Errore del motore di crittografia su Cisco ASR 1006 o ASR 1013 Router con un singolo ESP
Introduzione
In questo documento viene descritto come identificare e risolvere un problema relativo alle operazioni IPSec che potrebbe essere rilevato sulle piattaforme Cisco Aggregation Services Router (ASR) 1006 o ASR 1013. Ciò si può verificare quando è installato un solo processore di servizi incorporato (ESP) ed è inserito nello slot F1.
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Il riferimento delle informazioni contenute in questo documento è Cisco serie 1000 ASR 1006 o Cisco ASR 1013.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
La linea di prodotti Cisco serie 1000 ASR comprende due modelli (ASR 1006 e ASR 1013). Ciascun modello è dotato di processori di routing ridondanti (RP, Redundant Route Processor) ed ESP. In generale, un singolo ESP viene installato in Cisco ASR 1006 e Cisco ASR 1013 nello slot F0 o F1, senza restrizioni. La stessa premessa si applica agli slot RP.
La numerazione degli slot è descritta nelle guide all'installazione di Cisco ASR 1006 e Cisco ASR 1013.
Problema
L'inizializzazione del motore crittografico non riesce dopo un ciclo di alimentazione del dispositivo. Se ESP è inserito nello slot F1 e non è in esecuzione ESP nello slot F0, il problema si verifica nei seguenti prodotti:
Hardware:
- Modelli Cisco ASR 1000 Dual-ESP: ASR1006 o ASR1013.
Software:
- Per il treno Cisco IOS® XE release 3.7.xS: versione 3.7.3S o precedente; 3.7.4S e versioni successive non sono interessate.
- Per i treni Cisco IOS XE successivi: versione 3.9.1S o precedente; 3.9.2S e versioni successive non sono interessate.
I sintomi del problema includono:
- Nei log viene visualizzato questo messaggio di errore:
ISAKMP: Unable to find a crypto engine to allocate IKE SA
- L'output del comando show crypto eli e show crypto ace slot <number>status indica che il motore di crittografia è inattivo:
ASR1006#show crypto eli
Hardware Encryption: INACTIVE
Number of hardware crypto engines = 1
CryptoEngine IOSXE-ESP(14) details: state = Initializing Capability : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE IKE-Session : 0 active, 12287 max, 0 failed DH : 0 active, 12287 max, 0 failed IPSec-Session : 0 active, 32766 max, 0 failed
ASR1006#show crypto ace slot 14 stat | inc status
ACE status: OFFLINE
Questo problema può verificarsi nei seguenti scenari:
- Nello slot F1 è inserito un solo ESP e non è presente alcun ESP nello slot F0. Il router è stato riacceso.
- Sono disponibili due ESP, ma a causa di un problema, l'ESP in F0 non è riuscita e ha lasciato un singolo ESP in F1. Il router è stato spento e riacceso.
Immettere il comando show platform per verificare la disponibilità dell'ESP.
Esempio:
ASR1006#show platform
Chassis type: ASR1006
Slot Type State Insert time (ago) 0 ASR1000-SIP10 ok 00:32:04 0/0 SPA-8X1GE-V2 ok 00:29:46 1 ASR1000-SIP10 ok 00:32:04 1/0 SPA-8X1GE-V2 ok 00:29:46 R1 ASR1000-RP1 ok, active 00:32:04 F1 ASR1000-ESP10 ok, active 00:32:04 P0 ASR1006-PWR-AC ok 00:31:12 P1 ASR1006-PWR-AC ok 00:31:11
Soluzione
Il problema è dovuto all'ID bug Cisco CSCue45131, "L'interfaccia I/F del tunnel SVTI non viene visualizzata dopo il riavvio del router."
Il bug è stato risolto in Cisco IOS XE release 3.7.4S e 3.9.2S.
Il problema non esiste nel treno Cisco IOS XE release 3.10.0S.
La soluzione migliore è assicurarsi che l'ESP attualmente funzionante sia installato nello slot F0. Se tale soluzione non è possibile, altre soluzioni che possono essere applicate in remoto sono:
- Ricaricare ESP: # slot modulo hw F1 reload
o
- Ricaricare il router
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
18-Dec-2013 |
Versione iniziale |
Feedback