（信号与信息处理专业论文）win2k下voip+qos策略控制的研究.pdf

摘要 摘要 随着网络多媒体业务的兴起，q o s 技术显得越来越重要，而策略 控制是q o s 技术的发展方向所在，本论文在研究策略控制系统的基 础上，结合w i n d o w s2 0 0 0 对o o s 策略控制的支持，通过分析w i n d o w s 2 0 0 0 中o o s 的运行机制及相关的组件功能，给出了一个w i n d o w s 2 0 0 0 下0 0 s 策略控制系统的设计方案，并通过测试程序进行了系统 测试，通过对实验结果的分析，证明该系统实现q o s 策略控制的有 效性。 w i n d o w s2 0 0 0 推出的活动目录具有很好的安全性，它可以存储 用户的姓名，密码等身份信息以及大量的策略信息，借助活动目录可 以完成用户的身份认证，权限的比对等安全操作，本系统正是把活动 目录作为存储策略信息的策略服务器，以及w i n d o w s2 0 0 0 的组件 a c s 作为策略决策者，包调度器p s c 作为策略执行者来构建了一个 基于w i n d o w s2 0 0 0 操作系统的q o s 策略控制系统。 【关键字】策略控制，q o s ，a c s ，活动目录 北京交通大学硕士学位论文 a b s t r a c t w i t ht h er i s eo fn e t w o r ka n dm u l t i m e d i a ，q o si sm o r ea n dm o r ci m p o r t a n ta n d p o l i c yc o n t r o li sm eo r i e n t a t i o no ft h ed e v e l 叩m e n to fq o s nt h i sp a p e r ad e s l g n s c h e m eo fq o sp o l i c yc o 仃o ls y s t e mi sp r 叩o s e du n d e rm eb a s eo fr e s e a r c ht ot h e p o l i c yc o n 劬ls y s t e m ，a i l dt h er e l a t e dc o m p o n e n t sf u n c t i o n so fm ew i n d o w s 2 0 0 0 p l a t f o n n 1 a ts u p p o r tq o sp o l i c yc o n t r o i f o l l o w e dt h a t ，s y s t e mt e s ti sc a 玎i e do u t ， m r o u 曲l h et e s t i n gr e s u l t ，t h ev a l i d i t yt or e a l i z eq o sp o l i c yc o n t r 0 1 i sp r o v e d t h ea c t i v ed i r e c t o r yo fw i r l d o w s2 0 0 0h a sg o o ds p e c i a n yo fs e c u d t y i tc a n s t o r eal o to f1 d e n t i t yi n f 0 肋a t i o ns u c ha su s e r sn a m e ，p a s s w o r da r l ds o m eo t h e r p o l i c yi n f o r i n a t i o n w i i ha c t i v ed i r e c t o w ec a n a u t h e n t i c a t eu s e r si d c n t i c ya i l d c o m p a r e t l l e i ra u t h o d 哆i nt h i ss y s t e m ，a c t i v ed i r e c t o r yi su s e da sp o l i c ys e r v e rt o s t o r ep o l i c yi n f o h i l a n o ，a d m i s s i o nc o n 呐ls e r v i c e ( a c s ) 一t h ec o m p o n e n to f w j n d o w s2 0 0 0i su s e da s p 0 1 i c y d e c i s i o n p o i n t ， p a c k e ts c h e d u l e r c o m p o n e n i ( p s c ) i su s e da sp 0 1 i c ye n f o r c e m e n tp o i n t 【k e yw o r d s 】p o l i c yc o n t m l ，q o s ，a c s ，a c t i v ed i r e c t o r y 独创性声明 y8 7 9 8 2 3 本人声明，所提交的学位论文是我个人在导师指导 下进行的研究工作及取得的研究成果。