交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
功能介绍:
IPSEC不能直接实施QOS的特殊性在于:软件处理层面,对于一个数据包处理,是先执行IPSEC封装动作,后执行QOS动作。IPSEC封装后,源目IP地址已经固定(IPSEC隧道的源目IP),QOS模块无法读取到原始数据的源目IP及端口信息,无法通过ACL来区分数据流,即使执行QOS也不会生效。
在IPSEC封装报文时,支持将IPSEC内层IP报文的DSCP值,自动复制到外层IP头中。支持的软件版本有:
RSR10/20 :10.3(5b6)版本以上;
RSR10-02E/RSR20-14EF:10.3(5b8)版本以上;
RSR30:10.4(3b11)版本以上;
RSR77:10.4(3b15)版本以上。
IPSEC下实施QOS的思路:
1)在内网口对不同业务进行流量分类和标记
2)在IPSEC出口利用标记进行QOS策略
一、组网需求
RSR-A作为某金融3G路由器,3G路由器上承载多种业务,其中现金业务优先级高需要得到保障
二、组网拓扑
三、配置要点
1、在内网口对不同业务进行流量分类和标记
2、在IPSEC出口利用标记进行QOS策略
四、配置步骤
1、在内网口对不同业务进行流量分类和标记
ip access-list extended 111
10 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 //希望放到高优先级队列的流量
interface FastEthernet 0/0
ip ref
ip address 192.168.1.1 255.255.255.0
rate-limit input access-group 111 10000000 40000 40000 conform-action set-prec-transmit 7 exceed-action transmit
//通过rate-limit命令给高优先级的流量打上标记;注意,rate-limit功能在这里只是为了打标,不做限速。所以这里的限速要配的比实际流量大
在内网口IN方向,如果需要使用其他方式打标,可以参考”流量分类和标记“章节(典型配置--->QOS--->流量分类和打标)
2、在IPSEC出口利用标记进行QOS策略,这里以PQ为例
priority-list 1 protocol ip high list 100
!
ip access-list extended 100
10 permit ip any any dscp af11
interface Async 1
crypto map mymap
priority-group 1
说明:1)强调,接口配置IPSEC后,QOS就不能用ACL来区分感兴趣流。2)在3G场景,由于运营商3G线路带宽不可控,所以不推荐使用MQC的配置方式,推荐使用PQ。
五、配置验证
1、通过show queue interface async 1具体接口,确认接口是否调用PQ策略。