【導(dǎo)讀】華中農(nóng)業(yè)大學(xué)網(wǎng)絡(luò)建設(shè)項(xiàng)目

　　

【正文】 e）、交通整形 （ Traffic Shape）等策略對(duì)網(wǎng)絡(luò)上的流量進(jìn)行的管理，以解決網(wǎng)上不斷增長(zhǎng)的流量需求帶來(lái)的問(wèn)題。 H3C 路由器在整個(gè)網(wǎng)絡(luò)中承擔(dān)數(shù)據(jù)轉(zhuǎn)發(fā)的樞紐，作為接入或中心路由器，它支持業(yè)務(wù)分類，提供了多種 QOS策略滿足不同用戶、不同業(yè)務(wù)對(duì)服務(wù)質(zhì)量的不同需求。 H3C系列路由器提供對(duì)如下 QOS策略的支持： ? IP PREFERENCE 朹用于業(yè)務(wù)分類的 IP優(yōu)先級(jí) ： IP優(yōu)先級(jí)提供了將業(yè)務(wù)劃分為多個(gè)服務(wù)類的功能。網(wǎng)絡(luò)管理員可以定義六個(gè)服務(wù)類，并利用擴(kuò)展 ACL（訪問(wèn)列表）定義每個(gè)類別的擁塞管理策略和帶寬分配策略。由于 IP 優(yōu)先級(jí)使用 IP報(bào)文頭標(biāo)識(shí)服務(wù)類型的字節(jié)中的三個(gè)比特位表示，分類的結(jié)果可以在 IP網(wǎng)絡(luò)中傳播。作為骨干網(wǎng)絡(luò)的入口，這個(gè)功能尤其重要。 IP優(yōu)先級(jí)的設(shè)置非常靈活，可以由網(wǎng)絡(luò)客戶分配，也可以按照網(wǎng)絡(luò)管理員制定的策略，根據(jù)分組的 IP 地址、 MAC 地址、物理端口、服務(wù)端口（ TCP、 UDP 端口號(hào)）等特性進(jìn)行再分配。 IP 優(yōu)先級(jí)可以映射到鄰接技術(shù)（如標(biāo)記交換、幀中繼、 ATM）中，在非均一的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)端到端的 QOS。 ? CAR(Committed Access Rate) 朹允許訪問(wèn)速率 CAR 是一種帶寬管理機(jī)制。通過(guò) 配置 CAR，網(wǎng)絡(luò)管理員可以為不同的業(yè)務(wù)分配不同的帶寬，定義業(yè)務(wù)占用的帶寬超過(guò)分配額度時(shí)的處理策略，通過(guò)限制通過(guò)路由器某一端口的流量，很好地保證整個(gè)網(wǎng)絡(luò)的 QOS。 CAR既可用于網(wǎng)絡(luò)的入口也可用于網(wǎng)絡(luò)的出口，網(wǎng)絡(luò)管理員可以根據(jù) IP地址、服務(wù)端口區(qū)分不同的業(yè)務(wù)流。 CAR利用令牌桶實(shí)現(xiàn)業(yè)務(wù)的帶寬分配和測(cè)量功能，通過(guò)限制帶寬資源的分配，以適應(yīng) IP業(yè)務(wù)的流量突發(fā)的特點(diǎn)。對(duì)于超出分配帶寬的業(yè)務(wù)， CAR 利用擴(kuò)展 ACL（訪問(wèn)列表）制定處理策略，包括修改分組的優(yōu)先級(jí)、丟棄分組等。管理員可以為不同的業(yè)務(wù)制定不同的 CAR策略。 ? RED 朹網(wǎng)絡(luò)擁塞避免 25 隨機(jī)早期檢測(cè)（ RED）通過(guò)對(duì)網(wǎng)絡(luò)擁塞情況的早期檢測(cè)，依據(jù)預(yù)先制定的規(guī)則按照一定的比例有選擇地丟棄某些業(yè)務(wù)的分組，智能地避免網(wǎng)絡(luò)擁塞，以保證即使在網(wǎng)絡(luò)超負(fù)載的情況下，路由器仍能保持較高的報(bào)文轉(zhuǎn)發(fā)效率，為網(wǎng)絡(luò)管理員提供了靈活制定流量控制策略的能力。 ? WRED (Weighted Random Early Detection) 朹加 權(quán) RED WRED結(jié)合了 IP 優(yōu)先級(jí)和 RED策略，為不同類別的業(yè)務(wù)提供不同的服務(wù)，優(yōu)先處理優(yōu)先級(jí)高的分組。 WRED 在檢測(cè)到網(wǎng)絡(luò)擁塞的情況下，按照一定的策 略對(duì)優(yōu)先級(jí)高的業(yè)務(wù)優(yōu)先處理，既保證了高優(yōu)先級(jí)業(yè)務(wù)處理的及時(shí)性，同時(shí)也不會(huì)加劇網(wǎng)絡(luò)的擁塞程度。網(wǎng)絡(luò)管理員可以通過(guò)為不同服務(wù)類別定義隊(duì)列的最大閾值和最小閾值以及分組丟棄率，靈活地制定區(qū)分服務(wù)類別的流量控制策略。 ? 隊(duì)列機(jī)制和擁塞管理 當(dāng)擁塞發(fā)生時(shí)，路由器采用隊(duì)列機(jī)制對(duì)分組進(jìn)行調(diào)度，決定哪些分組優(yōu)先發(fā)送、哪些分組被丟棄，以保證重要的業(yè)務(wù)對(duì)帶寬和延遲的需求，保證普通業(yè)務(wù)之間在帶寬分配上的公平。H3C系列路由器支持 FIFO、 PQ、 CQ、 WFQ四種隊(duì)列機(jī)制。管理員可以通過(guò)應(yīng)用不同的隊(duì)列機(jī)制，配置不同的擁塞策略，為不同的 業(yè)務(wù)提供不同的服務(wù)。 FIFO先進(jìn)先出隊(duì)列。當(dāng)擁塞發(fā)生時(shí)，分組按照到達(dá)的先后順序進(jìn)入擁塞隊(duì)列，出隊(duì)的順序與進(jìn)隊(duì)的順序一致。 PQ 優(yōu)先級(jí)隊(duì)列。當(dāng)擁塞發(fā)生時(shí)，分組依據(jù)預(yù)先配置的規(guī)則分成四類，按照先進(jìn)先出的策略分別進(jìn)入四個(gè)優(yōu)先級(jí)不同的隊(duì)列。在隊(duì)列調(diào)度上，高優(yōu)先級(jí)的隊(duì)列相對(duì)于低優(yōu)先級(jí)的隊(duì)列具有絕對(duì)的優(yōu)先權(quán)。采用這種隊(duì)列機(jī)制可以保證在網(wǎng)絡(luò)發(fā)生擁塞的情況下，重要業(yè)務(wù)的數(shù)據(jù)傳輸不受影響。 CQ 用戶定制隊(duì)列。當(dāng)擁塞發(fā)生是，分組依據(jù)預(yù)先配置的規(guī)則分成 17 類，按照先進(jìn)先出的策略分別進(jìn)入 1個(gè)系統(tǒng)隊(duì)列和 16個(gè)用戶隊(duì)列。在隊(duì) 列調(diào)度上，系統(tǒng)隊(duì)列具有絕對(duì)的優(yōu)先權(quán)，用戶隊(duì)列之間在占用的帶寬上滿足管理員預(yù)先配置的比例關(guān)系。采用這種隊(duì)列機(jī)制，網(wǎng)絡(luò)管理員可以配置不同業(yè)務(wù)之間獲得的帶寬的比例關(guān)系。 WFQ 加權(quán)公平隊(duì)列。 WFQ將分組按照不同的業(yè)務(wù)流、不同的 IP優(yōu)先級(jí)劃分成不同的隊(duì)列，在保證高優(yōu)先級(jí)業(yè)務(wù)的同時(shí)，將帶寬公平地分給低優(yōu)先級(jí)別的業(yè)務(wù)。 H3C路由器在每個(gè)接口上最大支持 4096個(gè)隊(duì)列，在此范圍之內(nèi)，網(wǎng)絡(luò)管理員可以配置隊(duì)列的數(shù)目。 26 ? RSVP 網(wǎng)絡(luò)資源預(yù)留協(xié)議 RSVP使網(wǎng)絡(luò)用戶能根據(jù)自己對(duì)帶寬、時(shí)延的要求，動(dòng)態(tài)地申請(qǐng)預(yù)留網(wǎng)絡(luò)資源，滿 足它們對(duì)資源的需求。 