Cisco ISR G2 şifreli bant genişliği kısıtlaması?


12

Birkaç yeni uzak sitelerden "yavaş bağlantı" şikayetleri yaşıyorum.

Siteler bir MPLS L3VPN servisi aracılığıyla Cisco 2921'lere bağlanıyor ve konumlarımız arasındaki trafiği şifrelemek için Cisco GET-VPN kullanıyoruz. Tüm konumlar 100Mbps veya 1Gbps devrelere sahiptir, bu nedenle hız bir sorun olmamalıdır.

Ancak, bir konumdan bilinen bir çalışma yerine iperf testleri yürüttüğümde, bant genişliğimin 85Mbps civarında olduğunu buldum.

2921'lerle ilgili daha fazla araştırma, günlüklerde aşağıdaki hata mesajının birçok örneğini verir:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

2821'leri kullanan eski konumlarımızın bu sorunu olmadığını doğruladım ... Bu, IOS 15, ISR Gen2 veya her ikisiyle de ilgili mi?

Yanıtlar:


12

ISR Generation 2'nin eğlenceli, yeni kısıtlamalarından birine giriyorsunuz.

İletinin bu bölümünde belirtildiği gibi temel "güvenlik" lisanslama paketinin yüklü olduğunu varsayıyorum:

securityk9 technology package license

Ancak securityk9 paketi, Cisco'nun söz konusu lisansın "sınırsız dışa aktarma" sürümüdür ve sizi yapay olarak sınırlar. Hseck9 paketine ihtiyacınız var. Daha fazla bilgi için bu tanıtım belgesine bakın . Kısmen şöyle diyor:

HSEC-K9 lisansı, ABD hükümetinin şifrelenmiş tünel sayısı ve şifrelenmiş verim üzerindeki kısıtlamalarını zorlayan azaltmayı kaldırır. HSEC-K9 yalnızca Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E ve Cisco 3945E'de bulunur.

HSEC-K9 lisansı ile ISR G2 yönlendirici, IP Güvenliği (IPsec) için maksimum 225 tünel sınırlama sınırını aşabilir ve ISR G2 yönlendiricisinin içine veya dışına şifreli 85-Mbps tek yönlü trafik çıkışı sağlar. 170 Mb / sn.

Cisco 1941, 2901 ve 2911, zaten ihracat sınırları dahilinde maksimum şifreleme kapasitelerine sahiptir. HSEC lisansı için önceden yüklenmiş universalk9 resmi ve SEC lisansı gerekir.


Hangi lisansa sahip olduğunuzu kontrol etmenin hızlı bir yolu, yönlendiricinizde aşağıdaki komutu vermektir:

show license feature

Bu size Cisco'dan hangi lisansları satın aldığınızı ve bu yönlendiriciye yüklediğinizi gösterir. Hseck9 lisansının etkinleştirildiğinden emin olmanız gerekir . Aksi takdirde, şifrelenmiş trafik için bu 85Mbps sınırıyla sınırlı olacaksınız. Hangi 100Mbps altındaki devrelerde sorun olmayabilir ve bu sorunu güvenle yok sayabilirsiniz. Her iki durumda da , yeni lisansı satın aldıktan sonra yükleme hakkında daha fazla bilgi için bu sayfaya bakın .


Bu sorunu gidermek için başka bir kullanışlı komut:

show platform cerm-information

Bu, başarısız şifreleme / şifre çözme paket sayıları da dahil olmak üzere, mevcut sınırlar hakkında bir bilgi listesi ya da size aşağıdakileri verecektir:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Bu komut hakkında daha fazla bilgiyi burada bulabilirsiniz .


HSEC-K9 lisans paketini yükleyerek ABD'de olduğunuzu varsayar. Aksi takdirde, bildiğim kadarıyla 85Mbps şifreli trafik ile sıkışıp kaldınız.
Brett Lykins

1
... ikinci şahıs anlatımında kendi sorunuzu cevaplıyor musunuz?
lunistorvalds

Evet… :) Bu, birkaç kez karşılaştığım bir soru, cevabımı daha önce insanlara verdiğim gibi kopyaladım.
Brett Lykins
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.