馮 平，袁 亮

(1.國網(wǎng)廣元供電公司，四川 廣元 628000；2. 重郵匯測，重慶 400000)

精確識別MPLS L2VPN QoS方法*

馮 平1，袁 亮2

(1.國網(wǎng)廣元供電公司，四川 廣元 628000；2. 重郵匯測，重慶 400000)

隨著MPLS VPN技術(shù)在企業(yè)網(wǎng)絡(luò)中的廣泛應(yīng)用，同時(shí)也對VPN的服務(wù)質(zhì)量(QoS)提出了更高的要求。精確識別MPLS L2VPN QoS的方法是通過在PE側(cè)對用戶L2VPN數(shù)據(jù)包進(jìn)行深入分析提取OSI七層協(xié)議中關(guān)鍵信息，從而得到該報(bào)文的優(yōu)先級別，實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控及流量控制等功能。實(shí)際應(yīng)用表明, 精確識別MPLS L2VPN QoS方法可識別現(xiàn)有網(wǎng)絡(luò)各種業(yè)務(wù)流量，單獨(dú)采用不同的QoS規(guī)則，實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)之間的隔離以及企業(yè)信息外網(wǎng)與信息內(nèi)網(wǎng)的高效結(jié)合,保障電力網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。

MPLS L2VPN QoS 網(wǎng)絡(luò)監(jiān)控 流量控制

0 引 言

隨著網(wǎng)絡(luò)處理器技術(shù)的迅速發(fā)展，MPLS應(yīng)用逐步轉(zhuǎn)向MPLS流量工程和MPLS VPN等技術(shù)[1]。在IP網(wǎng)絡(luò)中，MPLS流量工程技術(shù)成為一種主要的管理網(wǎng)絡(luò)流量、減少擁塞、保證網(wǎng)絡(luò)服務(wù)質(zhì)量(QoS)的重要工具。采用MPLS L2VPN技術(shù)可將現(xiàn)有IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)，主要運(yùn)用于解決企業(yè)單獨(dú)互連、IP網(wǎng)絡(luò)地址不足、QoS保證等問題，在企業(yè)網(wǎng)絡(luò)中得到廣泛應(yīng)用。

隨著互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、通信網(wǎng)與電力系統(tǒng)的緊密融合，傳統(tǒng)電網(wǎng)向智能電網(wǎng)的全面升級已成必然，要順應(yīng)智能電網(wǎng)發(fā)展最新趨勢，電力用戶的業(yè)務(wù)不斷豐富，數(shù)據(jù)流量的持續(xù)增長，對業(yè)務(wù)的保障能力也提出了更高的要求，因此必須滿足電力用戶對網(wǎng)絡(luò)的QoS進(jìn)一步要求，全面提高電網(wǎng)智能化水平?；趲欣^/ATM/MPLS技術(shù)的傳統(tǒng)L2VPN QoS方法已不能適應(yīng)發(fā)展要求，本文重點(diǎn)討論基于MPLS技術(shù)的精確識別L2 VPN QoS方法。

1 傳統(tǒng)MPLS L2VPN QoS方法

傳統(tǒng)MPLS L2VPN QoS方法把用戶的全部報(bào)文作為一個(gè)分組，按照一個(gè)單一的規(guī)則進(jìn)行流量控制。其工作原理如圖1所示。

隨著網(wǎng)絡(luò)的迅速發(fā)展，用戶不斷在MPLS L2VPN網(wǎng)絡(luò)上面承載各種不同業(yè)務(wù)，例如有需要實(shí)時(shí)保障的電網(wǎng)控制業(yè)務(wù)和語音業(yè)務(wù)，也有低優(yōu)先級的大流量FTP下載業(yè)務(wù)。這樣在傳統(tǒng)MPLS L2VPN QoS方法下，特別在網(wǎng)絡(luò)擁塞的時(shí)候，不能夠識別用戶的高優(yōu)先級報(bào)文和低優(yōu)先級報(bào)文，會導(dǎo)致大量低優(yōu)先級的報(bào)文擠掉高優(yōu)先級的報(bào)文，從而使用戶高優(yōu)先級的業(yè)務(wù)受到嚴(yán)重影響，甚至?xí)绊懙接脩艟W(wǎng)絡(luò)和業(yè)務(wù)的穩(wěn)定性。

