Restrição de largura de banda criptografada do Cisco ISR G2?

Tenho recebido reclamações de uma "conexão lenta" de vários novos sites remotos.

Os sites são conectados através de um serviço MPLS L3VPN aos Cisco 2921 e estamos usando o Cisco GET-VPN para criptografar o tráfego entre nossos locais. Todos os locais têm circuitos de 100 Mbps ou 1 Gbps, portanto a velocidade não deve ser um problema.

No entanto, ao realizar testes iperf de um local para um local de trabalho conhecido, descobri que minha largura de banda atinge cerca de 85 Mbps.

Uma investigação mais aprofundada nos 2921 fornece muitas ocorrências da seguinte mensagem de erro nos logs:

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

Eu verifiquei que nossos locais mais antigos usando 2821 não têm esse problema ... isso tem algo a ver com o IOS 15, o ISR Gen2 ou os dois?

Você está enfrentando uma das novas e divertidas restrições do ISR Generation 2.

Presumo que você tenha o pacote de licenciamento básico de "segurança" instalado, conforme observado nesta parte da mensagem:

securityk9 technology package license

No entanto, o pacote securityk9 é a versão de "exportação irrestrita" da Cisco dessa licença e o limitará artificialmente. Você precisa do pacote hseck9. Consulte este white paper para obter mais informações. Diz em parte:

A licença HSEC-K9 remove os restrições impostas pelas restrições de exportação do governo dos EUA na contagem de túneis criptografados e na taxa de transferência criptografada. O HSEC-K9 está disponível apenas no Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E e Cisco 3945E.

Com a licença HSEC-K9, o roteador ISR G2 pode ultrapassar o limite de redução de 225 túneis no máximo para segurança IP (IPsec) e taxa de transferência criptografada de tráfego unidirecional de 85 Mbps dentro ou fora do roteador ISR G2, com um total bidirecional de 170 Mbps.

O Cisco 1941, 2901 e 2911 já possui capacidades máximas de criptografia dentro dos limites de exportação. A licença HSEC requer a imagem universalk9 e a licença SEC pré-instaladas.

Uma maneira rápida de verificar qual licença você possui é emitir o seguinte comando no seu roteador:

show license feature

Isso mostrará quais licenças você adquiriu da Cisco e instalou neste roteador. Você precisa ter certeza de que a licença hseck9 está ativada. Caso contrário, você estará limitado a esse limite de 85 Mbps para tráfego criptografado. Que em circuitos abaixo de 100 Mbps, pode não ser um problema e você pode ignorar com segurança esse problema. De qualquer forma, consulte esta página para obter mais informações sobre a instalação da nova licença após a compra.

Outro comando útil para solucionar isso é:

show platform cerm-information

Isso cuspirá uma lista de informações sobre os limites estabelecidos, incluindo as contagens de pacotes de criptografia / descriptografia com falha, ou fornecerá o seguinte:

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

Mais informações sobre este comando aqui .