Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под

Приложение В. Средства организации L2-криптомостов между сегментами защищаемых ЛВС 237
потоком Ethernet-кадров: изделие сообщает в сеть как о своей перегруженности по приему, так и реагирует на сигналы о перегруженности из сети при передаче трафика.
Собственно функционирование механизма управления потоком реализуется аппаратными средствами Ethernet- адаптера соответствующего физического интерфейса изделия, программа управления лишь подает команды на включение или выключение работы этого механизма. При включенном механизме в случае, когда изделие, принимая трафик, не справляется с обработкой поступающего из сети потока, Ethernet-адаптером его физического интерфейса отправляется в сеть широковещательный Ethernet-кадр, содержащий сигнал о необходимости приостановки передачи трафика в свой адрес на определенное время. Этот сигнал принимается всеми устройствами сети, включая то устройство, которое корректирует (снижает) интенсивность передаваемого им трафика на указанный в сигнале период времени. Таким образом осуществляется регулирование интенсивности потока Ethernet-кадров между устройствами сети в условиях дефицита пропускной способности.
L3-уровень. Для организации работы механизма управления потоком при обмене на L3-уровне следует для
Ethernet-интерфейса включить работу механизма, установив значение ДА для дополнительного параметра
Управление потоком (см. раздел 2.3.1, Рис. 2.9, с. 29).
L2-уровень. Для организации работы механизма управления потоком при обмене на L2-уровне следует для
L2–Eth-интерфейса включить работу механизма, установив значение ДА для дополнительного параметра
Управление потоком
. Также следует указать пороговое значение скорости принимаемого интерфейсом трафика для дополнительного параметра Скорость приема (см. раздел 2.3.2, Рис. 2.16, с. 34).
При этом механизм управления потоком при обмене на L2-уровне будет работать следующим образом. Если скорость принимаемого из сети потока превышает пороговое значение, программа управления прекращает обработку принимаемых Ethernet-адаптером кадров на определенное время. Если при этом включен механизм управления потоком, то происходит процесс регулирования интенсивности потока генерируемого передающей стороной трафика, в результате чего удается избежать потерь Ethernet-кадров при обмене.

Приложение Г. Обработка IP-датаграмм с учетом их приоритета
Общие сведения
Качество обслуживания в сетях (QoS). В настоящее время наряду с постоянным наращиванием скоростей передачи данных как у пользователей СПД вообще, так и у пользователей ЗСПД в частности наблюдается ускорение роста потребности в услугах мультисервисных сетей – универсальной многоцелевой среды
одновременной передачи речи, изображения и данных с использованием IP-технологий, что подразумевает увеличение доли пульсирующего интерактивного (с обратной связью) трафика и трафика реального времени, порой крайне чувствительных к параметрам среды транспортировки. Поэтому задача обеспечения сквозного
(на протяжении всего маршрута) качества обслуживания (Quality of Service или QoS) трафика в таких сетях становится все более актуальной.
Понятие качества обслуживания в IP-сетях (QoS) в целом – это комплекс самого разнообразного и широкого набора понятий, параметров, механизмов, технологий, алгоритмов и пр., многие из которых являются предметом отдельных математических дисциплин, таких как теория вероятностей, теория массового обслуживания, теория очередей.
Из широкого круга механизмов и алгоритмов, имеющих отношение к понятию QoS, изделиями, исполненными в двухсегментной архитектуре технологии DioNIS®, поддерживаются механизмы и алгоритмы, обеспечивающие обработку проходящего через изделие трафика
IP-датаграмм с учетом их приоритета – приоритетную обработку.
Подходы к управлению перегрузками трафика в сетях. Перегрузка трафика в сетях передачи данных возникает в случае переполнения выходных буферов интерфейса сетевого устройства, передающего трафик.
Основными причинами возникновения перегрузок является объединение (агрегирование) трафиков, когда общая скорость входящего в устройство трафика превышает скорость обработки исходящего, а также несогласованность скоростей на интерфейсах. Управление пропускной способностью устройства в случае возникновения перегрузок осуществляется с помощью механизма очередей, когда поступающие на обработку в устройство данные помещаются в очереди, которые упорядоченно обрабатываются по определенному алгоритму.
