技术支持文档中心路由器接入路由器AR100&200配置调测配置指南

AR100-S, AR110-S, AR120-S, AR150-S, AR160-S, AR200-S, AR1200-S, AR2200-S, AR3200-S V200R010 配置指南-VPN(命令行)

(可选)配置IPSec报文的QoS功能

(可选)配置IPSec报文的QoS功能

背景信息

在网络规划中,为了完善网络的服务能力,需要配置QoS功能,实现对不同流量的差分服务。即通过将具有某类共同特征的报文划分为一类,并为同一类流量提供同等服务,从而针对不同的业务类型提供差分服务。

对IPSec报文作QoS处理,有助于实现IPSec报文更细化的QoS管理,可根据需要选择以下其中之一进行配置:
  • 报文经IPSec封装后,隐藏了原始报文的报头及协议等关于QoS的参数信息。如果希望QoS基于被封装报文的原始报头及协议等五元组信息对被封装报文进行分类,则需要配置原始报文信息预提取功能来实现。
  • 由于设备对报文做IPSec封装和解封装会造成时延,对带宽要求增加等因素,需要为IPSec报文提供差分服务,以减少IPSec报文的延时,降低其丢包率,为IPSec流量提供最大化的带宽。通过指定IPSec报文对应的QoS组,将IPSec报文划分为一类,便于实现QoS对IPSec报文的差分服务。
配置QoS的步骤如图5-29所示。
图5-29  配置QoS的步骤
关于QoS的详细介绍请参见Huawei AR系列 V200R010 配置指南-QoS》中的“配置MQC”。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 进入配置IPSec报文的QoS分类功能的命令视图。

    • 手工方式IPSec安全策略视图

      执行命令ipsec policy policy-name seq-number manual,创建手工方式安全策略,并进入手工方式IPSec安全策略视图。

    • IKE动态协商方式安全策略视图

      执行命令ipsec policy policy-name seq-number isakmp,创建IKE动态协商方式安全策略,并进入IKE动态协商方式安全策略视图。

    • 策略模板视图

      执行命令ipsec policy-template policy-template-name seq-number,创建策略模板,并进入策略模板视图。

    以上三种方式任选其一。

  3. 配置IPSec报文的QoS分类功能。

    • 执行命令qos pre-classify,配置对原始报文信息进行预提取。

      缺省情况下,系统没有配置对原始报文信息的预提取。

    • 执行命令qos group qos-group-value,配置IPSec报文所属的QoS组。

      缺省情况下,系统没有配置IPSec报文所属的QoS组。

    以上两条命令可根据需要配置一条即可。

后续处理

  • 配置原始报文信息预提取功能后,需要在QoS流分类视图下执行if-match acl { acl-number | acl-name }命令,创建基于ACL信息进行分类的匹配规则。

  • 配置IPSec报文所属的QoS组后,需要在QoS流分类视图下执行if-match qos-group qos-group-value命令,创建基于QoS组进行分类的匹配规则。