江蘇銀行基於SD-WAN技術重構廣域網架構
廣域網是銀行網路基礎平臺的重要組成部分。在很長一段時期內,銀行廣域網流量以傳統的交易類業務為主,構成相對單一,流量平穩而可預測。相關接入網路的設計,是圍繞著冗餘線路熱備機制為核心展開的,其目標是滿足可靠性與安全性方面的需求。
近年來的網點轉型使得廣域網流量構成日益複雜,視訊、語音類流量佔比不斷增加。接入網路逐步面臨以下挑戰:
1
適應金融科技發展
生物特徵識別、多媒體內容實時傳輸等新型應用場景的部署,導致廣域網通訊吞吐量進一步激增,流量構成進一步複雜化。
2
保障通訊服務質量
銀行廣域網的設計重點需要從業務連續性保障,延伸至通訊服務質量保障,滿足各類應用系統客戶使用體驗高標準要求。
3
控制整體運營成本
銀行廣域網節點眾多,而吞吐量持續增長的趨勢,導致通訊成本始終處於高位。有必要實現更精細化的流控與封裝機制,提升頻寬資源利用效率與接入網路管理效率,避免運營成本過快上漲。
2018年起,江蘇銀行開始與華為合作進行SD-WAN相關聯合創新以及POC測試,並於今年5月上旬,在杭州分行轄內完成新一代廣域網的試點建設。
新一代接入網路的拓撲示意如上所示。其中,省內支行將全部為扁平化接入架構,採用hub-spoke兩層組網,以資料中心下聯路由器作為Hub站點,網點出口閘道器作為Spoke站點,Spoke到Hub之間通過兩條專線分別建立DSVPN隧道。
省外保留資料中心->分行->支行三級架構,採用Hub-Agg-Spoke三層組網,資料中心下聯路由器作為Hub站點,與Hub直連的分行為Agg站點,網點出口閘道器作為spoke站點。DSVPN隧道分兩層,Hub-Agg間建立一層DSVPN隧道,Agg-Spoke間建立第二層DSVPN隧道。
江蘇銀行通過引入SD-WAN技術,帶來如下收益:
1.靈活的WAN接入模型
- 各線路採用SD-WAN隧道加密封裝,可靠性高
- 針對不同型別的線路,可以實現統一管理,統一排程優化
- 部分業務切換到MPLS鏈路上,降低傳統專線成本
2.基於應用型別的差異化通訊質量保障
通過在SD-WAN控制器配置關鍵應用的預設優選鏈路,配置關鍵應用的質量閾值(時延、丟標、抖動等),為不同級別的應用提供質量保障,關鍵實現流程如下:
- 關鍵應用選擇時延、抖動或者丟包率最佳的鏈路
- 其餘流量負載分擔到兩條鏈路上,頻寬最大化利用
- 關鍵應用流量在當前鏈路質量裂化、超過閾值的時候將被重路由到其他鏈路
為了達到上述能力,SD-WAN網路需要具備以下關鍵能力:
- 應用/鏈路SLA檢測和統計,路由器支援對業務流量、網路質量進行檢測和統計,並主動上報到控制器
- 智慧選路,路由器支援根據策略對應用路徑進行切換
3.精細化運維
傳統的運維主要依據經驗,缺乏有效的資料支援,且運維效率低,SD-WAN技術能對網點網路的運維進行資料化和視覺化,大大提升運維效率。具體而言可在以下幾方面獲得收益明顯:
- 全網實時監控,可獲取相對於傳統網路架構更為精細化、實時化的執行樣本資料,並與運維管理體系聯動。
- 拓撲狀態可視,提供更直觀的運維管理介面,便於對故障進行快速定位。
- 故障預測與回溯,基於執行過程中大量採集的樣本資料集,進行科學合理地決策。
- 新裝置零配置入網,降低一線運維人員工作負荷,提高標準化、自動化水平。
4.持續性科研創新