Маршрутизаторы : Сервисные маршрутизаторы агрегации Cisco ASR серии 1000

Сбой ядра шифрования на Cisco ASR 1006 или маршрутизаторе ASR 1013 с одиночным ESP

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

 

Введение

Этот документ описывает, как определить и решить проблему с операциями IPSec, которые могли бы наблюдаться относительно Маршрутизатора агрегации (ASR) Cisco 1006 или ASR 1013 платформ. Это может произойти, когда существует только один  установленный встроенный процессор сервисов (ESP), и он усажен в слоте F1.

Внесенный Михалом Стэнчиком, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на серии ASR 1006 Cisco 1000 или Cisco ASR 1013.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Портфель ASR Серии Cisco 1000 включает две модели (ASR 1006 и ASR 1013). Каждый резервные процессоры маршрута особенностей модели (RP) и ESPs. В целом одиночный ESP установлен в Cisco ASR 1006 и Cisco ASR 1013 в любом слоте F0 или F1 без ограничений. Та же предпосылка применяется к слотам RP.

Нумерация слотов описана в Cisco ASR 1006 и ASR Cisco 1013 руководств по установке.

Проблема

Ядро шифрования не в состоянии инициализировать после устройства выключают. Когда ESP усажен в слоте F1 и нет никакого выполнения ESP в слоте F0. Проблема замечена на придерживающихся продуктах:

Аппаратные средства :

  • Двойной ESP ASR Cisco 1000 моделей: ASR1006 или ASR1013.

Программное обеспечение:

  • Для Cisco  серия IOS® XE Release 3.7.xS : (версия 3). 7.3S или ранее; 3.7.4S и позже не влияется.
  • Для более поздних серий Cisco IOS XE : (версия 3). 9.1S или ранее; 3.9.2S и позже не влияется.

Признаки проблемы включают:

  • Журналы отображают это сообщение об ошибках:
    ISAKMP: Unable to find a crypto engine to allocate IKE SA
  • Выходные данные от show crypto eli и показывают, что крипто-первоклассные команды status <number> слота  указывают, что ядро шифрования неактивно:
    ASR1006#show crypto eli 
    Hardware Encryption: INACTIVE
    Number of hardware crypto engines = 1

    CryptoEngine IOSXE-ESP(14) details: state = Initializing Capability : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE IKE-Session : 0 active, 12287 max, 0 failed DH : 0 active, 12287 max, 0 failed IPSec-Session : 0 active, 32766 max, 0 failed


    ASR1006#show crypto ace slot 14 stat | inc status

    ACE status: OFFLINE

Эта проблема могла бы произойти в этих сценариях:

  • Одиночный ESP вставлен в слот F1 и в слоте F0 нет никакого ESP. Маршрутизатор был выключен.
  • Существует два ESPs, но из-за проблемы, ESP в подведенном F0 и оставил одиночный ESP в F1. Маршрутизатор был выключен.

Введите команду show platform для подтверждения доступности ESP. 

Пример:

    ASR1006#show platform
Chassis type: ASR1006
Slot Type State Insert time (ago) 0 ASR1000-SIP10 ok 00:32:04 0/0 SPA-8X1GE-V2 ok 00:29:46 1 ASR1000-SIP10 ok 00:32:04 1/0 SPA-8X1GE-V2 ok 00:29:46 R1 ASR1000-RP1 ok, active 00:32:04 F1 ASR1000-ESP10 ok, active 00:32:04 P0 ASR1006-PWR-AC ok 00:31:12 P1 ASR1006-PWR-AC ok 00:31:11

Решение

Проблема происходит из-за идентификатора ошибки Cisco CSCue45131, "туннельный I/F sVTI не подходит после перезагрузки маршрутизатора".
Ошибка исправлена в Версиях 3.7.4S и 3.9.2S Cisco IOS XE.


Проблема не существует в серии Выпуска 3.10.0S Cisco IOS XE.

Лучшее решение состоит в том, чтобы удостовериться, что в настоящее время функционирование ESP установлено в слоте F0. Если то решение не возможно, другие обходные пути, которые могут быть применены удаленно:

  • Повторно загрузите ESP:  модульный слот hw # повторная загрузка F1

или

  • Перезагрузите маршрутизатор

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116878