随着电信网络规模和技术的日益扩大和复杂化,电信运营商进行网络管理和维护也更加复杂和困难。先进的网络管理对于网络运营商来说是不可缺少的。而建立在网络管理系统之上的业务层管理产品,如本文所要提到的实现传输网上VPN业务和VPN管理的产品将帮助网络运营商充分利用其剩余带宽资源,向用户快速提供新业务和增值服务,实现潜在的成本节省和用户QOS要求,是目前电信市场上一种极具优势的增值途径。本文以阿尔卡特公司传输网络业务层管理产品(1355VPN管理器)为例介绍传输网上VPN服务和VPN管理增值业务的实现。
传输网VPN、VPN管理器概要
什么是传输网上的VPN呢?传输网络营运商分配给客户一定数量的资源(如一些站点中的网络访问点)和相应的操作权限(如:电路监视或电路配置),这些站点、网络访问点资源的集合就构成了VPN域,在该VPN域任意两个站点之间可以建立一个电路连接,同时根据与客户的带宽合约在任意两个站点之间可以定义一个最大电路连接数或预留一定数量的带宽。
VPN管理器允许传输网络运营商能够向租用其传输网带宽的大/中型客户提供VPN业务。通过该产品,客户可以直接管理SDH、DWDM或者海缆网络中提供的传输业务。客户使用一台WEB终端(普通PC机)就可以动态地配置传输业务,如在SDH网络中自己所预定的网络接入点间建立和删除电路。同样,利用该终端还可以监视这些电路业务,实时接收电路故障、服务质量等相关数据。还可以将这些信息记录在ASCII文件中供进一步分析利用。所有这些信息和数据可以用于计费或SLA等目的。网络运营商负责定义和分配可以被客户所直接管理的网络资源,同时负责监视和控制其VPN客户的行为。
这种VPN业务不仅可以应用在SDH网络当中,还可推广到DWDM,ATM和IP网络。
VPN管理器体系结构
该系统由两部分构成:VPN客户终端和VPN服务器,按照流行的客户机/服务器结构来操作。
VPN客户终端通过Intranet或Internet网络与VPN服务器连接,VPN客户端由Internet浏览器(如:Netscape或IE)加Java程序来实现,无须其它特殊的软件支持。VPN服务器是运行在Unix或NT平台上的Java应用程序。它通过一个开放接口与低层的SDH网络管理系统(NMS)通信,对网络资源执行所允许的管理操作。该结构支持多个VPN服务器连接到同一个NMS,一个VPN服务器可以管理一定数量的VPN域,可以有多个客户连接到该服务器操作该VPN域。VPN服务器与NMS可以运行在同一台或不同的机器上。
VPN管理器功能及安全性
VPN管理器功能分为服务器端和客户端功能。服务器端功能指由服务器管理者(通常为网络运营商)在VPN服务器上执行的功能,客户端功能指由VPN租用客户在PC终端上完成的功能。
1.VPN服务器端功能
1.1定义VPN
VPN服务器可以同时管理许多网络域(VPN域)。VPN服务器管理者在VPN服务器端定义不同的网络域,并设定相关属性,如VPN名称、VPN类型,客户名称、VPN站点、地理背景图,同时定义该VPN域中两个节点间可以建立的最大通道数,这些值可作为合约参考。VPN管理者还可以监视和记录每个VPN客户端的操作行为。
1.2定义客户profile
VPN服务器管理者定义不同VPN域的客户终端和操作者,相关信息如:用户名、密码、终端PC的IP地址(采用Intranet连接时)、操作profile(只读、读/写、管理员)、客户所属VPN域。只有服务器管理者可访问该信息,以保证VPN接入安全性。
1.3多客户端/多VPN域/多NMS的管理
每个客户端属于一个VPN域。每个VPN域可同时有多个客户终端同时登录。当VPN服务器从低层NMS接收到通知或告警时,将向相关VPN域中在线的多个客户终端同时转发。
一个VPN服务器可以连接到多个不同的NMS上。从不同NMS上获取的网络资源可以分配给不同VPN来进行管理或者分配给同一个VPN用户。
1.4VPN域数据
VPN服务器中保存有分配给各个VPN域的资源数据,通过公用接口从低层NMS中获取,包括站点、节点、终端点(CTPs
and
TTPs)、通道(DWDM和海缆网络中应考虑OCH)等。站点和节点可以被不同VPN域共享,而SAP和通道只能分配给惟一的VPN域。服务器每接收到一条通知或告警将自动更新这些数据。
2.VPN客户端功能
2.1获取VPN域数据
VPN客户终端从VPN服务器的数据存储区获取相关VPN域的所有数据,即服务接入点(SAP)、通道、节点、站点、地理图等,这些数据在地理图中以图形或图表形式描述。如果站点/节点数太多,可利用分层结构或分区子图来描述。
2.2通道配置
