Cisco ISR G2 암호화 대역폭 제한?

여러 원격 사이트에서 "느린 연결"에 대한 불만이있었습니다.

이 사이트는 MPLS L3VPN 서비스를 통해 Cisco 2921에 연결되어 있으며 Cisco GET-VPN을 사용하여 위치 간의 트래픽을 암호화하고 있습니다. 모든 위치에는 100Mbps 또는 1Gbps 회로가 있으므로 속도는 문제가되지 않습니다.

그러나 한 위치에서 알려진 작업 위치로 iperf 테스트를 수행 한 결과 대역폭이 85Mbps 정도 인 것으로 나타났습니다.

2921에 대한 추가 조사는 로그에 다음과 같은 오류 메시지가 많이 나타납니다.

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

2821을 사용하는 기존 위치에이 문제가 없음을 확인했습니다. IOS 15, ISR Gen2 또는 둘 다와 관련이 있습니까?

ISR Generation 2의 재미 있고 새로운 제한 중 하나에 직면하고 있습니다.

이 메시지 부분에서 언급 한대로 기본 "보안"라이센스 패키지가 설치되어 있다고 가정합니다.

securityk9 technology package license

그러나 securityk9 패키지는 해당 라이센스의 Cisco "제한되지 않은 내보내기"버전이며 인위적으로 제한합니다. hseck9 패키지가 필요합니다. 자세한 내용은 이 백서를 참조하십시오. 그것은 부분적으로 말합니다 :

HSEC-K9 라이센스는 암호화 된 터널 수 및 암호화 된 처리량에 대한 미국 정부의 수출 제한으로 인한 축소를 제거합니다. HSEC-K9는 Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E 및 Cisco 3945E에서만 사용할 수 있습니다.

HSEC-K9 라이센스를 사용하면 ISR G2 라우터는 IPsec (IP Security) 및 ISR G2 라우터 내외부에서 85Mbps 단방향 트래픽의 암호화 된 처리량에 대해 최대 225 개의 터널 축소 제한을 초과 할 수 있습니다. 170Mbps

Cisco 1941, 2901 및 2911은 이미 내보내기 제한 내에서 최대 암호화 용량을 가지고 있습니다. HSEC 라이센스에는 universalk9 이미지 및 SEC 라이센스가 사전 설치되어 있어야합니다.

가지고있는 라이센스를 확인하는 빠른 방법은 라우터에서 다음 명령을 실행하는 것입니다.

show license feature

Cisco에서 구매하여이 라우터에 설치 한 라이센스가 표시됩니다. hseck9 라이센스가 활성화되어 있는지 확인해야합니다 . 그렇지 않으면 암호화 된 트래픽에 대한 85Mbps 제한으로 제한됩니다. 100Mbps 미만의 회로에서는 문제가되지 않을 수 있으며이 문제를 무시해도됩니다. 어느 쪽이든 새 라이센스를 구매 한 후 설치하는 방법에 대한 자세한 내용 은 이 페이지를 참조하십시오.

이 문제를 해결하기위한 또 다른 편리한 명령은 다음과 같습니다.

show platform cerm-information

이것은 실패한 암호화 / 암호 해독 패킷 수를 포함하여 제 한에 관한 정보 목록을 뱉어 내거나 다음을 제공합니다.

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

이 명령에 대한 자세한 내용은 여기를 참조하십시오 .