ID 介于 701001 到 713109 之间的消息
本部分包括 ID 介于 701001 到 713109 之间的消息。
701001
错误消息 %ASA-7-701001: alloc_user() out of Tcp_user objects
说明:如果用户身份验证频率太高而导致模块无法处理新的 AAA 请求,系统将显示 AAA 消息。
建议的操作:通过 floodguard enable 命令启用 Flood Defender 。
701002
错误消息 %ASA-7-701002: alloc_user() out of Tcp_proxy objects
说明:如果用户身份验证频率太高而导致模块无法处理新的 AAA 请求,系统将显示 AAA 消息。
建议的操作:通过 floodguard enable 命令启用 Flood Defender 。
702305
错误消息:%ASA-3-702305: IPSEC: An direction tunnel_type SA (SPI=spi ) between local_IP and remote_IP (username ) is rekeying due to sequence number rollover.
说明:已在 IPsec 隧道接收 40 多亿个数据包,并且正在协商新隧道。
- direction - SA 方向(入站或出站)
- tunnel_type - SA 类型(远程访问或 L2L)
- spi - Ipsec 安全参数索引
- local_IP - 隧道本地终端的 IP 地址
- remote_IP - 隧道远程终端的 IP 地址
- >username - 与 IPsec 隧道关联的用户名
建议的操作:联系对等体管理员比较 SA 生命周期设置。
702307
错误消息:%ASA-7-702307: IPSEC: An direction tunnel_type SA (SPI=spi ) between local_IP and remote_IP (username ) is rekeying due to data rollover.
说明:SA 数据生命周期已过期。与此 SA 一起传输的数据量致使 IPsec SA 正在进行密钥更新。此信息对于调试密钥更新问题有用。
- direction - SA 方向(入站或出站)
- tunnel_type - SA 类型(远程访问或 L2L)
- spi - Ipsec 安全参数索引
- local_IP - 隧道本地终端的 IP 地址
- remote_IP - 隧道远程终端的 IP 地址
- >username - 与 IPsec 隧道关联的用户名
建议的操作:无需执行任何操作。
703001
错误消息 %ASA-7-703001: H.225 message received from interface_name :IP_address /port to interface_name :IP_address /port is using an unsupported version number
说明:ASA收到 H.323 数据包,其中包含不受支持的版本号。ASA可能将数据包的协议版本字段重新编码为最高支持版本。
建议的操作:使用 ASA在 VoIP 网络中支持的 H.323 版本。
703002
错误消息 %ASA-7-703002: Received H.225 Release Complete with newConnectionNeeded for interface_name :IP_address to interface_name :IP_address /port
说明:ASA 收到了指定的 H.225 消息,ASA为两个指定的 H.323 终端打开了新的信令连接对象。
建议的操作:无需执行任何操作。
703008
错误消息 %ASA-7-703008: Allowing early-message: %s before SETUP from %s:%Q/%d to %s:%Q/%d
说明:此消息表示,外部终端请求向内部主机进行传入呼叫,并且希望内部主机向网守先发送 FACILITY 消息再发送 SETUP 消息,同时希望遵循 H.460.18 的要求。
建议的操作:确保设置的确计划根据 H.640.18 中的说明,在传入 H323 呼叫中先允许 FACILITY 消息再允许 SETUP 消息。
709001、709002
错误消息 %ASA-7-709001: FO replication failed: cmd=command returned=code
错误消息 %ASA-7-709002: FO unreplicable: cmd=command
说明:系统仅在开发调试和测试阶段显示故障切换消息。
建议的操作:无需执行任何操作。
709003
错误消息 %ASA-1-709003: (Primary) Beginning configuration replication: Sending to mate.
说明:主用设备开始向备用设备复制配置时,系统会显示此故障切换消息。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
709004
错误消息 %ASA-1-709004: (Primary) End Configuration Replication (ACT)
说明:主用设备完成将自身配置复制到备用设备上时,系统会显示此故障切换消息。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
709005
错误消息 %ASA-1-709005: (Primary) Beginning configuration replication: Receiving from mate.
