メッセージ 400000 ~ 409128
この章では、400000 ~ 409128 のメッセージについて説明します。
4000nn
エラー メッセージ %ASA-4-4000nn: IPS:number string from IP_address to IP_address on interface interface_name
説明 メッセージ 400000 ~ 400051 は、Cisco Intrusion Prevention Service のシグニチャ メッセージです。
推奨アクション Cisco.com にある『Cisco Intrusion Prevention Service User Guide』を参照してください。
今回のリリースの ASA では、すべてのシグニチャ メッセージがサポートされているわけではありません。IPS メッセージは、すべて 4-4000nn で始まり、次の形式になります。
number |
シグニチャ番号。詳細については、Cisco.com にある『Cisco Intrusion Prevention Service User Guide』を参照してください。 |
string |
シグニチャ メッセージ(NetRanger シグニチャ メッセージとほぼ同じです)。 |
IP_address |
シグニチャが適用されるローカル ツー リモート アドレス。 |
interface_name |
シグニチャが基づくインターフェイスの名前。 |
次に例を示します。
%ASA-4-400013 IPS:2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
%ASA-4-400032 IPS:4051 UDP Snork attack from 10.1.1.1 to 192.168.1.1 on interface outside
次の表に、サポートされているシグニチャ メッセージを示します。
メッセージ番号 |
シグニチャ ID |
シグニチャ タイトル |
シグニチャ タイプ |
---|---|---|---|
400000 |
1000 |
IP options-Bad Option List |
情報 |
400001 |
1001 |
IP options-Record Packet Route |
情報 |
400002 |
1002 |
IP options-Timestamp |
情報 |
400003 |
1003 |
IP options-Security |
情報 |
400004 |
1004 |
IP options-Loose Source Route |
情報 |
400005 |
1005 |
IP options-SATNET ID |
情報 |
400006 |
1006 |
IP options-Strict Source Route |
情報 |
400007 |
1100 |
IP Fragment 攻撃 |
攻撃 |
400008 |
1102 |
IP Impossible Packet |
攻撃 |
400009 |
1103 |
IP fragments overlap |
攻撃 |
400010 |
2000 |
ICMP Echo Reply |
情報 |
400011 |
2001 |
ICMP Host Unreachable |
情報 |
400012 |
2002 |
ICMP Source Quench |
情報 |
400013 |
2003 |
ICMP Redirect |
情報 |
400014 |
2004 |
ICMP Echo Request |
情報 |
400015 |
2005 |
ICMP Time Exceeded for a Datagram |
情報 |
400016 |
2006 |
ICMP Parameter Problem on Datagram |
情報 |
400017 |
2007 |
ICMP Timestamp Request |
情報 |
400018 |
2008 |
ICMP Timestamp Reply |
情報 |
400019 |
2009 |
ICMP Information Request |
情報 |
400020 |
2010 |
ICMP Information Reply |
情報 |
400021 |
2011 |
ICMP Address Mask Request |
情報 |
400022 |
2012 |
ICMP Address Mask Reply |
情報 |
400023 |
2150 |
Fragmented ICMP Traffic |
攻撃 |
400024 |
2151 |
Large ICMP Traffic |
攻撃 |
400025 |
2154 |
Ping of Death Attack |
攻撃 |
400026 |
3040 |
TCP NULL flags |
攻撃 |
400027 |
3041 |
TCP SYN+FIN flags |
攻撃 |
400028 |
3042 |
TCP FIN only flags |
攻撃 |
400029 |
3153 |
FTP Improper Address Specified |
情報 |
400030 |
3154 |
FTP Improper Port Specified |
情報 |
400031 |
4050 |
UDP Bomb attack |
攻撃 |
400032 |
4051 |
UDP Snork attack |
攻撃 |
400033 |
4052 |
UDP Chargen DoS attack |
攻撃 |
400034 |
6050 |
DNS HINFO Request |
情報 |
400035 |
6051 |
DNS Zone Transfer |
情報 |
400036 |
6052 |
DNS Zone Transfer from High Port |
情報 |
400037 |
6053 |
DNS Request for All Records |
情報 |
400038 |
6100 |
RPC Port Registration |
情報 |
400039 |
6101 |
RPC Port Unregistration |
情報 |
400040 |
6102 |
RPC Dump |
情報 |
400041 |
6103 |
Proxied RPC Request |
攻撃 |
400042 |
6150 |
ypserv (YP server daemon) Portmap Request |
情報 |
400043 |
6151 |
ypbind (YP bind daemon) Portmap Request |
情報 |
400044 |
6152 |
yppasswdd (YP password daemon) Portmap Request |
情報 |
400045 |
6153 |
ypupdated (YP update daemon) Portmap Request |
情報 |
400046 |
6154 |
ypxfrd (YP transfer daemon) Portmap Request |
情報 |
400047 |
6155 |
mountd (mount daemon) Portmap Request |
情報 |
400048 |
6175 |
rexd (remote execution daemon) Portmap Request |
情報 |
400049 |
6180 |
rexd (remote execution daemon) Attempt |
情報 |
400050 |
6190 |
statd Buffer Overflow |
攻撃 |
401001
エラー メッセージ %ASA-4-401001: Shuns cleared
説明 メモリから既存の排除を削除するために clear shun コマンドが入力されました。組織によるシャニング アクティビティの記録が許可されました。
推奨アクション 不要。
401002
エラー メッセージ %ASA-4-401002: Shun added: IP_address IP_address port port
説明 shun コマンドが入力されました。このコマンドの最初の IP アドレスは排除されたホストです。その他のアドレスとポートはオプションであり、有効な場合は接続を終了するのに使用されます。組織によるシャニング アクティビティの記録が許可されました。
推奨アクション 不要。
401003
エラー メッセージ %ASA-4-401003: Shun deleted: IP_address
説明 排除されたホストの 1 つが排除データベースから削除されました。組織によるシャニング アクティビティの記録が許可されました。
推奨アクション 不要。
401004
エラー メッセージ %ASA-4-401004: Shunned packet: IP_address = IP_address on interface interface_name
説明 IP SRC によって定義されたホストは排除データベースのホストであるために、パケットが廃棄されました。排除されたホストは、そこで排除されたインターフェイスにトラフィックを渡すことはできません。たとえば、インターネット上の外部ホストは外部インターフェイス上で排除されます。排除されたホストのアクティビティの記録が提供されました。このメッセージとメッセージ %ASA-4-401005 を使用すると、このホストに関するリスクを詳しく見積もることができます。
推奨アクション 不要。
401005
エラー メッセージ %ASA-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port
説明 ASA のメモリが不足しています。排除が適用できません。
推奨アクション Cisco IPS は、引き続き、この規則を適用しようとします。メモリを再利用して排除を手動で再適用するか、または Cisco IPS によって排除が適用されるのを待機します。
402114
エラー メッセージ %ASA-4-402114: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP to local_IP with an invalid SPI.
