华为qos策略配置教程

今天我们一起来学习一下 qs 的 服务模型， 那么我们知道啊，随着我们网络的发展，我们现在网络上的流量啊越来越多了，那么， 呃，随着流量的增加啊，如果我们的网络贷款没有及时跟上的话啊，那么这时候网络就会发生拥堵， 这个其实就像我们的呃公路交通其实也一样啊，呃，路上的车子越来越多，但是道路如果不拓展的话，那么道路就会发生拥堵，是吧？那么如果严重的时候还会发生丢包啊，那么， 呃，在我们的网络啊，如果要解决这些问题，那么最简单的方法是怎么样加贷款吗？其实就是我们如果是道路交通的话，就是宽道路是吧？好，那么这种方法方法呢，当然可以解决问题啊，但是怎么样需要成本啊， 那么不管是加贷宽还是什么投宽道路是吧，都是需要成本的是吧？那么在很多种情况下啊，我们这个有的时候就说可能 呃要加投资并不是很现实，那么我们另外呢，还有一种技术手段，就是我们的 qs 技术啊，就是 qs 呢，就是 quality of service。 那 么这种方式呢啊，不是去直接加贷款啊，而是怎么样采用一定的技术方式 保证某些流量啊，能够优先通过。但是呢啊，其实我们如果贷款不佳的话，大家也知道它的存在能力肯定还是有限嘛，所以呢，在某些流量优先通过的情况下， 其他的流量怎么样？那就可能要承受呃，更差的那个服务情况了，其实就是他的拥堵会更严重啊，转发延迟可能会更大，丢包也是会丢的更多是吧？好，那么 我们来看啊，我们本章节学完之后啊，应该是要了解的一些东西啊，首先是了解我们 qs 的 主要因素，就是说我们要了解什么叫做 qs 啊，就是 qs 真正的关键的指标是什么？ 然后呢，熟悉一下 qs 的 服务模型啊，那么我们的 qs 其实有几种服务模型啊？那么我们在这里介绍一下。然后呢，最后是我们来看一下我们其中一种服务模型啊，这种其实是我们当前网络中真正在广泛使用的啊， 区分服务模型啊，也有叫叉分服务模型的这个实现的过程啊。好， 那么我们的课程啊，以这个三个部分来说啊，第一个就是说，呃，为什么会产生这个网络质量问题是吧？然后呢就是我们的所谓的网络质量，具体是指哪些东西 啊？然后呢是怎么样来改善这个网络质量是吧？好，那么首先啊，我们可以来看一下这么一个简单的一个通信模型啊，两地 进行通信是吧？那么很明显是吧？我们这边啊，公司总部，他这里写的啊，一个公司分布一个公司总部，那么总部还是分布 这个内部啊，一般来说都是局域网，那么我们当前局域网用的最广泛的是什么？以太网是吧？以太网的贷款是十兆、百兆、千兆是吧？这个是很常见啊，那么接下去呢两个啊， 位置就是我们公司的两个部门啊，就是或者说是总部跟分布之间要进行通信啊，可能距离比较远，这时候怎么样？他要租用广域线路啊，那么这时候他这里租用的线路啊，是一个两兆的线路是吧？那么好， 大家可以发现，我们内部都是百兆、千兆，是吧？然后呢这个之间呢，它是一个两兆，这时候如果两地要通经的时候，我这边啊，内部发过来啊，这里假设是十兆，那就把十兆的福利发过来，但这里发出去呢，只能以两兆的数据发出去，这是怎么样？ 在这个地方啊，在这个出接口，是吧？就会形成一个拥塞啊，啊，这时候就是一个拥塞，那么如果有拥塞的话，怎么样？这个数据在这里就会排队了，是吧？这个其实就好像我们两条道路啊， 呃，前面那个道路很宽，八车道是吧？然后突然之间前面一条道路变成两车道了，那在这个接口的地方肯定会堵起来，是不是？好，这个就是我们的拥塞点啊，那么如果发生拥塞的时候，这时候怎么样？延迟啊， 抖动啊、卡顿啊，什么什么，就是说丢包啊，什么都会出现啊，好，这个时候，但是我们这个情况 你解决，当然说这里加贷宽啊，是可以解决，是吧？但是这个加贷宽是要有成本的，是不是？好，那么我们一般工程中啊，没有这么简单啊，就是说你说 广域链路贷宽加的跟区域链路一样，这个成本不得了啊，那么这个就是我们真实网络中 呃，产生我们的这个拥塞啊， qs 这个通信质量的问题的这个关键的一个地方啊，好，那么接下去我们来看看我们所谓的通信质量真正是指哪些具体的因素啊？那么具体的因素呢？其实啊，我们分为四个啊，宽带、 食盐、抖动和丢包率，那么这个带宽很明显的啊，其实就是我们，呃，大家家里如果装个宽带的话，就知道啊，你去运营商那里说要拉一个宽带，那么这时候你肯定要说你是要多少？要十兆的， 他是二十兆的啊，或者五十兆的，一百兆的，是吧？那么当然每一种带宽啊，价格是不一样的啊，价格不一样的，那么 当然带宽越大，你的感受肯定越好，是吧？下一个文件跟飞快，是吧？ 好，那么接下去呢，就是食盐，那么食盐呢？其实大家也是比较常见的，最常见的呢，就是大家如果在网上去拼一个对端设备的时候，那么这个拼的响应过程啊，最后肯定有一个多少毫米的时间，是吧？ 快的话可能是小于四毫秒啊，五毫秒，六毫秒这种，是吧？慢的话可能有几百毫秒，是吧？大家在互联网上去拼一个，就是说在美国的某一个服务器或者网站怎么样？一般来说就会几百毫秒都有，是吧？好，那么这个食盐，那么食盐大，明显的就 质量就差啊，食盐小，这样才好，是吧？那接下去是我们抖动，那所谓抖动是怎么样？我们单个包啊，他有食盐，是吧？一个包拼过去有食盐，但是我们如果是一个通信，一般来说一个包是解决不了，那么就是常常是 几十个包，几百个包，是吧？那几十个包，几百个包，每个包的延迟他就会不一样，是吧？第一个包延迟，譬如说十毫米，第二个包延迟十五毫米，第三个包延迟，呃，就是说八毫米，是吧？每一个包的延迟是不一样的啊，这个不一样的地方就是抖动啊， 好，这就有多重，接下去呢？就是一个丢包率，那么丢包率大家也明确啊，就是说我们两边通信的时候，我这边发的这一端发了一百个包，收的这一端收到几个包，就是他收到九十九个包，这时候怎么样？丢了一个包， 那么这时候丢包率就多少百分之一是吧？好，那么这个就是我们的所谓的 网络质量的几个指标啊，最常见的就是这四个指标，那么对于我们网络中啊，不同的 流量类型来说啊，他这个指标要求其实是不一样的，像我们的语音啊，大家很明确啊，语音就是我们的打电话的绘画啊， 就说这首语音的话，他的贷款要求是比较低的，一般来说一个话录就是几十 k 啊，几十 k， 特别是现在有压缩算法之后啊，越来越小，是吧？好，那么但是语音呢？他这个食言抖动要求就比较高啊， 食言抖动要求比较高，大家譬如说去跟人家去聊天的时候，你肯定是我讲完话，对方讲，是吧？ 那么如果讲完话，如果等个几秒他再反应过来，这个显得好像是慢一拍，是吧？好，那么视频啊，那么视频大家很明确，就是大家看的这种看电影啊，或者什么的，当然这个视频是，这是实时视频啊， 就是，其实是怎么说大家譬如说是呃，电视的实况转播那种啊，就是说呃世界杯足球赛是吧？啊，在那里踢的时候，你现场 实况看，而不是那种就说是已经存好服务器啊，就是像电影已经存在服务器上了，要怎么样？