URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16254
[ Назад ]

Исходное сообщение
"маркировка трафика на GRE и IPSEC"

Отправлено lenny , 13-Май-08 11:03 
Добрый день, господа!

cisco router 28 серии.

интерфейсы:
Gi 0/0 - LAN внутренняя сеть
Gi 0/1 - внешний, с него строим туннели ipsec

выдержка из конфига:

class-map match-any RTP
match protocol rtp audio
match protocol rtp video
!
class-map match-all PRIO1
match ip dscp ef
!
policy-map CLASS-MARK
class RTP
  set ip dscp ef
!
policy-map MYPOLICY
class PRIO1
  bandwidth percent 40
class class-default
  fair-queue
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key SUPERKEY address 192.168.1.2
!
!
crypto ipsec transform-set set1 esp-3des esp-md5-hmac
!
crypto ipsec profile PROF1
set transform-set set1
!
interface Tunnel0
ip address 172.18.18.1 255.255.255.252
tunnel source GigabitEthernet0/1
tunnel destination 192.168.1.2
tunnel protection ipsec profile PROF1
!
interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0
ip address 10.10.10.1 255.255.255.0
service-policy input CLASS-MARK

Как вы видите, у меня трафик идет через GRE туннель, который защищен с помощью ipsec. Туннель поднят и работает. Я маркирую трафик видео и аудио из своей сети пятым классом, чтобы потом выделить ему 40 % канала. Я не разобрался вот в чем - на каком интерфейсе мне нужно наложить политику MYPOLICY? ведь и GRE и IPSEC заменяет ip заголовки.

спасибо!


Содержание

Сообщения в этом обсуждении
"маркировка трафика на GRE и IPSEC"
Отправлено Максим , 13-Май-08 16:52 
на interface Tunnel0 обязательно: qos pre-classify
на исходящем интерфейсе (GigabitEthernet0/1): service-policy output MYPOLICY
Кроме того, и на Gi0/1 и на Tun0 поставь корректное значение bandwidth

"маркировка трафика на GRE и IPSEC"
Отправлено Александр , 21-Июл-08 12:24 
У меня несколько похожая проблема. Поднят DMVPN (Hub-Spoke) между объектами через GRE-туннель на который наложено IPSEC шифрование. Весь трафик проходящий через интерфейс tun0 является управляющим, либо должен иметь гарантированную пропускную способность X kbit/s.

Выдержка из конфига
class-map match-any VPN-Manage
match input-interface Tunnel0
!
!
policy-map Manage
class VPN-Manage
  set dscp cs2
  bandwidth 512
class class-default
  fair-queue
!
!
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key 6 XXXXX address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 3 periodic
!
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile VPN
set transform-set trans2
!
!
!
interface Loopback0
description MultiPoint VPN GRE tunnel
bandwidth 1024
ip address x.x.x.x 255.255.255.255
ip flow ingress
ip flow egress
!
!
interface Tunnel0
description MultiPoint VPN GRE tunnel
bandwidth 900
ip address y.y.y.2 255.255.255.0
ip mtu 1400
ip nhrp authentication ettwh8m4
ip nhrp map multicast dynamic
ip nhrp map y.y.y.1 z.z.z.z
ip nhrp map multicast z.z.z.z
ip nhrp network-id 100000
ip nhrp holdtime 600
ip nhrp nhs y.y.y.1
ip ospf network broadcast
qos pre-classify
tunnel source Loopback0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile VPN
!
!

При попытке на одном из интерфейсов Loopback0 или tunnel0 задать команду
service-policy output Manage
выдает ошибку
Class Based Weighted Fair Queueing not supported on interface Tunnel0

Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 12.4(12), RELEASE SOFTWARE (fc1)

как заставить интерфейс выделять полосу нужному трафику?