错误消息 %ASA-7-715001: Descriptive statement

说明：系统将显示对 ASA 遇到的事件或问题的说明。

建议的操作：操作取决于该说明的具体内容。

错误消息 %ASA-7-715004: subroutine name () Q Send failure: RetCode (return_code )

说明：尝试将消息放入队列时发生了内部错误。

建议的操作：这通常是良性情况。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715005: subroutine name() Bad message code: Code (message_code )

说明：内部子例程收到了错误的消息代码。

建议的操作：这通常是良性情况。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715006: IKE got SPI from key engine: SPI = SPI_value

说明：IKE 子系统从 IPsec 收到了 SPI 值。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715007: IKE got a KEY_ADD msg for SA: SPI = SPI_value

说明：IKE 已完成隧道协商，并已成功加载了适当的加密和散列密钥供 IPsec 使用。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715008: Could not delete SA SA_address, refCnt = number , caller = calling_subroutine_address

说明：调用子例程无法删除 IPsec SA。这可能表示存在参考计数问题。

建议的操作：如果过时 SA 的数量由于此事件而增长，请联系思科 TAC。

错误消息 %ASA-7-715009: IKE Deleting SA: Remote Proxy IP_address , Local Proxy IP_address

说明：正在删除具有所列代理地址的 SA。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715013: Tunnel negotiation in progress for destination IP_address , discarding data

说明：IKE 正在为此数据建立隧道。在完全建立隧道之前，系统将会丢弃要受此隧道保护的所有数据包。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715018: IP Range type id was loaded: Direction %s,  From: %a, Through: %a

说明：在更新 IPSEC SA 详细信息时会生成此系统日志消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715019: Group group Username username IP ip IKEGetUserAttributes: Attribute name = name

说明：系统显示由 ASA 处理的 modecfg 属性名称和值对。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715020: construct_cfg_set: Attribute name = name

说明：系统显示由 ASA 传输的 modecfg 属性名称和值对。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715021: Delay Quick Mode processing, Cert/Trans Exch/RM DSID in progress

说明：系统会延迟快速模式处理，直至所有第 1 阶段处理都已完成（针对事务模式）。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715022: Resume Quick Mode processing, Cert/Trans Exch/RM DSID completed

说明：第 1 阶段处理已完成，并且正在恢复快速模式。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715027: IPsec SA Proposal # chosen_proposal , Transform # chosen_transform acceptable Matches global IPsec SA entry # crypto_map_index

说明：已从响应方收到的负载中选择所指示的 IPsec SA 提议和转换。在尝试调试 IKE 协商问题时，此数据可能有用。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715028: IKE SA Proposal # 1, Transform # chosen_transform acceptable Matches global IKE entry # crypto_map_index

说明：已从响应方收到的负载中选择所指示的 IKE SA 转换。在尝试调试 IKE 协商问题时，此数据可能有用。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715031: Obtained IP addr (%s) prior to initiating Mode Cfg (XAuth %s)

说明：在 IP 实用程序子系统分配 IP 地址后，将会生成此系统日志。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715032: Sending subnet mask (%s) to remote client

说明：在 IP 实用程序子系统分配 IP 地址后，将会生成此系统日志。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715033: Processing CONNECTED notify (MsgId message_number )

说明：ASA 正在处理包含通知类型为“已连接”(16384) 的通知负载的消息。“已连接”通知类型用于完成提交位处理，并且应包含在从响应方发送到发起方的第四个整体快速模式数据包中。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715034: action IOS keep alive payload: proposal=time 1 /time 2 sec.

说明：正在执行对于发送或接收保持连接负载消息的处理。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715035: Starting IOS keepalive monitor: seconds sec.

说明：保持连接计时器将对保持连接消息进行监控，时长可变且单位为秒。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715036: Sending keep-alive of type notify_type (seq number number )

说明：正在执行对于发送保持连接通知消息的处理。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715037: Unknown IOS Vendor ID version: major.minor.variance

说明：此版本的思科 IOS 的功能未知。

建议的操作：可能与 IKE 保持连接等功能存在互通问题。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715038: action Spoofing_information Vendor ID payload (version: major.minor.variance , capabilities: value )

说明：已执行对于思科 IOS 供应商 ID 负载的处理。正在执行的操作可能是 Altiga 在监听思科 IOS。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715039: Unexpected cleanup of tunnel table entry during SA delete.

说明：释放 SA 后，系统永远不会删除 IKE 隧道表中的条目。这表示状态机存在缺陷。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715040: Deleting active auth handle during SA deletion: handle = internal_authentication_handle

错误消息：身份验证句柄在 SA 删除期间仍然处于活动状态。这是在错误状况下清除恢复过程的环节。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715041: Received keep-alive of type keepalive_type , not the negotiated type

说明：意外收到了消息中指示的类型的保持连接连接。

建议的操作：检查两个对等体上的保持连接配置。

错误消息 %ASA-7-715042: IKE received response of type failure_type to a request from the IP_address utility

说明：无法从提供 IP 地址的内部实用程序中请求远程访问客户端的 IP 地址。消息字符串中的变量文本更具体地指示出错原因。

建议的操作：检查 IP 地址分配配置并相应地调整。

错误消息 %ASA-7-715044: Ignoring Keepalive payload from vendor not support KeepAlive capability

说明：收到了来自供应商的思科 IOS 保持连接负载，但未设置保持连接功能。系统将忽略该负载。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715045: ERROR: malformed Keepalive payload

说明：收到了格式错误的保持连接负载。系统将忽略该负载。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715046: Group = groupname , Username = username , IP = IP_address , constructing payload_description payload

说明：来自特定组和用户的远程客户端的 IP 地址显示有关正在构建的 IKE 负载的详细信息。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715047: processing payload_description payload

说明：系统显示已收到和正在处理的 IKE 负载的详细信息。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715048: Send VID_type VID

说明：系统显示正在发送的供应商 ID 负载的类型。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715049: Received VID_type VID

说明：系统显示已收到的供应商 ID 负载的类型。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715050: Claims to be IOS but failed authentication

说明：收到的供应商 ID 类似于思科 IOS VID，但与 hmac_sha 不匹配。

建议的操作：检查两个对等体上的供应商 ID 配置。如果此问题影响互通性且问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715051: Received unexpected TLV type TLV_type while processing FWTYPE ModeCfg Reply

说明：处理 FWTYPE ModeCfg 应答时，在 ASA 记录中收到了未知 TLV。系统将丢弃该 TLV。在数据包损坏或连接客户端支持更高版本的 ASA 协议时，可能会发生此情况。

建议的操作：检查思科 VPN 客户端上安装的个人防火墙和 ASA 上的个人防火墙配置。这也可能表示 VPN 客户端和 ASA 之间的版本不匹配。

错误消息 %ASA-7-715052: Old P1 SA is being deleted but new SA is DEAD, cannot transition centries

说明：正在删除旧 P1 SA，但没有任何要转换到的新 SA，因为它也已标记为删除。这通常表示两个 IKE 对等体不同步，并且可能使用的是不同的密钥更新时间。该问题应会自行更正，但在重新建立全新 P1 SA 之前，可能会有少量的数据丢失。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715053: MODE_CFG: Received request for attribute_info !

说明：ASA 收到了请求指定属性的模式配置消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715054: MODE_CFG: Received attribute_name reply: value

说明：ASA 从远程对等体收到了模式配置应答消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715055: Send attribute_name

说明：ASA 已向远程对等体发送模式配置消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715056: Client is configured for TCP_transparency

说明：由于为 IPsec over TCP 配置了远程端（客户端），因此头端 ASA 不得与客户端协商 IPsec over UDP 或 IPsec over NAT-T。

建议的操作：如果隧道未启动，则 NAT 透明度配置可能需要调整其中一个对等体。

错误消息 %ASA-7-715057: Auto-detected a NAT device with NAT-Traversal. Ignoring IPsec-over-UDP configuration.

说明：由于检测到 NAT 穿越，因此将不交换 IPsec-over-UDP 模式配置信息。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715058: NAT-Discovery payloads missing. Aborting NAT-Traversal.

说明：在交换 NAT 穿越 VID 后，远程端未提供 NAT 穿越所需的 NAT 发现负载。必须至少收到两个 NAT 发现负载。

建议的操作：这可能表示 NAT-T 实施不合格。如果违规对等体是思科产品，并且问题仍然存在，请联系思科 TAC。如果违规对等体不是思科产品，则联系制造商支持团队。

错误消息 %ASA-7-715059: Proposing/Selecting only UDP-Encapsulated-Tunnel and UDP-Encapsulated-Transport modes defined by NAT-Traversal

说明：需要使用这些模式而不是 SA 中定义的普通传输和隧道模式，才能成功协商 NAT 穿越。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715060: Dropped received IKE fragment. Reason: reason

说明：系统将显示丢弃分段的原因。

建议的操作：建议的操作取决于丢弃原因，但可能表示有 NAT 设备干预或对等体不合格问题。

错误消息 %ASA-7-715061: Rcv'd fragment from a new fragmentation set. Deleting any old fragments.

说明：发生了重新发送分段为其他 MTU 的相同数据包或整体重新发送另一个数据包的情况。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715062: Error assembling fragments! Fragment numbers are non-continuous.

说明：分段编号存在间隔。

建议的操作：这可能表示存在网络问题。如果该情况仍然存在并导致隧道断开或阻止特定对等体与 ASA进行协商，请联系思科 TAC。

错误消息 %ASA-7-715063: Successfully assembled an encrypted pkt from rcv'd fragments!

说明：收到的分段数据包组装成功。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715064 -- IKE Peer included IKE fragmentation capability flags: Main Mode: true /false Aggressive Mode: true /false

说明：对等体支持基于消息中提供的信息的 IKE 分段。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715065: IKE state_machine subtype FSM error history (struct data_structure_address ) state , event : state /event pairs

说明：发生第 1 阶段错误，并且 state、event 历史记录对将按反向时间顺序显示。

建议的操作：大多数这些错误都是良性的。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715066: Can't load an IPsec SA! The corresponding IKE SA contains an invalid logical ID.

说明：IKE SA 中的逻辑 ID 为空。第二阶段协商将中断。

建议的操作：发生了内部错误。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715067: QM IsRekeyed: existing sa from different peer, rejecting new sa

说明：正在建立的局域网间 SA 已存在，即，具有同一远程网络但源自不同对等体的 SA。系统将删除此新 SA，因为这不是合法配置。

建议的操作：检查所有关联对等体上的局域网间配置。具体而言，多个对等体不应共享专用网络。

错误消息 %ASA-7-715068: QM IsRekeyed: duplicate sa found by address , deleting old sa

说明：正在建立的远程访问 SA 已存在，即，具有同一远程网络但源自不同对等体的 SA。系统将删除旧 SA，因为对等体可能已更改其 IP 地址。

建议的操作：这可能是良性情况，尤其是如果突然终止了客户端隧道。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715069: Invalid ESP SPI size of SPI_size

说明：ASA 收到了 ESP SPI 大小无效的 IPsec SA 提议。系统将跳过此提议。

建议的操作：通常，这是良性情况，但可能表示对等体不合格。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715070: Invalid IPComp SPI size of SPI_size

说明：ASA 收到了 IPComp SPI 大小无效的 IPsec SA 提议。系统将跳过此提议。

建议的操作：通常，这是良性情况，但可能表示对等体不合格。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715071: AH proposal not supported

说明：不支持该 IPsec AH 提议。系统将跳过此提议。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715072: Received proposal with unknown protocol ID protocol_ID

说明：ASA 收到了具有未知协议 ID 的 IPsec SA 提议。系统将跳过此提议。

建议的操作：通常，这是良性情况，但可能表示对等体不合格。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715074: Could not retrieve authentication attributes for peer IP_address

说明：ASA 无法获取远程用户的授权信息。

建议的操作：确保已正确配置身份验证和授权设置。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-715075: Group = group_name , IP = IP_address Received keep-alive of type message_type (seq number number )

说明：此消息与 DPD R-U-THERE 消息 715036（记录 DPD 发送消息）配对。

• group_name - 对等体的 VPN 组名称
• IP_address - VPN 对等体的 IP 地址
• message_type - 消息类型（DPD R-U-THERE 或 DPD R-U-THERE-ACK）
• number - DPD 序列号

可能会出现以下两种情况：

• 收到对等体发送 DPD R-U-THERE 消息
• 收到对等体应答 DPD R-U-THERE-ACK 消息

请注意下列说明：

• 收到 DPD R-U-THERE 消息，并且其序列号与传出 DPD 应答消息匹配。

如果 ASA 在未先从对等体收到 DPD R-U-THERE 消息的情况下发送 DPD R-U-THERE-ACK 消息，则可能会出现安全漏洞。

• 收到的 DPD R-U-THERE-ACK 消息的序列号与先前发送的 DPD 消息匹配。

如果 ASA 在向对等体发送 DPD R-U-THERE 消息后未在合理的时间内收到 DPD R-U-THERE-ACK 消息，则隧道很可能已关闭。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715076: Computing hash for ISAKMP

说明：IKE 已计算各种散列值。

此对象将按如下所示进行前置：

Group = >groupname , Username = >username , IP = >ip_address ...

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715077: Pitcher: msg string , spi spi

说明：已将各种消息发送到 IKE。

Msg_string 可以是下列其中一项：

• Received a key acquire message
• Received SPI for nonexistent SA
• Received key delete msg
• Received KEY_UPDATE
• Received KEY_REKEY_IB
• Received KEY_REKEY_OB
• Received KEY_SA_ACTIVE
• Could not find IKE SA to activate IPSEC (OB)
• Could not find IKE SA to rekey IPSEC (OB)
• KEY_SA_ACTIVE no centry found
• KEY_ADD centry not found
• KEY_UPDATE centry not found

此对象将按如下所示进行前置：

Group = >groupname , Username = >username , IP = >ip_address ,...

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715078: Received %s LAM attribute

说明：在解析质询/响应负载期间将生成此系统日志。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715079: INTERNAL_ADDRESS: Received request for %s

说明：在处理内部地址负载期间将生成此系统日志。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-715080: VPN: Starting P2 rekey timer: 28800 seconds.

错误消息：IKE 密钥更新计时器已启动。

建议的操作：无需执行任何操作。

错误消息%ASA-6-716001: Group group User user IP ip WebVPN session started.

说明：已对该组中位于指定 IP 地址的用户启动 WebVPN 会话。当用户通过 WebVPN 登录页面登录时，WebVPN 会话将启动。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716002: Group GroupPolicy User username IP ip WebVPN session terminated: User requested.

