网络安全项目网络建设方案

广发证券网络安全项目网络部分建设方案书2023．5目录TOC\o"1-3"\h\z1 简介 32 网络安全项目网络部分技术规定及说明 33 设计总体考虑 34 网络设计原则 45 解决方案 65.1 网络解决方案描述 65.2 广东数据中心的设计 75.3 分公司（区域中心）网络系统 85.4 OA总部设计 95.5 独立营业部设计 105.6 广域网络的备份 105.7 IP语音 115.7.1 IP语音工作原理 115.7.2 语音接点的布设及PBX的选择 115.7.3 带宽规定 115.7.4 对PBX的规定 115.8 系统管理 125.8.1 CISCO网络设备的管理 125.8.2 策略的管理 125.8.3 IPVOICE管理 125.8.4 CA网管平台 136 性能分析 186.1 先进性 186.2 安全性 206.3 保证服务质量 206.4 可扩展性 236.5 便于向新的技术发展 236.6 采用工业标准化技术，具有好的互联特性 237 实行方案 247.1 技术细节 247.1.1 IP地址规划 247.1.2 路由协议的选择 267.1.3 IP语音技术细节 317.1.4 信息流策略--实现QoS 368 产品简介 448.1 Cisco7500系列路由器 448.2 Cisco3600路由器 508.4NSM高级网络模块介绍 53

广发证券网络安全项目网络部分建设方案书简介本方案书是按照广发证券网络安全项目招标文献网络部分简要技术说明、广发证券的现状和实际需求而设计的解决方案。网络安全项目网络部分技术规定及说明网络安全项目网络部分综合业务信息平台的建设以广东计算中心和全国12家分公司，87个营业部的广域网连接为主，其中广州、上海等12家分公司作为区域中心供本地营业部的接入，同时考虑建立IP语音的测试平台，为将来在公司范围内的IP语音和视频应用的推广打好基础。需求：· 广域网络结构整体性规划和设计，涉及整体网络拓扑结构的建议，路由算法的选择和优化等工作。· 网络性能分析和改善建议，涉及对广域网和局域网的流量分析和记录，对网络传输性能的优化改善建议。· 网络管理方案设计和实行，涉及对局域网和广域网的网络管理和监控方案的设计和实行。· 网络重大故障的技术支持策略。设计总体考虑当今网络的发展正远远超过了单纯追求基本连通的历史阶段。我们在网络连通基础上需要更高规定的网络服务内容，涉及QoS网络服务质量，Security安全性服务，Reliability高可靠性，Scalability可扩展性等增值服务。如图所示Cisco所建议的网络方案总体结构基于三层模型：即网络硬件的互连环境层，网络软件的增值服务层及多层次网络管理层。其中网络硬件互连环境重要指传统意义上的网络互连设备，涉及互换机，路由器，拨号访问服务器等设备环境。Cisco公司建议采用端到端的网络方案，即采用重要有一家公司的涉及互换机，路由器，拨号访问服务器软硬件产品。由于只有这样才干真正实现端到端的网络性能，端到端的网络安全性，端到端的服务质量以及端到端的网络管理，从而在节省开销的同时，大大提高网络的经济效益。广发证券在综合业务信息平台的总体设计思想和第一期建设正是体现了上述思想。网络设计原则先进性作为广发证券的新一代信息系统的承载网络，网络系统解决的信息量是十分庞大的，规定计算机网络有很高的工作效率。并且随着业务的快速发展，系统面临的任务也愈来愈艰巨，所以，我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证解决数据的高效率，技术上的先进性将保证系统工作的灵活性，技术上的先进性将保证网络的可靠性，技术上的先进性也使系统的扩充和维护变得十分简朴。我们将在网络构架，硬件设备，传输速率，协议选择，安全控制和虚拟网划分等各个方面充足体现广发证券的宽带广域网网络系统的先进性。可靠性在广发证券的宽带广域网网络设计中，很重要的一点就是网络的可靠性，即坚固性。在外界环境或内部条件发生突变时，如何使系统保持正常工作，或者在尽量短的时间内恢复正常工作，在设计时对可靠性的考虑，可以充足减少或消除因意外或事故导致的损失。安全性随着计算机技术的发展，特别是网络和网络间互联的规模的扩大，信息和网络的安全性日益受到重视。面临十分严厉的安全性挑战。我们在网络设计时，将通过访问控制列表、防火墙、IP隧道等技术来保证广发证券的宽带广域网网络系统的安全。标准化从发展的眼光看，计算机信息系统就是要实现信息的共享，完毕不同制造厂商的设备和计算机软、硬件资源的数据互换。为此必须建立一个由开放式、标准化的网络结构体系，满足当前可实现的技术，又能适应此后新技术的引进、开发和推广。我们建议采用的Cisco系列产品是目前业界支持协议最多、接口介质最广泛的网络产品。可管理性和可维护性网络设计中，对网络主干的有效管理也是必须考虑的重要因素。一个有效的网络管理方案不仅要涉及建立各级网管中心的设备及软件，并且要涉及配置各种设备的必要顾问服务。尤为重要的是，要能帮助用户制定网管策略和网管中心运作机制。在网络投入运营初期，提供现场顾问服务也是必须的。在满足上述多项原则的基础上，尽也许减少工程造价，追求最优的性能/价格比。当然，高性能与高可靠性是以高投入为代价的。最终的方案一定是性能与价格折中的产物。可扩展性随着广发证券的各项业务的快速发展，网络系统面临的任务将愈来愈艰巨，愈来愈复杂。为了适应这个变化和日新月异的计算机技术的发展，我们设计的网络十分注重扩充性。无论是网络硬件还是系统软件，都可以方便的扩充和升级，关键设备的扩充和升级时，系统将无需中断正常的工作。上述系统设计的原则将自始自终贯穿整个系统的设计和实现。解决方案网络解决方案描述根据以上网络设计原则，我们对广发证券的宽带广域网部分作如下设计：由上图可见，广发证券的宽带广域网中心位于计算中心，与总部OA中心、Internet等外联系统连接；同时提供区域中心、广东地区营业部等接入。上海、北京等12家分公司作为区域中心供本地营业部的接入；同时，上海、北京等12家区域中心以及广东地区除分中心管理外的其他营业部(直接连接到信息中心)接入。整个系统构成了广发证券的综合信息平台，目前重要为广发证券提供交易、办公提供数据应用的支持，同时提供IP语音平台，为将来在公司范围内的IP语音和视频应用的推广打好基础。系统中的所有区域中心及营业部，主链路均采用中国电信的DDN,按照上述描述连接；首选的备份链路均采用ISDN/PST；第二份备份链路采用现有的卫星系统保持不变。安全问题详见安全解决方案。广东数据中心的设计信息中心是广发证券宽带广域网的数据中心和通讯中心，采用一台Cisco7507高端路由器作为主干广域网路由器，与中国电信的长途干线网连接，在本期工程中，与区域中心合OA总部的连接采用1Mbps的DDN链路，与营业部的连接采用256Kbps的DDN链路（建议）。另采用一台Cisco3662多功能路由器作为PSTN/ISDN访问服务器，提供备份接入，它可以自动辨认模拟信号和数字信号，调配相应的模拟modem或数字modem与之握手；同时Cisco3662路由器还起着VoIP语音网关的作用，通过1个E1模块与上海本地的PBX相连接，提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙，互为热备份，完毕安全防卫任务，同时提供IPSec的VPN隧道技术的支持。信息中心的局域网采用原有CiscoCatalyst6509Switch不变，实现与各地网络之间的高速数据互换。对于在数据中心的外联系统涉及Internet和银行等均包含在统一的接入中心互换平台上，使用高端防火墙作安全隔离，接入中心交易平台使用三层互换技术和网络地址翻译技术来保证连接各个不同的单位。分公司（区域中心）网络系统分公司是区域数据中心和通讯中心，采用一台Cisco3662高端路由器作为主干广域网路由器，与数据中心7506主干路由器经DDN连接，同时提供下属营业部主链路接入；另采用一台Cisco3662多功能路由器作为PSTN/ISDN访问服务器，提供与数据中心备份连接，，同时提供下属营业部备份链路接入；；同时Cisco3662路由器还起着VoIP语音网关的作用，通过FXO端口与本地PBX相连接，提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙，互为热备份，完毕安全防卫任务，同时提供IPSec的VPN隧道技术的支持。OA总部设计OA总部是OA等业务系统中心，采用一台Cisco3662高端路由器作为主干广域网路由器，与数据中心7506主干路由器经DDN连接；另采用一台Cisco3662多功能路由器作为PSTN/ISDN访问服务器，提供与数据中心备份连接；同时Cisco3662路由器还起着VoIP语音网关的作用，通过FXO端口与本地PBX相连接，提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙，互为热备份，完毕安全防卫任务，同时提供IPSec的VPN隧道技术的支持。独立营业部设计其他地区的营业部目前在第一期工程时先采用一台Cisco2651多功能路由器通过1条256Kbps的DDN长途链路与信息中心或区域中心主路由器相连接，通过ISDN/PSTN进行主链路的备份。在广域网路由器与内部局域网之间采用一台防火墙，在完毕安全防卫任务。目前这些营业部涉及北京、上海、广东地区等，共87个。广域网络的备份在数据中心配置了一台多功能Cisco3660路由器作为VoIP语音网关和ISDN/PSTN备份连接网络接入服务器，可同时容纳30条普通MODEM或数字MODEM进行备份连接，满足广发证券总的备份能力的需求。同时还可兼作移动用户的接入访问控制服务器。此外，我们建议采用原有的卫星线路作为第二条备份链路。IP语音IP语音工作原理语音接点的布设及PBX的选择针对IP语音的建立，在上海数据中心的3662路由器上增长一个E1端口的语音模块，用于连接PBX；信息中心的PBX推荐采用数字互换系统，采用该互换机还可为将来的IPCallCenter打下基础。在区域中心和OA总部的3662则使用8线FXO的两个语音模块连接本地的PBX；可建立VoIP的平台，作广发证券全面实行IP语音准备。带宽规定一路语音在传统的TDM电讯系统中传输需占用64K带宽，而运用新的IP技术可将其压缩至10~12K。当广域网线路的运用率超过70%的时候，网络性能将会呈线性下降。所以，为保障网络的质量，8路并发语音所需要带宽为：|8K*10/70%|=114K。对PBX的规定采用本方案需要总部的PBX支持E1接入。若不支持则根据具体情况需要更改为路由器的语音接口为E&M或FX0接口。系统管理PAGE\#"'页：'#'

'"加入策略管理、IPVOICE管理PAGE\#"'页：'#'

'"加入策略管理、IPVOICE管理CISCO网络设备的管理在广发证券的语音网络中我们配置了CiscoWorks2023LANManagement和CiscoWorks2023RoutedWANManagement，为广发证券提供配置、管理、监控和故障诊断工具。其具有基于Web的解决方案带有管理互换和路由环境的应用。策略的管理在广发证券的语音网络中我们配置了CiscoWorks2023CiscoSecurePolicyManager，是一个用于Cisco防火墙和虚拟专网(VPN)网关的可伸缩、强大的安全政策管理系统。通过CiscoSecurePolicyManager，Cisco客户可以集中定义、分发、执行和审计网络范围的安全政策。该产品使管理复杂网络安所有件的任务流程化，例如周边访问控制、网络地址转换(NAT)和基于IPSec的VPN。通过CiscoSecurePolicyManager的图形用户界面，管理员可以直观地为多个Cisco防火墙和VPN网关定义高级安全政策。在创建时，这些政策可以集中分发，从而消除了逐设备实行安全命令的代价高昂、花费时间的实践。此外，该产品还提供系统审计功能，涉及事件告知和一个基于Web的报告系统。作为Cisco端到端安全产品线的管理基础，CiscoSecurePolicyManager在Cisco网络内简化了安全产品和服务的部署。同时系统还配置了CiscoQoSPolicyManager，它是一个全特性的政策系统，它简化了为公司网络配置和部署QoS政策的复杂性。IPVOICE管理在广发证券的语音网络中我们配置了CiscoWorks2023VoiceManager2.0(CVM)，CVM提供了基于Web的语音管理和报告的解决方案。它具有了配置语音端口以及建立/更改VoiceOverIP网络中的拨号计划的能力。它能自动检测网络状况，包具有检测网络故障的工具以及通话的具体资料，如通话质量、历史数据等。CiscoVoiceManager是通过TCP/IP网络与VoIP的设备建立联系。即用户使用通常的web浏览器（Netscape、IE）通过标准的超文本协议（HTTP）与CiscoVoiceManagerServer进行通讯。同时，CiscoVoiceManagerServer则通过简朴网络管理协议（SNMP）与支持语音的设备进行通讯。因此也就实现了用户通过WEB浏览器来管理VoIP网的功能。CA网管平台系统运营状况和可用性管理概念和范围系统运营状况和可用性监控是保证整个IT系统顺利、高效运作的最基本的功能，他通过监控网络线路、设备、服务器、数据库和应用系统的可用性和运营状况，为其他各种ESM管理功能提供数据来源。我们建议首期广发证券网络系统运营状况和可用性管理的范围是：· 广发证券网络系统数据中心局域网络/设备管理· 广发证券网络系统广域网线路/设备管理· 广发证券网络系统中心关键服务器操作系统· 广发证券网络系统关键数据库系统（如SQL）对这些对象进行性能管理的目的是实时监控其关键参数的运营状态和故障情况，通过直观简洁的图形用户界面集中表现出来。发生不同严重限度的警告和故障，以直观的发生呈现给管理员，以便及时解决。实现方案为了在上述范围内实现集中的可用性和故障管理，我们建议在网络中心采用一台PC服务器，通过Unicenter的相关管理模块完毕可用性和故障管理功能。此外，对操作系统、数据库和应用系统的管理需要这些服务器的参与-在这些计算机上部署CA相关管理软件。我们建议的广发证券网络系统运营状况、可用性和故障管理由如下不同部分组成：· UnicenterNSM，负责收集管理范围内所有的网络线路、设备、服务器、数据库系统的运营状况、可用性和故障信息，通过直观用户界面实时展示给客户。广发证券网络系统各个被管理服务器上的NSM模块负责监视本机操作系统，收集可用性和故障数据，通过管理主控台集中反映。监控内容涉及网络设备解决器、缓冲区、端口、线路故障和可用性，操作系统CPU、内存、互换区、文献系统、文献、磁盘、进程、日记文献等。· UnicenterNSMAdvancedNetworkOperations，该模块安装在管理主控台上，负责对不同网络设备、资源的特性进行进一步监控和管理。如监控、控制局域网VLAN划分、监控网络途径可用性、基于PVC监控帧中继线路可用性和故障等等本方案建议的系统管理功能从各种不同的来源采集数据：· 广域网络内的各地分公司安装一套UnicenterNSM，负责采集本网络内的有关系统信息，同时受信息中心的UnicenterNSMConsole统一管理；· 网络线路和设备可用性和故障管理通过SNMP协议，采集网络设备的MIBII以及设备专用的MIB信息库完毕；同时通过ICMP协议定期Ping各个节点，探测设备可用性；· 系统、数据库和应用系统故障和可用性管理由安装在被管机上的模块监视系统，收集数据。运用Unicenter的Agent技术透过SNMP向管理主控台传递数据。性能管理和容量规划概念和范围性能管理重要是针对IT系统中网络线路和设备、操作系统和数据库系统的性能情况进行监控和分析的。与系统可用性和故障不同，系统性能减少虽然不会立刻导致系统瘫痪，但延长了业务的响应时间，浪费了系统软件的投资和业务人员的时间，减少了工作效率。假如系统性能问题长时间得不到解决，还也许积累起来，形成严重的故障。因此，系统性能管理也是保证整个IT系统可靠、稳定、高效运作的关键，是网络正常运营的重要的部分之一。为了实现有效的性能管理策略，广发证券网络系统的技术支持人员应当从两个基本方面进行工作：· 平常系统性能监控，发现和解决各种性能问题；· 定期进行长期的性能趋势分析和规划。对这些对象进行性能管理的目的是为每一项性能参数设立门限值，产生实时和历史的性能报表，性能指标超过门限值时产生报警并告知事件管理功能(实现自动响应动作和通过帮助台的人工响应)。该目的也涉及端到端的响应时间监控。对性能管理的高级目的是通过性能管理功能提供的专家建议和性能优化工具，帮助管理员更快、更对的地进行性能调整。实现方案为了在上述范围内实现集中的性能管理和容量规划功能，我们建议在中心采用两台PC服务器，通过Unicenter的相关性能管理模块完毕性能管理功能。使用两台服务器做事件管理是为了增长冗余度，提高系统可用性和可靠性。建议该服务器与系统运营状况和可用性管理共享硬件设备。此外，对操作系统、数据库和应用系统的性能管理需要这些服务器的参与-在这些计算机上部署CA性能管理软件。我们建议的广发证券网络系统性能管理由以下不同部分组成：· UnicenterPerformanceManagement，负责收集管理范围内所有的网络线路和设备的性能数据，集中保存、汇总这些数据，生成实时和历史性能报告，检测和记录性能问题，并通过事件管理功能自动响应，通过帮助台系统人工响应；本方案建议的性能管理功能从各种不同的来源采集数据：· 网络线路和设备性能管理通过SNMP协议，采集网络设备的MIBII、RMONV1、RMONV2以及设备专用的MIB信息库完毕；· 系统和数据库性能管理由安装在被管机上的模块收集数据，进行性能调整。他们之间通过CA通用服务CAFT数据传送机制传输数据，采集的数据涉及CPUUtilization、DiskInfo、FileAccessinfo、BufferActivity、SystemCallStatistics、MemoryFreeingActivity、Message&SemaphoreActivity、PagingActivity、Queuelength、MemoryUsage、SwappingActivity、TerminalActivity、TotalLoggedinUsers、Filestoreusage、Processinformation等等角色和责任广发证券网络系统ESM性能管理功能重要有三种业务人员：技术支持、平常操作和管理。技术支持人员负责性能管理策略的制定和实行过程；平常操作人员通过性能管理工具进行平常的性能监控、和性能问题解决；管理人员通过性能分析报表完毕性能趋势分析和容量规划。技术支持人员定制性能管理策略并通过性能管理软件部署这些策略，操作人员监视平常性能状况，出现性能问题后调用自动解决过程进行调整，或者通过事件管理或帮助台系统告知技术支持人员，技术支持人员人工优化解决性能问题。历史性能报表提交管理人员，作为趋势分析和容量规划的依据。业务流程性能问题解决流程该流程定义平常工作中性能参数超过定义的门限值时采用的环节和动作。性能管理软件监测到性能超过定义门限，把问题自动报告到事件管理。事件管理根据问题性质在三种解决方式中选择：· 执行预定义的调整和修复动作· 告知技术支持人员手工解决· 自动在帮助台系统生成问题定义，由帮助台系统分派、跟踪问题的解决。平常操作流程该流程定义操作人员平常对网络、系统和应用性能管理的监控和解决过程。性能报表解决流程该流程定义历史性能报表的产生和解决过程。对网络、性能和应用的性能数据采集器定期把数据上送到管理主控台，管理主控台自动存储汇总这些数据。技术支持人员定期生成性能月报，并提交给规划管理人员，管理人员审查性能报报告，进行容量规划。管理方案前一章按照不同的管理功能和流程描述理CA推荐广发证券网络系统应当部署的功能、范围以及实现方案。本章从软硬件方案的角度描述CA实现这些功能所采用的方案。硬件规定在我们的管理方案中，ESM的管理运用广发证券网络系统现有的网络设施实现ESM相关功能，同时需要增长下列服务器资源：(1) 网络系统主控台一台（位于广域网中心）建议采用高档PC服务器作为系统管理机，分别担任不同管理功能的服务器和主控台。o IntelPentiumIII666MHzorhighero 1024MBRAMo EthernetNICo Color1024x768SVGAo CD-ROMdriveo Minimum40GBSCSIharddisko WindowsNTServer4.0withServicePack4orwindows2023servero MS-SQLServerv6.5orhighero MicrosoftExcelo MicrosoftInternetInformationServer4.0o TCP/IPconnectivityo SNMPserviceenabled（2）各地分公司建议采用高档的PC机做本地管理中心o IntelPentiumII266MHzMMXminimumorhighero 256MBRAMo EthernetNICo Color1024x768SVGAo CD-ROMdriveo Minimum20GBharddisko WindowsNTServer4.0withServicePack4orwindows2023servero MS-SQLServerv6.5orhighero MicrosoftExcelo MicrosoftInternetInformationServer4.0o TCP/IPconnectivityo SNMPserviceenabled（2）各营业部建议采用废弃的PC机做本地信息收集机软件配置1） 主控台上部署如下产品，完毕系统运营状况和可用性管理、性能管理和容量规划、事件管理功能。