- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
MPLS VPN管理所面临的问题:
MPLS VPN技术由于其在安全性、扩展性、QoS保障等方面的良好表现,在电子政务网络得到广泛应用。这一技术的应用,这也为网络管理人员设置了不小的难题。
电子政务外网作为一张承载网,连接着政府的各个部门,网络上运行着各部委的纵向VPN业务、共享业务、应急指挥业务等,要保证这些业务的连续性,其网络结构、配置必须保持稳定,且网络的变更也不应对业务产生影响;另一方面,电子政务外网的业务调整频繁,不断有新的部门接入网络、新的业务上线,这都需要对VPN网络进行大量的调整。如何在保障现有业务连续性和业务调整之间实现平衡?
同时,从管理的精细化来看,电子政务网络承载着若干部门的纵向VPN业务。如何查看每个部门所占用的带宽、各种业务所占的比例?如何获得电子政务网络的流量模型?这些在普通的IP网络管理时很容易实现的功能,在MPLS VPN的隧道面前却变得非常困难。如何实现VPN网络流量的管理?
可以看出,一个有效的MPLS VPN管理解决方案是电子政务外网网络运维中不可缺少的一环。从MPLS VPN业务的整个生命周期来分析,MPLS VPN业务的管理可以分为业务规划、业务部署、业务监视、业务审计几个部分。
MPLS VPN业务规划
由于电子政务外网实现了各政务部门“纵向到底,横向到边”的连接,每一次业务的变更、新的部门的接入,都会对全网的路由、设备数量及配置产生影响,这就需要网络管理人员在进行业务部署之前,对网络变更进行深入的评估。由此,管理员会面临两个问题:
1、网络中正在运行着哪些业务?
2、新的业务部署后是否会出现新的问题?
传统的解决方法往往是管理员先通过查看设备、网络的配置了解现有网络已经部署的业务,然后基于对设备命令的了解,手工生成新业务所需的设备配置,此方法完全依赖于操作人员的经验。但在电子政务外网中,一个业务的调整往往会涉及十几台、甚至几十台设备,各台设备的型号以及软件版本有可能不同,使得设备的操作命令和VPN支持能力各不相同。因此,完全基于经验来进行业务规划的方式实现起来将会非常困难,不具有可操作性。
业务规划必须脱离“经验主义”,依靠专业的VPN管理工具。VPN管理系统可以自动采集PE设备的VRF信息,从而发现网络中实际存在的VPN及VPN链路,形成VPN拓扑,使现有网络上的业务部署一目了然。新的业务部署也可以由管理系统实现:通过添加“虚拟节点”和“虚拟业务”,即可在拓扑图上“预览规划业务”,了解到部署后的效果。同时,通过分析VPN网络设备的型号和版本信息,管理系统可以了解设备的VPN支持能力和操作指令,从而智能地将“虚拟业务”自动转化为所需的配置文件。
图1 业务规划示意图
MPLS VPN业务部署
电子政务外网由于其业务的重要性,对网络的中断时间有严格的要求。如果在业务部署中,是依靠管理员对逐台设备进行手工配置,一旦出现误配置,问题的排查和定位工作将会耗费大量时间;同时,业务升级必须选择网络上业务最少、影响最小的时候(通常是晚上下班后)进行,这也给维护工作带来很大的不便。
VPN管理系统中的业务部署功能能够解决上述问题。在“业务规划”中,通过上文所述的“预览规划业务”功能,VPN管理系统自动生成了部署业务所需的设备配置。为了便于设备配置的自动部署,需要借助“批量配置”功能。针对所需要部署的业务,通过管理系统设定好业务所需的设备,将“预定义配置文件”与设备进行关联,部署方式可以选择“立即部署”,直接将配置下发到对应设备,也可以选择“定时部署”,根据管理员事先的设定,在网络业务不繁忙的时间段完成任务。同时,为便于管理员及时了解任务执行进度,在部署过程中,各种类别的链路(如待部署的、正在部署的、部署失败的以及部署正常的)都会在拓扑上得到直观显示。
