APP下载

基于QOS与策略路由的多业务网络研究

2015-07-05马占飞卢荣

2015年9期
关键词:服务质量计算机网络网络安全

马占飞 卢荣

作者简介:马占飞(1973-),男,内蒙古包头人,博士,教授,CCF会员(E200007270S),研究方向:计算机网络、信息安全和人工智能。

卢荣(1984-),男,内蒙古包头人,本科,研究方向:计算机科学与技术。

摘要:随着多业务、多出口、多计费的网络结构成为一种趋势,数据流量也大幅增加,对网络带宽和设备性能提出更高要求。此外,板卡式入侵防御系统IPS在与核心交换板卡共用引擎的集成方式中需要将数据流量引流至IPS。这些都是在多业务网络中需要亟待解决的问题。通过对多业务数据流重新规划,利用QOS技术和策略路由既能对数据流量进行有效控制,有效减少网络设备端口流量、将流量引流至IPS,增加网络的安全性。

关键词:计算机网络;网络安全;服务质量;策略路由;多业务

1.引言

网络技术作为各个应用系统发展的支撑,在信息化呈爆炸式发展的今天,仍然起到了举足轻重的作用,尤其是在多业务,多网关,多计费系统,多出口的网络环境中,传统的网络体系结构并发量大,占用带宽高,丢包率也高。如何能提高带宽利用率,减少交换设备吞吐量,增加带宽利用率,这就要求能有一种技术实现对流量进行有效控制,对报文实现精确转发,而QOS技术和策略路由可以有效的解决这一难题,在多业务网络环境中起到了举足轻重的作用。

2.QOS技术及策略路由技术

QoS(Quality of Service)即服务质量[1]。对于网络业务,服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。

2.1QOS技术

通常QoS提供以下三种服务模型[2]:Best-Effort service(尽力而为服务模型);Integrated service(综合服务模型,简称Int-Serv);Differentiated service(区分服务模型,简称Diff-Serv;)如图1QOS基本模型

QoS技术包括流分类、流量监管、流量整形、接口限速、拥塞管理、拥塞避免[3]等。QOS在流分类、流量监管、流量整形、拥塞管理和拥塞避免主要完成如下功能:

(1)流分类:采用一定的规则识别符合某类特征的报文,它是对网络业务进行区分服务的前提和基础。

(2)流量监管:对进入或流出设备的特定流量进行监管。当流量超出设定值时,可以采取限制或惩罚措施,以保护网络资源不受损害。可以作用在接口入方向和出方向。

(3)流量整形:一种主动调整流的输出速率的流量控制措施,用来使流量适配下游设备可供给的网络资源,避免不必要的报文丢弃,通常作用在接口出方向。

(4)拥塞管理:就是当拥塞发生时如何制定一个资源的调度策略,以决定报文转发的处理次序,通常作用在接口出方向。

(5)拥塞避免:监督网络资源的使用情况,当发现拥塞有加剧的趋势时采取主动丢弃报文的策略,通过调整队列长度来解除网络的过载,通常作用在接口出方向。

2.2QoS配置方式

QoS的配置方式分为QoS策略配置方式和非QoS策略配置方式两种。

有些QoS功能只能使用其中一种方式来配置,有些使用两种方式都可以进行配置。在实际应用中,两种配置方式也可以结合起来使用。

(1)非QoS策略配置方式

非QoS策略配置方式是指不通过QoS策略来进行配置。例如,端口限速功能可以通过直接在接口上配置来实现。

(2)QoS策略配置方式

QoS策略配置方式是指通過配置QoS策略来实现QoS功能。QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,灵活地进行QoS配置。

类:类的要素包括:类的名称和类的规则。用户可以通过命令定义一系列的规则来对报文进行分类。同时用户可以指定规则之间的关系:and或者or。and:报文只有匹配了所有的规则,设备才认为报文属于这个类。or:报文只要匹配了类中的任何一个规则,设备就认为报文属于这个类。

流行为:流行为用来定义针对报文所做的QoS动作。流行为的要素包括:流行为的名称和流行为中定义的动作。用户可以通过命令在一个流行为中定义多个动作。

策略:策略用来将指定的类和流行为绑定起来,对分类后的报文执行流行为中定义的动作。策略的要素包括:策略名称、绑定在一起的类和流行为的名称。用户可以在一个策略中定义多个类与流行为的绑定关系。

2.3策略路由

策略路由是一种可基于报文源和目的地址等信息制定策略,满足已通过匹配定义的ACL列表的报文实现策略路由,从而从指定的接口转发需求的技术。按照策略路由作用对象不同,可分为本地和接口策略路由;按照处理方式可分为强(制)策略路由和弱策略路由。

3.基于QOS与策略路由的多业务网络整体架构与实现

3.1多业务网络的整体结构

多业务网络的拓扑结构如图2所示。一台锐捷RG-NPE60网络出口引擎做出口设备,两台H3CS10508系列交换机做核心交换机,核心交换采用IRF2虚拟化部署,堆叠虚拟成一台设备;核心交换物理双线路上联至NPE60路由器;安全产品用H3C的防火墙板卡和入侵防御系统(以下简称IPS)板卡。原计费系统作为家属用户的计费系统部署在服务器区;新计费系统作为网关设备透明串联在另一条上联线路中。

3.2多业务网络数据流规划

由于两台核心交换采用IRF2技术虚拟为一台设备,防火墙和IPS都采用插拔式板卡,一部分用户沿用原计费系统,另外一部分用户使用新计费系统。规划整体的网络流量走向如下:

(1)用户数据报文上行访问外网走向:用户计算机→接入层交换→汇聚交换→三层交换路由表→出口路由器:

(2)用户数据报文上行访问内网服务器:用户计算机→接入层交换→汇聚交换→三层交换路由表→IPS→防火墙→应用服务器

(3)用户接收数据报文下行走向到用户:出口路由器→防火墙→IPS→三层交换路由表→接入层交换机→用户计算机

(4)用户接收数据报文下行走向到服务器:出口路由器→防火墙→IPS→三层交换路由表→接入层交换机→用户计算机→应用服务器

(5)其中,家属用户任然使用旧计费系统,数据包上行至核心交换机后选择走一条链路;其他用户上行后到新计费系统,再上行至出口设备。这样一方面在一条链路宕掉后能起到互备的作用,另一方面两条链路负载均衡。

这种流量走向的规划能保证应用系统服务器在防火墙和IPS的保护之下,安全性上有了极大的保证,也满足了双计费系统的实现。减少了报文的重复的发送,降低了核心交换的吞吐量,有效提高了核心交换机的交换速率,增加了线路的带宽利用率。

3.3多业务网络的配置与实现

传统的防火墙和IPS都是独立的硬件设备,随着工业的发展,降低产品成本,也出现了新型的板卡式防火墙和IPS设备,相当于一块交换板卡,在系统集成过程中,会与核心交换机共用一台引擎。IPS不同于交换机、路由器,IPS本身不参与报文选路和交换,而是透明部署。当用户数据发送到核心交换机时,会直接按照路由转发至下一跳路由,流量不会经过到IPS,所以必须采用技术手段来强行将用户数据引流到IPS。

通过对上面整体流量的规划以及IPS需要透明部署的实际应用下,需要用QOS技术及策略路由来引流,具体实现步骤如下:

(1)根据源地址对用户群建立ACL分类:A用户、B用户。

acl number XX//源地址服务器类//

rule X permit ip destination XXX.XX.X.X 0.0.0.255

(2)定义ACL规则和所匹配的QOS类名称及流行为,这步主要是利用前面建立的ACL规则来建立流类。该流分类详细定义ACL规则和所匹配的类名称。

traffic classifier g_btsy operator and if-match acl XXXX

(3)建立QOS流行为,定义流名称和流行为,行为规定报文的走向。

traffic behavior q_btsy

filter permit

traffic behavior b_btsy

redirect interface Ten-GigabitEthernet1/7/0/1

(4)做QOS流策略,将前面建立的QOS类和QOS行为捆绑,这样就可以控制流行为,按照实际的需要能灵活的应用到实际应用中。

qos policy X

classifier r_btsy behavior s_btsy

(5)将QOS策略应用到核心交换相应的各个端口,实现QOS引流。

interface Ten-GigabitEthernet1/0/0/9

qos apply policy X inbound

针对网络环境的应用需求及流量分析,利用ACL、QOS定义流分类、流行为、重定向策略;在核心交换接入端口引入策略,对流量进行重新定向。根据前面流量的分析,对各种不同的流量做相应的ACL,然后分类,流行为,并重新定向策略。具体配置实现如下:

4.测试与分析

4.1实验环境配置

本实验环境主要采用1台锐捷NPE60出口路由,2台H3C-S10508交换机做为核心交换,1台板卡式防火墙,1台板卡式入侵防御系统IPS,1台服务器及终端PC机若干台,千兆光模块,单模光纤。

首先,对网络环境做传统网络基础搭建,配置OSPF路由协议,实现互联互通。并测试连通性。统计网络设备的端口流量,但是插卡式入侵防御系统IPS无法直接集成。

# ospf XX

area 0.0.0.0

network 192.168.254.X 0.0.0.3

其次,对网络环境做传统网络基础搭建,配置OSPF路由协议,并且对多业务网络数据流进行规划整形,建立QOS和策略路由,即实现了对数据流量的有效控制,让数据流量按照网络数据流量的规划进行路由,同时,QOS和策略路由能强行将流量引流至安全设备入侵防御系统IPS上,增加了网络的健壮性。

4.2实验对比分析

与传统网络流量的对比,利用QOS策略路由引流后的交换端口有了明显的改善,减少了报文的重复发送,降低了核心交换的吞吐量,有效提高了核心交换机的交换速率,增加了线路的带宽利用率。如图3为核心端口数据流量前后对比,如图4为防火墙端口数据流量前后对比.

首先,传统的网络流量是在核心交换上按照物理地址或者路由转发至端口或下一跳,但是在多业务,多网关,多计费系统,多出口的网络环境中,由于线路带宽和核心交换性能有限,有部分报文在物理传送过程中会被丢弃,这样会产生大量重复的请求和应答报文,产生了冗余的线路带宽和消耗了核心交换的性能,经过对多业务网络流量的分析,我们重新規划了业务流量的具体走向,利用QOS做策略路由,指定了各个业务流量的路由,可以大大减少重复报文的请求和发送。

其次,入侵防御系统IPS在网络环境中是重要的安全系统,抵御外来入侵,防护内部重要系统的安全性,由于入侵防御系统在网络部署是需要透明部署,所以报文到核心交换后,无法流经与核心交换板卡共用一个引擎的IPS板卡,这时就需要QOS引流至IPS,实现了安全产品与交换产品的共用引擎部署方式,有效提高了网络的安全性和稳健性,大大降低了网络产品的成本。

5.结论

此解决方案利用QOS技术及策略路由技术,有效解决了在板卡式防火墙及IPS与核心交换板卡共用引擎集成方式中,如何将流量引流至防火墙板卡与IPS板卡的问题。经过对现有业务数据流的重新规划,利用QOS技术及策略路由技术,有效控制了多业务网络环境中数据流向问题,对数据报文按要求转发提出了一种应用方式。(作者单位:1.内蒙古科技大学信息工程学院;2.包头师范学院)

参考文献:

[1]H3C.H3C S10500系列路由交换机ACL和QOS配置指导,H3C 配置手册,2013

[2]刘伟,王双勇.IP承载网QOS保证解决[J].信息通道,2012(4)

[3]赵云飞.ACL、QOS和策略路由在数据中心的应用[J].信息通信.

猜你喜欢

服务质量计算机网络网络安全
网络安全
网络安全人才培养应“实战化”
计算机网络环境下混合式教学模式实践与探索
计算机网络信息安全及防护策略
上网时如何注意网络安全?
计算机网络技术的应用探讨
倾听患者心声 提高服务质量
坚持履职尽责 提升服务质量
以创建青年文明号为抓手提升服务质量
计算机网络维护工作的思考