@cyayon:

- les trois paramètres : pcp, dscp et priority ? Ou bien priority et dscp uniquement ? Sachant que j’applique sur l’interface vlan (832) et non sur l’interface physique.

Deux paramètres : PCP et DSCP (c.f. Simple rule management).

- peut on appliquer pcp directement sur une interface vlan (je pense que oui) ?

Ce n'est pas une bonne idée.

- vaut-il mieux appliquer sur l’interface vlan ou physique, et donc sans ou avec ^vlan id 832 ?

Il vaut mieux appliquer sur l'interface physique.

---

Explication

On devrait appliquer les règles uniquement sur l'interface physique. On peut faire totalement abstraction de l'interface virtuelle, cela complexifie la configuration et
n'apporte rien il me semble.

On définit les champs PCP (L2 « classes de service », CoS) et DSCP (L3 « services différenciés », DiffServ) des paquets comme cela est spécifié par Orange.
On peut modifier la métadonnée priority pour changer le PCP mais cela est également employé dans des configurations plus complexes (c.f. TC). Moins abstrait.

L'expression vlan id 832 permet de sélectionner des paquets. Je ne suis pas certain qu'elle soit obligatoire (à tester). Sinon, cela peut aider à clarifier des règles.
L'identifiant VLAN est associé de facto au champ PCP à cause du standard 802.1Q et un même périphérique peut supporter plusieurs VLANs. C'est aussi caractérisé
par rapport au domaine d'application de la table netdev.

---

@cyayon :

Ce serait superflu et gênant sémantiquement car les deux expressions servent à changer la valeur du champ PCP. Je ferais un nouveau test demain sans l'expression vlan id... pour être sûr.
Mes règles sont actuellement segmentées dans plusieurs tables (inet (ICMPs), arp (ARP) et netdev (DHCPs)) pour réduire les risques d'erreur.

J'ai testé avec les règles suivantes et cela fonctionne à priori. sfp1 est le nom de l'interface physique côté WAN.

Je n'ai pas appliqué de DSCP pour les paquets IGMP (il aurait fallu que je refasse une nouvelle capture réseau).

table netdev filter {
chain egress {
type filter hook egress device "sfp1" priority filter; policy accept;
udp dport 547 vlan pcp set 6 ip6 dscp set cs6 comment "QoS for DHCPv6 packets"
udp dport 67 vlan pcp set 6 ip dscp set cs6 comment "QoS for DHCPv4 packets"
ip protocol igmp vlan pcp set 5 comment "QoS for IGMP packets"
vlan type arp vlan pcp set 6 comment "QoS for ARP packets"
icmpv6 type { nd-router-solicit, nd-neighbor-solicit, nd-neighbor-advert } vlan pcp set 6 ip6 dscp set cs6 comment "QoS for ICMP packets"
}
}


Oui, sans vlan id ....

@cyayon :

Le vlan id ... est une juste expression. On peut juxtaposer des expressions pour affiner « un filtre ». Il n'y a pas d'interface virtuelle dans le "device".

Ok c’ est plus clair, donc pour reformuler : du fait qu’on applique en netdev, pas besoin de préciser vlan id …. mais ça fonctionne dans les 2 cas (avec ou sans vlan id …)