ASA シリーズ syslog メッセージ
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月18日
章のタイトル: syslog メッセージ
- メッセージ 101001 ~ 199021
- 101001
- 101002
- 101003、101004
- 101005
- 103001
- 103002
- 103003
- 103004
- 103005
- 103006
- 103007
- 104001、104002
- 104003
- 104004
- 105001
- 105002
- 105003
- 105004
- 105005
- 105006、105007
- 105008
- 105009
- 105010
- 105011
- 105020
- 105021
- 105031
- 105032
- 105034
- 105035
- 105036
- 105037
- 105038
- 105039
- 105040
- 105042
- 105043
- 105044
- 105045
- 105046
- 105047
- 105048
- 106001
- 106002
- 106006
- 106007
- 106010
- 106011
- 106012
- 106013
- 106014
- 106015
- 106016
- 106017
- 106018
- 106020
- 106021
- 106022
- 106023
- 106024
- 106025、106026
- 106027
- 106100
- 106101
- 106102
- 106103
- 107001
- 107002
- 108002
- 108003
- 108004
- 108005
- 108006
- 108007
- 109001
- 109002
- 109003
- 109005
- 109006
- 109007
- 109008
- 109010
- 109011
- 109012
- 109013
- 109014
- 109016
- 109017
- 109018
- 109019
- 109020
- 109021
- 109022
- 109023
- 109024
- 109025
- 109026
- 109027
- 109028
- 109029
- 109030
- 109031
- 109032
- 109033
- 109034
- 109036
- 109037
- 109038
- 109039
- 110002
- 110003
- 111001
- 111002
- 111003
- 111004
- 111005
- 111007
- 111008
- 111009
- 111010
- 111111
- 112001
- 113001
- 113003
- 113004
- 113005
- 113006
- 113007
- 113008
- 113009
- 113010
- 113011
- 113012
- 113013
- 113014
- 113015
- 113016
- 113017
- 113018
- 113019
- 113020
- 113021
- 113022
- 113023
- 113024
- 113025
- 113026
- 113027
- 113028
- 113029
- 113030
- 113031
- 113032
- 113033
- 113034
- 113035
- 113036
- 113037
- 113038
- 113039
- 113040
- 114001
- 114002
- 114003
- 114004
- 114005
- 114006
- 114007
- 114008
- 114009
- 114010
- 114011
- 114012
- 114013
- 114014
- 114015
- 114016
- 114017
- 114018
- 114019
- 114020
- 114021
- 114022
- 114023
- 115000
- 115001
- 115002
- 120001
- 120002
- 120003
- 120004
- 120005
- 120006
- 120007
- 120008
- 120009
- 120010
- 120012
- 199001
- 199002
- 199003
- 199005
- 199010
- 199011
- 199012
- 199013
- 199014
- 199015
- 199016
- 199017
- 199018
- 199019
- 199020
- 199021
- メッセージ 201002 ~ 219002
- 201002
- 201003
- 201004
- 201005
- 201006
- 201008
- 201009
- 201010
- 201011
- 201012
- 201013
- 202001
- 202005
- 202010
- 202011
- 208005
- 209003
- 209004
- 209005
- 210001
- 210002
- 210003
- 210005
- 210006
- 210007
- 210008
- 210010
- 210011
- 210020
- 210021
- 210022
- 211001
- 211003
- 211004
- 212001
- 212002
- 212003
- 212004
- 212005
- 212006
- 212009
- 212010
- 212011
- 212012
- 213001
- 213002
- 213003
- 213004
- 213005
- 213006
- 214001
- 215001
- 217001
- 216001
- 216002
- 216003
- 216004
- 216005
- 218001
- 218002
- 218003
- 218004
- 219002
- メッセージ 302003 ~ 339009
- 302003
- 302004
- 302010
- 302012
- 302013
- 302014
- 302015
- 302016
- 302017
- 302018
- 302019
- 302020
- 302021
- 302033
- 302034
- 302302
- 302303
- 302304
- 303002
- 303004
- 303005
- 304001
- 304002
- 304003
- 304004
- 304005
- 304006
- 304007
- 304008
- 304009
- 305005
- 305006
- 305007
- 305008
- 305009
- 305010
- 305011
- 305012
- 305013
- 308001
- 308002
- 311001
- 311002
- 311003
- 311004
- 312001
- 313001
- 313004
- 313005
- 313008
- 313009
- 314001
- 314002
- 314003
- 314004
- 314005
- 314006
- 315004
- 315011
- 316001
- 316002
- 317001
- 317002
- 317003
- 317004
- 317005
- 317006
- 317007
- 317008
- 318001
- 318002
- 318003
- 318004
- 318005
- 318006
- 318007
- 318008
- 318009
- 318101
- 318102
- 318103
- 318104
- 318105
- 318106
- 318107
- 318108
- 318109
- 318110
- 318111
- 318112
- 318113
- 318114
- 318115
- 318116
- 318117
- 318118
- 318119
- 318120
- 318121
- 318122
- 318123
- 318125
- 318126
- 318127
- 319001
- 319002
- 319003
- 319004
- 320001
- 321001
- 321002
- 321003
- 321004
- 321005
- 321006
- 321007
- 322001
- 322002
- 322003
- 322004
- 323001
- 323002
- 323003
- 323004
- 323005
- 323006
- 323007
- 324000
- 324001
- 324002
- 324003
- 324004
- 324005
- 324006
- 324007
- 324008
- 324300
- 324301
- 325001
- 325002
- 325004
- 325005
- 325006
- 326001
- 326002
- 326004
- 326005
- 326006
- 326007
- 326008
- 326009
- 326010
- 326011
- 326012
- 326013
- 326014
- 326015
- 326016
- 326017
- 326019
- 326020
- 326021
- 326022
- 326023
- 326024
- 326025
- 326026
- 326027
- 326028
- 327001
- 327002
- 327003
- 328001
- 329001
- 331001
- 331002
- 332001
- 332002
- 332003
- 332004
- 333001
- 333002
- 333003
- 333004
- 333005
- 333006
- 333007
- 333008
- 333009
- 333010
- 334001
- 334002
- 334003
- 334004
- 334005
- 334006
- 334007
- 334008
- 334009
- 335001
- 335002
- 335003
- 335004
- 335004
- 335005
- 335006
- 335007
- 335008
- 335009
- 335010
- 335011
- 335012
- 335013
- 335014
- 336001
- 336002
- 336003
- 336004
- 336005
- 336006
- 336007
- 336008
- 336009
- 336010
- 336011
- 337001
- 337002
- 337003
- 337004
- 337005
- 337006
- 337007
- 337008
- 337009
- 338001
- 338002
- 338003
- 338004
- 338005
- 338006
- 338007
- 338008
- 338101
- 338102
- 338103
- 338104
- 338201
- 338202
- 338203
- 338204
- 338301
- 338302
- 338303
- 338304
- 338305
- 338306
- 338307
- 338308
- 338309
- 338310
- 339001
- 339002
- 339003
- 339004
- 339005
- 339006
- 339007
- 339008
- 339009
- 340001
- 340002
- 341001
- 341002
- 341003
- 341004
- 341005
- 341006
- 341007
- 341008
- 341010
- 341011
- メッセージ 400000 ~ 450001
- 4000nn
- 401001
- 401002
- 401003
- 401004
- 401005
- 402114
- 402115
- 402116
- 402117
- 402118
- 402119
- 402120
- 402121
- 402122
- 402123
- 402124
- 402125
- 402126
- 402127
- 402128
- 402129
- 402130
- 402131
- 402140
- 402141
- 402142
- 402143
- 402144
- 402145
- 402146
- 402147
- 402148
- 403101
- 403102
- 403103
- 403104
- 403106
- 403107
- 403108
- 403109
- 403110
- 403500
- 403501
- 403502
- 403503
- 403504
- 403505
- 403506
- 403507
- 405001
- 405003
- 405101
- 405002
- 405101
- 405102
- 405103
- 405104
- 405105
- 405106
- 405107
- 405201
- 405300
- 405301
- 406001
- 406002
- 407001
- 407002
- 407003
- 408001
- 408002
- 408003
- 409001
- 409002
- 409003
- 409004
- 409005
- 409006
- 409007
- 409008
- 409009
- 409010
- 409011
- 409012
- 409013
- 409023
- 409101
- 409102
- 409103
- 409104
- 409105
- 409106
- 409107
- 409108
- 409109
- 409110
- 409111
- 409112
- 409113
- 409114
- 409115
- 409116
- 409117
- 409118
- 409119
- 409120
- 409121
- 409122
- 409123
- 409125
- 409128
- 410001
- 410002
- 410003
- 410004
- 411001
- 411002
- 411003
- 411004
- 411005
- 412001
- 412002
- 413001
- 413002
- 413003
- 413004
- 413005
- 413006
- 413007
- 413008
- 414001
- 414002
- 414003
- 414004
- 414005
- 414006
- 414007
- 414008
- 415001
- 415002
- 415003
- 415004
- 415005
- 415006
- 415007
- 415008
- 415009
- 415010
- 415011
- 415012
- 415013
- 415014
- 415015
- 415016
- 415017
- 415018
- 415019
- 415020
- 416001
- 417001
- 417004
- 417006
- 418001
- 419001
- 419002
- 419003
- 420001
- 420002
- 420003
- 420004
- 420005
- 420006
- 420007
- 420008
- 421001
- 421002
- 421003
- 421004
- 421005
- 421006
- 421007
- 422004
- 422005
- 422006
- 423001
- 423002
- 423003
- 423004
- 423005
- 424001
- 424002
- 425001
- 425002
- 425003
- 425004
- 425005
- 425006
- 426001
- 426002
- 426003
- 426004
- 426101
- 426102
- 426103
- 426104
- 428002
- 429001
- 429002
- 429003
- 429004
- 429005
- 429006
- 429007
- 429008
- 431001
- 431002
- 444004
- 444005
- 444007
- 444100
- 444101
- 444102
- 444103
- 444104
- 444105
- 444106
- 444107
- 444108
- 444109
- 444110
- 444111
- 446001
- 446003
- 447001
- 448001
- 450001
- メッセージ 500001 ~ 509001
- メッセージ 602101 ~ 634001
- 602101
- 602103
- 602104
- 602303
- 602304
- 602305
- 603101
- 603102
- 603103
- 603104
- 603105
- 603106
- 603107
- 603108
- 603109
- 603110
- 604101
- 604102
- 604103
- 604104
- 604105
- 605004
- 605005
- 606001
- 606002
- 606003
- 606004
- 607001
- 607002
- 607003
- 608001
- 608002
- 608003
- 608004
- 608005
- 609001
- 609002
- 610001
- 610002
- 610101
- 611101
- 611102
- 611103
- 611104
- 611301
- 611302
- 611303
- 611304
- 611305
- 611306
- 611307
- 611308
- 611309
- 611310
- 611311
- 611312
- 611313
- 611314
- 611315
- 611316
- 611317
- 611318
- 611319
- 611320
- 611321
- 611322
- 611323
- 612001
- 612002
- 612003
- 613001
- 613002
- 613003
- 613101
- 613102
- 613103
- 613104
- 614001
- 614002
- 615001
- 615002
- 616001
- 617001
- 617002
- 617003
- 617004
- 617100
- 620001
- 620002
- 621001
- 621002
- 621003
- 621006
- 621007
- 622001
- 622101
- 622102
- 634001
- メッセージ 701001 ~ 775007
- 701001
- 701002
- 702305
- 702307
- 703001
- 703002
- 709001、709002
- 709003
- 709004
- 709005
- 709006
- 709007
- 710001
- 710002
- 710003
- 710004
- 710005
- 710006
- 710007
- 711001
- 711002
- 711003
- 711004
- 711005
- 711006
- 713004
- 713201
- 713202
- 713006
- 713008
- 713009
- 713010
- 713012
- 713014
- 713016
- 713017
- 713018
- 713020
- 713022
- 713024
- 713025
- 713028
- 713029
- 713032
- 713033
- 713034
- 713035
- 713039
- 713040
- 713041
- 713042
- 713043
- 713048
- 713049
- 713050
- 713052
- 713056
- 713060
- 713061
- 713062
- 713063
- 713065
- 713066
- 713068
- 713072
- 713073
- 713074
- 713075
- 713076
- 713078
- 713081
- 713082
- 713083
- 713084
- 713085
- 713086
- 713088
- 713092
- 713094
- 713098
- 713099
- 713102
- 713103
- 713104
- 713105
- 713107
- 713109
- 713112
- 713113
- 713114
- 713115
- 713117
- 713118
- 713119
- 713120
- 713121
- 713122
- 713123
- 713124
- 713127
- 713128
- 713129
- 713130
- 713131
- 713132
- 713133
- 713134
- 713135
- 713136
- 713137
- 713138
- 713139
- 713140
- 713141
- 713142
- 713143
- 713144
- 713145
- 713146
- 713147
- 713148
- 713149
- 713152
- 713154
- 713155
- 713156
- 713157
- 713158
- 713159
- 713160
- 713161
- 713162
- 713163
- 713164
- 713165
- 713166
- 713167
- 713168
- 713169
- 713170
- 713171
- 713172
- 713174
- 713176
- 713177
- 713178
- 713179
- 713182
- 713184
- 713185
- 713186
- 713187
- 713189
- 713190
- 713191
- 713193
- 713194
- 713195
- 713196
- 713197
- 713198
- 713199
- 713203
- 713204
- 713205
- 713206
- 713208
- 713209
- 713210
- 713211
- 713212
- 713213
- 713214
- 713215
- 713216
- 713217
- 713218
- 713219
- 713220
- 713221
- 713222
- 713223
- 713224
- 713225
- 713226
- 713227
- 713228
- 713229
- 713230
- 713231
- 713232
- 713233
- 713234
- 713235
- 713236
- 713237
- 713238
- 713239
- 713240
- 713241
- 713242
- 713243
- 713244
- 713245
- 713246
- 713247
- 713248
- 713249
- 713250
- 713251
- 713252
- 713253
- 713254
- 713255
- 713256
- 713257
- 713258
- 713259
- 713260
- 713261
- 713262
- 713263
- 713264
- 713265
- 713266
- 713267
- 713268
- 713269
- 713270
- 713271
- 713272
- 713273
- 713274
- 713900
- 713901
- 713902
- 713903
- 713904
- 713905
- 713906
- 714001
- 714002
- 714003
- 714004
- 714005
- 714006
- 714007
- 714011
- 715001
- 715004
- 715005
- 715006
- 715007
- 715008
- 715009
- 715013
- 715019
- 715020
- 715021
- 715022
- 715027
- 715028
- 715033
- 715034
- 715035
- 715036
- 715037
- 715038
- 715039
- 715040
- 715041
- 715042
- 715044
- 715045
- 715046
- 715047
- 715048
- 715049
- 715050
- 715051
- 715052
- 715053
- 715054
- 715055
- 715056
- 715057
- 715058
- 715059
- 715060
- 715061
- 715062
- 715063
- 715064
- 715065
- 715066
- 715067
- 715068
- 715069
- 715070
- 715071
- 715072
- 715074
- 715075
- 715076
- 715077
- 715080
- 716001
- 716002
- 716003
- 716004
- 716005
- 716006
- 716007
- 716008
- 716009
- 716010
- 716011
- 716012
- 716013
- 716014
- 716015
- 716016
- 716017
- 716018
- 716019
- 716020
- 716021
- 716022
- 716023
- 716024
- 716025
- 716026
- 716027
- 716028
- 716029
- 716030
- 716031
- 716032
- 716033
- 716034
- 716035
- 716036
- 716037
- 716038
- 716039
- 716040
- 716041
- 716042
- 716043
- 716044
- 716045
- 716046
- 716047
- 716048
- 716049
- 716050
- 716051
- 716052
- 716053
- 716054
- 716055
- 716056
- 716057
- 716058
- 716059
- 716060
- 716500
- 716501
- 716502
- 716503
- 716504
- 716505
- 716506
- 716507
- 716508
- 716509
- 716510
- 716512
- 716513
- 716515
- 716516
- 716517
- 716518
- 716519
- 716520
- 716521
- 716522
- 716525
- 716526
- 716527
- 716528
- 716600
- 716601
- 716602
- 716603
- 717001
- 717002
- 717003
- 717004
- 717005
- 717006
- 717007
- 717008
- 717009
- 717010
- 717011
- 717012
- 717013
- 717014
- 717015
- 717016
- 717017
- 717018
- 717019
- 717020
- 717021
- 717022
- 717023
- 717024
- 717025
- 717026
- 717027
- 717028
- 717029
- 717030
- 717031
- 717033
- 717034
- 717035
- 717036
- 717037
- 717038
- 717039
- 717040
- 717041
- 717042
- 717043
- 717044
- 717045
- 717046
- 717047
- 717048
- 717049
- 717050
- 717051
- 718001
- 718002
- 718003
- 718004
- 718005
- 718006
- 718007
- 718008
- 718009
- 718010
- 718011
- 718012
- 718013
- 718014
- 718015
- 718016
- 718017
- 718018
- 718019
- 718020
- 718021
- 718022
- 718023
- 718024
- 718025
- 718026
- 718027
- 718028
- 718029
- 718030
- 718031
- 718032
- 718033
- 718034
- 718035
- 718036
- 718037
- 718038
- 718039
- 718040
- 718041
- 718042
- 718043
- 718044
- 718045
- 718046
- 718047
- 718048
- 718049
- 718050
- 718051
- 718052
- 718053
- 718054
- 718055
- 718056
- 718057
- 718058
- 718059
- 718060
- 718061
- 718062
- 718063
- 718064
- 718065
- 718066
- 718067
- 718068
- 718069
- 718070
- 718071
- 718072
- 718073
- 718074
- 718075
- 718076
- 718077
- 718078
- 718079
- 718080
- 718081
- 718082
- 718083
- 718084
- 718085
- 718086
- 718087
- 718088
- 719001
- 719002
- 719003
- 719004
- 719005
- 719006
- 719007
- 719008
- 719009
- 719010
- 719011
- 719012
- 719013
- 719014
- 719015
- 719016
- 719017
- 719018
- 719019
- 719020
- 719021
- 719022
- 719023
- 719024
- 719025
- 719026
- 720001
- 720002
- 720003
- 720004
- 720005
- 720006
- 720007
- 720008
- 720009
- 720010
- 720011
- 720012
- 720013
- 720014
- 720015
- 720016
- 720017
- 720018
- 720019
- 720020
- 720021
- 720022
- 720023
- 720024
- 720025
- 720026
- 720027
- 720028
- 720029
- 720030
- 720031
- 720032
- 720033
- 720034
- 720035
- 720036
- 720037
- 720038
- 720039
- 720040
- 720041
- 720042
- 720043
- 720044
- 720045
- 720046
- 720047
- 720048
- 720049
- 720050
- 720051
- 720052
- 720053
- 720054
- 720055
- 720056
- 720057
- 720058
- 720059
- 720060
- 720061
- 720062
- 720063
- 720064
- 720065
- 720066
- 720067
- 720068
- 720069
- 720070
- 720071
- 720072
- 720073
- 721001
- 721002
- 721003
- 721004
- 721005
- 721006
- 721007
- 721008
- 721009
- 721010
- 721011
- 721012
- 721013
- 721014
- 721015
- 721016
- 721017
- 721018
- 721019
- 722001
- 722002
- 722003
- 722004
- 722005
- 722006
- 722007
- 722008
- 722009
- 722010
- 722011
- 722012
- 722013
- 722014
- 722015
- 722016
- 722017
- 722018
- 722019
- 722020
- 722021
- 722022
- 722023
- 722024
- 722025
- 722026
- 722027
- 722028
- 722029
- 722030
- 722031
- 722032
- 722033
- 722034
- 722035
- 722036
- 722037
- 722038
- 722039
- 722040
- 722041
- 722042
- 722043
- 722044
- 722045
- 722046
- 722047
- 722048
- 722049
- 722050
- 722051
- 722053
- 723001
- 723002
- 723003
- 723004
- 723005
- 723006
- 723007
- 723008
- 723009
- 723010
- 723011
- 723012
- 723013
- 723014
- 724001
- 724002
- 725001
- 725002
- 725003
- 725004
- 725005
- 725006
- 725007
- 725008
- 725009
- 725010
- 725011
- 725012
- 725013
- 725014
- 725015
- 726001
- 730001
- 730002
- 730003
- 730004
- 730005
- 730006
- 730007
- 730008
- 730009
- 730010
- 731001
- 731002
- 731003
- 732001
- 732002
- 732003
- 733100
- 733101
- 733102
- 733103
- 733104
- 733105
- 734001
- 734002
- 734003
- 734004
- 734005
- 735001
- 735002
- 735003
- 735004
- 735005
- 735006
- 735007
- 735008
- 735009
- 735010
- 735011
- 735012
- 735013
- 735014
- 735015
- 735016
- 735017
- 735018
- 735019
- 735020
- 735021
- 735022
- 735023
- 735024
- 735025
- 735026
- 735027
- 735028
- 735029
- 736001
- 737001
- 737002
- 737003
- 737004
- 737005
- 737006
- 737007
- 737008
- 737009
- 737010
- 737011
- 737012
- 737013
- 737014
- 737015
- 737016
- 737017
- 737018
- 737019
- 737023
- 737024
- 737025
- 737026
- 737027
- 737028
- 737029
- 737030
- 737031
- 737032
- 737033
- 741000
- 741001
- 741002
- 741003
- 741004
- 741005
- 741006
- 742001
- 742002
- 742003
- 742004
- 742005
- 742006
- 742007
- 742008
- 742009
- 742010
- 743000
- 743001
- 743002
- 743004
- 746001
- 746002
- 746003
- 746004
- 746005
- 746006
- 746007
- 746008
- 746009
- 746010
- 746011
- 746012
- 746013
- 746014
- 746015
- 746016
- 746017
- 746018
- 746019
- 747001
- 747002
- 747003
- 747004
- 747005
- 747006
- 747007
- 747008
- 747009
- 747010
- 747011
- 747012
- 747013
- 747014
- 747015
- 747016
- 747017
- 747018
- 747019
- 747020
- 747021
- 747022
- 747023
- 747024
- 747025
- 747026
- 747027
- 747028
- 747029
- 747030
- 747031
- 747032
- 747033
- 750001
- 750002
- 750003
- 750004
- 750005
- 750006
- 750007
- 750008
- 750009
- 750011
- 750012
- 751001
- 751002
- 751003
- 751004
- 751005
- 751006
- 751007
- 751008
- 751009
- 751010
- 751011
- 751012
- 751013
- 751014
- 751015
- 751016
- 751017
- 751018
- 751019
- 751020
- 751021
- 751022
- 751023
- 752001
- 752002
- 752003
- 752004
- 752005
- 752006
- 752007
- 752008
- 752009
- 752010
- 752011
- 752012
- 752013
- 752014
- 752015
- 752016
- 752017
- 766001
- 766002
- 766003
- 766004
- 766005
- 766006
- 766007
- 766008
- 766009
- 766010
- 766011
- 766012
- 766013
- 766014
- 766015
- 766016
- 766017
- 766018
- 766019
- 766020
- 766201
- 766202
- 766203
- 766204
- 766251
- 766252
- 766253
- 766254
- 766301
- 766302
- 766303
- 766304
- 766305
- 766307
- 766308
- 766309
- 766310
- 766311
- 766312
- 766313
- 767001
- 768001
- 768002
- 768003
- 769001
- 769002
- 769003
- 769004
- 770001
- 770002
- 770003
- 770001
- 770002
- 770003
- 771001
- 771002
- 772002
- 772003
- 772004
- 772005
- 772006
- 774001
- 774002
- 775001
- 775002
- 775003
- 775004
- 775005
- 775006
- 775007
syslog メッセージ
(注) 番号が連番から抜けている場合、そのメッセージは ASA コードにはありません。
ロギング、SNMP、および NetFlow を設定する方法については、『CLI 設定ガイド』を参照してください。
表 1-1 に、メッセージのクラスおよび各クラスに関連付けられているメッセージ ID を示します。メッセージ ID の有効な範囲は 100000 ~ 999999 です。
|
|
|
|
|---|---|---|
106、108、201、202、204、302、303、304、305、314、405、406、407、500、502、607、608、609、616、620、703、710 |
||
199、211、214、216、306、307、315、414、604、605、606、610、612、614、615、701、711、741 |
||
メッセージ 101001 ~ 199021
この項では、101001 から 199021 までのメッセージについて説明します。
101001
エラー メッセージ %ASA-1-101001: (Primary) Failover cable OK.説明 フェールオーバー ケーブルが接続され、正常に機能しています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
101002
エラー メッセージ %ASA-1-101002: (Primary) Bad failover cable.説明 フェールオーバー ケーブルが接続されていますが、正常に機能していません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
101003、101004
エラー メッセージ %ASA-1-101003: (Primary) Failover cable not connected (this unit). エラー メッセージ %ASA-1-101004: (Primary) Failover cable not connected (other unit).説明 フェールオーバー モードがイネーブルになっていますが、フェールオーバー ケーブルがフェールオーバー ペアの一方の装置に接続されていません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
101005
エラー メッセージ %ASA-1-101005: (Primary) Error reading failover cable status.103001
エラー メッセージ %ASA-1-103001: (Primary) No response from other firewall (reason code = code).説明 プライマリ装置がフェールオーバー ケーブル経由でセカンダリ装置と通信できません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。 表 1-2 に、フェールオーバーが発生した原因を判断するための原因コードおよび説明を示します。
推奨処置 フェールオーバー ケーブルが正しく接続され、両方の装置が同じハードウェア、ソフトウェア、およびコンフィギュレーションになっていることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
103002
エラー メッセージ %ASA-1-103002: (Primary) Other firewall network interface interface_number OK.説明 セカンダリ装置のネットワーク インターフェイスが正常であることをプライマリ装置が検出しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
103003
エラー メッセージ %ASA-1-103003: (Primary) Other firewall network interface interface_number failed.説明 セカンダリ装置に不良ネットワーク インターフェイスをプライマリ装置が検出しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨処置 セカンダリ装置のネットワーク接続とネットワーク ハブ接続を確認します。必要に応じて、障害の発生したネットワーク インターフェイスを交換します。
103004
エラー メッセージ %ASA-1-103004: (Primary) Other firewall reports this firewall failed. Reason: reason-string説明 プライマリ装置に障害が発生していることを示すメッセージをプライマリ装置がセカンダリ装置から受信しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。理由は、次のいずれかになります。
•
フェールオーバー コマンド インターフェイスのポーリング パケット失敗がしきい値を超過しました。
• LAN フェールオーバー インターフェイスが失敗しました。
• ピアが Standby Ready 状態への移行に失敗しました。
• コンフィギュレーションの完全なレプリケーションに失敗しました。このファイアウォールのコンフィギュレーションが同期していない可能性があります。
103005
エラー メッセージ %ASA-1-103005: (Primary) Other firewall reporting failure. Reason: SSM card failure説明 セカンダリ装置がプライマリ装置に SSM カードの障害を報告しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
103006
エラー メッセージ %ASA-1-103006: (Primary|Secondary) Mate version ver_num is not compatible with ours ver_num説明 ローカル装置と異なるバージョンを実行している、HA Hitless Upgrade 機能と互換性がないピア装置を ASA が検出しました。
103007
エラー メッセージ %ASA-1-103007: (Primary|Secondary) Mate version ver_num is not identical with ours ver_num説明 ピア装置で実行されているバージョンがローカル装置と異なるが、Hitless Upgrade をサポートしており、ローカル装置と互換性があることを ASA が検出しました。イメージのバージョンが異なるために、システムのパフォーマンスが低下するおそれがあります。また、異なるイメージを長期間実行すると、ASA で安定性の問題が発生する可能性があります。
104001、104002
エラー メッセージ %ASA-1-104001: (Primary) Switching to ACTIVE (cause: string ). エラー メッセージ %ASA-1-104002: (Primary) Switching to STANDBY (cause: string ).説明 スタンバイ装置で failover active コマンドを入力するか、またはアクティブ装置で no failover active コマンドを入力することによって強制的にフェールオーバー ペアの役割が切り替えられました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。string 変数の値は次のとおりです。
• ifc [interface] check, mate is healthier
• the other side wants me to standby
• in failed state, cannot be active
• other unit set to active by CLI config command fail active
推奨処置 手作業による介入が原因でメッセージが表示される場合は、処置は不要です。それ以外の場合は、セカンダリ装置から報告された原因を使用して、ペアの装置両方のステータスを確認します。
104003
エラー メッセージ %ASA-1-104003: (Primary) Switching to FAILED.推奨処置 プライマリ装置のメッセージを確認して、問題の内容を示す表示がないかどうかを調べます(メッセージ 104001 を参照)。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
104004
エラー メッセージ %ASA-1-104004: (Primary) Switching to OK.説明 前に障害になった装置が再び動作していると報告しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
105001
エラー メッセージ %ASA-1-105001: (Primary) Disabling failover.説明 バージョン 7.x 以降では、このメッセージは、モードのミスマッチ(シングルまたはマルチ)、ライセンスのミスマッチ(暗号化またはコンテキスト)、またはハードウェアの相違(一方の装置には IPS SSM がインストールされ、そのピアには CSC SSM がインストールされている)が原因でフェールオーバーが自動的にディセーブルになったことを示す場合があります。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
105002
エラー メッセージ %ASA-1-105002: (Primary) Enabling failover.説明 これまでフェールオーバーをディセーブルにしていたコンソールで引数を指定せずに failover コマンドが使用されました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
105003
エラー メッセージ %ASA-1-105003: (Primary) Monitoring on interface interface_name waiting説明 ASA が指定されたネットワーク インターフェイス(フェールオーバー ペアの相手装置とのインターフェイス)をテストしています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
105004
エラー メッセージ %ASA-1-105004: (Primary) Monitoring on interface interface_name normal説明 指定されたネットワーク インターフェイスのテストが成功しました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
105005
エラー メッセージ %ASA-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.説明 フェールオーバー ペアの一方の装置がペアの相手装置と通信できなくなりました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
105006、105007
エラー メッセージ %ASA-1-105006: (Primary) Link status Up on interface interface_name. エラー メッセージ %ASA-1-105007: (Primary) Link status Down on interface interface_name.説明 指定されたインターフェイスのリンク ステータスのモニタリング結果が報告されました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨処置 リンク ステータスがダウンである場合は、指定されたインターフェイスに接続されているネットワークが正しく動作していることを確認します。
105008
エラー メッセージ %ASA-1-105008: (Primary) Testing interface interface_name.説明 指定されたネットワーク インターフェイスのテストが発生しました。このテストは、想定された間隔後に ASA がそのインターフェイス上でスタンバイ装置からメッセージを受け取ることができなかった場合に限って実行されます。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
105009
エラー メッセージ %ASA-1-105009: (Primary) Testing on interface interface_name {Passed|Failed}.説明 前のインターフェイス テストの結果(Passed または Failed)が報告されました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨処置 結果が Passed であれば不要です。結果が Failed の場合は、両方のフェールオーバー装置へのネットワーク ケーブル接続、およびネットワーク自体が正しく機能していることをチェックし、スタンバイ装置のステータスを確認します。
105010
エラー メッセージ %ASA-3-105010: (Primary) Failover message block alloc failed説明 ブロック メモリが枯渇しています。これは一時メッセージで、ASA は回復する必要があります。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
105011
エラー メッセージ %ASA-1-105011: (Primary) Failover cable communication failure説明 フェールオーバー ケーブルがプライマリ装置とセカンダリ装置間の通信を許可していません。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
105020
エラー メッセージ %ASA-1-105020: (Primary) Incomplete/slow config replication説明 フェールオーバーが発生すると、アクティブな ASA はメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨処置 ASA がフェールオーバーを検出した後、ASA は自動的にリブートして、フラッシュ メモリからコンフィギュレーションをロードするか、または別の ASA と再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方の ASA 装置が互いに通信できることを確認します。
105021
エラー メッセージ %ASA-1-105021: ( failover_unit ) Standby unit failed to sync due to a locked context_name config. Lock held by lock_owner_name説明 コンフィギュレーションの同期化中に、他の何らかのプロセスが 5 分を超えてコンフィギュレーションをロックして、フェールオーバー プロセスが新しいコンフィギュレーションを適用するのを妨げている場合、スタンバイ装置は自分自身をリロードします。これは、コンフィギュレーション同期化の進行中に、管理者がスタンバイ装置で実行コンフィギュレーションに目を通している場合に発生することがあります。『 Cisco ASA 5500 Series Command Reference 』で、特権 EXEC モードの show running-config コマンドと、グローバル コンフィギュレーション モードの pager lines num コマンドも参照してください。
推奨処置 スタンバイ装置が最初にブートし、アクティブ装置とのフェールオーバー接続を確立している間は、スタンバイ装置でコンフィギュレーションを表示または修正しないでください。
105031
エラー メッセージ %ASA-1-105031: Failover LAN interface is up105032
エラー メッセージ %ASA-1-105032: LAN Failover interface is down説明 LAN フェールオーバー インターフェイス リンクがダウンしています。
推奨処置 LAN フェールオーバー インターフェイスの接続を確認します。速度または二重通信の設定が正しいことを確認します。
105034
エラー メッセージ %ASA-1-105034: Receive a LAN_FAILOVER_UP message from peer.105035
エラー メッセージ %ASA-1-105035: Receive a LAN failover interface down msg from peer.説明 ピア LAN フェールオーバー インターフェイス リンクがダウンしています。装置がスタンバイ モードになっている場合、アクティブ モードに切り替わります。
105036
エラー メッセージ %ASA-1-105036: dropped a LAN Failover command message.説明 ASA は無応答の LAN フェールオーバー コマンド メッセージを廃棄しました。これは LAN フェールオーバー インターフェイスに接続障害が存在することを示します。
105037
エラー メッセージ %ASA-1-105037: The primary and standby units are switching back and forth as the active unit.説明 プライマリ装置およびスタンバイ装置がアクティブ装置として交互に切り替わっています。これは、LAN フェールオーバー接続障害またはソフトウェアのバグが存在することを示します。
105038
エラー メッセージ %ASA-1-105038: (Primary) Interface count mismatch説明 フェールオーバーが発生すると、アクティブな ASA はメモリ内の不完全なコンフィギュレーションを検出します。通常、これは複製サービスの中断が原因となっています。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨処置 ASA によってフェールオーバーが検出されると、ASA は自動的にリブートして、フラッシュ メモリからコンフィギュレーションをロードするか、または別の ASA と再同期化します(両方行うこともあります)。フェールオーバーが引き続き発生する場合は、フェールオーバー コンフィギュレーションを調べて、両方の ASA 装置が互いに通信できることを確認します。
105039
エラー メッセージ %ASA-1-105039: (Primary) Unable to verify the Interface count with mate. Failover may be disabled in mate.説明 フェールオーバーは最初にプライマリおよびセカンダリの ASA で設定されているインターフェイスの数が同じであることを確認します。このメッセージは、セカンダリ ASA で設定されているインターフェイスの数をプライマリ ASA が確認できないことを示します。このメッセージは、プライマリ ASA がフェールオーバー インターフェイス経由でセカンダリ ASA と通信できないことを示します。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨処置 プライマリおよびセカンダリ ASA でフェールオーバー LAN、インターフェイス コンフィギュレーション、およびステータスを確認します。セカンダリ ASA が ASA アプリケーションを実行しており、フェールオーバーがイネーブルになっていることを確認します。
105040
エラー メッセージ %ASA-1-105040: (Primary) Mate failover version is not compatible.説明 プライマリおよびセカンダリの ASA は、フェールオーバー ペアとして動作するために同じフェールオーバー ソフトウェアのバージョンを実行する必要があります。このメッセージは、セカンダリ ASA のフェールオーバー ソフトウェアのバージョンがプライマリ ASA と互換性がないことを示します。フェールオーバーがプライマリ ASA でディセーブルになっています。Primary は、セカンダリの ASA の場合は Secondary と示されることもあります。
推奨処置 フェールオーバーをイネーブルにするために、プライマリおよびセカンダリの ASA 間で一致したソフトウェア バージョンを使用します。
105042
エラー メッセージ %ASA-1-105042: (Primary) Failover interface OK説明 LAN フェールオーバー インターフェイス リンクがアップしています。
説明 セカンダリ ASA にフェールオーバー メッセージを送信するために使用されるインターフェイスが機能しています。Primary は、セカンダリの ASA の場合は Secondary と示されることもあります。
105043
エラー メッセージ %ASA-1-105043: (Primary) Failover interface failed説明 LAN フェールオーバー インターフェイス リンクがダウンしています。
推奨処置 LAN フェールオーバー インターフェイスの接続を確認します。速度または二重通信の設定が正しいことを確認します。
105044
エラー メッセージ %ASA-1-105044: (Primary) Mate operational mode mode is not compatible with my mode mode.説明 動作モード(シングルまたはマルチ)がフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。
105045
エラー メッセージ %ASA-1-105045: (Primary) Mate license (number contexts) is not compatible with my license (number contexts).説明 フィーチャ ライセンスがフェールオーバー ピア間で一致しない場合、フェールオーバーはディセーブルになります。
推奨処置 同じフィーチャ ライセンスを持つようにフェールオーバー ピアを設定してから、フェールオーバーを再度イネーブルにします。
105046
エラー メッセージ %ASA-1-105046 (Primary|Secondary) Mate has a different chassis説明 2 つのフェールオーバー装置が異なるタイプのシャーシを持っています。たとえば、一方が 3 スロットのシャーシを持ち、もう一方が 6 スロットのシャーシを持つ場合です。
105047
エラー メッセージ %ASA-1-105047: Mate has a io_card_name1 card in slot slot_number which is different from my io_card_name2105048
エラー メッセージ %ASA-1-105048: ( unit ) Mate's service module ( application ) is different from mine ( application )説明 アクティブ装置とスタンバイ装置のサービス モジュールで異なるアプリケーションが動作していることをフェールオーバー プロセスが検出しました。異なるサービス モジュールが使用されている場合、2 つのフェールオーバー装置は互換性がありません。
• application :アプリケーションの名前(たとえば、InterScan Security Card)
推奨処置 フェールオーバーを再度イネーブルにする前に、両方の装置が同じサービス モジュールを装備していることを確認します。
106001
エラー メッセージ %ASA-2-106001: Inbound TCP connection denied from IP_address/port to IP_address/port flags tcp_flags on interface interface_name説明 内部アドレスへの接続の試行が、指定されたトラフィック タイプに定義されたセキュリティ ポリシーによって拒否されました。表示される IP アドレスは、NAT によって表示される IP アドレスではなく実際の IP アドレスです。表示される tcp_flags 値は、接続が拒否されたときに存在していた TCP ヘッダーのフラグに対応します。たとえば、ASA に接続状態が存在しない TCP パケットが到着し、それが廃棄された場合です。このパケットの tcp_flags は FIN および ACK です。
106002
エラー メッセージ %ASA-2-106002: protocol Connection denied by outbound list acl_ID src inside_address dest outside_address説明 指定された接続は、 outbound deny コマンドが原因で失敗しました。 protocol 変数は ICMP、TCP、または UDP になります。
106006
エラー メッセージ %ASA-2-106006: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port on interface interface_name.説明 着信 UDP パケットが、指定されたトラフィック タイプに定義されているセキュリティ ポリシーによって拒否されました。
106007
エラー メッセージ %ASA-2-106007: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port due to DNS {Response|Query}.説明 DNS クエリーまたは応答を含んでいる UDP パケットが拒否されました。
推奨処置 内部ポート番号が 53 の場合、内部ホストはキャッシング ネーム サーバとして設定されていると考えられます。 access-list コマンド文を追加して、UDP ポート 53 のトラフィックおよび内部ホストの変換エントリを許可します。外部ポート番号が 53 の場合、DNS サーバの応答が遅かったため、クエリーには別のサーバが応答したと考えられます。
106010
エラー メッセージ %ASA-3-106010: Deny inbound protocol src [ interface_name : source_address/source_port ] [([ idfw_user | FQDN_string ], sg_info )] dst [ interface_name : dest_address / dest_port }[([ idfw_user | FQDN_string ], sg_info )]説明 着信接続は、セキュリティ ポリシーによって拒否されました。
推奨処置 トラフィックを許可する必要がある場合は、セキュリティ ポリシーを修正します。このメッセージが繰り返し表示される場合は、リモート ピアの管理者にお問い合わせください。
106011
エラー メッセージ %ASA-3-106011: Deny inbound (No xlate) string説明 このメッセージは、Web ブラウザ経由でインターネットにアクセスしている内部ユーザがいる場合、通常のトラフィック条件で表示されます。接続がリセットされた場合は常に、ASA が接続リセットを受信した後にその接続の端にあるホストがパケットを送信すると、このメッセージが表示されます。これは通常、無視してかまいません。
推奨処置 no logging message 106011 コマンドを入力して、このメッセージが syslog サーバに記録されないようにします。
106012
エラー メッセージ %ASA-6-106012: Deny IP from IP_address to IP_address , IP options hex.説明 IP パケットが IP オプションとともに表示されました。IP オプションはセキュリティ リスクと見なされるので、パケットは廃棄されました。
推奨処置 リモート ホスト システムの管理者に問い合わせて、問題を判別します。 ローカル サイトを確認して、あいまいなソース ルーティングや厳密なソース ルーティングがないかどうかを調べます。
106013
エラー メッセージ %ASA-2-106013: Dropping echo request from IP_address to PAT address IP_address説明 ASA は、PAT グローバル アドレスに対応する宛先アドレスを持つ着信 ICMP エコー要求パケットを廃棄しました。着信パケットは、そのパケットを受信するべき PAT ホストを指定できないので廃棄されます。
106014
エラー メッセージ %ASA-3-106014: Deny inbound icmp src interface_name : IP_address [([ idfw_user | FQDN_string ], sg_info )] dst interface_name : IP_address [([ idfw_user | FQDN_string ], sg_info )] (type dec , code dec )説明 ASA は、すべての着信 ICMP パケット アクセスを拒否しました。デフォルトで、ICMP パケットはすべて、特に許可されている場合を除き、アクセスを拒否されます。
106015
エラー メッセージ %ASA-6-106015: Deny TCP (no connection) from IP_address /port to IP_address /port flags tcp_flags on interface interface_name.説明 ASA は、 関連付けられている接続が ASA 接続テーブルにない TCP パケットを廃棄しました。 ASA は、 新しい接続の確立要求を示す SYN フラグをパケットで探します。その SYN フラグが設定されておらず、既存の接続もない場合、 ASA はそのパケットを廃棄します。
推奨処置 ASA がこれらの無効な TCP パケットを大量に受信する場合を除き、不要です。大量に受信する場合は、パケットを送信元までトレースして、これらのパケットが送信された原因を判別します。
106016
エラー メッセージ %ASA-2-106016: Deny IP spoof from ( IP_address ) to IP_address on interface interface_name.説明 宛先 IP アドレスが 0.0.0.0 で、宛先 MAC アドレスが ASA インターフェイスのアドレスのパケットが ASA インターフェイスに到着しました。また、このメッセージは、ASA が無効な送信元アドレス(たとえば、次に示すアドレスなどの無効アドレス)を持つパケットを廃棄した場合にも生成されます。
• ブロードキャスト(limited、net-directed、subnet-directed、および all-subnets-directed)
スプーフィング パケット検出をさらに強化するには、 icmp コマンドを使用して、内部ネットワークに属する送信元アドレスを持つパケットを廃棄するように ASA を設定します。 現在、 access-list コマンドは推奨されておらず、正しく動作することも保証されていません。
推奨処置 外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。設定に誤りのあるクライアントをチェックします。
106017
エラー メッセージ %ASA-2-106017: Deny IP due to Land Attack from IP_address to IP_address説明 IP 送信元アドレスと IP 宛先が同一で、かつ宛先ポートと送信元ポートが同一のパケットを ASA が受信しました。このメッセージは、システムの攻撃を目的としてスプーフィングされたパケットを示します。この攻撃は、Land 攻撃と呼ばれます。
推奨処置 このメッセージが引き続き表示される場合は、攻撃が進行中である可能性があります。パケットは、攻撃の起点を決定するのに十分な情報を提供しません。
106018
エラー メッセージ %ASA-2-106018: ICMP packet type ICMP_type denied by outbound list acl_ID src inside_address dest outside_address説明 ローカル ホスト(inside_address)から外部ホスト(outside_address)への発信 ICMP パケット(指定された ICMP のパケット)が発信 ACL リストによって拒否されました。
106020
エラー メッセージ %ASA-2-106020: Deny IP teardrop fragment (size = number, offset = number) from IP_address to IP_address説明 ASA が、小さなオフセットまたはフラグメントの重複が含まれる teardrop シグニチャを持つ IP パケットを廃棄しました。これは、ASA または侵入検知システムを欺く敵対イベントです。
106021
エラー メッセージ %ASA-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name説明 攻撃が進行中です。着信接続で IP アドレスをスプーフィングしようとする試みが行われています。逆ルート ルックアップとも呼ばれる Unicast RPF は、ルートによって表される送信元アドレスを持たないパケットを検出し、そのパケットを ASA への攻撃の一部であると想定します。
このメッセージは、ip verify reverse-path コマンドで Unicast RPF をイネーブルにしている場合に表示されます。この機能は、インターフェイスに入力されるパケットについて動作します。外側で設定されている場合、ASA は、外部から到達するパケットを確認します。
ASA は、source_address に基づいてルートを検索します。エントリが検出されず、ルートが定義されない場合は、このメッセージが表示され、接続は廃棄されます。
ルートがある場合、ASA は対応するインターフェイスを確認します。パケットが別のインターフェイスに到着した場合、このパケットはスプーフィングであるか、または宛先までに複数のパスがある非対称ルーティング環境が存在しています。ASA は、非対称ルーティングはサポートしていません。
ASA が内部インターフェイスで設定されている場合はスタティック route コマンド文または RIP をチェックし、source_address が見つからない場合は、内部ユーザがアドレスをスプーフィングしています。
推奨処置 攻撃が進行中であっても、この機能がイネーブルになっていれば、ユーザによる処置は不要です。ASA により、攻撃が阻止されます。
106022
エラー メッセージ %ASA-1-106022: Deny protocol connection spoof from source_address to dest_address on interface interface_name説明 接続と一致するパケットが、その接続が開始されたインターフェイスとは異なるインターフェイスに到着しました。また、ip verify reverse-path コマンドが設定されていません。
たとえば、ユーザが内部インターフェイスで接続を開始したが、ASA が境界インターフェイスに到着する同じ接続を検出する場合、ASA は宛先へのパスを複数持っていることになります。これは非対称ルーティングと呼ばれ、ASA ではサポートされていません。
攻撃者は、ASA に侵入する方法として、1 つの接続から別の接続にパケットを付加しようと試みることもあります。どちらの場合も、ASA はこのメッセージを表示して、接続を廃棄します。
106023
エラー メッセージ %ASA-4-106023: Deny protocol src [ interface_name : source_address / source_port ] [([ idfw_user | FQDN_string ], sg_info )] dst interface_name : dest_address / dest_port [([ idfw_user | FQDN_string ], sg_info )] [type { string }, code { code }] by access_group acl_ID [0x8ed66b60, 0xf8852875]説明 実際の IP パケットが ACL によって拒否されました。このメッセージは、ACL に対して log オプションをイネーブルにしていない場合でも表示されます。IP アドレスは、NAT によって表示される値ではなく実際の IP アドレスです。一致するものが見つかった場合、IP アドレスに対応するユーザ ID 情報と FQDN 情報の両方が出力されます。ASA は、識別情報(ドメイン\ユーザ)または FQDN(ユーザ名が使用できない場合)のいずれかをログに記録します。識別情報または FQDN が使用可能な場合、ASA は、この情報を送信元と宛先の両方のログに記録します。
推奨処置 同じ送信元アドレスからのメッセージが引き続き表示される場合は、フットプリンティングまたはポート スキャンが行われている可能性があります。リモート ホストの管理者にお問い合わせください。
106024
エラー メッセージ %ASA-2-106024: Access rules memory exhausted説明 アクセス リストのコンパイル プロセスで、メモリが不足しています。最後の正常なアクセス リスト以降に追加されたコンフィギュレーション情報はすべて、ASA から削除されました。最新のコンパイル済みアクセス リストのセットが引き続き使用されます。
推奨処置 Access Lists、AAA、ICMP、SSH、Telnet、および他の規則タイプは、アクセス リストの規則タイプとして格納され、コンパイルされます。これらの規則タイプの一部を削除して、他の規則タイプを追加できるようにします。
106025、106026
エラー メッセージ %ASA-6-106025: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol エラー メッセージ %ASA-6-106026: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port protocol説明 マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。どちらのメッセージも、ルータまたはトランスペアレント モードで廃棄される IP パケットに対して生成されることがあります。
106027
エラー メッセージ %ASA-4-106027:Failed to determine the security context for the packet:vlansource Vlan#:ethertype src sourceMAC dst destMAC説明 マルチコンテキスト モードのパケットのセキュリティ コンテキストを判定できません。このメッセージは、トランスペアレント モードで廃棄される非 IP パケットに対してだけ生成されます。
106100
エラー メッセージ %ASA-6-106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name / source_address ( source_port ) ( idfw_user , sg_info ) interface_name / dest_address ( dest_port ) ( idfw_user , sg_info ) hit-cnt number ({first hit | number -second interval}) hash codes説明 最初の出現か、またはある期間の合計出現数を示します。このメッセージは、拒否されたパケットだけを記録して、ヒット数も設定可能なレベルも含まないメッセージ 106023 よりも多くの情報を提供します。
アクセス リストの行に log 引数が含まれている場合、非同期パケットが ASA に到達し、アクセス リストによって評価されることによって、このメッセージ ID がトリガーされる可能性があると想定されます。たとえば、ASA で(接続テーブルに TCP 接続が存在しない)ACK パケットを受信した場合、ASA によってメッセージ 106100 が生成される可能性があります。このメッセージは、パケットは許可されたが、一致する接続が存在しないために後で正しく廃棄されることを示します。
• permitted | denied | est-allowed:これらの値は、パケットが ACL によって許可されたか拒否されたかを指摘します。値が est-allowed の場合、パケットは ACL によって拒否されましたが、すでに確立されているセッションで許可されました(たとえば、内部ユーザがインターネットへのアクセスを許可され、通常は ACL によって拒否される応答パケットが許可されます)。
• protocol :TCP、UDP、ICMP、または IP プロトコル番号。
• interface_name :ログ フローの送信元または宛先のインターフェイス名。VLAN インターフェイスがサポートされています。
• source_address :ログ フローの送信元 IP アドレス。IP アドレスは、NAT によって表示される値ではなく実際の IP アドレスです。
• dest_address :ログ フローの宛先 IP アドレス。IP アドレスは、NAT によって表示される値ではなく実際の IP アドレスです。
• source_port :ログ フローの送信元ポート(TCP または UDP)。ICMP の場合、送信元ポートの後の数字は、メッセージ タイプです。
• idfw_user :ASA が当該 IP アドレスのユーザ名を見つけた場合に既存の syslog に追加される、ドメイン名を含むユーザ識別用ユーザ名。
• sg_info : ASA によって当該 IP アドレスのセキュリティ グループ タグが検出された場合に syslog に追加されるセキュリティ グループ タグ。セキュリティ グループ名は、セキュリティ グループ タグがあればそれとともに表示されます。
• dest_port :ログ フローの宛先ポート(TCP または UDP)。ICMP の場合、宛先ポートの後の数字は ICMP メッセージ コードです。これは一部のメッセージ タイプに使用可能です。タイプ 8 の場合、これは常に 0 です。ICMP メッセージ タイプのリストについては、次の URL を参照してください。 http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml
• hit-cnt number :設定した期間に、このフローが ACL エントリによって許可または拒否された回数。ASA がこのフローに対して最初のメッセージを生成するときの値は 1 です。
• first hit:このフローに対して生成された最初のメッセージ。
• number -second interval:ヒット数を累算する対象期間。この期間は、 access-list コマンドで interval オプションを使用して設定します。
• ハッシュ コード:オブジェクト グループ ACE および構成要素の通常の ACE には、必ず 2 が表示されます。値は、パケットがヒットする ACE 上で決定されます。これらのハッシュ コードを表示するには show-access list コマンドを入力します。
106101
エラー メッセージ %ASA-1-106101 The number of ACL log deny-flows has reached limit ( number ).説明 ACL deny 文( access-list id deny コマンド)に log オプションを設定してあり、トラフィック フローが ACL 文と一致する場合、ASAはフロー情報をキャッシュします。このメッセージは、ASAでキャッシュされる一致フローの数がユーザが設定した制限( access-list deny-flow-max コマンドを使用)を超えたことを示します。このメッセージは、Denial of Service(DoS; サービス拒絶)攻撃の結果生成される可能性があります。
106102
エラー メッセージ %ASA-6-106102: access-list acl_ID {permitted|denied} protocol for user username interface_name / source_address source_port interface_name / dest_address dest_port hit-cnt number {first hit| number -second interval} hash codes説明 VPN フィルタを通じて適用されるアクセス リストによってパケットが許可または拒否されました。このメッセージは、メッセージ 106100 に相当する VPN/AAA フィルタのメッセージです。
106103
エラー メッセージ %ASA-4-106103: access-list acl_ID denied protocol for user username interface_name / source_address source_port interface_name / dest_address dest_port hit-cnt number first hit hash codes説明 VPN フィルタを通じて適用されるアクセス リストによってパケットが拒否されました。このメッセージは、メッセージ 106023 に相当する VPN/AAA フィルタのメッセージです。
107001
エラー メッセージ %ASA-1-107001: RIP auth failed from IP_address : version=number, type=string, mode=string, sequence=number on interface interface_name説明 ASAは不正な認証を持つ RIP 応答メッセージを受信しました。このメッセージは、ルータまたは ASA の設定の誤り、または ASA のルーティング テーブルへの攻撃の失敗が原因となることもあります。
推奨処置 このメッセージは攻撃の可能性を示しているため、モニタする必要があります。このメッセージに示されている送信元 IP アドレスを熟知していない場合は、信頼できるエンティティ間で RIP 認証キーを交換します。攻撃者が既存のキーを判別しようと試みている可能性もあります。
107002
エラー メッセージ %ASA-1-107002: RIP pkt failed from IP_address : version=number on interface interface_name説明 このメッセージは、ルータのバグ、非 RFC 値を内部に持つパケット、または形式が誤っているエントリが原因で表示される可能性があります。これは発生してはならないもので、ASA のルーティング テーブルを利用しようとする試みの可能性もあります。
推奨処置 このメッセージは攻撃の可能性を示しているため、モニタする必要があります。パケットは認証を渡しましたが(イネーブルの場合)、不良データがパケット内にあります。パケットの発信者について疑わしい点があれば、状況をモニタしてキーを変更します。
108002
エラー メッセージ %ASA-2-108002: SMTP replaced string: out source_address in inside_address data: string説明 Mail Guard(SMTP)メッセージが inspect esmtp コマンドによって生成されました。ASA は、電子メール アドレスの無効な文字をスペースで置き換えました。
108003
エラー メッセージ %ASA-2-108003: Terminating ESMTP/SMTP connection; malicious pattern detected in the mail address from source_interface:source_address/source_port to dest_interface:dest_address/dset_port . Data: string108004
エラー メッセージ %ASA-4-108004: action_class: action ESMTP req_resp from src_ifc:sip | sport to dest_ifc:dip | dport;further_info説明 ESMTP メッセージに対して ESMTP 分類が実施され、指定の基準が満たされました。設定済みのアクションが実行されます。
• action_class :アクションのクラス(ESMTP の match コマンドの場合は ESMTP Classification、パラメータ コマンドの場合は ESMTP Parameter)
• action :実行されるアクション(Dropped、Dropped connection for、Reset connection for、または Masked header flags for)
• sip|sport :送信元 IP アドレスまたは送信元ポート
• dip|dport :宛先 IP アドレスまたは宛先ポート
1 つの match コマンドの場合:matched Class id : match_command (たとえば、matched Class 1234: match body length 100)。
パラメータ コマンドの場合: parameter-command : descriptive-message (たとえば、mail-relay: No Mail Relay allowed)
108005
エラー メッセージ %ASA-6-108005: action_class: Received ESMTP req_resp from src_ifc:sip | sport to dest_ifc:dip | dport;further_info説明 ESMTP メッセージに対して ESMTP 分類が実施され、指定の基準が満たされました。スタンドアロンのログ アクションが実行されます。
• action_class :アクションのクラス(ESMTP の match コマンドの場合は ESMTP Classification、パラメータ コマンドの場合は ESMTP Parameter)
• sip|sport :送信元 IP アドレスまたは送信元ポート
• dip|dport :宛先 IP アドレスまたは宛先ポート
1 つの match コマンドの場合:matched Class id : match_command (たとえば、matched Class 1234: match body length 100)
パラメータ コマンド(パラメータ セクションのコマンド)の場合: parameter-command : descriptive-message (たとえば、mail-relay: No Mail Relay allowed)
108006
エラー メッセージ %ASA-7-108006: Detected ESMTP size violation from src_ifc:sip | sport to dest_ifc:dip | dport; declared size is: decl_size, actual size is act_size.説明 このイベントは、ESMTP メッセージのサイズが RCPT コマンドで宣言されたサイズを超えている場合に生成されます。
• sip|sport :送信元 IP アドレスまたは送信元ポート
108007
エラー メッセージ %ASA-6-108007: TLS started on ESMTP session between client client-side interface-name : client IP address / client port and server server-side interface-name : server IP address / server port説明 ESMTP 接続でサーバがクライアントの STARTTLS コマンドに対して 220 応答コードで応答しました。ESMTP インスペクション エンジンでは、この接続のトラフィックは検査されなくなります。
• client-side interface-name :クライアント側に向かうインターフェイスの名前
• client IP address :クライアントの IP アドレス
• client port :クライアントの TCP ポート番号
• server-side interface-name :サーバ側に向かうインターフェイスの名前
• server IP address :サーバの IP アドレス
推奨処置 メッセージをログに記録して確認します。この接続に関連付けられている ESMTP ポリシー マップに「allow-tls action log」が設定されていることを確認します。設定されていない場合は、Cisco TAC にお問い合わせください。
109001
エラー メッセージ %ASA-6-109001: Auth start for user user from inside_address/ inside_port to outside_address/ outside_port109002
エラー メッセージ %ASA-6-109002: Auth from inside_address/inside_port to outside_address/outside_port failed (server IP_address failed) on interface interface_name.109003
エラー メッセージ %ASA-6-109003: Auth from inside_address to outside_address/outside_port failed (all servers failed) on interface interface_name, so marking all servers ACTIVE again.109005
エラー メッセージ %ASA-6-109005: Authentication succeeded for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.109006
エラー メッセージ %ASA-6-109006: Authentication failed for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.109007
エラー メッセージ %ASA-6-109007: Authorization permitted for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.109008
エラー メッセージ %ASA-6-109008: Authorization denied for user user from outside_address/outside_port to inside_address/ inside_port on interface interface_name.109010
エラー メッセージ %ASA-3-109010: Auth from inside_address/inside_port to outside_address/outside_port failed (too many pending auths) on interface interface_name.説明 サーバで多くの要求が保留中であるために、認証要求が処理できませんでした。
推奨処置 認証サーバが遅すぎるために認証要求に応答できないのかどうかを確認します。Flood Defender 機能を floodguard enable コマンドでイネーブルにします。
109011
エラー メッセージ %ASA-2-109011: Authen Session Start: user ' user ', sid number109012
エラー メッセージ %ASA-5-109012: Authen Session End: user 'user', sid number, elapsed number seconds説明 認証キャッシュがタイムアウトになっています。 ユーザは、次の接続で再認証が必要になります。timeout uauth コマンドを使用して、このタイマーのタイムアウト時間を変更できます。
109013
エラー メッセージ %ASA-3-109013: User must authenticate before using this service109014
エラー メッセージ %ASA-7-109014: A non-Telnet connection was denied to the configured virtual Telnet IP address.推奨処置 aaa authentication および aaa authorization コマンド文がコンフィギュレーションに含まれていることを確認します。
109016
エラー メッセージ %ASA-3-109016: Can't find authorization ACL acl_ID for user ' user '説明 このユーザの AAA サーバで指定された ACL が、ASA に存在しません。このエラーは、ASA を設定する前に AAA サーバを設定した場合に発生することがあります。AAA サーバでベンダー固有属性(VSA)が次の値のいずれかになっている可能性があります。
109017
エラー メッセージ %ASA-4-109017: User at IP_address exceeded auth proxy connection limit (max)説明 ユーザが、ユーザ認証のプロキシ制限を超えて、プロキシに多くの接続を開きました。
推奨処置 proxy-limit proxy_limit コマンドを入力してプロキシ制限を増やすか、または未使用の接続を閉じるようユーザに要求します。引き続きエラーが表示される場合は、DoS 攻撃の可能性を示していることもあります。
109018
エラー メッセージ %ASA-3-109018: Downloaded ACL acl_ID is empty説明 ダウンロードされた認可に ACE がありません。この状況は、属性文字列 ip:inacl# のつづりの誤り、または access-list コマンドの省略が原因となっている可能性があります。
109019
エラー メッセージ %ASA-3-109019: Downloaded ACL acl_ID has parsing error; ACE string説明 ダウンロードした認可の属性文字列 ip:inacl#NNN= のシーケンス番号 NNN を解析中にエラーが発生しました。= の欠落、数字以外の文字やスペース以外の文字が # と = の間にある、NNN が 999999999 より大きい、などの原因が考えられます。
109020
エラー メッセージ %ASA-3-109020: Downloaded ACL has config error; ACE説明 ダウンロードされた認可のコンポーネントの 1 つにコンフィギュレーション エラーがあります。要素のテキスト全体がメッセージに含まれています。このメッセージは通常、無効な access-list コマンド文が原因となっています。
109021
エラー メッセージ %ASA-7-109021: Uauth null proxy error109022
エラー メッセージ %ASA-4-109022: exceeded HTTPS proxy process limit説明 ASA は、各 HTTPS 認証に対して 1 つの専用プロセスで認証要求を処理します。同時に動作しているプロセスの数がシステムによって課せられた制限を超えると、ASA は認証を実行せず、このメッセージが表示されます。
109023
エラー メッセージ %ASA-3-109023: User from source_address / source_port to dest_address / dest_port on interface outside_interface must authenticate before using this service.説明 このサービス ポートは、設定されたポリシーに基づいて認証を受けてから、使用する必要があります。
推奨処置 このサービス ポートを使用しようとするときは、事前に Telnet、FTP、または HTTP を使用して認証します。
109024
エラー メッセージ %ASA-6-109024: Authorization denied from source_address / source_port to dest_address / dest_port (not authenticated) on interface interface_name using protocol説明 ASA が AAA 用に設定され、ユーザが事前の認証なしに ASA を通して TCP 接続を行おうとした場合に表示されます。
109025
エラー メッセージ %ASA-6-109025: Authorization denied (acl= acl_ID ) for user ' user ' from source_address / source_port to dest_address / dest_port on interface interface_name using protocol説明 チェックが失敗しました。チェックは、拒否と一致したか、または暗黙的な拒否のように、いずれとも一致しませんでした。接続は、Cisco Secure Access Control Server(ACS)の AAA 許可ポリシーに従って定義されたユーザ acl_ID によって拒否されました。
109026
エラー メッセージ %ASA-3-109026: [ aaa protocol ] Invalid reply digest received; shared server key may be mismatched.説明 AAA サーバからの応答が検証できません。設定されたサーバ キーが誤っている可能性があります。このメッセージは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に生成されることがあります。
109027
エラー メッセージ %ASA-4-109027: [aaa protocol] Unable to decipher response message Server = server_IP_address , User = user説明 AAA サーバからの応答が検証できません。設定されたサーバ キーが誤っている可能性があります。このメッセージは、RADIUS サーバまたは TACACS+ サーバとのトランザクション中に表示されることがあります。server_IP_address は、関連する AAA サーバの IP アドレスです。user は、接続に関連付けられているユーザ名です。
109028
エラー メッセージ %ASA-4-109028: aaa bypassed for same-security traffic from ingress_ interface:source_address/source_port to egress_interface:dest_address/dest_port説明 AAA が設定された AAA 規則と一致する同じセキュリティ トラフィックに対してバイパスされています。これが発生する可能性があるのは、同じ設定済みセキュリティ レベルを持つ 2 つのインターフェイス間をトラフィックが通過する場合、同じセキュリティ トラフィックが許可される場合、および AAA コンフィギュレーションが include 構文または exclude 構文を使用する場合だけです。
109029
エラー メッセージ %ASA-5-109029: Parsing downloaded ACL: string説明 ユーザ認証中に RADIUS サーバからダウンロードされたアクセス リストを解析している間に構文エラーが発生しました。
• string :アクセス リストの正しい解析を妨げた構文エラーを詳述するエラー メッセージ
推奨処置 このメッセージに提示されている情報を使用して、RADIUS サーバ コンフィギュレーション内のアクセス リスト定義にある構文エラーを特定し、訂正します。
109030
エラー メッセージ %ASA-4-109030: Autodetect ACL convert wildcard did not convert ACL access_list source | dest netmask netmask .説明 RADIUS サーバで設定されたダイナミック ACL が、ワイルドカード ネットマスクを自動的に検出するメカニズムによって変換されませんでした。問題は、ネットマスクがワイルドカードであるか、通常のネットマスクであるかをこのメカニズムが判別できないために発生します。
• netmask :宛先アドレスまたは送信元アドレスに対する 10 進数表記のサブネット マスク
推奨処置 RADIUS サーバのアクセス リスト ネットマスクを確認して、ワイルドカード コンフィギュレーションがないかどうかを調べます。ネットマスクをワイルドカードにする予定の場合、およびそのサーバのアクセス リスト ネットマスクすべてがワイルドカードである場合、AAA サーバの acl-netmask-convert に wildcard 設定を使用します。それ以外の場合は、ネットマスクを通常のネットマスクまたはホールを含まないワイルドカード ネットマスクに変更します(つまり、ネットマスクは連続する 2 進数の 1 を提示します。たとえば、00000000.00000000.00011111.11111111 または 16 進数の 0.0.31.255 のようになります)。マスクを通常にする予定の場合、およびそのサーバのすべてのアクセス リスト ネットマスクが通常である場合、AAA サーバの acl-netmask-convert に normal 設定を使用します。
109031
エラー メッセージ %ASA-4-109031: NT Domain Authentication Failed: rejecting guest login for username .説明 ユーザがゲスト アカウントのアクセス用に設定された NT ドメインに認証を試み、username が NT サーバで有効なユーザ名ではありません。接続は拒否されます。
推奨処置 ユーザが有効なユーザの場合は、アカウントを NT サーバに追加します。ユーザがアクセスを許可されていない場合は、処置は不要です。
109032
エラー メッセージ %ASA-3-109032: Unable to install ACL access_list , downloaded for user username ; Error in ACE: ace .説明 ASA は、ユーザ接続に適用するアクセス コントロール リストを RADIUS サーバから受信しましたが、リストのエントリに構文エラーが含まれています。エラーが含まれるリストを使用すると、セキュリティ ポリシー違反になる可能性があるため、ASA はユーザを認証できませんでした。
• access_list : show access-list コマンドの出力に表示されるダイナミック アクセス リストに割り当てられている名前
• username :その接続がこのアクセス リストの制御を受けるユーザの名前
109033
エラー メッセージ %ASA-4-109033: Authentication failed for admin user user from src_IP . Interactive challenge processing is not supported for protocol connections説明 管理接続の認証中に AAA チャレンジ処理がトリガーされましたが、ASAはそのクライアント アプリケーションでの対話型チャレンジ処理を開始できません。このような場合は、認証試行が拒否され、接続が拒否されます。
• protocol :クライアント接続プロトコル(SSH v1 または管理 HTTP)
推奨処置 これらの接続タイプに対してチャレンジ処理が発生しないように AAA を再設定します。これは、通常、RSA SecurID サーバ、または RADIUS 経由のトークンベース AAA サーバに対して、これらの接続タイプの認証を避けることを意味します。
109034
エラー メッセージ %ASA-4-109034: Authentication failed for network user user from src_IP/port to dst_IP/port . Interactive challenge processing is not supported for protocol connections説明 ネットワーク接続の認証中に AAA チャレンジ処理がトリガーされましたが、ASAはそのクライアント アプリケーションでの対話型チャレンジ処理を開始できません。このような場合は、認証試行が拒否され、接続が拒否されます。
• src_IP/port :クライアント ホストの IP アドレスおよびポート
• dst_IP/port :クライアントが接続しようとしているサーバの IP アドレスおよびポート
• protocol :クライアント接続プロトコル(たとえば、FTP)
推奨処置 これらの接続タイプに対してチャレンジ処理が発生しないように AAA を再設定します。これは、通常、RSA SecurID サーバ、または RADIUS 経由のトークンベース AAA サーバに対して、これらの接続タイプの認証を避けることを意味します。
109036
エラー メッセージ %ASA-6-109036: Exceeded 1000 attribute values for the attribute name attribute for user username .109037
エラー メッセージ %ASA-3-109037: Exceeded 5000 attribute values for the attribute name attribute for user username .説明 ASA では、AAA サーバから同じ属性の複数の値を受信することがサポートされています。AAA サーバから同じ属性に関して 5000 を超える値を含む応答が送信されてきた場合、ASA ではこの応答メッセージを形式誤りとして処理し、認証を拒否します。このような状況は、特殊なテスト ツールを使用するラボ環境でだけ確認されています。実際の実稼働ネットワークで発生する可能性はまずありません。
推奨処置 プロトコル スニファ(WireShark など)を使用して ASA と AAA サーバ間の認証トラフィックを取り込み、トレース ファイルを Cisco TAC に転送して分析を依頼してください。
109038
エラー メッセージ %ASA-3-109038: Attribute internal-attribute-name value string-from-server from AAA server could not be parsed as a type internal-attribute-name string representation of the attribute name説明 AAA サブシステムが AAA サーバからの属性を内部表現へと解析しようとして失敗しました。
• string-from-server :AAA サーバから受信した文字列。40 文字に切り捨てられます。
推奨処置 属性が AAA サーバ上に正しく生成されていることを確認します。詳細については、 debug ldap コマンドおよび debug radius コマンドを使用します。
109039
エラー メッセージ %ASA-5-109039: AAA Authentication:Dropping an unsupported IPv6/IP46/IP64 packet from lifc : laddr to fifc : faddr説明 NAT によって IPv6 アドレスに変換される IPv6 アドレスまたは IPv4 アドレスを含むパケットには、AAA の認証または承認が必要です。AAA の認証および承認は IPv6 アドレスをサポートしません。パケットはドロップされます。
110002
エラー メッセージ %ASA-6-110002: Failed to locate egress interface for protocol from src interface : src IP/src port to dest IP/dest port説明 パケットの送信に使用するインターフェイスを ASA が検出しようとしたときに、エラーが発生しました。
• src interface :パケットの送信元インターフェイス
推奨処置 エラー メッセージ、コンフィギュレーション、およびエラーの原因となったイベントの詳細をコピーし、Cisco TAC にお問い合わせください。
110003
エラー メッセージ %ASA-6-110003: Routing failed to locate next-hop for protocol from src interface : src IP/src port to dest interface : dest IP/dest port説明 インターフェイス ルーティング テーブル上のネクスト ホップを ASA が検出しようとしたときに、エラーが発生しました。
• src interface :パケットの送信元インターフェイス
推奨処置 エラー メッセージ、コンフィギュレーション、およびエラーの原因となったイベントの詳細をコピーし、Cisco TAC にお問い合わせください。デバッグ時にルーティング テーブルの詳細を表示するには、 show asp table routing コマンドを使用します。
111001
エラー メッセージ %ASA-5-111001: Begin configuration: IP_address writing to device説明 コンフィギュレーションを device(フロッピーディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末のいずれか)に格納する write コマンドを入力しました。 IP_address は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
111002
エラー メッセージ %ASA-5-111002: Begin configuration: IP_address reading from device説明 コンフィギュレーションを device(フロッピーディスク、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール端末のいずれか)から読み取る read コマンドを入力しました。 IP_address は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
111003
エラー メッセージ %ASA-5-111003: IP_address Erase configuration説明 コンソールで write erase コマンドを入力してフラッシュ メモリの内容を消去しました。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
推奨処置 コンフィギュレーションを消去した後、ASAを再設定して新しいコンフィギュレーションを保存します。または、フロッピーディスクまたはネットワークの他の場所にある TFTP サーバに以前保存してあるコンフィギュレーションから情報を復元できます。
111004
エラー メッセージ %ASA-5-111004: IP_address end configuration: {FAILED|OK}説明 config floppy/memory/ network コマンドまたは write floppy/memory/network/standby コマンドを入力しました。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
推奨処置 メッセージが OK で終われば不要です。このメッセージでエラーが表示された場合は、問題を解決します。たとえば、フロッピーディスクに書き込む場合は、フロッピーディスクが書き込み禁止になっていないことを確認します。TFTP サーバに書き込む場合は、サーバが動作していることを確認します。
111005
エラー メッセージ %ASA-5-111005: IP_address end configuration: OK説明 コンフィギュレーション モードを終了しました。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
111007
エラー メッセージ %ASA-5-111007: Begin configuration: IP_address reading from device.説明 reload コマンドまたは configure コマンドを入力してコンフィギュレーションを読み込みました。device テキストは、フロッピーディスク、メモリ、ネット、スタンバイ、または端末になります。 IP_address の値は、ログインがコンソール ポートで行われたか、または Telnet 接続で行われたかを示します。
111008
エラー メッセージ %ASA-5-111008: User user executed the command string111009
エラー メッセージ %ASA-7-111009:User user executed cmd: string説明 ユーザにより、コンフィギュレーションが変更されないコマンドが入力されました。このメッセージは、 show コマンドに限り表示されます。
111010
エラー メッセージ %ASA-5-111010: User username , running application-name from IP ip addr , executed cmd111111
エラー メッセージ %ASA-1-111111 error_message112001
エラー メッセージ %ASA-2-112001: ( string : dec ) Clear complete.113001
エラー メッセージ %ASA-3-113001: Unable to open AAA session. Session limit [ limit ] reached.説明 AAA リソースが使用できないために、IPSec トンネルまたは WebVPN 接続で AAA 動作を実行できません。 limit 値は、同時 AAA トランザクションの最大数を示します。
113003
エラー メッセージ %ASA-6-113003: AAA group policy for user user is being set to policy_name .説明 トンネル グループに関連付けられているグループ ポリシーが、ユーザ固有のポリシー policy_name で上書きされます。 policy_name は、LOCAL 認証の設定時に username コマンドを使用して指定されており、RADIUS 認証の設定時に RADIUS CLASS 属性で返されます。
113004
エラー メッセージ %ASA-6-113004: AAA user aaa_type Successful: server = server_IP_address, User = user説明 IPSec または WebVPN 接続に対する AAA 操作が正常に完了しました。AAA タイプは、認証、許可、またはアカウンティングです。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。
113005
エラー メッセージ %ASA-6-113005: AAA user authentication Rejected: reason = string : server = server_IP_address , User = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの認証要求または認可要求が拒否されました。要求が拒否された理由の詳細は reason フィールドに示されています。 server_IP_address は、関連する AAA サーバの IP アドレスです。 user は、接続に関連付けられているユーザ名です。 aaa_operation は、認証または認可のどちらかです。
113006
エラー メッセージ %ASA-6-113006: User user locked out on exceeding number successive failed authentication attempts説明 ローカルに設定されているユーザがロックアウトされています。このメッセージは、このユーザについて認証失敗が連続して設定回数だけ発生したときに現れ、今後このユーザが認証を受けようとしても、管理者が clear aaa local user lockout コマンドを使用してユーザをアンロックするまでは、すべて拒否されることを示します。 user は現在ロックされているユーザであり、 number は aaa local authentication attempts max-fail コマンドを使用して設定されている連続失敗しきい値です。
推奨処置 clear_aaa_local_user_lockout コマンドを使用してユーザをアンロックするか、許容される連続認証失敗の最大数を調整します。
113007
エラー メッセージ %ASA-6-113007: User user unlocked by administrator説明 ローカルに設定されたユーザが、 aaa local authentication attempts max-fail コマンドを使用して設定された連続認証失敗の最大数を超えたためロックアウトされた後、表示されている管理者によってアンロックされました。
113008
エラー メッセージ %ASA-6-113008: AAA transaction status ACCEPT: user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが正常に完了しました。user は、接続に関連付けられているユーザ名です。
113009
エラー メッセージ %ASA-6-113009: AAA retrieved default group policy policy for user user説明 IPSec 接続または WebVPN 接続の認証または認可が発生しました。 tunnel-group コマンドまたは webvpn コマンドで指定されたグループ ポリシーの属性が取得されました。
113010
エラー メッセージ %ASA-6-113010: AAA challenge received for user user from server server_IP_address説明 SecurID サーバを使用した IPSec 接続の認証が発生しました。ユーザは、認証に先立って詳細情報を入力するよう求められます。
113011
エラー メッセージ %ASA-6-113011: AAA retrieved user specific group policy policy for user user説明 IPSec 接続または WebVPN 接続の認証または認可が発生しました。 tunnel-group コマンドまたは webvpn コマンドで指定されたグループ ポリシーの属性が取得されました。
113012
エラー メッセージ %ASA-6-113012: AAA user authentication Successful: local database: user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザが、ローカル ユーザ データベースに正常に認証されました。
113013
エラー メッセージ %ASA-6-113013: AAA unable to complete the request Error: reason = reason : user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。
113014
エラー メッセージ %ASA-6-113014: AAA authentication server not accessible: server = server_IP_address : user = user説明 デバイスが、IPSec 接続または WebVPN 接続に関連付けられている AAA トランザクション中に設定済み AAA サーバと通信できませんでした。このため、ユーザが接続しようとしたとき、 aaa-server グループに設定されているバックアップ サーバおよびそのサーバのアベイラビリティ次第で、接続に失敗する場合も、失敗しない場合もあります。
113015
エラー メッセージ %ASA-6-113015: AAA user authentication Rejected: reason = reason : local database: user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザのローカル ユーザ データベースへの認証要求が拒否されました。
113016
エラー メッセージ %ASA-6-113016: AAA credentials rejected: reason = reason : server = server_IP_address : user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。
113017
エラー メッセージ %ASA-6-113017: AAA credentials rejected: reason = reason : local database: user = user説明 IPSec 接続または WebVPN 接続に関連付けられているユーザの AAA トランザクションが、エラーにより失敗したか、またはポリシー違反により拒否されました。このイベントが表示されるのは、AAA トランザクションが外部 AAA サーバではなくローカル ユーザ データベースと行われる場合だけです。
113018
エラー メッセージ %ASA-3-113018: User: user , Unsupported downloaded ACL Entry: ACL_entry , Action: action説明 サポートされていないフォーマットの ACL エントリが認証サーバからダウンロードされました。メッセージの値は次のとおりです。
• ACL_entry :認証サーバからダウンロードされたサポートされていない ACL エントリ
• action :サポートされていない ACL エントリに対して実行するアクション
推奨処置 認証サーバの ACL エントリは、サポートされている ACL エントリ フォーマットに適合するように管理者が変更する必要があります。
113019
エラー メッセージ %ASA-4-113019: Group = group , Username = username , IP = peer_address , Session disconnected. Session Type: type , Duration: duration , Bytes xmt: count , Bytes rcv: count , Reason: reason説明 最大アイドル ユーザが切断されたタイミングとその理由を示します。
• Session Type :セッション タイプ(たとえば IPSec または UDP)
接続が切り替えられた。同一ユーザによる同時ログイン許容数を超えたことを示します。この問題を解決するには、同時ログイン数を増やすか、ユーザに対して特定のユーザ名とパスワードで 1 回だけログインを許可するようにします。
113020
エラー メッセージ %ASA-3-113020: Kerberos error: Clock skew with server ip_address greater than 300 seconds説明 Kerberos サーバ経由の IPSec または WebVPN のユーザの認証が、ASA のクロックとそのサーバのクロックが 5 分(300 秒)以上ずれているために失敗しました。この失敗が起こったときは、接続しようとしても拒否されます。
113021
エラー メッセージ %ASA-3-113021: Attempted console login failed. User username did NOT have appropriate Admin Rights.説明 ユーザが管理コンソールにアクセスしようとしましたが、拒否されました。
推奨処置 新しく追加された admin 権限ユーザの場合は、そのユーザのサービス タイプ(LOCAL または RADIUS 認証サーバ)が次のようなアクセスを許可するように設定されていることを確認します。
• nas-prompt:コンソールへのログインおよび要求されたレベルの EXEC 特権を許可しますが、イネーブル(コンフィギュレーション修正)アクセスは許可しません。
• admin:すべてのアクセスを許可します。コマンド特権によって制約できます。
上記以外のユーザの場合は、そのユーザが管理コンソールへの不適切なアクセスを試みています。実行されるアクションは、このような問題に関する社内のポリシーに適合している必要があります。
113022
エラー メッセージ %ASA-2-113022: AAA Marking RADIUS server servername in aaa-server group AAA-Using-DNS as FAILED説明 ASA が AAA サーバに認証、許可、またはアカウンティングの要求を試みましたが、設定されているタイムアウト期間内に応答を受信しませんでした。この AAA サーバには失敗のマークが付けられます。この AAA サーバは、サービスから削除されました。
113023
エラー メッセージ %ASA-2-113023: AAA Marking protocol server ip-addr in server group tag as ACTIVE説明 以前失敗のマークを付けられた AAA サーバが、ASA によって再びアクティブにされました。AAA 要求の処理に、この AAA サーバを使用できるようになりました。
113024
エラー メッセージ %ASA-5-113024: Group tg : Authenticating type connection from ip with username, user_name , from client certificate説明 ユーザ名の事前入力機能によって、AAA 用にクライアント証明書から抽出されたユーザ名で元のユーザ名が上書きされました。
• type :接続のタイプ(SSL クライアントまたはクライアントレス)
113025
エラー メッセージ %ASA-5-113025: Group tg : fields Could not authenticate connection type connection from ip • connection type :接続のタイプ(SSL クライアントまたはクライアントレス)
推奨処置 管理者は、 authentication aaa certificate 、 ssl certificate-authentication 、および authorization-dn-attributes の各キーワードが正しく設定されていることを確認する必要があります。
113026
エラー メッセージ %ASA-4-113026: Error error while executing Lua script for group tunnel group説明 AAA 用にクライアント証明書からユーザ名を抽出中に、エラーが発生しました。このメッセージは、username-from-certificate use-script オプションが有効な場合にだけ生成されます。
• tunnel group :証明書からユーザ名を抽出しようとしたトンネル グループ
推奨処置 username-from-certificate use-script で使用されているスクリプトにエラーがないかどうかを調べます。
113027
エラー メッセージ %ASA-2-113027: Error activating tunnel-group scripts説明 スクリプト ファイルを正常にロードできません。username-from-certificate use-script オプションを使用するトンネル グループが正しく動作していません。
推奨処置 管理者は、ASDM を使用して、スクリプト ファイルにエラーがないかどうかを確認する必要があります。 debug aaa コマンドを使用して詳細なエラー メッセージを取得すると役立ちます。
113028
エラー メッセージ %ASA-7-113028: Extraction of username from VPN client certificate has string. [Request num ]説明 証明書のユーザ名の処理要求は、実行中であるか、終了しました。
113029
エラー メッセージ %ASA-4-113029: Group group User user IP ipaddr Session could not be established: session limit of num reached113030
エラー メッセージ %ASA-4-113030: Group group User user IP ipaddr User ACL acl from AAA doesn't exist on the device, terminating connection.113031
エラー メッセージ %ASA-4-113031: Group group User user IP ipaddr AnyConnect vpn-filter filter is an IPv6 ACL; ACL not applied.説明 適用される ACL のタイプが誤っています。 vpn-filter コマンドによって、IPv6 ACL が IPv4 ACL として設定されています。
• ipaddr :ユーザのパブリック(割り当てられていない)IP アドレス
推奨処置 ASA の VPN フィルタと IPv6 VPN フィルタの設定、および AAA(RADIUS)サーバのフィルタ パラメータを検証します。正しいタイプの ACL が指定されていることを確認します。
113032
エラー メッセージ %ASA-4-113032: Group group User user IP ipaddr AnyConnect ipv6-vpn-filter filter is an IPv4 ACL; ACL not applied.説明 適用される ACL のタイプが誤っています。 ipv6-vpn-filter コマンドによって、IPv4 ACL が IPv6 ACL として設定されています。
• ipaddr :ユーザのパブリック(割り当てられていない)IP アドレス
推奨処置 ASA の VPN フィルタと IPv6 VPN フィルタの設定、および AAA(RADIUS)サーバのフィルタ パラメータを検証します。正しいタイプの ACL が指定されていることを確認します。
113033
エラー メッセージ %ASA-6-113033: Group group User user IP ipaddr AnyConnect session not allowed. ACL parse error.説明 関連する ACL が解析していないため、このグループ内の指定されたユーザの WebVPN セッションが許可されません。このエラーが修正されるまで、ユーザが WebVPN を介してログインすることは許可されません。
113034
エラー メッセージ %ASA-4-113034: Group group User user IP ipaddr User ACL acl from AAA ignored, AV-PAIR ACL used instead.113035
エラー メッセージ %ASA-4-113035: Group group User user IP ipaddr Session terminated: AnyConnect not enabled or invalid AnyConnect image on the ASA.説明 ユーザが AnyConnect クライアントを使用してログインしました。SVC サービスがグローバルにイネーブルになっていないか、または SVC イメージが無効か破損しています。セッション接続が終了されました。
• group :ユーザの接続試行時に適用されるグループ ポリシーの名前
• iaddrp :接続を試行しているユーザの IP アドレス
推奨処置 svc-enable コマンドを使用して、SVC をグローバルにイネーブルにします。 svc image コマンドを使用して新しいイメージをリロードすることで、SVC イメージの整合性とバージョンを検証します。
113036
エラー メッセージ %ASA-4-113036: Group group User user IP ipaddr AAA parameter name value invalid.113037
エラー メッセージ %ASA-6-113037: Reboot pending, new sessions disabled. Denied user login.113038
エラー メッセージ %ASA-4-113038: Group group User user IP ipaddr Unable to create AnyConnect parent session.説明 リソースの問題のため、指定されたグループ内のユーザに対して AnyConnect セッションが作成されませんでした。たとえば、ユーザが最大ログイン制限に達した可能性があります。
113039
エラー メッセージ %ASA-6-113039: Group group User user IP ipaddr AnyConnect parent session started.説明 指定された IP アドレスにおけるこの group 内の user に対して AnyConnect セッションが開始されました。ユーザが AnyConnect ログイン ページを介してログインすると、AnyConnect セッションが開始されます。
113040
エラー メッセージ %ASA-4-113040: Terminating the VPN connection attempt from attempted group . Reason: This connection is group locked to locked group.説明 接続が試行されるトンネル グループは、グループ ロックに設定されているトンネル グループと同じではありません。
• attempted group :接続が着信するトンネル グループ
114001
エラー メッセージ %ASA-1-114001: Failed to initialize 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードを初期化できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114002
エラー メッセージ %ASA-1-114002: Failed to initialize SFP in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードの SFP コネクタを初期化できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114003
エラー メッセージ %ASA-1-114003: Failed to run cached commands in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのためにシステムが 4GE SSM I/O カードにキャッシュされたコマンドを実行できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114004
エラー メッセージ %ASA-6-114004: 4GE SSM I/O Initialization start.114005
エラー メッセージ %ASA-6-114005: 4GE SSM I/O Initialization end.114006
エラー メッセージ %ASA-3-114006: Failed to get port statistics in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのポート統計情報を取得できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114007
エラー メッセージ %ASA-3-114007: Failed to get current msr in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードの現在のモジュール ステータス レジスタ情報を取得できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114008
エラー メッセージ %ASA-3-114008: Failed to enable port after link is up in 4GE SSM I/O card due to either I2C serial bus access error or switch access error.説明 I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのために、Up 状態へのリンク移行が 4GE SSM I/O カードで検出された後に ASA がポートをイネーブルにできませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114009
エラー メッセージ %ASA-3-114009: Failed to set multicast address in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのマルチキャスト アドレスを設定できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114010
エラー メッセージ %ASA-3-114010: Failed to set multicast hardware address in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのマルチキャスト ハードウェア アドレスを設定できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114011
エラー メッセージ %ASA-3-114011: Failed to delete multicast address in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのマルチキャスト アドレスを削除できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114012
エラー メッセージ %ASA-3-114012: Failed to delete multicast hardware address in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのマルチキャスト ハードウェア アドレスを削除できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114013
エラー メッセージ %ASA-3-114013: Failed to set mac address table in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードの MAC アドレス テーブルを設定できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114014
エラー メッセージ %ASA-3-114014: Failed to set mac address in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードの MAC アドレスを設定できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114015
エラー メッセージ %ASA-3-114015: Failed to set mode in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードの個別モードまたは混在モードを設定できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114016
エラー メッセージ %ASA-3-114016: Failed to set multicast mode in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのマルチキャスト モードを設定できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114017
エラー メッセージ %ASA-3-114017: Failed to get link status in 4GE SSM I/O card (error error_string ).説明 I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのために ASA が 4GE SSM I/O カードのリンク ステータスを取得できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