你去下载下来看啊，这个当然对你本地来说也是视频，但是我们说的这个视频流量指的不是这个流量啊，那个你下载文件的话，其实是作为一个文件下载下来的啊， 那么这种实时视频啊，视频的贷款要求比较高，同样啊，他的时间抖动要求也是比较高， 那么语音跟视频呢，这两个的丢包率啊，要求相对还是会低一点，那么这个到底也是相对低啊，你不能丢太多啊，就是少量的丢包，语音跟视频啊，我们可以用一些算法把他这个丢包给恢复出来啊， 就说像视频的话，我们可以根据前一针后一针，是吧？因为不同针之间我们的变化其实比较小的啊，所以呢，他能够把它给恢复出来，所以少量的地包他是可以恢复的。那么 另外呢，我们是下面是数据通信啊，那么像 ftp 就是 文件的下载上传，是吧？那么文件下载上传呢，这种互动性要求不高啊，就是说你一下文件，那怎么样，慢慢去下好了是吧？啊，那么慢慢下呢，就说他这个代控要求就比较高啊， 那么下文件肯定是有很多流量，是吧？但是他的食盐跟抖动啊，因为他的不需要怎么互动是吧？你慢点快点啊，延迟大一点，小一点 啊，每个包不一样，一点无所谓是吧？我只要收到这个信息就行了啊，那么这个丢包率呢？它这个要求它说是高，那么相对来说是比较高啊，就是说其实 ftp 对 任何一个丢包 它是不能容忍啊，其实是最后是要怎么样要重传的啊，当然这个有协议机制来保证啊，那么当然网络丢包什么样会导致它重传，当然也会导致它怎么样数率降低啊？ 啊？也会导致它数据降低，然后呢电子邮件跟 http 这些呢，其实是跟人交互比较多啊，但是这个东西呢，跟 ftp 相比啊， 这个也是数据通信啊，但是呢它的待困要求就低了啊，待困要求就低了，然后呢它的丢包率啊，也是中高啊，就说其实同样的，它也是不能够有雾霾啊，就是说它其实如果有丢包，那怎么样？ 要冲刷啊，要冲刷好，这个就是我们的网络质量啊，真正的这个因素，所谓的网络质量的这个 具体的几个因素，而且我们的不同的数据流量对这些网络质量啊，他的不同的要求，是吧？好，那么我们来看具体的啊， 对于这个网络贷宽，那么我们刚才说的那个贷宽常常指的是我一个用户，什么呀？接进去啊，接进去的贷宽，但是事实上这个 并不是完全的啊，那么大家其实也可以发现啊，譬如说你去运营商开了个贷宽，是吧？譬如说开了个一百兆，那么这时候你是不是所有下载的时候都有一百兆？这不是的啊，其实你真正的下载的速率 啊，他这个运营商给你的仅仅是一个接入端的一个数据，是吧？但真正下载的数据其实是你在下载这个文件，从服务器到你之间啊，所有链路中的 这个数据啊，要取最小的一个啊，像这个啊，现在这个情况下，这一端啊，公司分布这一端跟公司总部这一端两者通信，大家可以看到这里是一百兆，这里还是一个 g 的， 那他的通信什么样？其实最大的限制啊，就是这个啊， 二百五十六 k， 他 们两个人怎么通信啊？再怎么通信他都不能够，不可能啊，高于二百五十六 k 啊，这个就是我们的网络贷款的这个呃，计算的方式啊，就是说我们整个传输路径上的最小贷款啊，这个我们其实跟我们的日常的经验也是可以结合起来的啊，那么接下去就是网络延迟， 那么网络延迟呢？大家可以发现啊，其实我们最后啊，其他的三个指标跟我们的网络贷款都是有一定的关系的，网络贷款可以说是 所有指标中啊，最基本的一个。那么接下去我们来看网络延迟啊，那么网络延迟其实刚才说了很常见的啊，就是拼的时候肯定会有延迟，那么这些延迟究竟是怎么产生的呢 啊？我们下面有些萝莉啊，他们的延迟究竟是怎么产生的啊？最基本的啊，是一个传输延迟。那么所谓传输延迟指的是什么呢？就是指 有距离嘛，有距离你跑一趟肯定要时间是吧？那么当然啊，我们这个现在的信号传输用的是一般是电磁波啊，电信号是吧， 电磁波的速率是非常快的啊，那么我们知道像光就是电磁波是吧？光的速率是在真空中啊，三层式的八次方，那么在我们现在的这种戒指中啊，我们一般取一个近视值啊，是二层的八次方，这也是非常快啊，但是不管他多快， 他肯定是有延迟啊，而且这个延迟怎么样跟距离有关啊，你两个通信的两个设备之间间隔一百公里，跟两个通信设备之间间隔是一千公里， 那这个延迟就是不一样的，是吧？那么而且最大的特点是这个延迟啊，你其实是没有什么办法去减少，他的控制不了啊，这延迟肯定有， 是吧？那么除非以后有什么颠覆性的技术，是吧？啊？出来，那么这个延迟啊，当前是没有办法处理啊，那么接下去呢，我们有一个处理延迟，那么所谓处理延迟呢，指的是路由器收到这个包之后，它又怎么样？ 他要寻路是吧？他要查路，有表去寻路，那么这个时候他也是要有时间的啊，也是要时间的。那么当然啊，我们现在的路由器处理是非常快啊，那么想想我们现在的 cpu 的 运行速度，都是以 g 赫兹，是吧？ 啊，是的，九次方，那么如果寻路的话，一般来说他这个速度也是非常快啊，那么当然，如果你要求更快，当然可以用更高端的路由器来做，是吧？但是大家可以发现啊，大家可以去算一下，其实再慢啊，这个处理延迟， 他这个延迟一般来说也是压微秒级的啊，小于这个微秒的，所以呢，这一块啊，提升这个速度，其实意义并不是特别大啊，那么好， 接下去呢，我们就是一个对立言辞，那么所谓对立言辞是什么意思呢？就是当我这个路由器收到这个报文之后，寻路，寻完路说从这个端口出去，但是这个端口怎么样？没贷款可用 啊，就像我们这个公路啊，我们说啊，这个左拐还是右拐，已经定了之后，就结果右拐一一拐就发现这路是堵在那里的，怎么样？你就只能等在那里啊，那么当然他是等在路由器的缓冲里面啊，那如果这个路是不堵的，怎么样？他一选路之后立马就能够发出去啊？ 那么这时候大家可以发现这个对立延迟跟贷款有关是吧？ 就是你贷宽大，这链路不拥堵的话，其实对的延迟就是零啊，你选完路直接就发出去，对吧？ 那如果你这个贷宽不够，那怎么样？你就一直在排队啊，那么排队排的厉害了之后可能还会丢包是吧？好，这个就是我们对的延迟啊，那么对的延迟其实跟我们怎么样链路贷宽有关系啊？ 好，接下去呢，还有一个创新化延迟啊，这个延迟呢可能大家常常会忽略掉，但是事实上这个延迟啊也是比较重要的。所谓创新化延迟是什么呢？主要是当我们啊 路由器发包的时候，那么一个包它其实有一定长度的，是吧？譬如说是一千五百个字节是吧？那么它正发的时候不是一千五百个字节一瞬间发出去的啊？ 不像我们快递包裹打完包之后一个包裹出去，是吧？它是怎么样？它是一个比特，一个比特的发的是吧？一千五百个字节啊，你乘以八之后是一万两千个比特，然后怎么样？一个比特发完再发另一个比特，一个比特发出去。 好，那么一个比特一个比特发出去的话，那么我这时候这个数据啊，我们整个包要发完其实是需要时间的啊，这个就好像怎么样？大家，呃， 出去，呃，要出去时候，排队的时候，就是说你要排好队出去，是吧？那怎么样？你从队伍的第一个出去到队伍的最后一个出去，他其实是需要时间的啊，这个就是我们所谓的串句话延迟，但是这个时间是怎么算的？