この章

CHAPTER
78
トラブルシューティング
この章では、適応型セキュリティアプライアンスのトラブルシューティングの方法について説明しま
す。次の項で構成されています。
• 「コンフィギュレーションのテスト」（P.78-1）
• 「セキュリティアプライアンスのリロード」（P.78-7）
• 「パスワード回復の実行」（P.78-7）
• 「ソフトウェアイメージをロードするための ROM モニタの使用」（P.78-11）
• 「フラッシュファイルシステムの消去」（P.78-13）
• 「その他のトラブルシューティングツール」（P.78-13）
コンフィギュレーションのテスト
この項では、シングルモード適応型セキュリティアプライアンスまたは各セキュリティコンテキスト
の接続性のテスト方法、適応型セキュリティアプライアンスインターフェイスを ping する方法、およ
びあるインターフェイスにあるホストが他のインターフェイスのホストに ping できるようにする方法
について説明します。
ping およびデバッグメッセージはトラブルシューティング時に限りイネーブルにしてください。適応
「テストコンフィギュレーションのディセーブ
型セキュリティアプライアンスのテストが終了したら、
ル化」（P.78-6）の手順を実行します。
この項は、次の内容で構成されています。
• 「ICMP デバッグメッセージとシステムログメッセージのイネーブル化」（P.78-2）
• 「セキュリティアプライアンスインターフェイスの ping」（P.78-2）
• 「セキュリティアプライアンスによる ping」（P.78-4）
• 「テストコンフィギュレーションのディセーブル化」（P.78-6）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
78-1
第 78 章
トラブルシューティング
コンフィギュレーションのテスト
ICMP デバッグメッセージとシステムログメッセージのイネーブル化
デバッグメッセージとシステムログメッセージは、ping が成功しない理由をトラブルシューティング
するのに役立ちます。適応型セキュリティアプライアンスは、適応型セキュリティアプライアンスイ
ンターフェイスへの ping に対する ICMP デバッグメッセージのみを表示します。適応型セキュリティ
アプライアンスを経由する他のホストへの ping に対する ICMP デバッグメッセージは表示しません。
デバッグメッセージとシステムログメッセージをイネーブルにするには、次の手順を実行します。
ステップ 1
コマンド
目的
debug icmp trace
適応型セキュリティアプライアンスインターフェイスへの ping
の ICMP パケット情報を表示します。
ステップ 2 logging monitor debug
Telnet セッションまたは SSH セッションに送信するシステムロ
グメッセージを設定します。
（注）
あるいは、logging buffer debug コマンドを使用してロ
グメッセージをバッファに送信してから、show logging
コマンドを使用してそれらを表示することもできます。
ステップ 3 terminal monitor
Telnet セッションまたは SSH セッションにシステムログメッ
ステップ 4 logging on
システムログメッセージをイネーブルにします。
セージを送信します。
例
次に、外部ホスト（209.165.201.2）から適応型セキュリティアプライアンスの外部インターフェイス
（209.165.201.1）への ping が成功した例を示します。
hostname(config)# debug icmp trace
Inbound ICMP echo reply (len 32 id
Outbound ICMP echo request (len 32
Inbound ICMP echo reply (len 32 id
Outbound ICMP echo request (len 32
Inbound ICMP echo reply (len 32 id
Outbound ICMP echo request (len 32
Inbound ICMP echo reply (len 32 id
1 seq 256) 209.165.201.1 > 209.165.201.2
id 1 seq 512) 209.165.201.2 > 209.165.201.1
1 seq 512) 209.165.201.1 > 209.165.201.2
id 1 seq 768) 209.165.201.2 > 209.165.201.1
1 seq 768) 209.165.201.1 > 209.165.201.2
id 1 seq 1024) 209.165.201.2 > 209.165.201.1
1 seq 1024) 209.165.201.1 > 209.165.201.2
この例では、ICMP パケット長（32 バイト）、ICMP パケット識別子（1）、および ICMP シーケンス番
号（ICMP シーケンス番号は 0 から始まり、要求が送信されるたびに増分されます）が示されています。
セキュリティアプライアンスインターフェイスの ping
適応型セキュリティアプライアンスインターフェイスが起動して動作しているかどうか、および適応
型セキュリティアプライアンスと接続ルータが正しく動作しているかどうかをテストするには、適応
型セキュリティアプライアンスインターフェイスを ping します。適応型セキュリティアプライアン
スインターフェイスを ping するには、次の手順を実行します。
