メッセージ 701001 ~ 713109
この項では、701001 から 713109 までのメッセージについて説明します。
701001
エラーメッセージ %FTD-7-701001:
alloc_user() out of Tcp_user objects
説明モジュールが新しい AAA を処理するのにユーザー認証のレートが高すぎる場合に表示される AAA メッセージ。
推奨アクション floodguard enable コマンドで Flood Defender をイネーブルにします。
701002
エラーメッセージ %FTD-7-701002: alloc_user() out of Tcp_proxy objects
説明モジュールが新しい AAA を処理するのにユーザー認証のレートが高すぎる場合に表示される AAA メッセージ。
推奨アクション floodguard enable コマンドで Flood Defender をイネーブルにします。
703001
エラーメッセージ %Threat Defense-7-703001: H.225 message received from interface_name :IP_address /port to interface_name :IP_address /port is using an unsupported version number
説明 Secure Firewall Threat Defense デバイス はサポートされていないバージョン番号の H .323 パケットを受信しました。Secure Firewall Threat Defense デバイスが、パケットのプロトコル バージョン フィールドをサポートされている最新バージョンに再符号化する場合があります。
推奨アクション Secure Firewall Threat Defense デバイス が VoIP ネットワークにおいてサポートしている H.323 のバージョンを使用します。
703002
エラーメッセージ %Threat Defense-7-703002: Received H.225 Release Complete with newConnectionNeeded for interface_name :IP_address to interface_name :IP_address /port
説明指摘された H.225 メッセージを Secure Firewall Threat Defense デバイス が受信し、指摘された 2 つの H.323 エンドポイントに対して新規シグナリング接続オブジェクトを Secure Firewall Threat Defense デバイス がオープンしました。
推奨アクション 不要。
703008
エラーメッセージ %Threat Defense-7-703008: Allowing early-message: %s before SETUP from %s:%Q/%d to %s:%Q/%d
説明このメッセージは、外部のエンドポイントが内部ホストへの着信コールを要求したことを示し、内部ホストがゲートキーパーに対して SETUP メッセージの前に FACILITY メッセージを送信し、H.460.18 に従うことを望んでいます。
推奨アクション H.640.18 で説明されているように、H323 の着信コールの場合は、セットアップで SETUP メッセージの前に早期の FACILITY メッセージを許可するようになっていることを確認します。
709001、709002
エラーメッセージ %Threat Defense-7-709001: FO replication failed: cmd=command returned=code
エラーメッセージ %Threat Defense-7-709002: FO unreplicable: cmd=
command
説明開発のデバッグおよびテスト段階だけで表示されるフェールオーバー メッセージ。
推奨アクション 不要。
709003
エラーメッセージ %Threat Defense-1-709003: (Primary) Beginning configuration replication: Sending to mate.
説明アクティブ装置が自分のコンフィギュレーションのスタンバイ装置への複製を開始すると表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
709004
エラーメッセージ %Threat Defense-1-709004: (Primary) End Configuration Replication (ACT)
説明アクティブ装置が自分のコンフィギュレーションのスタンバイ装置上への複製を完了すると表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
709005
エラーメッセージ %Threat Defense-1-709005: (Primary) Beginning configuration replication: Receiving from mate.
説明スタンバイ Secure Firewall Threat Defense デバイス がアクティブ Secure Firewall Threat Defense デバイス からコンフィギュレーション複製の最初の部分を受け取りました。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
709006
エラーメッセージ %Threat Defense-1-709006: (Primary) End Configuration Replication (STB)
説明スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了したときに表示されるフェールオーバー メッセージ。Primary は、セカンダリ装置の場合は Secondary と示されることもあります。
推奨アクション 不要。
709007
エラーメッセージ %Threat Defense-2-709007: Configuration replication failed for command
説明スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製を完了できない場合に表示されるフェールオーバー メッセージ。障害を発生させたコマンドが、メッセージの末尾に表示されます。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
709008
エラーメッセージ %Threat Defense-4-709008: (Primary | Secondary) Configuration sync in progress. Command: ‘command ’ executed from (terminal/http) will not be replicated to or executed by the standby unit.
