思科 ASA 系列系统日志消息

ID 介于 723001 到 736001 之间的消息

本部分包括 ID 介于 723001 到 736001 之间的消息。

723001

错误消息 %ASA-6-723001: Group group-name , User user-name , IP IP_address : WebVPN Citrix ICA connection connection is up.

说明：Citrix 连接已打开。

group-name - Citrix 组的名称
user-name - Citrix 用户的名称
IP_address - Citrix 用户的 IP 地址
connection - Citrix 连接标识符

建议的操作： 无需执行任何操作。

723002

错误消息 %ASA-6-723002: Group group-name , User user-name , IP IP_address : WebVPN Citrix ICA connection connection is down.

说明：Citrix 连接断开。

group-name - Citrix 组的名称
user-name - Citrix 用户的名称
IP_address - Citrix 用户的 IP 地址
connection - Citrix 连接标识符

建议的操作：当 Citrix ICA 连接由客户端、服务器或 ASA 管理员有意终止时，无需执行任何操作。但是，如果情况并非如此，验证在其中设置 Citrix ICA 连接的 WebVPN 会话是否仍处于活动状态。如果会话处于非活动状态，则收到此消息是正常的。如果 WebVPN 会话仍处于活动状态，验证 ICA 客户端和 Citrix 服务器是否均正常工作并且没有显示任何错误。如果情况并非如此，调用其中一个或两者，或对任何错误进行响应。如果仍收到此消息，请联系思科 TAC 并提供以下信息：

网络拓扑
延迟和丢包
Citrix 服务器配置
Citrix ICA 客户端信息
重现问题的步骤
所有相关消息的完整文本

723003

错误消息 %ASA-7-723003: No memory for WebVPN Citrix ICA connection connection .

说明：ASA 内存不足。Citrix 连接被拒绝。

connection - Citrix 连接标识符

建议的操作：验证 ASA 是否正常工作。特别注意内存和缓冲区的使用情况。如果 ASA 处于高负载状态，购买更多内存并升级 ASA 或降低 ASA 的负载。如果问题仍然存在，请联系思科 TAC。

723004

错误消息 %ASA-7-723004: WebVPN Citrix encountered bad flow control flow .

说明：ASA 遇到内部流控制不匹配问题，这可能是数据流过大导致的，例如在压力测试期间或具有大量 ICA 连接时可能会发生这种情况。

建议的操作：减少与 ASA 的 ICA 连接。如果问题仍然存在，请联系思科 TAC。

723005

错误消息 %ASA-7-723005: No channel to set up WebVPN Citrix ICA connection.

说明：ASA 无法为 Citrix 创建新通道。

建议的操作：验证 Citrix ICA 客户端和 Citrix 服务器是否仍处于活动状态。如果情况并非如此，重新启动并重新测试。检查 ASA 负载，特别注意内存和缓冲区的使用情况。如果 ASA 处于高负载状态，则升级 ASA、添加内存或降低负载。如果问题仍然存在，请联系思科 TAC。

723006

错误消息 %ASA-7-723006: WebVPN Citrix SOCKS errors.

说明：ASA 上发生内部 Citrix SOCKS 错误。

建议的操作：验证 Citrix ICA 客户端是否正常工作。此外，请检查 Citrix ICA 客户端和 ASA 之间的网络连接状态，特别注意丢包情况。解决任何异常网络状况。如果问题仍然存在，请联系思科 TAC。

723007

错误消息 %ASA-7-723007: WebVPN Citrix ICA connection connection list is broken.

说明：ASA 内部 Citrix 连接列表已损坏。

connection - Citrix 连接标识符

建议的操作：验证 ASA 是否正常工作，特别注意内存和缓冲区的使用情况。如果 ASA 处于高负载状态，则升级 ASA、添加内存或降低负载。如果问题仍然存在，请联系思科 TAC。

723008

错误消息 %ASA-7-723008: WebVPN Citrix ICA SOCKS Server server is invalid.

说明：尝试了访问不存在的 Citrix Socks 服务器。

server - Citrix 服务器标识符

建议的操作：验证 ASA 是否正常工作。注意是否有任何内存或缓冲区泄漏现象。如果经常出现此问题，捕获有关内存使用率、网络拓扑以及收到此消息期间的情况的信息。将这些信息发送给思科 TAC 进行审查。收到此消息时，请确保 WebVPN 会话仍处于活动状态。否则，请确定 WebVPN 会话关闭的原因。如果 ASA 处于高负载状态，则升级 ASA、添加内存或降低负载。如果问题仍然存在，请联系思科 TAC。

723009

错误消息 %ASA-7-723009: Group group-name , User user-name , IP IP_address : WebVPN Citrix received data on invalid connection connection .

说明：收到有关不存在的 Citrix 连接的数据。

group-name - Citrix 组的名称
user-name - Citrix 用户的名称
IP_address - Citrix 用户的 IP 地址
connection - Citrix 连接标识符

建议的操作：最初发布的 Citrix 应用连接可能已终止，其余已发布的活动应用中断了连接。重新启动所有已发布应用，以生成新的 Citrix ICA 隧道。如果 ASA 处于高负载状态，则升级 ASA、添加内存或降低负载。如果问题仍然存在，请联系思科 TAC。

723010

错误消息 %ASA-7-723010: Group group-name , User user-name , IP IP_address : WebVPN Citrix received closing channel channel for invalid connection connection .

说明：收到有关不存在的 Citrix 连接的中止消息，这可能是由大量数据流（例如压力测试）或大量 ICA 连接导致的，尤其是在网络延迟或丢包期间。

group-name - Citrix 组的名称
user-name - Citrix 用户的名称
IP_address - Citrix 用户的 IP 地址
channel - Citrix 通道标识符
connection - Citrix 连接标识符

建议的操作：减少与 ASA 的 ICA 连接数，为 ASA 获取更多内存，或解决网络问题。

723011

错误消息 %ASA-7-723011: Group group-name , User user-name , IP IP_address : WebVPN Citrix receives bad SOCKS socks message length msg-length. Expected length is exp-msg-length .

说明：Citrix SOCKS 消息长度不正确。

group-name - Citrix 组的名称
user-name - Citrix 用户的名称
IP_address - Citrix 用户的 IP 地址

建议的操作：验证 Citrix ICA 客户端是否正常工作。此外，检查 ICA 客户端和 ASA 之间的网络连接状态，特别注意丢包情况。解决任何异常网络状况后，如果问题仍然存在，请联系思科 TAC。

723012

错误消息 %ASA-7-723012: Group group-name , User user-name , IP IP_address : WebVPN Citrix received bad SOCKS socks message format.

说明：Citrix SOCKS 消息格式不正确。

group-name - Citrix 组的名称
user-name - Citrix 用户的名称
IP_address - Citrix 用户的 IP 地址

723013

错误消息 %ASA-7-723013: WebVPN Citrix encountered invalid connection connection during periodic timeout.

说明：ASA 内部 Citrix 计时器已过期，且 Citrix 连接无效。

connection - Citrix 连接标识符

建议的操作：检查 Citrix ICA 客户端和 ASA 之间以及 ASA 和 Citrix 服务器之间的网络连接。解决任何异常网络状况，尤其是延迟和丢包。验证 ASA 是否正常工作，特别注意内存或缓冲区问题。如果 ASA 处于高负载状态，则获取更多内存，升级 ASA 或降低负载。如果问题仍然存在，请联系思科 TAC。

723014

错误消息 %ASA-7-723014: Group group-name , User user-name , IP IP_address : WebVPN Citrix TCP connection connection to server server on channel channel initiated.

说明：ASA 内部 Citrix 安全网关连接至 Citrix 服务器。

group-name - Citrix 组的名称
user-name - Citrix 用户的名称
IP_address - Citrix 用户的 IP 地址
connection - 连接名称
server - Citrix 服务器标识符
channel - Citrix 通道标识符（十六进制）

建议的操作：无需执行任何操作。

724001

错误消息 %ASA-4-724001: Group group-name User user-name IP IP_address WebVPN session not allowed. Unable to determine if Cisco Secure Desktop was running on the client's workstation.

说明：由于在 ASA 上处理 CSD 主机完整性检查结果期间发生错误，系统不允许此会话。

group-name - 组的名称
user-name - 用户的名称
IP_address - IP 地址

建议的操作：确定客户端防火墙是否会截断长 URL。从客户端卸载 CSD 并重新连接到 ASA。

724002

错误消息 %ASA-4-724002: Group group-name User user-name IP IP_address WebVPN session not terminated. Cisco Secure Desktop was not running on the client's workstation.

说明：CSD 未在客户端计算机上运行。

group-name - 组的名称
user-name - 用户的名称
IP_address - IP 地址

建议的操作：验证最终用户是否可以在客户端计算机上安装和运行 CSD。

725001

错误消息 %ASA-6-725001: Starting SSL handshake with peer-type interface :src-ip /src-port to dst-ip /dst-port for protocol session.

说明：已开始与远程设备（可以是客户端或服务器）的 SSL 握手。

peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号
protocol - 用于 SSL 握手的 SSL 版本

建议的操作：无需执行任何操作。

725002

错误消息 %ASA-6-725002: Device completed SSL handshake with peer-type interface :src-ip /src-port to dst-ip /dst-port for protocol-version session

说明：已成功完成与远程设备的 SSL 握手。

peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号
protocol-version - 正在使用的 SSL 协议版本：SSLv3、TLSv1、DTLSv1、DTLSv1.2、TLSv1.1 或 TLSv1.2

建议的操作： 无需执行任何操作。

725003

错误消息 %ASA-6-725003: SSL peer-type interface :src-ip /src-port to dst-ip /dst-port request to resume previous session.

说明：远程设备正在尝试恢复之前的 SSL 会话。

peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号

建议的操作：无需执行任何操作。

725004

错误消息 %ASA-6-725004: Device requesting certificate from SSL peer-type interface :src-ip /src-port to dst-ip /dst-port for authentication.

说明：ASA 已请求客户端证书以进行身份验证。

peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号

建议的操作：无需执行任何操作。

725005

错误消息 %ASA-6-725005: SSL peer-type interface :src-ip /src-port to dst-ip /dst-port requesting our device certificate for authentication.

说明：服务器已请求 ASA的证书以进行身份验证。

peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号

建议的操作：无需执行任何操作。

725006

错误消息 %ASA-6-725006: Device failed SSL handshake with peer-type interface :src-ip /src-port to dst-ip /dst-port

说明：与远程设备的 SSL 握手失败。

peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号

建议的操作：查找系统日志消息 725014，它说明了失败原因。

725007

错误消息 %ASA-6-725007: SSL session with peer-type interface :src-ip /src-port to dst-ip /dst-port terminated.

说明：SSL 会话已终止。

peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号

建议的操作：无需执行任何操作。

725008

错误消息 %ASA-7-725008: SSL peer-type interface :src-ip /src-port to dst-ip /dst-port proposes the following n cipher(s).

说明：列出远程 SSL 设备建议的密式数量。

peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号
n - 受支持的密式数量

建议的操作：无需执行任何操作。

725009

错误消息 %ASA-7-725009 Device proposes the following n cipher(s) peer-type interface :src-ip /src-port to dst-ip /dst-port .

说明：列出向 SSL 服务器建议的密式数量。

peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号
n - 受支持的密式数量

建议的操作：无需执行任何操作。

725010

错误消息 %ASA-7-725010: Device supports the following n cipher(s).

说明：此消息列出 ASA 支持的用于 SSL 会话的密式数量。

n - 受支持的密式数量

建议的操作：无需执行任何操作。

725011

错误消息 %ASA-7-725011 Cipher[order ]: cipher_name

说明：始终关注消息 725008、725009 和 725010，此消息指示密式名称及其首选顺序。

order - 密式列表中密式的顺序
cipher_name - 密码列表中的 OpenSSL 密码名称

建议的操作： 无需执行任何操作。

725012

错误消息 %ASA-7-725012: Device chooses cipher cipher for the SSL session with peer-type interface :src-ip /src-port to dst-ip /dst-port.

说明：列出思科设备选择用于 SSL 会话的密式。

cipher - 密码列表中的 OpenSSL 密码名称
peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号

建议的操作：无需执行任何操作。

725013

错误消息 %ASA-7-725013 SSL peer-type interface :src-ip /src-port to dst-ip /dst-port chooses cipher cipher

说明：识别服务器选择用于 SSL 会话的密式。

peer-type - 服务器或客户端，具体取决于发起连接的设备
interface - SSL 会话使用的接口名称
source-ip - 源 IPv4 或 IPv6 地址
src-port - 源端口号
dst-ip - 目的 IP 地址
dst-port - 目的端口号
cipher - 密码列表中的 OpenSSL 密码名称

建议的操作： 无需执行任何操作。

725014

错误消息 %ASA-7-725014 SSL lib error. Function: function Reason: reason

说明：指示 SSL 握手失败的原因。

function - 报告失败的函数名称
reason - 失败情况的说明

建议的操作：在向思科 TAC 报告任何 SSL 相关问题时添加此消息。

725015

错误消息 %ASA-3-725015 Error verifying client certificate. Public key size in client certificate exceeds the maximum supported key size.

说明：由于不受支持的（大型）密钥大小，SSL 客户端证书验证失败。

建议的操作：使用密钥大小小于或等于 4096 位的客户端证书。

725016

错误消息 %ASA-6-725016: Device selects trust-point trustpoint for peer-type interface :src-ip /src-port to dst-ip /dst-port

说明：使用服务器名称指示 (SNI)，用于给定连接的证书可能并非接口上配置的证书。此外，没有指示选择了哪个证书信任点。此系统日志指示连接使用的信任点（由 interface :src-ip /src-port 指定）。

trustpoint - 用于指定连接的已配置信任点的名称
nterface - ASA 上的接口的名称
src-ip - 对等体的 IP 地址
src-port - 对等体的端口号
dst-ip - 目标的 IP 地址
dst-port - 目标的端口号

建议的操作：无需执行任何操作。

725017

错误消息 %ASA-7-725017: No certificates received during the handshake with %s %s :%B /%d to %B /%d for %s session

说明：远程客户端未发送有效证书。

remote_device - 标识是否与客户端或服务器执行了握手
ctm->interface - 发送握手的接口名称
ctm->src_ip - SSL 服务器的 IP 地址，其将与客户端通信
ctm->src_port - SSL 服务器的端口，其将与客户端通信
ctm->dst_ip - 客户端的 IP 地址
ctm->dst_port - 客户端做出响应所使用的端口
s->method->version - 事务中所涉及的协议版本（SSLv3、TLSv1 或 DTLSv1）

建议的操作：无需执行任何操作。

726001

错误消息 %ASA-6-726001: Inspected im_protocol im_service Session between Client im_client_1 and im_client_2 Packet flow from src_ifc :/sip /sport to dest_ifc :/dip /dport Action: action Matched Class class_map_id class_map_name

说明：已对 IM 消息执行 IM 检测且满足指定的条件。已执行所配置的操作。

im_protocol - MSN IM 或 Yahoo IM
im_service - IM 服务，例如聊天、会议、文件传输、语音、视频、游戏或未知
im_client_1 , im_client_2 - 在会话中使用 IM 服务的客户端对等体：client_login_name 或 “?”
src_ifc - 源接口名称
sip - 源 IP 地址
sport - 源端口
dest_ifc - 目的接口名称
dip - 目标 IP 地址
dport - 目的端口
action - 所采取的操作：重置连接、丢弃连接或接收
class_map_id - 匹配的类映射 ID
class_map_name - 匹配的类映射名称

建议的操作：无需执行任何操作。

730001

错误消息：%ASA-7-730001 Group groupname , User username , IP ipaddr : VLAN MAPPING to VLAN vlanid

说明：VLAN 映射成功。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址
vlanid - 用于 VLAN 映射会话的 VLAN ID

建议的操作：无需执行任何操作。

730002

错误消息：%ASA-7-730002 Group groupname , User username , IP ipaddr : VLAN MAPPING to VLAN vlanid failed

说明：VLAN 映射失败。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址
vlanid - 用于 VLAN 映射会话的 VLAN ID

建议的操作：验证所有 VLAN 映射相关配置是否正确，以及 VLAN ID 是否有效。

730003

错误消息 %ASA-7-730003: NACApp sets IP ipaddr VLAN to vlanid

说明：ASA 收到来自 NACApp 的 SNMP 组消息，为会话设置新 VLAN ID。

ipaddr - 此会话的 IP 地址
vlanid - 用于 VLAN 映射会话的 VLAN ID

建议的操作：无需执行任何操作

730004

错误消息：%ASA-6-730004: Group groupname User username IP ipaddr VLAN ID vlanid from AAA ignored.

说明：从 AAA 收到的 VLAN ID 不同于当前使用的 VLAN ID，对于当前会话，请将其忽略。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址
vlanid - 用于 VLAN 映射会话的 VLAN ID

建议的操作：如果必须使用新收到的 VLAN ID，则需要断开当前会话。否则，无需执行任何操作。

730005

错误消息 %ASA-3-730005: Group DfltGrpPolicy User username IP VLAN Mapping error. VLAN vlan_id may be out of range, unassigned to any interface or assigned to multiple interfaces

说明：已发生 VLAN 映射错误。VLAN 可能超出范围、未分配给任何接口或分配给多个接口。

建议的操作：验证 AAA 服务器和 ASA 上的 VLAN ID 配置是否都正确。

730006

错误消息：%ASA-7-730006: Group groupname , User username , IP ipaddr : is on NACApp AUTH VLAN vlanid .

说明：会话正在进行 NACApp 安全评估。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址
vlanid - 用于 VLAN 映射会话的 VLAN ID

建议的操作：无需执行任何操作。

730007

错误消息 %ASA-7-730007: Group groupname , User username , IP ipaddr : changed VLAN to <%s > ID vlanid

说明：会话已完成 NACApp（思科 NAC 设备）安全评估，并且 VLAN 已从 AUTH VLAN 更改为新 VLAN。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址
%s - 字符串
vlanid - 用于 VLAN 映射会话的 VLAN ID

建议的操作：无需执行任何操作。

730008

错误消息：%ASA-6-730008: Group groupname, User username, IP ipaddr, VLAN MAPPING timeout waiting NACApp.

说明：NACApp（思科 NAC 设备）安全评估时间超出配置的超时值。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址

建议的操作：检查 NACApp 设置的状态。

730009

错误消息：%ASA-5-730009: Group groupname , User username, IP ipaddr , CAS casaddr , capacity exceeded, terminating connection.

说明：超出了 NACApp（思科 NAC 设备）CAS 的负载容量，使用此设备的新传入会话即将终止。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址
casaddr - CAS (Clean Access Server) 的 IP 地址

建议的操作：查看并修改有关多少组和哪些组与 CAS 相关联的计划，以确保不会超出其负载容量。

730010

错误消息：%ASA-7-730010: Group groupname , User username, IP ipaddr , VLAN Mapping is enabled on VLAN vlanid .

说明：会话中启用了 VLAN 映射。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址
vlanid - 用于 VLAN 映射会话的 VLAN ID

建议的操作：无需执行任何操作。

731001

错误消息：%ASA-6-731001: NAC policy added: name: policyname Type: policytype .

说明：已向 ASA 添加了新的 NAC 策略。

policyname - NAC 策略的名称
policytype - NAC 策略的类型

建议的操作：无需执行任何操作。

731002

错误消息：%ASA-6-731002: NAC policy deleted: name: policyname Type: policytype .

说明：已从 ASA 中删除了 NAC 策略。

policyname - NAC 策略的名称
policytype - NAC 策略的类型

建议的操作：无需执行任何操作。

731003

错误消息：%ASA-6-731003: nac-policy unused: name: policyname Type: policytype .

说明：系统未使用 NAC 策略，这是因为存在与其名称相同、但类型不同的现有 NAC 策略。

policyname - NAC 策略的名称
policytype - NAC 策略的类型

建议的操作：如果必须使用新的 NAC 策略，必须首先删除现有 NAC 策略。否则，无需执行任何操作。

732001

错误消息：%ASA-6-732001: Group groupname, User username, IP ipaddr, Fail to parse NAC-SETTINGS nac-settings-id , terminating connection.