2. イベントに関連付けられているメッセージとエラーを記録して確認します。
114018
エラー メッセージ %ASA-3-114018: Failed to set port speed in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのポート速度を設定できませんでした。
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114019
エラー メッセージ %ASA-3-114019: Failed to set media type in 4GE SSM I/O card (error error_string ).説明 I2C エラーまたはスイッチ初期化エラーのために ASA が 4GE SSM I/O カードのメディア タイプを設定できませんでした
• error_string :I2C シリアル バス エラーまたはスイッチ アクセス エラー(10 進数のエラー コード)。I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。
114020
エラー メッセージ %ASA-3-114020: Port link speed is unknown in 4GE SSM I/O card.説明 ASA が 4GE SSM I/O カードのポート リンク速度を検出できませんでした。
1. イベントに関連付けられているメッセージを記録して確認します。
2. 4GE SSM I/O カードをリセットし、ソフトウェアがイベントから自動的に回復するかどうかを観察します。
3. ソフトウェアが自動的に回復しない場合は、デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。
114021
エラー メッセージ %ASA-3-114021: Failed to set multicast address table in 4GE SSM I/O card due to error .説明 I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーのために ASA が 4GE SSM I/O カードのマルチキャスト アドレス テーブルを設定できませんでした。
• error :スイッチ アクセス エラー(10 進数のエラー コード)または I2C シリアル バス エラー。考えられる I2C シリアル バス エラーは次のとおりです。
1. イベントに関連付けられているメッセージを記録して確認します。
3. ソフトウェアが自動的に回復しない場合は、デバイスの電源を一度切ってから再投入します。電源を切った後、必ず数秒待ってから電源を入れます。
114022
エラー メッセージ %ASA-3-114022: Failed to pass broadcast traffic in 4GE SSM I/O card due to error_string説明 スイッチ アクセス エラーが原因で ASA が 4GE SSM I/O カードでブロードキャスト トラフィックを渡すことができませんでした。
• error_string :10 進エラー コードであるスイッチ アクセス エラー
1. イベントが含まれているメッセージとエラーを記録します。
2. ssm4ge_dump ファイルをコンパクト フラッシュから取得し、Cisco TAC に送信します。
3. 手順 1 および 2 で収集した情報を Cisco TAC に連絡します。
114023
エラー メッセージ %ASA-3-114023: Failed to cache/flush mac table in 4GE SSM I/O card due to error_string .説明 I2C シリアル バス アクセス エラーまたはスイッチ アクセス エラーが原因で、4GE SSM I/O カードで MAC テーブルをキャッシュまたはフラッシュできませんでした。このメッセージが表示されるのは稀です。
• error_string :I2C シリアル バス エラー(可能な値については、2 番めの項目を参照)またはスイッチ アクセス エラー(10 進エラー コード)。
1. イベントが含まれている syslog メッセージとエラーを記録します。
(注) 電源を切った後、必ず数秒待ってから電源を入れます。手順 1 ~ 3 を完了した後、問題が解決しない場合は、Cisco TAC に連絡して、手順 1 の情報を提供します。ASA の RMA が必要になる場合があります。
115000
エラー メッセージ %ASA-2-115000: Critical assertion in process: process name fiber: fiber name , component: component name , subcomponent: subcomponent name , file: filename , line: line number , cond: condition説明 重要なアサーションが失敗しました。このメッセージは、チェック ビルドでの開発時にだけ使用され、実稼働ビルドでは使用されません。
• component name :指摘されたコンポーネントの名前
115001
エラー メッセージ %ASA-3-115001: Error in process: process name fiber: fiber name , component: component name , subcomponent: subcomponent name , file: filename , line: line number , cond: condition説明 エラー アサーションが失敗しました。このメッセージは、チェック ビルドでの開発時にだけ使用され、実稼働ビルドでは使用されません。
• component name :指摘されたコンポーネントの名前
115002
エラー メッセージ %ASA-4-115002: Warning in process: process name fiber: fiber name , component: component name , subcomponent: subcomponent name , file: filename , line: line number , cond: condition説明 警告アサーションが失敗しました。このメッセージは、チェック ビルドでの開発時にだけ使用され、実稼働ビルドでは使用されません。
• component name :指摘されたコンポーネントの名前
120001
エラー メッセージ %ASA-5-120001: Smart Call-Home Module is started.説明 システムがブートして安定した状態でフェールオーバーした後、Smart Call-Home モジュールが正常に起動し、Smart Call-Home イベントを処理する準備ができています。
120002
エラー メッセージ %ASA-5-120002: Smart Call-Home Module is terminated.120003
エラー メッセージ %ASA-6-120003: Process event group title説明 Smart Call-Home モジュールがキューから処理するイベントを取得しました。
• group :イベント グループ。インベントリ、設定、診断、環境、スナップショット、テレメトリ、脅威、およびテストのいずれか。
120004
エラー メッセージ %ASA-4-120004: Event group title is dropped. Reason reason説明 Smart Call-Home イベントは廃棄されました。イベントが破棄される原因としては、内部エラー、イベント キューが一杯である、またはメッセージが生成された後、処理される前に Smart Call-Home モジュールがディセーブルになったことが考えられます。
• group :イベント グループ。インベントリ、設定、診断、環境、スナップショット、テレメトリ、脅威、およびテストのいずれか。
Internal Error:メモリ不足、CLI の解析失敗など、さまざまな内部システム エラーが発生しました。
Queue Full:イベント数が設定された制限に達しました。
Cancelled:Smart Call-Home モジュールがディセーブルであるため、イベントは取り消されました。
推奨処置 破棄の理由が Queue Full の場合、イベント キュー サイズおよびレート制限の設定を増やし、イベント キューがたまらないようにしてください。破棄の理由が Internal Error である場合、 debug sch fail コマンドを入力してデバッグをオンにし、詳細なデバッグ情報を取得します。
120005
エラー メッセージ %ASA-4-120005: Message group to destination is dropped. Reason reason説明 Smart Call-Home メッセージは廃棄されました。メッセージが破棄される原因としては、内部エラー、ネットワーク エラー、またはメッセージが生成された後、配信される前に Smart Call-Home モジュールがディセーブルになったことが考えられます。
• group :イベント グループ。インベントリ、設定、診断、環境、スナップショット、テレメトリ、脅威、およびテストのいずれか。
• destination :電子メールまたは URL の宛先
Internal Error:さまざまな内部システム エラーが発生しました。
Delivery Failed:パケットは、ネットワーク エラーが発生したため送信できません。
Cancelled:Smart Call-Home モジュールがディセーブルであるため、イベントは取り消されました。
推奨処置 破棄の理由が Delivery Failed の場合、再送に 3 回失敗したか、エラーがローカル(宛先へのルートなしなど)のためにメッセージが破棄されます。配信失敗理由のメッセージ 120006 を検索するか、 debug sch fail デバッグ コマンドを入力してデバッグを有効にし、より詳細なデバッグ情報を取得します。
120006
エラー メッセージ %ASA-4-120006: Delivering message group to destination failed. Reason reason説明 Smart Call Home モジュールがメッセージを配信しようとして、エラーが発生しました。一時的なエラーの可能性があります。メッセージは、メッセージ 120006 が生成される場合は破棄されません。メッセージは、再送信のためにキューに格納される場合があります。メッセージは、メッセージ 120005 が生成される場合にのみ破棄されます。
• group :イベント グループ。インベントリ、設定、診断、環境、スナップショット、テレメトリ、脅威、およびテストのいずれか
• destination :電子メールまたは URL の宛先
推奨処置 メッセージ中のエラー理由を確認します。理由が、NO_ROUTE、INVALID_ADDRESS、または INVALID_URL である場合は、システム設定、DNS、および名前の設定を確認します。
120007
エラー メッセージ %ASA-6-120007: Message group to destination delivered.説明 Smart Call Home メッセージは正常に配信されました。
• group :イベント グループ。インベントリ、設定、診断、環境、スナップショット、テレメトリ、脅威、およびテストのいずれか
120008
エラー メッセージ %ASA-5-120008: SCH client client is activated.説明 Smart Call Home モジュールがイネーブルにされ、イベント グループもイネーブルにされ、そのイベント グループが少なくとも 1 つのアクティブ プロファイルによってサブスクライブされています。これらの条件が満たされている場合、そのグループのすべてのクライアントがアクティブになります。
120009
エラー メッセージ %ASA-5-120009: SCH client client is deactivated.説明 Smart Call Home モジュールがディセーブルにされているか、イベント グループがイネーブルにされているか、イベント グループがどのアクティブ プロファイルからもサブスクライブされていません。これらの条件が満たされている場合、そのイベント グループのクライアントが非アクティブになります。
120010
エラー メッセージ %ASA-3-120010: Notify command command to SCH client client failed. Reason reason .説明 Smart Call Home モジュールは、コール バック機能によって、特定のイベントを Smart Call Home クライアントに通知しました。クライアントがコマンドを正しく解釈しないか、コマンドを認識しないか、コマンドを処理できない場合、エラーが返されます。
• command :ENABLE、DISABLE、または READY
120012
エラー メッセージ %ASA-5-120012: User username chose to choice call-home anonymous reporting at the prompt.説明 管理者は、ユーザが匿名のレポートをイネーブル、ディセーブル、または延期するために、Smart Call Home のプロンプトに応答したことを通知されました。
• choice :可能なエントリは enable、disable、または postpone です。
推奨処置 将来匿名レポートをイネーブルにするには、 call-home reporting anonymous コマンドを入力します。匿名レポートをディセーブルにするには、 no call-home reporting anonymous コマンドを入力します。
199001
エラー メッセージ %ASA-5-199001: Reload command executed from Telnet (remote IP_address ).199002
エラー メッセージ %ASA-6-199002: startup completed. Beginning operation.説明 ASA が、その初期ブートおよびフラッシュ メモリ読み取りシーケンスを完了し、正常動作を開始する準備が整いました。
(注) このメッセージは、no logging message コマンドを使用してもブロックできません。
199003
エラー メッセージ %ASA-6-199003: Reducing link MTU dec .説明 ASA が、内部ネットワークよりも大きい MTU を使用している外部ネットワークからパケットを受信しました。その後 ASA は、適切な MTU をネゴシエートするため、ICMP メッセージをその外部ホストに送信しました。ログ メッセージには、ICMP メッセージのシーケンス番号が含まれています。
199005
エラー メッセージ %ASA-6-199005: Startup begin199010
エラー メッセージ %ASA-1-199010: Signal 11 caught in process/fiber(rtcli async executor process)/(rtcli async executor) at address 0xf132e03b, corrective action at 0xca1961a0199011
エラー メッセージ %ASA-2-199011: Close on bad channel in process/fiber process/fiber , channel ID p , channel state s process/fiber name of the process/fiber that caused the bad channel close operation.199012
エラー メッセージ %ASA-1-1199012: Stack smash during new_stack_call in process/fiber process/fiber , call target f , stack size s , process/fiber name of the process/fiber that caused the stack smash • process/fiber :スタック スマッシュの原因となったプロセス/ファイバの名前
199013
エラー メッセージ %ASA-1-199013: syslog説明 変数 syslog が補助的なプロセスによって生成されました。
199014
エラー メッセージ %ASA-2-199014: syslog説明 変数 syslog が補助的なプロセスによって生成されました。
199015
エラー メッセージ %ASA-3-199015: syslog説明 変数 syslog が補助的なプロセスによって生成されました。
199016
エラー メッセージ %ASA-4-199016: syslog説明 変数 syslog が補助的なプロセスによって生成されました。
199017
エラー メッセージ %ASA-5-199017: syslog説明 変数 syslog が補助的なプロセスによって生成されました。
199018
エラー メッセージ %ASA-6-199018: syslog説明 変数 syslog が補助的なプロセスによって生成されました。
199019
エラー メッセージ %ASA-7-199019: syslog説明 変数 syslog が補助的なプロセスによって生成されました。
199020
エラー メッセージ %ASA-2-199020: System memory utilization has reached X %. System will reload if memory usage reaches the configured trigger level of Y %.説明 システム メモリの使用率がシステム メモリのウォッチドッグ機能の設定値の 80% に達しました。
推奨処置 トラフィック負荷を軽減し、トラフィック インスペクションを削除し、ACL エントリの数を減らすなどして、システム メモリの使用率を減らしてください。メモリ リークが疑われる場合は、Cisco TAC にお問い合わせください。
199021
エラー メッセージ %ASA-1-199021: System memory utilization has reached the configured watchdog trigger level of Y %. System will now reload説明 システム メモリの使用率がシステム メモリのウォッチドッグ機能の設定値の 100% に達しました。システムは自動的にリロードされます。
推奨処置 トラフィック負荷を軽減し、トラフィック インスペクションを削除し、ACL エントリの数を減らすなどして、システム メモリの使用率を減らしてください。メモリ リークが疑われる場合は、Cisco TAC にお問い合わせください。
メッセージ 201002 ~ 219002
この項では、201002 から 219002 までのメッセージについて説明します。
201002
エラー メッセージ %ASA-3-201002: Too many TCP connections on {static|xlate} global_address ! econns nconns説明 指定されたグローバル アドレスへの TCP 接続が最大数を超えました。
• nconns:スタティックまたは xlate グローバル アドレスに許可される最大接続数
推奨処置 show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201003
エラー メッセージ %ASA-2-201003: Embryonic limit exceeded nconns/elimit for outside_address/outside_port ( global_address ) inside_address / inside_port on interface interface_name説明 指定されたスタティック グローバル アドレスを持つ、指定された外部アドレスから指定されたローカル アドレスへの初期接続の数が初期接続の制限を超えました。ASA への初期接続の制限に達すると、ASA は何としても受け入れようと試みますが、その接続に時間制限を課します。この状況により、たとえ ASA がビジー状態であっても、一部の接続が成功することがあります。このメッセージは、メッセージ 201002 より重大なオーバーロードを示しています。このオーバーロードは、SYN 攻撃、または正規のトラフィックの非常に重い負荷が原因で発生します。
• elimit :static コマンドまたは nat コマンドで指定された最大初期接続数
推奨処置 show static コマンドを使用して、スタティック アドレスへの初期接続に課されている制限を確認します。
201004
エラー メッセージ %ASA-3-201004: Too many UDP connections on {static|xlate} global_address!udp connections limit説明 指定されたグローバル アドレスへの UDP 接続が最大数を超えました。
• udp conn limit:スタティック アドレスまたは変換に許可される UDP 接続の最大数
推奨処置 show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201005
エラー メッセージ %ASA-3-201005: FTP data connection failed for IP_address IP_address201006
エラー メッセージ %ASA-3-201006: RCMD backconnection failed for IP_address/port .説明 メモリ不足のため ASA が rsh コマンドに対する着信標準出力のための接続を事前割り当てできません。
推奨処置 rsh クライアント バージョンを確認します。ASA がサポートしているのは Berkeley rsh クライアント バージョンだけです。メモリ使用量を減らすか、または増設メモリを購入することもできます。
201008
エラー メッセージ %ASA-3-201008: Disallowing new connections.説明 TCP システム ログ メッセージングをイネーブルにしても syslog サーバに到達できないか、ASA syslog サーバ(PFSS)を使用しており Windows NT システムのディスクが満杯になっているか、自動アップデート タイムアウトが設定されており Auto Update Server に到達できません。
推奨処置 TCP syslog メッセージングをディセーブルにします。PFSS を使用している場合は、PFSS のある Windows NT システム上のスペースを解放します。さらに、syslog サーバが動作しており、ASA コンソールからそのホストに ping できることを確認します。次に、TCP システム メッセージ ロギングを再開してトラフィックを許可します。Auto Update Server に一定期間アクセスしなかった場合、 [no] auto-update timeout period コマンドを入力してパケットの送信が停止されるようにします。
201009
エラー メッセージ %ASA-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded説明 指定されたスタティック アドレスへの接続が最大数を超えました。
• interface_name :ホストの接続先インターフェイスの名前
推奨処置 show static コマンドおよび show nat コマンドを使用して、アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201010
エラー メッセージ %ASA-3-201010: Embryonic connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name説明 TCP 接続を確立しようとしたが、トラフィック クラスに対して set connection embryonic-conn-max MPC コマンドで設定されている初期接続の制限を超えたために失敗しました。
• econns :設定したトラフィック クラスに関連付けられている初期接続の現在の数
• limit :設定した初期接続のトラフィック クラスの制限
• dir :input(接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです)または output(接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです)
• source_address/source_port :接続を開始しているパケットの送信元の実際の IP アドレスと送信元ポート
• dest_address/dest_port :接続を開始しているパケットの宛先の実際の IP アドレスと宛先ポート
201011
エラー メッセージ %ASA-3-201011: Connection limit exceeded cnt / limit for dir packet from sip / sport to dip / dport on interface if_name .説明 ASA 経由の新しい接続により、少なくとも 1 つの設定済み最大接続制限を超えました。このメッセージは、 static コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、ASA 経由の新しい接続は許可されません。
201012
エラー メッセージ %ASA-6-201012: Per-client embryonic connection limit exceeded curr num / limit for [input|output] packet from IP_address / port to ip / port on interface interface_name説明 TCP 接続を確立しようとしましたが、クライアントごとの初期接続制限を超えたために失敗しました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。
• [input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット
• interface_name :ポリシーが適用されているインターフェイスの名前
推奨処置 制限に達すると、SYN フラッド アタックを防止するために、それ以降の接続要求はすべて ASA によってプロキシされます。クライアントが 3 ウェイ ハンドシェイクを終了できる場合に限り、ASA はサーバに接続します。これは、通常、エンド ユーザにもアプリケーションにも影響しません。ただし、正当に多数の初期接続を必要とするアプリケーションに問題が生じる場合は、 set connection per-client-embryonic-max コマンドを入力して設定を調整できます。
201013
エラー メッセージ %ASA-3-201013: Per-client connection limit exceeded curr num / limit for [input|output] packet from ip / port to ip / port on interface interface_name説明 クライアントごとの接続制限を超えたため、接続が拒否されました。
• [input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット
• interface_name :ポリシーが適用されているインターフェイスの名前
推奨処置 制限に達すると、それ以降の接続要求はすべて警告なしで廃棄されます。通常は、アプリケーションで接続が再試行されるため、遅延が発生します。再試行がすべて失敗した場合にはタイムアウトも発生します。アプリケーションが正当に多数の同時接続を必要とする場合は、 set connection per-client-max コマンドを入力して設定を調整できます。
202001
エラー メッセージ %ASA-3-202001: Out of address translation slots!説明 ASA に使用可能なアドレス変換スロットがなくなりました。
推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または可能であれば増設メモリを購入します。
202005
エラー メッセージ %ASA-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port202010
エラー メッセージ %ASA-3-202010: [NAT | PAT] pool exhausted for pool-name , port range [1-511 | 512-1023 | 1024-65535]. Unable to create protocol connection from in-interface : src-ip / src-port to out-interface : dst-ip / dst-port • protocol :接続を作成するために使用されるプロトコル
説明 ASA に使用可能なアドレス変換プールがなくなりました。
推奨処置 プール内のすべてのアドレスとポートを使い果たした原因を特定するには、 show nat pool および show nat detail コマンドを使用します。これが通常の状態で発生している場合は、NAT/PAT プールに IP アドレスを追加します。
202011
エラー メッセージ %ASA-3-202011: Connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name説明 TCP 接続または UDP 接続を作成しようとしたが、トラフィック クラスに対して set connection conn-max MPC コマンドで設定されている接続の制限を超えたために失敗しました。
• econns :設定したトラフィック クラスに関連付けられている初期接続の現在の数
• limit :設定した初期接続のトラフィック クラスの制限
• dir :input(接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです) または output(接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです)
• source_address / source_port :接続を開始しているパケットの送信元 IP アドレスと送信元ポート
• dest_address / dest_port :接続を開始しているパケットの宛先 IP アドレスと宛先ポート
208005
エラー メッセージ %ASA-3-208005: (function:line_num) clear command return code説明 ASA が、フラッシュ メモリ内のコンフィギュレーションを消去しようとしたときに非ゼロ値(内部エラー)を受信しました。このメッセージには、報告サブルーチンのファイル名および行番号が含まれています。
推奨処置 パフォーマンス上の理由から、エンド ホストは IP フラグメントを投入しないように設定する必要があります。このコンフィギュレーションの変更は、NFS が原因と考えられます。読み取りサイズおよび書き込みサイズを NFS のインターフェイス MTU と等しく設定します。
209003
エラー メッセージ %ASA-4-209003: Fragment database limit of number exceeded: src = source_address , dest = dest_address , proto = protocol , id = number説明 現在リアセンブリを待っている IP フラグメントが多すぎます。デフォルトでは、フラグメントの最大数は 200 です(最大値を大きくするには、コマンド リファレンスの fragment size コマンドを参照してください)。ASAは、同時にリアセンブリできる IP フラグメントの数を制限します。この制約により、異常なネットワーク条件下でASAのメモリが枯渇するのが防止されます。一般に、フラグメント化されたトラフィックは、混合トラフィック全体のわずかな割合に抑える必要があります。例外は、ほとんどがフラグメント化されたトラフィックである NFS over UDP のネットワーク環境の場合です。ASAこのタイプのトラフィックが経由で中継される場合、その代わりに NFS over TCP の使用を検討します。フラグメント化を防ぐには、『コマンド リファレンス』の sysopt connection tcpmss bytes コマンドを参照してください。
推奨処置 このメッセージが引き続き表示される場合は、DoS 攻撃(サービス拒絶攻撃)が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。
209004
エラー メッセージ %ASA-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes : src = source_address , dest = dest_address , proto = protocol , id = number説明 IP フラグメントの形式が誤っています。リアセンブリ済み IP パケットの合計サイズが、最大可能サイズの 65,535 バイトを超えています。
推奨処置 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。
209005
エラー メッセージ %ASA-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.説明 ASA は、24 よりも多くのフラグメントにフラグメント化されている IP パケットを拒否します。詳細については、コマンド リファレンスの fragment コマンドを参照してください。
推奨処置 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。 fragment chain xxx interface_name コマンドを使用して、パケットあたりのフラグメントの数を変更できます。
210001
エラー メッセージ %ASA-3-210001: LU sw_module_name error = number説明 ステートフル フェールオーバー エラーが発生しました。
推奨処置 ASA 経由のトラフィックが減少した後もこのエラーが引き続き表示される場合は、Cisco TAC にこのエラーを報告してください。
210002
エラー メッセージ %ASA-3-210002: LU allocate block ( bytes ) failed.説明 ステートフル フェールオーバーが、ステートフル情報をスタンバイ ASA に送信するためのメモリのブロックを割り当てることができません。
推奨処置 show interface コマンドを使用してフェールオーバー インターフェイスを調べて、その送信が正常であることを確認します。さらに、 show block コマンドを使用して、現在のブロック メモリを調べます。現在使用可能なカウントが 0 になっているメモリのブロックがあれば、ASA ソフトウェアをリロードして失われたメモリのブロックを回復します。
210003
エラー メッセージ %ASA-3-210003: Unknown LU Object number説明 ステートフル フェールオーバーが、サポートされていない Logical Update オブジェクトを受信し、そのオブジェクトを処理できませんでした。これは、破損したメモリ、LAN 伝送、または他のイベントが原因となっている可能性があります。
推奨処置 このエラーがまれにしか表示されない場合は、処置は不要です。このエラーが頻繁に発生する場合は、ステートフル フェールオーバー リンク LAN 接続を確認します。エラーが不適切なフェールオーバー リンク LAN 接続のためでない場合は、外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。また、誤って設定したクライアントがないかどうかも確認します。
210005
エラー メッセージ %ASA-3-210005: LU allocate connection failed説明 ステートフル フェールオーバーが、スタンバイ装置に新しい接続を割り当てられません。これは、ASA内の利用可能な RAM メモリがほとんどないか、またはまったくないことが原因となっている可能性があります。
推奨処置 show memory コマンドを使用して ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリをASAに追加します。
210006
エラー メッセージ %ASA-3-210006: LU look NAT for IP_address failed説明 ステートフル フェールオーバーが、スタンバイ装置上で IP アドレス用の NAT グループを検出できませんでした。アクティブおよびスタンバイの ASA が相互に同期していない可能性があります。
推奨処置 アクティブ装置で write standby コマンドを使用して、システム メモリをスタンバイ装置に同期させます。
210007
エラー メッセージ %ASA-3-210007: LU allocate xlate failed説明 ステートフル フェールオーバーが、変換スロット レコードを割り当てることができませんでした。
推奨処置 show memory コマンドを使用して ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。
210008
エラー メッセージ %ASA-3-210008: LU no xlate for inside_address / inside_port outside_address / outside_port説明 ASA でステートフル フェールオーバー接続の変換スロットレコードを検出できませんでした。そのため、ASA で接続情報を処理できませんでした。
推奨処置 アクティブ装置で write standby コマンドを使用して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。
210010
エラー メッセージ %ASA-3-210010: LU make UDP connection for outside_address : outside_port inside_address : inside_port failed説明 ステートフル フェールオーバーが、UDP 接続に新しいレコードを割り当てることができませんでした。
推奨処置 show memory コマンドを使用して ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。
210011
エラー メッセージ %ASA-3-210011: Connection limit exceeded cnt / limit for dir packet from sip / sport to dip / dport on interface if_name .説明 ASA 経由の新しい接続の確立により、少なくとも 1 つの設定済み最大接続制限を超えました。このメッセージは、 static コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、ASA 経由の新しい接続は許可されません。接続制限は正当な理由で設定されているため、このメッセージは DOS 攻撃の可能性を示すことがあります。その場合、トラフィックの送信元はスプーフィングされた IP アドレスである可能性があります。
• if_name :トラフィック ユニットを受信したインターフェイスの名前(Primary または Secondary)
推奨処置 送信元 IP アドレスが必ずしもランダムではない場合は、送信元を特定し、それをアクセス リストでブロックすると攻撃を防止できます。その他の場合は、スニファ トレースを取得してトラフィックの発信元を分析することが、正規のトラフィックから不要なトラフィックを切り分けるのに有効です。
210020
エラー メッセージ %ASA-3-210020: LU PAT port port reserve failed説明 ステートフル フェールオーバーが、使用中の特定の PAT アドレスを割り当てることができません。
推奨処置 アクティブ装置で write standby コマンドを使用して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。
210021
エラー メッセージ %ASA-3-210021: LU create static xlate global_address ifc interface_name failed説明 ステートフル フェールオーバーが変換スロットを作成できません。
推奨処置 アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。
210022
エラー メッセージ %ASA-6-210022: LU missed number updates説明 ステートフル フェールオーバーが、スタンバイ装置に送信された各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が最後にアップデートされたレコードと一致していない場合、その間の情報が失われたものと見なされ、その結果、このエラー メッセージが送信されます。
推奨処置 LAN の中断が発生しない場合、両方の ASA 装置の利用可能なメモリをチェックして、ステートフル情報を処理するのに十分なメモリがあることを確認します。 show failover コマンドを使用して、ステートフル情報のアップデートの品質をモニタします。
211001
エラー メッセージ %ASA-3-211001: Memory allocation Error説明 ASA は RAM システム メモリの割り当てに失敗しました。
推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。
211003
エラー メッセージ %ASA-3-211003: Error in computed percentage CPU usage value推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。
211004
エラー メッセージ %ASA-1-211004: WARNING: Minimum Memory Requirement for ASA version ver not met for ASA image. min MB required, actual MB found.説明 ASA がこのバージョンの最小メモリ要件を満たしていません。メモリのアップグレードが必要です。すぐにメモリをアップグレードできない場合は、ASA を 8.2(1) 以前のバージョンにダウングレードします。最小メモリ要件を満たさずに 8.3 イメージの実行を継続することはサポートされず、重大なシステム障害が発生することがあります。
• min :インストールされたイメージを実行するために必要な RAM の最小容量。使用可能なメモリ アップグレード PID 番号は次のとおりです。
推奨処置 必要な量の RAM を搭載します。必要な量の RAM を注文するには、メモリ アップグレード PID 番号を使用します。
212001
エラー メッセージ %ASA-3-212001: Unable to open SNMP channel (UDP port port ) on interface interface_number , error code = code説明 ASA は、このインターフェイス上にある SNMP 管理ステーションから ASA 宛ての SNMP 要求を受信できません。任意のインターフェイス上で ASA を通過する SNMP トラフィックは影響を受けません。エラー コードは次のとおりです。
• エラー コード -1 は、ASA がそのインターフェイスに対して SNMP トランスポートを開けないことを示します。このエラーは、SNMP がクエリーを受け入れるポートを別の機能ですでに使われているポートに変更しようとした場合に発生する可能性があります。この場合、SNMP が使用するポートは、着信 SNMP クエリー用のデフォルト ポート(UDP 161)にリセットされます。
• エラー コード -2 は、ASA がそのインターフェイスに対して SNMP トランスポートをバインドできないことを示します。
推奨処置 トラフィック量が少ないときに、ASAがリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。
212002
エラー メッセージ %ASA-3-212002: Unable to open SNMP trap channel (UDP port port ) on interface interface_number , error code = code説明 ASA は、ASA からこのインターフェイス上にある SNMP 管理ステーションに自分の SNMP トラップを送信できません。任意のインターフェイス上で ASA を通過する SNMP トラフィックは影響を受けません。エラー コードは次のとおりです。
• エラー コード -1 は、ASA がそのインターフェイスに対して SNMP トラップ トランスポートを開けないことを示します。
• エラー コード -2 は、ASA がそのインターフェイスに対して SNMP トラップ トランスポートをバインドできないことを示します。
• エラー コード -3 は、ASA がトラップ チャネルを書き込み専用として設定できないことを示します。
推奨処置 トラフィック量が少ないときに、ASAがリソースの一部を再要求してから、対象となるインターフェイスに対して snmp-server host コマンドを再入力します。
212003
エラー メッセージ %ASA-3-212003: Unable to receive an SNMP request on interface interface_number , error code = code , will try again.説明 指定されたインターフェイス上で ASA 宛ての SNMP 要求を受信する際に内部エラーが発生しました。エラー コードは次のとおりです。
• エラー コード -1 は、ASA がインターフェイスに対してサポートされているトランスポート タイプを検出できないことを示します。
• エラー コード -5 は、ASAがインターフェイスの UDP チャネルからデータを受信しなかったことを示します。
• エラー コード -7 は、ASAがサポートされているバッファ サイズを超える着信要求を受信したことを示します。
• エラー コード -14 は、ASA が UDP チャネルからの送信元 IP アドレスを判別できないことを示します。
212004
エラー メッセージ %ASA-3-212004: Unable to send an SNMP response to IP Address IP_address Port port interface interface_number , error code = code説明 指定されたインターフェイス上の指定されたホストに ASA から SNMP 応答を送信する際に内部エラーが発生しました。エラー コードは次のとおりです。
• エラー コード -1 は、ASA がインターフェイスに対してサポートされているトランスポート タイプを検出できないことを示します。
• エラー コード -2 は、ASAが無効なパラメータを送信したことを示します。
• エラー コード -3 は、ASAが UDP チャネルに宛先 IP アドレスを設定できなかったことを示します。
• エラー コード -4 は、ASAがサポートされている UDP セグメント サイズを超える PDU 長を送信したことを示します。
• エラー コード -5 は、ASAが PDU 構築用のシステム ブロックを割り当てることができなかったことを示します。
212005
エラー メッセージ %ASA-3-212005: incoming SNMP request ( number bytes) on interface interface_name exceeds data buffer size, discarding this SNMP request.説明 ASA 宛ての着信 SNMP 要求の長さが、内部処理中に要求を格納するために使用される内部データ バッファのサイズ(512 バイト)を超えています。ASAはこの要求を処理できません。任意のインターフェイス上で ASA を通過する SNMP トラフィックは影響を受けません。
推奨処置 SNMP 管理ステーションに長さの短い要求を再送信させます。たとえば、1 つの要求で複数の MIB 変数にクエリーを実行するのではなく、1 つの要求で 1 つの MIB 変数だけにクエリーを実行するようにします。SNMP マネージャ ソフトウェアのコンフィギュレーションの修正が必要になる可能性もあります。
212006
エラー メッセージ %ASA-3-212006: Dropping SNMP request from src_addr / src_port to ifc : dst_addr / dst_port because: reason username説明 ASA が次の理由により自分宛ての SNMP 要求を処理できません。
• user not found:ユーザ名がローカル SNMP ユーザ データベース内に見つかりません。
• username exceeds maximum length:PDU に埋め込まれているユーザ名が SNMP RFC で許可されている最大長を超えています。
• authentication algorithm failure:無効なパスワードにより認証が失敗したか、またはパケットが不適切なアルゴリズムで認証されました。
• privacy algorithm failure:無効なパスワードによりプライバシー障害が発生したか、またはパケットが不適切なアルゴリズムで暗号化されました。
• error decrypting request:ユーザ要求を復号化するプラットフォーム暗号モジュールでエラーが発生しました。
• error encrypting response:ユーザ応答またはトラップ通知を暗号化するプラットフォーム暗号モジュールでエラーが発生しました。
• engineBoots has reached maximum value:engineBoots 変数が最大許容値に達しました。詳細については、メッセージ 212011 を参照してください。
推奨処置 ASA SNMP サーバ設定をチェックし、NMS コンフィギュレーションで想定どおりのユーザ、認証、および暗号化設定が使用されていることを確認します。プラットフォーム暗号モジュールのエラーを分離するには、 show crypto accelerator statistics コマンドを入力します。
212009
エラー メッセージ %ASA-5-212009: Configuration request for SNMP group groupname failed. User username , reason .説明 ユーザが SNMP サーバのグループ コンフィギュレーションを変更しようとしました。グループを参照する 1 人または複数のユーザの設定が不十分であるため、要求されたグループの変更に応じることができません。
- missing auth-password :ユーザがグループに認証を追加しようとしましたが、その際、認証パスワードを指定しませんでした。
- missing priv-password :ユーザがグループにプライバシーを追加しようとしましたが、その際、暗号化パスワードを指定しませんでした。
- reference group intended for removal :ユーザが、所属ユーザが存在するグループを削除しようとしました。
推奨処置 ユーザは、グループを変更したり、指摘されたユーザを削除したりする前に、指摘されたユーザのコンフィギュレーションをアップデートする必要があります。その後で、グループを変更し、ユーザを追加し直します。
212010
エラー メッセージ %ASA-3-212010: Configuration request for SNMP user % s failed. Host % s reason .説明 ユーザが SNMP サーバのユーザ コンフィギュレーションを変更しようとしました。つまり、対象のユーザを参照する 1 つまたは複数のホストを削除しようとしました。ホストごとに 1 つのメッセージが生成されます。
- references user intended for removal :ユーザ名がホストから削除されようとしました。
推奨処置 ユーザは、ユーザを変更したり、指摘されたホストを削除したりする前に、指摘されたホストのコンフィギュレーションをアップデートする必要があります。その後で、ユーザを変更し、ホストを追加し直します。
212011
エラー メッセージ %ASA-3-212011: SNMP engineBoots is set to maximum value. Reason : %s User intervention necessary.説明 デバイスが 214783647 回(engineBoots 変数の最大許容値)リブートされたか、またはフラッシュ メモリから固定値を読み取り中にエラーが発生しました。engineBoots 値は、フラッシュ メモリ内の flash:/snmp/ ctx-name ファイルに格納されます。ここで、 ctx-name はコンテキストの名前です。シングルモードの場合、このファイルの名前は flash:/snmp/single_vf です。マルチモードの場合、管理コンテキスト用のファイルの名前は flash:/snmp/admin です。リブート時にデバイスでファイルの読み書きができない場合、engineBoots 値は最大値に設定されます。
• %s :engineBoots 値が最大許容値に設定されている原因を表す文字列。有効な文字列は「device reboots」および「error accessing persistent data」の 2 つです。
推奨処置 1 つ目の文字列の場合、管理者は、すべての SNMP バージョン 3 ユーザを削除してから追加し直すことで、engineBoots 変数を 1 にリセットする必要があります。それ以降のすべてのバージョン 3 クエリーは、すべてのユーザが削除されるまで失敗します。2 つ目の文字列の場合、管理者は、コンテキスト固有のファイルを削除し、すべての SNMP バージョン ユーザを削除してから追加し直すことで、engineBoots 変数を 1 にリセットする必要があります。それ以降のすべてのバージョン 3 クエリーは、すべてのユーザが削除されるまで失敗します。
212012
エラー メッセージ %ASA-3-212012: Unable to write SNMP engine data to persistent storage.説明 SNMP エンジン データはファイル flash:/snmp/ context-name に書き込まれます。たとえば、シングルモードでは、データは flash:/snmp/single_vf ファイルに書き込まれます。マルチモードの管理コンテキストでは、ファイルはディレクトリ flash:/snmp/admin に書き込まれます。flash:/snmp ディレクトリの作成または flash:/snmp/ context-name ファイルの作成に失敗すると、エラーが発生する可能性があります。また、ファイルへの書き込みに失敗した場合も、エラーが発生する可能性があります。
推奨処置 システム管理者は、flash:/snmp/ context-name ファイルを削除し、すべての SNMP バージョン 3 ユーザを削除してから追加し直す必要があります。この手順により、flash:/snmp/ context-name ファイルが再作成されるはずです。問題が解決しない場合、システム管理者はフラッシュの再フォーマットを試みる必要があります。
213001
エラー メッセージ %ASA-3-213001: PPTP control daemon socket io string , errno = number .213002
エラー メッセージ %ASA-3-213002: PPTP tunnel hashtable insert failed, peer = IP_address .213003
エラー メッセージ %ASA-3-213003: PPP virtual interface interface_number isn't opened.213004
エラー メッセージ %ASA-3-213004: PPP virtual interface interface_number client ip allocation failed.説明 IP アドレスを PPTP クライアントに割り当てている間に、IP ローカル アドレス プールの枯渇により内部ソフトウェア エラーが発生しました。
213005
エラー メッセージ %ASA-3-213005%: Dynamic-Access-Policy action (DAP) action aborted説明 DAP は、ユーザの認可権限およびリモート エンドポイント デバイスのポスチャ アセスメント結果に基づいて設定済みアクセス ポリシーを選択することにより、動的に作成されます。作成された動的ポリシーは、セッションを終了する必要があることを示しています。
213006
エラー メッセージ %ASA-3-213006%: Unable to read dynamic access policy record.説明 DAP ポリシー レコード データの取得でエラーが発生したか、またはアクションのコンフィギュレーションが欠落していました。
推奨処置 コンフィギュレーションの変更によって、DAP レコードが削除された可能性があります。 ASDM を使用して、DAP レコードを再作成します。
214001
エラー メッセージ %ASA-2-214001: Terminating manager session from IP_address on interface interface_name . Reason: incoming encrypted data ( number bytes) longer than number bytes説明 ASA 管理ポート宛ての着信暗号化データ パケットは、指定された上限をパケット長が超えていることを示します。これは敵対イベントの場合があります。ASAは、ただちにこの管理接続を終了します。
215001
エラー メッセージ %ASA-2-215001:Bad route_compress() call, sdb = number217001
エラー メッセージ %ASA-2-217001: No memory for string in string推奨処置 十分なメモリが存在する場合は、エラー メッセージ、コンフィギュレーション、およびこのエラーの発端になったイベントの詳細を、Cisco TAC に送付してください。
216001
エラー メッセージ %ASA- n -216001: internal error in: function : message説明 正常動作中に発生してはならないさまざまな内部エラーが発生しました。重大度は、メッセージの原因によって異なります。
推奨処置 Bug Toolkit で特定のテキスト メッセージを検索します。また、アウトプット インタープリタを使用して問題の解決を試みます。問題が解決しない場合、Cisco TAC にお問い合わせください。
216002
エラー メッセージ ASA-3-216002: Unexpected event (major: major_id , minor: minor_id ) received by task_string in function at line: line_num説明 タスクがイベント通知に登録したが、そのタスクが特定のイベントを処理できません。監視できるイベントには、キュー、ブーリアン、タイマー サービスに関連付けられているイベントが含まれます。登録されているイベントのいずれかが発生した場合、スケジューラはタスクを再起動してイベントを処理します。このメッセージは、予期しないイベントがタスクを再起動したが、タスクがそのイベントの処理方法を認識していない場合に生成されます。
イベントが未処理のままになっている場合、そのイベントが頻繁にタスクを再起動して処理されていることを確認しますが、これは正常状態では発生してはならないことです。このメッセージが表示される場合、必ずしもデバイスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。
216003
エラー メッセージ %ASA-3-216003: Unrecognized timer timer_ptr , timer_id received by task_string in function at line: line_num説明 予期しないタイマー イベントがタスクを再起動したが、タスクがそのイベントの処理方法を認識していません。タスクは、一連のタイマー サービスをスケジューラに登録できます。タイマーのいずれかが期限満了になった場合、スケジューラはタスクを再起動してアクションを実行します。このメッセージは、認識できないタイマー イベントによってタスクが再起動された場合に生成されます。
期限満了になったタイマーは、タスクが未処理のままになっている場合、途切れることなくタスクを再起動して処理されていることを確認しますが、これは望ましいことではありません。これは正常状態では発生してはならないことです。このメッセージが表示される場合、必ずしもデバイスが使用できないという意味ではなく、問題が発生し、調査する必要があることを意味しています。
216004
エラー メッセージ %ASA-4-216004:prevented: error in function at file ( line ) - stack trace説明 内部ロジック エラーが発生しました。このエラーは、正常動作中に発生してはならないものです。
• error :内部ロジック エラー。考えられるエラーは、次のとおりです。
• file(line) :エラーを生成したファイルと行番号。
• stack trace :完全なコール スタック トレースバック。呼び出し機能から開始します。たとえば、("0x001010a4 0x00304e58 0x00670060 0x00130b04") です。
216005
エラー メッセージ %ASA-1-216005: ERROR: Duplex-mismatch on interface_name resulted in transmitter lockup. A soft reset of the switch was performed.説明 ポート上のデュプレックスのミスマッチが原因で問題が発生し、ポートでパケットを転送できません。この状況が検出されたため、スイッチが自動回復するようにリセットされました。このメッセージは ASA 5505 にだけ適用されます。
• interface_name :ロックされたインターフェイス名
推奨処置 指定されたポートとそれに接続されている ASA 5505 との間にデュプレックスのミスマッチが存在します。両方のデバイスを自動回復に設定するか、または両方のデバイスでデュプレックスのミスマッチが同じになるようにハードコードすることで、デュプレックスのミスマッチを修正します。
218001
エラー メッセージ %ASA-2-218001: Failed Identification Test in slot# [ fail #/ res ].説明 ASA の slot# のモジュールが、シスコ純正製品として識別できません。シスコの保証およびサポート プログラムは、シスコ純正製品だけに適用されます。シスコは、サポート問題の原因がシスコ製以外のメモリ、SSM モジュール、SSC モジュールなどのモジュールに関連していると判断した場合、現在の保証またはシスコ サポート プログラム(SmartNet など)の下でのサポートを拒否することがあります。
推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されたとおりに、メッセージをコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。
218002
エラー メッセージ %ASA-2-218002: Module ( slot# ) is a registered proto-type for Cisco Lab use only, and not certified for live network operation.説明 指摘された場所のハードウェアが、シスコのラボで製造されたプロトタイプ モジュールです。
推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。
218003
エラー メッセージ %ASA-2-218003: Module Version in slot# is obsolete. The module in slot = slot# is obsolete and must be returned via RMA to Cisco Manufacturing. If it is a lab unit, it must be returned to Proto Services for upgrade.説明 古いハードウェアが検出されたか、 show module コマンドがモジュールに対して実行されました。このメッセージは、最初に表示された後 1 分ごとに生成されます。
推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されたとおりに、メッセージをコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。
218004
エラー メッセージ %ASA-2-218004: Failed Identification Test in slot# [ fail# / res ]説明 指定された場所でハードウェアを識別しているときに問題が発生しました。
推奨処置 このメッセージが繰り返し表示される場合は、コンソールまたはシステム ログに表示されたとおりに、メッセージをコピーします。アウトプット インタープリタを使用してエラーの詳細を調べて解決してください。Bug Toolkit での検索も行います。問題が解決しない場合、Cisco TAC にお問い合わせください。
219002
エラー メッセージ %ASA-3-219002: I2C_API_name error, slot = slot_number , device = device_number , address = address , byte count = count . Reason: reason_string説明 ハードウェアまたはソフトウェアの問題が原因で I2C シリアル バス API が失敗しました。
• I2C_API_name :失敗した I2C API。次のいずれかです。
• slot_number :このメッセージを生成した I/O 動作が行われたスロットの番号(16 進数)。スロット番号は、シャーシ内のスロットとして一意でないことがあります。シャーシによっては、2 つの異なるスロットが同じ I2C スロット番号を持つことがあります。また、値は必ずしもスロット数以下ではありません。値は、I2C ハードウェアがどのように配線されているかによって異なります。
• device_number :I/O 動作が行われたスロット上のデバイスの番号(16 進数)。
• address :I/O 動作が行われたデバイスのアドレス(16 進数)。
• byte_count :I/O 動作のバイト数(10 進数形式)。
• error_string :エラーの原因。次のいずれかです。
1. イベントに関連付けられているメッセージとエラーを記録して確認します。このメッセージが継続的に表示されず、数分後に表示されなくなる場合は、I2C シリアル バスのビジー状態が原因である可能性があります。
メッセージ 302003 ~ 339009
この項では、302003 から 339009 までのメッセージについて説明します。
302003
エラー メッセージ %ASA-6-302003: Built H245 connection for foreign_address outside_address / outside_port local_address inside_address / inside_port説明 H.245 接続が outside_address から inside_address に向けて開始されました。ASA は、Intel Internet Phone の使用を検出しました。外部ポート( outside_port )は、ASA外部からの接続にしか表示されません。ローカル ポート値( inside_port )は、内部インターフェイスで開始された接続にしか表示されません。
302004
エラー メッセージ %ASA-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address / outside_port to local_address inside_address / inside_port説明 H.323 UDP バック接続がローカル アドレス( inside_address )から外部アドレス( outside_address )に事前割り当てされました。ASA は、Intel Internet Phone の使用を検出しました。外部ポート( outside_port )は、ASA外部からの接続にしか表示されません。ローカル ポート値( inside_port )は、内部インターフェイスで開始された接続にしか表示されません。
302010
エラー メッセージ %ASA-6-302010: connections in use, connections most used302012
エラー メッセージ %ASA-6-302012: Pre-allocate H225 Call Signalling Connection for faddr IP_address / port to laddr IP_address302013
エラー メッセージ %ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface : real-address / real-port ( mapped-address/mapped-port ) [( idfw_user )] to interface : real-address / real-port ( mapped-address/mapped-port ) [( idfw_user )] [( user )]説明 2 つのホスト間に TCP 接続スロットが作成されました。
• interface 、 real-address 、 real-port :実際のソケット
• mapped-address、mapped-port :マッピングされたソケット
• idfw_user :アイデンティティ ファイアウォールのユーザ名
inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、FTP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。
302014
エラー メッセージ %ASA-6-302014: Teardown TCP connection id for interface : real-address / real-port [( idfw_user )] to interface : real-address / real-port [( idfw_user )] duration hh:mm:ss bytes bytes [ reason ] [( user )]説明 2 つのホスト間の TCP 接続が削除されました。メッセージの値は次のとおりです。
• interface、real-address、real-port :実際のソケット
• idfw_user :アイデンティティ ファイアウォールのユーザ名
• reason :接続終了の原因となったアクション。 reason 変数には、 表 1-3 に示されている TCP 終了の原因の 1 つが設定されています。
302015
エラー メッセージ %ASA-6-302015: Built {inbound|outbound} UDP connection number for interface_name : real_address / real_port ( mapped_address / mapped_port ) [( idfw_user )] to interface_name : real_address / real_port ( mapped_address / mapped_port )[( idfw_user )] [( user )]説明 2 つのホスト間に UDP 接続スロットが作成されました。メッセージの値は次のとおりです。
• interface、real_address、real_port :実際のソケット
• mapped_address、mapped_port :マッピングされたソケット
• idfw_user :アイデンティティ ファイアウォールのユーザ名
inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、UDP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。
302016
エラー メッセージ %ASA-6-302016: Teardown UDP connection number for interface : real-address / real-port [( idfw_user )] to interface : real-address / real-port [( idfw_user )] duration hh : mm : ss bytes bytes [( user )]説明 2 つのホスト間の UDP 接続スロットが削除されました。メッセージの値は次のとおりです。
• interface、real_address、real_port :実際のソケット
• interface、real-address、real-port :実際のソケット
302017
エラー メッセージ %ASA-6-302017: Built {inbound|outbound} GRE connection id from interface : real_address ( translated_address ) [( idfw_user )] to interface : real_address / real_cid ( translated_address / translated_cid ) [( idfw_user )] [( user ) 説明 2 つのホスト間に GRE 接続スロットが作成されました。 id は、一意の識別子です。 interface、real_address、real_cid タプルは、2 つのシンプレックス PPTP GRE ストリームのうちの 1 つを示します。カッコ付きの translated_address 、 translated_cid タプルは、Network Address Translation(NAT; ネットワーク アドレス変換)で変換された値を示します。
inbound が表示されている場合、接続は着信だけに使用できます。outbound が表示されている場合、接続は発信だけに使用できます。メッセージの値は次のとおりです。
• inbound :制御接続は着信 PPTP GRE フロー用
• outbound :制御接続は発信 PPTP GRE フロー用
• real_address :実際のホストの IP アドレス
• translated_address :変換後の IP アドレス
302018
エラー メッセージ %ASA-6-302018: Teardown GRE connection id from interface : real_address ( translated_address ) [( idfw_user )] to interface : real_address / real_cid ( translated_address / translated_cid ) [( idfw_user )] duration hh : mm : ss bytes bytes [( user )]説明 2 つのホスト間の GRE 接続スロットが削除されました。 interface、real_address、real_port タプルは、実際のソケットを示します。 Duration は、接続のライフタイムを示します。メッセージの値は次のとおりです。
• real_address :実際のホストの IP アドレス
• bytes :GRE セッションで転送された PPP バイトの数
302019
エラー メッセージ %ASA-3-302019: H.323 library_name ASN Library failed to initialize, error code number説明 指摘された ASN ライブラリ(ASAが H.323 メッセージのデコードに使用するライブラリ)の初期化に失敗しました。ASAは到着する H.323 パケットのデコードも検査もできません。ASAは、何も修正を加えずに H.323 パケットが通過できるようにします。次の H.323 メッセージが到着すると、ASA はライブラリを再度初期化しようとします。
推奨処置 このメッセージが特定のライブラリに対して始終生成される場合は、Cisco TAC にお問い合わせのうえ、すべてのログ メッセージ(タイムスタンプ付きが望ましい)を送付してください。
302020
エラー メッセージ %ASA-6-302020: Built {in | out}bound ICMP connection for faddr { faddr | icmp_seq_num } [( idfw_user )] gaddr { gaddr | cmp_type } laddr laddr [( idfw_user )]説明 inspect icmp コマンドを使用してステートフル ICMP をイネーブルにしたときに、ICMP セッションがファースト パスで確立されました。
302021
エラー メッセージ %ASA-6-302021: Teardown ICMP connection for faddr { faddr | icmp_seq_num } [( idfw_user )] gaddr { gaddr | cmp_type } laddr laddr [( idfw_user )]説明 inspect icmp コマンドを使用してステートフル ICMP をイネーブルにすると、ICMP セッションがファースト パスで削除されます。
302033
エラー メッセージ %ASA-6-302033:Pre-allocated H323 GUP Connection for faddr interface : foreign address / foreign-port to laddr interface : local-address / local-port説明 GUP 接続は外部アドレスからローカル アドレスに開始されました。外部ポートは、セキュリティ デバイスの外部からの接続にしか表示されません。ローカル ポート値(内部ポート)は、内部インターフェイスで開始された接続にしか表示されません。
• foreign-address :外部ホストの IP アドレス
302034
エラー メッセージ %ASA-4-302034: Unable to pre-allocate H323 GUP Connection for faddr interface : foreign address / foreign-port to laddr interface : local-address / local-port説明 モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
• foreign-address :外部ホストの IP アドレス
• local-address :ローカル ホストの IP アドレス
推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。または、変換と接続のタイムアウト間隔を短くします。このメッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。
302302
エラー メッセージ %ASA-3-302302: ACL = deny; no sa created説明 IPSec プロキシのミスマッチが発生しました。ネゴシエートした SA のプロキシ ホストは、deny access-list コマンド ポリシーに対応します。
推奨処置 コンフィギュレーションの access-list コマンド文を確認します。ピアの管理者にお問い合わせください。
302303
エラー メッセージ %ASA-6-302303: Built TCP state-bypass connection conn_id from initiator_interface : real_ip / real_port ( mapped_ip / mapped_port ) to responder_interface : real_ip / real_port ( mapped_ip / mapped_port )説明 新しい TCP 接続が作成されました。この接続は、TCP 状態バイパス接続です。このタイプの接続では、すべての TCP 状態チェックと追加のセキュリティ チェックおよび検査がバイパスされます。
推奨処置 標準的なすべての TCP 状態チェックと他のすべてのセキュリティ チェックおよび検査によって TCP トラフィックを保護する必要がある場合は、 no set connection advanced-options tcp-state-bypass コマンドを使用して、TCP トラフィックに対してこの機能をディセーブルにできます。
302304
エラー メッセージ %ASA-6-302304: Teardown TCP state-bypass connection conn_id from initiator_interface :ip/port to responder_interface :ip/port duration , bytes , teardown reason .説明 新しい TCP 接続が切断されました。この接続は、TCP 状態バイパス接続です。このタイプの接続では、すべての TCP 状態チェックと追加のセキュリティ チェックおよび検査がバイパスされます。
• teardown reason :TCP 接続の切断原因
推奨処置 標準的なすべての TCP 状態チェックと他のすべてのセキュリティ チェックおよび検査によって TCP トラフィックを保護する必要がある場合は、 no set connection advanced-options tcp-state-bypass コマンドを使用して、TCP トラフィックに対してこの機能をディセーブルにできます。
303002
エラー メッセージ %ASA-6-303002: FTP connection from src_ifc : src_ip / src_port to dst_ifc : dst_ip / dst_port , user username action file filename説明 クライアントは、FTP サーバとの間でファイルをアップロードまたはダウンロードしました。
303004
エラー メッセージ %ASA-5-303004: FTP cmd_string command unsupported - failed strict inspection, terminating connection from source_interface : source_address / source_port to dest_interface : dest_address/dest_interface説明 FTP トラフィックの厳密な FTP 検査が使用される、FTP 要求メッセージに、デバイスに認識されないコマンドが含まれています。
303005
エラー メッセージ %ASA-5-303005: Strict FTP inspection matched match_string in policy-map policy-name , action_string from src_ifc : sip / sport to dest_ifc : dip / dport説明 FTP 検査で、設定済みの値(ファイル名、ファイル タイプ、要求コマンド、サーバ、ユーザ名)のいずれかと一致した場合、このメッセージの action_string で指定されたアクションが実行されます。
• match_string :ポリシー マップ内の match 節
304001
エラー メッセージ %ASA-5-304001: user@source_address [( idfw_user )] Accessed URL dest_address : url .304002
エラー メッセージ %ASA-5-304002: Access denied URL chars SRC IP_address [( idfw_user )] DEST IP_address : chars304003
エラー メッセージ %ASA-3-304003: URL Server IP_address timed out URL url304004
エラー メッセージ %ASA-6-304004: URL Server IP_address request failed URL url304005
エラー メッセージ %ASA-7-304005: URL Server IP_address request pending URL url304006
エラー メッセージ %ASA-3-304006: URL Server IP_address not responding説明 Websense サーバはアクセスに使用できません。ASAは、Websense サーバがインストールされている唯一のサーバである場合は同サーバに、または複数のサーバがある場合は別のサーバに、アクセスしようとします。
304007
エラー メッセージ %ASA-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.説明 filter コマンドの allow オプションを使用し、Websense サーバが応答していません。ASAは、サーバが使用できない間すべての Web 要求がフィルタリングせずに継続できるようにします。
304008
エラー メッセージ %ASA-2-304008: LEAVING ALLOW mode, URL Server is up.説明 filter コマンドの allow オプションを使用し、ASA が、以前は応答しなかった Websense サーバから応答メッセージを受け取りました。この応答メッセージによりASAは allow モードを終了します。これで URL フィルタリング機能が再びイネーブルになります。
304009
エラー メッセージ %ASA-7-304009: Ran out of buffer blocks specified by url-block command説明 URL 保留バッファ ブロックが領域を使い切りました。
推奨処置 url-block block block_size コマンドを入力して、バッファ ブロック サイズを変更します 。
305005
エラー メッセージ %ASA-3-305005: No translation group found for protocol src interface_name : source_address / source_port [( idfw_user )] dst interface_name : dest_address / dest_port [( idfw_user )]説明 パケットがどの発信 nat コマンド規則とも一致しません。指摘された送信元システムおよび宛先システムに NAT が設定されていない場合、メッセージは頻繁に生成されます。
推奨処置 このメッセージはコンフィギュレーション エラーを示します。送信元ホストにダイナミック NAT が望ましい場合は、 nat コマンドが送信元 IP アドレスと一致することを確認します。送信元ホストにスタティック NAT が望ましい場合は、 static コマンドのローカル IP アドレスが一致することを確認します。送信元ホストに NAT が望ましくない場合は、NAT 0 ACL にバインドされている ACL を確認します。
305006
エラー メッセージ %ASA-3-305006: {outbound static|identity|portmap|regular) translation creation failed for protocol src interface_name : source_address / source_port [( idfw_user )] dst interface_name : dest_address / dest_port [( idfw_user )]説明 プロトコル(UDP、TCP、または ICMP)が ASA 経由で変換を作成できませんでした。ASA は、ネットワーク アドレスまたはブロードキャスト アドレス宛てのパケットの通過を許可していません。ASA は、static コマンドで明示的に識別されるアドレスに対してこのチェックを行います。着信トラフィックの場合、ASA はネットワーク アドレスまたはブロードキャスト アドレスと識別された IP アドレスの変換を拒否します。
ASA は、すべての ICMP メッセージ タイプに PAT を適用するのではなく、ICMP エコーとエコー応答パケット(タイプ 8 と 0)に限り PAT を適用します。特に、ICMP エコーまたはエコー応答パケットだけが、PAT 変換を作成します。そのため、他の ICMP メッセージ タイプが廃棄されるとき、このメッセージが生成されます。
ASA は、設定済み static コマンドのグローバル IP アドレスとマスクを使用して、標準 IP アドレスを、ネットワーク IP アドレスまたはブロードキャスト IP アドレスと区別します。グローバル IP アドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、ASA は着信パケットのネットワーク IP アドレスまたはブロードキャスト IP アドレスに対して変換を作成しません。
ASA は、ネットワーク アドレスとしてグローバル アドレス 10.2.2.128 に応答し、ブロードキャスト アドレスとして 10.2.2.255 に応答します。既存の変換がない場合、ASA は、10.2.2.128 または 10.2.2.255 宛ての着信パケットを拒否して、このメッセージに記録します。
疑わしい IP アドレスがホスト IP アドレスである場合、サブネット static コマンドの直前にホスト マスクを持つ別の static コマンドを設定します(static コマンドに対する最初の一致規則)。その後の static コマンドでは、ASA がホスト アドレスとして 10.2.2.128 に応答します。
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128
変換は、疑わしい IP アドレスを持つ内部ホストから開始されるトラフィックによって作成される可能性があります。ASA はネットワーク IP アドレスまたはブロードキャスト IP アドレスを重複したサブネット スタティック コンフィギュレーションを持つホスト IP と見なすので、両方の static コマンドのネットワーク アドレス変換は同じである必要があります。
305007
エラー メッセージ %ASA-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number説明 ASA が、自分のグローバル プールで見つけられないアドレスを変換しようとしました。ASA は、アドレスが削除されているとして、要求を廃棄します。
305008
エラー メッセージ %ASA-3-305008: Free unallocated global IP address.説明 ASA カーネルは、割り当てられていないグローバル IP アドレスを解放してアドレス プールに戻そうとしたときに、不整合状態を検出しました。この異常状態は、ASA がステートフル フェールオーバー セットアップを実行中で、一部の内部状態がアクティブ装置とスタンバイ装置との間で瞬間的に同期していない場合に発生する可能性があります。この状態は破局的なものではなく、同期は自動的に回復します。
305009
エラー メッセージ %ASA-6-305009: Built {dynamic|static} translation from interface_name [(acl-name)]:real_address [( idfw_user )] to interface_name : mapped_address説明 アドレス変換スロットが作成されました。スロットは、送信元アドレスをローカル側からグローバル側に変換します。また、逆方向では、宛先アドレスをグローバル側からローカル側に変換します。
305010
エラー メッセージ %ASA-6-305010: Teardown {dynamic|static} translation from interface_name : real_address [( idfw_user )] to interface_name : mapped_address duration time305011
エラー メッセージ %ASA-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name : real_address / real_port [( idfw_user )] to interface_name : mapped_address / mapped_port説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側に送信元ソケットを変換します。逆に、スロットは、グローバル側からローカル側に宛先ソケットを変換します。
305012
エラー メッセージ %ASA-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name [( acl-name )]: real_address /{ real_port | real_ICMP_ID } [( idfw_user )] to interface_name : mapped_address /{ mapped_port | mapped_ICMP_ID } duration time305013
エラー メッセージ %ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name : source_address / source_port [( idfw_user )] dst interface_name : dst_address / dst_port [( idfw_user )] denied due to NAT reverse path failure.説明 実際のアドレスを使用して、マップされたホストへの接続を試みましたが、拒否されました。
推奨処置 NAT を使用するホストと同じインターフェイス上にないホストに接続する場合は、実際のアドレスではなく、マップされたアドレスを使用します。また、アプリケーションに IP アドレスが埋め込まれている場合は、 inspect コマンドをイネーブルにします。
308001
エラー メッセージ %ASA-6-308001: console enable password incorrect for number tries (from IP_address )説明 これは ASA 管理メッセージです。このメッセージは、特権モードに入るためにユーザがパスワードを指摘された回数だけ誤って入力した後に表示されます。最大試行回数は 3 回です。
308002
エラー メッセージ %ASA-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address説明 1 つまたは複数の static コマンド文の IP アドレスが重複しています。 global_address は低セキュリティ レベルのインターフェイス上のアドレスであるグローバル アドレスであり、 inside_address は高セキュリティ レベルのインターフェイス上のアドレスであるローカル アドレスです。
推奨処置 show static コマンドを使用してコンフィギュレーションの static コマンド文を表示し、重複しているコマンドを修正します。最も一般的な重複は、10.1.1.0 などのネットワーク アドレスを指定して、別の static コマンドで 10.1.1.5 などその範囲内にあるホストを指定する場合に発生します。
311001
エラー メッセージ %ASA-6-311001: LU loading standby start説明 スタンバイ ASA が最初にオンラインになるときに、ステートフル フェールオーバー アップデート情報がスタンバイ ASA に送信されました。
311002
エラー メッセージ %ASA-6-311002: LU loading standby end311003
エラー メッセージ %ASA-6-311003: LU recv thread up311004
エラー メッセージ %ASA-6-311004: LU xmit thread up312001
エラー メッセージ %ASA-6-312001: RIP hdr failed from IP_address : cmd= string , version= number domain= string on interface interface_name説明 ASA が応答以外のオペレーション コードを持つ RIP メッセージを受信し、メッセージはこのインターフェイスで予想されるバージョン番号とは異なる番号を持ち、ルーティング ドメインのエントリは非ゼロでした。別の RIP デバイスは ASA と通信するように正しく設定されていない可能性があります。
313001
エラー メッセージ %ASA-3-313001: Denied ICMP type= number , code= code from IP_address on interface interface_name説明 icmp コマンドをアクセス リストとともに使用している場合、最初に一致したエントリが許可エントリであれば、ICMP パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、ASA は ICMP パケットを廃棄し、このメッセージを生成します。 icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping の実行がディセーブルの場合、ASA はネットワーク上で検出できません。この機能は、設定可能なプロキシ ping とも呼ばれます。
313004
エラー メッセージ %ASA-4-313004:Denied ICMP type= icmp_type , from source_address on interface interface_name to dest_address :no matching session説明 ステートフル ICMP 機能で追加されたセキュリティ チェックのため、ICMP パケットが ASA によって廃棄されました。通常、これに該当するのは、すでに ASA を通過した有効なエコー要求を含まない ICMP エコー応答、またはすでに ASA で確立されている TCP、UDP、または ICMP セッションに関連しない ICMP エラー メッセージのいずれかです。
313005
エラー メッセージ %ASA-4-313005: No matching connection for ICMP error message: icmp_msg_info on interface_name interface. Original IP payload: embedded_frame_info icmp_msg_info = icmp src src_interface_name : src_address [([ idfw_user | FQDN_string ], sg_info )] dst dest_interface_name : dest_address [([ idfw_user | FQDN_string ], sg_info )] (type icmp_type, code icmp_code ) embedded_frame_info = prot src source_address / source_port [([ idfw_user | FQDN_string ], sg_info )] dst dest_address / dest_port [( idfw_user | FQDN_string ), sg_info ]説明 ICMP エラー メッセージが ASA ですでに確立されているどのセッションとも関連しないため、ICMP エラー パケットが ASA によって廃棄されました。
313008
エラー メッセージ %ASA-3-313008: Denied ICMPv6 type= number , code= code from IP_address on interface interface_name説明 icmp コマンドをアクセス リストとともに使用している場合、最初に一致したエントリが許可エントリであれば、ICMPv6 パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、ASA は ICMPv6 パケットを廃棄し、このメッセージを生成します。
icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping をディセーブルにすると、ASA がネットワーク上で検出できなくなります。この機能は、「設定可能なプロキシ ping」とも呼ばれます。
313009
エラー メッセージ %ASA-4-313009: Denied invalid ICMP code icmp-code , for src-ifc : src-address / src-port (mapped-src-address/mapped-src-port) to dest-ifc : dest-address / dest-port (mapped-dest-address/mapped-dest-port) [ user ], ICMP id icmp-id , ICMP type icmp-type説明 コードが不正な(ゼロ以外)ICMP エコー要求または応答パケットを受信しました。
推奨処置 断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。
314001
エラー メッセージ %ASA-6-314001: Pre-allocated RTSP UDP backconnection for src_intf : src_IP to dst_intf : dst_IP / dst_port.説明 ASA が、サーバからデータを受信していた RTSP クライアントに対して UDP メディア チャネルを開きました。
314002
エラー メッセージ %ASA-6-314002: RTSP failed to allocate UDP media connection from src_intf : src_IP to dst_intf : dst_IP / dst_port : reason_string.説明 ASA がメディア チャネルに対して新しいピンホールを開くことができません。
• reason_string :「Pinhole already exists」または「Unknown」
推奨処置 原因が不明な場合は、ASA のメモリが不足しているため、 show memory コマンドを実行して利用可能な空きメモリを確認するか、または show conn コマンドを実行して使用されている接続数を確認します。
314003
エラー メッセージ %ASA-6-314003: Dropped RTSP traffic from src_intf : src_ip due to: reason .説明 RTSP メッセージに予約ポート範囲内のポートが含まれているか、または最大許容制限を超える長さの URL が含まれているため、RTSP メッセージがユーザ設定の RTSP セキュリティ ポリシーに違反しました。
- エンドポイントが予約ポート範囲 0 ~ 1024 のメディア ポートをネゴシエートしています。
- URL の長さ( url length バイト)が最大長( url length limit バイト)を超えています。
推奨処置 RTSP クライアントがセキュリティ ポリシーに違反するメッセージを送信する原因を調査します。要求された URL が正当である場合は、RTSP ポリシー マップで、より長い URL 長制限を指定して、ポリシーを緩和できます。
314004
エラー メッセージ %ASA-6-314004: RTSP client src_intf:src_IP accessed RTSP URL RTSP URL314005
エラー メッセージ %ASA-6-314005: RTSP client src_intf:src_IP denied access to URL RTSP_URL.314006
エラー メッセージ %ASA-6-314006: RTSP client src_intf:src_IP exceeds configured rate limit of rate for request_method messages.315004
エラー メッセージ %ASA-3-315004: Fail to establish SSH session because RSA host key retrieval failed.説明 ASA が、SSH セッションの確立に必要な RSA ホスト キーを見つけられません。ホスト キーが生成されていなかったため、またはこの ASA のライセンスが DES または 3DES 暗号化を許可しないために、ASA ホスト キーがない可能性があります。
推奨処置 ASA コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、 show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開します。RSA ホスト キーを生成するには、 crypto key mypubkey rsa コマンドを入力します。
315011
エラー メッセージ %ASA-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason説明 SSH セッションが終了しました。ユーザが quit または exit を入力すると、 terminated normally メッセージが表示されます。別の原因でセッションが切断された場合は、テキストで原因が説明されます。 表 1-4 に、考えられるセッション切断の原因を示します。
316001
エラー メッセージ %ASA-3-316001: Denied new tunnel to IP_address . VPN peer limit ( platform_vpn_peer_limit) exceeded説明 プラットフォーム VPN ピアの上限でサポートされているよりも多くの VPN トンネル(ISAKMP/IPSec)を同時に確立しようとした場合、過剰なトンネルは打ち切られます。
316002
エラー メッセージ %ASA-3-316002: VPN Handle error: protocol= protocol , src in_if_num : src_addr , dst out_if_num : dst_addr説明 VPN ハンドルがすでに存在するため、ASA は VPN ハンドルを作成できません。
• in_if_num :VPN フローの入力インターフェイス番号
• src_addr :VPN フローの送信元 IP アドレス
• out_if_num :VPN フローの出力インターフェイス番号
• dst_addr :VPN フローの宛先 IP アドレス
推奨処置 このメッセージは、正常動作中に発生することもあります。ただし、メッセージが繰り返し表示され、VPN ベースのアプリケーションに深刻な誤動作が発生する場合は、ソフトウェア障害が原因となっている可能性があります。次のコマンドを入力して詳細な情報を収集し、Cisco TAC に問題の調査を依頼してください。
317001
エラー メッセージ %ASA-3-317001: No memory available for limit_slow推奨処置 他のシステム アクティビティを減らしてメモリの使用を軽減します。状況に応じて、より大容量のメモリ構成にアップグレードしてください。
317002
エラー メッセージ %ASA-3-317002: Bad path index of number for IP_address , number max317003
エラー メッセージ %ASA-3-317003: IP routing table creation failure - reason317004
エラー メッセージ %ASA-3-317004: IP routing table limit warning317005
エラー メッセージ %ASA-3-317005: IP routing table limit exceeded - reason , IP_address netmask317006
エラー メッセージ %ASA-3-317006: Pdb index error pdb , pdb_index , pdb_type • pdb :Protocol Descriptor Block(PDB インデックス エラーの記述子)
• pdb_type :PDB インデックス エラーのタイプ
推奨処置 問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco TAC にお問い合わせのうえ、TAC の担当者に収集した情報をご提供ください。
317007
エラー メッセージ %ASA-6-317007: Added route_type route dest_address netmask via gateway_address [ distance / metric ] on interface_name route_type説明 新しいルートがルーティング テーブルに追加されました。
C:接続、S:スタティック、I:IGRP、R:RIP、M:モバイル
B:BGP、D:EIGRP、EX:EIGRP 外部、O:OSPF
IA:OSPF 内部エリア、N1:OSPF NSSA 外部タイプ 1
N2:OSPF NSSA 外部タイプ 2、E1:OSPF 外部タイプ 1
E2:OSPF 外部タイプ 2、E:EGP、i:IS-IS、L1:IS-IS レベル 1
• dest_address :このルートの宛先ネットワーク
• gateway_address :宛先ネットワークが到達のために使用するゲートウェイのアドレス
• distance :このルートのアドミニストレーティブ ディスタンス
317008
エラー メッセージ %ASA-6-317007: Deleted route_type route dest_address netmask via gateway_address [ distance / metric ] on interface_name route_type説明 新しいルートがルーティング テーブルから削除されました。
C:接続、S:スタティック、I:IGRP、R:RIP、M:モバイル
B:BGP、D:EIGRP、EX:EIGRP 外部、O:OSPF
IA:OSPF 内部エリア、N1:OSPF NSSA 外部タイプ 1
N2:OSPF NSSA 外部タイプ 2、E1:OSPF 外部タイプ 1
E2:OSPF 外部タイプ 2、E:EGP、i:IS-IS、L1:IS-IS レベル 1
• dest_address :このルートの宛先ネットワーク
• gateway_address :宛先ネットワークが到達のために使用するゲートウェイのアドレス
• distance :このルートのアドミニストレーティブ ディスタンス
318001
エラー メッセージ %ASA-3-318001: Internal error: reason318002
エラー メッセージ %ASA-3-318002: Flagged as being an ABR without a backbone area説明 ルータには、ルータで設定されたバックボーン エリアのないエリア境界ルータとしてフラグが付いています。このメッセージは 5 秒ごとに表示されます。
318003
エラー メッセージ %ASA-3-318003: Reached unknown state in neighbor state machine318004
エラー メッセージ %ASA-3-318004: area string lsid IP_address mask netmask adv IP_address type number説明 OSPF プロセスで リンクステート アドバタイズメントの検出に問題が生じました。これはメモリ リークにつながる可能性があります。
318005
エラー メッセージ %ASA-3-318005: lsid ip_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number318006
エラー メッセージ %ASA-3-318006: if interface_name if_state number318007
エラー メッセージ %ASA-3-318007: OSPF is enabled on interface_name during idb initialization318008
エラー メッセージ %ASA-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。このアクションによってすべての仮想リンクが停止させられます。
推奨処置 すべての隣接仮想リンクの仮想リンク コンフィギュレーションを、新しいルータ ID を反映するように変更します。
318009
エラー メッセージ %ASA-3-318009: OSPF: Attempted reference of stale data encountered in function , line: line_num説明 OSPF が動作中で、他の場所で削除された一部の関連データ構造を参照しようとしました。インターフェイスおよびルータのコンフィギュレーションを消去すると、問題が解決する可能性があります。しかし、このメッセージが表示される場合は、シーケンスの一部のステップによってデータ構造の早期削除が生じているので、調査する必要があります。
318101
エラー メッセージ %ASA-3-318101: Internal error: REASON318102
エラー メッセージ %ASA-3-318102: Flagged as being an ABR without a backbone area説明 ルータ内のバックボーン領域なしに、ルータが Area Border Router(ABR)としてフラグが設定されています。
318103
エラー メッセージ %ASA-3-318103: Reached unknown state in neighbor state machine318104
エラー メッセージ %ASA-3-318104: DB already exist: area AREA_ID_STR lsid i adv i type 0x x318105
エラー メッセージ %ASA-3-318105: lsid i adv i type 0x x gateway i metric d network i mask i protocol #x attr #x net-metric d318106
エラー メッセージ %ASA-3-318106: if IF_NAME if_state d318107
エラー メッセージ %ASA-3-318107: OSPF is enabled on IF_NAME during idb initialization318108
エラー メッセージ %ASA-3-318108: OSPF process d is changing router-id. Reconfigure virtual link neighbors with our new router-id説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。これにより、すべての仮想リンクがダウンします。再び動作させるには、すべての仮想リンク ネイバー上の仮想リンク設定を変更する必要があります。
318109
エラー メッセージ %ASA-3-318109: OSPFv3 has received an unexpected message: 0 x / 0 x318110
エラー メッセージ %ASA-3-318110: Invalid encrypted key s .推奨処置 クリア テキストのキーを指定し、 service password-encryption コマンドを入力して暗号化するか、または指定した暗号キーが有効であることを確認します。指定された暗号キーが無効な場合は、システム設定時にエラー メッセージが表示されます。
318111
エラー メッセージ %ASA-3-318111: SPI u is already in use with ospf process d318112
エラー メッセージ %ASA-3-318112: SPI u is already in use by a process other than ospf process d .説明 すでに使用されている SPI を使用しようとしました。
推奨処置 別の SPI を選択してください。すでに使用されている SPI のリストを表示するには、 show crypto ipv6 ipsec sa コマンドを入力します。
318113
エラー メッセージ %ASA-3-318113: s s is already configured with SPI u .318114
エラー メッセージ %ASA-3-318114: The key length used with SPI u is not valid推奨処置 有効な IPsec キーを選択します。IPsec 認証キーは 32 桁(MD5)または 40 桁(SHA-1)の 16 進数値である必要があります。
318115
エラー メッセージ %ASA-3-318115: s error occured when attempting to create an IPsec policy for SPI u318116
エラー メッセージ %ASA-3-318116: SPI u is not being used by ospf process d .318117
エラー メッセージ %ASA-3-318117: The policy for SPI u could not be removed because it is in use.説明 表示された SPI のポリシーを削除しようとしましたが、そのポリシーがまだセキュア ソケットにより使用されていました。
318118
エラー メッセージ %ASA-3-318118: s error occured when attemtping to remove the IPsec policy with SPI u318119
エラー メッセージ %ASA-3-318119: Unable to close secure socket with SPI u on interface s318120
エラー メッセージ %ASA-3-318120: OSPFv3 was unable to register with IPsec318121
エラー メッセージ %ASA-3-318121: IPsec reported a GENERAL ERROR: message s , count d318122
エラー メッセージ %ASA-3-318122: IPsec sent a s message s to OSPFv3 for interface s . Recovery attempt d説明 内部エラーが発生しました。システムがセキュアなソケットの再オープンと復旧を試みています。
318123
エラー メッセージ %ASA-3-318123: IPsec sent a s message s to OSPFv3 for interface IF_NAME . Recovery aborted318125
エラー メッセージ %ASA-3-318125: Init failed for interface IF_NAME説明 インタフェースの初期化に失敗しました。考えられる原因は、次のとおりです。
318126
エラー メッセージ %ASA-3-318126: Interface IF_NAME is attached to more than one area318127
エラー メッセージ %ASA-3-318127: Could not allocate or find the neighbor319001
エラー メッセージ %ASA-3-319001: Acknowledge for arp update for IP address dest_address not received ( number ).説明 ASA 内の ARP プロセスが、ASA のオーバーロードが原因で内部同期外れになっています。
推奨処置 不要です。一時的なエラーです。ASA の平均負荷をチェックし、許容量を超えて使用されていないことを確認します。
319002
エラー メッセージ %ASA-3-319002: Acknowledge for route update for IP address dest_address not received ( number ).説明 ASA 内のルーティング モジュールが、ASA のオーバーロードが原因で内部同期外れになっています。
推奨処置 不要です。一時的なエラーです。ASA の平均負荷をチェックし、許容量を超えて使用されていないことを確認します。
319003
エラー メッセージ %ASA-3-319003: Arp update for IP address address to NPn failed.説明 ARP エントリをアップデートする必要がある場合、内部 ARP テーブルをアップデートするためにネットワーク プロセッサ(NP)にメッセージが送信されます。モジュールでメモリ使用率が高くなっている場合、または内部テーブルが満杯になっている場合は、NP へのメッセージが拒否されて、このメッセージが生成される可能性があります。
推奨処置 ARP テーブルが満杯であるかどうかを確認します。満杯ではない場合、CPU 使用率および秒あたりの接続数を確認してモジュールの負荷を調べます。CPU 使用率が高いか、秒あたりの接続数が多い場合、負荷が正常に戻ると正常動作が再開されます。
319004
エラー メッセージ %ASA-3-319004: Route update for IP address dest_address failed ( number ).説明 ASA 内のルーティング モジュールが、システムのオーバーロードが原因で内部同期外れになっています。
推奨処置 不要です。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。
320001
エラー メッセージ %ASA-3-320001: The subject name of the peer cert is not allowed for connection説明 ASA が簡単な VPN リモート デバイスまたはサーバである場合、ピア証明書には ca verifycertdn コマンドの出力と一致しないサブジェクト名が含まれています。中間者攻撃が発生している可能性もあります。これは、デバイスがピア IP アドレスをスプーフィングし、ASA から VPN 接続を代行受信しようとするものです。
321001
エラー メッセージ %ASA-5-321001: Resource var1 limit of var2 reached.321002
エラー メッセージ %ASA-5-321002: Resource var1 rate limit of var2 reached.321003
エラー メッセージ %ASA-6-321003: Resource var1 log level of var2 reached.321004
エラー メッセージ %ASA-6-321004: Resource var1 rate log level of var2 reached321005
エラー メッセージ %ASA-2-321005: System CPU utilization reached utilization %説明 システムの CPU 使用率が 95% 以上に到達し、5 分間このレベルにとどまっています。
• utilization % :使用されている CPU のパーセンテージ
推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、 show cpu コマンドの出力を確認し、CPU 使用率を確認します。これが高い場合は、Cisco TAC にお問い合わせください。
321006
エラー メッセージ %ASA-2-321006: System memory usage reached utilization %説明 システムのメモリ使用率が 80% 以上に到達し、5 分間このレベルにとどまっています。
• utilization % :使用されている CPU のパーセンテージ
推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、 show memory コマンドの出力を確認し、メモリ使用率を確認します。これが高い場合は、Cisco TAC にお問い合わせください。
321007
エラー メッセージ %ASA-3-321007: System is low on free memory blocks of size block_size ( free_blocks CNT out of max_blocks MAX)説明 システムでメモリの空きブロックが不足しています。ブロックが不足すると、トラフィックの中断が発生する可能性があります。
• block_size :メモリのブロック サイズ(たとえば、4、1550、8192)
• free_blocks :空きブロック数。 show blocks コマンドの使用後に CNT カラムに示されます
• max_blocks :システムが割り当てることができるブロックの最大数。 show blocks コマンドの使用後 MAX カラムに示されます
推奨処置 表示されたブロック サイズの出力の CNT カラムの空きブロックの量をモニタするには、 show blocks コマンドを使用します。CNT カラムが長時間にわたってゼロかそれに非常に近いままになる場合、ASA がオーバーロードになっているか、追加調査が必要な別の問題が発生している可能性があります。
322001
エラー メッセージ %ASA-3-322001: Deny MAC address MAC_address, possible spoof attempt on interface interface説明 ASA が、疑わしい MAC アドレスからのパケットを指定のインターフェイス上で受信しましたが、そのパケットの送信元 MAC アドレスは、コンフィギュレーションでは別のインターフェイスにスタティックにバインドされています。MAC スプーフィング攻撃または設定ミスが原因である可能性があります。
推奨処置 コンフィギュレーションを調べ、攻撃ホストを突き止めるか、またはコンフィギュレーションを訂正して適切な処置を行います。
322002
エラー メッセージ %ASA-3-322002: ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is {statically|dynamically} bound to MAC Address MAC_address_2 .説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスまたは動的に取得された IP-MAC アドレスのバインディングに従っているかどうかをチェックしてから、ASA を介して ARP パケットを転送します。このチェックが失敗した場合、ARP 検査モジュールは ARP パケットを廃棄し、このメッセージを生成します。この状況は、ネットワーク内の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)が原因となっている可能性があります。
推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。
322003
エラー メッセージ %ASA-3-322003:ARP inspection check failed for arp {request|response} received from host MAC_address on interface interface . This host is advertising MAC Address MAC_address_1 for IP Address IP_address , which is not bound to any MAC Address.説明 ARP 検査モジュールは、イネーブルになっている場合、パケット内でアドバタイズされる新しい ARP エントリが、静的に設定された IP-MAC アドレスのバインディングに従っているかどうかをチェックしてから、ASA を介して ARP パケットを転送します。このチェックが失敗した場合、ARP 検査モジュールは ARP パケットを廃棄し、このメッセージを生成します。この状況は、ネットワーク内の ARP スプーフィング攻撃または無効なコンフィギュレーション(IP-MAC バインディング)が原因となっている可能性があります。
推奨処置 原因が攻撃にある場合、ACL を使用してホストを拒否することができます。原因が無効なコンフィギュレーションにある場合、バインディングを修正します。
322004
エラー メッセージ %ASA-6-322004: No management IP address configured for transparent firewall. Dropping protocol protocol packet from interface_in : source_address / source_port to interface_out : dest_address / dest_port説明 管理 IP アドレスがトランスペアレント モードで設定されていないため、ASA がパケットを廃棄しました。
• source_address :パケットの送信元 IP アドレス
323001
エラー メッセージ %ASA-3-323001: Module module_id experienced a control channel communications failure. エラー メッセージ %ASA-3-323001: Module in slot slot_num experienced a control channel communications failure.説明 ASA が、制御チャネルを介して、指定されたスロットに設置されているモジュールと通信できません。
• module_id :ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。
• slot_num :ハードウェアのサービス モジュールの場合、障害が発生したスロットを指定します。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。
323002
エラー メッセージ %ASA-3-323002: Module module_id is not able to shut down, shut down request not answered. エラー メッセージ %ASA-3-323002: Module in slot slot_num is not able to shut down, shut down request not answered.説明 設置されているモジュールが、シャットダウン要求に応答しませんでした。
• module_id :ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。
• slot_num :ハードウェアのサービス モジュールの場合、障害が発生したスロットを指定します。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。
323003
エラー メッセージ %ASA-3-323003: Module module_id is not able to reload, reload request not answered. エラー メッセージ %ASA-3-323003: Module in slot slotnum is not able to reload, reload request not answered.説明 設置されているモジュールが、リロード要求に応答しませんでした。
• module_id :ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。
• slot_num :ハードウェアのサービス モジュールの場合、障害が発生したスロットを指定します。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。
323004
エラー メッセージ %ASA-3-323004: Module string one failed to write software newver (currently ver ), reason . Hw-module reset is required before further use.説明 モジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュールは、ソフトウェアがアップデートされるまで使用できません。
• newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。
• ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。
• reason :新しいバージョンがモジュールに書き込みできなかった原因。 reason に考えられる値は、次のとおりです。
推奨処置 モジュール ソフトウェアは、アップデートできない場合、使用できなくなります。問題が解決しない場合、Cisco TAC にお問い合わせください。
323005
エラー メッセージ %ASA-3-323005: Module module_id can not be started completely エラー メッセージ %ASA-3-323005: Module in slot slot_num can not be started completely説明 このメッセージは、モジュールが完全には起動できないことを示します。モジュールは、この状態が修正されるまで、UNRESPONSIVE 状態のままになります。最も可能性が高い原因として、モジュールがスロットに正しく取り付けられていないことが考えられます。
• module_id :ソフトウェア サービスのモジュールの場合、サービス モジュールの名前を指定します。
• slot_num :ハードウェアのサービス モジュールの場合、モジュールが装着されているスロット番号を指定します。
推奨処置 モジュールが正しく取り付けられていることを確認し、モジュールのステータス LED が点灯しているかどうかをチェックします。モジュールを正しく取り付け直した後、モジュールが電源投入されたことを ASA が認識するまで数分かかることがあります。モジュールが取り付けられていることを確認し、 sw-module module service-module-name reset コマンドまたは hw-module module slotnum reset コマンドを使用してモジュールをリセットした後もこのメッセージが表示される場合は、Cisco TAC にお問い合わせください。
323006
エラー メッセージ %ASA-1-323006: Module ips experienced a data channel communication failure, data channel is DOWN.説明 データ チャネル通信障害が発生し、ASA がサービス モジュールにトラフィックを転送できなかったことを示しています。この障害が HA コンフィギュレーションのアクティブ ASA で発生した場合は、フェールオーバーがトリガーされます。また、この障害によって、通常はサービス モジュールに送信されるトラフィックに、設定済みのフェール オープン ポリシーまたはフェール クローズ ポリシーが適用されます。このメッセージは、システム モジュールとサービス モジュールの間で ASA のデータプレーンを介した通信上の問題が発生すると必ず生成されます。このような問題は、サービス モジュールが停止、リセット、取り外し、またはディセーブルにされた場合に発生する可能性があります。
推奨処置 IPS などのソフトウェア サービスモジュールの場合、 sw-module module ips recover コマンドを使用してモジュールを回復します。ハードウェア サービス モジュールの場合、このメッセージが SSM のリロードまたはリセットの結果として生成されたのではなく、SSM が UP 状態に戻った後に、対応する syslog メッセージ 505010 が表示されない場合は、 hw-module module 1 reset コマンドを使用してモジュールをリセットします。
323007
エラー メッセージ %ASA-3-323007: Module in slot slot experienced a firware failure and the recovery is in progress.説明 4GE-SSM が装着された ASA で、短い電力サージが発生し、その後リブートされました。その結果、4GE-SSM は、無応答状態でオンラインになっている可能性があります。ASA は、4GE-SSM が無応答であることを検出し、自動的に 4GE-SSM を再起動します。
324000
エラー メッセージ %ASA-3-324000: Drop GTPv version message msg_type from source_interface : source_address / source_port to dest_interface:dest_address/dest_port Reason: reason324001
エラー メッセージ %ASA-3-324001: GTPv0 packet parsing error from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value , Reason: reason説明 パケットの処理にエラーがありました。考えられる原因は次のとおりです。
推奨処置 このメッセージが一定期間ごとに表示される場合は、無視してかまいません。このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。
324002
エラー メッセージ %ASA-3-324002: No PDP[MCB] exists to process GTPv0 msg_type from source_interface : source_address / source_port to dest_interface : dest_address / dest_port , TID: tid_value説明 このメッセージが 321100(メモリ割り当てのエラー)の後に表示される場合、メッセージは PDP コンテキストを作成するのに十分なリソースがなかったことを示します。それ以外の場合、メッセージ 321100 がこの前に表示されることはありません。バージョン 0 では、対応する PDP コンテキストが見つからないことを示します。バージョン 1 では、メッセージ 324001 の後にこのメッセージが表示された場合、パケット処理エラーが発生して動作が停止しました。
324003
エラー メッセージ %ASA-3-324003: No matching request to process GTPv version msg_type from source_interface:source_address/source_port to source_interface:dest_address/dest_port説明 受信した応答は、要求キューと一致する要求が含まれていないため、それ以上処理されません。
推奨処置 このメッセージが一定期間ごとに表示される場合は、無視してかまいません。しかし、このメッセージが頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。
324004
エラー メッセージ %ASA-3-324004: GTP packet with version%d from source_interface : source_address / source_port to dest_interface : dest_address / dest_port is not supported説明 処理中のパケットが、現在サポートされているバージョン 0 またはバージョン 1 以外のバージョンになっています。プリント アウトされているバージョン番号が誤った番号であり、頻繁に表示される場合は、エンドポイントが攻撃の一部として不良パケットを送信している可能性があります。
324005
エラー メッセージ %ASA-3-324005: Unable to create tunnel from source_interface : source_address / source_port to dest_interface : dest_address / dest_port説明 転送プロトコル データ ユニットのトンネルを作成する試行中にエラーが発生しました。
推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。
324006
エラー メッセージ %ASA-3-324006:GSN IP_address tunnel limit tunnel_limit exceeded, PDP Context TID tid failed説明 要求を送信している GPRS サポート ノードが、作成される最大許容トンネル数を超えたため、トンネルが作成されません。
324007
エラー メッセージ %ASA-3-324007: Unable to create GTP connection for response from source_address / 0 to dest_address / dest_port説明 異なるサービス GPRS サポート ノードまたはゲートウェイ GPRS サポート ノードの転送プロトコル データ ユニットのトンネルを作成する試行中にエラーが発生しました。
推奨処置 デバッグ メッセージを調べて、接続が正しく作成されなかった理由を確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
324008
エラー メッセージ %ASA-3-324008: No PDP exists to update the data sgsn [ggsn] PDPMCB Info REID: teid_value , Request TEID; teid_value , Local GSN: IPaddress ( VPIfNum ), Remove GSN: IPaddress ( VPIfNum )説明 データ sgsn/ggsn PDPMCB 情報で PDP を更新するために GTP HA メッセージをスタンバイ装置で受信したときに、以前の PDP 更新メッセージがスタンバイ装置に正しく配信されていないか、または正常に処理されなかったため、PDP が見つかりません。
