Beschränkung der verschlüsselten Bandbreite für Cisco ISR G2?

Ich habe Beschwerden über eine "langsame Verbindung" von mehreren neuen Remote-Standorten.

Die Standorte sind über einen MPLS L3VPN-Dienst mit Cisco 2921 verbunden, und wir verwenden Cisco GET-VPN, um den Datenverkehr zwischen unseren Standorten zu verschlüsseln. Alle Standorte haben entweder 100-Mbit / s- oder 1-Gbit / s-Leitungen, daher sollte die Geschwindigkeit kein Problem darstellen.

Bei der Durchführung von Iperf-Tests von einem Standort zu einem bekannten Arbeitsstandort stellte ich jedoch fest, dass meine Bandbreite rund 85 Mbit / s übersteigt.

Weitere Untersuchungen an den 2921 ergaben, dass in den Protokollen häufig die folgenden Fehlermeldungen auftreten:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Ich habe überprüft, dass unsere älteren Standorte, die 2821 verwenden, dieses Problem nicht haben. Hat dies etwas mit iOS 15, dem ISR Gen2 oder beiden zu tun?

Sie stoßen auf eine der lustigen, neuen Einschränkungen der ISR-Generation 2.

Ich gehe davon aus, dass Sie das grundlegende "Sicherheits" -Lizenzierungspaket installiert haben, wie in diesem Teil der Nachricht angegeben:

securityk9 technology package license

Das securityk9-Paket ist jedoch die "uneingeschränkte Exportversion" dieser Lizenz von Cisco und schränkt Sie künstlich ein. Sie benötigen das Paket hseck9. Weitere Informationen finden Sie in diesem Whitepaper. Es heißt zum Teil:

Mit der HSEC-K9-Lizenz wird die Einschränkung aufgehoben, die durch die Exportbeschränkungen der US-Regierung für die Anzahl der verschlüsselten Tunnel und den verschlüsselten Durchsatz erzwungen wurde. HSEC-K9 ist nur für Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E und Cisco 3945E verfügbar.

Mit der HSEC-K9-Lizenz kann der ISR G2-Router die Beschränkung von maximal 225 Tunneln für IP-Sicherheit (IPsec) und den verschlüsselten Durchsatz von unidirektionalem 85-Mbit / s-Verkehr in den oder aus dem ISR G2-Router überschreiten 170 Mbit / s.

Die Cisco Modelle 1941, 2901 und 2911 verfügen bereits über maximale Verschlüsselungskapazitäten innerhalb der Exportbeschränkungen. Die HSEC-Lizenz erfordert das universalk9-Image und die vorinstallierte SEC-Lizenz.

Eine schnelle Möglichkeit, um zu überprüfen, welche Lizenz Sie haben, besteht darin, den folgenden Befehl auf Ihrem Router auszuführen:

show license feature

Hier sehen Sie, welche Lizenzen Sie bei Cisco gekauft und auf diesem Router installiert haben. Sie müssen sicherstellen, dass die hseck9- Lizenz aktiviert ist. Andernfalls sind Sie für verschlüsselten Datenverkehr auf diese 85-Mbit / s-Grenze beschränkt. Bei Schaltkreisen unter 100 Mbit / s ist dies möglicherweise kein Problem, und Sie können dieses Problem ignorieren. In beiden Fällen finden Sie auf dieser Seite weitere Informationen zum Installieren der neuen Lizenz nach dem Kauf.

Ein weiterer praktischer Befehl zur Fehlerbehebung ist:

show platform cerm-information

Auf diese Weise wird entweder eine Liste mit Informationen zu den geltenden Grenzwerten ausgegeben, einschließlich der fehlgeschlagenen Anzahl von Verschlüsselungs- / Entschlüsselungspaketen, oder es wird Folgendes angezeigt:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Weitere Informationen zu diesem Befehl finden Sie hier .