尽本人所知，除 了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得北 京交通大学或其他教学机构的学位或证书而使用过的 材料。与我一起工作的同志对本研究所做的任何贡献已 在论文中作了明确的说明并表示了谢意。 本人签名：盘盈 日期：上年土月坐日 关于论文使用授权的说明 本人完全了解北京交通大学有关保留、使用学位论 文的规定，即：学校有权保留送交论文的复印件，允许 论文被查阅和借阅；学校可以公布论文的全部或部分内 容，可以采用影印、缩印或其他复制手段保存论文。论 文中所有创新和成果归北京交通大学计算机与信息技 术学院所有。未经许可，任何单位和个人不得拷贝。版 权所有，违者必究。 本人签名：盛= 垂 日期：吐年土月日 综述 1 综述 1 1 论文的研究背景和意义 在早期计算机网络和分组转发网中，网络只提供尽力而为的业 务。对进入网络的业务流，都以先来先服务的方式对业务流分组进行 服务。随着i n t e r n e t 和各种业务的迅猛发展，尤其是视频、话音等 多媒体业务的迅猛增长，i p 网络也由以前单一的数据网变成了多业务 的综合数字网。此时，传统的i p 网络没有服务质量保证的弱点已经 显示出来。为此，业界提出了i pq o s 的概念，就是希望在i p 网络上 能对不同业务提供相应的q 。s 保证。在基于分组交换、多种业务并存 的下一代网络中，如何为具有不同服务质量要求的各种业务提供相应 的q o s 保证是n g n 的一个关键性要求，也是目前业界研究的一个焦点 【3 2 1 1 1ip 网络的q o s 机制 服务质量( q o s ) 的定义是：网络根据每个用户的要求，为每项 应用确保和维持一定的性能水平的能力。网络服务供应商为用户提供 q o s 保障，并且在网络出现拥塞，设备和链路出现故障等情况下采取一 定的措施来维持q o s 水平。q o s 指的是一种机制的组合，它们共同为不 同的网络问的应用程序的通信提供特定的质量。实现q o s 意味着把一些 i e t f 的技术组合在一起，从而来减轻由共享网络资源和有限带宽所带 来的问题。 北京交通大学硕士学位论文 服务质量( q o s ) 有两个明显的好处：降低网络的时延和减少应 用程序对服务质量请求的阻塞，并为网络管理员提供更高一级的控 制。 1 1 2 策略控制的提出 i t u t 的e 8 0 0 对q o s 的定义是“决定用户对服务满意程度的业 务性能的综合效果”。进一步说，q o s 包括两层含义：业务| 生能和业 务差别。对业务性能的保证应该是端到端的、连续的、可预测的、大 于或等于预定值的，体现业务性能的关键网络层参数有时延、抖动和 丢包率。业务差别意味着为不同类型和不同等级的业务应用提供不同 的性能保证，如对于一些紧急的或关键性业务，即使在高负载的情况 下，也要保证其q o s 不受影响；对于语音业务，i p 网络要能够提供与 传统的p s t n 相当的电信级q o s 。2 0 0 4 年i t u t 1 3 组的n g n 会议上提 出了端到端的q o s 架构必须满足的要求，即一个端到端的q o s 架构应 该独立于不同的接入技术，支持多管理域，支持多种业务( 如实时性 多媒体业务或v p n ) ，支持有线、无线网络和各种有线、无线技术的 融合，支持基于测量的前摄机制( 如准入控制) 和反应机制( 如拥塞 控制) 。考虑到可操作性和可管理性，还要支持基于差别业务的增值 商业模式，支持基于使用的计费和记账，网络要稳定、安全，达到 9 9 9 9 9 的可靠性。 可见，在端到端的q o s 框架中，核心问题就是在多接入技术和多 管理域的网络环境中如何使有限的网络资源最优化以支持多种业务 的不同q o s 要求。因此，网络必须在资源分配和业务传递上足够灵活 和智能，而不能象消极的、需要端用户来适应的传统的尽力而为的 综述 i n t e r n e t 那样。因此，如何按照q o s 策略控制和管理一系列网络行为， 尤其是如何进行有效的资源控制和管理，成为i p 网络提供q o s 的一 个关键所在。 1 1 3 引入策略控制在实现i pq o s 中的作用 尽管q o s 问题多年来一直没有形成定论，甚至很多人认为严格的 q o s 保证根本无法做到，但是，随着业务的多样化和人们对服务质量 要求的提高，对于q o s 问题，不得不“明知山有虎偏向虎山行”。人 们希望通过不断深入的探讨和研究来寻求解决q o s 问题的相对最佳方 案 3 2 】。 一些对服务质量要求不高的业务，基于d i f f s e r v 及宽带应用的 现有技术就可以满足其q o s 要求。因此，研究的重点是如何满足对服 务质量要求较高的交互式多媒体业务( 如v o i p 、视频会议、v o d 等) 的q o s 要求，这是仅对现有网络做细枝末节的改进所实现不了的。目 前，业界已提出了一些实现q o s 保证的思路和框架，但都处于试验研 究阶段，具体的内部细节还有待完善，并且大多只提供域内的q o s 机 制，域间的q o s 传递以及接入网部分的q o s 机制也较少涉及，即尚未 提出端到端的严格q o s 保证的解决办法。 