この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、FWSM のシステム ログ メッセージを示します。メッセージ コードの番号順に各メッセージを示します。
(注) このマニュアルに記載されているメッセージは、ソフトウェアの Version 3.1 以降に該当します。番号が順序から抜けている場合、そのメッセージはセキュリティ アプライアンス コードから除外されています。
• メッセージ 101001 ~ 199009(p.2-2)
• メッセージ 201002 ~ 217001(p.2-35)
• メッセージ 302003 ~ 326028(p.2-45)
• メッセージ 400000 ~ 418001(p.2-76)
• メッセージ 500001 ~ 507001(p.2-90)
ここでは、メッセージ 101001 ~ 199009 を示します。
説明 フェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが存在し、正常に機能していることを表します。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。このメッセージは、フェールオーバー ケーブルが存在していても、正常に機能していないことを表します。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 両方ともフェールオーバー メッセージです。これらのメッセージは、フェールオーバー モードがイネーブルであるにも関わらず、フェールオーバー ペアのいずれかの装置でフェールオーバー ケーブルが接続されていない場合に記録されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。フェールオーバー ケーブルが接続されていても、プライマリ装置がケーブルのステータスを判別できない場合に表示されます。
説明 フェールオーバー メッセージです。このメッセージは、プライマリ装置がもう一方の装置でシステム リロードまたは電源障害を検出した場合に記録されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 リロードが実行された装置で show crashinfo コマンドを発行し、リロードに関連するトレースバックがあるかどうかを確認します。さらに、装置に電源が投入され、電源コードが正しく接続されているかどうかを確認してください。
説明 フェールオーバー メッセージです。プライマリ装置がフェールオーバー ケーブルを介してセカンダリ装置と通信できないときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。 表2-1 に、フェールオーバーが発生した理由を表す理由コードを示します。
推奨処置 フェールオーバー ケーブルが正しく接続されていて、両方の装置が同じハードウェア、ソフトウェア、およびコンフィギュレーションを使用していることを確認してください。問題が解決できない場合は、TAC に連絡してください。
説明 フェールオーバー メッセージです。このメッセージは、プライマリ装置がセカンダリ装置のネットワーク インターフェイスが正常であることを検出した場合に表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。考えられる interface_number 変数の値については、 FWSM のログと SNMP の設定 の 表1-4 を参照してください。
説明 フェールオーバー メッセージです。プライマリ装置が、セカンダリ装置上に不正なネットワーク インターフェイスを検出したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 セカンダリ装置上のネットワーク接続、およびネットワークのハブ接続を確認してください。必要に応じて、障害のあるネットワーク インターフェイスを交換してください。
説明 フェールオーバー メッセージです。プライマリ装置が、セカンダリ装置から、プライマリの障害を示すメッセージを受信したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。セカンダリ装置が、プライマリ装置に対して障害を報告したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 両方ともフェールオーバー メッセージです。スタンバイ装置上で failover active コマンドを入力するか、アクティブ装置上で no failover active コマンドを入力することによって、これら 2 つの装置の役割を強制的に切り替えた場合に、通常これらのメッセージが記録されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。string 変数として、考えられる値は次のとおりです。
• bad/incomplete config(不正または不完全なコンフィギュレーション)
• ifc [interface] check, mate is healthier(インターフェイスの確認、両装置の相違)
• the other side wants me to standby(他方がスタンバイを要求)
• in failed state, cannot be active(障害ステートにより、アクティブにできない)
• switch to failed state(障害ステートへの切り替え)
推奨処置 手動で強制的に切り替えた場合には、対処は不要です。それ以外の場合は、セカンダリ装置により報告された原因を参照し、両方の装置のステータスを確認してください。
説明 フェールオーバー メッセージです。プライマリ装置に障害が発生したときに表示されます。
推奨処置 プライマリ装置のシステム ログ メッセージを調べ、問題の原因を確認してください(メッセージ 104001 を参照)。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。障害のあった装置が正常に戻ったときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。コンソールに no failover コマンドを入力したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。フェールオーバーがディセーブルになっていた状態で、引数を指定せずに failover コマンドをコンソールに入力したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。Cisco ASA はフェールオーバー ペアの他方の装置との間で、特定のネットワーク インターフェイスをテスト中です。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。特定のネットワーク インターフェイスのテストが正常に完了しました。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。フェールオーバー ペアの装置が他方の装置と通信できない状態を示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 両方ともフェールオーバー メッセージです。特定のインターフェイスのリンク ステータスのモニタ結果を示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 リンク ステータスがダウンの場合には、特定のインターフェイスに接続しているネットワークが正常に動作しているかどうかを確認してください。
説明 フェールオーバー メッセージです。特定のネットワーク インターフェイスのテスト中に表示されます。このテストは、Cisco ASA が特定のインターフェイス上のスタンバイ装置から、一定時間を経過してもメッセージを受信できなかった場合にのみ実行されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。このメッセージでは、直前に実行されたインターフェイス テストの結果(Passed または Failed)が報告されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 結果が Passed の場合、対処は不要です。結果が Failed の場合は、両方のフェールオーバー装置にネットワーク ケーブルが正しく接続されているかどうか、ネットワークが正常に動作しているかどうかを確認し、さらにスタンバイ装置のステータスを確認してください。
説明 ブロック メモリが不足しています。これは一時的なメッセージで、Cisco ASA は回復処理を行います。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー ケーブルが原因で、プライマリ装置とセカンダリ装置間の通信ができません。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバーを実行したとき、アクティブ Cisco ASA がメモリ内にコンフィギュレーションの一部だけを検出しました。通常、複製サービスに割り込みが発生したことが原因です。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 Cisco ASA がフェールオーバーを検出すると、Cisco ASA は自動的に自身をリロードし、フラッシュ メモリからコンフィギュレーションをロードするか、他方の Cisco ASA と再同期します。フェールオーバーが頻繁に発生している場合は、フェールオーバー設定をチェックし、両方の Cisco ASA 装置が互いに通信できることを確認してください。
説明 コンフィギュレーションの同期中に、他の何らかのプロセスによるコンフィギュレーションのロックが 5 分を超えると、スタンバイ装置は自身をリロードします。これにより、フェールオーバー プロセスで新しいコンフィギュレーションが適用される事態が防止されます。この状況は、コンフィギュレーションの同期化が進行しているときに、管理者がスタンバイ装置で実行コンフィギュレーションを呼び出したときに発生する場合があります。 show running-config EXEC コマンドおよび pager lines num CONFIG コマンドも参照してください。
推奨処置 スタンバイ装置をアップにして、アクティブ装置とフェールオーバー接続を確立している間に、コンフィギュレーションを表示または変更しないでください。
説明 LAN フェールオーバー インターフェイス リンクがダウンしています。
推奨処置 LAN フェールオーバー インターフェイスの接続を確認してください。速度およびデュプレックスの設定が正しいかどうかを確認します。
説明 ピアの LAN フェールオーバー インターフェイス リンクがダウンしています。装置がスタンバイ モードの場合、アクティブ モードに切り替わります。
説明 Cisco ASA が確認応答できない LAN フェールオーバー コマンド メッセージを廃棄しました。LAN フェールオーバー インターフェイスに接続の問題があることを示しています。
説明 プライマリ装置とスタンバイ装置が交互にアクティブ装置になっています。LAN フェールオーバー接続に問題があるか、ソフトウェアのバグを示しています。
説明 フェールオーバーを実行したとき、アクティブ Cisco ASA がメモリ内にコンフィギュレーションの一部だけを検出しました。通常、複製サービスに割り込みが発生したことが原因です。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 Cisco ASA がフェールオーバーを検出すると、Cisco ASA は自動的に自身をリロードし、フラッシュ メモリからコンフィギュレーションをロードするか、他方の Cisco ASA と再同期します。フェールオーバーが頻繁に発生している場合は、フェールオーバー設定をチェックし、両方の Cisco ASA 装置が互いに通信できることを確認してください。
説明 フェールオーバーでは、最初に、プライマリとセカンダリの Cisco ASA に同数のインターフェイスが設定されているかどうかが確認されます。このメッセージは、プライマリ Cisco ASA がセカンダリ Cisco ASA に設定されているインターフェイス数を確認できなかったことを示しています。これは、プライマリ Cisco ASA がフェールオーバー インターフェイス上でセカンダリ Cisco ASA と通信できないことを意味しています。セカンダリ Cisco ASA の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 フェールオーバー LAN、インターフェイス設定、およびプライマリとセカンダリ Cisco ASA のステータスを確認してください。セカンダリ Cisco ASA が Cisco ASA アプリケーションを実行していて、フェールオーバーがイネーブルであることを確認します。
説明 フェールオーバー ペアとして動作するには、プライマリとセカンダリ Cisco ASA が同じフェールオーバー ソフトウェア バージョンを実行している必要があります。このメッセージは、セカンダリ Cisco ASA のフェールオーバー ソフトウェアのバージョンが、プライマリ Cisco ASA と互換でないことを示しています。プライマリ Cisco ASA 上でフェールオーバーがディセーブルです。セカンダリ Cisco ASA の場合には、(Primary)の代わりに(Secondary)と表示されます。
推奨処置 フェールオーバーをイネーブルにするには、プライマリとセカンダリ Cisco ASA に同一のソフトウェア バージョンを使用してください。
説明 LAN フェールオーバー インターフェイス リンクがアップしています。
説明 セカンダリ Cisco ASA へのフェールオーバー メッセージの送信に使用するインターフェイスは機能しています。セカンダリ Cisco ASA の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 LAN フェールオーバー インターフェイス リンクがダウンしています。
推奨処置 LAN フェールオーバー インターフェイスの接続を確認してください。速度およびデュプレックスの設定が正しいかどうかを確認します。
説明 フェールオーバー ピア間で動作モード(シングルまたはマルチ)が一致していない場合、フェールオーバーはディセーブルになります。
説明 接続関連メッセージです。内部アドレスへの接続の試みが、セキュリティ ポリシーによって拒否されたときに発生します。tcp_flags の値は、接続が拒否された時点の TCP ヘッダー内のフラグに対応します。たとえば、TCP パケットの到達時に Cisco ASA に接続ステートが存在しない場合、そのパケットはドロップされます。このパケットの tcp_flags は、FIN および ACK です。
• PSH ― 受信側がアプリケーションにデータを転送しました。
説明 接続関連メッセージです。 outbound deny コマンドにより、特定の接続に失敗したときに表示されます。 protocol 変数は、ICMP、TCP、または UDP です。
説明 接続関連メッセージです。DNS クエリまたは DNS 応答を含む UDP パケットが拒否されたときに表示されます。
推奨処置 内部ポート番号が 53 の場合、内部ホストは通常、キャッシング ネーム サーバとして設定されています。UDP ポート 53 でトラフィックを許可する access-list コマンド ステートメントを追加してください。外部ポート番号が 53 の場合には、DNS サーバの応答がかなり遅いため、クエリが他のサーバによって応答されています。
説明 接続関連メッセージです。セキュリティ ポリシーによって着信接続が拒否されたときに表示されます。
推奨処置 トラフィックを許可する場合、セキュリティ ポリシーを修正します。このメッセージが一定間隔で発生する場合は、リモート ピアの管理者に連絡してください。
説明 Web ブラウザを使用してインターネットにアクセスしている内部ユーザが存在する場合、通常のトラフィック状況下でこのメッセージが表示されます。接続がリセットされると、Cisco ASA がリセットを受信したあとで、接続の反対側のホストがパケットを送信し、このメッセージが表示されます。通常、このメッセージは無視してかまいません。
推奨処置 no logging message 106011 コマンドを入力して、このシステム ログ メッセージが syslog& サーバにロギングされないようにしてください。
説明 パケット完全性チェック メッセージです。 IP オプションを持つ IP パケットが検出されました。IP オプションはセキュリティ上のリスクとみなされるので、パケットは廃棄されます。
推奨処置 リモート ホスト システム管理者に連絡し、問題を解決してください。 ローカル サイトの設定が、ルース ソース ルーティングまたはストリクト ソース ルーティングのどちらであるかを確認してください。
説明 Cisco ASA が、PAT グローバル アドレスに対応する宛先アドレスを持つ着信 ICMP エコー要求パケットを廃棄しました。パケットを受信すべき PAT ホストを特定できない着信パケットは、廃棄されます。
説明 Cisco ASA が着信 ICMP パケット アクセスを拒否しました。デフォルトでは、特に許可されないかぎり、すべての ICMP パケットがアクセスを拒否されます。
説明 Cisco ASA が、 Cisco ASA の接続テーブルで接続が関連付けられていない TCP パケットを廃棄しました。 Cisco ASA はパケット内の SYN フラグ(新しい接続の確立要求を示す)を検索します。SYN フラグが見つからず、なおかつ既存の接続が存在しない場合、 Cisco ASA はパケットを廃棄します。
推奨処置 Cisco ASA がこれらの無効な TCP パケットを大量に受信している場合には、対応が必要です。その場合は、パケットの送信元を追跡して、これらのパケットが送信された理由を判別してください。
説明 Cisco ASA が、無効な送信元アドレスを持つパケットを廃棄しました。 無効な送信元アドレスとは、次に属するアドレスのことです。
• ブロードキャスト(制限付き、ネット向け、サブネット向け、および全サブネット向け)
スプーフ パケットの検出をさらに強化するには、conduit コマンドを使用して、送信元アドレスが内部ネットワークに属するパケットを廃棄するように Cisco ASA を設定します。 icmp コマンドが実装されているので、 conduit コマンドは否定され、正常に動作する保証がなくなっています。
推奨処置 外部ユーザが保護されたネットワークに危害を加えようとしているかどうかを確認してください。誤って設定されているクライアントがないかどうかを確認してください。
説明 Cisco ASA が、IP 宛先と IP 送信元アドレスが等しく、宛先ポートと送信元ポートが等しいパケットを受信しました。これは、システムを攻撃する目的のスプーフ パケットを意味しています。この攻撃は、Land Attackと呼ばれています。
推奨処置 このメッセージが頻発する場合、攻撃が進行している可能性があります。このパケットには、攻撃の発信元を特定する十分な情報はありません。
説明 ローカル ホスト(inside_address)から外部ホスト(outside_address)に宛てられた特定の ICMP タイプの発信 ICMP パケットが、発信 ACL リストによって拒否されました。
説明 Cisco ASA が、小さなオフセットまたは重複フラグメントのいずれかが含まれている teardrop 署名を持つ IP パケットを廃棄したことを示しています。これは、Cisco ASA または Intrusion Detection System(IDS; 侵入検知システム)を回避しようとした悪意あるイベントです。
説明 攻撃が進行中です。誰かが着信接続上で IP アドレスのスプーフィングを試みています。リバース ルート ルックアップとも呼ばれるユニキャスト RPF により、ルートと矛盾する送信元アドレスを持つパケットが検出され、Cisco ASA 上で攻撃の一部であるとみなされました。
ip verify reverse-path コマンドを使用してユニキャスト RPF をイネーブルにしたとき、このメッセージが表示されます。この機能は、インターフェイスに入力されるパケットに対して作用します。この機能を外部に設定した場合、Cisco ASA は外部から着信するパケットをチェックします。
Cisco ASA は source_address に基づいてルートを検索します。エントリが見つからずルートが定義されていない場合、このシステム ログ メッセージが表示され、接続は切断されます。
ルートが存在する場合、Cisco ASA はそのルートがどのインターフェイスに対応するかをチェックします。パケットが別のインターフェイスに着信した場合、スプーフか、または宛先へのパスが複数ある非対称ルーティング環境が存在しています。Cisco ASA は非対称ルーティングをサポートしていません。
Cisco ASA を内部インターフェイスに設定している場合、スタティックな route コマンド ステートメントまたは RIP がチェックされます。source_address が見つからない場合、内部ユーザがそれらのアドレスをスプーフィングしています。
説明 特定の接続に一致するパケットが、その接続が開始されるインターフェイスとは異なるインターフェイスに着信しました。
たとえば、ユーザが内部インターフェイス上で接続を開始したにもかかわらず、Cisco ASA が境界インターフェイス上で同じ接続の到着を検知した場合、Cisco ASA には 1 つの宛先に対して複数のパスが存在することになります。この状況を非対称ルーティングといいます。Cisco ASA では非対称ルーティングはサポートされていません。
また、攻撃者が Cisco ASA に侵入するための手段として、1 つの接続から別の接続にパケットを追加しようとしている可能性もあります。いずれの場合も、Cisco ASA はこのメッセージを表示し、接続を切断します。
推奨処置 このメッセージは、ip verify reverse-path コマンドが設定されていない場合に表示されます。ルーティングが非対称でないことを確認してください。
説明 ACL(アクセス制御リスト)によって IP パケットが拒否されました。このメッセージは、ACL に対し、 log オプションをイネーブルに設定していない場合にも表示されます。
推奨処置 同じ送信元アドレスについて、このメッセージが続いて表示される場合は、フット プリンティングまたはポート スキャン攻撃が試みられている可能性があります。リモート ホストの管理者に連絡してください。
説明 アクセス リストのコンパイル プロセスでメモリ不足が発生しました。アクセス リストが最後にコンパイルされてから追加されたコンフィギュレーション情報は、すべてシステムから削除され、最後にコンパイルされたアクセス リストのセットが引き続き使用されます。
推奨処置 アクセス リスト、AAA、ICMP、SSH、Telnet、およびその他のルール タイプは、アクセス リスト ルール タイプとして保存およびコンパイルされます。これらのルール タイプの一部を削除して、他のルール タイプを追加できるようにしてください。
説明 複数コンテキスト モードでパケットのセキュリティ コンテキストを判別できません。どちらのメッセージも、ルータおよびトランスペアレント モードでパケットがドロップされた場合に表示される可能性があります。
説明 複数コンテキスト モードでパケットのセキュリティ コンテキストを判別できません。このメッセージは、非 IP パケットがトランスペアレント モードでドロップされた場合のみ、生成されます。
説明 access-list コマンドに log オプションを設定した場合、パケットが ACL ステートメントに一致しました。メッセージのレベルは、 access-list コマンドで設定されているレベルによって決まります(デフォルトでは、レベルは 6 です)。このメッセージは、最初のヒットまたは一定期間における総ヒット件数のいずれかを表します。このメッセージは、メッセージ 106023(拒否されたパケットだけを記録し、ヒット カウントや設定可能なレベルは含まない)よりも多くの情報を提供します。次に、このメッセージの値を示します。
• permitted | denied | est-allowed ― これらの値は、パケットが ACL によって許可(または拒否)されたことを示します。値が est-allowed である場合、パケットは ACL によって拒否されましたが、確立済みのセッションには許可されています(たとえば、内部ユーザがインターネットのアクセスを許可された場合、通常は ACL によって拒否される応答パケットでも受け入れられます)。
• protocol ― TCP 、 UDP 、 ICMP 、または IP プロトコル番号
• interface_name ― ロギングされたフローの送信元または宛先のインターフェイス名。VLAN インターフェイスがサポートされています。
• source_address ― ロギングされたフローの送信元 IP アドレス
• dest_address ― ロギングされたフローの宛先 IP アドレス
• source_port ― ロギングされたフローの送信元ポート(TCP または UDP)。ICMP の場合、このフィールドは 0 です。
• dest_port ― ロギングされたフローの宛先ポート(TCP または UDP)。ICMP の場合、このフィールドは icmp-type です。
• hit-cnt number ― 設定された期間内で、このフローがこの ACL エントリによって許可または拒否された回数。このフローに関して Cisco ASA が初めてこのシステム ログ メッセージを生成する時点では、この値は 1 です。
• first hit ― このフローに関して最初に生成されたメッセージ
• number -second interval ― ヒット カウントを累積する時間。このインターバルは、 access-list コマンドで interval オプションを指定して設定します。
説明 ACL deny ステートメント( access-list id deny コマンド)に log オプションを設定している場合に、トラフィック フローがこの ACL ステートメントに一致すると、Cisco ASA はそのフロー情報をキャッシュに保管します。Cisco ASA 上でキャッシュに保管された一致フロー数が、ユーザの設定による( access-list deny-flow-max コマンド)制限数を超えると、このメッセージが表示されます。
説明 アラート ログ メッセージです。Cisco ASA が不正認証の RIP 応答メッセージを受信しました。ルータまたはセキュリティ アプライアンスの設定が誤っているか、または Cisco ASA のルーティング テーブルに対する攻撃が失敗したためにこのメッセージが表示された可能性があります。
推奨処置 このメッセージは攻撃の可能性を示しているので、モニタする必要があります。メッセージに示されている送信元 IP アドレスが未知のアドレスである場合には、信頼できるエンティティ間の RIP 認証キーを変更してください。攻撃者が既存のキーを判別しようとしている可能性があります。
説明 アラート ログ メッセージです。このメッセージの原因としては、ルータのバグ、非 RFC 値を含むパケット、または不正エントリが考えられます。これは通常の状況ではなく、Cisco ASA のルーティング テーブルの悪用が試みられている可能性があります。
推奨処置 このメッセージは攻撃の可能性を示しているので、モニタする必要があります。パケットが認証された場合、有効であれば、パケット内に不正データが含まれています。状況をモニタし、パケットの発信者が疑わしい場合には、キーを変更してください。
説明 fixup protocol smtp コマンドによって生成されるメール ガード(SMTP)メッセージです。Cisco ASA が電子メール アドレス内の無効な文字をスペースに置き換えたときに表示されます。
説明 メール ガード(SMTP)によって生成されるメッセージです。Cisco ASA が電子メール アドレス内に悪意あるパターンを検出し、接続を切断したときに表示されます。攻撃が進行中であることを示します。
説明 Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)メッセージです。Cisco ASA に AAA が設定されていて、特定のユーザからの認証要求が検出されたときに表示されます。
説明 AAA メッセージです。モジュールが特定の認証サーバと通信できなかったため、認証要求に失敗したときに表示されます。
説明 AAA メッセージです。認証サーバを検出できないときに表示されます。
推奨処置 Cisco ASA から認証サーバに ping を実行してください。デーモンが実行されているかどうかを確認してください。
説明 AAA メッセージです。不正パスワードなどの原因により、ユーザが特定のアドレスへのアクセスを許可されなかったときに表示されます。
説明 AAA メッセージです。サーバ上で待機中の要求が多すぎるため、認証要求を処理できないときに表示されます。
推奨処置 認証サーバによる認証要求への応答が遅すぎないかどうかを確認してください。floodguard enable コマンドを使用して、Flood Defender 機能をイネーブルにしてください。
説明 認証キャッシュのタイムアウトが発生しました。ユーザは次の接続で再認証する必要があります。このタイマーの長さは、timeout uauth コマンドで変更できます。
推奨処置 コンフィギュレーションに aaa authentication および aaa authorization コマンドが両方とも含まれているかどうかを確認してください。
説明 AAA サーバでこのユーザ用に定義されているアクセス制御リストが、Cisco ASA 上に存在しません。Cisco ASA を設定する前に AAA サーバを設定すると、このエラーが発生することがあります。AAA サーバ上の Vender-Specific Attribute(VSA)の値は、次のいずれかです。
説明 ユーザが認証プロキシの制限値を超過しており、プロキシへの接続が多すぎます。
推奨処置 proxy-limit proxy_limit コマンドを使用してプロキシの制限値を大きくするか、使用していない接続を閉じるようにユーザに指示します。このエラーが頻発する場合は、DoS 攻撃の可能性があります。
説明 ダウンロードされた許可アクセス制御リストに ACE がありません。この状況の原因としては、アトリビュート ストリング [ip:inacl#] のスペルが間違っているか、または access-list コマンドが脱落していることが考えられます。
説明 ダウンロードされた許可アクセス制御リストのアトリビュート ストリング ip:inacl#NNN=で、シーケンス番号 NNN の解析中にエラーが検出されました。理由としては、= が脱落している、数値以外の値が含まれている、[#]と[=]の間にスペース以外の文字がある、NNN が 999999999 より大きいことが考えられます。
説明 ダウンロードされた許可アクセス制御リストのいずれかのコンポーネントに、設定の誤りがあります。システム ログ メッセージには、この要素のテキスト全体が含まれます。このメッセージの原因は通常、無効な access-list コマンド ステートメントによります。
説明 HTTPS 認証ごとに、Cisco ASA は 1 つのプロセスを使用して認証要求を処理します。同時に実行するプロセス数が、システムでの最大数を超えると、Cisco ASA は認証を実行しなくなり、このメッセージが表示されます。
説明 AAA メッセージです。 このサービス ポートを使用するには、設定されたポリシーに基づいて認証を受ける必要があります。
推奨処置 Telnet、FTP、または HTTP を使用して認証を実行してから、上記のサービス ポートの使用を試みてください。
説明 AAA メッセージです。Cisco ASA に AAA が設定されていて、ユーザが事前認証なしで Cisco ASA 経由での TCP 接続を試みたときに表示されます。
説明 アクセス制御リストによるチェックに失敗しました。このチェックで deny 条件に一致したか、または一致する条件がありませんでした(暗黙的 deny)。Cisco Secure Access Control Server(ACS)上の AAA 許可ポリシーに基づいて定義されたユーザ アクセス制御リスト acl_ID によって、接続が拒否されました。
説明 AAA サーバからの応答の有効性を確認できませんでした。不正なサーバ キーが設定されている可能性があります。このイベントは、RADIUS または TACACS+ サーバとのトランザクション中に発生することがあります。
説明 AAA サーバからの応答の有効性を確認できませんでした。設定されているサーバ キーが不正であると考えられます。このメッセージは、RADIUS または TACACS+ サーバとのトランザクション中に表示されることがあります。 server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。
説明 設定されている AAA ルールに一致するセキュリティ トラフィックに関して、AAA がバイパスされています。同じセキュリティ レベルに設定された 2 つのインターフェイスをトラフィックが通過し、同じセキュリティ トラフィックが許可され、なおかつ AAA 設定で include または exclude 構文が使用されている場合にのみ、この状況が発生することがあります。
説明 RADIUS サーバに設定されたダイナミック ACL が、ワイルドカード ネットマスクを自動的に検出するメカニズムによって変換されない場合に、このメッセージが表示されます。ネットマスクがワイルドカードか、それとも通常のネットマスクであるかを、このメカニズムで判別できない場合に、この問題が発生します。
access_list ― 変換できなかったアクセス リスト
netmask ― 送信元または宛先アドレスのサブネット マスク(ドット付き 10 進表記)
推奨処置 RADIUS サーバ上のアクセス リストのネットマスクに、ワイルドカードが設定されているかどうかを確認します。ネットマスクがワイルドカードであり、なおかつサーバ上のすべてのアクセス リスト ネットマスクがワイルドカードである場合には、AAA サーバの acl-netmask-convert に wildcard 設定を使用します。そうでない場合には、ネットマスクを通常のネットマスク、またはホールのないワイルドカード ネットマスクに変更します。言い換えると、ネットマスクがバイナリ 1の連なり(たとえば、00000000.00000000.00011111.11111111 または 16 進 0.0.31.255)を表す場合です。マスクが通常のマスクであり、そのサーバ上のすべてのアクセス リスト ネットマスクが通常のマスクである場合には、AAA サーバの
acl-netmask-convert に normal 設定を使用します。
説明 ゲスト アカウント アクセス用に設定された NT 認証ドメインに対してユーザが認証を試み、ユーザ名が NT サーバ上で有効なユーザ名でない場合に、このメッセージが表示されます。接続は拒否されます。
推奨処置 ユーザが有効なユーザである場合は、NT サーバにアカウントを追加してください。ユーザにアクセスを許可しない場合は、処置は不要です。
説明 管理メッセージです。コンソールで write erase コマンドを入力し、フラッシュ メモリの内容が消去されたときに表示されます。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。
推奨処置 コンフィギュレーションを消去した場合には、Cisco ASA を再設定し、新しいコンフィギュレーションを保存する必要があります。あるいは、フロッピーまたはネットワーク上の TFTP サーバに保存されている既存のコンフィギュレーションから情報を復元することもできます。
説明 config floppy/memory/ network コマンドまたは write floppy/memory/network/standby コマンドを入力したときに表示されるメッセージです。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。
推奨処置 メッセージが OK で終わっている場合、対処は不要です。メッセージに障害が示されている場合には、問題の解決を試みてください。たとえば、フロッピー ディスクに保存する場合には、フロッピー ディスクが書き込み保護されていないこと、TFTP サーバに保存する場合には、サーバが稼働していることを確認します。
説明 コンフィギュレーション モードを終了すると表示されるメッセージです。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。
説明 コンフィギュレーションを読み込むために、 reload コマンドまたは configure コマンドを入力したときに表示されるメッセージです。device には、floppy、memory、net、standby、または terminal が表示されます。 IP_address 値は、ログインがコンソール ポート経由か、または Telnet 接続を使用して行われたかを示します。
説明 システム エラーまたはインフラストラクチャ エラーが発生しました。
推奨処置 このエラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントに関する詳細情報とともに、TAC に提出してください。
説明 モジュールのコンフィギュレーションをクリアする要求が完了したときに表示されるメッセージです。送信元ファイルおよび行番号が表示されます。
説明 システム リソースが使用不能のため、IPSec トンネルに対する AAA 動作が実行できませんでした。 limit 値は、同時に実行できる AAA トランザクションの最大数を表します。
説明 トンネル グループに対応付けられたグループ ポリシーが、ユーザ固有のポリシー policy_name によって上書きされています。 policy_name は、LOCAL 認証を設定するときに username コマンドで設定したポリシー名か、または RADIUS 認証を設定するときに RADIUS CLASS アトリビュートで返されるポリシー名です。
説明 IPSec 接続の AAA 動作が正常に完了したことを示すメッセージです。AAA タイプは、[authentication]、[authorization]、または[accounting]です。 server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続に対応付けられたユーザに関する認証要求または許可要求が拒否されたことを示すメッセージです。要求が拒否された理由は、 reason フィールドに表示されます。
server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。 aaa_operation は、authentication(認証)または authorization(許可)です。
説明 ローカルに設定されたユーザがロックアウトされています。このユーザに関する認証が一定の回数にわたって連続的に失敗し、管理者が clear aaa local user lockout コマンドを使用してユーザをアンロックしないかぎり、今後も認証が失敗することを示しています。 user は現在ロックされているユーザです。 number は、 aaa local authentication attempts max-fail コマンドで設定されている連続的な失敗のスレッシュホールドです。
推奨処置 clear_aaa_local_user_lockout コマンドを使用してユーザをアンロックするか、または許容される連続的な認証失敗の最大回数を調整してください。
説明 ローカルに設定されたユーザが、 aaa local authentication attempts max-fail コマンドで設定されている連続的な認証失敗の最大回数を超過してロックアウトされたあと、特定の管理者によってアンロックされました。
説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが正常に完了しました。 user は、接続に対応付けられたユーザ名です。
説明 IPSec の認証または許可の処理中に、このメッセージが表示される場合があります。 tunnel-group コマンドで指定されているグループ ポリシーのアトリビュートが取得されました。
説明 IPSec 接続の認証で、SecurID サーバを使用して認証が実行された場合に、このメッセージが表示されることがあります。認証に先立って、ユーザにさらに情報を要求するプロンプトが表示されます。 server _IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続の認証または許可の処理中に、このイベントが発生する場合があります。 tunnel-group コマンドで指定されているグループ ポリシーのアトリビュートが取得されました。
説明 IPSec 接続に対応付けられたユーザが、ローカル ユーザ データベースで正常に認証されました。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが、エラーのため失敗したか、またはポリシー違反のため拒否されました。詳細情報は reason フィールドで提供されます。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続に対応する AAA トランザクション中に、デバイスが設定された AAA サーバと通信できませんでした。 aaa-server グループで設定されているバックアップ サーバと、これらのサーバのアベイラビリティに応じて、ユーザの接続の試みが失敗したことを表す場合もあれば、そうでない場合もあります。
説明 IPSec 接続に対応付けられたユーザに関して、ローカル ユーザ データベースへの認証要求が拒否されました。要求が拒否された理由は、 reason フィールドで表示されます。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが、エラーのため失敗したか、またはポリシー違反のため拒否されました。詳細情報は reason フィールドで表示されます。 server_IP_address は、関係する AAA サーバの IP アドレスです。 user は、接続に対応付けられたユーザ名です。
説明 IPSec 接続に対応付けられたユーザに関する AAA トランザクションが、エラーのため失敗したか、またはポリシー違反のため拒否されたことを示すメッセージです。詳細情報は reason フィールドで表示されます。このイベントは、外部 AAA サーバではなくローカル ユーザ データベースを使用する AAA トランザクションの場合にのみ表示されます。 user は、接続に対応付けられたユーザ名です。
説明 認証サーバから、サポートされないフォーマットの ACL エントリがダウンロードされました。このメッセージの値について、次に説明します。
• ACL_entry ― 認証サーバからダウンロードされた、サポートされない ACL エントリ
• action ― サポートされない ACL エントリを検出したときに実行されたアクション
推奨処置 管理者は、サポートされる ACL エントリのフォーマットに適合するよう、認証サーバ上の ACL エントリを変更する必要があります。
説明 Cisco ASA が初期ブートとフラッシュ メモリの読み込みシーケンスを終了し、正常に動作できる準備が整いました。
(注) このメッセージは、no logging message コマンドを使用してディセーブルにすることはできません。
説明 Cisco ASA が、内部ネットワークよりも大きい MTU を使用する外部ネットワークからパケットを受信しました。この場合、Cisco ASA は外部ホストに ICMP メッセージを送信し、適切な MTU をネゴシエートします。ログ メッセージには、ICMP メッセージのシーケンス番号が含まれます。
説明 リロード動作が開始されたとき、このメッセージが生成されます。
• when ― 順序に従ったリロード動作が開始された時刻。時刻のフォーマットは、hh:mm:ss timezone weekday month day year です(例:13:23:45 UTC Sun Dec 28 2003)。
• whom ― リロードをスケジュールしたユーザまたはシステム
• reason ― リロードの理由。完全な理由が表示されない場合、 unspecified というストリングが表示されます。
説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。
説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。
説明 インターフェイスまたはコンテキストが削除された時点で、すべてのアプリケーションは、そのコンテキストまたはインターフェイスへのチャネルをすべて閉じる必要があります。このメッセージは、削除されたインターフェイスまたはアプリケーションへのチャネルを閉じていなかったアプリケーションが、現在その動作を実行していることを示します。
ここでは、メッセージ 201002 ~ 217001 を示します。
説明 接続関連メッセージです。特定のグローバル アドレスへの TCP 接続が最大数を超えたときに表示されます。econns 変数は初期接続の最大数、nconns 変数はスタティックまたは変換(xlate)が許可された接続の最大数です。
推奨処置 show static または show nat コマンドを使用して、スタティック アドレスへの接続の最大数を確認してください。この制限数は変更できます。
説明 Cisco ASA へのトラフィックに関する接続関連メッセージです。特定の外部アドレスから、特定のスタティック グローバル アドレス経由で、特定のローカル アドレスに宛てられた初期接続の数が、制限数を超えたことを示しています。Cisco ASA への初期接続が制限数に達すると、Cisco ASA はこれらの接続を受け入れようとしますが、接続にタイム リミットを適用します。これにより、Cisco ASA の稼働率がかなり高い場合でも、一部の接続を確立することができます。nconns 変数は受信した初期接続数、 elimit 変数は static コマンドまたは nat コマンドで指定されている初期接続の制限数を示します。
推奨処置 このメッセージは、メッセージ 201002 よりも重大な過負荷を示しています。SYN 攻撃を受けた場合、または正常なトラフィック量がきわめて増加した場合に、過負荷が発生します。show static コマンドを使用して、スタティック アドレスへの初期接続の最大数を確認してください。
説明 接続関連メッセージです。特定のグローバル アドレスへの UDP 接続の数が最大数を超えたときに表示されます。udp conn limit 変数は、スタティックまたは変換で許可される UDP 接続の最大数です。
推奨処置 show static または show nat コマンドを使用して、スタティック アドレスへの接続の最大数を確認してください。この最大数は変更できます。
説明 接続関連メッセージです。メモリ不足のため、Cisco ASA が rsh コマンドの着信標準出力用の接続を事前に割り当てられないときに表示されます。
推奨処置 rsh クライアントのバージョンを確認してください。Cisco ASA がサポートするのは、Berkeley rsh だけです。また、メモリ使用量を減らすか、メモリを増設してください。
説明 TCP システム ログ メッセージをイネーブルにしていて syslog& サーバに到達できない場合、または Cisco ASA Syslog サーバ(PFSS)を使用していて Windows NT システムのディスクが満杯の場合に、このメッセージが表示されます。
推奨処置 TCP システム ログ メッセージをディセーブルにしてください。PFSS を使用している場合は、PFSS が存在する Windows NT システムのスペースを解放してください。また、Syslog サーバがアップしていて、Cisco ASA のコンソールからホストに ping を実行できることを確認してください。そのあと、TCP システム ログ メッセージを再開してトラフィックを流します。
説明 接続関連メッセージです。特定のスタティック アドレスへの接続が最大数を超えたときに表示されます。number 変数は、 IP_address 変数で表されるホストに許可される接続の最大数です。
推奨処置 特定のアドレスへの接続に関して設定されている制限をチェックするには、show static コマンドおよび show nat コマンドを使用します。この制限数は変更できます。
説明 set connection embryonic-conn-max MPC コマンドでトラフィック クラスに対して設定されている、初期接続の制限数を超えたために、TCP 接続の確立に失敗しました。
• econns ― 設定されているトラフィック クラスに対応する初期接続の現在の数
• limit ― このトラフィック クラスに設定されている初期接続の制限数
• dir ―
input:接続を開始する最初のパケットは、インターフェイス interface_name の入力パケットです。
output:接続を開始する最初のパケットは、インターフェイス interface_name の出力パケットです。
• source_address / source_port ― 接続を開始するパケットの送信元 IP アドレスおよび送信元ポート
• dest_address / dest_port ― 接続を開始するパケットの宛先 IP アドレスおよび宛先ポート
説明 接続関連メッセージです。Cisco ASA に使用可能なアドレス変換スロットが残っていない場合に、このメッセージが表示されます。
推奨処置 グローバル プールのサイズが、内部ネットワークのクライアント数に適しているか確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。メモリ不足が原因でこのエラー メッセージが表示される場合もあります。メモリ使用量を減らすか、可能であればメモリを増設してください。
説明 set connection conn-max MPC コマンドでトラフィック クラスに対して設定されている接続の制限数を超過したため、TCP または UDP 接続の作成が失敗したときに、このメッセージが表示されます。
• econns ― 設定されているトラフィック クラスに対応する初期接続の現在の数
• limit ― このトラフィック クラスに設定されている初期接続の制限数
• dir ―
input ― 接続を開始する最初のパケットは、インターフェイス interface_name の入力パケットです。
output ― 接続を開始する最初のパケットは、インターフェイス interface_name の出力パケットです。
• source_address / source_port ― 接続を開始するパケットの送信元 IP アドレスおよび送信元ポート
• dest_address / dest_port ― 接続を開始するパケットの宛先 IP アドレスおよび宛先ポート
説明 フラッシュ メモリのコンフィギュレーションを消去しようとしたときに、Cisco ASA がゼロ以外の値(内部エラー)を受信しました。このメッセージには、発生元のサブルーチンのファイル名と行番号が表示されます。
推奨処置 パフォーマンス上の理由から、エンド ホストが IP フラグメントを挿入しないように設定する必要があります。この設定変更は、おそらく NFS に起因するものです。読み取りおよび書き込みのサイズを、NFS のインターフェイス Maximum Transmisson Unit(MTU; 最大伝送ユニット)に合わせて設定してください。
説明 再構築を待機中の IP フラグメント数が多すぎます。デフォルトでは、フラグメントの最大数は 200 です(最大数を上げる方法については、『 Cisco Security Appliance Command Reference 』の fragment size コマンドを参照してください)。Cisco ASA では、同時に再構築できる IP フラグメント数が制限されています。ネットワークに異常が発生した場合に、Cisco ASA のメモリ不足を回避するためです。通常、フラグメント化されるトラフィックは、トラフィック総数のうち、わずかな割合でなければなりません。例外は、フラグメント化されるトラフィックの割合が高い、UDP 接続で NFS を使用しているネットワーク環境です。このタイプのトラフィックを Cisco ASA 経由で転送する場合には、TCP 接続の NFS に変更することを検討してください。フラグメント化を防止する方法については、『 Cisco Security Appliance Command Reference 』の sysopt connection tcpmss bytes コマンドを参照してください。
推奨処置 このメッセージが頻発する場合には、DoS 攻撃が進行中である可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。
説明 IP フラグメントの構造が不正です。再構築された IP パケットの合計サイズが、上限の 65535 バイトを超えています。
推奨処置 侵入イベントが進行中である可能性があります。このメッセージが頻発する場合には、リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。
説明 24 を超えるフラグメントに分割されている IP パケットを Cisco ASA が拒否しています。詳細については、『 Cisco Security Appliance Command Reference 』の fragment コマンドを参照してください。
推奨処置 侵入イベントが進行中である可能性があります。このメッセージが頻発する場合には、リモート ピアの管理者またはアップストリームのプロバイダーに連絡してください。 fragment chain xxx interface_name コマンドを使用すると、パケット単位のフラグメント数を変更できます。
説明 ステートフル フェールオーバー エラーが発生しました。
推奨処置 Cisco ASA を通過するトラフィックが減少しても、このエラーが頻発する場合には、Cisco TAC に連絡してください。
説明 ステートフル フェールオーバーで、スタンバイ Cisco ASA にステートフル情報を送信するためのメモリ ブロックを割り当てられなかったことを示しています。
推奨処置 show interface コマンドを使用してフェールオーバー インターフェイスを調べ、正常に送信できるかどうかを確認してください。また、 show block コマンドを使用して、現在のメモリ ブロックを確認してください。いずれかのメモリ ブロック内で現在の使用可能メモリが 0 の場合には、Cisco ASA ソフトウェアを再起動し、メモリ ブロックの損失を回復してください。
説明 ステートフル フェールオーバーで、サポートされていない論理アップデート オブジェクトを受信したため、処理できませんでした。原因としては、メモリの損傷、LAN 伝送、またはその他のイベントが考えられます。
推奨処置 このエラーが稀にしか発生しない場合、処置は不要です。このエラーが頻発する場合は、ステートフル フェールオーバー リンクの LAN 接続を確認してください。フェールオーバー リンクの LAN 接続の障害がエラーの原因でなかった場合は、外部ユーザが保護されたネットワークの脆弱化を試みていないかどうかを確認してください。誤って設定されているクライアントがないかどうかを確認してください。
説明 ステートフル フェールオーバーで、スタンバイ装置に新しい接続を割り当てることができません。Cisco ASA 上で使用可能な RAM(ランダム アクセス メモリ)が不足しているか、RAM の空き容量がなくなっている可能性があります。
推奨処置 show memory コマンドを使用して使用可能なメモリを調べ、Cisco ASA にシステムの空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合には、Cisco ASA のメモリを増設してください。
説明 ステートフル フェールオーバーで、スタンバイ装置上の IP アドレスに対応する NAT グループを検索できませんでした。アクティブおよびスタンバイの Cisco ASA 装置が同期化されていない可能性があります。
推奨処置 アクティブ装置上で write standby コマンドを使用し、スタンバイ装置とシステム メモリを同期化してください。
説明 ステートフル フェールオーバーで、変換(xlate)スロット レコードの割り当てに失敗しました。
推奨処置 show memory コマンドを使用して使用可能なメモリを調べ、Cisco ASA にシステムの空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合は、メモリを増設してください。
説明 ステートフル フェールオーバー接続用の変換スロット(xlate)レコードが見つからないため、接続情報を処理できません。
推奨処置 アクティブ装置上で write standby コマンドを入力し、アクティブ装置とスタンバイ装置のシステム メモリを同期化してください。
説明 ステートフル フェールオーバーで、UDP 接続用の新しいレコードを割り当てられませんでした。
推奨処置 show memory コマンドを使用して使用可能なメモリを調べ、Cisco ASA にシステムの空きメモリがあるかどうかを確認してください。使用可能なメモリがない場合は、メモリを増設してください。
説明 ステートフル フェールオーバーで、使用中の特定の PAT アドレスを割り当てられませんでした。
