Tau Опубликовано 24 мая, 2016 · Жалоба Коллеги, обратил внимание, что в паблик-интернете даже крупными компаниями не используются QoS-маркировки третьего уровня (ToS, DSCP). За примерами далеко ходить не нужно - ютуб, стримминговые сервисы, облачные АТС и т.д. Почему так? Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок. Может быть контентщики не очень-то верят в пользу этих Qos при передаче через паблик? Тоже маловероятно - от них требуется только поставить значение поля в IP-пакете в зависимости от типа трафика: затрат на копейку, а польза где-нибудь обязательно будет. Думаю, большинство софта (стриминговый, веб-сервера, voip) позволяет установить значение TOS/DSCP. Может быть эти приоритеты нигде не учитываются? Да нет, приоритеты L2-пакетов (CoS) имеют большую пользу на операторских сетях - значение CoS учитывается при обработке очередей пакетов и позволяют применять политику приоритизации для разного типа трафика. Есть механизм маппинга DSCP в COS, позволяющий учитывать приоритеты IP-трафика на транзитных коммутаторах. И на сетях сколько-нибудь уважающего себя оператора приоритизация CoS настроена. Может быть эти приоритеты не учитываются в самом важном месте - на BRASе при полисинге абонентского трафика? Да вряд ли - оператору выгодно полисить трафик с учетом приоритетов, если BRAS это умеет. Клиенты перестанут жаловаться на подвисающее видео и квакакующую телефонию, зажатые разным говнотрафиком. Или просто это нахер никому не нужно??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 24 мая, 2016 · Жалоба Просто рай для ддос-атак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 24 мая, 2016 · Жалоба Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 24 мая, 2016 · Жалоба Просто рай для ддос-атак. Атак какого типа (на что)? Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом? У нас у 90% клиентов в бизнес время "канал" в полке!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 мая, 2016 · Жалоба Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок. Вот тут как раз мимо. Это делается на wirespeed в asic-ах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 24 мая, 2016 · Жалоба Атак какого типа (на что)? В первом посте, вы практически в явной форме спрашиваете "почему на аплинки не вешаются trust dscp" Прям сплю и вижу, как хитрожопые пакетики укладывают очереди потоком в пару сотен мегабит/пару гигабит там, где раньше надо было влить десятки гигабит для полного отказа инфраструктуры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tau Опубликовано 24 мая, 2016 · Жалоба В первом посте, вы практически в явной форме спрашиваете "почему на аплинки не вешаются trust dscp" Прям сплю и вижу, как хитрожопые пакетики укладывают очереди потоком в пару сотен мегабит/пару гигабит там, где раньше надо было влить десятки гигабит для полного отказа инфраструктуры. Ок, "атака на инфраструктуру". Вытесняется из очередей легитимный трафик. Серьезный довод против. Но работает в случае общей очереди на всех клиентов. Если DSCP учитывается только на BRAS при полисинге, и для каждого клиента очередь своя, то не актуально, верно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 мая, 2016 · Жалоба Но работает в случае общей очереди на всех клиентов. Если DSCP учитывается только на BRAS при полисинге, и для каждого клиента очередь своя, то не актуально, верно? Тогда абонентов с белыми IP будет слишком просто атаковать. Моё мнение. Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было (кстати, какой-то торрент клиент ставит DSCP по умолчанию). В идеале для абонента это выглядит по-другому - он заходит в ЛК и конфигурит профиль приоритезации (непонимающие - выбирают из готовых, по дефолту ставится профиль типа Игрушки,Web,Torrent), у провайдера должен быть DPI для этого Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 24 мая, 2016 · Жалоба Если DSCP учитывается только на BRAS то брас забьется в полочку и согнется в зюзю, ресурс то не безграничен. ну и да, классика же https://ru.wikipedia.org/wiki/Закон_Мерфи Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 24 мая, 2016 · Жалоба Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок. Не дорого. Контрольную сумму не нужно пересчитывать целиком, она легко обновляется: в начале вычитаем оригинальное значение, потом прибавляем новое значение. Всё. Записываем обновлённую сумму. Си код можно посмотреть в ng_mssfix неграф ноде во фре. В железках хз как, но их делают обычно чтобы они прожёвывали всю пропускную способность порта мелкими пакетами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 мая, 2016 · Жалоба Ivan_83 Вот зачем вы тут вообще написали про фряху? Речь идёт про операторские