智慧教育城域网络安全设计方案.docx

智慧教育城域网络安全设计方案1. 建设目标31.1设计原则与思路31.2本次设计目标52. 总体方案设计描述52.1方案拓扑图52.2架构描述62.3功能描述62.4层次描述73. 功能技术介绍83. 1防火墙的三种模式83.2NAT 技术93.3融合业务插卡优势114. 网络部署124.1 IP地址规划134.2 VLAN 设计144.3 QOS 部署155. 网络管理211. 建设目标1.1设计原则与思路城域网及云资源（数据）中心的建设原则是能够高效、安全、绿色的支撑应用系 统的使用，相比传统城域网建设，体现在几个层面的变化：1、数据中心的形成：相比传统服务器部署而言，资源中心的建设要求有统一的数 据中心来承载两大平台的运行。2、虚拟化的使用：为了整合资源中心的硬件资源，会大量使用虚拟化技术来建设 弹性的资源池；3、应用类型对网络带宽的消耗：应用的规划以动画、视频、互动等大流量应用为 主，相比传统网络带宽要求提升1020倍；4、用户规模的剧增：资源的使用者增加了学生，相比传统只有老师使用的环境， 用户规模增加了 1020倍；5、流量模型的变化：原来的流量访问模型为本局域网内部横向为主，资源中心建 成后用户的访问模型以学校访问资源中心的流量为主，基本上为纵向流量；6、允许断网时间的变化：教学系统上网意味着对网络可靠性的要求提高，允许断 网时间应该控制在分钟级别；所以在城域网和资源中心的设计上需要遵循以下原则：高性能一一骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设 备的高吞吐能力，保证各种信息（视频、动画、应用）的高质量传输，才能使网络不 成为业务开展的瓶颈。高可靠性一一网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计 中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订 可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运 行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。安全性制订统一的网络安全策略，整体考虑网络平台的安全性，保证师生能 够安全、绿色的使用资源，且安全性必须采用云安全技术，能够适应云计算资源动态 调配的需求。独立性学校与教育局之间采用公网连接会导致一些应用系统的不可用（比如 名师讲堂、双向教学等），而且公网连接也使得网络不安全、不可控等隐患，所以教育 局与学校之间应该采用裸光纤或者VPN方式连接；六区教育城域网建议采用裸光纤连 接。技术先进性和实用性在保证满足校园业务、应用系统业务的同时，要体现出 网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来， 充分考虑网络应用的现状和未来发展趋势。标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准，有利 于保证与其它网络（如中国教育网、公共数据网、学校之间等其它网络）之间的平滑连接 互通，以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级, 最大程度的减少对网络架构和现有设备的调整。可管理性一一对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进 的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。强QOS、强组播特性城域网因为对视频、音频等多媒体业务的需求较大，所 以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。能不能对关键业务 进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重 点，为实现区别服务，整网端到端的QOS特性机制是优质网络业务的保证。另外组播 特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义，基于组播的 控制特性也会进一步保证组播流的控制、管理和安全，从而为实现教育城域网的多业务支持提供保障。兼容性和经济性兼容性，能够最大限度地保证学校现有各种计算机软、硬件 资源的可用性和连续性，为不同的现存网络提供互联和升级的手段（如现有的双向教 学系统），保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网， 充分利用现有网络资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情 况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整 体性能的前提下，充分利用现有设备或做必要的升级。1.2本次设计目标本次设计目标是在原有的学校和区教育网络基础上通过在区教委网络核心增加一 台S10500核心交换机和在学校出口增加一台下一代防火墙F10X0来实现学校的数据 中心与区教委的数据中心一个网络大二层互联的需求，而此时学校的局域网也能正常 访问公网以及通过新增F10X0防火墙访问学校自己的数据中心。2. 