一、MPLSVPN的QoS問(wèn)題
    虛擬私有網(wǎng)絡(luò)（VPN，VirtualPrivateNetwork）是一種利用公共網(wǎng)絡(luò)來(lái)構(gòu)建私有專(zhuān)用的技術(shù)，這種VPN網(wǎng)絡(luò)必須提供與企業(yè)現(xiàn)有私網(wǎng)相同的安全性、可靠性和可管理性。MPLSVPN是近年來(lái)興起的一種IPVPN技術(shù)，相對(duì)ATM/FRVPN技術(shù)而言，MPLSVPN具有高帶寬、低成本、可擴(kuò)展性好、支持異種介質(zhì)互連、支持任意拓樸和接入等特點(diǎn)。因此它在以下兩方面獲得廣泛的應(yīng)用：一，企業(yè)互聯(lián)，即企業(yè)總部、分支機(jī)構(gòu)和出差員工通過(guò)VPN技術(shù)進(jìn)行安全、可靠的通信。二、業(yè)務(wù)隔離，在一個(gè)物理基礎(chǔ)網(wǎng)絡(luò)上承載多種業(yè)務(wù)，為了保證每個(gè)業(yè)務(wù)的獨(dú)立運(yùn)營(yíng)，采用VPN相互隔離。相比Internet上網(wǎng)業(yè)務(wù)來(lái)講，這兩類(lèi)應(yīng)用對(duì)網(wǎng)絡(luò)的QoS提出了更高的要求。

    為解決QoS問(wèn)題，業(yè)界提出了多種模型，其中最主要的有三種：

Best-Effortservice（盡力而為服務(wù)模型）
    Best-Effort是一個(gè)單一的服務(wù)模型，也是最簡(jiǎn)單的服務(wù)模型。沒(méi)有提供任何QOS保證。

Integratedservice（綜合服務(wù)模型，簡(jiǎn)稱(chēng)Intserv）
    IntServ是一種理想化的QoS模型，可以為各類(lèi)型的業(yè)務(wù)提供嚴(yán)格的QoS保證，并充分利用網(wǎng)絡(luò)資源。但這個(gè)模型存在嚴(yán)重的可擴(kuò)展性問(wèn)題，從而使得這一模型僅具有理論上的意義，從未真正實(shí)施過(guò)。

Differentiatedservice（區(qū)分服務(wù)模型，簡(jiǎn)稱(chēng)Diffserv）
    DiffServ模型以簡(jiǎn)單性和可擴(kuò)展性見(jiàn)長(zhǎng)，在每一跳上，可以保證某個(gè)優(yōu)先級(jí)的總流量的QoS。但在一個(gè)優(yōu)先級(jí)內(nèi)部不能保證每個(gè)流的QoS。

    MPLS技術(shù)的產(chǎn)生，為解決QoS問(wèn)題帶來(lái)了新的希望，這是因?yàn)?，相?duì)于無(wú)連接的IP技術(shù)，MPLS具有面向連接的特點(diǎn)，在LSP建立起來(lái)之后，數(shù)據(jù)流將沿著固定的路徑，通過(guò)標(biāo)簽交換到達(dá)目的地。如果針對(duì)這個(gè)LSP實(shí)施QoS，就有可能解決通過(guò)LSP的數(shù)據(jù)流的QoS問(wèn)題。按照這個(gè)思路，DiffServ/IntServ模型被運(yùn)用到MPLS中。其中，MPLS同DiffServ結(jié)合，產(chǎn)生了MPLSDiffServ技術(shù)。MPLS同IntServ的結(jié)合，產(chǎn)生了流量工程(TrafficEngineer)技術(shù)。

    這里我們重點(diǎn)闡述流量工程。流量工程關(guān)注網(wǎng)絡(luò)整體性能的優(yōu)化，其主要目標(biāo)是方便地提供高效的、可靠的網(wǎng)絡(luò)服務(wù)，優(yōu)化網(wǎng)絡(luò)資源的使用，優(yōu)化網(wǎng)絡(luò)流量。這分兩個(gè)層面：一是面向流量的，即關(guān)注如何提高網(wǎng)絡(luò)的服務(wù)質(zhì)量；二是面向資源的，即關(guān)注如何優(yōu)化網(wǎng)絡(luò)資源的使用，最主要是帶寬資源的有效利用。

