1、目录总体方案设计 .11.需求分析 11.1 网络概况: 11.2 网络需求 22 网络的设计思路 .33 网络产品选型标准 .44 网络方案设计 .54.1 网络拓扑图 54.2 网络方案概述 54.3 网络解决方案的特点: 75 设备配置清单 .86 服务质量保证(QOS )设计 86.1 采用 QoS 的必要性 86.2 QoS 服务模型 .106.3 QoS 技术实现 .126.4 QoS 方案设计 .157 设备参数: .16总体方案设计1.需求分析1.1 网络概况:随着网络、数据库及与之相关的应用技术不断发展,尤其国际互联网(Internet)和内部网(Intranet)技术的广泛
2、应用,世界正在迈入网络中心计算(Network Centric Computing)时代。能源行业也从传统的物质资料运动发展为利用信息技术为消费者提供低成本的服务。能源信息化的定义是:利用信息技术整合企业内部的业务流程,使企业向着规模经营、网络化运作的方向发展。能源信息化是能源企业相互融合的重要手段。能源行业正以信息技术为手段,向综合性能源企业发展,积极发展第三方能源,实现能源的社会化、专业化、规模化,大幅度提升能源产业的优势。所以,积极整合能源资源,实现能源系统战略性功能重组,完善综合性运输体系,构建促进高新技术产业带发展的现代能源支撑系统;和构筑能源信息平台,构筑现代化全程电子能源网络,成
3、为当今能源行业信息化的首要任务。1.2 网络需求1.2.1 网络平台子系统要求:1、具有高速、安全、可靠、简便管理的网络平台,作为能源信息化数据业务及其它业务的统一承载和传输平台。2、具有高性能、高速度的网络服务器系统,让客户机有高速的查询浏览速度。3、具有能够与 INTERNET 相连接的 WEB 服务器,使用户能够通过 INTERNET 查询、检索相关信息。4、具有高性能的数据服务器以存储大量的客户信息、沟通资料。1.2.2 数据业务需求:1用户资源采集及加工、存储:主要对所服务的广大用户进行采集、数字化加工、海量存储。其中涉及到文字、图表、静态图像等的传输和交换。2信息查询:包括本地、异
4、地通过网络高速信息查询。3信息跟踪:实现货物的实时全程跟踪。1.2.3 网络安全需求随着网络的发展,基于网络的应用日渐增多,网络用户的增多,网络病毒的泛滥,网络的安全性和可靠性成为了系统建设的主要问题。我们可以运用多种技术,如VLAN、QOS、防病毒体系等,对各个部门访问进行控制,各单位之间在未授权的情况下不能互相访问,保证系统内部的安全。 物理安全需求针对重要信息可能通过电磁辐射或很不错线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对重要的设备进行冗余配置;对重要系统进行备份等安全保护。 VLAN 设置需求各子网的分布区域广,
5、网络用户多,因此如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,必须要对它进行详尽的设计,尽可能防护到网络的每一节点。 安全管理体制安全系统只能提供技术手段和措施,但人为的因素不可忽略,只有确立健全的安全管理体制,设立相应的安全管理岗位,从制度上加以严格管理。1.2.4 网络管理需求此次建设的 xxxx 公司网络系统必须为其配置功能强大的管理系统,该系统应具有以下功能: 虚拟网管理、分配。 对所有网络设备端口的监视和管理 对网络流量的监测和管理 对所有网络设备的远程管理和控制,包括网络端口设备的开放和关闭 整个网络的故障监测,故障自动报警功能 整个网络
6、性能的统计和分析报告2 网络的设计思路实现下述三种主要功能:1aa 公司及分支机构网络分为:aa 老区、aa 新区、 aa 工程中心、宝 钛工业园。采用单模光缆环网作为网络主干,要求安全可靠,并可实现主干冗余、 链路容错等功能。要求端口到桌面交换速率达到 10/100/1000M 自适应,满足办公及客户对网 络带宽的需求。系统各层网络之间良好互联;主交换机与主机服务器之间良好互联。 具有良好便捷网络管理平台。网管系统是开放式网管平台,并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、 多厂家产品管理、MIB 管理、效率管理和图形化管理,支持 SNMP、RMON
