错误消息 %ASA-6-302003: Built H245 connection for foreign_address outside_address /outside_port local_address inside_address /inside_port

说明：已启动从 outside_address 到 inside_address 的 H.245 连接。ASA已检测到使用英特尔互联网电话。外部端口 (outside_port) 仅显示在从 ASA外部启动的连接上。本地端口值 (inside_port) 仅显示在内部接口上启动的连接上。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address /outside_port to local_address inside_address /inside_port

说明：H.323 UDP 背面连接已从本地地址 (inside_address) 预分配到外部地址 (outside_address)。ASA已检测到使用英特尔互联网电话。外部端口 (outside_port) 仅显示在从 ASA外部启动的连接上。本地端口值 (inside_port) 仅显示在内部接口上启动的连接上。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302010: connections in use, connections most used

说明：提供有关正在使用和最常用连接的数量的信息。

• 连接 - 连接数

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302012: Pre-allocate H225 Call Signalling Connection for faddr IP_address /port to laddr IP_address

说明：H.225 辅助信道已预分配。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface :real-address /real-port (mapped-address/mapped-port ) [(idfw_user )] to interface :real-address /real-port (mapped-address/mapped-port ) [(idfw_user )] [(user )]

说明：两台主机之间创建了 TCP 连接插槽。

• connection_id - 唯一标识符
• interface, real-address, real-port - 实际套接字
• mapped-address, mapped-port - 映射套接字
• user - 用户的 AAA 名称
• idfw_user - 身份防火墙用户的名称

如果指定了入站，则从外部启动原控制连接。例如，对于 FTP 而言，如果原控制通道为入站，则所有数据传输通道均为入站。如果指定了出站，则从内部启动原控制连接。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]

说明：已删除两台主机之间的 TCP 连接。下表介绍消息值：

• id - 唯一标识符

• interface, real-address, real-port - 实际套接字

• duration - 连接持续时间

• bytes - 连接的数据传输

• User - 用户的 AAA 名称

• idfw_user - 身份防火墙用户的名称

• reason - 致使连接终止的操作。将 reason 变量设置为下表所列的一项 TCP 终止原因。

• teardown-initiator - 启动了断开操作的一端。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302015: Built {inbound|outbound} UDP connection number for interface_name :real_address /real_port (mapped_address /mapped_port ) [(idfw_user )] to interface_name :real_address /real_port (mapped_address /mapped_port )[(idfw_user )] [(user )]

说明：两台主机之间创建了 UDP 连接插槽。下表介绍消息值：

• number - 唯一标识符
• interface, real_address, real_port - 实际套接字
• mapped_address and mapped_port - 映射套接字
• user - 用户的 AAA 名称
• idfw_user - 身份防火墙用户的名称

如果指定了入站，则从外部启动原控制连接。例如，对于 UDP 而言，如果原控制通道为入站，则所有数据传输通道均为入站。如果指定了出站，则从内部启动原控制连接。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302016: Teardown UDP connection number for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh :mm :ss bytes bytes [(user )]

说明：已删除两台主机之间的 UDP 连接插槽。下表介绍消息值：

• number - 唯一标识符
• interface, real_address, real_port - 实际套接字
• time - 连接生命周期
• bytes - 连接的数据传输
• id - 唯一标识符
• interface, real-address, real-port - 实际套接字
• duration - 连接生命周期
• bytes - 连接的数据传输
• user - 用户的 AAA 名称
• idfw_user - 身份防火墙用户的名称

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302017: Built {inbound|outbound} GRE connection id from interface :real_address (translated_address ) [(idfw_user )] to interface :real_address /real_cid (translated_address /translated_cid ) [(idfw_user )] [(user )

说明：两台主机之间创建了 GRE 连接插槽。id 是指唯一标识符。interface, real_address, real_cid 元组标识两个单工 PPTP GRE 流的其中一个。括号中的 translated_address, translated_cid 元组标识 NAT 的转换值。如果指示入站，则连接仅可用于入站。如果指示出站，则连接仅可用于出站。下表介绍消息值：

• id - 标识连接的唯一编号
• Inbound - 控制连接用于入站 PPTP GRE 流
• 出站 - 控制连接用于出站 PPTP GRE 流
• Interface_name - 接口名称
• real_address - 实际主机的 IP 地址
• real_cid - 有关连接的未转换调用 ID
• translated_address - 转换后的 IP 地址
• translated_cid - 已转换调用
• user - AAA 用户名
• idfw_user - 身份防火墙用户的名称

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302018: Teardown GRE connection id from interface :real_address (translated_address ) [(idfw_user )] to interface :real_address /real_cid (translated_address /translated_cid ) [(idfw_user )] duration hh :mm :ss bytes bytes [(user )]

说明：已删除两台主机之间的 GRE 连接插槽。interface, real_address, real_port 元组标识实际套接字。duration 标识连接生命周期。下表介绍消息值：

• id - 标识连接的唯一编号
• interface - 接口名称
• real_address - 实际主机的 IP 地址
• real_port - 实际主机的端口号。
• hh:mm:ss - 采用小时:分钟:秒钟格式的时间
• Bytes - GRE 会话中传输的 PPP 字节数
• reason - 连接终止原因
• user - AAA 用户名
• idfw_user - 身份防火墙用户的名称

建议的操作：无需执行任何操作。

错误消息 %ASA-3-302019: H.323 library_name ASN Library failed to initialize, error code number

说明：ASA用于解码 H.323 消息的指定 ASN 库初始化失败；ASA无法解码或检查正在接收的 H.323 数据包。ASA允许 H.323 数据包通过而无需任何修改。收到下一个 H.323 消息时，ASA将尝试重新初始化此库。

建议的操作：如果此消息一致针对特定库而生成，请联系思科 TAC 并向其提供所有日志消息（最好带时间戳）。

错误消息 %ASA-6-302020: Built {in | out} bound ICMP connection for faddr {faddr | icmp_seq_num } [(idfw_user )] gaddr {gaddr | icmp_type } laddr laddr [(idfw_user )] type {type } code {code }

说明：当使用 inspect icmp 命令启用状态 ICMP 时，系统在快速路径中建立了 ICMP 会话。下表介绍消息值：

• faddr - 指定外部主机的 IP 地址
• gaddr - 指定全局主机的 IP 地址
• laddr - 指定本地主机的 IP 地址
• idfw_user - 身份防火墙用户的名称
• user - 与启动连接的主机相关联的用户名
• Type - 指定 ICMP 类型
• code - 指定 ICMP 代码

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302021: Teardown ICMP connection for faddr {faddr | icmp_seq_num } [(idfw_user )] gaddr {gaddr | icmp_type } laddr laddr [(idfw_user )] type {type } code {code }

说明：当使用 inspect icmp 命令启用状态 ICMP 时，系统在快速路径中删除了 ICMP 会话。下表介绍消息值：

• faddr - 指定外部主机的 IP 地址
• gaddr - 指定全局主机的 IP 地址
• laddr - 指定本地主机的 IP 地址
• idfw_user - 身份防火墙用户的名称
• user - 与启动连接的主机相关联的用户名
• Type - 指定 ICMP 类型
• code - 指定 ICMP 代码

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302022: Built role stub TCP connection for interface :real-address /real-port (mapped-address /mapped-port ) to interface :real-address /real-port (mapped-address /mapped-port)

说明：已创建 TCP 导向器/备份/转发程序流。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302023: Teardown stub TCP connection for interface :real-address /real-port to interface :real-address /real-port duration hh:mm:ss forwarded bytes bytes reason

说明：已断开 TCP 导向器/备份/转发程序流。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302024: Built role stub UDP connection for interface :real-address /real-port (mapped-address /mapped-port ) to interface :real-address /real-port (mapped-address /mapped-port )

说明：已创建 UDP 导向器/备份/转发程序流。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302025: Teardown stub UDP connection for interface :real-address /real-port to interface :real-address /real-port duration hh:mm:ss forwarded bytes bytes reason

说明：已断开 UDP 导向器/备份/转发程序流。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302026: Built role stub ICMP connection for interface :real-address /real-port (mapped-address ) to interface :real-address /real-port (mapped-address )

说明：已创建 ICMP 导向器/备份/转发程序流。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302027: Teardown stub ICMP connection for interface :real-address /real-port to interface :real-address /real-port duration hh:mm:ss forwarded bytes bytes reason

说明：已断开 ICMP 导向器/备份/转发程序流。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302033:Pre-allocated H323 GUP Connection for faddr interface :foreign address /foreign-port to laddr interface :local-address /local-port

说明：已启动从外部地址到本地地址的 GUP 连接。远端端口（外部端口）仅显示在从安全设备外部启动的连接上。本地端口值（内部端口）仅显示在内部接口上启动的连接上。

• interface - 接口名称
• foreign-address - 外部主机的 IP 地址
• foreign-port - 外部主机的端口号
• local-address - 本地主机的 IP 地址
• local-port - 本地主机的端口号

建议的操作：无需执行任何操作。

错误消息 %ASA-4-302034: Unable to pre-allocate H323 GUP Connection for faddr interface :foreign address /foreign-port to laddr interface :local-address /local-port

说明：启动连接时，模块未能分配 RAM 系统内存或没有更多可用的地址转换插槽。

• interface - 接口名称
• foreign-address - 外部主机的 IP 地址
• foreign-port - 外部主机的端口号
• local-address - 本地主机的 IP 地址
• local-port - 本地主机的端口号

建议的操作：如果定期出现此消息，可以忽略。如果经常重复出现，请联系思科 TAC。您可以对比内部网络客户端数量来检查全局池的大小。或者，缩短转换和连接的超时间隔。此消息还可能由内存不足引起；请尝试降低内存使用量，或购买更多内存。

错误消息：%ASA-6-302035: Built {inbound|outbound} SCTP connection conn_id for outside_interface :outside_ip /outside_port (mapped_outside_ip /mapped_outside_port )[([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port (mapped_inside_ip /mapped_inside_port )[([inside_idfw_user ],[inside_sg_info ])] [(user )]

说明：未配置 SCTP 状态绕行时，系统记录有 SCTP 流创建。

• conn_id - 唯一的连接 ID
• outside_interface - 安全级别较低的接口
• outside_ip - ASA 安全级别较低端的主机的 IP 地址
• outside_port - ASA 安全级别较低端的主机的端口号
• mapped_outside_ip - ASA 安全级别较低端的主机的映射 IP 地址
• mapped_outside_port - ASA 安全级别较低端的主机的映射端口号
• outside_idfw_user - 与 ASA 安全级别较低端的主机关联的 IDFW 用户名
• outside_sg_info - 与 ASA 安全级别较低端的主机关联的 SGT 和 SG 名称
• inside_interface - 安全级别较高的接口
• inside_ip - ASA 安全级别较高端的主机的 IP 地址
• inside_port - ASA 安全级别较高端的主机的端口号
• mapped_inside_ip - ASA 安全级别较高端的主机的映射 IP 地址
• mapped_inside_port - ASA 安全级别较高端的主机的映射端口号
• inside_idfw_user - 与 ASA 安全级别较高端的主机关联的 IDFW 用户名
• inside_sg_info - 与 ASA 安全级别较高端的主机关联的 SGT 和 SG 名称
• user - 与启动连接的主机相关联的用户名

建议的操作：无需执行任何操作。

951 完整主题

错误消息：%ASA-6-302036: Teardown SCTP connection conn_id for outside_interface :outside_ip /outside_port [([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port [([inside_idfw_user ],[inside_sg_info ])] duration time bytes bytes reason [(user )]

说明：未配置 SCTP 状态绕行时，系统记录有 SCTP 流删除。

• conn_id - 唯一的连接 ID
• outside_interface - 安全级别较低的接口
• outside_ip - ASA 安全级别较低端的主机的 IP 地址
• outside_port - ASA 安全级别较低端的主机的端口号
• outside_idfw_user - 与 ASA 安全级别较低端的主机关联的 IDFW 用户名
• outside_sg_info - 与 ASA 安全级别较低端的主机关联的 SGT 和 SG 名称
• inside_interface - 安全级别较高的接口
• inside_ip - ASA 安全级别较高端的主机的 IP 地址
• inside_port - ASA 安全级别较高端的主机的端口号
• inside_idfw_user - 与 ASA 安全级别较高端的主机关联的 IDFW 用户名
• inside_sg_info - 与 ASA 安全级别较高端的主机关联的 SGT 和 SG 名称
• user - 与启动连接的主机相关联的用户名
• time - 流保持活动状态的时长，单位 hh:mm:ss
• bytes - 流传递的字节数
• reason - 连接断开的原因

建议的操作：无需执行任何操作。

错误消息 %ASA-3-302302: ACL = deny; no sa created

说明：已发生 IPsec 代理不匹配问题。协商 SA 的代理主机对应于拒绝访问列表命令策略。

建议的操作：检查配置中的访问列表命令语句。与对等体管理员联系。

错误消息 %ASA-6-302303: Built TCP state-bypass connection conn_id from initiator_interface :real_ip /real_port (mapped_ip /mapped_port ) to responder_interface :real_ip /real_port (mapped_ip /mapped_port )

说明：新 TCP 连接已创建，并且此连接是 TCP 状态绕行连接。这种连接类型绕过所有 TCP 状态检查以及其他安全检查和检测。

建议的操作：如果您需要通过所有正常的 TCP 状态检查以及所有其他安全检查和检测来保护 TCP 流量，您可以使用 no set connection advanced-options tcp-state-bypass 命令为 TCP 流量禁用此项功能。

错误消息 %ASA-6-302304: Teardown TCP state-bypass connection conn_id from initiator_interface :ip/port to responder_interface :ip/port duration , bytes , teardown reason .

