¿Restricción de ancho de banda encriptada Cisco ISR G2?

12

He tenido quejas de una "conexión lenta" desde varios sitios remotos nuevos.

Los sitios están conectados a través de un servicio MPLS L3VPN en Cisco 2921's, y estamos utilizando Cisco GET-VPN para encriptar el tráfico entre nuestras ubicaciones. Todas las ubicaciones tienen circuitos de 100Mbps o 1Gbps, por lo que la velocidad no debería ser un problema.

Sin embargo, al realizar pruebas de iperf desde una ubicación a una ubicación de trabajo conocida, descubrí que mi ancho de banda supera los 85 Mbps.

La investigación adicional sobre los 2921's da muchas apariciones del siguiente mensaje de error en los registros:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Verifiqué que nuestras ubicaciones más antiguas que usan 2821 no tienen este problema ... ¿tiene algo que ver con IOS 15, el ISR Gen2 o ambos?

Brett Lykins
fuente

Respuestas:

12

Te encuentras con una de las nuevas y divertidas restricciones de ISR Generation 2.

Supongo que tiene instalado el paquete básico de licencias de "seguridad" como se indica en esta parte del mensaje:

securityk9 technology package license

Sin embargo, el paquete securityk9 es la versión de "exportación sin restricciones" de Cisco de esa licencia y lo limitará artificialmente. Necesita el paquete hseck9. Consulte este documento técnico para obtener más información. Dice en parte:

La licencia HSEC-K9 elimina la limitación impuesta por las restricciones de exportación del gobierno de los EE. UU. En el recuento de túneles cifrados y el rendimiento cifrado. HSEC-K9 está disponible solo en Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E y Cisco 3945E.

Con la licencia HSEC-K9, el enrutador ISR G2 puede superar el límite de restricción de 225 túneles como máximo para la seguridad IP (IPsec) y el rendimiento cifrado del tráfico unidireccional de 85 Mbps dentro o fuera del enrutador ISR G2, con un total bidireccional de 170 Mbps.

Cisco 1941, 2901 y 2911 ya tienen capacidades máximas de cifrado dentro de los límites de exportación. La licencia HSEC requiere la imagen universalk9 y la licencia SEC preinstalada.


Una forma rápida de verificar qué licencia tiene, es emitir el siguiente comando en su enrutador:

show license feature

Esto le mostrará qué licencias adquirió de Cisco e instaló en este enrutador. Debe asegurarse de que la licencia hseck9 esté habilitada. De lo contrario, estará limitado a ese límite de 85 Mbps para el tráfico encriptado. Lo cual en circuitos por debajo de 100Mbps, podría no ser un problema, y ​​podría ignorar este problema con seguridad. De cualquier manera, consulte esta página para obtener más información sobre la instalación de la nueva licencia una vez que la compre.


Otro comando útil para solucionar este problema es:

show platform cerm-information

Esto generará una lista de información sobre los límites establecidos, incluidos los recuentos de paquetes de cifrado / descifrado fallidos, o le dará lo siguiente:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Más información sobre este comando aquí .

Brett Lykins
fuente
Al instalar el paquete de licencia HSEC-K9, se supone que está dentro de los Estados Unidos. De lo contrario, que yo sepa, está atrapado con el tráfico cifrado de 85 Mbps.
Brett Lykins
1
... ¿estás respondiendo tu propia pregunta en la narrativa en segunda persona?
lunistorvalds
Sí ... :) Esta es una pregunta con la que me he encontrado varias veces, solo copié mi respuesta como se la he dado antes a la gente.
Brett Lykins