2001

NP_FLOW_TUNNEL_TORN_DOWN

トンネルが切断されます。

このカウンタは、IPSec セキュリティ アソシエーションの削除中に確立されたフローに関連付けられたパケットをアプライアンスが受信すると増加します。

推奨事項：

これは、IPSec トンネルが何らかの理由により切断された場合に見られる正常な状態です。

なし

2002

NP_FLOW_NO_IPV6_IPSEC

IPv6 を介した IPSec はサポートされていません。

このカウンタは、アプライアンスが IPSec ESP パケット、IPSec NAT-T ESP パケット、または IP バージョン 6 ヘッダーにカプセル化された IPSec over UDPESP パケットを受信すると増加します。アプライアンスは現在、IP バージョン 6 にカプセル化された IPSec セッションをサポートしていません。

推奨事項： なし

なし

2003

NP_FLOW_TUNNEL_PENDING

トンネルが起動または切断されています

このカウンタは、アプライアンスがセキュリティ ポリシー データベース（つまり暗号マップ）のエントリと一致するパケットを受信したときに増加しますが、セキュリティ アソシエーションはネゴシエート中です。まだ完成していません。

このカウンタは、アプライアンスがセキュリティ ポリシー データベースのエントリと一致するパケットを受信したが、セキュリティ アソシエーションが削除された、または削除中の場合にも増加します。この表示と「トンネルが切断されました」という表示の違いは、後者は確立されたフローに対するものであるということです。

推奨事項：

これは、IPSec トンネルがネゴシエートまたは削除されているときに見られる正常な状態です。

なし

2004

NP_FLOW_NEED_IKE

IKE ネゴシエーションを開始する必要があります。

このカウンタは、アプライアンスが暗号化を必要とするが確立された IPSec セキュリティ アソシエーションを持たないパケットを受信すると、増加します。これは通常、LAN-to-LAN IPSec 設定に見られる正常な状態です。この指示により、アプライアンスは宛先ピアとの　ISAKMP ネゴシエーションを開始します。

推奨事項：

アプライアンスで IPSec LAN-to-LAN を設定している場合、この表示は正常であり、問題を示すものではありません。ただし、このカウンタが急速に増加する場合は、ISAKMP ネゴシエーションの完了を妨げる暗号設定エラーまたはネットワークエラーが発生している可能性があります。

宛先ピアと通信可能であることを確認し、show running-config コマンドを使用して、暗号化設定を確認します。

なし

2005

NP_FLOW_VPN_HANDLE_ERROR

VPN ハンドルエラーです。

このカウンタは、VPN ハンドルが既に存在するためにアプライアンスが VPN ハンドルを作成できない場合に増分されます。

推奨事項：

通常の操作の一部として、このカウンタの増分を確認することができます。ただし、カウンタが急速に増分している場合や、VPN ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥によって発生している可能性があります。次のコマンドを使用して、このカウンタに関する詳細情報を収集し、Cisco TAC に連絡して問題をさらに調査してください。

capture name type asp-drop vpn-handle-error

show asp table classify crypto

show asp table vpn-context detail

なし

2006

NP_FLOW_VPN_HANDLE_NOT_FOUND

VPN ハンドルが見つかりません。

このカウンタは、データグラムが暗号化または復号操作にヒットし、データグラムが存在するフローの VPN ハンドルが見つからない場合に増分されます。

推奨事項：

通常の操作の一部として、このカウンタの増分を確認することができます。ただし、カウンタが急速に増分している場合や、VPN ベースのアプリケーションに著しい不適切動作が見られる場合は、ソフトウェアの欠陥によって発生している可能性があります。次のコマンドを使用して、このカウンタに関する詳細情報を収集し、Cisco TAC に連絡して問題をさらに調査してください。

capture name vpn-handle-not-found

show asp table classify crypto

show asp table vpn-context detail

なし

2007

NP_FLOW_IPSEC_SPOOF_DETECT

IPSec スプーフィングパケットが検出されました。

このカウンタは、アプライアンスが暗号化されているはずにもかかわらず暗号化されていないパケットを受信すると、増加します。パケットは、アプライアンスで設定および確立された IPSec 接続の内部ヘッダー セキュリティ ポリシー チェックと一致しましたが、暗号化されずに受信されました。これはセキュリティの問題です。

推奨事項：

ネットワークトラフィックを分析して、スプーフィングされた IPSec トラフィックの送信元を特定します。

402117

2008

NP_FLOW_IPSEC_SP_DETUNNEL_FAIL

IPsec のトンネル解除が失敗しました。

このカウンタは、クリアテキストフローが IPSec トンネルフロー処理に失敗すると増加します。

推奨事項：

show asp drop コマンドを使用して、より詳細なパケットドロップを確認できます。

なし

2009

NP_FLOW_SVC_SPOOF_DETECT

SVC スプーフィングパケットが検出されました。

このカウンタは、セキュリティアプライアンスが暗号化されているはずのパケットを受信すると増加しますが、暗号化されていません。パケットは、セキュリティアプライアンスで設定および確立された SVC 接続の内部ヘッダーのセキュリティポリシーチェックと一致しましたが、暗号化されずに受信されました。これはセキュリティの問題です。

推奨事項：

ネットワークトラフィックを分析して、スプーフィングされた SVC トラフィックの送信元を特定します。

なし

2010

NP_FLOW_SOCKET_SVC_FAILOVER

スタンバイユニットで SVC ソケット接続が切断されています。

このカウンタは、アクティブ装置がフェールオーバー遷移の一部としてスタンバイ状態に移行するときに新規の SVC ソケット接続が切断されると、増分します。

これは、現在のデバイスがアクティブからスタンバイに移行しているときの SVC 接続の通常のクリーンアップの一環です。デバイス上の既存の SVC 接続は無効になり、削除する必要があります。

推奨事項：なし

なし

2011

NP_FLOW_SOCKET_SVC_CONN_REPLACE

SVC 交換接続が確立されました。

このカウンタは、SVC 接続が新しい接続に置き換えられると増加します。

推奨事項：なし

これは、ユーザーが ASA への接続を維持するのに問題があることを示している可能性があります。ユーザーは、ホームネットワークとインターネット接続の品質を評価する必要があります。

722032

2012

NP_FLOW_VPN_SELECTOR_MISMATCH

IPSec VPN 内部ポリシーセレクタの不一致が検出されました。

このカウンタは、トンネルに設定されたポリシーと一致しない内部 IP ヘッダーを含む IPSec パケットが受信されたときに増分されます。

推奨事項：

トンネルの暗号 ACL が正しいこと、および許容可能なすべてのパケットがトンネル ID に含まれていることを確認します。このメッセージが繰り返し表示される場合は、ボックスが攻撃を受けていないことを確認してください。

402116

2013

NP_DROP_FLOW_VPN_EXPIRED

VPN コンテキストの期限が切れました。

このカウンタは、セキュリティアプライアンスが暗号化または復号を必要とするパケットを受信し、操作の実行に必要な ASP VPN コンテキストが無効になると増加します。

推奨事項：

これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

なし

2014

NP_DROP_FLOW_VPN_OVERLAP_CONFLICT

VPN ネットワークの重複が原因で競合しています。

パケットが復号されると、内部パケットが暗号マップの設定に対して検査されます。パケットが受信したものとは異なる暗号マップエントリと一致する場合、パケットはドロップされ、このカウンタが増加します。これの一般的な原因は、類似または重複するアドレス空間を含む 2 つの暗号マップエントリによるものです。

推奨事項：

重複するネットワークがないか VPN 設定を確認してください。暗号マップの順序と ACL での「拒否」ルールの使用を確認します。

なし

2015

NP_DROP_FLOW_VPN_LOCK_ERR

IPSec ロックにエラーが発生しました。

このカウンタは、内部ロックエラーにより VPN フローを作成できない場合に増分されます。

推奨事項：

この状態は通常の操作中には発生しないはずであり、アプライアンスのソフトウェアの問題を示している可能性があります。このエラーが発生した場合は、Cisco Technical Assistance Center（TAC）に連絡してください。

