-1-413008: An unsupported combination of the power supply module and the fan module is detected. Two power supply modules are recommended when using ASA 10G and IPS 10G SSPs simultaneously

説明 ASA 10G SSP と IPS 10G SSP が搭載されていますが、1 台の電源装置と 1 台のファン モジュールのみが挿入されています。

推奨アクション ASA 10G SSP と IPS 10G SSP を使用する場合は、1 台のファン モジュールと 1 台の電源モジュールの代わりに、2 台の電源装置を挿入します。

414001

エラーメッセージ %ASA-3-414001: Failed to save logging buffer using file name filename to FTP server ftp_server_address on interface interface_name : [fail_reason ]

説明ロギング モジュールによる外部 FTP サーバーへのロギング バッファの保存が失敗しました。

推奨アクション失敗した原因に基づいて適切な処置を行います。

  • プロトコル エラー:FTP サーバーと Secure Firewall ASA との間の接続に問題がなく、FTP サーバーが FTP PORT コマンドと PUT 要求を受け入れることができることを確認します。
  • 無効なユーザー名またはパスワード:設定された FTP クライアント ユーザー名およびパスワードが正しいことを確認します。
  • 他のエラーすべて:問題が解決しない場合、Cisco TAC にお問い合わせください。

414002

エラーメッセージ %ASA-3-414002: Failed to save logging buffer to flash:/syslog directory using file name: filename : [fail_reason ]

説明ロギング モジュールによるシステム フラッシュへのロギング バッファの保存が失敗しました。

推奨アクション十分な領域がないために失敗した場合は、フラッシュの空き領域をチェックして、logging flash-size コマンドの設定制限が正しく設定されていることを確認します。エラーが、フラッシュ ファイル システムの I/O エラーの場合は、Cisco TAC に問い合わせてサポートを受けてください。

414003

エラーメッセージ %ASA-3-414003: TCP Syslog Server intf : IP_Address /port not responding. New connections are [permitted|denied] based on logging permit-hostdown policy.

説明リモート ホスト ロギング用の TCP syslog サーバーが正常であり、サーバーに接続され、新しい接続は logging permit-hostdown ポリシーに基づいて許可または拒否されます。logging permit-hostdown ポリシーが設定されている場合、新しい接続は許可されます。設定されていない場合、新しい接続は拒否されます。

  • intf:サーバーが接続されている Secure Firewall ASA のインターフェイス
  • IP_Address:リモート TCP syslog サーバーの IP アドレス
  • port:リモート TCP syslog サーバーのポート

推奨アクション設定されている TCP syslog サーバーが動作していることを確認します。新しい接続を許可するには、logging permit-hostdown ポリシーを設定します。新しい接続を拒否するには、logging permit-hostdown ポリシーを設定しません。

414004

エラー メッセージ %ASA-6-414004: TCP Syslog Server intf : IP_Address /port - Connection restored

説明 TCP Syslog には、サーバーに接続する 4 つのチャネルが設定されています。このメッセージは、 TCP Syslog サーバーチャネルのいずれかが到達不能になり、サーバーが復元された場合にのみ生成されます。このメッセージは、接続が成功した後に syslog サーバーに最初に到達するメッセージです。このメッセージは、 TCP Syslog サーバーでのみ生成されます。


(注)  


このメッセージは、 TCP Syslog サーバーが復元されるたびに表示されるわけではなく、いずれかのチャネルが到達不能になった後にサーバーが復元された場合にのみ表示されます。


  • intf:サーバーが接続されている ASA のインターフェイス

  • IP_Address:リモート TCP syslog サーバーの IP アドレス

  • port:リモート TCP syslog サーバーのポート

推奨アクション 必要なし。

414005

エラーメッセージ %ASA-3-414005: TCP Syslog Server intf : IP_Address /port connected, New connections are permitted based on logging permit-hostdown policy

説明リモート ホスト ロギング用の TCP syslog サーバーが正常であり、サーバーに接続され、新しい接続は logging permit-hostdown ポリシーに基づいて許可されます。logging permit-hostdown ポリシーが設定されている場合、新しい接続は許可されます。

  • intf:サーバーが接続されている Secure Firewall ASA のインターフェイス
  • IP_Address:リモート TCP syslog サーバーの IP アドレス
  • port:リモート TCP syslog サーバーのポート

推奨アクション 必要なし。

414006

エラーメッセージ %ASA-3-414006: TCP Syslog Server configured and logging queue is full. New connections denied based on logging permit-hostdown policy.

説明ロギング キューが設定された上限に近づいているため、syslog メッセージが廃棄される危険があります。

推奨アクションこの状況を回避するためにキュー サイズを調整する方法の詳細については、CLI 構成ガイドの「Configuring the Logging Queue」の項を参照してください。この場合に新しい接続を拒否するには、no logging permit-hostdown コマンドを使用します。この場合に新しい接続を許可するには、logging permit-hostdown コマンドを使用します。

414007

エラーメッセージ %ASA-6-414007: TCP Syslog Server connection restored. New connections are allowed.

説明 リモート ホスト ロギング用の TCP syslog サーバーが正常に接続され、新しい接続が許可されます。

推奨アクション必要なし。

414008

エラー メッセージ %ASA-6-414008: New connections are now allowed due to change of logging permit-hostdown policy.

説明 管理者は、新しい接続が拒否されているときに、logging permit-hostdown コマンドを入力して、logging permit-hostdown ポリシーを変更しました。このポリシーの変更が原因で、新しい接続は許可されます。

推奨アクション必要なし。

415001

エラー メッセージ %ASA-6-415001: HTTP - matched matched_string in policy-map map_name , header field count exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 このメッセージは、次のいずれかが発生した場合に生成されます。

  • HTTP ヘッダーのフィールドの総数が、ユーザー設定のヘッダー フィールド数を超えました。関連するコマンドは match {request | response} header count num です。
  • HTTP ヘッダー内の指摘されたフィールドの出現数が、そのヘッダー フィールドに対してユーザーが設定した数を超えました。関連するコマンドは match {request | response} header header-name count num です。
  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション match {request | response} header コマンドを入力して、HTTP ヘッダーのフィールド値を再設定します。

415002

エラーメッセージ %ASA-6-415002: HTTP - matched matched_string in policy-map map_name , header field length exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 指摘された HTTP ヘッダー フィールド長がユーザー設定の長さを超えました。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続を破棄またはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション match {request | response} header header_name length gt num コマンドを入力し、HTTP ヘッダー フィールド長を変更します。

415003

エラー メッセージ %ASA-6-415003: HTTP - matched matched_string in policy-map map_name , body length exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 メッセージ本体の長さがユーザー設定の長さを超えました。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション match {request | response} body length gt num コマンド を入力して、メッセージ本文の長さを変更します。

415004

エラーメッセージ %ASA-5-415004: HTTP - matched matched_string in policy-map map_name , content-type verification failed connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 HTTP メッセージ本体のマジック番号が、HTTP メッセージ ヘッダーの content-type フィールドに指定されている MIME タイプの正しいマジック番号ではありません。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション match {request | response} header content-type violation コマンドを入力して、問題を修正します。

415005

エラーメッセージ %ASA-5-415005: HTTP - matched matched_string in policy-map map_name , URI length exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 URI の長さがユーザー設定の長さを超えました。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション match request uri length gt num コマンドを入力して、URI の長さを変更します。

415006

エラー メッセージ %ASA-5-415006: HTTP - matched matched_string in policy-map map_name , URI matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 URI が、ユーザーの設定した正規表現と一致しました。詳細については、match request uri regex {regex-name | class class-name} コマンドを参照してください。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション 必要なし。

415007

エラー メッセージ %ASA-5-415007: HTTP - matched matched_string in policy-map map_name , Body matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 メッセージ本文がユーザー設定の正規表現と一致しました。詳細については、match {request | response} body regex {regex-name | class class-name} コマンドを参照してください。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション必要なし。

415008

エラー メッセージ %ASA-5-415008: HTTP - matched matched_string in policy-map map_name , header matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 メッセージ ヘッダーのユーザー指定フィールドの値がユーザー設定の正規表現と一致しました。詳細については、match {request | response } header header-field-name {regex-name | class class-name} コマンドを参照してください。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション 必要なし。

415009

エラーメッセージ %ASA-5-415009: HTTP - matched matched_string in policy-map map_name , method matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 HTTP メソッドがユーザー設定の正規表現と一致しました。詳細については、match request method {regex-name | class class-name} コマンドを参照してください。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション 必要なし。

415010

エラー メッセージ %ASA-5-415010: matched matched_string in policy-map map_name , transfer encoding matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 transfer encoding フィールドの値がユーザー設定の正規表現またはキーワードと一致しました。詳細については、match {request | response} header transfer-encoding {{regex-name | class class-name} | keyword} コマンドを参照してください。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション必要なし。

415011

エラーメッセージ %ASA-5-415011: HTTP - policy-map map_name :Protocol violation connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 HTTP パーサーが、HTTP メッセージの最初の数バイト中に有効な HTTP メッセージを検出できません。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション protocol-violation action {drop | reset} log コマンドを入力して問題を修正します。

