メッセージ 602101 ~ 609002
この項では、602101 から 609002 までのメッセージについて説明します。
602101
エラーメッセージ %Threat Defense-6-602101: PMTU-D packet number bytes greater than effective mtu number dest_addr=dest_address , src_addr=source_address , prot=protocol
説明 Secure Firewall Threat Defense デバイス が ICMP 宛先到達不能メッセージを送信し、フラグメンテーションが必要です。
推奨アクション データが正しく送信されることを確認します。
602103
エラーメッセージ %FTD-6-602103: IPSEC: Received an ICMP Destination Unreachable from src_addr with suggested PMTU of rcvd_mtu; PMTU updated for
SA with peer peer_addr, SPI spi, tunnel name username, old PMTU old_mtu, new PMTU new_mtu.
説明 SA の MTU が変更されました。IPSec トンネル用のパケットを受信すると、対応する SA が特定され、ICMP パケットで推奨されている MTU に基づいて MTU がアップデートされます。推奨された MTU が 0 より大きく 256 未満の場合、新規 MTU は 256 に設定されます。推奨された MTU が 0 の場合、前の MTU から 256 を引いた値または 256 のどちらか大きい値に設定されます。推奨された MTU が 256 より大きい場合、新規 MTU は推奨された値に設定されます。
- src_addr:PMTU 送信側の IP アドレス
- rcvd_mtu:PMTU メッセージで受信した推奨 MTU
- peer_addr:IPSec ピアの IP アドレス
- spi:IPSec のセキュリティ パラメータ インデックス
- username:IPSec トンネルに関連付けられているユーザー名
- old_mtu:IPSec トンネルに関連付けられている前の MTU
- new_mtu:IPSec トンネルに関連付けられている新規 MTU
推奨アクション 不要。
602104
エラーメッセージ %FTD-6-602104: IPSEC: Received an ICMP Destination Unreachable from src_addr , PMTU is unchanged because suggested PMTU of rcvd_mtu is equal to or greater than the current PMTU of curr_mtu , for SA with peer peer_addr , SPI spi , tunnel name username .
説明 IPSec トンネル経由で送信されたパケットがパス MTU を超えたことを示す ICMP メッセージを受信し、推奨 MTU が現行 MTU 以上でした。MTU 値はすでに訂正されているので、MTU の調整は行われません。これは、さまざまな中間ステーションから複数の PMTU メッセージが受信され、現在の PMTU メッセージが処理される前に MTU が調整された場合に発生します。
- src_addr:PMTU 送信側の IP アドレス
- rcvd_mtu:PMTU メッセージで受信した推奨 MTU
- curr_mtu:IPSec トンネルに関連付けられている現行 MTU
- peer_addr:IPSec ピアの IP アドレス
- spi:IPSec のセキュリティ パラメータ インデックス
- username:IPSec トンネルに関連付けられているユーザー名
推奨アクション 不要。
602303
エラーメッセージ %FTD-6-602303: IPSEC: An direction tunnel_type SA (SPI=spi ) between local_IP and remote_IP (username ) has been created.
説明新しい SA が作成されました。
- direction:SA の方向(インバウンドまたはアウトバウンド)
- tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
- spi:IPSec のセキュリティ パラメータ インデックス
- local_IP:トンネルのローカル エンドポイントの IP アドレス
- remote_IP:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザー名
推奨アクション 不要。
602304
エラーメッセージ %Threat Defense-6-602304: IPSEC: An direction tunnel_type SA (SPI=spi ) between local_IP and remote_IP (username ) has been deleted.
