Jump to content
Калькуляторы

QoS через L3vpn провайдера посоветуйте энтерпрайзу

прошу совета куда посмотреть и есть ли варианты

есть несколько впн с бранчами от разных провайдеров, схема с каждым примерно одинакова, сервисы в ГО - 100М канал в vpn провайдера - условно 100х1М каналов с разными бранчами (/26/27/28 сети)

проблема в том, что юзер из бранча может "запросить" себе условно 2М трафика, половина из которого подропается на выходном полисере прова

частично это небольшая проблема - у некоторых провов есть соглашение по qos, мы в ГО метим dscp приоритетный трафик, пров на выходе кладет приоритетный трафик в очереди согласно маркировке

А вот там, где приоретизации нет, случается вакханалия, юзер начинает сосать много трафика из одного сервиса, другие с более бизнес-критичными задачами "сосут" по-своему

собственно вопрос: со стороны ГО что можно сделать? а) приоритетному трафику выделить х% полосы на каждый бранч б) мусорный трафик задавить

*кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт)

в наличии скоро будет ASR, там конечно темный лес возможностей по сравнению с ISR, но я им еще не настолько овладел

P.S. Микротики не предлагать

Share this post


Link to post
Share on other sites

прошу совета куда посмотреть и есть ли варианты

есть несколько впн с бранчами от разных провайдеров, схема с каждым примерно одинакова, сервисы в ГО - 100М канал в vpn провайдера - условно 100х1М каналов с разными бранчами (/26/27/28 сети)

проблема в том, что юзер из бранча может "запросить" себе условно 2М трафика, половина из которого подропается на выходном полисере прова

частично это небольшая проблема - у некоторых провов есть соглашение по qos, мы в ГО метим dscp приоритетный трафик, пров на выходе кладет приоритетный трафик в очереди согласно маркировке

А вот там, где приоретизации нет, случается вакханалия, юзер начинает сосать много трафика из одного сервиса, другие с более бизнес-критичными задачами "сосут" по-своему

собственно вопрос: со стороны ГО что можно сделать? а) приоритетному трафику выделить х% полосы на каждый бранч б) мусорный трафик задавить

*кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт)

в наличии скоро будет ASR, там конечно темный лес возможностей по сравнению с ISR, но я им еще не настолько овладел

P.S. Микротики не предлагать

Иерархический QoS на выходе, если провайдер гарантирует полосу должен помочь. ISR умеет.

То есть сначала зажимаете полосу в ширину, которую дает провайдер, потом в этой полосе уже выставляете приоритеты для разных классов трафика.

Без этого, в реальности, вы будете получать проблемы для чувствительного трафика (например, голоса) даже при 10% утилизации.

Share this post


Link to post
Share on other sites

Иерархический QoS на выходе, если провайдер гарантирует полосу должен помочь. ISR умеет.

То есть сначала зажимаете полосу в ширину, которую дает провайдер, потом в этой полосе уже выставляете приоритеты для разных классов трафика.

Без этого, в реальности, вы будете получать проблемы для чувствительного трафика (например, голоса) даже при 10% утилизации.

 

это есть, но для классов трафика в целом к полосе широкого выходного канала

как разграничить внутри него полосы для классов к каждому бранчу, или это невозможно?

Share this post


Link to post
Share on other sites

Иерархический QoS на выходе, если провайдер гарантирует полосу должен помочь. ISR умеет.

То есть сначала зажимаете полосу в ширину, которую дает провайдер, потом в этой полосе уже выставляете приоритеты для разных классов трафика.

Без этого, в реальности, вы будете получать проблемы для чувствительного трафика (например, голоса) даже при 10% утилизации.

это есть, но для классов трафика в целом к полосе широкого выходного канала

как разграничить внутри него полосы для классов к каждому бранчу, или это невозможно?

Дык, так и разграничить, на то он и иерархический.

Например, тут посмотреть: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_hrhqf/configuration/15-mt/qos-hrhqf-15-mt-book.pdf

Share this post


Link to post
Share on other sites

Дык, так и разграничить, на то он и иерархический.

