基层央行丨SD-WAN 技术在人民银行市县网络中的应用实践
文 / 中国人民银行嘉兴市中心支行 朱维聪
近年来,随着大数据、云计算、区块链等高新技术的迅猛发展,金融业信息技术基础架构中的底层资源管理模式正在发生巨大的变化。虚拟化、弹性分配、统一调度等新兴技术已逐渐代替传统的紧耦合模式,通过优化资源配置与技术创新,萌发出新的金融产品与金融生态。为实现高可靠、低风险的服务能力,网络作为其中一类基础资源,承担着至关重要的职责。如何适应新型业务模式发展,突破现有带宽瓶颈,提升网络资源利用率和服务水平,实现高效的网络管理能力,是金融业科技部门需要共同探索并亟需解决的难题。
现状与问题
人民银行作为全国金融业监管部门,具有网络结构复杂,业务种类繁多、安全保密严格等特点。今年以来人民银行各省级分支机构先后开展了SD-WAN技术在省域网络中的应用,取得了一定的成效,大幅提升了省市互联网络的管理能力和服务水平。而县(市)支行作为全国网络架构体系中的“末端节点”,由于机构规模较小,技术能力有限,往往因疏于更新和运维,成为人民银行网络管理的短板。但麻雀虽小五脏俱全,全国县(市)支行体量虽小但数量巨大,承担着各类业务职能,既是信息数据的最初出发点,也是政策传导的最终落脚点。
嘉兴市中心支行采用专线进行内部组网,中心支行至辖内各县(市)支行2条广域网运营商线路的带宽标准不同,线路质量也存在差异,若仅仅通过路由方式来实现链路选择,无论是采用主备链路模式还是负载分担模式,均未能做到最大限度地充分利用,势必造成线路带宽的浪费,流量分析和调度的能力也不够灵活。另一方面,受新冠肺炎疫情的影响,远程办公与视频会议成为了人民银行日常办公中重要的通讯方式,县(市)支行桌面云终端与视频会议终端的数量急剧增加,在当前策略配置方式下,主线路所承担的流量压力将日益繁重,为网络实时性要求带来了巨大的挑战。
做法与成效
为解决市县网络管理这一“薄弱环节”,更好地满足数据中心和基层节点间的链路稳定性需求和带宽资源利用率需求,支撑业务的高速发展,提升服务能效,人民银行嘉兴市中心支行联合辖内县(市)支行开展SD-WAN技术在市县广域网的探索应用,采用外置硬件设备的方式,与现有网络设备解耦,实现网络流量的弹性分配和灵活调度。
基于SD-WAN技术的新一代网络管理模式着力攻克当前难点和痛点,在现有网络架构基础上增加可视化能力,使其具备灵活性和可塑性。当前传统的路由交换网络架构体系已具备满足业务所需的高可用性、稳定性和安全性。通过硬件方式实现的SD-WAN能在不破坏现有架构的前提下达到预期效果。相比之下,软件方式虽然也能实现SD-WAN的相关功能,但却牺牲了原有架构的稳定性、安全性和简单性,增加了网络管理人员运维的复杂度。
嘉兴市中心支行在进行SD-WAN改造尝试落地前,首先从流量架构模型上将改造后的网络分为物理网络层(Underlay)和逻辑网络层(Overlay)。物理网络层即改造前通过路由、交换、安全等设备搭建的底层基础平台,逻辑网络层为SDWAN设备加入后建设的上层流控平台。物理网络层整体采用OSPF动态路由协议,通过路由进行选路和实现链路冗余,具有架构完整,层面清晰、安全性高的优点。通过硬件接入方式实现的SD-WAN改造无需对现有网络进行大规模的调整,只需在物理网络层基础上叠加SD-WAN系统,建立逻辑网络平台。最后将业务流量导入逻辑网络层,在逻辑网络层内实现流量调度、访问控制(ACL)、服务质量控制(QoS)、应用加速等优化传输,无需考虑物理网络层的复杂配置。
县(市)支行作为SD-WAN网络分支节点,在两条专线前透明串接一台SDWAN设备,采用扁平化模式接入SDNWAN网络核心节点。在地市中支主备路由器上旁挂部署SD-WAN设备,并将县(市)支行流量引流至SD-WAN网络,建立两条加密隧道,定义流量走向。(见图1)
图1 市县网络SD-WAN网络拓扑图
为考虑与现有网络的融合,采用OSPF路由协议叠加BFD技术实现与物理网络层的对接和快速收敛,在最小改动量的原则下实现全自动的路由切换。网络管理员只需为SD-WAN硬件设备规划两段互联地址并在两台路由器上配置接口信息,在原OSPF进程内宣告新增的设备互联接口,即可完成SD-WAN的上线,建立逻辑网络平台,将流量进行进一步细化,并建立高速隧道,通过灵活的策略控制流量的走向,实现SD-WAN全部功能。(见图2)
图2 市县网络SD-WAN网络OSPF规划图