说明：新 TCP 连接已断开，并且此连接是 TCP 状态绕行连接。这种连接类型绕过所有 TCP 状态检查以及其他安全检查和检测。

• duration - TCP 连接的持续时间
• bytes - 通过 TCP 连接传输的字节总数
• teardown reason - TCP 连接断开的原因

建议的操作：如果您需要通过所有正常的 TCP 状态检查以及所有其他安全检查和检测来保护 TCP 流量，您可以使用 no set connection advanced-options tcp-state-bypass 命令为 TCP 流量禁用此项功能。

错误消息：%ASA-6-302305: Built SCTP state-bypass connection conn_id for outside_interface :outside_ip /outside_port (mapped_outside_ip /mapped_outside_port )[([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port (mapped_inside_ip /mapped_inside_port )[([inside_idfw_user ],[inside_sg_info ])]

说明：已配置 SCTP 状态绕行时，系统记录有 SCTP 流创建。

• conn_id - 唯一的连接 ID
• outside_interface - 安全级别较低的接口
• outside_ip - ASA 安全级别较低端的主机的 IP 地址
• outside_port - ASA 安全级别较低端的主机的端口号
• mapped_outside_ip - ASA 安全级别较低端的主机的映射 IP 地址
• mapped_outside_port - ASA 安全级别较低端的主机的映射端口号
• outside_idfw_user - 与 ASA 安全级别较低端的主机关联的 IDFW 用户名
• outside_sg_info - 与 ASA 安全级别较低端的主机关联的 SGT 和 SG 名称
• inside_interface - 安全级别较高的接口
• inside_ip - ASA 安全级别较高端的主机的 IP 地址
• inside_port - ASA 安全级别较高端的主机的端口号
• mapped_inside_ip - ASA 安全级别较高端的主机的映射 IP 地址
• mapped_inside_port - ASA 安全级别较高端的主机的映射端口号
• inside_idfw_user - 与 ASA 安全级别较高端的主机关联的 IDFW 用户名
• inside_sg_info - 与 ASA 安全级别较高端的主机关联的 SGT 和 SG 名称

建议的操作：无需执行任何操作。

错误消息 %ASA-6-302306: Teardown SCTP state-bypass connection conn_id for outside_interface :outside_ip /outside_port [([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port [([inside_idfw_user ],[inside_sg_info ])] duration time bytes bytes reason

说明：已配置 SCTP 状态绕行时，系统记录有 SCTP 流删除。

• conn_id - 唯一的连接 ID
• outside_interface - 安全级别较低的接口
• outside_ip - ASA 安全级别较低端的主机的 IP 地址
• outside_port - ASA 安全级别较低端的主机的端口号
• outside_idfw_user - 与 ASA 安全级别较低端的主机关联的 IDFW 用户名
• outside_sg_info - 与 ASA 安全级别较低端的主机关联的 SGT 和 SG 名称
• inside_interface - 安全级别较高的接口
• inside_ip - ASA 安全级别较高端的主机的 IP 地址
• inside_port - ASA 安全级别较高端的主机的端口号
• inside_outside_ip - ASA 安全级别较高端的主机的映射 IP 地址
• inside_idfw_user - 与 ASA 安全级别较高端的主机关联的 IDFW 用户名
• inside_sg_info - 与 ASA 安全级别较高端的主机关联的 SGT 和 SG 名称
• time - 流保持活动状态的时长，单位 hh:mm:ss
• bytes - 流传递的字节数
• reason - 连接断开的原因

建议的操作：无需执行任何操作。

错误消息 %ASA-4-302311: Failed to create a new protocol connection from ingress interface:source IP/source port to egress interface:destination IP/destination port due to application cache memory allocation failure. The app-cache memory threshold level is threshold% and threshold check is enabled/disabled.

说明：由于应用缓存内存分配失败，无法创建新连接。失败的原因可能是系统内存不足或超过应用缓存内存阈值。

• protocol - 用于创建连接的协议的名称
• ingress interface - 接口名称

• source IP - 源 IP 地址

• source port - 源端口号

• egress interface - 接口名称

• destination IP - 目的地址

• destination port - 目的端口号

• threshold% - 内存阈值的百分比值

• enabled/disabled - 应用缓存内存阈值功能已启用/禁用

建议的操作：禁用设备上的内存密集型功能或减少通过机箱的连接数量。

错误消息 %ASA-6-303002: FTP connection from src_ifc :src_ip /src_port to dst_ifc :dst_ip /dst_port , user username action file filename

说明：客户端已从 FTP 服务器上传或下载文件。

• src_ifc - 客户端所在接口。
• src_ip - 客户端的 IP 地址。
• src_port - 客户端端口。
• dst_ifc - 服务器所在接口。
• dst_ip - FTP 服务器的 IP 地址。
• dst_port - 服务器端口。
• username - FTP 用户名。
• action - 存储或检索操作。
• Filename - 存储或检索的文件。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-303004: FTP cmd_string command unsupported - failed strict inspection, terminating connection from source_interface :source_address /source_port to dest_interface :dest_address/dest_interface

说明：已对 FTP 流量执行严格 FTP 检测，并且 FTP 请求消息包含设备无法识别的命令。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-303005: Strict FTP inspection matched match_string in policy-map policy-name , action_string from src_ifc :sip /sport to dest_ifc :dip /dport

说明：当 FTP 检测匹配以下任何配置值：文件名、文件类型、请求命令、服务器或用户名时，系统执行此消息中 action_string 指定的操作。

• match_string - 策略映射中的匹配语句
• policy-name - 匹配的策略映射
• action_string - 要采取的操作；例如重置连接
• src_ifc - 源接口名称
• sip - 源 IP 地址
• sport - 源端口
• dest_ifc - 目的接口名称
• dip - 目的 IP 地址
• dport - 目的端口

建议的操作：无需执行任何操作。

错误消息：%ASA-5-304001: user@source_address [(idfw_user )] Accessed URL dest_address : url .

说明：指定主机尝试访问指定的 URL。如果使用自定义 HTTP 策略映射启用 HTTP 检测，则可能显示以下消息。当 GET 请求数据包没有 hostname 参数时，系统将打印以下消息，而不打印 URI：%ASA-5-304001: client IP Accessed URL server ip:Hostname not present URI: URI。如果无法在单个系统日志中打印较大的 URI，则可以将其在任意位置截断，只打印部分 URI。例如，要将 URL 分成多个数据块并予以记录时，系统将打印以下消息：%ASA-5-304001: client IP Accessed URL server ip: http(/ftp)://hostname/URI_CHUNK1 partial%ASA-5-304001: client IP Accessed URL server ip: partial URI_CHUNK1 partial............%ASA-5-304001: client IP Accessed URL server ip: partial URI_CHUNKn。URI 限制为 1024 字节。如果在开始或结束时当前数据包包含部分 URI，请参阅上述解释内容。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-304002: Access denied URL chars SRC IP_address [(idfw_user )] DEST IP_address : chars

说明：从源地址到指定 URL 或 FTP 站点的访问被拒绝。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-304003: URL Server IP_address timed out URL url

说明：URL 服务器超时。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-304004: URL Server IP_address request failed URL url

说明：Websense 服务器请求失败。

建议的操作：无需执行任何操作。

错误消息 %ASA-7-304005: URL Server IP_address request pending URL url

说明：Websense 服务器请求处于待处理状态。

建议的操作：无需执行任何操作。

错误消息：%ASA-3-304006: URL Server IP_address not responding

说明：Websense 服务器不可访问，并且 ASA 将尝试继续访问该服务器（如果只安装了这一个服务器）或尝试访问其他服务器（如果安装了多个服务器）。

建议的操作：无需执行任何操作。

错误消息：%ASA-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.

说明：您使用了 filter 命令的 allow 选项，但 Websense 服务器未响应。ASA 允许在服务器不可用时继续处理所有 Web 请求而不对其进行过滤。

建议的操作：无需执行任何操作。

错误消息：%ASA-2-304008: LEAVING ALLOW mode, URL Server is up.

说明：您使用了 filter 命令的 allow 选项，并且 ASA 从之前未响应的 Websense 服务器接收了响应消息。收到此响应消息后，ASA 退出允许模式，从而将再次启用 URL 过滤功能。

建议的操作：无需执行任何操作。

错误消息：%ASA-7-304009: Ran out of buffer blocks specified by url-block command

说明：URL 待处理缓冲区块空间用尽。

建议的操作：输入 url-block block block_size 命令，更改缓冲区块的大小。

错误消息：%ASA-3-305005: No translation group found for protocol src interface_name: source_address/source_port [(idfw_user )] dst interface_name: dest_address /dest_port [(idfw_user )]

说明：数据包与任何出站 nat 命令规则都不匹配。如果未为指定的源和目的系统配置 NAT，系统将经常生成该消息。

建议的操作：此消息表示配置错误。如果源主机需要动态 NAT，请确保 nat 命令与源 IP 地址匹配。如果源主机需要静态 NAT，请确保 static 命令的本地 IP 地址匹配。如果源主机不需要 NAT，请检查与 NAT 0 ACL 绑定的 ACL。

错误消息 %ASA-3-305006: {outbound static|identity|portmap|regular) translation creation failed for protocol src interface_name:source_address/source_port [(idfw_user )] dst interface_name:dest_address/dest_port [(idfw_user )]

说明：协议（UDP、TCP 或 ICMP）通过 ASA创建转换失败。ASA不允许发送至网络或广播地址的数据包通过。ASA为静态命令明确标识的地址提供此项检查。对于入站流量，ASA拒绝转换标识为网络或广播地址的 IP 地址。

ASA不会将 PAT 应用于所有 ICMP 消息类型；它仅适用于 PAT ICMP 回应和回应应答数据包（类型 8 和 0）。具体而言，仅 ICMP 回应或回应应答数据包创建 PAT 转换。因此，当丢弃其他 ICMP 消息类型时，系统将生成此消息。

ASA使用全局 IP 地址和已配置静态命令中的掩码来区分常规 IP 地址和网络或广播 IP 地址。如果全局 IP 地址是有效的网络地址并带有匹配的网络掩码，则 ASA不会使用入站数据包为网络或广播 IP 地址创建转换。

例如：

static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128

ASA将全局地址 10.2.2.128 视为网络地址作出响应，将 10.2.2.255 视为广播地址作出响应。在无现有转换的情况下，ASA会拒绝发送至 10.2.2.128 或 10.2.2.255 的入站数据包，并记录此消息。

当可疑 IP 地址是主机 IP 地址时，在子网 static 命令前面使用主机掩码配置单独的静态命令（静态命令的第一条匹配规则）。以下 static 命令使 ASA将 10.2.2.128 视为主机地址作出相应：

static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128

转换可能由从内部主机开始的流量使用相应 IP 地址创建。由于 ASA将网络或广播 IP 地址视为包含重叠子网静态配置的主机 IP 地址，因此两个 static 命令的网络地址转换必须相同。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number

说明：ASA 已尝试转换在其任何全局池中均找不到的地址。ASA 假定该地址已删除并丢弃该请求。

建议的操作：无需执行任何操作。

错误消息：%ASA-3-305008: Free unallocated global IP address.

说明：尝试将未分配的全局 IP 地址释放回地址池时，ASA 内核检测到不一致情况。如果 ASA 正在运行状态故障切换设置，并且在主用设备和备用设备之间某些内部状态暂时不同步，则可能会出现此异常情况。这种情况不是致命错误，并且同步功能会自动恢复。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-6-305009: Built {dynamic|static} translation from interface_name [(acl-name)]:real_address [(idfw_user )] to interface_name :mapped_address

说明：已创建地址转换插槽。此插槽将源地址从本地端转换到全局端。相反地，此插槽将目的地址从全局端转换到本地端。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-305010: Teardown {dynamic|static} translation from interface_name :real_address [(idfw_user )] to interface_name :mapped_address duration time

说明：已删除地址转换插槽。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name :real_address/real_port [(idfw_user )] to interface_name :mapped_address/mapped_port

说明：已创建 TCP、UDP 或 ICMP 地址转换插槽。此插槽将源套接字从本地端转换到全局端。相反地，此插槽将目的套接字从全局端转换到本地端。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name [(acl-name )]:real_address /{real_port |real_ICMP_ID } [(idfw_user )] to interface_name :mapped_address /{mapped_port |mapped_ICMP_ID } duration time

说明：已删除地址转换插槽。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name :source_address /source_port [(idfw_user )] dst interface_name :dst_address /dst_port [(idfw_user )] denied due to NAT reverse path failure.

说明：已拒绝尝试连接到使用实际地址的映射主机。

建议的操作：与使用 NAT 的主机不在相同接口上时，使用映射地址而不是实际地址连接到主机。此外，如果此应用嵌入 IP 地址，则启用 inspect 命令。

错误消息 %ASA-6-305014: %d: Allocated %s block of ports for translation from %s:%B to %s:%B/%d-%d\n.

说明：配置 CGNAT“块分配”时，系统将生成这条有关新端口块分配的系统日志。

建议的操作：无。

错误消息 %ASA-3-305016: Unable to create protocol connection from real_interface :real_host_ip /real_source_port to real_dest_interface :real_dest_ip /real_dest_port due to reason .

