ID 介于 101001 到 109104 之间的消息
本部分包括 ID 介于 101001 到 109104 之间的消息。
101001
错误消息 %ASA-1-101001: (Primary) Failover cable OK.
说明:故障切换电缆存在且正常工作。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
101002
错误消息 %ASA-1-101002: (Primary) Bad failover cable.
说明:故障切换电缆存在,但无法正常工作。主设备也可列为辅助设备的辅助设备。
建议的操作:更换故障切换电缆。
101003、101004
错误消息 %ASA-1-101003: (Primary) Failover cable not connected (this unit).
错误消息 %ASA-1-101004: (Primary) Failover cable not connected (other unit).
说明:故障切换模式已启用,但故障切换电缆未连接到故障切换对的其中一台设备。主设备也可列为辅助设备的辅助设备。
建议的操作:将故障切换电缆连接到故障切换对的两台设备。
101005
错误消息 %ASA-1-101005: (Primary) Error reading failover cable status.
说明:故障切换电缆已连接,但主设备无法确定其状态。
建议的操作:更换电缆。
103001
错误消息 %ASA-1-103001: (Primary) No response from other firewall (reason code = code).
说明:主设备无法通过故障切换电缆与辅助设备进行通信。主设备也可列为辅助设备的辅助设备。下表列出了原因代码和说明,可用于确定发生故障切换的原因。
|
原因代码 |
说明 |
|---|---|
|
1 |
本地设备在发生 LAN 故障切换时,未在故障切换 LAN 接口上接收 Hello 数据包,或者在发生串行故障切换时未在串行故障切换电缆上接收 Hello 数据包,并宣告对等体已关闭。 |
|
2 |
接口没有通过以下四项故障切换测试之一:1) 链路打开;2) 监控网络流量;3) ARP;以及 4) 广播 Ping。 |
|
3 |
在串行电缆上发送命令后超过 15 秒没有接收到正确的确认消息。 |
|
4 |
故障切换 LAN 接口已关闭,且其他数据接口不响应其他接口测试。此外,本地设备宣告对等体已关闭。 |
|
5 |
在配置同步过程中备用对等体关闭。 |
|
6 |
复制未完成;故障切换设备未同步。 |
建议的操作:验证故障切换电缆是否已正确连接,以及两台设备的硬件、软件和配置是否相同。如果问题仍然存在,请联系思科 TAC。
103002
错误消息 %ASA-1-103002: (Primary) Other firewall network interface interface_number OK.
说明:主设备检测到辅助设备上的网络接口正常。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
103003
错误消息 %ASA-1-103003: (Primary) Other firewall network interface interface_number failed.
说明:主设备检测到辅助设备上的网络接口故障。主设备也可列为辅助设备的辅助设备。
建议的操作:检查辅助设备的网络连接和网络集线器连接。如有必要,更换发生故障的网络接口。
103004
错误消息 %ASA-1-103004: (Primary) Other firewall reports this firewall failed. Reason: reason-string
说明:主设备从辅助设备接收到指示主设备发生故障的消息。主设备也可列为辅助设备的辅助设备。原因可能是以下任意一项:
- 故障切换命令接口遗漏的轮询数据包超出阈值。
- LAN 故障切换接口发生故障。
- 对等体无法进入“备用就绪”状态。
- 无法完成配置复制。防火墙的配置可能不同步。
- 故障切换消息传输失败,未收到忙碌状态的确认消息。
建议的操作:验证主设备的状态。
103005
错误消息 %ASA-1-103005: (Primary) Other firewall reporting failure. Reason: SSM card failure
说明:辅助设备已向主设备报告 SSM 卡故障。主设备也可列为辅助设备的辅助设备。
建议的操作:验证辅助设备的状态。
103006
错误消息 %ASA-1-103006: (Primary|Secondary) Mate version ver_num is not compatible with ours ver_num
说明:ASA检测到对等体设备运行的版本不同于本地设备,且与 HA 无中断升级功能不兼容。
-
ver_num - 版本号。
建议的操作:在两台设备上安装相同或兼容版本的映像。
103007
错误消息 %ASA-1-103007: (Primary|Secondary) Mate version ver_num is not identical with ours ver_num
说明:ASA检测到对等体设备运行的版本不完全相同,但支持无中断升级且与本地设备兼容。由于映像版本不完全相同,因此系统性能可能会降级,并且如果长期运行不完全相同的映像,ASA可能会出现稳定性问题。
- ver_num - 版本号
建议的操作:尽快在两台设备上安装相同的映像版本。
103008
错误消息 %ASA-1-103008: Mate hwdib index is not compatible
说明:主用设备和备用设备上的接口数量不相同。
建议的操作:验证设备的接口数量是否相同。您可能需要安装更多接口模块,或使用不同的设备。物理接口匹配后,通过输入 write standby 命令,即可强制同步配置。
104001、104002
错误消息 %ASA-1-104001: (Primary) Switching to ACTIVE (cause: string ).
错误消息 %ASA-1-104002: (Primary) Switching to STANDBY (cause: string ).
说明:您已通过以下两种方式之一强制故障切换对交换角色:在备用设备上输入 failover active 命令,或在主用设备上输入 no failover active 命令。主设备也可列为辅助设备的辅助设备。字符串变量的可能值如下所示:
- state check
- bad/incomplete config
- ifc [interface] check, mate is healthier
- the other side wants me to standby
- in failed state, cannot be active
- switch to failed state
- other unit set to active by CLI config command fail active
建议的操作:如果由于人工干预而显示此消息,则无需任何操作。否则,请使用辅助设备报告的原因来验证故障切换对两台设备的状态。
104003
错误消息 %ASA-1-104003: (Primary) Switching to FAILED.
说明:主设备发生故障。
建议的操作:检查主设备的消息是否指明了问题的性质(请参阅消息 104001)。主设备也可列为辅助设备的辅助设备。
104004
错误消息 %ASA-1-104004: (Primary) Switching to OK.
说明:之前发生故障的设备报告它再次运行。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
104500
错误消息:%ASA-1-104500: (Primary|Secondary) Switching to ACTIVE (cause: reason)
说明
此 HA 设备开始承担云 HA 对的“主用”角色。reason 字符串的可能值如下:
-
no existing Active unit present(不存在现有主用设备)
-
unable to send message to Active unit(无法发送消息至主用设备)
-
no response to Hello message received from Active unit(未从主用设备收到对 Hello 消息的响应)
-
user initiated failover on this unit(用户在此设备上启动了故障切换功能)
-
user initiated failover on peer unit(用户在对等体设备上启动了故障切换功能)
-
invalid message received on failover connection(从故障切换连接收到的消息无效)
建议的操作:无需执行任何操作。
104501
错误消息:%ASA-1-104501: (Primary|Secondary) Switching to BACKUP (cause: reason).
说明:此 HA 设备开始承担云 HA 对的“备用”角色。reason 字符串的可能值如下:
-
existing Active unit present(存在现有的主用设备)
-
user initiated failover on this unit(用户在此设备上启动了故障切换功能)
-
user initiated failover on peer unit(用户在对等体设备上启动了故障切换功能)
建议的操作:无需执行任何操作。
104502
错误消息:%ASA-1-104502: (Primary|Secondary) Becoming Backup unit failed.
说明:此 HA 设备无法承担云 HA 对的“备用”角色。原因与消息 104500 和 104501 相同。
建议的操作:无需执行任何操作。
105001
错误消息 %ASA-1-105001: (Primary) Disabling failover.
说明:说明:在 7.x 及更高版本中,此消息可能指示:由于模式不匹配(单个或多个)、许可证不匹配(加密或情景)或硬件差异(一台设备安装的是 IPS SSM,而其对等体安装的是 CSC SSM),系统已自动禁用故障切换。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
105002
错误消息 %ASA-1-105002: (Primary) Enabling failover.
说明:在之前禁用故障切换功能之后,您在控制台上使用了无参数的 failover 命令。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
105003
错误消息 %ASA-1-105003: (Primary) Monitoring on interface interface_name waiting
说明:ASA正在测试该故障切换对的另一台设备的指定网络接口。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。ASA经常在正常运行期间监控其网络接口。
105004
错误消息 %ASA-1-105004: (Primary) Monitoring on interface interface_name normal
说明:指定网络接口的测试已成功。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
105005
错误消息 %ASA-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.
说明:故障切换对的一台设备无法再与故障切换对的另一台设备进行通信。主设备也可列为辅助设备的辅助设备。
建议的操作:验证连接到指定接口的网络是否正常运行。
105006、105007
错误消息%ASA-1-105006: (Primary) Link status Up on interface interface_name.
错误消息 %ASA-1-105007: (Primary) Link status Down on interface interface_name.
