OVPN

　　VPN是一个借助于公用和专用网而建立的逻辑上的虚拟广域网（WAN），与用ATM或帧中继建立的VPN类似，光VPN（OVPN）同样是一个在跨越多个管理式波长上运行的可动态建立网络，即采用光波长建立的VPN。带有光交叉连接和控制信令的智能光网根据可用的资源来配置OVPN，连接时间可以仅仅是几分钟。

　　英文缩写： OVPN （Optical Virtual Private Network）

　　中文译名： 光虚拟专用网

　　分  类： 移动与无线

1 新一代光网络的特点

　　近年来，随着IP等数据业务的蓬勃发展，各大运营商逐步在传统的静态光网络中引入了动态智能控制机制，以便缩短传输路由、降低维护成本、更有效地运营管理整个网络。随着相关技术的成熟及其相关标准的陆续推出，新一代光网络的建设高潮即将到来。

　　新一代光网络具有智能化和自动化的特点，能实现带宽按需分配（Bandwidth On Demond）以及提供不同的服务等级（Diff Service），高效传送数据业务；同时，引入通用的智能控制机制，从而使多厂商、多运营商的网络互操作成为可能。

　　网状网是实现新一代光网络的必由之路，它可满足数据业务突发性和不确定性的特殊需求。网状网的实现原理是将智能层引入网络，使用先进的网络管理软件快速进行服务接入、路由重选和光路自动恢复，期间不需要物理层的干预，也不需要为相关保护预留额外的容量。

　　值得注意的是，对于实现自动光交换和带宽按需分配，须要采用通用的标准化网络框架结构和相关标准接口协议。目前，国际标准化组织和机构正在积极地研究和制定相关标准。其中最主要的方案有：光互联网论坛（OIF）提交的光UNI和光NNI协议、Internet工程任务小组（IETF）提交的通用多协议标记交换（GMPLS）和国际电联（ITU-T）提出的自动交换光网络（ASON）。

　　在我国现有的网络中，很多网元设备无法提供控制面信息处理能力，但这并不等于在现有的网络中不存在网络智能。从目前能够实现的功能来看，现有的光网络管理系统可以帮助运营商实现控制面计划要实现的绝大部分功能，即运营商可以利用智能网络管理系统作为引入网络智能的第一步，待标准成熟后再建设控制面。这种方法可将现有的网络平滑地纳入到未来智能光网络的范踌，从而既保护了现有投资，又实现了网络的平滑演进，是目前最经济有效、方便可行的方法。

2 OVPN技术

　　OVPN（Optical Virtual Private Network，光虚拟专用网）是目前运营商可采用的智能管理模式之一，它使运营商能将他们的光网络分成多块提供给多个客户，并且提供监控功能，就好像客户拥有自己的光网络一样。拥有OVPN，运营商可以提供区别于以往“平淡”带宽业务的更具灵活性和多功能的波长业务；运营商的客户将有能力控制自己租赁的光网络资源而不必自己建网。另外，OVPN提供的收入机会加上采用智能光网络带来的费用节省使当今的运营商实现盈利的时间大大缩短。OVPN所具有的共享的经济性、灵活性、可靠性、安全性和可扩展性等优势已使OVPN业务成为智能光网络最具发展潜力的增值业务，也为运营商在现有网络上提供了新的利润增长点。

　　网络运营商可将OVPN业务推广到租用其电路的大中中型客户，如银行、国家部委、公司企业、ISP、研究所、院校或者是运营商内部的其它业务部门等。

　　对于网络运营商而言，OVPN是通过现有传输网络增加收入的极佳途径，表现在以下几个方面：

　　·开拓电路出租市场业务，满足集团大客户的需求，增强市场竞争力；

　　·充分提高现有网络资源的综合利用率；

　　·更有效地进行传输资源的出租管理；

　　·通过与客户的互动（客户自己进行业务配置），可降低运营维护费用。

　　对于传统租线业务用户而言，租用OVPN业务就相当于是租用一个“可管理的子网”。通过租用OVPN业务，该用户不需要花费巨资兴建自己的物理网络，也不需要专业的网管人员去维护网络。租用OVPN可以实时地监控和管理自己的资源，可以快速开通业务、快速指配业务，可以对自己的虚拟于网享有充分、安全的管理和SLA控制权利。

　　2.1 OVPN网络结构

　　OVPN网络主要包括用户边缘设备（CE）、运营商边缘网络设备（PE）、运营商核心网络设备（P）和运营商网络策略服务器（Policy Server）。其网络结构如图1所示。

