メッセージ 701001 ~ 713109
この項では、701001 から 713109 までのメッセージについて説明します。
701001
エラーメッセージ %ASA-7-701001:
alloc_user() out of Tcp_user objects
説明モジュールが新しい AAA を処理するのにユーザ認証のレートが高すぎる場合に表示される AAA メッセージ。
推奨アクション floodguard enable コマンドで Flood Defender をイネーブルにします。
701002
エラーメッセージ %ASA-7-701002: alloc_user() out of Tcp_proxy objects
説明モジュールが新しい AAA を処理するのにユーザ認証のレートが高すぎる場合に表示される AAA メッセージ。
推奨アクション floodguard enable コマンドで Flood Defender をイネーブルにします。
702305
エラー メッセージ %ASA-3-702305: IPSEC: An direction tunnel_type SA (SPI=spi ) between local_IP and remote_IP (username ) is rekeying due to sequence number rollover.
説明 新規のトンネルのネゴシエーション中に 40 億を超えるパケットを IPSec トンネルで受信しました。
- direction:SA の方向(インバウンドまたはアウトバウンド)
- tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
- spi:IPSec のセキュリティ パラメータ インデックス
- local_IP:トンネルのローカル エンドポイントの IP アドレス
- remote_IP:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザ名
推奨アクション ピアの管理者に問い合わせて、SA ライフタイム設定を比較します。
702307
エラー メッセージ %ASA-7-702307: IPSEC: An direction tunnel_type SA (SPI=spi ) between local_IP and remote_IP (username ) is rekeying due to data rollover.
説明 SA データ ライフ スパンの期限が切れました。IPSec SA が、転送したデータ量の結果、キーを再生成しています。この情報は、キー再生成の問題をデバッグする場合に役立ちます。
- direction:SA の方向(インバウンドまたはアウトバウンド)
- tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
- spi:IPSec のセキュリティ パラメータ インデックス
- local_IP:トンネルのローカル エンドポイントの IP アドレス
- remote_IP:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザ名
推奨アクション 不要。
703001
エラーメッセージ %ASA-7-703001: H.225 message received from interface_name :IP_address /port to interface_name :IP_address /port is using an unsupported version number
説明 ASA はサポートされていないバージョン番号の H .323 パケットを受信しました。ASAが、パケットのプロトコル バージョン フィールドをサポートされている最新バージョンに再符号化する場合があります。
推奨アクション ASA が VoIP ネットワークにおいてサポートしている H.323 のバージョンを使用します。
703002
エラーメッセージ %ASA-7-703002: Received H.225 Release Complete with newConnectionNeeded for interface_name :IP_address to interface_name :IP_address /port
説明指摘された H.225 メッセージを ASA が受信し、指摘された 2 つの H.323 エンドポイントに対して新規シグナリング接続オブジェクトを ASA がオープンしました。
推奨アクション必要なし。
703008
エラーメッセージ %ASA-7-703008: Allowing early-message: %s before SETUP from %s:%Q/%d to %s:%Q/%d
説明このメッセージは、外部のエンドポイントが内部ホストへの着信コールを要求したことを示し、内部ホストがゲートキーパーに対して SETUP メッセージの前に FACILITY メッセージを送信し、H.460.18 に従うことを望んでいます。
推奨アクション H.640.18 に記載されているように、着信 H323 コールの SETUP メッセージの前に早期の FACILITY メッセージを許可するように設定されていることを確認してください。
709001、709002
エラーメッセージ %ASA-7-709001: FO replication failed: cmd=command returned=code
エラーメッセージ %ASA-7-709002: FO unreplicable: cmd=
command
説明開発のデバッグおよびテスト段階だけで表示されるフェールオーバー メッセージ。
推奨アクション必要なし。
709003
エラーメッセージ %ASA-1-709003: (Primary) Beginning configuration replication: Sending to mate.
説明アクティブ装置が自分のコンフィギュレーションのスタンバイ装置への複製を開始すると表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション必要なし。
709004
エラーメッセージ %ASA-1-709004: (Primary) End Configuration Replication (ACT)
説明アクティブ装置が自分のコンフィギュレーションのスタンバイ装置上への複製を完了すると表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション必要なし。
709005
エラーメッセージ %ASA-1-709005: (Primary) Beginning configuration replication: Receiving from mate.
