某专卖局广域网解决方案建议书.doc

《某专卖局广域网解决方案建议书.doc》由会员分享，可在线阅读，更多相关《某专卖局广域网解决方案建议书.doc（48页珍藏版）》请在沃文网上搜索。

1、某某烟草专卖局广域网技术规划书某某专卖局广域网技术规划书华三通信技术有限公司2008年1月目 录1、需求分析31.1项目背景31.2网络现状31.3建设目标42、设计原则及设备选型依据52.1总体设计原则52.2设备选型依据63、网络建设方案73.1网络设计的原则73.2广域网建设规划方案73.3方案的优势124、路由设计135、QOS设计145.1体系结构的选择145.2DiffServ相关技术155.3QoS部署总体原则195.4DiffServ模型的部署196、安全设计236.1EAD端点准入防御解决方案237、IMC智能管理中心277.1产品简介277.2产品特点287.2.1基本资源

2、管理部分287.2.2基础网络管理部分（NME）337.2.3接入部分（ACM）387.3iMC MPLS VPN 管理421、 需求分析1.1 项目背景某某省烟草专卖局是中国烟草专卖体制中的省级管理中心，此次新大楼的建设不仅需要建设成五A级的写字楼，而且更要将其建设成未来新的烟草专卖数据中心，将全省各地市的专卖公司连接到此，形成省级数据的大集中。1.2 网络现状目前某某省烟草骨干网已基本建成，整网采用Cisco的设备，采用MSTP作为主要广域网连接线路，下联地市主路由器，同时开通VPN通道，作为备份链路与地市备份路由设备相连。如图所示，全省14个市州局，通过MSTP专线连接到白沙物流数据中心

3、，其县局再连接到市局，形成三级网络架构。MPLS的应用：某某省烟草网络已全面部署MPLS VPN网络，通过VPN将各个业务隔离，形成各自不同的区域，增强整网的安全性。 如上图所示，整网开启MPLS VPN，所有在网路由器均作为PE设备。整网开启7个VRF，其中包括视频、营销专卖、财务系统、公共服务器（internet出口，省市二级，公共vrf）等。1.3 建设目标此次某某省烟草专卖局新大楼局域网和数据中心的建设，本着融合原有网络系统的原则，将新的办公地点接入骨干网络中，并实现新的数据中心的牵引和过度。2、 设计原则及设备选型依据考虑到本工程网络结构设计的灵活性和可扩展性，要求网络厂商具有从骨干

4、万兆以太网交换机、工作组千兆以太网交换机、全系列路由器、网络安全、网络管理等全系列产品，与其他厂家的产品互连性好，有良好的服务和技术支持。考虑到网络系统的稳定性和可靠性，要求所采用的网络产品必须是经受过大量网上实际应用的考验，要具备高安全性、高稳定性和高可靠性，保障系统的不间断运行。同时由于世界上网络产品供应商之间的激烈竞争，收购和兼并频繁发生。如果选用较小的供应商的产品，一旦发生收购或兼并，常常导致整个产品系列的停产，使售后服务和产品升级都面临很大困难。因此，在网络产品的选型中，必须选择产品售后服务和支持好的网络产品供应商。根据以上要求，我们对设计原则和选型依据分别进行阐述。2.1 总体设计

5、原则结合某某省烟草专卖局的实际应用和发展要求，在进行本次网络系统设计时，主要应遵循以下原则：实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。安全性原则：本次工程项目服务于某某省烟草专卖局需要，对安全级别要求很高。系统应能提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作，保护网络建设者的合法利益。可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。成熟和先进性原则：系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。

6、设备厂商和投标商应有相关领域的丰富经验。规范性原则：系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的

7、监视和控制，并可以进行远程管理和故障诊断。2.2 设备选型依据根据以上原则，我们推荐选择华三通信技术公司的产品来构筑“高可靠、高安全、可管理”的网络。原因如下：1、华三通信技术公司已经成为业界少数能够提供全系列的路由器和以太网交换机以及VoIP产品、视频会议和网络管理产品的厂家，从产品的提供上能够充分满足组网应用的需求。2、从可靠性考虑，华三通信技术公司是国内优秀的数据通信设备供应商之一，产品已在电信运营行业大量使用。众所周知，电信运营商对于可靠性的要求非常的高，要求设备具有99.999%的可靠性，而华三公司在进行数据通信网络设备的研发、制造都是基于电信级的可靠性要求来进行的。3、从安全性考虑

8、，优先采用国产设备构筑本次网络工程，对于网络的整体考虑是必要的，华三通信技术公司的网络产品包括全系列路由器和以太网交换机在国内多个安全性高的行业已得到规模应用，如：国务院办公厅、中共中央办公厅、国家信息中心、国家科技部、国家财政部、国家审计署、中共中央组织部、中共中央宣传部、中共中央纪律检查委员会、国家劳动与社会保障部、国家审计署、国家公安部等。4、从售后服务考虑，华三提供本地化服务，并且在各个省市都有本地服务人员，能最快时间响应用户；华三公司设有724客户服务热线，提供全天候无间断的产品技术咨询、故障申报受理、硬件维修RMA受理、培训需求受理、以及服务政策咨询等服务内容；华三还提供备件先行服

9、务，在全国设有30个区域备件库和3个备件分拨中心（位于杭州、北京与深圳），并与多家专业物流公司合作建立了业界领先的快速备件物流系统，为用户的利益作出切实可靠的保障，5、从市场应用来说，据赛迪顾问（CCID）调查报告：截止到2006年底，国内华三通信公司路由器与交换机产品综合市场占有率36.5；成为全球主要的数据通信设备及解决方案供应商。3、 网络建设方案3.1 网络设计的原则结合某某的实际应用和发展要求，在进行本次网络系统设计时，主要应遵循以下原则：1）高性能：骨干网络的性能是整个网络良好运行的基础，在设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网

10、络不成为业务开展的瓶颈。2）高可靠性：网络的稳定可靠是应用系统正常运行的关键，保证在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行。3）标准化：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。4）可扩充性：所有网络设备不但满足当前需要，并在扩充模块后，满足可预见将来需求。网络设计要考虑本期网络系统应用和今后网络的发展，便于向更新技术的升级与衔接。要留有扩充余量，包括端口数量和带宽的升级能力

11、。5）易管理性：网络设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，发现故障。6）支持多媒体：支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务，具有多种基于优先级队列的QoS保证，多媒体应用对服务质量有很高的要求，如带宽，延迟，延迟的变化等，需要网络对服务质量(QoS)有很好的支持。7）安全性：网络系统的数据和文件多数要求具有高度的安全性，因此，网络系统本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面的安全方案和应急措施，确保系统万无一失。同时符合国家关于网络安全标准和管理条例。8）经济性：在充分利用现有资源的情况下，

12、最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。3.2 广域网建设规划方案某某省烟草专卖局广域网已经建成，此次新大楼的建设包括办公局域网、新数据中心和与现有广域网融合。新建成的数据中心作为备份，与白沙物流数据中心定时进行数据同步，实现应用级容灾备份。日后逐渐取代白沙物流数据中心，作为主数据中心。新大楼建成后的广域网连接拓扑图如下：如上图所示，为了将新的数据中心融入到烟草专卖骨干网，出口路由器应满足现有网络的技术应用（MPLS）和更高的转发性能，我们推荐采用两台H3C公司的SR66系列路由器作为出口设备，一台设备通过光纤连

13、接到白沙物流数据中心，另一台通过Internet采用IPSec VPN+GRE 方式与白沙物流数据中心对接，实现备份链路。同时数据中心核心交换机采用防火墙模块，实现安全隔离，保护来自Internet外部的攻击。本次所采用的SR66路由器转发性能达18Mpps，完全能够满足某某目前的应用；其功能也非常丰富，支持全面的MPLS协议（支持二层、三层的VPN业务，支持MPLS TE等功能），能够和Cisco等其他标准的网络产品一起组成强大的MPLS网络，提供高性能、安全和多层次的MPLS VPN解决方案。随着某某省烟草专卖局的发展，业务系统的逐渐增多，和日后省级的数据大集中，现有网络设备在未来五年内将

14、出现性能不够的问题，加上多媒体的应用的增多，因此需要对现有网络进行前瞻性的规划，以适时作为日后升级的依据。某某省烟草专卖局广域网规划设计如下：如上图所示，我们将根据现有网络架构进行组网，由于今后设备性能的不足，我们将采用逐渐向下替换的原则，保护用户的投资。主数据中心采用两台H3C公司的SR88系列作为核心路由器，与原有白沙物流数据中心通过专线或光纤互联，实现数据备份；下联专线与地市路由器相连，地市主路由器采用H3C SR66系列路由器，备份路由器利旧，与核心路由器相连，形成冗余网络架构；区县采用H3C MSR50系列路由器或原有Cisco 3745 路由器作为接入，与地市主备通过专线路由器相连

15、。网络虚拟化规划根据现有网络应用，某某仍然采用L3 MPLS VPN进行业务隔离，并根据日后的可控网络的发展要求，实现整个烟草网络的虚拟化。H3C公司推出EAD端点准入防御系统和MPLS VPN相结合，可以实现与烟草各单位工作流相适应的、从客户端就开始安全控制的端到端的虚拟通道， 并和用户上层应用系统权限无缝匹配。它主要包括如下内容：1) 用户端点准入控制对用户的安全认证和权限管理，使用H3C的EAD端点准入防御系统（支持portal、802.1X、VPN等认证方式），在接入边缘设备作认证；把策略服务器补丁服务器病毒服务器等集中部署在数据中心内部共享区，内部所有用户接入到网络，都需要认证，并进

16、行集中的安全管理。2) 业务逻辑隔离烟草专卖局各单位共用一套物理网络，逻辑隔离使用VRF+MPLS VPN技术。各部门用户通过CEMCE设备接入，通过二层VLAN或VRF进行隔离。核心层用MPLS标签转发，控制PE设备VPN路由引入，建立专用的VPN转发通道，为数据中心提供PE或MCE接口，兼容数据中心内部业务逻辑隔离和物理隔离。3) 集中服务管理为烟草专卖局用户提供统一的InternetWAN出口，进行集中监控、管理。网络管理使用H3C的iMC网络综合管理中心，内嵌的MPLS VPN Manager支持对MPLS VPN的专业管理。各种管理策略服务器、应用服务器、存储设备等统一部署在数据中心

17、，为全网提供统一的应用和策略服务。H3C公司的EAD+MPLS VPN的方案能够保证移动用户能够正确的接入相应的VPN：我们可以按照烟草专卖局业务实际的需求，在不同的PE上配置相应可以接入的VPN，不同的VLAN端口对应各自相关的VPN。首先在策略服务器上指定好用户名密码和相关的VLAN的对应关系。当用户通过EAD终端输入用户名和密码后，策略服务器查找相关信息，匹配后，分配该用户接入到相关的VLAN中，也就是进入到相关的VPN中。H3C公司的EAD+MPLS VPN的网络虚拟化方案实现了从客户侧开始的安全控制的端到端的虚拟逻辑通道，起到了端到端有效的全程隔离作用，使得整个网络安全得到更加严密的

18、控制。分层PE（HoPE）部署目前的MPLS VPN模型是一种平面式模型，PE设备无论处于网络的哪个层次，对其性能要求都是相同的，由于路由逐层聚合，甚至在PE向边缘方向扩展时，要维护更多的路由。某某省烟草专卖局网络架构是核心-汇聚-接入三层模型，设备性能依次下降，网络规模依次扩大。由于业务系统的逐渐增多，VPN的数量也会相继增加，就会造成现有低端设备性能不足的问题。分层式PE是将PE的功能分布到多个设备上，它们承担不同的角色，并形成层次结构，共同完成一个集中式PE的功能。对处于较高层次的设备的路由和转发性能要求高，而对处于较低层次的设备的路由和转发性能要求低，同典型的网络模型相吻合，在分层部署

19、BGP/MPLS VPN时，解决了可扩展性问题。分层PE的结构如下：直接连接VPN用户的称为UPE(Underlayer PE)，位于网络内部的称为SPE(Superstratum PE)；UPE和SPE之间可以直接相连，也可以通过一个IP/MPLS网络相连，这种结构称为HoPE(Hiberarchy of PE)。UPE仅维护其直接连接的VPN Site的路由，但不维护VPN中其它远程Site的路由；SPE维护其通过UPE所连接的Site所在的VPN中的所有路由，包括本地和远程Site中的路由。UPE为其直接连接的Site的路由分配内层标签，并发布给SPE；SPE只发布VRF默认路由给UPE

20、，并携带标签。UPE和SPE之间采用标签转发，因而只需要一个(子)接口相互连接。若相隔一个IP/MPLS网络，采用GRE/LSP等隧道连接。UPE是一个传统的PE，而SPE要在传统PE的基础上增加功能。HoPE的部署可以在一个AS内部实现，也可以跨域实现。这种方式的优势是把传统PE进行层次化，对UPE设备的性能要求降低。 依据HoPEe技术，某某具体HoPE部署拓扑示意如下：核心层（省级）路由器作为PE/P设备，地市作为SPE设备，县局作为末端UPE设备，这样形成高、中、低档的三层组网模式。3.3 方案的优势高性能n 骨干网络采用高端万兆平台路由器SR88系列，交换容量达720Gbps，转发性

21、能586Mpps； SR88采用了创新的四平面分离和三引擎转发体系架构，实现了万兆NP平台和Crossbar无阻塞交换技术完美融合，完全满足用户对于业务处理性能和容量的要求。平面分离的架构使系统的管理、监控等功能模块对转发平面的影响降到最小，使转发平面更加专注于对业务的处理，从而实现万兆业务流量线速转发。分布式转发引擎使接口板业务处理实现硬件化，SR88业务接口板上同时具有NP业务引擎、QoS控制引擎和表检索引擎，通过专用转发控制引擎使原来全部由NP业务引擎处理的表项查找和QoS调度等功能全部交给业务处理板上的表检索引擎和QoS控制引擎来处理，极大加快了业务处理速度，使系统在完成万兆业务线速处

22、理的同时，能够实现精细化QoS调度机制和真正意义上E2E流控。高可靠性n 在网络设备上，整个网络所采用的网络设备均采用电信级可靠性设计，SR88在传统的核心路由器双平面（控制平面和转发平面）的基础上，利用专用的OAM引擎设计了一个独特的OAM检测平面，该平面监控网络故障，能够实现30ms的故障检测和20ms的业务切换，保证业务不中断。检测平面与控制平面、转发平面相互独立、互不影响，为用户提供了电信级的可靠性。同时，SR88/SR66还支持完善的设备可靠性机制，包括：关键部件11冗余备份、热插拔、热补丁等功能。网络的高安全性设计：n 采用精细的虚拟化技术（MPLS+EAD）实现整网安全可控网络，

23、对终端的控制得到了加强网络的可扩展性设计：n 采用HoPE技术，对于整体网络的扩展提供了技术保障，同时对于网络的逐步延伸创造了条件。4、 路由设计根据某某省烟草专卖局的整体规划，并本着尽量少的改动原则，我们将新加入的数据中心路由融入现有路有协议中，具体如下图：如上图所示，将OSPF核心区Area 0 扩大到新的数据中心，形成IGP路由，并将loopback接口路由发布到整个网络中，作为BGP Peer的连接地址和Route ID。对于BGP协议，仍然采用一个域，核心层高端路由器（包括白沙物流数据中心和新的数据中心出口路由器）作为一级RR，地市路由器作为其区县的二级RR。5、 QoS设计5.1

24、体系结构的选择为了在Internet上提供QoS，IETF提出了许多服务模型和协议，其中比较突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。 IntServ模型要求网络中的所有节点（包括核心节点）都记录每个经过的应用流的资源预留状态，需要通过IP包头识别出所有的用户应用流（进行MF分类），同时为每个经过的应用流设置单独的内部队列以分别进行监管（Policing）、调度（Scheduling）、整形（Shaping）等操作。对于现在大型运营网络中的节点，这种应用流（活动的）的数量非常庞大，会远远超出

25、节点设备所能够处理的能力，而且可扩展性差，仅适合在小规模网络中使用。 DiffServ模型的基本原理是将网络中的流量分成多个类，每个类接受不同的处理，尤其是网络出现拥塞时不同的类会享受不同的优先处理，从而得到不同的丢弃率、时延以及时延抖动。在DiffServ的体系结构下，IETF已经定义了EF（Expedite Forwarding）、AF1-AF4（Assured Forwarding）、BE（Best Effort）等六种标准PHB（Per-hop Behavior）及业务。此外，有些厂商实现了基于TOS的分类服务（COS），并且这类设备已经应用在一些现有的运营网络。COS和DiffSer

26、v类似，不过比DiffServ更简单，并且不象DiffServ那样定义了一组标准的业务。DiffServ对聚合的业务类提供QoS保证，可扩展性好，便于在大规模网络中使用。本次项目规划推荐使用DeffServ机制实现QOS。DiffServ域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理，开销较大，容易形成网络瓶颈，因此需要将这些功能分布到不同的设备上去，如流分类功尽量在边缘实现。5.2 DiffServ相关技术IP DiffServ模型与MPLS DiffServ模型除标记技术不同外，其它流分类

27、、流量监管、流量整形、拥塞管理和拥塞避免所采用相同的技术。流分类与标记：流分类依据一定的匹配规则识别出对象。标记是设置IP报文的DSCP或者MPLS EXP位。l 流量监管：对进入路由器的特定流量的规格进行监管。当流量超出规格时，可以采取限制或惩罚措施，以保护网络资源不受损害。l 流量整形：一种主动调整流的输出速率的流控措施，通常是为了使流量适配下游路由器可供给的网络资源，避免不必要的报文丢弃和拥塞。l 拥塞管理：网络拥塞时必须采取的解决资源竞争的措施。通常是将报文放入队列中缓存，并采取某种调度算法安排报文的转发次序。l 拥塞避免：过度的拥塞会对网络资源造成损害。拥塞避免监督网络资源的使用情况

28、，当发现拥塞有加剧的趋势时采取主动丢弃报文的策略，通过调整流量来解除网络的过载。在这些流量管理技术中，流分类是基础，它依据一定的匹配规则识别出报文，是有区别地实施服务的前提；而流量监管、流量整形、拥塞管理和拥塞避免从不同方面对网络流量及其分配的资源实施控制，是有区别地提供服务思想的具体体现。1. 流分类流分类采用一定的规则识别符合某类特征的报文，它是有区别地进行服务的前提和基础。流分类规则可以使用IP报文头的ToS字段的优先级位或区分服务编码点DSCP（Differentiated Services Codepoint），识别出有不同优先级特征的流量；也可以由网络管理者设置流分类的策略，例如综

29、合源地址、目的地址、MAC地址、IP协议或应用程序的端口号等信息对流进行分类。分类的结果是没有范围限制的，它可以是一个由五元组（源地址、源端口号、协议号码、目的地址、目的端口号）确定的狭小范围，也可以是到某网段的所有报文。COMWARE QOS软件支持丰富的业务分类标准，可广泛应用于传统IP、ATM、Frame Relay帧中继、MPLS和以太网等多种业务网络中。支持识别多种应用层协议，能根据报文二层至七层详细信息进行业务分类，可区分语音、视频、文件传输、WEB浏览等不用应用提供不同的QOS服务。标记是将IP报文的IP优先级或者DSCP进行设置。对于MPLS QoS，所谓标记就是MPLS报文中

30、的EXP域进行设置。对于VLAN QoS，所谓标记就是VLAN报文中的8021P域进行设置。下游（downstream）网络可以选择接收上游（upstream）网络的分类结果，也可以按照自己的标准重新进行分类。2. 流量监管与整形流量监管TP（Traffic Policing）的典型应用是监督进入网络的某一流量的规格，把它限制在一个合理的范围之内，或对超出的部分流量进行“惩罚”，以保护网络资源和运营商的利益。通常的用法是使用承诺访问速率CAR（Committed Access Rate）来限制某类报文的流量，例如可以限制HTTP报文不能占用超过50%的网络带宽。如果发现某个连接的流量超标，流量

31、监管可以选择丢弃报文，或重新设置报文的优先级。COMWARE QOS软件支持单速双色和双速三色的令牌桶算法，对超出规格的流量可以实施预先设定好的监管动作。这些动作可以是：l 转发。例如对评估结果为“符合”的报文继续正常转发的处理，也可以为DiffServ提供标记DSCP服务再转发；l 丢弃。例如对评估结果为“不符合”的报文进行丢弃；l 改变优先级并转发。例如对评估结果为“部分符合”的报文，将之标记为其它的优先级后再进行转发；l 进入下一级的监管。流量监管可以逐级堆叠，每级关注和监管更具体的目标。流量整形TS（Traffic Shaping）的典型作用是限制流出某一网络的某一连接的流量与突发，使

32、这类报文以比较均匀的速度向外发送，是一种主动调整流量输出速率的措施。流量整形通常使用缓冲区和令牌桶来完成，流量整形与流量监管的主要区别在于，流量整形对流量监管中超出流量规格的报文进行缓存。当令牌桶有足够的令牌时，再均匀的向外发送这些被缓存的报文。流量整形与流量监管的另一区别是，整形可能会增加延迟，而监管几乎不引入额外的延迟。3. 拥塞管理对于网络单元，当分组到达的速度大于该接口发送分组的速度时，在该接口处就会产生拥塞。如果没有足够的存储空间来保存这些分组，它们其中的一部分就会丢失。分组的丢失又可能会导致发送该分组的主机或路由器因超时而重传此分组，这将导致恶性循环。拥塞管理的中心内容就是当拥塞发

33、生时如何制定一个资源的调度策略，决定报文转发的处理次序。COMWARE QOS软件提供丰富的调度策略，每一种调度策略都为一种关键业务应用而设计，如下表所示。各种调度策略适用的业务类型类型队列数优点缺点FIFO11、不需要配置，易于使用。2、处理简单，延迟小。1、所有的报文，无论紧急与否，语音还是数据，均进入一个“先进先出”的队列，发送报文所占用的带宽、延迟时间、丢失的概率均由报文到达队列的先后顺序决定。2、对不配合的数据源（即没有流控机制的流，如UDP报文发送）无约束力，不配合的数据源会造成配合的数据源（如TCP报文发送）带宽受损失。3、对时间敏感的实时应用（如VoIP）的延迟得不到保证。PQ

34、4可对不同业务的数据提供绝对的优先，对时间敏感的实时应用（如VoIP）的延迟可以得到保证。对优先业务的报文的带宽占用可以绝对优先。1、需配置，处理速度慢。2、如果不对高优先级的报文的带宽加限制，会造成低优先级的报文得不到带宽。CQ161、可对不同业务的报文按带宽比例分配带宽。2、当没有某些类别的报文时，能自动增加现存类别的报文可占的带宽。需配置，处理速度慢WFQ可配置1、配置容易。2、可以保护配合（交互）的数据源（如TCP报文发送）的带宽。3、可以减小延迟抖动。4、可以减小数据量小的交互式应用的延迟。5、可以为不同优先级的流分配不同的带宽。6、当流的数目减少时，能自动增加现存流可占的带宽。处理

35、速度比FIFO要慢。但比PQ、CQ要快。CBQ可配置（064）1、可以对数据根据灵活、多样的分类规则进行划分，分别为EF（加速转发）、AF（确保转发）、BE（尽力转发）业务提供不同的队列调度机制。2、可以为AF业务提供严格、精确的带宽保证，并且保证各类AF业务之间根据权植按一定的比例关系进行队列调度。3、可以为EF业务提供绝对优先的队列调度，确保实时数据的时延；同时通过对高优先级数据流量的限制，克服了PQ的低优先级队列可能“饿死”的弊病。4、对于尽力转发的缺省类数据，提供WFQ队列调度。系统开销比较大4. 拥塞避免为避免TCP全局同步现象，可使用RED（Random Early Detecti

