ikiliikkuja Опубликовано 26 мая, 2015 · Жалоба прошу совета куда посмотреть и есть ли варианты есть несколько впн с бранчами от разных провайдеров, схема с каждым примерно одинакова, сервисы в ГО - 100М канал в vpn провайдера - условно 100х1М каналов с разными бранчами (/26/27/28 сети) проблема в том, что юзер из бранча может "запросить" себе условно 2М трафика, половина из которого подропается на выходном полисере прова частично это небольшая проблема - у некоторых провов есть соглашение по qos, мы в ГО метим dscp приоритетный трафик, пров на выходе кладет приоритетный трафик в очереди согласно маркировке А вот там, где приоретизации нет, случается вакханалия, юзер начинает сосать много трафика из одного сервиса, другие с более бизнес-критичными задачами "сосут" по-своему собственно вопрос: со стороны ГО что можно сделать? а) приоритетному трафику выделить х% полосы на каждый бранч б) мусорный трафик задавить *кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт) в наличии скоро будет ASR, там конечно темный лес возможностей по сравнению с ISR, но я им еще не настолько овладел P.S. Микротики не предлагать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 26 мая, 2015 · Жалоба прошу совета куда посмотреть и есть ли варианты есть несколько впн с бранчами от разных провайдеров, схема с каждым примерно одинакова, сервисы в ГО - 100М канал в vpn провайдера - условно 100х1М каналов с разными бранчами (/26/27/28 сети) проблема в том, что юзер из бранча может "запросить" себе условно 2М трафика, половина из которого подропается на выходном полисере прова частично это небольшая проблема - у некоторых провов есть соглашение по qos, мы в ГО метим dscp приоритетный трафик, пров на выходе кладет приоритетный трафик в очереди согласно маркировке А вот там, где приоретизации нет, случается вакханалия, юзер начинает сосать много трафика из одного сервиса, другие с более бизнес-критичными задачами "сосут" по-своему собственно вопрос: со стороны ГО что можно сделать? а) приоритетному трафику выделить х% полосы на каждый бранч б) мусорный трафик задавить *кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт) в наличии скоро будет ASR, там конечно темный лес возможностей по сравнению с ISR, но я им еще не настолько овладел P.S. Микротики не предлагать Иерархический QoS на выходе, если провайдер гарантирует полосу должен помочь. ISR умеет. То есть сначала зажимаете полосу в ширину, которую дает провайдер, потом в этой полосе уже выставляете приоритеты для разных классов трафика. Без этого, в реальности, вы будете получать проблемы для чувствительного трафика (например, голоса) даже при 10% утилизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ikiliikkuja Опубликовано 26 мая, 2015 · Жалоба Иерархический QoS на выходе, если провайдер гарантирует полосу должен помочь. ISR умеет. То есть сначала зажимаете полосу в ширину, которую дает провайдер, потом в этой полосе уже выставляете приоритеты для разных классов трафика. Без этого, в реальности, вы будете получать проблемы для чувствительного трафика (например, голоса) даже при 10% утилизации. это есть, но для классов трафика в целом к полосе широкого выходного канала как разграничить внутри него полосы для классов к каждому бранчу, или это невозможно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 26 мая, 2015 · Жалоба Иерархический QoS на выходе, если провайдер гарантирует полосу должен помочь. ISR умеет. То есть сначала зажимаете полосу в ширину, которую дает провайдер, потом в этой полосе уже выставляете приоритеты для разных классов трафика. Без этого, в реальности, вы будете получать проблемы для чувствительного трафика (например, голоса) даже при 10% утилизации. это есть, но для классов трафика в целом к полосе широкого выходного канала как разграничить внутри него полосы для классов к каждому бранчу, или это невозможно? Дык, так и разграничить, на то он и иерархический. Например, тут посмотреть: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/qos_hrhqf/configuration/15-mt/qos-hrhqf-15-mt-book.pdf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ikiliikkuja Опубликовано 26 мая, 2015 · Жалоба Дык, так и разграничить, на то он и иерархический. Например, тут посмотреть: http://www.cisco.com...