路由器 : Cisco ASR 1000 系列汇聚服务路由器

思科ASR 1006或ASR 1013路由器的加密引擎失败有单个ESP的

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

 

简介

本文描述如何识别和解决与在思科聚合服务路由器的IPSec操作的问题(ASR) 1006也许被观察或ASR 1013平台。这只能发生,当那里是已安装一个被嵌入的服务处理器(ESP),并且在slot F1供以座位。

贡献用米哈拉Stanczyk, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据Cisco 1000系列ASR 1006或Cisco ASR 1013。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

Cisco 1000系列ASR投资组合包括两个型号(ASR 1006和ASR 1013)。每个型号以冗余路由处理器(RP)和ESP为特色。 一般来说,单个ESP在思科ASR 1006和思科在slot F0或F1的ASR 1013中安装,没有限制。同一个前提应用对RP slot。

插槽编号在思科ASR 1006思科ASR 1013安装指南描述。

问题

加密引擎未能初始化,在设备重新通电后。 当ESP在slot F1供以座位和时没有在slot F0的运行的ESP。 问题在下列的产品被看到:

Hardware:

  • DUAL ESP思科ASR 1000型号: ASR1006或ASR1013。

软件:

  • Cisco IOS XE版本3.7.xS系列: 版本3.7.3S或以下;3.7.4S和以后不受影响。
  • 最新Cisco IOS XE系列: 版本3.9.1S或以下;3.9.2S和以后不受影响。

问题的症状包括:

  • 日志显示此错误消息:
    ISAKMP: Unable to find a crypto engine to allocate IKE SA
  • show crypto eli的输出和显示crypto ACE slot命令表明的<number>状态加密引擎是非激活的:
    ASR1006#show crypto eli 
    Hardware Encryption: INACTIVE
    Number of hardware crypto engines = 1

    CryptoEngine IOSXE-ESP(14) details: state = Initializing Capability : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE IKE-Session : 0 active, 12287 max, 0 failed DH : 0 active, 12287 max, 0 failed IPSec-Session : 0 active, 32766 max, 0 failed


    ASR1006#show crypto ace slot 14 stat | inc status

    ACE status: OFFLINE

此问题也许在这些情况下发生:

  • 单个ESP插入到slot F1,并且没有在slot F0的ESP。路由器被重新了启动。
  • 两ESP,但是归结于问题,在失败的F0的ESP并且留下在F1的单个ESP。路由器被重新了启动。

输入show platform命令为了验证ESP的可用性。 

示例:

    ASR1006#show platform
Chassis type: ASR1006
Slot Type State Insert time (ago) 0 ASR1000-SIP10 ok 00:32:04 0/0 SPA-8X1GE-V2 ok 00:29:46 1 ASR1000-SIP10 ok 00:32:04 1/0 SPA-8X1GE-V2 ok 00:29:46 R1 ASR1000-RP1 ok, active 00:32:04 F1 ASR1000-ESP10 ok, active 00:32:04 P0 ASR1006-PWR-AC ok 00:31:12 P1 ASR1006-PWR-AC ok 00:31:11

解决方案

问题归结于Cisco Bug ID CSCue45131, “sVTI通道I/F不出现,在路由器重新启动后”。
bug在Cisco IOS XE版本3.7.4S和3.9.2S修复。


问题在Cisco IOS XE版本3.10.0S系列不存在。

佳解决方案是确保,当前作用的ESP在slot F0安装。 如果该解决方案不是可能的,可以远程应用的其他应急方案是:

  • 重新加载ESP : # hw模块插槽F1重新加载

  • 重新加载路由器

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116878