说明：用户请求已终止 WebVPN 会话。可能的原因包括：

• Lost carrier（丢失运营商连接）
• Lost service（服务丢失）
• Idle timeout（空闲超时）
• Max time exceeded（超过最长时间限制）
• Administrator reset（管理员重置）
• Administrator reboot（管理员重启）
• Administrator shutdown（管理员关闭）
• Port error（端口错误）
• NAS error（NAS 错误）
• NAS request（NAS 请求）
• NAS reboot（NAS 重启）
• Port unneeded（不需要端口）
• Port preempted（端口已被占用）。此原因表示已超过允许的同时（同一用户）登录数。要解决此问题，请增大同时登录数，或者要求用户仅使用给定的用户名和密码登录一次。
• Port suspended（端口已挂起）
• Service unavailable（服务不可用）
• Callback（执行回调）
• User error（用户错误）
• Host requested（已请求主机）
• Bandwidth management error（带宽管理错误）
• ACL parse error（ACL 解析错误）
• VPN simultaneous logins limit specified in the group policy（组策略中指定了 VPN 同时登录数限制）
• Unknown（未知）

建议的操作：除非相应原因表明存在问题，否则无需执行任何操作。

错误消息 %ASA-6-716003: Group group User user IP ip WebVPN access “GRANTED: url ”

说明：已授予该组中位于指定 IP 地址的 WebVPN 用户对此 URL 的访问权限。可以使用 WebVPN 特定 ACL 来控制对各种位置的用户访问权限。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716004: Group group User user WebVPN access DENIED to specified location: url

说明：已拒绝该组中的 WebVPN 用户对此 URL 的访问。可以使用 WebVPN 特定 ACL 来控制对各种位置的 WebVPN 用户访问权限。在此情况下，特定条目将拒绝用户访问此 URL。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716005: Group group User user WebVPN ACL Parse Error: reason

说明：指定组中的 WebVPN 用户的 ACL 未能正确解析。

建议的操作：更正 WebVPN ACL。

错误消息 %ASA-6-716006: Group name User user WebVPN session terminated. Idle timeout.

说明：由于 VPN 隧道协议未设置为 WebVPN，因此没有为指定组中的用户创建 WebVPN 会话。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-716007: Group group User user WebVPN Unable to create session.

说明：由于资源问题，系统没有为指定组中的用户创建 WebVPN 会话。例如，用户可能已达到最大登录限制。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716008: WebVPN ACL: action

说明：WebVPN ACL 已开始执行操作（例如，开始解析）。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716009: Group group User user WebVPN session not allowed. WebVPN ACL parse error.

说明：由于未解析关联的 ACL，因此系统不允许此组中的指定用户执行 WebVPN 会话。在更正此错误之前，系统将不允许用户通过 WebVPN 登录。

建议的操作：更正 WebVPN ACL。

错误消息 %ASA-7-716010: Group group User user Browse network.

说明：指定组中的 WebVPN 用户已浏览网络。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716011: Group group User user Browse domain domain .

说明：该组中的 WebVPN 指定用户已浏览指定的域。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716012: Group group User user Browse directory directory .

说明：指定的 WebVPN 用户已浏览指定的目录。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716013: Group group User user Close file filename .

说明：指定的 WebVPN 用户已关闭指定的文件。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716014: Group group User user View file filename .

说明：指定的 WebVPN 用户已查看指定的文件。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716015: Group group User user Remove file filename .

说明：指定的组中的 WebVPN 用户已删除指定的文件。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716016: Group group User user Rename file old_filename to new_filename .

说明：指定的 WebVPN 用户已重命名指定的文件。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716017: Group group User user Modify file filename .

说明：指定的 WebVPN 用户已修改指定的文件。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716018: Group group User user Create file filename .

说明：指定的 WebVPN 用户已创建指定的文件。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716019: Group group User user Create directory directory .

说明：指定的 WebVPN 用户已创建指定的目录。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716020: Group group User user Remove directory directory .

说明：指定的 WebVPN 用户已删除指定的目录。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716021: File access DENIED, filename .

说明：已拒绝指定的 WebVPN 用户访问指定的文件。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-716022: Unable to connect to proxy server reason .

说明：由于所指出的原因，WebVPN HTTP/HTTPS 重定向失败。

建议的操作：检查 HTTP/HTTPS 代理配置。

错误消息 %ASA-4-716023: Group name User user Session could not be established: session limit of maximum_sessions reached.

说明：由于当前会话数超过了最大会话数，因此无法建立用户会话。

建议的操作：如果可能，请增加配置限制以创建负载均衡的集群。

错误消息 %ASA-7-716024: Group name User user Unable to browse the network.Error: description

说明：用户无法使用 CIFS 协议浏览 Windows 网络，如说明中所示。例如，“Unable to contact necessary server”表示远程服务器不可用或无法访问。这可能是一种瞬时情况，也可能需要进一步执行故障排除。

建议的操作：检查 WebVPN 设备和 CIFS 协议所访问的服务器之间的连接。此外，请检查 ASA 上的 NetBIOS 名称服务器配置。

错误消息 %ASA-7-716025: Group name User user Unable to browse domain domain . Error: description

说明：用户无法使用 CIFS 协议浏览远程域。

建议的操作：检查 WebVPN 设备和 CIFS 协议所访问的服务器之间的连接。检查 ASA 上的 NetBIOS 名称服务器配置。

错误消息 %ASA-7-716026: Group name User user Unable to browse directory directory . Error: description

说明：用户无法使用 CIFS 协议浏览远程目录。

建议的操作：检查 WebVPN 设备和 CIFS 协议所访问的服务器之间的连接。此外，请检查 ASA 上的 NetBIOS 名称服务器配置。

错误消息 %ASA-7-716027: Group name User user Unable to view file filename . Error: description

说明：用户无法使用 CIFS 协议查看远程文件。

建议的操作：检查 WebVPN 设备和 CIFS 协议所访问的服务器之间的连接。此外，请检查 ASA 上的 NetBIOS 名称服务器配置。

错误消息 %ASA-7-716028: Group name User user Unable to remove file filename . Error: description

说明：用户无法使用 CIFS 协议删除远程文件，这可能是缺少文件权限导致的。

建议的操作：检查 WebVPN 设备和 CIFS 协议所访问的服务器之间的连接。此外，请检查 ASA 上的 NetBIOS 名称服务器配置和文件权限。

错误消息 %ASA-7-716029: Group name User user Unable to rename file filename . Error: description

说明：用户无法使用 CIFS 协议重命名远程文件，这可能是缺少文件权限导致的。

建议的操作：检查 WebVPN 设备和 CIFS 协议所访问的服务器之间的连接。此外，请检查 ASA 上的 NetBIOS 名称服务器配置和文件权限。

错误消息 %ASA-7-716030: Group name User user Unable to modify file filename . Error: description

说明：当用户尝试使用 CIFS 协议修改现有文件时发生了问题，这可能是缺少文件权限导致的。

建议的操作：检查 WebVPN 设备和 CIFS 协议所访问的服务器之间的连接。此外，请检查 ASA 上的 NetBIOS 名称服务器配置和文件权限。

错误消息 %ASA-7-716031: Group name User user Unable to create file filename . Error: description

说明：当用户尝试使用 CIFS 协议创建文件时发生了问题，这可能是文件权限问题导致的。

建议的操作：检查 WebVPN 设备和 CIFS 协议所访问的服务器之间的连接。此外，请检查 ASA 上的 NetBIOS 名称服务器配置和文件权限。

错误消息 %ASA-7-716032: Group name User user Unable to create folder folder . Error: description

说明：当用户尝试使用 CIFS 协议创建文件夹时发生了问题，这可能是文件权限问题导致的。

建议的操作：检查 WebVPN 设备和 CIFS 协议所访问的服务器之间的连接。此外，请检查 ASA 上的 NetBIOS 名称服务器配置和文件权限。

错误消息 %ASA-7-716033: Group name User user Unable to remove folder folder . Error: description

说明：当 CIFS 协议用户尝试删除文件夹时发生了问题，这可能是权限问题或者与该文件所在的服务器通信时发生问题导致的。

建议的操作：检查 WebVPN 设备和 CIFS 协议所访问的服务器之间的连接。此外，请检查 ASA 上的 NetBIOS 名称服务器配置。

错误消息 %ASA-7-716034: Group name User user Unable to write to file filename .

说明：当用户尝试使用 CIFS 协议对文件进行写入时发生了问题，这可能是权限问题或者与该文件所在的服务器通信时发生问题导致的。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716035: Group name User user Unable to read file filename .

说明：当 CIFS 协议用户尝试读取文件时发生了问题，这可能是文件权限问题导致的。

建议的操作：检查文件权限。

错误消息 %ASA-7-716036: Group name User user File Access: User user logged into the server server.

说明：用户已成功使用 CIFS 协议登录服务器

建议的操作：无需执行任何操作。

错误消息 %ASA-7-716037: Group name User user File Access: User user failed to login into the server server.

说明：用户已尝试使用 CIFS 协议登录服务器，但未成功。

建议的操作：验证用户是否输入了正确的用户名和密码。

错误消息 %ASA-6-716038: Group group User user IP ip Authentication: successful, Session Type: WebVPN.

说明：必须在本地或远程服务器（例如 RADIUS 或 TACACS+）成功对用户进行身份验证后，WebVPN 会话才能启动。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716039: Authentication: rejected, group = name user = user , Session Type: %s

说明：必须在本地或远程服务器（例如 RADIUS 或 TACACS+）成功对用户进行身份验证后，WebVPN 会话才能启动。在此情况下，用户凭证（用户名和密码）未匹配，或者用户不具有启动 WebVPN 会话的权限。用户名在无效或未知时隐藏，但在有效或配置了 no logging hide username 命令时显示。

• %s - 会话类型，可以是 WebVPN 或 admin

建议的操作：验证本地或远程服务器上的用户凭证，并且验证是否为用户配置了 WebVPN。

错误消息 %ASA-6-716040: Reboot pending, new sessions disabled. Denied user login.

说明：用户无法登录到 WebVPN，因为 ASA 正在重启。

• user - 会话用户

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716041: access-list acl_ID action url url hit_cnt count

说明：系统允许或拒绝其 action 的位置 url 已 count 次命中名为 acl_ID 的 WebVPN URL。

• acl_ID - WebVPN URL ACL
• count - 已访问该 URL 的次数
• url - 已访问的 URL
• action - 用户操作

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716042: access-list acl_ID action tcp source_interface /source_address (source_port ) - dest_interface /dest_address (dest_port ) hit-cnt count

说明：在系统允许或拒绝其 action 的源接口 source_interface/source_address 和转发到 dest_interface/dest_address 目的 dest_port 的源端口 source_port 上收到的数据包已 count 次命中名为 acl_ID 的 WebVPN TCP。

• count - 已访问该 ACL 的次数
• source_interface - 源接口
• source_address - 源 IP 地址
• source_port - 源端口
• dest_interface - 目的接口
• dest_address - 目的 IP 地址
• action - 用户操作

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716043 Group group-name , User user-name , IP IP_address : WebVPN Port Forwarding Java applet started. Created new hosts file mappings.

说明：用户已从 WebVPN 会话启动 TCP 端口转发小应用程序。

• group-name - 与此会话关联的组名称
• user-name - 与此会话关联的用户名
• IP_address - 与此会话关联的源 IP 地址

建议的操作：无需执行任何操作。

错误消息 % ASA-4-716044: Group group-name User user-name IP IP_address AAA parameter param-name value param-value out of range.

说明：给定参数的值错误。

• group-name - 组的名称
• user-name - 用户的名称
• IP_address - IP 地址
• param-name - 参数的名称
• param-value - 参数的值

建议的操作：修改配置以更正所指示的参数。如果参数为 vlan 或 nac-settings，请验证是否在 AAA 服务器和 ASA 上正确配置了该参数。

错误消息 %ASA-4-716045: Group group-name User user-name IP IP_address AAA parameter param-name value invalid.

说明：给定参数的值错误。 该值未显示，因为它可能很长。

• group-name - 组的名称
• user-name - 用户的名称
• IP_address - IP 地址
• param-name - 参数的名称

建议的操作：修改配置以更正所指示的参数。

错误消息 % ASA-4-716046: Group group-name User user-name IP IP_address User ACL access-list-name from AAA doesn't exist on the device, terminating connection.

说明：在 ASA 上找不到指定的 ACL。

• group-name - 组的名称
• user-name - 用户的名称
• IP_address - IP 地址
• access-list-name - ACL 的名称

建议的操作：修改配置以添加指定的 ACL 或更正 ACL 名称。

错误消息 % ASA-4-716047: Group group-name User user-name IP IP_address User ACL access-list-name from AAA ignored, AV-PAIR ACL used instead.

说明：由于使用了思科 AV-PAIR ACL，因此系统未使用指定的 ACL。

• group-name - 组的名称
• user-name - 用户的名称
• IP_address - IP 地址
• access-list-name - ACL 的名称

建议的操作：确定要使用的正确 ACL 并更正配置。

错误消息 % ASA-4-716048: Group group-name User user-name IP IP_address No memory to parse ACL.

说明：没有足够的内存来解析 ACL。

• group-name - 组的名称
• user-name - 用户的名称
• IP_address - IP 地址

建议的操作：购买更多内存，升级 ASA 或减少其负载。

错误消息 %ASA-6-716049: Group group-name User user-name IP IP_address Empty SVC ACL.

说明：客户端要使用的 ACL 为空。

• group-name - 组的名称
• user-name - 用户的名称
• IP_address - IP 地址

建议的操作：确定要使用的正确 ACL 使用并修改配置。

错误消息 %ASA-6-716050: Error adding to ACL: ace_command_line

说明：ACL 条目有语法错误。

• ace_command_line - 导致此错误的 ACL 条目

建议的操作：更正可下载的 ACL 配置。

错误消息 %ASA-6-716051: Group group-name User user-name IP IP_address Error adding dynamic ACL for user.

说明：没有足够的内存来执行操作。

• group-name - 组的名称
• user-name - 用户的名称
• IP_address - IP 地址

建议的操作：购买更多内存，升级 ASA 或减少其负载。

错误消息 %ASA-4-716052: Group group-name User user-name IP IP_address Pending session terminated.

