メッセージ 302003 ~ 319004
この章では、302003 から 319004 までのメッセージについて説明します。
302003
エラーメッセージ %ASA-6-302003: Built H245 connection for foreign_address outside_address /outside_port local_address inside_address /inside_port
説明 H.245 接続が outside_address から inside_address に向けて開始されました。ASA は、Intel Internet Phone の使用を検出しました。外部ポート(outside_port)は、外部から ASA の接続にしか表示されません。ローカル ポート値(inside_port)は、内部インターフェイスで開始された接続にしか表示されません。
推奨アクション必要なし。
302004
エラーメッセージ %ASA-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address /outside_port to local_address inside_address /inside_port
説明 H.323 UDP バック接続がローカル アドレス(inside_address)から外部アドレス(outside_address)に事前割り当てされました。ASA は、Intel Internet Phone の使用を検出しました。外部ポート(outside_port)は、ASA外部からの接続にしか表示されません。ローカル ポート値(inside_port)は、内部インターフェイスで開始された接続にしか表示されません。
推奨アクション必要なし。
302010
エラーメッセージ %ASA-6-302010: connections in use, connections most used
説明使用中の接続数と最も使用されている接続数に関する情報を提供します。
- connections:接続数
推奨アクション必要なし。
302012
エラーメッセージ %ASA-6-302012: Pre-allocate H225 Call Signalling Connection for faddr IP_address /port to laddr IP_address
説明 H.225 二次チャネルは事前割り当て済みです。
推奨アクション必要なし。
302013
エラーメッセージ%ASA-6-302013: Built {inbound|outbound} TCP connection_id for interface :real-address /real-port (mapped-address/mapped-port ) [(idfw_user )] to interface :real-address /real-port (mapped-address/mapped-port ) [(idfw_user )] [(user )]
説明 2 つのホスト間に TCP 接続スロットが作成されました。
- connection_id :一意の識別子
- interface、real-address、real-port:実際のソケット
- mapped-address、mapped-port:マッピングされたソケット
- user:ユーザの AAA の名前
- idfw_user:アイデンティティ ファイアウォールのユーザ名
inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、FTP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。
推奨アクション必要なし。
302014
エラーメッセージ %ASA-6-302014: Teardown TCP connection id for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )]
duration hh:mm:ss bytes bytes [reason [from teardown-initiator]] [(user )]
説明 2 つのホスト間の TCP 接続が削除されました。メッセージの値は次のとおりです。
-
id :一意の識別子
-
interface、real-address、real-port:実際のソケット
-
duration:接続のライフタイム
-
bytes:接続中のデータ転送量
-
User:ユーザの AAA の名前
-
idfw_user:アイデンティティ ファイアウォールのユーザ名
-
reason:接続終了の原因となったアクションreason 変数には、次の表に示されている TCP 終了の原因の 1 つが設定されています。
-
teardown-initiator:切断を開始した側のインターフェイス名。
理由 |
説明 |
---|---|
Conn-timeout |
非アクティビティ タイマーの期限切れのため、フローが終了したときに接続が終了しました。 |
Deny Terminate |
フローは、アプリケーション インスペクションによって終了されました。 |
Failover primary closed |
アクティブ装置から受信したメッセージが原因で、フェールオーバー ペアのスタンバイ装置が接続を削除しました。 |
FIN Timeout |
最終 ACK を 10 分間待機した後、またはハーフクローズ タイムアウト後の強制終了です。 |
Flow closed by inspection |
フローは、検査機能によって終了されました。 |
Flow terminated by IPS |
フローは、IPS によって終了されました。 |
Flow reset by IPS |
フローは、IPS によってリセットされました。 |
Flow terminated by TCP Intercept |
フローは、TCP 代行受信によって終了されました。 |
Flow timed out |
フローがタイムアウトしました。 |
Flow timed out with reset |
フローがタイムアウトしましたが、リセットされました。 |
Flow is a loopback |
フローはループバックです。 |
Free the flow created as result of packet injection |
Packet Tracer 機能によって ASA を介してシミュレート パケットが送信されたため、接続が確立されました。 |
Invalid SYN |
SYN パケットが無効でした。 |
IPS fail-close |
フローは、IPS カードのダウンのため終了されました。 |
No interfaces associated with zone |
「no nameif」または「no zone-member」がインターフェイス メンバーのいないゾーンを離れた後、フローが切断されました。 |
No valid adjacency |
ASAが隣接情報を取得しようとしましたが、ネクスト ホップの MAC アドレスを取得できなかった場合、このカウンタが増分します。パケットはドロップされます。 |
Pinhole Timeout |
ASA がセカンダリ フローを開始しましたが、タイムアウト間隔内にこのフローにパケットが渡されなかったためにフローが削除されたことを報告するため、このカウンタが増分します。セカンダリ フローの例としては、FTP コントロール チャネル上でネゴシエーションの成功後に作成される FTP データ チャネルがあります。 |
Route change |
ASA が低コスト(より良いメトリック)ルートを追加した場合、着信パケットが新しいルートに一致すると、ユーザ設定のタイムアウト値(floating-conn)後に既存の接続が切断されます。後続のパケットは、良好なメトリックを持つインターフェイスから接続を再構築します。コストが小さいルートの追加がアクティブ フローに影響を与えることを防ぐため、floating-conn 設定タイムアウト値を 0:0:0 に設定できます。 |
SYN Control |
バック チャネル開始が誤った側から発生しました。 |
SYN Timeout |
3 ウェイ ハンドシェイクの完了を 30 秒間待機した後の強制終了です。 |
TCP bad retransmission |
不良 TCP 再送が原因で接続は終了しました。 |
TCP FINs |
正常なクローズダウン シーケンスが発生しました。理由の後に IP アドレスが続きます。 |
TCP Invalid SYN |
無効な TCP SYN パケットです。 |
TCP Reset - APPLIANCE |
フローは、ASA によって TCP リセットが生成された場合に終了します。 |
TCP Reset - I |
内部からリセットされました。 |
TCP Reset - O |
外部からリセットされました。 |
TCP segment partial overlap |
部分的に重複するセグメントが検出されました。 |
TCP unexpected window size variation |
TCP ウィンドウ サイズに変動があるため接続は終了しました。 |
Tunnel has been torn down |
トンネルがダウンしているため、フローは終了しました。 |
Unauth Deny |
許可は、URL フィルタによって拒否されました。 |
Unknown |
不明なエラーが発生しました。 |
Xlate Clear |
コマンド ラインが削除されました。 |
推奨アクション必要なし。
302015
エラーメッセージ %ASA-6-302015: Built {inbound|outbound} UDP connection number for interface_name :real_address /real_port (mapped_address /mapped_port ) [(idfw_user )] to interface_name :real_address /real_port (mapped_address /mapped_port )[(idfw_user )] [(user )]
説明 2 つのホスト間に UDP 接続スロットが作成されました。メッセージの値は次のとおりです。
- number:一意の識別子
- interface、real_address、real_port:実際のソケット
- mapped_address、mapped_port:マッピングされたソケット
- user:ユーザの AAA の名前
- idfw_user:アイデンティティ ファイアウォールのユーザ名
inbound が表示されている場合、元の制御接続は外部から開始されています。たとえば、UDP の場合、元の制御チャネルが着信であれば、すべてのデータ転送チャネルは着信です。outbound が表示されている場合、元の制御接続は内部から開始されています。
推奨アクション必要なし。
302016
エラーメッセージ %ASA-6-302016: Teardown UDP connection number for interface :real-address /real-port [(idfw_user )] to interface :real-address /real-port [(idfw_user )] duration hh :mm :ss bytes bytes [(user )]
説明 2 つのホスト間の UDP 接続スロットが削除されました。メッセージの値は次のとおりです。
- number:一意の識別子
- interface、real_address、real_port:実際のソケット
- time:接続のライフタイム
- bytes:接続中のデータ転送量
- id:一意の識別子
- interface、real-address、real-port:実際のソケット
- duration:接続のライフタイム
- bytes:接続中のデータ転送量
- user:ユーザの AAA の名前
- idfw_user:アイデンティティ ファイアウォールのユーザ名
推奨アクション必要なし。
302017
エラーメッセージ %ASA-6-302017: Built {inbound|outbound} GRE connection id from interface :real_address (translated_address ) [(idfw_user )] to interface :real_address /real_cid (translated_address /translated_cid ) [(idfw_user )] [(user )
説明 2 つのホスト間に GRE 接続スロットが作成されました。id は、一意の識別子です。interface、real_address、real_cid タプルは、2 つのシンプレックス PPTP GRE ストリームのうちの 1 つを示します。カッコ付きの translated_address、translated_cid タプルは、ネットワーク アドレス変換(NAT)で変換された値を示します。inbound が表示されている場合、接続は着信だけに使用できます。outbound が表示されている場合、接続は発信だけに使用できます。メッセージの値は次のとおりです。
- id:接続を識別するための一意の番号
- inbound:制御接続は着信 PPTP GRE フロー用
- outbound:制御接続は発信 PPTP GRE フロー用
- interface_name:インターフェイス名
- real_address:実際のホストの IP アドレス
- real_cid:接続の変換前のコール ID
- translated_address:変換後の IP アドレス
- translated_cid:変換後のコール
- user:AAA ユーザ名
- idfw_user:アイデンティティ ファイアウォールのユーザ名
推奨アクション必要なし。
302018
エラーメッセージ %ASA-6-302018: Teardown GRE connection id from interface :real_address (translated_address ) [(idfw_user )] to interface :real_address /real_cid (translated_address /translated_cid ) [(idfw_user )] duration hh :mm :ss bytes bytes [(user )]
説明 2 つのホスト間の GRE 接続スロットが削除されました。interface、real_address、real_port タプルは、実際のソケットを示します。Duration は、接続のライフタイムを示します。メッセージの値は次のとおりです。
- id:接続を識別するための一意の番号
- interface:インターフェイス名
- real_address:実際のホストの IP アドレス
- real_port:実際のホストのポート番号
- hh:mm:ss:時:分:秒の形式の時間
- bytes:GRE セッションで転送された PPP バイトの数
- reason:接続が終了された原因
- user:AAA ユーザ名
- idfw_user:アイデンティティ ファイアウォールのユーザ名
推奨アクション必要なし。
302019
エラーメッセージ %ASA-3-302019: H.323 library_name ASN Library failed to initialize, error code number