По существу, управление перегрузками трафика – это установление порядка, в котором данные выбираются из очереди интерфейса на основе приоритета данных. Если нет перегрузок, очереди не работают – в них просто нет необходимости.
Чтобы данные, п ередаваемые по сети, обрабатывались с учетом их приоритета сетевыми устройствами, встречающимися на протяжении их сквозного маршрута движения от отправителя к получателю, эти данные должны нести в себе сведения о своем приоритете. Далеко не все источники, генерирующие сетевой трафик, наделяют его сведениями о приоритете обработки.
Только после полной идентификации трафика – классификации и его маркировки – к нему можно применять
QoS-правила (policies). Для применения любого из правил QoS следует, прежде всего, трафик, предъявляющий особые требования к своей обработке, промаркировать каким-либо способом, отнеся таким образом соответствующие передаваемые по сети данные (пакеты, фреймы) к какому-либо классу. Причем сделать это следует как можно ближе к источнику генерации трафика.
Инструмент классификации помечает IP-датаграмму или Ethernet-кадр (фрейм) определенным значением.
Эти значения меток позволяют разграничить общий поток данных на разные типы трафика и применить затем к этим типам разные правила обработки в случае, если пропускная способность транзитного сетевого устройства недостаточна, возникает перегрузка и для сглаживания пульсирующей пиковой нагрузки необходимо пропустить трафик через систему буферирующих очередей этого устройства.
Механизмы классификации и маркировки потоков данных в IP-технологиях различными производителями сетевых устройств нередко выполняются по индивидуальным технологиям. Наиболее часто встречаются способы классификации и маркировки потоков данных, основанные на анализе следующих параметров, используемых устройствами на разных уровнях модели OSI:
- на L2-уровне – биты класса услуг стандарта IEEE 802.1Q [поле Class of Service (CoS)] заголовка
Ethernet-кадра; значение экспериментальных бит MPLS;
- на L3-уровне – биты поля приоритета [поле IP Precedence (IPP)] в поле типа сервиса
[поле Type of Service (ToS)] IP-заголовка датаграммы; кодовые точки механизма дифференцированных услуг [поле Differentiated Service Code Points (DSCP)] IP-заголовка датаграммы; IP-адреса отправителя и получателя IP-датаграмм;
- на L4-уровне – значения портов: TCP или UDP;
- на L7-уровне – значения подписей приложений.

Приложение Г. Обработка IP-датаграмм с учетом их приоритета 239
На канальном (L2) уровне Ethernet-кадры могут помечаться с помощью бит в заголовке кадра с использованием согласно стандарту IEEE 802.1P бит приоритета (поле CoS) в заголовке IEEE 802.1Q (VLAN).
Размер поля CoS – 3 бита, таким образом доступны для маркировки восемь классов сервиса (с 0 по 7) Ethernet-кадров.
На
сетевом
(L3) уровне в целях маркировки
IP-датаграммы может быть использовано поле IP-заголовка Type of Service (ToS). Поле ToS в зависимости от решаемой задачи может быть интерпретировано в соответствии с классификатором поля IP Precedence (IPP) – поле имеет размерность 3 бита
(принимает значения от 0 до 7).
Версия длина
Байт
ToS
Общая длина
Идентификация Смещение
Время жизни
Протокол
Контрольная сумма заголовка
Адрес источника
7 6
5 4
3 2
1 0
Адрес приёмника
Данные
IP Preсedence
Не используется
Стандарт IPv4
Рис. Г.1 Формат поля ToS в составе заголовка IP-датаграммы
Иллюстрирует сказанное приведенный на Рис. Г.1 формат размещаемого в заголовке IP-датаграммы поля ToS, используемого в целях маркировки IP-датаграммы согласно требуемому приоритету ее обработки.
В связи с тем, что в процессе продвижения данных от источника генерации трафика к его получателю среда передачи данных в сети на канальном (L2) уровне претерпевает частые изменения, метод маркировки
IP-заголовков датаграмм на сетевом (L3) уровне представляется на текущий момент более практичным и универсальным.