大家，很明显啊，就是说我的这个队列的长度， 除以我们这个队组的速度，是吧？那队组的速度是什么呀？其实就是我们的贷款嘛，就是说两兆 bps 是 吧？就是两兆的 bit 啊，两百万个 bit 每秒嘛，就是，是吧，然后呢？我这里啊有多少个 bit？ 一 万两千个 bit， 然后去算一下啊，就留出来这个创新化要多久是吧？好，这个就是我们啊，产生整个的延迟的所有的部件啊。 那么当然这个创新化延迟刚才我们也看到了，它其实跟我们的贷款也有关系，是吧？那么大家我们可以看到这所有的这些产生延迟的部件中， 传输延迟没有办法改啊。然后呢，这个处理器延迟当然跟我们的设备性能有关，但是呢这个意义不是特别大。然后接下去呢，另外两个啊，一个是对立延迟，一个是创新化延迟，怎么样？ 其实都跟我们的贷款有关啊，所以呢，这个时时间的延迟啊，网络延迟其实是跟我们的贷款有很重大的关系，是吧？好， 接下去呢，我们来看一下这个抖动啊，那么所谓这个抖动，刚才说了是延迟的变化，是吧？在像这里啊，他举了个例子，就说他是讲一句话啊，但是每个字讲过去的时候，他的时间都不一样啊，第一个时间五十二秒，第二个时间五十二秒啊，第三个时间，哎， 他这个实验变成了十二秒啊，然后呢？另外的实验呢，他每个都不一样，这时候怎么样？最后收到的时候他是不一样的啊，当然他这里是以讲话为例子是吧？好，那么 我们知道这个抖动其实是就是延迟的变化值，是吧？那么当然啊，我们一般来说网络的抖动其实是延迟的一个百分比啊，所以呢，你如果延迟 越大，就说两个正常的通信的延迟是吧？如果是一百毫秒，那怎么样抖动？如果百分之二十的话，那就要正负二十毫秒是吧？那如果两个之间的延迟，如果是 二十毫秒，那正负百分之二十的话，那就是怎么样？正负四个毫秒是吧？啊？这个就是说如果你延迟小，一般来说抖动也会小一些啊，就这样的一个情况啊， 那么接下去呢，最后这个丢包啊，那么这个丢包大家很明确啊，就是说我们在数据收发的过程中，在这个路径上啊，会出现丢包，那么当然丢包有各种原因导致，是吧？第一个譬如说是我们的处理过程，他说路由器处理不过来 啊，处理不过来的话，怎么样就会导致丢包啊？这个就好像流水线过来的时候，你这个作为流水线中间一个环节怎么样？你的操作赶不上，是吧？啊？那么当前的这个情况啊，应该说处理不过来这样的情况，呃，比较少了 啊，就说我们的路由器，现在的计算机啊，处理的性能一般来说都是比较过剩的啊，就说不会出现，就说豹纹过来处理不了的 啊，然后当然升级一个高性能的，呃，路由器啊，也并不是一个很大的代价啊，那么另外一个呢，就是我们这个啊，有排队过程的，一个严，一个一个丢包，那么这个明显的啊，就是刚才说的 怎么样？这个链路贷款不够情况下，我怎么样？计算机啊，路由器算出来，他往这个端口出去之后，这个端口怎么样？没有贷款他就要在这排队是吧？那么当然他有一个缓冲在那里，但是啊， 这个资源肯定不是无限的啊。这个缓冲怎么样？有一个一兆缓冲就是一兆缓冲啊，五兆缓冲就是五兆缓冲， 你不可能无限的是吧？你总有一个，如果你贷款始终不够的话，你总有一天这个缓冲就被占满了， 然后怎么样？后来的包就被丢掉了啊，这个就是我们的丢包，那么当然啊，如果说是网络的传输质量啊什么的，当然也会导致丢包啊，但是那个是故障啊，那个是故障啊，不是我们的这个 q s 的 这个问题啊。好， 那么接下去啊，我们来看一下怎么样来提升这个啊，解决这些问题啊，那么就是说我们的这个 q s 的 参考模型啊，那么参考模型呢？第一个模型啊，就是尽力而为， 呃，英语里面叫做 best effort 啊，就是尽力而为，那么所谓的尽力而为呢啊，它这个含义啊， 他并不是说就是想尽一切办法，他的意思是，呃，就是正常的方式来传啊，能传过去就传过去，传不过去 他就没有办法，也是丢包啊。那么当然他这个传送方式是怎么样？是先进先出啊，我们叫做 f i f o， 就是 first in first out 啊，就这个意思，就说哪个包先来，就哪个包先传，哪个包后来，那就等着 是吧？啊？就是先进先出，那么如果怎么样缓冲满了，那怎么样？满了之后面来的啊？ 他就全部丢掉啊，不会说是已经进缓冲的东西，怎么样去把它丢掉，然后说把后面来的给放进去啊？就说这个方式叫做伪丢弃啊，叫伪丢弃，就说最后面来的被丢掉了。缓冲版的话啊，先进先出和伪丢弃 啊，就是我们的尽力而为的模型，那么这个尽力而为的这个模型呢？其实我们不需要任何配置，不需要任何配置啊，路由器啊，我们的网络设备交换机也一样啊，网络设备最基本的或者说是缺失的，他的操作模式就是尽力而为 啊，那么如果啊，你要在尽力而为的这个网络的模型上来解决这个问题啊，其实最简单的就是加贷款啊，就加贷款，当然啊，加贷款这个也是最根本的，不管是哪种。呃，服务模型啊，就是后面的几种服务模型， 你要真正解决问题，加贷款就能够解决所有问题啊，加贷款就能解决所有问题。好，那么当然啊，这个加贷款最大的一个问题是什么呀？就是有成本啊，就是有成本， 有成本啊，那么另外一个呢？就是还有一个呢，就是升级设备啊，升级网络设备，那就是把性能给升上去，那么 呃，刚才也说了啊，就是说我们的设备其实也会出现这个处理的拥堵啊，就是说他来不及处理，那么这时候如果来不及处理呢，你当然也可以提升他的设备啊，但是我刚才也说了，呃，当前的设备啊，一般来说处理率都是过剩的，就是说 你买一个设备，他的处理率啊，跟他所配的端口啊，他其实是匹配的，一般来说处理率都会过剩一点 啊，那么小设备他的出力力当然差，但是大家看啊，小设备配的端口数量也少啊，端口的数，质量，也就说他的知识贷款也会低一点啊， 那么只有大设备才会怎么样配那种高速率的端口啊，那么端口数量也多，是吧，那么当然他的处理能力也是相应的，是高的，是吧？啊，这是一个尽力而为的模型啊，那么另外一个呢服务模型呢，就是我们的所谓的综合服务模型 啊，那么英语里是是 integrate 的 设备 model 啊，就是说我们的阶层也叫阶层服务模型啊，这个翻译过来的翻译不一样。那么所谓这个服务模型是什么意思呢？就是指在两者之间啊，要进行通信之前， 两个设备之间啊，要进行通信之前怎么样？他要去预留贷款， 就是说他把网络看成一个整体，那么我在这边要到另外一边去进行通信，那怎么样发端啊？要首先去请求贷款，说 我要多少的贷款，然后怎么样？一路请求啊，一路保留，他说要六十四 k， 是 吧，然后他一路就保留过来，六十四 k 啊，六十四 k， 六十四 k， 六十四 k， 然后呢？如果资源够啊，然后他就怎么样去确认啊？说，哎，给你保留了，要怎么样？保留了，保留了，保留了。好，如果这时候最终啊这个发送者他说，哎，贷款都保留了之后，然后就开始可以进行通信了 啊，那么这个模型大家可以看到怎么样？如果通信啊，之前你有这么一个流程，那么怎么样？