メッセージ 201002 ~ 210022
この章では、201002 から 210022 までのメッセージについて説明します。
201002
エラーメッセージ %Threat Defense-3-201002: Too many TCP connections on {static|xlate} global_address ! econns nconns
説明指定されたグローバル アドレスへの TCP 接続が最大数を超えました。
- econns:初期接続の最大数
- nconns:静的または xlate グローバル アドレスに許可される最大接続数
推奨アクション show static コマンドまたは show nat コマンドを使用して、スタティック アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201003
エラーメッセージ %Threat Defense-2-201003: Embryonic limit exceeded nconns/elimit for outside_address/outside_port (global_address ) inside_address /inside_port on interface interface_name
説明指定されたスタティック グローバル アドレスを持つ、指定された外部アドレスから指定されたローカル アドレスへの初期接続の数が初期接続の制限を超えました。Secure Firewall Threat Defense デバイスへの初期接続の制限に達すると、Secure Firewall Threat Defense デバイスは何としても受け入れようと試みますが、その接続に時間制限を課します。この状況により、たとえSecure Firewall Threat Defense デバイスがビジー状態であっても、一部の接続が成功することがあります。このメッセージは、メッセージ 201002 より重大なオーバーロードを示しています。このオーバーロードは、SYN 攻撃、または正規のトラフィックの非常に重い負荷が原因で発生します。
- nconns:受信した最大初期接続数
- elimit:static コマンドまたは nat コマンドで指定された最大初期接続数
推奨アクション show static コマンドを使用して、スタティック アドレスへの初期接続に課されている制限を確認します。
201004
エラーメッセージ %Threat Defense-3-201004: Too many UDP connections on {static|xlate} global_address!udp connections limit
説明指定されたグローバル アドレスへの UDP 接続が最大数を超えました。
-
udp conn limit:静的アドレスまたは変換に許可される UDP 接続の最大数
推奨アクション show static コマンドまたは show nat コマンドを使用して、静的アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201005
エラーメッセージ %Threat Defense-3-201005: FTP data connection failed for IP_address IP_address
説明 Secure Firewall Threat Defense デバイス が、メモリ不足のため FTP のデータ接続を追跡するための構造を割り当てることができません。
推奨アクション メモリ使用量を減らすか、または増設メモリを購入します。
201006
エラーメッセージ %Threat Defense-3-201006: RCMD backconnection failed for IP_address/port.
説明メモリ不足のため Secure Firewall Threat Defense デバイス が rsh コマンドに対する着信標準出力のための接続を事前割り当てできません。
推奨アクション rsh クライアント バージョンを確認します。Secure Firewall Threat Defense デバイス がサポートしているのは Berkeley rsh クライアント バージョンだけです。メモリ使用量を減らすか、または増設メモリを購入することもできます。
201008
エラーメッセージ %Threat Defense-3-201008: Disallowing new connections.
説明 TCP システム ログ メッセージングをイネーブルにしていても syslog サーバーに到達できません。
推奨アクション TCP syslog メッセージングをディセーブルにします。さらに、syslog サーバーが動作しており、Secure Firewall Threat Defense コンソールからそのホストに ping できることを確認します。次に、TCP システム メッセージ ロギングを再開してトラフィックを許可します。
201009
エラーメッセージ %Threat Defense-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded
説明指定されたスタティック アドレスへの接続が最大数を超えました。
- number:ホストに許可されている接続の最大数
- IP_address:ホスト IP アドレス
- interface_name:ホストの接続先インターフェイスの名前
推奨アクション show static コマンドまたは show nat コマンドを使用して、アドレスへの接続に課されている制限を確認します。制限は設定可能です。
201010
エラーメッセージ %Threat Defense-6-201010: Embryonic connection limit exceeded econns/limit for dir packet from source_address/source_port to dest_address/dest_port on interface interface_name
説明 TCP 接続を確立しようとしたが、トラフィック クラスに対して set connection embryonic-conn-max MPC コマンドで設定されている初期接続の制限を超えたために失敗しました。
ASA のさまざまな管理インターフェイスおよびプロトコルへの異常な着信トラフィックの影響を軽減するために、インターフェイスはデフォルトの初期制限 100 に設定されます。この syslog メッセージは、ASA インターフェイスへの初期接続数が 100 を超えると表示されます。このデフォルト値は変更または無効にできません。
- econns:設定したトラフィック クラスに関連付けられている初期接続の現在の数
- limit:設定した初期接続のトラフィック クラスの制限
- dir:input(接続を開始した最初のパケットはインターフェイス interface_name 上の入力パケットです)または output(接続を開始した最初のパケットはインターフェイス interface_name 上の出力パケットです)
- source_address/source_port:接続を開始しているパケットの送信元の実際の IP アドレスと送信元ポート
- dest_address/dest_port:接続を開始しているパケットの宛先の実際の IP アドレスと宛先ポート
- interface_name:ポリシー制限が強制されているインターフェイスの名前
推奨アクション 不要。
201011
エラーメッセージ %Threat Defense-3-201011: Connection limit exceeded cnt /limit for dir packet from sip /sport to dip /dport on interface if_name .