傳統(tǒng)MPLS L2VPN QoS方法缺乏流量控制手段，僅是通過在PE(邊緣路由器)側(cè)對所有流量進(jìn)行整體的流量限制，從而導(dǎo)致用戶因關(guān)鍵報(bào)文丟棄而被中斷網(wǎng)絡(luò)的情形時(shí)有發(fā)生。

對比MPLS L2VPN和L3VPN，從安全的角度來看,L2VPN只使用骨干網(wǎng)提供的鏈路層服務(wù)，專用性較強(qiáng)，服務(wù)提供商不需要了解用戶的網(wǎng)絡(luò)信息。而L3VPN的服務(wù)提供商PE設(shè)備了解用戶所有網(wǎng)絡(luò)信息，容易導(dǎo)致用戶網(wǎng)絡(luò)信息泄漏。從QoS方面來看，L3VPN能夠提供更好的QoS的保障。本文借鑒了L3VPN對IP層的QoS的保障方法應(yīng)用到L2VPN上面，同時(shí)提出了針對于L2VPN的二層協(xié)議報(bào)文的保障方法,使L2VPN能夠達(dá)到L3VPN高質(zhì)量的QoS保障能力[2]。

2 精確識別MPLS L2VPN QoS方法

為了保障用戶MPLS L2VPN網(wǎng)絡(luò)的穩(wěn)定性，確保關(guān)鍵核心業(yè)務(wù)的正常運(yùn)行，針對傳統(tǒng)MPLS L2VPN QoS業(yè)務(wù)保障能力較弱，極大的限制L2VPN網(wǎng)絡(luò)的部署，本文提出精確識別MPLS L2VPN QoS方法。

針對用戶提出的優(yōu)先級保障要求，需要對單個(gè)用戶的報(bào)文進(jìn)行精確識別，以確定不同報(bào)文的優(yōu)先級別[3]。常規(guī)識別報(bào)文是提取報(bào)文的5元組信息，但是報(bào)文的5元組信息只存在于IP報(bào)文中。而針對二層VPN，用戶側(cè)的二層報(bào)文都會進(jìn)入，存在大量的非IP報(bào)文。通過對現(xiàn)網(wǎng)非IP的二層報(bào)文進(jìn)行分析，統(tǒng)計(jì)結(jié)果表明其主要屬于網(wǎng)絡(luò)控制類報(bào)文(如ARP報(bào)文、RARP報(bào)文等)，因此對于非IP報(bào)文需要直接提取二層協(xié)議類型作為識別關(guān)鍵字。相對于傳統(tǒng)MPLS L2VPN QoS只能夠?qū)φ麄€(gè)端口限流，不能夠?qū)τ脩舻臉I(yè)務(wù)進(jìn)行流控，本文提出的方法從根本上解決了該問題，可以對用戶所有的業(yè)務(wù)都進(jìn)行全面的流控。

根據(jù)上面的分析提出了精確識別MPLS L2VPN QoS方法，工作流程如圖2所示，其主要工作原理：首先需要對用戶報(bào)文進(jìn)行IP包和非IP包的識別分類；IP報(bào)文提取三層的5元組信息，非IP報(bào)文提取二層的協(xié)議類型；最后按照規(guī)則進(jìn)行流量控制，實(shí)現(xiàn)對MPLS L2VPN報(bào)文的精確識別功能。

其配置的具體規(guī)則為：①流量限制規(guī)則，當(dāng)超過設(shè)置的流量時(shí)，直接丟棄報(bào)文;②重新設(shè)置優(yōu)先級標(biāo)記規(guī)則，設(shè)置報(bào)文的優(yōu)先級標(biāo)記位為指定優(yōu)先級;③直接丟棄規(guī)則，有可能是攻擊報(bào)文，或者禁止的業(yè)務(wù);④直接通過規(guī)則，有可能是比較重要的報(bào)文。

通過報(bào)文內(nèi)容關(guān)鍵信息提取，再配合規(guī)則的組合應(yīng)用，便可以實(shí)現(xiàn)對所有業(yè)務(wù)的流量管控，從而從根本上解決了MPLS L2VPN QoS對業(yè)務(wù)管控能力較弱的問題。

