【文章內容簡介】 線路的連接變得簡單，從而大大提高可靠性與易維護性。. 劃分VLAN的方法 VLAN，還能實現(xiàn)端口之間的隔離。我們可以使用E系列支持的PVLAN（primaryvlan）這個特性，一方面實現(xiàn)用戶之間的隔離，另一方面可以為三層交換機節(jié)省VLAN資源。E系列可以屏蔽下面的VLAN劃分，僅向三層交換機提供一個VLAN信息，在邊緣交換機實現(xiàn)了端口可以同時屬于多個Vlan；如圖所示：其中端口1為uplink端口，端口2，3，4為接入端口；Vlan 1：包含端口：1，2，3，4，5Vlan 2：包含端口：1，2Vlan 3：包含端口：1，3，4Vlan 4：包含端口：1，5設計中采用了幾個secondary vlan包含在一個primary VLAN中的方式，給用戶提供了靈活的配置方式。如果用戶希望實現(xiàn)二層報文的隔離，可以采用了為每個用戶分配一個secondary vlan的方式，每個vlan中只包含用戶連接的port和uplink port；如果希望實現(xiàn)用戶之間二層報文的互通，可以將用戶連接的端口劃入同一個VLAN中；同時創(chuàng)建primary vlan，該vlan包含所有secondary vlan中包含的端口和uplink端口，這樣對上層交換機來說，可以認為下層交換機中只有一個primary vlan，用來標識設備，而不必關心primary VLAN中的端口實際所屬的VLAN，簡化了配置，節(jié)省了VLAN資源。primary ，包括與其它交換機相連的uplink口。每個 port的PVID就是它所屬secondary vlan的ID；uplink端口的PVID是primary vlan的ID；我們建議在接入交換機上根據(jù)各個部門之間的邏輯關系進行靈活的VLAN劃分?？梢宰屢粋€樓層對應于一個PVLAN，樓層內的不同部門分屬不同的Sencondary VLAN。這種劃分方式中，可以對用戶能實現(xiàn)動態(tài)的VLAN+MAC+IP綁定，可對用戶發(fā)動的偽造攻擊報文進行合法性檢查和過濾，具有一定的網(wǎng)絡安全性保障。不同VLAN間的互訪，必須經(jīng)過三層交換機進行轉發(fā)。. VLAN規(guī)劃我們建議按不同的業(yè)務使用主體來規(guī)劃整個禹城人民醫(yī)院的VLAN資源。如：用戶宿舍用戶宿舍教師、校管理人員等。為了減小廣播域，建議VLAN終結在匯聚層的三層交換機上，每個VLAN內的主機數(shù)量原則上不要超過250臺，建議每個VLAN內的PC機數(shù)量控制在50臺以內。VLAN的劃分可以依據(jù)不同的業(yè)務部門進行也可以依據(jù)用戶所處網(wǎng)絡的物理結構進行，后者主要是從網(wǎng)絡性能角度出發(fā)，而前者還兼顧了網(wǎng)絡安全性可控性的需要。根據(jù)實際業(yè)務部門辦公環(huán)境的分布情況來看，在大部分情況下，兩者實現(xiàn)了重合，而對于少數(shù)由于辦公地點不同，隔離在不同匯集點的相同業(yè)務部門，我們則推薦第一種方式。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動態(tài)的。靜態(tài)VLAN：形成靜態(tài)VLAN過程是將端口強制性地分配給VLAN的過程。確定哪些端口屬于哪些特定的VLAN，然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的一種最通用的方法。對于用戶宿舍，教師辦公等用戶相對集中的區(qū)域，建議采用這種部署方式，將VLAN部署在用戶對應的匯聚交換機端口上。動態(tài)VLAN：我們知道，VLAN常常被規(guī)劃用于對“資源訪問權限”的分組，不同的VLAN具有不同的訪問權限，每個VLAN內有一個IP地址網(wǎng)段，不同的VLAN/IP地址段的用戶，具有不同的訪問資源的權限。用戶權限數(shù)據(jù)一般存儲在CAMS或接入認證系統(tǒng)UAM（后臺綜合訪問管理服務器）中，CAMS根據(jù)用戶端的權限歸類，在認證通過之后向二層交換機作動態(tài)的VLAN ID下發(fā)配置。