【文章內(nèi)容簡介】 線路的連接變得簡單，從而大大提高可靠性與易維護(hù)性。. 劃分VLAN的方法 VLAN，還能實現(xiàn)端口之間的隔離。我們可以使用E系列支持的PVLAN（primaryvlan）這個特性，一方面實現(xiàn)用戶之間的隔離，另一方面可以為三層交換機(jī)節(jié)省VLAN資源。E系列可以屏蔽下面的VLAN劃分，僅向三層交換機(jī)提供一個VLAN信息，在邊緣交換機(jī)實現(xiàn)了端口可以同時屬于多個Vlan；如圖所示：其中端口1為uplink端口，端口2，3，4為接入端口；Vlan 1：包含端口：1，2，3，4，5Vlan 2：包含端口：1，2Vlan 3：包含端口：1，3，4Vlan 4：包含端口：1，5設(shè)計中采用了幾個secondary vlan包含在一個primary VLAN中的方式，給用戶提供了靈活的配置方式。如果用戶希望實現(xiàn)二層報文的隔離，可以采用了為每個用戶分配一個secondary vlan的方式，每個vlan中只包含用戶連接的port和uplink port；如果希望實現(xiàn)用戶之間二層報文的互通，可以將用戶連接的端口劃入同一個VLAN中；同時創(chuàng)建primary vlan，該vlan包含所有secondary vlan中包含的端口和uplink端口，這樣對上層交換機(jī)來說，可以認(rèn)為下層交換機(jī)中只有一個primary vlan，用來標(biāo)識設(shè)備，而不必關(guān)心primary VLAN中的端口實際所屬的VLAN，簡化了配置，節(jié)省了VLAN資源。primary ，包括與其它交換機(jī)相連的uplink口。每個 port的PVID就是它所屬secondary vlan的ID；uplink端口的PVID是primary vlan的ID；我們建議在接入交換機(jī)上根據(jù)各個部門之間的邏輯關(guān)系進(jìn)行靈活的VLAN劃分。可以讓一個樓層對應(yīng)于一個PVLAN，樓層內(nèi)的不同部門分屬不同的Sencondary VLAN。這種劃分方式中，可以對用戶能實現(xiàn)動態(tài)的VLAN+MAC+IP綁定，可對用戶發(fā)動的偽造攻擊報文進(jìn)行合法性檢查和過濾，具有一定的網(wǎng)絡(luò)安全性保障。不同VLAN間的互訪，必須經(jīng)過三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。. VLAN規(guī)劃我們建議按不同的業(yè)務(wù)使用主體來規(guī)劃整個禹城人民醫(yī)院的VLAN資源。如：用戶宿舍用戶宿舍教師、校管理人員等。為了減小廣播域，建議VLAN終結(jié)在匯聚層的三層交換機(jī)上，每個VLAN內(nèi)的主機(jī)數(shù)量原則上不要超過250臺，建議每個VLAN內(nèi)的PC機(jī)數(shù)量控制在50臺以內(nèi)。VLAN的劃分可以依據(jù)不同的業(yè)務(wù)部門進(jìn)行也可以依據(jù)用戶所處網(wǎng)絡(luò)的物理結(jié)構(gòu)進(jìn)行，后者主要是從網(wǎng)絡(luò)性能角度出發(fā)，而前者還兼顧了網(wǎng)絡(luò)安全性可控性的需要。根據(jù)實際業(yè)務(wù)部門辦公環(huán)境的分布情況來看，在大部分情況下，兩者實現(xiàn)了重合，而對于少數(shù)由于辦公地點不同，隔離在不同匯集點的相同業(yè)務(wù)部門，我們則推薦第一種方式。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動態(tài)的。靜態(tài)VLAN：形成靜態(tài)VLAN過程是將端口強(qiáng)制性地分配給VLAN的過程。