说明:备用 ASA从主用 ASA接收了配置复制的第一部分。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
709006
错误消息 %ASA-1-709006: (Primary) End Configuration Replication (STB)
说明:备用设备完成复制主用设备发送的配置后,系统会显示此故障切换消息。主设备也可列为辅助设备的辅助设备。
建议的操作:无需执行任何操作。
709007
错误消息 %ASA-2-709007: Configuration replication failed for command
说明:当备用设备无法完成复制主用设备发送的配置时,系统会显示此故障切换消息。消息结尾处将显示导致故障的命令。
建议的操作:如果问题仍然存在,请联系思科 TAC。
709008
错误消息 %ASA-4-709008: (Primary | Secondary) Configuration sync in progress. Command: ‘command ’ executed from (terminal/http) will not be replicated to or executed by the standby unit.
说明:在配置同步期间发出了一条命令,这将触发交互式提示,指出系统不会在备用设备上发出此命令。要继续操作,请注意,系统只会在主用设备上发出此命令,而且不会在备用设备上复制该命令。
- Primary | Secondary - 这是主设备或辅助设备
- command - 在配置同步期间发出的命令
- terminal/http - 从终端或通过 HTTP 发出。
建议的操作:无。
710001
错误消息 %ASA-7-710001: TCP access requested from source_address /source_port to interface_name :dest_address /service
说明:发往 ASA的第一个 TCP 数据包请求建立 TCP 会话。此数据包是三次握手中的第一个 SYN 数据包。当各方(Telnet、HTTP 或 SSH)允许该数据包时,系统将显示此消息。但是,SYN cookie 验证尚未完成,状态未保留。
建议的操作:无需执行任何操作。
710002
错误消息 %ASA-7-710002: {TCP|UDP} access permitted from source_address /source_port to interface_name :dest_address /service
说明:对于 TCP 连接,发往 ASA的第二个 TCP 数据包请求建立 TCP 会话。此数据包是三次握手中的最终 ACK。各方(Telnet、HTTP 或 SSH)已允许该数据包。此外,SYN cookie 验证成功并为 TCP 会话保留了该状态。
对于 UDP 连接,系统已允许连接。例如,该模块从授权的 SNMP 管理站收到一条 SNMP 请求,并且已处理请求。此消息的速率限制为每 10 秒一条消息。
建议的操作:无需执行任何操作。
710003
错误消息 %ASA-3-710003: {TCP|UDP} access denied by ACL from source_IP/source_port to interface_name :dest_IP/service
说明:ASA已拒绝与接口服务的连接尝试。例如,ASA从未授权的 SNMP 管理站收到 SNMP 请求。如果此消息经常出现,则可能表示发生了攻击。
例如:
%ASA-3-710003: UDP access denied by ACL from 95.1.1.14/5000 to outside:95.1.1.13/1005
建议的操作:使用 show run http、show run ssh 或 show run telnet 命令验证是否已将 ASA配置为允许来自主机或网络的服务访问。
710004
错误消息 %ASA-7-710004: TCP connection limit exceeded from Src_ip /Src_port to In_name :Dest_ip /Dest_port (current connections/connection limit = Curr_conn/Conn_lmt)
说明:现已超过服务的 ASA管理连接最大数量。ASA允许每项管理服务最多五个并发管理连接。或者,传入连接计数器中可能发生了错误。
- Src_ip - 数据包的源 IP 地址
- Src_por t - 数据包源端口
- In_ifc - 输入接口
- Dest_ip - 数据包的目的 IP 地址
- Dest_port - 数据包的目的端口
- Curr_conn - 当前传入管理连接数量
- Conn_lmt - 连接限制
建议的操作:在控制台中使用 kill 命令释放不需要的会话。如果由于传入计数器错误而导致生成此消息,请运行 show conn all 命令显示连接详细信息。
710005
错误消息 %ASA-7-710005: {TCP|UDP|SCTP} request discarded from source_address /source_port to interface_name :dest_address /service
说明:ASA没有为 UDP 请求提供服务的 UDP 服务器。而且,不属于 ASA上任何会话的 TCP 数据包可能被丢弃。此外,当 ASA收到具有空负载的 SNMP 请求时,即使请求来自授权主机,也会出现此消息(对于 SNMP 服务)。对于 SNMP 服务,消息最多每 10 秒出现一次,防止日志接收器被淹没。此消息也适用于 SCTP 数据包。