此時，二層交換機要支持VLAN的動態(tài)配置功能（H3C 全系列交換機支持）。從廣播控制角度出發(fā)，為了保障網(wǎng)絡的高可用和高性能，我們建議在進行具體VLAN規(guī)劃時，同一個廣播域內（一個VLAN）的通信主機不要超過250臺，最好控制在50臺以內，對于主機數(shù)量超過50的業(yè)務部門，我們通過二層隔離，三層交換的方式來解決。管理VLAN：作為特殊VLAN 的典型，建議保留VLAN1作為管理VLAN，管理VLAN覆蓋到全網(wǎng)的每一臺交換機，但在第三層接口上，需要與其他業(yè)務VLAN進行有效的隔離。網(wǎng)管工作站建議另外設置一個VLAN，例如VLAN ID=4000,VLAN4000與VLAN1在第三層上相通，同時，部分業(yè)務VLAN可以訪問VLAN4000，從而實現(xiàn)網(wǎng)管的分布式監(jiān)控布局。VLAN1和VLAN4000的第三層路由接口處設置訪問控制列表，只有特定的主機或者只有網(wǎng)管VLAN可以直接訪問每一臺設備，其他均在過濾之列。對于服務器建議單獨設置在一個VLAN中。業(yè)務VLAN可以按照部門的類別進行劃分，每個部門劃分一個VLAN，部門人數(shù)超過50名的應該劃分為兩個VLAN，以保證交換的性能，業(yè)務VLAN的命名建議采用VLAN100作為第一個業(yè)務VLAN，然后按照數(shù)字序列進行劃分，一直到VLAN123。本次建議在禹城人民醫(yī)院網(wǎng)絡中采用靜態(tài)VLAN劃分方案來部署。. 組播業(yè)務H3C S7510E 、S5500、E系列通過標準的組播協(xié)議完成用戶的組播管理，S7510E 、S5500均可以支持豐富的組播協(xié)議，包括ICMP、PIM－SM、PIM－DM、MSDP等組播協(xié)議，可支持豐富的業(yè)務，包括視頻點播、流媒體點播，可支持各種流媒體終端以及組播源的種類。并可以并通過HGMP協(xié)議將各樓道交換機也納入到組播實現(xiàn)中。由S7510E 、S5500完成對其下掛的匯聚交換機以及樓道交換機的組播用戶進行報文復制和發(fā)送。通過這種機制，使得整個網(wǎng)絡的流量做到最優(yōu)，有效的保證了視頻監(jiān)控、視頻教學、會議電視、視頻點播等視頻業(yè)務的開展，通過組播實現(xiàn)的視頻業(yè)務有：視頻監(jiān)控：通過IP線路將前端采集的視頻監(jiān)控信息傳遞到中心的存儲設備和監(jiān)控顯示平面。視頻教學：使用視頻和通訊設備實現(xiàn)一點對多點或點對點的交互式異地遠端教學，實現(xiàn)用戶和教師的實時交流，用戶還可隨時進行學習點播和查詢。會議電視：利用網(wǎng)絡和數(shù)字視像技術實現(xiàn)異地會議的交互傳輸和控制。視頻點播：交互式電視的一部分，它使用戶可以隨意選擇所需的視訊節(jié)目，并可隨意地控制節(jié)目播出（如快進、快倒、暫停等）。. QoS設計為保證禹城人民醫(yī)院網(wǎng)絡各種業(yè)務的正常及時處理，需要對不同業(yè)務實施不同的QoS策略。對于關鍵的核心業(yè)務的部分，需要優(yōu)先保證這些業(yè)務的時延和帶寬；而對于其它業(yè)務來說，也應當有相應的QoS策略來提供不同的服務質量保證。針對禹城人民醫(yī)院網(wǎng)絡的應用環(huán)境，在邊緣設備可以采用IP QoS復雜流分類技術對不同業(yè)務數(shù)據(jù)報文設置不同的DSCP/TOS標記，并根據(jù)需要采用流量監(jiān)管技術（CAR）對帶寬進行限制；攜帶DSCP/TOS標記的業(yè)務報文在核心層網(wǎng)絡的廣域網(wǎng)路由器上，根據(jù)DSCP/TOS標識進行簡單流分類，并根據(jù)不同業(yè)務設置的DSCP/TOS標記，配置相應的隊列以及隊列帶寬保證，由廣域網(wǎng)路由器根據(jù)數(shù)據(jù)流情況采用高效的隊列管理技術（WRED/SARED）以及隊列調度技術（PQ/LLQ）對用戶的需求做保證。