Привет, Хабр!

Хочу поделиться историей, которая случилась у нас на днях. Знаете, бывают такие задачи, которые выглядят элементарно, а на деле выливаются в часы головной боли и коллективный поиск виноватого. Вот это был как раз такой случай.

К нам приехал новый маршрутизатор для клиента — Cisco ISR4331/K9. Задача была до смешного простой: настроить на нём Site-to-Site VPN. Дело привычное, делается почти на автомате.

Заходим в консоль, вводим conf t, следом crypto map... и получаем в ответ, что такой команды не существует. Проверяем еще раз — та же ошибка. Первое ощущение — легкое недоумение. Может, опечатка? Нет. Команды просто нет в системе.

Ну, окей, первая мысль — лицензия. Проверяем через show license all. Всё на месте: и securityk9, и hseck9, всё с вечной лицензией PLR (Permanent License Reservation), которая сейчас идет вместо активации через Smart Account. То есть, по всем признакам, функционал для шифрования должен быть доступен. Но его нет.

И вот тут началось то, что знакомо каждому админу. Сначала мы полезли в официальную документацию Cisco. Все гайды, как один, начинались с той самой команды crypto map, которой у нас не было. Потом начали гуглить по форумам — находили в основном темы, где советовали докупить лицензию. Тоже не наш случай.

Нас было трое инженеров, и мы по очереди пробовали одно и то же, надеясь на разный результат. Прошло уже несколько часов. Поставщик оборудования стандартно отвечал, что «железо новое, лицензия есть, дальше разбирайтесь сами». Мы зашли в тупик. Было очевидно, что мы упускаем какую-то мелочь, связанную именно с этим новым типом лицензирования PLR, но какую — было совершенно непонятно.

В какой-то момент, когда все идеи уже закончились, один из коллег просто скопировал нашу проблему в ChatGPT. Больше от безысходности, чем в надежде на результат. И через полминуты молча показал нам свой экран.

Оказалось, что наличие PLR-лицензии само по себе не активирует нужные пакеты. Она лишь дает право на их активацию. А чтобы они заработали, их нужно было явно прописать для загрузки при старте системы.

Вот решение, которое сэкономило бы нам полдня:

Нужно было зайти в режим конфигурации и дать три команды:

license boot level securityk9
license boot level hseck9
license boot level performance```
А потом, сохранив конфигурацию, просто перезагрузить маршрутизатор.
После перезагрузки команда `crypto map` появилась, и дальнейшая настройка заняла минут десять.
Честно говоря, чувство в тот момент было смешанное: с одной стороны — облегчение, а с другой — было немного обидно, что решение оказалось таким простым, а мы потратили на его поиски столько времени.
Эта история для меня не о том, что ИИ скоро всех нас заменит. А о том, что в нашем ящике с инструментами появился еще один. Раньше мы шли на Stack Overflow или в глубокий поиск по форумам, а теперь можем просто спросить. И иногда, как в нашем случае, получить точный и быстрый ответ, сэкономив кучу времени и нервов.
А у вас бывали похожие ситуации, когда решение долгой и мучительной проблемы оказывалось до смешного простым?

Комментарии (1)


  1. Mad_gulls
    10.10.2025 12:05

    Эти команды каждый цискарь еще c 2к серии маршрутизаторов знал - "license boot module".

    И site-to-site VPN можно спокойно на Tunnel интерфейсах поднять, крипотомапы не обязательны. Другое дело что этой командой вы активировали модуль шифрования, а нужны подобные пляски чтобы обойти лишние проблемы на таможне. Средства шифрования K9 нужно декларировать в соответстующих службах и проходить ректальный досмотр.