【文章內(nèi)容簡(jiǎn)介】 線路的連接變得簡(jiǎn)單，從而大大提高可靠性與易維護(hù)性。. 劃分VLAN的方法 VLAN，還能實(shí)現(xiàn)端口之間的隔離。我們可以使用E系列支持的PVLAN（primaryvlan）這個(gè)特性，一方面實(shí)現(xiàn)用戶之間的隔離，另一方面可以為三層交換機(jī)節(jié)省VLAN資源。E系列可以屏蔽下面的VLAN劃分，僅向三層交換機(jī)提供一個(gè)VLAN信息，在邊緣交換機(jī)實(shí)現(xiàn)了端口可以同時(shí)屬于多個(gè)Vlan；如圖所示：其中端口1為uplink端口，端口2，3，4為接入端口；Vlan 1：包含端口：1，2，3，4，5Vlan 2：包含端口：1，2Vlan 3：包含端口：1，3，4Vlan 4：包含端口：1，5設(shè)計(jì)中采用了幾個(gè)secondary vlan包含在一個(gè)primary VLAN中的方式，給用戶提供了靈活的配置方式。如果用戶希望實(shí)現(xiàn)二層報(bào)文的隔離，可以采用了為每個(gè)用戶分配一個(gè)secondary vlan的方式，每個(gè)vlan中只包含用戶連接的port和uplink port；如果希望實(shí)現(xiàn)用戶之間二層報(bào)文的互通，可以將用戶連接的端口劃入同一個(gè)VLAN中；同時(shí)創(chuàng)建primary vlan，該vlan包含所有secondary vlan中包含的端口和uplink端口，這樣對(duì)上層交換機(jī)來(lái)說(shuō)，可以認(rèn)為下層交換機(jī)中只有一個(gè)primary vlan，用來(lái)標(biāo)識(shí)設(shè)備，而不必關(guān)心primary VLAN中的端口實(shí)際所屬的VLAN，簡(jiǎn)化了配置，節(jié)省了VLAN資源。primary ，包括與其它交換機(jī)相連的uplink口。每個(gè) port的PVID就是它所屬secondary vlan的ID；uplink端口的PVID是primary vlan的ID；我們建議在接入交換機(jī)上根據(jù)各個(gè)部門之間的邏輯關(guān)系進(jìn)行靈活的VLAN劃分?？梢宰屢粋€(gè)樓層對(duì)應(yīng)于一個(gè)PVLAN，樓層內(nèi)的不同部門分屬不同的Sencondary VLAN。這種劃分方式中，可以對(duì)用戶能實(shí)現(xiàn)動(dòng)態(tài)的VLAN+MAC+IP綁定，可對(duì)用戶發(fā)動(dòng)的偽造攻擊報(bào)文進(jìn)行合法性檢查和過(guò)濾，具有一定的網(wǎng)絡(luò)安全性保障。不同VLAN間的互訪，必須經(jīng)過(guò)三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。. VLAN規(guī)劃我們建議按不同的業(yè)務(wù)使用主體來(lái)規(guī)劃整個(gè)禹城人民醫(yī)院的VLAN資源。如：用戶宿舍用戶宿舍教師、校管理人員等。為了減小廣播域，建議VLAN終結(jié)在匯聚層的三層交換機(jī)上，每個(gè)VLAN內(nèi)的主機(jī)數(shù)量原則上不要超過(guò)250臺(tái)，建議每個(gè)VLAN內(nèi)的PC機(jī)數(shù)量控制在50臺(tái)以內(nèi)。VLAN的劃分可以依據(jù)不同的業(yè)務(wù)部門進(jìn)行也可以依據(jù)用戶所處網(wǎng)絡(luò)的物理結(jié)構(gòu)進(jìn)行，后者主要是從網(wǎng)絡(luò)性能角度出發(fā)，而前者還兼顧了網(wǎng)絡(luò)安全性可控性的需要。