推奨処置 このメッセージが定期的に表示される場合は、無視できます。頻繁に発生する場合は、Cisco TAC にお問い合わせください。
324300
エラー メッセージ %ASA-3-324300: Radius Accounting Request from from_addr has an incorrect request authenticator説明 ホストに共有秘密が設定されている場合は、その秘密によって要求オーセンティケータが検証されます。検証に失敗すると、ログに記録され、パケット処理が停止します。
• from_addr :RADIUS アカウンティング要求を送信しているホストの IP アドレス
推奨処置 正しい共有秘密が設定されていることを確認します。正しい共有秘密が設定されている場合は、パケットの送信元を入念にチェックし、スプーフィングされていなかったことを確認します。
324301
エラー メッセージ %ASA-3-324301: Radius Accounting Request has a bad header length hdr_len , packet length pkt_len説明 アカウンティング要求メッセージのヘッダーに示されているパケット長が実際のパケット長と異なるため、パケット処理が停止します。
• hdr_len :要求のヘッダーに示されているパケット長
推奨処置 パケットがスプーフィングされていなかったことを確認します。パケットが正当である場合は、パケットを取り込み、メッセージで指摘されているように、ヘッダー長が誤っていることを確認します。ヘッダー長が正しく、問題が解決しない場合は、Cisco TAC にお問い合わせください。
325001
エラー メッセージ %ASA-3-325001: Router ipv6_address on interface has conflicting ND (Neighbor Discovery) settings説明 リンク上の別のルータが、矛盾するパラメータを持つルータ アドバタイズメントを送信しました。
• ipv6_address :相手側ルータの IPv6 アドレス
• interface :相手側ルータとのリンクのインターフェイス名
推奨処置 リンク上の IPv6 ルータがすべて、 hop_limit 、 managed_config_flag 、 other_config_flag 、 reachable_time 、および ns_interval についてルータ アドバタイズメントに同じパラメータを持つことを確認し、複数のルータによってアドバタイズされる、同じプレフィックスの優先される有効なライフタイムが同じであることを確認します。インターフェイスごとにパラメータを示すには、 show ipv6 interface コマンドを入力します。
325002
エラー メッセージ %ASA-4-325002: Duplicate address ipv6_address/MAC_address on interface • ipv6_address :相手側ルータの IPv6 アドレス
• MAC_address :既知の場合は相手側システムの MAC アドレス、それ以外の場合は unknown
325004
エラー メッセージ %ASA-4-325004: IPv6 Extension Header hdr_type action configuration. protocol from src_int : src_ipv6_addr / src_port to dst_interface : dst_ipv6_addr / dst_port .説明 ユーザが指定した IPv6 ヘッダー拡張に対して 1 つまたは複数のアクションを設定しました。
destination-option:宛先オプションの拡張ヘッダーに対してアクションを設定しました
esp:ESP 拡張ヘッダーに対してアクションを設定しました
fragment:フラグメント拡張ヘッダーに対してアクションを設定しました
hop-by-hop:ホップバイホップ拡張ヘッダーに対してアクションを設定しました
routing-address count:ルーティング拡張ヘッダーのアドレス数に対してアクションを設定しました
routing-type:ルーティング タイプ拡張ヘッダーに対してアクションを設定しました
denied/logged:パケットは拒否され、記録されます。
推奨処置 設定されたアクションが期待されない場合、 policy-map コマンドの下で、 match header extension_header_type コマンドと parameters コマンドを確認し、正しい変更を加えます。例を示します。
325005
エラー メッセージ %ASA-4-325005: Invalid IPv6 Extension Header Content: string . detail regarding protocol, ingress and egress interface説明 不正な拡張ヘッダーを持つ IPv6 パケットが検出されました。
- wrong extension header order
推奨処置 ドロップされたパケットを記録するために capture コマンドを設定してから、パケットがドロップされる原因を解析します。IPv6 拡張ヘッダーの有効性チェックを無視できる場合には、次のコマンドを入力して、IPv6 ポリシー マップの有効性チェックをディセーブルにします。
325006
エラー メッセージ %ASA-4-325006: IPv6 Extension Header not in order: Type hdr_type occurs after Type hdr_type . TCP prot from inside src_int : src_ipv6_addr / src_port to dst_interface : dst_ipv6_addr / dst_port説明 順序が不正な拡張ヘッダーを持つ IPv6 パケットが検出されました。
推奨処置 ドロップされたパケットを記録するために capture コマンドを設定してから、ドロップされたパケットの拡張ヘッダの順序を解析します。順序が不正なヘッダー拡張が許可されている場合、次のコマンドを入力して、IPv6 タイプ ポリシー マップで正しくない順序のチェックをディセーブルにします。
326001
エラー メッセージ %ASA-3-326001: Unexpected error in the timer library: error_message説明 管理対象タイマー イベントが、コンテキストも正しいタイプもなしで受信されたか、あるいはハンドラがありません。または、キューに入るイベントの数がシステム制限を超えると、後で処理が試行されます。
326002
エラー メッセージ %ASA-3-326002: Error in error_message : error_message説明 IGMP プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。
326004
エラー メッセージ %ASA-3-326004: An internal error occurred while processing a packet queue326005
エラー メッセージ %ASA-3-326005: Mrib notification failed for ( IP_address , IP_address )326006
エラー メッセージ %ASA-3-326006: Entry-creation failed for ( IP_address , IP_address )説明 MFIB は MRIB からエントリのアップデートを受信しましたが、表示されるアドレスに関連するエントリを作成できませんでした。メモリ不足が原因として考えられます。
326007
エラー メッセージ %ASA-3-326007: Entry-update failed for ( IP_address , IP_address )説明 MFIB が MRIB からインターフェイスのアップデートを受信しましたが、表示されるアドレスに関連するインターフェイスを作成できませんでした。メモリ不足が原因として考えられます。
326008
エラー メッセージ %ASA-3-326008: MRIB registration failed326009
エラー メッセージ %ASA-3-326009: MRIB connection-open failed326010
エラー メッセージ %ASA-3-326010: MRIB unbind failed326011
エラー メッセージ %ASA-3-326011: MRIB table deletion failed326012
エラー メッセージ %ASA-3-326012: Initialization of string functionality failed326013
エラー メッセージ %ASA-3-326013: Internal error: string in string line %d ( %s )326014
エラー メッセージ %ASA-3-326014: Initialization failed: error_message error_message326015
エラー メッセージ %ASA-3-326015: Communication error: error_message error_message326016
エラー メッセージ %ASA-3-326016: Failed to set un-numbered interface for interface_name ( string )説明 PIM トンネルが送信元アドレスがないため使用できませんでした。この状況は、番号付きインターフェイスが見つからないため、または内部エラーが原因で発生します。
326017
エラー メッセージ %ASA-3-326017: Interface Manager error - string in string : string326019
エラー メッセージ %ASA-3-326019: string in string : string326020
エラー メッセージ %ASA-3-326020: List error in string : string326021
エラー メッセージ %ASA-3-326021: Error in string : string326022
エラー メッセージ %ASA-3-326022: Error in string : string説明 PIM プロセスが要求に応じてシャットダウンできませんでした。このシャットダウンに備えて実行されるイベントが同期していない可能性があります。
326023
エラー メッセージ %ASA-3-326023: string - IP_address : string326024
エラー メッセージ %ASA-3-326024: An internal error occurred while processing a packet queue.326025
エラー メッセージ %ASA-3-326025: string説明 メッセージ送信の試行中に、内部エラーが発生しました。PIM トンネル IDB の削除など、メッセージの受信時に発生するようスケジュールされたイベントが発生しない可能性があります。
326026
エラー メッセージ %ASA-3-326026: Server unexpected error: error_message326027
エラー メッセージ %ASA-3-326027: Corrupted update: error_message326028
エラー メッセージ %ASA-3-326028: Asynchronous error: error_message327001
エラー メッセージ %ASA-3-327001: IP SLA Monitor: Cannot create a new process説明 IP SLA モニタが新しいプロセスを開始できませんでした。
推奨処置 システム メモリを確認します。メモリが不足している場合は、それが原因である可能性があります。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。
327002
エラー メッセージ %ASA-3-327002: IP SLA Monitor: Failed to initialize, IP SLA Monitor functionality will not work説明 IP SLA モニタが初期化に失敗しました。この状態は、タイマー ホイール機能が初期化に失敗した場合、またはプロセスが作成されなかった場合に発生します。タスクを完了するために利用できるメモリが十分でない可能性があります。
推奨処置 システム メモリを確認します。メモリが不足している場合は、それが原因である可能性があります。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。
327003
エラー メッセージ %ASA-3-327003: IP SLA Monitor: Generic Timer wheel timer functionality failed to initialize説明 IP SLA モニタがタイマー ホイールを初期化できません。
推奨処置 システム メモリを確認します。メモリが不足している場合は、そのためにタイマー ホイール機能が初期化されませんでした。メモリが利用可能になったときに、コマンドを再入力してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。
328001
エラー メッセージ %ASA-3-328001: Attempt made to overwrite a set stub function in string .説明 レジストリ チェック付きスタブが起動されたときのコールバックとして、1 つの機能を設定できます。コールバック機能がすでに設定されていたため、新しいコールバックの設定試行が失敗しました。
329001
エラー メッセージ %ASA-3-329001: The string0 subblock named string1 was not removed331001
エラー メッセージ ASA-3-331001: Dynamic DNS Update for ' fqdn_name ' = ip_address failed説明 ダイナミック DNS サブシステムが DNS サーバ上のリソース レコードをアップデートできませんでした。この障害は、ASA が DNS サーバにアクセスできない場合、または対象のシステム上で DNS サービスが動作していない場合に発生する可能性があります。
• fqdn_name :DNS アップデートが試行された完全修飾ドメイン名
• ip_address :DNS アップデートの IP アドレス
推奨処置 DNS サーバが設定されており、ASA から到達可能であることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
331002
エラー メッセージ ASA-5-331002: Dynamic DNS type RR for (' fqdn_name ' - ip_address | ip_address - ' fqdn_name ') successfully updated in DNS server dns_server_ip説明 DNS サーバでダイナミック DNS アップデートが成功しました。
• type :リソース レコードのタイプ(A または PTR)
• fqdn_name :DNS アップデートが試行された完全修飾ドメイン名
• ip_address :DNS アップデートの IP アドレス
332001
エラー メッセージ %ASA-3-332001: Unable to open cache discovery socket, WCCP V2 closing down.説明 内部エラーです。WCCP プロセスが、キャッシュからのプロトコル メッセージのリッスンに使用される UDP ソケットを開くことができなかったことを示しています。
推奨処置 IP コンフィギュレーションが正しいこと、および少なくとも 1 つの IP アドレスが設定されていることを確認します。
332002
エラー メッセージ %ASA-3-332002: Unable to allocate message buffer, WCCP V2 closing down.説明 内部エラーです。WCCP プロセスが、着信プロトコル メッセージを保持するためのメモリを割り当てることができなかったことを示しています。
332003
エラー メッセージ %ASA-5-332003: Web Cache IP_address / service_ID acquired説明 ASA の Web キャッシュからのサービスが取得されました。
332004
エラー メッセージ %ASA-1-332004: Web Cache IP_address / service_ID lost説明 ASA の Web キャッシュからのサービスが失われました。
333001
エラー メッセージ %ASA-6-333001: EAP association initiated - context: EAP-context説明 リモート ホストとの EAP アソシエーションが開始されました。
• EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。
333002
エラー メッセージ %ASA-5-333002: Timeout waiting for EAP response - context: EAP-context説明 EAP 応答を待っている間にタイムアウトが発生しました。
• EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。
333003
エラー メッセージ %ASA-6-333003: EAP association terminated - context: EAP-context説明 リモート ホストとの EAP アソシエーションが終了しました。
• EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。
333004
エラー メッセージ %ASA-7-333004: EAP-SQ response invalid - context: EAP-context説明 EAP ステータス クエリーの応答が、基本的なパケット検証に失敗しました。
• EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。
333005
エラー メッセージ %ASA-7-333005: EAP-SQ response contains invalid TLV(s) - context: EAP-context説明 EAP ステータス クエリーの応答に、1 つまたは複数の無効な TLV が含まれています。
• EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。
333006
エラー メッセージ %ASA-7-333006: EAP-SQ response with missing TLV(s) - context: EAP-context説明 EAP ステータス クエリーの応答に、1 つまたは複数の必須 TLV がありません。
• EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。
333007
エラー メッセージ %ASA-7-333007: EAP-SQ response TLV has invalid length - context: EAP-context説明 EAP ステータス クエリーの応答に、無効な長さの TLV が含まれています。
• EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。
333008
エラー メッセージ %ASA-7-333008: EAP-SQ response has invalid nonce TLV - context: EAP-context説明 EAP ステータス クエリーの応答に、無効なナンス TLV が含まれています。
• EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。
333009
エラー メッセージ %ASA-6-333009: EAP-SQ response MAC TLV is invalid - context: EAP-context説明 EAP ステータス クエリーの応答に、計算された MAC と一致しない MAC が含まれています。
• EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。
333010
エラー メッセージ %ASA-5-333010: EAP-SQ response Validation Flags TLV indicates PV request - context: EAP-context説明 EAP ステータス クエリーの応答に、ピアが完全なポスチャ検証を要求したことを示す検証フラグ TLV が含まれています。
334001
エラー メッセージ %ASA-6-334001: EAPoUDP association initiated - host-address説明 リモート ホストとの EAPoUDP アソシエーションが開始されました。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。
334002
エラー メッセージ %ASA-5-334002: EAPoUDP association successfully established - host-address説明 ホストとの EAPoUDP アソシエーションが正常に確立されました。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。
334003
エラー メッセージ %ASA-5-334003: EAPoUDP association failed to establish - host-address説明 ホストとの EAPoUDP アソシエーションを確立できませんでした。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。
334004
エラー メッセージ %ASA-6-334004: Authentication request for NAC Clientless host - host-address説明 NAC クライアントレス ホストの認証要求が行われました。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。
334005
エラー メッセージ %ASA-5-334005: Host put into NAC Hold state - host-address説明 ホストの NAC セッションが Hold 状態になりました。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。
334006
エラー メッセージ %ASA-5-334006: EAPoUDP failed to get a response from host - host-address説明 ホストから EAPoUDP 応答を受信しませんでした。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。
334007
エラー メッセージ %ASA-6-334007: EAPoUDP association terminated - host-address説明 ホストとの EAPoUDP アソシエーションが終了しました。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。
334008
エラー メッセージ %ASA-6-334008: NAC EAP association initiated - host-address , EAP context: EAP-context説明 EAPoUDP がホストとの EAP を開始しました。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。
• EAP-context :EAP セッションの一意の識別子。8 桁の 16 進数として表示されます(たとえば、0x2D890AE0)。
334009
エラー メッセージ %ASA-6-334009: Audit request for NAC Clientless host - Assigned_IP.説明 指摘された割り当て済み IP アドレスの監査要求が送信されています。
335001
エラー メッセージ %ASA-6-335001: NAC session initialized - host-address説明 リモート ホストの NAC セッションが開始されました。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.86.7.101)。
335002
エラー メッセージ %ASA-5-335002: Host is on the NAC Exception List - host-address , OS: oper-sys説明 クライアントが NAC 例外リストに入っているため、ポスチャ検証の対象になりません。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
335003
エラー メッセージ %ASA-5-335003: NAC Default ACL applied, ACL: ACL-name - host-address説明 クライアントに NAC デフォルト ACL が適用されました。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
335004
エラー メッセージ %ASA-6-335004: NAC is disabled for host - host-address説明 リモート ホストに対して NAC がディセーブルになっています。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
335004
エラー メッセージ %ASA-6-335004: NAC is disabled for host - host-address説明 リモート ホストに対して NAC がディセーブルになっています。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
335005
エラー メッセージ %ASA-4-335005: NAC Downloaded ACL parse failure - host-address • host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
335006
エラー メッセージ %ASA-6-335006: NAC Applying ACL: ACL-name - host-address説明 NAC ポスチャ検証の結果として適用されている ACL の名前です。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
335007
エラー メッセージ %ASA-7-335007: NAC Default ACL not configured - host-address • host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
335008
エラー メッセージ %ASA-5-335008: NAC IPsec terminate from dynamic ACL: ACL-name - host-address説明 PV の結果として取得されたダイナミック ACL には IPSec の終端が必要です。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
335009
エラー メッセージ %ASA-6-335009: NAC Revalidate request by administrative action - host-address説明 管理者によって NAC の Revalidate 動作が要求されました。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
335010
エラー メッセージ %ASA-6-335010: NAC Revalidate All request by administrative action - num sessions説明 管理者によって NAC の Revalidate All 動作が要求されました。
335011
エラー メッセージ %ASA-6-335011: NAC Revalidate Group request by administrative action for group-name group - num sessions説明 管理者によって NAC の Revalidate Group 動作が要求されました。
335012
エラー メッセージ %ASA-6-335012: NAC Initialize request by administrative action - host-address説明 管理者によって NAC の Initialize 動作が要求されました。
• host-address :ホストの IP アドレス。ドット付き 10 進表記で示されます(たとえば、10.1.1.1)。
335013
エラー メッセージ %ASA-6-335013: NAC Initialize All request by administrative action - num sessions説明 管理者によって NAC の Initialize All 動作が要求されました。
335014
エラー メッセージ %ASA-6-335014: NAC Initialize Group request by administrative action for group-name group - num sessions説明 管理者によって NAC の Initialize Group 動作が要求されました。
336001
エラー メッセージ %ASA-3-336001 Route desination_network stuck-in-active state in EIGRP- ddb_name as_num. Cleaning up説明 SIA 状態とは、EIGRP ルータが指定された時間(約 3 分)以内に 1 つ以上のネイバーからクエリーに対する応答を受信できなかったことを意味します。この状態が発生した場合、EIGRP は、応答を送信しなかった隣接ルータとの隣接関係を解消し、アクティブになったルートに関するエラー メッセージをログに記録します。
336002
エラー メッセージ %ASA-3-336002: Handle handle_id is not allocated in pool.336003
エラー メッセージ %ASA-3-336003: No buffers available for bytes byte packet説明 DUAL ソフトウェアが、パケット バッファを割り当てることができませんでした。ASA のメモリが不足している可能性があります。
推奨処置 show mem または show tech コマンドを入力して、ASA のメモリが不足しているかどうかを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
336004
エラー メッセージ %ASA-3-336004: Negative refcount in pakdesc pakdesc.336005
エラー メッセージ %ASA-3-336005: Flow control error, error , on interface_name.説明 インターフェイスでマルチキャストのフローブロックが発生しています。Qelm はキュー要素で、この場合は、この特定のインターフェイスのキューにある最後のマルチキャスト パケットです。
• error :エラー文:Qelm on flow ready
336006
エラー メッセージ %ASA-3-336006: num peers exist on IIDB interface_name.説明 EIGRP の IDB のクリーンアップ中またはクリーンアップ後、特定のインターフェイス上にピアがまだ存在しています。
336007
エラー メッセージ %ASA-3-336007: Anchor count negative336008
エラー メッセージ %ASA-3-336008: Lingering DRDB deleting IIDB, dest network, nexthop address (interface), origin origin_str336009
エラー メッセージ %ASA-3-336009 ddb_name as_id: Internal Error336010
エラー メッセージ %ASA-5-336010 EIGRP- ddb_name tableid as_id: Neighbor address (%interface) is event_msg: msg • event_msg :隣接ルータで発生しているイベント(つまり、up または down)
• msg :イベントの原因。( event_msg と msg の値ペアには次のものがあります)
- ダウン:インターフェイス PEER-TERMINATION の受信
推奨処置 隣接ルータのリンクがダウンまたはフラッピングしている原因を確認します。これは、問題の兆候である可能性があります。または、これが原因で問題が発生する可能性があります。
336011
エラー メッセージ %ASA-6-336011: event event337001
エラー メッセージ %ASA-3-337001: Phone Proxy SRTP: Encryption failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port説明 暗号ハードウェアで SRTP 暗号化を実行できませんでした。
• src_port :パケット出力インターフェイスの送信元ポート
推奨処置 このメッセージが引き続き表示される場合は、暗号ハードウェアをデバッグして SRTP 暗号化が失敗する原因を特定してもらうよう Cisco TAC に依頼してください。
337002
エラー メッセージ %ASA-3-337002: Phone Proxy SRTP: Decryption failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port説明 暗号ハードウェアで SRTP 復号化を実行できませんでした。
• src_port :パケット出力インターフェイスの送信元ポート
推奨処置 このメッセージが引き続き表示される場合は、暗号ハードウェアをデバッグして SRTP 復号化が失敗する原因を特定してもらうよう Cisco TAC に依頼してください。
337003
エラー メッセージ %ASA-3-337003: Phone Proxy SRTP: Authentication tag generation failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port • src_port :パケット出力インターフェイスの送信元ポート
推奨処置 このメッセージが引き続き表示される場合は、暗号ハードウェアをデバッグして認証タグの SRTP 生成が失敗する原因を特定してもらうよう Cisco TAC に依頼してください。
337004
エラー メッセージ %ASA-3-337004: Phone Proxy SRTP: Authentication tag validation failed on packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port説明 計算された認証タグがパケット内の認証タグと一致しません。
337005
エラー メッセージ %ASA-4-337005: Phone Proxy SRTP: Media session not found for media_term_ip / media_term_port for packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port説明 ASA でメディア終端 IP アドレスおよびポートを宛先とした SRTP/RTP パケットを受信したが、このパケットを処理するための対応するメディア セッションが見つかりませんでした。
推奨処置 このメッセージがコールの最後に生成された場合、正常であると考えられます。シグナリング メッセージによりメディア セッションは解放された可能性がありますが、エンドポイントでは引き続きいくつかの SRTP または RTP パケットが送信されているためです。このメッセージが奇数のメディア終端ポートに対して生成された場合、エンドポイントでは RTCP が送信されており、それを CUCM からディセーブルにする必要があります。このメッセージがコールに対して継続的に生成される場合は、電話プロキシ デバッグ コマンドまたは取り込みコマンドを使用してシグナリング メッセージ トランザクションをデバッグし、シグナリング メッセージがメディア終端 IP アドレスおよびポートで変更されているかどうかを確認します。
337006
エラー メッセージ %ASA-3-337006: Phone Proxy SRTP: Failed to sign file filename requested by UDP client cifc:caddr/cport for sifc : saddr / sport説明 暗号ハードウェアで暗号化の実行とファイルのシグニチャの作成が失敗しました。
推奨処置 このメッセージが引き続き表示される場合は、関連するメッセージで暗号ハードウェア エンジン関連の他のエラーを確認してください。
337007
エラー メッセージ %ASA-3-337007: Phone Proxy SRTP: Failed to find configuration file filename for UDP client cifc:caddr/cport by server sifc : saddr / sport説明 電話によりそのコンフィギュレーション ファイルが要求されたときに CUCM から File Not Found エラーが返されました。
337008
エラー メッセージ %ASA-3-337008: Phone Proxy: Unable to allocate media port from media-termination address phone_proxy_ifc : media_term_IP for client_ifc : client_IP / client_port ; call failed.説明 新しいメディア セッションの作成時に ASA でメディアに割り当てるポートを検出できませんでした。このメッセージは、ユーザが電話プロキシ用に media-termination address コマンドで指定したポート範囲が十分に広くない場合や利用可能なすべてのポートがすでに使用されている場合にも表示されることがあります。
• media-termination address :メディア終端アドレス
• phone_proxy_ifc :メディア終端インターフェイス名(ID)
• media_term_ip :メディア終端 IP アドレス
• client_ifc :クライアント インターフェイス名
推奨処置 電話プロキシ コンフィギュレーションを確認して、指定されているメディア ポートの範囲を調べ、範囲が狭すぎる場合は広範囲のメディア ポートを割り当てます(セキュリティ ポリシーで許可される場合)。デフォルトのポート範囲は 16384 ~ 32767 です。
337009
エラー メッセージ %ASA-3-337009: Unable to create secure phone entry, interface : IPaddr is already configured for the same MAC mac_addr .説明 同じセキュア電話を異なる IP アドレスで登録しようとしました。古い IP アドレスに対応する MAC アドレスのエントリはすでに存在するため、同じ MAC アドレスと別の IP アドレスを使用したエントリを複数登録することはできません。
• interface :既存のエントリの登録に使用されたインターフェイス名
• ipaddr :既存のセキュア電話エントリの IP アドレス
推奨処置 show phone-proxy secure-phones コマンドの出力を確認します。問題の原因になっているエントリをクリアするには、 clear コマンドを使用し、新しい IP アドレスで電話機を登録します。
338001
エラー メッセージ %ASA-4-338001: Dynamic filter monitored blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のブラックリスト ドメインからのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。
338002
エラー メッセージ %ASA-4-338002: Dynamic filter monitored blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のブラックリスト ドメイン名へのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。
338003
エラー メッセージ %ASA-4-338003: Dynamic filter monitored blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のブラックリスト IP アドレスからのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。
338004
エラー メッセージ %ASA-4-338004: Dynamic filter monitored blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のブラックリスト IP アドレスへのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドを入力して自動的にこのようなトラフィックをドロップします。
338005
エラー メッセージ %ASA-4-338005: Dynamic filter dropped blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のブラックリスト ドメイン名からトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
338006
エラー メッセージ %ASA-4-338006: Dynamic filter dropped blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のブラックリスト ドメイン名へのトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
338007
エラー メッセージ %ASA-4-338007: Dynamic filter dropped blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), source malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のブラックリスト IP アドレスからのトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
338008
エラー メッセージ %ASA-4-338008: Dynamic filter dropped blacklisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のブラックリスト IP アドレスへのトラフィックが拒否されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
338101
エラー メッセージ %ASA-4-338101: Dynamic filter action whitelisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: domain name338102
エラー メッセージ %ASA-4-338102: Dynamic filter action whitelisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name338103
エラー メッセージ %ASA-4-338103: Dynamic filter action whitelisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: ip address/netmask338104
エラー メッセージ %ASA-4-338104: Dynamic filter action whitelisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: ip address/netmask338201
エラー メッセージ %ASA-4-338201: Dynamic filter monitored greylisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port) to out_interface : dest_ip_addr / dest_port , ( mapped-ip / mapped-port), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のグレーリスト ドメインからのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドと dynamic-filter ambiguous-is-black コマンドを入力して自動的にこのようなトラフィックをドロップします。
338202
エラー メッセージ %ASA-4-338202: Dynamic filter monitored greylisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のグレーリスト ドメイン名へのトラフィックが発生しました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
推奨処置 悪意のあるサイトへのアクセスがログに記録されました。内部 IP アドレスを使用して感染マシンをトレースするか、 dynamic-filter drop blacklist コマンドと dynamic-filter ambiguous-is-black コマンドを入力して自動的にこのようなトラフィックをドロップします。
338203
エラー メッセージ %ASA-4-338203: Dynamic filter dropped greylisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), source malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のグレーリスト ドメイン名からのトラフィックが拒否されました。ただし、悪意のある IP アドレスはダイナミック フィルタ データベースで認識されていないドメイン名にも解決されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
推奨処置 悪意のあるサイトへのアクセスがドロップされました。IP アドレスがブラック リスト ドメイン名と不明なドメイン名の両方に一致するグレーリスト トラフィックを自動的にドロップしない場合は、 dynamic-filter ambiguous-is-black コマンドをディセーブルにします。
338204
エラー メッセージ %ASA-4-338204: Dynamic filter dropped greylisted protocol traffic from in_interface : src_ip_addr / src_port ( mapped-ip / mapped-port ) to out_interface : dest_ip_addr / dest_port ( mapped-ip / mapped-port ), destination malicious address resolved from local or dynamic list: domain name, threat-level: level_value, category: category_name説明 ダイナミック フィルタ データベース内のグレーリスト ドメイン名へのトラフィックが拒否されました。ただし、悪意のある IP アドレスはダイナミック フィルタ データベースで認識されていないドメイン名にも解決されました。脅威レベルは、none、very-low、low、moderate、high、および very-high のいずれかを示す文字列です。カテゴリは、ドメイン名がブラック リストに掲載された理由に示す文字列です(たとえば、botnet、Trojan、spyware)。
推奨処置 悪意のあるサイトへのアクセスがドロップされました。IP アドレスがブラック リスト ドメイン名と不明なドメイン名の両方に一致するグレーリスト トラフィックを自動的にドロップしない場合は、 dynamic-filter ambiguous-is-black コマンドをディセーブルにします。
338301
エラー メッセージ %ASA-4-338301: Intercepted DNS reply for domain name from in_interface : src_ip_addr / src_port to out_interface : dest_ip_addr / dest_port , matched list説明 管理者のホワイトリスト、ブラックリスト、または IronPort リストに存在する DNS 応答が代行受信されました。
338302
エラー メッセージ %ASA-5-338302: Address ipaddr discovered for domain name from list , Adding rule説明 ダイナミック フィルタ規則テーブルに対する DNS 応答から検出された IP アドレスが追加されました。
338303
エラー メッセージ %ASA-5-338303: Address ipaddr ( name) timed out, Removing rule338304
エラー メッセージ %ASA-6-338304: Successfully downloaded dynamic filter data file from updater server url338305
エラー メッセージ %ASA-3-338305: Failed to download dynamic filter data file from updater server url説明 ダイナミック フィルタ データベースのダウンロードに失敗しました。
推奨処置 アップデータ サーバの URL を解決できるように、ASA に DNS コンフィギュレーションが存在することを確認します。ASA からサーバに対して ping を実行できない場合は、正しいネットワーク接続およびルーティング コンフィギュレーションについてネットワーク管理者に確認してください。問題が解決しない場合、Cisco TAC にお問い合わせください。
338306
エラー メッセージ %ASA-3-338306: Failed to authenticate with dynamic filter updater server url338307
エラー メッセージ %ASA-3-338307: Failed to decrypt downloaded dynamic filter database file338308
エラー メッセージ %ASA-5-338308: Dynamic filter updater server dynamically changed from old_server_host : old_server_port to new_server_host : new_server_port説明 ASA は、新しいアップデータ サーバのホストまたはポートに向けられました。
• old_server_host : old_server_port :今までのアップデータ サーバのホストとポート
338309
エラー メッセージ %ASA-3-338309: The license on this ASA does not support dynamic filter updater feature.説明 ダイナミック フィルタ アップデータはライセンス対象の機能です。ただし、ASA のライセンスでは、この機能はサポートされていません。
338310
エラー メッセージ %ASA-3-338310: Failed to update from dynamic filter updater server url, reason: reason string説明 ASA でダイナミック フィルタ アップデータ サーバからのアップデートの受信に失敗しました。
• reason string :失敗の原因。次のいずれかです。
推奨処置 サーバへのネットワーク接続を確認します。 show dynamic-filter updater-client コマンドの出力に示されるサーバ URL に対して ping を実行します。ポートがネットワークを通過できるようになっていることを確認します。ネットワーク接続に問題がない場合は、ネットワーク管理者にお問い合わせください。
339001
エラー メッセージ %ASA-3-339001: UC-IME-SIG: Ticket not found in SIP %s from %s : %A / %d to % s : %A/%d , packet dropped説明 UC-IME SIP シグナリングでは、外部から受信したすべての Dialog-forming SIP メッセージに X-Cisco-ViPR-Ticket ヘッダーが含まれている必要があります。このヘッダーがメッセージに含まれていない場合、メッセージは、SIP 検査中にドロップされます。このヘッダーは、検査しようとしているメッセージの既存の SIP セッション(現在の SIP 検査ルールによって決定される)が見つからない場合のみ必要です。
• %s :SIP メッセージの名前(INVITE または REFER)
• %s :送信元インターフェイス名(inside または outside)
339002
エラー メッセージ %ASA-3-339002: UC-IME-SIG: Invalid ticket in SIP %s from %s : %A / %d to %s : %A / %d , packet dropped, %s説明 UC-IME チケット検査および検証を実行するとき、タイムスタンプの有効性やエポックの照合など、複数のデータ チェックが実行されます。これらのチェックのいずれかが失敗すると、SIP メッセージまたはパケットはドロップされます。
• %s :SIP メッセージの名前(INVITE または REFER)
• %s :送信元インターフェイス名(inside または outside)
• %s :宛先インターフェイス名(inside または outside)
推奨処置 UC-IME コールがスプーフィングされているかどうかを確認します。エラー状態の詳細情報を取得するために UC-IME のデバッグ トレースをオンにします。
339003
エラー メッセージ %ASA-3-339003: UC-IME-SIG: Non-dialog forming SIP %s received from %s : %A / %d to %s : %A / %d , packet dropped説明 SIP メッセージが UC-IME 機能により検査される場合、メッセージが既存の SIP セッションに属するかどうかを確認されます。非 UC-IME シナリオでは、受信した SIP 要求は SIP セッションを作成します(設定されたポリシーで許可されている場合)。ただし、UC-IME 機能では、非 dialog-creating SIP メッセージは ASA で SIP セッションの作成を許可されず、ドロップされます。
• %s :SIP メッセージの名前(INVITE または REFER)
• %s :送信元インターフェイス名(inside または outside)
339004
エラー メッセージ %ASA-3-339004: UC-IME-SIG: Dropping SIP %s received from %s : %A / %d to %s : %A / %d , route header validation failed, %s説明 発信 SIP メッセージが UC-IME 機能により検査されるとき、SIP ルート ヘッダーに含まれるドメイン名が TLS 証明書のドメイン名と比較されます。この比較により、ASA の UC-IME 機能は、SIP メッセージが目的のエンタープライズで実際に終端しているかどうかを判別できます。一致しない場合、リモート エンドがそのドメインを提供しておらず、SIP セッションを終了する必要があることを意味します。
• %s :SIP メッセージの名前(INVITE または REFER)
• %s :送信元インターフェイス名(inside または outside)
• %s :宛先インターフェイス名(inside または outside)
339005
エラー メッセージ %ASA-3-339005: UC-IME-SIG: Message received from %s : %A / %d to %s : %A / %d does not contain SRTP, message dropped説明 UC-IME SIP シグナリングでは、外部からのメディア コンテンツを持つ受信 SIP メッセージは、SRTP であることが必要です。このコンテンツが SRTP でない場合は、メッセージは SIP 検査中にドロップされます。
• %s :送信元インターフェイス名(inside または outside)
339006
エラー メッセージ %ASA-3-339006: UC-IME-Offpath: Failed to map remote UCM address %A : %d on %s interface, request from local UCM %A : %d on %s interface, reason %s説明 UC-IME マッピング サービスが正しく動作するためには、グローバル NAT の設定が正しいことが必要です。誤設定が検出されると、管理者に通知するためのメッセージが生成されます。同時に、UCM クライアントからのすべての要求は、マッピング サービスの STUN メッセージ形式に準拠している必要があります。すべての不適合要求はサイレントに廃棄され、この発生に関して管理者に通知するためのメッセージが生成されます。
• %s :リモート UCM の IP アドレスまたはポート アドレスのインターフェイス
• %A :ローカル UCM の IP アドレス(マッピング サービス接続に使用)
• %d :ローカル UCM ポート(マッピング サービス接続に使用)
339007
エラー メッセージ %ASA-6-339007: UC-IME-Offpath: Mapped address %A : %d on %s interface for remote UCM %A : %d on %s interface, request from local UCM %A : %d on %s interface説明 UC-IME マッピング サービス コールは、マッピング サービス クライアント(UCM)アドレス(IP:ポート)およびリモート UCM アドレス(IP:ポート)に基づいて追跡されます。管理者は、Offpath UC-IME コールをデバッグするためにこの情報を使用できます。
• %s :マップされた IP アドレスまたはポート アドレスのインターフェイス
• %s :リモート UCM の IP アドレスまたはポート アドレスのインターフェイス
• %A :ローカル UCM の IP アドレス(マッピング サービス接続に使用)
• %d :ローカル UCM ポート(マッピング サービス接続に使用)
339008
エラー メッセージ %ASA-6-339008: UC-IME-Media: Media session with Call-ID %s and Session-ID %s terminated. RTP monitoring parameters: Failover state: %s , Refer msgs sent: %d , Codec payload format: %s , RTP ptime (ms): %d , Max RBLR pct( x100): %d , Max ITE count in 8 secs: %d , Max BLS (ms): %d , Max span PDV (usec): %d , Min span PDV (usec): %d , Mov avg span PDV (usec): %d , Total ITE count: %d , Total sec count: %d , Concealed sec count: %d , Severely concealed sec count: %d , Max call interval (ms): %d説明 UC-IME メディア セッションの終了は、コール ID またはセッション ID に基づいて追跡されます。このメッセージは、メディア セッションの終わりにトリガーされます。コールの QoS を改善するために管理者が感度パラメータを調整できるように、RTP モニタリング アルゴリズムによって返されるパラメータが含められます。
• %s :フェールオーバーの状態。次のいずれかになります。
- No error, for an active session
- No media at startup timer expired
- Error in received sequence numbering
- Both ITE and BLS thresholds exceeded
- BLS threshold exceeded within Burst Interval
- RBLR threshold exceeded within last 8 sec
- Combination (> 3/4 RBLR + > 3/4 BLS) failover
- No media since last received packet exceeded
339009
エラー メッセージ %ASA-6-339009: UC-IME: Ticket Password changed. Please update the same on UC-IME server.説明 ASA 管理者は、古いパスワードを知らなくてもチケット パスワードを変更できます。このメッセージは、管理者がこの変更を認識していることを確認するために生成されます。メッセージは、ASA 上で UC-IME パスワードが変更された場合に、すべてが正しく機能するためには UC-IME サーバでもパスワードを変更する必要があることを管理者が思い出すのにも役立ちます。
340001
エラー メッセージ %ASA-3-340001: Loopback-proxy error: error_string context id context_id , context type = version / request_type / address_type client socket (internal)= client_address_internal / client_port_internal server socket (internal)= server_address_internal / server_port_internal server socket (external)= server_address_external / server_port_external remote socket (external)= remote_address_external / remote_port_external説明 ループ バック プロキシは、ASA で実行されているサード パーティ製アプリケーションがネットワークにアクセスすることを可能にします。ループ バック プロキシでエラーが発生しました。
• context_id :各ループ バッククライアント プロキシ要求に対して生成される一意の 32 ビットコンテキスト ID
• request_type :要求タイプ。TC(TCP 接続)、TB(TCP バインド)、または UA(UDP アソシエーション)のいずれかになります。
• address_type :アドレス タイプ、IP4(IPv4)、IP6(IPv6)、または DNS(ドメイン名サービス)のいずれかになります。
• client_address_internal/server_address_internal :ループバック クライアントおよびループバック サーバが通信に使用するアドレス
• client_port_internal / server_port_internal :ループバック クライアントおよびループバック サーバが通信に使用するポート
• server_address_external / remote_address_external :ループバック サーバとリモート ホストが通信に使用するアドレス
• server_port_external / remote_port_external :ループバック サーバとリモート ホストが通信に使用するポート
340002
エラー メッセージ %ASA-6-340002: Loopback-proxy info: error_string context id context_id , context type = version / request_type / address_type client socket (internal)= client_address_internal / client_port_internal server socket (internal)= server_address_internal / server_port_internal server socket (external)= server_address_external / server_port_external remote socket (external)= remote_address_external / remote_port_external説明 ループ バック プロキシは、ASA で実行されているサード パーティ製アプリケーションがネットワークにアクセスすることを可能にします。ループバック プロキシは、トラブルシューティングで使用するデバッグ情報を生成しました。
• context_id :各ループ バッククライアント プロキシ要求に対して生成される一意の 32 ビットコンテキスト ID
• request_type :要求タイプ。TC(TCP 接続)、TB(TCP バインド)、または UA(UDP アソシエーション)のいずれかになります。
• address_type :アドレス タイプ、IP4(IPv4)、IP6(IPv6)、または DNS(ドメイン名サービス)のいずれかになります。
• client_address_internal/server_address_internal :ループバック クライアントおよびループバック サーバが通信に使用するアドレス
• client_port_internal / server_port_internal :ループバック クライアントおよびループバック サーバが通信に使用するポート
• server_address_external / remote_address_external :ループバック サーバとリモート ホストが通信に使用するアドレス
• server_port_external / remote_port_external :ループバック サーバとリモート ホストが通信に使用するポート
341001
エラー メッセージ %ASA-6-341001: Policy Agent started successfully for VNMC vnmc_ip_addr説明 ポリシー エージェント プロセス(DME、ducatiAG および commonAG)が正常に開始されました。
341002
エラー メッセージ %ASA-6-341002: Policy Agent stopped successfully for VNMC vnmc_ip_addr説明 ポリシー エージェント プロセス(DME、ducatiAG および commonAG)が停止しました。
341003
エラー メッセージ %ASA-3-341003: Policy Agent failed to start for VNMC vnmc_ip_addr • vnmc_ip_addr :VNMC サーバの IP アドレス
推奨処置 コンソールの履歴やエラー メッセージの disk0:/pa/log/vnm_pa_error_status をチェックします。ポリシー エージェントの開始を再試行するには、 registration host コマンドを再実行します。
341004
エラー メッセージ %ASA-3-341004: Storage device not available: Attempt to shutdown module %s failed.説明 すべての SSD が失敗したか、アップ状態のシステムから削除されました。システムがソフトウェア モジュールをシャット ダウンしようとしましたが、失敗しました。
341005
エラー メッセージ %ASA-3-341005: Storage device not available. Shutdown issued for module %s .説明 すべての SSD が失敗したか、アップ状態のシステムから削除されました。システムがソフトウェア モジュールをシャット ダウンしています。
341006
%ASA-3-341006: Storage device not available.Failed to stop recovery of module %s .
説明 すべての SSD に障害が発生したか、リカバリ状態のシステムから削除されました。システムがリカバリを停止しようとしましたが、失敗しました。
341007
%ASA-3-341007: Storage device not available.Further recovery of module %s was stopped.This may take several minutes to complete.
説明 すべての SSD に障害が発生したか、リカバリ状態のシステムから削除されました。システムはソフトウェア モジュールのリカバリを中断します。
341008
%ASA-3-341008: Storage device not found.Auto-boot of module %s cancelled.Install drive and reload to try again.
説明 システムをアップ状態にした後、すべての SSD に障害が発生したか、システムをリロードする前に削除されました。ブート中のデフォルト動作ではソフトウェア モジュールが自動ブートされますが、利用可能なストレージ デバイスがないため、その動作がブロックされます。
341010
エラー メッセージ %ASA-6-341010: Storage device with serial number ser_no [inserted into | removed from] bay bay_no341011
エラー メッセージ %ASA-3-341011: Storage device with serial number ser_no in bay bay_no faulty.説明 ASA は 10 分ごとにハード ディスク ドライブ(HDD)のヘルス ステータスをポーリングし、HDD が障害状態の場合は、この syslog メッセージを生成します。
メッセージ 400000 ~ 450001
この項では、400000 から 450001 までのメッセージについて説明します。
4000nn
エラー メッセージ %ASA-4-4000nn: IPS: number string from IP_address to IP_address on interface interface_name説明 メッセージ 400000 ~ 400051 は、Cisco Intrusion Prevention Service のシグニチャ メッセージです。
推奨処置 Cisco.com にある『Cisco Intrusion Prevention Service User Guide』を参照してください。
今回のリリースの ASA では、シグニチャ メッセージがすべてサポートされているわけではありません。IPS メッセージは、すべて 4-4000nn で始まり、次の形式になります。
| シグニチャ番号。詳細については、Cisco.com にある『Cisco Intrusion Prevention Service User Guide』を参照してください。 |
|
表 1-5 に、サポートされているシグニチャ メッセージを示します。
|
|
|
|
|
|---|---|---|---|
401001
エラー メッセージ %ASA-4-401001: Shuns cleared説明 メモリから既存の排除を削除するために clear shun コマンドが入力されました。組織によるシャニング アクティビティの記録が許可されました。
401002
エラー メッセージ %ASA-4-401002: Shun added: IP_address IP_address port port説明 shun コマンドが入力されました。このコマンドの最初の IP アドレスは排除されたホストです。その他のアドレスとポートはオプションであり、有効な場合は接続を終了するのに使用されます。組織によるシャニング アクティビティの記録が許可されました。
401003
エラー メッセージ %ASA-4-401003: Shun deleted: IP_address説明 排除されたホストの 1 つが排除データベースから削除されました。組織によるシャニング アクティビティの記録が許可されました。
401004
エラー メッセージ %ASA-4-401004: Shunned packet: IP_address = IP_address on interface interface_name説明 IP SRC によって定義されたホストは排除データベースのホストであるために、パケットが廃棄されました。排除されたホストは、そこで排除されたインターフェイスにトラフィックを渡すことはできません。たとえば、インターネット上の外部ホストは外部インターフェイス上で排除されます。排除されたホストのアクティビティの記録が提供されました。このメッセージとメッセージ %ASA-4-401005 を使用すると、このホストに関するリスクを詳しく見積もることができます。
401005
エラー メッセージ %ASA-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port説明 ASA のメモリが不足しています。排除が適用できません。
推奨処置 Cisco IPS は、引き続き、この規則を適用しようとします。メモリを再利用して排除を手動で再適用するか、または Cisco IPS によって排除が適用されるのを待機します。
402114
エラー メッセージ %ASA-4-402114: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP to local_IP with an invalid SPI. • spi :IPSec のセキュリティ パラメータ インデックス
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
• username :IPSec トンネルに関連付けられているユーザ名
• local_IP:トンネルのローカル エンドポイントの IP アドレス
説明 SA データベースに存在しない SPI を指定している IPSec パケットを受信しました。これは、IPSec ピア間の SA のエージングのわずかな相違による一時的な状態か、またはローカル SA の消去が原因です。また、IPSec ピアによって不正なパケットが送信されたことを示すこともあります。これも攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
推奨処置 ローカル SA が消去されたことを、ピアは認識していないことがあります。新しい接続がローカル ルータから確立された場合、2 つのピアが正常に接続を再度確立することがあります。あるいは、問題の発生が短期間にとどまらない場合は、接続を新規に確立してみるか、またはピアの管理者に問い合わせます。
402115
エラー メッセージ %ASA-4-402115: IPSEC: Received a packet from remote_IP to local_IP containing act_prot data instead of exp_prot data.説明 期待された ESP ヘッダーのない IPSec パケットを受信しました。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信中です。これは攻撃を示している可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
402116
エラー メッセージ %ASA-4-402116: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP ( username ) to local_IP . The decapsulated inner packet doesn't match the negotiated policy in the SA. The packet specifies its destination as pkt_daddr , its source as pkt_saddr , and its protocol as pkt_prot . The SA specifies its local proxy as id_daddr / id_dmask / id_dprot / id_dport and its remote proxy as id_saddr / id_smask / id_sprot / id_sport .説明 カプセル化解除された IPSec パケットがネゴシエートされた ID と一致しません。ピアは、このセキュリティ アソシエーションを通じて他のトラフィックを送信中です。これは、ピアによるセキュリティ アソシエーション選択エラーが原因であるか、攻撃の一部の場合である可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
• spi :IPSec のセキュリティ パラメータ インデックス
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
• username :IPSec トンネルに関連付けられているユーザ名
• local_IP:トンネルのローカル エンドポイントの IP アドレス
• pkt_daddr:カプセル化解除されたパケットからの宛先アドレス
• pkt_saddr:カプセル化解除されたパケットからの送信元アドレス
• pkt_prot:カプセル化解除されたパケットからのトランスポート プロトコル
• id_dmask:ローカル プロキシ IP サブネット マスク
• id_dprot:ローカル プロキシ トランスポート プロトコル
• id_smask:リモート プロキシ IP サブネット マスク
402117
エラー メッセージ %ASA-4-402117: IPSEC: Received a non-IPsec ( protocol ) packet from remote_IP to local_IP .説明 受信パケットはクリプト マップ ACL と一致したが、IPSec でカプセル化されていません。IPSec ピアはカプセル化されていないパケットを送信中です。このエラーは、ピアのポリシー セットアップ エラーが原因で発生することがあります。たとえば、外部インターフェイス ポート 23 への暗号化 Telnet トラフィックだけを受信するようにファイアウォールを設定できます。IPSec 暗号化を行わずに Telnet を使用して、ポート 23 上で外部インターフェイスにアクセスしようとすると、このメッセージが表示されますが、ポート 23 以外の外部インターフェイスに対する Telnet またはトラフィックの場合は表示されません。このエラーは、攻撃を示すこともあります。このメッセージは、これらの条件以外では生成されません(たとえば、ASA インターフェイス自体へのトラフィックの場合は生成されません)。TCP および UDP 要求を追跡するメッセージ 710001、710002、および 710003 を参照してください。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
402118
エラー メッセージ %ASA-4-402118: IPSEC: Received an protocol packet (SPI= spi , sequence number seq_num ) from remote_IP ( username ) to local_IP containing an illegal IP fragment of length frag_len with offset frag_offset .説明 カプセル化解除された IPSec パケットに、128 バイト以下のオフセットの IP フラグメントが含まれていました。最新バージョンの IP RFC のセキュリティ アーキテクチャでは、リアセンブリ攻撃を防止するために最小 IP フラグメント オフセットを 128 バイトにすることを推奨しています。これは攻撃の一部の場合があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
• spi :IPSec のセキュリティ パラメータ インデックス
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
• username :IPSec トンネルに関連付けられているユーザ名
• local_IP:トンネルのローカル エンドポイントの IP アドレス
402119
エラー メッセージ %ASA-4-402119: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP ( username ) to local_IP that failed anti-replay checking.説明 シーケンス番号が無効な IPSec パケットを受信しました。ピアは、以前に使用された可能性のあるシーケンス番号が含まれたパケットを送信中です。このメッセージは、受け入れ許容範囲外のシーケンス番号の IPSec パケットを受信したことを示します。このパケットは、可能性のある攻撃の一部として IPSec により廃棄されます。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
• spi :IPSec のセキュリティ パラメータ インデックス
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
• username :IPSec トンネルに関連付けられているユーザ名
402120
エラー メッセージ %ASA-4-402120: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from remote_IP ( username ) to local_IP that failed authentication.説明 IPSec パケットを受信したが認証に失敗しました。パケットはドロップされます。パケットは中継中に破損したか、ピアが無効な IPSec パケットを送信している可能性があります。これらのパケットの多くを同じピアから受信した場合、攻撃を示している可能性があります。このメッセージは、5 秒に 1 回しか表示されないように制限されています。
• spi :IPSec のセキュリティ パラメータ インデックス
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
• username :IPSec トンネルに関連付けられているユーザ名
402121
エラー メッセージ %ASA-4-402121: IPSEC: Received an protocol packet (SPI= spi , sequence number= seq_num ) from peer_addr ( username ) to lcl_addr that was dropped by IPsec ( drop_reason ).説明 カプセル化解除する IPSec パケットを受信したが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、ASA の設定または ASA そのものに問題が存在する可能性があることを示しています。
• spi :IPSec のセキュリティ パラメータ インデックス
• peer_addr:トンネルのリモート エンドポイントの IP アドレス
• username :IPSec トンネルに関連付けられているユーザ名
402122
エラー メッセージ %ASA-4-402122: Received a cleartext packet from src_addr to dest_addr that was to be encapsulated in IPsec that was dropped by IPsec ( drop_reason ).説明 IPSec でカプセル化するパケットを受信しましたが、そのパケットが IPSec サブシステムによって後で廃棄されました。これは、ASA の設定または ASA そのものに問題が存在する可能性があることを示しています。
402123
エラー メッセージ %ASA-4-402123: CRYPTO: The accel_type hardware accelerator encountered an error (code= error_string ) while executing crypto command command .説明 ハードウェア アクセラレータを使用した crypto コマンドの実行中にエラーが検出されました。アクセラレータの問題を示している可能性があります。このタイプのエラーは、さまざまな理由で発生します。このメッセージは、原因の判定に役立つように暗号アクセラレータ カウンタを補足します。
402124
エラー メッセージ %ASA-4-402124: CRYPTO: The ASA hardware accelerator encountered an error (Hardware error address, Core, Hardware error code, IstatReg, PciErrReg, CoreErrStat, CoreErrAddr, Doorbell Size, DoorBell Outstanding, SWReset).説明 暗号ハードウェア チップが重大エラーを報告しました。チップが動作不能であることを示します。このメッセージからの情報は、詳細を取り込み、問題をさらに分析できるようにします。この状態が検出されると、暗号チップがリセットされ、円滑にASA の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。このメッセージには、暗号ハードウェアに関連する次のようなさまざまなパラメータが含まれています。
• HWErrAddr:ハードウェア アドレス(暗号チップによって設定)
• HwErrCode:ハードウェア エラー コード(暗号チップによって設定)
• IstatReg:割り込みステータス レジスタ(暗号チップによって設定)
• PciErrReg:PCI エラー レジスタ(暗号チップによって設定)
• CoreErrStat:コア エラー ステータス(暗号チップによって設定)
• CoreErrAddr:コア エラー アドレス(暗号チップによって設定)
• Doorbell Size:許可される暗号コマンドの最大数
402125
エラー メッセージ %ASA-4-402125: The ASA hardware accelerator ring timed out ( parameters ).説明 IPSEC の記述子リングまたは SSL/Admin の記述子リングが進行していないことを暗号ドライバが検出しました。つまり、暗号チップが機能していないと思われます。この状態が検出されると、暗号チップがリセットされ、円滑にASA の機能を継続できます。また、この問題が検出されたときの暗号環境が、フラッシュ上の暗号アーカイブ ディレクトリに書き込まれ、さらなるデバッグ情報を提供します。
402126
エラー メッセージ %ASA-4-402126: CRYPTO: The ASA created Crypto Archive File Archive Filename as a Soft Reset was necessary. Please forward this archived information to Cisco.説明 ハードウェア暗号チップで機能上の問題が検出されました(syslog メッセージ 402124 および 402125 を参照)。暗号の問題をさらにデバッグするために、現在の暗号ハードウェア環境(ハードウェア レジスタおよび暗号記述エントリ)を含む暗号アーカイブ ファイルが生成されます。ブート時に、フラッシュ ファイル システム上に crypto_archive ディレクトリが自動的に作成されました(事前に存在していなかった場合)。このディレクトリには、最大 2 つの暗号アーカイブ ファイルが存在できます。
• Archive Filename :暗号アーカイブ ファイルの名前。暗号アーカイブ ファイルの名前は crypto_arch_x.bin という形式です。ここで、x は 1 または 2 です。
402127
エラー メッセージ %ASA-4-402127: CRYPTO: The ASA is skipping the writing of latest Crypto Archive File as the maximum # of files, max_number, allowed have been written to archive_directory . Please archive & remove files from Archive Directory if you want more Crypto Archive Files saved.説明 ハードウェア暗号チップで機能上の問題が検出されました(メッセージ 4402124 および 4402125 を参照)。このメッセージは、最大数の暗号アーカイブ ファイルがすでに存在していたため、暗号アーカイブ ファイルが書き込まれなかったことを示しています。
• max_number :アーカイブ ディレクトリで許可されているファイルの最大数(現在は 2 に設定されています)
• archive_directory :アーカイブ ディレクトリの名前
推奨処置 以前に生成された暗号アーカイブ ファイルを Cisco TAC に転送します。以前に生成されたアーカイブ ファイルを削除して、別のアーカイブ ファイルを書き込むことができるようにします(必要であると思われる場合)。
402128
エラー メッセージ %ASA-5-402128: CRYPTO: An attempt to allocate a large memory block failed, size: size , limit: limit説明 SSL 接続で許容量を超えるメモリの使用が試みられています。要求が拒否されました。
• size :割り当てられようとしたメモリ ブロックのサイズ
推奨処置 このメッセージが引き続き表示される場合は、SSL サービス拒絶攻撃が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。
402129
エラー メッセージ %ASA-6-402129: CRYPTO: An attempt to release a DMA memory block failed, location: address402130
エラー メッセージ %ASA-6-402130: CRYPTO: Received an ESP packet (SPI = 0x54A5C634, sequence number=0x7B) from 75.2.96.101 (user=user) to 85.2.96.10 with incorrect IPsec padding.説明 ASA の暗号ハードウェア アクセラレータで無効な埋め込みデータを含む IPSec パケットが検出されました。ATT VPN クライアントでは、IPSec パケットの埋め込みが不適切に行われる場合があります。
• sequence number :パケットに関連付けられているシーケンス番号
推奨処置 このメッセージが不要であり、ASA の問題が示されていない場合、ATT VPN クライアントを使用しているお客様は VPN クライアント ソフトウェアのアップグレードが必要になることがあります。
402131
エラー メッセージ %ASA-4-402131: CRYPTO: status changing the accel_instance hardware accelerator's configuration bias from old_config_bias to new_config_bias .説明 ハードウェア アクセラレーション設定が ASA で変更されました。一部の ASAプラットフォームには、複数のハードウェア アクセラレータがあります。ハードウェア アクセラレータの変更ごとに 1 件の syslog メッセージが生成されます。
• status :success または failure を示します
• accel_instance :ハードウェア アクセラレータのインスタンス
推奨処置 設定を変更しようとしてアクセラレータのいずれかが失敗した場合、ロギング情報を収集し、Cisco TAC に連絡してください。障害が発生した場合、ソフトウェアは、設定変更を複数回再試行します。再試行が失敗した場合、ソフトウェアは元の構成バイアスにフォールバックします。ハードウェア アクセラレータの再設定に複数回失敗する場合、ハードウェアの障害を示している可能性があります。
402140
エラー メッセージ %ASA-3-402140: CRYPTO: RSA key generation error: modulus len len402141
エラー メッセージ %ASA-3-402141: CRYPTO: Key zeroization error: key set type , reason reason説明 RSA 公開キー ペアの生成時にエラーが発生しました。
402142
エラー メッセージ %ASA-3-402142: CRYPTO: Bulk data op error: algorithm alg , mode mode • op :encryption または decryption のいずれかの操作
• alg :次のいずれかの暗号化アルゴリズム。DES、3DES、AES、RC4
• mode :次のいずれかのモード。CBC、CTR、CFB、ECB、stateful-RC4、stateless-RC4
402143
エラー メッセージ %ASA-3-402143: CRYPTO: alg type key op • alg :RSA または DSA のいずれかの暗号化アルゴリズム
• type :public または private のいずれかのキー タイプ
402144
エラー メッセージ %ASA-3-402144: CRYPTO: Digital signature error: signature algorithm sig , hash algorithm hash • sig :RSA または DSA のいずれかの署名アルゴリズム
402145
エラー メッセージ %ASA-3-402145: CRYPTO: Hash generation error: algorithm hash402146
エラー メッセージ %ASA-3-402146: CRYPTO: Keyed hash generation error: algorithm hash , key len len402147
エラー メッセージ %ASA-3-402147: CRYPTO: HMAC generation error: algorithm alg • alg :次のいずれかの HMAC アルゴリズム。HMAC-MD5、HMAC-SHA1、HMAC-SHA2、AES-XCBC
402148
エラー メッセージ %ASA-3-402148: CRYPTO: Random Number Generator error403101
エラー メッセージ %ASA-4-403101: PPTP session state not established, but received an XGRE packet, tunnel_id= number , session_id= number403102
エラー メッセージ %ASA-4-403102: PPP virtual interface interface_name rcvd pkt with invalid protocol: protocol , reason: reason .403103
エラー メッセージ %ASA-4-403103: PPP virtual interface max connections reached.403104
エラー メッセージ %ASA-4-403104: PPP virtual interface interface_name requires mschap for MPPE.説明 MPPE は設定されていましたが、MS-CHAP 認証が設定されていませんでした。
推奨処置 vpdn group group_name ppp authentication コマンドで、MS-CHAP 認証を追加します。
403106
エラー メッセージ %ASA-4-403106: PPP virtual interface interface_name requires RADIUS for MPPE.説明 MPPE は設定されていましたが、RADIUS 認証が設定されていませんでした。
推奨処置 vpdn group group_name ppp authentication コマンドで、RADIUS 認証を追加します。
403107
エラー メッセージ %ASA-4-403107: PPP virtual interface interface_name missing aaa server group info推奨処置 vpdn group group_name client authentication aaa aaa_server_group コマンドで、AAA サーバ情報を追加します。
403108
エラー メッセージ %ASA-4-403108: PPP virtual interface interface_name missing client ip address option説明 クライアント IP アドレス プール情報が不足しています。
推奨処置 vpdn group group_name client configuration address local address_pool_name コマンドで、IP アドレス プール情報を追加します。
403109
エラー メッセージ %ASA-4-403109: Rec'd packet not an PPTP packet. ( ip ) dest_address = dest_address , src_addr = source_address , data: string.403110
エラー メッセージ %ASA-4-403110: PPP virtual interface interface_name , user: user missing MPPE key from aaa server.説明 AAA サーバは、MPPE 暗号化ポリシーのセットアップに必要な MPPE キー属性を返しませんでした。
推奨処置 AAA サーバの設定を確認してください。AAA サーバが MPPE キー属性を返せない場合は、代わりに vpdn group group_name client authentication local コマンドを入力してローカル認証を使用します。
403500
エラー メッセージ %ASA-6-403500: PPPoE - Service name 'any' not received in PADO. Intf: interface_name AC: ac_name .説明 ASA が、インターネット サービス プロバイダーのアクセス コントローラからの PPPoE サービス any を要求しました。サービス プロバイダーからの応答には他のサービスが含まれていますが、サービス any は含まれていません。これは、プロトコルの実装の不一致です。PADO パケットは正常に処理されて、接続ネゴシエーションが続行されます。
403501
エラー メッセージ %ASA-3-403501: PPPoE - Bad host-unique in PADO - packet dropped. Intf: interface_name AC: ac_name説明 ASA は、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。ASA はこの応答に対応する接続要求を識別できませんでした。パケットは廃棄され、接続ネゴシエーションは切断されました。
推奨処置 インターネット サービス プロバイダーにお問い合わせください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。
403502
エラー メッセージ %ASA-3-403502: PPPoE - Bad host-unique in PADS - dropping packet. Intf: interface_name AC: ac_name説明 ASA は、ホスト固有値と呼ばれる ID をアクセス コントローラに送信しました。アクセス コントローラは、異なるホスト固有値で応答しました。ASA はこの応答に対応する接続要求を識別できませんでした。パケットは廃棄され、接続ネゴシエーションは切断されました。
推奨処置 インターネット サービス プロバイダーにお問い合わせください。サービス プロバイダーのアクセス コントローラがホスト固有値の処理を誤っているか、または PADO パケットが不正です。
403503
エラー メッセージ %ASA-3-403503: PPPoE:PPP link down: reason説明 PPP リンクがダウンしました。これが発生する原因は数多くあります。最初の形式に表示される理由は、PPP からの理由の場合です。
推奨処置 ネットワーク リンクを調べて、リンクが接続されていることを確認します。アクセス コンセントレータがダウンしていることがあります。認証プロトコルがアクセス コンセントレータと一致し、名前とパスワードが正しいことを確認します。ISP またはネットワーク サポート担当者にこの情報を確認します。
403504
エラー メッセージ %ASA-3-403504: PPPoE:No 'vpdn group group_name ' for PPPoE is created説明 PPPoE では、PPPoE セッションを開始する前に、ダイヤルアウト コンフィギュレーションが必要です。一般的にコンフィギュレーションでは、ダイヤル ポリシー、PPP 認証、ユーザ名、およびパスワードを指定する必要があります。次の例では、ASA を PPPoE ダイヤルアウト用に設定します。my-username コマンドおよび my-password コマンドは、必要であれば PAP を使用して、アクセス コンセントレータの認証に使用されます。
403505
エラー メッセージ %ASA-4-403505: PPPoE:PPP - Unable to set default route to IP_address at interface_name説明 通常、このメッセージには「default route already exists」というメッセージが続きます。
推奨処置 現行のデフォルト ルートを削除するか、または setroute パラメータを削除して、PPPoE と手動で設定したルートが競合しないようにします。
403506
エラー メッセージ %ASA-4-403506: PPPoE:failed to assign PPP IP_address netmask netmask at interface_name説明 このメッセージには、「subnet is the same as interface」または「on failover channel」というメッセージのいずれかが続きます。
推奨処置 最初の場合は、競合の原因となったアドレスを変更します。2 番目の場合は、フェールオーバー インターフェイス以外のインターフェイスに PPPoE を設定します。
403507
エラー メッセージ %ASA-3-403507: PPPoE:PPPoE client on interface interface failed to locate PPPoE vpdn group group_name説明 pppoe client vpdn group group_name コマンドを入力して、インターフェイス上の PPPoE クライアントが特定の VPDN グループを使用するように設定できます。システムの起動時に、設定した名前の PPPoE VPDN グループが見つからなかった場合、このメッセージが生成されます。
• interface :どのインターフェイス上の PPPoE クライアントに障害が発生したか
• group_name :インターフェイス上の PPPoE クライアントの VPDN グループ名
1. vpdn group group_name コマンドを入力して、必要な VPDN グループを追加します。グローバル コンフィギュレーション モードでダイヤルアウト PPPoE を要求し、すべてのグループ プロパティを追加します。
2. 指摘されたインターフェイスから pppoe client vpdn group group_name コマンドを削除します。この場合、PPPoE クライアントは、定義済みの最初の PPPoE VPDN グループを使用しようとします。
(注) すべての変更内容は、ip address pppoe コマンドを入力してインターフェイス上の PPPoE クライアントを再起動した後に限り有効になります。
405001
エラー メッセージ %ASA-4-405001: Received ARP {request | response} collision from IP_address / MAC_address on interface interface_name to IP_address / MAC_address on interface interface_name説明 ASA が ARP パケットを受信しましたが、パケットの MAC アドレスが ARP キャッシュ エントリと異なっています。
推奨処置 このトラフィックは、正当である場合もあれば、ARP ポイズニング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスを確認してパケットの送信元を判別し、そのパケットが有効なホストに属しているかどうかを調べます。
405003
エラー メッセージ %ASA-4-405003: IP address collision detected between host IP_address at MAC_address and interface interface_name , MAC_address .405101
エラー メッセージ %ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]説明 モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
推奨処置 このメッセージが定期的に表示される場合は、無視できます。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。問題が解決しない場合、Cisco TAC にお問い合わせください。
405002
エラー メッセージ %ASA-4-405002: Received mac mismatch collision from IP_address / MAC_address for authenticated host説明 このパケットは、次のどちらかの条件の場合に表示されます。
• ASA は IP アドレスが同じだが、MAC アドレスがその uauth エントリの 1 つとは異なるパケットを受信しました。
• ASA に vpnclient mac-exempt コマンドを設定しました。除外 MAC アドレスを持つが、対応する uauth エントリとは異なる IP アドレスを持つパケットが ASA によって受信されました。
推奨処置 このトラフィックは、正当である場合もあれば、スプーフィング攻撃が進行中であることを示す場合もあります。送信元 MAC アドレスと IP アドレスを確認してパケットの送信元と、そのパケットが有効なホストに属しているかどうかを調べます。
405101
エラー メッセージ %ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [ / inside_port ]説明 ASA が、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。また、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが定期的に表示される場合は、無視できます。問題が解決しない場合、Cisco TAC にお問い合わせください。
405102
エラー メッセージ %ASA-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address [/ outside_port ] to local_address inside_address [/ inside_port ]説明 ASA が、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
推奨処置 グローバル プールのサイズを確認し、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。また、メモリ使用量を減らすか、または増設メモリを購入します。このメッセージが定期的に表示される場合は、無視できます。問題が解決しない場合、Cisco TAC にお問い合わせください。
405103
エラー メッセージ %ASA-4-405103: H225 message from source_address/source_port to dest_address / dest_port contains bad protocol discriminator hex説明 ASA はプロトコル識別子 0x08 を予測していますが、0x08 以外の識別子を受信しました。エンドポイントから不良パケットが送信されているか、または最初のセグメント以外のメッセージ セグメントを受信した可能性があります。パケットの通過は許可されます。
405104
エラー メッセージ %ASA-4-405104: H225 message received from outside_address / outside_port to inside_address / inside_port before SETUP説明 初期 SETUP メッセージの前に H.225 メッセージを正しくない順序で受信しました。これは許可されません。ASA は、その H.225 コール シグナリング チャネルに関する初期 SETUP メッセージを受信してから、他のすべての H.225 メッセージを受信する必要があります。
405105
エラー メッセージ %ASA-4-405105: H323 RAS message AdmissionConfirm received from source_address / source_port to dest_address / dest_port without an AdmissionRequest説明 ゲートキーパーから ACF が送信されましたが、ASA はゲートキーパーに ARQ を送信していません。
推奨処置 指摘された source_address のゲートキーパーを確認して、ASA から ARQ を受信していないのに ACF が送信された理由を判定します。
405106
エラー メッセージ %ASA-4-405106: H323 num channel is not created from %I/%d to %I/%d %s説明 ASA が H.323 メディア タイプ チャネルに関して一致条件を作成しようとしました。詳細については、 match media-type コマンドを参照してください。
405107
エラー メッセージ %ASA-4-405107: H245 Tunnel is detected and connection dropped from %I/%d to %I/%d %s説明 コール セットアップ中に試行された H.245 トンネル制御のために、H.323 接続が廃棄されました。詳細については、 h245-tunnel-block コマンドを参照してください。
405201
エラー メッセージ %ASA-4-405201: ILS ILS_message_type from inside_interface:source_IP_address to outside_interface:/destination_IP_address has wrong embedded address embedded_IP_address説明 ILS パケット ペイロードに埋め込まれたアドレスが、IP パケット ヘッダーの送信元 IP アドレスと異なっていました。
推奨処置 source_IP_address で指摘されたホストを確認して、誤った埋め込み IP アドレスで ILS パケットが送信された理由を判定します。
405300
エラー メッセージ %ASA-4-405300: Radius Accounting Request received from from_addr is not allowed説明 ポリシー マップに設定されていないホストからのアカウンティング要求を受け取りました。このメッセージがログに記録され、処理が停止します。
• from_addr :要求を送信しているホストの IP アドレス
推奨処置 ホストが RADIUS アカウンティング メッセージを ASA に送信するように設定されている場合は、サービスポリシーに適用された正しいポリシー マップにホストが設定されていることを確認します。ホストが RADIUS アカウンティング メッセージを ASA に送信するように設定されていない場合は、メッセージが送信されている原因を確認します。メッセージが正当でない場合は、適切な ACL を作成してパケットを廃棄します。
405301
エラー メッセージ %ASA-4-405301: Attribute attribute_number does not match for user user_ip説明 validate-attribute コマンドが入力された場合に、受信したアカウンティング要求開始に格納されている属性値が、エントリ(存在する場合)に格納されている属性値と一致しません。
• attribute_number :RADIUS アカウンティングで検証される RADIUS 属性。値の範囲は 1 ~ 191 です。ベンダー固有の属性はサポートされていません。
406001
エラー メッセージ %ASA-4-406001: FTP port command low port: IP_address / port to IP_address on interface interface_name説明 クライアントが FTP ポート コマンドを入力して、1024(通常はサーバ ポート専用の周知のポート範囲にある)より小さなポート番号を指定しました。これは、サイト セキュリティ ポリシーを回避しようとしていることを示します。ASA は、パケットの廃棄、接続の終了、およびイベントの記録を行います。
406002
エラー メッセージ %ASA-4-406002: FTP port command different address: IP_address( IP_address ) to IP_address on interface interface_name説明 クライアントが FTP ポート コマンドを実行して、接続に使用されているアドレス以外のアドレスを指定しました。サイト セキュリティ ポリシーを回避しようとする試みが発生しました。たとえば、攻撃者が途中でパケットを変更し、正しいソース情報の代わりに別のソース情報を設定して FTP セッションをハイジャックしようとしている場合があります。ASA は、パケットの廃棄、接続の終了、およびイベントの記録を行います。カッコ内のアドレスは、ポート コマンドからのアドレスです。
407001
エラー メッセージ %ASA-4-407001: Deny traffic for local-host interface_name : inside_address , license limit of number exceeded説明 ホスト制限を超えました。次のどちらかの条件に当てはまる場合、内部ホストは制限にカウントされます。
• 内部ホストは、この 5 分以内に、ASA 経由でトラフィックを転送しました。
• 内部ホストは、ASA で、xlate 接続またはユーザ認証を予約しました。
推奨処置 ホスト制限はローエンド プラットフォームに適用されます。ホスト制限を表示するには、 show version コマンドを使用します。ASA でのセッションを持つ現在のアクティブ ホストと内部ユーザを表示するには、 show local-host コマンドを使用します。1 つまたは複数のユーザを強制的に切断するには、 clear local-host コマンドを使用します。内部ユーザを制限になる前に期限切れにするには、xlate、接続、および uauth タイムアウトを推奨値以下に設定します。( 表 1-6 を参照)。
|
|
|
|---|---|
407002
エラー メッセージ %ASA-4-407002: Embryonic limit nconns / elimit for through connections exceeded. outside_address / outside_port to global_address ( inside_address )/ inside_port on interface interface_name説明 指摘されたグローバル アドレスを経由して、指摘された外部アドレスから指摘されたローカル アドレスに接続された数が、そのスタティックの最大初期制限を超えました。ASA は、接続にメモリが割り当て可能な場合は、その接続を受け入れようとします。ローカル ホストに代わってプロキシ ホストとなり、SYN_ACK パケットを外部ホストに送信します。ASA は、該当する状態情報を保持し、パケットを廃棄して、クライアントからの ACK を待ちます。このメッセージは、正当なトラフィックを示す場合もあれば、DoS 攻撃が進行中であることを示す場合もあります。
407003
エラー メッセージ %ASA-4-407003: Established limit for RPC services exceeded number説明 ASA は、最大ホール数に達した後、すでに設定されている RPC サーバ ペアまたは RPC サービス ペアに対して、新規のホールをオープンしようとしました。
推奨処置 他のホールがクローズされるのを待機するか(関連タイムアウト有効期限を使用)、またはサーバまたはサービスのアクティブ ペア数を制限します。
408001
エラー メッセージ %ASA-4-408001: IP route counter negative - reason , IP_address Attempt: number説明 IP ルート カウンタを負の値に減少しようとしましたが失敗しました。
推奨処置 clear ip route コマンドを入力して、ルート カウンタをリセットします。問題が解決しない場合、Cisco TAC にお問い合わせください。
408002
エラー メッセージ %ASA-4-408002: ospf process id route type update address1 netmask1 [ distance1/metric1 ] via source IP : interface1 address2 netmask2 [ distance2 / metric2 ] interface2説明 既存のルートよりも適切なメトリックを持つ同じ距離の別のインターフェイスからネットワーク アップデートを受信しました。新規のルートによって、別のインターフェイスを使用してインストールされた既存のルートが上書きされます。新規のルートは冗長目的に限り使用され、ネットワーク内でパスが移動されたことを意味します。この変更は、トポロジと再配布を使用して制御する必要があります。この変更の影響を受ける既存の接続は、ディセーブルにされる可能性があり、タイムアウトになります。このパスの移動は、パス冗長をサポートするようにネットワーク トポロジが特に設計されている場合(このケースが予測されます)に限り発生します。
408003
エラー メッセージ %ASA-4-408003: can't track this type of object hex説明 トラッキング システムのコンポーネントが、サポートしていないオブジェクト タイプを検出しました。STATE オブジェクトが予期されていました。
409001
エラー メッセージ %ASA-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls409002
エラー メッセージ %ASA-4-409002: db_free: external LSA IP_address netmask409003
エラー メッセージ %ASA-4-409003: Received invalid packet: reason from IP_address , interface_name説明 無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、送信側の誤った OSPF コンフィギュレーションか内部エラーの可能性があります。
409004
エラー メッセージ %ASA-4-409004: Received reason from unknown neighbor IP_address説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できません。
409005
エラー メッセージ %ASA-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name説明 ASA は、正常なヘッダー サイズよりも短いフィールド長の OSPF パケット、または到着した IP パケットのサイズと一致しない OSPF パケットを受信しました。これは、パケットの送信側のコンフィギュレーション エラーを示しています。
409006
エラー メッセージ %ASA-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name説明 LSA タイプが無効の LSA をルータが受信しました。原因は、ルータ上のメモリの破損または予想外の動作のどちらかです。
推奨処置 隣接アドレスから、問題のルータを特定しリブートします。問題が解決しない場合、Cisco TAC にお問い合わせください。
409007
エラー メッセージ %ASA-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask409008
エラー メッセージ %ASA-4-409008: Found generating default LSA with non-zero mask LSA type: number Mask: netmask metric: number area: string説明 ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーが発生したためにメトリックが間違っている可能性があります。
409009
エラー メッセージ %ASA-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID説明 OSPF は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして、失敗しました。
推奨処置 IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、各プロセスは一意のルータ ID を必要とします。十分な数のインターフェイスを動作させて、各プロセスがルータ ID を取得できるようにする必要があります。
409010
エラー メッセージ %ASA-4-409010: Virtual link information found in non-backbone area: string409011
エラー メッセージ %ASA-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
409012
エラー メッセージ %ASA-4-409012: Detected router with duplicate router ID IP_address in area string説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
409013
エラー メッセージ %ASA-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。
409023
エラー メッセージ %ASA-4-409023: Attempting AAA Fallback method method_name for request_type request for user user : Auth-server group server_tag unreachable説明 外部サーバに対する認証または認可の試行が失敗し、ローカル ユーザ データベースを使用して実行されます。
• server_group :サーバが到達不能であった AAA サーバの名前
推奨処置 最初の方法で設定された AAA サーバの接続性の問題を調査します。ASA から認証サーバに対して ping を実行します。AAA サーバでデーモンが動作中であることを確認します。
409101
エラー メッセージ %ASA-4-409101: Received invalid packet: s from P , s説明 無効な OSPF パケットを受信しました。詳細は、エラー メッセージに記載されています。原因は、OSPF の設定間違い、または送信側の内部エラーです。
409102
エラー メッセージ %ASA-4-409102: Received packet with incorrect area from P , s , area AREA_ID_STR , packet area AREA_ID_STR409103
エラー メッセージ %ASA-4-409103: Received s from unknown neighbor i説明 OSPF hello、データベース記述、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できませんでした。
409104
エラー メッセージ %ASA-4-409104: Invalid length d in OSPF packet type d from P (ID i ), s説明 OSPF を受信しましたが、長さフィールドが通常のヘッダー サイズよりも短かったか、または受信時の IP パケットのサイズと整合性がありませんでした。パケットの送信側でエラーが発生しました。
409105
エラー メッセージ %ASA-4-409105: Invalid lsa: s : Type 0x x , Length 0x x , LSID u from i説明 ルータで LSA を受信しましたが、データが無効です。この LSA には、無効な LSA タイプ、不正なチェックサム、または誤った長さが含まれています。これはメモリの破損またはルータでの予期しない動作によるものです。
推奨処置 近接アドレスから、問題のルータを特定し、次の処理を行います。
• show running-config コマンドを入力して、ルータの実行コンフィギュレーションを収集します。
• show ipv6 ospf database コマンドを入力し、エラーの内容を特定できるデータを収集します。
• show ipv6 ospf database link-state-id コマンドを入力します。 link-state-id 引数には無効な LSA の IP アドレスを指定します。
409106
エラー メッセージ %ASA-4-409106: Found generating default LSA with non-zero mask LSA type: 0x x Mask: i metric: lu area: AREA_ID_STR説明 ルータが誤ったマスクでデフォルト LSA を生成しようとしました。内部ソフトウェア エラーのためにメトリックが間違っている可能性があります。
409107
エラー メッセージ %ASA-4-409107: OSPFv3 process d could not pick a router-id, please configure manually説明 OSPFv3 は、自分の 1 つのインターフェイスの IP アドレスからルータ ID を割り当てようとして、失敗しました。
推奨処置 IP アドレスが有効な動作中のインターフェイスが少なくとも 1 つあることを確認します。ルータで複数の OSPF プロセスが動作している場合、各プロセスは一意のルータ ID を必要とします。十分な数量のインターフェイスを稼働状態にして、それぞれがルータ ID を得られるようにします。
409108
エラー メッセージ %ASA-4-409108: Virtual link information found in non-backbone area: AREA_ID_STR409109
エラー メッセージ %ASA-4-409109: OSPF detected duplicate router-id i from P on interface IF_NAME説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。OSPF ルータ ID は一意である必要があります。
409110
エラー メッセージ %ASA-4-409110: Detected router with duplicate router ID i in area AREA_ID_STR説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ隣接ルータから hello パケットを受信しました。完全な隣接関係を確立できません。OSPF ルータ ID は一意である必要があります。
409111
エラー メッセージ %ASA-4-409111: Multiple interfaces ( IF_NAME / IF_NAME ) on a single link detected.説明 同じリンク上の複数のインターフェイスで OSPFv3 をイネーブルにすることはサポートされていません。
推奨処置 OSPFv3 は、1 本を除いたすべてのインターフェイスでディセーブルにするか、パッシブにする必要があります。
409112
エラー メッセージ %ASA-4-409112: Packet not written to the output queue409113
エラー メッセージ %ASA-4-409113: Doubly linked list linkage is NULL409114
エラー メッセージ %ASA-4-409114: Doubly linked list prev linkage is NULL x409115
エラー メッセージ %ASA-4-409115: Unrecognized timer d in OSPF s409116
エラー メッセージ %ASA-4-409116: Error for timer d in OSPF process s409117
エラー メッセージ %ASA-4-409117: Can't find LSA database type x , area AREA_ID_STR , interface x409118
エラー メッセージ %ASA-4-409118: Could not allocate DBD packet409119
エラー メッセージ %ASA-4-409119: Invalid build flag x for LSA i , type 0x x409120
エラー メッセージ %ASA-4-409120: Router-ID i is in use by ospf process d409121
エラー メッセージ %ASA-4-409121: Router is currently an ASBR while having only one area which is a stub area409122
エラー メッセージ %ASA-4-409122: Could not select a global IPv6 address. Virtual links require at least one global IPv6 address.説明 仮想リンクが設定されました。仮想リンクが機能するためには、グローバル IPv6 アドレスが使用可能である必要があります。しかし、グローバル IPv6 アドレスがルータ上に見つかりませんでした。
409123
エラー メッセージ %ASA-4-409123: Neighbor command allowed only on NBMA networks説明 neighbor コマンドは NBMA ネットワークでのみ使用できます。
推奨処置 neighbor コマンドの設定オプションを確認し、ネイバー インターフェイスのオプションまたはネットワーク タイプを修正します。
409125
エラー メッセージ %ASA-4-409125: Can not use configured neighbor: poll and priority options are allowed only for a NBMA network説明 設定されたネイバーは、ポイントツーマルチポイント ネットワークで検出され、poll オプションまたは priority オプションが設定されました。これらのオプションは、NBMA タイプのネットワークにのみ使用できます。
推奨処置 neighbor コマンドの設定オプションを確認し、ネイバー インターフェイスのオプションまたはネットワーク タイプを修正します。
409128
エラー メッセージ %ASA-4-409128: OSPFv3- d Area AREA_ID_STR : Router i originating invalid type 0x x LSA, ID u , Metric d on Link ID d Link Type d説明 このメッセージに示されたルータから無効なメトリックの LSA が送信されています。これがルータ LSA であり、リンク メトリックがゼロの場合、ネットワーク上にルーティング ループとトラフィック損失が存在する危険性があります。
推奨処置 報告された LSA を送信したルータに、当該 LSA タイプおよびリンク タイプに有効なメトリックを設定します。
410001
エラー メッセージ %ASA-4-410001: UDP DNS request from source_interface : source_address / source_port to dest_interface : dest_address / dest_port ; (label length | domain-name length) 52 bytes exceeds remaining packet length of 44 bytes.説明 UDP DNS パケットのドメイン名の長さが、255 バイトを超えています 詳細については、RFC 1035 の 3.1 項を参照してください。
410002
エラー メッセージ %ASA-2-410002: Dropped num DNS responses with mis-matched id in the past sec second(s): from src_ifc : sip / sport to dest_ifc : dip / dport説明 ASA が、ミスマッチの DNS 識別子を持つ過剰な数の DNS 応答を検出しました。ミスマッチの DNS 識別子の比率が高い場合は、キャッシュに対する攻撃を示している可能性があります。しきい値は、 id-mismatch DNS ポリシー マップ パラメータ サブモード コマンドで設定します。
• num : id-mismatch コマンドによって設定されている ID ミスマッチ インスタンスの数
• sec : id-mismatch コマンドによって設定されている期間(秒単位)
• src_ifc :ミスマッチの DNS 識別子を持つ DNS メッセージが受信された送信元インターフェイス名
推奨処置 メッセージで IP アドレスとポートを確認し、攻撃元をトレースします。その攻撃元からのトラフィックを永続的にブロックするように ACL を設定できます。
410003
エラー メッセージ %ASA-4-410003: action_class : action DNS query_response from src_ifc : sip / sport to dest_ifc : dip / dport ; further_info説明 DNS メッセージに対して DNS 分類が実施され、指定の基準が満たされました。結果として、設定されたアクションが実行されます。
• action_class :DNS Classification アクション クラス
• action :実行されるアクション(Dropped、Dropped (no TSIG)、または Masked header flags for)
• further_info :matched Class id: class_name 、matched Class id: match_command (スタンドアロンの match コマンドの場合)、TSIG resource record not present( tsig enforced コマンドによって生成されたメッセージの場合)のいずれか
410004
エラー メッセージ %ASA-6-410004: action_class : action DNS query_response from src_ifc : sip / sport to dest_ifc : dip / dport ; further_info説明 DNS メッセージに対して DNS 分類が実施され、指定の基準が満たされました。
• action_class :DNS Classification アクション クラス
• action :実行されるアクション(Received または Received (no TSIG))
• further_info :matched Class id: class_name 、matched Class id: match_command (スタンドアロンの match コマンドの場合)、TSIG resource record not present( tsig enforced コマンドによって生成されたメッセージの場合)のいずれか
411001
エラー メッセージ %ASA-4-411001: Line protocol on interface interface_name changed state to up説明 回線プロトコルのステータスが、 down から up に変化しました。 interface_name が論理インターフェイス名(inside および outside など)の場合、このメッセージは、論理インターフェイス回線プロトコルが down から up に変化したことを示します。 interface_name が物理インターフェイス名(Ethernet0 および GigabitEthernet0/1 など)の場合、このメッセージは、物理インターフェイス回線プロトコルが down から up に変化したことを示します。
411002
エラー メッセージ %ASA-4-411002:Line protocol on interface interface_name changed state to down説明 ライン プロトコルのステータスが、アップからダウンに変更されました。 interface_name が論理インターフェイス名(inside および outside など)の場合、このメッセージは、論理インターフェイス回線プロトコルが up から down に変化したことを示します。この場合、物理インターフェイス回線プロトコルのステータスは影響を受けません。 interface_name が物理インターフェイス名(Ethernet0 および GigabitEthernet0/1 など)の場合、このメッセージは、物理インターフェイス回線プロトコルが up から down に変化したことを示します。
411003
エラー メッセージ %ASA-4-411003: Configuration status on interface interface_name changed state to downup411004
エラー メッセージ %ASA-4-411004: Configuration status on interface interface_name changed state to up411005
エラー メッセージ %ASA-4-411005: Interface variable 1 experienced a hardware transmit hang. The interface has been reset.説明 インターフェイスでハードウェア送信フリーズが発生しました。フル動作にインターフェイスを復元するには、イーサネット コントローラのリセットが必要です。これは、ASA 5510、ASA 5520、ASA 5540、および ASA 5550 の ASA におけるギガ ビット インターフェイスの既知の問題です。
412001
エラー メッセージ %ASA-4-412001:MAC MAC_address moved from interface_1 to interface_2説明 モジュール インターフェイス間でのホストの移動が検出されました。透過 ASA では、ホスト(MAC)と ASA ポートの間のマッピングはレイヤ 2 転送テーブルに保持されています。このテーブルでは、パケットの送信元 MAC アドレスが 1 つの ASA ポートにダイナミックにバインドされます。このプロセスでは、インターフェイス間でのホストの移動が検出されると常に、このメッセージが生成されます。
推奨処置 ホストの移動は、有効である場合もあれば、他のインターフェイス上のホスト MAC をスプーフィングしようとしている場合もあります。MAC スプーフィングの場合は、ネットワーク上の脆弱なホストを特定して削除するか、またはスタティック MAC エントリ(MAC アドレスおよびポート バインディングは変更できない)を設定します。ホストが正規に移動されている場合は、対処は不要です。
412002