なし

2016

NP_DROP_FLOW_VPN_RECLASSIFY_FAILED

既存の VPN ポリシーに従ってフローを再分類できませんでした。

VPN ポリシーが変更されると、それらのポリシーに一致しなくなったフローは、それらのフローにパケットが到着するときに解放されます。

推奨事項：なし

このカウンタは情報提供であり、予想される動作です。

なし

2017

NP_DROP_FLOW_VPN_MISSING_DECRYPT

復号ポリシーが利用できなかったため、フローを作成できませんでした。

復号ポリシーが完全に初期化される前に、VPN フローの作成が試行されました。これは一時的な状態であり、復号ポリシーのインストールが完了すると解決されます。

推奨事項：

通常の操作の一部として、このカウンタの増分を確認することができます。ただし、カウンタが急速に増加し、トラフィックが中断している場合は、設定の誤りまたはソフトウェアの欠陥が原因である可能性があります。次のコマンドを使用して、このカウンタに関する詳細情報を収集し、Cisco TAC に連絡して問題をさらに調査してください。

capture name type asp-drop vpn-missing-decrypt

show asp table classify

show asp drop

show tech-support

なし

2018

NP_DROP_FLOW_VPN_BAD_DECRYPT_RULE

間違った復号ポリシーがヒットしたため、フローを作成できませんでした。

これは、クラスタリングが有効で、VPN モードが分散に設定されている場合の一時的な状態です。

推奨事項：

通常の操作の一部として、このカウンタの増分を確認することができます。ただし、カウンタが急速に増加し、トラフィックが中断している場合は、設定の誤りまたはソフトウェアの欠陥が原因である可能性があります。次のコマンドを使用して、このカウンタに関する詳細情報を収集し、Cisco TAC に連絡して問題をさらに調査してください。

show asp drop

show tech-support

なし

2019

NP_DROP_FLOW_VPN_INVALID_ENCRYPTION_PACKET

暗号化フラグが設定されていないため、フローはドロップされます。

推奨事項：

通常の操作の一部として、このカウンタの増分を確認することができます。ただし、カウンタが急速に増加し、トラフィックが中断している場合は、設定の誤りまたはソフトウェアの欠陥が原因である可能性があります。次のコマンドを使用して、このカウンタに関する詳細情報を収集し、Cisco TAC に連絡して問題をさらに調査してください。

show asp drop

show tech-support

なし

2020

NP_FLOW_OUT_OF_MEMORY

フローを完了するためのメモリがありません。

このカウンタは、メモリ不足のためにアプライアンスがフローを作成できない場合に増分されます。

推奨事項：

現在の接続を確認して、アプライアンスが攻撃を受けていないことを確認します。また、設定したタイムアウト値が大きすぎるために、アイドル状態のフローがメモリに長時間常駐していないかどうかも確認します。

show memory コマンドを発行して、使用可能な空きメモリをチェックします。空きメモリが少ない場合は、show processes memory コマンドを発行し、どのプロセスがメモリーの大部分を使用しているかを判別してください。

なし

2021

NP_FLOW_PARENT_CLOSED

親フローが終了しました。

従属の親フローが終了すると、従属フローも終了します。たとえば、FTP データフロー（従属フロー）は、その制御フロー（親フロー）が終了すると終了します。セカンダリフロー（ピンホール）がその制御アプリケーションによって終了した場合も同様です。たとえば、BYE メッセージを受信すると、SIP 検査エンジン（制御アプリケーション）により、対応する SIP RTP フロー（セカンダリフロー）は終了します。

推奨事項：なし

なし

2022

NP_FLOW_CLOSED_BY_FIXUP

インスペクションによりフローが終了しました。

アプリケーション検査中にエラーが検出されるとフローが終了します。たとえば、H323 メッセージの検査中にエラーが検出された場合、対応する H323 フローは終了します。

推奨事項：なし

なし

2023

NP_FLOW_FO_PRIMARY_CLOSED

フェールオーバープライマリが終了しました。

スタンバイユニットがアクティブユニットからフロー削除メッセージを受信し、フローを終了しました。

推奨事項：

アプライアンスがステートフルフェールオーバーを実行している場合、このカウンタは、スタンバイアプライアンスで切断された複製された接続ごとに増分する必要があります。

302014、302016、302018

2024

NP_FLOW_FO_STANDBY

フェールオーバースタンバイによってフローが終了しました。

through-the-box パケットがスタンバイ状態のアプライアンスまたはコンテキストに到着し、フローが作成されると、パケットはドロップされ、フローが削除されます。このカウンタは、この方法でフローが削除されるたびに増分します。

推奨事項：

このカウンタは、アクティブなアプライアンスまたはコンテキストで増分されないようにする必要があります。ただし、スタンバイアプライアンスまたはコンテキストで増分するのは正常です。

302014、302016、302018

2025

NP_FLOW_FO_REP_ERR

スタンバイ フロー レプリケーションのエラーが発生しました。

スタンバイユニットがフローの複製に失敗しました。

推奨事項：

アプライアンスが VPN トラフィックを処理している場合は、IKE SA 情報よりも先にフローが複製されるため、このカウンタはスタンバイ装置上で常に増分しています。この場合、アクションは不要です。アプライアンスが VPN トラフィックを処理していない場合、これはソフトウェアの欠陥を示しています。スタンバイユニットで debug fover fail コマンドを使用し、デバッグ出力を収集して、問題を Cisco TAC に報告します。

302014、302016、302018

2026

NP_FLOW_LOOPBACK

フローはループバックです。

次の条件によりフローが終了します：1）フローに U ターントラフィックが存在する場合、および 2）same-security-traffic permit intra-interface が設定されていない場合。

推奨事項：

インターフェイスで U ターントラフィックを許可するには、same-security-traffic permit intra-interface を使用してインターフェイスを設定します。

なし

2027

NP_FLOW_ACL_DROP

フローはアクセスルールによって拒否されます。

302014、302016、302018、302021、305010、305012、609002 このルールは、ボックスが表示されたとき、さまざまな機能がオンまたはオフになったとき、ACL がインターフェイスまたはその他の機能に適用されたときに作成されるデフォルトのルールである可能性があります。デフォルトの規則のドロップを除き、フローが拒否される理由は次のとおりです。

• ACL がインターフェイスに設定されている

• AAA および AAA 用に設定された ACL によりユーザーが拒否された。

• Through-the-box トラフィックを通過して管理専用インターフェイスに到達した。

• IPSec がイネーブルになっているインターフェイスに、暗号化されていないトラフィックが到達した。

• ACL の末尾で ip any any を使用して暗黙的に拒否。

推奨事項：

パケットとフローのドロップに関連する syslog メッセージを探します。

なし

2028

NP_FLOW_ACL_DROP_RECLASSIFY

再分類後、フローはアクセスルールによって拒否されます。

このカウンタは、ACL ルールの再分類中にドロップルールがパケットにヒットすると増分されます。

推奨事項：

パケットとフローのドロップに関連する syslog メッセージを探します。

なし

2029

NP_FLOW_PINHOLE_TIMEOUT

ピンホールがタイムアウトしました。

このカウンタは、アプライアンスがセカンダリフローを開いたことを報告するために増分されますが、タイムアウト間隔内にこのフローを通過したパケットがないため、削除されました。セカンダリフローの例は、FTP 制御チャネルでのネゴシエーションが成功した後に作成される FTP データチャネルです。