圖2 精確識別MPLS L2VPN QoS方法原理

對二層報(bào)文的限流可以使網(wǎng)絡(luò)更加穩(wěn)健，在PE側(cè)對ARP報(bào)文進(jìn)行限流，可以防范用戶側(cè)出現(xiàn)ARP攻擊及ARP風(fēng)暴等病毒。對三層報(bào)文的精確識別，提取出信令報(bào)文和需要保障的高優(yōu)先級業(yè)務(wù)，以及低優(yōu)先級的數(shù)據(jù)業(yè)務(wù)[4]。精確識別MPLS L2VPN QoS方法，通過在PE側(cè)對不同類型報(bào)文采用不同的限流控制，實(shí)現(xiàn)在網(wǎng)絡(luò)擁塞時(shí)對關(guān)鍵報(bào)文的優(yōu)先保障，保證用戶網(wǎng)絡(luò)及高優(yōu)先級業(yè)務(wù)的安全穩(wěn)定運(yùn)行。

從服務(wù)質(zhì)量的角度講，對于一個(gè)以太802.1q VLAN而言，入口路由器可以考慮VLAN標(biāo)志頭中的用戶優(yōu)先級，直接植入到選定封裝協(xié)議的QoS字段(MPLS標(biāo)簽棧中的EXP字段)。封裝轉(zhuǎn)換包在MPLS核心平臺上傳送時(shí)，根據(jù)MPLS的EXP字段來確保針對不同用戶需求的服務(wù)質(zhì)量保證。

如果業(yè)務(wù)提供者想將MPLS的QoS設(shè)置成不同于第二層幀比特位的值，則業(yè)務(wù)提供者可以直接設(shè)置MPLS EXP字段，而不是需要重寫第二層的頭。第二層的幀對用戶使用而言仍是可得的，而且在封裝后的包穿越MPLS網(wǎng)絡(luò)時(shí)卻不會對第二層的幀加以改變。事實(shí)上通過應(yīng)用精確識別的MPLS L2VPN QoS方法后，業(yè)務(wù)提供者能夠按照第二層數(shù)據(jù)幀類型、輸入接口，和第三層五元組信息進(jìn)行MPLS包的劃分，來標(biāo)記每個(gè)MPLS幀中的EXP字段而無需改變原始數(shù)據(jù)包的第二層字段。這一設(shè)置過程可以讓業(yè)務(wù)提供者不僅針對同一傳輸類型卻可以向不同的用戶提供不同的服務(wù)等級，而且也能針對同一個(gè)用戶不同的業(yè)務(wù)提供不同的服務(wù)等級。同時(shí)這一QoS手段可以與TE、HQoS結(jié)合進(jìn)一步確?？邕^MPLS域階段的服務(wù)質(zhì)量。

3 應(yīng) 用

精確識別MPLS L2VPN QoS方法是在PE(Provider Edge Router)服務(wù)提供商邊緣路由器設(shè)備上進(jìn)行實(shí)現(xiàn)的，對從CE(Customer Edge Router)網(wǎng)絡(luò)邊緣路由器設(shè)備側(cè)來的用戶數(shù)據(jù)進(jìn)行流量限制，P(Provider Edge Router)作為服務(wù)提供商核心路由器設(shè)備，主要負(fù)責(zé)MPLS的轉(zhuǎn)發(fā)，不與CE直接相連。精確識別MPLS L2VPN QoS方法在為用戶提供網(wǎng)絡(luò)服務(wù)的同時(shí)，盡可能地保障用戶網(wǎng)絡(luò)的穩(wěn)定性。MPLS L2VPN網(wǎng)絡(luò)部署組網(wǎng)如圖3所示。

圖3 MPLSL2VPN網(wǎng)絡(luò)部署組網(wǎng)

