科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道AR18宽带路由器IPSec+Qos的应用组网和配置

AR18宽带路由器IPSec+Qos的应用组网和配置

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在分部(AR1830)与总部(R3640)之间通过IPSec建立VPN,由于在实际环境中AR18xx多以PPPoE-Client拨号方式接入Internet,其拨号口Dialer口动态从PPPoE Server端获取IP地址。

作者:Vlan9 来源:Vlan9 2008年6月6日

关键字: QoS 服务质量 qos服务质量

  • 评论
  • 分享微博
  • 分享邮件

  在分部(AR1830)与总部(R3640)之间通过IPSec建立VPN,由于在实际环境中AR18xx多以PPPoE-Client拨号方式接入Internet,其拨号口Dialer口动态从PPPoE Server端获取IP地址,

  这决定了PPPoE Client(分支机构)和总部(有固定公网IP地址)之间的IPSec VPN只能以IKE自动协商方式。同时,为了有效合理的利用网络资源,在上行口ADSL口上启用OoS给IPSec VPN之间重要数据以带宽保证。

  目标:在AR1830的IPSec VPN上启用QOS,从PC1发送的数据流定义为Gold(优先级为5),至少要保证50%的ADSL带宽;从PC2发送的数据流定义为multimedia(优先级3),至少要保证20%的ADSL带宽;网管(优先级7)要保证10%带宽,但是在网络不忙的时候,各个数据流都可以超过自己所定义的带宽。

  实现:首先是在以太网入口上,对Gold,Multimedia做识别并打IP-precedence,对于网管流量,配置classifier来匹配源地址是Lo0口的数据包,然后在上行口(adsl口)先配置car来打IP-precedence,并同时配置EF队列保证优先转发。对在以太网入口打过IP-precedence的Multimedia和gold流,在上行口上做AF队列来保证带宽。 这里要注意的一点是,在出接口上要么只能配置百分比带宽,要么只能配置指定数字带宽,不能如客户要求的那样配置成既有百分比又有数据带宽(如25%/25%/16K),所以需要预先知道上行带宽,然后自己计算一下,再确认是配置成百分比还是数字带宽。

  另外,ADSL接口的QoS带宽根据国际标准均为640bps。

  组网图:

注意事项

  1、 QoS CBQ只能应用在ATM接口的PVC下,不可以直接用在ATM接口或Dialer口;

  详细配置

  注:在测试中,总部路由器R3640通过以太网口E2/0和AR4640直接相连。

  AR1830(分部)配置:

  dis cur                                

  #                                       

  sysname Router                                

  #                                       

  ike local-name fenbu                             

  #                                       

  dialer-rule 1 ip permit                            

  #                                       

  ike peer zongbu                                

  exchange-mode aggressive                           

  pre-shared-key fenbu                             

  id-type name                                 

  remote-name zongbu                              

  remote-address 162.105.66.36                         

  nat traversal                                 

  #                                       

  ipsecproposal fenbu                              

  #                                       

  ipsec policy map1 1 isakmp                           

  security acl 3000                               

  ike-peer zongbu                                

  proposal fenbu                                

  #                                       

  interface Dialer1                               

  link-protocol ppp                               

  mtu 1450                                   

  ip address ppp-negotiate                           

  dialer user test                               

  dialer-group 1                                

  dialer bundle 1                                

  ipsec policy map1                               

  #                                       

  interface Ethernet1/0                             

  ip address 202.150.1.31 255.255.255.0                     

  #                                       

  interface Atm2/0                                

  #                                       

  interface Atm2/0.1 p2p                             

  pvc 4/33                                   

  map bridge Virtual-Ethernet1                         

  #                                       

  interface Virtual-Ethernet1                          

  pppoe-client dial-bundle-number 1                       

  #                                       

  interface NULL0                                

  #                                       

  acl number 3000                                

  rule 0 permit ip source 202.150.0.0 0.0.255.255 destination 202.150.0.0 0.0.255.255                                      

  rule 1 deny ip                                

  acl number 3001                                

  rule 0 deny ip destination 202.150.0.0 0.0.255.255              

  rule 1 permit ip                               

  #                                       

  ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60            

  #                                       

  user-interface con 0                              

  idle-timeout 0 0                               

  user-interface vty 0 4                             

  authentication-mode none                           

  user privilege level 3                            

  #                                       

  return                                     

  R3640(总部)配置:

  dis cur                                

  #                                       

  sysname Router                                

  #                                       

  ike local-name zongbu                             

  #                                       

  ike peer fenbu                                 

  exchange-mode aggressive                           

  pre-shared-key fenbu                             

  id-type name                                 

  remote-name fenbu                               

  remote-address 1.0.0.0 255.255.255.254                    

  nat traversal                                 

  #                                       

  ipsecproposal zongbu                             

  #                                       

  ipsec policy map1 1 isakmp                           

  security acl 3000                               

  ike-peer fenbu                                

  proposal zongbu                                

  #                                       

  #                                       

  interface Aux0                                 

  async mode flow                                

  link-protocol ppp                               

  #                                       

  interface Ethernet0/0

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章