説明指摘された ASN ライブラリ(ASA が H.323 メッセージのデコードに使用するライブラリ)の初期化に失敗しました。ASA は到着する H.323 パケットのデコードも検査もできません。ASAは、何も修正を加えずに H.323 パケットが通過できるようにします。次の H.323 メッセージが到着すると、ASA はライブラリを再度初期化しようとします。
推奨アクションこのメッセージが特定のライブラリに対して始終生成される場合は、Cisco TAC にお問い合わせのうえ、すべてのログ メッセージ(タイムスタンプ付きが望ましい)を送付してください。
302020
エラーメッセージ %ASA-6-302020: Built {in | out} bound ICMP connection for faddr {faddr | icmp_seq_num } [(idfw_user )] gaddr {gaddr | icmp_type } laddr laddr [(idfw_user )] type {type } code {code }
説明 inspect icmp コマンドを使用してステートフル ICMP をイネーブルにしたときに、ICMP セッションがファースト パスで確立されました。メッセージの値は次のとおりです。
- faddr:外部ホストの IP アドレスを指定します
- gaddr:グローバル ホストの IP アドレスを指定します
- laddr:ローカル ホストの IP アドレスを指定します
- idfw_user:アイデンティティ ファイアウォールのユーザ名
- user:接続が開始されたホストに関連付けられているユーザ名
- type:ICMP タイプを指定します。
- code:ICMP コードを指定します。
推奨アクション必要なし。
302021
エラーメッセージ %ASA-6-302021: Teardown ICMP connection for faddr {faddr | icmp_seq_num } [(idfw_user )] gaddr {gaddr | icmp_type } laddr laddr [(idfw_user )] type {type } code {code }
説明 inspect icmp コマンドを使用してステートフル ICMP をイネーブルにすると、ICMP セッションがファースト パスで削除されます。メッセージの値は次のとおりです。
- faddr:外部ホストの IP アドレスを指定します
- gaddr:グローバル ホストの IP アドレスを指定します
- laddr:ローカル ホストの IP アドレスを指定します
- idfw_user:アイデンティティ ファイアウォールのユーザ名
- user:接続が開始されたホストに関連付けられているユーザ名
- type:ICMP タイプを指定します。
- code:ICMP コードを指定します。
推奨アクション必要なし。
302022
エラーメッセージ %ASA-6-302022: Built role stub TCP connection for interface :real-address /real-port (mapped-address /mapped-port ) to interface :real-address /real-port (mapped-address /mapped-port)
説明 TCP ディレクタ/バックアップ/フォワーダ フローが作成されました。
推奨アクション必要なし。
302023
エラーメッセージ %ASA-6-302023: Teardown stub TCP connection for interface :real-address /real-port to interface :real-address /real-port duration hh:mm:ss forwarded bytes bytes reason
説明 TCP ディレクタ/バックアップ/フォワーダ フローが切断されました。
推奨アクション必要なし。
302024
エラーメッセージ %ASA-6-302024: Built role stub UDP connection for interface :real-address /real-port (mapped-address /mapped-port ) to interface :real-address /real-port (mapped-address /mapped-port )
説明 UDP ディレクタ/バックアップ/フォワーダ フローが作成されました。
推奨アクション必要なし。
302025
エラーメッセージ %ASA-6-302025: Teardown stub UDP connection for interface :real-address /real-port to interface :real-address /real-port duration hh:mm:ss forwarded bytes bytes reason
説明 UDP ディレクタ/バックアップ/フォワーダ フローが切断されました。
推奨アクション必要なし。
302026
エラーメッセージ %ASA-6-302026: Built role stub ICMP connection for interface :real-address /real-port (mapped-address ) to interface :real-address /real-port (mapped-address )
説明 ICMP ディレクタ/バックアップ/フォワーダ フローが作成されました。
推奨アクション必要なし。
302027
エラーメッセージ %ASA-6-302027: Teardown stub ICMP connection for interface :real-address /real-port to interface :real-address /real-port duration hh:mm:ss forwarded bytes bytes reason
説明 ICMP ディレクタ/バックアップ/フォワーダ フローが切断されました。
推奨アクション必要なし。
302033
エラーメッセージ %ASA-6-302033:Pre-allocated H323 GUP Connection for faddr interface :foreign address /foreign-port to laddr interface :local-address /local-port
説明 GUP 接続は外部アドレスからローカル アドレスに開始されました。外部ポートは、セキュリティ デバイスの外部からの接続にしか表示されません。ローカル ポート値(内部ポート)は、内部インターフェイスで開始された接続にしか表示されません。
- interface:インターフェイス名
- foreign-address:外部ホストの IP アドレス
- foreign-port:外部ホストのポート番号
- local-address:ローカル ホストの IP アドレス
- local-port:ローカル ホストのポート番号
推奨アクション必要なし。
302034
エラーメッセージ %ASA-4-302034: Unable to pre-allocate H323 GUP Connection for faddr interface :foreign address /foreign-port to laddr interface :local-address /local-port
説明モジュールが、接続の開始中に RAM システム メモリの割り当てに失敗したか、またはアドレス変換スロットを利用できません。
- interface:インターフェイス名
- foreign-address:外部ホストの IP アドレス
- foreign-port:外部ホストのポート番号
- local-address:ローカル ホストの IP アドレス
- local-port:ローカル ホストのポート番号
推奨アクションこのメッセージが定期的に表示される場合は、無視できます。頻繁に繰り返される場合は、Cisco TAC にお問い合わせください。グローバル プールのサイズを確認して、内部のネットワーク クライアント数と比較できます。または、変換と接続のタイムアウト間隔を短くします。このメッセージは、メモリ不足が原因で表示される可能性もあります。その場合は、メモリ使用量を減らすか、または増設メモリを購入してみます。
302035
エラー メッセージ %ASA-6-302035: Built {inbound|outbound} SCTP connection conn_id for outside_interface :outside_ip /outside_port (mapped_outside_ip /mapped_outside_port )[([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port (mapped_inside_ip /mapped_inside_port )[([inside_idfw_user ],[inside_sg_info ])] [(user )]
説明 SCTP 状態バイパスが設定されていないときの SCTP フローの作成が記録されます。
- conn_id:固有の接続 ID
- outside_interface:セキュリティ レベルが低いインターフェイス
- outside_ip:ASA でセキュリティ レベルが低い側にあるホストの IP アドレス
- outside_port:ASA でセキュリティ レベルが低い側にあるホストのポート番号
- mapped_outside_ip:ASA でセキュリティ レベルが低い側にあるホストのマッピングされている IP アドレス
- mapped_outside_port:ASA でセキュリティ レベルが低い側にあるホストのマッピングされているポート番号
- outside_idfw_user:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている IDFW ユーザ名
- outside_sg_info:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている SGT と SG 名
- inside_interface:セキュリティ レベルが高いインターフェイス
- inside_ip:ASA でセキュリティ レベルが高い側にあるホストの IP アドレス
- inside_port:ASA でセキュリティ レベルが高い側にあるホストのポート番号
- mapped_inside_ip:ASA でセキュリティ レベルが高い側にあるホストのマッピングされている IP アドレス
- mapped_inside_port :ASA の高いセキュリティ レベル側のホストのマッピングされているポート番号
- inside_idfw_user:ASA でセキュリティ レベルが高い側にあるホストに関連付けられている IDFW ユーザ名
- inside_sg_info :ASA でセキュリティ レベルが高い側にあるホストに関連付けられている SGT と SG 名
- user:接続が開始されたホストに関連付けられているユーザ名。
推奨アクション 不要。
302036
951 complete topic
エラー メッセージ %ASA-6-302036: Teardown SCTP connection conn_id for outside_interface :outside_ip /outside_port [([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port [([inside_idfw_user ],[inside_sg_info ])] duration time bytes bytes reason [(user )]
説明 SCTP 状態バイパスが設定されていない場合の SCTP フローの削除の記録です。
- conn_id:固有の接続 ID
- outside_interface:セキュリティ レベルが低いインターフェイス
- outside_ip:ASA でセキュリティ レベルが低い側にあるホストの IP アドレス
- outside_port:ASA でセキュリティ レベルが低い側にあるホストのポート番号
- outside_idfw_user:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている IDFW ユーザ名
- outside_sg_info:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている SGT と SG 名
- inside_interface:セキュリティ レベルが高いインターフェイス
- inside_ip:ASA でセキュリティ レベルが高い側にあるホストの IP アドレス
- inside_port:ASA でセキュリティ レベルが高い側にあるホストのポート番号
- inside_idfw_user:ASA でセキュリティ レベルが高い側にあるホストに関連付けられている IDFW ユーザ名
- inside_sg_info :ASA でセキュリティ レベルが高い側にあるホストに関連付けられている SGT と SG 名
- user:接続が開始されたホストに関連付けられているユーザ名。
- time:hh:mm:ss で示すフローの存続時間
- bytes:フローで渡されたバイトの数
- reason:接続が切断された理由
推奨アクション 不要。
302302
エラーメッセージ %ASA-3-302302: ACL = deny; no sa created
説明 IPSec プロキシのミスマッチが発生しました。ネゴシエートした SA のプロキシ ホストは、deny access-list コマンド ポリシーに対応します。
推奨アクション コンフィギュレーションの access-list コマンド文を確認します。ピアの管理者にお問い合わせください。
302303
エラーメッセージ %ASA-6-302303: Built TCP state-bypass connection conn_id from initiator_interface :real_ip /real_port (mapped_ip /mapped_port ) to responder_interface :real_ip /real_port (mapped_ip /mapped_port )
説明新しい TCP 接続が作成されました。この接続は、TCP 状態バイパス接続です。このタイプの接続では、すべての TCP 状態チェックと追加のセキュリティ チェックおよび検査がバイパスされます。
推奨アクション標準的なすべての TCP 状態チェックと他のすべてのセキュリティ チェックおよび検査によって TCP トラフィックを保護する必要がある場合は、no set connection advanced-options tcp-state-bypass コマンドを使用して、TCP トラフィックに対してこの機能をディセーブルにできます。
302304
エラーメッセージ %ASA-6-302304: Teardown TCP state-bypass connection conn_id from initiator_interface :ip/port to responder_interface :ip/port duration , bytes , teardown reason
.
