某小区网络总体方案设计.doc

目录 总体方案设计.1 1.需求分析.1 1.1 网络概况：.1 1.2 网络需求.2 2 网络的设计思路.3 3 网络产品选型标准.4 4 网络方案设计.5 4.1 网络拓扑图.5 4.2 网络方案概述.5 4.3 网络解决方案的特点：.7 5 设备配置清单.8 6 服务质量保证（QOS）设计.8 6.1采用QoS的必要性.8 6.2 QoS服务模型.10 6.3 QoS技术实现.12 6.4 QoS方案设计.15 7 设备参数：.16 总体方案设计总体方案设计 1.1.需求分析需求分析 1.11.1 网络概况：网络概况： 随着网络、数据库及与之相关的应用技术不断发展，尤其国际互联网 （Internet）和内部网（Intranet）技术的广泛应用，世界正在迈入网络中心计算 （Network Centric Computing）时代。能源行业也从传统的物质资料运动发展为利用 信息技术为消费者提供低成本的服务。 能源信息化的定义是：利用信息技术整合企业内部的业务流程，使企业向着规模 经营、网络化运作的方向发展。能源信息化是能源企业相互融合的重要手段。 能源行业正以信息技术为手段，向综合性能源企业发展，积极发展第三方能源， 实现能源的社会化、专业化、规模化，大幅度提升能源产业的优势。 所以，积极整合能源资源，实现能源系统战略性功能重组，完善综合性运输体系， 构建促进高新技术产业带发展的现代能源支撑系统；和构筑能源信息平台，构筑现代 化全程电子能源网络，成为当今能源行业信息化的首要任务。 1.21.2 网络需求网络需求 1.2.1 网络平台子系统要求：网络平台子系统要求： 1、具有高速、安全、可靠、简便管理的网络平台，作为能源信息化数据业务及其 它业务的统一承载和传输平台。 2、具有高性能、高速度的网络服务器系统，让客户机有高速的查询浏览速度。 3、具有能够与 INTERNET 相连接的 WEB 服务器，使用户能够通过 INTERNET 查询、 检索相关信息。 4、具有高性能的数据服务器以存储大量的客户信息、沟通资料。 1.2.2 数据业务需求：数据业务需求： 1用户资源采集及加工、存储：主要对所服务的广大用户进行采集、数字化加工、 海量存储。其中涉及到文字、图表、静态图像等的传输和交换。 2信息查询：包括本地、异地通过网络高速信息查询。 3信息跟踪：实现货物的实时全程跟踪。 1.2.3 网络安全需求网络安全需求 随着网络的发展，基于网络的应用日渐增多，网络用户的增多，网络病毒的泛滥， 网络的安全性和可靠性成为了系统建设的主要问题。我们可以运用多种技术，如 VLAN、QOS、防病毒体系等，对各个部门访问进行控制，各单位之间在未授权的情况下 不能互相访问，保证系统内部的安全。 物理安全需求 针对重要信息可能通过电磁辐射或很不错线路干扰等泄漏。需要对存放机密信息 的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信 息。对重要的设备进行冗余配置；对重要系统进行备份等安全保护。 VLAN 设置需求 各子网的分布区域广，网络用户多，因此如何对内部用户进行访问控制和安全防 范就显得特别重要。为了保障内部网络运行的可靠性和安全性，必须要对它进行详尽 的设计，尽可能防护到网络的每一节点。 安全管理体制 安全系统只能提供技术手段和措施，但人为的因素不可忽略，只有确立健全的安 全管理体制，设立相应的安全管理岗位，从制度上加以严格管理。 1.2.4 网络管理需求网络管理需求 此次建设的 xxxx 公司网络系统必须为其配置功能强大的管理系统，该系统应具有 以下功能： 虚拟网管理、分配。 对所有网络设备端口的监视和管理 对网络流量的监测和管理 对所有网络设备的远程管理和控制，包括网络端口设备的开放和关闭 整个网络的故障监测，故障自动报警功能 整个网络性能的统计和分析报告 2 2 网络的设计思路网络的设计思路 实现下述三种主要功能： 1aa 公司及分支机构网络分为：aa 老区、aa 新区、aa 工程中心、宝 钛工业园。 采用单模光缆环网作为网络主干，要求安全可靠，并可实现主干冗余、 链路容错 等功能。要求端口到桌面交换速率达到 10/100/1000M 自适应，满足办公及客户 对网 络带宽的需求。 