Перейти к содержимому
Калькуляторы

QoS через L3vpn провайдера посоветуйте энтерпрайзу

прошу совета куда посмотреть и есть ли варианты

есть несколько впн с бранчами от разных провайдеров, схема с каждым примерно одинакова, сервисы в ГО - 100М канал в vpn провайдера - условно 100х1М каналов с разными бранчами (/26/27/28 сети)

проблема в том, что юзер из бранча может "запросить" себе условно 2М трафика, половина из которого подропается на выходном полисере прова

частично это небольшая проблема - у некоторых провов есть соглашение по qos, мы в ГО метим dscp приоритетный трафик, пров на выходе кладет приоритетный трафик в очереди согласно маркировке

А вот там, где приоретизации нет, случается вакханалия, юзер начинает сосать много трафика из одного сервиса, другие с более бизнес-критичными задачами "сосут" по-своему

собственно вопрос: со стороны ГО что можно сделать? а) приоритетному трафику выделить х% полосы на каждый бранч б) мусорный трафик задавить

*кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт)

в наличии скоро будет ASR, там конечно темный лес возможностей по сравнению с ISR, но я им еще не настолько овладел

P.S. Микротики не предлагать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

прошу совета куда посмотреть и есть ли варианты

есть несколько впн с бранчами от разных провайдеров, схема с каждым примерно одинакова, сервисы в ГО - 100М канал в vpn провайдера - условно 100х1М каналов с разными бранчами (/26/27/28 сети)

проблема в том, что юзер из бранча может "запросить" себе условно 2М трафика, половина из которого подропается на выходном полисере прова

частично это небольшая проблема - у некоторых провов есть соглашение по qos, мы в ГО метим dscp приоритетный трафик, пров на выходе кладет приоритетный трафик в очереди согласно маркировке

А вот там, где приоретизации нет, случается вакханалия, юзер начинает сосать много трафика из одного сервиса, другие с более бизнес-критичными задачами "сосут" по-своему

собственно вопрос: со стороны ГО что можно сделать? а) приоритетному трафику выделить х% полосы на каждый бранч б) мусорный трафик задавить

*кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт)

в наличии скоро будет ASR, там конечно темный лес возможностей по сравнению с ISR, но я им еще не настолько овладел

P.S. Микротики не предлагать

Иерархический QoS на выходе, если провайдер гарантирует полосу должен помочь. ISR умеет.

То есть сначала зажимаете полосу в ширину, которую дает провайдер, потом в этой полосе уже выставляете приоритеты для разных классов трафика.

Без этого, в реальности, вы будете получать проблемы для чувствительного трафика (например, голоса) даже при 10% утилизации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Иерархический QoS на выходе, если провайдер гарантирует полосу должен помочь. ISR умеет.

То есть сначала зажимаете полосу в ширину, которую дает провайдер, потом в этой полосе уже выставляете приоритеты для разных классов трафика.

Без этого, в реальности, вы будете получать проблемы для чувствительного трафика (например, голоса) даже при 10% утилизации.

 

это есть, но для классов трафика в целом к полосе широкого выходного канала

как разграничить внутри него полосы для классов к каждому бранчу, или это невозможно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Иерархический QoS на выходе, если провайдер гарантирует полосу должен помочь. ISR умеет.

То есть сначала зажимаете полосу в ширину, которую дает провайдер, потом в этой полосе уже выставляете приоритеты для разных классов трафика.

Без этого, в реальности, вы будете получать проблемы для чувствительного трафика (например, голоса) даже при 10% утилизации.

это есть, но для классов трафика в целом к полосе широкого выходного канала

как разграничить внутри него полосы для классов к каждому бранчу, или это невозможно?

Дык, так и разграничить, на то он и иерархический.

Например, тут посмотреть: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_hrhqf/configuration/15-mt/qos-hrhqf-15-mt-book.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дык, так и разграничить, на то он и иерархический.

Например, тут посмотреть: http://www.cisco.com...-15-mt-book.pdf

 

иерархический - это понятно

в дочернем классе я расписываю полосы для разных сервисов

в родительском определяю полосу для бранча, матчу его сеть/-и

проблема в том, что полиси у меня будет состоять из 400+ родительских классов (?!) Это несколько неудобно будет, мягко говоря, да и не в каждую платформу влезет имхо

я по провайдерским технологиям не спец конечно, но м.б. существуют какие-то более красивые решения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дык, так и разграничить, на то он и иерархический.

Например, тут посмотреть: http://www.cisco.com...-15-mt-book.pdf

иерархический - это понятно

в дочернем классе я расписываю полосы для разных сервисов

в родительском определяю полосу для бранча, матчу его сеть/-и

проблема в том, что полиси у меня будет состоять из 400+ родительских классов (?!) Это несколько неудобно будет, мягко говоря, да и не в каждую платформу влезет имхо

я по провайдерским технологиям не спец конечно, но м.б. существуют какие-то более красивые решения?

Зачем 400?!!

Как этим можно разумно управлять?!

 

Мне кажется, вы что-то путаете...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

*кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт)

а нельзя матчить по типу трафика, а не по подсетям?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

*кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт)

а нельзя матчить по типу трафика, а не по подсетям?

Тут возможностей масса, но некоторые возможности достаточно дороги :).

Вы можете даже раскрашивать трафик через IP precedence на входе в сеть, и потом матчить по этому параметру на выходе в WAN.

А можете наваять ACL_ы и раздавать приоритеты по ACL. Если у вас 400 позиций в ACL-ах, то это не страшно, хотя вручную управляется плохо, желательна автоматизация.

А 400 правил приоритетов - это страшно :)!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут возможностей масса, но некоторые возможности достаточно дороги :).

 

Микротик может иерархически пометить любые данные и протоколы, сделав нужные приоритеты. Достаточно только поставить в центре микротик и на всех дальних концах арендованных каналов. Это вам не циски с заоблачной стоимостью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

прошу совета куда посмотреть и есть ли варианты

есть несколько впн с бранчами от разных провайдеров, схема с каждым примерно одинакова, сервисы в ГО - 100М канал в vpn провайдера - условно 100х1М каналов с разными бранчами (/26/27/28 сети)

проблема в том, что юзер из бранча может "запросить" себе условно 2М трафика, половина из которого подропается на выходном полисере прова

частично это небольшая проблема - у некоторых провов есть соглашение по qos, мы в ГО метим dscp приоритетный трафик, пров на выходе кладет приоритетный трафик в очереди согласно маркировке

А вот там, где приоретизации нет, случается вакханалия, юзер начинает сосать много трафика из одного сервиса, другие с более бизнес-критичными задачами "сосут" по-своему

собственно вопрос: со стороны ГО что можно сделать? а) приоритетному трафику выделить х% полосы на каждый бранч б) мусорный трафик задавить

*кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт)

в наличии скоро будет ASR, там конечно темный лес возможностей по сравнению с ISR, но я им еще не настолько овладел

P.S. Микротики не предлагать

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/xe-3s/asr1000/sec-conn-dmvpn-xe-3s-asr1000-book/sec-conn-dmvpn-per-tunnel-qos.html

 

The Per-Tunnel QoS for DMVPN feature lets you apply a quality of service (QoS) policy on a Dynamic Multipoint VPN (DMVPN) hub on a per-tunnel instance (per-spoke basis) in the egress direction for DMVPN hub-to-spoke tunnels. The QoS policy on a DMVPN hub on a per-tunnel instance lets you shape tunnel traffic to individual spokes (a parent policy) and differentiate individual data flows going through the tunnel for policing (a child policy). The QoS policy that the hub uses for a specific spoke is selected according to the specific Next Hop Resolution Protocol (NHRP) group into which that spoke is configured. Although you can configure many spokes into the same NHRP group, the tunnel traffic for each spoke is measured individually for shaping and policing.

но это придется overlay сеть поднимать поверх провайдерского VPN, выглядит не очень эффективно, зато на 100% покрывает указанные потребности

 

Это вам не циски с заоблачной стоимостью.

поэтому придется покупать по два и даже три микротика чтобы добиться цены циски, но это не проблема, потому что микротик рассчитан что одно устройство не в состоянии взять на себя все необходимые функции, так что ни одно устройство зря не пропадет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут возможностей масса, но некоторые возможности достаточно дороги :).

 

Микротик может иерархически пометить любые данные и протоколы, сделав нужные приоритеты. Достаточно только поставить в центре микротик и на всех дальних концах арендованных каналов. Это вам не циски с заоблачной стоимостью.

В приличной компании стоимость cisco имеет незначительное влияние на бюджет. А вот час простоя может иметь приличную стоимость.

Какова наработка на отказ у Микротика? Сколько времени занимает замена вышедшего из строя оборудования по сервисному контракту? Какова скорость реакции технической поддержки вендора и какова его квалификация?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне кажется, что последнюю строку ТС нужно вынести в самое начало поста.

 

Одновременно гибко, оптимально и элегантно сделать у вас не получится.

Мне кажется, тут три варианта:

1. Тоннель. Тут вы сможете играть со своим трафиком по своим правилам. Правда, будет небольшой процент бесполезной нагрузки на канал за счёт лишних оверхедов.

2. Поддержка QoS со стороны оператора l3-vpn услуги.

3. Мегасложные H-QoS.