ステップ 1
インターフェイス名、セキュリティレベル、および IP アドレスを示すシングルモードの適応型セキュ
リティアプライアンスまたはセキュリティコンテキストの図を作成します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
78-2
OL-18970-01-J
第 78 章
トラブルシューティング
コンフィギュレーションのテスト
（注）
この手順では IP アドレスを使用しますが、ping コマンドでは、DNS 名および name コマンド
を使用してローカル IP アドレスに割り当てられた名前もサポートされます。
図には、直接接続されたすべてのルータ、および適応型セキュリティアプライアンスを ping するルー
タの反対側にあるホストも含める必要があります。この情報はこの手順と「セキュリティアプライア
ンスによる ping」（P.78-4）の手順で使用します。次に例を示します。
図 78-1
インターフェイス、ルータ、およびホストを含むネットワーク図
ࡎࠬ࠻
10.1.1.56
209.265.200.230
10.1.1.2
10.1.3.6
10.1.3.2
209.265.200.226
࡞࡯࠲
209.165.201.2
ᄖㇱ
209.165.201.1
security0
dmz1
192.168.1.1
security20
209.165.201.24
209.165.201.1
࡞࡯࠲
࡞࡯࠲
192.168.1.2
ࡎࠬ࠻
192.168.3.2
࡞࡯࠲
10.1.0.1
dmz3
192.168.3.1
security60
ᄖㇱ
security0
ㅘㆊ ࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ 10.1.0.3
࡞࡯࠹࠶࠼ ࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
dmz2
192.168.2.1
security40
192.168.2.2
ౝㇱ
192.168.0.1
security100
192.168.0.2
࡞࡯࠲
10.1.2.2
࡞࡯࠲
10.1.0.2
10.1.2.90
ステップ 2
ౝㇱ
security100
192.168.4.2
10.1.0.2
࡞࡯࠲
10.1.4.2
10.1.0.34
ࡎࠬ࠻
ࡎࠬ࠻
dmz4
192.168.4.1
security80
࡞࡯࠲
10.1.1.1
10.1.4.67
ࡎࠬ࠻
10.1.1.5
126692
ࡎࠬ࠻
ࡎࠬ࠻
ࡎࠬ࠻
直接接続されたルータから各適応型セキュリティアプライアンスインターフェイスを ping します。ト
ランスペアレントモードでは、管理 IP アドレスを ping します。このテストは、適応型セキュリティ
アプライアンスインターフェイスがアクティブであること、およびインターフェイスコンフィギュ
レーションが正しいことを確認します。
適応型セキュリティアプライアンスインターフェイスがアクティブではない場合、インターフェイス
コンフィギュレーションが正しくない場合、または適応型セキュリティアプライアンスとルータの間
でスイッチがダウンしている場合、ping は失敗する可能性があります（図 78-2 を参照）。この場合、
パケットが適応型セキュリティアプライアンスに到達しないので、デバッグメッセージやシステムロ
グメッセージは表示されません。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
78-3
第 78 章
トラブルシューティング
コンフィギュレーションのテスト
図 78-2
セキュリティアプライアンスインターフェイスでの ping の失敗
࡞࡯࠲
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
126695
ping
ping が適応型セキュリティアプライアンスに到達し、適応型セキュリティアプライアンスが応答する
と、次のようなデバッグメッセージが表示されます。
ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
ping 応答がルータに戻されない場合は、スイッチループまたは冗長 IP アドレスが存在する可能性があ
ります（図 78-3 を参照）。
図 78-3
IP アドレッシングの問題による ping の失敗
ping
࡞࡯࠲
192.168.1.2
192.168.1.1
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
126696
192.168.1.2
ࡎࠬ࠻
ステップ 3
リモートホストから各適応型セキュリティアプライアンスインターフェイスを ping します。トラン
スペアレントモードでは、管理 IP アドレスを ping します。このテストは、直接接続されたルータがホ
ストと適応型セキュリティアプライアンスの間でパケットをルーティングできるかどうか、および適
応型セキュリティアプライアンスがパケットを正確にルーティングしてホストに戻せるかどうかを確
認します。
中間ルータを通ってホストに戻るルートが適応型セキュリティアプライアンスにない場合、ping は失
敗する可能性があります（図 78-4 を参照）。この場合、デバッグメッセージには ping が成功したこと
が示されますが、ルーティングの失敗を示すシステムログメッセージ 110001 が表示されます。
セキュリティアプライアンスに戻りルートがないことによる ping の失敗
?
