错误消息 %ASA-3-201002: Too many TCP connections on {static|xlate} global_address ! econns nconns

说明：已超出到指定全局地址的最大 TCP 连接数。

• econns - 最大初期连接数
• nconns - 针对静态或转换全局地址允许的最大连接数

建议的操作：使用 show static 或 show nat 命令检查对静态地址连接施加的限制。可配置该限制。

错误消息 %ASA-2-201003: Embryonic limit exceeded nconns/elimit for outside_address/outside_port (global_address ) inside_address /inside_port on interface interface_name

说明：从带有指定的静态全局地址的指定外部地址到指定本地地址的初期连接数超出初期限制。当达到 ASA的初期连接限制时，ASA无论如何都会尝试接受这些连接，但会对它们施加时间限制。在这种情况下，即便 ASA非常繁忙，也会允许部分连接成功。此消息表示出现了比消息 201002 更严重的过载，这可能是由于 SYN 攻击或大量的合法流量所导致的。

• nconns - 接收到的最大初期连接数
• eimit - 使用 static 或 nat 命令指定的最大初期连接数

建议的操作：使用 show static 命令检查对静态地址的初期连接施加的限制。

错误消息 %ASA-3-201004: Too many UDP connections on {static|xlate} global_address!udp connections limit

说明：已超出到指定全局地址的最大 UDP 连接数。

• udp conn limit - 静态地址或转换允许的最大 UDP 连接数

建议的操作：使用 show static 或 show nat 命令检查对静态地址连接施加的限制。您可以配置该限制。

错误消息 %ASA-3-201005: FTP data connection failed for IP_address IP_address

说明：由于内存不足，ASA无法分配结构来跟踪 FTP 的数据连接。

建议的操作：减少内存使用量或购买额外内存。

错误消息 %ASA-3-201006: RCMD backconnection failed for IP_address/port.

说明：由于内存不足，ASA无法为 rsh 命令的入站标准输出预分配连接。

建议的操作：检查 rsh 客户端版本；ASA仅支持 Berkeley rsh 客户端版本。您还可以减少内存使用量或购买额外内存。

错误消息 %ASA-3-201008: Disallowing new connections.

说明：您已启用 TCP 系统日志消息传递并且无法访问系统日志服务器，或者使用 ASA 系统日志服务器 (PFSS) 并且 Windows NT 系统上的磁盘已满时，或者配置了自动更新超时并且自动更新服务器无法访问时，会出现此错误消息。

建议的操作 ：禁用 TCP 系统日志消息传递。如果使用 PFSS，则释放 PFSS 所在的 Windows NT 系统上的空间。此外，确保系统日志服务器已启动并且您可以从 ASA 控制台 Ping 通主机。然后，重新启动 TCP 系统消息日志记录以允许流量通过。如果一段时间未与 Auto Update Server 通信，请输入 [no] auto-update timeout period 命令，以使其停止发送数据包。

错误消息 %ASA-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded

说明：已超出通往指定静态地址的最大连接数。

• number - 针对该主机允许的最大连接数
• IP_address - 主机 IP 地址
• interface_name - 该主机所连接接口的名称

建议的操作：使用 show static 或 show nat 命令检查对地址连接施加的限制。可配置该限制。

错误消息 %ASA-6-201010: Embryonic connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name

说明：由于超出了初期连接限制而导致尝试建立 TCP 连接的操作失败，其中该限制是使用针对某个流量类别的 set connection embryonic-conn-max MPC 命令配置的。

• econns - 与配置的流量类别关联的初期连接的当前计数。
• limit - 为该流量类别配置的初期连接限制
• dir - 输入：发起连接的第一个数据包是接口 interface_name 上的输入数据包；输出：发起连接的第一个数据包是接口 interface_name 上的输出数据包
• source_address/source_port - 源实际 IP 地址和发起连接的数据包的源端口
• dest_address/dest_port - 目的实际 IP 地址和发起连接的数据包的目的端口
• interface_name - 强制实施策略限制的接口的名称

建议的操作：无需执行任何操作。

错误消息 %ASA-3-201011: Connection limit exceeded cnt /limit for dir packet from sip /sport to dip /dport on interface if_name .