推奨事項：なし

なし

2030

NP_FLOW_HOST_REMOVED

ホストが削除されました。

clear local-host コマンドに応答してフローが削除されました。

これは情報カウンタです。

推奨事項：なし

302014、302016、302018、302021、305010、305012、609002

2031

NP_FLOW_XLATE_REMOVED

Xlate がクリアされました。

clear xlate または clear local-host コマンドに応答してフローが削除されました。

これは情報カウンタです。

推奨事項：なし

302014、302016、302018、302021、305010、305012、609002

2032

NP_FLOW_TIMEOUT

接続がタイムアウトされました。

非アクティビティ タイマーの期限切れのためフローが終了した場合、このカウンタが増分します。

推奨事項：なし

302014、302016、302018、302021

2033

NP_FLOW_CONN_LIMIT_EXCEEDED

接続制限値を超えました。

接続制限値を超えたためにフローが終了します。接続制限値は set connection conn-max コマンドを使用して設定されます。

推奨事項：なし

201011

2034

NP_FLOW_TCP_FINS

TCP FIN です。

TCP FIN パケットを受信した時に TCP フローが終了します。このカウンタは、FIN で正常に終了する TCP 接続ごとに増分します。

推奨事項：なし

302014

2035

NP_FLOW_SYN_TIMEOUT

SYN タイムアウトです。

初期接続タイマーの期限が切れたために TCP フローが終了します。

推奨事項：

これらが接続の確立に時間がかかる有効なセッションである場合は、初期タイムアウトを増分します。

302014

2036

NP_FLOW_FIN_TIMEOUT

FIN タイムアウトです。

ハーフクローズ接続タイマーの期限が切れたために TCP フローが終了します。

推奨事項：

これらが TCP フローを終了するのに時間がかかる有効なセッションがある場合は、ハーフクローズタイムアウトを増分します。

302014

2037

NP_FLOW_RESET_IN

TCP Reset-I。

TCP リセットがフロー上で受信され、（セキュリティが低いインターフェイスからセキュリティレベルが同じまたは高いインターフェイスへの）発信フローが終了します。

推奨事項：なし

302014

2038

NP_FLOW_RESET_OUT

TCP Reset-O。

TCP リセットがフロー上で受信され、（セキュリティが高いインターフェイスからセキュリティレベルが同じまたは低いインターフェイスへの）発信フローが終了します。

推奨事項：なし

302014

2039

NP_FLOW_RESET_APPLIANCE

TCP Reset-APPLIANCE。

アプライアンスによって TCP リセットが生成されフローが終了します。

推奨事項：なし

302014

2040

NP_FLOW_RECURSE

再帰フローが終了します。

フローが再帰的に解放されました。これは、ペアフロー、マルチキャスト従属フロー、および syslog フローに適用され、これらの従属フローごとに syslog が発行されるのを防ぎます。

推奨事項：なし

なし

2041

NP_FLOW_PROXY_SERVER_NOT_RESPOND

TCP インターセプト、サーバーからの応答がありません。

1 秒ごとに 3 回試行した後 SYN 再送信タイムアウトになりました。サーバーに到達できず、接続が切断されています。

推奨事項：

サーバーが ASA から到達可能かどうかを確認します。

なし

2042

NP_FLOW_PROXY_UNEXPECTED

TCP は予期しない状態をインターセプトします。

TCP インターセプトモジュールの論理エラーで、発生してはなりません。

推奨事項：

これは、TCP インターセプトモジュールのメモリ破損またはその他の論理エラーを示しています。

なし

2043

NP_FLOW_TCPNORM_REXMIT_BAD

TCP の不正な再送信です。

再送信チェック機能が有効になっており、TCP エンドポイントが元のパケットとは異なるデータを再送信すると、TCP フローが終了します。

推奨事項：

TCP エンドポイントは、TCP 再送信で異なるデータを送信することによって攻撃している可能性があります。パケットキャプチャ機能を使用して、パケットの発信元の詳細を確認してください。

302014

2044

NP_FLOW_TCPNORM_WIN_VARIATION

TCP の予期しないウィンドウサイズの変動です。

TCP エンドポイントによってアドバタイズされたウィンドウサイズが、それほど多くのデータを受け入れずに大幅に変更されると、TCP フローが終了します。

推奨事項：

この接続を許可するには、tcp-map の下の window-variation 設定を使用します。

302014

2045

NP_FLOW_TCPNORM_INVALID_SYN

無効な SYN による TCP フローの状態

SYN パケットが無効になると TCP フローが終了します。

推奨事項：

無効なチェックサムや無効な TCP ヘッダーなど、さまざまな理由で SYN パケットが無効になる可能性があります。なぜ SYN パケットが無効になるかを理解するには、パケットキャプチャ機能を使用してください。これらの接続を許可する場合は、tcp-map 設定を使用してチェックをバイパスします。

302014

2046

NP_FLOW_SCTP_DROP_INIT_0_TAG

SCTP INIT には、0 の値の開始タグが含まれています。

SCTP INIT チャンクに 0 の値の開始タグが含まれている場合、このカウンタは増分され、フローはドロップされます。

推奨事項：なし

なし

2047

NP_FLOW_SCTP_DROP_INITACK_0_TAG

SCTP INIT ACK には、0 の値の開始タグが含まれています。

SCTP INIT ACK チャンクに 0 の値の開始タグが含まれている場合、このカウンタは増分され、フローはドロップされます。

推奨事項：なし

なし

2048

NP_FLOW_SCTP_DROP_INIT_0_STREAM_CNT

SCTP INIT には、0 値のインバウンド/アウトバウンド ストリーム カウントが含まれます。

SCTP INIT チャンクにインバウンド/アウトバウンド ストリーム カウントの値が 0 の場合、このカウンタは増分され、パケットはドロップされます。

推奨事項：なし

なし

2049

NP_FLOW_SCTP_DROP_INIT_TIMEOUT

SCTP INIT がタイムアウトしました（INIT ACK を受信していません）。

SCTP INIT チャンク タイムアウト カウントが制限に達すると、このカウンタが増分され、フローがドロップされます。

推奨事項：

このドロップは、INIT チャンクの受信者が INIT ACK に応答しない場合や、クライアントとサーバーの間に冗長パスがあり、INIT が 1 つのパスになり、INITACK が別のパスに入る場合などに、発生する可能性があります。このエラーが多数発生する場合は、パケットキャプチャを使用して問題を特定してください。

なし

2050

NP_FLOW_SCTP_DROP_COOKIE_TIMEOUT

SCTP Cookie がタイムアウトしました。

SCTP cookie 状態（INITACK または COOKIEECHO を受信した後）のタイムアウトカウントが制限に達すると、このカウンタが増分され、フローがドロップされます。

推奨事項：なし

なし

2051

NP_FLOW_SCTP_DROP_ENDPOINT_ABORT

SCTP はエンドポイントから ABORT を受信しました。

SCTP 中断チャンクが受信されると、このカウンタは増分され、フローはドロップされます。

推奨事項：なし

なし

2052

NP_FLOW_SCTP_DROP_INITACK_0_STREAM_CNT

SCTP INIT ACK には、0 値のインバウンド/アウトバウンド ストリーム カウントが含まれます。

SCTP INIT ACK チャンクにインバウンド/アウトバウンド ストリーム カウントの値が 0 の場合、このカウンタは増分され、パケットはドロップされます。

推奨事項：なし

なし

2053

NP_FLOW_SCTP_DROP_SHUTDOWN_TIMEOUT

SCTP SHUTDOWN がタイムアウトしました（SHUTDOWN ACK を受信していません）。

SCTP SHUTDOWN タイムアウトカウントが制限に達すると、このカウンタが増分され、フローがドロップされます。

推奨事項：なし

なし

2054

NP_FLOW_MCAST_INTRF_REMOVED

マルチキャスト インターフェイスが削除されました。

出力インターフェイスがマルチキャストエントリから削除されたか、すべての出力インターフェイスがマルチキャストエントリから削除されました。

推奨事項：

インターフェイスを削除しただけの場合は、アクションは必要ありません。

すべての出力インターフェイスを削除する場合は、このグループのレシーバがなくなっていることを確認してください。

なし

2055

NP_FLOW_MCAST_ENTRY_REMOVED

マルチキャストエントリが削除されました。

次のいずれかです。

• マルチキャストフローに一致するパケットが着信しましたが、マルチキャストサービスが有効でなくなっていたか、またはマルチキャストフローが作成された後で再度イネーブルにされました。

