филиалы в главном офисе представлены как сабинтерфейсы dot.1q, на каждом висит крипто-карта, в добавок нужно обеспечить Qos для телефонов viop в филиалах.
ip телефонов в филиалах статические, ip трафик им/от них уже меченный.

делаем иерархическую полиси:
class-map match-any VOIP
match access-group 120
!
policy-map PVLANxxx
class VOIP
priority 128
class class-default
  fair-queue
  random-detect
policy-map QOS_VLANxxx
class class-default
  shape average 512000
  service-policy PVLANxxx
!
interface FastEthernet0/1.xxx
crypto map TUNNELMAP3
service-policy output QOS_VLANxxx
!
access-list 120 permit ip any host 10.2.4.20 - список телефонов
!
в итоге полиси работает, а класс VOIP пустой. причина в том, что на выходе трафик уже шифрован и адрес 10.2.4.20 в пакете ipsec уже не видно :)
команды qos pre-classify на сабинтерфейсах нет. что делать?

• QoS на сабинтерфейсе да еще и с ipSec,AlexDv, 16:04 , 25-Авг-11
  • QoS на сабинтерфейсе да еще и с ipSec,www_tank, 16:27 , 25-Авг-11

>[оверквотинг удален]
> interface FastEthernet0/1.xxx
>  crypto map TUNNELMAP3
>  service-policy output QOS_VLANxxx
> !
> access-list 120 permit ip any host 10.2.4.20 - список телефонов
> !
> в итоге полиси работает, а класс VOIP пустой. причина в том, что
> на выходе трафик уже шифрован и адрес 10.2.4.20 в пакете ipsec
> уже не видно :)
> команды qos pre-classify на сабинтерфейсах нет. что делать?

crypto map TUNNELMAP3
set peer ...
set transform-set ...
.....
qos pre-classify

а в классе class-map match-any VOIP матчить уже tos/dscp  или что там есть.

> crypto map TUNNELMAP3
>  set peer ...
>  set transform-set ...
>  .....
>  qos pre-classify

cпасибо, счетчик на классе побежал. помогло или нет дать качество телефонии - пока не знаю