VPN动态资源库系统设计与应用

2016-08-24许彤李青郭海飞郭忠诚

广东通信技术 2016年7期

［许彤　李青　郭海飞　郭忠诚］

通信热点

VPN动态资源库系统设计与应用

［许彤李青郭海飞郭忠诚］

MPL SVPN业务的配置、开通和监控是IP网络运营管理的重点和难点，文章结合VPN业务在自动化开通和维护上的需求，提出了在动态采集和发现基础上建设VPN动态资源库的方案，解决了传统VPN资源管理存在的资源准确性差、无法实时更新等问题。该方案实现了VPN逻辑资源自动分配、实时业务拓扑搜索、故障自动处理等功能，取得了良好的生产维护效益。

MPL SVPN 动态资源库

许彤

现就职于中国电信股份有限公司，中国电信集团公司网络运行维护事业部，主要从事IP网络技术、支持系统、VPN资源管理等领域的研究和生产模式设计。

李青

现就职于中国电信集团公司网络运行维护事业部，主要从事业务部署、支撑系统、资源管理等领域的业务维护和客户服务工作。

郭海飞

就职于中国电信集团网运部集团NOC中心，现从事IP网络技术、业务配置、网管需求管理等工作。

郭忠诚

现就职于中国电信股份有限公司，主要从事VPN业务电路调度及业务支撑系统管理工作，资源管理等领域的业务维护和客户服务工作。

1　引言

本文研讨的VPN（Virtual Private Network）指运营商通过其公网向用户提供的虚拟专有网络。采用MPLS技术部署的VPN在业务提供、维护管理以及安全性上具有快速、方便和可保障的特点，是当前主要的VPN形式。目前，中国电信IP骨干网承载了数千大客户和运营商自有关键业务的MPLS VPN。

在VPN业务网络自动化维护方面，按照网管系统与网络同步建设的思路，经过近十年的系统建设，已经基本实现了网络监控/故障处理/维护作业自动化的目标。在VPN业务开通方面，从最初的人工接收业务调单、手工生成配置文件下发的人工模式，发展到系统自动接收开通工单、按照业务操作类型/设备型号等自动生成配置模板并下发设备生效的自动化直通方式，有效缩短了业务配置时间，提升了整个流程的配置效率。

在新时期面向客户和业务的运维思想指导下，对VPN网络维护、故障处理、业务开通提出了更高的要求，要求及时准确地先于客户发现故障、排除网络隐患，进一步缩短业务开通时长。从现网经验来看，在网管系统和相关支撑系统整体架构、流程已经具备较强能力的基础上，进一步提升效率的方法包括持续优化流程、持续引入自动化手段等，其中一项核心工作就是提高VPN资源的准确性，为此我们提出了构建VPN动态资源库的新模式和新方法，显著提升了VPN业务开通的成功率和故障处理的准确度。

2　VPN业务维护管理现状分析

VPN业务维护管理的一项重要工作是支撑VPN业务开通。VPN业务自动开通流程中相关系统如图1，其中，服务开通系统实现整个开通流程的管控，资源管理系统负责物理资源以及逻辑资源的分配，网管系统执行最终的设备配置下发和生效。

图1　VPN开通的传统系统架构

分析现行的VPN开通系统和流程可以发现，传统VPN资源管理和维护现状存在以下问题：

（1） VPN资料管理方式问题

在传统VPN资源管理框架中，资源管理系统是资源管理的核心，物理资源管理、资源分配等工作由资源系统完成。资源系统的数据维护模式以人工为主，人工录入和编辑不可避免存在错漏，无法根据网络现状动态更新大量的VLAN、DLCI等逻辑资源数据［1］。

（2） VPN资料管理流程问题

VPN链路信息资源由网管系统、资源系统分别维护，通过业务开通流程串接，并以资源系统的数据为准。整个闭环流程可以归结为：网络资源准备-VPN电路信息输入-配置检查预览-部署-配置审核-更新网络资源库。但在实际业务开通和维护过程中，涉及到工程割接、故障处理、应急操作等情况，系统的自动闭环功能容易被打破，资源系统需要手动更新，导致现网与系统间数据同步不及时或不同步的问题。

（3） VPN资源信息核准问题

为了解决资源系统数据准确性的问题，按照以资源系统数据为核心的思路，采用了由网管系统采集现网VPN数据并核准资源系统数据的方法。经过近两年的实际运行和检验，效果欠佳，根本原因一方面在于两个系统的数据模型存在较大差异，另一方面如上述是由于资源系统的人工维护模式无法实现资源的动态维护。

（4） VPN物理资源模型不一致问题

资源系统的VPN物理资源五元组由设备、机框、机槽、子槽和端口组成，网管系统的VPN资源由设备和端口组成。两个系统的资源模型定义不一致，在命名规范和取值上差异也较大，现网多厂家设备资源数据千差万别，即使通过规则匹配等自动化手段也很难做到资料的统一和一致。

如上述分析可知，资源管理系统中管理的VPN资源数据难以做到实时准确，直接造成无法成功执行业务开通的工单占有较大比例，而且由于资源问题导致的各相关支撑系统回退、重新分配、重新走流程，也消耗了大量的时间与人力。由此可见，传统的VPN资源管理在准确性、实时性方面存在严重缺陷，无法满足业务快速发展的需求，非常有必要进行优化和改进。

3　VPN资源动态管理的系统实现

3.1 VPN资源库

网管系统管理了全网网络设备和链路，直接登录网元设备采集设备配置信息和VPN链路信息，同时可灵活调整采集周期。网管系统部署了面向全网的设备AAA管理功能，可以实时分析和捕获设备配置变化信息。同时，作为VPN业务配置下发的最终执行环节，对于通过VPN直通接口下发的VPN配置，网管系统可以通过业务调单直接感知新增、删除和变更等VPN业务配置变化情况。基于上述几点，网管系统具备天然的与现网一致、动态感知变化的能力特点，因此，可以基于网管系统的既有采集能力和网络感知能力建立VPN动态资源库。

动态资源以现网存在、影响业务配置下发的VPN链路相关参数为核心，大部分参数能够与业务调单进行对应，并且能够从现网采集得到，以此有效解决资源系统无法动态更新资源库以及由此带来的数据不准确的问题。为此，下文提出建立VPN资源库和动态维护的创新模式，并结合典型应用场景进行阐述。

VPN资源库框架如图2。

图2　VPN资源库总体框架

由图2可见，VPN资源库总体框架包含以下几部分：

（1）资源库

主要包含三个维度的信息［2］：

① 基本信息：VRF、RT、RD、接入电路代号、VPN网号等。

② 资源信息：PE设备/机框/机槽/子槽/端口、PE端口封装协议及参数等。

③ 路由信息：路由协议、BGP邻居相关参数等。

（2）资源库初始化和维护

VPN资源库数据的初始化有两个途径：

（1）解析业务调单：对于通过服务开通流程自动下发的VPN配置，可以通过解析业务调单自动获取VPN链路信息。

（2）解析设备配置文件：对于未通过服务开通流程自动下发的VPN配置，例如工程割接、应急操作等，可以通过网元直采接口采集现网配置动态获取。

VPN资源库的日常维护则通过每日自动化的资源数据核查工作来落实。

（3）资源库应用

VPN资源库的应用场景包括逻辑资源自动分配、反写资源系统、VPN业务拓扑查询、VPN故障诊断和业务故障“一键迁移”。

3.2 VPN现网动态资源数据自动发现

VPN现网动态资源数据的自动发现通过直采和分析设备配置文件实现，有以下几种发现方法：

（1）发现与设备型号无关的资源数据：从策略名称、端口描述中解析获取与设备型号无关的数据，适用于VPN网号、接入电路代号等动态数据。

（2）发现与设备型号相关的其它资源数据：针对不同设备型号的PE和延伸交换机分析得到其它VPN基本信息和资源信息。

（3）发现QOE各等级带宽数据：考虑PE接入端口部署的QoS策略规则的复杂性，需要针对不同型号的PE设备、策略类型、入/出方向等从子策略中分析获取客户等级、带宽等数据。

当前，全网设备都纳入AAA（认证/授权/记账）管理，PE路由器的登录、配置等日志信息会记到AAA日志中，系统可以结合AAA日志信息动态分析每日VPN资源变化情况，作为现网动态资源发现的补充说明。

3.3 VPN资源数据核查

骨干网全网承载了数万条VPN业务链路，包括大量的工程配置以及每天通过服务开通流程下发的配置。针对如此大量的资源数据，非常有必要将资源数据核查纳入每日的自动作业计划范畴，从而实现资源库的动态维护。