説明 Secure Firewall Threat Defense デバイス 経由の新しい接続により、少なくとも 1 つの設定済み最大接続制限を超えました。このメッセージは、static コマンドを使用して設定された接続制限にも、Cisco Modular Policy Framework を使用して設定された接続制限にも適用されます。既存の接続のいずれかが切断されて現在の接続数が設定済みの最大値を下回るまで、Secure Firewall Threat Defense デバイス 経由の新しい接続は許可されません。
- cnt:現在の接続数
- limit:設定されている接続制限
- dir:トラフィックの方向(着信または発信)
- sip:送信元の実際の IP アドレス
- sport:送信元ポート
- dip:宛先の実際の IP アドレス
- dport:宛先ポート
- if_name:トラフィックを受信したインターフェイスの名前
推奨アクション 不要。
201012
エラーメッセージ %Threat Defense-6-201012: Per-client embryonic connection limit exceeded curr num /limit for [input|output] packet from IP_address / port to ip /port on interface interface_name
説明 TCP 接続を確立しようとしましたが、クライアントごとの初期接続制限を超えたために失敗しました。デフォルトでは、このメッセージは 10 秒に 1 回しか表示されないように制限されています。
- curr num:現在の数
- limit:設定されている制限
- [input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット
- IP_address:実際の IP アドレス
- port:TCP ポートまたは UDP ポート
- interface_name:ポリシーが適用されているインターフェイスの名前
推奨アクション 制限に達すると、SYN フラッド アタックを防止するために、それ以降の接続要求はすべて Secure Firewall Threat Defense デバイス によってプロキシされます。クライアントが 3 ウェイ ハンドシェイクを終了できる場合に限り、Secure Firewall Threat Defense デバイスはサーバーに接続します。これは、通常、エンド ユーザーにもアプリケーションにも影響しません。ただし、正当に多数の初期接続を必要とするアプリケーションに問題が生じる場合は、set connection per-client-embryonic-max コマンドを入力して設定を調整できます。
201013
エラーメッセージ %Threat Defense-3-201013: Per-client connection limit exceeded curr num /limit for [input|output] packet from ip /port to ip /port on interface interface_name
説明クライアントごとの接続制限を超えたため、接続が拒否されました。
- curr num:現在の数
- limit:設定されている制限
- [input|output]:インターフェイス interface_name 上の入力パケットまたは出力パケット
- ip:実際の IP アドレス
- port:TCP ポートまたは UDP ポート
- interface_name:ポリシーが適用されているインターフェイスの名前
推奨アクション 制限に達すると、それ以降の接続要求はすべて警告なしで廃棄されます。通常は、アプリケーションで接続が再試行されるため、遅延が発生します。再試行がすべて失敗した場合にはタイムアウトも発生します。アプリケーションが正当に多数の同時接続を必要とする場合は、set connection per-client-max コマンドを入力して設定を調整できます。
202010
エラーメッセージ %Threat Defense-3-202010: [NAT | PAT] pool exhausted for pool-name , port range [1-511 | 512-1023 | 1024-65535]. Unable to create protocol connection from in-interface :src-ip /src-port to out-interface :dst-ip /dst-port
説明
- pool-name:NAT または PAT プール名
- protocol:接続を作成するために使用されるプロトコル
- in-interface:入力インターフェイス
- src-ip:送信元 IP アドレス
- src-port:送信元ポート
- out-interface:出力インターフェイス
- dest-ip:宛先 IP アドレス
- dst-port:宛先ポート
Secure Firewall Threat Defense デバイス に使用可能なアドレス変換プールがなくなりました。
推奨アクション プール内のすべてのアドレスとポートを使い果たした原因を特定するには、show nat pool および show nat detail コマンドを使用します。これが通常の状態で発生している場合は、NAT/PAT プールに IP アドレスを追加します。
202016
エラーメッセージ %Threat Defense-3-202016: "%d: Unable to pre-allocate SIP %s secondary channel for message" \ "from %s:%A/%d to %s:%A/%d with PAT and missing
port information.\n"
説明