-15-mt-book.pdf иерархический - это понятно в дочернем классе я расписываю полосы для разных сервисов в родительском определяю полосу для бранча, матчу его сеть/-и проблема в том, что полиси у меня будет состоять из 400+ родительских классов (?!) Это несколько неудобно будет, мягко говоря, да и не в каждую платформу влезет имхо я по провайдерским технологиям не спец конечно, но м.б. существуют какие-то более красивые решения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 26 мая, 2015 · Жалоба Дык, так и разграничить, на то он и иерархический. Например, тут посмотреть: http://www.cisco.com...-15-mt-book.pdf иерархический - это понятно в дочернем классе я расписываю полосы для разных сервисов в родительском определяю полосу для бранча, матчу его сеть/-и проблема в том, что полиси у меня будет состоять из 400+ родительских классов (?!) Это несколько неудобно будет, мягко говоря, да и не в каждую платформу влезет имхо я по провайдерским технологиям не спец конечно, но м.б. существуют какие-то более красивые решения? Зачем 400?!! Как этим можно разумно управлять?! Мне кажется, вы что-то путаете... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 26 мая, 2015 · Жалоба *кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт) а нельзя матчить по типу трафика, а не по подсетям? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 26 мая, 2015 · Жалоба *кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт) а нельзя матчить по типу трафика, а не по подсетям? Тут возможностей масса, но некоторые возможности достаточно дороги :). Вы можете даже раскрашивать трафик через IP precedence на входе в сеть, и потом матчить по этому параметру на выходе в WAN. А можете наваять ACL_ы и раздавать приоритеты по ACL. Если у вас 400 позиций в ACL-ах, то это не страшно, хотя вручную управляется плохо, желательна автоматизация. А 400 правил приоритетов - это страшно :)! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 мая, 2015 · Жалоба Тут возможностей масса, но некоторые возможности достаточно дороги :). Микротик может иерархически пометить любые данные и протоколы, сделав нужные приоритеты. Достаточно только поставить в центре микротик и на всех дальних концах арендованных каналов. Это вам не циски с заоблачной стоимостью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 26 мая, 2015 · Жалоба прошу совета куда посмотреть и есть ли варианты есть несколько впн с бранчами от разных провайдеров, схема с каждым примерно одинакова, сервисы в ГО - 100М канал в vpn провайдера - условно 100х1М каналов с разными бранчами (/26/27/28 сети) проблема в том, что юзер из бранча может "запросить" себе условно 2М трафика, половина из которого подропается на выходном полисере прова частично это небольшая проблема - у некоторых провов есть соглашение по qos, мы в ГО метим dscp приоритетный трафик, пров на выходе кладет приоритетный трафик в очереди согласно маркировке А вот там, где приоретизации нет, случается вакханалия, юзер начинает сосать много трафика из одного сервиса, другие с более бизнес-критичными задачами "сосут" по-своему собственно вопрос: со стороны ГО что можно сделать? а) приоритетному трафику выделить х% полосы на каждый бранч б) мусорный трафик задавить *кроме как писать по классу на каждую подсеть бранча в одной большой полиси (а я не уверен что такое кол-во уникальных классов вообще в железку влезет, где-то их более 400шт) в наличии скоро будет ASR, там конечно темный лес возможностей по сравнению с ISR, но я им еще не настолько овладел P.S. Микротики не предлагать http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/xe-3s/asr1000/sec-conn-dmvpn-xe-3s-asr1000-book/sec-conn-dmvpn-per-tunnel-qos.html The Per-Tunnel QoS for DMVPN feature lets you apply a quality of service (QoS) policy on a Dynamic Multipoint VPN (DMVPN) hub on a per-tunnel instance (per-spoke basis) in the egress direction for DMVPN hub-to-spoke tunnels. The QoS policy on a DMVPN hub on a per-tunnel instance lets you shape tunnel traffic to individual spokes (a parent policy) and differentiate