电子政务网建设方案(共53页).doc

《电子政务网建设方案(共53页).doc》由会员分享，可在线阅读，更多相关《电子政务网建设方案(共53页).doc（53页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上电子政务网建设技术建议书目 录1 前 言政府及事业单位一直是中国信息化的先行者，政府网络的建设已经比较完善。随着“电子政务”建设的进一步深入，政府信息化建设重点变化明显，电子政务业务系统的受重视程度继续加强；而办公自动化、信息安全和政府门户网站建设的受重视程度显著加强。按照政府网络管理的要求，必须保障含有国家机密信息的“内网”不但要求的绝对安全。但随着电子政务、网上政府、政府自身的信息化业务系统等的发展，政府与自身各分支机构、外界相关单位信息交互的“外网”安全和互连互通就变得更为必要。此外网络的安全问题日益显得尤为重要。2 网络平台需求分析随着电子政务系统信息化的发展

2、，电子政务内网网络平台逐渐从“分离的专网”向“统一网络平台”转化，成为主流的建网思路。其基本思想都是在一个统一的网络平台上为各种业务系统提供传输通道，以及方便地实现流程整合。统一网络平台解决了业务专网建设思路存在的问题，其优势如下：利于网络扩展：当增加新的业务系统时不需要建设新的专网，而是由网络平台统一分配网络资源；当业务专网扩容时不需要单独扩容，首先通过统一网络平台扩展其容量，当统一网络平台容量不足时再考虑对整个平台进行扩容。管理成本低：统一网络平台由专门的部门统一维护，不需要每个业务部门都设置网络管理员及网管，极大地降低了管理成本。网络资源利用率高：由于各业务系统对网络资源（如带宽）的需求

3、由统一网络平台来满足，可以根据各业务系统实际的流量动态调整带宽，充分利用网络资源。利于业务系统之间的信息共享和流程整合：由于各业务系统采用统一的网络平台，相互之间很容易实现互访，为在将来进行信息共享及业务横向提供了良好的基础。为充分满足电子政务系统信息化发展的要求，统一网络平台还需要满足以下的关键业务需求：部门系统之间的安全隔离：不同部门系统之间需要提供安全隔离，避免非法访问。电子政务系统业务系统之间的互访：部分业务系统，如领导决策公文下发数据、政策公布、业务数据上报业务等之间有相互访问的需求，随着业务纵向整合的开展各单位系统之间需要更加紧密地联系在一起；网络平台必须满足各单位系统互访的要求及

4、安全性。不同业务系统的差别服务（COS）：不同业务系统，需要网络平台提供差别服务，诸如电子政务系统对OA办公和语音通话等有很大的需求，数据、视频和监控对带宽、实时性有不同的要求。为业务系统提供灵活的网络拓扑：各应用系统的业务网络逻辑模型是不同的，有的业务需要星型结构的网络，有的系统需要网状结构。电信级的可靠性：电子政务网是政府系统关键业务平台，其网络平台必须具有电信级的可靠性，在设计中要充分考虑设备、链路、路由的冗余，以及快速自愈恢复能力。可管理：建议引入电信级的网络管理和业务管理方法，以确保网络和业务运行的稳定可靠。可扩展：网络平台的设计应该是能够充分考虑可扩展性，包括链路带宽的扩展、设备容

5、量的扩展，以及拓朴的优化。可优化：可以将电子政务网承载的各单位系统业务看成是统一网络平台的一个“客户”。网络平台需要对每一个客户（如监控、视频系统）等进行实时的监控，不断优化其网络资源。电子政务网方案本着先进性、现实性和经济性统一的原则进行设计，设计的网络具有高性能、高可靠性、扩展性、标准化和可管理性的特点，能灵活地根据需求提供不同的服务等级并保证服务质量。该网络将采用最先进的网络技术和高速设备，为电子政务等各类信息系统提供统一的综合业务网络平台，与原有设备和网络实现良好的互通，降低管理成本和提高管理效率。2.1 网络建设目标电子政务内外网，主要包括所需要的路由器、交换机、网管、网络准入系统、

