使用IPQoS 提供服务质量
第32 章• IPQoS 介绍（概述） 717
保证单个组织的服务质量
如果贵组织是一个企业或机构，则还可以为您的网络提供服务质量功能。您可以保证特定
组或特定应用程序的通信能够获得较高或较低程度的服务。
服务质量策略介绍
您可以通过定义服务质量(quality-of-service, QoS) 策略来实现服务质量。QoS 策略定义各种
网络属性，例如客户或应用程序的优先级以及处理不同通信类别的操作。可以在IPQoS 配
置文件中实现组织的QoS 策略。此文件可以配置驻留在Solaris OS 内核中的IPQoS 模块。应
用IPQoS 策略的主机被视为启用了IPQoS 的系统。
QoS 策略通常定义以下内容：
 称为服务类的独立网络通信组。
 用于控制各类网络通信的度量标准。这些度量标准管理称为计量的通信度量过程。
 IPQoS 系统和Diffserv 路由器必须应用于包流的操作。此类操作称为单跳行为(per-hop
behavior, PHB)。
 组织需要针对服务类收集的任何统计信息。例如由客户或特定应用程序产生的通信。
当包传送到网络时，启用了IPQoS 的系统将对包头进行评估。IPQoS 系统执行的操作由QoS
策略确定。
设计QoS 策略的任务在第731 页中的“规划服务质量策略”中进行介绍。
使用IPQoS 提高网络效率
IPQoS 包含的功能可帮助您在实现服务质量的同时提高网络性能。在扩展计算机网络的同
时，需要加强管理因用户和功能更强大的处理器的数量增加而产生的网络通信。过度使用
网络所产生的一些症状包括丢失数据和通信拥塞。这两种症状都将导致响应速度降低。
过去，系统管理员通过增加带宽来处理网络通信问题。通常，链路上通信级别变化很大。
使用IPQoS，您可以管理现有网络上的通信并帮助评估哪些位置需要进行扩展以及是否必
须进行此扩展。
例如，对于一个企业或机构，必须保持高效的网络以避免出现通信瓶颈。还必须确保某个
组或应用程序占用的带宽不能多于为它分配的带宽。对于ISP 或ASP，您必须管理网络性能
以确保客户获得他们付款级别的网络服务。
带宽如何影响网络通信
您可以使用IPQoS 来控制网络带宽，以及充分利用的网络链路或设备可以传送的最大数据
量。QoS 策略应设置带宽的使用优先级，以便为客户或用户提供服务质量。使用IPQoS 计
量模块，您可以度量并控制启用了IPQoS 的主机上各种通信类之间的带宽分配。
使用IPQoS 提高网络效率
718 系统管理指南：IP 服务• 2006 年8 月
在有效管理网络上的通信之前，您必须回答以下有关带宽使用的问题：
 您的本地网络的通信问题是什么？
 必须执行哪些操作才能优化可用带宽的使用？
 哪些是站点关键的应用程序，必须为哪些应用程序提供最高优先级？
 哪些应用程序对拥塞敏感？
 哪些是不太关键的应用程序，可以为哪些应用程序提供较低的优先级？
使用服务类设置通信的优先级
要实现服务质量，需要分析网络通信以确定要将通信分为哪几个分组。然后，将各个分组
归入具有单独特征和单独优先级的服务类中。这些类构成了设置组织QoS 策略所依据的基
本类别。服务类表示想要控制的通信组。
例如，提供商可以根据变化的价格结构提供白金级、黄金级、白银级和青铜级服务。白金
SLA可以保证以ISP 为客户托管的Web 站点为目标的传入通信获得最高优先级。因此，客户
Web 站点的传入通信可以是一个通信类。
对于企业来说，您可以创建基于部门需求的服务类。或者可以创建基于网络通信中特殊应
用程序的优势的类。以下是某企业的一些通信类的示例：
 常见应用程序，例如发送到特定服务器的电子邮件和传出FTP，其中任何一项都可以组
成一个类。由于员工会经常使用这些应用程序，因此，QoS 策略可以保证电子邮件和传
出FTP 具有少量的带宽和较低的优先级。
 需要一天24 小时运行的订单输入数据库。可以为数据库提供大量带宽和较高的优先
级，具体视数据库应用程序对企业的重要性而定。
 执行重要工作或敏感工作的部门，例如劳资部门。部门对企业的重要性将决定为其提供
的优先级和带宽。
 对公司外部Web 站点的外来调用。您可以为该类提供以低优先级运行的适量带宽。
