隧道接口中的QoS

在隧道接口中进行QoS控制设置时的参考信息。

关于LAN接口的优先控制,请参考优先控制的页面,关于带宽控制,请参考带宽控制的页面

支持的机型和固件版本

机型 固件
RTX5000 Rev.14.00.15以后
RTX820 Rev.11.03.16以后
RTX1200 Rev.10.01.20以后
RTX800 Rev.10.01.20以后

运行概要

QoS控制中,一般对每个数据包进行2种处理。

  1. 识别数据包属于哪种Class
  2. 基于该Class进行发送控制

通过隧道接口的数据包是加密后输出给LAN接口时,首先必须识别加密前的数据包属于哪个Class。之后在发送数据包的最终的物理接口上进行发送控制。因此,必须要进行以下2个设置。

  1. 隧道接口中的识别Class的Class Filter
  2. LAN接口的QoS类型和接口速度

当前的RT的机能中,加密数据包生成后,通过QoS改变了数据包的顺序,在接收方的安全网关处检查IPsec的序列号时,由QoS控制而改变了序列号的数据包会被丢弃。这时,在DEBUG级别的log中会生成以下log记录。

[IPSEC] sequence difference
[IPSEC] sequence number is wrong

发生这种情况时,未被优先的数据包的丢失严重,将发生在带宽控制中无法确保窄带宽的现象。作为改善对策,可以使用在接收时不检查序列号的方法。RT系列中个,可以通过ipsec sa policy命令的'anti-replay-check=off'来指定。

设置例

优先控制: LAN2侧的发送速度为3Mbit/s,优先udp数据包

queue lan2 type priority                     使用优先控制
speed lan2 3m                                限制发送带宽为3Mbit/s
tunnel select 1                              指定进行QoS设置的隧道接口
queue class filter 1 4 ip * * udp * *        定义优先数据包的filter
queue tunnel class filter list 1             适用于加密前的隧道接口
ipsec sa policy ..... anti-replay-check=off  接收时不进行序列号的检查

优先控制: PPPoE连接的LAN2侧的发送速度为3Mbit/s,优先udp数据包

queue lan2 type priority                     使用优先queue
speed lan2 3m                                限制发送带宽为3Mbit/s
tunnel select 1                              指定进行QoS设置的隧道接口
queue class filter 1 4 ip * * udp * *        定义优先数据包的filter
queue tunnel class filter list 1             适用于加密前的隧道接口
ipsec sa policy ..... anti-replay-check=off  接收时不进行序列号的检查

带宽控制: 分配给UDP数据包2Mbit/s、TCP数据包3Mbit/s、其他的5Mbit/s

queue lan2 type shaping                      使用带宽控制queue
queue lan2 class property 1 bandwidth=2m     分配给Class 1(UDP数据包)2Mbit/s
queue lan2 class property 2 bandwidth=5m     分配给Class 2(默认Class; 其他数据包)5Mbit/s
queue lan2 class property 3 bandwidth=3m     分配给Class 3(TCP数据包)3Mbit/s
tunnel select 1                              指定进行QoS设置的隧道接口
queue class filter 1 1 ip * * udp * *        定义UDP数据包的Class1的Fliter
queue class filter 2 3 ip * * tcp * *        定义TCP数据包的Class3的filter
queue tunnel class filter list 1 2           在隧道1中适用各Class的filter
ipsec sa policy ..... anti-replay-check=off  接收时不进行序列号的检查

返回顶部Return to Top