MPLS VPN这一虚拟专网业务,在经历了最初缺应用、少客户的窘境之后,几经改良终于火了。当前,MPLS VPN已成为国内各大电信运营商争相发展的新业务之一。但是在喧嚣的背后,运营商们或多或少的,也感受到了一些焦躁。
因为,基于业务层面的MPLS VPN网管体系尚属空白,直到2002年6月,才有针对性的网管产品出现,僵局开始打破。
探路MPLS VPN整体网管
■中国网络通信(控股)有限公司 冯国震
MPLS VPN这一虚拟专网业务,在经历了最初缺应用、少客户的窘境之后,几经改良、逐渐成熟的MPLS VPN终于火了。当前,MPLS VPN已成为国内各大电信运营商争相发展的新业务之一。但是在喧嚣的背后,运营商们或多或少的,也感受到了一种芒刺在背的不安。
在业务层面,MPLS VPN竟然没有网管!
当前,为了在通信市场的竞争中取得优势,运营商们一面不断地推出新业务,一面又趋向于从简单的价格战转向高层次的服务竞争,将提升业务的服务品质拔高到核心竞争力的层面。那么,再关注一下目前国内电信运营业的现状,我们可以发现,尽管国内各定电信运营商所拥有的传输、交换和数据/IP网络,基本已达到甚至超越了国际一流水准,但是,在经营模式、服务内容、服务水平等业务和服务层面,国内电信运营商与国外的同行们仍然存在差距。
市场很清晰,问题呢?
据估计,2001年,全世界基于IP的VPN业务市场已超过190亿美元;预计到2004年,仅美国的IP VPN业务市场就将达到130亿美元。其中,基于MPLS技术的IP VPN跨域连接服务,具备缩短等待时间或时间延迟,更快速输送信息的技术特性,能够大幅度地提高运营商的客户服务水平。在业务方面,MPLS VPN作为给企业用户量身定造的虚拟专网业务,非常适合于实现企业跨区域内部互连和企业间互连的需求,同时,还可以为企业宽带内网提供集成的高速互联网访问业务、企业IP电话业务以及提供电视会议、远程教学等增值服务。因此,MPLS VPN业务在全球范围内,都得到了广泛地应用,并成为如AT&T、UUNET等著名欧美企业专网的首选组网方案,更赢得了国外各大ISP的青睐。
在国内,2001年中国电信和中国网通先后推出了MPLS VPN业务。2001年10月,我国香港和记环球电讯构建完成基于MPLS技术的城域网,成为全球先进个采用MPLS技术的大型城域网。它为支持IP VPN的应用搭建了平台,也为大客户的竞争提供了有力支撑。其他的运营商已纷纷投入研究、测试和实验等准备工作,即将推出MPLS VPN业务。
尽管各运营商开展MPLS VPN业务的热情还在持续高涨,但对于企业客户,尤其是关键客户和企业大客户,运营商能否提供高效、全面的MPLS VPN业务管理服务,则已成为左右这些客户忠诚度的重要因素。而目前,这恰恰又是多数运营商的软肋。
当前,MPLS VPN的网管系统只能说仅仅涉及到了单个网段或网络设备的,还难以做到全局性的业务层网管,不符合如今网管集中化的业界趋势。并且,运营商MPLS VPN骨干网的网管系统所涉及的,多是处于运营商端的PE(运营商端边缘路由设备),对于用户端的VPN设备CE(客户端边缘路由设备),则是无能为力。因此,对于用户端设备的通/断以及性能变化情况,运营商自然难以做到及时了解,进而也无法实现对于VPN网络故障的及时维护,最后就会影响到大客户的满意度。此外,MPLS VPN用户往往都是一些大企业用户,其对于网络服务通常也要求实现QoS保证。为确定运营商是否提供了用户要求的传输带宽服务质量,这些企业用户通常都会要求VPN服务提供商,向其提供CE设备的链路状态、流量情况等相关信息,这一系列要求,对于当前多数无法实施全网管理的MPLS VPN网管系统而言,无疑又提出了挑战。