6、防火墙、IPS等设备及工程所需要的配套设备等。工程功能可实现系统的内网办公、上联市一级电子政务内网、访问Internet等需求。网络的建设是为业务的发展服务，综合考虑几年内业务发展及现有网络状况，电子政务内网建设要达到如下目标：电子政务内网业务数据由同一网络平台承载，电子政务网络的建设，应该考虑到网络的扩展性、可靠性、安全性。IP电话业务、监控和会议电视，为各部门工作的开展提供灵活方便的手段。数据、语音等（后续将要运行的监控、视频）各类业务应用对网络的需求在实时性、带宽需求、接入方式、安全性、数据分布特征等方面各有其特点。因此，在进行电子政务内网的建设时，需要在网上开展IP视频业务、监控业务及

7、会议电视等相关的业务。建立统一的综合信息系统平台网络。按照业务的需要，建设骨干网络，统一全网的安全控制措施和安全监测手段。集中网络管理，实施分级维护；进一步规范IP地址的应用；积极开展网络综合应用。将电子政务内外网建设成为一个综合、高性能的网络： 综合性为多种业务应用与信息网络提供统一的综合业务传送平台。 支持QOS能根据业务的要求提供不同等级的服务并保证服务质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的IP QOS功能。 高可靠性具有很高的容错能力，具有抵御外界环境和人为操作失误的能力，保证任何单点故障都不影响整个网络的正常运作。 高性能在高负荷情况下仍然具有较高的吞吐能力和效率，

8、延迟低。 安全性具有保证系统安全，防止系统被人为破坏的能力。支持AAA功能、ACL、IPSEC、NAT、ISPkeeper、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能以及MPLS VPN。 扩展性易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。 开放性符合开放性规范，方便接入不同厂商的设备和网络产品。 标准化通讯协议和接口符合国际标准。 实用性具有良好的性能价格比，经济实用，拓扑结构和技术符合骨干网信息量大、信息流集中的特点。 易管理为达到集中管理的目的，网络平台支持虚拟网络，并可与路由器、骨干和局域网交

9、换机配合，整个网络可以进行远程控制。集中网管具体方案参见网管部分的描述。 有效性保证5年以内硬件设备无需升级，就可满足一般业务的需要，且运行稳定可靠。2.2 网络建设原则为达到网络优化和将来扩展的目标要求，在电子政务内外网，应始终坚持以下建网原则: 高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。 标准开放性支持国际上通用标准的网络协议(如TCP/IP)、国际标准的大型的动态路由协议(如BGP,OSPF)等开放协议，有利于以保证与其它网络之间的平滑连接互

10、通，以及将来网络的扩展。 灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。 可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。 安全性制订统一的骨干网安全策略，整体考虑网络平台的安全性。可以通过VPN和VLAN实现各业务子网隔离，全网统一规划IP地址，根据不同的业务划分不同的子网(subnet)，相同物理LAN通过VLAN的方式隔离，不同子网间的互通性由路由策略决定。 保护现有投资在保证网络整体性能的前提下，充分利用现有的网络设备或做必

11、要的升级，对其他的设备用作骨干网外联的接入设备。 统一标准、统一平台网络的互联及互通关键是对相同标准的遵循，在网络中，由于有多个网络并存，要使这些网络能融合到一起，实现业务整合及数据集中等业务，就必须统一标准。在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。3 网络平台基础建设3.1 网络整体结构电子政务系统整个网络系统划分成内网和外网，两个物理隔离的网络。内网和整个电子政务网络相连，承载上联上一级电子政务网、办公OA等业务。外网主要负载一些对外业务，如访问Internet、网

12、站信息公示等。从政府系统行政管理和技术的角度来看，建议采用层次化的网络设计结构，这样既方便了管理，也有利于扩展和灵活布置。采用层次性设计方案的优势: 网络及路由层次清晰:分层网络结构，路由设计更清晰，可以尽量避免核心区域的路由受到边缘链路震荡的影响。 网络及业务扩展性好，降低建设成本:采用分层结构之后，在电子政务系统内网业务扩展(带宽扩展、节点扩展)时，可以通过内网核心层扩展端口来实现。当增加一个部门或科室，直接在核心核心交换机上扩展端口，降低了投资成本，提高了网络的扩展性。分层结构在业务扩展时对网络核心层及路由规划没有影响，平滑过渡。而如果在核心交换机上直接扩容需要更改大量骨干设备的配置及路