    MPLS與流量工程相結(jié)合的技術(shù)--MPLSTE應(yīng)運(yùn)而生。MPLSTE在解決網(wǎng)絡(luò)擁塞問(wèn)題是有著自己的優(yōu)勢(shì)。運(yùn)營(yíng)商可以精確地控制流量流經(jīng)的路徑，從而可以避開(kāi)擁塞的節(jié)點(diǎn)，解決那種一部分路徑過(guò)載，另一部分路徑空閑的問(wèn)題，使現(xiàn)有的帶寬資源充分利用起來(lái)。通過(guò)MPLSTE，可為用戶(hù)創(chuàng)建具有帶寬保證的隧道，但如果在隧道中同時(shí)傳送EF、AF及BE業(yè)務(wù)時(shí)，業(yè)務(wù)之間會(huì)相互干擾，也就是說(shuō)MPLSTE存在一個(gè)嚴(yán)重的問(wèn)題——MPLSTE隧道不能夠感知業(yè)務(wù)類(lèi)型。為此，2002年業(yè)界提出了一種MPLSDiffServ-AwareTE的解決方案。

    MPLSDS-TE能夠結(jié)合差分服務(wù)與流量工程的優(yōu)點(diǎn)，能夠?qū)Σ煌?lèi)的流進(jìn)行不同帶寬的帶寬約束，并且根據(jù)該流的帶寬約束動(dòng)態(tài)調(diào)節(jié)流量，是解決骨干網(wǎng)QoS的有效技術(shù)。

二、VPNQoS模型
    VPN用戶(hù)需要的是一種端到端的QOS保證，由于VPN流量跨越了用戶(hù)網(wǎng)絡(luò)和運(yùn)營(yíng)商網(wǎng)絡(luò)，與普通QoS實(shí)施方法不同，VPN的QoS保證需要分解為兩個(gè)層次。第一個(gè)層次是真正的端到端，保證用戶(hù)流量的QoS。第二個(gè)層次是CE到CE，從運(yùn)營(yíng)商的角度來(lái)看，這是它能夠負(fù)責(zé)和實(shí)施QoS策略的一部分網(wǎng)絡(luò)。從用戶(hù)的角度看，運(yùn)營(yíng)商網(wǎng)絡(luò)是透明的。[nextpage]

    這種分層使得端到端QoS問(wèn)題分解為兩個(gè)子問(wèn)題，并且它們是獨(dú)立的，分別由用戶(hù)和運(yùn)營(yíng)商解決。運(yùn)營(yíng)網(wǎng)絡(luò)的責(zé)任就是解決CE-CE間QoS保證，無(wú)需將問(wèn)題復(fù)雜化。下面我們將就這個(gè)問(wèn)題展開(kāi)討論。

    回顧MPLSVPN模型，CE-CE間又分為三段，CE-PE、PE-PE和PE-CE。其中，CE-PE間的連接是物理鏈路或虛連接，目前有多種方法保證鏈路級(jí)的QoS，是一個(gè)已經(jīng)解決的問(wèn)題。而PE-PE之間的帶寬被多個(gè)VPN所共享，如何解決這些VPN對(duì)帶寬的競(jìng)爭(zhēng)，并具備效率和擴(kuò)展性，是目前面臨的一個(gè)難題。

三、現(xiàn)有解決方案及缺陷
1、VPN+DiffServ方式
    這種方式先在PE間建立E-LSP或L-LSP，VPN流量進(jìn)入PE時(shí)，或者預(yù)先設(shè)置了優(yōu)先級(jí)，或者由PE設(shè)置優(yōu)先級(jí)，進(jìn)入MPLS域后，根據(jù)優(yōu)先級(jí)在每一跳上進(jìn)行PHB處理。這種方式實(shí)現(xiàn)簡(jiǎn)單，但存在兩個(gè)問(wèn)題：

