Tweet
🎯 GRE/IPSec Tunnel và câu chuyện “Bảo toàn ToS Byte” – Nút chặn hay mở lối cho QoS?
Đây chính là tình huống thực tế mà nhiều kỹ sư gặp phải khi triển khai WAN encryption, đặc biệt là khi dùng IPSec tunnel mode, hoặc GRE over IPSec. Vấn đề nằm ở chỗ gói IP bị bọc (encapsulated) nhưng giá trị ToS (Type of Service) – mà giờ là DSCP – có được preserve (giữ lại) hay không?
🧠 Hiểu bản chất: Tunnel và lớp header mới
Khi một gói tin được đưa vào tunnel, nó sẽ được bọc thêm lớp IP mới. Nếu bạn dùng:
👉 Câu hỏi: Byte ToS/DSCP trong IP gốc có còn tồn tại ở lớp ngoài cùng – lớp mà các router trung gian dùng để xếp hàng, phân loại hay không?
✅ Câu trả lời là: Có – nếu bạn cấu hình đúng!
🔹 GRE Tunnel: Mặc định Cisco sẽ copy ToS byte từ gói IP gốc sang IP header mới ngoài cùng. Nhờ vậy, lưu lượng được xếp hàng đúng cách tại các hop trung gian.
🔹 IPSec Tunnel Mode: Nếu không cấu hình gì thêm, ToS có thể bị bỏ qua. Nhưng bạn có thể bật tính năng qos pre-classify trên interface tunnel hoặc crypto-map để cho phép thiết bị sao chép ToS byte từ gói gốc ra lớp ngoài. Đặc biệt quan trọng với lưu lượng real-time như voice/video.
🛠 Ví dụ thực chiến (Cisco)
interface Tunnel0
ip address 10.1.1.1 255.255.255.0
tunnel source GigabitEthernet0/0
tunnel destination 192.0.2.1
qos pre-classify ! <== Cái này quan trọng!
crypto map VPN-MAP 10 ipsec-isakmp
set peer 192.0.2.1
set transform-set ESP-SET
set pfs group2
match address 101
qos pre-classify ! <== Đừng quên!
🧪 Cách kiểm chứng
💡 Kinh nghiệm rút ra
📌 Bạn nào từng bị mất QoS sau khi qua tunnel? Hay có lab cụ thể nào cần phân tích gói? Comment chia sẻ mình với nhé. Mình có thể giúp bạn bắt gói và phân tích cụ thể.
Bạn bật QoS ở mạng LAN ngon lành, DSCP đã set đầy đủ, gói VoIP gán EF, Video AF41, Data BE. Nhưng khi qua tunnel IPSec hoặc GRE lại thấy thiết bị đầu kia "mù" QoS? Có khi nào ToS byte bị rơi dọc đường?
Đây chính là tình huống thực tế mà nhiều kỹ sư gặp phải khi triển khai WAN encryption, đặc biệt là khi dùng IPSec tunnel mode, hoặc GRE over IPSec. Vấn đề nằm ở chỗ gói IP bị bọc (encapsulated) nhưng giá trị ToS (Type of Service) – mà giờ là DSCP – có được preserve (giữ lại) hay không?
🧠 Hiểu bản chất: Tunnel và lớp header mới
Khi một gói tin được đưa vào tunnel, nó sẽ được bọc thêm lớp IP mới. Nếu bạn dùng:
- GRE Tunnel → gói gốc được bọc thêm GRE Header và IP Header mới.
- IPSec Tunnel mode → gói gốc bị mã hóa hoàn toàn trong ESP, sau đó lại được bọc thêm IP Header mới nữa.
👉 Câu hỏi: Byte ToS/DSCP trong IP gốc có còn tồn tại ở lớp ngoài cùng – lớp mà các router trung gian dùng để xếp hàng, phân loại hay không?
✅ Câu trả lời là: Có – nếu bạn cấu hình đúng!
🔹 GRE Tunnel: Mặc định Cisco sẽ copy ToS byte từ gói IP gốc sang IP header mới ngoài cùng. Nhờ vậy, lưu lượng được xếp hàng đúng cách tại các hop trung gian.
🔹 IPSec Tunnel Mode: Nếu không cấu hình gì thêm, ToS có thể bị bỏ qua. Nhưng bạn có thể bật tính năng qos pre-classify trên interface tunnel hoặc crypto-map để cho phép thiết bị sao chép ToS byte từ gói gốc ra lớp ngoài. Đặc biệt quan trọng với lưu lượng real-time như voice/video.
🛠 Ví dụ thực chiến (Cisco)
interface Tunnel0
ip address 10.1.1.1 255.255.255.0
tunnel source GigabitEthernet0/0
tunnel destination 192.0.2.1
qos pre-classify ! <== Cái này quan trọng!
crypto map VPN-MAP 10 ipsec-isakmp
set peer 192.0.2.1
set transform-set ESP-SET
set pfs group2
match address 101
qos pre-classify ! <== Đừng quên!
🧪 Cách kiểm chứng
- Gửi gói có DSCP cụ thể từ một client (ví dụ EF – VoIP).
- Bắt gói tại thiết bị trung gian (dùng Wireshark hoặc SPAN port).
- Xem lớp ngoài cùng của gói tin có giữ đúng DSCP không.
💡 Kinh nghiệm rút ra
- Đừng nghĩ rằng bật QoS ở LAN là đủ – phải đảm bảo tunnel không “làm mù” DSCP.
- Đặc biệt trong SD-WAN hoặc các kiến trúc Hybrid WAN: giá trị ToS/DSCP là chìa khóa sống còn để phân loại ứng dụng.
- Khi dùng GRE/IPSec, hãy luôn kiểm tra hành vi preserve ToS trong lab trước khi đem ra production.
📌 Bạn nào từng bị mất QoS sau khi qua tunnel? Hay có lab cụ thể nào cần phân tích gói? Comment chia sẻ mình với nhé. Mình có thể giúp bạn bắt gói và phân tích cụ thể.