一、MPLSVPN的QoS問題
    虛擬私有網(wǎng)絡(luò)（VPN，VirtualPrivateNetwork）是一種利用公共網(wǎng)絡(luò)來構(gòu)建私有專用的技術(shù)，這種VPN網(wǎng)絡(luò)必須提供與企業(yè)現(xiàn)有私網(wǎng)相同的安全性、可靠性和可管理性。MPLSVPN是近年來興起的一種IPVPN技術(shù)，相對ATM/FRVPN技術(shù)而言，MPLSVPN具有高帶寬、低成本、可擴展性好、支持異種介質(zhì)互連、支持任意拓樸和接入等特點。因此它在以下兩方面獲得廣泛的應(yīng)用：一，企業(yè)互聯(lián)，即企業(yè)總部、分支機構(gòu)和出差員工通過VPN技術(shù)進(jìn)行安全、可靠的通信。二、業(yè)務(wù)隔離，在一個物理基礎(chǔ)網(wǎng)絡(luò)上承載多種業(yè)務(wù)，為了保證每個業(yè)務(wù)的獨立運營，采用VPN相互隔離。相比Internet上網(wǎng)業(yè)務(wù)來講，這兩類應(yīng)用對網(wǎng)絡(luò)的QoS提出了更高的要求。

    為解決QoS問題，業(yè)界提出了多種模型，其中最主要的有三種：

Best-Effortservice（盡力而為服務(wù)模型）
    Best-Effort是一個單一的服務(wù)模型，也是最簡單的服務(wù)模型。沒有提供任何QOS保證。

Integratedservice（綜合服務(wù)模型，簡稱Intserv）
    IntServ是一種理想化的QoS模型，可以為各類型的業(yè)務(wù)提供嚴(yán)格的QoS保證，并充分利用網(wǎng)絡(luò)資源。但這個模型存在嚴(yán)重的可擴展性問題，從而使得這一模型僅具有理論上的意義，從未真正實施過。

Differentiatedservice（區(qū)分服務(wù)模型，簡稱Diffserv）
    DiffServ模型以簡單性和可擴展性見長，在每一跳上，可以保證某個優(yōu)先級的總流量的QoS。但在一個優(yōu)先級內(nèi)部不能保證每個流的QoS。

    MPLS技術(shù)的產(chǎn)生，為解決QoS問題帶來了新的希望，這是因為，相對于無連接的IP技術(shù)，MPLS具有面向連接的特點，在LSP建立起來之后，數(shù)據(jù)流將沿著固定的路徑，通過標(biāo)簽交換到達(dá)目的地。如果針對這個LSP實施QoS，就有可能解決通過LSP的數(shù)據(jù)流的QoS問題。按照這個思路，DiffServ/IntServ模型被運用到MPLS中。其中，MPLS同DiffServ結(jié)合，產(chǎn)生了MPLSDiffServ技術(shù)。MPLS同IntServ的結(jié)合，產(chǎn)生了流量工程(TrafficEngineer)技術(shù)。

    這里我們重點闡述流量工程。流量工程關(guān)注網(wǎng)絡(luò)整體性能的優(yōu)化，其主要目標(biāo)是方便地提供高效的、可靠的網(wǎng)絡(luò)服務(wù)，優(yōu)化網(wǎng)絡(luò)資源的使用，優(yōu)化網(wǎng)絡(luò)流量。這分兩個層面：一是面向流量的，即關(guān)注如何提高網(wǎng)絡(luò)的服務(wù)質(zhì)量；二是面向資源的，即關(guān)注如何優(yōu)化網(wǎng)絡(luò)資源的使用，最主要是帶寬資源的有效利用。

    MPLS與流量工程相結(jié)合的技術(shù)--MPLSTE應(yīng)運而生。MPLSTE在解決網(wǎng)絡(luò)擁塞問題是有著自己的優(yōu)勢。運營商可以精確地控制流量流經(jīng)的路徑，從而可以避開擁塞的節(jié)點，解決那種一部分路徑過載，另一部分路徑空閑的問題，使現(xiàn)有的帶寬資源充分利用起來。通過MPLSTE，可為用戶創(chuàng)建具有帶寬保證的隧道，但如果在隧道中同時傳送EF、AF及BE業(yè)務(wù)時，業(yè)務(wù)之間會相互干擾，也就是說MPLSTE存在一個嚴(yán)重的問題——MPLSTE隧道不能夠感知業(yè)務(wù)類型。為此，2002年業(yè)界提出了一種MPLSDiffServ-AwareTE的解決方案。

