Поредния QOS само че double

[Тодор Лазаров]

Tези дни ми остана малко време и се зачетох в новите работи който предлага Mikrotik v6

 

Създаване на двоен shaper който да преотиризира трафика по вид и да го поделя между клиентите в мрежата по равно

 

Това е възможно защото имаме нов traffic flow във версия 6

 

http://wiki.mikrotik.com/images/thumb/2/24/Packetflowv6.png/700px-Packetflowv6.png

 

Интересното тук е че на диаграмата Quee tree се намира зад Simple Queues.

 

И ми дойде идеята, че е възможно да се направи shaper който да може да прави следното:

 

Да преотиризира трафика под вид услуга след което да го ограничава и по клиенти

 

тука може да се ползва например това:

 

1. Маркираме трафика под вид и го пращаме на Quee tree което се намира пред Simple Queues:

/ip firewall mangle
add action=mark-packet chain=forward new-packet-mark=icmp passthrough=no protocol=icmp
add action=mark-packet chain=forward dst-port=53 new-packet-mark=dns passthrough=no protocol=udp
add action=mark-packet chain=forward dst-port=80 new-packet-mark=http passthrough=no protocol=tcp
add action=mark-packet chain=forward dst-port=443 new-packet-mark=ssl passthrough=no protocol=tcp
add action=mark-packet chain=forward new-packet-mark=p2p p2p=all-p2p passthrough=no
add action=mark-packet chain=forward dst-port=1863 new-packet-mark=msn-messenger passthrough=no protocol=tcp
add action=mark-packet chain=forward dst-port=110 new-packet-mark=pop3 passthrough=no protocol=tcp
add action=mark-packet chain=forward dst-port=25 new-packet-mark=smtp passthrough=no protocol=tcp
add action=mark-packet chain=forward dst-port=143 new-packet-mark=imap passthrough=no protocol=tcp
add action=mark-packet chain=forward new-packet-mark=udp-100 packet-size=0-100 passthrough=no protocol=udp
add action=mark-packet chain=forward new-packet-mark=upd-500 packet-size=100-500 passthrough=no protocol=udp
add action=mark-packet chain=forward new-packet-mark=upd-other passthrough=no protocol=udp
add action=mark-packet chain=forward new-packet-mark=gre passthrough=no protocol=gre
add action=mark-packet chain=forward new-packet-mark=ipsec-esp passthrough=no protocol=ipsec-esp
add action=mark-packet chain=forward new-packet-mark=ipsec-ah passthrough=no protocol=ipsec-ah
add action=mark-packet chain=forward new-packet-mark=ipencap passthrough=no protocol=ipencap
add action=mark-packet chain=forward new-packet-mark=ipip passthrough=no protocol=ipip
add action=mark-packet chain=forward connection-bytes=1-512000 new-packet-mark=0bytes passthrough=yes
add action=mark-packet chain=forward connection-bytes=512000-1000000 new-packet-mark=1Mbyte passthrough=yes
add action=mark-packet chain=forward connection-bytes=1000000-3000000 new-packet-mark=3Mbyte passthrough=yes
add action=mark-packet chain=forward connection-bytes=3000000-6000000 new-packet-mark=6Mbyte passthrough=yes
add action=mark-packet chain=forward connection-bytes=6000000-30000000 new-packet-mark=30Mbyte passthrough=yes
add action=mark-packet chain=forward connection-bytes=30000000-60000000 new-packet-mark=60Mbytes passthrough=yes
add action=mark-packet chain=forward connection-bytes=60000000-0 new-packet-mark=Infinite passthrough=yes

