De acuerdo

El host envía más de 10 MB a través de la interfaz de túnel DSVPN

126 0 0 0 0

Hola,


Les comparto el siguiente caso:


Descripción del problema:

Actualmente se tiene la política de tráfico aplicada para distribuir los anchos de banda en la interfaz WAN. Pero como el tráfico viaja a través del túnel DSVPN, se cree que debería aplicar la política de tráfico en la interfaz del túnel y no en la interfaz Giga.

Actualmente el QoS en este dispositivo no está funcionando, ya que ha habido incrementos en el consumo de ancho de banda en aplicaciones que tienen una restricción de consumo de ancho de banda, lo que les hace pensar que la política de tráfico no está haciendo su trabajo. Por esta razón, se cree que necesita aplicar la política de tráfico a nivel de interfaz de túnel, pero cuando se aplica da un error.


[*01-Tunnel1]traffic-policy Shape-Suc outbound  

Error: The ipsec policy already exists.


Análisis:

(1) El resultado de la prueba del dispositivo en el laboratorio es el mismo que la información de error reportada en la red en vivo.En el escenario de DSVPN, la política IPsec se aplica al tunel1. Por lo tanto, no se puede aplicar la política de tráfico.

[R19-Tunnel1] traffic-policy Shape-Suc outbound 
Error: The ipsec policy already exists.

(2) El cliente espera limitar la velocidad de los paquetes de datos transmitidos sobre la DSVPN.Las dos soluciones siguientes están disponibles:

Solución 1:

La política de tráfico se puede aplicar al ingreso físico del paquete de datos original. En este caso, la cabecera GRE + IPsec no se encapsula en el paquete de datos. Por lo tanto, se puede utilizar la lista de control de acceso para que coincida con la dirección Ip del paquete de datos original.

Desventaja: Este límite de velocidad no contiene encabezados GRE ni IPSec.Una vez que los paquetes de datos son encapsulados por el túnel, la longitud de los paquetes aumenta.Es decir, el volumen de tráfico aumenta después del límite de velocidad.


Solución 2:

Aplicar la política de tráfico a la salida física del paquete de datos. Las cabeceras GRE e IPSec se encapsulan en el paquete de datos.Por lo tanto, la lista de control de acceso debe coincidir con la dirección Ip externa encapsulada.

Desventaja: La velocidad de cada flujo no puede ser limitada con precisión en base a la dirección Ip del paquete de datos original.Solo se puede realizar el límite de velocidad global en los paquetes de datos transmitidos a través de la DSVPN.


Causa Raíz:

En el escenario del tunel DSVPN, ha sido la política IPsec, no soporta más la configuración de la política de tráfico en el túnel. En la interfaz física, los paquetes son encapsulados por encabezados GRE e IPsec, la política de tráfico sólo puede coincidir con las direcciones IPsec del encabezado IPsec.


Solución:

Implementar la QoS en la dirección de entrada Giga.

Configurar ACL avanzado, clasificar el tráfico por IP y puerto.

Configurar el límite de tráfico para cada flujo en el comportamiento.

El siguiente enlace es un ejemplo simple, se puede usar como referencia:

 https://support.huawei.com/hedex/hdx.do?docid=EDOC1100039470&id=dc_ne_qos_cfg_0025&lang=en


Enlaces relacionados:

Localización de fallas usando ping

Simplificando la comprensión de los tipos de LSA de OSPF 

HCIA ROUTING AND SWITCHING Configuración Básica desde la CLI 

Configurar NAT y redirección para implementar dos egresos y proporcionar el servicio de web 

Ejemplo de Configuración para Conectar usuarios de una Intranet a Internet con el Modo Easy IP 

  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.