Например, тут посмотреть: http://www.cisco.com...-15-mt-book.pdf

 

иерархический - это понятно

в дочернем классе я расписываю полосы для разных сервисов

в родительском определяю полосу для бранча, матчу его сеть/-и

проблема в том, что полиси у меня будет состоять из 400+ родительских классов (?!) Это несколько неудобно будет, мягко говоря, да и не в каждую платформу влезет имхо

я по провайдерским технологиям не спец конечно, но м.б. существуют какие-то более красивые решения?

Share this post


Link to post
Share on other sites

Дык, так и разграничить, на то он и иерархический.

Например, тут посмотреть: http://www.cisco.com...-15-mt-book.pdf

иерархический - это понятно

в дочернем классе я расписываю полосы для разных сервисов

в родительском определяю полосу для бранча, матчу его сеть/-и

проблема в том, что полиси у меня будет состоять из 400+ родительских классов (?!) Это несколько неудобно будет, мягко говоря, да и не в каждую платформу влезет имхо

я по провайдерским технологиям не спец конечно, но м.б. существуют какие-то более красивые решения?

Зачем 400?!!

Как этим можно разумно управлять?!

 

Мне кажется, вы что-то путаете...

Share this post


Link to post
Share on other sites

*кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт)

а нельзя матчить по типу трафика, а не по подсетям?

Share this post


Link to post
Share on other sites

*кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт)

а нельзя матчить по типу трафика, а не по подсетям?

Тут возможностей масса, но некоторые возможности достаточно дороги :).

Вы можете даже раскрашивать трафик через IP precedence на входе в сеть, и потом матчить по этому параметру на выходе в WAN.

А можете наваять ACL_ы и раздавать приоритеты по ACL. Если у вас 400 позиций в ACL-ах, то это не страшно, хотя вручную управляется плохо, желательна автоматизация.

А 400 правил приоритетов - это страшно :)!

Share this post


Link to post
Share on other sites

Тут возможностей масса, но некоторые возможности достаточно дороги :).

 

Микротик может иерархически пометить любые данные и протоколы, сделав нужные приоритеты. Достаточно только поставить в центре микротик и на всех дальних концах арендованных каналов. Это вам не циски с заоблачной стоимостью.

Share this post


Link to post
Share on other sites

прошу совета куда посмотреть и есть ли варианты

есть несколько впн с бранчами от разных провайдеров, схема с каждым примерно одинакова, сервисы в ГО - 100М канал в vpn провайдера - условно 100х1М каналов с разными бранчами (/26/27/28 сети)

проблема в том, что юзер из бранча может "запросить" себе условно 2М трафика, половина из которого подропается на выходном полисере прова

частично это небольшая проблема - у некоторых провов есть соглашение по qos, мы в ГО метим dscp приоритетный трафик, пров на выходе кладет приоритетный трафик в очереди согласно маркировке

А вот там, где приоретизации нет, случается вакханалия, юзер начинает сосать много трафика из одного сервиса, другие с более бизнес-критичными задачами "сосут" по-своему

собственно вопрос: со стороны ГО что можно сделать? а) приоритетному трафику выделить х% полосы на каждый бранч б) мусорный трафик задавить

*кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт)

в наличии скоро будет ASR, там конечно темный лес возможностей по сравнению с ISR, но я им еще не настолько овладел

P.S. Микротики не предлагать

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/xe-3s/asr1000/sec-conn-dmvpn-xe-3s-asr1000-book/sec-conn-dmvpn-per-tunnel-qos.html

 

The Per-Tunnel QoS for DMVPN feature lets you apply a quality of service (QoS) policy on a Dynamic Multipoint VPN (DMVPN) hub on a per-tunnel instance (per-spoke basis) in the egress direction for DMVPN hub-to-spoke tunnels. The QoS policy on a DMVPN hub on a per-tunnel instance lets you shape tunnel traffic to individual spokes (a parent policy) and differentiate individual data flows going through the tunnel for policing (a child policy). The QoS policy that the hub uses for a specific spoke is selected according to the specific Next Hop Resolution Protocol (NHRP) group into which that spoke is configured. Although you can configure many spokes into the same NHRP group, the tunnel traffic for each spoke is measured individually for shaping and policing.