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザ名
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
説明 SA データベースに存在しない SPI を指定している IPSec パケットを受信しました。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。また、IPSec ピアによって不正なパケットが送信されたことを示すこともあります。これも攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
推奨アクション ローカル SA が消去されたことを、ピアは認識していないことがあります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に接続を再度確立することがあります。あるいは、問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合わせます。
402115
エラー メッセージ %ASA-4-402115: IPSEC: Received a packet from remote_IP to local_IP containing act_prot data instead of exp_prot data.
説明 期待された ESP ヘッダーのない IPSec パケットを受信しました。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃を示している可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
- >act_prot:受信した IPSec プロトコル
- >exp_prot:期待された IPSec プロトコル
推奨アクション ピアの管理者にお問い合わせください。
402116
エラー メッセージ %ASA-4-402116: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP .The decapsulated inner packet doesn’t match the negotiated policy in the SA.The packet specifies its destination as pkt_daddr , its source as pkt_saddr , and its protocol as pkt_prot .The SA specifies its local proxy as id_daddr /id_dmask /id_dprot /id_dport and its remote proxy as id_saddr /id_smask /id_sprot /id_sport .
説明 カプセル化解除された IPSec パケットがネゴシエートされた ID と一致しません。ピアは、このセキュリティ アソシエーションを通じて他のトラフィックを送信中です。これは、ピアによるセキュリティ アソシエーション選択エラーが原因であるか、攻撃の一部の場合である可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザ名
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
- pkt_daddr>:カプセル化解除されたパケットからの宛先アドレス
- pkt_saddr>:カプセル化解除されたパケットからの送信元アドレス
- pkt_prot>:カプセル化解除されたパケットからのトランスポート プロトコル
- id_daddr>:ローカル プロキシ IP アドレス
- id_dmask>:ローカル プロキシ IP サブネット マスク
- id_dprot>:ローカル プロキシ トランスポート プロトコル
- id_dport>:ローカル プロキシ ポート
- id_saddr>:リモート プロキシ IP アドレス
- id_smask>:リモート プロキシ IP サブネット マスク
- id_sprot>:リモート プロキシ トランスポート プロトコル
- id_sport>:リモート プロキシ ポート
推奨アクション ピアの管理者に問い合わせて、ポリシーの設定を比較します。
402117
エラー メッセージ %ASA-4-402117: IPSEC: Received a non-IPsec (protocol ) packet from remote_IP to local_IP .
説明 受信パケットはクリプト マップ ACL と一致したが、IPSec でカプセル化されていません。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックだけを受信するようにファイアウォールを設定できます。IPSec 暗号化を行わずに Telnet を使用して、ポート 23 上で外部インターフェイスにアクセスしようとすると、このメッセージが表示されますが、ポート 23 以外の外部インターフェイスに対する Telnet またはトラフィックの場合は表示されません。このエラーは、攻撃を示すこともあります。このメッセージは、これらの条件以外では生成されません(たとえば、ASA インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージ 710001、710002、および 710003 を参照してください。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- >protocol:IPSec プロトコル
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
推奨アクション ピアの管理者に問い合わせて、ポリシーの設定を比較します。
402118
エラー メッセージ %ASA-4-402118: IPSEC: Received an protocol packet (SPI=spi , sequence number seq_num ) from remote_IP (username ) to local_IP containing an illegal IP fragment of length frag_len with offset frag_offset .
説明 カプセル化解除された IPSec パケットに、128 バイト以下のオフセットの IP フラグメントが含まれていました。最新バージョンの IP RFC のセキュリティ アーキテクチャでは、リアセンブリ攻撃を防止するために最小 IP フラグメント オフセットを 128 バイトにすることを推奨しています。これは攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザ名
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
- frag_len>:IP フラグメント長
- frag_offset>:IP フラグメント オフセット(バイト)
推奨アクション リモート ピアの管理者に問い合わせて、ポリシーの設定を比較します。
402119
エラー メッセージ %ASA-4-402119: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP that failed anti-replay checking.
説明 無効なシーケンス番号の IPSec パケットを受信しました。ピアは、以前に使用された可能性のあるシーケンス番号が含まれたパケットを送信中です。このメッセージは、受け入れ許容範囲外のシーケンス番号の IPSec パケットを受信したことを示します。このパケットは、可能性ある攻撃の一部として IPSec により廃棄されます。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザ名
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
推奨アクション ピアの管理者にお問い合わせください。
402120
エラー メッセージ %ASA-4-402120: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP that failed authentication.
説明 IPSec パケットを受信したが認証に失敗しました。パケットはドロップされます。パケットは中継中に破損したか、ピアが無効な IPSec パケットを送信している可能性があります。これらのパケットの多くを同じピアから受信した場合、攻撃を示している可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザ名
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
推奨アクション 受信したパケットの認証失敗が多い場合は、リモート ピアの管理者にお問い合わせください。
402121
エラー メッセージ %ASA-4-402121: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from peer_addr (username ) to lcl_addr that was dropped by IPsec (drop_reason ).
説明 カプセル化解除する IPSec パケットを受信したが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、ASA の設定または ASA そのものに問題が存在する可能性があることを示しています。
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- peer_addr>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザ名
- lcl_addr>:トンネルのローカル エンドポイントの IP アドレス
- drop_reason>:パケットがドロップされた原因
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
402122
エラー メッセージ %ASA-4-402122: Received a cleartext packet from src_addr to dest_addr that was to be encapsulated in IPsec that was dropped by IPsec (drop_reason ).
説明 IPSec でカプセル化するパケットを受信しましたが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、ASA の設定または ASA そのものに問題が存在する可能性があることを示しています。
- src_addr >:送信元 IP アドレス
- dest_addr >:宛先 IP アドレス
- drop_reason>:パケットがドロップされた原因
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
402123
エラー メッセージ %ASA-4-402123: CRYPTO: The accel_type hardware accelerator encountered an error (code=error_string ) while executing crypto command command .
説明 ハードウェア アクセラレータを使用した crypto コマンドの実行中にエラーが検出されました。アクセラレータの問題を示している可能性があります。このタイプのエラーは、さまざまな理由で発生します。このメッセージは、原因の判定に役立つように暗号アクセラレータ カウンタを補足します。
- accel_type:ハードウェア アクセラレータのタイプ
- >error_string:エラーのタイプを示すコード
- command:エラーを生成した暗号コマンド
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
402124
エラー メッセージ %ASA-4-402124: CRYPTO: The ASA hardware accelerator encountered an error (Hardware error address, Core, Hardware error code,
IstatReg, PciErrReg, CoreErrStat, CoreErrAddr, Doorbell Size, DoorBell Outstanding, SWReset).