確定哪些端口屬于哪些特定的VLAN，然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的一種最通用的方法。對于用戶宿舍，教師辦公等用戶相對集中的區(qū)域，建議采用這種部署方式，將VLAN部署在用戶對應(yīng)的匯聚交換機(jī)端口上。動態(tài)VLAN：我們知道，VLAN常常被規(guī)劃用于對“資源訪問權(quán)限”的分組，不同的VLAN具有不同的訪問權(quán)限，每個VLAN內(nèi)有一個IP地址網(wǎng)段，不同的VLAN/IP地址段的用戶，具有不同的訪問資源的權(quán)限。用戶權(quán)限數(shù)據(jù)一般存儲在CAMS或接入認(rèn)證系統(tǒng)UAM（后臺綜合訪問管理服務(wù)器）中，CAMS根據(jù)用戶端的權(quán)限歸類，在認(rèn)證通過之后向二層交換機(jī)作動態(tài)的VLAN ID下發(fā)配置。此時，二層交換機(jī)要支持VLAN的動態(tài)配置功能（H3C 全系列交換機(jī)支持）。從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，我們建議在進(jìn)行具體VLAN規(guī)劃時，同一個廣播域內(nèi)（一個VLAN）的通信主機(jī)不要超過250臺，最好控制在50臺以內(nèi)，對于主機(jī)數(shù)量超過50的業(yè)務(wù)部門，我們通過二層隔離，三層交換的方式來解決。管理VLAN：作為特殊VLAN 的典型，建議保留VLAN1作為管理VLAN，管理VLAN覆蓋到全網(wǎng)的每一臺交換機(jī)，但在第三層接口上，需要與其他業(yè)務(wù)VLAN進(jìn)行有效的隔離。網(wǎng)管工作站建議另外設(shè)置一個VLAN，例如VLAN ID=4000,VLAN4000與VLAN1在第三層上相通，同時，部分業(yè)務(wù)VLAN可以訪問VLAN4000，從而實現(xiàn)網(wǎng)管的分布式監(jiān)控布局。VLAN1和VLAN4000的第三層路由接口處設(shè)置訪問控制列表，只有特定的主機(jī)或者只有網(wǎng)管VLAN可以直接訪問每一臺設(shè)備，其他均在過濾之列。對于服務(wù)器建議單獨設(shè)置在一個VLAN中。業(yè)務(wù)VLAN可以按照部門的類別進(jìn)行劃分，每個部門劃分一個VLAN，部門人數(shù)超過50名的應(yīng)該劃分為兩個VLAN，以保證交換的性能，業(yè)務(wù)VLAN的命名建議采用VLAN100作為第一個業(yè)務(wù)VLAN，然后按照數(shù)字序列進(jìn)行劃分，一直到VLAN123。本次建議在禹城人民醫(yī)院網(wǎng)絡(luò)中采用靜態(tài)VLAN劃分方案來部署。. 組播業(yè)務(wù)H3C S7510E 、S5500、E系列通過標(biāo)準(zhǔn)的組播協(xié)議完成用戶的組播管理，S7510E 、S5500均可以支持豐富的組播協(xié)議，包括ICMP、PIM－SM、PIM－DM、MSDP等組播協(xié)議，可支持豐富的業(yè)務(wù)，包括視頻點播、流媒體點播，可支持各種流媒體終端以及組播源的種類。并可以并通過HGMP協(xié)議將各樓道交換機(jī)也納入到組播實現(xiàn)中。由S7510E 、S5500完成對其下掛的匯聚交換機(jī)以及樓道交換機(jī)的組播用戶進(jìn)行報文復(fù)制和發(fā)送。通過這種機(jī)制，使得整個網(wǎng)絡(luò)的流量做到最優(yōu)，有效的保證了視頻監(jiān)控、視頻教學(xué)、會議電視、視頻點播等視頻業(yè)務(wù)的開展，通過組播實現(xiàn)的視頻業(yè)務(wù)有：視頻監(jiān)控：通過IP線路將前端采集的視頻監(jiān)控信息傳遞到中心的存儲設(shè)備和監(jiān)控顯示平面。