IP QoS对企业网的优化

1、IP QoS (服务质量)对企业网的优化一、IP QoS (服务质量)概述目前的Internet仅提供尽力而为(best-effort service)的传送服务，业务量尽快 传送，没有明确的时间和可靠性保障。随着网络多媒体技术的飞速发展，Internet 上的多媒体应用层出不穷，Internet已逐步从单一的数据传送网向数据、语音、 图像等多媒体信息的综合传输网演化。这些不同的应用需要有不同的Qos (服务 质量)要求，Qos通常用带宽、时延、时延抖动和分组丢失率来衡量，它可分为 两个模型:综合服务模型(Integrated Services model)、区分服务模型(Differenti

2、ated Services model)。综合服务模型(Integrated Services model)：针对特定的应用以信令的方式 预先建立一条通道，实现点到点的服务质量保证。资源预留协议(RSVP)就是 根据QoS的需求以信令的方式在源点到目的地之间预先建立一条通道。从技术 角度讲，综合服务模型是一种行之有效的QoS保障方法。但是，由于其技术的 复杂性和扩展的难度，在一定程度上制约了综合服务模型在实际网络中的应用。区分服务模型(Differentiated Services model):由IETF提出，较之综合服 务模型(Integrated Services model)，区分服务

3、模型大大简化了信令的工作，把重 点放在聚合数据流和每跳行为(per hop behavior)上。在网络入口处根据服务要 求对业务进行分类、流量控制，同时设置报文的DSCP域；在网络中根据QoS 机制来区分每一类通信(依据分组的DSCP值)，并为之服务(包括资源分配、 队列调度、分组丢弃策略等，统称为PHB)，DiffServ域中的所有节点都将根据 分组的DSCP字段来遵守PHB。DiffServ通过将业务定义为有限的类，可以很好 地解决扩展性的问题，同时，由于DiffServ很好地沿袭了 IP本身的技术理念。 相对而言，很容易在现有的IP网络及产品中实现。因此，目前商用网络中的QoS 实现总

4、体上基本都是基于DiffServ模型的。IP Qos是计算机网络领域的一个重要发展方向，不论是网络运营商还是企业 用户，合理部署IP Qos将对优化网络性能起到积极、深远的意义。对于企业用户来说，制约企业信息化发展的因素很多，主要有资金、设备、技术、人员等。通过IP Qos技术丰富和加强计算机网络的功能，增加系统应用 附加值，提升网络管理性能，将对企业的信息化建设起到推波助澜的作用。如对 企业而言，广域电信链路在整个IT开支中占有相当比例，企业均希望在控制广 域链路服务成本的同时利用该链路提供尽可能多的应用服务。QoS技术为这一难 题提供了解决方案，通过IP Qos的设计，能够用最小的带宽满足

5、客户的服务需 求。二、IP QoS （服务质量）对企业网业务应用的优化2.1 IP QoS的应用基础三网合一（语音、数据、视频的融合）是企业网络发展的必然趋势，在计算 机网络中通过QoS设计，区分多媒体应用、数据应用对带宽、延时、抖动的不 同需求，从而提高网络系统的利用率。实施QoS对网络设备的资源消耗较大， 对CPU的处理能力有一定要求，需要足够容量的Flash、Dram及相应的软件版 本，以思科设备为例，至少需要2600系列以上的设备、64M（Flash）/128M（Dram）、 12.0以上并具有QoS特征的IOS版本。实施QoS，并不是将QoS技术简单罗列， 而是对网络应用、设备性能、

6、路由协议等多方面进行综合考虑，通过QoS设计 优化网络结构从而提升网络系统的整体性能。在需要进行QoS设计的思科路由设备上，均需要启动IP CEF，在三层交换 机上需启mls qos。CEF（Cisco Express Forwarding）是适于IP信息包的非缓存交换 模式。以前，Cisco路由器的所有交换模式（除ProcessSwitching）都是基于缓存 器的。在基于缓存器的交换模式中，信息流的第一个信息包被送到处理级，在那 里，它的目的地址对照路由选择表获得转发信息，然后建立一个带有相应的发送 信息的路由缓存条目，这样，根据该路由缓存，同一个信息流后面的信息包就可 以得到快速地发送。