説明設定の同期中にコマンドが発行され、このコマンドがスタンバイ装置で発行されないことを示すインタラクティブ プロンプトが表示されました。続行するには、コマンドはアクティブ装置にのみに発行され、スタンバイ装置では複製されない点に注意してください。
-
Primary | Secondary:デバイスはプライマリとセカンダリのいずれか
-
command:設定の同期が進行中に発行されたコマンド
-
terminal/http:端末または HTTP 経由の発行元
推奨アクション なし。
709009
エラーメッセージ %Threat Defense-6-709009: (unit-role) Configuration on Active and Standby is matching. No config sync. Time elapsed time-elapsed ms
説明 このメッセージは、アクティブユニットと参加ユニットの両方で計算されたハッシュが一致した場合に生成されます。また、ハッシュ要求を送信してからハッシュ応答を取得して比較するまでの経過時間も表示されます。
推奨アクションなし。
709010
エラーメッセージ %Threat Defense-6-709010: Configuration between units doesn't match. Going for config sync. Time elapsed time-elapsed ms.
説明 この syslog メッセージは、アクティブユニットと参加ユニットの両方で計算されたハッシュが一致しない場合に生成されます。また、ハッシュ要求を送信してからハッシュ応答を取得して比較するまでの経過時間も表示されます。
推奨アクションなし。
709011
エラーメッセージ %Threat Defense-6-709011: Total time to sync the config time ms.
説明 このメッセージには、ハッシュが一致しない場合に構成の同期にかかった時間が表示されます。そのため、構成の完全同期プロセスに使用されます。
推奨アクションなし。
709012
エラーメッセージ %Threat Defense-6-709012: Skip configuration replication from mate as configuration on Active and Standby is matching.
説明 このメッセージは、アクティブユニットと参加ユニット間の構成が一致するため、構成の複製がスキップされたときに生成されます。
推奨アクションなし。
709013
エラーメッセージ %Threat Defense-4-709013: Failover configuration replication hash comparison timeout expired.
説明 この syslog メッセージは、ハッシュの計算、転送、および比較がタイムアウトしたときに生成されます。タイムアウトにより、構成の完全同期操作がトリガーされます。タイムアウト値は 60 秒で、この値を変更することはできません。
推奨アクションなし。
710001
エラーメッセージ %Threat Defense-7-710001: TCP access requested from source_address /source_port to interface_name :dest_address /service
説明 Secure Firewall Threat Defense デバイス 宛ての最初の TCP パケットで TCP セッションの確立を要求しています。このパケットは、3 ウェイ ハンドシェイクの最初の SYN パケットです。このメッセージは、それぞれ(Telnet、HTTP、または SSH)でパケットが許可されている場合に表示されます。しかし、SYN クッキー検証はまだ完了しておらず、状態は予約されていません。
推奨アクション 不要。
710002
エラーメッセージ %Threat Defense-7-710002: {TCP|UDP} access permitted from source_address /source_port to interface_name :dest_address /service
説明 TCP 接続の場合、Secure Firewall Threat Defense デバイス 宛ての 2 番目の TCP パケットで TCP セッションの確立を要求しました。このパケットは、3 ウェイ ハンドシェイクの最終 ACK です。それぞれ(Telnet、HTTP、または SSH)でパケットが許可されました。また、SYN クッキー検証が成功し、状態が TCP セッション用に予約されます。
UDP 接続の場合、接続は許可されています。たとえば、認可された SNMP 管理ステーションからの SNMP 要求をモジュールが受信し、その要求が処理されました。このメッセージは、10 秒に 1 回しか表示されないように制限されています。
推奨アクション 不要。
710003
エラーメッセージ %Threat Defense-3-710003: {TCP|UDP} access denied by ACL from source_IP/source_port to interface_name :dest_IP/service
説明インターフェイス サービスへの接続の試みが Secure Firewall Threat Defense デバイス によって拒否されました。たとえば、認可されていない SNMP 管理ステーションからの SNMP 要求を Secure Firewall Threat Defense デバイス が受信しました。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
次に例を示します。
%Threat Defense-3-710003: UDP access denied by ACL from 95.1.1.14/5000 to outside:95.1.1.13/1005
推奨アクション show run http コマンド、show run ssh コマンド、または show run telnet コマンドを使用して、ホストまたはネットワークからのサービス アクセスを許可するように Secure Firewall Threat Defense デバイス が設定されていることを確認します。
710004
エラーメッセージ %Threat Defense-7-710004: TCP connection limit exceeded from Src_ip /Src_port to In_name :Dest_ip /Dest_port (current connections/connection limit = Curr_conn/Conn_lmt)
説明サービス用の Secure Firewall Threat Defense 管理接続の最大数を超えました。Secure Firewall Threat Defense デバイスは、管理サービスあたり最大 5 つの同時管理接続を許可します。または、to-the-box 接続カウンタでエラーが発生している可能性があります。