对于传统的i p 网络，方面，虽然很多承载层的设备有一定的 q o s 能力，但承载网的资源不能很好的统一管理和控制，对于整个网 络，还不能保证端到端的q o s 能力：另一方面，业务层并不能很好的 知道承载层的资源，业务层的资源需求不能很好的传达到承载层进行 资源分配和调度；这些，造成了目前的i p 网络不能很好的实现电信 级的话音和视频等业务；为了实现端到端的严格的q o s ，必须给出一 北京交通大学硕士学位论文 种新的体系架构，该架构应基于分组交换以及网络分域、业务分级的 思想，在保持i p 灵活性的同时，引入充分的资源管理和流量控制功 能，并确保网络可操作、可管理。因此在网络中引入充分的控制机制 是十分必要的，包括对业务流的准入控制，对流量优先权或速率的控 制，对全网资源的分配和调度等。由此可见，具有q o s 保证的网络与 传统网络的最大不同就在于对网络实施有效的控制。 一般来说，网络控制有两种方式：集中控制和分散控制，当然也 可以考虑将两者结合起来。集中控制方式是对全网进行统一的配置和 管理、统一分配和调度资源，其优点是控制力强，可提供严格的q 0 s 保证，但需要存储的数据量大，复杂性高，不适合大规模网络。i n t s e r v 就是典型的集中资源控制方式。分散控制方式一般只在网络边缘对流 量做复杂预处理，网络内部只负责按优先级转发，其优点是简单灵活， 但属于一种相对优先级策略，不能提供严格的q o s 保证。d i f f s e r v 就是典型的分散控制方式。将集中控制和分散控制结合起来是一种值 得探讨的方式，希望通过这种方式可以找到复杂性与可扩展性、严格 性与灵活性的统一，在网络中引入控制层、采用新的控制防议甚至增 加新的控制实体都是可以考虑的 3 2 1 。 1 2 几种l pq o s 控制模型的总体思路 实施控制的关键问题有以下几点：( 1 ) 由谁执行控制功能，是 把控制功能分散地置于路由器中，还是由一个集中的控制实体来完 成；( 2 ) 业务流从终端到终端的整个过程中，对哪些过程进行控制， 这里涉及到控制复杂性与q o s 水平的折衷问题；( 3 ) 如何进行控制， 即根据需要制定控制协议。在传送层，最重要的就是路由选择和带宽 d 综述 分配问题，在应用层，采用s i p 进行会话控制是一个典型的控制手段。 而i p 层和应用层之间的关系，即两个层面之间的信息传递是研究的 一个重点，例如，应用层所执行的用户鉴权的结果如何传递到i p 层 3 2 1 。 这里对目前比较常见的几种q o s 控制模型进行分析，以从它们的 总体思路和优缺点中得到对以后的研究具有借鉴价值的结论。 ( 1 ) 资源代理模型：如图卜1 所示。中国电信和a l c a t e 倡导的 q o s 方案都与该模型相符。 图1 1 资源代理模型 该方案的总体思路是在业务层和承载层之间引入具有资源控制 功能的实体r a 进行集中的控制。面向业务层，r a 根据承载网资源状 况对来自业务层的请求做出响应，即完成对业务流的准入控制等功 能，并提供业务层的s l a ( s e r v i c e l e v e la g r e e m e n t ，服务水平协 议) 与承载层q o s 的转换接口。面向承载层，r a 提供q o s 策略决策及 下发，即完成资源分配和预留、资源信息维护等功能。r a 与业务层和 北京交通火学硕士学位论文 承载层之间需要专门的信令协议来传递信息。 ( 2 ) 优先级提升模型( p p s ) ：如图卜2 所示。这是由日本的n n t 提出的方案。 m h s u 悖m e m b 搬d 州m i s s 沁n 张聪钌& 驯 图1 2 优先级提升模型 该方案利用端系统( 这里端系统是指p c 、用户网关、边界网关等) 对网络资源进行端到端的测量、监控以建立和维护具有相应q o s 保证 的媒体流。发送端在媒体流发送之前或发送的初始阶段，先以较低的 优先级发包，根据接收端反馈的资源状况和测量的结果来决定对剩余 分组的处理按原等级发送、降级发送、升级发送、暂停发送或是 终止发送。分组在网络中通过d i f f s e r v 实现与其优先级相对应的转 发，即路由器的每一跳行为是由检测阶段或流传送初始阶段的测量结 果来决定。该方案的优点在于：充分发挥了端系统的作用，有利于提 供端到端的q o s 保证；相对减少了网络的复杂性，路由器只需支持 d i f f s e r v 即可；基于端到端的测量，实现灵活的准入控制和优先级制； 有降级或升级处理，充分利用了网络资源。 综述 该方案要求端系统高度智能，这对现有端系统的改进是个很大的 挑战；要求端到端测量的准确性和实时性，避免检测和信息反馈引入 较大时延；另外，该方案只适合域内，域问的测量手段未做研究。 ( 3 ) c o p s + r s v p 模型：如图卜3 所示。该方案是由3 g p p 、p a c k e t c a b l e 提出的。 该方案把c o p s 协议和r s v p 结合起来。p d p 作为上层管理实体， 通过c o p s 对r s v p 进行策略管理，如对资源预留用户的认证、优先权 管理等。利用策略控制进行总体平衡，可以使网络管理者集中地监视 和管理r s v p ，避免预留不合理造成的路由器资源占用不平衡，从而更 有效地保证端到端的服务质量。