Cisco ISR G2 зашифрованная полоса пропускания?

У меня были жалобы на «медленное соединение» с нескольких новых удаленных сайтов.

Сайты подключены через службу MPLS L3VPN к Cisco 2921, и мы используем Cisco GET-VPN для шифрования трафика между нашими местоположениями. Во всех местах есть каналы 100 Мбит / с или 1 Гбит / с, поэтому скорость не должна быть проблемой.

Однако, проведя тесты iperf из одного места в известное рабочее место, я обнаружил, что моя пропускная способность превышает 85 Мбит / с.

Дальнейшее расследование 2921-х дает много случаев появления следующего сообщения об ошибке в журналах:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Я проверил, что наши старые местоположения, использующие 2821, не имеют этой проблемы ... это как-то связано с IOS 15, ISR Gen2 или с обоими?

Вы сталкиваетесь с одним из новых, забавных ограничений ISR Generation 2.

Я предполагаю, что у вас установлен базовый «лицензионный» пакет лицензирования, как отмечено в этой части сообщения:

securityk9 technology package license

Однако пакет securityk9 является версией этой лицензии Cisco для «неограниченного экспорта» и будет искусственно ограничивать вас. Вам нужен пакет hseck9. Смотрите эту белую книгу для получения дополнительной информации. Это говорит частично:

Лицензия HSEC-K9 устраняет ограничения, налагаемые экспортными ограничениями правительства США на количество зашифрованных туннелей и зашифрованную пропускную способность. HSEC-K9 доступен только на Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E и Cisco 3945E.

С лицензией HSEC-K9 маршрутизатор ISR G2 может преодолеть ограничение максимально возможного 225 туннелей для IP-безопасности (IPsec) и зашифрованную пропускную способность однонаправленного трафика 85 Мбит / с в или из маршрутизатора ISR G2 с общей суммой двунаправленного трафика: 170 Мбит / с.

Cisco 1941, 2901 и 2911 уже имеют максимальные возможности шифрования в пределах экспорта. Лицензия HSEC требует предварительно установленного образа universalk9 и лицензии SEC.

Быстрый способ проверить, какая у вас лицензия, - ввести следующую команду на вашем маршрутизаторе:

show license feature

Это покажет вам, какие лицензии вы приобрели у Cisco и установили на этом маршрутизаторе. Вы должны убедиться, что лицензия hseck9 включена. В противном случае вы будете ограничены этим пределом 85 Мбит / с для зашифрованного трафика. Который на каналах ниже 100 Мбит / с может не быть проблемой, и вы можете спокойно проигнорировать эту проблему. В любом случае, смотрите эту страницу для получения дополнительной информации об установке новой лицензии после ее приобретения.

Еще одна удобная команда для устранения неполадок:

show platform cerm-information

Это либо выдаст список информации об установленных лимитах, включая число неудачных пакетов шифрования / дешифрования, либо даст вам следующее:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Подробнее об этой команде здесь .