individual data flows going through the tunnel for policing (a child policy). The QoS policy that the hub uses for a specific spoke is selected according to the specific Next Hop Resolution Protocol (NHRP) group into which that spoke is configured. Although you can configure many spokes into the same NHRP group, the tunnel traffic for each spoke is measured individually for shaping and policing. но это придется overlay сеть поднимать поверх провайдерского VPN, выглядит не очень эффективно, зато на 100% покрывает указанные потребности Это вам не циски с заоблачной стоимостью. поэтому придется покупать по два и даже три микротика чтобы добиться цены циски, но это не проблема, потому что микротик рассчитан что одно устройство не в состоянии взять на себя все необходимые функции, так что ни одно устройство зря не пропадет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 26 мая, 2015 · Жалоба Тут возможностей масса, но некоторые возможности достаточно дороги :). Микротик может иерархически пометить любые данные и протоколы, сделав нужные приоритеты. Достаточно только поставить в центре микротик и на всех дальних концах арендованных каналов. Это вам не циски с заоблачной стоимостью. В приличной компании стоимость cisco имеет незначительное влияние на бюджет. А вот час простоя может иметь приличную стоимость. Какова наработка на отказ у Микротика? Сколько времени занимает замена вышедшего из строя оборудования по сервисному контракту? Какова скорость реакции технической поддержки вендора и какова его квалификация? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 26 мая, 2015 · Жалоба Мне кажется, что последнюю строку ТС нужно вынести в самое начало поста. Одновременно гибко, оптимально и элегантно сделать у вас не получится. Мне кажется, тут три варианта: 1. Тоннель. Тут вы сможете играть со своим трафиком по своим правилам. Правда, будет небольшой процент бесполезной нагрузки на канал за счёт лишних оверхедов. 2. Поддержка QoS со стороны оператора l3-vpn услуги. 3. Мегасложные H-QoS. Не спец в этой штуке, но тоже имеет некое отношение к QoS и распределённым сетям - QPBGP. Правда, работает для сетей (префиксов), и как-либо дифиринцировать трафик от/для одного объекта (префикса) не получится. То есть, например, вы смогли бы её использовать для распространения своих политики в бранчи их ГО. Но только для префиксов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 26 мая, 2015 · Жалоба QoS и распределённым сетям - QPBGP ах вот как называется "flowspec" для QoS... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 26 мая, 2015 · Жалоба Мда, перечитал первый топик, понял, что не понял задачу :). Прощу прощения, ввел в заблуждение. HQoS тут будет монструозным. Я не знаю, есть ли ограничение на размер иерархии, но это не дело. Даже по два класса на удаленный офис - 800 классов в политике! Так что коллеги правы. Провайдер должен обеспечить QoS. Если где-то QoS не обеспечивается, можно туда стоить тоннели и QoS-ить тоннели по отдельности. Или уже загонять в HQoS только такие офисы, где нет провайдерского QoS, если их не много. А вот про QPBGP что-то даже гугл молчит, и я не встречал. Есть QPPB, но оно, как я понял сходу, несколько иная фича. В общем, если есть сервисный контракт - хороший повод запросить консультацию у ТАС! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 26 мая, 2015 · Жалоба А вот про QPBGP что-то даже гугл молчит, и я не встречал. http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_pi/configuration/xe-3s/asr1000/iri-xe-3s-asr1000-book/iri-qos-policy-prop-via-bgp.html https://supportforums.cisco.com/document/12050971/asr9000xr-implementing-qos-policy-propagation-bgp-qppb Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ikiliikkuja Опубликовано 27 мая, 2015 · Жалоба Зачем 400?!! Как этим можно разумно управлять?! Мне кажется, вы что-то путаете... нет-нет, не путаю переводя на провайдерский язык - у меня есть интерфейс во влан, в нем 400 абонентов (только я их не агрегирую, маршрутизация идет через "третье лицо") родительская полиси должна зашейпить/урезать полосу к каждому уникальному абоненту до 1М/2М/5М/10М у кого какой