Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)

flow [ flow_drop_reason ]

（オプション）ドロップされたフロー（接続）を表示します。
flow_drop_reason 引数を使用して、特定の理由を指定できます。
flow_drop_reason 引数で有効となる値については、下の「使用上のガイドライン」に示しています。

frame [ frame_drop_reason ]

（オプション）ドロップされたパケットを表示します。
frame_drop_reason 引数を使用して、特定の理由を指定できます。
frame_drop_reason 引数で有効となる値については、下の「使用上のガイドライン」に示しています。

7.0(1)

このコマンドが導入されました。

7.1(1)

他のドロップ理由が追加されました。

acl-drop

アクセス規則によってフローが拒否されます。

パケットがセキュリティ アプライアンスに拒否された場合、このカウンタが増分します。拒否規則は、セキュリティ アプライアンスの起動時、さまざまな機能がオンまたはオフにされたとき、アクセス リストがインターフェイスに適用されたとき、またはその他の機能で作成されたデフォルトの規則の可能性があります。デフォルトの規則のドロップを除き、フローが拒否される理由は次のとおりです。

• インターフェイス上にアクセス リストが設定されている。

• アクセス リストが AAA 用に設定されていて、AAA がユーザを拒否した。

• トラフィックを通過して管理専用インターフェイスに到達した。

• IPSec がイネーブルになっているインターフェイスに、暗号化されていないトラフィックが到達した。

推奨事項 ：次のシステム ログ メッセージが参照するアクセス リストをチェックします。

システム ログ メッセージ ：106023、106100、106004

bad-crypto

不良暗号がパケットで戻ります。

セキュリティ アプライアンスがパケットの暗号化を試みましたが、暗号化が失敗した場合、このカウンタが増分します。これは正常な状態ではなく、セキュリティ アプライアンスに関するソフトウェアまたはハードウェアに問題がある可能性を示しています。

推奨事項 ：不良暗号の表示を何度も受信する場合は、セキュリティ アプライアンスの点検が必要である可能性があります。システム メッセージ 402123 をイネーブルにして、暗号不良がハードウェアのエラーなのかソフトウェアのエラーなのかを判断してください。また、 show ipsec stats コマンドを使用して、グローバル IPSec 統計情報にあるエラー カウンタをチェックしてください。これらのエラーを引き起こす IPSec SA が既知である場合は、 show ipsec sa detail コマンドから出力される SA 統計情報も問題の診断に役立ちます。

システム ログ メッセージ ：402123

bad-ipsec-natt

不良 IPSEC NATT パケット。

セキュリティ アプライアンスが IPSec 接続上で NAT-T とネゴシエートしたパケットを受信したが、パケットのアドレスが NAT-T UDP の宛先ポートである 4500 になっていない、またはパケットのペイロード長が無効である場合、このカウンタが増分します。

推奨事項 ：ネットワーク トラフィックを分析し、NAT-T トラフィックの送信元を特定します。

システム ログ メッセージ ：なし。

bad-ipsec-prot

AH または ESP ではない IPSEC。

セキュリティ アプライアンスが IPSec 接続上で AH または ESP プロトコル パケットではないパケットを受信した場合、このカウンタが増分します。これは正常な状態ではありません。

推奨事項 ：AH または ESP ではない IPSec 表示が何度もセキュリティ アプライアンスに表示される場合は、ネットワーク トラフィックを分析し、トラフィックの送信元を特定します。

システム ログ メッセージ ：402115

bad-ipsec-udp

不良 IPSEC UDP パケット。

セキュリティ アプライアンスが、IPSec over UDP とネゴシエート済みの IPSec 接続上でパケットを受信したが、このパケットのペイロード長が無効だった場合、このカウンタが増分します。

推奨事項 ：ネットワーク トラフィックを分析し、NAT-T トラフィックの送信元を特定します。

システム ログ メッセージ ：なし。

bad-tcp-cksum

不良 TCP チェックサム。

セキュリティ アプライアンスが、算出された TCP チェックサムと TCP ヘッダーに記録されているチェックサムが一致しない TCP パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。不適切な TCP チェックサムを持つパケットを許可するには、 checksum-verification 機能をディセーブルにします。

システム ログ メッセージ ：なし。

bad-tcp-flags

不良 TCP フラグ。

セキュリティ アプライアンスが、TCP ヘッダー内の TCP フラグが無効な TCP パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。たとえば、SYN フラグと FIN TCP フラグの両方がセットされているパケットは、ドロップされます。

推奨事項 ：ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。

システム ログ メッセージ ：なし。

conn-limit

接続制限値に到達しました。

この理由は、接続制限値またはホスト接続制限値を超えたためにパケットがドロップされたことによるものです。このパケットが、接続制限値により TCP 接続設定フェーズ中にドロップされた TCP パケットの場合は、ドロップ理由「TCP connection limit reached（TCP 接続制限値に到達しました。）」も報告されます。

推奨事項 ：カウンタが急速に増分する場合は、システム メッセージをチェックし、どのホストが接続制限値に到達したのかを判断します。トラフィックが正常な場合、またはホストが攻撃を受けている場合は、接続制限値を増分する必要があることもあります。

システム ログ メッセージ ：201011

ctm-error

CTM がエラーを返しました。

セキュリティ アプライアンスがパケットの暗号化を試みましたが、暗号化が失敗した場合、このカウンタが増分します。これは正常な状態ではなく、セキュリティ アプライアンスに関するソフトウェアまたはハードウェアに問題がある可能性を示しています。

推奨事項 ：不良暗号の表示を何度も受信する場合は、セキュリティ アプライアンスの点検が必要である可能性があります。システム メッセージ 402123 をイネーブルにして、暗号不良がハードウェアのエラーなのかソフトウェアのエラーなのかを判断してください。また、 show ipsec stats コマンドを使用して、グローバル IPSec 統計情報にあるエラー カウンタをチェックしてください。これらのエラーを引き起こす IPSec SA が既知である場合は、 show ipsec sa detail コマンドから出力される SA 統計情報も問題の診断に役立ちます。

システム ログ メッセージ ：402123

dns-guard-id-not-matched

DNS Guard id が一致しません。

DNS 応答メッセージの ID が、同じ接続上で先にセキュリティ アプライアンスを通過した DNS クエリーのいずれにも一致しなかった場合、このカウンタが増分します。このカウンタは、DNS Guard 機能により増分します。

推奨事項 ：これが断続的なイベントの場合、アクションは不要です。攻撃が原因の場合、ホストがアクセス リストを使用できないようにします。

システム ログ メッセージ ：なし。

dns-guard-out-of-app-id

app id 以外の DNS Guard。

DNS Guard 機能が DNS メッセージの ID を保存するためのデータ構造の割り当てに失敗した場合、このカウンタが増分します。

推奨事項 ：システム メモリの使用状況をチェックします。通常このイベントは、システムがメモリ不足になった場合に発生します。

システム ログ メッセージ ：なし。

dst-l2_lookup-fail

Dst MAC L2 検索が失敗しました。

セキュリティ アプライアンスが透過モードに設定され、セキュリティ アプライアンスがレイヤ 2 の宛先 MAC アドレスの検索に失敗した場合、このカウンタが増分します。検索に失敗すると、セキュリティ アプライアンスは宛先 MAC 探索プロセスを開始し、ARP/ICMP メッセージからホストの場所を探そうとします。

推奨事項 ：セキュリティ アプライアンスが透過モードに設定されている場合、これは正常な状態です。 show mac-address-table コマンドを実行して、現在セキュリティ アプライアンスによって検出されているレイヤ 2 MAC アドレスの場所をリストすることもできます。

システム ログ メッセージ ：なし。

flow-expired

期限切れのフロー。

セキュリティ アプライアンスが新しいパケットまたはキャッシュされたパケットを投入しようとしたが、そのパケットがすでに期限切れのフローに属している場合、このカウンタが増分します。また、セキュリティ アプライアンスがすでに期限切れの TCP フロー上で RST を送信しようとした場合、または AIP SSM からパケットが返されてもそのフローがすでに期限切れの場合にも増分します。このパケットはドロップされます。

推奨事項 ：有効なアプリケーションが優先されている場合、タイムアウトを増分する必要があるかどうか調べます。

システム ログ メッセージ ：なし。

fo-standby

スタンバイ装置によってドロップされました。

スタンバイ状態のセキュリティ アプライアンスまたはコンテキストに through-the-box パケットが届き、フローが作成されると、そのパケットはドロップされ、作成されたフローは削除されます。パケットがこの方法でドロップされるたびに、このカウンタが増分します。

推奨事項 ：アクティブなセキュリティ アプライアンスまたはコンテキスト上では、このカウンタが増分することはありません。ただし、スタンバイ アプライアンスまたはセキュリティ アプライアンス上では、増分するのが普通です。

システム ログ メッセージ ：302014、302016、302018

fragment-reassembly-failed

フラグメントの再構成が失敗しました。

このカウンタは、セキュリティ アプライアンスが一連の断片化されたパケットを 1 つのパケットに再構成できなかった場合に増分します。一連のフラグメント パケットはすべてドロップされます。これは、再構成されたパケットにメモリを配分中にエラーが発生したことが原因であると考えられます。

推奨事項 ： show blocks コマンドを使用して、現在のブロック メモリを監視します。

システム ログ メッセージ ：なし。

host-move-pkt

FP ホスト移動パケット。

セキュリティ アプライアンスまたはコンテキストが透過モードに設定されていて、既知のレイヤ 2 MAC アドレスの発信元インターフェイスが異なるインターフェイス上で検出された場合、このカウンタが増分します。

推奨事項 ：これは、ホストがあるインターフェイス（たとえば LAN セグメント）から別のインターフェイスに移動したことを示しています。実際にホストが移動している場合、透過モードではこれは正常な状態です。ただし、ホストがインターフェイス間であちこち移動する場合は、ネットワーク ループが存在している可能性があります。

システム ログ メッセージ ：412001、412002、322001

ifc-classify

仮想ファイアウォール分類が失敗しました。

パケットが共有インターフェイスに到着しましたが、特定のコンテキスト インターフェイスへの分類が失敗しました。

推奨事項 ： global コマンドまたは static コマンドを使用して、各コンテキスト インターフェイスに属している IPv4 アドレスを指定します。

システム ログ メッセージ ：なし。

inspect-dns-id-not-matched

DNS Inspect id が一致しません。

DNS 応答メッセージの ID が、同じ接続上で先にセキュリティ アプライアンスを通過した DNS クエリーのいずれにも一致しなかった場合、このカウンタが増分します。

推奨事項 ：これが断続的なイベントの場合、アクションは不要です。攻撃が原因の場合、ホストがアクセス リストを使用できないようにします。

システム ログ メッセージ ：なし。

inspect-dns-invalid-domain-
label

DNS Inspect 無効ドメイン ラベル。

セキュリティ アプライアンスが無効な DNS ドメイン名またはラベルを検出した場合、このカウンタが増分します。DNS ドメイン名とラベルのチェックは、RFC 1035 ごとに行われます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

inspect-dns-invalid-pak

DNS Inspect 無効パケット。

セキュリティ アプライアンスが無効な DNS パケットを検出した場合、このカウンタが増分します。たとえば、DNS パケットに DNS ヘッダーがない場合や、DNS リソース レコード数がヘッダー内のカウンタと一致しない場合などです。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

inspect-dns-out-of-app-id

app id 以外の DNS Inspect。

DNS 検査エンジンが、DNS メッセージの ID を保存するためのデータ構造の割り当てに失敗した場合、このカウンタが増分します。

推奨事項 ：システム メモリの使用状況をチェックします。通常このイベントは、システムがメモリ不足になった場合に発生します。

システム ログ メッセージ ：なし。

inspect-dns-pak-too-long

DNS Inspect パケットが長すぎます。

DNS メッセージ長が設定されている最大値を超えると、このカウンタが増分します。

推奨事項 ：アクションは不要です。DNS メッセージ長のチェックが必要でない場合は、 inspect dns maximum-length オプションを指定せずに DNS 検査をイネーブルにします。

システム ログ メッセージ ：410001

inspect-icmp-error-different-
embedded-conn

ICMP Error Inspect の組み込み接続が異なります。

ICMP エラー メッセージに埋め込まれたフレームが、ICMP 接続の作成時に識別された確立済みの接続と一致しない場合、このカウンタが増分します。

推奨事項 ：これが断続的なイベントの場合、アクションは不要です。攻撃が原因の場合、ホストがアクセス リストを使用できないようにします。

システム ログ メッセージ ：313005

inspect-icmp-error-no-existing-
conn

ICMP Error Inspect に既存の接続がありません。

セキュリティ アプライアンスが、ICMP エラー メッセージに埋め込まれたフレームに関連する確立済みの接続を見つけられなかった場合、このカウンタが増分します。

推奨事項 ：これが断続的なイベントの場合、アクションは不要です。攻撃が原因の場合、ホストがアクセス リストを使用できないようにします。

システム ログ メッセージ ：313005

inspect-icmp-out-of-app-id

app id 以外の ICMP Inspect。

ICMP 検査エンジンが App ID データ構造の割り当てに失敗した場合、このカウンタが増分します。このデータ構造は、ICMP パケットのシーケンス番号を保存するのに使用します。

