ルータ : Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ

単一 ESP の Cisco ASR 1006 または ASR 1013 ルータの暗号化エンジン失敗

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

 

概要

この資料に Cisco 集約 サービス ルータ(ASR)で 1006 または ASR 1013 プラットフォーム観察されるかもしれない IPSec オペレーションにおける問題点を明らかにし解決する方法を記述されています。 これは時そこにであるインストールされるたった 1 組み込まれたサービス処理機構(ESP)発生する場合がありますおよびスロット F1 につきます。

著者:Michal Stanczyk、Cisco TAC エンジニア

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

この文書に記載されている情報は ASR 1006 か Cisco ASR 1013 に Cisco 1000 シリーズ基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

Cisco 1000 シリーズ ASR ポ-トフォリオは 2 つのモデル(ASR 1006 および 1013) ASR が含まれています。 各モデルは冗長ルートプロセッサ(RP)および ESP を特色にします。  一般に、単一 ESP は制限無しで Cisco ASR 1006 およびスロット F0 または F1 の Cisco ASR 1013 に、インストールされています。 同じ前提は RP スロットに適用します。

スロット番号付けは Cisco ASR 1006 および Cisco ASR 1013 インストレーションガイドに説明があります。

問題

暗号化エンジンはデバイス パワーサイクルの後で初期化しません。 ESP がスロット F1 につき、ときスロット F0 に実行 ESP がありません。 問題は以下の製品で見られます:

ハードウェア:

  • 二重 ESP Cisco ASR 1000 モデル:  ASR1006 か ASR1013。

ソフトウェア:

  • Cisco IOS ® XE リリース 3.7.xS トレインに関しては:  バージョン 3.7.3S または それ以前; 3.7.4S およびそれ以降は影響を受けていません。
  • より遅い Cisco IOS XE トレインに関しては:  バージョン 3.9.1S または それ以前; 3.9.2S およびそれ以降は影響を受けていません。

問題の現象は下記のものを含んでいます:

  • ログはこのエラーメッセージを表示する:
    ISAKMP: Unable to find a crypto engine to allocate IKE SA
  • show crypto eli からの出力は暗号化エンジンが非アクティブであることを暗号 エース スロット <number > status コマンドが示すことを示し、:
    ASR1006#show crypto eli 
    Hardware Encryption: INACTIVE
    Number of hardware crypto engines = 1

    CryptoEngine IOSXE-ESP(14) details: state = Initializing Capability : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE IKE-Session : 0 active, 12287 max, 0 failed DH : 0 active, 12287 max, 0 failed IPSec-Session : 0 active, 32766 max, 0 failed


    ASR1006#show crypto ace slot 14 stat | inc status

    ACE status: OFFLINE

この問題はこれらのシナリオでは発生するかもしれません:

  • 単一 ESP はスロット F1 に挿入され、スロット F0 に ESP がありません。 ルータはパワーサイクルを行われました。
  • 問題が 2 ESP、原因がありますが、F0 の ESP は F1 に失敗し、単一 ESP を残しました。 ルータはパワーサイクルを行われました。

ESP のアベイラビリティを確認するために show platform コマンドを入力して下さい。 

例:

    ASR1006#show platform
Chassis type: ASR1006
Slot Type State Insert time (ago) 0 ASR1000-SIP10 ok 00:32:04 0/0 SPA-8X1GE-V2 ok 00:29:46 1 ASR1000-SIP10 ok 00:32:04 1/0 SPA-8X1GE-V2 ok 00:29:46 R1 ASR1000-RP1 ok, active 00:32:04 F1 ASR1000-ESP10 ok, active 00:32:04 P0 ASR1006-PWR-AC ok 00:31:12 P1 ASR1006-PWR-AC ok 00:31:11

解決策

問題はルータが」。リブートした後 Cisco バグ ID CSCue45131 が原因、「sVTI トンネル I/F アップしませんです
不具合は Cisco IOS XE リリース 3.7.4S および 3.9.2S でフィックスされます。


問題は Cisco IOS XE リリース 3.10.0S トレインにありません。

最もよいソリューションは現在機能 ESP がスロット F0 にインストールされていることを確かめることです。 そのソリューションが可能性のあるではない場合、リモートで適用することができる他の回避策は次のとおりです:

  • ESP をリロードして下さい:  # hw モジュールスロット F1 リロード

または

  • ルータをリロードして下さい


Document ID: 116878