拥塞避免
WRED:随机早期检测。一种拥塞规避机制,可以和DSCP一起工作。
其他QOS机制
LFI:链路分段与交错传送。在低速链路上(<768Kbps=,由于大帧的串行化时延很长。会对语音造成很大的影响。LFI通过将大的数据帧分段并在voice包中交错传送来消除这种现象。LFI只能已存在于第三层queue系统中的帧。语音要求非同步的延时间隔为最大10ms.各种大小的包在不同链路上的串行化时延如下表所示(单位为ms):
cRTP:RTP头部压缩技术。当采用G.729编码,使用20ms的采样间隔时,每个语音包的净荷仅20字节,但整个头部却有40个字节,这将造成很大的带宽浪费。此时,可以使用cRTP,将RTP头压缩到2-5个字节。
速率限制和流量整形
许多用户对流量/带宽限制特性十分看中,他们认为这是构建圆区网络可运营、可增殖、可提供差别服务的基本技术保证之一,细粒度的带宽限制是QOS的又一特性分支。它往往要求接入/汇聚/核心交换机实现入站(Ingress)和出站(Outgress)的带宽策略实现。
流量整形概念最先出现在路由网络的FR(帧中继)或ATM中,可以帮助控制通过路由器的数据流的速率,它使用的是“水桶”原理,一般数据流使用一个基本的令牌桶机制限制数据流的输出速率。其整形操作(在Cisco实现中)于软件中的接口描述块(I D B)级,使它既适用于物理接口,又适用于逻辑接口,这意味着它可以用于物理接口外,还可以用于子接口。它可以应用于通过接口的所有数据流,或者由访问列表标识的一组选择的数据流。令牌桶算法由一个平均二进制位速率、一个数据流突发大小和一个时间间隔定义。它们三者之间的关系由以下等式定义:平均二进制位速率=突发大小/时间间隔这意味着对于任何时间间隔,输出数据流不能超过平均二进制位速率。
由于QOS在圆区网往往被忽视,而又十分重要的现状,笔者在这节上花费了大量的笔磨,即使如此,上面仍然是最基础的介绍,Qos特性现已经成为许多厂商的标准软件/硬件特性,仅仅需要的是工程师去规划并起用它。更具体的讨论,见后续专题。
u 全方位的安全特性
现阶段,对于客户来说,除了数据传输以外,更值得关心的就是传输安全问题了,全方位的安全保护并不是由一台边缘防火墙就能实现的,就象华为公司提出的I³safe三纬度集成安全体系,cisco公司提出的SAFE蓝图都提倡一种全方位、立体化的防护。
l安全威胁:
未授权访问、信息外泄、网络暴露
仿冒身份、窃听报文,获取机密
流量攻击、DOS攻击,导致服务瘫痪
获取系统后门、服务漏洞,操控设备
l安全防御:
保护网络设备本身
这是客户和工程师们往往忽视的一个概念,其实很简单,要使用安全设备/特性如Firewall(防火墙)、IDS(入侵检测系统)、ACL(接口访问控制行)等保护客户的网络,那么它们本身的安全问题是整个系统首先被暴露出来,而易受攻击的对象,安全系统更符合“水桶”原则,最薄弱的环节就是整个系统的安全瓶颈。所以对安全设备本身的访问的控制、跟踪、日志就是重中之重。它们包括:
1、AAA(authentication、authorization、accounting)机制。利用Radius或Tacacs+服务器实现认证、授权、记帐。
2、安全治理。利用加密隧道或带内连接实现控制,使用SNMPv3的加密特性,SSH代替明文的Telnet。
3、设备的ACL和日志。使用标准或扩展ACL限制对设备的访问,并记录日志。
用安全设备去保护网络
1、IEEE802.1x及其扩展。利用Radius和EAP(扩展认证协议)建立从接入交换机端口到认证服务器之间的802.1x授权过程。实现PReACL(每用户ACL)及其他预定义的安全行为(如对访问包的丢弃、端口关闭、会话记录等)。
2、线速ACL。在3层交换系统中ACL发挥着简单有效的基本安全服务,基于源地址/端口、目标地址/端口的访问控制。当交换机/路由器配置几十甚至上百的ACE(访问控制条目)后系统应该仍然具有线速的包转发能力
3、防火墙和IDS。防火墙担当边缘安全守护的重任,IDS可以放置与防火墙DMZ服务器区、内网、外网等需要监视的任何位置,并能与边缘路由器,防火墙实现联动。IDS应该具备一定的智能,对安全报警信息有筛选和过滤功能,而本身应有一定的自愈和自我防范的能力。
4、安全连接。VPN技术保证外部的安全连接、保护数据完整性、私密性和可靠性,如ipsec、L2TP+Ipsec、GRE+Ipsec、PPTP+MPPE、MPLS VPN等
园区网络的智能化需要基本的性能作为保证,这一点不容忽视。以上讨论了智能化的技术需求,后面将以Cisco设备及技术讨论智能交换网络的具体实现。