форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"маркировка трафика на GRE и IPSEC"

Сообщение от lenny on 13-Май-08, 11:03

Добрый день, господа! cisco router 28 серии. интерфейсы: Gi 0/0 - LAN внутренняя сеть Gi 0/1 - внешний, с него строим туннели ipsec выдержка из конфига: class-map match-any RTP match protocol rtp audio match protocol rtp video ! class-map match-all PRIO1 match ip dscp ef ! policy-map CLASS-MARK class RTP   set ip dscp ef ! policy-map MYPOLICY class PRIO1   bandwidth percent 40 class class-default   fair-queue ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key SUPERKEY address 192.168.1.2 ! ! crypto ipsec transform-set set1 esp-3des esp-md5-hmac ! crypto ipsec profile PROF1 set transform-set set1 ! interface Tunnel0 ip address 172.18.18.1 255.255.255.252 tunnel source GigabitEthernet0/1 tunnel destination 192.168.1.2 tunnel protection ipsec profile PROF1 ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.252 ! interface GigabitEthernet0/0 ip address 10.10.10.1 255.255.255.0 service-policy input CLASS-MARK Как вы видите, у меня трафик идет через GRE туннель, который защищен с помощью ipsec. Туннель поднят и работает. Я маркирую трафик видео и аудио из своей сети пятым классом, чтобы потом выделить ему 40 % канала. Я не разобрался вот в чем - на каком интерфейсе мне нужно наложить политику MYPOLICY? ведь и GRE и IPSEC заменяет ip заголовки. спасибо!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "маркировка трафика на GRE и IPSEC"

Сообщение от Максим (??) on 13-Май-08, 16:52

на interface Tunnel0 обязательно: qos pre-classify на исходящем интерфейсе (GigabitEthernet0/1): service-policy output MYPOLICY Кроме того, и на Gi0/1 и на Tun0 поставь корректное значение bandwidth

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "маркировка трафика на GRE и IPSEC"
	Сообщение от Александр (??) on 21-Июл-08, 12:24
	У меня несколько похожая проблема. Поднят DMVPN (Hub-Spoke) между объектами через GRE-туннель на который наложено IPSEC шифрование. Весь трафик проходящий через интерфейс tun0 является управляющим, либо должен иметь гарантированную пропускную способность X kbit/s. Выдержка из конфига class-map match-any VPN-Manage match input-interface Tunnel0 ! ! policy-map Manage class VPN-Manage   set dscp cs2   bandwidth 512 class class-default   fair-queue ! ! ! crypto isakmp policy 1 authentication pre-share crypto isakmp key 6 XXXXX address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 10 3 periodic ! ! crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! crypto ipsec profile VPN set transform-set trans2 ! ! ! interface Loopback0 description MultiPoint VPN GRE tunnel bandwidth 1024 ip address x.x.x.x 255.255.255.255 ip flow ingress ip flow egress ! ! interface Tunnel0 description MultiPoint VPN GRE tunnel bandwidth 900 ip address y.y.y.2 255.255.255.0 ip mtu 1400 ip nhrp authentication ettwh8m4 ip nhrp map multicast dynamic ip nhrp map y.y.y.1 z.z.z.z ip nhrp map multicast z.z.z.z ip nhrp network-id 100000 ip nhrp holdtime 600 ip nhrp nhs y.y.y.1 ip ospf network broadcast qos pre-classify tunnel source Loopback0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile VPN ! ! При попытке на одном из интерфейсов Loopback0 или tunnel0 задать команду service-policy output Manage выдает ошибку Class Based Weighted Fair Queueing not supported on interface Tunnel0 Cisco IOS Software, 3800 Software (C3825-ADVENTERPRISEK9-M), Version 12.4(12), RELEASE SOFTWARE (fc1) как заставить интерфейс выделять полосу нужному трафику?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]