BGP MPLS VPN网络管理文档格式.docx

1、4.11. 环境要求 191. 简介BGP/MPLS VPN是近年来新兴的VPN技术，由于其拥有近似专线网络的安全性，而价格相对低廉，对于最终用户使用简单，维护方便。因而，MPLS VPN在近期已经成为网络用户的一个需求热点。MPLS VPN的网络管理涉及到客户管理、VPN业务管理、网络管理以及设备管理等管理功能，人工方式容易造成配置出错，而且很难察觉错误的发生，管理的效率低，不能满足日益增长的业务需求。1.1. 范围本规范描述了各省建设MPLS VPN网管系统应遵循的逻辑结构、技术要求以及功能要求等内容，作为MPLS VPN网管建设、验收等的依据。1.2. 术语和定义本规范使用了以下术语和定

2、义：1. MPLS（MultiProtocol Label Switching）：多协议标签交换2. VPN（Virtual Private Network）：虚拟私有网络3. PE（Provider Edge Device）：运营商边缘路由器，指用于将客户接入运营商网络的设备4. CE（Customer Edge Device）：客户边缘路由器，用来和PE连接的客户设备5. P（Provider Device）：运营商网络中不直接和客户CE设备直接连接的设备6. LSP（Label Switched Path）：标签交换路径，在MPLS网络中，报文转发过程中所经过的路径7. ASBR（Aut

3、onomous System Boundary Routers）：自治域系统边界路由器，用于连接两个自治域的路由器8. CERC（CE Routing Community）：客户VPN的网络总是可以划分为一个个的小网络结构，这种结构是全连接或者星形连接的 ，将这个小的网络结构称为CERC9. VRF（VPN Routing and Forwarding）：VPN路由转发表10. RD（Route Distinguisher）：路由标识11. RT（Route Target）：路由目标12. RIP（Routing Information Protocol）：一种距离向量路由协议，常用于小型网络

4、。13. OSPF（Open Shortest Path First）：一种链接状态路由技术。作为一个内部网关协议，它可以在那些R I P 不能处理的、大型的网络上使用。14. BGP（Border Gateway Protocol）：是一种在自治系统之间动态交换路由信息的路由协议15. QoS（Quality of Service）：服务质量，指信息在通信系统中传递时所获得的性能保证。16. CoS（Class of Service）：分类服务，按照服务类型进行区分，实现QoS的一种技术17. 客户：租用VPN业务的客户18. 供应商视图：表达了供应商网络和客户CE之间的物理连接关系的拓扑视

5、图19. 客户视图：表达了客户VPN网络拓扑结构的逻辑视图20. CNM（Customer Network Management）：客户网络管理，提供给VPN客户使用的管理系统，一般以WEB形式出现，客户可以通过CNM来管理或查看自己租用网络的情况21. 网管用户：网管软件的用户22. 管理员：网管软件的用户，同网管用户23. 业务配置描述：软件中使用的一个数据实体或者对象，通过这个实体或对象，可以了解到客户站点如何加入VPN，CE和PE的配置参数等，针对这个实体或对象，可以进行业务发放，实现VPN的开通和拆除，同时这个实体也可以转换为设备上实际的配置片段。2. 技术体系2.1. 原则MPLS

6、 VPN网管系统的建设应遵循以下原则：1 统一规划，分步实施。2 充分利用已有系统，避免重复建设，有效保护现有投资。3 能够提供端到端的配置管理、性能管理和故障管理，以及客户资源管理功能。4 对于用户密码等关键信息要通过加密保证其安全性和保密性。5 系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制。6 系统网络平台、硬件平台和数据库平台应具有良好的可扩充性和灵活性。7 系统分析设计和开发方法应采用目前国际上较先进、较成熟的技术，保证系统从体系结构、技术实现、应用开发等方面具有一定的前瞻性。2.2. 系统功能MPLS VPN网管软件应至少提供网络资源管理、客户管理、配置管理、拓扑管理、