当边缘路由器收到r s v p 的信令消息 时，就通过c o p s 向p d p 服务器问询如何处理该消息接收、拒绝 转发或是暂时保留，之后，按照p d p 服务器发回的决定处理该信息。 图1 3c o p s + r s v p 模型 北京交通大学硕士学位论文 1 3 论文的意义及所做的工作 1 3 1 论文的意义 本论文以下一代网络中的q o s 策略控制为研究背景，在分析常见 的策略控制系统的组织架构及运行机制的基础上，以w i n d o w s2 0 0 0 为平台，建立了一个实用的q 。s 策略控制系统。 w i n d o w s2 0 0 0 系统在支持q o s 策略控制方面有一系列的优势：安 全的活动目录，高效的q o s 运行机制，现成的内部组件，方便交互的 窗口界面及便捷的操作等使得w i n d o w s2 0 0 0 成为搭建q o s 策略控制 系统的首选平台。 论文的意义在于：论文所做的工作是在实验室毫无相关工作基础 的情况下进行的，通过阅读了大量的相关的技术资料及实践，在深刻 理解策略控制系统的工作原理的基础上，发现并总结了w i n d o w s2 0 0 0 系统的一些支持q o s 策略控制特性，并以此构建了一个基于w i n d o w s 2 0 0 0 的q o s 策略控制系统。系统虽然相对简单，但是已经具备了一般 q o s 策略控制系统的功能，并且具有自身的一些优势，为以后实验室 的继续研究打下了基础。 综述 1 3 2 论文所做工作 充分理解了q o s 策略控制系统的架构和工作原理。 研究和分析了w i n 2 k 平台下的q o s 运行机制及其一系列支持 q o s 策略控制的功能，并重点对其中的关键技术一活动目录( a c t i v e d i r e c t o r y ) 进行了研究。 掌握了基于w i n s o c k 的q o s 编程方法。 在w i n 2 k 系统平台下，以v o i p 为应用目的，提出了一种q o s 策略控制的实现方案，并具体实现了其主要功能。 建立了一个测试平台，并用来测试了该基于w i n 2 k 架构的 q o s 策略控制系统的功能。 1 4 论文的组织结构 本论文的组织结构如下： 第一章：介绍了论文的选题背景，包括i p 网络的q o s 机制，策 略控制提出的背景，引入策略控制在i pq o s 中的作用，并介绍了当 前常见的几种q o s 控制模型。接下来介绍了论文的意义和所做的工作 及论文的组织结构。 第二章：对q o s 策略控制系统的架构及主要的技术要点进行了研 究，介绍了q 。s 策略控制思想提出的意义，策略控制系统的工作原理， 并对其主要部分：策略决策者，策略执行者，策略管理工具，目录服 北京交通大学硕士学位论文 务器进行了介绍，接下来介绍了系统中常用的几种协议：l d a p ，c o p s ， r s v p 。 第三章：在分析w i n d o w s2 0 0 0 中a c s 的工作原理的基础上，研 究了w i n d o w s2 0 0 0 中q o s 策略控制系统的架构，提出了q o s 策略控 制系统在w i n 2 k 上的设计方案，并介绍了其运行机制。 第四章：根据w i n d o w s2 0 0 0 提供的q o s 编程接口，编写了q o s 测试程序并对系统进行了测试并对测试结果进行了分析。 q o s 策略控制系统 2 q o s 策略控制系统 2 1 策略控制系统的基本原理 2 1 ，1q o s 策略控制思想的提出 q o s 能对不同网络流量提供不同服务，这就意味着有的网络流量的 服务质量被提升，而有的被降低。很自然，每个人都希望自己的网络流 量的服务质量被提升，然而，这又是不可能实现的。所以就需要有一种 策略来控制，q o s 用它来决定哪种流量获得哪种服务等级，并且要求使 用一种认证方法来确认用户。因此在设计q o s 策略控制的时候，就需要 设计一个策略访问控制器和策略控制器，它们根据一定的策略( 这些策 略可能是由网络管理员手动添加的，也可能是根据网络流量的统计自 动产生的) 分别确定哪些用户可以访问资源以及网络资源是否足够满 足用户需求。同时，策略控制器还应该能够对数据流进行分组和标记数 据流的能力，从而达到区分不同数据流的目的。并且，这些策略可以通 过某种网络通信协议传送到各个受控的网络设备，让它们根据策略完 成自身资源的分配和使用。 2 1 2 策略控制系统的架构及运行机制 北京交通大学硕士学位论文 策略控制系统一般由4 个部分组成：策略管理工具( p o l i c y m a n a g e m e n tt 0 0 1 ，p m t ) ；策略仓库( p o l i c yr e p o s i t o r y ) ( 一般为目 录服务器( d i r e c t o r ys e r v e r ，d s ) ) ；策略决策者( p o l i c yd e c i s i o n p o i n t ，p d p ) ；策略执行者( p o l i c ye n f o r c e m e n tp o i n t ，p e p ) 。 