メッセージ 101001 ~ 109104
この項では、101001 から 109104 までのメッセージについて説明します。
101001
エラーメッセージ %FTD-1-101001: (Primary) Failover cable OK.
説明フェールオーバー ケーブルが接続され、正常に機能しています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
101002
エラーメッセージ %FTD-1-101002: (Primary) Bad failover cable.
説明フェールオーバー ケーブルが接続されていますが、正常に機能していません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション フェールオーバー ケーブルを交換します。
101003、101004
エラーメッセージ %FTD-1-101003: (Primary) Failover cable not connected (this unit).
エラーメッセージ %FTD-1-101004: (Primary) Failover cable not connected (other unit).
説明フェールオーバー モードがイネーブルになっていますが、フェールオーバー ケーブルがフェールオーバー ペアの一方の装置に接続されていません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション フェールオーバー ケーブルをフェールオーバー ペアの両方の装置に接続します。
101005
エラーメッセージ %FTD-1-101005: (Primary) Error reading failover cable status.
説明フェールオーバー ケーブルが接続されていますが、プライマリ装置が自分のステータスを判断できません。
推奨アクション ケーブルを交換します。
103001
エラーメッセージ %FTD-1-103001: (Primary) No response from other firewall (reason code = code).
説明プライマリ装置がフェールオーバー ケーブル経由でセカンダリ装置と通信できません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。次の表に、フェールオーバーが発生した原因を判断するための原因コードおよび説明を示します。
理由コード |
説明 |
---|---|
1 |
ローカル装置が、LAN フェールオーバーが発生した場合はフェールオーバー LAN インターフェイス上で、シリアルフェールオーバーが発生した場合はシリアル フェールオーバー ケーブル上で、hello パケットを受信しておらず、ピアがダウンしたと宣言しています。 |
2 |
インターフェイスが 4 つのフェールオーバー テストのうちのいずれか 1 つを通過させませんでした。4 つのテストは、1)Link Up、2)Monitor for Network Traffic、3)ARP、および 4)Broadcast Ping です。 |
3 |
シリアル ケーブルでコマンドが送信された後 15 秒以上適切な ACK が受信されません。 |
4 |
フェールオーバー LAN インターフェイスがダウンし、他のデータ インターフェイスは、別のインターフェイスのテストに応答していません。また、ローカル装置はピアがダウンしていることを宣言しています。 |
5 |
コンフィギュレーション同期化プロセス中に、スタンバイ ピアがダウンしました。 |
6 |
複製は完了していません。フェールオーバー装置は同期されません。 |
推奨アクション フェールオーバー ケーブルが正しく接続され、両方の装置が同じハードウェア、ソフトウェア、およびコンフィギュレーションになっていることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
103002
エラーメッセージ %FTD-1-103002: (Primary) Other firewall network interface interface_number OK.
説明セカンダリ装置のネットワーク インターフェイスが正常であることをプライマリ装置が検出しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
103003
エラーメッセージ %FTD-1-103003: (Primary) Other firewall network interface interface_number failed.
説明セカンダリ装置に不良ネットワーク インターフェイスをプライマリ装置が検出しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション セカンダリ装置のネットワーク接続とネットワーク ハブ接続を確認します。必要に応じて、障害の発生したネットワーク インターフェイスを交換します。
103004
エラーメッセージ %FTD-1-103004: (Primary) Other firewall reports this firewall failed. Reason: reason-string
説明プライマリ装置に障害が発生していることを示すメッセージをプライマリ装置がセカンダリ装置から受信しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。理由は、次のいずれかになります。
- フェールオーバー コマンド インターフェイスのポーリング パケット失敗がしきい値を超過しました。
- LAN フェールオーバー インターフェイスが失敗しました。
- ピアが Standby Ready 状態への移行に失敗しました。
- コンフィギュレーションの完全なレプリケーションに失敗しました。このファイアウォールのコンフィギュレーションが同期していない可能性があります。
- フェールオーバー メッセージの送信に失敗し、受信使用状態の ACK が受信されません。
推奨アクション プライマリ装置のステータスを確認します。
103005
エラーメッセージ %FTD-1-103005: (Primary) Other firewall reporting failure. Reason: SSM card failure
説明セカンダリ装置がプライマリ装置に SSM カードの障害を報告しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション セカンダリ装置のステータスを確認します。
103006
エラーメッセージ %FTD-1-103006: (Primary|Secondary) Mate version ver_num is not compatible with ours ver_num
説明ローカル装置と異なるバージョンを実行している、HA Hitless Upgrade 機能と互換性がないピア装置を Firepower Threat Defense デバイス が検出しました。
-
ver_num:バージョン番号
推奨アクション両方の装置に、同じバージョンまたは互換性のあるバージョンのイメージをインストールします。
103007
エラーメッセージ %FTD-1-103007: (Primary|Secondary) Mate version ver_num is not identical with ours ver_num
説明ピア装置で実行されているバージョンがローカル装置と異なるが、Hitless Upgrade をサポートしており、ローカル装置と互換性があることを Firepower Threat Defense デバイス が検出しました。イメージのバージョンが異なるために、システムのパフォーマンスが低下するおそれがあります。また、異なるイメージを長期間実行すると、Firepower Threat Defense デバイス で安定性の問題が発生する可能性があります。
- ver_num:バージョン番号
推奨アクションできるだけ早く、両方の装置に同じバージョンのイメージをインストールします。
103008
エラーメッセージ %FTD-1-103008: Mate hwdib index is not compatible
説明アクティブ装置とスタンバイ装置のインターフェイス数が同じではありません。
推奨アクション ユニット間のインターフェイスの数が同じであることを確認します。場合によって、追加のインターフェイス モジュールを取り付けるか、または別のデバイスを使用する必要があります。物理インターフェイスが一致したら、HA を一時停止してから再開することで、設定の同期を強制します。
104001、104002
エラーメッセージ %FTD-1-104001: (Primary) Switching to ACTIVE (cause: string ).
エラーメッセージ %FTD-1-104002: (Primary) Switching to STANDBY (cause: string ).
説明スタンバイ装置で failover active コマンドを入力するか、またはアクティブ装置で no failover active コマンドを入力することによって強制的にフェールオーバー ペアの役割が切り替えられました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。string 変数の値は次のとおりです。
- state check
- bad/incomplete config
- ifc [interface] check, mate is healthier
- the other side wants me to standby
- in failed state, cannot be active
- switch to failed state
- other unit set to active by CLI config command fail active
推奨アクション手作業による介入が原因でメッセージが表示される場合は、処置は不要です。それ以外の場合は、セカンダリ装置から報告された原因を使用して、ペアの装置両方のステータスを確認します。
104003
エラーメッセージ %FTD-1-104003: (Primary) Switching to FAILED.
