Авто qos zyxel что это
Авто qos zyxel что это
Интернет-центр Keenetic Lite предназначен для подключения к Интернету, районной сети и IP-телевидению по выделенной линии Ethernet. С его помощью можно создать собственную домашнюю сеть, выходить в Интернет с нескольких компьютеров, играть в многопользовательские онлайн-игры, участвовать в файлообменных сетях и одновременно с доступом в Интернет пользоваться информационно-развлекательными ресурсами районных сетей и локальных серверов вашего провайдера. Встроенная точка доступа беспроводной сети Wi-Fi нового поколения с увеличенным радиусом действия обеспечивает подключение к интернет-центру ноутбуков, игровых приставок, медиаплееров и других сетевых устройств стандарта IEEE 802.11n на скорости до 150 Мбит/с*. Аппаратно реализованная функция TVport дает возможность без дополнительных устройств подключить к интернет-центру ресивер IP-телевидения и принимать телепередачи высокой четкости без потери качества даже при загрузке торрентов/файлов на максимальной скорости. Удобная программа NetFriend поможет настроить доступ в Интернет для десятков известных провайдеров, домашнюю беспроводную сеть, проброс портов и способ подключения ресивера IPTV, не обращаясь за помощью специалистов.
Настройка сетевой карты компьютера перед установкой маршрутизатора (роутера): 
Настраивать роутер ZyXel Keenetic Lite (Кинетик Лайт) мы принципиально будем через вэб-интерфейс, позволяющий провести тонкую подстройку всех необходимых параметров. Чтобы войти в вэб-интерфейс нашего Кинетик Лайт, Вам необходимо в любом браузере компьютера ( Opera, Internet Explorer, Mozilla ) в адресной строке перейти по адресу: http://192.168.1.1 (этот адрес маршрутизатор ZyXel Keenetic Lite имеет по умолчанию). Вы увидите приветствие интернет-центра Зайксель на экране компьютера:
Для входа в вэб-интерфейс Keenetic Lite потребуется ввести имя пользователя и пароль, а затем нажать на Вход. По умолчанию: Имя пользователя – admin, Пароль — 1234.
Для этого в поле Настройка параметров IP необходимо перевести опцию в положение Ручная (эта опция подразумевает ручное указание параметров TCP/IP для соединения через PPTP, но некоторые провайдеры могут выдавать их и автоматически).
В случае ручного назначения параметров в поле IP-адрес необходимо указать IP адрес, который выдает провайдер по договору (см. свой договор или обращайтесь в техподдержку).
В поле Маска сети следует указать значение маски подсети, которая используется провайдером.
В поле Основной шлюз требуется указать адрес основного шлюза в сети провайдера.
В поле DNS 1 (сервер доменных имён) мы укажем значение IP адреса предпочитаемого DNS сервера.
После чего ниже в DNS 2 укажем значение альтернативного DNS-сервера.
В поле Использовать MAC-адрес Вы можете занести своё, особое значение MAC-адреса (физического адреса) для роутера Keenetic Lite. Поскольку каждое сетевое устройство имеет свой уникальный МАС адрес, данная опция позволяет избежать звонка в службу поддержки в случае смены сетевого оборудования. Вы можете сделать в роутере МАС-адрес, идентичный МАС-адресу Вашего компьютера, на котором Вы работали до установки маршрутизатора. Вариант по умолчанию оставит роутер ZyXel Keenetic с «родным» MAC-адресом. «Родной» МАС-адрес указан прямо в меню, кроме того, MAC можно узнать на наклейке, что расположена на днище роутера (шесть пар цифро-букв). Ниже в данной опции располагается вариант Взять с компьютера, с помощью него ZyXel сам подхватит МАС-адрес сетевой карты того компьютера, с которого Вы в данный момент настраиваете маршрутизатор. Это избавит Вас от необходимости набивать значение МАС адреса вручную (полезно, если данный компьютер и был подключен к Интернету до установки роутера). Кроме того, с помощью опции Установить Вы можете ввести другое значение МАС-адреса для интернет-центра. Если Вы желаете использовать роутер с «неродным» МАС адресом, то воспользуйтесь данной возможностью! Если же хотите зарегистрировать MAC-адрес роутера, то придется совершить звонок по номеру 6-13-13 и сообщить ему «родной» МАС-адрес Зайкселя.
Пункт Отвечать на Ping-запросы из Интернета позволит Вашему Keenetic Lite оставаться «видимым» для технической поддержки Вашего провайдера, когда те захотят Вас «пропинговать». Активировать данный пункт необязательно.
