Te encuentras con una de las nuevas y divertidas restricciones de ISR Generation 2.
Supongo que tiene instalado el paquete básico de licencias de "seguridad" como se indica en esta parte del mensaje:
securityk9 technology package license
Sin embargo, el paquete securityk9 es la versión de "exportación sin restricciones" de Cisco de esa licencia y lo limitará artificialmente. Necesita el paquete hseck9. Consulte este documento técnico para obtener más información. Dice en parte:
La licencia HSEC-K9 elimina la limitación impuesta por las restricciones de exportación del gobierno de los EE. UU. En el recuento de túneles cifrados y el rendimiento cifrado. HSEC-K9 está disponible solo en Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E y Cisco 3945E.
Con la licencia HSEC-K9, el enrutador ISR G2 puede superar el límite de restricción de 225 túneles como máximo para la seguridad IP (IPsec) y el rendimiento cifrado del tráfico unidireccional de 85 Mbps dentro o fuera del enrutador ISR G2, con un total bidireccional de 170 Mbps.
Cisco 1941, 2901 y 2911 ya tienen capacidades máximas de cifrado dentro de los límites de exportación. La licencia HSEC requiere la imagen universalk9 y la licencia SEC preinstalada.
Una forma rápida de verificar qué licencia tiene, es emitir el siguiente comando en su enrutador:
show license feature
Esto le mostrará qué licencias adquirió de Cisco e instaló en este enrutador. Debe asegurarse de que la licencia hseck9 esté habilitada. De lo contrario, estará limitado a ese límite de 85 Mbps para el tráfico encriptado. Lo cual en circuitos por debajo de 100Mbps, podría no ser un problema, y podría ignorar este problema con seguridad. De cualquier manera, consulte esta página para obtener más información sobre la instalación de la nueva licencia una vez que la compre.
Otro comando útil para solucionar este problema es:
show platform cerm-information
Esto generará una lista de información sobre los límites establecidos, incluidos los recuentos de paquetes de cifrado / descifrado fallidos, o le dará lo siguiente:
router-1#show platform cerm-information
Crypto Export Restrictions Manager(CERM) Information:
CERM functionality: DISABLED
Más información sobre este comando aquí .