SIP アプリケーションがメディア ポートを 0 に設定して SDP ペイロードを生成する場合、このような無効なポート要求に PAT xlate を割り当てることはできないため、この Syslog を生成してパケットを廃棄します。
推奨アクション なし。これはアプリケーション固有の問題です。
208005
エラーメッセージ %Threat Defense-3-208005: (function:line_num) clear command return code
説明 Secure Firewall Threat Defense デバイス が、フラッシュ メモリ内のコンフィギュレーションを消去しようとしたときに非ゼロ値(内部エラー)を受信しました。このメッセージには、報告サブルーチンのファイル名および行番号が含まれています。
推奨アクション パフォーマンス上の理由から、エンド ホストは IP フラグメントを投入しないように設定する必要があります。このコンフィギュレーションの変更は、NFS が原因と考えられます。読み取りサイズおよび書き込みサイズを NFS のインターフェイス MTU と等しく設定します。
209003
エラーメッセージ %Threat Defense-4-209003: Fragment database limit of number exceeded: src = source_address , dest = dest_address , proto = protocol , id = number
説明現在リアセンブリを待っている IP フラグメントが多すぎます。デフォルトでは、フラグメントの最大数は 200 です(最大値を大きくするには、コマンド リファレンス ガイドの fragment size コマンドを参照してください)。Secure Firewall Threat Defense デバイスは、同時にリアセンブリできる IP フラグメントの数を制限します。この制約により、異常なネットワーク条件下でSecure Firewall Threat Defense デバイスのメモリが枯渇するのが防止されます。一般に、フラグメント化されたトラフィックは、混合トラフィック全体のわずかな割合に抑える必要があります。例外は、ほとんどがフラグメント化されたトラフィックである NFS over UDP のネットワーク環境の場合です。Secure Firewall Threat Defense デバイスこのタイプのトラフィックが経由で中継される場合、その代わりに NFS over TCP の使用を検討します。フラグメント化を防ぐには、コマンド リファレンス ガイドの sysopt connection tcpmss bytes コマンドを参照してください。
推奨アクション このメッセージが引き続き表示される場合は、DoS 攻撃(サービス拒絶攻撃)が進行している可能性があります。リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。
209004
エラーメッセージ %Threat Defense-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes : src = source_address , dest = dest_address , proto = protocol , id = number
説明 IP フラグメントの形式が誤っています。リアセンブリ済み IP パケットの合計サイズが、最大可能サイズの 65,535 バイトを超えています。
推奨アクション 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。
209005
エラーメッセージ %Threat Defense-4-209005: Discard IP fragment set with more than number elements: src = Too many elements are in a fragment set.
説明 Secure Firewall Threat Defense デバイス は、24 よりも多くのフラグメントにフラグメント化されている IP パケットを拒否します。詳細については、コマンド リファレンス ガイドの fragment コマンドを参照してください。
推奨アクション 侵入イベントが進行している可能性があります。このメッセージが引き続き表示される場合は、リモート ピアの管理者またはアップストリームのプロバイダーにお問い合わせください。fragment chain xxx interface_name コマンドを使用して、パケットあたりのフラグメントの数を変更できます。
209006
エラーメッセージ %Threat Defense-4-209006: Fragment queue threshold exceeded, dropped protocol fragment from IP address/port to IP address/port on outside interface.
説明 Secure Firewall Threat Defense デバイス は、フラグメントデータベースのしきい値(インターフェイスあたりのキューサイズの 2/3)を超過すると、フラグメントパケットをドロップします。
推奨アクション 不要。
210001
エラーメッセージ %Threat Defense-3-210001: LU sw_module_name error = number
説明ステートフル フェールオーバー エラーが発生しました。
推奨アクション Secure Firewall Threat Defense デバイス 経由のトラフィックが減少した後もこのエラーが引き続き表示される場合は、Cisco TAC にこのエラーを報告してください。
210002
エラーメッセージ %Threat Defense-3-210002: LU allocate block (bytes ) failed.
