VPN技術從誕生起就因其明顯的技術優勢備受青睞。在傳統的網絡中，用戶對VPN的使用體現在分支安全接入，以太網絡租用等場景，企業應用VPN技術相對較少，因此并未給VPN的管理帶來壓力。但隨著近年來網絡應用的不斷深入，尤其新一代網絡向著云就緒網絡的演進，承載網絡面臨更高的要求。網絡不僅要提升流量轉發能力，更需要提供智能的多種業務接入和互聯的能力。VPN這種靈活的多業務復用技術，非常適于作為業務接入和互聯通道，正得到越來越多的應用。但一些用戶發現，在享受VPN技術帶來的便利的同時，困擾也隨之而來。

多個廠商，多種VPN難以管理

企業網絡往往會部署多個廠商的網絡設備，根據業務的差別還會部署不同的VPN技術。同時，VPN技術也存在演進變更，例如有些企業部署了PBB業務，由于相關標準停滯不前，后續希望遷移到VPLS或MPLS TP等技術。另外，由于VPN技術復雜，每種VPN技術同時需要路由、MPLS、安全加密等多種網絡協議進行支撐，不同的廠商為各自的VPN提供不同的管理工具，例如A廠商為BGP MPLS管理提供ISC管理工具，為IPSec管理提供CSM等管理，而B廠商為MPLS VPN又提供了DMS管理工具，為IPSec VPN管理提供VSM管理工具；這就迫使IT管理員不僅要掌握多個工具，還需要使用多個管理工具，由此相關的工作量必然很大。
而對于用戶而言，需要的只是一個能夠滿足企業業務需求的管道服務，不需要去關注VPN的內部實現。這就給VPN的管理變革提出第一個需求：如何將多個廠商，多種VPN業務統一進行管理，方便進行部署和業務開通？

VPN故障難以定位

網絡的穩定性要求越來越受到重視，而VPN的復雜性給維護人員進行VPN故障的定位帶來了很大的挑戰，用戶希望擁有故障的診斷和根因分析手段，快速定位故障原因，并評估故障的影響，及時解決問題。管理員和用戶還希望可以輕松了解和掌控通道的狀況和網絡的吞吐情況。因此，如何對VPN業務進行服務質量的評估，如何及時進行故障的定位和排查？

分支企業難以從總部統一監管

管理系統一般部署在企業總部，對總部和骨干網絡可以提供比較深入的管理手段，但對企業分支或客戶租用網絡，由于穿越公網，很難從總部進行統一監管。用戶需要將業務管理的觸角延伸到分支企業，為分支企業提供統一IT管理服務能力。因此，如何能夠利用VPN實現對分支企業的網絡的管理？

總結以上問題，用戶實際上需要的就是：統一、簡單的管道服務，提供智能的故障定位手段便于解決問題。能夠滿足這一需求的VPN管理方案應具備的核心基因就是：融合，即對多廠商多VPN業務協議進行拆解和組合，封裝底層協議，為客戶提供統一的管道服務形式。通過融合的VPN管理方案，統一承載多種VPN管理，適應企業業務需求變化。

基于這個核心，融合VPN管理方案呈現給前臺使用者的體驗主要有以下六個特點：

統一

統一VPN服務框架

多種VPN管理（如IPsec VPN、DVPN、GRE、MPLS VPN等）統一在一個平臺框架中，底層設備訪問層實現對多廠商設備的統一管理，通過協議封裝層實現對多種VPN的底層業務采集、數據分析和業務處理，抽象出基于業務的VPN部件為中間業務處理層提供整合后的VPN對象體，前臺提供統一的VPN業務編排入口，并封裝多種業務模板和服務套餐，便于用戶選擇。

圖1 云網絡統一VPN管理參考示意圖

端到端

基于拓撲的端到端的服務部署

管理員可以基于實際物理拓撲通過點選鏈路的方式快速直觀的實現端到端VPN業務管道的規劃，并通過底層協議封裝層自動形成相應的路由、IPSec、MPLS等業務配置片段，管理員可以對形成的配置進行審核，確定下發方式；根據業務需求業務下發可以采用多種形式，可以基于SNMP、Telnet/SSH或TR069等協議方式，既可以實現對固定IP地址網絡設備的業務下發，也可以實現對NAT后、動態IP設備的業務下發，并滿足用戶對安全、性能、可靠性等方面的要求。

可視化

可視化VPN業務通道流量分析

通過對虛擬網絡進行逐層分析、庖丁解牛，清晰了解網絡的服務狀況。VPN管理系統可以展示物理鏈路的流量、帶寬率情況，了解物理網絡的整體吞吐量，并仿真展示物理通道中的隧道（Tunnel、LSP等）的數量和帶寬，通過點擊可以看到隧道的實時流量狀況和歷史流量趨勢；進一步可以展示隧道下的服務通道（如PW）的流量狀態和數量，通過綜合業務分析手段可以清晰的了解具體業務分布和流量狀態，如WWW、FTP、Email等業務流量分布，并提供對業務的時延、抖動、丟包等SLA分析手段，有效評估用戶的服務質量。

