专利名称:用于虚拟专用网络服务的供应链管理的系统的制作方法
技术领域:
本申请一般涉及虚拟专用网络技术领域。更具体的说,涉及配置和/或提供所管理的虚拟专用网络(VPN)及VPN服务中涉及的结构、过程和系统。
背景技术:
随着越来越多的人依赖于电子传送数据,公司和组织也越来越依赖于连接其各用户的计算机网络。对于很多具有分布于各地的雇员、用户及战略伙伴的业务,企业的计算机网络的一体化和正在进行的管理是一个主要的和不断增加的挑战。
通常,全球商业和组织对数据网络服务具有完全不同的需求。有几种解决商业网络服务需求的办法。一种办法是通过一个广域网(WAN)互连具有专用通信连接的公司各办事处或各场所。
这种传统的构建定制专用网络的方法的一个优点是该网络通常由公司拥有和管理;网络的管理和计算资源的控制很集中。另一个优点是改善了网络针对非授权的访问的安全性。
但是,公司拥有并控制的专用网络的一个主要缺点是涉及专用网络的采购、设计、实施、运行、管理、技术维护以及设备的总成本非常高。而且,专用企业网络经常未被充分利用,因为专用资源必须设置来处理业务的峰值容量需求。
为了降低成本和增强竞争性,一些公司选择在公共因特网上配置一些商业应用,这是解决商业网络服务需求的第二个方法。换句话说,不去承受构建一个具有专用通信线路的专用网络的巨大开支,一些公司选择使用因特网来在各远程站点间进行通信。
使用因特网作为传输机构的一个优点是因特网的普遍性;对因特网的访问是世界范围的。而且还方便。但是,一个主要的缺点是因特网是一个公共的网络。数据的传输是不确定的,安全性相对较低,性能也得不到保障。电子通信容易被第三方拦截、修改和复制,会从根本上危及所有权和保密的公司内部通信。
由于安全性的缺陷及不可靠的性能带来的潜在的与商业有关的损害已经成为网络服务中的一个关键因素,因此公司经常寻求另外的因特网解决方案以获得具有高度安全性和性能保障的虚拟专用网络(VPN)服务。
实践中,目前有两种提供VPN服务的方法“在网”和“离网”。这些VPN服务一般是一种由服务供应商提供的收费服务,服务供应商与公司或企业就一项特定的VPN服务签订合同。
在在网方法中,典型的,服务供应商只在他自己的网络基础设施上提供VPN服务。在网服务的一个优点是不需要多个服务供应商间的合作,并且通常只使用标准的服务供应商的产品和服务。但是,一个主要的缺陷是单一服务供应商的网络的范围有限。一个服务供应商自己不能在所有情况下为所有站点提供服务。
当用户的需求超出了服务供应商的基础设施所能实现的时,采用离网方法,该方法利用因特网来提供基本的容易实现和容易管理的离网功能。或者,两个或多个服务供应商合作,这可能涉及到传输网络、操作系统、商务系统的整合。当然,服务供应商可以选择通过构建自己的网络扩展其范围以到达各离网站点。但这经常被证明是昂贵的。
上述的一个或多个传统的方法的问题是实施困难。需要大量的时间和协调来安排新的服务供应商合作伙伴,以及互连网络和/或技术和/或结构和/或操作系统和/或商务系统。例如,一个服务供应商必须负责协调与一个或多个第三方组织的离网网关的域支持。另外,操作和商务系统的整合使得协作可行很复杂和成本很高。而且,一旦建立,复杂的互连很难改变。
一个或多个现有方法的另一个问题是巨大的财力资源的投入。例如实施和维护一个离网计算机网络的成本是很高的。这些高额的成本加上租用线路和交换服务的长途费的高额成本。另外,管理这些网络所必需的维护职员的数目也进一步增加了管理的成本。
在上述一个或多个现有技术中另外一个问题,尤其是对那些部分或全部使用因特网的方法,是不确定的路径传输。数据通过一个公共网如因特网进行点对点的通信传输的路径可能每一个数据包都会改变,其基本上是不确定的。这不允许每用户的设计、实施和监控,基本上不能设计一项服务来满足各用户的需要。也不允许用户间存在差异,因为每一用户的状态在整个因特网内不能保持不变。
在上述一个或多个现有技术中另外一个问题,尤其是对那些部分或全部使用因特网的方法,是不可靠的网络性能。对用户使用因特网的方式很少或没有控制。这通常意味着例如一个用户对因特网的使用可能被另一用户不利地影响。
在上述一个或多个现有技术中的另外一个问题,尤其是对那些部分或全部使用因特网的方法,是低数据安全级。通过一个公共的网络如因特网传输信息的数据协议是众所周知的。因此,通过因特网进行电子通信容易被拦截。数据包会被未授权用户复制甚至修改。
在上述一个或多个现有技术中的另外一个问题是在对用户恢复服务方面的严重的延迟。例如,在离网网关和离网传输服务间的接口上会产生大量的与性能有关的故障。这些问题经证明是非常难以解决的。而且,扩充的服务供应商必须负责与离网传输供应商协调故障的解决。
在上述一个或多个现有技术中的另外一个问题是缺少对确定是否一个或多个服务供应商正提供可接受或不可接受服务的有效监控。这形成了正确计费、结算、故障查找和故障解决的瓶颈。
在上述一个或多个现有技术中的另外一个问题是缺少对用户的服务保证。故障解决-对企业客户而言一项意义重大的服务保证-经常是偶然的,没有程序,基于善意,持续时间不确定。这通常造成对要正确恢复的VPN服务的不能接受的长延时。
术语表通过以下对关于计算机与计算机通信和虚拟专用网络的依字母顺序的基本概念的介绍,将使得下面对本发明的详细描述更容易理解。
ATM(异步传输模式)是一种能够实时发送数据、语音、音频、视频和帧中继业务的网络技术。ATM传输的基本单位被称作一个信元,该信元是一个包括5字节的路由信息和48字节的净荷(数据)的信息包。
配置设施最好解释为一种安全设施,其中两个或多个服务供应商或不同的网络结构共存。
CoS(服务等级)是用来表示一个服务或所需要的服务性能质量的分类或细分的术语,服务经常是根据应用类型划分的。
CoS媒介是指执行与所支持的VPN类型有关的不同服务等级的机制间媒介的切换软件。包括具有同样的VPN类型但使用不同的服务等级值的两个网络间的服务等级变换。
EBGP(外部边界网关协议)是一种用于分配关于连接网络的路由器和网关的可用性信息的协议。
端到端服务是指由用户和供应商间的协定所提供的总的服务。端到端服务在供应链情况下可包括很多网络服务子成分。
帧中继是一种用于广域网(WAN)中的分组交换协议。帧中继通过预先确定的已知为永久性虚电路的设置路径传输可变长度的数据包。它是X.25的变型,但为了速度而取消了X.25的某些误差检测和流程控制。
IPSec(因特网协议安全性)通常指传输控制协议/因特网协议(TCP/IP)内的协议标准的安全性。TCP/IP协议控制数据消息分解为数据包,数据包从发送方路由到目标网络和目标站,在目标方将数据包重新组合成原始的数据消息。
L2TP(第2层隧道协议)是一组控制包装后的数据包的传输方法的规则或标准。在封装过程中,基于一种协议的数据包被包装或封装为基于所需的无论何种不同的协议的第二数据包,以通过一个中间网络传输。数据包传输的这种方法用于避免协议的限制。
Martini或Kompella草案是由因特网工程任务组(IETF)为了讨论控制层2的帧通过MPLS的传输的标准的可能变化而产生的一个文件。
MPLS(多协议标记交换)是一种使用多协议标记来在双方间建立链接或路由信息的通信方法。该标记的过程通常包括在一个入或出数据消息上附加与请求过程的允许等级有关的信息。
QoS(服务质量)是所需要或所期望的网络性能等级,经常以关键属性如带宽、延时、抖动、损耗等为特征。
SDH(同步数字系列)在欧洲是一个为通信载体提供标准接口以连接基于光缆的网络的高速网络。被设计为处理多种数据类型如语音、视频等。它是国际电信联盟(ITU)建议在欧洲实施的,类似于在北美和日本所采用的同步光网络(SONET)。
虚电路是通信的计算机之间的连接,它为计算机提供了一条表现为直接链路的通路,但是实际上涉及在一个定义的较长路径上的数据路由。虚电路并不是一个物理实体,它是一个逻辑实体。多个虚电路可以存在于单个物理电路上。
VPN(虚拟专用网络)可被描述为一个由永久性虚电路在另一个网络尤其是一个使用如异步传输模式(ATM)、多协议标记交换或帧中继技术的网络上形成的广域网(WAN)。也可以描述为网络(即因特网)上的一系列节点,它们以一种在消息被未授权用户的拦截方面是安全的方式进行通信,就象这些节点是由专用线路连接的。
X.25是对用于公共接入和专用计算机网络中的设备和协议进行标准化的一系列“X系列”建议中的一个,被国际电信联盟电信标准化部(ITU-T)和国际标准化组织(ISO)所采用。其通过引入三个定义而定义了一个终端和一个分组交换网络间的连接(1)终端和网络间的电气连接;(2)传输和链路接入协议;(3)网络用户间的虚电路的实现。组合在一起,这些定义规定了一个同步、全双工终端与网络的连接。
各种技术如X.25、帧中继、异步传输模式(ATM)、MPLS及因特网协议安全(IPSec)都是众所周知的VPN技术。
除了以上,下面还将给出详细的描述,并且以在一个计算机或网络设备或计算机网上执行的程序步骤的形式给出。为了完备,理解为当前发明同样适用于通常的计算机网络。这样的计算机网络例如包括一个标准的通信协议,如传输控制协议/因特网协议(TCP/IP),开放系统互连(OSI)协议,用户数据报协议(UDP),无线应用协议(WAP),和/或蓝牙无线通信协议,或任意其他的局部和/或全局网络型协议。
该程序化描述、表示或功能通常被认为是产生期望的结果的自调和的步骤序列。例如,每一步骤可包括为对能够被存储、传输、合并、比较及其他处理的磁信号形式的物理量的物理处理。
另外,这里所执行的处理,如获取、输出、提供、监控、保持,经常被认为与一个人的智力作用有关。在构成本发明的一部分的操作中,人的能力在大多数情况下不是必需的或期望的,操作是机器操作。对于执行本发明的操作有用的设备包括网络设备、通用计算机或类似这样的电气设备。
本发明还涉及一种用于执行这些操作的系统。该系统可以是特别为此目的而构建的,或者,可以包括一个通过软件程序选择性激活或重新配置的通用计算机。
发明内容
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络可以代替昂贵的点对点WAN连接和专用硬件设备。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络可以代替低安全性的因特网虚拟专用网络和/或专用网络服务。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络可以代替性能不可靠的因特网虚拟专用网络服务。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络可以代替昂贵的受控VPN服务。
本发明的一个特征和优点是提供了一种用于构建一个网络设备的系统和/或方法,该网络设备可用于虚拟专用网络中,标准化一个或多个不同的服务供应商技术间的互连。
本发明的一个特征和优点是提供了一种用于构建一个网络设备的系统和/或方法,该网络设备完成服务质量管理的功能。
本发明的一个特征和优点是提供了一种用于构建一个网络设备的系统和/或方法,该网络设备执行(不连续的)全网的被动的和主动的测量和测试。