建議在規(guī)劃山東地稅系統(tǒng)網(wǎng)絡QoS設計時，遵循以下的原則：l 正常情況下QoS是通過帶寬來保證的，帶寬利用率達到60％可考慮擴容l 網(wǎng)絡設備的容量不成為瓶頸l 網(wǎng)絡故障或突發(fā)流量情況下QoS策略生效l 任何時候都優(yōu)先保證關鍵的實時業(yè)務. QoS體系結構的選擇為了在IP網(wǎng)上提供QoS，IETF提出了許多服務模型和協(xié)議，其中比較突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。 IntServ模型要求網(wǎng)絡中的所有節(jié)點（包括核心節(jié)點）都記錄每個經(jīng)過的應用流的資源預留狀態(tài)，需要通過IP包頭識別出所有的用戶應用流（進行MF分類），同時為每個經(jīng)過的應用流設置單獨的內部隊列以分別進行監(jiān)管（Policing）、調度（Scheduling）、整形（Shaping）等操作。對于現(xiàn)在大型運營網(wǎng)絡中的節(jié)點，這種應用流（活動的）的數(shù)量非常龐大，會遠遠超出節(jié)點設備所能夠處理的能力，而且可擴展性差，僅適合在小規(guī)模網(wǎng)絡中使用。 DiffServ模型的基本原理是將網(wǎng)絡中的流量分成多個類，每個類接受不同的處理，尤其是網(wǎng)絡出現(xiàn)擁塞時不同的類會享受不同的優(yōu)先處理，從而得到不同的丟棄率、時延以及時延抖動。在DiffServ的體系結構下，IETF已經(jīng)定義了EF（Expedite Forwarding）、AF1AF4（Assured Forwarding）、BE（Best Effort）等六種標準PHB（Perhop Behavior）及業(yè)務。此外，有些廠商實現(xiàn)了基于TOS的分類服務（COS），并且這類設備已經(jīng)應用在一些現(xiàn)有的運營網(wǎng)絡。COS和DiffServ類似，不過比DiffServ更簡單，并且不象DiffServ那樣定義了一組標準的業(yè)務。DiffServ對聚合的業(yè)務類提供QoS保證，可擴展性好，便于在大規(guī)模網(wǎng)絡中使用。本次工程推薦使用DeffServ機制實現(xiàn)QoS。DiffServ域將設備分為兩類，邊緣設備和核心設備，其中邊緣設備承擔了較多的工作，如流分類、標記、帶寬限制、擁塞管理、擁塞避免、流量整形等。如果由單一設備全部處理，開銷較大，容易形成網(wǎng)絡瓶頸，因此需要將這些功能分布到不同的設備上去，如流分類功盡量在邊緣實現(xiàn)。DiffServ模型：基于DiffServ的QoS模型如圖所示：采用Diffserv/CoS的方法需要對所有的IP包在網(wǎng)絡邊緣或用戶側進行流分類，打上Diffserv或CoS標識。DS域內的路由器根據(jù)優(yōu)先級進行轉發(fā)，保證高優(yōu)先級業(yè)務的QoS要求。骨干網(wǎng)絡實施Diffserv/CoS，需要所有相關設備支持，特別對邊沿節(jié)點有很強QOS能力需求。. QoS的實現(xiàn)機制山東禹城人民醫(yī)院能夠實現(xiàn)承載包括實時業(yè)務在內的綜合業(yè)務的QoS特性，尤其對DiffServ提供了基于標準的完善支持，包括流分類、流量監(jiān)管（Policing）、流量整形（Shaping）、隊列管理、隊列調度（Scheduling）等，完整實現(xiàn)了標準中定義的EF、AF1AFBE等六組PHB及業(yè)務。內部處理流程如下圖所示：l 流分類總的來說，允許根據(jù)報文頭中的最多192比特的控制域信息進行流分類，具體可以包括下面描述的報文4層的控制信息域。首先輸入端口號可以作為重要的分類依據(jù)，它可以單獨使用，也可以結合報文的其他信息對流分類。二層的重要控制域就是源MAC地址。