視頻教學(xué)：使用視頻和通訊設(shè)備實現(xiàn)一點對多點或點對點的交互式異地遠(yuǎn)端教學(xué)，實現(xiàn)用戶和教師的實時交流，用戶還可隨時進(jìn)行學(xué)習(xí)點播和查詢。會議電視：利用網(wǎng)絡(luò)和數(shù)字視像技術(shù)實現(xiàn)異地會議的交互傳輸和控制。視頻點播：交互式電視的一部分，它使用戶可以隨意選擇所需的視訊節(jié)目，并可隨意地控制節(jié)目播出（如快進(jìn)、快倒、暫停等）。. QoS設(shè)計為保證禹城人民醫(yī)院網(wǎng)絡(luò)各種業(yè)務(wù)的正常及時處理，需要對不同業(yè)務(wù)實施不同的QoS策略。對于關(guān)鍵的核心業(yè)務(wù)的部分，需要優(yōu)先保證這些業(yè)務(wù)的時延和帶寬；而對于其它業(yè)務(wù)來說，也應(yīng)當(dāng)有相應(yīng)的QoS策略來提供不同的服務(wù)質(zhì)量保證。針對禹城人民醫(yī)院網(wǎng)絡(luò)的應(yīng)用環(huán)境，在邊緣設(shè)備可以采用IP QoS復(fù)雜流分類技術(shù)對不同業(yè)務(wù)數(shù)據(jù)報文設(shè)置不同的DSCP/TOS標(biāo)記，并根據(jù)需要采用流量監(jiān)管技術(shù)（CAR）對帶寬進(jìn)行限制；攜帶DSCP/TOS標(biāo)記的業(yè)務(wù)報文在核心層網(wǎng)絡(luò)的廣域網(wǎng)路由器上，根據(jù)DSCP/TOS標(biāo)識進(jìn)行簡單流分類，并根據(jù)不同業(yè)務(wù)設(shè)置的DSCP/TOS標(biāo)記，配置相應(yīng)的隊列以及隊列帶寬保證，由廣域網(wǎng)路由器根據(jù)數(shù)據(jù)流情況采用高效的隊列管理技術(shù)（WRED/SARED）以及隊列調(diào)度技術(shù)（PQ/LLQ）對用戶的需求做保證。建議在規(guī)劃山東地稅系統(tǒng)網(wǎng)絡(luò)QoS設(shè)計時，遵循以下的原則：l 正常情況下QoS是通過帶寬來保證的，帶寬利用率達(dá)到60％可考慮擴(kuò)容l 網(wǎng)絡(luò)設(shè)備的容量不成為瓶頸l 網(wǎng)絡(luò)故障或突發(fā)流量情況下QoS策略生效l 任何時候都優(yōu)先保證關(guān)鍵的實時業(yè)務(wù). QoS體系結(jié)構(gòu)的選擇為了在IP網(wǎng)上提供QoS，IETF提出了許多服務(wù)模型和協(xié)議，其中比較突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。 IntServ模型要求網(wǎng)絡(luò)中的所有節(jié)點（包括核心節(jié)點）都記錄每個經(jīng)過的應(yīng)用流的資源預(yù)留狀態(tài)，需要通過IP包頭識別出所有的用戶應(yīng)用流（進(jìn)行MF分類），同時為每個經(jīng)過的應(yīng)用流設(shè)置單獨的內(nèi)部隊列以分別進(jìn)行監(jiān)管（Policing）、調(diào)度（Scheduling）、整形（Shaping）等操作。對于現(xiàn)在大型運營網(wǎng)絡(luò)中的節(jié)點，這種應(yīng)用流（活動的）的數(shù)量非常龐大，會遠(yuǎn)遠(yuǎn)超出節(jié)點設(shè)備所能夠處理的能力，而且可擴(kuò)展性差，僅適合在小規(guī)模網(wǎng)絡(luò)中使用。 DiffServ模型的基本原理是將網(wǎng)絡(luò)中的流量分成多個類，每個類接受不同的處理，尤其是網(wǎng)絡(luò)出現(xiàn)擁塞時不同的類會享受不同的優(yōu)先處理，從而得到不同的丟棄率、時延以及時延抖動。