説明スタンバイ ASA がアクティブ ASA からコンフィギュレーション複製の最初の部分を受け取りました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション必要なし。
709006
エラーメッセージ %ASA-1-709006: (Primary) End Configuration Replication (STB)
説明スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了したときに表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション必要なし。
709007
エラーメッセージ %ASA-2-709007: Configuration replication failed for command
説明スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了できない場合に表示されるフェールオーバー メッセージ。障害を発生させたコマンドが、メッセージの末尾に表示されます。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
709008
エラーメッセージ %ASA-4-709008: (Primary | Secondary) Configuration sync in progress. Command: ‘command ’ executed from (terminal/http) will not be replicated to or executed by the standby unit.
説明設定の同期中にコマンドが発行され、このコマンドがスタンバイ装置で発行されないことを示すインタラクティブ プロンプトが表示されました。続行するには、コマンドがアクティブ装置でのみ発行され、スタンバイ装置では複製されないことに注意してください。
- Primary | Secondary:デバイスはプライマリまたはセカンダリのいずれかです
- command:設定の同期が進行中のときに発行されたコマンド
- terminal/http:端末から、または HTTP 経由で発行されました。
推奨アクションなし。
710001
エラーメッセージ %ASA-7-710001: TCP access requested from source_address /source_port to interface_name :dest_address /service
説明 ASA 宛ての最初の TCP パケットで TCP セッションの確立を要求しています。このパケットは、3 ウェイ ハンドシェイクの最初の SYN パケットです。このメッセージは、それぞれ(Telnet、HTTP、または SSH)でパケットが許可されている場合に表示されます。しかし、SYN クッキー検証はまだ完了しておらず、状態は予約されていません。
推奨アクション必要なし。
710002
エラーメッセージ %ASA-7-710002: {TCP|UDP} access permitted from source_address /source_port to interface_name :dest_address /service
説明 TCP 接続の場合、ASA 宛ての 2 番目の TCP パケットで TCP セッションの確立を要求しました。このパケットは、3 ウェイ ハンドシェイクの最終 ACK です。それぞれ(Telnet、HTTP、または SSH)でパケットが許可されました。また、SYN クッキー検証が成功し、状態が TCP セッション用に予約されます。
UDP 接続の場合、接続は許可されました。たとえば、認可された SNMP 管理ステーションからの SNMP 要求をモジュールが受信し、その要求が処理されました。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
推奨アクション必要なし。
710003
エラーメッセージ %ASA-3-710003: {TCP|UDP} access denied by ACL from source_IP/source_port to interface_name :dest_IP/service
説明インターフェイス サービスへの接続の試みが ASA によって拒否されました。たとえば、認可されていない SNMP 管理ステーションからの SNMP 要求を ASA が受信しました。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
次に例を示します。
%ASA-3-710003: UDP access denied by ACL from 95.1.1.14/5000 to outside:95.1.1.13/1005
推奨アクション show run http コマンド、show run ssh コマンド、または show run telnet コマンドを使用して、ホストまたはネットワークからのサービス アクセスを許可するように ASA が設定されていることを確認します。
710004
エラーメッセージ %ASA-7-710004: TCP connection limit exceeded from Src_ip /Src_port to In_name :Dest_ip /Dest_port (current connections/connection limit = Curr_conn/Conn_lmt)
説明サービス用の ASA 管理接続の最大数を超えました。ASAは、管理サービスあたり最大 5 つの同時管理接続を許可します。または、to-the-box 接続カウンタでエラーが発生している可能性があります。
- Src_ip:パケットの送信元 IP アドレス
- Src_por t:パケットの送信元ポート