说明：由于没有可用内存，ASA 无法应用 NAC 设置。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址
nac-settings-id - 用于 NAC 过滤器的 ID

建议的操作：升级 ASA 内存。在此问题出现之前解决日志中的任何错误。如果问题仍然存在，请联系思科 TAC。

732002

错误消息：%ASA-6-732002: Group groupname, User username, IP ipaddr, NAC-SETTINGS settingsid from AAA ignored, existing NAC-SETTINGS settingsid_inuse used instead.

说明：NAC 设置 ID 无法应用，这是因为会话有一个不同的 NAC 设置 ID。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址
settingsid - 设置 ID，应为 NAC 策略名称
settingsid_inuse - 当前正在使用的 NAC 设置 ID

建议的操作：如果必须应用新的 NAC 设置 ID，必须首先断开所有使用新的 NAC 设置 ID 的活动会话。否则，无需执行任何操作。

732003

错误消息：%ASA-6-732003: Group groupname, User username, IP ipaddr, NAC-SETTINGS nac-settings-id from AAA is invalid, terminating connection.

说明：从 AAA 收到的 NAC 设置无效。

groupname - 组名称
username - 用户名
ipaddr - 此会话的 IP 地址
nac-settings-id - 用于 NAC 过滤器的 ID

建议的操作：验证 AAA 服务器和 ASA 上的 NAC 设置配置是否都正确。

733100

错误消息 %ASA-4-733100: Object drop rate rate_ID exceeded. Current burst rate is rate_val per second, max configured rate is rate_val ; Current average rate is rate_val per second, max configured rate is rate_val ; Cumulative total count is total_cnt

说明：消息中的指定对象已超出指定的峰值阈值速率或平均阈值速率。此对象可以是主机、TCP/UDP 端口、IP 协议的丢包活动或由潜在攻击导致的各种丢包。ASA 可能受到了攻击。

Object - 丢包速率计数的一般或特定来源，可能包括以下各项：

- 防火墙

- 坏包

- 速率限制

- DoS 攻击

- ACL 丢包

- 连接限制

- ICMP 攻击

- 扫描

- SYN 攻击

- 检查

- 接口

（特定接口对象的引用可能有多种形式。例如，您可能会看到 80/HTTP，这将表示使用已知协议 HTTP 的端口 80。）

rate_ID - -超出的配置速率。大多数对象最多可以配置三种不同的速率，用于不同的时间间隔。
rate_val - 特定速率值。
total_cnt - 创建或清除对象之后的总数。

以下三个示例显示了这些变量是如何发生的：

对于由 CPU 或总线限制导致的接口丢包：


%ASA-4-733100: [Interface] drop rate 1 exceeded. Current burst rate is 1 per second, max configured rate is 8000; Current average rate is 2030 per second, max configured rate is 2000; Cumulative total count is 3930654.”

对于由潜在攻击导致的扫描丢包：


%ASA-4-733100: [Scanning] drop rate-1 exceeded. Current burst rate is 10 per second_max configured rate is 10; Current average rate is 245 per second_max configured rate is 5; Cumulative total count is 147409 (35 instances received)

对于由潜在攻击导致的坏包：


%ASA-4-733100: [Bad pkts] drop rate 1 exceeded. Current burst rate is 0 per second, max configured rate is 400; Current average rate is 760 per second, max configured rate is 100; Cumulative total count is 1938933

由于所配置的扫描速率和 threat-detection rate scanning-rate 3600 average-rate 15 命令：


%ASA-4-733100: [144.60.88.2] drop rate-2 exceeded. Current burst rate is 0 per second, max configured rate is 8; Current average rate is 5 per second, max configured rate is 4; Cumulative total count is 38086

根据消息中显示的指定对象类型执行以下步骤：

如果消息中的对象是以下其中一项：
- 防火墙
- 坏包
- 速率限制
- DoS 攻击
- ACL 丢包
- 连接限制
- ICMP 攻击
- 扫描
- SYN 攻击
- 检测
- 接口

建议的操作：检查运行环境的丢包速率是否可接受。

使用 threat-detection rate xxx 命令将特定丢包的阈值速率调整为适当的值，其中，xxx 为以下其中一项：
- acl-drop
- bad-packet-drop
- conn-limit-drop
- dos-drop
- fw-drop
- icmp-drop
- inspect-drop
- interface-drop
- scanning-threat
- syn-attack
如果消息中的对象是 TCP 或 UDP 端口、IP 地址或主机丢包，检查运行环境的丢包速率是否可接受。
使用 threat-detection rate bad-packet-drop 命令将特定丢包的阈值速率调整为适当的值。

注	如果您不希望显示丢包速率超出警告，可以使用 no threat-detection basic-threat 命令禁用它。

733101

错误消息 %ASA-4-733101: Object objectIP (is targeted|is attacking). Current burst rate is rate_val per second, max configured rate is rate_val ; Current average rate is rate_val per second, max configured rate is rate_val ; Cumulative total count is total_cnt.

说明：ASA 检测到特定主机（或同一 1024 节点子网中的多台主机）正在扫描网络（发起攻击）或正在被扫描（成为攻击目标）。

object - 攻击者或目标（特定主机或同一 1024 节点子网中的多台主机）
objectIP - 执行扫描的攻击者或被扫描目标的 IP 地址
rate_val - 特定速率值
total_cnt - 总数

以下两个示例显示了这些变量是如何发生的：


%ASA-4-733101: Subnet 100.0.0.0 is targeted. Current burst rate is 200 per second, max configured rate is 0; Current average rate is 0 per second, max configured rate is 0; Cumulative total count is 2028.
%ASA-4-733101: Host 175.0.0.1 is attacking. Current burst rate is 200 per second, max configured rate is 0; Current average rate is 0 per second, max configured rate is 0; Cumulative total count is 2024

建议的操作：对于特定主机或子网，使用 show threat-detection statistics host ip-address ip-mask 命令检查整体情况，然后将扫描威胁的阈值速率调整为适当的值。确定适当的值后，可以通过配置 threat-detection scanning-threat shun-host 命令，执行可选操作来避开这些主机攻击者（而不是子网攻击者）。您可以在主机规避例外列表中指定某些主机或对象组。有关详细信息，请参阅《CLI 配置指南》。如果扫描检测不可取，您可以使用 no threat-detection scanning 命令禁用此功能。

733102

错误消息 %ASA-4-733102:Threat-detection adds host %I to shun list

说明：主机已被威胁检测引擎规避。配置 threat-detection scanning-threat shun 命令后，攻击主机将被威胁检测引擎规避。

%I - 特定主机名

以下消息显示了如何执行此命令：


%ASA-4-733102: Threat-detection add host 11.1.1.40 to shun list

建议的操作：要调查规避的主机是否是实际的攻击者，请使用 threat-detection statistics host ip-address 命令。如果规避的主机不是攻击者，可以使用 clear threat-detection shun ip address 命令将规避主机从威胁检测引擎中删除。要从威胁检测引擎中删除所有规避主机，请使用 clear shun 命令。

如果由于设置了不适当的阈值速率来触发威胁检测引擎而收到此消息，则使用 threat-detection rate scanning-threat rate-interval x average-rate y burst-rate z 命令调整阈值速率。

733103

错误消息 %ASA-4-733103: Threat-detection removes host %I from shun list

说明：主机已被威胁检测引擎规避。使用 clear-threat-detection shun 命令时，将从规避列表中删除指定主机。

%I - 特定主机名

以下消息显示了如何执行此命令：


%ASA-4-733103: Threat-detection removes host 11.1.1.40 from shun list

建议的操作：无需执行任何操作。

733104

错误消息 %ASA-4-733104: TD_SYSLOG_TCP_INTERCEPT_AVERAGE_RATE_EXCEED

说明：如果被拦截的攻击的平均速率超出所配置的阈值，则说明 ASA 正在遭受攻击并受到 TCP 拦截机制的保护。此消息显示遭受攻击的服务器以及攻击来源。

建议的操作：编写 ACL 以过滤掉攻击。

733105

错误消息 %ASA-4-733105: TD_SYSLOG_TCP_INTERCEPT_BURST_RATE_EXCEED

说明：如果被拦截的攻击的突发速率超出所配置的阈值，则说明 ASA 正在遭受攻击并受到 TCP 拦截机制的保护。此消息显示遭受攻击的服务器以及攻击来源。

建议的操作：编写 ACL 以过滤掉攻击。

734001

错误消息 %ASA-6-734001: DAP: User user, Addr ipaddr , Connection connection : The following DAP records were selected for this connection: DAP record names

说明：列出选择用于连接的 DAP 记录。

user - 经过身份验证的用户名
ipaddr - 远程客户端的 IP 地址
connection - 客户端连接类型，可以是以下类型之一：

- IPsec

- AnyConnect

- 无客户端（Web 浏览器）

- 直接转发代理

- L2TP

DAP record names - 以逗号分隔的 DAP 记录名称列表

建议的操作：无需执行任何操作。

734002

错误消息 %ASA-5-734002: DAP: User user, Addr ipaddr : Connection terrminated by the following DAP records: DAP record names

说明：列出终止连接的 DAP 记录。

user - 经过身份验证的用户名
ipaddr - 远程客户端的 IP 地址
DAP record names - 以逗号分隔的 DAP 记录名称列表

建议的操作：无需执行任何操作。

734003

错误消息 %ASA-7-734003: DAP: User name , Addr ipaddr : Session Attribute: attr name/value

说明：列出与连接关联的 AAA 和终端会话属性。

user - 经过身份验证的用户名
ipaddr - 远程客户端的 IP 地址
attr/value - AAA 或终端属性的名称和值

建议的操作：无需执行任何操作。

734004

错误消息 %ASA-3-734004: DAP: Processing error: internal error code

说明：发生 DAP 处理错误。

internal error code - 内部错误字符串

建议的操作：启用 debug dap errors 命令并重新运行 DAP 处理以获取更多调试信息。如果上述操作没能解决问题，请联系思科 TAC 并提供内部错误代码以及任何有关产生错误的条件的信息。

735001

错误消息 %ASA-1-735001 IPMI: Cooling Fan var1 : OK

说明：冷却风扇已恢复正常运行。

var1 - 设备编号标记

建议的操作：无需执行任何操作。

735002

错误消息 %ASA-1-735002 IPMI: Cooling Fan var1 : Failure Detected

说明：冷却风扇出现故障。

var1 - 设备编号标记

建议的操作：执行以下步骤：

检查是否有阻碍风扇旋转的障碍物。
更换冷却风扇。
如果问题仍然存在，记录所显示的消息并联系思科 TAC。

735003

错误消息 %ASA-1-735003 IPMI: Power Supply var1 : OK

说明：电源已恢复正常运行。

var1 - 设备编号标记

建议的操作：无需执行任何操作。

735004

错误消息 %ASA-1-735004 IPMI: Power Supply var1 : Failure Detected

说明：交流电源已丢失，或电源出现故障。

var1 - 设备编号标记

建议的操作：执行以下步骤：

检查交流电源故障。
更换电源。
如果问题仍然存在，记录所显示的消息并联系思科 TAC。

735005

错误消息 %ASA-1-735005 IPMI: Power Supply Unit Redundancy OK

说明：电源设备冗余已恢复。

建议的操作：无需执行任何操作。

735006

错误消息 %ASA-1-735006 IPMI: Power Supply Unit Redundancy Lost

说明：发生电源故障。电源设备冗余已丢失，但 ASA 可在最低资源条件下正常运行。任何其他故障都将导致 ASA 关闭。

建议的操作：要重新获得完全冗余，请执行以下步骤：

检查交流电源故障。
更换电源。
如果问题仍然存在，记录所显示的消息并联系思科 TAC。

735007

错误消息 %ASA-1-735007 IPMI: CPU var1 : Temp: var2 var3 , Critical

说明：CPU 已达到临界温度。

var1 - 设备编号标记
var2 - 温度值
var3 - 温度值单位（C、F）

建议的操作：记录所显示的消息并联系思科 TAC。

735008

错误消息 %ASA-1-735008 IPMI: Chassis Ambient var1 : Temp: var2 var3 , Critical

说明：机箱环境温度传感器达到临界水平。

var1 - 设备编号标记
var2 - 温度值
var3 - 温度值单位（C、F）

建议的操作：记录所显示的消息并联系思科 TAC。

735009

错误消息 %ASA-2-735009: IPMI: Environment Monitoring has failed initialization and configuration. Environment Monitoring is not running.

说明：初始化期间环境监控出现致命错误，无法继续。

建议的操作：收集 show environment 和 debug ipmi 命令的输出。记录所显示的消息并联系思科 TAC。

735010

错误消息 %ASA-3-735010: IPMI: Environment Monitoring has failed to update one or more of its records.

说明：环境监控出现错误，导致暂时无法更新它的一个或多个记录。

建议的操作：如果重复出现此消息，收集 show environment driver 和 debug ipmi 命令的输出。记录所显示的消息并联系思科 TAC。

735011

错误消息 %ASA-1-735011: Power Supply var1 : Fan OK

说明：电源风扇已恢复正常工作状态。

var1 - 风扇编号

建议的操作：无需执行任何操作。

735012

错误消息 %ASA-1-735012: Power Supply var1 : Fan Failure Detected

说明：电源风扇出现故障。

var1 - 风扇编号

建议的操作：联系思科 TAC 进行故障排除。解决此故障之前关闭设备电源。

735013

错误消息 %ASA-1-735013: Voltage Channel var1 : Voltage OK

说明：电压通道已恢复正常工作水平。

var1 - 电压通道编号

建议的操作：无需执行任何操作。

735014

错误消息 %ASA-1-735014: Voltage Channel var1: Voltage Critical

说明：电压通道已变为临界水平。

var1 - 电压通道编号

建议的操作：联系思科 TAC 进行故障排除。解决此故障之前关闭设备电源。

735015

错误消息 %ASA-4-735015: CPU var1 : Temp: var2 var3 , Warm

说明：CPU 温度高于正常工作温度范围。

var1 - CPU 编号
var2 - 温度值
var3 - 设备

建议的操作：继续监控此组件，确保其不会达到临界温度。

735016

错误消息 %ASA-4-735016: Chassis Ambient var1 : Temp: var2 var3 , Warm

说明：机箱温度高于正常工作温度范围。

var1 - 机箱传感器编号
var2 - 温度值
var3 - 设备

建议的操作：继续监控此组件，确保其不会达到临界温度。

735017

错误消息 %ASA-1-735017: Power Supply var1 : Temp: var2 var3 , OK

说明：电源温度已恢复正常工作温度。

var1 - 电源编号
var2 - 温度值
var3 - 设备

建议的操作：无需执行任何操作。

735018

错误消息 %ASA-4-735018: Power Supply var1 : Temp: var2 var3 , Critical

说明：电源已达到临界工作温度。

var1 - 电源编号
var2 - 温度值
var3 - 设备

建议的操作：联系思科 TAC 进行故障排除。解决此故障之前关闭设备电源。

735019

错误消息 %ASA-4-735019: Power Supply var1 : Temp: var2 var3 , Warm

说明：电源温度高于正常工作温度范围。

var1 - 电源编号
var2 - 温度值
var3 - 设备

建议的操作：继续监控此组件，确保其不会达到临界温度。

735020

错误消息 %ASA-1-735020: CPU var1: Temp: var2 var3 OK

说明：CPU 温度已恢复正常工作温度。

var1 - CPU 编号
var2 - 温度值
var3 - 设备

建议的操作：无需执行任何操作。

735021

错误消息 %ASA-1-735021: Chassis var1: Temp: var2 var3 OK

说明：机箱温度已恢复正常工作温度。

var1 - 机箱传感器编号
var2 - 温度值
var3 - 设备

建议的操作：无需执行任何操作。

735022

错误消息 %ASA-1-735022: CPU# is running beyond the max thermal operating temperature and the device will be shutting down immediately to prevent permanent damage to the CPU.

说明：ASA 检测到 CPU 的运行温度超出了最高热工作温度，并将在检测后立即关闭。

建议的操作：需要立即检查机箱和 CPU，以确定是否存在通风问题。

735023

错误消息 %ASA-2-735023: ASA was previously shutdown due to the CPU complex running beyond the maximum thermal operating temperature. The chassis needs to be inspected immediately for ventilation issues.

说明：启动时，ASA 检测到因 CPU 的运行温度超出了最高安全工作温度而发生关闭事件。使用 show environment 命令将指示发生了此事件。

建议的操作：需要立即检查机箱，以确定是否存在通风问题。

735024

错误消息 %ASA-1-735024: IO Hub var1 : Temp: var2 var3 , OK

说明：IO 集线器温度已恢复正常工作温度。

ar1 - IO 集线器编号
var2 - 温度值
var3 - 单位

建议的操作：无需执行任何操作。

735025

错误消息 %ASA-1-735025: IO Hub var1 : Temp: var2 var3 , Critical

说明：IO 集线器温度具有临界温度。

ar1 - IO 集线器编号
var2 - 温度值
var3 - 单位

建议的操作：记录所显示的消息并联系思科 TAC。

735026

错误消息 %ASA-4-735026: IO Hub var1 : Temp: var2 var3 , Warm

说明：IO 集线器温度高于正常工作温度范围。

ar1 - IO 集线器编号
var2 - 温度值
var3 - 单位

建议的操作：继续监控此组件，确保其不会达到临界温度。

735027

错误消息 %ASA-1-735027: CPU cpu_num Voltage Regulator is running beyond the max thermal operating temperature and the device will be shutting down immediately. The chassis and CPU need to be inspected immediately for ventilation issues.

说明：ASA 检测到 CPU 调压器的运行温度超出了最高热工作温度，并在检测后立即关闭。

cpu_num - 用于识别经历了热事件的 CPU 调压器的编号

建议的操作：需要立即检查机箱和 CPU，以确定是否存在通风问题。

735028

错误消息 %ASA-2-735028: ASA was previously shutdown due to a CPU Voltage Regulator running beyond the max thermal operating temperature. The chassis and CPU need to be inspected immediately for ventilation issues.

说明：启动时，ASA 检测到因 CPU 调压器的运行温度超出了最高安全工作温度而发生关闭事件。输入 show environment 命令，以指示发生了此事件。

建议的操作：需要立即检查机箱和 CPU，以确定是否存在通风问题。

735029

错误消息 %ASA-1-735029: IO Hub is running beyond the max thermal operating temperature and the device will be shutting down immediately to prevent permanent damage to the circuit.

说明：ASA 检测到 IO 集线器的运行温度超出了最高热工作温度，并将在检测后立即关闭。

建议的操作：需要立即检查机箱和 IO 集线器，以确定是否存在通风问题。

736001

错误消息 %ASA-2-736001: Unable to allocate enough memory at boot for jumbo-frame reservation. Jumbo-frame support has been disabled.

