メッセージ 401001 ~ 409128
この章では、401001 から 409128 までのメッセージについて説明します。
401001
エラーメッセージ %Threat Defense-4-401001: Shuns cleared
説明メモリから既存の排除を削除するために clear shun コマンドが入力されました。組織によるシャニング アクティビティの記録が許可されました。
推奨アクション 不要。
401002
エラーメッセージ %Threat Defense-4-401002: Shun added: IP_address IP_address port port
説明 shun コマンドが入力されました。このコマンドの最初の IP アドレスは排除されたホストです。その他のアドレスとポートはオプションであり、有効な場合は接続を終了するのに使用されます。組織によるシャニング アクティビティの記録が許可されました。
推奨アクション 不要。
401003
エラーメッセージ %Threat Defense-4-401003: Shun deleted: IP_address
説明排除されたホストの 1 つが排除データベースから削除されました。組織によるシャニング アクティビティの記録が許可されました。
推奨アクション 不要。
401004
エラーメッセージ %Threat Defense-4-401004: Shunned packet: IP_address = IP_address on interface interface_name
説明 IP SRC によって定義されたホストは排除データベースのホストであるために、パケットが廃棄されました。排除されたホストは、そこで排除されたインターフェイスにトラフィックを渡すことはできません。たとえば、インターネット上の外部ホストは外部インターフェイス上で排除されます。排除されたホストのアクティビティの記録が提供されました。このメッセージとメッセージ %Threat Defense-4-401005 を使用すると、このホストに関するリスクを詳しく見積もることができます。
推奨アクション必要なし。
401005
エラーメッセージ %Threat Defense-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port
説明 Secure Firewall Threat Defense デバイス のメモリが不足しています。排除が適用できません。
推奨アクション Cisco IPS は、引き続き、この規則を適用しようとします。メモリを再利用して排除を手動で再適用するか、または Cisco IPS によって排除が適用されるのを待機します。
402114
エラーメッセージ%Threat Defense-4-402114: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP to local_IP with an invalid SPI.
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザー名
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
説明 SA データベースに存在しない SPI を指定している IPSec パケットを受信しました。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。また、IPSec ピアによって不正なパケットが送信されたことを示すこともあります。これも攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
推奨アクション ローカル SA が消去されたことを、ピアは認識していないことがあります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に接続を再度確立することがあります。あるいは、問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合わせます。
402115
エラーメッセージ%Threat Defense-4-402115: IPSEC: Received a packet from remote_IP to local_IP containing act_prot data instead of exp_prot data.
説明期待された ESP ヘッダーのない IPSec パケットを受信しました。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃を示している可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
- >act_prot:受信した IPSec プロトコル
- >exp_prot:期待された IPSec プロトコル
推奨アクション ピアの管理者にお問い合わせください。
402116
エラーメッセージ %Threat Defense-4-402116: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP . The decapsulated inner packet doesn’t match the negotiated policy in the SA. The packet specifies its destination as pkt_daddr , its source as pkt_saddr , and its protocol as pkt_prot . The SA specifies its local proxy as id_daddr /id_dmask /id_dprot /id_dport and its remote proxy as id_saddr /id_smask /id_sprot /id_sport .
説明カプセル化解除された IPSec パケットがネゴシエートされた ID と一致しません。ピアは、このセキュリティ アソシエーションを通じて他のトラフィックを送信中です。これは、ピアによるセキュリティ アソシエーション選択エラーが原因であるか、攻撃の一部の場合である可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザー名
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
- pkt_daddr>:カプセル化解除されたパケットからの宛先アドレス
- pkt_saddr>:カプセル化解除されたパケットからの送信元アドレス
- pkt_prot>:カプセル化解除されたパケットからのトランスポート プロトコル
- id_daddr>:ローカル プロキシ IP アドレス
- id_dmask>:ローカル プロキシ IP サブネット マスク
- id_dprot>:ローカル プロキシ トランスポート プロトコル
- id_dport>:ローカル プロキシ ポート
- id_saddr>:リモート プロキシ IP アドレス
- id_smask>:リモート プロキシ IP サブネット マスク
- id_sprot>:リモート プロキシ トランスポート プロトコル
- id_sport>:リモート プロキシ ポート
推奨アクション ピアの管理者に問い合わせて、ポリシーの設定を比較します。
402117
エラーメッセージ %Threat Defense-4-402117: IPSEC: Received a non-IPsec (protocol ) packet from remote_IP to local_IP .
説明受信パケットはクリプト マップ ACL と一致したが、IPSec でカプセル化されていません。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックだけを受信するようにファイアウォールを設定できます。IPSec 暗号化を行わずに Telnet を使用して、ポート 23 上で外部インターフェイスにアクセスしようとすると、このメッセージが表示されますが、ポート 23 以外の外部インターフェイスに対する Telnet またはトラフィックの場合は表示されません。このエラーは、攻撃を示すこともあります。このメッセージは、これらの条件以外では生成されません(たとえば、Secure Firewall Threat Defense インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージ 710001、710002、および 710003 を参照してください。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- >protocol:IPSec プロトコル
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
推奨アクション ピアの管理者に問い合わせて、ポリシーの設定を比較します。
402118
エラーメッセージ%Threat Defense-4-402118: IPSEC: Received an protocol packet (SPI=spi , sequence number seq_num ) from remote_IP (username ) to local_IP containing an illegal IP fragment of length frag_len with offset frag_offset .
説明カプセル化解除された IPSec パケットに、128 バイト以下のオフセットの IP フラグメントが含まれていました。最新バージョンの IP RFC のセキュリティ アーキテクチャでは、リアセンブリ攻撃を防止するために最小 IP フラグメント オフセットを 128 バイトにすることを推奨しています。これは攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザー名
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
- frag_len>:IP フラグメント長
- frag_offset>:IP フラグメント オフセット(バイト)
推奨アクション リモート ピアの管理者に問い合わせて、ポリシーの設定を比較します。
402119
エラーメッセージ%Threat Defense-4-402119: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP that failed anti-replay checking.
説明シーケンス番号が無効な IPSec パケットを受信しました。ピアは、以前に使用された可能性のあるシーケンス番号が含まれたパケットを送信中です。このメッセージは、受け入れ許容範囲外のシーケンス番号の IPSec パケットを受信したことを示します。このパケットは、可能性ある攻撃の一部として IPSec により廃棄されます。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザー名
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
推奨アクション ピアの管理者にお問い合わせください。
402120
エラーメッセージ %Threat Defense-4-402120: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP that failed authentication.
説明 IPSec パケットを受信したが認証に失敗しました。パケットはドロップされます。パケットは中継中に破損したか、ピアが無効な IPSec パケットを送信している可能性があります。これらのパケットの多くを同じピアから受信した場合、攻撃を示している可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- emote_IP>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザー名
- local_IP>:トンネルのローカル エンドポイントの IP アドレス
推奨アクション 受信したパケットの認証失敗が多い場合は、リモート ピアの管理者にお問い合わせください。
402121
エラーメッセージ %Threat Defense-4-402121: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from peer_addr (username ) to lcl_addr that was dropped by IPsec (drop_reason ).
説明カプセル化解除する IPSec パケットを受信したが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、Secure Firewall Threat Defense の設定または Secure Firewall Threat Defense デバイス そのものに問題が存在する可能性があることを示しています。
- >protocol:IPSec プロトコル
- >spi:IPSec のセキュリティ パラメータ インデックス
- seq_num>:IPSec シーケンス番号
- peer_addr>:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザー名
- lcl_addr>:トンネルのローカル エンドポイントの IP アドレス
- drop_reason>:パケットがドロップされた原因
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
402122
エラーメッセージ %Threat Defense-4-402122: Received a cleartext packet from src_addr to dest_addr that was to be encapsulated in IPsec that was dropped by IPsec (drop_reason ).
説明 IPSec でカプセル化するパケットを受信しましたが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、Secure Firewall Threat Defense の設定または Secure Firewall Threat Defense デバイス そのものに問題が存在する可能性があることを示しています。
- src_addr >:送信元 IP アドレス
- dest_addr >:宛先 > IP アドレス
- drop_reason>:パケットがドロップされた原因
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
402123
エラーメッセージ %Threat Defense-4-402123: CRYPTO: The accel_type hardware accelerator encountered an error (code=error_string ) while executing crypto command command .
説明ハードウェア アクセラレータを使用した crypto コマンドの実行中にエラーが検出されました。アクセラレータの問題を示している可能性があります。このタイプのエラーは、さまざまな理由で発生します。このメッセージは、原因の判定に役立つように暗号アクセラレータ カウンタを補足します。
- accel_type:ハードウェア アクセラレータのタイプ
- >error_string:エラーのタイプを示すコード
- command:エラーを生成した暗号コマンド
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
402124
エラーメッセージ %Threat Defense-4-402124: CRYPTO: The Threat Defense hardware accelerator encountered an error (Hardware error address, Core, Hardware error code, IstatReg, PciErrReg, CoreErrStat,
CoreErrAddr, Doorbell Size, DoorBell Outstanding, SWReset).
説明暗号ハードウェア チップが重大エラーを報告しました。チップが動作不能であることを示します。このメッセージからの情報は、詳細を取り込み、問題をさらに分析できるようにします。この状態が検出されると、暗号チップがリセットされ、円滑にSecure Firewall Threat Defense デバイス の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。このメッセージには、暗号ハードウェアに関連する次のようなさまざまなパラメータが含まれています。
- HWErrAddr>:ハードウェア アドレス(暗号チップによって設定)
- Core>:エラーが発生している暗号コア
- HwErrCode>:ハードウェア エラー コード(暗号チップによって設定)
- IstatReg>:割り込みステータス レジスタ(暗号チップによって設定)
- PciErrReg>:PCI エラー レジスタ(暗号チップによって設定)
- CoreErrStat>:コア エラー ステータス(暗号チップによって設定)
- CoreErrAddr>:コア エラー アドレス(暗号チップによって設定)
- Doorbell Size>:許可される暗号コマンドの最大数
- DoorBell Outstanding>:処理待ちの暗号コマンド数
- SWReset>:ブート後の暗号チップ リセット回数
(注) |
The %Threat Defense-vpn-4-402124: CRYPTO: The Threat Defense hardware accelerator encountered an error (HWErrAddr= 0x40EE9800, Core= 0, HwErrCode= 23, IstatReg= 0x8, PciErrReg= 0x0, CoreErrStat= 0x41, CoreErrAddr= 0x844E9800, Doorbell Size[0]= 2048, DoorBell Outstanding[0]= 0, Doorbell Size[1]= 0, DoorBell Outstanding[1]= 0, SWReset= 99) エラーメッセージは、AnyConnect の問題と、AnyConnect 3.1.x にアップグレードする回避策を示します。 |
推奨アクション メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。
402125
エラーメッセージ %Threat Defense-4-402125: The Threat Defense hardware accelerator ring timed out (parameters ).
説明 IPSEC の記述子リングまたは SSL/Admin の記述子リングが進行していないことを暗号ドライバが検出しました。つまり、暗号チップが機能していないと思われます。この状態が検出されると、暗号チップがリセットされ、円滑にSecure Firewall Threat Defense デバイス の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。
- >ring:IPSEC リングまたは Admin リング
- parameters >:次のとおり
- Desc>:記述子アドレス
- CtrlStat>:制御/ステータス値
- ResultP>:成功ポインタ
- ResultVal>:成功値
- Cmd>:暗号コマンド
- CmdSize>:コマンド サイズ
- Param>:コマンド パラメータ
- Dlen>:データ長
- DataP>:データ ポインタ
- CtxtP>:VPN コンテキスト ポインタ
- SWReset>:ブート後の暗号チップ リセット回数
推奨アクション メッセージの情報を Cisco TAC に転送し、さらなる分析を依頼してください。
402126
エラーメッセージ %Threat Defense-4-402126: CRYPTO: The Threat Defense created Crypto Archive File Archive Filename as a Soft Reset was necessary. Please forward this archived information to Cisco.