Авто-QoS – активирует систему приоритета полезного исходящего траффика (включайте по своему усмотрению).
Не уменьшать TTL – не позволяет роутеру уменьшать параметр TTL на единичку при прохождении траффика через NAT.
Когда все необходимые опции в данном меню заполнены, нажимаем на Применить и переходим к следующему этапу.
Параметры PPTP VPN в ZyXel Kinetic Lite задаются в пункте Интернет – Авторизация
Авторизацию в сети по протоколу 802.1x мы активировать не будем, т.к. в условиях сети паруса она не применяется. Да и в целом мало где используется.
Протокол доступа в Интернет выберите вариант PPTP.
В поле Адрес сервера необходимо указать адрес VPN-сервера ( vpn.rgtsparus.ru ).
В поле Имя пользователя необходимо указать логин для VPN-соединения (пароль на VPN совпадает с паролем для входа в личный кабинет).
В поле Пароль следует указать пароль для соединения с VPN-сервером (пароль совпадает с паролем для входа в личный кабинет).
Метод проверки подлинности определяет тип аутентификации на VPN-сервере устанавливаем в автоопределении.
Безопасность данных (MPPE) определяет используется ли шифрование в VPN-туннеле до провайдера. Обычно шифрование не используется, поэтому выбираем вариант Не используется.
Также следует отметить галочкой пункт Получать IP-адрес автоматически, чтобы VPN-сервер провайдера выдавал IP автоматически.
В поле размер MTU Вы задаете размер сетевого пакета, значение можно оставить по умолчанию (или поставить его в районе 1100-1300 в случае нестабильного соединения).
После заполнения всех необходимых опций остается только нажать на кнопку Применить для сохранения настроек Вашего Keenetic Lite.
Включить точку беспроводного доступа – включает и выключает Wi-Fi модуль в роутере Keenetic.
Имя сети (SSID) – название Вашей будущей беспроводной WiFi сети. Здесь можно ввести своё значение. Под этим названием Вы будете видеть беспроводную сеть роутера ZyXel в своих Wi-Fi клиентах.
Пункт Скрывать SSID – отключает рассылку сетевого идентификатора (SSID), что позволяет спрятать свою беспроводную сеть от устройств с ОС Windows, являясь, своего рода, средством безопасности. С помощью данной опции можно дополнительно обезопасить Вашу беспроводную сеть от начинающих хакеров. Дело в том, что компьютеры с операционной системой Windows «не видят» Wi-Fi сети со скрытым SSID. В то же время при помощи специальных утилит найти такие сети не составляет особой проблемы. Поэтому защититься таким образом Вы сможете разве что от своих соседей. Если же Вы отключите рассылку SSID, то Вам придется вручную создать профиль для подключения в своем ПК (понадобится знание SSID и пароля для подключения к беспроводной сети – про пароль смотрите ниже).
Стандарт определяет стандарты беспроводной связи, по которым будет работать Ваша сеть Wi-Fi дома. Мы рекомендуем оставить вариант 802.11g/n, чтобы обеспечить поддержку всего актуального клиентского Wi-Fi оборудования. Но имейте в виду, что подключение клиентского устройства 802.11g просадит скорость беспроводной сети 802.11n до уровня 27 Мбит/с.
Канал – выбор канала для беспроводной Wi-Fi связи. Не рекомендуем иметь дело с каналом номер 6, поскольку большинство Wi-Fi оборудования по умолчанию работает именно на этом канале. В идеале рекомендуем остановить свой выбор на канале 1 или канале 12, чтобы минимизировать вероятность интерференции с сетями соседей.
Мощность сигнала Вы можете снизить мощность излучения антенны Вашего Keenetic Lite. Можно опытным путем подобрать значение так, чтобы роутер по-прежнему пробивал всю квартиру и при этом Wi-Fi сеть не сильно «высовывалась» бы из окон. Это снизит вероятность взлома сети со стороны злоумышленников.
После чего жмете кнопку Применить и переходите к следующему этапу настройки Wi-Fi в ZyXel Keenetic Lite.
Теперь настроим безопасность Wi-Fi сети нашего Keenetic Lite (Кинетик Лайт). Сделать это можно в Сеть Wi-Fi – Безопасность
В опции Проверка подлинности задается тип шифрования Wi-Fi сети. С учетом уязвимости WEP-протокола, мы рекомендуем использовать в своей сети исключительно WPA/WPA2 шифрование. Поэтому останавливаем свой выбор на универсальном варианте WPA-PSK/WPA2-PSK.
