精確識別MPLS L2VPN QoS方法*

馮 平，袁 亮

(1.國網廣元供電公司，四川 廣元 628000；2. 重郵匯測，重慶 400000)

精確識別MPLS L2VPN QoS方法*

馮 平1，袁 亮2

(1.國網廣元供電公司，四川 廣元 628000；2. 重郵匯測，重慶 400000)

隨著MPLS VPN技術在企業網絡中的廣泛應用，同時也對VPN的服務質量(QoS)提出了更高的要求。精確識別MPLS L2VPN QoS的方法是通過在PE側對用戶L2VPN數據包進行深入分析提取OSI七層協議中關鍵信息，從而得到該報文的優先級別，實現網絡監控及流量控制等功能。實際應用表明, 精確識別MPLS L2VPN QoS方法可識別現有網絡各種業務流量，單獨采用不同的QoS規則，實現各個業務系統之間的隔離以及企業信息外網與信息內網的高效結合,保障電力網絡的安全穩定運行。

MPLS L2VPN QoS 網絡監控 流量控制

0 引 言

隨著網絡處理器技術的迅速發展，MPLS應用逐步轉向MPLS流量工程和MPLS VPN等技術[1]。在IP網絡中，MPLS流量工程技術成為一種主要的管理網絡流量、減少擁塞、保證網絡服務質量(QoS)的重要工具。采用MPLS L2VPN技術可將現有IP網絡分解成邏輯上隔離的網絡，主要運用于解決企業單獨互連、IP網絡地址不足、QoS保證等問題，在企業網絡中得到廣泛應用。

隨著互聯網、物聯網、通信網與電力系統的緊密融合，傳統電網向智能電網的全面升級已成必然，要順應智能電網發展最新趨勢，電力用戶的業務不斷豐富，數據流量的持續增長，對業務的保障能力也提出了更高的要求，因此必須滿足電力用戶對網絡的QoS進一步要求，全面提高電網智能化水平。基于幀中繼/ATM/MPLS技術的傳統L2VPN QoS方法已不能適應發展要求，本文重點討論基于MPLS技術的精確識別L2 VPN QoS方法。

1 傳統MPLS L2VPN QoS方法

傳統MPLS L2VPN QoS方法把用戶的全部報文作為一個分組，按照一個單一的規則進行流量控制。其工作原理如圖1所示。

隨著網絡的迅速發展，用戶不斷在MPLS L2VPN網絡上面承載各種不同業務，例如有需要實時保障的電網控制業務和語音業務，也有低優先級的大流量FTP下載業務。這樣在傳統MPLS L2VPN QoS方法下，特別在網絡擁塞的時候，不能夠識別用戶的高優先級報文和低優先級報文，會導致大量低優先級的報文擠掉高優先級的報文，從而使用戶高優先級的業務受到嚴重影響，甚至會影響到用戶網絡和業務的穩定性。

傳統MPLS L2VPN QoS方法缺乏流量控制手段，僅是通過在PE(邊緣路由器)側對所有流量進行整體的流量限制，從而導致用戶因關鍵報文丟棄而被中斷網絡的情形時有發生。

對比MPLS L2VPN和L3VPN，從安全的角度來看,L2VPN只使用骨干網提供的鏈路層服務，專用性較強，服務提供商不需要了解用戶的網絡信息。而L3VPN的服務提供商PE設備了解用戶所有網絡信息，容易導致用戶網絡信息泄漏。從QoS方面來看，L3VPN能夠提供更好的QoS的保障。本文借鑒了L3VPN對IP層的QoS的保障方法應用到L2VPN上面，同時提出了針對于L2VPN的二層協議報文的保障方法,使L2VPN能夠達到L3VPN高質量的QoS保障能力[2]。

2 精確識別MPLS L2VPN QoS方法

為了保障用戶MPLS L2VPN網絡的穩定性，確保關鍵核心業務的正常運行，針對傳統MPLS L2VPN QoS業務保障能力較弱，極大的限制L2VPN網絡的部署，本文提出精確識別MPLS L2VPN QoS方法。

針對用戶提出的優先級保障要求，需要對單個用戶的報文進行精確識別，以確定不同報文的優先級別[3]。常規識別報文是提取報文的5元組信息，但是報文的5元組信息只存在于IP報文中。而針對二層VPN，用戶側的二層報文都會進入，存在大量的非IP報文。通過對現網非IP的二層報文進行分析，統計結果表明其主要屬于網絡控制類報文(如ARP報文、RARP報文等)，因此對于非IP報文需要直接提取二層協議類型作為識別關鍵字。相對于傳統MPLS L2VPN QoS只能夠對整個端口限流，不能夠對用戶的業務進行流控，本文提出的方法從根本上解決了該問題，可以對用戶所有的業務都進行全面的流控。

根據上面的分析提出了精確識別MPLS L2VPN QoS方法，工作流程如圖2所示，其主要工作原理：首先需要對用戶報文進行IP包和非IP包的識別分類；IP報文提取三層的5元組信息，非IP報文提取二層的協議類型；最后按照規則進行流量控制，實現對MPLS L2VPN報文的精確識別功能。

