利用策略实现企业VPN带宽监管3

利用策略实现企业VPN带宽监管3

　一是注意集中器传输移动速率低于监管速率的数据流，集中器将会丢失数据帧。为此到底多大的监管速率是合适的，网络管理员还是需要根据企业自身的需求来定。笔者的做法是，刚开始不启用配置监管策略。对VPN的网络流量先规测一段时间，得出一个合理的值。经过一个月的规测之后，再起用监管策略。如此的话，网络管理员就可以有参考的依据。从而就不会因为这个监管速率配置不合适而给用户的正常访问带来不利的影响。

　　二是确定了合适的监管速率之后，是否要启用突发速率要结合企业的实际情况来定义。如果企业的网络应用中，有些会触发突发数据流，则就需要启用。否则的话，就没有启用的必要。因为这个突发数据流很有可能是病毒或者木马之类造成的。所以不启用这个突发数据流也是对企业内部网络的一种保障。根据笔者的经验，笔者建议对于普通用户来说，可以不设置正常突发数据流大小。而对于管理员来说，出于日常维护的需要，就可能需要设置这个正常突发数据流大小，以满足其维护过程中出现的突发数据流。如现在笔者配置了一个监管策略，监管速率与正常突发数据流大小都采用默认值。那么任何一个分配了这项策略的远程用户，他的稳定隧道传输数据流的最高速率为56Kbit/s。集中器在通过丢弃数据报限制数据流之前，他可以支持的瞬时突发数据流为10500字节(正常突发数据流的默认大小)。网络管理员可以根据企业的实际应用来调整这两个参数。

　　第二步：将策略分配给集中器接口

　　策略配置好之后，跟访问控制列表一样，其默认情况下是不会启用的。网络管理员需要把这个策略分配给集中器的接口之后才会启用。要为某个特定的接口启用监管策略，则需要打开接口配置窗口，如Ethernet2窗口。在这个窗口中，可以设置这个接口是否需要启用带宽管理。如需要启用的话，则就可以在此为接口分配其要使用的策略。网络管理员可以在带宽策略(Bandwidth Policy)处选择刚才建立的监管策略。

　　在监管策略应用时，笔者还需要向网络管理员提醒一点，即连接速率对监管策略应用的影响。链接速率必须是基于可用的因特网带宽而不是Lan物理连接速率。如果链接速率低于监管速率的综合，则部分远程用户建达不到监管速率。这是什么意思呢?简单的将就是当互联网传输速率比监管策略设置的监管速率要低的话，则远程用户就永远达不到监管策略规定的最大传输速率。

　　第三步：分配组

　　思科的集中器中，即可以将策略应用到用户，也可以将策略应用的组中。如果企业需要远程访问的用户比较多的话，而且有需要为其分配不同的监管策略，则最好能够通过组来管理，以减少维护的工作量。其实这个步骤跟上面第二个步骤是并行的，在同一个配置窗口中实现。在配置的时候，网络管理员需要注意VPN集中器的一个默认法则。即如果网络管理员没有为远程用户所在的组设置专门定义的监管速率，则VPN集中器会将接口的监管速率直接分配给用户。也就是说，VPN集中器不像微软操作系统，默认情况下其是不通过组来管理用户的。这一点网络管理员要特别注意。