Тип защиты определяет с помощью какого алгоритма будет осуществляться шифрование в беспроводной Wi-Fi сети. Можно выбрать вариант TKIP/AES, чтобы минимизировать вероятность конфликтов с беспроводными клиентами (а вообще AES – куда более стойкий вариант, но не все Wi-Fi клиенты с ним работают без проблем).
Опция Формат сетевого ключа определяет в каких символах Вы зададите ключ беспроводной сети. Удобнее работать с символами ASCII.
В поле Сетевой ключ (ASCII) необходимо указать ключ шифрования Вашей Wi-Fi сети. Он должен быть длиной не менее 8 символов. Рекомендуем использовать в пароле на Wi-Fi заглавные/прописные буквы, цифры и специальные символы. Это минимизирует возможность подбора пароля к Вашей беспроводной сети. Разумная длина WPA пароля: 8-12 символов.
Отметьте галочкой Показывать сетевой ключ, чтобы видеть символы, которые Вы вводите выше.
После чего следует нажать на Применить для сохранения настроек беспроводной сети внутри вашего интернет-центра ZyXel Keenetic.
На этом настройку беспроводной WiFi сети в интернет-центре ZyXel Keenetic Lite можно считать оконченной. Теперь Вы можете попробовать подключить ноутбук или компьютер к роутеру по Wi-Fi, используя назначенный пароль.
Помогите мне пожалуйста с настройкой NAT в Modern War Fare 2 пишет что ваш Nat строгий.Какие порты надо пробрасывать я честно говоря не понимаю а из за этого я не могу пригласить человека в игру
Мой адрес stariik@yandex.ru Заранее благодарен Вам и извините если не там написал.Я уже долго бьюсь с этой проблемой и так как плохо разбираюсь в роуторах то все без результатно.
Эта ссылка вам должна помочь по пробросу портов для игры порты
QoS Пакеты в Роутере — Пропускная Способность Сети WiFi и Настройка Приоритетов Трафика
Пропускная способность локальной сети и фильтрация приоритета трафика (QoS) — тема, которая становится с распространением скоростного интернета все более актуальной. С каждым разом мы пытаемся подключить к роутеру все больше устройств, а программное обеспечение по умолчанию не всегда может с ними со всеми справиться. В этом случае на помощь приходит настройка приоритетов пакетов QoS для оптимизации пропускной способности локальной сети на маршрутизаторе. Она назначает приоритет на выполнение тех или иных самых важных на данный момент задач и доступна не только на топовых маршрутизаторах Mikrotik или Cisco, но и на любой недорогой модели TP-Link, Asus, Zyxel Keenetic, D-Link.
Функция QoS в роутере — что это такое?
Планировщик пакетов QoS (Quality of Service) — это функция распределения трафика согласно заданному в роутере приоритету обслуживания для настройки пропускной способности и распределения нагрузки внутри локальной сети.
Большинство современных роутеров имеет встроенную возможность управлять потоками интернет трафика внутри локальной сети и назначать с ее помощью приоритет при работе того или иного приложения. Например, вы играете в онлайн игру или просматриваете страницы любимых сайтов. И параллельно качаете интересный фильм по торренту. При этом и игра начинает тормозить, и файл качается еле-еле. Что делать?
Нужно выбрать, какое действие для вас в данный момент является более важным. Наверное, это все-таки онлайн игра. Поэтому с помощью настройки планировщика пакетов трафика QoS мы можем установить приоритет на выполнение игровых задач перед загрузкой файлов.
Но пропускная способность локальной сети обусловлена возможностями роутера. Также есть ограничение на канал трафика в интернете согласно тарифному плану от провайдера. Каким же образом при этом разделяется приоритет на выполнение нескольких одновременных задач?
Как правило, по умолчанию наивысший приоритет отдается веб-серфингу, то есть работе вашего браузера. Но если в данный момент вы открыли и читаете статью и при этом вам хочется поскорее закачать фильм, то логичнее было бы отдать приоритет именно программе загрузчику файлов, а не браузеру.
Диспетчер трафика QoS на роутере Asus
В разных моделях эта настройка может скрываться под различными названиями в пункте меню. У меня сейчас работает роутер Asus в новой прошивке — показываю на RT-N10U версии B1. И здесь настройка планировщика QoS осуществляется в разделе «Диспетчер трафика».
