Cisco 1000 Series Router で IPsec 機能を利用する為に必要なライセンスを紹介致します。
注意事項
本記事は C1100 Series Router として既に販売中の C1111-4P/C1111-8P を元に記載致しております。今後新しい製品が発売された際には実装が異なる可能性があります。
IPsec 関連のライセンス
IPsec に関するライセンスは、以下の3つがあります。
- securityk9 license
- HSEC license
- VPERF license
ライセンスの詳細は以下の通りです。
-IPBase ライセンスに Advanced Security 機能として、IPsec を含む以下のセキュリティーに関わる機能を利用するために必要です。
Zone-Based Firewall / IPsec VPN / DMVPN / FlexVPN / GetVPN
-双方向で50Mbps に VPN のスループットが制限されています。
-輸出規制対象国以外で使用される際、スループットの制限を外して利用頂く為に利用されます。
-利用には、securityk9 ライセンスが適用されている事が必要です。
-IOS-XE 16.7.x 以降の IOS-XE で対応しています。
-IPsec のパフォーマンスを向上させる為のライセンスです。
-輸出規制対象国で使用される際、スループットを輸出規制に適合するレベルで制限します。
-C1111-4P 用では 100Mbps の暗号化スループットを追加する "FL-VPERF-4P-100(=)"ライセンスが発売されております。C1111-8P用では、200Mbps の暗号化スループットを追加する"FL-VPERF-8P-200(=)" ライセンスが発売されています。
-利用には、securityk9 ライセンスが適用されている事が必要です。
輸出規制が変更となり、現在は 双方向で 250Mbps に制限が緩和されています。
また、対地数の規制は廃止されました。
詳細は、EAR 740.17 にてご確認下さい。
HSEC ライセンスと VPERF ライセンスの違い
C1111-4P Router における、暗号化トラッフィクのスループット性能は 150Mbps です。
C1111-8P Router における、暗号化トラフィックのスループット性能は 250Mbps です。
C1111-4P に securityk9 ライセンスを適用した場合、50Mbps に制限されたスループットとなり、
HSEC(無制限) / "FL-VPERF-4P-100(=)" ライセンスを適用する事により、C1111-4P で処理可能な暗号化トラフィックのスループットである、150Mbps まで利用可能となります。
(securityk9 : 50Mbps) + (VPERF : 100Mbps) = 150Mbps
#C1111-8P も同様に 250Mbps まで利用可能となります。
よって、ライセンスによる性能差は無い(実測値では御座いません)とお考え下さい。
ライセンスの有効化方法
1.ライセンス発行の為に PID(Product ID) と SN(Serial Number) の確認
C1111#show license udi
SlotID PID SN UDI
--------------------------------------------------------------------------------
* C1111-8P FGL220991RA C1111-8P:FGL220991RA
2.発行後のライセンスのインストール
C1111#license install flash:license.lic
Installing licenses from "flash:license.lic"
Installing...Feature:hseck9...Success:
1/1 licenses were successfully installed
3.ライセンスの確認
以下の例では、securityk9 が permanent license として適用されています。
C1111#show license detail
<snip>
Index: 7 Feature: securityk9 Version: 1.0
License Type: Permanent
License State: Active, In Use
License Count: Non-Counted
License Priority: Medium
Store Index: 4
Store Name: Primary License Storage
4.ライセンスの有効化
securityk9 license(設定の保存後、再起動が必要です。)
C1111(config)#license boot level securityk9
% use 'write' command to make license boot config take effect on next boot
C1111(config)#do wr
Building configuration...
[OK]
C1111(config)#do reload
Proceed with reload? [confirm]
HSEC license(設定の保存後、再起動が必要です。)
C1111(config)#license feature hseck9
C1111(config)#platform hardware throughput crypto unthrottled
% Please write mem and reload % The config will take effect on next reboot
C1111(config)#do wr Building configuration... [OK]
C1111(config)#do rel C1111(config)#do reload Proceed with reload?
[confirm]
VPERF license(設定の保存後、再起動が必要です。)
C1111(config)#platform hardware throughput crypto 250000 or
% Please write mem and reload % The config will take effect on next reboot
C1111(config)#do wr Building configuration... [OK]
C1111(config)#do rel C1111(config)#do reload Proceed with reload?
[confirm]
5.設定の確認
C1111#show version
<snip>
-----------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------
appxk9 disable None disable
securityk9 securityk9 Permanent securityk9 <<<<<
ipbase ipbasek9 Permanent ipbasek9
C1111#show platform hardware throughput crypto
The current crypto level is unthrottle
VPERF
C1111#show platform hardware throughput crypto
The current crypto level is 250000 kb/s
