iMC MPLS VPN管理組件

MPLS的一個重要應(yīng)用是構(gòu)建VPN，它可相應(yīng)結(jié)合MPLS TE在提供原有VPN網(wǎng)絡(luò)所有功能的同時，提供QoS、流量工程等能力，具有高可靠性、高安全性、以及強大的擴展能力。根據(jù)擴展方式的不同，MPLS VPN可以分為BGP擴展實現(xiàn)的MPLS VPN和LDP擴展實現(xiàn)的VPN；根據(jù)PE設(shè)備是否參與VPN路由，MPLS VPN細分為二層VPN（MPLS L2 VPN）和三層VPN（BGP /MPLS VPN）。

MPLS VPN業(yè)務(wù)具有廣闊的市場前景，但該業(yè)務(wù)的運營對IP網(wǎng)絡(luò)的管理提出了更高的要求。MPLS VPN的網(wǎng)絡(luò)管理涉及到VPN業(yè)務(wù)管理、網(wǎng)絡(luò)管理以及設(shè)備管理等功能。人工管理容易造成配置出錯，一旦出現(xiàn)配置錯誤也很難察覺，并且難于進行業(yè)務(wù)監(jiān)控和故障定位，不能有效的管理VPN客戶，管理效率低，不能滿足日益增長的業(yè)務(wù)需求。因此MPLS VPN解決方案中重要一環(huán)就是要有一個智能、高效的網(wǎng)管解決方案。VPN網(wǎng)管應(yīng)提供豐富的管理功能，涉及到網(wǎng)絡(luò)管理、業(yè)務(wù)管理等領(lǐng)域。

MVM在H3C的下一代業(yè)務(wù)軟件平臺iMC的基礎(chǔ)上進行開發(fā)，為用戶提供了靈活的組件選擇，具備良好的擴展性，能夠滿足客戶網(wǎng)絡(luò)管理需求不斷發(fā)展的需要，滿足整個MPLS VPN的資源、發(fā)現(xiàn)、部署、拓撲、性能端到端管理，同時可聯(lián)動iMC的QoS管理、NTA網(wǎng)絡(luò)流量分析等組件，形成融合的VPN管理解決方案，能有效提升MPLS VPN管理的效率與質(zhì)量。系統(tǒng)的主要功能和特點主要分為三個部分，分別為BGP MPLS VPN、L2 VPN、TE管理。

基礎(chǔ)網(wǎng)絡(luò)資源管理

MVM支持對基礎(chǔ)資源的管理，也即設(shè)備的管理。從增加設(shè)備開始，用戶可以進行參數(shù)管理、系統(tǒng)信息顯示、接口管理、服務(wù)狀態(tài)監(jiān)控、Ping探測、管理狀態(tài)切換等一系列的操作。

使用拓撲管理功能，可以自動繪制出整個網(wǎng)絡(luò)的拓撲圖，顯示設(shè)備之間的物理連接和邏輯連接關(guān)系。同時，拓撲圖中的設(shè)備狀態(tài)和鏈路狀態(tài)都會根據(jù)設(shè)備告警和自動輪詢的結(jié)果保持實時更新。

故障管理完成對所有被管理設(shè)備上報的告警以及網(wǎng)管系統(tǒng)本身各模塊在運行過程中產(chǎn)生的告警信息的處理，主要包括對告警信息進行實時監(jiān)視，瀏覽和查詢告警信息，按照用戶設(shè)置對告警信息進行轉(zhuǎn)發(fā)，按指定規(guī)則過濾以及修改告警定義等。

性能管理提供對設(shè)備性能和流量數(shù)據(jù)的采集和查看功能，為用戶監(jiān)視設(shè)備的當前性能狀態(tài)和長期趨勢提供了方便的手段。通過對運行數(shù)據(jù)的采集分析，可找出影響性能的瓶頸，預測發(fā)展趨勢，為規(guī)劃和優(yōu)化網(wǎng)絡(luò)提供參考。