7、 等 管理。网络骨干设备具有较高的可靠性;核心设备支持热插拔,具有容错设计。 网络设备具有较好的扩展性,系统能够平滑升级及扩充。支持虚拟网络(VLAN) 技术及多种形式的划分,如基于端口、基于 IP 地址、基于硬件地址。2aa 工程中心、aa 工业园的内网、外网分别由核心层、接入层、接入设备和安全设备、服务器集群组成。主干两层式设计有利于保证其性能和减少传输延迟、核心层设备为一台运营级高性能多层交换机。接入层设备为多组环形堆叠的交换机,每组交换机通过千兆光口与核心层交换机连接,对下漆工 10/100/1000M 自适应双绞线接入。另外,核心交换机通过防火墙实现外网的连接,通过核心交换机 3 层
8、的功能实现内部网的互连。按千兆骨干互连、百兆到桌面的方案建设。中心通过千兆电接口和接入层交换机相连。接入层交换机和桌面之间使用五类双绞线相连。3Internet 的接入、内网的安全性需求本设计方案以高效性和快速性为基础,网络的骨干链路使用千兆连接,核心交换机采用华为-3COM 的核心交换机连接接入层交换机。3 网络产品选型标准硬件平台是整个工程的物理基础,设备选型是一个重要而关键的问题,根据以下原则选择设备供应厂商:(A) 设备的技术先进性,这是选型的首要考虑因素;(B) 性能价格比,设备的性能价格比是选型的重要考虑因素;(C) 设备对未来新技术的适应能力,反映设备的可扩展性,这是保护用户投资
9、的一种策略;(D) 设备的技术性能指标;(E) 设备使用的方便程度,这体现设备的可维护性;(F) 设备在大型网络中的应用情况,它反映设备的适应性和可靠性;(G) 网络管理系统的集成性、开放性和功能,它反映网络管理系统是否能对网络做全面深入的管理,以及它对异构网络的适应能力;(H) 设备的标准化程度和可扩充性,反映对网络规模扩展的适应能力;(I) 差错的检测与隔离能力,这是网络可靠性的重要保证;(J) 设备的售后服务。4 网络方案设计4.1 网络拓扑图4.2 网络方案概述基于对能源信息化业务需求的深入理解,结合自身产品和技术特点,我们提出了以科技为导向、以计算机网络为依托、以信息技术为手段的能源
10、信息化网络解决方案。本解决方案网络分为 4 个节点分别是 aa 老区、aa 新区、aa 工程中心、aa 工业园,其中 aa 工程中心、aa 工业园的网络分为三个层次,核心层和汇聚层和接入层。 核心设备的任务是整个业务网络的整体交换,核心设备的好与坏直接关系到网络的业务能力,因此在选择核心设备的时候,既要考虑设备的性能有要考虑其经济的因素。综合以上因素,aa 工程中心总共有 1320 个信息点,所以核心层应选用具有电信级可靠性、大容量的 H3C S7506R 万兆核心路由交换机。S7506R 为插槽式机箱设计,共 8 个槽位,2 个引擎槽位,6 个业务槽位,支持电源和引擎的冗余,背板带宽高达 1
11、.2Tbps,交换容量为 768Gbps,包转发率为 432Mpps,最大支持 576 个千兆端口,支持全光口模块,方便实施远程千兆汇聚;提供全线速的二三四层交换及第四层业务服务,可作为网络的核心交换、业务控制和冗余控制平台,提供电信级冗余可靠特性,是理想的核心交换平台。我们在核心 S7506R 上配置 2 块电源和 2 块主控板,为核心设备提供电源和引擎的冗余,再配置 1 块 20 口的 10/100/1000M 以太网电口模块和用 1 块 20 端口的千兆SFP 光口业务板。千兆电口业务板用于连接核心机房的服务器群(包括 1 台邮件WEB服务器,2 台数据服务器,1 台远程访问服务器) 、
12、千兆光口业务板配置 16 千兆多模SFP 模块,用于连接其它办公区的接入层交换机。另外在配置一块 2 端口万兆接口板,保证跟另外 3 个节点具有万兆链路。aa 工业园、aa 新区、aa 老区的信息点相对少一些,大概在 500 个以内,因此我们选用 H3C S5600 系列交换机。H3C S5600 系列全千兆智能弹性交换机是 H3C 公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用H3C 公司创新的 IRF(Intelligent Resilient Framework,智能弹性架构)技术,支持高达 96G 的堆叠带宽和高密度千兆端口,支持万兆上行。特别适合作为需
