お世話になります。

C841MにてSite-to-SiteのVPNを張り，QoSをかけようと試みています。

IPSec間のOSPFのみ帯域保証（例えば200kbps）をかけたい場合に以下設定を入れましたがうまく行きません。

---Config抜粋---

class-map match-any OSPF
match protocol ospf
!
policy-map OSPF
class OSPF
bandwidth 200

!

interface Tunnel1

 qos pre-classify

!

---

■ Tunnel IFへサービスポリシーを適用するとNG。

R(config)# int tu1
R(config-if)# service-policy output OSPF
Weighted Fair Queueing feature is not supported in user defined class of parent level policy

■ 物理IFへサービスポリシーを適用すると設定は入るものの，ポリシーにマッチしない。

#sh policy-map int
GigabitEthernet0/0

Service-policy output: OSPF

Class-map: OSPF (match-any)
0 packets, 0 bytes
1 minute offered rate 0000 bps, drop rate 0000 bps
Match: protocol ospf
0 packets, 0 bytes
1 minute rate 0 bps
Queueing
queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/0/0
(pkts output/bytes output) 0/0
bandwidth 200 kbps

Class-map: class-default (match-any)
0 packets, 0 bytes
1 minute offered rate 0000 bps, drop rate 0000 bps
Match: any

queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/0/0
(pkts output/bytes output) 0/0

設定ミスっていますでしょうか。

～追記～

親クラスにclass-defaultを入れshape averageを設定し，その下にOSPFクラスを入れたら行けました。

が，IPSecを通るトラフィックを1MbpsにShapingかけたとたんCPUが100%に張り付きました。

IPSecとQoSでは処理能力が極端に落ちるとは思っていましたが，この状況をみるとC841Mでは暗号化と帯域制御は一緒にかけることを想定されていないのでしょうか。