Pembatasan bandwidth terenkripsi Cisco ISR G2?

12

Saya telah mengalami keluhan "koneksi lambat" dari beberapa situs jarak jauh baru.

Situs-situs tersebut terhubung melalui layanan MPLS L3VPN ke dalam Cisco 2921's, dan kami menggunakan Cisco GET-VPN untuk mengenkripsi lalu lintas di antara lokasi kami. Semua lokasi memiliki sirkuit 100Mbps atau 1Gbps, jadi kecepatan seharusnya tidak menjadi masalah.

Namun, setelah melakukan tes iperf dari satu lokasi ke lokasi kerja yang diketahui, saya menemukan bahwa bandwidth saya mencapai sekitar 85Mbps.

Investigasi lebih lanjut pada 2921 memberikan banyak kemunculan pesan kesalahan berikut dalam log:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Saya telah memverifikasi bahwa lokasi lama kami yang menggunakan 2821 tidak memiliki masalah ini ... apakah ini ada hubungannya dengan IOS 15, ISR Gen2, atau keduanya?

cisco cisco-ios-15 ipsec cisco-isr Brett Lykins
sumber

Jawaban:

12

Anda mengalami salah satu pembatasan ISR Generasi 2 yang menyenangkan, baru.

Saya berasumsi Anda memiliki paket lisensi "keamanan" dasar yang diinstal seperti dicatat oleh bagian pesan ini:

securityk9 technology package license

Namun paket securityk9 adalah versi "ekspor tidak terbatas" dari lisensi itu, dan akan membatasi Anda secara artifisial. Anda memerlukan paket hseck9. Lihat buku putih ini untuk informasi lebih lanjut. Dikatakan sebagian:

Lisensi HSEC-K9 menghilangkan pembatasan yang diberlakukan oleh pembatasan ekspor pemerintah AS pada jumlah terowongan terenkripsi dan throughput terenkripsi. HSEC-K9 hanya tersedia di Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E, dan Cisco 3945E.

Dengan lisensi HSEC-K9, router ISR G2 dapat melampaui batas maksimum 225 terowongan untuk Keamanan IP (IPsec) dan throughput terenkripsi dari 85-Mbps lalu lintas searah masuk atau keluar dari router ISR G2, dengan total dua arah dua arah. 170 Mbps.

Cisco 1941, 2901, dan 2911 sudah memiliki kapasitas enkripsi maksimum dalam batas ekspor. Lisensi HSEC memerlukan gambar universalk9 dan lisensi SEC telah diinstal sebelumnya.

Cara cepat untuk memeriksa lisensi yang Anda miliki, adalah dengan mengeluarkan perintah berikut di router Anda:

show license feature

Ini akan menunjukkan kepada Anda lisensi mana yang telah Anda beli dari Cisco dan diinstal pada router ini. Anda perlu memastikan bahwa lisensi hseck9 diaktifkan. Jika tidak, Anda akan dibatasi hingga batas 85Mbps untuk lalu lintas terenkripsi. Yang pada sirkuit di bawah 100Mbps, mungkin tidak menjadi masalah, dan Anda bisa dengan aman mengabaikan masalah ini. Apa pun itu, lihat halaman ini untuk informasi lebih lanjut tentang cara menginstal lisensi baru setelah Anda membelinya.

Perintah praktis lain untuk mengatasi masalah ini adalah:

show platform cerm-information

Ini akan memuntahkan daftar informasi tentang batasan yang ada, termasuk jumlah paket enkripsi / dekripsi yang gagal, atau akan memberi Anda yang berikut:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Informasi lebih lanjut tentang perintah ini di sini .

Brett Lykins
sumber
Menginstal paket lisensi HSEC-K9, menganggap Anda berada di dalam Amerika Serikat. Kalau tidak, sejauh yang saya tahu, Anda terjebak dengan lalu lintas terenkripsi 85Mbps.
Brett Lykins
1
... apakah Anda menjawab pertanyaan Anda sendiri dalam narasi orang kedua?
lunistorvalds
Ya ... :) Ini adalah pertanyaan yang saya alami beberapa waktu yang berbeda, saya hanya menyalin jawaban saya seperti yang saya berikan sebelumnya kepada orang-orang.
Brett Lykins