説明 ハードウェア暗号チップで機能上の問題が検出されました(syslog メッセージ 402124 および 402125 を参照)。暗号の問題をさらにデバッグするために、現在の暗号ハードウェア環境(ハードウェア レジスタおよび暗号記述エントリ)を含む暗号アーカイブ ファイルが生成されます。ブート時に、フラッシュ ファイル システム上に crypto_archive ディレクトリが自動的に作成されました(事前に存在していなかった場合)。このディレクトリには、最大 2 つの暗号アーカイブ ファイルが存在できます。
- >Archive Filename:暗号アーカイブ ファイルの名前。暗号アーカイブ ファイルの名前は crypto_arch_x.bin という形式です。ここで、x は 1 または 2 です。
推奨アクション 暗号アーカイブ ファイルを Cisco TAC に転送し、さらなる分析を依頼してください。
402127
エラーメッセージ %Threat Defense-4-402127: CRYPTO: The Threat Defense is skipping the writing of latest Crypto Archive File as the maximum # of files, max_number, allowed have been written to archive_directory . Please archive & remove files from Archive Directory if you want more Crypto Archive Files saved.
説明ハードウェア暗号チップで機能上の問題が検出されました(メッセージ 4402124 および 4402125 を参照)。このメッセージは、最大数の暗号アーカイブ ファイルがすでに存在していたため、暗号アーカイブ ファイルが書き込まれなかったことを示しています。
- max_number >:アーカイブ ディレクトリで許可されているファイルの最大数(現在は 2 に設定されています)
- >archive_directory:アーカイブ ディレクトリの名前
推奨アクション 以前に生成された暗号アーカイブ ファイルを Cisco TAC に転送します。以前に生成されたアーカイブ ファイルを削除して、別のアーカイブ ファイルを書き込むことができるようにします(必要であると思われる場合)。
402128
エラーメッセージ %Threat Defense-5-402128: CRYPTO: An attempt to allocate a large memory block failed, size: size , limit: limit
説明 SSL 接続で許容量を超えるメモリの使用が試みられています。要求が拒否されました。
- size:割り当てられているメモリ ブロックのサイズ
- limit:許容割り当てメモリの最大サイズ
推奨アクション このメッセージが引き続き表示される場合は、SSL サービス拒絶攻撃が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。
402129
エラーメッセージ %Threat Defense-6-402129: CRYPTO: An attempt to release a DMA memory block failed, location: address
説明内部ソフトウェア エラーが発生しました。
- address:解放されようとしたアドレス
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402130
エラーメッセージ %Threat Defense-6-402130: CRYPTO: Received an ESP packet (SPI = xxxxxxxxxx, sequence number=xxxx) from 172.16.0.1 (user=user) to 192.168.0.2
with incorrect IPsec padding.
説明 Secure Firewall Threat Defense デバイス の暗号ハードウェア アクセラレータで無効な埋め込みデータを含む IPSec パケットが検出されました。ATT VPN クライアントでは、IPSec パケットの埋め込みが不適切に行われる場合があります。
-
SPI:パケットに関連付けられている SPI
-
sequence number:パケットに関連付けられているシーケンス番号
-
user:ユーザー名文字列
-
padding:パケットからの埋め込みデータ
推奨アクション このメッセージが不要であり、Secure Firewall Threat Defense デバイス の問題が示されていない場合、ATT VPN クライアントを使用しているお客様は VPN クライアント ソフトウェアのアップグレードが必要になることがあります。
402131
エラーメッセージ %Threat Defense-4-402131: CRYPTO: status changing the accel_instance hardware accelerator's configuration bias from old_config_bias to new_config_bias .
説明ハードウェア アクセラレーション設定が Secure Firewall Threat Defense デバイス で変更されました。一部の Secure Firewall Threat Defenseプラットフォームには、複数のハードウェア アクセラレータがあります。ハードウェア アクセラレータの変更ごとに 1 件の syslog メッセージが生成されます。
- status:success または failure を示します
- accel_instance:ハードウェア アクセラレータのインスタンス
- old_config_bias:古い設定
- new_config_bias:新しい設定
推奨アクション アクセラレータのいずれかが設定を変更しようとして失敗した場合、ロギング情報を収集し、Cisco TAC に連絡してください。障害が発生した場合、ソフトウェアは、設定変更を複数回再試行します。再試行が失敗した場合、ソフトウェアは元の構成バイアスにフォールバックします。ハードウェア アクセラレータの再設定に複数回失敗する場合、ハードウェアの障害を示している可能性があります。
402140
エラーメッセージ %Threat Defense-3-402140: CRYPTO: RSA key generation error: modulus len len
説明 RSA 公開キー ペアの生成時にエラーが発生しました。
- len:ビット単位で示したプライム モジュラスの長さ
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402141
エラーメッセージ %Threat Defense-3-402141: CRYPTO: Key zeroization error: key set type , reason reason
説明 RSA 公開キー ペアの生成時にエラーが発生しました。
- type:次のいずれかのキー セット タイプ。DH、RSA、DSA、unknown
- reason:予期しない暗号化セッション タイプ
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402142
エラーメッセージ %Threat Defense-3-402142: CRYPTO: Bulk data op error: algorithm alg , mode mode
説明対称キー操作中にエラーが発生しました。
- op:暗号化または暗号化解除のいずれかの操作
- alg:次のいずれかの暗号化アルゴリズム。DES、3DES、AES、RC4
- mode:次のいずれかのモード。CBC、CTR、CFB、ECB、stateful-RC4、stateless-RC4
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402143
エラーメッセージ %Threat Defense-3-402143: CRYPTO: alg type key op
説明非対称キー操作中にエラーが発生しました。
- alg:RSA または DSA のいずれかの暗号化アルゴリズム
- type:public または private のいずれかのキー タイプ
- op:暗号化または暗号化解除のいずれかの操作
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402144
エラーメッセージ %Threat Defense-3-402144: CRYPTO: Digital signature error: signature algorithm sig , hash algorithm hash
説明デジタル署名の生成中にエラーが発生しました。
