多情景ASA 9.x上的站点到站点VPN配置接收错误消息

简介

本文档介绍在多情景自适应安全设备(ASA)9.x上配置站点到站点VPN时如何对错误消息“已达到允许的最大隧道计数”进行故障排除。

先决条件

使用的组件

本文档中的信息基于ASA软件版本9.0及更高版本。此版本在多情景模式下引入了站点到站点VPN配置。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

问题

当您尝试在ASA上启用多个站点到站点VPN隧道时，它会失败并生成系统日志消息“The maximum tunnel count allowed has been reached”。

特定系统日志消息如下：

%ASA-4-751019: Local:<LocalAddr> Remote:<RemoteAddr> Username:<username> Failed to obtain a <licenseType> license.

• <LocalAddr> — 此连接尝试的本地地址
• <RemoteAddr> — 此连接尝试的远程对等体地址
• <username> — 尝试连接的对等体的用户名
• <licenseType> — 超出的许可证类型（其他VPN或AnyConnect Premium/Essentials） 

背景信息

日志指示会话创建失败，因为超出了VPN隧道的最大许可证限制，导致无法启动或响应隧道请求。

在多模式下实施VPN需要在配置的情景中划分可用VPN许可证总数。ASA管理员可以配置每个情景分配的许可证数量。

默认情况下，不向情景分配VPN隧道许可证，并且许可证类型的分配必须由管理员手动完成。

建议操作

确保所有允许的用户都有足够的许可证可用，和/或获取更多许可证以允许拒绝的连接。对于多情景，尽可能将更多许可证分配给报告故障的情景。

解决方案

在情景之间划分许可证的方法是使用“VPN other”资源来增强资源管理器，该资源用于管理在配置的情景中用于站点到站点VPN的“Other VPN”许可证池的划分。

下面的limit-resource CLI允许在资源“class”模式下进行此配置。

Limit-resource vpn [burst] other <value> | <value>%

其中，<value>范围：1 — 平台许可证限制或安装的许可证的1-100%。

对于突发流量，范围为1到未分配的许可证或1-100%的未分配的许可证。
默认:0;没有为类分配VPN资源。

要将环境分配给10%的已安装许可证，您需要定义资源类。接下来，将类应用于需要在系统情景配置中获取此资源的情景。

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 10%

要分配已安装许可证的250个VPN对等体的环境，需要定义资源“class”。 接下来，将类应用于您希望能够在系统情景配置中获取此资源的情景。

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 250

要将上述类“vpn”应用于名为“administrator”的上下文，请执行以下步骤：

1. 更改/切换到系统情景，并应用情景“administrator”的类VPN。 此操作只能在系统情景中完成。
2. 下面是将类“vpn”分配给情景“administrator”的配置片段。
   

   ciscoasa(config)# context administrator
   ciscoasa(config-ctx)# member vpn

相关信息

• Cisco ASA 5500系列下一代防火墙参考指南
• Cisco ASA 5500系列下一代防火墙配置指南
• 技术支持和文档 - Cisco Systems