Cisco ISR G2 зашифровала ограничение пропускной способности?

У меня были жалобы на «медленное соединение» с нескольких новых удаленных сайтов.

Сайты подключаются через службу MPLS L3VPN в Cisco 2921, и мы используем Cisco GET-VPN для шифрования трафика между нашими местоположениями. Во всех местах есть цепи 100 Мбит /с или 1 Гбит /с, поэтому скорость не должна быть проблемой.

Однако, проведя тесты iperf из одного места в известное рабочее место, я обнаружил, что моя полоса пропускания составляет около 85 Мбит /с.

Дальнейшее исследование 2921-го приводит к появлению в журналах следующего сообщения об ошибке:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Я подтвердил, что у наших старых мест с использованием 2821 нет этой проблемы ... это что-то связано с IOS 15, ISR Gen2 или обоими?

12 голосов | спросил Brett Lykins 20 Mayam13 2013, 04:03:57

1 ответ


11

Вы работаете в одном из забавных, новых, ограничений в генерации ISR 2.

Я предполагаю, что у вас есть базовый пакет лицензирования безопасности, установленный в этой части сообщения:

securityk9 technology package license

Однако пакет securityk9 является «неограниченной» версией Cisco этой лицензии и будет искусственно ограничивать вас. Вам нужен пакет hseck9. Дополнительную информацию см. В этом техническом документе. В нем говорится частично:

  

Лицензия HSEC-K9 устраняет ограничения, установленные государственными экспортными ограничениями США на шифрованное количество туннелей и зашифрованную пропускную способность. HSEC-K9 доступен только на Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E и Cisco 3945E.

     

С лицензией HSEC-K9 маршрутизатор ISR G2 может преодолевать предел ограничения в 225 туннелей максимум для IP-безопасности (IPsec) и зашифрованную пропускную способность однонаправленного трафика 85 Мбит /с на маршрутизаторе ISR G2 или с него двунаправленная сумма 170 Мбит /с.

     

Cisco 1941, 2901 и 2911 уже имеют максимальные возможности шифрования в пределах экспорта. Для лицензии HSEC требуется предварительно установленное изображение universalk9 и лицензия SEC.


Быстрый способ проверить, какая у вас лицензия состоит в том, чтобы выполнить следующую команду на вашем маршрутизаторе:

show license feature

Это покажет вам, какие лицензии вы приобрели у Cisco и установили на этом маршрутизаторе. Вы должны убедиться, что включена hseck9 . В противном случае вы будете ограничены этим ограничением на 85 Мбит /с для зашифрованного трафика. Что на схемах ниже 100 Мбит /с, может и не быть проблемой, и вы можете спокойно проигнорировать эту проблему. В любом случае, см. эту страницу для получения дополнительной информации об установке новая лицензия после ее покупки.


Еще одна удобная команда для устранения неполадок:

show platform cerm-information

Это приведет либо к выделению списка информации о существующих ограничениях, в том числе об ошибках шифрования /дешифрования пакетов, либо даст вам следующее:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Подробнее об этой команде здесь .

ответил Brett Lykins 20 Mayam13 2013, 04:03:57

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132