Crypto Engine Failure (Crypto-Engine-Fehler) auf dem Cisco ASR 1006- oder ASR 1013-Router mit einem einzigen ESP

Download-Optionen

PDF (120.0 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (93.3 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (78.3 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:18. Dezember 2013

Dokument-ID:116878

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einführung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Hintergrundinformationen

Problem

Lösung

Einführung

In diesem Dokument wird beschrieben, wie Sie ein Problem mit IPSec-Vorgängen identifizieren und beheben können, das möglicherweise auf den Plattformen Cisco Aggregation Services Router (ASR) 1006 oder ASR 1013 beobachtet wird. Dies kann auftreten, wenn nur ein integrierter Serviceprozessor (ESP) installiert ist und sich im Steckplatz F1 befindet.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf dem Cisco ASR der Serie 1000 oder dem Cisco ASR 1013.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Hintergrundinformationen

Das ASR-Portfolio der Cisco Serie 1000 umfasst zwei Modelle (ASR 1006 und ASR 1013). Jedes Modell umfasst redundante Routingprozessoren (RP) und ESPs. Im Allgemeinen wird im Cisco ASR 1006 und im Cisco ASR 1013 ein einziger ESP ohne Einschränkungen in Steckplatz F0 oder F1 installiert. Dieselbe Prämisse gilt für RP-Steckplätze.

Die Nummerierung der Steckplätze wird in den Installationsanleitungen für Cisco ASR 1006 und Cisco ASR 1013 beschrieben.

Problem

Die Krypto-Engine kann nach dem Ein- und Ausschalten eines Geräts nicht initialisiert werden. Wenn ESP im Steckplatz F1 sitzt und im Steckplatz F0 kein ESP ausgeführt wird. Das Problem zeigt sich bei den folgenden Produkten:

Hardware:

Zwei ESP Cisco ASR 1000-Modelle: ASR1006 oder ASR1013.

Software:

Für Cisco IOS^® XE Release 3.7.xS Train: Version 3.7.3S oder frühere Version; 3.7.4S und höher sind nicht betroffen.
Für spätere Cisco IOS XE-Züge: Version 3.9.1S oder frühere Version; 3.9.2S und höher sind nicht betroffen.

Symptome des Problems:

Die Protokolle zeigen diese Fehlermeldung an:

ISAKMP: Unable to find a crypto engine to allocate IKE SA

Die Ausgabe der Befehle show crypto eli und show crypto ace slot <number> status zeigt an, dass die Verschlüsselungs-Engine inaktiv ist:

ASR1006#show crypto eli 
Hardware Encryption: INACTIVE 
 Number of hardware crypto engines = 1 

 CryptoEngine IOSXE-ESP(14) details: state = Initializing
 Capability    : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE
 IKE-Session   :     0 active, 12287 max, 0 failed 
 DH            :     0 active, 12287 max, 0 failed 
 IPSec-Session :     0 active, 32766 max, 0 failed


ASR1006#show crypto ace slot 14 stat | inc status

ACE status: OFFLINE

Dieses Problem kann in folgenden Szenarien auftreten:

Ein einzelner ESP wird in Steckplatz F1 eingefügt, und in Steckplatz F0 ist kein ESP vorhanden. Der Router wurde aus- und wieder eingeschaltet.
Es gibt zwei ESPs, aber aufgrund eines Problems ist der ESP in F0 ausgefallen, und es wurde ein einzelner ESP in F1 zurückgelassen. Der Router wurde aus- und wieder eingeschaltet.

Geben Sie den Befehl show platform ein, um die Verfügbarkeit des ESP zu überprüfen.

Beispiel:

    ASR1006#show platform
    Chassis type: ASR1006 

    Slot  Type                State       Insert time (ago) 
    0     ASR1000-SIP10       ok          00:32:04       
    0/0   SPA-8X1GE-V2        ok          00:29:46      
    1     ASR1000-SIP10       ok          00:32:04      
    1/0   SPA-8X1GE-V2        ok          00:29:46
    R1    ASR1000-RP1         ok, active  00:32:04      
    F1    ASR1000-ESP10       ok, active  00:32:04      
    P0    ASR1006-PWR-AC      ok          00:31:12     
    P1    ASR1006-PWR-AC      ok          00:31:11

Lösung

Das Problem beruht auf der Cisco Bug-ID CSCue45131, "sVTI tunnel I/F does not come up after router reboot."
Der Fehler wurde in den Cisco IOS XE Versionen 3.7.4S und 3.9.2S behoben.

Das Problem tritt im Cisco IOS XE Release 3.10.0S-Zug nicht auf.

Die beste Lösung besteht darin, sicherzustellen, dass das derzeit funktionierende ESP in Steckplatz F0 installiert ist. Wenn diese Lösung nicht möglich ist, können folgende andere Problemumgehungen remote angewendet werden: