如果您有一个流量通过的路由器,并且您想使用 DSCP 值对不同类型的流量进行分类,您是否需要特别小心以避免在某些类型的流量上设置 DSCP 值?
我担心某些提供数据完整性的协议(如 SSH 或 VPN)会采用 IP 标头的哈希值,包括 DSCP 值,如果 DSCP 值发生变化,客户端将拒绝数据包。
似乎 ESP 和 AH,如此处所述,注意避免散列 DSCP 字段。是否有其他不那么小心的协议,如果您更改其数据包上的 DSCP 值可能会中断?还是随意更改 DSCP 通常被认为是安全的?
是否有任何 DSCP 会破坏的协议?
网络工程
ipv4
ip
数码管
2021-07-15 14:33:17
1个回答
没有协议会因为 DSCP 的改变而中断——但是,上游设备对它们的处理方式可能会发生变化(流量可能更有可能被丢弃或被攻击性地塑造),因此如果您没有,则需要考虑这一点端到端的控制/可见性。
在您的 VPN 示例中,封装在隧道标头中的流量将保留其 DSCP 值。
更改隧道流量的 DSCP 值(例如:外部 IP 标头)不会影响校验和(校验和将针对有效负载,而不是整个数据包)。
事实上,我多年来使用过的大多数 IPSEC VPN 设备的默认行为是将 DSCP 标头从隧道流量复制到外部隧道标头,以便仍然可以识别它。