36、on，随机早期检测）或WRED（Weighted Random Early Detection，加权随机早期检测）。拥塞避免与不同的队列机制配合时，具有不同的丢弃特性：l 当队列机制采用WFQ时，可以为不同优先级（precedence）的报文设定不同的队列长度滤波系数、上限、下限、丢弃概率，从而对不同优先级的报文提供不同的丢弃特性。l 当队列机制采用FIFO、PQ、CQ时，可以为每个队列设定不同的队列长度滤波系数、低限、高限、丢弃概率，为不同类别的报文提供不同的丢弃特性。l 当WRED和WFQ配合使用时，可以实现基于流的WRED。这是因为，在进行分类的时候，不同的流有自己的队列，对于流量小的流

37、，由于其队列长度总是比较小，所以丢弃的概率将比较小。而流量大的流将会有较大的队列长度，从而丢弃较多的报文，保护了流量较小的流的利益。5.3 QoS部署总体原则l 在具体的QoS部署方案中，要充分考虑以下原则：l 简单性：结合用户业务及网络拓扑，采用最符合用户需求的、最易实现的Qos解决方案。l 稳定性： 是否有广泛的应用，广泛意味着稳定。l 可行性： QoS技术会影响设备的性能，DiffServ 方式对设备性能的影响低于TE方式。l 易维护性：QoS的部署是一个循序渐进的过程，要充分考虑维护技术的难度。5.4 DiffServ模型的部署下面的网络模型为一个基本的DiffServ 体系架构模型：

38、Diffserv体系架构一般分为两个层次，接入、骨干，骨干区域可为IP或MPLS 转发。按照端到端的部署原则，分别在下列管理区域：接入网络、接入网络边缘、骨干网络边缘、骨干网络分别部署QoS策略。对上述的网络模型实施IP QOS，一般都包括以下6个步骤：1） 识别业务中的关键应用，对关键应用进行分类。在对应用分类前，必须明确这些关键应用对时延、丢包率、抖动的要求、应用的属性或性能要求以及所使用的传输层协议栈2） 标记，为不同的业务数据流设置DSCP/IP Precedence优先级标记3） 为每一类业务或应用定义QOS监管策略。根据业务数据流的分类和标记信息，为不同的业务数据流分配网络带宽（包

39、括最小带宽、最大带宽、突发速率等）4） 拥塞管理（Queuing）：对输出的业务数据流进行排队，以实现关键业务的优先传输；5） 拥塞避免（WRED）：通过丢弃低优先级数据包来解决网络拥塞6） 根据网络中的业务流量，监控关键应用的时延、抖动和丢包率，并实时调整QOS策略以保证应用性能。1. 业务分类目前烟草行业网中主要包括两种业务应用语音（Call Center）、数据、视频。QoS分类依据业务应用类型，使用ACL语句来定义。包括如下几个要素：l 源地址l 目的地址l 应用类型（TCP/UDP端口号）业务进行分类后，还必须根据业务的实际情况分配带宽、时延、以及抖动等QoS参数。QoS参数的确定必

40、须具有SLA的测量机制，为QoS的再部署提供依据。业务特征表业务类型业务特征带宽时延（双向）抖动丢包率Voice对时延、抖动非常敏感；带宽需求低；需要可预计的时延和丢包率（call center）64K/每路50ms00Video对时延、抖动较敏感；带宽需求高；需要可预计的时延和丢包率（视频会议）768K200ms00Data适合重要数据业务,低丢包、高优先级（如：专卖营销、国家一号工程、财务系统、烟叶进销存等）128K10s无0适合次重要数据业务,低丢包、较高优先级（如：OA、认识系统等）1M200s无0适合普通数据业务，低丢包。（如：Exchange邮件系统、DNS、DHCP等）384K5

41、00s无0尽力而为（Best effort）转发（其他，如：Internet上网流量等）无无无无2. 标记DiffServ网络模型中，网络分为边缘、骨干。而在不同分界范围内，网络设备采用不同标记方式，边缘区域可能采用IP Precedence、IP DSCP或802.1p标识QoS等级，骨干可能采用IP Precedence、IP DSCP、MPLS EXP标识Qos等级。IP Precedence、MPLS EXP和802.1p等字段均为3位8个等级，IP DSCP则有8位64个等级。这就需要有一种对应机制，以便不同标记字段之间进行相互转换。转换方法是使用IP DSCP的前三位来标识8个等级