- sig:RSA または DSA のいずれかの署名アルゴリズム
- hash:ハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512 のいずれかです。
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402145
エラーメッセージ %Threat Defense-3-402145: CRYPTO: Hash generation error: algorithm hash
説明ハッシュ生成エラーが発生しました。
- hash:ハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512 のいずれかです。
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402146
エラーメッセージ %Threat Defense-3-402146: CRYPTO: Keyed hash generation error: algorithm hash , key len len
説明キー付きハッシュ生成エラーが発生しました。
- hash:次のいずれかのハッシュ アルゴリズム。MD5、SHA1、SHA256、SHA384、SHA512
- len:ビット単位のキーの長さ
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402147
エラーメッセージ %Threat Defense-3-402147: CRYPTO: HMAC generation error: algorithm alg
説明 HMAC の生成エラーが発生しました。
- alg:次のいずれかの HMAC アルゴリズム。HMAC-MD5、HMAC-SHA1、HMAC-SHA2、AES-XCBC
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402148
エラーメッセージ %Threat Defense-3-402148: CRYPTO: Random Number Generator error
説明乱数ジェネレータ エラーが発生しました。
推奨アクション Cisco TAC に連絡してサポートを受けてください。
402149
エラーメッセージ %Threat Defense-3-402149: CRYPTO: weak encryption type (length ). Operation disallowed. Not FIPS 140-2 compliant
説明 Secure Firewall Threat Defense デバイス は 2048 ビット未満の RSA キー、または DH グループ 1、2、5 を使おうとしました。
- encryption type:暗号化のタイプ
- length:RSA キーの長さ、または DH グループの番号
推奨アクション 2048 ビット以上の RSA キーを使うように、または 1、2、5 以外の DH グループを設定するように Secure Firewall Threat Defense デバイス または外部アプリケーションを設定します。
402150
エラーメッセージ %Threat Defense-3-402150: CRYPTO: Deprecated hash algorithm used for RSA operation (hash alg ). Operation disallowed. Not FIPS 140-2 compliant
説明 デジタル証明書の署名、または FIPS 140-2 認証の検証に、受け入れられないハッシュ アルゴリズムが使われました。
- operation:署名または検証
- hash alg:受け入れられないハッシュ アルゴリズムの名前
推奨アクション 少なくともデジタル証明書の署名または FIPS 140-2 認証の検証には受け入れられるハッシュ アルゴリズムを使っていることを確認します。これらには、SHA-256、SHA-384、SHA-512 があります。
403500
エラーメッセージ %Threat Defense-6-403500: PPPoE - Service name 'any' not received in PADO. Intf:interface_name AC:ac_name .
説明 Secure Firewall Threat Defense デバイス が、インターネット サービス プロバイダーのアクセス コントローラからの PPPoE サービス any を要求しました。サービス プロバイダーからの応答には他のサービスが含まれていますが、サービス any は含まれていません。これは、プロトコルの実装の不一致です。PADO パケットは正常に処理されて、接続ネゴシエーションが続行されます。
推奨アクション 不要。
403501
エラーメッセージ %Threat Defense-3-403501: PPPoE - Bad host-unique in PADO - packet dropped. Intf:interface_name AC:ac_name
説明 Secure Firewall Threat Defense デバイス はホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。Secure Firewall Threat Defense デバイス はこの応答に対応する接続要求を識別できませんでした。パケットは廃棄され、接続ネゴシエーションは切断されました。
推奨アクション インターネット サービス プロバイダーにお問い合わせください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。
403502
エラーメッセージ %Threat Defense-3-403502: PPPoE - Bad host-unique in PADS - dropping packet. Intf:interface_name AC:ac_name
説明 Secure Firewall Threat Defense デバイス はホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。Secure Firewall Threat Defense デバイス はこの応答に対応する接続要求を識別できませんでした。パケットは廃棄され、接続ネゴシエーションは切断されました。
推奨アクション インターネット サービス プロバイダーにお問い合わせください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。
403503
エラーメッセージ %Threat Defense-3-403503: PPPoE:PPP link down:reason
説明 PPP リンクがダウンしました。これが発生する原因は数多くあります。最初の形式に表示される理由は、PPP からの理由の場合です。
推奨アクション ネットワーク リンクを調べて、リンクが接続されていることを確認します。アクセス コンセントレータがダウンしていることがあります。認証プロトコルがアクセス コンセントレータと一致し、名前とパスワードが正しいことを確認します。ISP またはネットワーク サポート担当者にこの情報を確認します。
403504
エラーメッセージ %Threat Defense-3-403504: PPPoE:No 'vpdn group group_name ' for PPPoE is created
説明 PPPoE では、PPPoE セッションを開始する前に、ダイヤルアウト コンフィギュレーションが必要です。一般的にコンフィギュレーションでは、ダイヤル ポリシー、PPP 認証、ユーザー名、およびパスワードを指定する必要があります。次の例では、Secure Firewall Threat Defense デバイスを PPPoE ダイヤルアウト用に設定します。my-username コマンドおよび my-password コマンドは、必要であれば PAP を使用して、アクセス コンセントレータの認証に使用されます。
次に例を示します。
ciscoFTD# vpdn group my-pppoe request dialout pppoe
ciscoFTD# vpdn group my-pppoe ppp authentication pap
ciscoFTD# vpdn group my-pppoe localname my-username
ciscoFTD# vpdn username my-username password my-password
ciscoFTD# ip address outside pppoe setroute
推奨アクション PPPoE 用の VPDN グループを設定します。
403505
エラーメッセージ %Threat Defense-4-403505: PPPoE:PPP - Unable to set default route to IP_address at interface_name