説明プライマリ装置に障害が発生しました。
推奨アクション プライマリ装置のメッセージを確認して、問題の内容を示す表示がないかどうかを調べます(メッセージ 104001 を参照)。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
104004
エラーメッセージ %FTD-1-104004: (Primary) Switching to OK.
説明前に障害になった装置が再び動作していると報告しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
105001
エラーメッセージ %FTD-1-105001: (Primary) Disabling failover.
説明バージョン 7.x 以降では、このメッセージは、モードのミスマッチ(シングルまたはマルチ)、ライセンスのミスマッチ(暗号化またはコンテキスト)、またはハードウェアの相違(一方の装置には IPS SSM がインストールされ、そのピアには CSC SSM がインストールされている)が原因でフェールオーバーが自動的にディセーブルになったことを示す場合があります。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
105002
エラーメッセージ %FTD-1-105002: (Primary) Enabling failover.
説明これまでフェールオーバーをディセーブルにしていたコンソールで引数を指定せずに failover コマンドが使用されました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
105003
エラーメッセージ %FTD-1-105003: (Primary) Monitoring on interface interface_name waiting
説明 Firepower Threat Defense デバイス が指定されたネットワーク インターフェイス(フェールオーバー ペアの相手装置とのインターフェイス)をテストしています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。Firepower Threat Defense デバイス は、正常動作中に自分のネットワーク インターフェイスを頻繁にモニタします。
105004
エラーメッセージ %FTD-1-105004: (Primary) Monitoring on interface interface_name normal
説明指定されたネットワーク インターフェイスのテストが成功しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
105005
エラーメッセージ %FTD-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.
説明フェールオーバー ペアの一方の装置がペアの相手装置と通信できなくなりました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション指定されたインターフェイスに接続されているネットワークが正しく機能していることを確認します。
105006、105007
エラーメッセージ%FTD-1-105006: (Primary) Link status Up on interface interface_name.
エラーメッセージ %FTD-1-105007: (Primary) Link status Down on interface interface_name.
説明指定されたインターフェイスのリンク ステータスのモニタリング結果が報告されました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション リンク ステータスがダウンである場合は、指定されたインターフェイスに接続されているネットワークが正しく動作していることを確認します。
105008
エラーメッセージ %FTD-1-105008: (Primary) Testing interface interface_name.
説明指定されたネットワーク インターフェイスのテストが行われました。このテストは、想定された間隔後にFirepower Threat Defense デバイスがそのインターフェイス上でスタンバイ装置からメッセージを受け取ることができなかった場合に限って実行されます。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
105009
エラーメッセージ %FTD-1-105009: (Primary) Testing on interface interface_name {Passed|Failed}.
説明前のインターフェイス テストの結果(Passed または Failed)が報告されました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション結果が Passed であれば不要です。結果が Failed の場合は、両方のフェールオーバー装置へのネットワーク ケーブル接続、およびネットワーク自体が正しく機能していることをチェックし、スタンバイ装置のステータスを確認します。
105010
エラーメッセージ %FTD-3-105010: (Primary) Failover message block alloc failed.
説明ブロック メモリが枯渇しました。これは一時メッセージで、Firepower Threat Defense デバイスは回復する必要があります。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション show blocks コマンドを使用して、現在のブロック メモリをモニタします。
105011
エラーメッセージ %FTD-1-105011: (Primary) Failover cable communication failure
説明フェールオーバー ケーブルがプライマリ装置とセカンダリ装置間の通信を許可していません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション ケーブルが正しく接続されていることを確認します。
105020
エラーメッセージ %FTD-1-105020: (Primary) Incomplete/slow config replication
説明フェールオーバーが発生すると、アクティブな Firepower Threat Defense デバイス はメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション Firepower Threat Defense デバイス がフェールオーバーを検出した後、Firepower Threat Defense デバイス は自動的にリブートして、フラッシュ メモリからコンフィギュレーションをロードするか、または別の Firepower Threat Defense デバイス と再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方の Firepower Threat Defense デバイス 装置が互いに通信できることを確認します。
105021
エラーメッセージ %FTD-1-105021: (failover_unit ) Standby unit failed to sync due to a locked context_name config. Lock held by lock_owner_name
説明コンフィギュレーションの同期化中に、他の何らかのプロセスが 5 分を超えてコンフィギュレーションをロックして、フェールオーバー プロセスが新しいコンフィギュレーションを適用するのを妨げている場合、スタンバイ装置は自分自身をリロードします。これは、コンフィギュレーション同期化の進行中に、管理者がスタンバイ装置で実行コンフィギュレーションに目を通している場合に発生することがあります。コマンドリファレンスガイドで、特権 EXEC モードの show running-config コマンドと、グローバル コンフィギュレーション モードの pager lines num コマンドも参照してください。
推奨アクション スタンバイ装置が最初にブートし、アクティブ装置とのフェールオーバー接続を確立している間は、スタンバイ装置でコンフィギュレーションを表示または修正しないでください。
105031
エラーメッセージ %FTD-1-105031: Failover LAN interface is up
説明 LAN フェールオーバー インターフェイス リンクがアップしています。
推奨アクション必要なし。
105032
エラーメッセージ %FTD-1-105032: LAN Failover interface is down
説明 LAN フェールオーバー インターフェイス リンクがダウンしています。
推奨アクション LAN フェールオーバー インターフェイスの接続を確認します。速度または二重通信の設定が正しいことを確認します。
105033
エラーメッセージ %FTD-1-105033: LAN FO cmd Iface down and up again
説明フェールオーバーの LAN インターフェイスがダウンしました。
推奨アクション フェールオーバー リンクを確認してください。通信に問題がある可能性があります。
105034
エラーメッセージ %FTD-1-105034: Receive a LAN_FAILOVER_UP message from peer.
説明ピアがブートされて、初期コンタクト メッセージが送信されました。
推奨アクション必要なし。
105035
エラーメッセージ %FTD-1-105035: Receive a LAN failover interface down msg from peer.
説明ピア LAN フェールオーバー インターフェイス リンクがダウンしています。装置がスタンバイ モードになっている場合、アクティブ モードに切り替わります。
推奨アクション ピア LAN フェールオーバー インターフェイスの接続を確認します。
105036
エラーメッセージ %FTD-1-105036: dropped a LAN Failover command message.
説明 Firepower Threat Defense デバイス は無応答の LAN フェールオーバー コマンド メッセージを廃棄しました。これは LAN フェールオーバー インターフェイスに接続障害が存在することを示します。
推奨アクション LAN インターフェイス ケーブルが接続されていることを確認します。
105037
エラーメッセージ %FTD-1-105037: The primary and standby units are switching back and forth as the active unit.
