gtxyzz

基于融合的VPN管理方案

gtxyzz 安全防护 2023-01-03 360浏览 0

VPN技术从诞生起就因其明显的技术优势备受青睐。在传统的网络中,用户对VPN的使用体现在分支安全接入,以太网络租用等场景,企业应用VPN技术相对较少,因此并未给VPN的管理带来压力。但随着近年来网络应用的不断深入,尤其新一代网络向着云就绪网络的演进,承载网络面临更高的要求。网络不仅要提升流量转发能力,更需要提供智能的多种业务接入和互联的能力。VPN这种灵活的多业务复用技术,非常适于作为业务接入和互联通道,正得到越来越多的应用。但一些用户发现,在享受VPN技术带来的便利的同时,困扰也随之而来。

多个厂商,多种VPN难以管理

企业网络往往会部署多个厂商的网络设备,根据业务的差别还会部署不同的VPN技术。同时,VPN技术也存在演进变更,例如有些企业部署了PBB业务,由于相关标准停滞不前,后续希望迁移到VPLS或MPLS TP等技术。另外,由于VPN技术复杂,每种VPN技术同时需要路由、MPLS、安全加密等多种网络协议进行支撑,不同的厂商为各自的VPN提供不同的管理工具,例如A厂商为BGP MPLS管理提供ISC管理工具,为IPSec管理提供CSM等管理,而B厂商为MPLS VPN又提供了DMS管理工具,为IPSec VPN管理提供VSM管理工具;这就迫使IT管理员不仅要掌握多个工具,还需要使用多个管理工具,由此相关的工作量必然很大。

而对于用户而言,需要的只是一个能够满足企业业务需求的管道服务,不需要去关注VPN的内部实现。这就给VPN的管理变革提出第一个需求:如何将多个厂商,多种VPN业务统一进行管理,方便进行部署和业务开通?

VPN故障难以定位

网络的稳定性要求越来越受到重视,而VPN的复杂性给维护人员进行VPN故障的定位带来了很大的挑战,用户希望拥有故障的诊断和根因分析手段,快速定位故障原因,并评估故障的影响,及时解决问题。管理员和用户还希望可以轻松了解和掌控通道的状况和网络的吞吐情况。因此,如何对VPN业务进行服务质量的评估,如何及时进行故障的定位和排查?

分支企业难以从总部统一监管

管理系统一般部署在企业总部,对总部和骨干网络可以提供比较深入的管理手段,但对企业分支或客户租用网络,由于穿越公网,很难从总部进行统一监管。用户需要将业务管理的触角延伸到分支企业,为分支企业提供统一IT管理服务能力。因此,如何能够利用VPN实现对分支企业的网络的管理?

总结以上问题,用户实际上需要的就是:统一、简单的管道服务,提供智能的故障定位手段便于解决问题。能够满足这一需求的VPN管理方案应具备的核心基因就是:融合,即对多厂商多VPN业务协议进行拆解和组合,封装底层协议,为客户提供统一的管道服务形式。通过融合的VPN管理方案,统一承载多种VPN管理,适应企业业务需求变化。

基于这个核心,融合VPN管理方案呈现给前台使用者的体验主要有以下六个特点:

统一

——统一VPN服务框架

多种VPN管理(如IPsec VPN、DVPN、GRE、MPLS VPN等)统一在一个平台框架中,底层设备访问层实现对多厂商设备的统一管理,通过协议封装层实现对多种VPN的底层业务采集、数据分析和业务处理,抽象出基于业务的VPN部件为中间业务处理层提供整合后的VPN对象体,前台提供统一的VPN业务编排入口,并封装多种业务模板和服务套餐,便于用户选择。

基于融合的VPN管理方案

图1 云网络统一VPN管理参考示意图

端到端

——基于拓扑的端到端的服务部署

管理员可以基于实际物理拓扑通过点选链路的方式快速直观的实现端到端VPN业务管道的规划,并通过底层协议封装层自动形成相应的路由、IPSec、MPLS等业务配置片段,管理员可以对形成的配置进行审核,确定下发方式;根据业务需求业务下发可以采用多种形式,可以基于SNMP、Telnet/SSH或TR069等协议方式,既可以实现对固定IP地址网络设备的业务下发,也可以实现对NAT后、动态IP设备的业务下发,并满足用户对安全、性能、可靠性等方面的要求。

可视化

——可视化VPN业务通道流量分析

通过对虚拟网络进行逐层分析、庖丁解牛,清晰了解网络的服务状况。VPN管理系统可以展示物理链路的流量、带宽率情况,了解物理网络的整体吞吐量,并仿真展示物理通道中的隧道(Tunnel、LSP等)的数量和带宽,通过点击可以看到隧道的实时流量状况和历史流量趋势;进一步可以展示隧道下的服务通道(如PW)的流量状态和数量,通过综合业务分析手段可以清晰的了解具体业务分布和流量状态,如WWW、FTP、Email等业务流量分布,并提供对业务的时延、抖动、丢包等SLA分析手段,有效评估用户的服务质量。