根據(jù)實(shí)際業(yè)務(wù)部門辦公環(huán)境的分布情況來(lái)看，在大部分情況下，兩者實(shí)現(xiàn)了重合，而對(duì)于少數(shù)由于辦公地點(diǎn)不同，隔離在不同匯集點(diǎn)的相同業(yè)務(wù)部門，我們則推薦第一種方式。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動(dòng)態(tài)的。靜態(tài)VLAN：形成靜態(tài)VLAN過(guò)程是將端口強(qiáng)制性地分配給VLAN的過(guò)程。確定哪些端口屬于哪些特定的VLAN，然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的一種最通用的方法。對(duì)于用戶宿舍，教師辦公等用戶相對(duì)集中的區(qū)域，建議采用這種部署方式，將VLAN部署在用戶對(duì)應(yīng)的匯聚交換機(jī)端口上。動(dòng)態(tài)VLAN：我們知道，VLAN常常被規(guī)劃用于對(duì)“資源訪問(wèn)權(quán)限”的分組，不同的VLAN具有不同的訪問(wèn)權(quán)限，每個(gè)VLAN內(nèi)有一個(gè)IP地址網(wǎng)段，不同的VLAN/IP地址段的用戶，具有不同的訪問(wèn)資源的權(quán)限。用戶權(quán)限數(shù)據(jù)一般存儲(chǔ)在CAMS或接入認(rèn)證系統(tǒng)UAM（后臺(tái)綜合訪問(wèn)管理服務(wù)器）中，CAMS根據(jù)用戶端的權(quán)限歸類，在認(rèn)證通過(guò)之后向二層交換機(jī)作動(dòng)態(tài)的VLAN ID下發(fā)配置。此時(shí)，二層交換機(jī)要支持VLAN的動(dòng)態(tài)配置功能（H3C 全系列交換機(jī)支持）。從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，我們建議在進(jìn)行具體VLAN規(guī)劃時(shí)，同一個(gè)廣播域內(nèi)（一個(gè)VLAN）的通信主機(jī)不要超過(guò)250臺(tái)，最好控制在50臺(tái)以內(nèi)，對(duì)于主機(jī)數(shù)量超過(guò)50的業(yè)務(wù)部門，我們通過(guò)二層隔離，三層交換的方式來(lái)解決。管理VLAN：作為特殊VLAN 的典型，建議保留VLAN1作為管理VLAN，管理VLAN覆蓋到全網(wǎng)的每一臺(tái)交換機(jī)，但在第三層接口上，需要與其他業(yè)務(wù)VLAN進(jìn)行有效的隔離。網(wǎng)管工作站建議另外設(shè)置一個(gè)VLAN，例如VLAN ID=4000,VLAN4000與VLAN1在第三層上相通，同時(shí)，部分業(yè)務(wù)VLAN可以訪問(wèn)VLAN4000，從而實(shí)現(xiàn)網(wǎng)管的分布式監(jiān)控布局。VLAN1和VLAN4000的第三層路由接口處設(shè)置訪問(wèn)控制列表，只有特定的主機(jī)或者只有網(wǎng)管VLAN可以直接訪問(wèn)每一臺(tái)設(shè)備，其他均在過(guò)濾之列。對(duì)于服務(wù)器建議單獨(dú)設(shè)置在一個(gè)VLAN中。業(yè)務(wù)VLAN可以按照部門的類別進(jìn)行劃分，每個(gè)部門劃分一個(gè)VLAN，部門人數(shù)超過(guò)50名的應(yīng)該劃分為兩個(gè)VLAN，以保證交換的性能，業(yè)務(wù)VLAN的命名建議采用VLAN100作為第一個(gè)業(yè)務(wù)VLAN，然后按照數(shù)字序列進(jìn)行劃分，一直到VLAN123。