13、由规划。 网络可靠性高:采用分层结构之后，功能模块相互独立，如FE/GE接入、N2M接入、核心转发由不同的设备来完成，不会相互影响，提高了整个网络的可靠性。整个网络方案在路由备份、物理位置分离、局域网链路备份、虚拟路由备份、设备级可靠性等方面做了比较充分的考虑，可有效保证电子政务网络的健壮性。 便于维护采用分层结构之后，功能模块相互独立，如FE/GE接入、E1接入、核心转发由不同的设备来完成，设备的配置大大简化，便于维护，也便于网络故障定位。采用分层结构，在业务扩展时简单高效，极大降低了管理难度。基于上面对层次化设计、局域网技术和广域网技术的分析，设计了电子政务网络。在网络的设计上主要考虑了网

14、络的性能、可靠性、安全性以及结合国际上成熟可靠的设计思想而提出的。整个电子政务系统的内外网设计采用层次结构，除了可以满足本身业务上和实现办公自动化等的一些基本应用外，未来也可以实现远程监控、视频会议等一些增值的应用。下面介绍一下网络的总体结构。3.2 电子政务内网解决方案新建办公大楼共23层，主机房位于第四层，分机房在13层部署一间，其余每隔2层部署一间机房，内网的建设对各项业务的运转至关重要。下面内网的拓扑图：整个内网的主要架构特点：1) 电子政务内网采用核心、接入的扁平化两层架构，提高了访问速度，管理更方便。2) 网络核心处采用一台高端交换机作为网络的核心，采用双引擎双电源，增强核心设备的

15、可靠性，同时保证数据在双引擎转发的负载分担。3) 各楼宇的接入交换机通过千兆光纤链路上行，与核心交换机相连。整个网络千兆骨干、百兆到桌面，数据传输在链路上没有拥塞。4) 每个分机房部署一台48口的接入交换机，接入各层的信息点。5) 内部局域网安全隐患远远高于外部，在某些PC终端在感染了攻击性病毒后，会不停的对网络中的其他PC终端和服务器发动网络攻击，轻者导致一些用户不能正常上网，重者导致服务器和网络瘫痪。因为网络中所有数据都通过核心交换机进行转发，只要在核心交换机上扩展一块内置防火墙模块，其功能就相当于在核心交换机上的每条链路都部署了一台高性能防火墙，通过这种方式来防御下面终端的攻击。而且防火

16、墙模块可以对不同的部门进行访问权限的划分，控制各种用户访问权限。6) 为防御外部和内部的47层的网络攻击，特别是一些恶性病毒，如木马、蠕虫病毒等，建议在网络中部署IPS系统。但把IPS设备部署到网络前端时，会出现路由器、IPS、防火墙等串行单点部署的情况，整个内网运转时一旦一台设备出现故障，会导致整个网络出口中断，后果不堪设想。我们建议将单独的IPS设备替换成一块能在核心交换机上扩展的IPS模块，不但能有效的解决串行单点部署的情况，而且因为它部署在核心交换机上，所有经过核心交换机的数据都能经过IPS模块过滤，对数据中心的服务器进行应用层保护，可以有效的防止DDOS攻击，和数据库数据更改等黑客行

17、为，整网安全性进一步提高。7) 服务器均以千兆链路直接连接核心交换机，提高服务器的访问速度。8) 在网络的出口处，部署一台高性能的路由器，承担数据的路由转发功能，上联上一级电子政务网。在同时对内网地址做NAT地址转换（NAT地址转换的功能也可以放在核心交换机的防火墙模块上）。9) 为有效防范非法计算机接入到上下级电子政务网内部网络中，和防范合法计算机在安全状态不满足要求的情况接入到网络中，并根据不同用户享有不同网络使用权限。10) 内网承载的业务多为重要的业务，需要信息中心工作人员对整网的安全事件时刻关注，且网络的安全状况通常是根据各种网络设备的日志来进行分析的，为方便网络管理员对整网安全事件

