Seguridad y VPN : Negociación IPSec/Protocolos IKE

Ejemplo de configuración concentrador VPN 3000 de la administración del ancho de banda

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (24 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe los pasos necesarios usados para configurar la función de administración del ancho de banda en el Cisco VPN 3000 Concentrator para:

Nota: Antes de que usted configure los túneles del Acceso Remoto o del VPN de sitio a sitio, usted debe primero configurar una directiva del ancho de banda predeterminado en el concentrador VPN 3000.

Hay dos elementos de la administración del ancho de banda:

  • Policing del ancho de banda — Limita la velocidad máxima de tráfico de túnel. El concentrador VPN transmite el tráfico que recibe debajo de esta tarifa y los descensos trafican que exceda esta tarifa.

  • Reserva de ancho de banda — Ponen una tarifa del ancho de banda mínima a un lado para el tráfico de túnel. La administración del ancho de banda permite que usted afecte un aparato el ancho de banda a los grupos y a los usuarios equitativo. Esto evita que los ciertos grupos o usuarios consuman a una mayoría del ancho de banda.

La administración del ancho de banda se aplica solamente al tráfico de túnel (Tunnel Protocol de la capa 2 [L2TP], Tunneling Protocol de punto a punto [PPTP], IPSec) y es lo más comúnmente posible aplicada a la interfaz pública.

La función de administración del ancho de banda proporciona las ventajas administrativas a las conexiones del Acceso Remoto y del VPN de sitio a sitio. Los túneles del VPN de acceso remoto utilizan el policing del ancho de banda de modo que los usuarios de banda ancha no utilicen todo el ancho de banda. Inversamente, el administrador puede configurar la reserva de ancho de banda para que los túneles del sitio a localizar garanticen una cantidad mínima de ancho de banda a cada sitio remoto.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco VPN 3000 Concentrator con los Software Release 4.1.x y Posterior

Nota: La función de administración del ancho de banda fue introducida en la versión 3.6.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

vpn3k-bandwidth-mgt-1.gif

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Configure una directiva del ancho de banda predeterminado en el concentrador VPN 3000

Antes de que usted pueda configurar la administración del ancho de banda en los túneles de LAN a LAN o en los túneles de acceso remoto, usted tiene que habilitar la administración del ancho de banda en la interfaz pública. En esta configuración de muestra, se configura una directiva del ancho de banda predeterminado. Esta política predeterminada se aplica a los usuarios/a los túneles que no tienen una directiva de administración del ancho de banda aplicada al grupo que pertenecen en al concentrador VPN.

  1. Para configurar una directiva, seleccione el Configuration (Configuración) > Policy Management (Administración de políticas) > Traffic Management (Administración de tráfico) > las políticas de ancho de banda, y el haga click en Add

    vpn3k-bandwidth-mgt-2.gif

    Después de que usted tecleo agregue, se visualiza la ventana de la modificación.

    vpn3k-bandwidth-mgt-3.gif

  2. Fije estos parámetros en la ventana de la modificación.

    • Nombre de la directiva — Ingrese un nombre de la política única que pueda ayudarle a recordar la directiva. El Largo máximo es 32 caracteres. En este ejemplo, el nombre “valor por defecto” se configura como el nombre de la directiva.

    • Reserva de ancho de banda — Marque la casilla de verificación de la reserva de ancho de banda para reservar una cantidad mínima de ancho de banda para cada sesión. En este ejemplo, 56 kbps del ancho de banda son reservados para todos los usuarios de VPN que no se caen bajo grupo que tenga la administración del ancho de banda configurada.

    • Vigilancia — Marque la casilla de verificación del policing para habilitar el policing. Ingrese un valor para la velocidad de tráfico ordenado y seleccione la unidad de medida. El concentrador VPN transmite el tráfico que se mueve debajo de la velocidad de tráfico ordenado y cae todo el tráfico que se mueva sobre la velocidad de tráfico ordenado. 96 kbps se configuran para el policing del ancho de banda. El tamaño de ráfaga normal es la cantidad de explosión instantánea que el concentrador VPN puede enviar en cualquier momento. Para fijar el tamaño de ráfaga, utilice esta fórmula:

      (Policing Rate/8) * 1.5

      Con esta fórmula, la velocidad de ráfaga es 18000 bytes.

  3. Haga clic en Apply (Aplicar).

  4. Seleccione el Configuration (Configuración) > Interfaces (Interfaces) > la interfaz pública y haga clic en la lengueta del ancho de banda para aplicar la directiva del ancho de banda predeterminado a una interfaz.

  5. Habilite la opción de la administración del ancho de banda.

  6. Especifique la velocidad de link.

    La velocidad de link es la velocidad de la conexión de red a través de Internet. En este ejemplo una conexión T1 a Internet se utiliza. Por lo tanto, 1544 kbps son la tarifa del link configurado.

