QoS aplicado em VPNs Site-to-Site com IPSec

Não há dúvida de que a melhor solução para ter uma conectividade privada entre um escritório e um Data Center é obter um L2L (Lan-to-Lan) de um site para outro. Mas por questões de custos nem sempre é a solução viável para determinado projeto ou até mesmo quando performance não é um fator decisivo. Fatores como estes é oque acaba motivando a decisão de implantar uma VPN site-to-site como alternativa, visando a disponibilidade, integridade e confidencialidade dos dados.

Considerando isso, é importante pensar não só na segurança de dados e também no desempenho de ponta a ponta, o que significa que, opcionalmente, podemos usar IPSec com QoS/ToS.

Modos IPSec usados mais comuns:

Modo de túnel IPSec (Sem túnel GRE IP)

Com esta opção apenas o tráfego unicast IPSec pode ser transportado, a principal vantagem é uma menor sobrecarga de CPU.

Modo de transporte IPSec com um túnel GRE IP Criptografado

É a solução mais comum, porque pode fornecer todos os benefícios de usar o IP GRE (protocolo de roteamento que usa multicast IP, por exemplo).

Como o QoS funciona neste tipo de implementação?

Por padrão, a maioria dos sistemas operacionais executam as operações de VPN primeiro e depois aplicam a política de QoS. Com criptografia IPSec e encapsulamento GRE, basicamente o campo ToS é copiado do cabeçalho original para o novo. É importante saber porque sua classificação não pode ser fornecida em outros campos além de ToS/DSCP.

Temos três modelos de QoS: Best-effort service, integrated service (IntServ) and differentiated services (DiffServ). É importante saber qual será a melhor opção para sua implementação.

• Tecnicamente é totalmente possível implementar uma VPN IPSec usando QoS, mas um bom conhecimento sobre esses recursos é necessário. Tenho notado que a principal dificuldade para implantar VPNs é a falta de compatibilidade entre equipamentos de diferente fornecedor, exigindo ainda mais expertise das equipes técnicas.