建议的操作:在广泛使用广播服务(例如 DHCP、RIP 或 NetBIOS)的网络中可能经常出现此消息。如果此消息过于频繁出现,则可能表示发生了攻击。
710006
错误消息 %ASA-7-710006: protocol request discarded from source_address to interface_name :dest_address
说明:ASA不具备为 IP 协议请求提供服务的 IP 服务器;例如,ASA接收非 TCP 或 UDP 的 IP 数据包,但 ASA无法为请求提供服务。
建议的操作:在广泛使用广播服务(例如 DHCP、RIP 或 NetBIOS)的网络中可能经常出现此消息。如果此消息过于频繁出现,则可能表示发生了攻击。
710007
错误消息 %ASA-7-710007: NAT-T keepalive received from 86.1.161.1/1028 to outside:86:1.129.1/4500
说明:ASA收到了 NAT-T 保持连接消息。
建议的操作:无需执行任何操作。
711001
错误消息 %ASA-7-711001: debug_trace_msg
说明:您为日志记录功能输入了 logging debug-trace 命令。启用 logging debug-trace 命令后,所有调试消息将重定向至待处理消息。出于安全原因,消息输出必须加密或通过安全的带外网络发送。
建议的操作:无需执行任何操作。
711002
错误消息 %ASA-4-711002: Task ran for elapsed_time msecs, process = process_name , PC = PC Tracebeback = traceback
说明:进程使用 CPU 超过 100 毫秒。此消息用于调试 CPU,并且对于每个违规进程每隔 5 秒显示一次。
- PC - CPU 占用进程的指令指针。
- traceback - CPU 占用进程的堆叠跟踪,最多可以包含 12 个地址
建议的操作:无需执行任何操作。
711003
错误消息 ASA-7-711003: Unknown/Invalid interface identifier(vpifnum ) detected.
说明:发生了正常操作期间本不应发生的内部不一致。但是,此类消息偶尔出现并无危害。如果经常发生,则可能需要调试。
- vpifnum - 与接口对应的 32 位值
建议的操作:如果问题仍然存在,请联系思科 TAC。
711004
错误消息 %ASA-4-711004: Task ran for msec msec, Process = process_name , PC = pc , Call stack = call stack
说明:进程使用 CPU 超过 100 毫秒。此消息用于调试 CPU,并且对于每个违规进程每隔 5 秒显示一次。
- msec - 检测到的 CPU 占用长度(以毫秒为单位)
- process_name - 占用进程的名称
- pc - CPU 占用进程的指令指针。
- call stack - CPU 占用进程的堆叠跟踪,最多可以包含 12 个地址
建议的操作:无需执行任何操作。
711005
错误消息 %ASA-5-711005: Traceback: call_stack
说明:发生了本不应出现的内部软件问题。设备通常可以从此错误中恢复,而且不会影响设备结果。
- call_stack - 调用堆叠的 EIP
建议的操作:联系思科 TAC。
711006
错误消息 %ASA-7-711006: CPU profiling has started for n-samples samples. Reason: reason-string .
说明:CPU 分析已启动。
- n-samples - 指定的 CPU 分析样本数量
- reason-string - 可能的值包括:
“CPU utilization passed cpu-utilization %”
“Process process-name CPU utilization passed cpu-utilization %”
建议的操作:“未指定”
建议的操作:收集 CPU 分析结果,并将其提供给思科 TAC。
713004
错误消息 %ASA-3-713004: device scheduled for reboot or shutdown, IKE key acquire message on interface interface num , for Peer IP_address ignored
说明:ASA从尝试启动隧道的远程实体收到 IKE 数据包。因为系统计划重新启动或关闭 ASA,因此不允许建立更多隧道。IKE 数据包被忽略并丢弃。
建议的操作:无需执行任何操作。
713201
错误消息 %ASA-5-713201: Duplicate Phase Phase packet detected. Action
说明:ASA收到了与先前的第 1 阶段或第 2 阶段重复的数据包,并将传输最后一条消息。可能发生了网络性能或连接问题,导致对等体未及时接收已发送的数据包。
- Phase - 第 1 或第 2 阶段
- Action - 正在重新传输最后一个数据包,或者没有要传输的最后一个数据包。
建议的操作:验证网络性能或连接。
713202
错误消息 %ASA-6-713202: Duplicate IP_addr packet detected.