精確識別MPLS L2VPN QoS方法應(yīng)用十分廣泛，主要包括在ACL及HQoS下的具體實(shí)現(xiàn)[5]。例如用戶L2VPN的總帶寬是4 Mb/s，若用戶有一個(gè)需要保障的實(shí)時(shí)業(yè)務(wù)和一個(gè)使用80端口的上網(wǎng)業(yè)務(wù)，而上網(wǎng)業(yè)務(wù)會經(jīng)常搶占到所有帶寬，導(dǎo)致實(shí)時(shí)業(yè)務(wù)無法得到有效保障。此時(shí)，可配置一個(gè)ACL規(guī)則，對ACL匹配到80端口的業(yè)務(wù)做限速動作，將其限制到3 Mb/s，使用80端口的上網(wǎng)業(yè)務(wù)就被控制在最大帶寬3 Mb/s，從而不再影響實(shí)時(shí)業(yè)務(wù)。若用戶的實(shí)時(shí)業(yè)務(wù)占用帶寬特別小，可能導(dǎo)致用戶長期只能夠使用3 Mb/s帶寬，無法真正實(shí)現(xiàn)4 Mb/s帶寬，將ACL規(guī)則和層次化QoS(HQoS)配合一起使用便可以解決此問題[6-7]。具體實(shí)現(xiàn)方案是：配置兩個(gè)ACL規(guī)則，將一個(gè)ACL規(guī)則匹配到80端口的上網(wǎng)業(yè)務(wù)標(biāo)記為低優(yōu)先級業(yè)務(wù)，另外一個(gè)ACL規(guī)則匹配到實(shí)時(shí)業(yè)務(wù)標(biāo)記為高優(yōu)先級業(yè)務(wù)，然后再調(diào)度到HQoS中，HQoS首先會保障高優(yōu)先級業(yè)務(wù)，保障完畢高優(yōu)先級業(yè)務(wù)后，再把剩余的帶寬調(diào)配給低優(yōu)先級業(yè)務(wù)。此方案有利于提高帶寬的利用率，能夠讓用戶使用到所有帶寬，實(shí)現(xiàn)用戶權(quán)益的最大化。

精確識別MPLS L2VPN QoS方法在二層協(xié)議中的應(yīng)用，通過配置非IP報(bào)文的總帶寬，實(shí)現(xiàn)對二層協(xié)議的流量限制[8]。對于Eth接入可以控制ARP報(bào)文和廣播報(bào)文的流量，從而避免ARP攻擊和廣播風(fēng)暴搶占帶寬。對于PPP接入可以有效保障PPP的控制報(bào)文能夠正常交互。通過這些功能，實(shí)現(xiàn)對網(wǎng)絡(luò)二層協(xié)議的流量控制和保障，確保整個(gè)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。

4 結(jié) 語

精確識別MPLS L2VPN QoS方法解決了MPLS L2VPN在QoS方面所存在的問題，全面提升了MPLS L2VPN對流量的控制能力，實(shí)現(xiàn)MPLS L2VPN數(shù)據(jù)轉(zhuǎn)發(fā)和控制。從網(wǎng)絡(luò)服務(wù)提供者角度來看更易于管理、擴(kuò)充性及安全性更好[9]。

精確識別MPLS L2VPN QoS方法能夠?qū)崿F(xiàn)對信息通信網(wǎng)絡(luò)中MPLS L2VPN數(shù)據(jù)內(nèi)層報(bào)文信息的實(shí)時(shí)提取及報(bào)文優(yōu)先級別的判斷功能，為電力系統(tǒng)信息通信網(wǎng)絡(luò)的緊急報(bào)文提供了高優(yōu)先級保障。經(jīng)反復(fù)驗(yàn)證，精確識別MPLS L2VPN QoS方法運(yùn)行效果良好，能夠全面調(diào)度控制MPLS L2VPN網(wǎng)絡(luò)流量，有效防止和監(jiān)控網(wǎng)絡(luò)安全事故的發(fā)生，實(shí)現(xiàn)對信息網(wǎng)絡(luò)的實(shí)時(shí)安全監(jiān)測功能，為整個(gè)電力系統(tǒng)信息通信網(wǎng)絡(luò)的高效穩(wěn)定運(yùn)行奠定了堅(jiān)實(shí)基礎(chǔ)[10]。

[1] 徐志根, 申曉峰, 杜麗萍. MPLS L2VPN的關(guān)鍵技術(shù)[J]. 西南交通大學(xué)學(xué)報(bào), 2006，41(01):54-57. XU Zhi-gen, SHEN Xiao-feng, DU Li-ping. Key Technologies of L2 VPN based on MPLS[J]. Journal of SOUTHWEST JIAOTONG UNIVERSITY, 2006，41(1):54-57.

[2] 羅恒洋. 基于MPLS的二、三層VPN研究[J]. 計(jì)算機(jī)技術(shù)與發(fā)展, 2009,19(01):63-66. LUO Heng-yang. Research on L2 and L3 VPN Based on MPLS[J]. Computer Technology and Development, 2009,19(1):63-66.

