H3C SE 教程笔记——构建安全优化的广域网(下)
第5篇????BGP/MPLS ×××
第15章????MPLS技術(shù)基礎(chǔ)
15.2????MPLS起源
????隨著Internet的迅速普及,傳統(tǒng)的路由器設(shè)備因其轉(zhuǎn)發(fā)性能低下,逐漸成為網(wǎng)絡(luò)的瓶頸。
????首先,路由器采用的轉(zhuǎn)發(fā)算法效率不高。路由器普遍采用IP轉(zhuǎn)發(fā)。IP轉(zhuǎn)發(fā)的原則是最長(zhǎng)匹配算法。路由器在判斷該如何轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)包時(shí),需要遍歷整個(gè)路由表,找出最能精確表達(dá)該數(shù)據(jù)目的地址所在位置的那一條路由。
????此外,當(dāng)時(shí)路由器多采用通過(guò)CPU進(jìn)行轉(zhuǎn)發(fā)處理,性能有限,對(duì)IP地址和路由的匹配運(yùn)算需要耗費(fèi)較多的處理器時(shí)間。
????MPLS(Multiprotocol Label Switching,多協(xié)議標(biāo)簽交換)的基本概念是用一個(gè)短而定長(zhǎng)的標(biāo)簽來(lái)封裝網(wǎng)絡(luò)層分組,并將標(biāo)簽封裝后的報(bào)文轉(zhuǎn)發(fā)到已升級(jí)改進(jìn)過(guò)的交換機(jī)或者路由器,交換機(jī)或路由器根據(jù)標(biāo)簽值轉(zhuǎn)發(fā)報(bào)文。后文將詳細(xì)闡述MPLS的具體實(shí)現(xiàn)過(guò)程。
????MPLS中的多協(xié)議有多層含義。一方面是指MPLS協(xié)議可以承載在多種二層協(xié)議之上,如常見(jiàn)的PPP、ATM、幀中繼(FR)、以太網(wǎng)等等;另一方面多種報(bào)文也可以承載在MPLS之上,如IPv4報(bào)文、IPv6報(bào)文等,甚至也包括各種二層報(bào)文。與多種協(xié)議的兼容性是MPLS協(xié)議得以普及的重要原因之一。
15.3????MPLS網(wǎng)絡(luò)組成
????MPLS網(wǎng)絡(luò)架構(gòu)與普通的IP網(wǎng)絡(luò)相比,并無(wú)任何特殊性。普通的IP網(wǎng)絡(luò)、其路由器只要經(jīng)過(guò)升級(jí),支持MPLS功能,就成了MPLS網(wǎng)絡(luò)。在MPLS網(wǎng)絡(luò)中的路由器,具有標(biāo)簽分發(fā)能力和標(biāo)簽交換能力,被稱之為L(zhǎng)SR。此外,MPLS網(wǎng)絡(luò)可以與非MPLS網(wǎng)絡(luò)共存,報(bào)文可在非MPLS網(wǎng)絡(luò)和MPLS網(wǎng)絡(luò)之間進(jìn)行轉(zhuǎn)發(fā)。
????MPLS網(wǎng)絡(luò)的基本構(gòu)成單元是LSR(Lable Switching Router),是具有標(biāo)簽分發(fā)能力和標(biāo)簽交換能力的設(shè)備。
????MPLS網(wǎng)絡(luò)包括以下幾個(gè)組成部分:
????·????入節(jié)點(diǎn)Ingress:報(bào)文的入口LSR,負(fù)責(zé)為進(jìn)入MPLS網(wǎng)絡(luò)的報(bào)文添加標(biāo)簽。
????·????中間節(jié)點(diǎn)Transit:MPLS網(wǎng)絡(luò)內(nèi)部的LSR,根據(jù)標(biāo)簽沿著由一系列LSR構(gòu)成的LSP將報(bào)文傳送給出口LSR。
????·????出節(jié)點(diǎn)Egress:報(bào)文的出口LSR,負(fù)責(zé)剝離報(bào)文中的標(biāo)簽,并轉(zhuǎn)發(fā)給目的網(wǎng)絡(luò)。
????FEC(Forwarding Equivalence Class,轉(zhuǎn)發(fā)等價(jià)類)是MPLS中的一個(gè)重要概念。MPLS將具有相同特征(目的地相同或具有相同服務(wù)等級(jí)等)的報(bào)文歸為一類,稱為FEC。屬于相同F(xiàn)EC的報(bào)文在MPLS網(wǎng)絡(luò)中將獲得完全相同的處理。
????屬于同一個(gè)FEC的報(bào)文在MPLS網(wǎng)絡(luò)中經(jīng)過(guò)的路徑稱為L(zhǎng)SP(Label Switched Path,標(biāo)簽交換路徑)。LSP是一條單向報(bào)文轉(zhuǎn)發(fā)路徑。在一條LSP上,沿?cái)?shù)據(jù)傳送的方向,相鄰的LSR分別稱為上游LSR和下游LSR。
15.4.2????MPLS標(biāo)簽分配協(xié)議分類
15.4.3????LDP消息類型
????LDP協(xié)議定義了以下四類消息:
????·????發(fā)現(xiàn)消息(Discovery message):用于LDP鄰居的發(fā)現(xiàn)和維持。
????·????會(huì)話消息(Session message):用于LDP鄰居會(huì)話的建立、維持和中止。
????·????通告消息(Advertisement message):用于LSR向LDP鄰居宣告Label、地址等信息。
????·????通知消息(Notification message):用于向LDP鄰居通知事件或者錯(cuò)誤。
????所有的LDP消息都采用TLV結(jié)構(gòu),具有很強(qiáng)的擴(kuò)展性。
注意:
????具體的LDP消息有很多種,包括Notification、Hello、Initialization、KeepAlive、Address、Address Withdraw、Label Mapping、Label Request、Label Abort Request、Label Withdraw、Label Release等,這些消息都可以分別歸入上述四類之中。
15.4.4????標(biāo)簽分配過(guò)程
15.4.5????標(biāo)簽分配和管理方式
????在標(biāo)簽分配的過(guò)程中,存在很多種方式,這些方式一般情況下可以在設(shè)備上進(jìn)行配置,各種不同的方式適合不同的MPLS應(yīng)用。
????標(biāo)簽通告模式包括:
????????·????DOD:downstream-on-demand????下游按需方式
????????·????DU:downstream unsolicited 下游自主方式
????標(biāo)簽控制模式包括:
????????·????有序方式(Ordered)
????????·????獨(dú)立方式(Independent)
????標(biāo)簽保持模式包括:
????????·????保守模式(Conservative)
????????·????自由模式(Liberal)
15.5????MPLS轉(zhuǎn)發(fā)實(shí)現(xiàn)
15.6????MPLS應(yīng)用與發(fā)展
第16章????BGP MPLS ×××基本原理
16.2????BGP MPLS ××× 技術(shù)背景
16.2.1????傳統(tǒng)×××缺陷
????×××技術(shù)能夠非常有效的節(jié)省用戶建立私有網(wǎng)絡(luò)的成本,成為用戶建立私有網(wǎng)絡(luò)的一個(gè)很好的選擇,因此各種各樣的×××技術(shù)也紛紛出爐,如GRE、IPSec、L2TP等等。這些×××技術(shù)被統(tǒng)稱為傳統(tǒng)×××技術(shù)。隨著網(wǎng)絡(luò)的發(fā)展,用戶私有網(wǎng)絡(luò)的規(guī)模也逐漸擴(kuò)大,傳統(tǒng)×××技術(shù)的一些缺點(diǎn)被暴露出來(lái),最主要的體現(xiàn)為以下兩點(diǎn):
????·????靜態(tài)隧道的可擴(kuò)展性不強(qiáng)。傳統(tǒng)×××技術(shù)的隧道需要靜態(tài)建立,隨著用戶網(wǎng)絡(luò)規(guī)模的擴(kuò)大,×××隧道的數(shù)量成N平方增長(zhǎng),用戶的分支部門(mén)的增減都將涉及到大量的靜態(tài)隧道的配置或刪除。
????·????×××只能由用戶自行維護(hù)和管理。在公共的Internet網(wǎng)絡(luò)上承載著很多的×××用戶,而各個(gè)×××用戶的私網(wǎng)地址空間通常是重疊的,×××的維護(hù)和管理工作只能由用戶自行完成。負(fù)責(zé)維護(hù)和管理公共網(wǎng)絡(luò)的運(yùn)營(yíng)商因?yàn)椴荒軈^(qū)分開(kāi)用戶,無(wú)法接管用戶的×××。
????這兩個(gè)缺點(diǎn),使得用戶不可能選擇采用傳統(tǒng)的×××技術(shù)建立大規(guī)模的私有網(wǎng)絡(luò)。
16.2.2????BGP MPLS ×××的優(yōu)點(diǎn)
????BGP MPLS ×××技術(shù)是通過(guò)BGP和MPLS兩種技術(shù)配置實(shí)現(xiàn)的一種新型的×××技術(shù),與傳統(tǒng)×××技術(shù)相比,它有如下三個(gè)優(yōu)點(diǎn):
????·????實(shí)現(xiàn)隧道的動(dòng)態(tài)建立。傳統(tǒng)×××技術(shù)用戶各個(gè)分部之間的×××隧道需要由維護(hù)人員手工靜態(tài)配置,而B(niǎo)GP MPLS ×××技術(shù)隧道是動(dòng)態(tài)建立的。用戶的各個(gè)分部之間會(huì)自動(dòng)建立隧道,且分部的增加或減少,不需要用戶再去添加或刪除隧道配置。
????·????解決了本地地址沖突問(wèn)題。BGP MPLS ×××技術(shù)實(shí)現(xiàn)了一臺(tái)路由器可以同時(shí)處理多個(gè)不同的×××用戶數(shù)據(jù)的功能,最終使得多個(gè)地址沖突的用戶都可以將建立和維護(hù)×××的工作交給運(yùn)營(yíng)商,進(jìn)一步降低×××用戶的負(fù)擔(dān)。
????·????×××私網(wǎng)路由易于控制。私網(wǎng)路由的交互是×××技術(shù)實(shí)現(xiàn)的關(guān)鍵,能夠動(dòng)態(tài)的交互私網(wǎng)路由,用戶網(wǎng)絡(luò)才能自動(dòng)發(fā)現(xiàn)各個(gè)分部網(wǎng)絡(luò)的所在位置。傳統(tǒng)的×××技術(shù)中可以支持私網(wǎng)路由的動(dòng)態(tài)學(xué)習(xí),然后BGP MPLS ×××技術(shù)在私網(wǎng)路由的動(dòng)態(tài)交互的基礎(chǔ)上,加入了互通或隔離的控制,可以更加靈活的控制用戶各個(gè)分部,或者各個(gè)不同用戶之間的互訪關(guān)系。
16.3????MPLS隧道
16.3.1????隧道技術(shù)與MPLS
????×××的實(shí)現(xiàn)依賴于一個(gè)很重要的技術(shù),那就是隧道。通過(guò)隧道,用戶私網(wǎng)在公網(wǎng)之間建立起一個(gè)邏輯通路,讓用戶的各個(gè)分部之間如有實(shí)際的物理線路相連。而隧道的實(shí)現(xiàn)是通過(guò)報(bào)文封裝的方法。如GRE隧道,就是采用公網(wǎng)IP頭部來(lái)封裝私網(wǎng)報(bào)文,公網(wǎng)上的路由器根據(jù)報(bào)文的外層IP頭進(jìn)行轉(zhuǎn)發(fā),直到報(bào)文抵達(dá)目的私有網(wǎng)絡(luò),再去除外層的IP頭,解封出私網(wǎng)報(bào)文。
????MPLS技術(shù)產(chǎn)生本意是為了加快報(bào)文的轉(zhuǎn)發(fā)效率,但它其實(shí)也是一種隧道技術(shù)。從它的實(shí)現(xiàn)原理可以看出,它也是對(duì)報(bào)文進(jìn)行封裝,在IP報(bào)文的前面加上了MPLS標(biāo)簽,路由器直接根據(jù)標(biāo)簽進(jìn)行轉(zhuǎn)發(fā),而無(wú)需檢查內(nèi)部的目的地址,這與GRE的封裝非常類似。所以MPLS技術(shù)是一種天然的隧道技術(shù),而且與已有的×××所采用的隧道技術(shù)相比,它有著一個(gè)非常重要的優(yōu)勢(shì),那就是動(dòng)態(tài)性。
16.3.2????MPLS隧道應(yīng)用
16.3.3????MPLS倒數(shù)第二跳彈出
16.4????多VRF技術(shù)
16.4.1????優(yōu)化×××組網(wǎng)結(jié)構(gòu)
????在×××的組網(wǎng)結(jié)構(gòu)中,我們將網(wǎng)絡(luò)分成公網(wǎng)和私網(wǎng)兩個(gè)部分。公網(wǎng)是指由服務(wù)商建設(shè)的公共網(wǎng)絡(luò),而私網(wǎng)是指用戶自己建設(shè)的私有網(wǎng)絡(luò)。同時(shí)將網(wǎng)絡(luò)中的路由器按照在×××網(wǎng)絡(luò)中的位置區(qū)分成以下三種角色:
????·????CE(Custom Edge Router,用戶邊緣路由器):直接與公網(wǎng)相連的用戶設(shè)備;
????·????PE(Provider Edge Router,服務(wù)商邊緣路由器):指公網(wǎng)上的邊緣路由器,與CE相連;
????·????P(Provider Router,服務(wù)商路由器):指公網(wǎng)上的核心路由器。
????傳統(tǒng)的×××隧道建立在用戶的CE設(shè)備之間,隧道的建立維護(hù)等工作完全需要由用戶自己來(lái)完成,每個(gè)×××用戶的維護(hù)工作繁瑣且分散,總體維護(hù)成本高昂。另一方面,作為專門(mén)提供網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)供應(yīng)商,他們擁有充足的網(wǎng)絡(luò)維護(hù)資源,但卻完全無(wú)法感知用戶的×××應(yīng)用,不能提供×××相關(guān)的服務(wù),從而無(wú)法獲得響應(yīng)的利潤(rùn)。傳統(tǒng)×××的這種結(jié)構(gòu)限制了其大規(guī)模擴(kuò)展,無(wú)論是用戶還是運(yùn)營(yíng)商都希望能夠?qū)ⅰ痢痢了淼赖慕⒕S護(hù)等工作轉(zhuǎn)移給運(yùn)營(yíng)商。
????另外一種×××方案是,隧道建立在PE設(shè)備之間,隧道的建立維護(hù)等工作由運(yùn)營(yíng)商來(lái)完成,如上圖所示。這樣,用戶能夠從繁瑣的×××維護(hù)工作中解脫出來(lái),運(yùn)營(yíng)商也能夠從×××維護(hù)中獲利。
????然而,在以上方案中因?yàn)椴煌乃骄W(wǎng)用戶之間的地址空間可能完全重疊,所以運(yùn)營(yíng)商需要為每個(gè)×××用戶提供一臺(tái)接入設(shè)備,哪怕這兩個(gè)用戶離得再近也不能共用。這種方案稱之為專屬PE的方式。
????專屬PE方式需要運(yùn)營(yíng)商為每個(gè)×××用戶提供專門(mén)的設(shè)備,硬件成本過(guò)于高昂,用戶需要向運(yùn)營(yíng)商支付較高的費(fèi)用,無(wú)法獲得廣泛認(rèn)可。
????更優(yōu)的×××隧道方案是隧道建立在公網(wǎng)的PE之間,每一臺(tái)公網(wǎng)PE設(shè)備還可以同時(shí)接入多個(gè)×××用戶,多個(gè)×××用戶能夠共享一個(gè)隧道。這個(gè)方案無(wú)論從可維護(hù)性上,還是從成本上都滿足額用戶和運(yùn)營(yíng)商的需求。然而,由于不同的×××用戶可能選用了相同的地址空間,這樣會(huì)造成PE設(shè)備無(wú)法區(qū)分這些用戶的數(shù)據(jù)流。也就是說(shuō),此方案存在著同一臺(tái)設(shè)備上地址沖突的問(wèn)題。多VRF(Virtual Routing and Forwarding,虛擬路由與轉(zhuǎn)發(fā))技術(shù)可以解決這個(gè)問(wèn)題。