说明:系统报告了指定接口的链路状态监控结果。主设备也可列为辅助设备的辅助设备。
建议的操作:如果链路状态为关闭,请验证连接到指定接口的网络是否正常运行。
105008
错误消息 %ASA-1-105008: (Primary) Testing interface interface_name.
说明:已对指定网络接口进行测试。只有当 ASA在预期间隔后无法从该接口的备用设备上接收消息时,才会执行此测试。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
105009
错误消息 %ASA-1-105009: (Primary) Testing on interface interface_name {Passed|Failed}.
说明:系统报告了上一次接口测试的结果(“通过”或“失败”)。主设备也可列为辅助设备的辅助设备。
建议的操作:如果结果为“通过”,则无需执行任何操作。如果结果为“失败”,则应检查两台故障切换设备的网络电缆连接,网络本身是否正常运行,并验证备用设备的状态。
105010
错误消息 %ASA-3-105010: (Primary) Failover message block alloc failed.
说明:数据块内存已耗尽。这是临时消息,ASA应恢复。主设备也可列为辅助设备的辅助设备。
建议的操作:使用 show blocks 命令来监控当前的数据块内存。
105011
错误消息 %ASA-1-105011: (Primary) Failover cable communication failure
说明:故障切换电缆无法实现主设备和辅助设备之间的通信。主设备也可列为辅助设备的辅助设备。
建议的操作:确保电缆已正确连接。
105020
错误消息 %ASA-1-105020: (Primary) Incomplete/slow config replication
说明:发生故障切换时,主用 ASA在内存中检测到配置不完整。通常情况下,这种错误是由于复制服务中断而导致的。主设备也可列为辅助设备的辅助设备。
建议的操作:在 ASA 检测到故障切换后,ASA会自动重新启动并从闪存加载配置和/或与另一台 ASA重新同步。如果故障切换情况持续发生,请检查故障切换的配置,并确保两台 ASA彼此之间可以进行通信。
105021
错误消息 %ASA-1-105021: (failover_unit ) Standby unit failed to sync due to a locked context_name config. Lock held by lock_owner_name
说明:在配置同步期间,如果某个其他进程将配置锁定超过五分钟,则备用设备将自行重新加载,这会阻止故障切换进程应用新配置。系统正在同步配置时,如果管理员翻阅备用设备上正在运行的配置,可能会发生这种情况。另请参阅命令参考指南中特权 EXEC 模式下的 show running-config命令和全局配置模式下的 pager lines num 命令。
建议的操作:当备用设备首次启动且正在与主用设备建立故障切换连接时,请避免在备用设备上查看或修改配置。
105031
错误消息 %ASA-1-105031: Failover LAN interface is up
说明:LAN 故障切换接口链路已启动。
建议的操作:无需执行任何操作。
105032
错误消息 %ASA-1-105032: LAN Failover interface is down
说明:LAN 故障切换接口链路已关闭。
建议的操作:检查 LAN 故障切换接口的连接。确保速度或双工设置是正确的。
105033
错误消息 %ASA-1-105033: LAN FO cmd Iface down and up again
说明:故障切换的 LAN 接口已关闭。
建议的操作:验证故障切换链路,可能是出现了通信问题。
105034
错误消息 %ASA-1-105034: Receive a LAN_FAILOVER_UP message from peer.
说明:对等体刚刚启动并发送了初始联系消息。
建议的操作:无需执行任何操作。
105035
错误消息 %ASA-1-105035: Receive a LAN failover interface down msg from peer.
说明:对等体 LAN 故障切换接口链路已关闭。如果该设备处于备用模式,则将切换到主用模式。
建议的操作:检查对等体 LAN 故障切换接口的连接。
105036
错误消息 %ASA-1-105036: dropped a LAN Failover command message.
说明:ASA丢弃了未确认的 LAN 故障切换命令消息,指示 LAN 故障切换接口存在连接问题。
建议的操作:检查是否连接了 LAN 接口电缆。
105037
错误消息 %ASA-1-105037: The primary and standby units are switching back and forth as the active unit.
说明:主设备和备用设备来回切换为主用设备,表示存在 LAN 故障切换连接问题或软件错误。
建议的操作:确保连接了 LAN 接口电缆。
105038
错误消息 %ASA-1-105038: (Primary) Interface count mismatch
说明:发生故障切换时,主用 ASA在内存中检测到配置不完整。通常情况下,这种错误是由于复制服务中断而导致的。主设备也可列为辅助设备的辅助设备。
建议的操作:ASA检测到故障切换之后,ASA会自动重新启动并从闪存加载配置和/或与另一台 ASA重新同步。如果故障切换情况持续发生,请检查故障切换的配置,并确保两台 ASA彼此之间可以进行通信。
105039
错误消息 %ASA-1-105039: (Primary) Unable to verify the Interface count with mate. Failover may be disabled in mate.
说明:故障切换最初验证主辅 ASA上配置的接口数量是否相同。此消息指示主 ASA无法验证辅助 ASA上配置的接口数量。此消息指示主 ASA无法通过故障切换接口与辅助 ASA进行通信。主设备也可列为辅助设备的辅助设备。
建议的操作:验证主辅 ASA上的故障切换 LAN、接口配置和状态。确保辅助 ASA正在运行 ASA应用且故障切换已启用。
105040
错误消息 %ASA-1-105040: (Primary) Mate failover version is not compatible.
说明:主辅 ASA应运行相同版本的故障切换软件,才能充当故障切换对。此消息指示辅助 ASA故障切换软件版本与主 ASA不兼容。主 ASA上禁用了故障切换。“主设备”还可能列为辅助 ASA的“辅助设备”。
建议的操作:在主辅 ASA之间保持软件版本一致以启用故障切换。
105041
错误消息 %ASA-1-105041: cmd failed during sync
说明:nameif 命令复制失败,这是因为主用设备和备用设备上的接口数量不相同。
建议的操作:验证设备的接口数量是否相同。您可能需要安装更多接口模块,或使用不同的设备。物理接口匹配后,通过输入 write standby 命令,即可强制同步配置。
105042
错误消息 %ASA-1-105042: (Primary) Failover interface OK
说明:LAN 故障切换接口链路已启动。
用于发送故障切换消息至辅助 ASA的接口正在运行。“主设备”还可能列为辅助 ASA的“辅助设备”。
建议的操作:无需执行任何操作。
105043
错误消息 %ASA-1-105043: (Primary) Failover interface failed
说明:LAN 故障切换接口链路已关闭。
建议的操作:检查 LAN 故障切换接口的连接。确保速度或双工设置是正确的。
105044
错误消息 %ASA-1-105044: (Primary) Mate operational mode mode is not compatible with my mode mode.
说明:当故障切换对等体之间的操作模式(单个或多个)不匹配时,系统将禁用故障切换功能。
建议的操作:将故障切换对等体配置为采用相同的操作模式,然后重新启用故障切换功能。
105045
错误消息 %ASA-1-105045: (Primary) Mate license (number contexts) is not compatible with my license (number contexts).
说明:当故障切换对等体之间的功能许可证不匹配时,系统将禁用故障切换功能。
建议的操作:将故障切换对等体配置为使用相同的功能许可证,然后重新启用故障切换功能。
105046
错误消息 %ASA-1-105046 (Primary|Secondary) Mate has a different chassis
说明:两台故障切换设备采用不同类型的机箱。例如,其中一台设备采用三插槽机箱;另一台设备采用六插槽机箱。
建议的操作:确保两台故障切换设备是相同的。
105047
错误消息 %ASA-1-105047: Mate has a io_card_name1 card in slot slot_number which is different from my io_card_name2
说明:两台故障切换设备各自的插槽中有不同类型的卡。
建议的操作:确保故障切换设备的卡配置是相同的。
105048
错误消息 %ASA-1-105048: (unit ) Mate’s service module (application ) is different from mine (application )
说明:故障切换进程检测到主用设备和备用设备中的服务模块上正在运行不同的应用。如果使用不同的服务模块,则两台故障切换设备不兼容。
- unit - 主设备或辅助设备
- application - 应用的名称,例如 InterScan Security Card
建议的操作:确保两台设备拥有完全相同的服务模块,然后再尝试重新启用故障切换功能。
105050
错误消息 %ASA-3-105050: ASAv ethernet interface mismatch
说明:备用设备上的以太网接口数量少于主用设备上的以太网接口数量。
建议的操作:应将拥有相同接口数量的 ASA彼此配对。验证设备的接口数量是否相同。您可能需要安装更多接口模块,或使用不同的设备。物理接口匹配后,通过输入 write standby 命令,即可强制同步配置。
105500
错误消息:%ASA-5-105500: (Primary|Secondary) Started HA.
说明:此 ASA 上启用了云 HA。
建议的操作:无需执行任何操作。
105501
错误消息:%ASA-5-105501: (Primary|Secondary) Stopped HA.