説明 SA が削除されました。
- direction:SA の方向(インバウンドまたはアウトバウンド)
- tunnel_type:SA のタイプ(リモート アクセスまたは L2L)
- spi:IPSec のセキュリティ パラメータ インデックス
- local_IP:トンネルのローカル エンドポイントの IP アドレス
- remote_IP:トンネルのリモート エンドポイントの IP アドレス
- >username:IPSec トンネルに関連付けられているユーザー名
推奨アクション 不要。
602305
エラーメッセージ %Threat Defense-3-602305: IPSEC: SA creation error, source source address , destination destination address , reason error string
説明 IPSec セキュリティ アソシエーションの作成中に、エラーが発生しました。
推奨アクション通常、これは一時的なエラー状態です。このメッセージが連続して発生する場合は、Cisco TAC にお問い合わせください。
602306
エラーメッセージ %Threat Defense-3-602306: IPSEC: SA change peer IP error, SPI: IPsec SPI, (src {original src IP address | original src port}, dest {original dest IP address| original dest port} => src {new src IP address | new src port}, dest: {new dest IP address | new dest port}), reason failure reason
説明モバイル IKE の IPsec トンネルのピア アドレスを更新中にエラーが発生し、ピア アドレスを変更できませんでした。
推奨アクション通常、これは一時的なエラー状態です。このメッセージが連続して発生する場合は、Cisco TAC にお問い合わせください。
604101
エラーメッセージ %Threat Defense-6-604101: DHCP client interface interface_name : Allocated ip = IP_address , mask = netmask , gw = gateway_address
説明 Secure Firewall Threat Defense DHCP クライアントが DHCP サーバーから IP アドレスを正常に取得しました。dhcpc コマンド文によって、Secure Firewall Threat Defense デバイス は、ネットワーク インターフェイスの IP アドレスおよびネットワーク マスクを DHCP サーバーから取得でき、またデフォルト ルートを取得できます。デフォルト ルート文では、ゲートウェイ アドレスがデフォルト ルータのアドレスとして使用されます。
推奨アクション 不要。
604102
エラーメッセージ %Threat Defense-6-604102: DHCP client interface interface_name : address released
説明 Secure Firewall Threat Defense DHCP クライアントが、割り当てられた IP アドレスを解放して DHCP サーバーに戻しました。
推奨アクション 不要。
604103
エラーメッセージ %Threat Defense-6-604103: DHCP daemon interface interface_name : address granted MAC_address (IP_address )
説明 Secure Firewall Threat Defense DHCP サーバーによって、IP アドレスが外部クライアントに付与されました。
推奨アクション 不要。
604104
エラーメッセージ %Threat Defense-6-604104: DHCP daemon interface interface_name : address released build_number (IP_address )
説明外部クライアントが、IP アドレスを解放して Secure Firewall Threat Defense DHCP サーバーに戻しました。
推奨アクション 不要。
604105
エラーメッセージ %Threat Defense-4-604105: DHCPD: Unable to send DHCP reply to client hardware_address on interface interface_name . Reply exceeds options field size (options_field_size ) by number_of_octets octets.
説明管理者は、DHCP クライアントに返す DHCP オプションを設定できます。DHCP クライアントが要求するオプションに応じて、オファーの DHCP オプションはメッセージの長さの制限を超える場合があります。DHCP オファーは、メッセージの制限内に収まらないため、送信できません。
- hardware_address:要求元クライアントのハードウェア アドレス
- interface_name:サーバー メッセージを送受信するインターフェイス
- options_field_size:オプション フィールドの最大長。デフォルトは 312 オクテットであり、終端のための 4 オクテットを含みます。
- number_of_octets:超過したオクテット数
推奨アクション 設定されている DHCP オプションのサイズまたは数を減らします。
604201
エラーメッセージ %Threat Defense-6-604201: DHCPv6 PD client on interface <pd-client-iface> received delegated prefix <prefix> from DHCPv6 PD server <server-address>
with preferred lifetime <in-seconds> seconds and valid lifetime <in-seconds> seconds.
説明この syslog は、最初の 4 ウェイ交換の一部として、PD サーバーから委任されたプレフィックスを使用して DHCPv6 PD クライアントが受信されると表示されます。複数のプレフィックスの場合は、プレフィックスごとに syslog が表示されます。
- pd-client-iface:DHCPv6 PD クライアントが有効になっているインターフェイス名。
- prefix:DHCPv6 PD サーバーから受信したプレフィックス。
- server-address:DHCPv6 PD サーバー アドレス。
- in-seconds:委任されたプレフィックスに関連付けられている優先される有効期間(秒単位)。
推奨アクション なし。
604202
エラーメッセージ %Threat Defense-6-604202: DHCPv6 PD client on interface <pd-client-iface> releasing delegated prefix <prefix> received from DHCPv6 PD server
<server-address>.
説明この syslog は、無設定時に DHCPv6 PD クライアントが PD サーバーから受信した委任されたプレフィックスを解放している場合に表示されます。複数のプレフィックスの場合は、プレフィックスごとに syslog が表示されます。
- pd-client-iface:DHCPv6 PD クライアントが有効になっているインターフェイス名。
- prefix:DHCPv6 PD サーバーから受信したプレフィックス。
- server-address:DHCPv6 PD サーバー アドレス。
推奨アクション なし。
604203
エラーメッセージ %Threat Defense-6-604203: DHCPv6 PD client on interface <pd-client-iface> renewed delegated prefix <prefix> from DHCPv6 PD server <server-address>
with preferred lifetime <in-seconds> seconds and valid lifetime <in-seconds> seconds.
