Обмеження ширини пропускної здатності шифрованої смуги шифрування Cisco ISR G2?

У мене є скарги на "повільний зв'язок" з кількох нових віддалених сайтів.

Сайти підключаються через службу MPLS L3VPN в Cisco 2921, і ми використовуємо Cisco GET-VPN для шифрування трафіку між нашими локаціями. Усі локації мають ланцюги 100Mbps або 1Gbps, тому швидкість не повинна бути проблемою.

Однак, проводячи тести iperf з одного місця на відоме робоче місце, я виявив, що моя пропускна здатність перевищує 85 Мбіт / с.

Подальше дослідження 2921 р. Дає багато випадків наступного повідомлення про помилку в журналах:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Я переконався, що наші старі локації, які використовують 2821, не мають цього питання ... це щось спільне з IOS 15, ISR Gen2 або обома?

Ви натрапляєте на одне із цікавих, нових, обмежень ISR Generation 2.

Я припускаю, що у вас встановлений базовий пакет ліцензування безпеки, як зазначено в цій частині повідомлення:

securityk9 technology package license

Однак пакунок securityk9 є ліцензією цієї ліцензії на "необмежений експорт" Cisco і штучно обмежить вас. Вам потрібен пакет hseck9. Додаткову інформацію див. У цій білій книзі. Частково сказано:

Ліцензія HSEC-K9 знімає обмеження, застосовані обмеженнями експорту уряду США на кількість зашифрованих підрахунків тунелів та зашифровану пропускну здатність. HSEC-K9 доступний лише на Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E та Cisco 3945E.

Маючи ліцензію HSEC-K9, маршрутизатор ISR G2 може перевищити ліміт скорочення 225 тунелів максимум для безпеки IP (IPsec) та зашифрований пропускну здатність однонаправленого трафіку 85 Мбіт / с в або поза маршрутизатором ISR G2, з двонаправленою загальною сумою 170 Мбіт / с.

У Cisco 1941, 2901 та 2911 вже є максимальні можливості шифрування в межах експорту. Ліцензія HSEC вимагає попереднього встановлення зображення Universalalk9 та ліцензії SEC.

Швидкий спосіб перевірити, яку ліцензію у вас є, це надати наступну команду на маршрутизаторі:

show license feature

Це покаже вам, які ліцензії ви придбали у Cisco та встановили на цьому маршрутизаторі. Вам потрібно переконатися, що ліцензія hseck9 увімкнена. В іншому випадку ви обмежитеся обмеженням до 85 Мбіт / с для зашифрованого трафіку. Що в ланцюгах нижче 100 Мбіт / с, може не бути проблемою, і ви можете сміливо ігнорувати цю проблему. У будь-якому випадку див. Цю сторінку для отримання додаткової інформації про встановлення нової ліцензії після її придбання.

Ще одна зручна команда для усунення несправностей:

show platform cerm-information

Це або випхне перелік інформації про встановлені обмеження, включаючи кількість невдалих шифрувальних / розшифруючих підрахунків пакетів, або дасть вам таке:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Більше інформації про цю команду тут .