13、要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。S5600-26C 和 S5600-26F 分别具有 24 个 10/100/1000Base-T 以太网端口4 个复用的 1000Base-X 千兆 SFP 端口和 24 个 1000Base-X 千兆 SFP 端口4 个 10/100/1000Base-T 以太网端口,所有端口支持线速转发。交换容量为192Gbit/s,包转发率 66Mpps汇聚层设备位于网络的中层,主要为用户提供网络接入服务,要求运行稳定,可扩展。因此接入层设备选用 H3C S5500-EI 系列。H3C S5500-E
14、I 系列交换机是 H3C 公司最新开发的增强型IPv6 强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多 4 个万兆扩展接口,可以满足用户今后 5 年的带宽需求;支持 IPv4/IPv6 硬件双栈及线速转发,使客户能够从容应对即将带来的 IPv6 时代;除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择可以满足用户以太网宽带接入需要。S5500-28C-EI 具有 24 个 10/100/1000Base-T 以太网端口和 4 个复用的 1000Base-X 千兆 SFP
15、 端口,交换容量为 192Gbps,包转发率为 95.2Mpps网络技术越来越普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。因此我们在内网核心交换机和外网路由器之间架设一台 H3C的 Secpath F1000-A 防火墙,为内网用户提供网络安全服务。H3C SecPath F1000 系列防火墙包括 SecPath F1000-C/SecPath F1000-S/SecPath F1000-A/SecPath F1000-E 等四款产品,支持外部攻击防范、内网安全、流量监控、邮件过滤、网
16、页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用 ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种 VPN 业务,如 L2TP VPN、GRE VPN 、IPSec VPN、动态 VPN 等;支持 RIP/OSPF/BGP/路由策略及策略路由;支持丰富的 QoS 特性,提供流量监管、流量整形及多种队列调度策略。入侵防御产品选用的 H3C SecPath T1000-S。H3C SecPa
17、th T1000-S 入侵防御系统(Intrusion Prevention System,IPS)是 H3C 公司开发的业界领先的 IPS 产品。H3C IPS 能精确实时地识别、阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,还具有实用的带宽管理和 URL 过滤功能,可为用户网络提供最全面的深度防御。SecPathT1000-S 采用 H3C 公司自主知识产权的 FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST 引擎集成了多项
18、检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST 引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率。随着网络规模的不断扩大,通过传统的远程登陆对设备进行管理显得捉襟见肘,效率慢,工作量大,对网络故障无法报警,影响了网络了可靠性。所以我们为用户网络购置一套 H3C IMC 智能管理中心。H3C 开放智能管理中枢(H3C Intelligent Management Center,以下简称 H3C iMC) ,作为 H3C IToIP 整体解决方案的重要组成部分,H3C iMC 采用面向服务架构(SOA)的设计思想,融合并统一管理业务、资源和用户
19、这三大 IT 组成要素,通过按需装配功能组件与相应的硬件设备配合,形成直接面向客户应用需求的一系列整体解决方案,从而成为 H3C IToIP 整体解决方案的开放智能管理中枢。4.3 网络解决方案的特点:高性能,全线速交换,千兆主干:1000M 连接高流量服务器,骨干连接采用 GE 线路,提供 10/100M 连接桌面。高性能设备全线速核心三层交换;高端路由器专注于处理广域网流量,采用光缆支持长距离,可与分部连接。 高扩展能力:模块化的设计提供更多可扩展插槽,具有强大、灵活的扩展空间,支持低成本的千兆连接。核心采用更高端模块化交换机,具有更强的扩充能力,更高的性能。配线间采用模块化交换机或通过千
