Cisco VPN Solution Center (简称 VPNSC )是 Cisco 公司于 1999 年开始推出的一套专门针对电信客户 MPLS VPN 服务的业务自动开通和 VPN SLA 监控管理系统。主要实现利用一套中央网管服务器对电信客户的大型 MPLS VPN 业务网络进行自动化地快速业务配置管理。管理员无需精通 Cisco 网络设备的 MPLS VPN 配置语法和命令,也无需人工选择与 VPN 业务相关的 MPLS RD/RT 数值或 VPN 接入链路的 IP 地址 /VLAN ID 等网络参数,就可以直接利用 VPNSC 提供的图形化业务配置管理界面进行全网的 VPN 业务开通:在 VPNSC 的管理界面上输入相应客户所需的 VPN 业务参数,如指定客户 VPN 接入的 PE 路由器、接入链路的网络端口类型、采用的路由协议等, VPNSC 就可以动态生成相应的 MPLS VPN PE 和 CE 路由器的配置命令,并自动下发到所有相关的网络设备中,完成 VPN 业务的即时或定时开通。
VPNSC 管理系统推出后取得了巨大的成功,被国内外众多提供 MPLS VPN 服务的电信运营商所采用,在随后的 3 年时间里 Cisco 公司又推出了多个增强管理功能的升级版本,包括于 2002 年 6 月推出的 VPNSC 2.2 版本。但在管理功能上 VPNSC 管理系统也有不足,主要体现在下列几个方面:
管理系统是 Client/Server 结构,操作界面采用 Unix Motif 界面,管理员远程访问速度较慢
无法对运营商业务网络上原有手工配置的 VPN 业务进行自动识别和管理
不支持对管理员进行管理权限分级,无法实现分权分域管理
Cisco 公司推出的新一代 IP VPN 管理系统 - ISC
针对 VPNSC 管理系统的不足和全球电信运营商期望为企业客户提供更多新业务的管理需求, Cisco 公司于 2003 年 4 月对 VPNSC 管理软件系列进行了一次重要的产品升级换代,推出了新一代的电信级 IP VPN 及其相关服务开通和 SLA 监控管理系统: Cisco IP Solution Center (简称 ISC ) 3.0 ,并于 2004 年 3 月又推出了 ISC 管理软件系列的最新升级版, ISC 3.2 。
做为新一代的电信级 IP VPN 业务开通和 SLA 监控管理系统, ISC 管理软件实现了对运营商为企业用户市场提供的多种 IP VPN 及其相关服务进行集成式管理,支持管理的服务类型不但包括传统的 MPLS VPN 和 IPSec VPN ,还支持管理 L2 VPN (包括 AToM 和 VPLS ), QoS ,核心网络 MPLS 流量工程( TE )和可管理的安全服务(如 Firewall/NAT 托管, EZVPN , DMVPN 等)。同时为进一步优化运营商 IP VPN 及其相关服务的管理流程, ISC 还率先实现了对 IP VPN 服务开通的全生命周期管理,包括:
网络可用资源的自动发现
网络中也开通的 MPLS VPN 服务和 L2 VPN 服务的自动发现与归档
IP VPN 服务和 QoS 的业务策略预先定制
IP VPN 服务及其 QoS 的配置和即时 / 定时开通
IP VPN 服务开通后的配置参数和服务可用性审计
已开通 IP VPN 服务的 SLA 监测和统计
已开通 IP VPN 服务的修改,包括 VPN 链路和业务参数的添加、修改或删除
退租后客户 IP VPN 服务的清除
除了扩展业务开通系统覆盖的服务类型和引入业务开通的全生命周期管理模式, ISC 管理系统还对原有 VPNSC 的管理功能进行了全面提升并弥补了原有系统的所有缺陷。
ISC 采用了全新的 Web/Java 浏览器用户操作界面,使得多个管理员可以方便地从任何安装有 IE 或 Netscape 浏览器的 PC 机或工作站同时访问和操作 ISC 管理服务器。新版本的 ISC 还引入了灵活的资源分组和基于角色的管理员访问控制机制,可以严格地实现网络分权分域管理授权,为每个管理员划分的管理权限(可分为察看、创建、修改和删除)可以细化到网络设备上的一个端口。
ISC 管理系统的另一个重大功能改进就是增加了对网络中已经开通的 MPLS VPN 和 L2 VPN 服务的自动发现功能。通过采集和分析运营商网络中所有 PE 路由器的配置文件, ISC 管理服务器可以自动发现网络中已经通过手工配置方式开通的每条 MPLS VPN 链路和 L2 VPN 链路,并可以把所有发现的链路参数(如 vrf name,RD,RT,IP 地址等)存储在后台管理数据库中。对 ISC 发现并已经存储在管理数据库中的各个 VPN 链路,管理员可以通过人工指定的方式手工地把多个相关 VPN 链路指定为一个客户 VPN ,并可以此为基础对客户 VPN 或 VPN 内的任意一条链路进行后续的业务配置管理。需要指出的是由于 MPLS VPN 技术的内在特性, ISC 管理系统无法自动发现手工配置的客户 VPN 的网络拓扑,主要原因是由于 MPLS VPN 实现的网络安全隔离造成了 ISC 管理系统无法访问属于客户 VPN 内的 CE 设备。
ISC 管理系统在网络实施体系结构方面继承了原有 VPNSC 管理系统的结构,通过构建一个管理 VPN (可选), ISC 不但能够管理运营商网络中连接客户 VPN 的 PE 设备,还可以管理客户 VPN 的 CE 设备,这种端到端的业务开通管理方式可以大大提高运营商 VPN 业务开通的效率和设备参数配置的准确性。下图为一个典型的 ISC 管理系统实施结构图,在这种系统结构中 ISC 通过一个单独的管理 VPN 不但可以管理运营商的 PE 网络设备还管理客户的 CE 设备。
如果运营商 VPN 业务网络的管理需求较为简单,无需管理客户的 CE 设备, ISC 的管理系统实施也可以采取下图所示的结构。在这种实施结构中,由于没有构建管理 VPN , ISC 管理服务器无法访问和管理客户 VPN 的 CE 设备。