説明 暗号ハードウェア チップが重大エラーを報告しました。チップが動作不能であることを示します。このメッセージからの情報は、詳細を取り込み、問題をさらに分析できるようにします。この状態が検出されると、暗号チップがリセットされ、円滑にASA の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。このメッセージには、暗号ハードウェアに関連する次のようなさまざまなパラメータが含まれています。
- HWErrAddr>:ハードウェア アドレス(暗号チップによって設定)
- Core>:エラーが発生している暗号コア
- HwErrCode>:ハードウェア エラー コード(暗号チップによって設定)
- IstatReg>:割り込みステータス レジスタ(暗号チップによって設定)
- PciErrReg>:PCI エラー レジスタ(暗号チップによって設定)
- CoreErrStat>:コア エラー ステータス(暗号チップによって設定)
- CoreErrAddr>:コア エラー アドレス(暗号チップによって設定)
- Doorbell Size>:許可される暗号コマンドの最大数
- DoorBell Outstanding>:処理待ちの暗号コマンド数
- SWReset>:ブート後の暗号チップ リセット回数
(注) |
%ASA-vpn-4-402124: CRYPTO: The ASA hardware accelerator encountered an error(HWErrAddr= 0x40EE9800、Core= 0、HwErrCode= 23、IstatReg= 0x8、PciErrReg= 0x0、CoreErrStat= 0x41、CoreErrAddr= 0x844E9800、Doorbell Size[0]= 2048、DoorBell Outstanding[0]= 0、Doorbell Size[1]= 0、DoorBell Outstanding[1]= 0、SWReset= 99)のエラー メッセージは AnyConnect の問題であり、回避策として AnyConnect 3.1.x にアップグレードするように示しています。 |
推奨アクション メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。
402125
エラー メッセージ %ASA-4-402125: The ASA hardware accelerator ring timed out (parameters ).
説明 IPSEC の記述子リングまたは SSL/Admin の記述子リングが進行していないことを暗号ドライバが検出しました。つまり、暗号チップが機能していないと思われます。この状態が検出されると、暗号チップがリセットされ、円滑にASA の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。
- >ring:IPSEC リングまたは Admin リング
- parameters >:次のとおり
- Desc>:記述子アドレス
- CtrlStat>:制御/ステータス値
- ResultP>:成功ポインタ
- ResultVal>:成功値
- Cmd>:暗号コマンド
- CmdSize>:コマンド サイズ
- Param>:コマンド パラメータ
- Dlen>:データ長
- DataP>:データ ポインタ
- CtxtP>:VPN コンテキスト ポインタ
- SWReset>:ブート後の暗号チップ リセット回数
推奨アクション メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。
402126
エラー メッセージ%ASA-4-402126: CRYPTO: The ASA created Crypto Archive File Archive Filename as a Soft Reset was necessary.Please forward this archived information to Cisco.
説明 ハードウェア暗号チップで機能上の問題が検出されました(syslog メッセージ 402124 および 402125 を参照)。暗号の問題をさらにデバッグするために、現在の暗号ハードウェア環境(ハードウェア レジスタおよび暗号記述エントリ)を含む暗号アーカイブ ファイルが生成されます。ブート時に、フラッシュ ファイル システム上に crypto_archive ディレクトリが自動的に作成されました(事前に存在していなかった場合)。このディレクトリには、最大 2 つの暗号アーカイブ ファイルが存在できます。
- >Archive Filename:暗号アーカイブ ファイルの名前。暗号アーカイブ ファイルの名前は crypto_arch_x.bin という形式です。ここで、x は 1 または 2 です。
推奨アクション 暗号アーカイブ ファイルを Cisco TAC に転送し、さらなる分析を依頼してください。
402127
エラー メッセージ %ASA-4-402127: CRYPTO: The ASA is skipping the writing of latest Crypto Archive File as the maximum # of files, max_number, allowed have been written to archive_directory .Please archive & remove files from Archive Directory if you want more Crypto Archive Files saved.
説明 ハードウェア暗号チップで機能上の問題が検出されました(メッセージ 4402124 および 4402125 を参照)。このメッセージは、最大数の暗号アーカイブ ファイルがすでに存在していたため、暗号アーカイブ ファイルが書き込まれなかったことを示しています。
- max_number >:アーカイブ ディレクトリで許可されているファイルの最大数(現在は 2 に設定されています)
- >archive_directory:アーカイブ ディレクトリの名前
推奨アクション 以前に生成された暗号アーカイブ ファイルを Cisco TAC に転送します。以前に生成されたアーカイブ ファイルを削除して、別のアーカイブ ファイルを書き込むことができるようにします(必要であると思われる場合)。
402128
エラー メッセージ %ASA-5-402128: CRYPTO: An attempt to allocate a large memory block failed, size: size , limit: limit
説明 SSL 接続で許容量を超えるメモリの使用が試みられています。要求が拒否されました。
- size:割り当てられているメモリ ブロックのサイズ
- limit:許容割り当てメモリの最大サイズ
推奨アクション このメッセージが引き続き表示される場合は、SSL サービス拒絶攻撃が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。
402129
エラー メッセージ %ASA-6-402129: CRYPTO: An attempt to release a DMA memory block failed, location: address
説明 内部ソフトウェア エラーが発生しました。
- address:解放されようとしたアドレス
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402130
エラー メッセージ %ASA-6-402130: CRYPTO: Received an ESP packet (SPI = 0x54A5C634, sequence number=0x7B) from 75.2.96.101 (user=user) to 85.2.96.10
with incorrect IPsec padding.
説明 ASA の暗号ハードウェア アクセラレータで無効な埋め込みデータを含む IPSec パケットが検出されました。ATT VPN クライアントでは、IPSec パケットの埋め込みが不適切に行われる場合があります。
- SPI:パケットに関連付けられている SPI
- sequence number:パケットに関連付けられているシーケンス番号
- user:ユーザ名文字列
- padding:パケットからの埋め込みデータ
推奨アクション このメッセージが不要であり、ASA の問題が示されていない場合、ATT VPN クライアントを使用しているお客様は VPN クライアント ソフトウェアのアップグレードが必要になることがあります。
402131
エラー メッセージ %ASA-4-402131: CRYPTO: status changing the accel_instance hardware accelerator's configuration bias from old_config_bias to new_config_bias .