  推奨事項：ディセーブルになっているマルチキャストを再びイネーブルにします。

• マルチキャストエントリが削除されたため、フローはクリーンアップされていますが、パケットはデータパスに再注入されます。

  推奨事項：アクションは不要です。

なし

2056

NP_FLOW_KILLED_BY_TCP_INTERCEPT

フローは TCP インターセプトによって終了しました。

これが最初の SYN であり、SYN の接続が作成され、TCP インターセプトが SYN Cookie で応答した場合、TCP インターセプトは接続を切断します。またはクライアントより有効な ACK が確認された後、TCP インターセプトがサーバーに SYN を送信した場合、サーバーは RST で応答します。

推奨事項：

TCP インターセプトは通常、最初の SYN の接続を作成しません。ただし、ルールが定められている場合、パケットが VPN トンネルを経由する場合、またはクライアントに到達するためのネクストホップ ゲートウェイ アドレスが解決されない場合を除きます。したがって、最初の SYN の場合、これは接続が作成されたことを示します。TCP インターセプトがサーバーから RST を受信すると、対応するポートがサーバーで閉じられている可能性があります。

なし

2057

NP_FLOW_AUDIT_FAILURE

監査エラーです。

関連するアクションとしてリセットされた ip audit シグニチャを照合した後、フローが解放されました。

推奨事項：

フローの削除がこのシグニチャの一致の望ましい結果ではない場合は、ip audit コマンドからリセットアクションを削除します。

なし

2058

NP_FLOW_CX_REQUEST

フローは CXSC によって終了しました。

CXSC モジュールによって要求されたフローが終了します。

推奨事項：

CXSC モジュールの syslog とアラートを確認してください。

429002

2059

NP_FLOW_CX_FAIL_CLOSE

CXSC フェールクローズ。

CXSC カードがダウンし、CXSC アクションでフェールクローズオプションが使用されたため、フローが終了します。

推奨事項：

CXSC モジュールを確認して起動します。

429001

2060

NP_FLOW_CX_BAD_HDL

CX からのハンドルが正しくないため、ASA によってフローが終了しました。

CX から受け取ったハンドルが無効であるため、フローはドロップされます。

推奨事項：

CXSC モジュールの syslog とアラートを確認してください。

421004

2061

NP_FLOW_RESET_BY_CX

CXSC によりフローがリセットされました。

CXSC モジュールによって要求された TCP フローが終了します。

推奨事項：

CXSC モジュールの syslog とアラートを確認してください。

429003

2062

NP_FLOW_SFR_REQUEST

SFR によりフローが終了しました。

ASA FirePOWER モジュールによって要求されたフローが終了します。

推奨事項：

ASA FirePOWER モジュールの syslog とアラートを確認します。

434002

2063

NP_FLOW_SFR_FAIL_CLOSE

SFR フェールクローズ。

ASA FirePOWER モジュールがダウンし、SRF アクションでフェールクローズオプションが使用されたためにフローが終了します。

推奨事項：

ASA FirePOWER モジュールを確認して起動します。

434001

2064

NP_FLOW_SFR_BAD_HDL

SFR からのハンドルが正しくないため、ASA によってフローが終了しました。

ASA FirePOWER から受け取ったハンドルが無効であるため、フローがドロップします。

推奨事項：

ASA FirePOWER モジュールの syslog とアラートを確認します。

421004

2065

NP_FLOW_RESET_BY_SFR

SFR によりフローがリセットされました。

ASA FirePOWER モジュールによって要求された TCP フローが終了します。

推奨事項：

ASA FirePOWER モジュールの syslog とアラートを確認します。

434003

2066

NP_FLOW_SNORT_FLOW_DROP

フローが SNORT によって終了しました。

Snort モジュールによって要求されたフローが終了します。

推奨事項：

フローを拒否するルールについては、Snort ポリシーを確認してください。

なし

2067

NP_FLOW_IDS_REQUEST

フローは IPS によって終了しました。

IPS モジュールによって要求されたフローが終了します。

推奨事項：

IPS モジュールの syslog とアラートを確認します。

420002

2068

NP_FLOW_IDS_FAIL_CLOSE

IPS がフェールクローズしました。

IPS モジュールがダウンし、IPS 検査でフェールクローズオプションが使用されるとフローが終了します。

推奨事項：

IPS モジュールを確認して起動します。

420001

2069

NP_FLOW_IDS_LICENSE_FAIL_CLOSE

IPS モジュールライセンスが無効になっています。

IPS モジュールライセンスが無効になっていて、IPS 検査でフェールクローズオプションが使用されるとフローが終了します。

推奨事項：

IPS モジュールライセンスが有効になっているアクティベーションキーを適用してください。

420008

2070

NP_FLOW_REINJECT_PUNT

放棄アクションによってフローが終了しました。

このカウンタは、検査や AAA などの拡張サービスの 1 つで処理するためにパケットが例外パスに破棄され、フローを流れるトラフィックの違反を検出したサービスルーチンが、フローをドロップするよう要求した場合に増分されます。フローはすぐにドロップされます。

推奨事項：

詳細については、サービスルーチンによって発行された syslog に注意してください。フロードロップにより、対応する接続が終了します。

なし

2071

NP_FLOW_SHUNNED

フローが排除されました。

排除データベース内にあるホストと一致する送信元 IP アドレスを持つパケットを受信した場合、このカウンタが増分します。shun コマンドが適用されると、shun コマンドに一致する既存のフローごとに増分されます。

推奨事項：なし

401004

2072

NP_FLOW_HOSTLIMIT

フローホストが制限されています。

推奨事項：なし

なし。

2073

NP_FLOW_NAT_FAILED

NAT が失敗しました。

IP またはトランスポートヘッダーを変換するための xlate の作成に失敗しました。

推奨事項：

NAT が必要ない場合は、NAT コマンドを無効にします。それ以外の場合は、ドロップされたフローの NAT ルールを設定します。

305005、305006、305009、305010、305011、305012

2074

NP_FLOW_NAT_RPF_FAILED

NAT リバースパスが失敗しました。

変換されたホストの実際のアドレスを使用して、変換されたホストに接続しようとして拒否されました。

推奨事項：

NAT 経由のホストと同じインターフェイス上にない場合は、実際のアドレスの代わりにマップされたアドレスを使用してホストに接続します。また、アプリケーションに IP アドレスが埋め込まれている場合は、適切な inspect コマンドを有効にします。

305005

2075

NP_FLOW_INSPECT_FAIL

検査が失敗しました。

このカウンタは、アプライアンスが、接続に対して NP によって実行されるプロトコル検査を有効にできない場合に増加します。これは、メモリ割り当ての失敗が原因であるか、または ICMP エラーメッセージの場合、アプライアンスが、ICMP エラーメッセージに埋め込まれたフレームに関連する確立された接続を検出できないことが原因である可能性があります。

推奨事項：

システムのメモリ使用量を確認してください。ICMP エラーメッセージの場合、原因が攻撃である場合は、ACL を使用してホストを拒否できます。

313004

2076

NP_FLOW_NO_INSPECT

検査の割り当てに失敗しました。

このカウンタは、セキュリティアプライアンスが、接続の作成時にランタイム検査のデータ構造を割り当てることができない場合に増加します。接続が切断されます。

推奨事項：

このエラー状態は、セキュリティアプライアンスのシステムメモリが不足した場合に発生します。show memory コマンドを発行して、使用可能な空きメモリをチェックします。