面对市场挑战,运营商们应当积极进行组织结构调整,理顺业务流程,并通过引入新的网管思想、管理手段、管理技术、管理工具和系统,为进一步提高VPN网络管理水平,保障VPN业务的正常运营以及提供给客户满意的服务打下坚实的基础。因而,建设一套面向业务、面向市场、面向客户的全方位VPN管理系统势在必行,有了它,既可以满足于运营商自身VPN网络的管理需求,同时也能够为客户端的VPN网络管理提供方便快捷的管理工具和手段。更重要的是,在普遍服务的同时,可以对不同客户群特别是重要客户,实现有针对性地提供基于SLA的VPN网络运行管理机制。
基于业务的MPLS VPN整体网管系统,正是为满足运营商上述的多种需求而出现的。
MPLS VPN网管实施方略
分析需求、对症下药
针对目前各运营商面临的实际运营以及业务、服务等方面的迫切需求,各运营商的MPLS VPN网管系统应考虑以下八个方面。
VPN网络实时监控:MPLS VPN网管系统应该提供有效的监控手段,最大限度地提高VPN网络的服务质量,同时及时发现VPN网络及客户VPN的故障,提供故障诊断工具或辅助手段,帮助网管人员修复问题,减少VPN服务中断时间。
VPN网络的拓扑自动发现:MPLS VPN网管系统应该自动发现VPN网络的拓扑结构,自动创建客户VPN路径视图,同时将VPN网络设备的告警信息与所发现的拓扑视图相关联,帮助网管人员快速定位故障点,提高VPN网络的可用性。
客户VPN网络监控及SLA:MPLS VPN网管系统可以对客户端网络及服务水平提供有效的监控手段,即提供PE到CE的连通性监控报告、SLA报告及服务响应时间报告等,同时在所监控的参数超过设定的阈值时,及时发送告警信息,提示启动处理程序,有利于提高用户满意度。
VPN网络配置管理:目前多数MPLS VPN网络的业务配置仍然是完全手工的方式,严重影响到整个VPN业务整体管理的自动化水平,并影响到上层应用中OSS平台的开发。为此,应考虑采用适当的软件开通工具,以支持多域业务开通管理和基于WEB的配置。配置管理范围应该包括MPLS VPN、IPSec VPN、QoS、L2VPN、Firewall/NAT等等。
VPN网络性能及流量管理:为有效管理MPLS VPN网络设备的性能以及监控流经MPLS VPN网络的数据流量,需要具备一套针对VPN网络的性能及流量管理系统,以实时监测VPN网络设备的性能指标,掌握VPN网络的实际使用效率,为网络规划提供参考的依据。
VPN网络报表统计与分析:MPLS VPN网管系统应当提供基于Web的综合报表统计分析功能,为运营商和ISP的决策层、网管人员及客户,提供不同时间周期内设备、网络、业务及SLA状况的统计分析报表,帮助运营商和ISP决策层和网管人员从VPN全网高度及SLA的角度,对VPN网络运行质量及客户的SLA水平进行分析,同时为VPN业务的大客户提供其VPN网络运行情况的SLA报告,从以用户为本的角度提升运营商对客户服务的水平。
运维人员的流程化管理: MPLS VPN网络向国内及国外许多大客户提供VPN服务,因此运营维护至关重要。MPLS VPN网管系统应该向VPN网络运维人员提供流程化的监控和管理手段,以方便网管人员对VPN网络的管理,特别是保障大客户VPN网络安全可靠的运行。
大客户管理:VPN的管理应该适应VPN业务的要求,对重要的VPN客户定制窗口,提供基于Web的管理界面,客户可以通过WEB,访问与自己相关的故障信息,访问客户关心的重要的互联网服务SLA 报告,最终提高客户满意度。
系统结构设计: 三层次六原则