    MPLSDS-TE能夠結(jié)合差分服務(wù)與流量工程的優(yōu)點，能夠?qū)Σ煌惖牧鬟M(jìn)行不同帶寬的帶寬約束，并且根據(jù)該流的帶寬約束動態(tài)調(diào)節(jié)流量，是解決骨干網(wǎng)QoS的有效技術(shù)。

二、VPNQoS模型
    VPN用戶需要的是一種端到端的QOS保證，由于VPN流量跨越了用戶網(wǎng)絡(luò)和運營商網(wǎng)絡(luò)，與普通QoS實施方法不同，VPN的QoS保證需要分解為兩個層次。第一個層次是真正的端到端，保證用戶流量的QoS。第二個層次是CE到CE，從運營商的角度來看，這是它能夠負(fù)責(zé)和實施QoS策略的一部分網(wǎng)絡(luò)。從用戶的角度看，運營商網(wǎng)絡(luò)是透明的。[nextpage]

    這種分層使得端到端QoS問題分解為兩個子問題，并且它們是獨立的，分別由用戶和運營商解決。運營網(wǎng)絡(luò)的責(zé)任就是解決CE-CE間QoS保證，無需將問題復(fù)雜化。下面我們將就這個問題展開討論。

    回顧MPLSVPN模型，CE-CE間又分為三段，CE-PE、PE-PE和PE-CE。其中，CE-PE間的連接是物理鏈路或虛連接，目前有多種方法保證鏈路級的QoS，是一個已經(jīng)解決的問題。而PE-PE之間的帶寬被多個VPN所共享，如何解決這些VPN對帶寬的競爭，并具備效率和擴展性，是目前面臨的一個難題。

三、現(xiàn)有解決方案及缺陷
1、VPN+DiffServ方式
    這種方式先在PE間建立E-LSP或L-LSP，VPN流量進(jìn)入PE時，或者預(yù)先設(shè)置了優(yōu)先級，或者由PE設(shè)置優(yōu)先級，進(jìn)入MPLS域后，根據(jù)優(yōu)先級在每一跳上進(jìn)行PHB處理。這種方式實現(xiàn)簡單，但存在兩個問題：

    第一，每一跳上為某個優(yōu)先級分配的資源是被多個業(yè)務(wù)流共享的，它們之間存在著競爭。由于IP流量具有突發(fā)性的特點，如果按照高峰流量分配帶寬，存在極大的資源浪費，如果按照平均流量分配帶寬，則無法避免某個業(yè)務(wù)流在擁塞時發(fā)生的丟包；

    第二，業(yè)務(wù)流經(jīng)過多個鏈路，雖然這些鏈路上都為優(yōu)先級分配了帶寬，但可能存在不匹配的情況，有些鏈路帶寬是足夠的，而有些鏈路可能不夠，這就無法保證端到端的QoS。

2、CCC方式
    CCC是CrossConnectCircuit的縮寫，是通過靜態(tài)配置方式實現(xiàn)CE-CE間虛連接的一種方式。由于CCC是專用的，包括PE-PE間的LSP及兩端的PE-CE鏈路，因此保證了端到端的帶寬。這種方式的缺點是擴展性差，由于沒有采用隧道復(fù)用技術(shù)，LSP的數(shù)目與CE的平方成正比，在骨干網(wǎng)中需要大量的LSP。CE和PE的初始配置復(fù)雜，添加、刪除和更改CE和PE時，所需的配置工作也很復(fù)雜。因此，CCC方式只適用于小數(shù)量的個別私有連接。

    綜上所述，目前的技術(shù)在解決VPNQoS時，仍然存在種種不足。一些顯而易見的方式不具備實際的可能性，在QoS保證、效率和擴展性之間難以取得平衡，如DiffServ方案，擴展性好，但帶寬利用率低，QoS保證能力差。而CCC方案QoS保證能力強，通過流量工程能提高網(wǎng)絡(luò)資源利用率，但擴展性差，為解決問題，需要新的思路。

四、VPN-AwareTE方案
1、VPN-AwareTE方案探討
    TE可使網(wǎng)絡(luò)的流量與網(wǎng)絡(luò)拓樸匹配，達(dá)到提高網(wǎng)絡(luò)資源利用率的目的。在簡單的應(yīng)用方式下，可根據(jù)用戶需求（顯示路由、帶寬等）和網(wǎng)絡(luò)的資源情況，通過RSVP-TE或CR-LDP信令建立一條跨越骨干網(wǎng)的從LER到LER的隧道，并完成隧道的維護(hù)、統(tǒng)計、屬性修改（如帶寬）和備份等功能。在LER與LER設(shè)備之間，可以認(rèn)為通過一個隧道直連，該隧道具有嚴(yán)格的QoS保證，能自適應(yīng)網(wǎng)絡(luò)的拓樸，并可通過備份LSP、快速重路由等方式進(jìn)行額外保護(hù)。采用TE隧道保證VPN帶寬，是一種較為理想的方案。但前面已經(jīng)分析，為每一對CE-CE間使用專用TE隧道的方案無法大規(guī)模部署。因此，應(yīng)當(dāng)通過隧道復(fù)用技術(shù)來解決這個問題。

    在MPLSVPN中，多個VPN復(fù)用PE-PE間的LSP，采用TE技術(shù)建立這樣的LSP，其帶寬被多個VPN共享，各VPN競爭資源時必將導(dǎo)致QoS的下降。此時，需要引入一種機制來解決這種競爭，這種方法就是由TE隧道根據(jù)VPN對帶寬的需求進(jìn)行調(diào)整，這種方式又稱為VPN-AwareTE。[nextpage]

    首先，我們要解決TE隧道既共享又競爭的關(guān)系，我們可以通過CAR來解決這個問題。運營商在向VPN用戶提供服務(wù)時，要和用戶簽訂相關(guān)的QoS服務(wù)協(xié)議，運營商在接入一個VPN用戶的業(yè)務(wù)時，我們可以實現(xiàn)確定這個VPN用戶的業(yè)務(wù)類型和對應(yīng)的帶寬要求，那么我們將VPN用戶的業(yè)務(wù)和某個TE隧道導(dǎo)入時，必須確保用戶的流量不會超過預(yù)知的帶寬，因此必須在TE隧道的入口對VPN流量作CAR來做帶寬限制。實施了這樣的限制后，就好像在CE-CE間建立了一個有QoS保證的子隧道，而這個子隧道是嵌套在外層的TE隧道中的，并且外層隧道的總帶寬是各個子隧道帶寬之和。這樣就以一種高效率的方式解決了共享情況下的帶寬保證的要求，CE-CE間獲得了虛擬的專用帶寬。

    其次，我們要解決一個VPN有多種QoS需求的問題。在這里可以借鑒一下DiffServ模型中對QoS的解決辦法。在我們上面對VPN中的QoS需求分析中，我們提到，現(xiàn)在用戶的VPN業(yè)務(wù)主要可以分為以下幾類：視頻和語音業(yè)務(wù)、關(guān)鍵的數(shù)據(jù)業(yè)務(wù)、普通的上網(wǎng)業(yè)務(wù)。上面的幾種業(yè)務(wù)類型正好對應(yīng)于DiffServ模型中的EF,AF,BE三種業(yè)務(wù)，或許用戶還有其他的特殊業(yè)務(wù)類型。總之，我們可以把用戶的業(yè)務(wù)類型分為有限的幾種業(yè)務(wù)，那么我們可以在兩個PE設(shè)備之間創(chuàng)建幾條隧道。其中每一條隧道對應(yīng)了一種VPN用戶的業(yè)務(wù)類型。這樣可以讓兩個PE之間凡是業(yè)務(wù)類型相同的兩方面VPN用戶的業(yè)務(wù)走一條相同的業(yè)務(wù)類型的隧道。這樣可以保證幾種不同類型業(yè)務(wù)之間不會有資源搶占問題。比如FTP流量不會影響到語音的時延和抖動。如果由于新增的VPN用戶或是用戶對帶寬的需求增加了，那我們可以通過動態(tài)調(diào)整一條TE隧道的帶寬，或是另外創(chuàng)建一條新的TE隧道來接納VPN用戶的業(yè)務(wù)。

