北京麥弗瑞科技有限公司
地址: 北京市朝陽區觀音惠園1號樓

 北京市海淀西三環北路50號豪柏大廈C2座18—19層

電話: 010 - 88518768
傳真: 010 - 88518513
網站: www.siljqbwm.cn
郵件:[email protected]
郵編:100048

金融行業QoS解決方案

金融行業廣域網一般模型

  隨著國內金融行業的迅猛發展,信息化已經成為支撐和促進金融行業穩定快速發展重要的基礎,金融行業的數據大集中也成為一種趨勢。數據大集中以后業務處理由分支機構定期向上級機構匯總轉變為業務處理終端實時上報數據到總部,所有業務數據統一存放在集中的幾個數據中心內,一般實踐中都會采用兩地三中心的容災架構。數據大集中意味著統一管理,減少重復建設,數據的實時性,一致性和安全性得到保證,新業務的開發實施變得更為方便快捷。另外由于企業內部數據得到了有效整合,通過云計算和數據挖掘等技術可以在海量數據之上再進一步歸納分析,從而對企業和行業的各種決策提供數據參考。

 

  另一方面,數據大集中導致業務形態改變也對網絡提出了新的挑戰,具體包括集中存放的大數據的安全性和可靠性對網絡設計帶來的挑戰;省級分支機構和市級分支機構通過廣域網鏈路上傳數據到數據中心時,有限的網絡帶寬資源和眾多業務系統對帶寬的需求之間的矛盾等等。廣域網系統的健壯,安全和服務保障能力變得越來越重要, 本文檔專注于介紹廣域網的服務質量保障手段.

 

  金融行業的廣域網一般是指租用運營商傳輸資源建設的,用于連接地理上分散的企業總部,總部數據中心和各級分支機構的專有網絡,其鏈路類型一般為點到點鏈路,常見的鏈路形態包括ATM PVC, E1,MSTP等。以銀行為例, 其廣域網一般由營業網點,一級分行和總行三級節點組成。營業網點一般采用雙E1線路或雙MSTP線路雙歸上聯至一級分行,一級分行一般采用雙ATM PVC鏈路雙歸上聯至總行核心路由器,為了提高鏈路使用效率, 兩條上行鏈路之間一般采用基于業務的負載分擔方式, 即辦公業務選擇一條上行鏈路, 生產業務則選用另一條上行鏈路, 通過路由設計使不同業務選用另一條上行鏈路作為備選的次優鏈路。

  圖一金融行業廣域網拓撲示意圖

 

金融行業對服務質量保證的要求

 

  對于具體業務而言,網絡服務質量表現為三個方面,即帶寬,延時和抖動,網絡設備則通過隊列調度優先級,以及對接口帶寬和緩存資源在隊列間的分配來保障這三個指標。不同的金融業務對網絡服務質量的要求并不一樣,有的業務比如VOIP業務,對延遲和抖動很敏感,但能容忍少量包丟棄,有的業務則只需要保障一定的帶寬,對延時和抖動不敏感。

 

  由于金融業務的重要性,一般情況下當業務規模接近鏈路帶寬上限比如80%的時候用戶就會進行帶寬擴容, 這意味著正常狀況下廣域網鏈路不會阻塞,QoS策略也不實際生效。但是當雙上行鏈路中的一條出現故障時, 所有業務都會收斂到單條鏈路上, 由于業務疊加可能導致上行鏈路阻塞, 這時需要通過技術手段來保障關鍵業務,在廣域網設備上事先部署的QoS策略就會發揮巨大的作用。

 

CoSvs.QoS

 

  CoS(Class-of-Service)QoS(Quality-of-Service) 這兩個詞經常被混用,但兩者其實并不一樣。QoS是特定網絡節點在擁塞時用于管理和分配帶寬資源的工具集,而CoS則用于描述業務對服務質量的具體要求比如優先級,時延和抖動等。可以說QoS是用于管理網絡資源來確保達成CoS目標的手段。本文也遵循這一習慣使用這兩個詞匯。

 

QoS部署前言

 

   對于QoS規劃人員來講,具體進行QoS規劃之前時要了解兩個前提

  1. QoS并不能創造帶寬

QoS不能憑空生成帶寬,只能通過在不同業務之間調配資源來保障一些業務,而代價則是損害另一些業務,所以當網絡里擁塞成為常態時(IP網絡通過統計復用來提高帶寬利用效率不再有效時),網絡管理員的是升級網絡帶寬而不再是調整QoS策略。