- Src_ip:パケットの送信元 IP アドレス
- Src_port:パケットの送信元ポート
- In_ifc:入力インターフェイス
- Dest_ip:パケットの宛先 IP アドレス
- Dest_port:パケットの宛先ポート
- Curr_conn:現在の to-the-box 管理接続数
- Conn_lmt:接続制限
推奨アクション コンソールから、kill コマンドを使用して不要なセッションを解放します。to-the-box カウンタのエラーが原因でメッセージが生成された場合は、show conn all コマンドを実行して接続の詳細を表示します。
710005
エラーメッセージ %Threat Defense-7-710005: {TCP|UDP|SCTP} request discarded from source_address /source_port to interface_name :dest_address /service
説明 UDP 要求を処理する UDP サーバーが Secure Firewall Threat Defense デバイス にありません。また、Secure Firewall Threat Defense デバイス 上のどのセッションにも属していない TCP パケットが破棄された可能性もあります。さらにこのメッセージは、認可されたホストからの場合でも、ペイロードが空の SNMP 要求を Secure Firewall Threat Defense デバイス が受信した場合に表示されます(SNMP サービスで)。サービスが SNMP の場合、このメッセージは最大でも 10 秒ごとに 1 回の発生として、ログ受信プログラムが過負荷にならないようにします。このメッセージは SCTP パケットにも適用されます。
推奨アクション DHCP、RIP、NetBIOS などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
710006
エラーメッセージ %Threat Defense-7-710006: protocol request discarded from source_address to interface_name :dest_address
説明 IP プロトコル要求を処理する IP サーバーが Secure Firewall Threat Defense デバイス にありません。たとえば、Secure Firewall Threat Defense デバイス が TCP または UDP でない IP パケットを受信し、Secure Firewall Threat Defense デバイス が要求を処理できません。
推奨アクション DHCP、RIP、NetBIOS などのブロードキャスト サービスの利用が多いネットワークでは、このメッセージの頻度が高くなることがあります。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。
710007
エラーメッセージ %Threat Defense-7-710007: NAT-T keepalive received from 86.1.161.1/1028 to outside:86:1.129.1/4500
説明 Secure Firewall Threat Defense デバイス は NAT-T キープ アライブ メッセージを受信しました。
推奨アクション 不要。
711001
エラーメッセージ %Threat Defense-7-711001: debug_trace_msg
説明ロギング機能のために logging debug-trace コマンドを入力しました。logging debug-trace コマンドがイネーブルの場合、すべてのデバッグ メッセージはメッセージにリダイレクトされて処理されます。セキュリティ上の理由から、メッセージ出力は暗号化するか、またはセキュア アウトオブバンド ネットワークで送信する必要があります。
推奨アクション 不要。
711002
エラーメッセージ %Threat Defense-4-711002: Task ran for elapsed_time msecs, process = process_name , PC = PC Tracebeback = traceback
説明プロセスの CPU 使用が 100 ミリ秒を超えました。このメッセージは CPU のデバッグに使用され、各攻撃プロセスに対して 5 秒に 1 回表示できます。
- PC:CPU 負荷の高いプロセスの命令ポインタ
- traceback:CPU 負荷の高いプロセスのスタック トレース(最大 12 個のアドレスを含むことができます)
推奨アクション 不要。
711003
エラーメッセージ %Threat Defense-7-711003: Unknown/Invalid interface identifier(vpifnum ) detected.
説明正常動作中に発生してはならない内部不整合が発生しました。ただし、このメッセージがまれにしか発生しない場合は害がありません。頻繁に表示される場合は、デバッグする意味があると考えられます。
- vpifnum:インターフェイスに対応する 32 ビット値
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
711004
エラーメッセージ %Threat Defense-4-711004: Task ran for msec msec, Process = process_name , PC = pc , Call stack = call stack
説明プロセスの CPU 使用が 100 ミリ秒を超えました。このメッセージは CPU のデバッグに使用され、各攻撃プロセスに対して 5 秒に 1 回表示できます。
- msec:検出された CPU 占有時間の長さ(ミリ秒単位)
- process_name:占有しているプロセスの名前
- pc:CPU 負荷の高いプロセスの命令ポインタ
- call stack:CPU 負荷の高いプロセスのスタック トレース(最大 12 個のアドレスを含むことができます)
推奨アクション 不要。
711005
エラーメッセージ %Threat Defense-5-711005: Traceback: call_stack
説明発生してはならない内部ソフトウェア エラーが発生しました。デバイスは、通常、このエラーから回復でき、デバイスへの悪影響は生じません。
- call_stack:コール スタックの EIP
推奨アクション Cisco TAC にお問い合わせください。
711006
エラーメッセージ %Threat Defense-7-711006: CPU profiling has started for n-samples samples. Reason: reason-string .
