带单ESP的Cisco ASR 1006或ASR 1013路由器的加密引擎故障

下载选项

  • PDF     (213.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (84.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (67.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2013 年 12 月 18 日
文档 ID:116878

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

 

简介

本文档介绍如何识别和解决可能在思科聚合服务路由器(ASR)1006或ASR 1013平台上观察到的IPSec操作问题。当只安装一个嵌入式服务处理器(ESP),且其已安装在插槽F1中时,就会发生这种情况。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco 1000系列ASR 1006或Cisco ASR 1013。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

Cisco 1000系列ASR产品组合包括两种型号(ASR 1006和ASR 1013)。 每种型号都配备冗余路由处理器(RP)和ESP。 通常,Cisco ASR 1006和Cisco ASR 1013中的插槽F0或F1中安装一个ESP,无限制。RP插槽也适用相同的前提。

插槽编号在Cisco ASR 1006和Cisco ASR 1013安装指南中有说明。

问题

设备重新通电后,加密引擎无法初始化。当ESP安装在插槽F1中且插槽F0中没有运行ESP时。以下产品出现了问题:

Hardware:

  • 双ESP Cisco ASR 1000型号: ASR1006或ASR1013。

软件:

  • 对于Cisco IOS® XE版本3.7.xS系列: 3.7.3S或更低版本;3.7.4S及更高版本不受影响。
  • 对于后续的Cisco IOS XE系列: 3.9.1S或更低版本;3.9.2S及更高版本不受影响。

问题的症状包括:

  • 日志显示以下错误消息:
    ISAKMP: Unable to find a crypto engine to allocate IKE SA
  • show crypto eli和show crypto ace slot < number> status命令的输出表明加密引擎处于非活动状态:
    ASR1006#show crypto eli 
    Hardware Encryption: INACTIVE 
     Number of hardware crypto engines = 1 

     CryptoEngine IOSXE-ESP(14) details: state = Initializing
 Capability    : DES, 3DES, AES, GCM, GMAC, RSA, IPv6, GDOI, FAILCLOSE
 IKE-Session   :     0 active, 12287 max, 0 failed 
 DH            :     0 active, 12287 max, 0 failed 
 IPSec-Session :     0 active, 32766 max, 0 failed


    ASR1006#show crypto ace slot 14 stat | inc status

    ACE status: OFFLINE

此问题可能发生在以下场景中:

  • 插槽F1中插入一个ESP,插槽F0中没有ESP。路由器已重新通电。
  • 有两个ESP,但由于问题,F0中的ESP发生故障,F1中留下一个ESP。路由器已重新通电。

输入show platform命令以验证ESP的可用性。 

示例:

    ASR1006#show platform
    Chassis type: ASR1006 

    Slot  Type                State       Insert time (ago) 
    0     ASR1000-SIP10       ok          00:32:04       
    0/0   SPA-8X1GE-V2        ok          00:29:46      
    1     ASR1000-SIP10       ok          00:32:04      
    1/0   SPA-8X1GE-V2        ok          00:29:46
    R1    ASR1000-RP1         ok, active  00:32:04      
    F1    ASR1000-ESP10       ok, active  00:32:04      
    P0    ASR1006-PWR-AC      ok          00:31:12     
    P1    ASR1006-PWR-AC      ok          00:31:11

解决方案

问题是由于Cisco Bug ID CSCue45131,“sVTI tunnel I/F does not up after router reboot.(路由器重新启动后,sVTI隧道I/F不会启动。)”。
Cisco IOS XE版本3.7.4S和3.9.2S中已修复该漏洞。


Cisco IOS XE版本3.10.0S系列中不存在该问题。

最佳解决方案是确保插槽F0中安装了当前正常运行的ESP。如果无法使用该解决方案,可以远程应用的其他解决方法包括:

  • 重新加载ESP: # hw module slot F1 reload

  • 重新加载路由器

修订历史记录

版本 发布日期 备注
1.0
18-Dec-2013
初始版本
TAC Authored

由思科工程师提供

  • Michal Stanczyk
    Cisco TAC Engineer.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品