【導(dǎo)讀】華中農(nóng)業(yè)大學(xué)網(wǎng)絡(luò)建設(shè)項目

　　

【正文】 e）、交通整形 （ Traffic Shape）等策略對網(wǎng)絡(luò)上的流量進行的管理，以解決網(wǎng)上不斷增長的流量需求帶來的問題。 H3C 路由器在整個網(wǎng)絡(luò)中承擔(dān)數(shù)據(jù)轉(zhuǎn)發(fā)的樞紐，作為接入或中心路由器，它支持業(yè)務(wù)分類，提供了多種 QOS策略滿足不同用戶、不同業(yè)務(wù)對服務(wù)質(zhì)量的不同需求。 H3C系列路由器提供對如下 QOS策略的支持： ? IP PREFERENCE 朹用于業(yè)務(wù)分類的 IP優(yōu)先級 ： IP優(yōu)先級提供了將業(yè)務(wù)劃分為多個服務(wù)類的功能。網(wǎng)絡(luò)管理員可以定義六個服務(wù)類，并利用擴展 ACL（訪問列表）定義每個類別的擁塞管理策略和帶寬分配策略。由于 IP 優(yōu)先級使用 IP報文頭標(biāo)識服務(wù)類型的字節(jié)中的三個比特位表示，分類的結(jié)果可以在 IP網(wǎng)絡(luò)中傳播。作為骨干網(wǎng)絡(luò)的入口，這個功能尤其重要。 IP優(yōu)先級的設(shè)置非常靈活，可以由網(wǎng)絡(luò)客戶分配，也可以按照網(wǎng)絡(luò)管理員制定的策略，根據(jù)分組的 IP 地址、 MAC 地址、物理端口、服務(wù)端口（ TCP、 UDP 端口號）等特性進行再分配。 IP 優(yōu)先級可以映射到鄰接技術(shù)（如標(biāo)記交換、幀中繼、 ATM）中，在非均一的網(wǎng)絡(luò)環(huán)境中實現(xiàn)端到端的 QOS。 ? CAR(Committed Access Rate) 朹允許訪問速率 CAR 是一種帶寬管理機制。通過 配置 CAR，網(wǎng)絡(luò)管理員可以為不同的業(yè)務(wù)分配不同的帶寬，定義業(yè)務(wù)占用的帶寬超過分配額度時的處理策略，通過限制通過路由器某一端口的流量，很好地保證整個網(wǎng)絡(luò)的 QOS。 CAR既可用于網(wǎng)絡(luò)的入口也可用于網(wǎng)絡(luò)的出口，網(wǎng)絡(luò)管理員可以根據(jù) IP地址、服務(wù)端口區(qū)分不同的業(yè)務(wù)流。 CAR利用令牌桶實現(xiàn)業(yè)務(wù)的帶寬分配和測量功能，通過限制帶寬資源的分配，以適應(yīng) IP業(yè)務(wù)的流量突發(fā)的特點。對于超出分配帶寬的業(yè)務(wù)， CAR 利用擴展 ACL（訪問列表）制定處理策略，包括修改分組的優(yōu)先級、丟棄分組等。管理員可以為不同的業(yè)務(wù)制定不同的 CAR策略。 ? RED 朹網(wǎng)絡(luò)擁塞避免 25 隨機早期檢測（ RED）通過對網(wǎng)絡(luò)擁塞情況的早期檢測，依據(jù)預(yù)先制定的規(guī)則按照一定的比例有選擇地丟棄某些業(yè)務(wù)的分組，智能地避免網(wǎng)絡(luò)擁塞，以保證即使在網(wǎng)絡(luò)超負(fù)載的情況下，路由器仍能保持較高的報文轉(zhuǎn)發(fā)效率，為網(wǎng)絡(luò)管理員提供了靈活制定流量控制策略的能力。 ? WRED (Weighted Random Early Detection) 朹加 權(quán) RED WRED結(jié)合了 IP 優(yōu)先級和 RED策略，為不同類別的業(yè)務(wù)提供不同的服務(wù)，優(yōu)先處理優(yōu)先級高的分組。 WRED 在檢測到網(wǎng)絡(luò)擁塞的情況下，按照一定的策 略對優(yōu)先級高的業(yè)務(wù)優(yōu)先處理，既保證了高優(yōu)先級業(yè)務(wù)處理的及時性，同時也不會加劇網(wǎng)絡(luò)的擁塞程度。