说明:此 ASA 上禁用了云 HA。
建议的操作:无需执行任何操作。
105502
错误消息:%ASA-1-105502: (Primary|Secondary) Restarting Cloud HA on this unit, reason: string.
说明:发生了错误,导致此 HA 设备重启云 HA。reason 字符串的可能值如下:
-
failed to become Backup unit(无法成为备用设备)
-
unable to create failover connection(无法创建故障切换连接)
建议的操作:无需执行任何操作。
105503
错误消息:%ASA-5-105503: (Primary|Secondary) Internal state change from previous_state to new_state
说明:内部 HA 状态发生了变化。
建议的操作:无需执行任何操作。
105504
错误消息:%ASA-5-105504: (Primary|Secondary) Connected to peer peer-ip:port
说明:此 HA 设备已与 HA 对等体建立通信。
建议的操作:无需执行任何操作。
105505
错误消息:%ASA-4-105505: (Primary|Secondary) Failed to connect to peer unit peer-ip:port
说明:此 HA 设备未能与 HA 对等体建立通信。
建议的操作
如果没有 HA 对等体,则可能会发生这种情况。如果存在 HA 对等体且启用了故障切换功能,则对等体之间可能会出现连接问题。使用 show failover 命令验证以下情况:
-
每台设备上配置的对等体 IP 地址与对等体上的接口 IP 地址匹配
-
每台设备上的对等体端口号与对等体上的故障切换控制(服务器)端口匹配
-
用于对等体连接的接口未关闭
-
存在建立 IP 连接所需的所有 IP 路由。
105506
错误消息:%ASA-2-105506: (Primary|Secondary) Unable to create socket on port port for (failover connection | load balancer probes),
error: error_string
说明:尝试创建故障切换连接所需的套接字或响应 Azure 负载均衡器探测时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105507
错误消息:%ASA-2-105507: (Primary|Secondary) Unable to bind socket on port port for (failover connection | load balancer probes), error:
error_string
说明:尝试启动故障切换连接所需的套接字或响应 Azure 负载均衡器探测时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105508
错误消息:%ASA-2-105508: (Primary|Secondary) Error creating failover connection socket on port port
说明:尝试在主用设备上创建套接字以与备用设备交换故障切换控制消息时发生了内部错误。
建议的操作:在此消息之前会显示 104509 或 104510 消息。采取适用于在此消息之前所显示消息的“建议的操作”。
105509
错误消息:%ASA-3-105509: (Primary|Secondary) Error sending message_name message to peer unit peer-ip, error: error_string
说明:尝试向对等体设备发送故障切换控制消息时发生了错误。
建议的操作:如果该错误并非由对等体设备的故障而导致,则复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105510
错误消息:%ASA-3-105510: (Primary|Secondary) Error receiving message from peer unit peer-ip, error: error_string
说明:尝试从对等体设备那里接收故障切换控制消息时发生了错误。
建议的操作:如果该错误并非由对等体设备的故障而导致,则复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105511
错误消息:%ASA-3-105511: (Primary|Secondary) Incomplete read of message header of message from peer unit peer-ip: bytes bytes read of
expected header_length header bytes.
说明:尝试从对等体设备那里接收故障切换控制消息时发生了错误。
建议的操作:如果该错误并非由对等体设备的故障而导致,则复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105512
错误消息:%ASA-3-105512: (Primary|Secondary) Error receiving message body of message from peer unit peer-ip, error: error_string
说明:尝试从对等体设备那里接收故障切换控制消息时发生了错误。
建议的操作:如果该错误并非由对等体设备的故障而导致,则复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105513
错误消息:%ASA-3-105513: (Primary|Secondary) Incomplete read of message body of message from peer unit peer-ip: bytes bytes read of
expected message_length message body bytes
说明:尝试从对等体设备那里接收故障切换控制消息时发生了错误。
建议的操作:如果该错误并非由对等体设备的故障而导致,则复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105514
错误消息:%ASA-3-105514: (Primary|Secondary) Error occurred when responding to message_name message received from peer unit peer-ip,
error: error_string
说明:尝试从对等体设备那里接收故障切换控制消息时发生了错误。
建议的操作:如果该错误并非由对等体设备的故障而导致,则复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105515
错误消息:%ASA-3-105515: (Primary|Secondary) Error receiving message_name message from peer unit peer-ip, error: error_string
说明:尝试从对等体设备那里接收故障切换控制消息时发生了错误。
建议的操作:如果该错误并非由对等体设备的故障而导致,则复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105516
错误消息:%ASA-3-105516: (Primary|Secondary) Incomplete read of message header of message_name message from peer unit peer-ip: bytes
bytes read of expected header_length header bytes
说明:尝试从对等体设备那里接收故障切换控制消息时发生了错误。
建议的操作:如果该错误并非由对等体设备的故障而导致,则复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105517
错误消息:%ASA-3-105517: (Primary|Secondary) Error receiving message body of message_name message from peer unit peer-ip, error: error_string
说明:尝试从对等体设备那里接收故障切换控制消息时发生了错误。
建议的操作:如果该错误并非由对等体设备的故障而导致,则复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105518
错误消息:%ASA-3-105518: (Primary|Secondary) Incomplete read of message body of message_name message from peer unit peer-ip: bytes bytes
read of expected message_length message body bytes
说明:尝试从对等体设备那里接收故障切换控制消息时发生了错误。
建议的操作:如果该错误并非由对等体设备的故障而导致,则复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105519
错误消息:%ASA-3-105519: (Primary|Secondary) Invalid response to message_name message received from peer unit peer-ip: type message_type,
version message_version, length message_length
说明:在故障切换控制消息的响应中收到了意外消息。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105520
错误消息:%ASA-5-105520: (Primary|Secondary) Responding to Azure Load Balancer probes
说明:主用设备已开始响应 Azure 负载均衡器探测。
建议的操作:无需执行任何操作
105521
错误消息:%ASA-5-105521: (Primary|Secondary) No longer responding to Azure Load Balancer probes
说明:备用设备已停止响应 Azure 负载均衡器探测。
建议的操作:无需执行任何操作
105522
错误消息:%ASA-5-105522: (Primary|Secondary) Updating route route_table_name
说明:主用设备已开始更新 Azure 路由表的进程。
建议的操作:无需执行任何操作
105523
错误消息:%ASA-5-105523: (Primary|Secondary) Updated route route_table_name
说明:主用设备已完成更新 Azure 路由表的进程。
建议的操作:无需执行任何操作
105524
错误消息:%ASA-4-105524: (Primary|Secondary) Transitioning to Negotiating state due to the presence of another Active HA unit.
说明:由于检测到有另一台主用 HA 设备,系统正在将设备转换为协商状态。
建议的操作:无需执行任何操作
105524
错误消息:%ASA-4-105524: (Primary|Secondary) Transitioning to Negotiating state due to the presence of another Active HA unit.
说明:由于检测到有另一台主用 HA 设备,系统正在将设备转换为协商状态。
建议的操作:无需执行任何操作
105525
错误消息:%ASA-2-105525: (Primary|Secondary) Incomplete configuration to initiate access token change request.
说明:已尝试获取访问令牌,但没有发起该请求所需的足够配置信息。
建议的操作:确保 Azure 身份验证客户端 ID、租户 ID 和密钥均存在于 ASA 配置中。
105526
错误消息:%ASA-2-105526: (Primary|Secondary) Unexpected status in response to access token request: status_string.