説明新しい TCP 接続が切断されました。この接続は、TCP 状態バイパス接続です。このタイプの接続では、すべての TCP 状態チェックと追加のセキュリティ チェックおよび検査がバイパスされます。
- duration:TCP 接続の期間
- bytes:TCP 接続で転送された合計バイト数
- teardown reason:TCP 接続の切断原因
推奨アクション標準的なすべての TCP 状態チェックと他のすべてのセキュリティ チェックおよび検査によって TCP トラフィックを保護する必要がある場合は、no set connection advanced-options tcp-state-bypass コマンドを使用して、TCP トラフィックに対してこの機能をディセーブルにできます。
302305
エラー メッセージ %ASA-6-302305: Built SCTP state-bypass connection conn_id for outside_interface :outside_ip /outside_port (mapped_outside_ip /mapped_outside_port )[([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port (mapped_inside_ip /mapped_inside_port )[([inside_idfw_user ],[inside_sg_info ])]
説明 SCTP 状態バイパスが設定されている場合の SCTP フローの作成の記録です。
- conn_id:固有の接続 ID
- outside_interface:セキュリティ レベルが低いインターフェイス
- outside_ip:ASA でセキュリティ レベルが低い側にあるホストの IP アドレス
- outside_port:ASA でセキュリティ レベルが低い側にあるホストのポート番号
- mapped_outside_ip:ASA でセキュリティ レベルが低い側にあるホストのマッピングされている IP アドレス
- mapped_outside_port:ASA でセキュリティ レベルが低い側にあるホストのマッピングされているポート番号
- outside_idfw_user:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている IDFW ユーザ名
- outside_sg_info:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている SGT と SG 名
- inside_interface:セキュリティ レベルが高いインターフェイス
- inside_ip:ASA でセキュリティ レベルが高い側にあるホストの IP アドレス
- inside_port:ASA でセキュリティ レベルが高い側にあるホストのポート番号
- mapped_inside_ip:ASA でセキュリティ レベルが高い側にあるホストのマッピングされている IP アドレス
- mapped_inside_port :ASA の高いセキュリティ レベル側のホストのマッピングされているポート番号
- inside_idfw_user:ASA でセキュリティ レベルが高い側にあるホストに関連付けられている IDFW ユーザ名
- inside_sg_info :ASA でセキュリティ レベルが高い側にあるホストに関連付けられている SGT と SG 名
推奨アクション 不要。
302306
エラーメッセージ %ASA-6-302306: Teardown SCTP state-bypass connection conn_id for outside_interface :outside_ip /outside_port [([outside_idfw_user ],[outside_sg_info ])] to inside_interface :inside_ip /inside_port [([inside_idfw_user ],[inside_sg_info ])] duration time bytes bytes reason
説明 SCTP 状態バイパスが設定されている場合の SCTP フローの削除の記録です。
- conn_id:固有の接続 ID
- outside_interface:セキュリティ レベルが低いインターフェイス
- outside_ip:ASA でセキュリティ レベルが低い側にあるホストの IP アドレス
- outside_port:ASA でセキュリティ レベルが低い側にあるホストのポート番号
- outside_idfw_user:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている IDFW ユーザ名
- outside_sg_info:ASA でセキュリティ レベルが低い側にあるホストに関連付けられている SGT と SG 名
- inside_interface:セキュリティ レベルが高いインターフェイス
- inside_ip:ASA でセキュリティ レベルが高い側にあるホストの IP アドレス
- inside_port:ASA でセキュリティ レベルが高い側にあるホストのポート番号
- inside_outside_ip:ASA でセキュリティ レベルが高い側にあるホストのマッピングされている IP アドレス
- inside_idfw_user:ASA でセキュリティ レベルが高い側にあるホストに関連付けられている IDFW ユーザ名
- inside_sg_info :ASA でセキュリティ レベルが高い側にあるホストに関連付けられている SGT と SG 名
- time:hh:mm:ss で示すフローの存続時間
- bytes:フローで渡されたバイトの数
- reason:接続が切断された理由
推奨アクション 不要。
302311
エラーメッセージ %ASA-4-302311: Failed to create a new protocol connection from ingress interface:source IP/source port to egress interface:destination IP/destination port due to application cache memory allocation failure. The app-cache memory threshold level is threshold% and threshold check is enabled/disabled.
説明アプリケーション キャッシュ メモリ割り当てに失敗したために、新しい接続を作成できませんでした。この障害は、システムのメモリ不足またはシステムがアプリケーション キャッシュ メモリしきい値を超えたことが原因である可能性があります。
- protocol:接続を作成するために使用されるプロトコルの名前
- ingress interface:インターフェイス名
-
source IP:送信元 IP アドレス
-
source port:送信元ポート番号
-
egress interface:インターフェイス名
-
destination IP:宛先アドレス
-
destination port:宛先ポート番号
-
threshold%:メモリしきい値のパーセンテージ値
-
enabled/disabled:アプリケーション キャッシュ メモリしきい値機能の有効化/無効化
推奨アクションデバイスでメモリを大量に消費する機能を無効にするか、through-the-box 接続の数を減らします。
303002
エラーメッセージ %ASA-6-303002: FTP connection from src_ifc :src_ip /src_port to dst_ifc :dst_ip /dst_port , user username action file filename
説明クライアントは、FTP サーバとの間でファイルをアップロードまたはダウンロードしました。
- src_ifc:クライアントが存在するインターフェイス。
- src_ip:クライアントの IP アドレス。
- src_port:クライアント ポート。
- dst_ifc:サーバが存在するインターフェイス。
- dst_ip:FTP サーバの IP アドレス。
- dst_port:サーバ ポート。
- username:FTP ユーザ名。
- action:保存または取得されたアクション。
- filename:保存または取得したファイル。
推奨アクション必要なし。
303004
エラーメッセージ %ASA-5-303004: FTP cmd_string command unsupported - failed strict inspection, terminating connection from source_interface :source_address /source_port to dest_interface :dest_address/dest_interface
説明 FTP トラフィックの厳密な FTP 検査が使用された、または FTP 要求メッセージに、デバイスに認識されないコマンドが含まれています。
推奨アクション必要なし。
303005
エラーメッセージ %ASA-5-303005: Strict FTP inspection matched match_string in policy-map policy-name , action_string from src_ifc :sip /sport to dest_ifc :dip /dport
説明 FTP 検査で、設定済みの値(ファイル名、ファイル タイプ、要求コマンド、サーバ、ユーザ名)のいずれかと一致した場合、このメッセージの action_string で指定されたアクションが実行されます。
- match_string:ポリシー マップ内の match 節
- policy-name:一致したポリシー マップ
- action_string:実行するアクション(たとえば、Reset Connection)
- src_ifc:送信元インターフェイス名
- sip:送信元 IP アドレス
- sport:送信元ポート
- dest_ifc:宛先インターフェイス名
- dip:宛先 IP アドレス
- dport:宛先ポート
推奨アクション必要なし。
304001
エラー メッセージ %ASA-5-304001: user@source_address [(idfw_user )] Accessed URL dest_address : url .