说明：通过 ASA的新连接导致超出至少一个已配置的最大连接限制。此消息既适用于使用 static 命令配置的连接限制，也适用于使用思科模块化策略框架配置的连接限制。直到一个现有连接断开，使得当前连接计数低于配置的最大值，系统才会允许通过 ASA的新连接。

• cnt - 当前连接计数
• limit - 配置的连接限制
• dir - 流量方向（入站或出站）
• sip - 源实际 IP 地址
• sport - 源端口
• dip - 目的实际 IP 地址
• dport - 目的端口
• if_name - 接收流量的接口的名称

建议的操作：无需执行任何操作。

错误消息 %ASA-6-201012: Per-client embryonic connection limit exceeded curr num /limit for [input|output] packet from IP_address / port to ip /port on interface interface_name

说明：由于超出了每客户端的初期连接限制，因此尝试建立 TCP 连接的操作失败。默认情况下，此消息的速率限制为每 10 秒 1 条。

• curr num - 当前数量
• limit - 配置的限制
• [input|output] - 接口 interface_name 上的输入或输出数据包
• IP_address - 实际 IP 地址
• port - TCP 或 UDP 端口
• interface_name - 在其中应用策略的接口的名称。

建议的操作：达到限制后，将由 ASA代理任何新的连接请求，以防止 SYN 泛洪攻击。只有在客户端能够完成三次握手的情况下，ASA才会连接到服务器。这通常不会影响最终用户或应用。但是，如果这给对较高数量的初期连接有合法需求的任何应用造成问题，则可以通过输入 set connection per-client-embryonic-max 命令来调整设置。

错误消息 %ASA-3-201013: Per-client connection limit exceeded curr num /limit for [input|output] packet from ip /port to ip /port on interface interface_name

说明：由于超出了每客户端的连接限制，连接被拒绝。

• curr num - 当前数量
• limit - 配置的限制
• [input|output] - 接口 interface_name 上的输入或输出数据包
• ip - 实际 IP 地址
• port - TCP 或 UDP 端口
• interface_name - 在其中应用策略的接口的名称。

建议的操作：达到限制后，系统将以静默方式丢弃任何新的连接请求。通常，应用将重试连接，如果所有重试操作都失败，则将导致延迟甚至超时。如果应用对较高数量的初期连接有合法需求，则可以输入 set connection per-client-max 命令来调整设置。

错误消息：%ASA-3-202001: Out of address translation slots!

说明：ASA 没有更多可用的地址转换插槽。

建议的操作：对比内部网络客户端数量来检查全局池的大小。可能需要 PAT 地址。或者，缩短转换和连接的超时间隔。内存不足也可能导致出现此错误消息；因此，请降低内存使用量，或者如有可能，购买更多内存。

错误消息：%ASA-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port

说明：连接对象 (xlate) 在错误的列表中。

建议的操作：联系思科 TAC。

错误消息 %ASA-3-202010: [NAT | PAT] pool exhausted for pool-name , port range [1-511 | 512-1023 | 1024-65535]. Unable to create protocol connection from in-interface :src-ip /src-port to out-interface :dst-ip /dst-port

说明

• pool-name - NAT 或 PAT 池的名称
• protocol - 用于创建连接的协议
• in-interface - 入口接口
• src-ip - 源 IP 地址
• src-port - 源端口
• out-interface - 出口接口
• dest-ip - 目的 IP 地址
• dst-port - 目的端口

ASA没有更多可用的地址转换池。

建议的操作：使用 show nat pool 和 show nat detail 命令确定该池中所有地址和端口都已用完的原因。如果在正常条件下发生这种情况，则向 NAT/PAT 池添加更多的 IP 地址。

错误消息 %ASA-3-202016: "%d: Unable to pre-allocate SIP %s secondary channel for message" \ "from %s:%A/%d to %s:%A/%d with PAT and missing port information.\n"

说明

当 SIP 应用生成 SDP 负载并将媒体端口设置为 0 时，您无法为此类无效端口请求分配 PAT 转换，并丢弃包含此系统日志的数据包。

建议的操作：无。这属于应用特定问题。

错误消息 %ASA-3-208005: (function:line_num) clear command return code

说明：当 ASA尝试清除闪存中的配置时，收到了非零值（内部错误）。此消息包含报告子例程文件名和行号。

建议的操作：出于性能原因，应将终端主机配置为不注入 IP 分段。此配置更改可能是由于 NFS 造成的。请将读取和写入大小设置为等于 NFS 的接口 MTU。

错误消息 %ASA-4-209003: Fragment database limit of number exceeded: src = source_address , dest = dest_address , proto = protocol , id = number

