メッセージ 201002 ~ 210022
この章では、201002 から 210022 までのメッセージについて説明します。
201002
エラーメッセージ %ASA-3-201002: Too many TCP connections on {static|xlate} global_address ! econns nconns
説明指定されたグローバル アドレスへの TCP 接続が最大数を超えました。
- econns:最大初期接続数
- nconns:スタティックまたは xlate グローバル アドレスに許可される最大接続数
推奨アクション show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201003
エラーメッセージ %ASA-2-201003: Embryonic limit exceeded nconns/elimit for outside_address/outside_port (global_address ) inside_address /inside_port on interface interface_name
説明指定されたスタティック グローバル アドレスを持つ、指定された外部アドレスから指定されたローカル アドレスへの初期接続の数が初期接続の制限を超えました。ASAへの初期接続の制限に達すると、ASAは何としても受け入れようと試みますが、その接続に時間制限を課します。この状況により、たとえASAがビジー状態であっても、一部の接続が成功することがあります。このメッセージは、メッセージ 201002 より重大なオーバーロードを示しています。このオーバーロードは、SYN 攻撃、または正規のトラフィックの非常に重い負荷が原因で発生します。
- nconns:受信した最大初期接続数
- elimit:static コマンドまたは nat コマンドで指定された最大初期接続数
推奨アクション show static コマンドを使用して、スタティック アドレスへの初期接続に課されている制限を確認します。
201004
エラーメッセージ %ASA-3-201004: Too many UDP connections on {static|xlate} global_address!udp connections limit
説明指定されたグローバル アドレスへの UDP 接続が最大数を超えました。
-
udp conn limit:スタティック アドレスまたは変換に許可される UDP 接続の最大数
推奨アクション show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201005
エラーメッセージ %ASA-3-201005: FTP data connection failed for IP_address IP_address
説明 ASA が、メモリ不足のため FTP のデータ接続を追跡するための構造を割り当てることができません。
推奨アクション メモリ使用量を減らすか、または増設メモリを購入します。
201006
エラーメッセージ %ASA-3-201006: RCMD backconnection failed for IP_address/port.
説明メモリ不足のため ASA が rsh コマンドに対する着信標準出力のための接続を事前割り当てできません。
推奨アクション rsh クライアント バージョンを確認します。ASA がサポートしているのは Berkeley rsh クライアント バージョンだけです。メモリ使用量を減らすか、または増設メモリを購入することもできます。
201008
エラーメッセージ %ASA-3-201008: Disallowing new connections.
説明 TCP システム ログ メッセージングをイネーブルにしても syslog サーバに到達できないか、ASA syslog サーバ(PFSS)を使用しており Windows NT システムのディスクが満杯になっているか、自動アップデート タイムアウトが設定されており Auto Update Server に到達できません。
推奨アクション TCP Syslog メッセージングを無効にします。PFSS を使用している場合は、PFSS のある Windows NT システム上のスペースを解放します。さらに、syslog サーバが動作しており、ASA コンソールからそのホストに ping できることを確認します。次に、TCP システム メッセージ ロギングを再開してトラフィックを許可します。Auto Update Server に一定期間アクセスしなかった場合、[no] auto-update timeout period コマンドを入力してパケットの送信が停止されるようにします。
201009
エラーメッセージ %ASA-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded
説明指定されたスタティック アドレスへの接続が最大数を超えました。
- number:ホストに許可されている接続の最大数
- IP_address:ホスト IP アドレス
- interface_name:ホストの接続先インターフェイスの名前
推奨アクション show static コマンドおよび show nat コマンドを使用して、アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201010
エラーメッセージ %ASA-6-201010: Embryonic connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name
説明 TCP 接続を確立しようとしたが、トラフィック クラスに対して set connection embryonic-conn-max MPC コマンドで設定されている初期接続の制限を超えたために失敗しました。
- econns:設定したトラフィック クラスに関連付けられている初期接続の現在の数
- limit:設定した初期接続のトラフィック クラスの制限
- dir:input(接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです)または output(接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです)
- source_address/source_port:接続を開始しているパケットの送信元の実際の IP アドレスと送信元ポート
- dest_address/dest_port:接続を開始しているパケットの宛先の実際の IP アドレスと宛先ポート
- interface_name:ポリシー制限が強制されているインターフェイスの名前
推奨アクション必要なし。
201011
エラーメッセージ %ASA-3-201011: Connection limit exceeded cnt /limit for dir packet from sip /sport to dip /dport on interface if_name .