系统各层网络之间良好互联；主交换机与主机服务器之间良好互联。 具有良好便 捷网络管理平台。网管系统是开放式网管平台，并可以对全网进行故障管理、配 置管理、性能管理、事物处理管理、流量控制管理、日志管理、 多厂家产品管理、 MIB 管理、效率管理和图形化管理，支持 SNMP、RMON 等 管理。网络骨干设 备具有较高的可靠性；核心设备支持热插拔，具有容错设计。 网络设备具有较好 的扩展性，系统能够平滑升级及扩充。支持虚拟网络（VLAN） 技术及多种形式 的划分，如基于端口、基于 IP 地址、基于硬件地址。 2aa 工程中心、aa 工业园的内网、外网分别由核心层、接入层、接入设备和安 全设备、服务器集群组成。主干两层式设计有利于保证其性能和减少传输延迟、 核心层设备为一台运营级高性能多层交换机。接入层设备为多组环形堆叠的交换 机，每组交换机通过千兆光口与核心层交换机连接，对下漆工 10/100/1000M 自 适应双绞线接入。另外，核心交换机通过防火墙实现外网的连接，通过核心交换 机 3 层的功能实现内部网的互连。 按千兆骨干互连、百兆到桌面的方案建设。中心通过千兆电接口和接入层交 换机相连。接入层交换机和桌面之间使用五类双绞线相连。 3Internet 的接入、内网的安全性需求 本设计方案以高效性和快速性为基础，网络的骨干链路使用千兆连接，核心交换 机采用华为-3COM 的核心交换机连接接入层交换机。 3 3 网络产品选型标准网络产品选型标准 硬件平台是整个工程的物理基础，设备选型是一个重要而关键的问题，根据以下 原则选择设备供应厂商： （A） 设备的技术先进性，这是选型的首要考虑因素； （B） 性能价格比，设备的性能价格比是选型的重要考虑因素； （C） 设备对未来新技术的适应能力，反映设备的可扩展性，这是保护用户投资 的一种策略； （D） 设备的技术性能指标； （E） 设备使用的方便程度，这体现设备的可维护性； （F） 设备在大型网络中的应用情况，它反映设备的适应性和可靠性； （G） 网络管理系统的集成性、开放性和功能，它反映网络管理系统是否能对网 络做全面深入的管理，以及它对异构网络的适应能力； （H） 设备的标准化程度和可扩充性，反映对网络规模扩展的适应能力； （I） 差错的检测与隔离能力，这是网络可靠性的重要保证； （J） 设备的售后服务。 4 4 网络方案设计网络方案设计 4.14.1 网络拓扑图网络拓扑图 4.24.2 网络方案概述网络方案概述 基于对能源信息化业务需求的深入理解，结合自身产品和技术特点，我们提出了 以科技为导向、以计算机网络为依托、以信息技术为手段的能源信息化网络解决方案。 本解决方案网络分为 4 个节点分别是 aa 老区、aa 新区、aa 工程中心、aa 工业园， 其中 aa 工程中心、aa 工业园的网络分为三个层次，核心层和汇聚层和接入层。核心 设备的任务是整个业务网络的整体交换，核心设备的好与坏直接关系到网络的业务能 力，因此在选择核心设备的时候，既要考虑设备的性能有要考虑其经济的因素。综合 以上因素，aa 工程中心总共有 1320 个信息点，所以核心层应选用具有电信级可靠性、 大容量的 H3C S7506R 万兆核心路由交换机。S7506R 为插槽式机箱设计，共 8 个槽位， 2 个引擎槽位，6 个业务槽位，支持电源和引擎的冗余，背板带宽高达 1.2Tbps，交换 容量为 768Gbps，包转发率为 432Mpps，最大支持 576 个千兆端口，支持全光口模块， 方便实施远程千兆汇聚；提供全线速的二三四层交换及第四层业务服务，可作为网络 的核心交换、业务控制和冗余控制平台，提供电信级冗余可靠特性，是理想的核心交 换平台。我们在核心 S7506R 上配置 2 块电源和 2 块主控板，为核心设备提供电源和引 擎的冗余，再配置 1 块 20 口的 10/100/1000M 以太网电口模块和用 1 块 20 端口的千兆 SFP 光口业务板。千兆电口业务板用于连接核心机房的服务器群（包括 1 台邮件WEB 服务器，2 台数据服务器，1 台远程访问服务器） 、千兆光口业务板配置 16 千兆多模 SFP 模块，用于连接其它办公区的接入层交换机。另外在配置一块 2 端口万兆接口板， 保证跟另外 3 个节点具有万兆链路。 