 

Не спец в этой штуке, но тоже имеет некое отношение к QoS и распределённым сетям - QPBGP. Правда, работает для сетей (префиксов), и как-либо дифиринцировать трафик от/для одного объекта (префикса) не получится. То есть, например, вы смогли бы её использовать для распространения своих политики в бранчи их ГО. Но только для префиксов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

QoS и распределённым сетям - QPBGP

ах вот как называется "flowspec" для QoS...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мда, перечитал первый топик, понял, что не понял задачу :). Прощу прощения, ввел в заблуждение.

HQoS тут будет монструозным. Я не знаю, есть ли ограничение на размер иерархии, но это не дело. Даже по два класса на удаленный офис - 800 классов в политике!

 

Так что коллеги правы. Провайдер должен обеспечить QoS. Если где-то QoS не обеспечивается, можно туда стоить тоннели и QoS-ить тоннели по отдельности.

Или уже загонять в HQoS только такие офисы, где нет провайдерского QoS, если их не много.

 

А вот про QPBGP что-то даже гугл молчит, и я не встречал. Есть QPPB, но оно, как я понял сходу, несколько иная фича.

 

В общем, если есть сервисный контракт - хороший повод запросить консультацию у ТАС!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем 400?!!

Как этим можно разумно управлять?!

Мне кажется, вы что-то путаете...

нет-нет, не путаю

переводя на провайдерский язык - у меня есть интерфейс во влан, в нем 400 абонентов (только я их не агрегирую, маршрутизация идет через "третье лицо")

родительская полиси должна зашейпить/урезать полосу к каждому уникальному абоненту до 1М/2М/5М/10М у кого какой выход на той стороне

внутри полосы нужно гарантировать (например) 25% priority для голоса, 40% для бизнес-сервисов, остальное class-default

 

на выходе трубы я-то могу выдать priority для rtp 50Мбит, но это не помешает одному из бранчей забить себе входящий канал вебом, и провайдер будет дропать поровну и голос, и веб

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем 400?!!

Как этим можно разумно управлять?!

Мне кажется, вы что-то путаете...

нет-нет, не путаю

переводя на провайдерский язык - у меня есть интерфейс во влан, в нем 400 абонентов (только я их не агрегирую, маршрутизация идет через "третье лицо")

родительская полиси должна зашейпить/урезать полосу к каждому уникальному абоненту до 1М/2М/5М/10М у кого какой выход на той стороне

внутри полосы нужно гарантировать (например) 25% priority для голоса, 40% для бизнес-сервисов, остальное class-default

 

на выходе трубы я-то могу выдать priority для rtp 50Мбит, но это не помешает одному из бранчей забить себе входящий канал вебом, и провайдер будет дропать поровну и голос, и веб

Да, я уже понял свою ошибку и извинился постом выше :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нашёл только это - http://www.cisco.com/c/en/us/support/docs/quality-of-service-qos/qos-policing/22833-qos-faq.html

 

"Q. How many classes does a Quality of Service (QoS) policy support?

 

A. In Cisco IOS versions earlier than 12.2 you could define a maximum of only 256 classes, and you could define up to 256 classes within each policy if the same classes are reused for different policies. If you have two policies, the total number of classes from both policies should not exceed 256. If a policy includes Class-Based Weighted Fair Queueing (CBWFQ) (meaning it contains a bandwidth [or priority] statement within any of the classes), the total number of classes supported is 64.

 

In Cisco IOS versions 12.2(12),12.2(12)T, and 12.2(12)S, this limitation of 256 global class-maps was changed, and it is now possible to configure up to 1024 global class-maps and to use 256 class-maps inside the same policy-map."

По 15 ветке что то не понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не стоило даже искать, если бы у него было не 400 офисов, а 100, это тоже был бы не вариант. для DMVPN у циски есть решение QOS и я его привел. всё.

есть второй вариант, провайдер который делает шейпер с qos, надо только свой трафик правильно красить. такие существуют, но если текущий оператор не дает такой услуги, то переключиться на альтернативного мне кажется что не вариант.

так что из всех костыльных решений, DMVPN меньшее из костылей, я заметил что у ТС циски, так что это вполне себе вариант. но я в сети видел какой-то демон для линукс NHRP, но в очень зачаточном состоянии, может кто-нибудь допилил, тогда более широкие массы смогут ощутить удобство этой технологии

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но это придется overlay сеть поднимать поверх провайдерского VPN, выглядит не очень эффективно, зато на 100% покрывает указанные потребности

 

да, вариант, но по удоемкости внедрения все равно что полиси на каждый бранч колхозить

 

Мне кажется, что последнюю строку ТС нужно вынести в самое начало поста.

 

Одновременно гибко, оптимально и элегантно сделать у вас не получится.

Мне кажется, тут три варианта:

1. Тоннель. Тут вы сможете играть со своим трафиком по своим правилам. Правда, будет небольшой процент бесполезной нагрузки на канал за счёт лишних оверхедов.

2. Поддержка QoS со стороны оператора l3-vpn услуги.

