Limitazione della larghezza di banda crittografata Cisco ISR G2?

Ho avuto lamentele per una "connessione lenta" da diversi nuovi siti remoti.

I siti sono collegati tramite un servizio MPLS L3VPN a Cisco 2921 e stiamo utilizzando Cisco GET-VPN per crittografare il traffico tra le nostre sedi. Tutte le posizioni hanno circuiti a 100 Mbps o 1 Gbps, quindi la velocità non dovrebbe essere un problema.

Tuttavia, dopo aver condotto i test iperf da una posizione a una posizione di lavoro nota, ho scoperto che la mia larghezza di banda supera circa 85 Mbps.

Ulteriori indagini sui 2921 forniscono molte occorrenze del seguente messaggio di errore nei registri:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Ho verificato che le nostre sedi precedenti utilizzando 2821 non hanno questo problema ... questo ha a che fare con IOS 15, ISR Gen2 o entrambi?

Stai incontrando una delle nuove, divertenti, restrizioni dell'ISR Generation 2.

Presumo che tu abbia installato il pacchetto di licenze di base "sicurezza" come indicato da questa parte del messaggio:

securityk9 technology package license

Tuttavia, il pacchetto securityk9 è la versione "senza restrizioni di esportazione" di Cisco di tale licenza e limiterà artificialmente l'utente. È necessario il pacchetto hseck9. Vedi questo white paper per ulteriori informazioni. Dice in parte:

La licenza HSEC-K9 rimuove la riduzione imposto dalle restrizioni all'esportazione del governo degli Stati Uniti sul numero di tunnel crittografati e sul throughput crittografato. HSEC-K9 è disponibile solo su Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E e Cisco 3945E.

Con la licenza HSEC-K9, il router ISR G2 può superare il limite di limitazione di 225 tunnel massimo per IP Security (IPsec) e throughput crittografato di 85-Mbps di traffico unidirezionale all'interno o all'esterno del router ISR G2, con un totale bidirezionale 170 Mbps.

Cisco 1941, 2901 e 2911 dispongono già della massima capacità di crittografia entro i limiti delle esportazioni. La licenza HSEC richiede l'immagine universalk9 e la licenza SEC preinstallate.

Un modo rapido per verificare quale licenza si possiede è emettere il seguente comando sul router:

show license feature

Questo mostrerà quali licenze sono state acquistate da Cisco e installate su questo router. Devi assicurarti che la licenza hseck9 sia abilitata. Altrimenti sarai limitato a quel limite di 85 Mbps per il traffico crittografato. Che su circuiti inferiori a 100 Mbps, potrebbe non essere un problema e puoi tranquillamente ignorare questo problema. In entrambi i casi, consultare questa pagina per ulteriori informazioni sull'installazione della nuova licenza una volta acquistata.

Un altro comando utile per la risoluzione dei problemi è:

show platform cerm-information

Questo sputerà un elenco di informazioni sui limiti esistenti, inclusi i conteggi dei pacchetti crittografati / decrittografati non riusciti, oppure ti fornirà quanto segue:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Maggiori informazioni su questo comando qui .