推奨事項 ：システム メモリの使用状況をチェックします。通常このイベントは、システムがメモリ不足になった場合に発生します。

システム ログ メッセージ ：なし。

inspect-icmp-seq-num-not-
matched

ICMP Inspect シーケンス番号が一致しません。

ICMP エコー応答メッセージ内のシーケンス番号が、同じ接続上で先にセキュリティ アプライアンスを通過した ICMP エコー メッセージのいずれにも一致しない場合、このカウンタが増分します。

推奨事項 ：これが断続的なイベントの場合、アクションは不要です。攻撃が原因の場合、ホストがアクセス リストを使用できないようにします。

システム ログ メッセージ ：313004

inspect-icmpv6-error-invalid-
pak

ICMPv6 Error Inspect 無効パケット。

セキュリティ アプライアンスが ICMPv6 パケットに埋め込まれた無効なフレームを検出した場合、このカウンタが増分します。このチェックは IPv6 パケットと同じものです。たとえば、不完全な IPv6 ヘッダーや変造された IPv6 Next Header などです。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

inspect-icmpv6-error-no-
existing-conn

ICMPv6 Error Inspect に既存の接続がありません。

セキュリティ アプライアンスが、ICMPv6 エラー メッセージに埋め込まれたフレームに関連する確立済みの接続を見つけられなかった場合、このカウンタが増分します。

推奨事項 ：これが断続的なイベントの場合、アクションは不要です。攻撃が原因の場合、ホストがアクセス リストを使用できないようにします。

システム ログ メッセージ ：313005

inspect-rtcp-invalid-length

無効な RTCP パケット長。

このカウンタは、UDP パケット長が RTCP ヘッダーのサイズよりも短い場合に増分します。

推奨事項 ：アクションは不要です。キャプチャを利用すると、不適切なパケットを送信している RTP 送信元を特定できるので、アクセス リストを使用してそのホストを拒否できます。

システム ログ メッセージ ：なし。

inspect-rtcp-invalid-payload-
type

無効な RTCP ペイロード タイプ フィールド。

このカウンタは、RTCP ペイロード タイプ フィールドに 200 から 204 の値が含まれていない場合に増分します。

推奨事項 ：RTP のソースを検証して、RFC 1889 で推奨される範囲外のペイロード タイプが送信された理由を確認する必要があります。

システム ログ メッセージ ：431002

inspect-rtcp-invalid-version

無効な RTCP バージョン フィールド。

このカウンタは、RTCP バージョン フィールドが 2 以外のバージョンを含む場合に増分します。

推奨事項 ：ネットワーク内の RTP ソースが RFC 1889 に適合する RTCP パケットを送信していないようです。アクセス リストを使用するホストを要求に応じて拒否できるよう、この理由を特定する必要があります。

システム ログ メッセージ ：431002

inspect-rtp-invalid-length

無効な RTP パケット長。

このカウンタは、UDP パケット長が RTP ヘッダーのサイズより短いと増分します。

推奨事項 ：アクションは不要です。キャプチャを利用すると、不適切なパケットを送信している RTP 送信元を特定できるので、アクセス リストを使用してそのホストを拒否できます。

システム ログ メッセージ ：なし。

inspect-rtp-invalid-payload-
type

無効な RTP ペイロード タイプ フィールド。

このカウンタは、信号を発信しているチャンネルが RTP セカンダリ接続の自動メディア タイプについてネゴシエートしているときに、RTP ペイロード タイプ フィールドにオーディオ ペイロード タイプが含まれていないと増分します。カウンタは、ビデオ ペイロード タイプの場合と同じように増分します。

推奨事項 ：ネットワーク内の RTP ソースはオーディオ RTP セカンダリ接続を使用してビデオを送信しています（逆の場合も同じ）。この操作が行われないようにする場合は、アクセス リストを使用するホストを拒否できます。

システム ログ メッセージ ：431001

inspect-rtp-invalid-version

無効な RTP バージョン フィールド。

このカウンタは、RTP バージョン フィールドが 2 以外のバージョンを含む場合に増分します。

推奨事項 ：ネットワーク内の RTP ソースは RFC 1889 に適合する RTCP パケットを送信していないようです。この理由を特定する必要があり、必要な場合はアクセス リストを使用するホストを拒否できます。

システム ログ メッセージ ：431001

inspect-rtp-max-outofseq-paks-
probation

検査期間中の順番どおりでない RTP パケット。

このカウンタは、RTP ソースを確認中に、順番どおりでない RTP パケットの数が 20 を超えると増分します。検査では、順番どおりの 5 つのパケットを検出すると、ソースが確認済みであると判断されます。

推奨事項 ：RTP ソースを調べて、最初のいくつかのパケットが順番どおりに着信しない理由を確認し、RTP ソースを訂正します。

システム ログ メッセージ ：431001

inspect-rtp-sequence-num-
outofrange

範囲外の RTP シーケンス番号。

このカウンタは、パケット内の RTP シーケンス番号が検査により予想された範囲内にないと増分します。

推奨事項 ：RTP ソースからシーケンス番号が順番どおりでない場合、検査によって復元され、新しいシーケンス番号からトラッキングが開始されるので、アクションは必要ありません。

システム ログ メッセージ ：431001

inspect-rtp-ssrc-mismatch

無効な RTP 同期ソース フィールド。

このカウンタは、パケット内の RTP SSRC フィールドが、すべての RTP パケット内の RTP ソースからの、検査により確認された SSRC と一致しないと増分します。

推奨事項 ：これは、ネットワーク内の RTP ソースがリブートして SSRC を変更したためか、またはネットワーク上の別のホストがファイアウォール上で開かれているセカンダリ RTP 接続を使用して RTP パケットを送信しようとしているために生じます。問題があるかどうか確認するために、さらに調べる必要があります。

システム ログ メッセージ ：431001

intercept-unexpected

予期しないパケットを代行受信します。

セキュリティ アプライアンスが、サーバからの SYNACK を待機中にクライアントからデータを受信した、または特定の TCP 代行受信状態では処理できないパケットを受信しました。

推奨事項 ：このドロップが接続の失敗の原因である場合、接続のクライアント側およびサーバ側のスニファ トレースを実行し、この問題を報告してください。セキュリティ アプライアンスが攻撃を受けている可能性があり、スニファ トレースまたはスニファ キャプチャが原因の特定に役立ちます。

システム ログ メッセージ ：なし。

interface-down

インターフェイスがダウンしています。

shutdown コマンドを使用して、シャットダウンしているインターフェイス上でパケットを受信するたびに、このカウンタが増分します。入トラフィックでは、セキュリティ コンテキスト分類が行われ、そのコンテキストに関連付けられたインターフェイスがシャットダウンしている場合、このパケットはドロップされます。出トラフィックでは、出トラフィックがシャットダウンしている場合、パケットがドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

invalid-app-length

無効な app 長。

セキュリティ アプライアンスがパケット内にレイヤ 7 ペイロードの無効な長さを検出した場合、このカウンタが増分します。現在は、DNS Guard 機能のみによるドロップをカウントします。たとえば、不完全な DNS ヘッダーなどです。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

invalid-encap

無効なカプセル化。

セキュリティ アプライアンスが、サポートされていないリンクレベルのプロトコルに属するフレームを受信した場合、またはフレームに指定されている L3 タイプがセキュリティ アプライアンスによってサポートされていない場合、このカウンタが増分します。このパケットはドロップされます。

推奨事項 ：直接接続されているホストのリンクレベル プロトコルの設定が正しいことを確認します。

システム ログ メッセージ ：なし。

invalid-ethertype

無効な ethertype。

セキュリティ アプライアンス上のフラグメンテーション モジュールが、IP バージョン 4 またはバージョン 6 に属さないフラグメント化されたパケットを受信した場合、または送信しようとした場合、このカウンタが増分します。このパケットはドロップされます。

推奨事項 ：セキュリティ アプライアンスやネットワークに接続されている他のデバイスの MTU を確認し、セキュリティ アプライアンスがなぜそのようなフラグメントを処理しているのかを判断します。

システム ログ メッセージ ：なし。

invalid-ip-header

無効な IP ヘッダー。

セキュリティ アプライアンスが、IP ヘッダーの算出されたチェックサムとヘッダーに記録されているチェックサムが一致しない IP パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。また、ピアから破損したパケットが送信され、攻撃を受けている可能性もあります。パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。

システム ログ メッセージ ：なし。

invalid-ip-length

無効な IP 長。

セキュリティ アプライアンスが IPv4 または IPv6 パケットを受信し、そのパケットの IP ヘッダー内のヘッダー長フィールドまたは全長フィールドが有効でない、または受信したパケット長と矛盾する場合、このカウンタが増分します。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

invalid-ip-option

設定された IP オプションはドロップされます。

ユニキャスト パケットまたはマルチキャスト パケットに対して IP オプションを受信するように設定されていないのに、セキュリティ アプライアンスが受信した場合、このカウンタが増分します。このパケットはドロップされます。

推奨事項 ：IP オプションを指定されたパケットが送信者から送信された理由を調査します。

システム ログ メッセージ ：なし。

invalid-tcp-hdr-length

無効な tcp 長。

セキュリティ アプライアンスが、パケット サイズが許可されている最小ヘッダー長よりも小さい TCP パケット、または受信したパケット長と矛盾する TCP パケットを受信した場合、このカウンタが増分します。

推奨事項 ：無効なパケットは、攻撃者から送信された偽造パケットの可能性があります。次のシステム メッセージ内の送信元からのトラフィックを調査します。

システム ログ メッセージ ：500003

invalid-udp-length

無効な udp 長。

セキュリティ アプライアンスが受信した UDP パケットのサイズが、ヘッダー内のフィールドから計算されたサイズと、ネットワークから受信したときに測定されたサイズで異なる場合、このカウンタが増分します。

推奨事項 ：無効なパケットは、攻撃者から送信された偽造パケットの可能性があります。

システム ログ メッセージ ：なし。

ipsec-clearpkt-notun

トンネルなしの IPSEC Clear Pkt。

セキュリティ アプライアンスが、暗号化されているはずなのに実際には暗号化されていないパケットを受信した場合、このカウンタが増分します。このパケットは、セキュリティ アプライアンス上で設定され確立された IPSec 接続の内部ヘッダー セキュリティ ポリシー チェックに一致しましたが、暗号化されずに受信されました。これはセキュリティの問題です。

推奨事項 ：ネットワーク トラフィックを分析し、スプーフィングされた IPSec トラフィックの送信元を特定します。

システム ログ メッセージ ：402117

ipsec-ipv6

IPV6 経由の IPSEC。

セキュリティ アプライアンスが、IPv6 ヘッダーでカプセル化された IPSec ESP パケット、IPSec NAT-T ESP パケット、または IPSec over UDP ESP パケットを受信した場合、このカウンタが増分します。現在セキュリティ アプライアンスは、IPv6 でカプセル化された IPSec セッションをサポートしていません。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

ipsec-need-sa

IPSEC SA がまだネゴシエートされていません。

セキュリティ アプライアンスが、暗号化の必要があるのに IPSec セキュリティ アソシエーションを確立していないパケットを受信した場合、このカウンタが増分します。通常 LAN-to-LAN IPSec コンフィギュレーションでは、これは正常な状態です。これが表示されると、セキュリティ アプライアンスは宛先ピアとの ISAKMP ネゴシエーションを開始します。

推奨事項 ：セキュリティ アプライアンス上で IPSec LAN-to-LAN を設定している場合は、この表示は正常なもので、問題を示すものではありません。ただし、このカウンタが急速に増分する場合は、 crypto の設定エラーまたはネットワーク エラーにより、ISAKMP ネゴシエーションが完了できないことを示している可能性があります。宛先ピアと通信可能であることを確認し、 show running-config コマンドを使用して crypto 設定を確認します。

システム ログ メッセージ ：なし。

ipsec-spoof

IPSEC Spoof が検出されました。

セキュリティ アプライアンスが、暗号化されているはずなのに実際には暗号化されていないパケットを受信した場合、このカウンタが増分します。このパケットは、セキュリティ アプライアンス上で設定され確立された IPSec 接続の内部ヘッダー セキュリティ ポリシー チェックに一致しましたが、暗号化されずに受信されました。これはセキュリティの問題です。

推奨事項 ：ネットワーク トラフィックを分析し、スプーフィングされた IPSec トラフィックの送信元を特定します。

システム ログ メッセージ ：402117

ipsec-tun-down

IPSEC トンネルがダウンしています。

セキュリティ アプライアンスが、削除中の IPSec 接続に関連付けられたパケットを受信した場合、このカウンタが増分します。

推奨事項 ：IPSec トンネルが何らかの理由で切断された場合、これは正常な状態です。

システム ログ メッセージ ：なし。

ipsecudp-keepalive

IPSEC/UDP キープアライブ メッセージ。

セキュリティ アプライアンスが IPSec over UDP キープアライブ メッセージを受信した場合、このカウンタが増分します。IPSec over UDP キープアライブ メッセージは、IPSec over UDP ピアとセキュリティ アプライアンスの間にあるネットワーク デバイスで NAT/PAT フロー情報を常に最新のものにするために、IPSec ピアからセキュリティ アプライアンスに送信されます。

