【正文】 報文的發(fā)送采用輪詢調度的方式，首先讓隊列1中的報文出隊并發(fā)送，直到此隊列中的報文被發(fā)送的字節(jié)數(shù)不少于6000字節(jié)，然后才開始發(fā)送隊列2中的報文， 直到此隊列中的報文被發(fā)送的字節(jié)數(shù)不少于2000字節(jié)，然后是其他隊列。CQ可以把報文分類，然后按類別將報文分配到CQ的一個隊列中去，而對每個隊列，又可以規(guī)定隊列中的報文所占接口帶寬的比例，這樣，就可以讓不同業(yè)務的報文獲得合理的帶寬，從而既保證關鍵業(yè)務能獲得較多的帶寬，又不至于使非關鍵業(yè)務得不到帶寬。PQ賦予較高優(yōu)先級的報文絕對的優(yōu)先權，這樣雖然可以保證關鍵業(yè)務的優(yōu)先，但在較高優(yōu)先級的報文的速度總是大于接口的速度時，將會使較低優(yōu)先級的報文始終得不到發(fā)送的機會。1到16號隊列可以按用戶的定義分配它們能占用接口帶寬的比例，在報文出隊的時候，CQ按定義的帶寬比例分別從1到16號隊列中取一定量的報文在接口上發(fā)送出去。（Custom Queueing, CQ）圖6 定制隊列示意圖如圖6所示，定制隊列（以后簡稱CQ）對報文進行分類，將所有報文分成最多至17類，分別屬于CQ的17個隊列中的一個，然后，按報文的類別將報文送入相應的隊列。在如圖3所示的網絡圖中，假設局域網1的服務器向局域網2的服務器發(fā)送關鍵業(yè)務的數(shù)據(jù)，局域網1的PC向局域網2的PC發(fā)送非關鍵業(yè)務的數(shù)據(jù)，如果對路由器1的串口1配置PQ進行擁塞管理，同時配置服務器間的數(shù)據(jù)流的進入較高優(yōu)先級的隊列，PC間的數(shù)據(jù)流進入較低優(yōu)先級的隊列，則PQ將對這兩種不同業(yè)務的報文做區(qū)別對待，首先讓較高優(yōu)先級隊列中的報文出隊并發(fā)送，直到此隊列中的報文發(fā)送完，然后再發(fā)送較低優(yōu)先級隊列中的報文。在報文出隊的時候，PQ首先讓高優(yōu)先隊列中的報文出隊并發(fā)送，直到高優(yōu)先隊列中的報文發(fā)送完，然后發(fā)送中優(yōu)先隊列中的報文，同樣，直到發(fā)送完，然后是正常優(yōu)先隊列和低優(yōu)先隊列。2. 優(yōu)先隊列（Priority Queueing, PQ）圖5 優(yōu)先隊列示意圖如圖5所示，優(yōu)先隊列（以后簡稱PQ）對報文進行分類，將所有報文分成最多至4類，分別屬于PQ的4個隊列中的一個，然后，按報文的類別將報文送入相應的隊列。根據(jù)排隊和出隊策略的不同，擁塞管理分為以下幾種：1. 先進先出隊列（First In First Out Queueing, FIFO）圖4 先進先出隊列示意圖如圖4所示，先進先出隊列（以后簡稱FIFO）不對報文進行分類，當報文進入接口的速度大于接口能發(fā)送的速度時，F(xiàn)IFO按報文到達接口的先后順序讓報文進入隊列，同時，F(xiàn)IFO在隊列的出口讓報文按進隊的順序出隊，先進的報文將先出隊，后進的報文將后出隊。擁塞管理就會將這些報文進行分類，送入不同的隊列；而隊列調度對不同優(yōu)先級的報文進行分別處理，優(yōu)先級高的報文會得到優(yōu)先處理。擁塞管理的處理包括隊列的創(chuàng)建、報文的分類、將報文送入不同的隊列、隊列調度等。不同的隊列算法用來解決不同的問題，并產生不同的效果。處理的方法是使用隊列技術。 如圖3所示，當公司局域網1向公司局域網2以10M的速度發(fā)送數(shù)據(jù)時，將會使路由器1的串口s1發(fā)生擁塞。擁塞管理什么是擁塞和擁塞管理圖3網絡擁塞示意圖在計算機數(shù)據(jù)通信中，通信信道是被多個計算機共享的，并且，廣域網的帶寬通常要比局域網的帶寬小，這樣，當一個局域網的計算機向另一個局域網的計算機發(fā)送數(shù)據(jù)時，由于廣域網的帶寬小于局域網的帶寬，數(shù)據(jù)將不可能按局域網發(fā)送的速度在廣域網上傳輸。