站点通过MPLS L3VPN服务连接到Cisco 2921,我们正在使用Cisco GET-VPN加密我们位置之间的流量。所有位置都有100Mbps或1Gbps电路,因此速度应该不是问题。
但是,从一个位置到已知的工作位置进行iperf测试时,我发现我的带宽达到了85Mbps。
对2921的进一步调查发现,日志中经常出现以下错误消息:
006555: Jan 3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan 3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
我已经验证了我们使用的较旧位置2821没有这个问题...这与IOS 15,ISR Gen2或两者都有关系吗?
#1 楼
您正在遇到ISR第2代有趣,新的限制之一。我假设您已安装基本的“安全”许可包,如消息的这一部分所指出:
securityk9 technology package license
但是,securityk9软件包是该许可证的Cisco“不受限制的出口”版本,将人为地限制您。您需要hseck9软件包。有关更多信息,请参见此白皮书。它部分表示:
HSEC-K9许可证消除了美国政府对加密隧道数和加密吞吐量的出口限制所施加的限制。 HSEC-K9仅在Cisco 2921,Cisco 2951,Cisco 3925,Cisco 3945,Cisco 3925E和Cisco 3945E上可用。
有了HSEC-K9许可证,ISR G2路由器可以突破最大225条隧道的限制限制,以实现IP安全性(IPsec)和进出ISR的85 Mbps单向流量的加密吞吐量G2路由器,双向总速率为170 Mbps。
Cisco 1941、2901和2911已经具有在出口限制范围内的最大加密能力。 HSEC许可证需要预先安装Universalk9映像和SEC许可证。
一种快速检查拥有的许可证的方法是在路由器上发出以下命令:
show license feature
这将向您显示您已从Cisco购买并安装在此路由器上的许可证。您需要确保已启用hseck9许可证。否则,您将被限制为加密流量的85Mbps限制。在低于100Mbps的电路上,这可能不是问题,您可以放心地忽略此问题。无论哪种方式,请在购买新许可证后查看此页面以获取有关安装新许可证的更多信息。
用于排除故障的另一个便捷命令是: />
这将显示有关限制的信息列表,包括失败的加密/解密包计数,或者将为您提供以下信息:
show platform cerm-information
更多有关此命令的信息,请参见此处。
评论
假设您在美国境内,则安装HSEC-K9许可软件包。否则,据我所知,您将无法使用85Mbps加密流量。
–布雷特·莱金斯(Brett Lykins)
13年5月20日在0:06
...您是在第二人称叙述中回答自己的问题吗?
–lunistorvalds
13年5月20日在1:44
是的……:)这是我遇到过几次不同的问题,我只是复制了我以前给别人的答案。
–布雷特·莱金斯(Brett Lykins)
13年5月20日在1:46