（注） UDP 経由でも伝送され UDP ポート 4500 にアドレス指定される、業界標準の NAT-T キープアライブ メッセージはありません。

推奨事項 ：セキュリティ アプライアンス上で IPSec over UDP を設定している場合は、この表示は正常なもので、問題を示すものではありません。セキュリティ アプライアンス上で IPSec over UDP を設定していない場合は、ネットワーク トラフィックを分析し、IPSec over UDP トラフィックの発信元を特定します。

システム ログ メッセージ ：なし。

ips-fail-close

IPS カードがダウンしています。

AIP SSM がダウンしている状態で、IPS 検査で fail-close オプションが使用された場合、このカウンタが増分します。

推奨事項 ：AIP SSM をチェックしてから起動します。

システム ログ メッセージ ：420001

ips-request

要求された IPS モジュールはドロップされます。

パケットが IPS エンジンのシグニチャと一致した場合、このカウンタが増分し、このパケットは AIP SSM の要求どおりにドロップされます。

推奨事項 ：システム ログ メッセージと AIP SSM 上の警告をチェックします。

システム ログ メッセージ ：420002

ipv6_sp-security-failed

IPv6 低速パス セキュリティ チェックが失敗しました。

次のいずれかの理由により、このカウンタが増分し、パケットがドロップされます。

• IPv6 through-the-box パケットの送信元アドレスと宛先アドレスが同じである。

• IPv6 through-the-box パケットにリンク ローカル送信元アドレスまたは宛先アドレスがある。

• IPv6 through-the-box パケットの宛先アドレスがマルチキャストである。

推奨事項 ：上記のようなパケットは、悪意のあるアクティビティを示しているか、IPv6 ホストの設定が誤っている結果である可能性があります。パケット キャプチャ機能を使用して type asp パケットをキャプチャし、送信元 MAC アドレスを使用して送信元を特定します。

システム ログ メッセージ ：送信元アドレスと宛先アドレスが同じ場合、システム メッセージ 106016。

l2_acl

FP L2 規則がドロップされます。

EtherType アクセス リストによりセキュリティ アプライアンスがパケットを拒否した場合、このカウンタが増分します。デフォルトの場合、ルーテッド モードではセキュリティ アプライアンスは次のものを許可します。

• IPv4 パケット

• IPv6 パケット

• ARP パケット

• FFFF:FFFF:FFFF のレイヤ 2 宛先 MAC（ブロードキャスト）

• レイヤ 2 宛先が 0100:5E00:0000-0100:5EFE:FFFF の IPv4 MCAST パケット

• レイヤ 2 宛先が 3333:0000:0000-3333:FFFF:FFFF の IPv6 MCAST パケット

デフォルトの場合、透過モードではセキュリティ アプライアンスはルーテッド モード アクセス リストおよび次のものを許可します。

• レイヤ 2 宛先が 0100:0CCC:CCCD の BPDU パケット

• レイヤ 2 宛先が 0900:0700:0000-0900:07FF:FFFF の Appletalk パケット

また、EtherType アクセス リストを設定してインターフェイスに適用することにより、その他のタイプのレイヤ 2 トラフィックを許可することもできます。

（注） EtherType アクセス リストに許可されるパケットが、レイヤ 3 またはレイヤ 4 アクセス リストにドロップされる場合もあります。

推奨事項 ：セキュリティ アプライアンスまたはコンテキストを透過モードで実行していて、IP 以外のパケットがセキュリティ アプライアンスにドロップされる場合は、EtherType アクセス リストを設定してこのアクセス リストをアクセス グループに適用することができます。

（注） セキュリティ アプライアンスの EtherType アクセス リストは、EtherTypes のみをサポートし、レイヤ 2 宛先 MAC アドレスはサポートしません。

システム ログ メッセージ ：106026、106027

l2_same-lan-port

L2 Src/Dst が同じ LAN ポートです。

セキュリティ アプライアンスまたはコンテキストが透過モードに設定されていて、宛先インターフェイスの L2 MAC アドレスが入力インターフェイスと同じであるとセキュリティ アプライアンスが判断した場合、このカウンタが増分します。

推奨事項 ：セキュリティ アプライアンスまたはコンテキストが透過モードに設定されている場合、これは正常な状態です。セキュリティ アプライアンスが無差別モードで動作しているため、セキュリティ アプライアンスまたはコンテキストはローカル LAN セグメント上のすべてのパケットを受信します。

システム ログ メッセージ ：なし。

loopback-buffer-full

ループバック バッファがいっぱいです。

セキュリティ アプライアンスのあるコンテキストから別のコンテキストに、共有インターフェイスを介してパケットが送信されたが、ループバック キューにバッファの空き領域がない場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：システム CPU をチェックして、過負荷になっていないかどうか確認します。

システム ログ メッセージ ：なし。

lu-invalid-pkt

無効な LU パケット。

スタンバイ装置が破損した Logical Update パケットを受信しました。

推奨事項 ：ケーブル不良、回線上のノイズ、またはソフトウェアの欠陥により、パケットが破損した可能性があります。インターフェイスが正しく機能しているように見えても、この問題を Cisco TAC に報告してください。

システム ログ メッセージ ：なし。

mp-pf-queue-full

ポート転送キューがいっぱいです。

このカウンタは、ポート転送アプリケーションの内部キューがいっぱいである際に、別の伝送パケットを受信した場合に増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

mp-svc-addr-renew-response

SVC モジュールがアドレス更新応答データ フレームを受信しました。

このカウンタは、セキュリティ アプライアンスが SVC から Address Renew Response メッセージを受信すると増分します。SVC はこのメッセージを送信しません。

推奨事項 ：これは、SVC ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

mp-svc-bad-framing

SVC モジュールが不正にフレーム化されたデータを受信しました。

このカウンタは、セキュリティ アプライアンスが SVC から、またはデコードできないコントロール ソフトウェアからパケットを受信すると増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

システム ログ メッセージ ：722037（SVC の受信したデータのみ）

mp-svc-bad-length

SVC モジュールが不正なデータ長を受信しました。

このカウンタは、セキュリティ アプライアンスが SVC から、または計算された指定の長さが一致しないコントロール ソフトウェアからパケットを受信すると増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

システム ログ メッセージ ：722037（SVC の受信したデータのみ）

mp-svc-compress-error

SVC モジュール圧縮エラー。

このカウンタは、セキュリティ アプライアンスが、SVC に対してデータを圧縮中にエラーを検出すると増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

システム ログ メッセージ ：722037

mp-svc-decompres-error

SVC モジュール圧縮解除エラー。

このカウンタは、セキュリティ アプライアンスが SVC からのデータを圧縮解除中にエラーを検出すると増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。SVC またはセキュリティ アプライアンスで、障害が発生している可能性があります。

システム ログ メッセージ ：722037

mp-svc-delete-in-progress

接続の削除中に SVC モジュールがデータを受信しました。

このカウンタは、セキュリティ アプライアンスが、削除中の SVC 接続に関連付けられたパケットを受信すると増分します。

推奨事項 ：SVC トンネルが何らかの理由で切断された場合、これは正常な状態です。このエラーが繰り返し何度も発生する場合は、クライアントのネットワーク接続に問題があると考えられます。

システム ログ メッセージ ：なし。

mp-svc-flow-control

SVC セッションがフローを制御しています。

このカウンタは、SVC が一時的にこれ以上データを受信できないため、セキュリティ アプライアンスがデータをドロップする必要がある場合に増分します。

推奨事項 ：クライアントがこれ以上データを受信できないことを示します。クライアントは受信するトラフィックの量を減らす必要があります。

システム ログ メッセージ ：なし。

mp-svc-invalid-mac

SVC モジュールがフレーム内の無効な L2 データを検出しました。

このカウンタは、セキュリティ アプライアンスが SVC から受信したデータに添付された L2 MAC ヘッダーが無効であると検出した場合に増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

mp-svc-invalid-mac-len

SVC モジュールがフレーム内の無効な L2 データ長を検出しました。

このカウンタは、セキュリティ アプライアンスが SVC から受信したデータに添付された L2 MAC 長が無効であると検出した場合に増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

mp-svc-no-channel

SVC モジュールに再注入のためのチャネルがありません。

このカウンタは、暗号化データを受信したインターフェイスが、復号化データを注入する際に検出されないと増分します。

推奨事項 ：インターフェイスが接続中にシャットダウンすると、この現象が発生します。インターフェイスを再イネーブルにしてチェックしてください。接続中にシャットダウンしたのでない場合は、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

mp-svc-no-mac

SVC モジュールがフレームの L2 データを検出できません。

このカウンタは、セキュリティ アプライアンスが SVC から受信したデータの L2 MAC ヘッダーを検出できない場合に増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

mp-svc-no-prepend

SVC モジュールにヘッダーを挿入するためのスペースがありません。

このカウンタは、ネットワークにパケットを配置するために、パケット データの前に Mac ヘッダーを付加する十分なスペースがない場合に増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

mp-svc-no-session

SVC モジュールにセッションがありません。

このカウンタは、セキュリティ アプライアンスがこのデータを送信しなければならない SVC セッションを決定できない場合に増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

mp-svc-unknown-type

SVC モジュールが不明なデータ フレームを受信しました。

このカウンタは、セキュリティ アプライアンスがデータのタイプが不明な SVC からパケットを受信すると増分します。

推奨事項 ：クライアントが使用している SVC がセキュリティ アプライアンス ソフトウェアのバージョンと適合しているかどうかを確認します。

システム ログ メッセージ ：なし。

natt-keepalive

NAT-T キープアライブ メッセージ。

セキュリティ アプライアンスが IPSec NAT-T キープアライブ メッセージを受信した場合、このカウンタが増分します。NAT-T キープアライブ メッセージは、NAT-T IPSec ピアとセキュリティ アプライアンスの間にあるネットワーク デバイスで NAT/PAT フロー情報を常に最新のものにするために、IPSec ピアからセキュリティ アプライアンスに送信されます。

推奨事項 ：セキュリティ アプライアンス上で IPSec NAT-T を設定している場合は、この表示は正常なもので、問題を示すものではありません。セキュリティ アプライアンス上で NAT-T を設定していない場合は、ネットワーク トラフィックを分析し、NAT-T トラフィックの発信元を特定します。

システム ログ メッセージ ：なし。

no-adjacency

有効な隣接情報がありません。

セキュリティ アプライアンスが隣接情報を取得しようとしましたが、ネクストホップの MAC アドレスを取得できなかった場合、このカウンタが増分します。このパケットはドロップされます。

推奨事項 ：このドロップ理由のキャプチャを設定し、指定された宛先アドレスのホストが、接続されたネットワーク上に存在するかどうか、またはセキュリティ アプライアンスからルーティング可能かどうかをチェックします。

システム ログ メッセージ ：なし。

no-mcast-entry

FP に mcast エントリがありません。

次のいずれかの理由により、このカウンタが増分します。

• マルチキャスト フローに一致するパケットが着信したが、マルチキャスト サービスがイネーブルでなくなっていた、またはマルチキャスト フローが作成された後で再度イネーブルにされた。

推奨事項 ：マルチキャストがディセーブルの場合は、再度イネーブルにします。

システム ログ メッセージ ：なし。

• パケットが CP にパントされた後にマルチキャスト エントリの変更が検出され、エントリが存在しないために NP がパケットを転送できない。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

no-mcast-intrf

FP に mcast 出力インターフェイスがありません。

次のいずれかの理由により、このカウンタが増分します。

• すべての出力インターフェイスがマルチキャスト エントリから削除された。

推奨事項 ：このグループに受信者が存在しないことを確認します。

システム ログ メッセージ ：なし。

• マルチキャスト パケットを転送できなかった。

推奨事項 ：このパケットにフローが存在することを確認します。

システム ログ メッセージ ：なし。

non-ip-pkt-in-routed-mode

非 IP パケットがルーテッド モードで受信されました。

セキュリティ アプライアンスが受信したパケットが IPv4 パケット、IPv6 パケット、ARP パケットのいずれでもなく、セキュリティ アプライアンスまたはコンテキストがルーテッド モードに設定されている場合、このカウンタが増分します。通常の動作では、そのようなパケットはドロップされます。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：106026、106027

no-route

ホストへのルートがありません。

セキュリティ アプライアンスがパケットをインターフェイスから送信しようとしましたが、そのためのルートがルーティング テーブルで見つからなかった場合、このカウンタが増分します。