18、进行统一管理，建议在服务器区配置一台安全管理中心SecCenter，对整网设备的安全日志进行统一收集并分析。并可生成各种形式的报告，方便向上级领导汇报。11) 为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰，建议对整网网络设备、业务、用户进行综合管理，方便管理员进行统一管理。12) 为帮助管理员方便的对设备配置文件和软件文件进行集中管理，包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能，在iMC上附送了一个中心业务组件iCC。13) 为帮助管理员对整个网络流量进行有效监控，如可以统计设备接口、IP地址组、的（准）实时流量信息，包括流入、流出速率以及当前速率相对于链路

19、最大速率的比例等，建议配置一套网络流量分析系统，包括在核心交换机上扩展一块网络流量分析模块，和在智能管理中枢iMC上配置一个网络流量分析组件NTA。3.3 电子政务外网解决方案外网上运行的业务相对内网而言，虽然承载的业务重要性要低些，但在网络设计和设备选型不能降低标准。下面是电子政务外网拓扑图：整个外网的主要架构特点：1) 网络核心处采用一台高性价比交换机作为网络的核心，配置双电源。2) 各楼宇的接入交换机通过千兆光纤链路上行，与核心交换机相连， 3) 整个网络千兆骨干、百兆到桌面，数据传输在链路上没有拥塞。4) 服务器均以千兆链路直接连接核心交换机，提高服务器的访问速度。5) 在网络的出口处

20、，部署一台高扩展性的路由器，承担数据的路由转发功能。6) 每个分机房部署一台48口的接入交换机，接入各层的信息点。7) 在路由器的后端部署一台防火墙，对外网数据进行过滤，并对内网地址做NAT地址转换。此种组网方式避免了出口的单点故障，一旦防火墙模块出现问题，也不会出现断网情况，路由器本身有较强的NAT地址转换功能，可接替防火墙的职责。8) 为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰，建议对整网网络设备、业务、用户进行综合管理，方便管理员进行统一管理。9) 为帮助管理员方便的对设备配置文件和软件文件进行集中管理，包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能，在

21、iMC上附送了一个中心业务组件iCC。10) 为方便管理员对终端用户的上网行为进行事后审计，追查用户的网络行为，满足相关部门对用户网络访问日志进行审计的硬性要求，建议配置一套网络行为审计系统，包括在智能管理中枢iMC上配置一个网络用户行为审计组件UBAS，和一个能生成七层日志的DIG探针。11) 建议在外网上部署一套无线系统，无线平台将依托电子政务外网平台，采用集中控制、分布式部署的模式来建设。在电子政务外网上扩展无线插卡来实现对于全网无线系统的统一管理和配置，对前端的无线AP进行统一的配置管理及认证管理。由于外网接入层设备能够支持较好的POE功能，所以在无线网络部署时，不需要考虑其电源位置，

22、使无线AP能够更加灵活的部署。3.4 电子政务安全解决方案网络安全问题已成为信息时代企业和个人共同面临的挑战，电子政务网络安全状态也很严峻。现在计算机系统受病毒感染和破坏的情况相当严重，电脑黑客活动已形成重要威胁，信息基础设施面临网络安全的挑战，信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。本次方案设计的H3C的网络设备提供很高的安全性，通过这些安全特性可用构成一个安全的网络环境。（1）端口IPMAC地址的绑定用户上网的安全性非常重要，端口+IP+MAC地址的绑定关系，H3C交换机可以支持基于MAC地址的802.1X认证，整机最多支持1K个下挂用户的认证。MAC地址的绑定可以直接实

