Jump to content
Калькуляторы

QoS через Public Internet

Коллеги, обратил внимание, что в паблик-интернете даже крупными компаниями не используются QoS-маркировки третьего уровня (ToS, DSCP). За примерами далеко ходить не нужно - ютуб, стримминговые сервисы, облачные АТС и т.д.

 

Почему так?

 

Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок.

 

Может быть контентщики не очень-то верят в пользу этих Qos при передаче через паблик? Тоже маловероятно - от них требуется только поставить значение поля в IP-пакете в зависимости от типа трафика: затрат на копейку, а польза где-нибудь обязательно будет. Думаю, большинство софта (стриминговый, веб-сервера, voip) позволяет установить значение TOS/DSCP.

 

Может быть эти приоритеты нигде не учитываются? Да нет, приоритеты L2-пакетов (CoS) имеют большую пользу на операторских сетях - значение CoS учитывается при обработке очередей пакетов и позволяют применять политику приоритизации для разного типа трафика. Есть механизм маппинга DSCP в COS, позволяющий учитывать приоритеты IP-трафика на транзитных коммутаторах. И на сетях сколько-нибудь уважающего себя оператора приоритизация CoS настроена.

 

Может быть эти приоритеты не учитываются в самом важном месте - на BRASе при полисинге абонентского трафика? Да вряд ли - оператору выгодно полисить трафик с учетом приоритетов, если BRAS это умеет. Клиенты перестанут жаловаться на подвисающее видео и квакакующую телефонию, зажатые разным говнотрафиком.

 

Или просто это нахер никому не нужно???

Share this post


Link to post
Share on other sites

Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом?

Share this post


Link to post
Share on other sites

Просто рай для ддос-атак.

Атак какого типа (на что)?

 

Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом?

У нас у 90% клиентов в бизнес время "канал" в полке!!!

Share this post


Link to post
Share on other sites

Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок.

 

Вот тут как раз мимо. Это делается на wirespeed в asic-ах

Share this post


Link to post
Share on other sites

Атак какого типа (на что)?

В первом посте, вы практически в явной форме спрашиваете "почему на аплинки не вешаются trust dscp"

Прям сплю и вижу, как хитрожопые пакетики укладывают очереди потоком в пару сотен мегабит/пару гигабит там, где раньше надо было влить десятки гигабит для полного отказа инфраструктуры.

Share this post


Link to post
Share on other sites

В первом посте, вы практически в явной форме спрашиваете "почему на аплинки не вешаются trust dscp"

Прям сплю и вижу, как хитрожопые пакетики укладывают очереди потоком в пару сотен мегабит/пару гигабит там, где раньше надо было влить десятки гигабит для полного отказа инфраструктуры.

Ок, "атака на инфраструктуру". Вытесняется из очередей легитимный трафик. Серьезный довод против.

Но работает в случае общей очереди на всех клиентов. Если DSCP учитывается только на BRAS при полисинге, и для каждого клиента очередь своя, то не актуально, верно?

Share this post


Link to post
Share on other sites

Но работает в случае общей очереди на всех клиентов. Если DSCP учитывается только на BRAS при полисинге, и для каждого клиента очередь своя, то не актуально, верно?

 

Тогда абонентов с белыми IP будет слишком просто атаковать.

 

Моё мнение. Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было (кстати, какой-то торрент клиент ставит DSCP по умолчанию). В идеале для абонента это выглядит по-другому - он заходит в ЛК и конфигурит профиль приоритезации (непонимающие - выбирают из готовых, по дефолту ставится профиль типа Игрушки,Web,Torrent), у провайдера должен быть DPI для этого

Share this post


Link to post
Share on other sites
Может быть кто-то посередие (мой аплинк), меняет маркировку в соотвествии со своей политикой? Вряд ли - на дворе 2016 год, влазить в каждый пакет и пересчитывать после этого контрольную сумму дорого с точки зрения производительности операторских молотилок.

Не дорого.

Контрольную сумму не нужно пересчитывать целиком, она легко обновляется: в начале вычитаем оригинальное значение, потом прибавляем новое значение. Всё. Записываем обновлённую сумму.

Си код можно посмотреть в ng_mssfix неграф ноде во фре.

В железках хз как, но их делают обычно чтобы они прожёвывали всю пропускную способность порта мелкими пакетами.

Share this post


Link to post
Share on other sites

Ivan_83

Вот зачем вы тут вообще написали про фряху? Речь идёт про операторские молотилки, это ну никак не софтроутеры на базе freebsd/linux kernel-routing

Share this post


Link to post
Share on other sites

Просто рай для ддос-атак.

