AR18宽带路由器IPSec+Qos的应用组网和配置

　　在分部（AR1830）与总部（R3640）之间通过IPSec建立VPN，由于在实际环境中AR18xx多以PPPoE-Client拨号方式接入Internet，其拨号口Dialer口动态从PPPoE Server端获取IP地址，

　　这决定了PPPoE Client（分支机构）和总部（有固定公网IP地址）之间的IPSec VPN只能以IKE自动协商方式。同时，为了有效合理的利用网络资源，在上行口ADSL口上启用OoS给IPSec VPN之间重要数据以带宽保证。

　　目标：在AR1830的IPSec VPN上启用QOS，从PC1发送的数据流定义为Gold（优先级为5），至少要保证50％的ADSL带宽；从PC2发送的数据流定义为multimedia(优先级3)，至少要保证20％的ADSL带宽；网管(优先级7)要保证10%带宽，但是在网络不忙的时候，各个数据流都可以超过自己所定义的带宽。

　　实现：首先是在以太网入口上,对Gold，Multimedia做识别并打IP-precedence,对于网管流量,配置classifier来匹配源地址是Lo0口的数据包,然后在上行口(adsl口)先配置car来打IP-precedence,并同时配置EF队列保证优先转发。对在以太网入口打过IP-precedence的Multimedia和gold流,在上行口上做AF队列来保证带宽。 这里要注意的一点是,在出接口上要么只能配置百分比带宽,要么只能配置指定数字带宽,不能如客户要求的那样配置成既有百分比又有数据带宽（如25%/25%/16K）,所以需要预先知道上行带宽,然后自己计算一下,再确认是配置成百分比还是数字带宽。

　　另外，ADSL接口的QoS带宽根据国际标准均为640bps。

　　组网图：

注意事项

　　1、 QoS CBQ只能应用在ATM接口的PVC下，不可以直接用在ATM接口或Dialer口；

　　详细配置

　　注：在测试中，总部路由器R3640通过以太网口E2/0和AR4640直接相连。

　　AR1830（分部）配置：

　　dis cur　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　sysname Router　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ike local-name fenbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　dialer-rule 1 ip permit　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ike peer zongbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　exchange-mode aggressive　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　pre-shared-key fenbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　id-type name　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　remote-name zongbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　remote-address 162.105.66.36　　　　　　　　　　　　　　　　　　　　　　　　　

　　nat traversal　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ipsecproposal fenbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ipsec policy map1 1 isakmp　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　security acl 3000　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ike-peer zongbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　proposal fenbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　interface Dialer1　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　link-protocol ppp　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　mtu 1450　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ip address ppp-negotiate　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　dialer user test　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　dialer-group 1　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　dialer bundle 1　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ipsec policy map1　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　interface Ethernet1/0　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ip address 202.150.1.31 255.255.255.0　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　interface Atm2/0　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　interface Atm2/0.1 p2p　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　pvc 4/33　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　map bridge Virtual-Ethernet1　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　interface Virtual-Ethernet1　　　　　　　　　　　　　　　　　　　　　　　　　　

　　pppoe-client dial-bundle-number 1　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　interface NULL0　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　acl number 3000　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　rule 0 permit ip source 202.150.0.0 0.0.255.255 destination 202.150.0.0 0.0.255.255　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　rule 1 deny ip　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　acl number 3001　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　rule 0 deny ip destination 202.150.0.0 0.0.255.255　　　　　　　　　　　　　　

　　rule 1 permit ip　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　user-interface con 0　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　idle-timeout 0 0　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　user-interface vty 0 4　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　authentication-mode none　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　user privilege level 3　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　return　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　R3640（总部）配置：

　　dis cur　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　sysname Router　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ike local-name zongbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ike peer fenbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　exchange-mode aggressive　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　pre-shared-key fenbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　id-type name　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　remote-name fenbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　remote-address 1.0.0.0 255.255.255.254　　　　　　　　　　　　　　　　　　　　

　　nat traversal　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ipsecproposal zongbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ipsec policy map1 1 isakmp　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　security acl 3000　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　ike-peer fenbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　proposal zongbu　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　interface Aux0　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　async mode flow　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　link-protocol ppp　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　#　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

　　interface Ethernet0/0