实战 | 基于软件定义传输技术的广域网技术探究
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国邮政储蓄银行广西分行 林飞飞
在传统的金融广域网组网架构下,由于业务与专线的强耦合关系,为了满足不同的业务网对安全性、可靠性和带宽的要求,业务网与专线至少是一对多的关系,且仅能在某条专线上对各业务网进行流量控制。如何在广域网上进行技术架构优化转型,解耦业务与专线的耦合关系,提升广域网对不同业务网流量的智能调控能力成为当前的热点。本文结合金融机构的广域网网络现状,将软件定义传输技术应用于广域网并进行了详细测试分析,测试表明,软件定义传输技术在可以实现双专线带宽资源的智能调度、提升专线带宽利用率。提高业务连续性、提升广域网的服务质量等,最后本文提出了软件定义传输设备后续应用的相关建议。
随着信金融息化高速发展,金融科技机构面临着网络、数据、业务等多方面的安全威胁。一方面,金融机构普遍形成了以生产网、监控会议网、测试等多种业务为主体的逻辑网络平面架构,而现有技术条件难以满足不同业务网对带宽资源、链路质量、业务隔离安全、业务连续性的需求。另一方面,由于业务与专线的强耦合关系,每个业务均需租赁1至2条运营商专线,以满足不同的业务对安全性、可靠性和带宽的要求,而广域网业务众多、需求各异,技术保障与运营成本难以兼顾。
如何进行技术架构优化转型,满足金融科技发展需求,解耦业务与专线的耦合关系,使业务不受底层专线线路的限制,实现资源的集中控制管理,实现底层物理专线差别和限制的屏蔽,成为当前迫切需要解决的问题,尤其是广域网带宽资源优化、广域网安全保障、专线运营成本、金融科技安全风险等。软件定义传输(SDT)技术,通过对多条不同运营商的二层以太网接口链路进行捆绑叠加,组成用户链路资源池,构建用户自主可运营传输网,实现专线云化,专网的带宽和流量可根据业务专网需求灵活动态编排,提高所有业务的可靠性、安全性,提高链路利用率,简化网络,并提高网络使用及维护效率。针对目前金融机构网点广域网面临的上述问题,我们基于软件定义传输技术进行了广域网组网测试、研究工作。
广域网现状分析
目前,银行普遍采用双专线直连中心的扁平化架构,业务上分为生产网、监控会议网,网点侧使用传统的VRRP技术保障生产网业务连续性,监控会议网无互备机制,在专线、设备上存在单点隐患。
在流量的管理上,生产网业务优先走主用专线,当主用专线中断,生产业务切换到备用专线,备用专线同时承载生产网、监控会议网流量。在QOS控制上利用IP五元组做QOS策略来为特定的流量提供更优的网络服务。监控会议网业务走备用专线,无互备机制,目前,大部分网点监控、会议流量为间歇性流量,在无监控调阅、无会议的情况下,备用专线处于空闲状态,而目前的网络设备暂不具备智能选路的功能,使得广域网带宽资源未得到充分、有效的利用。
在安全层面上,因生产网、监控会议网未采取全路径的安全隔离措施,在广域网上存在生产网业务流量、监控会议网流量在同一条物理专线上混跑的问题。
软件定义传输技术
软件定义传输技术的主要原理是通过对两条不同运营商的二层以太网接口链路进行捆绑叠加,组成链路资源池,通过划分安全隔离的通道来区分行不同的业务平面,并利用相关调度算法实现物理专线的选路,从而构建自主可控的传输网,实现广域专网的自主分配。
图 1 软件定义传输技术原理图
1.专线捆绑高可用
SDT技术采用创新的ML-ETH技术(多以太广域网链路合并技术),能够合并捆绑以太接口类型的2条不同运营商租用专线为一条逻辑链路,链路带宽为各物理链路之和。任何一条物理链路中断,只是逻辑链路总带宽减小,而整个逻辑链路不断,实现链路相互备份。
2.安全虚拟通道划分
SDT技术在将2条物理线路捆绑为1条主逻辑通道后,可以对主逻辑通道再进行二层虚拟通道划分,每个虚拟通道对应设备的1个物理接口,各个虚拟通道之间二层隔离。
3.数据包调度机制
SDT设备将两条物理专线进行捆绑,形成了一条主逻辑通道,LAN口流入的数据如何选择从哪条物理专线发到对端需要设置一定的调度机制,数据包的调度按照某一时刻对专线的综合评价值进行转发。