なし

2077

NP_FLOW_RESET_BY_IDS

IPS によりフローがリセットされました。

IPS モジュールによって要求された TCP フローが終了します。

推奨事項：

IPS モジュールの syslog とアラートを確認します。

420003

2078

NP_FLOW_RECLAIMED

非 tcp/udp フローが新しい要求に対して再利用されました。

このカウンタは、新しいフロー用のスペースを確保するために再利用可能なフローが削除されると増分されます。これは、アプライアンスを通過するフローの数が、ソフトウェアによって課された制限により許可されている最大数と等しく、新しいフロー要求が受信された場合にのみ発生します。これが発生した場合、再利用可能なフローの数がアプライアンスで許可されている VPN トンネルの数を超えると、最も古い再利用可能なフローが削除され、新しいフロー用のスペースが確保されます。以下を除くすべてのフローは、再利用可能と見なされます。

• TCP、UDP、GRE およびフェールオーバーフロー

• ICMP フロー（ICMP ステートフル検査がイネーブルの場合）

• アプライアンスへの ESP フロー

推奨事項：

このカウンタがゆっくりと増加している場合は、アクションは不要です。このカウンタが急速に増加している場合は、アプライアンスが攻撃を受けており、アプライアンスがフローの再利用と再構築により多くの時間を費やしていることを意味している可能性があります。

302021

2079

NP_FLOW_NON_TCP_SYN

TCP が非同期です。

最初のパケットが SYN パケットではない場合に TCP フローが終了します。

推奨事項：なし

なし

2080

NP_FLOW_RM_XLATE_LIMIT

RMxlate の制限に達しました。

このカウンタは、コンテキストまたはシステムの xlate の最大数に達して、新しい接続が試行されると増分されます。

推奨事項：

コマンド show resource usage および show resource usage system を使用して、コンテキストおよびシステムリソースの制限と拒否されたカウントを表示し、必要に応じてリソース制限を調整します。

321001

2081

NP_FLOW_RM_HOST_LIMIT

RM ホストの制限に達しました。

このカウンタは、コンテキストまたはシステムのホストの最大数に達し、新しい接続が試行されると増分されます。

推奨事項：

コマンド show resource usage および show resource usage system を使用して、コンテキストおよびシステムリソースの制限と拒否されたカウントを表示し、必要に応じてリソース制限を調整します。

321001

2082

NP_FLOW_RM_INSPECT_RATE_LIMIT

RM インスペクションレート制限に達しました。

このカウンタは、コンテキストまたはシステムの最大検査レートに到達し、新しい接続が試行されると増分されます。

推奨事項：

コマンド show resource usage および show resource usage system を使用して、コンテキストおよびシステムリソースの制限と拒否されたカウントを表示し、必要に応じてリソース制限を調整します。

321002

2083

NP_FLOW_TCPMOD_CONNECT_CLASHED

クライアントとサーバー間での TCP モジュールポートのコリジョンです。

セルフソース TCP 接続は、既存のリスニングサーバーのポートと競合するポートを使用します。

推奨事項：

ゼロ以外の場合、このカウンタはシステム整合性チェックが失敗したことを示します。TAC にお問い合わせください。

なし

2084

NP_FLOW_SSM_APP_REQUEST

フローはサービスモジュールによって終了しました。

このカウンタは、ASA5500 シリーズ適応型セキュリティアプライアンスにのみ適用されます。SSM で実行されているアプリケーションがセキュリティアプライアンスに接続の終了を要求すると、増分されます。

推奨事項：

SSM 自体によって生成されたインシデントレポートまたはシステムメッセージを照会することにより、より多くの情報を取得できます。手順については、SSM に付属のドキュメントを参照してください。

なし

2085

NP_FLOW_SSM_APP_FAIL

サービスモジュールに障害が発生しました。

このカウンタは、ASA5500 シリーズ適応型セキュリティアプライアンスにのみ適用されます。SSM に障害が発生したために、SSM によって検査されている接続が終了すると増分されます。

推奨事項：

セキュリティアプライアンスのコントロールプレーンで実行されているカードマネージャプロセスは、システムメッセージと CLI 警告を発行して障害を通知しました。SSM の障害をトラブルシューティングするには、SSM に付属のドキュメントを参照してください。

421001

2086

NP_FLOW_SSM_APP_INCOMPETENT

サービスモジュールが機能していません。

このカウンタは、ASA5500 シリーズ適応型セキュリティアプライアンスにのみ適用されます。接続が SSM によって検査されることになっているときに増分されますが、SSM はそれを検査できません。このカウンタは今後使用するために予約されています。常に 0 である必要があります。

推奨事項：なし

なし

2087

NP_FLOW_SSL_BAD_RECORD

SSL 不良レコードが検出されました。

このカウンタは、リモートピアから受信した不明な SSL レコードタイプごとに増分されます。ピアから受信した不明なレコードタイプは致命的なエラーとして扱われ、このエラーが発生した SSL 接続を終了する必要があります。

推奨事項：

このカウンタの増分がいつでも見られるのは正常ではありません。このカウンタが増加する場合は、通常、SSL プロトコルの状態がクライアントソフトウェアと同期していないことを意味します。この問題の最も可能性の高い原因は、クライアントソフトウェアのソフトウェアの欠陥にあります。この問題のトラブルシューティングを行うには、クライアントソフトウェアまたは Web ブラウザバージョンを使用して Cisco TAC に連絡し、SSL データ交換のネットワークトレースを提供してください。

なし

2088

NP_FLOW_SSL_HANDSHAKE_FAILED

SSL のハンドシェイクに失敗しました。

このカウンタは、SSL ハンドシェイクが失敗したために TCP 接続が切断されたときに増分されます。

推奨事項：

これは、SSL ハンドシェイクが失敗したために TCP 接続が切断されたことを示しています。ハンドシェイク障害状態によって生成された syslog 情報に基づいて問題を解決できない場合は、Cisco TAC に連絡するときに関連する syslog 情報を含めてください。

725006、725014

2089

NP_FLOW_DTLS_HELLO_CLOSE

DTLS hello が終了しました。

このカウンタは、DTLS クライアントの hello メッセージ処理が終了した後に UDP 接続がドロップされると増分されます。これはエラーを示すものではありません。

推奨事項：なし

なし

2090

NP_FLOW_SSL_MALLOC_ERROR

SSL malloc エラーです。

このカウンタは、SSL ライブラリで発生する malloc 障害ごとに増分されます。これは、SSL がメモリバッファまたはパケットブロックを割り当てることができないメモリ不足状態に遭遇したことを示します。

推奨事項：

セキュリティアプライアンスのメモリとパケットブロックの状態を確認し、Cisco TAC に連絡してください。

なし

2091

NP_FLOW_DROP_SEND_CTM_ERROR

CTM 暗号要求エラーです。

このカウンタは、CTM が暗号化要求を受け入れることができないたびに増分されます。これは通常、暗号ハードウェア要求キューがいっぱいであることを意味します。

推奨事項：

show crypto protocol statistics ssl コマンドを発行し、Cisco TAC に連絡してください。

なし

2092

NP_FLOW_DROP_SSL_DECRYPT_ERROR

SSL レコードの復号に失敗しました。

このカウンタは、SSL データの受信中に復号エラーが発生した場合に増分されます。これは通常、ASA またはピアの SSL コードにバグがあるか、攻撃者がデータストリームを変更している可能性があることを意味します。SSL 接続が終了しました。

推奨事項：

ASA との間の SSL データストリームを調査します。攻撃者がいない場合、これは Cisco TAC に報告する必要のあるソフトウェアエラーを示しています。

なし

2093

NP_FLOW_SOCKET_NOT_ACCEPTED

新しいソケット接続は受け入れられませんでした。

このカウンタは、セキュリティアプライアンスによって受け入れられない新しいソケット接続ごとに増分されます。

推奨事項：

通常の操作の一部として、このカウンタの増分を確認することができます。ただし、カウンタが急速に増加し、ソケットベースのアプリケーションに大きな誤動作がある場合は、ソフトウェアの欠陥が原因である可能性があります。問題をさらに調査するには、Cisco TAC に連絡してください。