说明:收到了对 Azure 访问令牌请求的响应,但该响应中的 HTTP 状态代码不是 200 (OK)。
建议的操作:确保在 ASA 配置中,Azure 身份验证客户端 ID、租户 ID 和密钥都是正确的。
105527
错误消息:%ASA-2-105527: (Primary|Secondary) Failure reading response to access token request
说明:接收对 Azure 访问令牌请求的响应时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105528
错误消息:%ASA-2-105528: (Primary|Secondary) No access token in response to access token request
说明:收到了对 Azure 路由变更请求的响应,但它不包含 access_token 值。
建议的操作:验证在 ASA 配置中,Azure 身份验证客户端 ID、租户 ID 和密钥都是正确的。
105529
错误消息:%ASA-2-105529: (Primary|Secondary) Error creating authentication header from access token
说明:尝试创建变更 Azure 路由所需的身份验证报头时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105530
错误消息:%ASA-2-105530: (Primary|Secondary) No response to access token request url
说明:无法获取 Azure 路由表信息以进行 Azure 路由表变更。
建议的操作:验证路由表名称在 ASA 配置中是正确的且存在于 Azure 中。
105531
错误消息:%ASA-2-105531: (Primary|Secondary) Failed to obtain route-table information needed for change request for route-table route_table_name
说明:无法获取 Azure 路由表信息以进行 Azure 路由表变更。
建议的操作:验证路由表名称在 ASA 配置中是正确的且存在于 Azure 中。
105532
错误消息:%ASA-2-105532: (Primary|Secondary) Unexpected status in response to route-table change request for route-table route_table_name:
status_string
说明:收到了对 Azure 路由表变更请求的响应,但该响应中的 HTTP 状态代码不是 200 (OK)。
建议的操作:验证已配置的 Azure 订用 ID、路由表名称和路由表资源组是否正确。
105533
错误消息:%ASA-2-105533: (Primary|Secondary) Failure reading response to route-table change request for route-table route_table_name
说明:接收对 Azure 路由表变更请求的响应时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105534
错误消息:%ASA-2-105534: (Primary|Secondary) No provisioning state in response to route-table change request route-table route_table_name
说明:收到了对 Azure 路由表变更请求的响应,但它不包含指示路由表变更状态的 provisioningState 值。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105535
错误消息:%ASA-2-105535: (Primary|Secondary) No response to route-table change request for route-table route_table_name from url
说明:没有收到对 Azure 路由表变更请求的任何响应。
建议的操作:确认是否可从 ASAv 访问 management.azure.com。
105536
错误消息:%ASA-2-105536: (Primary|Secondary) Failed to obtain Azure authentication header for route status request for route route_name
说明:无法获取 Azure 访问令牌以进行 Azure 路由状态查询。
建议的操作:请参阅适用于在此消息之前所显示访问令牌相关消息的“建议的操作”。
105537
错误消息:%ASA-2-105537: (Primary|Secondary) Unexpected status in response to route state request for route route_name: status_string
说明:收到了对 Azure 路由状态请求的响应,但该响应中的 HTTP 状态代码不是 200 (OK)。
建议的操作:验证已配置的 Azure 订用 ID、路由表名称和路由表资源组是否正确。
105538
错误消息:%ASA-2-105538: (Primary|Secondary) Failure reading response to route state request for route route_name
说明:接收对 Azure 路由状态请求的响应时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105539
错误消息:%ASA-2-105539: (Primary|Secondary) No response to route state request for route route_name from url
说明:没有收到对 Azure 路由状态请求的任何响应。
建议的操作:确认是否可从 ASAv 访问 management.azure.com。
105540
错误消息:%ASA-2-105540: (Primary|Secondary) No route-tables configured
说明:没有检测到任何 Azure 路由表的变更。
建议的操作:确认在 ASA 配置中正确配置了路由表。
105541
错误消息:%ASA-2-105541: (Primary|Secondary) Failed to update route-table route_table_name, provisioning state: state_string
说明:收到了对 Azure 路由表状态请求的响应,但该响应中包含的 provisioningState 值指示更新路由表失败。
建议的操作:主用设备将尝试更新 Azure 路由表三次。如果三次尝试均失败,请复制错误消息、配置以及导致该错误的事件的所有详细信息,并联系思科 TAC。
105542
错误消息:%ASA-5-105542: (Primary|Secondary) Enabling load balancer probe responses
说明:主用设备现在将响应 Azure 负载均衡器的探测。
建议的操作:无需执行任何操作。
105543
错误消息:%%ASA-5-105543: (Primary|Secondary) Disabling load balancer probe responses
说明:主用设备不再响应 Azure 负载均衡器的探测。
建议的操作:无需执行任何操作。
105544
错误消息:%ASA-2-105544: (Primary|Secondary) Error creating load balancer probe socket on port port
说明:尝试创建响应 Azure 负载均衡器的探测所需的套接字时发生了内部错误。
建议的操作:在此消息前面将显示 104509 或 104510 消息。采取适用于在此消息之前所显示消息的“建议的操作”。
105545
错误消息:%ASA-3-105545: (Primary|Secondary) Error starting load balancer probe socket on port port, error code: error_code
说明:尝试开始接收 Azure 负载均衡器的探测时发生了内部错误。主用设备将继续尝试启用接收探测。
建议的操作:如果此状况仍然存在,请复制错误消息、配置以及导致错误的事件的所有详细信息,并联系思科 TAC。
105546
错误消息:%ASA-3-105546: (Primary|Secondary) Error starting load balancer probe handler
说明:尝试为接收 Azure 负载均衡器的探测创建进程时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105547
错误消息:%ASA-3-105547: (Primary|Secondary) Error generating encryption key for Azure secret key
说明:尝试生成用于加密配置中的 Azure 密钥的加密密钥时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105548
错误消息:%ASA-3-105548: (Primary|Secondary) Error storing encryption key for Azure secret key
说明:尝试存储用于加密配置中的 Azure 密钥的加密密钥时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105549
错误消息:%ASA-3-105549: (Primary|Secondary) Error retrieving encryption key for Azure secret key
说明:尝试检索用于加密配置中的 Azure 密钥的加密密钥时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105550
错误消息:%ASA-3-105550: (Primary|Secondary) Error encrypting Azure secret key
说明:加密配置中的 Azure 密钥时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105551
错误消息:%ASA-3-105551: (Primary|Secondary) Error encrypting Azure secret key
说明:解密配置中的 Azure 密钥时发生了内部错误。
建议的操作:复制错误消息、配置以及导致错误的事件的任何详细信息,并联系思科 TAC。
105552
错误消息:%ASA-5-105552: (Primary|Secondary) Stopped HA
说明:此 ASA 上禁用了云 HA。
建议的操作:无需执行任何操作。
105553
错误消息:%ASA-4-105553: (Primary|Secondary) Detected another Active HA unit
说明:检测到有另一台主用 HA 设备。
建议的操作:无需执行任何操作
106001
错误消息 %ASA-2-106001: Inbound TCP connection denied from IP_address/port to IP_address/port flags tcp_flags on interface interface_name
说明:尝试连接到内部地址的操作被针对指定流量类型定义的安全策略拒绝。显示的 IP 地址是真实 IP 地址,而不是通过 NAT 显示的 IP 地址。可能的 tcp_flags 值与连接被拒绝时存在的 TCP 报头中的标志对应。例如,TCP 数据包到达时 ASA中不存在连接状态,于是该数据包会被丢弃。此数据包中的 tcp_flags 是 FIN 和 ACK。
tcp_flags 如下所示:
- ACK - 收到确认号
- FIN - 数据已发送
- PSH - 收件人已将数据传递到应用
- RST - 连接已重置
- SYN - 序列号已同步以启动连接
- URG - 紧急指针宣告有效
建议的操作:无需执行任何操作。
106002
错误消息 %ASA-2-106002: protocol Connection denied by outbound list acl_ID src inside_address dest outside_address
说明:由于 outbound deny 命令,指定的连接失败。Protocol 变量可以是 ICMP、TCP 或 UDP。
建议的操作:使用 show outbound 命令检查出站列表。
106006
错误消息 %ASA-2-106006: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port on interface interface_name.
说明:入站 UDP 数据包被针对指定流量类型定义的安全策略拒绝。
建议的操作:无需执行任何操作。
106007
错误消息 %ASA-2-106007: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port due to DNS {Response|Query}.
说明:包含 DNS 查询或响应的 UDP 数据包被拒绝。
建议的操作:如果内部端口号为 53,则内部主机可能设置为缓存名称服务器。添加 access-list 命令语句,以允许 UDP 端口 53 上的流量和内部主机的转换条目。如果外部端口号为 53,则 DNS 服务器可能会由于速度过慢而无法响应,并且该查询由另一台服务器应答。
106010
错误消息 %ASA-3-106010: Deny inbound protocol src [interface_name : source_address/source_port ] [([idfw_user | FQDN_string ], sg_info )] dst [interface_name : dest_address /dest_port }[([idfw_user | FQDN_string ], sg_info )]
说明:您的安全策略拒绝了入站连接。
建议的操作:如果应允许流量,请修改安全策略。如果该消息定期显示,请与远程对等体管理员联系。
106011
错误消息 %ASA-3-106011: Deny inbound (No xlate) string
说明:如果有内部用户通过 Web 浏览器访问互联网,则在正常流量状况下,系统会显示此消息。每次重置连接时,如果在 ASA 收到连接重置消息后连接末端的主机发送数据包,系统将显示此消息。通常可以忽略此消息。
建议的操作:通过输入 no logging message 106011 命令,可防止此消息登录系统日志服务器。
106012
错误消息 %ASA-6-106012: Deny IP from IP_address to IP_address , IP options hex.
