Ce document décrit les étapes nécessaires à la configuration de la fonctionnalité de gestion de la bande passante sur le concentrateur Cisco VPN 3000 pour :
Remarque : avant de configurer l'accès distant ou les tunnels VPN site à site, vous devez d'abord configurer une stratégie de bande passante par défaut sur le concentrateur VPN 3000.
La gestion de la bande passante comporte deux éléments :
Bandwidth Policing : limite le débit maximal du trafic tunnelisé. Le concentrateur VPN transmet le trafic qu'il reçoit en dessous de ce débit et abandonne le trafic qui dépasse ce débit.
Bandwidth Reservation : définit un débit de bande passante minimal pour le trafic tunnelisé. La gestion de la bande passante vous permet d'allouer la bande passante aux groupes et aux utilisateurs de manière équitable. Cela empêche certains groupes ou utilisateurs de consommer la majorité de la bande passante.
La gestion de la bande passante s'applique uniquement au trafic tunnelisé (protocole L2TP [Layer 2 Tunnel Protocol], protocole PPTP [Point to Point Tunneling Protocol], IPSec) et est généralement appliquée à l'interface publique.
La fonctionnalité de gestion de la bande passante offre des avantages administratifs pour l'accès à distance et les connexions VPN de site à site. Les tunnels VPN d'accès à distance utilisent le contrôle de bande passante pour que les utilisateurs à large bande n'utilisent pas toute la bande passante. Inversement, l'administrateur peut configurer la réservation de bande passante pour les tunnels de site à site afin de garantir une quantité minimale de bande passante à chaque site distant.
Aucune spécification déterminée n'est requise pour ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Concentrateur Cisco VPN 3000 avec versions 4.1.x et ultérieures du logiciel
Remarque : La fonctionnalité Gestion de la bande passante a été introduite dans la version 3.6.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Ce document utilise la configuration réseau suivante :
Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.
Avant de pouvoir configurer la gestion de la bande passante sur les tunnels LAN à LAN ou sur les tunnels d'accès distant, vous devez activer la gestion de la bande passante sur l'interface publique. Dans cet exemple de configuration, une stratégie de bande passante par défaut est configurée. Cette stratégie par défaut est appliquée aux utilisateurs/tunnels qui n'ont pas de stratégie de gestion de la bande passante appliquée au groupe auquel ils appartiennent dans le concentrateur VPN.
Pour configurer une stratégie, sélectionnez Configuration > Policy Management > Traffic Management > Bandwidth Policies, puis cliquez sur Add.
Après avoir cliqué sur Ajouter, la fenêtre Modifier s'affiche.
Définissez ces paramètres dans la fenêtre Modifier.
Policy Name : saisissez un nom de stratégie unique qui peut vous aider à mémoriser la stratégie. La longueur maximale est de 32 caractères. Dans cet exemple, le nom 'Default' est configuré en tant que nom de stratégie.
Bandwidth Reservation : cochez la case Bandwidth Reservation pour réserver une quantité minimale de bande passante pour chaque session. Dans cet exemple, 56 kbits/s de bande passante sont réservés à tous les utilisateurs VPN qui ne font pas partie d'un groupe dont la gestion de bande passante est configurée.
Policing : cochez la case Policing pour activer la police. Saisissez une valeur pour le taux de réglementation et sélectionnez l'unité de mesure. Le concentrateur VPN transmet le trafic qui se déplace en dessous du taux de réglementation et abandonne tout trafic qui se déplace au-dessus du taux de réglementation. 96 kbits/s sont configurés pour la surveillance de la bande passante. La taille de rafale normale est la quantité de rafale instantanée que le concentrateur VPN peut envoyer à un moment donné. Pour définir la taille de rafale, utilisez la formule suivante :
(Policing Rate/8) * 1.5
Avec cette formule, le débit de rafale est de 18 000 octets.
Cliquez sur Apply.
Sélectionnez Configuration > Interfaces > Public Interface et cliquez sur l'onglet Bandwidth pour appliquer la stratégie de bande passante par défaut à une interface.
Activez l'option Gestion de la bande passante.
Spécifiez le débit de liaison.
Le débit de liaison correspond à la vitesse de la connexion réseau via Internet. Dans cet exemple, une connexion T1 à Internet est utilisée. Par conséquent, 1 544 kbits/s est le débit de liaison configuré.
