巢湖邮政GPRSVPN网络安全.doc

MPLS VPN解决方案是中国移动通信基于自身强大的网络，利用自己的接入网和传输网络资源，采用固线方式、internet方式为巢湖邮政及各分支机构、移动客户端之间提供安全的网络接入，从而实现巢湖邮政多业务安全隔离、移动办公安全接入的解决方案。方式包括MPLS VPN解决方案、IPsec VPN解决方案等。1 方案示意图巢湖邮政的业务主要为用无线GPRS方式接入，连接邮政综合网业务，结合业务需求，拟采用本方案。在中心增加核心路由器作为整个MPLS VPN网的核心PE路由器，各分支机构接入路由器作为各点的PE路由器，外联单位的接入服务路由器作为外联的PC路由器，而分支结构的业务路由器或交换机作为CE路由器，作为各业务的接入入口。外联单位的接入路由作为CE设备，无需做任何配置改变，即可接入业务网络2 方案分析2.1 方案概述MPLS VPN网存在于业务模型的底层平面，用于巢湖邮政数据的高速传输，其结构与实际网络拓扑一致，即数据中心/分支机构/业务点的树状星型结构。多业务系统通过一个网络平台，基于MPLS VPN传输，同时提供了各业务的隔离及安全传输，与一个业务系统一套网络的建设方式相比，将极大的节约巢湖邮政的线路成本及设备成本，以及维护成本。多业务隔离各个专业系统VPN分别位于不同的平面上，不同平面内的站点一般不相同，即每个VPN有自己的独立空间，业务之间安全隔离，其结构为VPN内部感应到的结构。各站点之间逻辑上可能是任意到任意的连接，或是星状的连接方式。我们在数据中心、分支机构安装支持MPLS/VPN的路由器，设为PE路由器，形成MPLSVPN骨干网边界。核心P路由器可根据网络的扩展增加或直接PE路由器直连。业务点可采用支持MULTI-VRF的路由器，使之从网络最底层支持业务逻辑隔离和安全传输。良好的系统扩展性该网络规划了业务一、业务二级外联业务三个VPN平面，在业务系统需要增加或扩展时，只需在MPLS VPN增加新的VPN平面，不需要对现有业务系统做改动，业务不会对已有业务系统造成影响。灵活的QOS功能多业务集中于一套网络系统上，可根据业务需求及业务重要性灵活设置各业务带宽。保证关键业务的传输，为大流量的业务传输提供更大的业务带宽。IP地址复用各个专业系统VPN分别位于不同的平面上，业务报文在MPLS VPN网络上的传输依据MPLS交换标签识别，替代传统的依靠IP地址的传输方式，因此在不同的VPN系统内部，可以采用相同的IP地址分配措施，实现IP地址的复用，解决了新增系统后需要对全网进行IP重新规划的弊病，满足业务不断扩展的需求。2.2 基于骨干网的VPN方式VPN（Virtual private Network，虚拟专用局域网），在这里指在骨干网络平台上，为不同的业务系统建立各自专有的数据通道传输各系统私有的网络数据。非常适用于巢湖邮政需要相互独立的网络传输多个独立业务系统数据的行业，完全满足巢湖邮政安全网络建设的要求。VPN方式组建网络的优点有：所有业务系统网络通过一套网络系统来实现，极大的节约建设投资；安全特性和单独的物理网络相当，在使用的灵活性上是单独的物理网络无法比拟的；VPN之间可以完全安全隔离，在某一个VPN的业务系统遭到恶意攻击或病毒侵袭时，不会影响其他业务系统的正常工作；一套骨干网络的负载均衡功能和备份功能可以满足所有业务系统的备份功能和可靠性连接；在新业务系统添加时，只需要在骨干网络上增加新的VPN隧道，而不需要建设新的物理网络，避免重复投资。骨干网络上的主要设备可以进行本地/远程的统一管理，只需进行简单的培训就可以完成网络的管理维护工作。极大的节约了维护和管理成本，单个网络系统的维护对技术人员的数量和专业网络技术的要求比多个单独物理网络的要求低，节约了网络管理维护的人员和精力投入。2.3 基于MPLS-VPN的多业务集成和安全隔离VPN (Virutal Private Network) 虚拟专用网可认为是：VPN使用与专网相同的策略，在共享的基础设施上实现整个业务的互连。基于VPN运行的专业系统可以象在他们自己的专用网中一样，享受同样的安全性、优先级别、可靠性和可管理性。这样，巢湖邮政各个专业系统就可以被定义为内联网式VPN，建设目标应围绕VPN服务网的概念来确定，以满足在单个IP的网络平台上运行的各个专业系统相互独立的需求。并且作为VPN的服务平台，应具有易操作、易管理、易维护、扩展性强并且经济高效的特点。另外对巢湖邮政各专业系统能够支持VPN不应提出太复杂要求，还应灵活以满足VPN连接方式多变的需要。MPLS L3 VPN实现了安全的高质量的VPN解决方案，尤其适合于在IP环境下使用，使用MPLS技术建立的VPN能提供完全的可扩展性和高度的灵活性。MPLS利用标记，而不是IP的目标地址传递数据包，类似于邮政编码，其传输效率很高。3 MPLS VPN的部署三层MPLS VPN又称BGP/MPLS VPN，主要是利用BGP技术传递VPN标签，通过路由的隔离实现VPN。3.1 网络结构BGP/MPLS VPN中，主要包含PE（Provider Edge Device边缘设备）、P（Provider Device 设备）和CE（Customer Edge Device 用户边缘设备）三类设备。MPLS VPN通过多协议扩展BGP来承载带标签的VPNv4路由信息，每个VRF配置相应策略来规定一个VPN可以接收和发布哪些站点来的或离开的路由信息，PE设备直接通过MBGP发布VPNv4路由信息，生成并维护VPN路由表。典型的BGP/MPLS VPN的网络拓扑组网如下所示：如上图所示，黄色区域代表企业A的各分支，绿色区域代表企业B的各分支，内部具有P和PE设备，P设备均负责根据标签对报文进行快速交换；而PE设备除了标签以为，还要负责VPN信息的处理。3.2 LDP部署在三层MPLS VPN中必须在所有P和PE进行逐跳的LDP，以实现外层交换标签的分发。在部署时，首先在LSR上选择LDP ID。LDP ID是一台LSR的标识符，在CISCO IOS中LDP ID选择顺序如下，首先选择设备Loopback地址最大的接口IP作为LDP ID，如果没Loopback接口则会选择物理接口中最大IP地址的作为LDP ID。在实际应用中，建议使用使用Loopback接口地址作为LDP ID，主要原因为为了避免链路的抖动而导致LDP对等体的抖动。LDP承载于TCP或UDP，因此，必须保持LDP对等体之间路由互通，才能建立LDP对等体。LDP安全防范为了保证LDP对等体之间的安全，需要部署一些安全措施，主要措施主要包括：LDP对等体之间的MD5认证；LDP对等体之间的入标签绑定过滤。为了确保LDP对等体的稳定性，还可以在相应的路由器部署LDP GR，防止路由器主备引擎切换使LDP连接的中断。 LDP同步部署在LDP部署中另外一个值得注意的问题就是LDP-IGP的同步问题，因为在运行LDP的MPLS网络中，虽然在某条链路的LDP会话已经断开后，但是IGP仍然会把能到达任何前缀的最优路由存放在路由表中，在Ipv4-over-MPLS的网络中，LDP会话的断开影响的是标签是无法进行交换了，但是报文毅依然可以以Ipv4报文的形式进行转发，一直到下一台LSR上又能重新标记为止。但是在MPLS VPN的网络中这个问题就非常严重了，因为PE设备会将带标签的报文以IP路由形式转发给P，而P设备只能将此没有标签的报文丢弃，这样就导致了LDP会话虽然已经断开但是报文在PE上依在转发，而P设备上却在大量的不停的丢弃报文。这种现在在LSR重启动的时候也会出现，因为IGP建立邻居的速度远比LDP会话的建立速度要快的多，这样会导致IGP转发已经开始了，但是因为LDP没有建立，P设备就会大量的去丢弃报文，直至LDP建立起来为止。解决的方法就是通过命令配置在接口上将MPLS LDP-IGP同步即可，使得只有在LDP建立好的时候，IGP路由才会生效。目前支持MPLS LDP-IGP同步唯一的IGP协议是OSPF。3.3 骨干网路由设计 协议选择在BGP/MPLS VPN的骨干路由设计思路是通过BGP来传递路由和分发内层标签，通过IGP协议在为PE间LSP的建立通告互联地址，同时应该去考虑流量负担及设备冗余、扩展分层等种种问题。用户的VPN路由进入VRF后被BGP分配了内层标签后加上RD标示变成了一条vpnv4路由而使得其具有唯一性，所以所有的用户路由均可以很安全地在MPLS VPN的网络中进行传递。我们知道两台PE间的LSP的建立是通过LDP会话实现的，而LDP会话的建立就需要得知对方的LDP ID可达后，进而才能进行会话的建立和后续外层标签的分发。