فشل محرك التشفير على الموجه Cisco ASR 1006 أو ASR 1013 باستخدام ESP واحد

المقدمة

يصف هذا المستند كيفية تحديد مشكلة في عمليات IPSec التي قد تتم ملاحظتها على الأنظمة الأساسية لموجه خدمات التجميع (ASR) 1006 أو ASR 1013 وحلها. يمكن أن يحدث ذلك عندما يكون هناك معالج خدمات مدمج واحد فقط (ESP) تم تثبيته ويكون موجودا في الفتحة F1.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى السلسلة Cisco 1000 Series ASR 1006 أو Cisco ASR 1013.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

تتضمن حزمة ASR من Cisco 1000 Series طرازين (ASR 1006 و ASR 1013). ويتميز كل طراز بمعالجات المسار الاحتياطية (RP) ووحدات التزويد بالطاقة عبر الإنترنت (ESP).  بشكل عام، يتم تثبيت بروتوكول ESP واحد في Cisco ASR 1006 و Cisco ASR 1013 في أي من الفتحتين F0 أو F1، دون أي قيود. تنطبق نفس الفرضية على فتحات RP.

يتم وصف ترقيم الفتحات في أدلة تثبيت Cisco ASR 1006 وCisco ASR 1013.

المشكلة

يفشل محرك التشفير في التهيئة بعد دورة طاقة الجهاز. عندما يكون بروتوكول ESP في مكان F1 ولا يوجد بروتوكول ESP قيد التشغيل في slot F0. تظهر المشكلة في المنتجات التالية:

الأجهزة:

• الطرز Cisco ASR 1000 المزدوجة ESP: ASR1006 أو ASR1013.

البرنامج:

• بالنسبة لقطار Cisco IOS^® XE الإصدار 3.7.xS: الإصدار 3.7.3S أو إصدار سابق؛ لا يتأثر الإصدار 3.7.4S والإصدارات الأحدث.
• لتدريبات Cisco IOS XE لاحقا: الإصدار 3.9.1S أو إصدار سابق؛ لا يتأثر الإصدار 3.9.2S والإصدارات اللاحقة.

وتشمل أعراض المشكلة ما يلي:

• تعرض السجلات رسالة الخطأ هذه:

  ISAKMP: Unable to find a crypto engine to allocate IKE SA

• يشير الإخراج من الأمر show crypto eli وshow crypto ace slot <number>status إلى أن محرك التشفير غير نشط:

  ASR1006#show crypto eli 
  Hardware Encryption: INACTIVE 
   Number of hardware crypto engines = 1 
  
   CryptoEngine IOSXE-ESP(14) details: state = Initializing
   Capability    : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE
   IKE-Session   :     0 active, 12287 max, 0 failed 
   DH            :     0 active, 12287 max, 0 failed 
   IPSec-Session :     0 active, 32766 max, 0 failed
  
  
  ASR1006#show crypto ace slot 14 stat | inc status
  
  ACE status: OFFLINE

قد تحدث هذه المشكلة في السيناريوهات التالية:

• يتم إدخال ESP واحد في الفتحة F1 ولا يوجد ESP في الفتحة F0. تم ضبط الطاقة على الموجه.
• يوجد إثنان من مزودي خدمة الإنترنت (ESP)، ولكن نظرا لوجود مشكلة، فشل مزود خدمة الإنترنت (ESP) في الطراز F0 وترك مزود خدمة إنترنت (ESP) واحد في الطراز F1. تم ضبط الطاقة على الموجه.

أدخل الأمر show platform للتحقق من توفر بروتوكول ESP. 

مثال:

    ASR1006#show platform
    Chassis type: ASR1006 

    Slot  Type                State       Insert time (ago) 
    0     ASR1000-SIP10       ok          00:32:04       
    0/0   SPA-8X1GE-V2        ok          00:29:46      
    1     ASR1000-SIP10       ok          00:32:04      
    1/0   SPA-8X1GE-V2        ok          00:29:46
    R1    ASR1000-RP1         ok, active  00:32:04      
    F1    ASR1000-ESP10       ok, active  00:32:04      
    P0    ASR1006-PWR-AC      ok          00:31:12     
    P1    ASR1006-PWR-AC      ok          00:31:11

الحل

تعود المشكلة إلى معرف تصحيح الأخطاء من Cisco CSCue45131، "لا يظهر نفق sVTI I/F بعد إعادة تمهيد الموجه."
يتم إصلاح الخطأ في الإصدار 3.7.4S و 3.9.2S من Cisco IOS XE.

لا توجد المشكلة في قطار Cisco IOS XE، الإصدار 3.10.0S.

أفضل حل هو التأكد من تثبيت ESP الذي يعمل حاليا في slot F0. إذا لم يكن هذا الحل ممكنا، فإن الحلول الأخرى التي يمكن تطبيقها عن بعد هي:

• إعادة تحميل برنامج ESP: # hw module slot F1

 أو

• إعادة تحميل الموجه