说明：当前等待重组的 IP 分段过多。默认情况下，最大分段数为 200（要提高最大值，请参阅命令参考指南中的 fragment size 命令）。ASA限制可以同时重组的 IP 分段的数量。此限制可防止在异常网络条件下 ASA内存耗尽。通常情况下，分段流量应占总流量组合的一小部分。例外情况是在通过 UDP 传输 NFS 的网络环境中，大部分流量都是分段流量；如果此类流量通过 ASA中继，则应考虑改用 TCP 传输 NFS。要防止分段，请参阅命令参考指南中的 sysopt connection tcpmss bytes 命令。

建议的操作：如果此消息仍然存在，则表示可能正在发生拒绝服务 (DoS) 攻击。联系远程对等体管理员或上游提供商。

错误消息 %ASA-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes : src = source_address , dest = dest_address , proto = protocol , id = number

说明：IP 分段格式不正确。重组 IP 数据包的总大小超过了允许的最大大小，即 65,535 字节。

建议的操作：可能正在发生入侵事件。如果此消息仍然存在，请联系远程对等体管理员或上游提供商。

错误消息 %ASA-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.

说明：ASA不允许将任何 IP 数据包分为超过 24 个分段。有关详细信息，请参阅命令参考指南中的 fragment 命令。

建议的操作：可能正在发生入侵事件。如果此消息仍然存在，请联系远程对等体管理员或上游提供商。您可以使用 fragment chain xxx interface_name 命令更改每数据包的分段数。

错误消息 %ASA-3-210001: LU sw_module_name error = number

说明：发生了状态故障切换错误。

建议的操作：如果通过 ASA减少流量后，此错误仍然存在，则向思科 TAC 报告此错误。

错误消息 %ASA-3-210002: LU allocate block (bytes ) failed.

说明：状态故障切换无法分配内存块，用以将状态信息传输到备用 ASA。

建议的操作：使用 show interface 命令检查故障切换接口，以确保其传输正常。此外，使用 show block 命令检查当前块内存。如果任何内存块内的当前可用数量为 0，则重新加载 ASA软件以恢复丢失的内存块。

错误消息 %ASA-3-210003: Unknown LU Object number

说明：状态故障切换接收到不受支持的逻辑更新对象，并且无法处理此对象。这可能是由内存损坏、局域网传输和其他事件引起的。

建议的操作：如果只是偶尔遇到此错误，则不需要执行任何操作。如果频繁发生此错误，则检查状态故障切换链路的局域网连接情况。如果错误不是故障切换链路的局域网连接故障引起的，则确定是否有外部用户试图危害受保护的网络。此外，请检查客户端是否配置错误。

错误消息 %ASA-3-210005: LU allocate secondary (optional ) connection failed for protocol [TCP |UDP ] connection from ingress interface name :Real IP Address /Real Port to egress interface name :Real IP Address /Real Port

说明：状态故障切换无法分配备用设备上的新连接。这可能是由 ASA内几乎没有或完全没有可用 RAM 内存引起的。

注	系统日志消息中的 secondary 字段可选，仅在辅助连接条件下出现。

建议的操作：使用 show memory 命令检查可用内存，以确保 ASA有空余内存。如果没有可用内存，则向 ASA 添加更多物理内存。

错误消息 %ASA-3-210006: LU look NAT for IP_address failed

说明：状态故障转移无法在备用设备上找到 NAT 组的 IP 地址。主用和备用 ASA可能不同步。

建议的操作：在主用设备上使用 write standby 命令与备用设备同步系统内存。

错误消息 %ASA-3-210007: LU allocate xlate failed for type [static | dynamic ]-[NAT | PAT ] secondary(optional) protocol translation from ingress interface name :Real IP Address /real port (Mapped IP Address /Mapped Port ) to egress interface name :Real IP Address /Real Port (Mapped IP Address /Mapped Port )

说明：状态故障切换未能分配转换插槽记录。

建议的操作：使用 show memory 命令检查可用内存，以确保 ASA有空余内存。如果没有可用内存，则添加更多内存。

错误消息 %ASA-3-210008: LU no xlate for inside_address /inside_port outside_address /outside_port

