［許彤　李青　郭海飛　郭忠誠］

通信熱點

VPN動態(tài)資源庫系統(tǒng)設(shè)計與應(yīng)用

［許彤李青郭海飛郭忠誠］

MPL SVPN業(yè)務(wù)的配置、開通和監(jiān)控是IP網(wǎng)絡(luò)運營管理的重點和難點，文章結(jié)合VPN業(yè)務(wù)在自動化開通和維護(hù)上的需求，提出了在動態(tài)采集和發(fā)現(xiàn)基礎(chǔ)上建設(shè)VPN動態(tài)資源庫的方案，解決了傳統(tǒng)VPN資源管理存在的資源準(zhǔn)確性差、無法實時更新等問題。該方案實現(xiàn)了VPN邏輯資源自動分配、實時業(yè)務(wù)拓?fù)渌阉鳌⒐收献詣犹幚淼裙δ?，取得了良好的生產(chǎn)維護(hù)效益。

MPL SVPN 動態(tài)資源庫

許彤

現(xiàn)就職于中國電信股份有限公司，中國電信集團(tuán)公司網(wǎng)絡(luò)運行維護(hù)事業(yè)部，主要從事IP網(wǎng)絡(luò)技術(shù)、支持系統(tǒng)、VPN資源管理等領(lǐng)域的研究和生產(chǎn)模式設(shè)計。

李青

現(xiàn)就職于中國電信集團(tuán)公司網(wǎng)絡(luò)運行維護(hù)事業(yè)部，主要從事業(yè)務(wù)部署、支撐系統(tǒng)、資源管理等領(lǐng)域的業(yè)務(wù)維護(hù)和客戶服務(wù)工作。

郭海飛

就職于中國電信集團(tuán)網(wǎng)運部集團(tuán)NOC中心，現(xiàn)從事IP網(wǎng)絡(luò)技術(shù)、業(yè)務(wù)配置、網(wǎng)管需求管理等工作。

郭忠誠

現(xiàn)就職于中國電信股份有限公司，主要從事VPN業(yè)務(wù)電路調(diào)度及業(yè)務(wù)支撐系統(tǒng)管理工作，資源管理等領(lǐng)域的業(yè)務(wù)維護(hù)和客戶服務(wù)工作。

1　引言

本文研討的VPN（Virtual Private Network）指運營商通過其公網(wǎng)向用戶提供的虛擬專有網(wǎng)絡(luò)。采用MPLS技術(shù)部署的VPN在業(yè)務(wù)提供、維護(hù)管理以及安全性上具有快速、方便和可保障的特點，是當(dāng)前主要的VPN形式。目前，中國電信IP骨干網(wǎng)承載了數(shù)千大客戶和運營商自有關(guān)鍵業(yè)務(wù)的MPLS VPN。

在VPN業(yè)務(wù)網(wǎng)絡(luò)自動化維護(hù)方面，按照網(wǎng)管系統(tǒng)與網(wǎng)絡(luò)同步建設(shè)的思路，經(jīng)過近十年的系統(tǒng)建設(shè)，已經(jīng)基本實現(xiàn)了網(wǎng)絡(luò)監(jiān)控/故障處理/維護(hù)作業(yè)自動化的目標(biāo)。在VPN業(yè)務(wù)開通方面，從最初的人工接收業(yè)務(wù)調(diào)單、手工生成配置文件下發(fā)的人工模式，發(fā)展到系統(tǒng)自動接收開通工單、按照業(yè)務(wù)操作類型/設(shè)備型號等自動生成配置模板并下發(fā)設(shè)備生效的自動化直通方式，有效縮短了業(yè)務(wù)配置時間，提升了整個流程的配置效率。