说明:ASA已收到 ASA已经获知并正在协商的隧道的重复第一个数据包,这表示 ASA可能从对等体收到了重新传输的数据包。
- IP_addr - 发出重复第一个数据包的对等体 IP 地址
建议的操作:除非连接尝试失败,否则无需执行任何操作。如果连接尝试失败,请进一步调试并诊断问题。
713006
错误消息 %ASA-5-713006: Failed to obtain state for message Id message_number , Peer Address: IP_address
说明:ASA不了解接收的消息 ID。此消息 ID 用于标识特定 IKE 第 2 阶段协商。ASA中可能出现了错误情况,也可能是两个 IKE 对等体不同步。
建议的操作:无需执行任何操作。
713008
错误消息 %ASA-3-713008: Key ID in ID payload too big for pre-shared IKE tunnel
说明:ID 负载中收到的密钥 ID 值超过了此 IKE 会话(使用预共享密钥身份验证)组名称的最大允许大小。这是无效值,并且此会话将被拒绝。请注意,由于无法在 ASA中创建如此大小的组名称,因此指定密钥 ID 无法运行。
建议的操作:确保客户端对等体(最有可能是 Altiga 远程访问客户端)指定有效的组名称。通知用户更改客户端上不正确的组名称。组名称的当前最大长度为 32 个字符。
713009
错误消息 %ASA-3-713009: OU in DN in ID payload too big for Certs IKE tunnel
说明:ID 负载收到 DN 中的 OU 值,该值超过了此 IKE 会话(使用证书身份验证)组名称的最大允许大小。系统会跳过此 OU,另一个 OU 或其他条件可能会发现匹配组。
建议的操作:为使客户端能够使用 OU 在 ASA中查找组,组名称的长度必须有效。组名称的当前最大长度为 32 个字符。
713010
错误消息 %ASA-5-713010: IKE area: failed to find centry for message Id message_number
系统尝试使用唯一消息 ID 查找 conn_entry(与 IPsec SA 对应的 IKE 第 2 阶段结构),但操作失败。未找到内部结构,以非标准方式终止会话时可能会出现这个问题,但更有可能是发生了内部错误。
如果此问题仍然存在,请检查对等体。
713012
错误消息 %ASA-3-713012: Unknown protocol (protocol ). Not adding SA w/spi=SPI value
说明:从对等体收到非法或不受支持的 IPsec 协议。
建议的操作:检查对等体上的 ISAKMP 第 2 阶段配置,确保与 ASA兼容。
713014
错误消息 %ASA-3-713014: Unknown Domain of Interpretation (DOI): DOI value
说明:从对等体接收的 ISAKMP ID 不受支持。
建议的操作:检查对等体上的 ISAKMP DOI 配置。
713016
错误消息 %ASA-3-713016: Unknown identification type, Phase 1 or 2, Type ID_Type
说明:从对等体接收的 ID 未知。这个 ID 可能是不熟悉的有效 ID,也可能是无效或已损坏的 ID。
建议的操作:检查前端和对等体上的配置。
713017
错误消息 %ASA-3-713017: Identification type not supported, Phase 1 or 2, Type ID_Type
说明:从对等体接收的第 1 阶段或第 2 阶段 ID 合法,但不受支持。
建议的操作:检查前端和对等体上的配置。
713018
错误消息 %ASA-3-713018: Unknown ID type during find of group name for certs, Type ID_Type
说明:发生了内部软件错误。
建议的操作:如果问题仍然存在,请联系思科 TAC。
713020
错误消息 %ASA-3-713020: No Group found by matching OU(s) from ID payload: OU_value
说明:发生了内部软件错误。
建议的操作:如果问题仍然存在,请联系思科 TAC。
713022
错误消息 %ASA-3-713022: No Group found matching peer_ID or IP_address for Pre-shared key peer IP_address
说明:组位于与对等体指定的值(密钥 ID 或 IP 地址)具有相同名称的组数据库中。
建议的操作:验证对等体上的配置。
713024
错误消息 %ASA-7-713024: Group group IP ip Received local Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port
说明:ASA已从远程对等体收到第 2 阶段本地代理 ID 负载。
建议的操作:无需执行任何操作。
713025
错误消息 %ASA-7-713025: Received remote Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port
说明:ASA已从远程对等体收到第 2 阶段本地代理 ID 负载。
建议的操作:无需执行任何操作。
713028
错误消息 %ASA-7-713028: Received local Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port
说明:ASA已收到远程对等体的第 2 阶段本地代理 ID 负载,其中包括 IP 地址范围。
建议的操作:无需执行任何操作。
713029