所以我们往往就需要在BGP/MPLS VPN的骨干网中运行一种IGP路由协议，将两台需要建立LSP的PE间将各自的Lookback作为LDP ID发布到IGP路由协议中使之路由可达，进而去在两台PE间去建立LDP会话，而这种IGP协议考虑扩展性等因素我们往往会采用OSPF作为之间的路由协议。 架构设计此外在架构设计方面，考虑流量负担及设备冗余等角度我们往往会在BGP/MPLS VPN组网中考虑RR（Router Reflector）的分组部署，如下图：如果考虑设备及链路冗余问题，我们将骨干网分为两个cluster簇，其中RR1和RR2分别为各自簇的路由反射器，因为存在了两个cluster簇，考虑环路问题，RR1、RR2间不能互为反射器，通过此方案可以保证任何一条链路或P设备宕机，网络仍然保持畅通。如果从设备性能角度考虑负载分担问题，我们可以让两个RR分别来承担一组路由，通过扩展的团体列表使得RR1将VRF为基数vpnv4的路由过滤掉，RR2将VRF为偶数vpnv4的路由过滤掉，这样就可以大大减轻RR的负担。3.4 PE与 CE之间路由设计在BGP/MPLS VPN中，需要PE与CE直接进行路由交换，一般会采用静态路由、RIP V2和OSPF方式，个别情况下，可采用直连路由和BGP方式互联。1. 静态路由该方式下，PE和CE直接使用静态路由指向对方，在PE上将静态路由重分布进BGP。但该情况适用于路由量较少的情况。2. RIP v2该情况下，PE与CE采用RIP V2的方式实现路由的交换。RIP协议具有V1和V2两个版本，由于版本1不支持无类路由，具有较大的局限性，在PE与CE的路由交互中建议采用RIP V2。3. OSPFOSPF是PE-CE间使用最多的一种IGP路由协议，它具有很明显的优点，当然在一定的场合也存在很多问题，但都可以通过一些措施做避免。在BGP/MPLS VPN骨干网中对于OSPF而言有一个默认规则，如下图，在BGP路由重新分布回OSPF后，所有OSPF内部路由（无论区域内、区域间）都会变成区域间的Type3类型路由，但如果PE路由器发布进来的进程号不能匹配到本PE上VRF的进程号，则此路由将会以外部type 5类型的路由发布进来。但是骨干中这种OSPF的默认处理机制在某些环境中会出问题，如下图。在常规OSPF组网中，区域内路由优先权是大于区域间路由的优先权的，而通过BGP发布到site2内的路由为type3类型的路由，这样从后门链路学到的路由总是优先于通过BGP发布进来的路由，这样就丧失了MPLS的作用了。而此时就需要使用伪链路来解决这个问题了，伪链路并不是一条真正的链路，而是在两台Pe间的一条虚拟链路。它是在两台PE路由器间创建的一条区域内链路，伪装链路和其它OSPF中的链路一样，会进行SPF计算，泛洪时，所有OSPF路由类型都不会改变，如果伪链路一旦出了故障，那么通过MPLS只发送类型3和类型5的LSA到其他场点的默认机制开始生效，使得后门链路就开始生效了，此时是路由层面的通信而不是标签交换了。在使用伪链路时，一定要注意使用IBGP来通告伪链路的端点，而不是OSPF，因为OSPF管理距离是110，IBGP管理距离是200，那么此时注入路由表的伪装链路端点路由应该是OSPF路由了，一旦IBGP路由出现问题，则伪链路将会产生抖动。3.5 跨自治域部署同在单个AS内建立VPN的过程一样，跨域VPN的建立过程也同样关注两个方面，一是VPN信息的传递方法，一是VPN隧道的建立方法，经过近几年的实践和快速发展，业界提出了几种VPN跨域方法，即OPTION A/B/C三种，不同方法采用不同的VPN信息传递模式和VPN隧道构建方法，具有鲜明的特点和适合不同的应用场景。另外，MPLS VPN可以分为MPLS/BGP三层VPN和MPLS L2VPN，两种VPN都支持上述的三种跨域方法，采用相同的跨域理念，只不过MPLS/BGP VPN由于使用较早和部署较广，其对应的跨域方法已经标准化。Option A方式OPTION A跨域也叫做背靠背跨域，即两个AS的边界路由器ASBR互相作为PE和CE，如上图所示，ASBR1作为AS1的PE设备，ASBR2在此看作ASBR1连接的CE设备，反之亦然。