推奨事項 ：生成されたシステム メッセージから取得した宛先アドレスのルートが存在することを確認します。

システム ログ メッセージ ：110001

np-socket-closed

終了したソケット内の保留パケットがドロップされました。

ソケットがユーザまたはソフトウェアにより突然終了すると、そのソケットのパイプライン中にある保留中のパケットもドロップします。このカウンタは、パイプライン中にある各ソケットがドロップするたびに増分します。

推奨事項 ：このカウンタは、一般的に、通常の動作の一部として増分していきます。ただし、カウンタが急速に増分している場合や、ソケット ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥によって発生している可能性があります。Cisco TAC に連絡して、問題を詳しく調査してください。

システム ログ メッセージ ：なし。

np-sp-invalid-spi

無効な SPI。

セキュリティ アプライアンスが、現在既知ではない SPI（security parameter index; セキュリティ パラメータ インデックス）を指定するセキュリティ アプライアンスにアドレス変換される IPSec ESP パケットを受信した場合、このカウンタが増分します。

推奨事項 ：無効な SPI が時折表示されるのは珍しいことではなく、特にキーの再生成処理中にはよく起こります。無効な SPI が何度も表示される場合は、何らかの問題または DoS 攻撃を示している可能性があります。無効な SPI が頻繁に表示される場合は、ネットワーク トラフィックを分析して ESP トラフィックの送信元を特定します。

システム ログ メッセージ ：402114

punt-rate-limit

パントのレート制限を超えました。

セキュリティ アプライアンスがレイヤ 2 パケットをレート制限されたコントロール ポイント サービス ルーチンに転送しようとしたが、レート制限（毎秒）を超えている場合、このカウンタが増分します。現在、レート制限されているコントロール ポイント サービス ルーチン宛てのレイヤ 2 パケットは、ARP パケットだけです。ARP パケットのレート制限は、インターフェイスあたり毎秒 500 ARP です。

推奨事項 ：ネットワーク トラフィックを分析し、ARP パケットのレート制限を超えた理由を判断します。

システム ログ メッセージ ：322002、322003

queue-removed

キューに入っているパケットがドロップされました。

QoS 設定が変更または削除されると、出力キューで送信の待機をしていた既存のパケットはドロップされ、このカウンタが増分します。

推奨事項 ：正常な状態では、ユーザが QoS 設定を変更した場合に、このような状況が見られます。QoS 設定が何も変更されていないのにこの状況が発生した場合は、Cisco TAC に連絡してください。

システム ログ メッセージ ：なし。

rate-exceeded

QoS レートを超えました。

レート制限（ポリシング）が出力/入力インターフェイスに設定され、出力/入力トラフィック レートが設定されたバースト レートを超えた場合、このカウンタが増分します。パケットがドロップされるたび、このカウンタが増分します。

推奨事項 ：インターフェイスから送信されるトラフィックのレートがなぜ設定されたレートを超えたのかを調査し、原因を特定します。正常な状態の場合もあれば、ウイルスの感染や攻撃を示している可能性もあります。

システム ログ メッセージ ：なし。

rm-conn-limit

RM 接続制限に達しました。

このカウンタは、コンテキストまたはシステムの最大接続数に達して新しい接続が試行されると増分します。

推奨事項 ：デバイスの管理者は、 show resource usage コマンドおよび show resource usage system コマンドを使用して、コンテキストやシステムのリソース制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整できます。

システム ログ メッセージ ：321001

rm-conn-rate-limit

RM 接続レート制限に達しました。

このカウンタは、コンテキストまたはシステムの最大接続レートに達して新しい接続が試行されると増分します。

推奨事項 ：デバイスの管理者は、 show resource usage コマンドおよび show resource usage system コマンドを使用して、コンテキストやシステムのリソース制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整できます。

システム ログ メッセージ ：321002

rpf-violated

逆パス確認が失敗しました。

ip verify reverse-path がインターフェイス上に設定されていて、セキュリティ アプライアンスが受信したパケットの発信元 IP ルート検索から得られたインターフェイスが、このパケットが受信されたインターフェイスと異なる場合、このカウンタが増分します。

推奨事項 ：次のシステム メッセージに示されている発信元 IP に基づいてトラフィックの発信元をトレースし、なぜスプーフィングされたトラフィックが送信されているのかを調査します。

システム ログ メッセージ ：106021

security-failed

早期セキュリティ チェックが失敗しました。

セキュリティ アプライアンスが次のような場合、このカウンタが増分し、パケットはドロップされます。

• IPv4 マルチキャスト パケットを受信したが、パケットのマルチキャスト MAC アドレスがパケットのマルチキャスト宛先 IP アドレスと一致しない。

• オフセットの小さいフラグメントまたは重複するフラグメントが含まれている IPv6 または IPv4 teardrop フラグメントを受信した。

• IP 監査シグニチャと一致する IPv4 パケットを受信した。

推奨事項 ：リモート ピアの管理者に連絡する、またはセキュリティ ポリシーに従ってこの問題の危険度を高くします。IP 監査攻撃チェックの詳細な説明とシステム メッセージについては、 ip audit signature コマンドを参照してください。

システム メッセージ ：106020、400xx（IP 監査チェックの場合）

send-ctm-error

CTM への送信がエラーを返しました。

このカウンタはセキュリティ アプライアンスでは廃止され、増分することはありません。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

sp-security-failed

低速パス セキュリティ チェックが失敗しました。

セキュリティ アプライアンスが次のような場合、このカウンタが増分し、パケットはドロップされます。

• ルーテッド モードで、次の through-the-box パケットを受信した。

–L2 ブロードキャスト パケット

–宛先 IP アドレスが 0.0.0.0 の IPv4 パケット

–送信元 IP アドレスが 0.0.0.0 の IPv4 パケット

推奨事項 ：外部ユーザが、保護されたネットワークを侵害しようとしているかどうか判断します。設定に誤りのあるクライアントをチェックします。

システム ログ メッセージ ：106016

• ルーテッド モードまたは透過モードで、次の through-the-box IPv4 パケットを受信した。

–送信元 IP アドレスの最初のオクテットがゼロ。

–送信元 IP アドレスがループバック IP アドレスと等しい。

–送信元 IP アドレスのネットワーク部分がすべて 0。

–送信元 IP アドレスのネットワーク部分がすべて 1。

–送信元 IP アドレスのホスト部分がすべて 0 またはすべて 1。

推奨事項 ：外部ユーザが、保護されたネットワークを侵害しようとしているかどうか判断します。設定に誤りのあるクライアントをチェックします。

システム ログ メッセージ ：106016

• ルーテッド モードまたは透過モードで、送信元と宛先の IP アドレスが同じ IPv4 パケットまたは IPv6 パケットを受信した。

推奨事項 ：このメッセージ カウンタが急速に増分する場合は、攻撃を受けている可能性があります。パケット キャプチャ機能を使用して type asp パケットをキャプチャし、パケット内の送信元 MAC アドレスをチェックして送信元を特定します。

システム ログ メッセージ ：106017

ssm-app-fail

サービス モジュールがダウンしています。

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。SSM により検査されるパケットが、SSM が使用不可になったためにドロップすると増分します。たとえば、ソフトウェアまたはハードウェアの欠陥、ソフトウェアまたはシグナチャのアップグレード、またはシャットダウンするモジュールなどです。

推奨事項 ：セキュリティ アプライアンスのコントロール プレーンで実行する SSM マネージャ プロセスは、システム メッセージと CLI 警告を発行してその障害を通知します。SSM 障害のトラブルシューティングについては、SSM に付属するマニュアルを参照してください。必要な場合は、Cisco TAC にお問い合せください。

システム ログ メッセージ ：なし。

ssm-app-request

サービス モジュールがドロップを要求しました。

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。このカウンタは、SSM で実行するアプリケーションが、セキュリティ アプライアンスがパケットをドロップすることを要求すると増分します。

推奨事項 ：詳細については、事故レポート、または SSM により生成されるシステム メッセージを照会することで取得することができます。手順については、SSM に付属のマニュアルを参照してください。

システム ログ メッセージ ：なし。

ssm-asdp-invalid

SSM カードから無効な ASDP パケットを受信しました。

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。セキュリティ アプライアンスが内部データ プレーン インターフェイスから ASA SSM Dataplane Protocol（ASDP）パケットを受信したが、このパケットを解析してドライバに問題が生じると増分します。ASDP は、CSC SSM と同様に、特定のタイプの SSM と通信するためにセキュリティ アプライアンスが使用するプロトコルです。この現象は、さまざまな理由により生じます。たとえば、ASDP プロトコルのバージョンがセキュリティ アプライアンスと SSM 間で適合しなかった場合、コントロール プレーン内の SSM マネージャ プロセスがシステム メッセージと CLI 警告を送信して、インストールする適切なバージョンのイメージを通知します。ASDP パケットがセキュリティ アプライアンス側ですでに終了している接続に属している場合もあります。セキュリティ アプライアンスがスタンバイ状態に切り替わっている場合（フェールオーバーがイネーブルになっている場合）には、これ以降トラフィックを通過させることができません。また、ASDP ヘッダーとペイロードの解析時に予期しない値があった場合もあります。

推奨事項 ：カウンタは通常 0 または非常に小さい数値です。ただし、カウンタが長期わたって少しずつ増分した場合、特にフェールオーバーがあったときや、CLI 経由でセキュリティ アプライアンスの接続を手動で消去したときは考慮する必要がありません。カウントが通常動作時に急激に増分した場合は、Cisco TAC に連絡してください。

システム ログ メッセージ：421003、421004

ssm-dpp-invalid

SSM カードから無効なパケットを受信しました。

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。セキュリティ アプライアンスが内部データ プレーン インターフェイスから ASA SSM Dataplane Protocol（ASDP）パケットを受信するが、それを解析する適切なドライバを検出できない場合に増分します。

推奨事項 ：データ プレーン ドライバは、システムにインストールされた SSM のタイプに応じて動的に登録されます。したがって、この現象は、セキュリティ アプライアンスが完全に初期化される前にデータ プレーン パケットが到着すると発生する可能性があります。このカウンタの値は通常 0 です。ドロップが若干あっても気にする必要はありません。ただし、システムが起動して稼働中であるときにこのカウンタの値が上昇し続ける場合は、問題があることを示している可能性があります。これがセキュリティ アプライアンスの正常な動作に影響を与えると思われる場合は、Cisco TAC に連絡してください。

システム ログ メッセージ ：なし。

tcp_xmit_partial

TCP 再送信が不完全です。

check-retransmission 機能がイネーブルになっていて、不完全な TCP 再送信を受信した場合、このカウンタが増分し、パケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-3whs-failed

TCP が 3 ウェイ ハンドシェイクに失敗しました。

セキュリティ アプライアンスがスリーウェイ ハンドシェイク中に無効な TCP パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。たとえば、クライアントからの SYN-ACK は、この理由でドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-acked

TCP DUP が確認されました。

セキュリティ アプライアンスが再送信されたデータ パケットを受信し、このデータがピア TCP エンドポイントにより確認応答された場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-ack-syn-diff

SYNACK 内の TCP ACK が無効です。

セキュリティ アプライアンスがスリーウェイ ハンドシェイク中に不適切な TCP 確認応答番号によって SYN-ACK パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-bad-option-len

TCP 内のオプション長が不正です。

セキュリティ アプライアンスが TCP オプションが設定されている TCP パケットを受信しましたが、このオプションの長さが TCP RFC で定義されているオプションの長さと一致しない場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。

システム ログ メッセージ ：なし。

tcp-bad-option-list

TCP オプション リストが無効です。

セキュリティ アプライアンスが受信した TCP パケットの TCP ヘッダーに非標準の TCP ヘッダー オプションが付属していた場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：そのような TCP パケットを許可する、または非標準の TCP ヘッダー オプションを消去してこのパケットを許可するには、 tcp-options コマンドを使用します。

システム ログ メッセージ ：なし。

tcp-bad-sack-allow

TCP SACK ALLOW オプションが不正です。

セキュリティ アプライアンスが受信した TCP パケットに選択的な確認応答オプションが指定されているのに、SYN フラグがセットされていない場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。

システム ログ メッセージ ：なし。

tcp-bad-winscale

TCP ウィンドウ スケール値が不正です。

セキュリティ アプライアンスが受信した TCP パケットに 14 より大きい window-scale オプションが指定されている場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。

システム ログ メッセージ ：なし。

tcp-buffer-full

TCP パケット バッファがいっぱいです。

セキュリティ アプライアンスが接続上で順序が乱れた TCP パケットを受信したが、このパケットを保存するバッファがない場合、このカウンタが増分し、このパケットはドロップされます。通常 TCP パケットは、順番に接続上に配置されてセキュリティ アプライアンスによって検査されるか、またはパケットが SSM に送信されて検査されます。デフォルトのキュー サイズがあり、このデフォルトのキュー サイズを超えるパケットを受信すると、ドロップされます。

推奨事項 ：ASA プラットフォームでは、 queue-size コマンドを使用してキュー サイズを増分できます。

システム ログ メッセージ ：なし。

tcp-conn-limit

TCP 接続制限値に到達しました。

この理由は、TCP 接続設定フェーズ中に接続制限値を超えたため、TCP パケットがドロップされたことによるものです。接続制限値は、 set connection conn-max コマンドを使用して設定します。