区分服务模型
IPQoS 包含以下模块，这些模块是RFC 2475 中定义的区分服务(Differentiated Services,
Diffserv) 体系结构的一部分。
 分类器
 计量器
 标记器
IPQoS 在Diffserv 模型中添加了以下增强功能：
 流记帐模块
 802.1D 数据报标记器
本节介绍由IPQoS 使用的Diffserv 模块。要设置QoS 策略，您需要了解这些模块及其名称和
用法。有关每个模块的详细信息，请参阅第789 页中的“IPQoS 体系结构和Diffserv 模型
”。
区分服务模型
第32 章• IPQoS 介绍（概述） 719
分类器(ipgpc) 概述
在Diffserv 模型中，分类器从网络通信流中选择包。通信流由一组在以下IP 数据包头字段
中具有相同信息的包组成：
 源地址
 目标地址
 源端口
 目标端口
 协议编号
在IPQoS 中，这些字段称为5 元组。
IPQoS 分类器模块名为ipgpc。ipgpc 分类器将通信流整理到基于在IPQoS 配置文件中配置
的特征的各个类中。
有关ipgpc 的详细信息，请参阅第789 页中的“分类器模块”。
IPQoS 类
类是一组具有类似特征的网络流。例如，ISP 可以将类定义为代表为客户提供的不同服务级
别。ASP 可以将提供不同级别服务的SLA定义为各种应用程序。对于ASP 的QoS 策略，类
可能包含送达特殊目标IP 地址的传出FTP 通信。还可以将公司外部Web 站点的传出通信定
义为一个类。
将通信分类是规划QoS 策略的重要组成部分。使用ipqosconf 实用程序创建类的过程实际上
就是配置ipgpc 分类器的过程。
有关如何定义类的信息，请参见第733 页中的“如何定义QoS 策略类”。
IPQoS 过滤器
过滤器是包含名为选定器参数的规则集。每个过滤器都必须指向一个类。IPQoS 根据每个
过滤器的选定器来匹配包，从而确定此包是否属于该过滤器的类。您可以使用各种选定器
过滤包，例如，IPQoS 5 元组和其他常用参数：
 源地址和目标地址
 源端口和目标端口
 协议编号
 用户ID
 项目ID
 区分服务代码点(Differentiated Services Codepoint, DSCP)
 接口索引
例如，简单过滤器可能包含值为80 的目标端口。于是ipgpc 分类器将选择所有送达目标端
口80 (HTTP) 的包并按照QoS 策略中的指示处理这些包。
有关创建过滤器的信息，请参见第735 页中的“如何在QoS 策略中定义过滤器”。
区分服务模型
720 系统管理指南：IP 服务• 2006 年8 月
计量器（tokenmt 和tswtclmt）概述
在Diffserv 模型中，计量器按类跟踪通信流的传输率。计量器通过评估流的实际速率与配置
的速率的符合程度来确定相应的结果。计量器会根据通信流的结果来选择后续操作。后续
操作可能包括将包发送到其他操作或将包返回到网络而不进行进一步处理。
IPQoS 计量器确定网络流是否符合在QoS 策略中为其所属的类定义的传输率。IPQoS 包括两
种计量模块：
 tokenmt －使用双令牌桶计量方案
 tswtclmt －使用时间滑动窗口计量方案
两种计量模块都可识别三种结果：红色、黄色和绿色。在参数red_action_name、
yellow_action_name 和green_action_name 中定义针对每种结果所采取的操作。
另外，您可以将tokenmt 配置为可识别颜色。可识别颜色的计量实例使用包大小、DSCP、
通信率和配置的参数来确定结果。计量器使用DSCP 将包的结果映射到绿色、黄色或红
色。
有关为IPQoS 计量器定义参数的信息，请参阅第736 页中的“如何规划流控制”。
标记器（dscpmk 和dlcosmk）概述
在Diffserv 模型中，标记器使用反映转发行为的值来标记包。标记是将一个值放入包头以指
示如何将此包转发到网络的过程。IPQoS 包含两种标记器模块：
 dscpmk －使用称为区分服务代码点的数值或DSCP 标记IP 数据包头中的DS 字段。可识
别Diffserv 的路由器便可以使用DS 代码点对包应用相应的转发行为。