415012

エラー メッセージ %ASA-5-415012: HTTP - matched matched_string in policy-map map_name , Unknown mime-type connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 content-type フィールドに、組み込み MIME タイプと一致する MIME タイプが含まれていませんでした。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション match {request | response} header content-type unknown コマンドを入力して、問題を修正します。

415013

エラー メッセージ %ASA-5-415013: HTTP - policy-map map-name :Malformed chunked encoding connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 チャンク符号化の形式が誤っているために HTTP メッセージを解析できません。また、protocol-violation コマンドのロギングが設定されています。

  • map-name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション protocol-violation action {drop | reset} log コマンドを入力して問題を修正します。

415014

エラーメッセージ %ASA-5-415014: HTTP - matched matched_string in policy-map map_name , Mime-type in response wasn't found in the accept-types of the request connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 HTTP 応答の MIME タイプが、要求の accept フィールドに存在していませんでした。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション match req-resp content-type mismatch コマンドを入力して、問題を修正します。

415015

エラー メッセージ %ASA-5-415015: HTTP - matched matched_string in policy-map map_name , transfer-encoding unknown connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 空の転送符号化が行われました。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション match {request | response} header transfer-encoding empty コマンドを入力して、問題を修正します。

415016

エラー メッセージ %ASA-4-415016: policy-map map_name :Maximum number of unanswered HTTP requests exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 応答のない HTTP 要求の数が、内部で許可されている要求数を超えました。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション protocol-violation action {drop | reset} log コマンドを入力して問題を修正します。

415017

エラーメッセージ %ASA-6-415017: HTTP - matched_string in policy-map map_name , arguments matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 引数のパターンがユーザー設定の正規表現またはキーワードと一致しています。詳細については、match request args regex {regex-name | class class-name} コマンドを参照してください。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション 必要なし。

415018

エラー メッセージ %ASA-5-415018: HTTP - matched matched_string in policy-map map_name , Header length exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 ヘッダーの全長がユーザー設定のヘッダー長を超えました。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション match {request | response} header length gt num コマンドを入力して、ヘッダー長を短くします。

415019

エラーメッセージ %ASA-5-415019: HTTP - matched matched_string in policy-map map_name , status line matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明 応答のステータス行がユーザー設定の正規表現と一致しました。詳細については、match response status-line regex {regex-name | class class-name} コマンドを参照してください。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション 必要なし。

415020

エラーメッセージ %ASA-5-415020: HTTP - matched matched_string in policy-map map_name , a non-ASCII character was matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

説明非 ASCII 文字が見つかりました。

  • matched_string:次のいずれかの一致文字列

- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザー設定のクラス マップの場合に表示されます。

- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。

  • map_name:ポリシー マップの名前
  • connection_action:接続をドロップまたはリセットします
  • interface_type:インターフェイス タイプ(たとえば、DMZ または外部)
  • IP_address:インターフェイスの IP アドレス
  • port_num:ポート番号

推奨アクション match {request | response} header non-ascii コマンドを入力して、問題を修正します。

416001

エラー メッセージ %ASA-4-416001: Dropped UDP SNMP packet from source_interface :source_IP /source_port to dest_interface :dest_address /dest_port ; version (prot_version ) is not allowed through the firewall

説明 SNMP パケットは、不良パケット フォーマットのために、または ASA の通過を許可されていない prot_version のために、ASA の通過を拒否されました。prot_version パラメータの値は、1、2、2c、または 3 のうちのいずれかです。

推奨アクション snmp-map コマンドを使用して、SNMP 検査の設定を変更します。このコマンドを使用すると、ユーザーが特定のプロトコル バージョンを許可または拒否できます。

417001

エラーメッセージ %ASA-4-417001: Unexpected event received: number

説明プロセスで信号を受信しましたが、イベントのハンドラが見つかりませんでした。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

417004

エラーメッセージ %ASA-4-417004: Filter violation error: conn number (string :string ) in string

説明クライアントが、自分が所有していないルート属性を修正しようとしました。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

417006

エラーメッセージ %ASA-4-417006: No memory for string ) in string . Handling: string

説明メモリ不足のために動作が失敗しましたが、別のメカニズムで処理されます。

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

418001

エラーメッセージ %ASA-4-418001: Through-the-device packet to/from management-only network is denied: protocol_string from interface_name IP_address (port) [([idfw_user |FQDN_string ], sg_info )] to interface_name IP_address (port) [(idfw_user |FQDN_string ), sg_info ]

説明指摘された送信元から宛先へのパケットが、Secure Firewall ASA と管理専用ネットワークとの間を経由していたために、廃棄されました。

  • protocol_string:TCP、UDP、ICMP、または 10 進数のプロトコル ID
  • interface_name:インターフェイス名
  • IP_address:IP アドレス
  • port:ポート番号
  • sg_info:指定した IP アドレスのセキュリティ グループ名またはタグ

推奨アクションこのようなパケットを生成している個人と理由を特定します。

418018

エラー メッセージ %ASA-3-418018: neighbor IP_Address Down User reset OR %ASA-3-418018: neighbor IP_Address IPv4 Unicast topology base removed from session User reset OR %ASA-3-418018: neighbor IP_Address Up OR %ASA-3-418018: neighbor IP_Address IPv4 Unicast topology base removed from session BGP Notification sent

説明 BGP ピアリングの異なる状態、およびピアリングの状態遷移の結果として生じたトポロジ DB 上の変更通知。

推奨アクション 必要なし。

418019

エラーメッセージ %ASA-3-418019: sent to neighbor IP_Address, Reason: reason, Bytes: count

説明 BGP ピアリングが終了した理由を示します。
  • Reason:終了の理由。理由には、AS パスが無効か破損している、またはホールド時間の期限切れなどがあります。

  • Bytes:送信されたバイト数

推奨アクション 必要なし。

418040

エラー メッセージ %ASA-3-418040: unsupported or mal-formatted message received from IP_Address

説明 BGP ハンドシェイク中に、サポートされていないか、または形式が誤っているメッセージを受信したことを示します。必ずしもグレースフル リスタートのみに関連しているとは限りません。

推奨アクション 必要なし。

419001

エラーメッセージ %ASA-4-419001: Dropping TCP packet from src_ifc :src_IP /src_port to dest_ifc :dest_IP /dest_port , reason : MSS exceeded, MSS size , data size

説明 TCP パケットの長さが 3 ウェイ ハンドシェイクでアドバタイズされた MSS を超えました。

  • >src_ifc:入力インターフェイス名
  • >src_IP:パケットの送信元 IP アドレス
  • >src_port:パケットの送信元ポート
  • >dest_ifc:出力インターフェイス名
  • >dest_IP:パケットの宛先 IP アドレス
  • >dest_port:パケットの宛先ポート

推奨アクション MSS を超えるパケットを許可する必要がある場合は、exceed-mss コマンドを使用して TCP マップを作成します。次に例を示します。


ciscoASA# access-list http-list permit tcp any host server_ip eq 80
ciscoASA# class-map http
 ciscoASA# match access-list http-list
 ciscoASA# tcp-map tmap
ciscoASA# exceed-mss allow
ciscoASA# policy-map global_policy
ciscoASA# class http
ciscoASA# set connection advanced-options tmap

419002

エラーメッセージ %ASA-4-419002: Received duplicate TCP SYN from in_interface :src_address /src_port to out_interface :dest_address /dest_port with different initial sequence number.

説明 3 ウェイ ハンドシェイク中に、初期接続を開いた SYN とは異なる初期シーケンス番号を持つ重複 TCP SYN を受信しました。これは、SYN がスプーフィングされていることを示している可能性があります。このメッセージは、リリース 7.0.4.1 以降で表示されます。

  • in_interface:入力インターフェイス
  • src_address:パケットの送信元 IP アドレス
  • src_port:パケットの送信元ポート
  • out_interface:出力インターフェイス
  • dest_address:パケットの宛先 IP アドレス
  • dest_port:パケットの宛先ポート

推奨アクション 必要なし。

419003

エラーメッセージ %ASA-4-419003: Cleared TCP urgent flag from out_ifc :src_ip /src_port to in_ifc :dest_ip /dest_port.

説明 3 ウェイ ハンドシェイク中に、初期接続を開いた SYN とは異なる初期シーケンス番号を持つ重複 TCP SYN を受信しました。これは、SYN がスプーフィングされていることを示している可能性があります。このメッセージは、リリース 7.0.4.1 以降で表示されます。

  • in_ifc:入力インターフェイス
  • src_ip:パケットの送信元 IP アドレス
  • src_port:パケットの送信元ポート
  • out_ifc:出力インターフェイス
  • dest_ip:パケットの宛先 IP アドレス
  • dest_port:パケットの宛先ポート

推奨アクション TCP ヘッダー内の緊急フラグを保持する必要がある場合は、TCP マップ コンフィギュレーション モードで urgent-flag allow コマンドを使用します。

エラーメッセージ %ASA-7-419003: Cleared TCP urgent flag.