Если упрощенно рассматривать жизненный цикл IP-датаграммы в сети с точки зрения процессов обеспечения качества обслуживания, то можно отметить следующие этапы этого цикла: генерация IP-датаграммы источником, ее классификация, маркировка в соответствии с классификацией, продвижение по маршруту к получателю транзитом через сетевые устройства с приоритетом согласно параметрам маркировки и, наконец, прибытие IP-датаграммы к адресату.
Процесс обработки промаркированного согласно приоритету потока транзитных данных сетевым устройством обобщенно выглядит следующим образом. Данные поступают на входной интерфейс устройства и обрабатываются в соответствии с назначением устройства (коммутируются, маршрутизируются или др.).
По результатам обработки принимается решение, на какой выходной порт устройства и в каком виде передать данные для дальнейшей обработки – данные попадают в аппаратные очереди выходного порта (интерфейса).
Аппаратные очереди представляют собой быструю память, хранящую данные перед тем, как они попадут непосредственно на выходной порт. Затем, согласно определенному алгоритму обработки, данные извлекаются из очередей и через выходной порт (интерфейс) устройства отправляются в сеть далее. Сказанное отчасти иллюстрирует приведенная на Рис. Г.2 схема обработки.
Механизмы приоритизации трафика, поддерживаемые изделием. Из всего многообразия понятий, составляющих понятие механизмов поддержки качества обслуживания в сетях (QoS), изделием поддерживается только механизм приоритизации – механизм приоритетной обработки IP-датаграмм на сетевом
(L3) уровне согласно значениям 3-битного подполя приоритета (поле IP Precedence или IPP) в 8-битном поле
типа обслуживания (поле Type of Service или ToS) заголовка IP-датаграммы (см. Рис. Г.1).
Поддерживаемые изделием механизмы приоритизации трафика включают два механизма:
- механизм классификации и маркирования IP-датаграмм, полученных изделием на обработку, путем корректировки подполя приоритета IPP поля ToS в зависимости от сочетания широкого набора критериев, учитываемых администратором изделия при настройке системных prt-фильтров (подробнее см. раздел 3.2.1.7, с. 104);
- механизм приоритетной обработки трафика IP-датаграмм путем организации на интерфейсах, при необходимости, пула очередей, пополняемого потоками исходящих IP-датаграмм согласно их приоритету
(значению подполя IPP поля ToS) и обрабатываемого в соответствии с алгоритмом строгой очередности
приоритетов (Strict Priority Queuing).
Порядок организации работы механизма классификации и маркирования IP-датаграмм, полученных изделием на обработку, подробно рассмотрен в разделе 3.2.1.7, с. 104. Отметим только общие (необязательные к исполнению) рекомендации по присвоению значений приоритета (подполе IPP поля ToS) отдельным типам
IP-трафика, выработанные IT-сообществом:
- самые высокие по приоритету значения IPP, равные 7 и 6, резервируются для сетевого управляющего трафика (например, для протоколов маршрутизации);

240
Приложение Г. Обработка IP-датаграмм с учетом их приоритета
- значение IPP, равное 5, рекомендовано для речевого трафика;
- значение IPP, равное 4, используется совместно трафиками видеоконференций и потокового видео;
- значение IPP, равное 3, предназначено для сигнализации вызовов;
- значения IPP, равные 2 и 1, могут использоваться для данных приложений;
- значение IPP, равное 0, представляет собой маркировку по умолчанию.
Далее коснемся работы механизма организации очередей и алгоритма их обработки.
При настройке большинства сетевых интерфейсов изделия (физических или виртуальных) администратору предоставляется возможность настройки значений их параметров
Скорость
передачи
и Скорость приема (исключение составляют интерфейсы типа GRE, L2–Eth, L2–VLAN и L2–TNL). До той поры, пока значения этих параметров сохраняют нулевое значение, сетевые интерфейсы работают, не реагируя на значения поля приоритета в заголовках IP-датаграмм, выполняя обработку IP-датаграмм по мере их поступления.
Если же будут указаны ненулевые значения этих параметров, алгоритм работы интерфейсов перестраивается, начиная реагировать на значение поля приоритета IP-датаграмм. Причем алгоритмы обработки и реагирования на приоритеты IP-датаграмм, принимаемых и передаваемых интерфейсом, различны.