在新時期面向客戶和業(yè)務(wù)的運維思想指導(dǎo)下，對VPN網(wǎng)絡(luò)維護(hù)、故障處理、業(yè)務(wù)開通提出了更高的要求，要求及時準(zhǔn)確地先于客戶發(fā)現(xiàn)故障、排除網(wǎng)絡(luò)隱患，進(jìn)一步縮短業(yè)務(wù)開通時長。從現(xiàn)網(wǎng)經(jīng)驗來看，在網(wǎng)管系統(tǒng)和相關(guān)支撐系統(tǒng)整體架構(gòu)、流程已經(jīng)具備較強(qiáng)能力的基礎(chǔ)上，進(jìn)一步提升效率的方法包括持續(xù)優(yōu)化流程、持續(xù)引入自動化手段等，其中一項核心工作就是提高VPN資源的準(zhǔn)確性，為此我們提出了構(gòu)建VPN動態(tài)資源庫的新模式和新方法，顯著提升了VPN業(yè)務(wù)開通的成功率和故障處理的準(zhǔn)確度。

2　VPN業(yè)務(wù)維護(hù)管理現(xiàn)狀分析

VPN業(yè)務(wù)維護(hù)管理的一項重要工作是支撐VPN業(yè)務(wù)開通。VPN業(yè)務(wù)自動開通流程中相關(guān)系統(tǒng)如圖1，其中，服務(wù)開通系統(tǒng)實現(xiàn)整個開通流程的管控，資源管理系統(tǒng)負(fù)責(zé)物理資源以及邏輯資源的分配，網(wǎng)管系統(tǒng)執(zhí)行最終的設(shè)備配置下發(fā)和生效。

圖1　VPN開通的傳統(tǒng)系統(tǒng)架構(gòu)

分析現(xiàn)行的VPN開通系統(tǒng)和流程可以發(fā)現(xiàn)，傳統(tǒng)VPN資源管理和維護(hù)現(xiàn)狀存在以下問題：

（1） VPN資料管理方式問題

在傳統(tǒng)VPN資源管理框架中，資源管理系統(tǒng)是資源管理的核心，物理資源管理、資源分配等工作由資源系統(tǒng)完成。資源系統(tǒng)的數(shù)據(jù)維護(hù)模式以人工為主，人工錄入和編輯不可避免存在錯漏，無法根據(jù)網(wǎng)絡(luò)現(xiàn)狀動態(tài)更新大量的VLAN、DLCI等邏輯資源數(shù)據(jù)［1］。

（2） VPN資料管理流程問題

VPN鏈路信息資源由網(wǎng)管系統(tǒng)、資源系統(tǒng)分別維護(hù)，通過業(yè)務(wù)開通流程串接，并以資源系統(tǒng)的數(shù)據(jù)為準(zhǔn)。整個閉環(huán)流程可以歸結(jié)為：網(wǎng)絡(luò)資源準(zhǔn)備-VPN電路信息輸入-配置檢查預(yù)覽-部署-配置審核-更新網(wǎng)絡(luò)資源庫。但在實際業(yè)務(wù)開通和維護(hù)過程中，涉及到工程割接、故障處理、應(yīng)急操作等情況，系統(tǒng)的自動閉環(huán)功能容易被打破，資源系統(tǒng)需要手動更新，導(dǎo)致現(xiàn)網(wǎng)與系統(tǒng)間數(shù)據(jù)同步不及時或不同步的問題。

（3） VPN資源信息核準(zhǔn)問題

為了解決資源系統(tǒng)數(shù)據(jù)準(zhǔn)確性的問題，按照以資源系統(tǒng)數(shù)據(jù)為核心的思路，采用了由網(wǎng)管系統(tǒng)采集現(xiàn)網(wǎng)VPN數(shù)據(jù)并核準(zhǔn)資源系統(tǒng)數(shù)據(jù)的方法。經(jīng)過近兩年的實際運行和檢驗，效果欠佳，根本原因一方面在于兩個系統(tǒng)的數(shù)據(jù)模型存在較大差異，另一方面如上述是由于資源系統(tǒng)的人工維護(hù)模式無法實現(xiàn)資源的動態(tài)維護(hù)。

（4） VPN物理資源模型不一致問題

資源系統(tǒng)的VPN物理資源五元組由設(shè)備、機(jī)框、機(jī)槽、子槽和端口組成，網(wǎng)管系統(tǒng)的VPN資源由設(shè)備和端口組成。兩個系統(tǒng)的資源模型定義不一致，在命名規(guī)范和取值上差異也較大，現(xiàn)網(wǎng)多廠家設(shè)備資源數(shù)據(jù)千差萬別，即使通過規(guī)則匹配等自動化手段也很難做到資料的統(tǒng)一和一致。

