VPN 3000集中器带管理宽配置示例

简介

本文档介绍在Cisco VPN 3000集中器上配置带宽管理功能的必要步骤，用于：

• 站点到站点（LAN到LAN）VPN隧道

• 远程访问VPN隧道

注意：在配置远程访问或站点到站点VPN隧道之前，必须先在VPN 3000集中器上配置默认带宽策略。

带宽管理有两个要素：

• Bandwidth Policing — 限制隧道流量的最大速率。VPN集中器以低于此速率传输其收到的流量，并丢弃超过此速率的流量。

• Bandwidth Reservation — 为隧道流量保留最小带宽速率。带宽管理允许您公平地将带宽分配给组和用户。这可以防止某些组或用户消耗大部分带宽。

带宽管理仅适用于隧道流量（第2层隧道协议[L2TP]、点对点隧道协议[PPTP]、IPSec），最常应用于公共接口。

带宽管理功能为远程访问和站点到站点VPN连接提供管理优势。远程访问VPN隧道使用带宽策略，因此宽带用户不会使用所有带宽。相反，管理员可以为站点到站点隧道配置带宽预留，以保证每个远程站点的最低带宽量。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 带软件版本4.1.x及更高版本的Cisco VPN 3000集中器

注意：3.6版中引入了带宽管理功能。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

网络图

本文档使用以下网络设置：

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

在VPN 3000集中器上配置默认带宽策略

在LAN到LAN隧道或远程访问隧道上配置带宽管理之前，必须在公共接口上启用带宽管理。在此示例配置中，配置了默认带宽策略。此默认策略应用于没有将带宽管理策略应用于VPN集中器中所属组的用户/隧道。

1. 要配置策略，请选择Configuration > Policy Management > Traffic Management > Bandwidth Policies，然后单击Add。

   

   点击添加后，将显示修改窗口。

   

2. 在“修改”窗口中设置这些参数。

   • 策略名称 — 输入可帮助您记住策略的唯一策略名称。最大长度为32个字符。在本例中，名称“Default”配置为策略名称。

   • Bandwidth Reservation — 选中Bandwidth Reservation复选框以为每个会话保留最小带宽量。在本示例中，为不属于已配置带宽管理的组的所有VPN用户保留56 kbps的带宽。

   • 策略 — 选中策略复选框以启用策略。输入管制速率值并选择度量单位。VPN集中器传输低于策略速率的流量，并丢弃高于策略速率的所有流量。96 kbps配置为带宽管制。正常突发大小是VPN集中器在任何给定时间可以发送的瞬时突发量。要设置突发大小，请使用以下公式：

     (Policing Rate/8) * 1.5

     使用此公式，突发速率为18000字节。

3. 单击 Apply。

4. 选择Configuration > Interfaces > Public Interface，然后单击Bandwidth选项卡将默认带宽策略应用到接口。

5. 启用带宽管理选项。

6. 指定链路速率。

   链路速率是通过Internet的网络连接速度。在本例中，使用T1连接到Internet。因此，1544 kbps是配置的链路速率。

7. 从Bandwidth Policy下拉列表中选择策略。

   此接口之前配置了默认策略。此处应用的策略是此接口上所有用户的默认带宽策略。此策略适用于没有对其组应用带宽管理策略的用户。

   

配置站点到站点隧道的带宽管理

完成以下步骤，为站点到站点隧道配置带宽管理。

1. 选择Configuration > Policy Management > Traffic Management > Bandwidth Policies，然后单击Add定义新的LAN到LAN带宽策略。

   在本示例中，名为“L2L_tunnel”的策略配置了256 kbps的带宽预留。

   

2. 在Bandwidth Policy下拉菜单下，将带宽策略应用于现有LAN到LAN隧道。

   

配置远程VPN隧道的带宽管理

完成以下步骤，为远程VPN隧道配置带宽管理。

1. 选择Configuration > Policy Management > Traffic Management > Bandwidth Policies，然后单击Add以创建新的带宽策略。

   在本例中，名为“RA_tunnels”的策略配置了8 kbps的带宽预留。流量管制配置了128 kbps的管制速率和24000字节的突发大小。

   

2. 要将带宽策略应用到远程访问VPN组，请选择Configuration > User Management > Groups，选择您的组，然后单击Assign Bandwidth Policies。

   

3. 单击要为此组配置带宽管理的接口。

   在本例中，“Ethernet2(Public)”是组的选定接口。要将带宽策略应用到接口上的组，必须在该接口上启用带宽管理。如果选择禁用带宽管理的接口，则会显示警告消息。

   

4. 为此接口的VPN组选择带宽策略。

   为此组选择之前定义的RA_tunnels策略。输入要为此组保留的最小带宽值。带宽聚合的默认值为0。默认测量单位为bps。如果希望组共享接口上的可用带宽，请输入0。

   

验证

在VPN 3000集中器上选择Monitoring > Statistics > Bandwidth Management以监控带宽管理。

故障排除

要在VPN 3000集中器上实施带宽管理时排除任何问题，请在Configuration > System > Events > Classes下启用以下两个事件类：

• BMGT(具有要记录的严重性：1-9）

• BMGTDBG(严重性为日志：1-9）

以下是一些最常见的事件日志消息：

• 修改带宽策略时，日志中会显示“Exceeds the Aggregate Reservation”错误消息。

  1 08/14/2002 10:03:10.840 SEV=4 BMGT/47 RPT=2 
  The Policy [ RA_tunnels ] with Reservation [ 8000 bps ] being 
  applied to Group [ipsecgroup ] on Interrface [ 2 ] exceeds 
  the Aggregate Reservation [ 0 bps ] configured for that group.

  如果显示此错误消息，请返回组设置并从组取消应用“RA_tunnel”策略。使用正确的值编辑“RA_tunnel”，然后将策略重新应用回特定组。

• 找不到接口带宽。

  11 08/14/2002 13:03:58.040 SEV=4 BMGTDBG/56 RPT=1 
  Could not find interface bandwidth policy 0 for group 1 interface 2.

  如果接口上未启用带宽策略，并尝试在LAN到LAN隧道上应用该策略，则可能会收到此错误。如果出现这种情况，请按照在VPN 3000集中器上配置默认带宽策略一节中所述，将策略应用到公共接口。

相关信息

• Cisco VPN 3000 系列集中器支持页
• Cisco VPN 3000 系列客户端支持页
• IPSec 支持页面
• 技术支持 - Cisco Systems