Вопрос по внедрению QoS

Тема в разделе "Вопросы начинающих", создана пользователем LMA, 16 янв 2018.

  1. LMA

    LMA Участник

    Коллеги доброго дня.

    Первый раз пытаюсь настроить qos на микротик, раньше опыта такого не было, так что за возможное непонимание каких то процессов сильно не бейте. Пользуюсь queue tree, профиль ставлю pcq, для download и upload делаю отдельные деревья со своими профилями pcq (для закачек по dst addr, для отдачи по src addr).

    Деревья простые, по сути общий корень, да листья связанные с тем или иным сервисом.

    Схему сети не привожу, т.к. она достаточно простая: есть центральный офис, где на шлюзе стоит cisco pix, провайдер даёт скорость интернета 100М, там же есть закрытая локалка с сервером телефонии, сетка с сервисами (терминальные и файловые сервера); есть удаленный склад, где на шлюзе стоит микротик rb2011 с ROS 6.41, провайдер там даёт только 3М, внутри четыре локалки, для телефонов, для пользователей, для подсети видеонаблюдения и для принтеров; офисная сеть со складской объединены при помощи ipsec в туннельном режиме так, что из пользовательской сети склада можно попасть в подсеть с сервисами офиса, из телефонной сети склада можно попасть в телефонную сеть офиса и есть доступ с некоторых адресов в офисе к видеорегистратору на складе.

    Задача состоит в том, чтобы при таком ограниченном канале на складе, как то можно было гарантировать работу сервисов с сервисами, находящимися в офисе плюс хотелось бы, чтобы у людей ещё и какая то полоса оставалась для веб серфинга.

    Я сделал правила маркировки пакетов соответствующего типа трафика (маркировки для upload и download различны), сделал шаблоны pcq опять же для каждого направления (по сути являются копией с дефолтов, просто на всякий случай, вдруг потребуется что то поменять), но при создании дерева queue tree у меня возник один вопрос, когда первый корень создаёшь, нужно обязательно указывать кто у него parent, по дефолту идёт global, при том, что в 6.41 как я понимаю это и global-in и global-out, во всех мануалах, которые я прочел, говорят что выбираем global и не париться, но разве global не применяется ко всем интерфейсам? И если мы его используем как parent к руту, то если у нас стоит max limit в 3М на таком корне, устройство ограничит скорость как для внешнего трафика, так и для внутреннего, т.е. когда нужно внутри сети передать файл с одного ПК на другой, то скорость передачи ограничится 3М.?
    А если требуется шейпить трафик только для внешнего интерфейса, а внутри сети все должно работать по дефолту как есть, то для корня нужно выбирать parent - только внешний интерфейс? И как быть когда на внешнем интерфейсе есть туннельные интерфейсы, и нужно регулировать доступ как к самой полосе, которую даёт провайдер, так и к сервисам, доступным через туннельные интерфейсы? (эта задача пойдет у меня следом)
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Если на Queue Tree это делать, то делаете две очереди
    1. На WAN (Parent WAN-interface)
    2. На LAN (Parent LAN-интерфейс)
    И разгребаете Upload-трафик.
    То что на WAN=Upload на LAN будет Download и наоборот

    Или делаете на туннельные интерфейсы свои деревья
    Или в Mangle назначаете DSCP в зависимости от типа трафика, а дальше по DSCP маркируете пакеты для очереди. И включаете опцию DSCP=Inherit на туннеле (IPIP, GRE, EoIP)
     
  3. LMA

    LMA Участник

    QOS.jpeg
    апнул тему.
    Илья спасибо за отклик, я все обдумывал ваш ответ, вроде бы понимание приходит, но все равно пазл до конца не складывается.
    Я переформулирую немного постановку задачи, прикладываю условную схему сети, на схеме показано следующее:
    в сети с mikrotik есть 2 подсетки, т.е. сделано 2 группы портов, объединенных в бриджи, для телефонной сети это бридж br_ph, для пользовательской сети это br_pc (при этом сами эти подсети друг с другом не связаны); доступ к сети интернет 5 мегабит (через spf1), скорость на портах 100 мегабит; с сетью cisco настроен ipsec в туннельном режиме, из сети br_ph можно попасть в сеть1, а из сети br_pc в сеть2.
    Нужно на самом микроте для телефонов гарантировать полосу в 512 килобит через ipsec на PBX, для ПК нужно гарантировать скорость в 1мегабит для rdp подключения на удаленный сервак, на sfp1 порезать скорость до 3мегабит, а на внутренних интерфейсах оставить, скорость 100мегабит.

    Реально такую задачу кратко объяснить, и хотя бы примерно расписать как будут выглядеть деревья.
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Тогда при 2х интерфейсах
    Queue tree
    Parent = Global
    - Upload Parent=Global max-limit=5M
    -- Voip-Upload Parent=Upload limit-at=512k max-limit=2m priority=5 paket-mark=voip_upload
    -- PC-Upload Parent=Upload limit-at=1M max-limit=5m priority=8 paket-mark=PC_upload

    Так же делаем на Download.
     
    Денис Друженков нравится это.
  5. LMA

    LMA Участник

    Спасибо, я как раз на этой неделе буду ставить на склад 2011, буду там qos настраивать, по результатам отпишусь.
     
  6. Ashuvanov

    Ashuvanov Новый участник

    Здравствуйте. Я извиняюсь, Илья, если схема та же, но с bridge vlan filtering, каким должен быть подход к приоритизации? или если проще, как бы Вы применили вланы в mangle? (задача, напомню, та же: разделить две подсети и нарезать трафик). Спасибо.