多情景ASA 9.x上的站點到站點VPN配置收到錯誤消息

簡介

本文描述在多情景自適應安全裝置(ASA)9.x上配置站點到站點VPN時，如何排除錯誤消息「已達到允許的最大隧道數」的故障。

必要條件

採用元件

本文檔中的資訊基於ASA軟體版本9.0及更高版本。此版本在多情景模式下引入了站點到站點VPN配置。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

問題

當您嘗試在ASA上啟用多個站點到站點VPN隧道時，它會失敗，並生成系統日誌消息「已達到允許的最大隧道數」。

特定系統日誌消息如下：

%ASA-4-751019: Local:<LocalAddr> Remote:<RemoteAddr> Username:<username> Failed to obtain a <licenseType> license.

• <LocalAddr> — 此連線嘗試的本地地址
• <RemoteAddr> — 此連線嘗試的遠端對等體地址
• <username> — 對等體嘗試連線的使用者名稱
• <licenseType> — 超出許可型別（其他VPN或AnyConnect Premium/Essentials） 

背景資訊

日誌表明會話建立失敗，因為超過了VPN隧道的最大許可證限制，導致無法啟動或響應隧道請求。

在多模式中實施VPN需要將可用的VPN許可證總數在配置的上下文中進行劃分。ASA管理員可以配置每個情景分配的許可證數量。

預設情況下，不會為情景分配VPN隧道許可證，並且必須由管理員手動分配許可證型別。

建議的操作

確保所有允許的使用者的可用許可證和/或獲取更多許可證以允許被拒絕的連線。對於多情景，儘可能為報告故障的情景分配更多許可證。

解決方案

在上下文之間劃分許可證是通過將資源管理器與「VPN其他」資源的擴充來完成的，所述「VPN其他」資源管理在配置的上下文中對用於站點到站點VPN的「其他VPN」許可證池的分割。

下面的limit-resource CLI允許在資源「class」模式下進行此配置。

Limit-resource vpn [burst] other <value> | <value>%

其中，<value>範圍：1 — 平台許可證限制或安裝的許可證的1-100%。

對於猝發，範圍是1至未分配的許可證或1-100%的未分配的許可證。
預設值：0;沒有將VPN資源分配給類。

要將情景分配給已安裝許可證的10%，您需要定義資源類。接下來，將類應用於需要在系統上下文配置中獲得此資源的上下文。

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 10%

要分配已安裝許可證的250個VPN對等裝置的上下文，您需要定義資源「類」。 接下來，將類應用到您希望能夠在系統上下文配置中獲得此資源的上下文。

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 250

要將上述類「vpn」應用到名為「administrator」的上下文，請執行以下步驟：

1. 更改/切換至系統情景並為情景「administrator」應用類VPN。 只能在系統上下文中執行此操作。
2. 以下是用於將類「vpn」分配給上下文「administrator」的配置片段。
   

   ciscoasa(config)# context administrator
   ciscoasa(config-ctx)# member vpn

相關資訊

• Cisco ASA 5500系列下一代防火牆參考指南
• Cisco ASA 5500系列下一代防火牆配置指南
• 技術支援與文件 - Cisco Systems