Queue tree

/queue tree
add limit-at=10000000 max-limit=10000000 name=OVERALL parent=global priority=5
add name=PRIO1 parent=OVERALL priority=1
add name=0-512 packet-mark=0bytes parent=PRIO1 priority=1
add name=ICMP packet-mark=icmp parent=PRIO1 priority=1
add name=DNS packet-mark=dns parent=PRIO1 priority=1
add name=HTTP packet-mark=http parent=PRIO1 priority=1
add name=SSL packet-mark=ssl parent=PRIO1 priority=1
add name=MSN-MESSENGER packet-mark=msn-messenger parent=PRIO1 priority=1
add name=PRIO2 parent=OVERALL priority=3
add name=POP3 packet-mark=pop3 parent=PRIO2 priority=2
add name=SMTP packet-mark=smtp parent=PRIO2 priority=2
add name=IMAP packet-mark=imap parent=PRIO2 priority=1
add name=PRIO3 parent=OVERALL priority=3
add name=1Mbyte packet-mark=1Mbyte parent=PRIO3 priority=3
add name=PRIO4 parent=OVERALL priority=4
add name=3Mbyte packet-mark=3Mbyte parent=PRIO4 priority=4
add name=PRIO5 parent=OVERALL priority=5
add name=6Mbyte packet-mark=6Mbyte parent=PRIO5 priority=5
add name=PRIO6 parent=OVERALL priority=6
add name=30Mbyte packet-mark=30Mbyte parent=PRIO6 priority=6
add name=PRIO7 parent=OVERALL priority=7
add name=60Mbyte packet-mark=60Mbytes parent=PRIO7 priority=7
add name=PRIO8 parent=OVERALL priority=8
add name=Infinite packet-mark=Infinite parent=PRIO8 priority=8
add name=GRE packet-mark=gre parent=PRIO8 priority=8
add name=IPSEC-ESP packet-mark=ipsec-esp parent=PRIO8 priority=8
add name=IPSEC-AH packet-mark=ipsec-ah parent=PRIO8 priority=8
add name=P2P packet-mark=p2p parent=PRIO8 priority=8
add name=IPENCAP packet-mark=ipencap parent=PRIO8 priority=8
add name=IPIP packet-mark=ipip parent=PRIO8 priority=8
add name=UDP parent=OVERALL priority=1
add name=UDP-100 packet-mark=udp-100 parent=UDP priority=1
add name=UDP-500 packet-mark=upd-500 parent=UDP priority=3
add name=UDP-Other packet-mark=upd-other parent=UDP priority=8

Ето и прикачени картинки

 

- маркиране на трафика

http://prikachi.com/images/157/6881157Z.jpg

 

- Qeuee tree

http://prikachi.com/images/155/6881155x.jpg

 

до тук направихме единия shaper (наречен QOS), с него даваме преоритет по вид услуга (dns, http и т.н.)

 

2. Сега ще ограничим и клиентите по отделно

 

Който ще разположим в simple queues с него ще окажем следното

Нека всеки ползва целия канал (при нас 10Mbit) и ако се появи нов клиент да разделя канала със следващия нов

 

http://wiki.mikrotik.com/images/thumb/a/aa/PCQ4.png/500px-PCQ4.png

 

тука забелязвате че pcq-rate=0

което точно това прави

 

http://prikachi.com/images/176/6881176B.jpg

 

 

И така вече имаме Shaper QOS double

 

В момента това го използвам за следния тип клиенти 

- хотели

- офиси

 

Ще се радвам на коментари

 

p.s. Между другото някой били споделил идея как да направя PCQ shaper в Linux

[MiPSus]

htb rate ceil burst

qdisc sfq perturb

 

Смятам че е най простото и елегантно решение

Това е наопаки спрямо горния ти пример,т.е. първо разпределя трафика по равно между ползващите, а след това разпределя тяхното каналче по кънекции.

На практика клиента сваля торент и същевременно цъка странички.

Инак пример съпоставим със този на ROS 6.x мисля, че не е предвиден като сценарий в ТС , мисля... не ми се мисли

 

Примера е ползван в младините ми за около 400 абоната, държи 200Mbps на посредствени Pentium-и

#!/bin/bash

tc qdisc del dev eth1 root
tc qdisc add dev eth1 root handle 1: htb default 3
tc class add dev eth1 parent 1: classid 1:1 htb rate 120mbit
tc class add dev eth1 parent 1: classid 1:2 htb rate 20mbit
tc class add dev eth1 parent 1: classid 1:3 htb rate 1mbit

tc filter add dev eth1 protocol ip parent 1:0 prio 5 u32 match ip src 0.0.0.0/0 flowid 1:2

for IP in `cat /htb/peers`
do
tc filter add dev eth1 protocol ip parent 1:0 prio 3 u32 match ip src "$IP" flowid 1:1
done