图2 1 策略控制系统的架构 p m t 提供一个图象化管理界面。网络管理员通过p m t 对策略进行增 加、修改以及删除操作。p m t 把管理员定义的策略转换为高度抽象的策 略对象，同时也要将这些对象存储在d s 上，并在需要的时候把策略对象 传送给p d p 。d s 是策略信息的中心存储数据库。p d p 进一步把策略对象 转换成受控设备的配嚣，并将之传送给p e p 。在事件的触发下，p d p 可以 重新从d s 中获取相同的策略对象。同时，p d p 还要对策略进行有效性判 定，冲突检测，更正等操作。p e p 根据p d p 提供的信息重新配置受控网络 2 q o s 策略控制系统 设备。 策略控制系统的工作方式如下： ( 1 ) p e p 向p d p 发起一个t c p 连接，p d p 在t c p 端口号( c o p s = 3 2 8 8 ) 处 进行监听，p e p 就使用这个连接进行策略信息的请求和接收： ( 2 ) p e p 根据网络设备的运行状况向p d p 提出策略请求： ( 3 ) p d p 根据收到的策略请求和从d s 获得的相关信息，做出策略决 定，并将该决定返回给p e p ： ( 4 ) p e p 把相应的策略规则转化为相应设备的配置，具体实现策略， 并向p d p 报告策略执行情况： ( 5 ) 如果该请求声明发生变化，p e p 需要通知p d p ： ( 6 ) 如果原来的请求声明由于客户发生事件或者p d p 做出的决定而 不用时，p e p 负责删除这个声明 其中，策略是一组规则，每条规则由一组条件和动作组成。条件 定义规则使用的参数，当一条规则投入使用时，规则中的动作能够被 触发，并且可能与规则中设定的条件相遇：动作本质上就是定义当所需 条件满足时所执行的动作。策略的角色是定义一个设备或接口在特殊 条件被满足时如何实现一个动作。 策略请求中的策略相关信息可以是数据包中的第三层、第四层信 息。如：目的i p 地址、目的端口地址、源i p 地址、源端口地址、协议、 t o s d s 域，也可以是第二层信息，如目的m a c 地址、源m a c 地址、输入 端口索引、输出端口索引等。 目的m a c 地址、源m a c 地址用在局域网中识别数据流。目的地址、 目的端口、源地址、源端口在跨越子网的网络中识别数据流。输出和 输入端口索引标识网络节点的物理端口，用输出端口索引获得输出端 北京交通人学硕士学位论文 口的带宽占用和队列长度，在做出策略决定时提供当前的网络拥塞状 况：用输入端口索引标识从某一特定输入端口进入网络节点的数据流， 帮助管理员对其制订特定的策略。 2 2 策略控制系统的技术要点 2 2 1 策略管理工具p m t 策略管理工具的主要作用有【1 0 1 ： ( 1 ) 给管理者提供一个可视化的管理界面来对策略进行增加、修 改、删除等工作： ( 2 ) 把管理者定义的策略转化为抽象的策略对象：将策略显式地表 示为对象有很多好处。首先，易于查找策略和个性策略，便于策略管 理。其次，便于定义具有某特定策略性的类。在为一个特定应用定义 策略时，创建该策略的实例，并保存为特定实例而定义的策略属性。 ( 3 ) 将策略对象存储在目录服务器里并对该数据库进行维护，监视 整个策略系统的运行： ( 4 ) 在需要的时候把策略对象传递给p d p 。 2 2 2 目录服务器d s 和策略信息存储方案 目录服务器的主要功能就是存储网络节点的资源使用情况和相关 的策略决定规则。目录服务器是实现策略统一管理的基础，存储策略 及其相关的各种信息，使用l d a p 协议对其进行存取，而策略又是整个 q o s 策略控制系统 策略控制系统运作的核心， 所以如何将内容众多、形式多变的策略信息按照目录服务的数据 模型组织成一个灵活、高效的策略信息库是策略控制系统的一个核心 任务【2 2 。 典 体 化 图2 2 策略信息存储方案 如上图所示，策略信息存储方案的基础是1 5 0 0 和l d a p ，进而是i e t f 的策略工作组编写的采用l d a p 实现策略信息存储的相关草案。这些草 案在纵向上分为三个层次，在最底层首先定义了一个普遍适用的策略 信息模型，在它的基础上将策略的应用局限于网络的q o s 策略服务而得 到第二层，第三层由实现策略系统的开发者根据具体情况自行扩展， 三个层次由普遍到具体定义出一个实际的策略信息库。在横向上每一 层都有两个草案，分别定义信息模型的数十个对象类( 分为抽象类，结 构类，辅助类等从各个方面对数据库进行定义) 和如何把这些对象类映 射到使用l d a p 存取的数据库中。信息模型中并不涉及具体的实现方案， 就是说没有指定采用何种类型的数据库来实现此信息模型，为了使各 个开发者开发的策略系统可以实现互操作，策略工作组具体定义了到 北京交通大学硕士学位论文 l d a p 的映射方案，要求开发者按照本映射草案的要求在l d a p 系统上构 建q 。s 策略信息模型。 策略受控的网络被模型化为一个状态机，然后使用策略来控制策 略受控的设备的即时状态。策略系统通过一系列的策略规则来具体实 施控制，每一条策略规则都是一些条件和措施的集合，若干个策略规 则可以聚类为策略组。策略规则中的条件集规定了何时策略规则是可 用的。