· UnicenterNSM，网络、服务器、数据库的运营状况、可用性和故障管理模块；并结合安装在各分公司的子模块和客户端上的Agent统一进行日记管理和事件管理。· UnicenterAdvancedNetworkOperations，该模块安装在管理主控台上，负责对不同网络设备、资源的特性进行进一步监控和管理。如监控、控制局域网VLAN划分、监控网络途径可用性、基于PVC监控帧中继线路可用性和故障等等· UnicenterPerofrmanceManagement，对网络、服务器性能进行管理的模块。2）在各地分公司的本地管理中心上：· UnicenterNSM，作为广域网中心的子模块，负责本地分公司和营业部的网络、服务器、数据库的运营状况、可用性和故障管理模块；并结合安装在各客户端上的Agent统一进行日记管理和事件管理。性能分析先进性我们在广发证券宽带广域网系统中所采用的Cisco7500系列，Cisco3662系列等都是Cisco公司的高档高性能产品。它们功能强大，性能卓越，提供了高性能，高可靠性，高扩充性和灵活简易的管理功能。传统的网络层互换中，每个数据包要顺序通过多次任务解决，因而会影响网络性能，并且不保存网络的连接状态，如下图所示：NetFlowSwitching旨在优化CiscoIOS网络层的互换性能，NetFlowSwitching可以拟定互联网中端到端的数据流，仅仅对于数据流中的第一个数据包进行解决，然后基于端到端的连接进行数据包的互换，如下图所示。运用Cisco在其整个产品系列中实现的NetFlow功能，当网络节点大量增长时，我们仍然可以得到高的包吞吐量。NetFlowSwitching旨在优化CiscoIOS网络层的互换性能。IPMulicast支持大量的多媒体的应用，是指针对特定的用户组传输相同的数据，例如电视会议和MPEG-2标准的视频传播。对于此类多媒体的应用，有一种刚刚起步就已经被广泛采用的技术：多路广播（MultiCast）。和一般的Unicast，Broadcast相比，MultiCast在主干上只传输一份拷贝，大大节省了带宽。对于MultiCast，较成熟的协议有IGMP。但是传统的IGMP只定义到路由器的端口，在互换机构成的网络中仍然以广播方式传输。Cisco在IGMP基础上设计了CGMP，使MultiCast在互换机构成的网络中仍然为MultiCast。对于多媒体应用，一方面可以运用IP的RSVP，千兆以太网的QoS来保证多媒体信息传输的质量，另一方面，可以通过多路广播来减轻骨干网数据的流量。在微软提出NetShow和NetCast之后，将来网络中必将有大量的多媒体应用，采用一般的网络技术极易产生网络流量的瓶颈，网络会不堪重负，MultiCast的技术的重要性将日益突出。在我们建设的网络中，所有的Cisco的网络设备涉及路由器和互换机均支持IPMulticast功能，为视频点播，远程教学和视频会议应用系统的实行铺平了道路，更加提高了带宽的运用率，这一点Cisco远远走在业界的前列。对于不支持多点广播的应用，为了提高质量，可以运用VLAN技术，把需要联系的节点定义成一个虚拟网，在此虚拟网内的数据通信不受外部的影响也不会影响无关节点。Cisco的设备支持RSVP标准，并且可以通过在路由器或互换机内设立不同的优先级队列来满足实时数据对带宽的规定。即使应用是基于UDP或TCP等协议，Cisco的设备也可以通过优先级队列来设立此应用可以得到的服务质量。Cisco产品有比较好的QOS服务质量的保证:相应用数据流设定队列优先级可以通过IPPrecedence(IP予留和抢先技术)支持每个流量队列技术per-flowqueuing(PFQ)，来保障对延时敏感的业务；可以针对IPsource(原地址)/IPdestination(目的地址)-basedflowsandTCP/UDPport-(端标语)basedflows，设定队列优先级；通过对IPTrafficclassification，shaping，保障关键业务的带宽；通过将资源保存协议(RSVP)映射到Catalyst6000/4000/2900优先级序列的方法支持为每台台式机设定的服务级别，以保证及时提供时间敏感型内部网应用软件。安全性从管理和技术角度，通过制定不同的安全策略来实行建设一个性能优越、安全可靠、技术先进、可扩展性好的综合业务网络系统。保证服务质量服务质量（QoS）介绍公司互联网络已经从提供局域网组之间的简朴连接发展到成为公司数据通信基础机构的一个有机组成部分。一般来说，公司的目的是部署和维护一个单一的公司网络，但是他们希望网络支持不同的应用程序、组织、技术和用户盼望。因此，网络管理人员需要给所有用户提供一个适当的水准，并继续支持关键任务应用程序，与此同时还得有能力集成新技术。或者，这种挑战可以被描述成为公司网络提供某种级别的集中控制和网络决定性，这种级别更加适应传统的基于主机的公司网络的规定，例如IBM的系统网络体系结构（SNA）。此外，运营一个网络的重要成本在于广域网线路收费，因此网络管理人员必须在带宽和广域网线路的成本以及提供应用户的服务级别之间进行适当的折衷。为了满足这些挑战，管理人员必须在不增长必要成本的情况下，有线排队、保存和管理网络资源，并保证不同技术的集成和迁移。可以改善服务质量的特定IOS特性涉及优先权排队、定制排队、策略路由以及加权合理排队。此外，通过资源保存协议（RSVP），网络管理人员还可以支持需要动态但有保障服务级的应用程序。这些特性的简要介绍如下：优先权排队优先权排队保证一个特定协议或流量类型的及时交付，由于该流量总是在其他流量类型前传输。优先权排队的工作方式是将一系列过滤器或访问列表记录用于路由器转发的每一条消息。这些过滤器检查数据包的属性，例如来源和目的地标记、传输协议或应用程序，然后根据预先约定的网络规定排定消息的优先顺序。排队算法根据优先权将数据包放在一个队列中，并在传输中优先对待高优先权队列。在IOS11.0版本中，优先权排队通过了优化，假如接口没有阻塞，数据包可以立即转发。否则，数据包被放在队列中的适本地方，直至依次被转发。这种排队以一种优化的方式进行，减少了路由器CPU开销。定制排队定制排队通过给不同类别的数据包分派不同数量的队列空间，然后以一种循环方式服务于队列，来解决流量。因而，可以给一个特定的协议、用户或应用程序分派更多的队列空间，尽管它永远不能独占整个带宽。与优先权排队相似，定制排队将一系列访问列表条目用于它所转发的每一条消息。这些访问列表条目检查属性，对消息进行分类，例如源和目的系统的标记、传输协议或应用程序。然后，路由器将以循环方式服务于这些队列。每一次传递从一个队列移走的数量根据配置而变化。这种特性保证在线路吃紧时，没有任何数据包可以超过预先规定的容量比例。定制排队已经通过CiscoIOS11.0进行了优化，若接口没有阻塞，数据包可以立即转发。否则，数据包被放在队列中的适本地方，直至依次被转发。这种排队以一种优化的方式进行，减少了路由器CPU开销。对于某些类型的流量需要保证带宽或者最高的服务级（例如SNA密封），并允许服务于其他流量，在这种环境中定制排队非常抱负。