《某小区网络方案.docx》由会员分享,可在线阅读,更多相关《某小区网络方案.docx(19页珍藏版)》请在三一办公上搜索。
1、目&录总体方案设计11.需求分析11.1 网络概况:11.2 网络需求22 网络的设计思路33 网络产品选型标准44 网络方案设计54.1 网络拓扑图54.2 网络方案概述54.3 网络解决方案的特点:75 设备配置清单86 服务质量保证(QoS)设计86.1采用QoS的必要性86.2 QoS服务模型106.3 QoS技术实现126.4 QoS方案设计157 设备参数:16总体方案设计1.需求分析1.1 网络概况:随着网络、数据库及与之相关的应用技术不断发展,尤其国际互联网(Internet)和内部网(Intranet)技术的广泛应用,世界正在迈入网络中心计算(Network Centric
2、Computing)时代。能源行业也从传统的物质资料运动发展为利用信息技术为消费者提供低成本的服务。能源信息化的定义是:利用信息技术整合企业内部的业务流程,使企业向着规模经营、网络化运作的方向发展。能源信息化是能源企业相互融合的重要手段。能源行业正以信息技术为手段,向综合性能源企业发展,积极发展第三方能源,实现能源的社会化、专业化、规模化,大幅度提升能源产业的优势。所以,积极整合能源资源,实现能源系统战略性功能重组,完善综合性运输体系,构建促进高新技术产业带发展的现代能源支撑系统;和构筑能源信息平台,构筑现代化全程电子能源网络,成为当今能源行业信息化的首要任务。1.2 网络需求1.2.1 网络
3、平台子系统要求:1、具有高速、安全、可靠、简便管理的网络平台,作为能源信息化数据业务及其它业务的统一承载和传输平台。2、具有高性能、高速度的网络服务器系统,让客户机有高速的查询浏览速度。3、具有能够与INTERNET相连接的WEB服务器,使用户能够通过INTERNET查询、检索相关信息。4、具有高性能的数据服务器以存储大量的客户信息、沟通资料。1.2.2 数据业务需求:1用户资源采集及加工、存储:主要对所服务的广大用户进行采集、数字化加工、海量存储。其中涉及到文字、图表、静态图像等的传输和交换。2信息查询:包括本地、异地通过网络高速信息查询。3信息跟踪:实现货物的实时全程跟踪。1.2.3 网络
4、安全需求随着网络的发展,基于网络的应用日渐增多,网络用户的增多,网络病毒的泛滥,网络的安全性和可靠性成为了系统建设的主要问题。我们可以运用多种技术,如VLAN、QOS、防病毒体系等,对各个部门访问进行控制,各单位之间在未授权的情况下不能互相访问,保证系统内部的安全。l 物理安全需求针对重要信息可能通过电磁辐射或很不错线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对重要的设备进行冗余配置;对重要系统进行备份等安全保护。l VLAN设置需求各子网的分布区域广,网络用户多,因此如何对内部用户进行访问控制和安全防范就显得特别重要。为了保
5、障内部网络运行的可靠性和安全性,必须要对它进行详尽的设计,尽可能防护到网络的每一节点。l 安全管理体制安全系统只能提供技术手段和措施,但人为的因素不可忽略,只有确立健全的安全管理体制,设立相应的安全管理岗位,从制度上加以严格管理。1.2.4 网络管理需求此次建设的xxxx公司网络系统必须为其配置功能强大的管理系统,该系统应具有以下功能:l 虚拟网管理、分配。l 对所有网络设备端口的监视和管理l 对网络流量的监测和管理l 对所有网络设备的远程管理和控制,包括网络端口设备的开放和关闭l 整个网络的故障监测,故障自动报警功能l 整个网络性能的统计和分析报告2 网络的设计思路实现下述三种主要功能:1a
6、a公司及分支机构网络分为:aa老区、aa新区、aa工程中心、宝 钛工业园。采用单模光缆环网作为网络主干,要求安全可靠,并可实现主干冗余、 链路容错等功能。要求端口到桌面交换速率达到 10/100/1000M 自适应,满足办公及客户对网 络带宽的需求。系统各层网络之间良好互联;主交换机与主机服务器之间良好互联。 具有良好便捷网络管理平台。网管系统是开放式网管平台,并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、 多厂家产品管理、MIB 管理、效率管理和图形化管理,支持 SNMP、RMON 等 管理。网络骨干设备具有较高的可靠性;核心设备支持热插拔,具有容错设计