允許通過配置將報文的源MAC匯聚為MAC地址組，最大允許64源MAC地址組，源MAC地址組可以單獨或同其他域組合對用戶流進行分類。此外VLAN ID也是參與流分類的重要屬性，只不過是以子接口的形式隱式參與。三層可以參與分類的控制域包括：源和目的IP地址、TOS/DSCP字節(jié)、Protocol（協(xié)議ID）、分段標志、ICMP報文類型。四層的源和目的端口號、TCP SYN標志也是允許參與流分類的重要信息域。l 流量監(jiān)管流量監(jiān)管也就是我們通常所說的CAR，是流分類之后的動作之一。 通過CAR，運營商可以限制從網(wǎng)絡邊沿進入的各類業(yè)務的最大流量，控制網(wǎng)絡整體資源的使用，從而保證網(wǎng)絡整體的QoS。運營商合用之間都簽有服務水平協(xié)議（SLA） ，其中包含每種業(yè)務流的承諾速率、峰值速率、承諾突發(fā)流量、峰值突發(fā)流量等流量參數(shù)，對超出SLA約定的流量報文可指定給予pass（通過）、drop（直接丟棄）或markdown（降級）等處理，此處降級是指提高丟棄的可能性（標記為丟棄優(yōu)先級降低），降級報文在網(wǎng)絡擁塞時將被優(yōu)先丟棄，從而保證在SLA約定范圍之內的報文享受到SLA預定的服務。RFC定義了四種標準流量監(jiān)管算法（Color aware single rate three color 、Color aware two rate three color、Color blind single rate three color 、Color blind two rate three color）。l DSCP標記/重標記標記/重標記是是流分類之后的動作之一。所謂標記就是根據(jù)SLA以及流分類的結果對業(yè)務流打上類別標記。目前RFC定義了六類標準業(yè)務即：EF、AF1AFBE，并且通過定義各類業(yè)務的PHB （Perhop Behavior）明確了這六類業(yè)務的服務實現(xiàn)要求，即設備處理各類業(yè)務的具體實現(xiàn)要求。從業(yè)務的外在表現(xiàn)看，基本上可認為EF流要求低時延、低抖動、低丟包率，對應于實際應用中的Video、語音、會議電視等實時業(yè)務；AF流要求較低的延遲、 低丟包率、 高可靠性，對應于數(shù)據(jù)可靠性要求高的業(yè)務如電子商務、企業(yè)VPN等；對BE流則不保證最低信息速率和時延，對應于傳統(tǒng)Internet業(yè)務。在某些情況下需要重標記DSCP。例如在Ingress點業(yè)務流量進入以前已經(jīng)有了DSCP標記（如上游域是DSCP域的情形，或者用戶自己進行了DSCP的標記），但是根據(jù)SLA，又需要對DSCP進行重新標記。完全支持RFC定義的標準的DSCP DS CODE，還支持現(xiàn)在有些網(wǎng)上可能使用的COS。COS是以TOS的前三比特作為業(yè)務區(qū)分點，總共可分8個業(yè)務等級，對每一種業(yè)務等級均有特定的定義。l 隊列管理隊列管理的主要目的就是通過合理控制Buffer的使用，對可能出現(xiàn)的擁塞進行控制。其常用的方法是采用RED/WRED算法，在Buffer的使用率超過一定門限后對部分級別較低的報文進行早期丟棄，以避免在擁塞時直接進行末尾丟棄引起著名的TCP全局同步問題，同時保護級別較高的業(yè)務不受擁塞的影響。WRED算法可支持多達8個優(yōu)先級4種丟棄級別的業(yè)務流類別，對每種優(yōu)先級的WRED曲線均可單獨配置。在算法精度上，不僅能及時“感知”網(wǎng)絡的擁塞狀況，同時可避免網(wǎng)絡的振蕩，由此對各種業(yè)務流以及同一業(yè)務流內部不同的丟棄級別報文進行不同統(tǒng)計概率的丟棄，可及時有效的避免和控制網(wǎng)絡擁塞。WRED算法由于僅僅根據(jù)當前隊列長度計算報文的丟棄率，會導致不適當?shù)膩G棄從而引起網(wǎng)絡流量的劇烈波動。由于WRED算法的這一局限，在突發(fā)度較高的網(wǎng)絡