    第一，每一跳上為某個(gè)優(yōu)先級(jí)分配的資源是被多個(gè)業(yè)務(wù)流共享的，它們之間存在著競(jìng)爭(zhēng)。由于IP流量具有突發(fā)性的特點(diǎn)，如果按照高峰流量分配帶寬，存在極大的資源浪費(fèi)，如果按照平均流量分配帶寬，則無(wú)法避免某個(gè)業(yè)務(wù)流在擁塞時(shí)發(fā)生的丟包；

    第二，業(yè)務(wù)流經(jīng)過(guò)多個(gè)鏈路，雖然這些鏈路上都為優(yōu)先級(jí)分配了帶寬，但可能存在不匹配的情況，有些鏈路帶寬是足夠的，而有些鏈路可能不夠，這就無(wú)法保證端到端的QoS。

2、CCC方式
    CCC是CrossConnectCircuit的縮寫(xiě)，是通過(guò)靜態(tài)配置方式實(shí)現(xiàn)CE-CE間虛連接的一種方式。由于CCC是專(zhuān)用的，包括PE-PE間的LSP及兩端的PE-CE鏈路，因此保證了端到端的帶寬。這種方式的缺點(diǎn)是擴(kuò)展性差，由于沒(méi)有采用隧道復(fù)用技術(shù)，LSP的數(shù)目與CE的平方成正比，在骨干網(wǎng)中需要大量的LSP。CE和PE的初始配置復(fù)雜，添加、刪除和更改CE和PE時(shí)，所需的配置工作也很復(fù)雜。因此，CCC方式只適用于小數(shù)量的個(gè)別私有連接。

    綜上所述，目前的技術(shù)在解決VPNQoS時(shí)，仍然存在種種不足。一些顯而易見(jiàn)的方式不具備實(shí)際的可能性，在QoS保證、效率和擴(kuò)展性之間難以取得平衡，如DiffServ方案，擴(kuò)展性好，但帶寬利用率低，QoS保證能力差。而CCC方案QoS保證能力強(qiáng)，通過(guò)流量工程能提高網(wǎng)絡(luò)資源利用率，但擴(kuò)展性差，為解決問(wèn)題，需要新的思路。

四、VPN-AwareTE方案
1、VPN-AwareTE方案探討
    TE可使網(wǎng)絡(luò)的流量與網(wǎng)絡(luò)拓樸匹配，達(dá)到提高網(wǎng)絡(luò)資源利用率的目的。在簡(jiǎn)單的應(yīng)用方式下，可根據(jù)用戶(hù)需求（顯示路由、帶寬等）和網(wǎng)絡(luò)的資源情況，通過(guò)RSVP-TE或CR-LDP信令建立一條跨越骨干網(wǎng)的從LER到LER的隧道，并完成隧道的維護(hù)、統(tǒng)計(jì)、屬性修改（如帶寬）和備份等功能。在LER與LER設(shè)備之間，可以認(rèn)為通過(guò)一個(gè)隧道直連，該隧道具有嚴(yán)格的QoS保證，能自適應(yīng)網(wǎng)絡(luò)的拓樸，并可通過(guò)備份LSP、快速重路由等方式進(jìn)行額外保護(hù)。采用TE隧道保證VPN帶寬，是一種較為理想的方案。但前面已經(jīng)分析，為每一對(duì)CE-CE間使用專(zhuān)用TE隧道的方案無(wú)法大規(guī)模部署。因此，應(yīng)當(dāng)通過(guò)隧道復(fù)用技術(shù)來(lái)解決這個(gè)問(wèn)題。

    在MPLSVPN中，多個(gè)VPN復(fù)用PE-PE間的LSP，采用TE技術(shù)建立這樣的LSP，其帶寬被多個(gè)VPN共享，各VPN競(jìng)爭(zhēng)資源時(shí)必將導(dǎo)致QoS的下降。此時(shí)，需要引入一種機(jī)制來(lái)解決這種競(jìng)爭(zhēng)，這種方法就是由TE隧道根據(jù)VPN對(duì)帶寬的需求進(jìn)行調(diào)整，這種方式又稱(chēng)為VPN-AwareTE。[nextpage]

