セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

VPN 3000 コンセントレータ帯域幅管理機能の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 24 日) | フィードバック


目次


概要

このドキュメントでは、Cisco VPN 3000 コンセントレータで帯域幅管理機能を設定するために必要な手順を説明します。

注: リモートアクセスまたはサイト間VPN トンネルを設定する前に、最初に VPN 3000 コンセントレータのデフォルト帯域幅 ポリシーを設定して下さい

帯域幅管理の 2 つの要素があります:

  • 帯域幅 ポリシング—トンネルトラフィックの最大レートを制限します。 VPN コンセントレータはこの比率を超過するこの比率の下で受信する送信し、トラフィックを廃棄しますトラフィックを。

  • 帯域予約—トンネルトラフィックのために最小帯域幅 比率を確保します。 帯域幅管理はグループおよびユーザに帯域幅を公正に割り当てることを可能にします。 これはある特定のグループかユーザが帯域幅の大半を消費することを防ぎます。

帯域幅管理はトンネルトラフィック(レイヤ2 トンネルプロトコル [L2TP]、ポイント ツー ポイント トンネリング プロトコル[PPTP]、IPSec)にだけ適用し、パブリックインターフェイスに最も一般に適用します。

帯域幅管理機能はリモートアクセスおよびサイト間VPN 接続に管理上の利点を提供します。 リモートアクセス VPN トンネルはブロードバンド ユーザがすべての帯域幅を利用しないように帯域幅 ポリシングを利用します。 逆に、管理者は各リモートサイトに最低限の帯域幅を保証するためにサイト間のトンネルのための帯域予約を設定できます。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェアリリース 4.1.x およびそれ以降が付いている Cisco VPN 3000 コンセントレータ

注: 帯域幅管理機能はリリース 3.6 で導入されました。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

vpn3k-bandwidth-mgt-1.gif

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

VPN 3000 コンセントレータのデフォルト帯域幅 ポリシーを設定して下さい

LAN-to-LAN トンネルまたはリモートアクセストンネルの帯域幅管理を設定できる前にパブリックインターフェイスの帯域幅管理を有効に しなければなりません。 この設定 例では、デフォルト帯域幅 ポリシーは設定されます。 このデフォルトポリシーはそれらによってが VPN コンセントレータでに属するグループに適用される帯域幅管理 ポリシーがないトンネル/ユーザに適用されます。

  1. ポリシーを設定するために、Configuration > Policy Management > Traffic Management > Bandwidth Policies の順に選択 し、『Add』 をクリック して下さい。

    vpn3k-bandwidth-mgt-2.gif

    『Add』 をクリック した後、Modify ウィンドウは表示する。

    vpn3k-bandwidth-mgt-3.gif

  2. Modify ウィンドウのこれらのパラメータを設定 して下さい。

    • ポリシーは name — ポリシーを覚えるのを助けることができるユニークなポリシー名前を入力します。 最大長は 32 文字です。 この例では、ネーム「デフォルト」はポリシー名で設定されます。

    • 帯域予約—各セッションのために最低限の帯域幅を予約するために帯域予約 チェックボックスをチェックして下さい。 この例では、56 キロビットの広帯域/秒はグループの下でころばないすべての VPN ユーザ向けに予約済みです設定される帯域幅管理がある。

    • ポリシング—ポリシングを有効に するためにポリシング チェックボックスをチェックして下さい。 ポリシングレートの値を入力し、測定単位を選択して下さい。 ポリシングレートの下で移動する送信し、すべてのトラフィックを廃棄します VPN コンセントレータはトラフィックをポリシングレートの上で移動する。 96 キロビット/秒は帯域幅 ポリシングのために設定されます。 正常なバースト サイズは VPN コンセントレータがいつでも送信できる即時バーストの量です。 バースト サイズを設定 するために、この数式を使用して下さい:

      (Policing Rate/8) * 1.5

      この数式によって、バースト レートは 18000 バイトです。

  3. [Apply] をクリックします。

  4. 帯域幅タブを Configuration > Interfaces > Public Interface の順に選択 し、インターフェイスにデフォルト帯域幅 ポリシーを適用するためにクリックして下さい。

  5. 帯域幅管理 オプションを有効に して下さい。

  6. リンク レートを規定 して下さい。

    リンク レートはインターネットを通ってネットワーク接続の速度です。 この例でインターネットへの T1 接続は使用されます。 その結果、1544 キロビット/秒は設定 された リンク 比率です。