本发明的一个特征和优点是提供了一种产生和管理服务供应商和网络运行商的端对端供应链的系统和/或方法,以提供一个期望的虚拟专用网络。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络管理不同的服务供应商的网络互连方面的转发、路由及服务质量差异。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络要求供应链的各参与者间最低程度的整合。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络可以通过减少专用网络的负载至可接受的水平而补充专用网络。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络可以以新的软件应用的形式处理用户要求的引入,而不扰乱网络的现有配置。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络允许系统集成商、服务供应商及其他实体扩展超出其自己设施的端对端的基于服务等级协议(基于SLA)的VPN。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络以每客户为基础。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络具有一个用于服务提供的闭环控制系统。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络使用一个同意和获取每一用户的服务需求的方法。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络使用一种受控路由器/网关方法。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络易于扩缩。
本发明的一个特征和优点是提供了一种用于构建一个虚拟专用网络的系统和/或方法,该网络使得单点能负责网络的提供和性能。
本发明用于解决一个或多个现有技术方法中的问题,提供了上述及其它特征和优点,这是通过提供一个用于构建一个虚拟专用网络的系统和/或方法,使得能够减少在生成和提供受控虚拟专用网络和VPN服务时的协调、时间和花费来实现的。
服务的提供是在每一网络和/或每一用户的基础上,并且以每一站点或服务等级或应用的粒度运行,通过与协定/期望的性能指标、阈值等相比较来监控实际的性能。网络性能要求的部分或全部可以包括在合同或服务等级协议(SLA)中。如果需要,这些性能指标可表明等级的遵从和立即或长期的补救或预防行为的必要性。
本发明的系统使得用户的网络需求的周期性再评估和提供的供应链网络方案的再优化成为可能。还允许实际用户网络连接和以供应链网络配置方案设计为形式的性能要求的详细的和正确的变换。软件和程序形式的供应链管理模块便于网络供应链方案的设计、实施和确保。
一个包含本发明的虚拟专用网络的结构的优选实施例是通过使用基于分组的数据产生的,该数据最好但不必须通过一个对等点来传输。或者也可以采用非分组数据技术如第2层技术(即帧中继和ATM)或时分复用技术。
一个或多个对等点彼此间通过一种期望的配置连接,如串配置,这里,例如串的一端连接至公司总部办公室,另一端连接至远端卫星局。串的配置,从一个或多个端点延伸至一个或多个其他端点,构成一条端对端的供应链。这里术语供应链通常是指包括一个或多个服务供应商的供应商和网络对等点的一条链的物理实现或配置。
因此,本发明的第一方面披露了一个对等点。每一对等点可称为一个虚拟专用网络对等点(NPP),包括部分配置为VPN服务性能监控设备的网络硬件和/或软件。每一对等点或NPP最好采用多协议标记交换(MPLS)和以太网技术,其允许根据相似或不相似的VPN传输技术进行通信。该NPP是本发明的虚拟专用网络的供应链的基础构建块。
在本发明的最优模式中,每一NPP与一个或多个服务供应商相连,实质上提供多边服务供应商间的互连。一种互连服务包括提供对等点间的互连。为了便于两个或多个对等点间的连接,使用了转接网关。另一种互连服务包括提供用户站和对等点间的互连。这里,使用了分配网关。
还披露了一种在通信网中提供标准化互连的网络设备。该网络设备包括一个或多个通过网络确定性地传输数据的路由器;提供该网络设备与至少一个专用或公共网络连接的一个或多个以太网交换机;提供该网络设置与不兼容网络设备连接的一个或多个服务创建设备;以及提供网络设备的软件和硬件组件间的通信的一个操作系统平台。
还披露了一个可以用在虚拟专用网络中的网络设备。该网络设备包括一对通过网络传输数据的路由器;一对提供网络设备与VPN连接的以太网交换机;一个在网络设备中引导数据转发、路由传输、服务质量功能中的至少一个的服务创建设备;及提供网络设备的软件和硬件组件间通信的操作指令。
还提供了在一种用于提供管理的网络服务的端对端结构中作为一种互连的对等点的网络设备。该网络设备包括一对通过网络传输数据的路由器;一对提供网络设备的互连的以太网交换机;用于在网络设备中执行服务质量分类和重标记功能的可编程设备;启动网络设备的软件和硬件组件间的通信的操作系统。
还提供了一个网络设备,通过一个或多个服务供应商提供一种实质上单一的与通信网络互连方法。该网络设备包括至少一个路由器;至少一个用于提供与通信网的连接的交换机;一个提供网络设备和一个不兼容设备间的服务质量变换、聚集、解聚集及性能测试功能中的至少一种的设备;及一个有助于在网络设备的软件和硬件组件间进行通信的操作系统。
认识到以下一点是很重要的对于可用于每一对等点或包括涉及一个或多个服务供应商的单个虚拟专用网络的NPP的传输技术的选择是没有限制的。例如,在NPP的一侧使用帧中继,另一侧使用ATM可能是一种VPN传输的组合。任意入和出VPN的传输技术的组合都是可行的。
非常值得注意的另一点是NPP内或NPP外的路由分配、转发及协议网关功能的实质上的分离。这大大增加了本发明的可扩缩性。如上所述,该协议网关与NPP分离以成为服务供应商(SP)网关。这种安排使得服务供应商能够管理该网关和他们的SLA,从而便于大大减少NPP的成本,及对供应链中提供的网络服务/功能进行有效的划分。
关于转发,根据本发明的一个优选实施例,每一NPP被用于在所有的时间确定性的转发用户业务。一个确定性的传输设备意味着一个通过供应链的VPN业务的路径可以被精确配置;也就是说,用户业务可通过一个或多个对等点路由,通过一个特定的路径传输。同样,本发明提供了对用户的VPN业务实际上遍历特定的合约受限的一组服务供应商的确保。该特征对于性能监控和供应链的闭环控制是很重要的。为了设计达到期望的性能目标水平,或校正低于这样的水平的性能,必须识别及测量用户路径或路由业务的性能。
可选的,为了增加虚拟专用网络中的转发路径的可用性,在每一NPP配置了两个以太网交换机,以实现物理转发路径的冗余。在这种配置的一个优选实施例中,为了增加网络的可用性及提供冗余,服务供应商最好与两个(或2的倍数个)NPP对等或互连。
这种配置使得可进行双服务供应商引导,以允许用户业务在一对或多对NPP流出或流入服务供应商。在这种结构中,NPP对分别被称为北NPP和南NPP。每一北NPP和南NPP具有一个由供应链中的参与者所承载的连接,如与另一对NPP或用户网关的连接,分别被称为北和南连接。在任意时间对使用哪一个NPP来转发用户业务和传输用户路由信息的选择最好取决于服务供应商的路由协议。
每一NPP的结构还允许对服务供应商MPLS标记交换路径(LSP)的保护,这导致在基本业务路径发生故障时一条备用NPP到NPP路径被选择。备份路径的选择是动态的,并由一个NPP执行。除了NPP对间独立的北和南连接外,这种LSP保护是可选的。
关于路径选择,每一NPP可被配置成支持多种互连服务供应商的路由传输方法。例如,一种NPP支持的路由传输方法是MPLS虚拟路由器互连,其中一个或多个VPN通过每VPN一个逻辑接口使用因特网协议(IP)进行互连。另一方法可以使用多段、多协议外部边界网关协议(EBGP),其中参与的服务供应商使用传输层2(L2)VPN传输机制。
第三个及更好的路由传输选择可以使用供应商边沿自主系统边界路由器(PEASBR),其中VPN路由信息被传送至一个多协议EBGP设备或路由器(或多个冗余设备或路由器)。
另外,这些设备或路由器最好居中位于可能称作路由节点的位置。多个路由器包括该路由节点,其中用户路由信息被接待并被选择性的传送至提供虚拟专用网络。最好,每个服务供应商专用两个路由器以进行多协议EBGP路由分配。可以专用更多的路由器。这些路由器最好在两个地理分布及安全操作中心间隔开。
而且,为所有的用户路由产生镜像的、独立的路由传输路径可能增加路由传输的可用性。最重要的是,在供应链中事实上不存在单点故障。
如上所述,虚拟专用网络中路由和转发的分离实质上允许低造价的NPP及减少供应商在连接NPP方面的花费,及获得供应链扩缩益处。
根据本发明的第二方面,披露了一种可用于虚拟专用网络(VPN)中的网络节点。该网络节点简化了一个或多个服务供应商与通信网间的连接。该网络节点包括一个网络设备,用来提供在通信网中的标准化的连接,该网络设备实际上具有一对与网络设备进行物理通信的网关;多个路由传输系统,该系统接纳用户业务;一个管理网络,与网络设备和路由传输系统相连,用于操作网络设备。
在一个实施例中,VPN节点包括一个NPP,一个通信或管理网络和一个包括一个或多个路由器的路由传输系统。该通信网连接并用于管理该NPP。该路由传输系统实际上与通信网相连,具有管理和控制路由传输的功能。根据一个优选实施例,一个或多个VPN节点可包括一个虚拟专用网络。该优选实施例可被看作一个包括一个或多个通过一个或多个NPP互连的服务供应商的供应链,该NPP包括至少一个网络节点。
根据本发明的第三方面,披露了一个提供实际上可测量的网络设备的提供系统。该系统获取一个或多个用户的网络服务需求;输出一个或多个实质上遵从该用户的网络服务需求的设计方案;准备实施一个设计方案,该方案是可修改的,并包括至少一个网络设备和网络服务;监控该设计方案在提供性能和使用中的至少一个方面的变化,该监控与设计方案协定相联系;保持关于设计方案的性能度量数据,该性能度量数据可作为反馈数据以确定可接受或不可接受服务的提供,并可用来按需要修改设计方案。
根据本发明的第四方面,披露了一个提供受控网络服务的需求规划系统。该系统包括一个网络基础设施,该网络基础设施包括一个或多个能够与一个或多个服务供应商连接的网络设备;一个管理模块,包括一套应用和硬件,用于管理多项功能,这些功能负责实际上可测量的网络服务的提供;一个通信网,用于连接网络基础设施和管理模块。
还披露了网络需求规划系统形式的规划系统。该需求规划系统包括一个网络基础设施,该基础设施可能包括一个或多个与一个或多个服务供应商连接的网络设备。每一网络设备最好构造为一个NPP。
该规划系统还包括一个管理模块,该管理模块包括一套用于管理负责网络服务的提供的多项功能的应用和/或硬件,这些功能如评估、设计、实施及确保。从特定应用得到的判决支持信息如评估、设计、实施及确保等可作为一项服务提供给用户。该规划系统的最后的部分是一个连接网络基础设施和管理模块的通信网。
最好,网络需求规划系统根据服务等级协议(SLA)规划受控VPN服务的提供,这样用户将具有但不限于对所接收到的端对端虚拟专用网络服务的单点责任和所有权。这样,本发明的系统对服务供应商间基于协议的VPN服务而言是一个高度可扩缩、低造价、安全的解决方案,需要参与者间很低级的系统整合。而且,为了使得系统中基于SLA的VPN服务的整合能够恒定的保持和被监控,建议所有的NPP都以如下所述实质上相同的方式进行设计和构造。
根据本发明的第五方面,披露了一个供应链管理模块。该模块包括一个集成数据管理系统,一个建模工具引擎,一个网络转换程序引擎,和一个工作流程引擎。
最好是该集成数据管理系统包括一个通用逻辑结构,其中包含了涉及供应链的产生和运行的所有数据形式。该逻辑结构存储、处理及累积来自建模工具引擎和网络转换程序引擎的信息。
建模工具引擎包括一个或多个用于辅助期望的建模功能的开发的应用。例如,该建模工具引擎用于变换一个或多个网络设计需求给能够满足设计要求的一个或多个可能的网络供应商。
一种这样的应用是一个进行供应商可行性确定的供应商资格模块。另一个这样的应用是一个有助于协议准备的供应方合同协定模块。
供应链管理模块的第三部分是网络转换程序引擎,该引擎包括评估、设计、实施及确保模块。
简而言之,评估模块用于提供网络需求的初始评估,包括对所有权的总投入和/或为其VPN服务采用供应链方案的用户投资回报的财政估算。
设计模块执行以下功能获取用户的需求包括,如站点、业务矩阵及应用性能需求;响应于包含用户对VPN服务的需求的请求,建模或形成一个或多个选择方案;输出该选择方案;响应于包含用户对VPN服务的要求的请求,形成一个或多个价格报表;并输出该报表。