説明この syslog は、緊急フラグまたは tcp パケットの緊急ポインタがクリアされたときに表示されます。これは、ユーザー設定(tcp-map)によるものか、または tcp パケット内に緊急ポインタ用の値があるが、緊急フラグが設定されていないことが原因である可能性があります。

推奨アクション緊急フラグが clear に設定されているかどうか tcp-map 設定を確認します。

419004

エラーメッセージ %ASA-6-419004: TCP connection ID from src_ifc:src_ip/src_port to dst_ifc:dst_ip/dst_port is probed by DCD

説明

TCP 接続がデッド接続検出(DCD)によってプローブされ、接続がまだ有効かどうかが判断されました。

推奨アクションなし。

419005

エラーメッセージ %ASA-6-419005: TCP connection ID from src_ifc:src_ip/src_port duration hh:mm:ss data bytes,  is kept open by DCD as valid connection

説明

TCP 接続は、デッド接続検出(DCD)によって有効な接続として開かれたままにされました。

推奨アクションなし。

419006

エラーメッセージ %ASA-6-419006:TCP connection ID from src_ifc:src_ip/src_port to dst_ifc:dst_ip/dst_port durationhh:mm:ss data bytes,  DCD probe was not responded from client/server interface ifc_name

説明

TCP 接続は、不要になったため、デッド接続検出(DCD)によって閉じられました。

推奨アクションなし。

420001

エラー メッセージ %ASA-3-420001: IPS card not up and fail-close mode used, dropping ICMP packet ifc_in :SIP to ifc_out :DIP (type ICMP_TYPE , code ICMP_CODE )

次に例を示します。


%ASA-3-420001: IPS card not up and fail-close mode used, dropping TCP packet from >ifc_in
:>SIP
/>SPORT
 to >ifc_out
:>DIP
/>DPORT
%ASA-3-420001: IPS card not up and fail-close mode used, dropping UDP packet from >ifc_in
:>SIP
/>SPORT
 to >ifc_out
:>DIP
/>DPORT
%ASA-3-420001: IPS card not up and fail-close mode used, dropping protocol >protocol
 packet from >ifc_in
:>SIP
 to >ifc_out
:>DIP

説明 IPS フェールクローズ モードが使用されており、IPS カードが動作していない場合に、パケットが廃棄されます。このメッセージは表示が制限されています。

  • ifc_in:入力インターフェイス名
  • ifc_out:出力インターフェイス名
  • SIP:パケットの送信元 IP
  • SPORT:パケットの送信元ポート
  • DIP:パケットの宛先 IP
  • DPORT:パケットの宛先ポート
  • ICMP_TYPE:ICMP パケットのタイプ
  • ICMP_CODE:ICMP パケットのコード

推奨アクション IPS カードを動作させます。

420002

エラー メッセージ %ASA-4-420002: IPS requested to drop ICMP packets ifc_in :SIP to ifc_out :DIP (type ICMP_TYPE , code ICMP_CODE )

次に例を示します。


%ASA-4-420002: IPS requested to drop TCP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT
%ASA-4-420002: IPS requested to drop UDP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT
%ASA-4-420002: IPS requested to drop protocol packet from ifc_in:SIP to ifc_out:DIP

説明 IPS がパケットを廃棄するよう要求しました。

  • ifc_in:入力インターフェイス名
  • ifc_out:出力インターフェイス名
  • SIP:パケットの送信元 IP
  • SPORT:パケットの送信元ポート
  • DIP:パケットの宛先 IP
  • DPORT:パケットの宛先ポート
  • ICMP_TYPE:ICMP パケットのタイプ
  • ICMP_CODE:ICMP パケットのコード

推奨アクション必要なし。

420003

エラーメッセージ %ASA-4-420003: IPS requested to reset TCP connection from ifc_in :SIP /SPORT to ifc_out :DIP /DPORT

説明 IPS は、TCP 接続のリセットを要求しました。

  • ifc_in:入力インターフェイス名
  • ifc_out:出力インターフェイス名
  • SIP:パケットの送信元 IP
  • SPORT:パケットの送信元ポート
  • DIP:パケットの宛先 IP
  • DPORT:パケットの宛先ポート

推奨アクション必要なし。

420004

エラー メッセージ %ASA-6-420004: Virtual Sensor sensor_name was added on the AIP SSM

説明 AIP SSM カードに仮想センサーが追加されました。

  • n:カード番号

推奨アクション必要なし。

420005

エラー メッセージ %ASA-6-420005: Virtual Sensor sensor_name was deleted from the AIP SSM

説明 AIP SSM カードから仮想センサーが削除されました。

  • n:カード番号

推奨アクション必要なし。

420006

エラーメッセージ %ASA-3-420006: Virtual Sensor not present and fail-close mode used, dropping protocol packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT

説明 IPS フェールクローズ モードが使用されており、パケット用の仮想センサーが存在しない場合に、パケットが廃棄されます。

  • protocol:パケットの送信に使用されるプロトコル
  • ifc_in:入力インターフェイス名
  • ifc_out:出力インターフェイス名
  • SIP:パケットの送信元 IP アドレス
  • SPORT:パケットの送信元ポート
  • DIP:パケットの宛先 IP アドレス
  • DPORT:パケットの宛先ポート

推奨アクション 仮想センサーを追加します。

420007

エラーメッセージ %ASA-4-420007: application-string cannot be enabled for the module in slot slot_id . The module’s current software version does not support this feature. Please upgrade the software on the module in slot slot_id to support this feature. Received backplane header version version_number , required backplane header version version_number or higher.

説明 このメッセージは、対応するソフトウェア バージョンが SSM または SSC ハードウェア モジュールに必要な、ASA の新機能によって生成されます。このメッセージは、ASA モジュール マネージャが SSM または SSC ハードウェア モジュールで状態変化を検出するたびに送信されます。

  • application-string:アプリケーション名(たとえば、Promiscuous IDS)
  • slot_id:モジュール識別子。現在の ASA では 1
  • version_number:ASA および IPS アプリケーション間のメッセージ ヘッダーのバージョン番号

推奨アクション 指摘されたアプリケーションをサポートする正しいソフトウェア イメージを使用して SSM または SSC のハードウェア モジュールをロードします。

420008

エラー メッセージ %ASA-3-420008: IPS module license disabled and fail-close mode used, dropping packet.

説明 IPS モジュール ライセンスがディセーブルの状態でフェールクローズ モードが設定されていると、その IPS モジュールを宛先とするすべてのトラフィックが廃棄されます。ライセンスのステータスを確認するには、show activation-key コマンドを使用します。

推奨アクション activation-key コマンドを使用して、IPS ライセンスがイネーブルになっているアクティベーション キーを適用します。

421001

エラー メッセージ %ASA-3-421001: TCP|UDP flow from interface_name :IP_address/port to interface_name :IP_address /port is dropped because application has failed.

説明 CSC SSM アプリケーションに障害が発生したため、パケットが廃棄されました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

  • interface_name:インターフェイス名
  • IP_address:IP アドレス
  • port:ポート番号
  • application:CSC SSM(現在のリリースでサポートされているのはこのアプリケーションだけです)

推奨アクション サービス モジュールで問題を特定します。

421002

エラー メッセージ %ASA-6-421002: TCP|UDP flow from interface_name :IP_address /port to interface_name :IP_address /port bypassed application checking because the protocol is not supported.

説明 接続に使用されているプロトコルをサービス モジュールがスキャンできないため、接続はサービス モジュールのセキュリティ チェックをバイパスしました。たとえば、CSC SSM は Telnet トラフィックをスキャンできません。ユーザーが Telnet トラフィックのスキャンを設定した場合、トラフィックはスキャン サービスをバイパスします。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

  • IP_address:IP アドレス
  • port:ポート番号
  • interface_name:ポリシーが適用されているインターフェイスの名前
  • application:CSC SSM(現在のリリースでサポートされているのはこのアプリケーションだけです)

推奨アクション サービス モジュールがサポートしているプロトコルだけを含めるように、コンフィギュレーションを修正する必要があります。

421003

エラー メッセージ %ASA-3-421003: Invalid data plane encapsulation.

説明 サービス モジュールによって挿入されたパケットが、正しいデータ プレーン ヘッダーを持っていませんでした。データ バックプレーンで交換されるパケットは、ASDP と呼ばれるシスコ独自のプロトコルに準拠しています。適切な ASDP ヘッダーを持たないパケットは、すべて廃棄されます。

推奨アクション capture name type asp-drop [ssm-asdp-invalid-encap] コマンドを使用して攻撃パケットを取り込み、Cisco TAC にお問い合わせください。

421004

エラーメッセージ %ASA-7-421004: Failed to inject {TCP|UDP} packet from IP_address /port to IP_address /port

説明 ASA がサービス モジュールの指示どおりにパケットを挿入できませんでした。これは、ASA がすでに解放されているフローにパケットを挿入しようとした場合や、ASA がサービス モジュールとは独立して接続テーブルを維持している場合に発生する可能性があります。通常は、これによって問題が生じることはありません。

  • IP_address:IP アドレス
  • port:ポート番号

推奨アクション ASA のパフォーマンスに影響を及ぼす場合、または問題が解決しない場合は、Cisco TAC にお問い合わせください。

421005

エラーメッセージ %ASA-6-421005: interface_name :IP_address is counted as a user of application

説明ホストがライセンス制限の対象と見なされています。指摘されたホストが、application のユーザーと見なされました。ライセンス検証のために、24 時間のユーザーの総数が午前 0 時に計算されます。

  • interface_name:インターフェイス名
  • IP_address:IP アドレス
  • application:CSC SSM

推奨アクション必要なし。ただし、全体の数が、購入したユーザー ライセンスを超える場合は、Cisco TAC に連絡してライセンスをアップグレードしてください。

421006

エラー メッセージ %ASA-6-421006: There are number users of application accounted during the past 24 hours.