- In_ifc:入力インターフェイス
- Dest_ip:パケットの宛先 IP アドレス
- Dest_port:パケットの宛先ポート
- Curr_conn:現在の to-the-box 管理接続数
- Conn_lmt:接続制限
推奨アクション コンソールから、kill コマンドを使用して不要なセッションを解放します。to-the-box カウンタのエラーが原因でメッセージが生成された場合は、show conn all コマンドを実行して接続の詳細を表示します。
710005
エラーメッセージ %ASA-7-710005: {TCP|UDP|SCTP} request discarded from source_address /source_port to interface_name :dest_address /service
説明 UDP 要求を処理する UDP サーバが ASA にありません。また、ASA 上のどのセッションにも属していない TCP パケットが破棄された可能性もあります。さらにこのメッセージは、認可されたホストからの場合でも、ペイロードが空の SNMP 要求を ASA が受信した場合に表示されます(SNMP サービスで)。サービスが SNMP の場合、このメッセージは最大でも 10 秒ごとに 1 回の発生として、ログ受信プログラムが過負荷にならないようにします。このメッセージは SCTP パケットにも適用されます。
推奨アクション DHCP、RIP、NetBIOS などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
710006
エラーメッセージ %ASA-7-710006: protocol request discarded from source_address to interface_name :dest_address
説明 IP プロトコル要求を処理する IP サーバが ASA にありません。たとえば、ASA が TCP または UDP でない IP パケットを受信し、ASA が要求を処理できません。
推奨アクション DHCP、RIP、NetBIOS などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
710007
エラーメッセージ %ASA-7-710007: NAT-T keepalive received from 86.1.161.1/1028 to outside:86:1.129.1/4500
説明 ASA は NAT-T キープ アライブ メッセージを受信しました。
推奨アクション必要なし。
711001
エラーメッセージ %ASA-7-711001: debug_trace_msg
説明ロギング機能のために logging debug-trace コマンドを入力しました。logging debug-trace コマンドがイネーブルの場合、すべてのデバッグ メッセージはメッセージにリダイレクトされて処理されます。セキュリティ上の理由から、メッセージ出力は暗号化するか、またはセキュア アウトオブバンド ネットワークで送信する必要があります。
推奨アクション必要なし。
711002
エラーメッセージ %ASA-4-711002: Task ran for elapsed_time msecs, process = process_name , PC = PC Tracebeback = traceback
説明プロセスの CPU 使用が 100 ミリ秒を超えました。このメッセージは CPU のデバッグに使用され、各攻撃プロセスに対して 5 秒に 1 回表示できます。
- PC:CPU 負荷の高いプロセスの命令ポインタ
- traceback:CPU 負荷の高いプロセスのスタック トレース(最大 12 個のアドレスを含むことができます)
推奨アクション必要なし。
711003
エラーメッセージ ASA-7-711003: Unknown/Invalid interface identifier(vpifnum ) detected.
説明正常動作中に発生してはならない内部不整合が発生しました。ただし、このメッセージがまれにしか発生しない場合は害がありません。頻繁に表示される場合は、デバッグする意味があると考えられます。
- vpifnum:インターフェイスに対応する 32 ビット値
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
711004
エラーメッセージ %ASA-4-711004: Task ran for msec msec, Process = process_name , PC = pc , Call stack = call stack
説明プロセスの CPU 使用が 100 ミリ秒を超えました。このメッセージは CPU のデバッグに使用され、各攻撃プロセスに対して 5 秒に 1 回表示できます。
- msec:検出された CPU 占有時間の長さ(ミリ秒単位)
- process_name:占有しているプロセスの名前
- pc:CPU 負荷の高いプロセスの命令ポインタ
- call stack:CPU 負荷の高いプロセスのスタック トレース(最大 12 個のアドレスを含むことができます)
推奨アクション必要なし。
711005
エラーメッセージ %ASA-5-711005: Traceback: call_stack
説明発生してはならない内部ソフトウェア エラーが発生しました。デバイスは、通常、このエラーから回復でき、デバイスへの悪影響は生じません。
- call_stack:コール スタックの EIP
推奨アクション Cisco TAC にお問い合わせください。
711006
エラーメッセージ %ASA-7-711006: CPU profiling has started for n-samples samples. Reason: reason-string .