c=1000
for CL in `cat /htb/clients`
do

c=$[$c+1]
tc class add dev eth1 parent 1:1 classid 1:$c htb rate 100kbit ceil 100mbit burst 10mb
tc qdisc add dev eth1 parent 1:$c handle $c sfq perturb 15 limit 10
tc filter add dev eth1 protocol ip parent 1:1 prio 3 u32 match ip dst $CL flowid 1:$c

c=$[$c+1]
tc class add dev eth1 parent 1:2 classid 1:$c htb rate 15kbit ceil 20mbit burst 5mb
tc qdisc add dev eth1 parent 1:$c handle $c sfq perturb 15 limit 10
tc filter add dev eth1 protocol ip parent 1:2 prio 3 u32 match ip dst $CL flowid 1:$c

done

Редактирано 24 Декември, 2013 от MiPSus

[Тодор Лазаров]

Моя пример е следния

 

Даваш 10-50 мбит-а на клиент който има няколко клиента (10-50)

 

правиш QOS по порт (icmp, dns, http ...)

 

 

след което правиш shaper на този трафик по клиенти

 

и всичкото на машинка с 400-600Mhz (роутербоард)

 

 

Ползи:

1. Даваш приоритет по вид (гарантиране на определен трафик)

2. Разпределяш по клиент (предпазване на един клиент да изяде целия трафик)

3. Използване на soho router (70-80 лв, малък бюджет)

[111111]

има един недостатък горното при РРРоЕ имаш за задаване само един queue type

т.е. има 3 опции 

insert queue before [съответно правило от списък]

parent queue [съответно правило от списък]

queue type [от списъка с типове]

[Networker]

Преди време бях на твоя вариант - QoS преди shaper-а - в годините, когато скоростта беше особено скъпа и кът. По принцип работи, дефакто има няколко минуса - най-големия е начина по който маркираш трафика, понеже на порт 80 примерно, може да се прекара един torrent и той бидейки с по-голям приоритет ще изяде канала за дръугите услуги и след това файда от QoS-а. Опарих се едно време от това, в последствие минах на варианти с Layer7 филтри и други, които прихващаха и маркираха p2p трафика в най-ниския клас - но колкото и patterns да се ползват и филтри, не можеш на 100% да гарантираш прихващане на torrent.

Другото нещо, е че до QoS реално се опира когато канала не стига - има ли достатъчно канал, няма реално проблем с услугите.

В момента при мен съм пуснал QoS на база потребител - но елементарен в който мога да заложа приоритет примерно на локално излъчвана IPTV или друга услуга. Няма особен смисъл от QoS на база потребител (аз също ползвам sfq колкото да не е без хич - добър варианте, а и лесен за имплементиране) ако има достатъчно скорост. Има много по-агресивни опашки, които могат да се ползват, но трябва да си 100% сигурен как си маркирал трафика!

Също минус на този метод е, че даден user в даден момент ще ползва много повече скорост от други потребители, понеже е решил примерно да тегли по http, докато другите също им трябва трафик, но на по-ниско prio. За това по-добре е всеки user да има равна част от трафика за себе си и сам да решава за какво да го ползва (със или без QoS на база user).

[111111]

Това с торента на :80 се решаваше по спомен когато зададеш src-addres dst-port на типа 

[Тодор Лазаров]

Преди време бях на твоя вариант - QoS преди shaper-а - в годините, когато скоростта беше особено скъпа и кът. По принцип работи, дефакто има няколко минуса - най-големия е начина по който маркираш трафика, понеже на порт 80 примерно, може да се прекара един torrent и той бидейки с по-голям приоритет ще изяде канала за дръугите услуги и след това файда от QoS-а. Опарих се едно време от това, в последствие минах на варианти с Layer7 филтри и други, които прихващаха и маркираха p2p трафика в най-ниския клас - но колкото и patterns да се ползват и филтри, не можеш на 100% да гарантираш прихващане на torrent.

Другото нещо, е че до QoS реално се опира когато канала не стига - има ли достатъчно канал, няма реално проблем с услугите.

