セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

多重コンテキスト ASA 9.x のサイト間VPN 設定はエラーメッセージを受け取ります

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

多重コンテキスト 適応型セキュリティ アプライアンス(ASA) 9.x のサイト間VPN を設定するとき、この資料にエラーメッセージを解決する方法を許可される「最大トンネルカウント達しました」記述されています。

Vibhor Amrodia によって貢献される、Cisco TAC エンジニア。

前提条件

使用するコンポーネント

この文書に記載されている情報は ASA ソフトウェア バージョン 9.0 およびそれ以降に基づいています。 マルチ コンテキスト モードのこのバージョンによって導入されるサイト間VPN 設定。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

問題

始動に試みるとき多重サイト間VPN は ASA でトンネル伝送します、失敗し、syslog メッセージを生成します「許可される最大トンネルカウント」が達した。

特定の syslog メッセージは下記のようにあります:

%ASA-4-751019: Local:<LocalAddr> Remote:<RemoteAddr> Username:<username> Failed to obtain a <licenseType> license.
  • <LocalAddr> -この接続の試みのためのローカルアドレス
  • <RemoteAddr> -この接続の試みのためのリモートピアアドレス
  • <username> -接続を試みるピアのためのユーザ名
  • <licenseType> -超過したライセンス タイプ(他の VPN または AnyConnect 事項/概要) 

背景説明

ログは開始に失敗を引き起こす超過したりまたはトンネル 要求に応答する VPN トンネルのための最大ライセンス制限がのでセッション作成が失敗したことを示します。

多重 モードの VPN の実装は設定されたコンテキスト間の総利用可能 な VPN ライセンスの部分を必要とします。 ASA 管理者は何ライセンスを各コンテキストが割り当てられるか設定できます。

デフォルトで、VPN トンネル ライセンスはコンテキストに割り当てられないし、ライセンス タイプのアロケーションは管理者によって手動でする必要があります。

推奨処置

十分なライセンスをですべての割り当てられたユーザが向けに利用可能および/または得ます拒否された接続を許可するより多くのライセンスを確認して下さい。 複数のコンテキストに関しては、もし可能なら失敗を報告したコンテキストにより多くのライセンスを、割り当てて下さい。

解決策

コンテキスト間のライセンスを分けることは設定されたコンテキスト間のサイト間VPN のために使用される「他の VPN」ライセンス プールの部分を管理する「VPN 他の」リソースのリソースマネージャの増加によってされます。

制限リソース CLI 下記の割り当てリソース「クラス」モード内のこの設定。

Limit-resource vpn [burst] other <value> | <value>%

、<value> 範囲ところ: 1 インストール済みライセンスのプラットフォーム ライセンス制限か 1-100%。


バーストに関しては、範囲は未指定ライセンスへ 1 または未指定ライセンスの 1-100% です。
デフォルト: 0; VPN リソースはクラスに割り当てられません。

コンテキストをインストール済みライセンスの 10% に割り当てるために、リソース クラスを定義する必要があります。 次に、システム コンテキスト 設定内のこのリソースを得られる必要とするコンテキストにクラスを適用して下さい。

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 10%

インストール済みライセンスの 250 VPN 同位のコンテキストを割り当てるために、リソース「クラス」を定義する必要があります。 次に、システム コンテキスト 設定内のこのリソースに得られる好むコンテキストにクラスを適用して下さい。

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 250

上記のクラス「VPN」をコンテキストに適用するために「管理者」に、従います次の手順に問い合わせました:

  1. システム コンテキストへの変更/スイッチオーバはおよびコンテキスト「管理者」に対するクラス VPN を適用します。 これはシステム コンテキストの内でだけすることができます。
  2. コンテキスト「管理者」にクラス「VPN」を割り当てるコンフィギュレーション の 断片は下記にあります。
    ciscoasa(config)# context administrator
    ciscoasa(config-ctx)# member vpn

関連情報



Document ID: 116639