7、基于高速缓存的方案对于大多数网络来说绰绰有余。然而， 当今网络业务的超大流量和不断变化的业务混合有时达到了路由缓存的极限。在 这种情况下，路由器则要耗费比重建路由缓存条目更多的CPU。有了 CEF后， 发送信息库（FIB）代替了路由缓存条目，FIB是基于整个路由选择表的，这样 消除了路由缓存维护时的每一个信息流的花费，此外，由于没有缓存充满和重建的问题，网络性能因而不会受到业务混合的影响。2.2 IP QoS的设计视频应用普通用户组语音应用如上图所示，这是一个典型的企业网络应用拓扑结构图，站点A为企业总 部，站点B、C为分支机构，三个站点通过帧中继网络实现互联，同时三个站点 均通过站点A访问I

8、nternet。在这里，涉及的应用有语音、视频、数据，其中数 据应用又分为高优先组、普通用户组。在设计QoS之前，首先要对路由协议进 行规划，以排除无规则路由和环路路由，其次对广域链路需作定期跟踪和检测， 以排除线路故障对网络系统造成的影响。2.2.1对企业网数据、语音、视频应用的分析语音：利用帧中继网络进行三点之间的语音通信和传真收发。话音编码可采 用 G.729 （默认）、G.723、G.711。对每路语音，G.711 占用 64kbps 带宽，G.729 占用 8kbps，G.723 占用 5.3/6.3kbps。同时，G.711 产生 40ms 时延，其中 16ms 用于采样，16ms

9、用于抖动的缓冲，8ms用于回声抑制；而G.729产生75ms时延; G.723 产生 137.5ms 时延。语音通信与传真对广域链路传输质量的要求是不同的，对语音通信而言，低 于200ms的时延和5%的丢包率，是可接受的范围；时延在200-400ms，丢包率 在5-10%之间时，是一个边缘范围，可满足部分用户的要求；当时延超过400ms, 丢包率超过10%时，则不能满足语音会话的需求。传真的要求相对严格一些，低 于200ms的时延和2%的丢包率，是可接受的范围；时延在200-300ms，丢包率 在2-4%之间时，是一个边缘范围，可满足部分传真机的要求；当时延超过300ms， 丢包率超过4%时，

10、则不能满足传真的要求。视频：相比语音，视频会议能使人们更有效的交流，方便在企业内部召开远 程内部会议。以站点A （公司总部）为主会场，站点B、C作为分会场开展多点 会议，需要总部MCU和站点B、C两地的终端配合完成。视频会议系统基于H.320 和H.323协议标准，视频编码格式可采用MPEG1/2/4或H.261/H.263,速率在15 帧/秒一30帧/秒之间，所需带宽在64kbps2Mbps之间。数据：可分为Internet应用和内部办公应用。在Internet应用中分为高优先 组、普通用户组，对一些特定的应用有限时、限速的要求。对内部办公应用，需 考虑内部用户和外部VPN用户对WEB、EM

11、AIL等服务器的访问需求。2.2.2对企业网数据、语音、视频应用的设计对数据应用进行的QoS设计：1、在站点A用PBR （基于策略的路由）针对高优先组、普通用户组设置不 同的TOS或DSCP值。在站点A、B、C用防控列表匹配出一些对网络带宽资源 消耗较大的应用如BT并对此进行限时限速，对病毒端口进行禁止。2、针对站点 A 的 Internet 出口，采用 MQC （modular qos cli）结合 WRED （拥塞避免机制）、NBAR （基于网络的应用识别）、class-based WFQ （基于类的WFQ）、policing （策略）对出口带宽进行优化。具体如下：Class-map:分为

12、优先class普 class。优先class中匹配TOS或DSCP值 较高的数据包，采用NBAR匹配的实时性较高的应用和一些特定的网站；普通 class中匹配TOS或DSCP值较低的数据包，采用NBAR匹配的实时性不强的应 用和一些特定的网站；Policy-map:针对上述两个 class，采取 CBWFQ、WRED、policing 等 QoS技术合理分配带宽、选择WRED中的指数加权因子，确保优先class相比普通class 能获得高带宽、低延时、低丢包率。Service-policy output policy-map :将 Policy-map 应用至0 Internet 出口。在In

