このドキュメントでは、Cisco VPN 3000 コンセントレータで帯域幅管理機能を設定するために必要な手順を説明します。
注:リモートアクセスまたはサイト間VPNトンネルを設定する前に、VPN 3000コンセントレータでデフォルトの帯域幅ポリシーを設定する必要があります。
帯域幅管理には、次の2つの要素があります。
帯域幅ポリシング:トンネルトラフィックの最大レートを制限します。VPNコンセントレータは、受信したトラフィックをこのレート未満で送信し、このレートを超えるトラフィックをドロップします。
Bandwidth Reservation:トンネルトラフィックの最小帯域幅レートを確保します。帯域幅管理を使用すると、グループとユーザに帯域幅を均等に割り当てることができます。これにより、特定のグループやユーザが帯域幅の大部分を消費することを防止できます。
帯域幅管理は、トンネリングされたトラフィック(レイヤ2トンネルプロトコル(L2TP)、ポイントツーポイントトンネリングプロトコル(PPTP)、IPSec)にのみ適用され、最も一般的にパブリックインターフェイスに適用されます。
帯域幅管理機能は、リモートアクセスおよびサイト間VPN接続に管理上の利点をもたらします。リモートアクセスVPNトンネルでは、帯域幅ポリシングを使用するため、ブロードバンドユーザはすべての帯域幅を使用しません。逆に、管理者はサイト間トンネルの帯域幅予約を設定して、各リモートサイトへの最小帯域幅を保証できます。
このドキュメントに特有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ソフトウェアリリース4.1.x以降が稼働するCisco VPN 3000コンセントレータ
注:帯域幅管理機能はリリース3.6で導入されました。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
このドキュメントでは、次のネットワーク セットアップを使用します。
ドキュメントの表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。
LAN-to-LANトンネルまたはリモートアクセストンネルで帯域幅管理を設定する前に、パブリックインターフェイスで帯域幅管理を有効にする必要があります。この設定例では、デフォルトの帯域幅ポリシーが設定されています。このデフォルトポリシーは、VPNコンセントレータに属するグループに帯域幅管理ポリシーが適用されていないユーザ/トンネルに適用されます。
ポリシーを構成するには、[Configuration] > [Policy Management] > [Traffic Management] > [Bandwidth Policies]を選択し、[Add]をクリックします。
[Add]をクリックすると、[Modify]ウィンドウが表示されます。
これらのパラメータは、[修正]ウィンドウで設定します。
Policy Name:ポリシーの記憶に役立つ一意のポリシー名を入力します。最大長は 32 文字です。この例では、ポリシー名として「Default」という名前が設定されています。
Bandwidth Reservation:[Bandwidth Reservation]チェックボックスをオンにして、各セッションの最小帯域幅を予約します。この例では、56 kbpsの帯域幅が、帯域幅管理が設定されているグループに属していないすべてのVPNユーザ用に予約されています。
ポリシング:ポリシングを有効にするには、ポリシングチェックボックスをオンにします。ポリシングレートの値を入力し、計測単位を選択します。VPNコンセントレータは、ポリシングレートを下回るトラフィックを送信し、ポリシングレートを超えるトラフィックをすべてドロップします。帯域幅ポリシング用に96 kbpsが設定されています。通常のバーストサイズは、VPNコンセントレータが任意の時点で送信できる瞬間的なバーストの量です。バーストサイズを設定するには、次の式を使用します。
(Policing Rate/8) * 1.5
この式では、バーストレートは18000バイトです。
[Apply] をクリックします。
[Configuration] > [Interfaces] > [Public Interface]を選択し、[Bandwidth]タブをクリックして、デフォルトの帯域幅ポリシーをインターフェイスに適用します。
帯域幅管理オプションを有効にします。
リンクレートを指定します。
リンクレートは、インターネットを介したネットワーク接続の速度です。この例では、インターネットへのT1接続が使用されます。したがって、設定されたリンクレートは1544 kbpsです。
[帯域幅ポリシー(Bandwidth Policy)]ドロップダウンリストからポリシーを選択します。
