政務外網部署QoS技術

QoS技術原理

QoS（Quality of Service，服 務質量）是網絡的一種安全機制，是用來解決網絡延遲和阻塞等問題的一種技術。QoS共有3種服務模型：盡力而為(Best-Effort)，綜合服務(IntServ)模型和區(qū)分服務(DifServ)模型。

Best-Effort是最簡單的服務模型，應用程序可以在任何時候，發(fā)出任意數(shù)量的報文，而且不需要事先獲得批準，也不需要通知網絡。Best-Effort服務對時延、可靠性等性能不提供任何保證?？捎糜谝话愕幕ヂ?lián)網業(yè)務，如電子郵件、HTTP等。

綜合服務(IntServ，Integrated Service)模型在發(fā)送報文前，需要向網絡申請?zhí)囟ǖ姆?。這個請求是通過信令(目前采用資源預留協(xié)議RSVP)來完成，應用程序先通知網絡發(fā)送報文的流量參數(shù)和所需的服務質量請求(如帶寬、時延等)，應用程序在收到網絡預留資源的確認信息后，才開始發(fā)送報文，發(fā)送報文被控制在流量參數(shù)規(guī)定的范圍內。

DiffServ模型是根據優(yōu)先級標記，對特定的行為集合(BA)使用逐跳轉發(fā)行為(PHB，Per-Hop Behavior)，通過擁塞管理機制、流量整形、流量監(jiān)管、擁塞避免等作相應的區(qū)別處理。

DiffServ除盡力而為服務外，還可以提供以下兩種服務：

第一，加速轉發(fā)(EF，Expedited Forwarding)：提供嚴格的優(yōu)先轉發(fā)服務。

第二，確保轉發(fā)(AF，Assured Forwarding)：提供傳送保證，并允許超額質量保證。

DifServ和IntServ兩種服務模型比較起來，IntServ是更為嚴格意義上的服務保證，在無法確保資源需求的情況下不建立傳送通道，但其對設備要求較高，兼容性較差；DiffServ是區(qū)分類型、無連接狀態(tài)的保障模式，有更好的靈活性和可擴展性。在目前政務網帶寬資源較為豐富、設備種類復雜的情況下，DiffServ是更適合的QoS服務模式。

省政務外網QoS部署方案

1.業(yè)務等級劃分和QoS策略

省電子政務外網是一個以IP為傳輸平臺的網絡，在這個網絡上除了一般的互聯(lián)網接人業(yè)務之外，還承載政府行業(yè)的重點應用系統(tǒng)向各地區(qū)延伸的多種業(yè)務、多種應用，這些業(yè)務對可靠性、時延、時延抖動等服務質量有不同需求?？梢愿鶕@些業(yè)務類型定義不同的業(yè)務優(yōu)先據，并分別使用不同的擁塞避免機制和QoS策略，如表1所示。

電子政務外網中將主要實現(xiàn)對不同數(shù)據流的分類和標記，其他QoS技術將主要應用于廣域網，主要進行了如下的考慮：

（1）分類和標記策略：在各功能區(qū)的接入層，可以根據不同Input端口、MAC地址、源/目的IP地址、IP協(xié)議或應用端口號，對不同應用數(shù)據流進行分類，并采用DSCP對數(shù)據包進行標記。

（2）隊列調度策略：在連接廣域網的路由器上設置相應的業(yè)務隊列（如 ：EF、AF4、AF3以及AF2隊列），采用CBQ（CBWFQ）、LLQ 等技術，控制打了不同優(yōu)先級標記的數(shù)據流能占用相應的網絡帶寬及優(yōu)先發(fā)送絕對保證的數(shù)據流。

圖1 政務外網QoS層次化部署模型

（3）擁塞避免策略：擁塞避免技術用于監(jiān)控網絡流量負載，力求在網絡瓶頸處避免網絡擁塞。采用尾丟棄和WRED技術對擁塞的流量進行閥值分配，對擁塞的流量根據事先分配的閥值隨機丟棄數(shù)據包，當擁塞超過閥值最大值時，采用尾丟棄，丟棄所有數(shù)據包。