1、VPN信息传递同一AS的PE和ASBR之间通过正常的MBGP协议传递VPN路由信息，ASBR之间通过正常的PE和CE之间的路由传递方法传送VPN路由信息，如上图，VPNA2通过IGP协议把路由信息传递给PE2，PE2通过MBGP协议把VPNA2的信息传递给ASBR2，ASBR2作为ASBR1的CE设备，通过IGP协议把VPNA2的信息传递给ASBR1，ASBR1再通过MBGP协议把VPNA2的信息传递给PE1，PE1再通过IGP协议把VPNA2的信息传递到VPNA1，至此，VPN信息传递完毕。2、VPN隧道构建在OPTIONA跨域方法中，VPN隧道构建比较简单，各个AS单独构建PE到ASBR的LSP双层隧道，内层标签代表VPN信息，外层标签代表到达VPN路由下一跳PE的公网标签，和在单个AS内LSP隧道的建立过程和方式一样，ASBR和ASBR之间通过裸IP转发，没有LSP隧道。3、特点ASBR需要处理VPN路由信息，并且需要配置VRF实例ASBR需要为每个VPN分配一个物理或逻辑链路每个AS内单独建立双层LSP隧道，ASBR之间依靠IP连接适用于VPN业务开展初期，VPN数量较少的情况下。Option B方式OPTION B跨域也叫单跳MP-EBGP跨域，AS内通过正常的MPLS/BGP传递VPN信息和构建LSP隧道，AS之间通过单跳的MP-EBGP协议传递VPN信息并构建LSP隧道。1、VPN信息传递如上图所示，CE2通过IGP传递私网信息给PE2，PE2通过MP-IBGP传递VPN信息到ASBR2，ASBR2通过单跳的MP-EBGP传递VPN路由信息给ASBR1，然后，ASBR1再通过MP-IBGP传递VPN信息给PE1，PE1再通过IGP协议把私网信息传递给CE1，至此，CE1拥有到达CE2的路由信息。如果中间跨域多个AS，AS内部全部按照MP-IBGP协议传递，ASBR之间全部按照单跳的MP-EBGP传递。2、LSP隧道构建当使用BGP传递路由时，如果是EBGP传递，下一跳必定改变为自己，如果通过IBGP传递，下一跳可以改变为自己也可以不改变，另外，当采用MP-BGP传递VPN路由信息，下一跳更改时，那么就需要为VPN重新分配标签。如上图所示，在OPTION B跨域中，ASBR2向ASBR1传递VPN路由时，下一跳必定改变为自己，同时ASBR2重新为VPN分配标签，ASBR1向PE1传递VPN路由信息时，分两种情况考虑，一是ASBR1向PE1传递VPN路由信息时，下一跳改变为自己，一是ASBR1向PE1传递私网路由信息时，下一跳不改变，也就是下一跳仍然为ASBR2。在改变路由下一跳为ASBR1的情况下，ASBR1重新为VPN分配标签，VPN从PE1到达PE2的路径为PE1ASBR1ASBR2PE2，在AS1内，构建PE1到ASBR1的双层LSP隧道，内层为VPN标签（ASBR1分配的），外层为PE1到ASBR1的公网隧道，在ASBR之间构建单层LSP隧道，只携带VPN标签（ASBR2分配的），在AS2内构建双层LSP隧道，内层为VPN标签，PE2分配的，外层为ASBR2到PE2的公网隧道。在两个ASBR处由于VPN标签都重新分配，所以最底层的标签在两个ASBR处都会有SWAP操作，也正是通过VPN标签的SWAP，把两个AS的VPN隧道连接起来。如果不改变VPN路由的下一跳，那么PE1接收的VPN路由的下一跳就是AS2域内的ASBR2，则VPN从PE1到PE2的路径为PE1ASBR2PE2，那么就需要构建一条从PE1一直到ASBR2的双层LSP隧道，内层为VPN标签（ASBR2分配的），外层为PE1到ASBR2的公网隧道，ASBR2到PE2也构建双层LSP隧道，内层为VPN标签（PE2分配的），外层为ASBR2到PE2的公网隧道。在这种情况下，ASBR2和ASBR1之间需要运行某种标签分发协议，目的是分发ASBR2的公网标签，另外，在ASBR2处LSP的内外层标签都会进行SWAP操作，从而把两条LSP粘结成一个端到端的LSP隧道。3、特点(1) ASBR需要处理VPN信息，但不需要配置VRF实例(2) ASBR之间一条链路传递所有VPN信息(3) 根据不同的情况，ASBR之间构建单层或双层LSP隧道(4) 当VPN业务发展到一定阶段，ASBR之间的链路受限时，可以考虑OPTION B跨域方法Option C方式OPTION C跨域也叫多跳MP-EBGP跨域，由于BGP只要能建立TCP连接，就能成为BGP邻居并传递路由信息，因此，OPTION C通过多跳的MP-EBGP直接在源、宿端PE之间传递VPN路由信息，然后在源、宿端PE之间构建LSP公网隧道。