7、。 网络设备具有较好的扩展性,系统能够平滑升级及扩充。支持虚拟网络(VLAN) 技术及多种形式的划分,如基于端口、基于 IP 地址、基于硬件地址。2aa工程中心、aa工业园的内网、外网分别由核心层、接入层、接入设备和安全设备、服务器集群组成。主干两层式设计有利于保证其性能和减少传输延迟、核心层设备为一台运营级高性能多层交换机。接入层设备为多组环形堆叠的交换机,每组交换机通过千兆光口与核心层交换机连接,对下漆工10/100/1000M自适应双绞线接入。另外,核心交换机通过防火墙实现外网的连接,通过核心交换机3层的功能实现内部网的互连。按千兆骨干互连、百兆到桌面的方案建设。中心通过千兆电接口和接入
8、层交换机相连。接入层交换机和桌面之间使用五类双绞线相连。3Internet的接入、内网的安全性需求本设计方案以高效性和快速性为基础,网络的骨干链路使用千兆连接,核心交换机采用华为-3COM的核心交换机连接接入层交换机。3 网络产品选型标准硬件平台是整个工程的物理基础,设备选型是一个重要而关键的问题,根据以下原则选择设备供应厂商:(A)设备的技术先进性,这是选型的首要考虑因素;(B)性能价格比,设备的性能价格比是选型的重要考虑因素;(C)设备对未来新技术的适应能力,反映设备的可扩展性,这是保护用户投资的一种策略;(D)设备的技术性能指标;(E)设备使用的方便程度,这体现设备的可维护性;(F)设备
9、在大型网络中的应用情况,它反映设备的适应性和可靠性;(G)网络管理系统的集成性、开放性和功能,它反映网络管理系统是否能对网络做全面深入的管理,以及它对异构网络的适应能力;(H)设备的标准化程度和可扩充性,反映对网络规模扩展的适应能力;(I)差错的检测与隔离能力,这是网络可靠性的重要保证;(J)设备的售后服务。4 网络方案设计4.1 网络拓扑图4.2 网络方案概述基于对能源信息化业务需求的深入理解,结合自身产品和技术特点,我们提出了以科技为导向、以计算机网络为依托、以信息技术为手段的能源信息化网络解决方案。本解决方案网络分为4个节点分别是aa老区、aa新区、aa工程中心、aa工业园,其中aa工程
10、中心、aa工业园的网络分为三个层次,核心层和汇聚层和接入层。核心设备的任务是整个业务网络的整体交换,核心设备的好与坏直接关系到网络的业务能力,因此在选择核心设备的时候,既要考虑设备的性能有要考虑其经济的因素。综合以上因素,aa工程中心总共有1320个信息点,所以核心层应选用具有电信级可靠性、大容量的H3C S7506R万兆核心路由交换机。S7506R为插槽式机箱设计,共8个槽位,2个引擎槽位,6个业务槽位,支持电源和引擎的冗余,背板带宽高达1.2Tbps,交换容量为768Gbps,包转发率为432Mpps,最大支持576个千兆端口,支持全光口模块,方便实施远程千兆汇聚;提供全线速的二三四层交换
11、及第四层业务服务,可作为网络的核心交换、业务控制和冗余控制平台,提供电信级冗余可靠特性,是理想的核心交换平台。我们在核心S7506R上配置2块电源和2块主控板,为核心设备提供电源和引擎的冗余,再配置1块20口的10/100/1000M以太网电口模块和用1块20端口的千兆SFP光口业务板。千兆电口业务板用于连接核心机房的服务器群(包括1台邮件WEB服务器,2台数据服务器,1台远程访问服务器)、千兆光口业务板配置16千兆多模SFP模块,用于连接其它办公区的接入层交换机。另外在配置一块2端口万兆接口板,保证跟另外3个节点具有万兆链路。aa工业园、aa新区、aa老区的信息点相对少一些,大概在500个以