網(wǎng)絡(luò)管理員可以通過為不同服務(wù)類別定義隊列的最大閾值和最小閾值以及分組丟棄率，靈活地制定區(qū)分服務(wù)類別的流量控制策略。 ? 隊列機制和擁塞管理 當(dāng)擁塞發(fā)生時，路由器采用隊列機制對分組進行調(diào)度，決定哪些分組優(yōu)先發(fā)送、哪些分組被丟棄，以保證重要的業(yè)務(wù)對帶寬和延遲的需求，保證普通業(yè)務(wù)之間在帶寬分配上的公平。H3C系列路由器支持 FIFO、 PQ、 CQ、 WFQ四種隊列機制。管理員可以通過應(yīng)用不同的隊列機制，配置不同的擁塞策略，為不同的 業(yè)務(wù)提供不同的服務(wù)。 FIFO先進先出隊列。當(dāng)擁塞發(fā)生時，分組按照到達的先后順序進入擁塞隊列，出隊的順序與進隊的順序一致。 PQ 優(yōu)先級隊列。當(dāng)擁塞發(fā)生時，分組依據(jù)預(yù)先配置的規(guī)則分成四類，按照先進先出的策略分別進入四個優(yōu)先級不同的隊列。在隊列調(diào)度上，高優(yōu)先級的隊列相對于低優(yōu)先級的隊列具有絕對的優(yōu)先權(quán)。采用這種隊列機制可以保證在網(wǎng)絡(luò)發(fā)生擁塞的情況下，重要業(yè)務(wù)的數(shù)據(jù)傳輸不受影響。 CQ 用戶定制隊列。當(dāng)擁塞發(fā)生是，分組依據(jù)預(yù)先配置的規(guī)則分成 17 類，按照先進先出的策略分別進入 1個系統(tǒng)隊列和 16個用戶隊列。在隊 列調(diào)度上，系統(tǒng)隊列具有絕對的優(yōu)先權(quán)，用戶隊列之間在占用的帶寬上滿足管理員預(yù)先配置的比例關(guān)系。采用這種隊列機制，網(wǎng)絡(luò)管理員可以配置不同業(yè)務(wù)之間獲得的帶寬的比例關(guān)系。 WFQ 加權(quán)公平隊列。 WFQ將分組按照不同的業(yè)務(wù)流、不同的 IP優(yōu)先級劃分成不同的隊列，在保證高優(yōu)先級業(yè)務(wù)的同時，將帶寬公平地分給低優(yōu)先級別的業(yè)務(wù)。 H3C路由器在每個接口上最大支持 4096個隊列，在此范圍之內(nèi)，網(wǎng)絡(luò)管理員可以配置隊列的數(shù)目。 26 ? RSVP 網(wǎng)絡(luò)資源預(yù)留協(xié)議 RSVP使網(wǎng)絡(luò)用戶能根據(jù)自己對帶寬、時延的要求，動態(tài)地申請預(yù)留網(wǎng)絡(luò)資源，滿 足它們對資源的需求。 RSVP 提供了端到端的、精細(xì)的資源控制機制，是實現(xiàn)端到端 QOS 的解決方案之一。 H3C 路由器支持 RSVP信令，支持為端用戶預(yù)留網(wǎng)絡(luò)資源，并采用 WFQ 隊列機制保證特定業(yè)務(wù)對帶寬和延遲的需求。 H3C 網(wǎng)絡(luò) VPN 解決方案 Virtual Private Network (VPN) 是建立在公眾服務(wù)網(wǎng)上的虛擬專網(wǎng) ；通常 VPN 作為端到端服務(wù)來提供 ， 因此對于北京電信公眾網(wǎng)而言 ， 它可能成為很多 VPN 物理傳輸通道 。 H3C產(chǎn)品為運營商提供了全面的 VPN 解決方案。使運營商能夠在保證 QOS 和安全的前提下，為用戶提供了靈活有彈性的 VPN增值服務(wù)。 H3C產(chǎn)品提供了實現(xiàn) VPN所需要的下列功能： 提供了基于 IP/IP、 Generic Routing Encapsulation (GRE) tunnels、 Layer 2 Tunneling Protocol (L2TP)、 IPSec的各種 IP Tunnel技術(shù)來實現(xiàn) VPN 提供了基于 Multiprotocol Label Switching(MPLS)的 VPN實現(xiàn)方式 以端到端的 QOS來實現(xiàn)對不同需求的 VPN業(yè)務(wù)提供分類服務(wù) 實現(xiàn)網(wǎng)絡(luò)層加密和防火墻，保證數(shù)據(jù)安全 27 H3C產(chǎn)品 VPN組網(wǎng)圖 下面具體描述 VPN的構(gòu)建，其他 QOS保證請參照相關(guān)部分。 