基于融合的VPN管理方案

图2 可视化VPN业务通道流量分析参考示意图

智能

——深入的VPN故障根源分析手段

综合物理网络拓扑、VPN技术协议智能诊断手段,并通过可视化的技术排查流程指导用户逐层排查问题,快速定位根因,及时解决问题。以MPLS VPN网络出现客户管道联通问题的分析解决为例,图3所示为整个故障定位过程的示意。

1) 故障分析模块会通过业务流程首先展示故障管道位置,并展示故障管道的相关告警,以及通过告警分析给出的可能问题根因及影响度的建议;

2) 如果没有解决,进入到物理通道检测流程,故障模块会自动检测接入点接口的状态、接口是否使能相关协议,检查设备路由表判断路由是否可达等;

3) 如果没有定位根因,会进入到协议通道流程,故障模块进行LDP会话、LSP路径协议的业务分析;

4) 进一步会进行控制平面的业务分析,如判断ACL是否启用了规则屏蔽了MPLS报文等,通过这种细致的自动化智能分析方式,可以在非常短的时间内定位问题,帮助用户快速解决问题,此外故障根因模块可以定义知识库,通过原语和命令行模板,增加故障诊断规则,扩展定位手段。

基于融合的VPN管理方案

图3 故障定位Troubleshooting的参考示意图#p#

主动

——主动的业务审计合规检查

故障的定位毕竟是故障发生后的处理,为了减少故障发生,VPN管理模块提供周期性的主动VPN通道检查和合规检查手段。联通性检测通过二层检测、三层检测、协议层检测等并运用多种检测技术(IP ping、LSP ping、PW tracert等)逐层对VPN链路进行诊断,及时发现可能存在的问题,并通过告警的形式上报。VPN管理模块同时进行周期性配置审计和合规检查手段,对配置规则合规属性一一判别,对配置变化、合规缺陷项及时进行消息通知,管理系统会及时进行显示。

如图4所示,VPN系统通过主动合规审计,发现分支路由器缺少要求的ACL配置,在拓扑上警示该设备存在安全风险,需要维护人员及时进行修正。

基于融合的VPN管理方案

图4 VPN设备合规检查参考示意图

自动、零配置

——深入的VPN分支业务管理

利用强大的VPN通道管理能力,VPN融合管理系统可以基于通道,将业务管理的触角延伸到分支企业,为企业的统一IT管理,统一业务监控带来了极大的便利。例如企业总部通过DVPN建立与分支的管道,完成通道建立后,网管系统自动基于网关设备进行自动发现,将分支私网设备加入总部管理系统中,并对分支企业的内部业务进行直接的监控,包括设备审计,流量分析,网络行为分析,并通过多维报表展示分支网络设备的出口流量,故障趋势、服务质量分析、子网资产信息管理等。

此外,总部VPN管理系统保存分支企业的关键设备的业务配置,一旦分支关键设备出现问题,分支企业上电通过TR069等协议请求配置,实现零配置业务下发,远程解决设备容灾问题,大大提高了企业的运维能力,有效解决了分支企业IT维护人员薄弱的管理短板。

如图5所示,总部VPN管理系统利用VPN通道可以直接对分支企业内网进行全面的管理。

基于融合的VPN管理方案

图5 VPN分支企业网络管理参考示意图

结束语

云时代的到来为用户提供了更便捷的IT服务方式,用户对于IT资源的使用就像水和电一样的简单自如,而VPN作为云和用户端的管道桥梁,成为云网络运维的关键要素,融合VPN管理解决方案将不同厂商、不同VPN管理有效融合在一起,并提供直观仿真的服务流量分析和智能的故障自动化排查手段,有效解决VPN运维中的各种问题,大大提高了运维效率。

附:H3C统一VPN管理架构

H3C统一VPN业务管理方案(Multi VPN management Solution),在广域网、广域分支互联、城域网等领域都得到了广泛应用。基于iMC平台融合的SOA架构,H3C 统一VPN管理方案实现了对BGP VPN、VPLS、VLL、MPLS TE、MPLS TP、IPsec VPN、DVPN等业务的VPN统一管理,并支持第三方设备,底层封装SNMP/Telnet/SSH/TR069等协议进行业务下发;业务处理层融合QoS、SLA等业务模块实现VPN的全面的业务流量和服务质量业务处理,前台基于Web 2.0 Ajax技术提供统一的VPN业务规划、服务编排,云网络客户可以根据实际网络业务需求进行选取,并通过直观的拓扑向导快速实现VPN通道的建立。同时融合BIMS(分支管理系统)、EAD(终端准入控制)等模块提供对分支企业的深入管理,延展管理范围,为用户提供统一的管理手段,有效解决了运维人员的管理难题,在降低管理成本的同时,有效提高了运维效率。

基于融合的VPN管理方案

继续浏览有关 安全 的文章
发表评论