説明 ハードウェア アクセラレータ設定が ASA で変更されました。一部の ASAプラットフォームには、複数のハードウェア アクセラレータがあります。ハードウェア アクセラレータの変更ごとに 1 件の syslog メッセージが生成されます。
- status:success または failure を示します
- accel_instance:ハードウェア アクセラレータのインスタンス
- old_config_bias:古い設定
- new_config_bias:新しい設定
推奨アクション アクセラレータのいずれかが設定を変更しようとして失敗した場合、ロギング情報を収集し、Cisco TAC に連絡してください。障害が発生した場合、ソフトウェアは、設定変更を複数回再試行します。再試行が失敗した場合、ソフトウェアは元の構成バイアスにフォールバックします。ハードウェア アクセラレータの再設定に複数回失敗する場合、ハードウェアの障害を示している可能性があります。
402140
エラー メッセージ %ASA-3-402140: CRYPTO: RSA key generation error: modulus len len
説明 RSA 公開キー ペアの生成時にエラーが発生しました。
- len:ビット単位で示したプライム モジュラスの長さ
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402141
エラー メッセージ %ASA-3-402141: CRYPTO: Key zeroization error: key set type , reason reason
説明 RSA 公開キー ペアの生成時にエラーが発生しました。
- type:次のいずれかのキー セット タイプ。DH、RSA、DSA、unknown
- reason:予期しない暗号化セッション タイプ
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402142
エラー メッセージ %ASA-3-402142: CRYPTO: Bulk data op error: algorithm alg , mode mode
説明 対称キー操作中にエラーが発生しました。
- op:暗号化または暗号化解除のいずれかの操作
- alg:次のいずれかの暗号化アルゴリズム。DES、3DES、AES、RC4
- mode:次のいずれかのモード。CBC、CTR、CFB、ECB、stateful-RC4、stateless-RC4
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402143
エラー メッセージ %ASA-3-402143: CRYPTO: alg type key op
説明 非対称キー操作中にエラーが発生しました。
- alg:RSA または DSA のいずれかの暗号化アルゴリズム
- type:public または private のいずれかのキー タイプ
- op:暗号化または暗号化解除のいずれかの操作
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402144
エラー メッセージ %ASA-3-402144: CRYPTO: Digital signature error: signature algorithm sig , hash algorithm hash
説明 デジタル署名の生成中にエラーが発生しました。
- sig:RSA または DSA のいずれかの署名アルゴリズム
- hash:ハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512 のいずれかです。
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402145
エラー メッセージ %ASA-3-402145: CRYPTO: Hash generation error: algorithm hash
説明 ハッシュ生成エラーが発生しました。
- hash:ハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512 のいずれかです。
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402146
エラー メッセージ %ASA-3-402146: CRYPTO: Keyed hash generation error: algorithm hash , key len len
説明 キー付きハッシュ生成エラーが発生しました。
- hash:ハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512 のいずれかです。
- len:ビット単位のキーの長さ
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402147
エラー メッセージ %ASA-3-402147: CRYPTO: HMAC generation error: algorithm alg
説明 HMAC 生成エラーが発生しました。
- alg:次のいずれかの HMAC アルゴリズム。HMAC-MD5、HMAC-SHA1、HMAC-SHA2、AES-XCBC
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402148
エラー メッセージ %ASA-3-402148: CRYPTO: Random Number Generator error
説明 乱数ジェネレータ エラーが発生しました。
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402149
エラー メッセージ %ASA-3-402149: CRYPTO: weak encryption type (length ).操作は許可されませんでした。FIPS 140-2 非準拠
説明 ASA は 2048 ビット未満の RSA キー、または DH グループ 1、2、5 を使おうとしました。
- encryption type:暗号化のタイプ
- length:RSA キーの長さ、または DH グループの番号
推奨アクション 2048 ビット以上の RSA キーを使うように、または 1、2、5 以外の DH グループを設定するように ASA または外部アプリケーションを設定します。
402150
エラー メッセージ%ASA-3-402150: CRYPTO: Deprecated hash algorithm used for RSA operation (hash alg ).操作は許可されませんでした。FIPS 140-2 非準拠
説明 デジタル証明書の署名、または FIPS 140-2 認証の検証に、受け入れられないハッシュ アルゴリズムが使われました。
- operation:署名または検証
- hash alg:受け入れられないハッシュ アルゴリズムの名前
推奨アクション 少なくともデジタル証明書の署名または FIPS 140-2 認証の検証には受け入れられるハッシュ アルゴリズムを使っていることを確認します。これらには、SHA-256、SHA-384、SHA-512 があります。
403101
エラー メッセージ %ASA-4-403101: PPTP session state not established, but received an XGRE packet, tunnel_id=number , session_id=number
説明 ASA が、対応する制御接続セッションのない PPTP XGRE パケットを受信しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
403102
エラー メッセージ %ASA-4-403102: PPP virtual interface interface_name rcvd pkt with invalid protocol: protocol , reason: reason .
説明 プロトコル フィールドが無効な XGRE カプセル化 PPP パケットをモジュールが受信しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
403103
エラー メッセージ %ASA-4-403103: PPP virtual interface max connections reached.
説明 モジュールは、追加の PPTP 接続を受け入れることはできません。接続は有効になるとすぐに割り当てられます。
推奨アクション 不要。
403104
エラー メッセージ %ASA-4-403104: PPP virtual interface interface_name requires mschap for MPPE.
説明 MPPE は設定されていましたが、MS-CHAP 認証が設定されていませんでした。
推奨アクション vpdn group group_name ppp authentication コマンドを使って、MS-CHAP 認証を追加します。
403106
エラー メッセージ %ASA-4-403106: PPP virtual interface interface_name requires RADIUS for MPPE.
説明 MPPE は設定されていましたが、RADIUS 認証が設定されていませんでした。
推奨アクション vpdn group group_name ppp authentication コマンドを使って、RADIUS 認証を追加します。
403107
エラー メッセージ %ASA-4-403107: PPP virtual interface interface_name missing aaa server group info
説明 AAA サーバ設定情報を検出できません。
推奨アクション vpdn group group_name client authentication aaa aaa_server_group コマンドを使って、AAA サーバ情報を追加します。
403108
エラー メッセージ %ASA-4-403108: PPP virtual interface interface_name missing client ip address option
説明 クライアント IP アドレス プール情報が不足しています。
推奨アクション vpdn group group_name client configuration address local address_pool_name コマンドを使い、IP アドレス プール情報を追加します。
403109
エラー メッセージ%ASA-4-403109: Rec'd packet not an PPTP packet.(ip ) dest_address=dest_address, src_addr= source_address, data: string.
説明 モジュールは敵対イベントを示す可能性があるスプーフィングされた PPTP パケットを受信しました。
推奨アクション ピアの管理者に問い合わせて、PPTP コンフィギュレーション設定を確認します。
403110
エラー メッセージ %ASA-4-403110: PPP virtual interface interface_name , user: user missing MPPE key from aaa server.