説明ステートフル フェールオーバーが、ステートフル情報をスタンバイ Secure Firewall Threat Defense デバイス に送信するためのメモリのブロックを割り当てることができません。
推奨アクション show interface コマンドを使用してフェールオーバー インターフェイスを調べて、その送信が正常であることを確認します。さらに、show block コマンドを使用して、現在のブロック メモリを調べます。現在使用可能なカウントが 0 になっているメモリのブロックがあれば、Secure Firewall Threat Defense ソフトウェアをリロードして失われたメモリのブロックを回復します。
210003
エラーメッセージ %Threat Defense-3-210003: Unknown LU Object number
説明ステートフル フェールオーバーが、サポートされていない Logical Update オブジェクトを受信し、そのオブジェクトを処理できませんでした。これは、破損したメモリ、LAN 伝送、または他のイベントが原因となっている可能性があります。
推奨アクション このエラーがまれにしか表示されない場合、処置は不要です。このエラーが頻繁に発生する場合は、ステートフル フェールオーバー リンク LAN 接続を確認します。エラーが不適切なフェールオーバー リンク LAN 接続のためでない場合は、外部ユーザーが保護されているネットワークを危険にさらそうとしていないかどうかを判別します。また、誤って設定したクライアントがないかどうかも確認します。
210005
エラーメッセージ %Threat Defense-3-210005: LU allocate secondary (optional ) connection failed for protocol [TCP |UDP ] connection from ingress interface name :Real IP Address /Real Port to egress interface name :Real IP Address /Real Port
説明ステートフル フェールオーバーが新しい接続をスタンバイ装置に割り当てることができません。これは、Secure Firewall Threat Defense デバイス内の利用可能な RAM メモリがほとんどないか、またはまったくないことが原因となっている可能性があります。
(注) |
Syslog メッセージの secondary フィールドはオプションであり、接続がセカンダリ接続である場合にのみ表示されます。 |
推奨アクション show memory コマンドを使用して Secure Firewall Threat Defense デバイス の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリをSecure Firewall Threat Defense デバイスに追加します。
210006
エラーメッセージ %Threat Defense-3-210006: LU look NAT for IP_address failed
説明ステートフル フェールオーバーが、スタンバイ装置上で IP アドレス用の NAT グループを検出できませんでした。アクティブおよびスタンバイの Secure Firewall Threat Defense デバイス が相互に同期していない可能性があります。
推奨アクション アクティブ装置で write standby コマンドを使用し、システム メモリをスタンバイ装置と同期させます。
210007
エラーメッセージ %Threat Defense-3-210007: LU allocate xlate failed for type [static | dynamic ]-[NAT | PAT ] secondary(optional) protocol translation from ingress interface name :Real IP Address /real port (Mapped IP Address /Mapped Port ) to egress interface name :Real IP Address /Real Port (Mapped IP Address /Mapped Port )
説明ステートフル フェールオーバーが変換スロット レコードの割り当てに失敗しました。
推奨アクション show memory コマンドを使用して Secure Firewall Threat Defense デバイス の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。
210008
エラーメッセージ %Threat Defense-3-210008: LU no xlate for inside_address /inside_port outside_address /outside_port
説明 Secure Firewall Threat Defense デバイス でステートフル フェールオーバー接続の変換スロットレコードを検出できません。そのため、Secure Firewall Threat Defense デバイス で接続情報を処理できません。
推奨アクション アクティブなユニットで write standby コマンドを使用し、システム メモリをアクティブ ユニットとスタンバイ ユニットの間で同期させます。
210010
エラーメッセージ %Threat Defense-3-210010: LU make UDP connection for outside_address :outside_port inside_address :inside_port failed
説明ステートフル フェールオーバーが、UDP 接続に新しいレコードを割り当てることができませんでした。
推奨アクション show memory コマンドを使用して Secure Firewall Threat Defense デバイス の空きメモリをチェックし、利用可能なメモリを確認します。利用可能なメモリがない場合は、さらに物理メモリを追加します。
210020
エラーメッセージ %Threat Defense-3-210020: LU PAT port port reserve failed
説明ステートフル フェールオーバーが、使用中の特定の PAT アドレスを割り当てることができません。
推奨アクション アクティブなユニットで write standby コマンドを使用し、システム メモリをアクティブ ユニットとスタンバイ ユニットの間で同期させます。
210021
エラーメッセージ %Threat Defense-3-210021: LU create static xlate global_address ifc interface_name failed
説明ステートフル フェールオーバーが変換スロットを作成できません。
推奨アクション アクティブ装置で write standby コマンドを入力し、システム メモリをアクティブ装置とスタンバイ装置の間で同期させます。
210022
エラーメッセージ %Threat Defense-6-210022: LU missed number updates
説明ステートフル フェールオーバーは、スタンバイ装置に送信された各レコードにシーケンス番号を割り当てます。受信したレコードのシーケンス番号が最後にアップデートされたレコードと一致していない場合、その間の情報が失われたものと見なされ、その結果、このエラー メッセージが送信されます。
推奨アクション LAN の中断が発生しない場合、両方の Secure Firewall Threat Defense 装置の利用可能なメモリをチェックして、ステートフル情報を処理するのに十分なメモリがあることを確認します。show failover コマンドを使用して、ステートフル情報のアップデートの品質をモニターします。