说明：用户未完成登录，并且待处理会话已终止。这可能是由于 SVC 无法连接。

• group-name - 组的名称
• user-name - 用户的名称
• IP_address - IP 地址

建议的操作：检查用户 PC 的 SVC 兼容性。

错误消息 %ASA-5-716053: SSO Server added: name: name Type: type

说明：已配置指定类型的 SSO 服务器名称。

• name - 服务器的名称
• type - 服务器的类型（唯一服务器类型为 SiteMinder）

建议的操作：无需执行任何操作。

错误消息 %ASA-5-716054: SSO Server deleted: name: name Type: type

说明：已从配置中删除指定类型的 SSO 服务器名称。

• name - 服务器的名称
• type - 服务器的类型（唯一服务器类型为 SiteMinder）

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716055: Group group-name User user-name IP IP_address Authentication to SSO server name: name type type succeeded

说明：WebVPN 用户已成功向 SSO 服务器进行身份验证。

• group-name - 组名称
• user-name - 用户名
• IP_address - 服务器的 IP 地址
• name - 服务器的名称
• type - 服务器的类型（唯一服务器类型为 SiteMinder）

建议的操作：无需执行任何操作。

错误消息 %ASA-3-716056: Group group-name User user-name IP IP_address Authentication to SSO server name: name type type failed reason: reason

说明：WebVPN 用户未能向 SSO 服务器进行身份验证。

• group-name - 组名称
• user-name - 用户名
• IP_address - 服务器的 IP 地址
• name - 服务器的名称
• type - 服务器的类型（唯一服务器类型为 SiteMinder）
• reason - 身份验证失败的原因

建议的操作：用户或 ASA 管理员需要根据失败的原因来更正该问题。

错误消息 %ASA-3-716057: Group group User user IP ip Session terminated, no type license available.

说明：用户已尝试使用未经许可的客户端来连接 ASA。如果临时许可证已到期，也可能会出现此消息。

• group - 用户登录所使用的组策略
• user - 用户的名称
• IP - 用户的 IP 地址
• type - 所请求的许可证类型，可以是下列其中一项：

- AnyConnect Mobile

- LinkSys Phone

- 客户端请求的许可证类型（如果不是 AnyConnect Mobile 或 LinkSys Phone）

- 未知

建议的操作：应购买并安装具有相应功能的永久许可证。

错误消息 %ASA-6-716058: Group group User user IP ip AnyConnect session lost connection. Waiting to resume.

说明：SSL 隧道已断开连接，并且 AnyConnect 会话进入非活动状态，这可能是主机休眠，主机处于备用状态或网络连接丢失导致的。

• group - 与 AnyConnect 会话关联的隧道组名称
• user - 与会话关联的用户的名称
• ip - 会话的源 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716059: Group group User user IP ip AnyConnect session resumed. Connection from ip2 .

说明：AnyConnect 会话已从从非活动状态中恢复。

• group - 与 AnyConnect 会话关联的隧道组名称
• user - 与会话关联的用户的名称
• ip - 会话的源 IP 地址
• ip2 - 恢复该会话的主机的源 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-6-716060: Group group User user IP ip Terminated AnyConnect session in inactive state to accept a new connection. License limit reached.

说明：处于非活动状态的 AnyConnect 会话已注销，从而允许新的传入 SSL VPN（AnyConnect 或无客户端）连接。

• group - 与 AnyConnect 会话关联的隧道组名称
• user - 与会话关联的用户的名称
• ip - 会话的源 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-3-716061: Group DfltGrpPolicy User user IP ip addr IPv6 User Filter tempipv6 configured for AnyConnect. This setting has been deprecated, terminating connection

说明：IPv6 VPN 过滤器已弃用，如果为 IPv6 流量访问控制配置了 IPv6 VPN 过滤器而不是统一过滤器，连接将被终止。

建议的操作：为统一过滤器配置 IPv6 条目，以控制用户的 IPv6 流量。

错误消息 %ASA-2-716500: internal error in: function : Fiber library cannot locate AK47 instance

说明：光纤库无法找到应用内核层 4 到 7 的实例。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716501: internal error in: function : Fiber library cannot attach AK47 instance

说明：光纤库无法附加应用内核层 4 到 7 的实例。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716502: internal error in: function : Fiber library cannot allocate default arena

说明：光纤库无法分配默认领域。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716503: internal error in: function : Fiber library cannot allocate fiber descriptors pool

说明：光纤库无法分配光纤描述符池。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716504: internal error in: function : Fiber library cannot allocate fiber stacks pool

说明：光纤库无法分配光纤堆栈池。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716505: internal error in: function : Fiber has joined fiber in unfinished state

说明：光纤已加入处于未完成状态的光纤。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716506: UNICORN_SYSLOGID_JOINED_UNEXPECTED_FIBER

说明：已生成内部光纤库。

建议的操作：联系思科 TAC。

错误消息 %ASA-1-716507: Fiber scheduler has reached unreachable code. Cannot continue, terminating.

说明：ASA 遇到意外错误并已恢复。

建议的操作：检查高 CPU 使用率或 CPU 占用，以及潜在的内存泄漏。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-1-716508: internal error in: function : Fiber scheduler is scheduling rotten fiber. Cannot continuing terminating

说明：光纤调度程序调度的是腐坏光纤，因此其无法继续终止。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-1-716509:internal error in: function : Fiber scheduler is scheduling alien fiber. Cannot continue terminating

说明：光纤调度程序调度的是外来光纤，因此其无法继续终止。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-1-716510:internal error in: function : Fiber scheduler is scheduling finished fiber. Cannot continue terminating

说明：光纤调度程序调度的是成品光纤，因此其无法继续终止。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716512:internal error in: function : Fiber has joined fiber waited upon by someone else

说明：光纤已加入其他人员等待的光纤。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716513: internal error in: function : Fiber in callback blocked on other channel

说明：回调中的光纤在另一条通道上已堵塞。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716515:internal error in: function : OCCAM failed to allocate memory for AK47 instance

说明：OCCAM 未能为 AK47 实例分配内存。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-1-716516: internal error in: function : OCCAM has corrupted ROL array. Cannot continue terminating

说明：OCCAM 具有已损坏的 ROL 阵列，因此其无法继续终止。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716517: internal error in: function : OCCAM cached block has no associated arena

说明：OCCAM 缓存块没有任何关联领域。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716518: internal error in: function : OCCAM pool has no associated arena

说明：OCCAM 池没有任何关联领域。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-1-716519: internal error in: function : OCCAM has corrupted pool list. Cannot continue terminating

说明：OCCAM 具有已损坏的池列表，因此其无法继续终止。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716520:internal error in: function : OCCAM pool has no block list

说明：OCCAM 池没有任何阻止列表。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716521: internal error in: function : OCCAM no realloc allowed in named pool

说明：OCCAM 不允许在指定池中重新分配。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716522: internal error in: function : OCCAM corrupted standalone block

说明：OCCAM 具有已损坏的独立块。

建议的操作：要确定问题的原因，请联系思科 TAC。

错误消息 %ASA-2-716525: UNICORN_SYSLOGID_SAL_CLOSE_PRIVDATA_CHANGED

说明：发生内部 SAL 错误。

建议的操作：联系思科 TAC。

错误消息 %ASA-2-716526: UNICORN_SYSLOGID_PERM_STORAGE_SERVER_LOAD_FAIL

说明：安装永久存储服务器目录失败。

建议的操作：联系思科 TAC。

错误消息 %ASA-2-716527: UNICORN_SYSLOGID_PERM_STORAGE_SERVER_STORE_FAIL

说明：安装永久存储文件失败。

建议的操作：联系思科 TAC。

错误消息 %ASA-1-716528: Unexpected fiber scheduler error; possible out-of-memory condition

说明：ASA 遇到意外错误并已恢复。

建议的操作：检查高 CPU 使用率或 CPU 占用，以及潜在的内存泄漏。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-716600: Rejected size-recv KB Hostscan data from IP src-ip . Hostscan results exceed default | configured limit of size-conf KB.

说明：当接收到的 Hostscan 数据的大小超出 ASA 上配置的限制时，将会丢弃这些数据。

• size-recv - 收到的 Hostscan 数据的大小（以千字节为单位）
• src-ip - 源 IP 地址
• default | configured - 指定 Hostscan 数据限制的值是采用默认值还是由管理员进行配置的关键字
• size-conf - ASA 从客户端接受的 Hostscan 数据大小的已配置上限

建议的操作：联系思科 TAC 以增大 ASA 从客户端接受的 Hostscan 数据大小的上限。

错误消息 %ASA-3-716601: Rejected size-recv KB Hostscan data from IP src-ip . System-wide limit on the amount of Hostscan data stored on FTD exceeds the limit of data-max KB.

说明：当 ASA 上存储的 Hostscan 数据量超出限制时，将会拒绝新的 Hostscan 结果。

• size-recv - 收到的 Hostscan 数据的大小（以千字节为单位）
• src-ip - 源 IP 地址
• data-max - 要由 ASA 存储的 Hostscan 结果量的限制（以千字节为单位）

建议的操作：联系思科 TAC 以更改对存储的 Hostscan 数据的限制。

错误消息 %ASA-3-716602: Memory allocation error. Rejected size-recv KB Hostscan data from IP src-ip .

说明：在为 Hostscan 数据分配内存时发生错误。

• size-recv - 收到的 Hostscan 数据的大小（以千字节为单位）
• src-ip - 源 IP 地址

建议的操作：如果已配置 Hostscan 限制，请将该限制设置为默认值。如果问题仍然存在，请联系 Cisco TAC。

错误消息 %ASA-7-716603: Received size-recv KB Hostscan data from IP src-ip .

说明：已成功收到指定大小的 Hostscan 数据。

• size-recv - 收到的 Hostscan 数据的大小（以千字节为单位）
• src-ip - 源 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-3-717001: Querying keypair failed.

说明：在注册请求期间找不到所需的密钥对。

建议的操作：验证信任点配置中是否存在有效的密钥对，然后重新提交注册请求。

错误消息 %ASA-3-717002: Certificate enrollment failed for trustpoint trustpoint_name. Reason: reason_string .

说明：此信任点的注册请求失败。

• trustpoint name - 注册请求所对应的信任点名称
• reason_string - 注册请求失败的原因

建议的操作 - 检查 CA 服务器以查明失败原因。

错误消息 %ASA-6-717003: Certificate received from Certificate Authority for trustpoint trustpoint_name .

说明：已从此信任点的 CA 成功收到证书。

• trustpoint_name - 信任点名称

建议的操作：无需执行任何操作

错误消息 %ASA-6-717004: PKCS #12 export failed for trustpoint trustpoint_name .

说明：由于以下情况之一，信任点未能导出：仅存在 CA 证书，并且信任点不存在身份证书，或者缺少所需的密钥对。

• trustpoint_name - 信任点名称

建议的操作：确保给定信任点存在所需的证书和密钥对。

错误消息 %ASA-6-717005: PKCS #12 export succeeded for trustpoint trustpoint_name .

说明：已成功导出信任点。

• trustpoint_name - 信任点名称

建议的操作：无需执行任何操作

错误消息 %ASA-6-717006: PKCS #12 import failed for trustpoint trustpoint_name .

说明：未能处理对请求的信任点的导入。

• trustpoint_name - 信任点名称

建议的操作：验证导入数据的完整性。然后，确保正确粘贴整个 pkcs12 记录，并重新导入数据。

错误消息 %ASA-6-717007: PKCS #12 import succeeded for trustpoint trustpoint_name .

说明：已成功完成对请求的信任点的导入。

• trustpoint_name - 信任点名称

建议的操作：无需执行任何操作。

错误消息 %ASA-2-717008: Insufficient memory to process_requiring_memory.

说明：在尝试为需要内存的进程分配内存时发生内部错误。其他进程在分配内存时可能会遇到问题并阻止进一步处理。

• process_requiring_memory - 需要内存的指定进程

建议的操作：收集内存统计信息和日志以进一步调试并重新加载 ASA。

错误消息 %ASA-3-717009: Certificate validation failed. Reason: reason_string .

说明：证书验证失败，这可能是由尝试验证已吊销的证书、证书属性无效或配置问题所导致。

• reason_string - 证书验证失败的原因

建议的操作：如果原因表示找不到合适的信任点，请确保配置具有配置用于验证的有效信任点。检查 ASA 时间以确保其相对于证书颁发机构时间是准确的。检查失败原因并更正所指示的任何问题。

错误消息 %ASA-3-717010: CRL polling failed for trustpoint trustpoint_name .

说明：CRL 轮询失败，并且可能导致拒绝连接（如果要求进行 CRL 检查）。

• trustpoint_name - 已请求 CRL 的信任点的名称

建议的操作：验证是否存在含已配置的 CRL 分发点的连接，并确保手动 CRL 检索也能够正常运行。

错误消息 %ASA-2-717011: Unexpected event event event_ID

说明：发生了在正常条件下预期不会发生的事件。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-717012: Failed to refresh CRL cache entry from the server for trustpoint trustpoint_name at time_of_failure

说明：在所示失败时间尝试为指定信任点刷新缓存 CRL 条目失败。这可能会造成 ASA 上的 CRL 过时，从而导致拒绝需要有效 CRL 的连接。

• trustpoint_name - 信任点的名称
• time_of_failure-- 失败时间

建议的操作：检查服务器的连接问题，例如网络或服务器已关闭。尝试使用 crypto ca crl retrieve 命令手动检索 CRL。

错误消息 %ASA-5-717013: Removing a cached CRL to accommodate an incoming CRL. Issuer: issuer

说明：当设备配置为使用数字证书对 IPsec 隧道进行身份验证时，可将 CRL 缓存在内存中，以避免每个连接期间都需要下载 CRL。如果缓存填充至无法容纳传入 CRL 的程度，系统将删除较旧的 CRL，直到腾出所需的空间为止。每个清除的 CRL 都会生成此消息。

• issuer - 用于删除缓存 CRL 的设备的名称

建议的操作：无需执行任何操作。

错误消息 %ASA-5-717014: Unable to cache a CRL received from CDP due to size limitations (CRL size = size , available cache space = space )

说明：当设备配置为使用数字证书对 IPsec 隧道进行身份验证时，可将 CRL 缓存在内存中，以避免每个连接期间都需要下载 CRL。当收到的 CRL 太大而无法进行缓存时，会生成此消息。即使未进行缓存，仍然支持大 CRL。这意味着每个 IPsec 连接都将下载 CRL，这可能会在 IPsec 连接激增期间影响性能。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-717015: CRL received from issuer is too large to process (CRL size = crl_size , maximum CRL size = max_crl_size )

说明：IPsec 连接已导致下载大于最大允许 CRL 大小的 CRL。此错误情况会导致连接失败。此消息的速率限制为每 10 秒一条消息。

建议的操作：可扩展性可能是 CRL 吊销检查方法的最大缺点。要解决此问题，仅有的两个选择是调查基于 CA 的解决方案来减小 CRL 大小或将 ASA 配置为无需 CRL 验证。

错误消息 %ASA-6-717016: Removing expired CRL from the CRL cache. Issuer: issuer

说明：当 ASA 配置为使用数字证书对 IPsec 隧道进行身份验证时，可将 CRL 缓存在内存中，以避免每个连接期间都需要下载 CRL。当 CA 指定的到期时间或配置的缓存时间已过并从缓存中删除了 CRL 时，将会生成此消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-717017: Failed to query CA certificate for trustpoint trustpoint_name from enrollment_url

说明：在尝试通过从证书颁发机构请求 CA 证书来对信任点进行身份验证时发生错误。

建议的操作：确保注册 URL 配置有此信任点，确保与 CA 服务器的连接，然后重试请求。

错误消息 %ASA-3-717018: CRL received from issuer has too many entries to process (number of entries = number_of_entries , maximum number allowed = max_allowed )

说明：IPsec 连接已导致下载所包含的吊销条目数超过支持的条目数的 CRL。此错误情况将导致连接失败。此消息的速率限制为每 10 秒一条消息。

• issuer - CRL 颁发者的 X.500 名称
• number_of_entries - 收到的 CRL 中的吊销条目数
• max_allowed - ASA 支持的最大 CRL 条目数

建议的操作：可扩展性可能是 CRL 吊销检查方法的最大缺点。解决此问题的仅有的两个选择是调查基于 CA 的解决方案来减小 CRL 大小或将 ASA配置为无需 CRL 验证。

错误消息 %ASA-3-717019: Failed to insert CRL for trustpoint trustpoint_name . Reason: failure_reason .