выход на той стороне внутри полосы нужно гарантировать (например) 25% priority для голоса, 40% для бизнес-сервисов, остальное class-default на выходе трубы я-то могу выдать priority для rtp 50Мбит, но это не помешает одному из бранчей забить себе входящий канал вебом, и провайдер будет дропать поровну и голос, и веб Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 27 мая, 2015 · Жалоба Зачем 400?!! Как этим можно разумно управлять?! Мне кажется, вы что-то путаете... нет-нет, не путаю переводя на провайдерский язык - у меня есть интерфейс во влан, в нем 400 абонентов (только я их не агрегирую, маршрутизация идет через "третье лицо") родительская полиси должна зашейпить/урезать полосу к каждому уникальному абоненту до 1М/2М/5М/10М у кого какой выход на той стороне внутри полосы нужно гарантировать (например) 25% priority для голоса, 40% для бизнес-сервисов, остальное class-default на выходе трубы я-то могу выдать priority для rtp 50Мбит, но это не помешает одному из бранчей забить себе входящий канал вебом, и провайдер будет дропать поровну и голос, и веб Да, я уже понял свою ошибку и извинился постом выше :). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 27 мая, 2015 · Жалоба Нашёл только это - http://www.cisco.com/c/en/us/support/docs/quality-of-service-qos/qos-policing/22833-qos-faq.html "Q. How many classes does a Quality of Service (QoS) policy support? A. In Cisco IOS versions earlier than 12.2 you could define a maximum of only 256 classes, and you could define up to 256 classes within each policy if the same classes are reused for different policies. If you have two policies, the total number of classes from both policies should not exceed 256. If a policy includes Class-Based Weighted Fair Queueing (CBWFQ) (meaning it contains a bandwidth [or priority] statement within any of the classes), the total number of classes supported is 64. In Cisco IOS versions 12.2(12),12.2(12)T, and 12.2(12)S, this limitation of 256 global class-maps was changed, and it is now possible to configure up to 1024 global class-maps and to use 256 class-maps inside the same policy-map." По 15 ветке что то не понятно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 27 мая, 2015 · Жалоба не стоило даже искать, если бы у него было не 400 офисов, а 100, это тоже был бы не вариант. для DMVPN у циски есть решение QOS и я его привел. всё. есть второй вариант, провайдер который делает шейпер с qos, надо только свой трафик правильно красить. такие существуют, но если текущий оператор не дает такой услуги, то переключиться на альтернативного мне кажется что не вариант. так что из всех костыльных решений, DMVPN меньшее из костылей, я заметил что у ТС циски, так что это вполне себе вариант. но я в сети видел какой-то демон для линукс NHRP, но в очень зачаточном состоянии, может кто-нибудь допилил, тогда более широкие массы смогут ощутить удобство этой технологии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ikiliikkuja Опубликовано 27 мая, 2015 · Жалоба но это придется overlay сеть поднимать поверх провайдерского VPN, выглядит не очень эффективно, зато на 100% покрывает указанные потребности да, вариант, но по удоемкости внедрения все равно что полиси на каждый бранч колхозить Мне кажется, что последнюю строку ТС нужно вынести в самое начало поста. Одновременно гибко, оптимально и элегантно сделать у вас не получится. Мне кажется, тут три варианта: 1. Тоннель. Тут вы сможете играть со своим трафиком по своим правилам. Правда, будет небольшой процент бесполезной нагрузки на канал за счёт лишних оверхедов. 2. Поддержка QoS со стороны оператора l3-vpn услуги. 3. Мегасложные H-QoS. Не спец в этой штуке, но тоже имеет некое отношение к QoS и распределённым сетям - QPBGP. Правда, работает для сетей (префиксов), и как-либо дифиринцировать трафик от/для одного объекта (префикса) не получится. То есть, например, вы смогли бы её использовать для распространения своих политики в бранчи их ГО. Но только для префиксов. 