تشكيل VPN من موقع إلى موقع على السياق المتعدد ASA 9.x يستقبل رسالة خطأ

المقدمة

يصف هذا المستند كيفية أستكشاف أخطاء الرسالة وإصلاحها، "تم الوصول إلى الحد الأقصى لعدد النفق المسموح به"، عند تكوين شبكة VPN من موقع إلى موقع على أجهزة الأمان المعدلة للسياق المتعددة (ASA) 9.x.

المتطلبات الأساسية

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى برنامج ASA الإصدار 9.0 والإصدارات الأحدث. قدم هذا الإصدار تكوين شبكة VPN من موقع إلى موقع في وضع سياق متعدد.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

المشكلة

عندما تحاول عرض العديد من أنفاق شبكة VPN من موقع إلى موقع على ASA، فإنها تفشل وتولد رسالة syslog "تم الوصول إلى الحد الأقصى لعدد الأنفاق المسموح به".

رسالة syslog المحددة أدناه:

%ASA-4-751019: Local:<LocalAddr> Remote:<RemoteAddr> Username:<username> Failed to obtain a <licenseType> license.

• <LocalAddr> - العنوان المحلي لمحاولة الاتصال هذه
• <RemoteAddr> - عنوان النظير البعيد لمحاولة الاتصال هذه
• <username> - اسم المستخدم لاتصال محاولة النظير
• <licenseType> - نوع الترخيص الذي تم تجاوزه (شبكة VPN أخرى أو AnyConnect Premium/Essentials) 

معلومات أساسية

يشير السجل إلى أن إنشاء جلسة عمل فشل بسبب تجاوز الحد الأقصى لترخيص أنفاق VPN مما يؤدي إلى فشل في بدء طلب نفق أو الاستجابة له.

يتطلب تنفيذ شبكة VPN في الأوضاع المتعددة تقسيم إجمالي تراخيص VPN المتاحة بين السياقات التي تم تكوينها. يمكن لمسؤول ASA تكوين عدد التراخيص التي يتم تخصيص كل سياق لها.

وبشكل افتراضي، لا يتم تخصيص أي تراخيص نفق VPN للسياقات، ويجب أن يتم تخصيص نوع الترخيص يدويا من قبل المسؤول.

الإجراء الموصى به

تأكد من توفر تراخيص كافية لجميع المستخدمين المسموح لهم و/أو الحصول على مزيد من التراخيص للسماح بالاتصالات المرفوضة. بالنسبة للسياق المتعدد، قم بتخصيص المزيد من التراخيص للسياق الذي أبلغ عن الفشل، إن أمكن.

الحل

يتم تقسيم التراخيص بين السياقات من خلال زيادة مدير الموارد بمورد 'VPN آخر' يدير تقسيم تجمع تراخيص 'VPN الأخرى' المستخدم لشبكة VPN من موقع إلى موقع بين السياقات التي تم تكوينها.

تسمح واجهة سطر الأوامر (CLI) الخاصة بالحد من الموارد أدناه بهذا التكوين داخل وضع 'فئة' المورد.

Limit-resource vpn [burst] other <value> | <value>%

النطاق <value>: 1- حد ترخيص النظام الأساسي أو 1-100٪ من التراخيص المثبتة.

بالنسبة لعمليات التشغيل، يكون النطاق هو 1 إلى التراخيص غير المخصصة أو من 1 إلى 100٪ من التراخيص غير المعينة.
الافتراضي: 0؛ لا يتم تخصيص موارد VPN لفئة ما.

لتعيين سياق إلى 10٪ من التراخيص المثبتة، يلزمك تحديد فئة مورد. بعد ذلك، قم بتطبيق الفئة على السياقات التي تحتاج إليها لتكون قادرا على الحصول على هذا المورد ضمن تكوين سياق النظام.

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 10%

لتعيين سياق من 250 نظير للشبكة الخاصة الظاهرية (VPN) للتراخيص المثبتة، يلزمك تحديد 'فئة' للمورد. بعد ذلك، قم بتطبيق الفئة على السياقات التي تفضل أن تكون قادرا على الحصول على هذا المورد ضمن تكوين سياق النظام.

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 250

لتطبيق الفئة "VPN" أعلاه على سياق يسمى "المسؤول"، اتبع الخطوات التالية:

1. قم بتغيير/تبديل سياق النظام وتطبيق الفئة VPN للسياق "administrator". ولا يمكن القيام بذلك إلا في سياق النظام.
2. ما يلي أدناه جزء التكوين المقتطف لتخصيص الفئة "VPN" للسياق "administrator".
   

   ciscoasa(config)# context administrator
   ciscoasa(config-ctx)# member vpn

معلومات ذات صلة

• أدلة مرجع جدران الحماية من الجيل التالي Cisco ASA 5500 Series
• أدلة تكوين جدران الحماية من الجيل التالي Cisco ASA 5500 Series
• الدعم التقني والمستندات - Cisco Systems