推奨処置 アクティブ装置上で write standby コマンドを入力し、アクティブ装置とスタンバイ装置のシステム メモリを同期化してください。
説明 ステートフル フェールオーバーで、変換スロット(xlate)を作成できませんでした。
推奨処置 アクティブ装置上で write standby コマンドを入力し、アクティブ装置とスタンバイ装置のシステム メモリを同期化してください。
説明 ステートフル フェールオーバーでは、スタンバイ装置に送信する各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が、最新の更新レコードの順序と異なる場合、抜けている番号の情報が失われたとみなされ、このエラー メッセージが表示されます。
推奨処置 LAN の割り込みが発生していなければ、両方の Cisco ASA 装置の使用可能なメモリを調べ、ステートフル情報を処理できる十分なメモリがあるかどうかを確認してください。 show failover コマンドを使用して、ステートフル情報の更新状況をモニタしてください。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。
説明 number で示される秒数にわたり、CPU 使用率が 100% を超えると、このメッセージが表示されます。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。
説明 SNMP メッセージです。このインターフェイス上にある SNMP 管理ステーションから Cisco ASA に宛てられた SNMP 要求を、Cisco ASA 上で受信できないことを示しています。これは、任意のインターフェイスから Cisco ASA を通過する SNMP トラフィックには影響しません。
エラー コード -1 は、Cisco ASA がこのインターフェイスで SNMP 転送を開けなかったことを表します。これは、SNMP がクエリを受け付けるポートを、すでに他の機能に使用されているポートに変更しようとした場合に発生することがあります。この場合、SNMP が使用するポートは、着信 SNMP クエリに関するデフォルトのポート(UDP/161)にリセットされます。
エラー コード -2 は、Cisco ASA がこのインターフェイスで SNMP 転送をバインドできなかったことを表します。
推奨処置 トラフィックが減少して Cisco ASA が一部のリソースを取り戻したとき、そのインターフェイスに関して snmp-server host コマンドを再入力してください。
説明 SNMP メッセージです。このインターフェイス上にある SNMP 管理ステーションに対して Cisco ASA が Cisco ASA からの SNMP トラップを送信できないことを示しています。これは、任意のインターフェイスから Cisco ASA を通過する SNMP トラフィックには影響しません。
エラー コード -1 は、Cisco ASA がこのインターフェイスで SNMP トラップ転送を開けなかったことを示します。
エラー コード -2 は、Cisco ASA がこのインターフェイスで SNMP トラップ転送をバインドできなかったことを示します。
推奨処置 トラフィックが減少して Cisco ASA が一部のリソースを取り戻したとき、そのインターフェイスに関して snmp-server host コマンドを再入力してください。
説明 SNMP メッセージです。特定のインターフェイス上の Cisco ASA への SNMP 要求の受信時に、内部エラーが発生したときに表示されます。
説明 SNMP メッセージです。Cisco ASA から特定インターフェイス上の特定のホストへの SNMP 応答の送信時に、内部エラーが発生したときに表示されます。
説明 SNMP メッセージです。Cisco ASA に宛てられた着信 SNMP 要求の長さが、内部処理中に要求を保存する内部データ バッファのサイズ(512 バイト)を超えたことを示しています。Cisco ASA はこの要求を処理できません。この状況は、任意のインターフェイスから Cisco ASA を通過する SNMP トラフィックには影響しません。
推奨処置 SNMP 管理ステーションが短い要求を送信するように設定してください。たとえば、1 つの要求で複数の MIB 変数のクエリを送信するのではなく、1 つの要求に 1 つの MIB 変数のクエリだけを送信するようにします。SNMP マネージャ ソフトウェアの設定変更が必要になることがあります。
説明 SNMP メッセージです。デバイスが自身に対する SNMP 要求を、次の理由で処理できなかったときに表示されます。
推奨処置 snmp-server enable コマンドを発行し、SNMP デーモンが動作しているかどうかを確認してください。デバイスが処理するのは、SNMPv1 パケットおよび v2c パケットだけです。
説明 Cisco ASA の管理ポートに宛てられた暗号化データ パケットの長さが、特定の上限値を超えています。悪意のある行為の可能性があります。Cisco ASA はこの管理接続をただちに終了します。
推奨処置 管理接続が Cisco Secure Policy Manager によって開始されたものであるかどうかを確認してください。
推奨処置 十分なメモリがある場合は、このエラー メッセージをコピーし、コンフィギュレーションおよびエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
ここでは、メッセージ 302003 ~ 326028 を示します。
説明 接続関連メッセージです。 outside_address から inside_address に H.245 接続が開始されたときに、このメッセージが表示されます。このメッセージが発生するのは、Cisco ASA が Intel Internet Phone の使用を検出した場合だけです。外部ポート(outside_port)が表示されるのは、Cisco ASA の外部からの接続の場合だけです。ローカル ポート値(inside_port)が表示されるのは、内部インターフェイス上で開始された接続の場合だけです。
説明 接続関連メッセージです。ローカル アドレス( inside_address) から外部アドレス( outside_address) に H.323 UDP バック接続があらかじめ割り当てられたときに、このメッセージが表示されます。このメッセージが発生するのは、Cisco ASA が Intel Internet Phone の使用を検出した場合だけです。外部ポート( outside_port )が表示されるのは、Cisco ASA の外部からの接続の場合だけです。ローカル ポート値(inside_port)が表示されるのは、内部インターフェイス上で開始された接続の場合だけです。
説明 接続関連メッセージです。TCP 接続がフェールオーバー後に再確立されたときに、このメッセージが表示されます。もう一方の Cisco ASA に、同期パケットが送信されます。 outside_address IP アドレスは、外部ホストです。 global_address IP アドレスは、低いセキュリティ レベルのインターフェイスのグローバル アドレスです。 inside_address IP アドレスは、高いセキュリティ レベルのインターフェイス上の Cisco ASA の「向こう側」にあるローカル IP アドレスです。
説明 接続関連メッセージです。このメッセージは、TCP 接続が再開された後に表示されます。 connections は接続数です。
説明 2 つのホスト間に TCP 接続スロットが作成されました。
• connection_id は、Unique Identifier(UID; 固有識別情報)です。
• interface 、 real-address 、 real-port は、実ソケットを表します。
• mapped-address、mapped-port は、マッピングされたソケットを表します。
inbound が表示される場合、最初の制御接続は外部から開始されています。たとえば、FTP では、最初の制御チャネルが inbound であれば、データ転送チャネルはすべて inbound です。outbound が表示される場合、最初の制御接続は内部から開始されています。
説明 2 つのホスト間の TCP 接続スロットが削除されました。次に、このメッセージの値を示します。
• interface、real-address、real-port は、実ソケットを表します。
• bytes bytes は、その接続で転送されたデータ量です。
reason 変数は、接続を終了させた動作を表します。 reason 変数は、 表2-2 に示されている TCP 終了理由のいずれかに設定されます。
|
|
---|---|
説明 2 つのホスト間の UDP 接続スロットが作成されました。次に、このメッセージの値を示します。
• interface、real_address、real_port ― 実ソケット
• mapped_address および mapped_port ― マッピングされたソケット
inbound が指定されている場合、最初の制御接続は外部から開始されています。たとえば、UDP では、最初の制御チャネルが inbound であれば、データ転送チャネルはすべて inbound です。outbound が表示される場合、最初の制御接続は内部から開始されています。
説明 2 つのホスト間の UDP 接続スロットが削除されました。次に、このメッセージの値を示します。
• interface、real_address、real_port は、実ソケットです。
説明 2 つのホスト間の GRE 接続スロットが作成されました。 id は、UID です。 interface、real_address、real_cid は、2 つのシンプレックス PPTP GRE ストリームのいずれかを表します。カッコで囲まれた translated_address 、 translated_cid は、NAT で変換後の値です。
If inbound が表示される場合、この接続は着信にしか使用できません。 outbound が表示される場合、この接続は発信にしか使用できません。次に、このメッセージの値を示します。
• inbound ― 制御接続は着信 PPTP GRE フロー用
• outbound ― 制御接続は発信 PPTP GRE フロー用
• real_address ― 実ホストの IP アドレス
説明 2 つのホスト間の GRE 接続スロットが削除されました。 interface、real_address、real_port は、実ソケットを表します。 duration は、接続の持続時間です。次に、このメッセージの値を示します。
• real_address ― 実ホストの IP アドレス
説明 Cisco ASA が H.323 メッセージのデコードに使用する特定の ASN ライブラリが初期化に失敗しました。Cisco ASA は、着信する H.323 パケットをデコードまたは検査できません。Cisco ASA は、H.323 パケットを変更なしで通過させます。次に H.323 メッセージが着信すると、Cisco ASA は再びライブラリの初期化を試みます。
推奨処置 特定のライブラリに関してこのメッセージが常に表示される場合は、Cisco TAC に連絡し、すべてのログ メッセージ(なるべくタイムスタンプ付きで)を提出してください。
説明 fixup protocol icmp コマンドを使用してステートフル ICMP をイネーブルにしたとき、ICMP セッションが fast-path で確立されました。
説明 fixup protocol icmp コマンドを使用してステートフル ICMP をイネーブルにしたとき、ICMP セッションが fast-path で削除されました。
説明 IPSec プロキシが一致しません。ネゴシエートした SA のプロキシ ホストが、access-listコマンドの deny ポリシーの対象です。
推奨処置 コンフィギュレーションの access-list コマンド ステートメントを確認してください。ピアの管理者に連絡してください。
説明 FTP/URL メッセージです。特定のホストが、特定の FTP サイトからデータの保存または検索を試みたときに表示されます。
説明 FTP トラフィックに対してストリクト インスペクションを使用するときに、このメッセージが表示されます。 ftp-map コマンドによるストリクト FTP インスペクション ポリシーによって FTP 要求コマンドが拒否された場合に表示されます。
説明 FTP トラフィックに対してストリクト FTP インスペクションを使用するときに、このメッセージが表示されます。FTP 要求メッセージに、デバイスが認識できないコマンドが含まれている場合に表示されます。
説明 FTP/URL メッセージです。送信元アドレスから特定の URL または FTP サイトへのアクセスが拒否されたときに表示されます。
説明 FTP/URL メッセージです。Websense サーバにアクセスできません。これが唯一のサーバである場合、Cisco ASA は同じサーバへのアクセスを試みようとしています。複数のサーバがある場合、別のサーバにアクセスをしようとしています。
説明 FTP/URL メッセージです。filter コマンドの allow オプションを使用したとき、Websense サーバから応答がないときに表示されます。Cisco ASA は、サーバから応答があるまで、すべての Web 要求をフィルタリングせずに続行させます。
説明 FTP/URL メッセージです。filter コマンドの allow オプションを使用したとき、Cisco ASA が、それまで応答のなかった Websense サーバから応答メッセージを受信したときに表示されます。この応答メッセージを受信すると、Cisco ASA は許可モードを終了し、URL フィルタリング機能を再びイネーブルにします。
説明 URL 待機バッファ ブロックのスペースが不足しています。
推奨処置 url-block block block_size コマンドを使用して、バッファ ブロック サイズを変更してください。
説明 パケットが発信 nat コマンドのルールと一致しません。
推奨処置 このメッセージはコンフィギュレーション エラーを示しています。送信元ホストにダイナミック NAT を使用する場合は、 nat コマンドが送信元 IP アドレスと一致しているかどうかを確認してください。送信元ホストにスタティック NAT を使用する場合は、 static コマンドのローカル IP アドレスが一致しているかどうかを確認してください。送信元ホストに NAT を使用しない場合は、NAT 0 ACL にバインドされた ACL(アクセス制御リスト)を確認してください。
説明 プロトコル(UDP、TCP、または ICMP)が Cisco ASA 経由で変換を作成できませんでした。このメッセージは、Cisco ASA にネットワーク アドレスまたはブロードキャスト アドレス宛てのパケットを許可しないように要求した注意事項 CSCdr0063 への対策として表示されます。Cisco ASA は、static コマンド ステートメントで明示的に指定されたアドレスに対して、このチェックを行います。この変更があると、着信トラフィックについて、Cisco ASA は宛先 IP アドレスがネットワーク アドレスまたはブロードキャスト アドレスの場合、変換を拒否します。
Cisco ASA は、すべての ICMP メッセージ タイプに PAT を適用するわけではなく、PAT ICMP エコーおよびエコー/応答パケット(タイプ 8 および 0)のみ適用します。具体的にいうと、ICMP エコーまたはエコー/応答パケットだけが PAT xlate を作成します。したがって、その他の ICMP メッセージ タイプが廃棄されると、システム ログ メッセージ 305006が(Cisco ASA 上で)生成されます。
Cisco ASA は、static コマンド ステートメントに設定されたグローバル IP およびマスクを使用して、標準 IP アドレスとネットワーク IP アドレスまたはブロードキャスト IP アドレスを区別します。グローバル IP アドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、Cisco ASA は着信パケットについて、ネットワーク IP アドレスまたはブロードキャスト IP アドレス用の変換(xlate)を作成しません。
static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128
グローバル アドレス 10.2.2.128 がネットワーク アドレスとして、10.2.2.255 がブロードキャスト アドレスとして応答されます。既存の変換がない場合、Cisco ASA は 10.2.2.128 または 10.2.2.255 宛の着信パケットを拒否し、このシステム ログ メッセージを生成します。
疑わしい IP がホスト IP である場合、サブネットの static の前に、ホスト マスクを指定した static コマンドを個別に設定します(static コマンド ステートメントに関する最初の一致のルール)。次の static コマンドを使用すると、Cisco ASA は 10.2.2.128 に対しホスト アドレスとして応答します。
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128
疑わしい IP アドレスを持つ内部ホストから開始されたトラフィックによって、変換が作成される場合があります。Cisco ASA は、ネットワーク IP アドレスまたはブロードキャスト IP アドレスを、サブネットの static 設定が重複したホスト IP アドレスとみなすので、ネットワーク アドレス変換は、両方の static コマンドで同じでなければなりません。
説明 Cisco ASA が、どのグローバル プールにも存在しないアドレスの変換を試みました。Cisco ASA はこのアドレスが削除されているものとみなし、要求を廃棄します。
説明 Cisco ASA カーネルが、未割り当てのグローバル IP アドレスを解放してアドレス プールに返そうとするという、矛盾した状態が発生したことを検知しました。Cisco ASA のステートフル フェールオーバーのセットアップ中に、アクティブ装置とスタンバイ装置間で一部の内部ステートが瞬間的に同期外れになった場合、この状態が発生することがあります。重大な状態ではないので、同期は自動的に回復します。
説明 アドレス変換スロットが作成されました。このスロットは、送信元アドレスをローカル側からグローバル側に変換します。逆方向では、このスロットは宛先アドレスをグローバル側からローカル側に変換します。
説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。このスロットは、送信元ソケットをローカル側からグローバル側に変換します。逆方向では、このスロットは宛先ソケットをグローバル側からローカル側に変換します。
説明 Cisco ASA 管理メッセージです。イネーブル モードを開始するパスワードが、特定の回数だけ誤って入力されたときに表示されます。入力できるのは、3 回までです。
説明 1 つまたは複数の static コマンド ステートメントで IP アドレスが重複しています。 global_address はセキュリティ レベルの低いインターフェイス上のグローバル アドレス、 inside_address はセキュリティ レベルの高いインターフェイス上のローカル アドレスです。
推奨処置 show static コマンドを使用して、コンフィギュレーションの static コマンド ステートメントを表示し、重複するコマンドを修正してください。最も一般的な重複は、10.1.1.0 などのネットワーク アドレスを指定し、別の static コマンドで 10.1.1.5 など、その範囲内のホストを指定したときに発生します。
説明 スタンバイ Cisco ASA が初めてオンラインになったときに、スタンバイ Cisco ASA にステートフル フェールオーバー アップデート情報が送信されました。
説明 Cisco ASA が、応答以外のオペレーション コードを持つ RIP メッセージを受信しました。メッセージのバージョン番号がこのインターフェイスの予期した番号と異なり、ルーティング ドメイン エントリがゼロ以外です。
推奨処置 これは情報メッセージですが、他の RIP デバイスが Cisco ASA と通信するために正しく設定されていない可能性も示しています。
説明 アクセス リストに icmp コマンドを使用したとき、最初に一致したエントリが許可エントリである場合、ICMP パケットは継続的に処理されます。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しない場合、Cisco ASA は ICMP パケットを廃棄して、このシステム ログ メッセージを生成します。 icmp コマンドにより、インターフェイスへの ping がイネーブルまたはディセーブルになります。ping がディセーブルの場合、ネットワーク上で Cisco ASA を検知できません。この機能は、Configurable Proxy Pinging とも呼ばれます。
説明 ICMP エラー メッセージの宛先が、その ICMP エラー メッセージの原因となった IP パケットの送信元と異なっています。
推奨処置 このメッセージが頻発する場合は、アクティブ なネットワーク プローブ、ICMP エラー メッセージを隠密的なチャネルとして使用する試み、または IP ホストの誤動作の可能性があります。ICMP エラー メッセージが発生したホストの管理者に連絡してください。
説明 ステートフル ICMP 機能によって追加されたセキュリティ チェックの結果、ICMP パケットが Cisco ASA によってドロップされました。通常、これに該当するのは、Cisco ASA を通過した有効なエコー要求が存在しない ICMP エコー応答や、Cisco ASA 上で確立された TCP、UDP、または ICMP セッションに関係しない ICMP エラー メッセージです。
説明 Cisco ASA が、SSH セッションの確立に必要な Cisco ASA の RSA ホスト キーを見つけられませんでした。Cisco ASA のホスト キーが生成されていないか、または Cisco ASA のライセンスで DES または 3DES が許可されていないため、ホスト キーが存在しない可能性があります。
推奨処置 コンソールから show ca mypubkey rsa コマンドを入力し、Cisco ASA の RSA ホスト キーが存在するかどうかを確認してください。存在しない場合には、show version コマンドを入力して、Cisco ASA のライセンスで DES または 3DES が許可されているかどうかを確認してください。
説明 このメッセージは、SSH セッションの完了後に表示されます。ユーザが quit または exit を入力した場合は、 terminated normally (正常終了)のメッセージが表示されます。ほかの理由でセッションが切断された場合には、その理由が表示されます。 表2-3 に、考えられるセッションの切断理由を示します。
説明 プラットフォーム VPN ピアの制限数以上の VPN トンネル(ISAKMP/IPSec)の確立が同時に試みられた場合、余剰のトンネルが打ち切られます。
推奨処置 ほかのシステム動作を減らして、メモリを解放してください。必要に応じて、メモリ構成をアップグレードしてください。
説明 ルータが Area Border Router(ABR; エリア境界ルータ)としてフラグ付けされましたが、ルータにバックボーン エリアが設定されていません。このメッセージは 5 秒間隔で表示されます。
説明 OSPF の Link State Advertisement(LSA; リンク ステート アドバタイズ)検索に問題があり、メモリ リークが発生した可能性があります。
説明 OSPF プロセスがリセットされ、新しいルータ ID を選択しています。これにより、すべての仮想リンクがダウンします。
推奨処置 新しいルータ ID が反映されるように、すべての仮想リンク ネイバ上で仮想リンク コンフィギュレーションを変更してください。
説明 システムの過負荷により、Cisco ASA の ARP プロセスの内部同期が失われました。
推奨処置 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。
説明 システムの過負荷により、Cisco ASA のルーティング モジュールの内部同期が失われました。
推奨処置 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。
説明 ARP エントリを更新するとき、内部 ARP テーブルを更新するためのメッセージが Network Processor(NP)に送信されます。このとき、FWSM のメモリ利用率が高かったり、内部テーブルが満杯であると、NP へのメッセージが拒否され、このメッセージが生成されることがあります。
推奨処置 ARP テーブルが満杯になっていないかどうかを確認してください。満杯でなければ、FWSM の負荷(CPU 利用率および 1 秒あたりの接続数)を調べてください。CPU 利用率が高い場合、または 1 秒あたりの接続数が多い場合には、通常の負荷に戻った時点で正常な動作が再開されます。
説明 システムの過負荷により、FWSM のルーティング モジュールの内部同期が失われました。
推奨処置 すぐに対処する必要はありません。この障害は一時的なものです。システムの平均負荷を調べ、許容量を超えていないかどうかを確認してください。
説明 Cisco ASA が簡単な FWSM リモート デバイスまたはサーバである場合、ピアの証明書に、 ca verifycertdn コマンドと一致しない件名が含まれています。
推奨処置 このメッセージは、デバイスがピアの IP アドレスをスプーフィングし、Cisco ASA からの VPN 接続を代行受信しようとする「Man in the Middle」攻撃を表す場合があります。
説明 Cisco ASA が指定のインターフェイス上で不正な MAC アドレスからパケットを受信しましたが、パケットの送信元 MAC アドレスは、コンフィギュレーションにある別のインターフェイスに静的にバインドされています。原因としては、MAC スプーフィング攻撃またはコンフィギュレーションの誤りの可能性があります。
推奨処置 コンフィギュレーションを確認して適切に対処してください。不正なホストを検出するか、またはコンフィギュレーションを訂正します。
説明 ARP 検査モジュールがイネーブルの場合、パケットでアドバタイズされた新しい ARP エントリが、静的な設定または動的な学習による IP-MAC アドレス バインディングに適合しているかどうかをチェックした上で、Cisco ASA から ARP パケットが転送されます。このチェックに失敗すると、ARP 検査モジュールは ARP パケットをドロップし、このメッセージを生成します。この状況の原因としては、ネットワーク上の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)の可能性があります。
推奨処置 攻撃が原因である場合は、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションである場合は、バインディングを訂正してください。
説明 ARP 検査モジュールがイネーブルの場合、パケットでアドバタイズされた新しい ARP エントリが、静的な設定による IP-MAC アドレス バインディングに適合しているかどうかをチェックした上で、Cisco ASA から ARP パケットが転送されます。このチェックに失敗すると、ARP 検査モジュールは ARP パケットをドロップし、このメッセージを生成します。この状況の原因としては、ネットワーク上の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)の可能性があります。
推奨処置 攻撃が原因である場合は、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションである場合は、バインディングを訂正してください。
説明 トランスペアレント モードで設定された管理 IP アドレスがないため、Cisco ASA がパケットを廃棄しました。
source_address ― パケットの送信元 IP アドレス
説明 指定のスロット番号のモジュールがソフトウェア バージョンの受け入れに失敗し、UNRESPONSIVE ステートに移行します。ソフトウェアを更新するまで、このモジュールは使用できません。
newver ― モジュールに正常に書き込めなかったソフトウェアの新しいバージョン番号(例:1.0(1)0)
ver ― モジュールの現在のソフトウェア バージョン番号(例:1.0(1)0)
reason ― 新しいバージョンがモジュールに書き込めなかった理由。表示される可能性のある reason の値は次のとおりです。
• failed to create a thread to write the image.
