Cisco ISR G2加密带宽限制？

我一直在抱怨几个新的远程站点的“连接缓慢”。

这些站点通过MPLS L3VPN服务连接到Cisco 2921，我们正在使用Cisco GET-VPN加密我们位置之间的流量。所有位置都具有100Mbps或1Gbps电路，因此速度不成问题。

但是，在从一个位置到已知的工作位置进行iperf测试时，我发现我的带宽达到了约85Mbps。

对2921的进一步调查显示，在日志中多次出现以下错误消息：

006555: Jan  3 08:19:09.573 EST: %CERM-4-TX_BW_LIMIT: Maximum Tx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.
006556: Jan  3 11:21:37.069 EST: %CERM-4-RX_BW_LIMIT: Maximum Rx Bandwidth limit of 85000 Kbps reached for Crypto functionality with securityk9 technology package license.

我已验证我们使用2821的旧位置没有此问题...这与IOS 15，ISR Gen2或两者都有关系吗？

您正在遇到第二代ISR有趣的新限制之一。

我假设您已经安装了基本的“安全”许可包，如消息的这一部分所述：

securityk9 technology package license

但是，securityk9软件包是该许可证的Cisco“无限制出口”版本，将人为地限制您。您需要hseck9软件包。见这以获取更多信息白皮书。它部分说：

HSEC-K9许可证消除了美国政府对加密隧道数和加密吞吐量的出口限制所施加的限制。HSEC-K9仅在Cisco 2921，Cisco 2951，Cisco 3925，Cisco 3945，Cisco 3925E和Cisco 3945E上可用。

凭借HSEC-K9许可证，ISR G2路由器可以突破最大225条隧道的限制限制，以实现IP安全性（IPsec）和进出ISR G2路由器的85 Mbps单向流量的加密吞吐量，双向总计为170 Mbps。

思科1941、2901和2911在出口限制范围内已经具有最大的加密能力。HSEC许可证需要预安装Universalk9映像和SEC许可证。

检查您拥有哪个许可证的快速方法是在路由器上发出以下命令：

show license feature

这将显示您从思科购买并且安装在此路由器上的许可证。您需要确保已启用hseck9许可证。否则，您将被限制为加密流量的85Mbps限制。在低于100Mbps的电路上哪个可能不是问题，您可以放心地忽略此问题。无论哪种方式，请在购买新许可证后查看此页面以获取有关安装新许可证的更多信息。

另一个方便的故障排除命令是：

show platform cerm-information

这将吐出有关限制的信息列表，包括失败的加密/解密数据包计数，或者将为您提供以下信息：

router-1#show platform cerm-information 
Crypto Export Restrictions Manager(CERM) Information:
 CERM functionality: DISABLED

有关此命令的更多信息，请参见此处。