说明:系统显示带有 IP 选项的 IP 数据包。由于 IP 选项被视为存在安全风险,因此该数据包已被丢弃。
建议的操作:联系远程主机系统管理员以确定问题。检查本地站点是采用松散源路由还是严格源路由。
106013
错误消息 %ASA-2-106013: Dropping echo request from IP_address to PAT address IP_address
说明:ASA丢弃了入站 ICMP 回应请求数据包,其目的地址与 PAT 全局地址对应。入站数据包被丢弃,因为它无法指定哪台 PAT 主机应接收该数据包。
建议的操作:无需执行任何操作。
106014
错误消息 %ASA-3-106014: Deny inbound icmp src interface_name : IP_address [([idfw_user | FQDN_string ], sg_info )] dst interface_name : IP_address [([idfw_user | FQDN_string ], sg_info )] (type dec , code dec )
说明:ASA拒绝了任何入站 ICMP 数据包访问。默认情况下,除非明确允许,否则系统将拒绝所有 ICMP 数据包访问。
建议的操作:无需执行任何操作。
106015
错误消息 %ASA-6-106015: Deny TCP (no connection) from IP_address /port to IP_address /port flags tcp_flags on interface interface_name.
说明:ASA丢弃了在 ASA连接表中没有关联连接的 TCP 数据包。ASA在该数据包内查找 SYN 标志,该标志表示建立新连接的请求。如果未设置 SYN 标志,并且没有现有连接,则 ASA 会丢弃该数据包。
建议的操作:除非 ASA收到大量这种无效的 TCP 数据包,否则不需要执行任何操作。如果收到大量无效的 TCP 数据包,请跟踪数据包的来源并确定发送这些数据包的原因。
106016
错误消息 %ASA-2-106016: Deny IP spoof from (IP_address ) to IP_address on interface interface_name.
说明:数据包到达 ASA接口,该接口的目的 IP 地址为 0.0.0.0,目的 MAC 地址为 ASA接口的 MAC 地址。此外,当 ASA丢弃源地址无效的数据包时,系统会生成此消息,这些无效的源地址可能包括以下某个无效地址或其他一些无效地址:
- 环回网络 (127.0.0.0)
- 广播(受限、网络定向、子网定向和所有子网定向)
- 目的主机 (land.c)
要进一步增强欺骗数据包检测,请使用 icmp 命令配置 ASA,以丢弃所包含源地址属于内部网络的数据包,这是因为 access-list 命令已被弃用,且不再保证能够正常工作。
建议的操作:确定是否有外部用户尝试攻击受保护的网络。检查客户端是否配置错误。
106017
错误消息 %ASA-2-106017: Deny IP due to Land Attack from IP_address to IP_address
说明:ASA收到 IP 源地址和 IP 目的地址相同且目的端口和源端口相同的数据包。此消息指示出现了旨在攻击系统的欺骗数据包。此攻击称为“着陆攻击”。
建议的操作:如果此消息仍然存在,则表示正在发生攻击。数据包提供的信息不足以确定攻击的来源。
106018
错误消息 %ASA-2-106018: ICMP packet type ICMP_type denied by outbound list acl_ID src inside_address dest outside_address
说明:包含指定 ICMP 的从本地主机 (inside_address) 到外部主机 (outside_address) 的传出 ICMP 数据包被出站 ACL 列表拒绝。
建议的操作:无需执行任何操作。
106020
错误消息 %ASA-2-106020: Deny IP teardrop fragment (size = number, offset = number) from IP_address to IP_address
说明:ASA丢弃了采用泪滴签名的 IP 数据包,该泪滴签名包含小偏移量或分段重叠。这是一个规避 ASA或入侵检测系统的恶意事件。
建议的操作:请与远程对等体管理员联系,或根据您的安全策略上报此问题。
106021
错误消息 %ASA-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name
说明:正在发生攻击。有人试图伪造入站连接上的 IP 地址。单播 RPF(也称为“反向路由查找”)检测到没有用路由表示源地址的数据包,并认为它属于对 ASA所进行的攻击。
使用 ip verify reverse-path 命令启用单播 RPF 时,系统会显示此消息。此功能适用于向接口输入的数据包;如果在外部配置,则 ASA会检查从外部到达的数据包。
ASA 根据源地址查找路由。如果未找到条目且未定义路由,则系统会显示此消息并断开连接。
如果有路由,则 ASA会检查其对应的接口。如果数据包到达另一个接口,则要么是欺骗数据包,要么存在有多条路径可通往目的地的非对称路由环境。ASA 不支持非对称路由。
如果在内部接口配置 ASA,它会检查静态路由命令语句或 RIP,并且如果找不到源地址,则说明有内部用户在伪造其地址。
建议的操作:即便正在发生攻击,如果启用此功能,则无需执行任何用户操作。ASA会击退该攻击。
106022
错误消息 %ASA-1-106022: Deny protocol connection spoof from source_address to dest_address on interface interface_name
说明:匹配连接的数据包到达的接口与连接开始的接口不同。此外,未配置 ip verify reverse-path 命令。
例如,如果用户在内部接口上启动连接,但 ASA 检测到该连接到达了外围接口,则 ASA有多条路径可到达目的地。这称为非对称路由,不受 ASA支持。
攻击者也可能试图将来自一个连接的数据包附加到另一个连接,作为入侵 ASA的一种手段。在任一情况下,ASA 都会显示此消息并丢弃连接。
建议的操作:检查路由是否不对称。
106023
错误消息%ASA-4-106023: Deny protocol src [interface_name :source_address /source_port ] [([idfw_user |FQDN_string ], sg_info )] dst interface_name :dest_address /dest_port [([idfw_user |FQDN_string ], sg_info )] [type {string }, code {code }] by access_group acl_ID [0x8ed66b60, 0xf8852875]
说明:ACL 拒绝了真实 IP 数据包。即便您没有为 ACL 启用 log 选项,也会显示此消息。IP 地址是真实 IP 地址,而不是通过 NAT 显示的值。如果找到匹配的 IP 地址,则系统会为 IP 地址提供用户身份信息和 FQDN 信息。ASA记录身份信息(域/用户)或 FQDN(如果用户名不可用)。如果身份信息或 FQDN 可用,ASA将为源地址和目的地址记录此类信息。
建议的操作:如果消息始终来自同一源地址,则表示可能有人正在尝试执行足迹或端口扫描。请与远程主机管理员联系。
106024
错误消息 %ASA-2-106024: Access rules memory exhausted
说明:访问列表编译进程已耗尽内存。自上次成功编译访问列表后添加的所有配置信息都已从 ASA中删除,并且将继续使用最近编译的访问列表组。
建议的操作:将访问列表、AAA、ICMP、SSH、Telnet 和其他规则类型作为访问列表规则类型进行存储和编译。删除其中一些规则类型,以便添加其他规则类型。
106025、106026
错误消息 %ASA-6-106025: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port
protocol
错误消息 %ASA-6-106026: Failed to determine the security context for the packet:sourceVlan:source_address dest_address source_port dest_port
protocol
说明:无法确定多情景模式中数据包的安全情景。在路由器和透明模式下丢弃 IP 数据包可能会生成这两条消息。
建议的操作:无需执行任何操作。
106027
错误消息 %ASA-4-106027:acl_ID: Deny src [source address] dst [destination address] by access-group “access-list name"
说明:ACL 拒绝了非 IP 数据包。即使您没有为扩展 ACL 启用日志选项,系统也会显示此消息。
建议的操作:如果消息始终来自同一源地址,则表示可能有人尝试跟踪足迹或执行端口扫描。请与远程主机管理员联系。
106100
错误消息%ASA-6-106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name /source_address (source_port ) (idfw_user , sg_info ) interface_name /dest_address (dest_port ) (idfw_user , sg_info ) hit-cnt number ({first hit | number -second interval}) hash codes
说明:系统列出间隔期间的初始发生次数或总发生次数。此消息提供的信息比消息 106023 多,后者只记录被拒绝的数据包,并且不包括命中计数或可配置级别。
当访问列表行有 log 参数时,由于非同步数据包到达 ASA并接受访问列表的评估,因此预计可能会触发此消息 ID。例如,如果在 ASA 上收到 ACK 数据包(连接表中不存在该数据包的 TCP 连接),则 ASA可能生成消息 106100,指示允许接收该数据包;但由于没有匹配的连接,系统稍后会正确丢弃该数据包。
下表介绍消息值:
- permitted | denied | est-allowed - 这些值指定 ACL 是允许还是拒绝该数据包。如果值为 est-allowed,则 ACL 会拒绝该数据包,但对于已建立的会话则允许接收该数据包(例如,允许内部用户访问互联网,并且接受通常被 ACL 拒绝的响应数据包)。
- protocol - TCP、UDP、ICMP 或 IP 协议号。
- interface_name - 已记录流的源或目的地的接口名称。支持 VLAN 接口。
- Source_address - 已记录流的源 IP 地址。IP 地址是真实 IP 地址,而不是通过 NAT 显示的值。
- dest_address - 已记录流的目的 IP 地址。IP 地址是真实 IP 地址,而不是通过 NAT 显示的值。
- Source_port - 已记录流的源端口(TCP 或 UDP)。对于 ICMP,源端口之后的数字表示消息类型。
- idfw_user - 表示用户身份的用户名,包括当 ASA可以找到 IP 地址的用户名时添加到现有系统日志的域名。
- sg_info - 当 ASA可以找到 IP 地址的安全组标记时添加到系统日志的安全组标记。安全组名称将与安全组标记(如果可用)一起显示。
- dest_port - 已记录流的目的端口(TCP 或 UDP)。对于 ICMP,目的端口之后的数字表示 ICMP 消息代码,适用于某些消息类型。对于类型 8,该数字始终为 0。如需 ICMP 消息类型列表,请访问以下 URL:http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml。
- hit-cnt number - 此 ACL 条目在配置的时间间隔内允许或拒绝该流的次数。当 ASA为该流生成第一条消息时,值为 1。
- first hit - 系统为该流生成的第一条消息。
- number -second interval - 累计命中计数的间隔。使用 access-list 命令和 interval 选项设置此间隔。
- hash codes - 始终为对象组 ACE 和组成常规 ACE 打印两个散列代码。具体的值取决于该数据包所命中的 ACE。要显示这些散列代码,请输入 show-access list 命令。
建议的操作:无需执行任何操作。
106101
错误消息 %ASA-1-106101 Number of cached deny-flows for ACL log has reached limit (number ).