Sélectionnez une stratégie dans la liste déroulante Stratégie de bande passante.
La stratégie par défaut est configurée précédemment pour cette interface. La stratégie que vous appliquez ici est une stratégie de bande passante par défaut pour tous les utilisateurs de cette interface. Cette stratégie s'applique aux utilisateurs qui n'ont pas de stratégie de gestion de la bande passante appliquée à leur groupe.
Complétez ces étapes pour configurer la gestion de la bande passante pour les tunnels de site à site.
Sélectionnez Configuration > Policy Management > Traffic Management > Bandwidth Policies et cliquez sur Add pour définir une nouvelle stratégie de bande passante LAN à LAN.
Dans cet exemple, une stratégie appelée 'L2L_tunnel' a été configurée avec une réservation de bande passante de 256 kbits/s.
Appliquez la stratégie de bande passante au tunnel LAN à LAN existant dans le menu déroulant Stratégie de bande passante.
Complétez ces étapes pour configurer la gestion de la bande passante pour les tunnels VPN distants.
Sélectionnez Configuration > Policy Management > Traffic Management > Bandwidth Policies et cliquez sur Add pour créer une nouvelle stratégie de bande passante.
Dans cet exemple, une stratégie appelée 'RA_tunnels' est configurée avec une réservation de bande passante de 8 kbits/s. La régulation du trafic est configurée avec un taux de régulation de 128 kbits/s et une taille de rafale de 24 000 octets.
Pour appliquer la stratégie de bande passante à un groupe VPN d'accès distant, sélectionnez Configuration > User Management > Groups, sélectionnez votre groupe, puis cliquez sur Affecter des stratégies de bande passante.
Cliquez sur l'interface sur laquelle vous voulez configurer la gestion de la bande passante pour ce groupe.
Dans cet exemple, 'Ethernet2 (Public)' est l'interface sélectionnée pour le groupe. Pour appliquer une stratégie de bande passante à un groupe sur une interface, la gestion de bande passante doit être activée sur cette interface. Si vous choisissez une interface sur laquelle Bandwidth Management est désactivé, un message d'avertissement apparaît.
Sélectionnez la stratégie de bande passante pour le groupe VPN de cette interface.
La stratégie RA_tunnels, précédemment définie, est sélectionnée pour ce groupe. Entrez une valeur pour la bande passante minimale à réserver pour ce groupe. La valeur par défaut de l'agrégation de bande passante est 0. L'unité de mesure par défaut est le bit/s. Si vous souhaitez que le groupe partage la bande passante disponible sur l'interface, saisissez 0.
Sélectionnez Monitoring > Statistics > Bandwidth Management sur le concentrateur VPN 3000 pour surveiller Bandwidth Management.
Pour résoudre des problèmes lors de la mise en oeuvre de la gestion de la bande passante sur le concentrateur VPN 3000, activez ces deux classes d'événements sous Configuration > System > Events > Classes :
BMGT (avec gravité à consigner : 1-9)
BMGTDBG (avec la gravité du journal : 1-9)
Voici quelques-uns des messages de journal des événements les plus courants :
Le message d'erreur Dépasse la réservation agrégée est affiché dans les journaux lorsqu'une stratégie de bande passante est modifiée.
1 08/14/2002 10:03:10.840 SEV=4 BMGT/47 RPT=2 The Policy [ RA_tunnels ] with Reservation [ 8000 bps ] being applied to Group [ipsecgroup ] on Interrface [ 2 ] exceeds the Aggregate Reservation [ 0 bps ] configured for that group.
Si ce message d'erreur s'affiche, revenez aux paramètres du groupe et annulez l'application de la stratégie 'RA_tunnel' à partir du groupe. Modifiez le 'tunnel_RA' avec les valeurs correctes, puis réappliquez la stratégie au groupe spécifique.
Bande passante de l'interface introuvable.
11 08/14/2002 13:03:58.040 SEV=4 BMGTDBG/56 RPT=1 Could not find interface bandwidth policy 0 for group 1 interface 2.
Vous pouvez recevoir cette erreur si la stratégie de bande passante n'est pas activée sur l'interface et que vous essayez de l'appliquer sur le tunnel LAN à LAN. Si c'est le cas, appliquez une stratégie à l'interface publique comme expliqué dans la section Configurer une stratégie de bande passante par défaut sur le concentrateur VPN 3000.