隨著電信網絡規模和技術的日益擴大和復雜化,電信運營商進行網絡管理和維護也更加復雜和困難。先進的網絡管理對于網絡運營商來說是不可缺少的。而建立在網絡管理系統之上的業務層管理產品,如本文所要提到的實現傳輸網上VPN業務和VPN管理的產品將幫助網絡運營商充分利用其剩余帶寬資源,向用戶快速提供新業務和增值服務,實現潛在的成本節省和用戶QOS要求,是目前電信市場上一種極具優勢的增值途徑。本文以阿爾卡特公司傳輸網絡業務層管理產品(1355VPN管理器)為例介紹傳輸網上VPN服務和VPN管理增值業務的實現。
傳輸網VPN、VPN管理器概要
什么是傳輸網上的VPN呢?傳輸網絡營運商分配給客戶一定數量的資源(如一些站點中的網絡訪問點)和相應的操作權限(如:電路監視或電路配置),這些站點、網絡訪問點資源的集合就構成了VPN域,在該VPN域任意兩個站點之間可以建立一個電路連接,同時根據與客戶的帶寬合約在任意兩個站點之間可以定義一個最大電路連接數或預留一定數量的帶寬?! ?
VPN管理器允許傳輸網絡運營商能夠向租用其傳輸網帶寬的大/中型客戶提供VPN業務。通過該產品,客戶可以直接管理SDH、DWDM或者海纜網絡中提供的傳輸業務??蛻羰褂靡慌_WEB終端(普通PC機)就可以動態地配置傳輸業務,如在SDH網絡中自己所預定的網絡接入點間建立和刪除電路。同樣,利用該終端還可以監視這些電路業務,實時接收電路故障、服務質量等相關數據。還可以將這些信息記錄在ASCII文件中供進一步分析利用。所有這些信息和數據可以用于計費或SLA等目的。網絡運營商負責定義和分配可以被客戶所直接管理的網絡資源,同時負責監視和控制其VPN客戶的行為?! ?
這種VPN業務不僅可以應用在SDH網絡當中,還可推廣到DWDM,ATM和IP網絡?! ?
VPN管理器體系結構
該系統由兩部分構成:VPN客戶終端和VPN服務器,按照流行的客戶機/服務器結構來操作?! ?
VPN客戶終端通過Intranet或Internet網絡與VPN服務器連接,VPN客戶端由Internet瀏覽器(如:Netscape或IE)加Java程序來實現,無須其它特殊的軟件支持。VPN服務器是運行在Unix或NT平臺上的Java應用程序。它通過一個開放接口與低層的SDH網絡管理系統(NMS)通信,對網絡資源執行所允許的管理操作。該結構支持多個VPN服務器連接到同一個NMS,一個VPN服務器可以管理一定數量的VPN域,可以有多個客戶連接到該服務器操作該VPN域。VPN服務器與NMS可以運行在同一臺或不同的機器上?! ?
VPN管理器功能及安全性
VPN管理器功能分為服務器端和客戶端功能。服務器端功能指由服務器管理者(通常為網絡運營商)在VPN服務器上執行的功能,客戶端功能指由VPN租用客戶在PC終端上完成的功能?! ?
1.VPN服務器端功能
1.1定義VPN
VPN服務器可以同時管理許多網絡域(VPN域)。VPN服務器管理者在VPN服務器端定義不同的網絡域,并設定相關屬性,如VPN名稱、VPN類型,客戶名稱、VPN站點、地理背景圖,同時定義該VPN域中兩個節點間可以建立的最大通道數,這些值可作為合約參考。VPN管理者還可以監視和記錄每個VPN客戶端的操作行為。
1.2定義客戶profile
VPN服務器管理者定義不同VPN域的客戶終端和操作者,相關信息如:用戶名、密碼、終端PC的IP地址(采用Intranet連接時)、操作profile(只讀、讀/寫、管理員)、客戶所屬VPN域。只有服務器管理者可訪問該信息,以保證VPN接入安全性。
1.3多客戶端/多VPN域/多NMS的管理
每個客戶端屬于一個VPN域。每個VPN域可同時有多個客戶終端同時登錄。當VPN服務器從低層NMS接收到通知或告警時,將向相關VPN域中在線的多個客戶終端同時轉發。
一個VPN服務器可以連接到多個不同的NMS上。從不同NMS上獲取的網絡資源可以分配給不同VPN來進行管理或者分配給同一個VPN用戶?! ?.4VPN域數據
VPN服務器中保存有分配給各個VPN域的資源數據,通過公用接口從低層NMS中獲取,包括站點、節點、終端點(CTPs and TTPs)、通道(DWDM和海纜網絡中應考慮OCH)等。站點和節點可以被不同VPN域共享,而SAP和通道只能分配給惟一的VPN域。服務器每接收到一條通知或告警將自動更新這些數據。
2.VPN客戶端功能
2.1獲取VPN域數據
VPN客戶終端從VPN服務器的數據存儲區獲取相關VPN域的所有數據,即服務接入點(SAP)、通道、節點、站點、地理圖等,這些數據在地理圖中以圖形或圖表形式描述。如果站點/節點數太多,可利用分層結構或分區子圖來描述?! ?