説明通常、このメッセージには「default route already exists」というメッセージが続きます。
推奨アクション 現行のデフォルト ルートを削除するか、または setroute パラメータを削除して、PPPoE と手動で設定したルートが競合しないようにします。
403506
エラーメッセージ %Threat Defense-4-403506: PPPoE:failed to assign PPP IP_address netmask netmask at interface_name
説明このメッセージには、「subnet is the same as interface」または「on failover channel」というメッセージのいずれかが続きます。
推奨アクション 最初の場合は、競合の原因となったアドレスを変更します。2 番目の場合は、フェールオーバー インターフェイス以外のインターフェイスに PPPoE を設定します。
403507
エラーメッセージ %Threat Defense-3-403507: PPPoE:PPPoE client on interface interface failed to locate PPPoE vpdn group group_name
説明 pppoe client vpdn group group_name コマンドを入力して、インターフェイス上の PPPoE クライアントが特定の VPDN グループを使用するように設定できます。システムの起動時に、設定した名前の PPPoE VPDN グループが見つからなかった場合、このメッセージが生成されます。
- interface:どのインターフェイス上の PPPoE クライアントに障害が発生したか
- group_name:インターフェイス上の PPPoe クライアントの VPDN グループ名
推奨アクション:次のステップを実行します。
- vpdn group group_name コマンドを入力して、必要な VPDN グループを追加します。グローバル コンフィギュレーション モードでダイヤルアウト PPPoE を要求し、すべてのグループ プロパティを追加します。
- 指摘されたインターフェイスから pppoe client vpdn group group_name コマンドを削除します。この場合、PPPoE クライアントは、定義済みの最初の PPPoE VPDN グループを使用しようとします。
(注) |
すべての変更内容は、ip address pppoe コマンドを入力してインターフェイス上の PPPoE クライアントを再起動した後に限り有効になります。 |
405001
エラーメッセージ %Threat Defense-4-405001: Received ARP {request | response} collision from IP_address /MAC_address on interface interface_name with existing ARP entry IP_address /MAC_address
説明 Secure Firewall Threat Defense デバイス が ARP パケットを受信しましたが、パケットの MAC アドレスが ARP キャッシュ エントリと異なっています。
推奨アクション このトラフィックは、正当である場合もあれば、ARP ポイズニング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。
405002
エラーメッセージ %Threat Defense-4-405002: Received mac mismatch collision from IP_address /MAC_address for authenticated host
説明このパケットは、次のどちらかの条件の場合に表示されます。
- Secure Firewall Threat Defense デバイスは IP アドレスが同じだが、MAC アドレスがその uauth エントリの 1 つとは異なるパケットを受信しました。
- Secure Firewall Threat Defense デバイス に vpnclient mac-exempt コマンドを設定しました。除外 MAC アドレスを持つが、対応する uauth エントリとは異なる IP アドレスを持つパケットが Secure Firewall Threat Defense デバイス によって受信されました。
推奨アクション このトラフィックは、正当である場合もあれば、スプーフィング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスと IP アドレスを確認してパケットの送信元と、そのパケットが有効なホストに属しているかどうかを調べます。
405003
エラーメッセージ %Threat Defense-4-405003: IP address collision detected between host IP_address at MAC_address and interface interface_name , MAC_address .
説明ネットワーク内のクライアントの IP アドレスが Secure Firewall Threat Defense インターフェイス IP アドレスと同じです。
推奨アクション クライアントの IP アドレスを変更します。
405101
エラーメッセージ %Threat Defense-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/outside_port ] to local_address inside_address [/inside_port ]
説明モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
推奨アクション このメッセージが定期的に表示される場合は、無視できます。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。
405102
エラーメッセージ %Threat Defense-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address [/outside_port ] to local_address inside_address [/inside_port ]
説明 Secure Firewall Threat Defense デバイス が、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
推奨アクション グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。また、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが定期的に表示される場合は、無視できます。問題が解決しない場合、Cisco TAC にお問い合わせください。
405103
エラーメッセージ %Threat Defense-4-405103: H225 message from source_address/source_port to dest_address /dest_port contains bad protocol discriminator hex
説明 Secure Firewall Threat Defense デバイス はプロトコル識別子 0x08 を予測していますが、0x08 以外の識別子を受信しました。エンドポイントから不良パケットが送信されているか、または最初のセグメント以外のメッセージ セグメントを受信した可能性があります。パケットの通過は許可されます。
推奨アクション 不要。
405104
エラーメッセージ %Threat Defense-4-405104: H225 message received from outside_address /outside_port to inside_address /inside_port before SETUP
説明初期 SETUP メッセージの前に H.225 メッセージを正しくない順序で受信しました。これは許可されません。Secure Firewall Threat Defense デバイス は、その H.225 コール シグナリング チャネルに関する初期 SETUP メッセージを受信してから、他のすべての H.225 メッセージを受信する必要があります。
推奨アクション 不要。
405105
エラーメッセージ %Threat Defense-4-405105: H323 RAS message AdmissionConfirm received from source_address /source_port to dest_address /dest_port without an AdmissionRequest