説明 過去 24 時間にアプリケーション を使用したユーザーの総数が認識されました。このメッセージは 24 時間ごとに生成され、サービス モジュールによって提供されたサービスを使用したホストの総数を示します。

  • application:CSC SSM

推奨アクション必要なし。ただし、全体の数が、購入したユーザー ライセンスを超える場合は、Cisco TAC に連絡してライセンスをアップグレードしてください。

421007

エラーメッセージ %ASA-3-421007: TCP|UDP flow from interface_name :IP_address /port to interface_name :IP_address /port is skipped because application has failed.

説明サービス モジュールのアプリケーションに障害が発生したためにフローがスキップされました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。

  • IP_address:IP アドレス
  • port:ポート番号
  • interface_name:ポリシーが適用されているインターフェイスの名前
  • application:CSC SSM

推奨アクション サービス モジュールで問題を特定します。

422004

エラーメッセージ %ASA-4-422004: IP SLA Monitor number0 : Duplicate event received. Event number number1

説明 IP SLA モニター プロセスが、重複したイベントを受信しました。現在、このメッセージは破棄イベントに適用されます。1 つの破棄要求だけが適用されます。これは警告専用メッセージです。

  • number0:SLA 動作番号
  • number1:SLA 動作のイベント ID

推奨アクションこのメッセージが繰り返し表示される場合は、show sla monitor configuration SLA_operation_id コマンドを入力して、コマンドの出力をコピーします。コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。その後 Cisco TAC にお問い合わせのうえ、収集した情報と、SLA プローブを設定およびポーリングしているアプリケーションに関する情報を TAC の担当者にご提供ください。

422005

エラーメッセージ %ASA-4-422005: IP SLA Monitor Probe(s) could not be scheduled because clock is not set.

説明システム クロックが設定されていなかったため、1 つまたは複数の IP SLA モニター プローブをスケジュールできません。

推奨アクション システム クロックが NTP または別のメカニズムを使用して機能できることを確認します。

422006

エラーメッセージ %ASA-4-422006: IP SLA Monitor Probe number : string

説明 IP SLA モニター プローブをスケジュールできません。設定された開始時刻がすでに過ぎてしまっているか、開始時刻が無効です。

  • number:SLA 動作 ID
  • string:エラーを説明する文字列

推奨アクション無効な開始時刻を持つ失敗したプローブを再度スケジュールします。

423001

エラー メッセージ %ASA-4-423001: {Allowed | Dropped} invalid NBNS pkt_type_name with error_reason_str from ifc_name :ip_address /port to ifc_name :ip_address /port .

説明 NBNS パケットの形式が誤っています。

推奨アクション必要なし。

423002

エラー メッセージ %ASA-4-423002: {Allowed | Dropped} mismatched NBNS pkt_type_name with error_reason_str from ifc_name :ip_address /port to ifc_name :ip_address /port .

説明 NBNS ID のミスマッチが発生しました。

推奨アクション必要なし。

423003

エラー メッセージ %ASA-4-423003: {Allowed | Dropped} invalid NBDGM pkt_type_name with error_reason_str from ifc_name :ip_address /port to ifc_name :ip_address /port .

説明 NBDGM パケットの形式が誤っています。

推奨アクション 必要なし。

423004

エラー メッセージ %ASA-4-423004: {Allowed | Dropped} mismatched NBDGM pkt_type_name with error_reason_str from ifc_name :ip_address /port to ifc_name :ip_address /port .

説明 NBDGM ID のミスマッチが発生しました。

推奨アクション 必要なし。

423005

エラー メッセージ %ASA-4-423005: {Allowed | Dropped} NBDGM pkt_type_name fragment with error_reason_str from ifc_name :ip_address /port to ifc_name :ip_address /port .

説明 NBDGM フラグメントの形式が誤っています。

推奨アクション必要なし。

424001

エラーメッセージ %ASA-4-424001: Packet denied protocol_string intf_in :src_ip /src_port [([idfw_user | FQDN_string ], sg_info )] intf_out :dst_ip /dst_port [([idfw_user | FQDN_string ], sg_info )]. [Ingress|Egress] interface is in a backup state.

説明パケットが、Secure Firewall ASA と冗長インターフェイスとの間を経由しているために、廃棄されました。ローエンド プラットフォームでは、インターフェイス機能が制限されます。backup interface コマンドで指定されているインターフェイスは、設定されているプライマリ インターフェイスのバックアップになることしかできません。プライマリ インターフェイスへのデフォルト ルートがアップしている場合は、バックアップ インターフェイスからの Secure Firewall ASA 経由トラフィックはすべて拒否されます。逆に、プライマリ インターフェイスへのデフォルト ルートがダウンしている場合は、プライマリ インターフェイスからの Secure Firewall ASA 経由トラフィックが拒否されます。

  • protocol_string:プロトコル文字列(たとえば、TCP または 10 進数のプロトコル ID)
  • intf_in:入力インターフェイス名
  • src_ip:パケットの送信元 IP アドレス
  • src_port:パケットの送信元ポート
  • intf_out:出力インターフェイス名
  • dst_ip:パケットの宛先 IP アドレス
  • dst_port:パケットの宛先ポート
  • sg_info:指定した IP アドレスのセキュリティ グループ名またはタグ

推奨アクション拒否されたパケットの送信元を特定します。

424002

エラーメッセージ %ASA-4-424002: Connection to the backup interface is denied: protocol_string intf :src_ip /src_port intf :dst_ip /dst_port

説明接続がバックアップ状態であったために、その接続が廃棄されました。ローエンド プラットフォームでは、インターフェイス機能が制限されます。バックアップ インターフェイスは、backup interface コマンドで指定されているプライマリ インターフェイスのバックアップになることしかできません。プライマリ インターフェイスへのデフォルト ルートがアップしている場合は、バックアップ インターフェイス経由のSecure Firewall ASAへの接続はすべて拒否されます。逆に、プライマリ インターフェイスへのデフォルト ルートがダウンしている場合は、プライマリ インターフェイス経由のSecure Firewall ASAへの接続が拒否されます。

  • protocol_string:プロトコル文字列(たとえば、TCP または 10 進数のプロトコル ID)
  • intf_in:入力インターフェイス名
  • src_ip:パケットの送信元 IP アドレス
  • src_port:パケットの送信元ポート
  • intf_out:出力インターフェイス名
  • dst_ip:パケットの宛先 IP アドレス
  • dst_port:パケットの宛先ポート

推奨アクション拒否されたパケットの送信元を特定します。

425001

エラーメッセージ %ASA-6-425001 Redundant interface redundant _interface_name created.

説明指摘された冗長インターフェイスがコンフィギュレーションに作成されました。

  • redundant_interface_name:冗長インターフェイス名

推奨アクション必要なし。

425002

エラーメッセージ %ASA-6-425002 Redundant interface redundant _interface_name removed.

説明指摘された冗長インターフェイスがコンフィギュレーションから削除されました。

  • redundant_interface_name:冗長インターフェイス名

推奨アクション 必要なし。

425003

エラーメッセージ %ASA-6-425003 Interface interface_name added into redundant interface redundant _interface_name .

説明指摘された物理インターフェイスがメンバー インターフェイスとして、指摘された冗長インターフェイスに追加されました。

  • interface_name:インターフェイス名
  • redundant_interface_name:冗長インターフェイス名

推奨アクション必要なし。

425004

エラーメッセージ %ASA-6-425004 Interface interface_name removed from redundant interface redundant _interface_name .

説明指摘された冗長インターフェイスが、指摘された冗長インターフェイスから削除されました。

  • interface_name:インターフェイス名
  • redundant_interface_name:冗長インターフェイス名

推奨アクション 必要なし。

425005

エラーメッセージ %ASA-5-425005 Interface interface_name become active in redundant interface redundant _interface_name

説明冗長インターフェイスでは、1 つのメンバー インターフェイスがアクティブなメンバーとなります。トラフィックは、アクティブなメンバー インターフェイスだけを通過します。指摘された物理インターフェイスが、指摘された冗長インターフェイスのアクティブなメンバーになりました。次のいずれかが当てはまる場合、メンバー インターフェイスの切り替えが行われます。

    • redundant-interface interface-name active-member interface-name コマンドが実行された。
    • スタンバイ メンバー インターフェイスがアップ状態であるときに、アクティブなメンバー インターフェイスがダウンした。
    • アクティブなメンバー インターフェイスがダウン状態のままであるときに、スタンバイ メンバー インターフェイスが(ダウンから)アップ状態になった。
  • interface_name:インターフェイス名
  • redundant_interface_name:冗長インターフェイス名

推奨アクション メンバー インターフェイスのステータスを確認します。

425006

エラーメッセージ %ASA-3-425006 Redundant interface redundant _interface_name switch active member to interface_name failed.