ping
ࡎࠬ࠻
࡞࡯࠲
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
126693
図 78-4
セキュリティアプライアンスによる ping
適応型セキュリティアプライアンスインターフェイスを正常に ping した後で、トラフィックが適応型
セキュリティアプライアンスを正常に通過できることを確認します。ルーテッドモードでは、このテ
ストによって、Network Address Translation（NAT; ネットワークアドレス変換）が正しく動作してい
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
78-4
OL-18970-01-J
第 78 章
トラブルシューティング
コンフィギュレーションのテスト
ることが示されます（設定されている場合）。トランスペアレントモードでは、NAT は使用されない
ので、このテストでは適応型セキュリティアプライアンスが正しく動作していることが確認されます。
トランスペアレントモードで ping が失敗した場合は、Cisco TAC にお問い合せください。
異なるインターフェイス上のホスト間で ping するには、次の手順を実行します。
ステップ 1
コマンド
目的
access-list ICMPACL extended permit icmp
any any
発信元ホストから ICMP を許可するアクセスリストを追加します。
（注）
ステップ 2 access-group ICMPACL in interface
デフォルトでは、ホストが低セキュリティインターフェ
イスにアクセスすると、すべてのトラフィックが通過を
許可されます。ただし、高セキュリティインターフェイ
スにアクセスするには、先行するアクセスリストが必要
です。
各発信元インターフェイスにアクセスリストを割り当てます。
interface_name
（注）
ステップ 3 class-map ICMP-CLASS
match access-list ICMPACL
policy-map ICMP-POLICY
class ICMP-CLASS
inspect icmp
service-policy ICMP-POLICY global
ステップ 4 logging on
各発信元インターフェイスに対してこのコマンドを繰り
返します。
ICMP 検査エンジンをイネーブルにして、ICMP 応答が発信元ホ
ストに戻されるようにします。
（注）
あるいは、ICMP アクセスリストを宛先インターフェイ
スに適用し、適応型セキュリティアプライアンスを介し
て ICMP トラフィックを戻すこともできます。
システムログメッセージをイネーブルにします。
ホストまたはルータから発信元インターフェイスを介して別のインターフェイス上の別のホストまたは
ルータに ping します。
確認が必要なすべてのインターフェイスペアに対して、このステップを繰り返します。
ping が成功すると、ルーテッドモードのアドレス変換（305009 または 305011）と ICMP 接続が確立
されたこと（302020）を確認するシステムログメッセージが表示されます。show xlate コマンドまた
は show conns コマンドを入力してこの情報を表示することもできます。
トランスペアレントモードの ping が失敗した場合は、Cisco TAC にお問い合せください。
ルーテッドモードでは、NAT が正しく設定されていないために ping が失敗することがあります
（図 78-5 を参照）。この失敗は、NAT 制御をイネーブルにした場合に発生する可能性が高くなります。
この場合、NAT が失敗したことを示すシステムログメッセージが表示されます（305005 または
305006）。外部ホストから内部ホストに ping し、スタティック変換（NAT 制御を必要とする）がない
場合は、システムログメッセージ「106010: deny inbound icmp」が表示されます。
（注）
適応型セキュリティアプライアンスは、適応型セキュリティアプライアンスインターフェイ
スへの ping に対する ICMP デバッグメッセージのみを表示します。適応型セキュリティアプ
ライアンスを経由する他のホストへの ping に対する ICMP デバッグメッセージは表示しませ
ん。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
78-5
第 78 章
トラブルシューティング
コンフィギュレーションのテスト
図 78-5
セキュリティアプライアンスがアドレスを変換しないことによる ping の失敗
ࡎࠬ࠻
126694
ping
࡞࡯࠲
࠮ࠠࡘ࡝࠹ࠖ
ࠕࡊ࡜ࠗࠕࡦࠬ
࡞࡯࠲
ࡎࠬ࠻
テストコンフィギュレーションのディセーブル化
テストの完了後、ICMP の適応型セキュリティアプライアンスへの送信および通過を許可し、デバッ
グメッセージを表示するテストコンフィギュレーションをディセーブルにします。このコンフィギュ
レーションをそのままにしておくと、深刻なセキュリティリスクが生じる可能性があります。また、
デバッグメッセージは適応型セキュリティアプライアンスのパフォーマンスを低下させます。
テストコンフィギュレーションをディセーブルにするには、次の手順を実行します。
ステップ 1
コマンド
目的
no debug icmp trace
ICMP デバッグメッセージをディセーブルにします。
ステップ 2 no logging on
ロギングをディセーブルにします。
ステップ 3 no access-list ICMPACL
ICMPACL アクセスリストを削除し、関連する access-group コマンドを削除し
ます。
