В моём понимании 0x68 = 01101000, поэтому первые 3 бита - 011 = 5.



Как я выше писал, мы используем SIP-шлюзы Linksys, у которых есть такие настройки:
SIP ToS/DiffServ Value, SIP CoS Value, RTP ToS/DiffServ Value, RTP CoS Value.
Как использовать параметры "SIP ToS/DiffServ Value" и "RTP ToS/DiffServ Value" в шлюзе для настройки правил в роутере, я теоритически понял.

Но как использовать параметры "SIP CoS Value" и "RTP CoS Value" в шлюзе для настройки правил в роутере, я не понял.
Об этом и спрашиваю ...
Могу только предположить, что CoS = class of service. Оно м.б. от 0 до 7.

Упс, виндовый калькулятор потерял нолик в начале Однако 011 = 3 Но не суть.

Не знаю, что имеет в виду Линксис, но скорее всего речь идет о 802.1р (CoS), т.е поле приоритета в случае тегированного трафика. Но возможно и прописывание класса, а Линксис сам пересчитывает в соответствующую метку. Проверить сниффером - самое простое решение. Или используйте DSCP, этого достаточно. А если у шлюза статический IP, то и голову ломать нет смысла, можно приоритизировать по source IP=Линксис IP.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

А можете набросать трубы и правила для этого случая, из расчёта, что мы имеем физический канал 2048/2048 кБ/с, и я хочу для шлюза с адресом 192.168.0.11 зарезервировать полосу 256 кБ/с в обоих направлениях (он двухпортовый).

Мануал - ftp://ftp.dlink.ru/pub/FireWall/DFL-210 ... _V1.08.pdf
раздел 10.1.8, страница 386 Там как раз рассматривается случай для приоритизации SSH и телнета.
Ну и из FAQа можно почерпнуть - http://dlink.ru/ru/faq/85/758.html

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Читал я эти все мануалы - на мой взгляд очень всё невнятно написано. К тому же этот не совсем тот случай, как у меня (мы обсуждали ситуацию приоритезации не по виду сервиса, а по IP).
Мало того, сделал, как написано на стр.391, только убрал Citrix и поменял H.323 на SIP-UDP.
Результат - видимых (слышимых) изменений нет, похоже даже хуже стало ...
Непонятно также, как это проверить объективно.

Даю команды для консоли. После их введения можете посмотреть результаты в вебе.

Входящая труба:

Исходящая труба:

Правило PipeRules для телефона:

Правило для остального трафика:


В IP Rules sip-udp с ALG делайте отдельно, выше всяких там all-services. Не знаю, сработает ли корректно шейпинг и приоритизация, если используется ALG. Мне сложно проверить, ибо у меня перед DFL есть еще управляемый L2 свитч, который приоритизирует VoIP трафик+Корбина гонит его с наивысшим приоритетом. У меня даже без правил приоритизации, но с шейпингом полосы, голос идет четко и без потерь. В Линксисе также можно указать принудительно порты для RTP. Это я на тот случай говорю, если ALG не удовлетворит. Тогда принудительно создадите сервис для портов RTP и его уже приоритизируете.
Вчера, например, проверял на пингах. Шейпил полосы up/down в 200 кбит, запускал пинг до Яндекса и одновременно скачку с FTP в несколько потоков. Без приоритизации пинг был в среднем 3000-6000 мс, после добавления правила для сервиса all_icmp с Precedence 7 пинг падал до 30-40 мс, т.е. почти в 100 раз меньше, чем до приоритизации! Это видно было онлайн после активации настроек, ибо пинг шел в винде с флагом -t, т.е. бесконечно.
p.s.Правило дано из расчета, что трафик идет из LAN/lannet в WAN/all-nets. Полоса ограничена в 1900 кбит, ибо для корректного срабатывания пайпа total должен быть меньше примерно на 5% от ширина канала, как это советует мануал и подсказывает логика.
p.p.s. Ограничение в Precedences7 можно и не указывать. Приоритизация все равно сработает. Но тогда SIP-трафик от 192.168.0.11, если он будет большим (например, видеозвонок), возьмет на себя столько полосы, сколько ему понадобится.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Спасибо за пример!
Примерно я так себе всё представлял, но есть вопросы:
1) Зачем в linksys_rule указываем Service=sip-udp, если SourceNetwork=192.168.0.11? Наверное можно Service=all_services, т.к. мы приоритезируем весть трафик in/out для Linksys.

2) По поводу уменьшения LimitKbpsTotal на 5%.
Мне сечас провайдер даёт 5 Мб/сек. Speedtest.net показывает 4.65-4.75 Мб/сек.
Хочу ограничить канал до 2 Мб/с.
Делаю трубы с LimitKbpsTotal=2000 (правильно ли это, м.б. надо 2048?) + правила для all_service.
После этого Speedtest.net показывает 1.8-1.85 Мб/сек. Т.е. DFL Traffic shaping и так ограничивает мой канал относительно 2 Мб/с на 5-10%! Зачем ещё искуственно его урезать, ведь суммарная скорость доступа уменшиться ещё на 5%.