说明：主机已达到每台主机最大端口块限值或端口块已耗尽。

• reason - 可能是以下任一原因：
  • 已达到每台主机的 PAT 端口块限值
  • PAT 池中的端口块耗尽

建议的操作：对于达到每台主机的 PAT 端口块限值的情形，请输入以下命令查看每台主机的最大块限值：

xlate block-allocation maximum-per-host 4

对于 PAT 池中端口块耗尽的情形，建议扩大池大小。同时，输入以下命令，查看块大小：

xlate block-allocation size 512

错误消息 %ASA-3-305017: Pba-interim-logging: Active ICMP block of ports for translation from <source device IP> to <destination device IP>/<Active Port Block>

说明：当 CGNAT 临时日志记录功能打开时，此系统日志指定当时从特定源 IP 地址到目标 IP 地址的活动端口块。

建议的操作：无。

错误消息 %ASA-6-305018: MAP translation from src_ifc:src_ip/src_port-dst_ifc:dst_ip/dst_port to src_ifc:translated_src_ip/src_port-dst_ifc:translated_dst_ip/dst_port

说明：MAP 样式地址转换已应用于正在建立的连接，源和目标已转换

示例：

%ASA-6-305018: MAP translation from inside:2001:DB8:0000:0000:0000:0000:0000:0002/57964-outside:2001:DB8:FFFF:0000:0000:0000:0000:0001/22 to inside:192.168.101.210/57964-outside:192.168.100.203/22

建议的操作：无。

错误消息 %ASA-3-305019: MAP node address ip/port has inconsistent Port Set ID encoding

说明：数据包中的地址与 MAP 基本映射规则相匹配（意味着需要转换），但地址中编码的端口集 ID 不一致（根据 RFC7599）。这可能是由于发起此数据包的 MAP 节点上发生软件故障。

示例

%ASA-3-305019: MAP node address 2001:DB8:0000:FFFF:0000:0000:0000:0002/57964 has inconsistent Port Set ID encoding

建议的操作：无。

错误消息 %ASA-3-305020: MAP node with address ip is not allowed to use port port\n

说明：数据包中的地址与 MAP 基本映射规则相匹配（意味着它需要转换），但关联端口不在分配给此地址的范围内。这可能意味着发起此数据包的 MAP 节点配置有误。

示例：

%ASA-3-305020: MAP node with address 2001:DB8:0000:0000:0000:0000:0000:0002 is not allowed to use port 37964\n

建议的操作：无。

错误消息 %ASA-6-308001: console enable password incorrect for number tries (from IP_address )

说明：这是一条 ASA管理消息。用户在尝试进入特权模式时错误输入密码达到指定次数后，系统将显示此消息。最大尝试次数是三次。

建议的操作：验证密码，然后重试。

错误消息 %ASA-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address

说明：一个或多个静态命令语句中的 IP 地址重叠。global_address 是全局地址，即较低安全性接口上的地址；inside_address 是本地地址，即较高安全级别接口上的地址。

建议的操作：使用 show static 命令查看配置中的 static 命令语句并修复重叠命令。最常见的重叠现象是指定网络地址（例如 10.1.1.0），并且在另一个 static 命令中指定此范围内的主机（例如 10.1.1.5）。

错误消息 %ASA-4-308003: WARNING: The enable password is not configured

说明：进入启用模式（权限级别 2 或更高级别）时，如果尚未设置启用密码，则必须配置权限级别 15 的启用密码。

建议的操作：设置启用密码。允许的密码长度介于 3 到 15 之间。

错误消息 %ASA-4-308004: The enable password has been configured by user admin

说明：您已首次配置启用密码。修改现有启用密码时，不会显示此消息。

建议的操作：无。

错误消息 %ASA-6-311001: LU loading standby start

说明：当备用 ASA首次联机时，状态故障切换更新信息就已发送到备用 ASA。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-311002: LU loading standby end

说明：状态故障切换更新信息停止发送到备用 ASA。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-311003: LU recv thread up

说明：已从备用 ASA收到更新确认消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-311004: LU xmit thread up

说明：状态故障切换更新已传输到备用 ASA。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-312001: RIP hdr failed from IP_address : cmd=string , version=number domain=string on interface interface_name

说明：ASA收到了一条不同于应答的包含操作代码的 RIP 消息，此消息的版本号不同于此接口上的预期版本号，并且路由域条目数值为非零值。另一台 RIP 设备可能配置不正确，无法与 ASA通信。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-313001: Denied ICMP type=number , code=code from IP_address on interface interface_name

说明：使用带访问列表的 icmp 命令时，如果第一个匹配的条目是允许条目，则 ICMP 数据包将继续处理。如果第一个匹配的条目是拒绝条目或者条目不匹配，ASA会丢弃 ICMP 数据包并生成此消息。icmp 命令启用或禁用对接口执行 ping 操作。禁用 ping 命令后，在网络上无法检测到 ASA。此功能也称为可配置的代理 ping。

建议的操作：联系对等体管理员。

错误消息 %ASA-4-313004:Denied ICMP type=icmp_type , from source_address on interface interface_name to dest_address :no matching session

说明：ICMP 数据包已被 ASA丢弃，这是因为状态 ICMP 功能增设了安全检查，通常是不包含跨 ASA传递的有效回应请求的 ICMP 回应应答，或与已在 ASA中建立的任何 TCP、UDP 或 ICMP 会话无关的 ICMP 错误消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-313005: No matching connection for ICMP error message: icmp_msg_info on interface_name interface. Original IP payload: embedded_frame_info icmp_msg_info = icmp src src_interface_name :src_address [([idfw_user | FQDN_string ], sg_info )] dst dest_interface_name :dest_address [([idfw_user | FQDN_string ], sg_info )] (type icmp_type, code icmp_code ) embedded_frame_info = prot src source_address /source_port [([idfw_user | FQDN_string ], sg_info )] dst dest_address /dest_port [(idfw_user |FQDN_string ), sg_info ]

说明：由于 ICMP 错误消息与已在 ASA中建立的任何会话无关，因此 ASA已丢弃 ICMP 错误数据包。

建议的操作：如果是因为受到攻击，则可以使用 ACL 拒绝主机。

错误消息 %ASA-3-313008: Denied ICMPv6 type=number , code=code from IP_address on interface interface_name

说明：使用带访问列表的 icmp 命令时，如果第一个匹配的条目是允许条目，则 ICMPv6 数据包将继续处理。如果第一个匹配的条目是拒绝条目或者条目不匹配，ASA会丢弃 ICMPv6 数据包并生成此消息。

icmp 命令启用或禁用对接口执行 ping 操作。禁用 ping 命令时，无法在网络上检测到 ASA。此功能也称为“可配置的代理 ping”。

建议的操作：联系对等体管理员。

错误消息 %ASA-4-313009: Denied invalid ICMP code icmp-code , for src-ifc :src-address /src-port (mapped-src-address/mapped-src-port) to dest-ifc :dest-address /dest-port (mapped-dest-address/mapped-dest-port) [user ], ICMP id icmp-id , ICMP type icmp-type

说明：已收到带错误格式代码（非零）的 ICMP 回应请求/应答数据包。

建议的操作：如果是间歇性事件，则无需执行任何操作。如果是因为受到攻击，则可以使用 ACL 拒绝主机。

错误消息 %ASA-6-314001: Pre-allocated RTSP UDP backconnection for src_intf :src_IP to dst_intf :dst_IP /dst_port.

说明：ASA为正在从服务器接收数据的 RTSP 客户端打开了 UDP 媒体通道。

• src_intf - 源接口名称
• src_IP - 源接口 IP 地址
• dst_intf - 目的接口名称
• dst_IP - 目的 IP 地址
• dst_port - 目的端口

建议的操作：无需执行任何操作。

错误消息 %ASA-6-314002: RTSP failed to allocate UDP media connection from src_intf :src_IP to dst_intf :dst_IP /dst_port : reason_string.

说明：ASA无法为媒体通道打开新针孔。

• src_intf - 源接口名称
• src_IP - 源接口 IP 地址
• dst_intf - 目的接口名称
• dst_IP - 目的 IP 地址
• dst_port - 目的端口
• reason_string - 针孔已经存在/未知

建议的操作：原因未知时，运行 show memory 命令检查空余内存，或运行 show conn 命令检查使用的连接数，因为 ASA内存不足。

错误消息 %ASA-6-314003: Dropped RTSP traffic from src_intf :src_ip due to: reason.

说明：RTSP 消息违反了用户配置的 RTSP 安全策略，因为可能是它包含保留端口范围内的某个端口，或包含长度大于最大允许限制的 URL。

• src_intf - 源接口名称
• src_IP - 源接口 IP 地址
• reason - 原因可能是以下任意一项：

- 终端在从 0 到 1024 的保留端口范围内协商媒体端口。

- url length 字节的 URL 长度超出最大的 url length limit 字节数

建议的操作：调查 RTSP 客户端为什么发送违反安全策略的消息。如果请求的 URL 是合法的，您可以在 RTSP 策略映射中指定更长的 URL 长度限制来放宽策略。

错误消息 %ASA-6-314004: RTSP client src_intf:src_IP accessed RTSP URL RTSP URL

说明：RTSP 客户端尝试访问 RTSP 服务器。

• src_intf - 源接口名称
• src_IP - 源接口 IP 地址
• RTSP URL - RTSP 服务器 URL

建议的操作：无需执行任何操作。

错误消息：%ASA-6-314005: RTSP client src_intf:src_IP denied access to URL RTSP_URL.

说明：RTSP 客户端尝试访问禁止的站点。

• src_intf - 源接口名称
• src_IP - 源接口 IP 地址
• RTSP_URL - RTSP 服务器 URL

建议的操作：无需执行任何操作。

错误消息：%ASA-6-314006: RTSP client src_intf:src_IP exceeds configured rate limit of rate for request_method messages.

说明：特定 RTSP 请求消息超出了 RTSP 策略配置的频率限制。

• src_intf - 源接口名称
• src_IP - 源接口 IP 地址
• rate - 配置的频率限制
• request_method - 请求消息的类型

建议的操作：调查客户端发送的特定 RTSP 请求消息为什么超出了频率限制。

错误消息：%ASA-3-315004: Fail to establish SSH session because RSA host key retrieval failed.

说明：ASA 找不到 RSA 主机密钥，而建立 SSH 会话时需要用到该密钥。ASA 主机密钥可能不存在，这是因为系统未生成 ASA 主机密钥，或者此 ASA 的许可证不允许 DES 或 3DES 加密。

建议的操作：在 ASA 控制台中，输入 show crypto key mypubkey rsa 命令以验证 RSA 主机密钥是否存在。如果主机密钥不存在，请输入 show version 命令以验证是否允许 DES 或 3DES。如果存在 RSA 主机密钥，请重新启动 SSH 会话。要生成 RSA 主机密钥，请输入 crypto key mypubkey rsa 命令。

错误消息：%ASA-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason

说明：SSH 会话已结束。如果用户输入 quit 或 exit，系统会显示 terminated normally 消息。用户名在无效或未知时隐藏，但在有效或配置了 no logging hide username 命令时显示。如果会话由于其他原因而断开连接，则文本会描述相应原因。下表列出了会话断开连接的可能原因。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-315012: Weak SSH type (alg) provided from client IP_address on interface Int. Connection failed. Not FIPS 140-2 compliant.

说明：在 FIPS 140-2 认证过程中，启用 FIPS 后，只能使用 aes128-cbc 或 aes256-cbc 作为密码并使用 SHA1 作为 MAC，以启动 SSH 连接。使用不可接受的密码或 MAC 时，系统将生成此系统日志。如果禁用 FIPS 模式，系统将不会显示此系统日志。

• type - 密码或 MAC
• alg - 不可接受的密码或 MAC 的名称
• IP_address - 客户端的 IP 地址
• int - 客户端尝试连接的接口

建议的操作：提供可接受的密码或 MAC

错误消息：%ASA-6-315013: SSH session from <SSH client address> on interface <interface name> for user “<user name>" rekeyed successfully.

说明：此系统日志表示，已成功完成 SSH 密钥更新。这是通用标准认证要求。

• SSH_client_address - 客户端的 IP 地址
• interface_name - 客户端尝试连接的接口
• user_name - 与该会话关联的用户名

建议的操作：无

错误消息 %ASA-3-316001: Denied new tunnel to IP_address . VPN peer limit (platform_vpn_peer_limit) exceeded

说明：如果尝试同时建立的 VPN 隧道 (ISAKMP/IPsec) 的数量超出平台 VPN 对等体支持的范围，则超出部分的隧道将会中止。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-316002: VPN Handle error: protocol=protocol , src in_if_num :src_addr , dst out_if_num :dst_addr

说明：由于 VPN 句柄已存在，因此 ASA无法创建 VPN 句柄。

• protocol - VPN 流协议
• in_if_num - VPN 流的入口接口数
• src_addr - VPN 流的源 IP 地址
• out_if_num - VPN 流的出口接口数
• dst_addr - VPN 流的目的 IP 地址

建议的操作：正常操作期间可能出现此消息；但是，如果此消息重复出现，并且基于 VPN 的应用发生重大故障，则可能是因为存在软件缺陷。输入以下命令收集更多信息，并联系思科 TAC 进一步调查该问题：

capture
 name
 type asp-drop vpn-handle-error
show asp table classify crypto detail
show asp table vpn-context

错误消息 %ASA-3-317001: No memory available for limit_slow

说明：请求的操作因内存不足而失败。

建议的操作：减少其他系统活动，从而降低内存需求。如果条件得到保证，则升级到更大内存配置。

错误消息 %ASA-3-317002: Bad path index of number for IP_address , number max

说明：发生了软件错误。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-317003: IP routing table creation failure - reason

说明：发生了内部软件错误，阻碍了新 IP 路由表的创建。

建议的操作：按照显示正确复制此消息，并将其报告给思科 TAC。

错误消息 %ASA-3-317004: IP routing table limit warning

说明：指定 IP 路由表中的路由数量已达到配置的警告限制。

建议的操作：减少表中的路由数量，或重新配置限制。

错误消息 %ASA-3-317005: IP routing table limit exceeded - reason , IP_address netmask

说明：更多路由将添加到路由表中。

建议的操作：减少表中的路由数量，或重新配置限制。

错误消息 %ASA-3-317006: Pdb index error pdb , pdb_index , pdb_type

说明：PDB 的索引超出范围。

• pdb - 协议描述符块，PDB 索引错误的描述符
• pdb_index - PDB 索引标识符
• pdb_type - PDB 索引错误类型

建议的操作：如果问题依然存在，则按照控制台或系统日志中的显示正确复制此错误消息，然后联系思科 TAC，并向代表提供所收集的信息。

错误消息 %ASA-6-317007: Added route_type route dest_address netmask via gateway_address [distance /metric ] on interface_name route_type

说明：已向路由表添加新路由。

路由协议类型：

C - 已连接，S - 静态，I - IGRP，R - RIP，M - 移动

B – BGP，D – EIGRP，EX - EIGRP 外部，O - OSPF

IA - OSPF 中间区域，N1 - OSPF NSSA 外部类型 1

N2 - OSPF NSSA 外部类型 2，E1 - OSPF 外部类型 1

E2 - OSPF 外部类型 2，E – EGP，i - IS-IS，L1 - IS-IS 级别-1

L2 - IS-IS 级别 2，ia - IS-IS 中间区域

• dest_address - 此路由的目的网络
• netmask - 目的网络的网络掩码
• gateway_address - 进入目的网络所使用的网关地址
• distance - 此路由的管理距离
• metric - 此路由的度量
• Interface_name - 用于路由流量的网络接口的名称