説明 CPU プロファイリングが開始されました。
- n-samples:CPU プロファイリング サンプルの指定数
- reason-string:次のうちどれかです。
“CPU utilization passed cpu-utilization %”
“Process process-name CPU utilization passed cpu-utilization %”
推奨アクション指定なし
推奨アクション CPU プロファイリング結果を収集し、それらを Cisco TAC に提供します。
713004
エラーメッセージ %ASA-3-713004: device scheduled for reboot or shutdown, IKE key acquire message on interface interface num , for Peer IP_address ignored
説明 ASA が、トンネルを開始しようとしているリモート エンティティから IKE パケットを受信しました。ASAはリブートまたはシャットダウンがスケジュールされているので、これ以上トンネルを確立できません。この IKE パケットは無視されて、廃棄されます。
推奨アクション必要なし。
713201
エラーメッセージ %ASA-5-713201: Duplicate Phase Phase packet detected. 操作
説明 ASA は、前のフェーズ 1 またはフェーズ 2 パケットの複製を受信し、最後のメッセージを送信します。ネットワーク パフォーマンスまたは接続の問題が発生し、ピアが送信されたパケットを迅速に受信していないた可能性があります。
- Phase:Phase 1 または Phase 2
- Action:Retransmitting last packet または No last packet to transmit
推奨アクション ネットワークのパフォーマンスまたは接続を確認します。
713202
エラーメッセージ %ASA-6-713202: Duplicate IP_addr packet detected.
説明 ASA は、ASA がすでに認識しネゴシエートしているトンネルの重複する最初のパケットを受信しました。これは、多くの場合、ASA がピアからパケットの再送信を受信したことを示します。
- IP_addr:重複する最初のパケットの送信元ピアの IP アドレス
推奨アクション接続に失敗していない限り処置は不要です。接続に失敗する場合は、さらにデバッグして問題を診断します。
713006
エラーメッセージ %ASA-5-713006: Failed to obtain state for message Id message_number , Peer Address: IP_address
説明 ASA が受信したメッセージ ID が未知の ID です。メッセージ ID は、特定の IKE フェーズ 2 ネゴシエーションの識別に使用されます。ASA でエラー状態が発生し、2 つの IKE ピアの同期がとれていないことを示す場合があります。
推奨アクション必要なし。
713008
エラーメッセージ %ASA-3-713008: Key ID in ID payload too big for pre-shared IKE tunnel
説明 ID ペイロードでキー ID 値を受信したが、その値が事前共有キー認証を使用する IKE セッションのグループ名の最大許容サイズよりも長かったことを示します。これは無効な値で、セッションは拒否されます。指摘されたキー ID は、そのサイズのグループ名をASAで作成できないので、機能することはありません。
推奨アクション クライアント ピア(おそらくは Altiga リモート アクセス クライアント)が有効なグループ名を指定していることを確認します。クライアント上の誤ったグループ名を変更するようにユーザに通知します。グループ名の現在の最大長は 32 文字です。
713009
エラーメッセージ %ASA-3-713009: OU in DN in ID payload too big for Certs IKE tunnel
説明 ID ペイロードで DN の OU 値を受信したが、その値が証明書認証を使用する IKE セッションのグループ名の最大許容サイズよりも長かったことを示します。この OU はスキップされますが、別の OU または他の基準を使用して一致するグループを検出できます。
推奨アクション クライアントが OU を使用して ASA からグループを検出するには、グループ名が有効な長さでなければなりません。グループ名の現在の最大長は 32 文字です。
713010
エラーメッセージ %ASA-5-713010: IKE area: failed to find centry for message Id
message_number
一意のメッセージ ID で conn_entry(IPSec SA に対応する IKE フェーズ 2 構造)を特定しようとして失敗しました。内部構造が見つかりませんでした。セッションが標準外の方法で終了した場合に発生しますが、より可能性が高いのは、内部エラーが発生したことです。
この問題が解決しない場合は、ピアを調査します。
713012
エラーメッセージ %ASA-3-713012: Unknown protocol (protocol ). Not adding SA w/spi=SPI value
説明不正またはサポートされていない IPSec プロトコルをピアから受信しました。
推奨アクション ピアの ISAKMP フェーズ 2 設定をチェックして、ASA と互換性があることを確認します。
713014
エラーメッセージ %ASA-3-713014: Unknown Domain of Interpretation (DOI): DOI value