推奨事項 ：カウンタが急速に増分する場合は、システム メッセージをチェックし、どのホストが接続制限値に到達したのかを判断します。トラフィックが正常な場合、またはホストが攻撃を受けている場合は、接続制限値を増分する必要があることもあります。

システム ログ メッセージ ：201011

tcp-data-past-fin

FIN 後に TCP データが送信されました。

FIN を送信済みで接続を終了したエンドポイントから、セキュリティ アプライアンスが新しい TCP データ パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-discarded-ooo

3 方向ハンドシェイクで TCP ACK が無効です。

このカウンタは、セキュリティ アプライアンスが 3 方向ハンドシェイク中にクライアントから TCP ACK パケットを受信し、シーケンス番号が次に予想されるシーケンス番号でない場合に増分し、パケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-dual-open

TCP デュアル オープンが拒否されました。

セキュリティ アプライアンスがサーバから TCP SYN パケットを受信したが、初期 TCP 接続がすでに開始している場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-fo-drop

TCP の複製されたフロー pak がドロップされました。

このカウンタは、セキュリティ アプライアンスがアクティブ装置となった直後に、確立した接続上でセキュリティ アプライアンスが SYN、FIN、または RST などのコントロール フラグを持つ TCP パケットを受信すると増分し、パケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-invalid-ack

TCP の無効な ACK。

セキュリティ アプライアンスが受信した TCP パケットの確認応答番号が、ピア TCP エンドポイントから送信されたデータよりも大きい場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-mss-exceeded

TCP データが MSS を超過。

セキュリティ アプライアンスが受信した TCP パケットのデータの長さが、ピア TCP エンドポイントから通知された MSS よりも大きい場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：そのような TCP パケットを許可するには、 exceed-mss コマンドを使用します。

システム ログ メッセージ ：4419001

tcpnorm-rexmit-bad

TCP の不正な再送信。

check-retransmission 機能がイネーブルになっていて、元のパケットと異なるデータを持つ TCP 再送信を受信した場合、このカウンタが増分し、パケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcpnorm-win-variation

TCP の予期しない、さまざまなウィンドウ サイズ。

TCP エンドポイントにアドバタイズされたウィンドウ サイズが、大量のデータを受け取ることもなく激変した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：そのようなパケットを許可するには、 window-variation コマンドを使用します。

システム ログ メッセージ ：なし。

tcp-not-syn

最初の TCP パケットが SYN ではありません。

セキュリティ アプライアンスが、代行受信でもなくネイリングもされていない接続の最初のパケットとして、SYN ではないパケットを受信しました。

推奨事項 ：正常な状態では、セキュリティ アプライアンスがすでに接続を終了したのに、クライアントまたはサーバ側がまだ接続が続いていると見なしてデータ転送を続けている場合に、このような現象が見られます。 clear local-host コマンドまたは clear xlate コマンドを発行した直後に、このような状況が発生することがあります。接続が削除された直後でもないのに、このカウンタが急速に増分する場合は、セキュリティ アプライアンスが攻撃を受けている可能性もあります。原因を特定するためには、スニファ トレースを取り込みます。

システム ログ メッセージ ：6106015

tcp-paws-fail

TCP パケットが PAWS テストに失敗しました。

タイムスタンプ ヘッダー オプションが指定されている TCP パケットが、PAWS（Protect Against Wrapped Sequences）テストに失敗した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：そのような接続の続行を許可するには、 tcp-options コマンドを使用してタイムスタンプ オプションを消去します。

システム ログ メッセージ ：なし。

tcp-reserved-set

TCP の予約済みフラグが設定されました。

セキュリティ アプライアンスが受信した TCP パケットの TCP ヘッダーに予約済みのフラグが設定されていた場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。そのような TCP パケットを許可するか予約済みフラグを消去して、このパケットを渡すには、 reserved-bits コマンドを使用します。

システム ログ メッセージ ：なし。

tcp-rstfin-ooo

順序が異なる TCP RST/FIN。

セキュリティ アプライアンスが受信した RST パケットまたは FIN パケットの TCP シーケンス番号が不適切な場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-rst-syn-in-win

TCP RST/SYN がウィンドウ内にあります。

セキュリティ アプライアンスが確立された接続上で受信した TCP SYN パケットまたは TCP RST パケットのシーケンス番号が、ウィンドウ内にはあるが次に予測されるシーケンス番号ではなかった場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-seq-past-win

TCP パケットの SEQ がウィンドウを超えています。

セキュリティ アプライアンスが受信した TCP データ パケットのシーケンス番号が、ピア TCP エンドポイントで許可されているウィンドウを超えている場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-seq-syn-diff

SYN/SYNACK 内の TCP SEQ が無効です。

セキュリティ アプライアンスがスリーウェイ ハンドシェイク中に不適切な TCP シーケンス番号によって SYN パケットまたは SYN-ACK パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-synack-data

TCP SYNACK にデータがあります。

セキュリティ アプライアンスが受信した TCP SYN-ACK パケットにデータがある場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。

システム ログ メッセージ ：なし。

tcp-synack-ooo

TCP SYNACK が確立された接続上にあります。

セキュリティ アプライアンスが確立された TCP 接続上で TCP SYN-ACK パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-syn-data

TCP SYN にデータがあります。

セキュリティ アプライアンスが受信した TCP SYN パケットにデータがある場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：そのような TCP パケットを許可するには、 syn-data コマンドを使用します。

システム ログ メッセージ ：なし。

tcp-syn-ooo

TCP SYN が確立された接続上にあります。

セキュリティ アプライアンスが確立された TCP 接続上で TCP SYN パケットを受信した場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

tcp-winscale-no-syn

TCP ウィンドウ スケールが非 SYN 上にあります。

セキュリティ アプライアンスが受信した TCP パケットが、SYN フラグが設定されずに window-scale TCP オプションが指定されていた場合、このカウンタが増分し、このパケットはドロップされます。

推奨事項 ：ケーブル不良または回線上のノイズにより、パケットが破損した可能性があります。また、TCP エンドポイントから破損したパケットが送信され、攻撃を受けている可能性もあります。パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。

システム ログ メッセージ ：なし。

tfw-no-mgmt-ip-config

TFW に管理 IP アドレスが設定されていません。

セキュリティ アプライアンスが透過モードで IP パケットを受信したが、管理 IP アドレスが定義されていない場合、このカウンタが増分します。このパケットはドロップされます。

推奨事項 ：セキュリティ アプライアンスに管理 IP アドレスとマスク値を設定します。

システム ログ メッセージ ：322004

unable-to-add-flow

フロー ハッシュがいっぱいです。

新しく作成されたフローがフロー ハッシュ テーブルに挿入されましたが、フロー ハッシュ テーブルがいっぱいだったために挿入が失敗した場合、このカウンタが増分します。フローとパケットはドロップされます。このカウンタは、最大接続数の制限値に到達した場合に増分するカウンタとは異なります。

推奨事項 ：このメッセージは、セキュリティ アプライアンスがリソース不足で、操作が成功しなかったことを示しています。 show conn 出力内の接続が、設定されたアイドル タイムアウト値を超えているかどうかチェックしてください。超えている場合は、Cisco TAC に連絡してください。

システム ログ メッセージ ：なし。

unable-to-create-flow

リソース制限により拒否されたフロー

このカウンタは、システム リソースが制限されているため、フローの作成が失敗すると増分し、パケットはドロップされます。リソースの制限は、次のとおりです。

• システム メモリ

• パケット ブロック拡張メモリ

• システムの接続制限

最初の 2 つの原因は、「No memory to complete flow（フローを完了するメモリがない）」というフローのドロップ理由で同時に発生します。

推奨事項 ：

• システム メモリの空き容量が少ないかどうか確認します。

• 「No memory to complete flow（フローを完了するメモリがない）」というフローのドロップ理由が発生するかどうか確認します。

• show resource usage コマンドを使用して、接続カウントがシステム接続制限に達しているかどうか確認します。

システム ログ メッセージ ：なし。

unexpected-packet

予測されないパケット。

このカウンタは、透過モードでセキュリティ アプライアンスが MAC アドレス宛の非 IP パケットを受信するが、このパケットを処理するための該当するサービスがセキュリティ アプライアンス上にない場合に増分します。

推奨事項：セキュリティ アプライアンスが攻撃を受けているかどうか確認します。疑わしいパケットがない場合、またはセキュリティ アプライアンスが透過モードでない場合、このカウンタは、ソフトウェア エラーが原因で増分していると考えられます。カウンタの増分の原因であるトラフィックを把握し、Cisco TAC に連絡してください。

システム ログ メッセージ ：なし。

unsupported-ip-version

サポートされていない IP バージョン。

セキュリティ アプライアンスが受信した IP パケットの IP ヘッダー内のバージョン フィールドに、サポートされていないバージョンが入っている場合、このカウンタが増分します。特に、このパケットがバージョン 4 またはバージョン 6 に属していない場合、パケットはドロップされます。

推奨事項 ：ネットワークに接続されている他のデバイスが、バージョン 4 または 6 のみに属する IP パケットを送信するように設定されていることを確認します。

システム ログ メッセージ ：なし。

unsupport-ipv6-hdr

サポートされていない IPV6 ヘッダー。

サポートされていない IPv6 拡張ヘッダーが付いた IPv6 パケットを受信した場合、このカウンタが増分し、そのパケットはドロップされます。サポートされている IPv6 拡張ヘッダーは、TCP、UDP、ICMPv6、ESP、AH、Hop オプション、Destination オプション、および Fragment です。IPv6 ルーティング拡張ヘッダーはサポートされていません。また、上記以外の拡張ヘッダーもサポートされていません。IPv6 ESP ヘッダーと AH ヘッダーは、パケットが through-the-box の場合にのみサポートされます。To-the-box の IPv6 ESP パケットと AH パケットはサポートされず、ドロップされます。

推奨事項 ：このエラーは、ホスト設定の誤りが原因である可能性があります。このエラーが再発する場合、または何度も発生する場合は、DoS 攻撃など偽のアクティビティや悪意のあるアクティビティを示している可能性があります。

システム ログ メッセージ ：なし。

vpn-context-expired

期限が切れた VPN コンテキスト。

このカウンタは、暗号化または復号化を必要とするパケットをセキュリティ アプライアンスが受信する場合、または操作を実行するために必要な ASP VPN が有効でなくなる場合に増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

wccp-redirect-no-route

キャッシュ エンジンへのルートはありません。

このカウンタは、セキュリティ アプライアンスがパケットのリダイレクトを試行し、キャッシュ エンジンへのルートを検出できない場合に増分します。

推奨事項 ：キャッシュ エンジンへのルートが存在することを確認してください。

システム ログ メッセージ ：なし。

wccp-return-no-route

WCCP が戻したパケットのホストへのルートがありません。

このカウンタは、パケットがキャッシュ エンジンから戻され、セキュリティ アプライアンスがこのパケットの元のソースのルートを検出できない場合に増分します。

推奨事項 ：キャッシュ エンジンから戻されたパケットのソース IP アドレスのルートが存在することを確認します。

システム ログ メッセージ ：なし。

acl-drop

アクセス規則によってフローが拒否されます。

このカウンタは、パケットがセキュリティ アプライアンスに拒否された場合に増分し、フローの作成は拒否されます。拒否規則は、セキュリティ アプライアンスの起動時、さまざまな機能がオンまたはオフにされたとき、アクセス リストがインターフェイスに適用されたとき、またはその他の機能で作成されたデフォルトの規則の可能性があります。デフォルトの規則のドロップを除き、フローが拒否される理由は次のとおりです。

• インターフェイス上にアクセス リストが設定されている。

• アクセス リストが AAA 用に設定されていて、AAA がユーザを拒否した。

• トラフィックを通過して管理専用インターフェイスに到達した。

• IPSec がイネーブルになっているインターフェイスに、暗号化されていないトラフィックが到達した。

• アクセス リストの末尾に暗黙的な拒否がある。

推奨事項 ：パケットのドロップに関連するシステム メッセージが表示されるかどうか確認します。フロー ドロップにより対応するパケットもドロップされ、必要なシステム メッセージが表示されます。

システム ログ メッセージ ：なし。

audit-failure

監査が失敗しました。

関連付けられたアクションとしてリセットした ip audit シグニチャと一致した後、フローは解放されました。

推奨事項 ：このシグニチャと一致したときにフローの削除を望まない場合は、 ip audit コマンドからリセット アクションを削除します。

システム ログ メッセージ ：なし。

closed-by-inspection

検査によりフローが終了しました。

この理由は、アプリケーション検査中にエラーが検出されたためにフローが終了したことによるものです。たとえば、H323 メッセージの検査中にエラーが検出された場合、この理由により対応する H323 フローが終了します。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

conn-limit-exceeded

接続制限値を超えました。

この理由は、接続制限値を超えたためにフローが終了したことによるものです。接続制限値は、 set connection conn-max コマンドを使用して設定します。