12、内,因此我们选用H3C S5600系列交换机。H3C S5600系列全千兆智能弹性交换机是H3C公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用H3C公司创新的IRF(Intelligent Resilient Framework,智能弹性架构)技术,支持高达96G的堆叠带宽和高密度千兆端口,支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。S5600-26C和S5600-26F分别具有24个10/100/1000Base-T以太网端口4个复用的1000Base-X千兆SFP 端口和2
13、4个1000Base-X千兆SFP端口4个10/100/1000Base-T 以太网端口,所有端口支持线速转发。交换容量为192Gbit/s,包转发率66Mpps汇聚层设备位于网络的中层,主要为用户提供网络接入服务,要求运行稳定,可扩展。因此接入层设备选用H3C S5500-EI系列。H3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口,可以满足用户今后5年的带宽需求;支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;除此以外,其出色
14、的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择可以满足用户以太网宽带接入需要。S5500-28C-EI具有24个10/100/1000Base-T以太网端口和4个复用的1000Base-X千兆SFP端口,交换容量为192Gbps,包转发率为95.2Mpps网络技术越来越普及,网络攻击行为出现得越来越频繁。通过各种攻击软件,只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻击的危险。因此我们在内网核心交换机和外网路由器之间架设一台H3C的Secpath F1000-A防火墙,为内网用户提供网络
15、安全服务。H3C SecPath F1000系列防火墙包括SecPath F1000-C/SecPath F1000-S/SecPath F1000-A/SecPath F1000-E等四款产品,支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN
16、、IPSec VPN、动态VPN等;支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。入侵防御产品选用的H3C SecPath T1000-S。H3C SecPath T1000-S入侵防御系统(Intrusion Prevention System,IPS)是H3C公司开发的业界领先的IPS产品。H3C IPS能精确实时地识别、阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,还具有实用的带宽管理和URL过滤功能,可为用户网络提供最全面的深度防御。Se
17、cPathT1000-S采用H3C公司自主知识产权的FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度;同时,FIRST引擎采用了并行检测技术,软、硬件可灵活适配,大大提高了入侵检测的效率。随着网络规模的不断扩大,通过传统的远程登陆对设备进行管理显得捉襟见肘,效率慢,工作量大,对网络故障无法报警,影响了网络了可靠性。所以我们为用户网络购置一套H3C IMC智能管理中心。H3C开放智能管理中枢(H3C Intelligent Manage
18、ment Center,以下简称H3C iMC),作为H3C IToIP整体解决方案的重要组成部分,H3C iMC采用面向服务架构(SOA)的设计思想,融合并统一管理业务、资源和用户这三大IT组成要素,通过按需装配功能组件与相应的硬件设备配合,形成直接面向客户应用需求的一系列整体解决方案,从而成为H3C IToIP整体解决方案的开放智能管理中枢。4.3 网络解决方案的特点:高性能,全线速交换,千兆主干:1000M连接高流量服务器,骨干连接采用GE线路,提供10/100M连接桌面。高性能设备全线速核心三层交换;高端路由器专注于处理广域网流量,采用光缆支持长距离,可与分部连接。 高扩展能力:模块化