设备的调度机制原理:数据包从LAN口流入口,设备首先会综合两条专线的链路质量、专线的时延、设备自身不同LAN口流入的数据量等维度因素,各维度按照一定的权重进行综合计算,得出两条专线的综合评价值,数据包优先从综合评价值高的转发;当两条专线的综合评价值在某一时间段比较接近的时候,两条专线按照负载分担的方式转发。
4.带宽分配机制
软件定义传输技术采用创新的智能弹性管道技术,基于每套业务平面的业务需求,可以按照预先设定的最大、最小保证带宽比例分配捆绑叠加后的专线总带宽,某一业务网络瞬时未用的带宽资源可被其它业务网络借用,最大限度利用带宽资源,每张业务平面都可以独享捆绑的总带宽资源,利用这样的带宽分配方式,使每张业务平面都可获得不小于设定最小比例的保证带宽,可以进一步提高租用专线带宽资源的利用率。
网络架构设计与实现
1.网络架构设计
一是定义多通道多专网。为了便于开展测试,减少架构复杂度,本次测试按照现网划分出生产网、监控会议网两个业务平面,两个业务平面分别对应SDT设备的两个虚拟子通道LAN1、LAN2,SDT设备的LAN3、LAN4口作为测试备用。
二是确定组网模式。为了保障业务的连续性,本次测试组网采用单、双链路组网模式,实现链路冗余;SDT设备采用单、双机主从模式,实现设备冗余;利用SDT功能对物理专线进行捆绑冗余,实现专线冗余。
三是定义拓扑结构。为了确保实验数据、效果的真实可靠,我们选择具有代表性的分支机构进行实际入网测试。根据组网模式定义具体的拓扑结构:利用双专线、双设备组成中心与网点的环网拓扑结构,实验机构的网络拓扑。因SDT设备主要工作于二层,为二层透传设备,类似透明模式部署,因此SDT设备的加入对原网络架构、网络配置、网络策略、组网互联IP无任何影响。在实验机构、数据中心侧分别增加SDT设备后的网络架构。
四是SDT设备端口规划。在实验机构侧,2台SDT设备采用方式HA组网,架设于原出口设备前端,SDT设备的接口规划。
2.智能弹性管道参数设定
一是定义捆绑专线的逻辑带宽参数。运营商1的专线带宽为10M,运营商2的专线带宽为20M,捆绑专线的逻辑带宽参数设置如下:
set wan 1 speed 10000
set wan 2 speed 20000
网点侧的SDT设备配置通过中心设备下发。
二是QOS策略配置。因SDT设备从逻辑上将两条物理专线合并为一条主逻辑通道,因此SDT设备上的QOS策略分别是针对整个逻辑通道、生产网业务平面、监控会议网业务平面,实现对不同虚拟通道的最小、最大带宽的配置。
QOS策略的设计原则是优先保障生产业务,生产网业务平面的QOS最小保障带宽与监控会议网的QOS最低保障带宽按照6:4的比例进行分配,也即当主通道流量占满的情况未会触发此QOS机制,确保生产业务带宽为18M,监控会议带宽为12M。各虚拟通道的最大带宽比例均设置为100%,这样可以确保在空闲期生产网、监控会议网都可以尽可能地跑满主逻辑通道的带宽。
3.测试验证分析
一是业务网通道安全隔离。测试目的:验证SDT设备上不同的业务网LAN口之间是否安全隔离。在实验机构的生产环境中的测试步骤。
(1)把实验机构的监控会议网的出口设备挂接到SDT设备的LAN3/LAN4口,中心侧连接保持不变,出口设备上测试是否可以ping通原对端互联地址、中心侧监控服务器IP。
(2)实验机构保持正常网络连接状态,在SDT设备的LAN3口上接PC进行抓包,测试是否可截获到LAN1/2的任何数据包。
(3)实验机构、中心侧SDT设备的LAN1口接分别路由器R1、R2,中心SDT设备的LAN3与实验机构的SDT设备的LAN3,分别挂测试路由器R3/4;路由器R3的接口IP配置与实验机构接LAN1口的设备接口IP配置一致,路由器4的接口配置与中心侧路由器设备的接口IP配置一致,测试不同LAN口配置相同的IP是否存在IP冲突。
二是带宽叠加测试。在两条不同运营商的专线接入SDT设备的情况下,在实验机构的生产PC上,通过FTP方式测试传输速率。实验机构的PC从生产文件服务器上下载文件,在PC网卡性能上查看下载速率为30.1Mbps。
