VPN技術(shù)從誕生起就因其明顯的技術(shù)優(yōu)勢備受青睞。在傳統(tǒng)的網(wǎng)絡(luò)中，用戶對VPN的使用體現(xiàn)在分支安全接入，以太網(wǎng)絡(luò)租用等場景，企業(yè)應(yīng)用VPN技術(shù)相對較少，因此并未給VPN的管理帶來壓力。但隨著近年來網(wǎng)絡(luò)應(yīng)用的不斷深入，尤其新一代網(wǎng)絡(luò)向著云就緒網(wǎng)絡(luò)的演進，承載網(wǎng)絡(luò)面臨更高的要求。網(wǎng)絡(luò)不僅要提升流量轉(zhuǎn)發(fā)能力，更需要提供智能的多種業(yè)務(wù)接入和互聯(lián)的能力。VPN這種靈活的多業(yè)務(wù)復(fù)用技術(shù)，非常適于作為業(yè)務(wù)接入和互聯(lián)通道，正得到越來越多的應(yīng)用。但一些用戶發(fā)現(xiàn)，在享受VPN技術(shù)帶來的便利的同時，困擾也隨之而來。

多個廠商，多種VPN難以管理

企業(yè)網(wǎng)絡(luò)往往會部署多個廠商的網(wǎng)絡(luò)設(shè)備，根據(jù)業(yè)務(wù)的差別還會部署不同的VPN技術(shù)。同時，VPN技術(shù)也存在演進變更，例如有些企業(yè)部署了PBB業(yè)務(wù)，由于相關(guān)標(biāo)準(zhǔn)停滯不前，后續(xù)希望遷移到VPLS或MPLS TP等技術(shù)。另外，由于VPN技術(shù)復(fù)雜，每種VPN技術(shù)同時需要路由、MPLS、安全加密等多種網(wǎng)絡(luò)協(xié)議進行支撐，不同的廠商為各自的VPN提供不同的管理工具，例如A廠商為BGP MPLS管理提供ISC管理工具，為IPSec管理提供CSM等管理，而B廠商為MPLS VPN又提供了DMS管理工具，為IPSec VPN管理提供VSM管理工具；這就迫使IT管理員不僅要掌握多個工具，還需要使用多個管理工具，由此相關(guān)的工作量必然很大。

而對于用戶而言，需要的只是一個能夠滿足企業(yè)業(yè)務(wù)需求的管道服務(wù)，不需要去關(guān)注VPN的內(nèi)部實現(xiàn)。這就給VPN的管理變革提出第一個需求：如何將多個廠商，多種VPN業(yè)務(wù)統(tǒng)一進行管理，方便進行部署和業(yè)務(wù)開通？

VPN故障難以定位

網(wǎng)絡(luò)的穩(wěn)定性要求越來越受到重視，而VPN的復(fù)雜性給維護人員進行VPN故障的定位帶來了很大的挑戰(zhàn)，用戶希望擁有故障的診斷和根因分析手段，快速定位故障原因，并評估故障的影響，及時解決問題。管理員和用戶還希望可以輕松了解和掌控通道的狀況和網(wǎng)絡(luò)的吞吐情況。因此，如何對VPN業(yè)務(wù)進行服務(wù)質(zhì)量的評估，如何及時進行故障的定位和排查？

分支企業(yè)難以從總部統(tǒng)一監(jiān)管

管理系統(tǒng)一般部署在企業(yè)總部，對總部和骨干網(wǎng)絡(luò)可以提供比較深入的管理手段，但對企業(yè)分支或客戶租用網(wǎng)絡(luò)，由于穿越公網(wǎng)，很難從總部進行統(tǒng)一監(jiān)管。用戶需要將業(yè)務(wù)管理的觸角延伸到分支企業(yè)，為分支企業(yè)提供統(tǒng)一IT管理服務(wù)能力。因此，如何能夠利用VPN實現(xiàn)對分支企業(yè)的網(wǎng)絡(luò)的管理？

總結(jié)以上問題，用戶實際上需要的就是：統(tǒng)一、簡單的管道服務(wù)，提供智能的故障定位手段便于解決問題。能夠滿足這一需求的VPN管理方案應(yīng)具備的核心基因就是：融合，即對多廠商多VPN業(yè)務(wù)協(xié)議進行拆解和組合，封裝底層協(xié)議，為客戶提供統(tǒng)一的管道服務(wù)形式。通過融合的VPN管理方案，統(tǒng)一承載多種VPN管理，適應(yīng)企業(yè)業(yè)務(wù)需求變化。

