филиалы в главном офисе представлены как сабинтерфейсы dot.1q, на каждом висит крипто-карта, в добавок нужно обеспечить Qos для телефонов viop в филиалах.
ip телефонов в филиалах статические, ip трафик им/от них уже меченный.делаем иерархическую полиси:
class-map match-any VOIP
match access-group 120
!
policy-map PVLANxxx
class VOIP
priority 128
class class-default
fair-queue
random-detect
policy-map QOS_VLANxxx
class class-default
shape average 512000
service-policy PVLANxxx
!
interface FastEthernet0/1.xxx
crypto map TUNNELMAP3
service-policy output QOS_VLANxxx
!
access-list 120 permit ip any host 10.2.4.20 - список телефонов
!
в итоге полиси работает, а класс VOIP пустой. причина в том, что на выходе трафик уже шифрован и адрес 10.2.4.20 в пакете ipsec уже не видно :)
команды qos pre-classify на сабинтерфейсах нет. что делать?
>[оверквотинг удален]
> interface FastEthernet0/1.xxx
> crypto map TUNNELMAP3
> service-policy output QOS_VLANxxx
> !
> access-list 120 permit ip any host 10.2.4.20 - список телефонов
> !
> в итоге полиси работает, а класс VOIP пустой. причина в том, что
> на выходе трафик уже шифрован и адрес 10.2.4.20 в пакете ipsec
> уже не видно :)
> команды qos pre-classify на сабинтерфейсах нет. что делать?crypto map TUNNELMAP3
set peer ...
set transform-set ...
.....
qos pre-classifyа в классе class-map match-any VOIP матчить уже tos/dscp или что там есть.
> crypto map TUNNELMAP3
> set peer ...
> set transform-set ...
> .....
> qos pre-classifycпасибо, счетчик на классе побежал. помогло или нет дать качество телефонии - пока не знаю