説明メンバー インターフェイスの切り替えが試行されたときにエラーが発生しました。

  • redundant_interface_name:冗長インターフェイス名
  • interface_name:インターフェイス名

推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。

426001

エラーメッセージ %ASA-6-426001: PORT-CHANNEL:Interface ifc_name bundled into EtherChannel interface Port-channel num

説明 interface port-channel num または channel-group num mode mode コマンドが存在しないポート チャネルに対して使用されました。

  • ifc_name:EtherChannel インターフェイス名
  • num:ポート チャネル番号

推奨アクション 必要なし。

426002

エラーメッセージ %ASA-6-426002: PORT-CHANNEL:Interface ifc_name unbundled from EtherChannel interface Port-channel num

説明 no interface port-channel num コマンドが使用されました。

  • ifc_name:EtherChannel インターフェイス名
  • num:ポート チャネル番号

推奨アクション 必要なし。

426003

エラーメッセージ %ASA-6-426003: PORT-CHANNEL:Interface ifc_name1 has become standby in EtherChannel interface Port-channel num

説明 channel-group num mode mode コマンドが使用されました。

  • ifc_name1:EtherChannel インターフェイス名
  • num:ポート チャネル番号

推奨アクション 必要なし。

426004

エラーメッセージ %ASA-4-426004: PORT-CHANNEL: Interface ifc_name1 is not compatible with ifc_name and will be suspended (speed of ifc_name1 is X Mbps, Y is 1000 Mbps).

エラーメッセージ %ASA-4-426004: Interface ifc_name1 is not compatible with ifc_name1 and will be suspended (ifc_name1 is Full-duplex, ifc_name1 is Half-duplex)

説明 channel-group num mode mode コマンドが物理インターフェイスに対して実行され、この物理インターフェイスとポート チャネルの速度またはデュプレックスに不一致があります。

  • ifc_name:ポート チャネルに追加しようとしているインターフェイス
  • ifc name1:ポート チャネル中にすでに存在しバンドル状態になっているインターフェイス

推奨アクション次のいずれかを実行します。

  • 物理インターフェイスの速度をポート チャネルの速度に変更し、channel-group num mode mode コマンドを再実行します。
  • メンバー インターフェイスを中断状態のままにします。最後のアクティブ メンバーを削除すると、そのメンバーは中断されたメンバー上で LACP を再確立しようとします。

426101

エラーメッセージ %ASA-6-426101: PORT-CHANNEL:Interface ifc_name is allowed to bundle into EtherChannel interface port-channel id by CLACP

説明ポートが span-cluster チャネル グループにバンドルされています。

推奨アクション必要なし。

426102

エラーメッセージ %ASA-6-426102: PORT-CHANNEL:Interface ifc_name is moved to standby in EtherChannel interface port-channel id by CLACP

説明ポートが span-cluster チャネル グループでホット スタンバイ状態に移行しました。

推奨アクション必要なし。

426103

エラーメッセージ %ASA-6-426103: PORT-CHANNEL:Interface ifc_name is selected to move from standby to bundle in EtherChannel interface port-channel id by CLACP

説明スタンバイ ポートが span-cluster チャネル グループでバンドル状態への移行対象として選択されました。

推奨アクション必要なし。

426104

エラーメッセージ %ASA-6-426104: PORT-CHANNEL:Interface ifc_name is unselected in EtherChannel interface port-channel id by CLACP

説明他のポートをバンドルするための領域を取得するために、バンドル ポートが span-cluster チャネル グループでバンドル解除されました。

推奨アクション 必要なし。

428002

エラーメッセージ %ASA-6-428002: WAAS confirmed from in_interface :src_ip_addr/src_port to out_interface :dest_ip_addr/dest_port , inspection services bypassed on this connection.

説明接続で WAAS 最適化が検出されました。WAAS 最適化接続では、すべてのレイヤ 7 検査サービス(IPS を含む)がバイパスされます。

推奨アクション ネットワークに WAE デバイスが含まれている場合、処置は不要です。それ以外の場合、ネットワーク管理者は、この接続での WAAS オプションの使用を調査する必要があります。

429001

エラーメッセージ %ASA-3-429001: CXSC card not up and fail-close mode used. Dropping protocol packet from interface_name :ip_address /port to interface_name :ip_address /port

説明 SSP がダウンしている状態で、fail-close ポリシーが適用されているため、データが廃棄されました。

推奨アクション サービス モジュールの状態を検査し、必要があれば Cisco TAC に問い合わせてサポートを受けてください。

429002

エラーメッセージ %ASA-4-429002: CXSC service card requested to drop protocol packet from interface_name :ip_address /port to interface_name :ip_address /port

説明 CXSC SSP によって、ASA で接続パケットをドロップするよう要求されました。

推奨アクションなし。

429003

エラー メッセージ %ASA-4-429003: CXSC service card requested to reset TCP connection from interface_name :ip_addr /port to interface_name :ip_addr /port

説明 CXSC SSP によって、ASA で TCP 接続をリセットするよう要求されました。

推奨アクション必要なし。

429004

エラー メッセージ %ASA-3-429004: Unable to set up authentication-proxy rule for the cx action on interface interface_name for policy_type service-policy.

説明 メモリ不足などの内部エラーが原因で、ASA は認証プロキシの to-the-box ルールを CXSC アクションに設定できませんでした。

推奨アクション このエラーは発生してはならないものです。Cisco TAC に連絡して、サポートを受けてください。

429005

エラー メッセージ %ASA-6-429005: Set up authentication-proxy protocol_type rule for the CXSC action on interface interface_name for traffic destined to ip_address /port for policy_type service-policy.

説明 ASA は正常に認証プロキシの to-the-box ルールを CXSC アクションに設定しました。

推奨アクションなし。

429006

エラー メッセージ %ASA-6-429006: Cleaned up authentication-proxy rule for the CXSC action on interface interface_name for traffic destined to ip_address for policy_type service-policy.

説明 ASA は正常に認証プロキシの to-the-box ルールを CXSC アクションから解除しました。

推奨アクションなし。

429007

エラー メッセージ %ASA-4-429007: CXSC redirect will override Scansafe redirect for flow from interface_name :ip_address /port to interface_name :ip_address /port with username

説明 フローが CXSC と Scansafe の両方のリダイレクトに一致します。このメッセージは表示されるフローで CXSC リダイレクトが Scansafe リダイレクトをオーバーライドすることを示します。

推奨アクション このような動作を望まない場合は、ポリシーを再設定して、CXSC リダイレクトと Scansafe リダイレクトが同じフローで重複しないようにします。

429008

エラーメッセージ %ASA-4-429008: Unable to respond to VPN query from CX for session 0x%x . Reason %s

説明 CX は VPN セッション クエリを Secure Firewall ASA に送信しましたが、無効なセッション ID または別の理由により応答しませんでした。妥当な原因には次のいずれかが考えられます。

  • TLV の長さが無効である
  • TLV のメモリ割り当てに失敗した
  • VPN セッション クエリ メッセージのエンキューに失敗した
  • VPN セッション ID が無効である

推奨アクション必要なし。

431001

エラー メッセージ %ASA-4-431001: RTP conformance: Dropping RTP packet from in_ifc :src_ip /src_port to out_ifc :dest_ip /dest_port , Drop reason: drop_reason value

説明 RTP パケットが廃棄されました。

  • in_ifc:入力インターフェイス
  • src_ip:パケットの送信元 IP アドレス
  • src_port:パケットの送信元ポート
  • out_ifc:出力インターフェイス
  • dest_ip:パケットの宛先 IP アドレス
  • dest_port:パケットの宛先ポート
  • drop_reason:次の廃棄原因のいずれか

Incorrect version value:パケットのバージョン番号が誤っている。

- Invalid payload-type value:パケットのペイロード タイプが無効である。

- Incorrect SSRC value:パケットの SSRC が誤っている。

- Out-of-range sequence number value sequence number from the packet。

- Out of sequence in packet in probation value sequence number from the packet。

推奨アクション 廃棄された RTP パケットを調べて、RTP 送信元が誤って設定しているフィールドを確認します。また、送信元を調べて、送信元が正当であり、ASA の隙を突こうとしている攻撃者でないことを確認します。

431002

エラーメッセージ %ASA-4-431002: RTCP conformance: Dropping RTCP packet from in_ifc :src_ip /src_port to out_ifc :dest_ip /dest_port , Drop reason: drop_reason value

