Routeurs : Routeurs à services d'agrégation de la gamme Cisco ASR 1000

Panne de moteur de chiffrement sur le Cisco ASR 1006 ou le routeur ASR 1013 avec l'ESP simple

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

 

Introduction

Ce document décrit comment identifier et résoudre un problème avec les exécutions d'IPSec qui pourraient être observées sur le routeur de services d'agrégation de Cisco (ASR) 1006 ou Plateformes ASR 1013. Ceci peut se produire quand là est seulement un processeur de service encastré (ESP) installé et il est posé dans l'emplacement F1.

Contribué par Michal Stanczyk, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur la gamme Cisco 1000 ASR 1006 ou le Cisco ASR 1013.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Le dossier de la gamme Cisco 1000 ASR inclut deux modèles (ASR 1006 et ASR 1013). Chaque modèle comporte les processeurs redondants d'artère (RP) et les ESP.  Généralement l'ESP simple est installé dans le Cisco ASR 1006 et le Cisco ASR 1013 dans l'emplacement F0 ou le F1, sans des restrictions. Le même site s'applique aux emplacements RP.

La numérotation d'emplacement est décrite dans le Cisco ASR 1006 et le Cisco ASR 1013 guides d'installation.

Problème

Le moteur de chiffrement n'initialise pas après un arrêt et redémarrage de périphérique. Quand l'ESP est posé dans l'emplacement F1 et il n'y a l'aucun ESP courant dans l'emplacement F0. Le problème est vu sur les Produits suivants :

Matériel :

  • Cisco ASR du Double-ESP 1000 modèles :  ASR1006 ou ASR1013.

Logiciel :

  • Pour le Cisco IOS® XE libèrent la série 3.7.xS :  Version 3.7.3S ou antérieures ; 3.7.4S et n'est pas plus tard affecté.
  • Pour les séries postérieures de Cisco IOS XE :  Version 3.9.1S ou antérieures ; 3.9.2S et n'est pas plus tard affecté.

Les symptômes du problème incluent :

  • Les logs affichent ce message d'erreur :
    ISAKMP: Unable to find a crypto engine to allocate IKE SA
  • La sortie du show crypto eli et des cryptos commandes de <number > d'état d'emplacement d'as d'exposition indique que le moteur de chiffrement est inactif :
    ASR1006#show crypto eli 
    Hardware Encryption: INACTIVE
    Number of hardware crypto engines = 1

    CryptoEngine IOSXE-ESP(14) details: state = Initializing Capability : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE IKE-Session : 0 active, 12287 max, 0 failed DH : 0 active, 12287 max, 0 failed IPSec-Session : 0 active, 32766 max, 0 failed


    ASR1006#show crypto ace slot 14 stat | inc status

    ACE status: OFFLINE

Ce problème pourrait se poser dans ces scénarios :

  • L'ESP simple est inséré dans l'emplacement F1 et il n'y a l'aucun ESP dans l'emplacement F0. Le routeur alimentation-a été fait un cycle.
  • Il y a les deux ESP, mais dû à une question, l'ESP dans F0 a manqué et a quitté l'ESP simple dans F1. Le routeur alimentation-a été fait un cycle.

Sélectionnez la commande de show platform afin de vérifier la Disponibilité de l'ESP. 

Exemple :

    ASR1006#show platform
Chassis type: ASR1006
Slot Type State Insert time (ago) 0 ASR1000-SIP10 ok 00:32:04 0/0 SPA-8X1GE-V2 ok 00:29:46 1 ASR1000-SIP10 ok 00:32:04 1/0 SPA-8X1GE-V2 ok 00:29:46 R1 ASR1000-RP1 ok, active 00:32:04 F1 ASR1000-ESP10 ok, active 00:32:04 P0 ASR1006-PWR-AC ok 00:31:12 P1 ASR1006-PWR-AC ok 00:31:11

Solution

Le problème est dû à l'ID de bogue Cisco CSCue45131, le « tunnel I/F de sVTI ne monte pas après que la réinitialisation de routeur. »
La bogue est réparée dans des releases 3.7.4S et 3.9.2S de Cisco IOS XE.


Le problème n'existe pas dans la série de la release 3.10.0S de Cisco IOS XE.

La meilleure solution est de s'assurer que l'ESP actuellement de fonctionnement est installé dans l'emplacement F0. Si cette solution n'est pas possible, d'autres contournements qui peuvent être appliqués à distance sont :

  • Rechargez l'ESP :  # recharge de l'emplacement F1 de module de hw

ou

  • Rechargez le routeur

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116878