ステップ 4 no service-policy
ICMP-POLICY
（オプション）ICMP 検査エンジンをディセーブルにします。
トレースルート
パケットのルートは、トレースルート機能を使用してトレースできます。この機能には、traceroute
コマンドでアクセスできます。トレースルートは、無効なポート上の宛先に UDP パケットを送信する
ことで機能します。ポートが有効ではないため、宛先までの間にあるルータは ICMP Time Exceeded
Message を表示して応答し、セキュリティアプライアンスにエラーを報告します。
パケットトレーサ
また、パケットが正しく動作しているかどうかを確認するために、パケットトレーサツールを使用し
て、セキュリティアプライアンスを通過するパケットのライフスパンをトレースできます。このツー
ルを使用すると次のことができます。
• ネットワーク内にドロップするすべてのパケットをデバッグする。
• コンフィギュレーションが意図したとおりに機能しているかを確認する。
• パケットに適用可能なすべての規則、および規則が追加される原因となった CLI コマンドを表示
する。
• データパス内でのパケット変化を時系列で表示する。
• データパスにトレーサパケットを挿入する。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
78-6
OL-18970-01-J
第 78 章
トラブルシューティング
セキュリティアプライアンスのリロード
packet-tracer コマンドを使用すると、パケットに関する詳細情報、およびパケットがセキュリティア
プライアンスによってどのように処理されたかが表示されます。コンフィギュレーションからのコマン
ドが原因でパケットがドロップしたのではない場合、packet-tracer コマンドにより、原因に関する詳
細な情報が読みやすい形式で表示されます。たとえば、ヘッダーの検証が無効なためパケットがドロッ
プされた場合、「packet dropped due to bad ip header (reason)」メッセージが表示されます。
セキュリティアプライアンスのリロード
マルチモードでは、システム実行スペースからしかリロードできません。適応型セキュリティアプラ
イアンスをリロードするには、次のコマンドを入力します。
コマンド
目的
reload
適応型セキュリティアプライアンスをリロードします。
パスワード回復の実行
この項では、パスワードを忘れた場合、または AAA 設定のためにロックアウトされた場合にパスワー
ドを回復する方法、およびセキュリティ向上のためにパスワードの回復をディセーブルにする方法につ
いて説明します。この項は、次の内容で構成されています。
• 「ASA 5500 シリーズ適応型セキュリティアプライアンスのパスワードの回復」（P.78-7）
• 「PIX 500 シリーズセキュリティアプライアンスのパスワード回復」（P.78-9）
• 「パスワード回復のディセーブル化」（P.78-10）
• 「SSM ハードウェアモジュールのパスワードのリセット」（P.78-11）
ASA 5500 シリーズ適応型セキュリティアプライアンスのパスワードの回
復
ASA 5500 シリーズ適応型適応型セキュリティアプライアンスのパスワードを回復するには、次の手順
を実行します。
ステップ 1
「コマンドラインインターフェイスへのアクセス」（P.2-4）の説明に従って、適応型セキュリティアプ
ライアンスのコンソールポートに接続します。
ステップ 2
適応型セキュリティアプライアンスの電源を切ってから、投入します。
ステップ 3
スタートアップ後、ROMMON モードに入るようにプロンプトが表示されたら、Escape キーを押しま
す。
ステップ 4
コンフィギュレーションレジスタ値をアップデートするには、次のコマンドを入力します。
rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM...
ステップ 5
スタートアップコンフィギュレーションを無視するように適応型セキュリティアプライアンスを設定
するには、次のコマンドを入力します。
rommon #1> confreg
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
78-7
第 78 章
トラブルシューティング
パスワード回復の実行
適応型セキュリティアプライアンスは、現在のコンフィギュレーションのレジスタ値を表示し、その
値を変更するかどうかを尋ねます。
Current Configuration Register: 0x00000041
Configuration Summary:
boot default image from Flash
ignore system configuration
Do you wish to change this configuration? y/n [n]: y
ステップ 6
後で回復できるように、現在のコンフィギュレーションのレジスタ値を記録します。
ステップ 7
値を変更する場合は、プロンプトに対して Y を入力します。
適応型セキュリティアプライアンスは、新しい値の入力を求めるプロンプトを表示します。
ステップ 8
すべての設定についてデフォルト値を受け入れます。プロンプトに対して、Y を入力します。
ステップ 9
次のコマンドを入力して、適応型セキュリティアプライアンスをリロードします。
rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
Loading disk0:/asa800-226-k8.bin... Booting...Loading...