20、兆堆叠扩充用户数,高端的路由器,超强的处理能力和扩充能力。灵活,高效,可靠的广域网连接:支持多种广域网连接:DDN,FR,ISDN,SDH,ATM。支持数据,语音,视频多业务集成。卓越的多媒体应用系统,可提供 VOD 点播等视讯服务。有线无线一体化:提供 LAN、WLAN 等接入方式进行网络互联,实现无线会议室等多种形式的办公业务。严格的 QOS 保证:通过 Diffserv 与端口限速功能,实现基于业务的 QoS 保证,防止网络受流量攻击导致瘫痪。提供多种规则组合条件下的流映射和分类、流量监管(CAR) 、拥塞控制方法(RED、WRED、SA-RED) 、队列调度和输出流整形等功能。CAR
21、的范围和精度:平均流量范围(上行和下行) 128K50M ,流量控制粒度128Kbps; 峰值流量范围(上行和下行)128K50M,流量控制粒度 128Kbps。网络管理方便:综合高效的网管平台,可管理多家厂商的 IP 产品,实现从网络级到设备级全方位的网络管理,使网络性能得到淋漓尽致的发挥。大大降低用户管理成本,节约维护费用,支持认证、计费等功能。5 设备配置清单序号 设备名称 品牌 型号 数量 单位 单价 小计1核心交换机 H3C LS-7506R-AC-XG H3CH3C S7506R 以太网交换机交流主机-POE(含机箱,双电源,软件,资料) 1 台 54600 546002 LS8M
22、1AC220PWR H3C H3C S7500-交流电源模块 1 个 4500 45003 LS8M2SRPGH H3C H3C S7500-交换路由模块-Salience III 768G 2 个 49500 990004 LS8M1GP20AH H3C H3C S7500-20 端口千兆以太网光接口业务板 A-(SFP,LC) 1 个 20500 205005 LS8M1GT20AH H3C H3C S7500-20 端口千兆以太网电接口业务板 A-(RJ45) 1 个 22550 225506 LS8M1TGX2H-XG H3C H3C S7500-2 端口万兆以太网接口模块(XFP,L
23、C)-XG 1 个 66100 661007 XFP-LX-SM1310 H3C 光模块-XFP-10G-单模模块-(1310nm,10km,LC) 2 个 21600 432008 SFP-GE-LX-SM1310-A H3C 光模块-SFP-GE-单模模块-(1310nm,10km,LC) 16 个 3200 512009核心交换机LS-S5600-26C H3C宝钛老区、新区各 1 套核心交换机 H3C LS-S5600 ;H3C S5600-26C 以太网交换机,24 个 10/100/1000Base-T,4个 combo SFP,自带两个堆叠口,1 个模块插槽2 台 29300 5
24、860010 LSHM1XP2P3 H3C H3C S5600 功能模块-2 端口万兆 XFP 光接口以太网模块 4 个 26900 10760011 XFP-LX-SM1310 H3C 光模块-XFP-10G-单模模块-(1310nm,10km,LC) 4 个 21600 8640012核心交换机(宝钛工业区)LS-S5600-26F H3CH3C S5600-26F 以太网交换机,24 GE SFP,4 个 combo 10/100/10001000Base-T,自带两个堆叠口,1 个模块插槽 1 台 43850 4385013 LSHM1XP2P3 H3C H3C S5600 功能模块-
25、2 端口万兆 XFP 光接口以太网模块 2 个 26900 5380014 XFP-LX-SM1310 H3C 光模块-XFP-10G-单模模块-(1310nm,10km,LC) 2 个 21600 4320015 SFP-GE-LX-SM1310-A H3C 光模块-SFP-GE-单模模块-(1310nm,10km,LC) 17 个 3200 5440016汇聚交换机、服务器交换机LS-5500-28C-EI H3CH3C S5500-28C-EI-以太网交换机主机(24 个10/100/1000Base-T+4 个 100/1000Base-X SFP Combo+2Slots)36 台
