随着电信网络规模和技术的日益扩大和复杂化，电信运营商进行网络管理和维护也更加复杂和困难。先进的网络管理对于网络运营商来说是不可缺少的。而建立在网络管理系统之上的业务层管理产品，如本文所要提到的实现传输网上VPN业务和VPN管理的产品将帮助网络运营商充分利用其剩余带宽资源，向用户快速提供新业务和增值服务，实现潜在的成本节省和用户QOS要求，是目前电信市场上一种极具优势的增值途径。本文以阿尔卡特公司传输网络业务层管理产品(1355VPN管理器)为例介绍传输网上VPN服务和VPN管理增值业务的实现。　　
　　
　　传输网VPN、VPN管理器概要　　
　　
　　什么是传输网上的VPN呢？传输网络营运商分配给客户一定数量的资源(如一些站点中的网络访问点)和相应的操作权限(如：电路监视或电路配置)，这些站点、网络访问点资源的集合就构成了VPN域，在该VPN域任意两个站点之间可以建立一个电路连接，同时根据与客户的带宽合约在任意两个站点之间可以定义一个最大电路连接数或预留一定数量的带宽。　　
　　
　　VPN管理器允许传输网络运营商能够向租用其传输网带宽的大/中型客户提供VPN业务。通过该产品，客户可以直接管理SDH、DWDM或者海缆网络中提供的传输业务。客户使用一台WEB终端(普通PC机)就可以动态地配置传输业务，如在SDH网络中自己所预定的网络接入点间建立和删除电路。同样，利用该终端还可以监视这些电路业务，实时接收电路故障、服务质量等相关数据。还可以将这些信息记录在ASCII文件中供进一步分析利用。所有这些信息和数据可以用于计费或SLA等目的。网络运营商负责定义和分配可以被客户所直接管理的网络资源，同时负责监视和控制其VPN客户的行为。　　
　　
　　这种VPN业务不仅可以应用在SDH网络当中，还可推广到DWDM，ATM和IP网络。　　
　　
　　VPN管理器体系结构　　
　　
　　该系统由两部分构成：VPN客户终端和VPN服务器，按照流行的客户机/服务器结构来操作。　　
　　
　　VPN客户终端通过Intranet或Internet网络与VPN服务器连接，VPN客户端由Internet浏览器(如：Netscape或IE)加Java程序来实现，无须其它特殊的软件支持。VPN服务器是运行在Unix或NT平台上的Java应用程序。它通过一个开放接口与低层的SDH网络管理系统(NMS)通信，对网络资源执行所允许的管理操作。该结构支持多个VPN服务器连接到同一个NMS，一个VPN服务器可以管理一定数量的VPN域，可以有多个客户连接到该服务器操作该VPN域。VPN服务器与NMS可以运行在同一台或不同的机器上。　　
　　VPN管理器功能及安全性　　
　　
　　VPN管理器功能分为服务器端和客户端功能。服务器端功能指由服务器管理者(通常为网络运营商)在VPN服务器上执行的功能，客户端功能指由VPN租用客户在PC终端上完成的功能。　　
　　
　　1.VPN服务器端功能
　　
　　1.1定义VPN　　
　　
　　VPN服务器可以同时管理许多网络域(VPN域)。VPN服务器管理者在VPN服务器端定义不同的网络域，并设定相关属性，如VPN名称、VPN类型，客户名称、VPN站点、地理背景图，同时定义该VPN域中两个节点间可以建立的最大通道数，这些值可作为合约参考。VPN管理者还可以监视和记录每个VPN客户端的操作行为。　　
　　
　　1.2定义客户profile　　
　　
　　VPN服务器管理者定义不同VPN域的客户终端和操作者，相关信息如：用户名、密码、终端PC的IP地址(采用Intranet连接时)、操作profile(只读、读/写、管理员)、客户所属VPN域。只有服务器管理者可访问该信息，以保证VPN接入安全性。　　
　　
　　1.3多客户端/多VPN域/多NMS的管理　　
　　
　　每个客户端属于一个VPN域。每个VPN域可同时有多个客户终端同时登录。当VPN服务器从低层NMS接收到通知或告警时，将向相关VPN域中在线的多个客户终端同时转发。　　
　　
　　一个VPN服务器可以连接到多个不同的NMS上。从不同NMS上获取的网络资源可以分配给不同VPN来进行管理或者分配给同一个VPN用户。　　1.4VPN域数据　　
　　
　　VPN服务器中保存有分配给各个VPN域的资源数据，通过公用接口从低层NMS中获取，包括站点、节点、终端点(CTPs　and　TTPs)、通道(DWDM和海缆网络中应考虑OCH)等。站点和节点可以被不同VPN域共享，而SAP和通道只能分配给惟一的VPN域。服务器每接收到一条通知或告警将自动更新这些数据。　　
　　
　　2.VPN客户端功能
　　
　　2.1获取VPN域数据　　
　　
　　VPN客户终端从VPN服务器的数据存储区获取相关VPN域的所有数据，即服务接入点(SAP)、通道、节点、站点、地理图等，这些数据在地理图中以图形或图表形式描述。如果站点/节点数太多，可利用分层结构或分区子图来描述。　　
　　
　　2.2通道配置　　
　　
　　客户终端可以创建、修改和删除所属VPN域中的通道。通过指定终端SAP请求创建一条通道。可以定义点到点(单向或双向)通道或广播通道。通道相关属性包括A-端和Z-端终端点、通道标识、比特率、方向性、业务工作状态、恢复优先级、PM数据收集、故障报告、请求的服务质量等。可以预先定义通道配置命令执行的时间。客户可以修改通道的可用性，即该通道应用的保护级别和保护类型。还可以激活电路环回测试功能。　　
　　
　　2.3通知和日志　　
　　
　　当网络资源属性发生变化时，VPN服务器可以接收到影响业务的故障通知和通道变化通知，它将自动向所属VPN域的客户端转发。客户端接收到的通知以表格形式描述。　　
　　
　　VPN服务器从NMS接收到的所有通知消息以及从客户端接收到的所有操作请求都被记录在ASCII文件中，还可以输出到外部系统中以供进一步的分析利用。每个VPN域都有以下日志文件，如：故障数据日志、操作日志、资源更新、用户接入日志等。　　
　　
　　2.4业务性能监控数据和统计报告　　
　　
　　VPN服务器可以获取NMS收集到的不同VPN域内与通道(业务)相关的性能数据。这些PM数据文件通过FTP协议可传送到外部系统中，如每隔24小时传送一次24小时PM数据或每隔2小时传送一次15分钟PM数据。这些数据文件可以以表格或图形方式显示在客户端。客户端也可激活/挂起该VPN域PM数据的收集和PM数据的报告。