你这个通信质量肯定能保证啊，你要六十四 k， 六十四 k 就是 留给你的嘛，肯定就不会拥堵了，是吧？已经给你留好了嘛，但是呢， 这个模型啊，大家看一下，缺点也是很明显，是吧？第一个就是说你每次通信之前都要去这样保留一遍，这个就是说前面前置公制啊，比较多，是吧？第二个啊， 就是我们你说要保留我中间的每台设备怎么样都需要保留你这个通信会坏的状态，是吧？ 好，那么都需要保留你这个绘画的状态，大家看啊，现在是一个绘画，是吧？这没问题啊，但是我们想象一下互联网上核心里头其他有多少绘画， 这个绘画数量无限啊，就是说感觉也不是无限啊，就是说这个肯定是个天文数字，是个巨大的一个数量，是吧？那么大家觉得 我们把路由器照大一点啊，其实现在其实基本上做不到啊，就是说现在的这个技术上其实做不到，大家可以想象一下啊，其实我们现在的核心路由器上，现在核心路由器在做什么？呃，核心路由器现在就是说就是按照路由表转发我们现在的路由表，其实是 啊，互联网的路由表就几十万条，六七十万条吧，那么其实核心路由器啊，为了撑这些，呃，这些路由，然后再加上快速转发啊，我们的路由器其实已经是可以说是竭尽全力了，是吧？如果再加上这么一个复杂的要求，就是说要保留 这样的绘画，是吧？这个数量巨多的绘画，这个路由器基本上就是很难造出来啊，所以就说他这个方式怎么样？不具有扩展性啊，就是不具有扩展性啊，那么 另外一个呢？还有一个就是可信模型的问题啊，可信模型的问题，就说你这个用户是吧？说你要保留多少，我就给你保留多少啊，这种情况下 我这个网络的贷款啊，其实就很难控制了啊，当然你说一个正常的用户，他说要用他才用，是吧？但是如果 是一个有恶意的黑客呢？他根本就用不了，但是他就说要给我保留，那怎么样？我们的核心网络中啊，就算是现在用四十 g 一 百 g 这样的链路， 哪经得住这样的一个保留呢？是吧？我们譬如说下面每个接入用户现在都宽带接入一百兆了，那你一个用户，你说我要保留一百兆， 那么十个用户就是一个 g 了，一百个用户呢，是吧？一千个用户呢啊？我们的骨干网，你这个贷款再多啊，它也不够用了， 是不是啊？这个就是有一个信任界面的一个问题啊，那么当然啊，呃，当时提出这个模型来的时候，那么我们不是要有一个保留吗？那么这时候呢？其实 i e t f 啊，呃，专门开发了一个协议的，叫做 r s v p 这个协议啊， 那么当然这个模型最后应该说是并不成功啊，所以当前啊，我们基本上是网络中啊，是没有这个，呃，没有这个模型来用的啊，没有这个 qs 模型的，但是 isvp 这个协议呢， 一开始相当于就是开发出来之后也没人用啊，但是后来啊，它被用在了另外一个地方啊，就是 n p i s 的 流量工程上面，哎，大家发现了这个协议啊，然后做了一个简单的改造之后在 n p i s t e 里面啊，它又重新复出了，相当于啊，那么作为 作为，作为，作为最基本的一个 i s v p 协议，其实在现实网络中啊，基本上没有出现好。那么最后呢，我们来看，我们叫 区分服务模型的，这个这个这个 q s 模型，那么区分服务模型呢？呃，在英语啊，就是那个 differentiate 的 service 啊，就说是相当于 将不同的通信流量啊，划成不同的等级，或者说划成不同的流量的分类，然后呢，对不同的分类啊，提供不同的服务质量 啊，服务质量保证啊，这个就是我们的区分服务模型啊，也叫叉分服务模型，是吧？这个是翻译上的问题啊，那么这种方式呢，其实是当前用的最广泛的啊，因为 我们的区分服务模型怎么样，他就不是按照你这个绘画的数量来进行划分的了，而是怎么样，不管你有几种绘画，我反正就是说给你几个框 啊，就说几个等级，那么现在最常见的啊，是八个等级啊，画八个等级，那么当然啊，我们的 ip 里面也有划成六十四个 呃流量分类的啊，那么，呃，不管怎么着，他肯定是一个有限数量的啊，有限数量的一个分等级，而不是说是这个绘画书啊，绘画书就是那就那就那就成千上万是吧？没法控制了啊。那么用这个有限数量的绘画等级之后，然后怎么样 优先的啊？先发送，而且每一个等级呢？你可以限一个等级啊，把它限制住，他是优先发送的，那他如果流量无限上去怎么办呢？那么怎么样？我给他限一个啊，譬如说他只能用百分之十的贷款，这一百兆的里面他只能用十兆 啊，那这个就是我们的一个叉分符模型，那么叉分符模型其实是我们当前啊真正能用的，那么一般来说啊，他去真正的用起来的时候，他是怎么弄的呢啊？首先在就说我们的用户的接入点啊， 就是我们叉分服务模型啊，划成一个域的话，就是这个域的节点，那么一般来说啊，我们这里有一个性能边界啊，就是说这里是属于性能边界，就说你这边的设备啊， 我是不信任你的。那么怎么样，你真正的进来是什么样的流量？我在这里啊，要重新进行过一个筛选 啊，那么筛选完之后呢，针对不同的流量啊，分配不同的等级啊，还完等级之后呢，后面啊，转发的时候，包括他自己啊，转发的时候根据不同的等级啊，分配他不同的贷款啊，不同的优先级啊，进行一个转发是吧？ 好，然后呢，当然啊，转发的时候也是可以有一些队列调度是吧？队列调度就是说究竟是谁先转发还是谁后转发啊？用这些东西啊， 那么三种服务模型啊，我们就讲完了，那么这三种服务模型呢？我们最后可以来对比一下啊，那么尽力而为的模型啊，尽力而为，刚才我们已经也看了啊，怎么样，它其实什么都不做是吧？啊，它的实现机制简单是吧？ f i f o 啊，刚才也说了， 它的模型就是 f i f o 啊，先进先出，然后呢，是伪丢弃啊，伪丢弃，伪丢弃。那么缺点呢，对不同业务流不能进行区分区别。对，对啊，就是说你其实是重要的和不重要的都是 同样处理，是吧，那么综合服务模型呢？当然啊，这是一个理想化的模型是吧，那么当然本来是可以提供端到端的啊，如果真的做起来，能够提供端到端的 q s 保证，但是 它不具有扩展性是吧？啊，所以呢，在现实中啊，基本上没有用。那么另外呢，就是一个叉分服务模型， 那么叉分服务模型呢，是当前啊，我们这个网络中真正在部署的啊，那么他是其实是对我们的业务流量啊， 分级是吧，然后呢，对不同的等级采用不同的这个处理方式，那么总的来说啊，叉分服务模型，他在总的来说，他如果是要丢包的话，他还是得丢，但是呢，他是能够保证重要流量不丢啊，就是这种方式好， 那么这门课的最后啊，我们是有一个思考题啊，第一个 q s 服务模型是以下哪几种啊？那么我们前面那一页刚刚有啊，一个是怎么样？ best effort 啊？ 呃，第二个呢，是 integrated service 是 吧？综合服务模式，或者说基层服务模型，还有一个呢，就是 differentiated service， 就是 差分服务模式，或者说区分服务模型啊，好，那么 第二个呢，思考题是影响网络通信质量的因素包括哪几种？其实就是我们网络质量其实是从哪几个指标来衡量的是吧？哪几个指标？ 贷宽啊，那么我们前面讲过，贷宽是最基本啊，也是最重要的一个指标是吧？一般来说贷宽这个问题解决了，那么后面的 qs 问题啊，其实基本上，呃，都不是什么大问题了啊。 好，那么第二个问题是什么呀？延迟啊，就是 delay 是 吧？第三个是抖动是吧？第四个是丢包啊，我们关于 qs 的 基本概念啊，然后呢？包括它的基本指标， 然后呢？我们的 qs 的 参考模型啊，几个参考模型我们就先讲解到这里，感谢大家学习本章节，我们下次再见。