推奨処置 hw-module module slotnum reset コマンドを使用してモジュールをリセットしてから、さらにアップグレードを試みてください。モジュール ソフトウェアが更新できないと、モジュールは使用できません。モジュールがシャーシに完全に装着されているかどうかを確認してください。モジュール ソフトウェアの更新を何回か試みても失敗する場合は、Cisco TAC に連絡してください。
説明 モジュールの電源が完全にオンにならないことを示すメッセージです。この状況が是正されるまで、モジュールは UNRESPONSIVE ステートのままになります。原因としては、モジュールがスロットに完全に装着されていない場合が考えられます。
推奨処置 モジュールがスロットに完全に装着されているかどうか、モジュールのいずれかのステータス LED が点灯しているかどうかを確認します。モジュールを完全に装着し直したあと、そのモジュールが電源投入されたことをシステムが認識するまで、1 分ほどかかる場合があります。モジュールが確かに装着されていて、 hw-module module slotnum reset コマンドを使用してモジュールをリセットしても、このメッセージが表示される場合には、Cisco TAC に連絡してください。
説明 パケットの処理中にエラーが発生しました。考えられる理由は次のとおりです。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。このメッセージが頻発する場合は、エンドポイントが攻撃の一環として不正なパケットを送信している可能性があります。
説明 このメッセージの前にメッセージ 321100(メモリ割り当てエラー)が表示されている場合、このメッセージは、リソース不足のため PDP コンテキストを作成できなかったことを表します。このメッセージの前にメッセージ 321100 が表示されなかった場合、バージョン 0 の場合は、対応する PDP コンテキストが見つからなかったことを表します。バージョン 1 の場合は、このメッセージの前にメッセージ 324001 が表示されている場合、パケット処理エラーが発生し、処理が停止したことを表します。
説明 受信した応答には、要求キュー内に対応する要求がなかったので、この応答を処理すべきではありません。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。このメッセージが頻発する場合は、エンドポイントが攻撃の一環として不正なパケットを送信している可能性があります。
説明 処理中のパケットのバージョンは、現在サポートされているバージョン(0 または 1)以外です。出力されるバージョン番号が不正で、頻繁に見られる場合には、エンドポイントが攻撃の一環として不正なパケットを送信している可能性があります。
説明 TPDU に対応するトンネルの作成を試みているときに、エラーが発生しました。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。このエラーが頻発する場合は、必要なデバッグ情報を収集し、Cisco TAC に連絡してください。
説明 要求を送信している GSN が、作成できるトンネルの最大数を超過したので、トンネルは作成されません。
推奨処置 トンネルの制限数を上げることを検討するか、またはネットワーク上に攻撃の可能性がないかどうかを確認してください。
説明 TPDU に対応して異なる SGSN または GGSN のトンネルの作成を試みているときに、エラーが発生しました。
推奨処置 デバッグ情報やメッセージを調べて、接続が正常に作成されなかった理由を確認してください。問題をデバッグできない場合には、必要なデバッグ情報を収集して Cisco TAC に連絡してください。
説明 リンク上の他のルータが、矛盾したパラメータのあるルータ アドバタイズを送信しました。 ipv6_address は、他のルータの IPv6 アドレスです。 interface は、他のルータとのリンクのインターフェイス名です。
推奨処置 リンク上のすべての IPv6 ルータが、ルータ アドバタイズで hop_limit 、
managed_config_flag 、 other_config_flag 、 reachable_time 、および ns_interval に同じパラメータを使用しており、なおかつ、いくつかのルータがアドバタイズしている同じプレフィクスについて、優先される有効なライフタイムが同じであるかどうかを確認してください。インターフェイスに関するパラメータを一覧表示するには、show ipv6 interface コマンドを入力します。
説明 別のシステムが同じ IPv6 アドレスを使用しています。 ipv6_address は、もう一方のルータの IPv6 アドレスです。 MAC_address は、もう一方のシステムの MAC アドレス(既知の場合)であり、不明の場合には[unknown]と表示されます。 interface は、もう一方のシステムのリンクのインターフェイス名です。
説明 コンテキストまたは適切なタイプのないマネージド タイマー イベントを受信したか、またはハンドラが存在しません。キューに格納されるイベント数がシステムの制限数を超過し、あとで処理されることになった場合にも、このメッセージが表示されます。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 IGMP プロセスを要求に応じてシャットダウンできませんでした。このシャットダウンの準備として実行されたイベントが、同期外れになっている可能性があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 IGMP パケット キューがパケットのないシグナルを受信しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 データ駆動イベントをトリガーするパケットを受信し、MRIB に通知する試みが失敗しました。
推奨処置 システムの起動後にこのメッセージが続く場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MFIB が MRIB からエントリ アップデートを受信しましたが、表示されるアドレスに関連するエントリを作成できませんでした。これによってメモリ不足が引き起こされる場合があります。
推奨処置 メモリが十分にある場合には、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MFIB が MRIB からインターフェイス アップデートを受信しましたが、表示されるアドレスに関連するインターフェイスを作成できませんでした。結果的にメモリ不足が発生する場合があります。
推奨処置 メモリが十分にある場合には、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MFIB が MRIB への接続を開始できませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MFIB が MRIB からアンバインドできませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MFIB が削除されているはずのテーブルを検索できませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 機能が初期化できませんでした。このコンポーネントは、この機能なしで引き続き動作する場合があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM トンネルが送信元アドレスなしで使用できません。この状況の原因は、番号付きのインターフェイスが見つからないこと、または何らかの内部エラーです。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM トンネル インターフェイスの作成中にエラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM RP トンネル インターフェイスの作成中にエラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM インターフェイス リストの処理中にエラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM トンネル インターフェイスの SRC の設定中にエラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM プロセスを要求に応じてシャットダウンできませんでした。このシャットダウンの準備として実行されたイベントが、同期外れになっている可能性があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 PIM パケット キューがパケットのないシグナルを受信しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 メッセージの送信を試みているときに内部エラーが発生しました。メッセージの受信時にスケジュールされていたイベント(PIM トンネル IDB の削除など)は、実行されない可能性があります。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 MRIB API で処理されない非同期エラーが発生しました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
ここでは、メッセージ 400000 ~ 420003 を示します。
説明 Security Association Database(SADB)に存在しない Security Parameters Index(SPI)を指定する IPSec パケットを受信しました。この状況は、IPSec ピア間の SA エージングにわずかな誤差がある場合、一時的に発生することがあります。また、ローカル SA が消去された場合にも発生します。IPSec ピアから誤ったパケットが送信された可能性もあります。攻撃の可能性もあります。
推奨処置 ローカル SA が消去されたことについて、ピアが認識しないことがあります。ローカル ルータから新しい接続を確立すると、両ピアの接続が正常に再確立する場合があります。この問題が持続する場合には、新しい接続の確立を試みるか、ピアの管理者に連絡してください。
説明 受信した IPSec パケットに、予期した Authentication Header(AH; 認証ヘッダー)または Encapsulating Security Payload(ESP)ヘッダーがありません。ピアが、ネゴシエートしたセキュリティ ポリシーに一致しないパケットを送信しています。攻撃の可能性があります。
説明 カプセル化されていない IPSec パケットが、ネゴシエートした ID と一致しません。セキュリティ アソシエーションの選択が誤っているので、ピアはこのセキュリティ アソシエーションを通じて別のトラフィックを送信しています。悪意のある行為の可能性があります。
説明 受信したパケットがクリプトマップ ACL に一致していますが、そのパケットは IPSec でカプセル化されていません。IPSec ピアがカプセル化されていないパケットを送信しています。このエラーは、ピア上のポリシー設定エラーによって発生します。たとえば、Cisco ASA は外部インターフェイス ポート 23 に対しては、暗号化された Telnet トラフィックだけを受け入れます。ポート 23 で外部インターフェイスに IPSec 暗号化なしで Telnet 接続を試みると、このメッセージが表示されます。このエラーは悪意あるイベントを表している場合もあります。ここに記述する状況以外では、このシステム ログ メッセージは生成されません(たとえば、Cisco ASA インターフェイス自身へのトラフィックの場合は、このメッセージは生成されません)。TCP 要求および UDP 要求を追跡するメッセージについては、メッセージ 710001、710002、および 710003 を参照してください。
説明 ISAKMP が、ip local pool コマンドで指定したプールからの VPN クライアント用の IP アドレスの割り当てに失敗しました。
説明 500 を超える初期セキュリティ アソシエーション(SA)が存在し、DoS 攻撃の可能性があります。
推奨処置 show crypto isakmp ca コマンドを使用して、攻撃の発信元を調べてください。送信元が判明したら、不当な IP アドレスまたはネットワークからのアクセスを拒否してください。
説明 Cisco ASA が受信した ARP パケットの MAC アドレスが、ARP キャッシュ エントリと異なっています。
推奨処置 正当なトラフィックの場合もありますが、ARP ポイズニング攻撃が進行中の可能性もあります。送信元 MAC アドレスを調べ、パケットの発信元を判別し、それが有効なホストに属するものであるかどうかを確認してください。
説明 モジュールが接続の開始中に RAM システム メモリの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。
推奨処置 このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合は、TAC に連絡してください。グローバル プールのサイズが、内部ネットワークのクライアント数に適しているかどうかを確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。このメッセージは、メモリ不足の場合にも表示されます。メモリ使用量を減らすか、メモリを増設してください。
説明 このパケットに、次のいずれかの条件があると考えられます。
• Cisco ASA が、いずれかの非認証エントリから、IP アドレスが同じでも MAC アドレスが異なるパケットを受信しました。
• Cisco ASA 上で vpnclient mac-exempt コマンドを設定しており、Cisco ASA が対応する非認証エントリから、MAC アドレスは免除されていても IP アドレスが異なるパケットを受信しました。
推奨処置 正当なトラフィックの可能性もありますが、スプーフィング攻撃が進行している可能性もあります。送信元 MAC アドレスおよび IP アドレスを調べ、パケットの発信元を判別し、それが有効なホストに属するものであるかどうかを確認してください。
説明 Cisco ASA が接続の開始中に RAM システム メモリの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。
推奨処置 グローバル プールのサイズが、内部ネットワークのクライアント数に適しているか確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。メモリ不足が原因の可能性もあります。メモリ使用量を減らすか、メモリを増設してください。このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。
説明 Cisco ASA が接続の開始中に RAM システム メモリの割り当てに失敗したか、または使用可能なアドレス変換スロットがないことを示しています。
推奨処置 グローバル プールのサイズが、内部ネットワークのクライアント数に適しているか確認してください。PAT アドレスが必要になることもあります。または、変換および接続のタイムアウト インターバルを短縮してください。メモリ不足が原因の可能性もあります。メモリ使用量を減らすか、メモリを増設してください。このメッセージが定期的に発生する場合は、無視してかまいません。頻繁に繰り返される場合には、TAC に連絡してください。
説明 PIX はプロトコル識別子 0x08 を予期したにも関わらず、受信したのは 0x08 以外でした。エンドポイントが不正なパケットを送信しているか、または最初のセグメント以外のメッセージ セグメントを受信した場合に発生します。
説明 受信した H.225 メッセージの順序が不正であるときに、このメッセージが表示されます。初期 SETUP メッセージを受信する前に H.225 メッセージを受信しましたが、これは許容されない状況です。Cisco ASA はその他の H.225 メッセージを受け入れる前に、H.225 コール シグナリング チャネルの初期 SETUP メッセージを受信する必要があります。
説明 ゲートキーパが Admission Confirm(ACF)を送信しましたが、Cisco ASA はゲートキーパに Admission Request(ARQ)を送信しませんでした。
推奨処置 表示される source_address のゲートキーパをチェックして、ゲートキーパが ACF を送信したにも関わらず Cisco ASA から ARQ を受信しなかった理由を判別してください。
説明 ILS パケット ペイロードに埋め込まれたアドレスが、IP パケット ヘッダーの送信元 IP アドレスと一致しません。
推奨処置 source_IP_address で表されるホストをチェックして、不正な埋め込み IP アドレスのある ILS パケットを送信した理由を判別してください。
説明 クライアントが FTP port コマンドを入力し、1024 未満のポート(通常、サーバ ポート専用の well known ポート範囲)を指定しました。このメッセージは、サイトのセキュリティ ポリシーの回避が試みられていることを示しています。Cisco ASA はこのパケットをドロップし、接続を終了して、このイベントを記録します。
説明 クライアントが FTP port コマンドを発行し、接続に使用しているアドレス以外のアドレスを指定しました。このエラー メッセージは、サイトのセキュリティ ポリシーの回避が試みられていることを示しています。たとえば、攻撃者がパケットを途中で変更し、正しい送信元情報の代わりに別の送信元情報を書き込むことで、FTP セッションの乗っ取りを試みている可能性があります。セキュリティ アプライアンス はこのパケットを廃棄し、接続を終了して、このイベントを記録します。カッコ内のアドレスは、port コマンドのアドレスです。
説明 ホストの制限値を超過しました。次の条件が真である場合に、内部ホストは制限値までカウントされます。
• 内部ホストは直前の 5 分以内に、Cisco ASA 経由でトラフィックを転送している。
• 内部ホストは現在、Cisco ASA での変換接続またはユーザ認証を予約している。
推奨処置 ホストの制限値は、ローエンド プラットフォームに対して実施されます。ホストの制限値を表示するには、 show version コマンドを使用します。現在のアクティブなホストおよび Cisco ASA でセッションを実行している内部ユーザを表示するには、 show local-host コマンドを使用します。1 人または複数のユーザを強制的に接続解除するには、 clear local-host コマンドを使用します。内部ユーザを迅速に期限切れにして制限値から取り除くには、xlate、connection、および uauth タイムアウトを推奨値またはそれより小さい値に設定します( 表2-4 を参照)。
|
|
---|---|
説明 Cisco ASA 経由での接続に関するメッセージです。特定の外部アドレスから特定のグローバル アドレスを経由して特定のローカル アドレスに到達する接続数が、そのスタティックに関する最大の初期接続数の制限値を超過した場合に、このメッセージが表示されます。Cisco ASA は、接続用のメモリが割り当て可能であれば、その接続の受け入れを試み、ローカル ホストの代わりに外部ホストに SYN_ACK パケットを送信します。Cisco ASA は適切なステート情報を保持し、パケットを廃棄し、クライアントの確認応答を待機します。
推奨処置 正当なトラフィックの場合もありますが、DoS 攻撃が進行している可能性もあります。送信元アドレスを調べ、パケットの発信元を判別し、それが有効なホストかどうかを確認してください。
説明 Cisco ASA は、ホールの最大数に達しているにも関わらず、RPC サーバのペアまたは設定済みのサービス用に新しいホールを開こうとしました。
推奨処置 ほかのホールが(該当するタイムアウトによって)閉じられるまで待つか、またはサーバのアクティブ ペアまたはサービスの数を制限してください。
説明 IP ルート カウンタを負の値まで減らそうとして失敗しました。
推奨処置 clear ip route * コマンドを入力して、ルート カウンタをリセットしてください。メッセージが継続的に表示される場合には、メッセージを正確にコピーして、TAC に報告してください。
説明 既存のルートと同じディスタンスで、より良好なメトリックを持つ別のインターフェイスから、ネットワーク アップデートを受信しました。新しいルートは、別のインターフェイス経由でインストールされた既存のルートを上書きします。この新しいルートは冗長性の確保だけを目的とし、ネットワーク上でのパス変更を意味します。この変更は、トポロジーと再配布を通じて制御する必要があります。この変更によって影響される既存の接続があれば、その接続はおそらくディセーブルされ、タイムアウトします。このパス変更は、ネットワーク トポロジーがパス冗長性をサポートするように設計されている場合にのみ発生します。その場合、この変更は予期されています。
説明 無効な OSPF パケットを受信しました。エラー メッセージに詳細が表示されます。OSPF コンフィギュレーションが誤っているか、送信側の内部エラーが原因として考えられます。
説明 OSPF hello パケット、データベース記述パケット、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できません。
説明 システムは OSPF パケットを受信しましたが、OSPF パケットのフィールド長が通常のヘッダー サイズよりも短いか、到着時の IP パケットのサイズと矛盾しています。これは、パケット送信側のコンフィギュレーション エラーを示しています。
説明 ルータが、LSA タイプが無効である LSA を受信しました。メモリが壊れているか、ルータ上の予期しない動作が原因です。
推奨処置 近接アドレスから問題のあるルータを特定し、そのルータを再起動してください。TAC に連絡して指示を受け、問題の原因を調べてください。
説明 内部ソフトウェア エラーが発生したため、ルータは誤ったマスクを使用してデフォルトの LSA を生成しようとしました。誤ったメトリックが使用された可能性もあります。
説明 OSPF が、いずれかの OSPF インターフェイスの IP アドレスからのルータ ID の割り当てに失敗しました。
推奨処置 少なくとも 1 つのインターフェイスが起動し、有効な IP アドレスが割り当てられていることを確認してください。ルータ上で複数の OSPF プロセスを実行する場合、各プロセスに一意のルータ ID が必要です。各プロセスがルータ ID を取得できるように、十分なインターフェイス数をアップにしておく必要があります。
説明 OSPF が、このルーティング プロセスと同じルータ ID を持つネイバから、hello パケットを受信しました。完全な隣接関係を確立できません。
説明 OSPF が、このルーティング プロセスと同じルータ ID を持つネイバから、hello パケットを受信しました。完全な隣接関係を確立できません。
説明 OSPF が、このルーティング プロセスと同じルータ ID を持つネイバから、hello パケットを受信しました。完全な隣接関係を確立できません。
説明 外部サーバへの認証または許可の試みが失敗し、ローカル ユーザ データベースを使用して実行されます。 aaa_operation は、[authentication]または[authorization]のいずれかです。 username は、接続に対応付けられたユーザです。 server_group は、サーバに到達不可能な AAA サーバ グループです。
推奨処置 設定されている AAA サーバとの接続に問題がないかどうかを最初に確認してください。Cisco ASA から認証サーバに ping を実行してください。AAA サーバ上でデーモンが動作しているかどうかを確認してください。
説明 UDP DNS パケットでドメイン名の長さが 255 バイトを超えると、このメッセージが表示されます(RFC 1035 セクション3.1 を参照)。
説明 ライン プロトコルのステータスが down から up に変化しました。 interface_name が[inside]、[outside]などの論理インターフェイス名である場合、このメッセージは、論理インターフェイスのライン プロトコルが down から up に変化したことを示します。 interface_name が[Ethernet0]、[GigabitEthernet0/1]などの物理インターフェイス名である場合、このメッセージは、物理インターフェイスのライン プロトコルが down から up に変化したことを示します。
説明 ライン プロトコルのステータスが up から downに変化しました。 interface_name が[inside]、[outside]などの論理インターフェイス名である場合、このメッセージは、論理インターフェイスのライン プロトコルが up から down に変化したことを示します。この場合、物理インターフェイスのライン プロトコル ステータスには影響ありません。 interface_name が[Ethernet0]、[GigabitEthernet0/1]などの物理インターフェイス名である場合、このメッセージは、物理インターフェイスのライン プロトコルが up から down にに変化したことを示します。
説明 1 つのモジュール インターフェイスから別のインターフェイスへのホストの移動が検知されると、このメッセージが生成されます。トランスペアレント Cisco ASA の場合、ホスト(MAC)と Cisco ASA ポート間のマッピングは、レイヤ 2 転送テーブルで維持されます。このテーブルによって、パケットの送信元 MAC アドレスが Cisco ASA ポートに動的にバインドされます。このプロセスで、インターフェイス間でのホストの移動が検知されると、このメッセージが生成されます。
推奨処置 ホストの移動は有効な場合もありますが、他のインターフェイス上でホスト MAC のスプーフィングが試みられた可能性もあります。MAC スプーフィング試行の場合には、ネットワーク上で脆弱なホストを特定してそれらを削除するか、またはスタティック MAC アドレスを設定してください(その場合、MAC アドレスとポートのバインディングは変更できません)。単なるホストの移動の場合には、対処は不要です。
説明 ブリッジ テーブルが満杯な状態でエントリの追加が試みられたときに、このメッセージが生成されます。Cisco ASA はコンテキストごとに 1 つのレイヤ 2 転送テーブルを維持し、コンテキストがそのサイズ制限を超えると、このメッセージが生成されます。MAC アドレスは追加されますが、テーブル内で既存のダイナミック エントリのうち最も古いエントリ(存在する場合)を置き換えます。
推奨処置 攻撃が試みられた可能性があります。新しいブリッジ テーブル エントリが有効かどうかを確認してください。攻撃の場合には、EtherType ACL を使用して脆弱なホストをアクセス制御してください。
説明 slotnum に搭載されたモジュールが、FWSM システム モジュールからのシャットダウン要求に従いませんでした。モジュールは割り込み不可能なタスク(ソフトウェアのアップグレードなど)を実行していた可能性があります。モジュールがシャットダウンできなかった理由と対処方法は、 errnum および message テキストで表示されます。
推奨処置 モジュール上のタスクが完了するまで待ち、それからモジュールをシャットダウンするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールがシャットダウンできない原因となっているタスクを停止してください。
説明 slotnum に搭載されたモジュールが、FWSM システム モジュールからのリロード要求に従いませんでした。モジュールは割り込み不可能なタスク(ソフトウェアのアップグレードなど)を実行していた可能性があります。モジュールがリロードできなかった理由と対処方法は、 errnum および message テキストで表示されます。
推奨処置 モジュール上のタスクが完了するまで待ち、それからモジュールをリロードするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールがリロードできない原因となっているタスクを停止してください。
説明 有効なカード タイプとして認識されないカードが検出された場合に表示されます。
推奨処置 搭載されているモジュール タイプをサポートする FWSM システム ソフトウェアのバージョンにアップグレードしてください。
説明 指定のスロット番号のモジュールがソフトウェア バージョンの受け入れに失敗し、UNRESPONSIVE ステートに移行します。モジュール ソフトウェアを更新する試みがもう一度、行われます。
newver ― モジュールに正常に書き込めなかったソフトウェアの新しいバージョン番号(例:1.0(1)0)
ver ― モジュールの現在のソフトウェア バージョン番号(例:1.0(1)0)
reason ― 新しいバージョンがモジュールに書き込めなかった理由。表示される可能性のある reason の値は次のとおりです。
• failed to create a thread to write the image.