圖2 可視化VPN業務通道流量分析參考示意圖

智能

深入的VPN故障根源分析手段

綜合物理網絡拓撲、VPN技術協議智能診斷手段，并通過可視化的技術排查流程指導用戶逐層排查問題，快速定位根因，及時解決問題。以MPLS VPN網絡出現客戶管道聯通問題的分析解決為例，圖3所示為整個故障定位過程的示意。

1)故障分析模塊會通過業務流程首先展示故障管道位置，并展示故障管道的相關告警，以及通過告警分析給出的可能問題根因及影響度的建議；

2)如果沒有解決，進入到物理通道檢測流程，故障模塊會自動檢測接入點接口的狀態、接口是否使能相關協議，檢查設備路由表判斷路由是否可達等；

3)如果沒有定位根因，會進入到協議通道流程，故障模塊進行LDP會話、LSP路徑協議的業務分析；

4)進一步會進行控制平面的業務分析，如判斷ACL是否啟用了規則屏蔽了MPLS報文等，通過這種細致的自動化智能分析方式，可以在非常短的時間內定位問題，幫助用戶快速解決問題，此外故障根因模塊可以定義知識庫，通過原語和命令行模板，增加故障診斷規則，擴展定位手段。

圖3 故障定位Troubleshooting的參考示意圖

主動

主動的業務審計合規檢查

故障的定位畢竟是故障發生后的處理，為了減少故障發生，VPN管理模塊提供周期性的主動VPN通道檢查和合規檢查手段。聯通性檢測通過二層檢測、三層檢測、協議層檢測等并運用多種檢測技術（IP ping、LSP ping、PW tracert等）逐層對VPN鏈路進行診斷，及時發現可能存在的問題，并通過告警的形式上報。VPN管理模塊同時進行周期性配置審計和合規檢查手段，對配置規則合規屬性一一判別，對配置變化、合規缺陷項及時進行消息通知，管理系統會及時進行顯示。

如圖4所示，VPN系統通過主動合規審計，發現分支路由器缺少要求的ACL配置，在拓撲上警示該設備存在安全風險，需要維護人員及時進行修正。

圖4 VPN設備合規檢查參考示意圖

自動、零配置

深入的VPN分支業務管理

利用強大的VPN通道管理能力，VPN融合管理系統可以基于通道，將業務管理的觸角延伸到分支企業，為企業的統一IT管理，統一業務監控帶來了極大的便利。例如企業總部通過DVPN建立與分支的管道，完成通道建立后，網管系統自動基于網關設備進行自動發現，將分支私網設備加入總部管理系統中，并對分支企業的內部業務進行直接的監控，包括設備審計，流量分析，網絡行為分析，并通過多維報表展示分支網絡設備的出口流量，故障趨勢、服務質量分析、子網資產信息管理等。

此外，總部VPN管理系統保存分支企業的關鍵設備的業務配置，一旦分支關鍵設備出現問題，分支企業上電通過TR069等協議請求配置，實現零配置業務下發，遠程解決設備容災問題，大大提高了企業的運維能力，有效解決了分支企業IT維護人員薄弱的管理短板。

如圖5所示，總部VPN管理系統利用VPN通道可以直接對分支企業內網進行全面的管理。

圖5 VPN分支企業網絡管理參考示意圖

結束語

云時代的到來為用戶提供了更便捷的IT服務方式，用戶對于IT資源的使用就像水和電一樣的簡單自如，而VPN作為云和用戶端的管道橋梁，成為云網絡運維的關鍵要素，融合VPN管理解決方案將不同廠商、不同VPN管理有效融合在一起，并提供直觀仿真的服務流量分析和智能的故障自動化排查手段，有效解決VPN運維中的各種問題，大大提高了運維效率。

附：H3C統一VPN管理架構

H3C統一VPN業務管理方案(Multi VPN management Solution)，在廣域網、廣域分支互聯、城域網等領域都得到了廣泛應用。基于iMC平臺融合的SOA架構，H3C 統一VPN管理方案實現了對BGP VPN、VPLS、VLL、MPLS TE、MPLS TP、IPsec VPN、DVPN等業務的VPN統一管理，并支持第三方設備，底層封裝SNMP/Telnet/SSH/TR069等協議進行業務下發；業務處理層融合QoS、SLA等業務模塊實現VPN的全面的業務流量和服務質量業務處理，前臺基于Web 2.0 Ajax技術提供統一的VPN業務規劃、服務編排，云網絡客戶可以根據實際網絡業務需求進行選取，并通過直觀的拓撲向導快速實現VPN通道的建立。同時融合BIMS（分支管理系統）、EAD（終端準入控制）等模塊提供對分支企業的深入管理，延展管理范圍，為用戶提供統一的管理手段，有效解決了運維人員的管理難題，在降低管理成本的同時，有效提高了運維效率。