IP QoS對(duì)企業(yè)網(wǎng)的優(yōu)化

1、IP QoS (服務(wù)質(zhì)量)對(duì)企業(yè)網(wǎng)的優(yōu)化一、IP QoS (服務(wù)質(zhì)量)概述目前的Internet僅提供盡力而為(best-effort service)的傳送服務(wù)，業(yè)務(wù)量盡快 傳送，沒有明確的時(shí)間和可靠性保障。隨著網(wǎng)絡(luò)多媒體技術(shù)的飛速發(fā)展，Internet 上的多媒體應(yīng)用層出不窮，Internet已逐步從單一的數(shù)據(jù)傳送網(wǎng)向數(shù)據(jù)、語(yǔ)音、 圖像等多媒體信息的綜合傳輸網(wǎng)演化。這些不同的應(yīng)用需要有不同的Qos (服務(wù) 質(zhì)量)要求，Qos通常用帶寬、時(shí)延、時(shí)延抖動(dòng)和分組丟失率來衡量，它可分為 兩個(gè)模型:綜合服務(wù)模型(Integrated Services model)、區(qū)分服務(wù)模型(Differenti

2、ated Services model)。綜合服務(wù)模型(Integrated Services model)：針對(duì)特定的應(yīng)用以信令的方式 預(yù)先建立一條通道，實(shí)現(xiàn)點(diǎn)到點(diǎn)的服務(wù)質(zhì)量保證。資源預(yù)留協(xié)議(RSVP)就是 根據(jù)QoS的需求以信令的方式在源點(diǎn)到目的地之間預(yù)先建立一條通道。從技術(shù) 角度講，綜合服務(wù)模型是一種行之有效的QoS保障方法。但是，由于其技術(shù)的 復(fù)雜性和擴(kuò)展的難度，在一定程度上制約了綜合服務(wù)模型在實(shí)際網(wǎng)絡(luò)中的應(yīng)用。區(qū)分服務(wù)模型(Differentiated Services model):由IETF提出，較之綜合服 務(wù)模型(Integrated Services model)，區(qū)分服務(wù)

3、模型大大簡(jiǎn)化了信令的工作，把重 點(diǎn)放在聚合數(shù)據(jù)流和每跳行為(per hop behavior)上。在網(wǎng)絡(luò)入口處根據(jù)服務(wù)要 求對(duì)業(yè)務(wù)進(jìn)行分類、流量控制，同時(shí)設(shè)置報(bào)文的DSCP域；在網(wǎng)絡(luò)中根據(jù)QoS 機(jī)制來區(qū)分每一類通信(依據(jù)分組的DSCP值)，并為之服務(wù)(包括資源分配、 隊(duì)列調(diào)度、分組丟棄策略等，統(tǒng)稱為PHB)，DiffServ域中的所有節(jié)點(diǎn)都將根據(jù) 分組的DSCP字段來遵守PHB。DiffServ通過將業(yè)務(wù)定義為有限的類，可以很好 地解決擴(kuò)展性的問題，同時(shí)，由于DiffServ很好地沿襲了 IP本身的技術(shù)理念。 相對(duì)而言，很容易在現(xiàn)有的IP網(wǎng)絡(luò)及產(chǎn)品中實(shí)現(xiàn)。因此，目前商用網(wǎng)絡(luò)中的QoS 實(shí)現(xiàn)總

4、體上基本都是基于DiffServ模型的。IP Qos是計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域的一個(gè)重要發(fā)展方向，不論是網(wǎng)絡(luò)運(yùn)營(yíng)商還是企業(yè) 用戶，合理部署IP Qos將對(duì)優(yōu)化網(wǎng)絡(luò)性能起到積極、深遠(yuǎn)的意義。對(duì)于企業(yè)用戶來說，制約企業(yè)信息化發(fā)展的因素很多，主要有資金、設(shè)備、技術(shù)、人員等。通過IP Qos技術(shù)豐富和加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的功能，增加系統(tǒng)應(yīng)用 附加值，提升網(wǎng)絡(luò)管理性能，將對(duì)企業(yè)的信息化建設(shè)起到推波助瀾的作用。如對(duì) 企業(yè)而言，廣域電信鏈路在整個(gè)IT開支中占有相當(dāng)比例，企業(yè)均希望在控制廣 域鏈路服務(wù)成本的同時(shí)利用該鏈路提供盡可能多的應(yīng)用服務(wù)。QoS技術(shù)為這一難 題提供了解決方案，通過IP Qos的設(shè)計(jì)，能夠用最小的帶寬滿足

5、客戶的服務(wù)需 求。二、IP QoS （服務(wù)質(zhì)量）對(duì)企業(yè)網(wǎng)業(yè)務(wù)應(yīng)用的優(yōu)化2.1 IP QoS的應(yīng)用基礎(chǔ)三網(wǎng)合一（語(yǔ)音、數(shù)據(jù)、視頻的融合）是企業(yè)網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)，在計(jì)算 機(jī)網(wǎng)絡(luò)中通過QoS設(shè)計(jì)，區(qū)分多媒體應(yīng)用、數(shù)據(jù)應(yīng)用對(duì)帶寬、延時(shí)、抖動(dòng)的不 同需求，從而提高網(wǎng)絡(luò)系統(tǒng)的利用率。實(shí)施QoS對(duì)網(wǎng)絡(luò)設(shè)備的資源消耗較大， 對(duì)CPU的處理能力有一定要求，需要足夠容量的Flash、Dram及相應(yīng)的軟件版 本，以思科設(shè)備為例，至少需要2600系列以上的設(shè)備、64M（Flash）/128M（Dram）、 12.0以上并具有QoS特征的IOS版本。實(shí)施QoS，并不是將QoS技術(shù)簡(jiǎn)單羅列， 而是對(duì)網(wǎng)絡(luò)應(yīng)用、設(shè)備性能、

6、路由協(xié)議等多方面進(jìn)行綜合考慮，通過QoS設(shè)計(jì) 優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)從而提升網(wǎng)絡(luò)系統(tǒng)的整體性能。在需要進(jìn)行QoS設(shè)計(jì)的思科路由設(shè)備上，均需要啟動(dòng)IP CEF，在三層交換 機(jī)上需啟mls qos。CEF（Cisco Express Forwarding）是適于IP信息包的非緩存交換 模式。以前，Cisco路由器的所有交換模式（除ProcessSwitching）都是基于緩存 器的。在基于緩存器的交換模式中，信息流的第一個(gè)信息包被送到處理級(jí)，在那 里，它的目的地址對(duì)照路由選擇表獲得轉(zhuǎn)發(fā)信息，然后建立一個(gè)帶有相應(yīng)的發(fā)送 信息的路由緩存條目，這樣，根據(jù)該路由緩存，同一個(gè)信息流后面的信息包就可 以得到快速地發(fā)送。

7、基于高速緩存的方案對(duì)于大多數(shù)網(wǎng)絡(luò)來說綽綽有余。然而， 當(dāng)今網(wǎng)絡(luò)業(yè)務(wù)的超大流量和不斷變化的業(yè)務(wù)混合有時(shí)達(dá)到了路由緩存的極限。在 這種情況下，路由器則要耗費(fèi)比重建路由緩存條目更多的CPU。有了 CEF后， 發(fā)送信息庫(kù)（FIB）代替了路由緩存條目，F(xiàn)IB是基于整個(gè)路由選擇表的，這樣 消除了路由緩存維護(hù)時(shí)的每一個(gè)信息流的花費(fèi)，此外，由于沒有緩存充滿和重建的問題，網(wǎng)絡(luò)性能因而不會(huì)受到業(yè)務(wù)混合的影響。2.2 IP QoS的設(shè)計(jì)視頻應(yīng)用普通用戶組語(yǔ)音應(yīng)用如上圖所示，這是一個(gè)典型的企業(yè)網(wǎng)絡(luò)應(yīng)用拓?fù)浣Y(jié)構(gòu)圖，站點(diǎn)A為企業(yè)總 部，站點(diǎn)B、C為分支機(jī)構(gòu)，三個(gè)站點(diǎn)通過幀中繼網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)，同時(shí)三個(gè)站點(diǎn) 均通過站點(diǎn)A訪問I

8、nternet。在這里，涉及的應(yīng)用有語(yǔ)音、視頻、數(shù)據(jù)，其中數(shù) 據(jù)應(yīng)用又分為高優(yōu)先組、普通用戶組。在設(shè)計(jì)QoS之前，首先要對(duì)路由協(xié)議進(jìn) 行規(guī)劃，以排除無規(guī)則路由和環(huán)路路由，其次對(duì)廣域鏈路需作定期跟蹤和檢測(cè)， 以排除線路故障對(duì)網(wǎng)絡(luò)系統(tǒng)造成的影響。2.2.1對(duì)企業(yè)網(wǎng)數(shù)據(jù)、語(yǔ)音、視頻應(yīng)用的分析語(yǔ)音：利用幀中繼網(wǎng)絡(luò)進(jìn)行三點(diǎn)之間的語(yǔ)音通信和傳真收發(fā)。話音編碼可采 用 G.729 （默認(rèn)）、G.723、G.711。對(duì)每路語(yǔ)音，G.711 占用 64kbps 帶寬，G.729 占用 8kbps，G.723 占用 5.3/6.3kbps。同時(shí)，G.711 產(chǎn)生 40ms 時(shí)延，其中 16ms 用于采樣，16ms

9、用于抖動(dòng)的緩沖，8ms用于回聲抑制；而G.729產(chǎn)生75ms時(shí)延; G.723 產(chǎn)生 137.5ms 時(shí)延。語(yǔ)音通信與傳真對(duì)廣域鏈路傳輸質(zhì)量的要求是不同的，對(duì)語(yǔ)音通信而言，低 于200ms的時(shí)延和5%的丟包率，是可接受的范圍；時(shí)延在200-400ms，丟包率 在5-10%之間時(shí)，是一個(gè)邊緣范圍，可滿足部分用戶的要求；當(dāng)時(shí)延超過400ms, 丟包率超過10%時(shí)，則不能滿足語(yǔ)音會(huì)話的需求。傳真的要求相對(duì)嚴(yán)格一些，低 于200ms的時(shí)延和2%的丟包率，是可接受的范圍；時(shí)延在200-300ms，丟包率 在2-4%之間時(shí)，是一個(gè)邊緣范圍，可滿足部分傳真機(jī)的要求；當(dāng)時(shí)延超過300ms， 丟包率超過4%時(shí)，

10、則不能滿足傳真的要求。視頻：相比語(yǔ)音，視頻會(huì)議能使人們更有效的交流，方便在企業(yè)內(nèi)部召開遠(yuǎn) 程內(nèi)部會(huì)議。以站點(diǎn)A （公司總部）為主會(huì)場(chǎng)，站點(diǎn)B、C作為分會(huì)場(chǎng)開展多點(diǎn) 會(huì)議，需要總部MCU和站點(diǎn)B、C兩地的終端配合完成。視頻會(huì)議系統(tǒng)基于H.320 和H.323協(xié)議標(biāo)準(zhǔn)，視頻編碼格式可采用MPEG1/2/4或H.261/H.263,速率在15 幀/秒一30幀/秒之間，所需帶寬在64kbps2Mbps之間。數(shù)據(jù)：可分為Internet應(yīng)用和內(nèi)部辦公應(yīng)用。在Internet應(yīng)用中分為高優(yōu)先 組、普通用戶組，對(duì)一些特定的應(yīng)用有限時(shí)、限速的要求。對(duì)內(nèi)部辦公應(yīng)用，需 考慮內(nèi)部用戶和外部VPN用戶對(duì)WEB、EM

11、AIL等服務(wù)器的訪問需求。2.2.2對(duì)企業(yè)網(wǎng)數(shù)據(jù)、語(yǔ)音、視頻應(yīng)用的設(shè)計(jì)對(duì)數(shù)據(jù)應(yīng)用進(jìn)行的QoS設(shè)計(jì)：1、在站點(diǎn)A用PBR （基于策略的路由）針對(duì)高優(yōu)先組、普通用戶組設(shè)置不 同的TOS或DSCP值。在站點(diǎn)A、B、C用防控列表匹配出一些對(duì)網(wǎng)絡(luò)帶寬資源 消耗較大的應(yīng)用如BT并對(duì)此進(jìn)行限時(shí)限速，對(duì)病毒端口進(jìn)行禁止。2、針對(duì)站點(diǎn) A 的 Internet 出口，采用 MQC （modular qos cli）結(jié)合 WRED （擁塞避免機(jī)制）、NBAR （基于網(wǎng)絡(luò)的應(yīng)用識(shí)別）、class-based WFQ （基于類的WFQ）、policing （策略）對(duì)出口帶寬進(jìn)行優(yōu)化。具體如下：Class-map:分為

12、優(yōu)先class普 class。優(yōu)先class中匹配TOS或DSCP值 較高的數(shù)據(jù)包，采用NBAR匹配的實(shí)時(shí)性較高的應(yīng)用和一些特定的網(wǎng)站；普通 class中匹配TOS或DSCP值較低的數(shù)據(jù)包，采用NBAR匹配的實(shí)時(shí)性不強(qiáng)的應(yīng) 用和一些特定的網(wǎng)站；Policy-map:針對(duì)上述兩個(gè) class，采取 CBWFQ、WRED、policing 等 QoS技術(shù)合理分配帶寬、選擇WRED中的指數(shù)加權(quán)因子，確保優(yōu)先class相比普通class 能獲得高帶寬、低延時(shí)、低丟包率。Service-policy output policy-map :將 Policy-map 應(yīng)用至0 Internet 出口。在In

13、ternet入口，采用Input CAR策略，可對(duì)具體應(yīng)用進(jìn)行流量整形。對(duì)多媒體應(yīng)用進(jìn)行QoS實(shí)施：多媒體應(yīng)用包括語(yǔ)音和視頻，他們共同的特點(diǎn)是對(duì)時(shí)延、抖動(dòng)敏感，本網(wǎng)絡(luò) 多媒體應(yīng)用是以幀中繼為廣域環(huán)境。為了減少數(shù)據(jù)傳輸對(duì)多媒體應(yīng)用的影響，必 須在三個(gè)站點(diǎn)進(jìn)行一系列的QoS設(shè)計(jì)。對(duì)于視頻，在三層交換機(jī)與視頻設(shè)備直連的端口上用MQC （modular qos cli） 結(jié)合packet marking （包標(biāo)記）、policing （策略）對(duì)視頻應(yīng)用賦予較高的TOS或 DSCP值和相應(yīng)的帶寬，在三層交換機(jī)與上連路由器的端口通過PQ與wrr-queue （weighted round robin ）確

14、保視頻應(yīng)用的優(yōu)先權(quán)。在三個(gè)站點(diǎn)用MQC （modular qos cli）結(jié)合LLQ為視頻、語(yǔ)音應(yīng)用分配不 同的優(yōu)先保障帶寬。在幀中繼的環(huán)境中設(shè)置流量整形（FRTS），對(duì)大數(shù)據(jù)包進(jìn)行 分割，以將串行延時(shí)控制在20ms內(nèi)，從而將多媒體應(yīng)用的延時(shí)控制在應(yīng)用可接 受的范圍。同時(shí)在流量整形（FRTS）中調(diào)用上述MQC設(shè)置，最終將流量整形 （FRTS）應(yīng)用到幀中繼的具體PVC上。采用頭壓縮技術(shù)進(jìn)一步減小語(yǔ)音數(shù)據(jù)包 的開銷，VoIP包通常攜帶20個(gè)字節(jié)的有效載荷，而IP頭需要40個(gè)字節(jié)。這意 味著語(yǔ)音包帶寬中有三分之二屬額外開銷。采用實(shí)時(shí)協(xié)議（RTP）可以將IP頭 壓縮至少于4個(gè)字節(jié)，大大節(jié)省了帶寬，減少

15、了語(yǔ)音包的延遲。三、IP QoS （服務(wù)質(zhì)量）對(duì)企業(yè)網(wǎng)安全加固的提升網(wǎng)絡(luò)安全體系建設(shè)，并不是一些安全設(shè)備的簡(jiǎn)單堆砌，安全技術(shù)必須以一種 相互協(xié)調(diào)的方式阻止攻擊，以更好地控制網(wǎng)絡(luò)安全和應(yīng)用。以改善網(wǎng)絡(luò)系統(tǒng)性能 而著稱的QoS技術(shù)，在網(wǎng)絡(luò)安全體系建設(shè)中也發(fā)揮著其不可估量的作用。各種類型的網(wǎng)絡(luò)攻擊、病毒、蠕蟲等給計(jì)算機(jī)網(wǎng)絡(luò)的安全帶來了極大的危害， 除了通過網(wǎng)絡(luò)安全設(shè)計(jì)、網(wǎng)絡(luò)安全管理等手段外，實(shí)施QoS技術(shù)也是一項(xiàng)重要 的措施。DoS攻擊是企業(yè)網(wǎng)最常見的網(wǎng)絡(luò)攻擊之一，它可分為三類，smurf、DDoS 和TCP SYN。前兩種屬于泛洪攻擊，旨在消耗可用帶寬；后者是傳輸泛洪攻擊， 旨在消耗主機(jī)資源。CA

16、R （policing）是一種用來減少泛洪攻擊的QoS技術(shù)，它采用令牌桶的工作方式。令牌桶表示令牌經(jīng)過路由器時(shí)所需的流量。令牌在承諾 速率下僅對(duì)有限的流量可用。如果流量總是以承諾速率發(fā)送，則總是要使用令牌 來傳輸流量。如果速率降到承諾速率以下，這些令牌會(huì)停留在令牌桶中。此令牌 桶的深度等于CAR中定義的突發(fā)速率。如果流量因某種原因已降到承諾速率以 下，令牌桶就會(huì)裝滿。如果流量在很短的時(shí)間突然超過承諾速率，桶中額外的令 牌就會(huì)允許流量通過。當(dāng)令牌桶完全耗盡時(shí)，路由器就會(huì)以擴(kuò)展的突發(fā)速率借出 令牌。如果擴(kuò)展突發(fā)的令牌耗盡，流量就會(huì)被丟棄。當(dāng)流量速率低于承諾速率時(shí)， 在將令牌放入到令牌桶之前，會(huì)首先

17、用于償還借出的擴(kuò)展突發(fā)。通過CAR（policing）對(duì)smurf、DDoS和TCP SYN分別進(jìn)行限速，值得注意的是由于TCP SYN是采用三次握手的TCP協(xié)議，單純使用CAR（policing）還不能有效識(shí)別 出攻擊，可與TCP攔截技術(shù)共同進(jìn)行判斷和實(shí)施。為了解決企業(yè)遠(yuǎn)程辦公用戶、移動(dòng)人員對(duì)企業(yè)內(nèi)部信息的訪問，VPN技術(shù) 應(yīng)運(yùn)而生。為了保障VPN中對(duì)延時(shí)、帶寬敏感的多媒體應(yīng)用，同時(shí)也為了避免 某個(gè)VPN用戶過度消耗帶寬資源，實(shí)施QoS技術(shù)是一種行之有效的方法。在IP 報(bào)頭中復(fù)制服務(wù)類型（TOS）位到IPsec隧道模式的出去報(bào)頭中。這允許在IPsec 加密之前已經(jīng)分類的流量與在IPsec端點(diǎn)之間的IPsec中IP報(bào)頭上具有相同的標(biāo) 記。簡(jiǎn)單地說，就是在IPsec處理之前對(duì)數(shù)據(jù)包進(jìn)行QoS預(yù)分類。當(dāng)IPsec數(shù)據(jù) 包到達(dá)企業(yè)網(wǎng)絡(luò)時(shí)，可根據(jù)預(yù)先設(shè)置的IP報(bào)頭中TOS值實(shí)施CB-WFQ、CB-LLQ、 CB-Policing、CB-shaping。企業(yè)用戶對(duì)某些網(wǎng)站和應(yīng)用的訪問可能會(huì)對(duì)網(wǎng)絡(luò)安全帶來危害，采用QoS 技術(shù)中NBAR對(duì)這些網(wǎng)站和應(yīng)用定位后，結(jié)合CB-WFQ、CB-Policing進(jìn)行限速 或禁止，從一定程度上減輕了這些網(wǎng)站和應(yīng)用對(duì)網(wǎng)絡(luò)安全所造成的危害。四、總結(jié)QoS是提升網(wǎng)絡(luò)性能的一種機(jī)制，是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種 技