Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Сквозная VPN-соединение конфигурация на ASA составного контекста 9.x получает сообщение об ошибках

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как устранить неполадки ошибочного сообщения, "Максимальное туннельное позволенное количество было достигнуто" при настройке Сквозного VPN-соединение на Устройствах адаптивной защиты (ASA) Составного контекста 9. x .

Внесенный Vibhor Amrodia, специалистом службы технической поддержки Cisco.

Предварительные условия

Используемые компоненты

Сведения в этом документе основываются на Версии программного обеспечения 9.0 ASA и позже. Эта версия представила Сквозную VPN-соединение конфигурацию в многоконтекстном режиме.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если ваша сеть является оперативной, гарантируйте понимание потенциального воздействия любой команды.

Проблема

То, когда вы пытаетесь перевести множественные Туннели VPN типа «узел-узел» в рабочее состояние на ASA, он отказывает и генерирует сообщение системного журнала "Максимальное туннельное позволенное количество, было достигнуто".

Определенное сообщение системного журнала ниже:

%ASA-4-751019: Local:<LocalAddr> Remote:<RemoteAddr> Username:<username> Failed to obtain a <licenseType> license.
  • <LocalAddr> - Локальный адрес для этой попытки подключения
  • <RemoteAddr> - Адрес удаленного узла для этой попытки подключения
  • <username> - Имя пользователя для однорангового соединения попытки
  • <licenseType> - Тип лицензии, который был превышен (Другая VPN или AnyConnect Premium/Основы) 

Общие сведения

Журнал указывает, что создание сеанса отказало, потому что максимальное ограничение лицензии для VPN-туннелей было превышено, который заставляет сбой или инициировать или отвечать на запрос туннеля.

Реализация VPN в составном режиме требует подразделения общих доступных лицензий VPN среди настроенных контекстов. Администратор ASA может настроить, сколько лицензий каждый контекст выделен.

По умолчанию никакие лицензии VPN-туннеля не выделены контекстам, и выделение типа лицензии должно быть сделано вручную администратором.

Рекомендуемое действие

Гарантируйте, что достаточно лицензий доступно всем разрешенным пользователям и/или получает больше лицензий для разрешения отклоненных соединений. Для мультиконтекста выделите больше лицензий на контекст, который сообщил о сбое, если это возможно.

Решение

Деление лицензий среди контекстов сделано увеличением менеджера ресурсов с 'VPN другой' ресурс, который управляет подразделением 'Другой VPN' пул лицензий, используемый для сквозного VPN-соединение среди настроенных контекстов.

CLI limit-resource ниже позволяет эту конфигурацию в режиме 'класса' ресурса.

Limit-resource vpn [burst] other <value> | <value>%

Где, диапазон <value>: 1-ограничений лицензии Платформы или 1-100% установленных лицензий.


Для пакетов диапазон 1 к неназначенным лицензиям или 1-100% неназначенных лицензий.
По умолчанию: 0; никакие ресурсы VPN не выделены классу.

Для присвоения контекста на 10% установленных лицензий необходимо определить класс ресурса. Затем, примените класс к контекстам, что необходимо быть в состоянии получить этот ресурс в системной конфигурации контекста.

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 10%

Для присвоения контекста 250 Узлов VPN установленных лицензий необходимо определить ресурс 'класс'. Затем, примените класс к контекстам, что вы предпочитаете быть в состоянии получить этот ресурс в системной конфигурации контекста.

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 250

Для применения вышеупомянутого класса "vpn" к контексту, названному "администратором", выполните эти действия:

  1. Изменитесь/Переключите на системный контекст и примените VPN класса для контекста "администратор". Это могло быть сделано только в Системном контексте.
  2. Ниже фрагмент конфигурации для выделения класса "vpn" контексту "администратор".
    ciscoasa(config)# context administrator
    ciscoasa(config-ctx)# member vpn

Дополнительные сведения



Document ID: 116639