一、MPLSVPN的QoS問題
    虛擬私有網(wǎng)絡（VPN，VirtualPrivateNetwork）是一種利用公共網(wǎng)絡來構建私有專用的技術，這種VPN網(wǎng)絡必須提供與企業(yè)現(xiàn)有私網(wǎng)相同的安全性、可靠性和可管理性。MPLSVPN是近年來興起的一種IPVPN技術，相對ATM/FRVPN技術而言，MPLSVPN具有高帶寬、低成本、可擴展性好、支持異種介質(zhì)互連、支持任意拓樸和接入等特點。因此它在以下兩方面獲得廣泛的應用：一，企業(yè)互聯(lián)，即企業(yè)總部、分支機構和出差員工通過VPN技術進行安全、可靠的通信。二、業(yè)務隔離，在一個物理基礎網(wǎng)絡上承載多種業(yè)務，為了保證每個業(yè)務的獨立運營，采用VPN相互隔離。相比Internet上網(wǎng)業(yè)務來講，這兩類應用對網(wǎng)絡的QoS提出了更高的要求。

    為解決QoS問題，業(yè)界提出了多種模型，其中最主要的有三種：

Best-Effortservice（盡力而為服務模型）
    Best-Effort是一個單一的服務模型，也是最簡單的服務模型。沒有提供任何QOS保證。

Integratedservice（綜合服務模型，簡稱Intserv）
    IntServ是一種理想化的QoS模型，可以為各類型的業(yè)務提供嚴格的QoS保證，并充分利用網(wǎng)絡資源。但這個模型存在嚴重的可擴展性問題，從而使得這一模型僅具有理論上的意義，從未真正實施過。

Differentiatedservice（區(qū)分服務模型，簡稱Diffserv）
    DiffServ模型以簡單性和可擴展性見長，在每一跳上，可以保證某個優(yōu)先級的總流量的QoS。但在一個優(yōu)先級內(nèi)部不能保證每個流的QoS。

    MPLS技術的產(chǎn)生，為解決QoS問題帶來了新的希望，這是因為，相對于無連接的IP技術，MPLS具有面向連接的特點，在LSP建立起來之后，數(shù)據(jù)流將沿著固定的路徑，通過標簽交換到達目的地。如果針對這個LSP實施QoS，就有可能解決通過LSP的數(shù)據(jù)流的QoS問題。按照這個思路，DiffServ/IntServ模型被運用到MPLS中。其中，MPLS同DiffServ結合，產(chǎn)生了MPLSDiffServ技術。MPLS同IntServ的結合，產(chǎn)生了流量工程(TrafficEngineer)技術。

    這里我們重點闡述流量工程。流量工程關注網(wǎng)絡整體性能的優(yōu)化，其主要目標是方便地提供高效的、可靠的網(wǎng)絡服務，優(yōu)化網(wǎng)絡資源的使用，優(yōu)化網(wǎng)絡流量。這分兩個層面：一是面向流量的，即關注如何提高網(wǎng)絡的服務質(zhì)量；二是面向資源的，即關注如何優(yōu)化網(wǎng)絡資源的使用，最主要是帶寬資源的有效利用。

    MPLS與流量工程相結合的技術--MPLSTE應運而生。MPLSTE在解決網(wǎng)絡擁塞問題是有著自己的優(yōu)勢。運營商可以精確地控制流量流經(jīng)的路徑，從而可以避開擁塞的節(jié)點，解決那種一部分路徑過載，另一部分路徑空閑的問題，使現(xiàn)有的帶寬資源充分利用起來。通過MPLSTE，可為用戶創(chuàng)建具有帶寬保證的隧道，但如果在隧道中同時傳送EF、AF及BE業(yè)務時，業(yè)務之間會相互干擾，也就是說MPLSTE存在一個嚴重的問題——MPLSTE隧道不能夠感知業(yè)務類型。為此，2002年業(yè)界提出了一種MPLSDiffServ-AwareTE的解決方案。

    MPLSDS-TE能夠結合差分服務與流量工程的優(yōu)點，能夠?qū)Σ煌惖牧鬟M行不同帶寬的帶寬約束，并且根據(jù)該流的帶寬約束動態(tài)調(diào)節(jié)流量，是解決骨干網(wǎng)QoS的有效技術。