19、的设计提供更多可扩展插槽,具有强大、灵活的扩展空间,支持低成本的千兆连接。核心采用更高端模块化交换机,具有更强的扩充能力,更高的性能。配线间采用模块化交换机或通过千兆堆叠扩充用户数,高端的路由器,超强的处理能力和扩充能力。灵活,高效,可靠的广域网连接:支持多种广域网连接:DDN,FR,ISDN,SDH,ATM。支持数据,语音,视频多业务集成。卓越的多媒体应用系统,可提供VOD点播等视讯服务。有线无线一体化:提供LAN、WLAN等接入方式进行网络互联,实现无线会议室等多种形式的办公业务。严格的QOS保证:通过Diffserv与端口限速功能,实现基于业务的QoS保证,防止网络受流量攻击导致瘫痪。提
20、供多种规则组合条件下的流映射和分类、流量监管(CAR)、拥塞控制方法(RED、WRED、SA-RED)、队列调度和输出流整形等功能。CAR的范围和精度:平均流量范围(上行和下行) 128K50M ,流量控制粒度128Kbps; 峰值流量范围(上行和下行)128K50M,流量控制粒度128Kbps。网络管理方便:综合高效的网管平台,可管理多家厂商的IP产品,实现从网络级到设备级全方位的网络管理,使网络性能得到淋漓尽致的发挥。大大降低用户管理成本,节约维护费用,支持认证、计费等功能。5 设备配置清单序号设备名称品牌型号数量单位单价小计1核心交换机H3C LS-7506R-AC-XGH3CH3C S
21、7506R以太网交换机交流主机-POE(含机箱,双电源,软件,资料)1台54600546002LS8M1AC220PWRH3CH3C S7500-交流电源模块1个450045003LS8M2SRPGHH3CH3C S7500-交换路由模块-Salience III 768G2个49500990004LS8M1GP20AHH3CH3C S7500-20端口千兆以太网光接口业务板A-(SFP,LC)1个20500205005LS8M1GT20AHH3CH3C S7500-20端口千兆以太网电接口业务板A-(RJ45)1个22550225506LS8M1TGX2H-XGH3CH3C S7500-2端
22、口万兆以太网接口模块(XFP,LC)-XG1个66100661007XFP-LX-SM1310H3C光模块-XFP-10G-单模模块-(1310nm,10km,LC)2个21600432008SFP-GE-LX-SM1310-AH3C光模块-SFP-GE-单模模块-(1310nm,10km,LC)16个3200512009核心交换机LS-S5600-26CH3C宝钛老区、新区各1套核心交换机H3C LS-S5600 ;H3C S5600-26C以太网交换机,24个10/100/1000Base-T,4个combo SFP,自带两个堆叠口,1个模块插槽2台293005860010LSHM1XP2
23、P3H3CH3C S5600功能模块-2端口万兆XFP光接口以太网模块4个2690010760011XFP-LX-SM1310H3C光模块-XFP-10G-单模模块-(1310nm,10km,LC)4个216008640012核心交换机(宝钛工业区)LS-S5600-26FH3CH3C S5600-26F以太网交换机,24 GE SFP,4个combo 10/100/10001000Base-T,自带两个堆叠口,1个模块插槽1台438504385013LSHM1XP2P3H3CH3C S5600功能模块-2端口万兆XFP光接口以太网模块2个269005380014XFP-LX-SM1310H3
24、C光模块-XFP-10G-单模模块-(1310nm,10km,LC)2个216004320015SFP-GE-LX-SM1310-AH3C光模块-SFP-GE-单模模块-(1310nm,10km,LC)17个32005440016汇聚交换机、服务器交换机LS-5500-28C-EIH3CH3C S5500-28C-EI-以太网交换机主机(24个10/100/1000Base-T+4个100/1000Base-X SFP Combo+2Slots)36台2160077760017SFP-GE-LX-SM1310-AH3C光模块-SFP-GE-单模模块-(1310nm,10km,LC)33个320
25、010560018SFP-GE-SX-MM850-AH3C光模块-SFP-GE-多模模块-(850nm,0.55km,LC)36个18506660019接入层交换机、外网24口交换机LS-5100-24P-SI-H3H3CH3C S5100-24P-SI 以太网交换机主机,24个10/100/1000Base-T,4个combo SFP52台980050960020SFP-GE-SX-MM850-AH3C光模块-SFP-GE-多模模块-(850nm,0.55km,LC)52个18509620021网管软件SWP-IMC-IMPW-CNH3C功能模块-H3C iMC-SW7M1IMPW-智能管理
26、平台(含50节点) For Windows-纯软件(CD)中文版1套453004530022LIS-IMC-IMPA-CN-50H3CLicense授权函-H3C iMC-SW7M1IMPA-智能管理平台license费用-管理50节点1套236002360023防火墙NS-SecPath F1000-A-ACH3CH3C SecPath F1000-A 主机-双交流电源(2GE/1Slot)1台972009720024入侵防御系统NS-SecPath T1000-SH3CH3C SecPath T1000-S-IPS主机(4GE电口+2SLOT)-含一年特征库升级,一年病毒库升级1台3564
27、0035640028876006 服务质量保证(QoS)设计6.1采用QoS的必要性在综合业务网络系统中,存在着各种应用,多种不同类型的数据流,比如WWW、FTP、语音视频等。每一种应用都有各自的特点,包括应用对传输时间的要求、应用数据的重要程度及优先级等因素。这些应用数据流的混合传输,使得关键业务应用经常得不到足够的带宽,音视频应用也产生延时等。面对这样的问题,可以采取很多方法:l 用户分级:限制一些需要访问占用大量带宽的网络应用的用户。l 升级网络带宽:对网络进行升级,在网络边缘增加更多带宽。l 建设智能骨干网:在骨干设备中添加QoS功能。(1) 用户分级实行用户分级别管理,不同级别用户有
28、不同的操作权限,提高系统安全性。这可能是最常见的一种解决问题的方法,运用规章制度来管理网络的使用。虽然对带宽管理有一定效果,但是并不能有效的控制不同应用数据流对网络系统的要求。(2) 升级网络带宽很明显,升级网络带宽首先是费用问题。这需要在边缘增加带宽,还对骨干网路由器的性能也提出了较高的要求。其次,即使投资费用不是问题,增加网络带宽也解决不了实质问题,因为TCP/IP数据流的本性就是尽可能地利用并消耗更大的带宽。所以靠增加额外的带宽并不能有效缓解IP与非IP流间利用带宽的平衡、关键任务与非关键任务间利用带宽的平衡。(3) 建设智能骨干网解决数据流拥塞问题的根本方法还是依赖于服务质量(Qual
29、ity of Service,即QoS)。QoS的意义在于可以将不同的数据流类型划分成不同的优先级,据它们优先级的不同在网络层进行流量控制和资源分配,为有不同服务需求的业务提供有区别的服务,正确地分配和使用资源。在进行资源分配和流量控制的过程中,尽可能地控制好那些可能引发网络拥塞的直接或间接因素,减少拥塞发生的概率;并在拥塞发生时,依据业务的性质及其需求特性权衡资源的分配,将拥塞对QoS 的影响减到最小。因此,QoS带宽管理方案具有优越的成本效益比。网络上的一些应用如FTP和Web等TCP/IP数据流经常在自然状态下突然超出传输极限,并在某些至关重要的时刻占据整个网络带宽容量并导致数据拥塞。因
30、此,需要对此类的数据加强传输策略控制,并为重要应用预留带宽。专用的QoS解决方案可以通过向各种数据传输类型提供优先权设置的方法,实现最适宜的带宽调度,并确保某些关键应用在最需要带宽保障的时候能够如愿以偿。我们认为应该针对网络系统中不同的业务应用综合使用QoS技术。这样才能充分利用网络资源,提供对网络系统中各种类型应用的良好支持,确保网络平台对关键业务应用能够发挥最大的效能,满足业务应用的需求。6.2 QoS服务模型服务质量(QoS)是一个术语,用来定义网络给不同形式的流量提供不同级别的服务保障的能力,它的目标是提供有效的端到端的服务质量控制或保证。传统的IP传输业务称为“尽力而为”型服务(Be
