H3C 智能管理中心 MPLS VPN Manager技术白皮书
关键词:H3C、MPLS VPN、MPLS VPN Manager、技术白皮书、SP
摘 要:本文通过介绍H3C 智能管理中心 MPLS VPN Manager(以下简称MVM)的技术优势、关键特性和典型应用,说明MPLS VPN Manager能够帮助网络管理员轻松完成MPLS VPN网络的业务规划、业务部署、业务保障和业务监控。
缩略语:
缩略语 | 英文全名 | 中文解释 |
BGP | Border Gateway Protocol | 边界网关协议,路由协议的一种 |
CE | Customer Edge | 客户侧部署的路由器,一般为接入层路由器 |
iMC | Intelligent Management Center | 智能管理中心 |
MCE | Multi-CE | 多CE技术,在PE的一个接口上可以支持多个CE接入,从而增大PE的接入容量 |
MPLS | Multi-Protocol Label Switching | 多协议标签交换 |
MVM | MPLS VPN Manager | MPLS VPN管理系统 |
NME | Network Management Essential | 基础网络管理 |
P | Provider | 指骨干路由器 |
PE | Provider Edge | 运营商侧部署的路由器,一般作为汇聚层设备 |
QoS | Quality of Service | 服务质量 |
RFC | Request for Comments | 国际标准化组织发布的Internet系列标准 |
SNMP | Simple Network Management Protocol | 简单网络管理协议 |
SOA | Service Oriented Architecture | 面向服务的体系架构 |
VMCE | VLAN-Isolated MCE | 使用VLAN隔离的MCE技术。在PE和CE增加交换机,创建VLAN隔离同一物理接口上不同CE与PE相连的子接口 |
VPN | Virtual Private Network | 虚拟专用网 |
BGP | Border Gateway Protocol | 边界网关协议,路由协议的一种 |
CE | Customer Edge | 客户侧部署的路由器,一般为接入层路由器 |
iMC | Intelligent Management Center | 智能管理中心 |
MCE | Multi-CE | 多CE技术,在PE的一个接口上可以支持多个CE接入,从而增大PE的接入容量 |
MPLS | Multi-Protocol Label Switching | 多协议标签交换 |
MVM | MPLS VPN Manager | MPLS VPN管理系统 |
NME | Network Management Essential | 基础网络管理 |
P | Provider | 指骨干路由器 |
PE | Provider Edge | 运营商侧部署的路由器,一般作为汇聚层设备 |
QoS | Quality of Service | 服务质量 |
RFC | Request for Comments | 国际标准化组织发布的Internet系列标准 |
SNMP | Simple Network Management Protocol | 简单网络管理协议 |
SOA | Service Oriented Architecture | 面向服务的体系架构 |
VMCE | VLAN-Isolated MCE | 使用VLAN隔离的MCE技术。在PE和CE增加交换机,创建VLAN隔离同一物理接口上不同CE与PE相连的子接口 |
VPN | Virtual Private Network | 虚拟专用网 |
今天,信息化已不仅是宣传和提升企业和政府机构形象的有效手段,而且是影响到企业盈利水平、机构工作效率的基础条件。网络的服务能力也从提供最基本的连通服务,进化到可以提供语音、视频、自动化生产等丰富的业务。MPLS VPN技术具备满足上述所有需求的优势,正在得到广泛的应用。但在部署MPLS VPN网络的同时,客户也面临着一系列的问题:
l 业务的规划能力:如何找到一个“所见即所得”的可视化工具,而不是面对一堆错综复杂的网络图和多个长长的信息列表?
l 配置的预见能力:如何在业务部署到设备之前,就了解到配置的正确性,而不是部署之后反复纠错?
l 部署的复杂性:大规模部署业务时,如何正确、快速的完成任务?
l 设备的多样性:多厂商设备共同组网,如何进行统一部署,而不是在多个网管系统完成一个个的配置片断?
l 及时响应故障: 一个普通的链路故障影响到底有多大?是一个站点、一个客户还是一批客户?
l 服务质量保证:看似正常链路是否已处在负荷超载的边缘?用户是否正在抱怨缓慢、不稳定的网络?
