政务外网部署QoS技术

QoS技术原理

QoS（Quality of Service，服 务质量）是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。QoS共有3种服务模型：尽力而为(Best-Effort)，综合服务(IntServ)模型和区分服务(DifServ)模型。

Best-Effort是最简单的服务模型，应用程序可以在任何时候，发出任意数量的报文，而且不需要事先获得批准，也不需要通知网络。Best-Effort服务对时延、可靠性等性能不提供任何保证。可用于一般的互联网业务，如电子邮件、HTTP等。

综合服务(IntServ，Integrated Service)模型在发送报文前，需要向网络申请特定的服务。这个请求是通过信令(目前采用资源预留协议RSVP)来完成，应用程序先通知网络发送报文的流量参数和所需的服务质量请求(如带宽、时延等)，应用程序在收到网络预留资源的确认信息后，才开始发送报文，发送报文被控制在流量参数规定的范围内。

DiffServ模型是根据优先级标记，对特定的行为集合(BA)使用逐跳转发行为(PHB，Per-Hop Behavior)，通过拥塞管理机制、流量整形、流量监管、拥塞避免等作相应的区别处理。

DiffServ除尽力而为服务外，还可以提供以下两种服务：

第一，加速转发(EF，Expedited Forwarding)：提供严格的优先转发服务。

第二，确保转发(AF，Assured Forwarding)：提供传送保证，并允许超额质量保证。

DifServ和IntServ两种服务模型比较起来，IntServ是更为严格意义上的服务保证，在无法确保资源需求的情况下不建立传送通道，但其对设备要求较高，兼容性较差；DiffServ是区分类型、无连接状态的保障模式，有更好的灵活性和可扩展性。在目前政务网带宽资源较为丰富、设备种类复杂的情况下，DiffServ是更适合的QoS服务模式。

省政务外网QoS部署方案

1.业务等级划分和QoS策略

省电子政务外网是一个以IP为传输平台的网络，在这个网络上除了一般的互联网接人业务之外，还承载政府行业的重点应用系统向各地区延伸的多种业务、多种应用，这些业务对可靠性、时延、时延抖动等服务质量有不同需求。可以根据这些业务类型定义不同的业务优先据，并分别使用不同的拥塞避免机制和QoS策略，如表1所示。

电子政务外网中将主要实现对不同数据流的分类和标记，其他QoS技术将主要应用于广域网，主要进行了如下的考虑：

（1）分类和标记策略：在各功能区的接入层，可以根据不同Input端口、MAC地址、源/目的IP地址、IP协议或应用端口号，对不同应用数据流进行分类，并采用DSCP对数据包进行标记。

（2）队列调度策略：在连接广域网的路由器上设置相应的业务队列（如 ：EF、AF4、AF3以及AF2队列），采用CBQ（CBWFQ）、LLQ 等技术，控制打了不同优先级标记的数据流能占用相应的网络带宽及优先发送绝对保证的数据流。

图1 政务外网QoS层次化部署模型

（3）拥塞避免策略：拥塞避免技术用于监控网络流量负载，力求在网络瓶颈处避免网络拥塞。采用尾丢弃和WRED技术对拥塞的流量进行阀值分配，对拥塞的流量根据事先分配的阀值随机丢弃数据包，当拥塞超过阀值最大值时，采用尾丢弃，丢弃所有数据包。

（4）限速和整形：采用流量桶（CIR）技术对合同约定速率的业务在入接口上对其进行流量管制或整形，限制流量，对超出的流量进行降级标记或丢弃。

2.层次化部署QoS

为实现业务端到端的QoS，我们在省电子政务外网上的QoS设计需要考虑接入网和广域网两个层面，这两个层面设备需要开启的功能归纳如图1所示。

（1）接入网QoS部署

由于业务单位内部局域网一般均为100/1000以太网组网，传输链路上一般不会阻塞，所以不考虑内部QoS的部署。政务网络边界接入交换机端口不信任最终用户带来的CoS值，按照表1的规划主要实现业务的分类和预处理。

分类。当接收到数据包的时候，网络设备中的分类器将根据IP包的包头提供的信息来进行判定，有两种方法：一种是读取IPv4头部的Tos字段中的信息；另一种方式是读取IP头部与某个特殊的应用相关的信息，如源IP地址，源端口号，目的IP地址，目的端口号和协议类型等。分类器根据这些信息对数据包进行分类。

表1 政务外网业务等级分类及相应的保障策略

预处理和排队。在数据包被分类标记以后，节点根据预先设置好的信息与当时的状况确定该数据包是要被监管、整形，还是排入某个特定的队列进行等待。流量监管用于监督进入网络的某一流量的速率，使之不超出承诺的速率。流量整形则是一种主动调整流量输出速率的措施，它对流量监管中需要丢弃的数据包进行缓存，然后以恒定的速率发送出去。

（2）广域网QoS部署

对于三层广域网络，一般采用DSCP来进行分类和标记。通过 LLQ、CBWFQ、WRED技术对重要业务进行拥塞管理和拥塞避免，对于IP专线业务，如果用户合同约定速率小于接入端口速率，采用流量监管策略(policing)，限定用户的CIR值，并根据合同约定或根据网络容量情况，设置合理的突发流量，在设备支持的情况下采用双速率三色标记，对超过部分进行降级重标记。

标记。边缘路由器使用IPv4报头中的业务类型(ToS)字段，并将8位ToS字段重新命名，可将ToS字段映射到DSCP字段。通过该字段的标记，下行节点可获取足够的服务质量信息，以对到达该端口的数据包做出相应的“处理”，将他们正确地转发给下一跳的路由器。

拥塞管理。采用CBQ（CBWFQ）+LLQ的方式，根据已经定义的DSCP标记，对不同的数据流分配不同的带宽，对重要业务进行拥塞管理和拥塞避免。对于普通业务流量，如果用户合同约定速率小于接入端口速率，采用流量监管策略(policing)，限定用户的CIR值，并根据合同约定或根据网络容量情况，设置合理的突发流量，在设备支持的情况下采用双速率三色标记，对超过部分进行降级重标记或丢弃，对超出的流量在出口处配置拥塞管理策略优先丢弃。

部署QoS业务系统的运行情况

目前省电子政务外网承载了政府多项业务应用，包括高清视频会议系统、IP语音电话等，针对政务部门不同业务系统的优先级部署了相应的QoS策略，经长期运行观测表明，业务系统运行实时性强、稳定、可靠。具体应用效果如表2所示。

表2 已部署QoS业务系统运行情况