今天告诉你一个颠覆认知的科技真相，你家的网络卡顿，百分之九十和宽带无关。很多人以为网速慢是因为宽带小，于是升级千兆宽带，结果依然卡顿。真相是，网络不稳定的核心问题 从来不是怠宽，而是延迟、丢包、抖动和拥塞。怠宽决定你能跑多快，但稳定性决定你能不能跑完。就像高速公路，哪怕八车道，只要前方事故频发，车流照样瘫痪。丢包是指数据包在传输途中消失，原因很多， 无线信号干扰路由器缓冲区，易出网线老化，甚至雷电天气。对普通网页浏览丢一两个包影响不大。但对实时音视频、在线游戏远程控制丢包直接导致卡顿、花屏、操作失灵。更致命的是， tcp 协议遇到丢包会自动降速， 以为网络拥堵，于是大幅减少发送速率，导致越卡越慢、越慢越卡的恶性循环。抖动是指数据包到达时间间隔不一致，理想情况下每二十毫秒来一帧语音包，但网络抖动时可能五毫秒来一个，然后五十毫秒不来接收端只能等最晚的那个， 否则声音断断续续，于是被迫加抖动缓冲区。但这又增加了整体延迟，视频会议里你说完三秒我才听到，往往就是抖动惹的祸。 现代网络稳定，靠的不是硬件堆砌，而是协议层的智能调控。 tcp 内置一套精密的庸色控制机制，它用慢启动试探网络容量，开始只发少量数据，每收到一个确认就多发一点，一旦发现丢包视为庸色信号， 立刻将发送速率砍办，进入庸色，避免阶段缓慢爬升，避免再次冲击网络。这套算法让互联网在无中心调度的情况下，依然能自我调节，避免再次冲击网络。这套算法让互联网在无中心调度的情况下，依然能自我调节，避免再次冲击网络。这套算法让互联网在无中心调度， 且把所有丢包都当成庸色，而实际上，无线丢包未必是庸色导致，这就需要更高级的优化。家庭或企业路由器不只是转发数据，更是流量的交通警察。传统路由器用先进先出，对列缓 冲区一满就丢新包，导致突发流量，引发大量丢包，触发 t c p 误判，全区降速。现代高端设备采用主动对列管理，比如随机检测策略，当对列快满时，提前随机丢掉部分包， 向发送方发出减速信号，避免缓冲区彻底爆满，这能显出降低延迟和抖动，尤其对实时业务置关重要。家用网络最大的不稳定缘其实是无线。无线信号受墙体、微波炉、邻居 wifi 干扰， 信道质量瞬息万变。很多老旧路由器还在用固定信道，一旦被干扰就持续卡顿。解决方案有三个，一是起用自动信道选择，让路由器动态挑最干净的频段。二是开启拨数成型技术，把信号集中对准你的设备，提升信噪比。 三十优先使用五级赫兹频段，虽然穿强弱，但干扰少、数率高，适合近距离高速传输。稳定网络不仅是基础设施的事，终端和应用也必须配合。比如视频会议软件应支持前向纠错，多发一些荣誉数据，即使丢几个包也能还原画面，避免重传带来的延迟。 游戏客户端应采用预测回滚机制，本地先响应操作，等服务器确认后再修正掩盖网络延迟操作。系统层面，可启动低延迟模式，减少音频视频缓冲，牺牲一点容错换流畅体验。你不需要懂所有原理， 但可以做几件关键小事，第一，把关键设备用网线直连路由器，有线连接几乎零抖动、零丢包，成本最低，效果最好。 第二，定期重启，路由器长时间运行会积累内存碎片，连接表膨胀，重启能清空状态，恢复性能。第三，关闭不用的后台下载和云同步，它们会偷偷占满上行待宽，导致语音视频上传卡顿。第四，升级支持服务质量功能的路由器， 它能识别视频、游戏流量，优先转发，保障体验。网络稳定不是靠运气，而是靠对延迟、丢包、抖动庸色的系统性治理。 从协议算法到硬件配置，从无线调优到用用适配，每一环都决定你能否流畅上网。理解这些底层逻辑，你才能真正掌控自己的数字生活。硬核网络稳定才是真速度。

产品线的杨立明很高兴，今天给大家讲解一下五 g 的 空口协议站这一块，那我们会从两部分去介绍，首先就是介绍一下五 g 的 一些网络接口有哪些，还有就是我们重点是放到五 g 的 空口的一个协议站上去， 那接下来我们先来看一下第一部分就是五 g 的 网络接口啊，在正式讲五 g 的 网络接口之前的话呢，我们还是先来回顾一下大家比较熟悉的四 g 网络接口 啊。四 g 的 网络架构的话呢，在最末端就是一个手机，假如说手机有一个微信的图片需要网上传输的话呢，他首先会把这个数据包封装完之后，通过空中接口就是优优接口发给基站这块所使用的这个物理的戒指就是电磁波 基站在收到这个微信的图片之后呢，当然也会往后继续转发，转发给吓一跳。就是 s g w， s d w 之间和这个接站之间的接口的话呢，我们一般叫它 s e 杠 u 接口， s e 杠 u 接口，然后呢 s d w 收到数据之后呢，会往下一步去传输啊，就到了一个 p d n 网关，叫 p d n 这个 g w 啊，一般我们简称 p g w， 它这个 p w 和 s 四 g w 之间的接口，一般我们会用 s 五接口，那 p w 收到这个数据之后呢，下一步就到了，比如说你发的微信图片就到了腾讯的服务器上去了，那这是一个啊，用户面的一个数据， 那除了用户面以外的话呢，我们可以看到上面还有很多的虚线，虚线这个虚线的话呢，指的是控制面的信令，信令，比如说我一个手机想接入的话呢，我可能啊想发一个信令，比如说我刚开始开机的时候，我可能要到核心网先注册一下 啊，注册的时候呢，就会发些信令，那手机的话呢，当然也会通过基站啊，转给核心网的 m e m e 的 话呢，可能会对手机做一些健全，查一下手机的开户信息，他可能会找到 h s s， 那这时的话呢，都会经过一些接口，经过一些接口，那四 g 中比较常用的接口就是 s a 杠 c 接口啊， s 六接口，那 m b 的 话呢，可能有时候需要通知这个 s d w 啊，做一些建立承载了，或者修改承载的这些请求，它会通过 s 十一接口这样一个接口去通知 s d w。 当 s g w 和 p m 之间可能也需要去传输一些信令，他们可能会使用到 s 五接口， s 五接口，但有时候我们可能会做一些计费和策略的一些变更，我们可能会在 p c r f 上做一些策略，那 p c r f 的 话呢，会通过 g 叉接口来找到 p w， 会交互一些这种计费的一些信息。 那这个的话呢，就是整个四 g 的 一个网络架构，网络架构，当然我对于我们无线来讲的话呢，可能最重要的就是空口这一块，空口这一块以及和基站相关联的一些接口，比如 se 接口这几个接口。 