В момента при мен съм пуснал QoS на база потребител - но елементарен в който мога да заложа приоритет примерно на локално излъчвана IPTV или друга услуга. Няма особен смисъл от QoS на база потребител (аз също ползвам sfq колкото да не е без хич - добър варианте, а и лесен за имплементиране) ако има достатъчно скорост. Има много по-агресивни опашки, които могат да се ползват, но трябва да си 100% сигурен как си маркирал трафика!

Също минус на този метод е, че даден user в даден момент ще ползва много повече скорост от други потребители, понеже е решил примерно да тегли по http, докато другите също им трябва трафик, но на по-ниско prio. За това по-добре е всеки user да има равна част от трафика за себе си и сам да решава за какво да го ползва (със или без QoS на база user).

 

Избягвам Layer 7 филтри

 

Както отбелязох това е решение за малък бюджет (RB450,RB750, SXT Lite 5)

Второ решение го предлагам за клиенти който дават интернет на 10-50 клиента отзад: Хотелчета, Офиси и т.н., не за бордер рутери

 

Другото един клиент не може да изеде трафика на други защото има PCQ което разпределя трафика между клиенти

 

А самата първа част маркирането на трафика по вид, Всеки може да си го модифицира

Тука NetworkPro може да добави много.

Редактирано 25 Декември, 2013 от Тодор Лазаров

[NetworkPro]

Поздравления за вашия успех.

 

Моите предпочитания:
- да има повечко bandwidth който да се раздели, поне 100/100 скорост до България и Европа, като интерфейсите по пътя са на гигабит и нагоре

- да не се дропят пакети преди да има запълване на канала, за да не държат даунлоудите дълго време. Колкото по-бързо изтеглят, толкова по-добре за следващите.

- приоритети: игри; VoIP, Skype; DNS; TCP syn/началото на някои конекции, VPN; BGP; интернет радио, стрийминг видео, 

- всичко останало което няма определни приоритети: ICMP, торенти, и всички други пакети които прехвърчат през рутера

- всички клиенти да ползват нови операционни системи и предпочитан торент протокол uTP

- да няма проблемни суичове със активен flow control това винаги е актуално ЛОЛ

- да не се държат пакети повече от 5 милисекунди по пакетни опашки, освен ако не е стрийминг. Приоритетните пакети да не се задържат ИЗОБЩО по пакетни опашки (влиза - излиза).

- всичко това да се случва на машина с повечко ресурси и повечко мегахерци на CPU понеже все пак говорим за софтуерно решение

 

Това ще ни даде читава инфраструктура, сега да сложим бизнеса върху нея:

- горното ще бъде на Queue Tree, отделно максимума на всеки клиент - със Simple Queue

- Queue Tree може да се усложни допълнително за някаква бизнес нужда

- активен мониторинг и статистики на Simple Queue - клиенти които ползвят много - им се звъни да им се предлага по-скъпа услуга с по-добри условия.

- читави проверки и мониторинг на скоростите до другите континенти защото провайдърите цакат с това - кво ги интересува че има загуби delay & jitter на ЧУЖД рутер/суич (че покянога на техен), нали MPLS-а на техните клиенти си минава...

- от гороносто следва че ще има повече от един провайдър чиито маршрути са алтернативни. Всеки WAN трябва да се менажира с отделно Queue Tree.

- клиенти които искат гарантиран капацитет върху вашата мрежа - трафикът им се третира без да се задържа по пакетни опашки, приоритетния трафик на малките клиенти също се третира така, затова капацитетите се ъпгрейдват и се усвояват повече оптични влакна

 

И така,

 

Весели празници.

[MiPSus]

И цялото това. ма на безжичен MAN ... да обърнем палачинката

[hgeorgiev]

Здравейте, ще ползвам темата на колегата да не отварям нова (опитвах се да проумея неговите примери по горе) . От 15 дни се лутам из света на микротик, де успешно де не Наляга ми се да направя нещо което за повечето сигурно е лесно, но като "идващ" от FreeBSD където правилата в IPFW са на едно място, изпитвам затруднения малко. С 951 мтик съм, 6х версия. Имам 10 мбита връзка. За една от мрежите (172.17.30.0) искам да си поделят 2 мбита макс като един IP адрес към който се свързват да не влиза в шейпъра. ( в смисъл външен адрес на който има база данни с която работят). Направих изключения за този адрес в Filters и после Simple Queue шейпър за мрежата...само че адреса влиза е шейпъра.  Да видим дали съм разбрал какво трябва да направя след още четене и ровене:

1. Маркирам пакетите от и към външния IP адрес в Mangle като има давам passthrough=yes и I повече не се занимавам с тях (като първо правило би трябвало да минават)

2. Маркирам всички останали пакети към мрежа 172.17.30.0

3. В Queue tree ги ограничавам на 2 мб  (как точно не е ясно още)

 

И ако искам нещо да е с приоритет, примерно от IP адреса у нас да мога да свързвам към работа и моята конекция да е с приоритет, къде трябва да я сложа? В момента са в Filters ама не съм сигурен че трябва да са там. В смисъл кое е с приоритет в firewall на Микротика 

.......колко просто беше на FreeBSD-то

 

Благодаря предварително!

Редактирано 7 Януари, 2014 от hgeorgiev

[111111]

ползвай първата илюстрация за ориентация 

винаги ползвай правилото по-нагоре е по-важно при редене на правилата

[hgeorgiev]

Ясно но ми е адски объркваща особено горната и част. Предполагам с проби ще налучкам приоритетите.

Благодаря.

[kokaracha]

@georgiev  информативно да те попитам,каква беше причината да мигрираш към микротик ?  Предполагам си си направил сметката откъм софтуер/хардуеър и възможности,но кое беше решаващото.

[hgeorgiev]

Местя се в темата за БСД и Линукс

[cih95]

Tези дни ми остана малко време и се зачетох в новите работи който предлага Mikrotik v6

 

Създаване на двоен shaper който да преотиризира трафика по вид и да го поделя между клиентите в мрежата по равно

 

Това е възможно защото имаме нов traffic flow във версия 6

 

 

Интересното тук е че на диаграмата Quee tree се намира зад Simple Queues.

 

И ми дойде идеята, че е възможно да се направи shaper който да може да прави следното:

 

Да преотиризира трафика под вид услуга след което да го ограничава и по клиенти

 

тука може да се ползва например това:

 

1. Маркираме трафика под вид и го пращаме на Quee tree което се намира пред Simple Queues:

/ip firewall mangle
add action=mark-packet chain=forward new-packet-mark=icmp passthrough=no protocol=icmp
add action=mark-packet chain=forward dst-port=53 new-packet-mark=dns passthrough=no protocol=udp
add action=mark-packet chain=forward dst-port=80 new-packet-mark=http passthrough=no protocol=tcp
add action=mark-packet chain=forward dst-port=443 new-packet-mark=ssl passthrough=no protocol=tcp
add action=mark-packet chain=forward new-packet-mark=p2p p2p=all-p2p passthrough=no
add action=mark-packet chain=forward dst-port=1863 new-packet-mark=msn-messenger passthrough=no protocol=tcp
add action=mark-packet chain=forward dst-port=110 new-packet-mark=pop3 passthrough=no protocol=tcp
add action=mark-packet chain=forward dst-port=25 new-packet-mark=smtp passthrough=no protocol=tcp
add action=mark-packet chain=forward dst-port=143 new-packet-mark=imap passthrough=no protocol=tcp
add action=mark-packet chain=forward new-packet-mark=udp-100 packet-size=0-100 passthrough=no protocol=udp
add action=mark-packet chain=forward new-packet-mark=upd-500 packet-size=100-500 passthrough=no protocol=udp
add action=mark-packet chain=forward new-packet-mark=upd-other passthrough=no protocol=udp
add action=mark-packet chain=forward new-packet-mark=gre passthrough=no protocol=gre
add action=mark-packet chain=forward new-packet-mark=ipsec-esp passthrough=no protocol=ipsec-esp
add action=mark-packet chain=forward new-packet-mark=ipsec-ah passthrough=no protocol=ipsec-ah
add action=mark-packet chain=forward new-packet-mark=ipencap passthrough=no protocol=ipencap
add action=mark-packet chain=forward new-packet-mark=ipip passthrough=no protocol=ipip
add action=mark-packet chain=forward connection-bytes=1-512000 new-packet-mark=0bytes passthrough=yes
add action=mark-packet chain=forward connection-bytes=512000-1000000 new-packet-mark=1Mbyte passthrough=yes
add action=mark-packet chain=forward connection-bytes=1000000-3000000 new-packet-mark=3Mbyte passthrough=yes
add action=mark-packet chain=forward connection-bytes=3000000-6000000 new-packet-mark=6Mbyte passthrough=yes
add action=mark-packet chain=forward connection-bytes=6000000-30000000 new-packet-mark=30Mbyte passthrough=yes
add action=mark-packet chain=forward connection-bytes=30000000-60000000 new-packet-mark=60Mbytes passthrough=yes
add action=mark-packet chain=forward connection-bytes=60000000-0 new-packet-mark=Infinite passthrough=yes