説明 CPU プロファイリングが開始されました。
- n-samples:CPU プロファイリング サンプルの指定数
- reason-string:次のうちどれかです。
“CPU utilization passed cpu-utilization %”(CPU 使用率が cpu-utilization % を超えました)
“Process process-name CPU utilization passed cpu-utilization %”("process-name プロセスの CPU 使用率が cpu-utilization % を超えました")
推奨アクション 「指定なし」
推奨アクション CPU プロファイリング結果を収集し、それらを Cisco TAC に提供します。
713004
エラーメッセージ %Threat Defense-3-713004: device scheduled for reboot or shutdown, IKE key acquire message on interface interface num , for Peer IP_address ignored
説明 Secure Firewall Threat Defense デバイス が、トンネルを開始しようとしているリモート エンティティから IKE パケットを受信しました。Secure Firewall Threat Defense デバイスはリブートまたはシャットダウンがスケジュールされているので、これ以上トンネルを確立できません。この IKE パケットは無視されて、廃棄されます。
推奨アクション 不要。
713201
エラーメッセージ %Threat Defense-5-713201: Duplicate Phase Phase packet detected. 操作
説明 Secure Firewall Threat Defense デバイス は、前のフェーズ 1 またはフェーズ 2 パケットの複製を受信し、最後のメッセージを送信します。ネットワーク パフォーマンスまたは接続の問題が発生し、ピアが送信されたパケットを迅速に受信していないた可能性があります。
- Phase:Phase 1 または Phase 2
- Action:Retransmitting last packet または No last packet to transmit
推奨アクション ネットワークのパフォーマンス、または接続を確認します。
713202
エラーメッセージ %Threat Defense-6-713202: Duplicate IP_addr packet detected.
説明 Secure Firewall Threat Defense デバイス は、Secure Firewall Threat Defense デバイス がすでに認識しネゴシエートしているトンネルの重複する最初のパケットを受信しました。これは、多くの場合、Secure Firewall Threat Defense デバイス がピアからパケットの再送信を受信したことを示します。
- IP_addr:重複する最初のパケットの送信元ピアの IP アドレス
推奨アクション 接続に失敗していない限り処置は不要です。接続に失敗する場合は、さらにデバッグして問題を診断します。
713006
エラーメッセージ %Threat Defense-5-713006: Failed to obtain state for message Id message_number , Peer Address: IP_address
説明 Secure Firewall Threat Defense デバイス が受信したメッセージ ID が未知の ID です。メッセージ ID は、特定の IKE フェーズ 2 ネゴシエーションの識別に使用されます。Secure Firewall Threat Defense デバイス でエラー状態が発生し、2 つの IKE ピアの同期がとれていないことを示す場合があります。
推奨アクション 不要。
713008
エラーメッセージ %Threat Defense-3-713008: Key ID in ID payload too big for pre-shared IKE tunnel
説明 ID ペイロードでキー ID 値を受信したが、その値が事前共有キー認証を使用する IKE セッションのグループ名の最大許容サイズよりも長かったことを示します。これは無効な値で、セッションは拒否されます。指摘されたキー ID は、そのサイズのグループ名をSecure Firewall Threat Defense デバイスで作成できないので、機能することはありません。
推奨アクション クライアント ピア(おそらくは Altiga リモート アクセス クライアント)が有効なグループ名を指定していることを確認します。クライアント上の誤ったグループ名を変更するようにユーザーに通知します。グループ名の現在の最大長は 32 文字です。
713009
エラーメッセージ %Threat Defense-3-713009: OU in DN in ID payload too big for Certs IKE tunnel
説明 ID ペイロードで DN の OU 値を受信したが、その値が証明書認証を使用する IKE セッションのグループ名の最大許容サイズよりも長かったことを示します。この OU はスキップされますが、別の OU または他の基準を使用して一致するグループを検出できます。
推奨アクション クライアントが OU を使用して Secure Firewall Threat Defense デバイス からグループを検出するには、グループ名が有効な長さでなければなりません。グループ名の現在の最大長は 32 文字です。
713010
エラーメッセージ %Threat Defense-5-713010: IKE area: failed to find centry for message Id
message_number
一意のメッセージ ID で conn_entry(IPSec SA に対応する IKE フェーズ 2 構造)を特定しようとして失敗しました。内部構造が見つかりませんでした。セッションが標準外の方法で終了した場合に発生しますが、より可能性が高いのは、内部エラーが発生したことです。
この問題が解決しない場合は、ピアを調査します。
713012
エラーメッセージ %Threat Defense-3-713012: Unknown protocol (protocol ). Not adding SA w/spi=SPI value
説明 不正またはサポートされていない IPSec プロトコルをピアから受信しました。
