Este documento descreve como solucionar problemas da mensagem de erro "A contagem máxima de túnel permitida foi atingida", quando você configura uma VPN de site a site no ASA 9.x.
As informações neste documento são baseadas no software ASA versão 9.0 e posterior. Esta versão introduziu a configuração de VPN Site a Site no modo de contexto múltiplo.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Quando você tenta ativar vários túneis VPN Site a Site no ASA, ele falha e gera a mensagem de syslog "A contagem máxima de túneis permitida foi atingida".
A mensagem de syslog específica está abaixo:
%ASA-4-751019: Local:<LocalAddr> Remote:<RemoteAddr> Username:<username> Failed to obtain a <licenseType> license.
O registro indica que houve falha na criação de uma sessão porque o limite máximo de licença para túneis VPN foi excedido, o que causa uma falha ao iniciar ou responder a uma solicitação de túnel.
A implementação da VPN em modo múltiplo exige a divisão do total de licenças de VPN disponíveis entre os contextos configurados. O administrador do ASA pode configurar quantas licenças cada contexto é alocado.
Por padrão, nenhuma licença de túnel VPN é alocada para os contextos e a alocação do tipo de licença deve ser feita manualmente pelo administrador.
Verifique se há licenças suficientes disponíveis para todos os usuários permitidos e/ou obtenha mais licenças para permitir as conexões rejeitadas. Para multicontexto, aloque mais licenças no contexto que reportou a falha, se possível.
A divisão das licenças entre os contextos é feita pelo aumento do gerenciador de recursos com um recurso 'VPN outro' que gerencia a divisão do pool de licenças 'Outro VPN' usado para VPN site a site entre os contextos configurados.
A CLI de recurso de limite abaixo permite esta configuração no modo 'class' do recurso.
Limit-resource vpn [burst] other <value> | <value>%
Onde, intervalo de <valor>: 1- Limite de licença da plataforma ou 1-100% das licenças instaladas.
Para rajadas, o intervalo é de 1 a licenças não atribuídas ou de 1 a 100% de licenças não atribuídas.
Padrão: 0; nenhum recurso de VPN está alocado para uma classe.
Para atribuir um contexto a 10% das licenças instaladas, você precisa definir uma classe de recurso. Em seguida, aplique a classe aos contextos que você precisa para obter esse recurso na configuração de contexto do sistema.
ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 10%
Para atribuir um contexto de 250 pares de VPN das licenças instaladas, você precisa definir uma 'classe' de recurso. Em seguida, aplique a classe aos contextos que você preferir para obter esse recurso na configuração de contexto do sistema.
ciscoasa(config)# class vpn
ciscoasa(config-class)# limit-resource vpn other 250
Para aplicar a classe "vpn" acima a um contexto chamado "administrador", siga estas etapas:
ciscoasa(config)# context administrator
ciscoasa(config-ctx)# member vpn
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
22-Oct-2013 |
Versão inicial |