错误消息 %ASA-7-713029: Received remote Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port
说明:ASA已收到远程对等体的第 2 阶段本地代理 ID 负载,其中包括 IP 地址范围。
建议的操作:无需执行任何操作。
713032
错误消息 %ASA-3-713032: Received invalid local Proxy Range IP_address - IP_address
说明:本地 ID 负载包括范围 ID 类型,且指定低位地址不小于高位地址。可能存在配置问题。
建议的操作:检查 ISAKMP 第 2 阶段参数的配置。
713033
错误消息 %ASA-3-713033: Received invalid remote Proxy Range IP_address - IP_address
说明:远程 ID 负载包括范围 ID 类型,且指定低位地址不小于高位地址。可能存在配置问题。
建议的操作:检查 ISAKMP 第 2 阶段参数的配置。
713034
错误消息 %ASA-7-713034: Received local IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port
说明:在第 2 阶段 ID 负载中收到了本地 IP 代理子网数据。
建议的操作:无需执行任何操作。
713035
错误消息 %ASA-7-713035: Group group IP ip Received remote IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port
说明:在第 2 阶段 ID 负载中收到了远程 IP 代理子网数据。
建议的操作:无需执行任何操作。
713039
错误消息 %ASA-7-713039: Send failure: Bytes (number ), Peer: IP_address
说明:发生了内部软件错误,并且无法传输 ISAKMP 数据包。
建议的操作:如果问题仍然存在,请联系思科 TAC。
713040
错误消息 %ASA-7-713040: Could not find connection entry and can not encrypt: msgid message_number
说明:发生了内部软件错误,而且找不到第 2 阶段数据结构。
建议的操作:如果问题仍然存在,请联系思科 TAC。
713041
错误消息 %ASA-5-713041: IKE Initiator: new or rekey Phase 1 or 2, Intf interface_number , IKE Peer IP_address local Proxy Address IP_address , remote Proxy Address IP_address , Crypto map (crypto map tag )
说明:ASA正在担任发起者协商隧道。
建议的操作:无需执行任何操作。
713042
错误消息 %ASA-3-713042: IKE Initiator unable to find policy: Intf interface_number , Src: source_address , Dst: dest_address
说明:IPsec 快速路径处理了触发 IKE 的数据包,但是 IKE 策略查找失败。此错误可能与时序相关。在 IKE 处理发起请求之前,触发 IKE 的 ACL 可能已被删除。此问题很有可能会自行更正。
建议的操作:如果这种状况仍然存在,请检查 L2L 配置,特别应注意与加密映射关联的 ACL 类型。
713043
错误消息 %ASA-3-713043: Cookie/peer address IP_address session already in progress
说明:在原始隧道进程中再次触发了 IKE。
建议的操作:无需执行任何操作。
713048
错误消息 %ASA-3-713048: Error processing payload: Payload ID: id
说明:在无法处理的负载中收到了数据包。
建议的操作:如果此问题仍然存在,则对等体上可能存在配置错误。
713049
错误消息 %ASA-5-713049: Security negotiation complete for tunnel_type type (group_name ) Initiator /Responder , Inbound SPI = SPI , Outbound SPI = SPI
说明:已启动 IPsec 隧道。
建议的操作:无需执行任何操作。
713050
错误消息 %ASA-5-713050: Connection terminated for peer IP_address . Reason: termination reason Remote Proxy IP_address , Local Proxy IP_address
说明:IPsec 隧道已终止。可能的终止原因包括:
- IPsec SA Idle Timeout(IPsec SA 空闲超时)
- IPsec SA Max Time Exceeded(超出 IPsec SA 最长时间限制)
- Administrator Reset(管理员重置)
- Administrator Reboot(管理员重启)
- Administrator Shutdown(管理员关闭)
- Session Disconnected(会话断开连接)
- Session Error Terminated(会话错误已终止)
- Peer Terminate(对等体终止)
建议的操作:无需执行任何操作。
713052
错误消息 %ASA-7-713052: User (user ) authenticated.