总体方案设计描述2.1方案拓扑根据实际环境进行网络拓扑规划如下图拓扑图区教委InternetInltimfri一校底一学同网+ IPSW 卡+卜“板卡教数中- 区一变粗心-务区22架构描述从2.1中的方案拓扑图中可以看出，本次网络建设分为两个大区分别是区教委的网 络建设以及区教委下的各学校网络建设。区教委的核心增加一台S10500系列交换机，内部连接区教委的数据中心，外部 通过专线连接下级各学校网防火墙2。学校网内部红色区域是各学校的数据中心，黄色区域是各学校的局域网，出口处 有2台防火墙，防火墙1是原学校出口可外连互联网，新增F10X0（防火墙2）通过专 线连接区教委。2.3功能描述1、区教委数据中心和各学校数据中心实现大二层互联本次设计要求区教委的数据中心要和各学校的数据中心能够互连实现两个数据中 心的大二层设计，所谓大二层网络设计就是指区教委的数据中心所在vlan和各学校的 数据中心所在vlan同是区教委的核心交换机S10500的一个vlan下。即S10500交 换机连接区教委数据中心的端口与连接各学校防火墙2的端口在同一个vlan中。此时 在学校的防火墙2即新加防火墙F10X0的端口 e1e2之间还需要运行在二层透明模 式下。此时区教委数据中心和各学校数据中心就是一个大二层的网络架构，此种网络 架构有利于两个数据中心之间的虚拟机动态迁移以及资源扩展，动态备份等。2、学校局域网和公网（internet ）以及学校数据中心的互访每个学校的局域网为一个独立VLAN，学校1为VLAN1，学校2为VLAN2.， 学校局域网的网关有两个防火墙，防火墙1（学校原防火墙）和防火墙2 （新增的 F10X0防火墙），在局域网的核心交换机上通过做策略路由使得访问公网的数据流都走 防火墙1 ,访问学校数据中心的数据流都走防火墙F10X0，此时防火墙F10X0上 e0e2端口之间走路由模式。即学校局域网和学校数据中心之间正常的使用三层IP地 址互访。学校走防火墙1访问公网因特网，此时还需要在原有的防火墙1上做NAT地 址转换技术使得能访问公网。2.4层次描述出口安全：区云资源（数据）中心出口必须考虑安全建设，用高性能下一代防火 墙安全网关，实现防火墙及流量控制等安全防护功能。为了应对云计算环境下的流量模型变化，安全防护体系的部署需要朝着高性能的 方向调整。在本次项目的建设过程中，多条高速链路汇聚成的大流量已经比较普遍， 在这种情况下，安全设备必然要具备对性能得业务处理能力；无论是独立的机架式安 全设备；同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可靠性 的支持，诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS 等特性，真正实现大流量汇聚情况下的基础安全防护。核心交换机：城域网的核心层部分采用"两网一核心”的建设思路：城域网和数 据中心共用一套网络核心，通过1：N虚拟化技术将数据中心的核心交换机虚拟成2 套设备，一套作为数据中心的网络核心，-套作为城域网的网络核心。两套设备拥有 的独立的CPU、内存和路由表象等资源，避免了共用核心导致的设备性能问题和网络 安全问题。两网一核心的建设模式即节约了投资，提高了设备的利用率，又保证了网 络的可靠性。在主核心机房为整网选配两台高性能CLOS架构机箱式交换机，通过虚拟化技术 进行虚拟化融合。负责整个教育城域网平台上应用业务数据的高速交换，核心交换机配备冗余电源 及引擎保证网络健壮性与可靠性。本次设计不设计汇聚层和接入层所以不做介绍。3. 功能技术介绍3. 1防火墙的三种模式本次方案设计中要求区教委的数据中心和学校的数据中心能够实现大二层的这种 网络架构，即在防火墙上要求e1e2走二层透明模式，这就是求防火墙的二层透明模 式。每个学校的局域网为一个独立VLAN，学校1为VLAN1，学校2为VLAN2.， 学校局域网的网关在防火墙的e0接口，这要求e0e2走路由模式。每个学校有一个 独立因特网出口，供学校内部终端上网使用，为防火墙的e3接口，需要上网的流量， 即e0e3走策略路由+ NAT模式。下面就介绍一下防火墙的几种模式。透明模式透明模式，顾名思义，首要的特点就是对用户是透明的(Transparent)，即用户意 识不到防火墙的存在。要想实现透明模式，防火墙必须在没有IP地址的情况下工作， 不需要对其设置IP地址，用户也不知道防火墙的IP地址。防火墙作为一实际存在的物理设备，其本身也起到路由的作用，所以在为用户安 装防火墙时，就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表， 以适应用户的实际需要，这样就增加了工作的复杂程度和难度。但如果防火墙采用了 透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直 接安装和放置到网络中使用，如交换机一样不需要设置IP地址，基于目的MAC地址 转发以太网帧。路由模式当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络 以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络 拓扑，此时相当于一台路由器。采用路由模式时，可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。然 而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更 改路由配置等），这是一件相当费事的工作，因此在使用该模式时需权衡利弊。混合模式如果防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透 明模式的接口（接口无IP地址），则防火墙工作在混合模式下。混合模式主要用于透 明模式作双机备份的情况，此时启动VRRP（ Virtual Router Redundancy Protocol， 虚拟路由冗余协议）功能的接口需要配置IP地址，其它接口不配置IP地址。防火墙工作在混合透明模式下，此时部分接口配置IP地址，部分接口不能配置IP 地址。配置IP地址的接口所在的安全区域是三层区域，接口上启动VRRP功能，用于 双机热备份；而未配置IP地址的接口所在的安全区域是二层区域，和二层区域相关接 口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时，转发过程 与透明模式的工作过程完全相同。3.2NAT技术NAT（ Network Address Translation，网络地址转换）是1994年提出的。当在 专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用 地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件 的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。这样，所有使用 本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP 地址，才能和因特网连接。另外，这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于 减缓可用的IP地址空间的枯竭。在RFC 1632中有对NAT的说明。NAT功能NAT不仅能解决了 1P地址不足的问题，而且还能够有效地避免来自网络外部的攻 击，隐藏并保护网络内部的计算机。1. 宽带分享：这是NAT主机的最大功能。2. 安全防护：NAT之内的PC联机到Internet上面时，他所显示的IP是NAT主 机的公共IP，所以Client端的PC当然就具有一定程度的安全了，外界在进行 portscan (端口扫描)的时候，就侦测不到源Client端的PC。NAT的实现方式NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口 多路复用OverLoad。静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一 的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换， 可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定 的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合 法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作 为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP 提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进 行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用 方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从 而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免 来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。3.3融合业务插卡优势本次项目的核心交换机部署了 FW防火墙管理插卡，FW防火墙插卡的部署带来 了如下好处：高可靠性：降低单点故障一、在设备内部，基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交 换。任何一块插卡出现故障，可以通过Bypass方式使得流量自动绕过故障插卡，保 证业务流正常处理和转发，不会出现单点故障。二、插卡式设备，所有的关键部件都可以冗余部署。单独的盒式设备，一般最多 提供双电源的可靠性设计。而插卡式设备，包括电源、引擎、接口板、业务板等都可 以冗余部署，大大提高了可靠性。当所有的关键部件都进行冗余部署的时候，实际上 就是两台设备在同时工作，并可以进行负载分担。三、所有的插卡都支持热插拔，大大降低出现故障时更换设备的时间。高性能和高扩展性：减少业务做一、高性能：所有的业务模块都采用了业界最领先的多核多线程 CPU+ASIC+FPGA的高性能、分布式硬件架构。这种分布式的硬件架构保证了所有的 业务能在第一时间并行处理。对于现在大量的应用层安全攻击，由于需要进行深入的 报文分析，只有这种多核多线程的硬件架构才能真正做到实时处理，不会产生大的数 据延迟。二、高转发：所有的业务模块与交换机及其他插卡之间都是通过交换机Crossbar 总线进行数据传输，数据带宽高达40Gbps以上。相对于盒式设备之间通常采用的网 线连接方式，数据带宽更高、延时更低，而且可靠性更高，不会出现由于网线故障或 连接故障导致的业务中断。三、盒式设备性能一般是固定的，但是插卡式设备的处理能力可以通过板卡的扩 展进行数倍的提升。即使是单块的业务板，得益于其先进的多核架构，其性能优势也 很明显。四、接口多：普通盒式设备一般最多提供几个接口，而插卡式设备的接口板可提 供无限制的接口，并且可根据要求进行扩展，所有接口的VLAN都可以共享各种业务 板卡。同时，通过虚拟化技术，可以将同一块物理业务板卡在逻辑上划分为相互独立 的多个板卡，每个逻辑板卡拥有完全独立的资源和策略。五、接口种类丰富：普通盒式设备，只能提供普通的以太网电口和光口。而基于 交换机和路由器的插卡，还可以提供各种POS接口、ATM接口、E1/T1 口等接口类 型。六、组网简单：采用插卡式设备，只需在交换机中插入所需模块，相对盒式设备 来说不会占用空间。且所有插卡都集成在一台交换机中，数据交换通过背板总线实现， 组网更加简单，不像盒式设备，各个设备之间都要通过复杂的网线进行连接。管理简单每个插卡可以通过WEB界面进行独立管理，也可以由交换机与其他业务板一样进 行统一管理。不同插卡的状态可以基于主控板统一显示，通过主控板实现对插卡的统 一管理。成本投入低一、得利于良好的扩展性，在对接口、功能、性能等进行升级的时候，在升级标 准相同的条件下，再次投入的成本大幅降低，原有的投资也能得到保障。二、直接在交换机中增加板卡模块，即可实现交换机应用层安全防护功能的扩展。 通过与交换机共用管理平台，降低了管理难度。并且交换机的任何端口都可以作为业 务插卡的端口使用，从而降低用户首次和后续扩容的投入成本。三、能够为网络提供整体的安全防护，保护外部网络对内部网络的攻击、也能够 保护内部业务终端对服务器的攻击，而使用传统的独立安全设备需要部署多台4. 网络部署网络部署设计主要包括IP地址规划、VLAN设计以及QoS技术部署。4.1 IP地址规划ip地址的合理规划是网络设计中的重要一环，网络系统为了实现对网络的统一的 规划和管理，对ip地址进行统一规划。ip地址规划影响到网络路由协议算法的效率、 影响到网络的性能、扩展和网络的管理，也影响到网络应用的进一步发展。ip地址主 要分为如下几类：ip地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又 要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路 由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算 法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分 配时要遵循以下原则：> 唯一性：一个ip网络中不能有两个主机采用相同的ip地址；> 简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项；> 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提 高路由算法的效率；建议根据部门和权限划分，为不同的业务分配一段连续的ip 地址，便于业务的区分。> 可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地 址的连续性；> 灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址 空间。设备Loopback地址的分配：各种三层设备的Loopback地址的使用，在不同的 方面都需要它的参与，对于内部路由协议的正常运行，整个网络的正常运行，有着至 关重要的作用。因而对于各个路由器设备的Loopback的分配和管理，应当采取统一 的专有地址空间。通过为所有的设备分配一个专有的地址空间，能够更为有效地进行 路由器设备的路由配置和管理，以及方便今后的故障的诊断和排除。Loopback地址 分配采用32位掩码的原则。设备间互连地址的分配：设备间互连的IP地址，从业务的相关性上，他们一般不 具有全局的功能，而只是提供完成两个设备之间的连接。因而从这个角度上讲，这部 分的地址空间的分配应当考虑以下的方面：（1）尽可能以分层次的方式分配地址。由于链路地址空间不具有全局性，因而并不需要在全网范围内为每个链路保持精确路 由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而使得这些地址在 各路由器的路由表中占有较少的空间。以降低对路由器的要求，并保证路由器的处理 效率。（2）提供足够的预留空间，以满足今后新增链路的需要。同一区域内的设备IP地址连续分配，每个互联段分配1个24位掩码的最小地址段。4.2 VLAN 设计VLAN可以实现将连接在同一个物理网络上面的主机分组，使它们看起来就像连 接在不同的网络上一样。可以通过VLAN为网络分段，各个网段可以共用同一套网络 设备，节约了网络硬件的开销，同时在迁移中所需的工作量也大幅度降低了，从而降 低了连网成本。在大型局域网络组建中，VLAN技术是不可缺少的关键技术，科学的 VLAN设计可以为局域网络带来一系列的优点：在同一个物理网络实现第二层工作组划分，实现不同工作组之间第二层的完全隔 离，同时，组员可以处在物理网络中的任何位置，不受同一台设备限制；隔离广播，提高效率，避免不相关的广播帧在全网扩散，浪费有效带宽资源；在局域网系统中，建议基于IEEE 802.1Q标准实现VLAN。从广播控制角度出发，为了保障网络的高可用和高性能，按照惯例原则，我们在 进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机一般不超过50 台，最好控制在30台以内，对于主机数量超过50的业务部门，我们通过二层隔离， 三层交换的方式来解决。作为特殊VLAN的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到 全网的每一台交换机，但在第三层接口上，需要通过控制列表与其他业务VLAN进行 有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID=4000， VLAN4000与VLAN1在第三层上相通，同时，保证只有部分业务VLAN可以访问 VLAN4000，从而实现网管的分布式监控布局。VLAN1和VLAN4000的第三层路由 接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台 设备，其他均在过滤之列。网络的VLAN规划，在明确其网络资源访问权限分配的具体要求后，我们可对内 部网络具体划分不同的权限、VLAN等其它的安全策略4.3 QOS部署QoS方案的设计实施，首先需要考虑选择合适的技术框架，也即服务模型。服务 模型指的是一组端到端的QoS功能，目前有以下三种QoS服务模型：Best-Effort service尽力服务Integrated service （Intserv ）综合服务Differentiated service （ Diffserv ）区分服务Best-Effort service :尽力服务是最简单的服务模型。应用程序可以在任何时候，发出任意数量的报文， 而且不需要事先获得批准，也不需要通知网络。网络则尽最大的可能性来发送报文， 但对时延、可靠性等不提供任何保证。尽力服务是互联网的缺省传输模式，由于它不区分具体的业务类型，采用先入先 出的策略（FIFO）处理，对所有报文都无区别的等同对待，实现起来比较简单，但由 于无法为高优先级的实时业务和关键业务提供额外保障，尽力服务模型并不适合用于 本次网络的建网需求。Integrated service:Intserv是一个综合服务模型，它可以满足多种QoS需求。这种服务模型在发送 报文前，需要向网络申请特定的服务。这个请求是通过信令（signal）来完成的，应 用程序首先通知网络它自己的流量参数和需要的特定服务质量请求，包括带宽、时延 等，应用程序一般在收到网络的确认信息，即网络已经为这个应用程序的报文预留了 资源后，发送报文。而应用程序发出的报文应该控制在流量参数描述的范围内。网络在收到应用程序的资源请求后，执行资源分配检查（Admission control）, 即基于应用程序的资源申请和网络现有的资源情况，判断是否为应用程序分配资源。 一旦网络确认为应用程序的报文分配了资源，则只要应用程序的报文控制在流量参数 描述的范围内，网络将承诺满足应用程序的QoS需求。而网络将为每个流（flow，由 两端的IP地址、端口号、协议号确定）维护一个状态，并基于这个状态执行报文的分 类、流量监管（policing）、排队及其调度，来满足对应用程序的承诺，具有面向连接 的特性。因此对网络设备的处理能力有较高要求。传送QoS请求的信令是RSVP (资源预留协议)，它通知路由器应用程序的QoS 需求。Differentiated service :Diffserv即区别服务模型，它可以满足不同的QoS需求。与Integrated service 不同，它不需要信令，即应用程序在发出报文前，不需要通知路由器。网络不需要为 每个流维护状态，它根据每个报文指定的QoS，来提供特定的服务。可以用不同的方 法来指定报文的QoS，如IP包的优先级位(IP Precedence).报文的源地址和目的地 址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。通常在配置Differentiated service时，在网络边界的路由器通过报文的源地址和 目的地址等对报文进行分类，对不同的报文设置不同的IP优先级，而其它路由器只需 要用IP优先级来进行报文的分类。这三种服务模型中，只有Intserv与Diffserv这两种能提供多服务的QoS保障。 从技术上看，Intserv需要网络对每个流均维持一个软状态，因此会导致设备性能的下 降，或实现相同的功能需要更高性能的设备，另外，还需要全网设备都能提供一致的 技术才能实现QoS。而Diffserv则没有这方面的缺陷，且处理效率高，部署及实施可 以分布进行，它只是在构建网络时，需要对网络中的设备设置相应的规则，会使配置 管理比较复杂。考虑到Diffserv模式具有处理效率高，部署和实时方便的特点，我们建议在本项 目中，选用Diffserv模式。QoS技术：不论是Diffserv，还是Intserv，在最终对服务进行保障时，都是通过以下一些成 熟技术来实现的，H3C公司的数通设备都采用平台软件COMWARE ,支持一系列QoS技术，主要可以分为以下3类：1）流量调节器流量调节器是网络边界所需的各种QoS功能，用于对用户的流量进行分类，并控 制接入网络的用户流量与协定相符，同时设置DSCP。流量调节器的功能包括分类、 测量、标记、丢弃和整形等，如以下技术：CAR （承诺的接入速率），对用户流量进行监管；GTS （通用流量整形），对用户流量进行整形；ISPKeeper，智能流量控制技术。