7、性能管理、故障管理和安全管理等管理功能。网络资源管理提供网络设备、设备接口等网络资源的统一管理功能。客户管理提供VPN客户基本信息、业务租用信息、资源租用信息和客户服务质量报告等管理功能。配置管理提供VPN业务的定义、开通和审计等功能。拓扑管理提供应商视图、客户视图的显示，并提供配置管理、性能管理和故障管理的功能入口。性能管理提供网络性能数据的收集、统计、报表等功能，提供业务性能数据的分析、统计和报表等功能。故障管理提供网络故障的收集、统计、报表等功能，提供业务故障的分析、统计和报表等功能。安全管理提供安全认证和网管用户分权以及系统日志的管理功能。2.3. 管理体系结构图1 MPLS VPN管

8、理体系结构图中给出可能的管理体系结构：MPLS VPN网管应能够接入网络，对PE进行管理；在需要时，也能够支持CE的管理。可以采用带外、管理VPN或ExtranetVPN等方式实现CE管理，但必须同时保证客户VPN的信息安全；网管系统应该采用分布式的体系结构，提供多终端、远程操作功能；CNM客户通过Internet接入网管的Web服务器，这里必须采取安全措施，如VPN、防火墙和访问控制列表等来保证网管服务器、网管网络的安全。2.4. 实现技术建议软件应采用Client/Server或者Browser/Server的体系结构，网管系统必须有跨平台特性，可以支持主流的操作系统，包括UNIX和Win

9、dows平台。网管系统应该具有多终端和远程管理的能力。访问设备应采用SNMP/Telnet/FTP/HTTP等开放协议。3. 软件功能3.1. 网络资源管理软件能够统一管理设备、接口和子接口等在内的网络资源。MPLS VPN网管系统资源管理功能必须能够管理MPLS VPN业务中使用的PE、P、ASBR、CE、接口和子接口等资源。网络层面的资源管理工作可以利用已有的网络资源管理系统实现。资源管理能够提供资源浏览树、资源列表形式的操作界面。 1资源发现资源管理必须能发现网络资源，网管软件从网络上发现设备和接口等，并提示用户加入网管。2资源占用资源管理能够提供资源“占用”的功能：建立VPN业务时，设

10、备的接口（或子接口）将用来承载业务，这时应该将接口（或子接口）标记为“占用”状态，避免其他业务重复使用该接口，造成业务中断或冲突；当管理员希望使用一个接口作为今后业务的承载，他可以手工的将接口标记为“占用”，避免其他管理员使用该接口资源。当业务已经不再需要某接口作为其承载时，软件能够将“占用”状态清除；管理员也可以手工将“占用”状态清除。3虚拟资源的管理当设备或者设备接口不存在于网络，或者无权限管理，管理员仍能够将这些资源添加到资源库中，并标识其为“虚拟”或“不可管理”资源。对这些资源，除不进行实际的配置和信息读取之外，其他功能和可管理资源同等对待。4资源监视资源管理能够进行资源状态的监视，及

11、时反映其是否能够被网管正常管理。3.2. 客户管理1基本信息管理必须能够对所有的客户进行列表显示。必须能够对客户的基本信息进行查看、增加、修改和删除。客户的基本信息必须包括但不限于：客户名称、客户编码、客户分类、客户合同号、通信地址、联系人、联系电话、联系EMail、备注等。2租用浏览能够列表查看指定客户所租用的VPN业务、VPN业务所占用的网络资源、以及它们的运行状况。3.客户报表能够输出VPN客户使用的业务租用报表、资源租用报表、性能数据报表、流量数据报表和故障数据报表等。经网管系统管理员审阅后的报表可以定时的通过Email或其他方式自动发送给VPN客户。3.3. 配置管理配置管理必须提供

12、快速的、端到端的MPLS VPN业务部署功能。软件必须支持星形拓扑、全连拓扑以及混合拓扑结构的VPN配置。当VPN拓扑结构发生变化或者进行扩充时，网管的配置应该尽量简单。软件必须支持intranet、extranet类型VPN的配置。软件能够提供业务发现、业务规划的功能。软件必须提供业务部署、业务审计的功能。软件必须支持支持CE-PE间静态路由、EBGP路由的配置，能够支持RIP、OSPF路由的配置。软件能够支持接口限速的配置，能够支持CoS配置。1业务规划业务规划提供业务定义的功能，在业务部署前，就可以观察到业务实施后将达到的效果，避免业务部署错误，提高业务部署的效率。软件应提供端到端的配置