説明 ASA 経由の新しい接続により、少なくとも 1 つの設定済み最大接続制限を超えました。このメッセージは、static コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、ASA 経由の新しい接続は許可されません。
- cnt:現在の接続数
- limit:設定されている接続制限
- dir:トラフィックの方向(着信または発信)
- sip:送信元の実際の IP アドレス
- sport:送信元ポート
- dip:宛先の実際の IP アドレス
- dport:宛先ポート
- if_name:トラフィックを受信したインターフェイスの名前
推奨アクション必要なし。
201012
エラーメッセージ %ASA-6-201012: Per-client embryonic connection limit exceeded curr num /limit for [input|output] packet from IP_address / port to ip /port on interface interface_name
説明 TCP 接続を確立しようとしましたが、クライアントごとの初期接続制限を超えたために失敗しました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。
- curr num:現在の数
- limit:設定されている制限
- [input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット
- IP_address:実際の IP アドレス
- port:TCP ポートまたは UDP ポート
- interface_name:ポリシーが適用されているインターフェイスの名前
推奨アクション制限に達すると、SYN フラッド アタックを防止するために、それ以降の接続要求はすべて ASA によってプロキシされます。クライアントが 3 ウェイ ハンドシェイクを終了できる場合に限り、ASAはサーバに接続します。これは、通常、エンド ユーザにもアプリケーションにも影響しません。ただし、正当に多数の初期接続を必要とするアプリケーションに問題が生じる場合は、set connection per-client-embryonic-max コマンドを入力して設定を調整できます。
201013
エラーメッセージ %ASA-3-201013: Per-client connection limit exceeded curr num /limit for [input|output] packet from ip /port to ip /port on interface interface_name
説明クライアントごとの接続制限を超えたため、接続が拒否されました。
- curr num:現在の数
- limit:設定されている制限
- [input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット
- ip:実際の IP アドレス
- port:TCP ポートまたは UDP ポート
- interface_name:ポリシーが適用されているインターフェイスの名前
推奨アクション制限に達すると、それ以降の接続要求はすべて警告なしで廃棄されます。通常は、アプリケーションで接続が再試行されるため、遅延が発生します。再試行がすべて失敗した場合にはタイムアウトも発生します。アプリケーションが正当に多数の同時接続を必要とする場合は、set connection per-client-max コマンドを入力して設定を調整できます。
202001
エラー メッセージ %ASA-3-202001: Out of address translation slots!