но это придется overlay сеть поднимать поверх провайдерского VPN, выглядит не очень эффективно, зато на 100% покрывает указанные потребности

 

Это вам не циски с заоблачной стоимостью.

поэтому придется покупать по два и даже три микротика чтобы добиться цены циски, но это не проблема, потому что микротик рассчитан что одно устройство не в состоянии взять на себя все необходимые функции, так что ни одно устройство зря не пропадет

Share this post


Link to post
Share on other sites

Тут возможностей масса, но некоторые возможности достаточно дороги :).

 

Микротик может иерархически пометить любые данные и протоколы, сделав нужные приоритеты. Достаточно только поставить в центре микротик и на всех дальних концах арендованных каналов. Это вам не циски с заоблачной стоимостью.

В приличной компании стоимость cisco имеет незначительное влияние на бюджет. А вот час простоя может иметь приличную стоимость.

Какова наработка на отказ у Микротика? Сколько времени занимает замена вышедшего из строя оборудования по сервисному контракту? Какова скорость реакции технической поддержки вендора и какова его квалификация?

Share this post


Link to post
Share on other sites

Мне кажется, что последнюю строку ТС нужно вынести в самое начало поста.

 

Одновременно гибко, оптимально и элегантно сделать у вас не получится.

Мне кажется, тут три варианта:

1. Тоннель. Тут вы сможете играть со своим трафиком по своим правилам. Правда, будет небольшой процент бесполезной нагрузки на канал за счёт лишних оверхедов.

2. Поддержка QoS со стороны оператора l3-vpn услуги.

3. Мегасложные H-QoS.

 

Не спец в этой штуке, но тоже имеет некое отношение к QoS и распределённым сетям - QPBGP. Правда, работает для сетей (префиксов), и как-либо дифиринцировать трафик от/для одного объекта (префикса) не получится. То есть, например, вы смогли бы её использовать для распространения своих политики в бранчи их ГО. Но только для префиксов.

Share this post


Link to post
Share on other sites

QoS и распределённым сетям - QPBGP

ах вот как называется "flowspec" для QoS...

Share this post


Link to post
Share on other sites

Мда, перечитал первый топик, понял, что не понял задачу :). Прощу прощения, ввел в заблуждение.

HQoS тут будет монструозным. Я не знаю, есть ли ограничение на размер иерархии, но это не дело. Даже по два класса на удаленный офис - 800 классов в политике!

 

Так что коллеги правы. Провайдер должен обеспечить QoS. Если где-то QoS не обеспечивается, можно туда стоить тоннели и QoS-ить тоннели по отдельности.

Или уже загонять в HQoS только такие офисы, где нет провайдерского QoS, если их не много.

 

А вот про QPBGP что-то даже гугл молчит, и я не встречал. Есть QPPB, но оно, как я понял сходу, несколько иная фича.

 

В общем, если есть сервисный контракт - хороший повод запросить консультацию у ТАС!

Share this post


Link to post
Share on other sites

Зачем 400?!!

Как этим можно разумно управлять?!

Мне кажется, вы что-то путаете...

нет-нет, не путаю

переводя на провайдерский язык - у меня есть интерфейс во влан, в нем 400 абонентов (только я их не агрегирую, маршрутизация идет через "третье лицо")

родительская полиси должна зашейпить/урезать полосу к каждому уникальному абоненту до 1М/2М/5М/10М у кого какой выход на той стороне

внутри полосы нужно гарантировать (например) 25% priority для голоса, 40% для бизнес-сервисов, остальное class-default

 

на выходе трубы я-то могу выдать priority для rtp 50Мбит, но это не помешает одному из бранчей забить себе входящий канал вебом, и провайдер будет дропать поровну и голос, и веб

Share this post


Link to post
Share on other sites

Зачем 400?!!

Как этим можно разумно управлять?!

Мне кажется, вы что-то путаете...