实施模块执行以下功能通常响应于包含用户对VPN服务的需求的请求,根据选择的方案产生一个或多个工作订单;发送每一工作订单至一个或各个服务供应商,他们提供VPN服务的子成分和/或配置每一NPP;形成一个满足用户要求的VPN方案;测试该VPN方案;如果接受,确保该VPN方案设计。
确保模块执行以下功能以这样一种方式监控VPN服务的实质上连续的服务性能,以反映用户的VPN服务体验;产生服务性能的统计信息;基本上以实时的方式输出一个或多个服务监控报告和/或指示故障情况的警告,和/或服务协议的违背,和/或故障情况或协议违背的优先情况。该服务监控报告最好包括性能统计和其他关于趋势分析、容量规划、计费、服务问题、故障解决、延迟、服务可用性等的网络服务信息。
最后,还披露了一种提供基于性能的网络服务的系统。该系统包括一个系统访问入口;一个建模一个或多个网络设计的建模工具引擎;一个网络转换程序引擎,与建模工具引擎进行通信,以提供网络设计的网络支持;一个逻辑结构,用于存储和累积从建模工具引擎和网络信息转换程序引擎获得的涉及网络设计的产生的信息;一个工作流程引擎,用于管理建模工具引擎、网络转换程序引擎和逻辑结构的处理,以便于网络设计的实施。
这里只是概要的而不是广泛的描述了本发明的重要特征,是为了使得下面的详细描述可以被更好的理解,以及本发明的贡献可以被更好的评价。本发明的其他特征将在下面进行描述。
这里,在详细的描述本发明的至少一个实施例或方面之前,应该理解本发明在应用方面并不局限于以下的描述或附图所示出的结构细节和部件的配置。
本发明有其他的实施例,能够以各种方式被实施和完成。例如,一种落入权利要求的范围内的实施例可以被描述为一种获取VPN服务的方法。该方法部分包括以下步骤获取用户需求,根据用户的需求形成一个或多个方案,根据所选择的方案形成一个或多个价格报表。
在另一实施例中,VPN不限制站点的数量或站点间互连的性质;换句话说,本发明并不限于点对点的连接。可以是任意连接的组合,如点对多点或全网孔。
本发明也不限制这里所描述的用于包含供应链的对等点或服务供应商的数量。对等点和/或服务供应商的数量例如可以达到几百。
而且,应该理解这里所采用的措辞和术语是为了描述的需要,不应被认为是对本发明的限制。本领域技术人员应该理解根据本文所披露的内容,这些概念很容易被作为基础用来设计其他的实现本发明及其几个方面的几项目的的结构或设施,方法和/或系统。因此,认为权利要求包括不背离本发明的精神和范围的这样的等价的构造和/或结构是很重要的。
本发明以上的特征和/或优点及本发明的其他方面,还有本发明所表现出的各种新颖的特征,在所附并作为公开内容的一部分的权利要求中被提出。
图1是根据本发明的一个优选实施例中的一个网络对等点的结构框图。
图2的框图示出了作为本发明的虚拟专用网络的一个结构组件的VPN节点的一种配置的一个优选实施例。
图3A,3B和3C的框图示出了可用于本发明的网络设备中的各种传输技术的组合。
图4的框图示出了根据本发明的一个实施例,使用图2所示的网络节点配置的虚拟专用网络。
图5是表示使用另一网络节点配置的虚拟专用网络的框图。
图6是表示本发明的封装层或转发路径模型的一个实施例的方框图。
图7是表示通过本发明的一个VPN结构配置的路由传输及数据转发路径的流程图。
图8A,8B和8C示出了根据本发明的转发用户业务的各种方法。
图9是表示根据本发明的一个优选实施例的NPP配置的更详细表示的框图。
图10是根据本发明的闭环服务提供系统的流程图。
图11是表示根据本发明的一个优选实施例的需求规划系统的框图。
图12是表示图11中的网络转换程序的评估模块的一个实施例框图。
图13是表示图11中的网络转换程序的设计模块的一个实施例的框图。
图14是表示图11中的网络转换程序的实施模块的一个实施例的框图。
图15是表示图11中的网络转换程序的确保模块的一个实施例的框图。
图16是表示本发明的服务监控框架的一个优选实施例的框图。
具体实施例方式
本发明涉及一种网络最好是供应链形式的虚拟专用网络(VPN)及VPN服务的网络构造、配置和管理。供应链通常是指互相连接在一起的一个或多个网络设备和一个或多个服务供应商的一种配置。VPN的结构允许有各种应用。
为方便起见,本发明的描述将结合数据环境,尤其是基于分组数据的数据环境进行解释。可选的,也可以应用基于非分组数据的方法,如时分复用。
根据本发明,使用网关来连接用户的网络环境和本发明的VPN配置。很普遍的用户网络环境是因特网协议(IP)网关或路由器。
在本发明的一种最优模式中,每一NPN与一个或多个服务供应商连接,基本上提供多边服务供应商进行互连。一种类型的互连服务包括提供对等点间的互连。为了便于两个或多个对等点间的连接,使用转接网关。
在一个优选实施例中,每一转接网关最好使用快速以太网或吉比特以太网技术或更高速的以太网连接线路与一个对等点或NPP连接。转接网关是一种最好由一个服务供应商所拥有和/或管理的网络设备,具有一个NPP侧和一个传输侧。
转接网关的NPP侧实质上直接与NPP相连。每一转接或服务供应商网关通过NPP侧的以太网运行因特网协议。转接网关的传输侧能够连接一个或多个通常位于另一NPP的转接网关。
这样,在传输侧,该转接网关可通过各种不同的VPN传输技术如MPLS、帧中继、ATM、SDH等来运行因特网协议。
另一种类型的互连服务包括提供用户站和对等点间的互连。这里,使用分布式网关。
在一个优选实施例中,每一分配网关最好采用快速以太网或吉比特以太网技术或者更快速的以太网连接与一个对等点连接。
每一分配网关采用快速以太网或吉比特以太网技术连接至NPP。该分配网关,是一种最好由一个服务供应商拥有和/或管理的网络设备,其具有一个NPP侧和一个传输侧。
该分配网关的NPP侧实质上直接与NPP相连。每一分布或服务供应商网关通过NPP侧的以太网通过MPLS运行因特网协议。分配网关的传输侧能够连接至一个用户网关,该用户网关通常位于用户站中的用户网络设备。
这样,在传输侧,该分配网关可通过各种不同的VPN传输技术如MPLS、帧中继、ATM、SDH等来运行因特网协议。每一NPP最好通过一个管理网络连接至两个或多个路由器,他们都与实施系统协作来管理和安全的控制贯穿供应链的用户路由传输。
现在参考图1,图中示出了一个网络对等点2的配置的一个优选实施例。每一对等点2可称为一个网络对等点(NPP)2。每一NPP最好具有一个左架和一个右架。每一NPP包括网络硬件和/或包括操作指令的软件。最好是,每一NPP包括冗余的右边组件和左边组件。
网络硬件和/或软件最好包括两个以太网NPP交换机4,一个操作系统平台6,如一个OSS平台,一个或多个路由器8,局部存储器(未示出),及服务创建设备10。服务创建设备10启动NPP2部分地作为一种VPN服务性能监视设备,并用于连接的服务供应商间的服务质量管理。
而且,每一NPP2最好使用多协议标记交换(MPLS)和以太网技术,这些技术使得NPP 2能够在NPP2每一侧与相似或不同的VPN传输技术进行通信。与不同的VPN技术进行通信是通过组合例如服务供应商的网关并规范化为MPLS而实现的。该NPP 2是本发明的虚拟专用网络中的基础构造块。该NPP2还是本发明的供应链及虚拟专用网络提供的基本组成部分。
参考图2,图中示出了作为本发明的网络最好是虚拟专用网络的结构成分的网络节点的一种配置的优选实施例。网络的基本组成部分或VPN节点包括一个NPP 2,一个通信或管理网络22,及一个或多个路由节点24,60。
如图所示,NPP 2最好在其每一侧具有两个路由器或网关12。或者,NPP也可具有两个或多个路由器。
网关12可采用分配网关或转接网关,这取决于特性、地理覆盖及服务供应商在供应链中的作用。分配服务供应商提供本地化或全国性覆盖,并通过一个分配网关被连接至NPP 2。而且,分配服务供应商提供用户网关20和NPP 2间的受控IP服务连接。
另一方面,转接服务供应商提供在NPP 2间的层2互连。每一NPP 2可能与一个或多个分配服务供应商连接。每一NPP 2可能与零或更多个转接服务供应商连接。
再参考图2,NPP 2和一个或多个网关12可以位于一个配置设施14内,该配置设施14最好是安全的。换句话说,每一NPP 2位于一个配置设施14内,其中一个或多个分配和/或转接服务供应商通过它们的设备与NPP 2连接;即,服务供应商网关可以是转接网关或者分配网关12。
每一分配和/或转接网关12被配置并采用快速以太网或吉比特以太网技术连接至NPP 2。网关12可以包括一个交换机,一个路由器,一个宽带接入服务器等,这取决于服务供应商希望什么传输技术。在一个优选实施例中,单个的网关12即满足了与NPP 2互连的要求。为了进一步分离和划分服务供应商和NPP 2,使用两个或多个网关设备来执行与NPP 2的互连技术上是可行的。但是,可能是不必要的复杂和昂贵的。
分配网关12,最好是一种由服务供应商所拥有和/或管理的网络硬件,具有可能被称作一个NPP侧16和一个传输侧18。网关12的NPP侧16实际上直接与NPP 2连接。每一网关12最好在NPP侧16通过MPLS和以太网运行因特网协议。
在传输侧18,网关12能通过任意的服务供应商所希望选择的技术来运行因特网协议。技术的选择可以包括但不限于帧中继、异步传输模式(ATM),SDH,MPLS和IPsec。因此,传输侧18非常灵活;如果是一个转接网关,则能够与另一网关12连接,这表明与另一对等点或NPP 2的连接性,或者如果是一个分配网关,该网关通常位于用户处,但由分配服务供应商拥有和操作,则能够与用户网关20连接。
管理网络硬件和/或软件22实际与每一NPP直接连接,以便于操作NPP 2,如带内管理、路由传输、性能统计、配置等。假定本发明的供应链网络结构是可靠和冗余的,则实质上所有与一个或多个NPP 2的连接都是带内的,基本上不需要大范围的和昂贵的全球管理网络。
另外,本发明采用一个路由传输系统,如所描述的一个或多个路由节点24,60,该系统管理并安全的控制用户的路由传输和分配。路由节点24,60的运行实质上与管理网络22相联系。
很必要重申一点本发明的网络设备或对等点在其实施和/或配置中不限于任何一种特定的传输技术。该网络设备还是供应方不可知时提供支持及与设备标准的一致,其功能以兼容设计的方式被支持。对于传输技术和可被用来通过一个或多个服务供应商连接本发明的NPP的网络设备供应商的选择没有限制。
例如,如图3A所示,在配置设施14或NPP 2一侧使用帧中继,在配置设施14另一侧使用ATM,这对于VPN传输是一种可以接受的组合。或者,如图3B所示,对于VPN传输可以在NPP 2的两侧均使用帧中继。
或者,如图3C所示,可采用传输技术的组合如帧中继和MPLS来连接一个用户网关20至另一网关。任意传入和传出传输技术的组合在本发明的NPP 2或配置设施14之间都是可行的传输方法。另外对于涉及以任意点对点方式与供应链VPN连接的转接服务供应商的数量也没有限制。
本发明的虚拟专用网络的一个优选实施例使用图2的网络节点,这有助于如图4所示的提供基于服务等级协议的VPN服务的服务供应商的互连。
如图所示,两个配置设施40,42,均包含自己的NPP 44,46,并通过位于两个远程用户站48,50之间的多个服务供应商SP1,SP2,SP3连接在一起。下面将进行更详细的描述。
每一用户站48,50通常包括网络设备,该网络设备在用户端包括用户网关20。为了从站48到站50提供VPN服务,该VPN结构被配置为包括多个位于每一用户站48,50之间和每一配置设施40,42之间的服务供应商。
更具体的,用户站48通过涉及SP1、配置设施40、SP2、配置设施42及SP3的VPN连接与站50通信。每一配置设施40,42分别包含有两对网关52,54,及56,58。网关52,54,56,58可由一个服务供应商或多个服务供应商所拥有和/或操作。网关52,54位于配置设施40内的NPP 44的任一侧,网关56,58位于配置设施42内的NPP 46的任一侧。
最好,网关52和58实际上与路由节点24,60直接通信,且均为分配网关,这样称呼是因为它们由各分配服务供应商所管理和/或操作。而且,连接两个配置设施40,42的网关56和58是转接网关,这样称呼是因为它们由转接服务供应商所管理和/或操作。