　　在网络中，用户边缘设备（CE）位于客户站点，它是直接面向用户并与运营商边缘设备相连的VPN设备；运营商边缘网络设备（PE）位于运营商网络边缘，它是一端面向运营商网络，另一端通过网络接入与一个或多个CE相连的VPN设备；运营商网络核心设备（P）负责将运营商网络中的PE设备连接起来，而不直接与CE相连；运营商网络策略服务器（Policy Server)负责集中管理和监控业务的调度及配置。智能光网络将实现光网络的自动化，使网络趋向动态化，而数据设备和光网设备之间的自动互操作与现有运营体制存在着一定矛盾，从现有技术及其未来发展的角度看，利用策略服务器集中式地管理和监控业务的调度和配置是满足网络当前业务及平滑演进需要所必须的。网络中，一个CE可以通过一条或者多条链路连接到一个或多个PE上；同样，一个PE也可以通过一条或者多条链路连接到一个或多个CE上。它们之间的每一条链路又可以由一个或多个通道或者子通道（如波长或时隙等）组成。

　　OVPN业务基于用户接口，业务基本单元是一对用户边缘设备（CZ）之间的一个光连接或者时分复用（TMD）连接（准确地说，是在 C2接口之间的连接）。若CE接口有复用/解复用能力，则一个用户接口就可连接到多个远端CE接口。同一CE接口中的多个通道共享相同的特征参数，如带宽、编码/解码方式等。不同CE接口中的通道特征参数不必相同。

　　2.2 OVPN的端口标记

　　根据IETF草案，OVPN网络中的CE和PE均被分配一个惟一的端口标记（PI）。如此，对每一个GE和PE连接的GE端口和PE端口，在OVPN内部各分配一个惟一的CPI和PPI，而不同OVPN中的CPI和PPI可以相同。这里，对于CE和PE间一条给定的链路，其两端的端口标记CPI和PPI的形式必须保持一致，并且OVPN的内部地址和运营商网络的内部地址是相互独立的。如果CE和PE之间的连接有多条通道，并且这些通道都属于同一OVPN，那么这些通道所对应的端口均被看成单一的端口。

　　网络中，每个PE为与它相关的每个OVPN维护一张端口信息表（PIT)，PIT中包含某一OVPN内部的列表。一个PE端口信息表（PIT）中的信息可从与本PE相连的CE端口相关的本地信息获得；本地信息可以通过GMPLS中多种协议的扩展形式发布到 OVPN中的其他PE上，但路由扩展标记信息只限于在本地OVPN内部传播。另外，一个PE端口信息表(PIT)中的信息还可从远端信息获得，即从本 OVPN中其他PE得到的相关信息获得。当运营商增加一个新的OVPN端口到PE光网元设备时，这个端口必须与PE上的PIT相关联，并且PIT也耍与新增的OVPN关联。

　　2.3 UNI信令

　　根据CE和PE之间的UNI信令，使用一个IP控制通道来实现GE和PE之间连接管理控制信令消息的传送。IP控制通道上的CE和PE地址叫做CE控制通道地址和PE控制通道地址。这些地址的分配由其所属的OVPN控制，且在它们所属的OVPN中是惟一的（在不同的OVPN中可以不同）。CE上属于同一OVPN的多个端口可共享相同的控制通道；同样在PE上属于同一OVPN的多个端口也可使用相同的控制通道。

　　2.4 OVPN链路建立的协商机制

　　运营商网络保证CE到CE光连接的建立是基于CNPLS信令、OIF-UNI信令和NNI信令的。图2显示了OVPN链路建立的协商机制，CE1发送的通信请求中包含用于建立光连接的本地CE端口CPI和远端CE的目标端口CPI信息。策略服务器集中管理和监控运营商网络业务的调度与配置。

　　2.5 OVPN链路管理和保护

　　（1）链路管理

　　OVPN通过其链路管理功能来为不同业务提供端到端的连接服务。OVPN的链路管理可分为连接的建立、删除、修改和查询等几种不同的操作。链路建立是指用户通过UNI建立一条端到端的连接，即LSP；连接删除是指用户删除不再需要的LSP；连接修改是指用户改变现有LSP的属性，可以在不影响现有 LSP正常运行的情况下对LSP中不适合的属性值进行修改；连接查询是指用户可获得LSP的属性值。