其配置的具體規則為：①流量限制規則，當超過設置的流量時，直接丟棄報文;②重新設置優先級標記規則，設置報文的優先級標記位為指定優先級;③直接丟棄規則，有可能是攻擊報文，或者禁止的業務;④直接通過規則，有可能是比較重要的報文。

通過報文內容關鍵信息提取，再配合規則的組合應用，便可以實現對所有業務的流量管控，從而從根本上解決了MPLS L2VPN QoS對業務管控能力較弱的問題。

圖2 精確識別MPLS L2VPN QoS方法原理

對二層報文的限流可以使網絡更加穩健，在PE側對ARP報文進行限流，可以防范用戶側出現ARP攻擊及ARP風暴等病毒。對三層報文的精確識別，提取出信令報文和需要保障的高優先級業務，以及低優先級的數據業務[4]。精確識別MPLS L2VPN QoS方法，通過在PE側對不同類型報文采用不同的限流控制，實現在網絡擁塞時對關鍵報文的優先保障，保證用戶網絡及高優先級業務的安全穩定運行。

從服務質量的角度講，對于一個以太802.1q VLAN而言，入口路由器可以考慮VLAN標志頭中的用戶優先級，直接植入到選定封裝協議的QoS字段(MPLS標簽棧中的EXP字段)。封裝轉換包在MPLS核心平臺上傳送時，根據MPLS的EXP字段來確保針對不同用戶需求的服務質量保證。

如果業務提供者想將MPLS的QoS設置成不同于第二層幀比特位的值，則業務提供者可以直接設置MPLS EXP字段，而不是需要重寫第二層的頭。第二層的幀對用戶使用而言仍是可得的，而且在封裝后的包穿越MPLS網絡時卻不會對第二層的幀加以改變。事實上通過應用精確識別的MPLS L2VPN QoS方法后，業務提供者能夠按照第二層數據幀類型、輸入接口，和第三層五元組信息進行MPLS包的劃分，來標記每個MPLS幀中的EXP字段而無需改變原始數據包的第二層字段。這一設置過程可以讓業務提供者不僅針對同一傳輸類型卻可以向不同的用戶提供不同的服務等級，而且也能針對同一個用戶不同的業務提供不同的服務等級。同時這一QoS手段可以與TE、HQoS結合進一步確保跨過MPLS域階段的服務質量。

3 應 用

精確識別MPLS L2VPN QoS方法是在PE(Provider Edge Router)服務提供商邊緣路由器設備上進行實現的，對從CE(Customer Edge Router)網絡邊緣路由器設備側來的用戶數據進行流量限制，P(Provider Edge Router)作為服務提供商核心路由器設備，主要負責MPLS的轉發，不與CE直接相連。精確識別MPLS L2VPN QoS方法在為用戶提供網絡服務的同時，盡可能地保障用戶網絡的穩定性。MPLS L2VPN網絡部署組網如圖3所示。

圖3 MPLSL2VPN網絡部署組網

精確識別MPLS L2VPN QoS方法應用十分廣泛，主要包括在ACL及HQoS下的具體實現[5]。例如用戶L2VPN的總帶寬是4 Mb/s，若用戶有一個需要保障的實時業務和一個使用80端口的上網業務，而上網業務會經常搶占到所有帶寬，導致實時業務無法得到有效保障。此時，可配置一個ACL規則，對ACL匹配到80端口的業務做限速動作，將其限制到3 Mb/s，使用80端口的上網業務就被控制在最大帶寬3 Mb/s，從而不再影響實時業務。若用戶的實時業務占用帶寬特別小，可能導致用戶長期只能夠使用3 Mb/s帶寬，無法真正實現4 Mb/s帶寬，將ACL規則和層次化QoS(HQoS)配合一起使用便可以解決此問題[6-7]。具體實現方案是：配置兩個ACL規則，將一個ACL規則匹配到80端口的上網業務標記為低優先級業務，另外一個ACL規則匹配到實時業務標記為高優先級業務，然后再調度到HQoS中，HQoS首先會保障高優先級業務，保障完畢高優先級業務后，再把剩余的帶寬調配給低優先級業務。此方案有利于提高帶寬的利用率，能夠讓用戶使用到所有帶寬，實現用戶權益的最大化。

精確識別MPLS L2VPN QoS方法在二層協議中的應用，通過配置非IP報文的總帶寬，實現對二層協議的流量限制[8]。對于Eth接入可以控制ARP報文和廣播報文的流量，從而避免ARP攻擊和廣播風暴搶占帶寬。對于PPP接入可以有效保障PPP的控制報文能夠正常交互。通過這些功能，實現對網絡二層協議的流量控制和保障，確保整個網絡的安全穩定運行。

4 結 語

精確識別MPLS L2VPN QoS方法解決了MPLS L2VPN在QoS方面所存在的問題，全面提升了MPLS L2VPN對流量的控制能力，實現MPLS L2VPN數據轉發和控制。從網絡服務提供者角度來看更易于管理、擴充性及安全性更好[9]。

精確識別MPLS L2VPN QoS方法能夠實現對信息通信網絡中MPLS L2VPN數據內層報文信息的實時提取及報文優先級別的判斷功能，為電力系統信息通信網絡的緊急報文提供了高優先級保障。經反復驗證，精確識別MPLS L2VPN QoS方法運行效果良好，能夠全面調度控制MPLS L2VPN網絡流量，有效防止和監控網絡安全事故的發生，實現對信息網絡的實時安全監測功能，為整個電力系統信息通信網絡的高效穩定運行奠定了堅實基礎[10]。

[1] 徐志根, 申曉峰, 杜麗萍. MPLS L2VPN的關鍵技術[J]. 西南交通大學學報, 2006，41(01):54-57. XU Zhi-gen, SHEN Xiao-feng, DU Li-ping. Key Technologies of L2 VPN based on MPLS[J]. Journal of SOUTHWEST JIAOTONG UNIVERSITY, 2006，41(1):54-57.

[2] 羅恒洋. 基于MPLS的二、三層VPN研究[J]. 計算機技術與發展, 2009,19(01):63-66. LUO Heng-yang. Research on L2 and L3 VPN Based on MPLS[J]. Computer Technology and Development, 2009,19(1):63-66.

[3] 鄧作. MPLS網絡中私網信息擴散方法研究[J]. 通信技術, 2007,40(09):49-51. DENG Zuo. Private Network Information Diffusing in MPLS Network[J]. Communications Technology, 2007,40(9) :49-51.

[4] 曹玉群.多段偽線技術[J].通信技術,2010,43(10): 92-94. CAO Yu-qun. Multi-segment Pseudo-wire Emulation Edge-to-Edge Techniques[J].Communications Technology, 2010,43(10):92-94.

[5] 張斌，陳巖.多場景MPLS標簽交換實現方法[J].通信技術,2014,47(03):271-274. ZHANG Bin, CHEN Yan. Implementation Technology of Multi-Scenario MPLS Label Switch[J]. Communications Technology, 2014,47(03):271-274.

[6] 張輝. 基于MPLS L2VPN的VPLS應用技術[J].計算機系統應用, 2004(01):48-50. ZHANG Hui. Based on MPLS L2VPN VPLS application technology[J].Computer System Applications,2004(01):48-50.

[7] 張予民,陳海.基于MPLS的第二層VPN技術探討[J]. 計算機與現代化, 2007(03):58-60. ZHANG Yu-min, CHEN Hai. Discussion About Layer-2 VPN based on MPLS[J]. Computer and Modernization, 2007,(3):58-60.

[8] 潘沛生, 鄭寶玉. 基于MPLS的第二層VPN技術[J]. 電力系統通信, 2006, 27(07):35-37. PAN Pei-sheng, ZHENG Bao-yu. Based on the Second Floor of the MPLS VPN Technology [J]. Telecommunications for Electric Power System,2006,27(07):35-37.

[9] 蘇雪娟， 黃玥， 孫宇. MPLS VPN技術在電力企業廣域網中的應用[J]. 電子科技, 2013, 26(03):137-139. SUXue-juan， HUANG Yue，SUN Yu. Application of MPLS VPN Technique in Power Enterprise Wide Area Network[J]. Electronic Science and Technology,2013,26(3): 137-139.

[10] 施幫利, 楊奕, 方良玲. 主動網絡技術在MPLS_VPN 中的應用研究[J]. 通信技術, 2009,42 (11):144-145. SHI Bang-li, YANG Yi, FANG Liang-ling. Application Research of Active Network Technology on MPLS_VPN[J]. Communications Technology, 2009,42(11):144-145.

FENG Ping (1984-), female, M. Sci., engineer, majoring in electric power communication.

袁 亮(1980—)，男，碩士，工程師，主要研究方向為信息通信。

YUAN Liang (1980-), male, M. Sci., engineer, majoringin information and communication.

Precise Recognition of MPLS L2VPN QoS

FENG Ping1, YUAN Liang2

(1. State Grid Guangyuan Electric Power Supply Company, Guangyuan Sichuan 628000, China;2. CHONGYOU HUICE,Chongqing 400000, China)

With the wide application of MPLS VPN technology in enterprise network,an even higher requirement on the QoS of VPN is proposed. Precise recognition of MPLS L2VPN QoS is adopted in the PE side,thus to implement in-depth analysis on the user L2VPN data packets and extract key information from the OSI seven-layer protocol, so as to get the message priority, and realize network monitoring, flow control and other functions. Actual application indicates that precise recognition method of MPLS L2VPN QoS could identify various of business flows of the existing network,and with respectively different QoS rules could isolate each business system and efficiently integrate enterprise’s external and internal information networks,thus to ensure the safe and stable operation of power network.

MPLS;LZVPN;QoS; network monitoring; flow control

date:2014-09-06；Revised date：2015-02-06

TN919.5

A

1002-0802(2015)03-0342-04

馮 平(1984—)，女，碩士，工程師，主要研究方向為電力通信；

10.3969/j.issn.1002-0802.2015.03.018

2014-09-06；

2015-02-06