说明：配置巨帧支持时检测到内存不足。因此，已禁用巨帧支持。

建议的操作：使用 jumbo-frame reservation 命令尝试重新启用巨帧支持。保存运行配置并重启 ASA。如果问题仍然存在，请联系思科 TAC。

ID 介于 737001 到 776254 之间的消息

本部分包括 ID 介于 737001 到 776254 之间的消息。

737001

错误消息 %ASA-7-737001: IPAA: Session= session, Received message message-type

说明：IP 地址分配进程收到一条消息。

session - 会话是 VPN 会话 ID（十六进制）。
message-type - IP 地址分配进程收到的消息

建议的操作：无需执行任何操作。

737002

错误消息 %ASA-3-737002: IPAA: Session= session,Received unknown message num variables

说明：IP 地址分配进程收到一条消息。

session - 会话是 VPN 会话 ID（十六进制）。
num - IP 地址分配进程收到的消息的标识符

建议的操作：无需执行任何操作。

737003

错误消息 %ASA-5-737003: IPAA: Session= session, DHCP configured, no viable servers found for tunnel-group tunnel-group

说明：给定隧道组的 DHCP 服务器配置无效。

session - 会话是 VPN 会话 ID（十六进制）。
tunnel-group - IP 地址分配用于配置的隧道组

建议的操作：验证隧道组的 DHCP 配置。确保 DHCP 服务器处于在线状态。

737004

错误消息 %ASA-5-737004: IPAA: Session= session, DHCP configured, request failed for tunnel-group 'tunnel-group'

说明：给定隧道组的 DHCP 服务器配置无效。

session - 会话是 VPN 会话 ID（十六进制）。
tunnel-group - IP 地址分配用于配置的隧道组

建议的操作：验证隧道组的 DHCP 配置。确保 DHCP 服务器处于在线状态。

737005

错误消息 %ASA-6-737005: IPAA: Session= session, DHCP configured, request succeeded for tunnel-group tunnel-group

说明：DHCP 服务器请求成功。

session - 会话是 VPN 会话 ID（十六进制）。
tunnel-group - IP 地址分配用于配置的隧道组

建议的操作：无需执行任何操作。

737006

错误消息 %ASA-6-737006: IPAA: Session= session, Local pool request succeeded for tunnel-group tunnel-group

说明：本地池请求成功。

session - 会话是 VPN 会话 ID（十六进制）。
tunnel-group - IP 地址分配用于配置的隧道组

建议的操作：无需执行任何操作。

737007

错误消息 %ASA-5-737007: IPAA: Session= session, Local pool request failed for tunnel-group tunnel-group

说明：本地池请求失败。分配给隧道组的池可能已耗尽。

session - 会话是 VPN 会话 ID（十六进制）。
tunnel-group - IP 地址分配用于配置的隧道组

建议的操作：使用 show ip local pool 命令验证 IP 本地池配置。

737008

错误消息 %ASA-5-737008: IPAA: Session= session, 'tunnel-group' not found

说明：尝试获取用于配置的 IP 地址时未找到隧道组。软件缺陷可能导致生成此消息。

session - 会话是 VPN 会话 ID（十六进制）。
tunnel-group - IP 地址分配用于配置的隧道组

建议的操作：检查隧道组配置。联系思科 TAC 并报告问题。

737009

错误消息 %ASA-6-737009: IPAA: Session= session, AAA assigned address ip-address , request failed

说明：远程访问客户端软件请求使用特定地址。向 AAA 服务器发送的使用此地址的请求失败。此地址可能正在使用。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 客户端请求的 IPv4 或 IPv6 地址

建议的操作：检查 AAA 服务器状态和 IP 本地池的状态。

737010

错误消息 %ASA-6-737010: IPAA: Session= session, AAA assigned address ip-address , request succeeded

说明：远程访问客户端软件请求使用特定地址并成功接收此地址。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 客户端请求的 IPv4 或 IPv6 地址

建议的操作：无需执行任何操作。

737011

错误消息 %ASA-5-737011: IPAA: Session= session, AAA assigned ip-address , not permitted, retrying

说明：远程访问客户端软件请求使用特定地址。未配置 vpn-addr-assign aaa 命令。将使用备选配置的地址分配方法。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 客户端请求的 IPv4 或 IPv6 地址

建议的操作：如果要允许客户端指定自己的地址，请启用 vpn-addr-assign aaa 命令。

737012

错误消息 %ASA-4-737012: IPAA: Session= session, Address assignment failed

说明：远程访问客户端软件的特定地址请求失败。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 客户端请求的 IP 地址

建议的操作：如果使用 IP 本地池，验证本地池配置。如果使用 AAA，验证 AAA 服务器的配置和状态。如果使用 DHCP，验证 DHCP 服务器的配置和状态。增加日志记录级别（使用通知或信息消息）以获取更多消息来确定失败原因。

737013

错误消息 %ASA-4-737013: IPAA: Session= session, Error freeing address ip-address , not found

说明：ASA 尝试释放一个地址，但由于最近的配置更改，此地址不在已分配列表中。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 要释放的 IPv4 或 IPv6 地址

建议的操作：验证地址分配配置。如果再次出现此消息，则可能是由于软件缺陷导致的。联系思科 TAC 并报告问题。

737014

错误消息 %ASA-6-737014: IPAA: Session= session, Freeing AAA address ip-address

说明：ASA 成功释放通过 AAA 分配的 IP 地址。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 要释放的 IPv4 或 IPv6 地址

建议的操作：无需执行任何操作。

737015

错误消息 %ASA-6-737015: IPAA: Session= session, Freeing DHCP address ip-address

说明：ASA 成功释放通过 DHCP 分配的 IP 地址。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 要释放的 IP 地址

建议的操作：无需执行任何操作。

737016

错误消息 %ASA-6-737016: IPAA: Session= session, Freeing local pool pool-name address ip-address

说明：ASA 成功释放通过本地池分配的 IP 地址。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 要释放的 IPv4 或 IPv6 地址
pool-name - 接收返回的地址的池

建议的操作：无需执行任何操作。

737017

错误消息 %ASA-6-737017: IPAA: Session= session, DHCP request attempt num succeeded

说明：ASA 已成功向 DHCP 服务器发送请求。

session - 会话是 VPN 会话 ID（十六进制）。
num - 尝试次数

建议的操作：无需执行任何操作。

737018

错误消息 %ASA-5-737018: IPAA: Session= session, DHCP request attempt num failed

说明：ASA 未能向 DHCP 服务器发送请求。

session - 会话是 VPN 会话 ID（十六进制）。
num - 尝试次数

建议的操作：验证 DHCP 配置和 DHCP 服务器的连接。

737019

错误消息 %ASA-4-737019: IPAA: Session= session, Unable to get address from group-policy or tunnel-group local pools

说明：ASA 未能从组策略或隧道组上配置的本地池中获取地址。本地池可能已耗尽。

session - 会话是 VPN 会话 ID（十六进制）。

建议的操作：验证本地池的配置和状态。验证本地池的组策略和隧道组配置。

737023

错误消息 %ASA-5-737023: IPAA: Session= session, Unable to allocate memory to store local pool address ip-address

说明：ASA 内存不足。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 已获取的 IP 地址

建议的操作：ASA 可能过载并需要更多内存，或者可能存在软件缺陷导致的内存泄漏。联系思科 TAC 并报告问题。

737024

错误消息 %ASA-5-737024: IPAA: Session= session, Client requested address ip-address , already in use, retrying

说明：客户端请求了已在使用的 IP 地址。将使用新的 IP 地址尝试此请求。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 客户端请求的 IP 地址

建议的操作：无需执行任何操作。

737025

错误消息 %ASA-5-737025: IPAA:Session= session, Duplicate local pool address found, ip-address in quarantine

说明：要提供给客户端的 IP 地址已在使用。此 IP 地址已从池中删除，且不会重复使用。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 已获取的 IP 地址

建议的操作：验证本地池的配置；可能存在软件缺陷导致的重叠问题。联系思科 TAC 并报告问题。

737026

错误消息 %ASA-6-737026: IPAA:Session= session, Client assigned ip-address from local pool pool-name

说明：客户端已从本地池分配指定地址。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 分配给客户端的 IP 地址
pool-name - 从中分配地址的池

建议的操作：无需执行任何操作。

737027

错误消息 %ASA-3-737027: IPAA:Session= session, No data for address request

说明：发现了软件缺陷。

session - 会话是 VPN 会话 ID（十六进制）。

建议的操作：联系思科 TAC 并报告问题。

737028

错误消息 %ASA-4-737028: IPAA:Session= session, Unable to send ip-address to standby: communication failure

说明：主用 ASA 无法与备用 ASA 通信。故障切换对可能不同步。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 分配给客户端的 IP 地址

建议的操作：验证故障切换配置和状态。

737029

错误消息 %ASA-6-737029: IPAA:Session= session, Added ip-address to standby

说明：备用 ASA 已接受 IP 地址分配。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 分配给客户端的 IP 地址

建议的操作：无需执行任何操作。

737030

错误消息 %ASA-4-737030: IPAA:Session= session, Unable to send ip-address to standby: address in use

说明：当主用 ASA 尝试获取给定地址时，备用 ASA 已在使用此地址。故障切换对可能不同步。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 分配给客户端的 IP 地址

建议的操作：验证故障切换配置和状态。

737031

错误消息 %ASA-6-737031: IPAA:Session= session, Removed ip-address from standby

说明：备用 ASA 清除了 IP 地址分配。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 分配给客户端的 IP 地址

建议的操作：无需执行任何操作。

737032

错误消息 %ASA-4-737032: IPAA:Session= session, Unable to remove ip-address from standby: address not found

说明：当主用 ASA 尝试释放备用 ASA 时，此备用设备没有正在使用的 IP 地址。故障切换对可能不同步。

session - 会话是 VPN 会话 ID（十六进制）。
ip-address - 分配给客户端的 IP 地址

建议的操作：验证故障切换配置和状态。

737033

错误消息 %ASA-4-737033: IPAA:Session= session, Unable to assign addr_allocator provided IP address ip_addr to client. This IP address has already been assigned by previous_addr_allocator

说明：AAA/DHCP/本地池分配的地址已在使用。

session - 会话是 VPN 会话 ID（十六进制）。
addr_allocator - DHCP/AAA/本地池
ip_addr - DHCP/AAA/本地池分配的 IP 地址
previous_ addr_allocator - 已分配 IP 地址的地址分配器（本地池、AAA 或 DHCP）

建议的操作：验证 AAA/DHCP/本地池地址配置。可能会发生重叠。

737034

错误消息 %ASA-5-737034: IPAA: Session= session, <IP version> address: <explanation>

说明：IP 地址分配过程无法提供地址。<explanation> 文本将说明原因。

session - 会话是 VPN 会话 ID（十六进制）。

建议的操作：需要执行的操作取决于说明。

737035

错误消息 %ASA-7-737035: IPAA: Session= session, '<message type>' message queued

说明：消息已排入 IP 地址分配队列。此消息与系统日志消息 737001 相对应。此消息没有速率限制。

session - 会话是 VPN 会话 ID（十六进制）。

建议的操作：无需执行任何操作。

737036

错误消息 %ASA-6-737035:IPAA: Session= session, Client assigned <address> from DHCP

说明：IP 地址分配过程已向 VPN 客户端返回了 DHCP 分配的地址。此消息没有速率限制。

session - 会话是 VPN 会话 ID（十六进制）。

建议的操作：无需执行任何操作。

737038

错误消息 %ASA7-737038: IPAA: Session=session, specified address ip-address was in-use, trying to get another.

说明：当 AAA 服务器（内部或外部）已指定要分配给用户的地址，但此地址已在使用时，会出现此日志。请求正在重新排队，而没有指定的地址会回退到 DHCP 或本地池。

session - 请求会话的 VPN 会话 ID。
ip-address - AAA 指定的 IPv4 或 IPv6 地址

建议的操作：无需执行任何操作

737200

错误消息 %ASA-7-737200: VPNFIP: Pool=pool, Allocated ip-address from pool

说明：从本地池分配地址时，会出现此日志。

pool - 本地池名称。
ip-address - AAA 指定的 IPv4 或 IPv6 地址

建议的操作：无需执行任何操作

737201

错误消息 %ASA-7-737201: VPNFIP: Pool=pool, Returned ip-address to pool (recycle=recycle)

说明：当地址返回到本地池时，会出现此日志。回收标志指示此地址是否应在下一个请求中重复使用。在极少数情况下，回收标志将为 FALSE。例如，当发生地址冲突时，地址已通过其他方式（例如 AAA 或 DHCP）分配给 VPN 会话。在这种情况下，我们不会立即尝试在下一个请求中重复使用此地址。

pool - 本地池名称。
ip-address - AAA 指定的 IPv4 或 IPv6 地址

建议的操作：无需执行任何操作

737202

错误消息 %ASA-3-737202: VPNFIP: Pool=pool, ERROR: message

说明：检测到与 VPN FIP 数据库相关的错误事件时，会生成此日志。

pool - 本地池名称。
message - 事件的详细信息。

建议的操作：如果错误仍然存在，请联系思科 TAC。

737203

错误消息 %ASA-4-737203: VPNFIP: Pool=pool, WARN: message

说明：生成此日志是为了警告用户发生与 VPN FIP 数据库相关的事件。

pool - 本地池名称。
message - 事件的详细信息。

建议的操作：如果警告仍然存在，请联系思科 TAC。

737204

错误消息 %ASA-5-737204: VPNFIP: Pool=pool, NOTIFY: message

说明：生成此日志是为了通知用户发生与 VPN FIP 数据库相关的事件。

pool - 本地池名称。
message - 事件的详细信息。

建议的操作：无需执行任何操作

737205

错误消息 %ASA-6-737205: VPNFIP: Pool=pool, INFO: message

说明：生成此日志是为了告知用户发生与 VPN FIP 数据库相关的事件。

pool - 本地池名称。
message - 事件的详细信息。

建议的操作：无需执行任何操作

737206

错误消息 %ASA-7-737206: VPNFIP: Pool=pool, DEBUG: message

说明：生成此日志是为了调试与 VPN FIP 数据库相关的事件。

pool - 本地池名称。
message - 事件的详细信息。

建议的操作：无需执行任何操作

737400

错误消息 %ASA-7-737400: POOLIP: Pool=pool, Allocated ip-address from pool

说明：从本地池分配地址时，会出现此日志。

pool - 本地池名称
ip-address - AAA 指定的 IPv4 或 IPv6 地址

建议的操作：无需执行任何操作

737401

错误消息 %ASA-7-737401: POOLIP: Pool=pool, Returned ip-address to pool (recycle=recycle).

pool - 本地池名称
ip-address - AAA 指定的 IPv4 或 IPv6 地址

建议的操作：无需执行任何操作

737402

错误消息 %ASA-4-737402: POOLIP: Pool=pool, Failed to return ip-address to pool (recycle=recycle). Reason: message

说明：当地址无法返回到地址池时，会出现此日志。

pool - 本地池名称
ip-address - AAA 指定的 IPv4 或 IPv6 地址
message - 故障的详细信息。（例如，地址不在池范围内）

建议的操作：无需执行任何操作

737403

错误消息 %ASA-3-737403: POOLIP: Pool=pool, ERROR: message

说明：检测到与 IP 本地池数据库相关的错误事件时，会生成此日志。

pool - 本地池名称
message - 事件的详细信息。

建议的操作：如果错误仍然存在，请联系思科 TAC。

737404

错误消息 %ASA-4-737404: POOLIP: Pool=pool, WARN: message

说明：生成此日志是为了警告用户发生与 IP 本地池数据库相关的事件。

pool - 本地池名称
message - 事件的详细信息。

建议的操作：如果警告仍然存在，请联系思科 TAC。

737405

错误消息 %ASA-5-737405: POOLIP: Pool=pool, NOTIFY: message

说明：生成此日志是为了通知用户发生与 IP 本地池数据库相关的事件。

pool - 本地池名称
message - 事件的详细信息。

建议的操作：无需执行任何操作

737406

错误消息 %ASA-6-737406: POOLIP: Pool=pool, INFO: message

说明：生成此日志是为了告知用户发生与 IP 本地池数据库相关的事件。

pool - 本地池名称
message - 事件的详细信息。

建议的操作：无需执行任何操作

737407

错误消息 %ASA-7-737407: POOLIP: Pool=pool, DEBUG: message

说明：生成此日志是为了调试与 IP 本地池数据库相关的事件。

pool - 本地池名称
message - 事件的详细信息。

建议的操作：无需执行任何操作

741000

错误消息 %ASA-6-741000: Coredump filesystem image created on variable 1 -size variable 2 MB

说明：核心转储文件系统已成功创建。此文件系统用于通过限制核心转储可能使用的磁盘空间量来管理核心转储。

variable 1 - 存放核心转储的文件系统（例如，disk0:、disk1: 和 flash:）
variable 2 - 创建的核心转储文件系统的大小 (MB)

建议的操作：确保在创建核心转储文件系统后保存配置。

741001

错误消息 %ASA-6-741001: Coredump filesystem image on variable 1 - resized from variable 2 MB to variable 3 MB

说明：核心转储文件系统已成功调整大小。

variable 1 - 存放核心转储的文件系统
variable 2 - 之前的核心转储文件系统的大小 (MB)
variable 3 - 当前重新调整大小后的核心转储文件系统的大小 (MB)

建议的操作：确保在调整核心转储文件系统的大小后保存配置。调整核心转储文件系统的大小会删除现有核心转储文件系统的内容。因此，请确保在调整核心转储文件系统的大小之前存档所有信息。

741002

错误消息 %ASA-6-741002: Coredump log and filesystem contents cleared on variable 1

说明：所有核心转储均已从核心转储文件系统中删除，并且核心转储日志已清除。核心转储文件系统和核心转储日志始终保持彼此同步。

variable 1 - 存放核心转储的文件系统（例如，disk0:、disk1: 和 flash:）

建议的操作：无需执行任何操作。您可以使用 clear coredump 命令清除核心转储文件系统，以便将其重置为已知状态。

741003

错误消息 %ASA-6-741003: Coredump filesystem and its contents removed on variable 1

说明：核心转储文件系统及其内容已被删除，核心转储功能已被禁用。

variable 1 - 存放核心转储的文件系统（例如，disk0:、disk1: 和 flash:）

建议的操作：确保在禁用核心转储功能后保存配置。

741004

错误消息 %ASA-6-741004: Coredump configuration reset to default values

说明：核心转储功能处于禁用状态，核心转储配置已重置为其默认值。

建议的操作：确保在禁用核心转储功能后保存配置。

741005

错误消息 %ASA-4-741005: Coredump operation variable 1 failed with error variable 2 variable 3

说明：执行核心转储相关操作时发生错误。

variable 1 - 此变量可以具有以下值：

- CREATE_FSYS - 创建核心转储文件系统时发生错误。

- CLEAR_LOG - 清除核心转储日志时发生错误。

- DELETE_FSYS - 删除核心转储文件系统时发生错误。

- CLEAR_FSYS - 删除核心转储文件系统的内容时发生错误。

- MOUNT_FSYS - 安装核心转储文件系统时发生错误。

variable 2 - 十进制数字，提供有关 variable 1 中指定的错误原因的其他信息。
variable 3 - 与 variable 2 关联的描述性 ASCII 字符串。ASCII 字符串可以具有以下值：

- 核心转储文件已存在

- 无法创建核心转储文件系统

- 无法创建环回设备

- 文件系统类型不受支持

- 无法删除核心转储文件系统

- 无法删除环回设备

- 无法卸载核心转储文件系统

- 无法安装核心转储文件系统

- 无法安装环回设备

- 无法清除核心转储文件系统

- 找不到核心转储文件系统

- 请求的核心转储文件系统过大

- 管理员已中止核心转储操作

- 核心转储命令执行失败

- 发生核心转储 IFS 错误

- 核心转储遇到未识别的错误

建议的操作：确保在配置中禁用核心转储功能，并将消息发送给思科 TAC 以进行进一步分析。

741006

错误消息 %ASA-4-741006: Unable to write Coredump Helper configuration, reason variable 1

说明：写入核心转储帮助程序配置文件时发生错误。只有当 disk0: 已满时才会发生此错误。配置文件位于 disk0:.coredumpinfo/coredump.cfg 中。

variable 1 - 此变量包含与文件系统相关的基本字符串，该字符串说明了核心转储帮助程序配置文件写入失败的原因。

建议的操作：禁用核心转储功能，从 disk0: 中删除不需要的项目，然后根据需要重新启用核心转储功能。

742001

错误消息 %ASA-3-742001: failed to read master key for password encryption from persistent store

说明：启动后，从非易失性存储器中读取主密码加密密钥失败。除非使用 key config-key password encryption 命令将主密钥设置为正确的值，否则不会解密配置中的加密密码。

建议的操作：如果配置中存在必须使用的加密密码，请使用 key config-key password encryption 命令将主密钥设置为用于加密密码的先前值。如果有未加密的密码或者可以丢弃这些密码，请设置新的主密钥。如果不使用密码加密，则不需要执行任何操作。

