Ograniczenie przepustowości szyfrowanego Cisco ISR G2?

12

Mam skargi na „wolne połączenie” z kilku nowych zdalnych stron.

Witryny są połączone za pośrednictwem usługi MPLS L3VPN z Cisco 2921, a my używamy Cisco GET-VPN do szyfrowania ruchu między naszymi lokalizacjami. Wszystkie lokalizacje mają obwody 100 Mb / s lub 1 Gb / s, więc prędkość nie powinna stanowić problemu.

Jednak po przeprowadzeniu testów Iperf z jednego miejsca do znanego miejsca pracy stwierdziłem, że moja przepustowość osiąga około 85 Mb / s.

Dalsze badanie 2921 daje wiele wystąpień następującego komunikatu o błędzie w logach:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Sprawdziłem, że nasze starsze lokalizacje używające 2821 nie mają tego problemu ... czy to ma coś wspólnego z IOS 15, ISR Gen2, czy oba?

Brett Lykins
źródło

Odpowiedzi:

12

Napotykasz jedno z nowych, zabawnych ograniczeń ISR Generation 2.

Zakładam, że masz zainstalowany podstawowy pakiet licencyjny „bezpieczeństwa”, jak zauważono w tej części komunikatu:

securityk9 technology package license

Jednak pakiet securityk9 jest wersją tej licencji „nieograniczonego eksportu” firmy Cisco i sztucznie Cię ogranicza. Potrzebujesz pakietu hseck9. Zobacz ten biały papier, aby uzyskać więcej informacji. Mówi częściowo:

Licencja HSEC-K9 usuwa ograniczenie wymuszone przez ograniczenia eksportowe rządu USA dotyczące liczby zaszyfrowanych tuneli i zaszyfrowanej przepustowości. HSEC-K9 jest dostępny tylko w modelach Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E i Cisco 3945E.

Dzięki licencji HSEC-K9 router ISR G2 może przekroczyć limit ograniczenia wynoszący 225 tuneli dla bezpieczeństwa IP (IPsec) i szyfrowaną przepustowość ruchu jednokierunkowego 85 Mb / s do lub z routera ISR G2, z dwukierunkową sumą 170 Mbps.

Cisco 1941, 2901 i 2911 mają już maksymalne możliwości szyfrowania w granicach eksportu. Licencja HSEC wymaga wcześniejszego zainstalowania obrazu universalk9 i licencji SEC.


Szybkim sposobem sprawdzenia posiadanej licencji jest wydanie następującego polecenia na routerze:

show license feature

To pokaże, jakie licencje zakupiłeś od Cisco i zainstalowałeś na tym routerze. Musisz upewnić się, że licencja hseck9 jest włączona. W przeciwnym razie będziesz ograniczony do tego limitu 85 Mb / s dla szyfrowanego ruchu. Który w obwodach poniżej 100 Mb / s może nie stanowić problemu i można go bezpiecznie zignorować. Tak czy inaczej, zobacz stronę, aby uzyskać więcej informacji na temat instalowania nowej licencji po jej zakupie.


Innym przydatnym poleceniem do rozwiązywania problemów jest:

show platform cerm-information

Spowoduje to wyrzucenie listy informacji o obowiązujących limitach, w tym liczby nieudanych operacji szyfrowania / deszyfrowania, lub daje następujące informacje:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Więcej informacji na temat tego polecenia tutaj .

Brett Lykins
źródło
Instalowanie pakietu licencyjnego HSEC-K9 zakłada, że ​​przebywasz w Stanach Zjednoczonych. W przeciwnym razie, o ile mi wiadomo, utkniesz w szyfrowanym ruchu 85 Mb / s.
Brett Lykins
1
... czy odpowiadasz na własne pytanie w narracji drugiej osoby?
lunistorvalds
Tak… :) To pytanie spotkałem się kilka razy, właśnie skopiowałem swoją odpowiedź, tak jak wcześniej ją zadałem innym ludziom.
Brett Lykins