aa 工业园、aa 新区、aa 老区的信息点相对少一些，大概在 500 个以内，因此我 们选用 H3C S5600 系列交换机。H3C S5600 系列全千兆智能弹性交换机是 H3C 公司 为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用 H3C 公司创新的 IRF（Intelligent Resilient Framework，智能弹性架构)技术，支持高 达 96G 的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高 性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的 服务器接入设备。S5600-26C 和 S5600-26F 分别具有 24 个 10/100/1000Base-T 以太 网端口4 个复用的 1000Base-X 千兆 SFP 端口和 24 个 1000Base-X 千兆 SFP 端口 4 个 10/100/1000Base-T 以太网端口，所有端口支持线速转发。交换容量为 192Gbit/s，包转发率 66Mpps 汇聚层设备位于网络的中层，主要为用户提供网络接入服务，要求运行稳定，可扩展。因此 接入层设备选用 H3C S5500-EI 系列。H3C S5500-EI 系列交换机是 H3C 公司最新开发的增强型 IPv6 强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务 特性。支持最多 4 个万兆扩展接口，可以满足用户今后 5 年的带宽需求；支持 IPv4/IPv6 硬件双栈 及线速转发，使客户能够从容应对即将带来的 IPv6 时代；除此以外，其出色的安全性，可靠性和 多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的 第一选择可以满足用户以太网宽带接入需要。S5500-28C-EI 具有 24 个 10/100/1000Base-T 以太 网端口和 4 个复用的 1000Base-X 千兆 SFP 端口，交换容量为 192Gbps，包转发率为 95.2Mpps 网络技术越来越普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只 要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加 剧了网络被攻击的危险。因此我们在内网核心交换机和外网路由器之间架设一台 H3C 的Secpath F1000-A 防火墙，为内网用户提供网络安全服务。H3C SecPath F1000 系列防火墙包 括 SecPath F1000-C/SecPath F1000-S/SecPath F1000-A/SecPath F1000-E 等四款产品，支持外 部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网 络的安全；采用 ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过 程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络 管理监控，协助网络管理员完成网络的安全管理；支持多种 VPN 业务，如 L2TP VPN、GRE VPN 、IPSec VPN、动态 VPN 等；支持 RIP/OSPF/BGP/路由策略及策略路由；支持丰富的 QoS 特性， 提供流量监管、流量整形及多种队列调度策略。 入侵防御产品选用的 H3C SecPath T1000-S。H3C SecPath T1000-S 入侵防御系统 （Intrusion Prevention System，IPS）是 H3C 公司开发的业界领先的 IPS 产品。H3C IPS 能精确 实时地识别、阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网 络钓鱼、P2P、IM、网游等网络攻击或网络滥用，还具有实用的带宽管理和 URL 过滤功能，可为 用户网络提供最全面的深度防御。 