Roteadores : Roteadores de serviços de agregação Cisco ASR 1000 Series

Falha de crypto-engine em Cisco ASR 1006 ou no 1013 Router ASR com um único ESP

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

 

Introdução

Este documento descreve como identificar e resolver um problema com operações do IPsec que puderam ser observadas no roteador dos serviços da agregação de Cisco (ASR) 1006 ou Plataformas ASR 1013. Isto puder ocorrer quando lá é somente um processador de serviços encaixado (ESP) instalado e está assentado no entalhe F1.

Contribuído por Michal Stanczyk, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada no Cisco 1000 Series ASR 1006 ou no Cisco ASR 1013.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

O portfólio do Cisco 1000 Series ASR inclui dois modelos (ASR 1006 e ASR 1013). Cada modelo caracteriza os processadores de rota redundantes (RP) e os ESP.  Geralmente, um único ESP é instalado em Cisco ASR 1006 e em Cisco ASR 1013 no entalhe F0 ou no F1, sem limitações. Os mesmos locais aplicam-se aos entalhes RP.

A numeração de slot é descrita nos Guias de Instalação de Cisco ASR 1006 e de Cisco ASR 1013.

Problema

A crypto-engine não inicializa após um ciclo de energia do dispositivo. Quando o ESP é assentado no entalhe F1 e não há nenhum corredor ESP no entalhe F0. O problema é considerado no seguinte Produtos:

Hardware:

  • Modelos Duplo-ESP Cisco ASR 1000:  ASR1006 ou ASR1013.

Software:

  • Para o ® XE do Cisco IOS libere o trem 3.7.xS:  Versão 3.7.3S ou anterior; 3.7.4S e não é mais tarde afetado.
  • Para trens mais atrasados do Cisco IOS XE:  Versão 3.9.1S ou anterior; 3.9.2S e não é mais tarde afetado.

Os sintomas do problema incluem:

  • Os logs indicam este Mensagem de Erro:
    ISAKMP: Unable to find a crypto engine to allocate IKE SA
  • A saída do show crypto eli e dos comandos status criptos do <number> do entalhe do ás da mostra indica que a crypto-engine é inativa:
    ASR1006#show crypto eli 
    Hardware Encryption: INACTIVE
    Number of hardware crypto engines = 1

    CryptoEngine IOSXE-ESP(14) details: state = Initializing Capability : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE IKE-Session : 0 active, 12287 max, 0 failed DH : 0 active, 12287 max, 0 failed IPSec-Session : 0 active, 32766 max, 0 failed


    ASR1006#show crypto ace slot 14 stat | inc status

    ACE status: OFFLINE

Este problema pôde ocorrer nestas encenações:

  • Um único ESP é introduzido no entalhe F1 e não há nenhum ESP no entalhe F0. O roteador foi power-cycled.
  • Há dois ESP, mas devido a uma edição, o ESP no F0 falhado e deixado um único ESP no F1. O roteador foi power-cycled.

Inscreva o comando show platform a fim verificar ESP. a Disponibilidade do 

Exemplo:

    ASR1006#show platform
Chassis type: ASR1006
Slot Type State Insert time (ago) 0 ASR1000-SIP10 ok 00:32:04 0/0 SPA-8X1GE-V2 ok 00:29:46 1 ASR1000-SIP10 ok 00:32:04 1/0 SPA-8X1GE-V2 ok 00:29:46 R1 ASR1000-RP1 ok, active 00:32:04 F1 ASR1000-ESP10 ok, active 00:32:04 P0 ASR1006-PWR-AC ok 00:31:12 P1 ASR1006-PWR-AC ok 00:31:11

Solução

O problema é devido à identificação de bug Cisco CSCue45131, do “o túnel I/F sVTI não vem acima depois que a repartição do roteador.”
O erro é fixado nas liberações 3.7.4S e 3.9.2S do Cisco IOS XE.


O problema não existe no trem da liberação 3.10.0S do Cisco IOS XE.

A melhor solução é certificar-se de que o ESP atualmente de funcionamento está instalado no entalhe F0. Se essa solução não é possível, outras ações alternativas que podem ser aplicadas remotamente são:

  • Recarregue o ESP:  # reload do slot de módulo F1 do HW

ou

  • Recarregue o roteador

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116878