从整体架构兼容性、稳定性、包容性等方面考虑,将物理网络层与逻辑网络平台进行物理区分,明确了物理网络层和逻辑网络层分界,提高了转发效率,降低了操作风险。
特点与优势
1.网络管理便捷化。一是部署成本低,无需复杂的网络配置更改。在实施割接时县(市)支行只需依次将主备线路与SD-WAN硬件设备相连,整个过程做到业务不中断,无需执行任何配置修改即可平滑过渡到SD-WAN网络。二是提供丰富的运维排错工具,提升网络故障诊断效率。管理平台中提供丰富的模拟仿真功能,模拟内网任意主机IP地址,进行网络诊断(ping/tcping)、路由跟踪(tracert)、抓包分析(wireshark)等工具的使用,诊断过程中不影响当前故障终端对其他业务的访问。
2.业务调度精细化。人民银行内部网络所承载的业务多种多样,其重要程度各不相同,SD-WAN系统能针对不同的业务类型和拥有的线路资源状态选择最佳路径。网络管理员可以根据本单位实际情况自定义内网应用流量,如视频会议、核心系统、征信查询、保卫监控等等,将需要指定的业务流量引入高速通道进行选路,不需要调度的业务流量不进入高速隧道,不受任何影响。业务流量能灵活地在县(市)支行自有线路资源上调度,也可在指定时间段内执行指定调度策略。有效缓解业务带宽资源紧张,线路调度分配不合理等问题。
3.带宽分配智能化。在灵活调度业务流量的基础上,根据流量分析功能所反馈的实际业务流量占用情况,网络管理员可以配置并启用与之对应的服务质量保障(QoS)策略。如针对实时性要求最高的视频会议流量,在完成调度选路的基础上,为其配置保障带宽的上限和下限,允许在必要时抢占其他非重要业务的带宽。通过为不同类业务流量定义不同的服务质量保障级别、设置保障优先级,实现智能化弹性带宽分配的效果。(见图3)
图3 带宽智能分配功能示例图
4.运维监控可视化。在开启SDWAN智能监控功能后,统一网管平台提供了对线路质量的统一监控,线路质量包括线路带宽使用量、使用率、延迟、丢包、抖动等参数。另外还涵盖了对自定义业务流量的实时监控,当网络管理员对某一时点业务流量存在质疑,便可点击下钻进行深入追踪,查看对应流量的会话、五元组、流量大小、流量进出接口、变化趋势等信息,实现全周期的透明化监控、精确化定位。结合与之配套的邮件短信告警功能,通过配置对接即可让网络管理员随时掌握网络流量的异常情况。(见图4)
图4 业务流量实时监控展示
总结与思考
SD-WAN在人民银行市县网络中的成功应用,标志着新一代网络管理机制在人民银行各层级网络体系的全面覆盖。作为一种新兴的网络管理技术,SD-WAN自2014年被正式提出后便迅速被推广应用。目前已被运营商与主流网络设备厂商所认可,成为网络规划中必不可少的要素。SD-WAN如此快速地发展成熟并被产业界接纳和普及,可见其背后为机构与企业带来的巨大便利,具有相较于传统WAN技术更高效、更安全的网络管理模式。
下一步,嘉兴市中心支行将重点关注现有网络中存在的待解决与改良的问题,深入测试系统的可用性与稳定性,进一步分析全面推广应用的可行性,从以下四方面进行考量:
1.经济合理性原则。目前人民银行各层级基础网络建设已经较为完备,SDWAN的改造应在不改变现有网络架构的前提下进行,尽可能保持原有架构不改变,将风险控制在最小范围。在满足功能及性能要求的前提下,尽量降低建设成本。
2.业务实用性原则。技术发展服务于业务发展,技术的更新换代须从业务需求出发。须具备对业务流量灵活调度的能力,简化业务网络,强化业务路径和所有网络线路资源的统一管理,充分发挥当前强有力的基础网络平台优势,让业务流通更加规范、灵活、清晰。
3.安全健壮性原则。专线、Internet、4G等线路均存在安全风险,因此在信息的安全性、完整性和可用性方面,必须严格按照国家监管要求,保障网络传输过程中数据的安全性,避免泄露或篡改。另一方面应避免单点故障,当任意节点发生线路故障、设备故障时能做到实时切换,杜绝业务中断的可能,保证网络的健壮性。
4.兼容扩展性原则。SD-WAN平台必须在设计上能适应当前已有的网络体系,能够充分适应后续流量增加或业务需求扩展的情况。平台本身需要配套定期的巡检和维保,并支持版本兼容适配和升级需求,同时,能快速应对满足后续可能增加的需求。
(栏目编辑:马俊)
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