Для начала надо сменить активированный по умолчанию автоматический режим на один из двух. «Определяемые пользователем правила QoS» или «Определяемый пользователем приоритет»
Правила планировщика пакетов трафика
Данная настройка позволяет задать приоритет для уже предустановленных вшитых в программное обеспечение маршрутизатора программ из разных «весовых категорий». При этом заморачиваться с различными формулами и производить расчет пропускной способности сети не понадобится. Все уже придумано до нас. Без скриншота немного не понятно, поэтому привожу его:
Итак, сейчас на «Web Serf», то есть на подключения через браузер через используемый для этого 80 порт, стоит «Наивысший» приоритет. Кликнув по выпадающему списку, мы можем выбрать другой из предложенного списка. В то же время на «File Transfer», то есть для программ-загрузчиков файлов — наименьший. Поменяв эти параметры местами мы получим эффект, что при одновременной загрузке файла с какого-либо сайта и просмотре html-страницы, бОльшая скорость будет отдаваться первому процессу.
Но это еще не все. Для программ для передачи файлов посредством P2P (например, BitTorrent), или он-лайн игр, а также множества других приложений можно задать свои значения приоритета. Это делается добавлением нового правила к уже существующим.
Для его создания кликаем по пункту «Выберите» и из выпадающего списка выбираем интересующий нас тип передачи данных или предустановленные настройки для конкретного приложения. Например, можно задать в пропускной способности сети приоритет для почтовых приложений типа Outlook или TheBat (пункт SMTP, POP3…) или для ftp-клиентов (FTP, SFTP, WLM…). Также есть большой список популярных игр, например Counter Strike, и программ для обмена файлами — BitTorrent, eDonkey и т.д.
Выберем качалку торрентов. Автоматически проставятся используемые данной программой по умолчанию порты.
Но лучше на слово роутеру не верить и перепроверить их самостоятельно. Откроем программу (у меня uTorrent) и зайдем в «Настройки > Настройки программы > Соединения». Посмотрим, какой порт задан для работы этой проги.
Если он отличается от тех, которые были по дефолту прописаны в настройках роутера, то поменяйте. Либо там, либо тут, главное, чтобы они были одинаковыми. Сохраняем настройки в программе и, вернувшись в админку роутера, применяем параметры. Они активируются после перезагрузки аппарата.
Приоритет пакетов QoS в локальной сети
Это вторая настройка ручного управления пропускной способностью сети, которая позволяет настроить задаваемые в предыдущем разделе параметры. А именно определить, какая именно скорость в процентном соотношении будет назначены для каждого из параметров приоритета.
Например, для исходящего трафика на «Наивысший» в данный момент по умолчанию у меня задано 80% — минимальное значение и 100% — максимальное. Это означает, что те, у которых наивысший приоритет, будут получать не менее 80% ширины пропускаемости канала. Независимо от того, сколько бы одновременных процессов не производили исходящие соединения с интернетом. Те же, у кого приоритет «Высокий» — не менее 10%. И так далее — думаю, суть вы поняли. Отредактировав эти значения, можно детально управлять скоростью загрузки и выгрузки для разных категорий работающих программ.
Ниже для вашего удобства приведу несколько скриншотов администраторских разделов для управления пропускной способностью с моделей других фирм.
Настройка планировщика пакетов QoS на роутере TP-Link
На роутерах TP-Link планировщик пакетов QoS находится в разделе меню «Контроль пропускной способности». Для его активации ставим галочку на «Включить контроль полосы пропускания» и задаем максимальную скорость для входящего и исходящего трафика.
Защищаемся маршрутизатором: QoS
QoS — тема большая. Прежде чем рассказывать про тонкости настроек и различные подходы в применении правил обработки трафика, имеет смысл напомнить, что такое вообще QoS.
Quality of Service (QoS) — технология предоставления различным классам трафика различных приоритетов в обслуживании.
Во-первых, легко понять, что любая приоритезация имеет смысл только в том случае, когда возникает очередь на обслуживание. Именно там, в очереди, можно «проскользнуть» первым, используя своё право.
Очередь же образуется там, где узко (обычно такие места называются «бутылочным горлышком», bottle-neck). Типичное «горлышко» — выход в Интернет офиса, где компьютеры, подключенные к сети как минимум на скорости 100 Мбит/сек, все используют канал к провайдеру, который редко превышает 100 МБит/сек, а часто составляет мизерные 1-2-10МБит/сек. На всех.
Во-вторых, QoS не панацея: если «горлышко» уж слишком узкое, то часто переполняется физический буфер интерфейса, куда помещаются все пакеты, собирающиеся выйти через этот интерфейс. И тогда новопришедшие пакеты будут уничтожены, даже если они сверхнужные. Поэтому, если очередь на интерфейсе в среднем превышает 20% от максимального своего размера (на маршрутизаторах cisco максимальный размер очереди составляет как правило 128-256 пакетов), есть повод крепко задуматься над дизайном своей сети, проложить дополнительные маршруты или расширить полосу до провайдера.