説明 ASA に使用可能なアドレス変換スロットがなくなりました。
推奨アクション グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較します。PAT アドレスが必要になる場合があります。または、変換と接続のタイムアウト間隔を短くします。このエラー メッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または可能であれば増設メモリを購入します。
202005
エラー メッセージ %ASA-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port
説明 接続オブジェクト(xlate)が誤ったリストに入っています。
推奨アクション Cisco TAC にお問い合わせください。
202010
エラーメッセージ %ASA-3-202010: [NAT | PAT] pool exhausted for pool-name , port range [1-511 | 512-1023 | 1024-65535]. Unable to create protocol connection from in-interface :src-ip /src-port to out-interface :dst-ip /dst-port
説明
- pool-name:NAT または PAT プール名
- protocol:接続を作成するために使用されるプロトコル
- in-interface:入力インターフェイス
- src-ip:送信元 IP アドレス
- src-port:送信元ポート
- out-interface:出力インターフェイス
- dest-ip:宛先 IP アドレス
- dst-port:宛先ポート
ASA に使用可能なアドレス変換プールがなくなりました。
推奨アクション プール内のすべてのアドレスとポートを使い果たした原因を特定するには、show nat pool および show nat detail コマンドを使用します。これが通常の状態で発生している場合は、NAT/PAT プールに IP アドレスを追加します。
202016
エラーメッセージ %ASA-3-202016: "%d: Unable to pre-allocate SIP %s secondary channel for message" \ "from %s:%A/%d to %s:%A/%d with PAT and missing
port information.\n"
説明
SIP アプリケーションによってメディア ポートが 0 に設定されている SDP ペイロードが生成された場合、そのような無効なポート要求に PAT xlate を割り当てて、この syslog を含むパケットを廃棄することはできません。
推奨アクションなし。これは、アプリケーション特有の問題です。
208005
エラーメッセージ %ASA-3-208005: (function:line_num) clear command return code
説明 ASA が、フラッシュ メモリ内のコンフィギュレーションを消去しようとしたときに非ゼロ値(内部エラー)を受信しました。このメッセージには、報告サブルーチンのファイル名および行番号が含まれています。
推奨アクション パフォーマンス上の理由から、エンド ホストは IP フラグメントを投入しないように設定する必要があります。このコンフィギュレーションの変更は、NFS が原因と考えられます。読み取りサイズおよび書き込みサイズを NFS のインターフェイス MTU と等しく設定します。
209003
エラーメッセージ %ASA-4-209003: Fragment database limit of number exceeded: src = source_address , dest = dest_address , proto = protocol , id = number
説明現在リアセンブリを待っている IP フラグメントが多すぎます。デフォルトでは、フラグメントの最大数は 200 です(最大値を大きくするには、コマンド リファレンス ガイドの fragment size コマンドを参照してください)。ASAは、同時にリアセンブリできる IP フラグメントの数を制限します。この制約により、異常なネットワーク条件下でASAのメモリが枯渇するのが防止されます。一般に、フラグメント化されたトラフィックは、混合トラフィック全体のわずかな割合に抑える必要があります。例外は、ほとんどがフラグメント化されたトラフィックである NFS over UDP のネットワーク環境の場合です。ASAこのタイプのトラフィックが経由で中継される場合、その代わりに NFS over TCP の使用を検討します。フラグメント化を防ぐには、コマンド リファレンス ガイドの sysopt connection tcpmss bytes コマンドを参照してください。
推奨アクションこのメッセージが引き続き表示される場合は、DoS 攻撃(サービス拒絶攻撃)が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。
209004
エラーメッセージ %ASA-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes : src = source_address , dest = dest_address , proto = protocol , id = number
説明 IP フラグメントの形式が誤っています。リアセンブリ済み IP パケットの合計サイズが、最大可能サイズの 65,535 バイトを超えています。
推奨アクション侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。
209005
エラーメッセージ %ASA-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.
説明 ASA は、24 よりも多くのフラグメントにフラグメント化されている IP パケットを拒否します。詳細については、コマンド リファレンス ガイドの fragment コマンドを参照してください。
推奨アクション侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。fragment chain xxx interface_name コマンドを使用して、パケットあたりのフラグメントの数を変更できます。
210001
エラーメッセージ %ASA-3-210001: LU sw_module_name error = number
説明ステートフル フェールオーバー エラーが発生しました。
推奨アクション ASA 経由のトラフィックが減少した後もこのエラーが引き続き表示される場合は、Cisco TAC にこのエラーを報告してください。
210002
エラーメッセージ %ASA-3-210002: LU allocate block (bytes ) failed.