本次建議在禹城人民醫(yī)院網(wǎng)絡(luò)中采用靜態(tài)VLAN劃分方案來(lái)部署。. 組播業(yè)務(wù)H3C S7510E 、S5500、E系列通過(guò)標(biāo)準(zhǔn)的組播協(xié)議完成用戶的組播管理，S7510E 、S5500均可以支持豐富的組播協(xié)議，包括ICMP、PIM－SM、PIM－DM、MSDP等組播協(xié)議，可支持豐富的業(yè)務(wù)，包括視頻點(diǎn)播、流媒體點(diǎn)播，可支持各種流媒體終端以及組播源的種類。并可以并通過(guò)HGMP協(xié)議將各樓道交換機(jī)也納入到組播實(shí)現(xiàn)中。由S7510E 、S5500完成對(duì)其下掛的匯聚交換機(jī)以及樓道交換機(jī)的組播用戶進(jìn)行報(bào)文復(fù)制和發(fā)送。通過(guò)這種機(jī)制，使得整個(gè)網(wǎng)絡(luò)的流量做到最優(yōu)，有效的保證了視頻監(jiān)控、視頻教學(xué)、會(huì)議電視、視頻點(diǎn)播等視頻業(yè)務(wù)的開(kāi)展，通過(guò)組播實(shí)現(xiàn)的視頻業(yè)務(wù)有：視頻監(jiān)控：通過(guò)IP線路將前端采集的視頻監(jiān)控信息傳遞到中心的存儲(chǔ)設(shè)備和監(jiān)控顯示平面。視頻教學(xué)：使用視頻和通訊設(shè)備實(shí)現(xiàn)一點(diǎn)對(duì)多點(diǎn)或點(diǎn)對(duì)點(diǎn)的交互式異地遠(yuǎn)端教學(xué)，實(shí)現(xiàn)用戶和教師的實(shí)時(shí)交流，用戶還可隨時(shí)進(jìn)行學(xué)習(xí)點(diǎn)播和查詢。會(huì)議電視：利用網(wǎng)絡(luò)和數(shù)字視像技術(shù)實(shí)現(xiàn)異地會(huì)議的交互傳輸和控制。視頻點(diǎn)播：交互式電視的一部分，它使用戶可以隨意選擇所需的視訊節(jié)目，并可隨意地控制節(jié)目播出（如快進(jìn)、快倒、暫停等）。. QoS設(shè)計(jì)為保證禹城人民醫(yī)院網(wǎng)絡(luò)各種業(yè)務(wù)的正常及時(shí)處理，需要對(duì)不同業(yè)務(wù)實(shí)施不同的QoS策略。對(duì)于關(guān)鍵的核心業(yè)務(wù)的部分，需要優(yōu)先保證這些業(yè)務(wù)的時(shí)延和帶寬；而對(duì)于其它業(yè)務(wù)來(lái)說(shuō)，也應(yīng)當(dāng)有相應(yīng)的QoS策略來(lái)提供不同的服務(wù)質(zhì)量保證。針對(duì)禹城人民醫(yī)院網(wǎng)絡(luò)的應(yīng)用環(huán)境，在邊緣設(shè)備可以采用IP QoS復(fù)雜流分類技術(shù)對(duì)不同業(yè)務(wù)數(shù)據(jù)報(bào)文設(shè)置不同的DSCP/TOS標(biāo)記，并根據(jù)需要采用流量監(jiān)管技術(shù)（CAR）對(duì)帶寬進(jìn)行限制；攜帶DSCP/TOS標(biāo)記的業(yè)務(wù)報(bào)文在核心層網(wǎng)絡(luò)的廣域網(wǎng)路由器上，根據(jù)DSCP/TOS標(biāo)識(shí)進(jìn)行簡(jiǎn)單流分類，并根據(jù)不同業(yè)務(wù)設(shè)置的DSCP/TOS標(biāo)記，配置相應(yīng)的隊(duì)列以及隊(duì)列帶寬保證，由廣域網(wǎng)路由器根據(jù)數(shù)據(jù)流情況采用高效的隊(duì)列管理技術(shù)（WRED/SARED）以及隊(duì)列調(diào)度技術(shù)（PQ/LLQ）對(duì)用戶的需求做保證。