BGP MPLS VPN資源管理

系統(tǒng)提供了便捷的方式增加VPN資源。VPN資源包括：PE、CE、VPN。PE和CE資源可以直接從基礎(chǔ)網(wǎng)絡(luò)資源導入，而VPN資源用戶既可以手工增加，也可以利用自動發(fā)現(xiàn)功能構(gòu)建。

VPN有兩種基礎(chǔ)組網(wǎng)類型：Full-Mesh、Hub-Spoke，復雜VPN都是這兩種基本形態(tài)的組合。為了方便客戶觀察網(wǎng)絡(luò)的連接情況，我們把這兩種基本組網(wǎng)稱為SC（Service Community），因此，每個SC代表了一種基本組網(wǎng)類型以及一組RT值。實際應(yīng)用中所有復雜的VPN網(wǎng)絡(luò)都可以認為是這兩種組網(wǎng)類型的組合。

支持虛擬CE。由于CE設(shè)備的多樣性，部分CE設(shè)備可能是不可管理的，管理員可以創(chuàng)建虛擬CE。虛擬CE同樣代表了一個客戶接入點，利用虛擬CE設(shè)備不僅能夠體現(xiàn)PE設(shè)備和客戶站點之間的連接關(guān)系，而且能夠確定客戶接入點之間的連通性。

支持自動創(chuàng)建虛擬CE功能。對于不管理CE的情況，為了減少用戶手工添加虛擬CE的工作，在自動發(fā)現(xiàn)VPN的過程中，支持自動創(chuàng)建鏈路對端的虛擬CE。

支持直接查看PE、CE設(shè)備的詳細信息。除了基礎(chǔ)網(wǎng)絡(luò)資源的信息，還可以查看PE設(shè)備的VPN信息和VRF信息。

支持周期同步和手工同步PE的配置信息。如果配置發(fā)生了變化，系統(tǒng)產(chǎn)生告警提示管理員，在PE設(shè)備的VPN信息界面中提示哪些VPN鏈路的配置發(fā)生了變化，同時在拓撲上特殊標注。

支持管理VPN。管理VPN是為了管理CE而創(chuàng)建的VPN，與其他業(yè)務(wù)VPN的管理需求有明顯的區(qū)別。MVM提供對管理VPN的配置和過濾功能。

支持區(qū)域管理。第一級為AS，區(qū)域支持嵌套（最多四層）。PE設(shè)備必須導入到AS或區(qū)域里，可應(yīng)用于設(shè)備較多需要進行拓撲分層顯示的場景。

多廠商設(shè)備的共同管理：可提供多廠商設(shè)備MPLS VPN網(wǎng)路共同管理的功能（支持H3C、華為、Cisco等廠商的設(shè)備），解決多廠商設(shè)備混合組網(wǎng)、共同提供VPN業(yè)務(wù)時管理難度大的問題。

L2 VPN資源管理

系統(tǒng)提供了便捷的方式增加VPN資源。VPN資源包括：PE、CE、VPN。PE和CE資源可以直接從基礎(chǔ)網(wǎng)絡(luò)資源導入，而VPN資源用戶既可以手工部署增加，也可以利用自動發(fā)現(xiàn)功能構(gòu)建。VPN按照類型進行區(qū)分，主要包括VPLS/VLL/PBB這三種類型，同時還支持VPLS＋PBB雙棧類型VPN。

支持虛擬CE。由于CE設(shè)備的多樣性，部分CE設(shè)備可能是不可管理的，管理員可以創(chuàng)建虛擬CE。虛擬CE同樣代表了一個客戶接入點，利用虛擬CE設(shè)備不僅能夠體現(xiàn)PE設(shè)備和客戶站點之間的連接關(guān)系，而且能夠確定客戶接入點之間的連通性。

支持自動創(chuàng)建虛擬CE功能。對于不管理CE的情況，為了減少用戶手工添加虛擬CE的工作，在自動發(fā)現(xiàn)VPN的過程中，支持自動創(chuàng)建鏈路對端的虛擬CE。

