图 41. 以太网数据帧
|
•
|
TPID:标签协议标识符从第 12 个字节开始(6 个字节的目标字段和 6 个字节的源字段之后),长度为 2 个字节,标签的流量的以太网类型为 0x8100。
|
|
•
|
802.1p:TCI(标签控制信息 – 从第 14 个字节开始,长度为两个字节)的前三位定义了用户优先级,总共为八个 (2^3) 优先级。IEEE 802.1p 定义了这三个用户优先级位的操作。
|
|
•
|
CFI:规范格式指示器是只有一位的标志,对于以太网交换机,它始终设置为零。CFI 用于以太网网络和令牌环网之间的兼容性原因。如果在以太网端口接收的帧其 CFI 设置为 1,则不应将该帧转发到未标签的端口。
|
|
•
|
VLAN ID:VLAN ID(在 14 个字节中从第 5 个字节开始)是 VLAN 的标识。它拥有 12 位,且允许 4,096 (2^12) 个唯一的 VLAN ID 标识。对于 4,096 个可用的 ID,ID 0 用于标识帧优先级,ID 4,095 (FFF) 已保留,因此可用的最大 VLAN 配置为 4,094。
|
通过启用想要处理 802.1p 标记的接口上的 802.1p 标签即可启动 802.1p 支持。可在任何 SonicWALL 设备上的任何以太网端口上启用 802.1p。
带有这些标签的 802.1p 字段的行为由访问规则控制。默认 802.1p 访问规则操作无会将现有 802.1p 标签重置为 0,除非使用了其他配置(如需详细信息,请参见管理 QoS 标记 )。
802.1p 标签只能根据访问规则插入,因此在使用了默认设置的接口上启用 802.1p 标记不会中断与不支持 802.1p 的设备的通信。
802.1p 需要您想要对其使用优先级方法的网络设备的特定支持。通过 IP 的很多音频和视频设备都提供了对 802.1p 的支持,但必须将该功能启用。如果对该功能不确定,请检查您的设备文档,查看相关的 802.1p 支持信息。很多服务器和主机网卡 (NIC) 同样也提供了对 802.1p 的支持,但默认情况下该功能通常处于禁用状态。在 Win32 操作系统中,您可以在网卡的属性页面上的高级选项卡上检查和配置 802.1p 设置。如果您的网卡支持 802.1p,将会列出802.1p QoS、802.1p 支持、QoS 数据包标签或一些类似选项:
在继续管理 QoS 标记 之前,先介绍“DSCP 标记”很重要,因为两种标记方法之间存在潜在的相关性,也需要解释一下为何存在相关性。
图 42. DSCP 标记:示例场景
在以上的情形中,我们通过 IPsec VPN 将远程站点 1 连接到“主站点”。公司使用支持内部 802.1p/DSCP 的 VoIP 电话系统,并在主站点上托管了一个专用 VoIP 信号服务器。主站点使用千兆和快速以太网混合型基础结构,远程站点 1 均为快速以太网。两个站点均使用支持 802.1p 的交换机进行内部流量的优先级排列。
|
a
|
因此关键的 802.1p 优先级信息将如何通过 VPN/WAN 链路从主站点 LAN 传输到远程站点 LAN?通过使用 QoS 映射。
在以上的情形中,主站点的防火墙为 VoIP 数据包以及封装 ESP 数据包分配 DSCP 标签(例如值 48),以便能够在 WAN 应用第 3 层 QoS。通过保留现有 DSCP 标签或从 802.1p 标签(如果存在)映射值可完成分配。如果 VoIP 数据包到达链路的另一端,接收数据包的 SonicWALL 将遍历映射过程,同时会将 DSCP 标签映射到 802.1p 标签。
图 43. DSCP 标记:IP 数据包