建議在規(guī)劃山東地稅系統(tǒng)網(wǎng)絡(luò)QoS設(shè)計(jì)時(shí)，遵循以下的原則：l 正常情況下QoS是通過(guò)帶寬來(lái)保證的，帶寬利用率達(dá)到60％可考慮擴(kuò)容l 網(wǎng)絡(luò)設(shè)備的容量不成為瓶頸l 網(wǎng)絡(luò)故障或突發(fā)流量情況下QoS策略生效l 任何時(shí)候都優(yōu)先保證關(guān)鍵的實(shí)時(shí)業(yè)務(wù). QoS體系結(jié)構(gòu)的選擇為了在IP網(wǎng)上提供QoS，IETF提出了許多服務(wù)模型和協(xié)議，其中比較突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。 IntServ模型要求網(wǎng)絡(luò)中的所有節(jié)點(diǎn)（包括核心節(jié)點(diǎn)）都記錄每個(gè)經(jīng)過(guò)的應(yīng)用流的資源預(yù)留狀態(tài)，需要通過(guò)IP包頭識(shí)別出所有的用戶應(yīng)用流（進(jìn)行MF分類），同時(shí)為每個(gè)經(jīng)過(guò)的應(yīng)用流設(shè)置單獨(dú)的內(nèi)部隊(duì)列以分別進(jìn)行監(jiān)管（Policing）、調(diào)度（Scheduling）、整形（Shaping）等操作。對(duì)于現(xiàn)在大型運(yùn)營(yíng)網(wǎng)絡(luò)中的節(jié)點(diǎn)，這種應(yīng)用流（活動(dòng)的）的數(shù)量非常龐大，會(huì)遠(yuǎn)遠(yuǎn)超出節(jié)點(diǎn)設(shè)備所能夠處理的能力，而且可擴(kuò)展性差，僅適合在小規(guī)模網(wǎng)絡(luò)中使用。 DiffServ模型的基本原理是將網(wǎng)絡(luò)中的流量分成多個(gè)類，每個(gè)類接受不同的處理，尤其是網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)不同的類會(huì)享受不同的優(yōu)先處理，從而得到不同的丟棄率、時(shí)延以及時(shí)延抖動(dòng)。在DiffServ的體系結(jié)構(gòu)下，IETF已經(jīng)定義了EF（Expedite Forwarding）、AF1AF4（Assured Forwarding）、BE（Best Effort）等六種標(biāo)準(zhǔn)PHB（Perhop Behavior）及業(yè)務(wù)。此外，有些廠商實(shí)現(xiàn)了基于TOS的分類服務(wù)（COS），并且這類設(shè)備已經(jīng)應(yīng)用在一些現(xiàn)有的運(yùn)營(yíng)網(wǎng)絡(luò)。COS和DiffServ類似，不過(guò)比DiffServ更簡(jiǎn)單，并且不象DiffServ那樣定義了一組標(biāo)準(zhǔn)的業(yè)務(wù)。DiffServ對(duì)聚合的業(yè)務(wù)類提供QoS保證，可擴(kuò)展性好，便于在大規(guī)模網(wǎng)絡(luò)中使用。本次工程推薦使用DeffServ機(jī)制實(shí)現(xiàn)QoS。DiffServ域?qū)⒃O(shè)備分為兩類，邊緣設(shè)備和核心設(shè)備，其中邊緣設(shè)備承擔(dān)了較多的工作，如流分類、標(biāo)記、帶寬限制、擁塞管理、擁塞避免、流量整形等。如果由單一設(shè)備全部處理，開(kāi)銷較大，容易形成網(wǎng)絡(luò)瓶頸，因此需要將這些功能分布到不同的設(shè)備上去，如流分類功盡量在邊緣實(shí)現(xiàn)。