支持直接查看PE、CE設(shè)備的詳細信息。除了基礎(chǔ)網(wǎng)絡(luò)資源的信息，還可以查看PE設(shè)備的VSI、VLL、PBB、AC等配置信息。

支持周期同步和手工同步PE的L2 VPN配置信息。如果配置發(fā)生了變化，能夠在PE列表界面上提示配置發(fā)生了變化，查看配置比較信息，能夠提示具體的配置差異。同時也能夠在拓撲上標注配置變更。

BGP MPLS VPN分組管理

BGP MPLS VPN支持將已發(fā)現(xiàn)的VPN按照網(wǎng)絡(luò)的實際情況或者用戶希望的方式進行組合。這在網(wǎng)絡(luò)非常龐大時，可以按客戶、按種類等分組方法，把VPN分到不同的分組中。例如在政務(wù)網(wǎng)中，可以按照部門創(chuàng)建分組，把VPN劃分到各自部門所對應(yīng)的分組中。分組支持嵌套，最多可以支持到7層。

MPLS VPN網(wǎng)絡(luò)監(jiān)控

MVM提供了強大的VPN監(jiān)控功能。不僅能夠?qū)崟r顯示網(wǎng)絡(luò)對象的狀態(tài)，包括VPN配置是否發(fā)生變化、PE設(shè)備同步結(jié)果、以及PE設(shè)備是否存在鏈路配置缺失等，而且可以實時顯示CE之間的連接關(guān)系和連通狀態(tài)。

 針對BGP MPLS VPN

提供的VPN接入拓撲實時反映CE與核心網(wǎng)之間的鏈路狀態(tài)，即PE設(shè)備、CE設(shè)備以及骨干網(wǎng)（Core）之間的連接關(guān)系和鏈路狀態(tài)。

提供全網(wǎng)拓撲，反映核心中P設(shè)備之間連接關(guān)系，能夠得到PE于P，P于P之間的連接關(guān)系，能夠在該拓撲上瀏覽PE于PE之間LSP路徑信息。同時能夠展示PE設(shè)備和CE設(shè)備之間的連接關(guān)系，方便管理員從全局的角度來監(jiān)控整個VPN網(wǎng)絡(luò)的運行情況。

提供的VPN業(yè)務(wù)拓撲實時反映VPN網(wǎng)絡(luò)中CE間的連接關(guān)系，方便管理員監(jiān)控VPN內(nèi)客戶子網(wǎng)之間的連接關(guān)系以及連通狀態(tài)。

提供拓撲分層顯示功能，支持對拓撲節(jié)點的折疊/展開，同時支持對所有節(jié)點進行折疊。節(jié)點的折疊/展開狀態(tài)可保存。

支持對VPN接入、VPN業(yè)務(wù)、全網(wǎng)拓撲按設(shè)備過濾，同時支持對VPN業(yè)務(wù)拓撲按SC過濾。

支持對分層PE模式的監(jiān)控。能夠?qū)Ψ謱覲E智能識別，不需要用戶介入就能夠區(qū)分分層PE中的各個角色。

支持對VMCE的業(yè)務(wù)監(jiān)控。VMCE是通過對PE子接口綁定VRF，實現(xiàn)同一個PE物理接口連接多個CE設(shè)備，從而增加接入容量，減少網(wǎng)絡(luò)建設(shè)成本的技術(shù)方案。

支持VPN告警。VPN中的告警包括PE設(shè)備發(fā)送的基本告警，以及系統(tǒng)進行關(guān)聯(lián)分析而產(chǎn)生的業(yè)務(wù)告警。

