Segurança e VPN : Negociação IPSec/Protocolos IKE

Exemplo de configuração do gerenciamento de largura de banda do VPN 3000 concentrator

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (24 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve as etapas necessárias usadas para configurar os recursos de gerenciamento de largura de banda no Cisco VPN 3000 Concentrator para:

Nota: Antes que você configure túneis do Acesso remoto ou do VPN de Site-para-Site, você deve primeiramente configurar uma política da largura de banda padrão no VPN 3000 concentrator.

Há dois elementos do gerenciamento de largura de banda:

  • Policiamento da largura de banda — Limita a taxa máxima do tráfego em túnel. O concentrador VPN transmite o tráfego que recebe abaixo desta taxa e as gotas traficam que excede esta taxa.

  • Reserva de largura de banda — Reservam uma taxa da largura de banda mínima para o tráfego em túnel. O gerenciamento de largura de banda permite que você atribua a largura de banda aos grupos e aos usuários equitativamente. Isto impede que os determinados grupos ou usuários consumam uma maioria da largura de banda.

O gerenciamento de largura de banda aplica-se somente ao tráfego em túnel (protocolo de túnel [L2TP] da camada 2, [PPTP] ponto a ponto do protocolo de tunelamento, IPsec) e é-se o mais geralmente aplicado à interface pública.

Os recursos de gerenciamento de largura de banda fornecem benefícios administrativos às conexões do Acesso remoto e do VPN de Site-para-Site. Os túneis do acesso remoto VPN utilizam a largura de banda que policia de modo que os usuários de banda larga não utilizem toda a largura de banda. Inversamente, o administrador pode configurar a reserva de largura de banda para que os túneis de site para site garantam uma quantidade mínima de largura de banda a cada local remoto.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco VPN 3000 Concentrator com Software Release 4.1.x e Mais Recente

Nota: Os recursos de gerenciamento de largura de banda foram introduzidos na liberação 3.6.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

vpn3k-bandwidth-mgt-1.gif

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar uma política da largura de banda padrão no VPN 3000 concentrator

Antes que você possa configurar o gerenciamento de largura de banda nos túneis de LAN para LAN ou nos túneis de acesso remoto, você tem que permitir o gerenciamento de largura de banda na interface pública. Nesta configuração de exemplo, uma política da largura de banda padrão é configurada. Esta política padrão é aplicada aos usuários/túneis que não têm uma política de gerenciamento de largura de banda aplicada ao grupo que pertencem no concentrador VPN.

  1. Para configurar uma política, o configuração > gerenciamento de política > gerenciamento de tráfego seleto > as políticas de largura de banda, e clique adicionam.

    vpn3k-bandwidth-mgt-2.gif

    Depois que você clique adiciona, o indicador da alteração está indicado.

    vpn3k-bandwidth-mgt-3.gif

  2. Ajuste estes parâmetros no indicador da alteração.

    • Nome da política — Dê entrada com um nome da política exclusiva que possa o ajudar a recordar a política. O comprimento máximo é 32 caráteres. Neste exemplo, o nome “padrão” é configurado como o nome da política.

    • Reserva de largura de banda — Verifique a caixa de verificação da reserva de largura de banda para reservar uma quantidade mínima de largura de banda para cada sessão. Neste exemplo, 56 kbps da largura de banda são reservados para todos os usuários VPN que não caem sob um grupo que tenha o gerenciamento de largura de banda configurado.

    • Policiar — Verifique a caixa de verificação de policiamento para permitir o policiamento. Incorpore um valor para a taxa de vigilância e selecione a unidade de medida. O concentrador VPN transmite o tráfego que se move abaixo da taxa de vigilância e deixa cair todo o tráfego que se move acima da taxa de vigilância. 96 kbps são configurados para o policiamento da largura de banda. O tamanho de intermitência normal é a quantidade de explosão instantânea que o concentrador VPN pode enviar a um momento determinado. Para ajustar o tamanho de intermitência, use esta fórmula:

      (Policing Rate/8) * 1.5

      Com esta fórmula, a taxa de intermitência é 18000 bytes.

  3. Clique em Apply.

  4. Selecione o configuração > interfaces > a interface pública e clique sobre a aba da largura de banda para aplicar a política da largura de banda padrão a uma relação.

  5. Permita a opção do gerenciamento de largura de banda.

  6. Especifique a taxa de enlace.

    A taxa de enlace está a uma velocidade da conexão de rede através do Internet. Neste exemplo uma conexão T1 ao Internet é usada. Consequentemente, 1544 kbps são a taxa do link configurado.