推奨処置 対処は不要です。後続の試行で、更新の成功または失敗を表すメッセージが生成されます。更新後にモジュールが UP に移行したかどうかを確認するには、 show module slotnum コマンドを使用します。
説明 ロギング モジュールがロギング バッファを外部 FTP サーバに保存できなかった場合に、このシステム ログ メッセージが表示されます。
推奨処置 失敗の理由に基づいて、適切な処置を行ってください。
–プロトコル エラー ― FTP サーバと Cisco ASA の接続に問題がなく、FTP サーバが FTP PORT コマンドと put 要求を受け入れ可能であることを確認してください。
–無効なユーザ名またはパスワード ― 設定されている FTP クライアントのユーザ名とパスワードが正しいかどうかを確認してください。
説明 ロギング モジュールがロギング バッファをシステム フラッシュに保存できなかった場合に、このシステム ログ メッセージが表示されます。
推奨処置 失敗の理由がスペース不足の場合には、システム フラッシュの空き容量を調べ、設定されている logging flash-size コマンドの制限が適切かどうかを確認してください。フラッシュ ファイル システムの IO エラーの場合には、シスコのテクニカル サポートに連絡して指示を受けてください。
説明 An SNMP パケットが、不正なパケット フォーマットのため、または Cisco ASA で認められない prot_version のために、Cisco ASA の通過を拒否されました。 prot_version フィールドに表示される値は、1、2、2c、3 のいずれかです。
推奨処置 snmp-map コマンドを使用して、SNMP 検査に関する設定を変更します。このコマンドを使用すると、ユーザ側で特定のプロトコル バージョンを許可または禁止することができます。
説明 プロセスが信号を受信しましたが、このイベントに対応するハンドラが見つかりませんでした。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 クライアントが所有していないルート アトリビュートの変更を試みました。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 メモリ不足のため操作が失敗しましたが、その操作は別のメカニズムによって処理されます。
説明 メモリが十分にある場合には、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 特定の送信元から宛先へのパケットが、管理専用のネットワークとの間で Cisco ASA を通過しているため、廃棄されました。
ここでは、メッセージ 500001 ~ 507001 を示します。
説明 filter コマンドを使用して activex オプションをオンにした場合に、Cisco ASA が ActiveX オブジェクトを検出したときに、このメッセージが表示されます。activex オプションを使用すると、Cisco ASA は ActiveX コンテンツが HTML オブジェクトとしてタギングされないように変更して、ActiveX コンテンツをフィルタリングすることができます。
説明 filter コマンドを使用して java オプションをオンにした場合に、Cisco ASA が Java アプレットを検出したときに、このメッセージが表示されます。java オプションを使用すると、Cisco ASA は Java コンテンツが HTML オブジェクトとしてタギングされないように変更して、Java コンテンツをフィルタリングすることができます。
説明 TCP のヘッダー長が誤っていることを示しています。OS(オペレーティング システム)によっては、ディセーブルのソケットへの接続要求の応答時に、TCP リセット(RST)が正しく処理されません。クライアントが Cisco ASA の外部の FTP サーバに接続を試みたとき、FTP がリスニングしていないと、サーバは RST を送信します。オペレーティング システムによっては、誤った TCP ヘッダー長が送信されるため、この問題が発生します。UDP は、ICMP ポート到達不能メッセージを使用します。
TCP ヘッダー長がパケット長より大きいために、負数バイトの転送を示していることがあります。システム ログ メッセージでは負数が符号なしの数値として表示されるので、1 秒間の転送サイズが 4 GB のように、異常に大きな値として表示されることがあります。
説明 プロトコルの送信元または宛先ポート番号がゼロという、無効な転送番号が存在することを示しています。 protocol 値は、TCP の場合は 6、UDP の場合は 17 です。
説明 group-policy CLI コマンドを使用してグループ ポリシーが設定されていることを表します。 policy_name は、グループ ポリシー名です。 policy_type は、[internal]または[external]のいずれかです。
説明 group-policy CLI コマンドを使用してグループ ポリシーが削除されたことを表します。 policy_name はグループ ポリシー名です。 policy_type は、[internal]または[external]のいずれかです。
説明 OSPF ネイバのステートが変更されました。メッセージに、変更内容と理由が表示されます。このメッセージが表示されるのは、OSPF プロセスに log-adjacency-changes コマンドが設定されている場合だけです。
説明 モジュールが認識され、FWSM システム モジュールがこのモジュールとの制御チャネル通信を初期化しているときに表示されます。
説明 モジュールが hw-module module slotnum recover boot コマンドによって回復されているときに表示されます。
説明 ファイル システムのステータスが変化しました。このメッセージは、ファイル システムが使用可能または使用不可能になったイベントと、そのイベントの発生元を記述します。ファイル システム ステータスの変化を引き起こしたイベントの発生元とイベントの例は、次のとおりです。
–External Compact Flash removed
–External Compact Flash inserted
説明 TCP セグメントの組み立て中に、再組み立てバッファの制限を超過したときに表示されます。
– source_address/source_port ― 接続を開始するパケットの送信元 IP アドレスおよび送信元ポート
– dest_address/dest_port ― 接続を開始するパケットの宛先 IP アドレスおよび宛先ポート
– interface_inside ― 接続を開始したパケットが着信するインターフェイスの名前
– interface_outside ― 接続を開始したパケットが発信されるインターフェイスの名前
ここでは、メッセージ 602101 ~ 609002 を示します。
説明 このメッセージは、Cisco ASA が ICMP 宛先到達不能メッセージを送信した場合、および [don't-fragment] ビットが設定されているけれども、フラグメント化が必要な場合に生成されます。
説明 パス MTU 検出により、IPSec トンネルの MTU(最大伝送ユニット)が調整されました。
推奨処置 IPSec トンネルの MTU を確認してください。実効 MTU が標準より小さい場合には、中間リンクを確認してください。
direction ― SA の方向(inbound または outbound)
tunnel_type ― SA のタイプ(remote access または L2L)
spi ― IPSec セキュリティ パラメータ インデックス
local_IP ― トンネル ローカル エンドポイントの IP アドレス
remote_IP ― トンネル リモート エンドポイントの IP アドレス
direction ― SA の方向(inbound または outbound)
tunnel_type ― SA のタイプ(remote access または L2L)
spi ― IPSec セキュリティ パラメータ インデックス
local_IP ― トンネル ローカル エンドポイントの IP アドレス
remote_IP ― トンネル リモート エンドポイントの IP アドレス
説明 Cisco ASA DHCP クライアントが DHCP サーバから正常に IP アドレスを取得しました。dhcpc コマンド ステートメントによって、Cisco ASA は DHCP サーバからネットワーク インターフェイスの IP アドレスおよびネットワーク マスクのほかに、デフォルト ルートも取得できます。default route ステートメントでは、ゲートウェイ アドレスをデフォルト ルータのアドレスとして使用します。
説明 Cisco ASA の DHCP クライアントが、割り当て済みの IP アドレスを DHCP サーバに戻しました。
説明 リモート管理クライアントによって ASDM ロギング接続が開始されました。
説明 SIP メッセージの検査後に、 fixup sip コマンドにより SIP 接続が割り当てられたことを示しています。 connection_type は、次のいずれかのストリングです。
説明 Skinny メッセージの検査後に、 fixup skinny コマンドにより Skinny 接続が割り当てられたことを示しています。 connection_type は、次のいずれかのストリングです。
説明 インターフェイス interface_name に接続するホストの IP_address 用に、ネットワーク ステート コンテナが予約されました。これは情報メッセージです。
説明 インターフェイス interface_name に接続するホストの IP_address 用のネットワーク ステート コンテナが削除されました。これは情報メッセージです。
説明 設定されている NTP サーバと一致しないホストから、NTP パケットを受信しました。Cisco ASA は単に NTP クライアントであり、タイム サーバではないので、NTP 要求には応答しません。
説明 受信した NTP パケットが認証チェックに失敗しました。
推奨処置 Cisco ASA および NTP サーバが両方とも認証を使用し、同じキー番号および値を使用するように設定されているかどうかを確認してください。
説明 指定のコマンドが、コマンド許可に失敗しました。 command_modifier は、次のいずれかのストリングです。
– cmd (このストリングは、コマンドに修飾子がないことを意味します)
説明 Cisco ASA が上記の 4 つのコマンド タイプ以外の値を検出した場合は、[ unknown command type ] というメッセージが表示されます。
説明 自動アップデート サーバからのアップデートが成功しました。 filename 変数は、image、ASDM file、または configuration のいずれかです。 version number 変数は、アップデートのバージョン番号です。
説明 自動アップデート サーバからのアップデートが失敗したことを示しています。 filename 変数は、image、ASDM file、または configuration のいずれかです。 version number 変数は、アップデートのバージョン番号です。 reason 変数は、アップデートが失敗した理由を示します。失敗の原因としては、無効なイメージ ファイル、サーバへの接続切断、コンフィギュレーション エラーなどがあります。
説明 自動アップデート デーモンが指定の URL url に接続できなかったことを示しています。この URL は、自動アップデート サーバの URL、または自動アップデート サーバによって返された、いずれかのファイル サーバの URL です。 reason フィールドは、接続が失敗した理由を示します。失敗の原因としては、サーバからの応答がなかった場合、認証の失敗、ファイルが見つからなかった場合などが考えられます。
説明 スプリット DNS により、DNS クエリが本来の送信先サーバからプライマリ エンタープライズ DNS サーバにリダイレクトされています。
説明 スプリット DNS により、DNS クエリがエンタープライズ DNS サーバから本来の送信先サーバからプライマリ エンタープライズ にリダイレクトされています。
説明 MGCP データ チャネル接続、RTP、または RTCP が割り当てられました。このメッセージでは、接続の割り当てをトリガーしたメッセージも示します。
説明 要求がピアによって受け入れられなかったときに表示されるメッセージです。Create PDP Context 要求でよくある状況です。
説明 データベースから PDP コンテキストが削除されたときに表示されるメッセージです。原因としては、期限切れ、Delete PDP Context 要求/応答の交換、またはユーザによる CLI 経由での削除があります。
説明 Create PDP Context 要求を受け入れる応答の受信後、GTP トンネルが作成されたときに表示されるメッセージです。
説明 Create PDP Context 要求または応答で指定される SGSN または GGSN シグナリング アドレスが、送信した SGSN/GGSN とは異なる場合に表示されるメッセージです。
説明 Cisco ASA が、指定の CTIQBE メディア トラフィックに接続オブジェクトを割り当てます。このメッセージは、10 秒で 1 回にレート制限されています。
説明 Cisco ASA が、サポート対象外のバージョン番号を持つ CTIQBE メッセージを受信しました。Cisco ASA は、このパケットを廃棄します。このメッセージは、10 秒で 1 回にレート制限されています。
推奨処置 このログ メッセージでキャプチャされたバージョン番号が極端に大きい(10 より大きい)場合、パケットのフォーマットが不正、CTIQBE 以外のパケット、または Cisco ASA に着信する前にパケットが壊れていた可能性があります。パケットの送信元を調べることを推奨します。バージョン番号が一般的な小さい値(10 以下)の場合には、Cisco TAC に連絡し、この CTIQBE バージョンに対応する新しい Cisco ASA イメージが使用可能かどうかを確認してください。
説明 マルチキャストをサポートしないインターフェイス上で PIM をイネーブルにしようとしたときに、このメッセージが表示されます。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 マルチキャストをサポートしないインターフェイス上で igmp をイネーブルにしようとしたときに、このメッセージが表示されます。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、Cisco TAC に提出してください。
説明 イベント マネージャの作成数が、予期される量を超過した場合に表示されるメッセージです。
推奨処置 エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、TAC に提出してください。
説明 データ駆動イベントをトリガーするパケットを受信したけれども、MRIB への接続がダウンしている場合に表示されるメッセージです。通知はキャンセルされました。
推奨処置 システムの起動後にこのメッセージが続く場合は、エラー メッセージをコピーし、コンフィギュレーションおよびこのエラーに先立つイベントについての詳細情報とともに、TAC に提出してください。
説明 Rendezvous Point(RP; ランデブー ポイント)として設定されている、または Network Address Translation(NAT; ネットワーク アドレス変換)を使用するように設定されている PIM ルータが、他の PIM ルータからの PIM 登録パケットを受信したときに表示されます。このパケットにカプセル化されているデータは無効です。
推奨処置 送信側のルータは誤って RFC 以外の登録を送信している可能性があります。送信側のルータをアップグレードしてください。
ここでは、メッセージ 701001 ~ 720073 を示します。
ほとんどの ISAKMP Syslog には、トンネルを識別するのに役立つ、共通の前置オブジェクトがあります。システム ログ メッセージの説明テキストの前に、該当するオブジェクトがあれば表示されます。システム ログ メッセージが生成される時点でオブジェクトが不明の場合には、固有の[ heading = value ]の組み合わせは表示されません。
[Group = groupname , Username = user , IP = IP_address , ...]
Group はトンネル グループ、username はローカル データベースまたは AAA サーバにあるユーザ名、IP address はリモート アクセス クライアントまたは L2L ピアのパブリック IP アドレスです。
説明 AAA(認証、許可、アカウンティング)メッセージです。モジュールのユーザ認証レートが高すぎて、新しい AAA 要求を処理できないときに表示されます。
推奨処置 floodguard enable コマンドを使用して、Flood Defender 機能をイネーブルにしてください。
説明 AAA メッセージです。モジュールのユーザ認証レートが高すぎて、新しい AAA 要求を処理できないときに表示されます。
エラー メッセージ Enable Flood Defender with the floodguard enable command.説明 リモート ピアが応答していません。ISAKMP は直前のパケットを再送信しています。
推奨処置 リモート ホストへのネットワーク接続と、ローカルおよびリモート デバイスの VPN コンフィギュレーションを確認してください。
説明 リモート ピアが応答していません。ISAKMP は直前のパケットを再送信しています。
推奨処置 リモート ホストへのネットワーク接続と、ローカルおよびリモート デバイスの VPN コンフィギュレーションを確認してください。
説明 ISAKMP が不正なメッセージまたは不正なフォーマットのメッセージを受信しました。リモート ピアとの同期外れ、メッセージの復号化の問題、またはメッセージを受信した順序が不正だったことを表す場合があります。
推奨処置 事前共有鍵を使用している場合は、ローカルの事前共有鍵がローカルおよびリモート デバイスで正しく設定されているかどうかを確認してください。ローカルおよびリモートのコンフィギュレーションを確認してください。必要とされる SA がアップにならない場合は、さらにトラブルシューティングが必要になる可能性があります。
説明 ISAKMP が、前に受信したパケットと重複するパケットを受信しました。正常な動作時にも発生する場合がありますが、ISAKMP 交換でのエラーの副作用として発生する場合もあります。
説明 Cisco ASA がサポート対象外のバージョン番号を持つ H.323 パケットを受信しました。Cisco ASA は、パケットのプロトコル バージョン フィールドをサポート対象の最大バージョンに変更する場合があります。
説明 このデバッグ メッセージは、Cisco ASA が特定の H.225 メッセージを受信し、Cisco ASA が指定の 2 つの H.323 エンドポイント用に新しいシグナリング接続オブジェクトを開始したことを示しています。
説明 フェールオーバー メッセージです。アクティブ装置からスタンバイ装置へのコンフィギュレーションの複製が開始されたときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。アクティブ装置からスタンバイ装置へのコンフィギュレーションの複製が完了したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 スタンバイ Cisco ASA が、アクティブ Cisco ASA から複製コンフィギュレーションの最初の部分を受信したことを示しています。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了したときに表示されます。セカンダリ装置の場合には、(Primary)の代わりに(Secondary)と表示されます。
説明 フェールオーバー メッセージです。スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了できなかったときに表示されます。メッセージの最後に、障害の原因となったコマンドが表示されます。
説明 Cisco ASA に宛てられた最初の TCP パケットが TCP セッションの確立を要求したときに、このメッセージが表示されます。このパケットは、1 往復半ハンドシェークの最初の SYN パケットです。該当するアクセス制御リスト(Telnet、HTTP、または SSH)によってパケットが許可された場合に、このメッセージが表示されます。ただし、SYN Cookie の確認はまだ完了しておらず、ステートは予約されていません。
説明 TCP 接続の場合、Cisco ASA に宛てられた 2 番めの TCP パケットが TCP セッションの確立を要求したときに、このメッセージが表示されます。このパケットは 1 往復半ハンドシェークの最後の ACK です。該当するアクセス制御リスト(Telnet、HTTP、または SSH)によってパケットが許可された場合に、このメッセージが表示されます。また、SYN クッキーの確認が成功し、TCP セッション用にステートは予約済みです。
UDP 接続の場合、接続が許可されました。たとえば、許可された SNMP 管理ステーションからの SNMP 要求をモジュールが受信し、その要求を処理すると、このメッセージ(サービスは SNMP)が表示されます。このメッセージは、10 秒で 1 回にレート制限されています。
説明 セキュリティ アプライアンスがインターフェイス サービスへの接続の試みを拒否したときに、このメッセージが表示されます。たとえば、ファイアウォールが不正な SNMP 管理ステーションからの SNMP 要求を受信すると、このメッセージが表示される場合があります。
推奨処置 show run http 、 show run ssh 、または show run telnet コマンドを使用して、ホストまたはネットワークからのサービス アクセスを許可するようにセキュリティ アプライアンスが設定されているかどうかを確認してください。このメッセージが頻繁に表示される場合には、攻撃の可能性があります。
説明 サービスへの Cisco ASA の管理接続の最大数を超過しました。Cisco ASA は、管理サービスごとに最大 5 つの管理接続を同時に許可します。
説明 UDP 要求を処理する UDP サーバが Cisco ASA にないときに、このメッセージが表示されます。TCP パケットが Cisco ASA 上のどのセッションにも属していない場合にも、このメッセージが表示されることがあります。また、許可されたホストからであっても、空白のペイロードを持つ SNMP 要求を Cisco ASA が受信した場合にも、このメッセージ(サービスは snmp )が表示されます。サービスが snmp である場合、ログ受信側の負荷を防止するため、このメッセージは最大で 10 秒に 1 回しか生成されません。
推奨処置 DHCP、RIP、NetBios などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが異常に多く発生する場合には、攻撃の可能性があります。
説明 Cisco ASA に IP プロトコル要求を処理する IP サーバがない場合に、このメッセージが表示されます。たとえば、Cisco ASA が TCP または UDP 以外の IP パケットを受信し、Cisco ASA が要求を処理できない場合などです。
推奨処置 DHCP、RIP、NetBios などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが異常に多く発生する場合には、攻撃の可能性があります。
説明 ロギング機能に関する logging debug-trace コマンドを入力したあとに、このシステム ログ メッセージが表示されます。logging debug-trace をイネーブルにすると、すべてのデバッグ メッセージがシステム ログ メッセージにリダイレクトされて処理されます。セキュリティ上の理由から、システム ログ メッセージ出力は暗号化するか、またはセキュアな帯域外ネットワークで送信する必要があります。
説明 プロセスが 100 ミリ秒よりも長く CPU を使用しているときに、このメッセージが表示されます。このメッセージは、CPU を使用しているプロセスにフラグを付ける、デバッグ目的で使用されます。
説明 Cisco ASA がトンネルの開始を試みているリモート エンティティから IKE パケットを受信したときに、このメッセージが表示されます。Cisco ASA はリブートまたはシャットダウンがスケジュールされているので、トンネルを確立することはできません。この IKE パケットは無視され、廃棄されます。
説明 Cisco ASA が受信したメッセージ ID を認識していないことを表すメッセージです。メッセージ ID は、特定の IKE フェーズ 2 ネゴシエーションを識別する目的で使用されます。Cisco ASA にエラー条件が存在する可能性がありますが、2 つの IKE ピアが同期外れになっている場合もあります。
説明 ID ペイロードで受信したキー ID 値が、事前共有鍵認証を使用する、この IKE セッションのグループ名で認められる最大サイズよりも長いことを表すメッセージです。これは無効な値であり、セッションはリジェクトされます。Cisco ASA では、このサイズのグループ名を作成できないので、表示されるキー ID は使用できません。クライアント上の不正なグループ名を変更するように、ユーザに通知してください。
推奨処置 クライアント ピア(最も可能性が高いのは Altiga RA クライアント)で有効なグループ名が指定されているかどうかを確認してください。現時点ではグループ名の最大長は 32 です。
説明 ID ペイロードで受信した DN の OU 値が、Certs 認証を使用する、この IKE セッションのグループ名で認められる最大サイズよりも長いことを表すメッセージです。この OU はスキップされ、別の OU または他の基準と一致するグループが検索されます。
推奨処置 Cisco ASA にグループのある OU をクライアントが使用するには、グループ名が有効な長さでなければなりません。現時点ではグループ名の最大長は 32 です。
説明 一意のメッセージ ID によって conn_entry(IPSec SA に対応する IKE フェーズ 2 の構造)を検索する試みが失敗したときに、このメッセージが表示されます。内部構造が見つかりませんでした。セッションが標準外の方法で終了した場合に発生する可能性もありますが、最も考えられる原因は内部エラーです。
説明 ピアから不正な IPSec プロトコルまたはサポート対象外の IPSec プロトコルを受信したときに、このメッセージが表示されます。
推奨処置 ピアの ISAKMP フェーズ 2 コンフィギュレーションが Cisco ASA と互換であるかどうかを確認してください。
説明 ピアから受信した ISAKMP Domain of Interpretation(DOI)がサポート対象外である場合に、このメッセージが表示されます。
説明 ピアから受信した ID が不明の場合に、このメッセージが表示されます。この ID は未知の有効な ID の場合もありますが、無効な ID または壊れた ID の場合もあります。
説明 ピアから受信したフェーズ 1 またはフェーズ 2 ID が、正当であってもサポート対象外であることを表すメッセージです。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ピアから指定された値(キー ID または IP アドレス)と同じ名前のグループがグループ データベースに存在しないことを表すメッセージです。
説明 Cisco ASA がリモート ピアのフェーズ 2 ローカル プロキシ ID ペイロードを受信したことを表すメッセージです。
説明 Cisco ASA がリモート ピアのフェーズ 2 リモート プロキシ ID ペイロードを受信したことを表すメッセージです。
説明 Cisco ASA がリモート ピアのフェーズ 2 ローカル プロキシ ID ペイロードを受信し、そのペイロードに IP アドレス範囲が含まれていたことを表すメッセージです。
説明 Cisco ASA がリモート ピアのフェーズ 2 リモート プロキシ ID ペイロードを受信し、そのペイロードに IP アドレス範囲が含まれていたことを表すメッセージです。
説明 ローカル ID ペイロードに範囲 ID タイプが含まれていて、指定の下位アドレスが上位アドレスよりも小さくなかった場合に、このメッセージが表示されます。コンフィギュレーションの問題を表している可能性があります。
説明 リモート ID ペイロードに範囲 ID タイプが含まれていて、指定の下位アドレスが上位アドレスよりも小さくなかった場合に、このメッセージが表示されます。コンフィギュレーションの問題を表している可能性があります。
説明 フェーズ 2 ID ペイロードでローカル IP プロキシ サブネットのデータを受信したときに、このメッセージが表示されます。
説明 フェーズ 2 ID ペイロードでリモート IP プロキシ サブネットのデータを受信したときに、このメッセージが表示されます。
説明 フェーズ 2 ID ペイロードでローカル IP プロキシ サブネットのデータを送信したときに、このメッセージが表示されます。
説明 フェーズ 2 ID ペイロードでリモート IP プロキシ サブネットのデータを送信したときに、このメッセージが表示されます。
説明 内部ソフトウェア エラーが発生し、ISAKMP パケットを送信できなかった場合に、このメッセージが表示されます。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部ソフトウェア エラーが発生し、フェーズ 2 データ構造が見つからないことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IPSec 高速パスが IKE をトリガーするパケットを処理したけれども、IKE のポリシー検索が失敗したことを表すメッセージです。このエラーはタイミングに関連する可能性があります。IKE が開始要求を処理する前に、IKE をトリガーする ACL が削除されている可能性があります。この問題はほとんどの場合、自動的に解決されます。
説明 この状況が続く場合は、L2L コンフィギュレーションを確認してください。暗号マップに関係する ACL に特に注意してください。
説明 Cisco ASA が、リモート ピアの提案する Diffie-Hellman グループをサポートしていないことを表すメッセージです。Diffie-Hellman グループは、フェーズ 1 で Diffie-Hellman キーを生成し、フェーズ 2 で Perfect Forward Secrecy(PFS)用の Diffie-Hellman キーを生成します。