说明：ASA 找不到状态故障切换连接的转换插槽记录；因此，ASA 无法处理连接信息。

建议的操作：在主用设备上使用 write standby 命令在主用设备与备用设备之间同步系统内存。

错误消息 %ASA-3-210010: LU make UDP connection for outside_address :outside_port inside_address :inside_port failed

说明：状态故障切换无法为 UDP 连接分配新记录。

建议的操作：使用 show memory 命令检查可用内存，以确保 ASA 有空余内存。如果没有可用内存，则添加更多内存。

错误消息 %ASA-3-210020: LU PAT port port reserve failed

说明：状态故障切换无法分配正在使用的特定 PAT 地址。

建议的操作：在主用设备上使用 write standby 命令在主用设备与备用设备之间同步系统内存。

错误消息 %ASA-3-210021: LU create static xlate global_address ifc interface_name failed

说明：状态故障切换无法创建转换插槽。

建议的操作：在主用设备上输入 write standby 命令在主用设备与备用设备之间同步系统内存。

错误消息 %ASA-6-210022: LU missed number updates

说明：状态故障切换为发送到备用设备的每个记录分配一个序列号。当收到的记录序列号与最后更新记录顺序不一致时，系统会认为两者之间有信息丢失，因此发送此错误信息。

建议的操作：除非 LAN 中断，否则请检查两个 ASA设备上的可用内存，确保有足够的内存可用于处理状态信息。使用 show failover 命令监控状态信息更新质量。

错误消息 %ASA-3-211001: Memory allocation Error

说明：ASA 未能分配系统内存。

建议的操作：如果定期出现此消息，可以忽略。如果经常重复出现，请联系思科 TAC。

错误消息 %ASA-3-211003: Error in computed percentage CPU usage value

说明：CPU 使用率百分比大于 100%。

建议的操作：如果定期出现此消息，可以忽略。如果经常重复出现，请联系思科 TAC。

错误消息 %ASA-1-211004: WARNING: Minimum Memory Requirement for ASA version ver not met for ASA image. min MB required, actual MB found.

说明：ASA 不符合此版本的最小内存要求。

• ver - 运行中映像的版本号
• min - 运行已安装映像所需 RAM 的最小数量。

• actual -系统中当前安装的 RAM 的数量

建议的操作：安装所需数量的 RAM。

错误消息 %ASA-3-212001: Unable to open SNMP channel (UDP port port ) on interface interface_number , error code = code

说明：ASA无法从位于此接口上的 SNMP 管理站接收发送至 ASA的 SNMP 请求。通过任何接口上 ASA的 SNMP 流量都不受影响。错误代码如下：

• 错误代码 -1 表示 ASA无法为此接口打开 SNMP 传输。当用户尝试将 SNMP 接受查询的端口更改为已用于另一项功能的端口时，可能发生此错误。在这种情况下，SNMP 使用的端口将重置为传入 SNMP 查询的默认端口 (UDP 161)。
• 错误代码 -2 表示 ASA无法为此接口绑定 SNMP 传输。

建议的操作：在流量减小时 ASA回收其一些资源后，为此接口重新输入 snmp-server host 命令。

错误消息 %ASA-3-212002: Unable to open SNMP trap channel (UDP port port ) on interface interface_number , error code = code

说明：ASA 无法将其 SNMP 陷阱从 ASA发送到位于此接口上的 SNMP 管理站。通过任何接口上 ASA的 SNMP 流量都不受影响。错误代码如下：

• 错误代码 -1 表示 ASA无法为此接口打开 SNMP 陷阱传输。
• 错误代码 -2 表示 ASA无法为此接口绑定 SNMP 陷阱传输。
• 错误代码 -3 表示 ASA无法将陷阱通道设置为只写。

建议的操作：在流量减小时 ASA回收其一些资源后，为此接口重新输入 snmp-server host 命令。

错误消息 %ASA-3-212003: Unable to receive an SNMP request on interface interface_number , error code = code , will try again.

