การ จำกัด แบนด์วิดท์ที่เข้ารหัสของ Cisco ISR G2?

12

ฉันได้รับการร้องเรียนจาก "การเชื่อมต่อช้า" จากไซต์ระยะไกลใหม่หลายแห่ง

ไซต์เหล่านี้เชื่อมต่อผ่านบริการ MPLS L3VPN ใน Cisco 2921 และเราใช้ Cisco GET-VPN เพื่อเข้ารหัสการรับส่งข้อมูลระหว่างตำแหน่งที่ตั้งของเรา สถานที่ทั้งหมดมีวงจร 100Mbps หรือ 1Gbps ดังนั้นความเร็วไม่ควรเป็นปัญหา

อย่างไรก็ตามเมื่อทำการทดสอบ iperf จากสถานที่หนึ่งไปยังสถานที่ทำงานที่รู้จักฉันพบว่าแบนด์วิดท์ของฉันมีความเร็วสูงสุดประมาณ 85Mbps

การตรวจสอบเพิ่มเติมของ 2921 นั้นทำให้เกิดข้อความแสดงข้อผิดพลาดต่อไปนี้จำนวนมาก:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

ฉันได้ตรวจสอบแล้วว่าที่ตั้งเก่าของเราที่ใช้ 2821 ไม่มีปัญหานี้ ... นี่เป็นสิ่งที่ต้องทำกับ IOS 15, ISR Gen2 หรือทั้งสองอย่าง?

cisco  cisco-ios-15  ipsec  cisco-isr 
เบร็ท Lykins
แหล่งที่มา

คำตอบ:

12

คุณกำลังใช้งานหนึ่งในข้อ จำกัด สนุก ๆ ของ ISR Generation 2

ฉันถือว่าคุณมีแพคเกจสิทธิ์การใช้งาน "ความปลอดภัย" พื้นฐานติดตั้งตามที่ระบุไว้ในข้อความนี้:

securityk9 technology package license

อย่างไรก็ตามแพคเกจ securityk9 นั้นเป็นรุ่น "ไม่ จำกัด การส่งออก" ของซิสโก้และจะ จำกัด คุณโดยไม่ตั้งใจ คุณต้องใช้แพ็คเกจ hseck9 ดูกระดาษสีขาวนี้สำหรับข้อมูลเพิ่มเติม มันบอกว่าในบางส่วน:

ใบอนุญาต HSEC-K9 จะลดการบังคับใช้โดยข้อ จำกัด การส่งออกของรัฐบาลสหรัฐอเมริกาในการนับจำนวนอุโมงค์ที่เข้ารหัสและปริมาณงานที่เข้ารหัส HSEC-K9 มีเฉพาะใน Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E และ Cisco 3945E

ด้วยใบอนุญาต HSEC-K9 เราเตอร์ ISR G2 สามารถเกินขีด จำกัด การกำจัดได้สูงสุด 225 tunnels สำหรับ IP Security (IPsec) และทรูพุตที่เข้ารหัสของทราฟฟิกทิศทางเดียว 85-Mbps เข้าหรือออกจากเร้าเตอร์ ISR G2 รวมสองทิศทาง 170 Mbps

Cisco 1941, 2901 และ 2911 มีความสามารถในการเข้ารหัสสูงสุดแล้วภายในขีด จำกัด การส่งออก ใบอนุญาต HSEC ต้องการภาพ Universalk9 และใบอนุญาตจาก SEC ที่ติดตั้งไว้ล่วงหน้า

วิธีที่รวดเร็วในการตรวจสอบใบอนุญาตที่คุณมีคือการออกคำสั่งต่อไปนี้บนเราเตอร์ของคุณ:

show license feature

นี่จะแสดงใบอนุญาตที่คุณซื้อจาก Cisco และติดตั้งในเราเตอร์นี้ คุณต้องตรวจสอบให้แน่ใจว่ามีการเปิดใช้งานใบอนุญาตhseck9 มิฉะนั้นคุณจะถูก จำกัด ที่ 85Mbps สำหรับการรับส่งข้อมูลที่เข้ารหัส วงจรใดที่ต่ำกว่า 100Mbps อาจไม่มีปัญหาและคุณสามารถเพิกเฉยต่อปัญหานี้ได้อย่างปลอดภัย ให้ไปที่หน้านี้สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการติดตั้งใบอนุญาตใหม่เมื่อคุณซื้อ

คำสั่งที่ใช้งานง่ายอีกวิธีหนึ่งสำหรับการแก้ไขปัญหานี้คือ:

show platform cerm-information

สิ่งนี้จะคายรายการข้อมูลเกี่ยวกับข้อ จำกัด ในสถานที่รวมถึงการเข้ารหัสแพ็กเก็ตการเข้ารหัส / ถอดรหัสที่ล้มเหลวหรือจะให้สิ่งต่อไปนี้กับคุณ:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

ข้อมูลเพิ่มเติมเกี่ยวกับคำสั่งนี้ที่นี่

เบร็ท Lykins
แหล่งที่มา
การติดตั้งแพคเกจสิทธิ์การใช้งาน HSEC-K9 ถือว่าคุณอยู่ในสหรัฐอเมริกา มิฉะนั้นเท่าที่ฉันรู้คุณติดอยู่กับปริมาณข้อมูลที่เข้ารหัสไว้ที่ 85Mbps
Brett Lykins
1
... คุณกำลังตอบคำถามของคุณเองในการบรรยายเรื่องบุคคลที่สอง?
lunistorvalds
ใช่… :) นี่เป็นคำถามที่ฉันพบเจอในไม่กี่ครั้งที่แตกต่างกันฉันเพิ่งคัดลอกคำตอบของฉันตามที่ฉันเคยให้คนก่อน
Brett Lykins
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.