3) http://dlink.ru/ru/faq/85/758.html
Зачем они создают четыре раззные IP-правила, которые отличаются только полем Service?

а) Name: SMTP_BW_Control
Action: NAT Service: smtp
Source Interface: lan Source Network: lannet
Destination Interface: wan1 Destination Network: all-nets

б) Name: HTTP_BW_Control
Action: NAT Service: http-all
Source Interface: lan Source Network: lannet
Destination Interface: wan1 Destination Network: all-nets

в) Name: FTP_BW_Control
Action: NAT Service: ftp-passthrough
Source Interface: lan Source Network: lannet
Destination Interface: wan1 Destination Network: all-nets

г) Name: Others_BW_Control
Action: NAT Service: all_services
Source Interface: lan Source Network: lannet
Destination Interface: wan1 Destination Network: all-nets

Я думаю, что если оставить только последнее, всё будет работать точно также. В чём здесь сакральный смысл

4) По поводу SIP ALG (глава 6.2.7, примеры - стр. 219 и дальше)
Я его пока не использую, т.к. не понимаю, какие преимущества он мне даст по сравнением с обычным NAT.

5)

По-моему, местоположение IP-правила по отношению к другим IP-правилам никаких преимуществ (в смысле приоритезации или гарантирования полосы пропускания) не даёт, а влияет только на порядок обработки трафика: сначала проверяется верхнее правило - если трафик ему соответсвует, дальнейшие правила не обрабатываются, а если нет - к нему применяется следующее правило и т.д.
Теоритечески понятно, чем меньше правил, тем выше производительность роутера, но я нигде не видел объективных или хотя бы субъективных данных: насколько, например, снижают производительность роутера 100 правил по сравнению с 10 (в среднем).

6) Разбираем пример в мануале на стр.220 - Scenario 1 (мой случай)
а)
- нужно ли что-то добавлять, если второй канал моего шлюза Lynksys работает на порту 5061?
- зачем ставить тип сервиса = TCP/UDP, если у шлюза транспорт = UDP? (я вообще пока не видел, чтобы где-нибудь в SIP-оборудовании применялся транспорт TCP)
- зачем вообще делать свой custom service, если уже есть предопределённый сервис sip-udp?

стр. 221
б) про 2-ое правило (wan -> lan (or core)):
- зачем оно вообще нужно (у меня сейчас и без него работает)?
- что лучше: wan -> lan или wan -> core (то, что в скобках)? В чём ньюанс? (из текста я это не понял )

Логично. Можно и all_services.

Ну вот, а писали, что физический канал 2/2МБит. Тогда ставьте total 2000 или 2048, как нравится.
speedtest.net - это перегруженный сервер у черта на куличиках в США. Туда пинги под 200 мс. Это не показатель скорости. Идеал - iperf, близко к идеалу - торренты с большим числом сидов. И не стоит забывать, что даже Speedtest.net показывает полезные данные пакетов, исключая заголовки пакетов, которые как раз составят 5% сверху. Короче, в торрентах проверяйте.

Потому что хотят иметь разные приоритеты и разные лимиты на три разных сервиса (http, ftp, smtp). Четвертое правило для всего остального трафика, чтобы он мимо трубы не прошел, а тоже участвовал в распределении полосы. У Вас два правила - для шлюза и всех остальных.

Честно? Ни в чем Феншуй ))
На самом деле у первых трех сервисов можно применить ALG. И, кажется, у ftp-passthrough он по умолчанию применен.


Он удобен, когда звонят извне на шлюз, т.е. на порт 5060, без SIP-прокси, т.е. peer-to-peer. При ответе шлюза командой SIP/2.0 183 Call progress, он сообщает в поле Connection Information: IN IP4 х.х.х.х свой IP адрес за NATом, а в поле Media Port: хххх свой порт для RTP потока. Звонящий пытается соединиться с этим IP:портом, но куда стучаться, если адрес из подсети приватных адресов? Вы пробовали позвонить себе на шлюз со стороны WAN роутера без использования SIP-прокси? Попробуйте. Если звонить будете не с Линксиса, то ничего не услышите на стороне шлюза. А с Линксиса (например, аппаратного IP-телефона) получится, потому что когда он поймет через 1-2 секунды, что к нему данные RTP от голосового шлюза идут с одного адреса, а ему их предлагают отправить по другому IP, он станет слать их на тот порт, откуда получает, т.е. на WAN-порт роутера по открытому UDP-соединению со стороны LAN. Защита от дурака, можно сказать. В итоге разговор все-таки состоится.
А вот что касается софтовых телефонов, я их перепробовал с десяток, что нарыл в Инете, - нигде нельзя прописать внешний IP. Они либо сами предлагают его узнать, либо предлагают STUN. А где мне взять в локалке провайдера круглосуточно работающий STUN? Негде. Вот тут на помощь и приходит SIP ALG. Когда мой софтовый телефон отвечает, что RTP ему надо слать на адрес 192.168.0.4:12345, то DFL подменяет в этом месте пакета SIP/SD на свой IP и произвольный порт, и соответственно открывает у себя этот порт на данном интерфейсе. Звонящий получает эту информацию ничего не подозревая о подмене и начинает слать туда RTP, который благополучно пробрасывается самим DFL до 192.168.0.4:12345. Супер удобная вещь, когда используешь IP-телефонию без прокси.


