[postuser]

В некоторых сегментах сети время от времени возникают проблемы с перегрузками из-за локального трафика. Планируем бороться с этим с помощью настройки QoS.

Но не совсем понятно, как классифицировать трафик, например, как выделить тот же skype. Можно, конечно, сделать низкий приоритет локальному трафику, за исключением некоторых сервисов, а остальное сделать приоритетным....

Интересует, часто ли используют QoS в провайдерских сетях или проще расширять пропускную способность сети? Насколько это все работает или только в документации все красиво расписано? Какие общие принципы применяют (по каким параметрам классифицируют трафик).

[alex_001]

В некоторых сегментах сети время от времени возникают проблемы с перегрузками из-за локального трафика. Планируем бороться с этим с помощью настройки QoS.

Но не совсем понятно, как классифицировать трафик, например, как выделить тот же skype. Можно, конечно, сделать низкий приоритет локальному трафику, за исключением некоторых сервисов, а остальное сделать приоритетным....

Интересует, часто ли используют QoS в провайдерских сетях или проще расширять пропускную способность сети? Насколько это все работает или только в документации все красиво расписано? Какие общие принципы применяют (по каким параметрам классифицируют трафик).

Локал дешевле расширить чем QOS заниматься , а вот внешний траффик можно и приоритезировать. Проблема в том что банально по протоколам/портам сейчас крайне ненадежно метить - нужен некий DPI который будет помечать все.

Соответственно нормально приоритеты можно выставить только для входящего в сеть траффика (в случае наличия этого самого DPI), со стороны клиента вариант только 1 - помечать траф на приоритетные сервисы по ip и все , ну и бордеру можно

скармливать уже нормально помеченный (поможет если внешки не хватает).

 

У самого те-же проблемы (правда локальной полосы обычно хватает) , вот только с QoS ситуация a'la "чем дальше в лес тем толще партизаны" - некоторые тривиальные вещи делаются очень просто , но чуть что посложее надо - и все :(

. Пока помечаю по ip некоторые свои сервисы и все , причем вручную. трудно сказать насколько помогает , как уже писал локал не особо перегружен.

 

На данный момент в качестве DPI (и только для ната) решил использовать пометку на основе nat helper'ов , но там тоже не особо богато - sip,ftp. Жаль нет под torrent helper'a - пускай бы даже исх. траффик возрос из за него , зато бы

известно бы было что это за траффик и можно бы было его делать низкоприоритетным.

Как метить скайп - тут вообще непонятно , разве что по профилю траффика (количество потоков , протокол , размер пакетов) - но тут сплошная эвристика и опять-же надо модуль писать :(

 

Ах , да - я уже писал тут - OpenDPI сделали наконец под netfilter , но сам не пробовал использовать.

[s.lobanov]

ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафика

[orlik]

ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафика

Ну обход DPI может быть выгоден например скайпу, т.к. они на этом зарабатывают деньги, а вот разработчики протокола - врятли они будут ставить в приоритет обход DPI

[alex_001]

ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафика

Ну обход DPI может быть выгоден например скайпу, т.к. они на этом зарабатывают деньги, а вот разработчики протокола - врятли они будут ставить в приоритет обход DPI

Жаль что он детектится сложно кстати - я бы ему наоборот приоритет побольше сделал , не жалко , пусть люди порадуются :) , интересно есть вариант в настройках клиента сделать

его идентифицируемым? благо жрет он немного в отличие от торрентов.

[alex_001]

ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафика

Ну , я же не предлагаю сразу SCE ставить. Для начала можно с доступными софовыми решениями повозиться. Процессоры нынче быстрые , память дешевая...

[UglyAdmin]

Но не совсем понятно, как классифицировать трафик, например, как выделить тот же skype.

А это нафига? У Вас что, мегаценный локальный трафик есть? Обычно это говнотрафик, причём ещё и бесплатный.

Можно, конечно, сделать низкий приоритет локальному трафику, за исключением некоторых сервисов, а остальное сделать приоритетным....

Именно так. DNS поднимаем, инет поднимаем, остальное сливаем. Ваша задача - денег заработать, а не дать возможность юзерам бесплатно тусоваться.

Интересует, часто ли используют QoS в провайдерских сетях или проще расширять пропускную способность сети? Насколько это все работает или только в документации все красиво расписано? Какие общие принципы применяют (по каким параметрам классифицируют трафик).

QoS - это последнее прибежище перед расширением полосы. Если расширять не успеваете - придётся QoS городить...

 

[s.lobanov]

ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафика

Ну , я же не предлагаю сразу SCE ставить. Для начала можно с доступными софовыми решениями повозиться. Процессоры нынче быстрые , память дешевая...

И что Вы предлагаете использовать? opendpi, который прикрутили к netfilter буквально на днях? О каких конкретно решениях идёт речь?

[UglyAdmin]

Что-то Вас в дебри понесло. Какие DPI, какие SCE?

В ядре вообще всё просто: вот порт, в него включен DNS-сервер, ему приоритет повыше. В этот порт приходит инет с бордера - ему тоже повыше. В эти порты включена файлопомойка, ей пониже. ВСЁ.

 

Сложнее в другую сторону, но на свитчах L2-4 решается.

В большинстве случаев хватает простых правил: эти IP - наши, им пониже. Остальные IP - внешние, им повыше.

[alex_001]

ИМХО вкладывать деньги в DPI это огромнейший риск, связанный с тем, что как только его использование станет обыденностью, авторы мюторрента подсуетятся и сделают нормальное вуалирование трафика

Ну , я же не предлагаю сразу SCE ставить. Для начала можно с доступными софовыми решениями повозиться. Процессоры нынче быстрые , память дешевая...

И что Вы предлагаете использовать? opendpi, который прикрутили к netfilter буквально на днях? О каких конкретно решениях идёт речь?

OpenDPI как вариант - просто сам увидел недавно что сделали модулем к нетфильтру . Nat helpers (уже писал) - тоже кой чего умеют. Из userspace - можно приспособить ids'ки (bro например) , потом на основе данных от них

помечать клиентские соединения (что netfilter вполне позволяет делать из userspace) - но это конечно тяжелая штука получится.

 

P.S. пойду ка odpi соберу посмотрю как работает , а то чтото у нас теория сплошная :)

[alex_001]

QoS - это последнее прибежище перед расширением полосы. Если расширять не успеваете - придётся QoS городить...

С этим полностью согласен . Но ... Реальность заставляет всеже городить.

[SergeiK]

Я тут уже как-то спорил с коллегами по этому поводу.

По моему, QoS - как правила дорожного движения. На пустой дороге - не слишком нужны. Поэтому всегда проще решить проблему расширением полосы.

Мне кажется, этот путь тупиковый. То есть, конечно, расширять полосу надо. Но по меньше мере магистраль должна сразу строиться с включенной поддержкой QoS и важные сервисы должны маркироваться. Некоторые, кстати, маркируется автоматом (OSPF LSA идут с 6 приоритетом, многие голосовые устройства маркируют RTP 5-ым, а управляющий трафик 3-м и т.д).

 

Если эту работу вести сразу, аккуратно и планомерно, то лишних проблем в ближайшем и отдаленном будущем будет намного меньше.