Crypto Engine mislukking op Cisco ASR 1006 of ASR 1013 router met één ESP

Downloadopties

  • PDF     (151.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (88.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (71.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 december 2013
Document-id:116878

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

 

Inleiding

Dit document beschrijft hoe u een probleem met IPSec-bewerkingen kunt identificeren en oplossen die mogelijk zijn waargenomen op de Cisco-aggregation services router (ASR) 1006 of ASR 1013 platforms. Dit kan gebeuren wanneer er slechts één ingesloten dienstenprocessor (ESP) is geïnstalleerd en deze in sleuf F1 is geplaatst.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op Cisco ASR 1000 Series of Cisco ASR 1006 of Cisco ASR 1013.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

De Cisco 1000 Series ASR-portefeuille omvat twee modellen (ASR 1006 en ASR 1013). Elk model biedt redundante routeprocessors (RP’s) en ESP’s.  In het algemeen wordt één ESP in de Cisco ASR 1006 en Cisco ASR 1013 in of sleuf F0 of F1 geïnstalleerd zonder beperkingen. Hetzelfde geldt voor RP-slots.

De nummering voor sleuven wordt beschreven in de installatiehandleidingen van Cisco ASR 1006 en Cisco ASR 1013.

Probleem

De cryptoommotor is niet initialiseerbaar na een energiecyclus van het apparaat. Wanneer ESP in sleuf F1 is geplaatst en er geen ESP in sleuf F0 is. Het probleem wordt gezien bij de volgende producten:

Hardware:

  • Dual-ESP Cisco ASR 1000 modellen:  ASR 1006 of ASR 1013.

Software:

  • Voor de trein Cisco IOS® XE release 3.7.xS:  versie 3.7.3S of eerder; 3.7.4S en later niet.
  • Voor latere Cisco IOS XE-treinen:  versie 3.9.1S of eerder; 3.9.2S en later niet.

Symptomen van het probleem zijn:

  • In de blogs wordt deze foutmelding weergegeven:
    ISAKMP: Unable to find a crypto engine to allocate IKE SA
  • Uitvoer van de show crypto eli en show crypto ace sleuf <number> statusopdrachten geeft aan dat de crypto-motor niet actief is:
    ASR1006#show crypto eli 
    Hardware Encryption: INACTIVE 
     Number of hardware crypto engines = 1 

     CryptoEngine IOSXE-ESP(14) details: state = Initializing
 Capability    : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE
 IKE-Session   :     0 active, 12287 max, 0 failed 
 DH            :     0 active, 12287 max, 0 failed 
 IPSec-Session :     0 active, 32766 max, 0 failed


    ASR1006#show crypto ace slot 14 stat | inc status

    ACE status: OFFLINE

Dit probleem kan in deze scenario's voorkomen:

  • Eén ESP wordt in sleuf F1 ingevoegd en er is geen ESP in sleuf F0. De router is met stroom omgeschakeld.
  • Er zijn twee ESP's, maar door een probleem heeft de ESP in F0 gefaald en heeft u één ESP in F1 achtergelaten. De router is met stroom omgeschakeld.

Voer de opdracht Show platform in om de beschikbaarheid van het ESP te verifiëren. 

Voorbeeld:

    ASR1006#show platform
    Chassis type: ASR1006 

    Slot  Type                State       Insert time (ago) 
    0     ASR1000-SIP10       ok          00:32:04       
    0/0   SPA-8X1GE-V2        ok          00:29:46      
    1     ASR1000-SIP10       ok          00:32:04      
    1/0   SPA-8X1GE-V2        ok          00:29:46
    R1    ASR1000-RP1         ok, active  00:32:04      
    F1    ASR1000-ESP10       ok, active  00:32:04      
    P0    ASR1006-PWR-AC      ok          00:31:12     
    P1    ASR1006-PWR-AC      ok          00:31:11

Oplossing

Het probleem is te wijten aan Cisco bug ID CSCue45131, "sVTI tunnel I/F komt niet omhoog na de herstart van de router."
Het bug zit in Cisco IOS XE release 3.7.4S en 3.9.2S.


Het probleem bestaat niet in de Cisco IOS XE release 3.10.0S trein.

De beste oplossing is ervoor te zorgen dat het momenteel functionerende ESP in sleuf F0 is geïnstalleerd. Als die oplossing niet mogelijk is, zijn andere werkpunten die extern kunnen worden toegepast:

  • Herladen van het ESP:  # hoe modulesleuf F1 reload

of

  • Herladen van de router
TAC Authored

Bijgedragen door Cisco-engineers

  • Michal Stanczyk
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco