《QOS原理及在EPON中的应用配置》由会员分享,可在线阅读,更多相关《QOS原理及在EPON中的应用配置(68页珍藏版)》请在金锄头文库上搜索。
1、于 力 平 固网产品支持部QOS原理及在EPON中的应用 QOS 的基本概念 报文的分类和标记 基于流的QOS 基于端口的QOS主要内容秘密 课程内容QoS 的基本概念报文的分类和标记基于流的QOS基于端口的QOS秘密 QoS的基本概念nQos: Quality of Service(服务质量)是指网络通信过 程中,允许用户业务在丢包率、延迟、抖动和带宽等 方面获得可预期的服务水平nIP QoS目标:l 避免并管理IP网络拥塞l 减少IP报文的丢失率l 调控IP网络的流量l 为特定用户或特定业务提供专用带宽l 支撑IP网络上的实时业务秘密 丢包我啊三张是本地这么说 .我啊三是对方听到的是 .?
2、Internet秘密 延时InternetAA发送的第一个bit接收的最后一个bit处理延时处理延时网络传输延时端到端的延时时间t秘密 抖动Internet132发送接收321D3D2D1D3=D2=D1秘密 带宽限制IP我要100M我要30M我要2M10M秘密 IP QoS 三种模型nBest-Effort 模型:是目前Internet的缺省服务模型, 主要实现技术是先进先出队列(FIFO)nIntServ模型:业务通过信令向网络申请特定的QoS服 务,网络在流量参数描述的范围内,预留资源以承诺 满足该请求n DiffServ模型:当网络出现拥塞时,根据业务的不同 服务等级约定,有差别地进行
3、流量控制和转发来解决 拥塞问题秘密 Best-Effort 模型lBest-Effort是单一的服务模型,也是最简单的服务模型 。l应用程序可任意发送任意报文,不需要事先得到批准或 通知网络l网络尽最大可能发送这些报文,但对时延,可靠性等性 能不提供任何保障lBest-Effort service是目前Internet的缺省服务模型,主 要实现技术是先进先出队列(FIFO)秘密 IntServ 模型n为应用提供可控制的、端到端的服务n 网络单元支持QoS的控制机制n 应用程序向网络申请特定的QoS服务n 信令协议在网络中部署QoS请求n RSVP是主要使用的信令协议秘密 RSVP原理我要预留
4、2Mbps带宽OK!我要预留 2Mbps带宽我要预留 2Mbps带宽我要预留 2Mbps带宽OK!OK!OK!开始通信秘密 RSVP的问题n 要求端到端所有设备支持这一协议n 网络单元为每个应用保存状态信息,可扩展性差n 周期性同相邻单元交换状态信息,协议报文开销大n 不适合在大型网络中应用秘密 DiffServ 模型体系结构DiffServ网络用户网络DiffServ网络流量控制SLA/TCA边界节点内部节点边界节点边界节点内部节点 边界节点在网络边缘进行业 务分类和流量调整。 - 业务分类. 基于DS域. 基于其他特征 - 流量调整. 测量. 标记. 丢弃. 整形不同DS区域可有不同的PH
5、B,以实现不同的服务提供策略,它们之间通过 SLA与TCA协调提供跨区域服务: . SLA:服务等级协定,关于业务流在网络中传递时所应当获得的待遇。 . TCA:流量调整协定,关于业务分类准则、业务模型及相应处理的协定。用户网络DS区域的服务提供 策略由PHB决定。 DS节点根据PHB属性 转发。秘密 课程内容QoS 的基本概念报文的分类和标记基于流的QOS基于端口的QOS秘密 报文分类及标记n报文分类及标记是QoS 执行服务的基础n报文分类使用技术:ACL和优先级标记 n根据分类结果交给其它模块处理或打标记(着色)供核 心网络分类使用ACL , 优先级秘密 报文分类的依据n依据报文内容:协议
6、字段、数据内容l比如:源/目MAC,802.1p优先级,lVLAN ID,以太网包类型,l源/目IP,DSCP优先级,l协议类型,源/目端口号(TCP/UDP) 秘密n访问控制列表( Access Control List ):一个有序的 语句(rule)集,它通过匹配报文中的信息与访问列表的 参数,来允许或拒绝报文通过某个接口。nACL是应用在路由器或交换机接口的指令列表。这些指 令判断哪些分组可以接收以及哪些分组需要拒绝。接收 和拒绝基于一定的条件,例如源地址、目标地址及 TCP/IP端口号等。什么是ACL秘密n限制网络流量,提高网络性能。例如,ACL能够基于 分组的协议,指定一定分级的级
7、别被优先处理。n提供流量控制。n提供网络访问的基本安全级别。例如,ACL允许一个 主机访问你的网络的一部分,而阻止其它主机访问相 同区域。n在路由器/交换机接口上配置ACL决定哪种流量被转发 或被阻塞。ACL的作用秘密 ACL工作过程NY报文丢弃选择接口路由条目 ?NY检查ACL规则允许 ?YACL ?报文丢弃N输出接口 输入接口Fei_1/1秘密丢弃Y拒绝Y允许N拒绝允许拒绝YYNYY允许隐式拒绝拒绝N输入接口匹配第一 条规则 ?目的接口匹配下一 条规则 ?匹配最后一条规则?ACL创建顺序秘密访问控制列表分类编编号范围围 访问访问 控制列表种类类 说说明 199 10001499IP标准访问
8、 控制列表 (standard ACL)基于IP的标准访问 控制列表,只对源IP地 址进行过滤 100199 15001999IP扩展访问 控制列表 (extend ACL) 基于IP的扩展访问 控制列表,IP包头的五 元组和其它部分协议 控制信息进行过滤 200299二层访问 控制列表 (link ACL)基于以太网二层数据包头和部分二层信息 进行过滤 300349混合访问 控制列表 (hybrid ACL) 基于IP包头的五元组和部分以太网二层信 息进行过滤 2000-2499/2500- 2999IPV6 标准/扩展访问 控制列表只适用于IPV6的包,基于源IPV6地址或源 和目的IPV
9、6地址进行过滤秘密流过滤就是将与ACL规则匹配的数据流进行过滤操作:n丢弃操作(deny),该操作将匹配流分类规则的数据流丢弃,而允许其 他所有流量通过。管理员使用此方式丢弃那些无用的、不可靠、值得怀疑 的业务流,从而增强网络的安全性。n允许操作(permit),该操作对匹配流分类规则的数流不作丢弃处理,允 许通过ACL流过滤秘密nACL的控制只在数据流进入时作了控制,即只有in单方向的,在out方向无 法作ACL控制。n当ACL表中无任何规则时,应用到端口上表示permit anyn当ACL中存在一条或一条以上规则,则表中默认最后一条规则为deny anyn一条ACL rule配置完成后,必
10、须退出ACL配置模式该条目方可生效ACL的配置包括以下三个步骤,请依次进行配置:配置时间段:配置time-range,不是必须配置ACL作用的时间域 ,当ACL没有作用在该时间段,此ACL没有生效。定义访问控制列表将访问控制列表应用到物理端口ACL配置注意事项ACL 配置步骤秘密标准ACl测试用例:只对源IP地址或者某个具体的IP网段进行控制,其中可以加入时 间的限制。ZXAN(config)#acl standard number 1ZXAN(config-std-acl)#rule 1 deny 192.168.1.1 0.0.0.0 time-range workZXAN(config-
11、std-acl)#rule 2 permit anyZXAN(config-std-acl)#exi ZXAN(config)#interface gei_0/6/3ZXR10(config-if)#ip access-group 1 in 在标准acl配置模式配置,禁止源IP地址是192.168.1.1的数据包从gei_1/1 端口进入。其中的time-range work表示在“work“定义的时间段内生效。Work的定义如下:Time-range: work 08:30:00 to 18:00:00 working-day表示在工作日(星期一到星期五)的08:30:00 到18:00:0
12、0生效。ZXAN(config)#time-range work 11:10:00 to 11:20:00 thursday 标准ACL 配置实例秘密 扩展ACL 配置实例ZXAN(config)#acl extended number 100ZXAN(config-ext-acl)#rule 1 deny tcp 192.168.1.0 0.0.0.255 eq telnet anyZXAN(config-ext-acl)#rule 2 permit any 在ext -acl配置模式配置,禁止源IP地址为192.168.1.0/24、源端口号为23(telnet )的TCP数据包通过。1.
13、源IP地址 2.目的IP地址 3.IP协议号 4.UDP/TCP传输层的目的端口号 5.UDP/TCP传输层的源端口号 6.ICMP,TOS字段、PRECEDENCE字段、FRAGMENT字段、TCP established字段等来进行报文控制。扩展ACL:可以根据IP五元组(前5项)秘密 二层ACL 配置实例n源MAC地址n目的MAC地址n802.1p user priority字段优先级nvlan-id进行过滤。ZXR10(config)#acl link nu 200 ZXR10(config-link-acl)#rul 1 per any in 4094 0000.0000.0001
14、0000.0000.0000 egress any ZXR10(config-if)#ip access-group 200 in 端口允许源MAC地址为0000.0000.0001,VLAN ID为4094的数据包通过。二层ACl:可以针对二层的数据帧里面的字段秘密 混合ACl配置实例ZXR10(config)#acl hybrid name test1ZXR10(config-hybd-acl)#rule 1 deny ip any any arp ZXR10(config-hybd-acl)#rule 2 deny ip any 192.168.1.0 0.0.0.255 ip egre
15、ss 0000.0000.0001 0000.0000.0000 ZXR10(config-hybd-acl)#rul 3 per ip any any any ZXR10(config-if)#ip access-group test1 in 配置混合名字型ACL test1,禁止arp包从gei_1/1进入,禁止目的MAC地址为 0000.0000.0001,目的IP地址为192.168.1.0/24的IP数据包通过。 n通过二层MAC地址、VLAN信息和三层的IP五元组信息进 行数据流控制,它可以看作扩展ACL和二层ACL的综合秘密ZXR10(config)# ipv6 acl exte
16、nded number 2500ZXR10 (config-ext-v6acl)#rul 1 deny ip any anyZXR10 (config-ext-v6acl)#exitZXR10(config)#int gei_1/1ZXR10(config-if)#ip access-group 2500 in配置扩展型IPV6 ACL,禁止IPV6的包进入端口gei_1/1。IPV6 ACl配置实例基于源IPV6地址或源和目的IPV6地址进行过滤秘密ZXAN(config)# show aclZXAN(config)# show running-config interface gei_0/6
