精确识别MPLS L2VPN QoS方法*

冯 平，袁 亮

(1.国网广元供电公司，四川 广元 628000；2. 重邮汇测，重庆 400000)

精确识别MPLS L2VPN QoS方法*

冯 平1，袁 亮2

(1.国网广元供电公司，四川 广元 628000；2. 重邮汇测，重庆 400000)

随着MPLS VPN技术在企业网络中的广泛应用，同时也对VPN的服务质量(QoS)提出了更高的要求。精确识别MPLS L2VPN QoS的方法是通过在PE侧对用户L2VPN数据包进行深入分析提取OSI七层协议中关键信息，从而得到该报文的优先级别，实现网络监控及流量控制等功能。实际应用表明, 精确识别MPLS L2VPN QoS方法可识别现有网络各种业务流量，单独采用不同的QoS规则，实现各个业务系统之间的隔离以及企业信息外网与信息内网的高效结合,保障电力网络的安全稳定运行。

MPLS L2VPN QoS 网络监控 流量控制

0 引 言

随着网络处理器技术的迅速发展，MPLS应用逐步转向MPLS流量工程和MPLS VPN等技术[1]。在IP网络中，MPLS流量工程技术成为一种主要的管理网络流量、减少拥塞、保证网络服务质量(QoS)的重要工具。采用MPLS L2VPN技术可将现有IP网络分解成逻辑上隔离的网络，主要运用于解决企业单独互连、IP网络地址不足、QoS保证等问题，在企业网络中得到广泛应用。

随着互联网、物联网、通信网与电力系统的紧密融合，传统电网向智能电网的全面升级已成必然，要顺应智能电网发展最新趋势，电力用户的业务不断丰富，数据流量的持续增长，对业务的保障能力也提出了更高的要求，因此必须满足电力用户对网络的QoS进一步要求，全面提高电网智能化水平。基于帧中继/ATM/MPLS技术的传统L2VPN QoS方法已不能适应发展要求，本文重点讨论基于MPLS技术的精确识别L2 VPN QoS方法。

1 传统MPLS L2VPN QoS方法

传统MPLS L2VPN QoS方法把用户的全部报文作为一个分组，按照一个单一的规则进行流量控制。其工作原理如图1所示。

随着网络的迅速发展，用户不断在MPLS L2VPN网络上面承载各种不同业务，例如有需要实时保障的电网控制业务和语音业务，也有低优先级的大流量FTP下载业务。这样在传统MPLS L2VPN QoS方法下，特别在网络拥塞的时候，不能够识别用户的高优先级报文和低优先级报文，会导致大量低优先级的报文挤掉高优先级的报文，从而使用户高优先级的业务受到严重影响，甚至会影响到用户网络和业务的稳定性。

传统MPLS L2VPN QoS方法缺乏流量控制手段，仅是通过在PE(边缘路由器)侧对所有流量进行整体的流量限制，从而导致用户因关键报文丢弃而被中断网络的情形时有发生。

对比MPLS L2VPN和L3VPN，从安全的角度来看,L2VPN只使用骨干网提供的链路层服务，专用性较强，服务提供商不需要了解用户的网络信息。而L3VPN的服务提供商PE设备了解用户所有网络信息，容易导致用户网络信息泄漏。从QoS方面来看，L3VPN能够提供更好的QoS的保障。本文借鉴了L3VPN对IP层的QoS的保障方法应用到L2VPN上面，同时提出了针对于L2VPN的二层协议报文的保障方法,使L2VPN能够达到L3VPN高质量的QoS保障能力[2]。

2 精确识别MPLS L2VPN QoS方法

为了保障用户MPLS L2VPN网络的稳定性，确保关键核心业务的正常运行，针对传统MPLS L2VPN QoS业务保障能力较弱，极大的限制L2VPN网络的部署，本文提出精确识别MPLS L2VPN QoS方法。

针对用户提出的优先级保障要求，需要对单个用户的报文进行精确识别，以确定不同报文的优先级别[3]。常规识别报文是提取报文的5元组信息，但是报文的5元组信息只存在于IP报文中。而针对二层VPN，用户侧的二层报文都会进入，存在大量的非IP报文。通过对现网非IP的二层报文进行分析，统计结果表明其主要属于网络控制类报文(如ARP报文、RARP报文等)，因此对于非IP报文需要直接提取二层协议类型作为识别关键字。相对于传统MPLS L2VPN QoS只能够对整个端口限流，不能够对用户的业务进行流控，本文提出的方法从根本上解决了该问题，可以对用户所有的业务都进行全面的流控。

根据上面的分析提出了精确识别MPLS L2VPN QoS方法，工作流程如图2所示，其主要工作原理：首先需要对用户报文进行IP包和非IP包的识别分类；IP报文提取三层的5元组信息，非IP报文提取二层的协议类型；最后按照规则进行流量控制，实现对MPLS L2VPN报文的精确识别功能。