  1. QoS不是單個節點的行為,要在整條路徑上部署才有效

要想保障用戶業務端到端一致的QoS體驗,QoS策略就需要在全網部署。只在一個節點部署QoS往往是無效的,因為在這個節點實施QoS策略產生的效果會被下一個無QoS策略節點的行為所覆蓋。有一種情況例外就是當全網只在一個特定節點存在擁塞時。

 

DifferServ區分服務架構及Juniper實現

 

   今天的網絡已經都統一在IP協議族的大旗之下,網絡里承載的各種業務,包括各種各樣的金融業務都承載在IP協議上,IP網絡是基于統計復用的網絡,不像傳統基于電路交換的網絡如電話交換網,IP網絡會由于業務突發而擁塞。而IP協議設計之初并沒有充分考慮過QoS處理,其不具備區分對待不同業務的能力, 換句話說IP協議從本質上來說是一個公平的協議, 它會盡力而為(Best Effort)且一視同仁地傳輸所有業務直到資源耗盡, 網絡擁塞。當網絡擁塞時, IP協議也會一視同仁的對所有業務報文進行丟棄, 通過這些報文的丟棄來觸發TCP或應用內建的流控機制來調節相關業務數據流的發送速度。

 

  對于金融業務來說,各種業務之間卻是不平等的,并不希望得到一視同仁的對待。例如有需要優先保障的各種生產業務以及可以容忍延遲和丟包的辦公業務,與此對應也就要求承載金融業務的底層網絡對不同業務提供不平等的保障,這種人為的不平等是通過網絡設備的各種QoS手段來具體實施的。

 

  當前網絡設備的QoS基本都是按照RFC 2475“Architecture for Differentiated Services”及其相關的一系列IETF 規范實現的。

 

  DiffServ體系架構的目的是為多個達成一致流量管理策略且連續的Differentiated Services Domain(又統稱為Differentiated Services Region)來提供可擴展的服務質量保障, 它由在網絡節點上實現的一整套功能集組成,主要包括業務分類(Classifiers), 流量調節器(Traffific Conditionals),逐跳轉發策略(Per-Hop Behavior)和包頭標記/重標記(Marking/Re-Marking)功能等。流量調節器中又包含流量測量(Meters),標記(Markers ),流量整形(Shapers)和丟棄管理(Droppers)四部分。DiffServ體系希望只在網絡的邊界節點上實現復雜的分類和調節功能,并通過在IP包頭的 DS 字段做有限的標記來聚合林林總總的流量分類,從而減少下游沿途網絡節點需維護的狀態信息,下游沿途各網絡節點繼續根據頭端節點所做的標記對有限的流量分類采取合適的逐跳轉發策略。

 

  Juniper全系列網絡設備包括交換機,路由器和防火墻產品線都集成了相同的,基于DiffServ規范架構的服務質量保障工具集。為助力金融企業在廣域網上實施完整的DiffServQoS策略,Juniper解決方案的基本步驟包括業務分類(classifier)與隊列分配,限速(policer),隊列調度(scheduler),包丟棄策略和包標記或標記重寫(mark/remark)等。

 

業務分類(Classifier)

 

   業務分類(classifier)主要有兩種方式:一種分類方式是基于數據包頭多個特征字段的組合,比如IP包頭的源地址,目標地址,端口號,協議號等信息組合,這種方式被稱為Multi-Field(MF) Classifier。另一種是基于事先約定按照數據包頭的標記(如DSCP或802.1p等)來進行分類,這種方式被稱為Behavior Aggregate (BA) Classifiers,BA Classifier只適用于上一跳設備可被信任的環境。

 

  MF Classifier適用于部署在網絡入口處,因為上一跳設備隸屬別的網絡,其包頭標記比如DSCP或802.1p等不可信任,或是上一跳設備只是一臺主機,而主機操作系統目前還缺乏標記數據包的成熟手段。因此在業務剛進入網絡時,網絡入口處設備會使用Multi-Field(MF) Classifier匹配包頭各字段內容對業務進行分類。

 