23、现用户对于边缘用户的管理，提高整个网络的安全性、可维护性。如：每个用户分配一个端口，并与该用户主机的MAC、IP、VLAN等进行绑定，当用户通过802.1X 客户端认证通过以后用户便可以实现MAC地址端口IP用户ID的绑定，这种方式具有很强的安全特性：防D.O.S的攻击，防止用户的MAC地址的欺骗，对于更改MAC地址的用户（MAC地址欺骗的用户）可以实现强制下线。（2）接入层防Proxy的功能考虑到政府系统用户的技术性较强，在实际的应用的过程当中应当充分考虑到Proxy的使用，对于Proxy的防止，H3C公司交换机配合H3C公司的802.1X的客户端，一旦检测到用户PC机上存在两个活动的IP地

24、址（不论是单网卡还是双网卡），H3C系列交换机将会下发指令将该用户直接踢下线。（3）MAC地址盗用的防止在网络的应用当中IP地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自己的MAC地址进行修改，然后在进行一些非法操作，网络设计当中我们针对该问题，在接入层交换机上提供防止MAC地址盗用的功能，用户在更改MAC地址后，交换机对于与绑定MAC地址不相符的用户直接将下线，其下线功能是由接入系列交换机来实现的。（4）防止对DHCP服务器的攻击使用DHCP Server动态分配IP地址会存在两个问题：一是DHCP Server假冒，用户将自己的计算机设置成DHCP Server后会与局方的DH

25、CP Server冲突；二是用户DHCP Smurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。H3C交换机可以支持多种禁止私设DHCP Server的方法。（5）Private VLAN解决这个问题的方法之一是在桌面交换机上启用Private VLAN的功能。但在很多环境中这个功能的使用存在局限，或者不会为了私设DHCP服务器的缘故去改造网络。（6）访问控制列表对于有三层功能的交换机，可以用访问列表来实现。就是定义一个访问列表，该访问列表禁止source port为67而destination port为68的UDP报文通过。之后把这个访问列表应用到各个

26、物理端口上。当然往端口一个个去添加访问控制组比较麻烦，可以结合interface range命令来减少命令的输入量。新的命令因为它的全局意义，也为了突出该安全功能，建议有如下单条命令的配置：service dhcp-offer deny exclude interface interface-type interface-number interface interface-type interface-numbert | none如果输入不带选项的命令no dhcp-offer，那么整台交换机上连接的DHCP服务器都不能提供DHCP服务。exclude interface interface

27、-type interface-number ：是指合法DHCP服务器或者DHCP relay所在的物理端口。除了该指定的物理端口以外，交换机会丢弃其他物理端口的in方向的DHCP OFFER报文。interface interface-type interface-numbert | none：当明确知道私设DHCP服务器是在哪个物理端口上的时候，就可以选用这个选项。当然如果该物理端口下面仅仅下联该私设DHCP服务器，那么可以直接disable该端口。该选项用于私设DHCP服务器和其他的合法主机一起通过一台不可网管的或不支持关闭DHCP Offer功能的交换机上联的情况。选择none就是放开

28、对dhcp-offer的控制。（7）防止ARP的攻击随着网络规模的扩大和用户数目的增多，网络安全和管理越发显出它的重要性。由于现在用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。因此，ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的管理人员头痛不已，也对网络的接入安全提出了新的挑战。ARP攻击包括中间人攻击(Man In The Middle)和仿冒网关两种类型：中间人攻击：按照 ARP 协议的原理，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中

29、，这样，就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 仿冒网关：攻击者冒充网关发送免费ARP，其它同一网络内的用户收到后，更新自己的ARP

30、表项，后续，受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。在DHCP的网络环境中，使能DHCP Snooping功能，交换机会记录用户的IP和MAC信息，形成IP+MAC+Port+VLAN的绑定记录。H3C交换机利用该绑定信息，可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能，即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测，只有符合绑定表项的ARP报文才允许转发；如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项

31、中，则ARP报文被丢弃。这样就有效的防止了非法用户的ARP攻击。本次方案设计的华三核心设备都是支持专业的安全板卡，可以在保护用户投资的情况下，增加这些板卡让网络具有更高的安全性。如果硬件安全板卡的性能不能满足流量的要求的时候，可以通过增加多个板卡起到动态扩容，负载分担的作用。专心-专注-专业4 网络平台QOS保障4.1 QoS 及其功能在传统的IP网络中，所有的报文都被无区别的等同对待，每个路由器对所有的报文均采用先入先出FIFO 的策略进行处理，它尽最大的努力Best-Effort 将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。网络发展日新月异，随着IP网络上新应用的

32、不断出现，对IP网络的服务质量也提出了新的要求，例如IP监控等实时业务就对报文的传输延迟提出了较高要求，如果报文传送延时太长，将是用户所不能接受的（相对而言E-Mail和FTP业务对时间延迟并不敏感）。为了支持具有不同服务需求的监控、视频以及数据等业务，要求网络能够区分出不同的通信进而为之提供相应的服务传统IP网络的尽力服务不可能识别和区分出网络中的各种通信类别而具备通信类别的区分能力正是为不同的通信提供不同服务的前提所以说传统网络的尽力服务模式已不能满足应用的需要QoS。Quality of Service 服务质量技术的出现便致力于解决这个问题。QoS旨在针对各种应用的不同需求为其提供不同

33、的服务质量例如提供专用带宽减少报文丢失率降低报文传送时延及时延抖动等为实现上述目的QoS提供了下述功能： 报文分类和着色 网络拥塞管理 网络拥塞避免 流量监管和流量整形如果随着电子政务网络的扩展出现拥塞，可采用的QOS技术有：IP优先级分类、CAR、WRED、WFQ、CBWFQ、ATM COS等。QOS是一个需要消耗很多处理器资源的应用，为了达到全网最好的使用效率，建议无论是采用VLAN+ACL方案，还是采用MPLS BGP VPN方案，建议均采用DiffServ机制。在充分计算了各类业务流量的前提下，在接入路由器上采用CAR技术对各类业务流做流量限定、设定IP优先级；在路由器广域网接口上采用

34、CBWFQ技术为每一类业务提供确定带宽；通过上述技术可实现QoS。4.2 电子政务网络QOS设计原则建议QoS设计符合下面的原则: 差异性:为不同的业务提供不同的QoS保证； 可管理:灵活的带宽控制策略； 经济性:有效利用网络资源，包括带宽、VLAN、端口等； 高可用性:设计备份路径，采用具备热备份、热插拔能力的设备，并对关键的网络节点进行冗余备份； 可扩展性:采用能够在带宽、业务种类增加时平滑扩容、升级的设备。4.3 体系结构的选择为了在IP网络上提供QoS，IETF提出了许多服务模型和协议，其中比较突出的有IntServ (Integrated Services)模型和DiffServ (

35、Differentiated Services)模型。 IntServ模型要求网络中的所有节点(包括核心节点)都记录每个经过的应用流的资源预留状态，需要通过IP包头识别出所有的用户应用流(进行MF分类)，同时为每个经过的应用流设置单独的内部队列以分别进行监管(Policing)、调度(Scheduling)、整形(Shaping)等操作。对于现在大型运营网络中的节点，这种应用流(活动的)的数量非常庞大，会远远超出节点设备所能够处理的能力，而且可扩展性差，仅适合在小规模网络中使用。 DiffServ模型的基本原理是将网络中的流量分成多个类，每个类接受不同的处理，尤其是网络出现拥塞时不同的类会享受

36、不同的优先处理，从而得到不同的丢弃率、时延以及时延抖动。在DiffServ的体系结构下，IETF已经定义了EF(Expedite Forwarding)、AF1-AF4(Assured Forwarding)、BE(Best Effort)等六种标准PHB(Per-hop Behavior)及业务。此外，有些厂商实现了基于TOS的分类服务(COS)，并且这类设备已经应用在一些现有的运营网络。COS和DiffServ类似，不过比DiffServ更简单，并且不象DiffServ那样定义了一组标准的业务。DiffServ对聚合的业务类提供QoS保证，可扩展性好，便于在大规模网络中使用。本次工程推荐使

37、用DeffServ机制实现QOS。DiffServ域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理，开销较大，容易形成网络瓶颈，因此需要将这些功能分布到不同的设备上去，如流分类功尽量在边缘实现。在现有网络中，建议在Access Network中进行流分类，并通过VLAN、802.1p等进行标记，在POP点进行带宽限制(CAR)和拥塞避免(RED)，在所有节点上基于优先级采用优先级队列调度，实现拥塞管理。如果在整个Access Network中，通过在业务流经的所有二、三层设备上部署CAR、队列机