其配置的具体规则为：①流量限制规则，当超过设置的流量时，直接丢弃报文;②重新设置优先级标记规则，设置报文的优先级标记位为指定优先级;③直接丢弃规则，有可能是攻击报文，或者禁止的业务;④直接通过规则，有可能是比较重要的报文。

通过报文内容关键信息提取，再配合规则的组合应用，便可以实现对所有业务的流量管控，从而从根本上解决了MPLS L2VPN QoS对业务管控能力较弱的问题。

图2 精确识别MPLS L2VPN QoS方法原理

对二层报文的限流可以使网络更加稳健，在PE侧对ARP报文进行限流，可以防范用户侧出现ARP攻击及ARP风暴等病毒。对三层报文的精确识别，提取出信令报文和需要保障的高优先级业务，以及低优先级的数据业务[4]。精确识别MPLS L2VPN QoS方法，通过在PE侧对不同类型报文采用不同的限流控制，实现在网络拥塞时对关键报文的优先保障，保证用户网络及高优先级业务的安全稳定运行。

从服务质量的角度讲，对于一个以太802.1q VLAN而言，入口路由器可以考虑VLAN标志头中的用户优先级，直接植入到选定封装协议的QoS字段(MPLS标签栈中的EXP字段)。封装转换包在MPLS核心平台上传送时，根据MPLS的EXP字段来确保针对不同用户需求的服务质量保证。

如果业务提供者想将MPLS的QoS设置成不同于第二层帧比特位的值，则业务提供者可以直接设置MPLS EXP字段，而不是需要重写第二层的头。第二层的帧对用户使用而言仍是可得的，而且在封装后的包穿越MPLS网络时却不会对第二层的帧加以改变。事实上通过应用精确识别的MPLS L2VPN QoS方法后，业务提供者能够按照第二层数据帧类型、输入接口，和第三层五元组信息进行MPLS包的划分，来标记每个MPLS帧中的EXP字段而无需改变原始数据包的第二层字段。这一设置过程可以让业务提供者不仅针对同一传输类型却可以向不同的用户提供不同的服务等级，而且也能针对同一个用户不同的业务提供不同的服务等级。同时这一QoS手段可以与TE、HQoS结合进一步确保跨过MPLS域阶段的服务质量。

3 应 用

精确识别MPLS L2VPN QoS方法是在PE(Provider Edge Router)服务提供商边缘路由器设备上进行实现的，对从CE(Customer Edge Router)网络边缘路由器设备侧来的用户数据进行流量限制，P(Provider Edge Router)作为服务提供商核心路由器设备，主要负责MPLS的转发，不与CE直接相连。精确识别MPLS L2VPN QoS方法在为用户提供网络服务的同时，尽可能地保障用户网络的稳定性。MPLS L2VPN网络部署组网如图3所示。

图3 MPLSL2VPN网络部署组网

精确识别MPLS L2VPN QoS方法应用十分广泛，主要包括在ACL及HQoS下的具体实现[5]。例如用户L2VPN的总带宽是4 Mb/s，若用户有一个需要保障的实时业务和一个使用80端口的上网业务，而上网业务会经常抢占到所有带宽，导致实时业务无法得到有效保障。此时，可配置一个ACL规则，对ACL匹配到80端口的业务做限速动作，将其限制到3 Mb/s，使用80端口的上网业务就被控制在最大带宽3 Mb/s，从而不再影响实时业务。若用户的实时业务占用带宽特别小，可能导致用户长期只能够使用3 Mb/s带宽，无法真正实现4 Mb/s带宽，将ACL规则和层次化QoS(HQoS)配合一起使用便可以解决此问题[6-7]。具体实现方案是：配置两个ACL规则，将一个ACL规则匹配到80端口的上网业务标记为低优先级业务，另外一个ACL规则匹配到实时业务标记为高优先级业务，然后再调度到HQoS中，HQoS首先会保障高优先级业务，保障完毕高优先级业务后，再把剩余的带宽调配给低优先级业务。此方案有利于提高带宽的利用率，能够让用户使用到所有带宽，实现用户权益的最大化。

精确识别MPLS L2VPN QoS方法在二层协议中的应用，通过配置非IP报文的总带宽，实现对二层协议的流量限制[8]。对于Eth接入可以控制ARP报文和广播报文的流量，从而避免ARP攻击和广播风暴抢占带宽。对于PPP接入可以有效保障PPP的控制报文能够正常交互。通过这些功能，实现对网络二层协议的流量控制和保障，确保整个网络的安全稳定运行。

4 结 语

精确识别MPLS L2VPN QoS方法解决了MPLS L2VPN在QoS方面所存在的问题，全面提升了MPLS L2VPN对流量的控制能力，实现MPLS L2VPN数据转发和控制。从网络服务提供者角度来看更易于管理、扩充性及安全性更好[9]。