推奨事項 ：なし。

システム ログ メッセージ ：201011

fin-timeout

FIN のタイムアウト。

この理由は、ハーフクローズ タイマーが時間切れになったために TCP フローが終了したことによるものです。

推奨事項 ：TCP フローの終了よりも時間のかかる有効なセッションがある場合は、ハーフクローズ タイムアウトを増分します。

システム ログ メッセージ ：302014

flow-reclaimed

tcp/udp 以外のフローが新しい要求を再要求しました。

再要求可能なフローが削除されて新しいフローの要求が可能になると、このカウンタが増分します。これは、セキュリティ アプライアンスを通過するフロー数がソフトウェアの制限で許可された最大数と等しくなり、新しいフロー要求が受信された場合にのみ発生します。この状況が発生すると、再要求可能なフロー数がセキュリティ アプライアンスで許可されている VPN トンネル数を超えた場合、最も古い再要求可能なフローが削除され、新しいフローが可能になります。すべてのフローが再要求可能とされていますが、次のフローは除きます。

• TCP、UDP、GRE およびフェールオーバー フロー

• ICMP フロー（ICMP ステートフル検査がイネーブルの場合）

• セキュリティ アプライアンスへの ESP フロー

推奨事項 ：このカウンタが徐々に増分する場合は、アクションは不要です。このカウンタが急速に増分する場合は、セキュリティ アプライアンスが攻撃を受けていて、セキュリティ アプライアンスのフロー再作成と再要求に時間がかかっていることを示している可能性があります。

システム ログ メッセージ ：302021

fo-primary-closed

フェールオーバー プライマリが終了しました。

スタンバイ装置がアクティブ装置からフロー削除メッセージを受信し、フローを終了しました。

推奨事項 ：セキュリティ アプライアンスがステートフル フェールオーバーを実行している場合は、スタンバイ アプライアンス上で切断された接続が複製されるたびに、このカウンタが増分します。

システム ログ メッセージ ：302014、302016、302018

fo-standby

フェールオーバー スタンバイによりフローが終了しました。

スタンバイ状態のセキュリティ アプライアンスまたはコンテキストに through-the-box パケットが届くと、フローが作成され、そのパケットはドロップされ、作成されたフローは削除されます。このカウンタは、この方法でフローが削除されるたびに増分します。

推奨事項 ：アクティブなセキュリティ アプライアンスまたはコンテキスト上では、このカウンタが増分することはありません。ただし、スタンバイしているセキュリティ アプライアンスまたはコンテキスト上では、増分するのが普通です。

システム ログ メッセージ ：302014、302016、302018

fo_rep_err

スタンバイ フローの複製エラー。

スタンバイ装置がフローの複製に失敗しました。

推奨事項 ：セキュリティ アプライアンスが VPN トラフィックを処理している場合は、IKE SA 情報よりも先にフローが複製されるため、このカウンタはスタンバイ装置上で常に増分しています。この場合、アクションは不要です。セキュリティ アプライアンスが VPN トラフィックを処理していない場合は、この表示はソフトウェアの検出を示しています。スタンバイ装置上で debug fover fail コマンドを実行し、デバッグ出力を収集し、この問題を Cisco TAC に報告してください。

システム ログ メッセージ ：302014、302016、302018

host-removed

ホストが削除されました。

clear local-host コマンドに応答して、フローが削除されました。

推奨事項 ：これは情報カウンタです。

システム ログ メッセージ ：302014、302016、302018、302021、305010、305012、609002

inspect-fail

検査が失敗しました。

セキュリティ アプライアンスが、接続のために NP によって行われるプロトコル検査をイネーブルにできなかった場合、このカウンタが増分します。原因として考えられるのは、メモリ割り当てが失敗したこと、または ICMP エラー メッセージの場合は、この ICMP エラー メッセージに埋め込まれているフレームに関連した確立済みの接続をセキュリティ アプライアンスが検出できなかったことです。

推奨事項 ：システム メモリの使用状況をチェックします。ICMP エラー メッセージに関しては、攻撃が原因の場合、ホストに対してアクセス リストを使用させないようにすることができます。

システム ログ メッセージ ：ICMP エラーの場合 313004 です。

ips-fail-close

IPS が失敗して終了しました。

この理由は、AIP SSM がダウンしている状態で、fail-close オプションが IPS 検査で使用されたためにフローが終了したことによるものです。

推奨事項 ：AIP SSM をチェックしてから起動します。

システム ログ メッセージ ：420001

ips-request

IPS によりフローが終了しました。

この理由は、AIP SSM の要求どおりにフローが終了したことによるものです。

推奨事項 ：システム ログ メッセージと AIP SSM 上の警告をチェックします。

システム ログ メッセージ ：420002

ipsec-spoof-detect

IPsec スプーフ パケットが検出されました。

セキュリティ アプライアンスが、暗号化されているはずなのに実際には暗号化されていないパケットを受信した場合、このカウンタが増分します。このパケットは、セキュリティ アプライアンス上で設定され確立された IPSec 接続の内部ヘッダー セキュリティ ポリシー チェックに一致しましたが、暗号化されずに受信されました。これはセキュリティの問題です。

推奨事項 ：ネットワーク トラフィックを分析し、スプーフィングされた IPSec トラフィックの送信元を特定します。

システム ログ メッセージ ：402117

loopback

フローがループバックしています。

この理由は、次のいずれかの状況により、フローが終了したことによるものです。

• U-turn トラフィックがフローに存在する。

• same-security-traffic permit intra-interface が設定されていない。

推奨事項 ：インターフェイス上で U-turn トラフィックを許可するには、そのインターフェイスを same-security-traffic permit intra-interface コマンドで設定します。

システム ログ メッセージ ：なし。

mcast-entry-removed

マルチキャスト エントリが削除されました。

この理由は、次のいずれかの場合によるものです。

• マルチキャスト フローに一致するパケットが着信したが、マルチキャスト サービスがイネーブルでなくなっていた、またはマルチキャスト フローが作成された後で再度イネーブルにされた。

推奨事項 ：マルチキャストがディセーブルの場合は、再度イネーブルにします。

システム ログ メッセージ ：なし。

• マルチキャスト エントリが削除されたのでフローもクリーン アップされるが、パケットはデータ パスに再び挿入される。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

mcast-intrf-removed

マルチキャスト インターフェイスが削除されました。

この理由は、次のいずれかの場合によるものです。

• 出力インターフェイスがマルチキャスト エントリから削除された。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

• すべての出力インターフェイスがマルチキャスト エントリから削除された。

推奨事項 ：このグループに受信者が存在しないことを確認します。

システム ログ メッセージ ：なし。

nat-failed

NAT が失敗しました。

IP を変換する、またはヘッダーを転送するための xlate の作成が失敗しました。

推奨事項 ：NAT が必要でない場合は、 nat-control をディセーブルにします。そうでない場合は、 static 、 nat 、 global のいずれかのコマンドを使用して、ドロップされたフローに NAT ポリシーを設定します。ダイナミック NAT では、各 nat コマンドが少なくとも 1 つの global コマンドとペアになっていることを確認します。NAT 規則を確認するには、 show running-config nat と debug pix process を使用します。

システム ログ メッセージ ：305005、305006、305009、305010、305011、305012

nat-rpf-failed

NAT 逆パスが失敗しました。

マッピングされたホストの実際のアドレスを使用してそのホストに接続しようとしましたが、拒否されました。

推奨事項 ：NAT を実施しているホストと同じインターフェイス上にない場合は、実際のアドレスの代わりにマッピング アドレスを使用してホストに接続します。また、アプリケーションが IP アドレスを埋め込む場合は、適切な inspect コマンドをイネーブルにします。

システム ログ メッセージ ：305005

need-ike

IKE ネゴシエーションを開始する必要があります。

セキュリティ アプライアンスが、暗号化の必要があるのに IPSec セキュリティ アソシエーションを確立していないパケットを受信した場合、このカウンタが増分します。通常 LAN-to-LAN IPSec コンフィギュレーションでは、これは正常な状態です。これが表示されると、セキュリティ アプライアンスは宛先ピアとの ISAKMP ネゴシエーションを開始します。

推奨事項 ：セキュリティ アプライアンス上で IPSec LAN-to-LAN を設定している場合は、この表示は正常なもので、問題を示すものではありません。ただし、このカウンタが急速に増分する場合は、 crypto の設定エラーまたはネットワーク エラーにより、ISAKMP ネゴシエーションが完了できないことを示している可能性があります。

宛先ピアと通信可能であることを確認し、 show running-config コマンドを使用して crypto 設定を確認します。

システム ログ メッセージ ：なし。

no-inspect

検査の割り当てに失敗。

このカウンタは、接続が確立されたときにセキュリティ アプライアンスがランタイム検査のデータ構造の割り当てに失敗すると増分します。接続はドロップされます。

推奨事項 ：このエラーの条件は、セキュリティ アプライアンスがシステム メモリを使い切ると発生します。 show memory コマンドを発行して、使用可能な空きメモリをチェックします。

システム ログ メッセージ ：なし。

no-ipv6-ipsec

IPsec over IPv6 は
サポートされていません。

セキュリティ アプライアンスが、IPv6 ヘッダーでカプセル化された IPSec ESP パケット、IPSec NAT-T ESP パケット、または IPSec over UDP ESP パケットを受信した場合、このカウンタが増分します。現在セキュリティ アプライアンスは、IPv6 でカプセル化された IPSec セッションをサポートしていません。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

non_tcp_syn

TCP が SYN 以外です。

この理由は、最初のパケットが SYN パケットではなかったために TCP フローが終了したことによるものです。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

out-of-memory

フローを完了するためのメモリがありません。

セキュリティ アプライアンスがメモリ不足のためにフローを作成できない場合、このカウンタが増分します。

推奨事項 ：現在の接続をチェックして、セキュリティ アプライアンスが攻撃を受けていないことを確認します。また、設定したタイムアウト値が大きすぎるために、アイドル状態のフローがメモリに長時間常駐していないかどうかも確認します。 show memory コマンドを発行して、使用可能な空きメモリをチェックします。空きメモリが少ない場合は、 show processes memory コマンドを発行し、メモリを大量に使用しているプロセスを特定します。

システム ログ メッセージ ：なし。

parent-closed

親フローが終了しています。

下位フローの親フローが終了すると、その下位フローも終了します。たとえば、FTP データ制御フロー（親フロー）が終了すると、この理由により FTP データ フロー（下位フロー）も終了します。また、この理由は、制御アプリケーションによってセカンダリ フロー（pin-hole）が終了した場合にも該当します。たとえば、BYE メッセージを受信すると、SIP 検査エンジン（制御アプリケーション）は対応する SIP RTP フロー（セカンダリ フロー）を終了します。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

pinhole-timeout

Pinhole のタイムアウト。

セキュリティ アプライアンスがセカンダリ フローを開始しましたが、タイムアウト間隔内にこのフローにパケットが渡されなかったためにフローが削除されたことを報告する場合、このカウンタが増分します。セカンダリ フローの例としては、FTP コントロール チャネル上でネゴシエーションの成功後に作成される FTP データ チャネルがあります。

推奨事項 ：なし。

システム ログ メッセージ ：302014、302016

recurse

再帰的フローを終了します。

フローが再帰的に解放されました。この理由はペア フローとマルチキャスト スレーブ フローに該当し、これらの各下位フローに対するシステム メッセージは発行されません。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

reinject-punt

パント アクションによりフローが終了しました。

検査や AAA などの強化されたサービスによって、処理のための例外パスにパケットがパントされた場合、このカウンタが増分します。このサービス ルーチンは、フロー上を流れるトラフィック内に違反を検出すると、そのフローをドロップするよう要求します。このフローはただちにドロップされます。

推奨事項 ：サービス ルーチンによってトリガーされるシステム メッセージに注意してください。フロー ドロップにより、対応する接続も終了します。

システム ログ メッセージ ：なし。

reset-by-ips

IPS によりフローがリセットされました。

この理由は、AIP SSM の要求どおりに TCP フローが終了したことによるものです。

推奨事項 ：システム ログ メッセージと AIP SSM 上の警告をチェックします。

システム ログ メッセージ ：420003

reset-in

TCP リセット I。

この理由は、（セキュリティが低いインターフェイスからセキュリティが同じまたは高いインターフェイスへの）発信フロー上で TCP リセットを受信して、そのフローが終了したことによるものです。

推奨事項 ：なし。

システム ログ メッセージ ：302014

reset-out

TCP リセット O。

この理由は、（セキュリティが高いインターフェイスからセキュリティが低いインターフェイスへの）着信フロー上で TCP リセットを受信して、そのフローが終了したことによるものです。

推奨事項 ：なし。

システム ログ メッセージ ：302014

shunned

フローが排除されました。

排除データベース内にあるホストと一致する送信元 IP アドレスを持つパケットを受信した場合、このカウンタが増分します。 shun コマンドが適用される場合、それぞれの既存のフローが shun コマンドに一致するたびに増分します。

