“5S”為設計理念的銀行業網絡架構分析
當前銀行業正通過數字化轉型戰略規劃,依據特定的設計理念與方法體系,有計劃有步驟地推動數字化轉型。本文作者嘗試在當前5G網絡架構、5G網絡切片、邊緣云計算、量子通信、軟件定義網絡、數據中心云化等數字化技術應用前提下,結合銀行業現行網絡架構,提出以“5S”為設計理念的銀行業網絡架構思路,旨在為銀行業數字化轉型提供獨特視角的參考。
5S設計理念
1.5S邏輯關系。5S是指“Smart(智能的)、Simple(簡單的)、Software(軟件定義的)、Slicing(切片的)、Security(安全的)”。用戶體驗智能化、運維管理簡單化,軟件驅動核心化、網絡切片個性化、安全防護系統化。
2.Smart智能網絡。固網方面,在運營商MSTP線路資源有限的情況下,銀行專線向光傳送網OTN轉移,固網5G光業務單元F5GOSU(OpticalServiceUnit)成為構建大帶寬、高可靠、高安全、低時延、云網融合、自助服務的新一代智能網。移動網方面,無線接入端CPE跟WIFI6的結合,5G核心網原生云化、SBA架構、網元UPF下移、網絡切片全程化、多接入邊緣計算(MEC)等設計為移動5G用戶提供靈活業務接入、大帶寬、高可靠性及端到端質量保障,實現流量本地卸載、時延減少、重要數據不出園區。5G網絡與AI人工智能、大數據、AR遠程協作、VR虛擬會議、巡檢運維機器人等技術的結合,搭建承載多種業務的智能化網絡,助力銀行業數字化轉型。
3.Simple簡單。5G網絡控制面與用戶面解耦合設計,通過網絡功能虛擬化NFV與SDN技術,構建簡單、靈活、開放、易擴展、基于服務的SBA(Service Based Architecture)網絡架構。銀行業機構多層多級,傳統專線網絡逐級上聯,結構復雜,設備眾多,運行維護難度較大。5G網絡使連接無線化、扁平化,以大帶寬、低延遲、海量接入、安全接入、部署簡單快捷的優勢被越來越多的同業所接受,在智慧網點、巡檢機器人、安保監控、生產備份線路、物聯網等場景下得到越來越多的應用。SDN技術的發展使計算、存儲、網絡、應用趨向超融合化。虛擬化、容器化、功能化、微服務化等技術趨勢的演進,實現SaaS、PaaS、IaaS的數據中心云化,加快了服務器上線周期、減少了重復投資。城際經濟圈的快速擴張、運營商線路費用的同城化,驅動網絡架構扁平化、簡單化,進一步降低了網絡設備與線路部署的復雜度。網絡結構扁平化具有故障點減少、時延降低、配置規范化、管控集中化等優點。未來自動化駕駛網絡通過網絡自動化、人工智能等技術使網絡至簡又智能,網絡運營管理簡單、直觀、有效。
4.Security安全。銀行業網絡架構的設計應遵循“安全第一”的原則,做好從接入到核心、從邊緣到內部的認證、加密、授權、入侵防御、防火墻隔離等網絡安全預防與保護措施,實現安全防護系統化。結合當前量子通信技術,依其自身的“不可克隆”與“不可分割”特性實現IPSEC_VPN密鑰的安全傳遞。面對物聯網海量連接,通過物聯網終端接入安全與態勢感知系統打造物聯網安全體系。5G行業專網從無線側對銀行營業網點的基站進行5QI參數和QoS高優先級配置,實現金融業務的帶寬保障和優先級設置。到傳輸網采用硬隔離(FlexE、MTU交叉隔離)或軟隔離(VPN+QoS隔離)等切片方式,實現銀行業務在傳輸網中的隔離和業務保障,以及核心網硬件資源層、虛擬資源層和網元功能層及數據中心內的交換機路由器等設備的隔離。當前金融行業對信創的要求,使硬件網絡設備及其軟件從CPU、交換芯片、操作系統、協議棧、SDN等核心技術,開始自主可控,為系統化的安全防護提供堅實的基礎。
5.Software軟件定義。以SDN為代表的計算、存儲、網絡虛擬化、容器化編排,構建起銀行業公有云與私有云平臺。以SR與SRv6為代表的兩地三中心核心SD-WAN網絡,以overlay隧道為代表的總分支SD-WAN網絡,使廣域網的部署、管理、流量控制實現軟件智能化。5G+SD-WAN的組合正成為銀行業應用較為成熟的方案。以軟件定義為核心的網絡設計理念也將引領未來網絡發展的方向。