加权合理排队加权合理排队保证队列不会急缺带宽，是用于流量可预测的服务。低容量通信流可获得优先服务，从而及时传送他们的整个负荷。高容量通信流共享剩下的容量，获得均等或比例带宽。加权合理排队有助于给轻重用户提供一致的应答时间。加权合理排队还可将不一致应答时间的重要因素提成不同的流或对话，并迫使他们交叉。算法还解决往返延迟变化的问题。假如多个高容量对话都有效，那么他们的传输速率和时间间隔可以预测。加权合理排队增强了算法（例如SNA的逻辑链路控制-LLC）以及传输控制协议（TCP）的拥塞控制和慢启动。政策路由网络管理人员可以根据预配置的政策而不是预定义的途径发送网络包，以实现政策路由。使用政策路由将导致数据包采用不同的途径，而不是源自路由协议的途径。例如，假定一家公司可以配置一个网络，因此，与特定活动相关的通信流量短时间使用一个更高带宽、更高成本的链路，而平常应用程序（例如电子邮件）的基本连接由一个带宽更低、成本更低的链路提供。为了保证更高带宽的链路仅在需要时使用，可以与政策路由结合使用IOS拨号服务。资源保存协议资源保存协议（RSVP）是一个专为集成化的互联网络服务而设计的资源保存准备协议。应用程序调用RSVP为一个数据流请求特定的服务质量。主机和路由器使用RSVP沿数据流的途径将这些请求提供应路由器，并维护路由器和主机状态进而提供所请求的服务。这通常规定在这些节点中保存资源。RSVP允许流（可以是任何流，但重要针对多媒体流）的参与者推荐他们需求的网络，并建议网络配置其自身以满足这些需求。参与者涉及发送者、接受者和网络部件。在沿着途径的每一个”节点”（路由器或主机），RSVP向一个许可控制例程发出一个新的资源保存请求，从而决定是否有充足的可用资源。假如有，节点将保存资源并更新其数据包调度程序和分类器控制参数，从而可以提供所请求的服务质量。网络决定带宽保存所需的信息涉及平均数据速率、一个路由器可以排队的最大数据量以及最小服务质量。在RSVP和ATM提供的服务质量选项之间有一个紧密的映像，它将促进公司范围的端到端服务质量的实现。RSVP是一个IETF起草的标准，目前正在被Cisco以及其他主机系统和路由器供应商所实现。可扩展性我们建议采用的产品的扩充性是极强的：Catalyst7507提供7个插槽，可以配置各种广域网模块。Catalyst3662提供6个插槽和两个10/100兆端口，可以配置各种广域网模块。便于向新的技术发展由于大多数网络的设备都采用模块化设计，在新技术出现后，可以方便地进行升级，添加新的网络模块，而不必购买新的设备。使用户的投资得到保护。现有的卫星网络系统也可以作为新的宽带网络系统的一个备份网继续运营。现有的卫星网能直接与新的宽带网络系统连接，并且无需任何网络协议之间的转换，并且在故障发生时，数据可以自动的切换到备份卫星网络系统上。采用工业标准化技术，具有好的互联特性Cisco公司历来坚持协议的标准化，技术的先进性和产品的互连性，它是帧中继论坛，ATM论坛，AppleTalk连网论坛的发起单位，也是OSPF论坛PLSW工作作组等的参与成员，CISCO的IOS（网际网操作系统）使CISCO产品具有最全面的功能，高度的扩展性和稳定性，它支持现有大多数数据网络（以太网、令牌环FDDI/CDDI、ATM、X.25、VSAT公用电话网、帧中继、ISDN等）且支持几乎所有的通讯（如TCP/IP、IPX、DECnet、SNA、OSI、SDL、VinesXNS桥接等）所有这些应用中，都会有IOS，IOS是CISCO产品的灵魂，它在成为网络界面实上的标准。Cisco公司提出的Cisco网络体系结构思想－采用网段互换技术，减少网段上的共享设备的数量减少了网段上数据包的碰撞几率；采用路由技术，将一个网络限制在一定的规模，将网络广播进行隔离，不同的网络采用路由设备来连接，使网络具有无限的扩展性，采用高速互换技术构造公司主干解决网络主干的瓶颈。实行方案技术细节IP地址规划IP地址概念网络地址是网络互联的基础。目前，大多网络系统都使用TCP/IP网络协议，其网络地址使用IP地址的概念。IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标记网络中的一个节点。传统地，IP协议采用分层地址结构，它由4个字节(32位)组成，每个字节用三位十进制数(0～255)表达，每个字节之间用圆点号隔开，它包含两个部分：网络号和主机节点号。IP地址分为A、B、C、D、E五类，其中常用的是A、B、C三类：A类地址用前一个字节(8位)表达主网络号，这个字节的第一位为0，后三个字节(24位)表达主机号，如下所示：0xxxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxxA类地址网络号主机号B类地址以前二字节(16位)表达网络号，以10开头，后二字节(16位)表达主机号，如下所示：10xxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxxB类地址网络号主机号C类地址以前三字节(24位)表达网络号，以110开头，后一字节(8位)表达主机号，如下所示：110xxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxxC类地址网络号主机号IP地址的分派应遵循以下几个原则：唯一性一个IP网络中不能有两个主机采用相同的IP地址。简朴性地址分派应简朴易于管理，减少网络扩展的复杂性，简化路由表的款项。连续性连续地址在层次结构网络中易于进行途径叠合，大大缩减路由表，提高路由算法的效率。可扩展性地址分派在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。灵活性地址分派应具有灵活性，以满足多种路由策略的优化，充足运用地址空间。为了有效地运用地址空间，我们可以对IP地址进行子网划分，从地址的主机部分借取若干位作为子网号，剩余部分仍然表达主机号，举例如下：xxxxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxxA类地址网络号子网号主机号此外，为了灵活地在不同规模的子网中分派不同数量的IP地址，我们建议广发证券采用VLSM技术，它可根据需要在任意位划分子网边界，对一个主网络号，可分出最小只有2个主机号的子网，亦可划分出一个较大的子网，因此它很灵活，特别是在广域网中，只需2个主机号地址，VLSM非常有用，大大节约了地址空间，又保证了网络设计的灵活性。地址分派规则由广发证券实际操作经验，建议将为广发证券规划一个A类私有地址10.X.X.X，方便于此后系统发展和管理。具体需商议。路由协议的选择网络路由协议介绍对一个大网络来说，选择一个合适的路由协议是非常重要的，不恰当的选择有时对网络是致命的，路由协议对网络的稳定高效运营、网络在拓朴变化时的快速收敛、网络带宽的充足有效运用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。路由涉及两个任务：途径选择；信息包的传输。途径的选择取决于metrics,metrics可涉及可靠性、延迟、带宽、负载、MTU、通讯费用，不同的路由算法考虑部分或所有的因素。现在通用的路由协议有：静态路由、RIP、OSPF、IGRP、EIGRP、IS-IS/BGP等。所有路由算法都要保证：路由选择的准确性。路由算法的简朴、稳定，以减少由算法带来的网络流量。路由算法的迅速收敛。减少由收敛慢也许引起的路由环路。路由算法的灵活性。在选择路由协议时应考虑以下因素：静态路由与动态路由集中式算法与分布式算法单一途径与多条途径平面结构与层次化结构(FlatorHierarchical)域内协议与域间协议LinkStateorDistanceVector1、静态路由与动态路由静态路由是人为编写路由表，规定网络管理员事先了解网络路由。一经设计完毕，不可自动修改。静态路由协议仅合用于网络相对简朴，网络流量可以预测的环境及拨号备份线路。动态路由通过算法根据网络情况实时修改路由表。每个路由器分析收到的路由更新信息，若网络已发生变化，路由软件将重新计算新的途径并送出新的路由信息。2、集中式算法与分布式算法路由算法可是集中式的或分布式的，集中式算法周期性收集所有路由信息，更新路由表。其优点在于可靠、路由一致；但一旦中心路由器发生故障，路由表将无法更新，同时中心路由器必占据较大带宽和较大的CPU，MEM的运用率，此外随着网络的大小和结构化设计的不同，高层次的路由器将先于低层次的路由器获得路由信息，由此也许导致网络路由的环路。分布式算法是由每个路由器计算路由途径，周期性地与相邻路由器互换路由信息。所以分布式路由算法具有更好的冗错性。目前广泛采用的OSPF，EIGRP等均为分布式路由算法。3、单一途径与多条途径一些路由算法支持多条途径到同一目的地。可提供更好的带宽和冗余性。如：OSPF、EIGRP支持多条途径。4、平面结构与层次化结构(FlatorHierarchical)一些路由算法在拓扑结构上采用平面设计，即所有路由器均为同一等级。而结构化设计的算法不同于此，结构化设计中，一些路由器为路由主干（routingbackbone），信息包从主干路由器经非主干路由器到达目的地。RIP、IGRP为平面结构算法；OSPF、EIGRP为层次化结构算法。5、域内协议与域间协议在结构化设计中，经常将一组节点叫作Domain,或AS(Autonomoussystem),或Area。路由协议分为intra-domainorinter-domain.如RIP，OSPF，EIGRP为域内路由协议；EGP和BGP为域间路由协议。6、LinkStateorDistanceVectorLinkState算法将所有路由信息送到网络上所有节点，所有路由器将收到的Link－state信息存于数据库中，并将与本路由器有关的连接状态发送给其他路由器而不是所有路由表。DistanceVector算法是每个路由器发出完整的路由表，但仅发送给本路由器的邻居。四种重要路由协议比较通用的动态路由协议有：RIP-RoutingInformationProtocolOSPF-OpenShortestPathFirstIGRP-InteriorGatewayRoutingProtocolEIGRP-EnhancedIGRP1、RIPRIP是一distancevector,intra-domain路由协议，有以下特点：简朴，广泛使用，技术成熟信息源与目的地间限制在15个hops（或路由器）之内，超过15hops将认为不可及。RIPv1不支持VLSM（VariableLengthSubnetMasks)，不也许有效地运用IP地址。每30秒传送路由信息将花费大量的带宽，在大型网络及低速链路中更明显。路由收敛较慢，此算法将经历Hold-down(180S)的周期。RIP在计算途径时，只考虑hopcount，不考虑网络链路的延迟和cost.RIP网络是一平面拓扑的网络。RIP合用于中、小型网络。一般网络的路由器数目少于20个。2、OSPFOSPF是intra-domain,linkstate,层次化拓扑的路由协议。有以下特点：仅用于IP网络无hopcount的限制，适于大型网络支持VLSM用hello告知其他路由器本路由器工作正常通过IPmulticast发送链路更新的信息（link-stateupdate),并且仅在路由发生变化是进行更新，由此优化路由器的资源和带宽。路由收敛较快在途径的选择中，metric重要考虑链路的延迟，支持相同cost的多条链路路由，较好地实现负载均衡。cost=100,000,000/bandwidthinbps通过划分区域更好的规划网络，减少路由更新信息。在网络设计中推荐每个AS区域中路由器少于50个。3、IGRPIGRP是intra-domain,distancevector路由协议，由CISCO开发，用于大型IP及OSI网络，有以下特点：不支持VLSM（VariableLengthSubnetMasks)，不也许有效地运用IP地址。每90秒传送路由信息将花费部分的带宽。在途径的选择上采用组合的metrics涉及：延迟、带宽、可靠性、MTU和负载。支持多条途径路由。4、EIGRPEIGRP是intra-domain,先进的Distancevector路由协议，由CISCO开发和支持：结合了距离向量(DV)协议和连接状态(LS)协议的优点，采用了DUAL算法达成网络的快速收敛。支持层次化和平面网络结构，支持VLSM网络地址分派，可在任意位边界对直接相连的网络进行途径叠合，只有在网络变化时EIGRP才发送路由表更新信息，并且只发给相关路由器，因此广域网带宽浪费很少，DUAL算法使其具有最佳的收敛性。metric采用五维参数来决定最佳途径：带宽、时延、可靠性、线路负载和最大数据包尺寸。EIGRP路由算法自动根据这五项参数值动态计算最优途径，随时更新。它采用模块化软件支持IP、IPX和AT协议，综上所述，在大网络中，RIP由于其固有的局限性，它已被淘汰，最常见的路由协议是OSPF和EIGRP，它们的比较如下：广发证券路由协议选择广发证券网的特点是节点多、网络中所有的路由设备军采用的是Cisco设备。结合上述比较我们建议整个网络采用以EIGRP协议为主，辅以部分静态路由设立的方案。EIGRP路由协议自身是一个很“安静”的路由协议，没有途径变化时不会发送路由广播；EIGRP协议在途径状态变化时路由广播量少(只发给相关路由器节点)；EIGRP方便、自动的路由聚合功能可以保证途径的变化只在小范围内可见，可以有效消除线路抖动对网络导致的不利影响。所以权衡利弊，网点路由器也采用EIGRP路由协议是一个较好的选择。Cisco路由器的EIGRP与静态路由的协议间路由转发功能可保证整个网络的连通性。IP语音技术细节数据包/语音包特点比较语音包和传统数据包结构上的不同，导致了两者许多特性上的区别，对此进一步的结识，是我们为广发证券设计和实行最佳的数据/语音一体化网络的出发点。数据语音流量具有突发性流量平滑对带宽规定高对带宽规定较低丢包敏感丢包不敏感延时不敏感延时敏感TCP重传机制UDP尽力机制提高语音质量用户在打长途电话时，盼望获得长话质量的话音，因此话音质量是成功业务的关键。Cisco一直是开发增强VoIP网络的技术和协议的领导者。以下章节将描述话音质量特性和技术，这些对设计高质量业务至关重要。MierCommunications1998年的一份调查比较了实行不同公司生产的网关设备的VoIP系统提供的话音质量。如下图所示，Cisco解决方案提供的话音质量最高--远高于传统的长途电话业务的质量。话音编码/解码通过语音数字化及压缩技术，可将通话时的模拟语音信号数字化后，再压缩成语音数据包，然后再将语音数据包封装在IP数据包中，通过已有的IP数据网（Internet或Intranet）传输，即可实现VoiceOverIP。路由器的话音解决会严重影响呼喊质量。我们在广发证券采用的路由器支持多个CODEC和话音解决功能：PCM脉冲编码调制技术（PCM）是最早的数字话音技术，它不包含任何压缩算法，以64Kbps带宽传输话音信号，即每秒取样8000次，产生8位数字话音信号。ADPCM自适应差分脉冲编码调制技术（ADPCM），或称G.726，是国际电信联盟32Kbps的话音编码标准。由于通过采用更有效模拟信号取样方式，ADPCM可以将语音信号编码所占空间减小为PCM水平的一半，并且ADPCM不使用编码簿。CELP码激线性预测技术（CELP）是当前最先进的低速率话音传输技术，CELP算法是将模拟信号样本与预定的代码簿内曲线进行对比分析，然后将与模拟信号样本最接近一致的代码簿代码传送到远端，在远端再对照代码簿重新生成为原信号，原信号的抽样时间间隔非常短，所以再生信号通过滤与原信号及其接近。CELP是许多高级的专利话音压缩方式的基础，可将话音压缩到5.33Kbps、8Kbps和9Kbps。LD－CELPLD－CELP是高度优化的16KbpsCELP算法，可用较小的端对端时延高质量地再现话音。国际电信联盟将该方式选作16Kbps速率下的标准方式，即G.728标准方式。CS－ACELP共轭结构代数码激线性预测技术（CS－ACELP），或者称为G.729，是国际电信联盟8Kbps语音编码的标准。E－CELP这是由美国纽亚公司开发并改善的CELP算法。E－CELP采用一种复杂的专利语音压缩技术。它的特点是：在查询代码簿时，针对样本信号的特定部分，同时产生多个并行的查询途径和代码。每个语音包通常有3个代码。这样，输入信号和代码簿输出代码之间可以建立高度的相关性，同时使代码簿容量得到有效运用。E－CELP速率是4.8Kbps、7.47Kbps和9.6Kbps，它规定使用40MIPS的数字信号解决DSP器件。在广发证券的语音网络中，我们建议采用G.729(CS-ACELP)--Cisco默认的CODEC，可以实现8kbps的速率传输高质量的话音。CODEC的质量是通过接听者按1(不满意)~5(满意)的分数来报告的平均意见分(MOS)来测量的。G.729CODEC提供4.4分的MOS，而G.711CODEC提供4.2分的MOS。它们均可以达成或超过4.2分的长话质量长途业务。此外还可以增长CODEC。它采用E.165回音消除标准进行回音消除功能。当静音被压缩以保存带宽时，它可产生“舒适的声音”来提供背景声音。因此当无话音包传输时，线路不会毫无声音。一些VoIP参数可以调节，以适应客户规定的话音质量，涉及增益、衰减、回音消除深度，话音活动检测电平、信噪比以及静音压缩背景噪音等。减少延迟减少延迟是实现话音质量的一个关键因素。ITU建议的实时话音应用延迟为150毫秒或更低。路由器与网络QoS技术协同运营，以几种方式减少端到端延迟：低时延话音编码/解码防止过量延迟。一个自适应性抖动缓冲器智能地消除数据包延迟偏差。可在网关上设定IP优先权，给话音呼喊分派优先权在骨干网中进行排队。多级多链路PPP分段功能和交织(亦称RFC1990)将对时间不敏感的大数据包提成较小的包，从而将“实时”话音分组与较大的数据包交织。这种技术在低速链路上特别有用，可防止实时话音分组堵塞在大数据包之后。IP的CoS(IPPrecedence)服务可以将IP包进行分类传输，Cisco的队列技术可保证高优先级的VoIP包得到足够的优先解决和传输。资源预留协议(MPLS/RSVP)允许网关在网络中申请预留带宽。减少带宽需求压缩在未进行压缩之前，网络中VoIP包的结构如下:语音负荷RTP包头UDP包头IP包头链路包头X字节 12字节 8字节 20字节 x字节假如我们以G.729CODEC方式对语音进行编码，即以8kbps的数据速率提供高质量话音，那么我们每传一个语音包，语音负荷仅占整个包的8/(8+12+8+20)=1/6,对有限的网络带宽资源而言，实在是极大的浪费。针对此情况，Cisco提供了压缩实时传输协议(CRTP)将一般为40个字节的数据包报头压缩成2到4个字节。这样便将报头尺寸缩小了90%，这样一个语音包所占的字节数可控制在10~12个，为实时话音带来了很大的好处。入局传真被中继前先进行解调，减少原先64kbps脉码调制所需的带宽，这样一般而言，发送传真时，传真呼喊每秒只消耗9.6k的带宽。话音活动探测和静音克制众所周知,在通常电话通话中,发言时有停顿和正常的声音间歇(仅正常的声音间歇平均为2.25秒)。只有当用户在说话时才使用网络带宽，通话的静止时间(silentperiod)约为通话时间的60%，此时带宽可供其它业务使用。可辨认的静止前最长时间(话音释放时间)是200毫秒。ADPCM一方面是把在发言中有关停顿和间歇所占的时隙压缩掉。由于采用了信道化的话音模块压缩技术在网络上传送话音,可以节省25～35%的费用,还可以采用了静音检测或声音变化检测(VAD)技术,又可获得超过60%的带宽节省。信息流策略--实现QoS实现QoS(服务质量)的网络是成功提供远距离话音业务的关键。如下图所示，假如没有QoS，网络负载会对话音质量带来很大影响。在这项研究中，网络业务负载不断发生变化，以测试网络QoS对话音质量的影响。图中的“未实现QoS的质量(QualitywithoutQoS)”曲线表白，每次网络发生拥塞时，话音质量便会降级。相反，实行网络QoS之后，话音质量一直保持较高水平，正如图中“实现QoS的质量”曲线所示。通过使用各种技术优先解决话音分组，话音质量可保持稳定，不受网络负载的变化。这种优先解决是通过支持各种QoS标准实现的。基本QoS体系结构现今的网络需要承载越来越多的数据量，那些对于带宽敏感、实时性规定很高的语音、视频、数据应用对网络的资源和能力提出了更高的规定。Cisco的IOS软件可以提供一整套对于服务质量（QoS）的解决方案来帮助我们解决由于日益增长的网络流量所带来的各种问题。QoS的目的是通过提供足够的带宽、可控的时延和抖动以及更低的丢包率来实现更好的、更有前瞻性的网络服务。QoS通过以下一些方法来实现这个目的：监控网络拥塞、调节网络流量、高效率使用广域网线路、设立整个网络的流量策略等。网络服务提供者，小、中型公司网络以及大型公司网都可以采用Cisco公司IOS软件中的QoS特性所提供的各种解决方案。网络服务质量（QoS）定义：QoS指的是一个网络为所指定的数据流在采用各种不同的技术传输时（涉及帧中继、ATM、局域网、802.1系列网络、SONET、以及那些在IP路由网络中所会采用的底层技术），提供良好服务的能力。QoS的重要目的是实现有保证的固定带宽、可控的时延和抖动（一些实时和交互式数据流所规定）以及更低的丢包率。QoS技术为校园网、广域网、网络服务提供商未来的各种应用打下了基本的、良好的基础。Cisco的IOS软件中的QoS功能可以使得各种复杂的网络为不同的网络应用和数据流量所服务。无论是小型公司网络、网络服务提供商的商业网，还是公司级的网络，几乎所有的网络都能运用QoS来优化网络功能。