[Tau]

Коллеги, обратил внимание, что в паблик-интернете даже крупными компаниями не используются QoS-маркировки третьего уровня (ToS, DSCP). За примерами далеко ходить не нужно - ютуб, стримминговые сервисы, облачные АТС и т.д.

 

Почему так?

 

Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок.

 

Может быть контентщики не очень-то верят в пользу этих Qos при передаче через паблик? Тоже маловероятно - от них требуется только поставить значение поля в IP-пакете в зависимости от типа трафика: затрат на копейку, а польза где-нибудь обязательно будет. Думаю, большинство софта (стриминговый, веб-сервера, voip) позволяет установить значение TOS/DSCP.

 

Может быть эти приоритеты нигде не учитываются? Да нет, приоритеты L2-пакетов (CoS) имеют большую пользу на операторских сетях - значение CoS учитывается при обработке очередей пакетов и позволяют применять политику приоритизации для разного типа трафика. Есть механизм маппинга DSCP в COS, позволяющий учитывать приоритеты IP-трафика на транзитных коммутаторах. И на сетях сколько-нибудь уважающего себя оператора приоритизация CoS настроена.

 

Может быть эти приоритеты не учитываются в самом важном месте - на BRASе при полисинге абонентского трафика? Да вряд ли - оператору выгодно полисить трафик с учетом приоритетов, если BRAS это умеет. Клиенты перестанут жаловаться на подвисающее видео и квакакующую телефонию, зажатые разным говнотрафиком.

 

Или просто это нахер никому не нужно???

[darkagent]

Просто рай для ддос-атак.

[Negator]

Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом?

[Tau]

Просто рай для ддос-атак.

Атак какого типа (на что)?

 

Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом?

У нас у 90% клиентов в бизнес время "канал" в полке!!!

[s.lobanov]

Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок.

 

Вот тут как раз мимо. Это делается на wirespeed в asic-ах

[darkagent]

Атак какого типа (на что)?

В первом посте, вы практически в явной форме спрашиваете "почему на аплинки не вешаются trust dscp"

Прям сплю и вижу, как хитрожопые пакетики укладывают очереди потоком в пару сотен мегабит/пару гигабит там, где раньше надо было влить десятки гигабит для полного отказа инфраструктуры.

[Tau]

В первом посте, вы практически в явной форме спрашиваете "почему на аплинки не вешаются trust dscp"

Прям сплю и вижу, как хитрожопые пакетики укладывают очереди потоком в пару сотен мегабит/пару гигабит там, где раньше надо было влить десятки гигабит для полного отказа инфраструктуры.

Ок, "атака на инфраструктуру". Вытесняется из очередей легитимный трафик. Серьезный довод против.

Но работает в случае общей очереди на всех клиентов. Если DSCP учитывается только на BRAS при полисинге, и для каждого клиента очередь своя, то не актуально, верно?

[s.lobanov]

Но работает в случае общей очереди на всех клиентов. Если DSCP учитывается только на BRAS при полисинге, и для каждого клиента очередь своя, то не актуально, верно?

 

Тогда абонентов с белыми IP будет слишком просто атаковать.

 

Моё мнение. Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было (кстати, какой-то торрент клиент ставит DSCP по умолчанию). В идеале для абонента это выглядит по-другому - он заходит в ЛК и конфигурит профиль приоритезации (непонимающие - выбирают из готовых, по дефолту ставится профиль типа Игрушки,Web,Torrent), у провайдера должен быть DPI для этого

[darkagent]

Если DSCP учитывается только на BRAS

то брас забьется в полочку и согнется в зюзю, ресурс то не безграничен.

ну и да, классика же https://ru.wikipedia.org/wiki/Закон_Мерфи

[Ivan_83]

Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок.

Не дорого.

Контрольную сумму не нужно пересчитывать целиком, она легко обновляется: в начале вычитаем оригинальное значение, потом прибавляем новое значение. Всё. Записываем обновлённую сумму.

Си код можно посмотреть в ng_mssfix неграф ноде во фре.

В железках хз как, но их делают обычно чтобы они прожёвывали всю пропускную способность порта мелкими пакетами.