Разберемся с составными элементами технологии
(дальше под катом, много)
Маркировка. В полях заголовков различных сетевых протоколов (Ethernet, IP, ATM, MPLS и др.) присутствуют специальные поля, выделенные для маркирования трафика. Маркировать же трафик нужно для последующей более простой обработки в очередях.
Ethernet. Поле Class of Service (CoS) — 3 бита. Позволяет разделить трафик на 8 потоков с различной маркировкой
IP. Есть 2 стандарта: старый и новый. В старом было поле ToS (8 бит), из которого в свою очередь выделялись 3 бита под названием IP Precedence. Это поле копировалось в поле CoS Ethernet заголовка.
Позднее был определен новый стандарт. Поле ToS было переименовано в DiffServ, и дополнительно выделено 6 бит для поля Differencial Service Code Point (DSCP), в котором можно передавать требуемые для данного типа трафика параметры.
Маркировать данные лучше всего ближе к источнику этих данных. По этой причине большинство IP-телефонов самостоятельно добавляют в IP-заголовок голосовых пакетов поле DSCP = EF или CS5. Многие приложения также маркируют трафик самостоятельно в надежде, что их пакеты будут обработаны приоритетно. Например, этим «грешат» пиринговые сети.
Даже если мы не используем никаких технологий приоритезации, это не значит, что не возникает очередей. В узком месте очередь возникнет в любом случае и будет предоставлять стандартный механизм FIFO (First In First Out). Такая очередь, очевидно, позволит не уничтожать пакеты сразу, сохраняя их до отправки в буфере, но никаких преференций, скажем, голосовому трафику не предоставит.
Если хочется предоставить некоторому выделенному классу абсолютный приоритет (т.е. пакеты из этого класса всегда будут обрабатываться первыми), то такая технология называется Priority queuing. Все пакеты, находящиеся в физическом исходящем буфере интерфейса будут разделены на 2 логических очереди и пакеты из привилегированной очереди будут отсылаться, пока она не опустеет. Только после этого начнут передаваться пакеты из второй очереди. Эта технология простая, довольно грубая, её можно считать устаревшей, т.к. обработка неприоритетного трафика будет постоянно останавливаться. На маршрутизаторах cisco можно создать
4 очереди с разными приоритетами. В них соблюдается строгая иерархия: пакеты из менее привилегированных очередей не будут обслуживаться до тех пор, пока не опустеют все очереди с более высоким приоритетом.
Справедливая очередь (Fair Queuing). Технология, которая позволяет каждому классу трафика предоставить одинаковые права. Как правило не используется, т.к. мало даёт с точки зрения улучшения качества сервиса.
Взвешенная справедливая очередь (Weighted Fair Queuing, WFQ). Технология, которая предоставляет разным классам трафика разные права (можно сказать, что «вес» у разных очередей разный), но одновременно обслуживает все очереди. «На пальцах» это выглядит так: все пакеты делятся на логические очереди, используя в
качестве критерия поле IP Precedence. Это же поле задаёт и приоритет (чем больше, тем лучше). Дальше, маршрутизатор вычисляет, пакет из какой очереди «быстрее» передать и передаёт именно его.
Считает он это по формуле:
IPP — значение поля IP Precedence
t(i) — Время, требуемое на реальную передачу пакета интерфейсом. Можно вычислить, как L/Speed, где L — длина пакета, а Speed — скорость передачи интерфейса
Такая очередь по умолчанию включена на всех интерфейсах маршрутизаторов cisco, кроме интерфейсов точка-точка (инкапсуляция HDLC или РРР).
WFQ имеет ряд минусов: такая очередизация использует уже отмаркированные ранее пакеты, и не позволяет самостоятельно определять классы трафика и выделяемую полосу. Мало того, как правило уже никто не маркирует полем IP Precedence, поэтому пакеты идут немаркированные, т.е. все попадают в одну очередь.