Cisco的IOS软件中的QoS功能可以提供以下好处：资源控制－－你可以控制你所用的资源（带宽、网络设备、广域网服务等）。例如，你可以限制在骨干网上被FTP（文献传输）应用所占用的带宽，或者给予对重要数据库访问等类似应用以一定的优先权；更有效使用网络资源－－使用Cisco的分析管理和记帐软件，你可以知道你的网络在被如何使用以及如何为你的公司中的重要数据流服务；分级服务－－QoS所提供的控制作用可以使得网络服务提供商为他们的客户提供各种不同的分级服务；不同重要应用之间的共存－－Cisco的QoS技术可以使得那些对于你的公司很重要的关键性的应用更有效的使用广域网服务，使得那些对带宽和时延都规定很高的多媒体与语音的应用成为也许，使得其它应用在使用链路资源时不影响关键性应用的数据流；未来综合性网络的基础－－现在就在你的网络中使用Cisco的QoS技术对于将来实现真正的多媒体综合网络是一个很好的开端。例如，当使用WFQ技术后，可以从增长了对网络服务的可预测性而得到好处；使用IPPrecedencesignaling技术可以进行数据流的分类。你还可以在将来得到更多的好处，由于WFQ技术与RSVP技术是相兼容的，这样你可以运用QoS的动态信令来使用那些即将风行的支持RSVP协议的应用。端到端的QoS服务等级服务等级指的是网络真正的端到端的QoS能力，即网络为端到端的特殊数据流提供服务的能力。QoS的服务等级可以按照服务对带宽、时延、抖动及丢包率的特殊规定的不同划分为以下几个级别：尽也许的服务－－即QoS能力是最弱的，尽也许的服务提供了没有服务质量保证的普通连接；区别对待的服务（又称软件QoS）－－某些数据流能得到比普通数据流更好的解决（更快的转发、更多的带宽、更低的丢包率）。但这只是理论上的说明，并不是真正的保证；有保证的服务（又称硬件QoS）－－为特殊的数据流作必要的网络资源的预留。在网络中使用何种等级的服务由以下几个因素决定：客户的应用和试图解决的问题－－三种不同的服务针对各种不同的应用。对某种应用而言，并不是服务等级定的越高越好。尽也许的服务或者区别对待的服务所提供的服务质量也许就能满足客户应用的需求了；客户对他们的网络体系结构升级的规划－－我们可以很自然地从区别对待的服务过渡到有保证的服务，前者是后者的子集；客户所能承担的网络开销－－使用有质量保证的服务所需花费代价比使用区别对待的服务昂贵的多。资源保存协议资源保存协议（RSVP）是一个专为集成化的互联网络服务而设计的资源保存准备协议。应用程序调用RSVP为一个数据流请求特定的服务质量。主机和路由器使用RSVP沿数据流的途径将这些请求提供应路由器，并维护路由器和主机状态进而提供所请求的服务。这通常规定在这些节点中保存资源。RSVP允许流（可以是任何流，但重要针对多媒体流）的参与者推荐他们需求的网络，并建议网络配置其自身以满足这些需求。参与者涉及发送者、接受者和网络部件。在沿着途径的每一个”节点”（路由器或主机），RSVP向一个许可控制例程发出一个新的资源保存请求，从而决定是否有充足的可用资源。假如有，节点将保存资源并更新其数据包调度程序和分类器控制参数，从而可以提供所请求的服务质量。网络决定带宽保存所需的信息涉及平均数据速率、一个路由器可以排队的最大数据量以及最小服务质量。在RSVP和ATM提供的服务质量选项之间有一个紧密的映像，它将促进公司范围的端到端服务质量的实现。RSVP是一个IETF起草的标准，目前正在被Cisco以及其他主机系统和路由器供应商所实现。IP优先IP优先使用Ipv4报头TOS域中的3个优先位来为每个信息包指定服务水平，如下图所示。是用IP优先最多可将流量分为6个服务水平(其他两个为内部使用)。整个网络的排队技术可使用这种信令来提供相应的快速解决。基于策略的路由选择和CAR等特性可以用来根据访问列表分类来设立优先级。这将为优先级的分派带来可观的灵活性，这样就可根据应用或用户、目的地和源子网等来分派。一般而言，这种功能在尽也许靠近网络边沿(或管理域)外实行，这样随后每个网络元素就可根据定好的政策来提供服务。IP优先也可设立在主机或网络客户机中，这种信令是可以选择使用的；然而这种信令可被网络中的策略所覆盖。IP优先可使用现有的网络排队机制(如WFQ或WRED)来实现服务水平，用户无需改变现有应用或复杂的网络规定。使用优先级，相同方法可极其容易地扩展到IPV6。队列技术现今的网络正在承载越来越多的数据，而其中又有很多是突发性的。突发性的数据流会影响整个网络的性能，由于它导致了非连续性的数据传输延迟，即所谓的抖动。许多对时间敏感的应用，如桌面上的视频会议和视频点播、交互式的业务等都会受此影响。因此，满足上述应用的带宽需求以及对网络数据传输给予一定的时间保证是Cisco的IOS操作系统中服务质量（QoS）特性所要实现的功能。队列技术是Cisco的QoS体系中的一种技术。队列技术是一种通过重定向数据包使得某种类型的数据流得到优先解决的机制。这种技术采用不同的算法使得某些数据流能优先从输出链路上被转发出去。Cisco的IOS软件涉及以下队列技术：FirstIn，FirstOut（FIFO）QueuingPriorityQueuing（PQ）CustomQueuing（CQ）WeightedFairQueuing（WFQ）LowLatencyQueuing（LLQ）各种不同的队列技术可以解决不同的网络数据流所带来的问题，提高网络的性能。优先权排队(PQ)优先权排队保证一个特定协议或流量类型的及时交付，由于该流量总是在其他流量类型前传输。优先权排队的工作方式是将一系列过滤器或访问列表记录用于路由器转发的每一条消息。这些过滤器检查数据包的属性，例如来源和目的地标记、传输协议或应用程序，然后根据预先约定的网络规定排定消息的优先顺序。排队算法根据优先权将数据包放在一个队列中，并在传输中优先对待高优先权队列。在IOS11.0版本中，优先权排队通过了优化，假如接口没有阻塞，数据包可以立即转发。否则，数据包被放在队列中的适本地方，直至依次被转发。这种排队以一种优化的方式进行，减少了路由器CPU开销。定制排队(CQ)定制排队通过给不同类别的数据包分派不同数量的队列空间，然后以一种循环方式服务于队列，来解决流量。因而，可以给一个特定的协议、用户或应用程序分派更多的队列空间，尽管它永远不能独占整个带宽。与优先权排队相似，定制排队将一系列访问列表条目用于它所转发的每一条消息。这些访问列表条目检查属性，对消息进行分类，例如源和目的系统的标记、传输协议或应用程序。然后，路由器将以循环方式服务于这些队列。每一次传递从一个队列移走的数量根据配置而变化。这种特性保证在线路吃紧时，没有任何数据包可以超过预先规定的容量比例。定制排队已经通过CiscoIOS11.0进行了优化，若接口没有阻塞，数据包可以立即转发。否则，数据包被放在队列中的适本地方，直至依次被转发。这种排队以一种优化的方式进行，减少了路由器CPU开销。对于某些类型的流量需要保证带宽或者最高的服务级（例如SNA密封），并允许服务于其他流量，在这种环境中定制排队非常抱负。加权合理排队(WFQ)加权合理排队保证队列不会急缺带宽，是用于流量可预测的服务。低容量通信流可获得优先服务，从而及时传送他们的整个负荷。高容量通信流共享剩下的容量，获得均等或比例带宽。加权合理排队有助于给轻重用户提供一致的应答