1、VPN信息传递OPTION C跨域时VPN信息传递比较简单，即直接在源和宿端PE间通过多跳MP-EBGP传递，如上图，PE2和PE1之间建立多跳的MP-EBGP连接，VPN信息直接从PE2传递到PE1。2、LSP隧道构建从VPN信息传递的方式可以看出，VPN从PE1到PE2之间只有一跳，VPN的下一跳为PE2，PE2为VPN分配标签，并且一直不会改变。现在重要的是确定PE1到PE2的外层LSP怎样建立，首先，PE2和ASBR2在一个AS，通过IGP协议，ASBR2会有PE2的路由信息，通过正常的LDP协议，ASBR2和PE2会构建一个LSP隧道，ASBR1和PE2不在一个AS，ASBR1没有PE2的路由信息，此时可以通过EBGP协议把PE2的路由信息传递给ASBR1，另外，对BGP协议进行扩展（RFC3107）,让BGP在传递路由时同时分配标签，这样，ASBR1和ASBR2之间的LSP形成，并在ASBR2处形成标签SWAP，同样，ASBR1和PE1之间也通过扩展的IBGP传送PE2的路由信息，同时分配标签，并在ASBR1处形成标签SWAP，但这一段LSP的建立和ASBR之间LSP的建立不一样，ASBR之间是直连的，下一跳直接可达，PE1和ASBR1之间不是直连的，但PE1和ASBR1位于同一个AS，通过LDP可以构建一个LSP隧道，这样，在PE1到ASBR1之间的LSP隧道最终包括三层标签，最底层VPN标签（PE2分配），中间一层为到PE2的标签（ASBR1通过扩展BGP分配）,最外层为到ASBR1的标签（LDP分配），ASBR之间构建一个双层LSP隧道，底层为VPN标签（PE2分配），外层为到PE2的标签（ASBR2通过扩展BGP分配），ASBR2到PE2之间为双层LSP隧道，内层为VPN标签（PE2分配），外层为到PE2的标签（LDP分配）这三段隧道通过在ASBR处的标签SWAP粘结起来，最终形成端到端的LSP隧道。3、特点(1) ASBR不需要处理VPN信息，最符合VPN的要求，即中间设备不感知VPN信息；(2) 使用BGP扩展来传递公网标签；(3) 在宿端AS之外的AS出现三层标签的LSP隧道； (4) 当VPN业务大规模发展时，可以使用OPTION C跨域方法。3.6 MPLS VPN与流量工程的结合目前，基于RSVP 的MPLS 流量工程使用较为广泛，而CR-LDP方式的MPLS 流量工程则使用范围较少，本文以下所称的MPLS 流量工程均指前者。由于MPLS VPN部署较早，在部署后如何在MPLS VPN与MPLS TE技术相结合将成为下一步应用的热点。MPLS TE以约束SPF算法进行网络拓扑的计算，通告网络资源；以RSVP信令分配MPLS TE的标签，构建流量工程隧道，使网络中数据流量以优化路径进行转发。Cisco的MPLS TE支持如下特性：DS-TE：可以以MPLS中的EXP位作为标记，实施QoS策略。局部保护：Cisco不支持整条路径保护，支持链路保护和节点保护的局部保护方式，能够确保网络故障时快速重路由。MPLS VPN与MPLS TE相结合分为两种情况。（1）MPLS TE隧道两端均在PE该情况下解决方案较为简单，MPLS VPN中逐跳的LDP标记不要进行部署，只需要MBGP对等体或LDP远端邻居的路由下一跳指向TE 隧道。数据在进入PE路由器时，被加入两层标签，内层标签为VPN标签，外层标签为RSVP的标签。TE标签在下端PE的次一跳被弹出，数据包被转发到PE后，根据VPN标签找到相应的VPN并弹出VPN标签，数据包被转发到CE。该方式下的数据转发流程如下图所示： （2）MPLS TE隧道至少有一端不在PE 该情况下，由于MPLS 标签次一跳弹出特性，隧道末端不在PE的一端的数据将不能正常到达PE。该情况下，LDP需要在PE和TE隧道之间的路径接口上运行LDP协议，同时隧道接口两端也需要运行LDP协议，以保证数据能够到达末端PE。