42、，后三位均设为0，这样形成与3位8个等级的一一对应关系。以上几个字段标识的对应关系如下：各种标识字段的对应关系业务类型业务特征IP PrecedenceIP DSCPMPLS exp802.1pVoice对时延、抖动非常敏感；带宽需求低；需要可预计的时延和丢包率（call center）646(EF)66Video对时延、抖动较敏感；带宽需求高；需要可预计的时延和丢包率（视频会议）534(AF41)55Data适合重要数据业务,低丢包、高优先级（如：专卖营销、国家一号工程、财务系统、烟叶进销存等）324(AF31)33适合次重要数据业务,低丢包、较高优先级（如：OA、认识系统等）217(AF2

43、1)22适合普通数据业务，低丢包。（如：Exchange邮件系统、DNS、DHCP等）19(AF11)11尽力而为（Best effort）转发（其他，如：Internet上网流量等）00003. 流量监管在完成区分业务应用类型后，将对业务应用数据进行流量监管或带宽控制，包括：l 最低带宽l 允许突发速率l 最大突发速率通常的用法是使用承诺访问速率CAR（Committed Access Rate）来限制某类报文的流量，例如可以限制HTTP报文不能占用超过50%的网络带宽。如果发现某个连接的流量超标，流量监管可以选择丢弃报文，或重新设置报文的优先级。由于流量监管可以导致报文丢失，为了减少报文的

44、无谓丢失，可以在Diffserv 体系边缘区域的设备出口对报文进行TS（流量整形）处理。但需注意，这可能会增加一定的延迟。CAR可应用于Diffserv体系边缘设备的出口，也可以应用于Diffserv体系骨干设备的入口。而TS则通常应用于Diffserv体系边缘设备的出口。4. 队列管理Diffserv体系的队列管理同样按照不同的边界范围采用不同的队列管理技术。边缘层主要基于以太网的组网方式，以太网实现的QoS功能主要是能够支持那些对延时和抖动要求较高的业务流。目前业界在以太网络交换机实现的Qos队列管理技术主要采用严格优先级SP（Strict-Priority）队列调度算法、加权轮循WRR（

45、Weighted Round Robin）调度算法。SP队列调度算法，是针对关键业务型应用设计的。关键业务有一重要的特点，即在拥塞发生时要求优先获得服务以减小响应的延迟。WRR队列调度算法在队列之间进行轮流调度，保证每个队列都得到一定的服务时间。在实际应用中，SP队列调度算法与WRR调度算法可以同时应用一个端口上，既保证关键业务的延时与抖动，同时又保证各业务具有一定的带宽保证。骨干层一般采用路由器组网，目前路由器主要支持的队列管理技术包括PQ、CQ、WFQ、CBQ/LLQ，由于PQ、CQ、WFQ的种种问题，目前通常采用CBQ/LLQ做为骨干层的队列管理机制。CBWFQLLQ，有一个低时延队列

46、- LLQ，用来支撑EF类业务，被绝对优先发送（优先级低于RTP实时队列）；另外有63个BQ，用来支撑AF类业务，可以保证每一个队列的带宽及可控的时延；还有一个FIFO/WFQ，对应BE业务，使用接口剩余带宽进行发送。但是请注意，由于涉及到复杂的流分类，对于高速接口（GE以上）启用CBQLLQ特性系统资源存在一定的开销。另外如果边缘层与骨干层的接入采用低速的链路接入，因此也必须考虑相应的队列管理技术。如果接入带宽=2M，则需采用骨干层一样的调度技术，即CBQ/LLQ。如果接入带宽2M，则需要考虑采用链路有效机制。可采用LFI（链路的分段及交叉）技术避免大报文长期占用链路带宽，采用LFI以后，数

47、据报文（非RTP实时队列和LLQ中的报文）在发送前被分片、逐一发送，而此时如果有语音报文到达则被优先发送，从而保证了语音等实时业务的时延与抖动。另外还可以采用CRTP（IP /UDP/ RTP报文头压缩）技术，以提高链路的利用率。5. 拥塞避免目前通常采用WRED加权丢弃技术。6、 安全设计6.1 EAD端点准入防御解决方案目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。网络安全从本质上讲是管理问题。H3C端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手