16.4.2????多VRF技術(shù)實(shí)現(xiàn)原理
????多VRF技術(shù)的目的就是要解決在同一臺(tái)設(shè)備上的地址沖突問(wèn)題。如上圖所示,該P(yáng)E路由器的兩個(gè)不同接口,分別接入×××1和×××2用戶,而×××1用戶和×××2用戶都選用了10.0.0.1/24這個(gè)網(wǎng)段的地址。在沒(méi)有多VRF技術(shù)的情況下,這兩條路由將會(huì)在PE上發(fā)生沖突,在PE的路由表里面只能保留一條10.0.0.0/24路由。
????支持多VRF技術(shù)的路由器將一臺(tái)路由器劃分成多個(gè)VRF,每個(gè)VRF之間互相獨(dú)立,互不可見(jiàn),各自擁有獨(dú)立的路由表項(xiàng)、端口、路由協(xié)議等等,每一個(gè)VRF就類似一臺(tái)虛擬的路由器。
????若上圖所示,PE1為了能同時(shí)接入×××1和×××2這兩個(gè)地址沖突的私網(wǎng)用戶,啟用兩個(gè)VRF,每個(gè)VRF與×××相對(duì)應(yīng),在VRF1里面只看到與×××1相連的接口,只學(xué)習(xí)×××1的路由;VRF2上也只看到與×××2相連的接口,只學(xué)習(xí)×××2的路由。這兩個(gè)VRF各自擁有自己的路由表,VRF1學(xué)習(xí)到的10.0.0.0/24路由,下一跳指向Eth0/1,這2條路由同時(shí)存在于PE1上,互不沖突,互不影響。
????有了支持多個(gè)技術(shù)的PE設(shè)備,就可以實(shí)現(xiàn)一臺(tái)PE接入多個(gè)×××用戶。
????為了加深理解多VRF技術(shù)的實(shí)現(xiàn),在此進(jìn)一步說(shuō)明多VRF與設(shè)備端口的關(guān)系。在支持多VRF的PE設(shè)備上,需要將和某一個(gè)×××用戶相連的接口與對(duì)應(yīng)的VRF相綁定。如上圖所示,PE1會(huì)將Eth0/0與VRF1綁定,而將Eth0/1與VRF2綁定。與VRF綁定后的接口,只會(huì)出現(xiàn)在該VRF對(duì)應(yīng)的路由表里面;并且,當(dāng)報(bào)文從該接口進(jìn)入路由器時(shí),只能查詢?cè)揤RF對(duì)應(yīng)的路由表進(jìn)行轉(zhuǎn)發(fā)。
????如上圖所示,從Eth0/0接口進(jìn)入路由器的報(bào)文,只能查詢×××1的路由表進(jìn)行轉(zhuǎn)發(fā);從Eth0/0接口進(jìn)入路由器的報(bào)文,也只能查詢×××2的路由表進(jìn)行轉(zhuǎn)發(fā)。
????多VRF與設(shè)備端口的這種關(guān)系,確保了數(shù)據(jù)進(jìn)入多VRF設(shè)備進(jìn)行轉(zhuǎn)發(fā)時(shí),不同×××用戶的數(shù)據(jù)之間不會(huì)發(fā)生沖突。
????在支持多VRF技術(shù)的路由器上,不同的VRF運(yùn)行獨(dú)立的路由協(xié)議,這些路由協(xié)議不會(huì)交互協(xié)議報(bào)文,且學(xué)習(xí)到的路由也放在各自VRF的路由表中,互不影響。實(shí)現(xiàn)這種效果需要將各個(gè)VRF運(yùn)行的路由協(xié)議與該VRF進(jìn)行綁定。
????不同的VRF可以選擇采用同一種路由協(xié)議與×××用戶之間交互路由,例如均采用OSPF路由協(xié)議;當(dāng)然也可以選擇不同的路由協(xié)議。在支持多VRF的路由器上需要運(yùn)行多個(gè)路由協(xié)議進(jìn)程,并將不同的進(jìn)程與不同的VRF進(jìn)行綁定,將路由協(xié)議的某個(gè)進(jìn)程與某VRF進(jìn)行綁定的做法稱之為路由協(xié)議的多實(shí)例。
????如上圖所示,PE路由器上運(yùn)行兩個(gè)OSPF實(shí)例。OSPF instance 1和VRF 1進(jìn)行綁定,與私網(wǎng)×××1用戶的路由器CE1建立OSPF鄰居;OSPF instance 2和VRF2進(jìn)行綁定,與私網(wǎng)×××2用戶的路由器CE2建立OSPF鄰居。此時(shí)OSPF instance 1學(xué)習(xí)到的路由就會(huì)收錄到VRF1所對(duì)應(yīng)的路由表中,而OSPF instance 2學(xué)習(xí)到的路由器就只會(huì)收錄到VRF2所對(duì)應(yīng)的路由表中。
????多VRF和路由協(xié)議多實(shí)例之間的綁定關(guān)系,確保了即使使用不同的×××用戶選用相同的地址空間,并與PE設(shè)備之間通過(guò)路由協(xié)議交互路由時(shí),也不會(huì)在PE上出現(xiàn)路由沖突。
????目前,絕大多數(shù)的路由器設(shè)備都能支持路由協(xié)議多實(shí)例功能,包括OSPF、IS-IS、BGP、RIP、靜態(tài)路由等。
16.5????MP-BGP技術(shù)
16.5.1????MP-BGP技術(shù)實(shí)現(xiàn)
????有了比傳統(tǒng)×××更加先進(jìn)的隧道技術(shù),也有了比傳統(tǒng)×××更加合理的×××組網(wǎng)結(jié)構(gòu),最后只需要一種更加先進(jìn)的路由協(xié)議,用于在PE設(shè)備之間交互私網(wǎng)路由信息。縱觀各種路由協(xié)議,最適合充當(dāng)這個(gè)角色的路由協(xié)議是BGP路由協(xié)議,因?yàn)樗腥缦聝蓚€(gè)非常關(guān)鍵的特質(zhì),適合用于×××技術(shù)中。
????·????BGP路由協(xié)議是基于TCP連接建立路由鄰居的,可以實(shí)現(xiàn)跨越多臺(tái)路由器建立BGP鄰居,直接交互路由信息。在×××的組網(wǎng)中,就是需要兩臺(tái)PE設(shè)備直接交互私網(wǎng)路由,無(wú)需經(jīng)過(guò)中間的P設(shè)備轉(zhuǎn)達(dá)。因?yàn)樽鳛樗淼乐虚g的P設(shè)備,它們無(wú)需了解×××的信息;另外,不同×××間地址空間會(huì)有重疊,如果這些×××路由都經(jīng)過(guò)P設(shè)備轉(zhuǎn)達(dá),P設(shè)備上將無(wú)法區(qū)分。
????·????BGP路由協(xié)議的協(xié)議報(bào)文是基于TLV結(jié)構(gòu)的,具有擴(kuò)展屬性位,便于攜帶更多的表明路由特征的信息。也就是說(shuō),BGP路由協(xié)議可以為×××組網(wǎng)定義一些擴(kuò)展屬性,適應(yīng)PE之間交互私網(wǎng)路由的需要。這一點(diǎn)對(duì)于×××非常重要,因?yàn)橛辛硕郪RF技術(shù)以后,每一臺(tái)PE設(shè)備需要接入多個(gè)×××用戶,一對(duì)PE設(shè)備之間交互的私網(wǎng)路由,需要設(shè)法攜帶上某種特征,才能夠通知對(duì)端PE這些路由信息屬于哪一個(gè)VRF。
????因?yàn)樯鲜龅膬蓚€(gè)特質(zhì),BGP路由協(xié)議被BGP MPLS ×××技術(shù)選用作于穿越公網(wǎng)傳遞私網(wǎng)路由的路由協(xié)議。為了適應(yīng)×××技術(shù)的需要,BGP路由協(xié)議進(jìn)行了一定的擴(kuò)展,擴(kuò)展后的BGP路由協(xié)議叫著MP-BGP(Multiprootocol BGP),即多協(xié)議BGP路由協(xié)議。
16.5.2????Route Target屬性
16.5.3????RD前綴
16.5.4????MPLS 私網(wǎng)Label
16.6????BGP MPLS ×××基本原理
16.6.1????公網(wǎng)隧道建立
????BGP MPLS ×××的實(shí)現(xiàn)分為以下四個(gè)步驟:
????????·????公網(wǎng)隧道的建立
????????·????本地×××的建立
????????·????私網(wǎng)路由的學(xué)習(xí)
????????·????私網(wǎng)數(shù)據(jù)的轉(zhuǎn)發(fā)
16.6.2????本地×××的建立
????只是將接口與×××進(jìn)行綁定,并沒(méi)有最終完成本地×××的建立,還需要PE設(shè)備與本地的×××用戶完成私網(wǎng)路由的交互,這樣才能讓接入到PE上的×××用戶知道PE是通往其他分部的出口。
????
16.3.3????私網(wǎng)路由的學(xué)習(xí)
????完成了本地×××的建立,BGP MPLS ×××實(shí)現(xiàn)開(kāi)始了最關(guān)鍵的一個(gè)步驟,也就是私網(wǎng)路由的學(xué)習(xí)過(guò)程,這個(gè)過(guò)程的主角是MP-BGP協(xié)議,它的目的是將PE設(shè)備在本地×××的建立過(guò)程中學(xué)習(xí)到的本地的私網(wǎng)路由信息通過(guò)MP-BGP協(xié)議傳遞給對(duì)端PE設(shè)備,并且根據(jù)用戶的×××互訪關(guān)系的設(shè)計(jì),將這些信息存放在對(duì)端PE設(shè)備的正確的×××路由表中。
????私網(wǎng)路由的學(xué)習(xí)可以分為兩個(gè)部分來(lái)看,第一步是本地路由的封裝,也就是按照MP-BGP協(xié)議的原理,在本端PE上對(duì)即將傳遞給對(duì)端的私網(wǎng)路由進(jìn)行一系列的準(zhǔn)備工作,最終封裝成一個(gè)MP-BGP路由更新消息,發(fā)送給對(duì)端。
????
16.6.4????私網(wǎng)數(shù)據(jù)的傳遞
第17章????BGP MPLS ×××配置與故障排除
17.2????BGP MPLS ×××的配置思路
????BGP MPLS ×××的配置思路與BGP MPLS ×××的原理完全吻合,與BGP MPLS ×××的實(shí)現(xiàn)過(guò)程一樣,配置也分為以下三個(gè)步驟:
????1)配置公網(wǎng)隧道,首先在公網(wǎng)上使能MPLS,建立公網(wǎng)隧道;
????2)配置本地×××,其次就是要根據(jù)用戶×××的互訪關(guān)系,設(shè)計(jì)本地×××;
????3)配置MP-BGP,最后在PE之間建立其MP-BGP鄰居,傳遞私網(wǎng)路由。
17.3????BGP MPLS ×××配置命令
17.3.1????配置公網(wǎng)隧道
????在配置公網(wǎng)隧道時(shí),有以下三個(gè)關(guān)鍵配置:
????1)配置該LSR設(shè)備的LSR ID:LSR ID的格式是一個(gè)IP地址,它將用來(lái)在MPLS網(wǎng)絡(luò)中標(biāo)識(shí)這臺(tái)LSR設(shè)備。所以要求LSR設(shè)備的LSR ID在MPLS網(wǎng)絡(luò)中唯一,通常會(huì)選用LSR的loopback地址作為其LSR ID。配置方法非常簡(jiǎn)單,如上圖所示,在系統(tǒng)模式下配置。
????2)使能LDP:這一步的配置是要講一臺(tái)普通的路由器,轉(zhuǎn)變?yōu)橐慌_(tái)可以處理MPLS報(bào)文,可以進(jìn)行MPLS標(biāo)簽分配的路由器。當(dāng)然使能的標(biāo)簽分配協(xié)議由用戶選用的標(biāo)簽分配協(xié)議來(lái)決定,不一定是LDP協(xié)議,此處以LDP為例,給出配置案例,該部分配置內(nèi)容也在系統(tǒng)模式下。
????3)接口下使能MPLS和LDP:具體使能某一接口的MPLS報(bào)文處理能力和LDP標(biāo)簽分配功能。系統(tǒng)模式下使能MPLS和LDP是接口使能對(duì)應(yīng)功能的前提,只有具體接口使能了MPLS和LDP,該接口才能處理MPLS報(bào)文。
????完成上述配置后,如果網(wǎng)絡(luò)中已經(jīng)有對(duì)應(yīng)的某一網(wǎng)段的路由,就能自動(dòng)形成對(duì)應(yīng)的標(biāo)簽轉(zhuǎn)發(fā)表項(xiàng),從而形成對(duì)應(yīng)的隧道。
17.3.2????配置本地×××
????配置BGP MPLS ×××的第二步是要建立本地×××,這部分的配置包含兩個(gè)重要的部分,第一部分是根據(jù)用戶×××互訪關(guān)系的要求,給對(duì)應(yīng)的×××設(shè)計(jì)RT、RD等參數(shù),并在PE上配置該×××;第二部分是將用戶接入PE的接口與對(duì)應(yīng)的×××進(jìn)行綁定,并啟動(dòng)路由協(xié)議多實(shí)例完成PE和CE之間的本地私網(wǎng)路由交互。
????所以這部分的關(guān)鍵配置如下幾步:
????1)創(chuàng)建一個(gè)×××:其中×××的名稱是一個(gè)任意字符串,可以根據(jù)用戶的特點(diǎn)進(jìn)行命名,建立盡可能考慮能從名稱上識(shí)別是哪個(gè)用戶,以方便維護(hù)。
????2)配置RD和RT:這部分首先要根據(jù)用戶互訪需求進(jìn)行限制,規(guī)劃完成后方可將規(guī)劃的RT和RD值配置在該×××視圖下。
????3)配置接口與×××綁定:將用戶接入的接口與對(duì)應(yīng)的×××進(jìn)行綁定,方法只需要在對(duì)應(yīng)的接口下配置上圖所示的綁定命令。
????4)配置PE與CE之間的路由協(xié)議:其中在PE一側(cè)需要將對(duì)應(yīng)的路由實(shí)例與對(duì)應(yīng)的×××進(jìn)行綁定,上圖是以O(shè)SPF在PE側(cè)的配置為例,將OSPF某一進(jìn)程與某一×××進(jìn)行綁定。
17.3.3????配置MP-BGP
17.4????BGP MPLS ×××配置示例
17.4.1????網(wǎng)絡(luò)環(huán)境和需求
17.4.2????配置BGP MPLS ×××公網(wǎng)隧道
????按照BGP MPLS ×××的配置思路,首先在公網(wǎng)上配置MPLS公網(wǎng)隧道,該部分配置包括兩個(gè)部分:
????1)首先在公網(wǎng)上使能某種IGP路由協(xié)議,使得公網(wǎng)設(shè)備之間IP互通;
????2)其次在公網(wǎng)上的P和PE設(shè)備上使能MPLS和MPLS LDP協(xié)議,完成PE設(shè)備之間的公網(wǎng)隧道建立。
17.4.3????配置BGP MPLS ×××本地×××
????配置BGP MPLS ×××的第二步是要配置本地×××,該部分配置通常分為以下三個(gè)步驟來(lái)完成;
????1)創(chuàng)建×××:按照用戶互訪需求創(chuàng)建×××并配置該×××的RD和RT值;
????2)配置私網(wǎng)接口與×××的綁定:即將PE上用戶接入的私網(wǎng)接口與對(duì)應(yīng)的×××進(jìn)行綁定;
????3)配置PE和CE之間的路由協(xié)議:實(shí)現(xiàn)PE與本地×××用戶之間的路由交互;
17.4.4????配置MP-BGP
17.5????BGP MPLS ×××排查故障
17.5.1????BGP MPLS ×××故障排查思路
17.5.2????BGP MPLS ×××故障排查步驟
17.5.3????排查本地×××故障的步驟
17.5.4????排查MP-BGP故障的步驟
第6篇????增強(qiáng)網(wǎng)絡(luò)安全性
第18章????增強(qiáng)網(wǎng)絡(luò)安全性
18.2????網(wǎng)絡(luò)安全概述
18.2.1????網(wǎng)絡(luò)安全威脅的來(lái)源
????實(shí)際上,真正使得企業(yè)遭受重大損失的安全事件,大部分都是來(lái)自于內(nèi)部。
18.2.2????網(wǎng)絡(luò)安全范圍
18.2.3????安全網(wǎng)絡(luò)構(gòu)成
18.3????業(yè)務(wù)隔離
18.3.1????局域網(wǎng)業(yè)務(wù)隔離
18.3.2????廣域網(wǎng)業(yè)務(wù)隔離
18.4????訪問(wèn)控制