説明プライマリ装置およびスタンバイ装置がアクティブ装置として交互に切り替わっています。これは、LAN フェールオーバー接続障害またはソフトウェアのバグが存在することを示します。
推奨アクション LAN インターフェイス ケーブルが接続されていることを確認します。
105038
エラーメッセージ %FTD-1-105038: (Primary) Interface count mismatch
説明フェールオーバーが発生すると、アクティブな Firepower Threat Defense デバイス はメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション Firepower Threat Defense デバイス によってフェールオーバーが検出されると、Firepower Threat Defense デバイス は自動的にリブートして、フラッシュ メモリからコンフィギュレーションをロードするか、または別の Firepower Threat Defense デバイス と再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方の Firepower Threat Defense デバイス 装置が互いに通信できることを確認します。
105039
エラーメッセージ %FTD-1-105039: (Primary) Unable to verify the Interface count with mate. Failover may be disabled in mate.
説明フェールオーバーは最初にプライマリおよびセカンダリの Firepower Threat Defense デバイス で設定されているインターフェイスの数が同じであることを確認します。このメッセージは、セカンダリのFirepower Threat Defense デバイスで設定されているインターフェイスの数をプライマリのFirepower Threat Defense デバイスが確認できないことを示します。このメッセージは、プライマリ Firepower Threat Defense デバイス がフェールオーバー インターフェイス経由でセカンダリ Firepower Threat Defense デバイス と通信できないことを示します。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション プライマリおよびセカンダリの Firepower Threat Defense デバイス でフェールオーバー LAN、インターフェイス設定、およびステータスを確認します。セカンダリ Firepower Threat Defense デバイス が Firepower Threat Defense デバイス アプリケーションを実行しており、フェールオーバーが有効であることを確認します。
105040
エラーメッセージ %FTD-1-105040: (Primary) Mate failover version is not compatible.
説明プライマリおよびセカンダリの Firepower Threat Defense デバイス は、フェールオーバー ペアとして動作するために同じフェールオーバー ソフトウェアのバージョンを実行する必要があります。このメッセージは、セカンダリのFirepower Threat Defense デバイス フェールオーバー ソフトウェアのバージョンがプライマリのFirepower Threat Defense デバイスと互換性がないことを示します。フェールオーバーがプライマリのFirepower Threat Defense デバイスでディセーブルになっています。Primary は、セカンダリの Firepower Threat Defense デバイス の場合は Secondary と示されることもあります。
推奨アクション フェールオーバーをイネーブルにするために、プライマリおよびセカンダリの Firepower Threat Defense デバイス 間で一致したソフトウェア バージョンを使用します。
105041
エラーメッセージ %FTD-1-105041: cmd failed during sync
説明アクティブ装置とスタンバイ装置のインターフェイス数が同じではないため、nameif コマンドの複製に失敗しました。
推奨アクション ユニット間のインターフェイスの数が同じであることを確認します。場合によって、追加のインターフェイス モジュールを取り付けるか、または別のデバイスを使用する必要があります。物理インターフェイスが一致したら、HA を一時停止してから再開することで、設定の同期を強制します。
105042
エラーメッセージ %FTD-1-105042: (Primary) Failover interface OK
説明 LAN フェールオーバー インターフェイス リンクがアップしています。
セカンダリのFirepower Threat Defense デバイスにフェールオーバー メッセージを送信するために使用されるインターフェイスが機能しています。Primary は、セカンダリの Firepower Threat Defense デバイス の場合は Secondary と示されることもあります。
推奨アクション必要なし。
105043
エラーメッセージ %FTD-1-105043: (Primary) Failover interface failed
説明 LAN フェールオーバー インターフェイス リンクがダウンしています。
推奨アクション LAN フェールオーバー インターフェイスの接続を確認します。速度または二重通信の設定が正しいことを確認します。
105044
エラーメッセージ %FTD-1-105044: (Primary) Mate operational mode mode is not compatible with my mode mode.
説明動作モード(シングルまたはマルチ)がフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。
推奨アクション同じ動作モードになるようにフェールオーバー ピアを設定してから、フェールオーバーを再度イネーブルにします。
105045
エラーメッセージ %FTD-1-105045: (Primary) Mate license (number contexts) is not compatible with my license (number contexts).
説明フィーチャ ライセンスがフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。
推奨アクション同じフィーチャ ライセンスを持つようにフェールオーバー ピアを設定してから、フェールオーバーを再度イネーブルにします。
105046
エラーメッセージ %FTD-1-105046 (Primary|Secondary) Mate has a different chassis
説明 2 つのフェールオーバー装置が異なるタイプのシャーシを持っています。たとえば、一方が 3 スロットのシャーシを持ち、もう一方が 6 スロットのシャーシを持つ場合です。
推奨アクション 2 つのフェールオーバー装置が同じであることを確認します。
105047
エラーメッセージ %FTD-1-105047: Mate has a io_card_name1 card in slot slot_number which is different from my io_card_name2
説明 2 つのフェールオーバー装置は、対応するスロットに異なるタイプのカードが実装されています。
推奨アクション フェールオーバー装置のカード コンフィギュレーションが同じであることを確認します。
105048
エラーメッセージ %FTD-1-105048: (unit ) Mate’s service module (application ) is different from mine (application )
説明アクティブ装置とスタンバイ装置のサービス モジュールで異なるアプリケーションが動作していることをフェールオーバー プロセスが検出しました。異なるサービス モジュールが使用されている場合、2 つのフェールオーバー装置は互換性がありません。
- unit:プライマリまたはセカンダリ
- application:アプリケーションの名前(たとえば、InterScan Security Card)
推奨アクション フェールオーバーを再度イネーブルにする前に、両方の装置が同じサービス モジュールを装備していることを確認します。
105050
エラーメッセージ %FTD-3-105050: ASAv ethernet interface mismatch
説明スタンバイ装置のイーサネット インターフェイスの数がアクティブ装置のイーサネット インターフェイスの数より少ないです。
推奨アクション同じ数のインターフェイスを持つ Firepower Threat Defense デバイス を互いにペアにする必要があります。ユニット間のインターフェイスの数が同じであることを確認します。場合によって、追加のインターフェイス モジュールを取り付けるか、または別のデバイスを使用する必要があります。物理インターフェイスが一致したら、HA を一時停止してから再開することで、設定の同期を強制します。
106001
エラーメッセージ %FTD-2-106001: Inbound TCP connection denied from IP_address/port to IP_address/port flags tcp_flags on interface interface_name
説明内部アドレスへの接続の試行が、指定されたトラフィック タイプに定義されたセキュリティ ポリシーによって拒否されました。表示される IP アドレスは、NAT によって表示される IP アドレスではなく実際の IP アドレスです。表示される tcp_flags 値は、接続が拒否されたときに存在していた TCP ヘッダーのフラグに対応します。たとえば、Firepower Threat Defense デバイスに接続状態が存在しない TCP パケットが到着し、それが廃棄された場合です。このパケットの tcp_flags は FIN および ACK です。
tcp_flags を次に示します。
- ACK:肯定応答番号が受信されました。
- FIN:データが送信されました。
- PSH:受信者がデータをアプリケーションに渡しました。
- RST:接続がリセットされました。
- SYN:シーケンス番号が接続を開始するために同期化されました。
- URG:緊急ポインタが有効であると宣言されました。
推奨アクション必要なし。
106002
エラーメッセージ %FTD-2-106002: protocol Connection denied by outbound list acl_ID src inside_address dest outside_address
説明指定された接続は、outbound deny コマンドが原因で失敗しました。protocol 変数は ICMP、TCP、または UDP になります。
推奨アクション show outbound コマンドを使用して、発信リストを確認します。
106006
エラーメッセージ %FTD-2-106006: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port on interface interface_name.
