政務外網部署QoS技術

QoS技術原理

QoS（Quality of Service，服 務質量）是網絡的一種安全機制，是用來解決網絡延遲和阻塞等問題的一種技術。QoS共有3種服務模型：盡力而為(Best-Effort)，綜合服務(IntServ)模型和區分服務(DifServ)模型。

Best-Effort是最簡單的服務模型，應用程序可以在任何時候，發出任意數量的報文，而且不需要事先獲得批準，也不需要通知網絡。Best-Effort服務對時延、可靠性等性能不提供任何保證。可用于一般的互聯網業務，如電子郵件、HTTP等。

綜合服務(IntServ，Integrated Service)模型在發送報文前，需要向網絡申請特定的服務。這個請求是通過信令(目前采用資源預留協議RSVP)來完成，應用程序先通知網絡發送報文的流量參數和所需的服務質量請求(如帶寬、時延等)，應用程序在收到網絡預留資源的確認信息后，才開始發送報文，發送報文被控制在流量參數規定的范圍內。

DiffServ模型是根據優先級標記，對特定的行為集合(BA)使用逐跳轉發行為(PHB，Per-Hop Behavior)，通過擁塞管理機制、流量整形、流量監管、擁塞避免等作相應的區別處理。

DiffServ除盡力而為服務外，還可以提供以下兩種服務：

第一，加速轉發(EF，Expedited Forwarding)：提供嚴格的優先轉發服務。

第二，確保轉發(AF，Assured Forwarding)：提供傳送保證，并允許超額質量保證。

DifServ和IntServ兩種服務模型比較起來，IntServ是更為嚴格意義上的服務保證，在無法確保資源需求的情況下不建立傳送通道，但其對設備要求較高，兼容性較差；DiffServ是區分類型、無連接狀態的保障模式，有更好的靈活性和可擴展性。在目前政務網帶寬資源較為豐富、設備種類復雜的情況下，DiffServ是更適合的QoS服務模式。

省政務外網QoS部署方案

1.業務等級劃分和QoS策略

省電子政務外網是一個以IP為傳輸平臺的網絡，在這個網絡上除了一般的互聯網接人業務之外，還承載政府行業的重點應用系統向各地區延伸的多種業務、多種應用，這些業務對可靠性、時延、時延抖動等服務質量有不同需求。可以根據這些業務類型定義不同的業務優先據，并分別使用不同的擁塞避免機制和QoS策略，如表1所示。

電子政務外網中將主要實現對不同數據流的分類和標記，其他QoS技術將主要應用于廣域網，主要進行了如下的考慮：

（1）分類和標記策略：在各功能區的接入層，可以根據不同Input端口、MAC地址、源/目的IP地址、IP協議或應用端口號，對不同應用數據流進行分類，并采用DSCP對數據包進行標記。

（2）隊列調度策略：在連接廣域網的路由器上設置相應的業務隊列（如 ：EF、AF4、AF3以及AF2隊列），采用CBQ（CBWFQ）、LLQ 等技術，控制打了不同優先級標記的數據流能占用相應的網絡帶寬及優先發送絕對保證的數據流。

圖1 政務外網QoS層次化部署模型

（3）擁塞避免策略：擁塞避免技術用于監控網絡流量負載，力求在網絡瓶頸處避免網絡擁塞。采用尾丟棄和WRED技術對擁塞的流量進行閥值分配，對擁塞的流量根據事先分配的閥值隨機丟棄數據包，當擁塞超過閥值最大值時，采用尾丟棄，丟棄所有數據包。

（4）限速和整形：采用流量桶（CIR）技術對合同約定速率的業務在入接口上對其進行流量管制或整形，限制流量，對超出的流量進行降級標記或丟棄。

2.層次化部署QoS

為實現業務端到端的QoS，我們在省電子政務外網上的QoS設計需要考慮接入網和廣域網兩個層面，這兩個層面設備需要開啟的功能歸納如圖1所示。

（1）接入網QoS部署

由于業務單位內部局域網一般均為100/1000以太網組網，傳輸鏈路上一般不會阻塞，所以不考慮內部QoS的部署。政務網絡邊界接入交換機端口不信任最終用戶帶來的CoS值，按照表1的規劃主要實現業務的分類和預處理。

分類。當接收到數據包的時候，網絡設備中的分類器將根據IP包的包頭提供的信息來進行判定，有兩種方法：一種是讀取IPv4頭部的Tos字段中的信息；另一種方式是讀取IP頭部與某個特殊的應用相關的信息，如源IP地址，源端口號，目的IP地址，目的端口號和協議類型等。分類器根據這些信息對數據包進行分類。

表1 政務外網業務等級分類及相應的保障策略

預處理和排隊。在數據包被分類標記以后，節點根據預先設置好的信息與當時的狀況確定該數據包是要被監管、整形，還是排入某個特定的隊列進行等待。流量監管用于監督進入網絡的某一流量的速率，使之不超出承諾的速率。流量整形則是一種主動調整流量輸出速率的措施，它對流量監管中需要丟棄的數據包進行緩存，然后以恒定的速率發送出去。

（2）廣域網QoS部署

對于三層廣域網絡，一般采用DSCP來進行分類和標記。通過 LLQ、CBWFQ、WRED技術對重要業務進行擁塞管理和擁塞避免，對于IP專線業務，如果用戶合同約定速率小于接入端口速率，采用流量監管策略(policing)，限定用戶的CIR值，并根據合同約定或根據網絡容量情況，設置合理的突發流量，在設備支持的情況下采用雙速率三色標記，對超過部分進行降級重標記。

標記。邊緣路由器使用IPv4報頭中的業務類型(ToS)字段，并將8位ToS字段重新命名，可將ToS字段映射到DSCP字段。通過該字段的標記，下行節點可獲取足夠的服務質量信息，以對到達該端口的數據包做出相應的“處理”，將他們正確地轉發給下一跳的路由器。

擁塞管理。采用CBQ（CBWFQ）+LLQ的方式，根據已經定義的DSCP標記，對不同的數據流分配不同的帶寬，對重要業務進行擁塞管理和擁塞避免。對于普通業務流量，如果用戶合同約定速率小于接入端口速率，采用流量監管策略(policing)，限定用戶的CIR值，并根據合同約定或根據網絡容量情況，設置合理的突發流量，在設備支持的情況下采用雙速率三色標記，對超過部分進行降級重標記或丟棄，對超出的流量在出口處配置擁塞管理策略優先丟棄。

部署QoS業務系統的運行情況

目前省電子政務外網承載了政府多項業務應用，包括高清視頻會議系統、IP語音電話等，針對政務部門不同業務系統的優先級部署了相應的QoS策略，經長期運行觀測表明，業務系統運行實時性強、穩定、可靠。具體應用效果如表2所示。

表2 已部署QoS業務系統運行情況