3. Мегасложные H-QoS.

 

Не спец в этой штуке, но тоже имеет некое отношение к QoS и распределённым сетям - QPBGP. Правда, работает для сетей (префиксов), и как-либо дифиринцировать трафик от/для одного объекта (префикса) не получится. То есть, например, вы смогли бы её использовать для распространения своих политики в бранчи их ГО. Но только для префиксов.

 

1. тоннели только если dmvpn, тк бранчи и между собой трафик гоняют немного, тут потеряем преимущества bgp с провайдером

2. это само собой разумеется

3. ну тоже втопку по всей видимости

 

 

ага, спасибо, читаю

правильно я понимаю, что присылая из бранча комьюнити с кодовым значением, помещаю его в ГО в QoS-группу и в ней уже делаю что хочу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но это придется overlay сеть поднимать поверх провайдерского VPN, выглядит не очень эффективно, зато на 100% покрывает указанные потребности

 

да, вариант, но по удоемкости внедрения все равно что полиси на каждый бранч колхозить

 

Мне кажется, что последнюю строку ТС нужно вынести в самое начало поста.

 

Одновременно гибко, оптимально и элегантно сделать у вас не получится.

Мне кажется, тут три варианта:

1. Тоннель. Тут вы сможете играть со своим трафиком по своим правилам. Правда, будет небольшой процент бесполезной нагрузки на канал за счёт лишних оверхедов.

2. Поддержка QoS со стороны оператора l3-vpn услуги.

3. Мегасложные H-QoS.

 

Не спец в этой штуке, но тоже имеет некое отношение к QoS и распределённым сетям - QPBGP. Правда, работает для сетей (префиксов), и как-либо дифиринцировать трафик от/для одного объекта (префикса) не получится. То есть, например, вы смогли бы её использовать для распространения своих политики в бранчи их ГО. Но только для префиксов.

 

1. тоннели только если dmvpn, тк бранчи и между собой трафик гоняют немного, тут потеряем преимущества bgp с провайдером

2. это само собой разумеется

3. ну тоже втопку по всей видимости

 

 

ага, спасибо, читаю

правильно я понимаю, что присылая из бранча комьюнити с кодовым значением, помещаю его в ГО в QoS-группу и в ней уже делаю что хочу?

 

нет, с DMVPN как раз таки не надо 100 полиси. если у spoke одинаковые нужды к траффику то spoke пихается в одну и туже группу.

 

HUB-1#sh run int tu0

Building configuration...

 

Current configuration : 547 bytes

!

interface Tunnel0

description TO_R3,4,5_VIA_MPLS

ip address 100.68.68.6 255.255.255.0

no ip redirects

ip mtu 1400

ip pim sparse-mode

ip nhrp map multicast dynamic

ip nhrp network-id 1

ip nhrp redirect

ip tcp adjust-mss 1360

nhrp map group SPOKE-1 service-policy output Spoke-1_25Kbps <---------------------------------

nhrp map group SPOKE-2 service-policy output Spoke-2_25Kbps

nhrp map group SPOKE-3 service-policy output Spoke-3_25Kbps

qos pre-classify

tunnel source Loopback0

tunnel mode gre multipoint

tunnel key 0

tunnel protection ipsec profile DMVPN

end

 

R6#

 

SPOKE-1#sh run int tu0

Building configuration...

 

Current configuration : 506 bytes

!

interface Tunnel0

ip address 100.68.68.3 255.255.255.0

no ip redirects

ip mtu 1400

ip pim sparse-mode

ip nhrp map 100.68.68.6 6.6.6.6

ip nhrp map multicast 6.6.6.6

ip nhrp map 100.68.68.8 8.8.8.8

ip nhrp map multicast 8.8.8.8

ip nhrp network-id 1

ip nhrp nhs 100.68.68.6

ip nhrp nhs 100.68.68.8

ip nhrp shortcut

ip tcp adjust-mss 1360

nhrp group SPOKE-1 <---------------------------------

qos pre-classify

tunnel source Loopback0

tunnel mode gre multipoint

tunnel key 0

tunnel protection ipsec profile DMVPN shared

end

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нет, с DMVPN как раз таки не надо 100 полиси. если у spoke одинаковые нужды к траффику то spoke пихается в одну и туже группу.

100 полиси не надо, но надо прописать 100 туннелей %)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нет, с DMVPN как раз таки не надо 100 полиси. если у spoke одинаковые нужды к траффику то spoke пихается в одну и туже группу.

100 полиси не надо, но надо прописать 100 туннелей %)

 

один на каждом споке / хабе.

Изменено пользователем applx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

100 полиси не надо, но надо прописать 100 туннелей %)

и этого не надо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

100 полиси не надо, но надо прописать 100 туннелей %)

и этого не надо

а как на 100 бранчах dmvpn сам поднимется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.