Cisco IOSXE/SDWAN HSEC License Install

记录下 IOS XE/SDWAN 下的 HSEC 安装的一些注意事项和步骤。

HSEC License 旨在提高设备的加密流量的带宽，部分设备如 C8300/8000v/1000v 等如果不安装该 license， 最大的加密带宽无法超过 250M。

当达到 250M 的时候，会有如下类似的 log 产生:

*Oct 29 10:06:34.159: %IOSXE-4-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:001 TS:00000000347481004399 %CERM_DP-4-DP_TX_BW_LIMIT: Maximum Tx Bandwidth limit of 250000 Kbps reached for Crypto functionality with securityk9 technology package license.

IOSXE / Autonomous Mode

#

以下步骤只是测试过的一个步骤， 非唯一方式. 以下测试基于17.12.4和 C8300.

Router(config)#license feature hseck9
Router#license smart authorization request add hseck9 local
Router#license smart authorization request save bootflash:slac.txt
Router#copy bootflash:slac.txt usb0:

访问 Smart License 网站，上传 USB 中的 slac.txt, 等待片刻便可在相同界面下载 Acknowledgement 文件

Router# copy usb0:ACK_slac.txt bootflash:
Router# license smart import bootflash:ACK_slac.txt

检查如下信息， HSEC 应该在 IN USE 状态。

# show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
hseck9 (DNA_HSEC) 1 IN USE     <<<<<<<<<<

这个时候你就可以配置更高的加密带宽platform hardware throughput crypto XXXX.

SDWAN / Control Mode

#

需要注意的是 HSEC License 从 17.9.2a 开始 license 都转换成统一的 PID DNA-HSEC， 如下:

如果您需要安装则需要 follow 以下步骤:

参考以下文档， 先去 CCW 去 order 一个 0 USD 的升级 license， order 后对已有的 license 进行一个升级， 转换成 DNA-HSEC （如果自己的账号下已有 DNA-HSEC license 则可以忽略这一步）.

Depending on the number of device-specific HSECK9 licenses you want to convert, order the corresponding number of spare upgrade-license PIDs on Cisco commerce workspace (CCW). Use part number DNA-HSEC-UPGD=. The unit list price for this PID is USD 0.00.

Convert specific hseck9 license

转换完成后, 一般参考以下文档分享的Offline Method To CSSM。离线去激活设备的 HSEClicense。

检查命令

#

show license all
show license usage
show license eventlog
show license history message
show license authorization
show run
show platform hardware throughput crypto
show version