    上面提到VPN用戶的不同業(yè)務(wù)被選擇導(dǎo)入到不同的隧道，隧道有一個總的帶寬保證，再對用戶的每一種業(yè)務(wù)做一次帶寬保證。下面我們要說明的是怎么把用戶的業(yè)務(wù)根據(jù)需要分類來自動的導(dǎo)入到對應(yīng)的TE隧道，以及TE隧道帶寬根據(jù)業(yè)務(wù)流量大小自動調(diào)整過程。

    在PE設(shè)備上對于收到的VPN用戶的流量做自動的分類，我們可以借助MPLSVPN的路由上的屬性，因為路由本身有很多可以標(biāo)識網(wǎng)絡(luò)拓樸和業(yè)務(wù)分類的屬性，比如通過MPLSVPN路由我們可以區(qū)分一個路由的VPN屬性，可以根據(jù)一個VPN路由的下一跳屬性來確定業(yè)務(wù)是到達(dá)哪個PE的，這樣就可以在兩個PE之間做隧道選擇，更深入的業(yè)務(wù)細(xì)分，VPN用戶在兩個PE之間的業(yè)務(wù)可以進(jìn)一步細(xì)分，比如兩點之間可能有數(shù)據(jù)業(yè)務(wù)，也有語音業(yè)務(wù)等，對于這樣的業(yè)務(wù)可以進(jìn)一步細(xì)分化。也可以根據(jù)VPN用戶網(wǎng)絡(luò)拓樸的分布，可以通過配置相同團(tuán)體屬性的方法，進(jìn)行拓樸分布區(qū)分，這樣在入端PE就可以根據(jù)路由的團(tuán)體屬性等做業(yè)務(wù)區(qū)分。

    可以看出通過上面的這些路由屬性做業(yè)務(wù)分類，靈活性要比根據(jù)報文的五元組做業(yè)務(wù)分類要方便很多，而且是可以動態(tài)生成的。相比較，根據(jù)路由屬性來分類更容易體現(xiàn)用戶整網(wǎng)的業(yè)務(wù)細(xì)分化。根據(jù)路由相關(guān)屬性我們可以做到以下細(xì)分化：
a.區(qū)分不同的VPN的業(yè)務(wù)
b.區(qū)分一個VPN內(nèi)到達(dá)不同PE的業(yè)務(wù)
c.區(qū)分一個VPN內(nèi)到達(dá)同一個PE的不同業(yè)務(wù)
d.根據(jù)團(tuán)體屬性可以根據(jù)VPN用戶的網(wǎng)絡(luò)拓樸分布細(xì)分業(yè)務(wù)。

    通過這些業(yè)務(wù)細(xì)分，我們可以制定每種細(xì)分業(yè)務(wù)的帶寬和流類型，比如10M的EF流，10MAF流，10MBE流等。這樣就可以和具體的TE隧道結(jié)合起來。[nextpage]

    以上這些都是根據(jù)路由的細(xì)分策略，在應(yīng)用上，我們可以將這些細(xì)分規(guī)則和路由的策略屬性結(jié)合起來，把這些規(guī)則應(yīng)用到路由策略中，比如收到一條路由后，根據(jù)路由的屬性最終確定業(yè)務(wù)的類型和帶寬要求。在這里就需要和PE之間的TE隧道帶寬資源結(jié)合起來了，我們確定了業(yè)務(wù)的類型和帶寬要求后，就需要分別向兩個PE之間的TE隧道申請資源，比如申請10M的EF流資源。如果兩個PE之間已經(jīng)存在對應(yīng)的TE隧道，且?guī)捰惺Ｓ?，就可以直接獲得資源，并把這個TE隧道的總的帶寬資源減去剛分配的部分。因為當(dāng)以后用戶不需要這部分資源的時候，又需要把這部分的資源釋放回TE隧道。如果兩個PE之間沒有需要的資源，那就需要動態(tài)觸發(fā)調(diào)整兩個PE之間的某種業(yè)務(wù)類型的隧道的帶寬大小，或是另外再創(chuàng)建一條相同業(yè)務(wù)類型的TE隧道。