説明着信 UDP パケットが、指定されたトラフィック タイプに定義されているセキュリティ ポリシーによって拒否されました。
推奨アクション必要なし。
106007
エラーメッセージ %FTD-2-106007: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port due to DNS {Response|Query}.
説明 DNS クエリーまたは応答を含む UDP パケットが拒否されました。
推奨アクション内部ポート番号が 53 の場合、内部ホストはキャッシング ネーム サーバとして設定されていると考えられます。access-list コマンド文を追加して、UDP ポート 53 のトラフィックおよび内部ホストの変換エントリを許可します。外部ポート番号が 53 の場合、DNS サーバの応答が遅かったため、クエリーには別のサーバが応答したと考えられます。
106010
エラーメッセージ %FTD-3-106010: Deny inbound protocol src [interface_name : source_address/source_port ] [([idfw_user | FQDN_string ], sg_info )] dst [interface_name : dest_address /dest_port }[([idfw_user | FQDN_string ], sg_info )]
説明着信接続は、セキュリティ ポリシーによって拒否されました。
推奨アクション トラフィックを許可する必要がある場合は、セキュリティ ポリシーを修正します。このメッセージが繰り返し表示される場合は、リモート ピアの管理者にお問い合わせください。
106011
エラーメッセージ %FTD-3-106011: Deny inbound (No xlate) string
説明このメッセージは、Web ブラウザ経由でインターネットにアクセスしている内部ユーザがいる場合、通常のトラフィック条件で表示されます。接続がリセットされた場合は常に、Firepower Threat Defense デバイス が接続リセットを受信した後にその接続の端にあるホストがパケットを送信すると、このメッセージが表示されます。これは通常、無視してかまいません。
推奨アクション no logging message 106011 コマンドを入力して、このメッセージが syslog サーバに記録されないようにします。
106012
エラーメッセージ %FTD-6-106012: Deny IP from IP_address to IP_address , IP options hex.
説明 IP パケットが IP オプションとともに表示されました。IP オプションはセキュリティ リスクと見なされるので、パケットは廃棄されました。
推奨アクション リモート ホスト システムの管理者に問い合わせて、問題を判別します。ローカル サイトを確認して、あいまいなソース ルーティングや厳密なソース ルーティングがないかどうかを調べます。
106013
エラーメッセージ %FTD-2-106013: Dropping echo request from IP_address to PAT address IP_address
説明 Firepower Threat Defense デバイス は、PAT グローバル アドレスに対応する宛先アドレスを持つ着信 ICMP エコー要求パケットを廃棄しました。着信パケットは、そのパケットを受信するべき PAT ホストを指定できないので廃棄されます。
推奨アクション必要なし。
106014
エラーメッセージ %FTD-3-106014: Deny inbound icmp src interface_name : IP_address [([idfw_user | FQDN_string ], sg_info )] dst interface_name : IP_address [([idfw_user | FQDN_string ], sg_info )] (type dec , code dec )
説明 Firepower Threat Defense デバイス は、着信 ICMP パケット アクセスをすべて拒否しました。デフォルトで、ICMP パケットはすべて、特に許可されている場合を除き、アクセスを拒否されます。
推奨アクション必要なし。
106015
エラーメッセージ %FTD-6-106015: Deny TCP (no connection) from IP_address /port to IP_address /port flags tcp_flags on interface interface_name.
説明 Firepower Threat Defense デバイス は、関連付けられている接続が Firepower Threat Defense 接続テーブルにない TCP パケットを廃棄しました。Firepower Threat Defense デバイス は、新しい接続の確立要求を示す SYN フラグをパケットで探します。その SYN フラグが設定されておらず、既存の接続もない場合、Firepower Threat Defense デバイス はそのパケットを廃棄します。
推奨アクション Firepower Threat Defense デバイス がこれらの無効な TCP パケットを大量に受信する場合を除き、不要です。大量に受信する場合は、パケットを送信元までトレースして、これらのパケットが送信された原因を判別します。
106016
エラーメッセージ %FTD-2-106016: Deny IP spoof from (IP_address ) to IP_address on interface interface_name.
