Klasifikace provozu

Jan Barienčík, xbarienc(@)fi.muni.cz

Obsah

• Úvod
• Fronty paketů
• classless qdisc
• classful qdisc
• Podpora QoS v jádře Linuxu
• User-space programy pro QoS
• Konfigurace v Linuxu
• příklad použití HTB
• příklad použití IMQ
• Rozdělení zátěže
• Monitorovací programy
• Odkazy

Úvod

Standartní komunikace v sítích typu IP probíha způsobem best effort. To znamená, že sýstém odesílá data bez záruky doručení. Při velkém vytížení sítě může být paket po cestě zahozen a musí být znovu vysílán. Mnohdy se stává, že později odeslaný paket dorazí dříve než ten, který byl odeslán jako první. IP protokol verze 4 nerozezná pakety, jejichž včasné doručení je pro nás důležité, a proto je potřeba definovat kvalitu služby (QoS). Cílem QoS je klasifikovat síťový provoz podle stanovených pravidel do tříd s rozdílnou prioritou. Pakety jsou následně z jednotlivých tříd postupně odesílány v požadovaném pořadí. Klasifikaci je možné s úspěchem použít i pro dělení šírky pásma mezi více uživatelů.

QoS Model integrované služby (IntServ)

Vyžaduje záruku QoS po celé trase mezi zdrojovou a cílovou stanicí. Všechny uzly na trase musí mít informace o parametrech datoveho toku a rezervované odpovídající zdroje. IntServ používá následující dvě třídy:

• Služba s řízenou zátěží [Wro97] - pakety daného datového toku jsou zahazovány jako poslední.
• Služba s garantovanými parametry [SPG97] - záruka bezztrátovosti paketů a limitovaného maximálního zpoždění.

QoS Model diferencované služby (DiffServ)

Oproti svému předchůdci se jedná o jednodušší model. DiffServ disponuje lepší škalovatelností, což umožnuje garantovat kvalitu služby datového toku na větší vzdálenosti bez zbytečné zátěže výpočetního výkonu jednotlivých uzlů. V modelu DiffServ se rozlišují tři typy routerů:

• Okrajový uzel: Leží na rozhraní DS-domény a části sítě, která nepoužívá značkované pakety. Uzel provádí klasifikaci vstupních toků na základě pravidel, popřípadě vytížení sítě.
• Vnitřní uzel: Neprovádí žádnou klasifikaci paketů, pouze s paketem určitým způsobem naloží podle značky v jeho hlavičce.
• Hraniční uzel: Leží na rozhraní dvou DS-domén, které mohou mít rozdílnou klasifikaci. Způsob, jímž se nakládá s pakety přicházejícími z jiné DS-domény záleží na dohodě mezi těmito doménami. Většinou se provede pouze přepsání značky paketu podle značky původní.

Fronty paketů

Jednotlivé pakety se před vysíláním nebo po příjetí řádí do fronty. Pakety čekající ve frontě je možné ovlivňovat pomocí disciplín qdisc (queue discipline), což jsou vlastně implementace různých QoS algoritmů. Pakety je možné zahazovat, zpomalovat nebo měnit jejich pořadí. Jelikož není možné ovlivnit pakety, které přichází na vstup síťového adaptéru, je problematické uplatňovat QoS pro příchozí traffic. Jediný způsob jak regulovat rychlost příchozích dat, je prostým zahazováním paketů. Zahazování paketů je však účinné pouze u protokolu TCP, kde vyšší ztrátovost paketů způsobí snížení vysílací rychlosti.

Existují dva základní typy disciplín:

• classless - numožnuje pověsit na sebe další disciplínu.
• classful - umožnuje na sebe pověsit další qdisc. Každé síťové rozhraní má alespoň jeden qdisc typu classful.

Classless qdisc

• FIFO - implicitní fronta, která je automaticky nastavena u classful qdisc. Funguje na principu "kdo první příjde, první odchází". Fronta není tedy moc spravedlivá a proto je rozdělena na tři menší fronty. Pakety jsou do front řazeny podle příznaku TOS (type of service).
• TBF (Token Bucket Filter) - vhodný pro jednoduché omezení rychlosti na síťovém rozhraní. Obsahuje kapsu (buffer), do které si ukládá pakety. Z kapsy postupně odesílá pakety nastavenou rychlostí. Po přetečení kapsy, jsou pakety zahazovány. Ve výsledném efektu je díky kapse TBF fronta odolná vůči menším výpadkům.
• SFQ (Stochastic Fairness Queueing) - snaží se pásmo rovnoměrně rozdělovat mezi datové proudy. Algoritmus používá více front mezi kterými rovnoměrně postupně přepíná. Datové proudy jsou hashovací funkcí rozděleny do jednotlivých front. Hashovací funkce se v průběhu měni, aby nezůstávaly datové proudy dlouho v jedné frontě.
• RED (Random Early Detect, Random Early Drop) - určen pro vytížené páteřní spoje. Podle vypočítaných statistik snižuje zátěž zahazováním paketů před zahlcením linky. Čím blíže je celkový traffic maximální hodnotě, tím více jsou pakety zahazovány.