说明:远程访问用户已通过身份验证。
建议的操作:无需执行任何操作。
713056
错误消息 %ASA-3-713056: Tunnel rejected: SA (SA_name ) not found for group (group_name )!
说明:找不到 IPsec SA。
建议的操作:如果这是远程访问隧道,请检查组和用户配置,并验证是否为特定用户组配置了隧道组和组策略。对于通过外部身份验证的用户和组,请检查返回的身份验证属性。
713060
错误消息 %ASA-3-713060: Tunnel Rejected: User (user ) not member of group (group_name ), group-lock check failed.
说明:用户被配置进入 IPsec 协商中发送的组之外的其他组。
建议的操作:如果使用思科 VPN 客户端和预共享密钥,请确保在客户端上配置的组与 ASA中与用户关联的组相同。如果使用数字证书,则该组由证书的 OU 字段决定,或者用户自动默认为远程访问默认组。
713061
错误消息 %ASA-3-713061: Tunnel rejected: Crypto Map Policy not found for Src:source_address , Dst: dest_address !
说明:ASA无法找到消息中所示的专用网络或主机的安全策略信息。这些网络或主机由发起方发送,与 ASA中的任何加密 ACL 均不匹配。这很可能是配置错误。
建议的操作:检查在双方加密 ACL 中受保护的网络配置,确保发起方的本地网是响应方的远程网,反之亦然。特别注意通配符掩码和主机地址(而不是网络地址)。非思科实施可能具有标记为代理地址或红色网络的专用地址。
713062
错误消息 %ASA-3-713062: IKE Peer address same as our interface address IP_address
说明:配置为 IKE 对等体的 IP 地址与在一个 ASA IP 接口上配置的 IP 地址相同。
建议的操作:检查 L2L 和 IP 接口配置。
713063
错误消息 %ASA-3-713063: IKE Peer address not configured for destination IP_address
说明:未为 L2L 隧道配置 IKE 对等体地址。
建议的操作:检查 L2L 配置。
713065
错误消息 %ASA-3-713065: IKE Remote Peer did not negotiate the following: proposal attribute
说明:发生了内部软件错误。
建议的操作:如果问题仍然存在,请联系思科 TAC。
713066
错误消息 %ASA-7-713066: IKE Remote Peer configured for SA: SA_name
说明:已配置对等体的加密策略设置。
建议的操作:无需执行任何操作。
713068
错误消息 %ASA-5-713068: Received non-routine Notify message: notify_type (notify_value)
说明:导致此事件的通知消息未通过通知处理代码显式处理。
建议的操作:检查具体原因以确定要采取的操作。许多通知消息都会指示 IKE 对等体之间的配置不匹配。
713072
错误消息 %ASA-3-713072: Password for user (user ) too long, truncating to number characters
说明:用户密码过长。
建议的操作:更正身份验证服务器上的密码长度。
713073
错误消息 %ASA-5-713073: Responder forcing change of Phase 1 /Phase 2 rekeying duration from larger_value to smaller_value seconds
说明:密钥更新持续时间始终设置为 IKE 对等体建议的较低值。发起方的值较低。
建议的操作:无需执行任何操作。
713074
错误消息 %ASA-5-713074: Responder forcing change of IPsec rekeying duration from larger_value to smaller_value Kbs
说明:密钥更新持续时间始终设置为 IKE 对等体建议的较低值。发起方的值较低。
建议的操作:无需执行任何操作。
713075
错误消息 %ASA-5-713075: Overriding Initiator's IPsec rekeying duration from larger_value to smaller_value seconds
说明:密钥更新持续时间始终设置为 IKE 对等体建议的较低值。响应方的值较低。
建议的操作:无需执行任何操作。
713076
错误消息 %ASA-5-713076: Overriding Initiator's IPsec rekeying duration from larger_value to smaller_value Kbs
说明:密钥更新持续时间始终设置为 IKE 对等体建议的较低值。响应方的值较低。
建议的操作:无需执行任何操作。
713078
错误消息 %ASA-2-713078: Temp buffer for building mode config attributes exceeded: bufsize available_size , used value
说明:处理 modecfg 属性时发生了内部软件错误。
建议的操作:禁用任何不必要的隧道组属性,或缩短任何过长的文本消息。如果问题仍然存在,请联系思科 TAC。
713081