26、21600 77760017 SFP-GE-LX-SM1310-A H3C 光模块-SFP-GE-单模模块-(1310nm,10km,LC) 33 个 3200 10560018 SFP-GE-SX-MM850-A H3C 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 36 个 1850 6660019接入层交换机、外网 24 口交换机LS-5100-24P-SI-H3H3CH3C S5100-24P-SI 以太网交换机主机,24 个10/100/1000Base-T,4 个 combo SFP 52 台 9800 50960020 SFP-GE-SX-MM850-A H
27、3C 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 52 个 1850 9620021网管软件SWP-IMC-IMPW-CN H3C功能模块-H3C iMC-SW7M1IMPW-智能管理平台(含 50 节点) For Windows-纯软件(CD)中文版 1 套 45300 4530022 LIS-IMC-IMPA-CN-50 H3CLicense 授权函-H3C iMC-SW7M1IMPA-智能管理平台license 费用-管理 50 节点 1 套 23600 2360023防火墙NS-SecPath F1000-A-AC H3CH3C SecPath F1000-A
28、主机-双交流电源(2GE/1Slot) 1 台 97200 9720024入侵防御系统NS-SecPath T1000-S H3CH3C SecPath T1000-S-IPS 主机(4GE 电口+2SLOT)-含一年特征库升级,一年病毒库升级 1 台 356400 35640028876006 服务质量保证(QoS)设计6.1采用QoS的必要性在综合业务网络系统中,存在着各种应用,多种不同类型的数据流,比如WWW、FTP、语音视频等。每一种应用都有各自的特点,包括应用对传输时间的要求、应用数据的重要程度及优先级等因素。这些应用数据流的混合传输,使得关键业务应用经常得不到足够的带宽,音视频应用
29、也产生延时等。面对这样的问题,可以采取很多方法: 用户分级:限制一些需要访问占用大量带宽的网络应用的用户。 升级网络带宽:对网络进行升级,在网络边缘增加更多带宽。 建设智能骨干网:在骨干设备中添加 QoS 功能。(1)用户分级实行用户分级别管理,不同级别用户有不同的操作权限,提高系统安全性。这可能是最常见的一种解决问题的方法,运用规章制度来管理网络的使用。虽然对带宽管理有一定效果,但是并不能有效的控制不同应用数据流对网络系统的要求。(2)升级网络带宽很明显,升级网络带宽首先是费用问题。这需要在边缘增加带宽,还对骨干网路由器的性能也提出了较高的要求。其次,即使投资费用不是问题,增加网络带宽也解决
30、不了实质问题,因为 TCP/IP 数据流的本性就是尽可能地利用并消耗更大的带宽。所以靠增加额外的带宽并不能有效缓解 IP 与非 IP 流间利用带宽的平衡、关键任务与非关键任务间利用带宽的平衡。(3)建设智能骨干网解决数据流拥塞问题的根本方法还是依赖于服务质量(Quality of Service,即QoS) 。QoS 的意义在于可以将不同的数据流类型划分成不同的优先级,据它们优先级的不同在网络层进行流量控制和资源分配,为有不同服务需求的业务提供有区别的服务,正确地分配和使用资源。在进行资源分配和流量控制的过程中,尽可能地控制好那些可能引发网络拥塞的直接或间接因素,减少拥塞发生的概率;并在拥塞发
31、生时,依据业务的性质及其需求特性权衡资源的分配,将拥塞对 QoS 的影响减到最小。因此,QoS带宽管理方案具有优越的成本效益比。网络上的一些应用如 FTP 和 Web 等 TCP/IP 数据流经常在自然状态下突然超出传输极限,并在某些至关重要的时刻占据整个网络带宽容量并导致数据拥塞。因此,需要对此类的数据加强传输策略控制,并为重要应用预留带宽。专用的 QoS 解决方案可以通过向各种数据传输类型提供优先权设置的方法,实现最适宜的带宽调度,并确保某些关键应用在最需要带宽保障的时候能够如愿以偿。我们认为应该针对网络系统中不同的业务应用综合使用 QoS 技术。这样才能充分利用网络资源,提供对网络系统中