なし

2094

NP_FLOW_SOCKET_FAILURE

NP ソケット障害です。

これは、重大なソケット処理エラーの一般的なカウンタです。

推奨事項：

これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

なし

2095

NP_FLOW_SOCKET_RELAY_FAILURE

NP ソケットリレー障害です。

これは、ソケットリレー処理エラーの一般的なカウンタです。

推奨事項：

通常の操作の一部として、このカウンタの増分を確認することができます。ただし、カウンタが急速に増加し、ソケットベースのアプリケーションに大きな誤動作がある場合は、ソフトウェアの欠陥が原因である可能性があります。問題をさらに調査するには、Cisco TAC に連絡してください。

なし

2096

NP_FLOW_SOCKET_DATA_MOVE_FAILED

NP ソケットデータ移動が失敗しました。

このカウンタは、ソケットデータ移動エラーのために増分されます。

推奨事項：

これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

なし

2097

NP_FLOW_SOCKET_NEW_CONN_FAILED

NP ソケットの新しい接続におけるエラーです。

このカウンタは、新しいソケット接続の失敗に対して増分されます。

推奨事項：

これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

なし

2098

NP_FLOW_SOCKET_TRANSP_CLOSED

NP ソケットトランスポートが閉じました。

このカウンタは、ソケットに接続されているトランスポートが突然閉じられたときに増分されます。

推奨事項：

通常の操作の一部として、このカウンタの増分を確認することができます。ただし、カウンタが急速に増加し、ソケットベースのアプリケーションに大きな誤動作がある場合は、ソフトウェアの欠陥が原因である可能性があります。問題をさらに調査するには、Cisco TAC に連絡してください。

なし

2099

NP_FLOW_SOCKET_BLK_CONV_FAILED

NP ソケットブロック変換に失敗しました。

このカウンタは、ソケットブロック変換の失敗に対して増分されます。

推奨事項：

これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

なし

2100

NP_FLOW_SSL_ALERT

SSL よりクローズアラートが受信されました。

このカウンタは、セキュリティアプライアンスがリモートクライアントからクローズアラートを受信するたびに増分されます。これは、クライアントが接続を切断することを通知したことを示しています。これは通常の切断プロセスの一環です。

推奨事項：なし

725007

2101

NP_FLOW_CHILDREN_LIMIT

フローごとに子の最大制限が超えました。

1 つの親フローに関連付けられている子フローの数が内部制限の 200 を超えています。

推奨事項：

このメッセージは、アプリケーションの動作に問題があるか、ファイアウォールメモリを使い果たしようとしていることを示しています。set connection per-client-max コマンドを使用して、制限をさらに微調整します。FTP の場合は、さらに inspect ftp の strict オプションを有効化します。

210005

2102

NP_FLOW_TRACER_DROP

パケットトレーサーのトレースフローがドロップしました。

このカウンタは、トレースが完了すると、解放されたフローに対して、packet-tracer により内部的に使用されます。

推奨事項：なし

なし

2103

NP_FLOW_SP_LOOPING_ADDRESS

ルーピングアドレスです。

このカウンタは、フロー内の送信元アドレスと宛先アドレスが同じ場合に増分されます。アドレスプライバシーが有効になっている SIP フローは除外されます。これは、これらのフローが同じ送信元アドレスと宛先アドレスを持つのが通常であるためです。

推奨事項：

このカウンタは、次の 2 つの条件下で増分する可能性があります。1 つは、アプライアンスが送信元アドレスが宛先と等しいパケットを受信した場合です。これは、DoS 攻撃の一種を表しています。2 つ目は、アプライアンスの NAT 設定が送信元アドレスを宛先のアドレスと等しくなるように設定する場合です。syslog メッセージ 106017 を調べて、カウンタが増加する原因となっている IP アドレスを特定し、パケットキャプチャを有効にして、問題のあるパケットをキャプチャし、追加の分析を実行します。

106017

2104

NP_FLOW_FP_DROP_NO_ADJACENCY

有効な隣接関係がありません。

有効な出力隣接情報がない既存のフローのパケットをセキュリティアプライアンスが受信すると、このカウンタが増分します。これは、ネクストホップに到達できなくなった場合、またはルーティングの変更が発生した場合に発生する可能性があります。通常、動的ルーティング環境で発生します。

推奨事項：なし

なし

2105

NP_FLOW_MIDPATH_SERVICE_FAILURE

NP ミッドパスサービスの障害です。

これは、重大なミッドパスサービスエラーの一般的なカウンタです。

推奨事項：

これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

なし

2106

NP_FLOW_MIDPATH_CP_EVENT_FAILURE

NP ミッドパス CP イベント障害です。

これは、CP に送信できなかった重要な midpath イベントに対するカウンタです。

推奨事項：

これは、ソフトウェアエラーを Cisco TAC に報告する必要があることを示しています。

なし

2107

NP_FLOW_CONTEXT_REMOVED

NP 仮想コンテキストが削除されました。

フローに関連付ける仮想コンテキストが削除された場合、このカウンタが増分します。これは、マルチコア環境で 1 つのコア CPU が仮想コンテキストを破壊中に、もう 1 つのコア CPU がコンテキストにフローを作成しようとした場合に発生する可能性があります。

推奨事項：なし

なし

2108

NP_FLOW_FAILOVER_IDLE_TIMEOUT

アイドルタイムアウトのため、フローがスタンバイユニットから削除されました。

スタンバイユニットがアクティブユニットから定期的な更新を受信しなくなった場合、フローはアイドル状態であると見なされます。これは、フローが動作しているときに内部で固定されていると想定されます。このカウンタは、フローがスタンバイユニットから削除されると増分されます。

推奨事項：なし

なし

2109

NP_FLOW_L4TM_BLACKLIST

フローが動的フィルタのブラックリストに一致しました。

フローは、トラフィックをドロップするように設定された脅威レベルのしきい値よりも高い脅威レベルを持つダイナミック フィルタ ブラックリストまたはグレーリストエントリと一致しました。

推奨事項：

内部 IP アドレスを使用して、感染したホストを追跡します。感染を取り除くための修復手順を実行します。

なし

2110

NP_FLOW_ASA_TEARDOWN

ASA は、フローを破棄するように要求しました。

ASA は、フローの削除を要求しました。

推奨事項：なし

なし

2111

NP_FLOW_PDTS_PUNT_DROP

インスペクタにキューに入れられたセグメントの数が制限に達しました。

このフローでは、インスペクタにキューイングされるパケットの数が制限に達しました。したがって、フローを終了します。

推奨事項：なし

なし

2112

NP_FLOW_DROP_PDTS_RULE_META_FAILED

PDTS ルールメタの割り当てに失敗しました。

このカウンタは、ルールメタの割り当てに失敗すると増分され、フローが終了します。

推奨事項：なし

なし

2113

NP_FLOW_TCP_FULL_PROXY_REQD

完全な TCP プロキシが必要ですが、モニター専用モードでは使用できません。

このフローには完全な TCP プロキシが必要ですが、この機能はモニター専用モードでは使用できません。

推奨事項：なし

なし

2114

NP_FLOW_ROUTE_CHANGE

ルート変更によりフローが終了しました。

システムがより低コスト（より良いメトリック）のルートを追加すると、新しいルートに一致する着信パケットにより、ユーザーが設定したタイムアウト（floating-conn）値の後に、既存の接続が切断されます。後続のパケットは、より適切なメトリックを使用してインターフェイスから接続を再構築します。