说明:如果您为 ACL deny 语句配置了 log 选项(access-list id deny 命令),且有流量与该 ACL 语句匹配,则 ASA会缓存流量信息。此消息指示在 ASA上缓存的匹配流量的数量超出了用户配置的限值(使用 access-list deny-flow-max 命令)。在受到 DoS 攻击后,系统可能会生成此消息。
- number - 使用 access-list deny-flow-max 命令配置的限值
建议的操作:无需执行任何操作。
106102
错误消息 %ASA-6-106102: access-list acl_ID {permitted|denied} protocol for user username interface_name /source_address source_port interface_name /dest_address dest_port hit-cnt number {first hit|number -second interval} hash codes
说明:通过 VPN 过滤器应用的访问列表允许或拒绝数据包。此消息是与消息 106100 等效的 VPN/AAA 过滤器消息。
建议的操作:无需执行任何操作。
106103
错误消息%ASA-4-106103: access-list acl_ID denied protocol for user username interface_name /source_address source_port interface_name /dest_address dest_port hit-cnt number first hit hash codes
说明:通过 VPN 过滤器应用的访问列表拒绝了某个数据包。此消息是与消息 106023 等效的 VPN/AAA 过滤器消息。
建议的操作:无需执行任何操作。
107001
错误消息%ASA-1-107001: RIP auth failed from IP_address : version=number, type=string, mode=string, sequence=number on interface interface_name
说明:ASA收到包含身份验证错误的 RIP 应答消息。由于路由器或 ASA 上的配置错误,或者有人尝试攻击 ASA的路由表却未能成功,系统可能会显示此消息。
建议的操作:此消息指示可能发生了攻击,应予以监控。如果您不熟悉此消息中列出的源 IP 地址,请更改受信任实体之间的 RIP 身份验证密钥。攻击者可能在尝试确定现有密钥。
107002
错误消息:%ASA-1-107002: RIP pkt failed from IP_address : version=number on interface interface_name
说明:路由器错误,数据包内部包含非 RFC 值或条目格式错误,可能会导致出现此消息。通常不应该发生这种情况。如果确实发生,则表明可能发生了尝试利用 ASA 的路由表的攻击活动。
建议的操作:此消息指示可能发生了攻击,应予以监控。数据包已通过身份验证(如已启用),并且数据包中包含错误数据。如果对数据包的发起方有任何疑问,请密切监控该情况并更改密钥。
108002
错误消息:%ASA-2-108002: SMTP replaced string: out source_address in inside_address data: string
说明:使用 inspect esmtp 命令生成了邮件卫士 (SMTP) 消息。ASA 使用空格替换了邮件地址中的无效字符。
建议的操作:无需执行任何操作。
108003
错误消息%ASA-2-108003: Terminating ESMTP/SMTP connection; malicious pattern detected in the mail address from source_interface:source_address/source_port to dest_interface:dest_address/dset_port . Data:string
说明:ASA 检测到了邮件地址中的恶意模式并丢弃了该连接。正在发生攻击。
建议的操作:无需执行任何操作。
108004
错误消息 %ASA-4-108004: action_class: action ESMTP req_resp from src_ifc:sip |sport to dest_ifc:dip |dport;further_info
说明:已对 ESMTP 消息执行 ESMTP 分类且满足指定的条件。已执行所配置的操作。
- Action_class - 操作的类别:针对 ESMTP 匹配命令为 ESMTP 分类;针对参数命令为提供 ESMTP 参数
- action - 采取的操作:已丢弃、丢弃连接、重置连接或屏蔽报头标志
- req_resp - 请求或响应
- src_ifc - 源接口名称
- sip|sport - 源 IP 地址或源端口
- dest_ifc - 目的接口名称
- dip|dport - 目的 IP 地址或目的端口
- further info - 可能是以下任一种信息:
对于单个匹配命令,该信息可能是:匹配的类别 ID:匹配命令(例如,matched Class 1234: match body length 100)。
对于命令参数,该信息可能是:参数命令:描述性消息(例如,mail-relay: No Mail Relay allowed)
建议的操作:无需执行任何操作。
108005
错误消息%ASA-6-108005: action_class: Received ESMTP req_resp from src_ifc:sip |sport to dest_ifc:dip |dport;further_info
说明:已对 ESMTP 消息执行 ESMTP 分类且满足指定的条件。已执行独立日志操作。
- Action_class - 操作的类别:针对 ESMTP 匹配命令为 ESMTP 分类;针对参数命令为提供 ESMTP 参数
- req_resp - 请求或响应
- src_ifc - 源接口名称
- sip|sport - 源 IP 地址或源端口
- dest_ifc - 目的接口名称
- dip|dport - 目的 IP 地址或目的端口
- further info - 可能是以下任一种信息:
对于单个匹配命令,该信息可能是:匹配的类别 ID:匹配命令(例如,matched Class 1234: match body length 100)。
对于命令参数(参数部分下的命令),该信息可能是:参数命令:描述性消息(例如,mail-relay: No Mail Relay allowed)
建议的操作:无需执行任何操作。
108006
错误消息 %ASA-7-108006: Detected ESMTP size violation from src_ifc:sip |sport to dest_ifc:dip |dport; declared size is: decl_size, actual size is act_size.
说明:当 ESMTP 消息大小超过 RCPT 命令中宣告的大小时,系统将生成此事件。
- src_ifc - 源接口名称
- sip|sport - 源 IP 地址或源端口
- dest_ifc - 目的接口名称
- dip|dport - 目的 IP 地址或目的端口
- decl_size - 声明大小
- act_size - 实际大小
建议的操作:无需执行任何操作。
108007
错误消息 %ASA-6-108007: TLS started on ESMTP session between client client-side interface-name : client IP address /client port and server server-side interface-name : server IP address /server port
说明:在 ESMTP 连接上,服务器使用 220 应答代码响应了客户端 STARTTLS 命令。ESMTP 检测引擎不再检测此连接上的流量。
- client-side interface-name - 面向客户端的接口的名称
- client IP address - 客户端的 IP 地址
- client port - 客户端的 TCP 端口号
- server-side interface-name - 面向服务器端的接口的名称
- server IP address - 服务器的 IP 地址
- server port - 服务器的 TCP 端口号
建议的操作:记录并检查该消息。检查与此连接关联的 ESMTP 策略映射是否具有 allow-tls 操作日志设置。如果没有,请联系思科 TAC。
109001
错误消息 %ASA-6-109001: Auth start for user user from inside_address/inside_port to outside_address/outside_port
说明:已为 AAA 配置 ASA,并且 ASA 检测到指定用户的身份验证请求。
建议的操作:无需执行任何操作。
109002
错误消息:%ASA-6-109002: Auth from inside_address/inside_port to outside_address/outside_port failed (server IP_address failed) on interface interface_name.
说明:由于该模块无法访问指定的身份验证服务器,因此身份验证请求失败。
建议的操作:检查指定的身份验证服务器上是否在运行身份验证后台守护程序。
109003
错误消息:%ASA-6-109003: Auth from inside_address to outside_address/outside_port failed (all servers failed) on interface interface_name,
so marking all servers ACTIVE again.
说明:找不到任何身份验证服务器。
建议的操作:从 ASA 对身份验证服务器执行 Ping 操作。请确保后台守护程序正在运行。
109005
错误消息:%ASA-6-109005: Authentication succeeded for user user from inside_address/inside_port to outside_address/outside_port on interface
interface_name.
说明:指定的身份验证请求成功。
建议的操作:无需执行任何操作。
109006
错误消息:%ASA-6-109006: Authentication failed for user user from inside_address/inside_port to outside_address/outside_port on interface
interface_name.