18.4.1????為什么要進(jìn)行訪問(wèn)控制
18.4.2????訪問(wèn)控制的實(shí)現(xiàn)手段
18.4.3????防火墻技術(shù)
18.5.1????AAA體系結(jié)構(gòu)
????AAA是Authenticaiton,Authorizaiton and Accounting(認(rèn)證、授權(quán)和計(jì)費(fèi))的簡(jiǎn)稱,它提供了一個(gè)用來(lái)對(duì)認(rèn)證、授權(quán)和計(jì)費(fèi)這三種安全功能進(jìn)行配置的一致性框架,實(shí)際上是網(wǎng)絡(luò)安全的一種管理機(jī)制。
????這里的網(wǎng)絡(luò)安全主要是指訪問(wèn)控制,包括:
????·????哪些用戶可以訪問(wèn)網(wǎng)絡(luò)服務(wù)器;
????·????具有訪問(wèn)權(quán)的用戶可以得到哪些服務(wù);
????·????如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行計(jì)費(fèi)。
????針對(duì)以上問(wèn)題,AAA支持以下認(rèn)證方式:
????·????不認(rèn)證(none):對(duì)用戶非常信任,不對(duì)其進(jìn)行合法性檢查,一般情況下不采用這種方式。
????·????本地認(rèn)證(local):將用戶信息(包括本地用戶的用戶名、密碼和各種屬性)配置在設(shè)備上。本地認(rèn)證的優(yōu)點(diǎn)是速度快,可以降低運(yùn)營(yíng)成本;缺點(diǎn)是存儲(chǔ)信息量受設(shè)備硬件條件限制。
????·????遠(yuǎn)端認(rèn)證:支持通過(guò)RADIUS協(xié)議或HWTACACS協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證,由設(shè)備(如交換機(jī)、路由器)作為Clinet端,與RADIUS服務(wù)器或TACACS服務(wù)器通信。對(duì)于RADIUS協(xié)議,可以采用標(biāo)準(zhǔn)或擴(kuò)展的RADIUS協(xié)議,與CAMS等系統(tǒng)配合完成認(rèn)證。
????·????授權(quán)功能。AAA支持以下授權(quán)方式:
????????·????直接授權(quán)(none):對(duì)用戶非常信任,直接授權(quán)通過(guò),此時(shí)用戶的權(quán)限為系統(tǒng)的默認(rèn)權(quán)限。
????????·????本地授權(quán)(local):根據(jù)設(shè)備上為本地用戶帳號(hào)配置的相關(guān)屬性進(jìn)行授權(quán)。
????????·????HWTACACS授權(quán):由TACACS服務(wù)器對(duì)用戶進(jìn)行授權(quán)。
????????·????RADIUS授權(quán):RADIUS授權(quán)是特殊的流程。只有在認(rèn)證和授權(quán)的RADIUS方案相同的條件下,RADIUS授權(quán)才起作用,同時(shí)將RADIUS認(rèn)證回應(yīng)報(bào)文中攜帶的授權(quán)信息下發(fā)。
????·????計(jì)費(fèi)功能。AAA支持以下計(jì)費(fèi)方式:
????????·????不計(jì)費(fèi)(none):不對(duì)用戶計(jì)費(fèi)。
????????·????本地計(jì)費(fèi)(local):本地計(jì)費(fèi)是為了支持本地用戶的連接數(shù)限制管理,實(shí)現(xiàn)了對(duì)用戶接入數(shù)的統(tǒng)計(jì)功能;
????????·????遠(yuǎn)端計(jì)費(fèi):支持通過(guò)RADIUS服務(wù)器或TACACS服務(wù)器進(jìn)行遠(yuǎn)端計(jì)費(fèi)。
????AAA一般采用客戶機(jī)/服務(wù)器結(jié)構(gòu)。客戶端運(yùn)行于被管理的資源側(cè),服務(wù)器上集中存放用戶信息。因此,AAA框架具有良好的可擴(kuò)展性,并且容易實(shí)現(xiàn)用戶信息的集中管理。AAA可以通過(guò)多種協(xié)議來(lái)實(shí)現(xiàn),目前設(shè)備中的AAA是基于RADIUS協(xié)議或HWTACACS協(xié)議來(lái)實(shí)現(xiàn)的。
18.5.2????認(rèn)證授權(quán)應(yīng)用
18.6????傳輸安全
????在一個(gè)不安全的環(huán)境中傳輸重要數(shù)據(jù)時(shí),首先應(yīng)確保數(shù)據(jù)的機(jī)密性,即防止數(shù)據(jù)被未獲得授權(quán)的查看者理解,從而防止信息內(nèi)容泄漏,保證信息安全性。
????對(duì)于數(shù)據(jù)機(jī)密性的保障,需要對(duì)數(shù)據(jù)進(jìn)行加密。加密算法根據(jù)其工作方式的不同,可以分為對(duì)稱加密算法和非對(duì)稱加密算法兩種。
????在對(duì)稱加密算法中,通信雙方共享一個(gè)秘密,作為加密/解密的密鑰。這個(gè)密鑰既可以直接獲得的,也可以是通過(guò)某種共享的方法推算出來(lái)的。由于任何具有這個(gè)共享密鑰的人都可以對(duì)密文進(jìn)行解密,所以,對(duì)稱加密算法的安全性安全依賴于密鑰本身的安全性。因?yàn)閷?duì)稱密鑰加密方法執(zhí)行效率一般比較高,對(duì)稱密鑰加密算法適用于能夠安全地交換密鑰且傳輸數(shù)據(jù)量較大的場(chǎng)合。目前有不少對(duì)稱密鑰加密算法的標(biāo)準(zhǔn),包括DES、3DES、RC4、AES等。
????非對(duì)稱加密算法也稱為公開(kāi)密鑰算法。此類算法為每個(gè)用戶分配一對(duì)密鑰:一個(gè)私有密鑰和一個(gè)公開(kāi)密鑰。私有密鑰是保密的,由用戶自己保管。公開(kāi)密鑰是公諸與眾的,其本身不構(gòu)成嚴(yán)格的秘密。這兩個(gè)密鑰的產(chǎn)生沒(méi)有相互關(guān)系,也就是說(shuō)不能利用公開(kāi)密鑰推斷出私有密鑰,安全性較高。非對(duì)稱加密算法的弱點(diǎn)在于其速度非常慢,吞吐量低。因此不適宜于大量數(shù)據(jù)的加密。非對(duì)稱密鑰的算法中最著名和最流行的是RSA和DH。
????在一個(gè)不安全的環(huán)境中傳輸數(shù)據(jù)時(shí),還需要確保數(shù)據(jù)的完整性,即發(fā)覺(jué)數(shù)據(jù)是否被篡改。
????為了保證數(shù)據(jù)的完整性,通常使用摘要算法(HASH)。采用HASH函數(shù)對(duì)一段長(zhǎng)度可變的數(shù)據(jù)進(jìn)行hash計(jì)算,會(huì)得到一段固定長(zhǎng)度的結(jié)果,該結(jié)果稱之為原數(shù)據(jù)的摘要,也稱之為消息驗(yàn)證碼(Message Authentication Code,MAC)。摘要中包含了被保護(hù)數(shù)據(jù)的特征,如果該數(shù)據(jù)稍有變化,都會(huì)導(dǎo)致最后計(jì)算的摘要不同。另外HASH函數(shù)具有單向性。也就是說(shuō)無(wú)法根據(jù)結(jié)果導(dǎo)出原始輸入,因而無(wú)法構(gòu)造一個(gè)與原報(bào)文有相同摘要的報(bào)文。
????數(shù)字簽名是指使用密碼算法對(duì)待發(fā)的數(shù)據(jù)進(jìn)行加密處理,生成一段信息,附著在原文上一起發(fā)送,這段信息類似現(xiàn)實(shí)中的簽名或印章,接收方對(duì)其進(jìn)行驗(yàn)證,判斷原文幀偽。
????數(shù)字簽名技術(shù)是在網(wǎng)絡(luò)虛擬環(huán)境中確認(rèn)身份的重要技術(shù),完全可以大體現(xiàn)實(shí)過(guò)程中的“親筆簽名”,在技術(shù)和法律上有保證。
????數(shù)字簽名可以保證信息傳輸?shù)耐暾?#xff0c;確認(rèn)發(fā)送者的真實(shí)身份并防止交易中的抵賴發(fā)生。
18.7????安全防御
18.7.1????使用NAT進(jìn)行安全防御
????NAT(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)是將IP數(shù)據(jù)報(bào)頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過(guò)程。網(wǎng)絡(luò)地址轉(zhuǎn)換是對(duì)Internet隱藏內(nèi)部地址,防止內(nèi)部地址公開(kāi)。
????在內(nèi)部網(wǎng)絡(luò)與Intenret相連的位置使用NAT技術(shù)對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)有如下的好處:
????·????內(nèi)部用戶仍然能夠透明的訪問(wèn)外部網(wǎng)絡(luò),內(nèi)部用戶不會(huì)感受到地址轉(zhuǎn)換的存在,在部署了NAT技術(shù)后訪問(wèn)外網(wǎng)業(yè)務(wù)的可用性不會(huì)受到影響。
????·????采用了NAT技術(shù)后,發(fā)出到外網(wǎng)的數(shù)據(jù)信息的源地址都經(jīng)過(guò)了轉(zhuǎn)換,內(nèi)網(wǎng)地址信息被屏蔽掉了,使外部人員無(wú)法獲致內(nèi)部網(wǎng)絡(luò)的信息,也就沒(méi)有了***的對(duì)象。
????·????采用NAT技術(shù)后,內(nèi)部網(wǎng)絡(luò)的IP地址在互聯(lián)網(wǎng)上永遠(yuǎn)不會(huì)被路由,內(nèi)外網(wǎng)的路由被隔段,外網(wǎng)的主動(dòng)***無(wú)法到達(dá)內(nèi)網(wǎng)。
????·????在兩個(gè)內(nèi)部網(wǎng)絡(luò)相互連接的時(shí)候,采用雙向NAT技術(shù),可以避免兩個(gè)網(wǎng)絡(luò)的地址互相影響,避免由于地址沖突引發(fā)的網(wǎng)絡(luò)安全問(wèn)題。
????總之,在與Internet(或其他網(wǎng)絡(luò))相連的位置使用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)是一種非常行之有效的安全防御手段。
18.7.2????網(wǎng)絡(luò)***與防御
18.7.3????設(shè)備安全加固
????整個(gè)網(wǎng)絡(luò)是由網(wǎng)絡(luò)設(shè)備和相關(guān)線路組成,網(wǎng)絡(luò)設(shè)備的安全是整個(gè)網(wǎng)絡(luò)穩(wěn)定運(yùn)行的前提條件。如果網(wǎng)絡(luò)設(shè)備的安全都得不到保證,整個(gè)網(wǎng)絡(luò)的安全也就無(wú)從談起。
????在網(wǎng)絡(luò)上,對(duì)于網(wǎng)絡(luò)設(shè)備的安全威脅主要有以下幾個(gè)方面:
????·????對(duì)于設(shè)備登錄安全的威脅。非法用戶通過(guò)各種方式(比如TELNET、SSH、SNMP等方式)遠(yuǎn)程登錄到設(shè)備上,獲取對(duì)設(shè)備部分或全部的控制權(quán),對(duì)設(shè)備的穩(wěn)定運(yùn)行造成威脅,從而威脅到整個(gè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。
????·????對(duì)于設(shè)備管理權(quán)限的安全威脅。合法的用戶獲取到非法的權(quán)限,獲得對(duì)設(shè)備更大的操作權(quán)限,對(duì)設(shè)備的穩(wěn)定運(yùn)行造成威脅,從而威脅到整個(gè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。
????·????對(duì)于設(shè)備本身的***。利用設(shè)備開(kāi)啟的各類服務(wù),比如FTP服務(wù),IP重定向服務(wù)等服務(wù),對(duì)設(shè)備的CPU進(jìn)行***,使設(shè)備無(wú)法正常工作,從而威脅到整個(gè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。
????·????對(duì)于設(shè)備資源的安全威脅。非法用戶通過(guò)大規(guī)模消耗設(shè)備的相應(yīng)資源(比如APP表項(xiàng),MAC表項(xiàng)),導(dǎo)致正常用戶享受的服務(wù)。
第7篇????服務(wù)質(zhì)量
第19章????QoS概述
????傳統(tǒng)的IP網(wǎng)絡(luò)僅提供“盡力而為”(Best-Effort)的傳輸服務(wù)。網(wǎng)絡(luò)有可用資源時(shí)就轉(zhuǎn)發(fā)數(shù)據(jù)包,網(wǎng)絡(luò)可用資源不足時(shí)就丟棄數(shù)據(jù)包。網(wǎng)絡(luò)設(shè)備采用先進(jìn)先出(First In First Out),不區(qū)分業(yè)務(wù),也無(wú)法對(duì)業(yè)務(wù)傳遞提供任何可預(yù)期和有保障的服務(wù)質(zhì)量。
????新一代互聯(lián)網(wǎng)承載了語(yǔ)音、視頻等實(shí)時(shí)互動(dòng)信息,而這些業(yè)務(wù)對(duì)網(wǎng)絡(luò)的延遲、抖動(dòng)等情況都非常敏感,因此要求網(wǎng)絡(luò)在傳統(tǒng)服務(wù)之外能進(jìn)一步提供有保證和可預(yù)期的服務(wù)質(zhì)量。
????QoS(Quality of Service,服務(wù)質(zhì)量)通過(guò)合理的管理和分配網(wǎng)絡(luò)資源,允許用戶的緊急和延遲敏感型業(yè)務(wù)能獲得相對(duì)優(yōu)先的服務(wù),從而在丟包、延遲、抖動(dòng)和帶寬等方面獲得可預(yù)期的服務(wù)水平。
19.2????新一代網(wǎng)絡(luò)面臨的服務(wù)質(zhì)量問(wèn)題
19.2.1????常見(jiàn)的語(yǔ)音視頻質(zhì)量問(wèn)題
19.3????服務(wù)質(zhì)量的衡量標(biāo)準(zhǔn)
19.3.1????帶寬
????帶寬(Bandwidth)和吞吐量(Throughput)是用于衡量網(wǎng)絡(luò)傳輸容量的關(guān)鍵指標(biāo)。帶寬就是單位時(shí)間內(nèi)許可的最×××量,其單位為bps(bit per second)。吞吐量是每秒通過(guò)的數(shù)據(jù)包的個(gè)數(shù),其單位為pps(packet per second)。
????對(duì)于一條端到端的路徑而言,其最大可用帶寬等于端到端路徑上帶寬最低的鏈路的帶寬。
????當(dāng)然,在每一鏈路上可能同時(shí)傳送多個(gè)數(shù)據(jù)流,這些數(shù)據(jù)流將共同分享鏈路帶寬。因此每個(gè)數(shù)據(jù)流實(shí)際可以占用的帶寬將小于最大可用帶寬。
????對(duì)于所有應(yīng)用而言,帶寬總是首要條件。為了使應(yīng)用能夠正常工作,首先必須獲得足夠的可用帶寬。帶寬不足將導(dǎo)致網(wǎng)絡(luò)擁塞,引起丟包、延遲、抖動(dòng)等一系列問(wèn)題。
19.3.2????延遲
????延遲(Delay)有稱為時(shí)延,是衡量數(shù)據(jù)包穿越網(wǎng)絡(luò)所用時(shí)間的指標(biāo),通常以毫秒(ms)為單位。延遲是一個(gè)綜合性的指標(biāo),主要由處理延遲和傳播延遲組成。
????處理延遲指網(wǎng)絡(luò)設(shè)備從接收到報(bào)文到將其提交到出接口準(zhǔn)備發(fā)出所消耗的時(shí)間。其主要包括兩部分:
????·????交換延遲:指報(bào)文從接口被交換到出接口所用的時(shí)間,這部分延遲主要取決于設(shè)備內(nèi)部處理能力,例如總線帶寬和交換板容量等,在設(shè)備既定的條件下可以被認(rèn)為是固定值。
????·????排隊(duì)延遲:是指報(bào)文在出接口隊(duì)列中等待和被調(diào)度的時(shí)間,這部分延遲受網(wǎng)絡(luò)擁塞情況,調(diào)度算法和CPU負(fù)載的影響,是一個(gè)不確定的值。當(dāng)網(wǎng)絡(luò)負(fù)載較輕時(shí)排隊(duì)延遲可能很小;但當(dāng)網(wǎng)絡(luò)負(fù)載較重時(shí),大部分報(bào)文都要在隊(duì)列中排隊(duì)等候,排隊(duì)延遲會(huì)很大。
????·????串行化延遲:指報(bào)文被發(fā)送到鏈路上時(shí)轉(zhuǎn)為串行信號(hào)所用的時(shí)間。其主要取決于物理接口的速率,速率越大則串行化所用時(shí)間越少。
????·????傳輸延遲:指物理信號(hào)在介質(zhì)上傳輸所用的時(shí)間。其主要取決于鏈路的長(zhǎng)度和物理性質(zhì)。比如衛(wèi)星通信通常就具有很大的傳輸延遲,而局域網(wǎng)內(nèi)的傳輸延遲基本可以忽略不計(jì)。
????????各種延遲發(fā)生作用的位置如圖所示。
19.3.3????抖動(dòng)
????抖動(dòng)(Jitter)是描述延遲變化的物理量,是衡量網(wǎng)絡(luò)延遲穩(wěn)定性的指標(biāo)。抖動(dòng)通常以毫秒(ms)為單位。抖動(dòng)的數(shù)值等于延遲變化量的絕對(duì)值。
????抖動(dòng)產(chǎn)生的原因主要是延遲的隨機(jī)性。在IP網(wǎng)絡(luò)環(huán)境中,由于分組轉(zhuǎn)發(fā)的緣故,同一數(shù)據(jù)流中相接的兩個(gè)包可能通過(guò)不同的路徑到達(dá)對(duì)端,因而其延遲有可能有相差較大。即使通過(guò)相同的路徑,網(wǎng)絡(luò)設(shè)備和鏈路資源的情況也是一個(gè)不斷變化的因素,這就可能造成延遲的變化性和不可預(yù)知性,從而引起較大的抖動(dòng)。
19.3.4????丟包率
????丟包的產(chǎn)生可能來(lái)源于傳輸錯(cuò)誤、流量限制、網(wǎng)絡(luò)擁塞等多種情況。由于傳輸介質(zhì)的改進(jìn),傳輸錯(cuò)誤造成的丟包已經(jīng)很少發(fā)生了。在因而目前的丟包大部分來(lái)自網(wǎng)絡(luò)擁塞和流量限制。前者是由于帶寬資源不足,當(dāng)隊(duì)列滿之后,設(shè)備不得以而對(duì)非重要類型數(shù)據(jù)進(jìn)行丟棄而發(fā)生的;后者由于數(shù)據(jù)流量超出許可的范圍,導(dǎo)致設(shè)備對(duì)其進(jìn)行丟棄而發(fā)生的。
????丟包的程度通過(guò)丟包率來(lái)衡量。一段時(shí)間內(nèi)的丟包率等于該段時(shí)間內(nèi)丟棄的報(bào)文數(shù)量除以該段時(shí)間內(nèi)的全部報(bào)文數(shù)量。
????丟包率是衡量網(wǎng)絡(luò)性能狀況的另一個(gè)重要參數(shù),主要表征報(bào)文在網(wǎng)絡(luò)傳輸過(guò)程的可靠性。對(duì)于大多數(shù)應(yīng)用而言,丟包是最為嚴(yán)重的網(wǎng)絡(luò)問(wèn)題。因?yàn)閬G包意味著信息的不完整,甚至?xí)绊懻麄€(gè)數(shù)據(jù)流。對(duì)于TCP應(yīng)用,由于其本身提供了重傳確認(rèn)的機(jī)制,發(fā)生少量的丟包時(shí)可以通過(guò)重傳進(jìn)行彌補(bǔ),但是嚴(yán)重的丟包會(huì)導(dǎo)致TCP傳輸速率的緩慢,甚至完全中斷。對(duì)于UDP應(yīng)用,由于UDP本身沒(méi)有任何確認(rèn)機(jī)制,它不能確定是否丟包,極有可能造成信息的永久缺失。對(duì)語(yǔ)音、視頻等應(yīng)用,如果網(wǎng)絡(luò)出現(xiàn)丟包,它們會(huì)寧愿舍棄這些數(shù)據(jù)包,因?yàn)檫t到的數(shù)據(jù)包對(duì)這些應(yīng)用是沒(méi)有價(jià)值的,因此丟包會(huì)使這些應(yīng)用在使用效果上大打折扣。
19.3.5????常規(guī)應(yīng)用對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量的要求
19.4????QoS的功能
19.4.1????提高服務(wù)質(zhì)量的方法
????提高服務(wù)質(zhì)量的主要方法包括:
????·????提高物理帶寬:增加物理帶寬是緩解帶寬不足的最簡(jiǎn)單方法,比如百兆以太網(wǎng)升級(jí)到千兆,OC-48升級(jí)到OC-192。但由于涉及硬件升級(jí),這種方法受技術(shù)和成本的限制。應(yīng)用對(duì)帶寬的需求是無(wú)限的,由于計(jì)算機(jī)網(wǎng)絡(luò)具有分組交換資源重復(fù)的基本特點(diǎn),不論物理帶寬有多高,都仍然可能發(fā)生至少是暫時(shí)性的擁塞。
????·????增加緩沖:發(fā)送方可以增加緩沖區(qū),在擁塞發(fā)生時(shí)將來(lái)不及發(fā)送的報(bào)文緩存起來(lái),等資源有富余時(shí)再發(fā)送;接收方可以增加緩沖區(qū),在抖動(dòng)較大時(shí)等待足夠的報(bào)文到達(dá)后再平滑處理。這種方法可以在一定程度上緩解突發(fā)性的擁塞和高抖動(dòng),但增加了被緩沖報(bào)文的延遲。另一方面,緩沖區(qū)總是有限的,當(dāng)緩沖區(qū)滿時(shí)報(bào)文仍然會(huì)被丟棄。
????·????對(duì)報(bào)文進(jìn)行壓縮:壓縮技術(shù)減少了數(shù)據(jù)傳輸量,效果相當(dāng)于增加了帶寬,同時(shí)降低了串行化延遲。但壓縮和解壓縮操作會(huì)加重設(shè)備處理負(fù)擔(dān),引入新的處理延遲。同時(shí)壓縮的比率無(wú)法預(yù)先確定,因此不能預(yù)期其實(shí)施效果。
????·????優(yōu)先轉(zhuǎn)發(fā)某些數(shù)據(jù)流的報(bào)文:在資源不足時(shí),優(yōu)先為重要、敏感的應(yīng)用報(bào)文提供服務(wù),而丟棄不重要的應(yīng)用報(bào)文;在重要性相同的情況下,根據(jù)需求對(duì)各應(yīng)用按一定比例提供服務(wù)。這樣既可以照顧敏感應(yīng)用對(duì)延遲和抖動(dòng)的要求,又可以照顧各類應(yīng)用對(duì)帶寬和吞吐量的要求。在物理資源既定的情況下,這是一種合理的解決方案。
????·????分片和交錯(cuò)發(fā)送:在低速鏈路上,為了避免大尺寸報(bào)文的傳輸長(zhǎng)時(shí)間占用鏈路而造成其他報(bào)文的延遲,可以將其拆分成若干片段。這種方法可以降低低速鏈路上重要應(yīng)用的延遲,降低敏感應(yīng)用的抖動(dòng)。
19.4.2????QoS的功能
????QoS旨在對(duì)網(wǎng)絡(luò)資源提供更好的管理,以在統(tǒng)計(jì)層面上對(duì)各種業(yè)務(wù)提供合理而公平的網(wǎng)絡(luò)服務(wù)。其具體的作用包括以下幾個(gè)方面:
????·盡量避免網(wǎng)絡(luò)擁塞。
????·在不能避免擁塞時(shí)對(duì)帶寬進(jìn)行有效管理。
????·降低IP網(wǎng)絡(luò)流量。
????·為特定用戶或特定業(yè)務(wù)提供專用帶寬
????·支撐網(wǎng)絡(luò)上的實(shí)時(shí)業(yè)務(wù)。
????????QoS只能使資源的分配更合理,使網(wǎng)絡(luò)傳輸變得更有效,而不能創(chuàng)造網(wǎng)絡(luò)資源。
19.5????Best-Effort模型
19.5.1????Best-Effort模型介紹
????Best Effort是最簡(jiǎn)單的服務(wù)模型。報(bào)文的轉(zhuǎn)發(fā)無(wú)需預(yù)約資源,網(wǎng)絡(luò)盡最大可能來(lái)發(fā)送報(bào)文,有資源就發(fā)送,沒(méi)資源就丟棄。網(wǎng)絡(luò)不區(qū)分報(bào)文所屬的業(yè)務(wù)類型,對(duì)各種業(yè)務(wù)都不提供任何的延遲和丟包保證。
????Best Effort模型是互聯(lián)網(wǎng)缺省的服務(wù)模型,其通過(guò)FIFO(First Input First Output,先入先出)隊(duì)列來(lái)實(shí)現(xiàn),實(shí)現(xiàn)最為簡(jiǎn)單。
19.5.2????FIFO隊(duì)列
19.5.3????Best-Effort模型的特點(diǎn)
19.6????DiffServ模型
19.6.1????DiffServ模型介紹
19.6.2????Diffserv模型體系結(jié)構(gòu)
????Diffserv模型的體系結(jié)構(gòu)如圖所示,其主要由下列組件構(gòu)成:
????·DS域(Differentiated Services Domain):DS域是一組相鄰的DS節(jié)點(diǎn)的集合,這些DS節(jié)點(diǎn)配置了一致的服務(wù)提供策略。DS域的邊界由位于邊界處的所有DS邊界節(jié)點(diǎn)構(gòu)成。
????·DS邊界節(jié)(DS Boundary Nodes):DS邊界節(jié)點(diǎn)負(fù)責(zé)對(duì)進(jìn)入本DS域的數(shù)據(jù)進(jìn)行分類及可能的調(diào)節(jié),以保證穿過(guò)此DS域的數(shù)據(jù)流符合約定的速率,其報(bào)文的DS代碼點(diǎn)被適當(dāng)標(biāo)記。
????·DS內(nèi)部節(jié)點(diǎn)(DS Interior Nodes):位于DS域內(nèi)的DS內(nèi)部節(jié)點(diǎn)根據(jù)報(bào)文攜帶的DS代碼點(diǎn)為數(shù)據(jù)包提供適當(dāng)?shù)霓D(zhuǎn)發(fā)行為。
????·邊界鏈路和內(nèi)部鏈路:DS域的邊界節(jié)點(diǎn)通過(guò)邊界鏈路與其他DS域或非DS域相連;一個(gè)DS域內(nèi)部的邊界節(jié)點(diǎn)和內(nèi)部節(jié)點(diǎn)之間通過(guò)內(nèi)部鏈路互相連接。
????·非DS域:指不支持DS服務(wù)的網(wǎng)絡(luò)或節(jié)點(diǎn)。
????·DS區(qū)(Differentialted Services Region):DS區(qū)由一個(gè)或多個(gè)相鄰的DS域構(gòu)成,可以沿一系列DS域構(gòu)成的路徑上提供區(qū)分服務(wù)。DS區(qū)中的DS域可能配置了不同的服務(wù)提供策略,以及不同的代碼點(diǎn)到PHB的映射規(guī)則。為了在DS區(qū)內(nèi)的整個(gè)路徑上提供區(qū)分服務(wù),各DS域之間必須建立定義了TCA(Traffic Conditoning Agreement,流量調(diào)節(jié)協(xié)議)的SLA(Service Level Agreement,服務(wù)水平協(xié)議),以明確如果在DS域邊界處對(duì)由一個(gè)DS域傳給另一個(gè)DS域的數(shù)據(jù)進(jìn)行調(diào)節(jié)。
19.6.3????邊界行為
19.6.4????無(wú)突發(fā)令牌桶算法
19.6.5????帶突發(fā)的雙令牌桶算法
19.6.6????主要標(biāo)記方法
19.6.7????IP Precedence
19.6.8????DSCP
19.6.9????802.1p CoS
19.6.10 MPLS EXP
19.6.11????×××和丟棄
????×××(Shaping)的目的是使輸出的流量更加平滑,并保證其符合SLA。×××可以減少網(wǎng)絡(luò)流量的突發(fā)和振蕩,同時(shí)也降低丟棄的概率。×××器將超出承諾速率的報(bào)文放入一個(gè)緩沖區(qū)(buffer)中,當(dāng)資源許可時(shí)再發(fā)送。緩沖區(qū)的存在減少了流量高峰期的丟包,但也會(huì)因此引入額外的延遲。緩沖區(qū)的空間通常是有限的,如果緩沖區(qū)空間不足,則被延遲發(fā)送的報(bào)文會(huì)被丟棄。
????丟棄(Dropping)的目的是限制流量的突發(fā)性,并保證其符合SLA。丟棄器對(duì)于超出承諾速率的報(bào)文直接丟棄。這雖然不利于平滑網(wǎng)絡(luò)流量,但避免了額外引入的延遲,降低了資源的消耗。這種操作也稱為流量監(jiān)管(Traffic Policing)。
19.6.12????PHB
????PHB(Per-hop Behavior,逐跳行為)指DS節(jié)點(diǎn)對(duì)行為聚合應(yīng)用的可由外部觀測(cè)到的轉(zhuǎn)發(fā)行為。PHB是DS節(jié)點(diǎn)對(duì)行為聚合分配資源的方法。
????PHB可以通過(guò)占用帶寬、緩沖等資源的優(yōu)先級(jí)來(lái)定義,也可以通過(guò)延遲、抖動(dòng)等可觀測(cè)的特性來(lái)定義。一個(gè)典型的PHB例子是為某兩地之間的數(shù)據(jù)流保留5%的鏈路帶寬。
????PHB具有單跳性和獨(dú)立性的特點(diǎn),它規(guī)定了行為聚合在DS節(jié)點(diǎn)處獲得怎樣的服務(wù)。每個(gè)節(jié)點(diǎn)具有獨(dú)立的PHB策略,各節(jié)點(diǎn)、各域之間互相沒(méi)有影響。這也是Diffserv模型具有良好擴(kuò)展性的原因之一。
????在DS節(jié)點(diǎn)上,PHB是通過(guò)一定的緩沖區(qū)管理和分組調(diào)度策略實(shí)現(xiàn)的。DS節(jié)點(diǎn)根據(jù)入站報(bào)文攜帶的標(biāo)記為其提供適當(dāng)?shù)腜HB。一個(gè)DS節(jié)點(diǎn)可以實(shí)現(xiàn)多種PHB。代碼點(diǎn)到PHB的映射關(guān)系可以是一對(duì)一的,也可以是多對(duì)一的。
19.7????IntServ模型
19.7.1????IntServ模型介紹
????IntServ(Integrated Service,綜合服務(wù))模型由RFC 1633所定義,它可以滿足多種QoS需求。在這種模型中,節(jié)點(diǎn)在發(fā)送報(bào)文前,需要向網(wǎng)絡(luò)申請(qǐng)所需資源。這個(gè)請(qǐng)求是通過(guò)RSVP(Resource Reservation Protocol,資源預(yù)留協(xié)議)信令來(lái)完成。
????IntServ可以提供以下兩種服務(wù):
????·保證服務(wù):它提供保證的帶寬和延遲來(lái)滿足應(yīng)用程序的要求。
????·負(fù)載控制服務(wù):它保證即使在網(wǎng)絡(luò)過(guò)載的情況下,也能對(duì)報(bào)文提供與網(wǎng)絡(luò)未過(guò)載時(shí)類似的服務(wù)。即在網(wǎng)絡(luò)擁塞的情況下,也可以保證某些應(yīng)用程序報(bào)文的低延遲和優(yōu)先通過(guò)。
19.7.2????IntServ體系結(jié)構(gòu)
????IntServ模型的范圍既涵蓋了網(wǎng)絡(luò)設(shè)備也涵蓋了主機(jī),因而是一種端到端的服務(wù)。該模型要求數(shù)據(jù)流向上的每一跳設(shè)備都為每一個(gè)流單獨(dú)預(yù)留資源,同時(shí)在每一個(gè)流進(jìn)行資源申請(qǐng)時(shí)進(jìn)行準(zhǔn)入控制。