エラー メッセージ %ASA-4-412002:Detected bridge table full while inserting MAC MAC_address on interface interface . Number of entries = num説明 ブリッジ テーブルがいっぱいの場合に、さらに 1 つエントリを追加しようとしました。ASA は、コンテキストごとに別個のレイヤ 2 転送テーブルを保持しており、コンテキストがサイズ制限を超えると常にこのメッセージが生成されます。MAC アドレスは追加されますが、テーブル内の最も古い既存のダイナミック エントリ(有効な場合)が置換されます。攻撃が行われようとした可能性があります。
推奨処置 新規ブリッジ テーブル エントリが有効であることを確認します。攻撃の場合には、EtherType ACL を使用して脆弱なホストへのアクセスを制御します。
413001
エラー メッセージ %ASA-4-413001: Module module_id is not able to shut down. Module Error: errnum message説明 module_id で識別されるモジュールは、ASA システム モジュールからのシャットダウンの要求に応じることができませんでした。ソフトウェア アップグレードのような中断できないタスクを実行していることがあります。 errnum および message テキストに、モジュールをシャットダウンできなかった理由と推奨される修正処置が記載されています。
推奨処置 モジュール上のタスクが完了するのを待ってからモジュールをシャットダウンするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールのシャットダウンを妨げているタスクを停止します。
413002
エラー メッセージ %ASA-4-413002: Module module_id is not able to reload. Module Error: errnum message説明 module_id で識別されるモジュールは、ASA モジュールからのリロードの要求に応じることができませんでした。ソフトウェア アップグレードのような中断できないタスクを実行していることがあります。 errnum および message テキストに、モジュールをリロードできなかった理由と推奨される修正処置が記載されています。
推奨処置 モジュールのタスクが完了するのを待ってからモジュールをリロードするか、または session コマンドを使用してモジュールの CLI にアクセスし、モジュールのリロードを妨げているタスクを停止します。
413003
エラー メッセージ %ASA-4-413003: Module string one is not a recognized type説明 有効なモジュール タイプとして認識されないモジュールが検出されました。
推奨処置 インストールされているモジュール タイプをサポートする ASA ソフトウェアのバージョンにアップグレードします。
413004
エラー メッセージ %ASA-4-413004: Module string one failed to write software newver (currently ver ), reason . Trying again.説明 モジュールがソフトウェア バージョンに対応できませんでした。UNRESPONSIVE 状態に移行します。モジュール ソフトウェアのアップデートがさらに試行されます。
• newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。
• ver :モジュール上のソフトウェアの現在のバージョン番号(1.0(1)0 など)。
• reason :新しいバージョンがモジュールに書き込みできなかった原因。 reason に考えられる値は、次のとおりです。
推奨処置 不要です。その後の試行で、アップデートの成功または失敗を示すメッセージが生成されます。その後のアップデート試行後の UP へのモジュール遷移を確認するには、 show module コマンドを使用します。
413005
エラー メッセージ %ASA-4-413005: Module module_id , application is not supported app_name version app_vers type app_type エラー メッセージ %ASA-4-413005: Module prod_id in slot slot_num , application is not supported app_name version app_vers type app_type説明 スロット slot_num に設置されているモジュールが、サポートされていないアプリケーション バージョンまたはアプリケーション タイプを実行していました。
• module_id :ソフトウェア サービス モジュールの名前
• slot_num :モジュールが搭載されているスロット番号。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。
• app_vers :アプリケーションのバージョン(文字列)。
413006
エラー メッセージ %ASA-4-413006: prod-id Module software version mismatch; slot slot is prod-id version running-vers . Slot slot prod-id requires required-vers .説明 スロット slot のモジュール上で動作しているソフトウェアのバージョンが、別のモジュールから要求されたバージョンではありませんでした。
• slot :スロット 0 はシステムのメイン ボードを示し、 スロット 1 は拡張スロットに設置されているモジュールを示す。
• prod_id :スロット slot に設置されているデバイスの製品 ID 文字列。
• running_vers :スロット slot に設置されているモジュール上で現在動作しているソフトウェアのバージョン。
413007
エラー メッセージ %ASA-1-413007: An unsupported ASA and IPS configuration is installed. mpc_description with ips_description is not supported.説明 サポートされていない ASA および IPS の設定が、スロット 1 の IPS SSP のセットアップ中に検出されました。ASA は、サポートされない設定で正常に機能し続けます。
• mpc_description :ASA モデルの説明文字列。ASA5585-SSP-10、ASA5585-SSP-20、ASA5585-SSP-40、ASA5585-SSP-60、ASA5585-SSP-10-K7、ASA5585-SSP-20-K7、ASA5585-SSP-40-K7、ASA5585-SSP-60-K7 のいずれか。
• ips_description : IPS SSP モデルの説明文字列。ASA5585-SSP-IPS10、ASA5585-SSP-IPS20、ASA5585-SSP-IPS40、ASA5585-SSP-IPS60、ASA5585-SSP-P10K7、ASA5585-SSP-P20K7、ASA5585-SSP-P40K7、ASA5585-SSP-P60K7 のいずれか。
413008
エラー メッセージ %ASA-1-413008: An unsupported combination of the power supply module and the fan module is detected. Two power supply modules are recommended when using ASA 10G and IPS 10G SSPs simultaneously説明 ASA 10G SSP と IPS 10G SSP が搭載されているときに、1 台の電源装置と 1 台のファン モジュールのみが挿入されています。
推奨処置 ASA 10G SSP と IPS 10G SSP を使用する場合は、1 台のファン モジュールと 1 台の電源モジュールの代わりに、2 台の電源装置を挿入します。
414001
エラー メッセージ %ASA-3-414001: Failed to save logging buffer using file name filename to FTP server ftp_server_address on interface interface_name : [ fail_reason ]説明 ロギング モジュールによる外部 FTP サーバへのロギング バッファの保存が失敗しました。
• プロトコル エラー:FTP サーバと ASA との間の接続に問題がなく、FTP サーバが FTP PORT コマンドと PUT 要求を受け入れることができることを確認します。
• 無効なユーザ名またはパスワード:設定された FTP クライアント ユーザ名およびパスワードが正しいことを確認します。
414002
エラー メッセージ %ASA-3-414002: Failed to save logging buffer to flash:/syslog directory using file name: filename : [ fail_reason ]説明 ロギング モジュールによるシステム フラッシュへのロギング バッファの保存が失敗しました。
推奨処置 十分な領域がないために失敗した場合は、フラッシュの空き領域をチェックして、 logging flash-size コマンドの設定制限が正しく設定されていることを確認します。エラーが、フラッシュ ファイル システムの I/O エラーの場合は、Cisco TAC に問い合わせてサポートを受けてください。
414003
エラー メッセージ %ASA-3-414003: TCP Syslog Server intf : IP_Address / port not responding. New connections are [permitted|denied] based on logging permit-hostdown policy.説明 リモート ホスト ロギング用の TCP syslog サーバが正常であり、サーバに接続され、新しい接続は logging permit-hostdown ポリシーに基づいて許可または拒否されます。logging permit-hostdown ポリシーが設定されている場合、新しい接続は許可されます。設定されていない場合、新しい接続は拒否されます。
• intf :サーバが接続されている ASA のインターフェイス
• IP_Address :リモート TCP syslog サーバの IP アドレス
• port :リモート TCP syslog サーバのポート
推奨処置 設定されている TCP syslog サーバが動作していることを確認します。新しい接続を許可するには、logging permit-hostdown ポリシーを設定します。新しい接続を拒否するには、logging permit-hostdown ポリシーを設定しません。
414004
エラー メッセージ %ASA-6-414004: TCP Syslog Server intf : IP_Address / port - Connection restored説明 TCP syslog サーバへの再試行が成功し、接続が確立されました。このメッセージは、接続が成功した後に syslog サーバに最初に到達するメッセージです。
• intf :サーバが接続されている ASA のインターフェイス
• IP_Address :リモート TCP syslog サーバの IP アドレス
414005
エラー メッセージ %ASA-3-414005: TCP Syslog Server intf : IP_Address / port connected, New connections are permitted based on logging permit-hostdown policy説明 リモート ホスト ロギング用の TCP syslog サーバが正常であり、サーバに接続され、新しい接続は logging permit-hostdown ポリシーに基づいて許可されます。logging permit-hostdown ポリシーが設定されている場合、新しい接続は許可されます。
• intf :サーバが接続されている ASA のインターフェイス
• IP_Address :リモート TCP syslog サーバの IP アドレス
414006
エラー メッセージ %ASA-3-414006: TCP Syslog Server configured and logging queue is full. New connections denied based on logging permit-hostdown policy.説明 ロギング キューが設定された上限に近づいているため、syslog メッセージがドロップされる危険があります。
推奨処置 この状況を回避するためにキュー サイズを調整する方法の詳細については、『CLI 設定ガイド』の「Configuring the Logging Queue」を参照してください。この場合に新しい接続を拒否するには、 no logging permit-hostdown コマンドを使用します。この場合に新しい接続を許可するには、 logging permit-hostdown コマンドを使用します。
414007
エラー メッセージ %ASA-6-414007: TCP Syslog Server connection restored. New connections are allowed.414008
エラー メッセージ %ASA-6-414008: New connections are now allowed due to change of logging permit-hostdown policy.説明 管理者は、新しい接続が拒否されているときに、 logging permit-hostdown コマンドを入力して、logging permit-hostdown ポリシーを変更しました。このポリシーの変更が原因で、新しい接続は許可されます。
415001
エラー メッセージ %ASA-6-415001: HTTP - matched matched_string in policy-map map_name , header field count exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 このメッセージは、次のいずれかが発生した場合に生成されます。
• HTTP ヘッダーのフィールドの総数が、ユーザ設定のヘッダー フィールド数を超えました。関連するコマンドは match { request | response } header count num です。
• HTTP ヘッダー内の指摘されたフィールドの出現数が、そのヘッダー フィールドに対してユーザが設定した数を超えました。関連するコマンドは match { request | response } header header-name count num です。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 match { request | response } header コマンドを入力して、HTTP ヘッダーのフィールド値を再設定します。
415002
エラー メッセージ %ASA-6-415002: HTTP - matched matched_string in policy-map map_name , header field length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 指摘された HTTP ヘッダー フィールド長がユーザ設定の長さを超えました。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 match { request | response } header header_name length gt num コマンドを入力して、HTTP ヘッダー フィールド長を変更します。
415003
エラー メッセージ %ASA-6-415003: HTTP - matched matched_string in policy-map map_name , body length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num • matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 match { request | response } body length gt num command コマンドを入力して、メッセージ本体の長さを変更します。
415004
エラー メッセージ %ASA-5-415004: HTTP - matched matched_string in policy-map map_name , content-type verification failed connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 HTTP メッセージ本体のマジック番号が、HTTP メッセージ ヘッダーの「content-type」フィールドに指定されている MIME タイプの正しいマジック番号ではありません。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 match {request | response} header content-type violation コマンドを入力して、エラーを修正します。
415005
エラー メッセージ %ASA-5-415005: HTTP - matched matched_string in policy-map map_name , URI length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num • matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 match request uri length gt num コマンドを入力して、URI の長さを変更します。
415006
エラー メッセージ %ASA-5-415006: HTTP - matched matched_string in policy-map map_name , URI matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 URI が、ユーザが設定した正規表現と一致しました。詳細については、 match request uri regex { regex-name | class class-name } コマンドを参照してください。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
415007
エラー メッセージ %ASA-5-415007: HTTP - matched matched_string in policy-map map_name , Body matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 メッセージ本文がユーザ設定の正規表現と一致しました。詳細については、 match { request | response } body regex { regex-name | class class-name } コマンドを参照してください。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
415008
エラー メッセージ %ASA-5-415008: HTTP - matched matched_string in policy-map map_name , header matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 メッセージ ヘッダーのユーザ指定フィールドの値がユーザ設定の正規表現と一致しました。詳細については、 match { request | response } header header-field-name { regex-name | class class-name } コマンドを参照してください。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
415009
エラー メッセージ %ASA-5-415009: HTTP - matched matched_string in policy-map map_name , method matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 HTTP メソッドがユーザ設定の正規表現と一致しました。詳細については、 match request method { regex-name | class class-name } コマンドを参照してください。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
415010
エラー メッセージ %ASA-5-415010: matched matched_string in policy-map map_name , transfer encoding matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 transfer encoding フィールドの値がユーザ設定の正規表現またはキーワードと一致しました。詳細については、 match { request | response } header transfer-encoding {{ regex-name | class class-name } | keyword } コマンドを参照してください。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
415011
エラー メッセージ %ASA-5-415011: HTTP - policy-map map_name :Protocol violation connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 HTTP パーサーが、HTTP メッセージの最初の数バイト中に有効な HTTP メッセージを検出できません。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 protocol-violation action { drop | reset } log コマンドを入力して、問題を修正します。
415012
エラー メッセージ %ASA-5-415012: HTTP - matched matched_string in policy-map map_name , Unknown mime-type connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 content-type フィールドに、組み込み MIME タイプと一致する MIME タイプが含まれていませんでした。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 match { request | response } header content-type unknown コマンドを入力して、問題を修正します。
415013
エラー メッセージ %ASA-5-415013: HTTP - policy-map map-name :Malformed chunked encoding connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 チャンク符号化の形式が誤っているために HTTP メッセージを解析できません。また、 protocol-violation コマンドのロギングが設定されています。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 protocol-violation action { drop | reset } log コマンドを入力して、問題を修正します。
415014
エラー メッセージ %ASA-5-415014: HTTP - matched matched_string in policy-map map_name , Mime-type in response wasn't found in the accept-types of the request connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 HTTP 応答の MIME タイプが、要求の accept フィールドに存在していませんでした。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 match req-resp content-type mismatch コマンドを入力して、問題を修正します。
415015
エラー メッセージ %ASA-5-415015: HTTP - matched matched_string in policy-map map_name , transfer-encoding unknown connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num • matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 match { request | response } header transfer-encoding empty コマンドを入力して、問題を修正します。
415016
エラー メッセージ %ASA-4-415016: policy-map map_name :Maximum number of unanswered HTTP requests exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 応答のない HTTP 要求の数が、内部で許可されている要求数を超えました。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 protocol-violation action { drop | reset } log コマンドを入力して、問題を修正します。
415017
エラー メッセージ %ASA-6-415017: HTTP - matched_string in policy-map map_name , arguments matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 引数のパターンがユーザ設定の正規表現またはキーワードと一致しています。詳細については、 match request args regex { regex-name | class class-name } コマンドを参照してください。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
415018
エラー メッセージ %ASA-5-415018: HTTP - matched matched_string in policy-map map_name , Header length exceeded connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num • matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 match { request | response } header length gt num コマンドを入力して、ヘッダー長を短くします。
415019
エラー メッセージ %ASA-5-415019: HTTP - matched matched_string in policy-map map_name , status line matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num説明 応答のステータス行がユーザ設定の正規表現と一致しました。詳細については、 match response status-line regex { regex-name | class class-name } コマンドを参照してください。
• matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
415020
エラー メッセージ %ASA-5-415020: HTTP - matched matched_string in policy-map map_name , a non-ASCII character was matched connection_action from int_type : IP_address / port_num to int_type : IP_address / port_num • matched_string :次のいずれかの一致文字列
- クラス マップ ID とその後に続くクラス マップ名。この文字列は、ユーザ設定のクラス マップの場合に表示されます。
- このメッセージを発生させた実際の match コマンド。この文字列は、クラス マップが内部の場合に表示されます。
• connection_action :接続を破棄またはリセットします
• interface_type :インターフェイス タイプ(たとえば、DMZ または外部)
• IP_address :インターフェイスの IP アドレス
推奨処置 match { request | response } header non-ascii コマンドを入力して、問題を修正します。
416001
エラー メッセージ %ASA-4-416001: Dropped UDP SNMP packet from source_interface : source_IP / source_port to dest_interface : dest_address / dest_port ; version ( prot_version ) is not allowed through the firewall説明 SNMP パケットが、不良パケット フォーマットのため、または prot_version は ASA を通過することを許可されていないために、ASA を通過することを拒否されました。 prot_version パラメータの値は、1、2、2c、または 3 のうちのいずれかです。
推奨処置 snmp-map コマンドを使用して、SNMP 検査の設定を変更します。このコマンドを使用すると、ユーザが特定のプロトコル バージョンを許可または拒否できます。
417001
エラー メッセージ %ASA-4-417001: Unexpected event received: number417004
エラー メッセージ %ASA-4-417004: Filter violation error: conn number ( string : string ) in string417006
エラー メッセージ %ASA-4-417006: No memory for string ) in string . Handling: string418001
エラー メッセージ %ASA-4-418001: Through-the-device packet to/from management-only network is denied: protocol_string from interface_name IP_address (port) [([ idfw_user | FQDN_string ], sg_info )] to interface_name IP_address (port) [( idfw_user | FQDN_string ), sg_info ]説明 指摘された送信元から宛先へのパケットが、ASA と管理専用ネットワークとの間を経由していたために、廃棄されました。
• protocol_string :TCP、UDP、ICMP、または 10 進数のプロトコル ID
419001
エラー メッセージ %ASA-4-419001: Dropping TCP packet from src_ifc : src_IP / src_port to dest_ifc : dest_IP / dest_port , reason : MSS exceeded, MSS size , data size説明 TCP パケットの長さが 3 ウェイ ハンドシェイクでアドバタイズされた MSS を超えました。
推奨処置 MSS を超えるパケットを許可する必要がある場合は、 exceed-mss コマンドを使用して TCP マップを作成します。次に例を示します。
hostname# class-map http
hostname# match access-list http-list
hostname# tcp-map tmap
hostname# exceed-mss allow
hostname# policy-map global_policy
hostname# class http
hostname# set connection advanced-options tmap
419002
エラー メッセージ %ASA-4-419002: Received duplicate TCP SYN from in_interface : src_address / src_port to out_interface : dest_address / dest_port with different initial sequence number.説明 3 ウェイ ハンドシェイク中に、初期接続を開いた SYN とは異なる初期シーケンス番号を持つ重複 TCP SYN を受信しました。これは、SYN がスプーフィングされていることを示している可能性があります。このメッセージは、リリース 7.0.4.1 以降で表示されます。
• src_address :パケットの送信元 IP アドレス
419003
エラー メッセージ %ASA-4-419003: Cleared TCP urgent flag from out_ifc : src_ip / src_port to in_ifc : dest_ip / dest_port .説明 3 ウェイ ハンドシェイク中に、初期接続を開いた SYN とは異なる初期シーケンス番号を持つ重複 TCP SYN を受信しました。これは、SYN がスプーフィングされていることを示している可能性があります。このメッセージは、リリース 7.0.4.1 以降で表示されます。
推奨処置 TCP ヘッダー内の緊急フラグを保持する必要がある場合は、TCP マップ コンフィギュレーション モードで urgent-flag allow コマンドを使用します。
420001
エラー メッセージ %ASA-3-420001: IPS card not up and fail-close mode used, dropping ICMP packet ifc_in : SIP to ifc_out : DIP (type ICMP_TYPE , code ICMP_CODE )説明 IPS フェールクローズ モードが使用されており、IPS カードが動作していない場合に、パケットが廃棄されます。このメッセージは表示が制限されています。
420002
エラー メッセージ %ASA-4-420002: IPS requested to drop ICMP packets ifc_in : SIP to ifc_out : DIP (type ICMP_TYPE , code ICMP_CODE )420003
エラー メッセージ %ASA-4-420003: IPS requested to reset TCP connection from ifc_in : SIP / SPORT to ifc_out : DIP / DPORT420004
エラー メッセージ %ASA-6-420004: Virtual Sensor sensor_name was added on the AIP SSM420005
エラー メッセージ %ASA-6-420005: Virtual Sensor sensor_name was deleted from the AIP SSM420006
エラー メッセージ %ASA-3-420006: Virtual Sensor not present and fail-close mode used, dropping protocol packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT説明 IPS フェールクローズ モードが使用されており、パケット用の仮想センサーが存在しない場合に、パケットが廃棄されます。
420007
エラー メッセージ %ASA-4-420007: application-string cannot be enabled for the module in slot slot_id . The module's current software version does not support this feature. Please upgrade the software on the module in slot slot_id to support this feature. Received backplane header version version_number , required backplane header version version_number or higher.説明 このメッセージは、対応するソフトウェア バージョンが SSM または SSC ハードウェア モジュールに必要な、ASA の新機能によって生成されます。このメッセージは、ASA モジュール マネージャが SSM または SSC ハードウェア モジュールで状態変化を検出するたびに送信されます。
• application-string :アプリケーション名(たとえば、Promiscuous IDS)
• slot_id :モジュール識別子。現在の ASA では 1
• version_number :ASA および IPS アプリケーション間のメッセージ ヘッダーのバージョン番号
推奨処置 指摘されたアプリケーションをサポートする正しいソフトウェア イメージを使用して SSM または SSC のハードウェア モジュールをロードします。
420008
エラー メッセージ %ASA-3-420008: IPS module license disabled and fail-close mode used, dropping packet.説明 IPS モジュール ライセンスがディセーブルの状態でフェールクローズ モードが設定されていると、その IPS モジュールを宛先とするすべてのトラフィックがドロップします。ライセンスのステータスを確認するには、 show activation-key コマンドを使用します。
推奨処置 activation-key コマンドを使用して、IPS ライセンスがイネーブルになっているアクティベーション キーを適用します。
421001
エラー メッセージ %ASA-3-421001: TCP|UDP flow from interface_name : IP_address/port to interface_name : IP_address / port is dropped because application has failed.説明 CSC SSM アプリケーションに障害が発生したため、パケットが廃棄されました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。
421002
エラー メッセージ %ASA-6-421002: TCP|UDP flow from interface_name : IP_address / port to interface_name : IP_address / port bypassed application checking because the protocol is not supported.説明 接続に使用されているプロトコルをサービス モジュールがスキャンできないため、接続はサービス モジュールのセキュリティ チェックをバイパスしました。たとえば、CSC SSM は Telnet トラフィックをスキャンできません。ユーザが Telnet トラフィックのスキャンを設定した場合、トラフィックはスキャン サービスをバイパスします。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。
• interface_name :ポリシーが適用されているインターフェイスの名前
• application :CSC SSM(現在のリリースでサポートされているのはこのアプリケーションだけです)
推奨処置 サービス モジュールがサポートしているプロトコルだけを含めるように、コンフィギュレーションを修正する必要があります。
421003
エラー メッセージ %ASA-3-421003: Invalid data plane encapsulation.説明 サービス モジュールによって投入されたパケットが、正しいデータ プレーン ヘッダーを持っていませんでした。データ バックプレーンで交換されるパケットは、ASDP と呼ばれるシスコ独自のプロトコルに準拠しています。適切な ASDP ヘッダーを持たないパケットは、すべて廃棄されます。
推奨処置 capture name type asp-drop [ ssm-asdp-invalid-encap ] コマンドを使用して攻撃パケットを取り込み、Cisco TAC にお問い合わせください。
421004
エラー メッセージ %ASA-7-421004: Failed to inject {TCP|UDP} packet from IP_address / port to IP_address / port説明 ASA がサービス モジュールの指示どおりにパケットを投入できませんでした。これは、ASA がすでに解放されているフローにパケットを挿入しようとした場合や、ASA がサービス モジュールとは独立して接続テーブルを維持している場合に発生する可能性があります。通常は、これによって問題が生じることはありません。
推奨処置 ASA のパフォーマンスに影響を及ぼす場合、または問題が解決しない場合は、Cisco TAC にお問い合わせください。
421005
エラー メッセージ %ASA-6-421005: interface_name : IP_address is counted as a user of application説明 ホストがライセンス制限の対象と見なされています。指摘されたホストが、 application のユーザと見なされました。ライセンス検証のために、24 時間のユーザの総数が午前 0 時に計算されます。
推奨処置 不要です。ただし、全体の数が、購入したユーザ ライセンスを超える場合は、Cisco TAC に連絡してライセンスをアップグレードしてください。
421006
エラー メッセージ %ASA-6-421006: There are number users of application accounted during the past 24 hours.説明 過去 24 時間にアプリケーションを使用したユーザの総数が認識されました。このメッセージは 24 時間ごとに生成され、サービス モジュールによって提供されたサービスを使用したホストの総数を示します。
推奨処置 不要です。ただし、全体の数が、購入したユーザ ライセンスを超える場合は、Cisco TAC に連絡してライセンスをアップグレードしてください。
421007
エラー メッセージ %ASA-3-421007: TCP|UDP flow from interface_name : IP_address / port to interface_name : IP_address / port is skipped because application has failed.説明 サービス モジュールのアプリケーションに障害が発生したためにフローがスキップされました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。
422004
エラー メッセージ %ASA-4-422004: IP SLA Monitor number0 : Duplicate event received. Event number number1説明 IP SLA モニタ プロセスが、重複したイベントを受信しました。現在、このメッセージは破棄イベントに適用されます。1 つの破棄要求だけが適用されます。これは警告専用メッセージです。
推奨処置 このメッセージが繰り返し表示される場合は、 show sla monitor configuration SLA_operation_id コマンドを入力して、コマンドの出力をコピーします。コンソールまたはシステム ログに表示されるメッセージをそのままコピーします。その後 Cisco TAC にお問い合わせのうえ、収集した情報と、SLA プローブを設定およびポーリングしているアプリケーションに関する情報を TAC の担当者にご提供ください。
422005
エラー メッセージ %ASA-4-422005: IP SLA Monitor Probe(s) could not be scheduled because clock is not set.説明 システム クロックが設定されていなかったため、1 つまたは複数の IP SLA モニタ プローブをスケジュールできません。
422006
エラー メッセージ %ASA-4-422006: IP SLA Monitor Probe number : string説明 IP SLA モニタ プローブをスケジュールできません。設定された開始時刻がすでに過ぎてしまっているか、開始時刻が無効です。
423001
エラー メッセージ %ASA-4-423001: {Allowed | Dropped} invalid NBNS pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .説明 NetBIOS Name Server(NBNS; NetBIOS ネーム サーバ)パケットの形式が誤っています。
423002
エラー メッセージ %ASA-4-423002: {Allowed | Dropped} mismatched NBNS pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .423003
エラー メッセージ %ASA-4-423003: {Allowed | Dropped} invalid NBDGM pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .423004
エラー メッセージ %ASA-4-423004: {Allowed | Dropped} mismatched NBDGM pkt_type_name with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .423005
エラー メッセージ %ASA-4-423005: {Allowed | Dropped} NBDGM pkt_type_name fragment with error_reason_str from ifc_name : ip_address / port to ifc_name : ip_address / port .424001
エラー メッセージ %ASA-4-424001: Packet denied protocol_string intf_in : src_ip / src_port [([ idfw_user | FQDN_string ], sg_info )] intf_out : dst_ip / dst_port [([ idfw_user | FQDN_string ], sg_info )]. [Ingress|Egress] interface is in a backup state.説明 パケットが、ASA と冗長インターフェイスとの間を経由しているために、廃棄されました。ローエンド プラットフォームでは、インターフェイス機能が制限されます。 backup interface コマンドで指定されているインターフェイスは、設定されているプライマリ インターフェイスのバックアップになることしかできません。プライマリ インターフェイスへのデフォルト ルートがアップしている場合は、バックアップ インターフェイスからの ASA 経由トラフィックはすべて拒否されます。逆に、プライマリ インターフェイスへのデフォルト ルートがダウンしている場合は、プライマリ インターフェイスからの ASA 経由トラフィックが拒否されます。
• protocol_string :プロトコル文字列(たとえば、TCP または 10 進数のプロトコル ID)
424002
エラー メッセージ %ASA-4-424002: Connection to the backup interface is denied: protocol_string intf : src_ip / src_port intf : dst_ip / dst_port説明 接続がバックアップ状態であったために、その接続が廃棄されました。ローエンド プラットフォームでは、インターフェイス機能が制限されます。バックアップ インターフェイスは、 backup interface コマンドで指定されているプライマリ インターフェイスのバックアップになることしかできません。プライマリ インターフェイスへのデフォルト ルートがアップしている場合は、バックアップ インターフェイス経由の ASA への接続はすべて拒否されます。逆に、プライマリ インターフェイスへのデフォルト ルートがダウンしている場合は、プライマリ インターフェイス経由の ASA への接続が拒否されます。
425001
エラー メッセージ %ASA-6-425001 Redundant interface redundant _ interface_name created.説明 指摘された冗長インターフェイスがコンフィギュレーションに作成されました。
425002
エラー メッセージ %ASA-6-425002 Redundant interface redundant _ interface_name removed.説明 指摘された冗長インターフェイスがコンフィギュレーションから削除されました。
425003
エラー メッセージ %ASA-6-425003 Interface interface_name added into redundant interface redundant _ interface_name .説明 指摘された物理インターフェイスがメンバー インターフェイスとして、指摘された冗長インターフェイスに追加されました。
425004
エラー メッセージ %ASA-6-425004 Interface interface_name removed from redundant interface redundant _ interface_name .説明 指摘された冗長インターフェイスが、指摘された冗長インターフェイスから削除されました。
425005
エラー メッセージ %ASA-5-425005 Interface interface_name become active in redundant interface redundant _ interface_name説明 冗長インターフェイスでは、1 つのメンバー インターフェイスがアクティブなメンバーとなります。トラフィックは、アクティブなメンバー インターフェイスだけを通過します。指摘された物理インターフェイスが、指摘された冗長インターフェイスのアクティブなメンバーになりました。次のいずれかが当てはまる場合、メンバー インターフェイスの切り替えが行われます。
– redundant-interface interface-name active-member interface-name コマンドが実行された。
– スタンバイ メンバー インターフェイスがアップ状態であるときに、アクティブなメンバー インターフェイスがダウンした。
– アクティブなメンバー インターフェイスがダウン状態のままであるときに、スタンバイ メンバー インターフェイスが(ダウンから)アップ状態になった。
425006
エラー メッセージ %ASA-3-425006 Redundant interface redundant _ interface_name switch active member to interface_name failed.説明 メンバー インターフェイスの切り替えが試行されたときにエラーが発生しました。
426001
エラー メッセージ %ASA-6-426001: PORT-CHANNEL:Interface ifc_name bundled into EtherChannel interface Port-channel num説明 interface port-channel num または channel-group num mode mode コマンドが存在しないポート チャネルに対して使用されました。
426002
エラー メッセージ %ASA-6-426002: PORT-CHANNEL:Interface ifc_name unbundled from EtherChannel interface Port-channel num説明 no interface port-channel num コマンドが使用されました。
426003
エラー メッセージ %ASA-6-426003: PORT-CHANNEL:Interface ifc_name1 has become standby in EtherChannel interface Port-channel num説明 channel-group num mode mode コマンドが使用されました。
426004
エラー メッセージ %ASA-4-426004: PORT-CHANNEL: Interface ifc_name1 is not compatible with ifc_name and will be suspended (speed of ifc_name1 is X Mbps, Y is 1000 Mbps). エラー メッセージ %ASA-4-426004: Interface ifc_name1 is not compatible with ifc_name1 and will be suspended ( ifc_name1 is Full-duplex, ifc_name1 is Half-duplex)説明 channel-group num mode mode のコマンドが物理インターフェイスに対して実行され、この物理インターフェイスとポート チャネルの速度またはデュプレックスに不一致があります。
• ifc_name :ポート チャネルに追加しようとしているインターフェイス
• ifc name1 :ポート チャネル中にすでに存在しバンドル状態になっているインターフェイス
• 物理インターフェイスの速度をポート チャネルの速度に変更し、 channel-group num mode mode コマンドを再実行します。
• メンバー インターフェイスを中断状態のままにします。最後のアクティブ メンバを削除すると、そのメンバは中断されたメンバ上で LACP を再確立しようとします。
426101
エラー メッセージ %ASA-6-426101: PORT-CHANNEL:Interface ifc_name is allowed to bundle into EtherChannel interface port-channel id by CLACP426102
エラー メッセージ %ASA-6-426102: PORT-CHANNEL:Interface ifc_name is moved to standby in EtherChannel interface port-channel id by CLACP426103
エラー メッセージ %ASA-6-426103: PORT-CHANNEL:Interface ifc_name is selected to move from standby to bundle in EtherChannel interface port-channel id by CLACP説明 スタンバイ ポートが span-cluster チャネル グループでバンドル状態への移行対象として選択されました。
426104
エラー メッセージ %ASA-6-426104: PORT-CHANNEL:Interface ifc_name is unselected in EtherChannel interface port-channel id by CLACP説明 他のポートをバンドルするための領域を取得するために、バンドル ポートが span-cluster チャネル グループでバンドル解除されました。
428002
エラー メッセージ %ASA-6-428002: WAAS confirmed from in_interface : src_ip_addr/src_port to out_interface : dest_ip_addr/dest_port , inspection services bypassed on this connection.説明 接続で WAAS 最適化が検出されました。WAAS 最適化接続では、すべてのレイヤ 7 検査サービス(IPS を含む)がバイパスされます。
推奨処置 ネットワークに WAE デバイスが含まれている場合、処置は不要です。それ以外の場合、ネットワーク管理者は、この接続での WAAS オプションの使用を調査する必要があります。
429001
エラー メッセージ %ASA-3-429001: CXSC card not up and fail-close mode used. Dropping protocol packet from interface_name : ip_address / port to interface_name : ip_address / port説明 SSP がダウンしている状態で、fail-close ポリシーが適用されているため、データが廃棄されました。
推奨処置 サービス モジュールの状態を検査し、必要があれば Cisco TAC に問い合わせてサポートを受けてください。
429002
エラー メッセージ %ASA-4-429002: CXSC service card requested to drop protocol packet from interface_name : ip_address / port to interface_name : ip_address / port429003
エラー メッセージ %ASA-4-429003: CXSC service card requested to reset TCP connection from interface_name : ip_addr / port to interface_name : ip_addr / port429004
エラー メッセージ %ASA-3-429004: Unable to set up authentication-proxy rule for the cx action on interface interface_name for policy_type service-policy.説明 メモリ不足などの内部エラーが原因で、ASA は認証プロキシの to-the-box ルールを CXSC アクションに設定できませんでした。
429005
エラー メッセージ %ASA-6-429005: Set up authentication-proxy protocol_type rule for the CXSC action on interface interface_name for traffic destined to ip_address / port for policy_type service-policy.429006
エラー メッセージ %ASA-6-429006: Cleaned up authentication-proxy rule for the CXSC action on interface interface_name for traffic destined to ip_address for policy_type service-policy.429007
エラー メッセージ %ASA-4-429007: CXSC redirect will override Scansafe redirect for flow from interface_name : ip_address / port to interface_name : ip_address / port with username説明 フローが CXSC と Scansafe の両方のリダイレクトに一致します。このメッセージは表示されるフローで CXSC リダイレクトが Scansafe リダイレクトをオーバーライドすることを示します。
推奨処置 このような動作を望まない場合は、ポリシーを再設定して、CXSC リダイレクトと Scansafe リダイレクトが同じフローで重複しないようにします。
429008
エラー メッセージ %ASA-4-429008: Unable to respond to VPN query from CX for session 0x%x . Reason %s説明 CX は VPN セッション クエリを ASA に送信しましたが、無効なセッション ID または別の理由により応答しませんでした。妥当な原因には次のいずれかが考えられます。
431001
エラー メッセージ %ASA-4-431001: RTP conformance: Dropping RTP packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , Drop reason: drop_reason value- Incorrect version value :パケットのバージョン番号が誤っている。
- Invalid payload-type value :パケットのペイロード タイプが無効である。
- Incorrect SSRC value :パケットの SSRC が誤っている。
- Out-of-range sequence number value sequence number from the packet.
- Out of sequence in packet in probation value sequence number from the packet.
推奨処置 廃棄された RTP パケットを調べて、RTP 送信元が誤って設定しているフィールドを確認します。また、送信元を調べて、送信元が正当であり、ASAの隙を突こうとしている攻撃者でないことを確認します。
431002
エラー メッセージ %ASA-4-431002: RTCP conformance: Dropping RTCP packet from in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , Drop reason: drop_reason value- Incorrect version value :パケットのバージョン番号が誤っている。
- Invalid payload-type value :パケットのペイロード タイプが誤っている。
推奨処置 廃棄された RTP パケットを調べて、RTP 送信元が誤って設定しているフィールドを確認します。また、送信元を調べて、送信元が正当であり、ASAの隙を突こうとしている攻撃者でないことを確認します。
444004
エラー メッセージ %ASA-2-444004: Temporary license key key has expired. Applying permanent license key permkey説明 インストールされている一時ライセンスの有効期限が切れました。このライセンスで提供されている機能は今後使用できません。
444005
エラー メッセージ %ASA-4-444005: Timebased activation key activation - key will expire in num days説明 このメッセージは 24 時間ごとに生成され、一時ライセンスが指摘された日数で期限切れになることを示します。有効期限を過ぎると、このライセンスで提供されている機能は使用できなくなります。
• activation-key :一時アクティベーション キー
推奨処置 残り時間が 30 日未満の場合、一時ライセンスの有効期限が切れる前に別の時間ベース アクティベーション キーを購入する必要があります。
444007
エラー メッセージ %ASA-2-444007: Timebased activation key activation - key has expired. Reverting to [permanent | timebased] license key. The following features will be affected: feature , feature説明 時間ベース アクティベーション キーの期限が切れました。このライセンスで提供されている指摘された機能は今後使用できません。
• activation-key :一時アクティベーション キー
• feature :影響するライセンスを取得した機能の名前
推奨処置 指摘された機能のサービスの中断を避けるために、別の時間ベース アクティベーション キーをできるだけ早く購入する必要があります。
444100
エラー メッセージ %ASA-5-444100: Shared request request failed. Reason: reason説明 共有ライセンスのクライアント要求がサーバによって正常に送信または処理されませんでした。
444101
エラー メッセージ %ASA-5-444101: Shared license service is active. License server address: address444102
エラー メッセージ %ASA-2-444102: Shared license service inactive. License server is not responding.説明 共有ライセンス サーバからの応答がなかったため、ライセンス サーバは非アクティブでした。ASA を共有ライセンス サーバに登録できませんでした。
444103
エラー メッセージ %ASA-6-444103: Shared licensetype license usage is over 90% capacity.説明 ネットワーク上の共有ライセンスの使用率が 90 % を超えています。
444104
エラー メッセージ %ASA-6-444104: Shared licensetype license availability: value .説明 ネットワーク上の共有ライセンスを利用できるかどうかを示します。
444105
エラー メッセージ %ASA-2-444105: Released value shared licensetype license(s). License server has been unreachable for 24 hours.説明 共有ライセンス サーバに 24 時間到達できなくなり、ASA によって取得されたすべての共有ライセンスが解放されました。ASA をライセンス サーバに登録できませんでした。
• licensetype :AnyConnect Premium
推奨処置 ライセンス サーバに接続できること、およびライセンス サーバ上のコンフィギュレーションが変更されていないことを確認します。
444106
エラー メッセージ %ASA-4-444106: Shared license backup server address is not available.説明 共有ライセンス バックアップ サーバに到達できません。ライセンス サーバ情報がバックアップ デバイスと同期していません。
444107
エラー メッセージ %ASA-6-444107: Shared license service status on interface ifname .説明 指摘されたインターフェイスで共有ライセンス サービスがイネーブルまたはディセーブルになっています。
444108
エラー メッセージ %ASA-6-444108: Shared license state client id id .説明 マルチサイト ライセンスのクライアント ID がサーバに登録されているか、または有効期限が切れています。
444109
エラー メッセージ %ASA-4-444109: Shared license backup server role changed to state .説明 共有バックアップ ライセンス サーバの役割が変更されました。
444110
エラー メッセージ %ASA-4-444110: Shared license server backup has days remaining as active license server.説明 共有バックアップ ライセンス サーバの役割はアクティブであり、指摘された日数、その役割が続きます。ASA はライセンス サーバへの登録に失敗し、プライマリ ライセンス サーバにすぐに登録する必要があります。
444111
エラー メッセージ %ASA-2-444111: Shared license backup service has been terminated due to the primary license server address being unavailable for more than days days. The license server needs to be brought back online to continue using shared licensing.説明 共有バックアップ ライセンス サーバのアクティブ期間が過ぎました。共有ライセンス サービスを続行するためには、プライマリ サーバをオンラインにする必要があります。
• address :ライセンス サーバの IPv4 または IPv6 アドレス
446001
エラー メッセージ %ASA-4-446001: Maximum TLS Proxy session limit of max_sess reached.説明 TLS プロキシの設定済み最大セッション制限に達しました。制限を超える新しいセッションは拒否されました。
推奨処置 より多くの TLS セッションが必要な場合は、 tls-proxy maximum-sessions max_sess コマンドを使用して、制限値を大きくします。または、 tls-proxy proxy_name コマンドと tls-proxy maximum-sessions max_sess コマンドを使用し、その後リブートしてコマンドを有効にすることもできます。
446003
エラー メッセージ %ASA-4-446003: Denied TLS Proxy session from src_int : src_ip / src_port to dst_int : dst_ip / dst_port , UC-IME license is disabled.説明 UC-IME ライセンスがオンまたはオフです。UC-IME は、いったんイネーブルにすると、ASA の制限および K8 エクスポート制限に従って、使用可能な TLS セッションをいくつでも使用できます。
• src_int :送信元インターフェイス名(inside または outside)
447001
エラー メッセージ %ASA-4-447001: ASP DP to CP queue_name was full. Queue length length , limit limit説明 このメッセージは、Control Point(CP; コントロール ポイント)イベント キューへの特定の Data Path(DP; データ パス)がいっぱいになり、1 つまたは複数のエンキュー アクションが失敗したことを示します。イベントに CP アプリケーション インスペクション用などのパケット ブロックが含まれる場合、パケットは DP によって廃棄され、 show asp drop コマンドからのカウンタが増加します。イベントが CP へのパント用の場合、Punt no memory ASP 廃棄カウンタが標準カウンタとして使用されます。
推奨処置 キューがいっぱいの状態は、CP に対する負荷が CP 処理能力を超えていることを示します。これは、一時的な状態の場合もあれば、そうでない場合もあります。このメッセージが繰り返し表示される場合は、CP に対する機能負荷を軽減することを検討してください。 show asp event dp-cp コマンドを使用して、イベント キューの負荷に最も影響を及ぼしている機能を特定できます。
448001
エラー メッセージ %ASA-4-448001: Denied SRTP crypto session setup on flow from src_int : src_ip / src_port to dst_int : dst_ip / dst_port , licensed K8 SRTP crypto session of limit exceeded説明 K8 プラットフォームでは、250 個の SRTP 暗号化セッションの制限が適用されます。SRTP の暗号化または復号化セッションのペアは、1 個の SRTP 暗号化セッションとしてカウントされます。コールがこの制限に対してカウントされるのは、メディアで暗号化または復号化が必要な場合のみです。つまり、コールに対してパススルーが設定されている場合、両方のレッグが SRTP を使用する場合でも、この制限に対してカウントされません。
• src_int :送信元インターフェイス名(inside または outside)
• dst_int :宛先インターフェイス名(inside または outside)
• limit :SRTP 暗号化セッション(250)の K8 制限
(注) K8 ライセンス制限は、UC と UC-IME の両方のコールに適用されます。
推奨処置 不要です。既存の SRTP 暗号化セッションが解放された場合のみ新しい SRTP 暗号化セッションを設定できます。
450001
エラー メッセージ ASA-4-450001: Deny traffic for protocol protocol_id src interface_name : IP_address / port dst interface_name : IP_address / port , licensed host limit of num exceeded.説明 ライセンスされているホスト制限を超えました。このメッセージは、ASA 5505 のASAにだけ適用されます。
• interface_name :パケットの送信側または受信側に関連付けられているインターフェイス
メッセージ 500001 ~ 509001
この項では、500001 から 509001 までのメッセージについて説明します。
500001
エラー メッセージ %ASA-5-500001: ActiveX content modified src IP_address dest IP_address on interface interface_name .説明 filter コマンドを使用して activex オプションをオンにした後、ASA が ActiveX オブジェクトを検出しました。activex オプションを使用すると、ASAでは、ActiveX オブジェクトを修正し、ActiveX コンテンツをフィルタリングして除外します。このため、ActiveX オブジェクトは HTML オブジェクトとしてタグ付けされなくなります。
500002
エラー メッセージ %ASA-5-500002: Java content modified src IP_address dest IP_address on interface interface_name .説明 filter コマンドを使用して java オプションをオンにした後、ASA が Java アプレットを検出しました。java オプションを使用すると、ASAでは、Java アプレットを修正し、Java コンテンツをフィルタリングして除外します。このため、Java アプレットは HTML オブジェクトとしてタグ付けされなくなります。
500003
エラー メッセージ %ASA-5-500003: Bad TCP hdr length (hdrlen= bytes , pktlen= bytes ) from source_address / source_port to dest_address / dest_port , flags: tcp_flags , on interface interface_name説明 TCP 内のヘッダー長に誤りがありました。一部のオペレーティング システムは、ディセーブル状態のソケットへの接続要求に応答するときに、TCP リセット(RST)を正しく処理しません。クライアントがASAの外側にある FTP サーバに接続しようとしたときに、FTP サーバがリスニングしていない場合、FTP サーバは RST を送信します。一部のオペレーティング システムは誤った TCP ヘッダー長を送信します。このために、問題が発生します。UDP は、ICMP ポート到達不能メッセージを使用します。
TCP ヘッダー長は、パケット長よりも長いことを示す場合があります。このために、負のバイト数が転送されます。負の数値は、メッセージでは符号なし数値として表示されます。このために、正常の場合よりも非常に大きな値が表示されます。たとえば、1 秒に 4 GB 転送されたことを示す場合があります。このメッセージは、まれに発生します。
500004
エラー メッセージ %ASA-4-500004: Invalid transport field for protocol= protocol , from source_address / source_port to dest_address / dest_port説明 無効なトランスポート番号が使用されました。この場合、プロトコルの送信元または宛先のポート番号はゼロです。 protocol 値は、TCP の場合は 6、UDP の場合は 17 です。
500005
エラー メッセージ %ASA-3-500005: connection terminated for protocol from in_ifc_name : src_adddress / src_port to out_ifc_name : dest_address / dest_port due to invalid combination of inspections on same flow. Inspect inspect_name is not compatible with filter filter_name .説明 接続が 1 つまたは複数の検査と一致したか、または同じ接続には適用できない 1 つまたは複数のフィルタ機能と一致しました(あるいはその両方と一致しました)。
推奨処置 接続に対して一致する、対象の検査またはフィルタ機能(あるいはその両方)の要因となる class-map 、 policy-map 、 service-policy 、または filter コマンドの組み合わせのコンフィギュレーションを確認します。接続に対する検査およびフィルタ機能の組み合わせの規則は次のとおりです。
– inspect http [http-policy-map] 、 filter url 、 filter java 、または filter activex コマンドの任意の組み合わせは有効です。
– inspect ftp [ftp-policy-map] または filter ftp コマンド、あるいはその組み合わせは有効です。
– filter https コマンドと他の inspect コマンドまたは filter コマンドの組み合わせは無効です。
501101
エラー メッセージ %ASA-5-501101: User transitioning priv level502101
エラー メッセージ %ASA-5-502101: New user added to local dbase: Uname: user Priv: privilege_level Encpass: string502102
エラー メッセージ %ASA-5-502102: User deleted from local dbase: Uname: user Priv: privilege_level Encpass: string502103
エラー メッセージ %ASA-5-502103: User priv level changed: Uname: user From: privilege_level To: privilege_level502111
エラー メッセージ %ASA-5-502111: New group policy added: name: policy_name Type: policy_type説明 group-policy CLI コマンドを使用してグループ ポリシーが設定されました。
502112
エラー メッセージ %ASA-5-502112: Group policy deleted: name: policy_name Type: policy_type説明 group-policy CLI コマンドを使用してグループ ポリシーが削除されました。
503001
エラー メッセージ %ASA-5-503001: Process number, Nbr IP_address on interface_name from string to string , reason説明 OSPFv2 ネイバーの状態が変化しました。このメッセージには、変更およびその理由が記述されています。このメッセージは、OSPF プロセスに対して log-adjacency-changes コマンドが設定されている場合にだけ表示されます。
503101
エラー メッセージ %ASA-5-503101: Process d , Nbr i on s from s to s , s説明 OSPFv3 ネイバーの状態が変化しました。このメッセージには、変更およびその理由が記述されています。このメッセージは、OSPF プロセスに対して log-adjacency-changes コマンドが設定されている場合にだけ表示されます。
504001
エラー メッセージ %ASA-5-504001: Security context context_name was added to the system504002
エラー メッセージ %ASA-5-504002: Security context context_name was removed from the system505001
エラー メッセージ %ASA-5-505001: Module string one is shutting down. Please wait...505002
エラー メッセージ %ASA-5-505002: Module ips is reloading. Please wait...505003
エラー メッセージ %ASA-5-505003: Module string one is resetting. Please wait...505004
エラー メッセージ %ASA-5-505004: Module string one shutdown is complete.505005
エラー メッセージ %ASA-5-505005: Module ips is initializing control communication. Please wait...505006
エラー メッセージ %ASA-5-505006: Module string one is Up.505007
エラー メッセージ %ASA-5-505007: Module module_id is recovering. Please wait... エラー メッセージ %ASA-5-505007: Module prod_id in slot slot_num is recovering. Please wait...説明 sw-module module service-module-name recover boot コマンドを使用してソフトウェア モジュールを回復中であるか、 hw-module module slotnum recover boot コマンドを使用してハードウェア モジュールを回復中です。
• module_id :ソフトウェア サービス モジュールの名前。
• slot_num :ハードウェア サービス モジュールが搭載されているスロット。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。
505008
エラー メッセージ %ASA-5-505008: Module module_id software is being updated to newver (currently ver ) エラー メッセージ %ASA-5-505008: Module module_id in slot slot_num software is being updated to newver (currently ver )説明 サービス モジュール ソフトウェアのアップグレード中です。アップデートは正常に進行中です。
• module_id :ソフトウェア サービス モジュールの名前
• slot_num :ハードウェア サービス モジュールが搭載されているスロット番号
• newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。
505009
エラー メッセージ %ASA-5-505009: Module string one software was updated to newver説明 4GE SSM モジュール ソフトウェアが正常にアップグレードされました。
• newver :モジュールへの書き込みが正常に終了しなかったソフトウェアの新しいバージョン番号(1.0(1)0 など)。
505010
エラー メッセージ %ASA-5-505010: Module in slot slot removed.505011
エラー メッセージ %ASA-1-505011: Module ips , data channel communication is UP.505012
エラー メッセージ %ASA-5-505012: Module module_id , application stopped application , version version エラー メッセージ %ASA-5-505012: Module prod_id in slot slot_num , application stopped application , version version説明 アプリケーションが停止するか、サービス モジュールから削除されました。これは、サービス モジュールがアプリケーションをアップグレードした場合、あるいはサービス モジュール上のアプリケーションが停止またはアンインストールされた場合に発生する可能性があります。
• module_id :ソフトウェア サービス モジュールの名前
• prod_id :ハードウェア サービス モジュールに搭載されているデバイスの製品 ID 文字列
• application :停止したアプリケーションの名前
推奨処置 4GE SSM でアップグレードが行われていなかった場合、あるいはアプリケーションの停止やアンインストールが意図的なものではなかった場合は、4GE SSM のログを調べて、アプリケーションが停止した原因を確認します。
505013
エラー メッセージ %ASA-5-505013: Module module_id application changed from: application version version to: newapplication version newversion . エラー メッセージ %ASA-5-505013: Module prod_id in slot slot_nunm application changed from: application version version to: newapplication version newversion .説明 アップグレード後などにアプリケーションのバージョンが変わりました。サービス モジュール上のアプリケーションのソフトウェア アップデートが完了しました。
• module_id :ソフトウェア サービス モジュールの名前
• application :アップグレードされたアプリケーションの名前
• version :アップグレードされたアプリケーションのバージョン
• prod_id :ハードウェア サービス モジュールに搭載されているデバイスの製品 ID 文字列
• slot_num :アプリケーションがアップグレードされたスロット
• application :アップグレードされたアプリケーションの名前
• version :アップグレードされたアプリケーションのバージョン
• newapplication :新しいアプリケーションの名前
505014
エラー メッセージ %ASA-1-505014: Module module_id , application down name , version version reason エラー メッセージ %ASA-1-505014: Module prod_id in slot slot_num , application down name , version version reason説明 モジュール上で動作するアプリケーションがディセーブルになっています。
• module_id :ソフトウェア サービス モジュールの名前
• prod_id :ハードウェア サービス モジュールに搭載されているデバイスの製品 ID 文字列
• slot_num :アプリケーションがディセーブルにされたスロット。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。
• application :アップグレードされたアプリケーションの名前。
505015
エラー メッセージ %ASA-1-505015: Module module_id , application up application , version version エラー メッセージ %ASA-1-505015: Module prod_id in slot slot_num , application up application , version version説明 スロット slot_num の SSM 上のアプリケーションがアップして、動作しています。
• module_id :ソフトウェア サービス モジュールの名前
• prod_id :ハードウェア サービス モジュールに搭載されているデバイスの製品 ID 文字列
• slot_num :アプリケーションが動作しているスロット。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。
• application :アプリケーションの名前(文字列)。
505016
エラー メッセージ %ASA-3-505016: Module module_id application changed from: name version version state state to: name version state state . エラー メッセージ %ASA-3-505016: Module prod_id in slot slot_num application changed from: name version version state state to: name version state state .説明 アプリケーションのバージョンまたは名前の変更が検出されました。
• module_id :ソフトウェア サービス モジュールの名前
• prod_id :ハードウェア サービス モジュールに搭載されているデバイスの製品 ID 文字列
• slot_num :アプリケーションが変更されたスロット。スロット 0 はシステムのメイン ボードを示し、スロット 1 は拡張スロットに設置されているモジュールを示します。
• version :アプリケーションのバージョン(文字列)。
506001
エラー メッセージ %ASA-5-506001: event_source_string event_string説明 ファイル システムのステータスが変更されました。ファイル システムを利用可能または利用不可にしたイベントおよびイベントのソースが表示されます。ファイル システムのステータスを変更させるソースおよびイベントの例には、次のものがあります。
507001
エラー メッセージ %ASA-5-507001: Terminating TCP-Proxy connection from interface_inside:source_address/source_port to interface_outside : dest_address / dest_port - reassembly limit of limit bytes exceeded説明 TCP セグメントの再構築中にアセンブリバッファ制限を超過しました。
• source_address/source_port :接続を開始しているパケットの送信元 IP アドレスと送信元ポート
• dest_address/dest_port :接続を開始しているパケットの宛先 IP アドレスと宛先ポート
• interface_inside :接続を開始したパケットが到着するインターフェイスの名前
• interface_outside :接続を開始したパケットを外部に送信するインターフェイスの名前
507002
エラー メッセージ %ASA-4-507002: Data copy in proxy-mode exceeded the buffer limit507003
エラー メッセージ %ASA-3-507003: The flow of type protocol from the originating interface: src_ip / src_port to dest_if : dest_ip / dest_port terminated by inspection engine, reason-説明 TCP プロキシまたはセッション API が、メッセージで示されるさまざまな理由で接続を終了しました。
• reason :フローがインスペクション エンジンによって終了された原因の説明。有効な原因は次のとおりです。
508001
エラー メッセージ %ASA-5-508001: DCERPC message_type non-standard version_type version version_number from src_if : src_ip / src_port to dest_if : dest_ip / dest_port , terminating connection.説明 DCERPC 検査中に、メッセージ ヘッダーに非標準のメジャー バージョンまたはマイナー バージョンが含まれていました。
• message_type :DCERPC メッセージ タイプ
• version_type :バージョンのタイプ。major または minor
508002
エラー メッセージ %ASA-5-508002: DCERPC response has low endpoint port port_number from src_if : src_ip / src_port to dest_if : dest_ip / dest_port , terminating connection.説明 DCERPC 検査中に、応答メッセージに 1024(周知のサーバ ポートの範囲内)より小さなエンドポイント ポート番号が含まれていました。
509001
エラー メッセージ %ASA-5-509001: Connection attempt from src_intf : src_ip / src_port [([ idfw_user | FQDN_string ], sg_info )] to dst_intf : dst_ip / dst_port [([ idfw_user | FQDN_string ], sg_info )] was prevented by "no forward" command.説明 このメッセージで指摘された送信元インターフェイスから宛先インターフェイスへのトラフィックをブロックするために、 no forward interface コマンドが入力されました。このコマンドは、ライセンス制限を超えたインターフェイスの作成を可能にするためにローエンド プラットフォームで必要となります。
• src_intf : no forward interface コマンドの制限が適用される送信元インターフェイス名
• dst_intf : no forward interface コマンドの制限が適用される宛先インターフェイス名
• sg_info :指定した IP アドレスのセキュリティ グループ名またはタグ
推奨処置 このコマンドをローエンド プラットフォームで使用しなくて済むようにライセンスをアップグレードし、このコマンドをコンフィギュレーションから削除します。
メッセージ 602101 ~ 634001
この項では、602101 から 634001 までのメッセージについて説明します。
602101
エラー メッセージ %ASA-6-602101: PMTU-D packet number bytes greater than effective mtu number dest_addr= dest_address , src_addr= source_address , prot= protocol説明 ASA は、ICMP 宛先到達不能メッセージを送信し、フラグメント化が必要ですが、「フラグメント化なし」ビットが設定されています。
602103
エラー メッセージ %ASA-6-602103: IPSEC: Received an ICMP Destination Unreachable from src_addr with suggested PMTU of rcvd_mtu; PMTU updated for SA with peer peer_addr, SPI spi, tunnel name username, old PMTU old_mtu, new PMTU new_mtu.説明 SA の MTU が変更されました。IPSec トンネル用のパケットを受信すると、対応する SA が特定され、ICMP パケットで推奨されている MTU に基づいて MTU がアップデートされます。推奨された MTU が 0 より大きく 256 未満の場合、新規 MTU は 256 に設定されます。推奨された MTU が 0 の場合、前の MTU から 256 を引いた値または 256 のどちらか大きい値に設定されます。推奨された MTU が 256 より大きい場合、新規 MTU は推奨された値に設定されます。
• rcvd_mtu:PMTU メッセージで受信した推奨 MTU
• spi:IPSec のセキュリティ パラメータ インデックス
• username:IPSec トンネルに関連付けられているユーザ名
• old_mtu:IPSec トンネルに関連付けられている前の MTU
602104
エラー メッセージ %ASA-6-602104: IPSEC: Received an ICMP Destination Unreachable from src_addr , PMTU is unchanged because suggested PMTU of rcvd_mtu is equal to or greater than the current PMTU of curr_mtu , for SA with peer peer_addr , SPI spi , tunnel name username .説明 IPSec トンネル経由で送信されたパケットがパス MTU を超えたことを示す ICMP メッセージを受信し、推奨 MTU が現行 MTU 以上でした。MTU 値はすでに訂正されているので、MTU の調整は行われません。これは、さまざまな中間ステーションから複数の PMTU メッセージが受信され、現在の PMTU メッセージが処理される前に MTU が調整された場合に発生します。
• rcvd_mtu :PMTU メッセージで受信した推奨 MTU
• curr_mtu :IPSec トンネルに関連付けられている現行 MTU
• peer_addr :IPSec ピアの IP アドレス
• spi :IPSec のセキュリティ パラメータ インデックス
602303
エラー メッセージ %ASA-6-602303: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) has been created. • tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
• spi:IPSec のセキュリティ パラメータ インデックス
• local_IP:トンネルのローカル エンドポイントの IP アドレス
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
602304
エラー メッセージ %ASA-6-602304: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) has been deleted. • tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
• spi:IPSec のセキュリティ パラメータ インデックス
• local_IP:トンネルのローカル エンドポイントの IP アドレス
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
602305
エラー メッセージ %ASA-3-602305: IPSEC: SA creation error, source source address , destination destination address , reason error string説明 IPSec セキュリティ アソシエーションの作成中に、エラーが発生しました。
推奨処置 通常、これは一時的なエラー状態です。このメッセージが連続して発生する場合は、Cisco TAC にお問い合わせください。
603101
エラー メッセージ %ASA-6-603101: PPTP received out of seq or duplicate pkt, tnl_id= number , sess_id= number , seq= number .説明 ASA が、間違った順番の PPTP パケットまたは重複した PPTP パケットを受信しました。
推奨処置 このようなパケットが数多く発生する場合は、ピアの管理者に問い合わせて、クライアントの PPTP コンフィギュレーションを確認します。
603102
エラー メッセージ %ASA-6-603102: PPP virtual interface interface_name - user: user aaa authentication started.603103
エラー メッセージ %ASA-6-603103: PPP virtual interface interface_name - user: user aaa authentication status603104
エラー メッセージ %ASA-6-603104: PPTP Tunnel created, tunnel_id is number , remote_peer_ip is remote_address , ppp_virtual_interface_id is number , client_dynamic_ip is IP_address , username is user , MPPE_key_strength is string603105
エラー メッセージ %ASA-6-603105: PPTP Tunnel deleted, tunnel_id = number , remote_peer_ip= remote_address603106
エラー メッセージ %ASA-6-603106: L2TP Tunnel created, tunnel_id is number , remote_peer_ip is remote_address , ppp_virtual_interface_id is number , client_dynamic_ip is IP_address , username is user603107
エラー メッセージ %ASA-6-603107: L2TP Tunnel deleted, tunnel_id = number , remote_peer_ip = remote_address603108
エラー メッセージ %ASA-6-603108: Built PPTP Tunnel at interface_name , tunnel-id = number , remote-peer = IP_address , virtual-interface = number , client-dynamic-ip = IP_address , username = user , MPPE-key-strength = number603109
エラー メッセージ %ASA-6-603109: Teardown PPPOE Tunnel at interface_name , tunnel-id = number , remote-peer = IP_address603110
エラー メッセージ %ASA-4-603110: Failed to establish L2TP session, tunnel_id = tunnel_id , remote_peer_ip = peer_ip , user = username . Multiple sessions per tunnel are not supported説明 2 つ目のセッションの確立試行が検出および拒否されました。シスコでは、1 つのトンネルに対して複数の L2TP セッションを使用することはサポートしていません。
604101
エラー メッセージ %ASA-6-604101: DHCP client interface interface_name : Allocated ip = IP_address , mask = netmask , gw = gateway_address説明 ASA DHCP クライアントが DHCP サーバから IP アドレスを正常に取得しました。 dhcpc コマンド文によって、ASA は、ネットワーク インターフェイスの IP アドレスおよびネットワーク マスクを DHCP サーバから取得でき、またデフォルト ルートを取得できます。デフォルト ルート文では、ゲートウェイ アドレスがデフォルト ルータのアドレスとして使用されます。
604102
エラー メッセージ %ASA-6-604102: DHCP client interface interface_name : address released604103
エラー メッセージ %ASA-6-604103: DHCP daemon interface interface_name : address granted MAC_address ( IP_address )604104
エラー メッセージ %ASA-6-604104: DHCP daemon interface interface_name : address released build_number ( IP_address )604105
エラー メッセージ %ASA-4-604105: DHCPD: Unable to send DHCP reply to client hardware_address on interface interface_name . Reply exceeds options field size ( options_field_size ) by number_of_octets octets.説明 管理者は、DHCP クライアントに返す DHCP オプションを設定できます。DHCP クライアントが要求するオプションに応じて、オファーの DHCP オプションはメッセージの長さの制限を超える場合があります。DHCP オファーは、メッセージの制限内に収まらないため、送信できません。
• hardware_address :要求元クライアントのハードウェア アドレス。
• interface_name :サーバ メッセージを送受信するインターフェイス
• options_field_size :オプション フィールドの最大長。デフォルトは 312 オクテットであり、終端のための 4 オクテットを含みます。
605004
エラー メッセージ %ASA-6-605004: Login denied from source-address/source-port to interface:destination/service for user " username "ユーザがコンソールにログインしようとすると、次の形式のメッセージが表示されます。
説明 ASA への誤ったログインの試行、またはログインの失敗が発生しました。すべてのログインに対して、セッションあたり 3 回の試行が許容され、不正な試行が 3 回行われると、そのセッションは終了します。SSH ログインおよび Telnet ログインの場合、このメッセージは、3 回目の試行の失敗後、または 1 回以上の試行の失敗後に TCP セッションが終了したときに、生成されます。他のタイプの管理セッションの場合、このメッセージは試行に失敗するたびに生成されます。
• source-address :ログイン試行の送信元アドレス
推奨処置 このメッセージの表示頻度が少ない場合、処置は不要です。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。ユーザと通信して、ユーザ名とパスワードを確認します。
605005
エラー メッセージ %ASA-6-605005: Login permitted from source-address / source-port to interface:destination / service for user " username "ユーザがコンソールにログインすると、次の形式のメッセージが表示されます。
説明 ユーザは認証に成功し、管理セッションが開始されました。
606001
エラー メッセージ %ASA-6-606001: ASDM session number number from IP_address started606002
エラー メッセージ %ASA-6-606002: ASDM session number number from IP_address ended606003
エラー メッセージ %ASA-6-606003: ASDM logging session number id from IP_address started id session ID assigned説明 ASDM ロギング接続が、リモート管理クライアントによって開始されました。
606004
エラー メッセージ %ASA-6-606004: ASDM logging session number id from IP_address ended607001
エラー メッセージ %ASA-6-607001: Pre-allocate SIP connection_type secondary channel for interface_name:IP_address/port to interface_name:IP_address from string message説明 SIP メッセージの検査後、 fixup sip コマンドによって SIP 接続が割り当て済みでした。 connection_type は、次の文字列のいずれかです。
607002
エラー メッセージ %ASA-4-607002: action_class : action SIP req_resp req_resp_info from src_ifc : sip / sport to dest_ifc : dip / dport ; further_info説明 SIP メッセージに対して SIP 分類が実施され、指定の基準が満たされました。結果として、設定されたアクションが実行されます。
• action_class :アクションのクラス(SIP の match コマンドの場合は SIP Classification、パラメータ コマンドの場合は SIP Parameter)
• action :実行されるアクション(Dropped、Dropped connection for、Reset connection for、または Masked header flags for)
• req_resp_info :タイプが Request である場合は SIP メソッド名(INVITE または CANCEL)。タイプが Response である場合は SIP 応答コード(100、183、200)。
• further_info :SIP の match コマンドと SIP のパラメータ コマンドに関する詳細情報(次の例を参照)。
parameter-command : descriptive-message
607003
エラー メッセージ %ASA-6-607003: action_class : Received SIP req_resp req_resp_info from src_ifc : sip / sport to dest_ifc : dip / dport ; further_info説明 SIP メッセージに対して SIP 分類が実施され、指定の基準が満たされました。その結果、スタンドアロンのログ アクションが実行されます。
• action_class :SIP の match コマンドの場合は SIP Classification、パラメータ コマンドの場合は SIP Parameter
• req_resp_info :タイプが Request である場合は SIP メソッド名(INVITE または CANCEL)。タイプが Response である場合は SIP 応答コード(100、183、200)。
• further_info :SIP の match コマンドと SIP のパラメータ コマンドに関する詳細情報(次の例を参照)。
parameter-command : descriptive-message
608001
エラー メッセージ %ASA-6-608001: Pre-allocate Skinny connection_type secondary channel for interface_name:IP_address to interface_name:IP_address from string message説明 Skinny メッセージの検査後、 inspect skinny コマンドによって Skinny 接続が割り当て済みでした。 connection_type は、次の文字列のいずれかです。
608002
エラー メッセージ %ASA-4-608002: Dropping Skinny message for in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , SCCPPrefix length value too small説明 設定済みの最小長より短い SCCP プレフィックス長を持つ Skinny(SSCP)メッセージを受信しました。
推奨処置 SCCP メッセージが有効である場合は、Skinny ポリシー マップをカスタマイズして、SSCP プレフィックスの最小長の値を大きくします。
608003
エラー メッセージ %ASA-4-608003: Dropping Skinny message for in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , SCCPPrefix length value too large説明 設定済みの最大長より長い SCCP プレフィックス長を持つ Skinny(SSCP)メッセージを受信しました。
推奨処置 SCCP メッセージが有効である場合は、Skinny ポリシー マップをカスタマイズして、SCCP プレフィックスの最大長の値を大きくします。
608004
エラー メッセージ %ASA-4-608004: Dropping Skinny message for in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , message id value not allowed説明 この SCCP メッセージ ID は、許可されません。
推奨処置 この SCCP メッセージを許可する必要がある場合は、Skinny ポリシー マップをカスタマイズして、この SCCP メッセージを許可します。
608005
エラー メッセージ %ASA-4-608005: Dropping Skinny message for in_ifc : src_ip / src_port to out_ifc : dest_ip / dest_port , message id value registration not complete説明 エンドポイントが登録を完了しなかったため、この SCCP メッセージ ID は許可されません。
推奨処置 廃棄されている SCCP メッセージが有効である場合は、Skinny ポリシー マップをカスタマイズして、登録の強制をディセーブルにします。
609001
エラー メッセージ %ASA-7-609001: Built local-host interface_name : IP_address説明 ネットワーク ステート コンテナは、インターフェイス interface_name に接続されたホスト IP_address 用に予約されていました。
609002
エラー メッセージ %ASA-7-609002: Teardown local-host interface_name : IP_address duration time説明 インターフェイス interface_name に接続されているホスト IP_address 用のネットワーク ステート コンテナが削除されました。
610001
エラー メッセージ %ASA-3-610001: NTP daemon interface interface_name : Packet denied from IP_address説明 設定された NTP サーバのいずれとも一致しないホストから NTP パケットを受信しました。ASAは NTP クライアントにすぎません。タイム サーバではないので、NTP 要求には応答しません。
610002
エラー メッセージ %ASA-3-610002: NTP daemon interface interface_name : Authentication failed for packet from IP_address説明 受信した NTP パケットの認証チェックが失敗しました。
推奨処置 ASA と NTP サーバの両方が、認証を使用するように設定されており、キー番号とキー値が同じであることを確認します。
610101
エラー メッセージ %ASA-6-610101: Authorization failed: Cmd: command Cmdtype: command_modifier説明 指摘されたコマンドのコマンド認可が失敗しました。 command_modifier は、次の文字列のいずれかです。
– cmd (この文字列は、コマンドに修飾子がないことを意味します)
説明 ASA がリストされた 4 コマンド タイプ以外の値を検出すると、メッセージ「 unknown command type 」が表示されます。
611101
エラー メッセージ %ASA-6-611101: User authentication succeeded: Uname: user611102
エラー メッセージ %ASA-6-611102: User authentication failed: Uname: user611103
エラー メッセージ %ASA-5-611103: User logged out: Uname: user611104
エラー メッセージ %ASA-5-611104: Serial console idle timeout exceeded説明 ユーザ アクティビティがなかったために、ASAのシリアル コンソールに設定されたアイドル タイムアウトを超えました。
611301
エラー メッセージ %ASA-6-611301: VPNClient: NAT configured for Client Mode with no split tunneling: NAT address: mapped_address611302
エラー メッセージ %ASA-6-611302: VPNClient: NAT exemption configured for Network Extension Mode with no split tunneling説明 スプリット トンネリングなしでネットワーク拡張モード用の VPN クライアント ポリシーがインストールされました。
611303
エラー メッセージ %ASA-6-611303: VPNClient: NAT configured for Client Mode with split tunneling: NAT address: mapped_address Split Tunnel Networks: IP_address / netmask IP_address / netmask611304
エラー メッセージ %ASA-6-611304: VPNClient: NAT exemption configured for Network Extension Mode with split tunneling: Split Tunnel Networks: IP_address / netmask IP_address / netmask説明 スプリット トンネリング付きでネットワーク拡張モード用の VPN クライアント ポリシーがインストールされました。
611305
エラー メッセージ %ASA-6-611305: VPNClient: DHCP Policy installed: Primary DNS: IP_address Secondary DNS: IP_address Primary WINS: IP_address Secondary WINS: IP_address611306
エラー メッセージ %ASA-6-611306: VPNClient: Perfect Forward Secrecy Policy installed611307
エラー メッセージ %ASA-6-611307: VPNClient: Head end: IP_address611308
エラー メッセージ %ASA-6-611308: VPNClient: Split DNS Policy installed: List of domains: string string611309
エラー メッセージ %ASA-6-611309: VPNClient: Disconnecting from head end and uninstalling previously downloaded policy: Head End: IP_address611310
エラー メッセージ %ASA-6-611310: VNPClient: XAUTH Succeeded: Peer: IP_address611311
エラー メッセージ %ASA-6-611311: VNPClient: XAUTH Failed: Peer: IP_address611312
エラー メッセージ %ASA-6-611312: VPNClient: Backup Server List: reason説明 ASA が Easy VPN リモート デバイスの場合、Easy VPN サーバがバックアップ サーバのリストを ASA にダウンロードしました。このリストによって、ローカルで設定済みのバックアップ サーバはすべて上書きされます。ダウンロードされたリストが空の場合、ASAはバックアップ サーバを使用しません。 reason は、次のメッセージのどちらかです。
• A list of backup server IP addresses
611313
エラー メッセージ %ASA-3-611313: VPNClient: Backup Server List Error: reason説明 ASA が Easy VPN リモート デバイスであり、Easy VPN サーバがバックアップ サーバのリストを ASA にダウンロードする場合、リストに無効な IP アドレスまたはホスト名が含まれています。ASAは、DNS はサポートしません。したがって、 name コマンドを使用して名前を IP アドレスに手動でマッピングしない限り、サーバのホスト名はサポートされません。
推奨処置 Easy VPN サーバ上で、サーバの IP アドレスが正しいことを確認して、ホスト名ではなく IP アドレスでサーバを設定します。サーバでホスト名を使用する必要がある場合は、Easy VPN リモート デバイスで name コマンドを使用して IP アドレスを名前にマッピングします。
611314
エラー メッセージ %ASA-6-611314: VPNClient: Load Balancing Cluster with Virtual IP: IP_address has redirected the to server IP_address説明 ASA が Easy VPN リモート デバイスの場合、ロード バランシング クラスタのマスター サーバによって、ASA が特定のサーバに接続するようにリダイレクトされます。
611315
エラー メッセージ %ASA-6-611315: VPNClient: Disconnecting from Load Balancing Cluster member IP_address説明 ASA が Easy VPN リモート デバイスの場合、セキュリティ アプライアンスがロード バランシング クラスタ サーバから切断されました。
611316
エラー メッセージ %ASA-6-611316: VPNClient: Secure Unit Authentication Enabled説明 ASA が Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによって SUA がイネーブルにされました。
611317
エラー メッセージ %ASA-6-611317: VPNClient: Secure Unit Authentication Disabled説明 ASA が Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによって SUA がディセーブルにされました。
611318
エラー メッセージ %ASA-6-611318: VPNClient: User Authentication Enabled: Auth Server IP: IP_address Auth Server Port: port Idle Timeout: time説明 ASA が Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによって、ネットワーク内側の ASA 上のユーザに対して IUA がイネーブルにされました。
• IP_address :ASAから認証要求が送信されるサーバの IP アドレス
• port :ASAから認証要求が送信されるサーバのポート
611319
エラー メッセージ %ASA-6-611319: VPNClient: User Authentication Disabled説明 ASA が Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによって、ネットワーク内側の ASA 上のユーザに対して IUA がディセーブルにされました。
611320
エラー メッセージ %ASA-6-611320: VPNClient: Device Pass Thru Enabled説明 ASA が Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによってデバイス パススルーがイネーブルにされました。デバイス パススルー機能によって、認証を実行できないデバイス(IP 電話など)は、IUA がイネーブルの場合、認証が免除されます。Easy VPN サーバによってこの機能がイネーブルにされている場合、ASA で vpnclient mac-exempt コマンドを使用して、認証(IUA)を免除するデバイスを指定できます。
611321
エラー メッセージ %ASA-6-611321: VPNClient: Device Pass Thru Disabled説明 ASA が Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーによってデバイス パススルーがディセーブルにされました。
611322
エラー メッセージ %ASA-6-611322: VPNClient: Extended XAUTH conversation initiated when SUA disabled説明 ASA が Easy VPN リモート デバイスであり、ダウンロードされた VPN ポリシーによって SUA がディセーブルにされている場合、Easy VPN サーバは 2 要素/SecurID/cryptocard ベースの認証メカニズムで、XAUTH を使用している ASA を認証します。
推奨処置 2 要素/SecurID/cryptocard ベースの認証メカニズムを使用して Easy VPN リモート デバイスを認証する場合は、サーバ上の SUA をイネーブルにします。
611323
エラー メッセージ %ASA-6-611323: VPNClient: Duplicate split nw entry説明 ASA が Easy VPN リモート デバイスの場合、ダウンロードされた VPN ポリシーに重複したスプリット ネットワーク エントリが含まれていました。エントリは、ネットワーク アドレスとネットワーク マスクの両方に一致する場合、重複と見なされます。
612001
エラー メッセージ %ASA-5-612001: Auto Update succeeded: filename , version: number説明 Auto Update Server からのアップデートが成功しました。 filename 変数は、image、ASDM file、または configuration です。 version number 変数は、アップデートのバージョン番号です。
612002
エラー メッセージ %ASA-4-612002: Auto Update failed: filename , version: number , reason: reason説明 Auto Update Server からのアップデートが失敗しました。
• filename :イメージ ファイル、ASDM ファイル、またはコンフィギュレーション ファイル。
• reason :失敗の原因。次のいずれかの可能性があります。
- フェールオーバー モジュールがストリーム バッファを開くことができなかった。
- フェールオーバー モジュールがストリーム バッファにデータを書き込むことができなかった。
- フェールオーバー モジュールがストリーム バッファに対して制御動作を行うことができなかった。
- フェールオーバー モジュールがフラッシュ ファイルを開くことができなかった。
- フェールオーバー モジュールがフラッシュにデータを書き込むことができなかった。
- フェールオーバー モジュールがファイル転送データの破損を検出した。
推奨処置 Auto Update Server のコンフィギュレーションを確認します。スタンバイ装置が障害状態であるかどうかを確認します。Auto Update Server が正しく設定されており、スタンバイ装置が障害状態でない場合は、Cisco TAC にお問い合わせください。
612003
エラー メッセージ %ASA-4-612003:Auto Update failed to contact: url , reason: reason説明 Auto Update デーモンが指摘された URL url にアクセスできませんでした。これは、Auto Update Server の URL、または Auto Update Server から返されたファイル サーバ URL の 1 つである場合があります。 reason フィールドには、接続が失敗した原因が記述されています。考えられる失敗の原因としては、サーバからの応答がない、認証の失敗、またはファイルが見つからないことが挙げられます。
613001
エラー メッセージ %ASA-6-613001: Checksum Failure in database in area string Link State Id IP_address Old Checksum number New Checksum number613002
エラー メッセージ %ASA-6-613002: interface interface_name has zero bandwidth613003
エラー メッセージ %ASA-6-613003: IP_address netmask changed from area string to area string613101
エラー メッセージ %ASA-6-613101: Checksum Failure in database in area s \n Link State Id i Old Checksum #x New Checksum #x \n613102
エラー メッセージ %ASA-6-613102: interface s has zero bandwidth613103
エラー メッセージ %ASA-6-613103: i m changed from area AREA_ID_STR to area AREA_ID_STR613104
エラー メッセージ %ASA-6-613104: Unrecognized virtual interface IF_NAME .説明 仮想インターフェイス タイプが OSPFv3 によって認識されなかったため、ループバック インターフェイスのスタブ ルートとして扱われます。
614001
エラー メッセージ %ASA-6-614001: Split DNS: request patched from server: IP_address to server: IP_address説明 スプリット DNS によって、DNS クエリーが元の宛先サーバから企業のプライマリ DNS サーバにリダイレクトされています。
614002
エラー メッセージ %ASA-6-614002: Split DNS: reply from server: IP_address reverse patched back to original server: IP_address説明 スプリット DNS によって、DNS クエリーが企業の DNS サーバから元の宛先サーバにリダイレクトされています。
615001
エラー メッセージ %ASA-6-615001: vlan number not available for firewall interface615002
エラー メッセージ %ASA-6-615002: vlan number available for firewall interface616001
エラー メッセージ %ASA-6-616001:Pre-allocate MGCP data_channel connection for inside_interface : inside_address to outside_interface : outside_address / port from message_type message説明 MGCP データ チャネル接続(RTP または RTCP)は割り当て済みでした。このメッセージ テキストには、接続の事前割り当てを起動したメッセージも特定されています。
617001
エラー メッセージ %ASA-6-617001: GTPv version msg_type from source_interface : source_address / source_port not accepted by source_interface : dest_address / dest_port617002
エラー メッセージ %ASA-6-617002: Removing v1 PDP Context with TID tid from GGSN IP_address and SGSN IP_address , Reason: reason or Removing v1 primary | secondary PDP Context with TID tid from GGSN IP_address and SGSN IP_address , Reason: reason説明 PDP コンテキストが有効期限切れになったため、Delete PDP Context Request/Response が交換されたため、またはユーザが CLI を使用して PDP コンテキストを削除したために、PDP コンテキストがデータベースから削除されました。
617003
エラー メッセージ %ASA-6-617003: GTP Tunnel created from source_interface : source_address / source_port to source_interface : dest_address / dest_port説明 要求を受け入れた Create PDP Context Response を受信した後に、GTP トンネルが作成されました。
617004
エラー メッセージ %ASA-6-617004: GTP connection created for response from source_interface : source_address / 0 to source_interface : dest_address / dest_port説明 Create PDP Context Request 内の SGSN シグナリング アドレスまたは Create PDP Context Response 内の GGSN シグナリング アドレスが、この要求また応答を送信している SGSN または GGSN と異なっていました。
617100
エラー メッセージ ASA-6-617100: Teardown num_conns connection(s) for user user_ip説明 RADIUS accounting stop または RADIUS accounting start を受信したため、このユーザの接続が切断されました。RADIUS accounting stop または RADIUS accounting start には、照合のためにポリシー マップに設定された属性が含まれています。このユーザ エントリが存在する場合は、属性が、このユーザ エントリに対して格納されている属性と一致しませんでした。
620001
エラー メッセージ %ASA-6-620001: Pre-allocate CTIQBE {RTP | RTCP} secondary channel for interface_name : outside_address [/ outside_port ] to interface_name : inside_address [/ inside_port ] from CTIQBE_message_name message説明 ASA では、指摘された CTIQBE メディア トラフィックに接続オブジェクトが割り当て済みです。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
620002
エラー メッセージ %ASA-4-620002: Unsupported CTIQBE version: hex : from interface_name : IP_address / port to interface_name : IP_address / port説明 ASA が、サポートしていないバージョン番号の CTIQBE メッセージを受信し、パケットを破棄しました。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
推奨処置 ログ メッセージに取り込まれているバージョン番号が不適当に大きい場合(10 より大きい場合)、パケットの形式が誤っている、CTIQBE 以外のパケットである、または ASA に到着する前に破壊されている可能性があります。パケットの送信元を判別することを推奨します。バージョン番号が合理的な小さな数値(10 以下)の場合は、Cisco TAC に問い合わせて、この CTIQBE バージョンをサポートする新規の ASA イメージが入手可能かどうかを調べます。
621001
エラー メッセージ %ASA-6-621001: Interface interface_name does not support multicast, not enabled621002
エラー メッセージ %ASA-6-621002: Interface interface_name does not support multicast, not enabled621003
エラー メッセージ %ASA-6-621003: The event queue size has exceeded number621006
エラー メッセージ %ASA-6-621006: Mrib disconnected, ( IP_address , IP_address ) event cancelled説明 データ駆動イベントを起動するパケットを受信したが、MRIB への接続がダウンしていました。通知はキャンセルされました。
621007
エラー メッセージ %ASA-6-621007: Bad register from interface_name : IP_address to IP_address for ( IP_address , IP_address )説明 PIM ルータが、ランデブー ポイントとして設定されている場合、または NAT で別の PIM ルータから PIM レジスタ パケットを受信した場合に表示されます。このパケット内のカプセル化されたデータは無効です。
622001
エラー メッセージ %ASA-6-622001: string tracked route network mask address , distance number , table string , on interface interface-name説明 追跡対象ルートがルーティング テーブルに対して追加または削除されました。これは、追跡対象オブジェクトの状態がアップまたはダウンから変わったことを意味します。
• number :ルート アドミニストレーティブ ディスタンス
622101
エラー メッセージ %ASA-6-622101: Starting regex table compilation for match_command ; table entries = regex_num entries説明 正規表現コンパイルのバックグラウンド アクティビティに関する情報を表示します。
• match_command :正規表現テーブルが関連付けられている match コマンド
622102
エラー メッセージ %ASA-6-622102: Completed regex table compilation for match_command ; table size = num bytes説明 正規表現コンパイルのバックグラウンド アクティビティに関する情報を表示します。
• match_command :正規表現テーブルが関連付けられている match コマンド
634001
エラー メッセージ %ASA-6-634001: DAP: User user , Addr ipaddr , Connection connection ; The following DAP records were selected for this connection: DAP Record names • ipaddr :リモート クライアントの IP アドレス
- Cut-Through-Proxy:Cut-Through-Proxy 接続
メッセージ 701001 ~ 775007
この項では、701001 から 775007 までのメッセージについて説明します。
ほとんどの ISAKMP メッセージには、トンネルの識別に役立つ追加オブジェクトの共通セットがあります。これらのオブジェクトは、使用可能なときに、メッセージの説明テキストの前に付加されます。メッセージの生成時にオブジェクトが未知の場合、特定の heading = value の対は表示されません。
Group = groupname , Username = user , IP = IP_address ,...