那五 g 的 话呢，网络架构啊做了一些变化，当然我们也会把这个总体架构分为两部分啊，第一部分就是五 g 的 核心网，五 g 的 核心网我们一般叫它 ngc， ngc 这个就类似于我们一般把四 g 的 核心网叫做 epc 啊，一样五 g 的 接入网这一块我一般叫它 ngran， ngc 就是 无线接入网 ngc 啊 啊， n g 砖里面主要包含的这个设备的话就是基站了。基站，那五 g 的 基站的话呢，它叫 g 脑的 b， g 脑的 b， 四 g 的 话呢，叫 e 脑的 b， 这点可能基站名字可能不太一样啊。核心网的话呢，包含的设备比较多，比较多，比如说常用的就是 amf 和 upf， 还有一些其他的一些网源，我们嗯简单就是列两个，那网源的话呢，和网源之间交互的时候也需要一些接口 接口，比如说我们，呃基站到核心网的接口的话呢，我们这个接口的话呢，叫它 n g 接口， n g 接口，它就是接入网到核心网的一个接口，那手机和基站的接口的话呢，这个和四 g 一 样啊，也是用 u u 接口 u u 接口， 还有就是基站与基站之间的接口，我们也定义了叫它叉 n 接口，叉 n 接口，这个就类似于我们四 g 里面啊，英朗的 b 和英朗 d 之间的接口，叫它叉二接口。五 g 的 话呢，不叫叉二，叫叉 n 接口，叉 n 接口， 这是整体的一个一个架构。那刚才我们讲到这个核心网，那核心网里面主要设备比较多，这边列了三个， 也给大家做了一个介绍，比如说 amf， 它的功能是干嘛呢？它主要是做一些移动性管理的一些策略的，比如说做一些健全了加密或者是位置更新这样一个管理，类似于之前 mme 的 一个移动性管理的一块功能。 还有就是 u p f u p f u p f 的 话啊，你看它这个名字啊，就知道它是一个用户面的处理用户面的一个数据的，它不处理信令的，不处理信令，那 u p f 的 话呢，主要是做一些转接的数据包的一个转发的转发的， 那还有个网页比较重要，就是 smf， smf 的 话呢，就是一个绘画管理的，绘画管理比如说我这个数据包在发的时候，手机接入之后肯定要有一个 ip 地址，手机 ip 地址的分配的话呢，在我们五 g 里面就是 smf 来分配的， smf 分 配的 当然还有其他一些功能，一些功能我们这边的话呢，就不一一去介绍了，以后的课程里面会有这个相关的介绍。 这是核心网的功能啊， ngc 的 功能，除了 ngc 以外。呃，我们知道网五 g 的 网络架构里面还有个就是接入网这一块啊，接入网这块主要就是一个基站，基站基站就是机囊的。 b， 那 我们手机和基站之间的接口的话呢，五 g 里面也叫空中接口，叫 uu 接口，这个接口的话呢，因为使用的是电磁波来进行传输的，所以的话呢，因为使用的是电磁波来进行传输的，所以的话呢，在数据传输的时候肯定是需要一些机制来保证数据的一个传输的安全性的， 那我们怎么去保证这个这种安全和准确性呢？这个和四 g 类似，也是有一套协议站来保护的，所以我们接下来去看一下五 g 的 空口这一块有到底有哪些这个协议站。

五十条一百兆的上行宽带，目标叠加到一千一百兆上行宽带覆盖均衡策略，路由宽带叠加。 我在核心机房熬了两天一夜，全都不行。交付当天，甲方老板、技术总监、业务总监六只眼睛盯着我。 还剩下两个小时公司就要开始办公，没有纠结，虽然手心全是汗，但敲命令的手没抖，然后测速指数直接拉满一千一百三十一 mbps。 这个网络项目我亮亮哥扛下来了。 二十多年的网络技术生涯，高压、疲惫、满足是我们这些技术佬的日常。这种新建的公司全网搭建项目从零到一，我闭着眼都能画出拓谱。 但说实话，每次实施最费心的反而不是技术本身。从实地了解需求到网络架构设计、网络设备的选型，最后落地上线。 虽然早已习惯轻车熟路，可是在实施过程中出现的意外问题还是叫人费心。综合布线里，网线线路如何走？网线桥架搭的稳不稳？漂不漂亮？每一根网 现能不能过福禄克测试？机房里的供电稳不稳？有没有接地空开、漏电保护防雷这些高危险的电源保护到不到位， 机房的散热湿度达不达标，静电地板质量好不好，能不能承受住？每个机柜里所有设备的重量等等等等，都要小心检查核实，还有人员安全保险要买上，还要每天都在现场盯着。 网络技术只能算项目成功的最后一步，好缩回技术。整个网络架构不复杂，飞塔一千 f 作为互联网出口设备，连接五十条宽带，通过幺零零 g 光模块与华为核心交换机幺二七零八级连 接入成交换机华为的 s 五千七百三十二，通过核心交换机幺零零 g 拆分的二十五 g 光口集连 无线网络，使用 rakers 无线架构，最低一千两百无线控制器加二七五零无线 ap， 能把五十条宽带的上行叠加到一千一百三十一 mbps， 就是 这台飞塔一千 f 防火墙的功劳。 作为数据中心高端防火墙扩展性强悍，端口非常丰富，多种接口多种速率，上到幺零零 g 下到千兆，想怎么扩都没有问题， 性能更是炸裂，在不开任何安全功能的情况下，防火墙的吞吐量能达到大包幺九八 g， 小 包幺三四 g 的 恐怖性能。 tcp 并发绘画七点五 million， 也就是说能够稳定维持七百五十万个独立的 tcp 连接。 新建 tcp 绘画每秒六十五万条。什么概念？就这一台设备，哪怕同一时间所有员工同时刷短视频、开直播、传文件，它的连接表都占不满。 有了这么强的互联网出口设备，核心交换机也不能拉跨。华为的 s 幺二七零八核心交换机硬件配置，两块主控板融于热备，一块六口幺零零 g 光口板卡，再加一块四十八口万兆光口板卡，八个业务板朝位只用了四个。 未来一零年扩容不用担心整机交换容量二十七点零四 t b p s。 包转发率九千一百二十万包，每秒二十七点零四 t b p s。 什么概念？相当于二十七家一千人的公司，所有员工同时用千兆跑满，下载 上传视频、会议全开，这台交换机还能从容应对，一点都不卡。接入层交换机分别使用二款，型号是五千七百三十二，这款交换机用来连接电脑，公司配置的电脑都支持二点五 g 网口，所以这款交换机选择了四十八口二点五 g 以太网、 四个二十五 g 光口，以及两个四十 g 和两个幺零零 g 的 组合。另外一款 s 五千七百三十一，用来接 rax 的 无线控制器和无线 ap， 这款交换机最高支持十 g 以太网口，向下兼容五 g 二点五 g 一 千 m 频率，并有 poe 加加供电，拉满 r 七五零无线 ap 性能。主网设备的参数介绍到这，下面就是最后一步，配通整个网络。先来配置核心交换机起微澜， 配各个微烂的 ip 地址及 dhcp 服务，再把五个幺零零 g 光口拆分为二十个二十五 g 光口，每个幺零零 g 光口拆分四个二十五 g 光口及连道 接入层交换机，并打创可，最后走一条默认路由，从最后一个幺零零 g 光口直到飞塔一千 f 防护墙烂口搞定。 