××× virtual private network (虚拟专用网)
传统的ATM和帧中继电路属于2层×××,构建于互联网之上的IPSEC隧道称为3层×××.
××× 3大功能
机密性 通过加密实现 技术有DES或3DES
验证 为接收者提供数据源的验证机制 通常需要是交互性
数据完整性 SHA(secure hash algorithm安全哈希算法)和MD5(message digest 5报头摘要5)来进行数据完整性的校验
传统的ATM和帧中继电路属于2层×××,构建于互联网之上的IPSEC隧道称为3层×××.
××× 3大功能
机密性 通过加密实现 技术有DES或3DES
验证 为接收者提供数据源的验证机制 通常需要是交互性
数据完整性 SHA(secure hash algorithm安全哈希算法)和MD5(message digest 5报头摘要5)来进行数据完整性的校验
×××的端点可以是端系统也可以是端网络
×××可以分为两类
1远程接入×××
由客户端发起,也可以由NAS(network access server网络接入服务)发起
2站点间×××
主要包括 intranet ×××(内联网×××)和 extranet ×××(外联网×××)
×××可以分为两类
1远程接入×××
由客户端发起,也可以由NAS(network access server网络接入服务)发起
2站点间×××
主要包括 intranet ×××(内联网×××)和 extranet ×××(外联网×××)
QOS预分类
与×××相关的两个常用隧道协议GRE和IPSEC
隧道协议在隧道端点处多要对原始IP包进行封装并使用新的IP包头,所以在QOS机制无法使用原始IP报头。
原始IP包头中的TOS字节在封装过程中会被复制到新的IP包头中的 TOS,
1如果端口部署的QOS机制只考虑TOS字节 (DSCP ECN IP优先级) ,如qos pre-classify
2如果接口部署的QOS机制还用到其他字段(如源IP地址,目的IP地址,协议号,源端口号,目的端口号),需要在隧道的头端路由器上配置QOS预分类。
与×××相关的两个常用隧道协议GRE和IPSEC
隧道协议在隧道端点处多要对原始IP包进行封装并使用新的IP包头,所以在QOS机制无法使用原始IP报头。
原始IP包头中的TOS字节在封装过程中会被复制到新的IP包头中的 TOS,
1如果端口部署的QOS机制只考虑TOS字节 (DSCP ECN IP优先级) ,如qos pre-classify
2如果接口部署的QOS机制还用到其他字段(如源IP地址,目的IP地址,协议号,源端口号,目的端口号),需要在隧道的头端路由器上配置QOS预分类。
不同数据流和应用的数据包通过同一个隧道接口进行传送时,需要使用相同的IP包头进行封装,具有相同的源IP地址和目的IP地址(隧道两端)以及相同的协议号(隧道协议号),这些数据包的不同之处在于TOS字节,它们由封装前的原始IP包头中的TOS字节直接复制而来。
GRE:
封装IP隧道中不同的协议数据,通过IP互连网络在CISCO路由器之间创建一条虚拟的点到点链路, 其优点能传送IP单播包,IP路由协议包,组播包以及非IP流量 其缺点不能使用加密技术
IPSEC:
优点 可以在隧道端点、对等体之间提供数据机密性 完整性 数据验证
IPSEC 隧道传送用到两种数据保护机制 1 AH(authentication header认证头) 2 ESP(encapsulation security payload封装安全净荷)
IPSEC AH本身并不能通过加密来保证数据的机密性
封装IP隧道中不同的协议数据,通过IP互连网络在CISCO路由器之间创建一条虚拟的点到点链路, 其优点能传送IP单播包,IP路由协议包,组播包以及非IP流量 其缺点不能使用加密技术
IPSEC:
优点 可以在隧道端点、对等体之间提供数据机密性 完整性 数据验证
IPSEC 隧道传送用到两种数据保护机制 1 AH(authentication header认证头) 2 ESP(encapsulation security payload封装安全净荷)
IPSEC AH本身并不能通过加密来保证数据的机密性
隧道模式下的IPSEC ESP
ESP验证 ESP尾 净荷 IP头 ESP头 新IP头[协议号=50(ESP)TOS=内层TOS]
传送模式下的IPSEC ESP
ESP验证 ESP尾 净荷 ESP头 新IP头[协议号=50(ESP)TOS=内层TOS]
ESP验证 ESP尾 净荷 IP头 ESP头 新IP头[协议号=50(ESP)TOS=内层TOS]
传送模式下的IPSEC ESP
ESP验证 ESP尾 净荷 ESP头 新IP头[协议号=50(ESP)TOS=内层TOS]
QOS预分类选项
QOS预分类 pre-classify 在数据还没有加密和进入隧道前对数据包进行分类
QOS预分类 pre-classify 在数据还没有加密和进入隧道前对数据包进行分类
GRE隧道 仅使用TOS字节来进行IP包分类,那么IPSEC AH(传送模式和隧道模式)和IPSEC ESP(传送模式和隧道模式)不需要额外的配置工作
当包分类操作不是基于隧道化前的IP包中的TOS字节,将会出现问题;解决方案配置QOS pre-classify(使用该命令后,在对IP包进行封装或加密前IOS会生成一份该IP包的临时拷贝,以便在出或接口上实施包分类服务策略时可以基于内层IP包头中的字段,而不是封装后的外层IP报头中的字段)
当包分类操作不是基于隧道化前的IP包中的TOS字节,将会出现问题;解决方案配置QOS pre-classify(使用该命令后,在对IP包进行封装或加密前IOS会生成一份该IP包的临时拷贝,以便在出或接口上实施包分类服务策略时可以基于内层IP包头中的字段,而不是封装后的外层IP报头中的字段)
1在某个发起一个或多个隧道的物理接口上应用QOS服务策略时,该服务策略将基于隧道化后的IP包头字段进行包分类。
2如果在某个隧道接口上应用了QOS服务策略,该服务策略将基于隧道化前的IP包头进行包分类,
3如果希望在物理接口上应用QOS服务策略,又希望该服务策略基于隧道化前的IP包头字段进行包分类,就必须使用QOS pre-classify
2如果在某个隧道接口上应用了QOS服务策略,该服务策略将基于隧道化前的IP包头进行包分类,
3如果希望在物理接口上应用QOS服务策略,又希望该服务策略基于隧道化前的IP包头字段进行包分类,就必须使用QOS pre-classify
QOS pre-classify命令属于接口配置模式下的一个命令,默认情况下不启用。
该命令仅局限于隧道接口,虚拟模板(virtual templates)和密码映射(crypto map)不适用于其它接口.
该命令仅局限于隧道接口,虚拟模板(virtual templates)和密码映射(crypto map)不适用于其它接口.