????在發(fā)送數(shù)據(jù)之前,終端節(jié)點(diǎn)應(yīng)用程序首先將其流量參數(shù)和需要的特定服務(wù)質(zhì)量以信令向網(wǎng)絡(luò)發(fā)起請(qǐng)求,這些參數(shù)包括帶寬、延遲等。網(wǎng)絡(luò)在收到應(yīng)用程序的資源請(qǐng)求后,執(zhí)行資源分配檢查,即基于應(yīng)用程序的資源申請(qǐng)和網(wǎng)絡(luò)現(xiàn)有的資源情況,判斷是否為應(yīng)用程序分配資源。一旦網(wǎng)絡(luò)確認(rèn)認(rèn)為應(yīng)用程序的資源申請(qǐng)和網(wǎng)絡(luò)現(xiàn)有的資源情況,判斷是否為應(yīng)用程序分配資源。一旦網(wǎng)絡(luò)確認(rèn)為應(yīng)用程序分配資源,則網(wǎng)絡(luò)將為這個(gè)流(Flow,由兩端節(jié)點(diǎn)的IP地址、端口號(hào)、協(xié)議號(hào)確定)維護(hù)一個(gè)狀態(tài),并基于這個(gè)狀態(tài)執(zhí)行報(bào)文的分類、流量監(jiān)管、排隊(duì)及其調(diào)度。收到網(wǎng)絡(luò)確認(rèn)已預(yù)留資源的消息后,終端節(jié)點(diǎn)應(yīng)用程序才開(kāi)始發(fā)送報(bào)文。只要該數(shù)據(jù)流的流量在流量參數(shù)描述的范圍內(nèi),網(wǎng)絡(luò)就會(huì)承諾滿足應(yīng)用程序的QoS需求。
19.7.3????RSVP介紹
????RSVP(Resource Reservation Protocol,資源預(yù)留協(xié)議)是為IntServ模型設(shè)計(jì)的信令協(xié)議,用于在一條路徑的各節(jié)點(diǎn)上進(jìn)行資源預(yù)留。RSVP工作在傳輸層,但只用于信息的傳遞,而不參與應(yīng)用數(shù)據(jù)的傳送,是一種Internet上的控制協(xié)議。
????簡(jiǎn)單來(lái)說(shuō),RSVP具有以下主要特點(diǎn):
????·資源的申請(qǐng)具有單向性,即一對(duì)通信節(jié)點(diǎn)間可以在單方向申請(qǐng)資源,雙向的資源申請(qǐng)需獨(dú)立進(jìn)行。
????·由接收者發(fā)起對(duì)資源預(yù)留的請(qǐng)求,并維護(hù)資源預(yù)留信息;
????·使用“軟狀態(tài)”(soft state)機(jī)制維護(hù)資源預(yù)留信息。
????????路由器在為每一條流進(jìn)行資源預(yù)留時(shí)會(huì)沿著數(shù)據(jù)傳輸方向逐跳發(fā)送資源請(qǐng)求報(bào)文(Path消息),其中包含了自身對(duì)于帶寬、延遲等參數(shù)的需求信息。收到請(qǐng)求的路由器在進(jìn)行記錄后再將Path消息發(fā)向下一跳。當(dāng)報(bào)文到達(dá)目的地后,由接收端反向逐條發(fā)送資源預(yù)留報(bào)文(Resv消息)給沿途的路由器進(jìn)行資源預(yù)留。
19.7.4????IntServ模型的特點(diǎn)
19.7.5????IntServ模型的主要應(yīng)用
第20章????配置QoS邊界行為
????DS域(DS Domain)內(nèi)的節(jié)點(diǎn)可分為邊界節(jié)點(diǎn)和內(nèi)部節(jié)點(diǎn)。DS邊界節(jié)點(diǎn)負(fù)責(zé)區(qū)分和標(biāo)記用戶數(shù)據(jù),并根據(jù)SLA/TCA對(duì)數(shù)據(jù)進(jìn)行一定的調(diào)節(jié)。內(nèi)部節(jié)點(diǎn)依據(jù)標(biāo)記按照特定的PHB進(jìn)行轉(zhuǎn)發(fā)。
20.2????分類
20.2.1????分類的實(shí)現(xiàn)
????在DS模型中,一個(gè)行為聚合(Behavior Aggregate,BA)中的流在轉(zhuǎn)發(fā)時(shí)將應(yīng)用同一個(gè)PHB(Per-hop Behavior,逐跳行為),因此將獲得相同的QoS服務(wù)。分類的目的就是將符合條件的數(shù)據(jù)流劃分到相應(yīng)的BA中,以便于后續(xù)的QoS機(jī)制做進(jìn)一步處理。
????H3C路由器和交換機(jī)支持兩類分類機(jī)制,允許依據(jù)豐富的條件對(duì)報(bào)文進(jìn)行分類:
????·自動(dòng)分類:在接口上可以配置信任端口優(yōu)先級(jí)或信任報(bào)文優(yōu)先級(jí)。信任端口優(yōu)先級(jí)時(shí)將從本端口進(jìn)入的所有報(bào)文歸為一類。信任報(bào)文優(yōu)先級(jí)時(shí)可以配置為依據(jù)報(bào)文攜帶的CoS、IP Precedence、DSCP或MPLS EXP等優(yōu)先級(jí)標(biāo)記對(duì)其劃分類別。
????·手動(dòng)分類:通用引用ACL等手段匹配報(bào)文的不同字段,以便依據(jù)報(bào)文的2-7層信息進(jìn)行分類,這些信息包括MAC地址、VLAN號(hào)、IP地址、協(xié)議類型、傳輸層端口號(hào)、COS、IP Precedence、DSCP或MPLS EXP等。
20.3????流量監(jiān)管
20.3.1????流量監(jiān)管的實(shí)現(xiàn)
20.3.2????CAR的位置
20.3.3????CAR的原理
20.3.4????配置CAR實(shí)現(xiàn)流量監(jiān)管
20.4????標(biāo)記
20.4.1????標(biāo)記的實(shí)現(xiàn)
20.4.2????映射表標(biāo)記的原理
20.4.3????CAR標(biāo)記的原理
20.4.4????標(biāo)記的配置
20.5????流量×××
20.5.1????流量×××的實(shí)現(xiàn)
20.5.2????GTS的位置
20.5.3???? GTS的原理
20.5.4????配置GTS實(shí)現(xiàn)流量×××
20.6????接口限速
20.6.1????接口限速介紹
20.6.2????接口限速的原理
20.6.3????接口限速的配置
20.7????流量監(jiān)管/×××配置示例
第21章????基本擁塞管理
????所謂擁塞,是指當(dāng)前供給資源相對(duì)于正常轉(zhuǎn)發(fā)處理需要資源的不足,從而導(dǎo)致服務(wù)質(zhì)量下降的一種現(xiàn)象。擁塞有可能會(huì)引發(fā)一系列的負(fù)面影響。
????在擁塞發(fā)生時(shí)保證重要數(shù)據(jù)的正常傳送,是QoS的主要功能之一,也是一類最重要的PHB,相關(guān)的技術(shù)成為擁塞管理技術(shù)。
21.2????擁塞管理概述
21.2.1????擁塞與擁塞管理
????網(wǎng)絡(luò)的設(shè)備在某個(gè)時(shí)間內(nèi)接收到的數(shù)據(jù)總量可能會(huì)超過(guò)設(shè)備轉(zhuǎn)發(fā)接口的轉(zhuǎn)發(fā)能力,從而導(dǎo)致?lián)砣陌l(fā)生。比如,若路由器的告訴以太網(wǎng)連接到一個(gè)局域網(wǎng),通過(guò)低速的WAN鏈路連接Internet,當(dāng)局域網(wǎng)內(nèi)有大量用戶訪問(wèn)Internet時(shí),路由器的WAN鏈路的出方向?qū)?huì)發(fā)生擁塞。交換機(jī)設(shè)備也可能存在上行帶寬不夠而發(fā)生擁塞問(wèn)題,比如若接口1和接口2接入的用戶都需要通過(guò)接口3上行訪問(wèn)部門(mén)服務(wù)器,接口3與接口1和2速率相同,這樣當(dāng)大量用戶同時(shí)訪問(wèn)服務(wù)器時(shí)可能導(dǎo)致接口3發(fā)生擁塞。
????擁塞有可能會(huì)引發(fā)一系列的負(fù)面影響:
????·????擁塞增加了報(bào)文傳輸?shù)难舆t和抖動(dòng),可能會(huì)引起報(bào)文重傳,從而導(dǎo)致更多的擁塞產(chǎn)生;
????·????擁塞使網(wǎng)絡(luò)的有效吞吐率降低,造成網(wǎng)絡(luò)資源的利用率降低。
????·????擁塞加劇會(huì)耗費(fèi)大量的網(wǎng)絡(luò)資源(特別是存儲(chǔ)資源),不合理的資源分配甚至可能導(dǎo)致系統(tǒng)陷入資源死鎖而崩潰。
????擁塞管理是指在網(wǎng)絡(luò)發(fā)生擁塞時(shí),進(jìn)行管理和控制,合理分配資源。處理的方法是使用隊(duì)列技術(shù),將報(bào)文一定的策略緩存在隊(duì)列中,然后按一定調(diào)度策略把報(bào)文從隊(duì)列中取出,在接口上發(fā)送出去。不同的隊(duì)列調(diào)度算法解決不同的問(wèn)題,并產(chǎn)生不同的效用。
21.2.2????路由器擁塞管理
????對(duì)于路由器設(shè)備,路由器的每個(gè)網(wǎng)絡(luò)接口都有一個(gè)物理的發(fā)送隊(duì)列,在被發(fā)送出接口之前,報(bào)文在發(fā)送隊(duì)列緩存。網(wǎng)絡(luò)接口接收的數(shù)據(jù)流量經(jīng)過(guò)轉(zhuǎn)發(fā)進(jìn)程處理后被送到轉(zhuǎn)發(fā)出接口。如果該接口發(fā)送隊(duì)列不滿(不擁塞),則該報(bào)文直接轉(zhuǎn)入發(fā)送隊(duì)列轉(zhuǎn)發(fā)。否則進(jìn)入軟件隊(duì)列緩存,軟件隊(duì)列包括系統(tǒng)隊(duì)列和用戶隊(duì)列,軟件隊(duì)列的調(diào)度策略決定哪些報(bào)文可以進(jìn)入發(fā)送隊(duì)列進(jìn)行轉(zhuǎn)發(fā)。
????系統(tǒng)隊(duì)列包括緊急和協(xié)議隊(duì)列,在擁塞時(shí)分別用來(lái)發(fā)送鏈路控制和路由協(xié)議報(bào)文。系統(tǒng)隊(duì)列的優(yōu)先級(jí)高于一般用戶隊(duì)列。需發(fā)送鏈路控制和路由協(xié)議報(bào)文時(shí),可能正好遇到發(fā)送隊(duì)列滿而導(dǎo)致發(fā)送失敗,此時(shí)報(bào)文入緊急隊(duì)列或協(xié)議隊(duì)列緩存,等待后續(xù)發(fā)送。
????用戶隊(duì)列是指提供給用戶使用的,對(duì)各種業(yè)務(wù)流量進(jìn)行擁塞管理的隊(duì)列技術(shù)。路由器常用的用戶隊(duì)列有FIFO、PQ、RTPQ、WFQ、CBQ等隊(duì)列,默認(rèn)使用FIFO隊(duì)列,用戶可以通過(guò)命令配置自己需要的用戶隊(duì)列。交換機(jī)的SP、WRR等隊(duì)列也可以理解為用戶隊(duì)列。
注意:
????在Tunnel接口、子接口,或者封裝了PPPoE、PPPoA、PPPoEoA、PPPoFR協(xié)議的VT、Dialer接口上,要使隊(duì)列生效,需使能LR功能。
21.2.3????交換機(jī)擁塞管理
????相對(duì)于路由器產(chǎn)品,交換機(jī)處理的業(yè)務(wù)具有流量大、帶寬高的特點(diǎn)。因此交換機(jī)QoS要求告訴硬件處理,通常采用芯片實(shí)現(xiàn)QoS隊(duì)列。芯片中的隊(duì)列不能像軟件一樣靈活擴(kuò)展,通常是固定數(shù)目的。交換機(jī)通常通過(guò)二層頭識(shí)別數(shù)據(jù)類,因此主要參照802.1p標(biāo)記,三層交換機(jī)也可以識(shí)別DSCP等三層標(biāo)記。
????交換機(jī)設(shè)備收到數(shù)據(jù)報(bào)文,先經(jīng)過(guò)轉(zhuǎn)發(fā)進(jìn)程處理,然后根據(jù)優(yōu)先級(jí)的信任規(guī)則,查找QoS映射表,將報(bào)文映射到本地隊(duì)列。比如信任報(bào)文的DSCP優(yōu)先級(jí),就根據(jù)報(bào)文的DSCP優(yōu)先級(jí)標(biāo)記,查找DSCP到本地優(yōu)先級(jí)的映射表,根據(jù)映射結(jié)果對(duì)報(bào)文進(jìn)行本地優(yōu)先級(jí)標(biāo)記。報(bào)文的本優(yōu)先級(jí)和本地隊(duì)列是一一對(duì)應(yīng)的關(guān)系。
????交換機(jī)的擁塞管理過(guò)程由芯片硬件實(shí)現(xiàn),因此處理效率高,可以實(shí)現(xiàn)報(bào)文的線速轉(zhuǎn)發(fā),但其支持的隊(duì)列類型卻沒(méi)有路由器那么豐富。交換機(jī)上常用的隊(duì)列有SP、WRR、HWFQ等。默認(rèn)使用的隊(duì)列類型依產(chǎn)品型號(hào)的不同有所區(qū)別,比如有的產(chǎn)品默認(rèn)使用SP隊(duì)列,有的默認(rèn)使用WRR隊(duì)列。
注意:
????交換機(jī)的本地隊(duì)列數(shù)與硬件有關(guān),不同設(shè)備、不同芯片支持的隊(duì)列數(shù)可能不同。
21.3????路由器擁塞管理
21.3.1????FIFO隊(duì)列原理
????FIFO(First In First Out Queuing,先入先出隊(duì)列)僅提供一個(gè)隊(duì)列,所有報(bào)文按到達(dá)轉(zhuǎn)發(fā)接口的時(shí)間先后順序入隊(duì)列,隊(duì)列長(zhǎng)度達(dá)到最大值后,后續(xù)報(bào)文被丟棄。
????隊(duì)列調(diào)度時(shí),首先看系統(tǒng)隊(duì)列是否為空,如果不空,則先發(fā)送系統(tǒng)隊(duì)列報(bào)文;如果系統(tǒng)隊(duì)列空,則按報(bào)文入隊(duì)列的時(shí)間順序,先入先出地發(fā)送FIFO隊(duì)列報(bào)文。
????FIFO隊(duì)列具有處理簡(jiǎn)單,開(kāi)銷小等優(yōu)點(diǎn)。但FIFO不區(qū)分報(bào)文類型盡力而為的轉(zhuǎn)發(fā)模式,使對(duì)時(shí)間敏感的實(shí)時(shí)應(yīng)用(如VoIP)的延遲得不到保證,關(guān)鍵業(yè)務(wù)的帶寬也不能得到保證。
21.3.2????FIFO隊(duì)列配置
21.3.3????FIFO隊(duì)列顯示
21.3.4????PQ隊(duì)列原理
????PQ(Priority Queuing,優(yōu)先隊(duì)列)是針對(duì)關(guān)鍵業(yè)務(wù)設(shè)計(jì)的。關(guān)鍵業(yè)務(wù)有一個(gè)重要的特點(diǎn),即在擁塞發(fā)生時(shí)要求優(yōu)先獲得服務(wù)以降低延遲、抖動(dòng)和丟包率。
????PQ隊(duì)列提供4個(gè)隊(duì)列,分別為top(高優(yōu)先級(jí)隊(duì)列)、middle(中優(yōu)先隊(duì)列)、normal(正常優(yōu)先隊(duì)列)和bootom(低優(yōu)先隊(duì)列),它們的優(yōu)先級(jí)依次降低。在隊(duì)列調(diào)度時(shí),PQ嚴(yán)格按照優(yōu)先級(jí)從高到低的次序,優(yōu)先發(fā)送較高優(yōu)先級(jí)隊(duì)列中的報(bào)文,保證較高優(yōu)先級(jí)報(bào)文的利益。
????PQ允許根據(jù)報(bào)文的協(xié)議類型、數(shù)據(jù)流入接口、長(zhǎng)度、源地址/目的地址等靈活地指定其優(yōu)先次序。PQ數(shù)據(jù)包與定義的優(yōu)先級(jí)次序規(guī)則進(jìn)行匹配,根據(jù)匹配結(jié)果將其送入對(duì)應(yīng)的隊(duì)列;如果所有規(guī)則都不匹配,則將其送入缺省隊(duì)列。默認(rèn)情況下,缺省隊(duì)列是正常優(yōu)先隊(duì)列。
????PQ對(duì)其4個(gè)隊(duì)列均使用尾丟棄策略。即隊(duì)列滿后,后續(xù)報(bào)文做丟棄處理。