SecPathT1000-S 采用 H3C 公司自主知识产权的 FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。FIRST 引擎集成了多项检测技术，实现了基于精确状态的 全面检测，具有极高的入侵检测精度；同时，FIRST 引擎采用了并行检测技术，软、硬件可灵活适 配，大大提高了入侵检测的效率。 随着网络规模的不断扩大，通过传统的远程登陆对设备进行管理显得捉襟见肘，效率慢，工 作量大，对网络故障无法报警，影响了网络了可靠性。所以我们为用户网络购置一套 H3C IMC 智 能管理中心。H3C 开放智能管理中枢（H3C Intelligent Management Center，以下简称 H3C iMC） ， 作为 H3C IToIP 整体解决方案的重要组成部分，H3C iMC 采用面向服务架构（SOA）的设计思想， 融合并统一管理业务、资源和用户这三大 IT 组成要素，通过按需装配功能组件与相应的硬件设备 配合，形成直接面向客户应用需求的一系列整体解决方案，从而成为 H3C IToIP 整体解决方案的开 放智能管理中枢。 4.34.3 网络解决方案的特点：网络解决方案的特点： 高性能，全线速交换，千兆主干：高性能，全线速交换，千兆主干：1000M 连接高流量服务器，骨干连接采用 GE 线 路，提供 10/100M 连接桌面。高性能设备全线速核心三层交换；高端路由器专注于处 理广域网流量，采用光缆支持长距离，可与分部连接。 高扩展能力：高扩展能力：模块化的设计提供更多可扩展插槽，具有强大、灵活的扩展空间， 支持低成本的千兆连接。核心采用更高端模块化交换机，具有更强的扩充能力，更高 的性能。配线间采用模块化交换机或通过千兆堆叠扩充用户数，高端的路由器，超强 的处理能力和扩充能力。 灵活，高效，可靠的广域网连接：灵活，高效，可靠的广域网连接：支持多种广域网连接： DDN，FR，ISDN，SDH，ATM。支持数据，语音，视频多业务集成。 卓越的多媒体应用系统，可提供卓越的多媒体应用系统，可提供 VODVOD 点播等视讯服务。点播等视讯服务。 有线无线一体化：有线无线一体化：提供 LAN、WLAN 等接入方式进行网络互联，实现无线会议室等 多种形式的办公业务。 严格的严格的 QOSQOS 保证：保证：通过 Diffserv 与端口限速功能，实现基于业务的 QoS 保证，防 止网络受流量攻击导致瘫痪。 提供多种规则组合条件下的流映射和分类、流量监管（CAR） 、拥塞控制方法 （RED、WRED、SA-RED） 、队列调度和输出流整形等功能。 CAR 的范围和精度：平均流量范围（上行和下行） 128K50M ，流量控制粒度 128Kbps； 峰值流量范围（上行和下行）128K50M，流量控制粒度 128Kbps。 网络管理方便：网络管理方便：综合高效的网管平台，可管理多家厂商的 IP 产品，实现从网络级 到设备级全方位的网络管理，使网络性能得到淋漓尽致的发挥。大大降低用户管理成 本，节约维护费用，支持认证、计费等功能。 5 5 设备配置设备配置清单清单 序 号 设备名称品牌型号数量单位单价小计 1 核心交换机核心交换机 H3CH3C LS-7506R-AC-XGLS-7506R-AC-XG H3CH3C H3C S7506R 以太网交换机交流主机-POE(含机箱,双电源, 软件,资料) 1 1 台台5460054600 2LS8M1AC220PWRH3CH3C H3C S7500-交流电源模块 1 个45004500 3LS8M2SRPGHH3CH3C H3C S7500-交换路由模块-Salience III 768G 2 个4950099000 4LS8M1GP20AHH3CH3C H3C S7500-20 端口千兆以太网光接口业务板 A-(SFP,LC) 1 个2050020500 5LS8M1GT20AHH3CH3C H3C S7500-20 端口千兆以太网电接口业务板 A-(RJ45) 1 个2255022550 6LS8M1TGX2H-XGH3CH3C H3C S7500-2 端口万兆以太网接口模块(XFP,LC)-XG 1 个6610066100 7XFP-LX-SM1310H3CH3C 光模块-XFP-10G-单模模块-(1310nm,10km,LC) 2 个2160043200 8 SFP-GE-LX-SM1310-AH3CH3C 光模块-SFP-GE-单模模块-(1310nm,10km,LC) 16 个320051200 9 核心交换机核心交换机 LS-S5600-26CLS-S5600-26C H3CH3C 宝钛老区、新区各 1 套核心交换机 H3C LS-S5600 ; H3C S5600-26C 以太网交换机,24 个 10/100/1000Base-T,4 个 combo SFP,自带两个堆叠口,1 个模块插槽 2 2 台台2930058600 10LSHM1XP2P3H3CH3C H3C S5600 功能模块-2 端口万兆 XFP 光接口以太网模块 4 个26900107600 11XFP-LX-SM1310H3CH3C 光模块-XFP-10G-单模模块-(1310nm,10km,LC) 4 个2160086400 12 核心交换机（宝钛工业区）核心交换机（宝钛工业区） LS-S5600-26FLS-S5600-26F H3CH3C H3C S5600-26F 以太网交换机,24 GE SFP,4 个 combo 10/100/10001000Base-T,自带两个堆叠口,1 个模块插槽 1 1 台台4385043850 13LSHM1XP2P3H3CH3C H3C S5600 功能模块-2 端口万兆 XFP 光接口以太网模块 2 个2690053800 14XFP-LX-SM1310H3CH3C 光模块-XFP-10G-单模模块-(1310nm,10km,LC) 2 个2160043200 15SFP-GE-LX-SM1310-AH3CH3C 光模块-SFP-GE-单模模块-(1310nm,10km,LC) 17 个320054400 16 汇聚交换机、服务器交换机汇聚交换机、服务器交换机 LS-5500-28C-EILS-5500-28C-EI H3CH3C H3C S5500-28C-EI-以太网交换机主机(24 个 10/100/1000Base-T+4 个 100/1000Base-X SFP Combo+2Slots) 36 台台21600777600 17 SFP-GE-LX-SM1310-AH3CH3C 光模块-SFP-GE-单模模块-(1310nm,10km,LC) 33 个3200105600 18 SFP-GE-SX-MM850-AH3CH3C 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 36 个185066600 19 接入层交换机、外网接入层交换机、外网 2424 口口 交换机交换机 LS-5100-24P-SI-H3LS-5100-24P-SI-H3 H3CH3C H3C S5100-24P-SI 以太网交换机主机,24 个 10/100/1000Base-T,4 个 combo SFP 52 台台9800509600 20SFP-GE-SX-MM850-AH3CH3C 光模块-SFP-GE-多模模块-(850nm,0.55km,LC) 52 个185096200 21 网管软件网管软件 SWP-IMC-IMPW-CNSWP-IMC-IMPW-CN H3CH3C 功能模块-H3C iMC-SW7M1IMPW-智能管理平台(含 50 节点) For Windows-纯软件(CD)中文版 1 套4530045300 22 LIS-IMC-IMPA-CN-50H3CH3C License 授权函-H3C iMC-SW7M1IMPA-智能管理平台 license 费用-管理 50 节点 1 套2360023600 23 防火墙防火墙 NS-SecPathNS-SecPath F1000-A-ACF1000-A-AC H3CH3C H3C SecPath F1000-A 主机-双交流电源(2GE/1Slot) 1 台9720097200 24 入侵防御系统入侵防御系统 NS-SecPathNS-SecPath T1000-ST1000-S H3CH3C H3C SecPath T1000-S-IPS 主机(4GE 电口+2SLOT)-含一年 特征库升级,一年病毒库升级 1 台356400356400 28876002887600 6 6 服务质量保证（服务质量保证（QoSQoS）设计）设计 6.16.1采用采用QoSQoS的必要性的必要性 在综合业务网络系统中，存在着各种应用，多种不同类型的数据流，比如 WWW、FTP、语音视频等。每一种应用都有各自的特点，包括应用对传输时间的要求、 应用数据的重要程度及优先级等因素。这些应用数据流的混合传输，使得关键业务应 用经常得不到足够的带宽，音视频应用也产生延时等。 面对这样的问题，可以采取很多方法： 用户分级：限制一些需要访问占用大量带宽的网络应用的用户。 升级网络带宽：对网络进行升级，在网络边缘增加更多带宽。 建设智能骨干网：在骨干设备中添加 QoS 功能。 (1)(1)用户分级用户分级 实行用户分级别管理，不同级别用户有不同的操作权限，提高系统安全性。这可 能是最常见的一种解决问题的方法，运用规章制度来管理网络的使用。虽然对带宽管 理有一定效果，但是并不能有效的控制不同应用数据流对网络系统的要求。 (2)(2)升级网络带宽升级网络带宽 很明显，升级网络带宽首先是费用问题。这需要在边缘增加带宽，还对骨干网路 由器的性能也提出了较高的要求。其次，即使投资费用不是问题，增加网络带宽也解 决不了实质问题，因为 TCP/IP 数据流的本性就是尽可能地利用并消耗更大的带宽。所 以靠增加额外的带宽并不能有效缓解 IP 与非 IP 流间利用带宽的平衡、关键任务与非 关键任务间利用带宽的平衡。 (3)(3)建设智能骨干网建设智能骨干网 解决数据流拥塞问题的根本方法还是依赖于服务质量（Quality of Service，即 QoS） 。QoS 的意义在于可以将不同的数据流类型划分成不同的优先级，据它们优先级的 不同在网络层进行流量控制和资源分配，为有不同服务需求的业务提供有区别的服务， 正确地分配和使用资源。在进行资源分配和流量控制的过程中，尽可能地控制好那些 可能引发网络拥塞的直接或间接因素，减少拥塞发生的概率；并在拥塞发生时，依据 业务的性质及其需求特性权衡资源的分配，将拥塞对 QoS 的影响减到最小。因此，QoS 带宽管理方案具有优越的成本效益比。 网络上的一些应用如 FTP 和 Web 等 TCP/IP 数据流经常在自然状态下突然超出传输 极限，并在某些至关重要的时刻占据整个网络带宽容量并导致数据拥塞。因此，需要 对此类的数据加强传输策略控制，并为重要应用预留带宽。专用的 QoS 解决方案可以 通过向各种数据传输类型提供优先权设置的方法，实现最适宜的带宽调度，并确保某 些关键应用在最需要带宽保障的时候能够如愿以偿。 我们认为应该针对网络系统中不同的业务应用综合使用 QoS 技术。这样才能充分 利用网络资源，提供对网络系统中各种类型应用的良好支持，确保网络平台对关键业 务应用能够发挥最大的效能，满足业务应用的需求。 6.26.2 QoSQoS服务模型服务模型 服务质量（QoS）是一个术语，用来定义网络给不同形式的流量提供不同级别的服 务保障的能力，它的目标是提供有效的端到端的服务质量控制或保证。 传统的 IP 传输业务称为“尽力而为”型服务（Best-Effort service） ，是最简单 的服务模型，不需要 QoS 控制也不提供 QoS 保证。传统的信息传输控制一般不依赖于 网络状态，带宽分配可以动态的改变。应用程序可以在任何时候，发出任意数量的报 文，而且不需要事先获得批准，也不需要通告网络。网络则尽最大的可能性来发送报 文，但对时延、可靠性等不提供任何保证。某些应用能在这种模式下正常运行，例如 FTP 和 HTTP 等。但是，对于一些对网络延迟、带宽波动和其他网络条件变化敏感的应 用来说，如视频会议、视频点播、IP 电话、远程教育等多媒体应用，这不是一个最佳 的服务模型。例如，网络电话应用可能需要稳定的带宽数量，这样它才能正常地工作， 对这些应用提供“尽力而为”型服务会导致电话呼叫失败或在通话时中断。 为了满足多媒体应用实时传输的需求，IETF 提出了两种不同的 QoS 体系结构：综 合服务（Integrated service，Intserv）和区分服务（Differentiated service，Diffserv） 。 综合服务综合服务: : 综合服务的基本思想是在传送数据之前，根据业务的 QoS 需求进行网络资源预留， 从而为该数据流提供端到端的 QoS 保证。