端到端的QOS=企业QOS+服务提供商QOS
PHB(per-hop behavior 每跳行为)
为实现端到端QOS而对园区网和服务提供商网络提出的一些主要需求
接入层QOS 主要集中在合理的软硬件,缓存设置以及排队测率等配置上
园区分布层QOS 主要实现监管,标记和拥塞避免等QOS机制
服务提供商QOS 实现拥塞管理和拥塞避免 因而在IP核心网络中采取主要关键QOS机制为LLQ(low-latency queuing低延时排队)和WRED(weighted random early detection加权随机早期检测)
PHB(per-hop behavior 每跳行为)
为实现端到端QOS而对园区网和服务提供商网络提出的一些主要需求
接入层QOS 主要集中在合理的软硬件,缓存设置以及排队测率等配置上
园区分布层QOS 主要实现监管,标记和拥塞避免等QOS机制
服务提供商QOS 实现拥塞管理和拥塞避免 因而在IP核心网络中采取主要关键QOS机制为LLQ(low-latency queuing低延时排队)和WRED(weighted random early detection加权随机早期检测)
QOS SLA(service level agreement服务等级协定)
企业与服务提供商签订的有关数据服务,语音服务以及其它服务或一组服务(互联网接入,租用线,帧中继,ATM等等)的协议
SLA中明确协商和规定的QOS参数主要时时延 抖动 和丢包率 吞吐量以及服务可用性
典型的服务提供商IP QOS SLA一般实时型流量(高优先级流量 最低最严格带宽保证) 关键型流量 尽力而为型流量
企业必须保证前端设备内时延,抖动和丢包率分别不能超过 90MS 10MS 0.5%
企业与服务提供商签订的有关数据服务,语音服务以及其它服务或一组服务(互联网接入,租用线,帧中继,ATM等等)的协议
SLA中明确协商和规定的QOS参数主要时时延 抖动 和丢包率 吞吐量以及服务可用性
典型的服务提供商IP QOS SLA一般实时型流量(高优先级流量 最低最严格带宽保证) 关键型流量 尽力而为型流量
企业必须保证前端设备内时延,抖动和丢包率分别不能超过 90MS 10MS 0.5%
园区的QOS实现应该遵循的原则
1在最靠近源端处对流量进行分类和标记
2在最靠近源端处进行监管流量
3建立适当的信任边界 信任CISCO IP电话机的标记,不信任用户工作站(PC)的标记
4将实施语音和视频流量分类和标记为高优先级流量
5在发送端口上使用多队列
6在可能的情况下实施基于硬件的QOS,而不是基于软件的QOS,(CATALYST交换机基于硬件)
园区网中的接入层交换机实施QOS策略
适当信任 分类 标记策略
监管和降级策略
排队策略
1在最靠近源端处对流量进行分类和标记
2在最靠近源端处进行监管流量
3建立适当的信任边界 信任CISCO IP电话机的标记,不信任用户工作站(PC)的标记
4将实施语音和视频流量分类和标记为高优先级流量
5在发送端口上使用多队列
6在可能的情况下实施基于硬件的QOS,而不是基于软件的QOS,(CATALYST交换机基于硬件)
园区网中的接入层交换机实施QOS策略
适当信任 分类 标记策略
监管和降级策略
排队策略
园区网中的分布层交换机实施QOS策略
DSCP信任策略
排队策略
可选的每用户微流(micro-flow)策略
DSCP信任策略
排队策略
可选的每用户微流(micro-flow)策略
WAN边缘的QOS实现(PE/CE)
离开企业网进入服务提供商网络
1CE设备归服务提供商管理 ISP控制CE上的QOS策略 排队 丢弃和××× 可能需要LFI和压缩RTP
2CE设备不归服务提供商管理
离开服务提供商,进入客户网络
离开企业网进入服务提供商网络
1CE设备归服务提供商管理 ISP控制CE上的QOS策略 排队 丢弃和××× 可能需要LFI和压缩RTP
2CE设备不归服务提供商管理
离开服务提供商,进入客户网络
COPP(control plane policing控制平面监管)
cisco ios的一个功能特性,可以配置一个用来管理由控制平面数据包构成的数据流的QOS过滤器 可以避免DOS攻击和网络侦测(reconnaissance)
数据平面流量 流量目的地不是路由器本身
控制和管理平面流量 流量目的地不是路由器本身
COPP的4个步骤
1定义包分类准则 使用MQC class-map
2定义服务策略 使用MQC policy-map
3进入控制平面配置模式
4应用QOS策略
cisco ios的一个功能特性,可以配置一个用来管理由控制平面数据包构成的数据流的QOS过滤器 可以避免DOS攻击和网络侦测(reconnaissance)
数据平面流量 流量目的地不是路由器本身
控制和管理平面流量 流量目的地不是路由器本身
COPP的4个步骤
1定义包分类准则 使用MQC class-map
2定义服务策略 使用MQC policy-map
3进入控制平面配置模式
4应用QOS策略