而隊列技術如WFQ就可以使用這個優(yōu)先級來對報文進行不同的處理。報文分類使用如下技術：ACL和IP優(yōu)先級。使用報文的內容作為分類的標準是比較少見的。網絡管理者可以設置報文分類的策略，這個策略可以包括物理接口、源地址、目的地址、MAC地址、IP協(xié)議或應用程序的端口號等。 華為VRP的QOS特性及實現(xiàn)技術H3C公司H3C系列路由器及交換機均以VRP為軟件平臺，VRP的QoS具有以下特性：? 報文分類? 擁塞管理? 擁塞避免? 流量監(jiān)管和流量整形? 物理接口總速率限制分類報文分類是將報文劃分為多個優(yōu)先級或多個服務類，如使用IP報文頭的TOS字段（Type of service）的前三位（即優(yōu)先權子字段），可以將報文最多分成八類。在ATM，F(xiàn)R等網絡中，其MPLS報文沒有shim，可針對FEC（Forwarding Equivalance Class 轉發(fā)等價類）和QoS請求的組合來分配標簽，而不同于以前僅針對FEC分配標簽（lable）。通常在配置Differentiated service時，邊界路由器通過報文的源地址和目的地址等對報文進行分類，對不同的報文設置不同的IP優(yōu)先級，而其他路由器只需要用IP優(yōu)先級來進行報文的分類。CAR也完成報文的度量和流量監(jiān)管。Differentiated service一般用來為一些重要的應用提供端到端的QoS。可以用不同的方法來指定報文的QoS，如IP包的優(yōu)先級位（IP Precedence)，報文的源地址和目的地址等。與Integrated service不同，它不需要信令，即應用程序在發(fā)出報文前，不需要通知三層設備。? 負載控制服務（ControlledLoad service） 它保證即使在網絡過載（overload）的情況下，能對報文提供近似于網絡未過載類似的服務，即在網絡擁塞的情況下，保證某些應用程序的報文低時延和高通過。Integrated service可以提供以下兩種服務：? 保證服務（Guaranteed service） 它提供保證的帶寬和時延限制來滿足應用程序的要求。而網絡將為每個流（flow，由兩端的IP地址、端口號、協(xié)議號確定）維護一個狀態(tài)，并基于這個狀態(tài)執(zhí)行報文的分類、流量監(jiān)管（policing）、排隊及其調度，來實現(xiàn)對應用程序的承諾。網絡在收到應用程序的資源請求后，執(zhí)行資源分配檢查（Admission control），即基于應用程序的資源申請和網絡現(xiàn)有的資源情況，判斷是否為應用程序分配資源。這個請求是通過信令（signal）來完成的，應用程序首先通知網絡它自己的流量參數(shù)和需要的特定服務質量請求，包括帶寬、時延等，應用程序一般在收到網絡的確認信息，即確認網絡已經為這個應用程序的報文預留了資源后，才開始發(fā)送報文。Integrated serviceIntegrated service是一個綜合服務模型，它可以滿足多種QoS需求。對BestEffort服務，網絡盡最大的可能性來發(fā)送報文，但對時延、可靠性等性能不提供任何保證。 服務模型服務模型，是指一組端到端的QoS功能，通常QoS提供以下三種服務模型：? BestEffort service? Integrated service（Intserv）? Differentiated service（Diffserv）BestEffort serviceBestEffort是一個單一的服務模型，也是最簡單的服務模型。? ? 流量監(jiān)管和流量整形限制和調整報文輸出的速度。而每個網絡元件提供如下功能：? ? 