説明 ピアの Diffie-Hellman キーの設定を確認してください。また、Cisco ASA に対する提案が正しいかどうかも確認してください。
説明 ユーザ、グループ、またはインターフェイス ポリシーによって IPSec トンネルが拒否されていることを表すメッセージです。
説明 IPSec SA が見つからなかったことを表すメッセージです。
推奨処置 リモート アクセス トンネルの場合、グループとユーザのコンフィギュレーションを調べ、ユーザ グループにトンネル グループとグループ ポリシーが設定されていることを確認してください。外部認証のユーザおよびグループの場合、返された認証アトリビュートを確認してください。
説明 ユーザが IPSec ネゴシエーションで送信されたグループとは別のグループに設定されていることを表すメッセージです。
推奨処置 Cisco VPN クライアントと事前共有鍵を使用している場合は、クライアント上で設定されているグループが、Cisco ASA 上でそのユーザに対応付けられているグループと同じであるかどうかを確認してください。デジタル証明書を使用している場合は、証明書の OU フィールドでグループが指定されていなければ、ユーザはデフォルトでリモート アクセスのデフォルト グループに設定されます。
説明 Cisco ASA が、メッセージで表示されるプライベート ネットワークまたはホストに関するセキュリティ ポリシー情報を見つけられなかったことを表すメッセージです。これらのネットワークまたはホストは、イニシエータによって送信され、Cisco ASA 上のどの暗号 ACL とも一致しません。最も考えられる原因は、設定の誤りです。
推奨処置 接続の両側で暗号 ACL の保護ネットワークの設定を調べ、イニシエータ上のローカル ネットワークがレスポンダ上のリモート ネットワークであり、その逆も成り立っているかどうかを確認してください。ワイルドカード マスク、ホスト アドレスとネットワーク アドレスなどに特に注意してください。シスコ以外の実装では、プライベート アドレスが、プロキシ アドレスまたはレッド ネットワークとしてラベル付けされている場合があります。
説明 IKE ピアとして設定されている IP アドレスが、Cisco ASA のいずれかの IP インターフェイス上で設定されている IP アドレスと同じてす。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 このイベントの原因となった通知メッセージが、通知処理コードで明示的に処理されないことを表すメッセージです。
推奨処置 固有の理由情報を検証して、対処を決定してください。IKE ピア間の設定の不一致を表す、多くの通知メッセージがあります。
説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、イニシエータの値が小さいことを表します。
説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、イニシエータの値が小さいことを表します。
説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、レスポンダの値が小さいことを表します。
説明 再キーイングの持続時間は、常に IKE ピアによって提案される値のうち小さい方の値に設定されます。このメッセージは、レスポンダの値が小さいことを表します。
説明 modecfg アトリビュートの処理中に内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 不要なトンネル グループ アトリビュートをディセーブルにするか、または長すぎるテキスト メッセージを短縮します。問題が解消されない場合は、エラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報およびコンフィギュレーション ファイルとともに Cisco TAC に提出して、指示を受けてください。
説明 ロードされた証明書のいずれかが読み取り不可能であり、サポート対象外の符号化方式の可能性があることを表すメッセージです。
説明 IKE フェーズ 1 ID ペイロードで受信したポート値が不正であることを表すメッセージです。許容可能な値は、0 または 500(ISAKMP または IKE)です。
説明 IKE フェーズ 1 ID ペイロードで受信したプロトコル値が不正であることを表すメッセージです。許容可能な値は、0 または 17(UDP)です。
説明 証明書ペイロードを受信したにも関わらず、内部証明書ハンドルではアイデンティティ証明書がないと示されています。通常の登録方式で証明書ハンドルを取得しなかった可能性があります。考えられる理由の 1 つは、認証方式が RSA または DSS シグニチャでないことですが、双方の設定が誤っていれば IKE SA ネゴシエーションが失敗するはずです。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 ほとんどの場合、悪性のイベントではありませんが、重大な影響がある場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 トラストポイントを再登録しなければならない場合があります。問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 証明書に基づく IKE セッションの確立が試みられましたが、暗号ポリシーでアイデンティティ証明書が指定されていないことを表すメッセージです。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IKE が受信した ID ペイロードに含まれる Identification Data フィールドのサイズが 2K 以上だったことを表すメッセージです。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 Cisco ASA がリモート ピアから受信した証明書を処理できなかったことを表すメッセージです。証明書データのフォーマットが不正だった場合や、証明書のデータをアプライアンスが保存できなかった場合が考えられます。原因としては、たとえば 4096 ビットより大きいパブリック キー サイズなどがあります。
説明 Cisco ASA が通知タイプ CONNECTED を含む通知ペイロードを正常に処理できなかったことを表すメッセージです。SPI を使用して IKE フェーズ 2 構造を見つけられなかった場合や、受信した ISAKMP ヘッダーで commit ビットが設定されていなかった場合が考えられます。後者の場合、IKE ピアが規格に準拠していない可能性があります。
推奨処置 問題が続く場合は、ピアのコンフィギュレーションを確認し、commit ビット処理をディセーブルにしてください。
説明 IKE SA が 0 以外のトンネル カウントで削除されたことを表すメッセージです。IKE SA のトンネル カウントが対応付けられた接続エントリとの同期を失ったか、または対応する接続エントリの cookie フィールドと、その接続エントリがポイントする IKE SA の cookie フィールドが同期を失ったことを意味します。この状況が発生すると、IKE SA および対応するデータ構造は解放されないので、データ構造をポイントしている可能性のあるエントリが古いポインタを使用することはありません。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 Cisco ASA による、UDP 上での IPSec の使用の試みをクライアントがリジェクトしました。UDP 上の IPSec を使用すると、複数のクライアントが NAT デバイス経由で Cisco ASA への同時トンネルを確立できます。クライアントが要求をリジェクトした理由としては、この機能をサポートしていないか、またはこの機能を使用するように設定されていないことが考えられます。
説明 ユーザまたはグループが L2TP-over-IPSec 接続を試みましたが、この Cisco ASA ではL2TP プロトコルがイネーブルではありません。
説明 SPI 値で表される IPSec SA が、リモート ピア上でアクティブでなくなっていることを表すメッセージです。リモート ピアがリブートまたはリセットされた可能性があります。
推奨処置 ピアに確立済みの適切な SA がなくなっていることを DPD が認識すれば、この問題は自動的に解消されるはずです。DPD がイネーブルでない場合、該当するトンネルを手動で再確立する必要があります。
説明 group_descriptor フィールドにサポート対象外の値が含まれていることを表すメッセージです。現時点でサポートされているのは、グループ 1、2、5、7 だけです。conn-entry の場合、 group_descriptor フィールドが 0 に設定され、Perfect Forward Secrecy(PFS)がディセーブルであることを表す場合もあります。
説明 このデバイスでキープアライブがオン(またはオフ)に設定されているにも関わらず、IKE ピアがキープアライブをサポートする(またはサポートしない)ことを表すメッセージです。
推奨処置 これが意図的である場合には、処置は不要です。意図的でない場合、両方のデバイスでキープアライブの設定を変更してください。
説明 リモート IKE ピアが所定の時間内にキープアライブに応答しなかったために、IKE ピアとの接続が終了したことを表すメッセージです。使用されているキープアライブ メカニズムもメッセージで表示されます。
説明 リモート IKE ピアが送信した DPD に含まれるシーケンス番号が、予測されるシーケンス番号とは異なっていることを表すメッセージです。パケットは廃棄されます。
説明 ピアが XAUTH を実行しようとしたにも関わらず、Cisco ASA が XAUTH IKE プロポーザルを選択しなかった場合に、このメッセージが表示されます。
説明 VCPIP への接続の試みが、ロードバランシングによって負荷の少ないピアにリダイレクトされた場合に、このメッセージが表示されます。
説明 XAUTH または Mode-cfg の実行中に、予期しないペイロードを受信したことを表すメッセージです。2 つのピアが同期外れになっているか、XAUTH または Mode-cfg のバージョンが一致していないか、またはリモート ピアが適切な RFC に適合していない可能性があります。
説明 現在サポートされていない、有効なトランザクション モード アトリビュート(XAUTH または Mode Cfg)の要求をデバイスが受信したことを表すメッセージです。この状況は一般に、悪性ではありません。
説明 Cisco ASA が、認識しないトランザクション モード アトリビュート(XAUTH または Mode)の要求を受信したことを表すメッセージです。有効なアトリビュートでも現バージョンの config モードでサポートされていない場合や、ピアが独自仕様の無効な値を送信している場合が考えられます。接続に問題が生じることはありませんが、ピアの機能に影響する可能性があります。
説明 リモート アクセス クライアントの IP アドレスを提供する内部ユーティリティからのアドレス要求が、満たされなかったことを表すメッセージです。
説明 設定された LAN 間プロポーザルが、LAN 間の接続で認められるものではない場合に、このメッセージが表示されます。どちら側がイニシエータであるかに応じて、異なるプロポーザルが使用されます。
説明 リモート Cisco ASA 上でのロードバランシングによって、トンネルがリダイレクトされることを表すメッセージです。REDIRECT_CONNECTION 通知パケットを受信した場合に、このメッセージが表示されます。
説明 SA が非アクティブな状態でハングしていることをリーパが検出しました。リーパはハングした SA の削除を試みます。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ピアの IP アドレスと同じ名前を持つグループが、グループ データベースに存在しない場合に表示されるメッセージです。Main モードでは、Cisco ASA はいずれかのデフォルト グループに設定されているデフォルトの事前共有鍵の使用を試みます。デフォルトの事前共有鍵が設定されていません。
説明 ピアの IP アドレスと同じ名前を持つトンネル グループが、グループ データベースに存在しません。Main モードでは、Cisco ASA はデフォルト グループに設定されているデフォルトの事前共有鍵の使用を試みます。
説明 スプリット トンネリング ポリシーが、トンネリングを分割するかローカル LAN アクセスを許可するように設定されている場合に、このメッセージが表示されます。VPN クライアントが必要とする情報を表すため、スプリット トンネリング ACL が定義されている必要があります。
説明 クライアントに搭載されている Cisco ASA が、設定上必要な Cisco ASA と一致しないことを表すメッセージです。このメッセージでは実際の値と必要な値がリストされ、トンネルが打ち切られるか許可されるかが示されます。
推奨処置 クライアントに別のパーソナル Cisco ASA を搭載するか、または Cisco ASA の設定を変更してください。
説明 クライアントが ModeCfg によって使用中の Cisco ASA を報告しない場合に、このメッセージが表示されます。このイベントでは、必要な値がリストされ、トンネルが打ち切られるか許可されるかが示されます。製品ストリングの後ろにある数値は、許可される全製品のビットマスクです。
推奨処置 クライアントに別のパーソナル Cisco ASA を搭載するか、または Cisco ASA の設定を変更してください。
説明 ネットワーク拡張モードでハードウェア クライアントとのトンネルがネゴシエートされ、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのスタティック ルートが追加されることを表すメッセージです。これにより、Cisco ASA はそのリモート ネットワークを、ヘッドエンドのプライベート側にある全ルータに認識させることができます。
説明 内部ソフトウェア エラーが発生したことを表すメッセージです。ネットワーク拡張モードでハードウェア クライアントとのトンネルがネゴシエートされ、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのスタティック ルートの追加が失敗しました。ルーティング テーブルが満杯であるか、アドレッシング エラーの可能性があります。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ネットワーク拡張モードでハードウェア クライアントへのトンネルが削除され、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのスタティック ルートが削除されることを表すメッセージです。
説明 ネットワーク拡張モードでハードウェア クライアントへのトンネルの削除中に、そのハードウェア クライアントの向こう側にあるプライベート ネットワークへのルートが削除できなかったことを表すメッセージです。
推奨処置 アドレッシングまたはソフトウェアに問題がある可能性があります。ルーティング テーブルを調べて、問題のルートがないことを確認してください。ルートがある場合、ハードウェア クライアントへのトンネルが完全に削除されている場合に限り、そのルートを手動で削除してください。
説明 ヘッドエンドの Cisco ASA で、特定のハードウェア クライアントのセキュリティ アトリビュートがイネーブルと指定されているにも関わらず、VPN3002 ハードウェア クライアントがそのアトリビュートを要求していません。
説明 クライアントが CPP を使用して自身の Cisco ASA をプロビジョニングする必要があるにも関わらず、ヘッドエンド デバイスがクライアントに送信すべき ACL を取得できなかったことを表すメッセージです。設定の誤りによるものと考えられます。
説明 特定のサーバに関する DNS 検索が解決されなかったことを表すメッセージです。
推奨処置 Cisco ASA 上の DNS サーバの設定を確認してください。さらに、DNS サーバが正常に動作していて、IP アドレス マッピングのホスト名があることを確認してください。
説明 プライマリ サーバに関する前回の DNS ルックアップの失敗により、システムがバックアップ ピアを初期化した可能性があります。プライマリ サーバの以降の DNS 検索は最終的に成功し、バックアップ サーバが初期化されていてもリセットされることを表すメッセージです。この時点よりあとに開始されたトンネルが、プライマリ サーバの目標となります。
説明 クライアントがバックアップ サーバにフェールオーバーするか、またはプライマリ サーバに関する DNS 検索の失敗によりバックアップ サーバが初期化されたことを表すメッセージです。この時点よりあとに開始されたトンネルが、指定のバックアップ サーバの目標となります。
説明 クライアントが IKE MSG1 を送信してトンネルの開始を試みましたが、反対側の Cisco ASA から応答を受信しなかったことを表すメッセージです。バックアップ サーバが使用可能であれば、クライアントはいずれかのバックアップ サーバとの接続を試みます。
説明 クライアントが IPSec over TCP を使用するように設定されていることを表すメッセージです。このクライアントは、Cisco ASA が IPSec over UDP を使用する試みをリジェクトしました。
説明 Cisco ASA サーバへの TCP 接続が、何らかの理由で切断されたことを表すメッセージです。考えられる原因としては、サーバのリブート、ネットワークの問題、SSL の不一致などがあります。
推奨処置 初期接続が行われたあとでサーバとの接続が切断された場合は、サーバとネットワークの接続を確認する必要があります。初期接続がただちに切断された場合は、SSL 認証に問題があると考えられます。
説明 Cisco ASA サーバが Cisco ASA に対し、このユーザを制限する必要があるという旨のメッセージを送信しました。理由としては、Cisco ASA ソフトウェアのアップグレード、アクセス権の変更などがあります。Cisco ASA サーバは処理が完了次第、このユーザをフル アクセス モードに戻します。
推奨処置 処置は不要ですが、ユーザがフル アクセス ステートにモードに戻されない場合は例外です。その場合には、Cisco ASA サーバを調べ、実行された処理およびリモート マシンで稼働中の Cisco ASA ソフトウェアの状態を確認してください。
説明 Cisco ASA サーバがこのユーザ セッションを終了したことを表すメッセージです。クライアント マシン上でインテグリティ エージェントが動作を停止した場合、またはセキュリティ ポリシーがリモート ユーザによって何らかの方法で変更された場合に、このメッセージが表示されます。
推奨処置 クライアント マシンの Cisco ASA ソフトウェアが引き続き稼働していて、ポリシーが正しいかどうかを確認してください。
説明 Cisco ASA サーバが古いデータを検出した場合、または(リブート時のように)セッション データを失った場合に、このサーバがセッション情報を要求していることを表すメッセージです。
説明 クライアントのトンネル グループのポリシーがデジタル証明書を使用するように設定されているにも関わらず、クライアントが事前共有鍵を使用してネゴシエートしたことを表すメッセージです。
説明 ハードウェア クライアントが拡張認証に失敗したことを表すメッセージです。ユーザ名とパスワード、または認証サーバに問題があると考えられます。
推奨処置 双方に設定されているユーザ名とパスワードの値が一致しているかどうかを確認してください。また、ヘッドエンドの認証サーバが正常に動作しているかどうかを確認してください。
説明 リモート ユーザが拡張認証に失敗したことを表すメッセージです。ユーザ名とパスワード、または認証サーバに問題があると考えられます。
推奨処置 双方に設定されているユーザ名とパスワードの値が一致しているかどうかを確認してください。また、リモートの認証に使用されている認証サーバが正常に動作しているかどうかを確認してください。
説明 再キーイングに対する再認証がイネーブルに設定されているにも関わらず、トンネル認証に手動での介入が必要であることを表すメッセージです。
説明 再キーイングが完了したあとで、IKE がリモート ピアから古い IKE SA を削除する delete メッセージを受信したことを表すメッセージです。
説明 フェーズ 2 再キーイングが完了したあとで、IKE がリモート ピアから古い conn-entry を削除する delete メッセージを受信しました。
説明 フェーズ 2 で、UDP-Encapsulated-Transport が提案または選択されました。この場合、NAT-Traversal に対するこのペイロードを送信する必要があります。
説明 ハードウェア クライアントがネットワーク拡張モードを使用してトンネリングを試みていますが、ネットワーク拡張モードは認められていません。
説明 アプライアンスが、指定のピアへの IPSec トンネルをトリガーするデータを処理していることを表すイベントです。メモリ リソースがクリティカルな状態なので、これ以上のトンネルは開始できません。このデータ パケットは無視されて廃棄されています。
推奨処置 この状況が続く場合は、アプライアンスが効率的に設定されているかどうかを確認してください。このアプリケーション用には、メモリを増設したアプライアンスが必要であることを表している場合があります。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 クライアントの OS およびアプリケーション バージョンを表すイベントです。この情報が入手できない場合には、N/A と表示されます。
説明 外部 RADIUS 認証サーバから、無効なセカンダリ ドメイン名リストを受信しました。スプリット トンネリングを使用している場合、このリストは、クライアントがトンネル経由で解決すべきドメインを表します。
推奨処置 RADIUS サーバ上の Secondary-Domain-Name-List アトリビュート(ベンダー固有アトリビュート 29)の指定を訂正してください。このリストは、コンマで区切ったドメイン名のリストでなければなりません。ドメイン名には、英数字、ハイフン、アンダースコア、およびピリオド以外の文字が含まれていてはなりません。
説明 このトンネルの確立を試みた IKE ピアは、受信側のリモート サブネットにバインドされている ISAKMP コンフィギュレーションで設定されている IKE ピアではありません。
説明 プールから取得した IP アドレスが、このサブネットのネットワーク アドレスまたはブロードキャスト アドレスです。このアドレスは使用不可能としてマークされます。
説明 アプライアンスが受信した、指定のエクスチェンジ タイプの暗号化/非暗号化パケットで、1 つまたは複数のペイロードが欠落していました。一般に、ピアに問題があることを表します。
説明 Originate Only のピアは、最初の P2 トンネルの確立後でないと、着信接続を受け入れられません。トンネルが確立されると、どの方向のデータでも、追加のフェーズ 2 トンネルを開始できます。
説明 リモート L2L ピアが Public-Public トンネルを開始しました。このピアは相手先として Answer Only のピアを必要としていますが、こちら側はそれに該当しません。設定の誤りと考えられます。
推奨処置 問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 受信した IKE パケットの読み取り中にエラーが発生したことを表すメッセージです。これは一般に内部エラーであり、ソフトウェアに問題があることを示している場合があります。
推奨処置 通常、この問題は悪性ではなく、システムは自動的に訂正されます。この問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ピアに割り当てられたアドレス、またはハードウェア クライアントによって保護されるネットワークへのルートが、ルーティング テーブルに追加されました。
説明 クライアントに割り当てられたアドレス、またはハードウェア クライアントによって保護されたネットワークへのルートを追加する試みが、失敗しました。ルーティング テーブルでのルートの重複、または壊れたネットワーク アドレスが原因と考えられます。重複したルートの場合、ルートが正しくクリーンアップされていないか、または複数のクライアントがネットワークまたはアドレスを共有している可能性があります。
推奨処置 IP ローカル プールの設定と、その他に使用されている IP アドレス割り当てメカニズム(たとえば、DHCP または RADIUS)を確認してください。ルーティング テーブルからルートがクリアされているかどうかを確認してください。また、ピア システムでのネットワークおよびアドレスの設定も確認してください。
説明 グループ ポリシーで認められるトンネルが、トンネル グループの設定で認められるトンネルと異なるために、トンネルが廃棄されたときに表示されるメッセージです。
説明 IKE をトリガーし、IPSec データを正しく処理するための ACL の作成が失敗したことを表すメッセージです。このエラーは、バックアップ L2L の設定に固有のものです。設定エラー、キャパシティ エラー、または内部ソフトウェア エラーの可能性があります。
推奨処置 デバイスが最大数の Cisco ASA および最大数の VPN トンネルで稼働している場合、メモリの問題が考えられます。そうでない場合は、バックアップ L2L と暗号マップの設定(暗号マップに対応付けられた ACL)を確認してください。
説明 IKE をトリガーし、IPSec データを正しく処理するための ACL の削除が失敗したことを表すメッセージです。このエラーは、バックアップ L2L の設定に固有のものです。内部ソフトウェア エラーの可能性があります。
推奨処置 このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 バックアップ L2L の設定に対応付けられたダイナミック暗号マップの実行時インスタンスの作成が失敗したことを表すメッセージです。設定エラー、キャパシティ エラー、または内部ソフトウェア エラーの可能性があります。
推奨処置 デバイスが最大数の Cisco ASA および最大数の VPN トンネルで稼働している場合、メモリの問題が考えられます。そうでない場合は、バックアップ L2L と暗号マップの設定(暗号マップに対応付けられた ACL)を確認してください。
説明 Cisco ASA がピアのプライベート アドレスまたはネットワークへのルートを追加することを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。
説明 Cisco ASA が、ピアのプライベート アドレスまたはネットワークへのルートの追加に失敗したことを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。ルートが重複している可能性があります。Cisco ASA のルーティング テーブルが満杯になっているか、以前使用したルートが削除されていない可能性があります。
推奨処置 ルーティング テーブルを調べ、ルートを追加する余地があるかどうか、古いルートが存在していないかどうかを確認してください。テーブルが満杯の場合、または古いルートが含まれている場合には、それらのルートを削除してやり直してください。この問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 Cisco ASA がピアのプライベート アドレスまたはネットワークへのルートを削除することを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。
説明 Cisco ASA がピアのプライベート アドレスまたはネットワークへのルートを削除中に、エラーが発生したことを表すメッセージです。この場合のピアは、アドレスが不明なクライアントまたは L2L ピアです。どちらの場合にも、ダイナミック暗号マップを使用してトンネルが許可されます。ルートがすでに削除されているか、または内部ソフトウェア エラーが発生している可能性があります。
推奨処置 ルートがすでに削除されている場合は、状況は悪性ではなく、デバイスは正常に機能します。問題が続く場合、または VPN トンネル経由でルーティングの問題につながる可能性がある場合は、VPN L2L 設定のルーティングおよびアドレッシングの部分を確認してください。リバース ルートの入力と、該当する暗号マップに対応付けられた ACL を確認してください。この問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 クライアントのタイプおよびバージョンが、Cisco ASA に設定されているどのルールにも一致しなかったことを表すメッセージです。デフォルトのアクションが表示されます。
説明 クライアントのタイプおよびバージョンが、いずれかのルールに一致したことを表すメッセージです。一致の結果およびルールが表示されます。
説明 クライアントのタイプおよびバージョンに関するルールのフォーマットに誤りがあることを表すメッセージです。必要なフォーマットは、action client type | client version action であり、[permit]または[deny]の client type および client version が、Session Management に表示されます。パラメータごとに使用できるワイルドカード(*)は 1 つだけです。
説明 Cisco ASA が暗号マップを反復的に使用し、コンフィギュレーション情報を探していることを表すメッセージです。
説明 Cisco ASA が設定されている暗号マップを反復的に使用しても、対応する ACL との一致が見つからなかったことを表すメッセージです。一般に、ACL 設定の誤りを意味します。
推奨処置 このトンネル ピアに対応付けられた ACL を調べ、VPN トンネルの両側とも適切なプライベート ネットワークを指定しているかどうかを確認してください。
説明 このピアに対応付けられた暗号マップが、ACL にリンクされていないことを表すメッセージです。
推奨処置 この暗号マップに対応する ACL が存在していて、その ACL に、VPN トンネルの両側からの適切なプライベート アドレスまたはネットワークが含まれているかどうかを確認してください。
説明 この VPN トンネルに対応付けられた暗号マップで、重要な情報が欠落していることを表すメッセージです。
推奨処置 暗号マップが両方の VPN ピア、トランスフォーム セット、および対応する ACL を含めて、正しく設定されているかどうかを確認してください。