Развитием WFQ стала взвешенная справедливая очередь, основанная на классах (Class-Based Weighted Fair Queuing, CBWFQ). В этой очереди администратор сам задаёт классы трафика, следуя различным критериям, например, используя ACL, как шаблон или анализируя заголовки протоколов (см.NBAR). Далее, для этих классов
определяется «вес» и пакеты их очередей обслуживаются, соразмерно весу (больше вес — больше пакетов из этой очереди уйдёт в единицу времени)
Но такая очередь не обеспечивает строгого пропускания наиболее важных пакетов (как правило голосовых или пакетов других интерактивных приложений). Поэтому появился гибрид Priority и Class-Based Weighted Fair Queuing — PQ-CBWFQ, также известный как, Low Latency Queuing (LLQ). В этой технологии можно задать до 4х приоритетных очередей, остальные классы обслуживать по механизму CBWFQ
LLQ — наиболее удобный, гибкий и часто используемый механизм. Но он требует настройки классов, настройки политики и применения политики на интерфейсе.
Подробнее о настройках расскажу дальше.
Таким образом процесс предоставления качества обслуживания можно поделить на 2 этапа:
Маркировка. Поближе к источникам.
Обработка пакетов. Помещение их в физическую очередь на интерфейсе, подразделение на логические очереди и предоставление этим логическим очередям различных ресурсов.
Технология QoS — достаточно ресурсоёмкая и весьма существенно грузит процессор. И тем сильнее грузит, чем глубже в заголовки приходится залезать для классификации пакетов. Для сравнения: маршрутизатору гораздо проще заглянуть в заголовок IP пакета и проанализировать там 3 бита IPP, нежели раскручивать поток практически до уровня приложения, определяя, что за протокол идёт внутри (технология NBAR)
Для упрощения дальнейшей обработки трафика, а также для создания так называемой «области доверия» (trusted boundary), где мы верим всем заголовкам, относящимся к QoS, мы можем делать следующее:
1. На коммутаторах и маршрутизаторах уровня доступа (близко к клиентским машинам) ловить пакеты, раскидывать их по классам
2.В политике качестве действия перекрашивать заголовки по-своему или переносить значения QoS-заголовков более высокого уровня на нижние.
Например, на маршрутизаторе ловим все пакеты из гостевого WiFi домена (предполагаем, что там могут быть не управляемые нами компьютеры и софт, который может использовать нестандартные QoS-заголовки), меняем любые заголовки IP на дефолтные, сопоставляем заголовкам 3 уровня (DSCP) заголовки канального уровня (CoS),
чтобы дальше и коммутаторы могли эффективно приоритезировать трафик, используя только метку канального уровня.
Настройка очередей заключается в настройке классов, затем для этих классов надо определить параметры полосы пропускания и применить всю созданную конструкцию на интерфейс.
class-map NAME
match?
access-group Access group
any Any packets
class-map Class map
cos IEEE 802.1Q/ISL class of service/user priority values
destination-address Destination address
discard-class Discard behavior identifier
dscp Match DSCP in IP(v4) and IPv6 packets
flow Flow based QoS parameters
fr-de Match on Frame-relay DE bit
fr-dlci Match on fr-dlci
input-interface Select an input interface to match
ip IP specific values
mpls Multi Protocol Label Switching specific values
not Negate this match result
packet Layer 3 Packet length
precedence Match Precedence in IP(v4) and IPv6 packets
protocol Protocol
qos-group Qos-group
source-address Source address
vlan VLANs to match
Пакеты в классы можно рассортировывать по различным атрибутам, например, указывая ACL, как шаблон, либо по полю DSCP, либо выделяя конкретный протокол (включается технология NBAR)
policy-map POLICY
class NAME1
?
bandwidth Bandwidth
compression Activate Compression
drop Drop all packets
log Log IPv4 and ARP packets
netflow-sampler NetFlow action
police Police
priority Strict Scheduling Priority for this Class
queue-limit Queue Max Threshold for Tail Drop
random-detect Enable Random Early Detection as drop policy
service-policy Configure Flow Next
set Set QoS values
shape Traffic Shaping
Для каждого класса в политике можно либо выделить приритетно кусок полосы:
policy-map POLICY
class NAME1
priority?
1353513 Kilo Bits per second
percent % of total bandwidth
и тогда пакеты этого класса смогут всегда рассчитывать как минимум на этот кусок.
Либо описать, какой «вес» имеет данный класс в рамках CBWFQ
policy-map POLICY
class NAME1
bandwidth?
1288850 Kilo Bits per second
percent % of total Bandwidth
remaining % of the remaining bandwidth
В обоих случаях можно указать как аболютное значение, так и процент от всей доступной полосы
Возникает резонный вопрос: а откуда маршрутизатор знает ВСЮ полосу? Ответ банален: из параметра bandwidth на интерфейсе. Даже если он не сконфигурирован явно, какое то его значение обязательно есть. Его можно посмотреть командой sh int.