如图4所示,分配网关52在传输侧提供有一个或多个面向服务供应商SP1的传输接口,并在NPP侧提供面向NPP 44的虚拟局域网(VLAN)以太网接口。网关52的主要特性是进行协议转换,转发并进行路由传输。最好网关52使用BGP路由传输。
类似于NPP 46,NPP 44最好由一个NPP运营商所拥有和/或操作,并包括例如用于连接网关52,54的以太网交换机4(图1)。NPP交换机4用于在配置设施40和42间建立连接路径。
NPP以太网交换机4的主要特性是进行转发、封装及MPLS业务工程。这些交换机适当的提供一个或多个至网关52,54的以太网传输接口,并变换VLAN及其他虚拟路径方法至MPLS标记交换路径(LSP)。很多层2 VPN传输方法如ATM或帧中继都可被服务供应商SP1,SP2,SP3所采用,在虚拟专用网络中用于部分路径的转发。这些服务供应商的连接看上去就象对NPP交换机4的逻辑点对点电路。
转接网关54,类似于网关56,可能由服务供应商SP2所拥有和/或操作。网关54(及网关56)的主要特性是进行协议转换和转发。最好,转接网关54,56不执行路由传输。转接网关54在传输侧提供一个或多个至服务供应商SP2的传输接口,在NPP侧提供至NPP 44的VLAN以太网接口。
与上面类似的描述也适用于配置设施42,除了网关54,56可能由服务供应商SP2所拥有和/或操作外。
路由节点24,60实际上在配置设施40,42处与分配网关52,58持续通信。而且,路由节点24,60作为双冗余边界路由器组,其中的至少一个路由器连接是专用的并与每一服务供应商网关协同操作,并支持传统技术的路由传输。
现在参考图5,其中示出了根据本发明的另一实施例的采用一个替换的网络节点结构的虚拟专用网络。在该实施例中,该网络节点结构中示出每一配置设施40A,40B,42A,42B包含三个网关,这区别于图4中的包含两个网关。这种结构表明了本发明所体现出的多形式的二元性。在每一NPP内,还包括冗余的以太网交换机以进一步增强网络的可用性和冗余性。
如图所示,四个配置设施40A,40B,42A,42B的每一个均分别包含自己的NPP 44A,44B,46A,46B,四个配置设施通过两个远程用户站48,55间的多个服务供应商SP1,SP3,SP4连接在一起。通常,对于供应链VPN中的对等点和/或分配服务供应商和/或转接服务供应商的数目没有限制。对于可与每一对等点连接的服务供应商的数目也没有限制。下面将进行更详细的描述。
每一用户站48,55通常包括网络设备,该网络设备在用户侧包括用户网关20。例如为了从站48向站55提供VPN服务,VPN结构被配置为在每一用户站48,55间和每一配置设施40A,40B,42A,42B间具有多个服务供应商。这些服务供应商和NPP 44A,44B,46A,46B构成了一个供应链。
更具体的,用户站48与55通过包含SP1、配置设施40A、40B、SP3、配置设施42A、42B和SP4的VPN连接进行通信。在配置设施40A内,具有两个分配网关52A,52C。服务供应商SP1被连接至分配网关52A,该网关提供与北路径的连接。可以看出分配网关52C在当前实施例中没有使用,虽然它可能为服务供应商SP2提供双引导。
在配置设施40B内,也有两个分配网关52B,52D。服务供应商SP1与分配网关52B连接,该网关提供与南路径的连接。可以看出分配网关52D被没有参与所示的VPN连接的服务供应商SP2所采用。
另外,在配置设施42A内,具有两个分配网关58A,58C。服务供应商SP4被连接至分配网关58A,该网关提供与北路径的连接。可以看出提供网58C在当前实施例中没有使用,虽然它可能为服务供应商SP5提供双引导。
最后,在配置设施42B内,示出了两个分配网关58B,58D。服务供应商SP5与分配网关58B连接,该网关提供与南路径的连接。分配网关58D被没有参与所示的VPN连接的服务供应商SP5所采用。
网关52A,52B,52C,52D,54A,54B,56A,56B,58A,58B,58C,58D最好由合适的提供和/或转接服务供应商所拥有和/或操作。网关52A,54A和52B,54B分别位于配置设施40A,40B内的NPP 44A,44B的任一侧。网关56A,58A和56B,58B分别位于配置设施42A,42B内的NPP 46A,46B的任一侧。
这种配置在用户站48和通过NPP 44A,44B的供应链间提供了冗余的北/南连接。用户站48通过SP1被连接至分别位于两个地理隔开的配置设施40A,40B内的一个北部NPP 44A和一个南部NPP 44B。
关于路由传输,服务供应商SP1的路由分配协议动态的确定从站48流向站55的用户数据包。类似的,SP4的路由分配协议实质上确定了从站55流向站48的用户数据包使用的连接。
最好,网关52A,52B,58A,58B实质上分别直接与路由节点24,60和分配网关直接通信。而且,网关54A,54B,56A,56B是转接网关。
如图5所示,分配网关52A,52B在传输侧具有一个或多个面向服务供应商SP1的传输接口,在NPP侧具有面向NPP 44A,44B的虚拟局域网(VLAN)以太网接口。网关52A,52B的主要特性是进行协议转换、转发和路由传输。最好,网关52A,52B采用BGP路由传输。
类似于NPP 46A,46B,NPP 44A,44B最好由一个NPP运营商所拥有和/或操作,并包括例如分别用于互连网关52A、54A和52B、54B的以太网交换机4(图1)。NPP交换机4用于在配置设施40A,40B,42A,42B之间和穿过参与的服务供应商如SP2建立连接路径。
重申一下,上述结构证明了本发明的多网络冗余。作为供应链的一部分,在转接网关54A,56A间有一条北路径,在转接网关54B和56B间有一条南路径。通常,用户业务通过这两条连接可以共享负载。当任意一条路径发生了故障时,实际上所有用户业务会迅速切换至另一可用路径。
值得注意是在NPP间越过层2技术应用动态层3路由协议。这样的应用不为供应链执行路由分配功能,因为这是由路由节点24,60所处理的。替而代之的是,这样的应用实际上用来检测网络连接中的任意故障。
为了额外的网络可靠性,另一种选择是采用MPLS标记交换路径(LSP)保护,其中,例如服务供应商SP3提供初级和次级(备份)连接。这些连接由转接网关54A,56A和/或54B,56B提供给NPP以太网交换机作为两个不同的接口。该NPP以太网交换机可然后在所需的两个连接间执行切换。
如前所述,NPP以太网交换机4的主要特性是进行转发、封装、和MPLS业务工程。这些交换机提供一个或多个至网关52A,52B,54A,54B的适当的以太网传输接口,并变换VLAN和其他虚拟路径方法至MPLS标记交换路径(LSP)。多种层2 VPN传输方法,如ATM或帧中继可被服务供应商SP1,SP2,SP3,SP4,SP5用来在虚拟专用网络中进行部分路径转发。这些服务供应商连接看上去就象至NPP交换机4的逻辑点对点电路。
类似于网关56A,56B,转接网关54A,54B可能由服务供应商SP3所拥有和/或操作。网关54A,54B(和网关56A,56B)的主要特性是进行协议转换和转发。最好,转接网关不执行路由传输。转接网关54A,54B在传输侧提供一个或多个至服务供应商SP3的传输接口,在NPP侧提供至NPP 44A,44B的VLAN以太网接口。
与上面类似的解释也适用于配置设施42A,42B。
实际上,路由节点24,60在它们各种所支持的配置设施40A,40B,42A,42B中保持与分配网关52A,52B,58A,58B的持续通信。为了冗余性的增加供应链中的路由传输的可用性,如图所示,路由节点24,60都分别随分配网关52A,52B,58A,58B运行。每一路由节点24,60包含一个冗余的边界路由器组,其中每一路由节点24,60中的至少一个路由器专用于每一服务供应商,并支持传统技术的路由传输。
NPP 44A,44B,46A,46B间的VPN传输采用对网络结构进行分层的方法来实现,该方法使得系统中的功能隔离,并使得标准规则(协议)被分配以控制其操作。这种模块化设计使得每一层相对自包容,这样当每一硬件和软件成分的功能由一个协议层来清楚的定义时,网络的改变和问题的孤立变得更加简单。
例如,图6示出了分配网关52,58(图4的)间的封装和变换的结构化或分层方法的一个优选实施例。在通过53的每一封装层43,图6例示了一个转发路径模型,该模型允许SP2提供NPP 44和NPP 46间的NPP间传输。在每一封装层,可能以n对1的复用率进行复用,或者包括1对1的变换。
最好,在层43,SP2分别通过转接网关54,56在对等点44,46提供层2传输。该层2传输可用于如在层45“承载”多个交换机间虚拟局域网(VLAN)通道。该交换机间VLAN通道是一个在对等点44,46间建立的虚拟局域网(VLAN)切换所承载的例如Martini通道。“n”个VLAN可被复用为一条对等点44和46间的层2路径。
在一个实施例中,IETF Martini或Kompella草案用来在NPP 44和46间使用外在的路径业务引擎,如图所示的层47产生一个多协议标记交换(MPLS)标记交换路径(LSP)虚电路(VC)通道。该结构提供了供应链内的NPP 44和46间的用户业务所需的确定性转发路径。最好,使用这种方法的确定性转发通过一条不受限制的NPP线路被调用。该MPLS LSP VC通道可被用来“承载”多个MPLS LSP虚电路。而且,任意数量的MPLS LSP虚电路可间接复用为一个交换机间VLAN。
IEFF Martini草案具有更高级的封装,能够识别由Martini通道承载的分配网关52,58间的虚电路。这里,VLAN如在层49被一对一的变换至虚电路(VC)LSP。
最好,VLAN被用于分配网关52,58间“承载”的每一VPN。该VLAN包括网关间VLAN,如在层51所示的。在一个或多个VPN和交换网关VLAN间存在一对一的关系。
最后,在层53,用户业务在分配网关52,58处通过多协议标记交换(MPLS)VPN v4标记被封装。每一MPLS VPN V4标记从而每一VPN(或VPN的一部分)被变换至网关52和58间的虚拟局域网(VLAN)。因此,来自一个或多个用户站的因特网协议(IP)业务在分配网关52和58处被变换至MPLS VPN v4标记以识别正确的VPN。
很重要的重申一点,根据图6,很多VPN可被复用为一个网关间VLAN,从而使得一个VLAN能够“承载”该VLAN中的SP1和SP3间的多个虚拟专用网络。
最好,一个VLAN以一对一的比率变换为一个虚电路LSP。但是,很多虚电路LSP可被变换至一个虚电路通道,很多的虚电路通道可被变换为一个交换机间VLAN,从而使得例如转接服务供应商SP2能够承载一个VLAN中的很多分配服务供应商间的很多VLAN。这种结构为服务供应商SP2产生了一种可操作升级的转发方法,其中很多VPN可在一个VLAN内为很多服务供应商在确定性的业务管理VC通道内被全部承载。如上所述,当多个转接服务供应商在供应链中是跳跃的,层47,49,51,53的通道可端对端的在分配网关52,58间保持。
而且,用户站如站48和50间的VPN传输,是参与供应链的每一服务供应商SP1,SP2,SP3的选择。该SP网关,如网关52,54在所选择的SP1和SP2和以太网NPP 44内部传输的传输技术间执行协议网关功能。
例如,服务供应商SP1在用户站48和对等点44间使用的VPN传输技术是服务供应商SP1的选择。类似的,用户站50和对等点46间的传输技术是服务供应商SP3的选择。分配网关52,58提供在服务供应商SP1和SP3所选择的VPN技术和MPLS的NPP间传输技术间提供协议转换。
而且,如果一个(转接)服务供应商想采用MPLS作为转接网关54和56间的传输技术,其他级的变换和封装是可能的。转接网关中的一个MPLS LSP可被用来为任意两个NPP间的连接提供L2传输,每一连接间接的为多个VPN“承载”业务。这种结构为(转接)服务供应商增加了升级的等级和操作的简单性。