H3C MPLS VPN管理解决方案正是为满足客户的这些需求而推出的。MPLS VPN Manager(以下简称MVM)是MPLS VPN解决方案中的核心部件之一,基于H3C智能管理中心开发,采用业界标准的SOA架构,提供融合的资源管理,重整业务流程,实现MPLS VPN业务整个生命周期(规划、部署、监视、审计、优化、重构)的全流程管理。支持对Cisco、华为、H3C支持VPN特性设备的统一管理。基于SOAP开放架构,提供的强大的扩展能力和接口能力。通过与OSS等系统集成,用户或集成商可方便构建增值价值链。
MPLS(Multi-Protocol Label Switching,多协议标签交换)技术最初是为了提高路由器的转发速度而提出的,由于在流量工程(TE)和VPN两个领域中的表现,MPLS已日益成为IP网络提供增值业务的重要支撑,也为开展IPv6业务提供了可能。
MPLS VPN可结合MPLS TE在提供原有VPN网络所有功能的同时,提供强大有力的QoS能力,具有高可靠性、高安全性、以及强大的管理能力和扩展能力。根据扩展方式的不同,MPLS VPN可以分为BGP扩展实现的MPLS VPN 和LDP扩展实现的VPN;根据PE设备是否参与VPN路由,MPLS VPN细分为二层VPN(MPLS L2 VPN)和三层VPN(BGP /MPLS VPN)。
图1 MPLS VPN结构图
在上图中,VPN的不同站点通过CE与业务提供商的MPLS网络的PE相连,并由本端PE通过扩展机制与远端的PE建立LSP隧道,从而完成数据的私有传输,形成VPN。
MPLS VPN业务具有广阔的市场前景,但该业务的运营对IP网络的管理提出了更高的要求。MPLS VPN的网络管理涉及到VPN业务管理、网络管理以及设备管理等功能。人工管理容易造成配置出错,一旦出现配置错误也很难察觉,并且难于进行业务监控和故障定位,管理效率低,不能满足日益增长的业务需求。因此,一个有效的MPLS VPN管理解决方案是开展MPLS VPN业务不可缺少的一环。
参考TMN、TMF规范,H3C 智能管理中心 MPLS VPN Manager提供丰富的管理功能,涉及到业务管理、网络管理、设备管理等领域。主要功能包括:
1) 根据网络规划,生成业务请求并进行部署、审计。
2) 维护网络数据,监视网络性能和故障。
3) 进行网络性能、故障的业务相关性分析,为业务保障提供原始数据。
MVM立足于管理MPLS VPN网络,把传统的网络管理和VPN的业务部署、性能监控和故障监控功能无缝融合,是企业部署和管理MPLS VPN业务的高效工具。
MVM采用业界流行的B/S结构,基于SOA架构,最大限度地提供扩展性,冗余性以及健壮性,最大程度降低部署成本,并提供Web Services接口,可提供二次开发能力。
图2 MVM体系结构
l 低成本:采用MPLS VPN技术,网络整体链路的数目大为减少,成本只有原来的六分之一,用户端的设备配置得到简化。
l 统一网络平台:MPLS VPN为企业用户提供语音、数据和视频业务在内的统一通信平台。
l 良好的扩展性:MPLS VPN技术具备良好的扩展性,在向以IPv6为核心技术的下一代互联网过渡和发展中,MPLS VPN将是IPv4网络向IPv6网络过渡的重要手段和方式。
l 高安全性:VPN以多种方式增强了网络的智能和安全性,具有高度的安全性。
l 网络设计简单:使用VPN替代租用线路来实现分支机构的连接,极大地简化企业广域网的设计。VPN通过拨号访问来自于ISP或NSP的外部服务,简化了与远程用户认证、授权和记账相关的设备配置和管理。
l 易于建立商业伙伴:过去,企业如果想与合作伙伴联网,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了MPLS VPN,这种协商已毫无必要,要连就连,可以迅速捕捉商业机会,建立可靠的商业伙伴关系。