支持對VPN的連通性審計。連通性審計可以基于VPN或鏈路進行審計。審計發(fā)現(xiàn)的問題，會通過告警的方式提示管理員，并在VPN拓撲上實時反映。

支持配置審計。配置審計是將設(shè)備當前的實際配置信息與網(wǎng)管配置進行比較，審計結(jié)果會在變更信息頁面進行顯示，也會直觀的反映在視圖中。

 針對L2 VPN

提供VPN拓撲，展現(xiàn)PE與PE之間的邏輯連接關(guān)系以及PE到CE之間的連接關(guān)系。針對VLL，VPLS這種PE與PE連接關(guān)系即為PW連接，針對PBB，PE之間的邏輯連接體現(xiàn)的是二層VLAN透傳的連接關(guān)系。

支持VPN告警。VPN中的告警包括PE設(shè)備發(fā)送的基本告警，以及系統(tǒng)進行關(guān)聯(lián)分析而產(chǎn)生的業(yè)務(wù)告警。

支持對VPN的連通性審計。連通性審計可以基于VPN或鏈路進行審計。審計發(fā)現(xiàn)的問題，會通過告警的方式提示管理員，并在VPN拓撲上實時反映。

支持配置審計。配置審計是將設(shè)備當前的實際配置信息與網(wǎng)管配置進行比較，審計結(jié)果會在變更信息頁面進行顯示，也會直觀的反映在視圖中。

 針對TE

提供TE隧道拓撲，能夠展示TE隧道路徑，同時能夠在拓撲上體現(xiàn)隧道與保護隧道之間的對應(yīng)關(guān)系。

BGP MPLS VPN流量監(jiān)視

MVM提供了對BGP MPLS VPN和其業(yè)務(wù)接入的流量統(tǒng)計和報表功能，為用戶提供流量概況和精細化兩個角度的趨勢分析能力。業(yè)務(wù)接入對應(yīng)CE接入PE的鏈路。

VPN流量和業(yè)務(wù)接入流量提供柱圖、折線等圖表顯示方式，為預測資源的利用情況和發(fā)展趨勢提供了方便的手段。流量統(tǒng)計結(jié)果可以按照日、月、年的方式進行報表輸出，支持Html、PDF等多種格式，滿足各種匯報和分析數(shù)據(jù)的需要。

支持對業(yè)務(wù)接入流量監(jiān)控指標的閾值設(shè)置。支持兩級閾值，可在超過一定閾值時發(fā)送不同級別的告警。告警信息能夠自動與出現(xiàn)問題的業(yè)務(wù)接入和VPN關(guān)聯(lián)，根據(jù)告警信息的級別，直觀的體現(xiàn)在設(shè)備的拓撲圖標上，從而方便用戶快速識別故障。

支持對整個VPN的輸入、輸出流量監(jiān)視和報表。VPN中監(jiān)控哪些業(yè)務(wù)接入可以微調(diào)。

支持對每個業(yè)務(wù)接入的輸入、輸出流量，輸入、輸出帶寬利用率的監(jiān)視和報表。

MVM支持與NTA網(wǎng)絡(luò)流量分析組件聯(lián)動，能夠精確分析VPN流量中各個業(yè)務(wù)流量信息。提供Top N機制查看VPN下那種業(yè)務(wù)流量過大。便于用戶監(jiān)控VPN網(wǎng)絡(luò)狀況。

MPLS VPN網(wǎng)絡(luò)部署

MVM提供了BGP MPLS VPN部署功能以及L2VPN統(tǒng)一部署功能，向?qū)降牟僮鞑襟E簡單直觀，無需記憶枯燥的命令行，大大節(jié)省了管理員的配置工作量。

支持VPN鏈路部署和VPN鏈路拆除。在網(wǎng)絡(luò)基本信息已經(jīng)配置好的前提下，MPLS VPN Manager既可以部署一個完整的VPN網(wǎng)絡(luò)，也可以在VPN網(wǎng)絡(luò)上實施局部的調(diào)整。部署結(jié)束后，能夠通過在VPN拓撲上查看CE之間的連通性狀態(tài)，充分驗證部署的正確性。