如上述分析可知，資源管理系統(tǒng)中管理的VPN資源數(shù)據(jù)難以做到實時準(zhǔn)確，直接造成無法成功執(zhí)行業(yè)務(wù)開通的工單占有較大比例，而且由于資源問題導(dǎo)致的各相關(guān)支撐系統(tǒng)回退、重新分配、重新走流程，也消耗了大量的時間與人力。由此可見，傳統(tǒng)的VPN資源管理在準(zhǔn)確性、實時性方面存在嚴(yán)重缺陷，無法滿足業(yè)務(wù)快速發(fā)展的需求，非常有必要進(jìn)行優(yōu)化和改進(jìn)。

3　VPN資源動態(tài)管理的系統(tǒng)實現(xiàn)

3.1 VPN資源庫

網(wǎng)管系統(tǒng)管理了全網(wǎng)網(wǎng)絡(luò)設(shè)備和鏈路，直接登錄網(wǎng)元設(shè)備采集設(shè)備配置信息和VPN鏈路信息，同時可靈活調(diào)整采集周期。網(wǎng)管系統(tǒng)部署了面向全網(wǎng)的設(shè)備AAA管理功能，可以實時分析和捕獲設(shè)備配置變化信息。同時，作為VPN業(yè)務(wù)配置下發(fā)的最終執(zhí)行環(huán)節(jié)，對于通過VPN直通接口下發(fā)的VPN配置，網(wǎng)管系統(tǒng)可以通過業(yè)務(wù)調(diào)單直接感知新增、刪除和變更等VPN業(yè)務(wù)配置變化情況?；谏鲜鰩c，網(wǎng)管系統(tǒng)具備天然的與現(xiàn)網(wǎng)一致、動態(tài)感知變化的能力特點，因此，可以基于網(wǎng)管系統(tǒng)的既有采集能力和網(wǎng)絡(luò)感知能力建立VPN動態(tài)資源庫。

動態(tài)資源以現(xiàn)網(wǎng)存在、影響業(yè)務(wù)配置下發(fā)的VPN鏈路相關(guān)參數(shù)為核心，大部分參數(shù)能夠與業(yè)務(wù)調(diào)單進(jìn)行對應(yīng)，并且能夠從現(xiàn)網(wǎng)采集得到，以此有效解決資源系統(tǒng)無法動態(tài)更新資源庫以及由此帶來的數(shù)據(jù)不準(zhǔn)確的問題。為此，下文提出建立VPN資源庫和動態(tài)維護(hù)的創(chuàng)新模式，并結(jié)合典型應(yīng)用場景進(jìn)行闡述。

VPN資源庫框架如圖2。

圖2　VPN資源庫總體框架

由圖2可見，VPN資源庫總體框架包含以下幾部分：

（1） 資源庫

主要包含三個維度的信息［2］：

① 基本信息：VRF、RT、RD、接入電路代號、VPN網(wǎng)號等。

② 資源信息：PE設(shè)備/機(jī)框/機(jī)槽/子槽/端口、PE端口封裝協(xié)議及參數(shù)等。

③ 路由信息：路由協(xié)議、BGP鄰居相關(guān)參數(shù)等。

（2） 資源庫初始化和維護(hù)

VPN資源庫數(shù)據(jù)的初始化有兩個途徑：

（1） 解析業(yè)務(wù)調(diào)單：對于通過服務(wù)開通流程自動下發(fā)的VPN配置，可以通過解析業(yè)務(wù)調(diào)單自動獲取VPN鏈路信息。

（2） 解析設(shè)備配置文件：對于未通過服務(wù)開通流程自動下發(fā)的VPN配置，例如工程割接、應(yīng)急操作等，可以通過網(wǎng)元直采接口采集現(xiàn)網(wǎng)配置動態(tài)獲取。

VPN資源庫的日常維護(hù)則通過每日自動化的資源數(shù)據(jù)核查工作來落實。

（3） 資源庫應(yīng)用

VPN資源庫的應(yīng)用場景包括邏輯資源自動分配、反寫資源系統(tǒng)、VPN業(yè)務(wù)拓?fù)洳樵?、VPN故障診斷和業(yè)務(wù)故障“一鍵遷移”。

3.2 VPN現(xiàn)網(wǎng)動態(tài)資源數(shù)據(jù)自動發(fā)現(xiàn)

VPN現(xiàn)網(wǎng)動態(tài)資源數(shù)據(jù)的自動發(fā)現(xiàn)通過直采和分析設(shè)備配置文件實現(xiàn)，有以下幾種發(fā)現(xiàn)方法：

（1） 發(fā)現(xiàn)與設(shè)備型號無關(guān)的資源數(shù)據(jù)：從策略名稱、端口描述中解析獲取與設(shè)備型號無關(guān)的數(shù)據(jù)，適用于VPN網(wǎng)號、接入電路代號等動態(tài)數(shù)據(jù)。

（2） 發(fā)現(xiàn)與設(shè)備型號相關(guān)的其它資源數(shù)據(jù)：針對不同設(shè)備型號的PE和延伸交換機(jī)分析得到其它VPN基本信息和資源信息。

（3） 發(fā)現(xiàn)QOE各等級帶寬數(shù)據(jù)：考慮PE接入端口部署的QoS策略規(guī)則的復(fù)雜性，需要針對不同型號的PE設(shè)備、策略類型、入/出方向等從子策略中分析獲取客戶等級、帶寬等數(shù)據(jù)。

當(dāng)前，全網(wǎng)設(shè)備都納入AAA（認(rèn)證/授權(quán)/記賬）管理，PE路由器的登錄、配置等日志信息會記到AAA日志中，系統(tǒng)可以結(jié)合AAA日志信息動態(tài)分析每日VPN資源變化情況，作為現(xiàn)網(wǎng)動態(tài)資源發(fā)現(xiàn)的補(bǔ)充說明。

3.3 VPN資源數(shù)據(jù)核查

骨干網(wǎng)全網(wǎng)承載了數(shù)萬條VPN業(yè)務(wù)鏈路，包括大量的工程配置以及每天通過服務(wù)開通流程下發(fā)的配置。針對如此大量的資源數(shù)據(jù)，非常有必要將資源數(shù)據(jù)核查納入每日的自動作業(yè)計劃范疇，從而實現(xiàn)資源庫的動態(tài)維護(hù)。

（1） 針對現(xiàn)網(wǎng)VPN鏈路一致性的核查和處理。在VPN現(xiàn)網(wǎng)動態(tài)資源數(shù)據(jù)自動發(fā)現(xiàn)的基礎(chǔ)上，核查現(xiàn)網(wǎng)與資源庫的一致性，并提供自動化的處理功能：

① 資源庫缺少的鏈路直接補(bǔ)充進(jìn)資源庫；

② 資源庫多余的鏈路直接刪除；

③ 資源庫存在但是與現(xiàn)網(wǎng)不一致，直接用現(xiàn)網(wǎng)信息覆蓋資源庫；

④ 對于一些特殊情況，如PE端口IP為空的鏈路，做異常標(biāo)識；

⑤ 上述操作均保留日志信息。

（2） 針對資源系統(tǒng)VPN鏈路一致性的核查和處理。為了實現(xiàn)現(xiàn)網(wǎng)、資源庫與資源系統(tǒng)的一致性，每天從資源系統(tǒng)導(dǎo)入資源數(shù)據(jù)做核查，并做自動化處理：

① 對于資源庫與資源系統(tǒng)匹配一致的鏈路，按照事先定義的規(guī)則，可以用資源系統(tǒng)的部分?jǐn)?shù)據(jù)覆蓋資源庫，例如接入電路代號；

② 對于資源庫與資源系統(tǒng)匹配不一致的鏈路，例如PE端口IP為空的鏈路，做異常標(biāo)識；

③ 系統(tǒng)根據(jù)上述資源數(shù)據(jù)核查結(jié)果自動更新VPN動態(tài)資源庫，并反寫資源系統(tǒng)。

3.4 VPN資源備份管理

除了業(yè)務(wù)承載鏈路外，VPN資源庫還存儲和管理了備份資源。VPN備份鏈路僅限于故障遷移，不同于業(yè)務(wù)上的VPN備份鏈路。

在精準(zhǔn)的VPN資源占用狀態(tài)分析的基礎(chǔ)上，可以針對PE和交換機(jī)物理端口實現(xiàn)備份資源的規(guī)劃和管理。備份策略主要涉及以下幾方面：

