有什么协议会被DSCP破坏吗？

Question

如果您有一个流量通过的路由器，并且希望使用DSCP值对不同类型的流量进行分类，那么是否需要特别小心以避免在某些类型的流量上设置DSCP值？

我担心的是，某些提供数据完整性的协议，如SSH或VPN，会对IP报头(包括DSCP值)进行散列，如果DSCP值发生变化，客户端将拒绝数据包。

看来，ESP和AH，如这里所描述的，要小心避免散列DSCP字段。如果您更改其数据包上的DSCP值，是否还有其他协议不那么小心，可能会中断？还是改变DSCP通常被认为是安全的？

Answer 1

没有任何协议会因为改变的DSCP而中断--但是，上游设备对它们的处理方式可能会改变(流量可能更有可能下降，或者被激进地塑造)，因此，如果您没有端到端的控制/可见性，就需要考虑到这一点。

在您的VPN示例中，封装在隧道头中的通信量将保留其DSCP值。

更改隧道通信量的DSCP值(例如:外部IP报头)将不会影响校验和(校验和将针对有效负载，而不是整个数据包)。

事实上，我多年来使用的大多数IPSEC VPN设备的默认行为是将DSCP头从隧道通信量复制到外部隧道头，以便仍然可以识别。