對于BGP MPLS VPN，支持PE與CE間私網(wǎng)路由配置，支持OSPF、靜態(tài)路由協(xié)議的配置。

支持批量操作。提供了網(wǎng)絡(luò)中的所有VPN鏈路的完整列表，支持豐富的查詢條件，用戶可以方便的進行批量部署、拆除、刪除等鏈路操作。

業(yè)務(wù)發(fā)現(xiàn)

MVM提供了統(tǒng)一的發(fā)現(xiàn)手段，能夠分別將網(wǎng)絡(luò)中現(xiàn)有的VPN業(yè)務(wù)還原。

MPLS TE管理

MVM管理組件TE特性作為iMC智能管理中心組件包的一部分，主要對于網(wǎng)絡(luò)中的TE設(shè)備提供一個集中管理的平臺，可以對TE設(shè)備信息、設(shè)備FRR掃描間隔、自動帶寬設(shè)置、CR－LSP仲裁方式等進行集中展示和配置。并直觀展示設(shè)備當前運行狀態(tài)。通過Web頁面的超級鏈接，用戶可以方便的進行關(guān)聯(lián)信息查詢，方便了解網(wǎng)絡(luò)運行的各種狀況。

TE拓撲管理，使用戶直觀了解網(wǎng)絡(luò)TE部署情況及設(shè)備和鏈路當前狀態(tài)。通過視圖中各種條件，根據(jù)通道的路徑信息，各個鏈路的管理組屬性，提供直觀的拓撲監(jiān)控手段，清晰直觀展示通道的路徑以及通道的保護信息。

TE通道管理，包括通道創(chuàng)建、刪除、修改。能夠根據(jù)各種過濾條件查詢用戶所關(guān)心的通道。同時能夠根據(jù)指定的通道，查詢該通道對應(yīng)的拓撲信息。

通道流量轉(zhuǎn)發(fā)管理，通道流量發(fā)布主要分為兩個部分：靜態(tài)路由和自動路由發(fā)布，通過這些方式，能夠?qū)⑼ǖ澜涌谥心康牡刂钒l(fā)布出去。

通道保護管理，通道保護提供CR－LSP備份和FRR兩部分功能，CR-LSP備份是一種端到端的路徑保護（Path Protection，end-to-end protection），對整條LSP提供保護，而FRR則是一種局部保護措施，只能保護LSP中的某條鏈路和某個節(jié)點。并且，F(xiàn)RR是一種快速響應(yīng)的臨時性保護措施，對于切換時間有嚴格要求，LSP備份則沒有時間要求。

RSVP高級特性管理，RSVP告警特性管理分為設(shè)備RSVP高級特性管理和接口的RSVP特性管理兩個部分。分別用于設(shè)置、瀏覽設(shè)備和接口上的RSVP屬性參數(shù)。

系統(tǒng)管理

系統(tǒng)管理包括操作員管理、訪問控制、操作日志管理、在線操作員管理、數(shù)據(jù)轉(zhuǎn)儲設(shè)置、密碼級別控制、短信中心設(shè)置等系統(tǒng)功能。利用系統(tǒng)管理功能，不但可以完成系統(tǒng)級的配置和優(yōu)化，而且能夠配置完備的安全策略，保護網(wǎng)絡(luò)數(shù)據(jù)的安全。

支持增加、刪除和修改網(wǎng)絡(luò)管理員信息，修改其訪問控制列表。

支持靈活的訪問控制策略，可以配置網(wǎng)段或者具體IP地址級別的接入控制。

支持密碼安全級別設(shè)置，控制密碼的字符數(shù)量、復雜度、有效期。

支持靈活的權(quán)限分配策略。引入了角色概念，每種角色可以關(guān)聯(lián)一定的功能集合和管理范圍，通過授予特定操作員一定的角色，可以使其只在合理授權(quán)下操作網(wǎng)絡(luò)。

支持操作日志記錄。為追蹤和審計用戶操作提供了完整的記錄。

支持在線操作員管理。如果系統(tǒng)管理員發(fā)現(xiàn)有操作員正在進行不當操作，可以立即斷開該用戶并禁止其重新登錄管理。