1. тоннели только если dmvpn, тк бранчи и между собой трафик гоняют немного, тут потеряем преимущества bgp с провайдером 2. это само собой разумеется 3. ну тоже втопку по всей видимости http://www.cisco.com...op-via-bgp.html https://supportforum...gation-bgp-qppb ага, спасибо, читаю правильно я понимаю, что присылая из бранча комьюнити с кодовым значением, помещаю его в ГО в QoS-группу и в ней уже делаю что хочу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 27 мая, 2015 · Жалоба но это придется overlay сеть поднимать поверх провайдерского VPN, выглядит не очень эффективно, зато на 100% покрывает указанные потребности да, вариант, но по удоемкости внедрения все равно что полиси на каждый бранч колхозить Мне кажется, что последнюю строку ТС нужно вынести в самое начало поста. Одновременно гибко, оптимально и элегантно сделать у вас не получится. Мне кажется, тут три варианта: 1. Тоннель. Тут вы сможете играть со своим трафиком по своим правилам. Правда, будет небольшой процент бесполезной нагрузки на канал за счёт лишних оверхедов. 2. Поддержка QoS со стороны оператора l3-vpn услуги. 3. Мегасложные H-QoS. Не спец в этой штуке, но тоже имеет некое отношение к QoS и распределённым сетям - QPBGP. Правда, работает для сетей (префиксов), и как-либо дифиринцировать трафик от/для одного объекта (префикса) не получится. То есть, например, вы смогли бы её использовать для распространения своих политики в бранчи их ГО. Но только для префиксов. 1. тоннели только если dmvpn, тк бранчи и между собой трафик гоняют немного, тут потеряем преимущества bgp с провайдером 2. это само собой разумеется 3. ну тоже втопку по всей видимости http://www.cisco.com...op-via-bgp.html https://supportforum...gation-bgp-qppb ага, спасибо, читаю правильно я понимаю, что присылая из бранча комьюнити с кодовым значением, помещаю его в ГО в QoS-группу и в ней уже делаю что хочу? нет, с DMVPN как раз таки не надо 100 полиси. если у spoke одинаковые нужды к траффику то spoke пихается в одну и туже группу. HUB-1#sh run int tu0 Building configuration... Current configuration : 547 bytes ! interface Tunnel0 description TO_R3,4,5_VIA_MPLS ip address 100.68.68.6 255.255.255.0 no ip redirects ip mtu 1400 ip pim sparse-mode ip nhrp map multicast dynamic ip nhrp network-id 1 ip nhrp redirect ip tcp adjust-mss 1360 nhrp map group SPOKE-1 service-policy output Spoke-1_25Kbps <--------------------------------- nhrp map group SPOKE-2 service-policy output Spoke-2_25Kbps nhrp map group SPOKE-3 service-policy output Spoke-3_25Kbps qos pre-classify tunnel source Loopback0 tunnel mode gre multipoint tunnel key 0 tunnel protection ipsec profile DMVPN end R6# SPOKE-1#sh run int tu0 Building configuration... Current configuration : 506 bytes ! interface Tunnel0 ip address 100.68.68.3 255.255.255.0 no ip redirects ip mtu 1400 ip pim sparse-mode ip nhrp map 100.68.68.6 6.6.6.6 ip nhrp map multicast 6.6.6.6 ip nhrp map 100.68.68.8 8.8.8.8 ip nhrp map multicast 8.8.8.8 ip nhrp network-id 1 ip nhrp nhs 100.68.68.6 ip nhrp nhs 100.68.68.8 ip nhrp shortcut ip tcp adjust-mss 1360 nhrp group SPOKE-1 <--------------------------------- qos pre-classify tunnel source Loopback0 tunnel mode gre multipoint tunnel key 0 tunnel protection ipsec profile DMVPN shared end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ikiliikkuja Опубликовано 27 мая, 2015 · Жалоба нет, с DMVPN как раз таки не надо 100 полиси. если у spoke одинаковые нужды к траффику то spoke пихается в одну и туже группу. 100 полиси не надо, но надо прописать 100 туннелей %) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 27 мая, 2015 (изменено) · Жалоба нет, с DMVPN как раз таки не надо 100 полиси. если у spoke одинаковые нужды к траффику то spoke пихается в одну и туже группу. 100 полиси не надо, но надо прописать 100 туннелей %) один на каждом споке / хабе. Изменено 27 мая, 2015 пользователем applx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 27 мая, 2015 · Жалоба 100 полиси не надо, но надо прописать 100 туннелей %) и этого не надо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ikiliikkuja Опубликовано 28 мая, 2015 · Жалоба 100 полиси не надо, но надо прописать 100 туннелей %) и этого не надо а как на 100 бранчах dmvpn сам поднимется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...