IPSec GRE上的DSCP信任

Question

我有两个分支机构连接在一起，通过地铁-e和我运行一个ipsec gre隧道之间的两个地点。

routerA=branch1 routerB=branch2

WAN-------routerA----------|metroe|------------routerB----device

该设备被标记为AF41，并通过广域网连接输出。服务策略仅存在于routerA上。我想要实现的是信任routerA和routerB之间的链接。

我不知道该如何做，是在隧道接口下设置qos预分类命令，还是在密码映射下设置qos预分类命令，与mls、qos、信任、dscp一样，还是最简单的方法？

问候

Answer 1

我只是无意中发现了这位老家伙，因为他不止一次出现在这种情况下，所以我想回答。

不需要在ISR G1 (18xx/28xx/38xx)、G2 (19xx/29xx/39xx)或ISR 4000系列等思科路由器上进行信任配置--可能还有更老的。

只要没有入站的QoS策略对数据包进行分类和(再)标记，它们就不会使用ToS字节。

通常，要封装的数据包的ToS字节(包括DSCP)被复制到封装头中.

还请参见https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/WAN_和_城域网/QoS_SRND/QoS-SRND-Book/IPSecQoS.pdf S.pdf

"ToS Byte保存“一章(第6至12页)：

为了克服这一困境，IPSec协议标准固有地提供了通过将原始IP报头复制到隧道和加密过程中添加的IP报头来保留原始IP报头的ToS字节信息的能力。

QoS预分类也在这里进行了解释。简单地说，使用QoS预分类，每个要加密的数据包都会在路由器内存中获得一个伴随的数据结构，该结构保存来自原始数据包的信息。出口QoS策略然后根据来自同伴数据的数据，而不是封装/加密(因此无法访问)原始数据包，正确地排队/调度加密的数据包。

如果我正确理解了您的情况，默认的active ToS字节保存和隧道接口上的出口策略应该能很好地工作，确保数据包按照您的意愿离开路由器。

然而，可能是城域以太网或广域网服务提供商可能不信任最外层IP报头中的dscp标记，并可能使它们无效。这可能是次要的关切，原因有二：

• 数据包在排队/调度后按您希望的顺序离开路由器。如果您的出口策略包括适当的成形到刚好低于SP的阈值，SP的设备将不需要排队/重新安排。
• 远程隧道端点将开始对传入数据包进行解除封装。第一步是使用可能为空的ToS字节丢弃最外层的IP报头。没有造成伤害，下一个IP头将仍然有原始的ToS字节与DSCP字段。