条件集可以有如下两种形式： 将用“与”连接的单个条件声明用“或”连接起来，或者将用“或” 连接的单个条件声明用“与”连接起来，其中单个的条件声明还可以 先取“非”。这样的条件组合分别被命名为：“或正规式”( d n f ) 和“与 正规式”( c n f ) 。如果一条策略规则的条件集计算结果为“真”，则措 施集将被执行。对于条具体策略的措施集来说，可以声明它是有序 或是无序的，即属于此措施集的措施的执行顺序是否必须严格遵守。 策略规则本身是有优先级的，这样做是为了方便表示有个别特殊 情况的策略应用。例如我们对一个网段内的所有主机制订了一条策略 规则，然后又针对其中的某台主机单独制订了一条不同的策略规则， 这样针对这台主机就有两条策略的条件集同时满足，当我们为策略规 则本身指定了优先级之后，高优先级的策略规则的措施集将被执行。 策略信息库在l d a p 中实现的结果是一个严格的树型结构。策略信息的 实例是采用独立名来标识，独立名由一串相对独立名组成，每个相对 独立名都是在同一个父节点之下唯一的，这就保证了一个独立名可以 在l d a p 数据库中唯一的标识一个对象。 策略信息库中存储的策略信息分为可重用的对象和特定规则相关 的对象。可重用的对象可以被多条策略规则所引用。它们集中存储在 特定的节点之下。其优点是提高了数据的公用性，有利于保持数据的 q o s 策略控制系统 一致性，缺点是增加了存取数据库的次数，为了得到一个对象的全部 内容可能需要多次读取特定规则相关的对象只能被一条规则使用，它 们被直接存储在策略信息树中、包容它们的对象之下。优点是提高了 存取速度，缺点是降低了模型的可扩展度，而且没有了数据的公用性， 会导致信息的一致性难以保证。 2 2 3 策略决策者p d p 策略决策者一般也称为策略服务器，策略决策者的主要作用是 ( 1 ) 根据p e p 提交的策略请求从d s 里获取相应的策略对象： ( 2 ) 把抽象的策略对象转化为相应的策略规则传递给p e p ： ( 3 ) 对策略进行有效性判定、冲突检测、更正等操作 2 2 4 策略执行者p e p p e p 的主要工作有： ( 1 ) 向p d p 发出策略请求、策略更新、策略删除等信息； ( 2 ) 把从p d p 传来的策略规则转化为相应的网络设备的配置，通过 分组过滤、带宽预留、业务分类、多转发队列等方式具体实施策略； ( 3 ) 策略执行者一般是网络中的策略受控节点，如路由器、交换机 等。 图2 3 表示了一个典型的受控路由器上的策略控制机制： 北京交通大学硕士学位论文 君 非一 礞 i 斟篙h 黧 一- 一一一l 销一幢 一一一一- 一崤；一- 一一 错代理 婴i 策略服务器目幕臌务器 图2 - 3 路由器上的策略控制机制 策略受控路由器的主控程序负责从调度器中获得当前各个类的队 列长度，整个带宽资源的使用情况，将这些信息通过策略控制代理定 时的传递给策略服务器，策略服务器将这些信息在策略配置界面上反 馈给策略管理员，帮助其对策略进行适当的调整主控程序还要负责在 分类器发现新数据流时间该数据流的策略相关信息发送给策略控制代 理，由其向策略服务器发出策略请求，这时数据包将从过滤器表中查 到缺省策略放入队列中。策略服务器在查处策略之后将该数据流应属 的队列类别( 即策略决定) 回送给策略控制代理，策略控制代理再将决 定传递给主控程序，主控程序在缓存表中添加这一项，有需要的话还 要修改调度器的配置，同时将后继的数据包送入相应类的队列中【l 2 1 。 雾 链 一譬 一一一一一 撇雠聂戤煺 lljl，lhl圳h引到砷射 q o s 策略控制系统 2 3 相关的协议 2 3 1 简版目录存取协议l d a p l d a p 的英文全称是l i 曲t w e i g h td i r e c t o r ya c c e s sp r o t o c o l ，一 般都简称为l d a p 。它是基于x 5 0 0 标准的，但是简单多了并且可以根据 需要定制。与x 5 0 0 不同，l d a p 支持t c p i p ，这对访问i n t e r n e t 是必须 的。 严格地说，l d a p 根本不是数据库而是用来访问存储在信息目录( 也 就是l d a p 目录) 中的信息的协议，l d a p 协议是跨平台的和标准的协议， 因此应用程序就不用为l d a p 目录放在什么样的服务器上操心了。实际 上，l d a p 得到了业界的广泛认可，因为它是i n t e r n e t 的标准。厂商都 很愿意在产品中加入对l d a p 的支持，因为他们根本不用考虑另一端( 客 户端或服务端) 是怎么样的。l d a p 服务器可以是任何一个开发源代码 或商用的l d a p 目录服务器( 或者还可能是具有l d a p 界面的关系型数据 库) ，因为可以用同样的协议、客户端连接软件包和查询命令与l d a p 服务器进行交互。与l d a p 不同的是，如果软件厂商想在软件产品中集 成对d b m s 的支持，那么通常都要对每一个数据库服务器单独定制。 2 3 2 公共开放策略服务协议c o p s c o p s ( c o m m e no p e np o l i c ys e r v i c e ) 公共开放策略服务，它是i e t f 为了统一q o s 管理专门提出的一个新协议，它具有扩展性，能够适应不 同的客户类型。