説明 AAA サーバは、MPPE 暗号化ポリシーのセットアップに必要な MPPE キー属性を返しませんでした。
推奨アクション AAA サーバ設定を確認しますAAA サーバが MPPE キー属性を返せない場合は、代わりに vpdn group group_name client authentication local コマンドを入力してローカル認証を使用します。
403500
エラー メッセージ %ASA-6-403500: PPPoE - Service name 'any' not received in PADO.Intf:interface_name AC:ac_name .
説明 ASA が、インターネット サービス プロバイダーのアクセス コントローラに PPPoE サービス any を要求しました。サービス プロバイダーからの応答には他のサービスが含まれていますが、サービス any は含まれていません。これは、プロトコルの実装の不一致です。PADO パケットは正常に処理されて、接続ネゴシエーションが続行されます。
推奨アクション 不要。
403501
エラー メッセージ%ASA-3-403501: PPPoE - Bad host-unique in PADO - packet dropped.Intf:interface_name AC:ac_name
説明 ASA はホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。ASA はこの応答に対応する接続要求を識別できませんでした。パケットは廃棄され、接続ネゴシエーションは切断されました。
推奨アクション インターネット サービス プロバイダーにお問い合わせください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。
403502
エラー メッセージ %ASA-3-403502: PPPoE - Bad host-unique in PADS - dropping packet.Intf:interface_name AC:ac_name
説明 ASA はホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。ASA はこの応答に対応する接続要求を識別できませんでした。パケットは廃棄され、接続ネゴシエーションは切断されました。
推奨アクション インターネット サービス プロバイダーにお問い合わせください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。
403503
エラー メッセージ %ASA-3-403503: PPPoE:PPP link down:reason
説明 PPP リンクがダウンしました。これが発生する原因は数多くあります。最初の形式に表示される理由は、PPP からの理由の場合です。
推奨アクション ネットワーク リンクを調べて、リンクが接続されていることを確認します。アクセス コンセントレータがダウンしていることがあります。認証プロトコルがアクセス コンセントレータと一致し、名前とパスワードが正しいことを確認します。ISP またはネットワーク サポート担当者にこの情報を確認します。
403504
エラー メッセージ %ASA-3-403504: PPPoE:No 'vpdn group group_name ' for PPPoE is created
説明 PPPoE では、PPPoE セッションを開始する前に、ダイヤルアウト コンフィギュレーションが必要です。一般的にコンフィギュレーションでは、ダイヤル ポリシー、PPP 認証、ユーザ名、およびパスワードを指定する必要があります。次の例では、ASAを PPPoE ダイヤルアウト用に設定します。my-username コマンドおよび my-password コマンドは、必要であれば PAP を使用して、アクセス コンセントレータの認証に使用されます。
次に例を示します。
ciscoasa# vpdn group my-pppoe request dialout pppoe
ciscoasa# vpdn group my-pppoe ppp authentication pap
ciscoasa# vpdn group my-pppoe localname my-username
ciscoasa# vpdn username my-username password my-password
ciscoasa# ip address outside pppoe setroute
推奨アクション PPPoE 用の VPDN グループを設定します。
403505
エラー メッセージ %ASA-4-403505: PPPoE:PPP - Unable to set default route to IP_address at interface_name
説明 通常、このメッセージには「default route already exists」というメッセージが続きます。
推奨アクション 現行のデフォルト ルートを削除するか、または setroute パラメータを削除して、PPPoE と手動で設定したルートが競合しないようにします。
403506
エラー メッセージ %ASA-4-403506: PPPoE:failed to assign PPP IP_address netmask netmask at interface_name
説明 このメッセージには、「subnet is the same as interface」または「on failover channel」というメッセージのいずれかが続きます。
推奨アクション 最初の場合は、競合の原因となったアドレスを変更します。2 番目の場合は、フェールオーバー インターフェイス以外のインターフェイスに PPPoE を設定します。
403507
エラー メッセージ %ASA-3-403507: PPPoE:PPPoE client on interface interface failed to locate PPPoE vpdn group group_name
説明 pppoe client vpdn group group_name コマンドを入力して、インターフェイス上の PPPoE クライアントが特定の VPDN グループを使用するように設定できます。システムの起動時に、設定した名前の PPPoE VPDN グループが見つからなかった場合、このメッセージが生成されます。
- interface:どのインターフェイス上の PPPoE クライアントに障害が発生したか
- group_name:インターフェイス上の PPPoe クライアントの VPDN グループ名
推奨アクション:次のステップを実行します。
- vpdn group group_name コマンドを入力して、必要な VPDN グループを追加します。グローバル コンフィギュレーション モードでダイヤルアウト PPPoE を要求し、すべてのグループ プロパティを追加します。
- 指摘されたインターフェイスから pppoe client vpdn group group_name コマンドを削除します。この場合、PPPoE クライアントは、定義済みの最初の PPPoE VPDN グループを使用しようとします。
(注) |
すべての変更内容は、ip address pppoe コマンドを入力してインターフェイス上の PPPoE クライアントを再起動した後に限り有効になります。 |
405001
エラー メッセージ %ASA-4-405001: Received ARP {request | response} collision from IP_address /MAC_address on interface interface_name with existing ARP entry IP_address /MAC_address
説明 ASA が ARP パケットを受信しましたが、パケットの MAC アドレスが ARP キャッシュ エントリと異なっています。
推奨アクション このトラフィックは、正当である場合もあれば、ARP ポイズニング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。
405002
エラー メッセージ %ASA-4-405002: Received mac mismatch collision from IP_address /MAC_address for authenticated host
説明 このパケットは、次のどちらかの条件の場合に表示されます。
- ASAは IP アドレスが同じだが、MAC アドレスがその uauth エントリの 1 つとは異なるパケットを受信しました。
- ASA に vpnclient mac-exempt コマンドを設定しました。除外 MAC アドレスを持つが、対応する uauth エントリとは異なる IP アドレスを持つパケットが ASA によって受信されました。
推奨アクション このトラフィックは、正当である場合もあれば、スプーフィング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスと IP アドレスを確認してパケットの送信元と、そのパケットが有効なホストに属しているかどうかを調べます。
405003
エラー メッセージ %ASA-4-405003: IP address collision detected between host IP_address at MAC_address and interface interface_name , MAC_address .