Queue tree

/queue tree
add limit-at=10000000 max-limit=10000000 name=OVERALL parent=global priority=5

	add name=PRIO1 parent=OVERALL priority=1
		add name=0-512 packet-mark=0bytes parent=PRIO1 priority=1
		add name=ICMP packet-mark=icmp parent=PRIO1 priority=1
		add name=DNS packet-mark=dns parent=PRIO1 priority=1
		add name=HTTP packet-mark=http parent=PRIO1 priority=1
		add name=SSL packet-mark=ssl parent=PRIO1 priority=1
		add name=MSN-MESSENGER packet-mark=msn-messenger parent=PRIO1 priority=1

	add name=PRIO2 parent=OVERALL priority=3
		add name=POP3 packet-mark=pop3 parent=PRIO2 priority=2
		add name=SMTP packet-mark=smtp parent=PRIO2 priority=2
		add name=IMAP packet-mark=imap parent=PRIO2 priority=1
		
	add name=PRIO3 parent=OVERALL priority=3
		add name=1Mbyte packet-mark=1Mbyte parent=PRIO3 priority=3

	add name=PRIO4 parent=OVERALL priority=4
		add name=3Mbyte packet-mark=3Mbyte parent=PRIO4 priority=4

	add name=PRIO5 parent=OVERALL priority=5
		add name=6Mbyte packet-mark=6Mbyte parent=PRIO5 priority=5

	add name=PRIO6 parent=OVERALL priority=6
		add name=30Mbyte packet-mark=30Mbyte parent=PRIO6 priority=6

	add name=PRIO7 parent=OVERALL priority=7
		add name=60Mbyte packet-mark=60Mbytes parent=PRIO7 priority=7

	add name=PRIO8 parent=OVERALL priority=8
		add name=Infinite packet-mark=Infinite parent=PRIO8 priority=8
		add name=GRE packet-mark=gre parent=PRIO8 priority=8
		add name=IPSEC-ESP packet-mark=ipsec-esp parent=PRIO8 priority=8
		add name=IPSEC-AH packet-mark=ipsec-ah parent=PRIO8 priority=8
		add name=P2P packet-mark=p2p parent=PRIO8 priority=8
		add name=IPENCAP packet-mark=ipencap parent=PRIO8 priority=8
		add name=IPIP packet-mark=ipip parent=PRIO8 priority=8

	add name=UDP parent=OVERALL priority=1
		add name=UDP-100 packet-mark=udp-100 parent=UDP priority=1
		add name=UDP-500 packet-mark=upd-500 parent=UDP priority=3
		add name=UDP-Other packet-mark=upd-other parent=UDP priority=8

Ето и прикачени картинки

 

- маркиране на трафика

 

- Qeuee tree

 

до тук направихме единия shaper (наречен QOS), с него даваме преоритет по вид услуга (dns, http и т.н.)

 

2. Сега ще ограничим и клиентите по отделно

 

Който ще разположим в simple queues с него ще окажем следното

Нека всеки ползва целия канал (при нас 10Mbit) и ако се появи нов клиент да разделя канала със следващия нов

 

 

тука забелязвате че pcq-rate=0

което точно това прави

 

 

 

И така вече имаме Shaper QOS double

 

В момента това го използвам за следния тип клиенти 

- хотели

- офиси

 

Ще се радвам на коментари

 

p.s. Между другото някой били споделил идея как да направя PCQ shaper в Linux

Как да съм сигурен, че simple queue работи?

Понеже на графиката не ми показва трафик и се чудя дали работи?

Относно т.1 всичко работи.