（1） 端口備份策略采用“1對N”的方式，即可以指定1個空閑端口作為N條VPN鏈路的備份端口。一旦N條電路中的某一條發(fā)生故障，可以批量遷移到該備份端口上。

（2） 盡量實現(xiàn)跨板卡備份，并且同一塊板卡上的不同VPN鏈路不要備份到同一個端口。

（3） 對于PE設(shè)備，主要考慮同類型端口的備份，包括GE口、ATM口、POS口、155M信道化口等。

（4） 鑒于本地資源的復(fù)雜性，需要人工指定備份端口。

3.5 VPN動態(tài)資源生命周期管理

如上文所述，VPN動態(tài)資源維護(hù)管理方式包括以下幾方面工作：

（1） 自動化維護(hù)

對于通過服務(wù)開通流程自動下發(fā)的VPN配置，解析業(yè)務(wù)調(diào)單形成VPN資源數(shù)據(jù)直接入庫。

采用資源數(shù)據(jù)自動核查方式完成資源庫的日常維護(hù)和更新。其中，未通過服務(wù)開通流程下發(fā)的VPN配置（如工程割接配置）在核查作業(yè)中發(fā)現(xiàn)并入庫；某些非現(xiàn)網(wǎng)配置數(shù)據(jù)（如接入鏈路代號）可以以資源系統(tǒng)數(shù)據(jù)為準(zhǔn)進(jìn)行庫更新。自動核查結(jié)果可以按規(guī)則觸發(fā)反寫資源系統(tǒng)。

設(shè)備AAA日志作為設(shè)備配置操作變更的記錄可以用來輔助說明現(xiàn)網(wǎng)配置及相應(yīng)的資源庫數(shù)據(jù)的變化原因。

（2） 人工管理

VPN備份資源管理以資源占用狀態(tài)自動分析為前提，其中本地備份資源需要人工參與指定。人工可以查詢VPN動態(tài)鏈路資源信息。

整體管理方式如圖3。

在VPN資源動態(tài)維護(hù)管理的基礎(chǔ)上，可以記錄并形成VPN鏈路對象的生命周期視圖，通過視圖展現(xiàn)VPN業(yè)務(wù)鏈路從調(diào)度、交付、使用、故障、割接到退租的完整變化過程。

圖3　VPN動態(tài)資源維護(hù)管理

4　典型應(yīng)用場景分析

本文提出的VPN資源動態(tài)管理模式和功能已經(jīng)在中國電信VPN業(yè)務(wù)開通和維護(hù)管理工作中正式上線應(yīng)用，以自動化方式支撐了現(xiàn)網(wǎng)二層/三層VPN二十余種業(yè)務(wù)操作場景和數(shù)百種業(yè)務(wù)類型，取得了良好的生產(chǎn)和維護(hù)效益。

4.1 VPN邏輯資源自動分配

傳統(tǒng)VPN開通流程中，VLAN等邏輯資源分配由資源系統(tǒng)完成。由于人工維護(hù)的弊端，大量邏輯資源數(shù)據(jù)無法實現(xiàn)更新，由此對后續(xù)的資源分配準(zhǔn)確性帶來了很大的問題。

為了解決自動化開通過程中的痛點和難點，我們對VPN開通流程進(jìn)行了優(yōu)化梳理，其中VLAN、DLCI、PVC等邏輯資源分配環(huán)節(jié)從資源系統(tǒng)切換到網(wǎng)管系統(tǒng)，網(wǎng)管系統(tǒng)基于VPN資源庫自動分析空閑邏輯資源并自動分配。