適応型セキュリティアプライアンスは、スタートアップコンフィギュレーションの代わりにデフォル
トコンフィギュレーションをロードします。
ステップ 10
次のコマンドを入力して、特権 EXEC モードにアクセスします。
hostname> enable
ステップ 11
パスワードの入力を求められたら、Enter キーを押します。
パスワードはブランクです。
ステップ 12
次のコマンドを入力して、グローバルコンフィギュレーションモードにアクセスします。
hostname# configure terminal
ステップ 13
次のコマンドを入力して、デフォルトコンフィギュレーションで必要に応じてパスワードを変更します。
hostname(config)# password password
hostname(config)# enable password password
hostname(config)# username name password password
ステップ 14
次のコマンドを入力して、デフォルトコンフィギュレーションをロードします。
hostname(config)# no config-register
デフォルトコンフィギュレーションのレジスタ値は 0x1 です。コンフィギュレーションレジスタの詳
細については、『Cisco ASA 5500 Series Command Reference』を参照してください。
ステップ 15
次のコマンドを入力して、新しいパスワードをスタートアップコンフィギュレーションに保存します。
hostname(config)# copy running-config startup-config
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
78-8
OL-18970-01-J
第 78 章
トラブルシューティング
パスワード回復の実行
PIX 500 シリーズセキュリティアプライアンスのパスワード回復
PIX 500 シリーズ適応型セキュリティアプライアンスのパスワードを回復すると、ログインパスワー
ドが消去され、パスワード、および aaa authentication console コマンドがイネーブルになります。
PIX 500 シリーズ適応型セキュリティアプライアンスのパスワードを回復するには、次の手順を実行
します。
ステップ 1
Cisco.com から、適応型セキュリティアプライアンスでアクセス可能な TFTP サーバに PIX パスワー
ドツールをダウンロードします。説明については、次の URL にアクセスして参照してください。
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_password_recovery09186a0080
09478b.shtml
ステップ 2
適応型セキュリティアプライアンスに従って、「コマンドラインインターフェイスへのアクセス」
（P.2-4）のコンソールポートに接続します。
ステップ 3
適応型セキュリティアプライアンスの電源を切ってから、投入します。
ステップ 4
スタートアップメッセージが表示された直後に、Escape キーを押してモニタモードに入ります。
ステップ 5
モニタモードで、次のコマンドを入力して、TFTP サーバにアクセスするためのインターフェイス
ネットワーク設定値を設定します。
monitor>
monitor>
monitor>
monitor>
monitor>
ステップ 6
interface interface_id
address interface_ip
server tftp_ip
file pw_tool_name
gateway gateway_ip
次のコマンドを入力して、TFTP サーバから PIX パスワードツールをダウンロードします。
monitor> tftp
サーバに到達できない場合は、ping address コマンドを入力して接続をテストします。
ステップ 7
「Do you wish to erase the passwords? 」プロンプトに対して、Y を入力します。
これで、デフォルトログインパスワード「cisco」とブランクのイネーブルパスワードでログインでき
るようになります。
例
次の例は、外部インターフェイス上の TFTP サーバがある PIX 500 シリーズ適応型セキュリティアプ
ライアンスのパスワード回復を示しています。
monitor> interface 0
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9
monitor> address 10.21.1.99
address 10.21.1.99
monitor> server 172.18.125.3
server 172.18.125.3
monitor> file np70.bin
file np52.bin
monitor> gateway 10.21.1.1
gateway 10.21.1.1
monitor> ping 172.18.125.3
Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds:
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
78-9
第 78 章
トラブルシューティング
パスワード回復の実行
!!!!!
Success rate is 100 percent (5/5)
monitor> tftp
tftp [email protected] via 10.21.1.1
Received 73728 bytes
Cisco PIX password tool (4.0) #0: Tue Aug 22 23:22:19 PDT 2005
Flash=i28F640J5 @ 0x300
BIOS Flash=AT29C257 @ 0xd8000
Do you wish to erase the passwords? [yn] y
Passwords have been erased.
Rebooting....