说明：系统检索到 CRL，但发现其无效且无法插入到缓存中，原因是 failure_reason。

• trustpoint_name - 已请求 CRL 的信任点的名称
• failure_reason - CRL 未能插入到缓存中的原因

建议的操作：确保当前 ASA 时间相对于 CA 时间正确。如果 NextUpdate 字段缺失，请将信任点配置为忽略 NextUpdate 字段。

错误消息 %ASA-3-717020: Failed to install device certificate for trustpoint label . Reason: reason string .

说明：在尝试将已注册证书注册到或导入到信任点中时发生错误。

• label - 未能安装已注册 ASA 证书的信任点的标签
• reason_string - 无法验证证书的原因

建议的操作：根据失败原因对失败的原因进行纠正，然后重试注册。常见失败原因是将无效证书导入到 ASA 中，或者已注册证书中包含的公钥与信任点中引用的密钥对不匹配。

错误消息 %ASA-3-717021: Certificate data could not be verified. Locate Reason: reason_string serial number: serial number , subject name: subject name , key length key length bits.

说明：由于指定的原因，尝试验证通过序列号和使用者名称识别的证书未成功。当使用签名来验证证书数据时，可能会发生多个应记录的错误，包括密钥类型无效和密钥大小不受支持。

• reason_string - 无法验证证书的原因
• serial number - 正在验证的证书的序列号
• subject name - 正在验证的证书中包含的使用者名称
• key length - 用于对此证书进行签名的密钥的位数

建议的操作：检查指定的证书以确保其有效，即它包含有效的密钥类型，并且不超过支持的最大密钥大小。

错误消息 %ASA-6-717022: Certificate was successfully validated. certificate_identifiers

说明：已成功验证所识别的证书。

• certificate_identifiers - 用于识别已成功验证的证书的信息，其中可能包括原因、序列号、使用者名称和其他信息。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-717023: SSL failed to set device certificate for trustpoint trustpoint name . Reason: reason_string .

说明：在尝试为给定信任点设置 ASA 证书以对 SSL 连接进行身份验证时发生错误。

• trustpoint name - SSL 未能为其设置 ASA 证书的信任点的名称
• reason_string - 表示无法设置 ASA 证书的原因

建议的操作：通过执行以下操作来解决所报告的失败原因指示的问题：

• 确保指定的信任点已注册并具有 ASA 证书。
• 确保 ASA 证书有效。
• 如果需要，重新注册信任点。

错误消息 %ASA-7-717024: Checking CRL from trustpoint: trustpoint name for purpose

说明：正在检索 CRL。

• trustpoint name - 正在为其检索 CRL 的信任点的名称
• purpose - 检索 CRL 的原因

建议的操作：无需执行任何操作。

错误消息 %ASA-7-717025: Validating certificate chain containing number of certs certificate(s).

说明：正在验证证书链。

• >number of certs - 链中的证书数量

建议的操作：无需执行任何操作。

错误消息 %ASA-4-717026: Name lookup failed for hostname hostname during PKI operation.

说明：在尝试 PKI 操作时无法解析给定主机名。

• >hostname - 未能解析的主机名

建议的操作：检查配置和给定主机名的 DNS 服务器条目，以确保其可以解析。然后，重试操作。

错误消息 %ASA-3-717027: Certificate chain failed validation. reason_string .

说明：无法验证证书链。

• reason_string - 验证证书链失败的原因。原因可能是 CA 服务器无法访问、信任点不可用、证书身份的有效期已过或证书被吊销。

建议的操作：解决原因注明的问题，然后通过执行以下任意操作来重试验证尝试：

• 确保与 CA 的连接可用（如果需要 CRL 检查）。
• 确保信任点已进行身份验证并可供验证。
• 确保链中的身份证书有效（基于有效期）。
• 确保证书未吊销。

错误消息 %ASA-6-717028: Certificate chain was successfully validated additional info .

说明：已成功验证证书链。

• >additional info - 有关如何验证证书链的详细信息（例如，“with warning”表示未执行 CRL 检查）

建议的操作：无需执行任何操作。

错误消息 %ASA-7-717029: Identified client certificate within certificate chain. serial number: serial_number , subject name: subject_name .

说明：已识别指定为客户端证书的证书。

• serial_number - 识别为客户端证书的证书的序列号
• subject_name - 识别为客户端证书的证书中包含的使用者名称

建议的操作：无需执行任何操作。

错误消息 %ASA-7-717030: Found a suitable trustpoint trustpoint name to validate certificate.

说明：找到可用于验证证书的合适或可用的信任点。

• trustpoint name - 将用于验证证书的信任点

建议的操作：无需执行任何操作。

错误消息 %ASA-4-717031: Failed to find a suitable trustpoint for the issuer: issuer Reason: reason_string

说明：无法找到可用的信任点。在证书验证期间，必须具有合适的信任点，以便验证证书。

• >issuer - 正在验证的证书的颁发者
• reason_string - 无法找到合适信任点的原因

建议的操作：通过检查配置以确保信任点已配置、已进行身份验证并已注册来解决原因中指示的问题。此外确保配置允许特定类型的证书，例如身份证书。

错误消息 %ASA-6-717033: OCSP response status - Successful.

说明：成功收到 OCSP 状态检查响应。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-717034: No-check extension found in certificate. OCSP check bypassed.

说明：收到包含“id-pkix-ocsp-nocheck”扩展的 OCSP 响应方证书，通过该扩展可验证此证书，而无需 OCSP 状态检查。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-717035: OCSP status is being checked for certificate. certificate_identifier.

说明：识别发生 OCSP 状态检查的证书。

• certificate_identifier - 用于识别通过证书映射规则来处理的证书的信息

建议的操作：无需执行任何操作。

错误消息 ASA-7-717036: Looking for a tunnel group match based on certificate maps for peer certificate with certificate_identifier .

说明：按证书标识符识别的对等证书正在通过所配置的证书映射进行处理，从而尝试可能的隧道匹配。

• certificate_identifier - 用于识别通过证书映射规则来处理的证书的信息

建议的操作：无需执行任何操作。

错误消息 %ASA-4-717037: Tunnel group search using certificate maps failed for peer certificate: certificate_identifier .

说明：按证书标识符识别的对等证书已通过所配置的证书映射进行处理，从而尝试可能的隧道组匹配，但无法找到任何匹配项。

• certificate_identifier - 用于识别通过证书映射规则来处理的证书的信息

建议的操作：确保将会根据收到的对等证书和配置的加密 CA 证书映射规则发出警告。

错误消息 %ASA-7-717038: Tunnel group match found. Tunnel Group: tunnel_group_name , Peer certificate: certificate_identifier .

说明：按证书标识符识别的对等证书已通过所配置的证书映射进行处理，并且找到隧道组的匹配项。

• certificate_identifier - 用于识别通过证书映射规则来处理的证书的信息
• tunnel_group_name - 按证书映射规则匹配的隧道组的名称

建议的操作：无需执行任何操作。

错误消息：%ASA-3-717039: Local CA Server internal error detected: error.

说明：本地 CA 服务器发生了内部处理错误。

• error - 错误字符串

建议的操作：根据错误情况，采取必要措施来解决问题。目前，可能的错误包括：

• CA 密钥不存在 - 确保存在 CA 密钥，或在必要时从备份中恢复密钥。
• 已过期的 CA 证书滚动失败 - 确保时钟正确且 CA 证书已过期，然后重新启动 CA 服务器以尝试重新颁发证书。
• 过期时生成适用于本地 CA 服务器证书滚动的自签名证书失败 - 确保时钟正确且 CA 证书即将过期，然后重新启动 CA 服务器以尝试重新颁发证书。
• 本地 CA 服务器配置失败 - 打开调试，然后重新尝试配置 CA 服务器，以确定故障原因。
• 配置的颁发者名称无效 - 将颁发者名称 DN 更改为有效的 DN 字符串。

错误消息 %ASA-2-717040: Local CA Server has failed and is being disabled. Reason: reason.

说明：由于存在错误而正在禁用本地 CA 服务器。

• reason - 原因字符串

目前，可能的错误包括：

• 存储关闭 - 确保存储可访问，并通过使用 no shut 命令重新启用 CA 服务器。

建议的操作：根据错误原因，采取必要措施来解决问题。

错误消息：%ASA-7-717041: Local CA Server event: event info .

说明：此消息报告了 CA 服务器上发生的事件详细信息，以便您跟踪或调试的 CA 服务器运行状况，具体信息包括何时创建、启用或禁用 CA 服务器或何时滚动 CA 服务器证书。

• event info - 所发生事件的详细信息

建议的操作：无需执行任何操作。

错误消息：%ASA-3-717042: Failed to enable Local CA Server.Reason: reason .

说明：尝试启用本地 CA 服务器时发生了错误。

• reason - 本地 CA 服务器启用失败的原因

建议的操作：解决在原因字符串中报告的遇到的问题。目前，可能的原因包括：

• Failed to create server trustpoint（服务器信任点创建失败）
• Failed to create server keypair（服务器密钥对创建失败）
• Time has not been set（未设置时间）
• Failed to init storage（存储初始化失败）
• Storage not accessible（存储无法访问）
• Failed to validate self-signed CA certificate（自签名 CA 证书验证失败）
• Failed to generate self-signed CA certificate（自签名 CA 证书生成失败）
• CA certificate has expired（CA 证书已过期）
• Failed to generate CRL（CRL 生成失败）
• Failed to archive CA key and certificate（CA 密钥和证书归档失败）
• Failed to generate empty user or certificate database file（空用户或证书数据库文件生成失败）
• Failed to load user or certificate database file（用户或证书数据库文件加载失败）

错误消息 %ASA-6-717043: Local CA Server certificate enrollment related info for user: user . Info: info .

说明：系统正在监控用户的注册相关活动。系统报告了用户名和特定注册信息，以确保能够监控注册、邮件邀请生成和续订提醒生成情况。

• user - 正在生成注册信息日志的用户名
• info - 注册信息字符串

建议的操作：无需执行任何操作。

错误消息 %ASA-3-717044: Local CA server certificate enrollment related error for user: user . Error: error .

说明：此消息报告了在证书注册处理过程中发生的错误，这可能包括通过续订提醒邮件通知用户方面的错误、颁发证书以完成注册期间发生的错误、用户名或 OTP 无效，以及注册尝试过期。

• user - 正在生成注册错误日志的用户名
• error - 注册错误

建议的操作：如果错误没有提供足够的信息来诊断和解决问题，请启用调试并重新尝试注册。

错误消息 %ASA-7-717045:Local CA Server CRL info: info

说明：CRL 文件在生成和重新生成时受到监控。

• info - CRL 事件的信息性字符串

建议的操作：无需执行任何操作。

错误消息：%ASA-3-717046: Local CA Server CRL error: error .

说明：此消息报告了在尝试生成并重新发出本地 CA 服务器 CRL 文件时遇到的错误。

• error - 错误字符串

建议的操作：采取相应措施来解决报告的问题，这可能包括验证存储是否可访问以及存储中的 CRL 文件是否且经现有本地 CA 服务器签署。

错误消息：%ASA-6-717047: Revoked certificate issued to user: username, with serial number serial number .

说明：系统正在监控由本地 CA 服务器颁发的已吊销的证书。

• username - 正在吊销的证书的所有者用户名
• serial number - 已吊销证书的序列号

建议的操作：无需执行任何操作。

错误消息：%ASA-6-717048: Unrevoked certificate issued to user: username, with serial number serial number .

说明：系统正在监控本地 CA 服务器颁发的任何先前已吊销的证书以及目前正在取消吊销但已从 CRL 中删除的证书。

• username - 取消吊销的证书的所有者用户名
• serial number - 取消吊销证书的序列号

建议的操作：无需执行任何操作。

错误消息：%ASA-1-717049: Local CA Server certificate is due to expire in number days and a replacement certificate is available for export.

