安全与 VPN : IPSec 协商/IKE 协议

VPN 3000集中器带管理宽配置示例

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 24 日) | 反馈


目录


简介

本文描述用于的必要的步骤配置在Cisco VPN 3000集中器的带宽管理功能为:

注意: 在您配置远程访问或站点到站点VPN通道前,您必须首先配置在VPN 3000集中器的一项默认带宽策略

有带宽管理的两个元素:

  • 带宽管制—限制最大速率通道流量。在此速率之下收到的VPN集中器传输流量并且降低超出此速率的流量。

  • 带宽预留—为通道流量留出最小带宽速率。带宽管理允许您分配带宽到组和用户公平地。这防止某些组或用户消耗带宽的大多数。

带宽管理仅适用于通道流量(Layer2隧道协议[L2TP],点对点隧道协议[PPTP], IPSec)并且通常适用对公共接口。

带宽管理功能提供管理好处给远程访问和站点到站点VPN连接。远程访问VPN通道使用带宽管制,以便宽带用户不使用所有带宽。相反地,管理员能配置站点到站点通道的带宽预留能保证最低限度的带宽到每个远程站点。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco VPN 3000集中器用软件版本4.1.x和以上

注意: 带宽管理功能在版本3.6介绍。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

网络图

本文档使用以下网络设置:

vpn3k-bandwidth-mgt-1.gif

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置在VPN 3000集中器的默认带宽策略

在您能配置带宽管理在LAN-to-LAN隧道或在远程访问隧道前,您必须启用在公共接口的带宽管理。在此配置示例中,默认带宽策略配置。此默认策略应用到没有带宽管理管理方针应用对组他们属于在VPN集中器的用户/通道。

  1. 要配置策略,选择Configuration > Policy Management > Traffic Management >带宽策略,和单击添加

    vpn3k-bandwidth-mgt-2.gif

    在您单击后请添加, Modify窗口显示。

    vpn3k-bandwidth-mgt-3.gif

  2. 设置在Modify窗口的这些参数。

    • 策略名称—输入可帮助您记住策略的一唯一策略名称。最大长度是32个字符。在本例中,命名‘默认’配置作为策略名称。

    • 带宽预留—检查带宽预留复选框保留每会话的最低限度的带宽。在本例中, 56 kbps带宽为不属于组安排带宽管理配置的所有VPN用户保留。

    • 修正—检查管制复选框启用管制。输入策略速率的一个值并且选择测量单位。VPN集中器传输在策略速率之下移动的流量并且降低在策略速率上移动的所有流量。96 Kbps为带宽管制配置。正常突发流量大小是VPN集中器能在指定时候发送的相当数量瞬间突发流量。要设置突发流量大小,请使用此公式:

      (Policing Rate/8) * 1.5

      使用此公式,突发速率是18000个字节。

  3. 单击 Apply

  4. 选择Configuration > Interfaces >公共接口并且点击带宽连接方式运用默认带宽策略到接口。

  5. 启用带宽管理选项。

  6. 指定链路速率。

    链路速率是网络连接的速度通过互联网。在本例中使用对互联网的一T1连接。结果, 1544 Kbps是配置的链接速率。

  7. 选择从带宽策略下拉列表的一项策略。

    默认策略为此接口配置前。您运用这的策略是所有用户的一项默认带宽策略此接口的。此策略应用给没有带宽管理管理方针应用对他们的组的用户。

    vpn3k-bandwidth-mgt-4.gif

配置站点到站点通道的带宽管理

完成这些步骤配置站点到站点通道的带宽管理。

  1. 选择Configuration > Policy Management > Traffic Management >带宽策略并且单击添加定义一项新的LAN对LAN带宽策略。

    在本例中,呼叫'L2L_tunnel'的策略配置与256 Kbps带宽预留。

    vpn3k-bandwidth-mgt-5.gif

  2. 适用于带宽策略现有LAN-to-LAN隧道在带宽策略下拉菜单下。

    vpn3k-bandwidth-mgt-6.gif

配置远程VPN通道的带宽管理

完成这些步骤配置远程VPN通道的带宽管理。

  1. 选择Configuration > Policy Management > Traffic Management >带宽策略并且单击添加创建一项新的带宽策略。

    在本例中,呼叫‘RA_tunnel的策略配置与8 Kbps带宽预留。流量监管配置与策略速率128 Kbps和突发流量大小24000个字节。

    vpn3k-bandwidth-mgt-7.gif

  2. 要运用带宽策略对远程访问VPN组,选择Configuration > User Management > Groups,选择您的组,和单击分配带宽策略

    vpn3k-bandwidth-mgt-8.gif

  3. 点击您要配置此组的带宽管理的接口。

    在本例中, 'Ethernet2 (公共) ‘是组的所选接口。要运用带宽策略对接口的一组,在该接口必须启用带宽管理。如果选择带宽管理禁用的接口,警告消息出现。

    vpn3k-bandwidth-mgt-9.gif

  4. 选择VPN组的带宽策略此接口的。

    RA_tunnel策略,以前定义,为此组选择。输入最小带宽的一个值为此组保留。默认值带宽汇聚是0。默认测量单位是位/秒。如果在接口的可用的带宽希望组共享,输入0

    vpn3k-bandwidth-mgt-10.gif

验证

选择在监控带宽管理的VPN 3000集中器的Monitoring>统计信息>带宽管理

vpn3k-bandwidth-mgt-11.gif

故障排除

要排除故障所有问题,当带宽管理在VPN 3000集中器时实现,请启用这两个事件类在Configuration > System > Events > Classes下

  • BMGT (以记录的严重性:1-9)

  • BMGTDBG (以记录的严重性:1-9)

这些是某些最普通的事件日志消息:

  • 当修改时,在日志超出总预留错误消息被看到带宽策略。

    1 08/14/2002 10:03:10.840 SEV=4 BMGT/47 RPT=2 
    The Policy [ RA_tunnels ] with Reservation [ 8000 bps ] being 
    applied to Group [ipsecgroup ] on Interrface [ 2 ] exceeds 
    the Aggregate Reservation [ 0 bps ] configured for that group.

    如果此错误消息显示,请回到组设置和未应用从组的‘RA_tunnel’策略。编辑‘RA_tunnel’与正确值然后重新应用策略回到特定组。

  • 无法查找接口带宽。

    11 08/14/2002 13:03:58.040 SEV=4 BMGTDBG/56 RPT=1 
    Could not find interface bandwidth policy 0 for group 1 interface 2.

    您可以收到此错误,如果带宽策略在接口没有启用,并且在LAN-to-LAN隧道设法应用它。如果这是实际情形,请运用策略对公共接口按照配置说明在VPN 3000集中器部分的一项默认带宽策略


相关信息


Document ID: 60329