38、制，这样能够基于VLAN、802.1p等信息保证每个用户，每个业务的带宽，实际上就实现了一种类似IntServ的机制，只不过这时源还是用户，而目的不是远程用户，而是POP点(干线节点及边沿节点)。在POP点和骨干网中根据/继承802.1p标记进行DiffServ处理，可以看作是IntServ同DiffServ的一种结合。这种机制为用户提供了虚拟专线，其QoS可同真正的专线相媲美。4.4 H3C路由器DiffServ模型H3C路由器提供基于DiffServ的QOS模型如下图所示:采用Diffserv/CoS的方法需要对所有的IP包在网络边缘或用户侧进行流分类，打上Diffserv或CoS标识。D

39、S域内的路由器根据优先级进行转发，保证高优先级业务的QoS要求。骨干网络实施Diffserv/CoS，需要所有相关设备支持，特别对边沿节点有很强QOS能力需求。在边沿结点的Ingress方向，路由器通常需要进行基于MF(Multi-field)的流分类、基于用户流的流量监管、DSCP标记和重标记、队列管理和队列调度、流量整形。基于MF的流分类能力是DiffServ边沿路由器最重要的考虑因素，主要体现在允许参与流分类的报文的域(Field)的丰富程度(决定路由器识别用户流量的灵活度)、可配置的流分类规则数的多少(决定路由器识别用户流量的精细度)、流分类处理性能。Ingress方向的流量监管需要对

40、每个用户流分别进行监管，因此需要路由器具有对大量用户流进行监管的能力。队列管理涉及Buffer管理和拥塞控制功能。在边沿的Egress方向，路由器需要进行基于DSCP的流分类、DSCP重标记/TOS标记、流量整形、队列管理和调度。如果下游域还是DiffServ域，业务流量出口前根据ISP双方的SLA可能需要进行DSCP的重标记；如果下游域是COS域，便需要进行TOS标记。Egress方向的流量整形使发出到下游域的业务流量的带宽和突发流量属性符合同下游域的运营者所签订的SLA。核心结点需要完成基于DSCP的流分类、队列管理和队列调度，任务简单却要求在高速接口(如2.5G)时的线速处理性能。4.5

41、 H3C路由器QOS实现机制H3C MSR路由器是针对运营商或者企业网网络骨干及边缘应用的开放多业务路由器，设计并实现了承载包括实时业务在内的综合业务的QoS特性，尤其对DiffServ提供了基于标准的完善支持，包括流分类、流量监管(Policing)、流量整形(Shaping)、队列管理、队列调度(Scheduling)等，完整实现了标准中定义的EF、AF1-AF4、BE等六组PHB及业务。4.5.1 流分类MSR路由器允许根据报文头中的控制域信息进行流分类，具体可以包括下面描述的报文1、2、3、4层的控制信息域。首先输入端口号可以作为重要的分类依据，它可以单独使用，也可以结合报文的其他信息

42、对流分类。二层的重要控制域就是源MAC地址。三层可以参与分类的控制域包括:源和目的IP地址、TOS/DSCP字节、Protocol(协议ID)、分段标志、ICMP报文类型。四层的源和目的端口号、TCP SYN标志也是允许参与流分类的重要信息域。MSR路由器可以对用户报文的几乎全部控制域或这些域的组合进行流分类，可以通过灵活的流分类手段精确地识别大量进入的用户业务流，充分满足组建大型骨干QoS网络时边沿结点的要求。4.5.2 流量监管流量监管也就是通常所说的CAR，是流分类之后的动作之一。 通过CAR，运营商可以限制从网络边沿进入的各类业务的最大流量，控制网络整体资源的使用，从而保证网络整体的Q

