通常,分支机构(如AR1830)会通过PPPoE-Client拨号方式接入Internet,其拨号口(Dialer口)会动态从PPPOE Server端获取ip地址。这种情况下,分支机构(PPPoE Client)和总部(具有固定公网IP地址)之间的IPSec VPN只能采用IKE自动协商方式。同时,为了充分利用网络资源,还需要在上行口(ADSL口)上启用OoS(拥塞管理),为IPSec VPN中的重要数据提供带宽保证。
为了确保数据传输的效率和质量,我们可以在AR1830的IPSec VPN上启用QoS(服务质量)。具体来说,我们可以将数据流进行分类,并设置不同的优先级,从而满足不同业务的需求。
首先,我们需要在以太网入口对数据流进行识别,并设置IP-precedence。对于从PC1发送的数据流,我们可以将其定义为“Gold”级别(优先级为5),并确保至少占用50%的ADSL带宽。对于从PC2发送的数据流,我们将其定义为“multimedia”级别(优先级为3),并确保至少占用20%的ADSL带宽。此外,为了保证网管(优先级为7)的带宽需求,我们需要确保其至少占用10%的带宽。当然,在网络不繁忙的情况下,各个数据流都可以超过自己设定的带宽。
在实现这一配置时,我们需要注意一些细节。例如,在出接口上,我们只能配置百分比带宽或指定数字带宽,不能同时配置两者。因此,我们需要提前了解上行带宽,并据此计算带宽配置。
此外,ADSL接口的QoS带宽通常按照国际标准设置为640bps。在实际配置过程中,我们还需要注意QoS CBQ(基于类别的队列)只能应用于ATM接口的PVC下,不能直接用于ATM接口或Dialer口。
总结来说,通过在分支机构与总部之间的IPSec VPN上启用QoS,我们可以有效地管理网络带宽,确保重要数据的高效传输。在实际配置过程中,我们需要仔细考虑数据流的分类、优先级设置以及带宽分配,以确保网络运营的安全和高效。应用说明:
在分部(AR1830)与总部(R3640)之间通过IPSec建立VPN,由于在实际环境中AR18xx多以PPPoE-Client拨号方式接入Internet,其拨号口Dialer口动态从PPPoE Server端获取IP地址,这决定了PPPoE Client(分支机构)和总部(有固定公网IP地址)之间的IPSec VPN只能以IKE自动协商方式。同时,为了有效合理的利用网络资源,在上行口ADSL口上启用OoS给IPSec VPN之间重要数据以带宽保证。
目标:在AR1830的IPSec VPN上启用QOS,从PC1发送的数据流定义为Gold(优先级为5),至少要保证50%的ADSL带宽;从PC2发送的数据流定义为multimedia(优先级3),至少要保证20%的ADSL带宽;网管(优先级7)要保证10%带宽,但是在网络不忙的时候,各个数据流都可以超过自己所定义的带宽。
实现:首先是在以太网入口上,对Gold,Multimedia做识别并打IP-precedence,对于网管流量,配置classifier来匹配源地址是Lo0口的数据包,然后在上行口(adsl口)先配置car来打IP-precedence,并同时配置EF队列保证优先转发。对在以太网入口打过IP-precedence的Multimedia和gold流,在上行口上做AF队列来保证带宽。 这里要注意的一点是,在出接口上要么只能配置百分比带宽,要么只能配置指定数字带宽,不能如客户要求的那样配置成既有百分比又有数据带宽(如25%/25%/16K),所以需要预先知道上行带宽,然后自己计算一下,再确认是配置成百分比还是数字带宽。
另外,ADSL接口的QoS带宽根据国际标准均为640bps。
组网图:
注意事项
1、 QoS CBQ只能应用在ATM接口的PVC下,不可以直接用在ATM接口或Dialer口;
详细配置
注:在测试中,总部路由器R3640通过以太网口E2/0和AR4640直接相连。
AR1830(分部)配置:
dis cur
#
sysname router
#
ike local-name fenbu
#
dialer-rule 1 ip permit
#
ike peer zongbu
exchange-mode aggressive
pre-shared-key fenbu
id-type name
remote-name zongbu
remote-address 162.105.66.36
nat traversal
#
ipsec proposal fenbu
#
ipsec policy map1 1 isakmp
security acl 3000
ike-peer zongbu
proposal fenbu
#
interface Dialer1
link-protocol ppp
mtu 1450
ip address ppp-negotiate
dialer user test
dialer-group 1
dialer bundle 1
ipsec policy map1
#
interface Ethernet1/0
ip address 202.150.1.31 255.255.255.0
#
interface Atm2/0
#
interface Atm2/0.1 p2p
pvc 4/33
map bridge Virtual-Ethernet1
#
interface Virtual-Ethernet1
pppoe-client dial-bundle-number 1
#
interface NULL0
#
acl number 3000
rule 0 permit ip source 202.150.0.0 0.0.255.255 destination 202.150.0.0 0.0.255.255
rule 1 deny ip
acl number 3001
rule 0 deny ip destination 202.150.0.0 0.0.255.255
rule 1 permit ip
#
ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60
#
user-interface con 0
idle-timeout 0 0
user-interface vty 0 4
authentication-mode none
user privilege level 3
#
return
R3640(总部)配置:
dis cur
#
sysname Router
#
ike local-name zongbu
#
ike peer fenbu
exchange-mode aggressive
pre-shared-key fenbu
id-type name
remote-name fenbu
remote-address 1.0.0.0 255.255.255.254
nat traversal
#
ipsec proposal zongbu
#
ipsec policy map1 1 isakmp
security acl 3000
ike-peer fenbu
proposal zongbu
#
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0