错误消息 %ASA-3-713081: Unsupported certificate encoding type encoding_type
说明:有一个已加载证书无法读取,而且可能是不受支持的编码方案。
建议的操作:检查数字证书和信任点配置。
713082
错误消息 %ASA-3-713082: Failed to retrieve identity certificate
说明:找不到此隧道的身份证书。
建议的操作:检查数字证书和信任点配置。
713083
错误消息 %ASA-3-713083: Invalid certificate handle
说明:找不到此隧道的身份证书。
建议的操作:检查数字证书和信任点配置。
713084
错误消息 %ASA-3-713084: Received invalid phase 1 port value (port ) in ID payload
说明:IKE 第 1 阶段 ID 负载中收到的端口值不正确。可接受的值为 0 或 500 (ISAKMP 也称为 IKE)。
建议的操作:确保对等体符合 IKE 标准,以免网络问题导致数据包损坏。
713085
错误消息 %ASA-3-713085: Received invalid phase 1 protocol (protocol ) in ID payload
说明:IKE 第 1 阶段 ID 负载中收到的协议值不正确。可接受的值为 0 或 17 (UDP)。
建议的操作:确保对等体符合 IKE 标准,以免网络问题导致数据包损坏。
713086
错误消息 %ASA-3-713086: Received unexpected Certificate payload Possible invalid Auth Method (Auth method (auth numerical value))
说明:系统已收到证书负载,但我们的内部证书句柄表示我们没有身份证书。系统未通过正常的注册方法获取证书句柄。出现这种情况的一种可能原因是,未通过 RSA 或 DSS 签名进行身份验证,但任何一方配置错误也都会导致 IKE SA 协商失败。
建议的操作:检查 ASA 及其对等体上的信任点和 ISAKMP 配置设置。
713088
错误消息 %ASA-3-713088: Set Cert filehandle failure: no IPsec SA in group group_name
说明:系统无法根据数字证书信息找到隧道组。
建议的操作:验证隧道组是否设置正确,可处理对等体的证书信息。
713092
错误消息 %ASA-5-713092: Failure during phase 1 rekeying attempt due to collision
说明:发生了内部软件错误。这通常是良性事件。
建议的操作:如果问题仍然存在,请联系思科 TAC。
713094
错误消息 %ASA-7-713094: Cert validation failure: handle invalid for Main /Aggressive Mode Initiator /Responder !
说明:发生了内部软件错误。
建议的操作:您可能需要重新注册信任点。如果问题仍然存在,请联系思科 TAC。
713098
错误消息 %ASA-3-713098: Aborting: No identity cert specified in IPsec SA (SA_name )!
说明:系统尝试建立基于证书的 IKE 会话,但加密策略中未指定身份证书。
建议的操作:指定您希望向对等体传输的身份证书或信任点。
713099
错误消息 %ASA-7-713099: Tunnel Rejected: Received NONCE length number is out of range!
说明:发生了内部软件错误。
建议的操作:如果问题仍然存在,请联系思科 TAC。
713102
错误消息 %ASA-3-713102: Phase 1 ID Data length number too long - reject tunnel!
说明:IKE 收到的 ID 负载包含的标识数据字段达到 2K 字节或更大。
建议的操作:无需执行任何操作。
713103
错误消息 %ASA-7-713103: Invalid (NULL) secret key detected while computing hash
说明:发生了内部软件错误。
建议的操作:如果问题仍然存在,请联系思科 TAC。
713104
错误消息 %ASA-7-713104: Attempt to get Phase 1 ID data failed while hash computation
说明:发生了内部软件错误。
建议的操作:如果问题仍然存在,请联系思科 TAC。
713105
错误消息 %ASA-3-713105: Zero length data in ID payload received during phase 1 or 2 processing
说明:对等体发送的 ID 负载不包括任何 ID 数据,这是无效的。
建议的操作:检查对等体的配置。
713107
错误消息 %ASA-3-713107: IP_Address request attempt failed!
说明:发生了内部软件错误。
建议的操作:如果问题仍然存在,请联系思科 TAC。
713109
错误消息 %ASA-3-713109: Unable to process the received peer certificate
说明:ASA无法处理从远程对等体接收的证书,可能是由于证书数据格式不正确(例如,公钥大小超过 4096 位),或 ASA无法存储证书中的数据。
建议的操作:尝试使用远程对等体上的其他证书重新建立连接。
反馈