SD-WAN 技術在人民銀行市縣網絡中的應用實踐
近年來,隨著大數據、云計算、區塊鏈等高新技術的迅猛發展,金融業信息技術基礎架構中的底層資源管理模式正在發生巨大的變化。虛擬化、彈性分配、統一調度等新興技術已逐漸代替傳統的緊耦合模式,通過優化資源配置與技術創新,萌發出新的金融產品與金融生態。為實現高可靠、低風險的服務能力,網絡作為其中一類基礎資源,承擔著至關重要的職責。如何適應新型業務模式發展,突破現有帶寬瓶頸,提升網絡資源利用率和服務水平,實現高效的網絡管理能力,是金融業科技部門需要共同探索并亟需解決的難題。
一、現狀與問題
人民銀行作為全國金融業監管部門,具有網絡結構復雜,業務種類繁多、安全保密嚴格等特點。今年以來人民銀行各省級分支機構先后開展了SD-WAN技術在省域網絡中的應用,取得了一定的成效,大幅提升了省市互聯網絡的管理能力和服務水平。而縣(市)支行作為全國網絡架構體系中的“末端節點”,由于機構規模較小,技術能力有限,往往因疏于更新和運維,成為人民銀行網絡管理的短板。但麻雀雖小五臟俱全,全國縣(市)支行體量雖小但數量巨大,承擔著各類業務職能,既是信息數據的最初出發點,也是政策傳導的最終落腳點。
嘉興市中心支行采用專線進行內部組網,中心支行至轄內各縣(市)支行2條廣域網運營商線路的帶寬標準不同,線路質量也存在差異,若僅僅通過路由方式來實現鏈路選擇,無論是采用主備鏈路模式還是負載分擔模式,均未能做到最大限度地充分利用,勢必造成線路帶寬的浪費,流量分析和調度的能力也不夠靈活。另一方面,受新冠肺炎疫情的影響,遠程辦公與視頻會議成為了人民銀行日常辦公中重要的通訊方式,縣(市)支行桌面云終端與視頻會議終端的數量急劇增加,在當前策略配置方式下,主線路所承擔的流量壓力將日益繁重,為網絡實時性要求帶來了巨大的挑戰。
二、做法與成效
為解決市縣網絡管理這一“薄弱環節”,更好地滿足數據中心和基層節點間的鏈路穩定性需求和帶寬資源利用率需求,支撐業務的高速發展,提升服務能效,人民銀行嘉興市中心支行聯合轄內縣(市)支行開展SD-WAN技術在市縣廣域網的探索應用,采用外置硬件設備的方式,與現有網絡設備解耦,實現網絡流量的彈性分配和靈活調度。
基于SD-WAN技術的新一代網絡管理模式著力攻克當前難點和痛點,在現有網絡架構基礎上增加可視化能力,使其具備靈活性和可塑性。當前傳統的路由交換網絡架構體系已具備滿足業務所需的高可用性、穩定性和安全性。通過硬件方式實現的SD-WAN能在不破壞現有架構的前提下達到預期效果。相比之下,軟件方式雖然也能實現SD-WAN的相關功能,但卻犧牲了原有架構的穩定性、安全性和簡單性,增加了網絡管理人員運維的復雜度。
嘉興市中心支行在進行SD-WAN改造嘗試落地前,首先從流量架構模型上將改造后的網絡分為物理網絡層(Underlay)和邏輯網絡層(Overlay)。物理網絡層即改造前通過路由、交換、安全等設備搭建的底層基礎平臺,邏輯網絡層為SDWAN設備加入后建設的上層流控平臺。物理網絡層整體采用OSPF動態路由協議,通過路由進行選路和實現鏈路冗余,具有架構完整,層面清晰、安全性高的優點。通過硬件接入方式實現的SD-WAN改造無需對現有網絡進行大規模的調整,只需在物理網絡層基礎上疊加SD-WAN系統,建立邏輯網絡平臺。最后將業務流量導入邏輯網絡層,在邏輯網絡層內實現流量調度、訪問控制(ACL)、服務質量控制(QoS)、應用加速等優化傳輸,無需考慮物理網絡層的復雜配置。
縣(市)支行作為SD-WAN網絡分支節點,在兩條專線前透明串接一臺SDWAN設備,采用扁平化模式接入SDNWAN網絡核心節點。在地市中支主備路由器上旁掛部署SD-WAN設備,并將縣(市)支行流量引流至SD-WAN網絡,建立兩條加密隧道,定義流量走向。(見圖1)
圖1 市縣網絡SD-WAN網絡拓撲圖
為考慮與現有網絡的融合,采用OSPF路由協議疊加BFD技術實現與物理網絡層的對接和快速收斂,在最小改動量的原則下實現全自動的路由切換。網絡管理員只需為SD-WAN硬件設備規劃兩段互聯地址并在兩臺路由器上配置接口信息,在原OSPF進程內宣告新增的設備互聯接口,即可完成SD-WAN的上線,建立邏輯網絡平臺,將流量進行進一步細化,并建立高速隧道,通過靈活的策略控制流量的走向,實現SD-WAN全部功能。(見圖2)