31、st-Effort service),是最简单的服务模型,不需要QoS控制也不提供QoS保证。传统的信息传输控制一般不依赖于网络状态,带宽分配可以动态的改变。应用程序可以在任何时候,发出任意数量的报文,而且不需要事先获得批准,也不需要通告网络。网络则尽最大的可能性来发送报文,但对时延、可靠性等不提供任何保证。某些应用能在这种模式下正常运行,例如 FTP和HTTP等。但是,对于一些对网络延迟、带宽波动和其他网络条件变化敏感的应用来说,如视频会议、视频点播、IP电话、远程教育等多媒体应用,这不是一个最佳的服务模型。例如,网络电话应用可能需要稳定的带宽数量,这样它才能正常地工作,对这些应用提供“尽力
32、而为”型服务会导致电话呼叫失败或在通话时中断。为了满足多媒体应用实时传输的需求,IETF提出了两种不同的QoS体系结构:综合服务(Integrated service,Intserv)和区分服务(Differentiated service,Diffserv)。综合服务:综合服务的基本思想是在传送数据之前,根据业务的QoS需求进行网络资源预留,从而为该数据流提供端到端的QoS保证。资源预留协议RSVP是综合服务的核心,是一种信令协议,用来通知网络节点预留资源。如果资源预留失败,RSVP协议会向主机发回拒绝消息。综合服务模型在发送报文前,需要通过信令(signal)向网络进行特定服务的申请。应用
33、程序首先通知网络它自己的流量参数和需要的特定服务质量请求,包括带宽、时延等,在收到网络的确认信息后(即网络已经为这个应用程序的报文预留了资源)再发送报文,而发出的报文应该控制在流量参数描述的范围内。网络在收到应用程序的资源请求后,执行资源分配检查(Admission control),即基于应用程序的资源申请和网络现有的资源情况,判断是否为应用程序分配资源。一旦网络确认为应用程序的报文分配了资源,则只要应用程序的报文控制在流量参数描述的范围内,网络将承诺满足应用程序的QoS需求。而网络将为每个流(flow,由两端的IP地址、端口号、协议号确定)维护一个状态,并基于这个状态执行报文的分类、流量监
34、管(policing)、排队及其调度,来满足对应用程序的承诺,具有面向连接的特性。综合服务能够在IP网上提供端到端的QoS保证。但是,综合服务对网络设备的要求很高,当网络中的数据流数量很大时,路由器的存储和处理能力会遇到很大的压力。因此,综合服务可扩展性比较差,难以在大型核心网络实施,目前综合服务可以应用在网络的边缘上。区分服务:区分服务的基本思想是将用户的数据流按照服务质量要求来划分等级,任何用户的数据流都可以自由进入网络,但是当网络出现拥塞时,级别高的数据流在排队和占用资源时比级别低的数据流有更高的优先权。区分服只承诺相对的服务质量,而不对任何用户承诺具体的服务质量指标。区别服务模型可以满
35、足不同的QoS需求。与Intserv不同,它不需要信令,即应用程序在发出报文前,不需要通知路由器。网络不需要为每个流维护状态,它根据每个报文指定的QoS,来提供特定的服务。可以用不同的方法来指定报文的QoS,如IP包的优先级位(IP Precedence)、报文的源地址和目的地址等。网络根据这些信息来进行报文的分类、流量整形、流量监管和排队。通常在配置Diffserv时,在网络边界的路由器通过报文的源地址和目的地址等对报文进行分类,对不同的报文设置不同的IP优先级,而其他路由器只需要用IP优先级来进行报文的分类。区分服务只包含有限数量的业务级别,状态信息的数量少,因此实现简单,扩展性较好。目前
36、,区分服务是业界认同的IP骨干网的QoS解决方案。服务模型选择:Intserv与Diffserv都能提供多服务的QoS保障。从技术上看,Intserv具有面向连接的特性及思想,这与IP技术本身无连接特性是不符合的,容易导致网络的复杂化;从实现看,Intserv需要网络对每个流均维持一个软状态,因此会导致设备性能的下降,或实现相同的功能需要更高性能的设备,另外,还需要全网设备都能提供一致的技术才能实现QoS。而Diffserv则没有这方面的缺陷,且处理效率高,部署及实施可以分布进行,它只是在构建网络时,需要对网络中的路由器设置相应的规则,会使配置管理比较复杂。因此,一般来讲,利用现有技术提供IP