説明ピアから受信した ISAKMP DOI がサポートされていません。
推奨アクション ピアの ISAKMP DOI コンフィギュレーションを確認します。
713016
エラーメッセージ %ASA-3-713016: Unknown identification type, Phase 1 or 2, Type ID_Type
説明ピアから受信した未知の ID です。ID が、よく知られていない有効な ID である場合、または無効または破損した ID である場合があります。
推奨アクション ヘッドエンドおよびピアのコンフィギュレーションを確認します。
713017
エラーメッセージ %ASA-3-713017: Identification type not supported, Phase 1 or 2, Type ID_Type
説明ピアから受信したフェーズ 1 またはフェーズ 2 の ID が正当であるが、サポートされていません。
推奨アクション ヘッドエンドおよびピアのコンフィギュレーションを確認します。
713018
エラーメッセージ %ASA-3-713018: Unknown ID type during find of group name for certs, Type ID_Type
説明内部ソフトウェア エラーが発生しました。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
713020
エラーメッセージ %ASA-3-713020: No Group found by matching OU(s) from ID payload: OU_value
説明内部ソフトウェア エラーが発生しました。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
713022
エラーメッセージ %ASA-3-713022: No Group found matching peer_ID or IP_address for Pre-shared key peer IP_address
説明グループ データベースに、ピアで指摘された値(キー ID または IP アドレス)と同じ名前のグループがあります。
推奨アクション ピアのコンフィギュレーションを確認します。
713024
エラーメッセージ %ASA-7-713024: Group group IP ip Received local Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port
説明 ASA がリモート ピアからフェーズ 2 のローカル プロキシ ID ペイロードを受信しました。
推奨アクション必要なし。
713025
エラーメッセージ %ASA-7-713025: Received remote Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port
説明 ASA がリモート ピアからフェーズ 2 のローカル プロキシ ID ペイロードを受信しました。
推奨アクション必要なし。
713028
エラーメッセージ %ASA-7-713028: Received local Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port
説明 ASA がリモート ピアのフェーズ 2 のローカル プロキシ ID ペイロードを受信して、その中に IP アドレス範囲が含まれています。
推奨アクション必要なし。
713029
エラーメッセージ %ASA-7-713029: Received remote Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port
説明 ASA がリモート ピアのフェーズ 2 のローカル プロキシ ID ペイロードを受信して、その中に IP アドレス範囲が含まれています。
推奨アクション必要なし。
713032
エラーメッセージ %ASA-3-713032: Received invalid local Proxy Range IP_address - IP_address
説明ローカル ID ペイロードに範囲 ID タイプが含まれ、指摘された低アドレスが高アドレス以上でした。設定に問題がある可能性があります。
推奨アクション ISAKMP フェーズ 2 のパラメータのコンフィギュレーションを確認します。
713033
エラーメッセージ %ASA-3-713033:
Received invalid remote Proxy Range IP_address - IP_address
説明リモート ID ペイロードに範囲 ID タイプが含まれ、指摘された低アドレスが高アドレス以上でした。設定に問題がある可能性があります。
推奨アクション ISAKMP フェーズ 2 のパラメータのコンフィギュレーションを確認します。
713034
エラーメッセージ %ASA-7-713034: Received local IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port
説明ローカル IP プロキシ サブネット データがフェーズ 2 の ID ペイロードで受信されました。
推奨アクション必要なし。
713035
エラーメッセージ %ASA-7-713035: Group group IP ip Received remote IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port
説明リモート IP プロキシ サブネット データがフェーズ 2 の ID ペイロードで受信されました。
推奨アクション必要なし。
713039
エラーメッセージ %ASA-7-713039: Send failure: Bytes (number ), Peer: IP_address