圖2 市縣網絡SD-WAN網絡OSPF規劃圖
從整體架構兼容性、穩定性、包容性等方面考慮,將物理網絡層與邏輯網絡平臺進行物理區分,明確了物理網絡層和邏輯網絡層分界,提高了轉發效率,降低了操作風險。
三、特點與優勢
1.網絡管理便捷化
一是部署成本低,無需復雜的網絡配置更改。在實施割接時縣(市)支行只需依次將主備線路與SD-WAN硬件設備相連,整個過程做到業務不中斷,無需執行任何配置修改即可平滑過渡到SD-WAN網絡。二是提供豐富的運維排錯工具,提升網絡故障診斷效率。管理平臺中提供豐富的模擬仿真功能,模擬內網任意主機IP地址,進行網絡診斷(ping/tcping)、路由跟蹤(tracert)、抓包分析(wireshark)等工具的使用,診斷過程中不影響當前故障終端對其他業務的訪問。
2.業務調度精細化
人民銀行內部網絡所承載的業務多種多樣,其重要程度各不相同,SD-WAN系統能針對不同的業務類型和擁有的線路資源狀態選擇最佳路徑。網絡管理員可以根據本單位實際情況自定義內網應用流量,如視頻會議、核心系統、征信查詢、保衛監控等等,將需要指定的業務流量引入高速通道進行選路,不需要調度的業務流量不進入高速隧道,不受任何影響。業務流量能靈活地在縣(市)支行自有線路資源上調度,也可在指定時間段內執行指定調度策略。有效緩解業務帶寬資源緊張,線路調度分配不合理等問題。
3.帶寬分配智能化
在靈活調度業務流量的基礎上,根據流量分析功能所反饋的實際業務流量占用情況,網絡管理員可以配置并啟用與之對應的服務質量保障(QoS)策略。如針對實時性要求最高的視頻會議流量,在完成調度選路的基礎上,為其配置保障帶寬的上限和下限,允許在必要時搶占其他非重要業務的帶寬。通過為不同類業務流量定義不同的服務質量保障級別、設置保障優先級,實現智能化彈性帶寬分配的效果。(見圖3)
圖3 帶寬智能分配功能示例圖
4.運維監控可視化
在開啟SDWAN智能監控功能后,統一網管平臺提供了對線路質量的統一監控,線路質量包括線路帶寬使用量、使用率、延遲、丟包、抖動等參數。另外還涵蓋了對自定義業務流量的實時監控,當網絡管理員對某一時點業務流量存在質疑,便可點擊下鉆進行深入追蹤,查看對應流量的會話、五元組、流量大小、流量進出接口、變化趨勢等信息,實現全周期的透明化監控、精確化定位。結合與之配套的郵件短信告警功能,通過配置對接即可讓網絡管理員隨時掌握網絡流量的異常情況。(見圖4)
圖4 業務流量實時監控展示
四、總結與思考
SD-WAN在人民銀行市縣網絡中的成功應用,標志著新一代網絡管理機制在人民銀行各層級網絡體系的全面覆蓋。作為一種新興的網絡管理技術,SD-WAN自2014年被正式提出后便迅速被推廣應用。目前已被運營商與主流網絡設備廠商所認可,成為網絡規劃中必不可少的要素。SD-WAN如此快速地發展成熟并被產業界接納和普及,可見其背后為機構與企業帶來的巨大便利,具有相較于傳統WAN技術更高效、更安全的網絡管理模式。
下一步,嘉興市中心支行將重點關注現有網絡中存在的待解決與改良的問題,深入測試系統的可用性與穩定性,進一步分析全面推廣應用的可行性,從以下四方面進行考量:
1.經濟合理性原則
目前人民銀行各層級基礎網絡建設已經較為完備,SDWAN的改造應在不改變現有網絡架構的前提下進行,盡可能保持原有架構不改變,將風險控制在最小范圍。在滿足功能及性能要求的前提下,盡量降低建設成本。
2.業務實用性原則
技術發展服務于業務發展,技術的更新換代須從業務需求出發。須具備對業務流量靈活調度的能力,簡化業務網絡,強化業務路徑和所有網絡線路資源的統一管理,充分發揮當前強有力的基礎網絡平臺優勢,讓業務流通更加規范、靈活、清晰。
3.安全健壯性原則
專線、Internet、4G等線路均存在安全風險,因此在信息的安全性、完整性和可用性方面,必須嚴格按照國家監管要求,保障網絡傳輸過程中數據的安全性,避免泄露或篡改。另一方面應避免單點故障,當任意節點發生線路故障、設備故障時能做到實時切換,杜絕業務中斷的可能,保證網絡的健壯性。
4.兼容擴展性原則
SD-WAN平臺必須在設計上能適應當前已有的網絡體系,能夠充分適應后續流量增加或業務需求擴展的情況。平臺本身需要配套定期的巡檢和維保,并支持版本兼容適配和升級需求,同時,能快速應對滿足后續可能增加的需求。