6.Slicing網絡切片。5G網絡切片將一個物理網切割成多個虛擬的端到端的網絡,每一個都可獲得邏輯獨立的網絡資源,且各切片之間可相互隔離,確保安全性與獨立性,實現一張網絡承載多種業務。網絡切片最重要的安全問題是網絡切片需要提供不同切片實例之間的隔離機制。切片從空口、基站、承載網、核心網端到端保證隔離,使被隔離的用戶數據之間完全不可互訪,金融切片與其他行業及公用切片之間不可互訪。在邏輯隔離層面,5G網絡切片仍采用VLAN、IP隧道、VPN虛擬機等方式進行業務邏輯隔離。由中國移動、華為、騰訊等聯合發布的《網絡切片分級白皮書~2020.3》中,根據公眾網與行業網的區分把網絡切片分為L0~L4共5個等級,金融行業屬于行業網L3~L4級,等級越高對網絡定制與業務體驗的要求越高,從資源的完全共享至獨立隔離,從基本安全至全面高階安全,從無法自主運維到可管、可控、從默認的SLA服務到可定制化服務。
5S網絡架構設計方案
1.網絡架構說明。一級分行由主備數據中心構成,二級分行下設二級支行。二級分行與二級支行在網絡部署上處于同一層級,以實現扁平化部署。二級支行與一級分行之間通過量子通信的QKD(量子密鑰分發)技術,使相應SD-WAN路由器讀取量子安全U盾里面的密鑰,并建立IPSEC_VPN安全通道;一二級分行所屬的巡檢機器人、視頻設備、門禁設備、告警設備、對講AR遠程協助等物聯網設備均通過本地無線WIFI6連接CPE(5G無線路由器),CPE設備接入OTN傳輸網,OTN傳輸網與5G核心SA網相連。未來5G模組的普及,5G終端可直接接入基站無需再部署CPE;一級分行安保監控中心、安全態勢感知與控制中心部署在行業專用邊緣云計算中心與5GOTN傳輸網、一級分行數據中心安全連接,實現對所有5G移動終端的管理與控制。
2.功能說明。(1)Simple簡單。整個網絡的運行與管理以意圖為導向,簡單而直觀。從5G接入、分支行網絡上線、業務應用上線,到流量監控、線路質量、帶寬占有率與控制器的智能聯動,再到5G業務的自動切片與邊緣計算管理,實現全網自動駕駛。二級分支行通過廣域網線路與一級分行連接,構建扁平化網絡架構。
(2)Software軟件定義。從5G核心云與邊緣云平臺的SDN到一二級分行廣域網的SD-WAN,軟件定義網絡使網絡架構實現專業化、彈性化、均衡化、智能化。SD-WAN架構中的北向RESTFUL接口協議與第三方平臺的融合,使網絡管理個性化、用戶體驗人性化。
(3)Security安全化。一二級分支行之間建立以量子通信為基礎的IPSEC_VPN加密隧道,實現生產業務數據災備、非重要業務日常化的5G網絡安全傳輸。物聯網終端準入策略的下發與中心端安全態勢感知與控制使物聯網設備在可管、可控、真實唯一性前提下接入行內網絡。
(4)Slicing網絡切片。根據業務數據對安全帶寬時延的要求、視頻監控對帶寬的要求、視頻會議對帶寬時延的要求、巡檢運維機器人對時延的要求,設計滿足不同業務要求的網絡切片,以實現安全隔離下的SLA保障。
(5)Smart智能。SD-WAN控制器對全網設備、線路、流量統一管理與策略調度。物聯網方面端點與網絡的全面感知、安全準入與主動防御的安全可控。巡檢運維機器人通過5G邊緣云平臺進行流量卸載與AI人臉識別、物體識別、視頻分析、語音識別、OCR、NLP,協助管理人員處理經常性與案例性的事務,以提高管理人員的工作效率與滿意度,增強科技的黏合度。AR遠程協助。通過語音、視頻進行在線實時分享第一視角的影像及圖像,與后臺專家一起解決現場出現的故障問題。通過智能降噪麥克風陣列,全語音操控解放雙手;遠程專家仿佛親臨現場,高效指導現場操作人員;高清晰視頻、拍照,實時上傳;可在圖像上做標記,發送文字語句。專家系統可跨平臺操作,計算機、手機、平板均可作用。
前景展望
移動5G、AI、VR/AR/MR、區塊鏈、量子計算、量子通信、大數據等前沿技術對銀行業數字化轉型的引領,使網絡由中心云化向邊緣云化、由傳統網絡向智能網絡、由人工干預到自動駕駛轉變。無損網絡、DetNet(確定網絡)保障業務傳輸的不丟包與低時延,面向內容錄制使數據與算力資源提供泛在的分布式均衡連接。面向未來,6G技術將實現人機物智能互聯、空間與想象、虛擬與現實深度融合,提供沉浸式多空間多維度立體交互場景,打造“萬物智聯、煥然新生”的生態環境。(注 :山東省銀行業數字化轉型研究工作組成員分別為 :興業銀行濟南分行信息科技部孟凡武、興業銀行鄭州分行信息科技部王曉建、招商銀行濟南分行信息技術部朱鐘峰、齊魯銀行信息科技部吳有文、萊商銀行信息科技部商甲福、東營銀行信息技術部劉波、中國聯合通信有限公司山東省分公司胡彬)