基于這個核心，融合VPN管理方案呈現(xiàn)給前臺使用者的體驗主要有以下六個特點：

統(tǒng)一

——統(tǒng)一VPN服務(wù)框架

多種VPN管理（如IPsec VPN、DVPN、GRE、MPLS VPN等）統(tǒng)一在一個平臺框架中，底層設(shè)備訪問層實現(xiàn)對多廠商設(shè)備的統(tǒng)一管理，通過協(xié)議封裝層實現(xiàn)對多種VPN的底層業(yè)務(wù)采集、數(shù)據(jù)分析和業(yè)務(wù)處理，抽象出基于業(yè)務(wù)的VPN部件為中間業(yè)務(wù)處理層提供整合后的VPN對象體，前臺提供統(tǒng)一的VPN業(yè)務(wù)編排入口，并封裝多種業(yè)務(wù)模板和服務(wù)套餐，便于用戶選擇。

圖1 云網(wǎng)絡(luò)統(tǒng)一VPN管理參考示意圖

端到端

——基于拓撲的端到端的服務(wù)部署

管理員可以基于實際物理拓撲通過點選鏈路的方式快速直觀的實現(xiàn)端到端VPN業(yè)務(wù)管道的規(guī)劃，并通過底層協(xié)議封裝層自動形成相應(yīng)的路由、IPSec、MPLS等業(yè)務(wù)配置片段，管理員可以對形成的配置進行審核，確定下發(fā)方式；根據(jù)業(yè)務(wù)需求業(yè)務(wù)下發(fā)可以采用多種形式，可以基于SNMP、Telnet/SSH或TR069等協(xié)議方式，既可以實現(xiàn)對固定IP地址網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)下發(fā)，也可以實現(xiàn)對NAT后、動態(tài)IP設(shè)備的業(yè)務(wù)下發(fā)，并滿足用戶對安全、性能、可靠性等方面的要求。

可視化

——可視化VPN業(yè)務(wù)通道流量分析

通過對虛擬網(wǎng)絡(luò)進行逐層分析、庖丁解牛，清晰了解網(wǎng)絡(luò)的服務(wù)狀況。VPN管理系統(tǒng)可以展示物理鏈路的流量、帶寬率情況，了解物理網(wǎng)絡(luò)的整體吞吐量，并仿真展示物理通道中的隧道（Tunnel、LSP等）的數(shù)量和帶寬，通過點擊可以看到隧道的實時流量狀況和歷史流量趨勢；進一步可以展示隧道下的服務(wù)通道（如PW）的流量狀態(tài)和數(shù)量，通過綜合業(yè)務(wù)分析手段可以清晰的了解具體業(yè)務(wù)分布和流量狀態(tài)，如WWW、FTP、Email等業(yè)務(wù)流量分布，并提供對業(yè)務(wù)的時延、抖動、丟包等SLA分析手段，有效評估用戶的服務(wù)質(zhì)量。

圖2 可視化VPN業(yè)務(wù)通道流量分析參考示意圖

智能

——深入的VPN故障根源分析手段

綜合物理網(wǎng)絡(luò)拓撲、VPN技術(shù)協(xié)議智能診斷手段，并通過可視化的技術(shù)排查流程指導(dǎo)用戶逐層排查問題，快速定位根因，及時解決問題。以MPLS VPN網(wǎng)絡(luò)出現(xiàn)客戶管道聯(lián)通問題的分析解決為例，圖3所示為整個故障定位過程的示意。

1) 故障分析模塊會通過業(yè)務(wù)流程首先展示故障管道位置，并展示故障管道的相關(guān)告警，以及通過告警分析給出的可能問題根因及影響度的建議；

2) 如果沒有解決，進入到物理通道檢測流程，故障模塊會自動檢測接入點接口的狀態(tài)、接口是否使能相關(guān)協(xié)議，檢查設(shè)備路由表判斷路由是否可達等；

3) 如果沒有定位根因，會進入到協(xié)議通道流程，故障模塊進行LDP會話、LSP路徑協(xié)議的業(yè)務(wù)分析；

4) 進一步會進行控制平面的業(yè)務(wù)分析，如判斷ACL是否啟用了規(guī)則屏蔽了MPLS報文等，通過這種細致的自動化智能分析方式，可以在非常短的時間內(nèi)定位問題，幫助用戶快速解決問題，此外故障根因模塊可以定義知識庫，通過原語和命令行模板，增加故障診斷規(guī)則，擴展定位手段。

圖3 故障定位Troubleshooting的參考示意圖#p#

主動

——主動的業(yè)務(wù)審計合規(guī)檢查

故障的定位畢竟是故障發(fā)生后的處理，為了減少故障發(fā)生，VPN管理模塊提供周期性的主動VPN通道檢查和合規(guī)檢查手段。聯(lián)通性檢測通過二層檢測、三層檢測、協(xié)議層檢測等并運用多種檢測技術(shù)（IP ping、LSP ping、PW tracert等）逐層對VPN鏈路進行診斷，及時發(fā)現(xiàn)可能存在的問題，并通過告警的形式上報。VPN管理模塊同時進行周期性配置審計和合規(guī)檢查手段，對配置規(guī)則合規(guī)屬性一一判別，對配置變化、合規(guī)缺陷項及時進行消息通知，管理系統(tǒng)會及時進行顯示。