[s.lobanov]

Ivan_83

Вот зачем вы тут вообще написали про фряху? Речь идёт про операторские молотилки, это ну никак не софтроутеры на базе freebsd/linux kernel-routing

[mixae1]

Просто рай для ддос-атак.

Если даже не для DDoS, но учитывать придётся. Примерно год назад имели странный опыт когда один из абонентов стал жаловаться на то что телевидение сыпится у него. Стали искать выяснили, что забивается высокоприоритетная очередь выделенная для нашего ТВ и забивается трафиком из Интернета (сейчас не вспомню какой ресурс, чуть ли не Yandex), где был установлен соответствующий DSCP. Кто вешал приоритет не стали сильно разбираться, просто на всех аплинках повесили политику зачистки.

 

Трафика десятки гигабит/c проблем с производительностью не испытываем.

[zi_rus]

Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было

Зачем все и везде. Есть же некая зона доверия, стыки со всякими cdn например, ggc и тп. Даже елси пойдет атака, ютубик будет работать, а если еще и вконтакт приоритезовать, то вообще абоненты знать не будут. Причем это не будет нарушением сетевого нейтралитета, а реальное улучшение качества сервиса

[s.lobanov]

Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было

Зачем все и везде. Есть же некая зона доверия, стыки со всякими cdn например, ggc и тп. Даже елси пойдет атака, ютубик будет работать, а если еще и вконтакт приоритезовать, то вообще абоненты знать не будут. Причем это не будет нарушением сетевого нейтралитета, а реальное улучшение качества сервиса

 

Ну это то что сейчас по-сути и есть, автор же пишет про глобальный пропуск DSCP между всеми.

[ShyLion]

Почему так?

 

В этом поле каждый суслик - агроном. Все враз станут VIPами и все сведется к тому что имеем сейчас.

[dmvy]

Причина обнуления DSCP в том, что нельзя доверять этому полю пришедшему от сторонних операторов. Они или их абоненты могут поставить что угодно, а проблемы будут у Вас. Так что либо обнулять DSCP и все в одной очереди (этот способ не исключает ручной раскраски по своим параметрам), либо обнулять DSCP и пере маркировать при помощи своего DPI.

 

Повторюсь: нельзя доверять чужим DSCP.

[rdntw]

кто еще напишет в 5й раз очевидную вещь?

[zi_rus]

не, нельзя доверять чужим dscp, никак нельзя, вот своим можно, а чужим нет

[s.lobanov]

надо придумать dscp-sec (подпись маркировки), чтобы можно было доверять только тому, кого считаешь достойным

[mightyscv]

s.lobanov

Это гениально!

Учитывая тенденцию(IPSec, DNSSEC, BGPSEC, etc) - вам надо срочно в IETF бежать с этой мыслью :)

[darkagent]

надо придумать dscp-sec (подпись маркировки), чтобы можно было доверять только тому, кого считаешь достойным

свят свят свят... потому еще наши чинуши начнут скидывать списки неугодных подписей

[ichthyandr]

Просто рай для ддос-атак.

Атак какого типа (на что)?

 

Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом?

У нас у 90% клиентов в бизнес время "канал" в полке!!!

QoS метки именно работают когда канал в полке, вам же написали. То что у вас происходит - это ваши проблемы. Расставляя метки и направляя пакеты в соотв. очереди при забитом канале достигается живучесть необходимых сервисов. ютубы и всяческие мультимедийные сервисы как правило на принимающей стороне держат буфер или кеш

[OKyHb]

Причина обнуления DSCP в том, что нельзя доверять этому полю пришедшему от сторонних операторов. Они или их абоненты могут поставить что угодно, а проблемы будут у Вас. Так что либо обнулять DSCP и все в одной очереди (этот способ не исключает ручной раскраски по своим параметрам), либо обнулять DSCP и пере маркировать при помощи своего DPI.Повторюсь: нельзя доверять чужим DSCP.

 

А какой рекомендуемый подход для трафика, который мы отдаем в интернет? Стоит ли заморачиваться и обнулять DSCP для трафика ОТ наших клиентов?

[zi_rus]

Мы обнуляем, но это не для интернета, а для себя