Также обязательно помнить, что по умолчанию вы распоряжаетсь не всей полосой, а лишь 75%. Пакеты, явно не попавшие в другие классы, попадают в class-default. Эту настройку для дефолтного класса можно задать явно
policy-map POLICY
class class-default
bandwidth percent 10
(UPD, спасибо OlegD)
Изменить максимальную доступную полосу с дефолтных 75% можно командой на интерфейсе
Маршрутизаторы ревностно следят, чтобы админ не выдал случайно больше полосы, чем есть и ругаются на такие попытки.
Создаётся впечатление, что политика будет выдавать классам не больше, чем написано. Однако, такая ситуация будет лишь в том случае, если все очереди наполнены. Если же какая то пустует, то выделенную ей полосу наполненные очереди поделят пропорционально своему «весу».
Работать же вся эта конструкция будет так:
Если идут пакеты из класса с указанием priority, то маршрутизатор сосредотачивается на передаче этих пакетов. Причем, т.к. таких приоритетных очередей может быть несколько, то между ними полоса делится пропорционально указанным процентам.
Как только все приоритетные пакеты закончились, наступает очередь CBWFQ. За каждый отсчёт времени из каждой очереди «зачёрпывается» доля пакетов, указанная в настройке для данного класса. Если же часть очередей пустует, то их полоса делится пропорционально «весу» класса между загруженными очередями.
Применение на интерфейсе:
int s0/0
service-policy [input|output] POLICY
А что же делать, если надо строго рубить пакеты из класса, выходящие за дозволенную скорость? Ведь указание bandwidth лишь распределяет полосу между классами, когда очереди загружены.
Для решения этой задачи для класса трафика в политике есть технология
police [speed] [birst] conform-action [действие] exceed-action [действие]
она позволяет явно указать желаемую среднюю скорость (speed), максимальный «выброс», т.е. количество передаваемых данных за единицу времени. Чем больше «выброс», тем больше реальная скорость передачи может отклоняться от желаемой средней. Также указываются: действие для нормального трафика, не превышающего
указанную скорость и действие для трафика, превысившего среднюю скорость. Действия могут быть такими
police 100000 8000 conform-action?
drop drop packet
exceed-action action when rate is within conform and
conform + exceed burst
set-clp-transmit set atm clp and send it
set-discard-class-transmit set discard-class and send it
set-dscp-transmit set dscp and send it
set-frde-transmit set FR DE and send it
set-mpls-exp-imposition-transmit set exp at tag imposition and send it
set-mpls-exp-topmost-transmit set exp on topmost label and send it
set-prec-transmit rewrite packet precedence and send it
set-qos-transmit set qos-group and send it
transmit transmit packet
Часто возникает также и другая задача. Предположим, что надо ограничить поток, идущий в сторону соседа с медленным каналом.
Дабы точно предсказать, какие пакеты дойдут до соседа, а какие будут уничтожены в силу загруженности канала на «медленной» стороне, надо на «быстрой» стороне создать политику, которая бы заранее обрабатывала очереди и уничтожала избыточные пакеты.
И тут мы сталкиваемся с одной очень важной вещью: для решения этой задачи надо сэмулировать «медленный» канал. Для этой эмуляции не достаточно только раскидать пакеты по очередям, надо ещё сэмулировать физический буфер «медленного» интерфейса. У каждого интерфейса есть скорость передачи пакетов. Т.е. в единицу времени каждый интерфейс может передать не более, чем N пакетов. Обычно физический буфер интерфейса рассчитывают так, чтобы обеспечить «автономную» работу интерфейсу на несколько единиц вермени. Поэтому физический буфер, скажем, GigabitEthernet будет в десятки раз больше какого-нибудь интерфейса Serial.
Что же плохого в том, чтобы запомнить много? Давайте рассмотрим подробно, что произойдёт, в случае если буфер на быстрой передающей стороне будет существенно больше буфера принимающей.
Пусть для простоты есть 1 очередь. На «быстрой» стороне сэмулируем малую скорость передачи. Это значит, что попадая под нашу политику пакеты начнут накапливаться в очереди. Т.к. физический буфер большой, то и логическая очередь получится внушительной. Часть приложений (работающих через ТСР) поздно получат уведомление о том, что часть пакетов не получена и долго будут держать большой размер окна, нагружая сторону-приемник. Это будет происходить в том идеальном случае, когда скорость передачи будет равна или меньше скорости приёма. Но интерфейс принимающей стороны может быть сам загружен и другими пакетами
и тогда маленькая очередь на принимающей стороне не сможет вместить всех пакетов, передаваемых ей из центра. Начнутся потери, которые повлекут за собой дополнительные передачи, но в передающем буфере ведь ещё останется солидный «хвост» ранее накопленных пакетов, которые будут передаваться «вхолостую», т.к. на принимающей стороне не дождались более раннего пакета, а значит более позние будут просто проигнорированы.