Если даже не для DDoS, но учитывать придётся. Примерно год назад имели странный опыт когда один из абонентов стал жаловаться на то что телевидение сыпится у него. Стали искать выяснили, что забивается высокоприоритетная очередь выделенная для нашего ТВ и забивается трафиком из Интернета (сейчас не вспомню какой ресурс, чуть ли не Yandex), где был установлен соответствующий DSCP. Кто вешал приоритет не стали сильно разбираться, просто на всех аплинках повесили политику зачистки.

 

Трафика десятки гигабит/c проблем с производительностью не испытываем.

Share this post


Link to post
Share on other sites

Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было

Зачем все и везде. Есть же некая зона доверия, стыки со всякими cdn например, ggc и тп. Даже елси пойдет атака, ютубик будет работать, а если еще и вконтакт приоритезовать, то вообще абоненты знать не будут. Причем это не будет нарушением сетевого нейтралитета, а реальное улучшение качества сервиса

Share this post


Link to post
Share on other sites

Если бы был DSCP в паблике, то все бы начали ставить EF и разницы опять же никакой бы не было

Зачем все и везде. Есть же некая зона доверия, стыки со всякими cdn например, ggc и тп. Даже елси пойдет атака, ютубик будет работать, а если еще и вконтакт приоритезовать, то вообще абоненты знать не будут. Причем это не будет нарушением сетевого нейтралитета, а реальное улучшение качества сервиса

 

Ну это то что сейчас по-сути и есть, автор же пишет про глобальный пропуск DSCP между всеми.

Share this post


Link to post
Share on other sites

Почему так?

 

В этом поле каждый суслик - агроном. Все враз станут VIPами и все сведется к тому что имеем сейчас.

Share this post


Link to post
Share on other sites

Причина обнуления DSCP в том, что нельзя доверять этому полю пришедшему от сторонних операторов. Они или их абоненты могут поставить что угодно, а проблемы будут у Вас. Так что либо обнулять DSCP и все в одной очереди (этот способ не исключает ручной раскраски по своим параметрам), либо обнулять DSCP и пере маркировать при помощи своего DPI.

 

Повторюсь: нельзя доверять чужим DSCP.

Share this post


Link to post
Share on other sites

кто еще напишет в 5й раз очевидную вещь?

Share this post


Link to post
Share on other sites

не, нельзя доверять чужим dscp, никак нельзя, вот своим можно, а чужим нет

Share this post


Link to post
Share on other sites

надо придумать dscp-sec (подпись маркировки), чтобы можно было доверять только тому, кого считаешь достойным

Share this post


Link to post
Share on other sites

s.lobanov

Это гениально!

Учитывая тенденцию(IPSec, DNSSEC, BGPSEC, etc) - вам надо срочно в IETF бежать с этой мыслью :)

Share this post


Link to post
Share on other sites

надо придумать dscp-sec (подпись маркировки), чтобы можно было доверять только тому, кого считаешь достойным

свят свят свят... потому еще наши чинуши начнут скидывать списки неугодных подписей

Share this post


Link to post
Share on other sites

Просто рай для ддос-атак.

Атак какого типа (на что)?

 

Qos начинает работать и становится нужен только тогда, когда канал в полке, за редкими исключениями. А кому нужны забитые каналы в полке, но с рабочим ютубом?

У нас у 90% клиентов в бизнес время "канал" в полке!!!

QoS метки именно работают когда канал в полке, вам же написали. То что у вас происходит - это ваши проблемы. Расставляя метки и направляя пакеты в соотв. очереди при забитом канале достигается живучесть необходимых сервисов. ютубы и всяческие мультимедийные сервисы как правило на принимающей стороне держат буфер или кеш

Share this post


Link to post
Share on other sites

Причина обнуления DSCP в том, что нельзя доверять этому полю пришедшему от сторонних операторов. Они или их абоненты могут поставить что угодно, а проблемы будут у Вас. Так что либо обнулять DSCP и все в одной очереди (этот способ не исключает ручной раскраски по своим параметрам), либо обнулять DSCP и пере маркировать при помощи своего DPI.Повторюсь: нельзя доверять чужим DSCP.

 

А какой рекомендуемый подход для трафика, который мы отдаем в интернет? Стоит ли заморачиваться и обнулять DSCP для трафика ОТ наших клиентов?

Share this post


Link to post
Share on other sites

Мы обнуляем, но это не для интернета, а для себя

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this