説明 RTCP パケットが廃棄されました。

  • in_ifc:入力インターフェイス
  • src_ip:パケットの送信元 IP アドレス
  • src_port:パケットの送信元ポート
  • out_ifc:出力インターフェイス
  • dest_ip:パケットの宛先 IP アドレス
  • dest_port:パケットの宛先ポート
  • drop_reason:次の廃棄原因のいずれか

- Incorrect version value:パケットのバージョン番号が誤っている。

- Invalid payload-type value:パケットのペイロード タイプが誤っている。

推奨アクション 廃棄された RTP パケットを調べて、RTP 送信元が誤って設定しているフィールドを確認します。また、送信元を調べて、送信元が正当であり、ASA の隙を突こうとしている攻撃者でないことを確認します。

434001

エラーメッセージ %ASA-4-434001: SFR card not up and fail-close mode used, dropping protocol packet from ingress interface:source IP address /source port to egress interface :destination IP address /destination port

説明 モジュールのフェールクローズ設定のためにパケットがドロップされました。フェールクローズ設定は、モジュールがダウンしている場合にすべてのフローをドロップするように設計されているため、すべてのフローの接続が失われるのは、それらのフローがモジュールにリダイレクトされることが原因です。

推奨アクション障害の原因を把握し、サービスを復元します。または、カードがすぐに回復しなくても、フェールオープン オプションを使用できます。フェールオープン設定では、カードのステータスがダウンしている場合、モジュールへのすべてのパケットはバイパスされます。

434002

エラーメッセージ %ASA-4-434002: SFR requested to drop protocol packet from ingress interface :source IP address /source port to egress interface :destination IP address /destination port

説明 パケットがモジュールによって拒否されました。モジュールにリダイレクトされたフローの接続は成功しません。

推奨アクション このフローまたはパケットが拒否される原因となったモジュール ポリシーを特定してください。

434003

エラー メッセージ %ASA-4-434003: SFR requested to reset TCP connection from ingress interface :source IP address /source port to egress interface :destination IP address /destination port

説明 モジュールによって要求されたとおりに、TCP フローは ASA によってリセットされました。モジュールにリダイレクトされたフローの TCP 接続は成功しません。

推奨アクション このフローまたはパケットが拒否される原因となったモジュール ポリシーを特定してください。

434004

エラーメッセージ %ASA-5-434004: SFR requested ASA to bypass further packet redirection and process flow from %s:%A/%d to %s:%A/%d locally

説明 SourceFire(SFR)は、これ以上フロー トラフィックを検査しないことを決定し、SFR へのトラフィックのフローをリダイレクトすることを停止するように Secure Firewall ASA に要求します。

推奨アクション必要なし。

434007

エラー メッセージ %ASA-4-434007: SFR redirect will override Scansafe redirect for flow from ingress interface :source IP address /source port to egress interface :destination IP address /destination port (user )

説明 Scansafe で検査されていたフローは、SourceFire(SFR)でのみ検査されるようになりました。Scansafe と SFR はフローを同時に検査できません。

推奨アクション このフローまたはパケットを Scansafe または SFR のいずれかで検査するようにする ASA 検査ポリシーを再設定します。

444004

エラーメッセージ %ASA-2-444004: Temporary license key key has expired. Applying permanent license key permkey

説明 インストールされている一時ライセンスの有効期限が切れました。このライセンスで提供されている機能は今後使用できません。

  • key:一時アクティベーション キー
  • permkey:永久アクティベーション キー

推奨アクション 永久ライセンスを購入してインストールする必要があります。

444005

エラー メッセージ %ASA-4-444005: Timebased activation key activation -key will expire in num days

説明 このメッセージは 24 時間ごとに生成され、一時ライセンスが指摘された日数で期限切れになることを示します。有効期限を過ぎると、このライセンスで提供されている機能は使用できなくなります。

  • activation-key:一時アクティベーション キー
  • num:有効期限までの残り日数

推奨アクション 残り時間が 30 日未満の場合、一時ライセンスの有効期限が切れる前に別の時間ベース アクティベーション キーを購入する必要があります。

444007

エラーメッセージ %ASA-2-444007: Timebased activation key activation -key has expired. Reverting to [permanent | timebased] license key. The following features will be affected: feature , feature

説明 時間ベース アクティベーション キーの期限が切れました。このライセンスで提供されている指摘された機能は今後使用できません。

  • activation-key:一時アクティベーション キー
  • feature:影響するライセンスを取得した機能の名前

推奨アクション 指摘された機能のサービスの中断を避けるために、別の時間ベース アクティベーション キーをできるだけ早く購入する必要があります。

444008

エラーメッセージ %ASA-4-444008: %s license has expired, and the system is scheduled to reload in x days. Apply a new activation key to enable %s license and prevent the automatic reload.

説明 特定のライセンスの期限が切れているため、x 日後にシステムはリロードされます。新しいアクティベーション キーを適用して特定のライセンスを有効にし、自動リロードが行われないようにします。

推奨アクション 新しいアクティベーション キーを適用して特定のライセンスを有効にし、自動リロードが行われないようにします。

444009

エラーメッセージ %ASA-2-444009: %s license has expired 30 days ago. The system will now reload.

説明 特定のライセンスの期限が 30 日前に切れました。システムはリロードされます。

推奨アクション 必要なし。

444100

エラーメッセージ %ASA-5-444100: Shared request request failed. Reason: reason

説明 共有ライセンスのクライアント要求がサーバーによって正常に送信または処理されませんでした。

  • request:有効な要求は次のとおりです。

- AnyConnect Premium の取得

- AnyConnect Premium の解放

- AnyConnect Premium の移動

  • reason:要求が失敗した原因。有効な原因は次のとおりです。

- connection failed to server

- version not supported by server

- message signature invalid

- client ID unknown by server

- server is not active

- license capacity reached

推奨アクション必要なし。

444101

エラーメッセージ %ASA-5-444101: Shared license service is active. License server address: address

説明 共有ライセンス サーバーがアクティブになりました。

  • address:ライセンス サーバーの IPv4 または IPv6 アドレス

推奨アクション必要なし。

444102

エラーメッセージ %ASA-2-444102: Shared license service inactive. License server is not responding.

説明 ライセンス サーバーからの応答がなかったため、共有ライセンス サービスは非アクティブでした。ASA を共有ライセンス サーバーに登録できませんでした。

推奨アクション ライセンス サーバーのアドレス、シークレット、およびポートが正しく設定されていることを確認します。

444103

エラー メッセージ %ASA-6-444103: Shared licensetype license usage is over 90% capacity.

説明 ネットワーク上の共有ライセンスの使用率が 90 % を超えています。

  • licensetype:AnyConnect Premium

推奨アクション必要なし。

444104

エラー メッセージ %ASA-6-444104: Shared licensetype license availability: value .

説明 ネットワーク上の共有ライセンスを利用できるかどうかを示します。

  • licensetype:AnyConnect Premium
  • value:ライセンスを利用できるかどうか

推奨アクション必要なし。

444105

エラーメッセージ %ASA-2-444105: Released value shared licensetype license(s). License server has been unreachable for 24 hours.

説明 共有ライセンス サーバーに 24 時間到達できなかったため、ASA によって取得されたすべての共有ライセンスが解放されました。ASA をライセンス サーバーに登録できませんでした。

  • licensetype:AnyConnect Premium
  • value:ライセンスを利用できるかどうか

推奨アクション ライセンス サーバーに接続できること、およびライセンス サーバー上のコンフィギュレーションが変更されていないことを確認します。

444106

エラー メッセージ %ASA-4-444106: Shared license backup server address is not available.

説明 共有ライセンス バックアップ サーバーに到達できません。ライセンス サーバー情報がバックアップ デバイスと同期していません。

  • address:バックアップ ライセンス サーバーの IPv4 または IPv6 アドレス

推奨アクション 必要なし。

444107

エラー メッセージ %ASA-6-444107: Shared license service status on interface ifname .

説明 指摘されたインターフェイスで共有ライセンス サービスがイネーブルまたはディセーブルになっています。

  • ifname:インターフェイス名。
  • status:ライセンス サーバーのステータス。有効な値は enabled または disabled です。

推奨アクション必要なし。

444108

エラー メッセージ %ASA-6-444108: Shared license state client id id .

説明 マルチサイト ライセンスのクライアント ID がサーバーに登録されているか、または有効期限が切れています。

  • id:クライアントの ID。
  • state:ライセンス サーバーの状態。有効な値は registered または expired です。

推奨アクション必要なし。

444109

エラーメッセージ %ASA-4-444109: Shared license backup server role changed to state .

説明 共有バックアップ ライセンス サーバーの役割が変更されました。

  • state:ライセンス サーバーの状態。有効な値は active または inactive です。

推奨アクション必要なし。

444110

エラーメッセージ %ASA-4-444110: Shared license server backup has days remaining as active license server.

説明 共有バックアップ ライセンス サーバーの役割はアクティブであり、指摘された日数、その役割が続きます。ASA はライセンス サーバーへの登録に失敗しており、プライマリ ライセンス サーバーにすぐに登録する必要があります。

  • days:アクティブ ライセンス サーバーとしての残り日数

推奨アクション ライセンス サーバーがオンラインで、ASA から到達できることを確認します。

444111

エラーメッセージ %ASA-2-444111: Shared license backup service has been terminated due to the primary license server address being unavailable for more than days days. The license server needs to be brought back online to continue using shared licensing.

