Перейти к содержимому
Калькуляторы

QoS через Public Internet

Коллеги, обратил внимание, что в паблик-интернете даже крупными компаниями не используются QoS-маркировки третьего уровня (ToS, DSCP). За примерами далеко ходить не нужно - ютуб, стримминговые сервисы, облачные АТС и т.д.

 

Почему так?

 

Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок.

 

Может быть контентщики не очень-то верят в пользу этих Qos при передаче через паблик? Тоже маловероятно - от них требуется только поставить значение поля в IP-пакете в зависимости от типа трафика: затрат на копейку, а польза где-нибудь обязательно будет. Думаю, большинство софта (стриминговый, веб-сервера, voip) позволяет установить значение TOS/DSCP.

 

Может быть эти приоритеты нигде не учитываются? Да нет, приоритеты L2-пакетов (CoS) имеют большую пользу на операторских сетях - значение CoS учитывается при обработке очередей пакетов и позволяют применять политику приоритизации для разного типа трафика. Есть механизм маппинга DSCP в COS, позволяющий учитывать приоритеты IP-трафика на транзитных коммутаторах. И на сетях сколько-нибудь уважающего себя оператора приоритизация CoS настроена.

 

Может быть эти приоритеты не учитываются в самом важном месте - на BRASе при полисинге абонентского трафика? Да вряд ли - оператору выгодно полисить трафик с учетом приоритетов, если BRAS это умеет. Клиенты перестанут жаловаться на подвисающее видео и квакакующую телефонию, зажатые разным говнотрафиком.

 

Или просто это нахер никому не нужно???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто рай для ддос-атак.

Атак какого типа (на что)?

 

Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом?

У нас у 90% клиентов в бизнес время "канал" в полке!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок.

 

Вот тут как раз мимо. Это делается на wirespeed в asic-ах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Атак какого типа (на что)?

В первом посте, вы практически в явной форме спрашиваете "почему на аплинки не вешаются trust dscp"

Прям сплю и вижу, как хитрожопые пакетики укладывают очереди потоком в пару сотен мегабит/пару гигабит там, где раньше надо было влить десятки гигабит для полного отказа инфраструктуры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В первом посте, вы практически в явной форме спрашиваете "почему на аплинки не вешаются trust dscp"

Прям сплю и вижу, как хитрожопые пакетики укладывают очереди потоком в пару сотен мегабит/пару гигабит там, где раньше надо было влить десятки гигабит для полного отказа инфраструктуры.

Ок, "атака на инфраструктуру". Вытесняется из очередей легитимный трафик. Серьезный довод против.

Но работает в случае общей очереди на всех клиентов. Если DSCP учитывается только на BRAS при полисинге, и для каждого клиента очередь своя, то не актуально, верно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но работает в случае общей очереди на всех клиентов. Если DSCP учитывается только на BRAS при полисинге, и для каждого клиента очередь своя, то не актуально, верно?

 

Тогда абонентов с белыми IP будет слишком просто атаковать.

 

Моё мнение. Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было (кстати, какой-то торрент клиент ставит DSCP по умолчанию). В идеале для абонента это выглядит по-другому - он заходит в ЛК и конфигурит профиль приоритезации (непонимающие - выбирают из готовых, по дефолту ставится профиль типа Игрушки,Web,Torrent), у провайдера должен быть DPI для этого

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если DSCP учитывается только на BRAS

то брас забьется в полочку и согнется в зюзю, ресурс то не безграничен.

ну и да, классика же https://ru.wikipedia.org/wiki/Закон_Мерфи

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок.

Не дорого.

Контрольную сумму не нужно пересчитывать целиком, она легко обновляется: в начале вычитаем оригинальное значение, потом прибавляем новое значение. Всё. Записываем обновлённую сумму.

Си код можно посмотреть в ng_mssfix неграф ноде во фре.