    首先，我們要解決TE隧道既共享又競(jìng)爭(zhēng)的關(guān)系，我們可以通過(guò)CAR來(lái)解決這個(gè)問(wèn)題。運(yùn)營(yíng)商在向VPN用戶(hù)提供服務(wù)時(shí)，要和用戶(hù)簽訂相關(guān)的QoS服務(wù)協(xié)議，運(yùn)營(yíng)商在接入一個(gè)VPN用戶(hù)的業(yè)務(wù)時(shí)，我們可以實(shí)現(xiàn)確定這個(gè)VPN用戶(hù)的業(yè)務(wù)類(lèi)型和對(duì)應(yīng)的帶寬要求，那么我們將VPN用戶(hù)的業(yè)務(wù)和某個(gè)TE隧道導(dǎo)入時(shí)，必須確保用戶(hù)的流量不會(huì)超過(guò)預(yù)知的帶寬，因此必須在TE隧道的入口對(duì)VPN流量作CAR來(lái)做帶寬限制。實(shí)施了這樣的限制后，就好像在CE-CE間建立了一個(gè)有QoS保證的子隧道，而這個(gè)子隧道是嵌套在外層的TE隧道中的，并且外層隧道的總帶寬是各個(gè)子隧道帶寬之和。這樣就以一種高效率的方式解決了共享情況下的帶寬保證的要求，CE-CE間獲得了虛擬的專(zhuān)用帶寬。

    其次，我們要解決一個(gè)VPN有多種QoS需求的問(wèn)題。在這里可以借鑒一下DiffServ模型中對(duì)QoS的解決辦法。在我們上面對(duì)VPN中的QoS需求分析中，我們提到，現(xiàn)在用戶(hù)的VPN業(yè)務(wù)主要可以分為以下幾類(lèi)：視頻和語(yǔ)音業(yè)務(wù)、關(guān)鍵的數(shù)據(jù)業(yè)務(wù)、普通的上網(wǎng)業(yè)務(wù)。上面的幾種業(yè)務(wù)類(lèi)型正好對(duì)應(yīng)于DiffServ模型中的EF,AF,BE三種業(yè)務(wù)，或許用戶(hù)還有其他的特殊業(yè)務(wù)類(lèi)型。總之，我們可以把用戶(hù)的業(yè)務(wù)類(lèi)型分為有限的幾種業(yè)務(wù)，那么我們可以在兩個(gè)PE設(shè)備之間創(chuàng)建幾條隧道。其中每一條隧道對(duì)應(yīng)了一種VPN用戶(hù)的業(yè)務(wù)類(lèi)型。這樣可以讓兩個(gè)PE之間凡是業(yè)務(wù)類(lèi)型相同的兩方面VPN用戶(hù)的業(yè)務(wù)走一條相同的業(yè)務(wù)類(lèi)型的隧道。這樣可以保證幾種不同類(lèi)型業(yè)務(wù)之間不會(huì)有資源搶占問(wèn)題。比如FTP流量不會(huì)影響到語(yǔ)音的時(shí)延和抖動(dòng)。如果由于新增的VPN用戶(hù)或是用戶(hù)對(duì)帶寬的需求增加了，那我們可以通過(guò)動(dòng)態(tài)調(diào)整一條TE隧道的帶寬，或是另外創(chuàng)建一條新的TE隧道來(lái)接納VPN用戶(hù)的業(yè)務(wù)。

    上面提到VPN用戶(hù)的不同業(yè)務(wù)被選擇導(dǎo)入到不同的隧道，隧道有一個(gè)總的帶寬保證，再對(duì)用戶(hù)的每一種業(yè)務(wù)做一次帶寬保證。下面我們要說(shuō)明的是怎么把用戶(hù)的業(yè)務(wù)根據(jù)需要分類(lèi)來(lái)自動(dòng)的導(dǎo)入到對(duì)應(yīng)的TE隧道，以及TE隧道帶寬根據(jù)業(yè)務(wù)流量大小自動(dòng)調(diào)整過(guò)程。

