Файл: Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под.pdf

Приложение Г. Обработка IP-датаграмм с учетом их приоритета 239
На канальном (L2) уровне Ethernet-кадры могут помечаться с помощью бит в заголовке кадра с использованием согласно стандарту IEEE 802.1P бит приоритета (поле CoS) в заголовке IEEE 802.1Q (VLAN).
Размер поля CoS – 3 бита, таким образом доступны для маркировки восемь классов сервиса (с 0 по 7) Ethernet-кадров.
На
сетевом
(L3) уровне в целях маркировки
IP-датаграммы может быть использовано поле IP-заголовка Type of Service (ToS). Поле ToS в зависимости от решаемой задачи может быть интерпретировано в соответствии с классификатором поля IP Precedence (IPP) – поле имеет размерность 3 бита
(принимает значения от 0 до 7).
Версия длина
Байт
ToS
Общая длина
Идентификация Смещение
Время жизни
Протокол
Контрольная сумма заголовка
Адрес источника
7 6
5 4
3 2
1 0
Адрес приёмника
Данные
IP Preсedence
Не используется
Стандарт IPv4
Рис. Г.1 Формат поля ToS в составе заголовка IP-датаграммы
Иллюстрирует сказанное приведенный на Рис. Г.1 формат размещаемого в заголовке IP-датаграммы поля ToS, используемого в целях маркировки IP-датаграммы согласно требуемому приоритету ее обработки.
В связи с тем, что в процессе продвижения данных от источника генерации трафика к его получателю среда передачи данных в сети на канальном (L2) уровне претерпевает частые изменения, метод маркировки
IP-заголовков датаграмм на сетевом (L3) уровне представляется на текущий момент более практичным и универсальным.
Если упрощенно рассматривать жизненный цикл IP-датаграммы в сети с точки зрения процессов обеспечения качества обслуживания, то можно отметить следующие этапы этого цикла: генерация IP-датаграммы источником, ее классификация, маркировка в соответствии с классификацией, продвижение по маршруту к получателю транзитом через сетевые устройства с приоритетом согласно параметрам маркировки и, наконец, прибытие IP-датаграммы к адресату.
Процесс обработки промаркированного согласно приоритету потока транзитных данных сетевым устройством обобщенно выглядит следующим образом. Данные поступают на входной интерфейс устройства и обрабатываются в соответствии с назначением устройства (коммутируются, маршрутизируются или др.).
По результатам обработки принимается решение, на какой выходной порт устройства и в каком виде передать данные для дальнейшей обработки – данные попадают в аппаратные очереди выходного порта (интерфейса).
Аппаратные очереди представляют собой быструю память, хранящую данные перед тем, как они попадут непосредственно на выходной порт. Затем, согласно определенному алгоритму обработки, данные извлекаются из очередей и через выходной порт (интерфейс) устройства отправляются в сеть далее. Сказанное отчасти иллюстрирует приведенная на Рис. Г.2 схема обработки.
Механизмы приоритизации трафика, поддерживаемые изделием. Из всего многообразия понятий, составляющих понятие механизмов поддержки качества обслуживания в сетях (QoS), изделием поддерживается только механизм приоритизации – механизм приоритетной обработки IP-датаграмм на сетевом
(L3) уровне согласно значениям 3-битного подполя приоритета (поле IP Precedence или IPP) в 8-битном поле
типа обслуживания (поле Type of Service или ToS) заголовка IP-датаграммы (см. Рис. Г.1).
Поддерживаемые изделием механизмы приоритизации трафика включают два механизма:
- механизм классификации и маркирования IP-датаграмм, полученных изделием на обработку, путем корректировки подполя приоритета IPP поля ToS в зависимости от сочетания широкого набора критериев, учитываемых администратором изделия при настройке системных prt-фильтров (подробнее см. раздел 3.2.1.7, с. 104);
- механизм приоритетной обработки трафика IP-датаграмм путем организации на интерфейсах, при необходимости, пула очередей, пополняемого потоками исходящих IP-датаграмм согласно их приоритету
(значению подполя IPP поля ToS) и обрабатываемого в соответствии с алгоритмом строгой очередности
приоритетов (Strict Priority Queuing).
Порядок организации работы механизма классификации и маркирования IP-датаграмм, полученных изделием на обработку, подробно рассмотрен в разделе 3.2.1.7, с. 104. Отметим только общие (необязательные к исполнению) рекомендации по присвоению значений приоритета (подполе IPP поля ToS) отдельным типам
IP-трафика, выработанные IT-сообществом:
- самые высокие по приоритету значения IPP, равные 7 и 6, резервируются для сетевого управляющего трафика (например, для протоколов маршрутизации);