説明ゲートキーパーから ACF が送信されましたが、Secure Firewall Threat Defense デバイス はゲートキーパーに ARQ を送信していません。
推奨アクション source_address で指摘されたゲートキーパーを確認し、Secure Firewall Threat Defense デバイス から ARQ を受信していないのに ACF が送信された理由を判定します。
406001
エラーメッセージ %Threat Defense-4-406001: FTP port command low port: IP_address /port to IP_address on interface interface_name
説明クライアントが FTP ポート コマンドを入力して、1024(通常はサーバー ポート専用の周知のポート範囲にある)より小さなポート番号を指定しました。これは、サイト セキュリティ ポリシーを回避しようとしていることを示します。Secure Firewall Threat Defense デバイスは、パケットの廃棄、接続の終了、およびイベントの記録を行います。
推奨アクション 不要。
406002
エラーメッセージ %Threat Defense-4-406002: FTP port command different address: IP_address(IP_address ) to IP_address on interface interface_name
説明クライアントが FTP ポート コマンドを実行して、接続に使用されているアドレス以外のアドレスを指定しました。サイト セキュリティ ポリシーを回避しようとする試みが発生しました。たとえば、攻撃者が途中でパケットを変更し、正しいソース情報の代わりに別のソース情報を設定して FTP セッションをハイジャックしようとしている場合があります。Secure Firewall Threat Defense デバイスは、パケットの廃棄、接続の終了、およびイベントの記録を行います。カッコ内のアドレスは、ポート コマンドからのアドレスです。
推奨アクション 不要。
407001
エラーメッセージ %Threat Defense-4-407001: Deny traffic for local-host interface_name :inside_address , license limit of number exceeded
説明ホスト制限を超えました。次のどちらかの条件に当てはまる場合、内部ホストは制限にカウントされます。
- 内部ホストは、この 5 分以内に、Secure Firewall Threat Defense デバイス経由でトラフィックを転送しました。
- 内部ホストは、Secure Firewall Threat Defense デバイス で、xlate 接続またはユーザー認証を予約しました。
推奨アクション ホスト制限はローエンド プラットフォームに適用されます。ホスト制限を表示するには、show version コマンドを使用します。Secure Firewall Threat Defense デバイス でのセッションを持つ現在のアクティブ ホストと内部ユーザーを表示するには、show local-host コマンドを使用します。1 つまたは複数のユーザーを強制的に切断するには、clear local-host コマンドを使用します。内部ユーザーを制限になる前に期限切れにするには、xlate、接続、および uauth タイムアウトを以下の表に示す推奨値以下に設定します。
タイムアウト |
推奨値 |
---|---|
xlate |
00:05:00(5 分) |
conn |
00:01:00(1 時間) |
uauth |
00:05:00(5 分) |
407002
エラーメッセージ %Threat Defense-4-407002: Embryonic limit nconns /elimit for through connections exceeded.outside_address /outside_port to global_address (inside_address )/inside_port on interface interface_name
説明指摘されたグローバル アドレスを経由して、指摘された外部アドレスから指摘されたローカル アドレスに接続された数が、そのスタティックの最大初期制限を超えました。Secure Firewall Threat Defense デバイス は、接続にメモリが割り当て可能な場合は、その接続を受け入れようとします。ローカル ホストに代わってプロキシ ホストとなり、SYN_ACK パケットを外部ホストに送信します。Secure Firewall Threat Defense デバイスは、該当する状態情報を保持し、パケットを廃棄して、クライアントからの ACK を待ちます。このメッセージは、正当なトラフィックを示す場合もあれば、DoS 攻撃が進行中であることを示す場合もあります。
推奨アクション 送信元アドレスを調べてパケットの送信元を判別し、それを有効なホストが送信しているかどうかを確認します。
407003
エラーメッセージ %Threat Defense-4-407003: Established limit for RPC services exceeded number
説明 Secure Firewall Threat Defense デバイス は、最大ホール数に達した後、すでに設定されている RPC サーバー ペアまたは RPC サービス ペアに対して、新規のホールをオープンしようとしました。
推奨アクション 他のホールがクローズされるのを待機するか(関連タイムアウト有効期限を使用)、またはサーバーまたはサービスのアクティブ ペア数を制限します。
408001
エラーメッセージ %Threat Defense-4-408001: IP route counter negative - reason , IP_address Attempt: number
説明 IP ルート カウンタを負の値に減少しようとしましたが失敗しました。
推奨アクション clear ip route コマンドを入力して、ルート カウンタをリセットします。問題が解決しない場合、Cisco TAC にお問い合わせください。
408002
エラーメッセージ %Threat Defense-4-408002: ospf process id route type update address1 netmask1 [distance1/metric1 ] via source IP :interface1 address2 netmask2 [distance2 /metric2 ] interface2
説明既存のルートよりも適切なメトリックを持つ同じ距離の別のインターフェイスからネットワーク アップデートを受信しました。新規のルートによって、別のインターフェイスを使用してインストールされた既存のルートが上書きされます。新規のルートは冗長目的に限り使用され、ネットワーク内でパスが移動されたことを意味します。この変更は、トポロジと再配布を使用して制御する必要があります。この変更の影響を受ける既存の接続は、ディセーブルにされる可能性があり、タイムアウトになります。このパスの移動は、パス冗長をサポートするようにネットワーク トポロジが特に設計されている場合(このケースが予測されます)に限り発生します。
推奨アクション 不要。
408003
エラーメッセージ %Threat Defense-4-408003: can't track this type of object hex
説明トラッキング システムのコンポーネントが、サポートしていないオブジェクト タイプを検出しました。STATE オブジェクトが予期されていました。
- hex:メモリ内の変数値またはアドレスを示す 16 進値
推奨アクション トラック オブジェクトを再設定して、STATE オブジェクトにします。
408101
エラーメッセージ %Threat Defense-4-408101: KEYMAN : Type encrption_type encryption unknown. Interpreting keystring as literal.
説明 フォーマットタイプがシステムによって認識されませんでした。キー文字列形式タイプ値 0(暗号化されていないキー文字列)または 7(隠しキー文字列)の後にスペースを続けたものが、形式を示すために実際のキー文字列の前に置かれている可能性があります。システムは未知のタイプ値も受け付けますが、その場合は、暗号化されないキー文字列と見なされます。
推奨アクション 正しい形式のタイプ値を使用するか、タイプ値の後ろのスペースを削除します。
408102
エラーメッセージ %Threat Defense-4-408102: KEYMAN : Bad encrypted keystring for key id key_id.