説明 共有バックアップ ライセンス サーバーのアクティブ期間が過ぎました。共有ライセンス サービスを続行するためには、プライマリ サーバーをオンラインにする必要があります。

  • address:ライセンス サーバーの IPv4 または IPv6 アドレス
  • days:ライセンス サーバーに到達できなくなってからの日数

推奨アクション 共有ライセンス サービスの使用を続行するためには、プライマリ ライセンス サーバーに登録します。

444302

エラー メッセージ %ASA-2-444302: %SMART_LIC-2-PLATFORM_ERROR: Platform error.

説明 スマート ライセンス エージェントでプラットフォームの問題が生じています。これは、プラットフォーム チームがデバイスにスマート ライセンスを正しく実装していなかったことを示します。

推奨アクション プラットフォーム チームはリリース前にこの問題に対処する必要があります。

444303

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-AGENT_REG_FAILED: Smart Agent for licensing registration with Cisco licensing cloud failed.

説明 スマート ライセンスの登録に失敗しました。この問題は、登録時に使用した無効な ID トークン、または cisco.com へのネットワーク接続障害が原因で生じている可能性があります。

推奨アクション スマート エージェントの Syslog メッセージで追加情報を確認してください。スマート エージェントのデバッグ モードをオンにし(CLI コマンド:debug license agent all)、より詳細な情報の取得を試みます。Smart Call Home のコンフィギュレーション、Cisco とのネットワーク接続、登録時に使用した ID トークンが有効かどうかを確認します。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-AGENT_DEREG_FAILED: Smart Agent for licensing deregistration with CSSM failed.

説明 スマート ライセンスの登録解除に失敗しました。これは、CSSM へのネットワーク接続障害が原因で生じている可能性があります。ローカルの登録情報は、デバイスから削除されています。

推奨アクション スマート エージェントの Syslog メッセージで追加情報を確認してください。スマート エージェントのデバッグ モードをオンにし(CLI コマンド:debug license agent all)、より詳細な情報の取得を試みます。Smart Call Home のコンフィギュレーションと CSSM へのネットワーク接続を確認します。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-OUT_OF_COMPLIANCE: One or more entitlements are out of compliance.

説明 顧客から要求された 1 つまたは複数の権限付与はコンプライアンス違反です。

推奨アクション 顧客はスマート ライセンス ポータルに移動し、それぞれの権限付与を表示してコンプライアンス違反について理解する必要があります。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-EVAL_EXPIRED: Evaluation period expired.

説明評価期間が切れました。スマート エージェント ポータルから新しい ID トークンを取得し、デバイスを再登録してください。

推奨アクション 顧客は、スマート エージェント ポータルから新しい ID トークンを取得し、Cisco ライセンス サービスにデバイスを再登録する必要があります。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-BAD_MODE: An unknown mode was specified.

説明 Syslog メッセージのロギング プロセスで、スマート エージェントが無効な権限付与強制モードを受け取りました。

推奨アクション Smart Call Home の内部エラーです。シスコにご連絡ください。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-BAD_NOTIF: A bad notification type was specified.

説明 Syslog メッセージのロギング プロセスで、スマート エージェントが無効な通知タイプを受け取りました。

推奨アクション Smart Call Home の内部エラーです。シスコにご連絡ください。

エラーメッセージ %ASA-3-444303: %SMART_LIC-3-ID_CERT_EXPIRED: Identity certificate expired. Agent will transition to the unidentified (not registered) state.

説明 デバイスは Cisco と長期間通信していないため、Cisco へのデバイス登録を自動的に更新していません。

推奨アクション Smart Call Home と cisco.com へのネットワーク接続を確認してください。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-ID_CERT_RENEW_NOT_STARTED: Identity certificate start date not reached yet.

説明 デバイス登録に失敗しました。アイデンティティ証明書の開始日は、デバイスの現在時刻よりも後になっています。

推奨アクション デバイス クロックを最新の状態に調整し、登録を再試行してください。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-ID_CERT_RENEW_FAILED: Identity certificate renewal failed.

説明 デバイスは Cisco と長期間通信していないため、Cisco へのデバイス登録を自動的に更新できませんでした。

推奨アクション Smart Call Home と cisco.com へのネットワーク接続を確認してください。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-ENTITLEMENT_RENEW_FAILED: Entitlement authorization with Cisco licensing cloud failed.

説明 デバイスは、権限付与の認証を更新するための Cisco との通信に失敗しました。

推奨アクション スマート エージェントの Syslog メッセージで詳しい情報を確認してください。さらに、Smart Call Home の設定と cisco.com へのネットワーク接続を確認してください。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-COMM_FAILED: Communications failure with Cisco licensing cloud.

説明 デバイスの Cisco ライセンス サービスとの通信に失敗しました。

推奨アクション Smart Call Home と cisco.com へのネットワーク接続を確認してください。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-CERTIFICATE_VALIDATION: Certificate validation failed by smart agent.

説明 アイデンティティ証明書の検証に失敗しました。

推奨アクション スマート エージェントの Syslog ファイルで追加情報を確認してください。スマート エージェントのデバッグ モードをオンにし(CLI コマンド:license smart debug enable)、追加情報を再度取得してみます。さらに、アイデンティティ証明書が有効期限に達しているかどうかを確認します。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-AUTH_RENEW_FAILED: Authorization renewal with Cisco licensing cloud failed.

説明 認証の更新要求に失敗しました。これは、Smart Call Home の設定が間違っているか、または cisco.com へのネットワーク接続障害が原因で生じている可能性があります。

推奨アクション スマート エージェントの Syslog ファイルで追加情報を確認してください。スマート エージェントのデバッグ モードをオンにし、詳細情報を取得するように再試行します。さらに、Smart Call Home の設定と cisco.com へのネットワーク接続を確認します。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-INVALID_TAG: The entitlement tag is invalid.

説明 タグが Cisco Smart Software Manager に定義されていません。

推奨アクション このエラーを Cisco に報告します。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-INVALID_ROLE_STATE: The current role is not allowed to move to the new role.

説明 前の役割イベントからは、特定の役割にしか移動できません。デバイスは、スマート エージェントがフォローできない役割に移動しています。

推奨アクション スマート エージェントの Syslog ファイルで追加情報を確認してください。スマート エージェントのデバッグ モードをオンにし、詳細情報を取得するように再試行します。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-EVAL_WILL_EXPIRE_WARNING: Evaluation period will expire in time.

説明 デバイスは、指定された時間に期限が切れる評価期間を使用しています。

推奨アクション 評価期間の期限が切れる前に、‘license smart register ID token’ CLI を使用して、このデバイスを登録します。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-EVAL_EXPIRED_WARNING: Evaluation period expired on time.

説明 デバイスの評価期間が切れました。

推奨アクション ‘license smart register ID token’ CLI を使用して、このデバイスを登録します。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-ID_CERT_EXPIRED_WARNING: This device's registration will expire in time.

説明 このデバイスの登録は指定された時間に期限が切れます。これは通常、Cisco ライセンス認証局との通信障害を示します。

推奨アクション Smart Call Home と cisco.com へのネットワーク接続を確認してください。また、アイデンティティ証明書を更新する必要があるかどうかを確認します。

エラーメッセージ %ASA-3-444303: %SMART_LIC-3-CONFIG_OUT_OF_SYNC: Trusted Store Enable flag not in sync with System Configuration, TS flag Config flag.

説明 スマート ライセンスの設定が永続ストレージのイネーブル フラグの値と一致しません。これは、設定がシステムにコピーされ、リロードが実行されると発生する可能性があります。新しい設定に Smart Licensing Enable コマンドが含まれていないと、永続ストレージ内の値は一致しません。

推奨アクション 必要なスマート ライセンス コンフィギュレーション コマンドを適用し、設定を保持します。

エラーメッセージ %ASA-3-444303: %SMART_LIC-3-REG_EXPIRED_CLOCK_CHANGE: Smart Licensing registration has expired because the system time was changed outside the validity period of the registration period. The agent will transition to the un-registered state in 60 minutes.

説明 システム クロックが変更されたため、有効な登録期間外になっています。1 時間以内にクロックが登録有効期間内の値にリセットされれば、スマート ライセンスは通常のように機能を続行します。クロックがリセットされないとデバイスは登録を解除されるため、新しい ID トークンを取得してデバイスを再登録する必要があります。登録有効期間は、アイデンティティ証明書にある開始日と終了日によって定義されます。'show tech license' を使用して、アイデンティティ証明書情報を取得します。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-ROOT_CERT_MISMATCH_PROD: Certificate type mismatch.

説明 スマート エージェントは検証で不正な証明書を受け取りました。製品サポート チームに問い合わせてください。

エラー メッセージ %ASA-3-444303: %SMART_LIC-3-HOT_STANDBY_OUT_OF_SYNC: Smart Licensing agent on hot standby is out of sync with active Smart Licensing agent.