说明：接收发送至 ASA上指定接口的 SNMP 请求时发生了内部错误。错误代码如下：

• 错误代码 -1 表示 ASA找不到此接口支持的传输类型。
• 错误代码 -5 表示 ASA未从此接口的 UDP 通道收到任何数据。
• 错误代码 -7 表示 ASA收到了超出受支持缓冲区大小的传入请求。
• 错误代码 -14 表示 ASA无法确定 UDP 通道的源 IP 地址。
• 错误代码 -22 表示 ASA收到了无效参数。

建议的操作：无需执行任何操作。ASA SNMP 代理返回等待下一个 SNMP 请求。

错误消息 %ASA-3-212004: Unable to send an SNMP response to IP Address IP_address Port port interface interface_number , error code = code

说明：从 ASA向指定主机上的指定接口发送 SNMP 响应时发生了内部错误。错误代码如下：

• 错误代码 -1 表示 ASA找不到此接口支持的传输类型。
• 错误代码 -2 表示 ASA发送了无效参数。
• 错误代码 -3 表示 ASA无法在 UDP 通道中设置目的 IP 地址。
• 错误代码 -4 表示 ASA发送了超出受支持 UDP 分段大小的 PDU 长度。
• 错误代码 -5 表示 ASA无法分配系统块来构建 PDU。

建议的操作：无需执行任何操作。

错误消息 %ASA-3-212005: incoming SNMP request (number bytes) on interface interface_name exceeds data buffer size, discarding this SNMP request.

说明：发送至 ASA的传入 SNMP 请求的长度超出用于在内部处理过程中存储请求的内部数据缓冲区的大小（512 字节）。ASA无法处理此请求。通过任何接口上 ASA的 SNMP 流量都不受影响。

建议的操作：确保 SNMP 管理站重新发送长度更小的请求。例如，尝试在一个请求中仅查询一个 MIB 变量，而不是多个 MIB 变量。可能需要修改 SNMP 管理器软件的配置。

错误消息 %ASA-3-212006: Dropping SNMP request from src_addr /src_port to ifc :dst_addr /dst_port because: reason username

说明：出于以下原因，ASA无法处理向它发送的 SNMP 请求：

• 找不到用户 - 在本地 SNMP 用户数据库中无法找到用户名。
• 用户名超出最大长度 - 在 PDU 中嵌入的用户名超出 SNMP RFC 允许的最大长度。
• 身份验证算法失败 - 密码无效导致身份验证失败或数据包使用了不正确的算法进行身份验证。
• 保密算法失败 - 密码无效导致保密失败或数据包使用了不正确的算法进行加密。
• 错误解密请求 - 解密用户请求的平台加密模块中发生了错误。
• 错误加密响应 - 加密用户响应或陷阱通知的平台加密模块中发生了错误。
• engineBoots 已达到最大值 - engineBoots 变量已达到最大允许值。有关详细信息，请参阅消息 212011。

注	系统会在所列的每个原因后面显示用户名。

建议的操作：检查 ASA SNMP 服务器设置，并确认 NMS 配置正在使用预期用户、身份验证和加密设置。输入 show crypto accelerator statistics 命令，以隔离平台加密模块中的错误。

错误消息 %ASA-5-212009: Configuration request for SNMP group groupname failed. User username , reason .

说明：用户已尝试更改 SNMP 服务器组配置。引用此组的一个或多个用户没有足够的设置来遵守请求的组更改。

• groupname - 表示组名称的字符串
• username - 表示用户名的字符串
• reason - 表示以下任一原因的字符串：

- 缺少身份验证密码 - 用户已尝试将身份验证添加到组，并且用户未指定身份验证密码

- 缺少隐私密码 - 用户已尝试将隐私添加到组，并且用户未指定加密密码

- 尝试删除引用组 - 用户已尝试删除有用户的组

建议的操作：用户必须在更改组或删除指示的用户前更新指示的用户配置，然后在更改组后重新添加配置。

错误消息 %ASA-3-212010: Configuration request for SNMP user %s failed. Host %s reason .

说明：用户已尝试通过删除引用该用户的一个或多个主机来更改 SNMP 服务器用户配置。每台主机生成一条消息。

• %s - 表示用户名或主机名的字符串
• reason - 表示以下原因的字符串：

- 尝试删除引用用户 - 要从主机中删除的用户的名称。

建议的操作：用户必须在更改用户前更新指示的主机配置或删除指定的主机，然后在更改用户后重新添加它们。

错误消息 %ASA-3-212011: SNMP engineBoots is set to maximum value.Reason : %s User intervention necessary.

