虚拟专用网服务质量白皮书

虚拟专用网络服务质量 

 

 

本白皮书旨在说明服务质量(QoS) 和思科系统有限公司所提供的工具这些工具用来为关键应用业务设计具有相应服务水平的虚拟专用网络(VPN)本白皮书不是设计指南而是对思科所提供的一些QoS 技术的简要说明从而为您能够成功利用VPN提供帮助希望读者对VPN有关的问题有一定的了解比如安全性防火墙和思科提供的路由/交换机产品 

 

本文还介绍了思科VPN的端到端QoS 构架其中包括多种分类策略整形排队和避免拥塞并简要说明了利用公共开放策略服务(COPS)和思科QoS 策略服务器的QoS 策略部署的未来 

 

VPN的必要性 

VPN可为远端公司用户提供对公司计算和数据资源的相关级别的访问这种级别与物理上位于公司总部的用户所享受的访问级别相同通过降低传输数据流量的成本并在无法构筑物理网络的位置上提供网络连接VPN可以降低公司网络的总投资成本

图 1  VPN

VPN可分为三类: 

远程访问VPN— 将远端用户和移动用户连接到企业WA N上。 

内联网VPN— 连接企业WA N范围内的分局和住宅用户。 

外联网VPN— 为企业合作伙伴提供受限制的公司WA N访问方式。 

 

VPN为在互联网这类公共基础设施、服务供应商帧中继、AT M,或IP 网络上建立专用网络提供一种经济高效的、可扩展的、可管理的方式。但是,只有为用户提供预定带宽、可靠性和安全性方面保证的情况下,才可以选择VPN。由于WA N链路上各种流量类型都抢占容量很少的带宽,所以会出现这样的现象,在某一时间里,WA N链路可能出现载荷不足,而在另外一段时间里,特别是高峰时间,会出现极度拥塞的情况。因此,需要一套标准QoS 工具,为客户流量提供相应的QoS 处理办法。 

 

QoS 的必要性 

分布广泛的VPN用户通常不关心处理流量的网络拓扑,高级安全性加密性或防火墙,更不关心网络管理者是否合并IPSec隧道或GRE 隧道。他们关心的是更基本的事情,如: 

 

当通过远端局访问关键应用业务时,是否获得满意的响应时间? 

 

对延迟的接受程度各不相同,虽然用户愿意为文件传送等上几秒,种但在访问数据库或运行IP 数据网络上的语音时,不愿意多等任何一点时间。 

 

QoS 旨在确保主要流量的处理过程能够符合用户要求。在实际中,带宽是有限的,从视频会议到ERP数据库查找的各种应用业务都必须抢占数量很少的资源,QoS 因此成为很重要的工具,从而保证所有应用程序可以共存,并在可接受的性能水平上运行。 

 

用于VPN的思科QoS  

思科系统有限公司提供Cisco IOS® 捆绑的完整QoS功能工具箱。VPN的主要QoS构造块是: 

数据包分类(采用承诺访问速率[CAR]) 

带宽管理(CAR策略、GTS/FRTS整形、WFQ带宽分配

拥塞避免(通过WRED) 

层和第VPN上数据包优先权的连续性(通过标记交换多协议标记交换[MPLS]) 

 

 

 

信息包分类 

信息包分类的目标是根据欲定义的标准对信息包进行分组,从而使信息包分组接受规定的信息包处理。这种处理可能包括通过中间路由器和交换机所实现的快速发送,或在很大程度上避免由缓冲资源短缺所引起的信息包丢失。 

 

有必要在建立隧道和加密之前对流量进行分类,否则,附加到IP 信息包的隧道标头将使中间路由器交换机无法读取IP 标头中的QoS 标记,而中间路由器交换机需要读取这些信息,并根据这些信息进行操作。但是,分类引发了正确匹配标准这一问题,目前存在一些标准,根据这些标准,在流量传输到VPN之前对其进行分类: 

IP 地址 

TCP/UDP端口号码 

IP 优先(IP 信息包报头服务类型(ToS)字段域中的个位

URL sub-URL 

MAC地址 

当日时间 

 

2  网络入口分类

如果根据上述标准对信息包进行分类,则下一步就是通过唯一标识对信息包进行“标记”和“染色”,从而确保分类从端到端过程中不会受到阻碍。最简单的办法是通过IP 信息包(datagram) 报头中的IP ToS 字段域。在不久的将来,互联网工程工作组(IETF)-制订的差分服务代码点(DSCP)将成为可选的分类标准。这类信息包标记的目的是确保时间表和排队这样的下游QoS 功能符合按上述方式标记的信息包的处理要求。在某些情况下,骨干网用于VPN的服务供应商可能提供差分服务,通过分类。可以使用这些服务  

图 3 IP  信息包报头中的To S   字段域 

 

有了差分业务,某些网络流量就可以接受高质量服务,而同时降低对同一广域网(WAN) 链路上的其他非关键流量的处理标准。这种概念与航空服务相似,头等舱的乘客要比经济舱乘客接受更好的服务,而这两种乘客都同时坐在飞机上。 

 

带宽管理 

如果已对流量进行分类,下一步就是确保流量在路由器中接受特殊处理。这样,时间表和排队就成为焦点问题。

 

在讲解排队主题之前,让我们回想一下,流量是什么意思?对于本文内容,流量是指一组信息包,这些信息包共享一个通用标准,不管这种标准是源目的地IP 地址,还是TCP/UDP端口号码,协议、或服务类型(TOS) 字段域协议,情况都是如此。思科提供两种加权公平排队(WFQ) 执行方式:基于流量的WFQ和基于分类的WFQ。  

 

在基于流量的WFQ,中通过流量对信息包进行分类。每个流量对应一个单独的输出队列。在将信息包分配到流量中的情况下,该信息包位于流量的队列中。在拥塞期间,WFQ为每个处于工作状态的队列分配部分可用带宽。 

 

基于分类的WFQ旨在在用户定义的流量等级中提供加权公平排队功能。用户可以通过接入控制点(ACL) 这类的机制来创建流量级别,然后为每个流量级别分配部分输出接口带宽。基于流量的WFQ和基于分类的WFQ之间的主要差异是,在基于流量的WFQ中,带宽分配与其他流量有关,但在基于分类的WFQ中,带宽分配是绝对的。基于分类的WFQ使用户可以根据可用带宽百分比或固定kbps 值来为一个级别分配带宽。 

 

图 加权公平排队 

 

 

如何选择使用基于分类的WFQ和基于流量的WFQ 

思科IOS 中基于分类的WFQ不对流量级别加以区分,只要与基于流量的WFQ有关,信息包就是流量的一部分。流量可基于源目的地地址、TCP/UDP端口号码或一些其他标准。因为加权是根据IP优先优先来分配的,因此不存在真正的带宽保证。无法保证基于超文本传输协议(HTTP)的网络流量比符合FTP(文件传输协议)的流量具有更高的带宽保证。基于分类的WFQ为用户提供下列优点,这些优点是基于流量的WFQ所不能提供的: 

应用带宽保证 

用户定义流量级别 

 

总之,基于流量的WFQ提供QoS 保证,这种保证与其他流量有关。而基于分类的WFQ提供绝对的QoS 保证。 

 

流量整形 

为了执行最大限度的流量速度,要根据所要求的一套速度参数对第层流量整形,在这种情况下,整形是相当必要的,从而实现平滑的业务流1。流量整形对数据流进行排队和发送(与丢弃过多流量相反),从而符合服务水平协议(SLA)

 

 

 

                                                         

1

 OSI 模式中的第层符合网络层的要求吗,在该示例中为IP 层。 

5  普通流量整形 

 

流量整形概念的依据是,如果对爆发流量(具有突然间大量涌现的特点)进行排队,则TCP 发送器将识别这一点,并依次延长每个队列的等待时间,从而确保接下来的传输速度符合速度要求。这种类型的流量通常叫做自适应流量,流量整形的最终结果是一个平滑的数据包流。  

 

6  警管流量 

 

 

选择使用流量警管器和流量整形器的时机(业务警管与业务整形)  

警管按字面意思就是丢弃过多的流量,而整形却使这些过多的流量能够排队。就应用而言,由于整形流量不要求重新传输,而丢弃的流量将要求重新发送,因此选择整形通常是比较好的方式。在这种情况下,思科普通流量整形(GTS) 是比较理想的工具。  

 

