队列调度: 在标记结束后,马上要进行队列调度,队列调度允许较高优先级的业务可以在不受较低优先级业务的影响下通过交换机,减少对诸如话音或视频等对时间敏感业务的延迟事故。网络设备通常有以下2种排队方式。严格优先队列(SPQ) 这是一种最简单的排队方式,它首先为最高优先级的队列进行服务,直到该队列为空,然后为下一个次高优先级队列服务,优先级调度可能会饿死低优先级业务。加权循环(WRR) 这种方法根据一定的内部DSCP值分配优先级队列。然后按照一定的加权算法循环处理各种队列里的数据,较低优先级的业务并没有被完全阻塞。这两种队列调度方式应用在不同的业务场合。通常队列调度在纷发层和接入层都要采用。
拥塞避免: 拥塞规避技术用于监视网络流量,是一种前向的网络拥塞避免机制,不同于拥塞管理是在拥塞发生后再去采取措施以控制阻塞。采用拥塞规避调度算法WRED(Weighted Random Early Detection)的网络设备。可以让网络处在拥塞的时候平滑TCP流量,取得最大化网络时的吞吐量及使用效率,最大可能减少数据包的丢失和延迟。 QOS具体部署过程: 根据台州电信宽带城域网的特点,从城域汇接层以上的三层交换机/路由器上应该部署队列调度和拥塞避免机制,接入层的交换机上则应该部署QOS体系上的所有机制,由于台州电信的宽带城域网具有清晰的树型结构,因此部署QOS的层次十分的清晰,需要考虑的是服务质量等级的区分规划,可以根据具体的情况划分出不同的业务类型。以下是具体的部署过程: 业务规划 采用合理的业务规划是QOS部署取得成功的关键,针对台州电信的业务需求,建议采用以下的业务/服务等级规划,具体的规划还应该参考中国电信集团公司相关标准: 服务等级 业务性质 业务 DSCP IP EXP 队列类型
1 关键业务 NGN语音、管理控制信息 111000 111 Low lantencyQueue[1 Low lantency Queue1:低时延队列,通常通过严格优先级队列来实现]1 2 CN2金接入 新视通、全球眼、组播业务、IPTV、等视讯业务 110000 110 Low lantencyQueue 3 黄金级别业务 根据SLA协议 101000 101 Round -robinQueue
4 白银级别业务 根据SLA协议 100000 100 5 铜级业务 根据SLA协议 011000 011 6 特定需求接入 未定 010000 010 7 特定需求业务 未定 001000 001 8 普通业务 普通互联网业务 000000 000 BE Queue
在台州电信宽带城域网中所有的交换机/路由器上根据上述的业务等级规定,设置队列调度原则和拥塞管理机制,DSCP值56和48的数据流量采用严格优先队列,其他的DSCP值映射入相应的WFQ[1 WFQ:加权平均队列是一种按照分配权值来进行数据包纷发的队列]1队列,拥塞管理统一采用WRED[2 WRED:随机早检测,是一种使流量更加平滑的拥塞避免机制]2策略,并在相应的上联端口上应用队列调度和拥塞管理。 在接入层交换机/路由器上根据具体的用户特征,定义分类和标记,将特征流转换为上述服务等级的内部DSCP标记,为转发层的交换机提供转发依据。在接入层交换机/路由器上开启不可信任特征,防止不良用户利用漏洞优先转发数据。 在所有的城域网区域汇接层以上的交换机/路由器上打开可信任标记配置,相信接入层交换机送出的标记信息,可选的在接入网侧交换机上配置速率的限制和整形选项。 QOS部署后带来的效果: 通过上述关于QOS的讨论和部署方案,使台州电信的宽带城域网对于不同种类的业务有了区分性服务,使的一些关键的应用有了服务质量保证,有利于网络朝着综合性接入的目标发展。 网络安全在台州宽带城域网中的应用: 城域网安全的必要性: 通过上面几个步骤的部署,一个支持综合业务接入的平台基本上形成。但在这个过程中我们必须意识到,上述为了支持视频、服务质量等级业务而进行的一系列配置,有可能适得其反,因为额外的服务可能带来额外的处理开销,毕竟对于一个城域网的高速转发设备来说,线速的转发才是最重要的。即使没有组播、QOS等相应的服务配置,互联网上错综复杂的数据流,也会导致城域网设备处于瘫痪状态。在城域网过往的维护经历中,我们有过惨痛的经验教训,城域网的安全应该被当成一种非常重要的问题来看待。 城域网安全的主要方面: 城域网的安全包含很多的方面,对于一个网络运营商来说,着重点不是盯住有多少非法的网络流量,而是有多少非法流量被导向网络设备的CPU。网络拓扑的合理性、口令的强健性、特定用户的登陆限制和命中非法流量的效率等都是城域网安全的关键。下面从各个方面具体讨论城域网安全相关的各个方面: 首先,要有合理的网络拓扑,尽可能的让三层网络设备接近用户,通过三层转发可以减少如广播泛滥和二层网络环路等不稳定的因素。采用比较稳定的IGP路由协议(如IS-IS),减少路由的震荡。 