推奨事項：

低コストのルートの追加がアクティブフローに影響を与えるのを防ぐために、floating-conn 設定のタイムアウト値を 0:0:0 に設定できます。

なし

2115

NP_FLOW_SVC_SELECTOR_MISMATCH

SVC VPN 内部ポリシーセレクタの不一致が検出されました。

このカウンタは、トンネルのポリシーと一致しない内部 IP ヘッダーを持つ SVC パケットが受信されたときに増分されます。

推奨事項：なし

なし

2116

NP_FLOW_VPATH_LICENSE_FAILURE

vPath ライセンスの失敗により、フローが終了しました。

ASA 1000V のライセンス障害が原因で、フローがドロップされます。

推奨事項：

Nexus 1000V をチェックし、使用中のすべての ASA1000V 仮想マシンをサポートするのに十分な ASA1000V ライセンスがインストールされていることを確認します。

4450002

2117

NP_FLOW_SVC_CONN_TIMER_CB_FAIL

SVC 接続タイマーのコールバック障害です。

この状態は、その接続の非同期ロックキューにイベントを配置する試みが失敗した場合に発生します。

推奨事項：なし

なし

2118

NP_FLOW_SVC_UDP_CONN_TIMER_CB_FAIL

SVC UDP 接続タイマーのコールバック障害です。

この状態は、その接続の非同期ロックキューにイベントを配置する試みが失敗した場合に発生します。

推奨事項：なし

なし

2119

NP_FLOW_NAT64_OR_NAT46_CONVERSION_FAIL

IPv6 から IPv4 への変換またはその逆の変換が失敗しました。

この状態は、IPv6 トラフィックから IPv4 への変換、またはその逆の変換に失敗した場合に発生します。

推奨事項：なし

なし

2120

NP_FLOW_CLUSTER_CFLOW_CLU_OWNER_CLOSED

CLU を使用したクラスタフローは所有者で終了します。

ディレクタ/バックアップユニットは、所有者ユニットからクラスタフロー clu 削除メッセージを受信し、フローを終了しました。

このカウンタは、所有者ユニットで破棄される複製された CLU ごとに増分する必要があります。

推奨事項：なし

なし

2121

NP_FLOW_CLUSTER_CFLOW_STALE_CLU_CLOSED

所有者が古くなったため、CLU を使用したクラスタフローが削除されました。

所有者情報が古いため、クラスタフローが削除されました。通常、これは信頼できるメッセージではないため、CLU_DELETE が欠落しているために古い情報が発生する可能性があります。

推奨事項：なし

なし

2122

NP_FLOW_CLUSTER_CFLOW_CLU_TIMEOUT

CLU を使用したクラスタフローがアイドルタイムアウトのため削除されました。

ディレクター/バックアップユニットが所有者から定期的な更新を受信しなくなった場合、CLU を使用したクラスタフローはアイドル状態と見なされます。これは、フローが稼働しているときに一定の間隔で発生するはずです。

推奨事項：なし

なし

2123

NP_FLOW_CLUSTER_REDIRECT

フローがクラスタリダイレクト分類ルールに一致しました。

その後、スタブ転送フローは、フローを所有するクラスタユニットにパケットを転送します。

このカウンタは情報提供であり、動作は予想されます。パケットは、クラスタ制御リンクを介して所有者に転送されました。

推奨事項：なし

なし

2124

NP_FLOW_CLUSTER_DROP_ON_SLAVE

フローは、クラスタのドロップオンスレーブ分類ルールと一致しました。

これは、レベル 3 サブネットからのパケットがすべてのユニットに表示され、マスターユニットのみがそれらを処理する必要がある場合です。

このカウンタは情報提供であり、予想される動作です。

推奨事項：なし

なし

2125

NP_FLOW_CLUSTER_DIR_CHANGE

クラスタ参加イベントによりフローダイレクタが変更されました。

新しいユニットがクラスタに加わり、現在はフローのディレクタになっています。古いダイレクタ/バックアップはそのフローを削除し、フローの所有者は新しいダイレクタを更新します。

このカウンタは情報提供であり、予想される動作です。

推奨事項：なし

なし

2126

NP_FLOW_CLUSTER_MCAST_OWNER_CHANGE

古いダイレクタ/バックアップはそのフローを削除し、フローの所有者は新しいダイレクタを更新します。

フローは、新しい所有者ユニットで作成されます。このカウンタは情報提供であり、予想される動作です。

推奨事項：なし

なし

2127

NP_FLOW_CLUSTER_CONVERT_TO_DIR_OR_BAK

転送またはリダイレクトフローは、ダイレクタまたはバックアップフローに変換されます。

転送またはリダイレクトフローが削除され、ディレクタまたはバックアップフローを作成できるようになります。このカウンタは情報提供であり、予想される動作です。

推奨事項：なし

なし

2128

NP_FLOW_CLUSTER_MOBILITY_OWNER_REMOVED

フローモビリティにより古い所有者が削除されました。

フローモビリティにより、このフローは別のユニットに移動しました。古い所有者は削除されます。このカウンタは情報提供であり、予想される動作です。

推奨事項：なし

なし

2129

NP_FLOW_CLUSTER_MOBILITY_FWDER_REMOVED

フローモビリティでは、古いフォワーダが削除されています。

フローモビリティにより、このフローは別のユニットに移動しました。この古いフォワーダはバックアップになるため、削除されます。このカウンタは情報提供であり、動作は予想されます。

推奨事項：なし

なし

2130

NP_FLOW_CLUSTER_MOBILITY_BACKUP_REMOVED

フローモビリティのバックアップが削除されました。

フローモビリティにより、このフローは別のユニットに移動しました。新しい所有者とディレクターが異なるノードにいるため、このバックアップは削除されます。このカウンタは情報提供であり、動作は予想されます。

推奨事項：なし

なし

2131

NP_FLOW_CLUSTER_MOBILITY_OWNER_2_DIR

フローモビリティでは、古い所有者/ディレクターがディレクターのみに変更されました。

フローモビリティにより、このフローは別のユニットに移動しました。このユニットは、以前は所有者とディレクタの両方でしたが、現在はディレクタフローのみをホストします。このカウンタは情報提供であり、動作は予想されます。

推奨事項：なし

なし

2132

NP_FLOW_SCANSAFE_SERVER_NOT_REACHABLE

Scansafe サーバーが構成されていないか、クラウドがダウンしています。

scansafe サーバーの IP が scansafe\ 一般オプションで指定されていないか、scansafe サーバーに到達できません。

推奨事項：クラウド Web セキュリティはサポートされなくなりました。

なし

2133

NP_FLOW_REMOVED_BY_CLU_ADD_FORCE

別の所有者によりフローが上書きされ、後でディレクタフローが作成されます。

別のユニットがフローを所有しており、後でその場所にディレクタフローを作成するために、フローを削除するように要求されます。このカウンタは情報提供であり、動作は予想されます。

推奨事項：なし

なし

2134

NP_FLOW_REMOVED_BY_CLU_FWD_FORCE

別の所有者により上書きされ、後にフォワーダになります。

別のユニットがフローを所有しており、後でその場所に転送フローを作成するために、フローを削除するように要求されます。このカウンタは情報提供であり、動作は予想されます。

