postuser Опубликовано 15 октября, 2010 · Жалоба В некоторых сегментах сети время от времени возникают проблемы с перегрузками из-за локального трафика. Планируем бороться с этим с помощью настройки QoS. Но не совсем понятно, как классифицировать трафик, например, как выделить тот же skype. Можно, конечно, сделать низкий приоритет локальному трафику, за исключением некоторых сервисов, а остальное сделать приоритетным.... Интересует, часто ли используют QoS в провайдерских сетях или проще расширять пропускную способность сети? Насколько это все работает или только в документации все красиво расписано? Какие общие принципы применяют (по каким параметрам классифицируют трафик). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 15 октября, 2010 · Жалоба В некоторых сегментах сети время от времени возникают проблемы с перегрузками из-за локального трафика. Планируем бороться с этим с помощью настройки QoS.Но не совсем понятно, как классифицировать трафик, например, как выделить тот же skype. Можно, конечно, сделать низкий приоритет локальному трафику, за исключением некоторых сервисов, а остальное сделать приоритетным.... Интересует, часто ли используют QoS в провайдерских сетях или проще расширять пропускную способность сети? Насколько это все работает или только в документации все красиво расписано? Какие общие принципы применяют (по каким параметрам классифицируют трафик). Локал дешевле расширить чем QOS заниматься , а вот внешний траффик можно и приоритезировать. Проблема в том что банально по протоколам/портам сейчас крайне ненадежно метить - нужен некий DPI который будет помечать все. Соответственно нормально приоритеты можно выставить только для входящего в сеть траффика (в случае наличия этого самого DPI), со стороны клиента вариант только 1 - помечать траф на приоритетные сервисы по ip и все , ну и бордеру можно скармливать уже нормально помеченный (поможет если внешки не хватает). У самого те-же проблемы (правда локальной полосы обычно хватает) , вот только с QoS ситуация a'la "чем дальше в лес тем толще партизаны" - некоторые тривиальные вещи делаются очень просто , но чуть что посложее надо - и все :( . Пока помечаю по ip некоторые свои сервисы и все , причем вручную. трудно сказать насколько помогает , как уже писал локал не особо перегружен. На данный момент в качестве DPI (и только для ната) решил использовать пометку на основе nat helper'ов , но там тоже не особо богато - sip,ftp. Жаль нет под torrent helper'a - пускай бы даже исх. траффик возрос из за него , зато бы известно бы было что это за траффик и можно бы было его делать низкоприоритетным. Как метить скайп - тут вообще непонятно , разве что по профилю траффика (количество потоков , протокол , размер пакетов) - но тут сплошная эвристика и опять-же надо модуль писать :( Ах , да - я уже писал тут - OpenDPI сделали наконец под netfilter , но сам не пробовал использовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 октября, 2010 · Жалоба ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафика Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 15 октября, 2010 · Жалоба ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафика Ну обход DPI может быть выгоден например скайпу, т.к. они на этом зарабатывают деньги, а вот разработчики протокола - врятли они будут ставить в приоритет обход DPI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 15 октября, 2010 · Жалоба ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафика Ну обход DPI может быть выгоден например скайпу, т.к. они на этом зарабатывают деньги, а вот разработчики протокола - врятли они будут ставить в приоритет обход DPI Жаль что он детектится сложно кстати - я бы ему наоборот приоритет побольше сделал , не жалко , пусть люди порадуются :) , интересно есть вариант в настройках клиента сделать его идентифицируемым? благо жрет он немного в отличие от торрентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 15 октября, 2010 · Жалоба ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафика Ну , я же не предлагаю сразу SCE ставить. Для начала можно с доступными софовыми решениями повозиться. Процессоры нынче быстрые , память дешевая... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 15 октября, 2010 · Жалоба Но не совсем понятно, как классифицировать трафик, например, как выделить тот же skype.А это нафига? У Вас что, мегаценный локальный трафик есть? Обычно это говнотрафик, причём ещё и бесплатный.Можно, конечно, сделать низкий приоритет локальному трафику, за исключением некоторых сервисов, а остальное сделать приоритетным....Именно так. DNS поднимаем, инет поднимаем, остальное сливаем. Ваша задача - денег заработать, а не дать возможность юзерам бесплатно тусоваться.Интересует, часто ли используют QoS в провайдерских сетях или проще расширять пропускную способность сети? Насколько это все работает или только в документации все красиво расписано? Какие общие принципы применяют (по каким параметрам классифицируют трафик).QoS - это последнее прибежище перед расширением полосы. Если расширять не успеваете - придётся QoS городить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 октября, 2010 · Жалоба ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафикаНу , я же не предлагаю сразу SCE ставить. Для начала можно с доступными софовыми решениями повозиться. Процессоры нынче быстрые , память дешевая... И что Вы предлагаете использовать? opendpi, который прикрутили к netfilter буквально на днях? О каких конкретно решениях идёт речь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 15 октября, 2010 · Жалоба Что-то Вас в дебри понесло. Какие DPI, какие SCE? В ядре вообще всё просто: вот порт, в него включен DNS-сервер, ему приоритет повыше. В этот порт приходит инет с бордера - ему тоже повыше. В эти порты включена файлопомойка, ей пониже. ВСЁ. Сложнее в другую сторону, но на свитчах L2-4 решается. В большинстве случаев хватает простых правил: эти IP - наши, им пониже. Остальные IP - внешние, им повыше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 15 октября, 2010 · Жалоба ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафикаНу , я же не предлагаю сразу SCE ставить. Для начала можно с доступными софовыми решениями повозиться. Процессоры нынче быстрые , память дешевая... И что Вы предлагаете использовать? opendpi, который прикрутили к netfilter буквально на днях? О каких конкретно решениях идёт речь? OpenDPI как вариант - просто сам увидел недавно что сделали модулем к нетфильтру . Nat helpers (уже писал) - тоже кой чего умеют. Из userspace - можно приспособить ids'ки (bro например) , потом на основе данных от них помечать клиентские соединения (что netfilter вполне позволяет делать из userspace) - но это конечно тяжелая штука получится. P.S. пойду ка odpi соберу посмотрю как работает , а то чтото у нас теория сплошная :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 15 октября, 2010 · Жалоба QoS - это последнее прибежище перед расширением полосы. Если расширять не успеваете - придётся QoS городить... С этим полностью согласен . Но ... Реальность заставляет всеже городить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 16 октября, 2010 · Жалоба Я тут уже как-то спорил с коллегами по этому поводу. По моему, QoS - как правила дорожного движения. На пустой дороге - не слишком нужны. Поэтому всегда проще решить проблему расширением полосы. Мне кажется, этот путь тупиковый. То есть, конечно, расширять полосу надо. Но по меньше мере магистраль должна сразу строиться с включенной поддержкой QoS и важные сервисы должны маркироваться. Некоторые, кстати, маркируется автоматом (OSPF LSA идут с 6 приоритетом, многие голосовые устройства маркируют RTP 5-ым, а управляющий трафик 3-м и т.д). Если эту работу вести сразу, аккуратно и планомерно, то лишних проблем в ближайшем и отдаленном будущем будет намного меньше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...