思科路由器7500的分布式服务(2)

访问控制列表-ACL通过限制允许通过路由器的通信流的类型和来源来保护企业网络。ACL还被用于选择将被加密的通信流。
加密-当企业数据通过象Internet这样的公共IP网络时，其保密性是通过加密来实现的。Cisco 7500系列路由器支持Cisco加密技术，这一技术将成为网络层加密的标准。IP安全性(IPSec)是一种新的基于标准的加密，2000年底之前Cisco 7500系列路由器将支持这一功能。加密服务适配器加快了Cisco加密技术的速度，可以使每个VIP加密速度达到15Mbps以上。不久将发布的集成服务适配器将会可能将IPSec的处理速度加速到T3速度(90Mbps)。
隧道-一般路由选择封装(GRE)和Layer 2隧道协议(L2TP)都可以隧道形式在虚拟专网中传输数据包。隧道功能使VPN能够支持组播和非IP通信流。GRE通常用于固定配置、地点到地点的VPN，而L2TP用于动态、客户机发起的VPN，如一个旅途在外使用PC的用户。例如，通过使用GRE隧道，可以在VPN中发送象OSPF这样的路由选择协议。通过使用L2TP，一个远程用户可以连接到一个使用IPX协议的Novell网络。
服务质量(QoS)
QoS服务允许企业区分网络中的通信流类型并为每种类型提供适当等级的服务。例如，语音流要求低延迟和低带宽，而文件传输则要求高带宽，但在延迟时间上没有要求。
VIP中实现了以下的QoS服务:
基于网络的应用识别(NBAR)-NBAR是一种新的分类引擎，可以识别多种应用程序，包括基于Web的应用和动态指定TCP或UDP端口编号的客户机/服务器应用。2000年下半年将在VIP上提供NBAR服务。
使用基于类的加权公平队列实现的带宽保证(CBWFQ)-基于类的加权公平队列是一种为特殊通信流类别提供带宽保证的机制，如语音应用或企业资源计划(ERP)应用，这种机制同时还能够为网络中所有其他通信流提供公平的服务。指定给某一个类的带宽是在拥塞期间为该类提供的最小带宽。
使用服务类型(ToS)位或不同服务代码点(DSCP)实现的下游服务区分标记-分组标记通常是在网络边界进行的，这样就可以在路径的尽头再应用适当的策略。较老的服务类型(ToS)字节标记在IP头提供了三个位，即六个可用组合。较新的DSCP机制在IP头中使用了六个位，可以提供64种不同的标记。上述两种机制以重叠方式使用这些位，因此网络中既可使用ToS值也可使用DSCP值，但不能同时使用。
通过策略制订或整形加强带宽限制-策略制订和整形功能允许限制某一特定应用的可用带宽。例如，可以将一个DS3 WAN链路上FTP通信流的带宽限制为最大1Mbps.任何超过策略限制速率的通信流将会被丢弃，或改变其ToS或DSCP值，以降低其服务等级。策略制订和整形之间的区别在于策略制订只是简单地丢弃超额通信流，而整形则是将超过限制的数据包保留在缓冲区中，然后再以指定的速率将其发送出去。此外，流量整形能够对帧中继网络提供的拥塞信息作出响应。整形功能也被称为分布式流量整形，而策略指定功能还被称为分布式承诺访问速率(dCAR)。
拥塞避免策略(分布式加权随机早期检测[dWRED])-拥塞避免技术监视网络流量负载，预报和避免公共网络瓶颈出现的拥塞。如果没有随机早期检测，当输出队列满时，数据包将会被丢弃，直至拥塞被消除为止。不幸的是，当拥塞的波峰和波谷相随时，会产生全局通信流的同步，而此时的传输链路没有得到完全的利用。当多个TCP主机根据数据包丢失信息同时降低自己的传输速率，而后当拥塞减少又同时增加自己的传输速率时，这种情况就会发生。RED利用TCP的拥塞控制机制，在链路完全拥塞之前随机丢弃数据包。这样，就避免了所有主机同时丢弃数据包的问题，同时仍然保持信号的发送，并能够临时降低数据包的传输速度。加权RED首先在低优先级的通信流中丢弃数据包，确保高优先级的通信流不会因不那么重要的数据导致的拥塞而受到影响。