二、VPNQoS模型
    VPN用戶需要的是一種端到端的QOS保證，由于VPN流量跨越了用戶網(wǎng)絡和運營商網(wǎng)絡，與普通QoS實施方法不同，VPN的QoS保證需要分解為兩個層次。第一個層次是真正的端到端，保證用戶流量的QoS。第二個層次是CE到CE，從運營商的角度來看，這是它能夠負責和實施QoS策略的一部分網(wǎng)絡。從用戶的角度看，運營商網(wǎng)絡是透明的。[nextpage]

    這種分層使得端到端QoS問題分解為兩個子問題，并且它們是獨立的，分別由用戶和運營商解決。運營網(wǎng)絡的責任就是解決CE-CE間QoS保證，無需將問題復雜化。下面我們將就這個問題展開討論。

    回顧MPLSVPN模型，CE-CE間又分為三段，CE-PE、PE-PE和PE-CE。其中，CE-PE間的連接是物理鏈路或虛連接，目前有多種方法保證鏈路級的QoS，是一個已經(jīng)解決的問題。而PE-PE之間的帶寬被多個VPN所共享，如何解決這些VPN對帶寬的競爭，并具備效率和擴展性，是目前面臨的一個難題。

三、現(xiàn)有解決方案及缺陷
1、VPN+DiffServ方式
    這種方式先在PE間建立E-LSP或L-LSP，VPN流量進入PE時，或者預先設置了優(yōu)先級，或者由PE設置優(yōu)先級，進入MPLS域后，根據(jù)優(yōu)先級在每一跳上進行PHB處理。這種方式實現(xiàn)簡單，但存在兩個問題：

    第一，每一跳上為某個優(yōu)先級分配的資源是被多個業(yè)務流共享的，它們之間存在著競爭。由于IP流量具有突發(fā)性的特點，如果按照高峰流量分配帶寬，存在極大的資源浪費，如果按照平均流量分配帶寬，則無法避免某個業(yè)務流在擁塞時發(fā)生的丟包；

    第二，業(yè)務流經(jīng)過多個鏈路，雖然這些鏈路上都為優(yōu)先級分配了帶寬，但可能存在不匹配的情況，有些鏈路帶寬是足夠的，而有些鏈路可能不夠，這就無法保證端到端的QoS。

2、CCC方式
    CCC是CrossConnectCircuit的縮寫，是通過靜態(tài)配置方式實現(xiàn)CE-CE間虛連接的一種方式。由于CCC是專用的，包括PE-PE間的LSP及兩端的PE-CE鏈路，因此保證了端到端的帶寬。這種方式的缺點是擴展性差，由于沒有采用隧道復用技術，LSP的數(shù)目與CE的平方成正比，在骨干網(wǎng)中需要大量的LSP。CE和PE的初始配置復雜，添加、刪除和更改CE和PE時，所需的配置工作也很復雜。因此，CCC方式只適用于小數(shù)量的個別私有連接。

    綜上所述，目前的技術在解決VPNQoS時，仍然存在種種不足。一些顯而易見的方式不具備實際的可能性，在QoS保證、效率和擴展性之間難以取得平衡，如DiffServ方案，擴展性好，但帶寬利用率低，QoS保證能力差。而CCC方案QoS保證能力強，通過流量工程能提高網(wǎng)絡資源利用率，但擴展性差，為解決問題，需要新的思路。

四、VPN-AwareTE方案
1、VPN-AwareTE方案探討
    TE可使網(wǎng)絡的流量與網(wǎng)絡拓樸匹配，達到提高網(wǎng)絡資源利用率的目的。在簡單的應用方式下，可根據(jù)用戶需求（顯示路由、帶寬等）和網(wǎng)絡的資源情況，通過RSVP-TE或CR-LDP信令建立一條跨越骨干網(wǎng)的從LER到LER的隧道，并完成隧道的維護、統(tǒng)計、屬性修改（如帶寬）和備份等功能。在LER與LER設備之間，可以認為通過一個隧道直連，該隧道具有嚴格的QoS保證，能自適應網(wǎng)絡的拓樸，并可通過備份LSP、快速重路由等方式進行額外保護。采用TE隧道保證VPN帶寬，是一種較為理想的方案。但前面已經(jīng)分析，為每一對CE-CE間使用專用TE隧道的方案無法大規(guī)模部署。因此，應當通過隧道復用技術來解決這個問題。

    在MPLSVPN中，多個VPN復用PE-PE間的LSP，采用TE技術建立這樣的LSP，其帶寬被多個VPN共享，各VPN競爭資源時必將導致QoS的下降。此時，需要引入一種機制來解決這種競爭，這種方法就是由TE隧道根據(jù)VPN對帶寬的需求進行調(diào)整，這種方式又稱為VPN-AwareTE。[nextpage]