説明 デバイスがデジタル証明書を使用するように設定した場合、コンフィギュレーションにトラスト ポイントが指定されている必要があります。コンフィギュレーションにトラスト ポイントがない場合に、このメッセージが生成され、エラーが示されます。
説明 VPN リモート アクセス クライアントに、最新のソフトウェアがダウンロード可能である旨が通知されたとき、このメッセージが表示されます。リモート クライアントのユーザが、クライアント アクセス ソフトウェアを更新する必要があります。
client_ip ― リモート クライアントの IP アドレス
説明 IKE が各種のメッセージを送受信したときに、このメッセージが表示されます。
次に、IKE が 8 バイトのハッシュ ペイロード、11 バイトの通知ペイロード、および 13 バイトのベンダー固有ペイロードのあるメッセージを受信したときの出力例を示します。
説明 VPN リモート アクセス クライアントに、最新のソフトウェアがダウンロード可能である旨が通知されたとき、このメッセージが表示されます。リモート クライアントのユーザが、クライアント アクセス ソフトウェアを更新する必要があります。
client_ip ― リモート クライアントの IP アドレス
message_string ― リモート クライアントに送信されたメッセージ テキスト
エラー メッセージ説明 重大なイベントまたは障害を説明する、複数のテキスト ストリングで構成される場合のあるメッセージです。
推奨処置 問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 発生したエラーを説明する、複数のテキスト ストリングで構成される場合のあるメッセージです。ヘッドエンドまたはリモート アクセス クライアントの設定が誤っている可能性があります。イベント ストリングで、発生したエラーの詳細が示されます。
推奨処置 トラブルシューティングして、エラーの原因を特定しなければならない場合があります。両方のピアで isakmp および crypto map の設定を確認してください。
説明 エラーを説明する、複数のテキスト ストリングで構成される場合のあるシステム ログ メッセージです。ヘッドエンドまたはリモート アクセス クライアントの設定が誤っている可能性があります。
推奨処置 設定をトラブルシューティングして、エラーの原因を特定しなければならない場合があります。両方のピアで ISAKMP および暗号マップの設定を確認してください。
説明 警告を表す、複数のテキスト ストリングで構成される場合のあるシステム ログ メッセージです。予期しないピアの動作(接続の切断など)によって発生することがあります。
説明 一般的なステータス情報を説明する、複数のテキスト ストリングで構成される場合のあるシステム ログ メッセージです。これらのメッセージは、発生したイベントの追跡に使用されます。
説明 一般的なステータス情報を説明する、複数のテキスト ストリングで構成される場合のあるシステム ログ メッセージです。これらのメッセージは、発生したイベントの追跡に使用されます。
説明 Cisco ASA がフェーズ 2 イニシエータとして、Quick モード エクスチェンジの最初のパケットを送信しました。
説明 Cisco ASA がフェーズ 2 レスポンダとして、Quick モード エクスチェンジの最初のパケットを受信しました。
説明 メッセージをキューに格納しようとしたとき、内部エラーが発生したことを表すメッセージです。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 内部サブルーチンが不正なメッセージ コードを受信したことを表すメッセージです。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IKE がトンネル ネゴシエーションを完了し、IPSec 用の適切な暗号化およびハッシュ キーを正常にロードしたことを表すメッセージです。
説明 コール側のサブルーチンが IPSec SA を削除できなかったことを表すメッセージです。参照カウントの問題を示している可能性があります。
推奨処置 このイベントの結果、古い SA の数が増える場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IKE がこのデータ用のトンネルを確立中であることを表すメッセージです。トンネルが完全に確立されるまで、このトンネルで保護されるすべてのパケットが廃棄されます。
説明 フェーズ 1 の処理がすべて完了するまで(トランザクション モードなど)、Quick モード処理が遅延することを表すメッセージです。
説明 レスポンダが受信したペイロードから、指定の IPSec SA プロポーザルおよびトランスフォームが選択されたことを表すメッセージです。IKE ネゴシエーションに関する問題をデバッグするとき、このデータが役立ちます。
説明 レスポンダが受信したペイロードから、指定の IKE SA トランスフォームが選択されたことを表すメッセージです。IKE ネゴシエーションに関する問題をデバッグするとき、このデータが役立ちます。
説明 Cisco ASA が、通知タイプ CONNECTED(16384)の通知ペイロードを含むメッセージを処理中であることを表します。CONNECTED 通知は、commit bit 処理の終了に使用され、レスポンダからイニシエータに送信される 4 番めの全体的 Quick モード パケットに含まれています。
説明 このバージョンの IOS の機能が不明であることを表すメッセージです。
推奨処置 IKE キープアライブなどの機能にインターオペラビリティの問題がある可能性があります。このようなインターオペラビリティの問題に結び付く場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、IOS および Cisco ASA のソフトウェア バージョンも含めて、収集した情報とともに Cisco TAC に提出し、指示を受けてください。
説明 IOS Vendor ID ペイロードの処理が実行されたことを表すメッセージです。実行中のメッセージは、IOS をスプーフィングする Altiga である可能性があります。
説明 IKE トンネル テーブルに、SA が解放された時点で削除されなかったエントリがあることを表すメッセージです。ステート マシンのバグを表します。
推奨処置 問題が続く場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 SA の削除時に、認証ハンドルが引き続きアクティブであったことを表すメッセージです。これはエラー状況におけるクリーンアップ リカバリの一部分です。
説明 リモート アクセス クライアントの IP アドレスを提供する内部ユーティリティからのアドレス要求が、満たされなかったことを表します。このメッセージの可変のテキストで、より具体的な原因が示されます。
説明 ベンダーからの IOS キープアライブ ペイロードに、KA 機能が設定されていませんでした。ペイロードは無視されます。
説明 IOS VID と似ていますが、 hmac_sha が一致しません。
推奨処置 両方のピアでベンダー ID の設定を確認してください。この問題によってインターオペラビリティに問題が生じる場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 FWTYPE ModeCfg 応答の処理中に、不明の TLV を Cisco ASA レコードで受信しました。これは廃棄されます。原因としては、パケットが壊れている場合、または接続先クライアントがサポートする Cisco ASA プロトコルのバージョンが新しい場合が考えられます。
推奨処置 Cisco VPN Client にインストールされているパーソナル FW と、Cisco ASA 上のパーソナル FW の設定を確認してください。VPN Client と Cisco ASA のバージョンが一致していない場合もあります。
説明 古い P1 SA を削除していますが、移行すべき新しい SA にも削除のマークが付けられているので、新しい SA に移行できません。一般に、2 つの IKE ピアが同期外れになっていて、それぞれ異なる再キーイング時間を使用している可能性があります。この問題は自動的に解消されますが、新しい P1 SA が再確立されるまで、わずかなデータ損失が生じることがあります。
説明 リモート側(クライアント)に IPSec Over TCP が設定されているので、ヘッドエンドの Cisco ASA はクライアントと IPSec Over UDP または IPSec over NAT-T をネゴシエートすることはできません。
推奨処置 トンネルが確立されない場合、いずれかのピアの NAT 透過性の設定を調整しなければならない場合があります。そうでない場合、これは情報メッセージです。
説明 NAT-Traversal VID を交換したあと、リモート側が NAT トラバーサルに必要な NAT-D ペイロードを提供しませんでした。少なくとも 2 つの NAT-D ペイロードを受信する必要があります。
推奨処置 このエラーは NAT-T 実装への不適合を表している場合があります。問題のピアがシスコ製品の場合、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、製品番号およびソフトウェア バージョンも含めて、収集した情報とともに Cisco TAC に提出し、指示を受けてください。問題のピアがシスコ製品でない場合は、製造元のテクニカル サポートに連絡してください。
説明 NAT-Traversal を正常にネゴシエートするには、SA で定義されている通常のトランスポートおよびトンネル モードではなく、これらのモードを使用する必要があります。
推奨処置 廃棄の理由によって異なりますが、中間にある NAT デバイスの問題または不適合のピアを示している可能性があります。
推奨処置 ネットワークに問題があることを示している可能性があります。この状況によってトンネルが切断されたり、ある種のピアが Cisco ASA とネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、製品番号およびソフトウェア バージョンも含めて、収集した情報とともに Cisco TAC に提出し、指示を受けてください。
説明 フェーズ 1 エラーが発生し、 state 、 event のヒストリ ペアが時間をさかのぼる順序で表示されます。
推奨処置 ほとんどの場合、悪性のエラーではありません。望ましくない動作に関連してこれらのメッセージが表示される場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 IKE SA の論理 ID がヌルです。フェーズ 2 ネゴシエーションが打ち切られます。
推奨処置 内部エラーが発生しました。デバイスが回復して正常に動作しない場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 確立しようとしている LAN-TO-LAN SA は、すでに存在しています。つまり、同じリモート ネットワークでピアの異なる SA が存在します。この設定は無効なので、新しい SA は削除されます。
推奨処置 対応するすべてのピアで、LAN-TO-LAN の設定を確認してください。具体的には、複数のピアがプライベート ネットワークを共有することはできません。
説明 確立しようとしているリモート アクセス SA は、すでに存在しています。つまり、同じリモート ネットワークでピアの異なる SA が存在します。単にピアの IP アドレスが変更された可能性があるので、古い SA は削除されます。
推奨処置 クライアント トンネルが急に終了した場合は特に、悪性の状況ではありません。望ましくない動作に関連してこのメッセージが表示される場合は、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 受信した IPSec SA プロポーザルに、無効な ESP SPI サイズが指定されています。このプロポーザルはスキップされます。
推奨処置 一般に悪性の状況ではありませんが、ピアが不適合の可能性もあります。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 受信した IPSec SA プロポーザルに、無効な IPComp SPI サイズが指定されています。このプロポーザルはスキップされます。
推奨処置 一般に悪性の状況ではありませんが、ピアが不適合の可能性もあります。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 受信した IPSec SA プロポーザルに、不明のプロトコル ID が指定されています。このプロポーザルはスキップされます。
推奨処置 一般に悪性の状況ではありませんが、ピアが不適合の可能性もあります。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 リモート ユーザに関する許可情報を取得できませんでした。
推奨処置 認証および許可の設定がすべて正しいかどうかを確認してください。問題が続き、ピアが正常にトンネルをネゴシエートできない場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 この新しいメッセージは、DPD送信メッセージを記録する 715036 [DPD R-U-THERE]メッセージとペアになっています。
1) ピアが送信した[DPD R-U-THERE]メッセージを受信した場合
2) ピアが応答した[DPD R-U-THERE-ACK]メッセージを受信した場合
ケース 1 ― [DPD R-U-THERE]を受信し、そのシーケンス番号は発信した DPD 応答メッセージの番号と一致しています。
f1 がピアから[DPD R-U-THERE]を受信せずに[DPD R-U-THERE-ACK]を送信した場合、セキュリティ違反の可能性があります。
ケース 2 ― 受信した[DPD R-U-THERE-ACK]メッセージのシーケンス番号は、直前に送信した DPD メッセージの番号と一致しています。
f1 がピアに[DPD R-U-THERE]を送信したあと、適当な時間内に[DPD R-U-THERE-ACK]を受信できなかった場合、トンネルがダウンしている可能性があります。
message_type ― メッセージ タイプ([DPD R-U-THERE]または[DPD R-U-THERE-ACK])
説明 IKE が各種のハッシュ値を計算した場合に表示されます。
Group = groupname , Username = username , IP = ip_address , ...
説明 IKE に各種のメッセージが送信された場合に表示されます。
• received a key acquire message
• received SPI for non-existent SA
• could not find IKE SA to activate IPSEC (OB)
• could not find IKE SA to rekey IPSEC (OB)
• KEY_SA_ACTIVE no centry found
Group = groupname , Username = username , IP = ip_address , ...
説明 この trustpoint_name トラストポイントへの登録要求が失敗しました。
説明 トラストポイント trustpoint_name がエクスポートに失敗しました。CA 証明書しか存在せず、トラストポイントのアイデンティティ証明書が存在しないか、または必要なキーペアが欠落している可能性があります。
説明 要求したトラストポイント trustpoint_name のインポートが処理できませんでした。
推奨処置 インポートしたデータの完全性を調べ、 pkcs12 レコード全体を正しくペーストしているかどうかを確認して、もう一度インポートしてください。
説明 process_requiring_memory へのメモリの割り当て中に、内部エラーが発生しました。他のプロセスのメモリ割り当てに問題が生じ、処理が不可能になる可能性があります。
説明 証明書の確認が、 reason_string で示される理由によって失敗しました。 reason_string は、エラーの理由を表し、無効になった証明書を確認しようとした場合や、証明書のアトリビュートが無効な場合、または設定の問題が考えられます。
推奨処置 reason_string で適切なトラストポイントが見つからない旨が示された場合は、確認のための有効なトラストポイントが設定されているかどうかを調べてください。システム時刻を調べ、CA 時刻に対して正確かどうかを確認してください。 reason_string を確認し、指摘された問題を訂正してください。
説明 Certificate Revocation List(CRL)ポーリングが失敗し、CRL チェックが必要な場合、接続が拒否される可能性があります。
trustpoint_name ― CRL を要求したトラストポイントの名前
推奨処置 設定されている CRL ディストリビューション ポイントとの接続を調べ、手動での CRL 取得も正常に動作するかどうかを確認してください。
説明 指定のトラストポイント trustpoint_name で、指定の時刻 time_of_failure に、キャッシュに格納された CRL エントリの更新が失敗したことを表すログ メッセージです。システム上で CRL が古くなっているために、有効な CRL を必要とする接続が拒否される可能性があります。
推奨処置 サーバとの接続について、ネットワークのダウン、サーバのダウンなども含めて確認してください。 crypto ca crl retrieve コマンドを使用して、CRL を手動で取得してください。
説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスを設定している場合、接続のたびに CRL をダウンロードしなくても済むように、CRL をメモリにキャッシュすることができます。キャッシュが満杯になり着信した CRL を格納できない場合、必要なスペースを作るために古い CRL が削除されます。このログ イベントは、CRL を削除するたびに生成されます。
説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスを設定している場合、接続のたびに CRL をダウンロードしなくても済むように、CRL をメモリにキャッシュすることができます。受信した CRL が大きすぎてキャッシュに格納できない場合、このログ イベントが生成されます。
推奨処置 対処は不要です。容量の大きい CRL は引き続きサポートされていますが、キャッシュには格納できません。このような CRL は、IPSec 接続のたびにダウンロードすることになります。その結果、IPSec 接続がバーストしたときに、パフォーマンスに影響が及ぶ可能性があります。
説明 IPSec 接続によって、許容される CRL の最大サイズ max_crl_size を超えた CRL がダウンロードされる場合に、このログ イベントが生成されます。これは接続の失敗を引き起こすエラー条件です。このメッセージは、10 秒で 1 回にレート制限されています。
推奨処置 CRL による無効の確認方式の最大の欠点は、スケーラビリティです。この問題を解決するには、CA ベース ソリューションを検証して CRL のサイズを小さくするか、または CRL での確認を必要としないようにデバイスを設定するしかありません。
説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスを設定している場合、接続のたびに CRL をダウンロードしなくても済むように、CRL をメモリにキャッシュすることができます。CA が期限切れの時刻を指定している場合、または設定されたキャッシュ時間が経過して CRL がキャッシュから削除された場合に、このログ イベントが生成されます。
説明 CA に CA 証明書を要求してトラストポイントを認証しようとしたときに発生する可能性があるエラーです。
推奨処置 このトラストポイントに登録 URL が設定されていることを確認し、CA サーバとの接続を確認して、要求をやり直してください。
説明 IPSec 接続によって、サポート可能な数より多い無効エントリを含む CRL がダウンロードされた場合に、このログ イベントが生成されます。これは接続の失敗を引き起こすエラー条件です。このメッセージは、10 秒で 1 回にレート制限されています。
number_of_entries ― 受信した CRL に含まれる無効エントリの数
max_allowed ― デバイスがサポートしている CRL エントリの最大数
推奨処置 CRL による無効の確認方式の最大の欠点は、スケーラビリティです。この問題を解決するには、CA ベース ソリューションを検証して CRL のサイズを小さくするか、または CRL での確認を必要としないようにデバイスを設定するしかありません。
説明 取得した CRL が無効であり、 failure_reason で示される理由により、キャッシュに格納できない場合に生成されるログ イベントです。
trustpoint_name ― CRL を要求したトラストポイントの名前
failure_reason ― CRL をキャッシュに格納できない理由
推奨処置 現在のシステム時刻が CA 時刻に対して正確であるかどうかを確認してください。NextUpdate フィールドがない場合は、NextUpdate フィールドを無視するようにトラストポイントを設定してください。
説明 指定の証明書の確認が成功したときに表示されるメッセージです。
certificate identifiers ― 確認に成功した証明書の情報。理由、シリアル番号、件名などが含まれる場合があります。
説明 一連の証明書の確認が成功したときに表示されるメッセージです。
additional info ― 一連の証明書を確認した方法についての情報を提供します。たとえば[with warning]の場合、CRL チェックは実行されていません。
説明 クライアント証明書であることが判明した証明書を表すメッセージです。
serial_number ― クライアント証明書として識別された証明書のシリアル番号
説明 VPNLB キューにメッセージを格納しようとしたときに、内部ソフトウェア エラーが発生しました。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ロードバランシング ピアの最大数を超過しました。新しいピアは無視されます。
推奨処置 ロードバランシングおよびネットワークの設定を確認し、LB ピア数が許容される最大数を超過しないようにしてください。
説明 いずれかの LB ピアから、認識されないロードバランシング メッセージを受信しました。ピア間でバージョンが一致していない可能性がありますが、最も考えられる原因は、内部ソフトウェア エラーです。
推奨処置 すべての LB ピアが互換であるかどうかを確認してください。互換であるにも関わらず、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 不明の内部メッセージを受信しました。一般に、内部ソフトウェア エラーを表します。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ロードバランシング ソケットでパケットを送信しようとしたときに、内部ソフトウェア エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ステート マシン エラーが発生しました。内部ソフトウェア エラーの可能性があります。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ロードバランシング ソケットをオープンしようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ロードバランシング ソケットへのバインドを試みたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 いずれかの LB ピアに Hello 応答メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 いずれかの LB ピアに Hello 要求メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスが不明のピアについてタイムアウトを処理しました。ピアはすでにアクティブ リストから削除されている可能性があるので、このメッセージは無視されています。
推奨処置 このメッセージが続く場合や、望ましくない結果を引き起こす場合には、LB ピアを調べ、すべてのピアが正しく設定されているかどうかを確認してください。
説明 いずれかの LB ピアにキープアライブ要求メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 いずれかの LB ピアにキープアライブ応答メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 いずれかの LB ピアにコンフィギュレーション アップデート メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、すべての LB ピアが正しく設定され、正常に検出されているかどうかを確認してください。
説明 いずれかの LB ピアに OOS Indicator メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 いずれかの LB ピアにトポロジー インジケータ メッセージを送信しようとしたときに、エラーが発生しました。ネットワークの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 セキュリティ アプライアンスのネットワーク ベースの設定を調べ、インターフェイスがアクティブで、プロトコル データがデバイスに伝達されているかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスがピアのタイムアウトを処理しました。
推奨処置 ピアがタイムアウトする必然性があったかどうかを確認してください。必然性がない場合、ピアの LB 設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。
説明 マスター ロールのセキュリティ アプライアンスが、指定の回数のピア タイムアウトを処理しました。
推奨処置 タイムアウトが妥当かどうかを確認してください。妥当でない場合、ピアの LB 設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。
説明 スレーブ ロールのセキュリティ アプライアンスが、指定の回数のピア タイムアウトを処理しました。
推奨処置 タイムアウトが妥当かどうかを確認してください。妥当でない場合、ピアの LB 設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。
説明 セキュリティ アプライアンスがデッド ピアを検出しました。
推奨処置 デッド ピアの検出が妥当かどうかを確認してください。妥当でない場合、ピアの LB 設定を調べ、ピアとセキュリティ アプライアンスの間のネットワーク接続を確認してください。
説明 割り込みサービス ルーティングからメッセージを VPNLB キューに格納しようとしたとき、内部ソフトウェア エラーが発生しました。
推奨処置 ほとんどの場合、悪性ではありませんが、問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ソケット選択コールがエラーを返し、ソケットを読み取れませんでした。内部ソフトウェア エラーの可能性があります。
推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 選択コールを通じてデータを検出したあと、ソケットの読み取りが失敗しました。内部ソフトウェア エラーの可能性があります。
推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 全部の前提条件が満たされていないため、LB プロセスを実行できないことを表すメッセージです。前提条件は、2 つのアクティブ インターフェイスおよび LB がイネーブルであることです。
推奨処置 インターフェイスの設定を調べ、少なくとも 2 つのインターフェイスが正常に動作しているかどうかを確認してください。また、LB の設定も確認してください。
説明 LB では、外部インターフェイスへのセカンダリ アドレスの追加が必要です。このイベントは、セカンダリ アドレスを追加するときにエラーが発生したことを表します。
推奨処置 セカンダリ アドレスとして使用しているアドレスを調べ、有効な一意のアドレスであるかどうかを確認してください。外部インターフェイスの設定を確認してください。
説明 セカンダリ アドレスを削除できませんでした。アドレッシングの問題または内部ソフトウェア エラーの可能性があります。
推奨処置 外部インターフェイスのアドレッシング情報を調べ、有効な一意のセカンダリ アドレスであるかどうかを確認してください。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 ACL を使用して、LB ピアが通信できるセキュア トンネルを作成します。セキュリティ アプライアンスが、いずれかの ACL を作成できませんでした。アドレッシングの問題または内部ソフトウェアの問題の可能性があります。
推奨処置 すべてのピアで内部インターフェイスのアドレッシング情報を確認し、すべてのピアが正しく検出されるようにします。問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュア トンネルを削除するとき、対応する ACL のないピア エントリをセキュリティ アプライアンスが検出しました。
説明 セキュリティ アプライアンスが LB ピア間の通信を保護するトランスフォーム セットの作成中に、エラーが発生しました。内部ソフトウェアの問題の可能性があります。
推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスが LB ピア間の通信を保護するトランスフォーム セットの削除中に、エラーが発生しました。
説明 クラスタの IP アドレスは、セキュリティ アプライアンスの外部インターフェイスと同じサブネット内でなければなりません。このイベントは、同じネットワークでないことを表します。
推奨処置 クラスタ(または仮想)IP アドレスと外部インターフェイス アドレスが同じネットワークにあるかどうかを確認してください。
説明 セキュリティ アプライアンスが LB ピア間の通信を保護する SoftNP ACL ルールの作成中に、エラーが発生しました。内部ソフトウェアの問題の可能性があります。