742002

错误消息 %ASA-3-742002: failed to set master key for password encryption

说明：尝试读取 key config-key password encryption 命令失败。此错误可能由以下原因导致：

从非安全终端进行配置（例如，通过 Telnet 连接）。
已启用故障切换，但它未使用加密链路。
其他用户同时也在设置密钥。
尝试更改密钥时，旧密钥不正确。
密钥过短而不安全。

此错误还可能有其他原因。在这些情况下，将输出实际错误以响应该命令。

建议的操作：更正命令响应中指示的问题。

742003

错误消息 %ASA-3-742003: failed to save master key for password encryption, reason reason_text

说明：尝试将主密钥保存到非易失性内存失败。reason_text 参数说明了失败的实际原因。原因可能是内存不足，或者非易失性存储可能不一致。

建议的操作：如果问题仍然存在，请使用 write erase 命令重新格式化用于保存密钥的非易失性存储。在执行此步骤之前，请确保备份开箱即用配置。然后重新输入 write erase 命令。

742004

错误消息 %ASA-3-742004: failed to sync master key for password encryption, reason reason_text

说明：尝试将主密钥同步到对等体失败。reason_text 参数说明了失败的实际原因。

建议的操作：尝试更正 reason_text 参数中指出的问题。

742005

错误消息 %ASA-3-742005: cipher text enc_pass is not compatible with the configured master key or the cipher text has been tampered with

说明：尝试解密密码失败。密码可能已使用与当前主密钥不同的主密钥进行加密，或者加密密码的原始格式已被更改。

建议的操作：如果未使用正确的主密钥，请更正此错误。如果加密密码已被修改，请使用新密码重新应用相关配置。

742006

错误消息 %ASA-3-742006: password decryption failed due to unavailable memory

说明：尝试解密密码失败，原因是没有可用内存。使用此密码的功能将不会正常工作。

建议的操作：更正内存问题。

742007

错误消息 %ASA-3-742007: password encryption failed due to unavailable memory

说明：尝试加密密码失败，原因是没有可用内存。密码可以在配置中以明文形式保留。

建议的操作：更正内存问题，并重新应用密码加密失败的配置。

742008

错误消息 %ASA-3-742008: password enc_pass decryption failed due to decoding error

说明：因解码错误导致密码解密失败。如果加密密码在加密后进行了修改，可能会发生这种情况。

建议的操作：使用明文密码重新应用相关配置。

742009

错误消息 %ASA-3-742009: password encryption failed due to decoding error

说明：因解码错误导致密码加密失败，这可能是内部软件错误。

建议的操作：使用明文密码重新应用相关配置。如果问题仍然存在，请联系思科 TAC。

742010

错误消息 %ASA-3-742010: encrypted password enc_pass is not well formed

说明：命令中提供的加密密码格式不正确。此密码可能不是有效的加密密码，也可能在加密后进行了修改。

reason_text - 代表实际失败原因的字符串
enc_pass - 与问题相关的加密密码

建议的操作：使用明文密码重新应用相关配置。

743000

错误消息 %ASA-1-743000: The PCI device with vendor ID: vendor_id device ID: device_id located at bus:device.function bus_num:dev_num, func_num has a link link_attr_name of actual_link_attr_val when it should have a link link_attr_name of expected_link_attr_val .

说明：系统中的 PCI 设备未正确配置，这可能导致系统无法以最佳状态运行。

建议的操作：收集 show controller pci detail 命令的输出，并联系思科 TAC。

743001

错误消息 %ASA-1-743001: Backplane health monitoring detected link failure

说明：可能出现了硬件故障，并且在 ASA服务模块和交换机机箱之间的其中一条链路上检测到该故障。

建议的操作：联系思科 TAC。

743002

错误消息 %ASA-1-743002: Backplane health monitoring detected link OK

说明：ASA 服务模块和交换机机箱之间的链路已恢复。但是，此故障和随后的恢复可能表示存在硬件故障。

建议的操作：联系思科 TAC。

743004

错误消息 %ASA-1-743004: System is not fully operational - PCI device with vendor ID vendor_id (vendor_name ), device ID device_id (device_name ) not found

说明：系统中找不到保持系统完全正常运行所需的 PCI 设备。

vendor_id - 标识设备供应商的十六进制值
vendor_name - 标识供应商名称的文本字符串
device_id - 标识供应商设备的十六进制值
device_name - 标识设备名称的文本字符串

建议的操作：收集 show controller pci detail 命令的输出，并联系思科 TAC。

743010

错误消息 %ASA-3-743010: EOBC RPC server failed to start for client module client name .

说明：服务器上的 EOBC RPC 服务的特定客户端启动该服务失败。

建议的操作：致电思科 TAC。

743011

错误消息 %ASA-3-743011: EOBC RPC call failed, return code code string.

说明：EOBC RPC 客户端未能向目标服务器发送 RPC。

建议的操作：致电思科 TAC。

746001

错误消息：%ASA-6-746001: user-identity: activated import user groups | activated host names | user-to-IP address databases download started

说明：数据库（用户组、主机名或 IP 地址）下载已开始。

建议的操作：无需执行任何操作。

746002

错误消息：%ASA-6-746002: user-identity: activated import user groups | activated host names | user-to-IP address databases download complete

说明：数据库（用户组、主机名或 IP 地址）下载已完成。

建议的操作：无需执行任何操作。

746003

错误消息 %ASA-3-746003: user-identity: activated import user groups | activated host names | user-to-IP address databases download failed - reason

说明：数据库（用户组、主机名或 IP 地址）下载因超时而失败。

建议的操作：检查机下 AD 代理状态。如果 AD 代理关闭，请首先解决该问题。如果 AD 代理已启动并且正在运行，请再次尝试下载数据库。如果问题仍然存在，请联系思科 TAC。

746004

错误消息：%ASA-4-746004: user identity: Total number of activated user groups exceeds the max_groups groups for this platform.

说明：已激活用户组的总数超出此平台用户组的最大数量 (256)。

建议的操作：系统已配置和激活的用户组过多。请减少已配置用户组的数量。运行 clear user-identity user no-policy-activated 命令，以发布尚未在任何策略中激活的用户记录。运行 show user-identity user all 命令，以检查数据库中用户的总数。

746005

错误消息：%ASA-3-746005: user-identity: The AD Agent AD agent IP address cannot be reached - reason [action ]

说明：ASA 无法连接到 AD 代理。AD 代理尚未发出任何响应或 RADIUS 注册失败，原因是缓冲区太小。

建议的操作：检查 AD 代理与 ASA 之间的网络连接。如果其他 AD 代理已配置且可用，则尝试连接到其他 AD 代理。如果问题仍然存在，请联系思科 TAC。

746006

错误消息：%ASA-4-746006: user-identity: Out of sync with AD Agent, start bulk download

说明：AD 代理无法更新 ASA 上的 IP 用户映射事件，并且 AD 代理事件日志溢出，这将导致 AD 代理与 ASA IP 用户数据库之间存在不一致。

建议的操作：无需执行任何操作。如果此消息仍然存在，请检查 AD 代理与 ASA 之间的连接。

746007

错误消息 %ASA-5-746007: user-identity: NetBIOS response failed from User user_name at user_ip

说明：系统未收到任何有关已重试次数的 NetBIOS 响应。

建议的操作：无需执行任何操作。

746008

错误消息：%ASA-6-746008: user-identity: NetBIOS Probe Process started

说明：NetBIOS 进程已启动。

建议的操作：无需执行任何操作。

746009

错误消息：%ASA-6-746009: user-identity: NetBIOS Probe Process stopped

说明：NetBIOS 进程已停止。

建议的操作：无需执行任何操作。

746010

错误消息 %ASA-3-746010: user-identity: update import-user domain_name \\group_name - Import Failed [reason ]

说明：输入 user-identity update import-user username 命令更新用户元素失败。失败原因包括：超时、更新不完整、导入中止、组不存在或未提供任何原因。

建议的操作：如果不存在失败原因，请验证策略中的组名是否正确。否则，请检查 ASA 与 AD 服务器之间的连接。

746011

错误消息：%ASA-4-746011: Total number of users created exceeds the maximum number of max_users for this platform.

说明：AD 组级别数量超出硬编码最大数量 (64000)。系统在已激活策略中配置了过多用户。

建议的操作：更改策略，确保已配置用户和已配置组下用户的数量不会超出限制。

746012

错误消息：%ASA-5-746012: user-identity: Add IP-User mapping IP Address - domain_name \user_name result - reason

说明：新用户到 IP 的映射已添加至用户到 IP 地址的映射数据库。系统指示了操作状态（成功或失败）。成功原因是 VPN 用户。故障原因包括：已达到最大用户限制和地址重复。

建议的操作：无需执行任何操作。

746013

错误消息：%ASA-5-746013: user-identity: Delete IP-User mapping IP Address - domain_name \user_name result - reason

说明：用户到 IP 地址的映射数据库已更改。系统指示了操作状态（成功或失败）。成功原因包括：非活动超时、NetBIOS 探测失败、PIP 通知、VPN 用户注销、直接转发代理用户注销和 MAC 地址不匹配。失败原因是 PIP 通知。

建议的操作：无需执行任何操作。

746014

错误消息 %ASA-5-746014: user-identity: [FQDN] fqdn address IP Address obsolete.

说明：完全限定域名已过时。

建议的操作：无需执行任何操作。

746015

错误消息 %ASA-5-746015: user-identity: FQDN] fqdn resolved IP address .

说明：完全限定域名查询已成功。

建议的操作：无需执行任何操作。

746016

错误消息 %ASA-3-746016: user-identity: DNS lookup failed, reason: reason

说明：DNS 查询失败。失败原因包括超时、无法解析和没有内存。

建议的操作：验证 FQDN 是否有效，以及 DNS 服务器是否可从 ASA 访问。如果问题仍然存在，请联系思科 TAC。

746017

错误消息：%ASA-6-746017: user-identity: Update import-user domain_name \\group_name

说明：系统已发出 user-identity update import-user 命令。

建议的操作：无需执行任何操作。

746018

错误消息：%ASA-6-746018: user-identity: Update import-user domain_name \\group_name done

说明：系统已发出 user-identity update import-user 命令，并且已成功完成导入。

建议的操作：无需执行任何操作。

746019

错误消息：%ASA-3-746019: user-identity: Update |Remove AD Agent AD agent IP Address IP-user mapping user_IP - domain_name \user_name failed

说明：ASA 更新或删除 AD 代理上的 IP 用户映射失败。

建议的操作：检查 AD 代理的状态和 ASA 与 AD 代理之间的连接。如果问题仍然存在，请联系思科 TAC。

747001

错误消息 %ASA-3-747001: Clustering: Recovered from state machine event queue depleted. Event (event-id , ptr-in-hex , ptr-in-hex ) dropped. Current state state-name , stack ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex

说明：集群 FSM 事件队列已满，并且删除了新事件。

建议的操作：无。

747002

错误消息 %ASA-5-747002: Clustering: Recovered from state machine dropped event (event-id , ptr-in-hex , ptr-in-hex ). Intended state: state-name . Current state: state-name .

说明：集群 FSM 收到与当前状态不相配的事件。

建议的操作：无。

747003

错误消息 %ASA-5-747003: Clustering: Recovered from state machine failure to process event (event-id , ptr-in-hex , ptr-in-hex ) at state state-name .

说明：由于给出的各种原因，集群 FSM 未能处理事件。

建议的操作：无。

747004

错误消息 %ASA-6-747004: Clustering: state machine changed from state state-name to state-name .

说明：集群 FSM 已进入新状态。

建议的操作：无。

747005

错误消息 %ASA-7-747005: Clustering: State machine notify event event-name (event-id , ptr-in-hex , ptr-in-hex )

说明：集群 FSM 向客户端通知了事件。

建议的操作：无。

747006

错误消息 %ASA-7-747006: Clustering: State machine is at state state-name

说明：集群 FSM 进入稳定状态，即禁用状态、从属状态或者主状态。

建议的操作：无。

747007

错误消息 %ASA-5-747007: Clustering: Recovered from finding stray config sync thread, stack ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex .

说明：已检测到 Astray 配置同步线程。

建议的操作：无。

747008

错误消息 %ASA-4-747008: Clustering: New cluster member name with serial number serial-number-A rejected due to name conflict with existing unit with serial number serial-number-B .

说明：在多台设备上配置了相同设备名称。

建议的操作：无。

747009

错误消息 %ASA-2-747009: Clustering: Fatal error due to failure to create RPC server for module module name .

说明：ASA 创建 RPC 服务器失败。

建议的操作：禁用此设备上的集群功能并尝试重新启用此功能。如果问题仍然存在，请联系思科 TAC。

747010

错误消息 %ASA-3-747010: Clustering: RPC call failed, message message-name , return code code-value .

说明：RPC 调用失败。系统尝试从失败中恢复。

建议的操作：无。

747011

错误消息 %ASA-2-747011: Clustering: Memory allocation error.

说明：集群中发生了内存分配失败事件。

建议的操作：禁用此设备上的集群功能并尝试重新启用此功能。如果问题仍然存在，请检查 ASA 上的内存使用情况。

747012

错误消息 %ASA-3-747012: Clustering: Failed to replicate global object id hex-id-value in domain domain-name to peer unit-name , continuing operation.

说明：全局对象 ID 复制失败。

建议的操作：无。

747013

错误消息 %ASA-3-747013: Clustering: Failed to remove global object id hex-id-value in domain domain-name from peer unit-name , continuing operation.

说明：全局对象 ID 删除失败。

建议的操作：无。

747014

错误消息 %ASA-3-747014: Clustering: Failed to install global object id hex-id-value in domain domain-name , continuing operation.

说明：全局对象 ID 安装失败。

建议的操作：无。

747015

错误消息 %ASA-4-747015: Clustering: Forcing stray member unit-name to leave the cluster.

说明：找到了离群的集群成员。

建议的操作：无。

747016

错误消息 %ASA-4-747016: Clustering: Found a split cluster with both unit-name-A and unit-name-B as master units. Master role retained by unit-name-A , unit-name-B will leave, then join as a slave.

说明：找到了拆分集群。

建议的操作：无。

747017

错误消息 %ASA-4-747017: Clustering: Failed to enroll unit unit-name due to maximum member limit limit-value reached.

说明：ASA 未能注册新设备，因为已达到最大成员数限制。

建议的操作：无。

747018

错误消息 %ASA-3-747018: Clustering: State progression failed due to timeout in module module-name .

说明：集群 FSM 进程已超时。

建议的操作：无。

747019

错误消息 %ASA-4-747019: Clustering: New cluster member name rejected due to Cluster Control Link IP subnet mismatch (ip-address /ip-mask on new unit, ip-address /ip-mask on local unit).

说明：主设备发现新加入设备的集群接口 IP 地址不匹配。

建议的操作：无。

747020

错误消息 %ASA-4-747020: Clustering: New cluster member unit-name rejected due to encryption license mismatch.

说明：主设备发现新加入设备的加密许可证不匹配。

建议的操作：无。

747021

错误消息 %ASA-3-747021: Clustering: Master unit unit-name is quitting due to interface health check failure on interface-name .

说明：由于接口运行状况检查失败，因此主设备已禁用集群功能。

建议的操作：无。

747022

错误消息 %ASA-3-747022: Clustering: Asking slave unit unit-name to quit because it failed interface health check x times, rejoin will be attempted after y min. Failed interface: interface-name .

说明：在未超出最大重新加入尝试次数的情况下，出现了此系统日志消息。由于在指定的时间内接口运行状况检查失败，因此从属设备已禁用集群功能。在指定的时间（毫秒）后，此设备将自动重新启用。

建议的操作：无。

747023

错误消息 %ASA-3-747023: Master unit %s[unit name] is quitting due to Security Service Module health check failure, and master's Security Service Module state is %s[SSM state, which can be UP/DOWN/INIT]. Rejoin will be attempted after %d[rejoin delay time] minutes.

说明：从属设备上的 SSM 运行状况检查失败，主设备要求从属设备退出且尝试重新加入。

建议的操作：无。

747024

错误消息 %ASA-3-747024: Asking slave unit %s[unit name] to quit due to its Security Service Module health check failure, and its Security Service Module state is %s[SSM state]. The slave will decide whether to rejoin based on the configurations.

说明：从属设备上的 SSM 运行状况检查失败，主设备要求从属设备退出，并且由从属设备决定是否重新加入。

建议的操作：无。

747025

错误消息 %ASA-4-747025: Clustering: New cluster member unit-name rejected due to firewall mode mismatch.

说明：主设备发现加入设备的防火墙模式不匹配。

建议的操作：无。

747026

错误消息 %ASA-4-747026: Clustering: New cluster member unit-name rejected due to cluster interface name mismatch (ifc-name on new unit, ifc-name on local unit).

说明：主设备发现加入设备的集群控制链路接口名称不匹配。

建议的操作：无。

747027

错误消息 %ASA-4-747027: Clustering: Failed to enroll unit unit-name due to insufficient size of cluster pool pool-name in context-name .

说明：由于配置的最小集群池的大小限制，主设备无法注册加入设备。

建议的操作：无。

747028

错误消息 %ASA-4-747028: Clustering: New cluster member unit-name rejected due to interface mode mismatch (mode-name on new unit, mode-name on local unit).

说明：主设备发现加入设备的接口模式不匹配，无论是跨接口模式还是单个接口模式。

建议的操作：无。

747029

错误消息 %ASA-4-747029: Clustering: Unit unit-name is quitting due to Cluster Control Link down.

说明：由于出现集群接口故障，因此设备禁用了集群功能。

建议的操作：无。

747030

错误消息 %ASA-3-747030: Clustering: Asking slave unit unit-name to quit because it failed interface health check x times (last failure on interface-name ), Clustering must be manually enabled on the unit to re-join.

说明：接口运行状况检查失败，并且已超出最大重新加入尝试次数。由于接口运行状况检查失败，从属设备已禁用集群功能。

建议的操作：无。

747031

错误消息 %ASA-3-747031: Clustering: Platform mismatch between cluster master (platform-type ) and joining unit unit-name (platform-type ). unit-name aborting cluster join.

说明：加入设备的平台类型与集群主设备的平台类型不匹配。

unit-name - 集群引导程序中的设备的名称
platform-type - ASA 平台的类型

建议的操作：确保加入设备与集群主设备具有相同类型的平台。

747032

错误消息 %ASA-3-747032: Clustering: Service module mismatch between cluster master (module-name ) and joining unit unit-name (module-name )in slot slot-number . unit-name aborting cluster join.

说明：加入设备的外部模块与集群主设备中的模块不一致（模块类型和安装顺序）。

module-name - 外部模块的名称
unit-name - 集群引导程序中的设备的名称
slot-number - 发生不匹配的插槽的编号

建议的操作：确保加入设备中安装的模块与集群主设备中的模块属于相同类型，并且与集群主设备中的模块顺序相同。

747033

错误消息 %ASA-3-747033: Clustering: Interface mismatch between cluster master and joining unit unit-name . unit-name aborting cluster join.

说明：加入设备的接口与集群主设备上的接口不同。

unit-name - 集群引导程序中的设备的名称

建议的操作：确保加入设备上的接口与集群主设备上的接口相同。

747034

错误消息 %ASA-4-747034: Unit %s is quitting due to Cluster Control Link down (%d times after last rejoin). Rejoin will be attempted after %d minutes.

说明：集群控制链路处于关闭状态，设备被踢出且尝试了重新加入。

建议的操作：等待设备重新加入。

747035

错误消息 %ASA-4-747035: Unit %s is quitting due to Cluster Control Link down. Clustering must be manually enabled on the unit to rejoin.

说明：集群控制链路处于关闭状态，设备被踢出且没有尝试重新加入。

建议的操作：手动重新加入该设备。

747036

错误消息 %ASA-3-747036: Application software mismatch between cluster master %s[Master unit name] (%s[Master application software name]) and joining unit (%s[Joining unit application software name]). %s[Joining member name] aborting cluster join.

说明：主设备和加入的从属设备上的应用不相同。从属设备将被踢出。

建议的操作：确保从属设备运行相同的应用/服务，并手动重新加入该设备。

747037

错误消息 %ASA-3-747037: Asking slave unit %s to quit due to its Security Service Module health check failure %d times, and its Security Service Module state is %s. Rejoin will be attempted after %d minutes.

说明：从属设备上的 SSM 运行状况检查失败，主设备要求从属设备退出且尝试重新加入。

建议的操作：无。

747038

错误消息 %ASA-3-747038: Asking slave unit %s to quit due to Security Service Module health check failure %d times, and its Security Service Card Module is %s. Clustering must be manually enabled on this unit to rejoin.

说明：从属设备上的 SSM 运行状况检查失败，主设备要求从属设备退出且尝试重新加入。

建议的操作：手动重新加入该设备。

747039

错误消息 %ASA-3-747039: Unit %s is quitting due to system failure for %d time(s) (last failure is %s[cluster system failure reason]). Rejoin will be attempted after %d minutes.

说明：集群系统失败，并且该设备自行踢出且尝试重新加入

建议的操作：无需执行任何操作。

747040

错误消息 %ASA-3-747040: Unit %s is quitting due to system failure for %d time(s) (last failure is %s[cluster system failure reason]). Clustering must be manually enabled on the unit to rejoin.

说明：集群系统失败，并且该设备自行踢出且没有尝试重新加入

建议的操作：手动重新加入该设备。

747041

错误消息 %ASA-3-747041: Master unit %s is quitting due to interface health check failure on %s[interface name], %d times. Clustering must be manually enabled on the unit to rejoin.

说明：主设备上的接口运行状况检查失败，主设备自行踢出且尝试重新加入。

建议的操作：手动重新加入该设备。

747042

错误消息 %ASA-3-747042: Clustering: Master received the config hash string request message from an unknown member with id cluster-member-id

说明：主设备收到配置散列字符串请求事件。

建议的操作：验证请求者成员是否仍处于 OnCall 状态。

747043

错误消息 %ASA-3-747043: Clustering: Get config hash string from master error: ret_code ret_code, string_len string_len

说明：未能从主设备获取配置散列字符串。

ret_code - 错误返回代码；0 表示正常，1 表示失败
string_len - hash_str 长度

建议的操作：联系技术支持人员对主设备上的问题进行故障排除。确保打开“debug cluster ccp”以确定根本原因。

747044

错误消息 %ASA-6-747044: Configuration Hash string verification result

说明：配置散列字符串比较的结果。

result - 此结果可以是 PASSED 或 FAILED

建议的操作：无需执行任何操作。

748001

错误消息 %ASA-5-748001: Module slot_number in chassis chassis_number is leaving the cluster due to a chassis configuration change

说明：在 MIO 中更改了集群控制链路、从 MIO 中删除了集群组，或者在 MIO 配置中删除了板卡模块。

slot_number - 机箱内的板卡插槽 ID
chassis_number - 机箱 ID（对于每个机箱是唯一的）

建议的操作：无需执行任何操作。

748002

错误消息 %ASA-4-748002: Clustering configuration on the chassis is missing or incomplete; clustering is disabled

说明：MIO 中缺少配置或配置不完整（例如，未配置集群组或集群控制链路）。

slot_number - 机箱内的板卡插槽 ID
chassis_number - 机箱 ID（对于每个机箱是唯一的）

建议的操作：转到 MIO 控制台并配置集群服务类型，将模块添加到服务类型，并相应地定义集群控制链路。

748003

错误消息 %ASA-4-748003: Module slot_number in chassis chassis_number is leaving the cluster due to a chassis health check failure

说明：板卡无法与 MIO 通信，因此它依赖 MIO 来检测此通信问题并对数据端口解除捆绑。如果数据端口已解除捆绑，接口运行状况检查会踢出 ASA。

slot_number - 机箱内的板卡插槽 ID
chassis_number - 机箱 ID（对于每个机箱是唯一的）

建议的操作：检查 MIO 卡是否可以正常运行，或者 MIO 和板卡之间是否仍能正常通信。

748004

错误消息 %ASA-5-748004: Module slot_number in chassis chassis_number is re-joining the cluster due to a chassis health check recovery

说明：由于 MIO 板卡运行状况检查已恢复，因此 ASA 尝试重新加入集群。

slot_number - 机箱内的板卡插槽 ID
chassis_number - 机箱 ID（对于每个机箱是唯一的）

建议的操作：检查 MIO 卡是否可以正常运行，或者 MIO 和板卡之间是否仍能正常通信

748005

错误消息 %ASA-3-748005: Failed to bundle the ports for module slot_number in chassis chassis_number ; clustering is disabled

说明：MIO 未能为自己捆绑端口。

slot_number - 机箱内的板卡插槽 ID
chassis_number - 机箱 ID（对于每个机箱是唯一的）

建议的操作：检查 MIO 是否正常运行。

748006

错误消息 %ASA-3-748006: Asking module slot_number in chassis chassis_number to leave the cluster due to a port bundling failure

说明：MIO 未能为板卡捆绑端口，因此板卡已被踢出。

slot_number - 机箱内的板卡插槽 ID
chassis_number - 机箱 ID（对于每个机箱是唯一的）

建议的操作：检查 MIO 是否正常运行。

748007

错误消息 %ASA-2-748007: Failed to de-bundle the ports for module slot_number in chassis chassis_number ; traffic may be black holed

说明：MIO 未能取消捆绑端口。

slot_number - 机箱内的板卡插槽 ID
chassis_number - 机箱 ID（对于每个机箱是唯一的）

建议的操作：检查 MIO 是否正常运行。

748008

错误消息 %ASA-6-748008: [CPU load percentage | memory load percentage ] of module slot_number in chassis chassis_number (member-name ) exceeds overflow protection threshold [CPU percentage | memory percentage ]. System may be oversubscribed on member failure.

说明：CPU 负载已超过 (N-1)/N，其中 N 代表活动集群成员的总数；或者内存负载已超过 (100 - x) * (N - 1) / N + x，其中 N 代表集群成员数，x 是上次加入成员的基准内存使用率。

percentage - CPU 负载或内存负载百分比数据
slot_number - 机箱内的板卡插槽 ID
chassis_number - 机箱 ID（对于每个机箱是唯一的）

建议的操作：重新规划网络和集群部署。减少流量或添加更多的板卡/机箱。

748009

错误消息 %ASA-6-748009: [CPU load percentage | memory load percentage ] of chassis chassis_number exceeds overflow protection threshold [CPU percentage | memory percentage }. System may be oversubscribed on chassis failure.

说明：机箱流量负载超出特定阈值。

percentage - CPU 负载或内存负载百分比数据
chassis_number - 机箱 ID（对于每个机箱是唯一的）

建议的操作：重新规划网络和集群部署。减少流量或添加更多的板卡/机箱。

748100

错误消息 %ASA-3-748100: <application_name> application status is changed from <status> to <status>.

说明：检测到应用状态从一种状态变为另一种状态。应用状态变化会触发应用运行状况检查机制。

application name - snort 或 disk_full
status - 初始、正常、异常

建议的操作：验证应用的状态。

748101

错误消息 %ASA-3-748101: Peer unit <unit_id> reported its <application_name> application status is <status>.

说明：对等体设备报告了应用状态更改，此状态更改将触发应用运行状况检查机制。

unit id - 设备 ID
application name - snort 或 disk_full
status - 初始、正常、异常

建议的操作：验证应用的状态。

748102

错误消息 %ASA-3-748102: Master unit <unit_id> is quitting due to <application_name> Application health check failure, and master's application state is <status>.

说明：应用运行状况检查检测到主设备运行状况异常。主设备将离开集群组。

unit id - 设备 ID
application name - snort 或 disk_full
status - 初始、正常、异常

建议的操作：验证应用的状态。应用 (snort) 恢复正常运行后，设备将自动重新加入。

748103

错误消息 %ASA-3-748103: Asking slave unit <unit_id> to quit due to <application_name> Application health check failure, and slave's application state is <status>.

说明：应用运行状况检查检测到从属设备运行状况异常。主设备将逐出从属节点。

unit id - 设备 ID
application name - snort 或 disk_full
status - 初始、正常、异常

建议的操作：验证应用的状态。应用 (snort) 恢复正常运行后，设备将自动重新加入。

748201

错误消息 %ASA-4-748201: <Application name> application on module <module id> in chassis <chassis id> is <status>.

说明：服务链中应用的状态发生了变化。

status - 正常、异常

建议的操作：验证服务链中应用的状态。

748202

错误消息 %ASA-3-748202: Module <module_id> in chassis <chassis id> is leaving the cluster due to <application name> application failure\n.

说明：如果应用（例如 vDP）出现故障，则设备将被踢出集群。

建议的操作：验证服务链中应用的状态。

748203

错误消息 %ASA-5-748203: Module <module_id> in chassis <chassis id> is re-joining the cluster due to a service chain application recovery\n.

说明：如果服务链应用（例如 vDP）恢复，设备会自动重新加入集群

建议的操作：验证服务链中应用的状态。

750001

错误消息 %ASA-5-750001: Local:local IP :local port Remote:remote IP : remote port Username: username Received request to request an IPsec tunnel; local traffic selector = local selectors: range, protocol, port range ; remote traffic selector = remote selectors: range, protocol, port range

说明：正在请求对 IPsec 隧道执行某项操作，例如密钥更新、建立连接的请求等。

local IP:local port - 此请求的本地 IP 地址。用于此连接的 ASA IP 地址和端口号
remote IP:remote port - 此请求的远程 IP 地址。发出连接请求的对等体 IP 地址和端口号
username - 远程访问请求者的用户名（如果已知）或隧道组
local selectors - 本地配置的用于此 IPsec 隧道的流量选择器或代理
remote selectors - 远程对等体请求的用于此 IPsec 隧道的流量选择器或代理

建议的操作：无需执行任何操作。

750002

错误消息 %ASA-5-750002: Local:local IP :local port Remote: remote IP : remote port Username: username Received a IKE_INIT_SA request

说明：已收到传入的隧道或 SA 发起请求（IKE_INIT_SA 请求）。

local IP:local port - 此请求的本地 IP 地址。用于此连接的 ASA IP 地址和端口号
remote IP:remote port - 此请求的远程 IP 地址。发出连接请求的对等体 IP 地址和端口号
username - 远程访问请求者的用户名（如果已知）或隧道组

建议的操作：无需执行任何操作。

750003

错误消息 %ASA-4-750003: Local: local IP:local port Remote: remote IP:remote port Username: username Negotiation aborted due to ERROR: error

说明：出于提供的错误原因，已中止 SA 协商。

local IP:local port - 此请求的本地 IP 地址。用于此连接的 ASA IP 地址和端口号
remote IP:remote port - 此请求的远程 IP 地址。发出连接请求的对等体 IP 地址和端口号
username - 远程访问请求者的用户名（如果已知）
error - 中止协商的错误原因。错误原因包括：

- Failed to send data on the network（未能在网络上发送数据）

- Asynchronous request queued（异步请求已排入队列）

- Failed to enqueue packet（未能将数据包排入队列）

- A supplied parameter is incorrect（提供的参数不正确）

- Failed to allocate memory（未能分配内存）

- Failed the cookie negotiation（Cookie 协商失败）

- Failed to find a matching policy（未能找到匹配的策略）

- Failed to locate an item in the database（未能在数据库中找到某项目）

- Failed to initialize the policy database（未能初始化策略数据库）

- Failed to insert a policy into the database（未能将策略插入到数据库）

- The peer's proposal is invalid（对等体的建议无效）

- Failed to compute the DH value（未能计算 DH 值）

- Failed to construct a NONCE（未能构建 NONCE）

- An expected payload is missing from the packet（数据包中缺少预期的负载）

- Failed to compute the SKEYSEED（未能计算 SKEYSEED）

- Failed to create child SA keys（未能创建子 SA 密钥）

- The peer's KE payload contained the wrong DH group（对等体的 KE 负载包含错误的 DH 组）

- Received invalid KE notify, yet we've tried all configured DH groups（收到无效的 KE 通知，但我们已经尝试了所有已配置的 DH 组）

- Failed to compute a hash value（未能计算散列值）

- Failed to authenticate the IKE SA（未能验证 IKE SA 的身份）

- Failed to compute or verify a signature（未能计算或验证签名）

- Failed to validate the certificate（未能验证证书）

- The certificate has been revoked and is consequently invalid（证书已吊销，因此无效）

- Failed to build or process a certificate request（未能构建或处理证书请求）

- We requested a certificate, but the peer supplied none（我们请求了证书，但是对等体没有提供证书）

- While sending the certificate chain, peer did not send its certificate as the first in the chain（发送证书链时，对等体没有将其证书作为链中的第一个发送）

- Detected an unsupported ID type（检测到不受支持的 ID 类型）

- Failed to construct an encrypted payload（未能构建加密的负载）

- Failed to decrypt an encrypted payload（未能解密加密的负载）

- Detected an invalid value in the packet（检测到数据包中的值无效）

- The initiator bit is asserted in packet from original responder（发起方位在来自原始响应方的数据包中被断言）

- The initiator bit isn't asserted in packet from original initiator（发起方位未在来自原始发起方的数据包中被断言）

- The message response bit is asserted in a packet from the exchange initiator（消息响应位在来自交换发起方的数据包中被断言）

- The message response bit isn't asserted in a packet from the exchange responder（消息响应位未在来自交换响应方的数据包中被断言）

- Detected an invalid IKE SPI（检测到无效的 IKE SPI）

- Packet is a retransmission（数据包为重传）

- Detected an invalid protocol ID（检测到无效的协议 ID）

- Detected unsupported critical payload（检测到不受支持的关键负载）

- Detected an invalid traffic selector type（检测到无效的流量选择器类型）

- Failed to create new SA（未能创建新的 SA）

- Failed to delete SA（未能删除 SA）

- Failed to add new SA into session DB（未能将新的 SA 添加到会话 DB 中）

- Failed to add session to PSH（未能将会话添加到 PSH 中）

- Failed to delete session from osal（未能从 OSAL 删除会话

- Failed to delete a session from the database（未能从数据库中删除会话

- Failed to add request to SA（未能将请求添加到 SA）

- Throttling request queue exceeds reasonable limit, increase the window size on peer（限制请求队列超出合理限制，增加对等体的窗口大小）

- Received an IKE msg id outside supported window（收到不在支持范围内的 IKE 消息 ID）

- Detected unsupported version number（检测到不受支持的版本号）

- Received no proposal chosen notify（收到没有选择建议的通知）

- Detected an error notify payload（检测到错误通知负载）

- Detected NAT-d hash doesn't match（检测到 NAT- d 散列不匹配）

- Initialize sadb failed（初始化 SADB 失败）

- Initialize session db failed（初始化会话数据库失败）

- Failed to get PSH（未能获取 PSH）

- Negotiation context locked currently in use（协商上下文已锁定，目前正在使用）

- Negotiation context was not freed!（协商上下文没有释放！）

- Invalid data state found（找到无效的数据状态）

- Failed to open PKI session（未能打开 PKI 会话）

- Failed to insert public keys（未能插入公钥）

- No certificate found（找不到证书）

- 找到不受支持的证书编码，或者虽然对等体已请求 HTTP URL，但从未发送 HTTP_LOOKUP_SUPPORTED 通知

- 至少目前不支持发送捆绑包 URL。但是，支持处理捆绑包 URL

- 本地证书已过期

- Failed to construct State Machine（未能构建状态机）

- Error encountered while navigating State Machine（导航状态机时遇到错误）

- SM Validation failed（SM 验证失败）

- Could not find neg context（找不到协商上下文）

- Failed to add work request to SM Q（未能将工作请求添加到 SM Q）

- Nonce payload is missing（缺少 Nonce 负载）

- Traffic selector payload is missing（缺少流量选择器负载）

- Unsupported DH group（DH 组不受支持）

- Expected keypair is unavailable（预期的密钥对不可用）

- Packet isn't encrypted（数据包未加密）

- Packet is missing KE payload（数据包缺少 KE 负载）

- Packet is missing SA payload（数据包缺少 SA 负载）

- Invalid SA（SA 无效）

- Invalid negotiation context（协商上下文无效）

- Remote or local ID isn't defined（未定义远程或本地 ID）

- Invalid connection id（连接 ID 无效）

- Unsupported auth method（身份验证方法不受支持）

- Ipsec policy not found（找不到 IPsec 策略）

- Failed to initialize the event priority queue（未能初始化事件优先级队列）

- Failed to enqueue an item to a list（未能将项目排入列表）

- Failed to remove an item from list（未能从列表中删除项目）

- Data in the event priority queue is NULL or corrupt（数据在事件优先级队列中为空或已损坏）

- No local IKE policy found（未找到本地 IKE 策略）

- Can't delete IKE SA due to in-progress task（由于有任务正在进行，因此无法删除 IKE SA）

- Expected Cookie Notify not received（未收到预期 Cookie 通知）

- Failed to generate auth data: My auth info missing（未能生成身份验证数据：缺少我的身份验证信息）

- Failed to generate auth data: Failed to sign data（未能生成身份验证数据：未能进行数据签名）

- Failed to generate auth data: Signature operation successful but unable to locate generated auth material（未能生成身份验证数据：签名操作成功，但无法找到生成的身份验证材料）

- Failed to receive the AUTH msg before the timer expired（未能在计时器到期之前接收身份验证消息）

- Maximum number of retransmissions reached（已达到最大重传次数）

- Initial exchange failed（初始交换失败）

- Auth exchange failed（身份验证交换失败）

- Create child exchange failed（创建子交换失败）

- Platform errors（平台错误）

- Failed to log a message（未能记录消息）

- Unwanted debug level turned on（打开了不需要的调试级别）

- There are additional TS possible（可能还有其他 TS）

- A single pairs of addresses is required（需要一对地址）

- Invalid session（会话无效）

- There was no IPSEC policy found for received TS（没有为收到的 TS 找到任何 IPSec 策略）

- Cannot remove request from window（无法从窗口中删除请求）

- There was no proposal found in configured policy（没有在配置的策略中找到任何建议）

- Nat-t test failure（Nat-t 测试失败）

- No pskey found（找不到 PSKEY）

- Invalid compression algorithm（压缩算法无效）

- Failed to get profile name from platform service handle（未能从平台服务句柄获取配置文件名称）

- Failed to find profile（未能找到配置文件）

- Initiator failed to match profile sent by IPSEC with profile found by peer id or certificate（发起方未能将 IPSec 发送的配置文件与通过对等体 ID 或证书找到的配置文件进行匹配）

- Failed to get peer id from platform service handle（未能从平台服务句柄获取对等体 ID）

- The transform attribute is invalid（转换属性无效）

- Extensible Authentication Protocol failed（可扩展身份验证协议失败）

- Authenticator sent NULL EAP message（身份验证程序发送了 NULL EAP 消息）

- The config attribute is invalid（配置属性无效）

- Failed to calculate packet hash（未能计算数据包散列值）

- The AAA context is deleted（AAA 上下文已删除）

- Cannot alloc AAA ID（无法分配 AAA ID）

- Cannot alloc AAA request（无法分配 AAA 请求）

- Cannot init AAA request（无法初始化 AAA 请求）

- The Authen list is not configured（未配置身份验证列表）

- Fail to send AAA request（未能发送 AAA 请求）

- Fail to alloc IP addr（未能分配 IP 地址）

- Invalid message context（消息上下文无效）

- Key Auth memory failure（密钥身份验证内存故障）

- EAP method does not generate MSK（EAP 方法未生成 MSK）

- Failed to register new SA with platform（未能在平台上注册新的 SA）

- Failed to async process session register, error: %d（未能异步处理会话注册，错误：%d）

- Failed to insert SA due to ipsec rekey collision（由于 IPsec 密钥更新冲突，未能插入 SA）

- Failed while handling a ipsec rekey collision（处理 IPsec 密钥更新冲突失败）

- Failed to accept rekey on SA that caused a rekey collision（在导致密钥更新冲突的 SA 上未能接受密钥更新）

- Failed to start timer to ensure IPsec collision SA SPI %s/%s will be deleted by the peer（未能启动计时器，以确保对等体将删除 IPsec 冲突 SA SPI %s/%s）