  Juniper設備使用Firewall Filter(即業界通稱的ACL) 來實現基于MF的 Classifier。Juniper獨特的ASIC技術無需額外的TCAM幫助,直接在硬件執行的路由查詢算法里同步集成了ACL查表功能,因此可以線速實現基于復雜條件組合的MF分類,  分類條件可基于IP包頭的各種信息,如IP源/目的地址,IP源端口/目的端口,包長度,TTL值, TCP-Flags標記, Fragment-Flags標記, IP-Options標記, ICMP code/type和 ESP-SPI等等。

 

  對于金融行業的各類應用來說,其業務種類繁多,分類條件比較復雜,各種應用的端口號往往是一個范圍,比如RTP/VOIP類應用的端口號在16384– 32767之間。對于傳統使用TCAM來實現ACL的網絡設備,如果ACL匹配一段端口范圍如16384-32767則會消耗海量的TCAM資源,導致系統無法處理。Juniper設備獨特的由ASIC驅動的硬件表查找算法可以方便的實現諸如端口范圍(port range),嵌套ACL等復雜的包匹配操作,從而為MF Classifier提供更靈活強大的分類手段。

 

  當網絡邊緣的設備通過MF Classifier對業務分類并做完處理后,一個動作是按照本網絡的流量管理策略約定給數據包打上相應標記,這樣下游沿途設備就不用再維護復雜的Firewall Filter(ACL),而可以直接使用高效率的BA Classifier對業務進行分類。Juniper設備支持各種BA Classifier手段,包括基于IP包頭的DSCP標記,IP Precedence標記,以太網幀的802.1p標記,MPLS數據幀的exp標記位等BA Classifier。

 

  業務分類(Classifier)的結果是把不同業務放入不同的硬件隊列(Queue/Forwarding-Class),打上丟棄優先級標識(PLP)并實施以不同的QoS策略。Juniper設備接口通常可支持8個硬件隊列,對于路由器的ATM接口,信道化接口等支持高級QoS特性的接口更可支持高達128K - 512K個硬件隊列,可對海量的邊緣業務分類進行良好的業務保障。

 

  默認配置下Juniper設備每接口開啟了best-effort,expedited-forwarding,assured-forwarding,network-control四個隊列, 但只對其中兩個隊列有默認的調度策略,即best-effort占95%的接口帶寬和接口緩存資源,network-control占5%的接口帶寬和接口緩存資源,這種通用默認配置不符合金融行業的復雜業務調度需要,往往需要在部署QoS時按照實際業務需求加以修改。

 

限速(Policer

 

   在設備入接口處除了做業務分類外,一般還會按照實際業務需要對業務進行限速(Policer),雖然在設備出接口處做隊列調度和限速也可達成類似的效果,但限速在入接口處實施可以避免不必要的流量進入設備從而占用設備處理資源,因此一般的QoS部署中都是在入接口處做限速而在出接口處做隊列調度。

 

  Policer可以被分配到物理或邏輯接口以對所有進出物理或邏輯接口的流量進行限速,也可以被分配給firewall filter(ACL)以對符合匹配條件的業務報文進行限速。Policer甚至還可以被作為MF Classifier的一個處理部分,用于對超出限速標準的流量不丟棄而只進行Classifier分類,比如分配到優先級低或丟棄策略激進的分類中去。JUNOS默認使用基本的令牌桶對流量進行測量和限速,同時也支持單速率三色(srTCM)或雙速率三色(trTCM)令牌桶對流量進行限速和著色。

 

隊列調度(Scheduler

 

   網絡帶寬資源和設備的系統資源都是有限的,調度器(scheduler)負責在不同隊列之間分配這些有限的資源。Scheduler將接口的帶寬(transmit-rate)和緩存(buffer)資源分配給不同隊列,Scheduler 還負責將隊列調度優先級和丟棄策略(drop profiles)關聯到不同隊列。

 

  JUNOS系統按照隊列調度優先級的高低來決定為各隊列服務的次序,其中”strict-high”隊列是被絕對保障的低延遲隊列(LLQ), 任何時候只要”strict-high”隊列中有報文就會被優先轉發,它不參與其它隊列的排隊, 因此適合于對延遲敏感的應用比如IP電話等。而為了防止其他隊列被”strict-high”隊列餓死,一般部署中也會通過給”strict-high”隊列加入rate-limit限速來限制其吃光所有帶寬資源。