13、能力，在PE上进行配置即可完成VPN站点的增加和删除。网管软件必须支持图形化、向导式的操作完成VPN业务定义，定义的过程应该尽量减少人工输入，VRF、RD、RT、IP地址等参数能够自动生成，也可手工输入，可以提供业务模板套用的功能。根据业务配置描述，网管软件能够生成并输出设备配置文件。根据业务配置描述，网管软件能够生成并更新网络拓扑视图，包括供应商视图和客户视图。业务定义能够和资源管理关联，业务配置描述必须使用资源库中的网络资源，对不可重用的资源，如接口等，在引用后需要将其标记已占用。根据客户要求，需要管理CE时，网管软件能够为CE生成相关配置。2业务部署软件必须能够将业务配置描述转换为设备识

14、别的命令，下发到设备，在网络上形成实际运行的MPLS VPN业务。软件必须能够进行业务的实施部署和拆除部署，用来建立业务和拆除业务。软件可以支持批量、定时的部署。根据客户要求，需要管理CE时，网管软件能够将配置文件下发到CE。3业务发现网管软件能够发现设备上VRF名称、RD、RT、VRF绑定的接口、VRF的路由等信息，并可以在管理员的少量参与之下，根据这些信息在网管上建立VPN业务数据和拓扑视图。4业务审计 1）配置审计在业务部署之后，网管软件能够检查设备上是否已经存在预期的配置。能够支持手动审计和定时审计。2）连通性审计在业务部署之后，网管软件能够检查VPN端到端的连通性；能够支持手动审计和

15、定时审计3）LSP Highlight软件能够在需要时直观显示出VPN站点间通信时使用的LSP通道。3.4. 拓扑管理软件必须提供全网拓扑的直观显示，包括供应商视图和客户视图，并能够按照供应商、客户、VPN进行拓扑过滤。拓扑视图上能够提供便捷的配置管理、性能管理、故障管理功能入口，在网络拓扑上可完成针对管理对象的大部分功能操作。拓扑管理能够提供放大、缩小、节点定位、设备过滤、多选，鸟瞰图功能。拓扑视图可以提供层次化视图功能，例如：核心网可以初始显示为一个节点，在鼠标双击后再显示出核心网的结构。1供应商视图供应商视图必须提供供应商PE和客户CE在内的的网络物理拓扑结构。可以提供包括P路由器，AS

16、BR路由器在内的MPLS核心网的拓扑结构。在拓扑图上能够直观显示自治系统、各种路由器设备、设备之间的物理或者逻辑链接。软件能够在拓扑图上表现VPN业务配置描述。供应商视图能够按照供应商、客户、VPN的条件进行过滤显示。2客户视图客户视图必须表现出客户的Site之间的VPN拓扑关系，对VPN网络进行拓扑表达。客户视图能够按照客户和VPN进行过滤显示。3故障显示拓扑视图中能够显示出拓扑元素的告警状态，能够浏览全网告警；通过快捷的功能入口，可以直接显示指定设备或者VPN业务的告警列表。供应商视图能够以不同的颜色表明网络的故障状态，故障级别。客户视图能够以不同的颜色表明客户VPN的故障状态、故障级别。

17、3.5. 故障管理故障管理必须提供VPN业务相关的网络设备故障的实时监控功能，能够实时的查看、处理这些设备故障。能够进行故障客户化管理，能够定制故障级别、建立故障知识库。故障管理必须提供故障的业务相关性分析功能，能够分析设备故障影响的客户和VPN业务。网管软件提供进一步处理告警的能力，包括：能够进行告警通知，根据预先设定将告警信息通过EMail/手机短信发送出去；能够进行告警确认，表示管理员已经知道该告警信息；能够按照客户、VPN、设备等进行告警过滤、浏览和统计；能够提供按照客户和业务统计的故障数据报表。3.6. 性能管理性能管理包括性能、流量数据的收集、显示、统计和报表功能。包括了CE-PE

