电信MPLS VPN业务开通管理

　　Cisco VPNSC 管理系统简介及其不足分析
　　
　　Cisco VPN Solution Center （简称 VPNSC ）是 Cisco 公司于 1999 年开始推出的一套专门针对电信客户 MPLS VPN 服务的业务自动开通和 VPN SLA 监控管理系统。主要实现利用一套中央网管服务器对电信客户的大型 MPLS VPN 业务网络进行自动化地快速业务配置管理。管理员无需精通 Cisco 网络设备的 MPLS VPN 配置语法和命令，也无需人工选择与 VPN 业务相关的 MPLS RD/RT 数值或 VPN 接入链路的 IP 地址 /VLAN ID 等网络参数，就可以直接利用 VPNSC 提供的图形化业务配置管理界面进行全网的 VPN 业务开通：在 VPNSC 的管理界面上输入相应客户所需的 VPN 业务参数，如指定客户 VPN 接入的 PE 路由器、接入链路的网络端口类型、采用的路由协议等， VPNSC 就可以动态生成相应的 MPLS VPN PE 和 CE 路由器的配置命令，并自动下发到所有相关的网络设备中，完成 VPN 业务的即时或定时开通。
　　
　　VPNSC 管理系统推出后取得了巨大的成功，被国内外众多提供 MPLS VPN 服务的电信运营商所采用，在随后的 3 年时间里 Cisco 公司又推出了多个增强管理功能的升级版本，包括于 2002 年 6 月推出的 VPNSC 2.2 版本。但在管理功能上 VPNSC 管理系统也有不足，主要体现在下列几个方面：
　　
　　·管理系统是 Client/Server 结构，操作界面采用 Unix Motif 界面，管理员远程访问速度较慢
　　·无法对运营商业务网络上原有手工配置的 VPN 业务进行自动识别和管理
　　·不支持对管理员进行管理权限分级，无法实现分权分域管理
　　
　　Cisco 公司推出的新一代 IP VPN 管理系统 - ISC
　　
　　针对 VPNSC 管理系统的不足和全球电信运营商期望为企业客户提供更多新业务的管理需求， Cisco 公司于 2003 年 4 月对 VPNSC 管理软件系列进行了一次重要的产品升级换代，推出了新一代的电信级 IP VPN 及其相关服务开通和 SLA 监控管理系统： Cisco IP Solution Center （简称 ISC ） 3.0 ，并于 2004 年 3 月又推出了 ISC 管理软件系列的最新升级版， ISC 3.2 。
　　
　　做为新一代的电信级 IP VPN 业务开通和 SLA 监控管理系统， ISC 管理软件实现了对运营商为企业用户市场提供的多种 IP VPN 及其相关服务进行集成式管理，支持管理的服务类型不但包括传统的 MPLS VPN 和 IPSec VPN ，还支持管理 L2 VPN （包括 AToM 和 VPLS ）， QoS ，核心网络 MPLS 流量工程（ TE ）和可管理的安全服务（如 Firewall/NAT 托管， EZVPN ， DMVPN 等）。同时为进一步优化运营商 IP VPN 及其相关服务的管理流程， ISC 还率先实现了对 IP VPN 服务开通的全生命周期管理，包括：
　　
　　·网络可用资源的自动发现
　　·网络中也开通的 MPLS VPN 服务和 L2 VPN 服务的自动发现与归档
　　·IP VPN 服务和 QoS 的业务策略预先定制
　　·IP VPN 服务及其 QoS 的配置和即时 / 定时开通
　　·IP VPN 服务开通后的配置参数和服务可用性审计
　　·已开通 IP VPN 服务的 SLA 监测和统计
　　·已开通 IP VPN 服务的修改，包括 VPN 链路和业务参数的添加、修改或删除
　　·退租后客户 IP VPN 服务的清除
　　·除了扩展业务开通系统覆盖的服务类型和引入业务开通的全生命周期管理模式， ISC 管理系统还对原有 VPNSC 的管理功能进行了全面提升并弥补了原有系统的所有缺陷。
　　
　　ISC 采用了全新的 Web/Java 浏览器用户操作界面，使得多个管理员可以方便地从任何安装有 IE 或 Netscape 浏览器的 PC 机或工作站同时访问和操作 ISC 管理服务器。新版本的 ISC 还引入了灵活的资源分组和基于角色的管理员访问控制机制，可以严格地实现网络分权分域管理授权，为每个管理员划分的管理权限（可分为察看、创建、修改和删除）可以细化到网络设备上的一个端口。
　　
　　ISC 管理系统的另一个重大功能改进就是增加了对网络中已经开通的 MPLS VPN 和 L2 VPN 服务的自动发现功能。通过采集和分析运营商网络中所有 PE 路由器的配置文件， ISC 管理服务器可以自动发现网络中已经通过手工配置方式开通的每条 MPLS VPN 链路和 L2 VPN 链路，并可以把所有发现的链路参数（如 vrf name,RD,RT,IP 地址等）存储在后台管理数据库中。对 ISC 发现并已经存储在管理数据库中的各个 VPN 链路，管理员可以通过人工指定的方式手工地把多个相关 VPN 链路指定为一个客户 VPN ，并可以此为基础对客户 VPN 或 VPN 内的任意一条链路进行后续的业务配置管理。需要指出的是由于 MPLS VPN 技术的内在特性， ISC 管理系统无法自动发现手工配置的客户 VPN 的网络拓扑，主要原因是由于 MPLS VPN 实现的网络安全隔离造成了 ISC 管理系统无法访问属于客户 VPN 内的 CE 设备。
　　
　　ISC 管理系统在网络实施体系结构方面继承了原有 VPNSC 管理系统的结构，通过构建一个管理 VPN （可选）， ISC 不但能够管理运营商网络中连接客户 VPN 的 PE 设备，还可以管理客户 VPN 的 CE 设备，这种端到端的业务开通管理方式可以大大提高运营商 VPN 业务开通的效率和设备参数配置的准确性。下图为一个典型的 ISC 管理系统实施结构图，在这种系统结构中 ISC 通过一个单独的管理 VPN 不但可以管理运营商的 PE 网络设备还管理客户的 CE 设备。
　　

