Panne du moteur de chiffrement sur le routeur Cisco ASR 1006 ou ASR 1013 avec un seul ESP

Options de téléchargement

  • PDF     (151.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (89.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (74.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:18 décembre 2013
ID du document:116878

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

 

Introduction

Ce document décrit comment identifier et résoudre un problème lié aux opérations IPSec qui peut être observé sur les plates-formes Cisco ASR 1006 ou ASR 1013. Cela peut se produire lorsqu'un seul processeur de services intégré (ESP) est installé et qu'il est installé dans le logement F1.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations de ce document sont basées sur les routeurs Cisco ASR 1000 ou Cisco ASR 1013.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

La gamme Cisco 1000 ASR comprend deux modèles (ASR 1006 et ASR 1013). Chaque modèle comporte des processeurs de routage redondants (RP) et des ESP.  En règle générale, un seul ESP est installé dans les routeurs Cisco ASR 1006 et Cisco ASR 1013 dans le logement F0 ou F1, sans restrictions. La même prémisse s'applique aux logements RP.

La numérotation des logements est décrite dans les guides d'installation de Cisco ASR 1006 et Cisco ASR 1013.

Problème

Le moteur de chiffrement ne parvient pas à s'initialiser après un cycle d'alimentation de périphérique. Lorsque ESP est installé dans le logement F1 et qu'il n'y a pas d'ESP en cours d'exécution dans le logement F0. Le problème est visible sur les produits suivants :

Matériel :

  • Modèles Cisco ASR 1000 double ESP :  ASR1006 ou ASR1013.

le logiciel Cisco IOS:

  • Pour la gamme Cisco IOS® XE version 3.7.xS :  Version 3.7.3S ou antérieure ; 3.7.4S et versions ultérieures ne sont pas affectées.
  • Pour les versions ultérieures de Cisco IOS XE :  Version 3.9.1S ou antérieure ; 3.9.2S et versions ultérieures ne sont pas affectées.

Les symptômes du problème sont les suivants :

  • Les journaux affichent ce message d'erreur :
    ISAKMP: Unable to find a crypto engine to allocate IKE SA
  • La sortie des commandes show crypto eli et show crypto ace slot <number> status indique que le moteur de chiffrement est inactif :
    ASR1006#show crypto eli 
    Hardware Encryption: INACTIVE 
     Number of hardware crypto engines = 1 

     CryptoEngine IOSXE-ESP(14) details: state = Initializing
 Capability    : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE
 IKE-Session   :     0 active, 12287 max, 0 failed 
 DH            :     0 active, 12287 max, 0 failed 
 IPSec-Session :     0 active, 32766 max, 0 failed


    ASR1006#show crypto ace slot 14 stat | inc status

    ACE status: OFFLINE

Ce problème peut se produire dans ces scénarios :

  • Une seule ESP est insérée dans le logement F1 et aucune ESP n'est insérée dans le logement F0. Le routeur a été mis sous tension et mis sous tension.
  • Il y a deux ESP, mais en raison d'un problème, l'ESP dans F0 a échoué et a laissé une ESP unique dans F1. Le routeur a été mis sous tension et mis sous tension.

Entrez la commande show platform afin de vérifier la disponibilité de l'ESP. 

Exemple :

    ASR1006#show platform
    Chassis type: ASR1006 

    Slot  Type                State       Insert time (ago) 
    0     ASR1000-SIP10       ok          00:32:04       
    0/0   SPA-8X1GE-V2        ok          00:29:46      
    1     ASR1000-SIP10       ok          00:32:04      
    1/0   SPA-8X1GE-V2        ok          00:29:46
    R1    ASR1000-RP1         ok, active  00:32:04      
    F1    ASR1000-ESP10       ok, active  00:32:04      
    P0    ASR1006-PWR-AC      ok          00:31:12     
    P1    ASR1006-PWR-AC      ok          00:31:11

Solution

Le problème est dû au bogue Cisco ID CSCue45131, « sVTI tunnel I/F ne s'affiche pas après le redémarrage du routeur. »
Le bogue est corrigé dans les versions 3.7.4S et 3.9.2S de Cisco IOS XE.


Le problème n'existe pas dans la gamme Cisco IOS XE version 3.10.0S.

La meilleure solution consiste à s'assurer que le protocole ESP en cours de fonctionnement est installé dans le logement F0. Si cette solution n'est pas possible, les autres solutions de contournement pouvant être appliquées à distance sont les suivantes :

  • Rechargez l'ESP :  # rechargement du logement de module F1

ou

  • Rechargement du routeur 

Historique de révision

Révision Date de publication Commentaires
1.0
18-Dec-2013
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Michal Stanczyk
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits