http://jpn.nec.com/univerge/ix/faq/ipsec-ike.html#Q1-12
Q.1-12 インターネットVPNでQoSを行う場合の、実現手段と注意点について教えてください。
入力インタフェース、もしくは TunnelインタフェースでオリジナルパケットのToS値を書き換え、出力インタフェースでToS値に基づく送信優先制御の設定を行ってください。
出力インタフェースでは、IPsecでカプセル化されたパケットの中身を見て優先度を分けることができませんが、ToS値はオリジナルパケットの値がカプセルヘッダに引き継がれるため、ToS値を見てクラス分けを行うことが可能です。
なお、IPsecパケットに対して送信優先制御を適用した場合、優先度の高い IPsecパケットから順に出力されるため、受信側でIPsecパケットに付与されているシーケンス番号により受信確認を行う機能(アンチリプレイ機能) を有効にしていると、優先度の低いパケットが受信側で廃棄されてしまう可能性が有ります。
そのため、IPsecと QoSを併用するときは、必ずアンチリプレイ機能(※)を無効化(no ipsec anti-replayコマンド)してください。
詳しい設定例は、「設定事例集」をご参照ください。
※ アンチリプレイ機能:IPsecでカプセル化されたパケットのシーケンス番号を監視し、重複して受け取ったパケットを廃棄することにより、リプレイ攻撃からの防御を行う機能。
RFC4302 – http://srgia.com/docs/rfc4302j.html#p3.4.3
RFC4303 – http://srgia.com/docs/rfc4303j.html#p3.4.4