分配网关52和58间的路由传输分别由路由节点24和60启动。路由传输的执行部分采用传统的技术和所有权路由传输管理配置(由发明者开发),这使得服务供应商只接收所需要的路由信息。在一个实施例中,每一路由节点24,60最好为每一服务供应商配置至少一个边界路由器。
用于互连服务供应商的各种路由传输技术都可用在本发明的虚拟专用网络中。由于组合了静态MPLS标记和IP地址变换结构,本发明的网络结构可以支持如三种服务供应商间路由分配技术。
例如,一种传输技术采用MPLS虚拟路由器互连,如VPN路由分配和向VRF转发(VRF),其中两个或多个虚拟专用网络通过一个逻辑接口采用因特网协议连接在一起。这种技术通常适用于例如在NPP 44,46处进行ATM/帧中继互连,使用MPLS接口而不是因特网协议接口。
本发明的结构还支持第二种称为多段、多协议、外部边界网关协议(EBGP)的路由传输技术,其中参与者使用层2传输方法在所有的MPLS路由器设备或参与的VPN路由发射器内进行多协议EBGP连接。换句话说,本发明可利用透明的层2基础设施为服务供应商提供服务,这样这些供应商可以在所有供应商边界设备或服务供应商VPN路由发射器间建立多协议外部边界网关协议对话。
然而,利用这些传输技术存在一个主要的缺陷即,实质上没有可扩缩性,因为需要发端和终端服务供应商间的大量的配置、唯一的因特网协议域间寻址、及对在每一服务供应商的边界用来与另一服务供应商的域进行互连的路由器额外的安全性需求。
第三种路由传输技术使用供应商边界-自主系统边界路由器(PE-ASBR)。这些路由器使用EBGP来从自主系统(AS)向AS重新分配标记的VPN v4路由。
由于运行规模和安全性的原因,自主系统边界路由器(ASBR)方法来进行路由传输是更好的方法。在该方法中,VPN路由信息通过一个多协议外部边界网关协议设备或多个设备(用于冗余)进行传输,路由信息,在希望的控制下从这些设备通过,根据VPN的参与者只到达那些需要接受它们的服务供应商。使用这种技术大大减少了虚拟专用网络的配置和复杂性。
至于本发明的虚拟专用网络的可扩缩性,因为路由分配和转发功能在每一NPP 2内是分离的,因此本发明的VPN容易升级,以支持所产生的VPN的数量的增加和用户带宽需求的增长。
至于本发明的VPN的安全性,转用于每一服务供应商的路由器是用于减少服务供应商例如以拍击或非法路由洪泛多协议EBGP对话的可能性。因为这些路由器只了解适于相关服务供应商的路由信息,为了滤除目标不是相关的服务供应商网络的路由信息,从而消除了每一服务供应商所需的访问列表。而且,静态MPLS标记增加了转发路径的安全性。而且,实际上在供应链中间没有层3可寻址组件,这另一方面也提供了额外的隔离,继而提高了安全性。这些优点参照下面将描述的下一实施例将更容易被理解。
在另一实施例中,例如参考图6,为进行多协议外部边界网关协议(EBGP)路由分配,每一服务供应商SP1,SP3至少专用两个路由器。在该实施例中,多个路由器形成每一路由节点24,60。这些路由器最好具有例如至分配网关52,58的安全、专用的带内连接,该网关执行该供应商边界自主系统边界路由器(PE-ASBR)功能。而且,每一分配网关52,58最好具有双多协议EBGP会话,以地理分离可能位于该两个地理分布的路由连接中的边界路由器。
关于路由传输及数据转发如何通过本发明的VPN结构发生作用的形象化的表示,可参考图7得到启示。
图7的流程图概括性的示出了通过图6的VPN结构进行路由信息的传输及数据的转发。更具体的说,描述了用户路由信息如何从用户站48点对点的向站55传输。这里示出的一条基本原则是将路由分配任务和转发任务分离。这种路由分配和转发结构优化了VPN和服务供应商的可扩缩性、安全性和成本。
在图7所示的实施例中,该虚拟网络通过三个服务供应商SP1,SP3,SP4和四个NPP 44A,44B,46A,46B连接用户站48和55,这些NPP最好位于配置设施如载体旅馆(hotel)内。
路由信息通过虚拟专用网络进行传输的路由传输路径始发于用户站48。这里,本地路由信息通过SP1的路由协议传输至分配网关52A,52B。路由信息又从分配网关52A,52B通过路由节点24,60采用边界网关协议(BGP)路由分配方法分别流向另一分配网关58A,58B。
最好,在每一路由节点24,60内,路由信息的提供很谨慎的进行控制,这样只有实际参与每一VPN的服务供应商才能接收他们需要的路由信息。最后,用户站48的本地路由信息通过SP4的路由协议从分配网关58A,58B传输至用户站55。用户站55的本地路由信息向用户站48的传输与此类似。
为所有的用户路由信息产生镜像分离的路由传输路径增强了路由传输的可用性。
图8A,8B,8C的流程图示出了用户业务转发的细节。图8A示出了两个不同网络间的确定性连接,一个从站A流向站B,另一个从站C流向站D。
根据如图8A所示的一个优选实施例,每一NPP用于实际上在所有的时间确定性的转发用户业务。网络70是站A和站B间的相当直接的一个确定性的连接。类似地,网络72是站C和站D间的一个点对点的确定性连接。
确定性转发允许用户数据成为由对等点或NPP采用MPLS业务工程的业务工程的数据,以遍历特定的NPP序列。换句话说,图8A所示的确定性传输设备意味着传输VPN业务的路由可被精确的配置,以通过特定的分配服务供应商、NPP和转接服务供应商序列流动。如图所示,该虚拟专用网络70使用服务供应商SP1,SP2,SP4,而网络72使用服务供应商SP1,SP3,SP4。
本发明的确定性转发特征是很重要的,理由如下首先,作为供应链设计188、实施190过程和系列工具(图11)的一部分,适当的服务供应商受协议约束承载特定的VPN业务。因此很关键的一点是这些服务供应商,并且只有这些服务供应商为了给定的VPN的用户业务位于转发路径中。
其次,作为确保192过程和系列工具(图11)的一部分,对于闭环控制方法的运行很重要的一点是用户业务所采用的准确路径是已知的。更具体地说,合成产生的测试包确保程序192必须采用与用户业务相同的路径,以正确的检测用户是否正在接收可接受的或不可接受的服务,并且,特别的,检测哪个服务供应商响应于该可接受或不可接受的服务。确保程序192必须检测不符合协定的以合约和/或SLA的形式的网络服务等级或性能劣化超过某阈值的事故,必须能够精确识别有问题的供应商并采取补救或阻止性措施。还必须能够准确的报告合约的遵从或不遵从情况。
另外的和/或选择性的,用户业务可通过本发明的VPN利用图8B示出的并行转发路径选项进行转发。例如,图8B的双引导选择允许用户业务在两个或多个NPP处流出服务供应商。在任何时间选择使用哪个NPP都是分配服务供应商的路由协议的功能。最好,用户业务负载均衡的穿过两个并行的连接。
在SP2的转接网络74的一个网络故障实例中,该故障在分配网关处通过上述的层3路由协议(在分配网关间越过分配网关间的层2传输)方式被检测。结果,通过发生故障的连接74转发业务的分配网关停止将任意与站A,B有关的路由信息在他们各自的分配服务供应商SP1,SP3处提供。因此,分配服务供应商SP1,SP3内的路由协议检测被提供的路由信息的取消情况,然后通过剩余的未受影响的NPP通过转接路径76转发所有的用户业务。
图8C的标记交换路径(LSP)保护选择为当主路径80发生故障时的选择产生了一个备份NPP至NPP的路径82。选择可以是预定的,是动态的并且实质上是持续发生的。
另外,本发明的NPP的配置使得可在其以太网交换机内生成最小深度的队列,从而确保用户包在NPP转接期间的丢失是一种可以忽略的可能,从而实质上确保了用户的端对端服务保持不受NPP的影响。
现在参考图9,图中示出了根据本发明的一个优选实施例的网络设备或NPP的结构的更详细示图。虚线表示一个示例性服务创建设备(SCD)启动的网络设备的基本组件,该设备最好位于配置设施138内。这些组件包括一个或多个NPP交换机140,一个NPP管理平台142,一个SCD预处理器144,本地文件存储器146,及三个SCD设备130,132,134。
NPP 136通过每一服务创建设备130,132,134,用于执行服务质量分类和重标记,以使得供应链参与者间不同的服务质量(QoS)信号发送方案能够协同运行。示例性网络设备136的另一特征和优点是性能测试包和他们随后的测试的合成生成。NPP的这种结构可描述为一种SCD使能的NPP 136。
服务创建设备130、132、134基于可编程网络处理器技术,具有以非常高的包数据率非常详细的读写从或到通过它的每一数据包的能力,其速度例如能达到甚至超过1G比特每秒。
服务创建设备的关键能力包括对包头和包数据进行任意模式的匹配能力;对包头和包数据执行任意的重写能力;执行服务质量分类和重标记能力;在供应链的参与者间启动低级OSS/BSS整合。另外,由于服务创建设备130,132,134是基于可编程技术,因此可以开发希望的附加功能。
如果服务质量分类和重标记在NPP处执行和进行中央控制,供应链的操作实际上被简化了。
通过简要的背景介绍,当使用不同的服务质量(QoS)来区分服务供应商时,服务质量分类和重标记是必要的。例如,一个服务供应商可能具有多个服务等级,而另一个供应商只有一个。另外,不同的基本传输技术采用不同的QoS信号发送方法,如Diffserv DSCP,MPLS EXP,ATM QoS等。因此,当业务通过一个NPP从一个服务供应商传到另一个服务供应商时,必须用另一个供应商的QoS信号发送方法覆盖(即重标记)所述的一个服务供应商。反之亦然,这样每一供应商根据用户的需要前后一致的处理用户业务。这个过程可能需要在每一NPP处进行重复,这取决于在相邻的的QoS方法间是否存在不一致。
总之,为了正确的操作NPP的分类和重标记,在每一NPP处执行的服务质量分类实际上必须执行两种功能第一,根据每一用户数据包识别用户虚拟专用网络,并且最好也识别用户应用和用户区;第二,根据一种QoS规则重标记该数据包。该规则恰当的描述了用户应用必须被如何通过供应链中的承载服务供应商来承载。
也就是说,服务质量分类和重标记过程最好包括两个阶段第一,分类识别网络和/或用户应用和/或用户;第二,应用一组规则来重标记分类过程的结果为正确的QoS方法。在一个数据包中这可能需要一个或多个QoS重标记的方法(即Diffserv DCSP,EXP,ToS等)。
在一个优选实施例中,为了满足用户的网络需要,这些重标记规则在设计程序190(图11)中被确定和使用或提供。这些规则包括在通过供应链内对端对端的语音对IP的支持。而且,这些重标记规则最好通过执行程序192(图11)被配置进每一可编程的服务创建设备。
注意业务在相反方向的流动颠倒了QoS分类和重标记过程。
参考图9,网络设备或NPP 136完成上述过程。其利用本发明的VPN,通过服务创建设备130,132,134,为服务供应商提供了基于NPP的服务质量分类和重标记能力。每一服务创建设备130,132,134也可用于进行服务性能监控。
理想的,服务创建设备位于每一服务供应商网关和各NPP间的线路上,这样如果有20个服务供应商与NPP连接,则20个串联的服务创建设备通常被合并在NPP中以进行每一NPP(左和右)的切换。
SCD预处理器144被用作一个NPP管理或操作支持系统或平台142和物理服务创建设备130,132,134之间的一个中介。特别的,该SCD预处理器144与性能测试特别相关,该预处理器144通常产生相当多的原始数据,其中该原始数据可在NPP 136内进行局部预处理,而不是将这些数据发送至一个中央处理系统。原始数据的局部预处理减少了原始数据的数量而又不丢失信息。
本地文件系统146被用作一个有关服务创建设备130,132,134和NPP 136数据的本地缓存器。管理平台142用于执行和协调NPP 136和服务创建设备130,132,134的本地管理,从而减少任意中央管理系统的负载。
如图所示,SCD设备132,134被配置在一种辐射结构中,其中SCD设备132例如位于NPP交换机140和服务供应商网关152中间。类似地,SCD设备134连接NPP交换机140和SP网关150。