资源预留协议 RSVP 是综合服务的核心，是一 种信令协议，用来通知网络节点预留资源。如果资源预留失败，RSVP 协议会向主机发 回拒绝消息。 综合服务模型在发送报文前，需要通过信令（signal）向网络进行特定服务的申 请。应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求，包括带宽、 时延等，在收到网络的确认信息后（即网络已经为这个应用程序的报文预留了资源） 再发送报文，而发出的报文应该控制在流量参数描述的范围内。 网络在收到应用程序的资源请求后，执行资源分配检查（Admission control） ， 即基于应用程序的资源申请和网络现有的资源情况，判断是否为应用程序分配资源。 一旦网络确认为应用程序的报文分配了资源，则只要应用程序的报文控制在流量参数 描述的范围内，网络将承诺满足应用程序的 QoS 需求。而网络将为每个流（flow，由 两端的 IP 地址、端口号、协议号确定）维护一个状态，并基于这个状态执行报文的分 类、流量监管（policing） 、排队及其调度，来满足对应用程序的承诺，具有面向连接 的特性。 综合服务能够在 IP 网上提供端到端的 QoS 保证。但是，综合服务对网络设备的要 求很高，当网络中的数据流数量很大时，路由器的存储和处理能力会遇到很大的压力。 因此，综合服务可扩展性比较差，难以在大型核心网络实施，目前综合服务可以应用 在网络的边缘上。 区分服务区分服务: : 区分服务的基本思想是将用户的数据流按照服务质量要求来划分等级，任何用户 的数据流都可以自由进入网络，但是当网络出现拥塞时，级别高的数据流在排队和占 用资源时比级别低的数据流有更高的优先权。区分服只承诺相对的服务质量，而不对 任何用户承诺具体的服务质量指标。 区别服务模型可以满足不同的 QoS 需求。与 Intserv 不同，它不需要信令，即应 用程序在发出报文前，不需要通知路由器。网络不需要为每个流维护状态，它根据每 个报文指定的 QoS，来提供特定的服务。可以用不同的方法来指定报文的 QoS，如 IP 包的优先级位（IP Precedence） 、报文的源地址和目的地址等。网络根据这些信息来 进行报文的分类、流量整形、流量监管和排队。 通常在配置 Diffserv 时，在网络边界的路由器通过报文的源地址和目的地址等对 报文进行分类，对不同的报文设置不同的 IP 优先级，而其他路由器只需要用 IP 优先 级来进行报文的分类。 区分服务只包含有限数量的业务级别，状态信息的数量少，因此实现简单，扩展 性较好。目前，区分服务是业界认同的 IP 骨干网的 QoS 解决方案。 服务模型选择服务模型选择: : Intserv 与 Diffserv 都能提供多服务的 QoS 保障。从技术上看，Intserv 具有面 向连接的特性及思想，这与 IP 技术本身无连接特性是不符合的，容易导致网络的复杂 化；从实现看，Intserv 需要网络对每个流均维持一个软状态，因此会导致设备性能的 下降，或实现相同的功能需要更高性能的设备，另外，还需要全网设备都能提供一致 的技术才能实现 QoS。 而 Diffserv 则没有这方面的缺陷，且处理效率高，部署及实施可以分布进行，它 只是在构建网络时，需要对网络中的路由器设置相应的规则，会使配置管理比较复杂。 因此，一般来讲，利用现有技术提供 IP QoS 时，为了实现规模适应性，在 IP 承 载网络中往往采用 Diffserv 体系结构。所以，推荐网络系统的 QoS 服务模型采用 Diffserv 体系结构。 6.36.3 QoSQoS技术技术实现实现 网络设备对转发报文进行 QoS 保障的处理，发生在报文从设备的一个接口进入， 到从另一个接口出去的整个过程中。从技术上，这个过程按照处理顺序分为报文分类、 拥塞管理、拥塞避免、流量监管与整形等部分。 报文分类报文分类 报文分类是 QoS 的基础，只有区分了不同的报文业务，才能进行分别处理及保障 相应业务的服务质量。一般在网络边界，利用 ACL 等技术，根据物理接口、源地址、 目的地址、MAC 地址、IP 协议或应用程序的端口号等依据对报文进行分类，并同时设 置报文 IP 头的 TOS 字段作为报文的 IP 优先级；在网络的内部则可使用边缘设置好的 IP 优先级作为分类的标准，以提高网络的处理效率。 