説明 指定したホストが指定された URL にアクセスしようとしました。カスタムの HTTP ポリシー マップを使った HTTP 検査を有効にする場合は、以下の可能性があります。GET リクエストのパケットにホスト名パラメータが含まれていない場合、URI を出力する代わりに、%ASA-5-304001: client IP Accessed URL server ip:Hostname not present URI: URI というメッセージが出力されます。URI が大きくて 1 つの Syslog で出力できない場合は、分割して部分的に出力できます。たとえば、URL を複数のチャンクに分割して記録する場合、%ASA-5-304001: client IP Accessed URL server ip: http(/ftp)://hostname/URI_CHUNK1 partial%ASA-5-304001: client IP Accessed URL server ip: partial URI_CHUNK1 partial............%ASA-5-304001: client IP Accessed URL server ip: partial URI_CHUNKn というメッセージが出力されます。URI の制限は 1024 バイトです。現在のパケットで最初または最後に部分的な URI が含まれている場合は、上記で説明したとおりのロジックを使用します。
推奨アクション 不要。
304002
エラーメッセージ %ASA-5-304002: Access denied URL chars SRC IP_address [(idfw_user )] DEST IP_address : chars
説明 送信元アドレスから指定された URL または FTP サイトへのアクセスが拒否されました。
推奨アクション 不要。
304003
エラーメッセージ %ASA-3-304003:URL Server IP_address timed out URL url
説明 URL サーバがタイムアウトになっています。
推奨アクション 不要。
304004
エラーメッセージ %ASA-6-304004: URL Server IP_address request failed URL url
説明 Websense サーバ要求が失敗しました。
推奨アクション 不要。
304005
エラーメッセージ %ASA-7-304005: URL Server IP_address request pending URL url
説明 Websense サーバ要求が保留中です。
推奨アクション 不要。
304006
エラー メッセージ %ASA-3-304006: URL Server IP_address not responding
説明 Websense サーバはアクセスに使用できません。ASA は、Websense サーバがインストールされている唯一のサーバである場合は同サーバに、または複数のサーバがある場合は別のサーバにアクセスしようとします。
推奨アクション 不要。
304007
エラー メッセージ %ASA-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.
説明 filter コマンドの allow オプションを使用したところ、Websense サーバが応答していません。ASA は、サーバが使用できない間すべての Web 要求がフィルタリングせずに継続できるようにします。
推奨アクション 不要。
304008
エラー メッセージ %ASA-2-304008: LEAVING ALLOW mode, URL Server is up.
説明 filter コマンドの allow オプションを使用したところ、ASA は以前は応答しなかった Websense サーバから応答メッセージを受け取りました。この応答メッセージにより、ASA は allow モードを終了します。これで URL フィルタリング機能が再びイネーブルになります。
推奨アクション 不要。
304009
エラー メッセージ %ASA-7-304009: Ran out of buffer blocks specified by url-block command
説明 URL 保留バッファ ブロックが領域を使い切りました。
推奨アクション url-block block block_size コマンドを入力して、バッファブロックサイズを変更します。
305005
エラー メッセージ %ASA-3-305005: No translation group found for protocol src interface_name: source_address/source_port [(idfw_user )] dst interface_name: dest_address /dest_port [(idfw_user )]
説明 パケットがどの発信 nat コマンド規則とも一致しません。指摘された送信元システムおよび宛先システムに NAT が設定されていない場合、メッセージは頻繁に生成されます。
推奨アクション このメッセージはコンフィギュレーション エラーを示します。送信元ホストにダイナミック NAT が望ましい場合は、nat コマンドが送信元 IP アドレスと一致することを確認します。送信元ホストにスタティック NAT が望ましい場合は、static コマンドのローカル IP アドレスが一致することを確認します。送信元ホストに NAT が望ましくない場合は、NAT 0 ACL にバインドされている ACL を確認します。
305006
エラーメッセージ %ASA-3-305006: {outbound static|identity|portmap|regular) translation creation failed for protocol src interface_name:source_address/source_port [(idfw_user )] dst interface_name:dest_address/dest_port [(idfw_user )]
説明プロトコル(UDP、TCP、または ICMP)が ASA 経由で変換を作成できませんでした。ASAは、ネットワーク アドレスまたはブロードキャスト アドレス宛てのパケットの通過を許可していません。ASA は、static コマンドで明示的に識別されるアドレスに対してこのチェックを行います。着信トラフィックの場合、ASAはネットワーク アドレスまたはブロードキャスト アドレスと識別された IP アドレスの変換を拒否します。
ASAは、すべての ICMP メッセージ タイプに PAT を適用するのではなく、ICMP エコーとエコー応答パケット(タイプ 8 と 0)に限り PAT を適用します。特に、ICMP エコーまたはエコー応答パケットだけが、PAT 変換を作成します。そのため、他の ICMP メッセージ タイプが廃棄されるとき、このメッセージが生成されます。
ASA は、設定済み static コマンドのグローバル IP アドレスとマスクを使用して、標準 IP アドレスを、ネットワーク IP アドレスまたはブロードキャスト IP アドレスと区別します。グローバル IP アドレスが、一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、ASAは着信パケットのネットワーク IP アドレスまたはブロードキャスト IP アドレスに対して変換を作成しません。
次に例を示します。
static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128
ASA は、ネットワーク アドレスとしてグローバル アドレス 10.2.2.128 に応答し、ブロードキャスト アドレスとして 10.2.2.255 に応答します。既存の変換がない場合、ASAは、10.2.2.128 または 10.2.2.255 宛ての着信パケットを拒否して、このメッセージに記録します。
疑わしい IP アドレスがホスト IP アドレスである場合、サブネット static コマンドの直前にホスト マスクを持つ別の static コマンドを設定します(static コマンドに対する最初の一致規則)。その後の static コマンドでは、ASAがホスト アドレスとして 10.2.2.128 に応答します。
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128
変換は、疑わしい IP アドレスを持つ内部ホストから開始されるトラフィックによって作成される可能性があります。ASAはネットワーク IP アドレスまたはブロードキャスト IP アドレスを重複したサブネット スタティック コンフィギュレーションを持つホスト IP と見なすので、両方の static コマンドのネットワーク アドレス変換は同じである必要があります。
推奨アクション必要なし。
305007
エラーメッセージ %ASA-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number
説明 ASA が、自分のグローバル プールで見つけられないアドレスを変換しようとしました。ASA は、アドレスが削除されているとして、要求を廃棄します。
推奨アクション 不要。
305008
エラー メッセージ %ASA-3-305008: Free unallocated global IP address.
説明 ASA カーネルは、割り当てられていないグローバル IP アドレスを解放してアドレス プールに戻そうとしたときに、不整合状態を検出しました。この異常状態は、ASA がステートフル フェールオーバー セットアップを実行中で、一部の内部状態がアクティブ装置とスタンバイ装置との間で瞬間的に同期していない場合に発生する可能性があります。この状態は破局的なものではなく、同期は自動的に回復します。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
305009
エラーメッセージ %ASA-6-305009: Built {dynamic|static} translation from interface_name [(acl-name)]:real_address [(idfw_user )] to interface_name :mapped_address
説明アドレス変換スロットが作成されました。スロットは、送信元アドレスをローカル側からグローバル側に変換します。また、逆方向では、宛先アドレスをグローバル側からローカル側に変換します。
推奨アクション必要なし。
305010
エラーメッセージ %ASA-6-305010: Teardown {dynamic|static} translation from interface_name :real_address [(idfw_user )] to interface_name :mapped_address duration time
説明アドレス変換スロットが削除されました。
推奨アクション必要なし。
305011
エラーメッセージ %ASA-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name :real_address/real_port [(idfw_user )] to interface_name :mapped_address/mapped_port
説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。スロットは、ローカル側からグローバル側に送信元ソケットを変換します。逆に、スロットは、グローバル側からローカル側に宛先ソケットを変換します。
推奨アクション必要なし。
305012
エラーメッセージ %ASA-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name [(acl-name )]:real_address /{real_port |real_ICMP_ID } [(idfw_user )] to interface_name :mapped_address /{mapped_port |mapped_ICMP_ID } duration time
説明アドレス変換スロットが削除されました。
推奨アクション必要なし。
305013
エラーメッセージ %ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name :source_address /source_port [(idfw_user )] dst interface_name :dst_address /dst_port [(idfw_user )] denied due to NAT reverse path failure.