ここで、Group はトンネル グループを特定し、username はローカル データベースまたは AAA サーバのユーザ名、IP アドレスはリモート アクセス クライアントまたは L2L ピアのパブリック IP アドレスです。
701001
エラー メッセージ %ASA-7-701001: alloc_user() out of Tcp_user objects701002
エラー メッセージ %ASA-7-701002: alloc_user() out of Tcp_proxy objects702305
エラー メッセージ %ASA-3-702305: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) is rekeying due to sequence number rollover.説明 新規のトンネルのネゴシエーション中に 40 億を超えるパケットを IPSec トンネルで受信しました。
• tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
• spi:IPSec のセキュリティ パラメータ インデックス
• local_IP:トンネルのローカル エンドポイントの IP アドレス
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
702307
エラー メッセージ %ASA-3-702307: IPSEC: An direction tunnel_type SA (SPI= spi ) between local_IP and remote_IP ( username ) is rekeying due to data rollover.説明 SA データ ライフスパンの期限が切れました。IPSec SA が、転送したデータ量の結果、キーを再生成しています。この情報は、キー再生成の問題をデバッグする場合に役立ちます。
• tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
• spi:IPSec のセキュリティ パラメータ インデックス
• local_IP:トンネルのローカル エンドポイントの IP アドレス
• remote_IP:トンネルのリモート エンドポイントの IP アドレス
703001
エラー メッセージ %ASA-7-703001: H.225 message received from interface_name : IP_address / port to interface_name : IP_address / port is using an unsupported version number説明 ASA は、サポートされていないバージョン番号の H.323 パケットを受信しました。ASAが、パケットのプロトコル バージョン フィールドをサポートされている最新バージョンに再符号化する場合があります。
703002
エラー メッセージ %ASA-7-703002: Received H.225 Release Complete with newConnectionNeeded for interface_name : IP_address to interface_name : IP_address / port説明 指摘された H.225 メッセージを ASA が受信し、指摘された 2 つの H.323 エンドポイントに対して新規シグナリング接続オブジェクトを ASA がオープンしました。
709001、709002
エラー メッセージ %ASA-7-709001: FO replication failed: cmd= command returned= code エラー メッセージ %ASA-7-709002: FO unreplicable: cmd= command709003
エラー メッセージ %ASA-1-709003: (Primary) Beginning configuration replication: Sending to mate.説明 アクティブ装置が自分のコンフィギュレーションのスタンバイ装置への複製を開始すると表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
709004
エラー メッセージ %ASA-1-709004: (Primary) End Configuration Replication (ACT)説明 アクティブ装置が自分のコンフィギュレーションのスタンバイ装置上への複製を完了すると表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
709005
エラー メッセージ %ASA-1-709005: (Primary) Beginning configuration replication: Receiving from mate.説明 スタンバイ ASA がアクティブ ASA からコンフィギュレーション複製の最初の部分を受け取りました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
709006
エラー メッセージ %ASA-1-709006: (Primary) End Configuration Replication (STB)説明 スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了したときに表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
709007
エラー メッセージ %ASA-2-709007: Configuration replication failed for command command説明 スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了できない場合に表示されるフェールオーバー メッセージ。障害を発生させたコマンドが、メッセージの末尾に表示されます。
710001
エラー メッセージ %ASA-7-710001: TCP access requested from source_address / source_port to interface_name : dest_address / service説明 ASA 宛ての最初の TCP パケットで TCP セッションの確立を要求しています。このパケットは、3 ウェイ ハンドシェイクの最初の SYN パケットです。このメッセージは、それぞれ(Telnet、HTTP、または SSH)でパケットが許可されている場合に表示されます。しかし、SYN クッキー検証はまだ完了しておらず、状態は予約されていません。
710002
エラー メッセージ %ASA-7-710002: {TCP|UDP} access permitted from source_address / source_port to interface_name : dest_address / service説明 TCP 接続の場合、ASA 宛ての 2 番目の TCP パケットで TCP セッションの確立を要求しました。このパケットは、3 ウェイ ハンドシェイクの最終 ACK です。それぞれ(Telnet、HTTP、または SSH)でパケットが許可されました。また、SYN クッキー検証が成功し、状態が TCP セッション用に予約されます。
UDP 接続の場合、接続は許可されています。たとえば、認可された SNMP 管理ステーションからの SNMP 要求をモジュールが受信し、その要求が処理されました。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
710003
エラー メッセージ %ASA-3-710003: {TCP|UDP} access denied by ACL from source_IP/source_port to interface_name : dest_IP/service説明 インターフェイス サービスへのASA接続の試みが拒否されました。たとえば、認可されていない SNMP 管理ステーションからの SNMP 要求を ASA が受信しました。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
推奨処置 show run http コマンド、 show run ssh コマンド、または show run telnet コマンドを使用して、ホストまたはネットワークからのサービス アクセスを許可するようにASAが設定されていることを確認します。
710004
エラー メッセージ %ASA-7-710004: TCP connection limit exceeded from Src_ip / Src_port to In_name : Dest_ip / Dest_port ( current connections/connection limit = Curr_conn/Conn_lmt)説明 サービス用のASA管理接続の最大数を超えました。ASAは、管理サービスあたり最大 5 つの同時管理接続を許可します。または、to-the-box 接続カウンタでエラーが発生している可能性があります。
• Curr_conn :現在の to-the-box 管理接続数
推奨処置 コンソールから、 kill コマンドを使用して不要なセッションを解放します。to-the-box カウンタのエラーが原因でメッセージが生成された場合は、 show conn all コマンドを実行して接続の詳細を表示します。
710005
エラー メッセージ %ASA-7-710005: {TCP|UDP} request discarded from source_address / source_port to interface_name : dest_address / service説明 UDP 要求を処理する UDP サーバが ASA にありません。また、ASA 上のどのセッションにも属していない TCP パケットが破棄された可能性もあります。さらにこのメッセージは、認可されたホストからの場合でも、ペイロードが空の SNMP 要求を ASA が受信した場合に表示されます(SNMP サービスで)。サービスが SNMP の場合、このメッセージは最大でも 10 秒ごとに 1 回の発生として、ログ受信プログラムが過負荷にならないようにします。
推奨処置 DHCP、RIP、NetBIOS などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
710006
エラー メッセージ %ASA-7-710006: protocol request discarded from source_address to interface_name : dest_address説明 IP プロトコル要求を処理する IP サーバが ASA にありません。たとえば、ASA が TCP または UDP でない IP パケットを受信し、ASA が要求を処理できません。
推奨処置 DHCP、RIP、NetBIOS などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
710007
エラー メッセージ %ASA-7-710007: NAT-T keepalive received from 86.1.161.1/1028 to outside:86:1.129.1/4500711001
エラー メッセージ %ASA-7-711001: debug_trace_msg説明 ロギング機能のために logging debug-trace コマンドを入力しました。 logging debug-trace コマンドがイネーブルの場合、すべてのデバッグ メッセージはメッセージにリダイレクトされて処理されます。セキュリティ上の理由から、メッセージ出力は暗号化するか、またはセキュア アウトオブバンド ネットワークで送信する必要があります。
711002
エラー メッセージ %ASA-4-711002: Task ran for elapsed_time msecs, process = process_name , PC = PC Tracebeback = traceback説明 プロセスの CPU 使用が 100 ミリ秒を超えました。このメッセージは CPU のデバッグに使用され、各攻撃プロセスに対して 5 秒に 1 回表示できます。
• traceback :CPU 負荷の高いプロセスのスタック トレース(最大 12 個のアドレスを含むことができます)
711003
エラー メッセージ ASA-7-711003: Unknown/Invalid interface identifier( vpifnum ) detected.説明 正常動作中に発生してはならない内部不整合が発生しました。ただし、このメッセージがまれにしか発生しない場合は害がありません。頻繁に表示される場合は、デバッグする意味があると考えられます。
711004
エラー メッセージ %ASA-4-711004: Task ran for msec msec, Process = process_name , PC = pc , Call stack = call stack説明 プロセスの CPU 使用が 100 ミリ秒を超えました。このメッセージは CPU のデバッグに使用され、各攻撃プロセスに対して 5 秒に 1 回表示できます。
• msec :検出された CPU 占有時間の長さ(ミリ秒単位)
• call stack :CPU 負荷の高いプロセスのスタック トレース(最大 12 個のアドレスを含むことができます)
711005
エラー メッセージ %ASA-5-711005: Traceback: call_stack説明 発生してはならない内部ソフトウェア エラーが発生しました。デバイスは、通常、このエラーから回復でき、デバイスへの悪影響は生じません。
711006
エラー メッセージ %ASA-7-711006: CPU profiling has started for n-samples samples. Reason: reason-string . • n-samples :CPU プロファイリング サンプルの指定数
"CPU 使用率が cpu-utilization % を超えました"
713004
エラー メッセージ %ASA-3-713004: device scheduled for reboot or shutdown, IKE key acquire message on interface interface num , for Peer IP_address ignored説明 ASA が、トンネルを開始しようとしているリモート エンティティから IKE パケットを受信しました。ASAはリブートまたはシャットダウンがスケジュールされているので、これ以上トンネルを確立できません。この IKE パケットは無視されて、廃棄されます。
713201
エラー メッセージ %ASA-5-713201: Duplicate Phase Phase packet detected. Action説明 ASA は、前のフェーズ 1 またはフェーズ 2 パケットの複製を受信し、最後のメッセージを送信します。ネットワーク パフォーマンスまたは接続の問題が発生し、ピアが送信されたパケットを迅速に受信していないた可能性があります。
• Action :Retransmitting last packet または No last packet to transmit
713202
エラー メッセージ %ASA-6-713202: Duplicate IP_addr packet detected.説明 ASA は、ASA がすでに認識しネゴシエートしているトンネルの重複する最初のパケットを受信しました。これは、多くの場合、ASA がピアからパケットの再送信を受信したことを示します。
713006
エラー メッセージ %ASA-5-713006: Failed to obtain state for message Id message_number , Peer Address: IP_address説明 ASA が受信したメッセージ ID が未知の ID です。メッセージ ID は、特定の IKE フェーズ 2 ネゴシエーションの識別に使用されます。ASA でエラー状態が発生し、2 つの IKE ピアの同期がとれていないことを示す場合があります。
713008
エラー メッセージ %ASA-3-713008: Key ID in ID payload too big for pre-shared IKE tunnel説明 ID ペイロードでキー ID 値を受信したが、その値が事前共有キー認証を使用する IKE セッションのグループ名の最大許容サイズよりも長かったことを示します。これは無効な値で、セッションは拒否されます。指摘されたキー ID は、そのサイズのグループ名をASAで作成できないので、機能することはありません。
推奨処置 クライアント ピア(おそらくは Altiga リモート アクセス クライアント)が有効なグループ名を指定していることを確認します。クライアント上の誤ったグループ名を変更するようにユーザに通知します。グループ名の現在の最大長は 32 文字です。
713009
エラー メッセージ %ASA-3-713009: OU in DN in ID payload too big for Certs IKE tunnel説明 ID ペイロードで DN の OU 値を受信したが、その値が証明書認証を使用する IKE セッションのグループ名の最大許容サイズよりも長かったことを示します。この OU はスキップされますが、別の OU または他の基準を使用して一致するグループを検出できます。
推奨処置 クライアントが OU を使用してASAからグループを検出するには、グループ名が有効な長さでなければなりません。グループ名の現在の最大長は 32 文字です。
713010
エラー メッセージ %ASA-5-713010: IKE area: failed to find centry for message Id message_number説明 一意のメッセージ ID で conn_entry(IPSec SA に対応する IKE フェーズ 2 構造)を特定しようとして失敗しました。内部構造が見つかりませんでした。セッションが標準外の方法で終了した場合に発生しますが、より可能性が高いのは、内部エラーが発生したことです。
713012
エラー メッセージ %ASA-3-713012: Unknown protocol ( protocol ). Not adding SA w/spi=SPI value713014
エラー メッセージ %ASA-3-713014: Unknown Domain of Interpretation (DOI): DOI value713016
エラー メッセージ %ASA-3-713016: Unknown identification type, Phase 1 or 2, Type ID_Type説明 ピアから受信した未知の ID です。ID が、よく知られていない有効な ID である場合、または無効または破損した ID である場合があります。
713017
エラー メッセージ %ASA-3-713017: Identification type not supported, Phase 1 or 2, Type ID_Type713018
エラー メッセージ %ASA-3-713018: Unknown ID type during find of group name for certs, Type ID_Type713020
エラー メッセージ %ASA-3-713020: No Group found by matching OU(s) from ID payload: OU_value713022
エラー メッセージ %ASA-3-713022: No Group found matching peer_ID or IP_address for Pre-shared key peer IP_address説明 グループ データベースにはピアで指摘された値(キー ID または IP アドレス)と同じ名前のグループがありません。
713024
エラー メッセージ %ASA-7-713024: Group group IP ip Received local Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port713025
エラー メッセージ %ASA-7-713025: Received remote Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port713028
エラー メッセージ %ASA-7-713028: Received local Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port説明 ASA がリモート ピアのフェーズ 2 のローカル プロキシ ID ペイロードを受信して、その中に IP アドレス範囲が含まれています。
713029
エラー メッセージ %ASA-7-713029: Received remote Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port説明 ASA がリモート ピアのフェーズ 2 のローカル プロキシ ID ペイロードを受信して、その中に IP アドレス範囲が含まれています。
713032
エラー メッセージ %ASA-3-713032: Received invalid local Proxy Range IP_address - IP_address説明 ローカル ID ペイロードに範囲 ID タイプが含まれ、指摘された低アドレスが高アドレス以上でした。設定に問題がある可能性があります。
713033
エラー メッセージ %ASA-3-713033: Received invalid remote Proxy Range IP_address - IP_address説明 リモート ID ペイロードに範囲 ID タイプが含まれ、指摘された低アドレスが高アドレス以上でした。設定に問題がある可能性があります。
713034
エラー メッセージ %ASA-7-713034: Received local IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port713035
エラー メッセージ %ASA-7-713035: Group group IP ip Received remote IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port713039
エラー メッセージ %ASA-7-713039: Send failure: Bytes ( number ), Peer: IP_address713040
エラー メッセージ %ASA-7-713040: Could not find connection entry and can not encrypt: msgid message_number713041
エラー メッセージ %ASA-5-713041: IKE Initiator: new or rekey Phase 1 or 2, Intf interface_number , IKE Peer IP_address local Proxy Address IP_address , remote Proxy Address IP_address , Crypto map ( crypto map tag )713042
エラー メッセージ %ASA-3-713042: IKE Initiator unable to find policy: Intf interface_number , Src: source_address , Dst: dest_address説明 IPSec ファースト パスで、IKE を起動したパケットを処理したが、IKE のポリシー ルックアップが失敗しました。このエラーは、タイミングに関連している場合があります。IKE が開始要求を処理する前に、IKE を起動した ACL が削除されていた可能性があります。この問題は、多くの場合、自分自身で訂正されます。
推奨処置 同じ状態が続く場合、クリプト マップに関連付けられている ACL のタイプに特に注意しながら、L2L コンフィギュレーションを確認します。
713043
エラー メッセージ %ASA-3-713043: Cookie/peer address IP_address session already in progress713048
エラー メッセージ %ASA-3-713048: Error processing payload: Payload ID: id713049
エラー メッセージ %ASA-5-713049: Security negotiation complete for tunnel_type type ( group_name ) Initiator / Responder , Inbound SPI = SPI , Outbound SPI = SPI713050
エラー メッセージ %ASA-5-713050: Connection terminated for peer IP_address . Reason: termination reason Remote Proxy IP_address , Local Proxy IP_address713052
エラー メッセージ %ASA-7-713052: User ( user ) authenticated.713056
エラー メッセージ %ASA-3-713056: Tunnel rejected: SA ( SA_name ) not found for group ( group_name )!推奨処置 これがリモート アクセス トンネルの場合、グループとユーザ コンフィギュレーションをチェックして、特定のユーザ グループに対してトンネル グループとグループ ポリシーが設定されていることを確認します。外部で認証されたユーザおよびグループの場合は、返された認証属性を確認します。
713060
エラー メッセージ %ASA-3-713060: Tunnel Rejected: User ( user ) not member of group ( group_name ), group-lock check failed.説明 ユーザが、IPSec ネゴシエーションで送信されたグループとは別のグループに設定されています。
推奨処置 Cisco VPN クライアントと事前共有キーを使用している場合、クライアントに設定されているグループが、ASA上のユーザに関連付けられているグループと同じであることを確認します。デジタル証明書を使用している場合、グループは、証明書の OU フィールドで指定されているか、またはユーザはリモート アクセスのデフォルト グループにデフォルトで自動的に設定されています。
713061
エラー メッセージ %ASA-3-713061: Tunnel rejected: Crypto Map Policy not found for Src: source_address , Dst: dest_address !説明 ASA が、メッセージに示されているプライベート ネットワークまたはホストのセキュリティ ポリシー情報を検出できませんでした。これらのネットワークまたはホストは、発信側によって送信され、ASA のどの暗号 ACL とも一致しません。多くの場合、これはコンフィギュレーションの誤りです。
推奨処置 両側の暗号 ACL 内の保護されたネットワーク コンフィギュレーションをチェックして、発信側のローカル ネットが応答側のリモート ネットであること(およびその逆)を確認します。ワイルドカード マスクと、ホスト アドレス対ネットワーク アドレスに特に注意します。シスコ以外の実装では、プライベート アドレスがプロキシ アドレスまたは赤い色のネットワークとしてラベル付けされている場合があります。
713062
エラー メッセージ %ASA-3-713062: IKE Peer address same as our interface address IP_address説明 IKE ピアとして設定されているアドレスが、ASA IP インターフェイスのいずれかで設定されている IP アドレスと同じです。
713063
エラー メッセージ %ASA-3-713063: IKE Peer address not configured for destination IP_address713065
エラー メッセージ %ASA-3-713065: IKE Remote Peer did not negotiate the following: proposal attribute713066
エラー メッセージ %ASA-7-713066: IKE Remote Peer configured for SA: SA_name713068
エラー メッセージ %ASA-5-713068: Received non-routine Notify message: notify_type (notify_value)説明 このイベントの原因となる通知メッセージが通知処理コードで明示的に処理されません。
推奨処置 実行するアクションを判別するには、特定の理由を調べます。通知メッセージの多くは、IKE ピア間のコンフィギュレーションの不一致を示します。
713072
エラー メッセージ %ASA-3-713072: Password for user ( user ) too long, truncating to number characters713073
エラー メッセージ %ASA-5-713073: Responder forcing change of Phase 1 / Phase 2 rekeying duration from larger_value to smaller_value seconds713074
エラー メッセージ %ASA-5-713074: Responder forcing change of IPsec rekeying duration from larger_value to smaller_value Kbs713075
エラー メッセージ %ASA-5-713075: Overriding Initiator's IPsec rekeying duration from larger_value to smaller_value seconds713076
エラー メッセージ %ASA-5-713076: Overriding Initiator's IPsec rekeying duration from larger_value to smaller_value Kbs713078
エラー メッセージ %ASA-2-713078: Temp buffer for building mode config attributes exceeded: bufsize available_size , used value説明 modecfg 属性の処理中に内部ソフトウェア エラーが発生したことを示します。
推奨処置 不要なトンネル グループ属性をディセーブルにするか、長すぎるテキスト メッセージを短くします。問題が解決しない場合、Cisco TAC にお問い合わせください。
713081
エラー メッセージ %ASA-3-713081: Unsupported certificate encoding type encoding_type713082
エラー メッセージ %ASA-3-713082: Failed to retrieve identity certificate713083
エラー メッセージ %ASA-3-713083: Invalid certificate handle713084
エラー メッセージ %ASA-3-713084: Received invalid phase 1 port value ( port ) in ID payload説明 IKE フェーズ 1 ID ペイロードで受信されたポート値が正しくありませんでした。受け入れ可能な値は 0 または 500 です(ISAKMP は IKE とも呼ばれます)。
推奨処置 ネットワークの問題が破損したパケットの原因になることを回避するために、ピアが IKE 規格に準拠していることを確認します。
713085
エラー メッセージ %ASA-3-713085: Received invalid phase 1 protocol ( protocol ) in ID payload説明 IKE フェーズ 1 ID ペイロードで受信されたプロトコル値が正しくありませんでした。受け入れ可能な値は 0 または 17(UDP)です。
推奨処置 ネットワークの問題が破損したパケットの原因になることを回避するために、ピアが IKE 規格に準拠していることを確認します。
713086
エラー メッセージ %ASA-3-713086: Received unexpected Certificate payload Possible invalid Auth Method (Auth method (auth numerical value))説明 証明書ペイロードが受信されたが、ID 証明書がないことが内部証明書ハンドルによって示されています。証明書ハンドルが通常の登録方法で獲得されませんでした。これが発生する理由として考えられるのは、認証方式が RSA または DSS シグニチャを通じて行われていないことです。ただし、それぞれの側の設定が誤っていると、IKE SA ネゴシエーションは失敗します。
713088
エラー メッセージ %ASA-3-713088: Set Cert filehandle failure: no IPsec SA in group group_name713092
エラー メッセージ %ASA-5-713092: Failure during phase 1 rekeying attempt due to collision713094
エラー メッセージ %ASA-7-713094: Cert validation failure: handle invalid for Main / Aggressive Mode Initiator / Responder !推奨処置 場合によっては、トラストポイントを再登録する必要があります。問題が解決しない場合、Cisco TAC にお問い合わせください。
713098
エラー メッセージ %ASA-3-713098: Aborting: No identity cert specified in IPsec SA ( SA_name )!713099
エラー メッセージ %ASA-7-713099: Tunnel Rejected: Received NONCE length number is out of range!713102
エラー メッセージ %ASA-3-713102: Phase 1 ID Data length number too long - reject tunnel!713103
エラー メッセージ %ASA-7-713103: Invalid (NULL) secret key detected while computing hash713104
エラー メッセージ %ASA-7-713104: Attempt to get Phase 1 ID data failed while hash computation713105
エラー メッセージ %ASA-3-713105: Zero length data in ID payload received during phase 1 or 2 processing713107
エラー メッセージ %ASA-3-713107: IP_Address request attempt failed!713109
エラー メッセージ %ASA-3-713109: Unable to process the received peer certificate説明 リモート ピアから受信した証明書を ASA が処理できませんでした。これは、証明書のデータが誤っている(たとえば、公開キーのサイズが 4096 ビットより大きい場合)か、証明書の中のデータを ASA が保存できない場合に発生することがあります。
713112
エラー メッセージ %ASA-3-713112: Failed to process CONNECTED notify (SPI SPI_value )!説明 ASA が、CONNECTED 通知タイプを含む通知ペイロードを正常に処理できませんでした。これは、IKE フェーズ 2 構造が、それを見つけるための SPI を使用して検出できない場合、または受信した ISAKMP ヘッダーでコミット ビットが設定されていなかった場合に発生します。後者の事例では、IKE ピアが規格に従っていない可能性があることを示しています。
推奨処置 問題が解決しない場合、ピアのコンフィギュレーションを調べるか、コミット ビット処理をディセーブルにします(または両方を行います)。
713113
エラー メッセージ %ASA-7-713113: Deleting IKE SA with associated IPsec connection entries. IKE peer: IP_address , SA address: internal_SA_address , tunnel count: count説明 IKE SA が 0 以外のトンネル カウントで削除されています。これは、IKE SA トンネル カウントで関連する接続エントリとの同期が失われたか、あるいは関連する接続エントリのクッキー フィールドで接続エントリが指す IKE SA のクッキー フィールドとの同期が失われたことを意味します。これが発生する場合、IKE SA およびそれに関連するデータ構造体は解放されないので、それを指すエントリは古いポインタを持つことがありません。
713114
エラー メッセージ %ASA-7-713114: Connection entry (conn entry internal address) points to IKE SA ( SA_internal_address ) for peer IP_address , but cookies don't match713115
エラー メッセージ %ASA-5-713115: Client rejected NAT enabled IPsec request, falling back to standard IPsec説明 ASA が IPSec over UDP を使用しようとする試みがクライアントによって拒否されました。IPSec over UDP を使用すると、NAT デバイスを介して複数のクライアントがASAへの同時トンネルを確立できます。クライアントが、この機能をサポートしていないか、またはこの機能を使用するよう設定されていないため、要求を拒否した可能性があります。
713117
エラー メッセージ %ASA-7-713117: Received Invalid SPI notify (SPI SPI_Value )!説明 SPI 値によって識別された IPSec SA が、リモート ピアでアクティブではなくなりました。リモート ピアがリブートされたか、リセットされた可能性があります。
推奨処置 この問題は、ピアによって適切な SA が確立されていないことを DPD が認識すると、訂正されます。DPD がイネーブルになっていない場合は、影響を受けるトンネルを手動で再確立しなければならないことがあります。
713118
エラー メッセージ %ASA-3-713118: Detected invalid Diffie-Helmann group_descriptor group_number , in IKE area説明 group_descriptor フィールドにサポートされていない値が含まれていました。現在サポートされているのは、グループ 1、2、5、および 7 だけです。centry の場合は、 group_descriptor フィールドが、完全転送秘密がディセーブルになっていることを示すため 0 に設定されていることもあります。
713119
エラー メッセージ %ASA-5-713119: Group group IP ip PHASE 1 COMPLETED713120
エラー メッセージ %ASA-5-713120: PHASE 2 COMPLETED (msgid= msg_id )713121
エラー メッセージ %ASA-7-713121: Keep-alive type for this connection: keepalive_type713122
エラー メッセージ %ASA-3-713122: Keep-alives configured keepalive_type but peer IP_address support keep-alives (type = keepalive_type )説明 キープアライブがこのデバイスに対してオンまたはオフに設定されているが、IKE ピアがキープアライブをサポートしている、またはしていません。
推奨処置 この設定が意図的である場合、処置は不要です。意図的でない場合は、両方のデバイスでキープアライブ コンフィギュレーションを変更します。
713123
エラー メッセージ %ASA-3-713123: IKE lost contact with remote peer, deleting connection (keepalive type: keepalive_type )説明 予期された期間内にリモート IKE ピアがキープアライブに応答しなかったため、IKE ピアへの接続が終了しました。このメッセージには、使用されるキープアライブ メカニズムが含まれています。
713124
エラー メッセージ %ASA-3-713124: Received DPD sequence number rcv_sequence_# in DPD Action, description expected seq #説明 リモート IKE ピアが、予期されたシーケンス番号と異なるシーケンス番号とともに DPD を送信しました。パケットは廃棄されます。これは、ネットワークでのパケット損失の問題を示している場合があります。
713127
エラー メッセージ %ASA-3-713127: Xauth required but selected Proposal does not support xauth, Check priorities of ike xauth proposals in ike proposal list説明 ピアが XAUTH を実行しようとしたが、ASA が XAUTH IKE プロポーザルを選択しなかった場合に表示されます。
713128
エラー メッセージ %ASA-6-713128: Connection attempt to VCPIP redirected to VCA peer IP_address via load balancing713129
エラー メッセージ %ASA-3-713129: Received unexpected Transaction Exchange payload type: payload_id説明 XAUTH または Mode Cfg 中に予期しないペイロードが受信されました。これは、2 つのピアが同期していないこと、XAUTH または Mode Cfg のバージョンが一致しないこと、リモート ピアが適切な RFC に準拠していないことを示している場合があります。
713130
エラー メッセージ %ASA-5-713130: Received unsupported transaction mode attribute: attribute id説明 現在サポートされていない有効なトランザクション モード属性(XAUTH または Mode Cfg)に対する要求をデバイスが受信しました。通常、これは問題のない状態です。
713131
エラー メッセージ %ASA-5-713131: Received unknown transaction mode attribute: attribute_id説明 既知の属性の範囲外であるトランザクション モード属性(XAUTH または Mode Cfg)に対する要求を ASA が受信しました。属性は有効でも新しいバージョンのコンフィギュレーション モードでだけサポートされているか、ピアが不正な値または独占権のある値を送信している可能性があります。これは、接続の問題にはなりませんが、ピアの機能に影響する場合があります。
713132
エラー メッセージ %ASA-3-713132: Cannot obtain an IP_address for remote peer説明 これらのアドレスを提供する内部ユーティリティからのリモート アクセス クライアントの IP アドレスに対する要求が満たされません。
713133
エラー メッセージ %ASA-3-713133: Mismatch: Overriding phase 2 DH Group(DH group DH group_id ) with phase 1 group(DH group DH group_number説明 設定されたフェーズ 2 PFS グループが、フェーズ 1 に対してネゴシエートされた DH グループと異なっていました。
713134
エラー メッセージ %ASA-3-713134: Mismatch: P1 Authentication algorithm in the crypto map entry different from negotiated algorithm for the L2L connection説明 設定された LAN-to-LAN プロポーザルが、LAN-to-LAN 接続に対して受け入れられたプロポーザルと異なります。どちらの側が発信側かに応じて、異なるプロポーザルが使用されます。
713135
エラー メッセージ %ASA-5-713135: message received, redirecting tunnel to IP_address .説明 リモートの ASA でのロード バランシングのためにトンネルがリダイレクトされています。REDIRECT_CONNECTION 通知パケットを受信しました。
713136
エラー メッセージ %ASA-5-713136: IKE session establishment timed out [ IKE_state_name ], aborting!説明 リーパーによって ASA スタックが非アクティブな状態で検出されました。リーパーは、非アクティブのASAを除去しようとします。
713137
エラー メッセージ %ASA-5-713137: Reaper overriding refCnt [ref_count] and tunnelCnt [tunnel_count] -- deleting SA!713138
エラー メッセージ %ASA-3-713138: Group group_name not found and BASE GROUP default preshared key not configured説明 グループ データベース内にピアの IP アドレスと同じ名前を持つグループがありません。Main モードで、ASA がフォールバックし、デフォルト グループのいずれかで設定されたデフォルトの事前共有キーの使用を試みます。デフォルトの事前共有キーは設定されていません。
713139
エラー メッセージ %ASA-5-713139: group_name not found, using BASE GROUP default preshared key説明 グループ データベース内にピアの IP アドレスと同じ名前を持つトンネル グループがありません。Main モードで、ASA がフォールバックし、デフォルト グループで設定されたデフォルトの事前共有キーを使用します。
713140
エラー メッセージ %ASA-3-713140: Split Tunneling Policy requires network list but none configured説明 スプリット トンネリング ポリシーがトンネルのスプリットまたはローカル LAN アクセスの許可に設定されています。VPN クライアントが要求する情報を表すには、スプリット トンネリング ACL が定義されている必要があります。
713141
エラー メッセージ %ASA-3-713141: Client-reported firewall does not match configured firewall: action tunnel. Received -- Vendor: vendor(id) , Product product(id) , Caps: capability_value . Expected -- Vendor: vendor(id) , Product: product(id) , Caps: capability_value説明 クライアントにインストールされた ASA が設定された必須の ASA と一致しません。このメッセージは、実際の値と予期された値をリストし、トンネルが終了したか、または許可されたかを示します。
推奨処置 クライアントに別の個人用の ASA をインストールするか、または ASA のコンフィギュレーションを変更しなければならないことがあります。
713142
エラー メッセージ %ASA-3-713142: Client did not report firewall in use, but there is a configured firewall: action tunnel. Expected -- Vendor: vendor(id) , Product product(id) , Caps: capability_value説明 クライアントが ModeCfg を使用して使用中の ASA を報告しなかったが、それが必要です。このイベントは、予期された値をリストし、トンネルが終了したか、または許可されたかを示します。製品文字列の後の数値は、許可されたすべての製品のビットマスクです。
推奨処置 クライアントに別の個人用の ASA をインストールするか、または ASA のコンフィギュレーションを変更しなければならないことがあります。
713143
エラー メッセージ %ASA-7-713143: Processing firewall record. Vendor: vendor(id) , Product: product(id) , Caps: capability_value , Version Number: version_number , Version String: version_text713144
エラー メッセージ %ASA-5-713144: Ignoring received malformed firewall record; reason - error_reason TLV type attribute_value correction713145
エラー メッセージ %ASA-6-713145: Detected Hardware Client in network extension mode, adding static route for address: IP_address , mask: netmask説明 ネットワーク拡張モードのハードウェア クライアントを持つトンネルがネゴシエートされ、ハードウェア クライアントの背後にあるプライベート ネットワーク用にスタティック ルートが追加されています。この設定によって、ASA は、ヘッドエンドのプライベート側にあるすべてのルータにリモート ネットワークを知らせることができます。
713146
エラー メッセージ %ASA-3-713146: Could not add route for Hardware Client in network extension mode, address: IP_address , mask: netmask説明 内部ソフトウェア エラーが発生しました。ネットワーク拡張モードのハードウェア クライアントを持つトンネルがネゴシエートされ、ハードウェア クライアントの背後にあるプライベート ネットワーク用にスタティック ルートを追加する試みが失敗しました。ルーティング テーブルがいっぱいになっているか、アドレッシング エラーが発生した可能性があります。
713147
エラー メッセージ %ASA-6-713147: Terminating tunnel to Hardware Client in network extension mode, deleting static route for address: IP_address , mask: netmask説明 ネットワーク拡張モードのハードウェア クライアントへのトンネルが除去され、ハードウェア クライアントの背後でプライベート ネットワーク用のスタティック ルートが削除されています。
713148
エラー メッセージ %ASA-5-713148: Terminating tunnel to Hardware Client in network extension mode, unable to delete static route for address: IP_address , mask: netmask説明 ネットワーク拡張モードのハードウェア クライアントへのトンネルを除去しているときに、ハードウェア クライアントの背後にあるプライベート ネットワークへのルートを削除できません。これは、アドレッシングまたはソフトウェアの問題を意味する場合があります。
推奨処置 ルーティング テーブルを調べて、ルートがそこにないことを確認します。ルートがある場合は、手動で削除する必要がありますが、ハードウェア クライアントへのトンネルが完全に削除された場合に限り行います。
713149
エラー メッセージ %ASA-3-713149: Hardware client security attribute attribute_name was enabled but not requested.説明 ヘッドエンドの ASA で指摘されたハードウェア クライアント セキュリティ属性がイネーブルになっているが、VPN 3002 ハードウェア クライアントによって属性が要求されませんでした。
713152
エラー メッセージ %ASA-3-713152: Unable to obtain any rules from filter ACL_tag to send to client for CPP, terminating connection.説明 クライアントで CPP を使用してその ASA をプロビジョニングする必要があるが、ヘッドエンド デバイスがクライアントへ送信する ACL を取得できませんでした。原因として、設定の誤りが考えられます。
713154
エラー メッセージ %ASA-4-713154: DNS lookup for peer_description Server [ server_name ] failed!説明 このメッセージは、指摘されたサーバに対する DNS ルックアップが解決されなかった場合に表示されます。
推奨処置 ASA 上の DNS サーバ コンフィギュレーションを確認します。また、DNS サーバがオプションになっていることと、IP アドレス マッピングへのホスト名を持っていることを確認します。
713155
エラー メッセージ %ASA-5-713155: DNS lookup for Primary VPN Server [ server_name ] successfully resolved after a previous failure. Resetting any Backup Server init.説明 プライマリ サーバに対する以前の DNS ルックアップの失敗によって、ASA がバックアップ ピアを初期化した可能性があります。このメッセージは、プライマリ サーバでの後の DNS ルックアップが最終的に成功し、バックアップ サーバの初期化をリセットしていることを示しています。このポイントより後に初期化されたトンネルは、プライマリ サーバに向けられます。
713156
エラー メッセージ %ASA-5-713156: Initializing Backup Server [ server_name or IP_address ]説明 クライアントがバックアップ サーバにフェールオーバーしているか、プライマリ サーバに対する DNS ルックアップが失敗したことにより ASA がバックアップ サーバを初期化しました。このポイントより後に初期化されたトンネルは、指摘されたバックアップ サーバに向けられます。
713157
エラー メッセージ %ASA-4-713157: Timed out on initial contact to server [ server_name or IP_address ] Tunnel could not be established.説明 クライアントが IKE MSG1 を送信してトンネルを初期化しようとしたが、相手側の ASA から応答を受信しませんでした。バックアップ サーバを使用できる場合、クライアントはそれらのいずれかに接続しようとします。
713158
エラー メッセージ %ASA-5-713158: Client rejected NAT enabled IPsec Over UDP request, falling back to IPsec Over TCP説明 クライアントが IPSec over TCP を使用するよう設定されています。ASA が IPSec over UDP を使用しようとする試みがクライアントによって拒否されました。
713159
エラー メッセージ %ASA-3-713159: TCP Connection to Firewall Server has been lost, restricted tunnels are now allowed full network access説明 ASA サーバへの TCP 接続が特定の原因により失われました。原因としては、サーバがリブートした、ネットワークの問題が発生した、SSL のミスマッチが発生した、などがあります。
推奨処置 初期接続が確立された後にサーバの接続が失われた場合は、サーバとネットワークの接続を確認する必要があります。初期接続がすぐに失われた場合、これは SSL 認証の問題を意味することがあります。
713160
エラー メッセージ %ASA-7-713160: Remote user (session Id - id ) has been granted access by the Firewall Server713161
エラー メッセージ %ASA-3-713161: Remote user (session Id - id ) network access has been restricted by the Firewall Server説明 ASA サーバは、ユーザを制限する必要があることを示すメッセージを ASA に送信しました。これには、ASA ソフトウェアのアップグレードや許可の変更など、いくつかの理由があります。ASA サーバは、処理が完了するとすぐに、ユーザを完全アクセス モードに移行します。
推奨処置 ユーザが完全アクセス モードに移行されない限り、処置は不要です。これが実行されない場合、実行中の処理の詳細およびリモート マシンで実行中の ASA ソフトウェアの状態については、ASA サーバを参照します。
713162
エラー メッセージ %ASA-3-713162: Remote user (session Id - id ) has been rejected by the Firewall Server713163
エラー メッセージ %ASA-3-713163: Remote user (session Id - id ) has been terminated by the Firewall Server説明 ASA サーバがこのユーザ セッションを終了しました。これは、整合性エージェントがクライアント マシンで動作を停止した場合や、セキュリティ ポリシーがリモート ユーザによって何らかの方法で変更された場合に発生します。
713164
エラー メッセージ %ASA-7-713164: The Firewall Server has requested a list of active user sessions説明 ASA サーバが、古いデータがあることを検出した場合や(リブートにより)セッション データを失った場合に、セッション情報を要求します。
713165
エラー メッセージ %ASA-3-713165: Client IKE Auth mode differs from the group's configured Auth mode説明 デジタル証明書を使用するよう設定されているポリシーをトンネル グループが指しているときに、クライアントが事前共有キーとネゴシエートしました。
713166
エラー メッセージ %ASA-3-713166: Headend security gateway has failed our user authentication attempt - check configured username and password説明 ハードウェア クライアントが拡張認証に失敗しました。これはおそらく、ユーザ名とパスワードの問題または認証サーバの問題です。
推奨処置 設定したユーザ名とパスワードの値が各側で一致することを確認します。また、ヘッドエンドの認証サーバが動作していることを確認します。
713167
エラー メッセージ %ASA-3-713167: Remote peer has failed user authentication - check configured username and password説明 リモート ユーザが認証の拡張に失敗しました。これはおそらく、ユーザ名とパスワードの問題または認証サーバの問題です。
推奨処置 設定したユーザ名とパスワードの値が各側で一致することを確認します。また、リモート ユーザの認証に使用している認証サーバが動作していることも確認します。
713168
エラー メッセージ %ASA-3-713168: Re-auth enabled, but tunnel must be authenticated interactively!説明 キー再生成の再認証がイネーブルになっているが、トンネル認証で手動による介入が必要です。
推奨処置 手動による介入を希望する場合、処置は不要です。それ以外の場合は、対話型の認証コンフィギュレーションを確認します。
713169
エラー メッセージ %ASA-7-713169: IKE Received delete for rekeyed SA IKE peer: IP_address , SA address: internal_SA_address , tunnelCnt: tunnel_count説明 キー再生成が完了した後に古い IKE SA を削除するために、IKE がリモート ピアから削除メッセージを受信しました。
713170
エラー メッセージ %ASA- 7-713170: Group group IP ip IKE Received delete for rekeyed centry IKE peer: IP_address , centry address: internal_address , msgid: id説明 IKE は、フェーズ 2 キー再生成が完了した後に古い centry を削除するために、リモート ピアから削除メッセージを受信しました。
713171
エラー メッセージ %ASA- 7-713171: NAT-Traversal sending NAT-Original-Address payload説明 UDP-Encapsulated-Transport が、フェーズ 2 中に提案または選択されました。この場合、NAT-Traversal 用にこのペイロードを送信します。
713172
エラー メッセージ %ASA- 6-713172: Automatic NAT Detection Status: Remote end is | is not behind a NAT device This end is | is not behind a NAT device713174
エラー メッセージ %ASA- 3-713174: Hardware Client connection rejected! Network Extension Mode is not allowed for this group!説明 ハードウェア クライアントがネットワーク拡張モードを使用してトンネルを試行しましたが、ネットワーク拡張モードは許可されていません。
713176
エラー メッセージ %ASA- 2-713176: Device_type memory resources are critical, IKE key acquire message on interface interface_number , for Peer IP_address ignored説明 ASA が、示されたピアへの IPSec トンネルをトリガーするためのデータを処理しています。メモリ リソースは重大な状態なので、トンネルをそれ以上開始していません。データ パケットは無視され、廃棄されました。
推奨処置 状態が解決しない場合は、 ASA が効率的に設定されていることを確認します。メモリを増やした ASA がこのアプリケーションに必要である可能性があります。
713177
エラー メッセージ %ASA- 6-713177: Received remote Proxy Host FQDN in ID Payload: Host Name: host_name Address IP_address , Protocol protocol , Port port713178
エラー メッセージ %ASA- 5-713178: IKE Initiator received a packet from its peer without a Responder cookie713179
エラー メッセージ %ASA- 5-713179: IKE AM Initiator received a packet from its peer without a payload_type payload713182
エラー メッセージ %ASA- 3-713182: IKE could not recognize the version of the client! IPsec Fragmentation Policy will be ignored for this connection!713184
エラー メッセージ %ASA- 6-713184: Client Type: Client_type Client Application Version: Application_version_string説明 クライアントのオペレーティング システムとアプリケーションのバージョンが表示されます。情報を入手できない場合は、N/A が示されます。
713185
エラー メッセージ %ASA- 3-713185: Error: Username too long - connection aborted713186
エラー メッセージ %ASA- 3-713186: Invalid secondary domain name list received from the authentication server. List Received: list_text Character index ( value ) is illegal説明 無効なセカンダリ ドメイン名リストが外部 RADIUS 認証サーバから受信されました。スプリット トンネルが使用されている場合、このリストは、クライアントがトンネルで解決すべきドメインを示します。
推奨処置 RADIUS サーバで Secondary-Domain-Name-List 属性(ベンダー固有の属性 29)の指定を訂正します。リストは、カンマ区切りのドメイン名のリストとして指定する必要があります。ドメイン名には英数字、ハイフン、下線、ピリオドだけ含めることができます。
713187
エラー メッセージ %ASA- 7-713187: Tunnel Rejected: IKE peer does not match remote peer as defined in L2L policy IKE peer address: IP_address , Remote peer address: IP_address説明 このトンネルを開始しようとしている IKE ピアは、受信されたリモート サブネットにバインドされた ISAKMP コンフィギュレーション内で設定された IKE ピアではありません。
713189
エラー メッセージ %ASA- 3-713189: Attempted to assign network or broadcast IP_address , removing ( IP_address ) from pool.説明 プールからの IP アドレスは、このサブネットのネットワークまたはブロードキャスト アドレスです。このアドレスには、使用不可のマークが付けられます。
713190
エラー メッセージ %ASA- 7-713190: Got bad refCnt ( ref_count_value ) assigning IP_address ( IP_address )713191
エラー メッセージ %ASA-3-713191: Maximum concurrent IKE negotiations exceeded!説明 CPU に負荷のかかる暗号化計算を最小限にするため、 ASA は処理中の接続ネゴシエーションの数を制限しています。新しいネゴシエーションが要求されたとき、 ASA がすでに制限値に達している場合、新しいネゴシエーションは拒否されます。既存の接続ネゴシエーションが完了すると、新しい接続ネゴシエーションが再び許可されます。
推奨処置 crypto ikev1 limit max-in-negotiation-sa コマンドを参照してください。制限値を大きくすると、パフォーマンスが低下する可能性があります。
713193
エラー メッセージ %ASA- 3-713193: Received packet with missing payload, Expected payload: payload_id説明 ASA が、1 つまたは複数の欠落ペイロードを持つ特定の交換タイプの暗号化または暗号解除されたパケットを受信しました。通常、これはピアに問題があることを意味します。
713194
エラー メッセージ %ASA- 3-713194: Sending IKE | IPsec Delete With Reason message: termination_reason713195
エラー メッセージ %ASA- 3-713195: Tunnel rejected: Originate-Only: Cannot accept incoming tunnel yet!説明 originate-only ピアが着信接続を受け入れることができるのは、最初の P2 トンネルを作成した後だけです。その時点で、どの方向からでもデータは追加のフェーズ 2 トンネルを開始できます。
713196
エラー メッセージ %ASA- 5-713196: Remote L2L Peer IP_address initiated a tunnel with same outer and inner addresses. Peer could be Originate Only - Possible misconfiguration!説明 リモート L2L ピアが Public-Public トンネルを開始しました。リモート L2L ピアは、もう一方のピアからの応答を期待しますが、その応答を受信しません。設定が誤っている可能性があります。
713197
エラー メッセージ %ASA- 5-713197: The configured Confidence Interval of number seconds is invalid for this tunnel_type connection. Enforcing the second default.713198
エラー メッセージ %ASA- 3-713198: User Authorization failed: user User authorization failed. Username could not be found in the certificate713199
エラー メッセージ %ASA- 5-713199: Reaper corrected an SA that has not decremented the concurrent IKE negotiations counter ( counter_value )!713203
エラー メッセージ %ASA-3-713203: IKE Receiver: Error reading from socket.説明 受信した IKE パケットの読み取り中にエラーが発生しました。通常、これは内部エラーであり、ソフトウェアの問題を示している可能性があります。
推奨処置 通常、これは問題のない状態であり、システムによって自動的に訂正されます。問題が解決しない場合、Cisco TAC にお問い合わせください。
713204
エラー メッセージ %ASA-7-713204: Adding static route for client address: IP_address説明 このメッセージは、ピアが割り当てたアドレスへのルートまたはハードウェア クライアントによって保護されたネットワークへのルートがルーティング テーブルに追加されたことを示しています。
713205
エラー メッセージ %ASA-3-713205: Could not add static route for client address: IP_address説明 クライアントが割り当てたアドレスへのルートまたはハードウェア クライアントによって保護されたネットワークへのルートを追加する試みが失敗しました。これは、ルーティング テーブルまたは破損したネットワーク アドレスでのルートの重複を意味している場合もあります。ルートの重複は、ルートが正しくクリーンアップされていないか、複数のクライアントがネットワークまたはアドレスを共有していることによって発生します。
推奨処置 IP ローカル プール コンフィギュレーション、およびその他の使用中の IP アドレス割り当てメカニズム(DHCP や RADIUS など)を確認します。ルーティング テーブルからルートが消去されていることを確認します。また、ピアにおけるネットワークやアドレスのコンフィギュレーションも確認します。
713206
エラー メッセージ %ASA-3-713206: Tunnel Rejected: Conflicting protocols specified by tunnel-group and group-policy説明 グループ ポリシーで指定された許可済みのトンネルが、トンネル グループの設定内の許可済みのトンネルと異なっていたために、トンネルが切断されました。
713208
エラー メッセージ %ASA-3-713208: Cannot create dynamic rule for Backup L2L entry rule rule_id説明 IKE をトリガーして IPSec データを適切に処理する ACL の作成時に障害が発生しました。この障害はバックアップ L2L コンフィギュレーションに固有です。これは、コンフィギュレーション エラー、キャパシティ エラー、または内部ソフトウェア エラーを示していることがあります。
推奨処置 最大数の接続および最大数の VPN トンネルを使用して ASA が実行されている場合、メモリの問題の可能性があります。それ以外の場合、バックアップ L2L およびクリプト マップ コンフィギュレーション(特にクリプト マップと関連付けられている ACL)を確認します。
713209
エラー メッセージ %ASA-3-713209: Cannot delete dynamic rule for Backup L2L entry rule id説明 IKE をトリガーして IPSec データを正しく処理する ACL の削除時に障害が発生しました。この障害はバックアップ L2L コンフィギュレーションに固有です。これは、内部ソフトウェア エラーが存在する可能性があることを示しています。
713210
エラー メッセージ %ASA-3-713210: Cannot create dynamic map for Backup L2L entry rule_id説明 バックアップ L2L コンフィギュレーションに関連するダイナミック クリプト マップの実行時インストールの作成時に障害が発生しました。これは、コンフィギュレーション エラー、キャパシティ エラー、または内部ソフトウェア エラーを示していることがあります。
推奨処置 最大数の接続および最大数の VPN トンネルを使用して ASA が実行されている場合、メモリの問題の可能性があります。それ以外の場合、バックアップ L2L およびクリプト マップ コンフィギュレーション(特にクリプト マップと関連付けられている ACL)を確認します。
713211
エラー メッセージ %ASA-6-713211: Adding static route for L2L peer coming in on a dynamic map. address: IP_address , mask: netmask説明 ASA がピアのプライベート アドレスまたはネットワーク用のルートを追加しています。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック クリプト マップを使用します。
713212
エラー メッセージ %ASA-3-713212: Could not add route for L2L peer coming in on a dynamic map. address: IP_address , mask: netmask説明 ASA がピアのプライベート アドレスまたはネットワーク用のルートを追加しようとして失敗しました。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック クリプト マップを使用します。これは、ルートの重複か、ルーティング テーブルがいっぱいになっているか、前に使用したルートを ASA が削除していないことを意味している場合があります。
推奨処置 ルーティング テーブルに追加ルートのためのスペースがあることと、古いルートが存在しないことを確認します。テーブルがいっぱいになっている場合や古いルートが含まれている場合は、ルートを削除して再試行します。問題が解決しない場合、Cisco TAC にお問い合わせください。
713213
エラー メッセージ %ASA-6-713213: Deleting static route for L2L peer that came in on a dynamic map. address: IP_address , mask: netmask説明 ASA がピアのプライベート アドレスまたはネットワーク用のルートを削除しています。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック クリプト マップを使用します。
713214
エラー メッセージ %ASA-3-713214: Could not delete route for L2L peer that came in on a dynamic map. address: IP_address , mask: netmask説明 ASA がピアのプライベート アドレスまたはネットワーク用のルートを削除しようとしたときに障害が発生しました。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック クリプト マップを使用します。ルートがすでに削除されているか、内部ソフトウェア エラーが発生しました。
推奨処置 ルートがすでに削除されている場合は、問題のない状態であり、デバイスは正常に機能します。問題が解決しない場合、または VPN トンネルでルーティングの問題にリンクできる場合は、VPN L2L コンフィギュレーションのルーティング部分とアドレッシング部分を確認します。逆ルートの注入と、適切なクリプト マップに関連する ACL を確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
713215
エラー メッセージ %ASA-6-713215: No match against Client Type and Version rules. Client: type version is / is not allowed by default説明 クライアントのタイプとクライアントのバージョンが ASA で設定された規則と一致しませんでした。デフォルトのアクションが表示されます。
713216
エラー メッセージ %ASA-5-713216: Rule: action [Client type]: version Client: type version allowed/not allowed713217
エラー メッセージ %ASA-3-713217: Skipping unrecognized rule: action: action client type: client_type client version: client_version説明 形式が誤っているクライアント タイプとバージョン規則が存在します。必要な形式は、action client type | client version action ですclient type と client version の許可または拒否が、Session Management の下に表示されます。サポートされるワイルドカード(*)はパラメータごとに 1 つだけです。
713218
エラー メッセージ %ASA-3-713218: Tunnel Rejected: Client Type or Version not allowed.713219
エラー メッセージ %ASA-6-713219: Queuing KEY-ACQUIRE messages to be processed when P1 SA is complete.713220
エラー メッセージ %ASA-6-713220: De-queuing KEY-ACQUIRE messages that were left pending.713221
エラー メッセージ %ASA-7-713221: Static Crypto Map check, checking map = crypto_map_tag , seq = seq_number...713222
エラー メッセージ %ASA-7-713222: Group group Username username IP ip Static Crypto Map check, map = crypto_map_tag , seq = seq_number , ACL does not match proxy IDs src: source_address dst: dest_address説明 設定されたクリプト マップで反復しているときに、ASA が関連する ACL と一致できません。通常、これは ACL の設定が誤っていることを意味します。
推奨処置 このトンネル ピアに関連する ACL を調べ、VPN トンネルの両端から適切なプライベート ネットワークが指定されていることを確認します。
713223
エラー メッセージ %ASA-7-713223: Static Crypto Map check, map = crypto_map_tag , seq = seq_number , no ACL configured説明 このピアに関連するクリプト マップが ACL にリンクされていません。
推奨処置 このクリプト マップに関連する ACL があることと、ACL に VPN トンネルの両側からの適切なプライベート アドレスまたはネットワークが含まれていることを確認します。
713224
エラー メッセージ %ASA-7-713224: Static Crypto Map Check by-passed: Crypto map entry incomplete!説明 この VPN トンネルに関連するクリプト マップで重要な情報が欠落しています。
推奨処置 VPN ピア、トランスフォーム セット、関連する ACL すべてでクリプト マップが正しく設定されていることを確認します。
713225
エラー メッセージ %ASA-7-713225: [IKEv1], Static Crypto Map check, map map_name , seq = sequence_number is a successful match713226
エラー メッセージ %ASA-3-713226: Connection failed with peer IP_address , no trust-point defined in tunnel-group tunnel_group説明 デバイスがデジタル証明書を使用するように設定されている場合は、コンフィギュレーションでトラストポイントを指定する必要があります。トラストポイントがコンフィギュレーションから欠落している場合は、このメッセージが生成され、エラーのフラグが立てられます。
713227
エラー メッセージ %ASA-3-713227: Rejecting new IPsec SA negotiation for peer Peer_address . A negotiation was already in progress for local Proxy Local_address / Local_netmask , remote Proxy Remote_address / Remote_netmask713228
エラー メッセージ %ASA-6-713228: Group = group , Username = uname , IP = remote_IP_address Assigned private IP address assigned_private_IP to remote user説明 IKE が DHCP またはアドレス プールからクライアントのプライベート IP アドレスを取得しました。
• remote_IP_address :リモート クライアントの IP アドレス
• assigned_private_IP :DHCP によって、またはローカル アドレス プールから割り当てられるクライアント IP アドレス
713229
エラー メッセージ %ASA-5-713229: Auto Update - Notification to client client_ip of update string: message_string .説明 アップデートされたソフトウェアをダウンロードできることが VPN リモート アクセス クライアントに通知されました。リモート クライアントユーザには、クライアント アクセス ソフトウェアのアップデートを選択する責任があります。
• client_ip :リモート クライアントの IP アドレス
713230
エラー メッセージ %ASA-3-713230 Internal Error, ike_lock trying to lock bit that is already locked for type type説明 内部エラーが発生しました。これは、IKE サブシステムがすでにロックされているメモリをロックしようとしていることを報告しています。これは、IKE SA のメモリ違反を保護するために使用するセマフォにエラーがあることを示します。このメッセージは、重大な誤りがないことを示しています。ただし、予期しないイベントが発生し、自動的に回復されました。
713231
エラー メッセージ %ASA-3-713231 Internal Error, ike_lock trying to unlock bit that is not locked for type type説明 内部エラーが発生しました。IKE サブシステムが現在ロックされていないメモリをロック解除しようとしていることを報告しています。これは、IKE SA のメモリ違反を保護するために使用するセマフォにエラーがあることを示します。このメッセージは、重大な誤りがないことを示しています。ただし、予期しないイベントが発生し、自動的に回復されました。
713232
エラー メッセージ %ASA-3-713232 SA lock refCnt = value , bitmask = hexvalue , p1_decrypt_cb = value , qm_decrypt_cb = value , qm_hash_cb = value , qm_spi_ok_cb = value , qm_dh_cb = value , qm_secret_key_cb = value , qm_encrypt_cb = value説明 すべての IKE SA がロックされ、発生する可能性のあるエラーが検出されました。このメッセージは、IKE SA のメモリ違反を保護するために使用するセマフォにエラーがあることを報告します。
713233
エラー メッセージ %ASA-7-713233: (VPN- unit ) Remote network ( remote network ) validated for network extension mode.説明 フェーズ 2 ネゴシエーション中に受信されたリモート ネットワークが検証されました。このメッセージは、ネットワーク拡張モード クライアントのフェーズ 2 ネゴシエーションでリモート ネットワーク チェックの結果を示します。これは、ユーザがハードウェア クライアント ネットワークの設定を誤らないようにするための既存の機能の一部です(複数のクライアントでの重複するネットワークや同じネットワークの設定など)。
713234
エラー メッセージ %ASA-7-713234: (VPN- unit ) Remote network ( remote network ) from network extension mode client mismatches AAA configuration ( aaa network ).説明 フェーズ 2 ネゴシエーション中に受信されたリモート ネットワークが、このセッションの AAA サーバから戻された framed-ip-address および framed-subnet-mask と一致しません。
• remote network :フェーズ 2 のプロキシのサブネット アドレスおよびサブネット マスク
• aaa network :AAA で設定されたサブネット アドレスとサブネット マスク
• このユーザとグループのアドレス割り当てをチェックし、HW クライアントのネットワーク コンフィギュレーションを確認して、不整合をすべて修正します。
713235
エラー メッセージ %ASA-6-713235: Attempt to send an IKE packet from standby unit. Dropping the packet!説明 通常、IKE パケットをスタンバイ装置からリモート ピアへ送信することはありません。このような試みがされた場合、内部ロジック エラーが発生している可能性があります。保護コードのため、パケットはスタンバイ装置から離れません。このメッセージは、デバッグを促進します。
713236
エラー メッセージ %ASA-7-713236: IKE_DECODE tx/rx Message (msgid=msgid) with payloads:payload1 (payload1_len) + payload2 (payload2_len)...total length: tlen説明 IKE はさまざまなメッセージを送信または受信しました。
次の例に、IKE が 8 バイトのハッシュ ペイロード、11 バイトの通知ペイロード、および 2 つの 13 バイトのベンダー固有ペイロードを含むメッセージを受信した場合の出力を示します。
713237
エラー メッセージ %ASA-5-713237: ACL update ( access_list ) received during re-key re-authentication will not be applied to the tunnel.説明 次の条件で、リモート アクセス IPSec トンネルのフェーズ 1 のキー再生成が表示されます。
• トンネルは、トンネルのキー再生成時にユーザを再認証するよう設定されています。
• RADIUS サーバは、アクセス リストまたはリファレンスを、ローカルで設定されたアクセス リストに戻します。これは、トンネルが最初に確立されたときに戻されたアクセス リストとは異なります。
これらの条件下では、ASA は新しいアクセス リストを無視し、このメッセージを生成します。
• access_list : show access-list コマンドの出力に表示されるスタティックまたはダイナミック アクセス リストに関連付けられた名前
713238
エラー メッセージ %ASA-3-713238: Invalid source proxy address: 0.0.0.0! Check private address on remote client説明 ネットワーク拡張モード クライアントのプライベート側のアドレスが 0.0.0.0 です。通常、これは、ハードウェア クライアントのプライベート インターフェイスで IP アドレスが設定されていなかったことを示します。
713239
エラー メッセージ %ASA-4-713239: IP_Address : Tunnel Rejected: The maximum tunnel count allowed has been reached713240
エラー メッセージ %ASA-4-713240: Received DH key with bad length: received length= rlength expected length= elength説明 誤った長さの Diffie-Hellman キーをピアから受信しました。
713241
エラー メッセージ %ASA-4-713241: IE Browser Proxy Method setting_number is Invalid説明 ModeCfg の処理中に無効なプロキシ設定が見つかりました。P1 ネゴシエーションは失敗します。
推奨処置 msie-proxy method コマンドの設定( group-policy コマンドのサブコマンド)を確認します。この設定が [ auto-detect | no-modify | no-proxy | use-server ] のいずれかと一致する必要があります。他の値が設定されている場合や値がない場合は、誤っています。 msie-proxy method コマンドの設定をやり直してみてください。問題が解決しない場合、Cisco TAC にお問い合わせください。
713242
エラー メッセージ %ASA-4-713242: Remote user is authenticated using Hybrid Authentication. Not starting IKE rekey.説明 ASA が、ハイブリッド Xauth を使用するように設定されたトンネルに対する IKE キー再生成の開始要求を検出しましたが、キー再生成が開始されませんでした。ASAは、クライアントが IKE キー再生成を検出して開始するまで待ちます。
713243
エラー メッセージ %ASA-4-713243: META-DATA Unable to find the requested certificate説明 IKE ピアが cert-req ペイロードで証明書を要求しました。しかし、要求した DN によって発行された有効な ID 証明書が見つかりませんでした。
713244
エラー メッセージ %ASA-4-713244: META-DATA Received Legacy Authentication Method(LAM) type type is different from the last type received type .説明 受信した LAM 属性タイプが、最後に受信したタイプと異なります。タイプは、ユーザ認証プロセス全体で同じである必要があります。ユーザ認証プロセスを続行できず、VPN 接続が確立されません。
713245
エラー メッセージ %ASA-4-713245: META-DATA Unknown Legacy Authentication Method(LAM) type type received.説明 CRACK チャレンジまたは応答ユーザ認証プロセス中に、サポートされていない LAM タイプを受信しました。ユーザ認証プロセスを続行できず、VPN 接続が確立されません。
713246
エラー メッセージ %ASA-4-713246: META-DATA Unknown Legacy Authentication Method(LAM) attribute type type received.説明 ASA が、未知の LAM 属性タイプを受信しました。これは、接続の問題にはなりませんが、ピアの機能に影響する場合があります。
713247
エラー メッセージ %ASA-4-713247: META-DATA Unexpected error: in Next Card Code mode while not doing SDI.713248
エラー メッセージ %ASA-5-713248: META-DATA Rekey initiation is being disabled during CRACK authentication.説明 CRACK 認証方式による IKE SA のネゴシエート中、正常なキー再生成前にヘッドエンドのフェーズ 1 SA キー再生成タイマーが期限切れになりました。CRACK 認証方式を使用する場合は、リモート クライアントが必ず交換の発信側になるため、ヘッドエンドはキー再生成を開始しません。IKE SA が期限切れになる前にリモート ピアが正常なキー再生成を開始しないと、IKE SA の期限切れで接続がダウンします。
713249
エラー メッセージ %ASA-4-713249: META-DATA Received unsupported authentication results: result説明 CRACK 認証方式による IKE SA のネゴシエート中、IKE サブシステムが CRACK 認証時にサポートされていない結果を認証サブシステムから受信しました。ユーザ認証は失敗し、VPN 接続は切断されます。
713250
エラー メッセージ %ASA-5-713250: META-DATA Received unknown Internal Address attribute: attribute説明 ASA が、認識できない Internal Address 属性の要求を受信しました。属性は有効であっても、現在サポートされていないか、ピアが不正な値を送信している可能性があります。これは、接続の問題にはなりませんが、ピアの機能に影響する場合があります。
713251
エラー メッセージ %ASA-4-713251: META-DATA Received authentication failure message説明 CRACK 認証方式による IKE SA のネゴシエート中、ASA が認証の失敗を示す通知メッセージを受信しました。接続は切断されます。
713252
エラー メッセージ %ASA-5-713252: Group = group , Username = user , IP = ip , Integrity Firewall Server is not available. VPN Tunnel creation rejected for client.説明 クライアントに Zonelab Integrity Server での認証を要求するようにグループ ポリシーが設定されている場合、設定されている失敗ポリシーによっては、サーバがコンセントレータに接続する必要があります。失敗ポリシーによってクライアント接続が拒否される場合、クライアントの接続時に Zonelab Integrity Server が ASA に接続されていないと、このメッセージが生成されます。
• group :リモート アクセス ユーザが接続しているトンネル グループ
推奨処置 コンセントレータと Zonelab Integrity Server のコンフィギュレーションが一致することを確認します。その後、コンセントレータと Zonelab Integrity Server の間に通信が存在することを確認します。
713253
エラー メッセージ %ASA-5-713253: Group = group , Username = user , IP = ip , Integrity Firewall Server is not available. Entering ALLOW mode. VPN Tunnel created for client.説明 クライアントに Zonelab Integrity Server での認証を要求するようにグループ ポリシーが設定されている場合、設定されている失敗ポリシーによっては、サーバがコンセントレータに接続する必要があります。失敗ポリシーによってクライアント接続が受け入れられ、無制限のネットワーク アクセスが提供される場合、クライアントの接続時に Zonelab Integrity Server が ASA に接続されていないと、このメッセージが生成されます。
• group :リモート アクセス ユーザが接続しているトンネル グループ
推奨処置 ASA と Zonelab Integrity Server のコンフィギュレーションが一致することを確認し、ASA と Zonelab Integrity Server の間に通信が存在することを確認します。
713254
エラー メッセージ %ASA-3-713254: Group = groupname , Username = username , IP = peerip , Invalid IPsec/UDP port = portnum , valid range is minport - maxport , except port 4500, which is reserved for IPsec/NAT-T説明 UDP ポート 4500 は IPSec または NAT-T 接続用に予約されているため、IPSec/UDP 接続には使用できません。CLI では、ローカル グループに対してこのコンフィギュレーションが許可されません。このメッセージは、外部で定義されたグループに限り発生します。
• portnum :外部サーバ上の IPSec/UDP ポート番号
• minport :ユーザが設定可能なポートの最小有効ポート番号(4001)
• maxport :ユーザが設定可能なポートの最大有効ポート番号(49151)
推奨処置 外部サーバ上の IPSec または UDP ポート番号を別のポート番号に変更します。有効なポート番号は 4001 ~ 49151 です。
713255
エラー メッセージ %ASA-4-713255: IP = peer-IP , Received ISAKMP Aggressive Mode message 1 with unknown tunnel group name group-name説明 ISAKMP アグレッシブ モードのメッセージ 1 で不明なトンネル グループが指定されました。
713256
エラー メッセージ %ASA-6-713256: IP = peer-IP , Sending spoofed ISAKMP Aggressive Mode message 2 due to receipt of unknown tunnel group. Aborting connection.説明 ピアによって無効なトンネル グループが指定されると、ASAは引き続きメッセージ 2 を送信して、ピアでトンネル グループ情報が収集されるのを防止します。
713257
エラー メッセージ %ASA-5-713257: Phase var1 failure: Mismatched attribute types for class var2 : Rcv'd: var3 Cfg'd: var4説明 ASA が、LAN-to-LAN 接続で応答側として動作しました。これは、ASA の暗号コンフィギュレーションが発信側のコンフィギュレーションと一致しないことを示しています。このメッセージでは、ミスマッチが発生したフェーズ、および応答側と発信側の両方が持つ属性のうち一致しない属性が指摘されます。
推奨処置 両方の LAN-to-LAN デバイスで暗号コンフィギュレーションの不整合を確認します。特に、UDP-Tunnel(NAT-T)と他のデバイスとの間のミスマッチが報告された場合は、クリプト マップを確認してください。一方のコンフィギュレーションの一致したクリプト マップで NAT-T がディセーブルになっており、もう一方ではディセーブルになっていない場合、障害の原因となります。
713258
エラー メッセージ %ASA-3-713258: IP = var1 , Attempting to establish a phase2 tunnel on var2 interface but phase1 tunnel is on var3 interface. Tearing down old phase1 tunnel due to a potential routing change.説明 ASA がインターフェイスでフェーズ 2 トンネルを確立しようとしたときに、別のインターフェイスにフェーズ 1 トンネルがすでに存在しています。既存のフェーズ 1 トンネルは切断され、新しいインターフェイスで新しいトンネルを確立できるようになります。
• var2 :ASA がフェーズ 2 トンネルを確立しようとしているインターフェイス
• var3 :フェーズ 1 トンネルが存在するインターフェイス
推奨処置 ピアのルートが変更されていないかどうかを確認します。ルートが変更されていない場合は、コンフィギュレーションが誤っている可能性があります。
713259
エラー メッセージ %ASA-5-713259: Group = groupname , Username = username , IP = peerIP , Session is being torn down. Reason: reason説明 ISAKMP セッションの終了原因が表示されます。これは、セッション管理によってセッションが切断された場合に発生します。
• groupname :終了されるセッションのトンネル グループ。
713260
エラー メッセージ %ASA-3-713260: Output interface %d to peer was not found説明 フェーズ 1 SA を作成しようとしたときに、そのインターフェイス ID のインターフェイス データベースが見つかりませんでした
713261
エラー メッセージ %ASA-3-713261: IPV6 address on output interface %d was not found説明 フェーズ 1 SA を作成しようとしたときに、IPv6 アドレスがローカル インターフェイスで指定されていません。
推奨処置 目的のインターフェイスの IPv6 アドレスを設定する方法の詳細については、『CLI 設定ガイド』の「Configuring IPv6 Addressing」を参照してください。
713262
エラー メッセージ %ASA-3-713262: Rejecting new IPSec SA negotiation for peer Peer_address . A negotiation was already in progress for local Proxy Local_address / Local_prefix_len , remote Proxy Remote_address / Remote_prefix_len説明 フェーズ SA を確立するとき、ASA はこのプロキシに一致する新しいフェーズ 2 SA を拒否します。
• Peer_address :既存のネゴシエーションと一致する、プロキシとのフェーズ 2 を開始しようとしている新しいアドレス
• Local_address :現在フェーズ 2 をネゴシエートしている、以前のローカル ピアのアドレス
• Local_prefix_len :CIDR 表記に従ったサブネット プレフィックス長
713263
エラー メッセージ %ASA-7-713263: Received local IP Proxy Subnet data in ID Payload: Address IP_address , Mask / prefix_len , Protocol protocol , Port port説明 ASA がピアのプライベート アドレスまたはネットワーク用のルートを追加しています。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック クリプト マップを使用します。
• IP_address :ピアの宛先ネットワークのベース IP アドレス
713264
エラー メッセージ %ASA-7-713264: Received local IP Proxy Subnet data in ID Payload: Address IP_address , Mask/ prefix_len , Protocol protocol , Port port {"Received remote IP Proxy Subnet data in ID Payload: Address %a , Mask/ %d , Protocol %u , Port %u "}説明 ASA がピアのプライベート アドレスまたはネットワーク用のルートを追加しています。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック クリプト マップを使用します。
• IP_address :ピアの宛先ネットワークのベース IP アドレス
713265
エラー メッセージ %ASA-6-713265: Adding static route for L2L peer coming in on a dynamic map. address: IP_address , mask: / prefix_len説明 ASA がピアのプライベート アドレスまたはネットワーク用のルートを追加しています。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック クリプト マップを使用します。
• IP_address :ピアの宛先ネットワークのベース IP アドレス
713266
エラー メッセージ %ASA-3-713266: Could not add route for L2L peer coming in on a dynamic map. address: IP_address , mask: / prefix_len説明 ASA がピアのプライベート アドレスまたはネットワーク用のルートを追加しようとして失敗しました。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック クリプト マップを使用します。これは、ルートの重複か、IPv6 ルーティング テーブルがいっぱいになっているか、前に使用したルートを ASA が削除していないことを意味している場合があります。
• IP_address :ピアの宛先ネットワークのベース IP アドレス
• prefix_len :CIDR 表記に従ったサブネット プレフィックス長
推奨処置 IPv6 ルーティング テーブルに追加ルートのためのスペースがあることと、古いルートが存在しないことを確認します。テーブルがいっぱいになっている場合や古いルートが含まれている場合は、ルートを削除して再試行します。問題が解決しない場合、Cisco TAC にお問い合わせください。
713267
エラー メッセージ %ASA-6-713267: Deleting static route for L2L peer that came in on a dynamic map. address: IP_address , mask: / prefix_len説明 ASA がピアのプライベート アドレスまたはネットワーク用のルートを追加しようとして失敗しました。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック クリプト マップを使用します。
• IP_address :ピアの宛先ネットワークのベース IP アドレス
713268
エラー メッセージ %ASA-3-713268: Could not delete route for L2L peer that came in on a dynamic map. address: IP_address , mask: / prefix_len説明 ASA がピアのプライベート アドレスまたはネットワーク用のルートを削除しようとしたときに障害が発生しました。この場合、ピアはアドレスが不明なクライアントまたは L2L ピアのいずれかです。これらの場合ではいずれも、トンネルを通過するのにダイナミック クリプト マップを使用します。ルートがすでに削除されているか、内部ソフトウェア エラーが発生しました。
• IP_address :ピアの宛先ネットワークのベース IP アドレス
• prefix_len :CIDR 表記に従ったサブネット プレフィックス長
推奨処置 ルートがすでに削除されている場合は、問題のない状態であり、デバイスは正常に機能します。問題が解決しない場合、または VPN トンネルでルーティングの問題にリンクできる場合は、VPN L2L コンフィギュレーションのルーティング部分とアドレッシング部分を確認します。また、逆ルートの注入と、適切なクリプト マップに関連する ACL も確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
713269
エラー メッセージ %ASA-6-713269: Detected Hardware Client in network extension mode, adding static route for address: IP_address , mask: / prefix_len説明 ネットワーク拡張モードのハードウェア クライアントを持つトンネルがネゴシエートされ、ハードウェア クライアントの背後にあるプライベート ネットワーク用にスタティック ルートが追加されています。この設定によって、ASA は、ヘッドエンドのプライベート側にあるすべてのルータにリモート ネットワークを知らせることができます。
• IP_address :ピアの宛先ネットワークのベース IP アドレス
713270
エラー メッセージ %ASA-3-713270: Could not add route for Hardware Client in network extension mode, address: IP_address , mask: / prefix_len説明 内部ソフトウェア エラーが発生しました。ネットワーク拡張モードのハードウェア クライアントを持つトンネルがネゴシエートされ、ハードウェア クライアントの背後にあるプライベート ネットワーク用にスタティック ルートを追加する試みが失敗しました。IPv6 ルーティング テーブルがいっぱいになっているか、アドレッシング エラーが発生した可能性があります。
• IP_address :ピアの宛先ネットワークのベース IP アドレス
713271
エラー メッセージ %ASA-6-713271: Terminating tunnel to Hardware Client in network extension mode, deleting static route for address: IP_address , mask:/ prefix_len説明 ネットワーク拡張モードのハードウェア クライアントへのトンネルが除去され、ハードウェア クライアントの背後でプライベート ネットワーク用のスタティック ルートが削除されています。
• IP_address :ピアの宛先ネットワークのベース IP アドレス
713272
エラー メッセージ %ASA-3-713272: Terminating tunnel to Hardware Client in network extension mode, unable to delete static route for address: IP_address , mask: / prefix_len説明 ネットワーク拡張モードのハードウェア クライアントへのトンネルを除去しているときに、ハードウェア クライアントの背後にあるプライベート ネットワークへのルートを削除できません。これは、アドレッシングまたはソフトウェアの問題を意味する場合があります。
• IP_address :ピアの宛先ネットワークのベース IP アドレス
• prefix_len :CIDR 表記に従ったサブネット プレフィックス長
推奨処置 IPv6 ルーティング テーブルを調べて、ルートがそこにないことを確認します。ルートがある場合は、手動で削除する必要がありますが、ハードウェア クライアントへのトンネルが完全に削除された場合に限り行います。
713273
エラー メッセージ %ASA-7-713273: Deleting static route for client address: IP_Address IP_Address address of client whose route is being removed説明 ピアが割り当てたアドレスへのルートまたはハードウェア クライアントによって保護されたネットワークへのルートがルーティング テーブルから削除されました。
713274
エラー メッセージ %ASA-3-713274: Could not delete static route for client address: IP_Address IP_Address address of client whose route is being removed説明 IPSec クライアントへのトンネルが削除されたときに、ルーティング テーブル中のそのエントリを削除できませんでした。この状態は、ネットワーキングまたはソフトウェアの問題を示している場合があります。
推奨処置 ルーティング テーブルにルートがないことを確認します。ルートが存在する場合、トンネルが正常にクローズされた場合だけ、ルートを手動で削除する必要があります。
713900
エラー メッセージ %ASA-1-713900: Descriptive_event_string.説明 重大なイベントまたは障害が発生しました。たとえば、ASA がフェーズ 2 削除を生成しようとしたが、SPI が既存のどのフェーズ 2 SA とも一致しませんでした。
推奨処置 上記の例では、両方のピアが同時にフェーズ 2 SA を削除している可能性があります。この場合、問題のないエラーであるため、無視してかまいません。エラーが引き続き表示され、トンネルの廃棄やデバイスのリブートなどの副作用が生じる場合は、ソフトウェア障害を示している可能性があります。その場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco TAC に問い合わせてサポートを受けてください。
713901
エラー メッセージ %ASA-2-713901: Descriptive_event_string .説明 エラーが発生しました。これは、ヘッドエンドまたはリモート アクセス クライアントにおけるコンフィギュレーション エラーの結果である可能性があります。イベント文字列は、発生したエラーの詳細を提供します。
推奨処置 場合によっては、エラーの原因を判別するためメッセージをトラブルシューティングする必要があります。両方のピアで、ISAKMP およびクリプト マップ コンフィギュレーションを確認します。
713902
エラー メッセージ %ASA-3-713902: Descriptive_event_string.説明 エラーが発生しました。これは、ヘッドエンドまたはリモート アクセス クライアントにおけるコンフィギュレーション エラーの結果である可能性があります。
推奨処置 場合によっては、エラーの原因を判別するためコンフィギュレーションをトラブルシューティングする必要があります。両方のピアで、ISAKMP およびクリプト マップ コンフィギュレーションを確認します。
713903
エラー メッセージ %ASA-4-713903: Descriptive_event_string .説明 警告が表示されます。このメッセージは、ピアの予期しない動作の結果である可能性があります(接続の切断など)。例を示します。
IPSec 接続試行が失敗しました(たとえば、認証の失敗時)。入力されたパスワードが正しくなかったり、認証中に誤って IPSec クライアントが切断されたことが原因となります。
713904
エラー メッセージ %ASA-5-713904: Descriptive_event_string .713905
エラー メッセージ %ASA-6-713905: Descriptive_event_string .713906
エラー メッセージ %ASA-7-713906: Descriptive_event_string .714001
エラー メッセージ %ASA-7-714001: description_of_event_or_packet714002
エラー メッセージ %ASA-7-714002: IKE Initiator starting QM: msg id = message_number714003
エラー メッセージ %ASA-7-714003: IKE Responder starting QM: msg id = message_number714004
エラー メッセージ %ASA-7-714004: IKE Initiator sending 1st QM pkt: msg id = message_number714005
エラー メッセージ %ASA-7-714005: IKE Responder sending 2nd QM pkt: msg id = message_number714006
