我有 40 或 50 条隧道,在带有 NPE-G1 的 7204VXR 上使用软件加密引擎(未安装 VAS 卡)激活了超过 200 个 SA。
工作配置是从带有 AIM-VPN 硬件加密的 2821 传输过来的。
有一段时间一切都很好,然后有一天所有隧道都关闭了,调试消息显示无法生成 DH 阶段 I 值!几乎与这个未解决的问题相同。
IOS 是 (C7200-ADVENTERPRISEK9-M),版本 15.2(4)M4。
在尝试了各种方法以恢复它之后,最终是重新加载解决了问题。
几天后,同样的问题再次发生,重新加载,然后几个小时后再次出现。
然后我升级到最新的 (C7200-ADVENTERPRISEK9-M) 版本 15.2(4)M8,4 天没问题,问题再次出现,错误字符串略有不同无法生成 DH 阶段 2 参数! 我猜他们改变了字符串而不是它是一个不同的错误。
以前有没有人经历过这种情况,或者有任何可能被遗漏的东西的指示?
有趣的是你应该提到闪光灯。我最近不得不重新格式化闪存,因为它的启动速度非常慢。我想我有一张备用的 CF 卡可以试试。
此问题已通过安装 VAM2+ 加密加速卡得到解决。
DH 现在由硬件加密而不是软件加密处理
custvpn1#sh crypto engine connections dh
Number of DH's pregenerated = 2
DH lifetime = 86400 seconds
Software Crypto Engine:
Conn Status Group Time left
VAM2+:1:
Conn Status Group Time left
1339 Used Group 5 6281
1751 Used Group 1 60250
2207 Pregen Group 5 --
2443 Pregen Group 1 --
2980 Used Group 2 163
3018 Used Group 2 28501
3055 Pregen Group 2 --
硬件加密告诉我它有一个软件加密没有报告的 DH 索引限制(我们很可能已经达到了软件加密限制)
custvpn1#sh crypto engine brief
crypto engine name: Virtual Private Network (VPN) Module
crypto engine type: hardware
State: Enabled
Location: slot 1
VPN Module in slot: 1
Product Name: VAM2+
Software Serial #: 55AA
Device ID: 001F - revision 0000
Vendor ID: 0000
Revision No: 0x001F0000
VSK revision: 0
Boot version: 902
DPU version: 0
HSP version: 3.4(4) (PRODUCTION)
Time running: 2w0d
Compression: Yes
DES: Yes
3 DES: Yes
AES CBC: Yes (128,192,256)
AES CNTR: No
Maximum buffer length: 4096
Maximum DH index: 5120
Maximum SA index: 5120
Maximum Flow index: 10230
Maximum RSA key size: 2048
crypto engine name: Cisco VPN Software Implementation
crypto engine type: software
serial number: 0198F273
crypto engine state: installed
crypto engine in slot: N/A
不确定这是否有帮助,但听起来让人想起我曾经有过的闪存损坏,或者本地证书过期/损坏 - 在这种情况下,我只是重新生成它们。
干杯,