c o p s 协议在策略决定者( p 0 1 i c yd e c i s i o np o i n t ，p d p ) 和策略实施者( p o l i c ye n f 。r c e m e n t ，p e p ) 之间用t c p 连接交换策略请求 北京交通大学硕士学位论文 和策略决定h 。 c o p s 协议在p d p 和p e p 之间协调策略信息的交换。当策略控制系统 启动时，p e p 向p d p 发起一个t c p 连接，p d p 在众所周知的t c p 端口号 ( c o p s = 3 2 8 8 ) 进行侦听p e p 使用这个t c p 连接向p d p 发出策略请求并接 收策略决定。p e p 与p d p 间的通信以请求决定交换的方式为主。但p d p 也会发送一些未经请求的决定给p e p ，强迫先前的决定做出改变。p e p 可 以向p d p 报告它已成功地执行了决定，且p e p 上的请求声明发生变化时 要通知p d p 。最后，当原有的请求声明由于客户发生的事件或策略服务 器做出的决定而不可再用时，p e p 要删除这个声明。 2 3 3 资源预留协议r s v p 资源预留协议r s v p 是i e t f ( r f c 2 2 0 5 ) 定义的一个信令协议。r s v p 协 议的目标是：开发一个有效的，灵活的，健壮的建立i n t e r n e t 综合业 务预约的协议，它必须支持现有和将来的单目和多目路由协议。它必 须适应不同的网络环境的服务要求，容易扩展，并支持各种类型的业 务。 通过这个协议，应用程序可以申请端到端的单一流q o s ，并且提 出服务要求和通信所需要的带宽。r s v p 是一个基于第三层的协议， 主要用在i p 通信方面。按照现在的定义，r s v p 使用集成服务i n t s e r v 向网络传达q o s 请求。然而，r s v p 就本身而言既不限制在单一流的应 用中，也没有限制在集成服务中。 因为r s v p 是一个第三层的协议，所以它很大程度上独立于物理 网络介质。所以，r s v p 被认为是抽象化的一层，是介于应用软件( 或 主机操作系统) 和特殊介质的q o s 机制。 2 0 q o s 策略控制系统 r s v p 适用于关键任务应用，如企业资源计划i p 电话。这些类型 的应用倾向于传输数据流，需要建立两个独立的支持q o s 的连接。 通过使用和实施r s v p 信令，r s v p 服务提供者使应用程序开发者 能直接与r s v p 交互。r s v p 服务提供者代表应用程序完成启动和维持 r s v p 信令，这使应用程序能充分利用q o s 的优点。 北京交通大学硕士学位论文 3 基于w in 2 k 的q o s 策略控制系统的设计 3 1 w l n 2 k 对q o s 策略控制的支持 3 1 1w l n 2 k 下q o s 的工作机制 0 0 s 是通过给用户加以限制来工作的，使其在给定的时间里只能 在网络中传输定数量的数据。为此，w i n d o w s2 0 0 0 使用了本身的调 度机制和一些标准协议。这些协议在简单网络上实现了带宽的分级保 证。如果想在一个更加复杂的网络上实现q o s 机制，则必须设置路由 器，让它也支持这些协议。如果路由嚣不支持这些协议，那么它将仅 仅使用最佳路由协议，即将所有接受到的数据包通过最快捷的路径转 发到目的地址，不过，最佳路由协议不支持为特定用户分配带宽。 客户端的q o s 的实现隐藏在底层。这样，应用程序就有可能通过 g q o sa p i 来使用q o s ，而不需要全面了解整个网络的情况。当一个 客户端提出q o s 请求时，0 0 s 就会调川后台进程r s v ps p 。这个防议 负责向原地址和日的地址之间所能找到的各种网络设备发送雌v p 请 求。q o s 的实现是在物理层，是与介质相关的。r s v p 是应用程序和q o s 实现的连接组件。因此，r s v p 的调用和介质无关的。 服务器端的功能与客户端的不尽相同，其土要q o s 组件是许可控 制服务( a c s ) ，它可以根据删络管理员设置的策略分配恻络资源。当 a c s 收到一个带宽请求时，它首先检查网络适配器资源是否可用，然 后，w l n d u w s2 0 0 0 使用k e 巾h o s 认证请求服务的用户身份。一旦确 认，就从活动目录中加载用p 策略，然后，a c s 再检验用p 是否拥有 认，就从活动目录中加载用户策略，然后，a c s 再检验用户是否拥有 基于w 玳2 k 的q o s 策略控制系统的设计 用户权限。基于分配策略的内容，a c s 将可能接受或者拒绝用户的请 求。 当一个支持q o s 的应用程序初始化一个会话并提出带宽请求时， 服务器端的a c s 在收到请求后校验用户是否有请求权限，接收端计算 机也必须接收或者拒绝发送端的请求。如果接收端计算机接受请求， 开始这个会话，它就会向初始的客户端返回一个r s v p 消息。r s v p 消 息数据包回到初始客户端过程中将经过各个路由器。