- Error/Debug codes and strings are not matched（错误/调试代码和字符串不匹配）

- Failed to initialize SA lifetime（未能初始化 SA 生命周期）

- Failed to find rekey SA（未能找到密钥更新 SA）

- Failed to generate DH shared secret（未能生成 DH 共享密钥）

- Failed to retrieve issuer public key hash list（未能检索颁发者公钥散列列表）

- Failed to build certificate payload（未能构建证书负载）

- Unable to initialize the timer（未能初始化计时器）

- Failed to generate DH shared secret（未能生成 DH 共享密钥）

- Failed to initialized authorization request（未能初始化授权请求）

- Incorrect author record received from AAA（从 AAA 收到的作者记录不正确）

- Failed to fetch the keys from AAA（未能从 AAA 获取密钥）

- Failed to add attribute to AAA request（未能将属性添加到 AAA 请求）

- Failed to send tunnel password request to AAA（未能将隧道密码请求发送到 AAA）

- Failed to allocate AAA context（未能分配 AAA 上下文）

- Insertion to policy AVL tree failed（插入策略 AVL 树失败）

- Deletion from policy AVL tree failed（从策略 AVL 树中删除失败）

- No Matching node found in policy AVL tree（策略 AVL 树中找不到任何匹配节点）

- No Matching policy found（找不到匹配策略）

- No Matching proposal found（找不到匹配建议）

- Proposal is incomplete to be attached to the policy（建议不完整，无法附加到策略）

- Proposal is in use（建议正在使用中）

- Peer authentication method configured is mismatching with the method proposed by peer（配置的对等体身份验证方法与对等体建议的方法不匹配）

- Failed to find the session in osal（未能在 OSAL 中找到会话）

- Failed to allocate event（未能分配事件）

- Failed to create accounting record（未能创建记账记录）

- Accounting not required（不需要记账）

- Accounting not started for this session（没有为此会话启动记账）

- NAT-T disabled via cli（已通过 CLI 禁用 NAT-T）

- Negotiating limit reached, deny SA request（已达到协商限制，拒绝 SA 请求）

- SA is already in negotiation, hence not negotiating again（SA 已在协商中，因此无需再次协商）

- AAA group authorization failed（AAA 组授权失败）

- AAA user authorization failed（AAA 用户授权失败）

- %% Dropping received fragment, as fragmentation is not negotiated for this SA!（%% 正在删除收到的分段，因为此 SA 未协商分段！）

- Maximum number of received fragments reached for the SA（已达到此 SA 的最大接收分段数）

- Number of fragments exceeds maximum allowed（分段数超出允许的最大值）

- Assembled packet length %d is greater than maximum ikev2 packet size %d（组合的数据包长度 %d 大于最大 IKEv2 数据包大小 (%d)）

- Received fragment numbers were NOT continuous or IKEV2_FRAG_FLAG_LAST_FRAGMENT flag was set on the wrong packet（收到的分段编号不连续或在错误数据包上设置了 IKEV2_FRAG_FLAG_LAST_FRAGMENT 标记）

- Received fragment is not valid, hence being dropped（收到的分段无效，因此被删除）

- AAA group authorization failed（AAA 组授权失败）

- AAA user authorization failed（AAA 用户授权失败）

- AAA author not configured in IKEv2 profile（未在 IKEv2 配置文件中配置 AAA 作者）

- Failed to extract the skeyid（未能提取 SKEYID）

- Failed to send a failover msg to the standby unit（未能将故障切换消息发送到备用设备）

- Detected unsupported failover version（检测到不受支持的故障切换版本）

- Request was received but failover is not enabled（已收到请求，但未启用故障切换）

- Received an active unit request but the negotiated role is %s（已收到主用设备请求，但协商的角色为 %s）

- Received a standby unit request but the negotiated role is %s（已收到备用设备请求，但协商角色为 %s）

- Invalid IP Version（IP 版本无效）

- GDOI is not yet supported in IKEv2（IKEv2 中尚不支持 GDOI）

- Failed to allocate PSH from platform（未能从平台分配 PSH）

- Redirect the session to another gateway（将会话重定向到另一个网关）

- Redirect check failed（重定向检查失败）

- Accept the session on this gateway after Redirect check（重定向检查后，在此网关上接受会话）

- Detected unsupported Redirect gateway ID type（检测到不受支持的重定向网关 ID 类型）

- Redirect accepted, initiate new request（重定向已接受，发起新请求）

- Redirect accepted, clean-up IKEv2 SA, platform will initiate new request（重定向已接受，清理 IKEv2 SA，平台将发起新请求）

- SA got redirected, it should not do any CREATE_CHILD_SA exchange（SA 已被重定向，它不应执行任何 CREATE_CHILD_SA 交换）

- DH public key computation failed（DH 公钥计算失败）

- DH secret computation failed（DH 密钥计算失败）

- IN-NEG IKEv2 Rekey SA got deleted（IN-NEG IKEv2 密钥更新 SA 已被删除）

- Number of cert req exceeds the reasonable limit (%d)（证书请求数超出合理限制 (%d)）

- The negotiation context has been freed（协商上下文已被释放）

- Assembled packet length %d is greater than maximum ikev2 packet size %d（组合的数据包长度 %d 大于最大 IKEv2 数据包大小 (%d)）

- AAA author not configured in IKEv2 profile（未在 IKEv2 配置文件中配置 AAA 作者）

- Assembled packet is not valid, hence being dropped（组合的数据包无效，因此被删除）

- Invalid VCID context（VCID 上下文无效）

建议的操作：查看系统日志，并按日志流程确定此系统日志是否是交换中的最终版本，以及是否是导致潜在故障或重新协商的临时错误的原因。例如，对等体可以通过未配置的 KE 负载建议 DH 组，这会导致初始请求失败，但是系统会提供正确的 DH 组，这样对等体就可以在新请求中使用正确的组。

750004

错误消息 %ASA-5-750004: Local: local IP: local port Remote: remote IP: remote port Username: username Sending COOKIE challenge to throttle possible DoS

说明：传入的连接请求受到基于 Cookie 挑战阈值的 Cookie 挑战，配置这些阈值是为了防止可能的 DoS 攻击。

local IP:local port - 此请求的本地 IP 地址。用于此连接的 ASA IP 地址和端口号
remote IP:remote port - 此请求的远程 IP 地址。发出连接请求的对等体 IP 地址和端口号
username - 远程访问请求者的用户名（如果已知）

建议的操作：无需执行任何操作。

750005

错误消息 %ASA-5-750005: Local: local IP: local port Remote: remote IP: remote port Username: username IPsec rekey collision detected. I am lowest nonce initiator, deleting SA with inbound SPI SPI

说明：检测到密钥更新冲突（两个对等体同时尝试发起密钥更新），并已通过保留由此 ASA 发起的密钥更新来解决此冲突，因为它具有最低的随机数。此操作导致 SPI 引用的所示 SA 被删除。

local IP:local port - 此请求的本地 IP 地址。用于此连接的 ASA IP 地址和端口号
remote IP:remote port - 此请求的远程 IP 地址。发出连接请求的对等体 IP 地址和端口号
username - 远程访问请求者的用户名（如果已知）
SPI - 通过解决检测到的密钥更新冲突而被删除的 SA 的 SPI 句柄

建议的操作：无需执行任何操作。

750006

错误消息 %ASA-5-750006: Local: local IP: local port Remote: remote IP: remote port Username: username SA UP. Reason: reason

说明：SA 因特定原因进入正常运行状态，例如新建立连接或密钥更新。

local IP:local port - 此请求的本地 IP 地址。用于此连接的 ASA IP 地址和端口号
remote IP:remote port - 此请求的远程 IP 地址。发出连接请求的对等体 IP 地址和端口号
username - 远程访问请求者的用户名（如果已知）
reason - SA 进入正常运行状态的原因

建议的操作：无需执行任何操作。

750007

错误消息 %ASA-5-750007: Local: local IP: local port Remote: remote IP: remote port Username: username SA DOWN. Reason: reason

说明：SA 因特定原因被拆散或删除，例如应对等体的请求、操作人员的请求（通过管理员操作）、密钥更新等。

local IP:local port - 此请求的本地 IP 地址。用于此连接的 ASA IP 地址和端口号
remote IP:remote port - 此请求的远程 IP 地址。发出连接请求的对等体 IP 地址和端口号
username - 远程访问请求者的用户名（如果已知）
reason - SA 陷入异常状态的原因

建议的操作：无需执行任何操作。

750008

错误消息 %ASA-5-750008: Local: local IP: local port Remote: remote IP: remote port Username: username SA rejected due to system resource low

说明：SA 请求被拒绝以缓解系统资源不足的状况。

local IP:local port - 此请求的本地 IP 地址。用于此连接的 ASA IP 地址和端口号
remote IP:remote port - 此请求的远程 IP 地址。发出连接请求的对等体 IP 地址和端口号
username - 远程访问请求者的用户名（如果已知）

建议的操作：检查 IKEv2 的 CAC 设置，以根据配置的阈值确定这是否是预期的行为；否则，如果此状况仍然存在，请进一步调查以缓解此问题。

750009

错误消息 %ASA-5-750009: Local: local IP: local port Remote: remote IP: remote port Username: username SA request rejected due to CAC limit reached: Rejection reason: reason

说明：达到连接准入控制 (CAC) 限制阈值，这导致了 SA 请求被拒绝。

local IP:local port - 此请求的本地 IP 地址。用于此连接的 ASA IP 地址和端口号
remote IP:remote port - 此请求的远程 IP 地址。发出连接请求的对等体 IP 地址和端口号
username - 远程访问请求者的用户名（如果已知）
reason - SA 被拒绝的原因

建议的操作：检查 IKEv2 的 CAC 设置，以根据配置的阈值确定这是否是预期的行为；否则，如果此状况仍然存在，请进一步调查以缓解此问题。

750010

错误消息 %ASA-5-750010: Local: local-ip Remote: remote-ip Username:username IKEv2 local throttle-request queue depth threshold of threshold reached; increase the window size on peer peer for better performance

local-ip - 本地对等体 IP 地址
remote-ip - 远程对等体 IP 地址
username - 远程访问请求者的用户名或 L2L 的隧道组名称（如果已知）
threshold - 达到本地限制请求队列的队列深度阈值
peer - 远程对等体 IP 地址

说明：ASA 的限制请求队列向指定的对等体溢出，表明对等体处理速度很慢。限制请求队列会搁置发往对等体的请求，这些请求不能立即发送，因为已达到基于 IKEv2 窗口大小允许发送的最大请求数。进行中的请求完成后，请求会从限制请求队列中释放出来并发送到对等体如果对等体未快速处理这些请求，限制队列会执行备份。

建议的操作：如果可能，请增加远程对等体上的 IKEv2 窗口大小，以允许处理更多并发请求，这可以提高性能。

注	ASA 目前不支持增加的 IKEv2 窗口大小设置。

750011

错误消息 %ASA-3-750011: Tunnel Rejected: Selected IKEv2 encryption algorithm (IKEV2 encry algo ) is not strong enough to secure proposed IPSEC encryption algorithm (IPSEC encry algo ).

说明：由于所选择的 IKEv2 加密算法不足以保护建议的 IPSEC 加密算法，因此该隧道被拒绝。

建议的操作：配置更强大的 IKEv2 加密算法，以匹配或超出 IPsec 子 SA 加密算法的强度。

750012

错误消息 %ASA-4-750012: Selected IKEv2 encryption algorithm (IKEV2 encry algo ) is not strong enough to secure proposed IPSEC encryption algorithm (IPSEC encry algo ).

说明：所选择的 IKEv2 加密算法不足以保护建议的 IPSEC 加密算法。

建议的操作：配置更强大的 IKEv2 加密算法，以匹配或超出 IPsec 子 SA 加密算法的强度。

750013

错误消息 %ASA-5-750013 - IKEv2 SA (iSPI <ISPI> rRSP <rSPI>) Peer Moved: Previous <prev_remote_ip>:<prev_remote_port>/<prev_local_ip>:<prev_local_port>. Updated <new_remote_ip>:<new_remote_port>/<new_local_ip>:<new_local_port>

说明：新的移动功能允许在不断开隧道的情况下更改对等体 IP。例如，移动设备（智能手机）在连接到其他网络后获取新 IP。以下列表列出了消息值：

ip - 指定之前的 IP 地址、新的本地 IP 地址和远程 IP 地址
port - 指定之前的端口信息、新的本地端口信息和远程端口信息
SPI - 表示发起方和响应方 SPI
iSPI - 指定发起方 SPI
rSPI - 指定响应方 SPI

建议的操作：联系开发工程师。

750014

错误消息 %ASA-4-750014: Local:<self ip>:<self port> Remote:<peer ip>:<peer port> Username:<TG or Username> IKEv2 Session aborted. Reason: Initial Contact received for Local ID: <self ID>, Remote ID: <peer ID> from remote peer:<peer ip>:<peer port> to <self ip>:<self port>

说明

对于 ASA IKEv2，系统将根据对等体 IP/端口和 ASA IP/端口对完成初始联系 (IC) 处理，并且根据这些 IP/端口对删除过时会话。这可能是 NAT 问题，因为对等体的 IP/端口可能会针对连接发生更改，并且系统不会根据 IP/端口对清除过时会话。根据 IKEv2 RFC，系统将切换初始联系处理以使用身份对，确保可以根据对等体和 ASA 身份识别过时会话并将其清除。身份可以是 IP、主机名、证书 DN 等。此系统日志显示清除过时会话的确切原因。在从对等体清除过时会话后，在与该对等体协商新 IKEv2 会话时，系统将在 ASA 上生成此系统日志。此系统日志仅适用于独立和集群站点到站点 VPN，不适用于 RA。

建议的操作：IKEv2 会话初始联系处理已完成，以重置对等体之间的状态和清除过时会话。如果会话由于初始联系处理而被意外清除，请确保所有对等体都配置了身份。

750015

错误消息 %ASA-4-750015: Local:<self ip>:<self port> Remote:<peer ip>:<peer port> Username:<TG or Username> IKEv2 deleting IPSec SA. Reason: invalid SPI notification received for SPI 0x<SPI>; local traffic selector = Address Range: <start address>-<end address> Protocol: <protocol number> Port Range: <start port>-<end port> ; remote traffic selector = Address Range: <start address>-<end address> Protocol: <protocol number> Port Range: <start port>-<end port>

说明

当 ESP 数据包因无效 SPI 被丢弃时，系统添加了与对等体的信息性交换。当对等体收到此通知时，导致 INVALID_SPI 情景的子 SA 将被清除，从而更快地同步子 SA 并减少流量丢失。当子 SA 因 INVALID_SPI 信息性交换而被清除时，系统将引用此 IKEv2 系统日志。下文介绍了消息值：

SPI - 收到 INVALID_SPI 通知的十六进制 SPI。

建议的操作：系统已检测到并处理不同步的 IKEv2 子条件。无需任何操作。

750016

错误消息 %ASA7-750016: Local: localIP:port Remote:remoteIP:port Username: username IKEv2 Need to send a DPD message to peer

说明

设备可能已终止与对等体的连接。需要对指定的对等体执行失效对等体检测，以确定它是否仍然处于活动状态。下文介绍了消息值：

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username - 与此连接尝试关联的用户名

建议的操作：无需执行任何操作。

751001

错误消息 %ASA-3-751001: Local: localIP:port Remote:remoteIP:port Username: username/group Failed to complete Diffie-Hellman operation. Error: error

说明：如错误所示，未能完成 Diffie-Hellman 操作。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
error - 指示特定错误的错误字符串

建议的操作：发生了低内存问题或应解决的其他内部错误。如果问题仍然存在，请使用内存跟踪工具来隔离问题。

751002

错误消息 %ASA-3-751002: Local: localIP:port Remote:remoteIP:port Username: username/group No preshared key or trustpoint configured for self in tunnel group group

说明：ASA无法在隧道组中找到可用于向对等体验证自身身份的任何类型的身份验证信息。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
group - 隧道组的名称

建议的操作：检查隧道组的配置，并在指定的隧道组中配置预共享密钥或证书以进行自我身份验证。

751003

错误消息 %ASA-7-751003: Local: localIP:port Remote:remoteIP:port Username: username/group Need to send a DPD message to peer

说明：需要对指定的对等体执行失效对等体检测，以确定它是否仍然处于活动状态。ASA可能已终止与对等体的连接。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组

建议的操作：无需执行任何操作。

751004

错误消息 %ASA-3-751004: Local: localIP:port Remote:remoteIP:port Username: username/group No remote authentication method configured for peer in tunnel group group

说明：在配置中未找到用于验证远程对等体身份的方法以允许连接。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
group - 隧道组的名称

建议的操作：检查配置以确保存在有效的远程对等体身份验证设置。

751005

错误消息 %ASA-3-751005: Local: localIP:port Remote:remoteIP:port Username: username/group AnyConnect client reconnect authentication failed. Session ID: sessionID , Error: error

说明：使用会话令牌尝试重新连接 AnyConnect 客户端期间发生故障。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
sessionID - 用于尝试重新连接的会话 ID
error - 指示重新连接尝试期间发生的特定错误的错误字符串

建议的操作：如有必要，根据指定的错误采取相应操作。该错误可能表示会话已被删除而不是保持处于恢复状态，这是因为检测到客户端断开连接或已在 ASA上清除了会话。如有必要，还可将此消息与 Anyconnect 客户端上的事件日志进行比较。

751006

错误消息 %ASA-3-751006: Local: localIP:port Remote:remoteIP:port Username: username/group Certificate authentication failed. Error: error

说明：发生与证书身份验证相关的错误。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
error - 用于指示特定证书身份验证错误的错误字符串

建议的操作：如有必要，根据指定的错误采取相应操作。检查证书信任点配置，并确保存在必要的 CA 证书，以便能够正确验证客户端证书链。使用 debug crypto ca 命令来排除此错误。

751007

错误消息 %ASA-5-751007: Local: localIP:port Remote:remoteIP:port Username: username/group Configured attribute not supported for IKEv2. Attribute: attribute

说明：已配置的属性无法应用于 IKEv2 连接，因为 IKEv2 连接不支持该属性。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
attribute - 配置要应用的属性

建议的操作：无需执行任何操作。要杜绝生成此消息，可以删除 IKEv2 配置设置。

751008

错误消息 %ASA-3-751008: Local: localIP:port Remote:remoteIP:port Username: username/group Group=group , Tunnel rejected: IKEv2 not enabled in group policy

说明：根据连接尝试映射至的指定组的已启用协议，并且连接被拒绝，因此不允许使用 IKEv2。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
group - 用于连接的隧道组

建议的操作：检查组策略 VPN 隧道协议设置，并根据需要启用 IKEv2。

751009

错误消息 %ASA-3-751009: Local: localIP:port Remote:remoteIP:port Username: username/group Unable to find tunnel group for peer.

说明：找不到对等体的隧道组。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组

建议的操作：检查配置和隧道组映射规则，然后对其进行配置以允许对等体登陆已配置的组。

751010

错误消息 %ASA-3-751010: Local: localIP:port Remote:remoteIP:port Username: username/group Unable to determine self-authentication method. No crypto map setting or tunnel group found.