説明宛先 IP アドレスが 0.0.0.0 で、宛先 MAC アドレスが Firepower Threat Defense インターフェイスのアドレスのパケットが Firepower Threat Defense インターフェイスに到着しました。また、このメッセージは、Firepower Threat Defense デバイス が無効な送信元アドレス(たとえば、次に示すアドレスなどの無効アドレス)を持つパケットを廃棄した場合にも生成されます。
- ループバック ネットワーク(127.0.0.0)
- ブロードキャスト(limited、net-directed、subnet-directed、および all-subnets-directed)
- 宛先ホスト(land.c)
スプーフィング パケット検出をさらに強化するには、icmp コマンドを使用して、内部ネットワークに属する送信元アドレスを持つパケットを廃棄するように Firepower Threat Defense デバイス を設定します。現在、access-list コマンドは推奨されておらず、正しく動作することも保証されていません。
推奨アクション外部ユーザが、保護されたネットワークを侵害しようとしているかどうか判断します。設定に誤りのあるクライアントをチェックします。
106017
エラーメッセージ %FTD-2-106017: Deny IP due to Land Attack from IP_address to IP_address
説明 IP 送信元アドレスと IP 宛先が同一で、かつ宛先ポートと送信元ポートが同一のパケットを Firepower Threat Defense デバイス が受信しました。このメッセージは、システムの攻撃を目的としてスプーフィングされたパケットを示します。この攻撃は、Land 攻撃と呼ばれます。
推奨アクションこのメッセージが引き続き表示される場合は、攻撃が進行中である可能性があります。パケットは、攻撃の起点を決定するのに十分な情報を提供しません。
106018
エラーメッセージ %FTD-2-106018: ICMP packet type ICMP_type denied by outbound list acl_ID src inside_address dest outside_address
説明ローカル ホスト(inside_address)から外部ホスト(outside_address)への発信 ICMP パケット(指定された ICMP のパケット)が発信 ACL リストによって拒否されました。
推奨アクション必要なし。
106020
エラーメッセージ %FTD-2-106020: Deny IP teardrop fragment (size = number, offset = number) from IP_address to IP_address
説明 Firepower Threat Defense デバイス が、小さなオフセットまたはフラグメントの重複が含まれる teardrop シグニチャを持つ IP パケットを廃棄しました。これは、Firepower Threat Defense デバイス または侵入検知システムを欺く敵対イベントです。
推奨アクション リモート ピアの管理者に連絡するか、またはセキュリティ ポリシーに従ってこの問題をエスカレーションします。
106021
エラーメッセージ %FTD-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name
説明攻撃が進行中です。インバウンド接続上の IP アドレスのスプーフィングが試みられています。逆ルート ルックアップとも呼ばれる Unicast RPF は、ルートによって表される送信元アドレスを持たないパケットを検出し、そのパケットをFirepower Threat Defense デバイスへの攻撃の一部であると想定します。
このメッセージは、ip verify reverse-path コマンドで Unicast RPF をイネーブルにしている場合に表示されます。この機能は、インターフェイスに入力されるパケットについて動作します。外側で設定されている場合、Firepower Threat Defense デバイスは、外部から到達するパケットを確認します。
Firepower Threat Defense デバイスは、source_address に基づいてルートを検索します。エントリが検出されず、ルートが定義されない場合は、このメッセージが表示され、接続は廃棄されます。
ルートがある場合、Firepower Threat Defense デバイスは対応するインターフェイスを確認します。パケットが別のインターフェイスに到達している場合、スプーフィングであるか、または宛先への複数パスが存在する非対称ルーティング環境であるかのどちらかです。Firepower Threat Defense デバイスは、非対称ルーティングをサポートしていません。
Firepower Threat Defense デバイス が内部インターフェイスで設定されている場合はスタティック route コマンド文または RIP をチェックし、source_address が見つからない場合は、内部ユーザがアドレスをスプーフィングしています。
推奨アクション攻撃が進行中であっても、この機能がイネーブルになっていれば、ユーザによる処置は不要です。Firepower Threat Defense デバイス により、攻撃が阻止されます。
106022
エラーメッセージ %FTD-1-106022: Deny protocol connection spoof from source_address to dest_address on interface interface_name
説明接続と一致するパケットが、その接続が開始されたインターフェイスとは異なるインターフェイスに到着しました。また、ip verify reverse-path コマンドが設定されていません。
たとえば、ユーザが内部インターフェイスで接続を開始したが、Firepower Threat Defense デバイスが境界インターフェイスに到着する同じ接続を検出する場合、Firepower Threat Defense デバイスは宛先へのパスを複数持っていることになります。これは非対称ルーティングと呼ばれ、Firepower Threat Defense デバイスではサポートされていません。
攻撃者は、Firepower Threat Defense デバイスに侵入する方法として、1 つの接続から別の接続にパケットを付加しようと試みることもあります。どちらの場合も、Firepower Threat Defense デバイス はこのメッセージを表示して、接続を廃棄します。
推奨アクション ルーティングが非対称でないことを確認します。
106023
エラーメッセージ%FTD-4-106023: Deny protocol src [interface_name :source_address /source_port ] [([idfw_user |FQDN_string ], sg_info )] dst interface_name :dest_address /dest_port [([idfw_user |FQDN_string ], sg_info )] [type {string }, code {code }] by access_group acl_ID [0x8ed66b60, 0xf8852875]
説明 ACL により実 IP パケットが拒否されました。このメッセージは、ACL に対して log オプションをイネーブルにしていない場合でも表示されます。IP アドレスは、NAT によって表示される値ではなく実際の IP アドレスです。一致するものが見つかった場合、IP アドレスに対応するユーザ ID 情報と FQDN 情報の両方が出力されます。Firepower Threat Defense デバイス は、識別情報(ドメイン\ユーザ)または FQDN(ユーザ名が使用できない場合)のいずれかをログに記録します。識別情報または FQDN が使用可能な場合、Firepower Threat Defense デバイス は、この情報を送信元と宛先の両方のログに記録します。
推奨アクション同じ送信元アドレスからのメッセージが引き続き表示される場合は、フットプリンティングまたはポート スキャンが行われている可能性があります。リモート ホストの管理者にお問い合わせください。
106024
エラーメッセージ %FTD-2-106024: Access rules memory exhausted
説明アクセス リストのコンパイル プロセスで、メモリが不足しています。最後の正常なアクセス リスト以降に追加されたコンフィギュレーション情報はすべて、Firepower Threat Defense デバイス から削除されました。最新のコンパイル済みアクセス リストのセットが引き続き使用されます。
推奨アクション アクセス リスト、AAA、ICMP、SSH、Telnet、および他の規則タイプは、アクセス リストの規則タイプとして格納され、コンパイルされます。これらの規則タイプの一部を削除して、他の規則タイプを追加できるようにします。
106025、106026
エラーメッセージ %FTD-6-106025: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port
protocol
エラーメッセージ %FTD-6-106026: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port
protocol
説明マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。どちらのメッセージも、ルータまたはトランスペアレント モードで廃棄される IP パケットに対して生成されることがあります。
推奨アクション必要なし。
106027
エラーメッセージ %FTD-4-106027:acl_ID: Deny src [source address] dst [destination address] by access-group “access-list name"
説明 ACL により非 IP パケットが拒否されました。このメッセージは、たとえ拡張 ACL に対して log オプションがイネーブルになっていない場合でも表示されます。
推奨アクション同じ送信元アドレスからのメッセージが引き続き表示される場合は、フットプリンティングまたはポート スキャンが行われようとしていることを示している可能性あります。リモート ホストの管理者にお問い合わせください。
106100
エラーメッセージ%FTD-6-106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name /source_address (source_port ) (idfw_user , sg_info ) interface_name /dest_address (dest_port ) (idfw_user , sg_info ) hit-cnt number ({first hit | number -second interval}) hash codes
説明最初の出現か、またはある期間の合計出現数を示します。このメッセージは、拒否されたパケットだけを記録して、ヒット数も設定可能なレベルも含まないメッセージ 106023 よりも多くの情報を提供します。
