安全 : Cisco ASA 5500 系列自适应安全设备

在多个上下文ASA 9.x的站点到站点VPN配置收到错误消息

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何排除故障错误消息, “允许的最大隧道计数被到达了”,当您配置在多个上下文可适应安全工具(ASA)时9.x的一站点到站点VPN。

贡献用Vibhor Amrodia, Cisco TAC工程师。

先决条件

使用的组件

本文档中的信息根据ASA软件版本9.0及以后。此版本在多个上下文模式介绍站点到站点VPN配置。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络实际,请保证您了解所有命令潜在影响。

问题

当您尝试启动时多个站点到站点VPN在ASA建立隧道,发生故障并且生成系统消息“允许的最大隧道计数被到达了”。

特定系统消息如下:

%ASA-4-751019: Local:<LocalAddr> Remote:<RemoteAddr> Username:<username> Failed to obtain a <licenseType> license.
  • <LocalAddr> -此连接尝试的本地地址
  • <RemoteAddr> -此连接尝试的远程对等体地址
  • <username> -尝试连接的对等体的用户名
  • <licenseType> -被超出的许可证类型(其他VPN或AnyConnect高级版/精华) 

背景信息

导致一失败启动的日志表明会话创建失败,因为VPN通道的最大许可证限制超过了或回答隧道请求。

VPN的实施在多模的要求总联机VPN许可证的划分在已配置的上下文中的。ASA管理员能配置多少个许可证分配每上下文。

默认情况下, VPN通道许可证没有分配到上下文,并且必须由管理员手工完成许可证类型的分配。

建议操作

保证足够的许可证为所有允许用户是可用的并且/或者获取更多许可证允许已拒绝连接。若可能对于多个上下文,请分配更多许可证到报告失败的上下文。

解决方案

分开在上下文中的许可证由资源管理器的增广有管理‘其他VPN’许可证池划分使用在已配置的上下文中的站点到站点VPN的‘VPN其他’资源的完成。

下面limit-resource的CLI允许在资源内的此配置‘类的模式。

Limit-resource vpn [burst] other <value> | <value>%

那里, <value>范围:1平台许可证限制或1-100%已安装许可证。


对于突发流量,范围是1对未分配许可证或1-100%未分配许可证。
默认:0;VPN资源没有指定到类。

为了分配上下文到10%已安装许可证,您需要定义资源类。其次,请运用类到您需要能获得在系统上下文配置内的此资源的上下文。

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 10%

为了分配已安装许可证的250 VPN对等体上下文,您需要定义资源‘类的。其次,请运用类到您喜欢能获得在系统上下文配置内的此资源的上下文。

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 250

为了运用上述类“VPN”到上下文呼叫“管理员”,遵从这些步骤:

  1. 崔凡吉莱/对系统上下文的切换和申请类VPN上下文“管理员”。这能在系统上下文内仅执行。
  2. 下面分配类的配置片断“VPN”到上下文“管理员”。
    ciscoasa(config)# context administrator
    ciscoasa(config-ctx)# member vpn

相关信息



Document ID: 116639