Hillstone QoS流量控制解决方案

Hillstone QoS流量控制解决方案

QoS介绍

QoS（Quality of Service）即“服务质量”。它是指网络为特定流量提供更高优先服务的同时控制抖动和延迟的能力，并且能够降低数据传输丢包率。当网络过载或拥塞时，QoS 能够确保重要业务流量的正常传输。

QoS的实现

通常来讲，实现QoS管理功能的工具包括：

♦分类和标记工具

♦管制和整形工具

♦拥塞管理工具

♦拥塞避免工具

图22-1描绘了QoS的体系结构。

图22-1：QoS体系结构

如图22-1所示，数据包通过入接口进入系统后，首先会被分类和标记。在这一过程中，系统会通过管制机制丢弃一些数据包。然后，根据标记结果，数据包会被再次分类。系统会通过拥塞管理（Congection Management）机制和拥塞避免（Congection Avoidence）机制对数据包进行管理，为数据包排列优先次序并且在发生拥塞时保证高优先级数据包的顺利通过。最后，系统会将经过QoS管理的数据

包通过出接口发送出去。

分类和标记

分类和标记的过程就是识别出需进行不同处理（优先或者区分）的流量的过程。

分类和标记是执行QoS管理的第一步。分类和标记应该在和源主机尽量接近的地方进行。

分类

通常来讲，分类工具依据封装报文的头部信息对流量进行分类。为做出分类决定，分类工具需要对头部信息进行逐层深入检查。图22-2显示出头部信息的分类字段，而表22-1列出不同字段的分类标准。

图22-2：分类字段

表22-1：分类标准

标记

可携带标记的字段如下：

♦第2层标记字段：802.1Q/p。

♦第3层标记字段：IP优先权和DSCP。

802.1Q/p

通过设置802.1Q头的802.1p用户优先级位（CoS）来标记以太网帧。在以太网第2层以太网帧中至于8种服务类别（0到7）可以标记。数值的分配请参阅表22-2。

表22-2：应用类型值

IP优先权和DSCP

IP优先权与CoS相同，有8种服务（0到7）可以标记，请参考表22-2。

DSCP（DiffServ Code Point）是区分服务代码点。DSCP提供6位字段用于QoS标记，这6位字段是与IP优先权相同的3位，再加上接下来的ToS字段的3位。因此，DSCP值的范围是0到63。图22-3为DSCP和IP优先权位示意图。

图22-3为DSCP和IP优先权位示意图

DSCP值有两种表达方法，数字形式和关键字形式。关键字形式的DSCP值称为逐跳行为（PHB）。目前有三类已定义的PHB，分别是尽力服务（BE或者DSCP 0）、

确保转发（AFxy）和加速转发（EF）。具体信息请参考RFC2547、2597和3246。

DSCP值将在后面的QoS处理中起到关键性的作用。

管制和整形

QoS管理提供管制和整形功能。管制和整形的作用是识别流量违约并做出响应。

管制和整形使用同样的算法识别流量违约，但是做出的响应不同。

管制工具对流量违约进行即时检查，发现违约后立即采取设定的动作进行处理。

例如，管制工具可以确定负载是否超出了定义的流量速率，然后对超出部分的流量进行重新标记或者直接丢弃。管制工具可以应用在入接口和出接口上。

整形工具是一个与排队机制一起工作的流量平滑工具。整形的目的是将所有的流量发送到同一个接口，并且控制流量永远不超出指定的速率，使流量平滑地通过该接口发送出去。整形工具只可以应用在出接口上。

管制与整形相比较，具有以下区别，参见表22-3。

表22-2：管制与整形比较

令牌桶算法

SA系列安全网关通过使用令牌桶算法评估流量是否违约。

令牌桶是一个存放令牌的容器，它有一定的容量。系统按设定的速度向桶中放置令牌，当桶中令牌满时，多出的令牌溢出，桶中令牌不再增加。在用令牌桶评估流量时，是以令牌桶中的令牌数量是否足够满足数据包的转发为依据的。如果桶中存在足够的令牌可以用来转发数据包（通常一个令牌拥有一个比特的转发权限），称流量符合（conform）这个规格，否则称为超标（excess）。评估流量时令牌桶的参数设置包括：

♦CIR（Conmitted Information Rate）：向桶中放置令牌的速率，即允许的流量的平均速率。

♦CBS（Committed Burst Size）：第一个令牌桶的容量，即每次突发所允许的最大的流量值。该值必须大于最大包的长度。该令牌桶简称为C桶。

♦EBS（Excess Burst Size）：第二个令牌桶的容量，即为允许的超出突发的

最大流量值。该令牌桶简称为E桶。

当使用两个令牌桶进行流量评估时，依据“C桶有足够的令牌”、“C桶令牌不足，但E桶足够”以及“C桶和E桶都没有足够的令牌”的情况，分别实施不同的操作控制。图22-3为双令牌桶算法示意图。

图22-3：双令牌桶算法示意图

图22-3中，B=数据包的大小；Tc=CBS中令牌的数量；Te=EBS中令牌的数量。

当CBS中的令牌数大于数据包的大小时，则该数据包符合规格（Conform），系统将根据配置进行操作；当CSB中的令牌数小于数据包的大小，系统将检查EBS

中令牌的数量，如果EBS中令牌数量大于数据包的大小，则该数据包超出（Exceed），系统根据配置进行操作，如果EBS中的令牌数也小于数据包的大小，则该数据包违约，系统再根据配置进行操作。

拥塞管理

拥塞管理工具是QoS工具中最重要的一个。拥塞管理工具即排队工具，应用在产生拥塞的接口上。由于网络之间的速率不匹配，在广域网或者局域网中都有可能出现拥塞。只有当接口发生拥塞时，排队工具才会被启用。SA系列安全网关支持加权公平队列（CBWFQ）和低延迟队列（LLQ）。

♦CBWFQ：基于类别的加权公平队列。使用户能够为某一类流量配置最小带宽。

♦LLQ：低延迟队列。LLQ是PQ、CQ和WFQ的综合算法。LLQ一般用于语音和交互式视频。在配置时，所有LLQ类型的应用所占总带宽不能超过链路

带宽的33%。

拥塞避免

拥塞避免机制是排队算法的补充，并且依赖于排队算法。使用拥塞避免工具的目的是为了处理基于TCP的数据流。SA系列安全网关使用加权早期随机检测（WRED）算法实现拥塞避免。

配置QoS

SA系列安全网关上通过配置QoS Profile，然后将配置好的QoS Profile应用到接口上来实现QoS管理。用户可以将多个QoS Profile应用到一个接口上。通常情况下，配置QoS，需要经过以下三个步骤：

1.配置Class。

该步骤为流量识别分类的过程。Class定义设备需要匹配的流量，从而设备

可以将流量进行区分。

2.配置QoS Profile。

QoS Profile定义了对匹配的流量所做的操作，包括管制、整形、拥塞管理

和拥塞避免。

3.绑定QoS Profile到接口。

只有将配置好的QoS Profile绑定到接口上，QoS功能才能在安全网关上

起作用。