接入层交换机更简单，按照规划把端口划分到对应的危烂里。 二十五 g 级联合型交换机光口打创可基本十分钟一台。 ras 的 无线控制器配置也超级简单，甲方要求就一个无线信号，就在 sd 一 千两百里配置好无线信号名称及密码，再把对应的微澜配置到无线信号里， 剩下的就把 r 七五零接到无线网络专用的 s 五千七百三十一交换机上，等待 ap 加入，发出无线信号就成了。最后就是难度最大的飞塔防火墙配置， 不能给大伙演示如何配置，因为有大量的防火墙策略，涉及公司机密，只能说个流程，防火墙烂口配置 ip 地址，与核心交换机做路由，按照甲方的要求配置访问控制，保证内部网络安全。访问 大布兰口的五十条宽带，通过交换机基连做微慢拨号，通过 sd 减 one 和流量控制做宽带分流和叠加。对特殊的内部流量开启安全防护功能，如反病毒 web 过滤、 dns 过滤、文件过滤等等。 对外开放的服务器也需要做零信任网络访问策略，保证服务器的安全。这次的项目最难的地方在于如何把五十条宽带的上行宽带做叠加，经过一天一通宵完成对甲方的承诺。 这种高压、高强度、耗脑力的环境，像不像咱们考 c c i e 的 时候，当项目顺利上线，疲惫地走到楼下早餐店，一碗白粥，一碟肠粉，慢慢吃，慢慢放松下来，会有那么一丝莫名其妙的满足感。 一个人配置一个大型网络项目，就是我们这些网络老司机的宿命，也是唯一值得骄傲的地方。

如何逼自己一周学完防火墙系列防火墙核心知识包括掌握华为防火墙安全区域状态检测与绘画机制，能配置安全策略那等。理解双击热备原理，具备 d d 二次攻击防范 基础运维与故障排查能力，满足企业边界安全部署与可能性要求。我这里有网工必备的入门学习资料，焊工具包，起码能让你少走两年半弯路，想要的同学敲六六六，带走防我缠的安全策略主要的基本概念， 那防我缠的安全策略，它主要的作用是去控制防我缠对流量的转发，以及对流量进行一些内容安全一体化的检测策略。 当咱们把我才收到流量之后呢，我们会去对这个流量的五元组信息进行一个识别，识别之后再跟一些安全策略的条件进行一个匹配啊，匹配完了之后再去执行对应的执行动作。 比如我们的我们的最基础的安全策略，实际上也是在里面去写一些五元组的信息，那么现在假如我们想要去实现这个 trans 去的幺九二零幺六八零一零点零访问 trans 去， 那么这个时候呢，你就得在这个安全的这么一个安全字里面去写上对应的这个五元组信息。比如说元是幺九零六八零一零点零，目的 ip 无所谓 啊 and 用户呢？是这个办公区的用户啊，时间点以及你的执行动作，我们这些东西都是可以去定义的， 那么当我们这一些参数定义完成之后，那么也就意味着只有你的办公区可以去防空网，而你的研发区二零网站没有在这个安全策略里面的话，没有匹配安全策略，你就不能够去防空网啊， 这就是咱们安全策略的一个作用啊。在咱们去初学的时候，实际上你可以去把这个安全策略，你可以把它理解为 excel， 但是它的写法跟 excel 有 点不一样啊，我们可以自己去写一下，给大家准备了一份网工技术学习的资料包，那这个资料包当中呢？ 包含了咱们华为认证课程，包括 i a 加 ip 加 i e 的 实验拓谱以及网工的工具包。比如说我们在上节课做了一个实验啊， 我们把这个设备的安全区已经配好了，我刚刚把 g e 杠零杠 e 接口也划到了叉 s 区，现在我们把它改回来， 我们把这个 g 一 加零点一接口还是给它划分到 d m g 区域去啊，然后 trance 先把它从 trance 区域给移除掉， g 一 加零点零，按住 trance 的 安度， i 的 in the face g 一 加零点零， i 的 in the face g 一 加零点零，我们把它再加到 d m g 区域去。 那么加进去之后呢？默认框下面，我们发现这这两个 pc 肯定是通不了的，因为属于不同的安全区域。好，现在假如我们想让这个 pc 一 能够去访问这个 server 一 怎么办呢？我们就需要在 防火墙里面去加安全策略。所以说我们去做互访的时候，第一步将接口加到安全区，第二步就是需要去干嘛呢？去配置安全策略，去配置安全策略。安全策略怎么配？进入到我们的防火墙的这个 security policy 里面啊？叫做安全策略，这个名字叫做安全策略， 回车，在这里去创建我们的安全车，如果那样，这不就跟我们写 a、 c、 l 一 样吗？先写一个规则吗？然后规则这里面要给他去命名，他没有对应的编号的给他命名 啊，比如说我命的名字就是我现在想让 chris 去去访问 d m g 区啊，那我命的名字 chris 的 到 d m g 啊。回车，好，那么怎么写呢？ 这里面写法很简单，首先我们得知道 pc 一 访问 server 一 的原区域是谁？ 流量是这样走的，原安全区是 trust 的， 目的安全区是 dmz， 在 这里面你一定要去定义好原安全区域和目的安全区 啊，我们的原安全处众先定义原安全区叫做 trust 区，再去定义目标安全区是 d m g 区，就是你这个流量要从哪个区域流向哪个区。我们现在是由 trust 的 流向 d m g 啊， 那么流向 d m g 以后呢？后续怎么做呢？我们再去这里边定义原木 ip 地址， sos 和 jos 原 ip 是 多少？幺七二点幺六点二点零网的好，那这里边我们就直接写严码就好了啊，没有什么反严码直接说啊。然后呢，目的地址就是幺七二点幺六点一点零二十， 那这样我们就定义好了，现在我们允许原安宁区里边的幺七二零幺六点二零零去访问目的地安宁区里面的幺七二零幺六点一零点零这个网站啊，好，在这里面呢，实际上我们在这里就去定义了对应的啊，五元组里面其中的四元组信息， 对吧？好，然后第五元组是什么呢？你就是配置你的服务类型呗，现在我们想让 pce 能够去拼通，那就可以了，其他服返不了。那你就在这里写什么呢？ apple s n p 就 发行这种拼的流量就可以了。 好的，是，对的，是好像这样的话，我们的五元组信息啊，就定义好了，这就是五元组信息， 这个就是五元 m m i p 端口号没有端口号不用写啊，端口号不写，因为这个是 s m p 里面他没有端口啊，以及我们的协议号已经写好了，对吧？好，咦，这里边有什么呢？这里边有我们的原木区域，这里是一定要定义的， 一定要去定义流量的原安全区和目的安全区啊。然后在后面他写了，你没有去配置 action， 没配动作，我们需要去配一个动作， action 就 两个动作，一个 permit， 一个 deny， 我 们允许他访问一个 permit。 啊，这就是我的安全策略的写法。 好，这个二零四最终是定的什么呢？叉子区的幺七二零幺六点二零零，能够去访问安全，去访问 d m g 区的幺七二零幺六点幺零零，并且只能去干嘛？