建议的操作：无需执行任何操作。

错误消息 %ASA-6-317008: Deleted route_type route dest_address netmask via gateway_address [distance /metric ] on interface_name route_type

说明：已从路由表删除新路由。

路由协议类型：

C - 已连接，S - 静态，I - IGRP，R - RIP，M - 移动

B – BGP，D – EIGRP，EX - EIGRP 外部，O - OSPF

IA - OSPF 中间区域，N1 - OSPF NSSA 外部类型 1

N2 - OSPF NSSA 外部类型 2，E1 - OSPF 外部类型 1

E2 - OSPF 外部类型 2，E – EGP，i - IS-IS，L1 - IS-IS 级别-1

L2 - IS-IS 级别 2，ia - IS-IS 中间区域

• dest_address - 此路由的目的网络
• netmask - 目的网络的网络掩码
• gateway_address - 进入目的网络所使用的网关地址
• distance - 此路由的管理距离
• metric - 此路由的度量
• Interface_name - 用于路由流量的网络接口的名称

建议的操作：无需执行任何操作。

错误消息 %ASA-3-317012: Interface IP route counter negative - nameif-string-value

说明：指示接口路由计数是负值。

• nameif-string-value - 通过 nameif 命令指定的接口名称

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318001: Internal error: reason

说明：发生了内部软件错误。此消息每五秒钟显示一次。

建议的操作：按照显示正确复制此消息，并将其报告给思科 TAC。

错误消息 %ASA-3-318002: Flagged as being an ABR without a backbone area

说明：路由器已被标记为区域边界路由器且未在路由器中配置主干区域。此消息每五秒钟显示一次。

建议的操作：重新启动 OSPF 进程。

错误消息 %ASA-3-318003: Reached unknow n state in neighbor state machine

说明：发生了内部软件错误。此消息每五秒钟显示一次。

建议的操作：按照显示正确复制此消息，并将其报告给思科 TAC。

错误消息 %ASA-3-318004: area string lsid IP_address mask netmask adv IP_address type number

说明：OSPF 进程在查找链路状态通告时遇到问题，这可能导致内存泄漏。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-318005: lsid ip_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number

说明：OSPF 发现了其数据库与 IP 路由表之间存在不一致。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-318006: if interface_name if_state number

说明：发生了内部错误。

建议的操作：按照显示正确复制此消息，并将其报告给思科 TAC。

错误消息 %ASA-3-318007: OSPF is enabled on interface_name during idb initialization

说明：发生了内部错误。

建议的操作：按照显示正确复制此消息，并将其报告给思科 TAC。

错误消息 %ASA-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id

说明：正在重置 OSPF 进程，并将选择新的路由器 ID。此操作将关闭所有虚拟链路。

建议的操作：更改所有虚拟链路邻居上的虚拟链路配置，以反映新的路由器 ID。

错误消息 %ASA-3-318009: OSPF: Attempted reference of stale data encountered in function , line: line_num

说明：OSPF 正在运行且已尝试引用其他位置已删除的某些相关数据结构。清除接口和路由器配置可能会解决该问题。但是，如果出现此消息，某些步骤序列会导致过早删除数据结构，因此需要对此进行调查。

• function - 已接收意外事件的功能
• line_num - 代码中的行编号

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-318101: Internal error: REASON

说明：发生了内部软件错误。

• REASON - 事件的详细原因

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318102: Flagged as being an ABR without a backbone area

说明：路由器已被标记为区域边界路由器 (ABR) 且未在路由器中配置主干区域。

建议的操作：重新启动 OSPF 进程。

错误消息 %ASA-3-318103: Reached unknown state in neighbor state machine

说明：发生了内部软件错误。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318104: DB already exist: area AREA_ID_STR lsid i adv i type 0x x

说明：OSPF 在查找 LSA 时遇到问题，这可能导致内存泄漏。

• AREA_ID_STR - 表示区域的字符串
• i - 整数值
• x - 整数值的十六进制表示

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318105: lsid i adv i type 0x x gateway i metric d network i mask i protocol #x attr #x net-metric d

说明：OSPF 发现了其数据库与 IP 路由表之间存在不一致。

• i - 整数值
• x - 整数值的十六进制表示
• d - 编号

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318106: if IF_NAME if_state d

说明：发生了内部错误。

• IF_NAME - 受影响接口的名称
• d - 编号

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318107: OSPF is enabled on IF_NAME during idb initialization

说明：发生了内部错误。

• IF_NAME - 受影响接口的名称

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318108: OSPF process d is changing router-id. Reconfigure virtual link neighbors with our new router-id

说明：正在重置 OSPF 进程，并将选择新的路由器 ID，这会关闭所有虚拟链路。要使虚拟链路重新正常工作，需要更改所有虚拟链路邻居上的虚拟链路配置。

• d - 表示进程 ID 的编号

建议的操作：更改所有虚拟链路邻居上的虚拟链路配置，以包含新的路由器 ID。

错误消息 %ASA-3-318109: OSPFv3 has received an unexpected message: 0x / 0x

说明：OSPFv3 已收到意外进程间消息。

• x - 整数值的十六进制表示

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318110: Invalid encrypted key s .

说明：指定加密密钥无效。

• s - 表示加密密钥的字符串

建议的操作：指定明文密钥并输入 service password-encryption 命令进行加密，或确保指定加密密钥有效。如果指定加密密钥无效，则系统将在系统配置期间显示错误消息。

错误消息 %ASA-3-318111: SPI u is already in use with ospf process d

说明：已尝试使用先前使用过的 SPI。

• u - 表示 SPI 的编号
• d - 表示进程 ID 的编号

建议的操作：选择其他 SPI。

错误消息 %ASA-3-318112: SPI u is already in use by a process other than ospf process d .

说明：已尝试使用先前使用过的 SPI。

• u - 表示 SPI 的编号
• d - 表示进程 ID 的编号

建议的操作：选择其他 SPI。输入 show crypto ipv6 ipsec sa 命令查看正在使用的 SPI 的列表。

错误消息 %ASA-3-318113: s s is already configured with SPI u .

说明：已尝试使用先前使用过的 SPI。

• s - 表示接口的字符串
• u - 表示 SPI 的编号

建议的操作：首先取消配置 SPI，或选择其他 SPI。

错误消息 %ASA-3-318114: The key length used with SPI u is not valid

说明：密钥长度不正确。

• u - 表示 SPI 的编号

建议的操作：选择有效的 IPsec 密钥。IPsec 身份验证密钥的长度必须为 32 个 (MD5) 或 40 个 (SHA-1) 十六进制数字。

错误消息 %ASA-3-318115: s error occured when attempting to create an IPsec policy for SPI u

说明：已发生 IPsec API（内部）错误。

• s - 表示错误的字符串
• u - 表示 SPI 的编号

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318116: SPI u is not being used by ospf process d .

说明：已尝试取消配置不用于 OSPFv3 的 SPI。

• u - 表示 SPI 的编号
• d - 表示进程 ID 的编号

建议的操作：输入 show 命令查看 OSPFv3 使用的 SPI。

错误消息 %ASA-3-318117: The policy for SPI u could not be removed because it is in use.

说明：已尝试删除用于所指示 SPI 的策略，但安全套接字依然在使用此策略。

• u - 表示 SPI 的编号

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318118: s error occured when attemtping to remove the IPsec policy with SPI u

说明：已发生 IPsec API（内部）错误。

• s - 表示指定错误的字符串
• u - 表示 SPI 的编号

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318119: Unable to close secure socket with SPI u on interface s

说明：已发生 IPsec API（内部）错误。

• u - 表示 SPI 的编号
• s - 表示指定接口的字符串

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318120: OSPFv3 was unable to register with IPsec

说明：发生了内部错误。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318121: IPsec reported a GENERAL ERROR: message s , count d

说明：发生了内部错误。

• s - 表示指定消息的字符串
• d - 表示所生成消息总数的数字

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318122: IPsec sent a s message s to OSPFv3 for interface s . Recovery attempt d

说明：发生了内部错误。系统正在尝试重新打开安全套接字并进行恢复。

• s - 表示指定消息和指定接口的字符串
• d - 代表恢复尝试总次数的数字

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318123: IPsec sent a s message s to OSPFv3 for interface IF_NAME . Recovery aborted

说明：发生了内部错误。已超出最大恢复尝试次数。

• s - 表示指定消息的字符串
• IF_NAME - 指定接口

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318125: Init failed for interface IF_NAME

说明：接口初始化失败。可能的原因包括：

• 接口连接的区域正在被删除。
• 无法创建链路范围数据库。
• 无法为本地路由器创建邻居数据块。

建议的操作：删除初始化接口的配置命令，然后重试。

错误消息 %ASA-3-318126: Interface IF_NAME is attached to more than one area

说明：接口位于接口所连接区域之外的区域的接口列表上。

• IF_NAME - 指定接口

建议的操作：无需执行任何操作。

错误消息 %ASA-3-318127: Could not allocate or find the neighbor

说明：发生了内部错误。

建议的操作：无需执行任何操作。

错误消息：%ASA-3-319001: Acknowledge for arp update for IP address dest_address not received (number ).

说明：由于 ASA 过载，ASA 中的 ARP 进程失去了内部同步。

建议的操作：无需执行任何操作。此故障只是暂时的。检查 ASA 的平均负载，并确保在使用时不超出其负载能力。

错误消息：%ASA-3-319002: Acknowledge for route update for IP address dest_address not received (number ).

说明：由于 ASA 过载，ASA 中的路由模块失去了内部同步。

建议的操作：无需执行任何操作。此故障只是暂时的。检查 ASA 的平均负载，并确保在使用时不超出其负载能力。

错误消息：%ASA-3-319003: Arp update for IP address address to NPn failed.

说明：当 ARP 条目必须更新时，系统会向网络处理器 (NP) 发送消息以更新内部 ARP 表。如果该模块遇到内存使用率较高的情况或内部表已满，系统可能会拒绝向 NP 发送消息并生成此消息。

建议的操作：验证 ARP 表是否已满。如果 ARP 表未满，请查看 CPU 使用率和每秒连接数，检查该模块的负载。如果 CPU 使用率太高和/或每秒的连接数太多，则当负载恢复正常时，系统也将恢复正常运行。

错误消息：%ASA-3-319004: Route update for IP address dest_address failed (number ).

说明：由于系统过载，ASA 中的路由模块失去了内部同步。

建议的操作：无需执行任何操作。此故障只是暂时的。检查系统的平均负载，并确保在使用时不超出其负载能力。

错误消息 %ASA-3-320001: The subject name of the peer cert is not allowed for connection

说明：当 ASA是 Easy VPN 远程设备或服务器时，对等体证书包含与 ca verifycertdn 命令输出不匹配的使用者名称。可能发生了中间人攻击，有设备伪造对等体 IP 地址并试图拦截来自 ASA VPN 连接。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-321001: Resource var1 limit of var2 reached.

说明：已达到所指示资源的配置资源使用量或频率限制。

建议的操作：无需执行任何操作。

错误消息 %ASA-5-321002: Resource var1 rate limit of var2 reached.

说明：已达到所指示资源的配置资源使用量或频率限制。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-321003: Resource var1 log level of var2 reached.

说明：已达到所指示资源的配置资源使用量或速率记录级别。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-321004: Resource var1 rate log level of var2 reached

说明：已达到所指示资源的配置资源使用量或速率记录级别。

建议的操作：无需执行任何操作。

错误消息 %ASA-2-321005: System CPU utilization reached utilization %

说明：系统 CPU 使用率已达到 95% 或以上，而且这种情况已持续 5 分钟。

• utilization % - 当前 CPU 使用率百分比

建议的操作：如果此消息定期出现，则可以忽略。如果此消息频繁出现，请检查 show cpu 命令的输出并验证 CPU 使用率。如果使用率过高，请联系思科 TAC。

错误消息 %ASA-2-321006: System memory usage reached utilization %

说明：系统内存使用率达到 80% 或以上，而且这种情况已持续 5 分钟。

• utilization % - 当前内存使用率百分比

建议的操作：如果此消息定期出现，则可以忽略。如果此消息频繁出现，请检查 show memory 命令的输出并验证内存使用率。如果使用率过高，请联系思科 TAC。

错误消息 %ASA-3-321007: System is low on free memory blocks of size block_size (free_blocks CNT out of max_blocks MAX)

说明：系统空闲内存块不足。内存块耗尽可能会导致流量中断。

• block_size - 内存块大小（例如 4、1550、8192）
• free_blocks - 空闲块数量，使用 show blocks 命令后可在 CNT 列查看
• max_blocks - 系统可以分配的块的最大数量，使用 show blocks 命令后可在 MAX 列查看

建议的操作：使用 show blocks 命令，在所指示块大小的输出的 CNT 列中，监控空闲块数量。如果 CNT 列保持零值，或长时间接近零值，则 ASA可能已过载或遇到了其他需要深入调查的问题。

错误消息 %ASA-3-322001: Deny MAC address MAC_address, possible spoof attempt on interface interface

说明：ASA从指定接口上的违规 MAC 地址收到了数据包，但是数据包中的源 MAC 地址与配置中的其他接口静态绑定。原因可能是发生了 MAC 欺骗攻击或配置错误。

建议的操作：检查配置并采取适当操作，即查找违规主机或校正配置。

错误消息 %ASA-3-322002: ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is {statically|dynamically} bound to MAC Address MAC_address_2 .

说明：如果启用 ARP 检测模块，则在跨 ASA转发 ARP 数据包之前，此模块会检查数据包中通告的新 ARP 条目是否符合静态配置或动态获知的 IP-MAC 地址绑定。如果检查失败，则 ARP 检测模块会丢弃 ARP 数据包并生成此消息。造成这种情况的原因可能是网络中发生了 ARP 欺骗攻击或配置无效（IP MAC 绑定）。

建议的操作：如果是因为受到攻击，则可以使用 ACL 拒绝主机。如果是因为配置无效，请校正绑定。

错误消息 %ASA-3-322003:ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is not bound to any MAC Address.

说明：如果启用 ARP 检测模块，则在跨 ASA转发 ARP 数据包之前，此模块会检查数据包中通告的新 ARP 条目是否符合静态配置的 IP-MAC 地址绑定。如果检查失败，则 ARP 检测模块会丢弃 ARP 数据包并生成此消息。造成这种情况的原因可能是网络中发生了 ARP 欺骗攻击或配置无效（IP MAC 绑定）。

建议的操作：如果是因为受到攻击，则可以使用 ACL 拒绝主机。如果是因为配置无效，请校正绑定。

错误消息 %ASA-6-322004: No management IP address configured for transparent firewall. Dropping protocol protocol packet from interface_in :source_address /source_port to interface_out :dest_address /dest_port

说明：由于没有在透明模式下配置管理 IP 地址，因此 ASA丢弃了数据包。

• protocol - 协议字符串或值
• interface_in - 输入接口名称
• source_address - 数据包的源 IP 地址
• source_port - 数据包的源端口
• interface_out - 输出接口名称
• dest_address - 数据包的目的 IP 地址
• dest_port - 数据包的目的端口

建议的操作：使用管理 IP 地址和掩码值配置设备。

错误消息 %ASA-3-323001: Module module_id experienced a control channel communications failure.

%ASA-3-323001: Module in slot slot_num experienced a control channel communications failure.

说明：ASA无法通过控制通道与（在指定插槽中）安装的模块进行通信。

• module_id - 对于软件服务模块，此参数指定服务模块名称。
• slot_num - 对于硬件服务模块，此参数指定发生故障的插槽。插槽 0 表示系统主板，插槽 1 表示扩展槽中安装的模块。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-323002: Module module_id is not able to shut down, shut down request not answered.

%ASA-3-323002: Module in slot slot_num is not able to shut down, shut down request not answered.

说明：所安装的模块未对关闭请求作出响应。

• module_id - 对于软件服务模块，此参数指定服务模块名称。
• slot_num - 对于硬件服务模块，此参数指定发生故障的插槽。插槽 0 表示系统主板，插槽 1 表示扩展槽中安装的模块。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-323003: Module module_id is not able to reload, reload request not answered.

%ASA-3-323003: Module in slot slotnum is not able to reload, reload request not answered.

说明：所安装的模块未对重新加载请求作出响应。

• module_id - 对于软件服务模块，此参数指定服务模块名称。
• slot_num - 对于硬件服务模块，此参数指定发生故障的插槽。插槽 0 表示系统主板，插槽 1 表示扩展槽中安装的模块。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-323004: Module string one failed to write software newver (currently ver ), reason . Hw-module reset is required before further use.

说明：此模块无法接受软件版本，并将转换到无响应状态。更新软件后，此模块才可用。

• string one - 指定此模块的文本字符串
• >newver - 未成功写入模块的软件的新版本号（例如，1.0(1)0）
• >ver - 模块上软件的当前版本号（例如，1.0(1)0）
• >reason - 新版本无法写入此模块的原因。>reason 的可能值包括：

- 写入失败

- 映像写入线程创建失败

建议的操作：如果模块软件无法更新，则无法使用。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-323005: Module module_id can not be started completely

%ASA-3-323005: Module in slot slot_num cannot be started completely

说明：此消息表明该模块无法完全启动。该模块将保持无响应状态，直到这种情况得以解决。模块未完全插入插槽中是造成这种情况的最主要原因。

• module_id - 对于软件服务模块，此参数指定服务模块名称。
• slot_num - 对于硬件服务模块，此参数指定包含该模块的插槽号。

建议的操作：验证该模块是否已完全插入插槽并检查该模块上的任何状态 LED 是否亮起。重新完全插入该模块后，ASA可能需要一分钟的时间才能识别出该模块是否已上电。如果验证了该模块已插入插槽并使用 sw-module module service-module-name reset 命令或 hw-module module slotnum reset 命令重置该模块后，仍然出现此消息，请联系思科 TAC。

错误消息 %ASA-1-323006: Module ips experienced a data channel communication failure, data channel is DOWN.

说明：已发生数据通道通信故障，并且 ASA无法将流量转发到服务模块。当 HA 配置中的主用 ASA发生故障时，此故障将触发故障切换。此故障还会导致对正常发送到服务模块的流量强制执行已配置的故障开放或故障关闭策略。每当服务模块停止、重置、删除或禁用导致系统模块与服务模块之间的 ASA数据平面出现通信问题，就会生成此消息。

建议的操作：对于软件服务模块（例如 IPS），使用 sw-module module ips recover 命令恢复模块。对于硬件服务模块，如果此消息不是由于 SSM 重新加载或重置引起的，并且相应的系统日志消息 505010 在 SSM 恢复运行状态后未出现，则使用 hw-module module 1 reset 命令重置模块。

错误消息 %ASA-3-323007: Module in slot slot experienced a firware failure and the recovery is in progress.

说明：安装有 4GE-SSM 的 ASA遇到了短时电涌，然后重新启动。因此，4GE SSM 可能在无响应状态下联机。ASA已检测到 4GE SSM 处于无响应状态，并自动重启 4GE SSM。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-324000: Drop GTPv version message msg_type from source_interface :source_address /source_port to dest_interface:dest_address/dest_port Reason: reason

说明：正在处理的数据包不满足 reason 变量中所述的过滤要求，因此将被丢弃。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-324001: GTPv0 packet parsing error from source_interface :source_address /source_port to dest_interface :dest_address /dest_port , TID: tid_value , Reason: reason

说明： 处理数据包时出错。可能是以下原因造成的：

• 必需 IE 缺失
• 必需 IE 不正确
• IE 顺序不正确
• 消息格式无效。
• 可选 IE 不正确
• 无效 TEID
• 未知 IE
• 长度字段错误
• 未知的 GTP 消息。
• 消息太短
• 显示异常消息
• 空 TID
• 不受支持的版本

建议的操作：如果定期显示此消息，可以忽略。如果经常显示此消息，则表示终端可能已被用于攻击活动，正在向外发送不良数据包。

错误消息 %ASA-3-324002: No PDP[MCB] exists to process GTPv0 msg_type from source_interface :source_address /source_port to dest_interface :dest_address /dest_port , TID: tid_value

说明：如果此消息前面显示消息 321100，即内存分配错误，则该消息表示没有足够的资源来创建 PDP 情景。否则，前面不会显示消息 321100。对于版本 0，该消息表示无法找到相应的 PDP 情景。对于版本 1，如果此消息前面显示消息 324001，则表示处理数据包时出错，操作已停止。

建议的操作：如果问题仍然存在，请确定在缺乏有效的 PDP 情景时源发送数据包的原因。

错误消息：%ASA-3-324003: No matching request to process GTPv version msg_type from source_interface:source_address/source_port to source_interface:dest_address/dest_port

说明：收到的响应的请求队列中没有匹配的请求，不应对其作进一步处理。

建议的操作：如果定期显示此消息，可以忽略。但如果经常显示此消息，则表示终端可能已被用于攻击活动，正在向外发送不良数据包。

错误消息：%ASA-3-324004: GTP packet with version%d from source_interface :source_address /source_port to dest_interface :dest_address /dest_port is not supported

说明：正在处理的数据包的版本不是当前支持的版本 0 或 1。如果打印出的版本号是错误的并且系统经常显示错误版本号，则表示终端可能已被用于攻击活动，正在向外发送不良数据包。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-324005: Unable to create tunnel from source_interface :source_address /source_port to dest_interface :dest_address /dest_port

说明：尝试为传输协议数据单元创建隧道时出错。

建议的操作：如果定期出现此消息，可以忽略。如果经常重复出现，请联系思科 TAC。

错误消息： %ASA-3-324006:GSN IP_address tunnel limit tunnel_limit exceeded, PDP Context TID tid failed

说明：发送请求的 GPRS 支持节点已超出允许创建的最大隧道数量，因此系统将不会创建任何隧道。

建议的操作：检查是否应增加隧道数量限制或者网络上是否可能发生了攻击。

错误消息：%ASA-3-324007: Unable to create GTP connection for response from source_address /0 to dest_address /dest_port

说明：尝试为另一个服务 GPRS 支持节点或网关 GPRS 支持节点的传输协议数据单元创建隧道时出错。

建议的操作：检查调试消息，了解无法正确创建连接的原因。如果问题仍然存在，请联系思科 TAC。

错误消息：%ASA-3-324008: No PDP exists to update the data sgsn [ggsn] PDPMCB Info REID: teid_value , Request TEID; teid_value , Local GSN: IPaddress (VPIfNum ), Remove GSN: IPaddress (VPIfNum )

说明：在备用设备上收到 GTP HA 消息以使用数据 sgsn/ggsn PDPMCB 信息更新 PDP 时，由于未能在备用设备上成功传送或成功处理先前的 PDP 更新消息，因此找不到 PDP。

建议的操作：如果此消息定期出现，则可以忽略。如果此消息经常出现，请联系思科 TAC。

错误消息 %ASA-5-324010: Subscriber IMSI PDP Context activated on network MCC/MNC mccmnc (IE type[/IE type]) [CellID cellID] 

说明

当激活 PDP 情景时，系统会显示此消息。MCC 始终为 3 位数，MNC 为 2 或 3 位数。

注	如果数据包不含位置信息 IE，则 MCC、MNC、IE 类型或单元 ID 可能为“未知”。

示例：

%ASA-5-324010: Subscriber ID PDP Context activated on network MCC/MNC 11122 (v1 RAI/v1 ULI) CellID 1

%ASA-5-324010: Subscriber ID PDP Context activated on network Unknown

建议的操作：无

错误消息 %ASA-5-324011: Subscriber IMSI location changed during handoff from MCC/MNC mccmnc (IE type[/IE type]) [CellID cellID] to MCC/MNC mccmnc (IE type[/IE type]) [CellID cellID]

说明

位置更改后，系统将显示一条消息。MCC 始终为 3 位数，MNC 为 2 或 3 位数。在创建 PDP 并且 ASA 上的前一创建请求过期后，交接或后续创建请求会触发此更改。

注	如果数据包不含位置信息 IE，则 MCC、MNC、IE 类型或单元 ID 可能为“未知”。

示例：

%ASA-5-324011: Subscriber ID location changed during v1 handoff from MCC/MNC 11122 (v1 RAI/v1 ULI-CGI) CellID 1 to MCC/MNC 111222 (v1 RAI/v1 ULI-CGI) CellID 2

%ASA-5-324011: Subscriber ID location changed during v1 handoff from MCC/MNC 11122 (v2 ULI) CellID 1 to Unknown

%ASA-5-324011: Subscriber ID location changed during v1 handoff from Unknown to MCC/MNC 11122 (v1 RAI) CellID 1 

建议的操作：无

错误消息：%ASA-3-324300: Radius Accounting Request from from_addr has an incorrect request authenticator

说明：为主机配置共享密钥后，使用该密钥验证了请求身份验证程序。如果失败，系统将予以记录并停止处理数据包。

• from_addr - 发送 RADIUS 记账请求的主机的 IP 地址

建议的操作：检查是否配置了正确的共享密钥。如果共享密钥正确，请仔细检查数据包源，确保它不是伪造的。

错误消息 %ASA-3-324301: Radius Accounting Request has a bad header length hdr_len , packet length pkt_len

说明：记账请求消息的报头长度与实际数据包长度不同，因此系统停止了处理数据包。

• hdr_len - 请求报头中指示的长度
• pkt_len - 实际数据包长度

建议的操作：确保数据包不是伪造的。如果数据包是合法的，则捕获该数据包，并确保报头长度不正确，如消息所示。如果报头长度正确无误并且问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-325001: Router ipv6_address on interface has conflicting ND (Neighbor Discovery) settings

说明：链路上的另一台路由器发送了包含冲突参数的路由器通告。

• ipv6_address - 另一台路由器的 IPv6 地址
• interface - 另一台路由器的链路的接口名称

建议的操作：验证链路上的所有 IPv6 路由器是否都具有与路由器通告中相同的 hop_limit、managed_config_flag、other_config_flag 、reachable_time 和 ns_interval 参数，并验证多台路由器针对相同前缀通告的首选和有效生命周期相同。要列出每个接口的参数，请输入 show ipv6 interface 命令。

错误消息 %ASA-4-325002: Duplicate address ipv6_address/MAC_address on interface

说明：其他系统正在使用您的 IPv6 地址。

• ipv6_address - 另一台路由器的 IPv6 地址
• MAC_address - 另一个系统的 MAC 地址（若已知）；否则该地址将视为未知。
• interface - 另一个系统的链路的接口名称

建议的操作：更改两个系统其中一个系统的 IPv6 地址。

错误消息 %ASA-4-325004: IPv6 Extension Header hdr_type action configuration. protocol from src_int :src_ipv6_addr /src_port to dst_interface : dst_ipv6_addr /dst_port .