推奨アクション ピアの ISAKMP フェーズ 2 設定をチェックして、Secure Firewall Threat Defense デバイス と互換性があることを確認します。
713014
エラーメッセージ %Threat Defense-3-713014: Unknown Domain of Interpretation (DOI): DOI value
説明ピアから受信した ISAKMP DOI がサポートされていません。
推奨アクション ピアの ISAKMP DOI コンフィギュレーションを確認します。
713016
エラーメッセージ %Threat Defense-3-713016: Unknown identification type, Phase 1 or 2, Type ID_Type
説明ピアから受信した未知の ID です。ID が、よく知られていない有効な ID である場合、または無効または破損した ID である場合があります。
推奨アクション ヘッドエンドとピアのコンフィギュレーションを確認します。
713017
エラーメッセージ %Threat Defense-3-713017: Identification type not supported, Phase 1 or 2, Type ID_Type
説明ピアから受信したフェーズ 1 またはフェーズ 2 の ID が正当であるが、サポートされていません。
推奨アクション ヘッドエンドとピアのコンフィギュレーションを確認します。
713018
エラーメッセージ %Threat Defense-3-713018: Unknown ID type during find of group name for certs, Type ID_Type
説明内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713020
エラーメッセージ %Threat Defense-3-713020: No Group found by matching OU(s) from ID payload: OU_value
説明内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713022
エラーメッセージ %Threat Defense-3-713022: No Group found matching peer_ID or IP_address for Pre-shared key peer IP_address
説明グループ データベースに、ピアで指摘された値(キー ID または IP アドレス)と同じ名前のグループがあります。
推奨アクション ピアのコンフィギュレーションを確認します。
713024
エラーメッセージ %Threat Defense-7-713024: Group group IP ip Received local Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port
説明 Secure Firewall Threat Defense デバイス がリモート ピアからフェーズ 2 のローカル プロキシ ID ペイロードを受信しました。
推奨アクション 不要。
713025
エラーメッセージ %Threat Defense-7-713025: Received remote Proxy Host data in ID Payload: Address IP_address , Protocol protocol , Port port
説明 Secure Firewall Threat Defense デバイス がリモート ピアからフェーズ 2 のローカル プロキシ ID ペイロードを受信しました。
推奨アクション 不要。
713028
エラーメッセージ %Threat Defense-7-713028: Received local Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port
説明 Secure Firewall Threat Defense デバイス がリモート ピアのフェーズ 2 のローカル プロキシ ID ペイロードを受信して、その中に IP アドレス範囲が含まれています。
推奨アクション 不要。
713029
エラーメッセージ %Threat Defense-7-713029: Received remote Proxy Range data in ID Payload: Addresses IP_address - IP_address , Protocol protocol , Port port
説明 Secure Firewall Threat Defense デバイス がリモート ピアのフェーズ 2 のローカル プロキシ ID ペイロードを受信して、その中に IP アドレス範囲が含まれています。
推奨アクション 不要。
713032
エラーメッセージ %Threat Defense-3-713032: Received invalid local Proxy Range IP_address - IP_address
説明ローカル ID ペイロードに範囲 ID タイプが含まれ、指摘された低アドレスが高アドレス以上でした。設定に問題がある可能性があります。
推奨アクション ISAKMP フェーズ 2 のパラメータのコンフィギュレーションを確認します。
713033
エラーメッセージ %Threat Defense-3-713033:
Received invalid remote Proxy Range IP_address - IP_address
説明リモート ID ペイロードに範囲 ID タイプが含まれ、指摘された低アドレスが高アドレス以上でした。設定に問題がある可能性があります。
推奨アクション ISAKMP フェーズ 2 のパラメータのコンフィギュレーションを確認します。
713034
エラーメッセージ %Threat Defense-7-713034: Received local IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port
説明ローカル IP プロキシ サブネット データがフェーズ 2 の ID ペイロードで受信されました。
推奨アクション 不要。
713035
エラーメッセージ %Threat Defense-7-713035: Group group IP ip Received remote IP Proxy Subnet data in ID Payload: Address IP_address , Mask netmask , Protocol protocol , Port port