  7. Selecione uma política da lista de drop-down da política de largura de banda.

    A política padrão é configurada mais cedo para esta relação. A política que você se aplica é aqui uma política da largura de banda padrão para todos os usuários nesta relação. Esta política é aplicada aos usuários que não têm uma política de gerenciamento de largura de banda aplicada a seu grupo.

    vpn3k-bandwidth-mgt-4.gif

Configurar o gerenciamento de largura de banda para túneis de site para site

Termine estas etapas para configurar o gerenciamento de largura de banda para túneis de site para site.

  1. Selecione o configuração > gerenciamento de política > gerenciamento de tráfego > as políticas de largura de banda e o clique adiciona para definir uma política de largura de banda nova do LAN para LAN.

    Neste exemplo, uma política chamada 'L2L_tunnel foi configurada com uma reserva de largura de banda dos kbps 256.

    vpn3k-bandwidth-mgt-5.gif

  2. Aplique a política de largura de banda ao túnel de LAN para LAN existente sob o menu suspenso da política de largura de banda.

    vpn3k-bandwidth-mgt-6.gif

Configurar o gerenciamento de largura de banda para túneis remotos VPN

Termine estas etapas para configurar o gerenciamento de largura de banda para túneis remotos VPN.

  1. Selecione o configuração > gerenciamento de política > gerenciamento de tráfego > as políticas de largura de banda e o clique adiciona para criar uma política de largura de banda nova.

    Neste exemplo, uma política chamada “RA_tunnels” é configurada com uma reserva de largura de banda de 8 kbps. O Policiamento de tráfego é configurado com uma taxa de vigilância dos kbps 128 e de um tamanho de intermitência de 24000 bytes.

    vpn3k-bandwidth-mgt-7.gif

  2. Para aplicar a política de largura de banda a um grupo do acesso remoto VPN, o configuration > user management seleto > os grupos, selecionar seu grupo, e clique atribuem políticas de largura de banda.

    vpn3k-bandwidth-mgt-8.gif

  3. Clique a relação em que você quer configurar o gerenciamento de largura de banda para este grupo.

    Neste exemplo, 'Ethernet2 (público) 'é a interface selecionada para o grupo. Para aplicar uma política de largura de banda a um grupo em uma relação, o gerenciamento de largura de banda deve ser permitido nessa relação. Se você escolhe uma relação em que o gerenciamento de largura de banda está desabilitado, um mensagem de advertência aparece.

    vpn3k-bandwidth-mgt-9.gif

  4. Selecione a política de largura de banda para o grupo de VPN para esta relação.

    A política de RA_tunnels, que foi definida previamente, é selecionada para este grupo. Incorpore um valor para que a largura de banda mínima reserve para este grupo. O valor padrão da agregação de largura de banda é 0. A unidade de medida do padrão é bps. Se você quer o grupo compartilhar na largura de banda disponível na relação, incorpore 0.

    vpn3k-bandwidth-mgt-10.gif

Verificar

Selecione a monitoração > as estatísticas > o gerenciamento de largura de banda no VPN 3000 concentrator para monitorar o gerenciamento de largura de banda.

vpn3k-bandwidth-mgt-11.gif

Troubleshooting

Para pesquisar defeitos todos os problemas quando o gerenciamento de largura de banda for executado no VPN 3000 concentrator, permita estas duas classes de evento sob o configuração > sistema > eventos > classes:

  • BMGT (com a severidade a registrar: 1-9)

  • BMGTDBG (com a severidade a registrar: 1-9)

Estes são alguns dos mensagens de Log de evento os mais comuns:

  • Excede o Mensagem de Erro da reserva agregada está visto nos logs quando uma política de largura de banda é alterada.

    1 08/14/2002 10:03:10.840 SEV=4 BMGT/47 RPT=2 
    The Policy [ RA_tunnels ] with Reservation [ 8000 bps ] being 
    applied to Group [ipsecgroup ] on Interrface [ 2 ] exceeds 
    the Aggregate Reservation [ 0 bps ] configured for that group.

    Se este Mensagem de Erro é indicado, retorne às configurações de grupo e un-aplique a política de “RA_tunnel” do grupo. Edite o “RA_tunnel” com os valores corretos e reaplique então a política de volta ao grupo específico.

  • Incapaz de encontrar a largura de banda de interface.

    11 08/14/2002 13:03:58.040 SEV=4 BMGTDBG/56 RPT=1 
    Could not find interface bandwidth policy 0 for group 1 interface 2.

    Você pode receber este erro se a política de largura de banda não está permitida na relação e você tenta a aplicar no túnel de LAN para LAN. Se este é o caso, aplique uma política à interface pública como explicado configurar uma política da largura de banda padrão na seção do VPN 3000 concentrator.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 60329