H3C的 H3CNetEngine系列高端路由器和 8750LSR一起作為 IP接入網(wǎng)設(shè)備，支持基于 IP Tunnel和 MPLS的 VPN業(yè)務(wù)。對于 IP骨干網(wǎng)設(shè)備沒有特殊要求。 VPN的創(chuàng)建和維護都集中在接入設(shè)備上，對 IP骨干網(wǎng)設(shè)備透傳。 設(shè)計中的北京公眾網(wǎng)應(yīng)該能同時支持播號接入 VPN和專線 VPN。 ? 撥號用戶接入方式的 VPN： 對于 GRE及 IPSec 這些三層隧道協(xié)議，區(qū)分用戶將比較困 難；因為在三層（ IP層），一般只能通過 IP地址來區(qū)分用戶。 對于 VPN應(yīng)用來說，用戶的地址是可以重復(fù)的，這樣，三 28 層隧道協(xié)議不適合區(qū)分用戶。 而 L2TP是二層（鏈路層）的隧道協(xié)議，是作為 PPP的擴展提出來的。 PPP適合區(qū)分不同的用戶，比如撥號用戶、采取專線直連的對端路由器等等，因為PPP可以得到對端的用戶名。對于撥號用戶接入這種情況來說，需要區(qū)分不同的 VPN用戶，建議使用 L2TP協(xié)議進行 VPN組建。 ? 專線 VPN： 組建專線 VPN可以采用 L2TP、 GRE、 IPSec、 MPLS這幾種中的任一種，也可以綜合使用。 在 IP 骨干網(wǎng)不支持 MPLS 的情況下， H3CNE 系列路由器支持基于 IP/IP、 Generic Routing Encapsulation (GRE) tunnels、 Layer 2 Tunneling Protocol (L2TP)、 IPSec的各種 IP Tunnel技術(shù)來實現(xiàn) VPN。 1）使用 IPSec：則國內(nèi)的加密產(chǎn)品與國外的加密產(chǎn)品不能互通。根據(jù)目前美國的法律，密鑰長度大于 40位的算法是禁止出口的。而根據(jù) 1996 年的資料顯示，采用 40 位密鑰進行加密的密文對于 1 個有經(jīng)驗的黑客只需 12分鐘就可以解密， 對于一個專門的組織來說只需 秒。同時，國家相關(guān)部門（國密辦）不允許使用 DES 加密算法進行加密，而國外的產(chǎn)品大多是基于 DES算法的。在這一點上，國內(nèi)的加密產(chǎn)品（不止路由器）與國外的加密產(chǎn)品應(yīng)該是不能進行互通的。 根據(jù)目前的 IPSec與 IKE的關(guān)系來看，實現(xiàn)一次一密是非常困難的。如果在一對 IPSec的對端之間加密采用的密鑰更換的頻率很高，則很容易造成傳輸質(zhì)量的下降。如果密鑰更換的頻率較低，帶來的安全隱患會比較大。 如果要使用 IPSec組建 VPN，建議采用國內(nèi)提供 IPSec功能的路由器。 2）使用 L2TP： H3C公司的路由器提供利用 L2TP組建局域網(wǎng)與局域網(wǎng)之間 VPN的支持，尚未見到有其他廠家提供這種功能；建議使用 H3C公司 H3C系列路由器。 3）使用 GRE： GRE協(xié)議比較簡單，也不存在建立隧道的過程；如果對安全需求不高，則可以選用支持 GRE的路由器；建議使用 GRE時與 IPSec結(jié)合使用。 4)使用 MPLS： MPLS 來實現(xiàn) VPN 是趨勢， VPN的劃分在 PE節(jié)點上實現(xiàn)。考慮到在實際運營過程中，北京公眾網(wǎng)需要同時支持很多個 VPN，為了簡化 IP 地址的規(guī)劃、分配、維護，我們推薦利用 MPLS來實現(xiàn) VPN。基于 MPLS的標(biāo) 簽轉(zhuǎn)發(fā)路徑的 VPN可以單獨構(gòu)成一個獨立的地址空間，獨自尋址，即 VPN 之間可以重用地址，在分配地址時不必考慮是否會與其他的VPN 發(fā)生沖突，只需要考慮在本 VPN之內(nèi)不沖突即可。