説明実際のアドレスを使用して、マップされたホストへの接続を試みましたが、拒否されました。
推奨アクション NAT を使用するホストと同じインターフェイス上にないホストに接続する場合は、実際のアドレスではなく、マップされたアドレスを使用します。また、アプリケーションに IP アドレスが埋め込まれている場合は、inspect コマンドをイネーブルにします。
305014
エラーメッセージ %ASA-6-305014: Allocated block of ports for translation from real_interface :real_host_ip /real_source_port to real_dest_interface :real_dest_ip /real_dest_port.
説明 CGNAT の「block-allocation」が設定されている場合、この syslog は新しいポート ブロックの割り当て時に生成されます。
推奨アクションなし。
305016
エラーメッセージ %ASA-3-305016: Unable to create protocol connection from real_interface :real_host_ip /real_source_port to real_dest_interface :real_dest_ip /real_dest_port due to reason .
説明ホストごとの最大ポート ブロックの制限数に達しているか、またはポート ブロックが枯渇しています。
- reason:次のいずれかになります。
- ホストごとの PAT ポート ブロック制限 value に達した
- PAT プール内のポート ブロックの枯渇
推奨アクション ホストごとの PAT ポート ブロック制限に達した場合は、次のコマンドを入力して、ホストごとの最大ブロック制限数を確認します。
xlate block-allocation maximum-per-host 4
PAT プール内のポート ブロックの枯渇の場合は、プールのサイズを増やすことを推奨します。また、次のコマンドを入力して、ブロック サイズも確認してください。
xlate block-allocation size 512
305017
エラーメッセージ %ASA-3-305017: Pba-interim-logging: Active ICMP block of ports for translation from <source device IP> to <destination device IP>/<Active Port Block>
説明 CGNAT 一時ロギング機能がオンになっている場合、この Syslog により、特定のソース IP アドレスからその時点の宛先 IP アドレスへのアクティブポートブロックが示されます。
推奨処置なし。
305018
エラーメッセージ % ASA-6-305018: MAP translation from src_ifc:src_ip/src_port-dst_ifc:dst_ip/dst_port to src_ifc:translated_src_ip/src_port-dst_ifc:translated_dst_ip/dst_port
説明 確立されている接続に MAP スタイルのアドレス変換が適用され、その送信元と宛先が変換されました。
例:
%ASA-6-305018: MAP translation from inside:2001:DB8:0000:0000:0000:0000:0000:0002/57964-outside:2001:DB8:FFFF:0000:0000:0000:0000:0001/22 to inside:192.168.101.210/57964-outside:192.168.100.203/22
推奨処置なし。
305019
エラーメッセージ % ASA-3-305019: MAP node address ip/port has 不整合 port Set ID encoding
説明 パケットのアドレスは MAP の基本的なマッピングルールに一致しますが(つまり、変換されることを意味します)、アドレス内でエンコードされたポートセット ID には(RFC7599 との)一貫性がありません。これは、このパケットの発信元である MAP ノードのソフトウェア障害が原因である可能性があります。
例
%ASA-3-305019: MAP node address 2001:DB8:0000:FFFF:0000:0000:0000:0002/57964 has inconsistent Port Set ID encoding
推奨処置なし。
305020
エラーメッセージ % ASA-3-305020: MAP node with address ip is not allowed to use port port\n
説明 パケットには、MAP の基本的なマッピングルール(つまり、変換されることを意味する)に一致するアドレスがありますが、関連するポートは、そのアドレスに割り当てられた範囲内にありません。これは、このパケットの発信元である MAP ノードの設定に誤りがある可能性が高いことを意味します。
例:
%ASA-3-305020: MAP node with address 2001:DB8:0000:0000:0000:0000:0000:0002 is not allowed to use port 37964\n
推奨処置なし。
308001
エラーメッセージ %ASA-6-308001: console enable password incorrect for number tries (from IP_address )
説明これは ASA 管理メッセージです。このメッセージは、特権モードに入るためにユーザがパスワードを指摘された回数だけ誤って入力した後に表示されます。最大試行回数は 3 回です。
推奨アクション パスワードを確認し、再度試行します。
308002
エラーメッセージ %ASA-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address
説明 1 つまたは複数の static コマンド文の IP アドレスが重複しています。global_address は低セキュリティレベルのインターフェイス上のアドレスであるグローバルアドレスであり、inside_address は高セキュリティレベルのインターフェイス上のアドレスであるローカルアドレスです。
推奨アクション show static コマンドを使用してコンフィギュレーションの static コマンド文を表示し、重複しているコマンドを修正します。最も一般的な重複は、10.1.1.0 などのネットワーク アドレスを指定して、別の static コマンドで 10.1.1.5 などその範囲内にあるホストを指定する場合に発生します。
308003
エラーメッセージ % ASA-4-308003: WARNING: the enable password is not configured
説明 イネーブルモード(権限レベル 2 以上)に入る際にイネーブルパスワードが設定されていない場合は、権限レベル 15 のイネーブルパスワードを設定する必要があります。
推奨アクション イネーブルパスワードを設定します。許可されるパスワードの長さは 3 ~ 15 です。
308004
エラーメッセージ % ASA-4-308004: the enable password has has configured by user admin
説明初めてイネーブルパスワードを設定している。このメッセージは、既存のイネーブルパスワードを変更すると表示されません。
推奨アクション なし。
311001
エラーメッセージ %ASA-6-311001: LU loading standby start
説明スタンバイ ASA が最初にオンラインになるときに、ステートフル フェールオーバー アップデート情報がスタンバイ ASA に送信されました。
推奨アクション必要なし。
311002
エラーメッセージ %ASA-6-311002: LU loading standby end
説明ステートフル フェールオーバー アップデート情報が、スタンバイ ASA への送信を停止しました。
推奨アクション必要なし。
311003
エラーメッセージ %ASA-6-311003: LU recv thread up
説明アップデート肯定応答がスタンバイ ASA から受信されました。
推奨アクション必要なし。
311004
エラーメッセージ %ASA-6-311004: LU xmit thread up
説明ステートフル フェールオーバー アップデート情報が、スタンバイ ASA に送信されました。
推奨アクション必要なし。
312001
エラーメッセージ %ASA-6-312001: RIP hdr failed from IP_address : cmd=string , version=number domain=string on interface interface_name
説明 ASA が応答以外のオペレーション コードを持つ RIP メッセージを受信し、メッセージはこのインターフェイスで予想されるバージョン番号とは異なる番号を持ち、ルーティング ドメインのエントリは非ゼロでした。別の RIP デバイスは ASA と通信するように正しく設定されていない可能性があります。
推奨アクション必要なし。
313001
エラーメッセージ %ASA-3-313001: Denied ICMP type=number , code=code from IP_address on interface interface_name
説明 icmp コマンドをアクセス リストとともに使用している場合、最初に一致したエントリが許可エントリであれば、ICMP パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、ASA は ICMP パケットを廃棄し、このメッセージを生成します。icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping の実行がディセーブルの場合、ASAはネットワーク上で検出できません。この機能は、設定可能なプロキシ ping とも呼ばれます。
推奨アクション ピア デバイスの管理者にお問い合わせください。
313004
エラーメッセージ %ASA-4-313004:Denied ICMP type=icmp_type , from source_address on interface interface_name to dest_address :no matching session
説明ステートフル ICMP 機能で追加されたセキュリティ チェックのため、ICMP パケットが ASA によって廃棄されました。通常、これに該当するのは、すでに ASA を通過した有効なエコー要求を含まない ICMP エコー応答、またはすでに ASA で確立されている TCP、UDP、または ICMP セッションに関連しない ICMP エラー メッセージのいずれかです。
推奨アクション必要なし。
313005
エラーメッセージ %ASA-4-313005: No matching connection for ICMP error message: icmp_msg_info on interface_name interface. Original IP payload: embedded_frame_info icmp_msg_info = icmp src src_interface_name :src_address [([idfw_user | FQDN_string ], sg_info )] dst dest_interface_name :dest_address [([idfw_user | FQDN_string ], sg_info )] (type icmp_type, code icmp_code ) embedded_frame_info = prot src source_address /source_port [([idfw_user | FQDN_string ], sg_info )] dst dest_address /dest_port [(idfw_user |FQDN_string ), sg_info ]
説明 ICMP エラー メッセージが ASA ですでに確立されているどのセッションとも関連しないため、ICMP エラー パケットが ASA によって廃棄されました。
推奨アクション原因が攻撃にある場合、ACL を使用してホストを拒否することができます。
313008
エラーメッセージ %ASA-3-313008: Denied ICMPv6 type=number , code=code from IP_address on interface interface_name
説明 icmp コマンドをアクセス リストとともに使用している場合、最初に一致したエントリが許可エントリであれば、ICMPv6 パケットは処理を続行します。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合、ASA は ICMPv6 パケットを廃棄し、このメッセージを生成します。
icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping をディセーブルにすると、ASAがネットワーク上で検出できなくなります。この機能は、設定可能なプロキシ ping とも呼ばれます。
推奨アクション ピア デバイスの管理者にお問い合わせください。
313009
エラーメッセージ %ASA-4-313009: Denied invalid ICMP code icmp-code , for src-ifc :src-address /src-port (mapped-src-address/mapped-src-port) to dest-ifc :dest-address /dest-port (mapped-dest-address/mapped-dest-port) [user ], ICMP id icmp-id , ICMP type icmp-type
説明コードが不正な(ゼロ以外)ICMP エコー要求または応答パケットを受信しました。
推奨アクション断続的なイベントの場合は、対処不要です。原因が攻撃にある場合、ACL を使用してホストを拒否することができます。
314001
エラーメッセージ %ASA-6-314001: Pre-allocated RTSP UDP backconnection for src_intf :src_IP to dst_intf :dst_IP /dst_port.