例如：

%ASA-3-212011: SNMP engineBoots is set to maximum value. Reason: error accessing persistent data. User intervention necessary.

说明：设备已重新启动 214783647 次，即 engineBoots 变量的最大允许值，或从闪存读取 持续值时发生了错误。engineBoots 值存储在闪存中的 flash:/snmp/ctx-name 文件中，其中 ctx-name 是情景的名称。在单情景模式下，此文件的名称是 flash:/snmp/single_vf. 在多情景模式下，管理情景文件的名称是 flash:/snmp/admin。重新启动期间，如果设备无法 对该文件执行读写操作，则 engineBoots 值将设置为 最大值。

• %s - 表示 engineBoots 值设置为最大允许值的原因的字符串。两个有效字符串分别是“设备重新启动”和“访问持久性数据时出错”。

建议的操作：对于第一个字符串，管理员必须删除 SNMP 第 3 版的所有用户，然后重新添加它们，以将 engineBoots 变量重置为 1。第 3 版的所有后续查询都将失败，直至所有用户都已删除。对于第二个字符串，管理员必须删除特定情景文件，然后删除 SNMP 版本的所有用户，再重新添加它们，以将其 engineBoots 变量重置为 1。第 3 版的所有后续查询都将失败，直至所有用户都已删除。

错误消息 %ASA-3-212012: Unable to write SNMP engine data to persistent storage.

说明：SNMP 引擎数据写入文件 flash:/snmp/context-name。例如：在单情景模式下，数据将写入文件 flash:/snmp/single_vf。在多情景模式下的管理情景中，文件将写入目录 flash:/snmp/admin。此错误可能由未能创建 flash:/snmp 目录或 flash:/snmp/context-name 文件引起。此错误还可能由未能写入文件引起。

建议的操作：系统管理员应删除 flash:/snmp/context-name 文件，然后删除 SNMP 第 3 版的所有用户，再重新添加它们。此程序应重新创建 flash:/snmp/context-name 文件。如果问题仍然存在，系统管理员应尝试重新格式化闪存。

错误消息：%ASA-3-213001: PPTP control daemon socket io string , errno = number .

说明：发生了内部 TCP 套接字 I/O 错误。

建议的操作：联系思科 TAC。

错误消息：%ASA-3-213002: PPTP tunnel hashtable insert failed, peer = IP_address .

说明：创建新的 PPTP 隧道时发生了内部软件错误。

建议的操作：联系思科 TAC。

错误消息：%ASA-3-213003: PPP virtual interface interface_number isn't opened.

说明：关闭 PPP 虚拟接口时发生了内部软件错误。

建议的操作：联系思科 TAC。

错误消息：%ASA-3-213004: PPP virtual interface interface_number client ip allocation failed.

说明：在 IP 本地地址池耗尽后，在向 PPTP 客户端分配 IP 地址时发生内部软件错误。

建议的操作：考虑使用 ip local pool 命令分配更大的地址池。

错误消息：%ASA-3-213005%: Dynamic-Access-Policy action (DAP) action aborted

说明：通过基于用户的授权权限和远程终端设备的安全状态评估结果选择配置的访问策略，从而以动态方式创建 DAP。生成的动态策略指示应终止会话。

建议的操作：无需执行任何操作。

错误消息：%ASA-3-213006%: Unable to read dynamic access policy record.

说明：检索 DAP 策略记录数据时出错，或者缺少操作配置。

建议的操作：配置更改可能会导致删除 DAP 记录。请使用 ASDM 来重新创建 DAP 记录。

错误消息：%ASA-4-213007: L2TP: Failed to install Redirect URL: redirect URL Redirect ACL: non_exist for assigned IP .