37、 QoS时,为了实现规模适应性,在IP承载网络中往往采用Diffserv体系结构。所以,推荐网络系统的QoS服务模型采用Diffserv体系结构。6.3 QoS技术实现网络设备对转发报文进行QoS保障的处理,发生在报文从设备的一个接口进入,到从另一个接口出去的整个过程中。从技术上,这个过程按照处理顺序分为报文分类、拥塞管理、拥塞避免、流量监管与整形等部分。报文分类报文分类是QoS的基础,只有区分了不同的报文业务,才能进行分别处理及保障相应业务的服务质量。一般在网络边界,利用ACL等技术,根据物理接口、源地址、目的地址、MAC地址、IP协议或应用程序的端口号等依据对报文进行分类,并同时设置报文I
38、P头的TOS字段作为报文的IP优先级;在网络的内部则可使用边缘设置好的IP优先级作为分类的标准,以提高网络的处理效率。 拥塞管理网络资源总是有限的,当网上业务流量超过网络提供的能力时,即发生了拥塞。在发生拥塞时,如何进行管理和控制呢?处理的方法是使用队列技术。在一个接口没有发生拥塞的时候,报文在到达接口后立即就被发送出去;在报文到达的速度超过接口发送报文的速度时,接口就发生了拥塞。拥塞管理就会将这些报文进行分类,送入不同的队列;而队列调度对不同优先级的报文进行分别处理,优先级高的报文会得到优先处理。不同的队列算法用来解决不同的问题,并产生不同的效果。常用的队列有FIFO、PQ、CQ、WFQ等,
39、下面简单介绍各种队列技术的特性。(1) 先进先出队列(FIFO)顾名思义,先进先出队列(简称FIFO)不对报文进行分类,按报文到达接口的先后顺序让报文进入队列,在队列的出口让报文按进队的顺序出队,先进的报文将先出队,后进的报文将后出队。(2) 优先队列(PQ)优先队列(简称PQ)对报文进行分类,将所有报文依据预先配置分成最多4类,按照先进先出的策略分别进入4个优先级不同的队列。在报文出队的时候,高优先级的队列相对于低优先级的队列具有绝对的优先权,只有高优先级队列报文发送完毕,较低优先级才得到发送,而且较低优先级的报文会在发生拥塞时被较高优先级的报文抢断。因此采用这种队列机制可以保证在网络发生拥
40、塞的情况下,重要业务(高优先级)的数据传输得到绝对的优先传送。但在较高优先级的报文的速度总是大于接口的速度时,会使较低优先级的报文始终得不到发送的机会。(3) 定制队列(CQ)定制队列(简称CQ)根据设置将所有报文分成最多至17类,按照先进先出的策略分别进入1个系统队列和16个用户队列。在出队调度上,系统队列具有绝对的优先权,系统总是先处理完该队列后再用处理用户队列;16个用户队列占用出口带宽的比例可以设置,CQ按定义的比例使各队列之间在占用的接口带宽上满足管理员预先配置的比例关系。采用这种队列机制,当拥塞发生时,能保证不同业务根据比例获得相应的带宽占用,从而既保证关键业务能获得较多的带宽,又
41、不至于使非关键业务得不到带宽,避免PQ的一些缺点。另外,没有拥塞时,各业务可以根据流量中业务的相对比例充分使用接口带宽,提高资源利用率。(4) 加权公平队列(WFQ)加权公平队列(简称WFQ)对报文按流进行分类(相同源IP地址,目的IP地址,源端口号,目的端口号,协议号,TOS相同的报文属于同一个流),每一个流被分配到一个队列。在出队发送的时候,WFQ根据报文分类时设置的流的优先级(precedence)来分配每个流应占有出口的带宽。优先级的数值越小,所得的带宽越少。优先级的数值越大,所得的带宽越多。在拥塞发生时,它能保证任何流量的流(业务),都能公平地得到一定的带宽占用,减少这个网络的时延,