说明：用户已通过指定的 IPv6 扩展报头配置一项或多项操作。

• hdr_type - 可能是下列值之一：

ah - 通过 AH 扩展报头配置的操作

count - 通过扩展报头的数量配置的操作

destination-option - 通过目的选项扩展报头配置的操作

esp - 通过 ESP 扩展报头配置的操作

fragment - 通过分段扩展报头配置的操作

hop-by-hop - 通过逐跳扩展报头配置的操作

routing-address count - 通过路由扩展报头中的地址数量配置的操作

routing-type - 通过路由类型扩展报头配置的操作

• action - 可能是下列值之一：

denied - 系统拒绝该数据包。

denied/logged - 系统拒绝该数据包并予以记录。

logged - 系统记录该数据包。

建议的操作：如果配置的操作不符合预期，请在 policy-map 命令下方，检查 match header extension_header_type 命令和 parameters 命令中的操作，然后进行正确的更改。例如：

ciscoasa (config)# policy-map type inspect ipv6 pname
ciscoasa (config-pmap)# parameters
ciscoasa (config-pmap-p)# no match header extension_header_type
 ! to remove the configuration
ciscoasa (config-pmap-p)# no drop ! so packets with the specified extension_header_type 
are not dropped
ciscoasa (config-pmap-p)# no log ! so packets with the specified extension_header_type 
are not logged
ciscoasa (config-pmap-p)# no drop log ! so packets with the specified extension_header_type 
are not dropped or logged

错误消息 %ASA-4-325005: Invalid IPv6 Extension Header Content: string . detail regarding protocol, ingress and egress interface

说明：检测到包含错误扩展报头的 IPv6 数据包。

• string - 可能是下列值之一：

- 错误的扩展报头顺序

- 重复的扩展报头

- 路由扩展报头

建议的操作：配置 capture 命令来记录被丢弃的数据包，然后分析丢弃数据包的原因。如果可以忽略 IPv6 扩展报头的有效性检查，请输入以下命令禁用 IPv6 策略映射中的有效性检查：

ciscoasa (config)# policy-map type inspect ipv6 policy_name
ciscoasa (config-pmap)# parameters
ciscoasa (config-pmap-p)# no verify-header type

错误消息 %ASA-4-325006: IPv6 Extension Header not in order: Type hdr_type occurs after Type hdr_type . TCP prot from inside src_int : src_ipv6_addr /src_port to dst_interface :dst_ipv6_addr /dst_port

说明：检测到包含顺序错误的扩展报头的 IPv6 数据包。

建议的操作：配置 capture 命令来记录被丢弃的数据包，然后分析丢弃数据包的扩展报头顺序。如果允许扩展报头不按顺序列出，请输入以下命令禁用 IPv6 类型策略映射中的顺序检查：

ciscoasa (config)# policy-map type inspect ipv6 policy_name
ciscoasa (config-pmap)# parameters
ciscoasa (config-pmap-p)# no verify-header order

错误消息 %ASA-3-326001: Unexpected error in the timer library: error_message

说明：收到了不含情景或正确类型的托管计时器事件，或不存在处理程序。或者，如果加入队列的事件数超出系统限制，系统会尝试在稍后处理这些事件。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326002: Error in error_message : error_message

说明：IGMP 进程根据请求关闭失败。在准备此关闭操作期间执行的事件可能不同步。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326004: An internal error occurred while processing a packet queue

说明：IGMP 数据包队列收到了一个不含数据包的信号。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326005: Mrib notification failed for (IP_address, IP_address )

说明：收到了触发数据驱动型事件的数据包，但尝试通知 MRIB 失败。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326006: Entry-creation failed for (IP_address, IP_address )

说明：MFIB 从 MRIB 收到了条目更新，但未能创建与显示的地址有关的条目。这可能是因为内存不足。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326007: Entry-update failed for (IP_address, IP_address )

说明：MFIB 从 MRIB 收到了接口更新，但未能创建与显示的地址有关的接口。这可能是因为内存不足。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326008: MRIB registration failed

说明：MFIB 向 MRIB 注册失败。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326009: MRIB connection-open failed

说明：MFIB 打开 MRIB 连接失败。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326010: MRIB unbind failed

说明：MFIB 从 MRIB 取消绑定失败。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326011: MRIB table deletion failed

说明：MFIB 未能检索到要删除的表格。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326012: Initialization of string functionality failed

说明：指定功能初始化失败。即使没有此项功能，此组件仍可运行。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326013: Internal error: string in string line %d (%s )

说明：MRIB 中发生了根本性错误。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326014: Initialization failed: error_message error_message

说明：MRIB 初始化失败。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326015: Communication error: error_message error_message

说明：MRIB 收到了格式错误的更新。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326016: Failed to set un-numbered interface for interface_name (string )

说明：没有源地址，便无法使用 PIM 隧道。由于找不到编号的接口，或由于发生内部错误，才会出现这种情况。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326017: Interface Manager error - string in string : string

说明：创建 PIM 隧道接口时出错。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326019: string in string : string

说明：创建 PIM RP 隧道接口时出错。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326020: List error in string : string

说明：处理 PIM 接口列表时出错。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326021: Error in string : string

说明：设置 PIM 隧道接口的 SRC 时出错。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326022: Error in string : string

说明：PIM 进程根据请求关闭失败。在准备此关闭操作期间执行的事件可能不同步。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326023: string - IP_address : string

说明：处理 PIM 组范围时出错。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326024: An internal error occurred while processing a packet queue.

说明：PIM 数据包队列收到了一个不含数据包的信号。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326025: string

说明：尝试发送消息时发生内部错误。可能不会发生计划在收到消息时发生的事件，例如删除 PIM 隧道 IDB。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326026: Server unexpected error: error_message

说明：MRIB 注册客户端失败。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326027: Corrupted update: error_message

说明：MRIB 收到了已损坏的更新。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-326028: Asynchronous error: error_message

说明：MRIB API 中发生了尚未处理的异步错误。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-327001: IP SLA Monitor: Cannot create a new process

说明：IP SLA 监控器无法启动新进程。

建议的操作：检查系统内存。如果内存不足，则内存不足很可能就是造成这一问题的原因。当内存可用时，请尝试重新输入相应命令。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-327002: IP SLA Monitor: Failed to initialize, IP SLA Monitor functionality will not work

说明：IP SLA 监控器初始化失败。这种情况是由于计时器轮函数初始化失败或未创建进程引起的。可能没有充足的内存来完成此任务。

建议的操作：检查系统内存。如果内存不足，则内存不足很可能就是造成这一问题的原因。当内存可用时，请尝试重新输入相应命令。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-327003: IP SLA Monitor: Generic Timer wheel timer functionality failed to initialize

说明：IP SLA 监控器无法初始化计时器轮。

建议的操作：检查系统内存。如果内存不足，则表明计时器轮函数未初始化。当内存可用时，请尝试重新输入相应命令。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-328001: Attempt made to overwrite a set stub function in string .

说明：调用包含检查注册表的存根时，可将单个函数设置为回调。由于回调函数已事先设置，因此尝试设置新回调的操失败。

• string - 函数的名称

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-328002: Attempt made in string to register with out of bounds key

说明：在 FASTCASE 注册表中，密钥必须小于创建注册表时指定的大小。已尝试使用越界密钥注册。

建议的操作：按照显示正确复制此消息，并将其报告给思科 TAC。

错误消息 %ASA-3-329001: The string0 subblock named string1 was not removed

说明：发生了软件错误。IDB 子块无法删除。

• string0 - SWIDB 或 WIDB
• string1 - 子块的名称

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-331001: Dynamic DNS Update for 'fqdn_name ' = ip_address failed

说明：动态 DNS 子系统更新 DNS 服务器上的资源记录失败。如果 ASA无法联系 DNS 服务器或 DNS 服务未在目的系统上运行，则可能发生此失败情况。

• fqdn_name - 已尝试为其更新 DNS 的完全限定域名
• ip_address - DNS 更新的 IP 地址

建议的操作：确保 ASA已配置并可到达 DNS 服务器。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-331002: Dynamic DNS type RR for ('fqdn_name ' - ip_address | ip_address - 'fqdn_name ') successfully updated in DNS server dns_server_ip

说明：动态 DNS 更新在 DNS 服务器中成功完成。

• type - 资源记录类型，可能是 A 或 PTR
• fqdn_name - 已尝试为其更新 DNS 的完全限定域名
• ip_address - DNS 更新的 IP 地址
• dns_server_ip - DNS 服务器的 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-3-332001: Unable to open cache discovery socket, WCCP V2 closing down.

说明：内部错误，指示 WCCP 进程无法打开用于侦听来自缓存的协议消息的 UDP 套接字。

建议的操作：确保 IP 配置正确，同时确保已配置至少一个 IP 地址。

错误消息 %ASA-3-332002: Unable to allocate message buffer, WCCP V2 closing down.

说明：内部错误，指示 WCCP 进程无法分配内存来存放传入协议消息。

建议的操作：确保有足够的内存可用于所有进程。

错误消息 %ASA-5-332003: Web Cache IP_address /service_ID acquired

说明：已从 ASA获取 Web 缓存服务。

• IP_address - Web 缓存的 IP 地址
• service_ID - WCCP 服务标识符

建议的操作：无需执行任何操作。

错误消息 %ASA-1-332004: Web Cache IP_address /service_ID lost

说明：ASA的 Web 缓存服务已中断。

• IP_address - Web 缓存的 IP 地址
• service_ID - WCCP 服务标识符

建议的操作：验证指定 Web 缓存的操作。

错误消息 %ASA-6-333001: EAP association initiated - context: EAP-context

说明：已向远程主机发起 EAP 关联。

• EAP-context - EAP 会话的唯一标识符，显示为八位十六进制数字（例如，0x2D890AE0）

建议的操作：无需执行任何操作。

错误消息 %ASA-5-333002: Timeout waiting for EAP response - context:EAP-context

说明：等待 EAP 响应时发生超时。

• EAP-context - EAP 会话的唯一标识符，显示为八位十六进制数字（例如，0x2D890AE0）

建议的操作：无需执行任何操作。

错误消息 %ASA-6-333003: EAP association terminated - context:EAP-context

说明：已终止与远程主机的 EAP 关联。

• EAP-context - EAP 会话的唯一标识符，显示为八位十六进制数字（例如，0x2D890AE0）

建议的操作：无需执行任何操作。

错误消息 %ASA-7-333004: EAP-SQ response invalid - context:EAP-context

说明：EAP 状态查询响应基本数据包验证失败。

• EAP-context - EAP 会话的唯一标识符，显示为八位十六进制数字（例如，0x2D890AE0）

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-333005: EAP-SQ response contains invalid TLV(s) - context:EAP-context

说明：EAP 状态查询响应有一个或多个无效 TLV。

• EAP-context - EAP 会话的唯一标识符，显示为八位十六进制数字（例如，0x2D890AE0）

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-333006: EAP-SQ response with missing TLV(s) - context:EAP-context

说明：EAP 状态查询响应缺失一个或多个强制性 TLV。

• EAP-context - EAP 会话的唯一标识符，显示为八位十六进制数字（例如，0x2D890AE0）

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-333007: EAP-SQ response TLV has invalid length - context:EAP-context

说明：EAP 状态查询响应包括一个拥有无效长度的 TLV。

• EAP-context - EAP 会话的唯一标识符，显示为八位十六进制数字（例如，0x2D890AE0）

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-7-333008: EAP-SQ response has invalid nonce TLV - context:EAP-context

说明：EAP 状态查询响应包括一个无效的一次性随机 TLV。

• EAP-context - EAP 会话的唯一标识符，显示为八位十六进制数字（例如，0x2D890AE0）

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-6-333009: EAP-SQ response MAC TLV is invalid - context:EAP-context

说明：EAP 状态查询响应包括一个与计算的 MAC 不匹配的 MAC。

• EAP-context - EAP 会话的唯一标识符，显示为八位十六进制数字（例如，0x2D890AE0）

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-333010: EAP-SQ response Validation Flags TLV indicates PV request - context:EAP-context

说明：EAP 状态查询响应包括验证标志 TLV，这表示对等体已请求完全安全评估验证。

建议的操作：无需执行任何操作。

错误消息 %ASA-6-334001: EAPoUDP association initiated - host-address

说明：已向远程主机发起 EAPoUDP 关联。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.86.7.101

建议的操作：无需执行任何操作。

错误消息 %ASA-5-334002: EAPoUDP association successfully established - host-address

说明：已与主机成功建立 EAPoUDP 关联。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.86.7.101

建议的操作：无需执行任何操作。

错误消息 %ASA-5-334003: EAPoUDP association failed to establish - host-address

说明：与主机建立 EAPoUDP 关联失败。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.86.7.101

建议的操作：验证思科安全访问控制服务器的配置。

错误消息 %ASA-6-334004: Authentication request for NAC Clientless host - host-address

说明：已为 NAC 无客户端主机提出身份验证请求。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.86.7.101

建议的操作：无需执行任何操作。

错误消息 %ASA-5-334005: Host put into NAC Hold state - host-address

说明：主机的 NAC 会话已置于保留状态。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.86.7.101

建议的操作：无需执行任何操作。

错误消息 %ASA-5-334006: EAPoUDP failed to get a response from host - host-address

说明：未从主机收到 EAPoUDP 响应。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.86.7.101

建议的操作：无需执行任何操作。

错误消息 %ASA-6-334007: EAPoUDP association terminated - host-address

说明：与主机的 EAPoUDP 关联已终止。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.86.7.101

建议的操作：无需执行任何操作。

错误消息 %ASA-6-334008: NAC EAP association initiated - host-address , EAP context: EAP-context

说明：EAPoUDP 已向主机发起 EAP。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.86.7.101
• EAP-context - EAP 会话的唯一标识符，显示为八位十六进制数字（例如，0x2D890AE0）

建议的操作：无需执行任何操作。

错误消息 %ASA-6-334009: Audit request for NAC Clientless host - Assigned_IP.