DiffServ模型：基于DiffServ的QoS模型如圖所示：采用Diffserv/CoS的方法需要對(duì)所有的IP包在網(wǎng)絡(luò)邊緣或用戶側(cè)進(jìn)行流分類，打上Diffserv或CoS標(biāo)識(shí)。DS域內(nèi)的路由器根據(jù)優(yōu)先級(jí)進(jìn)行轉(zhuǎn)發(fā)，保證高優(yōu)先級(jí)業(yè)務(wù)的QoS要求。骨干網(wǎng)絡(luò)實(shí)施Diffserv/CoS，需要所有相關(guān)設(shè)備支持，特別對(duì)邊沿節(jié)點(diǎn)有很強(qiáng)QOS能力需求。. QoS的實(shí)現(xiàn)機(jī)制山東禹城人民醫(yī)院能夠?qū)崿F(xiàn)承載包括實(shí)時(shí)業(yè)務(wù)在內(nèi)的綜合業(yè)務(wù)的QoS特性，尤其對(duì)DiffServ提供了基于標(biāo)準(zhǔn)的完善支持，包括流分類、流量監(jiān)管（Policing）、流量整形（Shaping）、隊(duì)列管理、隊(duì)列調(diào)度（Scheduling）等，完整實(shí)現(xiàn)了標(biāo)準(zhǔn)中定義的EF、AF1AFBE等六組PHB及業(yè)務(wù)。內(nèi)部處理流程如下圖所示：l 流分類總的來(lái)說(shuō)，允許根據(jù)報(bào)文頭中的最多192比特的控制域信息進(jìn)行流分類，具體可以包括下面描述的報(bào)文4層的控制信息域。首先輸入端口號(hào)可以作為重要的分類依據(jù)，它可以單獨(dú)使用，也可以結(jié)合報(bào)文的其他信息對(duì)流分類。二層的重要控制域就是源MAC地址。允許通過(guò)配置將報(bào)文的源MAC匯聚為MAC地址組，最大允許64源MAC地址組，源MAC地址組可以單獨(dú)或同其他域組合對(duì)用戶流進(jìn)行分類。此外VLAN ID也是參與流分類的重要屬性，只不過(guò)是以子接口的形式隱式參與。三層可以參與分類的控制域包括：源和目的IP地址、TOS/DSCP字節(jié)、Protocol（協(xié)議ID）、分段標(biāo)志、ICMP報(bào)文類型。四層的源和目的端口號(hào)、TCP SYN標(biāo)志也是允許參與流分類的重要信息域。l 流量監(jiān)管流量監(jiān)管也就是我們通常所說(shuō)的CAR，是流分類之后的動(dòng)作之一。 通過(guò)CAR，運(yùn)營(yíng)商可以限制從網(wǎng)絡(luò)邊沿進(jìn)入的各類業(yè)務(wù)的最大流量，控制網(wǎng)絡(luò)整體資源的使用，從而保證網(wǎng)絡(luò)整體的QoS。運(yùn)營(yíng)商合用之間都簽有服務(wù)水平協(xié)議（SLA） ，其中包含每種業(yè)務(wù)流的承諾速率、峰值速率、承諾突發(fā)流量、峰值突發(fā)流量等流量參數(shù)，對(duì)超出SLA約定的流量報(bào)文可指定給予pass（通過(guò)）、drop（直接丟棄）或markdown（降級(jí)）等處理，此處降級(jí)是指提高丟棄的可能性（標(biāo)記為丟棄優(yōu)先級(jí)降低），降級(jí)報(bào)文在網(wǎng)絡(luò)擁塞時(shí)將被優(yōu)先丟棄，從而保證在SLA約定范圍之內(nèi)的報(bào)文享受到SLA預(yù)定的服務(wù)。RFC定義了四種標(biāo)準(zhǔn)流量監(jiān)管算法（Color aware single rate three color 、Color aware two rate three color、Color blind single rate three color 、Color blind two rate three color）。