説明内部ソフトウェア エラーが発生し、ISAKMP パケットを転送できません。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
713040
エラーメッセージ %ASA-7-713040: Could not find connection entry and can not encrypt: msgid message_number
説明内部ソフトウェア エラーが発生し、フェーズ 2 データ構造を検出できません。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
713041
エラーメッセージ %ASA-5-713041: IKE Initiator: new or rekey Phase 1 or 2, Intf interface_number , IKE Peer IP_address local Proxy Address IP_address , remote Proxy Address IP_address , Crypto map (crypto map tag )
説明 ASA が発信側としてトンネルをネゴシエーション中です。
推奨アクション必要なし。
713042
エラーメッセージ %ASA-3-713042: IKE Initiator unable to find policy: Intf interface_number , Src: source_address , Dst: dest_address
説明 IPSec ファースト パスで、IKE を起動したパケットを処理したが、IKE のポリシー ルックアップが失敗しました。このエラーは、タイミングに関連している場合があります。IKE が開始要求を処理する前に、IKE を起動した ACL が削除されていた可能性があります。この問題は、多くの場合、自分自身で訂正されます。
推奨アクション同じ状態が続く場合、クリプト マップに関連付けられている ACL のタイプに特に注意しながら、L2L コンフィギュレーションを確認します。
713043
エラーメッセージ %ASA-3-713043: Cookie/peer address IP_address session already in progress
説明元のトンネルが進行中に、IKE が再度起動されました。
推奨アクション必要なし。
713048
エラーメッセージ %ASA-3-713048: Error processing payload: Payload ID: id
説明処理できなかったペイロードでパケットが受信されました。
推奨アクションこの問題が解決しない場合は、ピアのコンフィギュレーションに誤りがある可能性があります。
713049
エラーメッセージ %ASA-5-713049: Security negotiation complete for tunnel_type type (group_name ) Initiator /Responder , Inbound SPI = SPI , Outbound SPI = SPI
説明 IPSec トンネルが開始されました。
推奨アクション必要なし。
713050
エラーメッセージ %ASA-5-713050: Connection terminated for peer IP_address . Reason: termination reason Remote Proxy IP_address , Local Proxy IP_address
説明 IPSec トンネルが終了しました。考えられる終了理由を次に示します。
- IPSec SA のアイドル タイムアウト
- IPSec SA の最大時間を超過した
- 管理者がリセットした
- 管理者がリブートした
- 管理者がシャットダウンした
- セッションが切断された
- セッション エラーで終了した
- ピアが終了した
推奨アクション必要なし。
713052
エラーメッセージ %ASA-7-713052: User (user ) authenticated.
説明リモート アクセス ユーザが認証されました。
推奨アクション必要なし。
713056
エラーメッセージ %ASA-3-713056: Tunnel rejected: SA (SA_name ) not found for group (group_name )!
説明 IPSec SA が見つかりませんでした。
推奨アクションこれがリモート アクセス トンネルの場合、グループとユーザ コンフィギュレーションをチェックして、特定のユーザ グループに対してトンネル グループとグループ ポリシーが設定されていることを確認します。外部で認証されたユーザおよびグループの場合は、返された認証属性を確認します。
713060
エラーメッセージ %ASA-3-713060: Tunnel Rejected: User (user ) not member of group (group_name ), group-lock check failed.
説明ユーザが、IPSec ネゴシエーションで送信されたグループとは別のグループに設定されています。
推奨アクション Cisco VPN クライアントと事前共有キーを使用している場合、クライアントに設定されているグループが、ASA 上のユーザに関連付けられているグループと同じであることを確認します。デジタル証明書を使用している場合、グループは、証明書の OU フィールドで指定されているか、またはユーザはリモート アクセスのデフォルト グループにデフォルトで自動的に設定されています。
713061
エラーメッセージ %ASA-3-713061: Tunnel rejected: Crypto Map Policy not found for Src:source_address , Dst: dest_address !