说明:指定的身份验证请求失败,可能是由于密码错误。用户名在无效或未知时隐藏,但在有效或配置了 no logging hide username 命令时显示。
建议的操作:无需执行任何操作。
109007
错误消息:%ASA-6-109007: Authorization permitted for user user from inside_address/inside_port to outside_address/outside_port on interface
interface_name.
说明:指定的授权请求成功。
建议的操作:无需执行任何操作。
109008
错误消息:%ASA-6-109008: Authorization denied for user user from outside_address/outside_port to inside_address/ inside_port on interface
interface_name.
说明:用户无权访问指定地址,可能是由于密码错误。
建议的操作:无需执行任何操作。
109010
错误消息:%ASA-3-109010: Auth from inside_address/inside_port to outside_address/outside_port failed (too many pending auths) on interface
interface_name.
说明:由于服务器待处理的请求过多,因此无法处理身份验证请求。
建议的操作:检查身份验证服务器是否太慢而无法响应身份验证请求。使用 floodguard enable 命令启用 Flood Defender 功能。
109011
错误消息 %ASA-2-109011: Authen Session Start: user 'user ', sid number
说明:在主机和 ASA 之间启动了身份验证会话,但尚未完成。
建议的操作:无需执行任何操作。
109012
错误消息 %ASA-5-109012: Authen Session End: user 'user', sid number, elapsed number seconds
说明:身份验证缓存已超时。用户在下次连接时必须重新进行身份验证。您可以使用 timeout uauth 命令更改此计时器的持续时间。
建议的操作:无需执行任何操作。
109013
错误消息 %ASA-3-109013: User must authenticate before using this service
说明:用户必须先进行身份验证,然后才能使用该服务。
建议的操作:先使用 FTP、Telnet 或 HTTP 进行身份验证,然后再使用该服务。
109014
错误消息:%ASA-7-109014: A non-Telnet connection was denied to the configured virtual Telnet IP address.
说明:身份验证请求没有相应的授权请求。
建议的操作:确保配置中包含 AAA 身份验证和 AAA 授权命令语句。
109016
错误消息 %ASA-3-109016: Can't find authorization ACL acl_ID for user 'user '
说明:在 AAA 服务器上为此用户指定的名称在 ASA上不存在。如果在配置 ASA 之前配置 AAA 服务器,则会发生此错误。AAA 服务器上的供应商特定属性 (VSA) 可能是以下值之一:
- acl=acl_ID
- shell:acl=acl_ID
- ACS:CiscoSecured-Defined-ACL=acl_ID
建议的操作:将 ACL 添加到 ASA,确保使用在 AAA 服务器上指定的相同名称。
109017
错误消息:%ASA-4-109017: User at IP_address exceeded auth proxy connection limit (max)
说明:用户已超出用户身份验证代理限制,并且打开的该代理连接过多。
建议的操作:输入 proxy-limit proxy_limit 命令增加代理限制,或要求用户关闭不使用的连接。如果错误仍然存在,则表示可能发生了 DoS 攻击。
109018
错误消息 %ASA-3-109018: Downloaded ACL acl_ID is empty
说明:下载的授权没有 ACE。这种情况可能是由于属性字符串 ip:inacl# 拼写错误或忽略 access-list 命令而导致的。
junk:junk# 1=permit tcp any any eq junk ip:inacl#1=”
建议的操作:更正 AAA 服务器上存在此指示错误的 ACL 组件。
109019
错误消息 %ASA-3-109019: Downloaded ACL acl_ID has parsing error; ACE string
说明:在解析已下载授权的属性字符串 ip:inacl#NNN= 中的序列号 NNN 期间发生错误。原因包括:缺少 =;# 和 = 之间包含非数值、非空格字符;NNN 大于 999999999。
ip:inacl# 1 permit tcp any any
ip:inacl# 1junk2=permit tcp any any
ip:inacl# 1000000000=permit tcp any any
建议的操作:更正 AAA 服务器上存在此指示错误的 ACL 元素。
109020
错误消息 %ASA-3-109020: Downloaded ACL has config error; ACE
说明:已下载授权的其中一个组件存在配置错误。消息中包含该元素的整个文本。出现此消息通常是由于 access-list 命令语句无效而导致的。
建议的操作:更正 AAA 服务器上存在此指示错误的 ACL 组件。
109021
错误消息:%ASA-7-109021: Uauth null proxy error
说明:发生了内部用户身份验证错误。
建议的操作:无需执行任何操作。但是,如果此错误重复出现,请联系思科 TAC。
109022
错误消息:%ASA-4-109022: exceeded HTTPS proxy process limit
说明:对于每个 HTTPS 身份验证,ASA 都会指定一个进程来为身份验证请求服务。当同时运行的进程数超过系统施加的限制时,ASA 不执行身份验证,并会显示此消息。
建议的操作:无需执行任何操作。
109023
错误消息:%ASA-3-109023: User from source_address /source_port to dest_address /dest_port on interface outside_interface must authenticate before using this service.
说明:根据配置的策略,您需要通过了身份验证才能使用此服务端口。
建议的操作:尝试使用此服务端口之前,使用 Telnet、FTP 或 HTTP 进行身份验证。
109024
错误消息 %ASA-6-109024: Authorization denied from source_address /source_port to dest_address /dest_port (not authenticated) on interface interface_name using protocol
说明:为 AAA 配置了 ASA,并且用户尝试在没有事先通过身份验证的情况下跨 ASA 建立 TCP 连接。
建议的操作:无需执行任何操作。
109025
错误消息 %ASA-6-109025: Authorization denied (acl=acl_ID) for user 'user' from source_address /source_port to dest_address /dest_port on interface interface_name using protocol
说明:检查失败。检查要么与拒绝匹配,要么与任何内容都不匹配(例如在隐式拒绝情况下)。用户 acl_ID 拒绝了连接,该用户 acl_ID 是根据思科安全访问控制服务器 (ACS) 上的 AAA 授权策略定义的。
建议的操作:无需执行任何操作。
109026
错误消息 %ASA-3-109026: [aaa protocol ] Invalid reply digest received; shared server key may be mismatched.
说明:无法验证来自 AAA 服务器的响应。配置的服务器密钥可能不正确。在处理 RADIUS 或 TACACS+ 服务器的事务期间可能会生成此消息。
验证使用 aaa-server 命令配置的服务器密钥是否正确。
109027
错误消息 %ASA-4-109027: [aaa protocol] Unable to decipher response message Server = server_IP_address , User = user
说明:无法验证来自 AAA 服务器的响应。配置的服务器密钥可能不正确。在处理 RADIUS 或 TACACS+ 服务器的事务期间可能会显示此消息。server_IP_address 是相关 AAA 服务器的 IP 地址。用户是与连接关联的用户名。
建议的操作:验证使用 aaa-server 命令配置的服务器密钥是否正确。
109028
错误消息 %ASA-4-109028: aaa bypassed for same-security traffic from ingress_ interface:source_address/source_port to egress_interface:dest_address/dest_port
说明:与配置的 AAA 规则匹配的相同安全流量将绕过 AAA。只有在以下情况下,才会出现此错误:流量在具有相同安全级别配置的两个接口之间传递;允许相同的安全流量;AAA 配置使用了 include 或 exclude 语法。
建议的操作:无需执行任何操作。
109029
错误消息 %ASA-5-109029: Parsing downloaded ACL: string
说明:解析在用户身份验证期间从 RADIUS 服务器下载的访问列表时发生语法错误。
- string - 一条错误消息,详细说明了阻止访问列表正确解析的语法错误
建议的操作:使用此消息中显示的信息来识别并更正 RADIUS 服务器配置内访问列表定义中的语法错误。
109030
错误消息 %ASA-4-109030: Autodetect ACL convert wildcard did not convert ACL access_list source |dest netmask netmask .
说明:用于自动检测通配符网络掩码的机制不会转换已在 RADIUS 服务器上配置的动态 ACL。发生此问题的原因是此机制无法确定网络掩码是通配符还是普通网络掩码。
- access_list - 无法转换的访问列表
- source - 源 IP 地址
- dest - 目的 IP 地址
- netmask - 以点分十进制记法表示的目的或源地址的子网掩码
建议的操作:检查 RADIUS 服务器上通配符配置的访问列表网络掩码。如果网络掩码应该是通配符,并且该服务器上的所有访问列表网络掩码均为通配符,则对 AAA 服务器使用 acl-netmask-convert 的通配符设置。否则,请将网络掩码改为普通网络掩码或不包含黑洞(即网络掩码显示连续二进制数 1 的位置)的通配符网络掩码。例如,00000000.00000000.00011111.11111111 或十六进制 0.0.31.255)。如果网络掩码应该是普通网络掩码,并且该服务器上的所有访问列表网络掩码均为普通网络掩码,则对 AAA 服务器使用 acl-netmask-convert 的普通网络掩码设置。
109031
错误消息:%ASA-4-109031: NT Domain Authentication Failed: rejecting guest login for username .