21.3.5????PQ隊(duì)列調(diào)度
21.3.6????PQ隊(duì)列配置
????PQ隊(duì)列的配置過(guò)程主要分兩部分:
????·????配置PQL(Priority Queue List,優(yōu)先隊(duì)列列表):系統(tǒng)預(yù)定義了16個(gè)PQL,用戶可以選擇其中的一個(gè)來(lái)配置自己需要的優(yōu)先隊(duì)列。配置內(nèi)容包括:
????·????PQ各隊(duì)列的匹配規(guī)則。
????·????各隊(duì)列的長(zhǎng)度
????·????缺省隊(duì)列。
????·????PQ隊(duì)列應(yīng)用到接口:引用配置好的PQL,在接口應(yīng)用PQ隊(duì)列。系統(tǒng)預(yù)定義的PQL中沒(méi)有分類規(guī)則,將其應(yīng)用到接口后,所有報(bào)文都入缺省隊(duì)列。
21.3.7????PQ隊(duì)列信息顯示
21.3.8????PQ隊(duì)列配置示例
21.3.9????CQ隊(duì)列原理
21.3.10????CQ隊(duì)列調(diào)度
21.3.11????CQ隊(duì)列配置任務(wù)
21.3.12 CQ隊(duì)列配置
21.3.13????CQ隊(duì)列信息顯示
21.3.14????CQ隊(duì)列配置示例
21.3.15????WFQ隊(duì)列原理
21.3.16????WFQ入隊(duì)機(jī)制
21.3.17????WFQ隊(duì)列調(diào)度
21.3.18????WFQ隊(duì)列特點(diǎn)
21.3.19????WFQ隊(duì)列配置與顯示
21.3.20????RTPQ隊(duì)列原理
21.3.21????RTPQ隊(duì)列調(diào)度
21.3.22????RTPQ隊(duì)列的配置與顯示
21.3.23????RTPQ配置示例
21.4????交換機(jī)擁塞管理
21.4.1????優(yōu)先級(jí)映射
21.4.2????SP隊(duì)列調(diào)度
21.4.3????WRR隊(duì)列調(diào)度
21.4.4????SP和WRR隊(duì)列混合調(diào)度
21.4.5????交換機(jī)隊(duì)列的配置和顯示命令介紹
21.4.6????交換機(jī)隊(duì)列配置示例
第22章????配置擁塞避免機(jī)制
????當(dāng)擁塞發(fā)生時(shí),利用隊(duì)列技術(shù)實(shí)現(xiàn)的擁塞管理機(jī)制可以對(duì)報(bào)文進(jìn)行區(qū)分,并根據(jù)定義的規(guī)則提供服務(wù)。然而這種機(jī)制發(fā)揮作用的前提是所有的報(bào)文都能夠被恰當(dāng)?shù)乃腿胩囟ǖ年?duì)列。而當(dāng)隊(duì)列被填滿時(shí),所有后續(xù)到達(dá)的報(bào)文都會(huì)被無(wú)差別的丟棄,此時(shí)隊(duì)列機(jī)制完全失效。同時(shí)這種從隊(duì)列尾部開(kāi)始的截?cái)嘈詠G棄還會(huì)導(dǎo)致一系列嚴(yán)重的問(wèn)題。
????擁塞避免機(jī)制可以在相當(dāng)程度上緩解或避免這種情況的發(fā)生。
22.2????尾丟棄及其導(dǎo)致的問(wèn)題
????22.2.1????尾丟棄及其導(dǎo)致的問(wèn)題
????當(dāng)隊(duì)列被填滿時(shí),所有后續(xù)到來(lái)的報(bào)文都會(huì)因無(wú)法入隊(duì)而丟棄,這種從隊(duì)尾開(kāi)始的丟棄方式被稱為“尾丟棄”(Tail-drop)。尾丟棄是一種截?cái)嘈缘膩G棄方式,不對(duì)報(bào)文進(jìn)行任何方式的區(qū)分。
????尾丟棄帶來(lái)的結(jié)果是高延遲、高抖動(dòng)、喪失服務(wù)保證、TCP全局同步和TCP餓死等一系列問(wèn)題。從而導(dǎo)致應(yīng)用超時(shí)、數(shù)據(jù)重傳和業(yè)務(wù)不可用等種種后果。數(shù)據(jù)超時(shí)重傳的結(jié)果是進(jìn)一步地加劇網(wǎng)絡(luò)擁塞。
22.2.2????TCP全局同步
????尾丟棄帶來(lái)的最重要的問(wèn)題就是TCP全局同步。
????隊(duì)列滿時(shí),所有報(bào)文在隊(duì)尾被全部丟棄。這種沒(méi)有差別的丟棄會(huì)造成所有TCP流的報(bào)文幾乎在同一時(shí)刻丟失,TCP又幾乎在同一時(shí)刻重傳。
????TCP在丟失報(bào)文時(shí)會(huì)自動(dòng)縮小窗口尺寸。因而所有TCP連接的窗口會(huì)在幾乎同一時(shí)刻縮小。這樣鏈路帶寬會(huì)突然變得充足,因而TCP連接也會(huì)逐漸增大其窗口,這也幾乎是同時(shí)發(fā)生的。窗口增大后,流量會(huì)急劇增加,從而再次造成擁塞。這樣將造成所有TCP連接的流量以相同的“頻率”持續(xù)振蕩。這種現(xiàn)象稱為T(mén)CP全局同步。
????TCP全局同步的結(jié)果是TCP傳輸效率急劇下降,并且?guī)挼钠骄寐蚀蟠蠼档汀?/p>
22.2.3????解決尾丟棄的方法
????增加隊(duì)列的長(zhǎng)度可以緩存更多的報(bào)文,因而降低了流量的突發(fā)性,減少尾丟棄的概率。但單純?cè)黾雨?duì)列長(zhǎng)度并不能從根本上解決TCP同步的問(wèn)題:
????隊(duì)列長(zhǎng)度的增加是有限的,因而只能在有限范圍內(nèi)發(fā)揮作用,當(dāng)流量比較大時(shí)這種方法幾乎無(wú)效。
????增加隊(duì)列長(zhǎng)度的同時(shí)也加大了報(bào)文的平均延遲和抖動(dòng),這對(duì)某些應(yīng)用是有害的。對(duì)實(shí)時(shí)業(yè)務(wù)而言,過(guò)大的延遲與丟包是等效的。
????TCP全局同步的根本原因是所有報(bào)文在同一時(shí)刻被無(wú)差別的丟棄。因此如果在尾丟棄發(fā)生前,使不同TCP連接的報(bào)文在不同時(shí)刻被丟棄,則各個(gè)TCP連接的流量振蕩就不會(huì)同步。
22.3????RED原理
????22.3.1????RED介紹
????
????RED(Random Early Detection,隨機(jī)早期檢測(cè))技術(shù)的出現(xiàn)較好地解決了TCP全局同步的問(wèn)題。它的做法是在隊(duì)列被填滿前就開(kāi)始丟棄報(bào)文,并且隨著隊(duì)列長(zhǎng)度的增加(擁塞發(fā)生的可能性增加)報(bào)文被丟棄的概率會(huì)越來(lái)越大,當(dāng)超過(guò)一個(gè)最大丟棄概率時(shí)再全部丟棄到來(lái)的報(bào)文。
????RED的特點(diǎn)在于“早期”和“隨機(jī)”。早期表示丟失是在擁塞發(fā)生之前就開(kāi)始進(jìn)行的,這就意味著報(bào)文不必全部丟棄而可以有所“選擇”。而隨機(jī)則表明了這種丟棄行為是報(bào)文而不是以流為單位“無(wú)規(guī)律”進(jìn)行的。隨機(jī)和早期的特點(diǎn)決定了所有TCP流的報(bào)文為單位,對(duì)于那些占據(jù)大量帶寬的非TCP的“野蠻”流來(lái)講,被丟棄的概率會(huì)更大,因而大大降低了TCP餓死的概率。
22.3.2????RED的參數(shù)和行為
22.3.3????RED的效果
22.4????WRED的原理
22.4.1????WRED介紹
????雖然RED很好的解決了TCP全局同步和餓死等問(wèn)題,但由于其不能感知業(yè)務(wù)類型,對(duì)報(bào)文的丟棄不分輕重緩急,因此并沒(méi)有解決重要和緊急報(bào)文被丟棄的問(wèn)題。
????WRED(Weighted RED,加權(quán)隨機(jī)早期檢測(cè))技術(shù)較好的解決了上述問(wèn)題。它允許為不同優(yōu)先級(jí)的報(bào)文配置不同的RED參數(shù),從而保證了不同重要程度的報(bào)文獲得不同的服務(wù)。目前WRED可以利用DSCP和IP Precedence來(lái)區(qū)分?jǐn)?shù)據(jù)。
22.4.2????基于IP Precedence的WRED參數(shù)和行為
22.4.3????基于DSCP的WRED參數(shù)和行為
22.4.4????WRED的效果
22.5????配置WRED
????22.5.1????基于接口的WRED配置命令
22.5.2????基于隊(duì)列的WRED表配置命令
22.5.3????WRED參數(shù)的意義
22.5.4????WRED顯示和維護(hù)命令
22.5.5????WRED配置示例
第23章????高級(jí)QoS管理工具
????CAR、GTS、PQ、CQ、WFQ、WRED等傳統(tǒng)的QoS工具能夠?qū)崿F(xiàn)標(biāo)記、流量監(jiān)管、流量×××、擁塞管理、擁塞避免等各種QoS功能。但這些工具的配置互相獨(dú)立,各有不同,不便于記憶和使用。
????作為一種高級(jí)的QoS管理工具,QoS policy通過(guò)使用MQC(Modular QoS Configuration,模塊化QoS配置),將數(shù)據(jù)類型的定義與QoS動(dòng)作的定義相分離,提高了配置的標(biāo)準(zhǔn)化和靈活性。其不僅可以作為任意類型的數(shù)據(jù)提供任意類型的QoS服務(wù),而且允許復(fù)用類和動(dòng)作的配置。
23.2????QoS Policy概述
23.2.1????QoS Policy介紹
????QoS policy包含三個(gè)要素:類(classifier)、行為(behavior)、策略(policy)。用戶可以通過(guò)QoS策略將指定的類和行為綁定起來(lái),方便地進(jìn)行QoS配置。
????類是用戶定義的一系列規(guī)則的集合,系統(tǒng)通過(guò)將報(bào)文與類中的規(guī)則進(jìn)行匹配,根據(jù)匹配結(jié)果對(duì)報(bào)文進(jìn)行分類。
????行為定義了針對(duì)報(bào)文所做的QoS動(dòng)作。策略則用來(lái)將指定的類和行為綁定起來(lái),并對(duì)分類后的報(bào)文執(zhí)行行為中定義的動(dòng)作。
????用戶可以在一個(gè)策略中定義多個(gè)類與行為的綁定關(guān)系。這樣,系統(tǒng)就可以根據(jù)QoS policy對(duì)從屬于其中某一類的數(shù)據(jù)施加相應(yīng)的行為。
????使用QoS policy可以實(shí)現(xiàn)分類、標(biāo)記、×××、監(jiān)管、擁塞管理、擁塞避免、統(tǒng)計(jì)、鏡像、訪問(wèn)控制、深度應(yīng)用識(shí)別等多種QoS功能。
????每個(gè)QoS policy包含若干條目。每個(gè)條目為一個(gè)C-B(Class-Behavior)對(duì),包含一個(gè)類和一個(gè)對(duì)應(yīng)的行為。
????QoS policy被應(yīng)用后,報(bào)文按條目的先后順序嘗試匹配其分類規(guī)則。匹配某類后則執(zhí)行對(duì)應(yīng)的行為。一個(gè)行為可以包含多個(gè)動(dòng)作,依次將其執(zhí)行完畢后,將結(jié)束QoS policy對(duì)此報(bào)文的處理,不再繼續(xù)匹配其他條目。若不匹配某類,則繼續(xù)嘗試匹配其他類。對(duì)于路由器產(chǎn)品,若不匹配任何類,則被認(rèn)為屬于缺省類,系統(tǒng)將對(duì)其實(shí)施缺省行為。
23.2.2????QoS Policy配置任務(wù)
????使用QoS policy配置QoS的過(guò)程如上圖所示:
????·????首先需要定義類,在類中配置需要的分類規(guī)則;
????·????然后定義行為,在行為中定義需要的QoS動(dòng)作。可以根據(jù)需要定義多個(gè)類及其對(duì)應(yīng)的行為。
????·????隨后定義為QoS policy,在QoS policy中添加條目,引用定義的類與行為,完成類與行為的綁定。
????·????QoS policy定義完成后,可以根據(jù)需要在適當(dāng)?shù)奈恢脩?yīng)用之。
????QoS policy常見(jiàn)的應(yīng)用位置有:
????·????基于接口(或PVC)進(jìn)行應(yīng)用QoS policy:對(duì)通過(guò)接口(或PCV)接收/發(fā)送的流量生效。
????·????基于上線用戶應(yīng)用QoS policy:對(duì)通過(guò)上線用戶接收/發(fā)送的流量生效。
????·????基于VLAN應(yīng)用QoS policy:對(duì)通過(guò)同一個(gè)VLAN內(nèi)所有接口接收/發(fā)送的流量生效。
????·????基于全局應(yīng)用QoS policy:對(duì)所有數(shù)據(jù)流量生效。
????·????基于控制平面應(yīng)用QoS policy:對(duì)通過(guò)控制平面接收/發(fā)送的流量生效。
????注意:如果QoS policy應(yīng)用在出方向,則QoS policy對(duì)本地協(xié)議報(bào)文不起作用。本地協(xié)議報(bào)文是設(shè)備內(nèi)部發(fā)起的。常見(jiàn)的本地協(xié)議報(bào)文有鏈路維護(hù)報(bào)文、IS-IS、OSPF、BGP、LDP、RSVP、SSH報(bào)文等。為了確保這些報(bào)文能夠被不受影響的發(fā)送出去,即便在出方向應(yīng)用了QoS policy,其也不會(huì)受到QoS policy的限制,從而降低了因QoS誤配置而將這些報(bào)文丟棄或?qū)ζ涮峁┑偷燃?jí)服務(wù)的風(fēng)險(xiǎn)。
23.2.3????類的定義
????類分為系統(tǒng)定義類和用戶定義類兩種。
????系統(tǒng)定義類是系統(tǒng)預(yù)先定義好的類,系統(tǒng)為這些類定義了通用的規(guī)則。定義QoS policy時(shí)可直接引用這些類。這些類包括:
????·缺省類:類名為default-class,不匹配QoS policy中其它任何分類的報(bào)文將被歸入缺省類;
????·基于DSCP的預(yù)定義類:包括ef、af1、af2、af3、af4,分別匹配IP DSCP值ef、af1、af2、af3、af4。
????·基于IP Precedence的預(yù)定義類:包括ip-prec0、ip-prec1、…Ip-prec7,分配匹配IP Precedence0、1、…7。
????·基于MPLS EXP的預(yù)定義類:包括mpls-exp0、mpls-exp1、…mpls-exp7,分別匹配MPLS EXP值0、1、7
????用戶不能修改或刪除系統(tǒng)定義的類。
????用戶定義類由用戶創(chuàng)建并維護(hù)。用戶可以根據(jù)下列標(biāo)準(zhǔn)定義用戶類:
????·????根據(jù)ACL分類;
????·????匹配所有的數(shù)據(jù)報(bào)文
????·????根據(jù)協(xié)議類型分類
????·????根據(jù)報(bào)文二層信息分類
????·????根據(jù)報(bào)文三層信息分類
????·????根據(jù)各類優(yōu)先級(jí)、標(biāo)志位分類
????·????根據(jù)報(bào)文接收接口分類
????·????根據(jù)MPLS標(biāo)簽分類
23.2.4????行為的定義
????在QoS policy中,一個(gè)行為可以包含多個(gè)QoS動(dòng)作。這些動(dòng)作依據(jù)特定的順序被執(zhí)行。
????路由器軟件的QoS動(dòng)作順序依次為:流過(guò)濾、重標(biāo)記、流量監(jiān)管、流量×××、擁塞管理。硬件QoS動(dòng)作的支持情況以及執(zhí)行順序與具體的產(chǎn)品相關(guān)。
????