每个支持r s v p 路由器都有权接受或拒绝该r s v p 请求。如果路由器接受了请求，它 就必须保证请求中所要求的带宽。一旦r s v p 数据包到达初始客户端， 流量控制开始分配优先级，并在两个客户端之间进行i p 流量调度。 3 1 2w i n 2 k 的q o s 组件 w i n d o w s2 0 0 0 操作系统中的q o s 组件将跟其他的存在于网络元件 ( 如路由器和集线器) 中的服务质量( q o s ) 机制协调一致。在不需要在 实际用户、网络端口和地址之间进行映射的情况下，使用这些主机机 制，就可清楚地向管理员描述出正在使用哪个应用程序和这些程序需 要什么资源。当主机和网络协同运作时，就可以更容易更明智地使用 资源 2 ”。w i n d 。w s2 0 0 0 q o s 组件主要有：( 见图3 1 ) q o sa p i ：w i n d o w s2 0 0 0q o s 被设计成一个标准q o sa p i w i n d o w s 2 0 0 0q o s 技术的一个抽象接口。程序员能使用这些一般q o sa p i ，针 对不同的介质为他们的应用具体指定或请求带宽。 资源预留协议服务提供者( r s v p s p d 1 1 ) ：当有q o s 请求时，一般 q o sa p i 调用下层的q o s 服务提供者。这些服务提供者向所有沿路的网 北京交通大学硕士学位论文 络设备发信号，请求资源预约。 资源预留协议服务( r s v p e x e ) ：资源预留协议是由i e t f 定义的， 携带请求网络优先权带宽的q o s 信令协议。r s v p 是应用程序，操作系 统和特定介质的0 0 s 机制之间的桥梁。 通信控制( t r a f f i c ，d 1 1 ) ：通信控制部分使用预定义的q o s 参数 产生和调整数据流。它也方便了产生过滤器，指导选中的包通过一个 数据流时进行过滤。通信控制能力是通过访问通信控制a p i 实现的。 一般包分类器( m s g p c s y s ) ：一般包分类器决定一个包属于哪一 类服务，然后根据服务级别对包进行排队。 服务质量包调度器( p s c h e d s y s ) ：服务器包调度器将通信打上一 个特殊的优先权标记，然后q o s 包调度器决定每个包队列的投递计划， 处理不同队列需要同时访问网络时的竞争。 q o s 许可控制服务( q o sa c s ) ：q o sa c s 管理共享网段上的资源。 q o sa c s 提供了一个对带宽请求的控制点，决定所需要的网络资源目前 是否能够得到满足。 本地策略模块( m s i d l p m d 儿) ：它是q o sa c s 的一个组件，提供了 一个策略执行点和策略决策点。 基于w i n 2 k 的q o s 策略控制系统的设计 窘寰爿” 图3 1w i n d o w s2 0 0 0 的q o s 组件 3 1 3w i n d o w s2 0 0 0q o sa c s 在前面介绍w i n d o w s2 0 0 0 的q o s 组件时，提到过策略控制模块， 它是来检查是否有足够的资源来满足请求，并对用户进行身份验证， 最后得出是否接受该请求。由于现在通信量的增大，用户的增多，更 加需要合理地控制和资源的流量，基于某种策略分配。所以，策略控 制成为o o s 中研究的重点。 m i c r o s o f c 制定的许可控制服务( a c s ) 是运行在w i n d o w s2 0 0 0 服务 器顶层的策略服务。a c s 使用活动目录，结合了子网宽带管理器( s b m ) 对请求的服务进行许可控制。s b m 能够将它自身插入到r s v p 预约的路 径中，从而进行许可控制，a c s 就是利用了s b m 的这一功能。子网上 北京交通大学硕士学位论文 的q o sa c s 客户端向d s b m 转发所有r s v p 消息。为了维持子网上的 r s v p 预约的完整性，任何向该子网发送消息的路由器和主机必须是一 个具有q o sa c s 的客户机。在子网中，运行w i n d o w s2 0 0 0 或s b m 客户 软件的客户可使用q o sa c s 来请求带宽。 q o sa c s 可以部署在任何一台运行w i n d o w s2 0 0 0s e r v e r 的主机上。 它为从服务器来的带宽请求提供一个控制点，以便请求不会同时在整 个子网中泛滥。许可控制确定了在某种类型的服务中有多少通信量。 q o sa c s 通过参与信令协议来逻辑分配网络资源，但并不物理分配网络 资源。而且传给q o sa c s 的是r s v p 消息，而不是最终传给接受者的数据 包。如果主机上同r s v p 请求无联系的应用程序仍然能够发送数据，就 有可能使网络负载。如果同时部署q o sa c s 和其他通信分隔机制能防止 网络过载。 q o sa c s 可以用于在子网层次上管理使用带宽的优先权。可以通过 q o sa c sm a n a g e r ( 管理界面) 来集中创建和管理q 。sa c s 策略，用以配 置来满足符合用户，程序，站点或全球