    在PE設(shè)備上對(duì)于收到的VPN用戶(hù)的流量做自動(dòng)的分類(lèi)，我們可以借助MPLSVPN的路由上的屬性，因?yàn)槁酚杀旧碛泻芏嗫梢詷?biāo)識(shí)網(wǎng)絡(luò)拓樸和業(yè)務(wù)分類(lèi)的屬性，比如通過(guò)MPLSVPN路由我們可以區(qū)分一個(gè)路由的VPN屬性，可以根據(jù)一個(gè)VPN路由的下一跳屬性來(lái)確定業(yè)務(wù)是到達(dá)哪個(gè)PE的，這樣就可以在兩個(gè)PE之間做隧道選擇，更深入的業(yè)務(wù)細(xì)分，VPN用戶(hù)在兩個(gè)PE之間的業(yè)務(wù)可以進(jìn)一步細(xì)分，比如兩點(diǎn)之間可能有數(shù)據(jù)業(yè)務(wù)，也有語(yǔ)音業(yè)務(wù)等，對(duì)于這樣的業(yè)務(wù)可以進(jìn)一步細(xì)分化。也可以根據(jù)VPN用戶(hù)網(wǎng)絡(luò)拓樸的分布，可以通過(guò)配置相同團(tuán)體屬性的方法，進(jìn)行拓樸分布區(qū)分，這樣在入端PE就可以根據(jù)路由的團(tuán)體屬性等做業(yè)務(wù)區(qū)分。

    可以看出通過(guò)上面的這些路由屬性做業(yè)務(wù)分類(lèi)，靈活性要比根據(jù)報(bào)文的五元組做業(yè)務(wù)分類(lèi)要方便很多，而且是可以動(dòng)態(tài)生成的。相比較，根據(jù)路由屬性來(lái)分類(lèi)更容易體現(xiàn)用戶(hù)整網(wǎng)的業(yè)務(wù)細(xì)分化。根據(jù)路由相關(guān)屬性我們可以做到以下細(xì)分化：
a.區(qū)分不同的VPN的業(yè)務(wù)
b.區(qū)分一個(gè)VPN內(nèi)到達(dá)不同PE的業(yè)務(wù)
c.區(qū)分一個(gè)VPN內(nèi)到達(dá)同一個(gè)PE的不同業(yè)務(wù)
d.根據(jù)團(tuán)體屬性可以根據(jù)VPN用戶(hù)的網(wǎng)絡(luò)拓樸分布細(xì)分業(yè)務(wù)。

    通過(guò)這些業(yè)務(wù)細(xì)分，我們可以制定每種細(xì)分業(yè)務(wù)的帶寬和流類(lèi)型，比如10M的EF流，10MAF流，10MBE流等。這樣就可以和具體的TE隧道結(jié)合起來(lái)。[nextpage]

    以上這些都是根據(jù)路由的細(xì)分策略，在應(yīng)用上，我們可以將這些細(xì)分規(guī)則和路由的策略屬性結(jié)合起來(lái)，把這些規(guī)則應(yīng)用到路由策略中，比如收到一條路由后，根據(jù)路由的屬性最終確定業(yè)務(wù)的類(lèi)型和帶寬要求。在這里就需要和PE之間的TE隧道帶寬資源結(jié)合起來(lái)了，我們確定了業(yè)務(wù)的類(lèi)型和帶寬要求后，就需要分別向兩個(gè)PE之間的TE隧道申請(qǐng)資源，比如申請(qǐng)10M的EF流資源。如果兩個(gè)PE之間已經(jīng)存在對(duì)應(yīng)的TE隧道，且?guī)捰惺Ｓ啵涂梢灾苯荧@得資源，并把這個(gè)TE隧道的總的帶寬資源減去剛分配的部分。因?yàn)楫?dāng)以后用戶(hù)不需要這部分資源的時(shí)候，又需要把這部分的資源釋放回TE隧道。如果兩個(gè)PE之間沒(méi)有需要的資源，那就需要?jiǎng)討B(tài)觸發(fā)調(diào)整兩個(gè)PE之間的某種業(yè)務(wù)類(lèi)型的隧道的帶寬大小，或是另外再創(chuàng)建一條相同業(yè)務(wù)類(lèi)型的TE隧道。