説明 暗号化されたキー文字列を正しく復号化できませんでした。システム設定時にキー文字列が破損した可能性があります。
推奨アクション key-string コマンドを再入力して、キー文字列をもう一度設定します。
409001
エラーメッセージ %Threat Defense-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls
説明ソフトウェアによって、予想外の状態が検出されました。ルータによって修正処置が行われ、続行されます。
推奨アクション 不要。
409002
エラーメッセージ %Threat Defense-4-409002: db_free: external LSA IP_address netmask
説明内部ソフトウェア エラーが発生しました。
推奨アクション 不要。
409003
エラーメッセージ %Threat Defense-4-409003: Received invalid packet: reason from IP_address , interface_name
説明無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、送信側の誤った OSPF コンフィギュレーションか内部エラーの可能性があります。
推奨アクション 受信側と送信側の OSPF 設定に不整合がないかどうかを確認してください。
409004
エラーメッセージ %Threat Defense-4-409004: Received reason from unknown neighbor IP_address
説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できません。
推奨アクション 不要。
409005
エラーメッセージ %Threat Defense-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name
説明 Secure Firewall Threat Defense デバイス は、正常なヘッダー サイズよりも短いフィールド長の OSPF パケット、または到着した IP パケットのサイズと一致しない OSPF パケットを受信しました。これは、パケットの送信側のコンフィギュレーション エラーを示しています。
推奨アクション 隣接アドレスから問題のルータを特定しリブートします。
409006
エラーメッセージ %Threat Defense-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name
説明 LSA タイプが無効の LSA をルータが受信しました。原因は、ルータ上のメモリの破損または予想外の動作のどちらかです。
推奨アクション 隣接アドレスから問題のルータを特定しリブートします。問題が解決しない場合、Cisco TAC にお問い合わせください。
409007
エラーメッセージ %Threat Defense-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask
説明内部ソフトウェア エラーが発生しました。
推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。
409008
エラーメッセージ %Threat Defense-4-409008: Found generating default LSA with non-zero mask LSA type: number Mask: netmask metric: number area: string
説明ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーが発生したためにメトリックが間違っている可能性があります。
推奨アクション 表示されているとおりにメッセージをコピーして、Cisco TAC に報告してください。
409009
エラーメッセージ %Threat Defense-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID
説明 OSPF は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして失敗しました。
推奨アクション IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、各プロセスは一意のルータ ID を必要とします。十分な数のインターフェイスを動作させて、各プロセスがルータ ID を取得できるようにする必要があります。
409010
エラーメッセージ %Threat Defense-4-409010: Virtual link information found in non-backbone area: string
説明内部エラーが発生しました。
推奨アクション 表示されているとおりにメッセージをコピーして、Cisco TAC に報告してください。
409011
エラーメッセージ %Threat Defense-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name
説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
推奨アクション OSPF ルータ ID を固有のものにしてください。隣接ルータのルータ ID を変更します。
409012
エラーメッセージ %Threat Defense-4-409012: Detected router with duplicate router ID IP_address in area string
説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
推奨アクション OSPF ルータ ID を固有のものにしてください。隣接ルータのルータ ID を変更します。
409013
エラーメッセージ %Threat Defense-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address
説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
推奨アクション OSPF ルータ ID を一意にしてください。隣接ルータのルータ ID を変更します。
409014
エラーメッセージ %Threat Defense-4-409014: No valid authentication send key is available on interface nameif.
説明 インターフェイスで設定されている認証キーが無効です。
推奨アクション 新しいキーを設定します。
409015
エラーメッセージ %Threat Defense-4-409015: Key ID key-id received on interface nameif.
説明 設定されたキーチェーンで ID が見つかりません。
推奨アクション キー ID を使用して新しいセキュリティ アソシエーションを設定します。
409016
エラーメッセージ %Threat Defense-4-409016: Key chain name key-chain-name on nameif is invalid.
説明 OSPF インターフェイスで設定されているキーチェーン名がグローバルキーチェーン設定と一致しません。
推奨アクション設定を修正します。OSPF 認証コマンドを削除するか、グローバル コンフィギュレーション モードでキーチェーンを設定してください。
409017
エラーメッセージ %Threat Defense-4-409017: Key ID key-id in key chain key-chain-name is invalid.
説明 キーチェーンで設定されているキー ID が OSPF の範囲外です。これは、OSPF に関して許容されない範囲のキー ID 値をキーチェーンが許可するために発生する可能性があります。
推奨アクション 1 ~ 255 の範囲内のキー ID を使用して新しいセキュリティ アソシエーションを設定します。
409023
エラーメッセージ %Threat Defense-4-409023: Attempting AAA Fallback method method_name for request_type request for user user :Auth-server group server_tag unreachable
説明外部サーバーに対する認証または認可の試行が失敗し、ローカル ユーザー データベースを使用して実行されます。
- aaa_operation:認証または許可
- username:接続に関連付けられているユーザー
- server_group:サーバーが到達不能であった AAA サーバーの名前
推奨アクション 最初の方法で設定された AAA サーバーの接続性の問題を調査します。Secure Firewall Threat Defense デバイスから認証サーバーに対して ping を実行します。AAA サーバーでデーモンが動作中であることを確認します。
409101
エラーメッセージ %Threat Defense-4-409101: Received invalid packet: s from P , s
説明無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、OSPF の設定間違い、または送信側の内部エラーです。
推奨アクション 受信側と送信側の OSPF 設定に不整合がないかどうかを確認してください。
409102
エラーメッセージ %Threat Defense-4-409102: Received packet with incorrect area from P , s , area AREA_ID_STR , packet area AREA_ID_STR
説明 OSPF パケットがこのインターフェイスの領域に一致しないエリア ID をヘッダーに受信しました。
推奨アクション 受信側と送信側の OSPF 設定に不整合がないかどうかを確認してください。
409103
エラーメッセージ %Threat Defense-4-409103: Received s from unknown neighbor i
説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できませんでした。
推奨アクション 不要。
409104
エラーメッセージ %Threat Defense-4-409104: Invalid length d in OSPF packet type d from P (ID i ), s
説明 OSPF パケットを受信しましたが、長さフィールドが通常のヘッダー サイズよりも短かったか、または受信時の IP パケットのサイズと整合性がありませんでした。パケットの送信側でエラーが発生しました。
推奨アクション 不要。
409105
エラーメッセージ %Threat Defense-4-409105: Invalid lsa: s : Type 0x x , Length 0x x , LSID u from i
説明ルータで LSA を受信しましたが、データが無効です。この LSA には、無効な LSA タイプ、不正なチェックサム、または誤った長さが含まれています。これはメモリの破損またはルータでの予期しない動作によるものです。
推奨アクション 隣接アドレスから、問題のルータを特定し以下を実行します。
- show running-config コマンドを入力して、ルータの実行コンフィギュレーションを収集します。
- show ipv6 ospf database コマンドを入力し、エラーの内容を特定できるデータを収集します。
- show ipv6 ospf database link-state-id コマンドを入力します。link-state-id 引数には無効な LSA の IP アドレスを指定します。
- show logging コマンドを実行し、エラーの特定に役立つ情報を収集します。
- ルータをリブートします。
収集された情報からエラーの特定ができない場合は、Cisco TAC に連絡して、収集した情報を提出してください。
409106
エラーメッセージ %Threat Defense-4-409106: Found generating default LSA with non-zero mask LSA type: 0x x Mask: i metric: lu area: AREA_ID_STR
説明ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーのためにメトリックが間違っている可能性があります。
推奨アクション 不要。
409107
エラーメッセージ %Threat Defense-4-409107: OSPFv3 process d could not pick a router-id, please configure manually
説明 OSPFv3 は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして、失敗しました。
推奨アクション IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、各プロセスは一意のルータ ID を必要とします。十分な数量のインターフェイスを稼働状態にして、それぞれがルータ ID を得られるようにします。
409108
エラーメッセージ %Threat Defense-4-409108: Virtual link information found in non-backbone area: AREA_ID_STR
説明内部エラーが発生しました。
推奨アクション 不要。
409109
エラーメッセージ %Threat Defense-4-409109: OSPF detected duplicate router-id i from P on interface IF_NAME
説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。OSPF ルータ ID は一意である必要があります。
推奨アクション ネイバー ルータ ID を変更します。
409110
エラーメッセージ %Threat Defense-4-409110: Detected router with duplicate router ID i in area AREA_ID_STR
説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。OSPF ルータ ID は一意である必要があります。
推奨アクション ネイバー ルータ ID を変更します。
409111
エラーメッセージ %Threat Defense-4-409111: Multiple interfaces (IF_NAME /IF_NAME ) on a single link detected.
説明同じリンク上の複数のインターフェイスで OSPFv3 をイネーブルにすることはサポートされていません。
推奨アクション OSPFv3 は、1 つを除くすべてのインターフェイスでディセーブルにするか、パッシブにする必要があります。
409112
エラーメッセージ %Threat Defense-4-409112: Packet not written to the output queue
説明内部エラーが発生しました。
推奨アクション 不要。
409113
エラーメッセージ %Threat Defense-4-409113: Doubly linked list linkage is NULL
説明内部エラーが発生しました。
推奨アクション 不要。
409114
エラーメッセージ %Threat Defense-4-409114: Doubly linked list prev linkage is NULL x
説明内部エラーが発生しました。
推奨アクション 不要。
409115
エラーメッセージ %Threat Defense-4-409115: Unrecognized timer d in OSPF s
説明内部エラーが発生しました。
推奨アクション 不要。
409116
エラーメッセージ %Threat Defense-4-409116: Error for timer d in OSPF process s
説明内部エラーが発生しました。
推奨アクション 不要。
409117
エラーメッセージ %Threat Defense-4-409117: Can't find LSA database type x , area AREA_ID_STR , interface x
説明内部エラーが発生しました。
推奨アクション 不要。
409118
エラーメッセージ %Threat Defense-4-409118: Could not allocate DBD packet
説明内部エラーが発生しました。
推奨アクション 不要。
409119
エラーメッセージ %Threat Defense-4-409119: Invalid build flag x for LSA i , type 0x x
説明内部エラーが発生しました。
推奨アクション必要なし。
409120
エラーメッセージ %Threat Defense-4-409120: Router-ID i is in use by ospf process d
説明 Secure Firewall Threat Defense デバイス が別のプロセスで使用中のルータ ID を割り当てようとしました。
推奨アクション 1 つのプロセスに対して別のルータ ID を設定します。
409121
エラーメッセージ %Threat Defense-4-409121: Router is currently an ASBR while having only one area which is a stub area
説明 ASBR は AS External または NSSA LSA を伝送できる領域に接続する必要があります。
推奨アクション ルータの接続先となる領域を NSSA または通常の領域にします。
409122
エラーメッセージ %Threat Defense-4-409122: Could not select a global IPv6 address. Virtual links require at least one global IPv6 address.
説明 仮想リンクが設定されました。仮想リンクが機能するためには、グローバル IPv6 アドレスが使用可能である必要があります。しかし、グローバル IPv6 アドレスがルータ上に見つかりませんでした。
推奨アクション このルータのインターフェイス上でグローバル IPv6 アドレスを設定してください。
409123
エラーメッセージ %Threat Defense-4-409123: Neighbor command allowed only on NBMA networks
説明 neighbor コマンドは NBMA ネットワークでのみ使用できます。
推奨アクション neighbor コマンドの設定オプションを確認し、ネイバー インターフェイスのオプションまたはネットワーク タイプを修正します。
409125
エラーメッセージ %Threat Defense-4-409125: Can not use configured neighbor: poll and priority options are allowed only for a NBMA network
説明設定されたネイバーは、ポイントツーマルチポイント ネットワークで検出され、poll オプションまたは priority オプションが設定されました。これらのオプションは、NBMA タイプのネットワークにのみ使用できます。
推奨アクション neighbor コマンドの設定オプションを確認し、ネイバー インターフェイスのオプションまたはネットワーク タイプを修正します。
409128
エラーメッセージ %Threat Defense-4-409128: OSPFv3-d Area AREA_ID_STR : Router i originating invalid type 0x x LSA, ID u , Metric d on Link ID d Link Type d
説明このメッセージに示されたルータから無効なメトリックの LSA が送信されています。これがルータ LSA であり、リンク メトリックがゼロの場合、ネットワーク上にルーティング ループとトラフィック損失が存在する危険性があります。
推奨アクション 報告された LSA を送信したルータに、当該 LSA タイプおよびリンク タイプに有効なメトリックを設定します。