2.2通道配置
客戶終端可以創建、修改和刪除所屬VPN域中的通道。通過指定終端SAP請求創建一條通道??梢远x點到點(單向或雙向)通道或廣播通道。通道相關屬性包括A-端和Z-端終端點、通道標識、比特率、方向性、業務工作狀態、恢復優先級、PM數據收集、故障報告、請求的服務質量等??梢灶A先定義通道配置命令執行的時間??蛻艨梢孕薷耐ǖ赖目捎眯裕丛撏ǖ缿玫谋Wo級別和保護類型。還可以激活電路環回測試功能?! ?
2.3通知和日志
當網絡資源屬性發生變化時,VPN服務器可以接收到影響業務的故障通知和通道變化通知,它將自動向所屬VPN域的客戶端轉發??蛻舳私邮盏降耐ㄖ员砀裥问矫枋觥! ?
VPN服務器從NMS接收到的所有通知消息以及從客戶端接收到的所有操作請求都被記錄在ASCII文件中,還可以輸出到外部系統中以供進一步的分析利用。每個VPN域都有以下日志文件,如:故障數據日志、操作日志、資源更新、用戶接入日志等?! ?
2.4業務性能監控數據和統計報告
VPN服務器可以獲取NMS收集到的不同VPN域內與通道(業務)相關的性能數據。這些PM數據文件通過FTP協議可傳送到外部系統中,如每隔24小時傳送一次24小時PM數據或每隔2小時傳送一次15分鐘PM數據。這些數據文件可以以表格或圖形方式顯示在客戶端。客戶端也可激活/掛起該VPN域PM數據的收集和PM數據的報告?! ?#p#分頁標題#e#
統計報告向客戶端提供VPN域資源的使用情況和通道業務的質量情況。
2.5服務器——客戶機消息發送
客戶端和VPN服務器管理者之間可以進行信息交互。如:客戶端可以在合約中申請新的容量或者將VPN域中出現的問題通知管理者,而管理者也可以將計劃中的業務中斷或故障修復進度通知給客戶端。除這種消息交互方式外,還可提供郵件系統。
3.VPN管理器安全性
操作VPN域的客戶須首先登錄VPN服務器,檢驗用戶名和密碼。服務器管理者給每個客戶終端分配以下不同級別的操作權限:
* 只讀:用戶只能瀏覽網絡狀態和變化,不能修改任何資源。
* 通道創建:用戶能夠瀏覽網絡狀態和變化,并向服務器請求操作相關網絡資源?! ?
* 用戶管理者:全部權限,如:請求VPN域資源和NMS的一致性操作?! ?
當采用Intranet連接時,還可以通過檢查客戶終端的IP地址進一步提供安全機制,這可以作為第三個參數和用戶名與密碼一起在登錄服務器時受到驗證。利用Internet訪問VPN服務器資源時,可以對服務器——客戶端之間的通信進行加密,而且還可以根據用戶要求和不同配置提供防火墻機制和私用/公用密鑰機制?!?br /> 1.Web服務器/客戶端網頁瀏覽器
客戶終端通過網頁瀏覽器(如Netscape或IE)連接到Internet Web服務器中下載和閱讀HTML網頁。Web服務器與Java服務器運行在同一臺機器中,這樣客戶終端(PC)就無須安裝專用VPN客戶終端應用程序,客戶在登錄時可以自動獲取該程序?! ?
2.客戶終端/VPN服務器
客戶終端程序是運行在Web瀏覽器虛擬機(Java解釋器)內部的一個Java程序。該程序完成用戶接口和VPN客戶終端功能??蛻艚K端登錄時將用戶信息(用戶名和密碼)發送到服務器,經服務器認證后,它將接收到所有與該VPN域相關的數據?! ?
服務器通過開放接口從低層NMS獲取分配給不同VPN域的資源。當客戶終端連接后,服務器將向其發送相關VPN域數據。服務器存儲客戶端信息,如密碼、權限、受權主機和VPN域等。服務器端也是Java程序,只需要Java虛擬機,無需瀏覽器環境?! ?
3.客戶端/服務器通信及服務器/NMS通信
客戶端和服務器間通過Internet或Intranet利用Java RMI(Java專用協議)進行通信。如果利用Intranet網絡,由于具有防火墻控制的主機接入機制,其安全性有一定保障。如果通信發生在Internet上,須采取各種防范措施以避免非法入侵?! ?
服務器和NMS之間通過開放接口通信,接口有不同類型,如:ASCII類型(TCP/IP Socket)和Corba類型(TMF-CASMIM)。CASMIM是TMF機構標準化的Corba接口?! ?
4.硬件和軟件平臺
VPN服務器可以采用高性能的UNIX工作站/服務器,支持Java虛擬機和Web服務器應用。VPN客戶端可使用普通連網PC機(也可以是一臺UNIX工作站),并安裝支持Java的Web瀏覽器?! ?