23.2.5????QoS policy
23.2.6????QoS Policy配置示例
23.2.7????基于VLAN的QoS Policy
????QoS policy應(yīng)于VLAN后,會(huì)對(duì)VLAN內(nèi)所有端口上匹配規(guī)則的流量生效。
23.3????CBQ介紹
23.3.1????CBQ概述
????CBQ(Class Based Queuing,基于類的隊(duì)列)是一種基于QoS policy實(shí)現(xiàn)的擁塞管理技術(shù)。在網(wǎng)絡(luò)擁塞時(shí),CBQ對(duì)報(bào)文根據(jù)用戶定義的類規(guī)則進(jìn)行匹配,并使其進(jìn)入相應(yīng)的隊(duì)列。
????CBQ中包含一個(gè)LLQ(Low Latency Queuing,低延遲隊(duì)列),用來(lái)支撐EF(Expedited Forwarding,確保轉(zhuǎn)發(fā))類業(yè)務(wù),保證每一個(gè)隊(duì)列的帶寬及可控的延遲。
????CBQ中還包含一個(gè)缺省隊(duì)列,對(duì)應(yīng)缺省分類,用于為缺省的BE(Best Effort,盡力傳送)類業(yè)務(wù)提供服務(wù)。其使用WFQ隊(duì)列調(diào)度,利用接口剩余帶寬進(jìn)行發(fā)送。
23.3.2????CBQ入隊(duì)列處理
23.3.3????CBQ隊(duì)列調(diào)度
23.3.4????QoS預(yù)留帶寬
23.3.5????CBQ的配置過(guò)程
23.3.6????系統(tǒng)定義的CBQ
23.3.7????CBQ隊(duì)列配置
23.3.8????CBQ信息顯示
23.4????基于QoS policy的其它QoS功能介紹
????QoS policy不僅可以實(shí)現(xiàn)CBQ,依托其豐富的分類規(guī)則和QoS動(dòng)作,以及靈活的配置方式,還可以實(shí)現(xiàn)包括CBPolicing(基于類的流量監(jiān)管)、CBShaping(基于類的×××)、CBMarking(基于類的標(biāo)記)等在內(nèi)的諸多QoS功能。
23.4.1????基于QoS policy的監(jiān)管與×××配置示例
23.4.2????基于QoS policy的MPLS QoS配置示例
第24章????鏈路有效增強(qiáng)機(jī)制
????QoS的實(shí)質(zhì)是一種帶寬管理技術(shù),它本身并不能創(chuàng)造帶寬,而只是更加合理的利用帶寬。在一些低速鏈路上,由于傳輸速率與數(shù)據(jù)流量的差距過(guò)大,盡管采用了一些帶寬管理技術(shù),仍有可能無(wú)法滿足業(yè)務(wù)的需求。此時(shí),一方面可以通過(guò)升級(jí)硬件來(lái)提高鏈路的數(shù)據(jù)傳輸能力,另一方面可以利用壓縮技術(shù)來(lái)降低數(shù)據(jù)傳輸量,從而達(dá)到提升吞吐量的目的。
????低速鏈路的另一個(gè)問(wèn)題就是串行化延遲過(guò)長(zhǎng)帶來(lái)的阻塞。當(dāng)一個(gè)大報(bào)文被串行化到鏈路上時(shí),其后續(xù)的小報(bào)文會(huì)較長(zhǎng)時(shí)間的處于等待狀態(tài),當(dāng)這個(gè)等待時(shí)間足夠長(zhǎng)時(shí)就會(huì)導(dǎo)致小包業(yè)務(wù)的超時(shí)或可用性下降。解決的辦法就是利用LFI(Link Fragmentaion & Interieaving,鏈路分片與交錯(cuò))技術(shù),將一個(gè)大報(bào)文分成若干個(gè)小片并與其他的小報(bào)文交錯(cuò)在一起發(fā)送,從而減少其他業(yè)務(wù)的等待時(shí)間。
24.2????壓縮的必要性
24.2.1????為什么需要壓縮
????數(shù)據(jù)通信本身的特點(diǎn)決定了線路上傳輸?shù)臄?shù)據(jù)不可能全部都是有效載荷。報(bào)文的頭(和尾)對(duì)網(wǎng)絡(luò)傳輸有用而對(duì)用戶應(yīng)用而言是無(wú)用的信息。
????對(duì)某些小報(bào)文應(yīng)用來(lái)說(shuō),報(bào)文頭作為非有效載荷占據(jù)了很大一部分帶寬。以VoIP報(bào)文為例,為了保持實(shí)時(shí)性,必須間隔很短的時(shí)間就發(fā)送一個(gè)報(bào)文,每個(gè)報(bào)文的語(yǔ)言載荷都較小,典型的載荷長(zhǎng)度為20byte-160byte。一個(gè)20byte的語(yǔ)音報(bào)文被封裝了46byte的報(bào)文頭,包括IP頭、UPD頭、RTP頭。此外,對(duì)一個(gè)特定的數(shù)據(jù)流而言,其報(bào)文頭的信息變化較少。在這種情況下,有效載荷實(shí)際上只占到23%,絕大部分的帶寬被冗余信息所占據(jù)。這不僅造成帶寬的大量浪費(fèi),也導(dǎo)致語(yǔ)音報(bào)文的延遲顯著加大。
????此外,即使在作為凈載荷的用戶數(shù)據(jù)中也存在大量相同的字符串。這些對(duì)于帶寬緊張的低速鏈路來(lái)講也是某種程度的“浪費(fèi)”。為了減少網(wǎng)絡(luò)流量和延遲,也應(yīng)當(dāng)盡可能的對(duì)載荷數(shù)據(jù)進(jìn)行壓縮。
????對(duì)報(bào)文頭和載荷的壓縮減少了需要傳遞的數(shù)據(jù)量,從而間接增大了鏈路吞吐量。
24.2.2????壓縮的可行性
????依據(jù)其在傳輸中的變化情況,報(bào)文頭中的信息可以分為以下幾類:
????不變部分包括報(bào)文的源/目的IP地址、源/目的端口號(hào)、協(xié)議號(hào)、版本信息等。這些內(nèi)容在傳遞過(guò)程中保持不變,因此在會(huì)話初始時(shí)傳遞一次即可。
????·規(guī)律變化部分包括Packet ID、Sequence Number等內(nèi)容。這些內(nèi)容在傳遞過(guò)程中以簡(jiǎn)單規(guī)律變化(如單調(diào)遞增),因此只需要在會(huì)話之初傳遞一次,之后每次傳遞一個(gè)變化量即可。
????·運(yùn)算可獲得部分包括IP包長(zhǎng)、校驗(yàn)和等。IP包長(zhǎng)可以依據(jù)報(bào)文頭尾計(jì)算獲得,而三層校驗(yàn)和可以不同傳遞,依靠二層校驗(yàn)和來(lái)保證正確性。
????·不規(guī)律變化部分是指報(bào)文頭中隨機(jī)變化的字段,這些字段沒(méi)有變化規(guī)律,因此需要完整傳遞。
????????載荷中的大量重復(fù)字符串也可以進(jìn)行壓縮,方法是對(duì)重復(fù)出現(xiàn)字符串的位置用第一個(gè)字符串的偏移量和字符長(zhǎng)度來(lái)代替。
24.3????IP頭壓縮
24.3.1????頭壓縮算法
24.3.2????頭壓縮的實(shí)現(xiàn)
24.3.3????頭壓縮的效果
24.3.4????IPHC頭壓縮配置命令
24.4????分片和交錯(cuò)
24.4.1????低速鏈路的延遲和抖動(dòng)問(wèn)題
24.4.2????LFI原理
24.4.3????配置LFI
24.4.4????配置示例
第9篇????開(kāi)放應(yīng)用體系架構(gòu)
第25章????開(kāi)放應(yīng)用體系架構(gòu)
????隨著各種業(yè)務(wù)不斷地融入傳統(tǒng)數(shù)據(jù)通訊網(wǎng)絡(luò),以及對(duì)網(wǎng)絡(luò)安全性、可管理性要求的不斷提高,用戶需要網(wǎng)絡(luò)設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)包之外提供更多、更復(fù)雜、更靈活的服務(wù)。例如,用戶需要網(wǎng)絡(luò)設(shè)備能夠接入電話和傳真、統(tǒng)計(jì)和計(jì)費(fèi),防范網(wǎng)絡(luò)***、防病毒、流量監(jiān)管和調(diào)整等。這一切都對(duì)網(wǎng)絡(luò)設(shè)備提出了更高的要求。
????在傳統(tǒng)網(wǎng)絡(luò)中,上述功能由專用設(shè)備來(lái)獨(dú)立完成。但出于降低網(wǎng)絡(luò)建設(shè)、管理、維護(hù)成本的考慮,用戶往往希望能夠在一臺(tái)設(shè)備上完成多種功能。另外,還有很多用戶對(duì)網(wǎng)絡(luò)服務(wù)有個(gè)性化的需求,而往往一家獨(dú)大的技術(shù)廠商很難同時(shí)提供客戶所要求的所有需求和服務(wù)。
????面對(duì)這樣的情況,H3C提出了一個(gè)開(kāi)放的軟硬件體系結(jié)構(gòu)——OAA(Open Application Architecture,開(kāi)放應(yīng)用體系架構(gòu))。OAA允許對(duì)傳統(tǒng)的路由交換設(shè)備進(jìn)行二次開(kāi)發(fā),滿足客戶的多樣化需求;允許眾多廠商生產(chǎn)的設(shè)備和軟件無(wú)縫集成在一起,像一臺(tái)設(shè)備那樣工作。
25.2????OAA概述
25.2.1????OAA架構(gòu)簡(jiǎn)介
????傳統(tǒng)網(wǎng)絡(luò)模式最大的特點(diǎn)就是分工合作,客戶根據(jù)需求選擇不同的網(wǎng)絡(luò)設(shè)備,然后將它們通過(guò)IP網(wǎng)絡(luò)連接而成。比如選擇路由器完成基本路由、連接異構(gòu)網(wǎng)絡(luò)功能;交換機(jī)可以提供高密度、告訴主機(jī)接入;語(yǔ)音服務(wù)器、AAA服務(wù)器提供語(yǔ)音管理、認(rèn)證計(jì)費(fèi)等功能;防火墻提供基本安全功能;網(wǎng)管系統(tǒng)提供集中化設(shè)備監(jiān)控、管理功能。
????如果客戶有新的需求,比如在連接廣域網(wǎng)的路由器上實(shí)現(xiàn)應(yīng)用加速,在網(wǎng)管平臺(tái)集成網(wǎng)絡(luò)流量分析,在防火墻上新增網(wǎng)絡(luò)殺毒應(yīng)用,往往很難實(shí)現(xiàn)。一方面因?yàn)椴糠志W(wǎng)絡(luò)設(shè)備是為1-3層功能、性能而設(shè)計(jì)的,而應(yīng)用加速、網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)殺毒則要求網(wǎng)絡(luò)設(shè)備具備深度4-7層分析處理能力,而即使原有網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)了這些4-7層功能,也會(huì)占用網(wǎng)絡(luò)設(shè)備過(guò)多資源,從而影響網(wǎng)絡(luò)設(shè)備的1-3層功能和性能;另一方面因?yàn)檫@些網(wǎng)絡(luò)設(shè)備往往架構(gòu)封閉,新增功能只能由廠商開(kāi)發(fā)、編譯、加載、客戶要求的新功能也不是廠商的專長(zhǎng),開(kāi)發(fā)的新功能往往不能完全符合客戶業(yè)務(wù)需求。
????針對(duì)這種情況,H3C及時(shí)地提出OAA開(kāi)放應(yīng)用體系架構(gòu),該架構(gòu)的特點(diǎn)在于不影響網(wǎng)絡(luò)設(shè)備固有1-3層功能、性能的同時(shí),提供開(kāi)放接口實(shí)現(xiàn)深度4-7層擴(kuò)展。
????OAA架構(gòu)主要分為3個(gè)組成部分:
????·路由交換組件:路由交換組件是網(wǎng)絡(luò)設(shè)備主體部分,這部分有完整的路由器或交換機(jī)的功能,也是用戶管理控制的核心。????