Я это знаю. Я просто не уверен в правильности срабатывания шейпинга в случае ALG. Ведь фактически, как я сказал выше, порт для RTP открывается динамически. И происходит это в момент прохождения пакета через IP Rules. Но ведь там all_services. В правилах шейпинга стоит сервис sip-udp, но где гарантия, что ALG в этом случае тоже сработает и динамический открываемый порт для RTP будет также участвовать в пайпе, несмотря на то, что в сервисе sip-udp сказано лишь про UDP/5060?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да, нужно в сервисе sip-udp перечислить оба порта, если речь идет о сигнализации на этом порту, а не RTP данных.

Протокол SIP умеет и UDP, и TCP. Вам жалко что ли оба сервиса выбрать?

Ну так пример сделали. Мало ли, вдруг кто покопался в дефолтных настройках железки до Вас и изменил сервис на что-то иное.


Потому что сейчас Вы не используете SIP ALG и/или не получаете входящих звонков со стороны WAN в режиме peer-to-peer без прокси. То, что в скобках, указано для случая, когда используется NAT. Там ведь перед таблицей так и написано

Я вот что Вам скажу - если звоните только через прокси, можете не использовать SIP ALG. Прокси сама будет поддерживать соединение через NAT открытым и пускать весь трафик через себя. Никаких преимуществ не получите. А вот если к Вам звонят напрямую, т.е. по IP адресу шлюза, тогда варианта нормального прохождения RTP в обе стороны сквозь NAT только два: использовать SIP ALG или в голосовом шлюзе жестко прописать диапазон адресов для RTP и внешний IP DFL-а, а на самом DFL все это дружно пробросить SATом на шлюз.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Итак, проверил SIP ALG и шейпинг и убедился на практике, что шейпинг не работает при ALG. Собственно я выше писал о своих сомнениях, а теперь лишь убедился. С вероятностью в 99% также не сработает шейпинг в случае FTP ALG, ибо там тоже динамически открываются порты DFLа. Мониторинг пайпов показал, что, как и следовало ожидать, в пайпы попадает только трафик сигнализации (dest 5060), а сам RTP - нет. Пробовал и без создания отдельных правил SIP ALG в корне и с созданием таковых.

Так что те, кто хочет приоритезировать трафик SIP, должен делать это либо по IP, если это железка, либо по меткам DSCP или конкретным UDP-портам, если это софтфон.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Спасибо! А то у меня тут тоже секис с этим.

Спасибо за разъяснения, стало понятнее ...
Прошу подтвердить, правильно ли я понял:
1) SIP ALG в DFL не делает какой-либо приоритезации или гарантированной полосы пропускания для SIP-трафика, а просто позволяет обойтись без SIP-proxy и/или STUN-серверов.

2) в моём случае при использовании SIP ALG мне надо внести в предопределённый сервис sip-udp следующие изменения:
а) поменять порт с 5060 на 5060, 5061 (или 5060-5061, что лучше?)
б) поменять тип трафика с UDP на UDP/TCP

3) в правилах для sip-трафика лучше использовать вариант без NAT (то, что в примере без скобок) - это даст дополнительные возможность прямого обмена RTP-трафиком между двумя sip-клиентами.

Вот здесь непонятно:

Как можно звонить напрямую из вне на мой Linksys, расположенный за роутером? У него же IP локальный ...


в speedteste можно выбрать сервер, который недалеко от меня находится. Например, пинг к серверу в Химках у меня составляет 5-6 мс, а к тому, который в Москве (NetByNet Holding) - почему-то 12-13 мс.

А как мониторил? Как узнать, что попал я в трубу, или нет?

Да


Ничего не делать, если шлюз использует SIP-прокси. Обычное правило NAT lan/lannet -> wan/wannet all_services достаточно. Интерфейсы указаны в качестве примера.


Правило без NAT применяется для тех, у кого реальные IP в LAN-интерфейсе. Это не Ваш случай, как я понял.


Так же, как и соединяться с торрентом, например. На IP адрес роутера, на котором настроен проброс порта 5060 на голосовой шлюз.


Он перегружен и неправильно показывает информацию. У меня канал 100/100, а показывает 58/40. В торрентах реально вижу все 100. А NetByNet Holding - это сборище дворовых локалок, объединенных в единый бренд. Там и неуправляемые свитчи-"мыльницы", и провода, развешанные по деревьям, и прочие "прелести" районных помоек-локалок. Как минимум, глупо рассчитывать, что у них будут каналы связи, сравнимые со МТУ и Корбиной.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)