32、各种类型应用的良好支持,确保网络平台对关键业务应用能够发挥最大的效能,满足业务应用的需求。6.2 QoS服务模型服务质量(QoS)是一个术语,用来定义网络给不同形式的流量提供不同级别的服务保障的能力,它的目标是提供有效的端到端的服务质量控制或保证。传统的 IP 传输业务称为“尽力而为”型服务(Best-Effort service) ,是最简单的服务模型,不需要 QoS 控制也不提供 QoS 保证。传统的信息传输控制一般不依赖于网络状态,带宽分配可以动态的改变。应用程序可以在任何时候,发出任意数量的报文,而且不需要事先获得批准,也不需要通告网络。网络则尽最大的可能性来发送报文,但对时延、可靠性
33、等不提供任何保证。某些应用能在这种模式下正常运行,例如 FTP 和 HTTP 等。但是,对于一些对网络延迟、带宽波动和其他网络条件变化敏感的应用来说,如视频会议、视频点播、IP 电话、远程教育等多媒体应用,这不是一个最佳的服务模型。例如,网络电话应用可能需要稳定的带宽数量,这样它才能正常地工作,对这些应用提供“尽力而为”型服务会导致电话呼叫失败或在通话时中断。为了满足多媒体应用实时传输的需求,IETF 提出了两种不同的 QoS 体系结构:综合服务(Integrated service,Intserv)和区分服务(Differentiated service,Diffserv) 。综合服务:综合
34、服务的基本思想是在传送数据之前,根据业务的 QoS 需求进行网络资源预留,从而为该数据流提供端到端的 QoS 保证。资源预留协议 RSVP 是综合服务的核心,是一种信令协议,用来通知网络节点预留资源。如果资源预留失败,RSVP 协议会向主机发回拒绝消息。综合服务模型在发送报文前,需要通过信令(signal)向网络进行特定服务的申请。应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求,包括带宽、时延等,在收到网络的确认信息后(即网络已经为这个应用程序的报文预留了资源)再发送报文,而发出的报文应该控制在流量参数描述的范围内。网络在收到应用程序的资源请求后,执行资源分配检查(Admissi
35、on control) ,即基于应用程序的资源申请和网络现有的资源情况,判断是否为应用程序分配资源。一旦网络确认为应用程序的报文分配了资源,则只要应用程序的报文控制在流量参数描述的范围内,网络将承诺满足应用程序的 QoS 需求。而网络将为每个流(flow,由两端的 IP 地址、端口号、协议号确定)维护一个状态,并基于这个状态执行报文的分类、流量监管(policing) 、排队及其调度,来满足对应用程序的承诺,具有面向连接的特性。综合服务能够在 IP 网上提供端到端的 QoS 保证。但是,综合服务对网络设备的要求很高,当网络中的数据流数量很大时,路由器的存储和处理能力会遇到很大的压力。因此,综合
36、服务可扩展性比较差,难以在大型核心网络实施,目前综合服务可以应用在网络的边缘上。区分服务:区分服务的基本思想是将用户的数据流按照服务质量要求来划分等级,任何用户的数据流都可以自由进入网络,但是当网络出现拥塞时,级别高的数据流在排队和占用资源时比级别低的数据流有更高的优先权。区分服只承诺相对的服务质量,而不对任何用户承诺具体的服务质量指标。区别服务模型可以满足不同的 QoS 需求。与 Intserv 不同,它不需要信令,即应用程序在发出报文前,不需要通知路由器。网络不需要为每个流维护状态,它根据每个报文指定的 QoS,来提供特定的服务。可以用不同的方法来指定报文的 QoS,如 IP包的优先级位(
37、IP Precedence) 、报文的源地址和目的地址等。网络根据这些信息来进行报文的分类、流量整形、流量监管和排队。通常在配置 Diffserv 时,在网络边界的路由器通过报文的源地址和目的地址等对报文进行分类,对不同的报文设置不同的 IP 优先级,而其他路由器只需要用 IP 优先级来进行报文的分类。区分服务只包含有限数量的业务级别,状态信息的数量少,因此实现简单,扩展性较好。目前,区分服务是业界认同的 IP 骨干网的 QoS 解决方案。服务模型选择:Intserv 与 Diffserv 都能提供多服务的 QoS 保障。从技术上看,Intserv 具有面向连接的特性及思想,这与 IP 技术本