В железках хз как, но их делают обычно чтобы они прожёвывали всю пропускную способность порта мелкими пакетами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ivan_83

Вот зачем вы тут вообще написали про фряху? Речь идёт про операторские молотилки, это ну никак не софтроутеры на базе freebsd/linux kernel-routing

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто рай для ддос-атак.

Если даже не для DDoS, но учитывать придётся. Примерно год назад имели странный опыт когда один из абонентов стал жаловаться на то что телевидение сыпится у него. Стали искать выяснили, что забивается высокоприоритетная очередь выделенная для нашего ТВ и забивается трафиком из Интернета (сейчас не вспомню какой ресурс, чуть ли не Yandex), где был установлен соответствующий DSCP. Кто вешал приоритет не стали сильно разбираться, просто на всех аплинках повесили политику зачистки.

 

Трафика десятки гигабит/c проблем с производительностью не испытываем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было

Зачем все и везде. Есть же некая зона доверия, стыки со всякими cdn например, ggc и тп. Даже елси пойдет атака, ютубик будет работать, а если еще и вконтакт приоритезовать, то вообще абоненты знать не будут. Причем это не будет нарушением сетевого нейтралитета, а реальное улучшение качества сервиса

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было

Зачем все и везде. Есть же некая зона доверия, стыки со всякими cdn например, ggc и тп. Даже елси пойдет атака, ютубик будет работать, а если еще и вконтакт приоритезовать, то вообще абоненты знать не будут. Причем это не будет нарушением сетевого нейтралитета, а реальное улучшение качества сервиса

 

Ну это то что сейчас по-сути и есть, автор же пишет про глобальный пропуск DSCP между всеми.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему так?

 

В этом поле каждый суслик - агроном. Все враз станут VIPами и все сведется к тому что имеем сейчас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Причина обнуления DSCP в том, что нельзя доверять этому полю пришедшему от сторонних операторов. Они или их абоненты могут поставить что угодно, а проблемы будут у Вас. Так что либо обнулять DSCP и все в одной очереди (этот способ не исключает ручной раскраски по своим параметрам), либо обнулять DSCP и пере маркировать при помощи своего DPI.

 

Повторюсь: нельзя доверять чужим DSCP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кто еще напишет в 5й раз очевидную вещь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не, нельзя доверять чужим dscp, никак нельзя, вот своим можно, а чужим нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

надо придумать dscp-sec (подпись маркировки), чтобы можно было доверять только тому, кого считаешь достойным

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

s.lobanov

Это гениально!

Учитывая тенденцию(IPSec, DNSSEC, BGPSEC, etc) - вам надо срочно в IETF бежать с этой мыслью :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

надо придумать dscp-sec (подпись маркировки), чтобы можно было доверять только тому, кого считаешь достойным

свят свят свят... потому еще наши чинуши начнут скидывать списки неугодных подписей

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто рай для ддос-атак.

Атак какого типа (на что)?

 

Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом?

У нас у 90% клиентов в бизнес время "канал" в полке!!!

QoS метки именно работают когда канал в полке, вам же написали. То что у вас происходит - это ваши проблемы. Расставляя метки и направляя пакеты в соотв. очереди при забитом канале достигается живучесть необходимых сервисов. ютубы и всяческие мультимедийные сервисы как правило на принимающей стороне держат буфер или кеш

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Причина обнуления DSCP в том, что нельзя доверять этому полю пришедшему от сторонних операторов. Они или их абоненты могут поставить что угодно, а проблемы будут у Вас. Так что либо обнулять DSCP и все в одной очереди (этот способ не исключает ручной раскраски по своим параметрам), либо обнулять DSCP и пере маркировать при помощи своего DPI.Повторюсь: нельзя доверять чужим DSCP.

 

А какой рекомендуемый подход для трафика, который мы отдаем в интернет? Стоит ли заморачиваться и обнулять DSCP для трафика ОТ наших клиентов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы обнуляем, но это не для интернета, а для себя

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.