l 完全控制主动权:VPN使企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。
l 支持新兴应用:许多专用网对于许多新兴应用准备不足,VPN则可以支持各种高级的应用,如IP语音,IP传真,还有各种协议,如RSIP、IPv6、MPLS、SNMPv3等。
l 业务规划能力:提供“所见即所得”的可视化工具。用户能够可视化的规划和预部署VPN,预览拓扑检查部署的正确性。在验证无误后,一次性完成网络配置的下发。
l 部署复杂性的简化能力:提供业务的批量部署和管理功能。
l 设备的兼容能力:支持多厂商设备共同组网的统一部署。
l 业务的运营能力:提供对业务的集中管理。H3C智能管理中心本身就是一个高度灵活的组件化系统,能够根据客户业务不断增加新的组件和应用。
l 端到端的监控能力:提供对VPN内CE和CE之间端到端的连通性审计。可以基于VPN或链路进行审计。审计发现的问题,会通过告警的方式提示管理员,并在VPN拓扑上实时反映。
l 故障及时响应能力:基本告警发生后进行关联分析,自动产生业务告警。
l 服务质量保证能力:提供对业务接入的精细统计和VPN整体的趋势统计。
l 配置一致性检查能力:支持对VPN配置的全网审计。审计结果会在变更信息页面进行显示,也会直观的反映在拓扑视图和业务部署列表中。
MPLS VPN技术不仅广泛应用于运营商领域,在电力、政务、邮政、教育等业务丰富,网络规模较大的园区网也得到越来越多的实践和认可。
MPLS VPN Manager为MPLS VPN业务的运行维护提供了完善的解决方案,部署完成后可以实现L3VPN业务的业务规划到日常维护的大部分工作。
l 向导方式的业务部署
根据网络规划,在完成了网络设备的正常配置后,管理人员可以使用MVM提供的向导式的业务部署工具,采用渐进的方式完成VPN业务的初期部署或扩容。
l 延后部署
管理人员不仅可以在规划完成时立即进行业务部署,也可以在以后再进行部署。同时对于部署不成功的业务,提供失败原因分析,供管理员参考。
MVM为管理人员的日常维护提供了不同的VPN监控手段,包括:VPN配置审计、VPN连通性测试、VPN流量监控和业务接入流量监控、各种拓扑视图以及故障关联分析。MVM对管理员的操作能够进行详细记录,形成完整的用户操作日志。
在部署MPLS VPN Manager时,有如下注意事项和限制:
l MVM使用SNMP v1/v2c/v3协议及Telnet协议与设备通信,因此设备与网管服务器之间必须保证这两种协议能够正常通讯。
l 需要管理CE设备时,必须建立管理VPN。详见典型组网中的介绍。
l 在MVM系统中,每个CE只能属于一个VPN。当一个CE在多个基本VPN中时,这些VPN会自动合并为一个更大的VPN。如果需要观测每个基本VPN的组网情况,可通过拓扑过滤功能实现。
系统提供了便捷的方式增加VPN资源。VPN资源包括:PE、CE、VPN。PE和CE资源可以直接从基础网络资源导入,而VPN资源用户既可以手工增加,也可以利用自动发现功能构建。
l VPN有三种基础组网类型:Full-Mesh、Hub-Spoke (Central Services)和Hub-Spoke (Central Transit),复杂VPN都是这三种基本形态的组合。为了方便客户观察网络的连接情况,我们把这三种基本组网称为SC(Service Community),因此,每个SC代表了一种基本组网类型以及一组RT值。实际应用中所有复杂的VPN网络都可以认为是三者的组合。