18、间、PE-PE间、CE-CE间的数据。1CE-PE间性能管理CE-PE之间的数据指PE上用于连接CE的接口上的数据：软件必须提供CE-PE间输入/输出的字节数、输入/输出丢包数，可以通过RFC1213Mib中的Interface表实现数据采集；能够提供时延、抖动数据，可以使用设备上类似RMON特性实现数据采集；可以提供流量数据，可以通过设备的流量统计功能实现数据收集。2PE-PE间性能管理PE-PE之间的数据指两个指定的PE间端到端的性能数据：能够提供时延、抖动数据；可以提供流量数据。3CE-CE间性能管理在CE可管理的情况之下，软件能够提供CECE之间的性能数据的能力，CE-CE之间指两个指

19、定的CE之间端到端的数据：4实时数据对于CE-PE间输入/输出的字节数、输入/输出丢包数，必须提供实时采集、显示、存储的能力。5定时数据对于CE-PE间输入/输出的字节数、输入/输出丢包数，必须提供定时采集、存储的功能。对于CE-PE间、PE-PE间、CE-CE间的采集时延、抖动数据，必须提供定时采集、存储的能力。6其他软件能够提供历史数据查询、统计和报表功能，并提供txt、html格式的数据文件。软件能够提供按照VPN、客户对历史数据进行查询、统计和报表，并提供txt、html格式的数据文件。3.7. 安全管理安全管理功能提供安全认证和网管用户分权以及系统日志的管理，确保合法授权的管理员管理

20、他职责范围内网络和业务。1登录管理员必须首先登录才能使用系统对系统进行管理2分权管理软件可以按照操作划分权限，不同的网络管理员可以进行不同的操作。软件可以按照设备划分权限，不同的网络管理员按照权限管理不同的设备。软件可以按照VPN划分权限，不同的网络管理员按照权限管理不同的VPN。3日志管理软件必须提供系统日志功能，以日志的形式详细记录管理员的登录和操作活动，包括对设备的操作活动，对网管的操作，非授权管理员的试图越权操作，系统自身的操作活动，譬如任务的运行结果等。记录的内容包括但不限于以下部分：管理员，操作，操作对象，操作时间，操作结果等。能够按照网管用户，操作对象，操作任务过滤日志的功能。日

21、志提供显示、过滤和报表的功能。3.8. CNM网管软件能够提供CNM（Customer Network Management）的功能，VPN客户可以通过WEB登录到网管系统，网管系统根据客户定制需求提供:客户基本信息显示；客户的VPN拓扑：显示VPN客户的客户视图；业务故障管理：浏览租用的VPN中发生的业务故障；故障、性能、流量统计报表：提供租用设备的相关数据的浏览和报表；CoS配置参数：提供QoS/CoS参数的浏览功能。4. 技术要求4.1. 管理能力要求网管软件能够管理支持以下规范或建议的设备：1 E. Rosen, etc., “Multiprotocol Label Switching

22、 Architecture”, IETF RFC3031, January 20012 L. Andersson, etc., “LDP Specification”， IETF RFC3036，January 20013 E. Rosen, etc., “BGP/MPLS VPNs”,IETF,draft-ietf-ppvpn-rfc2547bis-01, January 20024 Thomas D. Nadeau, etc., “MPLS/BGP Virtual Private Network Management Information Base Using SMIv2”, draft

23、-ietf-ppvpn-mpls-vpn-mib-04, February 2002 5 Thomas D. Nadeau , etc., “Multiprotocol Label Switching （MPLS） FEC-To-NHLFE （FTN） Management Information Base”, draft-ietf-mpls-ftn-mib-04, January 2002 6 J.Cucchiara, etc., “Definitions of Managed Objects for the Multiprotocol Label Switching, Label Dist

24、ribution Protocol （LDP）” draft-ietf-mpls-ldp-mib-08, August 20017 Cheenu Srinivasan, etc., “Multiprotocol Label Switching （MPLS） Label Switch Router （LSR） Management Information Base”, draft-ietf-mpls-lsr-mib-08, January 20024.2. 可靠性要求MPLS VPN网管系统应该可靠、稳定，应考虑软硬件设备的容错，数据存储的备份等。系统应能724小时连续工作，必须做到稳定性高、故

25、障率低。MPLS VPN网管系统的可靠性应满足以下指标：MPLS VPN网管系统服务器等主要设备的年故障停机次数应小于2次，年故障停机历时应小于48小时；MPLS VPN网管系统软件的年故障中断次数应小于2次，年故障中断历时应小于48小时；MPLS VPN网管系统自身网络通信的年故障中断次数应小于2次，年故障中断历时应小于48小时；MPLS VPN网管系统与网络设备间传输部分带宽应不小于2M，传输误码率应小于10E-7。网管客户端与网管服务器间传输部分带宽应不小2M，传输误码率应小于10E-7。4.3. 安全性要求MPLS VPN网管系统应具备统一、完善的安全机制，以保障MPLS VPN网管系

26、统网络、设备安全性以及网络管理数据安全性。也即必须保证网络管理网能正常运行，且不会受到非法侦听、非法入侵、非法破坏。为此应该采取VPN、路由器访问列表安全控制、防火墙和更为专业的网络安全技术，以保证网管网络的安全性。4.4. 可维护性要求MPLS VPN网管系统应该具有集中操作维护的功能，应实现对MPLS VPN网管系统自身完善的维护和管理，应包括集中操作终端、集中数据修改和计算机辅助操作维护功能，以达到性能监测、故障恢复和动态配置的目的。4.5. 可操作性要求MPLS VPN网管系统应该易操作，应实现友好的中文图形用户界面和必要的联机帮助。用户界面应支持并发性：多窗口和多任务，系统应能够至少

27、支持5个图形终端同时操作。用户界面应能使用户能方便地进行数据采集、数据处理以及数据维护等多种操作。用户应可以使用简单的图形用户界面，在提示信息下通过设定参数等来灵活地访问数据库并定义各种数据统计和处理方法以及报表呈现方式。用户界面应能向用户提供表格、直方图等多种数据表现形式。4.6. 可扩展性要求MPLS VPN网管系统应该是可扩展的，应考虑从管理对象数量，VPN类型、系统结构、功能组合、第三方软件集成以及直到软硬件平台选择等方面的可扩展性。MPLS VPN网管系统的建设是可以分期分阶段进行的，随着网络技术的演进、规模的扩大以及管理需求的不断增加，要求与之相应的MPLS VPN网管系统也必须在

28、各个方面具有灵活的扩展性。4.7. 开放性要求MPLS VPN网管系统应该采用开放结构的硬件和基础软件平台，并充分考虑本系统与其它外部系统的接口，以保证实现主流厂家计算机系统软硬件无关、数据库无关，而且MPLS VPN网管系统能够与其它系统实现方便的数据共享、标准接口和无缝集成。4.8. 性能要求MPLS VPN网管系统的响应速度应满足以下指标：MPLS VPN网管系统接收到网络设备上报的信息后，处理数据时间不超过15分钟。MPLS VPN网管系统接收到用户命令后，响应时间最大不超过15分钟。在等待过程中，应给出等待时间或以其它直观的方式给出提示。4.9. 硬件要求MPLS VPN网管系统主要

29、硬件设备必须满足相关技术要求以及相应的量化指标。计算机主机系统应满足以下技术要求：可靠性：系统整机平均无故障时间（MTBF）不低于80000小时。易于升级：系统应该能够易于升级，包括CPU、内存、硬盘。4.10. 软件要求MPLS VPN网管系统软件从分析、设计、开发、测试到维护的整个过程应该严格遵守软件工程规范，采用先进的分析、设计和开发、测试思想、技术及工具，从根本上保证系统质量。网管和设备之间的通信协议采用SNMP、Telnet、FTP或HTTP等。软件应必须支持主流的操作系统，包括UNIX和Windows。4.11. 环境要求为保证MPLS VPN网管系统设备的安全可靠运行，网络管理机房应满足以下环境要求：温度：长期条件1825湿度：长期条件40%60%防尘：直径大于5微米的灰尘浓度应3（10E-4）粒/立方米，灰尘粒子应是非导电、非导磁和非腐蚀性的。机房应有良好的防静电措施。网络管理设备应接地良好，应具备逻辑地、直流工作地、保护地，其接地方式应按照通信设备地线设计规范的要求接地。MPLS VPN网管系统供电系统应稳定可靠，必须配备不间断电源，在断电的情况下，应至少能保证持续供电2小时。电压波动幅度应小于标称值的10%。必须保证设备与供电系统之间的连接稳定可靠。