推奨事項：なし

なし

2135

NP_FLOW_REMOVED_DIRECTOR_CLOSED

フローが削除され、ディレクタが閉じられます。

推奨事項：なし

なし

2136

NP_FLOW_PINHOLE_MASTER_CHANGE

マスターの変更により、バルク同期時にマスターのみのピンホールフローが削除されました。

このカウンタは情報提供であり、動作は予想されます。

推奨事項：なし

302014

2137

NP_FLOW_PARENT_OWNER_LEFT

親フローがなくなったため、一括同期時にフローが削除されました。

親フローの所有者がクラスタを離れたため、一括同期中にフローが削除されます。このカウンタは情報提供であり、動作は予想されます。

推奨事項：なし

302014

2138

NP_FLOW_CLUSTER_CTP_PUNT_CHANNEL_MISSING

CTP パントチャネルが欠落しているため、一括同期時にフローが削除されました。

クラスタで復元されたフローに CTP パントチャネルがないため、バルク同期中にフローが削除されます。

推奨事項：

クラスタマスターがクラスタを離れたばかりである可能性があります。また、クラスタ制御リンクでパケットドロップが発生する可能性があります。

302014

2139

NP_FLOW_DROP_INVALID_VNID

VXLAN セグメント ID が無効です。

このカウンタは、セキュリティアプライアンスがフローに付加された無効な VXLAN セグメント ID を検出すると増分されます。

推奨事項：なし

なし

2140

NP_FLOW_DROP_NO_VALID_NVE_IFC

有効な NVE インターフェイスがありません。

このカウンタは、セキュリティアプライアンスがフローの VNI インターフェイスの NVE インターフェイスを識別できない場合に増分されます。

推奨事項：

NVE がすべてのインターフェイスに設定されていることを確認します。

なし

2141

NP_FLOW_DROP_INVALID_PEER_NVE

ピア NVE が無効です。

このカウンタは、セキュリティアプライアンスがフローのピア NVE の IP アドレスと MAC アドレスを取得できなかった場合に増分されます。

推奨事項：

ピア NVE が NVE 用に構成または学習されていることを確認します。

なし

2142

NP_FLOW_DROP_VXLAN_ENCAP_ERROR

VXLAN でカプセル化できません。

このカウンタは、セキュリティアプライアンスがフローの VXLAN でパケットをカプセル化できなかった場合に増分されます。

推奨事項：なし

なし

2143

NP_FLOW_DROP_NO_ROUTE_TO_PEER_NVE

ピア NVE へのルートはありません。

このカウンタは、セキュリティアプライアンスがピア NVE へのネクストホップを見つけられなかった場合に増分されます。

推奨事項：

ピア NVE が送信元インターフェイスを介して到達可能であることを確認します。

なし

2144

NP_FLOW_DROP_INVALID_VNI_MCAST_IP

VNI インターフェイスのマルチキャスト IP が無効です。

このカウンタは、セキュリティアプライアンスが VNI インターフェイスからマルチキャストグループ IP を取得できなかった場合に増分されます。

推奨事項：

設定されたピア NVE がない場合、VNI インターフェイスに有効なマルチキャストグループ IP が設定されていることを確認します。

なし

2145

NP_FLOW_DROP_MISSING_PEER_VTEP_IP

ピア VTEP IP が見つかりません。

このカウンタは、セキュリティアプライアンスが VXLAN カプセル化の内部宛先 IP のピア VTEP IP を見つけられなかった場合に増分されます。

推奨事項：

show arp vtep-mapping 、show mac-address-table vtep-mapping 、show ipv6 neighbor vtep-mapping 出力で、目的のリモート内部ホストに VTEP IP が存在することを確認します。

なし

2146

NP_FLOW_IFC_ZN_CHG

インターフェイスでゾーンが変更されました。

親インターフェイスがゾーンに参加またはゾーンから離脱したためにフローが終了します。

推奨事項：なし

302014、302016、302018、302021、302304

2147

NP_FLOW_DROP_PDTS_SNORT_INFO_MISSING

Snort は、pdts snort 情報が欠落しているフローを検査しました。

接続に Snort 関連の構造がないためにフローが終了します。

推奨事項：なし

なし

2148

NP_FLOW_IFC_VRF_CHG

インターフェイスで VRF が変更されました。

親インターフェイスの VRF から別の VRF に移動したためにフローが終了します。

推奨事項：なし

なし

2149

NP_FLOW_CLEAN_FOR_VPN_STUB

新しい VPN スタブを作成するためにクリーンアップします。

新しい VPN スタブ接続の準備として競合する接続が破棄されます。

推奨事項：なし

なし

2150

NP_FLOW_CLUSTER_CFLOW_ISAKMP_OWNER_CLOSED

クラスタフローは ISAKMP 所有者のユニットで終了しました。

ダイレクタ/バックアップユニットは、転送ユニットから ISAKMP リダイレクトパケットを受信し、フローを終了しました。

このカウンタは、ISAKMP 所有者ユニットで ISAKMP リダイレクトパケットによって破棄されたフローごとに増加する必要があります。

推奨事項：なし

なし

2151

NP_FLOW_UNABLE_TO_ASSOCIATE_VPN_CONTEXT

VPN コンテキストの関連付けが失敗です。

このカウンタは、システムが VPN コンテキストをクラスタフローに関連付けることができない場合に増加します。

推奨事項：なし

なし

2152

NP_FLOW_DROP_IKE_PKT_BAD_SPI

SPI が破損または期限切れの IKE パケットのフローが削除されました。

SPI が破損または期限切れになったために、このフローの IKE パケットがドロップされると、このカウンタは増分され、フローはドロップされます。

推奨事項：

パケットの発信元に関する詳細情報を取得するには、syslog メッセージを確認してください。この状況は正常であり、一時的である場合があります。ドロップが続く場合は、TAC に連絡してさらに調査してください。

753001

2153

NP_FLOW_TEAR_CONN_RETRANSMIT_TIMEOUT

再送信の最大再試行回数を超えました。

TCP パケットが再送信の最大再試行回数を超え、ピアからの応答がなく、接続が切断されたため、接続が切断されました。

推奨事項：なし

302014

2154

NP_FLOW_PROBE_TEAR_CONN_MAX_RETRANSMITS

再送信のプローブの最大再試行回数を超えました

TCP パケットが再送信の最大プローブ再試行回数を超え、ピアからの応答がなく、接続が切断されたため、接続が切断されました。

推奨事項：なし

302014

2155

NP_FLOW_PROBE_TEAR_CONN_RETRANSMIT_TIMEOUT

プローブの最大再送時間が経過しました。

TCP パケットの最大プローブ時間が経過し、ピアからの応答がなく、接続が切断されたため、接続が切断されました。

推奨事項：なし

302014

2156

NP_FLOW_PROBE_TEAR_CONN_RST

プローブは RST を受信しました。

プローブ接続がサーバーから RST を受信し、接続が切断されたため、接続が切断されました。

推奨事項：なし

302014

2157

NP_FLOW_PROBE_TEAR_CONN_FIN

プローブは FIN を受信しました。

プローブ接続がサーバーから FIN を受信し、接続が切断されたため、接続が切断されました。

推奨事項：なし

302014

2158

NP_FLOW_PROBE_TEAR_CONN_COMPLETE

プローブが完了しました。

プローブ接続が成功したため、接続が切断され、接続が切断されました。

推奨事項：なし

302014

2159

NP_FLOW_CLU_REMOVED_DUP_OWNER

重複した所有者フローが検出されました。後でディレクタフローが作成されます。

別のユニットによりフローが所有されているため、後でその場所にディレクターフローを作成するため、フローを削除する必要があります。このカウンタは情報提供であり、動作は予想されます。

推奨事項：なし

なし

2160

NP_FLOW_CLU_REMOVED_DUP_OWNER_BY_DIR

重複した所有者フローがディレクタによって削除されました。

別のユニットがフローを所有しているため、ディレクタはこのユニットのフローを削除しました。このカウンタは情報提供であり、動作は予想されます。

推奨事項：なし

なし

2161

NP_FLOW_CLU_REMOVED_STALE_STUB

古いスタブフローが所有者によって削除されました。

これは古いスタブフローであるため、所有者はこのユニットのフローを削除しました。このカウンタは情報提供であり、動作は予想されます。

推奨事項：なし

なし

2162

NP_FLOW_INVALID_MAP_ADDR_PORT

MAP アドレス/ポートの組み合わせが無効です。

MAP（アドレスとポートのマッピング）ドメインの基本マッピングルールに一致するアドレスを持つパケットのエンコーディングに一貫性がないか、使用されているポート番号が割り当てられた範囲内にありません。

推奨事項：

MAP BR と CE の設定をチェックして、同じ MAP ドメイン内で一貫していることを確認します。これは、割り当てられていないポートを悪意を持って使用しようとする不正な MAPCE によっても発生する可能性があることに注意してください。

305019, 305020