以TE隧道两端均不在PE为例，数据转发流程及标签变化如下图所示：3.7 MPLS QoS解决方案MQC分类机制MPLS QOS解决方案主要是通过MPLS标签域中的EXP位区分业务流，通过传统的区分服务模型DiffServ的MQC机制来实现，MQC机制汇总如下： 流量分类：(1) ACL (Access-List) 访问控制列表 流量标记：(1) IP优先级比特(2) IP DSCP值(3) MPLS EXP字段(4) CBPM(Class-Based Packet Marking)基于类的标记 拥塞管理：(1) PQ (Priority Queueing)(2) CQ (Custom Queuing)(3) WFQ (Weighted Fair Queueing)(4) CBWFQ (Class-Based Weighted Fair Queueing)(5) LLQ (Low Latency Queueing)(6) IP RTP Priority 拥塞避免：(1) RED 尾部丢弃(2) WRED (Weighted Random Early Detection)(3) FWRED (Flow-Based Weighted Random Early Detection) 流量整形：(1) 流量整形(2) CAR (Committed Access Rate)流量监管在这里默认大家都理解MQC，我们不会大篇幅的对MQC的具体原理做讲解，仅探讨MPLS VPN部分的QOS的部署和解决方案首先我们先把几个概念理顺一下： TOS字段，3个字节，8个队列2. DSCP字段，6个字节，64个队列如下图，区分服务模型中定义了加速转发EF和确保转发AF两种转发模型，AF又定义了4种类型，每一种又有3个丢弃优先级可以看到采用DSCP可以对更多的业务进行分类，也是目前主要的标准化使用方式，因为类似于银行、政府等部门业务分成8类已无法满足了，而64类就绰绰有余了，所以MPLS衔接到IP层的QOS标示也主要是以DSCP为标记的。而MPLS毕竟是标签交换，在骨干MPLSy域中是无法看到IP中的DSCP的，为了保障其QOS如下图所示，在MPLS报文头部的2022比特是3位的EXP比特，专用于QOS。在部署MPLS的QOS思路是，一台LSR转发带标签的报文时，它只需要在LFIB中查找其顶部标签来确定报文的转发，同时LSR可以识别出位于头部的EXP比特位，进而通过CISCO MQC的各种流量标记、拥塞管理、拥塞避免技术来实现拥塞时带宽的保障。E-LSP部署设计在MPLS的QOS部署中，MPLS VPN骨干网的QoS拥塞控制将采取E-LSP标准实现，根据MPLS EXP作为拥塞控制的依据，事先我们会将QOS策略定义为四个层次：（1） 分类标记：对数据流进行流量分类，对不同的业务流进行通过DSCP打标，主要是通过ACL、CBMark方式实现。（2） 带宽控制：依据分类后的标记信息结合用户策略为不同的业务流分配所需的网络带宽。（3） 队列管理：对输出的业务流进行入队，做拥塞管理实现关键业务的可靠传输。（4） 拥塞避免：通过在网络拥塞时有策略的丢弃低优先级的报文来解决网络拥塞的问题，主要通过WRED方式实现。下图我们举例说明QoS策略的层次化结构模型的设计框架，要注意的是，QoS的控制相对于数据流向是有方向的： 分类标记：业务流的QOS主要通过以下几点要素进行分类：(1) 源地址(2) 目的地址(3) 协议号(4) 端口号QOS分类主要是通过ACL来实现。将业务分类完毕后，需要设置数据包的DCSP/IP Precedence优先级标记，此标记需要贯穿整个骨干网，作为QOS的基准依据，而在MPLS VPN骨干网的QOS实施最终是按照EXP值来判定的，所以EXP优先级标记是必须要设置的，设置的方式可以在标签入站时将IP报文中DSCP值复制到被加入的标签的EXP比特中，也可以入站时强制手工设置。为了防止二、三级网的网管人员没有定义IP DSCP/Precedence，或者定义错误，我们一般会在骨干网的MPLS EXP不采用从IP DSCP/Precedence拷贝或映射，而是手工设置的方式。骨干网QoS分类和标记策略将部署在PE路由器和CE交换机相连的端口上，并对输入的数据包实施该策略。报文在骨干网PE间传送时，QoS属性被透传到对端PE，中间不会被修改。在骨干网上可以对VPN用户的数据流进行QoS处理。使用MPLS报文标签头的EXP字段保存COS，在网络中按照既定的规则，将不同COS值的报文对应于不同的PHB，按照相应规则进行基于WFQ/CBWFQ/LLQ队列调度，报文丢弃等处理。