エラー メッセージ %ASA-7-714006: IKE Initiator sending 3rd QM pkt: msg id = message_number714007
エラー メッセージ %ASA-7-714007: IKE Initiator sending Initial Contact714011
エラー メッセージ %ASA-7-714011: Description of received ID values715001
エラー メッセージ %ASA-7-715001: Descriptive statement715004
エラー メッセージ %ASA-7-715004: subroutine name () Q Send failure: RetCode ( return_code )715005
エラー メッセージ %ASA-7-715005: subroutine name () Bad message code: Code ( message_code )715006
エラー メッセージ %ASA-7-715006: IKE got SPI from key engine: SPI = SPI_value715007
エラー メッセージ %ASA-7-715007: IKE got a KEY_ADD msg for SA: SPI = SPI_value説明 IKE がトンネル ネゴシエーションを完了し、IPSec が使用する適切な暗号キーとハッシュ キーを正常にロードしました。
715008
エラー メッセージ %ASA-7-715008: Could not delete SA SA_address, refCnt = number , caller = calling_subroutine_address説明 呼び出し側のサブルーチンが IPSec SA を削除できません。これは、リファレンス カウントの問題の可能性があることを示しています。
715009
エラー メッセージ %ASA-7-715009: IKE Deleting SA: Remote Proxy IP_address , Local Proxy IP_address715013
エラー メッセージ %ASA-7-715013: Tunnel negotiation in progress for destination IP_address , discarding data説明 IKE は、このデータ用のトンネルを確立しています。トンネルが完全に確立されるまで、このトンネルによって保護されるすべてのパケットが廃棄されます。
715019
エラー メッセージ %ASA-7-715019: Group group Username username IP ip IKEGetUserAttributes: Attribute name = name715020
エラー メッセージ %ASA-7-715020: construct_cfg_set: Attribute name = name715021
エラー メッセージ %ASA-7-715021: Delay Quick Mode processing, Cert/Trans Exch/RM DSID in progress説明 フェーズ 1 処理がすべて完了するまで(トランザクション モードの場合)、クイック モードの処理が遅延しています。
715022
エラー メッセージ %ASA-7-715022: Resume Quick Mode processing, Cert/Trans Exch/RM DSID completed715027
エラー メッセージ %ASA-7-715027: IPsec SA Proposal # chosen_proposal , Transform # chosen_transform acceptable Matches global IPsec SA entry # crypto_map_index説明 示された IPSec SA プロポーザルおよびトランスフォームが応答側が受信したペイロードから選択されました。このデータは、IKE ネゴシエーションの問題のデバッグを試みる際に役立ちます。
715028
エラー メッセージ %ASA-7-715028: IKE SA Proposal # 1, Transform # chosen_transform acceptable Matches global IKE entry # crypto_map_index説明 示された IKE SA トランスフォームが応答側が受信したペイロードから選択されました。このデータは、IKE ネゴシエーションの問題のデバッグを試みる際に役立ちます。
715033
エラー メッセージ %ASA-7-715033: Processing CONNECTED notify (MsgId message_number )説明 ASA が通知タイプ CONNECTED(16384)で通知ペイロードを含むメッセージを処理しています。CONNECTED 通知タイプは、コミット ビット処理を完了するために使用されます。これは、応答側から発信側へ送信される 4 番目のクイック モード パケット全体に組み込む必要があります。
715034
エラー メッセージ %ASA-7-715034: action IOS keep alive payload: proposal= time 1 / time 2 sec.715035
エラー メッセージ %ASA-7-715035: Starting IOS keepalive monitor: seconds sec.715036
エラー メッセージ %ASA-7-715036: Sending keep-alive of type notify_type (seq number number )715037
エラー メッセージ %ASA-7-715037: Unknown IOS Vendor ID version: major.minor.variance説明 Cisco IOS のこのバージョンの機能は不明です。
推奨処置 IKE キープアライブなどの機能との相互運用の問題がある可能性があります。問題が解決しない場合、Cisco TAC にお問い合わせください。
715038
エラー メッセージ %ASA-7-715038: action Spoofing_information Vendor ID payload (version: major.minor.variance , capabilities: value )説明 Cisco IOS ベンダー ID ペイロードの処理が実行されました。実行されている処理が、Cisco IOS をスプーフィングしている Altiga である可能性があります。
715039
エラー メッセージ %ASA-7-715039: Unexpected cleanup of tunnel table entry during SA delete.説明 SA が解放されたときに IKE トンネル テーブル内のエントリが削除されませんでした。これは、ステート マシン内の障害を示しています。
715040
エラー メッセージ %ASA-7-715040: Deleting active auth handle during SA deletion: handle = internal_authentication_handle715041
エラー メッセージ %ASA-7-715041: Received keep-alive of type keepalive_type , not the negotiated type715042
エラー メッセージ %ASA-7-715042: IKE received response of type failure_type to a request from the IP_address utility説明 これらのアドレスを提供する内部ユーティリティからのリモート アクセス クライアントの IP アドレスに対する要求が満たされません。メッセージ文字列内の変数テキストによって、問題点がより具体的に示されます。
715044
エラー メッセージ %ASA-7-715044: Ignoring Keepalive payload from vendor not support KeepAlive capability説明 キープアライブ機能が設定されていない状態で、ベンダーから Cisco IOS キープアライブ ペイロードを受信しました。ペイロードは無視されます。
715045
エラー メッセージ %ASA-7-715045: ERROR: malformed Keepalive payload715046
エラー メッセージ %ASA-7-715046: Group = groupname , Username = username , IP = IP_address , constructing payload_description payload説明 特定のグループおよびユーザのリモート クライアントの IP アドレスによって、構築中の IKE ペイロードの詳細が表示されます。
715047
エラー メッセージ %ASA-7-715047: processing payload_description payload715048
エラー メッセージ %ASA-7-715048: Send VID_type VID715049
エラー メッセージ %ASA-7-715049: Received VID_type VID715050
エラー メッセージ %ASA-7-715050: Claims to be IOS but failed authentication説明 受信したベンダー ID は Cisco IOS VID と似ていますが、 hmac_sha とは一致しません。
推奨処置 両方のピアでベンダー ID コンフィギュレーションを確認します。この問題が相互運用に影響し、問題が解決しない場合は、Cisco TAC にお問い合わせください。
715051
エラー メッセージ %ASA-7-715051: Received unexpected TLV type TLV_type while processing FWTYPE ModeCfg Reply説明 FWTYPE ModeCfg Reply の処理中に、ASA レコードで未知の TLV が受信されました。TLV は廃棄されます。パケットが破損しているため、または接続しているクライアントが後のバージョンの ASA プロトコルをサポートしているために発生する可能性があります。
推奨処置 Cisco VPN クライアントにインストールされている個人用 FW および ASA 上のパーソナル ファイアウォール コンフィギュレーションを確認します。これは、VPN クライアントと ASA の間のバージョンの不一致を示している可能性もあります。
715052
エラー メッセージ %ASA-7-715052: Old P1 SA is being deleted but new SA is DEAD, cannot transition centries説明 古い P1 SA が削除されていますが、新しい SA にも削除のマークが付けられているため、移行先となる新しい SA がありません。通常、これは、2 つの IKE ピアが同期外で、異なるキー再生成時間を使用している可能性があることを示しています。問題は自動的に訂正されますが、新しい P1 SA が再確立されるまで、少量のデータ損失が発生する可能性があります。
715053
エラー メッセージ %ASA-7-715053: MODE_CFG: Received request for attribute_info !715054
エラー メッセージ %ASA-7-715054: MODE_CFG: Received attribute_name reply: value715055
エラー メッセージ %ASA-7-715055: Send attribute_name715056
エラー メッセージ %ASA-7-715056: Client is configured for TCP_transparency説明 IPsec over TCP に対してリモート エンド(クライアント)が設定されているので、ヘッドエンドの ASA がクライアントと IPsec over UDP または IPsec over NAT-T をネゴシエートすることはできません。
推奨処置 トンネルが開始しない場合は、ピアのいずれかの NAT 透過コンフィギュレーションに対する調整が必要な場合があります。
715057
エラー メッセージ %ASA-7-715057: Auto-detected a NAT device with NAT-Traversal. Ignoring IPsec-over-UDP configuration.説明 NAT-Traversal が検出されたため、IPSec-over-UDP モード コンフィギュレーション情報は交換されません。
715058
エラー メッセージ %ASA-7-715058: NAT-Discovery payloads missing. Aborting NAT-Traversal.説明 NAT-Traversal VID の交換後、リモート エンドが NAT-Traversal に必要な NAT-Discovery ペイロードを提供しませんでした。少なくとも 2 つの NAT-Discovery ペイロードを受信する必要があります。
推奨処置 NAT-T 実装が規格に従っていないことを示している可能性があります。攻撃ピアがシスコ製品であり、問題が解決しない場合は、Cisco TAC にお問い合わせください。攻撃ピアがシスコ製品ではない場合は、製造元サポート チームにお問い合わせください。
715059
エラー メッセージ %ASA-7-715059: Proposing/Selecting only UDP-Encapsulated-Tunnel and UDP-Encapsulated-Transport modes defined by NAT-Traversal説明 NAT-Traversal を正常にネゴシエートするため SA で定義された通常のトランスポート モードおよびトンネル モードの代わりにこれらのモードを使用する必要があります。
715060
エラー メッセージ %ASA-7-715060: Dropped received IKE fragment. Reason: reason推奨処置 推奨される処置は廃棄の理由によって異なりますが、これは、NAT デバイスが干渉している問題やピアが規格に従っていない問題を示している可能性があります。
715061
エラー メッセージ %ASA-7-715061: Rcv'd fragment from a new fragmentation set. Deleting any old fragments.715062
エラー メッセージ %ASA-7-715062: Error assembling fragments! Fragment numbers are non-continuous.推奨処置 これはネットワークの問題を示している可能性があります。この状態が続き、トンネルが廃棄されるか、特定のピアがASAとネゴシエートできない場合は、Cisco TAC にお問い合わせください。
715063
エラー メッセージ %ASA-7-715063: Successfully assembled an encrypted pkt from rcv'd fragments!715064
エラー メッセージ %ASA-7-715064 -- IKE Peer included IKE fragmentation capability flags: Main Mode: true / false Aggressive Mode: true / false715065
エラー メッセージ %ASA-7-715065: IKE state_machine subtype FSM error history (struct data_structure_address ) state , event : state / event pairs説明 フェーズ 1 エラーが発生し、 state 、 event 履歴ペアが新しい順に表示されます。
推奨処置 これらのエラーのほとんどは、問題ありません。問題が解決しない場合、Cisco TAC にお問い合わせください。
715066
エラー メッセージ %ASA-7-715066: Can't load an IPsec SA! The corresponding IKE SA contains an invalid logical ID.715067
エラー メッセージ %ASA-7-715067: QM IsRekeyed: existing sa from different peer, rejecting new sa説明 確立中の LAN-TO-LAN SA はすでに存在します。つまり、同じリモート ネットワークを持ち、別のピアをソースとする SA があります。これは正当なコンフィギュレーションではないので、新規 SA は削除されます。
推奨処置 関連するすべてのピアで LAN-TO-LAN コンフィギュレーションを確認します。特に、複数のピアがプライベート ネットワークを共有することはできません。
715068
エラー メッセージ %ASA-7-715068: QM IsRekeyed: duplicate sa found by address , deleting old sa説明 確立中のリモート アクセス SA はすでに存在します。つまり、同じリモート ネットワークを持ち、別のピアをソースとする SA があります。ピアが IP アドレスを変更した可能性があるため、古い SA は削除されます。
推奨処置 特にクライアント トンネルが異常終了した場合、これは問題のない状態である可能性があります。問題が解決しない場合、Cisco TAC にお問い合わせください。
715069
エラー メッセージ %ASA-7-715069: Invalid ESP SPI size of SPI_size説明 ASA が、無効な ESP SPI サイズの IPSec SA プロポーザルを受信しました。このプロポーザルはスキップされます。
推奨処置 通常、これは問題のない状態ですが、ピアが規格に従っていないことを示している可能性があります。問題が解決しない場合、Cisco TAC にお問い合わせください。
715070
エラー メッセージ %ASA-7-715070: Invalid IPComp SPI size of SPI_size説明 ASA が、無効な IPComp SPI サイズの IPSec SA プロポーザルを受信しました。このプロポーザルはスキップされます。
推奨処置 通常、これは問題のない状態ですが、ピアが規格に従っていないことを示している可能性があります。問題が解決しない場合、Cisco TAC にお問い合わせください。
715071
エラー メッセージ %ASA-7-715071: AH proposal not supported715072
エラー メッセージ %ASA-7-715072: Received proposal with unknown protocol ID protocol_ID説明 ASA が、未知のプロトコル ID を持つ IPSec SA プロポーザルを受信しました。このプロポーザルはスキップされます。
推奨処置 通常、これは問題のない状態ですが、ピアが規格に従っていないことを示している可能性があります。問題が解決しない場合、Cisco TAC にお問い合わせください。
715074
エラー メッセージ %ASA-7-715074: Could not retrieve authentication attributes for peer IP_address説明 ASA が、リモート ユーザの認可情報を取得できません。
推奨処置 認証と認可の設定が正しく行われたことを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
715075
エラー メッセージ %ASA-7-715075: Group = group_name , IP = IP_address Received keep-alive of type message_type (seq number number )説明 このメッセージは、DPD 送信メッセージをログに記録する DPD R-U-THERE メッセージ 715036 とペアです。
• message_type :メッセージ タイプ(DPD R-U-THERE または DPD R-U-THERE-ACK)
• 受信側ピアが DPD R-U-THERE メッセージを送信する。
• 受信側ピアが DPD R-U-THERE-ACK メッセージに応答する。
• DPD R-U-THERE メッセージが受信され、そのシーケンス番号が発信 DPD 応答メッセージと一致する。
ASA がピアから DPD R-U-THERE メッセージを受信する前に DPD R-U-THERE-ACK メッセージを送信すると、セキュリティ違反が発生する可能性があります。
• 受信した DPD R-U-THERE-ACK メッセージのシーケンス番号が前の送信 DPD メッセージと一致する。
ASA が DPD R-U-THERE メッセージをピアへ送信した後、適当な期間 DPD R-U-THERE-ACK メッセージを受信しなかった場合、トンネルはダウンする可能性があります。
715076
エラー メッセージ %ASA-7-715076: Computing hash for ISAKMPGroup = groupname , Username = username , IP = ip_address ...
715077
エラー メッセージ %ASA-7-715077: Pitcher: msg string , spi spi • Received a key acquire message
• Received SPI for nonexistent SA
• Could not find IKE SA to activate IPSEC (OB)
• Could not find IKE SA to rekey IPSEC (OB)
• KEY_SA_ACTIVE no centry found
Group = groupname , Username = username , IP = ip_address ,...
715080
エラー メッセージ %ASA-7-715080: VPN: Starting P2 rekey timer: 28800 seconds.716001
エラー メッセージ %ASA-6-716001: Group group User user IP ip WebVPN session started.説明 指摘された IP アドレスにおけるこの group 内の user に対して WebVPN セッションが開始されました。ユーザが WebVPN ログイン ページを介してログインすると、WebVPN セッションが開始されます。
716002
エラー メッセージ %ASA-6-716002: Group GroupPolicy User username IP ip WebVPN session terminated: User requested.説明 WebVPN セッションがユーザ要求により終了されました。考えられる原因は次のとおりです。
• ポートが切り替えられた。この原因は、(同一ユーザによる)同時ログイン許容数を超えたことを示します。この問題を解決するには、同時ログイン数を増やすか、ユーザに対して特定のユーザ名とパスワードで 1 回だけログインを許可するようにします。
716003
エラー メッセージ %ASA-6-716003: Group group User user IP ip WebVPN access "GRANTED: url "説明 指摘された IP アドレスにおけるこの group 内の WebVPN ユーザは、この URL へのアクセス権を与えられています。さまざまな場所へのユーザのアクセスは、WebVPN 固有の ACL を使用して制御できます。
716004
エラー メッセージ %ASA-6-716004: Group group User user WebVPN access DENIED to specified location: url説明 この group 内の WebVPN ユーザは、この URL へのアクセス権を拒否されています。さまざまな場所への WebVPN ユーザのアクセスは、WebVPN 固有の ACL を使用して制御できます。この場合は、特定のエントリがこの URL へのアクセスを拒否しています。
716005
エラー メッセージ %ASA-6-716005: Group group User user WebVPN ACL Parse Error: reason716006
エラー メッセージ %ASA-6-716006: Group name User user WebVPN session terminated. Idle timeout.説明 VPN トンネル プロトコルが WebVPN に設定されていないため、指摘されたグループ内でユーザに対して WebVPN セッションが作成されませんでした。
716007
エラー メッセージ %ASA-4-716007: Group group User user WebVPN Unable to create session.説明 リソースの問題のため、指摘されたグループ内のユーザに対して WebVPN セッションが作成されませんでした。たとえば、ユーザが最大ログイン制限に達した可能性があります。
716008
エラー メッセージ %ASA-7-716008: WebVPN ACL: action716009
エラー メッセージ %ASA-6-716009: Group group User user WebVPN session not allowed. WebVPN ACL parse error.説明 関連する ACL が解析していないため、このグループ内の指定されたユーザの WebVPN セッションが許可されません。このエラーが修正されるまで、ユーザが WebVPN を介してログインすることは許可されません。
716010
エラー メッセージ %ASA-7-716010: Group group User user Browse network.716011
エラー メッセージ %ASA-7-716011: Group group User user Browse domain domain .716012
エラー メッセージ %ASA-7-716012: Group group User user Browse directory directory .716013
エラー メッセージ %ASA-7-716013: Group group User user Close file filename .716014
エラー メッセージ %ASA-7-716014: Group group User user View file filename .716015
エラー メッセージ %ASA-7-716015: Group group User user Remove file filename .716016
エラー メッセージ %ASA-7-716016: Group group User user Rename file old_filename to new_filename .716017
エラー メッセージ %ASA-7-716017: Group group User user Modify file filename .716018
エラー メッセージ %ASA-7-716018: Group group User user Create file filename .716019
エラー メッセージ %ASA-7-716019: Group group User user Create directory directory .716020
エラー メッセージ %ASA-7-716020: Group group User user Remove directory directory .716021
エラー メッセージ %ASA-7-716021: File access DENIED, filename .716022
エラー メッセージ %ASA-4-716022: Unable to connect to proxy server reason .716023
エラー メッセージ %ASA-4-716023: Group name User user Session could not be established: session limit of maximum_sessions reached.716024
エラー メッセージ %ASA-7-716024: Group name User user Unable to browse the network.Error: description説明 説明が示しているように、ユーザは CIFS プロトコルを使用して Windows ネットワークをブラウズできませんでした。たとえば、「Unable to contact necessary server」は、リモート サーバが使用不可または到達不能であることを示しています。これは、一時的な状態である場合もありますし、さらにトラブルシューティングが必要な場合もあります。
推奨処置 WebVPN デバイスと、CIFS プロトコルでアクセスするサーバとの間の接続を確認します。また、ASA で NetBIOS ネーム サーバのコンフィギュレーションを確認します。
716025
エラー メッセージ %ASA-7-716025: Group name User user Unable to browse domain domain . Error: description説明 ユーザが CIFS プロトコルを使用してリモート ドメインをブラウズできません。
推奨処置 WebVPN デバイスと、CIFS プロトコルでアクセスするサーバとの間の接続を確認します。ASA で NetBIOS ネーム サーバのコンフィギュレーションを確認します。
716026
エラー メッセージ %ASA-7-716026: Group name User user Unable to browse directory directory . Error: description説明 ユーザが CIFS プロトコルを使用してリモート ディレクトリをブラウズできませんでした。
推奨処置 WebVPN デバイスと、CIFS プロトコルでアクセスするサーバとの間の接続を確認します。また、ASA で NetBIOS ネーム サーバのコンフィギュレーションを確認します。
716027
エラー メッセージ %ASA-7-716027: Group name User user Unable to view file filename . Error: description説明 ユーザが CIFS プロトコルを使用してリモート ファイルを表示できませんでした。
推奨処置 WebVPN デバイスと、CIFS プロトコルでアクセスするサーバとの間の接続を確認します。また、ASA で NetBIOS ネーム サーバのコンフィギュレーションを確認します。
716028
エラー メッセージ %ASA-7-716028: Group name User user Unable to remove file filename . Error: description説明 ユーザが CIFS プロトコルを使用してリモート ファイルを削除できませんでした。ファイルのアクセス権の不足が原因と考えられます。
推奨処置 WebVPN デバイスと、CIFS プロトコルでアクセスするサーバとの間の接続を確認します。また、ASA 上の NetBIOS ネーム サーバのコンフィギュレーションとファイルのアクセス権を確認します。
716029
エラー メッセージ %ASA-7-716029: Group name User user Unable to rename file filename . Error: description説明 ユーザが CIFS プロトコルを使用してリモート ファイルの名前を変更できませんでした。ファイルのアクセス権の不足が原因と考えられます。
推奨処置 WebVPN デバイスと、CIFS プロトコルでアクセスするサーバとの間の接続を確認します。また、ASA 上の NetBIOS ネーム サーバのコンフィギュレーションとファイルのアクセス権を確認します。
716030
エラー メッセージ %ASA-7-716030: Group name User user Unable to modify file filename . Error: description説明 ユーザが CIFS プロトコルを使用して既存のファイルを変更しようとしたときに、問題が発生しました。ファイルのアクセス権の不足が原因と考えられます。
推奨処置 WebVPN デバイスと、CIFS プロトコルでアクセスするサーバとの間の接続を確認します。また、ASA 上の NetBIOS ネーム サーバのコンフィギュレーションとファイルのアクセス権を確認します。
716031
エラー メッセージ %ASA-7-716031: Group name User user Unable to create file filename . Error: description説明 ユーザが CIFS プロトコルを使用してファイルを作成しようとしたときに、問題が発生しました。ファイルのアクセス権の問題が原因と考えられます。
推奨処置 WebVPN デバイスと、CIFS プロトコルでアクセスするサーバとの間の接続を確認します。また、ASA 上の NetBIOS ネーム サーバのコンフィギュレーションとファイルのアクセス権を確認します。
716032
エラー メッセージ %ASA-7-716032: Group name User user Unable to create folder folder . Error: description説明 ユーザが CIFS プロトコルを使用してフォルダを作成しようとしたときに、問題が発生しました。ファイルのアクセス権の問題が原因と考えられます。
推奨処置 WebVPN デバイスと、CIFS プロトコルでアクセスするサーバとの間の接続を確認します。また、ASA 上の NetBIOS ネーム サーバのコンフィギュレーションとファイルのアクセス権を確認します。
716033
エラー メッセージ %ASA-7-716033: Group name User user Unable to remove folder folder . Error: description説明 CIFS プロトコルのユーザがフォルダを削除しようとしたときに、問題が発生しました。このエラーは、アクセス権の問題またはファイルが存在するサーバとの通信の問題が原因で発生した可能性があります。
推奨処置 WebVPN デバイスと、CIFS プロトコルでアクセスするサーバとの間の接続を確認します。また、ASA で NetBIOS ネーム サーバのコンフィギュレーションを確認します。
716034
エラー メッセージ %ASA-7-716034: Group name User user Unable to write to file filename .説明 ユーザが CIFS プロトコルを使用してファイルに書き込もうとしたときに、問題が発生しました。このエラーは、アクセス権の問題またはファイルが存在するサーバとの通信の問題が原因で発生した可能性があります。
716035
エラー メッセージ %ASA-7-716035: Group name User user Unable to read file filename .説明 CIFS プロトコルのユーザがファイルを読み取ろうとしたときに、問題が発生しました。ファイルのアクセス権の問題が原因と考えられます。
716036
エラー メッセージ %ASA-7-716036: Group name User user File Access: User user logged into the server server.716037
エラー メッセージ %ASA-7-716037: Group name User user File Access: User user failed to login into the server server.716038
エラー メッセージ %ASA-6-716038: Group group User user IP ip Authentication: successful, Session Type: WebVPN.説明 WebVPN セッションを開始するには、まずユーザがローカル サーバまたはリモート サーバによって正常に認証される必要があります(たとえば、RADIUS または TACACS+)。
716039
エラー メッセージ %ASA-6-716039: Authentication: rejected, group = name user = user , Session Type: %s説明 WebVPN セッションを開始するには、まずユーザがローカル サーバまたはリモート サーバによって正常に認証される必要があります(たとえば、RADIUS または TACACS+)。この場合、ユーザ クレデンシャル(ユーザ名とパスワード)が一致しないか、ユーザに WebVPN セッションを開始する許可がありません。
推奨処置 ローカルまたはリモート サーバのユーザ クレデンシャルと、そのユーザに対して WebVPN が設定されていることを確認します。
716040
エラー メッセージ %ASA-6-716040: Reboot pending, new sessions disabled. Denied user login.716041
エラー メッセージ %ASA-6-716041: access-list acl_ID action url url hit_cnt count説明 acl_ID の WebVPN URL で、位置 url に対して count 回のヒットがありました。 action は permitted または denied です。
716042
エラー メッセージ %ASA-6-716042: access-list acl_ID action tcp source_interface / source_address ( source_port ) - dest_interface / dest_address ( dest_port ) hit-cnt count説明 acl_ID の WebVPN TCP で、送信元インターフェイス source_interface / source_address および送信元ポート source_port で受信され、 dest_interface / dest_address の宛先 dest_port に転送されたパケットに対して count 回のヒットがありました。 action は permitted または denied です。
716043
エラー メッセージ %ASA-6-716043 Group group-name , User user-name , IP IP_address : WebVPN Port Forwarding Java applet started. Created new hosts file mappings.説明 ユーザが、WebVPN セッションから TCP ポート転送アプレットを起動しました。
• group-name :セッションに関連付けられているグループ名
• user-name :セッションに関連付けられているユーザ名
716044
エラー メッセージ %ASA-4-716044: Group group-name User user-name IP IP_address AAA parameter param-name value param-value out of range.推奨処置 コンフィギュレーションを変更して、指摘されたパラメータを修正します。パラメータが vlan または nac-settings の場合、それが AAA サーバおよび ASA で正しく設定されていることを確認します。
716045
エラー メッセージ %ASA-4-716045: Group group-name User user-name IP IP_address AAA parameter param-name value invalid.716046
エラー メッセージ %ASA-4-716046: Group group-name User user-name IP IP_address User ACL access-list-name from AAA doesn't exist on the device, terminating connection.716047
エラー メッセージ %ASA-4-716047: Group group-name User user-name IP IP_address User ACL access-list-name from AAA ignored, AV-PAIR ACL used instead.716048
エラー メッセージ %ASA-4-716048: Group group-name User user-name IP IP_address No memory to parse ACL.716049
エラー メッセージ %ASA-6-716049: Group group-name User user-name IP IP_address Empty SVC ACL.716050
エラー メッセージ %ASA-6-716050: Error adding to ACL: ace_command_line716051
エラー メッセージ %ASA-6-716051: Group group-name User user-name IP IP_address Error adding dynamic ACL for user.716052
エラー メッセージ %ASA-4-716052: Group group-name User user-name IP IP_address Pending session terminated.説明 ユーザがログインを完了できず、保留中のセッションが終了しました。これは、接続できない SVC が原因である可能性があります。
716053
エラー メッセージ %ASA-5-716053: SSO Server added: name: name Type: type説明 指摘されたタイプの SSO サーバ名が設定されました。
716054
エラー メッセージ %ASA-5-716054: SSO Server deleted: name: name Type: type説明 指摘されたタイプの SSO サーバ名がコンフィギュレーションから削除されました。
716055
エラー メッセージ %ASA-6-716055: Group group-name User user-name IP IP_address Authentication to SSO server name: name type type succeeded説明 WebVPN ユーザが SSO サーバで正常に認証されました。
716056
エラー メッセージ %ASA-3-716056: Group group-name User user-name IP IP_address Authentication to SSO server name: name type type failed reason: reason説明 WebVPN ユーザが SSO サーバでの認証に失敗しました。
716057
エラー メッセージ %ASA-3-716057: Group group User user IP ip Session terminated, no type license available.説明 ユーザが、ライセンスされていないクライアントを使用してASAに接続しようとしました。このメッセージは、一時ライセンスの有効期限が切れた場合にも表示されることがあります。
• group :ユーザのログイン時に適用されたグループ ポリシー
• type :要求されたライセンスのタイプ。次のいずれかです。
- クライアントから要求されたライセンスのタイプ(AnyConnect Mobile または LinkSys Phone 以外の場合)
716058
エラー メッセージ %ASA-6-716058: Group group User user IP ip AnyConnect session lost connection. Waiting to resume.説明 SSL トンネルが廃棄され、AnyConnect セッションが非アクティブ状態になります。この原因としては、休止ホスト、スタンバイ ホスト、またはネットワーク接続の喪失が考えられます。
716059
エラー メッセージ %ASA-6-716059: Group group User user IP ip AnyConnect session resumed. Connection from ip2 .説明 AnyConnect セッションが非アクティブ状態から再開しました。
• group :AnyConnect セッションに関連付けられているトンネル グループの名前
716060
エラー メッセージ %ASA-6-716060: Group group User user IP ip Terminated AnyConnect session in inactive state to accept a new connection. License limit reached.説明 新しい着信 SSL VPN(AnyConnect またはクライアントレス)接続を許可するために、非アクティブ状態の AnyConnect セッションがログアウトされました。
716500
エラー メッセージ %ASA-2-716500: internal error in: function : Fiber library cannot locate AK47 instance716501
エラー メッセージ %ASA-2-716501: internal error in: function : Fiber library cannot attach AK47 instance716502
エラー メッセージ %ASA-2-716502: internal error in: function : Fiber library cannot allocate default arena716503
エラー メッセージ %ASA-2-716503: internal error in: function : Fiber library cannot allocate fiber descriptors pool716504
エラー メッセージ %ASA-2-716504: internal error in: function : Fiber library cannot allocate fiber stacks pool716505
エラー メッセージ %ASA-2-716505: internal error in: function : Fiber has joined fiber in unfinished state716506
エラー メッセージ %ASA-2-716506: UNICORN_SYSLOGID_JOINED_UNEXPECTED_FIBER716507
エラー メッセージ %ASA-1-716507: Fiber scheduler has reached unreachable code. Cannot continue, terminating.推奨処置 高 CPU 使用率または CPU ホグ状態の有無、およびメモリ リークの可能性を調べます。問題が解決しない場合、Cisco TAC にお問い合わせください。
716508
エラー メッセージ %ASA-1-716508: internal error in: function : Fiber scheduler is scheduling rotten fiber. Cannot continuing terminating716509
エラー メッセージ %ASA-1-716509:internal error in: function : Fiber scheduler is scheduling alien fiber. Cannot continue terminating716510
エラー メッセージ %ASA-1-716510:internal error in: function : Fiber scheduler is scheduling finished fiber. Cannot continue terminating716512
エラー メッセージ %ASA-2-716512:internal error in: function : Fiber has joined fiber waited upon by someone else716513
エラー メッセージ %ASA-2-716513: internal error in: function : Fiber in callback blocked on other channel716515
エラー メッセージ %ASA-2-716515:internal error in: function : OCCAM failed to allocate memory for AK47 instance716516
エラー メッセージ %ASA-1-716516: internal error in: function : OCCAM has corrupted ROL array. Cannot continue terminating716517
エラー メッセージ %ASA-2-716517: internal error in: function : OCCAM cached block has no associated arena716518
エラー メッセージ %ASA-2-716518: internal error in: function : OCCAM pool has no associated arena716519
エラー メッセージ %ASA-1-716519: internal error in: function : OCCAM has corrupted pool list. Cannot continue terminating716520
エラー メッセージ %ASA-2-716520:internal error in: function : OCCAM pool has no block list716521
エラー メッセージ %ASA-2-716521: internal error in: function : OCCAM no realloc allowed in named pool716522
エラー メッセージ %ASA-2-716522: internal error in: function : OCCAM corrupted standalone block716525
エラー メッセージ %ASA-2-716525: UNICORN_SYSLOGID_SAL_CLOSE_PRIVDATA_CHANGED716526
エラー メッセージ %ASA-2-716526: UNICORN_SYSLOGID_PERM_STORAGE_SERVER_LOAD_FAIL716527
エラー メッセージ %ASA-2-716527: UNICORN_SYSLOGID_PERM_STORAGE_SERVER_STORE_FAIL716528
エラー メッセージ %ASA-1-716528: Unexpected fiber scheduler error; possible out-of-memory condition推奨処置 高 CPU 使用率または CPU ホグ状態の有無、およびメモリ リークの可能性を調べます。問題が解決しない場合、Cisco TAC にお問い合わせください。
716600
エラー メッセージ %ASA-3-716600: Rejected size-recv KB Hostscan data from IP src-ip . Hostscan results exceed default | configured limit of size-conf KB.説明 Hostscan の受信データのサイズが ASA に設定された制限を超える場合、データは破棄されます。
• size-recv :Hostscan の受信データのサイズ(KB 単位)
• default | configured :Hostscan データの制限値をデフォルトとするか管理者が設定するかを指定するキーワード
• size-conf :ASA がクライアントから受け入れる Hostscan データのサイズに対して設定された上限
推奨処置 ASA がクライアントから受け入れる Hostscan データのサイズの上限を増やすには、Cisco TAC にお問い合わせください。
716601
エラー メッセージ %ASA-3-716601: Rejected size-recv KB Hostscan data from IP src-ip . System-wide limit on the amount of Hostscan data stored on ASA exceeds the limit of data-max KB.説明 ASA に保存された Hostscan データの量が制限を超えると、Hostscan の新しい結果は拒否されます。
• size-recv :Hostscan の受信データのサイズ(KB 単位)
716602
エラー メッセージ %ASA-3-716602: Memory allocation error. Rejected size-recv KB Hostscan data from IP src-ip .説明 メモリを Hostscan データに割り当てている最中にエラーが発生しました。
• size-recv :Hostscan の受信データのサイズ(KB 単位)
推奨処置 設定されている場合、Hostscan の制限をデフォルト値に設定します。問題が解決しない場合は、TAC にご連絡ください。
716603
エラー メッセージ %ASA-7-716603: Received size-recv KB Hostscan data from IP src-ip .説明 指定したサイズの Hostscan データが正常に受信されました。
717001
エラー メッセージ %ASA-3-717001: Querying keypair failed.717002
エラー メッセージ %ASA-3-717002: Certificate enrollment failed for trustpoint trustpoint_name . Reason: reason_string .717003
エラー メッセージ %ASA-6-717003: Certificate received from Certificate Authority for trustpoint trustpoint_name .717004
エラー メッセージ %ASA-6-717004: PKCS #12 export failed for trustpoint trustpoint_name .説明 トラスト ポイントが次のいずれかの原因でエクスポートされませんでした。CA 証明書だけが存在しトラスト ポイントのアイデンティティ証明書が存在しないか、必要なキーペアが欠落しています。
717005
エラー メッセージ %ASA-6-717005: PKCS #12 export succeeded for trustpoint trustpoint_name .717006
エラー メッセージ %ASA-6-717006: PKCS #12 import failed for trustpoint trustpoint_name .説明 要求されたトラストポイントのインポートを処理できませんでした。
推奨処置 インポートしたデータの整合性を確認します。その後、pkcs12 レコード全体が正しく貼り付けられていることを確認し、データを再インポートします。
717007
エラー メッセージ %ASA-6-717007: PKCS #12 import succeeded for trustpoint trustpoint_name .717008
エラー メッセージ %ASA-2-717008: Insufficient memory to process_requiring_memory .説明 メモリを必要とするプロセスのメモリ割り当てを試行中に内部エラーが発生しました。メモリの割り当て中にその他のプロセスで問題が発生し、以降の処理が妨げられる可能性があります。
717009
エラー メッセージ %ASA-3-717009: Certificate validation failed. Reason: reason_string .説明 証明書の検証が失敗しました。これは、無効になった証明書の検証試行、無効な証明書属性、またはコンフィギュレーションの問題が原因である可能性があります。
• reason_string :証明書の検証が失敗した原因
推奨処置 適切なトラストポイントが見つからなかったことが理由で示されている場合は、コンフィギュレーションで検証のため有効なトラストポイントが設定されていることを確認します。ASA の時刻が認証局の時刻に対して正確であることを確認します。障害の原因を確認し、示された問題を訂正します。
717010
エラー メッセージ %ASA-3-717010: CRL polling failed for trustpoint trustpoint_name .説明 CRL ポーリングが失敗しました。CRL チェックが必要な場合は、これによって接続が拒否される可能性があります。
• trustpoint_name :CRL を要求したトラストポイントの名前
推奨処置 設定された CRL 配布ポイントとの間に接続が存在することを確認し、手動の CRL 検索が正しく機能することを確認します。
717011
エラー メッセージ %ASA-2-717011: Unexpected event event event_ID717012
エラー メッセージ %ASA-3-717012: Failed to refresh CRL cache entry from the server for trustpoint trustpoint_name at time_of_failure説明 指摘されたトラストポイントに対するキャッシュされた CRL エントリのリフレッシュ試行が、示された失敗回数だけ失敗しました。これによって、ASA 上に古い CRL が生じ、有効な CRL を必要とする接続が拒否される可能性があります。
• trustpoint_name :トラストポイントの名前
推奨処置 ネットワークまたはサーバのダウンなど、サーバとの接続上の問題を確認します。 crypto ca crl retrieve コマンドを使用して、CRL を手動で取得します。
717013
エラー メッセージ %ASA-5-717013: Removing a cached CRL to accommodate an incoming CRL. Issuer: issuer説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスが設定されている場合は、接続のたびに CRL をダウンロードせずに済むように、CRL がメモリにキャッシュされる可能性があります。キャッシュがいっぱいになって着信 CRL を受け入れられなくなった場合は、必要なスペースが使用可能になるまで古い CRL が削除されていきます。このメッセージは、パージされる各 CRL に対して生成されます。
717014
エラー メッセージ %ASA-5-717014: Unable to cache a CRL received from CDP due to size limitations (CRL size = size , available cache space = space )説明 デジタル証明書を使用して IPSec トンネルを認証するようにデバイスが設定されている場合は、接続のたびに CRL をダウンロードせずに済むように、CRL がメモリにキャッシュされる可能性があります。このメッセージは、受信した CRL が大きすぎてキャッシュに収まらない場合に生成されます。大きい CRL はキャッシュされませんが、引き続きサポートされます。これは、各 IPSec 接続で CRL がダウンロードされることを意味します。IPSec 接続のバースト時にパフォーマンスに影響する可能性があります。
717015
エラー メッセージ %ASA-3-717015: CRL received from issuer is too large to process (CRL size = crl_size , maximum CRL size = max_crl_size )説明 IPSec 接続によって、許可された最大 CRL サイズよりも大きい CRL がダウンロードされました。このエラーにより、接続の失敗が発生します。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
推奨処置 CRL 方式の失効チェックでは、スケーラビリティが最も重大な欠点となる可能性があります。この問題を解決する方法には、CA のソリューションを調査して CRL のサイズを小さくすること、または CRL 検証を必要としない ASA を設定することがあります。
717016
エラー メッセージ %ASA-6-717016: Removing expired CRL from the CRL cache. Issuer: issuer説明 デジタル証明書を使用して ASAIPSec トンネルを認証するように が設定されている場合は、接続のたびに CRL をダウンロードせずに済むように、CRL がメモリにキャッシュされる可能性があります。このメッセージは、CA が指定した有効期限または設定されたキャッシュ時間が経過し、CRL がキャッシュから削除された場合に生成されます。
717017
エラー メッセージ %ASA-3-717017: Failed to query CA certificate for trustpoint trustpoint_name from enrollment_url説明 認証局からの CA 証明書を要求することによってトラストポイントを認証しようとしたときにエラーが発生しました。
推奨処置 このトラストポイントで登録 URL が設定されていることを確認し、CA サーバとの接続を確認して、要求を再試行します。
717018
エラー メッセージ %ASA-3-717018: CRL received from issuer has too many entries to process (number of entries = number_of_entries , maximum number allowed = max_allowed )説明 IPSec 接続によって、サポートできる数より多くの失効エントリを含む CRL がダウンロードされました。これは、接続の失敗を引き起こすエラー状態です。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
• number_of_entries :受信した CRL 内の失効エントリの数
• max_allowed :ASA がサポートする CRL エントリの最大数
推奨処置 CRL 方式の失効チェックでは、スケーラビリティが最も重大な欠点となる可能性があります。この問題を解決する方法には、CA のソリューションを調査して CRL のサイズを小さくすること、または CRL 検証を必要としない ASA を設定することがあります。
717019
エラー メッセージ %ASA-3-717019: Failed to insert CRL for trustpoint trustpoint_name . Reason: failure_reason .説明 CRL が取得されたが、無効であり、 failure_reason のためキャッシュに挿入できません。
• trustpoint_name :CRL を要求したトラストポイントの名前
• failure_reason :CRL をキャッシュに挿入できなかった理由
推奨処置 ASA の現在の時刻が CA の時刻に対して正確であることを確認します。NextUpdate フィールドがない場合は、NextUpdate フィールドを無視するようにトラストポイントを設定します。
717020
エラー メッセージ %ASA-3-717020: Failed to install device certificate for trustpoint label . Reason: reason string .説明 登録対象の証明書をトラストポイントに登録またはインポートしようとしているときに、障害が発生しました。
• label :登録対象の ASA 証明書をインストールできなかったトラストポイントのラベル
推奨処置 障害の理由を参照して障害の原因を取り除き、登録を再試行します。一般的な障害は、無効な証明書が ASA にインポートされているため、または登録対象の証明書に含まれている公開キーとトラストポイントで参照されるキーペアとのミスマッチのために発生します。
717021
エラー メッセージ %ASA-3-717021: Certificate data could not be verified. Locate Reason: reason_string serial number: serial number , subject name: subject name , key length key length bits.説明 シリアル番号とサブジェクト名で示された証明書を検証しようとしましたが、指摘された理由によって失敗しました。シグニチャを使用して証明書データを検証すると、無効なキー タイプやサポートされないキー サイズなど、ログに記録されるいくつかのエラーが発生する可能性があります。
• serial number :検証中の証明書のシリアル番号
• subject name :検証中の証明書に含まれるサブジェクト名
• key length :この証明書に署名するために使用されるキー内のビット数
推奨処置 指摘された証明書を調べて、有効であること、有効なキー タイプが含まれていること、サポートされる最大キー サイズを超過していないことを確認します。
717022
エラー メッセージ %ASA-6-717022: Certificate was successfully validated. certificate_identifiers • certificate_identifiers :正常に検証された証明書を識別する情報。これには、理由、シリアル番号、サブジェクト名、および追加情報が含まれます。
717023
エラー メッセージ %ASA-3-717023: SSL failed to set device certificate for trustpoint trustpoint name . Reason: reason_string .説明 SSL 接続の認証のため所定のトラストポイントで ASA 証明書を設定しようとして失敗しました。
• trustpoint name :SSL が ASA 証明書を設定できなかったトラストポイントの名前
• reason_string :ASA 証明書を設定できない理由
推奨処置 次のように、失敗について報告された理由で示された問題を解決します。
717024
エラー メッセージ %ASA-7-717024: Checking CRL from trustpoint: trustpoint name for purpose717025
エラー メッセージ %ASA-7-717025: Validating certificate chain containing number of certs certificate(s).717026
エラー メッセージ %ASA-4-717026: Name lookup failed for hostname hostname during PKI operation.説明 PKI オペレーションの試行中に所定のホスト名を解決できません。
推奨処置 所定のホスト名のコンフィギュレーションおよび DNS サーバ エントリを調べて、解決できることを確認します。それから、オペレーションを再試行します。
717027
エラー メッセージ %ASA-3-717027: Certificate chain failed validation. reason_string . • reason_string :証明書チェーンを検証できなかった理由
推奨処置 理由に示された問題を解決し、次の処置のいずれかを実行して検証を再試行します。
• CRL チェックが必要な場合は CA への接続が存在することを確認します。
• トラストポイントが認証されており、検証に使用できることを確認します。
717028
エラー メッセージ %ASA-6-717028: Certificate chain was successfully validated additional info . • additional info :証明書チェーンがどのように検証されたかを示す追加情報(CRL チェックが実行されなかったことを示す「with warning」など)
717029
エラー メッセージ %ASA-7-717029: Identified client certificate within certificate chain. serial number: serial_number , subject name: subject_name .説明 クライアント証明書として指定されている証明書が識別されます。
• serial_number :クライアント証明書として識別される証明書のシリアル番号
717030
エラー メッセージ %ASA-7-717030: Found a suitable trustpoint trustpoint name to validate certificate.説明 証明書の検証に使用できる適切または使用可能なトラストポイントが見つかりました。
717031
エラー メッセージ %ASA-4-717031: Failed to find a suitable trustpoint for the issuer: issuer Reason: reason_string説明 使用可能なトラストポイントが見つかりません。証明書の検証中は、証明書を検証するために適切なトラストポイントが使用可能になっている必要があります。
• reason_string :適切なトラストポイントが見つからない理由
推奨処置 コンフィギュレーションを調べてトラストポイントが設定、認証、および登録されていることを確認し、理由に示された問題を解決します。また、コンフィギュレーションが、ID 証明書など、特定のタイプの証明書を許可していることを確認します。
717033
エラー メッセージ %ASA-6-717033: OCSP response status - Successful.717034
エラー メッセージ %ASA-7-717034: No-check extension found in certificate. OCSP check bypassed.説明 「id-pkix-ocsp-nocheck」拡張を含む OCSP 応答側証明書が受信されました。これにより、OCSP ステータス チェックなしでこの証明書を検証できます。
717035
エラー メッセージ %ASA-4-717035: OCSP status is being checked for certificate. certificate_identifier.説明 OCSP ステータス チェックが実行される証明書が識別されます。
717036
エラー メッセージ ASA-7-717036: Looking for a tunnel group match based on certificate maps for peer certificate with certificate_identifier .説明 証明書 ID によって識別されるピアの証明書は、可能なトンネル グループの一致を試みるために、設定された証明書マップによって処理されています。
717037
エラー メッセージ %ASA-4-717037: Tunnel group search using certificate maps failed for peer certificate: certificate_identifier .説明 証明書 ID によって識別されるピアの証明書は、可能なトンネル グループの一致を試みるために、設定された証明書マップによって処理されましたが、一致が見つかりませんでした。
• certificate_identifier :証明書マップ規則によって処理されている証明書を識別する情報
推奨処置 受信したピア証明書および設定済みの暗号化 CA 証明書マップ規則に基づいて、この警告が予期されたものであることを確認します。
717038
エラー メッセージ %ASA-7-717038: Tunnel group match found. Tunnel Group: tunnel_group_name , Peer certificate: certificate_identifier .説明 証明書 ID によって識別されるピアの証明書は、設定された証明書マップによって処理され、トンネル グループへの一致が見つかりました。
• certificate_identifier :証明書マップ規則によって処理されている証明書を識別する情報
717039
エラー メッセージ %ASA-3-717039: Local CA Server internal error detected: error.説明 ローカル CA サーバで内部処理エラーが発生しました。
推奨処置 error に基づいて、問題の解決に必要な手順を実行します。現在、考えられるエラーは次のとおりです。
• CA key does not exist:CA キーが存在することを確認します。または、必要に応じてバックアップからキーを復元します。
• Failed to rollover expired CA certificate:クロックが正しいこと、および CA 証明書が期限切れであることを確認します。その後、CA サーバを再起動して、証明書の再発行を試みます。
• Failed to generate self-signed certificate for Local CA Server certificate rollover upon expiration:クロックが正しいこと、および CA 証明書の期限切れが近づいていることを確認します。その後、CA サーバを再起動して、証明書の再発行を試みます。
• Failed to configure Local CA Server:デバッグをオンにして、CA サーバの設定を再度試行し、障害の原因を特定します。
• Invalid issuer name configured:発行者名の DN を有効な DN 文字列に変更します。
717040
エラー メッセージ %ASA-2-717040: Local CA Server has failed and is being disabled. Reason: reason.説明 エラーのためにローカル CA サーバがディセーブルにされています。
• Storage down:ストレージにアクセスできることを確認し、 no shut コマンドを使用して CA サーバを再度イネーブルにします。
717041
エラー メッセージ %ASA-7-717041: Local CA Server event: event info .説明 CA サーバの健全性を追跡またはデバッグできるようにするため、CA サーバで発生したイベントの詳細が報告されます。この報告は、CA サーバが作成、イネーブル化、またはディセーブル化されたとき、あるいは CA サーバ証明書がロールオーバーされたときなどに行われます。
717042
エラー メッセージ %ASA-3-717042: Failed to enable Local CA Server.Reason: reason .説明 ローカル CA サーバをイネーブルにしようとしたときにエラーが発生しました。
• reason :ローカル CA サーバをイネーブルにできなかった原因
推奨処置 reason 文字列で報告された、発生した問題を解決します。現在、考えられる原因は次のとおりです。
717043
エラー メッセージ %ASA-6-717043: Local CA Server certificate enrollment related info for user: user . Info: info .説明 ユーザの登録関連アクティビティがモニタされています。ユーザ名と特定の登録情報を報告して、登録、電子メール招待状の生成、および更新リマインダの生成をモニタできるようにします。
717044
エラー メッセージ %ASA-3-717044: Local CA server certificate enrollment related error for user: user . Error: error .説明 証明書登録処理でエラーが発生しました。これには、更新リマインダを電子メールでユーザに通知するときのエラー、登録を完了するための証明書発行中のエラー、無効なユーザ名または OTP、および期限切れの登録試行が含まれます。
• user :登録エラー ログが生成されているユーザのユーザ名
推奨処置 error によって問題を診断および解決するための十分な情報が得られない場合は、デバッグをオンにして、登録を再試行します。
717045
エラー メッセージ %ASA-7-717045:Local CA Server CRL info: info717046
エラー メッセージ %ASA-3-717046: Local CA Server CRL error: error .説明 ローカル CA サーバの CRL ファイルを生成および再発行しようとしているときにエラーが発生しました。
推奨処置 報告された問題を解決するための適切な処置を行います。たとえば、ストレージにアクセスできることを確認したり、ストレージ内の CRL ファイルが有効で、既存のローカル CA サーバによって署名されていることを確認します。
717047
エラー メッセージ %ASA-6-717047: Revoked certificate issued to user: username, with serial number serial number .説明 ローカル CA サーバによって発行され失効したすべての証明書がモニタされています。
717048
エラー メッセージ %ASA-6-717048: Unrevoked certificate issued to user: username, with serial number serial number .説明 ローカル CA サーバによって発行され、以前に失効したが、現在は失効が取り消され、CRL から削除されているすべての証明書がモニタされています。
• username :失効が取り消された証明書の所有者のユーザ名
717049
エラー メッセージ %ASA-1-717049: Local CA Server certificate is due to expire in number days and a replacement certificate is available for export.説明 CA 証明書の期限切れが近づいていることを管理者に通知します。この通知により、管理者は、新しい証明書を必要とするすべての ASA に代わりの証明書をエクスポートするための処置を行うことができます。
• number :ローカル CA サーバ証明書が期限切れになるまでの日数
推奨処置 ローカル CA サーバ証明書を必要とするすべての ASA で証明書の検証の失敗を防止するために、値 number で示されている、現在のローカル CA サーバの証明書の実際の失効の前に、処置を実行する必要があります。CA 証明書は自動的に置き換えられるため、ローカル CA サーバは処置を要求しないことに注意してください。 show crypto ca server certificate コマンドを使用して、代わりのまたはロールオーバーのローカル CA サーバ証明書を表示し、その証明書をコピーして、新しい証明書を必要とするすべての ASA にインポートします。
717050
エラー メッセージ %ASA-5-717050: SCEP Proxy: Processed request type type from IP client ip address , User username , TunnelGroup tunnel_group name , GroupPolicy group-policy name to CA IP ca ip address説明 SCEP プロキシはメッセージを受信し、CA に中継しました。CA からの応答はクライアントに中継されます。
• type :SCEP プロキシが受信した要求タイプ文字列。PKIOperation、GetCACaps、GetCACert、GetNextCACert および GetCACertChain のいずれかの SCEP メッセージ タイプになります。
• client ip address :受信した要求の送信元 IP アドレス
• username :SCEP 要求を受信した VPN セッションに関連付けられたユーザ名
• tunnel-group name :SCEP 要求を受信した VPN セッションに関連付けられたトンネル グループ
• group-policy name :SCEP 要求を受信した VPN セッションに関連付けられたグループ ポリシー
717051
エラー メッセージ %ASA-3-717051: SCEP Proxy: Denied processing the request type type received from IP client ip address , User username , TunnelGroup tunnel group name , GroupPolicy group policy name to CA ca ip address . Reason: msg説明 SCEP プロキシは要求の処理を拒否しました。これは、設定ミス、プロキシのエラー状態、または無効な要求によって発生する可能性があります。
• type :SCEP プロキシが受信した要求タイプ文字列。PKIOperation、GetCACaps、GetCACert、GetNextCACert および GetCACertChain のいずれかの SCEP メッセージ タイプになります。
• client ip address :受信した要求の送信元 IP アドレス
• username :SCEP 要求を受信した VPN セッションに関連付けられたユーザ名
• tunnel-group name :SCEP 要求を受信した VPN セッションに関連付けられたトンネル グループ
• group-policy name :SCEP 要求を受信した VPN セッションに関連付けられたグループ ポリシー
• ca ip address :グループ ポリシーで設定されている CA の IP アドレス
• msg :要求の処理が拒否された理由またはエラーを示す原因文字列
推奨処置 出力された理由からの原因を特定します。理由として要求が無効であることが表示されている場合、CA URL の設定を確認します。そうでない場合は、トンネル グループで SCEP の登録がイネーブルになっていることを確認し、 debug crypto ca scep-proxy コマンドを使用してさらにデバッグします。
718001
エラー メッセージ %ASA-7-718001: Internal interprocess communication queue send failure: code error_code説明 VPN ロード バランシング キューでメッセージをキューに入れようとしたときに、内部ソフトウェア エラーが発生しました。
718002
エラー メッセージ %ASA-5-718002: Create peer IP_address failure, already at maximum of number_of_peers説明 ロード バランシング ピアの最大数を超過しました。新しいピアは無視されます。
推奨処置 ロード バランシングとネットワーク コンフィギュレーションを調べて、ロード バランシング ピアの数が、許可された最大値を超過していないことを確認します。
718003
エラー メッセージ %ASA-6-718003: Got unknown peer message message_number from IP_address , local version version_number , remote version version_number説明 ロード バランシング ピアのいずれかから、認識されないロード バランシング メッセージが受信されました。これは、ピア間のバージョンの不一致を示している可能性がありますが、内部ソフトウェア エラーが原因となっていると思われます。
推奨処置 すべてのロード バランシング ピアに互換性があることを確認します。互換性があり、この状態が続く場合、または望ましくない動作が引き起こされる場合は、Cisco TAC にお問い合わせください。
718004
エラー メッセージ %ASA-6-718004: Got unknown internal message message_number718005
エラー メッセージ %ASA-5-718005: Fail to send to IP_address , port port説明 ロード バランシング ソケットでのパケットの送信中に、内部ソフトウェア エラーが発生しました。これはネットワークの問題を示している可能性があります。
推奨処置 ASA でネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データが ASA を通過していることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718006
エラー メッセージ %ASA-5-718006: Invalid load balancing state transition [cur= state_number ][event= event_number ]説明 ステート マシン エラーが発生しました。これは、内部ソフトウェア エラーが存在する可能性があることを示しています。
718007
エラー メッセージ %ASA-5-718007: Socket open failure failure_code説明 ロード バランシング ソケットを開こうとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 ASA でネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データが ASA を通過していることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718008
エラー メッセージ %ASA-5-718008: Socket bind failure failure_code説明 ASA がロード バランシング ソケットにバインドしようとしたときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 ASA でネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データが ASA を通過していることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718009
エラー メッセージ %ASA-5-718009: Send HELLO response failure to IP_address説明 ASA がロード バランシング ピアの 1 つに Hello Response メッセージを送信しようとしたときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 ASA でネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データが ASA を通過していることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718010
エラー メッセージ %ASA-5-718010: Sent HELLO response to IP_address718011
エラー メッセージ %ASA-5-718011: Send HELLO request failure to IP_address説明 ASA がロード バランシング ピアの 1 つに Hello Request メッセージを送信しようとしたときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 ASA でネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データが ASA を通過していることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718012
エラー メッセージ %ASA-5-718012: Sent HELLO request to IP_address718013
エラー メッセージ %ASA-6-718013: Peer IP_address is not answering HELLO718014
エラー メッセージ %ASA-5-718014: Master peer IP_address is not answering HELLO718015
エラー メッセージ %ASA-5-718015: Received HELLO request from IP_address718016
エラー メッセージ %ASA-5-718016: Received HELLO response from IP_address718017
エラー メッセージ %ASA-7-718017: Got timeout for unknown peer IP_address msg type message_type説明 ASA が未知のピアのタイムアウトを処理しました。ピアはすでにアクティブ リストから削除されている可能性があるので、メッセージは無視されました。
推奨処置 メッセージが解決しない場合、または望ましくない動作が引き起こされる場合は、ロード バランシング ピアを調べて、設定がすべて正しいことを確認します。
718018
エラー メッセージ %ASA-7-718018: Send KEEPALIVE request failure to IP_address説明 Keepalive Request メッセージをロード バランシング ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 ASA でネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データが ASA を通過していることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718019
エラー メッセージ %ASA-7-718019: Sent KEEPALIVE request to IP_address718020
エラー メッセージ %ASA-7-718020: Send KEEPALIVE response failure to IP_address説明 Keepalive Response メッセージをロード バランシング ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 ASA でネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データが ASA を通過していることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718021
エラー メッセージ %ASA-7-718021: Sent KEEPALIVE response to IP_address718022
エラー メッセージ %ASA-7-718022: Received KEEPALIVE request from IP_address718023
エラー メッセージ %ASA-7-718023: Received KEEPALIVE response from IP_address718024
エラー メッセージ %ASA-5-718024: Send CFG UPDATE failure to IP_address説明 Configuration Update メッセージをロード バランシング ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 ASA でネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データが ASA を通過していることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718025
エラー メッセージ %ASA-7-718025: Sent CFG UPDATE to IP_address718026
エラー メッセージ %ASA-7-718026: Received CFG UPDATE from IP_address718027
エラー メッセージ %ASA-6-718027: Received unexpected KEEPALIVE request from IP_address説明 ASA は、ロード バランシング ピアから予期せぬ Keepalive Request メッセージを受信しました。
推奨処置 問題が解決しない場合、または望ましくない動作が引き起こされる場合は、すべてのロード バランシング ピアが正しく設定され、検出されていることを確認します。
718028
エラー メッセージ %ASA-5-718028: Send OOS indicator failure to IP_address説明 OOS Indicator メッセージをロード バランシング ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 ASA でネットワークのコンフィギュレーションをチェックし、インターフェイスがアクティブでプロトコル データが ASA を通過していることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718029
エラー メッセージ %ASA-7-718029: Sent OOS indicator to IP_address718030
エラー メッセージ %ASA-6-718030: Received planned OOS from IP_address718031
エラー メッセージ %ASA-5-718031: Received OOS obituary for IP_address718032
エラー メッセージ %ASA-5-718032: Received OOS indicator from IP_address718033
エラー メッセージ %ASA-5-718033: Send TOPOLOGY indicator failure to IP_address説明 Topology Indicator メッセージをロード バランシング ピアの 1 つに送信しようとしているときに、エラーが発生しました。これは、ネットワークの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 ASA でネットワークのコンフィギュレーションをチェックし、 インターフェイスがアクティブでプロトコル データが ASA を通過していることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718034
エラー メッセージ %ASA-7-718034: Sent TOPOLOGY indicator to IP_address718035
エラー メッセージ %ASA-7-718035: Received TOPOLOGY indicator from IP_address718036
エラー メッセージ %ASA-7-718036: Process timeout for req-type type_value , exid exchange_ID , peer IP_address推奨処置 ピアがタイムアウトされたことを確認します。タイムアウトされていない場合は、ロード バランシング ピアのコンフィギュレーションをチェックし、ピアと ASA との間のネットワーク接続を確認します。
718037
エラー メッセージ %ASA-6-718037: Master processed number_of_timeouts timeouts説明 マスター役割のASAが、指摘された数のピア タイムアウトを処理しました。
推奨処置 タイムアウトが正当であることを確認します。タイムアウトされていない場合は、ピアのロード バランシングのコンフィギュレーションをチェックし、ピアと ASA との間のネットワーク接続を確認します。
718038
エラー メッセージ %ASA-6-718038: Slave processed number_of_timeouts timeouts説明 スレーブ役割のASAが、指摘された数のピア タイムアウトを処理しました。
推奨処置 タイムアウトが正当であることを確認します。タイムアウトされていない場合は、ピアのロード バランシングのコンフィギュレーションをチェックし、ピアと ASA との間のネットワーク接続を確認します。
718039
エラー メッセージ %ASA-6-718039: Process dead peer IP_address推奨処置 デッド ピアの検出が正当であることを確認します。タイムアウトされていない場合は、ピアのロード バランシングのコンフィギュレーションをチェックし、ピアと ASA との間のネットワーク接続を確認します。
718040
エラー メッセージ %ASA-6-718040: Timed-out exchange ID exchange_ID not found718041
エラー メッセージ %ASA-7-718041: Timeout [msgType= type ] processed with no callback718042
エラー メッセージ %ASA-5-718042: Unable to ARP for IP_address718043
エラー メッセージ %ASA-5-718043: Updating/removing duplicate peer entry IP_address718044
エラー メッセージ %ASA-5-718044: Deleted peer IP_address718045
エラー メッセージ %ASA-5-718045: Created peer IP_address718046
エラー メッセージ %ASA-7-718046: Create group policy policy_name718047
エラー メッセージ %ASA-7-718047: Fail to create group policy policy_name説明 ロード バランシング ピア間の通信をセキュリティで保護するためにグループ ポリシーを作成しようとしたときに、ASA で障害が発生しました。
718048
エラー メッセージ %ASA-5-718048: Create of secure tunnel failure for peer IP_address718049
エラー メッセージ %ASA-7-718049: Created secure tunnel to peer IP_address718050
エラー メッセージ %ASA-5-718050: Delete of secure tunnel failure for peer IP_address718051
エラー メッセージ %ASA-6-718051: Deleted secure tunnel to peer IP_address718052
エラー メッセージ %ASA-5-718052: Received GRAT-ARP from duplicate master MAC_address718053
エラー メッセージ %ASA-5-718053: Detected duplicate master, mastership stolen MAC_address718054
エラー メッセージ %ASA-5-718054: Detected duplicate master MAC_address and going to SLAVE718055
エラー メッセージ %ASA-5-718055: Detected duplicate master MAC_address and staying MASTER718056
エラー メッセージ %ASA-7-718056: Deleted Master peer, IP IP_address718057
エラー メッセージ %ASA-5-718057: Queue send failure from ISR, msg type failure_code説明 VPN ロード バランシング キューで Interrupt Service Routing からメッセージをキューに入れているときに、内部ソフトウェア エラーが発生しました。
718058
エラー メッセージ %ASA-7-718058: State machine return code: action_routine , return_code718059
エラー メッセージ %ASA-7-718059: State machine function trace: state= state_name , event= event_name , func= action_routine718060
エラー メッセージ %ASA-5-718060: Inbound socket select fail: context= context_ID .説明 ソケット選択コールがエラーを戻し、ソケットを読み取ることができません。これは、内部ソフトウェア エラーが存在する可能性があることを示しています。
718061
エラー メッセージ %ASA-5-718061: Inbound socket read fail: context= context_ID .説明 選択コールでデータが検出された後、ソケット読み取りが失敗しました。これは、内部ソフトウェア エラーが存在する可能性があることを示しています。
718062
エラー メッセージ %ASA-5-718062: Inbound thread is awake (context= context_ID ).718063
エラー メッセージ %ASA-5-718063: Interface interface_name is down.718064
エラー メッセージ %ASA-5-718064: Admin. interface interface_name is down.718065
エラー メッセージ %ASA-5-718065: Cannot continue to run (public= up / down , private= up / down , enable= LB_state , master= IP_address , session= Enable / Disable ).説明 すべての前提条件が満たされていないため、ロード バランシング プロセスを実行できません。前提条件は、2 つのアクティブなインターフェイスとロード バランシングがイネーブルになっていることです。
推奨処置 インターフェイス コンフィギュレーションを調べて、少なくとも 2 つのインターフェイスが動作しており、ロード バランシングがイネーブルになっていることを確認します。
718066
エラー メッセージ %ASA-5-718066: Cannot add secondary address to interface interface_name , ip IP_address .説明 ロード バランシングには、外部インターフェイスに追加するセカンダリ アドレスが必要です。セカンダリ アドレスを追加する際に障害が発生しました。
推奨処置 セカンダリ アドレスとして使用されているアドレスを調べ、それが有効な一意のアドレスであることを確認します。外部インターフェイスのコンフィギュレーションを確認します。
718067
エラー メッセージ %ASA-5-718067: Cannot delete secondary address to interface interface_name , ip IP_address .説明 セカンダリ アドレスの削除が失敗しました。これは、アドレッシングの問題または内部ソフトウェア エラーが存在する可能性があることを示しています。
推奨処置 外部インターフェイスのアドレッシング情報を調べ、セカンダリ アドレスが有効な一意のアドレスであることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718068
エラー メッセージ %ASA-5-718068: Start VPN Load Balancing in context context_ID .718069
エラー メッセージ %ASA-5-718069: Stop VPN Load Balancing in context context_ID .718070
エラー メッセージ %ASA-5-718070: Reset VPN Load Balancing in context context_ID .718071
エラー メッセージ %ASA-5-718071: Terminate VPN Load Balancing in context context_ID .718072
エラー メッセージ %ASA-5-718072: Becoming master of Load Balancing in context context_ID .718073
エラー メッセージ %ASA-5-718073: Becoming slave of Load Balancing in context context_ID .718074
エラー メッセージ %ASA-5-718074: Fail to create access list for peer context_ID .説明 ACL は、LB ピアが通信できるセキュア トンネルを作成するために使用されます。ASAがこれらの ACL のいずれかを作成できませんでした。これは、アドレッシングの問題または内部ソフトウェアの問題が存在する可能性があることを示しています。
推奨処置 すべてのピアで内部インターフェイスのアドレッシング情報を調べ、すべてのピアが正しく検出されていることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
718075
エラー メッセージ %ASA-5-718075: Peer IP_address access list not set.718076
エラー メッセージ %ASA-5-718076: Fail to create tunnel group for peer IP_address .説明 ロード バランシング ピア間の通信をセキュリティで保護するためのトンネル グループを作成しようとしたときに、ASA で障害が発生しました。
718077
エラー メッセージ %ASA-5-718077: Fail to delete tunnel group for peer IP_address .説明 ロード バランシング ピア間の通信をセキュリティで保護するためのトンネル グループを削除しようとしたときに、ASA で障害が発生しました。
718078
エラー メッセージ %ASA-5-718078: Fail to create crypto map for peer IP_address .説明 ロード バランシング ピア間の通信をセキュリティで保護するためのクリプト マップを作成しようとしたときに、ASA で障害が発生しました。
718079
エラー メッセージ %ASA-5-718079: Fail to delete crypto map for peer IP_address .説明 ロード バランシング ピア間の通信をセキュリティで保護するためのクリプト マップを削除しようとしたときに、ASA で障害が発生しました。
718080
エラー メッセージ %ASA-5-718080: Fail to create crypto policy for peer IP_address .説明 ロード バランシング ピア間の通信をセキュリティで保護するために使用するトランスフォーム セットを作成しようとしたときに、ASA で障害が発生しました。これは、内部ソフトウェアの問題が存在する可能性があることを示しています。
718081
エラー メッセージ %ASA-5-718081: Fail to delete crypto policy for peer IP_address .説明 ロード バランシング ピア間の通信をセキュリティで保護するために使用するトランスフォーム セットを削除しようとしたときに、ASA で障害が発生しました。
718082
エラー メッセージ %ASA-5-718082: Fail to create crypto ipsec for peer IP_address .説明 VPN ロード バランシングのクラスタ暗号化がイネーブルである場合、VPN ロード バランシング デバイスは、ロード バランシング クラスタ内の他のすべてのデバイス用にサイトツーサイト トンネルのセットを作成します。トンネルごとに、暗号パラメータのセット(アクセス リスト、クリプト マップ、およびトランスフォーム セット)が動的に作成されます。そのような暗号パラメータの 1 つまたは複数を作成または設定できませんでした。
718083
エラー メッセージ %ASA-5-718083: Fail to delete crypto ipsec for peer IP_address .説明 ローカル VPN ロード バランシング デバイスがクラスタから削除される場合、暗号パラメータが削除されます。1 つまたは複数の暗号パラメータを削除できませんでした。
718084
エラー メッセージ %ASA-5-718084: Public/cluster IP not on the same subnet: public IP_address , mask netmask , cluster IP_address説明 クラスタ IP アドレスが、ASA の外部インターフェイスと同じネットワーク上にありません。
推奨処置 クラスタ(または仮想)IP アドレスと外部インターフェイス アドレスの両方が同じネットワーク上にあることを確認します。
718085
エラー メッセージ %ASA-5-718085: Interface interface_name has no IP address defined.718086
エラー メッセージ %ASA-5-718086: Fail to install LB NP rules: type rule_type , dst interface_name , port port .説明 ロード バランシング ピア間の通信をセキュリティで保護するために使用する SoftNP ACL 規則を作成しようとしたときに、ASA で障害が発生しました。これは、内部ソフトウェアの問題が存在する可能性があることを示しています。
718087
エラー メッセージ %ASA-5-718087: Fail to delete LB NP rules: type rule_type , rule rule_ID .説明 ロード バランシング ピア間の通信をセキュリティで保護するために使用する SoftNP ACL 規則を削除しようとしたときに、ASA で障害が発生しました。
718088
エラー メッセージ %ASA-7-718088: Possible VPN LB misconfiguration. Offending device MAC MAC_address .719001
エラー メッセージ %ASA-6-719001: Email Proxy session could not be established: session limit of maximum_sessions has been reached.719002
エラー メッセージ %ASA-3-719002: Email Proxy session pointer from source_address has been terminated due to reason error.説明 エラーのためセッションが終了しました。考えられるエラーは、セッション データベースへのセッションの追加の失敗、メモリ割り当ての失敗、チャネルへのデータ書き込みの失敗です。
719003
エラー メッセージ %ASA-6-719003: Email Proxy session pointer resources have been freed for source_address .説明 動的に割り当てられたセッション構造が解放され、セッションの終了後に NULL に設定されました。
719004
エラー メッセージ %ASA-6-719004: Email Proxy session pointer has been successfully established for source_address .719005
エラー メッセージ %ASA-7-719005: FSM NAME has been created using protocol for session pointer from source_address .説明 新規着信セッションに対して FSM が作成されました。
• protocol :電子メール プロトコル タイプ(たとえば、POP3、IMAP、および SMTP)
719006
エラー メッセージ %ASA-7-719006: Email Proxy session pointer has timed out for source_address because of network congestion.説明 ネットワークの輻輳が発生しており、データを電子メール クライアントまたは電子メール サーバに送信できません。この状態によって、ブロック タイマーが開始されます。ブロック タイマーがタイムアウトになると、セッションの有効期限が切れます。
719007
エラー メッセージ %ASA-7-719007: Email Proxy session pointer cannot be found for source_address .説明 セッション データベース内で一致するセッションが見つかりません。セッション ポインタが不良です。
719008
エラー メッセージ %ASA-3-719008: Email Proxy service is shutting down.719009
エラー メッセージ %ASA-7-719009: Email Proxy service is starting.719010
エラー メッセージ %ASA-6-719010: protocol Email Proxy feature is disabled on interface interface_name .説明 電子メール プロキシ機能が CLI から呼び出され、特定のエントリ ポイントでディセーブルになっています。これは、ユーザのメインのオン スイッチです。すべてのインターフェイスですべてのプロトコルがオフになると、メインのシャットダウン ルーチンが呼び出され、グローバル リソースやスレッドがクリーンアップされます。
• protocol :電子メール プロキシ プロトコル タイプ(たとえば、POP3、IMAP、および SMTP)
719011
エラー メッセージ %ASA-6-719011: Protocol Email Proxy feature is enabled on interface interface_name .説明 電子メール プロキシ機能が CLI から呼び出され、特定のエントリ ポイントでイネーブルになっています。これは、ユーザのメインのオン スイッチです。初めて使用される場合は、グローバル リソースやスレッドを割り当てるため、メインの起動ルーチンが呼び出されます。後続のコールでは、特定のプロトコル用のリッスン スレッドだけが起動されます。
• protocol :電子メール プロキシ プロトコル タイプ(たとえば、POP3、IMAP、および SMTP)
719012
エラー メッセージ %ASA-6-719012: Email Proxy server listening on port port for mail protocol protocol .説明 設定されたポート上の特定のプロトコルに対してリッスン チャネルが開かれ、それが TCP 選択グループに追加されました。
719013
エラー メッセージ %ASA-6-719013: Email Proxy server closing port port for mail protocol protocol .説明 設定されたポート上の特定のプロトコルに対してリッスン チャネルが閉じられ、それが TCP 選択グループから削除されました。
719014
エラー メッセージ %ASA-5-719014: Email Proxy is changing listen port from old_port to new_port for mail protocol protocol .説明 指摘されたプロトコルのリッスン ポートで変更がシグナリングされます。そのポートに対してイネーブルなすべてのインターフェイスでリッスン チャネルが閉じられ、新規ポートでリッスンが再開されました。このアクションは、CLI から呼び出されます。
719015
エラー メッセージ %ASA-7-719015: Parsed emailproxy session pointer from source_address username: mailuser = mail_user , vpnuser = VPN_user , mailserver = server説明 ユーザ名文字列が vpnuser(名前デリミタ)mailuser(サーバ デリミタ)mailserver の形式でクライアントから受信されました(たとえば、xxx:yyy@cisco.com)。名前デリミタはオプションです。デリミタがない場合は、VPN ユーザ名とメール ユーザ名が同じです。サーバ デリミタはオプションです。存在しない場合、デフォルト設定のメール サーバが使用されます。
719016
エラー メッセージ %ASA-7-719016: Parsed emailproxy session pointer from source_address password: mailpass = ******, vpnpass= ******説明 パスワード文字列が vpnpass(名前デリミタ)mailpass の形式でクライアントから受信されました(たとえば、xxx:yyy)。名前デリミタはオプションです。デリミタがない場合は、VPN パスワードとメール パスワードが同じです。
719017
エラー メッセージ %ASA-6-719017: WebVPN user: vpnuser invalid dynamic ACL.説明 ACL がこのユーザを解析できなかったため、WebVPN セッションが中断されました。ACL は、どのようなユーザ制限が電子メール アカウントのアクセスにかけられているのかを判別します。ACL は AAA サーバからダウンロードされます。このエラーのため、ログインの続行は安全ではありません。
719018
エラー メッセージ %ASA-6-719018: WebVPN user: vpnuser ACL ID acl_ID not found説明 ローカルで保持されている ACL リストで ACL が見つかりません。ACL は、どのようなユーザ制限が電子メール アカウントのアクセスにかけられているのかを判別します。ACL はローカルで設定されます。このエラーのため、続行は認可されません。
719019
エラー メッセージ %ASA-6-719019: WebVPN user: vpnuser authorization failed.説明 ACL は、どのようなユーザ制限が電子メール アカウントのアクセスにかけられているのかを判別します。認可チェックの失敗のため、ユーザが電子メール アカウントにアクセスできません。
719020
エラー メッセージ %ASA-6-719020: WebVPN user vpnuser authorization completed successfully.説明 ACL は、どのようなユーザ制限が電子メール アカウントのアクセスにかけられているのかを判別します。ユーザは、電子メール アカウントへのアクセスを認可されます。
719021
エラー メッセージ %ASA-6-719021: WebVPN user: vpnuser is not checked against ACL.説明 ACL は、どのようなユーザ制限が電子メール アカウントのアクセスにかけられているのかを判別します。ACL を使用した認可チェックがイネーブルになっていません。
719022
エラー メッセージ %ASA-6-719022: WebVPN user vpnuser has been authenticated.719023
エラー メッセージ %ASA-6-719023: WebVPN user vpnuser has not been successfully authenticated. Access denied.説明 ユーザ名が AAA サーバによって拒否されました。セッションは中断されます。ユーザは、電子メール アカウントへのアクセスを許可されません。
719024