运营商VPN网管系统结构设计基于如下基本原则:开放的、客户化的体系结构;可以运行在不同的操作系统平台(Unix、Windows NT、Linux等);系统应具有层次化的结构,如数据采集层、相关性分析处理层、应用层、统一图形操作界面等;系统应提供与其它系统的接口;系统需要基于模块化结构并可以支持分布式结构;具备可扩展性,能够适应网络规模变化。
MPLS VPN网管系统的体系结构大致可分为数据采集、数据处理和应用呈现三个层次,其中数据采集层主要完成对运营商VPN网络中相关P(主路由交换设备)及PE路由器故障、拓扑、配置、性能、流量数据、网络可用性和SLA数据的采集与预处理;数据处理层则按照相应的管理要求,依照预设的管理策略和处理逻辑,对这些采集上来的管理数据进行加工处理(如:过滤、合并、组织、建模、存储和关联等),再根据运营商运维策略所制定的处理流程和管理数据间的关联关系,实现功能部件间的数据交互和传递;应用呈现层是VPN管理系统中各项管理功能的集中体现,通过与核心数据处理层的连接,为运营商网管人员及客户端,提供各类网络管理应用和运行维护数据,如:基于客户VPN网络的拓扑图、故障、性能、流量、报表视图、网络可用性及SLA统计视图等。
运营商MPLS VPN管理系统结构图
网管模式:集中与分级并重
网络管理模式应随运营商网络管理体制的不同而相应改变,但从目前国内运营商的总体发展趋势来看,对于MPLS VPN网络,各主要运营商采用了集中管理、分级维护的模式。
全国集中管理体制:实施MPLS VPN网管系统后,仅在一个城市设立全国性VPN管理中心,即可实现对全网所有用户的VPN网络进行管理,真正做到全网管理统一化。
分布式、分级式管理体系:随着MPLS VPN网络业务量的增加,将来可以设置二级区域管理中心,对本区域内的VPN节点和链路进行管理,并与全国中心相连。这使许多网管信息可以在区域网管中心进行处理,只把全国网管中心需要的数据通过网络进行传输,从而实现分层次的管理方式。全国中心管理员可根据VPN业务的组成、管理机构的设置等为多个区域管理员分配管理任务和被管理的VPN网络(如:A管理员负责地区A的VPN网络的管理,B管理员负责地区B的VPN网络管理……),各个管理员负责自身的管理任务,同时又相互协作,如:当A管理员有不能解决的故障或重要的系统消息需广播时,他可以快捷地把这些信息传递给B管理员,让B管理员注意或解决问题。这种分层次、多角色的管理方式可极大地提高网络管理的效率,降低网络流量,减小工作量。
MPLS VPN网管的二级管理模式
预留接口: 保障二次开发
在方案设计中,应考虑到与现有IP网管系统的接口,运营者可采用相关接口或探针采集现有IP网管中的告警和事件信息,实现与现有IP网管系统告警信息的同步和信息的集中管理。同时通过网管系统提供的数据网关或通过二次开发的方式,实现与其它业务子系统(如配置管理系统、性能管理系统)的接口。MPLS VPN网管系统应提供开放的管理平台,便于集成第三方的管理工具或软件,以及丰富的API接口,包括C/C++、Java、RMI、COBRA、OLE、COM等,实现系统内部二次开发的可能性。
集中管理,效果必定显著
笔者认为成功实施MPLS VPN整体网管系统后,可以真正地实现以客户管理为中心的管理理念,通过向运营商网管人员提供对运营商VPN网络的流程化管理方式及工具,便于网管人员对客户VPN网络(CE)的可用性及SLA状况进行监控;对故障信息进行快速的发现、诊断、定位和修复,最大程度减小客户VPN网络的宕机时间;同时通过故障对客户的影响性分析实现对客户的主动通知和服务;另外通过性能及流量监控工具实现对客户VPN网络的性能、流量统计、分析及相关报告的生成,以此提升用户的满意度。
此外,MPLS VPN网管系统还可以实现对运营商MPLS VPN全网P及PE故障、拓扑配置、性能及流量信息的管理,并缺省支持国内外主要设备供应商的网络设备及服务器的管理。与此同时,通过PE也能够实现对MPLS VPN全网CE设备及SLA服务水平的全局性管理。