説明リモート IP プロキシ サブネット データがフェーズ 2 の ID ペイロードで受信されました。
推奨アクション 不要。
713039
エラーメッセージ %Threat Defense-7-713039: Send failure: Bytes (number ), Peer: IP_address
説明内部ソフトウェア エラーが発生し、ISAKMP パケットを転送できません。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713040
エラーメッセージ %Threat Defense-7-713040: Could not find connection entry and can not encrypt: msgid message_number
説明内部ソフトウェア エラーが発生し、フェーズ 2 データ構造を検出できません。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713041
エラーメッセージ %Threat Defense-5-713041: IKE Initiator: new or rekey Phase 1 or 2, Intf interface_number , IKE Peer IP_address local Proxy Address IP_address , remote Proxy Address IP_address , Crypto map (crypto map tag )
説明 Secure Firewall Threat Defense デバイス が発信側としてトンネルをネゴシエーション中です。
推奨アクション 不要。
713042
エラーメッセージ %Threat Defense-3-713042: IKE Initiator unable to find policy: Intf interface_number , Src: source_address , Dst: dest_address
説明 IPSec ファースト パスで、IKE を起動したパケットを処理したが、IKE のポリシー ルックアップが失敗しました。このエラーは、タイミングに関連している場合があります。IKE が開始要求を処理する前に、IKE を起動した ACL が削除されていた可能性があります。この問題は、多くの場合、自分自身で訂正されます。
推奨アクション 同じ状態が続く場合、クリプト マップに関連付けられている ACL のタイプに特に注意しながら、L2L コンフィギュレーションを確認します。
713043
エラーメッセージ %Threat Defense-3-713043: Cookie/peer address IP_address session already in progress
説明元のトンネルが進行中に、IKE が再度起動されました。
推奨アクション 不要。
713048
エラーメッセージ %Threat Defense-3-713048: Error processing payload: Payload ID: id
説明処理できなかったペイロードでパケットが受信されました。
推奨アクション この問題が解決しない場合は、ピアのコンフィギュレーションに誤りがある可能性があります。
713049
エラーメッセージ %Threat Defense-5-713049: Security negotiation complete for tunnel_type type (group_name ) Initiator /Responder , Inbound SPI = SPI , Outbound SPI = SPI
説明 IPSec トンネルが開始されました。
推奨アクション 不要。
713050
エラーメッセージ %Threat Defense-5-713050: Connection terminated for peer IP_address . Reason: termination reason Remote Proxy IP_address , Local Proxy IP_address
説明 IPSec トンネルが終了しました。考えられる終了理由を次に示します。
- IPSec SA のアイドル タイムアウト
- IPSec SA の最大時間を超過した
- 管理者がリセットした
- 管理者がリブートした
- 管理者がシャットダウンした
- セッションが切断された
- セッション エラーで終了した
- ピアが終了した
推奨アクション 不要。
713052
エラーメッセージ %Threat Defense-7-713052: User (user ) authenticated.
説明リモート アクセス ユーザーが認証されました。
推奨アクション 不要。
713056
エラーメッセージ %Threat Defense-3-713056: Tunnel rejected: SA (SA_name ) not found for group (group_name )!
説明 IPSec SA が見つかりませんでした。
推奨アクション これがリモート アクセス トンネルの場合、グループとユーザー コンフィギュレーションをチェックして、特定のユーザー グループに対してトンネル グループとグループ ポリシーが設定されていることを確認します。外部で認証されたユーザーおよびグループの場合は、返された認証属性を確認します。
713060
エラーメッセージ %Threat Defense-3-713060: Tunnel Rejected: User (user ) not member of group (group_name ), group-lock check failed.
説明ユーザーが、IPSec ネゴシエーションで送信されたグループとは別のグループに設定されています。
推奨アクション Cisco VPN クライアントと事前共有キーを使用している場合、クライアントに設定されているグループが、Secure Firewall Threat Defense デバイス 上のユーザーに関連付けられているグループと同じであることを確認します。デジタル証明書を使用している場合、グループは、証明書の OU フィールドで指定されているか、またはユーザーはリモート アクセスのデフォルト グループにデフォルトで自動的に設定されています。
713061
エラーメッセージ %Threat Defense-3-713061: Tunnel rejected: Crypto Map Policy not found for Src:source_address , Dst: dest_address !