報文分類，對不同類別的報文提供不同的處理。? ? 信令技術來協(xié)調端到端之間的網絡元件為報文提供QoS。? ? 多種需求并存，可以為時間敏感的多媒體業(yè)務提供帶寬和低時延保證，而其他業(yè)務在使用網絡時，也不會影響這些時間敏感的業(yè)務。? ? 可裁剪的服務。QoS可以控制各種網絡應用和滿足各種網絡應用要求，如：? ? 控制資源。圖2則是一個用PQ隊列來支持QoS的報文發(fā)送情況：圖2 PQ隊列示意圖在報文到達接口后，首先對報文進行分類，然后按照報文所屬的類別讓報文進入所屬隊列的尾部，在報文發(fā)送時，按照優(yōu)先級，總是在所有優(yōu)先級高的隊列發(fā)送完畢后，再發(fā)送低優(yōu)先級隊列中的報文。為實現(xiàn)上述目的，QoS提供了下述功能：? 報文分類和著色? 避免和管理網絡擁塞? 流量監(jiān)管和流量整形? QoS信令協(xié)議下面的例子講述了網絡發(fā)生擁塞時，報文在無QoS保證和有QoS保證網絡中的不同處理過程。如VoIP業(yè)務，如果報文傳送延時太長，將是用戶所不能接受的（相對而言，和FTP對時間延遲并不敏感），為企業(yè)網絡提供支持QoS的能力是解決問題的可行方法。在傳統(tǒng)的IP網絡中，所有的報文都被無區(qū)別的等同對待，每個三層設備對所有的報文均采用先入先出（FIFO）的策略進行處理，它盡最大的努力（besteffort）將報文送到目的地，但對報文傳送的可靠性、傳送延遲等性能不提供任何保證。有關IP地址劃分詳細設計在系統(tǒng)實施時進行最終設計。其它網絡的IP地址我們建議采用若干個C類私有地址。 這種分配方式的優(yōu)點是很明顯的：(1)　地址的分配是連續(xù)的(2)　CIDR使路由表的設置更容易通過以上幾種方法，一方面可以在一段時間內避免IP地址的耗盡，另一方面可以使路由表更加簡潔查找更加高效。(3) 必須擴展選路協(xié)議使其除了32位地址外，還要有32位掩碼。 (1) 為進行選路要對多個IP地址進行歸并時，這些IP地址必須具有相同的高位地址比特。采用這種分配多個IP地址的方式，使其能夠將路由表中的許多表項歸并(summarization)成更少的數(shù)目。而不管其IP地址是A類、B類或是C類，都沒有什么區(qū)別。　CIDR是Classless Inter Domain Routing 的縮寫, 意為無類別的域間路由。Internet中的CIDR(Classless InterDomain Routing, 無類別域間路由)的基本思想是取消地址的分類結構，取而代之的是允許以可變長分界的方式分配網絡數(shù)。但是需要注意的是使用VLSM時，所采用的路由協(xié)議必須能夠支持它，這些路由協(xié)議包括RIP2，OSPF和BGP。VLSM可變長子網掩碼VLSM（Variable Length Subnet Mask, 可變長子網掩碼），這是一種產生不同大小子網的網絡分配機制。因此我們必須對XXXX新大樓網絡的IP地址進行詳細規(guī)劃。 IP地址規(guī)劃IP地址分配的基本原則為：充分考慮到地址空間的合理使用，以使網絡地址分配規(guī)則清晰，并實現(xiàn)業(yè)務流量的均勻分布。VLAN　ID號的規(guī)劃由1到4096，我們定義ID10為網管網段，用于分配網管IP地址，剩余VLAN　ID號根據(jù)需要按順序分配給各接入部門，每個接入部門占用一個ID號。根據(jù)XXXX實際情況，我們在劃分VLAN時，建議采用基于端口分配方式進行VLAN劃分。 通過VLAN的合理有助于網絡安全性提高。 VLAN的編號可按照各部門的位置分布，或是職能作用情況來進行規(guī)劃；216。VLAN配置方案VLAN實施規(guī)劃依據(jù)以下原則：216。MSTP在改進Spanning Tree的同時，保持了與IEEE Spanning Tree的兼容性。MSTP（多生成樹協(xié)議）采用RTSP（快速生成樹協(xié)議）實現(xiàn)快速匯聚，可以提供多條數(shù)據(jù)的轉發(fā)路徑，從而實現(xiàn)負載均衡。VLAN和MSTP的實現(xiàn)我們所推薦采用的交換機可以根據(jù)需要，實現(xiàn)在單一交換機上劃分VLAN、在多臺交換機上劃分VLAN(跨交換機VLAN)、根據(jù)端口劃分VLAN、根據(jù)MAC地址VLAN、根據(jù)IP等協(xié)議劃分VLAN、根據(jù)IP子網劃分VLAN。 　　在以三層交換機為核心的網絡中，為保證不同職能部門管理的方便性和安全性以及整個網絡運行的穩(wěn)定性，可采用VLAN技術進行虛擬網絡劃分。三層交換機在對發(fā)往某一目的主機的數(shù)據(jù)包進行路由后，會產生一個MAC地址與IP地址的映射表，當發(fā)往同樣目的主機的數(shù)據(jù)包再次通過時，將根據(jù)此表直接從二層通過而不是再次路由，從而消除了路由器進行路由選擇而造成網絡的延遲，提高了數(shù)據(jù)包轉發(fā)的效率，消除了路由器可能產生的網絡瓶頸問題。由于在局域網上，不同VLAN之間的通信數(shù)據(jù)量是很大的，這樣，如果路由器要對每一個數(shù)據(jù)包都路由一次，隨著網絡上數(shù)據(jù)量的不斷增大，路由器將不堪重負，路由器將成為整個網絡運行的瓶頸。在一個交換網絡中，VLAN提供了網段和機構的彈性組合機制。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。 　　網絡管理簡單、直觀 　　對于交換式以太網，如果對某些用戶重新進行網段分配，需要網絡管理員對網絡系統(tǒng)的物理結構重新進行調整，甚至需要追加網絡設備，增大網絡管理的工作量。 使用VLAN優(yōu)點 　　控制廣播風暴 　　一個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風暴的產生。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。網絡管理員可按MAC地址把一些站點劃分為一個邏輯子網。 　　基于MAC地址的VLAN劃分 　　MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是惟一且固化在網卡上的。 劃分VLAN的基本策略 從技術角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法： 　　基于端口的VLAN劃分　　這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。 VLAN（Virtual Local Area Network）又稱虛擬局域網，是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。MSTP在改進Spanning Tree的同時，保持了與IEEE Spanning Tree的兼容性。這一技術的應用可幫助識別檢測對象的系統(tǒng)資源，分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評估所有存在的安全風險。 目前有一種解決以上問題的解決方案是動態(tài)口令認證技術,，很好地完成對接入內部網絡的計算機用戶的身份確認工作，極大地提高用戶口令的安全性的同時，提高整個網絡系統(tǒng)的安全性。用戶自己可能將口令告訴別人，或者存放在其他地方，被別人獲取。很多用戶在設置口令的時候，為了方便自己記憶而選擇過于簡單的口令，攻擊者通過簡單猜測就可以搞定； 4．通過系統(tǒng)漏洞。很多傳統(tǒng)的網絡服務在詢問和驗證遠程用戶口令的過程中，用戶口令在網絡中用明文傳送，于是網絡中的竊聽者可以竊得用戶口令； 2．通過用戶主機竊聽。用戶身份被冒充不僅可能損害用戶自身