系统管理指南:IP 服务

规划 Diffserv 网络拓扑

要为网络提供区分服务,至少需要一个启用了 IPQoS 的系统以及一个可识别 Diffserv 的路由器。您可以通过各种方法扩展这个基本方案,如本节中所述。

Diffserv 网络的硬件策略

通常,客户针对服务器和服务器整合(例如 Sun Enterprise™ 0000 服务器)运行 IPQoS。与此相反,您还可以根据网络需求在桌面系统(例如 UltraSPARC® 系统)上运行 IPQoS。以下列表介绍了可以配置 IPQoS 的系统:

您可以通过已经起作用的可识别 Diffserv 的路由器将 IPQoS 系统引入网络拓扑中。如果您的路由器当前不提供 Diffserv,请考虑由 Cisco Systems、Juniper Networks 和其他路由器制造商提供的区分服务解决方案。如果本地路由器无法实现 Diffserv,则路由器会将标记的包传送到下一个跃点而不评估此标记。

IPQoS 网络拓扑

本节介绍可满足各种网络需求的 IPQoS 策略。

单个主机上的 IPQoS

下图显示启用了 IPQoS 的系统的单个网络。

图 33–1 网络段上的 IPQoS 系统

拓扑图显示了包含一个 Diffserv 路由器以及三个启用 IPQoS 的系统( FTP 服务器、数据库服务器和 Web 服务器)的本地网络。

此网络仅为公司内联网的一段。通过在应用服务器和 Web 服务器上启用 IPQoS,您可以控制每个 IPQoS 系统释放传出通信的速率。如果使路由器可识别 Diffserv,则还可以进一步控制传入和传出的通信。

本指南中的示例使用“单个主机上的 IPQoS”方案。有关在整个指南中使用的拓扑示例,请参见图 33–4

包含服务器场的网络上的 IPQoS

下图显示了包含数个异构服务器场的网络。

图 33–2 启用了 IPQoS 的服务器场的网络

拓扑图显示了包含一个 Diffserv 路由器、一个启用 IPQoS 的负载平衡器以及三个服务器场的网络。

在此类拓扑中,路由器可识别 Diffserv,因此可以对传入和传出的通信进行排队和计速。负载平衡器也可识别 Diffserv,并且服务器场也启用了 IPQoS。负载平衡器可以使用选定器(例如用户 ID 和项目 ID)来提供路由器之外的其他过滤功能。这些选定器包括在应用程序数据中。

此方案提供了流控制和通信转发以管理本地网络上的拥塞。此方案还可防止服务器场的传出通信对内联网的其他部分造成过载。

防火墙上的 IPQoS

下图显示了某公司网络的一段,由其他段通过防火墙保障该段的安全。

图 33–3 由启用了 IPQoS 的防火墙保护的网络

拓扑图显示了由一个 Diffserv 路由器、一个启用了 IPQoS 的防火墙、一个 Oracle Solaris : 系统以及其他主机组成的网络。

在此方案中,通信流入可识别 Diffserv 的路由器,在此路由器中对包进行过滤和排队。然后,所有由路由器转发的传入通信通过启用 IPQoS 的防火墙。要使用 IPQoS,防火墙不能跳过 IP 转发栈。

防火墙的安全策略决定是允许传入通信进入内部网络还是远离内部网络。QoS 策略控制已经通过防火墙的传入通信的服务级别。根据 QoS 策略,还可以使用转发行为标记传出通信。