説明 Secure Firewall Threat Defense デバイス が、メッセージに示されているプライベート ネットワークまたはホストのセキュリティ ポリシー情報を検出できませんでした。これらのネットワークまたはホストは、発信側によって送信され、Secure Firewall Threat Defense デバイス のどの暗号 ACL とも一致しません。多くの場合、これはコンフィギュレーションの誤りです。
推奨アクション 両側の暗号 ACL 内の保護されたネットワーク コンフィギュレーションをチェックして、発信側のローカル ネットが応答側のリモート ネットであること(およびその逆)を確認します。ワイルドカード マスクと、ホスト アドレス対ネットワーク アドレスに特に注意します。シスコ以外の実装では、プライベート アドレスがプロキシ アドレスまたは赤い色のネットワークとしてラベル付けされている場合があります。
713062
エラーメッセージ %Threat Defense-3-713062: IKE Peer address same as our interface address IP_address
説明 IKE ピアとして設定されている IP アドレスが、Secure Firewall Threat Defense IP インターフェイスのいずれかで設定されている IP アドレスと同じです。
推奨アクション L2L コンフィギュレーションと IP インターフェイス コンフィギュレーションを確認します。
713063
エラーメッセージ %Threat Defense-3-713063: IKE Peer address not configured for destination IP_address
説明 IKE ピア アドレスが L2L トンネルに対して設定されていません。
推奨アクション L2L 設定を確認します。
713065
エラーメッセージ %Threat Defense-3-713065: IKE Remote Peer did not negotiate the following: proposal attribute
説明内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713066
エラーメッセージ %Threat Defense-7-713066: IKE Remote Peer configured for SA: SA_name
説明ピアの暗号ポリシーが設定されています。
推奨アクション 不要。
713068
エラーメッセージ %Threat Defense-5-713068: Received non-routine Notify message: notify_type (notify_value)
説明このイベントの原因となる通知メッセージが通知処理コードで明示的に処理されません。
推奨アクション 実行するアクションを判別するには、特定の理由を調べます。通知メッセージの多くは、IKE ピア間のコンフィギュレーションの不一致を示します。
713072
エラーメッセージ %Threat Defense-3-713072: Password for user (user ) too long, truncating to number characters
説明ユーザーのパスワードが長すぎます。
推奨アクション 認証サーバーでパスワードの長さを訂正します。
713073
エラーメッセージ %Threat Defense-5-713073: Responder forcing change of Phase 1 /Phase 2 rekeying duration from larger_value to smaller_value seconds
説明キー再生成の時間は、IKE ピアが指定する値よりも常に低い値に設定されます。発信側の値の方が低いことを示します。
推奨アクション 不要。
713074
エラーメッセージ %Threat Defense-5-713074: Responder forcing change of IPsec rekeying duration from larger_value to smaller_value Kbs
説明キー再生成の時間は、IKE ピアが指定する値よりも常に低い値に設定されます。発信側の値の方が低いことを示します。
推奨アクション 不要。
713075
エラーメッセージ %Threat Defense-5-713075: Overriding Initiator's IPsec rekeying duration from larger_value to smaller_value seconds
説明キー再生成の時間は、IKE ピアが指定する値よりも常に低い値に設定されます。応答側の値の方が低いことを示します。
推奨アクション 不要。
713076
エラーメッセージ %Threat Defense-5-713076: Overriding Initiator's IPsec rekeying duration from larger_value to smaller_value Kbs
説明キー再生成の時間は、IKE ピアが指定する値よりも常に低い値に設定されます。応答側の値の方が低いことを示します。
推奨アクション 不要。
713078
エラーメッセージ %Threat Defense-2-713078: Temp buffer for building mode config attributes exceeded: bufsize available_size , used value
説明 modecfg 属性の処理中に内部ソフトウェア エラーが発生したことを示します。
推奨アクション 不要なトンネル グループ属性をディセーブルにするか、長すぎるテキスト メッセージを短くします。問題が解決しない場合、Cisco TAC にお問い合わせください。
713081
エラーメッセージ %Threat Defense-3-713081: Unsupported certificate encoding type encoding_type
説明ロードされた証明書のいずれかが読み取り不可か、またはサポートされていない符号化スキームである可能性があります。
推奨アクション デジタル証明書およびトラストポイントの設定を確認します。
713082
エラーメッセージ %Threat Defense-3-713082: Failed to retrieve identity certificate
説明このトンネルの ID 証明書が見つかりません。
推奨アクション デジタル証明書およびトラストポイントの設定を確認します。
713083
エラーメッセージ %Threat Defense-3-713083: Invalid certificate handle
説明このトンネルの ID 証明書が見つかりません。