RSVP 提供了端到端的、精細(xì)的資源控制機(jī)制，是實(shí)現(xiàn)端到端 QOS 的解決方案之一。 H3C 路由器支持 RSVP信令，支持為端用戶預(yù)留網(wǎng)絡(luò)資源，并采用 WFQ 隊(duì)列機(jī)制保證特定業(yè)務(wù)對(duì)帶寬和延遲的需求。 H3C 網(wǎng)絡(luò) VPN 解決方案 Virtual Private Network (VPN) 是建立在公眾服務(wù)網(wǎng)上的虛擬專網(wǎng) ；通常 VPN 作為端到端服務(wù)來(lái)提供 ， 因此對(duì)于北京電信公眾網(wǎng)而言 ， 它可能成為很多 VPN 物理傳輸通道 。 H3C產(chǎn)品為運(yùn)營(yíng)商提供了全面的 VPN 解決方案。使運(yùn)營(yíng)商能夠在保證 QOS 和安全的前提下，為用戶提供了靈活有彈性的 VPN增值服務(wù)。 H3C產(chǎn)品提供了實(shí)現(xiàn) VPN所需要的下列功能： 提供了基于 IP/IP、 Generic Routing Encapsulation (GRE) tunnels、 Layer 2 Tunneling Protocol (L2TP)、 IPSec的各種 IP Tunnel技術(shù)來(lái)實(shí)現(xiàn) VPN 提供了基于 Multiprotocol Label Switching(MPLS)的 VPN實(shí)現(xiàn)方式 以端到端的 QOS來(lái)實(shí)現(xiàn)對(duì)不同需求的 VPN業(yè)務(wù)提供分類服務(wù) 實(shí)現(xiàn)網(wǎng)絡(luò)層加密和防火墻，保證數(shù)據(jù)安全 27 H3C產(chǎn)品 VPN組網(wǎng)圖 下面具體描述 VPN的構(gòu)建，其他 QOS保證請(qǐng)參照相關(guān)部分。 H3C的 H3CNetEngine系列高端路由器和 8750LSR一起作為 IP接入網(wǎng)設(shè)備，支持基于 IP Tunnel和 MPLS的 VPN業(yè)務(wù)。對(duì)于 IP骨干網(wǎng)設(shè)備沒(méi)有特殊要求。 VPN的創(chuàng)建和維護(hù)都集中在接入設(shè)備上，對(duì) IP骨干網(wǎng)設(shè)備透?jìng)鳌? 設(shè)計(jì)中的北京公眾網(wǎng)應(yīng)該能同時(shí)支持播號(hào)接入 VPN和專線 VPN。 ? 撥號(hào)用戶接入方式的 VPN： 對(duì)于 GRE及 IPSec 這些三層隧道協(xié)議，區(qū)分用戶將比較困 難；因?yàn)樵谌龑樱?IP層），一般只能通過(guò) IP地址來(lái)區(qū)分用戶。 對(duì)于 VPN應(yīng)用來(lái)說(shuō)，用戶的地址是可以重復(fù)的，這樣，三 28 層隧道協(xié)議不適合區(qū)分用戶。 而 L2TP是二層（鏈路層）的隧道協(xié)議，是作為 PPP的擴(kuò)展提出來(lái)的。 PPP適合區(qū)分不同的用戶，比如撥號(hào)用戶、采取專線直連的對(duì)端路由器等等，因?yàn)镻PP可以得到對(duì)端的用戶名。對(duì)于撥號(hào)用戶接入這種情況來(lái)說(shuō)，需要區(qū)分不同的 VPN用戶，建議使用 L2TP協(xié)議進(jìn)行 VPN組建。 ? 專線 VPN： 組建專線 VPN可以采用 L2TP、 GRE、 IPSec、 MPLS這幾種中的任一種，也可以綜合使用。 在 IP 骨干網(wǎng)不支持 MPLS 的情況下， H3CNE 系列路由器支持基于 IP/IP、 Generic Routing Encapsulation (GRE) tunnels、 Layer 2 Tunneling Protocol (L2TP)、 IPSec的各種 IP Tunnel技術(shù)來(lái)實(shí)現(xiàn) VPN。 1）使用 IPSec：則國(guó)內(nèi)的加密產(chǎn)品與國(guó)外的加密產(chǎn)品不能互通。根據(jù)目前美國(guó)的法律，密鑰長(zhǎng)度大于 40位的算法是禁止出口的。而根據(jù) 1996 年的資料顯示，采用 40 位密鑰進(jìn)行加密的密文對(duì)于 1 個(gè)有經(jīng)驗(yàn)的黑客只需 12分鐘就可以解密， 對(duì)于一個(gè)專門的組織來(lái)說(shuō)只需 秒。同時(shí)，國(guó)家相關(guān)部門（國(guó)密辦）不允許使用 DES 加密算法進(jìn)行加密，而國(guó)外的產(chǎn)品大多是基于 DES算法的。在這一點(diǎn)上，國(guó)內(nèi)的加密產(chǎn)品（不止路由器）與國(guó)外的加密產(chǎn)品應(yīng)該是不能進(jìn)行互通的。 根據(jù)目前的 IPSec與 IKE的關(guān)系來(lái)看，實(shí)現(xiàn)一次一密是非常困難的。如果在一對(duì) IPSec的對(duì)端之間加密采用的密鑰更換的頻率很高，則很容易造成傳輸質(zhì)量的下降。如果密鑰更換的頻率較低，帶來(lái)的安全隱患會(huì)比較大。 如果要使用 IPSec組建 VPN，建議采用國(guó)內(nèi)提供 IPSec功能的路由器。 2）使用 L2TP： H3C公司的路由器提供利用 L2TP組建局域網(wǎng)與局域網(wǎng)之間 VPN的支持，尚未見(jiàn)到有其他廠家提供這種功能；建議使用 H3C公司 H3C系列路由器。 3）使用 GRE： GRE協(xié)議比較簡(jiǎn)單，也不存在建立隧道的過(guò)程；如果對(duì)安全需求不高，則可以選用支持 GRE的路由器；建議使用 GRE時(shí)與 IPSec結(jié)合使用。 4)使用 MPLS： MPLS 來(lái)實(shí)現(xiàn) VPN 是趨勢(shì)， VPN的劃分在 PE節(jié)點(diǎn)上實(shí)現(xiàn)。考慮到在實(shí)際運(yùn)營(yíng)過(guò)程中，北京公眾網(wǎng)需要同時(shí)支持很多個(gè) VPN，為了簡(jiǎn)化 IP 地址的規(guī)劃、分配、維護(hù)，我們推薦利用 MPLS來(lái)實(shí)現(xiàn) VPN?；?MPLS的標(biāo) 簽轉(zhuǎn)發(fā)路徑的 VPN可以單獨(dú)構(gòu)成一個(gè)獨(dú)立的地址空間，獨(dú)自尋址，即 VPN 之間可以重用地址，在分配地址時(shí)不必考慮是否會(huì)與其他的VPN 發(fā)生沖突，只需要考慮在本 VPN之內(nèi)不沖突即可。當(dāng)然在考慮 VPN與 Inter 互連時(shí)還是得通過(guò) NAT等方式以避免與 Inter地址沖突。 為了支持基于 VPN 的地址空間，需要在 PE 之間運(yùn)行 IBGP和 MBGP來(lái)傳輸各個(gè) VPN 的路 29 由，通過(guò)針對(duì)不同的 VPN 實(shí)現(xiàn)不同的路由來(lái)隔離不同 VPN 之間的業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)接入設(shè)備PE 與用戶設(shè)備之間支持以 EBGP、 RIP和靜態(tài)配置等方式實(shí)現(xiàn)路由。在 PE 之間和 IP 骨干網(wǎng)內(nèi)，通過(guò) LDP和 CRLDP來(lái)建立標(biāo)簽轉(zhuǎn)發(fā)路徑，實(shí)現(xiàn) VPN數(shù)據(jù)在 IP骨干網(wǎng)內(nèi)的透?jìng)?。