日韩黑丝制服一区视频播放|日韩欧美人妻丝袜视频在线观看|九九影院一级蜜桃|亚洲中文在线导航|青草草视频在线观看|婷婷五月色伊人网站|日本一区二区在线|国产AV一二三四区毛片|正在播放久草视频|亚洲色图精品一区

搜索
分享

MSR系列路由器 對IPSec內(nèi)不同流量進(jìn)行QoS保證的解決方案 一、組網(wǎng): MSR之間存在運(yùn)營商的2M物理鏈路,為了使QoS有效果,在G0/0接口上使用了LR限速2M。 二、需求描述 所有內(nèi)網(wǎng)之

 tcwl123 2012-07-14

MSR系列路由器

IPSec內(nèi)不同流量進(jìn)行QoS保證的解決方案

一、組網(wǎng)

MSR之間存在運(yùn)營商的2M物理鏈路,為了使QoS有效果,在G0/0接口上使用了LR限速2M

二、需求描述

所有內(nèi)網(wǎng)之間的流量都要經(jīng)過GRE Over IPSec的隧道,需要對內(nèi)網(wǎng)的部分流量進(jìn)行QoS保證,由于在出接口處內(nèi)網(wǎng)流量已經(jīng)被IPSec加密,所以使用源、目的的ACL無法準(zhǔn)確識別流量,因此需要通過別的方法。在分析過程中發(fā)現(xiàn)不論是GRE封裝還是IPSec封裝,內(nèi)層IP頭的DSCPToS字段都會拷貝到外層IP頭相應(yīng)字段,因此可以通過在內(nèi)網(wǎng)給數(shù)據(jù)包Remark DSCP方式對流量進(jìn)行著色,在外網(wǎng)接口對DSCP著色的IPSec數(shù)據(jù)流進(jìn)行QoS操作。

三、配置

MSR3020配置

#

 encrypt-card fast-switch

#

 //QoS部分配置,缺省進(jìn)入Bottom隊列,對于DSCPEF的流進(jìn)入Top隊列

 qos pql 1 default-queue bottom

 qos pql 1 protocol ip acl 3002 queue top

#

ike peer 1.2.0.2

 pre-shared-key h3c

 remote-address 1.2.0.2

 local-address 1.2.0.1

#

ipsec proposal def

#

ipsec policy gos 1 isakmp

 security acl 3000

 ike-peer 1.2.0.2

 proposal def

#

//匹配目的地址2.0.0.2

traffic classifier 2.0.0.2 operator and

 if-match acl 3001

#

//Remark DSCPEF

traffic behavior myef

 remark dscp ef

#

//定義QoS策略,使目的地址為2.0.0.2的數(shù)據(jù)流被Remark DSCP EF

qos policy 2002ef

 classifier 2.0.0.2 behavior myef

#

acl number 3000

 rule 0 permit gre source 1.2.0.1 0 destination 1.2.0.2 0

//匹配目的為2.0.0.2/32

acl number 3001

 rule 0 permit ip destination 2.0.0.2 0

//匹配DSCPEF

acl number 3002 name ef

 rule 0 permit ip dscp ef

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 1.2.0.1 255.255.255.0

 ipsec policy gos

 //在接口上使能PQ

 qos pq pql 1

 //對接口進(jìn)行2M限速,使QoS有效果

 qos lr outbound cir 2048 cbs 128000 ebs 0

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 1.0.0.1 255.255.255.0

 //在內(nèi)網(wǎng)入接口使能MQC,進(jìn)行DSCP著色

 qos apply policy 2002ef inbound

#

interface Encrypt11/0

 ipsec binding policy gos

#

interface Tunnel0

 ip address 10.0.0.1 255.255.255.252

 source 1.2.0.1

 destination 1.2.0.2

#

 ip route-static 2.0.0.0 255.255.255.0 Tunnel0

#

MSR3060配置

#

ike peer 1.2.0.1

 pre-shared-key h3c

 remote-address 1.2.0.1

 local-address 1.2.0.2

#

ipsec proposal def

#

ipsec policy gos 1 isakmp

 security acl 3000

 ike-peer 1.2.0.1

 proposal def

#

acl number 3000

 rule 0 permit gre source 1.2.0.2 0 destination 1.2.0.1 0

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 1.2.0.2 255.255.255.0

 ipsec policy gos

 qos lr outbound cir 2048 cbs 128000 ebs 0

#

interface GigabitEthernet0/1

 port link-mode route

 ip address 2.0.0.1 255.255.255.0

#

interface Tunnel0

 ip address 10.0.0.2 255.255.255.252

 source 1.2.0.2

 destination 1.2.0.1

#

 ip route-static 1.0.0.0 255.255.255.0 Tunnel0

#

四、解決方案

1、在內(nèi)網(wǎng)接口進(jìn)行DSCP著色

2、在外網(wǎng)接口對DSCPEF的流進(jìn)行PQ保證

    本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間,所有內(nèi)容均由用戶發(fā)布,不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息,謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點(diǎn)擊一鍵舉報。
    轉(zhuǎn)藏 分享 獻(xiàn)花(0

    0條評論

    發(fā)表

    請遵守用戶 評論公約

    類似文章 更多