 dlcosmk －使用称为用户优先级的数值标记以太网帧标题的虚拟局域网(virtual local area
network, VLAN) 标记。用户优先级指示服务类(class of service, CoS)，该类定义应用于数据
报的相应转发行为。
按照IETF 的设计，dlcosmk 是一个IPQoS 添加操作，而不是Diffserv 模型的一部分。
有关针对QoS 策略实现标记器策略的信息，请参见第738 页中的“如何规划转发行为”。
流记帐(flowacct) 概述
IPQoS 将flowacct 记帐模块添加到Diffserv 模型中。您可以使用flowacct 来收集有关通信
流的统计信息，并根据客户的SLA为客户开帐单。流记帐对容量规划和系统监视也非常有
用。
将flowacct 模块与acctadm 命令一起使用可以创建记帐日志文件。基本日志包括IPQoS 5 元
组和两个其他属性，如下所示：
 源地址
 源端口
区分服务模型
第32 章• IPQoS 介绍（概述） 721
 目标地址
 目标端口
 协议编号
 包编号
 字节数
您还可以收集有关其他属性的统计信息，如第783 页中的“记录有关通信流量的信息”，
以及flowacct(7ipp) 和acctadm(1M) 手册页中所述。
有关规划流记帐策略的信息，请参见第740 页中的“如何规划流记帐”。
通信如何流过IPQoS 模块
下图显示传入通信可能用以经过某些IPQoS 模块的路径。
图32–1 通信流经过Diffserv 模型的IPQoS 实现
此图展示了启用IPQoS 的计算机上常见的通信流顺序：
1. 分类器从包流中选择所有符合系统QoS 策略中过滤条件的包。
2. 然后针对下一步要采取的操作评估选定的包。
区分服务模型
722 系统管理指南：IP 服务• 2006 年8 月
3. 分类器将所有不需要流控制的通信发送到标记器。
4. 将流控制的通信发送到计量器。
5. 计量器强制执行已配置的速率。然后，计量器为流控制的包指定一个通信符合值。
6. 然后评估流控制的包以确定是否所有包都需要记帐。
7. 计量器将所有不需要流记帐的通信发送到标记器。
8. 流记帐模块收集有关已接收包的统计信息。然后，此模块将包传送到标记器。
9. 标记器为包头指定一个DS 代码点。此DSCP 指示可识别Diffserv 的系统必须应用于包的
单跳行为。
启用了IPQoS 的网络上的通信转发
本节介绍在启用了IPQoS 的网络上转发包所涉及的元素。启用了IPQoS 的系统会处理网络
流上将系统IP 地址作为目标地址的所有包。之后，此IPQoS 系统会对包应用其QoS 策略以
建立区分服务。
DS 代码点
DS 代码点(DS codepoint, DSCP) 在包头中定义任何可识别Diffserv 的系统应针对已标记包采
取的操作。Diffserv 体系结构为所要使用的启用了IPQoS 的系统和Diffserv 路由器定义了一
组DS 代码点。Diffserv 体系结构还定义了一组称为转发行为的操作，这些操作与DSCP 相对
应。启用了IPQoS 的系统使用DSCP 标记包头中DS 字段的优先位。当路由器收到带有
DSCP 值的包时，便会应用与此DSCP 关联的转发行为。然后，会将此包释放到网络。
注– dlcosmk 标记器不使用DSCP。相反， dlcosmk 使用CoS 值来标记以太网帧标题。如果计
划在使用VLAN 设备的网络上配置IPQoS，请参阅第794 页中的“标记器模块”。
单跳行为
在Diffserv 术语中，指定给DSCP 的转发行为称为单跳行为(per-hop behavior, PHB)。PHB 定
义已标记的包获得的相对于可识别Diffserv 的系统上其他通信的转发优先级。此优先级最终
确定启用了IPQoS 的系统或Diffserv 路由器是转发还是丢弃已标记的包。对于转发的包，此
包在到达目的地的途中遇到的每个Diffserv 路由器都应用相同的PHB。但也有例外的情况，
那就是其他Diffserv 系统更改了DSCP。有关PHB 的更多信息，请参阅第794 页中的“使用
dscpmk 标记器转发包”。
PHB 的目标是为邻近网络上的通信类提供指定量的网络资源。您可以通过QoS 策略达成此
目标。定义DSCP，以指示当通信流离开启用了IPQoS 的系统时通信类的优先级。优先级的
范围可以从高优先级/低丢弃率到低优先级/高丢弃率。
例如，您的QoS 策略可以为一个通信类指定一个保证低丢弃PHB 的DSCP。然后，此通信
类从所有可识别Diffserv 的路由器中接收一个低丢弃优先级PHB，这可保证此类包的带宽。
启用了IPQoS 的网络上的通信转发
第32 章• IPQoS 介绍（概述） 723
您可以向QoS 策略中添加可为其他通信类指定不同优先级的其他DSCP。Diffserv 系统将根
据包的DSCP 指示的优先级，为优先级较低的包提供带宽。
IPQoS 支持两种类型的转发行为：加速转发和确保转发，这两种行为在Diffserv 体系结构中
定义。
加速转发
加速转发(expedited forwarding, EF) 单跳行为确保所有带有与EF 相关的DSCP 的通信类都被
赋予最高优先级。带有EF DSCP 的通信无需排队。EF 具有低丢失、低延迟和低抖动等特
征。建议的EF DSCP 为101110。标记为101110 的包在通过可识别Diffserv 的网络、路由器一
直到目的地的途中享有低丢弃优先级。向享有高价SLA的客户或应用程序指定优先级时，
使用EF DSCP。
确保转发
确保转发(assured forwarding, AF) 单跳行为提供四种不同的转发类，您可以将这些类指定给
包。每种转发类都提供三种丢弃优先级，如表37–2 所示。
各种AF 代码点都提供为客户和应用程序指定不同服务级别的能力。对于QoS 策略，可以在
规划该策略时设置网络上通信和服务的优先级。然后向具有优先级的通信指定不同的AF 级
别。
Diffserv 环境中的包转发
下图显示了某公司内联网的一部分，该环境局部启用了Diffserv。在此方案中，网络
10.10.0.0 和10.14.0.0 的所有主机都启用了IPQoS，并且这两个网络上的本地路由器均可
识别Diffserv。但是，没有针对Diffserv 配置中间网络。
启用了IPQoS 的网络上的通信转发
724 系统管理指南：IP 服务• 2006 年8 月
图32–2 跨越可识别Diffserv 的网络跃点的包转发
下面的步骤将跟踪此图中显示的包的流。这些步骤开始于源自主机ipqos1 的包进程。然
后，这些步骤连续通过若干跃点，一直到达主机ipqos2。
1. ipqos1 上的用户通过运行ftp 命令来访问相隔三个跃点的主机ipqos2。
2. ipqos1 将它的QoS 策略应用于产生的包流。接着，ipqos1 成功对ftp 通信进行分类。
系统管理员为所有源自本地网络10.10.0.0 的传出ftp 通信创建一个类。为ftp 类的通信
指定AF22 单跳行为：二类，中等丢弃优先级。为ftp 类配置通信流速率2Mb/sec。
3. ipqos-1 计量ftp 流来确定此流是否超出确定的速率2 Mbit/sec。
4. ipqos1 上的标记器使用010100 DSCP（与AF22 PHB 对应）标记传出ftp 包中的DS 字
段。
5. 路由器diffrouter1 接收ftp 包。然后，diffrouter1 检查DSCP。如果diffrouter1 发生
拥塞，将丢弃标记为AF22 的包。
6. ftp 通信将根据在diffrouter1 的文件中为AF22 配置的单跳行为转发到下一跃点。
7. ftp 通信遍历网络10.12.0.0，一直到达不能识别Diffserv 的genrouter。这样，此通信便
可获得“尽力服务”转发行为。
8. genrouter 将ftp 通信传送到网络10.13.0.0，其中通信由diffrouter2 接收。
9. diffrouter2 可以识别Diffserv。因此，此路由器根据路由器策略中为AF22 包定义的
PHB 将ftp 包转发到网络。
10. ipqos2 接收ftp 通信。然后，ipqos2 提示ipqos1 上的用户键入用户名和口令。
启用了IPQoS 的网络上的通信转发