如圖4所示，VPN系統(tǒng)通過主動合規(guī)審計，發(fā)現(xiàn)分支路由器缺少要求的ACL配置，在拓撲上警示該設(shè)備存在安全風(fēng)險，需要維護人員及時進行修正。

圖4 VPN設(shè)備合規(guī)檢查參考示意圖

自動、零配置

——深入的VPN分支業(yè)務(wù)管理

利用強大的VPN通道管理能力，VPN融合管理系統(tǒng)可以基于通道，將業(yè)務(wù)管理的觸角延伸到分支企業(yè)，為企業(yè)的統(tǒng)一IT管理，統(tǒng)一業(yè)務(wù)監(jiān)控帶來了極大的便利。例如企業(yè)總部通過DVPN建立與分支的管道，完成通道建立后，網(wǎng)管系統(tǒng)自動基于網(wǎng)關(guān)設(shè)備進行自動發(fā)現(xiàn)，將分支私網(wǎng)設(shè)備加入總部管理系統(tǒng)中，并對分支企業(yè)的內(nèi)部業(yè)務(wù)進行直接的監(jiān)控，包括設(shè)備審計，流量分析，網(wǎng)絡(luò)行為分析，并通過多維報表展示分支網(wǎng)絡(luò)設(shè)備的出口流量，故障趨勢、服務(wù)質(zhì)量分析、子網(wǎng)資產(chǎn)信息管理等。

此外，總部VPN管理系統(tǒng)保存分支企業(yè)的關(guān)鍵設(shè)備的業(yè)務(wù)配置，一旦分支關(guān)鍵設(shè)備出現(xiàn)問題，分支企業(yè)上電通過TR069等協(xié)議請求配置，實現(xiàn)零配置業(yè)務(wù)下發(fā)，遠程解決設(shè)備容災(zāi)問題，大大提高了企業(yè)的運維能力，有效解決了分支企業(yè)IT維護人員薄弱的管理短板。

如圖5所示，總部VPN管理系統(tǒng)利用VPN通道可以直接對分支企業(yè)內(nèi)網(wǎng)進行全面的管理。

圖5 VPN分支企業(yè)網(wǎng)絡(luò)管理參考示意圖

結(jié)束語

云時代的到來為用戶提供了更便捷的IT服務(wù)方式，用戶對于IT資源的使用就像水和電一樣的簡單自如，而VPN作為云和用戶端的管道橋梁，成為云網(wǎng)絡(luò)運維的關(guān)鍵要素，融合VPN管理解決方案將不同廠商、不同VPN管理有效融合在一起，并提供直觀仿真的服務(wù)流量分析和智能的故障自動化排查手段，有效解決VPN運維中的各種問題，大大提高了運維效率。

附：H3C統(tǒng)一VPN管理架構(gòu)

H3C統(tǒng)一VPN業(yè)務(wù)管理方案(Multi VPN management Solution)，在廣域網(wǎng)、廣域分支互聯(lián)、城域網(wǎng)等領(lǐng)域都得到了廣泛應(yīng)用。基于iMC平臺融合的SOA架構(gòu)，H3C 統(tǒng)一VPN管理方案實現(xiàn)了對BGP VPN、VPLS、VLL、MPLS TE、MPLS TP、IPsec VPN、DVPN等業(yè)務(wù)的VPN統(tǒng)一管理，并支持第三方設(shè)備，底層封裝SNMP/Telnet/SSH/TR069等協(xié)議進行業(yè)務(wù)下發(fā)；業(yè)務(wù)處理層融合QoS、SLA等業(yè)務(wù)模塊實現(xiàn)VPN的全面的業(yè)務(wù)流量和服務(wù)質(zhì)量業(yè)務(wù)處理，前臺基于Web 2.0 Ajax技術(shù)提供統(tǒng)一的VPN業(yè)務(wù)規(guī)劃、服務(wù)編排，云網(wǎng)絡(luò)客戶可以根據(jù)實際網(wǎng)絡(luò)業(yè)務(wù)需求進行選取，并通過直觀的拓撲向?qū)Э焖賹崿F(xiàn)VPN通道的建立。同時融合BIMS（分支管理系統(tǒng)）、EAD（終端準(zhǔn)入控制）等模塊提供對分支企業(yè)的深入管理，延展管理范圍，為用戶提供統(tǒng)一的管理手段，有效解決了運維人員的管理難題，在降低管理成本的同時，有效提高了運維效率。