呈现方式方面,MPLS VPN网管系统可以向运营商网管人员及客户提供基于Web的分权管理及信息呈现窗口,通过指定不同接入权限的可视内容和范围,为网管人员及客户提供可视化的VPN网络管理及监控窗口。
关键:四大安全问题
为什么要单提出安全性作重点解析呢?很明显,网管系统扮演着各运营商生产系统中大脑指挥中枢的角色,而MPLS VPN网管系统的安全性和可靠性,更是保障这一“指挥中枢”能够安全、稳定运行的关键。
MPLS VPN网管系统安全性设计的主要内容包括:系统安全性、数据安全性、网络安全性以及对机房环境的安全要求。
系统安全性
在MPLS VPN网管系统中,系统的安全性设计主要考虑针对操作系统和应用系统的安全管理,同时还要考虑系统的防病毒功能。
操作系统的安全性:主机操作系统具备公认的安全可靠性,属于开放型操作系统,但对于用户权限的管理要有严格要求,应具备多级口令和权限管理,以防止“黑客”入侵和越权使用。它们的文件系统、网络系统内核也应当具备先进且科学的容错能力,可以承受断电、非法关机等灾害的冲击。
应用系统的安全性:可分为系统权限管理以及系统运行管理两方面。对于MPLS VPN网管系统的用户,可以分为系统管理员和各级操作员等级别,级别不同、权限也不同;而系统运行管理的内容则需要包括,对系统运行的日志进行记录,并对用户登录、退出、系统访问的操作进行日志记录等内容。
系统的病毒防护:为了使MPLS VPN网管系统免受病毒侵扰,建议选用一种系统在线式杀毒软件,实施对整个故障管理系统的病毒防护,达到主动查杀、在线清除的目标。
数据安全性
在MPLS VPN网管系统中,数据的类型主要包括客户资料、网络配置数据、告警信息以及网络拓扑信息,所有这些信息要求全部存储在数据库中,因此数据库系统的安全性也是保障整个网管系统正常运行的关键;同时,为了防止关键数据的丢失,数据如何容灾备份的问题,也值得重点考虑。
选用的数据库系统应具备以下性能:保证数据的完整和正确;避免“死锁”、“超长事务”、“数据溢出”等异常情况;允许方便、灵活、有效地设定权限,防止非法进入以及越权操作;具备良好的数据备份和恢复手段;具备完善的事务处理手段,以保证数据操作的完整性。
内网系统安全性
内网系统主要是指网管中心的局域网系统,由于网管中心需要对广域网中的网络设备进行告警信息和拓扑数据的采集,因此,为了避免受到来自广域网“黑客”的侵扰和攻击,需要对网管中心的局域网系统进行安全防护设计。
防火墙的使用:为了保证MPLS VPN网管系统免受外界病毒和“黑客”的侵扰,建议运营商在网管系统与广域网之间配置防火墙。
内外网段的有效分离:MPLS VPN网管系统采用内、外网段分离,即外网用于各类管理数据(配置数据、告警数据拓扑数据、报表数据)的收集和交互,管理系统各功能模块间的交互;内网则用于网管中心运维人员对整套故障管理系统的操作维护和配置管理,并通过内网实现运营商告警信息的呈现以及对报表系统的配置和管理维护。通过内、外网的分离,可以有效实现管理数据与操作维护数据的安全隔离,避免出现不必要的安全漏洞。
机房环境安全
机房环境安全主要有四点要求:各级中心应设定专用机房;机房环境符合有关规定;建立完善的值班制度和交接班制度,详细记录日志;机房环境要求设置监控系统。
编者视点
记得同事曾提起过,国内某家经营MPLS VPN的电信运营商,其最初在MPLS VPN网络已经建成并成功开展了大量业务的形势下,这张网络之上的网管系统竟然少的可怜,几乎就可以认为是“一无所有”。那么,发生了网络故障如何处理呢?得到的回答竟然是,运营商根本就不知道哪里、什么时候出现了故障!