拥塞管理拥塞管理 网络资源总是有限的，当网上业务流量超过网络提供的能力时，即发生了拥塞。 在发生拥塞时，如何进行管理和控制呢？处理的方法是使用队列技术。在一个接口没 有发生拥塞的时候，报文在到达接口后立即就被发送出去；在报文到达的速度超过接 口发送报文的速度时，接口就发生了拥塞。拥塞管理就会将这些报文进行分类，送入 不同的队列；而队列调度对不同优先级的报文进行分别处理，优先级高的报文会得到 优先处理。不同的队列算法用来解决不同的问题，并产生不同的效果。常用的队列有 FIFO、PQ、CQ、WFQ 等，下面简单介绍各种队列技术的特性。 (1)(1)先进先出队列（先进先出队列（FIFOFIFO） 顾名思义，先进先出队列（简称 FIFO）不对报文进行分类，按报文到达接口 的先后顺序让报文进入队列，在队列的出口让报文按进队的顺序出队，先进的报文 将先出队，后进的报文将后出队。 (2)(2)优先队列（优先队列（PQPQ） 优先队列（简称 PQ）对报文进行分类，将所有报文依据预先配置分成最多 4 类，按照先进先出的策略分别进入 4 个优先级不同的队列。在报文出队的时候，高 优先级的队列相对于低优先级的队列具有绝对的优先权，只有高优先级队列报文发 送完毕，较低优先级才得到发送，而且较低优先级的报文会在发生拥塞时被较高优 先级的报文抢断。因此采用这种队列机制可以保证在网络发生拥塞的情况下，重要 业务（高优先级）的数据传输得到绝对的优先传送。但在较高优先级的报文的速度 总是大于接口的速度时，会使较低优先级的报文始终得不到发送的机会。 (3)(3)定制队列（定制队列（CQCQ） 定制队列（简称 CQ）根据设置将所有报文分成最多至 17 类，按照先进先出的 策略分别进入 1 个系统队列和 16 个用户队列。在出队调度上，系统队列具有绝对 的优先权，系统总是先处理完该队列后再用处理用户队列；16 个用户队列占用出 口带宽的比例可以设置，CQ 按定义的比例使各队列之间在占用的接口带宽上满足 管理员预先配置的比例关系。采用这种队列机制，当拥塞发生时，能保证不同业务 根据比例获得相应的带宽占用，从而既保证关键业务能获得较多的带宽，又不至于 使非关键业务得不到带宽，避免 PQ 的一些缺点。另外，没有拥塞时，各业务可以 根据流量中业务的相对比例充分使用接口带宽，提高资源利用率。 (4)(4)加权公平队列（加权公平队列（WFQWFQ） 加权公平队列（简称 WFQ）对报文按流进行分类（相同源 IP 地址，目的 IP 地 址，源端口号，目的端口号，协议号，TOS 相同的报文属于同一个流） ，每一个流 被分配到一个队列。在出队发送的时候，WFQ 根据报文分类时设置的流的优先级 （precedence）来分配每个流应占有出口的带宽。优先级的数值越小，所得的带宽 越少。优先级的数值越大，所得的带宽越多。在拥塞发生时，它能保证任何流量的 流（业务） ，都能公平地得到一定的带宽占用，减少这个网络的时延，并当流（业 务个数）的数目减少时，能自动增加现存流可占的带宽。 拥塞避免拥塞避免 由于网络资源有限，当拥塞发生时，按照传统的队列尾丢弃处理方式。对于 TCP 报文，会引发 TCP 的慢启动和拥塞避免机制，使 TCP 减少报文的发送。当同时丢弃多 个 TCP 连接的报文时，将造成多个 TCP 连接同时进入慢启动和拥塞避免，称之为 TCP 全局同步。这使得发向网络的报文流量总是忽大忽小，线路上的流量总在极少和饱满 之间波动，造成网络利用率降低。 为了避免这种拥塞情况的发生，可以采用随机早期检测（RED）或加权随机早期检 测（WRED）的丢弃策略，可避免使多个 TCP 连接同时降低发送速度，避免 TCP 的全局 同步现象。这样，无论什么时候，总有 TCP 连接在进行较快的发送，提高了线路带宽 的利用率，降低拥塞的发生。丢弃策略对网络中 TCP 方式的应用有比较好的效果，但 对网络中 UDP 数据产生的拥塞则不会有很大的改善。 (1)(1)随机早期检测随机早期检测 REDRED（RandomRandom EarlyEarly DetectionDetection） 随机早期检测 RED 丢弃算法可以避免