但是,如果在每种情况下都进行整形,则路由器中会出现很长的队列,因此,这种可察觉到的延迟将导致发送器进行重新传输。警管丢弃过多流量比较适合于IP 多播,或非重要应用相关的TCP 流量。  

 

 

 

拥塞避免 

可将拥塞避免定义为识别接口输出方向上的拥塞,且根据拥塞要求进行操作的能力,从而最大限度地减小拥塞带来的影响。 

 

拥塞在VPN 中产生负面的影响,所以应避免拥塞。在这一概念的指导下,思科系统有限公司提供加权随机早期检测(WRED) 算法这类基于IOS 的工具,这些工具是思科执行随机早期检测(RED)算法的一种方式。WRED 通过添加逐级队列门限来提供各种流量处理方式,逐级队列门限用来确定发生信息包丢失的时间。用户可通过思科IOS 中命令行界面(CLI)对此门限进行配置和设置。 

 

7  加权随机早期检测 

 

图 8 WRED  信息包丢弃门限 

 

 

信息包丢弃是基于这样的前提:在检测到拥塞的情况下,TCP 这类自适应流量的排队等待时间将延长,并重新传输。通过监控路由器中平均输出队列长度,并在选定流量中丢弃信息包,可通过WRED 来防止短时间内出现过多的TCP 源信息包。取消选中这种增加信息包选项会引起TCP 同步问题。 

图 全局 TCP  同步 

 

WRED 在开始丢弃高优先级流量的信息包之前,先丢弃低优先级的信息包,通过这种方式,WRED 提供不同的处理办法,这样,用户就可以选择多达种这类的流量级别(本文只通过标准和高级这两种业务来说明这一点)。  

 

VPN隧道的QoS 

这里的QoS问题是指:无论所使用的隧道是何种类型,通常出现在IP信息包报头的QoS 参数应反映在隧道信息包报头中。请看与VPN有关的种主要隧道协议: 

层隧道协议(L2TP) 隧道 

IP 安全性(IPSEC) 隧道 

层发送(L2F) 隧道 

普通路由封装(GRE) 隧道 

 

图 10 L2F/L2TP  操作 

 

层隧道协议(L2TP) 通常用于节点到节点的应用,在这种情况下,隧道在用户网络的边缘终止。L2TP是一种基于IETF的标准,将思科的第层发送(L2F) 隧道协议和Microsoft 公司的端到端隧道(PPTP) 协议结合在一起。L2TP依赖于IPSEC 这类的第方安全性方案来获得信息包分类信息。L2TP主要用于端到端协议(PPP) 的流量。

基于RFC 1702的普通路由封装(GRE) 隧道可在IP 信息包上开辟任何一个协议通道。思科目前利用IPSEC 或普通路由封装(GRE) 为数据封装提供支持。在这两者中的任何一种情况下,思科IOS 都提供将信息包报头中的IP ToS 值复制到隧道报头中的功能。在11.3T版本IOS 中出现的这种功能在路由器通过GRE 封装信息包的情况下,可将服务类型(ToS)位复制到隧道报头中。 

 

这样,GRE隧道终点间的路由器就可以满足优先位的要求,因此,提高了高级业务信息包的路由质量。策略路由、WFQWRE这类思科IOS QoS 技术现在可应用在GRE隧道终点间的中间路由器上。 

 

图 11 GRE 隧道构架 

 

 

IETF差分业务 

互联网工程工作组(IETF) 目前正研究一种叫做“差分业务”的QoS 模式,这种模式通常称为“DiffServ ”。DiffServIP 业务类型(ToS)字节重新划分到DiffServ字节(DS Byte中。将这种方法用来通知所要求的信息包QoS 级别,还用于识别信息包是否属于某一级别。DiffServ定义每一跳行为(PHB) ,每一跳行为将在网络中规范普通QoS 行为。这种做法的目标是通过端到端方式为VPN中的标准QoS 提供基础。 

 

结语 

思科目前提供许多工具,为管理WA N链路提供帮助。这些工具包括:流量分类的QoS 工具,警管整形、带宽分配和避免拥塞。IETFDiffServ方面不断进步,为使企业QoS 策略扩展到SP网络提供了基础,思科希望参与,督促这方面的工作,从而确保QoS 产品满足端到端QoS 最新模式标准的要求。