（1）针对现网VPN链路一致性的核查和处理。在VPN现网动态资源数据自动发现的基础上，核查现网与资源库的一致性，并提供自动化的处理功能：

① 资源库缺少的链路直接补充进资源库；

② 资源库多余的链路直接删除；

③ 资源库存在但是与现网不一致，直接用现网信息覆盖资源库；

④ 对于一些特殊情况，如PE端口IP为空的链路，做异常标识；

⑤ 上述操作均保留日志信息。

（2）针对资源系统VPN链路一致性的核查和处理。为了实现现网、资源库与资源系统的一致性，每天从资源系统导入资源数据做核查，并做自动化处理：

① 对于资源库与资源系统匹配一致的链路，按照事先定义的规则，可以用资源系统的部分数据覆盖资源库，例如接入电路代号；

② 对于资源库与资源系统匹配不一致的链路，例如PE端口IP为空的链路，做异常标识；

③ 系统根据上述资源数据核查结果自动更新VPN动态资源库，并反写资源系统。

3.4 VPN资源备份管理

除了业务承载链路外，VPN资源库还存储和管理了备份资源。VPN备份链路仅限于故障迁移，不同于业务上的VPN备份链路。

在精准的VPN资源占用状态分析的基础上，可以针对PE和交换机物理端口实现备份资源的规划和管理。备份策略主要涉及以下几方面：

（1）端口备份策略采用“1对N”的方式，即可以指定1个空闲端口作为N条VPN链路的备份端口。一旦N条电路中的某一条发生故障，可以批量迁移到该备份端口上。

（2）尽量实现跨板卡备份，并且同一块板卡上的不同VPN链路不要备份到同一个端口。

（3）对于PE设备，主要考虑同类型端口的备份，包括GE口、ATM口、POS口、155M信道化口等。

（4）鉴于本地资源的复杂性，需要人工指定备份端口。

3.5 VPN动态资源生命周期管理

如上文所述，VPN动态资源维护管理方式包括以下几方面工作：

（1）自动化维护

对于通过服务开通流程自动下发的VPN配置，解析业务调单形成VPN资源数据直接入库。

采用资源数据自动核查方式完成资源库的日常维护和更新。其中，未通过服务开通流程下发的VPN配置（如工程割接配置）在核查作业中发现并入库；某些非现网配置数据（如接入链路代号）可以以资源系统数据为准进行库更新。自动核查结果可以按规则触发反写资源系统。

设备AAA日志作为设备配置操作变更的记录可以用来辅助说明现网配置及相应的资源库数据的变化原因。

（2）人工管理

VPN备份资源管理以资源占用状态自动分析为前提，其中本地备份资源需要人工参与指定。人工可以查询VPN动态链路资源信息。

整体管理方式如图3。

在VPN资源动态维护管理的基础上，可以记录并形成VPN链路对象的生命周期视图，通过视图展现VPN业务链路从调度、交付、使用、故障、割接到退租的完整变化过程。

图3　VPN动态资源维护管理

4　典型应用场景分析

本文提出的VPN资源动态管理模式和功能已经在中国电信VPN业务开通和维护管理工作中正式上线应用，以自动化方式支撑了现网二层/三层VPN二十余种业务操作场景和数百种业务类型，取得了良好的生产和维护效益。

4.1 VPN逻辑资源自动分配

传统VPN开通流程中，VLAN等逻辑资源分配由资源系统完成。由于人工维护的弊端，大量逻辑资源数据无法实现更新，由此对后续的资源分配准确性带来了很大的问题。

为了解决自动化开通过程中的痛点和难点，我们对VPN开通流程进行了优化梳理，其中VLAN、DLCI、PVC等逻辑资源分配环节从资源系统切换到网管系统，网管系统基于VPN资源库自动分析空闲逻辑资源并自动分配。

VPN逻辑资源自动分配的整体流程如图4。

（1）资源分配人员在服务开通系统中执行VPN业务开通相关操作；

图4　VPN开通流程

（2）服开系统用网管系统的资源分配页面；

（3）查询VPN资源库资源占用状态和可分配资源；

（4）资源库返回可用的VPN资源信息；

（5）资源分配页面将分配结果返回给服开系统；

（6）资源系统把调单直通到网管系统；

（7）和（7’）网管系统执行配置下发后将返单给服开系统，对于下发成功的调单会同时将资源下发结果同步给资源系统（即资源数据的回写）。

4.2 资源数据回写资源系统

通过服务开通流程在现网自动部署成功后、或者在每日资源一致性核查中，都会触发回写资源系统，以VPN动态资源库数据为准更新其相关资源信息。VPN动态资源库的物理资源五元组模型与资源系统一致，以现网发现为准更新，解决了传统的VPN资源模型不一致所带来的问题。

4.3 VPN业务拓扑“一键搜索”

在“面向客户、面向业务”运维思想指导下，应实现从维护多张骨干网向维护多张客户/业务网络的运维思路转变，要求能够真正“以客户视角看网络”。为此，在日常维护和故障处理工作中，基于VPN资源库，可实时查询和生成任意VPN业务拓扑以及关联的网管信息，即时生成准确的客户VPN业务拓扑，呈现客户全网视图、关联的设备面板以及客户业务质量实时监测数据。

4.4 VPN业务故障诊断

在VPN业务故障诊断场景中，可以通过输入接入电路代号、客户名称等准确定位VPN链路所在的设备、槽位、端口，缩短故障处理历时时间，并可以通过接口开放给业务故障预处理等前端系统进行实时查询。

4.5 故障业务“一键迁移”

当VPN业务链路端口发生故障时，可以通过备份资源、提供“一键式”VPN链路迁移功能，方便快速的实现资源整体迁移操作。不同于一般的电路开通操作，这种批量迁移能够快速批量部署，自动更新VPN资源库。