説明 ASA が、サーバからデータを受信していた RTSP クライアントに対して UDP メディア チャネルを開きました。
- src_intf:送信元インターフェイス名
- src_IP:送信元インターフェイス IP アドレス
- dst_intf:宛先インターフェイス名
- dst_IP:宛先 IP アドレス
- dst_port:宛先ポート
推奨アクション必要なし。
314002
エラーメッセージ %ASA-6-314002: RTSP failed to allocate UDP media connection from src_intf :src_IP to dst_intf :dst_IP /dst_port : reason_string.
説明 ASA がメディア チャネルに対して新しいピンホールを開くことができません。
- src_intf:送信元インターフェイス名
- src_IP:送信元インターフェイス IP アドレス
- dst_intf:宛先インターフェイス名
- dst_IP:宛先 IP アドレス
- dst_port:宛先ポート
- reason_string:「Pinhole already exists」または「Unknown」
推奨アクション原因が不明な場合は、ASA のメモリが不足しているため、show memory コマンドを実行して利用可能な空きメモリを確認するか、または show conn コマンドを実行して使用されている接続数を確認します。
314003
エラーメッセージ %ASA-6-314003: Dropped RTSP traffic from src_intf :src_ip due to: reason.
説明 RTSP メッセージに予約ポート範囲内のポートが含まれているか、または最大許容制限を超える長さの URL が含まれているため、RTSP メッセージがユーザ設定の RTSP セキュリティ ポリシーに違反しました。
- src_intf:送信元インターフェイス名
- src_IP:送信元インターフェイス IP アドレス
- reason:原因。次のいずれかの可能性があります。
- エンドポイントが予約ポート範囲 0 ~ 1024 のメディア ポートをネゴシエートしています。
- URL の長さ(url length バイト)が最大長(url length limit バイト)を超えています。
推奨アクション RTSP クライアントがセキュリティ ポリシーに違反するメッセージを送信する原因を調査します。要求された URL が正当である場合は、RTSP ポリシー マップで、より長い URL 長制限を指定して、ポリシーを緩和できます。
314004
エラーメッセージ %ASA-6-314004: RTSP client src_intf:src_IP accessed RTSP URL RTSP URL
説明 RTSP クライアントが RTSP サーバにアクセスしようとしました。
- src_intf:送信元インターフェイス名
- src_IP:送信元インターフェイス IP アドレス
- RTSP URL:RTSP サーバの URL
推奨アクション 不要。
314005
エラー メッセージ %ASA-6-314005: RTSP client src_intf:src_IP denied access to URL RTSP_URL.
説明 RTSP クライアントが禁止サイトにアクセスしようとしました。
- src_intf:送信元インターフェイス名
- src_IP:送信元インターフェイス IP アドレス
- RTSP_URL:RTSP サーバの URL
推奨アクション 不要。
314006
エラー メッセージ %ASA-6-314006: RTSP client src_intf:src_IP exceeds configured rate limit of rate for request_method messages.
説明 特定の RTSP 要求メッセージが、RTSP ポリシーの設定済みレート制限を超えました。
- src_intf:送信元インターフェイス名
- src_IP:送信元インターフェイス IP アドレス
- rate:設定済みレート制限
- request_method:要求メッセージのタイプ
推奨アクション クライアントからの特定の RTSP 要求メッセージがレート制限を超えた原因を調査します。
315004
エラー メッセージ %ASA-3-315004: Fail to establish SSH session because RSA host key retrieval failed.
説明 ASA が、SSH セッションの確立に必要な RSA ホスト キーを見つけられません。ホスト キーが生成されていなかったため、またはこの ASA のライセンスが DES または 3DES 暗号化を許可しないために、ASA ホスト キーがない可能性があります。
推奨アクション ASA コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開します。RSA ホスト キーを生成するには、crypto key mypubkey rsa コマンドを入力します。
315011
エラー メッセージ %ASA-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason
説明 SSH セッションが終了しました。ユーザが quit または exit を入力すると、terminated normally メッセージが表示されます。ユーザ名は無効な場合や不明な場合は表示されませんが、有効な場合または no logging hide username コマンドが設定されている場合は表示されます。別の原因でセッションが切断された場合は、テキストで原因が説明されます。次の表に、セッションが切断される理由として考えられるものを一覧表示します。
テキスト文字列 |
説明 |
アクション |
---|---|---|
Bad checkbytes |
SSH キー交換中にチェック バイトにミスマッチが検出されました。 |
SSH セッションを再開します。 |
CRC check failed |
特定のパケットに対して計算された CRC 値が、パケットに埋め込まれている CRC 値と一致しません。パケットが不良です。 |
対処は不要です。このメッセージが引き続き表示される場合は、Cisco TAC にお問い合わせください。 |
Decryption failure |
SSH キーの交換中に SSH セッション キーの解読が失敗しました。 |
RSA ホスト キーを確認し、再度試行します。 |
Format error |
非プロトコル バージョンのメッセージが、SSH バージョン交換中に受信されました。 |
SSH クライアントをチェックし、サポート対象のバージョンであることを確認します。 |
Internal error |
このメッセージは、ASA 上の SSH の内部エラー、あるいは RSA キーが ASA に入力されていないか、または取得できないことを示します。 |
ASA コンソールから show crypto key mypubkey rsa コマンドを入力して、RSA ホスト キーがあることを確認します。ホスト キーがない場合は、show version コマンドを入力して、DES または 3DES が許可されていることを確認します。RSA ホスト キーがある場合は、SSH セッションを再開します。RSA ホスト キーを生成するには、crypto key mypubkey rsa コマンドを入力します。 |
Invalid cipher type |
SSH クライアントがサポートされていない暗号を要求しました。 |
show version コマンドを入力し、ライセンスがサポートしている機能を確認してから、サポートされている暗号を使用するように SSH クライアントを再設定します。 |
Invalid message length |
ASA に到着する SSH メッセージの長さが 262,144 バイトを超えているか、または 4,096 バイト未満です。データが破損している可能性があります。 |
対処は不要です。 |
Invalid message type |
ASA が非 SSH メッセージを受信したか、あるいはサポートされていない SSH メッセージまたは要求されていない SSH メッセージを受信しました。 |
ピアが SSH クライアントであるかどうかを確認します。ピアが SSHv1 をサポートしているクライアントであり、このメッセージが引き続き表示される場合は、ASA シリアル コンソールから debug ssh コマンドを入力して、デバッグ メッセージを取り込みます。その後、Cisco TAC にお問い合わせください。 |
Out of memory |
このメッセージは、ASA が SSH サーバで使用するメモリを割り当てられず、おそらくはトラフィックが多いために ASA がビジーになっている場合に表示されます。 |
後で SSH セッションを再開します。 |
Rejected by server |
ユーザの認証に失敗しました。 |
ユーザ名とパスワードを確認するようユーザに求めます。 |
Reset by client |
SSH クライアントが SSH_MSG_DISCONNECT メッセージを ASA に送信しました。 |
対処は不要です。 |
status code: hex (hex) |
ユーザが、SSH コンソールで quit または exit を入力せずに、SSH クライアント ウィンドウ(Windows で実行中)を閉じました。 |
対処は不要です。クライアントをただ終了するのではなく、正常に終了するようユーザに推奨します。 |
Terminated by operator |
SSH セッションが、ASA コンソールで ssh disconnect コマンドの入力により終了されました。 |
対処は不要です。 |
Time-out activated |
SSH セッションが、ssh timeout コマンドで指定された継続時間を超えたため、タイムアウトしました。 |
SSH 接続を再開します。ssh timeout コマンドを使用して、5 分のデフォルト値を必要に応じて最大 60 分まで延長することができます。 |
推奨アクション 不要。
315012
エラーメッセージ %ASA-3-315012: Weak SSH type (alg) provided from client IP_address on interface Int. Connection failed. Not FIPS 140-2 compliant.
