科学の箱

科学・IT・登山の話題

Network

VPNで帯域制御をかけたときの注意事項

投稿日:

http://jpn.nec.com/univerge/ix/faq/ipsec-ike.html#Q1-12

Q.1-12 インターネットVPNでQoSを行う場合の、実現手段と注意点について教えてください。

入力インタフェース、もしくは TunnelインタフェースでオリジナルパケットのToS値を書き換え、出力インタフェースでToS値に基づく送信優先制御の設定を行ってください。

出力インタフェースでは、IPsecでカプセル化されたパケットの中身を見て優先度を分けることができませんが、ToS値はオリジナルパケットの値がカプセルヘッダに引き継がれるため、ToS値を見てクラス分けを行うことが可能です。

なお、IPsecパケットに対して送信優先制御を適用した場合、優先度の高い IPsecパケットから順に出力されるため、受信側でIPsecパケットに付与されているシーケンス番号により受信確認を行う機能(アンチリプレイ機能) を有効にしていると、優先度の低いパケットが受信側で廃棄されてしまう可能性が有ります。

そのため、IPsecと QoSを併用するときは、必ずアンチリプレイ機能(※)を無効化(no ipsec anti-replayコマンド)してください。

詳しい設定例は、「設定事例集」をご参照ください。

※ アンチリプレイ機能:IPsecでカプセル化されたパケットのシーケンス番号を監視し、重複して受け取ったパケットを廃棄することにより、リプレイ攻撃からの防御を行う機能。

RFC4302 – http://srgia.com/docs/rfc4302j.html#p3.4.3

RFC4303 – http://srgia.com/docs/rfc4303j.html#p3.4.4

メタ情報

inarticle



メタ情報

inarticle



-Network
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

Portmirroringを実行する手順 Avaya ERS4850

確認すること ミラーリングするポート モニタするポート キャプチャするパケットの種類(送信・受信・送受信) ミラーリングするポートはパケットの内容を見たいポート。例えばWAN回線につながっているポート …

no image

Juniper NHTBについて調べる

Screen OSでVPNを設定すると、ルーティングのほかにNHTB(Next Hop Tunnel Binding)を設定する。この設定がないとVPNで指定したIPへ到達ができないのだが、なぜ必要か …

no image

lldpとは何か

lldpはおもにネットワーク機器で利用されているプロトコル。このプロトコルをサポートしている機器同士では隣接している機器が自動的に認識される。隣接している範囲はLANである。 似たプロトコルにCisc …

no image

syslogでERS4548のメッセージをキャプチャする。

ERS4548とRiverbed Steelhead間でリンクのフラッピングが発生する。切り替えに200秒以上かかるとIPフォンのウォッチドッグがサーバー不達と判断してPABXサーバーからログオフして …

no image

伝送技術の進化

伝送技術の進化は網の種類により分けられる。 コア網の進化 時分割多重 波長分割多重 デジタルコヒーレント アクセス網 PON Related posts:syslogでERS4548のメッセージをキャ …

2014年8月
« 7月   9月 »
 123
45678910
11121314151617
18192021222324
25262728293031

side bar top



アーカイブ

カテゴリー