43、oS。运营商合用之间都签有服务水平协议(SLA) ，其中包含每种业务流的承诺速率、峰值速率、承诺突发流量、峰值突发流量等流量参数，对超出SLA约定的流量报文可指定给予pass(通过)、drop(直接丢弃)或markdown(降级)等处理，此处降级是指提高丢弃的可能性(标记为丢弃优先级降低)，降级报文在网络拥塞时将被优先丢弃，从而保证在SLA约定范围之内的报文享受到SLA预定的服务。4.5.3 DHCP标记/重标记标记/重标记是是流分类之后的动作之一。所谓标记就是根据SLA以及流分类的结果对业务流打上类别标记。目前RFC定义了六类标准业务即:EF、AF1-AF4、BE，并且通过定义各类业务的PH

44、B (Per-hop Behavior)明确了这六类业务的服务实现要求，即设备处理各类业务的具体实现要求。从业务的外在表现看，基本上可认为EF流要求低时延、低抖动、低丢包率，对应于实际应用中的Video、语音、会议电视等实时业务；AF流要求较低的延迟、 低丢包率、 高可靠性，对应于数据可靠性要求高的业务如电子商务、企业VPN等；对BE流则不保证最低信息速率和时延，对应于传统Internet业务。在某些情况下需要重标记DSCP。例如在Ingress点业务流量进入以前已经有了DSCP标记(如上游域是DSCP域的情形，或者用户自己进行了DSCP的标记)，但是根据SLA，又需要对DSCP进行重新标记。

45、H3C路由器和交换机支持RFC定义的标准的DSCP DS CODE，还支持现在有些网上可能使用的COS。COS是以TOS的前三比特作为业务区分点，总共可分8个业务等级，对每一种业务等级均有特定的定义。4.5.4 队列管理队列管理的主要目的就是通过合理控制Buffer的使用，对可能出现的拥塞进行控制。其常用的方法是采用RED/WRED算法，在Buffer的使用率超过一定门限后对部分级别较低的报文进行早期丢弃，以避免在拥塞时直接进行末尾丢弃引起著名的TCP全局同步问题，同时保护级别较高的业务不受拥塞的影响。4.5.5 队列调度和流量整形对于时延要求严格的实时业务等，可以利用内部特有的低时延调度算法

46、满足业务要求；对于带宽要求的业务，带宽保证算法可以实现严格的带宽保证。应用时用户不必关心内部抽象的调度算法，只需要描述业务的流量特征，比如保证多少兆的带宽、峰值最多多少兆的带宽、要占剩余带宽的比例权重等H3C路由器内部将自动采用如下的一种或几种算法来调度:LLS 低时延带宽保证算法，基于时间片的调度；NLS 一般时延带宽保证算法，基于时间片的调度；PBS 峰值带宽保证算法，基于时间片的调度WFQ 算法，基于weight值的调度上述算法在完成队列调度的同时，也通过带宽分配和保证实现了流量整形。对于DiffServ模型，系统为每个端口预留6个业务队列，分别对应BE、AF1-AF4、EF等业务类别，

47、对AF1AF4以及EF队列用户可配置其流量参数，数据报文根据由流分类得到的业务类别进入不同的队列，队列根据所配置的流量参数采用不同的调度算法调度报文。4.6 QOS配置和管理QoS配置管理中配置、管理QoS分为上行和下行两个阶段。在上行首先对报文进行分类，方法有两种，一是在Diffserv域中，根据报文的服务等级标识DSCP作简单映射得到相应的QoS参数；二是在边缘，根据报文的链路层、网络层、传输层信息对报文进行复杂流分类，对匹配某条规则的流执行相应动作，动作可以分为过滤动作，或给报文加上DSCP、对流的接入速率进行控制、将流重定向到本地或指定下一跳或MPLS的LSP。然后还要根据分类的服务级别，采用RED算法对报文进行流量控制。在下行输出时，根据上行分出的服务等级，入相应队列保证输出带宽，同时也要进行流量控制。在不需要QoS保证不进行流分类的情况下，或者报文通过流分类没有相匹配的规则时，对报文作尽力转发(BestEffort)处理。以下根据配置的相关性分Diffserv的配置、复杂流分类的配置和流控算法的配置三部分