  7. Seleccione una directiva de la lista desplegable de la política de ancho de banda.

    La política predeterminada se configura anterior para esta interfaz. La directiva que usted se aplica aquí es una directiva del ancho de banda predeterminado para todos los usuarios en esta interfaz. Esta directiva se aplica a los usuarios que no tienen una directiva de administración del ancho de banda aplicada a su grupo.

    vpn3k-bandwidth-mgt-4.gif

Administración del ancho de banda de la configuración para los túneles del sitio a localizar

Complete estos pasos para configurar la administración del ancho de banda para los túneles del sitio a localizar.

  1. Seleccione el Configuration (Configuración) > Policy Management (Administración de políticas) > Traffic Management (Administración de tráfico) > las políticas de ancho de banda y el tecleo agrega para definir una nueva política de ancho de banda del LAN a LAN.

    En este ejemplo, una directiva llamada 'L2L_tunnel fue configurada con una reserva de ancho de banda del kbps 256.

    vpn3k-bandwidth-mgt-5.gif

  2. Aplique la política de ancho de banda al túnel de LAN a LAN existente bajo menú desplegable de la política de ancho de banda.

    vpn3k-bandwidth-mgt-6.gif

Configure la administración del ancho de banda para los túneles remotos VPN

Complete estos pasos para configurar la administración del ancho de banda para los túneles remotos VPN.

  1. Seleccione el Configuration (Configuración) > Policy Management (Administración de políticas) > Traffic Management (Administración de tráfico) > las políticas de ancho de banda y el tecleo agrega para crear una nueva política de ancho de banda.

    En este ejemplo, una directiva llamada “RA_tunnels” se configura con una reserva de ancho de banda de 8 kbps. La Vigilancia de tráfico se configura con una velocidad de tráfico ordenado del kbps 128 y un tamaño de ráfaga de 24000 bytes.

    vpn3k-bandwidth-mgt-7.gif

  2. Para aplicar la política de ancho de banda a un grupo del VPN de acceso remoto, el Configuration (Configuración)>User Management (Administración del usuario) >Groups (Grupos) selecto, seleccionar a su grupo, y el tecleo asignan las políticas de ancho de banda.

    vpn3k-bandwidth-mgt-8.gif

  3. Haga clic la interfaz en la cual usted quiere configurar la administración del ancho de banda para este grupo.

    En este ejemplo, 'Ethernet2 (público) 'es la interfaz seleccionada para el grupo. Para aplicar una política de ancho de banda a un grupo en una interfaz, la administración del ancho de banda debe ser habilitada en esa interfaz. Si usted elige una interfaz en la cual inhabiliten a la administración del ancho de banda, un mensaje de advertencia aparece.

    vpn3k-bandwidth-mgt-9.gif

  4. Seleccione la política de ancho de banda para el grupo VPN para esta interfaz.

    La directiva de RA_tunnels, que fue definida previamente, se selecciona para este grupo. Ingrese un valor para que el ancho de banda mínima reserve para este grupo. El valor predeterminado del agrupamiento de ancho de banda es 0. La unidad de medida predeterminada es BPS. Si usted quisiera que el grupo compartiera en el ancho de banda disponible en la interfaz, ingrese 0.

    vpn3k-bandwidth-mgt-10.gif

Verificación

Seleccione la supervisión > las estadísticas > la administración del ancho de banda en el concentrador VPN 3000 para monitorear la administración del ancho de banda.

vpn3k-bandwidth-mgt-11.gif

Troubleshooting

Para resolver problemas cualquier problema mientras que implementan a la administración del ancho de banda en el concentrador VPN 3000, habilite estas dos clases de evento bajo el Configuration (Configuración) > System (Sistema) > Events (Eventos) > Classes (Clases):

  • BMGT (con la gravedad a registrar: 1-9)

  • BMGTDBG (con la gravedad a registrar: 1-9)

Éstos son algunos de la mayoría de los mensajes del registro del evento usual:

  • Excede el mensaje de error de la reserva total se ve en los registros cuando se modifica una política de ancho de banda.

    1 08/14/2002 10:03:10.840 SEV=4 BMGT/47 RPT=2 
    The Policy [ RA_tunnels ] with Reservation [ 8000 bps ] being 
    applied to Group [ipsecgroup ] on Interrface [ 2 ] exceeds 
    the Aggregate Reservation [ 0 bps ] configured for that group.

    Si se visualiza este mensaje de error, vuelva a las configuraciones de grupo y O.N.U-aplique la directiva de “RA_tunnel” del grupo. Edite el “RA_tunnel” con los valores correctos y después reaplique la directiva de nuevo al grupo específico.

  • Incapaz de encontrar el ancho de banda de la interfaz.

    11 08/14/2002 13:03:58.040 SEV=4 BMGTDBG/56 RPT=1 
    Could not find interface bandwidth policy 0 for group 1 interface 2.

    Usted puede recibir este error si la política de ancho de banda no se habilita en la interfaz y usted intenta aplicarla en el túnel de LAN a LAN. Si éste es el caso, aplique una directiva a la interfaz pública como se explica en la configuración una directiva del ancho de banda predeterminado en la sección concentradora VPN 3000.


Información Relacionada


Document ID: 60329