说明:用户已尝试对为访客账户访问配置的 NT 域进行身份验证,但该用户名不是 NT 服务器上的有效用户名。连接被拒绝。
建议的操作:如果该用户是有效用户,请在 NT 服务器中添加账户。如果不允许该用户访问,则无需执行任何操作。
109032
错误消息 %ASA-3-109032: Unable to install ACL access_list , downloaded for user username ; Error in ACE: ace .
说明:ASA从 RADIUS 服务器接收访问控制列表以应用于用户连接,但列表中的条目包含语法错误。使用包含错误的列表可能会导致违反安全策略,因此 ASA无法对用户进行身份验证。
- access_list - 分配给动态访问列表的名称,它将显示在 show access-list 命令的输出中
- username - 其连接将受此访问列表约束的用户的名称
- ace - 检测到错误时正在进行处理的访问列表条目
建议的操作:更正 RADIUS 服务器配置中的访问列表定义。
109033
错误消息 %ASA-4-109033: Authentication failed for admin user user from src_IP . Interactive challenge processing is not supported for protocol connections
说明:在对管理连接进行身份验证期间触发了 AAA 质询处理,但是 ASA无法启动与客户端应用的交互式质询处理。发生这种情况时,系统将拒绝尝试进行身份验证的操作并拒绝连接。
- user - 要进行身份验证的用户的名称
- src_IP - 客户端主机的 IP 地址
- protocol - 客户端连接协议(SSH v1 或管理 HTTP)
建议的操作:重新配置 AAA,使这些连接类型不发生质询处理。这通常意味着要避免通过 RADIUS 向 RSA SecurID 服务器或任何基于令牌的 AAA 服务器验证这些连接类型。
109034
错误消息 %ASA-4-109034: Authentication failed for network user user from src_IP/port to dst_IP/port . Interactive challenge processing is not supported for protocol connections
说明:在对网络连接进行身份验证期间触发了 AAA 质询处理,但是 ASA无法启动与客户端应用的交互式质询处理。发生这种情况时,系统将拒绝尝试进行身份验证的操作并拒绝连接。
- user - 要进行身份验证的用户的名称
- src_IP/port - 客户端主机的 IP 地址和端口
- dst_IP/port - 客户端尝试连接的服务器的 IP 地址和端口
- protocol - 客户端连接协议(例如 FTP)
建议的操作:重新配置 AAA,使这些连接类型不发生质询处理。这通常意味着要避免通过 RADIUS 向 RSA SecurID 服务器或任何基于令牌的 AAA 服务器验证这些连接类型。
109035
错误消息 %ASA-3-109035: Exceeded maximum number (<max_num>) of DAP attribute instances for user <user>
说明:如果从 RADIUS 服务器接收的 DAP 属性数量超出验证指定用户的连接时允许的最大数量,系统将生成此日志。
建议的操作:修改 DAP 属性配置以将 DAP 属性数量减少到低于日志中指定的最大允许数量,以便指定的用户可以进行连接。
109036
错误消息 %ASA-6-109036: Exceeded 1000 attribute values for the attribute name attribute for user username .
说明:LDAP 响应消息的一个属性有超过 1000 个值。
- attribute_name - LDAP 属性名称
- username - 登录时使用的用户名
建议的操作:无需执行任何操作。
109037
错误消息 %ASA-3-109037: Exceeded 5000 attribute values for the attribute name attribute for user username .
说明:ASA支持从 AAA 服务器接收同一属性的多个值。如果 AAA 服务器发送的响应消息中所包含同一属性的值超过 5000 个,则 ASA会将此响应消息视为格式错误并拒绝身份验证。只有在使用专门测试工具的实验室环境中,才能看到这种情况。实际的生产网络中不太可能会发生这种情况。
- attribute_name - LDAP 属性名称
- username - 登录时使用的用户名
建议的操作:使用协议嗅探器(例如 WireShark)捕获 ASA和 AAA 服务器之间的身份验证流量,然后将跟踪文件转发到思科 TAC 进行分析。
109038
错误消息 %ASA-3-109038: Attribute internal-attribute-name value string-from-server from AAA server could not be parsed as a type internal-attribute-name string representation of the attribute name
说明:AAA 子系统尝试将来自 AAA 服务器的属性解析为内部表示形式时失败。
- string-from-server - 从 AAA 服务器收到的字符串,截断为 40 个字符。
- type - 指定属性的类型
建议的操作:验证 AAA 服务器上是否正确生成了该属性。有关更多信息,请使用 debug ldap 和 debug radius 命令。
109039
错误消息 %ASA-5-109039: AAA Authentication:Dropping an unsupported IPv6/IP46/IP64 packet from lifc :laddr to fifc :faddr
说明:包含 IPv6 地址或通过 NAT 转换为 IPv6 地址的 IPv4 地址的数据包需要 AAA 身份验证或授权。AAA 身份验证和授权不支持 IPv6 地址。系统丢弃此数据包。
- lifc - 入口接口
- laddr - 源 IP 地址
- fifc - 出口接口
- faddr - NAT 转换后的目的 IP 地址(如有)
建议的操作:无需执行任何操作。
109040
错误消息:%ASA-4-109040: User at IP exceeded auth proxy rate limit of 10 connections/sec
说明:由于 ASA 检测到了来自同一主机的 HTTPS 身份验证请求频率过高,因此拒绝了连接尝试。
- IP - 发起连接的主机的 IP 地址
建议的操作:限制用户的直通代理身份验证尝试的次数。
109100
错误消息 %ASA-6-109100: Received CoA update from coa-source-ip for user username , with session ID: audit-session-id , changing authorization attributes
说明:ASA已成功为会话 ID 为 audit-session-id 的用户 username 处理来自 coa-source-ip 的 CoA 策略更新请求。ASA 收到授权策略更新的更改,对其进行验证并应用后,将生成此系统日志消息。在非错误情况下,这是在接收和处理授权更改时生成的唯一系统日志消息。
- coa-source-ip - 发起授权请求更改的 IP 地址
- username - 会话正被更改的用户
- audit-session-id - 正在修改的会话的全局 ID
建议的操作:无需执行任何操作。
109101
错误消息 %ASA-6-109101: Received CoA disconnect request from coa-source-ip for user username , with audit-session-id: audit-session-id
说明:ASA已收到针对活动 VPN 会话的格式正确的断开连接请求,并已成功终止连接。
- coa-source-ip - 发起授权请求更改的 IP 地址
- username - 会话正被更改的用户
- audit-session-id - 正在修改的会话的全局 ID
建议的操作:无需执行任何操作。
109102
错误消息 %ASA-4-109102: Received CoA action-type from coa-source-ip , but cannot find named session audit-session-id
说明:ASA已收到授权请求的有效更改,但该请求中指定的会话 ID 与 ASA上的任何活动会话均不匹配。这可能是尝试在用户已关闭的会话上发出授权更改以更改授权服务器所导致的。
- action-type - 请求授权更改操作(更新或断开连接)
- coa-source-ip - 发起授权请求更改的 IP 地址
- audit-session-id - 正在修改的会话的全局 ID
建议的操作:无需执行任何操作。
109103
错误消息 %ASA-3-109103: CoA action-type from coa-source-ip failed for user username , with session ID: audit-session-id .
说明:ASA收到格式正确的授权更改请求,但无法成功处理该请求。
- action-type - 请求授权更改操作(更新或断开连接)
- coa-source-ip - 发起授权请求更改的 IP 地址
- username - 会话正被更改的用户
- audit-session-id - 正在修改的会话的全局 ID
建议的操作:调查相关的 VPN 子系统日志,以确定无法应用更新属性的原因或无法终止会话的原因。
109104
错误消息 %ASA-3-109104: CoA action-type from coa-source-ip failed for user username , session ID: audit-session-id . Action not supported.
说明:ASA 收到格式正确的授权更改请求,但由于 ASA不支持指示的操作,因此未处理该请求。
- action-type - 请求授权更改操作(更新或断开连接)
- coa-source-ip - 发起授权请求更改的 IP 地址
- username - 会话正被更改的用户
- audit-session-id - 正在修改的会话的全局 ID
建议的操作:无需执行任何操作。
109105
错误消息 %ASA-3-109105: Failed to determine the egress interface for locally generated traffic destined to <protocol> <IP>:<port>.
说明:当接口是 BVI 时,如果没有任何路由,则 ASA有必要记录系统日志。显然,如果存在默认路由并且它没有将数据包路由到正确的接口,则无法对其进行跟踪。对于 Firepower 威胁防御,系统会在数据接口之后先查找管理路由。因此,如果默认路由将数据包路由到不同的目的地,则很难进行跟踪。
建议的操作:强烈建议为正确的目的地添加默认路由或添加静态路由。
反馈