パスワード回復のディセーブル化
権限のないユーザがパスワード回復メカニズムを使用して適応型セキュリティアプライアンスを危険
にさらすことがないように、パスワード回復をディセーブルにすることができます。
コマンド
目的
no service password-recovery
パスワード回復をディセーブルにします。
ASA 5500 シリーズ適応型セキュリティアプライアンスで、no service password-recovery コマンドを
使用すると、ユーザが ROMMON モードに入って、コンフィギュレーションを変更するのを防ぐこと
ができます。ユーザが ROMMON モードに入ると、適応型セキュリティアプライアンスはユーザに対
し、すべてのフラッシュファイルシステムを消去するように求めるプロンプトを表示します。ユーザ
はこの消去をまず実行しないと、ROMMON モードに入れません。ユーザがフラッシュファイルシス
テムを消去しない場合、適応型セキュリティアプライアンスはリロードします。パスワード回復は
ROMMON モードの使用と既存のコンフィギュレーションの保持に依存しているので、この消去に
よって、パスワードの回復ができなくなります。ただし、パスワードを回復できなくすることで、不正
なユーザがコンフィギュレーションを表示したり、別のパスワードを挿入したりすることがなくなりま
す。この場合、システムを動作可能な状態に回復するには、新しいイメージとバックアップコンフィ
ギュレーションファイル（入手できる場合）をロードします。
コンフィギュレーションファイルに表示される service password-recovery コマンドは、情報のため
だけのものです。CLI プロンプトに対してコマンドを入力すると、設定は NVRAM に保存されます。
設定を変更する唯一の方法は、CLI プロンプトでコマンドを入力することです。このコマンドの異なる
バージョンで新規コンフィギュレーションをロードしても、設定は変更されません。適応型セキュリ
ティアプライアンスが（パスワード回復の準備で）スタートアップ時にスタートアップコンフィギュ
レーションを無視するように設定されている場合にパスワード回復をディセーブルにすると、適応型セ
キュリティアプライアンスは通常どおりスタートアップコンフィギュレーションをロードするように
設定を変更します。フェールオーバーを使用し、スタートアップコンフィギュレーションを無視する
ようにスタンバイ装置が設定されている場合は、no service password recovery コマンドでスタンバイ
装置に複製したときにコンフィギュレーションレジスタに同じ変更が加えられます。
PIX 500 シリーズセキュリティアプライアンスで、no service password-recovery コマンドを使用す
ると、すべてのフラッシュファイルシステムの消去をユーザに求めるプロンプトを表示するように
PIX パスワードツールに強制します。ユーザは、まずこの消去を実行しないと、PIX パスワードツー
ルを使用できません。ユーザがフラッシュファイルシステムを消去しない場合、適応型セキュリティ
アプライアンスはリロードします。パスワード回復は既存のコンフィギュレーションの保持に依存して
いるので、この消去によって、パスワードを回復することはできなくなります。ただし、パスワードを
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
78-10
OL-18970-01-J
第 78 章
トラブルシューティング
ソフトウェアイメージをロードするための ROM モニタの使用
回復できなくすることで、不正なユーザがコンフィギュレーションを表示したり、別のパスワードを挿
入したりすることがなくなります。この場合、システムを動作可能な状態に回復するには、新しいイ
メージとバックアップコンフィギュレーションファイル（入手できる場合）をロードします。
SSM ハードウェアモジュールのパスワードのリセット
SSM ハードウェアモジュールのパスワードをデフォルトの「cisco」にリセットするには、次の手順を
実行します。
（注）
SSM ハードウェアモジュールがアップ状態にあり、パスワードのリセットがサポートされていること
を確認します。
コマンド
目的
hw-module module 1
password-reset
ここで、1 は、SSM ハードウェアモジュール上の指定したスロット番号です。
（注）
AIP SSM で、このコマンドを入力するとハードウェアモジュールがリ
ブートされます。モジュールはリブートが終了するまでオフラインです。
モジュールのステータスを監視するには、show module コマンドを入力
します。AIP SSM では、バージョン 6.0 以降でこのコマンドがサポート
されています。
CSC SSM で、このコマンドを入力すると、パスワードがリセットされた
後でハードウェアモジュールの Web サービスがリセットされます。
ASDM への接続が失われる、またはハードウェアモジュールからログア
ウトされることがあります。CSC SSM では、2006 年 11 月の最新バー
ジョン 6.1 でこのコマンドがサポートされています。
Reset the password on module in slot 1? [confirm] y.
Enter y to confirm.