????·獨(dú)立業(yè)務(wù)組件:獨(dú)立業(yè)務(wù)組件是OAA架構(gòu)的核心部分,是可以開(kāi)放給第三方合作開(kāi)發(fā)的主體,主要用來(lái)提供各種獨(dú)特的業(yè)務(wù)服務(wù)功能。
????·接口連接組件:接口連接組件是網(wǎng)絡(luò)設(shè)備和獨(dú)立業(yè)務(wù)組件的連接器件,它使各組件形成一個(gè)統(tǒng)一的產(chǎn)品。
????獨(dú)立業(yè)務(wù)組件可以分為硬件平臺(tái)、軟件平臺(tái)和特色業(yè)務(wù)3個(gè)平面,每個(gè)層面都是開(kāi)放、標(biāo)準(zhǔn)的規(guī)范接口,可以進(jìn)行靈活的二次開(kāi)發(fā)。比如擅長(zhǎng)硬件開(kāi)發(fā)的第三方可以根據(jù)OAA規(guī)范開(kāi)發(fā)獨(dú)立業(yè)務(wù)組件的硬件平臺(tái)部分,擅長(zhǎng)軟件平臺(tái)開(kāi)發(fā)的第三方可以在標(biāo)準(zhǔn)OAA硬件平臺(tái)上開(kāi)發(fā)軟件平臺(tái),擅長(zhǎng)業(yè)務(wù)集成開(kāi)發(fā)的第三方以在OAA標(biāo)準(zhǔn)軟件平臺(tái)上開(kāi)發(fā)特色業(yè)務(wù)。
????OAA架構(gòu)優(yōu)勢(shì)在于全面的1-7層解決方案定制能力,使得網(wǎng)絡(luò)設(shè)備的擴(kuò)展能力大增。
????傳統(tǒng)網(wǎng)絡(luò)的優(yōu)勢(shì)在于豐富的1-3層特性,附帶一定的4層特性和簡(jiǎn)單的應(yīng)用,但是4層以上特性擴(kuò)展能力相對(duì)較弱。基于OAA架構(gòu)的網(wǎng)絡(luò)設(shè)備在1-3層功能特性和性能上與傳統(tǒng)網(wǎng)絡(luò)設(shè)備相當(dāng),同時(shí)通過(guò)開(kāi)放的獨(dú)立業(yè)務(wù)組件而實(shí)現(xiàn)深度4-7層擴(kuò)展。這種開(kāi)放式的架構(gòu)不但使網(wǎng)絡(luò)設(shè)備廠商可以更加方便的集成更多高層特性,也有利于和第三方深度合作,共同開(kāi)發(fā)符合市場(chǎng)需求的特性;甚至用戶也可以根據(jù)自身需要而在OAA平臺(tái)上進(jìn)行靈活的二次開(kāi)發(fā)。
25.2.2????開(kāi)放業(yè)務(wù)平臺(tái)(OAP)
????開(kāi)放應(yīng)用平臺(tái)OAP(Open Application Platform)是H3C根據(jù)OAA架構(gòu)規(guī)范而實(shí)現(xiàn)的具體產(chǎn)品平臺(tái)。OAP實(shí)現(xiàn)了OAA架構(gòu)中的獨(dú)立業(yè)務(wù)組件功能,包括硬件平臺(tái)、軟件平臺(tái)和特色業(yè)務(wù)。OAP平臺(tái)具有開(kāi)放的軟硬件接口、強(qiáng)大的數(shù)據(jù)處理能力以及靈活的工作模式等特點(diǎn)。
????通過(guò)OAP這個(gè)開(kāi)放業(yè)務(wù)平臺(tái),H3C可以向客戶提供特定的業(yè)務(wù)功能;也可以和第三方合作進(jìn)行開(kāi)發(fā)共同對(duì)客戶提供完整的業(yè)務(wù);當(dāng)然,用戶也可以根據(jù)需要在軟件平臺(tái)上進(jìn)行二次業(yè)務(wù)開(kāi)發(fā)。所有的一切都不影響傳統(tǒng)路由交換組件的自身功能。
25.3????OAA工作模式
25.3.1????主機(jī)模式
????OAP可以被二次開(kāi)發(fā)為各種不同的業(yè)務(wù)系統(tǒng),可以滿足各種業(yè)務(wù)特性需求。根據(jù)路由交換組件和業(yè)務(wù)組件之間的數(shù)據(jù)交互方式的不同,OAP提供了4種工作模式:主機(jī)模式、鏡像模式、重定向模式和透明模式(也稱為橋接模式)
????在主機(jī)模式下,獨(dú)立業(yè)務(wù)系統(tǒng)像網(wǎng)絡(luò)上的一臺(tái)主機(jī)一樣工作,擁有自己的IP地址,作為網(wǎng)絡(luò)末梢存在。IP報(bào)文是通過(guò)路由交換組件連接獨(dú)立業(yè)務(wù)組件的高速數(shù)據(jù)通道轉(zhuǎn)發(fā),路由交換部件相當(dāng)于獨(dú)立業(yè)務(wù)系統(tǒng)的網(wǎng)關(guān)。路由交換部件收到數(shù)據(jù)報(bào)文后,如果判斷出數(shù)據(jù)需要送給OAP模塊處理(目的IP地址為OAP模塊地址),則將此數(shù)據(jù)轉(zhuǎn)發(fā)給OAP模塊,OAP模塊處理完成后,將回應(yīng)的報(bào)文返回路由交換組件,由路由交換部件將報(bào)文發(fā)送給相應(yīng)的目的地。這種工作模式下,路由交換部件和獨(dú)立業(yè)務(wù)組件間的藕合是最松的。
????主機(jī)模式適合語(yǔ)音服務(wù)器、AAA服務(wù)器等應(yīng)用。例如,當(dāng)OAP模塊上集成了AAA服務(wù)器應(yīng)用,則當(dāng)認(rèn)證請(qǐng)求報(bào)文到達(dá)網(wǎng)絡(luò)設(shè)備后,網(wǎng)絡(luò)設(shè)備根據(jù)路由信息將認(rèn)證請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給OAP模塊;OAP模塊上的AAA服務(wù)器根據(jù)認(rèn)證請(qǐng)求報(bào)文中攜帶的用戶信息判斷認(rèn)證是否通過(guò),通過(guò)則返回正確授權(quán)報(bào)文,不通過(guò)則返回認(rèn)證拒絕報(bào)文。不管是授權(quán)報(bào)文還是拒絕報(bào)文都轉(zhuǎn)交給網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)設(shè)備收到報(bào)文后根據(jù)路由/轉(zhuǎn)發(fā)信息選擇正確的出接口轉(zhuǎn)發(fā)報(bào)文。
25.3.2????鏡像模式
????鏡像模式下,路由交換部件根據(jù)要求,把特定的報(bào)文復(fù)制一份給獨(dú)立業(yè)務(wù)組件,原始報(bào)文繼續(xù)完成正常的轉(zhuǎn)發(fā)。而獨(dú)立業(yè)務(wù)組件收到這個(gè)報(bào)文以后進(jìn)行分析和處理,然后將報(bào)文丟棄。當(dāng)然路由交換組件和獨(dú)立業(yè)務(wù)組件也可以進(jìn)行聯(lián)動(dòng),獨(dú)立業(yè)務(wù)組件分析完鏡像報(bào)文后可以下發(fā)聯(lián)動(dòng)規(guī)則要求路由交換對(duì)相應(yīng)業(yè)務(wù)流進(jìn)行限速、阻斷等特殊處理。這種模式下,鏡像報(bào)文也是通過(guò)路由交換組件連接獨(dú)立業(yè)務(wù)組件的高速數(shù)據(jù)通道轉(zhuǎn)發(fā)。
????鏡像模式適用于網(wǎng)絡(luò)流量分析、***檢測(cè)IDS等應(yīng)用。比如,網(wǎng)絡(luò)流量分析應(yīng)用中,數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)設(shè)備接口處理后被鏡像到OAP模塊,同時(shí)原報(bào)文被正常轉(zhuǎn)發(fā)。OAP中的網(wǎng)絡(luò)流量分析功能對(duì)鏡像報(bào)文進(jìn)行分析,如果發(fā)現(xiàn)報(bào)文中占用大量帶寬的BT應(yīng)用數(shù)據(jù)流,那么網(wǎng)絡(luò)分析應(yīng)用程序會(huì)針對(duì)該鏡像報(bào)文所代表的數(shù)據(jù)流生成限速聯(lián)動(dòng)規(guī)則,并下發(fā)給網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)設(shè)備應(yīng)用該聯(lián)動(dòng)規(guī)則就可以對(duì)BT流進(jìn)行限速。
25.3.3????重定向模式
????在重定向工作模式下,數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)設(shè)備接口后根據(jù)規(guī)則判斷是否被重定向,如果符合重定向規(guī)則那么將該報(bào)文重定向OAP模塊中。OAP模塊中的業(yè)務(wù)系統(tǒng)對(duì)重定向報(bào)文進(jìn)行分析處理,然后根據(jù)處理結(jié)果判斷是否生成聯(lián)動(dòng)規(guī)則并發(fā)送給網(wǎng)絡(luò)設(shè)備。根據(jù)不同業(yè)務(wù)的需求,重定向報(bào)文也有可能被返回給網(wǎng)絡(luò)設(shè)備,網(wǎng)絡(luò)設(shè)備對(duì)返回報(bào)文進(jìn)行正常轉(zhuǎn)發(fā)。
????重定向模式所適用的業(yè)務(wù)比較廣泛,如***檢測(cè)、應(yīng)用加速、網(wǎng)絡(luò)殺毒等。比如在網(wǎng)絡(luò)殺毒應(yīng)用中,攜帶病毒的HTTP報(bào)文到達(dá)網(wǎng)絡(luò)設(shè)備后,根據(jù)配置的規(guī)則判斷應(yīng)被重定向到OAP模塊中,模塊中的殺毒應(yīng)用程序發(fā)現(xiàn)病毒并將病毒查殺,再下發(fā)聯(lián)動(dòng)規(guī)則要求網(wǎng)絡(luò)設(shè)備過(guò)濾該HTTP站點(diǎn)。同時(shí),OAP模塊上殺毒應(yīng)用程序生成一個(gè)HTTP頁(yè)面返回給網(wǎng)絡(luò)設(shè)備,表示用戶訪問(wèn)的網(wǎng)頁(yè)有病毒。網(wǎng)絡(luò)設(shè)備再將此HTTP頁(yè)面發(fā)送給訪問(wèn)用戶,以通知用戶。
25.3.4????透明模式
????透明模式下,獨(dú)立業(yè)務(wù)組件像二層網(wǎng)橋設(shè)備一樣工作,不需要配置IP地址。外來(lái)的數(shù)據(jù)流從OAP模塊上的外部以太網(wǎng)接口流入,穿過(guò)獨(dú)立業(yè)務(wù)組件,經(jīng)過(guò)內(nèi)部高速數(shù)據(jù)通道到達(dá)路由交換組件。在路由交換組件看來(lái),外部數(shù)據(jù)直接到達(dá)了連接部件上的高速以太網(wǎng)口,內(nèi)嵌的獨(dú)立業(yè)務(wù)系統(tǒng)似乎根本不存在一樣。實(shí)際上,當(dāng)數(shù)據(jù)通過(guò)獨(dú)立業(yè)務(wù)系統(tǒng)的時(shí)候,獨(dú)立業(yè)務(wù)系統(tǒng)會(huì)做相關(guān)的記錄分析,必要的時(shí)候,業(yè)務(wù)系統(tǒng)還會(huì)對(duì)報(bào)文會(huì)做一定的修改以完成相關(guān)的功能。
????這種模式下,路由交換組件和獨(dú)立業(yè)務(wù)之間的耦合也是比較松的。
????這種工作模式適用于IPS/IDS、流量分析、應(yīng)用加速等。
????在IPS/IDS應(yīng)用中,報(bào)文抵達(dá)OAP外部接口后,IPS/IDS應(yīng)用程序?qū)υ搱?bào)文進(jìn)行分析處理,如果檢測(cè)出來(lái)是***報(bào)文,則將該報(bào)文丟棄,并生成對(duì)應(yīng)防火墻規(guī)則過(guò)濾該數(shù)據(jù)流;如果是正常報(bào)文則允許其通過(guò)。
25.4????聯(lián)動(dòng)及管理
25.4.1????聯(lián)動(dòng)
????OAA體系結(jié)構(gòu)中,路由交換組件與獨(dú)立業(yè)務(wù)組件是兩個(gè)獨(dú)立的主體,這兩個(gè)主體協(xié)作完成具體業(yè)務(wù)。為達(dá)到這種目的,兩者之間有時(shí)需要互通一些信息,這種信息交互就是聯(lián)動(dòng)。簡(jiǎn)單而言,就是指獨(dú)立業(yè)務(wù)組件可以向路由交換組件發(fā)指令,改變路由交換組件的動(dòng)作。
????聯(lián)動(dòng)功能主要是通過(guò)ACFP(Application Control Forwarding Protocol,應(yīng)用控制轉(zhuǎn)發(fā)協(xié)議)來(lái)實(shí)現(xiàn)的。ACFP及基于SNMP協(xié)議而開(kāi)發(fā)的管理協(xié)議。ACFP協(xié)議的運(yùn)行過(guò)程與網(wǎng)管軟件運(yùn)行有些類似。獨(dú)立業(yè)務(wù)組件就像網(wǎng)管系統(tǒng)一樣,向路由交換組件發(fā)送各種SNMP命令;而路由交換組件上支持SNMP Agent功能,可以執(zhí)行下發(fā)的這些命令。
????為了支持聯(lián)動(dòng)功能,要求路由交換組件支持相關(guān)MIB。
25.4.2????管理
????除了聯(lián)動(dòng)外,路由交換組件和獨(dú)立業(yè)務(wù)組件間還需要互相監(jiān)控、互相感知,有時(shí)還需要路由交換組件向獨(dú)立業(yè)務(wù)組件發(fā)送一些指令,指示獨(dú)立業(yè)務(wù)組件進(jìn)行相應(yīng)操作。這種路由交換組件ji監(jiān)控、指揮獨(dú)立業(yè)務(wù)組件的行為就是管理。
????路由交換組件對(duì)獨(dú)立業(yè)務(wù)組件的管理是通過(guò)ACSEI協(xié)議來(lái)完成的。通過(guò)ACSEI協(xié)議,路由交換部件可以區(qū)分不同插槽上的多個(gè)OAP模塊,監(jiān)控、記錄各個(gè)OAP模塊的運(yùn)行狀態(tài)。路由交換組件與OAP模塊間還通過(guò)ACSIE協(xié)議來(lái)完成互相監(jiān)測(cè)、信息交互、時(shí)鐘同步等功能;路由交換組件還可以對(duì)OAP模塊下發(fā)如業(yè)務(wù)系統(tǒng)關(guān)閉、重新啟動(dòng)等命令。
????通過(guò)路由交換組件和獨(dú)立業(yè)務(wù)組件之間的管理通道,已經(jīng)登錄到路由交換組件上的用戶,可以向獨(dú)立業(yè)務(wù)組件發(fā)起連接,登錄到獨(dú)立業(yè)務(wù)組件的控制臺(tái)上。
25.5????OAA典型應(yīng)用
25.6????OAA的未來(lái)
轉(zhuǎn)載于:https://blog.51cto.com/rainy0426/2381385
總結(jié)
以上是生活随笔為你收集整理的H3C SE 教程笔记——构建安全优化的广域网(下)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 第三周——小小大佬带飞队
- 下一篇: labview事件结构的使用