當(dāng)然在考慮 VPN與 Inter 互連時還是得通過 NAT等方式以避免與 Inter地址沖突。 為了支持基于 VPN 的地址空間，需要在 PE 之間運行 IBGP和 MBGP來傳輸各個 VPN 的路 29 由，通過針對不同的 VPN 實現(xiàn)不同的路由來隔離不同 VPN 之間的業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)接入設(shè)備PE 與用戶設(shè)備之間支持以 EBGP、 RIP和靜態(tài)配置等方式實現(xiàn)路由。在 PE 之間和 IP 骨干網(wǎng)內(nèi)，通過 LDP和 CRLDP來建立標(biāo)簽轉(zhuǎn)發(fā)路徑，實現(xiàn) VPN數(shù)據(jù)在 IP骨干網(wǎng)內(nèi)的透傳。如果用戶有更高安全需求，可以在 PE 設(shè)備之間以 IPsec 來加密數(shù)據(jù)。為了實現(xiàn)訪問控制，在 PE上我們支持 Radius驗證，通過安全策略服務(wù)器來實現(xiàn)。 ? VPN的可擴展性： H3C的接入設(shè)備支持 1000個 VPN，在接入節(jié)點上，每個 VPN都有獨占的路由表，公用一個標(biāo)簽轉(zhuǎn)發(fā)表。對于北京公眾網(wǎng)，由于各個接入點之間采用了全連接，各個接入節(jié)點之間可以直接用 IBGP連接來傳輸路由， VPN 的可擴展性就取決與接入節(jié)點支持的 VPN 數(shù) 目。但是這就需要 N*(N1)個 IBGP連接。建議在 IP 骨干網(wǎng)內(nèi)采用 BGP 反射器來中繼路由的傳遞。H3CNetEngine系列骨干路由器支持 BGP 反射器功能，把網(wǎng)絡(luò)中的 IBGP連接數(shù)目減少到 N。同時為了避免 BGP 反射器成為網(wǎng)絡(luò)的瓶頸，可以采用多個 BGP反射器來實現(xiàn)負(fù)載分擔(dān)。 ? VPN的健壯性： 構(gòu)成 VPN的隧道有可能斷掉，在 MPLS VPN的情況下，由路由協(xié)議來發(fā)現(xiàn) PE之間新的路徑，信令協(xié)議 LDP 重新根據(jù)路由來建立 PE 之間的標(biāo)簽轉(zhuǎn)發(fā)路徑。在 IP Tunnel 的情況下，H3C系列路由器可以有兩種方式來保 證隧道的連通性。 在隧道協(xié)議中實現(xiàn)了自動定時檢測的功能 可以直接在 IP Tunnel的基礎(chǔ)上配置動態(tài)路由協(xié)議，由路由協(xié)議來保證連通性 H3CIP 多播解決方案 隨著網(wǎng)絡(luò)帶寬的不斷增加，使得網(wǎng)絡(luò)多媒體應(yīng)用成為可能， Mbone 上已經(jīng)出現(xiàn)了很多視頻點播和音頻點播服務(wù)。這種多媒體點播服務(wù)的實現(xiàn)都是基于組播協(xié)議的，組播的發(fā)送方式和單播和廣播的發(fā)送方式是不同的；單播是點到點的發(fā)送，廣播是單點到所有點的發(fā)送，接收者是被動接收信息的，而組播使用的是點到多點的發(fā)送方式，接收者主動加入組播組，才能夠收到發(fā)送方 發(fā)來的組播信息。舉一個簡單的例子，有 N個接收方點播同一個視頻服務(wù)，如果使用單播實現(xiàn)，服務(wù)器就要給每個接收者發(fā)送一份拷貝，使用廣播，在跨越子網(wǎng)時，是一個不可取得方案，而且子網(wǎng)中的主機不管對該信息是否感興趣，都會收到該廣播信息，如果采用組播，只有點播了該節(jié)目的主機才能夠收到信息。 30 H3C公司的 H3C系列路由器支持組播協(xié)議，如 IGMP v1， IGMP v2，還支持 PIM SM， PIM SM和 DVMRP 等組播路由協(xié)議。 PIM SM 協(xié)議適用于覆蓋范圍較大的網(wǎng)絡(luò)， PIM DM協(xié)議適用于范圍較小，帶