说明：该消息向管理员提供传入 CA 证书过期警报，以便管理员采取措施将替换证书导出到所有要求采用新证书的 ASA。

• number - 本地 CA 服务器证书过期前的剩余天数

建议的操作：为免要求使用本地 CA 服务器证书的任何 ASA 上证书验证失败，应在当前本地 CA 服务器证书实际过期之前采取措施，过期前的剩余天数以 number 值表示。请注意，本地 CA 服务器不要求采取任何操作，这是因为系统将自动替换 CA 证书。使用 show crypto ca server certificate 命令查看替换或滚动本地 CA 服务器证书并复制此证书，以将其导入到任何要求采用新证书的 ASA。

错误消息 %ASA-5-717050: SCEP Proxy: Processed request type type from IP client ip address , User username , TunnelGroup tunnel_group name , GroupPolicy group-policy name to CA IP ca ip address

说明：SCEP 代理收到一条消息，并将其中继到 CA。来自 CA 的响应会中继回客户端。

• type - SCEP 代理收到的请求类型字符串，可以是以下 SCEP 消息类型之一：PKIOperation、GetCACaps、GetCACert、GetNextCACert 和 GetCACertChain。
• client ip address - 收到的请求的源 IP 地址
• username - 与收到 SCEP 请求的 VPN 会话关联的用户名
• tunnel-group name - 与收到 SCEP 请求的 VPN 会话关联的隧道组
• group-policy name - 与收到 SCEP 请求的 VPN 会话关联的组策略
• ca ip address - 组策略中配置的 CA 的 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-3-717051: SCEP Proxy: Denied processing the request type type received from IP client ip address , User username , TunnelGroup tunnel group name , GroupPolicy group policy name to CA ca ip address . Reason: msg

说明：SCEP 代理已拒绝处理请求，这可能是由于配置错误、代理中发生错误情况或请求无效所导致的。

• type - SCEP 代理收到的请求类型字符串，可以是以下 SCEP 消息类型之一：PKIOperation、GetCACaps、GetCACert、GetNextCACert 和 GetCACertChain。
• client ip address - 收到的请求的源 IP 地址
• username - 与收到 SCEP 请求的 VPN 会话关联的用户名
• tunnel-group name - 与收到 SCEP 请求的 VPN 会话关联的隧道组
• group-policy name - 与收到 SCEP 请求的 VPN 会话关联的组策略
• ca ip address - 组策略中配置的 CA 的 IP 地址
• msg - 用于说明拒绝请求处理的原因或错误的原因字符串

建议操作：根据列出的原因来确定原因。如果原因指出请求无效，请检查 CA URL 配置。否则，请确认是否已启用隧道组进行 SCEP 注册，并通过使用 debug crypto ca scep-proxy 命令来进一步调试。

错误消息 %ASA-4-717052: Group group name User user name IP IP Address Session disconnected due to periodic certificate authentication failure. Subject Name id subject name Issuer Name id issuer name Serial Number id serial number

说明：定期证书身份验证失败，并且会话已断开连接。

• group name - 会话所属的组策略的名称
• user name - 会话的用户名
• IP - 会话的公共 IP 地址
• id subject name - 会话 ID 证书中的使用者名称
• id issuer name - 会话 ID 证书中的颁发者名称
• id serial number - 会话 ID 证书中的序列号

建议的操作：无需执行任何操作。

SSP 整体主题

错误消息 %ASA-5-717053: Group group name User user name IP IP Address Periodic certificate authentication succeeded. Subject Name id subject name Issuer Name id issuer name Serial Number id serial number

说明：定期证书身份验证已成功。

• group name - 会话所属的组策略的名称
• user name - 会话的用户名
• id subject name - 会话 ID 证书中的使用者名称
• id issuer name - 会话 ID 证书中的颁发者名称
• id serial number - 会话 ID 证书中的序列号

建议的操作：无需执行任何操作。

SSP 整体主题

错误消息 %ASA-1-717054: The type certificate in the trustpoint tp name is due to expire in number days. Expiration date and time Subject Name subject name Issuer Name issuer name Serial Number serial number

说明：信任点中的指定证书即将到期。

• type - 证书的类型：CA 或 ID
• tp name - 证书所属的信任点的名称
• number - 到期前所剩天数
• date and time：到期日期和时间
• subject name - 证书中的使用者名称
• issuer name - 证书中的颁发者名称
• serial number - 证书中的序列号

建议的操作：续订证书。

错误消息 %ASA-1-717055: The type certificate in the trustpoint tp name has expired. Expiration date and time Subject Name subject name Issuer Name issuer name Serial Number serial number

说明：信任点中的指定证书已到期。

• type - 证书的类型：CA 或 ID
• tp name - 证书所属的信任点的名称
• date and time：到期日期和时间
• subject name - 证书中的使用者名称
• issuer name - 证书中的颁发者名称
• serial number - 证书中的序列号

建议的操作：续订证书。

仅标题 SSP

错误消息 %ASA-6-717056: Attempting type revocation check from Src Interface :Src IP /Src Port to Dst IP /Dst Port using protocol

说明：CA 正在尝试下载 CRL 或发送 OCSP 吊销检查请求。

• type - 吊销检查的类型，可以为 OCSP 或 CRL
• Src Interface - 正在从其进行吊销检查的接口的名称
• Src IP - 正在从其进行吊销检查的 IP 地址
• Src Port - 正在从其进行吊销检查的端口号
• Dst IP - 正在向其发送吊销检查请求的服务器的 IP 地址
• Dst Port - 正在向其发送吊销检查请求的服务器的端口号
• Protocol - 正在用于吊销检查的协议，可以为 HTTP、LDAP 或 SCEP

建议的操作：无需执行任何操作。

错误消息 %ASA-3-717057: Automatic import of trustpool certificate bundle has failed. < Maximum retry attempts reached. Failed to reach CA server> | <Cisco root bundle signature validation failed> | <Failed to update trustpool bundle in flash> | <Failed to install trustpool bundle in memory>

说明：系统根据其中一条错误消息生成了此系统日志。此系统日志旨在使用自动导入操作的结果来更新用户，并将这些结果转发给适当的调试消息，尤其是在失败情况下。调试输出中提供了每个错误的详细信息。

建议的操作：验证 CA 可访问性并在闪存 CA 根证书上腾出空间。

错误消息 %ASA-6-717058: Automatic import of trustpool certificate bundle is successful: <No change in trustpool bundle> | <Trustpool updated in flash>.

说明：系统根据其中一条成功消息生成了此系统日志。此系统日志旨在使用自动导入操作的结果来更新用户，并将这些结果转发给适当的调试消息，尤其是在失败情况下。调试输出中提供了每个错误的详细信息。

建议的操作：无。

错误消息 %ASA-6-717059: Peer certificate with serial number: <serial>, subject: <subject_name>, issuer: <issuer_name> matched the configured certificate map <map_name>

说明：在通过证书对 ASDM 连接进行身份验证并根据所配置的证书映射规则允许该连接后，将会生成此日志。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-717060: Peer certificate with serial number: <serial>, subject: <subject_name>, issuer: <issuer_name> failed to match the configured certificate map <map_name>

说明：在通过证书对 ASDM 连接进行身份验证，但根据所配置的证书映射规则不允许该连接时，将会生成此日志。

建议的操作：如果应该允许日志中引用的对等证书，请检查证书映射配置以查找所引用的 map_name，并根据需要将映射更正为允许该连接。

仅 SSP 标题

错误消息 %ASA-5-717061: Starting protocol certificate enrollment for the trustpoint tpname with the CA ca_name. Request Type type Mode mode

说明：已触发 CMP 注册请求。

• tpname - 进行注册的信任点的名称
• ca - CMP 配置中提供的 CA 主机名或 IP 地址
• type - CMP 请求类型，包括：“初始化请求”、“认证请求”和“密钥更新请求”
• mode - 注册触发模式：“手动”或“自动”
• protocol - 注册协议：CMP

建议的操作：无需执行任何操作。

错误消息 %ASA-5-717062: protocol Certificate enrollment succeeded for the trustpoint tpname with the CA ca. Received a new certificate with Subject Name subject Issuer Name issuer Serial Number serial

说明：CMP 注册请求已成功。系统收到新证书。

• tpname - 进行注册的信任点的名称
• ca - CMP 配置中提供的 CA 主机名或 IP 地址
• subject - 收到的证书中的使用者名称
• issuer - 收到的证书中的颁发者名称
• serial - 收到的证书中的序列号
• protocol - 注册协议：CMP

建议的操作：无需执行任何操作。

仅 SSP 标题

错误消息 %ASA-3-717063: protocol Certificate enrollment failed for the trustpoint tpname with the CA ca

说明：CMP 注册请求失败。

• tpname - 进行注册的信任点的名称
• ca - CMP 配置中提供的 CA 主机名或 IP 地址
• protocol - 注册协议：CMP

建议的操作：使用 CMP 调试跟踪来修复注册失败问题。

仅 SSP 标题

错误消息 %ASA-5-717064: Keypair keyname in the trustpoint tpname is regenerated for mode protocol certificate renewal

说明：对于使用 CMP 的证书注册，将会重新生成信任点中的密钥对。

• tpname - 进行注册的信任点的名称
• keyname - 信任点中的密钥对的名称
• mode - 注册触发模式：Manual 或 Automatic
• protocol - 注册协议：CMP

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718001: Internal interprocess communication queue send failure: code error_code

说明：在尝试将 VPN 负载均衡队列中的消息排队时发生内部软件错误。

建议的操作：这通常是良性情况。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718002: Create peer IP_address failure, already at maximum of number_of_peers

说明：已超出最大负载均衡对等体数量。系统将忽略新的对等体。

建议的操作：检查负载均衡和网络配置，以确保负载均衡对等体的数量不超出允许的最大值。

错误消息 %ASA-6-718003: Got unknown peer message message_number from IP_address , local version version_number , remote version version_number

说明：从其中一个负载均衡对等体收到了无法识别的负载均衡消息。这可能表示对等体之间的版本不匹配，但很可能是由内部软件错误导致的。

建议的操作：验证所有负载均衡对等体是否兼容。如果兼容并且此情况仍然存在或与不良行为相关，请联系思科 TAC。

错误消息 %ASA-6-718004: Got unknown internal message message_number

说明：发生了内部软件错误。

建议的操作：这通常是良性情况。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718005: Fail to send to IP_address , port port

说明：在负载均衡套接字上传输数据包期间发生内部软件错误。这可能表示网络问题。

建议的操作：检查 ASA 上基于网络的配置，并验证接口是否处于活动状态且协议数据是否流经 ASA。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718006: Invalid load balancing state transition [cur=state_number ][event=event_number ]

说明：发生了状态机错误。这可能表示存在内部软件错误。

建议的操作：这通常是良性情况。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718007: Socket open failure failure_code

说明：在负载均衡套接字尝试打开时发生错误。这可能表示网络问题或内部软件错误。

建议的操作：检查 ASA 上基于网络的配置，并验证接口是否处于活动状态且协议数据是否流经 ASA。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718008: Socket bind failure failure_code

说明：在 ASA 尝试绑定到负载均衡套接字时发生错误。这可能表示网络问题或内部软件错误。

建议的操作：检查 ASA 上基于网络的配置，并验证接口是否处于活动状态且协议数据是否流经 ASA。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718009: Send HELLO response failure to IP_address

说明：在 ASA 尝试将 Hello 响应消息发送到其中一个负载均衡对等体时发生了错误。这可能表示网络问题或内部软件错误。

建议的操作：检查 ASA 上基于网络的配置，并验证接口是否处于活动状态且协议数据是否流经 ASA。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718010: Sent HELLO response to IP_address

说明：ASA 已将 Hello 响应消息传输到负载均衡对等体。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718011: Send HELLO request failure to IP_address

说明：在 ASA 尝试将 Hello 请求消息发送到其中一个负载均衡对等体时发生了错误。这可能表示网络问题或内部软件错误。

建议的操作：检查 ASA 上基于网络的配置，并验证接口是否处于活动状态且协议数据是否流经 ASA。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718012: Sent HELLO request to IP_address

说明：ASA 已将 Hello 请求消息传输到负载均衡对等体。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-718013: Peer IP_address is not answering HELLO

说明：负载均衡对等体未在应答 hello 请求消息。

建议的操作：检查负载均衡 SSF 对等体和网络连接的状态。

错误消息 %ASA-5-718014: Master peer IP_address is not answering HELLO

说明：负载均衡主对等体未在应答 hello 请求消息。

建议的操作：检查负载均衡 SSF 主对等体和网络连接的状态。

错误消息 %ASA-5-718015: Received HELLO request from IP_address

说明：ASA 从负载均衡对等体收到 Hello 请求消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718016: Received HELLO response from IP_address

说明：ASA 从负载均衡对等体收到 Hello 响应数据包。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718017: Got timeout for unknown peer IP_address msg type message_type

说明：ASA 已处理未知对等体的超时问题。由于此对等体可能已从活动列表中删除，因此忽略了该消息。

建议的操作：如果该消息仍然存在或与不良行为相关，请检查负载均衡对等体并验证所有对等体都已正确配置。

错误消息 %ASA-7-718018: Send KEEPALIVE request failure to IP_address

说明：在尝试将保持连接请求消息发送到其中一个负载均衡对等体时发生错误。这可能表示网络问题或内部软件错误。

建议的操作：检查 ASA 上基于网络的配置，并验证接口是否处于活动状态且协议数据是否流经 ASA。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-718019: Sent KEEPALIVE request to IP_address

说明：ASA 已将保持连接请求消息传输到负载均衡对等体。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718020: Send KEEPALIVE response failure to IP_address

说明：在尝试将保持连接响应消息发送到其中一个负载均衡对等体时发生错误。这可能表示网络问题或内部软件错误。

建议的操作：检查 ASA 上基于网络的配置，并验证接口是否处于活动状态且协议数据是否流经 ASA。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-718021: Sent KEEPALIVE response to IP_address

说明：ASA 已将保持连接响应消息传输到负载均衡对等体。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718022: Received KEEPALIVE request from IP_address

说明：ASA 从负载均衡对等体收到保持连接请求消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718023: Received KEEPALIVE response from IP_address

说明：ASA 从负载均衡对等体收到保持连接响应消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718024: Send CFG UPDATE failure to IP_address

说明：在尝试将配置更新消息发送到其中一个负载均衡对等体时发生错误。这可能表示网络问题或内部软件错误。

建议的操作：检查 ASA 上基于网络的配置，并验证接口是否处于活动状态且协议数据是否流经 ASA。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-718025: Sent CFG UPDATE to IP_address

说明：ASA 已将配置更新消息传输到负载均衡对等体。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718026: Received CFG UPDATE from IP_address

说明：ASA 从负载均衡对等体收到配置更新消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-718027: Received unexpected KEEPALIVE request from IP_address

说明：ASA 从负载均衡对等体收到意外的保持连接请求消息。

建议的操作：如果问题仍然存在或与不良行为相关，请验证是否已正确配置并发现所有负载均衡对等体。

错误消息 %ASA-5-718028: Send OOS indicator failure to IP_address

说明：在尝试将 OOS 指示器消息发送到其中一个负载均衡对等体时发生错误。这可能表示网络问题或内部软件错误。

建议的操作：检查 ASA 上基于网络的配置，并验证接口是否处于活动状态且协议数据是否流经 ASA。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-718029: Sent OOS indicator to IP_address

说明：ASA 已将 OOS 指示器消息传输到负载均衡对等体。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-718030: Received planned OOS from IP_address