上图说明了 IP 数据包,在标头的 ToS 部分拥有结束标记。ToS 位最初用于优先级和 ToS(延迟、吞吐量、可靠性和成本)设置,但之后 RFC2474 又将其用于用途更广的 DSCP 设置。
下表显示了常用的代码点,以及它们向旧优先级和 ToS 设置的映射。
|
5 (CRITIC/ECP1 – 101) |
|||
如果出现此类现象(例如低优先级流量过分重传),推荐您为高优先级和低优先级流量类创建单独的 VPN 策略。通过将高优先级主机(例如 VoIP 网络)置于各自的子网中可轻松完成。
图 44. QoS 映射
例如,根据默认表,值为 2 的 802.1p 标签将出站映射到值为 16 的 DSCP,DSCP 标签 43 将入站映射到 802.1 值 5。
这些映射中的每一个都可以重新配置。如果想要将出站映射 802.1p 标签 4 从 DSCP 默认值 32 更改为 DSCP 值 43,则可以单击 4 – 可控负载的配置图标,然后从下拉框中选择新至 DSCP值:
您可以单击重置 QoS 设置按钮,以恢复默认映射。
可在管理界面的防火墙 > 访问规则页面下的 QoS 选项卡中配置 QoS 标记。SonicOS 访问规则管理的 802.1p 和 DSCP 标记提供了 4 种操作:无、保留、显式和映射。默认 DSCP 操作为保留,默认 802.1p 操作为无。
|
如果该类流量的目标接口是 VLAN 子接口,802.1q 标签的 802.1p 部分将显式设置为 0。如果该类流量指定用于 VLAN 且使用 802.1p 进行优先级排序,则应使用保留、显式或映射对此类流量定义特定的访问规则。 |
|||
|
如果 802.1p 或 DSCP 操作设置为显式,而另一个设置为映射,将先进行显式分配,然后根据该分配映射另一个。 |
|||
|
在防火墙 > QoS 映射页面定义的映射设置将用于从 DSCP 标签映射到 802.1p 标签 |
在防火墙 > QoS 映射页面定义的映射设置将用于从 802.1p 标签映射到 DSCP 标签。将显示其他复选框,以允许 802.1p 标记覆盖 DSCP 值***。选择该复选框将断言映射的 802.1p 值会覆盖客户端可能已设置的任何 DSCP 值。这可用于覆盖客户端自己设置的 DSCP CoS 值。 |
如果将映射设置为 DSCP 和 802.1p 的操作,映射将仅在一个方向进行:如果数据包来自 VLAN 且到达时拥有 802.1p 标签,DSCP 将从 802.1p 标签映射;如果数据包的目标为 VLAN,将从 DSCP 标签映射 802.1p。 |
该行为将应用到 DSCP 和 802.1p 标记的四个 QoS 操作设置。
确保 802.1p 与您相关的网络设备相兼容,且在适用的 SonicWALL 接口上启用 802.1p 标记后,即可开始配置访问规则来管理 802.1p 标签。
提及下图时,远程站点 1 网络可能具有两个访问规则配置,其配置如下:
访问规则(管理 LAN>VPN)拥有以下效果:
|
•
|
|
•
|
假设主站点上的防火墙已对返回流量进行 DSCP 标签(CoS = 48),则将在出口对返回流量使用 CoS = 6 的 802.1p 标签。
要检查第二个访问规则的效果(VPN > LAN),可查看主站点配置的访问规则。
来自远程站点 1 子网通过 VPN 发往 LAN 区域的 LAN 子网的 VoIP 流量(按服务群组定义)将命中入站 VoIP 呼叫的访问规则。到达 VPN 区域的流量将不包含任何 802.1p 标签,仅包含 DSCP 标签。
|
•
|
退出隧道的包含 DSCP 标签的流量(例如 CoS = 48)将保留 DSCP 值。在将数据包传递到 LAN 上的目标之前,还将根据主站点的防火墙所设置的 QoS 映射(例如 CoS = 6)进行 802.1p 标签。
|