在DiffServ的體系結(jié)構(gòu)下，IETF已經(jīng)定義了EF（Expedite Forwarding）、AF1AF4（Assured Forwarding）、BE（Best Effort）等六種標(biāo)準(zhǔn)PHB（Perhop Behavior）及業(yè)務(wù)。此外，有些廠商實現(xiàn)了基于TOS的分類服務(wù)（COS），并且這類設(shè)備已經(jīng)應(yīng)用在一些現(xiàn)有的運營網(wǎng)絡(luò)。COS和DiffServ類似，不過比DiffServ更簡單，并且不象DiffServ那樣定義了一組標(biāo)準(zhǔn)的業(yè)務(wù)。DiffServ對聚合的業(yè)務(wù)類提供QoS保證，可擴(kuò)展性好，便于在大規(guī)模網(wǎng)絡(luò)中使用。本次工程推薦使用DeffServ機(jī)制實現(xiàn)QoS。DiffServ域?qū)⒃O(shè)備分為兩類，邊緣設(shè)備和核心設(shè)備，其中邊緣設(shè)備承擔(dān)了較多的工作，如流分類、標(biāo)記、帶寬限制、擁塞管理、擁塞避免、流量整形等。如果由單一設(shè)備全部處理，開銷較大，容易形成網(wǎng)絡(luò)瓶頸，因此需要將這些功能分布到不同的設(shè)備上去，如流分類功盡量在邊緣實現(xiàn)。DiffServ模型：基于DiffServ的QoS模型如圖所示：采用Diffserv/CoS的方法需要對所有的IP包在網(wǎng)絡(luò)邊緣或用戶側(cè)進(jìn)行流分類，打上Diffserv或CoS標(biāo)識。DS域內(nèi)的路由器根據(jù)優(yōu)先級進(jìn)行轉(zhuǎn)發(fā)，保證高優(yōu)先級業(yè)務(wù)的QoS要求。骨干網(wǎng)絡(luò)實施Diffserv/CoS，需要所有相關(guān)設(shè)備支持，特別對邊沿節(jié)點有很強(qiáng)QOS能力需求。. QoS的實現(xiàn)機(jī)制山東禹城人民醫(yī)院能夠?qū)崿F(xiàn)承載包括實時業(yè)務(wù)在內(nèi)的綜合業(yè)務(wù)的QoS特性，尤其對DiffServ提供了基于標(biāo)準(zhǔn)的完善支持，包括流分類、流量監(jiān)管（Policing）、流量整形（Shaping）、隊列管理、隊列調(diào)度（Scheduling）等，完整實現(xiàn)了標(biāo)準(zhǔn)中定義的EF、AF1AFBE等六組PHB及業(yè)務(wù)。內(nèi)部處理流程如下圖所示：l 流分類總的來說，允許根據(jù)報文頭中的最多192比特的控制域信息進(jìn)行流分類，具體可以包括下面描述的報文4層的控制信息域。首先輸入端口號可以作為重要的分類依據(jù)，它可以單獨使用，也可以結(jié)合報文的其他信息對流分類。二層的重要控制域就是源MAC地址。允許通過配置將報文的源MAC匯聚為MAC地址組，最大允許64源MAC地址組，源MAC地址組可以單獨或同其他域組合對用戶流進(jìn)行分類。此外VLAN ID也是參與流分類的重要屬性，只不過是以子接口的形式隱式參與。三層可以參與分類的控制域包括：源和目的IP地址、TOS/DSCP字節(jié)、Protocol（協(xié)議ID）、分段標(biāo)志、ICMP報文類型。四層的源和目的端口號、TCP SYN標(biāo)志也是允許參與流分類的重要信息域。l 流量監(jiān)管流量監(jiān)管也就是我們通常所說的CAR，是流分類之后的動作之一。 通過CAR，運營商可以限制從網(wǎng)絡(luò)邊沿進(jìn)入的各類業(yè)務(wù)的最大流量，控制網(wǎng)絡(luò)整體資源的使用，從而保證網(wǎng)絡(luò)整體的QoS。