説明この syslog は、DHCPv6 PD クライアントが以前に割り当てられた委任されたプレフィックスの更新を PD サーバーから開始し、成功した場合に表示されます。複数のプレフィックスの場合は、プレフィックスごとに syslog が表示されます。
- pd-client-iface:DHCPv6 PD クライアントが有効になっているインターフェイス名。
- prefix:DHCPv6 PD サーバーから受信したプレフィックス。
- server-address:DHCPv6 PD サーバー アドレス。
- in-seconds:委任されたプレフィックスに関連付けられている優先される有効期間(秒単位)。
推奨アクション なし。
604204
エラーメッセージ %Threat Defense-6-604204: DHCPv6 delegated prefix <delegated prefix> got expired on interface <pd-client-iface>, received from DHCPv6 PD
server <server-address>.
説明この syslog は、DHCPv6 PD クライアントが受信した委任されたプレフィックスが期限切れになっている場合に表示されます。
- pd-client-iface:DHCPv6 PD クライアントが有効になっているインターフェイス名。
- prefix:DHCPv6 PD サーバーから受信したプレフィックス。
- delegated prefix:DHCPv6 PD サーバーから受信した委任プレフィックス。
推奨アクション なし。
604205
エラーメッセージ %Threat Defense-6-604205: DHCPv6 client on interface <client-iface> allocated address <ipv6-address> from DHCPv6 server <server-address>
with preferred lifetime <in-seconds> seconds and valid lifetime <in-seconds> seconds
説明この syslog は、最初の 4 ウェイ交換の一部として DHCPv6 クライアント アドレスが DHCPv6 サーバーから受信され、有効な場合に表示されます。アドレスが複数の場合は、受け取ったアドレスごとに syslog が表示されます。
- client-iface:DHCPv6 クライアント アドレスがイネーブルになっているインターフェイス名。
- ipv6-address:DHCPv6 サーバーから受信した IPv6 アドレス。
- server-address:DHCPv6 サーバー アドレス。
- in-seconds:クライアント アドレスに関連付けられている優先される有効期間(秒単位)。
推奨アクション なし。
604207
エラーメッセージ %Threat Defense-6-604207: DHCPv6 client on interface <client-iface> renewed address <ipv6-address> from DHCPv6 server <server-address> with
preferred lifetime <in-seconds> seconds and valid lifetime <in-seconds> seconds.
説明この syslog は、DHCPv6 クライアントが DHCPv6 サーバーから以前に割り当てられたアドレスの更新を開始すると表示されます。アドレスが複数の場合は、更新したアドレスごとに syslog が表示されます。
- client-iface:DHCPv6 クライアント アドレスがイネーブルになっているインターフェイス名。
- ipv6-address:DHCPv6 サーバーから受信した IPv6 アドレス。
- server-address:DHCPv6 サーバー アドレス。
- in-seconds:クライアント アドレスに関連付けられている優先される有効期間(秒単位)。
推奨アクション なし。
604206
エラーメッセージ %Threat Defense-6-604206: DHCPv6 client on interface <client-iface> releasing address <ipv6-address> received from DHCPv6 server <server-address>.
説明 DHCPv6 クライアント アドレスのコンフィギュレーションが実行されない場合、DHCPv6 クライアントは受信したクライアント アドレスを解放しています。アドレスが複数の場合は、アドレスごとに syslog が表示されます。
- client-iface:DHCPv6 クライアント アドレスが有効になっているインターフェイス名。
- ipv6-address:DHCPv6 サーバーから受信した IPv6 アドレス。
- server-address:DHCPv6 サーバー アドレス。
推奨アクション なし。
604208
エラーメッセージ %Threat Defense-6-604208: DHCPv6 client address <ipv6-address> got expired on interface <client-iface>, received from DHCPv6 server <server-address>
説明この syslog は、DHCPv6 クライアントが受信したアドレスが期限切れになっている場合に表示されます。
- client-iface:DHCPv6 クライアント アドレスがイネーブルになっているインターフェイス名。
- ipv6-address:DHCPv6 サーバーから受信した IPv6 アドレス。
- server-address:DHCPv6 サーバー アドレス。
推奨アクション なし。
605004
エラーメッセージ %Threat Defense-6-605004: Login denied from source-address/source-port to interface:destination/service for user “username ”
説明ユーザーがコンソールにログインしようとすると、次の形式のメッセージが表示されます。
Login denied from serial to console for user “username”
Secure Firewall Threat Defense デバイス への誤ったログインの試行、またはログインの失敗が発生しました。すべてのログインに対して、セッションあたり 3 回の試行が許容され、不正な試行が 3 回行われると、そのセッションは終了します。SSH ログインおよび Telnet ログインの場合、このメッセージは、3 回目の試行の失敗後、または 1 回以上の試行の失敗後に TCP セッションが終了したときに、生成されます。他のタイプの管理セッションの場合、このメッセージは試行に失敗するたびに生成されます。ユーザー名は無効な場合や不明な場合は表示されませんが、有効な場合または no logging hide username コマンドが設定されている場合は表示されます。