Classful qdisc

• CBQ (Class Based Queueing) - dlouho používaná a na nastavení velmi bohatá qdisc. Podporuje libovolné vnořování tříd. Třídy mohou půjčovat svou konektivitu podtřídám a získávat od předků. Podporuje také priority.
• HTB (Hierarchical Token Bucket) - obdoba CBQ. Má intuitivnější nastavení a svoji sílou pro většinu případů dostačující. HTB nepoužívá propočty nečinnosti linky jako je tomu u CBQ.
• PRIO - podobné na FIFO. Vytvoří 3 třídy, které mají prioriy 0, 1 a 2. Třídy se zpracovávají postupně od nejnižší priority po nejvyší, ale na rozdíl od FIFO lze na ně pověsit libovolnou jinou qdisc.

Podpora QoS v jádře Linuxu

Pro podporu QoS v Linuxu je nutné do konfigurace jádra přidat volby pro QoS.

    CONFIG_NET_SCHED=y
    CONFIG_NET_SCH_CLK_JIFFIES=y
  

    CONFIG_NET_SCH_CBQ=m
    CONFIG_NET_SCH_HTB=m
    CONFIG_NET_SCH_PRIO=m
    CONFIG_NET_SCH_RED=m
    CONFIG_NET_SCH_SFQ=m
    CONFIG_NET_SCH_TBF=m
    CONFIG_NET_SCH_TEQL=m
    CONFIG_NET_SCH_DSMARK=m
  

    CONFIG_NET_CLS=y
    CONFIG_NET_CLS_FW=m
    CONFIG_NET_CLS_U32=m
    CONFIG_CLS_U32_MARK=y
  

    cd /usr/src/linux
    patch -p1 < /usr/src/imq/linux-2.6.16-imq2.diff
  

User-space programy pro QoS

Kolekce programů pro řízení provozu je poskytována pod souhrným názvem iproute.
Balíček je ke stažení na domácí stránce projektu http://linux-net.osdl.org/index.php/Iproute2.

V debianu iproute nainstalujeme následovně:

    apt-get install iproute
  

Pro používání IMQ je nutné patchnout iptables, jelikož standartně IMQ není podporován.
Zdrojové kódy iptablas http://www.netfilter.org, patch pro IMQ http://www.linuximq.net/patches.html

    cd /usr/src/iptables-x.x.x
    patch -p1 < iptables-x.x.x-imqx.diff
  

Konfigurace v Linuxu

Konfigurace se provádí pomocí utility tc (traffic control) z baličku iproute. Jednotlivé diciplíny se označují ve tvaru číslo:číslo, kde číslo před dvojtečkou udává číslo qdisku a číslo za dvojtečkou číslo třídy. Čísla mohou být libovolné, ale je dobré zachovat v číslování určitou logiku (pro přehlednost). Čísla slouží pro indentifikaci a proto musí být jedinečné.

Při tvoření stromové struktury je důležité dbát na to, aby součet průtoku dat listů nepřesáhl šířku pásma rodičovského uzlu. Stejně tak není dobré vytvářet velké množství listů s mnohonásobně nížší garantovanou propustností než propustností celkovou. Algoritmus pak špatně počítá a celé řízení toku dat se jeví jako nefunkční.

Příklad použití HTB

Představme si situaci, že máme k dispozici linku s downloadem 384kbps a chceme ji nasdílet třem uživatelům tak, aby každý uživatel měl garantováno minimálně 128kbps. Pokud nebude některý uživatel využívat svůj díl celý, bude jeho volná část pásma rozdělena mezi ostatní. Uživatelé mají IP adresy 10.0.0.10 - 10.0.0.12.

Nejprve připravíme jednotlivé třídy. Parametr rate udává garantovanou propustnost a ceil je maximální strop.

  tc qdisc del dev eth0 root
  tc qdisc add dev eth0 root handle 1: htb default 1

  tc class add dev eth0 parent 1: classid 1:1 htb rate 384kbit
  
  tc class add dev eth0 parent 1:1 classid 1:11 htb rate 128Kbit ceil 384kbit
  tc class add dev eth0 parent 1:1 classid 1:12 htb rate 128Kbit ceil 384kbit    
  tc class add dev eth0 parent 1:1 classid 1:13 htb rate 128Kbit ceil 384kbit

Standartně se na classful qdisc přidává fronta typu FIFO, která není moc spravedlivá a proto FIFO nahradíme disciplínou SFQ.

  tc qdisc add dev eth0 parent 1:11 handle 11: sfq perturb 10
  tc qdisc add dev eth0 parent 1:12 handle 12: sfq perturb 10   
  tc qdisc add dev eth0 parent 1:13 handle 13: sfq perturb 10 

Nyní už jen stačí rozhodit pakety do správných tříd. Provádí se to přídáním filtrů. Filtr pakety pro danou třídu může indentifikovat více způsoby. Může číst značku v TOS oktetu hlavičky paketu, filtrovat pomocí zdrojové/cílové IP adresy, zdrojového/cílového portu nebo využít značky vytvořené přes mangle tabulku v iptables.