アクセス リストの行に log 引数が含まれている場合、非同期パケットが Firepower Threat Defense デバイス に到達し、アクセス リストによって評価されることによって、このメッセージ ID がトリガーされる可能性があると想定されます。たとえば、Firepower Threat Defense デバイス で(接続テーブルに TCP 接続が存在しない)ACK パケットを受信した場合、Firepower Threat Defense デバイス によってメッセージ 106100 が生成される可能性があります。このメッセージは、パケットは許可されたが、一致する接続が存在しないために後で正しく廃棄されることを示します。
メッセージの値は次のとおりです。
- permitted | denied | est-allowed:これらの値は、パケットが ACL によって許可されたか拒否されたかを指摘します。値が est-allowed の場合、パケットは ACL によって拒否されましたが、すでに確立されているセッションで許可されました(たとえば、内部ユーザがインターネットへのアクセスを許可され、通常は ACL によって拒否される応答パケットが許可されます)。
- protocol:TCP、UDP、ICMP、または IP プロトコル番号。
- interface_name:ログ フローの送信元または宛先のインターフェイス名。VLAN インターフェイスがサポートされています。
- source_address:ログ フローの送信元 IP アドレス。IP アドレスは、NAT によって表示される値ではなく実際の IP アドレスです。
- dest_address:ログ フローの宛先 IP アドレス。IP アドレスは、NAT によって表示される値ではなく実際の IP アドレスです。
- source_port:ログ フローの送信元ポート(TCP または UDP)。ICMP の場合、送信元ポートの後の数字は、メッセージ タイプです。
- idfw_user:Firepower Threat Defense デバイス が当該 IP アドレスのユーザ名を見つけた場合に既存の syslog に追加される、ドメイン名を含むユーザ識別用ユーザ名。
- sg_info:Firepower Threat Defense デバイス によって当該 IP アドレスのセキュリティ グループ タグが検出された場合に syslog に追加されるセキュリティ グループ タグ。セキュリティ グループ名は、セキュリティ グループ タグがあればそれとともに表示されます。
- dest_port:ログ フローの宛先ポート(TCP または UDP)。ICMP の場合、宛先ポートの後の数字は ICMP メッセージ コードです。これは一部のメッセージ タイプに使用可能です。タイプ 8 の場合、これは常に 0 です。ICMP メッセージ タイプのリストについては、次の URL を参照してください。http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml
- hit-cnt number:設定した期間に、このフローが ACL エントリによって許可または拒否された回数。Firepower Threat Defense デバイス がこのフローに対して最初のメッセージを生成するときの値は 1 です。
- first hit:このフローに対して生成された最初のメッセージ。
- number -second interval:ヒット数を累算する対象期間。この期間は、access-list コマンドで interval オプションを使用して設定します。
- ハッシュ コード:オブジェクト グループ ACE および構成要素の通常の ACE には、必ず 2 が表示されます。値は、パケットがヒットする ACE 上で決定されます。これらのハッシュ コードを表示するには show-access list コマンドを入力します。
推奨アクション必要なし。
106101
エラーメッセージ %FTD-1-106101 Number of cached deny-flows for ACL log has reached limit (number ).
説明 ACL deny 文(access-list id deny コマンド)に log オプションを設定してあり、トラフィック フローが ACL 文と一致する場合、Firepower Threat Defense デバイス はフロー情報をキャッシュします。このメッセージは、Firepower Threat Defense デバイスでキャッシュされる一致フローの数がユーザが設定した制限(access-list deny-flow-max コマンドを使用)を超えたことを示します。このメッセージは、サービス拒絶(DoS)攻撃の結果生成される可能性があります。
- number:access-list deny-flow-max コマンドを使用して設定された制限
推奨アクション必要なし。
106102
エラーメッセージ %FTD-6-106102: access-list acl_ID {permitted|denied} protocol for user username interface_name /source_address source_port interface_name /dest_address dest_port hit-cnt number {first hit|number -second interval} hash codes
説明 VPN フィルタを通じて適用されるアクセス リストによってパケットが許可または拒否されました。このメッセージは、メッセージ 106100 に相当する VPN/AAA フィルタのメッセージです。
推奨アクション必要なし。
106103
エラーメッセージ%FTD-4-106103: access-list acl_ID denied protocol for user username interface_name /source_address source_port interface_name /dest_address dest_port hit-cnt number first hit hash codes
説明 VPN フィルタを通じて適用されるアクセス リストによってパケットが拒否されました。このメッセージは、メッセージ 106023 に相当する VPN/AAA フィルタのメッセージです。
推奨アクション必要なし。
107001
エラーメッセージ%FTD-1-107001: RIP auth failed from IP_address : version=number, type=string, mode=string, sequence=number on interface interface_name
説明 Firepower Threat Defense デバイス は不正な認証を持つ RIP 応答メッセージを受信しました。このメッセージは、ルータまたはFirepower Threat Defense デバイスの設定の誤り、またはFirepower Threat Defense デバイスのルーティング テーブルへの攻撃の失敗が原因となることもあります。
推奨アクション このメッセージは攻撃の可能性を示しているため、モニタする必要があります。このメッセージに示されている送信元 IP アドレスを熟知していない場合は、信頼できるエンティティ間で RIP 認証キーを交換します。攻撃者が既存のキーを判別しようと試みている可能性もあります。
109011
エラーメッセージ %FTD-2-109011: Authen Session Start: user 'user ', sid number
説明認証セッションがホストと Firepower Threat Defense デバイス の間で開始されましたが、まだ完了していません。
推奨アクション必要なし。
109012
エラーメッセージ %FTD-5-109012: Authen Session End: user 'user', sid number, elapsed number seconds
説明認証キャッシュがタイムアウトになっています。ユーザは、次の接続で再認証が必要になります。timeout uauth コマンドを使用して、このタイマーのタイムアウト時間を変更できます。
推奨アクション必要なし。
109013
エラーメッセージ %FTD-3-109013: User must authenticate before using this service
説明ユーザは、サービスを使用する前に認証を受ける必要があります。
推奨アクション サービスを使用する前に FTP、Telnet、または HTTP を使用して認証します。
109016
エラーメッセージ %FTD-3-109016: Can't find authorization ACL acl_ID for user 'user '
説明このユーザの AAA サーバで指定された ACL が、Firepower Threat Defense デバイス に存在しません。このエラーは、Firepower Threat Defense デバイスを設定する前に AAA サーバを設定した場合に発生することがあります。AAA サーバでベンダー固有の属性(VSA)が次の値のいずれかになっている可能性があります。
- acl=acl_ID
- shell:acl=acl_ID
- ACS:CiscoSecured-Defined-ACL=acl_ID
推奨アクション Firepower Threat Defense デバイス に ACL を追加し、AAA サーバで指定したものと同じ名前を必ず使用します。
109018
エラーメッセージ %FTD-3-109018: Downloaded ACL acl_ID is empty
説明ダウンロードされた認可に ACE がありません。この状況は、属性文字列 ip:inacl# のつづりの誤り、または access-list コマンドの省略が原因となっている可能性があります。
junk:junk# 1=permit tcp any any eq junk ip:inacl#1=”
推奨アクション指摘されたエラーのある ACL コンポーネントを AAA サーバ上で修正します。
109019
エラーメッセージ %FTD-3-109019: Downloaded ACL acl_ID has parsing error; ACE string
説明ダウンロードした認可の属性文字列 ip:inacl#NNN= のシーケンス番号 NNN を解析中にエラーが発生しました。= の欠落、数字以外の文字やスペース以外の文字が # と = の間にある、NNN が 999999999 より大きい、などの原因が考えられます。
ip:inacl# 1 permit tcp any any
ip:inacl# 1junk2=permit tcp any any
ip:inacl# 1000000000=permit tcp any any
推奨アクション指摘されたエラーのある ACL 要素を AAA サーバ上で修正します。
109020
エラーメッセージ %FTD-3-109020: Downloaded ACL has config error; ACE
説明ダウンロードされた認可のコンポーネントの 1 つにコンフィギュレーション エラーがあります。要素のテキスト全体がメッセージに含まれています。このメッセージは通常、無効な access-list コマンド文が原因となっています。
推奨アクション指摘されたエラーのある ACL コンポーネントを AAA サーバ上で修正します。
109026
エラーメッセージ %FTD-3-109026: [aaa protocol ] Invalid reply digest received; shared server key may be mismatched.
