Configuração de VPN site a site no contexto múltiplo ASA 9.x recebe mensagem de erro

Opções de download

  • PDF     (150.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (89.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (73.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:22 de outubro de 2013
ID do documento:116639

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como solucionar problemas da mensagem de erro "A contagem máxima de túnel permitida foi atingida", quando você configura uma VPN de site a site no ASA 9.x.

Prerequisites

Componentes Utilizados

As informações neste documento são baseadas no software ASA versão 9.0 e posterior. Esta versão introduziu a configuração de VPN Site a Site no modo de contexto múltiplo.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Problema

Quando você tenta ativar vários túneis VPN Site a Site no ASA, ele falha e gera a mensagem de syslog "A contagem máxima de túneis permitida foi atingida".

A mensagem de syslog específica está abaixo:

%ASA-4-751019: Local:<LocalAddr> Remote:<RemoteAddr> Username:<username> Failed to obtain a <licenseType> license.
  • <LocalAddr> - Endereço local para esta tentativa de conexão
  • <RemoteAddr> - Endereço de peer remoto para esta tentativa de conexão
  • <username> - Nome de usuário para peer tentando conexão
  • <licenseType> - Tipo de licença excedido (Outro VPN ou AnyConnect Premium/Essentials) 

Informações de Apoio

O registro indica que houve falha na criação de uma sessão porque o limite máximo de licença para túneis VPN foi excedido, o que causa uma falha ao iniciar ou responder a uma solicitação de túnel.

A implementação da VPN em modo múltiplo exige a divisão do total de licenças de VPN disponíveis entre os contextos configurados. O administrador do ASA pode configurar quantas licenças cada contexto é alocado.

Por padrão, nenhuma licença de túnel VPN é alocada para os contextos e a alocação do tipo de licença deve ser feita manualmente pelo administrador.

Ação recomendada

Verifique se há licenças suficientes disponíveis para todos os usuários permitidos e/ou obtenha mais licenças para permitir as conexões rejeitadas. Para multicontexto, aloque mais licenças no contexto que reportou a falha, se possível.

Solução

A divisão das licenças entre os contextos é feita pelo aumento do gerenciador de recursos com um recurso 'VPN outro' que gerencia a divisão do pool de licenças 'Outro VPN' usado para VPN site a site entre os contextos configurados.

A CLI de recurso de limite abaixo permite esta configuração no modo 'class' do recurso.

Limit-resource vpn [burst] other <value> | <value>%

Onde, intervalo de <valor>: 1- Limite de licença da plataforma ou 1-100% das licenças instaladas.


Para rajadas, o intervalo é de 1 a licenças não atribuídas ou de 1 a 100% de licenças não atribuídas.
Padrão: 0; nenhum recurso de VPN está alocado para uma classe.

Para atribuir um contexto a 10% das licenças instaladas, você precisa definir uma classe de recurso. Em seguida, aplique a classe aos contextos que você precisa para obter esse recurso na configuração de contexto do sistema.

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 10%

Para atribuir um contexto de 250 pares de VPN das licenças instaladas, você precisa definir uma 'classe' de recurso. Em seguida, aplique a classe aos contextos que você preferir para obter esse recurso na configuração de contexto do sistema.

ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 250

Para aplicar a classe "vpn" acima a um contexto chamado "administrador", siga estas etapas:

  1. Altere/Switchover para o contexto do sistema e aplique a classe VPN para o contexto "administrador". Isso só pode ser feito no contexto do sistema.
  2. Abaixo está o trecho de configuração para alocar a classe "vpn" ao contexto "administrador".
    ciscoasa(config)# context administrator
    ciscoasa(config-ctx)# member vpn

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
22-Oct-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Vibhor Amrodia
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos