Hillstone QoS流量控制解决方案QoS介绍QoS（Quality of Service）即“服务质量”。

它是指网络为特定流量提供更高优先服务的同时控制抖动和延迟的能力，并且能够降低数据传输丢包率。

当网络过载或拥塞时，QoS 能够确保重要业务流量的正常传输。

QoS的实现通常来讲，实现QoS管理功能的工具包括：♦分类和标记工具♦管制和整形工具♦拥塞管理工具♦拥塞避免工具图22-1描绘了QoS的体系结构。

图22-1：QoS体系结构如图22-1所示，数据包通过入接口进入系统后，首先会被分类和标记。

在这一过程中，系统会通过管制机制丢弃一些数据包。

然后，根据标记结果，数据包会被再次分类。

系统会通过拥塞管理（Congection Management）机制和拥塞避免（Congection Avoidence）机制对数据包进行管理，为数据包排列优先次序并且在发生拥塞时保证高优先级数据包的顺利通过。

最后，系统会将经过QoS管理的数据包通过出接口发送出去。

分类和标记分类和标记的过程就是识别出需进行不同处理（优先或者区分）的流量的过程。

分类和标记是执行QoS管理的第一步。

分类和标记应该在和源主机尽量接近的地方进行。

分类通常来讲，分类工具依据封装报文的头部信息对流量进行分类。

为做出分类决定，分类工具需要对头部信息进行逐层深入检查。

图22-2显示出头部信息的分类字段，而表22-1列出不同字段的分类标准。

图22-2：分类字段表22-1：分类标准标记可携带标记的字段如下：♦第2层标记字段：802.1Q/p。

♦第3层标记字段：IP优先权和DSCP。

802.1Q/p通过设置802.1Q头的802.1p用户优先级位（CoS）来标记以太网帧。

在以太网第2层以太网帧中至于8种服务类别（0到7）可以标记。

数值的分配请参阅表22-2。

表22-2：应用类型值IP优先权和DSCPIP优先权与CoS相同，有8种服务（0到7）可以标记，请参考表22-2。

DSCP（DiffServ Code Point）是区分服务代码点。

DSCP提供6位字段用于QoS标记，这6位字段是与IP优先权相同的3位，再加上接下来的ToS字段的3位。

因此，DSCP值的范围是0到63。

图22-3为DSCP和IP优先权位示意图。

图22-3为DSCP和IP优先权位示意图DSCP值有两种表达方法，数字形式和关键字形式。

关键字形式的DSCP值称为逐跳行为（PHB）。

目前有三类已定义的PHB，分别是尽力服务（BE或者DSCP 0）、确保转发（AFxy）和加速转发（EF）。

具体信息请参考RFC2547、2597和3246。

DSCP值将在后面的QoS处理中起到关键性的作用。

管制和整形QoS管理提供管制和整形功能。

管制和整形的作用是识别流量违约并做出响应。

管制和整形使用同样的算法识别流量违约，但是做出的响应不同。

管制工具对流量违约进行即时检查，发现违约后立即采取设定的动作进行处理。

例如，管制工具可以确定负载是否超出了定义的流量速率，然后对超出部分的流量进行重新标记或者直接丢弃。

管制工具可以应用在入接口和出接口上。

整形工具是一个与排队机制一起工作的流量平滑工具。

整形的目的是将所有的流量发送到同一个接口，并且控制流量永远不超出指定的速率，使流量平滑地通过该接口发送出去。

整形工具只可以应用在出接口上。

管制与整形相比较，具有以下区别，参见表22-3。

表22-2：管制与整形比较令牌桶算法SA系列安全网关通过使用令牌桶算法评估流量是否违约。

令牌桶是一个存放令牌的容器，它有一定的容量。

系统按设定的速度向桶中放置令牌，当桶中令牌满时，多出的令牌溢出，桶中令牌不再增加。

在用令牌桶评估流量时，是以令牌桶中的令牌数量是否足够满足数据包的转发为依据的。

如果桶中存在足够的令牌可以用来转发数据包（通常一个令牌拥有一个比特的转发权限），称流量符合（conform）这个规格，否则称为超标（excess）。

评估流量时令牌桶的参数设置包括：♦CIR（Conmitted Information Rate）：向桶中放置令牌的速率，即允许的流量的平均速率。

♦CBS（Committed Burst Size）：第一个令牌桶的容量，即每次突发所允许的最大的流量值。

该值必须大于最大包的长度。

该令牌桶简称为C桶。

♦EBS（Excess Burst Size）：第二个令牌桶的容量，即为允许的超出突发的最大流量值。

该令牌桶简称为E桶。

当使用两个令牌桶进行流量评估时，依据“C桶有足够的令牌”、“C桶令牌不足，但E桶足够”以及“C桶和E桶都没有足够的令牌”的情况，分别实施不同的操作控制。

图22-3为双令牌桶算法示意图。

图22-3：双令牌桶算法示意图图22-3中，B=数据包的大小；Tc=CBS中令牌的数量；Te=EBS中令牌的数量。

当CBS中的令牌数大于数据包的大小时，则该数据包符合规格（Conform），系统将根据配置进行操作；当CSB中的令牌数小于数据包的大小，系统将检查EBS中令牌的数量，如果EBS中令牌数量大于数据包的大小，则该数据包超出（Exceed），系统根据配置进行操作，如果EBS中的令牌数也小于数据包的大小，则该数据包违约，系统再根据配置进行操作。