説明 AAA サーバからの応答を検証できません。設定されたサーバ キーが誤っている可能性があります。このメッセージは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に生成されることがあります。
aaa-server コマンドを使用して設定されたサーバ キーが正しいことを確認します。
109027
エラーメッセージ %FTD-4-109027: [aaa protocol] Unable to decipher response message Server = server_IP_address , User = user
説明 AAA サーバからの応答を検証できません。設定されたサーバ キーが誤っている可能性があります。このメッセージは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に表示されることがあります。server_IP_address は、関連する AAA サーバの IP アドレスです。user は、接続に関連付けられているユーザ名です。
推奨アクション aaa-server コマンドを使用して設定されたサーバ キーが正しいことを確認します。
109029
エラーメッセージ %FTD-5-109029: Parsing downloaded ACL: string
説明ユーザ認証中に RADIUS サーバからダウンロードされたアクセス リストを解析している間に構文エラーが発生しました。
- string:アクセス リストの正しい解析を妨げた構文エラーを詳述するエラー メッセージ
推奨アクションこのメッセージに提示されている情報を使用して、RADIUS サーバ コンフィギュレーション内のアクセス リスト定義にある構文エラーを特定し、訂正します。
109030
エラーメッセージ %FTD-4-109030: Autodetect ACL convert wildcard did not convert ACL access_list source |dest netmask netmask .
説明 RADIUS サーバで設定されたダイナミック ACL が、ワイルドカード ネットマスクを自動的に検出するメカニズムによって変換されませんでした。問題は、ネットマスクがワイルドカードであるか、通常のネットマスクであるかをこのメカニズムが判別できないために発生します。
- access_list:変換できないアクセス リスト
- source:送信元 IP アドレス
- dest:宛先 IP アドレス
- netmask:宛先アドレスまたは送信元アドレスに対する 10 進数表記のサブネット マスク
推奨アクション RADIUS サーバのアクセス リスト ネットマスクを確認して、ワイルドカード コンフィギュレーションがないかどうかを調べます。ネットマスクをワイルドカードにする予定の場合、およびそのサーバのアクセス リスト ネットマスクすべてがワイルドカードである場合、AAA サーバの acl-netmask-convert に wildcard 設定を使用します。それ以外の場合は、ネットマスクを通常のネットマスクまたはホールを含まないワイルドカード ネットマスクに変更します(つまり、ネットマスクは連続する 2 進数の 1 を提示します。たとえば、00000000.00000000.00011111.11111111 または 16 進数の 0.0.31.255 のようになります)。マスクを通常にする予定の場合、およびそのサーバのすべてのアクセス リスト ネットマスクが通常である場合、AAA サーバの acl-netmask-convert に normal 設定を使用します。
109032
エラーメッセージ %FTD-3-109032: Unable to install ACL access_list , downloaded for user username ; Error in ACE: ace .
説明 Firepower Threat Defense デバイス は、ユーザ接続に適用するアクセス コントロール リストを RADIUS サーバから受信しましたが、リストのエントリに構文エラーが含まれています。エラーが含まれるリストを使用すると、セキュリティ ポリシー違反になる可能性があるため、Firepower Threat Defense デバイス はユーザを認証できませんでした。
- access_list:show access-list コマンドの出力に表示されるダイナミック アクセス リストに割り当てられている名前
- username:その接続がこのアクセス リストの制御を受けるユーザの名前
- ace:エラーが検出されたときに処理されていたアクセス リストのエントリ
推奨アクション RADIUS サーバのコンフィギュレーションでアクセス リスト定義を訂正します。
109033
エラーメッセージ %FTD-4-109033: Authentication failed for admin user user from src_IP . Interactive challenge processing is not supported for protocol connections
説明管理接続の認証中に AAA チャレンジ処理がトリガーされましたが、Firepower Threat Defense デバイス はそのクライアント アプリケーションでの対話型チャレンジ処理を開始できません。このような場合は、認証試行が拒否され、接続が拒否されます。
- user:認証対象のユーザの名前
- src_IP:クライアント ホストの IP アドレス
- protocol:クライアント接続プロトコル(SSH v1 または管理 HTTP)
推奨アクションこれらの接続タイプに対してチャレンジ処理が発生しないように AAA を再設定します。これは、通常、RSA SecurID サーバ、または RADIUS 経由のトークンベース AAA サーバに対して、これらの接続タイプの認証を避けることを意味します。
109034
エラーメッセージ %FTD-4-109034: Authentication failed for network user user from src_IP/port to dst_IP/port . Interactive challenge processing is not supported for protocol connections
説明ネットワーク接続の認証中に AAA チャレンジ処理がトリガーされましたが、Firepower Threat Defense デバイス はそのクライアント アプリケーションでの対話型チャレンジ処理を開始できません。このような場合は、認証試行が拒否され、接続が拒否されます。
- user:認証対象のユーザの名前
- src_IP/port:クライアント ホストの IP アドレスおよびポート
- dst_IP/port:クライアントが接続しようとしているサーバの IP アドレスおよびポート
- protocol:クライアント接続プロトコル(たとえば、FTP)
推奨アクションこれらの接続タイプに対してチャレンジ処理が発生しないように AAA を再設定します。これは、通常、RSA SecurID サーバ、または RADIUS 経由のトークンベース AAA サーバに対して、これらの接続タイプの認証を避けることを意味します。
109035
エラーメッセージ %FTD-3-109035: Exceeded maximum number (<max_num>) of DAP attribute instances for user <user>
説明このログは、RADIUS サーバから受信した DAP 属性の数が、指定されたユーザの接続の認証中に許可されている最大数を超えた場合に生成されます。
推奨アクション指定されたユーザが接続できるように、DAP 属性の数がログに指定されている最大許容数を下回るように DAP 属性の設定を変更します。
109036
エラーメッセージ %FTD-6-109036: Exceeded 1000 attribute values for the attribute name attribute for user username .