报文分类是QoS的基础，只有区分了不同的报文业务，才能进行分别处理及保障 相应业务的服务质量。一般在网络边界，利用ACL等技术，根据物理接口、源地址、 目的地址、MAC地址、IP协议或应用程序的端口号等依据对报文进行分类，并同时设 置报文IP头的TOS字段作为报文的IP优先级；在网络的内部则可使用边缘设置好的 IP优先级作为分类的标准，以提高网络的处理效率。约定访问速率（CAR）是一种带宽管理机制，利用令牌桶技术来实现带宽的分配 和测量。网络管理员可以为不同的业务分配不同的带宽，定义业务占用的带宽超过分 配额度时的处理策略，通过限制通过路由器某一端口的流量，很好地保证整个网络的 QoS。CAR既可用于网络的入口也可用于网络的出口，可以报文分类完成的结果区分 不同的业务流。另外，它还可以对报文的IP优先级根据需要加以重新标记。2）拥塞避免和管理当报文到达网络设备接口的速度大于接口的发送能力时，即将产生拥塞；拥塞发 生时，一般采用队列调度的技术来解决，每一种队列调度技术都用来解决特定的问题， 都会对网络性能产生特定的影响；目前H3C的路由交换机可以提供各种队列调度技术 包括 FIFO、PQ、CQ、WFQ、RTP 实时队列、CBWFQ/LLQ。拥塞避免用来监控网络负载，预见并避免拥塞的发生，拥塞避免一般通过丢包技 术来实现；H3C的路由交换机提供了多种拥塞避免机制来满足不同的应用，包括尾丢 弃、RED、WRED。以最简单的PQ（优先队列）为例,PQ对报文进行分类，将所有报文分成最多至8类, 分别属于PQ的8个队列中的一个，然后，按报文的类别将报文送入相应的队列。PQ 的8个队列分别为高优先队列、中优先队列、正常优先队列和低优先队列，它们的优 先级依次降低。在报文出队的时候，PQ首先让高优先队列中的报文出队并发送，直到 高优先队列中的报文发送完，然后发送中优先队列中的报文，同样，直到发送完，然 后是正常优先队列和低优先队列。这样，分类时属于较高优先级队列的报文将会得到 优先发送，而较低优先级的报文将会在发生拥塞时被较高优先级的报文抢先，使得关 键业务（如ERP）的报文能够得到优先处理，非关键业务（如E-Mail）的报文在网络 处理完关键业务后的空闲中得到处理，既保证了关键业务的优先，又充分利用了网络 资源。COMWARE的拥塞避免和拥塞管理机制是紧密联系在一起的，对于每一种队列调 度技术，都可以采用相应的丢包机制与之配合；拥塞管理和避免是所有路由器及路由 交换机必须提供的功能，以保证关键业务的转发。IP QoS与链路层QoS技术的融合Internet是利用IP技术在网络层将各种二层网络连接起来，典型的二层网络包括 FR、ATM、Ethernet等，因此端到端的IP QoS依赖于每一种二层网络的QoS实现 以及其与IP QoS的融合。举例说明，Ethernet与IP QoS的融合：Ethernet/VLAN网络通过802.1Q中的 VLAN ID和3个802.1p位，采用802.1p作为QoS信令，利用基本的IP QoS技术 （如流分类/监管/整形、拥塞管理与避免），提供一定的QoS能力。COMWARE提供 的IP-Ethernet方向的QoS融合包括：提供将分组的IP Pre或EXP映射到Ethernet 帧802.1p位的能力，提供根据IP Pre或EXP将报文映射到特定VLAN的能力，各类 队列机制增加基于VLAN的流分类等。COMWARE提供的Ethernet- IP方向的QoS 融合包括：对CAR做了扩展，增加了基于VLAN ID和802.1p的流分类等。在本次网络系统中业务众多，为了保证关键业务的高优先级运行，采用QoS技术 必不可少。QoS旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提 供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。DiffServ是目前IP 网络采用的主流QOS模型，一般用来为一些重要的应用提供端到端的QoS。它通过 下列技术来实现：流量监管、流量整形、报文标记、队列技术、拥塞避免技术等。在网络中，在网络接入层，按照特定的策略，对报文进行流量监管，防止接入用 户过度使用网络，同时对报文进行分类，并根据分类结果在报文中打上优先级标记； 在网络的骨干层，根据报文携带的优先级标记及QoS策略对报文进行队列调度，同时 也可以采取一定的拥塞避免措施来减少网络拥塞。在某些设备的输出接口，可能还要 进行流量整形，以减少网络报文的丢失。网络中QoS的处理流程主要包括：1、在接入层识别业务并标记DSCP。在LAN接入端，能够正确识别关键业务。 针对不同的设备、不同的应用程序需要不同的识别方式。简单说就是接入层的识别模 式。2、在接入层上行口利用PQ保证关键业务的优先发送，同时保证合理的带宽分配。3、汇聚层在信任DSCP标记的基础上，并利用PQ保证关键业务的优先发送，同 时保证合理的带宽分配。4、核心层在信任DSCP标记的基础上，并利用PQ保证语音、视频业务的优先发 送，同时保证合理的带宽分配。5. 网络管理随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、 高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来 越深入人心，同时网络系统也是多个系统的承载系统，一套好的管理软件无疑对网络 的精细化管理起到至关重要的作用。本次设计没有网络管理相关需求这里建议使用一套网管设备来对整网进行统一管 理。