説明 ネットワーク内のクライアントの IP アドレスが ASA のインターフェイス IP アドレスと同じです。
推奨アクション クライアントの IP アドレスを変更します。
405101
エラー メッセージ %ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/outside_port ] to local_address inside_address [/inside_port ]
説明 モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
推奨アクション このメッセージが定期的に表示される場合は、無視できます。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。
405102
エラー メッセージ %ASA-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address [/outside_port ] to local_address inside_address [/inside_port ]
説明 ASA が、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
推奨アクション グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。また、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが定期的に表示される場合は、無視できます。問題が解決しない場合、Cisco TAC にお問い合わせください。
405103
エラー メッセージ %ASA-4-405103: H225 message from source_address/source_port to dest_address /dest_port contains bad protocol discriminator hex
説明 ASA はプロトコル識別子 0x08 を予測していますが、0x08 以外の識別子を受信しました。エンドポイントから不良パケットが送信されているか、または最初のセグメント以外のメッセージ セグメントを受信した可能性があります。パケットの通過は許可されます。
推奨アクション 不要。
405104
エラー メッセージ %ASA-4-405104: H225 message received from outside_address /outside_port to inside_address /inside_port before SETUP
説明 初期 SETUP メッセージの前に H.225 メッセージを正しくない順序で受信しました。これは許可されません。ASA は、その H.225 コール シグナリング チャネルに関する初期 SETUP メッセージを受信してから、他のすべての H.225 メッセージを受信する必要があります。
推奨アクション 不要。
405105
エラー メッセージ %ASA-4-405105: H323 RAS message AdmissionConfirm received from source_address /source_port to dest_address /dest_port without an AdmissionRequest
説明 ゲートキーパーから ACF が送信されましたが、ASA はゲートキーパーに ARQ を送信していません。
推奨アクション source_address で指摘されたゲートキーパーを確認し、ASA から ARQ を受信していないのに ACF が送信された理由を判定します。
405106
エラー メッセージ %ASA-4-405106: H323 num channel is not created from %I/%d to %I/%d %s
説明 ASA が H.323 メディアタイプ チャネルに関して一致条件を作成しようとしました。詳細については、match media-type コマンドを参照してください。
推奨アクション 不要。
405107
エラー メッセージ %ASA-4-405107: H245 Tunnel is detected and connection dropped from %I/%d to %I/%d %s
説明 コール セットアップ中に試行された H.245 トンネル制御のために、H.323 接続が廃棄されました。詳細については、h245-tunnel-block コマンドを参照してください。
推奨アクション 不要。
405201
エラー メッセージ %ASA-4-405201: ILS ILS_message_type from inside_interface:source_IP_address to outside_interface:/destination_IP_address has wrong embedded address embedded_IP_address
説明 ILS パケット ペイロードに埋め込まれたアドレスが、IP パケット ヘッダーの送信元 IP アドレスと異なっていました。
推奨アクション source_IP_address で指摘されたホストを確認して、誤った埋め込み IP アドレスで ILS パケットが送信された理由を判定します。
405300
エラー メッセージ %ASA-4-405300: Radius Accounting Request received from from_addr is not allowed
説明 ポリシー マップに設定されていないホストからのアカウンティング要求を受け取りました。このメッセージがログに記録され、処理が停止します。
- from_addr:要求を送信しているホストの IP アドレス
推奨アクション ホストが RADIUS アカウンティング メッセージを ASA に送信するように設定されている場合は、サービス ポリシーに適用された正しいポリシー マップにホストが設定されていることを確認します。ホストが RADIUS アカウンティング メッセージを ASA に送信するように設定されていない場合は、メッセージが送信されている原因を確認します。メッセージが正当でない場合は、適切な ACL を作成してパケットを廃棄します。
405301
エラー メッセージ %ASA-4-405301: Attribute attribute_number does not match for user user_ip
説明 validate-attribute コマンドが入力された場合に、受信したアカウンティング要求開始に格納されている属性値が、エントリ(存在する場合)に格納されている属性値と一致しません。
- attribute_number:RADIUS アカウンティングで検証される RADIUS 属性。値の範囲は 1 ~ 191 です。ベンダー固有の属性はサポートされていません。
- user_ip:ユーザの IP アドレス(Framed IP 属性)。
推奨アクション 不要。
406001
エラー メッセージ %ASA-4-406001: FTP port command low port: IP_address /port to IP_address on interface interface_name
説明 クライアントが FTP ポート コマンドを入力して、1024(通常はサーバ ポート専用の周知のポート範囲にある)より小さなポート番号を指定しました。これは、サイト セキュリティ ポリシーを回避しようとしていることを示します。ASAは、パケットの廃棄、接続の終了、およびイベントの記録を行います。
推奨アクション 不要。
406002
エラー メッセージ %ASA-4-406002: FTP port command different address: IP_address(IP_address ) to IP_address on interface interface_name
説明 クライアントが FTP ポート コマンドを実行して、接続に使用されているアドレス以外のアドレスを指定しました。サイト セキュリティ ポリシーを回避しようとする試みが発生しました。たとえば、攻撃者が途中でパケットを変更し、正しいソース情報の代わりに別のソース情報を設定して FTP セッションをハイジャックしようとしている場合があります。ASAは、パケットの廃棄、接続の終了、およびイベントの記録を行います。カッコ内のアドレスは、ポート コマンドからのアドレスです。
推奨アクション 不要。
407001
エラー メッセージ %ASA-4-407001: Deny traffic for local-host interface_name :inside_address , license limit of number exceeded
説明 ホスト制限を超えました。次のどちらかの条件に当てはまる場合、内部ホストは制限にカウントされます。
- 内部ホストは、この 5 分以内に、ASA経由でトラフィックを転送しました。
- 内部ホストは、ASA で、xlate 接続またはユーザ認証を予約しました。
推奨アクション ホスト制限はローエンド プラットフォームに適用されます。ホスト制限を表示するには、show version コマンドを使用します。ASA でのセッションを持つ現在のアクティブ ホストと内部ユーザを表示するには、show local-host コマンドを使用します。1 つまたは複数のユーザを強制的に切断するには、clear local-host コマンドを使用します。内部ユーザを制限になる前に期限切れにするには、xlate、接続、および uauth タイムアウトを以下の表に示す推奨値以下に設定します。
タイムアウト |
推奨値 |
---|---|
xlate |
00:05:00(5 分) |
conn |
00:01:00(1 時間) |
uauth |
00:05:00(5 分) |
407002
エラー メッセージ %ASA-4-407002: Embryonic limit nconns /elimit for through connections exceeded.outside_address /outside_port to global_address (inside_address )/inside_port on interface interface_name