ソフトウェアイメージをロードするための ROM モニタの使用
この項では、TFTP を使用する ROM モニタモードから、適応型セキュリティアプライアンスにソフト
ウェアイメージをロードする方法について説明します。
ソフトウェアイメージを適応型セキュリティアプライアンスにロードするには、次の手順を実行しま
す。
ステップ 1
「コマンドラインインターフェイスへのアクセス」（P.2-4）の説明に従って、適応型セキュリティアプ
ライアンスのコンソールポートに接続します。
ステップ 2
適応型セキュリティアプライアンスの電源を切ってから、投入します。
ステップ 3
スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、Escape キーを押し
ます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
78-11
第 78 章
トラブルシューティング
ソフトウェアイメージをロードするための ROM モニタの使用
ステップ 4
ROMMOM モードで、適応型セキュリティアプライアンスに対するインターフェイス設定を定義しま
す。設定には、次のような IP アドレス、TFTP サーバアドレス、ゲートウェイアドレス、ソフトウェ
アイメージファイル、およびポートが含まれます。
rommon #1> ADDRESS=10.132.44.177
rommon #2> SERVER=10.129.0.30
rommon #3> GATEWAY=10.132.44.1
rommon #4> IMAGE=f1/asa800-232-k8.bin
rommon #5> PORT=Ethernet0/0
Ethernet0/0
Link is UP
MAC Address: 0012.d949.15b8
（注）
ステップ 5
ネットワークへの接続がすでに存在することを確認してください。
設定を検証するには、set コマンドを入力します。
rommon #6> set
ROMMON Variable Settings:
ADDRESS=10.132.44.177
SERVER=10.129.0.30
GATEWAY=10.132.44.1
PORT=Ethernet0/0
VLAN=untagged
IMAGE=f1/asa800-232-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
ステップ 6
ping server コマンドを入力して、TFTP サーバを ping します。
rommon #7> ping server
Sending 20, 100-byte ICMP Echoes to server 10.129.0.30, timeout is 4 seconds:
Success rate is 100 percent (20/20)
ステップ 7
tftp コマンドを入力して、ソフトウェアイメージをロードします。
rommon #8> tftp
ROMMON Variable Settings:
ADDRESS=10.132.44.177
SERVER=10.129.0.30
GATEWAY=10.132.44.1
PORT=Ethernet0/0
VLAN=untagged
IMAGE=f1/asa800-232-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
tftp f1/[email protected] via 10.132.44.1
Received 14450688 bytes
Launching TFTP Image...
Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar
5 16:00:07 MST 2007
Loading...
ソフトウェアイメージが正常にロードされたら、適応型セキュリティアプライアンスにより
ROMMOM モードが自動的に終了します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
78-12
OL-18970-01-J
第 78 章
トラブルシューティング
フラッシュファイルシステムの消去
ステップ 8
正しいソフトウェアイメージが適応型セキュリティアプライアンスにロードされたことを検証するに
は、次のコマンドを入力して、適応型セキュリティアプライアンス内のバージョンを確認します。
hostname> show version
フラッシュファイルシステムの消去
ステップ 1
「コマンドラインインターフェイスへのアクセス」（P.2-4）の説明に従って、適応型セキュリティアプ
ライアンスのコンソールポートに接続します。
ステップ 2
適応型セキュリティアプライアンスの電源を切ってから、投入します。
ステップ 3
スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、Escape キーを押し
ます。
ステップ 4
ファイルシステムを消去するには、erase コマンドを入力します。このコマンドで、すべてのファイル
が上書きされ、非表示のシステムファイルを含むファイルシステムが消去されます。
rommon #1> erase [disk0: | disk1: | flash:]
その他のトラブルシューティングツール
適応型セキュリティアプライアンスには、使用できるその他のトラブルシューティングツールがあり
ます。この項は、次の内容で構成されています。
• 「デバッグメッセージの表示」（P.78-13）
• 「パケットの取得」（P.78-14）
• 「クラッシュダンプの表示」（P.78-14）
• 「コアダンプ」（P.78-14）
デバッグメッセージの表示
デバッグ出力は CPU プロセスで高プライオリティが割り当てられているため、デバッグ出力を行うと
システムが使用できなくなることがあります。このため、特定の問題のトラブルシューティングを行う