三是专网通道最大带宽测试。配置SDT的LAN口的最大带宽占比值为100%,在任一LAN内做FTP下载(其他LAN空闲),观测传输流量情况。
四是专网通道最小带宽测试。本项测试的目的是要验证SDT设备在单专线、双专线情况下生产网、监控会议网的最小带宽传输是否满足配置要求。在双专线正常情况下,分别在生产网、监控会议网进行FTP文件下载,测试结果:生产通道(LAN1)和监控会议通道(LAN2)同时文件下载,LAN1实测速率18.0Mbps,LAN2实测速率12.3Mbps,符合6:4的配置要求。
五是专网通道高可用测试。本项是测试在任意专线故障、SDT设备故障时,生产网、监控会议虚拟通道的高可用性。测试方法。
(1)在实验机构生产与管理网的终端PC上长ping测生产服务器和监控服务器,断开任意一条运营商专线,观测ping的丢包情况。
(2)分别对中心侧主、从2台,实验机构主、从2台SDT,逐个关机(模拟设备停机故障),实验机构生产、监控会议终端分别PC长ping生产服务器、监控服务器,观测ping的丢包情况,路由切换收敛情况。
应用分析
1.SDT应用优势分析
在SDT的实际应用测试中,SDT技术的创新点总结如下:一是提高广域网专线的带宽利用率。在测试过程中,SDT设备可以捆绑2条专线的带宽形成一条逻辑主通道。生产网、监控会议网都可以共享逻辑主通道的带宽,且最高上、下行速率都可达到双专线总带宽,相比应用SDT设备前,双专线的带宽利用率得到了显著提升。
二是实现双专线流量的智能调度。根据测试结果,SDT设备可以根据广域网专线的网络质量、专线的时延、设备自身不同LAN口流入的数据量等维度因素进行综合计算,并选择最优专线路径,实现数据包在2条专线间的智能调度。某条专线故障的时候可以配合动态路由协议实现路由的快速收敛,从而快速切换至正常专线上,提高业务连续性。
三是提升广域网的通讯服务质量。部署SDT设备后,通过SDT的智能选路算法可以选择最佳链路,且只需消耗较低的资源即可获得更优的通信服务质量,利用多种技术提供服务,在广域网传输上,进一步优化了QOS、带宽利用率等多方面的性能,有效提升了业务体验。
四是提升广域网安全。根据测试结果,SDT设备可以对捆绑2条专线的带宽所形成的虚拟主通道进行二层通道划分,最大可形成4套不同的安全专网,专网之间实现了二层隔离,可达到运营商专网级的安全隔离效果。由于SDT设备之间采用了二层私有协议,理论上可以有效地防范单侧伪装接入。
五是SDT设备支持零配置开局。经测试,实验机构的SDT设备无需配置,直接由中心侧SDT统一下发配置,对于普通运维技术人员的技术要求较低,可以极大地减少运维技术人员的工作量。
六是维护相对简单。MPLS与VRF配合也可以实现多VPN网络隔离,但MPLS的配置相对复杂,需要结合BGP等路由协议进行控制选路。而SDT设备支持零配置上线,且下发的配置内容较少,相比MPLS技术,SDT设备后期运维更为简单。
2.SDT的不足分析
一是设备支持的专网数量有限。经测试,目前SDT设备仅支持划分4个专网,在专网数量的扩展上存在一定的局限性。
二是对部分专线、无线信号兼容性不足。目前的设备支持对MSTP专线、PTN、OTN、二层MPLSVPN等二层以太网专线进行链路捆绑,对于MPLSVPN三层专线、4G\5G信息号等,暂时还不能实现链路捆绑。
结束语
金融网络的安全、稳定是确保金融能够服务于人们日常生产生活的重要前提。因此,本文结合银行的广域网网络现状,应用软件定义传输(SDT)设备,对该设备的各项功能进行了详细的测试分析并提出了应用的相关建议。通过实际测试分析表明软件定义传输(SDT)设备的实用性与适用性良好。目前,SDWAN方案多应用于运营商的广域网场景、专线、非专线组合场景或者基于互联网组网的场景,针对纯专线的场景鲜有介绍,基于专线组网的软件定义传输(SDT)方案可以很好弥补双专线场景的缺憾,值得在金融广域网中大力推广应用。
(栏目编辑:李朝瑞)
往期精选:
(点击查看精彩内容)
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