基于融合的VPN管理方案

　　VPN技术从诞生起就因其明显的技术优势备受青睐。在传统的网络中，用户对VPN的使用体现在分支安全接入，以太网络租用等场景，企业应用VPN技术相对较少，因此并未给VPN的管理带来压力。但随着近年来网络应用的不断深入，尤其新一代网络向着云就绪网络的演进，承载网络面临更高的要求。网络不仅要提升流量转发能力，更需要提供智能的多种业务接入和互联的能力。VPN这种灵活的多业务复用技术，非常适于作为业务接入和互联通道，正得到越来越多的应用。但一些用户发现，在享受VPN技术带来的便利的同时，困扰也随之而来。

　　多个厂商，多种VPN难以管理

　　企业网络往往会部署多个厂商的网络设备，根据业务的差别还会部署不同的VPN技术。同时，VPN技术也存在演进变更，例如有些企业部署了PBB业务，由于相关标准停滞不前，后续希望迁移到VPLS或MPLS TP等技术。另外，由于VPN技术复杂，每种VPN技术同时需要路由、MPLS、安全加密等多种网络协议进行支撑，不同的厂商为各自的VPN提供不同的管理工具，例如A厂商为BGP MPLS管理提供ISC管理工具，为IPSec管理提供CSM等管理，而B厂商为MPLS VPN又提供了DMS管理工具，为IPSec VPN管理提供VSM管理工具;这就迫使IT管理员不仅要掌握多个工具，还需要使用多个管理工具，由此相关的工作量必然很大。

　　而对于用户而言，需要的只是一个能够满足企业业务需求的管道服务，不需要去关注VPN的内部实现。这就给VPN的管理变革提出第一个需求：如何将多个厂商，多种VPN业务统一进行管理，方便进行部署和业务开通?

　　VPN故障难以定位

　　网络的稳定性要求越来越受到重视，而VPN的复杂性给维护人员进行VPN故障的定位带来了很大的挑战，用户希望拥有故障的诊断和根因分析手段，快速定位故障原因，并评估故障的影响，及时解决问题。管理员和用户还希望可以轻松了解和掌控通道的状况和网络的吞吐情况。因此，如何对VPN业务进行服务质量的评估，如何及时进行故障的定位和排查?

　　分支企业难以从总部统一监管

　　管理系统一般部署在企业总部，对总部和骨干网络可以提供比较深入的管理手段，但对企业分支或客户租用网络，由于穿越公网，很难从总部进行统一监管。用户需要将业务管理的触角延伸到分支企业，为分支企业提供统一IT管理服务能力。因此，如何能够利用VPN实现对分支企业的网络的管理?

　　总结以上问题，用户实际上需要的就是：统一、简单的管道服务，提供智能的故障定位手段便于解决问题。能够满足这一需求的VPN管理方案应具备的核心基因就是：融合，即对多厂商多VPN业务协议进行拆解和组合，封装底层协议，为客户提供统一的管道服务形式。通过融合的VPN管理方案，统一承载多种VPN管理，适应企业业务需求变化。

　　基于这个核心，融合VPN管理方案呈现给前台使用者的体验主要有以下六个特点：

　　统一

　　——统一VPN服务框架

　　多种VPN管理(如IPsec VPN、DVPN、GRE、MPLS VPN等)统一在一个平台框架中，底层设备访问层实现对多厂商设备的统一管理，通过协议封装层实现对多种VPN的底层业务采集、数据分析和业务处理，抽象出基于业务的VPN部件为中间业务处理层提供整合后的VPN对象体，前台提供统一的VPN业务编排入口，并封装多种业务模板和服务套餐，便于用户选择。

　　图1 云网络统一VPN管理参考示意图

　　端到端

　　——基于拓扑的端到端的服务部署

　　管理员可以基于实际物理拓扑通过点选链路的方式快速直观的实现端到端VPN业务管道的规划，并通过底层协议封装层自动形成相应的路由、IPSec、MPLS等业务配置片段，管理员可以对形成的配置进行审核，确定下发方式;根据业务需求业务下发可以采用多种形式，可以基于SNMP、Telnet/SSH或TR069等协议方式，既可以实现对固定IP地址网络设备的业务下发，也可以实现对NAT后、动态IP设备的业务下发，并满足用户对安全、性能、可靠性等方面的要求。

　　可视化

　　——可视化VPN业务通道流量分析

　　通过对虚拟网络进行逐层分析、庖丁解牛，清晰了解网络的服务状况。VPN管理系统可以展示物理链路的流量、带宽率情况，了解物理网络的整体吞吐量，并仿真展示物理通道中的隧道(Tunnel、LSP等)的数量和带宽，通过点击可以看到隧道的实时流量状况和历史流量趋势;进一步可以展示隧道下的服务通道(如PW)的流量状态和数量，通过综合业务分析手段可以清晰的了解具体业务分布和流量状态，如WWW、FTP、Email等业务流量分布，并提供对业务的时延、抖动、丢包等SLA分析手段，有效评估用户的服务质量。

图2 可视化VPN业务通道流量分析参考示意图

　　智能

　　——深入的VPN故障根源分析手段

　　综合物理网络拓扑、VPN技术协议智能诊断手段，并通过可视化的技术排查流程指导用户逐层排查问题，快速定位根因，及时解决问题。以MPLS VPN网络出现客户管道联通问题的分析解决为例，图3所示为整个故障定位过程的示意。

　　1) 故障分析模块会通过业务流程首先展示故障管道位置，并展示故障管道的相关告警，以及通过告警分析给出的可能问题根因及影响度的建议;

　　2) 如果没有解决，进入到物理通道检测流程，故障模块会自动检测接入点接口的状态、接口是否使能相关协议，检查设备路由表判断路由是否可达等;

　　3) 如果没有定位根因，会进入到协议通道流程，故障模块进行LDP会话、LSP路径协议的业务分析;

　　4) 进一步会进行控制平面的业务分析，如判断ACL是否启用了规则屏蔽了MPLS报文等，通过这种细致的自动化智能分析方式，可以在非常短的时间内定位问题，帮助用户快速解决问题，此外故障根因模块可以定义知识库，通过原语和命令行模板，增加故障诊断规则，扩展定位手段。

　　图3 故障定位Troubleshooting的参考示意图