説明 指摘されたグローバル アドレスを経由して、指摘された外部アドレスから指摘されたローカル アドレスに接続された数が、そのスタティックの最大初期制限を超えました。ASA は、接続にメモリが割り当て可能な場合は、その接続を受け入れようとします。ローカル ホストに代わってプロキシ ホストとなり、SYN_ACK パケットを外部ホストに送信します。ASAは、該当する状態情報を保持し、パケットを廃棄して、クライアントからの ACK を待ちます。このメッセージは、正当なトラフィックを示す場合もあれば、DoS 攻撃が進行中であることを示す場合もあります。
推奨アクション 送信元アドレスを調べてパケットの送信元を判別し、それを有効なホストが送信しているかどうかを確認します。
407003
エラー メッセージ %ASA-4-407003: Established limit for RPC services exceeded number
説明 ASA は、最大ホール数に達した後、すでに設定されている RPC サーバ ペアまたは RPC サービス ペアに対して、新規のホールをオープンしようとしました。
推奨アクション 他のホールがクローズされるのを待機するか(関連タイムアウト有効期限を使用)、またはサーバまたはサービスのアクティブ ペア数を制限します。
408001
エラー メッセージ %ASA-4-408001: IP route counter negative - reason , IP_address Attempt: number
説明 IP ルート カウンタを負の値に減少しようとしましたが失敗しました。
推奨アクション clear ip route コマンドを入力して、ルート カウンタをリセットします。問題が解決しない場合、Cisco TAC にお問い合わせください。
408002
エラー メッセージ %ASA-4-408002: ospf process id route type update address1 netmask1 [distance1/metric1 ] via source IP :interface1 address2 netmask2 [distance2 /metric2 ] interface2
説明 既存のルートよりも適切なメトリックを持つ同じ距離の別のインターフェイスからネットワーク アップデートを受信しました。新規のルートによって、別のインターフェイスを使用してインストールされた既存のルートが上書きされます。新規のルートは冗長目的に限り使用され、ネットワーク内でパスが移動されたことを意味します。この変更は、トポロジと再配布を使用して制御する必要があります。この変更の影響を受ける既存の接続は、ディセーブルにされる可能性があり、タイムアウトになります。このパスの移動は、パス冗長をサポートするようにネットワーク トポロジが特に設計されている場合(このケースが予測されます)に限り発生します。
推奨アクション 不要。
408003
エラー メッセージ %ASA-4-408003: can't track this type of object hex
説明 トラッキング システムのコンポーネントが、サポートしていないオブジェクト タイプを検出しました。STATE オブジェクトが予期されていました。
- hex:メモリ内の変数値またはアドレスを示す 16 進値
推奨アクション トラック オブジェクトを再設定して、STATE オブジェクトにします。
409001
エラー メッセージ %ASA-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls
説明 ソフトウェアによって、予想外の状態が検出されました。ルータによって修正処置が行われ、続行されます。
推奨アクション 不要。
409002
エラー メッセージ %ASA-4-409002: db_free: external LSA IP_address netmask
説明 内部ソフトウェア エラーが発生しました。
推奨アクション 不要。
409003
エラー メッセージ %ASA-4-409003: Received invalid packet: reason from IP_address , interface_name
説明 無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、送信側の誤った OSPF コンフィギュレーションか内部エラーの可能性があります。
推奨アクション 受信側と送信側の OSPF 設定に不整合がないかどうかを確認してください。
409004
エラー メッセージ %ASA-4-409004: Received reason from unknown neighbor IP_address
説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できません。
推奨アクション 不要。
409005
エラー メッセージ %ASA-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name
説明 ASA は、正常なヘッダー サイズよりも短いフィールド長の OSPF パケット、または到着した IP パケットのサイズと一致しない OSPF パケットを受信しました。これは、パケットの送信側のコンフィギュレーション エラーを示しています。
推奨アクション 隣接アドレスから問題のルータを特定しリブートします。
409006
エラー メッセージ %ASA-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name
説明 ルータは、無効な LSA タイプの LSA を受信しました。原因は、ルータ上のメモリの破損または予想外の動作のどちらかです。
推奨アクション 隣接アドレスから問題のルータを特定しリブートします。問題が解決しない場合、Cisco TAC にお問い合わせください。
409007
エラー メッセージ %ASA-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask
説明 内部ソフトウェア エラーが発生しました。
推奨アクション 表示されているとおりにメッセージをコピーして、Cisco TAC に報告してください。
409008
エラー メッセージ %ASA-4-409008: Found generating default LSA with non-zero mask LSA type: number Mask: netmask metric: number area: string
説明 ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーが発生したためにメトリックが間違っている可能性があります。
推奨アクション 表示されているとおりにメッセージをコピーして、Cisco TAC に報告してください。
409009
エラー メッセージ%ASA-4-409009: OSPF process number cannot start.There must be at least one up IP interface, for OSPF to use as router ID
説明 OSPF は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして失敗しました。
推奨アクション IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、各プロセスは一意のルータ ID を必要とします。十分な数のインターフェイスを動作させて、各プロセスがルータ ID を取得できるようにする必要があります。
409010
エラー メッセージ %ASA-4-409010: Virtual link information found in non-backbone area: string
説明 内部エラーが発生しました。
推奨アクション 表示されているとおりにメッセージをコピーして、Cisco TAC に報告してください。
409011
エラー メッセージ %ASA-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name
説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
推奨アクション OSPF ルータ ID を固有のものにしてください。隣接ルータのルータ ID を変更します。
409012
エラー メッセージ %ASA-4-409012: Detected router with duplicate router ID IP_address in area string
説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
推奨アクション OSPF ルータ ID を固有のものにしてください。隣接ルータのルータ ID を変更します。
409013
エラー メッセージ %ASA-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address
説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
推奨アクション OSPF ルータ ID を一意にしてください。隣接ルータのルータ ID を変更します。
409023
エラー メッセージ %ASA-4-409023: Attempting AAA Fallback method method_name for request_type request for user user :Auth-server group server_tag unreachable
説明 外部サーバに対する認証または認可の試行が失敗し、ローカル ユーザ データベースを使用して実行されます。
- aaa_operation:認証または許可
- username:接続に関連付けられているユーザ
- server_group:サーバが到達不能であった AAA サーバの名前
推奨アクション 最初の方法で設定された AAA サーバの接続性の問題を調査します。ASAから認証サーバに対して ping を実行します。AAA サーバでデーモンが動作中であることを確認します。
409101
エラー メッセージ %ASA-4-409101: Received invalid packet: s from P , s
説明 無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、OSPF の設定間違い、または送信側の内部エラーです。
推奨アクション 受信側と送信側の OSPF 設定に不整合がないかどうかを確認してください。
409102