l 支持虚拟CE。由于CE设备的多样性,部分CE设备可能是不可管理的,管理员可以创建虚拟CE。虚拟CE同样代表了一个客户接入点,利用虚拟CE设备不仅能够体现PE设备和客户站点之间的连接关系,而且能够确定客户接入点之间的连通性。
l 支持直接查看PE、CE设备的详细信息。除了基础网络资源的信息,还可以查看PE设备的VPN信息和VRF信息。
l 支持周期同步和手工同步PE的配置信息。如果配置发生了变化,系统产生告警提示管理员,在PE设备的VPN信息界面中提示哪些VPN链路的配置发生了变化,同时在拓扑上特殊标注。
l 支持管理VPN。管理VPN是为了管理CE而创建的VPN,与其他业务VPN的管理需求有明显的区别。MVM提供对管理VPN的配置和过滤功能。
MVM支持将已发现的VPN按照网络的实际情况或者用户希望的方式进行组合。这在网络非常庞大时,可以按客户、按种类等分组方法,把VPN分到不同的分组中。例如在政务网中,可以按照部门创建分组,把VPN划分到各自部门所对应的分组中。分组支持嵌套,最多可以支持到7层。
MVM提供了强大的VPN监控功能。不仅能够实时显示网络对象的状态,包括VPN配置是否发生变化、PE设备同步结果、以及PE设备是否存在链路配置缺失等,而且可以实时显示CE之间的连接关系和连通状态。
l Top N监控。对于故障情况最危急的前N个VPN、PE、CE提供分类视图和快速导航,方便管理员第一时间关注并处理关键问题。
l 提供的VPN接入拓扑实时反映CE与核心网之间的链路状态,即PE设备、CE设备以及骨干网(Core)之间的连接关系和链路状态。
l 提供的VPN业务拓扑实时反映VPN网络中CE间的连接关系,方便管理员监控VPN内客户子网之间的连接关系以及连通状态。
l 提供的全网拓扑,包括了所有可管理的PE设备和CE设备,方便管理员从全局的角度来监控整个VPN网络的运行情况。
l 支持拓扑过滤。在业务拓扑中,可以按照设备、SC(Service Community, 基本VPN形式)等多种方式过滤,突出显示特定节点的连接情况。
l 支持对分层PE模式的监控。能够对分层PE智能识别,不需要用户介入就能够区分分层PE中的各个角色。
l 支持对VMCE的业务监控。VMCE是通过对PE子接口绑定VRF,实现同一个PE物理接口连接多个CE设备,从而增加接入容量,减少网络建设成本的技术方案。支持无限扩展的VMCE,用户可以通过增加中间设备再现网络的物理拓扑。
l 支持对MCE的业务监控。MCE和VMCE相比,是借助路由器实现接入容量的扩展。因为每个业务接入都对应一个真正的三层物理接口,能够实现完整的VPN业务。
l 支持VPN告警。VPN中的告警包括PE设备发送的基本告警,以及系统进行关联分析而产生的业务告警。
l 支持对VPN的连通性审计。连通性审计可以基于VPN或链路进行审计。审计发现的问题,会通过告警的方式提示管理员,并在VPN拓扑上实时反映。
l 支持配置审计。配置审计是将设备当前的实际配置信息与网管配置进行比较,审计结果会在变更信息页面进行显示,也会直观的反映在视图中。
l 支持区域管理。当网络规模庞大时,在同一个拓扑平面展示整个VPN,观测将很不方便。同时,用户又希望在一个平面展现出设备间的连接关系。MPLS VPN Manager提供的区域管理正好符合这种需求:网络可以分成多个区域,需要查看的区域可以展开,显示出设备与内外部的连接关系,而不关心的区域可以收缩成一个图标,显示高度聚焦的网络拓扑。
MVM提供了对VPN和业务接入的流量统计和报表功能,为用户提供流量概况和精细化两个角度的趋势分析能力。业务接入对应CE接入PE的链路。
VPN流量和业务接入流量提供柱图、折线等图表显示方式,为预测资源的利用情况和发展趋势提供了方便的手段。流量统计结果可以按照日、月、年的方式进行报表输出,支持Html、PDF等多种格式,满足各种汇报和分析数据的需要。