说明：正在为指定的已分配 IP 地址发送审核请求。

• Assigned_IP - 分配给客户端的 IP 地址

建议的操作：无需执行任何操作。

错误消息 %ASA-6-335001: NAC session initialized - host-address

说明：为远程主机启动了 NAC 会话。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.86.7.101

建议的操作：无需执行任何操作。

错误消息 %ASA-5-335002: Host is on the NAC Exception List - host-address , OS: oper-sys

说明：该客户端列在 NAC 例外列表中，因此无需接受安全状态验证。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.1.1.1
• oper-sys - 主机的操作系统（例如，Windows XP）

建议的操作：无需执行任何操作。

错误消息 %ASA-5-335003: NAC Default ACL applied, ACL:ACL-name - host-address

说明：已为该客户端应用 NAC 默认 ACL。

• ACL-name - 应用的 ACL 的名称
• host-address - 点分十进制格式的主机 IP 地址，例如，10.1.1.1

建议的操作：无需执行任何操作。

错误消息 %ASA-6-335004: NAC is disabled for host - host-address

说明：已为远程主机禁用 NAC。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.1.1.1

建议的操作：无需执行任何操作。

错误消息 %ASA-4-335005: NAC Downloaded ACL parse failure - host-address

说明：解析已下载的 ACL 失败。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.1.1.1

建议的操作：验证思科安全访问控制服务器的配置。

错误消息 %ASA-6-335006: NAC Applying ACL: ACL-name - host-address

说明：由于进行了 NAC 安全状态验证而应用的 ACL 的名称。

• ACL-name - 应用的 ACL 的名称
• host-address - 点分十进制格式的主机 IP 地址，例如，10.1.1.1

建议的操作：无需执行任何操作。

错误消息 %ASA-7-335007: NAC Default ACL not configured - host-address

说明：尚未配置 NAC 默认 ACL。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.1.1.1

建议的操作：无需执行任何操作。

错误消息 %ASA-5-335008: NAC IPsec terminate from dynamic ACL: ACL-name - host-address

说明：由于 PV 而获得的动态 ACL 需要终止 IPsec。

• ACL-name - 应用的 ACL 的名称
• host-address - 点分十进制格式的主机 IP 地址，例如，10.1.1.1

建议的操作：无需执行任何操作。

错误消息 %ASA-6-335009: NAC Revalidate request by administrative action - host-address

说明：管理员请求“NAC 重新验证”操作。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.1.1.1

建议的操作：无需执行任何操作。

错误消息：%ASA-6-335010: NAC Revalidate All request by administrative action - num sessions

说明：管理员请求“全部 NAC 重新验证”操作。

• num - 一个十进制整数，表示要重新验证的会话数

建议的操作：无需执行任何操作。

错误消息：%ASA-6-335011: NAC Revalidate Group request by administrative action for group-name group - num sessions

说明：管理员请求“组 NAC 重新验证”操作。

• group-name - VPN 组名称
• num - 一个十进制整数，表示要重新验证的会话数

建议的操作：无需执行任何操作。

错误消息 %ASA-6-335012: NAC Initialize request by administrative action - host-address

说明：管理员请求“NAC 初始化”操作。

• host-address - 点分十进制格式的主机 IP 地址，例如，10.1.1.1

建议的操作：无需执行任何操作。

错误消息：%ASA-6-335013: NAC Initialize All request by administrative action - num sessions

说明：管理员请求“全部 NAC 初始化”操作。

• num - 一个十进制整数，表示要重新验证的会话数

建议的操作：无需执行任何操作。

错误消息：%ASA-6-335014: NAC Initialize Group request by administrative action for group-name group - num sessions

说明：管理员请求“组 NAC 初始化”操作。

• group-name - VPN 组名称
• num - 一个十进制整数，表示要重新验证的会话数

建议的操作：无需执行任何操作。

错误消息 %ASA-3-336001 Route desination_network stuck-in-active state in EIGRP-ddb_name as_num. Cleaning up

说明：SIA 状态意味着 EIGRP 路由器在分配的时间内（约三分钟）未收到一个或多个邻居的查询应答。发生这种情况时，EIGRP 会清除未发送应答的邻居，并为变为活动状态的路由记录错误消息。

• destination_network - 变为活动状态的路由
• ddb_name - IPv4
• as_num - GRP 路由器

建议的操作：检查造成路由器未收到所有邻居响应的原因以及路由消失的原因。

错误消息 %ASA-3-336002: Handle handle_id is not allocated in pool.

说明：EIGRP 路由器无法找到下一跳的句柄。

• handle_id - 缺失句柄的标识

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336003: No buffers available for bytes byte packet

说明：双机软件无法分配数据包缓冲区。ASA可能内存不足。

• bytes - 数据包中的字节数

建议的操作：输入 show mem 或 show tech 命令检查 ASA是否内存不足。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336004: Negative refcount in pakdesc pakdesc.

说明：引用计数数据包计数变成负数。

• pakdesc - 数据包标识符

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336005: Flow control error, error , on interface_name.

说明：接口组播流受阻止。Qelm 是队列元素，在此情况下，还是此特定接口队列的最后一个组播数据包。

• error - 错误语句：Qelm on flow ready
• interface_name - 发生错误的接口的名称

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336006: num peers exist on IIDB interface_name.

说明：EIGRP 的 IDB 清理期间或清理后，特定接口上仍然存在对等体。

• num - 对等体的数量
• interface_name - 接口名称

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336007: Anchor count negative

说明：发生了错误，锚点计数在发布时变成了负数。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336008: Lingering DRDB deleting IIDB, dest network, nexthop address (interface), origin origin_str

说明：正在删除接口，存在一些拖延的 DRDB 情况。

• network - 目的网络
• address - 下一跳地址
• interface - 下一跳接口
• origin_str - 定义源地址的字符串

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336009 ddb_name as_id: Internal Error

说明：发生了内部错误。

• ddb_name - PDM 名称（例如，IPv4 PDM）
• as_id - 自治系统 ID

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-5-336010 EIGRP-ddb_name tableid as_id: Neighbor address (%interface) is event_msg: msg

说明：邻居已启动或关闭。

• ddb_name - IPv4
• tableid - RIB 的内部 ID
• as_id - 自治系统 ID
• address - 邻居的 IP 地址
• interface - 接口的名称
• event_msg - 邻居正在经历的事件（即启动或关闭）
• msg - 事件原因。可能的 event_msg 和 msg 值对包括：

-resync: peer graceful-restart（重新同步：对等体正常重启）

- down: holding timer expired（关闭：保持计时器过期）

- up: new adjacency（启动：新邻接）

- down: Auth failure（关闭：身份验证失败）

- down: Stuck in Active（关闭：停滞在活动状态）

- down: Interface PEER-TERMINATION received（关闭：收到接口对等体终止消息）

- down: K-value mismatch（关闭：K 值不匹配）

- down: Peer Termination received（关闭：收到对等体终止消息）

- down: stuck in INIT state（关闭：停滞在初始化状态）

- down: peer info changed（关闭：对等体信息已更改）

- down: summary configured（关闭：摘要已配置）

- down: Max hopcount changed（关闭：最大跳数已更改）

- down: metric changed（关闭：度量已更改）

- down: [No reason]（关闭：[无原因]）

建议的操作：检查邻居上的链路发生故障或摆动的原因。这可能表明存在问题，或可能因此出现问题。

错误消息 %ASA-6-336011: event event

说明：发生了双重事件。事件可以是以下任意一项：

• 重新分配 rt 发生更改
• 在活动状态下执行 SIA 查询

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336012: Interface interface_names going down and neighbor_links links exist

说明：接口发生故障或正在从通过 IGRP 的路由中删除，但并非所有链路（邻居）都已从拓扑表中删除。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336013: Route iproute, iproute_successors successors, db_successors rdbs

说明：发生了硬件或软件错误。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336014: “EIGRP_PDM_Process_name, event_log”

说明：发生了硬件或软件错误。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336015: “Unable to open socket for AS as_number”

说明：发生了硬件或软件错误。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336016: Unknown timer type timer_type expiration

说明：发生了硬件或软件错误。

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-336019: process_name as_number: prefix_source threshold prefix level (prefix_threshold) reached

说明：拓扑数据库中前缀的数量已达到配置或默认的阈值水平。前缀源可以是以下任何一项：

• 邻居
• 已重分布
• 汇聚

建议的操作：使用 show eigrp accounting 命令获取有关前缀源的详细信息，并采取纠正措施。

错误消息 %ASA-6-337000: Created BFD session with local discriminator <id> on <real_interface> with neighbor <real_host_ip>

说明：此系统日志消息表明已创建 BFD 活动会话。

• id - 表示特定 BFD 会话的本地鉴别符值的数字字段
• real_interface - 运行 BFD 会话的接口 nameif
• real_host_ip - 与之建立 BFD 会话的邻居的 IP 地址

建议的操作：无。

错误消息 %ASA-6-337001: Terminated BFD session with local discriminator <id> on <real_interface> with neighbor <real_host_ip> due to <failure_reason>

说明：此系统日志消息指示活动 BFD 会话已终止。

• id - 表示特定 BFD 会话的本地鉴别符值的数字字段
• real_interface - 运行 BFD 会话的接口 nameif
• real_host_ip - 与之建立 BFD 会话的邻居的 IP 地址
• failure_reason - 以下故障原因之一：对等体侧 BFD 发生故障；对等体侧 BEF 配置被删除；检测计时器到期；回应功能发生故障；前往对等体的路径发生故障；本地 BFD 配置被删除；BFD 客户端配置被删除

建议的操作：无。

错误消息 %ASA-4-337005: Phone Proxy SRTP: Media session not found for media_term_ip/media_term_port for packet from in_ifc:src_ip/src_port to out_ifc:dest_ip/dest_port

说明：自适应安全设备收到了发往媒体端接 IP 地址或端口的 SRTP 或 RTP 数据包，但找不到处理此数据包的相应媒体会话。

• in_ifc - 输入接口
• src_ip - 数据包的源 IP 地址
• src_port - 数据包的源端口
• out_ifc - 输出接口
• dest_ip - 数据包的目的 IP 地址
• dest_port - 数据包的目的端口。

建议的操作：如果呼叫结束时出现此消息，则会被视为正常的消息，这是因为信令消息可能已发布媒体会话，但终端正在继续发送一些 SRTP 或 RTP 数据包。如果奇数媒体端接端口出现此消息，则终端正在发送 RTCP，必须从 CUCM 禁用。如果呼叫时持续出现此消息，使用电话代理调试命令或捕获命令调试信令消息事务，确定信令消息是否正在使用媒体端接 IP 地址和端口进行修改。

错误消息 %ASA-4-338001: Dynamic filter monitored blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port) to out_interface :dest_ip_addr /dest_port , (mapped-ip /mapped-port), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

说明：出现了来自动态过滤器数据库中列入黑名单的域的流量。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：系统已记录对恶意站点的访问。使用内部 IP 地址跟踪感染的计算机，或输入 dynamic-filter drop blacklist 命令以自动丢弃此类流量。

错误消息 %ASA-4-338002: Dynamic filter monitored blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

说明：出现了向动态过滤器数据库中列入黑名单的域名发送的流量。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：系统已记录对恶意站点的访问。使用内部 IP 地址跟踪感染的计算机，或输入 dynamic-filter drop blacklist 命令以自动丢弃此类流量。

错误消息 %ASA-4-338003: Dynamic filter monitored blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port) to out_interface :dest_ip_addr /dest_port , (mapped-ip /mapped-port), source malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

说明：出现了来自动态过滤器数据库中列入黑名单的 IP 地址的流量。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：系统已记录对恶意站点的访问。使用内部 IP 地址跟踪感染的计算机，或输入 dynamic-filter drop blacklist 命令以自动丢弃此类流量。

错误消息 %ASA-4-338004: Dynamic filter monitored blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

说明：出现了向动态过滤器数据库中列入黑名单的 IP 地址发送的流量。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：系统已记录对恶意站点的访问。使用内部 IP 地址跟踪感染的计算机，或输入 dynamic-filter drop blacklist 命令以自动丢弃此类流量。

错误消息 %ASA-4-338005: Dynamic filter dropped blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

说明：来自动态过滤器数据库中列入黑名单的域名的流量已被拒绝。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-338006: Dynamic filter dropped blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

说明：向动态过滤器数据库中列入黑名单的域名发送的流量已被拒绝。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-338007: Dynamic filter dropped blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), source malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

说明：来自动态过滤器数据库中列入黑名单的 IP 地址的流量已被拒绝。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-338008: Dynamic filter dropped blacklisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name

说明：向动态过滤器数据库中列入黑名单的 IP 地址发送的流量已被拒绝。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-338101: Dynamic filter action whitelisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port) to out_interface :dest_ip_addr /dest_port , (mapped-ip /mapped-port), source malicious address resolved from local or dynamic list: domain name

说明：出现了来自动态过滤器数据库中列入白名单的域的流量。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-338102: Dynamic filter action whitelisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: domain name

说明：出现了向动态过滤器数据库中列入白名单的域名发送的流量。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-338103: Dynamic filter action whitelisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port) to out_interface :dest_ip_addr /dest_port , (mapped-ip /mapped-port), source malicious address resolved from local or dynamic list: ip address/netmask

说明：出现了来自动态过滤器数据库中列入白名单的 IP 地址的流量。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-338104: Dynamic filter action whitelisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask

说明：出现了向动态过滤器数据库中列入白名单的 IP 地址发送的流量。

建议的操作：无需执行任何操作。

错误消息 %ASA-4-338201: Dynamic filter monitored greylisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port) to out_interface :dest_ip_addr /dest_port , (mapped-ip /mapped-port), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

说明：出现了来自动态过滤器数据库中列入灰名单的域的流量。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：系统已记录对恶意站点的访问。使用内部 IP 地址跟踪感染的计算机，或输入 dynamic-filter drop blacklist 命令和 dynamic-filter ambiguous-is-black 命令以自动丢弃此类流量。

错误消息 %ASA-4-338202: Dynamic filter monitored greylisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

说明：出现了向动态过滤器数据库中列入灰名单的域名发送的流量。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：系统已记录对恶意站点的访问。使用内部 IP 地址跟踪感染的计算机，或输入 dynamic-filter drop blacklist 命令和 dynamic-filter ambiguous-is-black 命令以自动丢弃此类流量。

错误消息 %ASA-4-338203: Dynamic filter dropped greylisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

说明：系统已拒绝来自动态过滤器数据库中列入灰名单的域名的流量；但系统也会将恶意 IP 地址解析为动态过滤器数据库未知的域名。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：系统已丢弃对恶意网站的访问。如果您不希望自动丢弃 IP 地址与列入黑名单的域名和未知域名匹配的列入灰名单的流量，请禁用 dynamic-filter ambiguous-is-black 命令。

错误消息 %ASA-4-338204: Dynamic filter dropped greylisted protocol traffic from in_interface :src_ip_addr /src_port (mapped-ip /mapped-port ) to out_interface :dest_ip_addr /dest_port (mapped-ip /mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name

说明：系统已拒绝向动态过滤器数据库中列入灰名单的域名发送的流量；但系统也会将恶意 IP 地址解析为动态过滤器数据库未知的域名。threat level 字符串显示以下值之一：none、very-low、low、moderate、high和 very-high。category 字符串显示将域名列入黑名单的原因（例如僵尸网络、特洛伊木马和间谍软件）。