只能去拼通他，只能拼通他，好吧，其他的服务可能挡不了 啊。那么在这个时候我们再去试试一下啊，你会发现这两台设备又可以通了，因为我们配置的对应的安全策略。 ok， 这就是咱们安全策略的一个写法。安全策略的一个写法。好，然后呢，我们再回过头来看啊，那我们的安全策略的组成，他就有很多个方面去组成的。第一个你的匹配条件， 你的匹配条件就是你那个五元组信息啊，他除了五元组信息，实际上他还可以匹配很多东西啊，你可以匹配原木安全区，对吧？以及什么呢？你的用户实际上就是谁谁 用哪个账号登到这个网络里面，实际上你这个东西也可以去定义的好吧？以及对你的服务和应用时间段， 以及你的这个微博的网址，这个都可以去定义。好的啊，那么定义好了我们的匹配条件之后呢？啊，我们可以去 配置我们的匹配动作，就匹配好对应的条件，我到底是允许他通过还是禁止他通过，对吧？如果允许他通过之后，我们如果在 防火墙上面配置的安全配置文件，这些其实就是一些防病毒的一些东西，比如说你可以去配置防病毒啦、入侵防御啦、文件过滤啦、幺二幺过滤啦、内容过滤啦、应用行为过滤啊，这些动作你都可以去配， 就是我允许这个流量通过，但是你也得经过我这一系列的检测之后，我认为你是一个安全的流量，你才能够去互反。 如果说你没有去配这些参数，那默认就给你进行互反了啊。我们在防火墙的微博界面，实际上这一块东西是比较明显的啊，这就是安全策略的组成， 那么我们配了这个安全策略之后，我们刚也看到了，实际上就已经实现了什么终端之间的一个互反。 trust 可以 访问 d m g 了，但是啊，在防火墙里边，你再回过头，你拿 d m g 去访问 trust 的， 实际上就访问不了了。 dmg 去防叉是怎么防？比如你要去拼幺七二点、幺六点二点二，就是现在拿这个 siri 一 去拼 pce， 你 去发送十个包，你会发现它就防不了拼是拼不通的， 拼不通的失败。为什么呢？因为我们刚定的这个安全策略是什么呢？是原安全区，是叉的目的，安全区是 dmg 的，是这一块访问这边的流量， 我们只能去，在这里面我们只能去定一种单向访问，单向的访问，如果说你要去让双向进行访问的话，那么这时候你还需要去写干净之类来放行 d m g 去访问叉的流量， 现在 c o e 肯定是拼不通这个 p c e 的， 如果说咱们想让它拼通怎么办？再去写干净之类，如果那样 d m g 然后到叉原按进去抱住，那么就 d m g。 目的安进去，这个时候你是点这房串的目的安进去是串死原 ip 地址，他就写幺七二点幺六点一零点零二四，目的 ip 地址就写幺七二点幺六点二零点零 二四。然后呢，咱们把这个服务整体放行一下。 action， 注意啊，一定要写它的动词啊， 通过这样的一个配置，再让 d m g。 能够去访问 trust， 这种就是双向互访的，你得去定义两个安全策略，这时候你再拿 c o e 去拼一下，再去拼测一下啊，你就发现这里面就拼通了，已经拼通了啊， 所以我们防火墙在放行流量的时候，单向流量放行，但是并不是说我，我 p c e 能主动去访问 c o e， 我 放行的是 trust 的 话，你不能够怎么样反向的来访问我 啊？你想要去主动的拿 siri 去仿 pc， 你 再去定一个 dmc 到安到 touch 的 一个安全策略啊，这是咱们的一个基本的安全策略的配置啊。那么后续啊， 无论什么产品，无论什么流量，我们都需要去考虑到是否安全策略有放行。 ok， 那 么安全策略这一个 这部分内容呢？我们就先讲到这里啊，先讲到这里，然后面我们再去看一些防火墙的绘画表象，以及它的作用是怎样的。

随着网络技术的发展，实时会议、高清视频等新业务对代宽实验的要求越来越高。当上述业务流量在有限的代宽上进行传输时，可能会出现庸涩、丢包等一系列问题。 同时用户已不再满足能简单的将业务流量送达目的地，而希望在投递过程中获得更好的服务，诸如获取专用宽带、管理和避免网络拥塞等。 qs 正是为了解决这些问题而出现的。 qs 针对各种业务或者不同用户的需求，为其提供端到端的服务质量保证。在公司网络中，经常需 需要优先保证部门主管及经理等人的网络服务质量。如何才能实现呢？要解决这个问题很简单， q 中基于流分类的流量监管就可以实现。 首先通过 cos 中的流分类对豹纹进行区分，在针对已经区分过的豹纹做不同的处理，这样就能对共享宽带的不同用户提供差分服务。 交换机配置了基于流分类的流量监管后，首先根据 mark 地址或者 ip 地址等对到达的豹纹进行分类，识别出主管豹纹和员工豹纹。然后通过配置流量监管，使主管豹纹以较高的速率在网络上传输， 员工报文以较低的速率在网上传输。这样就可以优先保证主管上网的贷款。网络中 配置了基于流分类的流量监管以后，的确保证了主管上网的代宽。但是在员工使用网络时，经常会出现视频连接不上、通话中断等问题，这是为什么呢？ 这是由于员工的贷款被限制到一个较小值，当员工使用视频会议、 v、 o、 i、 p 等对贷款要求比较高的业务时，会因为贷款不足导致业务流量庸涩，进而产生丢包。要解决这个问题也非常简单。 q 是里面的佣色管理和佣色避免就可以解决。交换机实现佣色管理和佣色避免时，首先要对豹纹进行优先级映射。 既进入设备的豹纹，可以将八零二幺 p 或者 d、 s、 c、 p 优先级等映射为设备的本地优先级，并为豹纹标记 红、黄、绿三种不同的颜色。根据优先级的高低顺序，本地优先级包括以下几种 完成优先级映射后，设备根据豹纹的本地优先级将其放入不同的队列。 当前，华为交换机支持八个端口队列，豹纹根据本地优先级进入不同的队列后，通过队列调度算法实现佣色管理，解决网络佣色问题。 队列调度算法有很多，主要有 p q 调度、 w r 调度、 d r 调度、 w f q 调度等，用户可根据自己的需要进行选择。前面我们讲到在进行优先级映射时，还提到设备可以对 豹纹进行颜色标记，在产生庸色时，根据豹纹颜色进行丢弃。比如用户可以配置在网络流量达到一定预值时，对某类颜色豹纹全部或者部分丢弃。 我们以网络中从事存在的数据和视频报文为例，来详细看一下用色管理和用色避免。 假设数据报文的本地优先级为 b、 e， 将进入低优先级队列，并标记为红色 视频报文的本地优先级为 a、 f， 将进入高优先级队列，并标记为绿色。这样设备将优先发送高优先级队列中的视频报文。 另外，当网络中存在大量豹纹时，将标记为红色的数据豹纹进行部分丢弃，减轻网络的拥色。这样通过 拥测管理和拥测，避免保证网络中对实验敏感的业务能够得到更高质量的 q s 服务。好了，今天主要介绍了 q s 的基本知识，想要了解更多华为 s 系列交换机 q s 特性，请登录 enterprise dot 华为 dot com， 谢谢你们的收看。