Cái này có khác chút đỉnh đó bạn.
vd: bạn match protocol http thì đối với gói bình thường ok.
Còn đối với gói VPN nó bị mã hóa nên làm sao router biết bạn match cái gì (HTTP nằm trong gói data, mà data thì bị mã hóa).
Vì thế bạn chỉ cần cấu hình QoS bình thường, sau đó bạn làm thêm vài câu lệnh để: trước khi mã hóa gói thì router nhìn các giá trị QoS bạn đã match trước.
Lệnh đó là "qos pre-classify"

Day la cau hinh QoS cho GRE tunnel tren duong ATM, minh su dung mo hinh 6-class cua Cisco
!
class-map match-all VOICE
match ip dscp ef
class-map match-any CALL-SIGNALING
match ip dscp cs3
match ip dscp af31
class-map match-any INTERNETWORK-CONTROL
match ip dscp cs6
match access-group name IKE
class-map match-all TRANSACTIONAL-DATA
match ip dscp af21 af22
class-map match-all SCAVENGER
match ip dscp cs1
!
!
policy-map V2PN-EDGE
class VOICE
priority percent 33
class CALL-SIGNALING
bandwidth percent 5
class INTERNETWORK-CONTROL
bandwidth percent 5
class TRANSACTIONAL-DATA
bandwidth percent 31
queue-limit 20
class SCAVENGER
bandwidth percent 1
queue-limit 1
class class-default
bandwidth percent 25
queue-limit 16
!
!
ip access-list extended IKE
permit udp any eq isakmp any eq isakmp
!

!
policy-map SHAPING-MEGAWAN-TUNNEL
class class-default
shape average 2006000 20060 0
service-policy V2PN-EDGE
!
!
interface Tunnel1
description IpSec GRE tunnel to HCM
bandwidth 2048
ip unnumbered atm0.1
service-policy output SHAPING-MEGAWAN-TUNNEL
qos pre-classify
tunnel source atm0.1
tunnel destination 10.254.245.2
crypto map hcm2vt
!

QOS tren interface Tunnel GRE(OSPF)

Chào mọi người!

Mọi người trả lời giúp mình vấn đề này với:

Mô hình: R-HN(Gi0/1)<--------MPSL/VPN-------->(Gi0/1)R-HCM (dùng đường Megawan quang)
...............(tunnel1)<-------------------------->(tunnel1)
...................................OSFP GRE-Tunel

Mình thực hiện QOS như sau():

*** Đánh dấu, Phân loại Traffic***

ip access-list extended Traffic_1
10 permit tcp any any eq 123
!
ip access-list extended Traffic_2
0 permit tcp any host 1.1.1.1 eq 456
!
class-map match-any Class_1
match access-group name Traffic_1
!
class-map match-any Class_2
match access-group name Traffic_2
!

*** Quản lý tắc nghẽn ***

policy-map TRAFFIC

class Class_1
priority percent 5
set dscp ef
class Class_2
bandwidth percent 70
set dscp ef
class class-default
fair-queue
random-detect
!
*** Apply chính sách lên cổng Router ***

Router-HN:

interface tunnel1
banwidth 1024
qos pre-classify
!
interface Gi0/1
bandwidth 1024
service-policy output TRAFFIC

Router-HCM: làm tương tự

Sau khi apply chính sách lên cổng mình "show policy-map interface gi0/1" có kế quả sau:

*******************************
Service-policy output: TRAFFIC

Class-map: Class_1 (match-any)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: access-group name Traffic_1
0 packets, 0 bytes
5 minute rate 0 bps
Queueing
Strict Priority
Output Queue: Conversation 264
Bandwidth 5 (%)
Bandwidth 51 (kbps) Burst 1275 (Bytes)
(pkts matched/bytes matched) 0/0
(total drops/bytes drops) 0/0
QoS Set
dscp ef
Packets marked 0

Class-map: Class_2 (match-any)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: access-group name Traffic_2
0 packets, 0 bytes
5 minute rate 0 bps
Queueing
Output Queue: Conversation 265
Bandwidth 70 (%)
Bandwidth 716 (kbps)Max Threshold 64 (packets)
(pkts matched/bytes matched) 0/0
(depth/total drops/no-buffer drops) 0/0/0
QoS Set
dscp ef
Packets marked 0

Class-map: class-default (match-any)
7482164 packets, 2605951031 bytes
5 minute offered rate 336000 bps, drop rate 0 bps
Match: any
Queueing
Flow Based Fair Queueing
Maximum Number of Hashed Queues 256
(total queued/total drops/no-buffer drops) 0/312/0
exponential weight: 9

************************************************** ***
Có phải những phần mình tô đậm trong kết quả trên chứng tỏ policy của mình chưa ăn cho Class_1,2 ???.

Mình đọc trên trang cisco thì có guide như sau:

You can apply a service policy to either the tunnel interface or to the underlying physical interface. The decision of where to apply the policy depends on the QoS objectives. It also depends on which header you need to use for classification.

• Apply the policy to the tunnel interface without qos-preclassify when you want to classify packets based on the pre-tunnel header.
• Apply the policy to the physical interface without qos-preclassify when you want to classify packets based on the post-tunnel header. In addition, apply the policy to the physical interface when you want to shape or police all traffic belonging to a tunnel, and the physical interface supports several tunnels.
  
• Apply the policy to a physical interface and enable qos-preclassify on a tunnel interface when you want to classify packets based on the pre-tunnel header.

Mình sử dụng theo cách thứ 3 nhưng có vẻ policy của mình chưa có tác dụng thì phải. Mọi người cho mình biết với mô hình trên thì có các cách cấu hình QOS nào? Cách nào là đơn giản và rễ monitor? Bởi vì mình dùng tools như Netflow Analyzer thì chỉ bắt được traffic trên interface tunnel còn trên interface vật lý nó chỉ hiện thị dạng GRE_App(không xem chi tiết được traffic).

P/S: Mình apply lên interface tunnel theo cách 1 thì bị lỗi sau: “Weighted Fair Queueing feature is not supported in user defined class of parent level policy”. Trên trang cisco thì cũng nói sẽ gặp lỗi trên khi apply lên interface tunnel. Mong được mọi người chỉ giúp, thanks a lot!

- ACL phân loại có thể chưa đúng nên ko match được traffic.
- Mình apply lên interface tunnel theo cách 1 thì bị lỗi sau: “Weighted Fair Queueing feature is not supported in user defined class of parent level policy” --> Bạn dùng cơ chế tạo policy lồng nhau như bạn Phucdnv làm ở trên, thì sẽ áp lên Interface Tunnel được.