240
Приложение Г. Обработка IP-датаграмм с учетом их приоритета
- значение IPP, равное 5, рекомендовано для речевого трафика;
- значение IPP, равное 4, используется совместно трафиками видеоконференций и потокового видео;
- значение IPP, равное 3, предназначено для сигнализации вызовов;
- значения IPP, равные 2 и 1, могут использоваться для данных приложений;
- значение IPP, равное 0, представляет собой маркировку по умолчанию.
Далее коснемся работы механизма организации очередей и алгоритма их обработки.
При настройке большинства сетевых интерфейсов изделия (физических или виртуальных) администратору предоставляется возможность настройки значений их параметров
Скорость
передачи
и Скорость приема (исключение составляют интерфейсы типа GRE, L2–Eth, L2–VLAN и L2–TNL). До той поры, пока значения этих параметров сохраняют нулевое значение, сетевые интерфейсы работают, не реагируя на значения поля приоритета в заголовках IP-датаграмм, выполняя обработку IP-датаграмм по мере их поступления.
Если же будут указаны ненулевые значения этих параметров, алгоритм работы интерфейсов перестраивается, начиная реагировать на значение поля приоритета IP-датаграмм. Причем алгоритмы обработки и реагирования на приоритеты IP-датаграмм, принимаемых и передаваемых интерфейсом, различны.
Приоритетная обработка передаваемого IP-трафика. Механизм приоритетной обработки для передаваемого интерфейсом изделия в сеть потока IP-датаграмм запускается на этапе инициализации работы интерфейса при условии, что администратор изделия указал при настройке этого интерфейса значение параметра Скорость передачи, отличное от нуля. Этот параметр может быть указан для следующих типов сетевых интерфейсов изделия – как физических, так и виртуальных:
Ethernet-интерфейсов (см. бланки настройки: Рис. 2.9, с. 29), TNL-интерфейсов (см. Рис. 2.25, с. 41);
VLAN-интерфейсов (см. Рис. 2.20, с. 38).
Примечание. Значения параметров Скорость передачи и Скорость приема могут быть введены и при настройке дополнительных параметров интерфейсов L2-уровня –
L2–Eth-интерфейсов и L2–TNL-интерфейсов, но обработка значений этих параметров и обеспечение работы механизма приоритизации для этих интерфейсов настоящей версией
ОПО маршрутизаторов изделия не поддерживается.
Иллюстрирует работу механизма организации изделием приоритетной обработки
IP-трафика при передаче схема, представленная на Рис. Г.2.
Рис. Г.2 Схема организации изделием приоритетной обработки IP-трафика при передаче
При включении на сетевом интерфейсе маршрутизатора механизма приоритетной обработки
(параметр Скорость передачи в настройках интерфейса имеет значение, отличное от нуля) программа управления в оперативной памяти маршрутизатора образует для исходящих потоков IP-датаграмм этого интерфейса пул очередей – 8 выходных логических очередей, каждой из которых присваивается значение приоритета обработки от 0 (самый низкий приоритет) до 7 (самый высокий приоритет).
Поступающие в этот интерфейс обработанные маршрутизатором исходящие IP-датаграммы попадают каждая в соответствующую из образованных очередей согласно своему приоритету – значению подполя IPP поля ToS в заголовке IP-датаграммы (на схеме Рис. Г.2 этот этап обработки представлен работой блока Размещение в очереди).
Попав в соответствующую очередь, IP-датаграммы будут извлекаться из нее для отправки в канал связи согласно применяемому в изделии алгоритму строгой очередности приоритетов (Strict Priority Queuing), работа которого сводится к следующему (на схеме Рис. Г.2 этот этап обработки представлен работой блока Выборка из очереди).

Приложение Г. Обработка IP-датаграмм с учетом их приоритета 241
Программа управления начинает обработку с самой приоритетной очереди – той, которая имеет приоритет 7.
Поступившие в эту очередь IP-датаграммы будут выбираться для их передачи интерфейсом в сеть в том порядке, в каком они заполняли очередь – т.е. в соответствии с принципом: первым пришел – первым
вышел. Если очередь с наивысшим приоритетом – приоритетом 7 – оказалась пуста, программа управления переходит к обработке очереди с приоритетом, на единицу меньшим – приоритетом 6.
Если очередь с приоритетом 6 оказалась пуста, программа управления переходит к обработке очереди с приоритетом 5 и т.д. Если при этом в очередях со старшими приоритетами (с приоритетом 7 или 6 ) появятся
IP-датаграммы, обработчик очередей приступит к обработке заполненной IP-датаграммами очереди с самым старшим приоритетом. Таким образом, до IP-датаграмм, попавших в очередь с приоритетом 0 (до IP-датаграмм без приоритета), дело дойдет лишь в том случае, когда все более приоритетные очереди будут пусты.
Приоритетная обработка принимаемого IP-трафика. Алгоритм обработки принимаемого из сети трафика с учетом приоритета поступающих IP-датаграмм отличается от алгоритма приоритетной обработки
передаваемого интерфейсом в сеть исходящего трафика маршрутизатора следующим образом: при обработке принимаемого из сети входящего трафика механизмом приоритизации не образуются (как при передаче)
очереди входящих IP-датаграмм, работа механизма сводится только к принятию решения о прекращении или о продолжении дальнейшей обработки интерфейсом поступившей из сети очередной порции информации.
Механизм приоритетной обработки для принимаемого из сети интерфейсом изделия потока IP-датаграмм запускается на этапе инициализации работы интерфейса только при условии, что администратор изделия указал при настройке этого интерфейса значение параметра