MPLS VPN业务监视
业务部署完成之后,还需要有丰富的手段来确保整个网络的正常运行,即对VPN业务进行监视。电子政务外网的网络地域范围广:国家骨干网覆盖国家到省,省干网覆盖到各地市。要保证对网络中VPN业务的有效监视,需要从“故障监控”和“性能分析”两个方面来考虑。
管理系统可以通过设备自动上报的告警信息和定期的状态轮询来发现业务的故障。发现故障后,管理系统会自动分析该告警对业务的影响,并及时向管理员通知业务告警信息,在拓扑图中实时显示故障信息,使网络运维人员在故障发生后可以快速定位网络故障。同时,为了便于管理员离开办公室后也能收到告警信息,管理系统还需要支持诸如转E-mail、短信的功能。
相对于普通的告警,处理VPN业务告警需要有更专业的技术知识背景。在这种情况下,管理系统是否能够提供的“修复建议”就十分重要,它使管理员可以参考“修复建议”对故障进行处理,从而能够降低对管理人员的专业技术知识要求;另外,一个VPN网络通常会有多个管理员共同维护,为了便于经验的积累和共享,管理系统通常会提供维护经验固化功能,管理员可以将自己处理故障的心得写入到“维护经验”中,方便下次出现同样问题时进行维护。
图2 故障管理流程
性能分析
VPN业务的性能分析从粒度上而言可以分为两个层面,基于流量的分析和基于应用的分析。
相比传统的基础网管,VPN管理系统更加关注对VPN业务接入的流量管理(如VPN的流入、流出数据,SA的流速和带宽占用率等),然后通过柱图、折线等图表显示方式,按照日、月、年的方式进行报表输出。为了便于管理员对可能存在性能问题的业务进行处理,大多管理系统都会支持流量阈值功能:当VPN的流量数据超过阈值,管理系统会通过告警模块的E-mail、短信转发功能,提醒管理员及时关注。
图3 基于流量的性能分析
而基于应用的分析,通常不会基于SNMP进行实现,而是基于网络设备所能提供的流量分析技术(如H3C的NetStream技术)。通过该技术,管理系统可以了解到VPN中各个应用的分布情况。
图4 基于应用的性能分析
MPLS VPN业务审计
为了保证客户业务的开通和正常运营,管理系统需要对已经部署的VPN业务进行定期审计,整个审计工作可以分为以下两个方面:
设备配置审计
管理系统除了可以实现对设备配置的批量下发,还要能够实现与软件开发中使用的“配置管理工具”(如Rational 的Clearcase和微软的Visual Source Safe)类似的功能。当业务部署完毕后,管理系统可以将设备配置统一进行备份,形成一个“配置基线”,定期将设备上运行的配置与“配置基线”进行对比。当发现设备上的配置与“配置基线”不一致时,将通过管理系统的告警模块及时通知管理员进行处理。
图5 自动配置对比
VPN连通性审计
当审计VPN连通性时,管理系统可以通过模拟ping的方式(分为三个步骤:1、从本端PE设备ping本端CE设备;2、从本端PE设备ping对端PE设备;3、从本端PE设备ping对端CE设备)来审计VPN下的各条CE之间链路。针对链路的变化,采用设备配置变化的处理方式,可以通过告警的方式提示链路连通状态发生变化,并在VPN业务拓扑上用不同的颜色标识出该链路的状态。
图6业务联动性审计
终极目标:MPLS VPN的闭环式管理
相比基础网络的管理,VPN业务网络的维护和管理的复杂程度更大。但如果将整个电子政务外网VPN业务的管理分为:业务规划、业务部署、业务监视、业务审计这一系列步骤,再加上基于VPN业务的管理员权限控制,整个VPN业务则可以形成一个闭环的流程。H3C MPLS VPN解决方案正是基于这种闭环式的管理理念,使VPN业务处于一个真正“不断优化、不断改进”的过程。
产品与解决方案
售前咨询
售后咨询
人工在线咨询