运营商对于网络出现故障的信息,基本上要靠客户投诉的方式来获得,这是多么可笑的一件事。不管怎么说,在获知故障发生后,运营商的网络运维人员还是要开始故障的排查工作,尽管这完全称的上是一件“大海捞针”的壮举。可敬的运维人员要跑到可能发生故障的PE设备或其他路由交换设备面前,调出大量的路由和交换信息,逐一排查,直到分析出故障的原因,并加以解决。可以想像,其中的繁冗和复杂绝非寻常,耗费人力是小,耽误排障时间、降低了客户满意度可就是大事了。
还好,实施MPLS VPN的整体网管,目前看来,这还不失为一条解决问题的明路。
点击一
实战须知
在现实的项目建设和实施进程中,笔者认为,还需要特别关注以下几点:
有所为,有所不为
对于具体的工程项目实施,除考虑技术方案的可行性以外,还需要考虑投资规模、项目组织计划、实施策略、建设周期、进度控制以及项目管理等诸多因素。在投资规模限定的情况下,首先要满足最迫切的生产维护和基本的业务需求,再逐步追求更完善和丰富的功能,避免一步到位和大而全的续延;其次,要统筹兼顾网管系统规模,实用为主,由于目前多数运营商的MPLS VPN网管基础相对薄弱,有些运营商甚至是空白,因此,在项目建设中需要对网管系统做长期考虑,分阶段、有步骤实施,实现良好的系统扩展性;最重要的是,首先要保证当前业务运营的安全稳定,对于配置管理的自动化,一定要慎重,尤其对于先期手工配置同故障处理后更改配置的兼容性问题,可以等待配置软件系统进一步成熟后再行实施。
结合现行运维体制
网管系统的流程管理,包括故障工单、报表等子系统的具体流程,首先要符合各运营商的运维生产体系,还要符合电信行业的网管发展方向;MPLS VPN网管体系结构与OSS(运维管理)结构之间的互动,也是一个相互适应和调整的过程,其中的网管模式必须符合运营商目前的运维模式,网管系统中需要以电子流程、分级分权的管理手段满足这些要求。
结合网络特点
具体实施过程中应首先考虑具体网络的自身特点,到底是全国骨干网络?还是各地城域网的MPLS VPN的管理,或是二者兼顾?对此,相应的技术和管理方案也需要相应的变更;针对各家网管厂商的方案,需要考虑MPLS VPN网管系统的License是否能够满足目前目标网络中PE和CE的数量并保证对于一定的业务和网络拓展空间的支持。
报表呈现
针对运营商不同部门、不同层次以及不同等级客户的具体报表而制定的呈现需求,一定要在项目前期进行明确细化,以保证网管厂商根据明确的需求进行定制,保证实现不同层面和多方位的需求;同时由于运维体制的变化,可能需要重新定制流程及报表的呈现方式(包括报表格式和报表自动发送时间、发送对象和发送方式),因此,对于报表系统的灵活定制性能,应纳入衡量网管系统可扩展性的重要指标之一。
设备兼容
由于目前各大运营商的骨干网大多数为单一类型的厂家设备,因此,在建设VPN网管系统时不能只看到目前的状况,应该强调对多厂家设备的支持,包括国内外主流设备供应商的设备支持,这是各地城域级MPLS VPN网管系统的建设进程中,需要关注的重点环节。
点击二
相关网管产品推荐
1.Micromuse公司的Netcool商用套件。
2.惠普公司的 NNM+CE Manager+Health Monitor网管软件。
3.Cisco公司的Cisco IP VPN Soulution Center 3.0 网管套件,简称ISC3.0,是其VPN Soulution Center(VSC)产品的升级版本。
4.华为公司的HUAWEI iManager NSM VPN Manager网管软件。
注: 上述4款软件和解决套件是MPLS VPN网管实施中值得推荐的四种备选产品,遗憾的是,目前在其各自公司的网站上,皆没有对其登载详细的说明,有兴趣的读者可自行与相关公司联系询问。
转载地址:http://www.netsp.com.cn/Article/netsafe/VPN/200506/20050601120924.html