推奨アクション デジタル証明書およびトラストポイントの設定を確認します。
713084
エラーメッセージ %Threat Defense-3-713084: Received invalid phase 1 port value (port ) in ID payload
説明 IKE フェーズ 1 ID ペイロードで受信されたポート値が正しくありませんでした。受け入れ可能な値は 0 または 500 です(ISAKMP は IKE とも呼ばれます)。
推奨アクション ネットワークの問題が破損したパケットの原因になることを回避するために、ピアが IKE 規格に準拠していることを確認します。
713085
エラーメッセージ %Threat Defense-3-713085: Received invalid phase 1 protocol (protocol ) in ID payload
説明 IKE フェーズ 1 ID ペイロードで受信されたプロトコル値が正しくありませんでした。受け入れ可能な値は 0 または 17(UDP)です。
推奨アクション ネットワークの問題が破損したパケットの原因になることを回避するために、ピアが IKE 規格に準拠していることを確認します。
713086
エラーメッセージ %Threat Defense-3-713086: Received unexpected Certificate payload Possible invalid Auth Method (Auth method (auth numerical value))
説明証明書ペイロードが受信されたが、ID 証明書がないことが内部証明書ハンドルによって示されています。証明書ハンドルが通常の登録方法で獲得されませんでした。これが発生する理由として考えられるのは、認証方式が RSA または DSS シグニチャを通じて行われていないことです。ただし、それぞれの側の設定が誤っていると、IKE SA ネゴシエーションは失敗します。
推奨アクション Secure Firewall Threat Defense デバイス とそのピアでトラストポイントと ISAKMP コンフィギュレーション設定を確認します。
713088
エラーメッセージ %Threat Defense-3-713088: Set Cert filehandle failure: no IPsec SA in group group_name
説明デジタル証明書情報に基づいてトンネル グループを検出できなかったことを示しています。
推奨アクション ピアの証明書情報を処理するようトンネル グループが正しく設定されていることを確認します。
713092
エラーメッセージ %Threat Defense-5-713092: Failure during phase 1 rekeying attempt due to collision
説明内部ソフトウェア エラーが発生しました。多くの場合、これは問題のないイベントです。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713094
エラーメッセージ %Threat Defense-7-713094: Cert validation failure: handle invalid for Main /Aggressive Mode Initiator /Responder !
説明内部ソフトウェア エラーが発生しました。
推奨アクション 場合によっては、トラストポイントを再登録する必要があります。問題が解決しない場合、Cisco TAC にお問い合わせください。
713098
エラーメッセージ %Threat Defense-3-713098: Aborting: No identity cert specified in IPsec SA (SA_name )!
説明証明書ベースの IKE セッションを確立しようとしたときに、暗号ポリシーで ID 証明書が指定されませんでした。
推奨アクション ピアに送信する ID 証明書またはトラストポイントを指定します。
713099
エラーメッセージ %Threat Defense-7-713099: Tunnel Rejected: Received NONCE length number is out of range!
説明内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713102
エラーメッセージ %Threat Defense-3-713102: Phase 1 ID Data length number too long - reject tunnel!
説明 2 K 以上の ID データ フィールドを含む ID ペイロードを IKE が受信しました。
推奨アクション 不要。
713103
エラーメッセージ %Threat Defense-7-713103: Invalid (NULL) secret key detected while computing hash
説明内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713104
エラーメッセージ %Threat Defense-7-713104: Attempt to get Phase 1 ID data failed while hash computation
説明内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713105
エラーメッセージ %Threat Defense-3-713105: Zero length data in ID payload received during phase 1 or 2 processing
説明ピアが無効な ID データを組み込まずに ID ペイロードを送信しました。
推奨アクション ピアのコンフィギュレーションを確認します。
713107
エラーメッセージ %Threat Defense-3-713107: IP_Address request attempt failed!
説明内部ソフトウェア エラーが発生しました。
推奨アクション 問題が解決しない場合は、Cisco TAC にお問い合わせください。
713109
エラーメッセージ %Threat Defense-3-713109: Unable to process the received peer certificate
説明リモート ピアから受信した証明書を Secure Firewall Threat Defense デバイス が処理できませんでした。これは、証明書のデータが誤っている(たとえば、公開キーのサイズが 4096 ビットより大きい場合)か、証明書の中のデータを Secure Firewall Threat Defense デバイス が保存できない場合に発生することがあります。
推奨アクション リモート ピアで別の証明書を使用して接続の再確立を試行します。