説明 ASA が、メッセージに示されているプライベート ネットワークまたはホストのセキュリティ ポリシー情報を検出できませんでした。これらのネットワークまたはホストは、発信側によって送信され、ASA のどの暗号 ACL とも一致しません。多くの場合、これはコンフィギュレーションの誤りです。
推奨アクション両側の暗号 ACL 内の保護されたネットワーク コンフィギュレーションをチェックして、発信側のローカル ネットが応答側のリモート ネットであること(およびその逆)を確認します。ワイルドカード マスクと、ホスト アドレス対ネットワーク アドレスに特に注意します。シスコ以外の実装では、プライベート アドレスがプロキシ アドレスまたは赤い色のネットワークとしてラベル付けされている場合があります。
713062
エラーメッセージ %ASA-3-713062: IKE Peer address same as our interface address IP_address
説明 IKE ピアとして設定されている IP アドレスが、ASA IP インターフェイスのいずれかで設定されている IP アドレスと同じです。
推奨アクション L2L コンフィギュレーションと IP インターフェイス コンフィギュレーションを確認します。
713063
エラーメッセージ %ASA-3-713063: IKE Peer address not configured for destination IP_address
説明 IKE ピア アドレスが L2L トンネルに対して設定されていません。
推奨アクション L2L 構成を確認します。
713065
エラーメッセージ %ASA-3-713065: IKE Remote Peer did not negotiate the following: proposal attribute
説明内部ソフトウェア エラーが発生しました。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
713066
エラーメッセージ %ASA-7-713066: IKE Remote Peer configured for SA: SA_name
説明ピアの暗号ポリシーが設定されています。
推奨アクション必要なし。
713068
エラーメッセージ %ASA-5-713068: Received non-routine Notify message: notify_type (notify_value)
説明このイベントの原因となる通知メッセージが通知処理コードで明示的に処理されません。
推奨アクション実行するアクションを判別するには、特定の理由を調べます。通知メッセージの多くは、IKE ピア間のコンフィギュレーションの不一致を示します。
713072
エラーメッセージ %ASA-3-713072: Password for user (user ) too long, truncating to number characters
説明ユーザのパスワードが長すぎます。
推奨アクション認証サーバでパスワードの長さを訂正します。
713073
エラーメッセージ %ASA-5-713073: Responder forcing change of Phase 1 /Phase 2 rekeying duration from larger_value to smaller_value seconds
説明キー再生成の時間は、IKE ピアが指定する値よりも常に低い値に設定されます。発信側の値の方が低いことを示します。
推奨アクション必要なし。
713074
エラーメッセージ %ASA-5-713074: Responder forcing change of IPsec rekeying duration from larger_value to smaller_value Kbs
説明キー再生成の時間は、IKE ピアが指定する値よりも常に低い値に設定されます。発信側の値の方が低いことを示します。
推奨アクション必要なし。
713075
エラーメッセージ %ASA-5-713075: Overriding Initiator's IPsec rekeying duration from larger_value to smaller_value seconds
説明キー再生成の時間は、IKE ピアが指定する値よりも常に低い値に設定されます。応答側の値の方が低いことを示します。
推奨アクション必要なし。
713076
エラーメッセージ %ASA-5-713076: Overriding Initiator's IPsec rekeying duration from larger_value to smaller_value Kbs
説明キー再生成の時間は、IKE ピアが指定する値よりも常に低い値に設定されます。応答側の値の方が低いことを示します。
推奨アクション必要なし。
713078
エラーメッセージ %ASA-2-713078: Temp buffer for building mode config attributes exceeded: bufsize available_size , used value
説明 modecfg 属性の処理中に内部ソフトウェア エラーが発生したことを示します。
推奨アクション不要なトンネル グループ属性をディセーブルにするか、長すぎるテキスト メッセージを短くします。問題が解決しない場合、Cisco TAC にお問い合わせください。
713081
エラーメッセージ %ASA-3-713081: Unsupported certificate encoding type encoding_type
説明ロードされた証明書のいずれかが読み取り不可か、またはサポートされていない符号化スキームである可能性があります。
推奨アクション デジタル証明書およびトラストポイントのコンフィギュレーションを確認します。
713082
エラーメッセージ %ASA-3-713082: Failed to retrieve identity certificate
説明このトンネルの ID 証明書が見つかりません。
推奨アクション デジタル証明書およびトラストポイントのコンフィギュレーションを確認します。
713083
エラーメッセージ %ASA-3-713083: Invalid certificate handle
説明このトンネルの ID 証明書が見つかりません。
推奨アクション デジタル証明書およびトラストポイントのコンフィギュレーションを確認します。