推奨事項 ：なし。

システム ログ メッセージ ：401004

ssl-bad-record-detect

SSL 不良レコードが検出されました。

このカウンタは、リモート ピアから不明の SSL レコード タイプを受信するたびに増分します。ピアから受信した不明のレコード タイプはすべて重大エラーとして処理され、このエラーが検出された SSL 接続は終了しなければなりません。

推奨事項 ：このカウンタが増分するのはどんなときでも正常でありません。このカウンタが増分する場合、通常、SSL プロトコルの状態がクライアント ソフトウェアと同期していないこと示します。この問題の原因として最も可能性があるのは、クライアント ソフトウェア内のソフトウェアの欠陥です。Cisco TAC にそのクライアント ソフトウェアまたは Web ブラウザのバージョンについて問い合せ、この問題を解決するために SSL データ交換のネットワーク トレースを提供してください。

システム ログ メッセージ ：なし。

ssl-handshake-failed

SSL ハンドシェイクが失敗しました。

このカウンタは、SSL ハンドシェイクの失敗により TCP 接続がドロップすると増分します。

推奨事項 ：このカウンタは、SSL ハンドシェイクの失敗により TCP 接続がドロップしたことを示します。ハンドシェイク障害状況により生成されたシステム ログ メッセージ情報に基づいて問題が解決できない場合は、Cisco TAC に問い合せる際に、関連するシステム ログ メッセージ情報を提供してください。

システム ログ メッセージ ：725006、725014

rm-xlate-limit

RM xlate 制限に達しました。

このカウンタは、あるコンテキストまたはシステムの xlate が最大数に達し、新しい接続が試行されると増分します。

推奨事項 ：デバイスの管理者は、 show resource usage コマンドおよび show resource usage system コマンドを使用して、コンテキストやシステムのリソース制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整できます。

システム ログ メッセージ ：321001

rm-host-limit

RM ホスト制限に達しました。

このカウンタは、あるコンテキストまたはシステムのホストが最大数に達し、新しい接続が試行されると増分します。

推奨事項 ：デバイスの管理者は、 show resource usage コマンドおよび show resource usage system コマンドを使用して、コンテキストやシステムのリソース制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整できます。

システム ログ メッセージ ：321001

rm-inspect-rate-limit

RM 検査レート制限に達しました。

このカウンタは、コンテキストまたはシステムの検査レートが最大数に達し、新しい接続が試行されると増分します。

推奨事項 ：デバイスの管理者は、 show resource usage コマンドおよび show resource usage system コマンドを使用して、コンテキストやシステムのリソース制限値と「Denied」の回数を確認し、必要に応じてリソース制限値を調整できます。

システム ログ メッセージ ：321002

ctm-crypto-request-error

CTM 暗号要求
エラー。

このカウンタは、CTM が暗号要求を受け入れない場合に、その都度増分します。これは通常、暗号ハードウェア要求のキューがいっぱいになっていることを示します。

推奨事項 ：show crypto protocol statistics ssl コマンドを発行し、この情報を Cisco TAC に提供してください。

システム ログ メッセージ ：なし。

ssl-record-decrypt-error

SSL レコード復号化が失敗しました。

このカウンタは、SSL データを受信中に復号化エラーが発生すると増分します。これは通常、ASA またはピアの SSL コードにバグがある場合、または攻撃者がデータ ストリームを変更している可能があることを示します。SSL 接続は終了されます。

推奨事項 ：ASA に対する SSL データ ストリームを検証します。攻撃者がいない場合は、Cisco TAC へ報告すべきソフトウェア エラーがあることを示します。

システム ログ メッセージ ：なし。

np-socket-conn-not-accepted

新規のソケット接続が受け入れられませんでした。

このカウンタは、セキュリティ アプライアンスによって新規のソケット接続が受け入れられない場合に増分します。

推奨事項 ：このカウンタは、通常の動作が行われる過程で増分していく可能性があります。ただし、カウンタが急速に増分している場合や、ソケット ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥によって発生している可能性があります。Cisco TAC に連絡して、問題を詳しく調査してください。

システム ログ メッセージ ：なし。

np-socket-failure

NP ソケットの欠陥。

これは、重大なソケット処理エラーに対する一般的なカウンタです。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

np-socket-data-move-failure

NP ソケット データ移動エラー。

このカウンタは、ソケット データの移動時にエラーがあると増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

np-socket-new-conn-failure

NP ソケットの新規接続エラー。

このカウンタは、ソケットの新規接続が失敗すると増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

np-socket-transport-closed

NP ソケット転送が終了しました。

このカウンタは、ソケットに関連する転送が異常終了すると増分します。

推奨事項 ：このカウンタは、通常の動作が行われる過程で増分していく可能性があります。ただし、カウンタが急速に増分している場合や、ソケット ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥によって発生している可能性があります。Cisco TAC に連絡して、問題を詳しく調査してください。

システム ログ メッセージ ：なし。

np-socket-block-conv-failure

NP ソケット ブロック変換エラー。

このカウンタは、ソケット ブロック変換エラーがあると増分します。

推奨事項 ：これは、ソフトウェアのエラーを Cisco TAC に報告する必要があることを示しています。

システム ログ メッセージ ：なし。

ssl-received-close-alert

SSL が終了アラートを受信しました。

このカウンタは、セキュリティ アプライアンスがリモート クライアントから終了アラートを受信すると増分します。これは、クライアントが接続をドロップしようとしていることを通知したことを示します。通常の接続切断プロセスの一部です。

推奨事項 ：なし。

システム ログ メッセージ ：725007

tracer-flow

packet-tracer がフローのドロップをトレースしました。

このカウンタは、トレースが完了して解放されたフローについて、packet-tracer により内部的に使用されます。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

ssl-malloc-error

SSL の malloc の
エラー。

このカウンタは、SSL ライブラリ内で malloc のエラーが発生すると増分します。これは、SSL がメモリ バッファまたはパケット ブロックを割り当てることができないメモリ不足状態であることを示します。

推奨事項 ：セキュリティ アプライアンスのメモリとパケット ブロックの状態を調べ、このメモリ情報を Cisco the TAC に連絡してください。

システム ログ メッセージ ：なし。

ssm-app-fail

サービス モジュールが失敗しました。

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。このカウンタは、SSM により検査中の接続が、SSM にエラーが生じたために終了すると増分します。

推奨事項 ：セキュリティ アプライアンスのコントロール プレーン内で動作しているカード マネージャ プロセスが、システム メッセージと CLI 警告を発行してこのエラーを通知します。SSM エラーの問題解決については、SSM に付属のマニュアルを参照してください。必要な場合は、Cisco TAC に連絡してください。

システム ログ メッセージ ：421001

ssm-app-incompetent

サービス モジュールが機能しませんでした。

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。SSM による接続の検査が予定されているが、SSM が検査できない場合に増分します。このカウンタは将来使用するために予約されます。現在のリリースでは常に 0 である必要があります。

推奨事項 ：なし。

システム ログ メッセージ ：なし。

ssm-app-request

サービス モジュールによりフローが終了しました。

このカウンタが適用されるのは、ASA 5500 シリーズ適応型セキュリティ アプライアンスのみです。カウンタは、SSM で実行するアプリケーションがセキュリティ アプライアンスに接続を終了するよう要求すると増分します。

推奨事項 ：SSM によって生成された事故レポートまたはシステム メッセージを照会して、詳細情報を取得することができます。手順については、SSM に付属のマニュアルを参照してください。

システム ログ メッセージ ：なし。

svc-failover

SVC ソケット接続がスタンバイ装置側で切断中です。

このカウンタは、アクティブ装置がフェールオーバー変遷の一部としてスタンバイ状態に移行するときに新規の SVC ソケット接続が切断されると増分します。

推奨事項 ：なし。これは、現在のデバイスがアクティブからスタンバイに移行する際の SVC 接続の通常のクリーンアップの一部です。デバイスでの既存の SVC 接続は有効でなるので、削除する必要があります。

システム ログ メッセージ ：なし。

svc-spoof-detect

SVC スプーフ パケットが検出されました。

このカウンタは、暗号化されているはずが暗号化されていないパケットをセキュリティ アプライアンスが受信すると増分します。このパケットは、セキュリティ アプライアンスで設定、確立された SVC 接続の内部ヘッダー セキュリティ ポリシー チェックに一致しましたが、暗号化されずに受信されました。これはセキュリティの問題です。

推奨事項 ：ネットワーク トラフィックを分析し、スプーフィングされた SVC トラフィックの送信元を特定します。

システム ログ メッセージ ：なし。

syn-timeout

SYN のタイムアウト。

この理由は、初期タイマーが時間切れになったために TCP フローが終了したことによるものです。

推奨事項 ：接続の確立に時間のかかる有効なセッションがある場合は、初期タイムアウトを増分します。

システム ログ メッセージ ：302014

tcp-fins

TCP FIN。

この理由は、TCP FIN パケットを受信した時に TCP フローが終了したことによるものです。

推奨事項 ：各 TCP 接続が FIN で正常に終了した場合、このカウンタが増分します。

システム ログ メッセージ ：302014

tcp-intercept-no-response

TCP 代行受信サーバが応答しませんでした。

SYN 再送信は、1 秒に 1 回の割合で 3 回試行した後にタイムアウトになります。サーバが到達不能のため、接続が切断されました。

推奨事項 ：サーバがセキュリティ アプライアンスから到達可能であるかどうかをチェックします。

システム ログ メッセージ ：なし。

tcp-intercept-kill

TCP 代行受信によりフローが終了しました。

次の理由により、TCP 代行受信が接続を切断しました。

1. これは最初の SYN である。

2. 接続が SYN 用に作成されている。

3. TCP 代行受信が SYN クッキーで応答した。または TCP 代行受信が SYN をサーバに送信し、サーバがクライアントからの有効な ACK を確認した後、RST で応答した。

推奨事項 ：ネイリング規則がある、パケットが VPN トンネル経由で着信する、またはクライアントに到達するネクストホップ ゲートウェイ アドレスが解決されない場合を除き、通常 TCP 代行受信では最初の SYN に対する接続は作成されません。そのため、これは最初の SYN に対して接続が作成されたことを示しています。TCP 代行受信がサーバから RST を受信すると、そのサーバ上の対応するポートが閉じる可能性があります。

システム ログ メッセージ ：なし。

tcp-intercept-unexpected

TCP 代行受信の予期しない状態。

TCP 代行受信モジュールの論理エラーです。このようなことは発生しないようになっています。

推奨事項 ：メモリの破損、または TCP 代行受信モジュールの論理エラーを示しています。

システム ログ メッセージ ：なし。

tcpmod-connect-clash

TCP モジュール ポート衝突がクライアントとサーバの間で発生しました。

TCP 接続ソケットは、既存のリッスン接続と衝突します。これは、内部システムのエラーです

推奨事項 ：TAC に連絡してください。

システム ログ メッセージ ：なし。

tcpnorm-invalid-syn

TCP の無効な SYN。

この理由は、SYN パケットが無効の場合に TCP フローが終了したことによるものです。

推奨事項 ：チェックサムや TCP ヘッダーが無効な場合など、さまざまな理由で SYN パケットが無効になる可能性があります。なぜ SYN パケットが無効になるかを理解するには、パケット キャプチャ機能を使用してください。これらの接続を許可する場合は、 tcp-map 設定を使用してチェックをバイパスします。

システム ログ メッセージ ：302014

tcpnorm-rexmit-bad

TCP の不正な再送信。

この理由は、 check-retransmission 機能がイネーブルになっている時に、TCP エンドポイントから元のパケットと異なるデータが再送信されて TCP フローが終了したことによるものです。

推奨事項 ：TCP の再送信の際に異なるデータを送信するという方法で、TCP エンドポイントが攻撃を加えている可能性があります。パケット キャプチャ機能を使用して、パケットの発信元の詳細を確認してください。

システム ログ メッセージ ：302014

tcpnorm-win-variation

TCP の予期しない、さまざまなウィンドウ サイズ。

この理由は、TCP エンドポイントにアドバタイズされたウィンドウ サイズが、大量のデータを受け取ることもなく激変し、TCP フローが終了したことによるものです。

推奨事項 ：この接続を許可するために、 window-variation コマンドを使用します。

システム ログ メッセージ ：302014

timeout

接続のタイムアウト。

非アクティビティ タイマーの期限切れのためフローが終了した場合、このカウンタが増分します。

推奨事項 ：なし。

システム ログ メッセージ ：302014、302016、302018、302021

tunnel-pending

トンネルを確立または切断しています。

セキュリティ アプライアンスがセキュリティ ポリシー データベース（たとえば crypto map ）のエントリに一致するパケットを受信したが、セキュリティ アソシエーションがネゴシエーションの途中でまだ完了していない場合、このカウンタが増分します。