    首先，我們要解決TE隧道既共享又競爭的關系，我們可以通過CAR來解決這個問題。運營商在向VPN用戶提供服務時，要和用戶簽訂相關的QoS服務協(xié)議，運營商在接入一個VPN用戶的業(yè)務時，我們可以實現(xiàn)確定這個VPN用戶的業(yè)務類型和對應的帶寬要求，那么我們將VPN用戶的業(yè)務和某個TE隧道導入時，必須確保用戶的流量不會超過預知的帶寬，因此必須在TE隧道的入口對VPN流量作CAR來做帶寬限制。實施了這樣的限制后，就好像在CE-CE間建立了一個有QoS保證的子隧道，而這個子隧道是嵌套在外層的TE隧道中的，并且外層隧道的總帶寬是各個子隧道帶寬之和。這樣就以一種高效率的方式解決了共享情況下的帶寬保證的要求，CE-CE間獲得了虛擬的專用帶寬。

    其次，我們要解決一個VPN有多種QoS需求的問題。在這里可以借鑒一下DiffServ模型中對QoS的解決辦法。在我們上面對VPN中的QoS需求分析中，我們提到，現(xiàn)在用戶的VPN業(yè)務主要可以分為以下幾類：視頻和語音業(yè)務、關鍵的數(shù)據(jù)業(yè)務、普通的上網(wǎng)業(yè)務。上面的幾種業(yè)務類型正好對應于DiffServ模型中的EF,AF,BE三種業(yè)務，或許用戶還有其他的特殊業(yè)務類型?？傊?，我們可以把用戶的業(yè)務類型分為有限的幾種業(yè)務，那么我們可以在兩個PE設備之間創(chuàng)建幾條隧道。其中每一條隧道對應了一種VPN用戶的業(yè)務類型。這樣可以讓兩個PE之間凡是業(yè)務類型相同的兩方面VPN用戶的業(yè)務走一條相同的業(yè)務類型的隧道。這樣可以保證幾種不同類型業(yè)務之間不會有資源搶占問題。比如FTP流量不會影響到語音的時延和抖動。如果由于新增的VPN用戶或是用戶對帶寬的需求增加了，那我們可以通過動態(tài)調(diào)整一條TE隧道的帶寬，或是另外創(chuàng)建一條新的TE隧道來接納VPN用戶的業(yè)務。

    上面提到VPN用戶的不同業(yè)務被選擇導入到不同的隧道，隧道有一個總的帶寬保證，再對用戶的每一種業(yè)務做一次帶寬保證。下面我們要說明的是怎么把用戶的業(yè)務根據(jù)需要分類來自動的導入到對應的TE隧道，以及TE隧道帶寬根據(jù)業(yè)務流量大小自動調(diào)整過程。

    在PE設備上對于收到的VPN用戶的流量做自動的分類，我們可以借助MPLSVPN的路由上的屬性，因為路由本身有很多可以標識網(wǎng)絡拓樸和業(yè)務分類的屬性，比如通過MPLSVPN路由我們可以區(qū)分一個路由的VPN屬性，可以根據(jù)一個VPN路由的下一跳屬性來確定業(yè)務是到達哪個PE的，這樣就可以在兩個PE之間做隧道選擇，更深入的業(yè)務細分，VPN用戶在兩個PE之間的業(yè)務可以進一步細分，比如兩點之間可能有數(shù)據(jù)業(yè)務，也有語音業(yè)務等，對于這樣的業(yè)務可以進一步細分化。也可以根據(jù)VPN用戶網(wǎng)絡拓樸的分布，可以通過配置相同團體屬性的方法，進行拓樸分布區(qū)分，這樣在入端PE就可以根據(jù)路由的團體屬性等做業(yè)務區(qū)分。

    可以看出通過上面的這些路由屬性做業(yè)務分類，靈活性要比根據(jù)報文的五元組做業(yè)務分類要方便很多，而且是可以動態(tài)生成的。相比較，根據(jù)路由屬性來分類更容易體現(xiàn)用戶整網(wǎng)的業(yè)務細分化。根據(jù)路由相關屬性我們可以做到以下細分化：
a.區(qū)分不同的VPN的業(yè)務
b.區(qū)分一個VPN內(nèi)到達不同PE的業(yè)務
c.區(qū)分一個VPN內(nèi)到達同一個PE的不同業(yè)務
d.根據(jù)團體屬性可以根據(jù)VPN用戶的網(wǎng)絡拓樸分布細分業(yè)務。