第32 章• IPQoS 介绍（概述） 725
726
规划启用了IPQoS 的网络（任务）
您可以在运行Solaris OS 的任何系统上配置IPQoS。这样IPQoS 系统便会与可识别Diffserv
的路由器一起工作，在内联网上提供区分服务和通信流量管理。
本章包含在可识别Diffserv 的网络上添加启用IPQoS 的系统的规划任务。本章包含以下主题
：
 第727 页中的“常规IPQoS 配置规划（任务列表）”
 第728 页中的“规划Diffserv 网络拓扑”
 第731 页中的“规划服务质量策略”
 第731 页中的“QoS 策略规划（任务列表）”
 第741 页中的“IPQoS 配置示例介绍”
常规IPQoS 配置规划（任务列表）
在网络上实现区分服务（包括IPQoS）需要进行大量规划。不仅必须考虑每个启用了IPQoS
的系统的位置和功能，还要考虑每个系统与本地网络上的路由器的关系。以下任务列表列
出了在网络上实现IPQoS 的主要规划任务。
任务说明参考
1. 规划与启用了IPQoS 的系统结
合使用的Diffserv 网络拓扑。
了解各种Diffserv 网络拓扑以确
定用于您站点的最佳解决方案。
第728 页中的“规划Diffserv 网
络拓扑”。
2. 规划由IPQoS 系统提供的不同
服务类型。
将网络提供的服务类型组织成服
务级别协议(service-level
agreements, SLA)。
第731 页中的“规划服务质量策
略”。
3. 为每个IPQoS 系统规划QoS 策
略。
确定实现每种SLA所需的类、计
量和记帐功能。
第731 页中的“规划服务质量策
略”。
33 第3 3 章
727
任务说明参考
4. 如果适用，为Diffserv 路由器
规划策略。
为与IPQoS 系统一起使用的
Diffserv 路由器确定所有调度和
排队策略。
有关排队和调度策略，请参阅路
由器文档。
规划Diffserv 网络拓扑
要为网络提供区分服务，至少需要一个启用了IPQoS 的系统以及一个可识别Diffserv 的路由
器。您可以通过各种方法扩展这个基本方案，如本节中所述。
Diffserv 网络的硬件策略
通常，客户在服务器和服务器整合（例如Sun EnterpriseTM10000 服务器）上运行IPQoS。与
此相反，您还可以根据网络需要在桌面系统（例如UltraSPARC® 系统）上运行IPQoS。以下
列表介绍了可以配置IPQoS 的系统：
 提供各种服务的Solaris 系统，例如Web 服务器和数据库服务器
 提供电子邮件、FTP 或其他常用网络应用程序的应用程序服务器
 Web 高速缓存服务器或代理服务器
 由可识别Diffserv 的负载平衡器管理的、启用了IPQoS 的服务器场的网络
 管理单个异构网络的通信的防火墙
 属于虚拟局域网(local area network, LAN) 一部分的IPQoS 系统
您可以通过已经起作用的可识别Diffserv 的路由器将IPQoS 系统引入网络拓扑中。如果您的
路由器当前不提供Diffserv，请考虑由Cisco Systems、Juniper Networks 和其他路由器制造商
提供的区分服务解决方案。如果本地路由器无法实现Diffserv，则路由器会将标记的包传送
到下一个跃点而不评估此标记。
IPQoS 网络拓扑
本节介绍可满足各种网络需要的IPQoS 策略。
单个主机上的IPQoS
下图显示启用了IPQoS 的系统的单个网络。
规划Diffserv 网络拓扑
728 系统管理指南：IP 服务• 2006 年8 月
图33–1 网络段上的IPQoS 系统
此网络仅为公司内联网的一段。通过在应用程序服务器和Web 服务器上启用IPQoS，您可
以控制每个IPQoS 系统释放传出通信的速率。如果使路由器可识别Diffserv，则还可以进一
步控制传入和传出的通信。
本指南中的示例使用“单个主机上的IPQoS”方案。有关在整个指南中使用的拓扑示例，请参
见图33–4。
包含服务器场的网络上的IPQoS
下图显示了包含数个异构服务器场的网络。

以上文章转自于 ： http://developers.sun.com.cn/