場合や、Cisco TAC とのトラブルシューティングセッションの間に限り debug コマンドを使用してく
ださい。さらに、ネットワークトラフィック量やユーザ数が少ない期間に debug コマンドを使用する
ことをお勧めします。このような期間にデバッグを実行すると、debug コマンドの処理オーバーヘッド
の増加によってシステムの使用に影響が生じる可能性が低くなります。デバッグメッセージをイネー
ブルにする方法は、『Cisco ASA 5500 Series Command Reference』の debug コマンドを参照してくだ
さい。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
78-13
第 78 章
トラブルシューティング
一般的な問題
パケットの取得
パケットの取得は、接続障害のトラブルシューティングや不審なアクティビティの監視を行う場合に便
利です。パケット取得機能を使用する場合は、Cisco TAC に連絡することをお勧めします。『Cisco
ASA 5500 Series Command Reference』の capture コマンドを参照してください。
クラッシュダンプの表示
適応型セキュリティアプライアンスがクラッシュした場合に、クラッシュダンプ情報を表示できます。
クラッシュダンプの内容を調べる必要がある場合は、Cisco TAC に連絡することをお勧めします。
『Cisco ASA 5500 Series Command Reference 』の show crashdump コマンドを参照してください。
コアダンプ
コアダンプは、プログラムが異常終了（クラッシュ）した場合の実行中のプログラムのスナップ
ショットです。コアダンプは、エラーを診断またはデバッグするため、および障害を後からオフサイ
トで分析するために保存するために使用されます。Cisco TAC では、ユーザがコアダンプ機能をイ
ネーブルにして、適応型セキュリティアプライアンスでのアプリケーションまたはシステムのクラッ
シュをトラブルシューティングする必要がある場合があります。『Cisco ASA 5500 Series Command
Reference』の coredump コマンドを参照してください。
一般的な問題
この項では、適応型セキュリティアプライアンスの一般的な問題とそれらを解決する方法について説
明します。
症状
コンテキストコンフィギュレーションが保存されておらず、リロード時に失われました。
考えられる原因
コンテキスト実行スペース内で各コンテキストを保存しませんでした。コマンド
ラインでコンテキストを設定している場合、次のコンテキストに切り替える前に現在のコンテキス
トを保存しませんでした。
推奨処置
copy run start コマンドを使用して、コンテキスト実行スペース内で各コンテキストを
保存します。システム実行スペースからはコンテキストを保存できません。
症状適応型セキュリティアプライアンスインターフェイスへの Telnet または SSH 接続を確立できま
せん。
考えられる原因
せんでした。
適応型セキュリティアプライアンスへの Telnet または SSH をイネーブルにしま
推奨処置「Telnet アクセスの許可」
（P.37-1）または「SSH アクセスの許可」
（P.37-2）に従って、
適応型セキュリティアプライアンスへの Telnet または SSH をイネーブルにします。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
78-14
OL-18970-01-J
第 78 章
トラブルシューティング
一般的な問題
症状
適応型セキュリティアプライアンスインターフェイスを ping できません。
考えられる原因
適応型セキュリティアプライアンスへの ICMP をディセーブルにしました。
推奨処置
icmp コマンドを使用して、IP アドレス用に適応型セキュリティアプライアンスへの
ICMP をイネーブルにします。
症状
アクセスリストで許可されていても、適応型セキュリティアプライアンスを介して ping するこ
とができません。
考えられる原因
ICMP 検査エンジンをイネーブルにしていないか、入力インターフェイスと出力
インターフェイスの両方でアクセスリストを適用していません。
推奨処置
ICMP はコネクションレス型プロトコルなので、適応型セキュリティアプライアンスは
トラフィックが戻ることを自動的には許可しません。応答トラフィックを許可するために、入力イ
ンターフェイスだけではなく出力インターフェイスにもアクセスリストを適用するか、あるいは
ICMP 接続がステートフル接続として扱われるように ICMP 検査エンジンをイネーブルにします。
症状
同一セキュリティレベルにある 2 つのインターフェイス間をトラフィックが通過しません。
考えられる原因同一セキュリティレベルにあるインターフェイス間をトラフィックが通過できる
ようにする機能をイネーブルにしていません。
推奨処置「同じセキュリティレベルの通信の許可」
（P.6-32）の説明に従って、この機能をイネー
ブルにします。
症状
スタンバイデバイスへのフェールオーバー中に IPSec トンネルが二重化されません。
考えられる原因
ます。
推奨処置
ASA が接続されているスイッチポートが 1000 ではなく 10/100 に設定されてい
ASA が接続されているスイッチポートを 1000 に設定します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
78-15
第 78 章
トラブルシューティング
一般的な問題
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
78-16
OL-18970-01-J

Download Report

この章

Paperzz.com

Your Paperzz