说明：ASA 从负载均衡对等体收到计划的 OOS 消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718031: Received OOS obituary for IP_address

说明：ASA 从负载均衡对等体收到 OOS 失效消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718032: Received OOS indicator from IP_address

说明：ASA 从负载均衡对等体收到 OOS 指示器消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718033: Send TOPOLOGY indicator failure to IP_address

说明：在尝试将拓扑指示器消息发送到其中一个负载均衡对等体时发生错误。这可能表示网络问题或内部软件错误。

建议的操作：检查 ASA 上基于网络的配置。验证接口是否处于活动状态，以及协议数据是否流经 ASA。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-718034: Sent TOPOLOGY indicator to IP_address

说明：ASA 已将拓扑指示器消息发送到负载均衡对等体。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718035: Received TOPOLOGY indicator from IP_address

说明：ASA 从负载均衡对等体收到拓扑指示器消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718036: Process timeout for req-type type_value , exid exchange_ID , peer IP_address

说明：ASA 已处理对等体超时问题。

建议的操作：验证对等体是否应已超时。如果未超时，请检查对等体与 ASA 之间的负载均衡对等体配置和网络连接。

错误消息 %ASA-6-718037: Master processed number_of_timeouts timeouts

说明：承担主角色的 ASA 已处理指定数量的对等体超时。

建议的操作：验证超时是否合法。如果不合法，请检查对等体与 ASA 之间的对等体负载均衡配置和网络连接。

错误消息 %ASA-6-718038: Slave processed number_of_timeouts timeouts

说明：承担从属角色的 ASA 已处理指定数量的对等体超时。

建议的操作：验证超时是否合法。如果不合法，请检查对等体与 ASA 之间的对等体负载均衡配置和网络连接。

错误消息 %ASA-6-718039: Process dead peer IP_address

说明：ASA 已检测到失效对等体。

建议的操作：验证失效对等体检测是否合法。如果不合法，请检查对等体与 ASA 之间的对等体负载均衡配置和网络连接。

错误消息 %ASA-6-718040: Timed-out exchange ID exchange_ID not found

说明：ASA 检测到失效对等体，但未识别交换 ID。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718041: Timeout [msgType=type ] processed with no callback

说明：ASA 检测到失效对等体，但在处理中未使用回拨。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718042: Unable to ARP for IP_address

说明：ASA 在尝试访问对等体时遇到 ARP 失败。

建议的操作：验证网络是否正常运行且所有对等体都可以相互通信。

错误消息 %ASA-5-718043: Updating/removing duplicate peer entry IP_address

说明：ASA 找到并正在删除重复对等体条目。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718044: Deleted peer IP_address

说明：ASA 正在删除负载均衡对等体。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718045: Created peer IP_address

说明：ASA 已检测到负载均衡对等体。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718046: Create group policy policy_name

说明：ASA 已创建组策略来与负载均衡对等体安全地通信。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718047: Fail to create group policy policy_name

说明：ASA 在尝试创建组策略以保护负载均衡对等体之间的通信时失败。

建议的操作：验证负载均衡配置是否正确。

错误消息 %ASA-5-718048: Create of secure tunnel failure for peer IP_address

说明：ASA 在尝试建立通向负载均衡对等体的 IPsec 隧道时遇到失败。

建议的操作：验证负载均衡配置是否正确以及网络是否正常运行。

错误消息 %ASA-7-718049: Created secure tunnel to peer IP_address

说明：ASA 已成功建立通向负载均衡对等体的 IPsec 隧道。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718050: Delete of secure tunnel failure for peer IP_address

说明：ASA 在尝试终止通向负载均衡对等体的 IPsec 隧道时遇到失败。

建议的操作：验证负载均衡配置是否正确以及网络是否正常运行。

错误消息 %ASA-6-718051: Deleted secure tunnel to peer IP_address

说明：ASA 已成功终止通向负载均衡对等体的 IPsec 隧道。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718052: Received GRAT-ARP from duplicate master MAC_address

说明：ASA 从重复的主对等体收到免费 ARP。

建议的操作：检查负载均衡配置并验证网络是否正常运行。

错误消息 %ASA-5-718053: Detected duplicate master, mastership stolen MAC_address

说明：ASA 检测到重复的主对等体和盗用的主对等体。

建议的操作：检查负载均衡配置并验证网络是否正常运行。

错误消息 %ASA-5-718054: Detected duplicate master MAC_address and going to SLAVE

说明：ASA 检测到重复的主对等体并正在切换到从属模式。

建议的操作：检查负载均衡配置并验证网络是否正常运行。

错误消息 %ASA-5-718055: Detected duplicate master MAC_address and staying MASTER

说明：ASA 检测到重复的主对等体并保持处于从属模式。

建议的操作：检查负载均衡配置并验证网络是否正常运行。

错误消息 %ASA-7-718056: Deleted Master peer, IP IP_address

说明：ASA 已从其内部表中删除负载均衡主对等体。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718057: Queue send failure from ISR, msg type failure_code

说明：在尝试根据中断服务路由将 VPN 负载均衡队列中的消息排队时发生内部软件错误。

建议的操作：这通常是良性情况。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-718058: State machine return code: action_routine , return_code

说明：正在跟踪属于负载均衡有限状态机的操作例程的返回代码。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718059: State machine function trace: state=state_name , event=event_name , func=action_routine

说明：正在跟踪负载均衡有限状态机的事件和状态。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718060: Inbound socket select fail: context=context_ID .

说明：套接字选择调用返回了错误，因此无法读取套接字。这可能表示存在内部软件错误。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718061: Inbound socket read fail: context=context_ID .

说明：通过所选择的调用检测到数据之后套接字读取失败。这可能表示存在内部软件错误。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718062: Inbound thread is awake (context=context_ID ).

说明：负载均衡进程被唤醒并开始处理。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718063: Interface interface_name is down.

说明：负载均衡进程发现此接口处于关闭状态。

建议的操作：检查接口配置，以确保此接口运行正常。

错误消息 %ASA-5-718064: Admin. interface interface_name is down.

说明：负载均衡进程发现管理接口处于关闭状态。

建议的操作：检查管理接口配置，以确保此接口运行正常。

错误消息 %ASA-5-718065: Cannot continue to run (public=up /down , private=up /down , enable=LB_state , master=IP_address , session=Enable /Disable ).

说明：负载均衡进程无法运行，因为不满足所有前提条件。前提条件是两个活动接口和负载均衡均已启用。

建议的操作：检查接口配置，以确保至少两个接口处于正常运行状态，并且负载均衡功能已启用。

错误消息 %ASA-5-718066: Cannot add secondary address to interface interface_name , ip IP_address .

说明：负载均衡需要将辅助地址添加到外部接口。在添加此辅助地址过程中发生故障。

建议的操作：检查用作辅助地址的地址并确保其有效且是唯一的。检查外部接口的配置。

错误消息 %ASA-5-718067: Cannot delete secondary address to interface interface_name , ip IP_address .

说明：辅助地址删除失败，这可能表示存在寻址问题或内部软件错误。

建议的操作：检查外部接口的寻址信息，并确保辅助地址有效且是唯一的。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718068: Start VPN Load Balancing in context context_ID .

说明：负载均衡进程已启动并完成初始化。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718069: Stop VPN Load Balancing in context context_ID .

说明：负载均衡进程已停止。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718070: Reset VPN Load Balancing in context context_ID .

说明：LB 进程已重置。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718071: Terminate VPN Load Balancing in context context_ID .

说明：LB 进程已终止。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718072: Becoming master of Load Balancing in context context_ID .

说明：ASA 已成为 LB 主设备。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718073: Becoming slave of Load Balancing in context context_ID .

说明：ASA 已成为 LB 从属设备。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718074: Fail to create access list for peer context_ID .

说明：ACL 用于创建 LB 对等体可以通信的安全隧道。ASA 无法创建其中的一个 ACL。这可能表示存在寻址问题或内部软件问题。

建议的操作：检查所有对等体上的内部接口的寻址信息，并确保正确发现所有对等体。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718075: Peer IP_address access list not set.

说明：删除安全隧道时，ASA 检测到没有关联 ACL 的对等条目。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718076: Fail to create tunnel group for peer IP_address .

说明：ASA 在尝试创建隧道组以保护负载均衡对等体之间的通信时发生故障。

建议的操作：验证负载均衡配置是否正确。

错误消息 %ASA-5-718077: Fail to delete tunnel group for peer IP_address .

说明：ASA 在尝试删除用于确保负载均衡对等体之间的通信的隧道组时发生故障。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718078: Fail to create crypto map for peer IP_address .

说明：ASA 在尝试创建加密映射以确保负载均衡对等体之间的通信时发生故障。

建议的操作：验证负载均衡配置是否正确。

错误消息 %ASA-5-718079: Fail to delete crypto map for peer IP_address .

说明：ASA 在尝试删除用于确保负载均衡对等体之间的通信的加密映射时发生故障。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718080: Fail to create crypto policy for peer IP_address .

说明：ASA 在尝试创建转换集以确保负载均衡对等体之间的通信时发生故障。这可能表示存在内部软件问题。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718081: Fail to delete crypto policy for peer IP_address .

说明：ASA 在尝试删除用于确保负载均衡对等体之间的通信的转换集时发生故障。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-718082: Fail to create crypto ipsec for peer IP_address .

说明：启用 VPN 负载均衡的集群加密后，VPN 负载均衡设备将为负载均衡集群中的每个其他设备创建一组站点到站点隧道。对于每个隧道，将动态创建一组加密参数（访问列表、加密映射和转换集）。一个或多个加密参数创建或配置失败。

• IP_address - 远程对等体的 IP 地址

建议的操作：检查创建失败的加密参数类型特定的其他条目消息。

错误消息 %ASA-5-718083: Fail to delete crypto ipsec for peer IP_address .

说明：从集群中删除本地 VPN 负载均衡设备后，加密参数将被删除。一个或多个加密参数删除失败。

• IP_address - 远程对等体的 IP 地址

建议的操作：检查删除失败的加密参数类型特定的其他条目消息。

错误消息 %ASA-5-718084: Public/cluster IP not on the same subnet: public IP_address , mask netmask , cluster IP_address

说明：集群 IP 地址与 ASA 外部接口不在同一网络中。

建议的操作：确保两个集群（或虚拟）IP 地址与外部接口地址位于同一网络中。

错误消息 %ASA-5-718085: Interface interface_name has no IP address defined.

说明：接口没有配置 IP 地址。

建议的操作：配置接口的 IP 地址。

错误消息 %ASA-5-718086: Fail to install LB NP rules: type rule_type , dst interface_name , port port .

说明：ASA 在尝试创建 SoftNP ACL 规则以保护负载均衡对等体之间的通信时发生故障。这可能表示存在内部软件问题。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-718087: Fail to delete LB NP rules: type rule_type , rule rule_ID .

说明：ASA 在尝试删除用于确保负载均衡对等体之间的通信的 SoftNP ACL 规则时发生故障。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-718088: Possible VPN LB misconfiguration. Offending device MAC MAC_address .

说明：存在重复的主设备表示其中一个负载均衡对等体可能配置错误。

建议的操作：检查所有对等体上的负载均衡配置，但需特别注意已识别的对等体。

错误消息 %ASA-6-719001: Email Proxy session could not be established: session limit of maximum_sessions has been reached.

说明：由于已达到最大会话限制，无法建立传入邮件代理会话。

• maximum_sessions - 最大会话数

建议的操作：无需执行任何操作。

错误消息 %ASA-3-719002: Email Proxy session pointer from source_address has been terminated due to reason error.

说明：由于发生错误，会话已终止。可能的错误包括无法将会话添加到会话数据库、无法分配内存以及无法将数据写入通道。

• pointer - 会话指针
• source_address - 邮件代理客户端 IP 地址
• reason - 错误类型

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719003: Email Proxy session pointer resources have been freed for source_address .

说明：分配的动态会话结构已释放，并在会话终止后设置为了 NULL。

• pointer - 会话指针
• source_address - 邮件代理客户端 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719004: Email Proxy session pointer has been successfully established for source_address .

说明：已建立新的传入邮件客户端会话。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-719005: FSM NAME has been created using protocol for session pointer from source_address .

说明：已为传入的新会话创建 FSM。

• 名称 - 此会话的 FSM 实例名称
• 协议 - 邮件协议类型（例如，POP3、IMAP 和 SMTP）
• pointer - 会话指针
• source_address - 邮件代理客户端 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-7-719006: Email Proxy session pointer has timed out for source_address because of network congestion.

说明：发生网络堵塞，数据无法发送到邮件客户端或邮件服务器。这种情况会启动块计时器。块计时器超时后，会话过期。

• pointer - 会话指针
• source_address - 邮件代理客户端 IP 地址

建议的操作：几分钟后重试此操作。

错误消息 %ASA-7-719007: Email Proxy session pointer cannot be found for source_address .

说明：无法在会话数据库中找到匹配的会话。会话指针已损坏。

• pointer - 会话指针
• source_address - 邮件代理客户端 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-3-719008: Email Proxy service is shutting down.

说明：邮件代理被禁用。系统将清理所有资源，并终止所有线程。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-719009: Email Proxy service is starting.

说明：邮件代理已启用。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719010: protocol Email Proxy feature is disabled on interface interface_name .

说明：从 CLI 调用的特定入口点禁用了邮件代理功能。这是用户的主关闭交换机。当所有接口的所有协议都关闭时，将调用主关闭例程来清理全局资源和线程。

• protocol - 邮件代理协议类型（例如，POP3、IMAP 和 SMTP）
• interface_name - ASA 接口名称

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719011: Protocol Email Proxy feature is enabled on interface interface_name .

说明：从 CLI 调用的特定入口点启用了邮件代理功能。这是用户的主开启交换机。首次使用时，将调用主启动例程来分配全局资源和线程。后续调用只需启动特定协议的侦听线程。

• protocol - 邮件代理协议类型（例如，POP3、IMAP 和 SMTP）
• interface_name - ASA 接口名称

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719012: Email Proxy server listening on port port for mail protocol protocol .

说明：在所配置的端口上为特定协议打开了侦听通道，并已将该侦听通道添加到 TCP 选择组。

• port - 所配置的端口号
• protocol - 邮件代理协议类型（例如，POP3、IMAP 和 SMTP）

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719013: Email Proxy server closing port port for mail protocol protocol .