説明 FIPS 140-2 認証の一部として、FIPS が有効な場合、SSH 接続を確立できるのは暗号方式として aes128-cbc または aes256-cbc、MAC として SHA1 を使用する場合のみです。この Syslog は、受け入れられない暗号方式または MAC が使われている場合に生成されます。FIPS モードが無効の場合、この Syslog は表示されません。
- type:cipher または MAC
- alg:受け入れられない暗号方式または MAC の名前
- IP_address:クライアントの IP アドレス
- int:クライアントが接続しようとしているインターフェイス
推奨アクション 受け入れられる暗号方式または MAC を指定します。
315013
エラー メッセージ %ASA-6-315013: SSH session from <SSH client address> on interface <interface name> for user “<user name>" rekeyed successfully.
説明 この Syslog は、SSH のキー再生成が正常に完了したことを示すために必要です。これはコモン クライテリア認証の要件です。
- SSH_client_address:クライアントの IP アドレス
- interface_name:クライアントが接続しようとしているインターフェイス
- user_name:セッションに関連付けられているユーザ名
推奨アクション なし
316001
エラーメッセージ %ASA-3-316001: Denied new tunnel to IP_address . VPN peer limit (platform_vpn_peer_limit) exceeded
説明プラットフォーム VPN ピアの上限でサポートされているよりも多くの VPN トンネル(ISAKMP/IPSec)を同時に確立しようとした場合、過剰なトンネルは打ち切られます。
推奨アクション必要なし。
316002
エラーメッセージ %ASA-3-316002: VPN Handle error: protocol=protocol , src in_if_num :src_addr , dst out_if_num :dst_addr
説明 VPN ハンドルがすでに存在するため、ASA は VPN ハンドルを作成できません。
- protocol:VPN フローのプロトコル
- in_if_num:VPN フローの入力インターフェイス番号
- src_addr:VPN フローの送信元 IP アドレス
- out_if_num:VPN フローの出力インターフェイス番号
- dst_addr:VPN フローの宛先 IP アドレス
推奨アクションこのメッセージは、正常動作中に発生することもあります。ただし、メッセージが繰り返し表示され、VPN ベースのアプリケーションに深刻な誤動作が発生する場合は、ソフトウェア障害が原因となっている可能性があります。次のコマンドを入力して詳細な情報を収集し、Cisco TAC に問題の調査を依頼してください。
capture
name
type asp-drop vpn-handle-error
show asp table classify crypto detail
show asp table vpn-context
317001
エラーメッセージ %ASA-3-317001: No memory available for limit_slow
説明メモリが低下している状態のため、要求された操作が失敗しました。
推奨アクション他のシステム アクティビティを減らしてメモリの使用を軽減します。状況に応じて、より大容量のメモリ構成にアップグレードしてください。
317002
エラーメッセージ %ASA-3-317002: Bad path index of number for IP_address , number max
説明ソフトウェアのエラーが発生しました。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
317003
エラーメッセージ %ASA-3-317003: IP routing table creation failure - reason
説明内部ソフトウェア エラーが発生したため、新しい IP ルーティング テーブルの作成が妨げられました。
推奨アクション メッセージをそのままコピーし、Cisco TAC に報告してください。
317004
エラーメッセージ %ASA-3-317004: IP routing table limit warning
説明名前付き IP ルーティング テーブル内のルート数が、設定された警告制限に到達しました。
推奨アクション テーブルのルート数を減らすか、制限を設定し直します。
317005
エラーメッセージ %ASA-3-317005: IP routing table limit exceeded - reason , IP_address netmask
説明追加のルートがテーブルに追加されます。
推奨アクション テーブルのルート数を減らすか、制限を設定し直します。
317006
エラーメッセージ %ASA-3-317006: Pdb index error pdb , pdb_index , pdb_type
説明 PDB に対するインデックスが範囲外です。
- pdb:Protocol Descriptor Block(PDB インデックス エラーの記述子)
- pdb_index:PDB インデックス識別子
- pdb_type:PDB インデックス エラーのタイプ
推奨アクション問題が解決しない場合、コンソールまたはシステム ログに表示されるエラー メッセージをそのままコピーし、Cisco TAC にお問い合わせのうえ、TAC の担当者に収集した情報をご提供ください。
317007
エラーメッセージ %ASA-6-317007: Added route_type route dest_address netmask via gateway_address [distance /metric ] on interface_name route_type
説明新しいルートがルーティング テーブルに追加されました。
ルーティング プロトコルのタイプ:
C:接続、S:スタティック、I:IGRP、R:RIP、M:モバイル
B:BGP、D:EIGRP、EX:EIGRP 外部、O:OSPF
IA:OSPF 内部エリア、N1:OSPF NSSA 外部タイプ 1
N2:OSPF NSSA 外部タイプ 2、E1:OSPF 外部タイプ 1
E2:OSPF 外部タイプ 2、E:EGP、i:IS-IS、L1:IS-IS レベル 1
L2:IS-IS レベル 2、ia:IS-IS 内部エリア
- dest_address:このルートの宛先ネットワーク
- netmask:宛先ネットワークのネットマスク
- gateway_address:宛先ネットワークが到達のために使用するゲートウェイのアドレス
- distance:このルートのアドミニストレーティブ ディスタンス
- metric:このルートのメトリック
- interface_name:トラフィックがルーティングされるネットワーク インターフェイス名
推奨アクション必要なし。
317008
エラーメッセージ %ASA-6-317008: Deleted route_type route dest_address netmask via gateway_address [distance /metric ] on interface_name route_type
説明新しいルートがルーティング テーブルから削除されました。
ルーティング プロトコルのタイプ:
C:接続、S:スタティック、I:IGRP、R:RIP、M:モバイル
B:BGP、D:EIGRP、EX:EIGRP 外部、O:OSPF
IA:OSPF 内部エリア、N1:OSPF NSSA 外部タイプ 1
N2:OSPF NSSA 外部タイプ 2、E1:OSPF 外部タイプ 1
E2:OSPF 外部タイプ 2、E:EGP、i:IS-IS、L1:IS-IS レベル 1
L2:IS-IS レベル 2、ia:IS-IS 内部エリア
- dest_address:このルートの宛先ネットワーク
- netmask:宛先ネットワークのネットマスク
- gateway_address:宛先ネットワークが到達のために使用するゲートウェイのアドレス
- distance:このルートのアドミニストレーティブ ディスタンス
- metric:このルートのメトリック
- interface_name:トラフィックがルーティングされるネットワーク インターフェイス名
推奨アクション必要なし。
317012
エラーメッセージ %ASA-3-317012: Interface IP route counter negative - nameif-string-value
説明インターフェイス ルートの数が負の値であることを示します。
- nameif-string-value:nameif コマンドで指定したインターフェイス名
推奨アクション必要なし。
318001
エラーメッセージ %ASA-3-318001: Internal error: reason
説明内部ソフトウェア エラーが発生しました。このメッセージは 5 秒ごとに表示されます。
推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。
318002
エラーメッセージ %ASA-3-318002: Flagged as being an ABR without a backbone area
説明ルータは、ルータにバックボーン エリアが設定されていないエリア境界ルータとしてフラグが立てられました。このメッセージは 5 秒ごとに表示されます。
推奨アクション OSPF プロセスを再起動します。
318003
エラーメッセージ %ASA-3-318003: Reached unknow n state in neighbor state machine
説明内部ソフトウェア エラーが発生しました。このメッセージは 5 秒ごとに表示されます。
推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。
318004
エラーメッセージ %ASA-3-318004: area string lsid IP_address mask netmask adv IP_address type number
説明 OSPF プロセスでリンクステート アドバタイズメントの検出に問題が生じました。これはメモリ リークにつながる可能性があります。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
318005
エラーメッセージ %ASA-3-318005: lsid ip_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number
説明 OSPF で、そのデータベースと IP ルーティング テーブル間に不整合が検出されました。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
318006
エラーメッセージ %ASA-3-318006: if interface_name if_state number
説明内部エラーが発生しました。
推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。
318007
エラーメッセージ %ASA-3-318007: OSPF is enabled on interface_name during idb initialization
説明内部エラーが発生しました。
推奨アクション エラー メッセージをそのままコピーし、Cisco TAC に報告してください。
318008
エラーメッセージ %ASA-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id
説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。このアクションによってすべての仮想リンクが停止させられます。
推奨アクションすべての隣接仮想リンクの仮想リンク コンフィギュレーションを、新しいルータ ID を反映するように変更します。
318009
エラーメッセージ %ASA-3-318009: OSPF: Attempted reference of stale data encountered in function , line: line_num
説明 OSPF が動作中で、他の場所で削除された一部の関連データ構造を参照しようとしました。インターフェイスおよびルータのコンフィギュレーションを消去すると、問題が解決する可能性があります。しかし、このメッセージが表示される場合は、シーケンスの一部のステップによってデータ構造の早期削除が生じているので、調査する必要があります。
- function:予期しないイベントを受信した機能
- line_num:コード中の行番号
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
318101
エラーメッセージ %ASA-3-318101: Internal error: REASON
説明内部ソフトウェア エラーが発生しました。
- REASON:イベントの詳細な原因
推奨アクション必要なし。
318102
エラーメッセージ %ASA-3-318102: Flagged as being an ABR without a backbone area
説明ルータ内のバックボーン領域なしに、ルータが Area Border Router(ABR)としてフラグが設定されました。
推奨アクション OSPF プロセスを再起動します。
318103
エラーメッセージ %ASA-3-318103: Reached unknown state in neighbor state machine
説明内部ソフトウェア エラーが発生しました。
推奨アクション必要なし。
318104
エラーメッセージ %ASA-3-318104: DB already exist: area AREA_ID_STR lsid i adv i type 0x x
説明 OSPF で LSA を見つけることができないため、メモリのリークが発生する可能性があります。
- AREA_ID_STR:領域を表す文字列
- i:整数値
- x:整数値の 16 進表記
推奨アクション必要なし。
318105
エラーメッセージ %ASA-3-318105: lsid i adv i type 0x x gateway i metric d network i mask i protocol #x attr #x net-metric d
説明 OSPF で、そのデータベースと IP ルーティング テーブル間に不整合が検出されました。
- i:整数値
- x:整数値の 16 進表記
- d:数値
推奨アクション必要なし。
318106
エラーメッセージ %ASA-3-318106: if IF_NAME if_state d
説明内部エラーが発生しました。
- IF_NAME:影響を受けるインターフェイスの名前
- d:数値
推奨アクション必要なし。
318107
エラーメッセージ %ASA-3-318107: OSPF is enabled on IF_NAME during idb initialization
説明内部エラーが発生しました。
- IF_NAME:影響を受けるインターフェイスの名前
推奨アクション必要なし。
318108
エラーメッセージ %ASA-3-318108: OSPF process d is changing router-id. Reconfigure virtual link neighbors with our new router-id
説明 OSPF プロセスがリセット中で、新しいルータ ID を選択しようとしています。これにより、すべての仮想リンクがダウンします。再び動作させるには、すべての仮想リンク ネイバー上の仮想リンク設定を変更する必要があります。
- d:プロセス ID を表す番号
推奨アクションすべての近隣仮想リンクの仮想リンク コンフィギュレーションを、新しいルータ ID を含むように変更します。
318109
エラーメッセージ %ASA-3-318109: OSPFv3 has received an unexpected message: 0x / 0x
説明 OSPFv3 が予期しないプロセス間メッセージを受信しました。
- x:整数値の 16 進表記
推奨アクション必要なし。
318110
エラーメッセージ %ASA-3-318110: Invalid encrypted key s .