推奨処置 問題が続く場合や、望ましくない動作を引き起こす場合には、このエラー メッセージをコンソールまたはシステム ログに出力されたとおりにコピーし、収集した情報とともに Cisco TAC に提出して、指示を受けてください。
説明 セキュリティ アプライアンスが LB ピア間の通信を保護する SoftNP ACL ルールの削除中に、エラーが発生しました。
説明 最大セッション数の制限に達したため、着信 E メール プロキシ セッションを確立できなかったことを表すメッセージです。 maximum_sessions が最大セッション数です。
説明 セッションがエラーのために終了したことを表すメッセージです。考えられるエラーとしては、セッション データベースにセッションを追加できなかった場合、メモリ割り当てが失敗した場合、チャネルへのデータの書き込みが失敗した場合などがあります。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレス、 reason はエラーのタイプです。
説明 セッションの終了後に、動的に割り当てられたセッション構造が解放され、NULL に設定されたことを表すメッセージです。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。
説明 新しい着信セッション用に FSM が作成されたことを表すメッセージです。NAME はセッションの FSM インスタンス名、 protocol は E メール プロトコル タイプ(POP3、IMAP、SMTP など)、 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。
説明 ネットワーク輻輳のため、E メール クライアントまたは E メール サーバにデータを送信できないことを表すメッセージです。ブロック タイマーが起動されます。このタイマーがタイムアウトすると、セッションが期限切れになります。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。
説明 セッション データベースで一致するセッションが見つからない場合に表示されるメッセージです。セッション ポインタが不正です。 pointer はセッション構造のポインタ、
source_address は E メール プロキシ クライアントの IP アドレスです。
説明 E メール プロキシがディセーブルの場合に表示されるメッセージです。すべてのリソースがクリーンアップされ、すべてのスレッドが終了します。
説明 CLI から起動された特定のエントリ ポイントで、E メール プロキシ機能がディセーブルになったときに表示されるメッセージです。これはユーザ用の主要な「オフ」スイッチです。すべてのインターフェイスですべてのプロトコルをオフにすると、メイン シャットダウン ルーチンが起動され、グローバル リソースやスレッドなどがクリーンアップされます。 protocol は E メール プロトコル プロキシのタイプ(POP3、IMAP、SMTP など)、 interface_name はセキュリティ アプライアンスのインターフェイス名です。
説明 CLI から起動された特定のエントリ ポイントで、E メール プロキシ機能がイネーブルになったときに表示されるメッセージです。これはユーザ用の主要な「オン」スイッチです。メイン スタートアップ ルーチンでこのスイッチを初めて使用した時点で、グローバル リソースやスレッドなどが割り当てられます。以降のコールでは、特定のプロトコルのリスン スレッドを起動するだけで済みます。 protocol は E メール プロトコル プロキシのタイプ(POP3、IMAP、SMTP など)、 interface_name はセキュリティ アプライアンスのインターフェイス名です。
説明 設定済みのポートに特定のプロトコルに関するリスン チャネルが開かれ、そのポートが TCP セレクト グループに追加されたときに表示されるメッセージです。 port は設定済みのポート番号、 protocol は E メール プロキシ プロトコルのタイプ(POP3、IMAP、SMTP など)です。
説明 設定済みのポートに特定のプロトコルに関するリスン チャネルが閉じられ、そのポートが TCP セレクト グループから削除されたときに表示されるメッセージです。 port は設定済みのポート番号、 protocol は E メール プロキシ プロトコルのタイプ(POP3、IMAP、SMTP など)です。
説明 特定のプロトコルに関するリスン ポートで変更がシグナリングされたときに表示されるメッセージです。そのポートでイネーブルのすべてのインターフェイスで、リスン チャネルが閉じられ、新しいポートでリスンが再開されます。この動作は CLI から起動します。 old_port は設定済みの古いポート番号、 new_port は設定済みの新しいポート番号、 protocol は E メール プロキシ プロトコルのタイプ(POP3、IMAP、SMTP など)です。
説明 クライアントからユーザ名ストリングを、vpnuser(名前デリミタ)mailuser(サーバ デリミタ)mailserver(例:xxx:yyy@cisco.com)のフォーマットで受信したときに表示されるメッセージです。名前デリミタは省略可能です。このデリミタを省略する場合、VPN ユーザ名とメール ユーザ名は共通です。サーバ デリミタは省略可能です。このデリミタを省略する場合、設定されているデフォルトのメール サーバが使用されます。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレス、mail_user は E メール アカウント ユーザ名、 VPN_user は WebVPN ユーザ名、 server は E メール サーバです。
説明 クライアントからパスワード ストリングを、vpnpass(名前デリミタ)mailpass(例:xxx:yyy)のフォーマットで受信したときに表示されるメッセージです。名前デリミタは省略可能です。このデリミタを省略する場合、VPN パスワードとメール パスワードは共通です。 pointer はセッション構造のポインタ、 source_address は E メール プロキシ クライアントの IP アドレスです。
説明 ホスト名が無効であるか、または使用可能な DNS サーバがないために、ホスト名を IP アドレスで解決できない場合に表示されるメッセージです。 hostname は、解決する必要のあるホスト名です。
説明 ホスト名が IP アドレスで正しく解決されたことを表すメッセージです。 hostname は解決する必要のあるホスト名、 IP_address は設定されたメール サーバ名から解決された IP アドレスです。
説明 VPN フェールオーバー サブシステムが、メモリ バッファ管理サブシステムの初期化に失敗したときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 このメッセージはシステム全体の問題を表しており、VPN フェールオーバー サブシステムを起動できません。システム ログ メッセージを調べ、システム レベルで初期化に問題を生じている兆候がないかどうかを確認してください。
説明 VPN フェールオーバー サブシステムが起動され、システムがブートしたことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 ブート時に VPN フェールオーバー サブシステムの初期化が完了したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 ブート時に VPN フェールオーバーのメインの処理スレッドが起動したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 ブート時に VPN フェールオーバーのタイマー処理スレッドが起動したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 ブート時にシステムのバルク同期処理スレッドが起動したことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 事前に割り当てられたメモリ バッファの集合が使い果たされたことを表すメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 このメッセージはリソースの問題を表しています。処理中のメッセージが多すぎて、システムに高負荷が生じている可能性があります。VPN フェールオーバー サブシステムによって未処理のメッセージが処理され、割り当てられていたメモリが解放されると、この状況が改善される可能性があります。
説明 VPN フェールオーバー サブシステムがコアのフェールオーバー サブシステムに登録できなかったときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 VPN フェールオーバー サブシステムが起動できません。他のサブシステムに初期化の問題がある可能性があります。システム ログ メッセージを調べ、システム全体で初期化に問題を生じている兆候がないかどうかを確認してください。
説明 VPN フェールオーバー サブシステムが、バージョン コントロール ブロックを作成できなかったときに表示されるメッセージです。VPN フェールオーバー サブシステムが、現在のリリースと下位互換性のあるファームウェア バージョンを検索するには、このステップが必要です。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 VPN フェールオーバー サブシステムが起動できません。他のサブシステムに初期化の問題がある可能性があります。システム ログ メッセージを調べ、システム全体で初期化に問題を生じている兆候がないかどうかを確認してください。
説明 オペレータがフェールオーバー キーを定義せずにフェールオーバーをイネーブルにしたときに表示されるメッセージです。VPN フェールオーバーを使用するには、フェールオーバー キーを定義する必要があります。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 failover key コマンドを使用して、アクティブ ユニットとスタンバイ ユニットの間の共有秘密鍵を定義してください。
説明 VPN フェールオーバー サブシステムがメモリ バッファを割り当てられなかったときに表示されるメッセージです。システム全体でリソースに問題があります。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 システムに高負荷が生じている可能性があります。着信トラフィックを減らして、システムの負荷を下げれば、この状況が改善される可能性があります。着信トラフィックを減らすことで、現在の作業負荷を処理するために割り当てられているメモリが使用可能になり、システムが正常な動作に戻る可能性があります。
説明 対応する IPSec トンネルがスタンバイ ユニット上で削除されたために、VPN フェールオーバー サブシステムが IPSec 関連の実行時データを更新できないときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 VPN フェールオーバー サブシステムが、トラストポイントに証明書の挿入を試みたときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。 trustpoint_name は、トラストポイントの名前です。
説明 フェーズ 2 接続エントリにリンクする SA がないときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 message_number はフェーズ 2 接続エントリのメッセージ ID、 mine はこちら側のフェーズ 1 Cookie、 his はピアのフェーズ 1 Cookie です。
説明 特定のフェーズ 2 接続エントリに対応するフェーズ 1 SA が見つからないときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 message_number はフェーズ 2 接続エントリのメッセージ ID、 mine はこちら側のフェーズ 1 Cookie、 his はピアのフェーズ 1 Cookie です。
説明 VPN フェールオーバー サブシステムが、特定のタイマー イベントを初期化できなかったときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 index はタイマー イベントの内部インデックスです。
推奨処置 ブート時に VPN フェールオーバー サブシステムが起動できません。システム ログ メッセージを調べ、システム全体で初期化に問題を生じている兆候がないかどうかを確認してください。
説明 VPN フェールオーバー サブシステムが、VPN ロードバランシング実行時データを更新できなかったときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
説明 システムに高負荷が生じている可能性があります。VPN フェールオーバー サブシステムがフェールオーバー バッファを取得できませんでした。 unit は「Primary」または「Secondary」のいずれかです。 code はハイ アベイラビリティ サブシステムから返されたエラー コードです。
推奨処置 着信トラフィックの量を減らして、現在の負荷条件を改善してください。着信トラフィックが少なくなると、負荷の処理用に割り当てられていたメモリが解放されます。
説明 VPN フェールオーバー サブシステムが、IPSec/cTCP 関連の統計情報を更新できなかったときに表示されるメッセージです。 unit は、「Primary」または「Secondary」のいずれかです。
推奨処置 対処は不要です。定期的に更新が送信されるので、スタンバイ ユニットの IPSec/cTCP 統計情報は、次の更新メッセージで更新されるはずです。
説明 VPN フェールオーバー サブシステムが、スタンバイ ユニットに定期的なタイマー メッセージを送信できなかったときに表示されるメッセージです。 unit は「Primary」または「Secondary」のいずれかです。 type はタイマー メッセージのタイプです。
説明 VPN フェールオーバー サブシステムが、ノンブロック メッセージを送信できませんでした。
unit ― 「Primary」または「Secondary」のいずれか
message_number ― ピア メッセージの ID 番号
推奨処置 システムの高負荷やシステム リソース不足などによる一時的な状況です。システム リソースが解放されると、状況は改善されます。
説明 VPN フェールオーバー サブシステムがトラストポイントを名前で検索したときに、エラーが発生しました。
説明 これは情報メッセージです。ピアが使用可能または使用不可能になったことをローカル デバイスが検知すると、VPN フェールオーバー サブシステムは、コア フェールオーバー サブシステムから通知を受けます。
説明 フェールオーバー制御チャネルが「up」または「down」であることを表す情報メッセージです。フェールオーバー制御チャネルは、 failover link および show failover コマンドで定義します。これらのコマンドでは、フェールオーバー リンク チャネルが「up」または「down」であることが示されます。
説明 フェールオーバー データ チャネルが up または down であることを示す情報メッセージです。
説明 オペレータまたはその他の外部条件によって、フェールオーバー ピアが役割(アクティブまたはスタンバイ)に同意する前に、現在のフェールオーバーの進行が打ち切られた場合にのみ、このメッセージが生成されます。たとえば、ネゴシエーション中にスタンバイ ユニットで failover active コマンドが入力された場合などです。また、アクティブ ユニットがリブートされた場合にも生成されます。
説明 ローカル フェールオーバー デバイスの状態が変化したときに表示される情報メッセージです。
unit ― 「Primary」または「Secondary」のいずれか
unit ― 「Primary」または「Secondary」のいずれか
unit ― 「Primary」または「Secondary」のいずれか
説明 アクティブ ユニットがすべてのステート情報をスタンバイ ユニットに送信する準備が整ったときに生成される情報メッセージです。
unit ― 「Primary」または「Secondary」のいずれか
説明 VPN フェールオーバー サブシステムが、基盤となっているフェールオーバー サブシステムから無効なコールバック イベントを受信したときに生成されるメッセージです。
説明 VPN フェールオーバー サブシステムが、基盤となっているフェールオーバー サブシステムからステータス更新を通知されたときに生成される情報メッセージです。
説明 システム リソースが不足している可能性があることを表すメッセージです。VPN フェールオーバー サブシステムが内部メッセージをキューに格納しようとしたとき、エラーが発生しました。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 システムに高負荷が生じており、VPN フェールオーバー サブシステムが着信トラフィックを処理するためのリソースを割り当てられなかったことを表す、一時的な状況の可能性があります。現在のシステム負荷が減少し、システム リソースが使用可能になって再び新しいメッセージを処理できるようになると、このエラー条件は解消される可能性があります。
説明 VPN フェールオーバー サブシステムが無効なメッセージ タイプを処理しようとしたとき、エラーが発生しました。
説明 VPN フェールオーバー サブシステムが検索を試みましたが、スタンバイ ユニットで cTCP フローが事前に削除されていた可能性があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 cTCP フローが削除された兆候がないかどうかをシステム ログ メッセージで調べ、フローが削除された理由(アイドル タイムアウトなど)を確認してください。
説明 VPN フェールオーバー サブシステムが、スタンバイ ユニットから受信したステート更新メッセージの処理中にエラーが発生しました。
unit ― 「Primary」または「Secondary」のいずれか
説明 スタンバイ ユニットが、アクティブ ユニットから壊れたメッセージを受信しました。アクティブ ユニットからのメッセージが壊れています。アクティブ ユニットとスタンバイ ユニットで稼働中のファームウェアが非互換の可能性があります。
説明 ローカル ユニットがフェールオーバー ペアのアクティブ ユニットになったことを表す情報メッセージです。
説明 ローカル ユニットがフェールオーバー ペアのスタンバイ ユニットになったことを表す情報メッセージです。
説明 アクティブ ユニットからスタンバイ ユニットにメッセージが送信されたことを表すデバッグ メッセージです。
説明 スタンバイ ユニットがメッセージを受信したことを表すデバッグ メッセージです。
説明 VPN フェールオーバー サブシステムがアクティブ ユニットからスタンバイ ユニットにメッセージを送信しようとしたとき、エラーが発生しました。これは 720018(コア フェールオーバー サブシステムでフェールオーバー バッファが不足、またはフェールオーバー LAN リンクがダウン)に起因している可能性があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作していて、フェールオーバー LAN リンクが「up」であるかどうかを確認してください。
説明 VPN フェールオーバー サブシステムがスタンバイ ユニットでメッセージを受信しようとしたとき、エラーが発生しました。原因としては、メッセージが壊れている場合や、着信メッセージを保存する十分なメモリが割り当てられない場合があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを使用して受信エラーを調べ、これが VPN フェールオーバーに固有の問題か、それとも一般的なフェールオーバーの問題であるかどうかを確認してください。メッセージが壊れている原因としては、アクティブ ユニットとスタンバイ ユニットのファームウェア バージョンが非互換であることが考えられます。 show memory コマンドを使用して、メモリが不足していないかどうかを確認してください。
説明 スタンバイ ユニットが、アクティブ ユニットからのバルク同期情報の受信を開始するように通知されたことを表す情報メッセージです。
説明 スタンバイ ユニットが、アクティブ ユニットからのバルク同期の完了を通知されたことを表す情報メッセージです。
説明 VPN フェールオーバー サブシステムが、スタンバイ ユニット上の SDI サーバ用のノード シークレット ファイルを同期化しようとしたとき、エラーが発生しました。SDI ノード シークレット ファイルはフラッシュに保存されています。このエラーは、フラッシュ ファイル システムが満杯か壊れていることを表す場合があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 dir コマンドを使用して、フラッシュの内容を表示してください。ノード シークレット ファイル名は、「 ip .sdi」です。
unit ― 「Primary」または「Secondary」のいずれか
説明 VPN フェールオーバー サブシステムの有限ステート マシン機能が完了したことを表すデバッグ メッセージです。
説明 タイマー処理スレッドからタイマーを削除できないことを表すデバッグ メッセージです。
説明 VPN フェールオーバー サブシステムが、スタンバイ ユニット上の SDI サーバ用のノード シークレット ファイルを追加しようとしたとき、エラーが発生しました。SDI ノード シークレット ファイルはフラッシュに保存されています。このエラーは、フラッシュ ファイル システムが満杯か壊れていることを表す場合があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 dir コマンドを使用して、フラッシュの内容を表示してください。ノード シークレット ファイル名は、「 ip .sdi」です。
説明 VPN フェールオーバー サブシステムが、アクティブ ユニット上のノード シークレット ファイルを削除しようとしたときにエラーが発生しました。削除対象のノード シークレット ファイルがフラッシュ ファイル システムに存在しない場合、またはフラッシュ ファイル システムの読み取りに問題がある場合が考えられます。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 dir コマンドを使用して、フラッシュの内容を表示してください。ノード シークレット ファイル名は、「 ip .sdi」です。
説明 VPN フェールオーバー サブシステムがバルク同期中に、スタンバイ ユニット上の cTCP IKE ルールをロードしようとしたときにエラーが発生しました。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 スタンバイ ユニットに高負荷が生じているために、新しい IKE ルール要求がタイムアウトした可能性があります。
説明 cTCP レコードがスタンバイに複製され、更新できません。対応する IPSec over cTCP トンネルがフェールオーバー後に正常に動作していない可能性があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 cTCP データベースが満杯になっている場合や、同じピア IP アドレスおよびポート番号を持つレコードが存在する場合が考えられます。これは一時的な状況で、終了時には改善される可能性があります。
説明 シングル(非トランスペアレント)モードで動作していない場合、VPN サブシステムは起動されず、このメッセージが表示されます。
説明 ユーザがフェールオーバーをイネーブルにしようとしても、フェールオーバー キーが定義されておらず、VPN フェールオーバー サブシステムのメインのメッセージ処理スレッドがディセーブルになっていることを表す情報メッセージです。VPN フェールオーバーを実行するには、フェールオーバー キーが必要です。
説明 フェールオーバーがイネーブルで、フェールオーバー キーが定義されている場合、VPN フェールオーバー サブシステムのメインのメッセージ処理スレッドがイネーブルであることを表す情報メッセージです。
説明 フェールオーバー キーが定義されておらず、フェールオーバーがイネーブルの場合、VPN フェールオーバー サブシステムのメインのタイマー処理スレッドがディセーブルであることを表す情報メッセージです。
説明 フェールオーバー キーが定義されていて、フェールオーバーがイネーブルの場合、VPN フェールオーバー サブシステムのメインのタイマー処理スレッドがイネーブルであることを表す情報メッセージです。
説明 フェールオーバーがイネーブルでも、フェールオーバー キーが定義されていない場合、VPN フェールオーバー サブシステムのメインのバルク同期処理スレッドがディセーブルであることを表す情報メッセージです。
説明 フェールオーバーがイネーブルで、フェールオーバー キーが定義されている場合、VPN フェールオーバー サブシステムのメインのバルク同期処理スレッドがイネーブルであることを表す情報メッセージです。
説明 VPN フェールオーバー サブシステムのアクティブ ユニットが、スタンバイ ユニットへのステート情報のバルク同期を開始したことを表す情報メッセージです。
説明 VPN フェールオーバー サブシステムのアクティブ ユニットが、スタンバイ ユニットへのステート情報のバルク同期を終了したことを表す情報メッセージです。
説明 VPN フェールオーバー サブシステムがバルク同期中に、既存の cTCP レコードを更新しようとしたときエラーが発生しました。cTCP レコードがスタンバイ ユニットの cTCP データベースから削除されていて、見つかりません。
説明 VPN フェールオーバー サブシステムが、スタンバイ ユニットの cTCP データベース エントリに新しい IKE ルールを追加しようとしたときエラーが発生しました。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 システムに高負荷が生じていて、cTCP IKE ルールを追加する要求がタイムアウトした可能性があります。一時的な状況の可能性があります。
説明 スタンバイ ユニットがアクティブ ステートへの移行中に、VPN フェールオーバー サブシステムが IKE SA データベースをアクティブ化しようとしたときにエラーが発生しました。スタンバイ ユニットにリソース関連の問題があって、IKE SA データベースがアクティブ化できなかった可能性があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかを確認してください。また、Syslog でその他の IKE 関連のエラーがないかどうかも確認してください。
説明 アクティブ ユニットがスタンバイ ステートへの移行中に、VPN フェールオーバー サブシステムが IKE SA データベースを非アクティブ化しようとしたときにエラーが発生しました。アクティブ ユニットにリソース関連の問題があって、IKE SA データベースが非アクティブ化できなかった可能性があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかを確認してください。また、Syslog でその他の IKE 関連のエラーがないかどうかも確認してください。
説明 VPN フェールオーバー サブシステムが、スタンバイ ユニットで受信したピア メッセージを解析しようとしたとき、エラーが発生しました。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 スタンバイ ユニットで受信したピア メッセージが解析できません。アクティブ ユニットおよびスタンバイ ユニットが同じバージョンのファームウェアを実行しているかどうかを確認してください。また、 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかも確認してください。
説明 スタンバイ ユニットがアクティブ ステートへの移行中に、VPN フェールオーバー サブシステムが cTCP データベースをアクティブ化しようとしたときにエラーが発生しました。スタンバイ ユニットにリソース関連の問題があって、cTCP データベースがアクティブ化できなかった可能性があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかを確認してください。また、Syslog でその他の cTCP 関連のエラーがないかどうかも確認してください。
説明 アクティブ ユニットがスタンバイ ステートへの移行中に、VPN フェールオーバー サブシステムが cTCP データベースを非アクティブ化しようとしたときにエラーが発生しました。アクティブ ユニットにリソース関連の問題があって、cTCP データベースが非アクティブ化できなかった可能性があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作しているかどうかを確認してください。また、Syslog でその他の cTCP 関連のエラーがないかどうかも確認してください。
説明 VPN フェールオーバー サブシステムが cTCP ダイナミック データを更新しようとしたとき、エラーが発生しました。
unit ― 「Primary」または「Secondary」のいずれか
説明 一時的な状況の可能性があります。これは定期的な更新なので、時間をおいて同じエラーが発生するかどうかを確認してください。また、Syslog で他のフェールオーバー関連のメッセージがないかどうかも確認してください。
説明 VPN フェールオーバー サブシステムがトラストポイントを名前で検索したときに、エラーが発生しました。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 トラストポイントがオペレータによって削除されている可能性があります。 show crypto ca trustpoint CLI コマンドを使用して、トラストポイントが設定に含まれているかどうかを確認してください。
説明 VPN フェールオーバー サブシステムが、トラストポイントに証明書を挿入しようとしたときに、エラーが発生しました。証明書の内容が無効だった可能性があります。
unit ― 「Primary」または「Secondary」のいずれか
推奨処置 アクティブ ユニットで「write standby」を実行し、証明書を手動でスタンバイ ユニットに複製してください。システム ログ メッセージを調べ、フェールオーバーおよび PKI 関連のエラーがないかどうかを確認してください。