l 支持对流量监控指标的阈值设置。支持两级阈值,可在超过一定阈值时发送不同级别的告警。告警信息能够自动与出现问题的业务接入和VPN关联,根据告警信息的级别,直观的体现在设备的拓扑图标上,从而方便用户快速识别故障。
l 支持对整个VPN的输入、输出流量监视和报表。VPN中监控哪些业务接入可以微调。
l 支持对每个业务接入的输入、输出流量,输入、输出带宽利用率的监视和报表。
MVM提供了BGP MPLS VPN部署功能,向导式的操作步骤简单直观,无需记忆枯燥的命令行,大大节省了管理员的配置工作量。
l 支持VPN链路部署和VPN链路拆除。在网络基本信息已经配置好的前提下,MPLS VPN Manager既可以部署一个完整的VPN网络,也可以在VPN网络上实施局部的调整。部署结束后,能够通过在VPN拓扑上查看CE之间的连通性状态,充分验证部署的正确性。
l 支持批量操作。提供了网络中的所有VPN链路的完整列表,支持丰富的查询条件,用户可以方便的进行批量部署、拆除、删除等链路操作。
典型组网环境下,MVM接入到MPLS VPN网络的P设备或者PE设备。用户可以从本地局域网或者Internet远程访问MVM服务器。MVM只管理PE设备,基础网络能够管理P和PE设备。
图3 典型组网应用一
CE设备也需要MVM进行管理,可有两种组网方式。方式1:MVM通过MCE (Management CE)和MPE(Management PE)间的IPv4链路管理网络中的PE,通过在MCE和MPE间建立Mgmt VPN(Management VPN)来管理网络中的CE,需要管理的CE都加入到Mgmt VPN中。管理VPN是管理CE时最常用的组网方式,组网的配置方法参见附录的常见问题答复。组网如下图所示。
图4 典型组网应用二(方式1)
方式2:不需要创建Mgmt VPN,MVM与典型组网1一样,接入核心网,被管理的CE使用额外的IPV4链路接入PE,或者使用策略路由的方式与MVM互通。在实际应用上,这需要额外的物理链路或者维护复杂的配置,应用性不强。
表1 MVM可以管理的产品列表
厂商 | 产品 |
H3C | 路由器:H3C AR 28-09、H3C AR 28-10、H3C AR 28-11、H3C AR 28-12、H3C AR 28-13、H3C AR 28-14、H3C AR 28-30、H3C AR 28-31、H3C AR 28-40、H3C AR 28-80、H3C AR 46-20、H3C AR 46-40、H3C AR 46-80、H3C MSR 20-20、H3C MSR 20-21、H3C MSR 20-40、H3C MSR 30-20、H3C MSR 30-40、H3C MSR 30-60、H3C MSR 50-40、H3C MSR 50-60、H3C SR8812、H3C SR8808、H3C SR8805、H3C SR8802 交换机:H3C S7502、H3C S7503、H3C S7506、H3C S7506R、H3C S7510E、H3C S7502M、H3C S9502、H3C S9505、H3C S9508、H3C S9508V、H3C S9512、H3C S9505-V5、H3C S9512-V5、H3C S9508-V5、H3C S9508V-V5 |
华为 | 路由器:NE05、NE08E、NE16E、NE08、NE16、NE20-2、NE20-4、NE20-8、NE20E-8、NE40-2、NE40-4、NE40-8、NE40E、NE80、NE5000、NE80E、NE5000E、AR19-61、AR19-62、AR29-01、AR29-21、AR29-41、AR29-61、AR49-45、AR49-65、 |