38、身无连接特性是不符合的,容易导致网络的复杂化;从实现看,Intserv 需要网络对每个流均维持一个软状态,因此会导致设备性能的下降,或实现相同的功能需要更高性能的设备,另外,还需要全网设备都能提供一致的技术才能实现 QoS。而 Diffserv 则没有这方面的缺陷,且处理效率高,部署及实施可以分布进行,它只是在构建网络时,需要对网络中的路由器设置相应的规则,会使配置管理比较复杂。因此,一般来讲,利用现有技术提供 IP QoS 时,为了实现规模适应性,在 IP 承载网络中往往采用 Diffserv 体系结构。所以,推荐网络系统的 QoS 服务模型采用Diffserv 体系结构。6.3 QoS技术
39、实现网络设备对转发报文进行 QoS 保障的处理,发生在报文从设备的一个接口进入,到从另一个接口出去的整个过程中。从技术上,这个过程按照处理顺序分为报文分类、拥塞管理、拥塞避免、流量监管与整形等部分。报文分类报文分类是 QoS 的基础,只有区分了不同的报文业务,才能进行分别处理及保障相应业务的服务质量。一般在网络边界,利用 ACL 等技术,根据物理接口、源地址、目的地址、MAC 地址、IP 协议或应用程序的端口号等依据对报文进行分类,并同时设置报文 IP 头的 TOS 字段作为报文的 IP 优先级;在网络的内部则可使用边缘设置好的IP 优先级作为分类的标准,以提高网络的处理效率。 拥塞管理网络资
40、源总是有限的,当网上业务流量超过网络提供的能力时,即发生了拥塞。在发生拥塞时,如何进行管理和控制呢?处理的方法是使用队列技术。在一个接口没有发生拥塞的时候,报文在到达接口后立即就被发送出去;在报文到达的速度超过接口发送报文的速度时,接口就发生了拥塞。拥塞管理就会将这些报文进行分类,送入不同的队列;而队列调度对不同优先级的报文进行分别处理,优先级高的报文会得到优先处理。不同的队列算法用来解决不同的问题,并产生不同的效果。常用的队列有FIFO、PQ、CQ、WFQ 等,下面简单介绍各种队列技术的特性。(1) 先进先出队列(FIFO)顾名思义,先进先出队列(简称 FIFO)不对报文进行分类,按报文到达
41、接口的先后顺序让报文进入队列,在队列的出口让报文按进队的顺序出队,先进的报文将先出队,后进的报文将后出队。(2) 优先队列(PQ)优先队列(简称 PQ)对报文进行分类,将所有报文依据预先配置分成最多 4类,按照先进先出的策略分别进入 4 个优先级不同的队列。在报文出队的时候,高优先级的队列相对于低优先级的队列具有绝对的优先权,只有高优先级队列报文发送完毕,较低优先级才得到发送,而且较低优先级的报文会在发生拥塞时被较高优先级的报文抢断。因此采用这种队列机制可以保证在网络发生拥塞的情况下,重要业务(高优先级)的数据传输得到绝对的优先传送。但在较高优先级的报文的速度总是大于接口的速度时,会使较低优先
42、级的报文始终得不到发送的机会。(3) 定制队列(CQ)定制队列(简称 CQ)根据设置将所有报文分成最多至 17 类,按照先进先出的策略分别进入 1 个系统队列和 16 个用户队列。在出队调度上,系统队列具有绝对的优先权,系统总是先处理完该队列后再用处理用户队列;16 个用户队列占用出口带宽的比例可以设置,CQ 按定义的比例使各队列之间在占用的接口带宽上满足管理员预先配置的比例关系。采用这种队列机制,当拥塞发生时,能保证不同业务根据比例获得相应的带宽占用,从而既保证关键业务能获得较多的带宽,又不至于使非关键业务得不到带宽,避免 PQ 的一些缺点。另外,没有拥塞时,各业务可以根据流量中业务的相对比
43、例充分使用接口带宽,提高资源利用率。(4) 加权公平队列(WFQ)加权公平队列(简称 WFQ)对报文按流进行分类(相同源 IP 地址,目的 IP 地址,源端口号,目的端口号,协议号,TOS 相同的报文属于同一个流) ,每一个流被分配到一个队列。在出队发送的时候,WFQ 根据报文分类时设置的流的优先级(precedence)来分配每个流应占有出口的带宽。优先级的数值越小,所得的带宽越少。优先级的数值越大,所得的带宽越多。在拥塞发生时,它能保证任何流量的流(业务) ,都能公平地得到一定的带宽占用,减少这个网络的时延,并当流(业务个数)的数目减少时,能自动增加现存流可占的带宽。拥塞避免由于网络资源有