说明：在所配置的端口上为特定协议关闭了侦听通道，并已将该侦听通道从 TCP 选择组中删除。

• port - 所配置的端口号
• protocol - 邮件代理协议类型（例如，POP3、IMAP 和 SMTP）

建议的操作：无需执行任何操作。

错误消息 %ASA-5-719014: Email Proxy is changing listen port from old_port to new_port for mail protocol protocol .

说明：指定协议的侦听端口中发出更改信号。此端口的所有已启用接口均已关闭其侦听通道并已重新启动新端口的侦听。从 CLI 调用此操作。

• old_port - 之前配置的端口号
• new_port - 新配置的端口号
• protocol - 邮件代理协议类型（例如，POP3、IMAP 和 SMTP）

建议的操作：无需执行任何操作。

错误消息 %ASA-7-719015: Parsed emailproxy session pointer from source_address username: mailuser = mail_user , vpnuser = VPN_user , mailserver = server

说明：以 vpnuser（名称分隔符）mailuser（服务器分隔符）邮件服务器的格式（例如：xxx：yyy@cisco.com）从客户端接收用户名字符串。名称分隔符为可选项。不存在名称分隔符时，VPN 用户名和邮件用户名相同。服务器分隔符为可选项。如果不存在，将使用配置的默认邮件服务器。

• pointer - 会话指针
• source_address - 邮件代理客户端 IP 地址
• mail_user - 邮件账户用户名
• VPN_user - WebVPN 用户名
• server - 邮件服务器

建议的操作：无需执行任何操作。

错误消息 %ASA-7-719016: Parsed emailproxy session pointer from source_address password: mailpass = ******, vpnpass= ******

说明：以 vpnpass（名称分隔符）mailpass 的格式（例如 xxx:yyy）从客户端接收密码字符串。名称分隔符为可选项。如果不存在，VPN 密码和邮件密码相同。

• pointer - 会话指针
• source_address - 邮件代理客户端 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719017: WebVPN user: vpnuser invalid dynamic ACL.

说明：WebVPN 会话已中止，因为 ACL 未能解析此用户。ACL 决定用户对邮件账户访问的限制。ACL 是从 AAA 服务器下载的。由于此错误，继续登录不再安全。

• vpnuser - WebVPN 用户名

建议的操作：检查 AAA 服务器并修复此用户的动态 ACL。

错误消息 %ASA-6-719018: WebVPN user: vpnuser ACL ID acl_ID not found

说明：无法在本地维护的 ACL 列表中找到 ACL。ACL 决定用户对邮件账户访问的限制。ACL 在本地进行配置。由于此错误，您无权继续操作。

• vpnuser - WebVPN 用户名
• acl_ID - 本地配置的 ACL 标识字符串

建议的操作：检查本地 ACL 配置。

错误消息 %ASA-6-719019: WebVPN user: vpnuser authorization failed.

说明：ACL 决定用户对邮件账户访问的限制。由于授权检查失败，用户无法访问邮件账户。

• vpnuser - WebVPN 用户名

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719020: WebVPN user vpnuser authorization completed successfully.

说明：ACL 决定用户对邮件账户访问的限制。用户有权访问邮件账户。

• vpnuser - WebVPN 用户名

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719021: WebVPN user: vpnuser is not checked against ACL.

说明：ACL 决定用户对邮件账户访问的限制。未启用使用 ACL 进行的授权检查。

• vpnuser - WebVPN 用户名

建议的操作：如有必要，启用 ACL 检查功能。

错误消息 %ASA-6-719022: WebVPN user vpnuser has been authenticated.

说明：用户名由 AAA 服务器进行身份验证。

• vpnuser - WebVPN 用户名

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719023: WebVPN user vpnuser has not been successfully authenticated. Access denied.

说明：用户名被 AAA 服务器拒绝。会话将被终止。不允许用户访问邮件账户。

• vpnuser - WebVPN 用户名

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719024: Email Proxy piggyback auth fail: session = pointer user=vpnuser addr=source_address

说明：捎带身份验证使用已建立的 WebVPN 会话来验证 WebVPN 会话数据库中的用户名和 IP 地址是否匹配。这基于以下假设：WebVPN 会话和邮件代理会话由同一个用户发起，且已建立 WebVPN 会话。由于身份验证失败，会话将被终止。不允许用户访问邮件账户。

• pointer - 会话指针
• vpnuser - WebVPN 用户名
• source_address - 客户端 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-6-719025: Email Proxy DNS name resolution failed for hostname .

说明：无法使用 IP 地址解析主机名，主机名无效或者没有可用的 DNS 服务器。

• hostname - 需要解析的主机名

建议的操作：检查 DNS 服务器的可用性以及所配置的邮件服务器名称是否有效。

错误消息 %ASA-6-719026: Email Proxy DNS name hostname resolved to IP_address .

说明：已使用 IP 地址成功解析主机名。

• hostname - 需要解析的主机名
• IP_address - 从已配置的邮件服务器名称中解析的 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-4-720001: (VPN-unit ) Failed to initialize with Chunk Manager.

说明：VPN 故障切换子系统未能使用内存缓冲区管理子系统进行初始化。发生了系统范围的问题，且 VPN 故障切换子系统无法启动。

• unit - 主设备或辅助设备

建议的操作：检查消息以确定是否有任何系统级初始化问题的迹象。

错误消息 %ASA-6-720002: (VPN-unit ) Starting VPN Stateful Failover Subsystem...

说明：VPN 故障切换子系统正在启动和引导。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720003: (VPN-unit ) Initialization of VPN Stateful Failover Component completed successfully

说明：VPN 故障切换子系统初始化已在引导时完成。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720004: (VPN-unit ) VPN failover main thread started.

说明：VPN 故障切换主处理线程在引导时启动。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720005: (VPN-unit ) VPN failover timer thread started.

说明：VPN 故障切换计时器处理线程在引导时启动。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720006: (VPN-unit ) VPN failover sync thread started.

说明：VPN 故障切换批量同步处理线程在引导时启动。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-4-720007: (VPN-unit ) Failed to allocate chunk from Chunk Manager.

说明：预分配的内存缓冲区集已用完。ASA 存在资源问题。处理消息过多时，ASA 可能处于高负载状态。

• unit - 主设备或辅助设备

建议的操作：稍后当 VPN 故障切换子系统处理未完成的消息并释放先前分配的内存后，可以改善这种情况。

错误消息 %ASA-4-720008: (VPN-unit ) Failed to register to High Availability Framework.

说明：VPN 故障切换子系统未能注册到核心故障切换子系统。VPN 故障切换子系统无法启动，这可能是由其他子系统的初始化问题导致的。

• unit - 主设备或辅助设备

建议的操作：搜索消息以确定是否有系统范围初始化问题的迹象。

错误消息 %ASA-4-720009: (VPN-unit ) Failed to create version control block.

说明：VPN 故障切换子系统未能创建版本控制块。VPN 故障切换子系统需要执行此步骤，才能找出当前版本的向后兼容固件版本。VPN 故障切换子系统无法启动，这可能是由其他子系统的初始化问题导致的。

• unit - 主设备或辅助设备

建议的操作：搜索消息以确定是否有系统范围初始化问题的迹象。

错误消息 %ASA-6-720010: (VPN-unit ) VPN failover client is being disabled

说明：操作人员在未定义故障切换密钥的情况下启用了故障切换。要使用 VPN 故障切换，必须定义故障切换密钥。

• unit - 主设备或辅助设备

建议的操作：使用 failover key 命令定义主用设备和备用设备之间的共享密钥。

错误消息 %ASA-4-720011: (VPN-unit ) Failed to allocate memory

说明：VPN 故障切换子系统无法分配内存缓冲区，这表示存在系统范围的资源问题。ASA 可能处于高负载状态。

• unit - 主设备或辅助设备

建议的操作：稍后通过减少传入流量来降低 ASA 的负载时，可以改善这种情况。通过减少传入流量，将提供分配用于处理现有工作负载的内存，ASA 可以恢复正常运行。

错误消息 %ASA-6-720012: (VPN-unit ) Failed to update IPsec failover runtime data on the standby unit.

说明：VPN 故障切换子系统无法更新与 IPsec 相关的运行时数据，因为已在备用设备上删除相应的 IPsec 隧道。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-4-720013: (VPN-unit ) Failed to insert certificate in trustpoint trustpoint_name

说明：VPN 故障切换子系统尝试将证书插入信任点中。

• unit - 主设备或辅助设备
• trustpoint_name - 信任点的名称

建议的操作：检查证书内容以确定其是否无效。

错误消息 %ASA-6-720014: (VPN-unit ) Phase 2 connection entry (msg_id=message_number , my cookie=mine , his cookie=his ) contains no SA list.

说明：没有安全关联链接到第 2 阶段连接条目。

• unit - 主设备或辅助设备
• message_number - 第 2 阶段连接条目的消息 ID
• mine - 我的第 1 阶段 Cookie
• his - 对等体的第 1 阶段 Cookie

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720015: (VPN-unit ) Cannot found Phase 1 SA for Phase 2 connection entry (msg_id=message_number ,my cookie=mine , his cookie=his ).

说明：找不到给定第 2 阶段连接条目对应的第 1 阶段安全关联。

• unit - 主设备或辅助设备
• message_number - 第 2 阶段连接条目的消息 ID
• mine - 我的第 1 阶段 Cookie
• his - 对等体的第 1 阶段 Cookie

建议的操作：无需执行任何操作。

错误消息 %ASA-5-720016: (VPN-unit) Failed to initialize default timer #index .

说明：VPN 故障切换子系统未能初始化给定的计时器事件。VPN 故障切换子系统无法在引导时启动。

• unit - 主设备或辅助设备
• index - 计时器事件的内部索引

建议的操作：搜索消息以确定是否有系统范围初始化问题的迹象。

错误消息 %ASA-5-720017: (VPN-unit ) Failed to update LB runtime data

说明：VPN 故障切换子系统未能更新 VPN 负载均衡运行时数据。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-5-720018: (VPN-unit ) Failed to get a buffer from the underlying core high availability subsystem. Error code code.

说明：ASA 可能处于高负载状态。VPN 故障切换子系统未能获取故障切换缓冲区。

• unit - 主设备或辅助设备
• code - 高可用性子系统返回的错误代码

建议的操作：减少传入流量以改善当前负载状况。随着传入流量的减少，ASA 将释放分配用于处理传入负载的内存。

错误消息 %ASA-5-720019: (VPN-unit ) Failed to update cTCP statistics.

说明：VPN 故障切换子系统未能更新 IPsec/cTCP 相关统计信息。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。更新会定期发送，因此应使用下一条更新消息更新备用设备 IPsec/cTCP 统计信息。

错误消息 %ASA-5-720020: (VPN-unit ) Failed to send type timer message.

说明：VPN 故障切换子系统未能将定期计时器消息发送到备用设备。

• unit - 主设备或辅助设备
• type - 计时器消息的类型。

建议的操作：无需执行任何操作。定期计时器消息将在下一次超时期间重新发送。

错误消息 %ASA-5-720021: (VPN-unit ) HA non-block send failed for peer msg message_number . HA error code .

说明：VPN 故障切换子系统未能发送非块消息。这是一种由 ASA 处于负载状态或资源不足导致的暂时情况。

• unit - 主设备或辅助设备
• message_number - 对等消息的 ID 编号
• code - 错误返回代码

建议的操作：随着 ASA 可用的资源不断增加，这种情况将会得到改善。

错误消息 %ASA-4-720022: (VPN-unit ) Cannot find trustpoint trustpoint

说明：VPN 故障切换子系统尝试按名称查找信任点时发生错误。

• unit - 主设备或辅助设备
• trustpoint - 信任点的名称。

建议的操作：信任点可能已被操作人员删除。

错误消息 %ASA-6-720023: (VPN-unit ) HA status callback: Peer is not present.

说明：当本地 ASA 检测到对等体可用或不可用时，核心故障切换子系统将通知 VPN 故障切换子系统。

• unit - 主设备或辅助设备
• not -“不”或留空

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720024: (VPN-unit ) HA status callback: Control channel is status .

说明：故障切换控制通道为打开或关闭状态。故障切换控制通道由 failover link 和 show failover 命令定义，这表示故障切换链路通道为打开还是关闭状态。

• unit - 主设备或辅助设备
• status - 打开或关闭

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720025: (VPN-unit ) HA status callback: Data channel is status .

说明：故障切换数据通道为打开或关闭状态。

• unit - 主设备或辅助设备
• status - 打开或关闭

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720026: (VPN-unit ) HA status callback: Current progression is being aborted.

说明：在故障切换对等体同意该角色（主用或备用）之前，操作人员中止了当前故障切换进程，或者发生了其他外部情况，导致了当前故障切换进程中止。例如，在协商期间在备用设备上输入 failover active 命令时，或在重新引导主用设备时。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720027: (VPN-unit ) HA status callback: My state state .

说明：本地故障切换设备的状态发生更改。

• unit - 主设备或辅助设备
• state - 本地故障切换设备的当前状态

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720028: (VPN-unit ) HA status callback: Peer state state .

说明：报告故障切换对等体的当前状态。

• unit - 主设备或辅助设备
• state - 故障切换对等体的当前状态

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720029: (VPN-unit ) HA status callback: Start VPN bulk sync state.

说明：主用设备已准备好将所有状态信息发送到备用设备。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720030: (VPN-unit ) HA status callback: Stop bulk sync state.

说明：主用设备已将所有状态信息发送到备用设备。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-7-720031: (VPN-unit ) HA status callback: Invalid event received. event=event_ID .

说明：VPN 故障切换子系统从基础故障切换子系统收到无效的回调事件。

• unit - 主设备或辅助设备
• event_ID - 接收到的无效事件 ID

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720032: (VPN-unit) HA status callback: id=ID , seq=sequence_# , grp=group , event=event , op=operand , my=my_state , peer=peer_state .

说明：VPN 故障切换子系统指示基础故障切换子系统发出了状态更新通知。

• unit - 主设备或辅助设备
• ID - 客户端 ID 编号
• sequence_# - 序列号
• group - 组 ID
• event - 当前事件
• operand - 当前操作数
• my_state - 当前系统状态
• peer_state - 对等体的当前状态

建议的操作：无需执行任何操作。

错误消息 %ASA-4-720033: (VPN-unit ) Failed to queue add to message queue.

说明：系统资源可能不足。VPN 故障切换子系统尝试对内部消息进行排队时发生错误。这可能是一种暂时情况，表明 ASA 处于高负载状态，且 VPN 故障切换子系统无法分配资源来处理传入流量。

• unit - 主设备或辅助设备

建议的操作：如果降低 ASA 的当前负载并提供额外系统资源用于处理新消息，可以消除此错误情况。

错误消息 %ASA-7-720034: (VPN-unit ) Invalid type (type ) for message handler.