エラー メッセージ %ASA-6-719024: Email Proxy piggyback auth fail: session = pointer user= vpnuser addr= source_address説明 Piggyback 認証が、確立された WebVPN セッションを使用して WebVPN セッション データベースでユーザ名と IP アドレスの一致を検証しています。これは、WebVPN セッションと電子メール プロキシ セッションが同じユーザによって開始され、WebVPN セッションがすでに確立されているという想定に基づいています。認証が失敗したため、セッションは中断されます。ユーザは、電子メール アカウントへのアクセスを許可されません。
719025
エラー メッセージ %ASA-6-719025: Email Proxy DNS name resolution failed for hostname .719026
エラー メッセージ %ASA-6-719026: Email Proxy DNS name hostname resolved to IP_address .720001
エラー メッセージ %ASA-4-720001: (VPN- unit ) Failed to initialize with Chunk Manager.説明 VPN フェールオーバー サブシステムがメモリ バッファ管理サブシステムで初期化できません。システム全体の問題が発生し、VPN フェールオーバー サブシステムを開始できません。
720002
エラー メッセージ %ASA-6-720002: (VPN- unit ) Starting VPN Stateful Failover Subsystem...720003
エラー メッセージ %ASA-6-720003: (VPN- unit ) Initialization of VPN Stateful Failover Component completed successfully720004
エラー メッセージ %ASA-6-720004: (VPN- unit ) VPN failover main thread started.720005
エラー メッセージ %ASA-6-720005: (VPN- unit ) VPN failover timer thread started.720006
エラー メッセージ %ASA-6-720006: (VPN- unit ) VPN failover sync thread started.720007
エラー メッセージ %ASA-4-720007: (VPN- unit ) Failed to allocate chunk from Chunk Manager.説明 事前に割り当てられたメモリ バッファのセットがなくなりつつあります。ASA にリソースの問題があります。処理されているメッセージの数が多すぎる場合は、ASA に重い負荷がかかっている可能性があります。
推奨処置 この状態は、後で VPN フェールオーバー サブシステムが未処理のメッセージを処理し、前に割り当てられたメモリを解放したときに改善される可能性があります。
720008
エラー メッセージ %ASA-4-720008: (VPN- unit ) Failed to register to High Availability Framework.説明 VPN フェールオーバー サブシステムがコア フェールオーバー サブシステムに登録できませんでした。VPN フェールオーバー サブシステムを起動できません。他のサブシステムの初期化の問題が原因となっている可能性があります。
720009
エラー メッセージ %ASA-4-720009: (VPN- unit ) Failed to create version control block.説明 VPN フェールオーバー サブシステムがバージョン コントロール ブロックを作成できませんでした。このステップは、VPN フェールオーバー サブシステムが、現在のリリースの下位互換性ファームウェア バージョンを検出するために必要です。VPN フェールオーバー サブシステムを起動できません。他のサブシステムの初期化の問題が原因となっている可能性があります。
720010
エラー メッセージ %ASA-6-720010: (VPN- unit ) VPN failover client is being disabled説明 フェールオーバー キーを定義しないでフェールオーバーをイネーブルにしました。VPN フェールオーバーを使用するには、フェールオーバー キーを定義する必要があります。
720011
エラー メッセージ %ASA-4-720011: (VPN- unit ) Failed to allocate memory説明 VPN フェールオーバー サブシステムがメモリ バッファを割り当てられません。これは、システム全体のリソースの問題を示しています。ASA には重い負荷がかかっています。
推奨処置 この状態は、着信トラフィックを削減することによって ASA の負荷を減らすと改善される可能性があります。着信トラフィックを削減することによって、既存の作業負荷を処理するために割り当てられたメモリが使用可能になり、ASA が通常のオペレーションに戻る可能性があります。
720012
エラー メッセージ %ASA-6-720012: (VPN- unit ) Failed to update IPsec failover runtime data on the standby unit.説明 対応する IPSec トンネルがスタンバイ装置で削除されているため、VPN フェールオーバー サブシステムが IPSec 関連のランタイム データをアップデートできません。
720013
エラー メッセージ %ASA-4-720013: (VPN- unit ) Failed to insert certificate in trustpoint trustpoint_name説明 VPN フェールオーバー サブシステムがトラストポイントに証明書を挿入しようとしました。
720014
エラー メッセージ %ASA-6-720014: (VPN- unit ) Phase 2 connection entry (msg_id= message_number , my cookie= mine , his cookie= his ) contains no SA list.説明 フェーズ 2 接続エントリにリンクされたセキュリティ アソシエーションがありません。
720015
エラー メッセージ %ASA-6-720015: (VPN- unit ) Cannot found Phase 1 SA for Phase 2 connection entry (msg_id= message_number ,my cookie= mine , his cookie= his ).説明 所定のフェーズ 2 接続エントリに対して対応するフェーズ 1 セキュリティ アソシエーションが見つかりません。
720016
エラー メッセージ %ASA-5-720016: (VPN-unit) Failed to initialize default timer #index .説明 VPN フェールオーバー サブシステムが所定のタイマー イベントを初期化できませんでした。ブート時に VPN フェールオーバー サブシステムを起動できません。
720017
エラー メッセージ %ASA-5-720017: (VPN- unit ) Failed to update LB runtime data説明 VPN フェールオーバー サブシステムが VPN ロード バランシング ランタイム データをアップデートできませんでした。
720018
エラー メッセージ %ASA-5-720018: (VPN- unit ) Failed to get a buffer from the underlying core high availability subsystem. Error code code.説明 ASA には重い負荷がかかっています。VPN フェールオーバー サブシステムがフェールオーバー バッファを取得できませんでした。
• code :高可用性のサブシステムから返されたエラー コード
推奨処置 着信トラフィックの量を減らし、現在の負荷状態を改善します。着信トラフィックが減ると、ASA は着信の負荷を処理するために割り当てられたメモリを解放します。
720019
エラー メッセージ %ASA-5-720019: (VPN- unit ) Failed to update cTCP statistics.説明 VPN フェールオーバー サブシステムが IPSec/cTCP 関連の統計をアップデートできませんでした。
推奨処置 不要です。アップデートは定期的に送信されるので、スタンバイ装置の IPSec/cTCP 統計は次のアップデート メッセージでアップデートされます。
720020
エラー メッセージ %ASA-5-720020: (VPN- unit ) Failed to send type timer message.720021
エラー メッセージ %ASA-5-720021: (VPN- unit ) HA non-block send failed for peer msg message_number . HA error code .説明 VPN フェールオーバー サブシステムが非ブロック メッセージを送信できませんでした。これは、負荷のかかった ASA またはリソース不足によって引き起こされる一時的な状態です。
720022
エラー メッセージ %ASA-4-720022: (VPN- unit ) Cannot find trustpoint trustpoint720023
エラー メッセージ %ASA-6-720023: (VPN- unit ) HA status callback: Peer is not present.説明 ピアが使用可能または使用不可になったことをローカル ASA が検出すると、VPN フェールオーバー サブシステムがコア フェールオーバー サブシステムから通知を受けます。
720024
エラー メッセージ %ASA-6-720024: (VPN- unit ) HA status callback: Control channel is status .説明 フェールオーバー コントロール チャネルはアップまたはダウンです。フェールオーバー コントロール チャネルは、フェールオーバー リンク チャネルがアップかダウンかを示す failover link コマンドと show failover コマンドによって定義されます。
720025
エラー メッセージ %ASA-6-720025: (VPN- unit ) HA status callback: Data channel is status .720026
エラー メッセージ %ASA-6-720026: (VPN- unit ) HA status callback: Current progression is being aborted.説明 オペレータまたはその他の外部条件が発生し、フェールオーバー ピアが役割(アクティブまたはスタンバイ)に合意する前に現在のフェールオーバーの進行が中断されました。たとえば、 failover active コマンドがネゴシエーション中にスタンバイ装置で入力された場合や、アクティブ装置がリブートされている場合です。
720027
エラー メッセージ %ASA-6-720027: (VPN- unit ) HA status callback: My state state .説明 ローカル フェールオーバー デバイスの状態が変更されます。
720028
エラー メッセージ %ASA-6-720028: (VPN- unit ) HA status callback: Peer state state .720029
エラー メッセージ %ASA-6-720029: (VPN- unit ) HA status callback: Start VPN bulk sync state.720030
エラー メッセージ %ASA-6-720030: (VPN- unit ) HA status callback: Stop bulk sync state.720031
エラー メッセージ %ASA-7-720031: (VPN- unit ) HA status callback: Invalid event received. event= event_ID .説明 VPN フェールオーバー サブシステムが、基礎となるフェールオーバー サブシステムから無効なコールバック イベントを受信しました。
720032
エラー メッセージ %ASA-6-720032: (VPN- unit ) HA status callback: id= ID , seq= sequence_# , grp= group , event= event , op= operand , my= my_state , peer= peer_state .説明 基礎となるフェールオーバー サブシステムがステータス アップデートを通知したことが VPN フェールオーバー サブシステムによって示されました。
720033
エラー メッセージ %ASA-4-720033: (VPN- unit ) Failed to queue add to message queue.説明 システム リソースが低下している可能性があります。VPN フェールオーバー サブシステムが内部メッセージをキューに入れようとしたときにエラーが発生しました。これは、ASA に重い負荷がかかっており、VPN フェールオーバー サブシステムが着信トラフィックを処理するためのリソースを割り当てられないことを示す一時的な状態である可能性があります。
推奨処置 このエラーは、ASA の現在の負荷が減り、新規メッセージを再び処理するために追加のシステム リソースを使用できるようになると、解決する可能性があります。
720034
エラー メッセージ %ASA-7-720034: (VPN- unit ) Invalid type ( type ) for message handler.720035
エラー メッセージ %ASA-5-720035: (VPN- unit ) Fail to look up CTCP flow handle説明 VPN フェールオーバー サブシステムが検索を実行する前に、スタンバイ装置で cTCP フローが削除される可能性があります。
推奨処置 cTCP フローが削除される兆候をメッセージで検索して、フローが削除された理由(たとえば、アイドル タイムアウト)を判別します。
720036
エラー メッセージ %ASA-5-720036: (VPN- unit ) Failed to process state update message from the active peer.説明 スタンバイ装置によって受信された状態アップデート メッセージを VPN フェールオーバー サブシステムが処理しようとしたときにエラーが発生しました。
720037
エラー メッセージ %ASA-6-720037: (VPN- unit ) HA progression callback: id= id ,seq= sequence_number ,grp= group ,event= event ,op= operand , my= my_state ,peer= peer_state .720038
エラー メッセージ %ASA-4-720038: (VPN- unit ) Corrupted message from active unit.説明 スタンバイ装置が、アクティブ装置から破損したメッセージを受信しました。アクティブ装置からのメッセージが破損しています。これは、アクティブ装置とスタンバイ装置の間で互換性のないファームウェアを実行していることによって引き起こされる可能性があります。ローカル装置がフェールオーバー ペアのアクティブ装置になりました。
720039
エラー メッセージ %ASA-6-720039: (VPN- unit ) VPN failover client is transitioning to active state720040
エラー メッセージ %ASA-6-720040: (VPN- unit ) VPN failover client is transitioning to standby state.720041
エラー メッセージ %ASA-7-720041: (VPN- unit ) Sending type message id to standby unit720042
エラー メッセージ %ASA-7-720042: (VPN- unit ) Receiving type message id from active unit720043
エラー メッセージ %ASA-4-720043: (VPN- unit ) Failed to send type message id to standby unit説明 VPN フェールオーバー サブシステムがアクティブ装置からスタンバイ装置へメッセージを送信しようとしたときに、エラーが発生しました。このエラーは、コア フェールオーバー サブシステムでフェールオーバー バッファが不足するか、フェールオーバー LAN リンクがダウンすること(メッセージ 720018)によって引き起こされる可能性があります。
推奨処置 show failover コマンドを使用して、フェールオーバー ペアが正常に動作していること、およびフェールオーバー LAN リンクがアップ状態であることを確認します。
720044
エラー メッセージ %ASA-4-720044: (VPN- unit ) Failed to receive message from active unit説明 VPN フェールオーバー サブシステムがスタンバイ装置でメッセージを受信しようとしたときに、エラーが発生します。このエラーは、破損したメッセージや、着信メッセージの保存用に割り当てられたメモリの不足によって引き起こされる可能性があります。
推奨処置 show failover コマンドを使用して、受信エラーを検索し、これが VPN フェールオーバー特有の問題か一般的なフェールオーバーの問題かを判別します。破損したメッセージは、アクティブ装置とスタンバイ装置で互換性のないファームウェア バージョンを実行していることによって生じる可能性があります。 show memory コマンドを使用して、メモリ低下状態があるかどうかを判別します。
720045
エラー メッセージ %ASA-6-720045: (VPN- unit ) Start bulk syncing of state information on standby unit.720046
エラー メッセージ %ASA-6-720046: (VPN- unit ) End bulk syncing of state information on standby unit720047
エラー メッセージ %ASA-4-720047: (VPN- unit ) Failed to sync SDI node secret file for server IP_address on the standby unit.説明 VPN フェールオーバー サブシステムがスタンバイ装置で SDI サーバ用のノード シークレット ファイルを同期しようとしたときに、エラーが発生しました。SDI ノード シークレット ファイルは、フラッシュに格納されています。このエラーは、フラッシュ ファイル システムがいっぱいか、破損していることを示している可能性があります。
推奨処置 dir コマンドを使用して、フラッシュの内容を表示します。ノード シークレット ファイルの名前は ip .sdi です。
720048
エラー メッセージ %ASA-7-720048: (VPN- unit ) FSM action trace begin: state= state , last event= event , func= function .720049
エラー メッセージ %ASA-7-720049: (VPN- unit ) FSM action trace end: state= state , last event= event , return= return , func= function .720050
エラー メッセージ %ASA-7-720050: (VPN- unit ) Failed to remove timer. ID = id .720051
エラー メッセージ %ASA-4-720051: (VPN- unit ) Failed to add new SDI node secret file for server id on the standby unit.説明 VPN フェールオーバー サブシステムがスタンバイ装置で SDI サーバ用のノード シークレット ファイルを追加しようとしたときに、エラーが発生しました。SDI ノード シークレット ファイルは、フラッシュに格納されています。このエラーは、フラッシュ ファイル システムがいっぱいか、破損していることを示している可能性があります。
推奨処置 dir コマンドを使用して、フラッシュの内容を表示します。ノード シークレット ファイルの名前は ip .sdi です。
720052
エラー メッセージ %ASA-4-720052: (VPN- unit ) Failed to delete SDI node secret file for server id on the standby unit.説明 VPN フェールオーバー サブシステムがアクティブ装置でノード シークレット ファイルを削除しようとしたときに、エラーが発生しました。削除しようとしているノード シークレット ファイルがフラッシュ ファイル システム内に存在しないか、フラッシュ ファイル システムの読み取りに問題があった可能性があります。
• IP_address :SDI サーバの IP アドレス
推奨処置 dir コマンドを使用して、フラッシュの内容を表示します。ノード シークレット ファイルの名前は ip .sdi です。
720053
エラー メッセージ %ASA-4-720053: (VPN- unit ) Failed to add cTCP IKE rule during bulk sync, peer= IP_address , port= port説明 VPN フェールオーバー サブシステムがバルク同期化中にスタンバイ装置で cTCP IKE 規則をロードしようとしたときに、エラーが発生します。スタンバイ装置に重い負荷がかかっていて、新規 IKE 規則の要求が完了前にタイムアウトする可能性があります。
720054
エラー メッセージ %ASA-4-720054: (VPN- unit ) Failed to add new cTCP record, peer= IP_address , port= port .説明 cTCP レコードがスタンバイ装置に複製され、アップデートできません。対応する IPSec over cTCP トンネルがフェールオーバー後に機能していない可能性があります。cTCP データベースがいっぱいになっているか、同じピア IP アドレスとポート番号を持つレコードがすでに存在している可能性があります。
720055
エラー メッセージ %ASA-4-720055: (VPN- unit ) VPN Stateful failover can only be run in single/non-transparent mode.720056
エラー メッセージ %ASA-6-720056: (VPN- unit ) VPN Stateful failover Message Thread is being disabled.説明 フェールオーバーをイネーブルにしようとしたときにフェールオーバー キーが定義されていない場合、VPN フェールオーバー サブシステムのメイン メッセージ処理スレッドがディセーブルになります。フェールオーバー キーは VPN フェールオーバーに必要です。
720057
エラー メッセージ %ASA-6-720057: (VPN- unit ) VPN Stateful failover Message Thread is enabled.説明 フェールオーバーがイネーブルでフェールオーバー キーが定義されている場合、VPN フェールオーバー サブシステムのメイン メッセージ処理スレッドがイネーブルになります。
720058
エラー メッセージ %ASA-6-720058: (VPN- unit ) VPN Stateful failover Timer Thread is disabled.説明 フェールオーバー キーが未定義でフェールオーバーがイネーブルである場合、VPN フェールオーバー サブシステムのメイン タイマー処理スレッドがディセーブルになります。
720059
エラー メッセージ %ASA-6-720059: (VPN- unit ) VPN Stateful failover Timer Thread is enabled.説明 フェールオーバー キーが定義されていてフェールオーバーがイネーブルである場合、VPN フェールオーバー サブシステムのメイン タイマー処理スレッドがイネーブルになります。
720060
エラー メッセージ %ASA-6-720060: (VPN- unit ) VPN Stateful failover Sync Thread is disabled.説明 フェールオーバーがイネーブルでフェールオーバー キーが定義されていない場合、VPN フェールオーバー サブシステムのメイン バルク同期化処理スレッドがディセーブルになります。
720061
エラー メッセージ %ASA-6-720061: (VPN- unit ) VPN Stateful failover Sync Thread is enabled.説明 フェールオーバーがイネーブルでフェールオーバー キーが定義されている場合、VPN フェールオーバー サブシステムのメイン バルク同期化処理スレッドがイネーブルになります。
720062
エラー メッセージ %ASA-6-720062: (VPN- unit ) Active unit started bulk sync of state information to standby unit.720063
エラー メッセージ %ASA-6-720063: (VPN- unit ) Active unit completed bulk sync of state information to standby.720064
エラー メッセージ %ASA-4-720064: (VPN- unit ) Failed to update cTCP database record for peer= IP_address , port= port during bulk sync.説明 VPN フェールオーバー サブシステムがバルク同期化中に既存の cTCP レコードをアップデートしようとしたときに、エラーが発生しました。cTCP レコードが見つかりません。スタンバイ装置で cTCP データベースから削除された可能性があります。
720065
エラー メッセージ %ASA-4-720065: (VPN- unit ) Failed to add new cTCP IKE rule, peer= peer , port= port .説明 VPN フェールオーバー サブシステムがスタンバイ装置で cTCP データベース エントリ用の新規 IKE 規則を追加しようとしたときに、エラーが発生します。ASA に重い負荷がかかっていて、cTCP IKE 規則の追加要求がタイムアウトになり、完了しなかった可能性があります。
720066
エラー メッセージ %ASA-4-720066: (VPN- unit ) Failed to activate IKE database.説明 スタンバイ装置がアクティブな状態に移行しているときに VPN フェールオーバー サブシステムが IKE セキュリティ アソシエーション データベースをアクティブにしようとしたときに、エラーが発生しました。スタンバイ装置に、IKE セキュリティ アソシエーション データベースがアクティブになることを妨げるリソース関連の問題がある可能性があります。
推奨処置 show failover コマンドを使用してフェールオーバー ペアが正常に動作しているかどうかを確認し、メッセージでその他の IKE 関連エラーを検索します。
720067
エラー メッセージ %ASA-4-720067: (VPN- unit ) Failed to deactivate IKE database.説明 アクティブ装置がスタンバイ状態に移行しているときに VPN フェールオーバー サブシステムが IKE セキュリティ アソシエーション データベースを非アクティブにしようとしたときに、エラーが発生しました。アクティブ装置に、IKE セキュリティ アソシエーション データベースが非アクティブになることを妨げるリソース関連の問題がある可能性があります。
推奨処置 show failover コマンドを使用してフェールオーバー ペアが正常に動作しているかどうかを確認し、メッセージで IKE 関連エラーを検索します。
720068
エラー メッセージ %ASA-4-720068: (VPN- unit ) Failed to parse peer message.説明 VPN フェールオーバー サブシステムがスタンバイ装置で受信されたピア メッセージを解析しようとしたときに、エラーが発生します。スタンバイ装置で受信されたピア メッセージを解析できません。
推奨処置 アクティブ装置とスタンバイ装置の両方で同じバージョンのファームウェアが実行されていることを確認します。また、 show failover コマンドを使用して、フェールオーバー ペアが正常に動作していることも確認します。
720069
エラー メッセージ %ASA-4-720069: (VPN- unit ) Failed to activate cTCP database.説明 スタンバイ装置がアクティブな状態に移行しているときに VPN フェールオーバー サブシステムが cTCP データベースをアクティブにしようとしたときに、エラーが発生しました。スタンバイ装置に、cTCP データベースがアクティブになることを妨げるリソース関連の問題がある可能性があります。
推奨処置 show failover コマンドを使用してフェールオーバー ペアが正常に動作しているかどうかを確認し、メッセージでその他の cTCP 関連エラーを検索します。
720070
エラー メッセージ %ASA-4-720070: (VPN- unit ) Failed to deactivate cTCP database.説明 アクティブ装置がスタンバイ状態に移行しているときに VPN フェールオーバー サブシステムが cTCP データベースを非アクティブにしようとしたときに、エラーが発生しました。アクティブ装置に、cTCP データベースが非アクティブになることを妨げるリソース関連の問題がある可能性があります。
推奨処置 show failover コマンドを使用してフェールオーバー ペアが正常に動作しているかどうかを確認し、メッセージで cTCP 関連エラーを検索します。
720071
エラー メッセージ %ASA-5-720071: (VPN- unit ) Failed to update cTCP dynamic data.説明 VPN フェールオーバー サブシステムが cTCP 動的データをアップデートしようとしたときに、エラーが発生しました。
推奨処置 これは一時的な状態である可能性があります。これは定期的なアップデートであるため、同じエラーが発生するかどうかに注意します。また、メッセージでその他のフェールオーバー関連メッセージを検索します。
720072
エラー メッセージ %ASA-5-720072: Timeout waiting for Integrity Firewall Server [ interface , ip ] to become available.説明 Zonelab Integrity Server がタイムアウト前に接続を再度確立できません。アクティブ/スタンバイ フェールオーバー セットアップでは、フェールオーバー後に Zonelab Integrity Server と ASA の間の SSL 接続が再度確立される必要があります。
• interface :Zonelab Integrity Server が接続されているインターフェイス
• ip :Zonelab Integrity Server の IP アドレス
推奨処置 ASAと Zonelab Integrity Server のコンフィギュレーションが一致することを確認し、ASAと Zonelab Integrity Server の間の通信を確認します。
720073
エラー メッセージ %ASA-4-720073: (VPN- unit ) Fail to insert certificate in trustpoint trustpoint on the standby unit.説明 VPN フェールオーバー サブシステムがトラストポイントに証明書を挿入しようとしたときに、エラーが発生します。このエラーは、証明書の無効な内容によって生じた可能性があります。
推奨処置 アクティブ装置で write standby コマンドを使用し、証明書を手動でスタンバイ装置に複製します。メッセージを検索して、フェールオーバーまたは PKI 関連のエラーがあるかどうかを確認します。
721001
エラー メッセージ %ASA-6-721001: ( device ) WebVPN Failover SubSystem started successfully.( device ) either WebVPN-primary or WebVPN-secondary.説明 現在のフェールオーバー装置(プライマリまたはセカンダリ)の WebVPN フェールオーバー サブシステムが正常に起動しました。
721002
エラー メッセージ %ASA-6-721002: ( device ) HA status change: event event , my state my_state , peer state peer .説明 WebVPN フェールオーバー サブシステムは、コア HA コンポーネントから定期的にステータス通知を受信します。着信イベント、ローカル ASA の新しい状態、およびフェールオーバー ピアの新しい状態が報告されます。
721003
エラー メッセージ %ASA-6-721003: ( device ) HA progression change: event event , my state my_state , peer state peer .説明 WebVPN フェールオーバー サブシステムは、コア HA コンポーネントから通知されたイベントに基づいて、ある状態から別の状態に移行します。着信イベント、ローカル ASA の新しい状態、およびフェールオーバー ピアの新しい状態が報告されています。
721004
エラー メッセージ %ASA-6-721004: ( device ) Create access list list_name on standby unit.説明 WebVPN 固有のアクセス リストは、アクティブ装置からスタンバイ装置に複製されます。スタンバイ装置で WebVPN アクセス リストが正常にインストールされました。
721005
エラー メッセージ %ASA-6-721005: ( device ) Fail to create access list list_name on standby unit.説明 WebVPN 固有のアクセス リストがアクティブ装置にインストールされると、コピーがスタンバイ装置にインストールされます。スタンバイ装置にアクセス リストをインストールできませんでした。スタンバイ装置にそのアクセス リストがすでに存在していた可能性があります。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
• list_name :スタンバイ装置にインストールできなかったアクセス リストの名前
推奨処置 アクティブ装置とスタンバイ装置の両方で show access-list コマンドを使用します。出力内容を比較して、不一致があるかどうかを確認します。必要に応じて、アクティブ装置で write standby コマンドを使用して、スタンバイ装置を再び同期させます。
721006
エラー メッセージ %ASA-6-721006: ( device ) Update access list list_name on standby unit.説明 スタンバイ装置でアクセス リストの内容がアップデートされました。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
721007
エラー メッセージ %ASA-4-721007: ( device ) Fail to update access list list_name on standby unit.説明 スタンバイ装置が WebVPN 固有のアクセス リストをアップデートしようとしたときに、エラーが発生しました。スタンバイ装置にアクセス リストを配置できません。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
• list_name :アップデートされなかったアクセス リストの名前
推奨処置 アクティブ装置とスタンバイ装置の両方で show access-list コマンドを使用します。出力内容を比較して、不一致があるかどうかを確認します。必要に応じて、アクティブ装置で write standby コマンドを使用して、スタンバイ装置を再び同期させます。
721008
エラー メッセージ %ASA-6-721008: ( device ) Delete access list list_name on standby unit.説明 WebVPN 固有のアクセス リストがアクティブ装置から削除されると、同じアクセス リストを削除するように要求するメッセージがスタンバイ装置に送信されます。その結果、WebVPN 固有のアクセス リストがスタンバイ装置から削除されました。
721009
エラー メッセージ %ASA-6-721009: ( device ) Fail to delete access list list_name on standby unit.説明 WebVPN 固有のアクセス リストがアクティブ装置で削除されると、同じアクセス リストを削除するように要求するメッセージがスタンバイ装置に送信されます。対応するアクセス リストをスタンバイ装置で削除しようとしたときに、エラー状態が発生しました。スタンバイ装置にアクセス リストが存在しませんでした。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
推奨処置 アクティブ装置とスタンバイ装置の両方で show access-list コマンドを使用します。出力内容を比較して、不一致があるかどうかを確認します。必要に応じて、アクティブ装置で write standby コマンドを使用して、スタンバイ装置を再び同期させます。
721010
エラー メッセージ %ASA-6-721010: ( device ) Add access list rule list_name , line line_no on standby unit.説明 アクセス リスト規則がアクティブ装置に追加されると、同じ規則がスタンバイ装置に追加されます。新しいアクセス リスト規則がスタンバイ装置に正常に追加されました。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
721011
エラー メッセージ %ASA-4-721011: ( device ) Fail to add access list rule list_name , line line_no on standby unit.説明 アクセス リスト規則がアクティブ装置に追加されると、スタンバイ装置で同じアクセス リスト規則の追加が試行されます。新しいアクセス リスト規則をスタンバイ装置に追加しようとしたときに、エラーが発生しました。スタンバイ装置に同じアクセス リスト規則が存在する可能性があります。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
• line_no :アクセス リストに追加された規則の行番号
推奨処置 アクティブ装置とスタンバイ装置の両方で show access-list コマンドを使用します。出力内容を比較して、不一致があるかどうかを確認します。必要に応じて、アクティブ装置で write standby コマンドを使用して、スタンバイ装置を再び同期させます。
721012
エラー メッセージ %ASA-6-721012: ( device ) Enable APCF XML file file_name on the standby unit.説明 APCF XML ファイルがアクティブ装置にインストールされると、スタンバイ装置で同じファイルのインストールが試行されます。スタンバイ装置に APCF XML ファイルが正常にインストールされました。スタンバイ装置で dir コマンドを使用し、この XML ファイルがフラッシュ ファイル システムに存在することを表示します。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
721013
エラー メッセージ %ASA-4-721013: ( device ) Fail to enable APCF XML file file_name on the standby unit.説明 APCF XML ファイルがアクティブ装置にインストールされると、スタンバイ装置で同じファイルのインストールが試行されます。スタンバイ装置に APCF XML ファイルをインストールできませんでした。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
• file_name :フラッシュ ファイル システム上の XML ファイルの名前
推奨処置 アクティブ装置とスタンバイ装置の両方で dir コマンドを使用します。ディレクトリ リストを比較して、不一致があるかどうかを確認します。必要に応じて、アクティブ装置で write standby コマンドを使用して、スタンバイ装置を再び同期させます。
721014
エラー メッセージ %ASA-6-721014: ( device ) Disable APCF XML file file_name on the standby unit.説明 APCF XML ファイルがアクティブ装置で削除されると、スタンバイ装置で同じファイルの削除が試行されます。スタンバイ装置から APCF XML ファイルが正常に削除されました。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
721015
エラー メッセージ %ASA-4-721015: ( device ) Fail to disable APCF XML file file_name on the standby unit.説明 APCF XML ファイルがアクティブ装置で削除されると、スタンバイ装置で同じファイルの削除が試行されます。スタンバイ装置から APCF XML ファイルを削除しようとしたときに、エラーが発生しました。ファイルがスタンバイ装置にインストールされていない可能性があります。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
• file_name :フラッシュ ファイル システム上の XML ファイルの名前
推奨処置 show running-config webvpn コマンドを使用して、対象の APCF XML ファイルがイネーブルでないことを確認します。対象のファイルがイネーブルでない限り、このメッセージは無視してかまいません。対象のファイルがイネーブルである場合は、webvpn コンフィギュレーション サブモードで no apcf file_name コマンドを使用して、対象のファイルをディセーブルにしてみます。
721016
エラー メッセージ %ASA-6-721016: ( device ) WebVPN session for client user user_name , IP ip_address has been created.説明 リモート WebVPN ユーザが正常にログインし、ログイン情報がスタンバイ装置にインストールされました。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
721017
エラー メッセージ %ASA-4-721017: ( device ) Fail to create WebVPN session for user user_name , IP ip_address .説明 WebVPN ユーザがアクティブ装置にログインすると、ログイン情報がスタンバイ装置に複製されます。スタンバイ装置にログイン情報を複製しているときに、エラーが発生しました。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
• ip_address :リモート ユーザの IP アドレス
推奨処置 アクティブ装置とスタンバイ装置の両方で、一般の WebVPN ユーザの場合は show vpn-sessiondb detail webvpn コマンドを使用し、WebVPN SVC ユーザの場合は show vpn-sessiondb detail svc コマンドを使用します。エントリを比較して、両方の ASA で同じユーザ セッション レコードが表示されているかどうかを確認します。必要に応じて、アクティブ装置で write standby コマンドを使用して、スタンバイ装置を再び同期させます。
721018
エラー メッセージ %ASA-6-721018: ( device ) WebVPN session for client user user_name , IP ip_address has been deleted.説明 WebVPN ユーザがアクティブ装置でログアウトすると、ログアウト メッセージがスタンバイ装置に送信され、スタンバイ装置からユーザ セッションが削除されます。スタンバイ装置から WebVPN ユーザ レコードが正常に削除されました。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
721019
エラー メッセージ %ASA-4-721019: ( device ) Fail to delete WebVPN session for client user user_name , IP ip_address .説明 WebVPN ユーザがアクティブ装置でログアウトすると、ログアウト メッセージがスタンバイ装置に送信され、スタンバイ装置からユーザ セッションが削除されます。スタンバイ装置から WebVPN ユーザ レコードを削除しようとしたときに、エラーが発生しました。
• (device) :WebVPN プライマリまたは WebVPN セカンダリ ASA
• ip_address :リモート ユーザの IP アドレス
推奨処置 アクティブ装置とスタンバイ装置の両方で、一般の WebVPN ユーザの場合は show vpn-sessiondb detail webvpn コマンドを使用し、WebVPN SVC ユーザの場合は show vpn-sessiondb detail svc コマンドを使用します。不一致があるかどうかを確認します。必要に応じて、アクティブ装置で write standby コマンドを使用して、スタンバイ装置を再び同期させます。
722001
エラー メッセージ %ASA-4-722001: IP IP_address Error parsing SVC connect request.推奨処置 必要に応じて調査を実施し、このエラーの原因が SVC の障害であるか、互換性のない SVC バージョンであるか、デバイスに対する攻撃であるかを確認します。
722002
エラー メッセージ %ASA-4-722002: IP IP_address Error consolidating SVC connect request.722003
エラー メッセージ %ASA-4-722003: IP IP_address Error authenticating SVC connect request.722004
エラー メッセージ %ASA-4-722004: Group group User user-name IP IP_address Error responding to SVC connect request.722005
エラー メッセージ %ASA-5-722005: Group group User user-name IP IP_address Unable to update session information for SVC connection.722006
エラー メッセージ %ASA-5-722006: Group group User user-name IP IP_address Invalid address IP_address assigned to SVC connection.推奨処置 可能であれば、アドレスの割り当てを確認し、修正します。そうでなければ、ネットワーク管理者に連絡するか、またはセキュリティ ポリシーに従ってこの問題の解決を依頼します。さらにサポートが必要な場合は、Cisco TAC にお問い合わせください。
722007
エラー メッセージ %ASA-3-722007: Group group User user-name IP IP_address SVC Message: type-num /ERROR: message722008
エラー メッセージ %ASA-3-722008: Group group User user-name IP IP_address SVC Message: type-num /ERROR: message722009
エラー メッセージ %ASA-3-722009: Group group User user-name IP IP_address SVC Message: type-num /ERROR: message722010
エラー メッセージ %ASA-5-722010: Group group User user-name IP IP_address SVC Message: type-num /NOTICE: message722011
エラー メッセージ %ASA-5-722011: Group group User user-name IP IP_address SVC Message: type-num /NOTICE: message722012
エラー メッセージ %ASA-5-722012: Group group User user-name IP IP_address SVC Message: type-num /INFO: message722013
エラー メッセージ %ASA-6-722013: Group group User user-name IP IP_address SVC Message: type-num /INFO: message722014
エラー メッセージ %ASA-6-722014: Group group User user-name IP IP_address SVC Message: type-num /INFO: message722015
エラー メッセージ %ASA-4-722015: Group group User user-name IP IP_address Unknown SVC frame type: type-num説明 SVC が、無効なフレーム タイプをデバイスに送信しました。これは、SVC のバージョンの非互換性が原因となっている可能性があります。
722016
エラー メッセージ %ASA-4-722016: Group group User user-name IP IP_address Bad SVC frame length: length expected: expected-length説明 SVC から、予期された量のデータを入手できませんでした。これは、SVC のバージョンの非互換性が原因となっている可能性があります。
722017
エラー メッセージ %ASA-4-722017: Group group User user-name IP IP_address Bad SVC framing: 525446, reserved: 0説明 SVC が、正しくフレーム化されていないデータグラムを送信しました。これは、SVC のバージョンの非互換性が原因となっている可能性があります。
722018
エラー メッセージ %ASA-4-722018: Group group User user-name IP IP_address Bad SVC protocol version: version , expected: expected - version説明 SVC が、デバイスに未知のバージョンを送信しました。これは、SVC のバージョンの非互換性が原因となっている可能性があります。
722019
エラー メッセージ %ASA-4-722019: Group group User user-name IP IP_address Not enough data for an SVC header: length説明 SVC から、予期された量のデータを入手できませんでした。これは、SVC のバージョンの非互換性が原因となっている可能性があります。
722020
エラー メッセージ %ASA-3-722020: TunnelGroup tunnel_group GroupPolicy group_policy User user-name IP IP_address No address available for SVC connection説明 AnyConnect セッションに対するアドレスの割り当てに失敗しました。使用できる IP アドレスがありません。
• tunnel_group :ユーザが割り当てられているか、ログインに使用されたトンネル グループの名前
• group_policy :ユーザが割り当てられているグループ ポリシーの名前
• user-name :このメッセージが関連付けられているユーザ名
• IP_address :クライアント マシンのパブリック IP(インターネット)アドレス
推奨処置 ip local ip コマンドで表示されるコンフィギュレーションを参照し、トンネル グループとグループ ポリシーに割り当てられているプールに十分なアドレスが存在するかどうかを確認します。DHCP の設定およびステータスを確認します。アドレス割り当てコンフィギュレーションを確認します。AnyConnect クライアントが IP アドレスを取得できない理由を特定するため、IPAA の syslog メッセージをイネーブルにします。
722021
エラー メッセージ %ASA-3-722021: Group group User user-name IP IP_address Unable to start compression due to lack of memory resources722022
エラー メッセージ %ASA-6-722022: Group group-name User user-name IP addr (TCP | UDP) connection established (with | without) compression722023
エラー メッセージ %ASA-6-722023: Group group User user-name IP IP_address SVC connection terminated {with|without} compression722024
エラー メッセージ %ASA-6-722024: SVC Global Compression Enabled説明 対応するユーザまたはグループのコンフィギュレーションで SVC 圧縮がイネーブルである場合、その後の SVC 接続ではトンネル圧縮が許可されます。
722025
エラー メッセージ %ASA-6-722025: SVC Global Compression Disabled722026
エラー メッセージ %ASA-6-722026: Group group User user-name IP IP_address SVC compression history reset722027
エラー メッセージ %ASA-6-722027: Group group User user-name IP IP_address SVC decompression history reset722028
エラー メッセージ %ASA-5-722028: Group group User user-name IP IP_address Stale SVC connection closed.推奨処置 不要です。ただし、複数の接続が確立されている場合は、クライアントに接続の問題が発生している可能性があります。SVC のログを調べる必要があります。
722029
エラー メッセージ %ASA-7-722029: Group group User user-name IP IP_address SVC Session Termination: Conns: connections , DPD Conns: DPD_conns , Comp resets: compression_resets , Dcmp resets: decompression_resets説明 行われた接続、再接続、およびリセットの数が報告されます。 connections が 1 より大きい場合、または DPD_conns 、 compression_resets 、 decompression_resets のいずれかが 0 より大きい場合は、ASA の管理者が制御できない、ネットワークの信頼性の問題を示している可能性があります。接続数または DPD 接続数が多い場合は、ユーザに接続の問題が発生していて、パフォーマンスが低下している可能性があります。
• connections :このセッション中の接続の総数(1 が正常)
• compression_resets :圧縮履歴のリセット数
• decompression_resets :圧縮解除履歴のリセット数
推奨処置 SVC のログを調べる必要があります。考えられるネットワーク信頼性問題を解決するための調査と適切な処置が必要になる場合もあります。
722030
エラー メッセージ %ASA-7-722030: Group group User user-name IP IP_address SVC Session Termination: In: data_bytes (+ ctrl_bytes ) bytes, data_pkts (+ ctrl_pkts ) packets, drop_pkts drops722031
エラー メッセージ %ASA-7-722031: Group group User user-name IP IP_address SVC Session Termination: Out: data_bytes (+ ctrl_bytes ) bytes, data_pkts (+ ctrl_pkts ) packets, drop_pkts drops.722032
エラー メッセージ %ASA-5-722032: Group group User user-name IP IP_address New SVC connection replacing old connection.説明 既存の SVC 接続から新しい SVC 接続に切り替えられようとしています。接続の問題が発生している可能性があります。
722033
エラー メッセージ %ASA-5-722033: Group group User user-name IP IP_address First SVC connection established for SVC session.722034
エラー メッセージ %ASA-5-722034: Group group User user-name IP IP_address New SVC connection, no existing connection.説明 再接続が試行されました。すでに閉じられた接続から新しい SVC 接続に切り替えられようとしています。SVC またはASAによって接続がすでに廃棄されたため、このセッションには既存の接続がありません。接続の問題が発生している可能性があります。
722035
エラー メッセージ %ASA-3-722035: Group group User user-name IP IP_address Transmitting large packet length (threshold + num ).説明 大きなパケットがクライアントに送信されました。パケットの送信元がクライアントの MTU を認識していない可能性があります。
722036
エラー メッセージ %ASA-3-722036: Group group User user-name IP IP_address Received large packet length (threshold + num ).説明 大きなパケットがクライアントに送信されました。ASA に到着したパケットの DF ビットがセットされていたため、ASA はパケットをフラグメント化できませんでした。
推奨処置 ASA に、DF ビットが設定された到着パケットのフラグメント化を許可するには、グループ ポリシーの下で anyconnect ssl df-bit-ignore enable コマンドを入力します。
722037
エラー メッセージ %ASA-5-722037: Group group User user-name IP IP_address SVC closing connection: reason .説明 指摘された理由で SVC 接続が終了しました。この動作は正常である場合もあれば、接続の問題が発生している場合もあります。
722038
エラー メッセージ %ASA-5-722038: Group group - name User user-name IP IP_address SVC terminating session: reason .説明 指摘された理由で SVC セッションが終了しました。この動作は正常である場合もあれば、接続の問題が発生している場合もあります。
722039
エラー メッセージ %ASA-4-722039: Group group, User user, IP ip, SVC vpn-filter acl is an IPv6 ACL; ACL not applied.説明 適用される ACL のタイプが誤っています。 vpn-filter コマンドによって、IPv6 ACL が IPv4 ACL として設定されています。
• ip :ユーザのパブリック(割り当てられていない)IP アドレス
推奨処置 ASA の VPN フィルタと IPv6 VPN フィルタの設定、および AAA(RADIUS)サーバのフィルタ パラメータを検証します。正しいタイプの ACL が指定されていることを確認します。
722040
エラー メッセージ %ASA-4-722040: Group group, User user, IP ip, SVC 'ipv6-vpn-filter acl' is an IPv4 ACL; ACL not applied説明 適用される ACL のタイプが誤っています。 ipv6-vpn-filter コマンドによって、IPv4 ACL が IPv6 ACL として設定されています。
• ip :ユーザのパブリック(割り当てられていない)IP アドレス
推奨処置 ASA の VPN フィルタと IPv6 VPN フィルタの設定、および AAA(RADIUS)サーバのフィルタ パラメータを検証します。正しいタイプの ACL が指定されていることを確認します。
722041
エラー メッセージ %ASA-4-722041: TunnelGroup tunnel_group GroupPolicy group_policy User username IP peer_address No IPv6 address available for SVC connection.722042
エラー メッセージ %ASA-4-722042: Group group User user IP ip Invalid Cisco SSL Tunneling Protocol version.説明 無効な SVC クライアントまたは AnyConnect クライアントが接続しようとしています。
722043
エラー メッセージ %ASA-5-722043: Group group User user IP ip DTLS disabled: unable to negotiate cipher.説明 DTLS(UDP トランスポート)を確立できません。SSL 暗号化コンフィギュレーションが変更された可能性があります。
• group :ユーザの接続試行時に適用されるグループ ポリシーの名前
推奨処置 SSL 暗号化コンフィギュレーションを元に戻します。SSL 暗号化コンフィギュレーションに少なくとも 1 つのブロック暗号(AES、DES、または 3DES)が含まれていることを確認します。
722044
エラー メッセージ %ASA-5-722044: Group group User user IP ip Unable to request ver address for SSL tunnel.説明 ASA のメモリ不足が原因で、IP アドレスを要求できません。
• group :ユーザの接続試行時に適用されるグループ ポリシーの名前
722045
エラー メッセージ %ASA-3-722045: Connection terminated: no SSL tunnel initialization data.722046
エラー メッセージ %ASA-3-722046: Group group User user IP ip Session terminated: unable to establish tunnel.説明 ASA で接続パラメータを設定できません。これは、ASA ソフトウェアの障害です。
722047
エラー メッセージ %ASA-4-722047: Group group User user IP ip Tunnel terminated: SVC not enabled or invalid SVC image on the ASA.説明 ユーザが Web ブラウザを使用してログインし、SVC または AnyConnect クライアントを起動しようとしました。SVC サービスがグローバルにイネーブルになっていないか、または SVC イメージが無効か破損しています。トンネル接続は終了されましたが、クライアントレス接続は維持されています。
• group :ユーザの接続試行時に適用されるグループ ポリシーの名前
推奨処置 svc enable コマンドを使用して、SVC をグローバルにイネーブルにします。 svc image コマンドを使用して新しいイメージをリロードすることで、SVC イメージのバージョンの整合性を検証します。
722048
エラー メッセージ %ASA-4-722048: Group group User user IP ip Tunnel terminated: SVC not enabled for the user.説明 ユーザが Web ブラウザを使用してログインし、SVC または AnyConnect クライアントを起動しようとしました。このユーザに対して SVC サービスがイネーブルになっていません。トンネル接続は終了されましたが、クライアントレス接続は維持されています。
• group :ユーザの接続試行時に適用されるグループ ポリシーの名前
推奨処置 group-policy および username コマンドを使用して、このユーザに対してサービスをイネーブルにします。
722049
エラー メッセージ %ASA-4-722049: Group group User user IP ip Session terminated: SVC not enabled or invalid image on the ASA.説明 ユーザが AnyConnect クライアントを使用してログインしました。SVC サービスがグローバルにイネーブルになっていないか、または SVC イメージが無効か破損しています。セッション接続が終了されました。
• group :ユーザの接続試行時に適用されるグループ ポリシーの名前
推奨処置 svc-enable コマンドを使用して、SVC をグローバルにイネーブルにします。 svc image コマンドを使用して新しいイメージをリロードすることで、SVC イメージの整合性とバージョンを検証します。
722050
エラー メッセージ %ASA-4-722050: Group group User user IP ip Session terminated: SVC not enabled for the user.説明 ユーザが AnyConnect クライアントを使用してログインしました。このユーザに対して SVC サービスがイネーブルになっていません。セッション接続が終了されました。
• group :ユーザの接続試行時に適用されるグループ ポリシーの名前
推奨処置 group-policy および username コマンドを使用して、このユーザに対してサービスをイネーブルにします。
722051
エラー メッセージ %ASA-6-722051: Group group-policy User username IP public-ip IPv4 Address assigned-ip IPv6 Address assigned-ip assigned to session説明 指摘されたアドレスが、指摘されたユーザに割り当てられました。
• group-policy :ユーザに対してアクセスを許可したグループ ポリシー
• public-ip :接続されたクライアントのパブリック IP アドレス
722053
エラー メッセージ %ASA-6-722053: Group g User u IP ip Unknown client user-agent connection.説明 未知またはサポート対象外の SSL VPN クライアントがASAに接続しました。旧式のクライアントには、Cisco SVC とバージョン 2.3.1 よりも前の Cisco AnyConnect クライアントが含まれます。
723001
エラー メッセージ %ASA-6-723001: Group group-name , User user-name , IP IP_address : WebVPN Citrix ICA connection connection is up.723002
エラー メッセージ %ASA-6-723002: Group group-name , User user-name , IP IP_address : WebVPN Citrix ICA connection connection is down. • IP_address :Citrix ユーザの IP アドレス
推奨処置 Citrix ICA 接続がクライアント、サーバ、またはASAの管理者によって意図的に終了された場合、処置は不要です。それ以外の場合は、Citrix ICA 接続がセットアップされている WebVPN セッションがアクティブであることを確認します。WebVPN セッションが非アクティブである場合、このメッセージの受信は正常です。WebVPN セッションがアクティブである場合は、ICA クライアントと Citrix サーバの両方が正常に動作すること、およびエラーが表示されていないことを確認します。どちらか一方または両方が正常に動作しない場合、あるいはエラーが表示されている場合は、どちらか一方または両方を起動するか、エラーに対処します。それでもこのメッセージを受信する場合は、Cisco TAC にお問い合わせのうえ、次の情報をご提供ください。
723003
エラー メッセージ %ASA-7-723003: No memory for WebVPN Citrix ICA connection connection .説明 ASA のメモリが不足しています。Citrix 接続が拒否されました。
推奨処置 ASAが正常に動作していることを確認します。メモリおよびバッファの使用量に特に注意します。ASAに重い負荷がかかっている場合は、増設メモリを購入するか、ASAをアップグレードするか、ASAの負荷を減らします。問題が解決しない場合、Cisco TAC にお問い合わせください。
723004
エラー メッセージ %ASA-7-723004: WebVPN Citrix encountered bad flow control flow .説明 ASA で内部フロー制御のミスマッチが発生しました。この問題は、大量のデータ フロー(ストレス テスト中などに発生)や大量の ICA 接続が原因となっている可能性があります。
723005
エラー メッセージ %ASA-7-723005: No channel to set up WebVPN Citrix ICA connection.説明 ASA が Citrix 用の新しいチャネルを作成できませんでした。
推奨処置 Citrix ICA クライアントと Citrix サーバが稼働していることを確認します。稼働していない場合は、起動して、再度テストします。メモリおよびバッファの使用量に特に注意しながら、ASAの負荷を確認します。ASA に重い負荷がかかっている場合は、ASA をアップグレードするか、メモリを追加するか、負荷を減らします。問題が解決しない場合、Cisco TAC にお問い合わせください。
723006
エラー メッセージ %ASA-7-723006: WebVPN Citrix SOCKS errors.説明 ASA で内部 Citrix SOCKS エラーが発生しました。
推奨処置 Citrix ICA クライアントが正常に動作していることを確認します。さらに、パケット損失に注意しながら、Citrix ICA クライアントとASAの間のネットワーク接続ステータスを確認します。異常なネットワーク状態がある場合は、それを解決します。問題が解決しない場合、Cisco TAC にお問い合わせください。
723007
エラー メッセージ %ASA-7-723007: WebVPN Citrix ICA connection connection list is broken.説明 ASA の内部 Citrix 接続リストが破損しています。
推奨処置 メモリおよびバッファの使用量に特に注意しながら、ASAが正常に動作していることを確認します。ASA に重い負荷がかかっている場合は、ASA をアップグレードするか、メモリを追加するか、負荷を減らします。問題が解決しない場合、Cisco TAC にお問い合わせください。
723008
エラー メッセージ %ASA-7-723008: WebVPN Citrix ICA SOCKS Server server is invalid.説明 存在しない Citrix Socks サーバにアクセスしようとしました。
推奨処置 ASAが正常に動作していることを確認します。メモリまたはバッファのリークがないかどうかに注意してください。この問題が頻繁に発生する場合は、メモリ使用量、ネットワーク トポロジ、およびこのメッセージを受信したときの状態に関する情報を取り込みます。調査のために、これらの情報を Cisco TAC に送信します。このメッセージを受信している間も WebVPN セッションがアップしていることを確認します。アップしていない場合は、WebVPN セッションがダウンしている原因を確認します。ASA に重い負荷がかかっている場合は、ASA をアップグレードするか、メモリを追加するか、負荷を減らします。問題が解決しない場合、Cisco TAC にお問い合わせください。
723009
エラー メッセージ %ASA-7-723009: Group group-name , User user-name , IP IP_address : WebVPN Citrix received data on invalid connection connection .説明 存在しない Citrix 接続に関するデータを受信しました。
• IP_address :Citrix ユーザの IP アドレス
推奨処置 元の公開済み Citrix アプリケーションの接続が終了した可能性があり、残りのアクティブな公開済みアプリケーションが接続を失いました。すべての公開済みアプリケーションを再起動して、新しい Citrix ICA トンネルを生成します。ASA に重い負荷がかかっている場合は、ASA をアップグレードするか、メモリを追加するか、負荷を減らします。問題が解決しない場合、Cisco TAC にお問い合わせください。
723010
エラー メッセージ %ASA-7-723010: Group group-name , User user-name , IP IP_address : WebVPN Citrix received closing channel channel for invalid connection connection .説明 存在しない Citrix 接続に関する中断を受信しました。この問題は、特にネットワーク遅延やパケット損失が発生している間の、大量のデータ フロー(ストレス テストなど)や大量の ICA 接続が原因となっている可能性があります。
• IP_address :Citrix ユーザの IP アドレス
推奨処置 ASA への ICA 接続の数を減らすか、ASA 用の増設メモリを入手するか、ネットワークの問題を解決します。
723011
エラー メッセージ %ASA-7-723011: Group group-name , User user-name , IP IP_address : WebVPN Citrix receives bad SOCKS socks message length msg-length. Expected length is exp-msg-length .説明 Citrix SOCKS メッセージの長さが誤っています。
• IP_address :Citrix ユーザの IP アドレス
推奨処置 Citrix ICA クライアントが正常に動作していることを確認します。さらに、パケット損失に注意しながら、ICA クライアントとASAの間のネットワーク接続ステータスを確認します。異常なネットワーク状態を解決した後も問題が存在する場合は、Cisco TAC にお問い合わせください。
723012
エラー メッセージ %ASA-7-723012: Group group-name , User user-name , IP IP_address : WebVPN Citrix received bad SOCKS socks message format.説明 Citrix SOCKS メッセージの形式が誤っています。
• IP_address :Citrix ユーザの IP アドレス
推奨処置 Citrix ICA クライアントが正常に動作していることを確認します。さらに、パケット損失に注意しながら、ICA クライアントとASAの間のネットワーク接続ステータスを確認します。異常なネットワーク状態を解決した後も問題が存在する場合は、Cisco TAC にお問い合わせください。
723013
エラー メッセージ %ASA-7-723013: WebVPN Citrix encountered invalid connection connection during periodic timeout.説明 ASA の内部 Citrix タイマーが期限切れで、Citrix 接続が無効です。
推奨処置 Citrix ICA クライアントとASAの間、およびASAと Citrix サーバの間のネットワーク接続を確認します。異常なネットワーク状態、特に遅延とパケット損失を解決します。メモリまたはバッファの問題に特に注意しながら、ASAが正常に動作することを確認します。ASAに重い負荷がかかっている場合は、増設メモリを入手するか、ASAをアップグレードするか、負荷を減らします。問題が解決しない場合、Cisco TAC にお問い合わせください。
723014
エラー メッセージ %ASA-7-723014: Group group-name , User user-name , IP IP_address : WebVPN Citrix TCP connection connection to server server on channel channel initiated.説明 ASA の内部 Citrix Secure Gateway が Citrix サーバに接続されています。
• IP_address :Citrix ユーザの IP アドレス
724001
エラー メッセージ %ASA-4-724001: Group group-name User user-name IP IP_address WebVPN session not allowed. Unable to determine if Cisco Secure Desktop was running on the client's workstation.説明 ASA で CSD Host Integrity Check の結果を処理しているときにエラーが発生したため、セッションが許可されませんでした。
推奨処置 クライアント ファイアウォールが長い URL を切り捨てていないかどうかを確認します。クライアントから CSD をアンインストールして、ASAに再接続します。
724002
エラー メッセージ %ASA-4-724002: Group group-name User user-name IP IP_address WebVPN session not terminated. Cisco Secure Desktop was not running on the client's workstation.725001
エラー メッセージ %ASA-6-725001 Starting SSL handshake with remote_device interface_name : IP_address / port for SSL_version session.説明 リモート デバイスとの SSL ハンドシェイクが開始されました。
• remote_device :接続を開始したデバイスに応じて、サーバまたはクライアント
• interface_name :SSL セッションが使用しているインターフェイス
• IP_address :リモート デバイスの IPv4 アドレスまたは IPv6 アドレス
725002
エラー メッセージ %ASA-6-725002 Device completed SSL handshake with remote_device interface_name : IP_address / port説明 リモート デバイスとの SSL ハンドシェイクが正常に完了しました。
• remote_device :接続を開始したデバイスに応じて、サーバまたはクライアント
• interface_name :SSL セッションが使用しているインターフェイス
725003
エラー メッセージ %ASA-6-725003 SSL client interface_name : IP_address / port request to resume previous session.説明 リモート デバイスが以前の SSL セッションを再開しようとしています。
• interface_name :SSL セッションが使用しているインターフェイス
725004
エラー メッセージ %ASA-6-725004 Device requesting certificate from SSL client interface_name : IP_address / port for authentication.説明 ASA が認証のためにクライアント証明書を要求しました。
• interface_name :SSL セッションが使用しているインターフェイス
725005
エラー メッセージ %ASA-6-725005 SSL server interface_name : IP_address/port requesting our device certificate for authentication. • interface_name :SSL セッションが使用しているインターフェイス
725006
エラー メッセージ %ASA-6-725006 Device failed SSL handshake with remote_device interface_name : IP_address / port説明 リモート デバイスとの SSL ハンドシェイクが失敗しました。
• remote_device :接続を開始したデバイスに応じて、サーバまたはクライアント
• interface_name :SSL セッションが使用しているインターフェイス
725007
エラー メッセージ %ASA-6-725007 SSL session with remote_device interface_name : IP_address / port terminated. • remote_device :接続を開始したデバイスに応じて、サーバまたはクライアント
• interface_name :SSL セッションが使用しているインターフェイス
725008
エラー メッセージ %ASA-7-725008 SSL client interface_name : IP_address / port proposes the following number cipher(s).説明 リモート SSL デバイスによって提案された暗号の数が表示されます。
• interface_name :SSL セッションが使用しているインターフェイス
725009
エラー メッセージ %ASA-7-725009 Device proposes the following number cipher(s) to SSL server interface_name : IP_address / port .説明 SSL サーバに対して提案された暗号の数が表示されます。
• interface_name :SSL セッションが使用しているインターフェイス
725010
エラー メッセージ %ASA-7-725010 Device supports the following number cipher(s).725011
エラー メッセージ %ASA-7-725011 Cipher[ order ]: cipher_name説明 このメッセージは常にメッセージ 725008、725009、および 725010 の後に表示され、暗号名とその優先順位を示しています。
725012
エラー メッセージ %ASA-7-725012 Device chooses cipher: cipher_name for SSL session with client interface_name : IP_address / port説明 シスコ デバイスが SSL セッション用に選択した暗号が表示されます。
• interface_name :SSL セッションが使用しているインターフェイス
725013
エラー メッセージ %ASA-7-725013 SSL Server interface_name : IP_address / port chooses cipher: cipher_name説明 サーバが SSL セッション用に選択した暗号を示しています。
• interface_name :SSL セッションが使用しているインターフェイス
725014
エラー メッセージ %ASA-7-725014 SSL lib error. Function: function Reason: reason725015
エラー メッセージ %ASA-3-725015 Error verifying client certificate. Public key size in client certificate exceeds the maximum supported key size.説明 サポートされていない(大きな)キー サイズが原因で、SSL クライアント証明書の検証が失敗したことを示しています。
726001
エラー メッセージ %ASA-6-726001: Inspected im_protocol im_service Session between Client im_client_1 and im_client_2 Packet flow from src_ifc :/ sip / sport to dest_ifc :/ dip / dport Action: action Matched Class class_map_id class_map_name説明 IM メッセージに対して検査が実施され、指定の基準が満たされました。設定済みのアクションが実行されます。
• im_protocol :MSN IM または Yahoo IM
• im_service :IM サービス(チャット、会議、ファイル転送、音声、ビデオ、ゲーム、不明など)
• im_client_1 、 im_client_2 :セッションで IM サービスを使用しているクライアント ピア( client_login_name または「?」)
• action :実行されるアクション(接続のリセット、接続の廃棄、または受信)
• class_map_id :一致したクラス マップ ID
730001
エラー メッセージ %ASA-7-730001 Group groupname , User username , IP ipaddr : VLAN MAPPING to VLAN vlanid730002
エラー メッセージ %ASA-7-730002 Group groupname , User username , IP ipaddr : VLAN MAPPING to VLAN vlanid failed • vlanid :VLAN マッピング セッション用の VLAN ID
推奨処置 VLAN マッピング関連のコンフィギュレーションがすべて正しいこと、および VLAN ID が有効であることを確認します。
730003
エラー メッセージ %ASA-7-730003: NACApp sets IP ipaddr VLAN to vlanid説明 ASA はセッションに対して新しい VLAN ID を設定するための SNMP 設定メッセージを NACApp から受信します。
730004
エラー メッセージ %ASA-6-730004: Group groupname User username IP ipaddr VLAN ID vlanid from AAA ignored.説明 AAA から受信した VLAN ID が、現在使用している VLAN ID と異なるため、現在のセッションでは無視されます。
• vlanid :VLAN マッピング セッション用の VLAN ID
推奨処置 新しく受信した VLAN ID を使用する必要がある場合は、現在のセッションを切断します。それ以外は対処不要です。
730005
エラー メッセージ %ASA-6-730005: Group groupname User username IP ipaddr VLAN ID vlanid from AAA is invalid.730006
エラー メッセージ %ASA-7-730006: Group groupname , User username , IP ipaddr : is on NACApp AUTH VLAN vlanid .説明 セッションは NACApp ポスチャ アセスメント中です。
730007
エラー メッセージ %ASA-7-73007: Group groupname , User username , IP ipaddr : changed VLAN to < %s > ID vlanid説明 セッションに対して NACApp(Cisco NAC アプライアンス)ポスチャ アセスメントが実行され、VLAN が AUTH VLAN から新しい VLAN に変更されました。
730008
エラー メッセージ %ASA-6-730008: Group groupname, User username, IP ipaddr , VLAN MAPPING timeout waiting NACApp.説明 NACApp(Cisco NAC アプライアンス)ポスチャ アセスメントの実行時間が、設定されているタイムアウト値を超えています。
730009
エラー メッセージ %ASA-5-730009: Group groupname , User username, IP ipaddr , CAS casaddr , capacity exceeded, terminating connection.説明 NACApp(Cisco NAC アプライアンス)の Clean Access Server(CAS)の負荷容量を超過し、その CAS を使用する新規着信セッションを終了しています。
730010
エラー メッセージ %ASA-7-730010: Group groupname , User username, IP ipaddr , VLAN Mapping is enabled on VLAN vlanid .説明 セッションで VLAN マッピングがイネーブルになっています。
731001
エラー メッセージ %ASA-6-731001: NAC policy added: name: policyname Type: policytype .731002
エラー メッセージ %ASA-6-731002: NAC policy deleted: name: policyname Type: policytype .731003
エラー メッセージ %ASA-6-731003: nac-policy unused: name: policyname Type: policytype .説明 同じ名前でタイプの異なる既存の NAC ポリシーがあるため、この NAC ポリシーは使用されません。
推奨処置 新しい NAC ポリシーを使用する必要がある場合は、まず既存の NAC ポリシーを削除する必要があります。それ以外は対処不要です。
732001
エラー メッセージ %ASA-6-732001: Group groupname, User username, IP ipaddr, Fail to parse NAC-SETTINGS nac-settings-id , terminating connection.説明 利用可能なメモリがないため、ASAで NAC 設定を適用できません。
• nac-settings-id :NAC フィルタ用の ID
推奨処置 ASAのメモリをアップグレードします。この問題の発生前にログに記録されているエラーをすべて解決します。問題が解決しない場合、Cisco TAC にお問い合わせください。
732002
エラー メッセージ %ASA-6-732002: Group groupname, User username, IP ipaddr, NAC-SETTINGS settingsid from AAA ignored, existing NAC-SETTINGS settingsid_inuse used instead.説明 セッションに別の NAC 設定 ID が存在するため、この NAC 設定 ID を適用できません。
• settingsid :設定 ID(NAC ポリシー名である必要があります)
• settingsid_inuse :現在使用されている NAC 設定 ID
推奨処置 新しい NAC 設定 ID を適用する必要がある場合は、まずその NAC 設定 ID を使用するアクティブなセッションをすべて切断する必要があります。それ以外は対処不要です。
732003
エラー メッセージ %ASA-6-732003: Group groupname, User username, IP ipaddr, NAC-SETTINGS nac-settings-id from AAA is invalid, terminating connection.733100
エラー メッセージ %ASA-4-733100: Object drop rate rate_ID exceeded. Current burst rate is rate_val per second, max configured rate is rate_val ; Current average rate is rate_val per second, max configured rate is rate_val ; Cumulative total count is total_cnt説明 このメッセージで指摘されたオブジェクトが、指摘されたバーストしきい値レートまたは平均しきい値レートを超えました。このオブジェクトには、ホスト、TCP/UDP ポート、IP プロトコルの廃棄アクティビティなど、攻撃の可能性に起因するさまざまな廃棄が考えられます。ASA が攻撃を受けている可能性があります。
• Object :廃棄レート カウントの一般的なソースまたは特定のソース。これには、次のものが含まれます。
(特定のインターフェイス オブジェクトを示すために、さまざまな形式が使用されることがあります。たとえば、周知のプロトコル HTTP のポート 80 を意味する 80/HTTP が表示されることがあります)
• rate_ID :超過されている設定済みのレート。ほとんどのオブジェクトでは、異なる間隔で最大 3 つの異なるレートを設定できます。
• total_cnt :オブジェクトが作成または消去された後の合計カウント。
次の 3 つの例は、これらの変数がどのように表示されるかを示しています。
– CPU またはバスの制限に起因するインターフェイス廃棄の場合
– 設定されたスキャン レートおよび threat-detection rate scanning-rate 3600 average-rate 15 コマンドによる場合
推奨処置 メッセージで指摘されたオブジェクト タイプに応じて、次の手順を実行します。
2. threat-detection rate xxx コマンドを使用して、特定の廃棄のしきい値レートを適切な値に調整します。ここで、xxx は次のいずれかです。
3. メッセージ内のオブジェクトが TCP/UDP ポート、IP アドレス、またはホストの廃棄である場合は、実行環境でその廃棄レートを許容できるかどうかを確認します。
4. threat-detection rate bad-packet-drop コマンドを使用して、特定の廃棄のしきい値レートを適切な値に調整します。
(注) 廃棄レート超過の警告表示が不要な場合は、no threat-detection basic-threat コマンドを使用してディセーブルにできます。
733101
エラー メッセージ %ASA-4-733101: Object objectIP (is targeted|is attacking). Current burst rate is rate_val per second, max configured rate is rate_val ; Current average rate is rate_val per second, max configured rate is rate_val ; Cumulative total count is total_cnt.説明 特定のホスト(または同じ 1024 ノード サブネット内の複数のホスト)がネットワークをスキャンしている(攻撃している)か、あるいはスキャンされている(ターゲットになっている)ことを ASA が検出した場合に送信されます。
• object :攻撃者またはターゲット(同じ 1024 ノード サブネット内の、特定のホストまたは複数のホスト)
• objectIP :スキャンしている攻撃者またはスキャンされているターゲットの IP アドレス。
次の 2 つの例は、これらの変数がどのように表示されるかを示しています。
推奨処置 特定のホストまたはサブネットに対して、 show threat-detection statistics host ip-address ip-mask コマンドを使用し、全体的な状況を確認してから、脅威スキャンのしきい値レートを適切な値に調整します。適切な値を確定したら、 threat-detection scanning-threat shun-host コマンドを設定して、ホスト攻撃者(サブネット攻撃者ではない)を排除するためのオプションの処置を行うことができます。shun-host except リストで、特定のホストまたはオブジェクト グループを指定できます。詳細については、CLI 設定ガイドを参照してください。スキャンの検出が必要ない場合は、 no threat-detection scanning コマンドを使用してこの機能をディセーブルにできます。
733102
エラー メッセージ %ASA-4-733102:Threat-detection adds host %I to shun list説明 脅威検出エンジンによってホストが排除されました。 threat-detection scanning-threat shun コマンドが設定されている場合、攻撃しているホストは脅威検出エンジンによって排除されます。
次のメッセージは、このコマンドがどのように実装されるかを示しています。
推奨処置 排除されたホストが実際の攻撃者であるかどうかを調査するには、 threat-detection statistics host ip-address コマンドを使用します。排除されたホストが攻撃者でない場合は、 clear threat-detection shun ip address コマンドを使用して、排除されたホストを脅威検出エンジンから削除できます。排除されたすべてのホストを脅威検出エンジンから削除するには、 clear shun コマンドを使用します。
不適切なしきい値レート設定によって脅威検出エンジンがトリガーされたために、このメッセージを受信した場合は、 threat-detection rate scanning-threat rate-interval x average-rate y burst-rate z コマンドを使用して、しきい値レートを調整します。
733103
エラー メッセージ %ASA-4-733103: Threat-detection removes host %I from shun list説明 脅威検出エンジンによってホストが排除されました。 clear-threat-detection shun コマンドを使用すると、指摘されたホストが排除リストから削除されます。
次のメッセージは、このコマンドがどのように実装されるかを示しています。
733104
エラー メッセージ %ASA-4-733104: TD_SYSLOG_TCP_INTERCEPT_AVERAGE_RATE_EXCEED説明 ASA が SYN フラッド アタックを受けているが、TCP 代行受信メカニズムによって保護されています(代行受信される攻撃の平均レートがしきい値の設定値を超えた場合)。メッセージに、攻撃を受けているサーバと攻撃元が示されます。
733105
エラー メッセージ %ASA-4-733105: TD_SYSLOG_TCP_INTERCEPT_BURST_RATE_EXCEED説明 ASA が SYN フラッド アタックを受けているが、TCP 代行受信メカニズムによって保護されています(代行受信される攻撃のバースト レートがしきい値の設定値を超えた場合)。メッセージに、攻撃を受けているサーバと攻撃元が示されます。
734001
エラー メッセージ %ASA-6-734001: DAP: User user, Addr ipaddr , Connection connection : The following DAP records were selected for this connection: DAP record names • ipaddr :リモート クライアントの IP アドレス
• connection :次のいずれかのクライアント接続タイプ
734002
エラー メッセージ %ASA-5-734002: DAP: User user, Addr ipaddr : Connection terrminated by the following DAP records: DAP record names • ipaddr :リモート クライアントの IP アドレス
734003
エラー メッセージ %ASA-7-734003: DAP: User name , Addr ipaddr : Session Attribute: attr name/value説明 接続に関連付けられている、AAA とエンドポイントのセッション属性が表示されます。
• ipaddr :リモート クライアントの IP アドレス
734004
エラー メッセージ %ASA-3-734004: DAP: Processing error: Code number734005
エラー メッセージ %ASA-6-734005: DAP: User user , Addr ip : Administrative Message: custom message説明 DAP CheckAndMsg は、ASA の管理者が設定するカスタム メッセージを生成するように設定されています。
735001
エラー メッセージ %ASA-1-735001 IPMI: Cooling Fan var1 : OK735002
エラー メッセージ %ASA-1-735002 IPMI: Cooling Fan var1 : Failure Detected735003
エラー メッセージ %ASA-1-735003 IPMI: Power Supply var1 : OK735004
エラー メッセージ %ASA-1-735004 IPMI: Power Supply var1 : Failure Detected735005
エラー メッセージ %ASA-1-735005 IPMI: Power Supply Unit Redundancy OK735006
エラー メッセージ %ASA-1-735006 IPMI: Power Supply Unit Redundancy Lost説明 電源障害が発生しました。電源装置の冗長性は失われましたが、ASA は最小限のリソースで正常に機能しています。これ以上の障害が発生した場合は、ASA はシャットダウンされます。
735007
エラー メッセージ %ASA-1-735007 IPMI: CPU var1 : Temp: var2 var3 , Critical735008
エラー メッセージ %ASA-1-735008 IPMI: Chassis Ambient var1 : Temp: var2 var3 , Critical735009
エラー メッセージ %ASA-2-735009: IPMI: Environment Monitoring has failed initialization and configuration. Environment Monitoring is not running.説明 環境モニタリングの初期化中に重大なエラーが発生したため、続行できませんでした。
推奨処置 show environment および debug ipmi コマンドの出力を収集します。メッセージをそのまま記録し、Cisco TAC にお問い合わせください。
735010
エラー メッセージ %ASA-3-735010: IPMI: Environment Monitoring has failed to update one or more of its records.説明 環境モニタリングで、1 つまたは複数のレコードのアップデートを一時的に妨げるエラーが発生しました。
推奨処置 このメッセージが繰り返し表示される場合は、 show environment driver および debug ipmi コマンドの出力を収集します。メッセージをそのまま記録し、Cisco TAC にお問い合わせください。
735011
エラー メッセージ %ASA-1-735011: Power Supply var1 : Fan OK735012
エラー メッセージ %ASA-1-735012: Power Supply var1 : Fan Failure Detected推奨処置 Cisco TAC に連絡して、障害のトラブルシューティングを行ってください。この障害が解決するまで装置の電源をオフにします。
735013
エラー メッセージ %ASA-1-735013: Voltage Channel var1 : Voltage OK735014
エラー メッセージ %ASA-1-735014: Voltage Channel var1: Voltage Critical推奨処置 Cisco TAC に連絡して、障害のトラブルシューティングを行ってください。この障害が解決するまで装置の電源をオフにします。
735015
エラー メッセージ %ASA-4-735015: CPU var1 : Temp: var2 var3 , Warm735016
エラー メッセージ %ASA-4-735016: Chassis Ambient var1 : Temp: var2 var3 , Warm735017
エラー メッセージ %ASA-1-735017: Power Supply var1 : Temp: var2 var3 , OK735018
エラー メッセージ %ASA-4-735018: Power Supply var1 : Temp: var2 var3 , Critical推奨処置 Cisco TAC に連絡して、障害のトラブルシューティングを行ってください。この障害が解決するまで装置の電源をオフにします。
735019
エラー メッセージ %ASA-4-735019: Power Supply var1 : Temp: var2 var3 , Warm735020
エラー メッセージ %ASA-1-735020: CPU var1: Temp: var2 var3 OK735021
エラー メッセージ %ASA-1-735021: Chassis var1: Temp: var2 var3 OK735022
エラー メッセージ %ASA-1-735022: CPU# is running beyond the max thermal operating temperature and the device will be shutting down immediately to prevent permanent damage to the CPU.735023
エラー メッセージ %ASA-2-735023: ASA was previously shutdown due to the CPU complex running beyond the maximum thermal operating temperature. The chassis needs to be inspected immediately for ventilation issues.説明 ブート時、ASA は、CPU が安全な最大動作温度を超えて動作していたたために発生したシャットダウンを検出しました。 show environment コマンドを使用すると、このイベントが発生したことが示されます。
735024
エラー メッセージ %ASA-1-735024: IO Hub var1 : Temp: var2 var3 , OK735025
エラー メッセージ %ASA-1-735025: IO Hub var1 : Temp: var2 var3 , Critical735026
エラー メッセージ %ASA-4-735026: IO Hub var1 : Temp: var2 var3 , Warm735027
エラー メッセージ %ASA-1-735027: CPU cpu_num Voltage Regulator is running beyond the max thermal operating temperature and the device will be shutting down immediately. The chassis and CPU need to be inspected immediately for ventilation issues.説明 ASA は、CPU 電圧レギュレータが最大動作温度を超えたことを検出しました。検出直後にシャット ダウンします。
735028
エラー メッセージ %ASA-2-735028: ASA was previously shutdown due to a CPU Voltage Regulator running beyond the max thermal operating temperature. The chassis and CPU need to be inspected immediately for ventilation issues.説明 ブート時、ASA は、CPU 電圧レギュレータが安全な最大動作温度を超えて動作していたために発生したシャットダウンを検出しました。 show environment コマンドを入力すると、このイベントが発生したことが示されます。
735029
エラー メッセージ %ASA-1-735029: IO Hub is running beyond the max thermal operating temperature and the device will be shutting down immediately to prevent permanent damage to the circuit.736001
エラー メッセージ %ASA-2-736001: Unable to allocate enough memory at boot for jumbo-frame reservation. Jumbo-frame support has been disabled.説明 ジャンボ フレーム サポートの設定中にメモリ不足が検出されました。その結果、ジャンボフレーム サポートがディセーブルになりました。
推奨処置 jumbo-frame reservation コマンドを使用して、ジャンボ フレーム サポートを再びイネーブルにしてみます。実行コンフィギュレーションを保存し、ASA をリブートします。問題が解決しない場合、Cisco TAC にお問い合わせください。
737001
エラー メッセージ %ASA-7-737001: IPAA: Received message message-type説明 IP アドレス割り当てプロセスはメッセージを受信しました。
737002
エラー メッセージ %ASA-3-737002: IPAA: Received unknown message num variables説明 IP アドレス割り当てプロセスはメッセージを受信しました。
737003
エラー メッセージ %ASA-5-737003: IPAA: DHCP configured, no viable servers found for tunnel-group tunnel-group説明 指摘されたトンネル グループの DHCP サーバ コンフィギュレーションが無効です。
• tunnel-group :IP アドレス割り当てでコンフィギュレーションに使用されているトンネル グループ
推奨処置 トンネル グループの DHCP コンフィギュレーションを検証します。DHCP サーバがオンラインであることを確認します。
737004
エラー メッセージ %ASA-5-737004: IPAA: DHCP configured, request failed for tunnel-group 'tunnel-group'説明 指摘されたトンネル グループの DHCP サーバ コンフィギュレーションが無効です。
• tunnel-group :IP アドレス割り当てでコンフィギュレーションに使用されているトンネル グループ
推奨処置 トンネル グループの DHCP コンフィギュレーションを検証します。DHCP サーバがオンラインであることを確認します。
737005
エラー メッセージ %ASA-6-737005: IPAA: DHCP configured, request succeeded for tunnel-group tunnel-group737006
エラー メッセージ %ASA-6-737006: IPAA: Local pool request succeeded for tunnel-group tunnel-group737007
エラー メッセージ %ASA-5-737007: IPAA: Local pool request failed for tunnel-group tunnel-group説明 ローカル プール要求が失敗しました。トンネル グループに割り当てられているプールが枯渇している可能性があります。
• tunnel-group :IP アドレス割り当てでコンフィギュレーションに使用されているトンネル グループ
推奨処置 show ip local pool コマンドを使用して、IP ローカル プールのコンフィギュレーションを検証します。
737008
エラー メッセージ %ASA-5-737008: IPAA: 'tunnel-group' not found説明 コンフィギュレーション用の IP アドレスを取得しようとしたときに、トンネル グループが見つかりませんでした。このメッセージは、ソフトウェア障害が原因で生成される場合があります。
737009
エラー メッセージ %ASA-6-737009: IPAA: AAA assigned address ip-address , request failed説明 リモート アクセス クライアント ソフトウェアが特定のアドレスの使用を要求しました。AAA サーバに対する対象のアドレスの使用要求が失敗しました。アドレスが使用中の可能性があります。
737010
エラー メッセージ %ASA-6-737010: IPAA: AAA assigned address ip-address , request succeeded説明 リモート アクセス クライアント ソフトウェアが特定のアドレスの使用を要求し、対象のアドレスを正常に受け取りました。
737011
エラー メッセージ %ASA-5-737011: IPAA: AAA assigned ip-address , not permitted, retrying説明 リモート アクセス クライアント ソフトウェアが特定のアドレスの使用を要求しました。 vpn-addr-assign aaa コマンドが設定されていません。その代わりとして設定されているアドレス割り当て方法が使用されます。
• ip-address :クライアントが要求した IPv4 アドレスまたは IPv6 アドレス
推奨処置 クライアントがそれぞれ独自のアドレスを使用することを許可する場合は、 vpn-addr-assign aaa コマンドをイネーブルにします。
737012
エラー メッセージ %ASA-4-737012: IPAA: Address assignment failed説明 リモート アクセス クライアント ソフトウェアによる特定のアドレスの要求が失敗しました。
• ip-address :クライアントが要求した IP アドレス
推奨処置 IP ローカル プールを使用している場合は、ローカル プールのコンフィギュレーションを検証します。AAA を使用している場合は、AAA サーバのコンフィギュレーションとステータスを検証します。DHCP を使用している場合は、DHCP サーバのコンフィギュレーションとステータスを検証します。ログ レベルを上げて(通知または情報を使用)、失敗の原因を示す追加のメッセージを取得します。
737013
エラー メッセージ %ASA-4-737013: IPAA: Error freeing address ip-address , not found説明 ASA がアドレスを解放しようとしましたが、最近のコンフィギュレーション変更により、そのアドレスが割り当て済みリストにありませんでした。
• ip-address :解放対象の IPv4 アドレスまたは IPv6 アドレス
推奨処置 アドレス割り当てコンフィギュレーションを検証します。このメッセージが引き続き発生する場合は、ソフトウェア障害が原因となっている可能性があります。Cisco TAC に問い合わせて、問題を報告してください。
737014
エラー メッセージ %ASA-6-737014: IPAA: Freeing AAA address ip-address説明 ASA が、AAA を使用して割り当てられた IP アドレスを正常に解放しました。
737015
エラー メッセージ %ASA-6-737015: IPAA: Freeing DHCP address ip-address737016
エラー メッセージ %ASA-6-737016: IPAA: Freeing local pool address ip-address説明 ASA が、ローカル プールを使用して割り当てられた IP アドレスを正常に解放しました。
737017
エラー メッセージ %ASA-6-737017: IPAA: DHCP request attempt num succeeded737018
エラー メッセージ %ASA-5-737018: IPAA: DHCP request attempt num failed737019
エラー メッセージ %ASA-4-737019: IPAA: Unable to get address from group-policy or tunnel-group local pools説明 ASA が、グループ ポリシーまたはトンネル グループに設定されているローカル プールからアドレスを取得できませんでした。ローカル プールが枯渇している可能性があります。
推奨処置 ローカル プールのコンフィギュレーションとステータスを検証します。ローカル プールのグループ ポリシーとトンネル グループのコンフィギュレーションを検証します。
737023