- source-address:ログイン試行の送信元アドレス
- source-port:ログイン試行の送信元ポート
- interface:宛先管理インターフェイス
- destination:宛先 IP アドレス
- service:宛先サービス
- username:宛先管理インターフェイス
推奨アクション このメッセージの表示頻度が少ない場合、処置は不要です。このメッセージが頻繁に表示される場合は、攻撃を示すことがあります。ユーザーと通信して、ユーザー名とパスワードを確認します。
605005
エラーメッセージ %Threat Defense-6-605005: Login permitted from source-address /source-port to interface:destination /service for user “username ”
ユーザーがコンソールにログインすると、次の形式のメッセージが表示されます。
Login permitted from serial to console for user “username”
説明 ユーザーは認証に成功し、管理セッションが開始されました。
- source-address:ログイン試行の送信元アドレス
- source-port:ログイン試行の送信元ポート
- interface:宛先管理インターフェイス
- destination:宛先 IP アドレス
- service:宛先サービス
- username:宛先管理インターフェイス
推奨アクション 不要。
607001
エラーメッセージ %Threat Defense-6-607001: Pre-allocate SIP connection_type secondary channel for interface_name:IP_address/port to interface_name:IP_address from string message
説明 SIP メッセージの検査後、fixup sip コマンドによって SIP 接続が割り当て済みでした。connection_type は、次の文字列のいずれかです。
- SIGNALLING UDP
- SIGNALLING TCP
- SUBSCRIBE UDP
- SUBSCRIBE TCP
- Via UDP
- Route
- RTP
- RTCP
推奨アクション 不要。
608001
エラーメッセージ %Threat Defense-6-608001: Pre-allocate Skinny connection_type secondary channel for interface_name:IP_address to interface_name:IP_address from string message
接続 Skinny メッセージの検査後、inspect skinny コマンドによって Skinny 接続が割り当て済みでした。connection_type は、次の文字列のいずれかです。
- SIGNALLING UDP
- SIGNALLING TCP
- SUBSCRIBE UDP
- SUBSCRIBE TCP
- Via UDP
- Route
- RTP
- RTCP
推奨アクション 不要。
608002
エラーメッセージ %Threat Defense-4-608002: Dropping Skinny message for in_ifc :src_ip /src_port to out_ifc :dest_ip /dest_port , SCCP Prefix length value too small
説明設定済みの最小長より短い SCCP プレフィックス長を持つ Skinny(SSCP)メッセージを受信しました。
- in_ifc:入力インターフェイス
- src_ip:パケットの送信元 IP アドレス
- src_port:パケットの送信元ポート
- out_ifc:出力インターフェイス
- dest_ip:パケットの宛先 IP アドレス
- dest_port:パケットの宛先ポート
- value:パケットの SCCP プレフィックス長
推奨アクション SCCP メッセージが有効である場合は、Skinny ポリシー マップをカスタマイズして、SSCP プレフィックスの最小長の値を大きくします。
608003
エラーメッセージ %Threat Defense-4-608003: Dropping Skinny message for in_ifc :src_ip /src_port to out_ifc :dest_ip /dest_port , SCCP Prefix length value too large
説明設定済みの最大長より長い SCCP プレフィックス長を持つ Skinny(SSCP)メッセージを受信しました。
- in_ifc:入力インターフェイス
- src_ip:パケットの送信元 IP アドレス
- src_port:パケットの送信元ポート
- out_ifc:出力インターフェイス
- dest_ip:パケットの宛先 IP アドレス
- dest_port:パケットの宛先ポート
- value:パケットの SCCP プレフィックス長
推奨アクション SCCP メッセージが有効である場合は、Skinny ポリシー マップをカスタマイズして、SCCP プレフィックスの最大長の値を大きくします。
609001
エラーメッセージ %Threat Defense-7-609001: Built local-host zone-name/* :ip-address
説明ネットワーク状態コンテナは、ゾーン zone-name に接続されたホスト ip-address 用に予約済みでした。zone-name/* パラメータは、ホストが作成されているインターフェイスがゾーンの一部である場合に使用されます。ホストはいずれのインターフェイスにも属していないため、アスタリスクはすべてのインターフェイスを表します。
推奨アクション 不要。
609002
エラーメッセージ %Threat Defense-7-609002: Teardown local-host zone-name/* :ip-address duration time
説明ゾーン zone-name に接続されたホスト ip-address 用のネットワーク状態コンテナが削除されました。zone-name/* パラメータは、ホストが作成されているインターフェイスがゾーンの一部である場合に使用されます。ホストはいずれのインターフェイスにも属していないため、アスタリスクはすべてのインターフェイスを表します。
推奨アクション 不要。