Hạn chế băng thông được mã hóa của Cisco ISR G2?


12

Tôi đã có khiếu nại về "kết nối chậm" từ một số trang web từ xa mới.

Các trang web được kết nối thông qua dịch vụ MPLS L3VPN vào Cisco 2921 và chúng tôi đang sử dụng Cisco GET-VPN để mã hóa lưu lượng giữa các vị trí của chúng tôi. Tất cả các vị trí đều có mạch 100Mbps hoặc 1Gbps, do đó tốc độ không phải là vấn đề.

Tuy nhiên, khi tiến hành các thử nghiệm iperf từ một vị trí đến một vị trí làm việc đã biết, tôi thấy rằng băng thông của tôi đạt khoảng 85Mb / giây.

Điều tra thêm về 2921 đưa ra nhiều lần xuất hiện thông báo lỗi sau trong nhật ký:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Tôi đã xác minh rằng các vị trí cũ hơn của chúng tôi sử dụng 2821 không có vấn đề này ... đây có phải là điều cần làm với IOS 15, ISR Gen2 hay cả hai không?

Câu trả lời:


12

Bạn đang gặp phải một trong những hạn chế thú vị, mới mẻ của Thế hệ 2 ISR.

Tôi giả sử bạn đã cài đặt gói cấp phép "bảo mật" cơ bản như được lưu ý bởi phần này của thông báo:

securityk9 technology package license

Tuy nhiên, gói securityk9 là phiên bản "xuất khẩu không hạn chế" của giấy phép đó và sẽ giới hạn bạn một cách giả tạo. Bạn cần gói hseck9. Xem này giấy trắng để biết thêm thông tin. Nó nói một phần:

Giấy phép HSEC-K9 xóa bỏ giới hạn được thi hành bởi các hạn chế xuất khẩu của chính phủ Hoa Kỳ đối với số lượng đường hầm được mã hóa và thông lượng được mã hóa. HSEC-K9 chỉ khả dụng trên Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E và Cisco 3945E.

Với giấy phép HSEC-K9, bộ định tuyến ISR G2 có thể vượt quá giới hạn giới hạn tối đa 225 đường hầm cho Bảo mật IP (IPsec) và thông lượng được mã hóa của lưu lượng truy cập một chiều 85 Mbps trong hoặc ngoài bộ định tuyến ISR G2, với tổng số hai chiều 170 Mbps.

Cisco 1941, 2901 và 2911 đã có khả năng mã hóa tối đa trong giới hạn xuất khẩu. Giấy phép HSEC yêu cầu hình ảnhiversealk9 và giấy phép SEC được cài đặt sẵn.


Một cách nhanh chóng để kiểm tra giấy phép nào bạn có, là đưa ra lệnh sau trên bộ định tuyến của bạn:

show license feature

Điều này sẽ cho bạn thấy giấy phép nào bạn đã mua từ Cisco và được cài đặt trên bộ định tuyến này. Bạn cần đảm bảo rằng giấy phép hseck9 đã được bật. Nếu không, bạn sẽ bị giới hạn ở giới hạn 85Mbps đối với lưu lượng được mã hóa. Mà trên các mạch dưới 100Mbps, có thể không phải là vấn đề và bạn có thể bỏ qua vấn đề này một cách an toàn. Dù bằng cách nào, xem này trang để biết thêm thông tin về cách cài đặt giấy phép mới khi bạn mua nó.


Một lệnh tiện dụng khác để khắc phục sự cố này là:

show platform cerm-information

Điều này sẽ đưa ra một danh sách thông tin về các giới hạn tại chỗ, bao gồm cả số lượng gói mã hóa / giải mã không thành công, hoặc nó sẽ cung cấp cho bạn những điều sau:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Thêm thông tin về lệnh này ở đây .


Cài đặt gói cấp phép HSEC-K9, giả sử bạn đang ở Hoa Kỳ. Mặt khác, theo như tôi biết, bạn bị mắc kẹt với lưu lượng được mã hóa 85Mbps.
Brett Lykins

1
... bạn có đang trả lời câu hỏi của chính mình trong bài tường thuật của người thứ hai không?
lunistorvalds

Có, :) Đây là một câu hỏi tôi đã gặp phải một vài lần khác nhau, tôi chỉ sao chép câu trả lời của mình như tôi đã đưa ra trước đó cho mọi người.
Brett Lykins
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.