在MPLS 网络的出口边缘LSR处，重新恢复将不同的IP业务优先级。QoS保证的具体实现见下图： 带宽控制：在完成区分进入一级骨干网的业务应用类型后，将对业务应用数据进行带宽控制，包括：(1) 最低带宽(2) 允许突发速率(3) 最大突发速率骨干网QoS分类和标记策略将部署在PE路由器和CE交换机相连的端口上，并对输入的数据包实施该策略。 队列管理：MPLS VPN骨干网的QoS输出队列管理将采取E-LSP标准，根据MPLS EXP作为队列管理的依据。队列的管理有很多种方式，大多数场合我们一般会采用CBWFQ-LLQ队列管理技术，为关键业务提供最低带宽和最小延迟的保证，为其它业务提供最低带宽的保证。一级骨干网QoS队列管理策略将部署在PE/P路由器相连的端口上，并对输出的数据包实施该策略。 拥塞避免：MPLS VPN骨干网的QoS拥塞控制将采取E-LSP标准，根据MPLS EXP作为拥塞控制的依据。将以骨干网采用WRED加权丢弃方式，为关键业务提供最小延迟的保证，为其它业务提供最低带宽的保证。骨干网QoS拥塞控制策略将部署在PE/P路由器相连的端口上，并对输出的数据包实施该策略。注意：在部署MPLS VPN的QOS时，要特别注意那三种区分服务隧道话模式的不同环境的应用方式以及每种方式的几个MPLS QOS的硬性规则。3.8 MPLS 网络管理网络管理主要包括两个部分，一是MIB库的支持，二是网络管理软件需要实现的功能。（1）MPLS VPN MIB库的支持随着MPLS VPN应用范围越来越广泛，MPLS网络的管理成了一项重要工作。IETF根据MPLS的特性，新增了MPLS管理功能。部分厂商对MPLS MIB库进行了扩展，以实现MPLS 的增强管理。以Cisco 为例，其SNMP管理表新增如下：TableFunctionMPLS interface configuration table(mplsInterfaceConfTable)l Provides information for each MPLS-capable interface on an LSR. MPLS interface performance table(mplsInterfacePerfTable)l Augments the MPLS interface onfiguration table. MPLS in-segment table (mplsInSegmentTable)l Contains a description of incoming segments (labels) at an LSR and their associated parameters. Administrative and operational status objects for this table control packet transmission. If administrative and operational status objects are down, the LSR does not forward packets. If these status objects are up, the LSR forwards packets. MPLS in-segment performance table (mplsInSegmentPerfTable)l Augments the MPLS in-segment table providing performance information and counters for incoming segments on an LSR. MPLS out-segment table (mplsOutSegmentTable)l Contains a description of outgoing segments from an LSR and their associatedparameters. Administrative and operational status objects for this table control packet transmission. If administrative and opera