Приоритетная обработка передаваемого IP-трафика. Механизм приоритетной обработки для передаваемого интерфейсом изделия в сеть потока IP-датаграмм запускается на этапе инициализации работы интерфейса при условии, что администратор изделия указал при настройке этого интерфейса значение параметра Скорость передачи, отличное от нуля. Этот параметр может быть указан для следующих типов сетевых интерфейсов изделия – как физических, так и виртуальных:
Ethernet-интерфейсов (см. бланки настройки: Рис. 2.9, с. 29), TNL-интерфейсов (см. Рис. 2.25, с. 41);
VLAN-интерфейсов (см. Рис. 2.20, с. 38).
Примечание. Значения параметров Скорость передачи и Скорость приема могут быть введены и при настройке дополнительных параметров интерфейсов L2-уровня –
L2–Eth-интерфейсов и L2–TNL-интерфейсов, но обработка значений этих параметров и обеспечение работы механизма приоритизации для этих интерфейсов настоящей версией
ОПО маршрутизаторов изделия не поддерживается.
Иллюстрирует работу механизма организации изделием приоритетной обработки
IP-трафика при передаче схема, представленная на Рис. Г.2.
Рис. Г.2 Схема организации изделием приоритетной обработки IP-трафика при передаче
При включении на сетевом интерфейсе маршрутизатора механизма приоритетной обработки
(параметр Скорость передачи в настройках интерфейса имеет значение, отличное от нуля) программа управления в оперативной памяти маршрутизатора образует для исходящих потоков IP-датаграмм этого интерфейса пул очередей – 8 выходных логических очередей, каждой из которых присваивается значение приоритета обработки от 0 (самый низкий приоритет) до 7 (самый высокий приоритет).
Поступающие в этот интерфейс обработанные маршрутизатором исходящие IP-датаграммы попадают каждая в соответствующую из образованных очередей согласно своему приоритету – значению подполя IPP поля ToS в заголовке IP-датаграммы (на схеме Рис. Г.2 этот этап обработки представлен работой блока Размещение в очереди).
Попав в соответствующую очередь, IP-датаграммы будут извлекаться из нее для отправки в канал связи согласно применяемому в изделии алгоритму строгой очередности приоритетов (Strict Priority Queuing), работа которого сводится к следующему (на схеме Рис. Г.2 этот этап обработки представлен работой блока Выборка из очереди).

Приложение Г. Обработка IP-датаграмм с учетом их приоритета 241
Программа управления начинает обработку с самой приоритетной очереди – той, которая имеет приоритет 7.
Поступившие в эту очередь IP-датаграммы будут выбираться для их передачи интерфейсом в сеть в том порядке, в каком они заполняли очередь – т.е. в соответствии с принципом: первым пришел – первым
вышел. Если очередь с наивысшим приоритетом – приоритетом 7 – оказалась пуста, программа управления переходит к обработке очереди с приоритетом, на единицу меньшим – приоритетом 6.
Если очередь с приоритетом 6 оказалась пуста, программа управления переходит к обработке очереди с приоритетом 5 и т.д. Если при этом в очередях со старшими приоритетами (с приоритетом 7 или 6 ) появятся
IP-датаграммы, обработчик очередей приступит к обработке заполненной IP-датаграммами очереди с самым старшим приоритетом. Таким образом, до IP-датаграмм, попавших в очередь с приоритетом 0 (до IP-датаграмм без приоритета), дело дойдет лишь в том случае, когда все более приоритетные очереди будут пусты.
Приоритетная обработка принимаемого IP-трафика. Алгоритм обработки принимаемого из сети трафика с учетом приоритета поступающих IP-датаграмм отличается от алгоритма приоритетной обработки
передаваемого интерфейсом в сеть исходящего трафика маршрутизатора следующим образом: при обработке принимаемого из сети входящего трафика механизмом приоритизации не образуются (как при передаче)
очереди входящих IP-датаграмм, работа механизма сводится только к принятию решения о прекращении или о продолжении дальнейшей обработки интерфейсом поступившей из сети очередной порции информации.
Механизм приоритетной обработки для принимаемого из сети интерфейсом изделия потока IP-датаграмм запускается на этапе инициализации работы интерфейса только при условии, что администратор изделия указал при настройке этого интерфейса значение параметра