молотилки, это ну никак не софтроутеры на базе freebsd/linux kernel-routing Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixae1 Опубликовано 24 мая, 2016 · Жалоба Просто рай для ддос-атак. Если даже не для DDoS, но учитывать придётся. Примерно год назад имели странный опыт когда один из абонентов стал жаловаться на то что телевидение сыпится у него. Стали искать выяснили, что забивается высокоприоритетная очередь выделенная для нашего ТВ и забивается трафиком из Интернета (сейчас не вспомню какой ресурс, чуть ли не Yandex), где был установлен соответствующий DSCP. Кто вешал приоритет не стали сильно разбираться, просто на всех аплинках повесили политику зачистки. Трафика десятки гигабит/c проблем с производительностью не испытываем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 24 мая, 2016 · Жалоба Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было Зачем все и везде. Есть же некая зона доверия, стыки со всякими cdn например, ggc и тп. Даже елси пойдет атака, ютубик будет работать, а если еще и вконтакт приоритезовать, то вообще абоненты знать не будут. Причем это не будет нарушением сетевого нейтралитета, а реальное улучшение качества сервиса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 мая, 2016 · Жалоба Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было Зачем все и везде. Есть же некая зона доверия, стыки со всякими cdn например, ggc и тп. Даже елси пойдет атака, ютубик будет работать, а если еще и вконтакт приоритезовать, то вообще абоненты знать не будут. Причем это не будет нарушением сетевого нейтралитета, а реальное улучшение качества сервиса Ну это то что сейчас по-сути и есть, автор же пишет про глобальный пропуск DSCP между всеми. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 24 мая, 2016 · Жалоба Почему так? В этом поле каждый суслик - агроном. Все враз станут VIPами и все сведется к тому что имеем сейчас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 25 мая, 2016 · Жалоба Причина обнуления DSCP в том, что нельзя доверять этому полю пришедшему от сторонних операторов. Они или их абоненты могут поставить что угодно, а проблемы будут у Вас. Так что либо обнулять DSCP и все в одной очереди (этот способ не исключает ручной раскраски по своим параметрам), либо обнулять DSCP и пере маркировать при помощи своего DPI. Повторюсь: нельзя доверять чужим DSCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 25 мая, 2016 · Жалоба кто еще напишет в 5й раз очевидную вещь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 25 мая, 2016 · Жалоба не, нельзя доверять чужим dscp, никак нельзя, вот своим можно, а чужим нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 25 мая, 2016 · Жалоба надо придумать dscp-sec (подпись маркировки), чтобы можно было доверять только тому, кого считаешь достойным Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mightyscv Опубликовано 25 мая, 2016 · Жалоба s.lobanov Это гениально! Учитывая тенденцию(IPSec, DNSSEC, BGPSEC, etc) - вам надо срочно в IETF бежать с этой мыслью :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 25 мая, 2016 · Жалоба надо придумать dscp-sec (подпись маркировки), чтобы можно было доверять только тому, кого считаешь достойным свят свят свят... потому еще наши чинуши начнут скидывать списки неугодных подписей Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 26 мая, 2016 · Жалоба Просто рай для ддос-атак. Атак какого типа (на что)? Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом? У нас у 90% клиентов в бизнес время "канал" в полке!!! QoS метки именно работают когда канал в полке, вам же написали. То что у вас происходит - это ваши проблемы. Расставляя метки и направляя пакеты в соотв. очереди при забитом канале достигается живучесть необходимых сервисов. ютубы и всяческие мультимедийные сервисы как правило на принимающей стороне держат буфер или кеш Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OKyHb Опубликовано 27 мая, 2016 · Жалоба Причина обнуления DSCP в том, что нельзя доверять этому полю пришедшему от сторонних операторов. Они или их абоненты могут поставить что угодно, а проблемы будут у Вас. Так что либо обнулять DSCP и все в одной очереди (этот способ не исключает ручной раскраски по своим параметрам), либо обнулять DSCP и пере маркировать при помощи своего DPI.Повторюсь: нельзя доверять чужим DSCP. А какой рекомендуемый подход для трафика, который мы отдаем в интернет? Стоит ли заморачиваться и обнулять DSCP для трафика ОТ наших клиентов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 27 мая, 2016 · Жалоба Мы обнуляем, но это не для интернета, а для себя Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...