说明：由于安装了重定向 URL 并从 ISE 收到 ACL，但 ASA 上不存在重定向 ACL，L2TP 连接发生了错误。

• redirect URL - 用于 HTTP 流量重定向的 URL
• assigned IP - 分配给用户的 IP 地址

建议的操作：在 ASA 上配置重定向 ACL。

错误消息 %ASA-2-214001: Terminating manager session from IP_address on interface interface_name . Reason: incoming encrypted data (number bytes) longer than number bytes

说明：发送至 ASA 管理端口的传入加密数据包指示数据包长度超出规定上限。这可能是恶意事件。ASA将立即终止此管理连接。

建议的操作：确保管理连接已由思科安全策略管理器启动。

错误消息 %ASA-2-215001:Bad route_compress() call, sdb = number

说明：发生了内部软件错误。

建议的操作：联系思科 TAC。

错误消息 %ASA-2-217001: No memory for string in string

说明：操作因内存不足而失败。

建议的操作：如果有足够内存，请向思科 TAC 发送错误消息、配置和有关导致此错误的事件的任何详细信息。

错误消息 %ASA-n-216001: internal error in: function : message

说明：已发生正常操作期间不会出现的各种内部错误。严重性级别因消息原因而有所不同。

• n - 消息严重性
• function - 受影响组件
• message - 描述问题原因的消息

建议的操作：搜索针对特定文本消息的缺陷工具包，并尝试使用命令输出解释程序来解决问题。如果问题仍然存在，请联系思科 TAC。

错误消息 ASA-3-216002: Unexpected event (major: major_id , minor: minor_id ) received by task_string in function at line: line_num

说明：某任务注册了事件通知，但是此任务无法处理特定事件。可以监视的事件包括与队列、布尔值和计时器服务相关联的事件。如果发生任何注册事件，则调度程序会唤醒任务来处理此事件。如果意外事件唤醒了任务，则会生成此消息，但是此消息不知道如何处理该事件。

如果事件保持未处理状态，则该事件会频繁唤醒此任务以确保受到处理，但是在正常条件下不会发生这种情形。出现此消息时，不一定意味着设备不可用，但必定意味着发生了异常情况，需要进行调查。

• major_id - 事件标识符
• minor_id - 事件标识符
• task_string - 任务为标识自身传递的自定义字符串
• function - 已接收意外事件的功能
• line_num - 代码中的行编号

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-3-216003: Unrecognized timer timer_ptr , timer_id received by task_string in function at line: line_num

说明：意外计时器事件唤醒了任务，但任务不知道如何处理此事件。任务可使用调度程序注册一组计时器服务。如果任何计时器到期，则调度程序将唤醒任务以采取行动。如果无法识别的计时器事件唤醒此任务，则会生成此消息。

如果到期计时器保持未处理状态，则会不间断地唤醒任务以确保其受到处理，但是这并不可取。在正常条件下不会发生这种情形。出现此消息时，不一定意味着设备不可用，但必定意味着发生了异常情况，需要进行调查。

• timer_ptr - 指向计时器的指针
• timer_id - 计时器标识符
• task_string - 任务为标识自身传递的自定义字符串
• function - 已接收意外事件的功能
• line_num - 代码中的行编号

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-4-216004:prevented: error in function at file (line ) - stack trace

说明：已发生正常操作期间不会出现的内部逻辑错误。

• 错误 - 内部逻辑错误。可能的错误包括：

- 例外情况

- 取消引用空指针

- 阵列索引超出范围

- 缓冲区大小无效

- 根据输入写入

- 源和目的地重叠

- 日期无效

- 阵列索引访问偏移

• function - 生成错误的调用函数
• file(line) - 生成错误的文件和行编号
• stack trace - 完整的调用堆栈回溯，以调用函数开始。例如：(“0x001010a4 0x00304e58 0x00670060 0x00130b04”)

建议的操作：如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-1-216005: ERROR: Duplex-mismatch on interface_name resulted in transmitter lockup. A soft reset of the switch was performed.

说明：端口上的双工不匹配导致出现了问题，使端口无法再传输数据包。系统检测到了这种情况，并已将交换机重置为自动恢复。此消息仅适用于 ASA 5505。

• interface_name - 已锁定的接口名称

建议的操作：指定端口与所连接的 ASA 5505 之间存在双工不匹配的情况。将两台设备都设置为自动恢复，或者对两台设备的不匹配双工进行硬编码以将其设置为相同的配置，从而纠正这种双工不匹配的情况。

错误消息 %ASA-2-218001: Failed Identification Test in slot# [fail #/res ].