44、限,当拥塞发生时,按照传统的队列尾丢弃处理方式。对于 TCP报文,会引发 TCP 的慢启动和拥塞避免机制,使 TCP 减少报文的发送。当同时丢弃多个 TCP 连接的报文时,将造成多个 TCP 连接同时进入慢启动和拥塞避免,称之为 TCP全局同步。这使得发向网络的报文流量总是忽大忽小,线路上的流量总在极少和饱满之间波动,造成网络利用率降低。为了避免这种拥塞情况的发生,可以采用随机早期检测(RED)或加权随机早期检测(WRED)的丢弃策略,可避免使多个 TCP 连接同时降低发送速度,避免 TCP 的全局同步现象。这样,无论什么时候,总有 TCP 连接在进行较快的发送,提高了线路带宽的利用率,降低拥
45、塞的发生。丢弃策略对网络中 TCP 方式的应用有比较好的效果,但对网络中 UDP 数据产生的拥塞则不会有很大的改善。(1)随机早期检测 RED(Random Early Detection)随机早期检测 RED 丢弃算法可以避免 TCP 全局同步现象,用户可以设定队列的低限和高限。 当队列的长度小于低限时,不丢弃报文; 当队列的长度在低限和高限之间时,开始随机丢弃数据包,WRED 队列的长度越长,丢弃的概率越高; 当队列的长度大于高限时,丢弃所有的数据包。(2)加权随机早期检测 WRED(Weighted Random Early Detection)WRED 试图通过在缓冲区拥塞之前随机进行
46、丢包来克服丢弃问题。WRED 根据平均队列长度来确定什么时候开始丢包。一旦队列中的分组数超过定义的队列上限,WRED 就开始在队列上限的范围内丢包。丢包对于网络流完全不另选择。因为分级在队列中随机丢弃,这就导致只有几个会话将重新启动。这向网络提供了一个排空队列的机会。因为剩余的会话继续流动,所以缓冲区可以清空并允许其它的 TCP会话有恢复的机会。流量监管和整形流量监管的作用是限制进入网络的某一连接流量与突发,在报文满足一定的条件下,如某个连接的报文流量过大,流量监管就可以选择丢弃报文,或重新设置报文的优先级。通常是使用 CAR 来限制某类报文的流量,如限制 FTP 报文不能占用超过 50%的网
47、络带宽。如果需要限制流出网络的某一连接流量报文,以比较均匀的速度向外发送,则使用流量整形。约定访问速率 CAR(Committed Access Rate)是一种带宽管理机制,利用令牌桶技术来实现带宽的分配和测量。网络管理员可以为不同的业务分配不同的带宽,定义业务占用的带宽超过分配额度时的处理策略,通过限制通过路由器某一端口的流量,很好地保证整个网络的 QoS。CAR 既可用于网络的入口也可用于网络的出口,可根据报文分类完成的结果区分不同的业务流。另外,它还可以对报文的 IP 优先级根据需要加以重新标记。6.4 QoS方案设计我们将对苏区光电政务网公司的局域网设计合理的 QoS 保障方案,利用
48、有限的资源,以获得更好的网络使用效益。业务的区分是进行 QoS 保障的基础。网络中的业务有多种分类法,根据对时间的敏感度,可分为实时业务与非实时业务;根据对数据传送的要求,又可分为可靠业务与不可靠业务,等等。如 IP 电话既是实时业务,也是不可靠业务;E-mail 是非实时业务,但又是可靠传送业务。在采用区分服务(DiffServ)技术进行 QoS 控制时,需按优先级由高到低,对应用系统进行 QoS 控制分类,并对不同优先级的应用类别设计相应的带宽。根据上面分析得到的这些不同类型数据的特点,通过综合采用 TCP 速率整型、分级序列、公平共享带宽算法、数据包大小优化、拥塞丢弃与控制等 DiffS
49、erv 技术来保证端到端的 QoS 管理和控制。在路由器上进行多个优先级划分,当相关应用的 IP 数据包到达路由器时,路由器根据预先设置好的优先级划分对应用进行分类(Class)标记,并且根据在路由器中设置的分类的优先级进行排队。当网络中只有一种应用数据传输的情况下,该应用可以使用全部的网络带宽;当网络中有多种应用数据传输时,优先级高的应用类别将优先获得其预先指定的带宽,优先级低的应用类别将在剩余的网络带宽中获取其预先指定的带宽。网上业务量发生拥塞时,采用 PQ、CQ、WFQ、CBWFQ 等队列技术,正确地分配和使用资源,减小网络拥塞对网络服务质量的影响,使各高带宽流量公平分享剩余带宽,实现对流量较多和较少的网络用户提供一致的响应时间,且不增加带宽。在工程实施前,我们将根据实际网络结构、线路类型及带宽、设备类型进行设备配置及 QoS 实现细节的详细设计。7 设备参数:
