传输网中VPN管理器的应用

随着电信网络规模和技术的日益扩大和复杂化，电信运营商进行网络管理和维护也更加复杂和困难。先进的网络管理对于网络运营商来说是不可缺少的。而建立在网络管理系统之上的业务层管理产品，如本文所要提到的实现传输网上VPN业务和VPN管理的产品将帮助网络运营商充分利用其剩余带宽资源，向用户快速提供新业务和增值服务，实现潜在的成本节省和用户QOS要求，是目前电信市场上一种极具优势的增值途径。本文以阿尔卡特公司传输网络业务层管理产品(1355VPN管理器)为例介绍传输网上VPN服务和VPN管理增值业务的实现。　　
　　
　　传输网VPN、VPN管理器概要　　
　　
　　什么是传输网上的VPN呢？传输网络营运商分配给客户一定数量的资源(如一些站点中的网络访问点)和相应的操作权限(如：电路监视或电路配置)，这些站点、网络访问点资源的集合就构成了VPN域，在该VPN域任意两个站点之间可以建立一个电路连接，同时根据与客户的带宽合约在任意两个站点之间可以定义一个最大电路连接数或预留一定数量的带宽。　　
　　
　　VPN管理器允许传输网络运营商能够向租用其传输网带宽的大/中型客户提供VPN业务。通过该产品，客户可以直接管理SDH、DWDM或者海缆网络中提供的传输业务。客户使用一台WEB终端(普通PC机)就可以动态地配置传输业务，如在SDH网络中自己所预定的网络接入点间建立和删除电路。同样，利用该终端还可以监视这些电路业务，实时接收电路故障、服务质量等相关数据。还可以将这些信息记录在ASCII文件中供进一步分析利用。所有这些信息和数据可以用于计费或SLA等目的。网络运营商负责定义和分配可以被客户所直接管理的网络资源，同时负责监视和控制其VPN客户的行为。　　
　　
　　这种VPN业务不仅可以应用在SDH网络当中，还可推广到DWDM，ATM和IP网络。　　
　　
　　VPN管理器体系结构　　
　　
　　该系统由两部分构成：VPN客户终端和VPN服务器，按照流行的客户机/服务器结构来操作。　　
　　
　　VPN客户终端通过Intranet或Internet网络与VPN服务器连接，VPN客户端由Internet浏览器(如：Netscape或IE)加Java程序来实现，无须其它特殊的软件支持。VPN服务器是运行在Unix或NT平台上的Java应用程序。它通过一个开放接口与低层的SDH网络管理系统(NMS)通信，对网络资源执行所允许的管理操作。该结构支持多个VPN服务器连接到同一个NMS，一个VPN服务器可以管理一定数量的VPN域，可以有多个客户连接到该服务器操作该VPN域。VPN服务器与NMS可以运行在同一台或不同的机器上。　　
　　VPN管理器功能及安全性　　
　　
　　VPN管理器功能分为服务器端和客户端功能。服务器端功能指由服务器管理者(通常为网络运营商)在VPN服务器上执行的功能，客户端功能指由VPN租用客户在PC终端上完成的功能。　　
　　
　　1.VPN服务器端功能
　　
　　1.1定义VPN　　
　　
　　VPN服务器可以同时管理许多网络域(VPN域)。VPN服务器管理者在VPN服务器端定义不同的网络域，并设定相关属性，如VPN名称、VPN类型，客户名称、VPN站点、地理背景图，同时定义该VPN域中两个节点间可以建立的最大通道数，这些值可作为合约参考。VPN管理者还可以监视和记录每个VPN客户端的操作行为。　　
　　
　　1.2定义客户profile　　
　　
　　VPN服务器管理者定义不同VPN域的客户终端和操作者，相关信息如：用户名、密码、终端PC的IP地址(采用Intranet连接时)、操作profile(只读、读/写、管理员)、客户所属VPN域。只有服务器管理者可访问该信息，以保证VPN接入安全性。　　
　　
　　1.3多客户端/多VPN域/多NMS的管理　　
　　
　　每个客户端属于一个VPN域。每个VPN域可同时有多个客户终端同时登录。当VPN服务器从低层NMS接收到通知或告警时，将向相关VPN域中在线的多个客户终端同时转发。　　
　　
　　一个VPN服务器可以连接到多个不同的NMS上。从不同NMS上获取的网络资源可以分配给不同VPN来进行管理或者分配给同一个VPN用户。　　1.4VPN域数据　　
　　
　　VPN服务器中保存有分配给各个VPN域的资源数据，通过公用接口从低层NMS中获取，包括站点、节点、终端点(CTPs　and　TTPs)、通道(DWDM和海缆网络中应考虑OCH)等。站点和节点可以被不同VPN域共享，而SAP和通道只能分配给惟一的VPN域。服务器每接收到一条通知或告警将自动更新这些数据。　　
　　
　　2.VPN客户端功能
　　
　　2.1获取VPN域数据　　
　　
　　VPN客户终端从VPN服务器的数据存储区获取相关VPN域的所有数据，即服务接入点(SA