説明 LDAP 応答メッセージに、1000 を超える値を持つ属性が含まれています。
- attribute_name:LDAP 属性名
- username:ログイン時のユーザ名
推奨アクション必要なし。
109037
エラーメッセージ %FTD-3-109037: Exceeded 5000 attribute values for the attribute name attribute for user username .
説明 Firepower Threat Defense デバイス では、AAA サーバから同じ属性の複数の値を受信することがサポートされています。AAA サーバから同じ属性に関して 5000 を超える値を含む応答が送信されてきた場合、Firepower Threat Defense デバイス ではこの応答メッセージを形式誤りとして処理し、認証を拒否します。このような状況は、特殊なテスト ツールを使用するラボ環境でだけ確認されています。実際の実稼働ネットワークで発生する可能性はまずありません。
- attribute_name:LDAP 属性名
- username:ログイン時のユーザ名
推奨アクション プロトコル スニファ(WireShark など)を使用して Firepower Threat Defense デバイス と AAA サーバ間の認証トラフィックを取り込み、トレース ファイルを Cisco TAC に転送して分析を依頼してください。
109038
エラーメッセージ %FTD-3-109038: Attribute internal-attribute-name value string-from-server from AAA server could not be parsed as a type internal-attribute-name string representation of the attribute name
説明 AAA サブシステムが AAA サーバからの属性を内部表現へと解析しようとして失敗しました。
- string-from-server:AAA サーバから受信した文字列。40 文字に切り捨てられます。
- type:指定された属性のタイプ
推奨アクション属性が AAA サーバ上に正しく生成されていることを確認します。詳細については、debug ldap コマンドおよび debug radius コマンドを使用します。
109039
エラーメッセージ %FTD-5-109039: AAA Authentication:Dropping an unsupported IPv6/IP46/IP64 packet from lifc :laddr to fifc :faddr
説明 NAT によって IPv6 アドレスに変換される IPv6 アドレスまたは IPv4 アドレスを含むパケットには、AAA の認証または承認が必要です。AAA の認証および承認は IPv6 アドレスをサポートしません。パケットはドロップされます。
- lifc:入力インターフェイス
- laddr:送信元 IP アドレス
- fifc:出力インターフェイス
- faddr:NAT 変換後の宛先 IP アドレス(存在する場合)
推奨アクション必要なし。
109100
エラーメッセージ %FTD-6-109100: Received CoA update from coa-source-ip for user username , with session ID: audit-session-id , changing authorization attributes
説明 Firepower Threat Defense デバイス は、セッション ID audit-session-id を持つユーザ username の coa-source-ip からの CoA ポリシー更新要求を正常に処理しました。この syslog メッセージは、認可変更ポリシーの更新が Firepower Threat Defense デバイス で受信され、検証および適用された後に生成されます。エラーのない状況では、これは認可変更が受信されて処理されたときに生成される唯一の syslog メッセージです。
- coa-source-ip:許可要求の変更の発信 IP アドレス
- username:セッションが変更されているユーザ
- audit-session-id:変更されるセッションのグローバル ID
推奨アクション必要なし。
109101
エラーメッセージ %FTD-6-109101: Received CoA disconnect request from coa-source-ip for user username , with audit-session-id: audit-session-id
説明 Firepower Threat Defense デバイス は、アクティブな VPN セッションに対して正しくフォーマットされた Disconnect-Request を受信し、接続を正常に終了しました。
- coa-source-ip:許可要求の変更の発信 IP アドレス
- username:セッションが変更されているユーザ
- audit-session-id:変更されるセッションのグローバル ID
推奨アクション必要なし。
109102
エラーメッセージ %FTD-4-109102: Received CoA action-type from coa-source-ip , but cannot find named session audit-session-id
説明 Firepower Threat Defense デバイス は有効な認可変更要求を受信しましたが、要求で指定されたセッション ID が Firepower Threat Defense デバイス 上のアクティブなセッションと一致しません。これは、すでにユーザによってクローズされているセッションで、認可変更サーバが認可変更を発行しようとしたときに発生する可能性があります。
- action-type:要求された認可変更アクション(更新または切断)
- coa-source-ip:許可要求の変更の発信 IP アドレス
- audit-session-id:変更されるセッションのグローバル ID
推奨アクション必要なし。
109103
エラーメッセージ %FTD-3-109103: CoA action-type from coa-source-ip failed for user username , with session ID: audit-session-id .
説明 Firepower Threat Defense デバイス は正しくフォーマットされた認可変更要求を受信しましたが、正常に処理できませんでした。
- action-type:要求された認可変更アクション(更新または切断)
- coa-source-ip:許可要求の変更の発信 IP アドレス
- username:セッションが変更されているユーザ
- audit-session-id:変更されるセッションのグローバル ID
推奨アクション関連する VPN サブシステム ログを調査して、更新された属性を適用できなかった理由、またはセッションを終了できなかった理由を特定します。
109104
エラーメッセージ %FTD-3-109104: CoA action-type from coa-source-ip failed for user username , session ID: audit-session-id . Action not supported.
説明 Firepower Threat Defense デバイス は正しくフォーマットされた認可変更要求を受信しましたが、指定されたアクションが Firepower Threat Defense デバイス でサポートされていないため、処理しませんでした。
- action-type:要求された認可変更アクション(更新または切断)
- coa-source-ip:許可要求の変更の発信 IP アドレス
- username:セッションが変更されているユーザ
- audit-session-id:変更されるセッションのグローバル ID
推奨アクション必要なし。
109105
エラーメッセージ %FTD-3-109105: Failed to determine the egress interface for locally generated traffic destined to <protocol> <IP>:<port>.
説明インターフェイスが BVI であれば、ルートが存在しない場合、Firepower Threat Defense デバイス は syslog をログに記録する必要があります。デフォルト ルートが存在する場合に、パケットを正しいインターフェイスにルーティングしないと、それを追跡することができなくなると考えられます。Firepower Threat Defense の場合は、データ インターフェイスに沿って管理ルートが最初に検索されます。したがって、デフォルト ルートが別の宛先にパケットをルーティングしている場合は、それを追跡することは困難です。
推奨アクション正しい宛先に対しデフォルト ルートを追加するか、またはスタティック ルートを追加することを強く推奨します。