エラー メッセージ %ASA-5-737023: IPAA: Unable to allocate memory to store local pool address ip-address推奨処置 ASAのオーバーロードにより増設メモリが必要になっているか、またはソフトウェア障害に起因するメモリ リークが存在する可能性があります。Cisco TAC に問い合わせて、問題を報告してください。
737024
エラー メッセージ %ASA-5-737024: IPAA : Client requested address ip-address , already in use, retrying説明 クライアントが要求した IP アドレスはすでに使用されています。要求は、新しい IP アドレスを使用して試行されます。
737025
エラー メッセージ %ASA-5-737025: IPAA: Duplicate local pool address found, ip-address in quarantine説明 クライアントに渡されることになっていた IP アドレスはすでに使用されています。IP アドレスはプールから削除され、再び使用されることはありません。
推奨処置 ローカル プールのコンフィギュレーションを検証します。ソフトウェア障害が原因で重複が発生している可能性があります。Cisco TAC に問い合わせて、問題を報告してください。
737026
エラー メッセージ %ASA-6-737026: IPAA: Client assigned ip-address from local pool説明 指摘されたアドレスがローカル プールから割り当てられました。
737027
エラー メッセージ %ASA-3-737027: IPAA: No data for address request737028
エラー メッセージ %ASA-4-737028: IPAA: Unable to send ip-address to standby: communication failure説明 アクティブASAが、スタンバイASAと通信できませんでした。フェールオーバー ペアが同期していない可能性があります。
737029
エラー メッセージ %ASA-6-737029: IPAA: Added ip-address to standby説明 スタンバイ ASA が IP アドレス割り当てを受け入れました。
737030
エラー メッセージ %ASA-4-737030: IPAA: Unable to send ip-address to standby: address in use説明 アクティブ ASA が指摘されたアドレスを取得しようとしましたが、そのアドレスはスタンバイ ASA ですでに使用されていました。フェールオーバー ペアが同期していない可能性があります。
737031
エラー メッセージ %ASA-6-737031: IPAA: Removed ip-address from standby説明 スタンバイ ASA が IP アドレス割り当てを消去しました。
737032
エラー メッセージ %ASA-4-737032: IPAA: Unable to remove ip-address from standby: address not found説明 スタンバイ ASA で使用されていない IP アドレスをアクティブ ASA が解放しようとしました。フェールオーバー ペアが同期していない可能性があります。
737033
エラー メッセージ %ASA-4-737033: IPAA: Unable to assign addr_allocator provided IP address ip_addr to client. This IP address has already been assigned by previous_addr_allocator説明 AAA/DHCP/ローカル プールによって割り当てられたアドレスがすでに使用されています。
• addr_allocator :DHCP/AAA/ローカル プール
• ip_addr :DHCP/AAA/ローカル プールによって割り当てられた IP アドレス
• previous_ addr_allocator :IP アドレスをすでに割り当てているアドレス アロケータ(ローカル プール、AAA、または DHCP)
推奨処置 AAA/DHCP/ローカル プール アドレスのコンフィギュレーションを検証します。重複が発生している可能性があります。
741000
エラー メッセージ %ASA-6-741000: Coredump filesystem image created on variable 1 -size variable 2 MB説明 コア ダンプ ファイル システムが正常に作成されました。ファイル システムは、コア ダンプで使用できるディスク スペースの量を制限することでコア ダンプを管理するためのものです。
• variable 1 :コア ダンプが配置されているファイル システム(disk0:、disk1:、flash: など)
741001
エラー メッセージ %ASA-6-741001: Coredump filesystem image on variable 1 - resized from variable 2 MB to variable 3 MB説明 コア ダンプ ファイル システムのサイズが正常に変更されました。
• variable 1 :コア ダンプが配置されているファイル システム
• variable 2 :以前のコア ダンプ ファイル システムのサイズ(MB 単位)
• variable 3 :サイズが変更された新しい現在のコア ダンプ ファイル システムのサイズ(MB 単位)
推奨処置 コア ダンプ ファイル システムのサイズを変更した後、コンフィギュレーションを必ず保存します。コア ダンプ ファイル システムのサイズを変更すると、既存のコア ダンプ ファイル システムの内容が削除されます。そのため、コア ダンプ ファイル システムのサイズを変更する前に、すべての情報をアーカイブしてください。
741002
エラー メッセージ %ASA-6-741002: Coredump log and filesystem contents cleared on variable 1説明 コア ダンプ ファイル システムからすべてのコア ダンプが削除され、コア ダンプ ログが消去されました。コア ダンプ ファイル システムとコア ダンプ ログは常に相互に同期されます。
• variable 1 :コア ダンプが配置されているファイル システム(disk0:、disk1:、flash: など)
推奨処置 不要です。 clear coredump コマンドを使用すると、コ アダンプ ファイル システムを消去して既知の状態にリセットできます。
741003
エラー メッセージ %ASA-6-741003: Coredump filesystem and its contents removed on variable 1説明 コア ダンプ ファイル システムとその内容が削除され、コア ダンプ機能がディセーブルになりました。
• variable 1 :コア ダンプが配置されているファイル システム(disk0:、disk1:、flash: など)
741004
エラー メッセージ %ASA-6-741004: Coredump configuration reset to default values説明 コア ダンプのコンフィギュレーションがデフォルト値にリセットされました。つまり、コア ダンプがディセーブルになりました。
741005
エラー メッセージ %ASA-4-741005: Coredump operation variable 1 failed with error variable 2 variable 3説明 コア ダンプ関連の操作の実行中にエラーが発生しました。
- CREATE_FSYS:コア ダンプ ファイル システムの作成中にエラーが発生しました。
- CLEAR_LOG:コア ダンプ ログの消去中にエラーが発生しました。
- DELETE_FSYS:コア ダンプ ファイル システムの削除中にエラーが発生しました。
- CLEAR_FSYS:コア ダンプ ファイル システムの内容の削除中にエラーが発生しました。
- MOUNT_FSYS:コア ダンプ ファイル システムのマウント中にエラーが発生しました。
• variable 2 : variable 1 で指定されたエラーの原因に関する追加情報を提供する 10 進数。
• variable 3 : variable 2 に関連付けられている記述的な ASCII 文字列。ASCII 文字列には、次の値が使用されます。
- 要求されたコアダンプ ファイルシステムのサイズが大きすぎます
推奨処置 コンフィギュレーションでコア ダンプ機能がディセーブルになっていることを確認し、メッセージを Cisco TAC に送信して分析を依頼します。
741006
エラー メッセージ %ASA-4-741006: Unable to write Coredump Helper configuration, reason variable 1説明 コアダンプ ヘルパーのコンフィギュレーション ファイルへの書き込み中にエラーが発生しました。このエラーは、disk0: がいっぱいになっている場合にだけ発生します。コンフィギュレーション ファイルは disk0: にあります(.coredumpinfo/coredump.cfg)。
• variable 1 :この変数には、コア ダンプ ヘルパーのコンフィギュレーション ファイルへの書き込みが失敗した理由を示す基本的なファイル システム関連の文字列が使用される。
推奨処置 必要に応じて、コア ダンプ機能をディセーブルにし、disk0: から不要な項目を削除してから、再びコア ダンプをイネーブルにします。
742001
エラー メッセージ %ASA-3-742001: failed to read master key for password encryption from persistent store説明 起動後に不揮発性メモリからのマスター パスワード暗号キーの読み取りに失敗しました。コンフィギュレーションの中の暗号化パスワードは、 key config-key password encryption コマンドを使用してマスター キーを正しい値に設定しない限り、復号化されません。
推奨処置 コンフィギュレーションの中に、使用する必要がある暗号化されたパスワードがある場合は、 key config-key password encryption コマンドを使用して、マスター キーを、パスワードを暗号化するために使用した以前の値に設定します。暗号化されたパスワードがない場合、または暗号化されたパスワードを破棄できる場合は、新しいマスター キーを設定します。パスワード暗号化を使用していない場合、処置は不要です。
742002
エラー メッセージ %ASA-3-742002: failed to set master key for password encryption説明 key config-key password encryption コマンドの読み込みに失敗しました。このエラーは、次の理由で発生することがあります。
• セキュアでない端末(たとえば、Telnet 接続経由)から設定された。
• フェールオーバーがイネーブルであるが、暗号化されたリンクを使用していない。
742003
エラー メッセージ %ASA-3-742003: failed to save master key for password encryption, reason reason_text説明 不揮発性メモリにマスター キーを保存しようとしましたが失敗しました。実際の原因は reason_text パラメータで指定されます。原因としては、メモリ不足状態や、不揮発性ストレージに不整合があることが考えられます。
推奨処置 問題が解決しない場合は、 write erase コマンドを使用してキーを保存するために使用される不揮発性メモリを再フォーマットします。この手順を実行する前に、アウトオブザボックス コンフィギュレーションをバックアップしてください。その後 write erase コマンドを再入力します。
742004
エラー メッセージ %ASA-3-742004: failed to sync master key for password encryption, reason reason_text742005
エラー メッセージ %ASA-3-742005: cipher text enc_pass is not compatible with the configured master key or the cipher text has been tampered with説明 パスワードを復号化しようとしましたが失敗しました。パスワードは現在のマスター キーとは異なるマスター キーを使用して暗号化されているか、暗号化されたパスワードが元の形式から変更された可能性があります。
推奨処置 正しいマスター キーが使用されていない場合、問題を解決します。暗号化されたパスワードが変更された場合、新しいパスワードを使用して問題のコンフィギュレーションを再適用します。
742006
エラー メッセージ %ASA-3-742006: password decryption failed due to unavailable memory742007
エラー メッセージ %ASA-3-742007: password encryption failed due to unavailable memory説明 メモリがないために、パスワードの暗号化に失敗しました。コンフィギュレーションの中のパスワードは、クリア テキスト形式のままになる可能性があります。
742008
エラー メッセージ %ASA-3-742008: password enc_pass decryption failed due to decoding error説明 デコード エラーが原因でパスワードの復号化に失敗しました。これは、暗号化されたパスワードが暗号化後に変更されたことが原因である可能性があります。
742009
エラー メッセージ %ASA-3-742009: password encryption failed due to decoding error説明 パスワードの暗号化はデコード エラーが原因で失敗しました。内部ソフトウェア エラーが発生している可能性があります。
推奨処置 クリア テキスト パスワードを使用して問題のコンフィギュレーションを再適用します。問題が解決しない場合、Cisco TAC にお問い合わせください。
742010
エラー メッセージ %ASA-3-742010: encrypted password enc_pass is not well formed説明 コマンドで指定された暗号化パスワードの形式が正しくありません。パスワードは、有効な暗号化パスワードではないか、暗号化後に変更された可能性があります。
743000
エラー メッセージ %ASA-1-743000: The PCI device with vendor ID: vendor_id device ID: device_id located at bus:device.function bus_num:dev_num, func_num has a link link_attr_name of actual_link_attr_val when it should have a link link_attr_name of expected_link_attr_val .説明 システムの PCI デバイスが適切に設定されていません。システムが最適レベルで動作しなくなる可能性があります。
推奨処置 show controller pci detail コマンドの出力を収集し、Cisco TAC に連絡してください。
743001
エラー メッセージ %ASA-1-743001: Backplane health monitoring detected link failure説明 ASA サービス モジュール とスイッチ シャーシ間のリンクの 1 つでハードウェア障害が発生し検出された可能性があります。
743002
エラー メッセージ %ASA-1-743002: Backplane health monitoring detected link OK説明 ASA サービス モジュール とスイッチ シャーシ間のリンクが復元されました。ただし、障害およびその後の復旧は、ハードウェア障害を示している可能性があります。
743004
エラー メッセージ %ASA-1-743004: System is not fully operational - PCI device with vendor ID vendor_id ( vendor_name ), device ID device_id ( device_name ) not found説明 システムが完全に機能するために必要な PCI デバイスがシステムに見つかりませんでした。
• vendor_id :デバイスのベンダーを識別する 16 進数値
• vendor_name :ベンダー名を識別するテキスト文字列
• device_id :ベンダー デバイスを識別する 16 進数値
• device_name :デバイス名を識別するテキスト文字列
推奨処置 show controller pci detail コマンドの出力を収集し、Cisco TAC にお問い合わせください。
746001
エラー メッセージ %ASA-6-746001: user-identity: activated import user groups | activated host names | user-to-IP address databases download started746002
エラー メッセージ %ASA-6-746002: user-identity: activated import user groups | activated host names | user-to-IP address databases download complete746003
エラー メッセージ %ASA-3-746003: user-identity: activated import user groups | activated host names | user-to-IP address databases download failed - reason説明 データベース(ユーザ グループ、ホスト名、または IP アドレス)のダウンロードがタイムアウトのために失敗しました。
推奨処置 オフボックス AD エージェントのステータスを確認します。AD エージェントがダウンしている場合は、まずその問題を解決します。AD エージェントが稼働している場合は、データベースのダウンロードを再度試みます。問題が解決しない場合、Cisco TAC にお問い合わせください。
746004
エラー メッセージ %ASA-4-746004: user identity: Total number of activated user groups exceeds the max_groups groups for this platform.説明 アクティブなユーザ グループの総数が、このプラットフォームの最大数である 256 を超過しました。
推奨処置 過剰な数のユーザ グループが設定され、アクティブになっています。設定されたユーザ グループの数を減らします。どのポリシーでもアクティブ化されていないユーザ レコードを解放するには、 clear user-identity user no-policy-activated コマンドを実行します。データベース中のユーザの総数を確認するには、 show user-identity user all コマンドを実行します。
746005
エラー メッセージ %ASA-3-746005: user-identity: The AD Agent AD agent IP address cannot be reached - reason [ action ]説明 ASA は AD エージェントに到達できません。AD エージェントからの応答がないか、またはバッファが小さすぎるため RADIUS 登録に失敗しました。
推奨処置 AD エージェントと ASA の間のネットワーク接続を確認します。別の AD エージェントが設定済みで使用可能であれば、その AD エージェントに接続を試みます。問題が解決しない場合、Cisco TAC にお問い合わせください。
746006
エラー メッセージ %ASA-4-746006: user-identity: Out of sync with AD Agent, start bulk download説明 AD エージェントは ASA 上の IP ユーザ マッピング イベントを更新できず、AD エージェント イベントログがオーバーフローします。これにより、AD エージェントと ASA IP ユーザ データベースの間で不整合が生じます。
746007
エラー メッセージ %ASA-5-746007: user-identity: NetBIOS response failed from User user_name at user_ip746008
エラー メッセージ %ASA-6-746008: user-identity: NetBIOS Probe Process started746009
エラー メッセージ %ASA-6-746009: user-identity: NetBIOS Probe Process stopped746010
エラー メッセージ %ASA-3-746010: user-identity: update import-user domain_name \\ group_name - Import Failed [ reason ]説明 user-identity update import-user username コマンドによるユーザ要素の更新が失敗しました。失敗した理由は、次のいずれかです。タイムアウト、部分的なアップデート、インポートの異常終了、グループが存在しない、または理由が示されません。
推奨処置 失敗の理由がない場合は、ポリシー中のグループ名が正しいことを確認します。そうでない場合は、ASA と AD サーバの間の接続を確認します。
746011
エラー メッセージ %ASA-4-746011: Total number of users created exceeds the maximum number of max_users for this platform.説明 AD グループが、ハード コードされた最大レベル数(64000)を超えています。過剰な数のユーザが、アクティブなポリシーで設定されています。
746012
エラー メッセージ %ASA-5-746012: user-identity: Add IP-User mapping IP Address - domain_name \ user_name result - reason説明 新しいユーザ IP マッピングが、ユーザから IP アドレスへのマッピング データベースに追加されました。操作のステータス(成功または失敗)が表示されます。成功の理由は、VPN ユーザです。失敗した理由は、次のいずれかです。最大ユーザ制限に到達、重複したアドレス。
746013
エラー メッセージ %ASA-5-746013: user-identity: Delete IP-User mapping IP Address - domain_name \ user_name result - reason説明 ユーザから IP アドレスへのマッピング データベースが変更されました。操作のステータス(成功または失敗)が表示されます。成功の理由は、次のいずれかです。非アクティブ タイムアウト、NetBIOS プローブの失敗、PIP の通知、VPN ユーザのログアウト、カットスルー プロキシ ユーザのログアウト、MAC アドレスの不一致。失敗の理由は、PIP の通知です。
746014
エラー メッセージ %ASA-5-746014: user-identity: [FQDN] fqdn address IP Address obsolete.746015
エラー メッセージ %ASA-5-746015: user-identity: FQDN] fqdn resolved IP address .746016
エラー メッセージ %ASA-3-746016: user-identity: DNS lookup failed, reason: reason説明 DNS ルックアップが失敗しました。失敗の理由は、次のいずれかです。タイムアウト、解決不能、メモリ不足。
推奨処置 FQDN が有効であり、DNS サーバが ASA から到達可能であることを確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
746017
エラー メッセージ %ASA-6-746017: user-identity: Update import-user domain_name \\ group_name746018
エラー メッセージ %ASA-6-746018: user-identity: Update import-user domain_name \\ group_name done説明 user-identity update import-user コマンドが発行され、インポートが正常に完了しました。
746019
エラー メッセージ %ASA-3-746019: user-identity: Update | Remove AD Agent AD agent IP Address IP-user mapping user_IP - domain_name \ user_name failed説明 ASA は、AD エージェント上での IP とユーザのマッピングの更新または削除に失敗しました。
推奨処置 AD エージェントのステータス、および ASA と AD エージェントの間の接続を確認します。問題が解決しない場合、Cisco TAC にお問い合わせください。
747001
エラー メッセージ %ASA-3-747001: Clustering: Recovered from state machine event queue depleted. Event ( event-id , ptr-in-hex , ptr-in-hex ) dropped. Current state state-name , stack ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex747002
エラー メッセージ %ASA-5-747002: Clustering: Recovered from state machine dropped event ( event-id , ptr-in-hex , ptr-in-hex ). Intended state: state-name . Current state: state-name .747003
エラー メッセージ %ASA-5-747003: Clustering: Recovered from state machine failure to process event ( event-id , ptr-in-hex , ptr-in-hex ) at state state-name .747004
エラー メッセージ %ASA-6-747004: Clustering: state machine changed from state state-name to state-name .747005
エラー メッセージ %ASA-7-747005: Clustering: State machine notify event event-name ( event-id , ptr-in-hex , ptr-in-hex )747006
エラー メッセージ %ASA-7-747006: Clustering: State machine is at state state-name747007
エラー メッセージ %ASA-5-747007: Clustering: Recovered from finding stray config sync thread, stack ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex , ptr-in-hex .747008
エラー メッセージ %ASA-4-747008: Clustering: New cluster member name with serial number serial-number-A rejected due to name conflict with existing unit with serial number serial-number-B .747009
エラー メッセージ %ASA-2-747009: Clustering: Fatal error due to failure to create RPC server for module module name .推奨処置 このユニットのクラスタリングをディセーブルにした後、再びイネーブルにします。問題が続く場合には、Cisco TAC に連絡してください。
747010
エラー メッセージ %ASA-3-747010: Clustering: RPC call failed, message message-name , return code code-value .747011
エラー メッセージ %ASA-2-747011: Clustering: Memory allocation error.推奨処置 このユニットのクラスタリングをディセーブルにした後、再びイネーブルにします。問題が解決しない場合は、ASA のメモリ使用量を確認してください。
747012
エラー メッセージ %ASA-3-747012: Clustering: Failed to replicate global object id hex-id-value in domain domain-name to peer unit-name , continuing operation.747013
エラー メッセージ %ASA-3-747013: Clustering: Failed to remove global object id hex-id-value in domain domain-name from peer unit-name , continuing operation.747014
エラー メッセージ %ASA-3-747014: Clustering: Failed to install global object id hex-id-value in domain domain-name , continuing operation.747015
エラー メッセージ %ASA-4-747015: Clustering: Forcing stray member unit-name to leave the cluster.747016
エラー メッセージ %ASA-4-747016: Clustering: Found a split cluster with both unit-name-A and unit-name-B as master units. Master role retained by unit-name-A , unit-name-B will leave, then join as a slave.747017
エラー メッセージ %ASA-4-747017: Clustering: Failed to enroll unit unit-name due to maximum member limit limit-value reached.747018
エラー メッセージ %ASA-3-747018: Clustering: State progression failed due to timeout in module module-name .747019
エラー メッセージ %ASA-4-747019: Clustering: New cluster member name rejected due to Cluster Control Link IP subnet mismatch ( ip-address / ip-mask on new unit, ip-address / ip-mask on local unit).説明 マスター ユニットは新規参加ユニットに互換性のないクラスタ インターフェイスの IP アドレスがあることを検出しました。
747020
エラー メッセージ %ASA-4-747020: Clustering: New cluster member unit-name rejected due to encryption license mismatch.747021
エラー メッセージ %ASA-3-747021: Clustering: Master unit unit-name is quitting due to interface health check failure on interface-name .747022
エラー メッセージ %ASA-3-747022: Clustering: Asking slave unit unit-name to quit because it failed interface health check x times, rejoin will be attempted after y min. Failed interface: interface-name .説明 この syslog メッセージは、再参加の最大試行回数を超えていない場合に出力されます。指定された時間にわたってインターフェイスのヘルス チェックに失敗したため、スレーブ ユニットはクラスタリングをディセーブルにしました。このユニットは、指定された時間(ミリ秒)後に自動的に再度イネーブルになります。
747023
エラー メッセージ %ASA-3-747023: Clustering: Master unit unit-name is quitting due to card name card health check failure, and master Security Service Card state is state-name .説明 セキュリティ サービス カードのヘルス チェックに失敗したため、マスター ユニットはクラスタリングをディセーブルにしました。
747024
エラー メッセージ %ASA-3-747024: Clustering: Asking slave unit unit-name to quit due to card name card health check failure, and its Security Service Card state is state-name .説明 セキュリティ サービス カードのヘルス チェックに失敗したため、スレーブ ユニットはクラスタリングをディセーブルにしました。
747025
エラー メッセージ %ASA-4-747025: Clustering: New cluster member unit-name rejected due to firewall mode mismatch.747026
エラー メッセージ %ASA-4-747026: Clustering: New cluster member unit-name rejected due to cluster interface name mismatch ( ifc-name on new unit, ifc-name on local unit).747027
エラー メッセージ %ASA-4-747027: Clustering: Failed to enroll unit unit-name due to insufficient size of cluster pool pool-name in context-name .747028
エラー メッセージ %ASA-4-747028: Clustering: New cluster member unit-name rejected due to interface mode mismatch ( mode-name on new unit, mode-name on local unit).説明 マスター ユニットは互換性のないインターフェイス モード(spanned または individual)を持つ参加ユニットを検出しました。
747029
エラー メッセージ %ASA-4-747029: Clustering: Unit unit-name is quitting due to Cluster Control Link down.747030
エラー メッセージ %ASA-3-747030: Clustering: Asking slave unit unit-name to quit because it failed interface health check x times (last failure on interface-name ), Clustering must be manually enabled on the unit to re-join.説明 インターフェイスのヘルス チェックが失敗し、再参加の最大試行回数を超えました。インターフェイスのヘルス チェックに失敗したため、スレーブ ユニットはクラスタリングをディセーブルにしました。
747031
エラー メッセージ %ASA-3-747031: Clustering: Platform mismatch between cluster master ( platform-type ) and joining unit unit-name ( platform-type ). unit-name aborting cluster join.説明 参加ユニットのプラットフォーム タイプがクラスタ マスターのプラットフォーム タイプと一致しません。
• unit-name :クラスタ ブートストラップ内のユニット名
747032
エラー メッセージ %ASA-3-747032: Clustering: Service module mismatch between cluster master ( module-name ) and joining unit unit-name ( module-name )in slot slot-number . unit-name aborting cluster join.説明 参加ユニットの外部モジュール(モジュール タイプおよびそれらのインストール順)がクラスタ マスターと整合していません。
• unit-name :クラスタ ブートストラップ内のユニット名
• slot-number :不一致が発生したスロットの番号
推奨処置 参加ユニットにインストールされているモジュールが、クラスタ マスター内にあるものと同じタイプで、同じ順序であることを確認します。
747033
エラー メッセージ %ASA-3-747033: Clustering: Interface mismatch between cluster master and joining unit unit-name . unit-name aborting cluster join.説明 参加ユニットのインターフェイスがクラスタ マスターのインターフェイスと同じではありません。
750001
エラー メッセージ %ASA-5-750001: Local: local IP : local port Remote: remote IP : remote port Username: username Received request to request an IPsec tunnel; local traffic selector = local selectors: range, protocol, port range ; remote traffic selector = remote selectors: range, protocol, port range説明 キー再生成、接続確立の要求などの、IPSec トンネルに対する操作が要求されています。
• local IP:local port :この要求のローカル IP アドレス。この接続に使用される ASA の IP アドレスとポート番号
• remote IP:remote port :この要求のリモート IP アドレス。接続の送信元のピア IP アドレスとポート番号
• username :リモート アクセスの要求者のユーザ名(既知の場合)またはトンネル グループ
• local selectors :この IPSec トンネルに対して使用されている、ローカルに設定されたトラフィック セレクタまたはプロキシ
• remote selectors :この IPSec トンネルに対し、トラフィック セレクタまたはプロキシを要求したリモート ピア
750002
エラー メッセージ %ASA-5-750002: Local: local IP : local port Remote: remote IP : remote port Username: username Received a IKE_INIT_SA request説明 着信トンネルまたは SA の開始要求(IKE_INIT_SA 要求)を受信しました。
• local IP:local port :この要求のローカル IP アドレス。この接続に使用される ASA の IP アドレスとポート番号
• remote IP:remote port :この要求のリモート IP アドレス。接続の送信元のピア IP アドレスとポート番号
750003
エラー メッセージ %ASA-4-750003: Local: local IP:local port Remote: remote IP:remote port Username: username Negotiation aborted due to ERROR: error説明 指摘されたエラー理由により、SA のネゴシエーションが打ち切られました。
• local IP:local port :この要求のローカル IP アドレス。この接続に使用される ASA の IP アドレスとポート番号
• remote IP:remote port :この要求のリモート IP アドレス。接続の送信元のピア IP アドレスとポート番号
• username :リモート アクセスの要求者のユーザ名(既知の場合)
推奨処置 syslog を確認し、ログのフローをたどって、この syslog が交換の最終ログであるかどうかと、このログが潜在的な障害または再ネゴシエートされた一時的なエラーの原因であるかどうかを確認します。たとえば、ピアは、設定されていない KE ペイロードによって DH グループを提案できます。これにより最初の要求が失敗しますが、ピアが新しい要求の中で正しいグループに戻ることができるように、正しい DH グループが伝えられます。
750004
エラー メッセージ %ASA-5-750004: Local: local IP: local port Remote: remote IP: remote port Username: username Sending COOKIE challenge to throttle possible DoS説明 着信接続要求で、DoS 攻撃を防ぐために設定されたクッキー チャレンジしきい値に基づいてクッキーが要求されました。
• local IP:local port :この要求のローカル IP アドレス。この接続に使用される ASA の IP アドレスとポート番号
• remote IP:remote port :この要求のリモート IP アドレス。接続の送信元のピア IP アドレスとポート番号
750005
エラー メッセージ %ASA-5-750005: Local: local IP: local port Remote: remote IP: remote port Username: username IPsec rekey collision detected. I am lowest nonce initiator, deleting SA with inbound SPI SPI説明 キーの再生成の衝突(両方のピアがキー再生成を同時に開始すること)が検出され、この ASA によって開始されたキー再生成を有効にすることで解決されました(そのナンスが最小であったため)。この操作によって、SPI により参照されている指摘された SA が削除されました。
• local IP:local port :この要求のローカル IP アドレス。この接続に使用される ASA の IP アドレスとポート番号
• remote IP:remote port :この要求のリモート IP アドレス。接続の送信元のピア IP アドレスとポート番号
• username :リモート アクセスの要求者のユーザ名(既知の場合)
750006
エラー メッセージ %ASA-5-750006: Local: local IP: local port Remote: remote IP: remote port Username: username SA UP. Reason: reason説明 新たに確立された接続またはキー再生成などの理由で、SA がアップ状態になりました。
• local IP:local port :この要求のローカル IP アドレス。この接続に使用される ASA の IP アドレスとポート番号
• remote IP:remote port :この要求のリモート IP アドレス。接続の送信元のピア IP アドレスとポート番号
750007
エラー メッセージ %ASA-5-750007: Local: local IP: local port Remote: r emote IP: remote port Username: username SA DOWN. Reason: reason説明 ピアからの要求、オペレータ要求(管理者アクションを通して)、キー再生成などの指摘された理由により、SA が切断または削除されました。
• local IP:local port :この要求のローカル IP アドレス。この接続に使用される ASA の IP アドレスとポート番号
• remote IP:remote port :この要求のリモート IP アドレス。接続の送信元のピア IP アドレスとポート番号
750008
エラー メッセージ %ASA-5-750008: Local: local IP: local port Remote: remote IP: remote port Username: username SA rejected due to system resource low説明 SA 要求は、システム リソースの低下状態を軽減するために拒否されました。
• local IP:local port :この要求のローカル IP アドレス。この接続に使用される ASA の IP アドレスとポート番号
• remote IP:remote port :この要求のリモート IP アドレス。接続の送信元のピア IP アドレスとポート番号
• username :リモート アクセスの要求者のユーザ名(既知の場合)
推奨処置 IKEv2 の CAC 設定を確認し、これが設定されたしきい値に基づく期待された動作であるかどうかを判断します。そうではなく、問題が続く場合は、問題を軽減するために、さらに調査します。
750009
エラー メッセージ %ASA-5-750009: Local: local IP: local port Remote: remote IP: remote port Username: username SA request rejected due to CAC limit reached: Rejection reason: reason説明 コネクション アドミッション制御(CAC)制限しきい値に達し、SA 要求が拒否されました。
• local IP:local port :この要求のローカル IP アドレス。この接続に使用される ASA の IP アドレスとポート番号
• remote IP:remote port :この要求のリモート IP アドレス。接続の送信元のピア IP アドレスとポート番号
• username :リモート アクセスの要求者のユーザ名(既知の場合)
推奨処置 IKEv2 の CAC 設定を確認し、これが設定されたしきい値に基づく期待された動作であるかどうかを判断します。そうではなく、問題が続く場合は、問題を軽減するために、さらに調査します。
750011
エラー メッセージ %ASA-3-750011: Tunnel Rejected: Selected IKEv2 encryption algorithm ( IKEV2 encry algo ) is not strong enough to secure proposed IPSEC encryption algorithm ( IPSEC encry algo ).説明 選択された IKEv2 暗号化アルゴリズムが、提示された IPSec 暗号化アルゴリズムの安全を保護するのに十分な強度ではないため、トンネルが拒否されました。
推奨処置 IPsec 子 SA 暗号化アルゴリズムの強度に匹敵するかそれを上回る、より強力な IKEv2 暗号化アルゴリズムを設定します。
750012
エラー メッセージ %ASA-4-750012: Selected IKEv2 encryption algorithm ( IKEV2 encry algo ) is not strong enough to secure proposed IPSEC encryption algorithm ( IPSEC encry algo ).説明 選択された IKEv2 暗号化アルゴリズムは、提示された IPSec 暗号化アルゴリズムの安全を保護するのに十分な強度ではありません。
推奨処置 IPsec 子 SA 暗号化アルゴリズムの強度に匹敵するかそれを上回る、より強力な IKEv2 暗号化アルゴリズムを設定します。
751001
エラー メッセージ %ASA-3-751001: Local: localIP:port Remote: remoteIP:port Username: username/group Failed to complete Diffie-Hellman operation. Error: error説明 エラーが示すように、Diffie-Hellman 操作を完了できませんでした。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
推奨処置 解決する必要があるメモリ不足問題または他の内部エラーが発生しました。このステートが続く場合、問題の識別のためにメモリ追跡ツールを使用します。
751002
エラー メッセージ %ASA-3-751002: Local: localIP:port Remote: remoteIP:port Username: username/group No preshared key or trustpoint configured for self in tunnel group group説明 ASA は、ピアに対する自身の認証に使用可能な、何らかの種類の認証情報をトンネル グループ中に見つけることができませんでした。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
推奨処置 トンネル グループ コンフィギュレーションを確認し、指定したトンネル グループ内で自己認証用の事前共有キーまたは証明書を設定します。
751003
エラー メッセージ %ASA-7-751003: Local: localIP:port Remote: remoteIP:port Username: username/group Need to send a DPD message to peer説明 指定したピアが起動しているかどうかを確認するため、デッド ピア検出を実行する必要があります。ASA は、ピアへの接続を終了した可能性があります。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
751004
エラー メッセージ %ASA-3-751004: Local: localIP:port Remote: remoteIP:port Username: username/group No remote authentication method configured for peer in tunnel group group説明 接続を許可するためにリモート ピアを認証するための方法が、コンフィギュレーション中に見つかりませんでした。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
751005
エラー メッセージ %ASA-3-751005: Local: localIP:port Remote: remoteIP:port Username: username/group AnyConnect client reconnect authentication failed. Session ID: sessionID , Error: error説明 セッション トークンを使用した AnyConnect クライアントの再接続の試行中にエラーが発生しました。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
• sessionID :再接続を試みるために使用されたセッション ID
• error :再接続の試行中に発生した特定のエラーを示すエラー文字列
推奨処置 必要に応じて、指摘されたエラーに従って処置を実行します。このエラーは、クライアントの切断が検出されるか、ASA 上でセッションがクリアされたことにより、再開状態を維持する代わりにセッションが削除されたことを示している場合があります。必要に応じて、このメッセージを、Anyconnect クライアント上のイベント ログと比較します。
751006
エラー メッセージ %ASA-3-751006: Local: localIP:port Remote: remoteIP:port Username: username/group Certificate authentication failed. Error: error • localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
推奨処置 必要に応じて、指摘されたエラーに従って処置を実行します。証明書トラストポイントの設定を確認し、クライアント証明書チェーンが適切に確認できるように、必要な CA 証明書が存在することを確認します。障害を切り分けるには debug crypto ca コマンドを使用します。
751007
エラー メッセージ %ASA-5-751007: Local: localIP:port Remote: remoteIP:port Username: username/group Configured attribute not supported for IKEv2. Attribute: attribute説明 設定された属性は、IKE バージョン 2 接続でサポートされないため、IKE バージョン 2 接続に適用できませんでした。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
751008
エラー メッセージ %ASA-3-751008: Local: localIP:port Remote: remoteIP:port Username: username/group Group= group , Tunnel rejected: IKEv2 not enabled in group policy説明 接続試行がマッピングされた、指摘されたグループで有効なプロトコルに基づき、IKE バージョン 2 は許可されず、接続が拒否されました。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
推奨処置 グループ ポリシーの VPN トンネル プロトコル設定をチェックし、IKE バージョン 2 を必要に応じてイネーブルにします。
751009
エラー メッセージ %ASA-3-751009: Local: localIP:port Remote: remoteIP:port Username: username/group Unable to find tunnel group for peer. • localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
751010
エラー メッセージ %ASA-3-751010: Local: localIP:port Remote: remoteIP:port Username: username/group Unable to determine self-authentication method. No crypto map setting or tunnel group found.説明 ASA をピアに対して認証するための方式が、トンネルグループまたはクリプト マップに見つかりませんでした。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
751011
エラー メッセージ %ASA-3-751011: Local: localIP:port Remote: remoteIP:port Username: username/group Failed user authentication. Error: error説明 IKE バージョン 2 リモート アクセス接続に対し、EAP 内でユーザ認証中にエラーが発生しました。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
推奨処置 正しい認証クレデンシャルが指定されていることを確認し、障害の正確な原因を突き止めるために必要に応じてさらにデバッグします。
751012
エラー メッセージ %ASA-3-751012: Local: localIP:port Remote: remoteIP:port Username: username/group Failure occurred during Configuration Mode processing. Error: error説明 コンフィギュレーション モードの処理中に、設定を接続に適用しているときにエラーが発生しました。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
推奨処置 指摘されたエラーに基づいて処置を実行します。 debug crypto ikev2 コマンドを使用して失敗の原因を特定するか、エラーによって指摘されたサブシステムを必要に応じてデバッグします。
751013
エラー メッセージ %ASA-3-751013: Local: localIP:port Remote: remoteIP:port Username: username/group Failed to process Configuration Payload request for attribute attribute ID . Error: error説明 ピアによって要求された Configuration Payload 要求の処理に失敗し、属性に対する Configuration Payload 応答を生成できませんでした。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
推奨処置 メモリ エラー、設定エラー、または別のタイプのエラーが発生しました。障害の原因を切り分けるには、 debug crypto ikev2 コマンドを使用します。
751014
エラー メッセージ %ASA-4-751014: Local: localIP:port Remote remoteIP:port Username: username/group Warning Configuration Payload request for attribute attribute ID could not be processed. Error: error説明 要求された属性の CP の応答を生成するための、CP 要求の処理中に警告が発生しました。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
推奨処置 警告および表示された警告メッセージで示された属性に基づいて処置を実行します。たとえば、新しいクライアントが、クライアントに追加された新しい属性を認識しない古い ASA イメージで使用されています。属性を処理できるように、ASA イメージのアップグレードが必要な場合があります。
751015
エラー メッセージ %ASA-4-751015: Local: localIP:port Remote remoteIP:port Username: username/group SA request rejected by CAC. Reason: reason説明 ASA を保護するため、設定されたしきい値か、表示された理由が示す条件に基づき、接続はコール アドミッション制御によって拒否されました。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
推奨処置 新しい接続が許可されるべきであった場合は、理由を確認し条件を解決します。または設定されたしきい値を変更します。
751016
エラー メッセージ %ASA-4-751016: Local: localIP:port Remote remoteIP:port Username: username/group L2L peer initiated a tunnel with the same outer and inner addresses. Peer could be Originate only - Possible misconfiguration!説明 ピアは、トンネルの受信した外部および内部の IP アドレスに基づいて、発信専用接続用に設定されている可能性があります。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
751017
エラー メッセージ %ASA-3-751017: Local: localIP:port Remote remoteIP:port Username: username/group Configuration Error error description説明 接続を妨げるコンフィギュレーション エラーが検出されました。
• localIP:port :ローカル IP アドレスとポート番号
• remoteIP:port :リモート IP アドレスとポート番号
• username/group :この接続試行に関連するユーザ名またはグループ
751018
エラー メッセージ %ASA-3-751018: Terminating the VPN connection attempt from attempted group . Reason: This connection is group locked to locked group .説明 接続が試行されるトンネル グループは、グループ ロックに設定されているトンネル グループと同じではありません。
• attempted group :接続が着信するトンネル グループ
751019
エラー メッセージ %ASA-4-751019: Local: LocalAddr Remote: RemoteAddr Username: username Failed to obtain an licenseType license. Maximum license limit limit exceeded.説明 最大ライセンス制限を超えたため、セッション作成に失敗しました。そのため、トンネル要求の開始または応答に失敗しました。
• LocalAddr: この接続試行でのローカル アドレス
• RemoteAddr :この接続試行でのリモートピア アドレス
• licenseType :超過したライセンス タイプ(他の VPN または AnyConnect Premium/Essentials)
• limit :許容されるライセンス数および超過したライセンス数
推奨処置 許可されたすべてのユーザに対して十分な数のライセンスを使用可能にするか、および/またはより多くのライセンスを取得して拒否された接続を許可します。マルチ コンテキスト モードの場合、障害を報告したコンテキストに対し、必要に応じてより多くのライセンスを割り当てます。
751020
エラー メッセージ %ASA-3-751020: Local:%A:%u Remote:%A:%u Username:%s An %s remote access connection failed. Attempting to use an NSA Suite B crypto algorithm (%s) without an AnyConnect Premium license.説明 IKEv2 リモート アクセス トンネルを作成できませんでした。これは、NSA Suite-B ASA ライセンスの制限によるものか、または AnyConnect Premium ライセンスが適用されたものの、webvpn コンフィギュレーション モードで anyconnect-essentials コマンドによって明示的にディセーブルにされているためです。
推奨処置 AnyConnect Premium ライセンスが ASA にインストールされているか、または NSA Suite B の暗号アルゴリズムがリモート アクセス IKEv2 ポリシーまたは IPsec プロポーザルで設定されていないことを確認します。
751021
エラー メッセージ %ASA-4-751021: Local: variable 1 : variable 2 Remote: variable 3 : variable 4 Username: variable 5 variable 6 with variable 7 encryption is not supported with this version of the AnyConnect Client. Please upgrade to the latest Anyconnect Client.説明 古い AnyConnect クライアントが、AES-GCM 暗号化ポリシーが設定された IKEv2 がある ASA に接続しようとしました。
• variable 3 :リモート クライアントの IP アドレス
• variable 5 :AnyConnect クライアントのユーザ名(ユーザがユーザ名を入力する前にこの状態になったため、不明である場合があります)
• variable 6 :接続プロトコル タイプ(IKEv1、IKEv2)
• variable 7 :複合モードの暗号化タイプ(AES-GCM、AES-GCM 256)
推奨処置 AES-GCM 暗号化が設定された IKEv2 を使用するには、AnyConnect クライアントを最新バージョンにアップグレードします。
751022
エラー メッセージ %ASA-3-751022: Local: local-ip Remote: remote-ip Username: username Tunnel rejected: Crypto Map Policy not found for remote traffic selector rem-ts-start / rem-ts-end / rem-ts.startport / rem-ts.endport / rem-ts.protocol local traffic selector local-ts-start / local-ts-end /local-ts.startport / local-ts.endport / local-ts.protocol !
説明 ASA が、メッセージに示されているプライベート ネットワークまたはホストのセキュリティ ポリシー情報を検出できませんでした。これらのネットワークまたはホストは、発信側によって送信され、ASA のどの暗号 ACL とも一致しません。多くの場合、これはコンフィギュレーションの誤りです。
• username :リモート アクセスの要求者のユーザ名(既知の場合)
• rem-ts-start :リモート トラフィック セレクタの開始アドレス
• rem-ts-end :リモート トラフィック セレクタの終了アドレス
• rem-ts.startport :リモート トラフィック セレクタの開始ポート
• rem-ts.endport :リモート トラフィック セレクタの終了ポート
• rem-ts.protocol :リモート トラフィック セレクタのプロトコル
• local-ts-start :ローカル トラフィック セレクタの開始アドレス
• local-ts-end :ローカル トラフィック セレクタの終了アドレス
• local-ts.startport :ローカル トラフィック セレクタの開始ポート
• local-ts.endport :ローカル トラフィック セレクタの終了ポート
• local-ts.protocol :ローカル トラフィック セレクタのプロトコル
推奨処置 両側の暗号 ACL 内の保護されたネットワーク コンフィギュレーションをチェックして、発信側のローカル ネットワークが応答側のリモート ネットワークであること(およびその逆)を確認します。ワイルドカード マスクと、ネットワーク アドレスと比較したホスト アドレスに特に注意します。シスコ以外の実装では、プライベート アドレスがプロキシ アドレスまたは「赤い色の」ネットワークとしてラベル付けされている場合があります。
751023
エラー メッセージ %ASA-6-751023: Local a : p Remote: a : p Username: n Unknown client connection説明 未知またはシスコ以外の IKEv2 クライアントが ASA に接続しました。
752001
エラー メッセージ %ASA-2-752001: Tunnel Manager received invalid parameter to remove record説明 トンネル マネージャからレコードを削除できませんでした。これにより、同じピアに今後トンネルを開始できない可能性があります。
推奨処置 デバイスをリロードするとレコードが削除されますが、エラーが続くか繰り返し発生する場合は、特定のトンネルの試行をさらにデバッグします。
752002
エラー メッセージ %ASA-7-752002: Tunnel Manager Removed entry. Map Tag = mapTag . Map Sequence Number = mapSeq . • mapTag :開始エントリが削除されたクリプト マップ名
752003
エラー メッセージ %ASA-5-752003: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv2. Map Tag = mapTag . Map Sequence Number = mapSeq説明 指摘されたクリプト マップに基づいて、IKEv2 トンネルの開始が試行されています。
• mapTag :開始エントリが削除されたクリプト マップ名
752004
エラー メッセージ %ASA-5-752004: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv1. Map Tag = mapTag . Map Sequence Number = mapSeq説明 指摘されたクリプト マップに基づいて、IKEv1 トンネルの開始が試行されています。
• mapTag :開始エントリが削除されたクリプト マップ名
752005
エラー メッセージ %ASA-2-752005: Tunnel Manager failed to dispatch a KEY_ACQUIRE message. Memory may be low. Map Tag = mapTag . Map Sequence Number = mapSeq.説明 トンネルの開始の試行をディスパッチしようとして、メモリ割り当ての障害などの内部エラーが原因で、失敗しました。
• mapTag :開始エントリが削除されたクリプト マップ名
752006
エラー メッセージ %ASA-3-752006: Tunnel Manager failed to dispatch a KEY_ACQUIRE message. Probable mis-configuration of the crypto map or tunnel-group. Map Tag = Tag . Map Sequence Number = num, SRC Addr: address port : port Dst Addr: address port: port .説明 トンネルの開始の試行をディスパッチしようとして、指摘されたクリプト マップまたは関連付けられているトンネル グループのコンフィギュレーション エラーが原因で、失敗しました。
• num :開始エントリが削除されたクリプト マップのシーケンス番号
• address :送信元 IP アドレスまたは宛先 IP アドレス
推奨処置 指摘されたトンネル グループおよびクリプト マップのコンフィギュレーションを確認し、完全であることを確認します。
752007
エラー メッセージ %ASA-3-752007: Tunnel Manager failed to dispatch a KEY_ACQUIRE message. Entry already in Tunnel Manager. Map Tag = mapTag . Map Sequence Number = mapSeq説明 トンネル マネージャに既存のエントリを追加しようとしました。
• mapTag :開始エントリが削除されたクリプト マップ名
• mapSeq :開始エントリが削除されたクリプト マップのシーケンス番号
推奨処置 問題が解決しない場合は、ピアの設定でトンネルが許可されることを確認し、さらにデバッグして、トンネル開始時や開始の試行が成功または失敗したときに、トンネル マネージャ エントリが正しく追加および削除されることを確認します。引き続きトンネルの作成中である可能性があるため、IKE バージョン 2 または IKE バージョン 1 の接続をさらにデバッグします。
752008
エラー メッセージ %ASA-7-752008: Duplicate entry already in Tunnel Manager説明 トンネルを開始するための重複した要求が行われ、トンネル マネージャは、すでにトンネルを開始しようとしています。
推奨処置 不要です。問題が解消されない場合、IKE バージョン 1 または IKE バージョン 2 がトンネルの開始を試行し、まだタイムアウトしていない可能性があります。該当するコマンドを使用してさらにデバッグし、開始の試行が成功または失敗した後に、トンネル マネージャ エントリが削除されることを確認します。
752009
エラー メッセージ %ASA-4-752009: IKEv2 Doesn't support Multiple Peers説明 複数のピアを使用してクリプト マップが設定されているため、IKE バージョン 2 のトンネルを開始する試みが失敗しました。この設定は、IKE バージョン 2 でサポートされていません。IKE バージョン 1 のみが複数のピアをサポートします。
752010
エラー メッセージ %ASA-4-752010: IKEv2 Doesn't have a proposal specified説明 IKE バージョン 2 トンネルを開始するための IPSec プロポーザルが見つかりませんでした。
推奨処置 設定を確認して、トンネルを開始するために使用できる IKE バージョン 2 プロポーザルを必要に応じて設定します。
752011
エラー メッセージ %ASA-4-752011: IKEv1 Doesn't have a transform set specified説明 IKE バージョン 2 トンネルを開始するための、IKE バージョン 1 トランスフォーム セットが見つかりませんでした。
推奨処置 設定を確認して、トンネルを開始するために使用できる IKE バージョン 2 トランスフォーム セットを必要に応じて設定します。
752012
エラー メッセージ %ASA-4-752012: IKEv protocol was unsuccessful at setting up a tunnel. Map Tag = mapTag . Map Sequence Number = mapSeq .説明 指摘されたプロトコルが、設定されたクリプト マップを使用してトンネルを開始できませんでした。
• protocol :IKEv1 または IKEv2 を示す、IKE バージョン番号 1 または 2
• mapTag :開始エントリが削除されたクリプト マップ名
752013
エラー メッセージ %ASA-4-752013: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv2 after a failed attempt. Map Tag = mapTag . Map Sequence Number = mapSeq .説明 トンネル マネージャは、失敗した後に、トンネルを再開しようとしています。
• mapTag :開始エントリが削除されたクリプト マップ名
• mapSeq :開始エントリが削除されたクリプト マップのシーケンス番号
推奨処置 設定を確認し、クリプト マップが正しく設定されていることを確認します。その後、トンネルが、2 回目の試行で正常に作成されたことを確認します。
752014
エラー メッセージ %ASA-4-752014: Tunnel Manager dispatching a KEY_ACQUIRE message to IKEv1 after a failed attempt. Map Tag = mapTag . Map Sequence Number = mapSeq .説明 トンネル失敗後、トンネル マネージャはフォール バックし、IKE バージョン 1 を使用してトンネルを開始しようとしています。
• mapTag :開始エントリが削除されたクリプト マップ名
• mapSeq :開始エントリが削除されたクリプト マップのシーケンス番号
推奨処置 設定を確認し、クリプト マップが正しく設定されていることを確認します。その後、トンネルが、2 回目の試行で正常に作成されたことを確認します。
752015
エラー メッセージ %ASA-3-752015: Tunnel Manager has failed to establish an L2L SA. All configured IKE versions failed to establish the tunnel. Map Tag = mapTag . Map Sequence Number = mapSeq .説明 ピアへの L2L トンネルを確立する試行が、設定されたすべてのプロトコルを使用して試行した後に失敗しました。
• mapTag :開始エントリが削除されたクリプト マップ名
• mapSeq :開始エントリが削除されたクリプト マップのシーケンス番号
推奨処置 設定を確認し、クリプト マップが正しく設定されていることを確認します。障害の原因を特定するには、個々のプロトコルをデバッグします。
752016
エラー メッセージ %ASA-5-752016: IKEv protocol was successful at setting up a tunnel. Map Tag = mapTag . Map Sequence Number = mapSeq.説明 指摘されたプロトコル(IKE バージョン 1 または IKE バージョン 2)が、L2L トンネルを正常に作成しました。
• protocol :IKEv1 または IKEv2 を示す、IKE バージョン番号 1 または 2
• mapTag :開始エントリが削除されたクリプト マップ名
752017
エラー メッセージ %ASA-4-752017: IKEv2 Backup L2L tunnel initiation denied on interface interface matching crypto map name , sequence number number . Unsupported configuration.説明 IKEv2 はバックアップ L2L 機能をサポートしていないため、ASA は接続の開始に IKEv1 を使用します。
推奨処置 IKEv1 がイネーブルの場合、処置は不要です。バックアップ L2L 機能を使用するには、IKEv1 をイネーブルにする必要があります。
766001
エラー メッセージ %ASA-3-766001: CTS SXP: Configured source IP source ip error説明 この設定済み送信元 IP アドレスを使用して SXP 接続をセット アップしようとして、エラーが発生しました。
• source ip :IPv4 または IPv6 の送信元アドレス
• error :設定済みアドレスを使用して SXP 接続をセット アップするときにどのようなエラーが発生したかを示す詳細なメッセージ。次のいずれかになります。
推奨処置 有効な送信元 IP アドレスを持つように SXP 接続を再設定します。または、送信元 IP アドレスを設定解除し、デバイスがルート検索に基づいて正しい送信元 IP アドレスを選択するようにします。
766002
エラー メッセージ %ASA-3-766002: CTS SXP: Invalid message from peer peer IP : error766003
エラー メッセージ %ASA-3-766003: CTS SXP: Connection with peer peer IP failed: error説明 SXP の設定エラーが発生しました。接続を正しくセット アップできません。
• peer IP :IPv4 または IPv6 のピア アドレス
• error :SXP 設定の問題の説明 エラーは、次のいずれかの値になります。
766004
エラー メッセージ %ASA-3-766004: CTS SXP: Fail to start listening socket after TCP process restart.説明 このデバイスの SXP は、バインディング マネージャを更新できないため、リモート デバイスからの SXP 接続確立要求を受け入れることができません。
766005
エラー メッセージ %ASA-3-766005: CTS SXP: Binding Binding IP - SGname ( SGT ) from peer IP instance connection instance num error .説明 SXP バインディング アップデート エラーが発生しました。
• Binding IP :IPv4 または IPv6 のバインディング アドレス
• SGname ( SGT ):バインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
• peer IP :バインディングを送信した IPv4 または IPv6 のピア アドレス
• connection instance num :バインディングの送信元となった SXP 接続のインスタンス番号
766006
エラー メッセージ %ASA-3-766006: CTS SXP: Internal error: error • error :SXP 内部エラーに関する詳細メッセージ。次のいずれかです。
766007
エラー メッセージ %ASA-3-766007: CTS SXP: Connection with peer peer IP ( instance connection instance num ) state changed from original state to Off.説明 指定されたインスタンス番号を持つ SXP 接続の状態がオフに変わったため、CTS SXP システムで内部障害が発生しました。
• peer IP :IPv4 または IPv6 のピア アドレス
766008
エラー メッセージ %ASA-6-766008: CTS SXP: Connection with peer IP (instance connection instance num ) state changed from original state to final state .説明 指定されたインスタンス番号を持つ SXP 接続の状態が変化しました。
• peer IP :IPv4 または IPv6 のピア アドレス
• source IP :IPv4 または IPv6 の送信元アドレス
• connection instance num :SXP 接続のインスタンス番号
766009
エラー メッセージ %ASA-5-766009: CTS SXP: password changed.766010
エラー メッセージ %ASA-5-766010: CTS SXP: SXP default source IP is changed original source IP final source IP .説明 SXP のデフォルトの送信元 IP アドレスが、このデバイスで変更されました。
• original source IP :IPv4 または IPv6 の元のデフォルトの送信元 IP アドレス
766011
エラー メッセージ %ASA-5-766011: CTS SXP: operational state .説明 SXP 機能が動作状態を変更し、機能がイネーブルの場合にのみ動作するようになりました。
766012
エラー メッセージ %ASA-7-766012: CTS SXP: timer name timer started for connection with peer peer IP . • peer IP :IPv4 または IPv6 のピア アドレス 接続ベースのイベントによってトリガーされないタイマー、つまり、リトライ オープン タイマーの場合、デフォルト IP アドレス 0.0.0.0 が使用されます。
766013
エラー メッセージ %ASA-7-766013: CTS SXP: timer name timer stopped for connection with peer peer IP . • peer IP :IPv4 または IPv6 のピア アドレス 接続ベースのイベントによってトリガーされないタイマー、つまり、リトライ オープン タイマーの場合、デフォルト IP アドレス 0.0.0.0 が使用されます。
766014
エラー メッセージ %ASA-7-766014: CTS SXP: SXP received binding forwarding request ( action ) binding binding IP - SGname ( SGT ).説明 SXP はバインディング転送要求を受信しました。要求は、バインディング マネジャー内の最新のネット バインディングの変更を SXP にブロードキャストさせたい場合に、バインディング マネジャーから送信されます。
• binding IP :IPv4 または IPv6 のバインディング アドレス
• SGname ( SGT ):バインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
766015
エラー メッセージ %ASA-7-766015: CTS SXP: Binding binding IP - SGname ( SGT ) is forwarded to peer peer IP (instance connection instance num ).説明 SXP によって転送されるピアへのバインディングです。
• binding IP :IPv4 または IPv6 のバインディング アドレス
• SGname ( SGT ):バインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
• peer IP :IPv4 または IPv6 のピア アドレス
766016
エラー メッセージ %ASA-7-766016: CTS SXP: Binding binding IP - SGName ( SGT ) from peer peer IP (instance binding's connection instance num ) changed from old instance: old instance num , old sgt: old SGName ( SGT ).説明 バインディングが SXP データベースで変更されました。
• binding IP :IPv4 または IPv6 のバインディング アドレス
• SGname ( SGT ):バインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
• peer IP :バインディング送信元の IPv4 または IPv6 アドレス
• binding's connection instance num :SXP 接続のインスタンス番号
• old instance num :バインディングが学習した古い接続インスタンス番号
• old SGName ( SGT ):古いバインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
766017
エラー メッセージ %ASA-7-766017: CTS SXP: Binding binding IP - SGname (SGT) from peer peer IP (instance connection instance num ) deleted in SXP database.説明 バインディングが SXP データベースで削除されました。
• binding IP :IPv4 または IPv6 のバインディング アドレス
• SGname ( SGT ):バインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
• peer IP :バインディング送信元の IPv4 または IPv6 ピア アドレス
766018
エラー メッセージ %ASA-7-766018: CTS SXP: Binding binding IP - SGname (SGT) from peer peer IP (instance connection instance num ) added in SXP database.説明 バインディングが SXP データベースに追加されました。
• binding IP :IPv4 または IPv6 のバインディング アドレス
• SGname ( SGT ):バインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
• peer IP :バインディング送信元の IPv4 または IPv6 ピア アドレス
766019
エラー メッセージ %ASA-7-766019: CTS SXP: Binding binding IP - SGname ( SGT ) action taken . Update binding manager.説明 SXP がバインディング マネージャをバインディング変更で更新しました。
• binding IP :IPv4 または IPv6 のバインディング アドレス
• SGname ( SGT ):バインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
766020
エラー メッセージ %ASA-3-766020: CTS SXP: Unable to locate egress interface to peer peer IP .説明 ASA が SXP ピアへの出力インターフェイスを特定できません。
766201
エラー メッセージ %ASA-4-766201: CTS PAC: CTS PAC for Server IP_address , A-ID PAC issuer name will expire in number days766202
エラー メッセージ %ASA-3-766202: CTS PAC for Server IP_address , A-ID PAC issuer name has expired766203
エラー メッセージ %ASA-3-766203: Unable to retrieve CTS Environment data due to: reason766204
エラー メッセージ %ASA-3-766204: CTS Environment data has expired説明 CTS 環境データおよび SGT 名テーブルは期限切れになりました。これは、未解決の環境データ取得の失敗後に多く発生する問題です。
766251
エラー メッセージ %ASA-6-766251: CTS SGT-MAP: Binding binding IP - SGname ( SGT ) from source name added to binding manager.説明 指定した送信元からのバインドが、バインディング マネージャに追加されました。
• binding IP :IPv4 または IPv6 のバインディング アドレス
• SGname ( SGT ):バインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
766252
エラー メッセージ %ASA-5-766252: CTS SGT-MAP: CTS SGT-MAP: Binding binding IP - SGname ( SGT ) from source name deleted from binding manager.説明 指定した送信元からのバインドが、バインディング マネージャから削除されました。
説明 指定した送信元からのバインドが、バインディング マネージャに追加されました。
• binding IP :IPv4 または IPv6 のバインディング アドレス
• SGname ( SGT ):バインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
766253
エラー メッセージ %ASA-6-766253: CTS SGT-MAP: Binding binding IP - new SGname ( SGT ) from new source name changed from old sgt: old SGname ( SGT ) from old source old source name .説明 特定 IP から SGT へのバインディングが、バインディング マネージャで変更されました。
• binding IP :IPv4 または IPv6 のバインディング アドレス
• new SGname ( SGT ):新しいバインディング SGT 情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
• new source name :関係する新しい送信元の名前。現在、関係する送信元は SXP のみです。
• old SGname ( SGT ):古いバインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
766254
エラー メッセージ %ASA-3-766254: CTS SGT-MAP: Binding manager unable to action binding binding IP - SGname ( SGT ) from source name .説明 バインディング マネージャはバインディングを追加、削除、または更新できません
• action: バインディング マネージャの操作。insert、delete、または update です。
• binding IP :IPv4 または IPv6 のバインディング アドレス
• SGname ( SGT ):バインディング SGT の情報 SGname が使用可能な場合は次の形式になります。 SGname ( SGT )。SGname が使用できない場合は次の形式になります。 SGT 。
766301
エラー メッセージ %ASA-7-766301: CTS Policy: Security-group tag sgt is mapped to security-group name " sgname "説明 ポリシーで参照されるセキュリティ グループ タグは既知であるため、セキュリティ グループ テーブルの検索に成功しました。その結果、タグ名のマッピングが取得されます。
• sgt :ポリシーで参照されるセキュリティ グループ タグ
766302
エラー メッセージ %ASA-7-766302: CTS Policy: Unknown security-group tag sgt referenced in policies説明 ポリシーで参照されるセキュリティ グループ タグは不明であるため、セキュリティ グループ テーブルの検索に失敗しました。ただし、タグを参照するポリシーは適用できます。
• sgt :ポリシーで参照されるセキュリティ グループ タグ
推奨処置 セキュリティ グループ タグが ISE にあるかどうかを確認します。タグがある場合、次回の更新後には既知となります。タグが ISE にない場合、ASA にあるすべての関連ポリシーを削除することを検討してください。
766303
エラー メッセージ %ASA-6-766303: CTS Policy: Security-group name " sgname " is resolved to security-group tag sgt説明 ポリシーで参照されるセキュリティ グループ名が解決されたため、セキュリティ グループ テーブルの検索に成功しました。その結果、テーブルから取得されたタグがポリシーの適用に使用されます。
• sgname :ポリシーで参照されるセキュリティ グループ名
766304
エラー メッセージ %ASA-4-766304: CTS Policy: Unresolved security-group name " sgname " referenced, policies based on this name will be inactive説明 ポリシーで参照されるセキュリティ グループ名がタグに解決できないため、セキュリティ グループ テーブルの検索に失敗しました。その結果、名前を参照するポリシーは非アクティブになりますが、設定には残ります。
• sgname :ポリシーで参照されるセキュリティ グループ名
推奨処置 セキュリティ グループ名が ISE にあるかどうかを確認します。名前が存在する場合はテーブルを更新できるため、名前が解決され、ポリシーを適用できます。名前が ISE にない場合、ASA にあるすべての関連ポリシーを削除することを検討してください。
766305
エラー メッセージ %ASA-4-766305: CTS Policy: Security-group table cleared, all polices referencing security-group names will be deactivated説明 ISE からダウンロードされたセキュリティ グループ テーブルが ASA でクリアされ、セキュリティ グループ タグに基づくポリシーが引き続き適用されます。ただし、名前に基づくポリシーは非アクティブになりますが、設定には残ります。
推奨処置 ASA のセキュリティ グループ テーブルを更新して、セキュリティ グループ名に基づくすべてのポリシーが適用されるようにします。
766307
エラー メッセージ %ASA-7-766307: CTS Policy: Security-group name for security-group tag sgt renamed from old_sgname " to " new_sgname "説明 ASA にある新しくダウンロードされたセキュリティ グループ テーブルで、セキュリティ グループ タグのセキュリティ グループ名の変更が検出されました。ただし、ポリシーの状態は変化していません。
766308
エラー メッセージ %ASA-7-766308: CTS Policy: Previously unknown security-group tag sgt is now mapped to security-group name " sgname "説明 ASA にある新しくダウンロードされたセキュリティ グループ テーブルで、以前未知であったセキュリティ グループ タグがテーブルで見つかりました。ただし、ポリシーの状態は変化していません。
• sgt :ポリシーで参照されるセキュリティ グループ タグ
766309
エラー メッセージ %ASA-5-766309: CTS Policy: Previously known security-group tag sgt is now unknown説明 ASA にある新しくダウンロードされたセキュリティ グループ テーブルで、以前に既知であったセキュリティ グループ タグがすでに存在しません。ポリシーの状態は変化していないため、ポリシーを適用できます。
• sgt :ポリシーで参照されるセキュリティ グループ タグ
推奨処置 セキュリティ グループ タグが新しいテーブルに存在しない場合、セキュリティ グループは ISE で削除されています。タグを参照するすべてのポリシーを削除することを検討してください。
766310
エラー メッセージ %ASA-5-766310: CTS Policy: Security-group name " sgname " remapped from security-group tag old_sgt to new_sgt説明 ASA にある新しくダウンロードされたセキュリティ グループ テーブルで、あるセキュリティ グループ名のセキュリティ グループ・タグの変更が検出されました。名前を参照するすべてのポリシーが新しいタグを反映するように変更され、ポリシーは新しいタグに基づいて適用されます。
766311
エラー メッセージ %ASA-6-766311: CTS Policy: Previously unresolved security-group name " sgname " is now resolved to security-group tag sgt説明 ASA にある新しくダウンロードしたセキュリティ グループ テーブルで、以前に未解決であったセキュリティ グループ名がタグに解決されました。新しいタグを使用してポリシーを適用できます。
• sgname :ポリシーで参照されるセキュリティ グループ名
766312
エラー メッセージ %ASA-4-766312: CTS Policy: Previously resolved security-group name " sgname " is now unresolved, policies based on this name will be deactivated説明 ASA にある新しくダウンロードされたセキュリティ グループ テーブルで、以前に解決されたセキュリティ グループ名がすでに存在しません。その結果、このセキュリティ グループ名に基づくすべてのポリシーは非アクティブになりますが、設定には残ります。
• sgname :ポリシーで参照されるセキュリティ グループ名
推奨処置 セキュリティ グループ名が新しいテーブルに存在しない場合、セキュリティ グループは ISE で削除されています。ASA のポリシー設定を確認し、その名前を参照するポリシーの削除を検討します。
766313
エラー メッセージ %ASA-3-766313: CTS Policy: Failure to update policies for security-group "sgname"-sgt説明 ポリシーの更新でエラーが発生しました。ポリシーの適用は古いタグ値に基づいて継続されますが、正確ではなくなります。
• sgname :タグ値が変更されたセキュリティ グループ名
推奨処置 適切なタグ値を反映させるには、そのセキュリティ グループ名を参照するすべてのポリシーを削除して再適用します。エラーが解決しない場合は、Cisco TAC にお問い合わせください。
767001
エラー メッセージ %ASA-6-767001: Inspect-name : Dropping an unsupported IPv6/IP46/IP64 packet from interface : IP Addr to interface : IP Addr (fail-close)説明 fail-close オプションがサービス ポリシーに設定され、特定の検査によって IPv6、IP64、または IP46 のパケットが受信されています。fail-close オプション設定に基づいて、この syslog メッセージが生成され、パケットはドロップされます。
768001
エラー メッセージ %ASA-3-768001: QUOTA: resource utilization is high: requested req , current curr , warning level level説明 システム リソースの割り当てレベルが警告しきい値に達しました。管理セッションの場合、リソースは同時管理セッションです。
• resource : システム リソース名。この場合は管理セッションです。
• req :要求された数。管理セッションでは常に 1 です。
• curr :現在の割り当て数。管理セッションでは level と等しくなります。
768002
エラー メッセージ %ASA-3-768002: QUOTA: resource quota exceeded: requested req , current curr , limit limit説明 システム リソースに対する要求は、設定された制限を超過したため拒否されました。管理セッションの場合、システムの同時管理セッションの最大数に到達しました。
• resource : システム リソース名。この場合は管理セッションです。
• req :要求された数。管理セッションでは常に 1 です。
768003
エラー メッセージ %ASA-4-768003: SSH: connection timed out: username username , IP ip769001
エラー メッセージ %ASA-5-769001: UPDATE: ASA image src was added to system boot list説明 システム イメージが更新されました。以前にシステムにダウンロードされたファイルの名前が、システム ブートのリストに追加されました。
769002
エラー メッセージ %ASA-5-769002: UPDATE: ASA image src was copied to dest説明 システム イメージが更新されました。イメージ ファイルがシステムにコピーされました。
769003
エラー メッセージ %ASA-5-769003: UPDATE: ASA image src was renamed to dest説明 システム イメージが更新されました。既存のイメージ ファイル名は、システム ブート リスト内のイメージ ファイル名に変更されました。
769004
エラー メッセージ %ASA-5-769004: UPDATE: ASA image checksum error copying src to dest説明 イメージ ファイルのコピー中に、イメージ検証テストに失敗しました。
770001
エラー メッセージ %ASA-4-770001: Resource resource allocation is more than the permitted list of limit for this platform. If this condition persists, the ASA will be rebooted.説明 ASA 仮想マシンの CPU またはメモリ リソース割り当てが、このプラットフォームの上限を超えました。この条件は、ASA 仮想マシンの設定が、シスコからダウンロードしたソフトウェアでの指定から変更されていない場合には発生しません。
推奨処置 ASA の操作を続行するには、仮想マシンの CPU またはメモリ リソース割り当てを、シスコからダウンロードしたソフトウェアで指定されたものに変更するか、またはこのプラットフォームに対して Cisco ASA 1000V CLI Configuration Guide で指定されているリソース制限に変更します。
770002
エラー メッセージ %ASA-1-770002: Resource resource allocation is more than the permitted limit for this platform. ASA will be rebooted.説明 ASA 仮想マシンの CPU またはメモリ リソース割り当てが、このプラットフォームの上限を超えました。この条件は、ASA 仮想マシンの設定が、シスコからダウンロードしたソフトウェアでの指定から変更されていない場合には発生しません。リソース割り当てを変更しない限り、ASA は再起動し続けます。
推奨処置 仮想マシンの CPU またはメモリ リソース割り当てを、シスコからダウンロードしたソフトウェアで指定されたものに変更するか、またはこのプラットフォームに対して Cisco ASA 1000V CLI Configuration Guide で指定されているリソース制限に変更します。
770003
エラー メッセージ %ASA-4-770003: Resource resource allocation is less than the minimum requirement of value for this platform. If this condition persists, performance will be lower than normal.説明 ASA 仮想マシンの CPU またはメモリ リソース割り当てが、このプラットフォームでの最小限度を下回っています。この状態が解消されない場合は、パフォーマンスが通常より低くなります。
推奨処置 ASA の操作を続行するには、仮想マシンの CPU またはメモリ リソース割り当てを、シスコからダウンロードしたソフトウェアで指定されたものに変更するか、または Cisco ASA 1000V CLI Configuration Guide で指定されている、このプラットフォームに対するメモリ制限と CPU 予約設定を確認します。
770001
エラー メッセージ %ASA-4-770001: Resource resource allocation is more than the permitted list of limit for this platform. If this condition persists, the ASA will be rebooted.説明 ASA 仮想マシンの CPU またはメモリ リソース割り当てが、このプラットフォームの上限を超えました。この条件は、ASA 仮想マシンの設定が、シスコからダウンロードしたソフトウェアでの指定から変更されていない場合には発生しません。
推奨処置 ASA の操作を続行するには、仮想マシンの CPU またはメモリ リソース割り当てを、シスコからダウンロードしたソフトウェアで指定されたものに変更するか、またはこのプラットフォームに対して Cisco ASA 1000V CLI Configuration Guide で指定されているリソース制限に変更します。
770002
エラー メッセージ %ASA-1-770002: Resource resource allocation is more than the permitted limit for this platform. ASA will be rebooted.説明 ASA 仮想マシンの CPU またはメモリ リソース割り当てが、このプラットフォームの上限を超えました。この条件は、ASA 仮想マシンの設定が、シスコからダウンロードしたソフトウェアでの指定から変更されていない場合には発生しません。リソース割り当てを変更しない限り、ASA は再起動し続けます。
推奨処置 仮想マシンの CPU またはメモリ リソース割り当てを、シスコからダウンロードしたソフトウェアで指定されたものに変更するか、またはこのプラットフォームに対して Cisco ASA 1000V CLI Configuration Guide で指定されているリソース制限に変更します。
770003
エラー メッセージ %ASA-4-770003: Resource resource allocation is less than the minimum requirement of value for this platform. If this condition persists, performance will be lower than normal.説明 ASA 仮想マシンの CPU またはメモリ リソース割り当てが、このプラットフォームでの最小限度を下回っています。この状態が解消されない場合は、パフォーマンスが通常より低くなります。
推奨処置 ASA の操作を続行するには、仮想マシンの CPU またはメモリ リソース割り当てを、シスコからダウンロードしたソフトウェアで指定されたものに変更するか、または Cisco ASA 1000V CLI Configuration Guide で指定されている、このプラットフォームに対するメモリ制限と CPU 予約設定を確認します。
771001
エラー メッセージ %ASA-5-771001: CLOCK: System clock set, source: src , before: time , after: time説明 システム クロックは、ローカル ソースからセットされました。
• src: 時間のプロトコル。NTP、SNTP、VINES、または RFC-868 Network Time Protocol のどれかです。
771002
エラー メッセージ %ASA-5-771002: CLOCK: System clock set, source: src , IP ip , before: time , after: time説明 システム クロックは、リモート ソースからセットされました。
• src: 時刻源。manual または hardware calendar のいずれかです。
772002
エラー メッセージ %ASA-3-772002: PASSWORD: console login warning, user username , cause: password expired説明 ユーザが有効期限の切れたパスワードを使用してシステム コンソールにログインしました。これはシステムのロックアウトを避けるために許可されています。
772003
エラー メッセージ %ASA-2-772003: PASSWORD: session login failed, user username , IP ip , cause: password expired説明 ユーザが有効期限の切れたパスワードを使用してシステムにログインしようとしましたが、アクセスを拒否されました。
• session: セッション タイプ。SSH または Telnet のいずれかです。
推奨処置 ユーザにアクセス権限がある場合は、管理者がユーザのパスワードを変更する必要があります。不正アクセスを試みると、次のような適切な応答がトリガーされます。たとえば、その IP アドレスからのトラフィックはブロックされる可能性があります。
772004
エラー メッセージ %ASA-3-772004: PASSWORD: session login failed, user username , IP ip , cause: password expired説明 ユーザが有効期限の切れたパスワードを使用してシステムにログインしようとしましたが、アクセスを拒否されました。
推奨処置 ユーザにアクセス権限がある場合は、管理者がユーザのパスワードを変更する必要があります。不正アクセスを試みると、次のような適切な応答がトリガーされます。たとえば、その IP アドレスからのトラフィックはブロックされる可能性があります。
772005
エラー メッセージ %ASA-6-772005: REAUTH: user username passed authentication772006
エラー メッセージ %ASA-2-772006: REAUTH: user username failed authentication774001
エラー メッセージ %ASA-2-774001: POST: unspecified error774002
エラー メッセージ %ASA-2-774002: POST: error err , func func , engine eng , algorithm alg , mode mode , dir dir , key len len説明 暗号化サービス プロバイダーが電源投入時自己診断テストに失敗しました。
• eng :エンジン。NPX、Nlite、または software のいずれかです。
• alg :アルゴリズム。RSA、DSA、DES、3DES、AES、RC4、MD5、SHA1、SHA256、SHA386、SHA512、HMAC-MD5、HMAC-SHA1、HMAC-SHA2、または AES-XCBC のいずれかです。
• mode :モード。none、CBC、CTR、CFB、ECB、stateful-RC4、stateless-RC4 のいずれかです。
775001
エラー メッセージ %ASA-6-775001: Scansafe: protocol connection conn_id from interface_name : real_address / real_port [( idfw_user )] to interface_name : real_address / real_port redirected to server_interface_name : server_ip_address説明 ScanSafe Server が設定されており、トラフィックはコンテンツのスキャンなどの侵入防御サービスのために、接続を ScanSafe Server にリダイレクトするように設定されたポリシーに適合しています。
775002
エラー メッセージ %ASA-4-775002: Reason - protocol connection conn_id from interface_name:real_address/real_port [( idfw_user )] to interface_name:real_address/real_port is action locally説明 新しい ScanSafe にリダイレクトされた接続の送信元 IP アドレスとポートが既存の接続に一致する場合、ASA は新しい接続をドロップし、この syslog メッセージが生成されます。
• Reason :同じ送信元アドレス address およびポート port を持つ重複した接続
• ScanSafe Server が ASA から到達可能である。
(注) PAT と ScanSafe を 1 つの接続に設定することは推奨されません。
775003
エラー メッセージ %ASA-6-775003: Scansafe: protocol connection conn_id from interface_name : real_address / real_port [( idfw_user )] to interface_name : real_address / real_port is whitelisted.説明 トラフィックが一致するため、コンテンツのスキャンのために ScanSafe Server にリダイレクトする必要はありません。目的の Web サーバに直接送信できます。
775004
エラー メッセージ %ASA-4-775004: Scansafe: Primary server ip_address is not reachable説明 プライマリ ScanSafe Server は、設定された HTTP ポートまたは HTTPS ポートで 到達可能ではありません。
775005
エラー メッセージ %ASA-6-775005: Scansafe: Primary server ip_address is reachable now説明 プライマリ ScanSafe Server は、設定された HTTP ポートおよび HTTPS ポートで到達可能です。
775006
エラー メッセージ %ASA-6-775006: Primary server interface : ip_address is not reachable and backup server interface : ip_address is now active説明 プライマリ ScanSafe サーバが到達不能になった場合、ASA は設定されたバックアップ ScanSafe Server への接続を確認します。バックアップ サーバが到達可能である場合は、それがアクティブ サーバになります。
775007
エラー メッセージ %ASA-2-775007: Scansafe: Primary server_interface_name : server_ip_address and backup server_interface_name : server_ip_address servers are not reachable.説明 プライマリおよびバックアップの両方の ScanSafe Server が到達不能です。設定済みのデフォルトのアクションに基づいて(fail_close または fail_open)、トラフィックはリダイレクトせずにドロップするか、Web サーバに送信されます。
推奨処置 両方の ScanSafe Server が到達不能である場合、ScanSafe の設定を fail_open に変更すると、ScanSafe Server にリダイレクトすることなく、トラフィックを Web サーバに送信できます。この設定により、デフォルト アクションは permit に変更されます。
フィードバック