思科ISR G2加密带宽限制？

Question

我一直在抱怨来自几个新的远程站点的“缓慢连接”。

这些网站通过MPLS L3VPN服务连接到cisco2921‘S，我们正在使用Cisco加密我们之间的通信。所有位置都有100 1Gbps或1 1Gbps的电路，因此速度不应该是一个问题。

然而，在从一个位置到一个已知的工作地点进行iperf测试时，我发现我的带宽达到了85 85Mbps左右。

对2921's号的进一步调查发现，日志中多次出现以下错误信息：

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

我已经证实，我们使用二八二一S的老地方没有这个问题。这是否与IOS 15，ISR Gen2's有关，还是两者兼而有之？

Answer 1

你会遇到一个有趣的，新的，限制的ISR第二代。

我假设您已经安装了基本的“安全”许可包，正如消息的这一部分所指出的：

securityk9 technology package license

然而，securityk9包是思科的“不受限制的出口”版本的该许可证，并将人为地限制你。您需要hseck9包。有关更多信息，请参见这白皮书。它的部分内容是：

HSEC-K9许可证取消了美国政府对加密隧道计数和加密吞吐量的出口限制。HSEC-K9仅适用于Cisco 2921、Cisco 2951、Cisco 3925、Cisco 3945、Cisco 3925 E和Cisco 3945 E。有了HSEC-K9许可证，ISR G2路由器可以超过最大IP安全隧道(IPsec)的225个限制，加密吞吐量为85-Mbps的G2路由器内或外单向通信量，双向总吞吐量为170 Mbps。Cisco 1941、2901和2911已经在导出限制内具有最大的加密能力。HSEC许可证需要预先安装universalk9映像和SEC许可证.

检查您拥有的许可证的一种快速方法是在路由器上发出以下命令：

show license feature

这将向您展示您从Cisco购买并安装在此路由器上的许可证。您需要确保启用了hseck9许可证。否则，您将被限制在85 85Mbps的加密流量限制。在低于100 this的电路上，可能不是一个问题，您可以安全地忽略这个问题。无论哪种方式，购买新许可证后，请参阅这页面获得有关安装新许可证的更多信息。

解决此问题的另一个方便的命令是：

show platform cerm-information

这将提供有关限制的信息列表，包括失败的加密/解密数据包计数，或者提供以下信息：

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

有关此命令这里的更多信息。