精确识别MPLS L2VPN QoS方法能够实现对信息通信网络中MPLS L2VPN数据内层报文信息的实时提取及报文优先级别的判断功能，为电力系统信息通信网络的紧急报文提供了高优先级保障。经反复验证，精确识别MPLS L2VPN QoS方法运行效果良好，能够全面调度控制MPLS L2VPN网络流量，有效防止和监控网络安全事故的发生，实现对信息网络的实时安全监测功能，为整个电力系统信息通信网络的高效稳定运行奠定了坚实基础[10]。

[1] 徐志根, 申晓峰, 杜丽萍. MPLS L2VPN的关键技术[J]. 西南交通大学学报, 2006，41(01):54-57. XU Zhi-gen, SHEN Xiao-feng, DU Li-ping. Key Technologies of L2 VPN based on MPLS[J]. Journal of SOUTHWEST JIAOTONG UNIVERSITY, 2006，41(1):54-57.

[2] 罗恒洋. 基于MPLS的二、三层VPN研究[J]. 计算机技术与发展, 2009,19(01):63-66. LUO Heng-yang. Research on L2 and L3 VPN Based on MPLS[J]. Computer Technology and Development, 2009,19(1):63-66.

[3] 邓作. MPLS网络中私网信息扩散方法研究[J]. 通信技术, 2007,40(09):49-51. DENG Zuo. Private Network Information Diffusing in MPLS Network[J]. Communications Technology, 2007,40(9) :49-51.

[4] 曹玉群.多段伪线技术[J].通信技术,2010,43(10): 92-94. CAO Yu-qun. Multi-segment Pseudo-wire Emulation Edge-to-Edge Techniques[J].Communications Technology, 2010,43(10):92-94.

[5] 张斌，陈岩.多场景MPLS标签交换实现方法[J].通信技术,2014,47(03):271-274. ZHANG Bin, CHEN Yan. Implementation Technology of Multi-Scenario MPLS Label Switch[J]. Communications Technology, 2014,47(03):271-274.

[6] 张辉. 基于MPLS L2VPN的VPLS应用技术[J].计算机系统应用, 2004(01):48-50. ZHANG Hui. Based on MPLS L2VPN VPLS application technology[J].Computer System Applications,2004(01):48-50.

[7] 张予民,陈海.基于MPLS的第二层VPN技术探讨[J]. 计算机与现代化, 2007(03):58-60. ZHANG Yu-min, CHEN Hai. Discussion About Layer-2 VPN based on MPLS[J]. Computer and Modernization, 2007,(3):58-60.

[8] 潘沛生, 郑宝玉. 基于MPLS的第二层VPN技术[J]. 电力系统通信, 2006, 27(07):35-37. PAN Pei-sheng, ZHENG Bao-yu. Based on the Second Floor of the MPLS VPN Technology [J]. Telecommunications for Electric Power System,2006,27(07):35-37.

[9] 苏雪娟， 黄玥， 孙宇. MPLS VPN技术在电力企业广域网中的应用[J]. 电子科技, 2013, 26(03):137-139. SUXue-juan， HUANG Yue，SUN Yu. Application of MPLS VPN Technique in Power Enterprise Wide Area Network[J]. Electronic Science and Technology,2013,26(3): 137-139.

[10] 施帮利, 杨奕, 方良玲. 主动网络技术在MPLS_VPN 中的应用研究[J]. 通信技术, 2009,42 (11):144-145. SHI Bang-li, YANG Yi, FANG Liang-ling. Application Research of Active Network Technology on MPLS_VPN[J]. Communications Technology, 2009,42(11):144-145.

FENG Ping (1984-), female, M. Sci., engineer, majoring in electric power communication.

袁 亮(1980—)，男，硕士，工程师，主要研究方向为信息通信。

YUAN Liang (1980-), male, M. Sci., engineer, majoringin information and communication.

Precise Recognition of MPLS L2VPN QoS

FENG Ping1, YUAN Liang2

(1. State Grid Guangyuan Electric Power Supply Company, Guangyuan Sichuan 628000, China;2. CHONGYOU HUICE,Chongqing 400000, China)

With the wide application of MPLS VPN technology in enterprise network,an even higher requirement on the QoS of VPN is proposed. Precise recognition of MPLS L2VPN QoS is adopted in the PE side,thus to implement in-depth analysis on the user L2VPN data packets and extract key information from the OSI seven-layer protocol, so as to get the message priority, and realize network monitoring, flow control and other functions. Actual application indicates that precise recognition method of MPLS L2VPN QoS could identify various of business flows of the existing network,and with respectively different QoS rules could isolate each business system and efficiently integrate enterprise’s external and internal information networks,thus to ensure the safe and stable operation of power network.

MPLS;LZVPN;QoS; network monitoring; flow control

date:2014-09-06；Revised date：2015-02-06

TN919.5

A

1002-0802(2015)03-0342-04

冯 平(1984—)，女，硕士，工程师，主要研究方向为电力通信；

10.3969/j.issn.1002-0802.2015.03.018

2014-09-06；

2015-02-06