基于QOS的高效安全网络研究

2011-08-15穆晓龙

河北软件职业技术学院学报 2011年1期

穆晓龙

（河北省保定市家具工业公司网络中心，河北保定 071000）

1 网络现状分析

随着互联网技术的高速发展，计算机网络遍及世界，人们通过网络来完成各种工作。但是网络的广泛应用也给人们带来了难以处理的问题，例如安全性、带宽、稳定性、费用等。因此一个稳定、安全、廉价的网络变得尤为重要，在构建这个网络之前需要认识当前我们所面临的问题。

1.1 网络安全问题

在15年之前，网络安全是一个很简单的问题，同样也十分容易解决。因为当时网络范围很小，仅局限于几所大学和政府机构的链接，用户仅需使用密码对账户进行加密即可，同时使用简单的包过滤防火墙限制流量。然而随着网络的发展壮大，黑客攻击、蠕虫、病毒和其他网络威胁也日益增多，安全性成为网络主要的问题之一。而且随着对Internet探索的不断深入，软件应用的增加以及日渐频繁的黑客攻击，网络安全成为十分复杂的问题，需要制定一个很周密的安全方案来解决当前的问题。此类方案既不能影响用户的正常业务，又要有足够的灵活度来适应未来网络的扩充和技术的拓展。

1.2 实时数据传输问题

当前网络承载着大量的实时数据，如视频会议、网络教学、IP电话等。此类数据的特点是数据量大、对延迟相当敏感，需要较大带宽的支持，用户才可以得到清晰和连续的语音和视频服务。然而用户通常会走入一个误区，即一味的增加带宽和更新设备而不去做详细规划，其实多数的园区网络带宽和设备足以满足用户的所有需求，只是缺乏详细的规划，网络中有大量带宽被垃圾数据侵占，同时各种下载流量也是带宽消耗的重要原因。因此，如果能合理地规划分配带宽，用户就可以在同样的硬件基础上实现更高的应用要求。

1.3 内外网络负载均衡

负载均衡设备近些年被人们逐渐重视起来。事实上，负载均衡的机制一直都在我们身边，只不过没能真正被人们使用。用户普遍认为负载均衡设备仅适用于带宽的负载，其实负载均衡涉及到多个层面，例如带宽、链路、设备等等都使用了负载均衡的机制。另外，人们对负载均衡的考虑大多都是局限在外网，很少考虑到内网，然而事实证明，内网的负载不均所引起的网络故障远远多于外网，而且由于用户对网络负载均衡设备认识不深，一味地增加网络负载均衡设备，在无形当中也增加了网络的单点故障率，同时产生了带宽瓶颈。

1.4 资金问题

网络设备的价格一直都是用户所关心的问题，一个网络设备具备高性能的同时也代表了高昂的价格。一些资金充裕的用户为了追求高性能，使用多种不同的专业设备，耗费大量资金打造高性能的网络环境。这样做往往不是一个好的选择，由于设备种类繁多，对日常维护人员的技术要求也是一个考验，而且随着设备的增多，网络故障率也在无形之中增大。对于那些资金不足的用户来说，更是无力支付高昂的设备及其维护费用。

2 QOS综合实现多种网络需求

QOS（Quality of Service）即服务质量。相对于网络应用流量，服务质量包括传输带宽、传送时延、丢包率等。在网络中可以通过规定传输带宽、减少传送时延、降低丢包率以及时延抖动等方式来保证服务质量。

网络资源是有限的，只要存在抢占网络资源的情况，就会影响服务质量。服务质量是相对网络应用而言的，在保证某方面服务质量的同时，可能就是在影响其他方面服务质量。因此，网络管理者需要依据各种应用的特点来对网络资源进行合理的分配和计划，从而使网络资源得到高效利用。

2.1 QOS的安全策略的实施

常规意义的安全设备在对网络进行安全保护时，通过IP包头的源地址和目的地址进行策略的操作，一些高端的功能是对内容和状态进行控制，但是对内容和状态进行控制最大的问题就是对网络产生巨大的延迟，当然高处理能力的安全设备也可以减小延迟，但是用户最常使用的就是基于源目的和协议的安全控制。对于这些常规的用户要求，QOS提供的功能完全可以完成同样的操作。QOS的实质功能是对易识别数据进行带宽的分配，因此可以配合标准和扩展ACL进行安全的控制，实现对匹配数据进行0带宽分配以实现对被标记数据的丢弃，从而完成对网络的保护。而且当前很多路由，包括智能交换设备，都具有流量识别功能，可以帮助用户对数据进行分类和统计，类似CISCO NBR功能，利用此类功能我们就可以完成所有日常所需的安全控制，同时由于使用了QOS，用户可以减少网络中安全设备的数量，从而降低网络的故障率。

2.2 QOS对实时数据的处理

QOS在发展之初就是为了更有效地使用网络带宽。QOS可以为实时数据（例如语音视频）分配固定带宽，即使网络处于繁忙状态，此类数据也可以顺畅地被传输。由于QOS中有丰富的队列控制机制和拥塞控制，可以对不同种类的数据使用不同的队列机制，常见的队列机制有四种：FIFO、PQ、CQ、和WFQ。

（1）FIFO是传统的先入先出队列。

（2）PQ（优先级队列）共四个优先级：High、Medium、Normal、Low。拥有高优先级的优先发送，常应用于不重要的应用，它不能保证各种应用服务的质量。

（3）CQ（用户定制队列），顾名思义，就是用户可以预定义接口的队列，最多可以定义16个，另外有一个系统队列供系统调用，因此共17个队列。用户可以根据协议类型、报文大小、端口以及ACL规则为每个队列分配带宽，每个队列根据预定的带宽发送数据，CQ效率很高，但是其配置复杂，需对机制有深入理解。

（4）WFQ（加权公平队列）可按照不同的数据流和IP优先级，自动按照HASH算法，分配不同的队列，在保证高优先级业务的同时，按照权重的不同将带宽公平的分给低优先级的队列，配置简单，能够智能规划队列和调度，但是比较耗费系统资源。对于实时数据可以使用高优先级的队列机制进行控制以及流量分配，并且配合QOS的拥塞控制和避免机制来实现重要数据的无障碍发送。

2.3 QOS模拟负载均衡

在QOS中用户可以自定义流量的路径，以此来实现负载均衡的效果。传统意义上的负载均衡设备主要分为两个方面，分别是链路负载均衡设备和IP流负载均衡设备。一般情况下链路负载均衡设备安放在网络的出口位置，提供物理线路上的负载均衡，但其价格十分昂贵，很少有网络配置。IP负载均衡设备，使用在网络内部，提供输出流量的负载分担，此类设备的工作原理和QOS中策略路由很相似，通常情况下QOS技术通过ACL或是TOS字段等标记工具来匹配自定义流量，并对流量进行下一条路径的指定，而且当前QOS还可以根据802.1P决定二层数据发送次序。802.1P协议头包括一个3位优先级字段，3位的优先级字段可使802.1P的优先级分为8种。官方定义最高优先级为7，应用于关键性数据流量，如路由选择信息协议（RIP）和开放最短路径优先（OSPF）协议的路由表更新。优先级6和5主要用于对延迟敏感（delay-sensitive）应用程序，例如交互式视频和语音。优先级4到1主要适用于受控负载（controlled-load）应用程序，如流式多媒体（streaming multimedia）和关键性业务流量（business-critical traffic）中的SAP数据以及“loss eligible”流量。优先级0是缺省值，在没有设置其他优先级值的情况下自动启用。当然以上参数也可以通过自定义设定来实现个性化的负载均衡要求。由此可见，可以使用QOS来完成二、三层的流量负载均衡，来满足我们日常所需。

2.4 QOS低成本的优势

不管是安全设备还是流控设备，网络硬件设备都有一个共同特点，这就是高昂的价格。对于资金不充足的客户，价格会是一个巨大的阻碍。但是QOS可以解决此类问题，由于人们对于QOS技术的认识仅仅局限在实时数据的处理上，忽视了QOS技术全面的功能。事实上，从另一个角度去理解QOS，可以使用户操作实时数据按照人们的需要传输，同样也可以使用QOS技术操作其他类型的数据传输。QOS技术已经出现多年，但其价值一直没有被人们所重视。其实一个基于高效处理平台的QOS技术完全可以充当一个综合的网管设备，同时给人们提供安全、流控以及负载均衡的功能。这样一来，在网络设计中使用过多的专业设备来完成特定的工作，可以为用户节省巨额的费用，同时也可以减少网络中的单点故障率。