    用戶(hù)的業(yè)務(wù)向一條TE隧道申請(qǐng)了帶寬以后，要確保自己的流量不能超過(guò)已經(jīng)申請(qǐng)的帶寬，因?yàn)槿绻呔蜁?huì)影響到其他用戶(hù)的業(yè)務(wù)。因此我們需要根據(jù)用戶(hù)申請(qǐng)的帶寬資源來(lái)做流量限制，如果所在的TE隧道的總的帶寬資源過(guò)剩的話，可以讓用戶(hù)的流量有部分的突發(fā)。為了實(shí)現(xiàn)這一點(diǎn)，在實(shí)施CAR的時(shí)候，設(shè)定約定速率和突發(fā)速率，對(duì)于超過(guò)約定速率的流量，不是簡(jiǎn)單的丟棄，而是降低優(yōu)先級(jí)繼續(xù)轉(zhuǎn)發(fā)，只有超越突發(fā)速率的流量，才全部丟棄。

2、工作過(guò)程
    根據(jù)上面的VPN和TE的結(jié)合，把路由的屬性融入到用戶(hù)的業(yè)務(wù)分類(lèi)當(dāng)中，作為資源預(yù)留的條件，在這里也可以同時(shí)和根據(jù)IP報(bào)文的五元組的分類(lèi)策略相結(jié)合，可以達(dá)到整網(wǎng)的QOS的動(dòng)態(tài)部署和調(diào)整。

工作過(guò)程如下：
1.PE-PE間建立若干個(gè)TE隧道，每個(gè)隧道對(duì)應(yīng)一類(lèi)業(yè)務(wù)，具有初始的帶寬；
2.建立VPN，這個(gè)VPN是用PE-PE間的TE隧道來(lái)承載業(yè)務(wù)；
3.在入口PE上設(shè)置針對(duì)細(xì)分的VPN流量的QoS參數(shù)，包括識(shí)別這個(gè)流量的規(guī)則、約定速率、突發(fā)速率、優(yōu)先級(jí)等；
4.VPN路由從出口PE傳播到入口PE，攜帶了Route-target、Nexthop、團(tuán)體屬性等路由屬性；
5.入口PE根據(jù)配置好的分類(lèi)規(guī)則對(duì)VPN路由進(jìn)行過(guò)濾，為匹配到的路由生成特定的轉(zhuǎn)發(fā)動(dòng)作，如Remark、CAR等；
6.入口PE對(duì)VPN流量進(jìn)行轉(zhuǎn)發(fā)處理，匹配了路由規(guī)則的報(bào)文實(shí)施QoS，如Remark、CAR；
7.VPN流量的QoS參數(shù)被修改，重復(fù)5-6步動(dòng)作。

    通過(guò)以上理論分析，得出TE和VPN相結(jié)合，是現(xiàn)階段解決VPN網(wǎng)絡(luò)的QOS問(wèn)題的最佳的手段。后來(lái)在廣東移動(dòng)MDCN網(wǎng)(全省多業(yè)務(wù)承載平臺(tái))上的實(shí)際部署，經(jīng)實(shí)際運(yùn)行和測(cè)試得出結(jié)論，將MPLSTE結(jié)合VPN的路由屬性很好的調(diào)整了MPLSVPN網(wǎng)絡(luò)整網(wǎng)的QOS，能方便、高質(zhì)量、高效率的滿足VPN用戶(hù)的QOS要求。

    采用VPN組建城市監(jiān)控網(wǎng)絡(luò)，可有效的整合城市原有的監(jiān)控資源，形成統(tǒng)一的規(guī)劃和技術(shù)協(xié)調(diào)，實(shí)現(xiàn)網(wǎng)絡(luò)信息資源共享，滿足了各級(jí)公安機(jī)關(guān)遠(yuǎn)程圖像資源共享和諸警種跨區(qū)域圖像共享的要求，形成面向公安實(shí)戰(zhàn)的綜合應(yīng)用系統(tǒng)集成平臺(tái)，充分發(fā)揮技術(shù)防范在城市社會(huì)治安管理中作用，并以城市為基礎(chǔ)，逐步城市之間聯(lián)網(wǎng)，全省聯(lián)網(wǎng)乃至最后實(shí)現(xiàn)全國(guó)聯(lián)網(wǎng)。