 

  除了”strict-high”隊列外的其它隊列將按照 deficitweighted round robin (DWRR)機制來分配帶寬資源。Deficit Weighted Round Robin (DWRR) 隊列調度機制是由M. Shreedhar和G. Varghese 于1995年提出的,它克服了傳統WRR隊列調度機制只計算包數目而不考慮包長度,從而在變長包環境下速率測量不準確的缺陷。同時也克服了WFQ基于流的隊列調度機制過于復雜因而不適用于高速接口,且無法讓用戶自定義隊列調度策略,無法適應多變的業務需求環境的不足。

 

丟棄管理策略(drop-profile

 

   由于TCP以及很多應用都內建了流控機制,當它們檢測到報文開始丟失時都會自動降速。為了避免接口隊列(緩存)滿了之后的尾丟棄(tail drop)引起全球同步(global synchronization)效應, 現代網絡設備都會部署某種形式的RED丟棄管理功能,在接口隊列(緩存)占用率到達一定閥值時提前優先丟棄一部分不重要的報文(丟棄優先級高的報文)。JUNIPER設備使用weight random early detection (WRED) 來管理流量擁塞時的丟棄行為。

 

  前面內容里提到的Classifier(分類器)除了將數據報文分配到某個業務分類(forwarding-class)之外還會賦予該數據報文一個packet loss priority (PLP)值。Juniper設備中PLP取值范圍是low,medium low, medium high或 high,系統默認值為”low”。而對于每個隊列可使用4個”drop profiles”來管理丟棄:根據不同PLP值和協議類型(TCP或non-TCP)匹配數據報文進行激進程度不同的丟棄處理。

 

  下圖2是兩個典型的JUNOS丟棄管理策略(drop-profile) 示意圖,左圖是segmented模式的丟棄管理策略,表示在隊列占用率0%-25%時匹配該策略的數據包丟棄率為0%,在隊列占用率25%-50%時包丟棄率為25%,在隊列占用率50%-75%時包丟棄率為50%,在隊列占用率75%-90%時包丟棄率為75%,在隊列占用率90%-100%時包丟棄率為100%。右圖是interpolated模式的丟棄管理策略,其曲線更平滑,管理員只定義了兩個數據點:在隊列占用率50%時匹配該策略的數據包丟棄率為25%,在隊列占用率75%時匹配該策略的數據包丟棄率為50%,JUNOS會自動以這兩個點為基點,生成丟棄策略從0%到100%的64個數據點。

  圖2:JUNOS丟棄管理策略示意圖

 

標記和標記重寫(rewrite)

 

   Rewrite 規則用于將報文發送給下一跳設備以前重新標記報文頭部的DSCP, IP precedence, MPLS EXP或IEEE 802.1p 標志位,以保證全網(一個DS Domain或DS Region)按照統一的QoS策略來處理業務數據。這個手段是網絡設備處理完數據報文前所實施的一個QoS手段。Juniper特有的ASIC硬件邏輯能以線速處理各種高速端口里數據報文的標記或重寫。

 

  綜上所述,完整的Juniper設備QoS處理流程如下圖3所示:

    圖3:Juniper設備QoS處理流程

 

Juniper廣域網QoS解決方案

 

   下圖為金融行業廣域網QoS解決方案具體部署樣例,  以某銀行廣域網為例:

 

  如上圖可看出典型的金融行業廣域網絡經過扁平化改造以后,結構上只有三個層次:營業網點,一級分行和總行。

 

  部署QoS策略時業務分類在網絡邊緣節點完成,即營業網點的接入交換機EX4200VC會根據連接各業務系統的交換機端口號或根據業務報文頭部的特征信息(MF Classifier)對業務流量進行分類,由于網絡帶寬富裕,入接口不做限速。在EX4200VC上聯廣域網路由器的出接口部署保護性的隊列調度策略,比如IP電話業務分配到VOIP隊列,優先級為strict-high(LLQ), 但限速至200Kbps以免把別的隊列餓死,200Kbps帶寬按照G.729a的語音編碼方式約可保障5路IP電話業務。其余生產或辦公業務按照業務特性可再聚合劃分到金,銀,銅三個保障級別,分配到三個不同的硬件隊列,網絡設備之間的信令如ospf,bgp等單獨占用一個硬件隊列如”network-control”來保障。剩下其它未分類的流量都分配給”best-effort”隊列。上述隊列按照25% :20% :30% : %5 :20% 的比例按照DWRR調度機制來分配接口服務完strict-high隊列后剩余的帶寬。EX4200VC按照事先約好的標記策略比如DSCP code-points為所有從出接口轉發出給SRX240上聯路由器的業務報文打上相應的標記。