说明：在隧道组或加密映射中找不到用于向对等体验证 ASA身份的方法。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组

建议的操作：检查配置，并在发起方 L2L 的加密映射或适用的隧道组中配置自我身份验证方法。

751011

错误消息 %ASA-3-751011: Local: localIP:port Remote:remoteIP:port Username: username/group Failed user authentication. Error: error

说明：在 EAP 中针对 IKEv2 远程访问连接进行用户身份验证期间发生错误。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
error - 指示特定错误的错误字符串

建议的操作：确保提供了正确的身份验证凭证，如有必要，进一步调试以确定确切的失败原因。

751012

错误消息 %ASA-3-751012: Local: localIP:port Remote:remoteIP:port Username: username/group Failure occurred during Configuration Mode processing. Error: error

说明：将设置应用于连接时，配置模式处理期间发生错误。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
error - 指示特定错误的错误字符串

建议的操作：根据指示的错误采取相应操作。使用 debug crypto ikev2 命令确定错误的原因，或者如有必要，调试此错误指定的所示子系统。

751013

错误消息 %ASA-3-751013: Local: localIP:port Remote:remoteIP:port Username: username/group Failed to process Configuration Payload request for attribute attribute ID . Error: error

说明：配置负载请求未能为对等体请求的属性处理并生成配置负载响应。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
attribute ID - 出现故障的属性 ID
error - 指示特定错误的错误字符串

建议的操作：发生了内存错误、配置错误或其他类型的错误。使用 debug crypto ikev2 命令来帮助隔离故障原因。

751014

错误消息 %ASA-4-751014: Local: localIP:port Remote remoteIP:port Username: username/group Warning Configuration Payload request for attribute attribute ID could not be processed. Error: error

说明：处理 CP 请求以生成所请求属性的 CP 响应时发生警告。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
attribute ID - 出现故障的属性 ID
error - 指示特定错误的错误字符串

建议的操作：根据警告中所示的属性和显示的警告消息执行操作。例如，将较新的客户端与较早的 ASA映像一起使用，而该映像不能理解已添加到客户端的新属性。可能需要升级 ASA映像，才可以处理该属性。

751015

错误消息 %ASA-4-751015: Local: localIP:port Remote remoteIP:port Username: username/group SA request rejected by CAC. Reason: reason

说明：根据配置的阈值或所列原因指示的条件，呼叫准入控制拒绝了连接以保护 ASA。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
reason - SA 请求被拒绝的原因

建议的操作：如果应接受新连接，请检查原因并解决问题，或者更改配置的阈值。

751016

错误消息 %ASA-4-751016: Local: localIP:port Remote remoteIP:port Username: username/group L2L peer initiated a tunnel with the same outer and inner addresses. Peer could be Originate only - Possible misconfiguration!

说明：根据收到的隧道外部和内部 IP 地址，对等体可能配置为用于“仅发起”连接。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组

建议的操作：检查 L2L 对等体的配置。

751017

错误消息 %ASA-3-751017: Local: localIP:port Remote remoteIP:port Username: username/group Configuration Error error description

说明：检测到阻止连接的配置错误。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
error description - 配置错误的简短说明

建议的操作：根据指示的错误更正配置。

751018

错误消息 %ASA-3-751018: Terminating the VPN connection attempt from attempted group . Reason: This connection is group locked to locked group .

说明：尝试连接的隧道组与组锁定中设置的隧道组不同。

attempted group - 建立连接的隧道组
locked group - 连接被锁定或限制的隧道组

建议的操作：检查组策略中的组锁定值或用户属性。

751019

错误消息 %ASA-4-751019: Local:LocalAddr Remote:RemoteAddr Username:username Failed to obtain an licenseType license. Maximum license limit limit exceeded.

说明：由于超出了最大许可证限制，导致无法发起或响应隧道请求，因此会话创建失败。

LocalAddr - 用于此连接尝试的本地地址
RemoteAddr - 用于此连接尝试的远程对等体地址
username - 对等体尝试连接时使用的用户名
licenseType - 超出限制的许可证类型（其他 VPN 或 AnyConnect Premium/Essentials）
limit - 允许且超出的许可证数量

建议的操作：确保为所有允许的用户提供足够数量的许可证和/或获取更多许可证以允许拒绝的连接。在多情景模式下，如有必要，请允许报告故障的情景使用更多许可证。

751020

错误消息 %ASA-3-751020: Local:%A:%u Remote:%A:%u Username:%s An %s remote access connection failed. Attempting to use an NSA Suite B crypto algorithm (%s) without an AnyConnect Premium license.

说明：无法创建 IKEv2 远程访问隧道，这是因为虽已应用 AnyConnect Premium 许可证，但在 webvpn 配置模式下使用 anyconnect-essentials 命令明确禁用了该许可证。

建议的操作：确保在远程访问 IKEv2 策略或 Ipsec 建议中配置的 ASA上安装了 AnyConnect Premium 许可证。

751021

错误消息 %ASA-4-751021: Local:variable 1 :variable 2 Remote:variable 3 :variable 4 Username:variable 5 variable 6 with variable 7 encryption is not supported with this version of the AnyConnect Client. Please upgrade to the latest Anyconnect Client.

说明：过期的 AnyConnect 客户端尝试连接到具有配置了 AES-GCM 加密策略的 IKEv2 的 ASA。

variable 1 - 本地 IP 地址
variable 2 - 本地端口
variable 3 - 远程客户端 IP 地址
variable 4 - 远程客户端端口
variable 5 - AnyConnect 客户端的用户名（可能未知，因为这发生在用户输入用户名之前）
variable 6 - 连接协议类型（IKEv1、IKEv2）
variable 7 - 组合模式加密类型（AES-GCM、AES-GCM-256）

建议的操作：将 AnyConnect 客户端升级到最新版本方可使用采用 AES-GCM 加密的 IKEv2。

751022

错误消息 %ASA-3-751022: Local: local-ip Remote: remote-ip Username:username Tunnel rejected: Crypto Map Policy not found for remote traffic selector rem-ts-start /rem-ts-end /rem-ts.startport /rem-ts.endport /rem-ts.protocol local traffic selector local-ts-start /local-ts-end /local-ts.startport /local-ts.endport /local-ts.protocol !

说明：ASA无法找到消息中所示的专用网络或主机的安全策略信息。这些网络或主机由发起方发送，与 ASA中的任何加密 ACL 均不匹配。这很可能是配置错误。

local-ip - 本地对等体 IP 地址
remote-ip - 远程对等体 IP 地址
username - 远程访问请求者的用户名（如果已知）
rem-ts-start - 远程流量选择器的起始地址
rem-ts-end - 远程流量选择器的结束地址
rem-ts.startport - 远程流量选择器的起始端口
rem-ts.endport - 远程流量选择器的结束端口
rem-ts.protocol - 远程流量选择器的协议
local-ts-start - 本地流量选择器的起始地址
local-ts-end - 本地流量选择器的结束地址
local-ts.startport - 本地流量选择器的起始端口
local-ts.endport - 本地流量选择器的结束端口
local-ts.protocol - 本地流量选择器的协议

建议的操作：检查两端加密 ACL 中受保护的网络配置，并确保发起方的本地网络是响应方的远程网络，反之亦然。与网络地址相比，要特别注意通配符掩码和主机地址。非思科实施可能将专用地址标记为代理地址或“红色”网络。

751023

错误消息 %ASA-6-751023: Local a :p Remote: a :p Username:n Unknown client connection

说明：未知的非思科 IKEv2 客户端已连接到 ASA。

n - 组或用户名（具体取决于情景）
a - IP 地址
p - 端口号
ua - 客户端向 ASA提供的用户代理

建议的操作：升级到思科支持的 IKEv2 客户端。

751024

错误消息 %ASA-3-751024: Local:ip-addr Remote:ip-addr Username:username IKEv2 IPv6 User Filter tempipv6 configured. This setting has been deprecated, terminating connection

说明：IPv6 VPN 过滤器已弃用，如果为 IPv6 流量访问控制配置了 IPv6 VPN 过滤器而不是统一过滤器，连接将被终止。

建议的操作：为统一过滤器配置 IPv6 条目，以控制用户的 IPv6 流量。

751025

错误消息 %ASA-5-751025: Local: local IP :local port Remote: remote IP :remote port Username:username Group:group-policy IPv4 Address=assigned_IPv4_addr IPv6 address=assigned_IPv6_addr assigned to session.

说明：此消息显示为指定用户的 AnyConnect IKEv2 连接分配的 IP 地址信息。

local IP :local port - 此请求的本地 IP 地址。用于此连接的 ASA IP 地址和端口号
remote IP :remote port - 此请求的远程 IP 地址。发出连接请求的对等体 IP 地址和端口号
username - 远程访问请求者的用户名（如果已知）
group-policy - 允许用户获取访问权限的组策略
assigned_IPv4_addr - 分配给该客户端的 IPv4 地址
assigned_IPv6_addr - 分配给该客户端的 IPv6 地址

建议的操作：无需执行任何操作。

751026

错误消息 %ASA-6-751026: Local: localIP:port Remote: remoteIP:port Username: username/group IKEv2 Client OS: client-os Client: client-name client-version

说明：指示的用户正在尝试连接所示的操作系统和客户端版本。

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
client-os - 客户端报告的操作系统
client-name - 客户端报告的客户端名称（通常为 AnyConnect）
client-version - 客户端报告的客户端版本

建议的操作：无需执行任何操作。

751027

错误消息 %ASA-4-751027: Local:local IP :local port Remote:peer IP :peer port Username:username IKEv2 Received INVALID_SELECTORS Notification from peer. Peer received a packet (SPI=spi ). The decapsulated inner packet didn’t match the negotiated policy in the SA. Packet destination pkt_daddr , port pkt_dest_port , source pkt_saddr , port pkt_src_port , protocol pkt_prot .

说明：对等体在 IPsec 安全关联 (SA) 上接收到的数据包与该 SA 的协商流量描述符不匹配。对等体发送了包含违规数据包的 SPI 和数据包数据的 INVALID_SELECTORS 通知。

local IP - ASA本地 IP 地址
local port - ASA本地端口
peer IP - 对等体 IP 地址
peer port - 对等体端口
username - 用户名
spi - 该数据包的 IPsec SA 的 SPI
pkt_daddr - 数据包目的 IP 地址
pkt_dest_port - 数据包目的端口
pkt_saddr - 数据包源 IP 地址
pkt_src_port - 数据包源端口
pkt_prot - 数据包协议

建议的操作：复制错误消息、配置以及导致此错误的事件的任何详细信息，然后将这些信息提交给思科 TAC。

751028

错误消息：%ASA-5-751028: Local:<localIP:port> Remote:<remoteIP:port> Username:<username/group> IKEv2 Overriding configured keepalive values of threshold:<config_threshold>/retry:<config_retry> to threshold:<applied_threshold>/retry:<applied_retry>.

说明：为分布式站点对站点配置集群时，应增加保持连接阈值和重试间隔，以防止系统过载。如果配置的值低于这些所需的值，系统将应用所需的值。下表介绍消息值：

localIP:port - 本地 IP 地址和端口号
remoteIP:port - 远程 IP 地址和端口号
username/group - 与此连接尝试关联的用户名或组
config_threshold - 为隧道组配置的保持连接阈值
config_retry - 为隧道组配置的保持连接重试
applied_threshold - 应用的保持连接阈值
applied_retry - 应用的保持连接重试

建议的操作：至少配置为所需的最小值。

752001

错误消息 %ASA-2-752001: Tunnel Manager received invalid parameter to remove record

说明：从隧道管理器中删除可能阻止同一对等体的未来隧道启动的记录失败。

建议的操作：重新加载设备将删除该记录，但如果错误仍然存在或再次发生，请尝试对特定隧道执行其他调试。

752002

错误消息 %ASA-7-752002: Tunnel Manager Removed entry. Map Tag = mapTag . Map Sequence Number = mapSeq .

说明：用于启动隧道的条目已成功删除。

mapTag - 删除了启动条目的加密映射的名称
mapSeq - 删除了启动条目的加密映射的序列号

建议的操作：无需执行任何操作。

752003

错误消息 %ASA-5-752003: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv2. Map Tag = mapTag . Map Sequence Number = mapSeq

说明：正在尝试启动基于所示加密映射的 IKEv2 隧道。

mapTag - 删除了启动条目的加密映射的名称
mapSeq - 删除了启动条目的加密映射的序列号

建议的操作：无需执行任何操作。

752004

错误消息 %ASA-5-752004: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv1. Map Tag = mapTag . Map Sequence Number = mapSeq

说明：正在尝试启动基于所示加密映射的 IKEv1 隧道。

mapTag - 删除了启动条目的加密映射的名称
mapSeq - 删除了启动条目的加密映射的序列号

建议的操作：无需执行任何操作。

752005

错误消息 %ASA-2-752005: Tunnel Manager failed to dispatch a KEY_ACQUIRE message. Memory may be low. Map Tag = mapTag . Map Sequence Number = mapSeq.

说明：由于内部错误（例如内存分配失败），尝试调度隧道启动的操作失败。

mapTag - 删除了启动条目的加密映射的名称
mapSeq - 删除了启动条目的加密映射的序列号

建议的操作：使用内存跟踪工具和其他调试操作来隔离问题。

752006

错误消息 %ASA-3-752006: Tunnel Manager failed to dispatch a KEY_ACQUIRE message. Probable mis-configuration of the crypto map or tunnel-group. Map Tag = Tag . Map Sequence Number = num, SRC Addr: address port: port Dst Addr: address port: port .

说明：由于所示加密映射或关联的隧道组的配置错误，因此尝试调度隧道启动的操作失败。

Tag - 删除了启动条目的加密映射的名称
num - 删除了启动条目的加密映射的序列号
address - 源 IP 地址或目的 IP 地址
port - 源端口号或目的端口号

建议的操作：检查指示的隧道组和加密映射的配置，确保配置是完整的。

752007

错误消息 %ASA-3-752007: Tunnel Manager failed to dispatch a KEY_ACQUIRE message. Entry already in Tunnel Manager. Map Tag = mapTag . Map Sequence Number = mapSeq

说明：尝试了将现有条目重新添加到隧道管理器。

mapTag - 删除了启动条目的加密映射的名称
mapSeq - 删除了启动条目的加密映射的序列号

建议的操作：如果问题仍然存在，请确保对等体的配置允许隧道，并进一步调试以确保在隧道启动以及成功或失败的启动尝试期间可正确添加和删除隧道管理器条目。进一步调试 IKE 版本 2 或 IKE 版本 1 连接，因为它们可能仍处于创建隧道的过程中。

752008

错误消息 %ASA-7-752008: Duplicate entry already in Tunnel Manager

说明：发出了重复的隧道启动请求，并且隧道管理器已经在尝试启动隧道。

建议的操作：无需执行任何操作。如果问题仍然存在，则 IKEv1 或 IKEv2 可能尝试了启动隧道并且尚未超时。使用适用的命令进一步调试，以确保在成功或失败的启动尝试后删除隧道管理器条目。

752009

%ASA-4-752009: IKEv2 Doesn't support Multiple Peers

说明：尝试启动 IKEv2 隧道失败，这是因为加密映射配置了多个对等体，而 IKEv2 不支持多个对等体。只有 IKEv1 支持多个对等体。

建议的操作：检查配置，以确保 IKEv2 站点对站点启动不需要多个对等体。

752010

错误消息 %ASA-4-752010: IKEv2 Doesn't have a proposal specified

说明：未找到能够启动 IKEv2 隧道的 IPsec 方案。

建议的操作：检查配置，如有必要，配置可用于启动隧道的 IKEv2 方案。

752011

错误消息 %ASA-4-752011: IKEv1 Doesn't have a transform set specified

说明：未找到能够启动 IKEv2 隧道的 IKEv1 转换集。

建议的操作：检查配置，如有必要，配置可用于启动隧道的 IKEv2 转换集。

752012

错误消息 %ASA-4-752012: IKEv protocol was unsuccessful at setting up a tunnel. Map Tag = mapTag . Map Sequence Number = mapSeq .

说明：指示的协议未能使用配置的加密映射启动隧道。

protocol - IKE 版本号，对于 IKEv1 而言为 1，对于 IKEv2 而言为 2
mapTag - 删除了启动条目的加密映射的名称
mapSeq - 删除了启动条目的加密映射的序列号

建议的操作：检查配置，然后在指示的协议中进一步调试，以确定隧道启动尝试失败的原因。

752013

错误消息 %ASA-4-752013: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv2 after a failed attempt. Map Tag = mapTag . Map Sequence Number = mapSeq .

说明：隧道管理器在隧道启动尝试失败后再次尝试启动该隧道。

mapTag - 删除了启动条目的加密映射的名称
mapSeq - 删除了启动条目的加密映射的序列号

建议的操作：检查配置，并确保正确配置了加密映射。然后确定在第二次尝试时是否成功创建了隧道。

752014

错误消息 %ASA-4-752014: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv1 after a failed attempt. Map Tag = mapTag . Map Sequence Number = mapSeq .

说明：启动隧道失败后，隧道管理器正在回退并尝试使用 IKEv1 启动隧道。

mapTag - 删除了启动条目的加密映射的名称
mapSeq - 删除了启动条目的加密映射的序列号

建议的操作：检查配置，并确保正确配置了加密映射。然后确定在第二次尝试时是否成功创建了隧道。

752015

错误消息 %ASA-3-752015: Tunnel Manager has failed to establish an L2L SA. All configured IKE versions failed to establish the tunnel. Map Tag = mapTag . Map Sequence Number = mapSeq .

说明：尝试使用所有已配置的协议后，尝试启动对等体的 L2L 隧道失败。

mapTag - 删除了启动条目的加密映射的名称
mapSeq - 删除了启动条目的加密映射的序列号

建议的操作：检查配置，并确保正确配置了加密映射。调试各个协议以隔离失败原因。

752016

错误消息 %ASA-5-752016: IKEv protocol was successful at setting up a tunnel. Map Tag = mapTag . Map Sequence Number = mapSeq.

说明：指示的协议（IKEv1 或 IKEv2）已成功创建 L2L 隧道。

protocol - IKE 版本号，对于 IKEv1 而言为 1，对于 IKEv2 而言为 2
mapTag - 删除了启动条目的加密映射的名称
mapSeq - 删除了启动条目的加密映射的序列号

建议的操作：无需执行任何操作。

752017

错误消息 %ASA-4-752017: IKEv2 Backup L2L tunnel initiation denied on interface interface matching crypto map name , sequence number number . Unsupported configuration.

说明：ASA使用 IKEv1 启动连接，因为 IKEv2 不支持备份 L2L 功能。

建议的操作：如果启用了 IKEv1，则无需执行任何操作。您必须启用 IKEv1 方可使用备份 L2L 功能。

753001

错误消息 %ASA-4-753001: Unexpected IKEv2 packet received from <IP>:<port>. Error: <reason>

说明：如果集群在分布式 VPN 集群模式下运行并且在数据路径中对其执行的早期一致性检查和/或错误检查失败，则收到 IKEv2 数据包时会生成此系统日志。

<IP> - 发送该数据包的源 IP 地址
<port> - 发送该数据包的源端口
<reason> - 将该数据包视为无效的原因。此值可以是 Corrupted SPI detected 或 Expired SPI received。

建议的操作：如果启用了 IKEv1，则无需执行任何操作。您必须启用 IKEv1 方可使用备份 L2L 功能。

767001

错误消息 %ASA-6-767001: Inspect-name : Dropping an unsupported IPv6/IP46/IP64 packet from interface :IP Addr to interface :IP Addr (fail-close)

说明：为服务策略设置了故障关闭选项，并且特定检查收到 IPv6、IP64 或 IP46 数据包。根据故障关闭选项的设置，系统会生成此系统日志消息并丢弃该数据包。

建议的操作：无需执行任何操作。

768001

错误消息 %ASA-3-768001: QUOTA: resource utilization is high: requested req , current curr , warning level level

说明：系统资源分配级别已达到其警告阈值。如果是管理会话，则资源是同时管理会话。

resource - 系统资源的名称；在此情况下，是管理会话。
req - 请求的数量；对于管理会话，该值始终是 1。
curr - 当前分配的数量；对于管理会话，该值等于 level
level - 警告阈值，即已配置限制的 90%

建议的操作：无需执行任何操作。

768002

错误消息 %ASA-3-768002: QUOTA: resource quota exceeded: requested req , current curr , limit limit

说明：对系统资源的请求将超出其配置的限制并被拒绝。如果是管理会话，则已达到系统的最大同时管理会话数。

resource - 系统资源的名称；在此情况下，是管理会话。
req - 请求的数量；对于管理会话，该值始终是 1。
curr - 当前分配的数量；对于管理会话，该值等于 level
limit - 配置的资源限制

建议的操作：无需执行任何操作。

768003

错误消息 %ASA-3-768003: QUOTA: management session quota exceeded for user user name: current 3, user limit 3

说明：当前管理会话超出为用户配置的限制。

current - 为用户的管理会话分配的当前编号
limit - 配置的管理会话限制。默认值为 15。

建议的操作：无需执行任何操作。

768004

错误消息 %ASA-3-768004: QUOTA: management session quota exceeded for ssh/telnet/http protocol: current 2, protocol limit 2

说明：ssh、telnet 或 http 协议的最大管理会话数超过配置的限制。

current - 为管理会话分配的当前编号
limit - 每个协议配置的资源限制。默认值为 5。

建议的操作：无需执行任何操作。

769001

错误消息 %ASA-5-769001: UPDATE: ASA image src was added to system boot list

说明：系统映像已更新。先前下载到系统的文件的名称已添加到系统引导列表中。

src - 源映像文件的名称或 URL

建议的操作：无需执行任何操作。

769002

错误消息 %ASA-5-769002: UPDATE: ASA image src was copied to dest

说明：系统映像已更新。映像文件已复制到系统。

src - 源映像文件的名称或 URL
dest - 目的映像文件的名称

建议的操作：无需执行任何操作。

769003

错误消息 %ASA-5-769003: UPDATE: ASA image src was renamed to dest

说明：系统映像已更新。现有映像文件已重命名为系统引导列表中的映像文件名。

src - 源映像文件的名称或 URL
dest - 目的映像文件的名称

建议的操作：无需执行任何操作。

769004

错误消息 %ASA-2-769004: UPDATE: ASA image src_file failed verification, reason: failure_reason

说明：通过 copy 命令或 verify 命令验证映像失败。

src_file - 源映像文件的文件名或 URL
failure_reason - 目的映像文件的文件名

建议的操作：可能的失败原因如下：系统内存不足，未在文件中找到映像，校验和失败，未在文件中找到签名，签名无效，签名算法不受支持，签名处理问题

769005

错误消息 %ASA-5-769005: UPDATE: ASA image image_name passed image verification.

