在分部(AR1830)與總部(R3640)之間通過IPSec建立VPN,由于在實際環境中AR18xx多以PPPoE-Client撥號方式接入Internet,其撥號口Dialer口動態從PPPoE Server端獲取IP地址,這決定了PPPoE Client(分支機構)和總部(有固定公網IP地址)之間的IPSec VPN只能以IKE自動協商方式。同時,為了有效合理的利用網絡資源,在上行口ADSL口上啟用OoS給IPSec VPN之間重要數據以帶寬保證。
目標:在AR1830的IPSec VPN上啟用QOS,從PC1發送的數據流定義為Gold(優先級為5),至少要保證50%的ADSL帶寬;從PC2發送的數據流定義為multimedia(優先級3),至少要保證20%的ADSL帶寬;網管(優先級7)要保證10%帶寬,但是在網絡不忙的時候,各個數據流都可以超過自己所定義的帶寬。
實現:首先是在以太網入口上,對Gold,Multimedia做識別并打IP-precedence,對于網管流量,配置classifier來匹配源地址是Lo0口的數據包,然后在上行口(adsl口)先配置car來打IP-precedence,并同時配置EF隊列保證優先轉發。對在以太網入口打過IP-precedence的Multimedia和gold流,在上行口上做AF隊列來保證帶寬。 這里要注意的一點是,在出接口上要么只能配置百分比帶寬,要么只能配置指定數字帶寬,不能如客戶要求的那樣配置成既有百分比又有數據帶寬(如25%/25%/16K),所以需要預先知道上行帶寬,然后自己計算一下,再確認是配置成百分比還是數字帶寬。
另外,ADSL接口的QoS帶寬根據國際標準均為640bps。
組網圖:
注意事項
1、 QoS CBQ只能應用在ATM接口的PVC下,不可以直接用在ATM接口或Dialer口;
詳細配置
注:在測試中,總部路由器R3640通過以太網口E2/0和AR4640直接相連。
AR1830(分部)配置:
#
sysname Router
#
ike local-name fenbu
#
dialer-rule 1 ip permit
#
ike peer zongbu
exchange-mode aggressive
pre-shared-key fenbu
id-type name
remote-name zongbu
remote-address 162.105.66.36
nat traversal
#
ipsec proposal fenbu
#
ipsec policy map1 1 isakmp
security acl 3000
ike-peer zongbu
proposal fenbu
#
interface Dialer1
link-protocol ppp
mtu 1450
ip address ppp-negotiate
dialer user test
dialer-group 1
dialer bundle 1
ipsec policy map1
#
interface Ethernet1/0
ip address 202.150.1.31 255.255.255.0
#
interface Atm2/0
#
interface Atm2/0.1 p2p
pvc 4/33
map bridge Virtual-Ethernet1
#
interface Virtual-Ethernet1
pppoe-client dial-bundle-number 1
#
interface NULL0
#
acl number 3000
rule 0 permit ip source 202.150.0.0 0.0.255.255 destination 202.150.0.0 0.0.255.255
rule 1 deny ip
acl number 3001
rule 0 deny ip destination 202.150.0.0 0.0.255.255
rule 1 permit ip
#
ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60
#
user-interface con 0
idle-timeout 0 0
user-interface vty 0 4
authentication-mode none
user privilege level 3
#
return
R3640(總部)配置:
#
sysname Router
#
ike local-name zongbu
#
ike peer fenbu
exchange-mode aggressive
pre-shared-key fenbu
id-type name
remote-name fenbu
remote-address 1.0.0.0 255.255.255.254
nat traversal
#
ipsec proposal zongbu
#
ipsec policy map1 1 isakmp
security acl 3000
ike-peer fenbu
proposal zongbu
#
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0