 

  EX4200VC的下一跳設備SRX240在入接口處按照事先約定的標記策略如DSCP code-points通過BA Classifier對進入設備的流量進行分類并分配隊列,在出接口處按照與EX4200VC類似的隊列調度策略對出接口帶寬進行動態分配,同時按照相同的標記策略把從出接口轉發往一級分行M10i下聯路由器的業務報文進行重標記。

 

  營業網點SRX240路由器的下一跳設備M10i路由器在連接SRX240的線路/接口上按照事先

 

  約定的標記策略如DSCP code-points等通過BA Classifier對進入設備的流量進行分類并分配隊列,在出接口處按照與EX4200VC/SRX240類似的隊列調度策略對出接口帶寬進行動態分配,同時按照相同的標記策略把從出接口發往分行內部核心交換機的業務報文進行重標記。

 

  M10i的下一跳設備EX8208交換機在連接M10i的接口上按照事先約定的標記策略如DSCP code-points等通過BA Classifier對進入設備的流量進行分類并分配隊列,而在連接本地業務系統的接口上則根據連接各業務系統的交換機端口號或根據業務報文頭部的特征信息(MF Classifier)對業務流量進行分類,在出接口處按照與EX4200VC/SRX240/M10i類似的隊列調度策略對出接口帶寬進行動態分配,同時按照相同的標記策略把從出接口發往上聯路由器M10i的業務報文進行重標記。

 

  EX8208交換機的下一跳設備M10i上聯路由器在連接EX8208的接口上按照事先約定的標記策略如DSCP code-points等通過BA Classifier對進入設備的流量進行分類并分配隊列,在出接口處按照與EX4200VC/SRX240/M10i/EX8208類似的隊列調度策略對出接口帶寬進行動態分配,同時按照相同的標記策略把從出接口發往總行路由器MX960的業務報文進行重標記。

 

  報文到達MX960后就到達總行數據中心的業務系統了,由于數據中心內部一般不會有帶寬瓶頸,所以這段網絡可不部署隊列調度策略。也跟根據需要部署保護性的調度策略,以防數據中心網絡被異常流量沖擊時能區分并保障關鍵業務。

 

  上述只是業務流量上行方向的QoS策略部署,下行反方向也應部署一致的QoS策略,本文不再贅述。

 

Juniper廣域網QoS解決方案特點

  • Juniper路由器,交換機和防火墻產品的QoS實現都遵循了一致的DiffServ架構,概念清晰,容易理解和實施。
  • 整網部署Juniper產品線時網絡內設備之間具有良好的互操作性和統一的配置界面。在沒有整網部署Juniper設備的用戶網絡內,Juniper設備與第三方廠商設備之間雖然配置不一樣,但也可實現基于DiffServ架構的良好互操作性。
  • Juniper特有的ASIC技術為大規模復雜QoS部署提供了強大而靈活的硬件基礎,在部署復雜QoS業務時不影響業務的線速轉發
  • 雖然由于篇幅所限,本文并沒有討論JUNOS QoS具體配置命令,但由于JUNOS層次化風格的配置命令中QoS相關的配置都在與接口配置無關的”Class-of-Services”層次下, 方便實現不同設備間QoS配置語句大程度的復用
  • JUNOS支持直接通過命令行直觀監控所有接口流量實時變化的數據, 為現場實施和運維人員提供了很好的QOS調試工具

 

總結

 

  在金融行業網絡服務質量保障領域,瞻博網絡能夠提供全面成熟的解決方案。瞻博網絡的服務質量保障解決方案具有基于工業標準的良好互操作性,易于部署和實施。通過獨特的系統架構為用戶提供無與倫比的性能和功能集,使企業能夠充分利用網絡平臺來支撐各種業務開展。

在線客服
請Q我吧:10892204
請Q我吧:1011057695
請Q我吧:17206935
請Q我吧:2893423048
在線客服
快乐彩怎么玩