说明：这是表示映像已通过验证的通知消息。

image_name - ASA映像文件的文件名

建议的操作：无需执行任何操作。

769006

错误消息 %ASA-3-769006: UPDATE: ASA boot system image image_name was not found on disk.

说明：这是一条错误消息，表明在磁盘上找不到在启动系统列表中配置的文件。

image_name - ASA映像文件的文件名

建议的操作：如果设备未能启动，请更改 boot system 命令以指向有效的文件，或者在重启设备之前将缺失的文件安装到磁盘中。

769007

错误消息 %ASA-6-769007: UPDATE: Image version is version_number

说明：升级设备时会显示此消息。

version_number - ASA 映像文件的版本号

建议的操作：无需执行任何操作。

769009

错误消息 %ASA-4-769009: UPDATE: Image booted image_name is different from boot images.

说明：这是在升级设备后显示的错误消息，指示配置的文件与现有引导映像列表不同。

image_name - ASA映像文件的文件名

建议的操作：无需执行任何操作。

770001

错误消息 %ASA-4-770001: Resource resource allocation is more than the permitted list of limit for this platform. If this condition persists, the ASA will be rebooted.

说明：ASA虚拟机的 CPU 或内存资源分配已超出此平台的允许限制。除非已根据从 Cisco.com 下载的软件中指定的设置更改了 ASA虚拟机的设置，否则不会发生这种情况。

建议的操作：要使 ASA继续运行，请将虚拟机的 CPU 或内存资源分配更改为从 Cisco.com 下载的软件指定的设置，或更改为此平台的思科 ASA 1000V CLI 配置指南中指定的资源限制。

770002

错误消息 %ASA-1-770002: Resource resource allocation is more than the permitted limit for this platform. ASA will be rebooted.

说明：ASA虚拟机的 CPU 或内存资源分配已超出此平台的允许限制。除非已根据从 Cisco.com 下载的软件中指定的设置更改了 ASA虚拟机的设置，否则不会发生这种情况。如果未更改资源分配，ASA将继续重新启动。

建议的操作：将虚拟机的 CPU 或内存资源分配更改为从 Cisco.com 下载的软件指定的设置，或更改为此平台的思科 ASA 1000V CLI 配置指南中指定的资源限制。

770003

错误消息 %ASA-4-770003: Resource resource allocation is less than the minimum requirement of value for this platform. If this condition persists, performance will be lower than normal.

说明：ASA虚拟机的 CPU 或内存资源分配低于此平台的最低要求。If this condition persists, performance will be lower than normal.

建议的操作：要使 ASA 继续运行，请将此虚拟机的 CPU 或内存资源分配更改为从思科下载的软件指定的设置。

771001

错误消息 %ASA-5-771001: CLOCK: System clock set, source: src , before: time , after: time

说明：已从本地来源设置系统时钟。

src - 时间协议，可以是以下任一项：NTP、SNTP、VINES 或 RFC-868 时间协议
ip - 时间服务器的 IP 地址
time - 采用“Sun Apr 1 12:34:56.789 EDT 2012”格式的时间字符串

建议的操作：无需执行任何操作。

771002

错误消息 %ASA-5-771002: CLOCK: System clock set, source: src , IP ip , before: time , after: time

说明：已从远程来源设置系统时钟。

src - 时间源，可以是手动日历或硬件日历
ip - 时间服务器的 IP 地址
time - 采用“Sun Apr 1 12:34:56.789 EDT 2012”格式的时间字符串

建议的操作：无需执行任何操作。

772002

错误消息 %ASA-3-772002: PASSWORD: console login warning, user username , cause: password expired

说明：用户使用过期密码登录系统控制台，系统允许用户这样做以避免系统锁定。

username - 用户的名称

建议的操作：用户应更改登录密码。

772003

错误消息 %ASA-2-772003: PASSWORD: session login failed, user username , IP ip , cause: password expired

说明：登录的用户尝试使用过期密码登录系统并被拒绝访问。

session - 会话类型，可以是 SSH 或 Telnet
username - 用户的名称
ip - 用户的 IP 地址

建议的操作：如果用户已被授权访问，则管理员必须更改该用户的密码。未经授权的访问尝试应触发相应的响应，例如，阻止来自该 IP 地址的流量。

772004

错误消息 %ASA-3-772004: PASSWORD: session login failed, user username , IP ip , cause: password expired

说明：登录的用户尝试使用过期密码登录系统并被拒绝访问。

session - 会话类型，ASDM
username - 用户的名称
ip - 用户的 IP 地址

建议的操作：如果用户已被授权访问，则管理员必须更改该用户的密码。未经授权的访问尝试应触发相应的响应，例如，阻止来自该 IP 地址的流量。

772005

错误消息 %ASA-6-772005: REAUTH: user username passed authentication

说明：更改密码后，用户成功通过身份验证。

username - 用户的名称

建议的操作：无需执行任何操作。

772006

错误消息 %ASA-2-772006: REAUTH: user username failed authentication

说明：尝试更改密码时，用户输入了错误的密码。因此，密码未能更改。

username - 用户的名称

建议的操作：用户应使用 change-password 命令重新尝试更改密码。

774001

错误消息 %ASA-2-774001: POST: unspecified error

说明：加密运营商进行通电自检时失败。

建议的操作：联系思科 TAC。

774002

错误消息 %ASA-2-774002: POST: error err, func func , engine eng , algorithm alg , mode mode , dir dir , key len len

说明：加密运营商进行通电自检时失败。

err - 失败原因
func - 函数
eng - 引擎，可以是 NPX、Nlite 或软件
alg - 算法，可以是以下任一项：RSA、DSA，DES、3DES、AES、RC4、MD5、SHA1、SHA256、SHA386、SHA512、HMAC-MD5、HMAC-SHA1、HMAC-SHA2 或 AES XCBC
mode - 模式，可以是以下任一项：无、CBC、CTR、CFB、ECB、状态 RC4 或无状态 RC4
dir - 加密或解密
len - 密钥长度（比特）

建议的操作：联系思科 TAC。

775001

错误消息：%ASA-6-775001: Scansafe: protocol connection conn_id from interface_name :real_address /real_port [(idfw_user )] to interface_name :real_address /real_port redirected to server_interface_name :server_ip_address

说明：配置了 ScanSafe 服务器，并且流量与配置为将连接重定向到 ScanSafe 服务器以提供内容扫描和其他恶意软件防护服务的策略匹配。

建议的操作：无需执行任何操作。

775002

错误消息 %ASA-4-775002: Reason - protocol connection conn_id from interface_name:real_address/real_port [(idfw_user )] to interface_name:real_address/real_port is action locally

说明：如果新 ScanSafe 重定向连接的源 IP 地址和端口与现有连接匹配，则 ASA 将丢弃新连接，并生成此系统日志消息。

Reason - 具有相同的源地址和端口的重复连接

建议的操作：确保满足以下要求：

已配置 ScanSafe 许可证密钥。
已配置公共密钥。
可从 ASA 访问 ScanSafe 服务器。
未达到最大连接数。

注	不建议在单个连接上配置 PAT 和 ScanSafe。

775003

错误消息：%ASA-6-775003: Scansafe:protocol connection conn_id from interface_name :real_address /real_port [(idfw_user )] to interface_name :real_address /real_port is whitelisted.

说明：流量已匹配，无需重定向到 ScanSafe 服务器进行内容扫描，但可以直接发送到预期 Web 服务器。

建议的操作：无需执行任何操作。

775004

错误消息： %ASA-4-775004: Scansafe: Primary server ip_address is not reachable

说明：在配置的 HTTP 或 HTTPS 端口上无法访问主 ScanSafe 服务器。

建议的操作：无需执行任何操作。

775005

错误消息：%ASA-6-775005: Scansafe: Primary server ip_address is reachable now

说明：在配置的 HTTP 和 HTTPS 端口上可访问主 ScanSafe 服务器。

建议的操作：无需执行任何操作。

775006

错误消息：%ASA-6-775006: Primary server interface :ip_address is not reachable and backup server interface :ip_address is now active

说明：如果主 ScanSafe 服务器无法访问，ASA 将检查与配置的备份 ScanSafe 服务器的连接；如果备份服务器可访问，它将成为主用服务器。

建议的操作：无需执行任何操作。

775007

错误消息：%ASA-2-775007: Scansafe: Primary server_interface_name :server_ip_address and backup server_interface_name :server_ip_address servers are not reachable.

说明：无法访问主要和备份 ScanSafe 服务器。根据配置的默认操作（fail_close 或 fail_open），流量被丢弃或发送到 Web 服务器，而无需重定向。

建议的操作：如果 ScanSafe 服务器无法访问，您可以将 ScanSafe 配置改为 fail_open 以将流量发送到 Web 服务器，而无需将它重定向到 ScanSafe 服务器。此配置将默认操作改为允许。

776001

错误消息 %ASA-3-776001: CTS SXP: Configured source IP source ip error

说明：使用配置的此源 IP 地址建立 SXP 连接时出现错误。

source ip - IPv4 或 IPv6 源地址
error - 有关使用配置的地址建立 SXP 连接时发生的错误类型的详细消息，可能是以下任一项：

- 不属于此设备。

- 与出站接口 IP 地址不匹配。

建议的操作：重新配置 SXP 连接，以获得有效的源 IP 地址。或者，取消配置源 IP 地址，并让设备根据路由查找选择正确的源 IP 地址。

776002

错误消息：%ASA-3-776002: CTS SXP: Invalid message from peer peer IP : error

说明：解析 SXP 消息时出错。

peer IP - IPv4 或 IPv6 对等体地址
error - 对消息解析问题的说明

建议的操作：联系思科 TAC 寻求帮助。

776003

错误消息：%ASA-3-776003: CTS SXP: Connection with peer peer IP failed: error

说明：发生了 SXP 配置错误。无法正确建立连接。

peer IP - IPv4 或 IPv6 对等体地址
error - 对SXP 配置问题的说明。错误可以是以下任一值：

- Mode mismatch with received one.（模式与收到的模式不匹配。）

- Does not exist.（不存在。）

- With the same peer, but different source IP address exists.（使用同一个对等设备，但存在不同的源 IP 地址。）

- Version mismatch with received one.（版本与收到的版本不匹配。）

- Received binding update while in speaker mode.（在扬声器模式下收到绑定更新。）

建议的操作：确保两端的连接配置采用正确的模式和 IP 地址。

776004

错误消息：%ASA-3-776004: CTS SXP: Fail to start listening socket after TCP process restart.

说明：此设备上的 SXP 不能接受来自远程设备的 SXP 连接设置请求，因为它无法更新绑定管理器。

建议的操作：禁用并重新启用 SXP 功能，看看侦听套接字是否可以重新启动。

776005

错误消息：%ASA-3-776005: CTS SXP: Binding Binding IP - SGname (SGT ) from peer IP instance connection instance num error .

说明：发生了 SXP 绑定更新错误。

Binding IP - IPv4 或 IPv6 绑定地址
SGname (SGT) - 绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
peer IP - 发送绑定的 IPv4 或 IPv6 对等体地址
connection instance num - 发送绑定的 SXP 连接的实例编号
error - 绑定错误的详细信息

建议的操作：联系思科 TAC 寻求帮助。

776006

错误消息 %ASA-3-776006: CTS SXP: Internal error: error

说明：CTS SXP 系统遇到内部错误。

error - 有关 SXP 内部错误的详细消息，可以是下列项之一：

- Source IP address of existing SXP connection cannot change.（无法更改现有 SXP 连接的源 IP 地址。）

- Password type of existing connection cannot change.（无法更改现有连接的密码类型。）

- Connection mode is the same as the existing configuration.（连接模式与现有配置相同。）

- IP address does not exist.（IP 地址不存在。）

建议的操作：联系思科 TAC 寻求帮助。

776007

错误消息：%ASA-3-776007: CTS SXP: Connection with peer peer IP (instance connection instance num ) state changed from original state to Off.

说明：CTS SXP 系统遇到内部故障，因为带有指定实例编号的 SXP 连接状态已改为关闭。

peer IP - IPv4 或 IPv6 对等体地址
connection instance num - SXP 连接实例编号
original state - 原始连接状态

建议的操作：无需执行任何操作。

776008

错误消息：%ASA-6-776008: CTS SXP: Connection with peer IP (instance connection instance num ) state changed from original state to final state .

说明：带有指定实例编号的 SXP 连接更改了状态。

peer IP - IPv4 或 IPv6 对等体地址
source IP - IPv4 或 IPv6 源地址
connection instance num - SXP 连接实例编号
original state - 原始连接状态
final state - 最终连接状态，可以是除“关闭”状态外的任何状态。

建议的操作：无需执行任何操作。

776009

错误消息：%ASA-5-776009: CTS SXP: password changed.

说明：SXP 系统密码已更改。

建议的操作：无需执行任何操作。

776010

错误消息：%ASA-5-776010: CTS SXP: SXP default source IP is changed original source IP final source IP .

说明：此设备上的 SXP 默认源 IP 地址已更改。

original source IP - IPv4 或 IPv6 的原始默认源 IP 地址
final source IP - IPv4 或 Ipv6 最终的默认源 IP 地址

建议的操作：无需执行任何操作。

776011

错误消息：%ASA-5-776011: CTS SXP: operational state .

说明： SXP 功能更改了操作状态，并且仅在启用后此功能才会工作。

operational state - 标记 CTS SXP 是启用还是禁用状态。

建议的操作：无需执行任何操作。

776012

错误消息：%ASA-7-776012: CTS SXP: timer name timer started for connection with peer peer IP .

说明：指定的 SXP 计时器已启动。

peer IP - IPv4 或 IPv6 对等体地址。对于并非由基于连接的事件触发的计时器，即重试打开计时器，使用默认 IP 地址 0.0.0.0。
timer name - 计时器名称

建议的操作：无需执行任何操作。

776013

错误消息：%ASA-7-776013: CTS SXP: timer name timer stopped for connection with peer peer IP .

说明：指定的 SXP 计时器已停止。

peer IP - IPv4 或 IPv6 对等体地址。对于并非由基于连接的事件触发的计时器，即重试打开计时器，使用默认 IP 地址 0.0.0.0。
timer name - 计时器名称

建议的操作：无需执行任何操作。

776014

错误消息：%ASA-7-776014: CTS SXP: SXP received binding forwarding request (action ) binding binding IP - SGname (SGT ).

说明：SXP 收到绑定转发请求。当请求希望 SXP 在绑定管理器中广播最新的净绑定更改时，绑定管理器会发送此请求。

action - 添加或删除操作
binding IP - IPv4 或 IPv6 绑定地址
SGname (SGT) - 绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。

建议的操作：无需执行任何操作。

776015

错误消息：%ASA-7-776015: CTS SXP: Binding binding IP - SGname (SGT ) is forwarded to peer peer IP (instance connection instance num ).

说明：SXP 已将绑定请求转发至对等体。

binding IP - IPv4 或 IPv6 绑定地址
SGname (SGT) - 绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
peer IP - IPv4 或 IPv6 对等体地址
connection instance num - SXP 连接实例编号

建议的操作：无需执行任何操作。

776016

错误消息：%ASA-7-776016: CTS SXP: Binding binding IP - SGName (SGT ) from peer peer IP (instance binding's connection instance num ) changed from old instance: old instance num , old sgt: old SGName (SGT ).

说明：SXP 数据库中绑定已更改。

binding IP - IPv4 或 IPv6 绑定地址
SGname (SGT) - 绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
peer IP - 绑定源 IPv4 或 IPv6 地址
’binding’s connection instance num - SXP 连接实例编号
old instance num - 获知绑定的旧连接实例编号
old SGName (SGT) - 绑定旧 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。

建议的操作：无需执行任何操作。

776017

错误消息：%ASA-7-776017: CTS SXP: Binding binding IP - SGname (SGT) from peer peer IP (instance connection instance num ) deleted in SXP database.

说明：已从 SXP 数据库中删除绑定。

binding IP - IPv4 或 IPv6 绑定地址
SGname (SGT) - 绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
peer IP - 绑定源 IPv4 或 IPv6 对等体地址
connection instance num - SXP 连接实例编号

建议的操作：无需执行任何操作。

776018

错误消息：%ASA-7-776018: CTS SXP: Binding binding IP - SGname (SGT) from peer peer IP (instance connection instance num ) added in SXP database.

说明：已在 SXP 数据库中添加绑定。

binding IP - IPv4 或 IPv6 绑定地址
SGname (SGT) - 绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
peer IP - 绑定源 IPv4 或 IPv6 对等体地址
connection instance num - SXP 连接实例编号

建议的操作：无需执行任何操作。

776019

错误消息 %ASA-7-776019: CTS SXP: Binding binding IP - SGname (SGT ) action taken . Update binding manager.

说明：SXP 在绑定管理器中更新了绑定更改。

binding IP - IPv4 或 IPv6 绑定地址
SGname (SGT) - 绑定 SGT 信息。SGname 可用时显示以下格式：SGname (SGT)；SGname 不可用时显示以下格式：SGT。
action taken - 执行的操作，可以是下列任一项：添加、删除或更改。

建议的操作：无需执行任何操作。

776020

错误消息：%ASA-3-776020: CTS SXP: Unable to locate egress interface to peer peer IP .

说明：ASA 找不到 SXP 对等体的出口接口。

binding IP - IPv4 或 IPv6 地址

非歧视性语言

当地语言翻译版本说明

Results

Chapter: 系统日志消息 722001-776020

系统日志消息 722001-776020

ID 介于 722001 到 722056 之间的消息

722001

722002

722003

722004

722005

722006

722007

722008

722009

722010

722011

722012

722013

722014

722015

722016

722017

722018

722019

722020

722021

722022

722023

722024

722025

722026

722027

722028

722029

722030

722031

722032

722033

722034

722035

722036

722037

722038

722039

722040

722041

722042

722043

722044

722045

722046

722047

722048

722049

722050

722051

722053

722054

722055

722056

ID 介于 723001 到 736001 之间的消息

723001

723002

723003

723004

723005

723006

723007

723008

723009

723010

723011

723012

723013

723014

724001

724002

725001