説明 ホット スタンバイ上のスマート ライセンス エージェントがアクティブなエージェントとの同期を維持するために必要なデータの処理に失敗しました。スイッチオーバーが行われ、新しいアクティブ エージェントが現在のアクティブ エージェントと同じ状態ではない場合、永続ストレージのイネーブル フラグの値とコンフィギュレーションが一致しません。これは、設定がシステムにコピーされ、リロードが実行されると発生する可能性があります。新しい設定に Smart Licensing Enable コマンドが含まれていないと、永続ストレージ内の値は一致しません。

444304

エラー メッセージ %ASA-4-444304: %SMART_LIC-4-IN_OVERAGE: One or more entitlements are in overage.

説明 このメッセージは、単なる情報メッセージです。顧客はコンプライアンスに従っており、契約に指定されている超過量内に収まっています。

エラー メッセージ %ASA-4-444304: %SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved.

これは、情報提供だけが目的です。顧客は IN/OUT_OF コンプライアンス状態のままです。

推奨アクションなし。

444305

エラー メッセージ %ASA-5-444305: %SMART_LIC-5-SYSTEM_CLOCK_CHANGED: Smart Agent for Licensing System clock has been changed.

説明 システム クロックが手動でリセットされました。

エラー メッセージ %ASA-5-444305: %SMART_LIC-5-IN_COMPLIANCE: All entitlements are authorized.

説明 すべての顧客が要求した権限付与は、シスコ ライセンス サービスによって承認されました。

エラー メッセージ %ASA-5-444305: %SMART_LIC-5-EVAL_START: Entering evaluation period.

説明 顧客が登録前に権限付与を割り当てているか、顧客の登録の期限が切れています。デバイスは登録が解除されており、評価モードの状態です。

エラー メッセージ %ASA-5-444305: %SMART_LIC-5-AUTHORIZATION_EXPIRED: Authorization expired.

説明 デバイスは Cisco と長期間通信していないため、権限付与の認証を自動的に更新していません。

エラー メッセージ %ASA-5-444305: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco licensing cloud restored.

説明 スマート エージェントの Cisco ライセンス サービスとの通信が復元されています。

エラー メッセージ %ASA-5-444305: %SMART_LIC-5-COMM_INIT_FAILED: Failed to initialize communications with the Cisco Licensing Cloud.

説明 スマート エージェントは、Cisco ライセンス サービスとの通信を初期化できませんでした。

推奨アクションなし。

444306

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-AGENT_READY: Smart Agent for Licensing is initialized.

説明 スマート エージェントが初期化され、使用できる状態です。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-AGENT_ENABLED: Smart Agent for Licensing is enabled.

説明 スマート エージェントが有効で、使用できる状態です。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with Cisco licensing cloud successful.

説明 スマート ライセンスの登録に成功しました。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-AGENT_DEREG_SUCCESS: Smart Agent for Licensing De-registration with Cisco licensing cloud successful.

説明 スマート ライセンスの登録解除に成功しました。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-DISABLED: Smart Agent for Licensing disabled.

説明 スマート エージェントが無効になっています。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-ID_CERT_RENEW_SUCCESS: Identity certificate renewal successful.

説明 顧客のアイデンティティ証明書が正常に更新され、デバイスの使用を続行できます。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-ENTITLEMENT_RENEW_SUCCESS: Entitlement authorization renewal with Cisco licensing cloud successful.

説明 認証の更新要求に成功しています。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with Cisco licensing cloud successful.

説明 顧客が要求した権限付与の認証が正常に更新されました。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-HA_ROLE_CHANGED: Smart Agent HA role changed to role.

説明 HA RP のスマート エージェントの役割がアクティブまたはスタンバイのいずれかに変更されました。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-HA_CHASSIS_ROLE_CHANGED: Smart Agent HA chassis role changed to role.

説明 HA のスマート エージェントのシャーシの役割がアクティブまたはスタンバイのいずれかに変更されました。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-AGENT_ALREADY_REGISTER: Smart Agent is already registered with the Cisco licensing cloud.

説明 スマート ライセンスはすでに Cisco に登録されています。もう一度登録するには、強制オプションを使用します。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-AGENT_ALREADY_DEREGISTER: Smart Agent is already Deregistered with the CSSM.

説明 スマート ライセンスはすでに Cisco から登録解除されているため、もう一度登録するには強制オプションを使用します。

エラー メッセージ %ASA-6-444306: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is status.

説明 エクスポート制御機能の使用が許可されているかどうかの通知です。このメッセージは、Cisco ライセンス クラウドへの登録後に生成されます。

推奨アクションなし。

444307

エラー メッセージ %ASA-7-444307: %SMART_LIC-7-DAILY_JOB_TIMER_RESET: Daily job timer reset.

説明 このメッセージはテスト目的でのみ使用され、エラーを示すものではありません。

推奨アクションなし。

446001

エラー メッセージ %ASA-4-446001: Maximum TLS Proxy session limit of max_sess reached.

説明 TLS プロキシの設定済み最大セッション制限に達しました。制限を超える新しいセッションは拒否されました。

  • max_sess:現在有効な最大セッション制限

推奨アクション より多くの TLS セッションが必要な場合は、tls-proxy maximum-sessions max_sess コマンドを使用して、制限値を大きくします。または、tls-proxy proxy_name コマンドと tls-proxy maximum-sessions max_sess コマンドを使用し、その後リブートしてコマンドを有効にすることもできます。

446003

エラーメッセージ %ASA-4-446003: Denied TLS Proxy session from src_int :src_ip /src_port to dst_int :dst_ip /dst_port , UC-IME license is disabled.

説明 UC-IME ライセンスがオンまたはオフです。UC-IME は、いったんイネーブルにすると、Secure Firewall ASA の制限および K8 エクスポート制限に従って、使用可能な TLS セッションをいくつでも使用できます。

  • src_int:送信元インターフェイス名(inside または outside)
  • src_ip:送信元 IP アドレス
  • src_port:送信元ポート
  • dst_int:宛先インターフェイス名(inside または outside)
  • dst_ip:宛先 IP アドレス
  • dst_port:宛先ポート

推奨アクション UC-IME が無効になっているかどうかを確認します。無効になっている場合は有効にします。

447001

エラーメッセージ %ASA-4-447001: ASP DP to CP queue_name was full. Queue length length , limit limit

説明このメッセージは、Control Point(CP; コントロール ポイント)イベント キューへの特定の Data Path(DP; データ パス)がいっぱいになり、1 つまたは複数のエンキュー アクションが失敗したことを示します。イベントに CP アプリケーション インスペクション用などのパケット ブロックが含まれる場合、パケットは DP によって廃棄され、show asp drop コマンドからのカウンタが増加します。イベントが CP へのパント用の場合、[Punt no memory] ASP 廃棄カウンタが標準カウンタとして使用されます。

  • queue:DP-CP イベント キューの名前。
  • length:キューにある現在のイベント数。
  • limit:キューで許容されるイベントの最大数。

推奨アクション キューがいっぱいの状態は、CP に対する負荷が CP 処理能力を超えていることを示します。これは、一時的な状態の場合もあれば、そうでない場合もあります。このメッセージが繰り返し表示される場合は、CP に対する機能負荷を軽減することを検討してください。show asp event dp-cp コマンドを使用して、イベント キューの負荷に最も影響を及ぼしている機能を特定できます。

448001

エラーメッセージ %ASA-4-448001: Denied SRTP crypto session setup on flow from src_int :src_ip /src_port to dst_int :dst_ip /dst_port , licensed K8 SRTP crypto session of limit exceeded

説明 K8 プラットフォームでは、250 個の SRTP 暗号化セッションの制限が適用されます。SRTP の暗号化または復号化セッションのペアは、1 個の SRTP 暗号化セッションとしてカウントされます。コールがこの制限に対してカウントされるのは、メディアで暗号化または復号化が必要な場合のみです。つまり、コールに対してパススルーが設定されている場合、両方のレッグが SRTP を使用する場合でも、この制限に対してカウントされません。

  • src_int:送信元インターフェイス名(inside または outside)
  • src_ip:送信元 IP アドレス
  • src_port:送信元ポート
  • dst_int:宛先インターフェイス名(inside または outside)
  • dst_ip:宛先 IP アドレス
  • dst_port:宛先ポート
  • limit:SRTP 暗号化セッション(250)の K8 制限

推奨アクション必要なし。既存の SRTP 暗号化セッションが解放された場合のみ新しい SRTP 暗号化セッションを設定できます。

450001

エラー メッセージ ASA-4-450001: Deny traffic for protocol protocol_id src interface_name :IP_address /port dst interface_name :IP_address /port , licensed host limit of num exceeded.

説明 ライセンスされているホスト制限を超えました。このメッセージは、ASA 5505 の ASA にだけ適用されます。

  • protocol_id:プロトコル ID 番号
  • interface_name:パケットの送信側または受信側に関連付けられているインターフェイス
  • IP_address:パケットの送信側/受信側の IP アドレス
  • port:転送されたパケットのポート番号
  • num:ホスト制限の最大値

推奨アクション必要なし。