　

　　如果运营商 VPN 业务网络的管理需求较为简单，无需管理客户的 CE 设备， ISC 的管理系统实施也可以采取下图所示的结构。在这种实施结构中，由于没有构建管理 VPN ， ISC 管理服务器无法访问和管理客户 VPN 的 CE 设备。
　　

　　
　　ISC 系统及其 MPLS VPN 业务开通模块和 QoS 管理模块的管理功能清单
　　
　　做为 VPNSC 管理系统的一个升级换代产品， ISC 管理软件添加了众多新管理功能，并对原系统在许多方面进行了重大的功能改进。下面即对 ISC 管理系统的具体管理功能进行一个简单介绍：
　　
　　ISC 管理系统要求及其基本功能
　　
　　采用标准的 Sun 服务器硬件和英文版 Solaris8 操作系统。
　　
　　支持内置 Sybase ASA8 数据库或外置 Oracle 9.2 数据库存储所有管理信息，可以利用数据库的备份和恢复管理工具对管理信息进行联机备份和恢复。
　　
　　支持基于 Sun Cluster 技术构造 ISC 管理系统的双机冗余备份工作方式，实现 ISC 管理系统的高可靠性和高可用性。
　　
　　采用 Web/Java 浏览器用户操作界面（使用 Windows 或 Solaris 版本的 JRE1.4.2_01 ），方便管理员的本地或异地访问。可支持 45 个以上管理员的同时操作。
　　
　　支持分布式体系结构，一套 ISC 管理系统可最多管理 25 万台以上网元设备。
　　
　　利用命令行指令或 ISC Inventory Manager 对 PE/CE 设备， PE/CE 间链路和原先手工配置的 MPLS VPN 及 L2VPN 业务的自动发现。自动生成 PE/CE 间的物理连接关系的拓扑图。
　　
　　支持对发现的网元设备进行分组管理，提取相应的设备资源信息，方便未来的业务部署。
　　
　　ISC 管理服务器支持通过 SNMP ， Telnet ， SSH ， TFTP ， Terminal Server ， CNS Message 等多种方式与被管理设备进行通信。
　　
　　支持基于用户角色的管理员访问控制，实现分权分域的管理模式，可以细化到对一台设备，一个网络端口进行分权。
　　
　　支持模板管理者（ Template Manager ） , 方便对网元设备进行灵活地配置修改。
　　
　　支持对被管理 PE/CE 设备进行配置文件备份，归档，恢复。
　　
　　支持作业日程调度功能，可以灵活设置每条作业的运行时间和频率。
　　
　　支持作业监视和日志功能，详细记录每条作业的执行状况，出错信息和结果。
　　
　　支持基于 XML 的二次开发编程接口（ API ），第三方软件可以通过 API 读取 ISC 管理数据库中的管理信息。
　　
　　MPLS VPN 的业务配置和监视管理功能
　　
　　·支持的 MPLS VPN 拓扑结构为：星型结构（ Hub-n-Spoke ），部分网状结构 (Partial Mesh) 和全网状结构 (Full Mesh) 。通过 ISC 中设置不同的 CERC(CE Routing Communities) 参数决定每个 VPN 的逻辑拓扑结构。
　　·支持的 PE/CE 间路由协议为：静态路由， RIPv2 ， EIGRP ， OSPF ， BGP 或无路由。支持 BGP Site of Origin 。
　　·支持的接口管理功能包括：
　　Numbered 或 Unnumbered 接口。
　　PE/CE 互连地址的自动分配。
　　支持 Serial, ATM, FR, FR-IETF, POS, Ethernet, FastEthernet, GigaEthernet, ATM/IMA, Cable 等接口类型。
　　PE/CE 通过二层交换机（即 ISC 中的 PE-CLE 设备）连接，自动分配 VLAN Id 。
　　·支持为同类业务预先定制 MPLS VPN 业务模板 (Profile) ，方便后续的 MPLS VPN 链路开通。
　　·支持一次对一条 MPLS VPN 链路或一组链路进行配置。
　　·支持的 MPLS VPN 专有属性：
　　RD,RT 参数的自动分配或人工分配
　　VRF Name 的自动分配或人工分配
　　多 AS 或跨 AS 的 MPLS VPN 配置
　　Multi-case VPN 的配置
　　Multi-VRF CE 的配置
　　标准的 PE-CE 链路或无 CE 链路的配置
　　支持可管理 CE 或不可管理 CE 模式。对于可管理 CE 模式，需要设置一个额外的管理 VPN （ Management VPN ）以确保 ISC 管理服务器与所有被管理 CE 的连通性。
　　IPSec VPN 或 L2 VPN 到 MPLS VPN 的映射（需要 IPSec VPN 或 L2 VPN 的管理授权）
　　·根据管理员输入的 MPLS VPN 配置参数， ISC 首先校验参数是否合理有效，然后自动生成对应网元设备支持的配置指令集