VPN邏輯資源自動分配的整體流程如圖4。

（1） 資源分配人員在服務(wù)開通系統(tǒng)中執(zhí)行VPN業(yè)務(wù)開通相關(guān)操作；

圖4　VPN開通流程

（2） 服開系統(tǒng)用網(wǎng)管系統(tǒng)的資源分配頁面；

（3） 查詢VPN資源庫資源占用狀態(tài)和可分配資源；

（4） 資源庫返回可用的VPN資源信息；

（5） 資源分配頁面將分配結(jié)果返回給服開系統(tǒng)；

（6） 資源系統(tǒng)把調(diào)單直通到網(wǎng)管系統(tǒng)；

（7） 和（7’）網(wǎng)管系統(tǒng)執(zhí)行配置下發(fā)后將返單給服開系統(tǒng)，對于下發(fā)成功的調(diào)單會同時將資源下發(fā)結(jié)果同步給資源系統(tǒng)（即資源數(shù)據(jù)的回寫）。

4.2 資源數(shù)據(jù)回寫資源系統(tǒng)

通過服務(wù)開通流程在現(xiàn)網(wǎng)自動部署成功后、或者在每日資源一致性核查中，都會觸發(fā)回寫資源系統(tǒng)，以VPN動態(tài)資源庫數(shù)據(jù)為準(zhǔn)更新其相關(guān)資源信息。VPN動態(tài)資源庫的物理資源五元組模型與資源系統(tǒng)一致，以現(xiàn)網(wǎng)發(fā)現(xiàn)為準(zhǔn)更新，解決了傳統(tǒng)的VPN資源模型不一致所帶來的問題。

4.3 VPN業(yè)務(wù)拓?fù)洹耙绘I搜索”

在“面向客戶、面向業(yè)務(wù)”運維思想指導(dǎo)下，應(yīng)實現(xiàn)從維護(hù)多張骨干網(wǎng)向維護(hù)多張客戶/業(yè)務(wù)網(wǎng)絡(luò)的運維思路轉(zhuǎn)變，要求能夠真正“以客戶視角看網(wǎng)絡(luò)”。為此，在日常維護(hù)和故障處理工作中，基于VPN資源庫，可實時查詢和生成任意VPN業(yè)務(wù)拓?fù)湟约瓣P(guān)聯(lián)的網(wǎng)管信息，即時生成準(zhǔn)確的客戶VPN業(yè)務(wù)拓?fù)?，呈現(xiàn)客戶全網(wǎng)視圖、關(guān)聯(lián)的設(shè)備面板以及客戶業(yè)務(wù)質(zhì)量實時監(jiān)測數(shù)據(jù)。

4.4 VPN業(yè)務(wù)故障診斷

在VPN業(yè)務(wù)故障診斷場景中，可以通過輸入接入電路代號、客戶名稱等準(zhǔn)確定位VPN鏈路所在的設(shè)備、槽位、端口，縮短故障處理歷時時間，并可以通過接口開放給業(yè)務(wù)故障預(yù)處理等前端系統(tǒng)進(jìn)行實時查詢。

4.5 故障業(yè)務(wù)“一鍵遷移”

當(dāng)VPN業(yè)務(wù)鏈路端口發(fā)生故障時，可以通過備份資源、提供“一鍵式”VPN鏈路遷移功能，方便快速的實現(xiàn)資源整體遷移操作。不同于一般的電路開通操作，這種批量遷移能夠快速批量部署，自動更新VPN資源庫。

5　結(jié)束語

本文針對傳統(tǒng)VPN資源管理在數(shù)據(jù)準(zhǔn)確性、數(shù)據(jù)更新等方面存在的問題進(jìn)行了分析，提出了在動態(tài)采集和發(fā)現(xiàn)基礎(chǔ)上建設(shè)VPN動態(tài)資源庫的解決思路。VPN動態(tài)資源庫部署后，從實際運行效果來看，有效地支撐了VPN業(yè)務(wù)自動化開通和VPN業(yè)務(wù)維護(hù)，大幅提升了運營商VPN業(yè)務(wù)提供能力，產(chǎn)生了良好的生產(chǎn)效益。

1蘇更殊，陳世昊. 新一代電信網(wǎng)絡(luò)資源管理系統(tǒng)建設(shè)方案的技術(shù)分析、評價和決策方法研究［J］. 電信科學(xué)， 2008，24（3）: 69-75

2陸小銘，冀暉，王韜凱，曹維華. 超大型客戶MPLS VPN組網(wǎng)設(shè)計與實現(xiàn). 廣東通信技術(shù)， 2011，01:64-69

10.3969/j.issn.1006-6403.2016.07.001

2016-04-29）