説明ステートフル フェールオーバーが、ステートフル情報をスタンバイ ASA に送信するためのメモリのブロックを割り当てることができません。
推奨アクション show interface コマンドを使用してフェールオーバー インターフェイスを調べて、その送信が正常であることを確認します。さらに、show block コマンドを使用して、現在のブロック メモリを調べます。現在使用可能なカウントが 0 になっているメモリのブロックがあれば、ASA ソフトウェアをリロードして失われたメモリのブロックを回復します。
210003
エラーメッセージ %ASA-3-210003: Unknown LU Object number
説明ステートフル フェールオーバーが、サポートされていない Logical Update オブジェクトを受信し、そのオブジェクトを処理できませんでした。これは、破損したメモリ、LAN 伝送、または他のイベントが原因となっている可能性があります。
推奨アクションこのエラーがまれにしか表示されない場合は、処置は不要です。このエラーが頻繁に発生する場合は、ステートフル フェールオーバー リンク LAN 接続を確認します。エラーが不適切なフェールオーバー リンク LAN 接続のためでない場合は、外部ユーザが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。また、誤って設定したクライアントがないかどうかも確認します。
210005
エラーメッセージ %ASA-3-210005: LU allocate secondary (optional ) connection failed for protocol [TCP |UDP ] connection from ingress interface name :Real IP Address /Real Port to egress interface name :Real IP Address /Real Port
説明ステートフル フェールオーバーが新しい接続をスタンバイ装置に割り当てることができません。これは、ASA内の利用可能な RAM メモリがほとんどないか、またはまったくないことが原因となっている可能性があります。
(注) |
syslog メッセージの secondary フィールドはオプションで、接続がセカンダリ接続の場合にのみ表示されます。 |
推奨アクション show memory コマンドを使用して ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリをASAに追加します。
210006
エラーメッセージ %ASA-3-210006: LU look NAT for IP_address failed
説明ステートフル フェールオーバーが、スタンバイ装置上で IP アドレス用の NAT グループを検出できませんでした。アクティブおよびスタンバイの ASA が相互に同期していない可能性があります。
推奨アクション アクティブ装置で write standby コマンドを使用して、システム メモリをスタンバイ装置に同期させます。
210007
エラーメッセージ %ASA-3-210007: LU allocate xlate failed for type [static | dynamic ]-[NAT | PAT ] secondary(optional) protocol translation from ingress interface name :Real IP Address /real port (Mapped IP Address /Mapped Port ) to egress interface name :Real IP Address /Real Port (Mapped IP Address /Mapped Port )
説明ステートフル フェールオーバーが変換スロット レコードの割り当てに失敗しました。
推奨アクション show memory コマンドを使用して ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。
210008
エラーメッセージ %ASA-3-210008: LU no xlate for inside_address /inside_port outside_address /outside_port
説明 ASA でステートフル フェールオーバー接続の変換スロットレコードを検出できません。そのため、ASA で接続情報を処理できません。
推奨アクション アクティブ装置で write standby コマンドを使用して、システム メモリをアクティブ装置とスタンバイ装置間で同期させます。
210010
エラーメッセージ %ASA-3-210010: LU make UDP connection for outside_address :outside_port inside_address :inside_port failed
説明ステートフル フェールオーバーが、UDP 接続に新しいレコードを割り当てることができませんでした。
推奨アクション show memory コマンドを使用して ASA の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。
210020
エラーメッセージ %ASA-3-210020: LU PAT port port reserve failed
説明ステートフル フェールオーバーが、使用中の特定の PAT アドレスを割り当てることができません。
推奨アクション アクティブ装置で write standby コマンドを使用して、システム メモリをアクティブ装置とスタンバイ装置間で同期させます。
210021
エラーメッセージ %ASA-3-210021: LU create static xlate global_address ifc interface_name failed
説明ステートフル フェールオーバーが変換スロットを作成できません。
推奨アクション アクティブ装置で write standby コマンドを入力して、システム メモリをアクティブ装置とスタンバイ装置との間で同期させます。
210022
エラーメッセージ %ASA-6-210022: LU missed number updates
説明ステートフル フェールオーバーは、スタンバイ装置に送信された各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が最後にアップデートされたレコードと一致していない場合、その間の情報が失われたものと見なされ、その結果、このエラー メッセージが送信されます。
推奨アクション LAN の中断が発生しない場合、両方の ASA 装置の利用可能なメモリをチェックして、ステートフル情報を処理するのに十分なメモリがあることを確認します。show failover コマンドを使用して、ステートフル情報のアップデートの品質をモニタします。