説明指定された暗号キーが無効です。
- s:暗号キーを表す文字列
推奨アクション クリア テキストのキーを指定し、service password-encryption コマンドを入力して暗号化するか、または指定した暗号キーが有効であることを確認します。指定された暗号キーが無効な場合は、システム設定時にエラー メッセージが表示されます。
318111
エラーメッセージ %ASA-3-318111: SPI u is already in use with ospf process d
説明すでに使用されている SPI を使用しようとしました。
- u:SPI を表す番号
- d:プロセス ID を表す番号
推奨アクション別の SPI を選択します。
318112
エラーメッセージ %ASA-3-318112: SPI u is already in use by a process other than ospf process d .
説明すでに使用されている SPI を使用しようとしました。
- u:SPI を表す番号
- d:プロセス ID を表す番号
推奨アクション別の SPI を選択します。すでに使用されている SPI のリストを表示するには、show crypto ipv6 ipsec sa コマンドを入力します。
318113
エラーメッセージ %ASA-3-318113: s s is already configured with SPI u .
説明すでに使用されている SPI を使用しようとしました。
- s:インターフェイスを表す文字列
- u:SPI を表す番号
推奨アクション最初に SPI を設定解除するか、別の SPI を選択します。
318114
エラーメッセージ %ASA-3-318114: The key length used with SPI u is not valid
説明キーの長さが間違っています。
- u:SPI を表す番号
推奨アクション有効な IPsec キーを選択します。IPsec 認証キーは 32 桁(MD5)または 40 桁(SHA-1)の 16 進数値である必要があります。
318115
エラーメッセージ %ASA-3-318115: s error occured when attempting to create an IPsec policy for SPI u
説明 IPsec API(内部)エラーが発生しました。
- s:エラーを表す文字列
- u:SPI を表す番号
推奨アクション必要なし。
318116
エラーメッセージ %ASA-3-318116: SPI u is not being used by ospf process d .
説明 OSPFv3 で使用されていない SPI を設定解除しようとしました。
- u:SPI を表す番号
- d:プロセス ID を表す番号
推奨アクション OSPFv3 によって使用されている SPI を確認するには、show コマンドを入力します。
318117
エラーメッセージ %ASA-3-318117: The policy for SPI u could not be removed because it is in use.
説明表示された SPI のポリシーを削除しようとしましたが、そのポリシーがまだセキュア ソケットにより使用されていました。
- u:SPI を表す番号
推奨アクション必要なし。
318118
エラーメッセージ %ASA-3-318118: s error occured when attemtping to remove the IPsec policy with SPI u
説明 IPsec API(内部)エラーが発生しました。
- s:指定されたエラーを表す文字列
- u:SPI を表す番号
推奨アクション必要なし。
318119
エラーメッセージ %ASA-3-318119: Unable to close secure socket with SPI u on interface s
説明 IPsec API(内部)エラーが発生しました。
- u:SPI を表す番号
- s:指定されたインターフェイスを表す文字列
推奨アクション必要なし。
318120
エラーメッセージ %ASA-3-318120: OSPFv3 was unable to register with IPsec
説明内部エラーが発生しました。
推奨アクション必要なし。
318121
エラーメッセージ %ASA-3-318121: IPsec reported a GENERAL ERROR: message s , count d
説明内部エラーが発生しました。
- s:指定されたメッセージを表す文字列
- d:生成メッセージの総数を表す数値
推奨アクション必要なし。
318122
エラーメッセージ %ASA-3-318122: IPsec sent a s message s to OSPFv3 for interface s . Recovery attempt d
説明内部エラーが発生しました。システムがセキュアなソケットの再オープンと復旧を試みています。
- s:指定されたメッセージと指定されたインターフェイスを表す文字列
- d:リカバリ試行回数を表す数値
推奨アクション必要なし。
318123
エラーメッセージ %ASA-3-318123: IPsec sent a s message s to OSPFv3 for interface IF_NAME . Recovery aborted
説明内部エラーが発生しました。リカバリの試行の最大数を超えました。
- s:指定されたメッセージを表す文字列
- IF_NAME:指定されたインターフェイス
推奨アクション必要なし。
318125
エラーメッセージ %ASA-3-318125: Init failed for interface IF_NAME
説明インターフェイスの初期化に失敗しました。考えられる原因は、次のとおりです。
- インターフェイスの接続先となる領域が削除されています。
- リンク スコープのデータベースを作成できませんでした。
- ローカル ルータのネイバー データブロックを作成できませんでした。
推奨アクション インターフェイスを初期設定するコンフィギュレーション コマンドを削除して、再試行します。
318126
エラーメッセージ %ASA-3-318126: Interface IF_NAME is attached to more than one area
説明インターフェイスが、インターフェイスのリンク先以外の領域のインターフェイス リストに含まれています。
- IF_NAME:指定されたインターフェイス
推奨アクション必要なし。
318127
エラーメッセージ %ASA-3-318127: Could not allocate or find the neighbor
説明内部エラーが発生しました。
推奨アクション必要なし。
319001
エラー メッセージ %ASA-3-319001: Acknowledge for arp update for IP address dest_address not received (number ).
説明 ASA 内の ARP プロセスが、ASA のオーバーロードが原因で内部同期外れになっています。
推奨アクション 不要。一時的なエラーです。ASA の平均負荷を確認し、許容量を超えて使用されていないことを確認します。
319002
エラー メッセージ %ASA-3-319002: Acknowledge for route update for IP address dest_address not received (number ).
説明 ASA 内のルーティング モジュールが、ASA のオーバーロードが原因で内部同期外れになっています。
推奨アクション 不要。一時的なエラーです。ASA の平均負荷を確認し、許容量を超えて使用されていないことを確認します。
319003
エラー メッセージ %ASA-3-319003: Arp update for IP address address to NPn failed.
説明 ARP エントリをアップデートする必要がある場合、内部 ARP テーブルをアップデートするためにネットワーク プロセッサ(NP)にメッセージが送信されます。モジュールでメモリ使用率が高くなっている場合、または内部テーブルが満杯になっている場合は、NP へのメッセージが拒否されて、このメッセージが生成される可能性があります。
推奨アクション ARP テーブルが満杯であるかどうかを確認します。満杯ではない場合、CPU 使用率および秒あたりの接続数を確認してモジュールの負荷を調べます。CPU 使用率が高いか、秒あたりの接続数が多い場合、負荷が正常に戻ると正常動作が再開されます。
319004
エラー メッセージ %ASA-3-319004: Route update for IP address dest_address failed (number ).
説明 ASA 内のルーティング モジュールが、システムのオーバーロードが原因で内部同期外れになっています。
推奨アクション 不要。一時的なエラーです。システムの平均負荷をチェックし、許容量を超えて使用されていないことを確認します。