  7. 帯域幅 ポリシー ドロップダウン リストからポリシーを選択して下さい。

    デフォルトポリシーはこのインターフェイスのために先に設定されます。 ここにいるこのインターフェイスのすべてのユーザ向けのデフォルト帯域幅 ポリシー適用するポリシー。 このポリシーはグループに適用される帯域幅管理 ポリシーがないユーザに適用されます。

    vpn3k-bandwidth-mgt-4.gif

サイト間のトンネルのための帯域幅管理を設定して下さい

サイト間のトンネルのための帯域幅管理を設定するためにこれらのステップを完了して下さい。

  1. Configuration > Policy Management > Traffic Management > Bandwidth Policies の順に選択 し、新しく LAN-to-LAN な 帯域幅 ポリシーを定義するために『Add』 をクリック して下さい。

    この例では、'L2L_tunnel と呼ばれたポリシーは 256 キロビット/秒の帯域予約で設定されました。

    vpn3k-bandwidth-mgt-5.gif

  2. 帯域幅 ポリシー ドロップダウン メニューの下で既存の LAN-to-LAN トンネルに帯域幅 ポリシーを適用して下さい。

    vpn3k-bandwidth-mgt-6.gif

リモート VPN トンネルのための帯域幅管理を設定して下さい

リモート VPN トンネルのための帯域幅管理を設定するためにこれらのステップを完了して下さい。

  1. Configuration > Policy Management > Traffic Management > Bandwidth Policies の順に選択 し、新しい帯域幅 ポリシーを作成するために『Add』 をクリック して下さい。

    この例では、「RA_tunnels」と呼ばれるポリシーは 8 キロビット/秒の帯域予約で設定されます。 トラフィック ポリシングは 24000 バイトの 128 キロビット/秒およびバースト サイズのポリシングレートで設定されます。

    vpn3k-bandwidth-mgt-7.gif

  2. 帯域幅 ポリシーをリモートアクセス VPN グループに適用するために、Configuration > User Management > Groups の順に選択 し、グループを選択し、『Assign Bandwidth Policies』 をクリック して下さい。

    vpn3k-bandwidth-mgt-8.gif

  3. このグループのための帯域幅管理を設定したいと思うインターフェイスをクリックして下さい。

    この例では、'Ethernet2 (パブリック)は「グループのための選択したインターフェイスです。 帯域幅 ポリシーをインターフェイスのグループに適用するために、帯域幅管理はそのインターフェイスで有効に する必要があります。 帯域幅管理が無効であるインターフェイスを選択すれば、警告メッセージが現れます。

    vpn3k-bandwidth-mgt-9.gif

  4. このインターフェイスの VPNグループに帯域幅 ポリシーを選択して下さい。

    RA_tunnels ポリシーはこのグループに、以前に定義された、選択されます。 このグループのために予約するために最小帯域幅の値を入力して下さい。 帯域幅集約のデフォルト値は 0 です。 測定単位の既定の単位はビット/秒です。 グループにインターフェイスの利用可能 な 帯域幅で共有してほしい場合 0 を入力して下さい。

    vpn3k-bandwidth-mgt-10.gif

確認

帯域幅管理を監視するために VPN 3000 コンセントレータで Monitoring > Statistics > Bandwidth Management の順に選択 して下さい。

vpn3k-bandwidth-mgt-11.gif

トラブルシューティング

帯域幅管理が VPN 3000 コンセントレータで設定される間、問題を解決するために、Configuration > System > Events > Classes の下でこれら二つのイベント クラスを有効に して下さい:

  • BMGT (記録 するべき重大度と: 1-9)

  • BMGTDBG (記録 するべき重大度と: 1-9)

これらはいくつかのもっとも一般的な イベントログメッセージです:

  • 帯域幅 ポリシーが修正されるとき集約予約 エラーメッセージを見られますログで超過します

    1 08/14/2002 10:03:10.840 SEV=4 BMGT/47 RPT=2 
    The Policy [ RA_tunnels ] with Reservation [ 8000 bps ] being 
    applied to Group [ipsecgroup ] on Interrface [ 2 ] exceeds 
    the Aggregate Reservation [ 0 bps ] configured for that group.

    このエラーメッセージが表示する場合、グループ設定に戻し、グループから「RA_tunnel」ポリシーを非適用して下さい。 正しい値を用いる「RA_tunnel」を編集し、次に特定のグループに戻ってポリシーを再適用して下さい。

  • インターフェイス 帯域幅を見つけることが不可能。

    11 08/14/2002 13:03:58.040 SEV=4 BMGTDBG/56 RPT=1 
    Could not find interface bandwidth policy 0 for group 1 interface 2.

    帯域幅 ポリシーがインターフェイスで有効に ならないし、LAN-to-LAN トンネルでそれを加えることを試みれば場合このエラーを受け取ることができます。 これが事実である場合、設定で説明されているようにパブリックインターフェイスにポリシーを VPN 3000 コンセントレータ セクションのデフォルト帯域幅 ポリシー適用して下さい

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 60329