[3] 鄧作. MPLS網(wǎng)絡(luò)中私網(wǎng)信息擴(kuò)散方法研究[J]. 通信技術(shù), 2007,40(09):49-51. DENG Zuo. Private Network Information Diffusing in MPLS Network[J]. Communications Technology, 2007,40(9) :49-51.

[4] 曹玉群.多段偽線技術(shù)[J].通信技術(shù),2010,43(10): 92-94. CAO Yu-qun. Multi-segment Pseudo-wire Emulation Edge-to-Edge Techniques[J].Communications Technology, 2010,43(10):92-94.

[5] 張斌，陳巖.多場景MPLS標(biāo)簽交換實(shí)現(xiàn)方法[J].通信技術(shù),2014,47(03):271-274. ZHANG Bin, CHEN Yan. Implementation Technology of Multi-Scenario MPLS Label Switch[J]. Communications Technology, 2014,47(03):271-274.

[6] 張輝. 基于MPLS L2VPN的VPLS應(yīng)用技術(shù)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用, 2004(01):48-50. ZHANG Hui. Based on MPLS L2VPN VPLS application technology[J].Computer System Applications,2004(01):48-50.

[7] 張予民,陳海.基于MPLS的第二層VPN技術(shù)探討[J]. 計(jì)算機(jī)與現(xiàn)代化, 2007(03):58-60. ZHANG Yu-min, CHEN Hai. Discussion About Layer-2 VPN based on MPLS[J]. Computer and Modernization, 2007,(3):58-60.

[8] 潘沛生, 鄭寶玉. 基于MPLS的第二層VPN技術(shù)[J]. 電力系統(tǒng)通信, 2006, 27(07):35-37. PAN Pei-sheng, ZHENG Bao-yu. Based on the Second Floor of the MPLS VPN Technology [J]. Telecommunications for Electric Power System,2006,27(07):35-37.

[9] 蘇雪娟， 黃玥， 孫宇. MPLS VPN技術(shù)在電力企業(yè)廣域網(wǎng)中的應(yīng)用[J]. 電子科技, 2013, 26(03):137-139. SUXue-juan， HUANG Yue，SUN Yu. Application of MPLS VPN Technique in Power Enterprise Wide Area Network[J]. Electronic Science and Technology,2013,26(3): 137-139.

[10] 施幫利, 楊奕, 方良玲. 主動網(wǎng)絡(luò)技術(shù)在MPLS_VPN 中的應(yīng)用研究[J]. 通信技術(shù), 2009,42 (11):144-145. SHI Bang-li, YANG Yi, FANG Liang-ling. Application Research of Active Network Technology on MPLS_VPN[J]. Communications Technology, 2009,42(11):144-145.

FENG Ping (1984-), female, M. Sci., engineer, majoring in electric power communication.

袁 亮(1980—)，男，碩士，工程師，主要研究方向?yàn)樾畔⑼ㄐ拧?/p>

YUAN Liang (1980-), male, M. Sci., engineer, majoringin information and communication.

Precise Recognition of MPLS L2VPN QoS

FENG Ping1, YUAN Liang2

(1. State Grid Guangyuan Electric Power Supply Company, Guangyuan Sichuan 628000, China;2. CHONGYOU HUICE,Chongqing 400000, China)

With the wide application of MPLS VPN technology in enterprise network,an even higher requirement on the QoS of VPN is proposed. Precise recognition of MPLS L2VPN QoS is adopted in the PE side,thus to implement in-depth analysis on the user L2VPN data packets and extract key information from the OSI seven-layer protocol, so as to get the message priority, and realize network monitoring, flow control and other functions. Actual application indicates that precise recognition method of MPLS L2VPN QoS could identify various of business flows of the existing network,and with respectively different QoS rules could isolate each business system and efficiently integrate enterprise’s external and internal information networks,thus to ensure the safe and stable operation of power network.

MPLS;LZVPN;QoS; network monitoring; flow control

date:2014-09-06；Revised date：2015-02-06

TN919.5

A

1002-0802(2015)03-0342-04

馮 平(1984—)，女，碩士，工程師，主要研究方向?yàn)殡娏νㄐ牛?/p>

10.3969/j.issn.1002-0802.2015.03.018

2014-09-06；

2015-02-06