242
Приложение Г. Обработка IP-датаграмм с учетом их приоритета
недостаточно организовать работу механизмов приоритетной обработки трафика с помощью очередей
(как часто делается в обычных маршрутизаторах) только на выходе изделия – на выходном интерфейсе БНМ изделия. В ряде случаев необходимо также (в силу ограничений, накладываемых особенностями работы криптоалгоритма, реализуемого БКО) организовывать обработку трафика с помощью механизма очередей также и на входе в БКО (в шифратор).
Выполнить это требование в изделии помогает применение сетевых виртуальных туннельных
TNL-интерфейсов, обеспечивающих реализацию механизмов приоритетной обработки с помощью организации очередей разного приоритета и на входе в шифратор изделия, поскольку предоставляемый туннельными интерфейсами изделия механизм приоритетной обработки аналогичен рассмотренному выше механизму приоритетной обработки, предоставляемому физическими и рядом виртуальных интерфейсов изделия.

Приложение Д. Использование DNS-сервиса
Доменная система имен (Domain Name System или DNS) – это распределенная база данных, которая содержит информацию о компьютерах, включенных в сеть, организованную согласно internet/intranet-технологии.
DNS выполняет несколько задач, но основная – преобразование имени компьютеров в IP-адрес и наоборот.
Пользователи сети в своей работе, как правило, применяют имена хостов, с которыми они обмениваются информацией. С другой стороны, программное обеспечение при обмене данными на сетевом уровне понимает только IP-адреса. Для разрешения этого противоречия и предназначена система DNS.
DNS, как и большинство информационных служб в сетях, организованных согласно internet/intranet- технологии, состоит из двух компонентов: множества связанных между собой DNS-серверов и неограниченного количества DNS-клиентов. DNS-клиенты посылают запросы к DNS-серверам и обрабатывают полученные от них ответы. DNS-серверы получают запросы от DNS-клиентов, производят поиск в своих базах данных и формируют ответы с результатами поиска. В случае необходимости DNS-серверы могут запрашивать у своих коллег недостающую информацию.
Изделие поддерживается функционирование обоих компонентов DNS: DNS-клиента и DNS-сервера. Порядок их настройки изложен в разделе 5.4, с. 157. Материал настоящего приложения может быть использован в качестве справочного руководства администратора DNS-сервера.
DNS-сервер изделияреализован в соответствии с рекомендацией RFC 1035.
Архитектура сервера и интерфейс взаимодействия с ним максимально приближены к известному DNS-серверу
The Berkeley Internet Name Domain (BIND). Это сделано с целью упрощения процесса освоения администрирования DNS-сервера обслуживающим персоналом изделия.
В настоящее время издано большое количество различной документации по работе с DNS, включая официальные руководства и многочисленные пособия по сопровождению BIND. Учитывая это, предлагаемый ниже материал не содержит общих теоретических основ DNS, в нем приведены только некоторые основные понятия и описана конкретная реализация DNS-сервера, поддерживаемая изделием.
В конце настоящего Приложения рассмотрены особенности переноса конфигурационных файлов с сервера
BIND на DNS-сервер изделия.
Понятие зоны
Пространство имен DNS имеет структуру дерева доменов с полномочиями, возрастающими по мере приближения к корню дерева. Это означает, что родители – домены старших уровней – имеют власть над
детьми. Корень дерева имеет имя «.»; под ним находятся домены первого – корневого – уровня, каждый из которых управляет своим поддеревом. Домены второго и следующих уровней, в свою очередь, имеют управляемые ими поддеревья. Каждый домен – это отдельный фрагмент всемирного дерева, которым управляет один административный объект.
Каждый домен верхнего уровня может управлять всеми своими поддоменами самостоятельно, но может и делегировать свои полномочия по управлению администраторам младших поддоменов. Решение о делегировании полномочий управления принимается для каждого узла дерева имен самостоятельно. По этой причине при конфигурировании каждого DNS-сервера используется понятие зоны.
Зона – это множество имен данного домена за вычетом поддоменов, управление которыми передано своим администраторам. Иными словами, зона содержит все имена от конкретной точки дерева вниз, за исключением имен, делегированных в другие зоны.
Форматы записей файла зоны
Описание каждой зоны образует отдельный раздел базы данных DNS-сервера (файл описания зоны или просто
файл зоны). Файл зоны состоит из записей описания ресурсов Resource Record (RR). Все RR-записи имеют следующий формат:
[имя] [время] [класс] тип данные
Первые три поля формата записи необязательны и могут отсутствовать.
имя – обозначает объект, к которому относится запись; значение поля зависит от типа записи (от значения поля
тип); умалчиваемое значение – имя предыдущей RR-записи.
время – максимальное время хранения данной записи в кэшах прочих DNS-серверов (значение задается в секундах); умалчиваемое значение – не определено.