或者,服务创建设备可配置在向中心结构中,其中SCD设备130例如位于NPP交换机140的各端口和NPP之间。作为一个中枢,该SCD 130在隶属于对等点136的任意服务供应商即服务供应商SP1,SP2,SP3,SP4间被共享。
在另一种结构中,SCD实际上直接与NPP交换机140连接。中枢和辐射SCD130,132,134最好通过NPP管理平台142进行远程管理。
另外,SCD使能的NPP 136的配置具有多种功能,包括但不局限于,分类、标记、监控、计费及安全性特征,还包括为可达性而进行的重写传输服务质量(QoS),应用QoS重写,实时重写,包合成,吞吐量分析,时间戳,包感测,及为语音IP而进行的延迟测试,基于利用率的计费,和其他应用,每服务供应商帐单,用户帐单,符号分析,防窃检测,拒绝服务(DoS)保护,病毒防护等。
此外,无论SCD和相应的管理硬件/软件被配置在哪里,如在NPP(多服务供应商网络的)中,在服务供应商(用于在网VPN)内或在专用网络的用户站内,这些特征和功能都是可用的。可能,例如多个SCD设备被配置在一个服务供应商内具有高结构密度的位置,如在主要存在点(PoP)处。在另一实例中,当合并或捕获时,为了克服由合并实体所使用的内部QoS方法间的差异,SCD可被配置在一个服务供应商或用户站内。
由于其各种功能,服务创建设备执行供应链的性能测量和检测。服务创建设备的使用消除了依赖单个的供应链参与者测量和报告性能及提供任意必要的标准格式的测量的需要。SCD在NPP中的位置,该位置是供应链中的参与者间的服务划分点,用于初始化将要执行的任意测量或性能测试。
在一个优选实施例中,供应链中NPP 136内的服务创建设备130,132,134全体能够实质上为供应链内的所有子成分或参与者进行测量和测试网络性能,对照合约和/或SLA和/或用户经历。
更具体地说,服务创建设备130,132,134能够被动和主动进行测量和/或测试。在一种被动模式中,该SCD当用户业务通过NPP 136和SCD 130,132,134时监控该用户业务,以为了确定例如用户的使用和/或过度使用。在一种主动模式中,如主动测试,该SCD将数据注入用户业务流。被动或主动测试还可进一步被处理来为供应链报告多种关键性能标准,如可达性(即服务组件有效性)、全程延迟、吞吐量、跳动、包丢失、平均故障间隔时间(MTBF)及平均修复时间(MTTF)。
如上所述,本发明的NPP用于以多种方式达到实质上高等级的用户VPN服务的可用性。首先,例如图8B,8C示出了几种方式,通过这几种方式,端对端服务的可用性得到了增强。
第二,在每一NPP处,两个以太网交换机(左和右)为在每一NPP处被连接的每一服务供应商提供物理转发路径冗余。图5示出了具有双冗余NPP(北和南)的供应链配置的一个实施例。结果,每一服务供应商还可连接至两个NPP,从而为任意的VPN用户增强转发路径的可用性。
第三,也是最后,路由连接和用户路由传输方法是高度可靠的,通过以下设计方式例如将镜像用户路由表配置于地理上分离、安全的位置,该表最好存储在每一专用于每一服务供应商的边界路由器中;通过允许在服务供应商网关和两个路由连接间进行多BGP协议(路由传输)会话;通过一个BGP故障排除(fail-over)机制,确保当路由传输结构中的任意一个点发生故障时保持用户包的正确转发;通过实质上为了所有的用户路由信息保持路由传输的二重性(两个独立的镜像的路由传输路径贯穿整个网络)。
本发明还披露了根据上述部分结构、特征和优点构建一种闭环服务提供系统。本发明的该服务提供系统设计了可测量的网络服务的提供。
这是以一种与现有的VPN和因特网模型技术完全不同的方式来完成的,部分是因为当前的技术不采用一种协作对等点结构,该结构允许服务供应商超出其自己的基础结构的扩展端对端、服务级、基于协议的虚拟专用网络。
根据本发明的服务提供系统,为用户提供了路由器间的服务等级协定(SLA)(即一个端对端SLA)的服务供应商可能管理这些路由器。换句话说,为了确保整个供应链内的端对端服务,本发明的服务提供系统最好设计为服务供应商或管理实体练习(独自)控制路由器和服务供应商的SLA的提供所涉及的基础设施的每一部分,其可能是整个端对端网络和/或网络服务的子成分。
现在参考图10,示出了一个每SLA闭环服务提供系统的实施例。该闭环系统(根据每SLA)主要方面包括捕获用户VPN服务需要;服务设计方法;执行该服务设计以使得SLA被提供和监控的传输设施;一个或多个监控方法,最好能提供服务提供的证据,以达到帮助解决问题和计费的目的,并且最好能够识别哪个供应商负责一个SLA分支;一个财务激励机制,激发服务供应商来保持服务性能的一致等级。在一个优选实施例中,该闭环系统的所有部分必须在该换路中起作用,否则服务性能是不可预知的和不受限的。
更明确的说,如上所述,图10的闭环服务提供系统从步骤10或S10所示的用户的VPN服务需求的普通理解开始。一旦用户的需求被建立,则一个端对端网络服务解决方案被设计,这样服务供应商可提供一种服务等级协定(S12)。
一旦网络解决方案被设计,则建立关于该设计的合约(S14)。这些合约最好具有与他们有关的服务等级协定(SLA),该协定具有违约条款,以促使服务供应商在合约期间根据所签订的需求提供服务。
接着,根据该合约在供应链中实施服务(S16)。实施之后,例如关于包含在合约中的该SLA的网络服务被监控(S18),以防服务提供性能或用户使用方面发生任何变化。
服务监控过程是一个不断进行的过程,其中部分示出了是否该供应链供应商的服务是否正在根据他们各自的SLA被执行。因此,一个关键性的判定性查询是是否当前被提供的VPN服务落入预定的参数范围内(S18)。确定是否该用户需要并由一个中介所提供的该端对端服务落入事先设定好的参数范围内也很重要。
如果这样,用户(和/或中介)被计费(S22),监控过程继续,如步骤S18所示。相反,如果服务因为实际上的任何原因不满足SLA的性能指标,则将采取补救措施,包括查询是否用户的使用已经改变(S24)。
通过举例,用户VPN的一些位置可产生远远多于预期的更多的业务。虽然不必设计供应链VPN方案来处理该额外的负载,但是服务性能可能恶化到一个不可接受的水平;这表明用户需要从供应链中的一个或多个供应商处得到更多的资源。
有效的,用户违背了一个或多个SLA并具有两种选择控制在有问题的位置使用该VPN服务,或在一种新的服务SLA上同意可能的实际的解决方案,其中供应商向供应链方案提供更多的服务(如带宽等)。随后,对一种纠正方案的需求达成一致,产生一种新的升级的(或降级的)的VPN服务的设计(S26)。该新的方案被实施(S16)并被监控(S18),如前所述。
或者,如果用户的使用与约定的一致,则下一逻辑查询是是否服务监控报告显示供应链中的任一服务供应商的部分存在不足(S28)。由于不正确的服务设计或服务供应商的基础设施存在当前的问题,使得服务的提供可能产生恶化。无论哪种方式,如果确定了任一服务供应商有问题,该服务供应商就需要负责快速恢复服务等级。
服务信用可发送给用户(S30),一个服务改善方案被设计(S32)并随后被执行,如在步骤S16,于是过程进展如前所述。如果确定服务提供没有改变,则用户被计费(S34)。
如上所述,闭环提供系统的粒度是服务等级协定。该提供服务的闭环控制系统部分包括,每一用户设计过程,监控系统(即反馈)及财务激励(即惩罚性SLA)用于在正在进行的基础上鼓励VPN服务以满足SLA。另外,只有当服务性能监控与一个特定的用户服务等级协定相联系时该闭环系统运行最好,这样是为了示出什么时侯可接受或不可接受的服务被传输。
还披露了一种部分根据上述的结构、特征和优点的网络需求规划系统的构建。
现在参考图11,图中示出了本发明的网络需求规划系统的一个优选实施例。该需求规划系统包括一个供应链管理模块180,一个包括一个或多个NPP 44,46的网络设备172,与具有供应链管理模块180的网络172连接的通信网络174。图11示出了模块180和示例性虚拟专用网络172间的关系和接口。
如图所示,供应链管理模块180最好包括一个基于万维网的入口176,用作到管理模块180的用户的一个网关,最好通过一个安全通信网或外部网络。
供应链管理模块180还包括一个统一的数据模型178,一个供应链建模工具平台182,网络转换程序184,及一个工作流程引擎194。
在该实施例中,由供应链管理模块180所执行的各种功能如前所述并且包括,例如通过特定的协议工作以达到服务供应商的工作命令的要求,以使得VPN供应链172的实施。其他的功能还包括接收工作命令,在NPP 44,46的结构和设备中进行必要的改变,以实现协定的VPN供应链172的实施,并处理随后的性能和服务等级协定监控的结果。工作流程引擎194内的系统执行支持应用的功能。
系统用户如一个或多个服务供应商SP1,SP2,SP3,供应链参与者或中介196最好直接通过一个通信网174,如网络端口接入点获得供应链管理模块180的功能,该接入点具有不同等级的可用接入特权。在一个优选实施例中,中介196代表在获得VPN服务的过程中与用户的合约中的一个点。或者,接入可间接通过电话和/或传真。
统一的数据模型178是一个逻辑结构的定义明确的集成数据存储器,用于集成所有在评估、设计、实施和确保一个理想的VPN供应链基础设施中涉及的不同的信息。
例如,模型178被配置成以任意商业可用的格式,处理和综合数据或与网络需求有关的信息,合约,SLA,NPP和供应商的布局,用户设计布局(物理的和逻辑的),服务质量方案,QoS分类和重标记规则,服务供应商能力,提出/计划/正在实施/已经实施的供应链方案(即布局、QoS规则,路由规则,实施规则等),性能,性能测量,性能分析,库存,设备状态,贸易优先等。
总之,统一的数据模型178用于处理来自所有供应链网络的不同的行为、程序或硬件组件的数据为功能性、商业运作信息。模型178被集成,使其能够将来自一个程序的数据转换为另一个程序的数据,帮助用户调整作业并融合所产生的信息和不同的软件工具。而且,统一的数据模型178的综合特征还包括提供给用户一种资源和存储所有与供应链有关的信息,另外还与供应链管理模块180互相作用。
供应链建模工具平台182包括一个或多个有助于辅助期望的模型性能的开发的软件应用。每一建模工具可采用图形化(前端)应用的形式,该形式便于以一种如建模VPN供应链方案的方式将一个或多个企业网络的需求变换至NPP和服务供应商。一种可能的终端结果或方案是混合能够满足必要的地理位置、服务质量和其他用户需求的要求的提供和转接服务供应商。
最好,供应链建模工具平台182还包括由网络转换程序单元184使用的模块,以完成其任务。这些模块包括例如,一个供应商资格模块,用于确定服务供应商的可行性以形成部分供应链方案,及一个供应商合约协定模块,用于预备合约。这两个模块都被用在设计模块188中。
最好,供应链建模工具平台182的建模行为在方案设计工具(SDT)的帮助下进行。该方案设计工具是一个图形化应用,用于帮助设计者变换网络需求至可能的供应链。同样,也可被看作一个编辑器。
该方案设计工具也与统一的数据模型178通信,统一的数据模型178中包含用户网络需求和可能的服务供应商网络的标准化形式,以及每一服务供应商以产品目录的形式提供的服务。服务供应商能力的该产品目录包括网络服务提供,如图形化范围,QoS方案等,及其他网络细节,如存在点的位置。另外,统一的数据模型178实际上包含所有与可与各种服务供应商合并形成一个供应链的NPP有关的信息。
同样,方案设计工具可用于变换一个企业的网络需求至合并提供和转接服务供应商的可能的供应链和NPP。而且,该方案设计工具可用在评估186和设计188程序模块的各种粒度级。
组成供应链管理模块180的网络转换程序184主要在一个根据受控服务等级协定的VPN服务的整个活动周期支持用户或中介196的行为。网络转换程序184包括一个评估程序186,一个设计模块188,一个实施程序190和一个确保程序192。