    用戶的業(yè)務(wù)向一條TE隧道申請了帶寬以后，要確保自己的流量不能超過已經(jīng)申請的帶寬，因為如果超高就會影響到其他用戶的業(yè)務(wù)。因此我們需要根據(jù)用戶申請的帶寬資源來做流量限制，如果所在的TE隧道的總的帶寬資源過剩的話，可以讓用戶的流量有部分的突發(fā)。為了實現(xiàn)這一點，在實施CAR的時候，設(shè)定約定速率和突發(fā)速率，對于超過約定速率的流量，不是簡單的丟棄，而是降低優(yōu)先級繼續(xù)轉(zhuǎn)發(fā)，只有超越突發(fā)速率的流量，才全部丟棄。

2、工作過程
    根據(jù)上面的VPN和TE的結(jié)合，把路由的屬性融入到用戶的業(yè)務(wù)分類當(dāng)中，作為資源預(yù)留的條件，在這里也可以同時和根據(jù)IP報文的五元組的分類策略相結(jié)合，可以達(dá)到整網(wǎng)的QOS的動態(tài)部署和調(diào)整。

工作過程如下：
1.PE-PE間建立若干個TE隧道，每個隧道對應(yīng)一類業(yè)務(wù)，具有初始的帶寬；
2.建立VPN，這個VPN是用PE-PE間的TE隧道來承載業(yè)務(wù)；
3.在入口PE上設(shè)置針對細(xì)分的VPN流量的QoS參數(shù)，包括識別這個流量的規(guī)則、約定速率、突發(fā)速率、優(yōu)先級等；
4.VPN路由從出口PE傳播到入口PE，攜帶了Route-target、Nexthop、團(tuán)體屬性等路由屬性；
5.入口PE根據(jù)配置好的分類規(guī)則對VPN路由進(jìn)行過濾，為匹配到的路由生成特定的轉(zhuǎn)發(fā)動作，如Remark、CAR等；
6.入口PE對VPN流量進(jìn)行轉(zhuǎn)發(fā)處理，匹配了路由規(guī)則的報文實施QoS，如Remark、CAR；
7.VPN流量的QoS參數(shù)被修改，重復(fù)5-6步動作。

    通過以上理論分析，得出TE和VPN相結(jié)合，是現(xiàn)階段解決VPN網(wǎng)絡(luò)的QOS問題的最佳的手段。后來在廣東移動MDCN網(wǎng)(全省多業(yè)務(wù)承載平臺)上的實際部署，經(jīng)實際運行和測試得出結(jié)論，將MPLSTE結(jié)合VPN的路由屬性很好的調(diào)整了MPLSVPN網(wǎng)絡(luò)整網(wǎng)的QOS，能方便、高質(zhì)量、高效率的滿足VPN用戶的QOS要求。

    采用VPN組建城市監(jiān)控網(wǎng)絡(luò)，可有效的整合城市原有的監(jiān)控資源，形成統(tǒng)一的規(guī)劃和技術(shù)協(xié)調(diào)，實現(xiàn)網(wǎng)絡(luò)信息資源共享，滿足了各級公安機關(guān)遠(yuǎn)程圖像資源共享和諸警種跨區(qū)域圖像共享的要求，形成面向公安實戰(zhàn)的綜合應(yīng)用系統(tǒng)集成平臺，充分發(fā)揮技術(shù)防范在城市社會治安管理中作用，并以城市為基礎(chǔ)，逐步城市之間聯(lián)網(wǎng)，全省聯(lián)網(wǎng)乃至最后實現(xiàn)全國聯(lián)網(wǎng)。