建议的操作：系统已丢弃对恶意网站的访问。如果您不希望自动丢弃 IP 地址与列入黑名单的域名和未知域名匹配的列入灰名单的流量，请禁用 dynamic-filter ambiguous-is-black 命令。

错误消息 %ASA-4-338301: Intercepted DNS reply for domain name from in_interface :src_ip_addr /src_port to out_interface :dest_ip_addr /dest_port , matched list

说明：系统拦截了已列入管理员白名单、黑名单或 IronPort 列表的 DNS 应答。

• name - 域名
• list - 包含域名、管理员白名单、黑名单或 IronPort 列表的列表

建议的操作：无需执行任何操作。

错误消息 %ASA-5-338302: Address ipaddr discovered for domain name from list , Adding rule

说明：添加了在动态过滤规则表的 DNS 应答中发现的 IP 地址。

• ipaddr - 来自 DNS 应答的 IP 地址
• name - 域名
• list - 包含域名、管理员黑名单或 IronPort 列表的列表

建议的操作：无需执行任何操作。

错误消息：%ASA-5-338303: Address ipaddr (name) timed out, Removing rule

说明：动态过滤器规则表中发现的 IP 地址已删除。

• ipaddr - 来自 DNS 应答的 IP 地址
• name - 域名

建议的操作：无需执行任何操作。

错误消息 %ASA-6-338304: Successfully downloaded dynamic filter data file from updater server url

说明：已下载该数据文件的新版本。

• url - 更新程序服务器的 URL

建议的操作：无需执行任何操作。

错误消息 %ASA-3-338305: Failed to download dynamic filter data file from updater server url

说明：无法下载动态过滤器数据库文件。

• url - 更新程序服务器的 URL

建议的操作：确保在 ASA 上具有 DNS 配置，以便可以解析更新程序服务器 URL。如果无法从 ASA Ping 通服务器，请与网络管理员联系以获取正确的网络连接和路由配置。如果仍有问题，请联系思科 TAC。

错误消息 %ASA-3-338306: Failed to authenticate with dynamic filter updater server url

说明：ASA 无法对动态过滤器更新程序服务器进行身份验证。

• url - 更新程序服务器的 URL

建议的操作：联系思科 TAC。

错误消息：%ASA-3-338307: Failed to decrypt downloaded dynamic filter database file

说明：无法解密已下载的动态过滤器数据库文件。

建议的操作：联系思科 TAC。

错误消息：%ASA-5-338308: Dynamic filter updater server dynamically changed from old_server_host : old_server_port to new_server_host : new_server_port

说明：ASA 已被定向到新的更新程序服务器主机或端口。

• old_server_host :old_server_port - 之前的更新程序服务器主机或端口
• new_server_host :new_server_port - 新的更新程序服务器主机和端口

建议的操作：无需执行任何操作。

错误消息：%ASA-3-338309: The license on this ASA does not support dynamic filter updater feature.

说明：动态过滤器更新程序是许可的功能；但 ASA 上的许可证不支持此功能。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-338310: Failed to update from dynamic filter updater server url, reason: reason string

说明：ASA 无法从动态过滤器更新程序服务器接收更新。

• url - 更新程序服务器的 URL
• string - 失败原因，可能是以下任意一项：

- 无法连接更新程序服务器

- 收到无效的服务器响应

- 收到无效的服务器清单

- 存储的更新文件信息中出现错误

- 脚本错误

- 函数调用错误

- 内存不足

建议的操作：检查与服务器的网络连接。尝试对服务器 URL 执行 Ping 操作，如 show dynamic-filter updater-client 命令的输出中所示。请确保允许该端口通过您的网络。如果网络连接不是问题所在，请联系您的网络管理员。

错误消息 %ASA-3-339001: DNSCRYPT certificate update failed for <num_tries> tries

说明：DNSCrypt 未能收到证书更新。

• num_tries - DNSCrypt 未能获取证书更新的次数

建议的操作：检查以下几项：

• 是否为 Umbrella 服务器设置了路由。

• Umbrella 服务器出口接口是否已启用。

• 是否使用了正确的提供程序公共密钥。

错误消息 %ASA-3-339002: Umbrella device registration failed with error code <err_code>

说明：Umbrella 设备注册失败。

• err_code - 从 Umbrella 服务器返回的错误代码。

建议的操作：如果错误代码为：

• 400 - 请求格式或内容有问题。令牌可能过短或已损坏。验证令牌与 Umbrella 控制板上的令牌是否匹配。

• 401 - 令牌未授权。如果 Umbrella 控制板上的令牌已刷新，则新令牌应在 ASA 上更新。

• 409 - 设备 ID 与另一个组织存在冲突。请联系 Umbrella 服务器管理员。

• 500 - 内部服务器错误。请联系 Umbrella 服务器管理员。

错误消息 %ASA-3-339003: Umbrella device registration was successful

说明：Umbrella 设备注册成功的消息。

建议的操作：无。

错误消息 %ASA-3-339004: Umbrella device registration failed due to missing token

说明：由于缺失令牌，Umbrella 设备注册失败。

建议的操作：确保在全局“umbrella”子模式下配置令牌。

错误消息 %ASA-3-339005: Umbrella device registration failed after <num_tries> retries

说明：Umbrella 设备注册失败。

• num_tries - 设备在 Umbrella 服务器上注册失败的次数。

建议的操作：在系统日志 339002 消息中找到错误代码。请参阅 339002 系统日志消息中的解决方法并进行修复。

错误消息 %ASA-3-339006: Umbrella resolver current resolver ipv46 is reachable, resuming Umbrella redirect.

说明：Umbrella 打开失败，而且解析器无法访问。解析器现在可访问，服务已恢复。

建议的操作：无。

错误消息 %ASA-3-339007: Umbrella resolver current resolver ipv46 is unreachable, moving to fail-open. Starting probe to resolver.

说明：已配置 Umbrella fail-open 并检测到解析器不可访问的问题。

建议的操作：检查网络设置是否支持访问 Umbrella 解析器。

错误消息 %ASA-3-339008: Umbrella resolver current resolver ipv46 is unreachable, moving to fail-close.

说明：尚未配置 Umbrella fail-open 并检测到解析器不可访问的问题。

建议的操作：检查网络设置是否支持访问 Umbrella 解析器。

错误消息 %ASA-3-340001: Loopback-proxy error: error_string context id context_id , context type = version /request_type /address_type client socket (internal)= client_address_internal /client_port_internal server socket (internal)= server_address_internal /server_port_internal server socket (external)= server_address_external /server_port_external remote socket (external)= remote_address_external /remote_port_external

说明：环回代理允许 ASA上运行的第三方应用访问网络。环回代理遇到了错误。

• context_id - 为每个环回客户端代理请求生成的唯一 32 位情景 ID
• version - 协议版本。
• request_type - 请求类型，可以是以下其中一种：TC（TCP 连接）、TB（TCP 绑定）或 UA（UDP 关联）
• address_type - 地址类型，可以是以下其中一种：IP4 (IPv4)、IP6 (IPv6) 或 DNS（域名服务）
• client_address_internal/server_address_internal - 环回客户端和环回服务器用于通信的地址
• client_port_internal /server_port_internal - 环回客户端和环回服务器用于通信的端口
• server_address_external /remote_address_external - 环回服务器和远程主机用于通信的地址
• server_port_external /remote_port_external - 环回服务器和远程主机用于通信的端口
• error_string - 可帮助对问题进行故障排除的错误字符串

建议的操作：复制此系统日志消息并联系思科 TAC。

错误消息 %ASA-6-340002: Loopback-proxy info: error_string context id context_id , context type = version /request_type /address_type client socket (internal)= client_address_internal /client_port_internal server socket (internal)= server_address_internal /server_port_internal server socket (external)= server_address_external /server_port_external remote socket (external)= remote_address_external /remote_port_external

说明：环回代理允许 ASA上运行的第三方应用访问网络。环回代理生成了调试信息，以供故障排除期间使用。

• context_id - 为每个环回客户端代理请求生成的唯一 32 位情景 ID
• version - 协议版本。
• request_type - 请求类型，可以是以下其中一种：TC（TCP 连接）、TB（TCP 绑定）或 UA（UDP 关联）
• address_type - 地址类型，可以是以下其中一种：IP4 (IPv4)、IP6 (IPv6) 或 DNS（域名服务）
• client_address_internal/server_address_internal - 环回客户端和环回服务器用于通信的地址
• client_port_internal /server_port_internal - 环回客户端和环回服务器用于通信的端口
• server_address_external /remote_address_external - 环回服务器和远程主机用于通信的地址
• server_port_external /remote_port_external - 环回服务器和远程主机用于通信的端口
• error_string - 可帮助对问题进行故障排除的错误字符串

建议的操作：复制此系统日志消息并联系思科 TAC。

错误消息 %ASA-6-341001: Policy Agent started successfully for VNMC vnmc_ip_addr

说明：策略代理进程（DME、ducatiAG 和 commonAG）已成功启动。

• vnmc_ip_addr - VNMC 服务器的 IP 地址

建议的操作：无。

错误消息 %ASA-6-341002: Policy Agent stopped successfully for VNMC vnmc_ip_addr

说明：策略代理进程（DME、ducatiAG 和 commonAG）已停止。

• vnmc_ip_addr - VNMC 服务器的 IP 地址

建议的操作：无。

错误消息 %ASA-3-341003: Policy Agent failed to start for VNMC vnmc_ip_addr

说明：策略代理启动失败。

• vnmc_ip_addr - VNMC 服务器的 IP 地址

建议的操作：针对错误消息检查控制台历史记录和 disk0:/pa/log/vnm_pa_error_status。要重新尝试启动策略代理，请再次发出 registration host 命令。

错误消息 %ASA-3-341004: Storage device not available: Attempt to shutdown module %s failed.

说明：所有 SSD 都已发生故障或在系统处于启动状态下删除。系统已尝试关闭软件模块，但尝试失败。

• %s - 软件模块（例如 cxsc）

建议的操作：替换已删除或发生故障的硬盘并重新加载 ASA。

错误消息 %ASA-3-341005: Storage device not available. Shutdown issued for module %s .

说明：所有 SSD 都已发生故障或在系统处于启动状态下删除。系统正在关闭软件模块。

• %s - 软件模块（例如 cxsc）

建议的操作：替换已删除或发生故障的硬盘并重新加载软件模块。

错误消息 %ASA-3-341006: Storage device not available. Failed to stop recovery of module %s .

说明：所有 SSD 都已发生故障或在系统处于恢复状态下删除。系统尝试了停止恢复，但尝试失败。

• %s - 软件模块（例如 cxsc）

建议的操作：替换已删除或发生故障的硬盘并重新加载 ASA。

错误消息 %ASA-3-341007: Storage device not available. Further recovery of module %s was stopped. 此过程需要几分钟时间才能完成。

说明：所有 SSD 都已发生故障或在系统处于恢复状态下删除。系统正在停止恢复软件模块。

• %s - 软件模块（例如 cxsc）

建议的操作：替换已删除或发生故障的硬盘并重新加载软件模块。

错误消息 %ASA-3-341008: Storage device not found. Auto-boot of module %s cancelled. Install drive and reload to try again.

说明：系统进入启动状态后，所有 SSD 在重新加载系统前都已发生故障或删除。由于启动期间的默认操作是自动启动软件模块，此操作因为没有可用存储设备而受阻止。

建议的操作：替换已删除或发生故障的硬盘并重新加载软件模块。

错误消息 %ASA-6-341010: Storage device with serial number ser_no [inserted into | removed from] bay bay_no

说明：ASA已检测到插入或删除事件，并立即生成此系统日志消息。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-341011: Storage device with serial number ser_no in bay bay_no faulty.

说明：ASA每 10 分钟轮询一次硬盘驱动器 (HDD) 的运行状态，如果 HDD 处于故障状态，则生成此系统日志消息。

建议的操作：无需执行任何操作。

错误消息：%ASA-7-342001: REST API Agent started successfully.

说明：必须先成功启动 REST API 代理，REST API 客户端才能配置 ASA。

建议的操作：无。

错误消息 %ASA-3-342002: REST API Agent failed, reason: reason

说明：REST API 代理可能无法启动，或者由于各种原因而崩溃，具体原因在消息中已指定。

• reason - REST API 失败的原因

建议的操作：解决问题所英采取的措施因记录的原因而异。例如，当 Java 进程耗尽内存时，REST API 代理崩溃。如果发生这种情况，则需要重新启动 REST API 代理。如果重新启动未成功，请与思科 TAC 联系确定根本原因并修复。

错误消息 %ASA-3-342003: REST API Agent failure notification received. Agent will be restarted automatically.

说明：已收到来自 REST API 代理的故障通知，系统正在尝试重新启动该代理。

建议的操作：无。

错误消息 %ASA-3-342004: Failed to automatically restart the REST API Agent after 5 unsuccessful attempts. Use the 'no rest-api agent' and 'rest-api agent' commands to manually restart the Agent.

说明：多次尝试之后，REST API 代理仍然无法启动。

建议的操作：查看系统日志 %ASA-3-342002（如有记录），以便更好地了解故障背后的原因。输入 no rest-api agent 命令以尝试禁用 REST API 代理，然后使用 rest-api agent 命令重新启用 REST API 代理。

错误消息：%ASA-7-342005: REST API image has been installed successfully.

说明：必须先成功安装 REST API 映像，才能启动 REST API 代理。

建议的操作：无。

错误消息：%ASA-3-342006: Failed to install REST API image, reason: <reason>.

说明：REST API 映像可能由于以下任一原因而安装失败：版本检查失败，映像验证失败，找不到映像文件，闪存空间不足或挂载失败。

建议的操作管理员应修复失败原因并尝试使用“rest-api image <image>”重新安装映像。

错误消息：%ASA-7-342007: REST API image has been uninstalled successfully.

说明：必须先成功卸载旧的 REST API 映像，才能安装新的映像。

建议的操作：无。

错误消息：%ASA-3-342008: Failed to uninstall REST API image, reason: <reason>.

说明：由于以下原因而无法卸载 REST API 映像 - 卸载失败或已启用 REST 代理。

建议的操作：管理员应先禁用 REST 代理，然后才能尝试卸载 REST API 映像。