非常简要的说,评估程序186用于提供一个对企业网络需求的初始评估,以确定例如关键开支,相关利益,及合适的方法。设计程序188用于提供一个转换后的企业网络的全面的目标方案设计和一个详细的方案设计,包括识别一个可能的VPN供应链。实施程序190用于提供一个工作流程辅助方法以确定期望的网络基础设施供应链的组件。最后,确保程序192用于提供供应链VPN服务和可能形成期望的端对端网络服务的子组件的服务供应商如设计和协定的方式执行。
网络转换程序184的更详细的细节可参考图12到15。
在一个优选实施例中,如图12所示,评估程序或模块186包括概况描述一个企业用户(S50)。通常,概况描述包括为虚拟专用网络172确定用户的需求。
该需求使用参考情形/研究进行分析(S52),以识别与企业用户198的特征匹配的参考情形。或者,该需求可例如使用那里公布的标准对照任意期望的性能数据库进行分析。
概况描述的结果被评估程序186分析以将该结果变换到现有的参考研究,并输出一个详细的成本/收益或其他财务模型分析(S54)。该成本/收益分析最好以对投资和总成本关系的报告的形式反映服务机会的大小的评估。评估模块能够反复处理,因为输出的成本/收益分析独立于可能发生变化的用户的服务需求和期望值。
评估程序186全部的输出结果最好提供给用户198进行满意程度评估。如果用户198决定不想继续,则设计模块188不被激活。
另一方面,如果评估程序186的输出结果(即财务分析)被发现是可接受的,则设计模块188(图13)被激活,并被组装正确格式化和概况描述的数据,这些数据描述了对期望/请求的服务结构的需求。例如,格式化/概况描述后的数据可包括关于站点列表、站点类型、站点布局、应用业务描述、设想、应用、所需的性能指标(即延迟、可用性等)的细节,以及可能影响方案建模的更高级的需求,如合并和捕获计划、语音/数据会聚、计划的项目等。另外,上述需求可通过关于商务驱动、及时性、竞争性信息、及成本和其他的财务考虑等的信息被进一步被增加。所有上述需求形式的信息最好存储在统一的数据模型178中。
现在参考图13,设计模块188的一个重要的目标是为期望或请求的网络结构表达一个整体的目标方案。类似于评估程序186,设计模块188可能需要几次重复的数据处理过程,以获得一个优化的目标方案。可能需要几次重复是因为,例如进一步发展用户198和/或服务供应商SP1,SP2,SP3的需求,优化可能的供应链网络等。
一旦设计模块188被组装,则开发出一个或多个初始供应链导向的目标方案模型,该模型最好与用户的需要保持一致(S60)。整个的目标方案确定了供应商的网络结构,以形成一个允许用户的需要被满足的供应链方案。
设计模块188从初始目标方案开发过程的主要输出是一个整体的VPN供应链布局,该布局具有目标站对站连接矩阵和相关的服务等级协定。设计模块188能够无需识别供应商而产生一个例如对等点、转接网关、分配网关的理想的布局。设计模块188还能够计算端对端网络性能(即延迟和可用性)的指示性预测,以与用户指示的性能目标相比较。如果目标没有由198提供,设计模块188能够建立性能目标,该目标将形成端对端VPN方案的一部分。
作为目标方案开发处理的一部分,最好使用一个供应商资格模块(S62),以提供可能的网络供应商的可行性的描述,并在无论哪种可能的情况下,提供该目标方案设计的可能的供应商的指示性报价。
详细的方案建模(S64)将存储在统一的数据模型178中的初始目标方案发展为一种详细的VPN供应链方案,该详细的方案响应于供应商的选择周期而重复进行详细的方案网络设计(S66)。供应商的选择是指为了详细的VPN方案设计的各组件与可能的供应商相互作用以确认和细节化供应商的供应提供的供应。
一方面,供应商的选择行为利用参与的服务与供应商直接联系。另一方面,供应商的选择行为利用推/拉技术进行快速响应。另一方面,产生电子报价请求(RFQ)并发送至在供应商资格认证阶段所选择的服务供应商。该报价以RFQ的形式形成并输出,供应商的响应由请求方评估。
设计模块188完成每一次新的VPN方案设计的重复,更完备和详细的站点连接度量与全部端对端和子组件服务等级协定需求一起产生。
一旦完成了具有确认的供应商的全部的供应链网络方案,供应商合约协定模块最好支持约束性和协定的VPN供应链结构和/或包括端对端和子组件服务等级协定的服务(S68)的产生,以满足用户的端对端服务和服务等级协定的要求。
值得注意的是,接入和设计模块186,188虽然被设计为处理复杂的方案需求,但是可配置为接受各种用户198和/或商业策略。例如,接入和设计模块186,188在当报价是一个重要的考虑因素时,被修改为在重复过程中在不同的点披露报价信息。该接入和设计模块186,188还可用于增加、删除或旁路一个或多个处理功能,这取决于环境。
一旦设计模块188输出的各VPN供应链合约达成一致,则供应链管理模块180等待实施模块190的初始化(图14),该初始化是以用户198授权的形式,通过采购参与者进行的,是为了产生实施详细的网络方案的服务命令(S70)。
现在参考图14,图中示出了实施模块190的一个实施例的方框图。根据合约的约定,起始点是初始化履行所需的VPN服务的命令(S70)。对于每一端对端VPN服务方案的子组件来说,一个或多个工作命令实质上是部分响应于各服务供应商或提供者而产生和发送的。传输最好由分布式综合平台199完成。
或者,供应链管理模块180和正在参与的服务供应商间的传输可采用电话、传真、电子邮件或直接通信的形式。最好,每一工作命令包括允许供应商正确的配置网关设备和其他设备的详细信息。该供应商为子组件VPN服务和负责的企业结构提供每一必须的对等点NPP。
实施模块190的这种直接但非常结构化的试探消除了对服务供应商/提供者和他们各自的商业和技术系统一体化的需要。而且,同一系列的试探被用于每一并发的网络组件的相加、移动或改变,实质上是确保所有的供应周期正确的动机都是来自同样的设计需求。
该VPN方案子组件被测试,包括端对端可达性测试,随后所有当事方(即用户198,购买方,各服务供应商等)被通知服务命令测试结果和可用性及端对端VPN服务方案合约的一致性。
接着,或者根据站与站或者根据完成阶段,为了端对端的受控VPN服务,对参与者计费和结算系统进行策划。通常,如果由实施模块190输出的测试结果是可接受的,则初始化一个服务接受模块(S72)。如果输出的测试结果是不可接受的,必要的话进行修改,以便于以遵从服务等级协定的方式实施VPN方案。
服务接受模块配合所有当事方提供第二系列验证测试。当一完成该服务接受模块的处理,则通知当事方可用性和与端对端受控VPN服务及其子组件部分的合约的初始一致性。此时,网络服务通过采购参与者提供给用户198,从而策划计费和结算系统。
现在参考图15,图中示出了一个本发明的确保模块192的一个实施例的方框图。该确保模块192的很重要的一方面是连续主动的监控供应链VPN服务的服务性能(S80)。除了服务监控,确保模块192还使得事件管理行为在一个期望的粒度等级上执行(S82),如在每一用户VPN、每一站点、每一服务等级的基础上等。因此,确保模块192提供适当的事件管理行为或当无论是端对端还是各个子组件服务发生问题时报警。此外,确保模块192向参与者提供服务监控和事件管理行为。
确保模块192的另一个重要方面是其产生多种关于供应链虚拟专用网络的实际上所有方面的统计性能信息的能力。这些统计信息可存储以备后来分析和使用。进行趋势分析,及提供关于定义的服务量度的报告包括适当的报告也是很有价值的。性能统计可被分析以为服务供应商提供能力规划的关键信息。性能统计也可周期性使用以为任意给定的供应链方案进行检验及可能的重优化设计模块188。
性能统计还可被分析以检验端对端和子组件服务性能是否遵从签订的协议,这样计费和结算过程可根据该合约在供应链中正确的进行。故障报告单也可适当的生成。
在合适的时刻获取足够详细的信息对于成功的管理所需的规划系统是关键的,因为关于VPN和VPN服务的大量信息对于提供时间上连续的可靠服务的能力是必需的。在该部分,我们在图16中示例性的描述了服务监控框架200。
本发明的VPN需求规划系统从自己的系统中收集、存储、处理、分析及显示高质量、高粒度的性能信息。收集涉及每一网络服务有关的信息及其他重要数据,这些数据可能与该服务如合约的细节、参与者获取期间的性能、实施和确保、网络使用等。
另外,本发明的需求规划系统提供实时和历史性的VPN服务报告以帮助服务供应商/参与者(1)显示出当前服务正如许诺的那样被提供;(2)实施及时地故障解决方案;(3)显示出曾经如许诺的那样被提供;(4)优化他们的服务提供设施。更具体地说,该实时系统提供处理上述的点(1)和(2)的报告信息,历史性系统提供处理点(3)和(4)的报告信息。
现在参考图16,VPN服务性能数据,如关于服务可达性202、延迟和抖动204、包丢失和吞吐量206的数据在每一对等点或NPP 2处被收集。在捕获的数据被发送至一个中央位置之前,一些预处理,如在208,在NPP处被执行以减少广域存储和传输带宽的需求。
广义的说,可达性数据用于独立于供应链中的环境的确认是否用户业务可穿过整个的基于SLA的VPN服务。这些数据,可能根据主动测试技术而获得,用于确认端对端转发路径的存在,及路由信息通过供应链服务正确的传播。延迟和跳动数据,也可能根据主动测试技术而获得,用于最好以实时或实质上实时的方式确定服务供应商的转发路径延迟和跳动特性。吞吐量数据,通常采用被动测试技术获得,用于在站对站和/或每服务等级和/或应用和/或业务类型的基础上确定用户的业务量作为在流入和流出服务供应商设备所观察的。该数据用于确定是否有比根据一个SLA预期的更多的业务正通过与该SLA有关的路径。
在中央站点,从供应链的NPP内的服务创建设备收集的服务性能数据(即可达性、延迟、抖动等)如在210被处理,并被存储在统一的数据模型178中,以备由实时或历史性的信息处理系统212,214使用。从其他系统216如设计、实施及确保模块188,190,192分别收集的信息对于实时或历史性处理系统212,214通过数据模型178也是可访问的。换句话说,关于VPN性能的总的收集数据被适当的分配给实时和历史性处理系统212,214。而且,系统212,214彼此互相连接。
实时处理系统212最终负责以实质上实时的方式提供期望的报告信息216。这些信息包括合约的及服务性能信息218和根原因分析信息220,该信息用于准确地识别每一参与者的故障。报告信息216还包括来自故障报告单及报警系统224,222的状态和/或细节信息。
该信息216及实时服务提供信息如所期望的是电子可用的,例如通过一个本地或安全的全球网络如一个外部网。或者,该信息也可以是以硬件或软件复制的方式获得。实时服务提供报告可用于例如验证一项服务已经被建立、配置并且正在规范的执行。也可以用来提供正在进行的一项VPN服务被建立和正确的执行的可见性。
一旦实时报告信息216被存储在统一的数据模型178中,即准备由历史性处理系统214进一步处理。如前所述,历史性处理的执行是针对由NPP 2(即VPN性能信息)、由其他系统216(即设计、实施、确保模块188,190,192)捕获,以及从实时处理系统212获得的数据。历史性处理系统214最终负责随意的以电子的或其他的方式报告历史性信息236。
历史性数据可被处理以提供有助于参与者优化其服务提供设施的信息,如通过聚焦于服务趋势分析226,容量规划228,风险分析230,以及关于在每一参与者、每一合约的基础上的发生故障的以及成功的服务提供的信息,以启动计费和结算232。进一步派生的数据234可随意的进行处理。一个例子是有助于巩固VPN服务保险市场的信息。
数据的保密性对于本发明的需求规划系统是很重要的,并且以一种按需要改变访问级程度的限制的方式变得可用。
本发明的很多特征和优点从详细的说明中变得显而易见。上面的描述意在通过后附的权利要求来涵盖本发明的所有这样的特征和优点,所有适当的修改及等价替换都落入本发明的精神和范围之内。为了更完备,上面的描述和附图只是优选实施例的示例,并不是想限定本发明为这里所示出和描述的原样结构。