（4）限速和整形：采用流量桶（CIR）技術對合同約定速率的業(yè)務在入接口上對其進行流量管制或整形，限制流量，對超出的流量進行降級標記或丟棄。

2.層次化部署QoS

為實現(xiàn)業(yè)務端到端的QoS，我們在省電子政務外網上的QoS設計需要考慮接入網和廣域網兩個層面，這兩個層面設備需要開啟的功能歸納如圖1所示。

（1）接入網QoS部署

由于業(yè)務單位內部局域網一般均為100/1000以太網組網，傳輸鏈路上一般不會阻塞，所以不考慮內部QoS的部署。政務網絡邊界接入交換機端口不信任最終用戶帶來的CoS值，按照表1的規(guī)劃主要實現(xiàn)業(yè)務的分類和預處理。

分類。當接收到數(shù)據包的時候，網絡設備中的分類器將根據IP包的包頭提供的信息來進行判定，有兩種方法：一種是讀取IPv4頭部的Tos字段中的信息；另一種方式是讀取IP頭部與某個特殊的應用相關的信息，如源IP地址，源端口號，目的IP地址，目的端口號和協(xié)議類型等。分類器根據這些信息對數(shù)據包進行分類。

表1 政務外網業(yè)務等級分類及相應的保障策略

預處理和排隊。在數(shù)據包被分類標記以后，節(jié)點根據預先設置好的信息與當時的狀況確定該數(shù)據包是要被監(jiān)管、整形，還是排入某個特定的隊列進行等待。流量監(jiān)管用于監(jiān)督進入網絡的某一流量的速率，使之不超出承諾的速率。流量整形則是一種主動調整流量輸出速率的措施，它對流量監(jiān)管中需要丟棄的數(shù)據包進行緩存，然后以恒定的速率發(fā)送出去。

（2）廣域網QoS部署

對于三層廣域網絡，一般采用DSCP來進行分類和標記。通過 LLQ、CBWFQ、WRED技術對重要業(yè)務進行擁塞管理和擁塞避免，對于IP專線業(yè)務，如果用戶合同約定速率小于接入端口速率，采用流量監(jiān)管策略(policing)，限定用戶的CIR值，并根據合同約定或根據網絡容量情況，設置合理的突發(fā)流量，在設備支持的情況下采用雙速率三色標記，對超過部分進行降級重標記。

標記。邊緣路由器使用IPv4報頭中的業(yè)務類型(ToS)字段，并將8位ToS字段重新命名，可將ToS字段映射到DSCP字段。通過該字段的標記，下行節(jié)點可獲取足夠的服務質量信息，以對到達該端口的數(shù)據包做出相應的“處理”，將他們正確地轉發(fā)給下一跳的路由器。

擁塞管理。采用CBQ（CBWFQ）+LLQ的方式，根據已經定義的DSCP標記，對不同的數(shù)據流分配不同的帶寬，對重要業(yè)務進行擁塞管理和擁塞避免。對于普通業(yè)務流量，如果用戶合同約定速率小于接入端口速率，采用流量監(jiān)管策略(policing)，限定用戶的CIR值，并根據合同約定或根據網絡容量情況，設置合理的突發(fā)流量，在設備支持的情況下采用雙速率三色標記，對超過部分進行降級重標記或丟棄，對超出的流量在出口處配置擁塞管理策略優(yōu)先丟棄。

部署QoS業(yè)務系統(tǒng)的運行情況

目前省電子政務外網承載了政府多項業(yè)務應用，包括高清視頻會議系統(tǒng)、IP語音電話等，針對政務部門不同業(yè)務系統(tǒng)的優(yōu)先級部署了相應的QoS策略，經長期運行觀測表明，業(yè)務系統(tǒng)運行實時性強、穩(wěn)定、可靠。具體應用效果如表2所示。

表2 已部署QoS業(yè)務系統(tǒng)運行情況