l DSCP標(biāo)記/重標(biāo)記標(biāo)記/重標(biāo)記是是流分類之后的動(dòng)作之一。所謂標(biāo)記就是根據(jù)SLA以及流分類的結(jié)果對(duì)業(yè)務(wù)流打上類別標(biāo)記。目前RFC定義了六類標(biāo)準(zhǔn)業(yè)務(wù)即：EF、AF1AFBE，并且通過(guò)定義各類業(yè)務(wù)的PHB （Perhop Behavior）明確了這六類業(yè)務(wù)的服務(wù)實(shí)現(xiàn)要求，即設(shè)備處理各類業(yè)務(wù)的具體實(shí)現(xiàn)要求。從業(yè)務(wù)的外在表現(xiàn)看，基本上可認(rèn)為EF流要求低時(shí)延、低抖動(dòng)、低丟包率，對(duì)應(yīng)于實(shí)際應(yīng)用中的Video、語(yǔ)音、會(huì)議電視等實(shí)時(shí)業(yè)務(wù)；AF流要求較低的延遲、 低丟包率、 高可靠性，對(duì)應(yīng)于數(shù)據(jù)可靠性要求高的業(yè)務(wù)如電子商務(wù)、企業(yè)VPN等；對(duì)BE流則不保證最低信息速率和時(shí)延，對(duì)應(yīng)于傳統(tǒng)Internet業(yè)務(wù)。在某些情況下需要重標(biāo)記DSCP。例如在Ingress點(diǎn)業(yè)務(wù)流量進(jìn)入以前已經(jīng)有了DSCP標(biāo)記（如上游域是DSCP域的情形，或者用戶自己進(jìn)行了DSCP的標(biāo)記），但是根據(jù)SLA，又需要對(duì)DSCP進(jìn)行重新標(biāo)記。完全支持RFC定義的標(biāo)準(zhǔn)的DSCP DS CODE，還支持現(xiàn)在有些網(wǎng)上可能使用的COS。COS是以TOS的前三比特作為業(yè)務(wù)區(qū)分點(diǎn)，總共可分8個(gè)業(yè)務(wù)等級(jí)，對(duì)每一種業(yè)務(wù)等級(jí)均有特定的定義。l 隊(duì)列管理隊(duì)列管理的主要目的就是通過(guò)合理控制Buffer的使用，對(duì)可能出現(xiàn)的擁塞進(jìn)行控制。其常用的方法是采用RED/WRED算法，在Buffer的使用率超過(guò)一定門限后對(duì)部分級(jí)別較低的報(bào)文進(jìn)行早期丟棄，以避免在擁塞時(shí)直接進(jìn)行末尾丟棄引起著名的TCP全局同步問(wèn)題，同時(shí)保護(hù)級(jí)別較高的業(yè)務(wù)不受擁塞的影響。WRED算法可支持多達(dá)8個(gè)優(yōu)先級(jí)4種丟棄級(jí)別的業(yè)務(wù)流類別，對(duì)每種優(yōu)先級(jí)的WRED曲線均可單獨(dú)配置。在算法精度上，不僅能及時(shí)“感知”網(wǎng)絡(luò)的擁塞狀況，同時(shí)可避免網(wǎng)絡(luò)的振蕩，由此對(duì)各種業(yè)務(wù)流以及同一業(yè)務(wù)流內(nèi)部不同的丟棄級(jí)別報(bào)文進(jìn)行不同統(tǒng)計(jì)概率的丟棄，可及時(shí)有效的避免和控制網(wǎng)絡(luò)擁塞。WRED算法由于僅僅根據(jù)當(dāng)前隊(duì)列長(zhǎng)度計(jì)算報(bào)文的丟棄率，會(huì)導(dǎo)致不適當(dāng)?shù)膩G棄從而引起網(wǎng)絡(luò)流量的劇烈波動(dòng)。由于WRED算法的這一局限，在突發(fā)度較高的網(wǎng)絡(luò)