Příklad klasifikace na základě cílové IP adresy

  tc filter add dev eth0 parent 1:1 protocol ip u32 match ip dst 10.0.0.10 flowid 1:11
  tc filter add dev eth0 parent 1:1 protocol ip u32 match ip dst 10.0.0.11 flowid 1:12
  tc filter add dev eth0 parent 1:1 protocol ip u32 match ip dst 10.0.0.12 flowid 1:13

Příklad klasifikace na základě označení přes iptables

  iptables -t mangle -A FORWARD -d 10.0.0.10 -j MARK --set-mark 10
  iptables -t mangle -A FORWARD -d 10.0.0.11 -j MARK --set-mark 11
  iptables -t mangle -A FORWARD -d 10.0.0.12 -j MARK --set-mark 12
 
  tc filter add dev eth0 parent 1:1 protocol ip handle 10 fw flowid 1:11
  tc filter add dev eth0 parent 1:1 protocol ip handle 11 fw flowid 1:12
  tc filter add dev eth0 parent 1:1 protocol ip handle 12 fw flowid 1:13

Použití značkování paketů přes iptables je výhodné tehdy, pokud je potřeba vytvořit složité pravidla jako na které nám samotný filtr nestačí. Příkladem může být klasifikace na základě MAC adres. Na druhou stranu je používání tabulky mangle o trochu pomalejší a někdy zbytečné.

Příklad použití IMQ

Máme obdobnou situaci jako v předcházejícím příkladě s tím rozdílem, že uživatelé se rozhodnou přikoupit další linku. Předpokládejme, že v routeru je připojení k internetu realizováno přes adaptéry wlan0, wlan1 a síťové rozhraní pro místní síť má označení eth0. Potřebujeme rodělit provoz mezi dvě linky.

vytvoříme virtuální rozhraní, které spojí naše dvě fyzické

  iptables -t mangle -A POSTROUTING -o wlan0 -j IMQ --todev 0
  iptables -t mangle -A POSTROUTING -o wlan1 -j IMQ --todev 0
  
  ifconfig imq0 up 

Aplikujeme obdobné QoS pravidla jako v předchozím příkladě

  tc qdisc del dev imq0 root
  tc qdisc add dev imq0 root handle 1: htb default 1

  tc class add dev imq0 parent 1: classid 1:1 htb rate 768kbit
  
  tc class add dev imq0 parent 1:1 classid 1:11 htb rate 256Kbit ceil 768kbit
  tc class add dev imq0 parent 1:1 classid 1:12 htb rate 256Kbit ceil 768kbit    
  tc class add dev imq0 parent 1:1 classid 1:13 htb rate 256Kbit ceil 768kbit

  tc qdisc add dev imq0 parent 1:11 handle 11: sfq perturb 10
  tc qdisc add dev imq0 parent 1:12 handle 12: sfq perturb 10   
  tc qdisc add dev imq0 parent 1:13 handle 13: sfq perturb 10 
  
  tc filter add dev imq0 parent 1:1 protocol ip u32 match ip dst 10.0.0.10 flowid 1:11
  tc filter add dev imq0 parent 1:1 protocol ip u32 match ip dst 10.0.0.11 flowid 1:12
  tc filter add dev imq0 parent 1:1 protocol ip u32 match ip dst 10.0.0.12 flowid 1:13

Rozdělení zátěže

Rozdělení zátěže mezi více síťových rozhraní se uplatňuje u routerů, které mají k dispozici více datových linek. Provoz můžeme triviálně rozdělit například pomocí routovací tabulky tak, že napevno nadefinujeme destinace a rozhraní, přes které budou pakety posílány. Není to však moc efektivní řešení v případě, kdy používání datových proudů není rovnoměrné, mění se v čase nebo když potřebujeme datové proudy detailněji třídit. V praxi je tedy toto řešení téměř nepoužitelné a proto je vhodné využít nějaký silnější nástroj.

Jednou z možností je použít qdisc TEQL (Trivial Link EQualizer). Celý mechanismus se chová trochu jako qdisc a trochu jako virtuální rozhraní. Utilitkou tc určíme fyzická rozhraní, která budou spojena do virtuálního rozhraní teql0. Qdisc TEQL pak rozděluje provoz mezi spojená rozhraní algoritmem round robin.

O zařazení paketů do správné třídy (klasifikaci) se stará filter.

Na obou strojích tedy spojíme fyzická rozhraní (řekněme wlan0 a wlan1).

    tc qdisc add dev wlan0 root teql0
    tc qdisc add dev wlan1 root teql0
    ip link set dev teql0 up
  

Monitorovací programy

Po nastavení pravidel kvality služby je dobré chování sytému otestovat. K tomu je možné použit některé z následujících programů pro monitorování okamžitého průtoku dat.

• iptraf - program poskytující detailní informace o datových proudech.
• iftop - jednoduchy program zobrazující seřazené jednotlive spojení podle průtoku dat.

Odkazy

Linux Advanced Routing & Traffic Control HOWTO
IPROUTE2 Utility Suite Howto
Differentiated Service on Linux HOWTO
Seriál o HTB na serveru root.cz
Referát o QoS z podzimu2005