　　（2）链路保护

　　由于现有光网络对网络生存性的要求越来越高，因此要求控制平面应具备良好的链路保护与恢复功能。GMPLS的链路保护/恢复类型支持1+1、1∶1、N∶M方式。

　　2.6 OVPN功能特怔

　　基于OVPN技术的实现机制使得OVPN的功能具有以下特征；

　　·设备分割：网络实体如端口、链接、时隙等都可以细分给不同的终端用户。用户不用考虑彼此之间的边界，对于用户而言，OVPN是独立的私有网络。

　　·安全和访问控制：OVPN提供者可为终端用户分配用户名和密码并设置权限，这样终端用户就可以查看、修改和控制他们所租用的网络资源。

　　·客户定制：智能控制平台自动发现网络资源和服务，并实时保存记录。安全的跨运营商特性使得智能控制平台之间可以共享指定的资源和拓扑信息，从而帮助用户实现自动的端到端配置。

　　·维护和监测：终端用户经过授权可以对设备进行维护，可以监测告警信息，也可以查看历史信息（包括配置、告警、计费信息）。智能控制平台日志过滤功能使得用户只能看见与之相关的数据。运营商可以查看安全日志以及查看所有的与安全相关的会话和更改信息。

　　·电路的选路和恢复：根据OVPN的配置要求，智能控制平台基于网络资源的实际使用状况和事先定义的约束条件（例如费用、跳数、长度和时延）来确定电路选路。当一个端到端电路横跨多个运营商时，每一个运背商的智能控制平台都可以提供无缝的安全服务。系统支持的恢复方案包括无保护、网状网、优先电路等。

　　·服务级别保障：智能控制平台可以对告警进行配置。告警包括特定网元的告警、特定OVPN实体的告警以及智能控制平台自身的告警。 OVPN级告警的支持确保了只有授权的用户可以获取与特定OVPN相关的告警和事件报告。此外，智能控制平台可以实时地从网元中直接提取当前的运行数据，即使这些数据保存在跨运蕾商、跨厂商的设备中也是如此。这样，OVPN就能够提供--个完整的端到端视图，从而帮助工作人员进行故障诊断和保障服务级别。

3 OVPN应用优势

　　OVPN是一种专用的光网络，它虽然属于一个或多个运营商，但由于运营商可在控制平面上将网络资源进行划分，可将网络资源及其配置管理的权力分配给用户，因此用户可将租用的OVPN网络看作是自己的私有网络，完全拥有配置、监控和维护网络的权力。如此，无论是对于运营商，还是对于客户都有了新的机会。由此可见，OVPN技术的实现机制及其功能特征使得OVPN在应用方面具有以下优势：

　　·对于运营商而言：能在大量的客户基础上优化带宽利用率以减少操作和费用，能提供快速的点击指配OVPN的能力，能支持安全的对网络资源的划分，能在不增加新的硬件设备的情况下为运营商打开新的市场和创造新的、利润丰厚的商机。

　　·对于终端用户而言：能在用户之间快速指配合适的带宽进行连接，能提供多种保护（线性、环形和网格状）和恢复机制，能通过SLA（服务等级协约）和网络提供的报告进行性能监视，能实现安全的客户网络自己计费，在减少费用的情况下能安全地对网络进行运行、管理和维护。

　　OVPN业务提供了一个安全、可管理的环境，使得一组用户能够充分利用智能光网络的灵活性，用来支持多种应用，包括ISP边缘路由器网络、服务网络间的信息传送、运营商之间的带宽租赁业务以及为企业网存储网络。OVPN中的边缘设备可直接通过高层的应用软件创建和删除他们之间的连接，就像在IP虚拟专用网中一样。同时，网络可以在同一组的用户之间提供自动发现机制和固定的计费方式。

4 结束语

　　总而言之，新一代光网络将朝着智能化的方向发展，OVPN是新一代光网络发展模式之一，它提供了一个安全、高效、灵活、可管理的途径，可使运营商通过现有传输网络与其银行、公司企业、ISP等用户实现“双赢”，轻松获益。

　　作为电信设备供应商，上海贝尔阿尔卡特率先成功推出了最新一代智能光交叉机系统1674LG设备和功能强大的1300系列网络管理系统。使用该新一代智能光网络系列设备可以构建一个由智能核心网、多业务边缘汇聚和宽带事业务接入的端到端新一代智能化光网络。该网络能够提供强大的端到端智能管理和包括OVPN业务在内的、丰富的增值业务。