在所有的端口上关闭IP-REDIRECTED,IP-UNREACHABLE和ARP-AGENT,上述的IP接口选项,在有如暴力攻击的时候容易导致CPU利用率急剧上升,使网络处在瘫痪状态。 尽量在ACL上面不采用log选项,采用log选项会导致CPU利用率升高,使网络处在不稳定的状态中。 能使用三层终结的网络接口尽量采用三层端口,减少VLAN端口的使用率。 在TELNET和SSH上采用访问列表限制登陆的用户来源,同样对于有SNMP管理需要的设备,同样采用访问列表控制,提高宽带城域网的安全性。 在有可能的情况下,采用STORM CONTROL(广播风暴抑制),减少到CPU的网络风暴 在6509上,打开RPF(反向路径查找),减少无效源IP的转发,对于防范病毒攻击有明显的效果,但打开RPF,会使CPU有少量的上升情况,应根据实际情况加以选择。 对于二层SPANNING-TREE协议,不宜让同一台设备上,成为数目大于500多个VLAN的生成树的根,否则有可能导致网络的不稳定。 定期更换所有设备的口令,口令尽量按照数字、字母和特殊字符混合排列而成,长度最好不小于7个字符,登陆的方式最好采用SSH协议。 做好日常的流量分析,有助于及早发现问题,解决问题。 不建议在重要设备上放置IDS,IDS这种设备远没有想象中那么好,他也是带来网络故障的重要源泉。
台州宽带城域网优相关的优化模拟配置: 下面按上面论述的情况在模拟测试网络中进行IS-IS,组播和QOS相关部署,相关的网络安全设置也在模拟配置中有所体现,测试网络的拓扑基本上符合台州电信宽带城域网拓扑,由于不可能有台州宽带城域网那么大的测试网络,也不可能有空闲的JUNIPER T320和CISCO 6509设备被放入测试网络,所以模拟网络只是采用了宽带城域网中具有代表性的拓扑结构,并采用两台4506分别代替6509和核心T320设备。具体得到的网络拓扑如下所示: 具体的配置相关说明: 为了更好理解附件一中的配置,关于上述城域网中的各种优化选项,如组播, IS-IS和QOS的相关部署原则,如下做一一说明: 上述的测试网络中4506-C和4506-D相当于城域网中的核心设备,4506-B和4506-E相当网络中的城域汇接层设备,4506-A和4506-F相当于区域汇接和接入设备,所有4506交换机的版本是IOS Version 12.1(13)EW2。 附件一配置中的所有OSPF路由相关配置,在配置完成后可以删除,在这里写上这些语句,只是为了模拟OSPF到IS-IS IGP 路由的迁移。 在QOS的配置中,按照上面的业务规划表,为组播业务流量开启了服务质量保证,在接入层进行了分类、标记,为所有落在339.0.0.0网段的组播流设置DSCP值48,缺省的条件下,48的DSCP值落入以太接口的发送队列3中,为了实时转出业务,在所有发送队列3上开启了严格优先权队列。在汇接层上,在所有的入端口上设置DSCP可信任,这样就可以利用接入层的标记,在汇接层上进行直接转发。 在组播业务的相关配置,4506-C和4506-D被配置成组播树根的侯选,为了考虑和T320的兼容性,设置了开放标准的自举RP组播协议,4506-C和4506-D同时被设置成会聚自举侯选,按照上面的配置,4506-D将成为会聚自举节点和组播树的根,因为他的loopback地址比4506-C的大,在故障的时候,4506-C将执行4506-D的功能,保证了故障冗余。 在所有的三层端口中,为了提高安全性,关闭了IP-REDIRECTS,IP-UNREACHABLE和ARP-AGENT,并设置了访问列表,限制了只有两个用户网段的主机才能通过TELNET和SNMP管理设备。 具体配置:见附件一
总结: 通过上面的论述和模拟实施方案,希望可以从理论上为将来台州电信的城域网建设提供一个参考,使台州电信的宽带城域网成为一个能承载电信多元化业务、满足不同客户需求、具备优良扩展性和稳定性的综合业务支撑平台。本文中所涉及的各种技术的部署方案是针对台州宽带城域网的网络结构和业务特性,结合集团公司“城域网优化”的理解而进行的一次探讨,由于在现网中上述应用基本上还处于探索阶段,并没有投入商业运行的先例,所以本文中的相关讨论只是基于本人的一些网络维护经验和对城域网技术层面的理解,论点的提出是在比较理想的状况下进行的,对城域网错综复杂的实际网络环境,考虑上可能有所欠缺,具有不小的局限性。 参考书目: TCP/IP路由技术(卷1): 人民邮电出版社 TCP/IP路由技术(卷2): 人民邮电出版社 CISCO Catalyst Qos----园区网中的服务质量: 人民邮电出版社 IS-IS网络设计解决方案: 人民邮电出版社 组建可扩展的CISCO互联网络: 人民邮电出版社 组建CISCO多层交换网络: 人民邮电出版社 域间组播解决方案: 人民邮电出版社 CISCO 高级路由技术: 人民邮电出版社 OSPF设计向导: 人民邮电出版社 CISCO 网络安全管理: SYNGRESS出版社
首页 上一页 1 2 3 下一页 尾页 3/3/3
WORD格式全文下载链接(充值:元)