13、ternet入口，采用Input CAR策略，可对具体应用进行流量整形。对多媒体应用进行QoS实施：多媒体应用包括语音和视频，他们共同的特点是对时延、抖动敏感，本网络 多媒体应用是以帧中继为广域环境。为了减少数据传输对多媒体应用的影响，必 须在三个站点进行一系列的QoS设计。对于视频，在三层交换机与视频设备直连的端口上用MQC （modular qos cli） 结合packet marking （包标记）、policing （策略）对视频应用赋予较高的TOS或 DSCP值和相应的带宽，在三层交换机与上连路由器的端口通过PQ与wrr-queue （weighted round robin ）确

14、保视频应用的优先权。在三个站点用MQC （modular qos cli）结合LLQ为视频、语音应用分配不 同的优先保障带宽。在帧中继的环境中设置流量整形（FRTS），对大数据包进行 分割，以将串行延时控制在20ms内，从而将多媒体应用的延时控制在应用可接 受的范围。同时在流量整形（FRTS）中调用上述MQC设置，最终将流量整形 （FRTS）应用到帧中继的具体PVC上。采用头压缩技术进一步减小语音数据包 的开销，VoIP包通常携带20个字节的有效载荷，而IP头需要40个字节。这意 味着语音包带宽中有三分之二属额外开销。采用实时协议（RTP）可以将IP头 压缩至少于4个字节，大大节省了带宽，减少

15、了语音包的延迟。三、IP QoS （服务质量）对企业网安全加固的提升网络安全体系建设，并不是一些安全设备的简单堆砌，安全技术必须以一种 相互协调的方式阻止攻击，以更好地控制网络安全和应用。以改善网络系统性能 而著称的QoS技术，在网络安全体系建设中也发挥着其不可估量的作用。各种类型的网络攻击、病毒、蠕虫等给计算机网络的安全带来了极大的危害， 除了通过网络安全设计、网络安全管理等手段外，实施QoS技术也是一项重要 的措施。DoS攻击是企业网最常见的网络攻击之一，它可分为三类，smurf、DDoS 和TCP SYN。前两种属于泛洪攻击，旨在消耗可用带宽；后者是传输泛洪攻击， 旨在消耗主机资源。CA

16、R （policing）是一种用来减少泛洪攻击的QoS技术，它采用令牌桶的工作方式。令牌桶表示令牌经过路由器时所需的流量。令牌在承诺 速率下仅对有限的流量可用。如果流量总是以承诺速率发送，则总是要使用令牌 来传输流量。如果速率降到承诺速率以下，这些令牌会停留在令牌桶中。此令牌 桶的深度等于CAR中定义的突发速率。如果流量因某种原因已降到承诺速率以 下，令牌桶就会装满。如果流量在很短的时间突然超过承诺速率，桶中额外的令 牌就会允许流量通过。当令牌桶完全耗尽时，路由器就会以扩展的突发速率借出 令牌。如果扩展突发的令牌耗尽，流量就会被丢弃。当流量速率低于承诺速率时， 在将令牌放入到令牌桶之前，会首先

17、用于偿还借出的扩展突发。通过CAR（policing）对smurf、DDoS和TCP SYN分别进行限速，值得注意的是由于TCP SYN是采用三次握手的TCP协议，单纯使用CAR（policing）还不能有效识别 出攻击，可与TCP拦截技术共同进行判断和实施。为了解决企业远程办公用户、移动人员对企业内部信息的访问，VPN技术 应运而生。为了保障VPN中对延时、带宽敏感的多媒体应用，同时也为了避免 某个VPN用户过度消耗带宽资源，实施QoS技术是一种行之有效的方法。在IP 报头中复制服务类型（TOS）位到IPsec隧道模式的出去报头中。这允许在IPsec 加密之前已经分类的流量与在IPsec端点之间的IPsec中IP报头上具有相同的标 记。简单地说，就是在IPsec处理之前对数据包进行QoS预分类。当IPsec数据 包到达企业网络时，可根据预先设置的IP报头中TOS值实施CB-WFQ、CB-LLQ、 CB-Policing、CB-shaping。企业用户对某些网站和应用的访问可能会对网络安全带来危害，采用QoS 技术中NBAR对这些网站和应用定位后，结合CB-WFQ、CB-Policing进行限速 或禁止，从一定程度上减轻了这些网站和应用对网络安全所造成的危害。四、总结QoS是提升网络性能的一种机制，是用来解决网络延迟和阻塞等问题的一种 技