权利要求
1.一种网络设备,用于在通信网中提供标准化的互连,所述的网络设备包括(a)一个或多个路由器,用于通过该网络确定性地传输数据;(b)一个或多个以太网交换机,用于为所述的网络设备提供与至少一个专用或公共网络的连接;(c)一个或多个服务创建设备,用于为所述的网络设备提供与一个不兼容的网络设备的连接;以及(d)一个操作系统平台,用于提供所述的网络设备的软件和硬件组件之间的通信。
2.如权利要求1所述的网络设备,其中所述的网络设备采用多协议标记交换技术。
3.如权利要求2所述的网络设备,其中所述的多协议标记交换技术允许所述的网络设备与类似或不同的网络传输技术通信。
4.如权利要求1所述的网络设备,其中所述的网络设备采用帧中继技术。
5.如权利要求1所述的网络设备,其中所述的网络设备采用异步传输模式技术。
6.如权利要求1所述的网络设备,其中每一网络设备在一种镜像、冗余的结构中配置。
7.如权利要求1所述的网络设备,其中所述的一个或多个路由器及所述的一个或多个以太网交换机的功能是协调一种不兼容的网络传输技术与所述的网络设备。
8.如权利要求1所述的网络设备,其中所述的一个或多个服务创建设备的功能是协调一种不兼容的信令方案与所述的网络设备。
9.如权利要求1所述的网络设备,其中所述的一个或多个服务创建设备的功能是协调不兼容的服务质量信令与所述的网络设备。
10.如权利要求1所述的网络设备,其中所述的网络设备用于提供互连的对偶性。
11.如权利要求1所述的网络设备,其中所述的网络设备用于为故障检测实施通过层2转接连接的层3路由。
12.一种网络设备,可用于一种虚拟专用网络,所述的网络设备包括(a)一对路由器,用于通过该网络传输数据;(b)一对以太网交换机,用于为所述的网络设备提供VPN连接;(c)一个服务创建设备,用于引导所述的网络设备中的数据转发、路由传输及服务质量功能中的至少一种;以及(d)操作指令,用于提供所述的网络设备的软件和硬件组件间的通信。
13.如权利要求12所述的网络设备,还配置有多协议标记交换技术。
14.如权利要求12所述的网络设备,还配置有帧中继技术。
15.如权利要求12所述的网络设备,还配置有异步传输模式技术。
16.如权利要求12所述的网络设备,每一网络设备被配置在一种镜像、冗余的结构中。
17.如权利要求12所述的网络设备,其中所述的一对路由器及所述的一对以太网交换机的功能是协调一种不兼容的网络传输技术与所述的网络设备。
18.如权利要求12所述的网络设备,其中所述的服务创建设备的功能是协调一种不兼容的信令方案与所述的网络设备。
19.如权利要求12所述的网络设备,其中所述的服务创建设备的功能是协调不兼容的服务质量信令与所述的网络设备。
20.如权利要求12所述的网络设备,其中所述的网络设备用于提供互连的对偶性。
21.如权利要求12所述的网络设备,其中所述的网络设备用于为故障检测实施通过层2转接连接的层3路由。
22.在一种用于提供受控的网络服务的端对端结构中,一种作为互连的一个对等点的网络设备,所述的网络设备包括(a)一对路由器,用于通过该网络传输数据;(b)一对以太网交换机,用于为所述的网络设备提供连接;(c)可编程设备,用于在所述的网络设备中执行服务质量分类和重标记功能;(d)一个操作系统,用于启动所述的网络设备的软件和硬件组件间的通信。
23.一种网络设备,用于通过一个或多个服务供应商提供与一个通信网的实质上单一的互连,所述的网络设备包括(a)至少一个路由器;(b)至少一个交换机,用于提供与所述的通信网间的连接;(c)一个设备,用于提供所述的网络设备和一个不兼容的网络设备间的服务质量变换、聚合、解聚合及性能测试功能中的至少一种;(d)一个操作系统,以便于所述的网络设备的软件和硬件组件间的通信。
24.如权利要求23所述的网络设备,用于读和写从和到通过其的每一数据包。
25.如权利要求23所述的网络设备,用于在所述的通信网中提供服务质量重标记功能。
26.如权利要求25所述的网络设备,其中所述的服务质量重标记功能便于对沿所述的通信网的一个路由的服务质量支持进行分段。
27.如权利要求23所述的网络设备,其中所述的设备提供所述的通信网的性能测试。
28.如权利要求23所述的网络设备,其中所述的设备便于测试所述的通信网的一段的性能。
29.如权利要求23所述的网络设备,所述的设备采用一项或多项被动测试技术用于所述的通信网的性能测试。
30.如权利要求23所述的网络设备,所述的设备采用一项或多项主动测试技术用于所述的通信网的性能测试。
31.如权利要求23所述的网络设备,所述的设备用于测试所述的通信网的可达性、延迟、抖动、包丢失、故障平均间隔时间和平均修复时间中的至少一项性能。
32.如权利要求23所述的网络设备,所述的设备包括一个预处理器、存储器和一个管理平台。
33.如权利要求23所述的网络设备,所述的设备用于对包头和包数据中的至少一个执行任意的模式匹配。
34.如权利要求23所述的网络设备,所述的设备用于对包头和包数据中的至少一个执行任意的重写。
35.如权利要求23所述的网络设备,所述的设备用于对一个或多个所需的功能进行编程。
36.如权利要求23所述的网络设备,所述的设备在所述的至少一个交换机和所述的一个或多个服务供应商的一个网关间提供连接。
37.如权利要求23所述的网络设备,所述的设备可配置为辐射状和中枢结构中的至少一种。
38.如权利要求23所述的网络设备,所述的设备根据每一服务供应商进行配置。
39.如权利要求23所述的网络设备,所述的设备可在多于一个的供应商间在共享的基础上配置。
40.如权利要求23所述的网络设备,所述的设备被通过所述的管理平台进行远程管理。
41.如权利要求23所述的网络设备,用于提供协调、性能监控、计费和安全特征中的至少一种。
42.一种网络节点,用于简化一个或多个服务供应商与一个通信网间的互连,所述的网络节点包括(a)一个网络设备,用于在所述的通信网中提供标准化连接,所述的网络设备配置有一对网关,该网关实质上与所述的网络设备进行物理通信;(b)多于一个的路由传输系统,接纳用户业务;以及(c)一个管理网络,与所述的网络设备和所述的路由传输系统连接,所述的管理网络便于操作所述的网络设备。
43.如权利要求42所述的网络节点,所述的路由传输系统管理和控制用户业务。
44.一种提供基本上可测量的网络服务的提供系统,所述系统(a)捕获一个或多个用户网络服务需求;(b)输出一个或多个设计方案,这些方案基本上遵从该用户的网络服务需求;(c)准备实施一个设计方案,该方案是可修改的,并包括网络设施和网络服务中至少之一;(d)监控所述的设计方案在提供性能和使用中至少一种的变化,所述的监控与所述的设计方案协定相联系;以及(e)保持关于所述的设计方案的性能度量数据,所述的性能度量数据可用于反馈,以确定可接受服务或不可接受服务的提供,并可用于按需要修改所述的设计方案。
47.一种供应链提供系统,用于提供基本上可测量的网络服务,所述的系统(a)捕获一个或多个用户网络服务需求;(b)输出一个或多个设计方案,这些方案基本上遵从该用户的网络服务需求;(c)准备实施一个设计方案,该方案是可修改的,并包括网络设施和网络服务中至少之一;(d)监控所述的设计方案在提供性能和使用中至少之一的变化,所述的监控与所述的设计方案协定相联系;以及(e)保持关于所述的设计方案的性能度量数据,所述的性能度量数据可用于反馈,以确定可接受服务或不可接受服务的提供,并可用于按需要修改所述的设计方案。
48.一种提供受控的网络服务的需求规划系统,所述系统包括(a)一种网络设施,包括一个或多个能够连接一个或多个服务供应商的网络设备;(b)一个管理模块,包括一套应用和硬件,用于管理针对基本上可测量的网络服务的提供的一组功能;以及(c)一个通信网,用于连接所述的网络设施和所述的管理模块。
49.如权利要求48所述的需求规划系统,所述的管理模块还包括一个网关,一个逻辑结构,一个建模工具平台,网络转换程序和一个工作流程引擎。
50.一种提供基于性能的网络服务的系统,所述的系统包括(a)一个允许访问所述的系统的入口;(b)一个建模工具引擎,用于建模一个或多个网络设计;(c)一个网络转换程序引擎,与所述的建模工具引擎通信,用于提供一种网络设计的网络支持;(d)一个逻辑结构,用于存储和累积来自涉及生成一个网络设计的所述的建模工具引擎和所述的网络转换程序引擎的信息;以及(e)一个工作流程引擎,用于管理所述的建模工具引擎、所述的网络转换程序引擎和所述的逻辑结构的处理,以便于实施该网络设计。
51.如权利要求50所述的系统,所述的建模工具引擎包括一个或多个应用,用于辅助所需的建模活动的开发。
52.如权利要求50所述的系统,所述的建模工具引擎有助于将一个或多个网络设计需求变换给一个或多个能够满足设计需求的网络供应商。
53.如权利要求50所述的系统,所述的建模工具引擎还包括一个供应商资格模块,便于进行供应商可行性确定。
54.如权利要求50所述的系统,所述的建模工具引擎还包括一个便于合约准备的供应商合约协定模块。
55.如权利要求50所述的系统,所述的网络转换程序引擎还包括一个提供网络需求的初始评估的评估模块。
56.如权利要求55所述的系统,所述的评估模块提供所述的网络需求的成本收益分析。
57.如权利要求50所述的系统,所述的网络转换程序引擎还包括一个提供方案设计的设计模块。
58.如权利要求57所述的系统,其中所述的方案设计包括网络设计结构。
59.如权利要求57所述的系统,其中所述的方案设计包括网络供应链布局。
60.如权利要求59所述的系统,所述的网络供应链布局具有一个或多个目标站对站连接矩阵和一个或多个相应的服务等级协定。
61.如权利要求57所述的系统,其中所述的方案设计包括一个或多个性能参数。
62.如权利要求57所述的系统,所述的设计模块使用一个供应商资格模块来提供可能的网络供应商可行性和成本。
63.如权利要求57所述的系统,所述的设计模块使用一个合约协定模块来提供与设计方案相关的服务等级协定。
64.如权利要求50所述的系统,所述的网络转换程序引擎还包括一个实施模块,用于产生履行所述的方案设计的服务订单。
65.如权利要求64所述的系统,所述的实施模块使用一个服务接受模块来提供所述方案设计的测试。
66.如权利要求64所述的系统,所述的实施模块管理所述的方案设计实施的协调。
67.如权利要求50所述的系统,所述的网络转换程序引擎还包括一个确保模块,用于确保网络服务根据所设计的进行提供。
68.如权利要求50所述的系统,所述的网络转换程序引擎还包括一个确保模块,用于确保网络服务根据合约进行提供。
69.如权利要求67所述的系统,所述的确保模块当网络性能超出了一个或多个性能参数时提供事故管理。
70.如权利要求67所述的系统,所述的确保模块提供服务监控和事故管理行为的实时报告。
71.如权利要求67所述的系统,所述的确保模块产生关于基本上网络的所有方面的统计性能信息。
72.如权利要求50所述的系统,所述的逻辑结构用于处理来自所述的建模工具引擎、网络转换程序引擎和工作流程引擎中每一个的数据为所需的商业可用格式的信息。
73.如权利要求50所述的系统,所述的逻辑结构用于存储数据以组装所述的网络转换程序模块的设计模块。
74.如权利要求73所述的系统,所述的数据属于网络需求、设计布局、服务质量方案、服务供应商能力和性能度量中的至少一个。
75.如权利要求50所述的系统,所述的逻辑结构用于存储数据以组装所述网络转换程序模块的实施模块。
76.如权利要求75的系统,所述的数据属于目标方案设计、供应商可行性和合约协定中的至少一个。
全文摘要
用于网络服务最好是虚拟专用网络服务的供应链管理的系统提供了硬件、程序和应用工具,用于配置和/或提供基本上可测量的虚拟专用网络服务。
文档编号H04L12/46GK1615612SQ02827448
公开日2005年5月11日 申请日期2002年12月17日 优先权日2001年12月21日
发明者查尔斯·S.·缪尔黑德, 大卫·J.·佩奇 申请人:查尔斯·S·缪尔黑德, 大卫·J·佩奇