42、并当流(业务个数)的数目减少时,能自动增加现存流可占的带宽。拥塞避免由于网络资源有限,当拥塞发生时,按照传统的队列尾丢弃处理方式。对于TCP报文,会引发TCP的慢启动和拥塞避免机制,使TCP减少报文的发送。当同时丢弃多个TCP连接的报文时,将造成多个TCP连接同时进入慢启动和拥塞避免,称之为TCP全局同步。这使得发向网络的报文流量总是忽大忽小,线路上的流量总在极少和饱满之间波动,造成网络利用率降低。为了避免这种拥塞情况的发生,可以采用随机早期检测(RED)或加权随机早期检测(WRED)的丢弃策略,可避免使多个TCP连接同时降低发送速度,避免TCP的全局同步现象。这样,无论什么时候,总有TCP连
43、接在进行较快的发送,提高了线路带宽的利用率,降低拥塞的发生。丢弃策略对网络中TCP方式的应用有比较好的效果,但对网络中UDP数据产生的拥塞则不会有很大的改善。(1) 随机早期检测RED(Random Early Detection)随机早期检测RED丢弃算法可以避免TCP全局同步现象,用户可以设定队列的低限和高限。 l 当队列的长度小于低限时,不丢弃报文;l 当队列的长度在低限和高限之间时,开始随机丢弃数据包,WRED队列的长度越长,丢弃的概率越高;l 当队列的长度大于高限时,丢弃所有的数据包。(2) 加权随机早期检测WRED(Weighted Random Early Detection)W
44、RED试图通过在缓冲区拥塞之前随机进行丢包来克服丢弃问题。WRED根据平均队列长度来确定什么时候开始丢包。一旦队列中的分组数超过定义的队列上限,WRED就开始在队列上限的范围内丢包。丢包对于网络流完全不另选择。因为分级在队列中随机丢弃,这就导致只有几个会话将重新启动。这向网络提供了一个排空队列的机会。因为剩余的会话继续流动,所以缓冲区可以清空并允许其它的TCP会话有恢复的机会。流量监管和整形流量监管的作用是限制进入网络的某一连接流量与突发,在报文满足一定的条件下,如某个连接的报文流量过大,流量监管就可以选择丢弃报文,或重新设置报文的优先级。通常是使用CAR来限制某类报文的流量,如限制FTP报文
45、不能占用超过50%的网络带宽。如果需要限制流出网络的某一连接流量报文,以比较均匀的速度向外发送,则使用流量整形。约定访问速率CAR(Committed Access Rate)是一种带宽管理机制,利用令牌桶技术来实现带宽的分配和测量。网络管理员可以为不同的业务分配不同的带宽,定义业务占用的带宽超过分配额度时的处理策略,通过限制通过路由器某一端口的流量,很好地保证整个网络的QoS。CAR既可用于网络的入口也可用于网络的出口,可根据报文分类完成的结果区分不同的业务流。另外,它还可以对报文的IP优先级根据需要加以重新标记。6.4 QoS方案设计我们将对苏区光电政务网公司的局域网设计合理的QoS保障方
46、案,利用有限的资源,以获得更好的网络使用效益。业务的区分是进行QoS保障的基础。网络中的业务有多种分类法,根据对时间的敏感度,可分为实时业务与非实时业务;根据对数据传送的要求,又可分为可靠业务与不可靠业务,等等。如IP电话既是实时业务,也是不可靠业务;E-mail是非实时业务,但又是可靠传送业务。在采用区分服务(DiffServ)技术进行QoS控制时,需按优先级由高到低,对应用系统进行QoS控制分类,并对不同优先级的应用类别设计相应的带宽。根据上面分析得到的这些不同类型数据的特点,通过综合采用TCP速率整型、分级序列、公平共享带宽算法、数据包大小优化、拥塞丢弃与控制等DiffServ技术来保证
47、端到端的QoS管理和控制。在路由器上进行多个优先级划分,当相关应用的IP数据包到达路由器时,路由器根据预先设置好的优先级划分对应用进行分类(Class)标记,并且根据在路由器中设置的分类的优先级进行排队。当网络中只有一种应用数据传输的情况下,该应用可以使用全部的网络带宽;当网络中有多种应用数据传输时,优先级高的应用类别将优先获得其预先指定的带宽,优先级低的应用类别将在剩余的网络带宽中获取其预先指定的带宽。网上业务量发生拥塞时,采用PQ、CQ、WFQ、CBWFQ等队列技术,正确地分配和使用资源,减小网络拥塞对网络服务质量的影响,使各高带宽流量公平分享剩余带宽,实现对流量较多和较少的网络用户提供一致的响应时间,且不增加带宽。在工程实施前,我们将根据实际网络结构、线路类型及带宽、设备类型进行设备配置及Qo