713084
エラーメッセージ %ASA-3-713084: Received invalid phase 1 port value (port ) in ID payload
説明 IKE フェーズ 1 ID ペイロードで受信されたポート値が正しくありませんでした。受け入れ可能な値は 0 または 500 です(ISAKMP は IKE とも呼ばれます)。
推奨アクション ネットワークの問題が破損したパケットの原因になることを回避するために、ピアが IKE 規格に準拠していることを確認します。
713085
エラーメッセージ %ASA-3-713085: Received invalid phase 1 protocol (protocol ) in ID payload
説明 IKE フェーズ 1 ID ペイロードで受信されたプロトコル値が正しくありませんでした。受け入れ可能な値は 0 または 17(UDP)です。
推奨アクション ネットワークの問題が破損したパケットの原因になることを回避するために、ピアが IKE 規格に準拠していることを確認します。
713086
エラーメッセージ %ASA-3-713086: Received unexpected Certificate payload Possible invalid Auth Method (Auth method (auth numerical value))
説明証明書ペイロードが受信されたが、ID 証明書がないことが内部証明書ハンドルによって示されています。証明書ハンドルが通常の登録方法で獲得されませんでした。これが発生する理由として考えられるのは、認証方式が RSA または DSS シグニチャを通じて行われていないことです。ただし、それぞれの側の設定が誤っていると、IKE SA ネゴシエーションは失敗します。
推奨アクション ASA とそのピアでトラストポイントと ISAKMP コンフィギュレーション設定を確認します。
713088
エラーメッセージ %ASA-3-713088: Set Cert filehandle failure: no IPsec SA in group group_name
説明デジタル証明書情報に基づいてトンネル グループを検出できなかったことを示しています。
推奨アクション ピアの証明書情報を処理するようトンネル グループが正しく設定されていることを確認します。
713092
エラーメッセージ %ASA-5-713092: Failure during phase 1 rekeying attempt due to collision
説明内部ソフトウェア エラーが発生しました。多くの場合、これは問題のないイベントです。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
713094
エラーメッセージ %ASA-7-713094: Cert validation failure: handle invalid for Main /Aggressive Mode Initiator /Responder !
説明内部ソフトウェア エラーが発生しました。
推奨アクション場合によっては、トラストポイントを再登録する必要があります。問題が解決しない場合、Cisco TAC にお問い合わせください。
713098
エラーメッセージ %ASA-3-713098: Aborting: No identity cert specified in IPsec SA (SA_name )!
説明証明書ベースの IKE セッションを確立しようとしたときに、暗号ポリシーで ID 証明書が指定されませんでした。
推奨アクション ピアに送信する ID 証明書またはトラストポイントを指定します。
713099
エラーメッセージ %ASA-7-713099: Tunnel Rejected: Received NONCE length number is out of range!
説明内部ソフトウェア エラーが発生しました。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
713102
エラーメッセージ %ASA-3-713102: Phase 1 ID Data length number too long - reject tunnel!
説明 2 K 以上の ID データ フィールドを含む ID ペイロードを IKE が受信しました。
推奨アクション必要なし。
713103
エラーメッセージ %ASA-7-713103: Invalid (NULL) secret key detected while computing hash
説明内部ソフトウェア エラーが発生しました。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
713104
エラーメッセージ %ASA-7-713104: Attempt to get Phase 1 ID data failed while hash computation
説明内部ソフトウェア エラーが発生しました。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
713105
エラーメッセージ %ASA-3-713105: Zero length data in ID payload received during phase 1 or 2 processing
説明ピアが無効な ID データを組み込まずに ID ペイロードを送信しました。
推奨アクション ピアのコンフィギュレーションを確認します。
713107
エラーメッセージ %ASA-3-713107: IP_Address request attempt failed!
説明内部ソフトウェア エラーが発生しました。
推奨アクション問題が解決しない場合、Cisco TAC にお問い合わせください。
713109
エラーメッセージ %ASA-3-713109: Unable to process the received peer certificate
説明リモート ピアから受信した証明書を ASA が処理できませんでした。これは、証明書のデータが誤っている(たとえば、公開キーのサイズが 4096 ビットより大きい場合)か、証明書の中のデータを ASA が保存できない場合に発生することがあります。
推奨アクション リモート ピアで別の証明書を使用して接続の再確立を試行します。