Поэтому для корректного решения задачи понижения скорости передачи к медленному соседу физический буфер тоже надо ограничить.
Делается это командой
shape average [speed]
Ну а теперь самое интересное: а как быть, если мне помимо эмуляции физического буфера надо внутри него создать логические очереди? Например, выделить приоритетно голос?
Для это создаётся так называемая вложенная политика, которая применяется внутри основной и делит на логические очереди то, что в неё попадает из родительской.
Пришло время разобрать какой-нибудь залихватский пример на основе приведенной картинки.
Пусть мы собираеися создать устойчиво работающие голосовые каналы через интернет между CO и Remote. Для простоты пусть сеть Remote (172.16.1.0/24) имеет только связь с СО (10.0.0.0/8). Скорость интерфейса на Remote — 1 Мбит/сек и выделяется 25% этой скорости на голосовой трафик.
Тогда для начала нам надо выделить приоритетный класс трафика с обеих сторон и создать политику для данного класса. На СО дополнительно создадим класс, описывающий трафик между офисами
class-map RTP
match protocol rtp
policy-map RTP
class RTP
priority percent 25
ip access-list extended CO_REMOTE
permit ip 10.0.0.0 0.255.255.255 172.16.1.0 0.0.0.255
class-map CO_REMOTE
match access-list CO_REMOTE
На Remote поступим иначе: пусть в силу дохлости железа мы не можем использовать NBAR, тогда нам остаётся только явно описать порты для RTP
ip access-list extended RTP
permit udp 172.16.1.0 0.0.0.255 range 16384 32768 10.0.0.0 0.255.255.255 range 16384 32768
class-map RTP
match access-list RTP
policy-map QoS
class RTP
priority percent 25
Далее, на СО надо сэмулировать медленный интерфейс, применить вложенную политику для приоритезации голосовых пакетов
policy-map QoS
class CO_REMOTE
shape average 1000000
service-policy RTP
и применить политику на интерфейсе
int g0/0
service-policy output QoS
На Remote установим параметр bandwidth (в кбит/сек) в соответствие со скоростью интерфейса. Напомню, что именно от этого параметра будет считаться 25%. И применим политику.
int s0/0
bandwidth 1000
service-policy output QoS
Повествование было бы не полным, если не охватить возможности коммутаторов. Понятно, что чисто L2 коммутаторы не способны так глубоко заглядывать в пакеты и делить их на классы по тем же критериям.
На более умных L2/3 коммутаторах на маршрутизируемых интерфейсах (т.е. либо на interface vlan, либо если порт выведен со второго уровня командой no switchport) применяется та же конструкция, что работает и на маршрутизаторах, а если порт или весь коммутатор работает в режиме L2 (верно для моделей 2950/60), то там для класса трафика можно использовать только указание police, а priority или bandwidth не доступны.
С сугубо защитной точки зрения, знание основ QoS позволит оперативно предотвращать бутылочные горла, вызванные работой червей. Как известно, червь сам по себе довольно агрессивен на фазе распространения и создаёт много паразитного трафика, т.е. по сути атаку отказа в обслуживании (Denial of Service, DoS).
Причем часто червь распространяется по нужным для работы портам (ТСР/135,445,80 и др.) Просто закрыть на маршрутизаторе эти порты было бы опрометчиво, поэтому гуманнее поступать так:
1. Собираем статистику по сетевому трафику. Либо по NetFlow, либо NBARом, либо по SNMP.
2. Выявляем профиль нормального трафика, т.е. по статистике, в среднем, протокол HTTP занимает не больше 70%, ICMP — не больше 5% и т.д. Такой профиль можно либо создать вручную, либо применив накопленную NBARом статистику. Мало того, можно даже автоматически создать классы, политику и применить на интерфейсе
командой autoqos 🙂
3. Далее, можно ограничить для нетипичного сетевого трафика полосу. Если вдруг и подцепим заразу по нестандартному порту, большой беды для шлюза не будет: на загруженном интерфейсе зараза займет не более выделенной части.
4. Создав конструкцию (class-map — policy-map — service-policy) можно оперативно реагировать на появление нетипичного всплеска трафика, создавая вручную для него класс и сильно ограничивая полосу для этого класса.