нет-нет, не путаю

переводя на провайдерский язык - у меня есть интерфейс во влан, в нем 400 абонентов (только я их не агрегирую, маршрутизация идет через "третье лицо")

родительская полиси должна зашейпить/урезать полосу к каждому уникальному абоненту до 1М/2М/5М/10М у кого какой выход на той стороне

внутри полосы нужно гарантировать (например) 25% priority для голоса, 40% для бизнес-сервисов, остальное class-default

 

на выходе трубы я-то могу выдать priority для rtp 50Мбит, но это не помешает одному из бранчей забить себе входящий канал вебом, и провайдер будет дропать поровну и голос, и веб

Да, я уже понял свою ошибку и извинился постом выше :).

Share this post


Link to post
Share on other sites

Нашёл только это - http://www.cisco.com/c/en/us/support/docs/quality-of-service-qos/qos-policing/22833-qos-faq.html

 

"Q. How many classes does a Quality of Service (QoS) policy support?

 

A. In Cisco IOS versions earlier than 12.2 you could define a maximum of only 256 classes, and you could define up to 256 classes within each policy if the same classes are reused for different policies. If you have two policies, the total number of classes from both policies should not exceed 256. If a policy includes Class-Based Weighted Fair Queueing (CBWFQ) (meaning it contains a bandwidth [or priority] statement within any of the classes), the total number of classes supported is 64.

 

In Cisco IOS versions 12.2(12),12.2(12)T, and 12.2(12)S, this limitation of 256 global class-maps was changed, and it is now possible to configure up to 1024 global class-maps and to use 256 class-maps inside the same policy-map."

По 15 ветке что то не понятно.

Share this post


Link to post
Share on other sites

не стоило даже искать, если бы у него было не 400 офисов, а 100, это тоже был бы не вариант. для DMVPN у циски есть решение QOS и я его привел. всё.

есть второй вариант, провайдер который делает шейпер с qos, надо только свой трафик правильно красить. такие существуют, но если текущий оператор не дает такой услуги, то переключиться на альтернативного мне кажется что не вариант.

так что из всех костыльных решений, DMVPN меньшее из костылей, я заметил что у ТС циски, так что это вполне себе вариант. но я в сети видел какой-то демон для линукс NHRP, но в очень зачаточном состоянии, может кто-нибудь допилил, тогда более широкие массы смогут ощутить удобство этой технологии

Share this post


Link to post
Share on other sites

но это придется overlay сеть поднимать поверх провайдерского VPN, выглядит не очень эффективно, зато на 100% покрывает указанные потребности

 

да, вариант, но по удоемкости внедрения все равно что полиси на каждый бранч колхозить

 

Мне кажется, что последнюю строку ТС нужно вынести в самое начало поста.

 

Одновременно гибко, оптимально и элегантно сделать у вас не получится.

Мне кажется, тут три варианта:

1. Тоннель. Тут вы сможете играть со своим трафиком по своим правилам. Правда, будет небольшой процент бесполезной нагрузки на канал за счёт лишних оверхедов.

2. Поддержка QoS со стороны оператора l3-vpn услуги.

3. Мегасложные H-QoS.

 

Не спец в этой штуке, но тоже имеет некое отношение к QoS и распределённым сетям - QPBGP. Правда, работает для сетей (префиксов), и как-либо дифиринцировать трафик от/для одного объекта (префикса) не получится. То есть, например, вы смогли бы её использовать для распространения своих политики в бранчи их ГО. Но только для префиксов.

 

1. тоннели только если dmvpn, тк бранчи и между собой трафик гоняют немного, тут потеряем преимущества bgp с провайдером

2. это само собой разумеется

3. ну тоже втопку по всей видимости

 

 

ага, спасибо, читаю

правильно я понимаю, что присылая из бранча комьюнити с кодовым значением, помещаю его в ГО в QoS-группу и в ней уже делаю что хочу?

Share this post


Link to post
Share on other sites

но это придется overlay сеть поднимать поверх провайдерского VPN, выглядит не очень эффективно, зато на 100% покрывает указанные потребности

 

да, вариант, но по удоемкости внедрения все равно что полиси на каждый бранч колхозить

 

Мне кажется, что последнюю строку ТС нужно вынести в самое начало поста.