運營商合用之間都簽有服務(wù)水平協(xié)議（SLA） ，其中包含每種業(yè)務(wù)流的承諾速率、峰值速率、承諾突發(fā)流量、峰值突發(fā)流量等流量參數(shù)，對超出SLA約定的流量報文可指定給予pass（通過）、drop（直接丟棄）或markdown（降級）等處理，此處降級是指提高丟棄的可能性（標(biāo)記為丟棄優(yōu)先級降低），降級報文在網(wǎng)絡(luò)擁塞時將被優(yōu)先丟棄，從而保證在SLA約定范圍之內(nèi)的報文享受到SLA預(yù)定的服務(wù)。RFC定義了四種標(biāo)準(zhǔn)流量監(jiān)管算法（Color aware single rate three color 、Color aware two rate three color、Color blind single rate three color 、Color blind two rate three color）。l DSCP標(biāo)記/重標(biāo)記標(biāo)記/重標(biāo)記是是流分類之后的動作之一。所謂標(biāo)記就是根據(jù)SLA以及流分類的結(jié)果對業(yè)務(wù)流打上類別標(biāo)記。目前RFC定義了六類標(biāo)準(zhǔn)業(yè)務(wù)即：EF、AF1AFBE，并且通過定義各類業(yè)務(wù)的PHB （Perhop Behavior）明確了這六類業(yè)務(wù)的服務(wù)實現(xiàn)要求，即設(shè)備處理各類業(yè)務(wù)的具體實現(xiàn)要求。從業(yè)務(wù)的外在表現(xiàn)看，基本上可認(rèn)為EF流要求低時延、低抖動、低丟包率，對應(yīng)于實際應(yīng)用中的Video、語音、會議電視等實時業(yè)務(wù)；AF流要求較低的延遲、 低丟包率、 高可靠性，對應(yīng)于數(shù)據(jù)可靠性要求高的業(yè)務(wù)如電子商務(wù)、企業(yè)VPN等；對BE流則不保證最低信息速率和時延，對應(yīng)于傳統(tǒng)Internet業(yè)務(wù)。在某些情況下需要重標(biāo)記DSCP。例如在Ingress點業(yè)務(wù)流量進(jìn)入以前已經(jīng)有了DSCP標(biāo)記（如上游域是DSCP域的情形，或者用戶自己進(jìn)行了DSCP的標(biāo)記），但是根據(jù)SLA，又需要對DSCP進(jìn)行重新標(biāo)記。完全支持RFC定義的標(biāo)準(zhǔn)的DSCP DS CODE，還支持現(xiàn)在有些網(wǎng)上可能使用的COS。COS是以TOS的前三比特作為業(yè)務(wù)區(qū)分點，總共可分8個業(yè)務(wù)等級，對每一種業(yè)務(wù)等級均有特定的定義。l 隊列管理隊列管理的主要目的就是通過合理控制Buffer的使用，對可能出現(xiàn)的擁塞進(jìn)行控制。其常用的方法是采用RED/WRED算法，在Buffer的使用率超過一定門限后對部分級別較低的報文進(jìn)行早期丟棄，以避免在擁塞時直接進(jìn)行末尾丟棄引起著名的TCP全局同步問題，同時保護(hù)級別較高的業(yè)務(wù)不受擁塞的影響。WRED算法可支持多達(dá)8個優(yōu)先級4種丟棄級別的業(yè)務(wù)流類別，對每種優(yōu)先級的WRED曲線均可單獨配置。在算法精度上，不僅能及時“感知”網(wǎng)絡(luò)的擁塞狀況，同時可避免網(wǎng)絡(luò)的振蕩，由此對各種業(yè)務(wù)流以及同一業(yè)務(wù)流內(nèi)部不同的丟棄級別報文進(jìn)行不同統(tǒng)計概率的丟棄，可及時有效的避免和控制網(wǎng)絡(luò)擁塞。WRED算法由于僅僅根據(jù)當(dāng)前隊列長度計算報文的丟棄率，會導(dǎo)致不適當(dāng)?shù)膩G棄從而引起網(wǎng)絡(luò)流量的劇烈波動。由于WRED算法的這一局限，在突發(fā)度較高的網(wǎng)絡(luò)