エラー メッセージ %ASA-4-409102: Received packet with incorrect area from P , s , area AREA_ID_STR , packet area AREA_ID_STR
説明 OSPF パケットを受け取りましたが、ヘッダーに含まれているエリア ID がこのインターフェイスの領域に一致していません。
推奨アクション 受信側と送信側の OSPF 設定に不整合がないかどうかを確認してください。
409103
エラー メッセージ %ASA-4-409103: Received s from unknown neighbor i
説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できませんでした。
推奨アクション 不要。
409104
エラー メッセージ %ASA-4-409104: Invalid length d in OSPF packet type d from P (ID i ), s
説明 OSPF パケットを受信しましたが、長さフィールドが通常のヘッダー サイズよりも短かったか、または受信時の IP パケットのサイズと整合性がありませんでした。パケットの送信側でエラーが発生しました。
推奨アクション 不要。
409105
エラー メッセージ %ASA-4-409105: Invalid lsa: s : Type 0x x , Length 0x x , LSID u from i
説明 ルータで LSA を受信しましたが、データが無効です。この LSA には、無効な LSA タイプ、不正なチェックサム、または誤った長さが含まれています。これはメモリの破損またはルータでの予期しない動作によるものです。
推奨アクション 隣接アドレスから、問題のルータを特定し以下を実行します。
- show running-config コマンドを入力して、ルータの実行コンフィギュレーションを収集します。
- show ipv6 ospf database コマンドを入力し、エラーの内容を特定できるデータを収集します。
- show ipv6 ospf database link-state-id コマンドを入力します。link-state-id 引数には無効な LSA の IP アドレスを指定します。
- show logging コマンドを実行し、エラーの特定に役立つ情報を収集します。
- ルータをリブートします。
収集された情報からエラーの特定ができない場合は、Cisco TAC に連絡して、収集した情報を提出してください。
409106
エラー メッセージ %ASA-4-409106: Found generating default LSA with non-zero mask LSA type: 0x x Mask: i metric: lu area: AREA_ID_STR
説明 ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーのためにメトリックが間違っている可能性があります。
推奨アクション 不要。
409107
エラー メッセージ %ASA-4-409107: OSPFv3 process d could not pick a router-id, please configure manually
説明 OSPFv3 は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして失敗しました。
推奨アクション IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、各プロセスは一意のルータ ID を必要とします。十分な数量のインターフェイスを稼働状態にして、それぞれがルータ ID を得られるようにします。
409108
エラー メッセージ %ASA-4-409108: Virtual link information found in non-backbone area: AREA_ID_STR
説明 内部エラーが発生しました。
推奨アクション 不要。
409109
エラー メッセージ %ASA-4-409109: OSPF detected duplicate router-id i from P on interface IF_NAME
説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。OSPF ルータ ID は一意である必要があります。
推奨アクション ネイバー ルータ ID を変更します。
409110
エラー メッセージ %ASA-4-409110: Detected router with duplicate router ID i in area AREA_ID_STR
説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。OSPF ルータ ID は一意である必要があります。
推奨アクション ネイバー ルータ ID を変更します。
409111
エラー メッセージ %ASA-4-409111: Multiple interfaces (IF_NAME /IF_NAME ) on a single link detected.
説明 同じリンク上の複数のインターフェイスで OSPFv3 をイネーブルにすることはサポートされていません。
推奨アクション OSPFv3 は、1 つを除くすべてのインターフェイスでディセーブルにするか、パッシブにする必要があります。
409112
エラー メッセージ %ASA-4-409112: Packet not written to the output queue
説明 内部エラーが発生しました。
推奨アクション 不要。
409113
エラー メッセージ %ASA-4-409113: Doubly linked list linkage is NULL
説明 内部エラーが発生しました。
推奨アクション 不要。
409114
エラー メッセージ %ASA-4-409114: Doubly linked list prev linkage is NULL x
説明 内部エラーが発生しました。
推奨アクション 不要。
409115
エラー メッセージ %ASA-4-409115: Unrecognized timer d in OSPF s
説明 内部エラーが発生しました。
推奨アクション 不要。
409116
エラー メッセージ %ASA-4-409116: Error for timer d in OSPF process s
説明 内部エラーが発生しました。
推奨アクション 不要。
409117
エラー メッセージ %ASA-4-409117: Can't find LSA database type x , area AREA_ID_STR , interface x
説明 内部エラーが発生しました。
推奨アクション 不要。
409118
エラー メッセージ %ASA-4-409118: Could not allocate DBD packet
説明 内部エラーが発生しました。
推奨アクション 不要。
409119
エラー メッセージ %ASA-4-409119: Invalid build flag x for LSA i , type 0x x
説明 内部エラーが発生しました。
推奨アクション 不要。
409120
エラー メッセージ %ASA-4-409120: Router-ID i is in use by ospf process d
説明 ASA が別のプロセスで使用中のルータ ID を割り当てようとしました。
推奨アクション 1 つのプロセスに対して別のルータ ID を設定します。
409121
エラー メッセージ %ASA-4-409121: Router is currently an ASBR while having only one area which is a stub area
説明 ASBR は AS External または NSSA LSA を伝送できる領域に接続する必要があります。
推奨アクション ルータの接続先となる領域を NSSA または通常の領域にします。
409122
エラー メッセージ%ASA-4-409122: Could not select a global IPv6 address.Virtual links require at least one global IPv6 address.
説明 仮想リンクが設定されました。仮想リンクが機能するためには、グローバル IPv6 アドレスが使用可能である必要があります。しかし、グローバル IPv6 アドレスがルータ上に見つかりませんでした。
推奨アクション このルータのインターフェイス上でグローバル IPv6 アドレスを設定してください。
409123
エラー メッセージ %ASA-4-409123: Neighbor command allowed only on NBMA networks
説明 neighbor コマンドは NBMA ネットワークでのみ使用できます。
推奨アクション neighbor コマンドの設定オプションを確認し、ネイバー インターフェイスのオプションまたはネットワーク タイプを修正します。
409125
エラー メッセージ %ASA-4-409125: Can not use configured neighbor: poll and priority options are allowed only for a NBMA network
説明 設定されたネイバーは、ポイントツーマルチポイント ネットワークで検出され、poll オプションまたは priority オプションが設定されました。これらのオプションは、NBMA タイプのネットワークにのみ使用できます。
推奨アクション neighbor コマンドの設定オプションを確認し、ネイバー インターフェイスのオプションまたはネットワーク タイプを修正します。
409128
エラー メッセージ %ASA-4-409128: OSPFv3-d Area AREA_ID_STR : Router i originating invalid type 0x x LSA, ID u , Metric d on Link ID d Link Type d
説明 このメッセージに示されたルータから無効なメトリックの LSA が送信されています。これがルータ LSA であり、リンク メトリックがゼロの場合、ネットワーク上にルーティング ループとトラフィック損失が存在する危険性があります。
推奨アクション 報告された LSA を送信したルータに、当該 LSA タイプおよびリンク タイプに有効なメトリックを設定します。