拥塞管理拥塞管理工具是QoS工具中最重要的一个。

拥塞管理工具即排队工具，应用在产生拥塞的接口上。

由于网络之间的速率不匹配，在广域网或者局域网中都有可能出现拥塞。

只有当接口发生拥塞时，排队工具才会被启用。

SA系列安全网关支持加权公平队列（CBWFQ）和低延迟队列（LLQ）。

♦CBWFQ：基于类别的加权公平队列。

使用户能够为某一类流量配置最小带宽。

♦LLQ：低延迟队列。

LLQ是PQ、CQ和WFQ的综合算法。

LLQ一般用于语音和交互式视频。

在配置时，所有LLQ类型的应用所占总带宽不能超过链路带宽的33%。

拥塞避免拥塞避免机制是排队算法的补充，并且依赖于排队算法。

使用拥塞避免工具的目的是为了处理基于TCP的数据流。

SA系列安全网关使用加权早期随机检测（WRED）算法实现拥塞避免。

配置QoSSA系列安全网关上通过配置QoS Profile，然后将配置好的QoS Profile应用到接口上来实现QoS管理。

用户可以将多个QoS Profile应用到一个接口上。

通常情况下，配置QoS，需要经过以下三个步骤：1.配置Class。

该步骤为流量识别分类的过程。

Class定义设备需要匹配的流量，从而设备可以将流量进行区分。

2.配置QoS Profile。

QoS Profile定义了对匹配的流量所做的操作，包括管制、整形、拥塞管理和拥塞避免。

3.绑定QoS Profile到接口。

只有将配置好的QoS Profile绑定到接口上，QoS功能才能在安全网关上起作用。

配置ClassSA系列安全网关支持5种类型的匹配条件：♦应用类型匹配条件♦DSCP值匹配条件♦IP地址范围匹配条件♦QoS标签匹配条件♦IP优先权值匹配条件定义流量的匹配条件，需要在Class配置模式下进行。

进入Class配置模式，在全局配置模式下使用以下命令：class-map class-name♦class-name–指定class的名称。

执行该命令后，系统创建指定的class，并且进入class配置模式。

如果指定的名称已存在，则直接进入class配置模式。

StoneOS支持最多16个class。

并且，系统提供一个默认class，名为class-default。

在进行QoS管理时，没有匹配到的流量都将进入class-default。

class-default的默认队列是CBWFQ，它的权是接口带宽减去所有被预留的带宽。

在进行CBWFQ计算时，建议用户为class-default预留25%的带宽，该数值为经过实践证明的最佳预留值。

在全局配置模式下使用no class-map clas-name命令删除指定的class。

配置应用类型匹配条件SA系列安全网关支持近百中应用类型，例如FTP、SMTP以及OSFP等。

定义某种应用类型匹配条件，在Class配置模式下，使用以下命令：match application app-name♦app-name–指定应用类型的名称。

改名称为系统预定义服务和用户自定义服务。

使用多条该命令定义多种匹配应用类型。

在Class配置模式下，使用no match application app-name命令删除指定的应用类型。

配置DSCP值匹配条件定义DSCP值匹配条件，在Class配置模式下，使用以下命令：match dscp dscp-value1 [dscp-value2] [dscp-value3][dscp-value4]♦dscp-value–指定DSCP的值。

安全网关支持两种DSCP值的表达方式，分别是0到63的数字和RFC中预定义的DSCP值，例如af11、cs2等。

一条命令中最多可以指定4个DSCP值，所有数值之间为“或”的关系。

使用多条该命令配置多个DSCP值匹配条件。

在Class配置模式下，使用no match dscp dscp-value1 [dscp-value2] [dscp-value3] [dscp-value4]命令删除指定的SDCP值匹配条件。

配置IP地址范围匹配条件定义IP地址范围匹配条件，在Class配置模式下，使用以下命令：match ip-range start-ip end-ip♦start-ip–指定IP地址范围的起始IP地址。

♦end-ip–指定IP地址范围的结束IP地址。

一个ip-range不能超过一个B类地址的范围。

使用多条该命令配置多个地址范围匹配条件。

在Class配置模式下，使用no match ip-range start-ip end-ip命令删除指定的IP地址范围匹配条件。

配置QoS标签匹配条件定义QoS标签匹配条件，在Class配置模式下，使用以下命令：match policy-qos-tag tag-value♦tag-value–指定QoS标签的值。

范围是1到16。

用户在创建策略规则或者P2P Profile时，可以配置QoS标签。

使用多条该命令配置多个QoS标签匹配条件。

在Class配置模式下，使用no match policy-qos-tag tag-value命令删除指定的QoS标签匹配条件。

配置IP优先权匹配条件定义IP优先权（IP Precedence）匹配条件，在Class配置模式下，使用以下命令：match precedence precedence-value1 [precedence-value2][precedence-value3] [precedence-value4]♦precedence-value–指定IP优先权值。