    通過這些業(yè)務細分，我們可以制定每種細分業(yè)務的帶寬和流類型，比如10M的EF流，10MAF流，10MBE流等。這樣就可以和具體的TE隧道結合起來。[nextpage]

    以上這些都是根據(jù)路由的細分策略，在應用上，我們可以將這些細分規(guī)則和路由的策略屬性結合起來，把這些規(guī)則應用到路由策略中，比如收到一條路由后，根據(jù)路由的屬性最終確定業(yè)務的類型和帶寬要求。在這里就需要和PE之間的TE隧道帶寬資源結合起來了，我們確定了業(yè)務的類型和帶寬要求后，就需要分別向兩個PE之間的TE隧道申請資源，比如申請10M的EF流資源。如果兩個PE之間已經(jīng)存在對應的TE隧道，且?guī)捰惺Ｓ?，就可以直接獲得資源，并把這個TE隧道的總的帶寬資源減去剛分配的部分。因為當以后用戶不需要這部分資源的時候，又需要把這部分的資源釋放回TE隧道。如果兩個PE之間沒有需要的資源，那就需要動態(tài)觸發(fā)調(diào)整兩個PE之間的某種業(yè)務類型的隧道的帶寬大小，或是另外再創(chuàng)建一條相同業(yè)務類型的TE隧道。

    用戶的業(yè)務向一條TE隧道申請了帶寬以后，要確保自己的流量不能超過已經(jīng)申請的帶寬，因為如果超高就會影響到其他用戶的業(yè)務。因此我們需要根據(jù)用戶申請的帶寬資源來做流量限制，如果所在的TE隧道的總的帶寬資源過剩的話，可以讓用戶的流量有部分的突發(fā)。為了實現(xiàn)這一點，在實施CAR的時候，設定約定速率和突發(fā)速率，對于超過約定速率的流量，不是簡單的丟棄，而是降低優(yōu)先級繼續(xù)轉(zhuǎn)發(fā)，只有超越突發(fā)速率的流量，才全部丟棄。

2、工作過程
    根據(jù)上面的VPN和TE的結合，把路由的屬性融入到用戶的業(yè)務分類當中，作為資源預留的條件，在這里也可以同時和根據(jù)IP報文的五元組的分類策略相結合，可以達到整網(wǎng)的QOS的動態(tài)部署和調(diào)整。

工作過程如下：
1.PE-PE間建立若干個TE隧道，每個隧道對應一類業(yè)務，具有初始的帶寬；
2.建立VPN，這個VPN是用PE-PE間的TE隧道來承載業(yè)務；
3.在入口PE上設置針對細分的VPN流量的QoS參數(shù)，包括識別這個流量的規(guī)則、約定速率、突發(fā)速率、優(yōu)先級等；
4.VPN路由從出口PE傳播到入口PE，攜帶了Route-target、Nexthop、團體屬性等路由屬性；
5.入口PE根據(jù)配置好的分類規(guī)則對VPN路由進行過濾，為匹配到的路由生成特定的轉(zhuǎn)發(fā)動作，如Remark、CAR等；
6.入口PE對VPN流量進行轉(zhuǎn)發(fā)處理，匹配了路由規(guī)則的報文實施QoS，如Remark、CAR；
7.VPN流量的QoS參數(shù)被修改，重復5-6步動作。

    通過以上理論分析，得出TE和VPN相結合，是現(xiàn)階段解決VPN網(wǎng)絡的QOS問題的最佳的手段。后來在廣東移動MDCN網(wǎng)(全省多業(yè)務承載平臺)上的實際部署，經(jīng)實際運行和測試得出結論，將MPLSTE結合VPN的路由屬性很好的調(diào)整了MPLSVPN網(wǎng)絡整網(wǎng)的QOS，能方便、高質(zhì)量、高效率的滿足VPN用戶的QOS要求。

    采用VPN組建城市監(jiān)控網(wǎng)絡，可有效的整合城市原有的監(jiān)控資源，形成統(tǒng)一的規(guī)劃和技術協(xié)調(diào)，實現(xiàn)網(wǎng)絡信息資源共享，滿足了各級公安機關遠程圖像資源共享和諸警種跨區(qū)域圖像共享的要求，形成面向公安實戰(zhàn)的綜合應用系統(tǒng)集成平臺，充分發(fā)揮技術防范在城市社會治安管理中作用，并以城市為基礎，逐步城市之間聯(lián)網(wǎng)，全省聯(lián)網(wǎng)乃至最后實現(xiàn)全國聯(lián)網(wǎng)。