 

Одновременно гибко, оптимально и элегантно сделать у вас не получится.

Мне кажется, тут три варианта:

1. Тоннель. Тут вы сможете играть со своим трафиком по своим правилам. Правда, будет небольшой процент бесполезной нагрузки на канал за счёт лишних оверхедов.

2. Поддержка QoS со стороны оператора l3-vpn услуги.

3. Мегасложные H-QoS.

 

Не спец в этой штуке, но тоже имеет некое отношение к QoS и распределённым сетям - QPBGP. Правда, работает для сетей (префиксов), и как-либо дифиринцировать трафик от/для одного объекта (префикса) не получится. То есть, например, вы смогли бы её использовать для распространения своих политики в бранчи их ГО. Но только для префиксов.

 

1. тоннели только если dmvpn, тк бранчи и между собой трафик гоняют немного, тут потеряем преимущества bgp с провайдером

2. это само собой разумеется

3. ну тоже втопку по всей видимости

 

 

ага, спасибо, читаю

правильно я понимаю, что присылая из бранча комьюнити с кодовым значением, помещаю его в ГО в QoS-группу и в ней уже делаю что хочу?

 

нет, с DMVPN как раз таки не надо 100 полиси. если у spoke одинаковые нужды к траффику то spoke пихается в одну и туже группу.

 

HUB-1#sh run int tu0

Building configuration...

 

Current configuration : 547 bytes

!

interface Tunnel0

description TO_R3,4,5_VIA_MPLS

ip address 100.68.68.6 255.255.255.0

no ip redirects

ip mtu 1400

ip pim sparse-mode

ip nhrp map multicast dynamic

ip nhrp network-id 1

ip nhrp redirect

ip tcp adjust-mss 1360

nhrp map group SPOKE-1 service-policy output Spoke-1_25Kbps <---------------------------------

nhrp map group SPOKE-2 service-policy output Spoke-2_25Kbps

nhrp map group SPOKE-3 service-policy output Spoke-3_25Kbps

qos pre-classify

tunnel source Loopback0

tunnel mode gre multipoint

tunnel key 0

tunnel protection ipsec profile DMVPN

end

 

R6#

 

SPOKE-1#sh run int tu0

Building configuration...

 

Current configuration : 506 bytes

!

interface Tunnel0

ip address 100.68.68.3 255.255.255.0

no ip redirects

ip mtu 1400

ip pim sparse-mode

ip nhrp map 100.68.68.6 6.6.6.6

ip nhrp map multicast 6.6.6.6

ip nhrp map 100.68.68.8 8.8.8.8

ip nhrp map multicast 8.8.8.8

ip nhrp network-id 1

ip nhrp nhs 100.68.68.6

ip nhrp nhs 100.68.68.8

ip nhrp shortcut

ip tcp adjust-mss 1360

nhrp group SPOKE-1 <---------------------------------

qos pre-classify

tunnel source Loopback0

tunnel mode gre multipoint

tunnel key 0

tunnel protection ipsec profile DMVPN shared

end

Share this post


Link to post
Share on other sites

нет, с DMVPN как раз таки не надо 100 полиси. если у spoke одинаковые нужды к траффику то spoke пихается в одну и туже группу.

100 полиси не надо, но надо прописать 100 туннелей %)

Share this post


Link to post
Share on other sites

нет, с DMVPN как раз таки не надо 100 полиси. если у spoke одинаковые нужды к траффику то spoke пихается в одну и туже группу.

100 полиси не надо, но надо прописать 100 туннелей %)

 

один на каждом споке / хабе.

Edited by applx

Share this post


Link to post
Share on other sites

100 полиси не надо, но надо прописать 100 туннелей %)

и этого не надо

Share this post


Link to post
Share on other sites

100 полиси не надо, но надо прописать 100 туннелей %)

и этого не надо

а как на 100 бранчах dmvpn сам поднимется?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this