如果用戶有更高安全需求，可以?PE 設(shè)備之間以 IPsec 來(lái)加密數(shù)據(jù)。為了實(shí)現(xiàn)訪問(wèn)控制，在 PE上我們支持 Radius驗(yàn)證，通過(guò)安全策略服務(wù)器來(lái)實(shí)現(xiàn)。 ? VPN的可擴(kuò)展性： H3C的接入設(shè)備支持 1000個(gè) VPN，在接入節(jié)點(diǎn)上，每個(gè) VPN都有獨(dú)占的路由表，公用一個(gè)標(biāo)簽轉(zhuǎn)發(fā)表。對(duì)于北京公眾網(wǎng)，由于各個(gè)接入點(diǎn)之間采用了全連接，各個(gè)接入節(jié)點(diǎn)之間可以直接用 IBGP連接來(lái)傳輸路由， VPN 的可擴(kuò)展性就取決與接入節(jié)點(diǎn)支持的 VPN 數(shù) 目。但是這就需要 N*(N1)個(gè) IBGP連接。建議在 IP 骨干網(wǎng)內(nèi)采用 BGP 反射器來(lái)中繼路由的傳遞。H3CNetEngine系列骨干路由器支持 BGP 反射器功能，把網(wǎng)絡(luò)中的 IBGP連接數(shù)目減少到 N。同時(shí)為了避免 BGP 反射器成為網(wǎng)絡(luò)的瓶頸，可以采用多個(gè) BGP反射器來(lái)實(shí)現(xiàn)負(fù)載分擔(dān)。 ? VPN的健壯性： 構(gòu)成 VPN的隧道有可能斷掉，在 MPLS VPN的情況下，由路由協(xié)議來(lái)發(fā)現(xiàn) PE之間新的路徑，信令協(xié)議 LDP 重新根據(jù)路由來(lái)建立 PE 之間的標(biāo)簽轉(zhuǎn)發(fā)路徑。在 IP Tunnel 的情況下，H3C系列路由器可以有兩種方式來(lái)保 證隧道的連通性。 在隧道協(xié)議中實(shí)現(xiàn)了自動(dòng)定時(shí)檢測(cè)的功能 可以直接在 IP Tunnel的基礎(chǔ)上配置動(dòng)態(tài)路由協(xié)議，由路由協(xié)議來(lái)保證連通性 H3CIP 多播解決方案 隨著網(wǎng)絡(luò)帶寬的不斷增加，使得網(wǎng)絡(luò)多媒體應(yīng)用成為可能， Mbone 上已經(jīng)出現(xiàn)了很多視頻點(diǎn)播和音頻點(diǎn)播服務(wù)。這種多媒體點(diǎn)播服務(wù)的實(shí)現(xiàn)都是基于組播協(xié)議的，組播的發(fā)送方式和單播和廣播的發(fā)送方式是不同的；單播是點(diǎn)到點(diǎn)的發(fā)送，廣播是單點(diǎn)到所有點(diǎn)的發(fā)送，接收者是被動(dòng)接收信息的，而組播使用的是點(diǎn)到多點(diǎn)的發(fā)送方式，接收者主動(dòng)加入組播組，才能夠收到發(fā)送方 發(fā)來(lái)的組播信息。舉一個(gè)簡(jiǎn)單的例子，有 N個(gè)接收方點(diǎn)播同一個(gè)視頻服務(wù)，如果使用單播實(shí)現(xiàn)，服務(wù)器就要給每個(gè)接收者發(fā)送一份拷貝，使用廣播，在跨越子網(wǎng)時(shí)，是一個(gè)不可取得方案，而且子網(wǎng)中的主機(jī)不管對(duì)該信息是否感興趣，都會(huì)收到該廣播信息，如果采用組播，只有點(diǎn)播了該節(jié)目的主機(jī)才能夠收到信息。 30 H3C公司的 H3C系列路由器支持組播協(xié)議，如 IGMP v1， IGMP v2，還支持 PIM SM， PIM SM和 DVMRP 等組播路由協(xié)議。 PIM SM 協(xié)議適用于覆蓋范圍較大的網(wǎng)絡(luò)， PIM DM協(xié)議適用于范圍較小，帶