On 4 Jan 2012, at 03:36, Michel Py wrote: >>> C'est pas évident de faire du QOS à l'intérieur du tunnel. >>> Petit retour en arrière (IOS): expliques-moi pourquoi il faut >>> mettre la crypto-map ET sur l'interface physique ET dans le >>> tunnel? Ça défie la logique. > >> Pardon ? > > Euh oui c'était vague. Je faisais la relation avec le chiffrage du tunnel. > (je passe toute la config crypto, une usine à gaz)
Dans ce cas, il n'y a pas vraiment besoin de chiffrer un tunnel GRE/L2TP/IPIP fait l'affaire. Mais je suis d'accord que ce ne va pas forcement améliorer les choses. Le seul cas ou ca peut vraiment faire une différence est si tu as besoin de faire du load balancing par paquet et non par flow. Et la encore c'est un configuration qui risque d'avoir des problemes si les deux lignes ont des differences (different round-trip, ...) C'est surtout utile si tu a une IP derrière l'ADSL qui a besoin de plus d'upload qu'une seule ligne peut fournir. Pour le lecteur curieux, la config ressemble a ca : interface Tunnel1 description "Premier Tunnel" bandwidth 512 ip address 82.219.xxx.xxx 255.255.255.252 ip mtu 1436 ip load-sharing per-packet ip tcp adjust-mss 1436 keepalive 3 3 tunnel source 82.219.yyy.yyy tunnel destination 82.219.zzz.zzz tunnel path-mtu-discovery ! interface Tunnel2 description "Deuxieme Tunnel" bandwidth 512 ip address 82.219.xxx.xxx 255.255.255.252 ip mtu 1436 ip load-sharing per-packet ip tcp adjust-mss 1436 keepalive 3 3 tunnel source 82.219.yyy.yyy tunnel destination 82.219.zzz.zzz tunnel path-mtu-discovery ! (Des deux cotes : routeur DSL et routeur du "bon" cote de l'ADSL) Pour le routeur internet ip route 82.219.aaa.bbb 255.255.255.248 Tunnel1 ip route 82.219.aaa.bbb 255.255.255.248 Tunnel1 Du cote DSL tu peux meme mettre un tracker : ip route 0.0.0.0 0.0.0.0 Tunnel1 track 1 ip route 0.0.0.0 0.0.0.0 Tunnel1 track 2 track 1 interface Dialer1 ip routing track 1 interface Dialer2 ip routing avec Dialier1 et Dialer2 les interface Dialer DSL pour les deux lignes. Pour le cas de Gregoire "per packet" n'est pas la solution. > C'est pour ça que je disais qu'il fallait mettre l'interface xDSL dans le > routeur. CQFD. Nous sommes totalement d'accord. CQFD c'est que la bidouille ne marche jamais a 100% et que ce soit MPPP DSL, tunneling, QOS ou autre chose il n'y a pas de solution magique pas chere :p > La même crypto-map sur l'interface physique et sur l'interface tunnel. Il n'y > a pas de logique. La logique voudrait que soit tu chiffres soit d'IP à IP sur > l'interface physique, soit le tunnel entier sur l'interface tunnel. En plus > quand tu regardes la crypto-map et l'access-list associée tu trouves que des > adresses publiques, et pourtant si tu ne mets la crypto-map que sur f0/0 ou > que sur tu0 ça ne marche pas. Je n'ai jamais joue avec les crypto-map - je ne fais pas les config VPN (ou meme clients), je suis chanceux d'avoir des gens a qui ca pourri la vie a la place de la mienne :D > Même idée pour faire du QOS à l'intérieur du tunnel. Ton service-policy > output machin, tu le mets sur f0/0 ou sur tu0 ou les deux? Dans le cas ci-dessus le QOS va dans l'interface Tunnel. Tu peux assumer que la ligne ne sera pas utilise autrement et cela sera vrai la plupart du temps. > Malheureusement, une interface tunnel ça ne réagit pas toujours comme une > vraie.... Nous sommes d'accord :( Thomas --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