客户终端可以创建、修改和删除所属VPN域中的通道。通过指定终端SAP请求创建一条通道。可以定义点到点(单向或双向)通道或广播通道。通道相关属性包括A-端和Z-端终端点、通道标识、比特率、方向性、业务工作状态、恢复优先级、PM数据收集、故障报告、请求的服务质量等。可以预先定义通道配置命令执行的时间。客户可以修改通道的可用性,即该通道应用的保护级别和保护类型。还可以激活电路环回测试功能。
2.3通知和日志
当网络资源属性发生变化时,VPN服务器可以接收到影响业务的故障通知和通道变化通知,它将自动向所属VPN域的客户端转发。客户端接收到的通知以表格形式描述。
VPN服务器从NMS接收到的所有通知消息以及从客户端接收到的所有操作请求都被记录在ASCII文件中,还可以输出到外部系统中以供进一步的分析利用。每个VPN域都有以下日志文件,如:故障数据日志、操作日志、资源更新、用户接入日志等。
2.4业务性能监控数据和统计报告
VPN服务器可以获取NMS收集到的不同VPN域内与通道(业务)相关的性能数据。这些PM数据文件通过FTP协议可传送到外部系统中,如每隔24小时传送一次24小时PM数据或每隔2小时传送一次15分钟PM数据。这些数据文件可以以表格或图形方式显示在客户端。客户端也可激活/挂起该VPN域PM数据的收集和PM数据的报告。
统计报告向客户端提供VPN域资源的使用情况和通道业务的质量情况。
2.5服务器――客户机消息发送
客户端和VPN服务器管理者之间可以进行信息交互。如:客户端可以在合约中申请新的容量或者将VPN域中出现的问题通知管理者,而管理者也可以将计划中的业务中断或故障修复进度通知给客户端。除这种消息交互方式外,还可提供邮件系统。
3.VPN管理器安全性
操作VPN域的客户须首先登录VPN服务器,检验用户名和密码。服务器管理者给每个客户终端分配以下不同级别的操作权限:
*
只读:用户只能浏览网络状态和变化,不能修改任何资源。
* 通道创建:用户能够浏览网络状态和变化,并向服务器请求操作相关网络资源。
* 用户管理者:全部权限,如:请求VPN域资源和NMS的一致性操作。
当采用Intranet连接时,还可以通过检查客户终端的IP地址进一步提供安全机制,这可以作为第三个参数和用户名与密码一起在登录服务器时受到验证。利用Internet访问VPN服务器资源时,可以对服务器――客户端之间的通信进行加密,而且还可以根据用户要求和不同配置提供防火墙机制和私用/公用密钥机制。
1.Web服务器/客户端网页浏览器
客户终端通过网页浏览器(如Netscape或IE)连接到Internet
Web服务器中下载和阅读HTML网页。Web服务器与Java服务器运行在同一台机器中,这样客户终端(PC)就无须安装专用VPN客户终端应用程序,客户在登录时可以自动获取该程序。
2.客户终端/VPN服务器
客户终端程序是运行在Web浏览器虚拟机(Java解释器)内部的一个Java程序。该程序完成用户接口和VPN客户终端功能。客户终端登录时将用户信息(用户名和密码)发送到服务器,经服务器认证后,它将接收到所有与该VPN域相关的数据。
服务器通过开放接口从低层NMS获取分配给不同VPN域的资源。当客户终端连接后,服务器将向其发送相关VPN域数据。服务器存储客户端信息,如密码、权限、受权主机和VPN域等。服务器端也是Java程序,只需要Java虚拟机,无需浏览器环境。
3.客户端/服务器通信及服务器/NMS通信
客户端和服务器间通过Internet或Intranet利用Java
RMI(Java专用协议)进行通信。如果利用Intranet网络,由于具有防火墙控制的主机接入机制,其安全性有一定保障。如果通信发生在Internet上,须采取各种防范措施以避免非法入侵。
服务器和NMS之间通过开放接口通信,接口有不同类型,如:ASCII类型(TCP/IP Socket)和Corba类型(TMF-CASMIM)。CASMIM是TMF机构标准化的Corba接口。
4.硬件和软件平台
VPN服务器可以采用高性能的UNIX工作站/服务器,支持Java虚拟机和Web服务器应用。VPN客户端可使用普通连网PC机(也可以是一台UNIX工作站),并安装支持Java的Web浏览器。
结束语
随着电信业的发展,如何为用户提供更好的电信服务尤为重要,利用阿尔卡特的VPN管理器为用户提供VPN服务,具有很鲜明的特点,如网络资源可以分配给不同的VPN客户,公共的资源可以放入“自由池”中共享。VPN客户可以在自己的终端上看到属于自己的网络资源并发出资源调度请求,而VPN服务器自动对请求作出响应,方便了大中型客户,也方便了运营商自己的管理;端口资源分配与电路资源分配独立,每个用户预