Restriction de bande passante cryptée Cisco ISR G2?

12

J'ai eu des plaintes d'une "connexion lente" de plusieurs nouveaux sites distants.

Les sites sont connectés via un service MPLS L3VPN à Cisco 2921, et nous utilisons Cisco GET-VPN pour crypter le trafic entre nos sites. Tous les emplacements ont des circuits de 100 Mbps ou 1 Gbps, donc la vitesse ne devrait pas être un problème.

Cependant, après avoir effectué des tests iperf d'un emplacement à un emplacement de travail connu, j'ai constaté que ma bande passante dépassait environ 85 Mbps.

Une enquête plus approfondie sur le 2921 donne de nombreuses occurrences du message d'erreur suivant dans les journaux:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

J'ai vérifié que nos anciens emplacements utilisant des 2821 n'ont pas ce problème ... est-ce quelque chose à voir avec IOS 15, l'ISR Gen2 ou les deux?

Brett Lykins
la source

Réponses:

12

Vous rencontrez l'une des nouvelles restrictions amusantes de l'ISR Generation 2.

Je suppose que le package de licence de base "sécurité" est installé, comme indiqué dans cette partie du message:

securityk9 technology package license

Cependant, le package securityk9 est la version "exportation sans restriction" de Cisco de cette licence et vous limitera artificiellement. Vous avez besoin du package hseck9. Consultez ce livre blanc pour plus d'informations. Cela dit en partie:

La licence HSEC-K9 supprime la restriction imposée par les restrictions à l'exportation du gouvernement américain sur le nombre de tunnels cryptés et le débit crypté. HSEC-K9 est disponible uniquement sur Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E et Cisco 3945E.

Avec la licence HSEC-K9, le routeur ISR G2 peut dépasser la limite de restriction de 225 tunnels au maximum pour la sécurité IP (IPsec) et le débit chiffré de trafic unidirectionnel de 85 Mbits / s dans ou hors du routeur ISR G2, avec un total bidirectionnel de 170 Mbps.

Les Cisco 1941, 2901 et 2911 ont déjà des capacités de chiffrement maximales dans les limites d'exportation. La licence HSEC nécessite l'image universalk9 et la licence SEC préinstallée.


Un moyen rapide de vérifier la licence dont vous disposez consiste à exécuter la commande suivante sur votre routeur:

show license feature

Cela vous montrera quelles licences vous avez achetées auprès de Cisco et installées sur ce routeur. Vous devez vous assurer que la licence hseck9 est activée. Sinon, vous serez limité à cette limite de 85 Mbps pour le trafic crypté. Ce qui sur les circuits inférieurs à 100 Mbps, pourrait ne pas être un problème et vous pouvez ignorer ce problème en toute sécurité. Quoi qu'il en soit, consultez cette page pour plus d'informations sur l'installation de la nouvelle licence une fois que vous l'avez achetée.


Une autre commande pratique pour résoudre ce problème est la suivante:

show platform cerm-information

Cela crachera une liste d'informations sur les limites en place, y compris le nombre de paquets de cryptage / décryptage ayant échoué, ou vous donnera les informations suivantes:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Plus d'informations sur cette commande ici .

Brett Lykins
la source
L'installation du package de licence HSEC-K9 suppose que vous vous trouvez aux États-Unis. Sinon, pour autant que je sache, vous êtes coincé avec un trafic crypté à 85 Mbps.
Brett Lykins
1
... répondez-vous à votre propre question dans un récit à la deuxième personne?
lunistorvalds
Oui… :) C'est une question que j'ai rencontrée à plusieurs reprises, j'ai juste copié ma réponse comme je l'ai déjà donnée aux gens.
Brett Lykins