デフォルトポリシーは、このインターフェイスに対して以前に設定されています。ここで適用するポリシーは、このインターフェイスのすべてのユーザに対するデフォルトの帯域幅ポリシーです。このポリシーは、グループに帯域幅管理ポリシーが適用されていないユーザに適用されます。
サイト間トンネルの帯域幅管理を設定するには、次の手順を実行します。
[Configuration] > [Policy Management] > [Traffic Management] > [Bandwidth Policies]の順に選択し、[Add]をクリックして新しいLAN-to-LAN帯域幅ポリシーを定義します。
この例では、「L2L_tunnel」というポリシーが256 kbpsの帯域幅予約で設定されています。
[Bandwidth Policy]ドロップダウンメニューで、既存のLAN-to-LANトンネルに帯域幅ポリシーを適用します。
リモートVPNトンネルの帯域幅管理を設定するには、次の手順を実行します。
[Configuration] > [Policy Management] > [Traffic Management] > [Bandwidth Policies]を選択し、[Add]をクリックして新しい帯域幅ポリシーを作成します。
この例では、「RA_tunnels」というポリシーが8 kbpsの帯域幅予約で設定されています。トラフィックポリシングは、ポリシングレートが128 kbps、バーストサイズが24000バイトで設定されます。
帯域幅ポリシーをリモートアクセスVPNグループに適用するには、[Configuration] > [User Management] > [Groups]を選択して、グループを選択し、[Assign Bandwidth Policies]をクリックします。
このグループの帯域幅管理を設定するインターフェイスをクリックします。
この例では、「Ethernet2 (Public)」がグループに選択されているインターフェイスです。インターフェイスのグループに帯域幅ポリシーを適用するには、そのインターフェイスで帯域幅管理を有効にする必要があります。帯域幅管理が無効になっているインターフェイスを選択すると、警告メッセージが表示されます。
このインターフェイスのVPNグループの帯域幅ポリシーを選択します。
以前に定義したRA_tunnelsポリシーがこのグループに対して選択されます。このグループに予約する最小帯域幅の値を入力します。帯域幅集約のデフォルト値は0です。デフォルトの測定単位はbpsです。インターフェイスで使用可能な帯域幅をグループで共有する場合は、0を入力します。
VPN 3000コンセントレータでMonitoring > Statistics > Bandwidth Managementの順に選択し、帯域幅管理を監視します。
VPN 3000コンセントレータに帯域幅管理が実装されている間に問題をトラブルシューティングするには、[Configuration] > [System] > [Events] > [Classes]で次の2つのイベントクラスを有効にします。
BMGT(Severity to Log:1-9)
BMGTDBG(ログの重大度:1-9)
最も一般的なイベントログメッセージの一部を次に示します。
帯域幅ポリシーが変更されると、ログに「Exceeds the Aggregate Reservation」エラーメッセージが表示されます。
1 08/14/2002 10:03:10.840 SEV=4 BMGT/47 RPT=2 The Policy [ RA_tunnels ] with Reservation [ 8000 bps ] being applied to Group [ipsecgroup ] on Interrface [ 2 ] exceeds the Aggregate Reservation [ 0 bps ] configured for that group.
このエラーメッセージが表示された場合は、グループ設定に戻り、グループから「RA_tunnel」ポリシーを適用し直します。正しい値で「RA_tunnel」を編集し、ポリシーを特定のグループに再適用します。
インターフェイス帯域幅が見つかりません。
11 08/14/2002 13:03:58.040 SEV=4 BMGTDBG/56 RPT=1 Could not find interface bandwidth policy 0 for group 1 interface 2.
このエラーは、インターフェイスで帯域幅ポリシーが有効になっていない場合に、LAN-to-LANトンネルに適用しようとすると表示されることがあります。このような場合は、「VPN 3000コンセントレータのデフォルト帯域幅ポリシーの設定」の項で説明するように、ポリシーをパブリックインターフェイスに適用します。