また、セキュリティ アプライアンスがセキュリティ ポリシー データベースのエントリに一致するパケットを受信したが、セキュリティ アソシエーションが削除された、または削除中である場合にも、このカウンタが増分します。この表示と「Tunnel has been torn down（トンネルが切断されました。）」表示の違いは、「Tunnel has been torn down（トンネルが切断されました。）」表示は確立済みのフロー用であるということです。

推奨事項 ：IPSec トンネルがネゴシエーション中または削除中の場合、これは正常な状態です。

システム ログ メッセージ ：なし。

tunnel-torn-down

トンネルが切断されました。

セキュリティ アプライアンスが、IPSec セキュリティ アソシエーションが削除中の確立済みフローに関連付けられたパケットを受信した場合、このカウンタが増分します。

推奨事項 ：IPSec トンネルが何らかの理由で切断された場合、これは正常な状態です。

システム ログ メッセージ ：なし。

xlate-removed

Xlate の消去。

clear xlate コマンドまたは clear local-host コマンドに応答して、フローが削除されました。

推奨事項 ：これは情報カウンタです。

システム ログ メッセージ ：302014、302016、302018、302021、305010、305012、609002

capture

パケットをキャプチャします。asp ドロップ コードに基づいてパケットをキャプチャするオプションも含まれています。

clear asp drop

アクセラレーション セキュリティ パスのドロップ統計情報を消去します。

show conn

接続に関する情報を表示します。

address ip_address

（オプション）ARP テーブル エントリを表示する IP アドレスを指定します。

interface interface_name

（オプション）ARP テーブルを表示する特定のインターフェイスを指定します。

netmask mask

（オプション）IP アドレスのサブネット マスクを設定します。

7.0(1)

このコマンドが導入されました。

show arp

ARP テーブルを表示します。

show arp statistics

ARP 統計情報を表示します。

domain domain_name

（オプション）特定の分類子ドメインのエントリを表示します。ドメインのリストについては、「使用上のガイドライン」を参照してください。

interface interface_name

（オプション）分類子テーブルを表示する特定のインターフェイスを指定します。

crypto

（オプション）encrypt ドメイン、decrypt ドメイン、および ipsec-tunnel-flow ドメインのみを表示します。

7.0(1)

このコマンドが導入されました。

show asp drop

ドロップされたパケットのアクセラレーション セキュリティ パス カウンタを表示します。

7.0(1)

このコマンドが導入されました。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

show interface

インターフェイスのランタイム ステータスと統計情報を表示します。

interface interface_name

（オプション）特定のインターフェイスの MAC アドレス テーブルを表示します。

7.0(1)

このコマンドが導入されました。

show mac-address-table

ダイナミック エントリとスタティック エントリを含め、MAC アドレス テーブルを表示します。

address ip_address

ルーティング エントリを表示する IP アドレスを設定します。IPv6 アドレスの場合は、サブネット マスクを含めることができます。スラッシュ（/）に続けて、プレフィックス（0 ～ 128）を入力します。たとえば、次のように入力します。

input

入力ルート テーブルにあるエントリを表示します。

interface interface_name

（オプション）ルーティング テーブルを表示する特定のインターフェイスを指定します。

netmask mask

IPv4 アドレスの場合に、サブネット マスクを指定します。

output

出力ルート テーブルにあるエントリを表示します。

7.0(1)

このコマンドが導入されました。

show route

制御プレーン内のルーティング テーブルを表示します。

detail

（オプション）VPN コンテキスト テーブルに関する追加の詳細情報を表示します。

7.0(1)

このコマンドが導入されました。

show asp drop

ドロップされたパケットのアクセラレーション セキュリティ パス カウンタを表示します。

address hex

（オプション）このアドレスに対応するブロックを 16 進形式で表示します。

all

（オプション）すべてのブロックを表示します。

assigned

（オプション）アプリケーションによって割り当てられ、使用されているブロックを表示します。

detail

（オプション）一意の各キュー タイプの最初のブロックの一部（128 バイト）を表示します。

dump

（オプション）ヘッダーとパケットの情報を含めて、ブロックの内容全体を表示します。dump と packet の相違点は、dump の場合、ヘッダーとパケットに関する追加情報が含まれることです。

diagnostics

（オプション）ブロックに関する診断を表示します。

free

（オプション）使用可能なブロックを表示します。

header

（オプション）ブロックのヘッダーを表示します。

old

（オプション）1 分より前に割り当てられたブロックを表示します。

packet

（オプション）パケットの内容をブロックのヘッダーと共に表示します。

pool size

（オプション）特定のサイズのブロックを表示します。

queue history

（オプション）セキュリティ アプライアンスがブロックを使い果たしたときに、ブロックが割り当てられる位置を表示します。ブロックはプールから割り当てられますが、一度もキューに割り当てられないことがあります。この場合に表示される位置は、ブロックを割り当てたコードのアドレスです。

summary

（オプション）ブロックの使用状況に関する詳細情報を表示します。この情報は、このクラスにブロックを割り当てたアプリケーションのプログラム アドレス、このクラスのブロックを解放したアプリケーションのプログラム アドレス、およびこのクラスの有効なブロックが属しているキューを基準としてソートされています。

7.0(1)

pool summary オプションが追加されました。

SIZE

ブロック プールのサイズ（バイト単位）。それぞれのサイズは、特定のタイプを表しています。下に例を示します。

4

DNS モジュール、ISAKMP モジュール、URL フィルタリング モジュール、uauth モジュール、TFTP モジュール、TCP モジュールなどのアプリケーションの既存ブロックを複製します。

80

TCP 代行受信で確認応答パケットを生成するために、およびフェールオーバー hello メッセージに使用されます。

256

ステートフル フェールオーバーのアップデート、syslog 処理、およびその他の TCP 機能に使用されます。

これらのブロックは、主にステートフル フェールオーバーのメッセージに使用されます。アクティブなセキュリティ アプライアンスは、パケットを生成してスタンバイ セキュリティ アプライアンスに送信し、変換と接続のテーブルをアップデートします。接続が頻繁に作成または切断されるバースト トラフィックが発生すると、使用可能なブロックの数が 0 まで低下することがあります。この状況は、1 つまたはそれ以上の接続がスタンバイ セキュリティ アプライアンスに対してアップデートされなかったことを示しています。ステートフル フェールオーバー プロトコルは、不明な変換または接続を次回に捕捉します。256 バイト ブロックの CNT カラムが長時間にわたって 0 またはその付近で停滞している場合は、セキュリティ アプライアンスの処理している 1 秒あたりの接続数が非常に多いために、変換テーブルと接続テーブルの同期が取れている状態をセキュリティ アプライアンスが維持できない問題が発生しています。

セキュリティ アプライアンスから送信される syslog メッセージも 256 バイト ブロックを使用しますが、256 バイト ブロック プールが枯渇するような量が発行されることは通常ありません。CNT カラムの示す 256 バイト ブロックの数が 0 に近い場合は、Debugging（レベル 7）のログを syslog サーバに記録していないことを確認してください。この情報は、セキュリティ アプライアンス コンフィギュレーションの logging trap 行に示されています。ロギングは、デバッグのために詳細な情報が必要となる場合を除いて、Notification（レベル 5）以下に設定することをお勧めします。

1550

セキュリティ アプライアンスで処理するイーサネット パケットを格納するために使用されます。

パケットは、セキュリティ アプライアンス インターフェイスに入ると入力インターフェイス キューに配置され、次にオペレーティング システムに渡されてブロックに配置されます。セキュリティ アプライアンスは、パケットを許可するか拒否するかをセキュリティ ポリシーに基づいて決定し、パケットを出力インターフェイス上の出力キューに配置します。セキュリティ アプライアンスがトラフィックの負荷に対応できていない場合は、使用可能なブロックの数が 0 付近で停滞します（このコマンドの出力の CNT カラムに示されます）。CNT カラムが 0 になると、セキュリティ アプライアンスはさらにブロックを確保しようとします（最大で 8,192 個まで）。使用可能なブロックがなくなった場合、セキュリティ アプライアンスはパケットをドロップします。

16384

64 ビット 66 MHz のギガビット イーサネット カード（i82543）にのみ使用されます。

イーサネット パケットの詳細については、1550 の説明を参照してください。

2048

制御アップデートに使用される制御フレームまたはガイド付きフレーム。

MAX

指定したバイト ブロックのプールで使用可能なブロックの最大数。ブロックの最大数は、ブートアップ時にメモリに基づいて配分されます。ブロックの最大数は、通常は変化しません。例外は 256 バイト ブロックと 1,550 バイト ブロックで、セキュリティ アプライアンスはこれらのブロックを必要に応じて動的に作成できます（最大で 8,192 個まで）。

LOW

最低水準点。この数は、セキュリティ アプライアンスの電源がオンになった時点、またはブロックの内容が（ clear blocks コマンドで）最後に消去された時点から、このサイズの使用可能なブロックが最も少なくなったときの数を示しています。LOW カラムが 0 である場合は、先行のイベントでメモリがすべて使用されたことを示します。

CNT

指定したサイズのブロック プールで現在使用可能なブロックの数。CNT カラムが 0 である場合は、メモリが現在すべて使用されていることを意味します。

Block

ブロックのアドレス。

allocd_by

ブロックを最後に使用したアプリケーションのプログラム アドレス（使用されていない場合は 0）。

freed_by

ブロックを最後に解放したアプリケーションのプログラム アドレス。

data size

ブロック内部のアプリケーション バッファまたはパケット データのサイズ。

alloccnt

このブロックが作成されてから使用された回数。

dup_cnt

このブロックに対する現時点での参照回数（このブロックが使用されている場合）。0 は 1 回の参照、1 は 2 回の参照を意味します。

oper

ブロックに対して最後に実行された操作。割り当て、取得、入力、解放の 4 つのいずれかです。

location

ブロックを使用しているアプリケーション。または、ブロックを最後に割り当てたアプリケーションのプログラム アドレス（allocd_by フィールドと同じ）。

total_count

指定したクラスのブロックの数。

miss_count

技術的な理由により、指定したカテゴリで報告されなかったブロックの数。

Freed_pc

このクラスのブロックを解放したアプリケーションのプログラム アドレス。

Alloc_pc

このクラスにブロックを割り当てたアプリケーションのプログラム アドレス。

Queue

このクラスの有効なブロックが属しているキュー。

valid_cnt

現時点で割り当てられているブロックの数。

invalid_cnt

現時点では割り当てられていないブロックの数。

Invalid Bad qtype

このキューが解放されてコンテンツが無効になっているか、このキューは初期化されていませんでした。

Valid tcp_usr_conn_inp

キューは有効です。

blocks

ブロック診断に割り当てられているメモリを増やします。

clear blocks

システム バッファの統計情報を消去します。

show conn

アクティブな接続を表示します。

show bootvar

システムのブート プロパティ。

7.0(1)

このコマンドが導入されました。

boot

起動時に使用されるコンフィギュレーション ファイルまたはイメージ ファイルを指定します。

capture_name

（オプション）パケット キャプチャの名前。

access-list access_list_name

（オプション）特定のアクセス リストの IP フィールドまたはより高位のフィールドに基づいて、パケットに関する情報を表示します。

count number

（オプション）指定したパケットの数に関するデータを表示します。

decode

このオプションは、isakmp タイプのキャプチャがインターフェイスに適用されている場合に役立ちます。当該のインターフェイスを通過する isakmp データは、復号化の後にすべてキャプチャされ、フィールドをデコードした後にその他の情報と共に表示されます。

detail

（オプション）各パケットの詳細なプロトコル情報を表示します。

dump

（オプション）データ リンク トランスポート経由で伝送されるパケットの 16 進ダンプを表示します。

packet-number number

指定したパケット番号から表示を開始します。

7.0(1)

このコマンドが導入されました。

802.1Q

HH:MM:SS.ms [ether-hdr] VLAN-info encap-ether-packet

ARP

HH:MM:SS.ms [ether-hdr] arp-type arp-info

IP/ICMP

HH:MM:SS.ms [ether-hdr] ip-source > ip-destination: icmp: icmp-type icmp-code [checksum-failure]

IP/UDP

HH:MM:SS.ms [ether-hdr] src-addr . src-port dest-addr . dst-port : [checksum-info] udp payload-len

IP/TCP

HH:MM:SS.ms [ether-hdr] src-addr . src-port d est-addr . dst-port : tcp-flags [header-check] [checksum-info] sequence-number ack-number tcp-window urgent-info tcp-options

IP/その他

HH:MM:SS.ms [ether-hdr] src-addr dest-addr : ip-protocol ip-length

その他

HH:MM:SS.ms ether-hdr : hex-dump

capture

パケット キャプチャ機能を有効にして、パケットのスニッフィングやネットワーク障害を検出できるようにします。

clear capture

キャプチャ バッファを消去します。

copy capture

キャプチャ ファイルをサーバにコピーします。

7.0(1)

このコマンドが導入されました。

show running-config

現在の実行コンフィギュレーションを表示します。

7.0(1)

このコマンドが導入されました。

checkheaps

チェックヒープの確認間隔を設定します。

7.0(1)

セキュリティ アプライアンスでこのコマンドがサポートされるようになりました。