说明：VPN 故障切换子系统尝试处理无效消息类型时发生错误。

• unit - 主设备或辅助设备
• type - 消息类型

建议的操作：无需执行任何操作。

错误消息 %ASA-5-720035: (VPN-unit ) Fail to look up CTCP flow handle

说明：在 VPN 故障切换子系统尝试执行查找之前，可能已在备用设备上删除 cTCP 流。

• unit - 主设备或辅助设备

建议的操作：在消息中查找任何 cTCP 流删除迹象，以确定删除流的原因（例如，空闲超时）。

错误消息 %ASA-5-720036: (VPN-unit ) Failed to process state update message from the active peer.

说明：VPN 故障切换子系统尝试处理备用设备收到的状态更新消息时发生错误。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。这可能是一种当前负载或系统资源较低导致的暂时情况。

错误消息 %ASA-6-720037: (VPN-unit ) HA progression callback: id=id ,seq=sequence_number ,grp=group ,event=event ,op=operand , my=my_state ,peer=peer_state .

说明：报告当前故障切换进程的状态。

• unit - 主设备或辅助设备
• id - 客户端 ID
• sequence_number - 序列号
• group - 组 ID
• event - 当前事件
• operand - 当前操作数
• my_state - ASA 的当前状态
• peer_state - 对等体的当前状态

建议的操作：无需执行任何操作。

错误消息 %ASA-4-720038: (VPN-unit ) Corrupted message from active unit.

说明：备用设备收到来自主用设备的已损坏消息。来自主用设备的消息已损坏，这可能是由主用设备和备用设备之间运行的固件不兼容导致的。本地设备已成为故障切换对的主用设备。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720039: (VPN-unit ) VPN failover client is transitioning to active state

说明：本地设备已成为故障切换对的主用设备。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720040: (VPN-unit ) VPN failover client is transitioning to standby state.

说明：本地设备已成为故障切换对的备用设备。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-7-720041: (VPN-unit ) Sending type message id to standby unit

说明：从主用设备向备用设备发送了一条消息。

• unit - 主设备或辅助设备
• type - 消息类型
• id - 消息标识符

建议的操作：无需执行任何操作。

错误消息 %ASA-7-720042: (VPN-unit ) Receiving type message id from active unit

说明：备用设备从主用设备接收到一条消息。

• unit - 主设备或辅助设备
• type - 消息类型
• id - 消息标识符

建议的操作：无需执行任何操作。

错误消息 %ASA-4-720043: (VPN-unit ) Failed to send type message id to standby unit

说明：VPN 故障切换子系统尝试将消息从主用设备发送到备用设备时发生错误。此错误可能是由消息 720018 引起的，此消息的表现是，核心故障切换子系统的故障切换缓冲区用尽或故障切换 LAN 链路为关闭状态。

• unit - 主设备或辅助设备
• type - 消息类型
• id - 消息标识符

建议的操作：使用 show failover 命令查看故障切换对是否正常运行以及故障切换 LAN 链路是否为打开状态。

错误消息 %ASA-4-720044: (VPN-unit ) Failed to receive message from active unit

说明：VPN 故障切换子系统尝试接收备用设备上的消息时发生错误。此错误可能是由于消息损坏或分配用于存储传入消息的内存不足导致的。

• unit - 主设备或辅助设备

建议的操作：使用 show failover 命令并查找接收错误，来确定这是 VPN 故障切换特定问题，还是常规故障切换问题。消息损坏可能是由主用设备和备用设备上运行的固件版本不兼容导致的。使用 show memory 命令确定是否存在内存不足情况。

错误消息 %ASA-6-720045: (VPN-unit ) Start bulk syncing of state information on standby unit.

说明：已通知备用设备开始从主用设备接收批量同步信息。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720046: (VPN-unit ) End bulk syncing of state information on standby unit

说明：已通知备用设备，从主用设备的批量同步已完成。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-4-720047: (VPN-unit ) Failed to sync SDI node secret file for server IP_address on the standby unit.

说明：VPN 故障切换子系统尝试在备用设备上同步 SDI 服务器节点密钥文件时发生错误。SDI 节点密钥文件存储在闪存中。此错误可能表示闪存文件系统已满或已损坏。

• unit - 主设备或辅助设备
• IP_address - 服务器的 IP 地址。

建议的操作：使用 dir 命令显示闪存内容。节点密钥文件的文件名为 ip.sdi。

错误消息 %ASA-7-720048: (VPN-unit ) FSM action trace begin: state=state , last event=event , func=function .

说明：VPN 故障切换子系统有限状态机功能已启动。

• unit - 主设备或辅助设备
• state - 当前状态
• event - 最后一个事件
• function - 当前执行的功能

建议的操作：无需执行任何操作。

错误消息 %ASA-7-720049: (VPN-unit ) FSM action trace end: state=state , last event=event , return=return , func=function .

说明：VPN 故障切换子系统有限状态机功能已完成。

• unit - 主设备或辅助设备
• state - 当前状态
• event - 最后一个事件
• return - 返回代码
• function - 当前执行的功能

建议的操作：无需执行任何操作。

错误消息 %ASA-7-720050: (VPN-unit ) Failed to remove timer. ID = id .

说明：无法从计时器处理线程中删除计时器。

• unit - 主设备或辅助设备
• id - 计时器 ID

建议的操作：无需执行任何操作。

错误消息 %ASA-4-720051: (VPN-unit ) Failed to add new SDI node secret file for server id on the standby unit.

说明：VPN 故障切换子系统尝试在备用设备上添加 SDI 服务器节点密钥文件时发生错误。SDI 节点密钥文件存储在闪存中。此错误可能表示闪存文件系统已满或已损坏。

• unit - 主设备或辅助设备
• id - SDI 服务器的 IP 地址

建议的操作：使用 dir 命令显示闪存内容。节点密钥文件的文件名为 ip.sdi。

错误消息 %ASA-4-720052: (VPN-unit ) Failed to delete SDI node secret file for server id on the standby unit.

说明：VPN 故障切换子系统尝试删除主用设备上的节点密钥文件时发生错误。闪存文件系统中可能不存在正在删除的节点密钥文件，或者读取闪存文件系统时出现问题。

• unit - 主设备或辅助设备
• IP_address - SDI 服务器的 IP 地址

建议的操作：使用 dir 命令显示闪存内容。节点密钥文件的文件名为 ip.sdi。

错误消息 %ASA-4-720053: (VPN-unit ) Failed to add cTCP IKE rule during bulk sync, peer=IP_address , port=port

说明：VPN 故障切换子系统在批量同步期间尝试在备用设备上加载 cTCP IKE 规则时发生错误。备用设备可能处于高负载状态，且新的 IKE 规则请求可能在完成之前超时。

• unit - 主设备或辅助设备
• IP_address - 对等体 IP 地址
• port - 对等体端口号

建议的操作：无需执行任何操作。

错误消息 %ASA-4-720054: (VPN-unit ) Failed to add new cTCP record, peer=IP_address , port=port .

说明：cTCP 记录复制到备用设备，但无法更新。进行故障切换后，cTCP 隧道上相应的 IPsec 可能无法正常运行。cTCP 数据库可能已满，或者已存在具有相同对等体 IP 地址和端口号的记录。

• unit - 主设备或辅助设备
• IP_address - 对等体 IP 地址
• port - 对等体端口号

建议的操作：这可能是一种暂时情况，当现有 cTCP 隧道恢复后可能会有所改善。

错误消息 %ASA-4-720055: (VPN-unit ) VPN Stateful failover can only be run in single/non-transparent mode.

说明：除非以单一（非透明）模式运行，否则 VPN 子系统不会启动。

• unit - 主设备或辅助设备

建议的操作：将 ASA 配置为适当的模式，以支持 VPN 故障切换并重新启动 ASA。

错误消息 %ASA-6-720056: (VPN-unit ) VPN Stateful failover Message Thread is being disabled.

说明：已尝试启用故障切换但未定义故障切换密钥时，VPN 故障切换子系统主消息处理线程将被禁用。VPN 故障切换需要故障切换密钥。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720057: (VPN-unit ) VPN Stateful failover Message Thread is enabled.

说明：已启用故障切换并定义故障切换密钥时，VPN 故障切换子系统主消息处理线程将启用。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720058: (VPN-unit ) VPN Stateful failover Timer Thread is disabled.

说明：未定义故障切换密钥但启用故障切换时，VPN 故障切换子系统主计时器处理线程将被禁用。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720059: (VPN-unit ) VPN Stateful failover Timer Thread is enabled.

说明：已定义故障切换密钥并启用故障切换时，VPN 故障切换子系统主计时器处理线程将启用。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720060: (VPN-unit ) VPN Stateful failover Sync Thread is disabled.

说明：已启用故障切换但未定义故障切换密钥时，VPN 故障切换子系统主批量同步处理线程将被禁用。

• unit - 主设备或辅助设备。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720061: (VPN-unit ) VPN Stateful failover Sync Thread is enabled.

说明：已启用故障切换并定义故障切换密钥时，VPN 故障切换子系统主批量同步处理线程将启用。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720062: (VPN-unit ) Active unit started bulk sync of state information to standby unit.

说明：VPN 故障切换子系统主用设备已开始将状态信息批量同步到备用设备。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-6-720063: (VPN-unit ) Active unit completed bulk sync of state information to standby.

说明：VPN 故障切换子系统主用设备已完成状态信息到备用设备的批量同步。

• unit - 主设备或辅助设备

建议的操作：无需执行任何操作。

错误消息 %ASA-4-720064: (VPN-unit ) Failed to update cTCP database record for peer=IP_address , port=port during bulk sync.

说明：VPN 故障切换子系统在批量同步期间尝试更新现有 cTCP 记录时发生错误。cTCP 记录可能已从备用设备上的 cTCP 数据库中删除，无法找到。

• unit - 主设备或辅助设备
• IP_address - 对等体 IP 地址
• port - 对等体端口号

建议的操作：在消息中搜索。

错误消息 %ASA-4-720065: (VPN-unit ) Failed to add new cTCP IKE rule, peer=peer , port=port .

说明：VPN 故障切换子系统尝试在备用设备上为 cTCP 数据库条目添加新 IKE 规则时发生错误。ASA可能处于高负载状态，并且添加 IKE 规则的请求超时且从未完成。

• unit - 主设备或辅助设备
• IP_address - 对等体 IP 地址
• port - 对等体端口号

建议的操作：这可能是一种暂时情况。

错误消息 %ASA-4-720066: (VPN-unit ) Failed to activate IKE database.

说明：VPN 故障切换子系统在备用设备转换为主用状态期间尝试激活 IKE 安全关联数据库时发生错误。备用设备上可能存在与资源相关的问题，导致 IKE 安全关联数据库无法激活。

• unit - 主设备或辅助设备

建议的操作：使用 show failover 命令查看故障切换对是否仍正常工作和/或在消息中查找其他 IKE 相关错误。

错误消息 %ASA-4-720067: (VPN-unit ) Failed to deactivate IKE database.

说明：VPN 故障切换子系统在主用设备转换为备用状态期间尝试停用 IKE 安全关联数据库时发生错误。主用设备上可能存在与资源相关的问题，导致 IKE 安全关联数据库无法停用。

• unit - 主设备或辅助设备

建议的操作：使用 show failover 命令查看故障切换对是否仍正常工作和/或在消息中查找 IKE 相关错误。

错误消息 %ASA-4-720068: (VPN-unit ) Failed to parse peer message.

说明：VPN 故障切换子系统尝试解析备用设备上收到的对等消息时发生错误。无法解析备用设备上收到的对等消息。

• unit - 主设备或辅助设备

建议的操作：确保主用设备和备用设备运行相同版本的固件。此外，使用 show failover 命令确保故障切换对仍正常工作。

错误消息 %ASA-4-720069: (VPN-unit ) Failed to activate cTCP database.

说明：VPN 故障切换子系统在备用设备转换为活动状态期间尝试激活 cTCP 数据库时发生错误。备用设备上可能存在与资源相关的问题，导致 cTCP 数据库无法激活。

• unit - 主设备或辅助设备

建议的操作：使用 show failover 命令查看故障切换对是否仍正常工作和/或在消息中查找其他 cTCP 相关错误。

错误消息 %ASA-4-720070: (VPN-unit ) Failed to deactivate cTCP database.

说明：VPN 故障切换子系统在主用设备转换为备用状态期间尝试停用 cTCP 数据库时发生错误。主用设备上可能存在与资源相关的问题，导致 cTCP 数据库无法停用。

• unit - 主设备或辅助设备。

建议的操作：使用 show failover 命令查看故障切换对是否仍正常工作和/或在消息中查找 cTCP 相关错误。

错误消息 %ASA-5-720071: (VPN-unit ) Failed to update cTCP dynamic data.

说明：VPN 故障切换子系统尝试更新 cTCP 动态数据时发生错误。

• unit - 主设备或辅助设备。

建议的操作：这可能是一种暂时情况。因为这是定期更新，请等待以查看是否再次出现相同的错误。此外，在消息中查找与故障切换相关的其他消息。

错误消息 %ASA-5-720072: Timeout waiting for Integrity Firewall Server [interface ,ip ] to become available.

说明：Zonelab Integrity 服务器无法在超时前重新建立连接。在主用/备用故障切换设置中，需要在故障切换后重新建立 Zonelab Integrity 服务器与 ASA 之间的 SSL 连接。

• 接口 - 与 Zonelab Integrity 服务器连接的接口
• ip - Zonelab Integrity 服务器的 IP 地址

建议的操作：检查 ASA 和 Zonelab Integrity 服务器的配置是否匹配，并验证 ASA 和 Zonelab Integrity 服务器之间的通信。

错误消息 %ASA-4-720073: VPN Session failed to replicate - ACL acl_name not found

说明：将 VPN 会话复制到备用设备时，备用设备未能找到关联的过滤器 ACL。

• acl_name - 未找到的 ACL 的名称

建议的操作：验证备用设备上的配置在备用状态下是否未被修改。通过在主用设备上发出 write standby 命令重新同步备用设备。

错误消息 %ASA-6-721001: (device ) WebVPN Failover SubSystem started successfully.(device ) either WebVPN-primary or WebVPN-secondary.

说明：当前故障切换设备（主设备或辅助设备）中的 WebVPN 故障切换子系统已成功启动。

• (device) - WebVPN 主设备或 WebVPN 辅助设备

建议的操作：无需执行任何操作。