说明：ASA的插槽 # 中的模块无法识别为正版思科产品。思科担保和支持程序仅适用于正版思科产品。如果思科确定出现支持问题的原因与非思科内存、SSM 模块、SSC 模块或其他模块有关，思科可能会拒绝提供担保或 SmartNet 等思科支持程序项下的支持。

建议的操作：如果屡次出现此消息，则按照控制台或系统日志中的显示正确复制此消息。使用输出解释程序研究并尝试解决此错误。此外，还可以搜索缺陷工具包。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-2-218002: Module (slot# ) is a registered proto-type for Cisco Lab use only, and not certified for live network operation.

说明：指定位置的硬件是来自思科实验室的原型模块。

建议的操作：如果再次出现此消息，则按照控制台或系统日志中的显示正确复制此消息。使用输出解释程序研究并尝试解决此错误。此外，还可以搜索缺陷工具包。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-2-218003: Module Version in slot# is obsolete. The module in slot = slot# is obsolete and must be returned via RMA to Cisco Manufacturing. If it is a lab unit, it must be returned to Proto Services for upgrade.

说明：检测到有过时硬件或已针对此模块运行 show module 命令。第一次显示此消息后，系统会每分钟再显示一次。

建议的操作：如果屡次出现此消息，则按照控制台或系统日志中的显示正确复制此消息。使用输出解释程序研究并尝试解决此错误。此外，还可以搜索缺陷工具包。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-2-218004: Failed Identification Test in slot# [fail# /res ]

说明：识别指定位置中的硬件时出现了问题。

建议的操作：如果屡次出现此消息，则按照控制台或系统日志中的显示正确复制此消息。使用输出解释程序研究并尝试解决此错误。此外，还可以搜索缺陷工具包。如果问题仍然存在，请联系思科 TAC。

错误消息 %ASA-2-218005: Inconsistency detected in the system information programmed in non-volatile memory

说明：编入非易失性存储器程序中的系统信息不一致。如果 ASA检测发现 IDPROM 内容与 ACT2 EEPROM 内容不完全相同，将在启动过程中生成此系统日志。由于 IDPROM 和 ACT2 EEPROM 在制造过程中的编程内容完全相同，这种情况可能是由于制造错误或 IDPROM 内容遭篡改引起的。

建议的操作：如果屡次出现此消息，请收集 show tech-support 命令的输出，并联系思科 TAC。

错误消息 %ASA-3-219002: I2C_API_name error, slot = slot_number , device = device_number , address = address , byte count = count . Reason: reason_string

说明：I2C 串行总线 API 由于硬件或软件问题发生故障。

• I2C_API_name - 发生故障的 I2C API，可能是以下任意一个：
  • I2C_read_byte_w_wait()
  • I2C_read_word_w_wait()
  • I2C_read_block_w_wait()
  • I2C_write_byte_w_wait()
  • I2C_write_word_w_wait()
  • I2C_write_block_w_wait()
  • I2C_read_byte_w_suspend()
  • I2C_read_word_w_suspend()
  • I2C_read_block_w_suspend()
  • I2C_write_byte_w_suspend()
  • I2C_write_word_w_suspend()
  • I2C_write_block_w_suspend()
• slot_number - 发生 I/O 操作（期间生成此消息）的插槽的十六进制编号。插槽号无法作为机箱中插槽的唯一编号。两个不同插槽可能具有相同的 I2C 插槽号，这取决于机箱。此外，具体数值不一定小于或等于插槽数。此值取决于 I2C 硬件的接线方法。
• device_number - 执行 I/O 操作的插槽上设备的十六进制编号
• address - 发生 I/O 操作的设备的十六进制地址
• byte_count - I/O 操作十进制格式的字节计数
• error_string - 错误原因，可能是以下任意一项：
  • I2C_BUS_TRANSACTION_ERROR
  • I2C_CHKSUM_ERROR
  • I2C_TIMEOUT_ERROR
  • I2C_BUS_COLLISION_ERROR
  • I2C_HOST_BUSY_ERROR
  • I2C_UNPOPULATED_ERROR
  • I2C_SMBUS_UNSUPPORT
  • I2C_BYTE_COUNT_ERROR
  • I2C_DATA_PTR_ERROR

建议的操作：执行以下步骤：

1. 记录并查看与该事件相关的消息和错误。如果此消息不持续出现并在几分钟后消失，则可能是因为 I2C 串行总线繁忙。
2. 重新启动 ASA上运行的软件。
3. 重新启动设备。关闭电源后，务必确保等待几秒钟再打开电源。
4. 如果问题仍然存在，请联系思科 TAC。