SD-WAN 網(wǎng)絡(luò)技術(shù)在省級中央銀行的應(yīng)用研究

劉成星

（中國人民銀行貴陽中心支行，貴陽 550001）

0 引言

隨著云計(jì)算技術(shù)的日趨成熟及廣泛使用，中國人民銀行正朝著資源整合、數(shù)據(jù)集中的方向不斷地深入實(shí)施其信息化建設(shè)戰(zhàn)略，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)已不能很好地適應(yīng)未來業(yè)務(wù)發(fā)展需求。廣域網(wǎng)作為連接人民銀行各個(gè)分支機(jī)構(gòu)的核心網(wǎng)絡(luò)，是各分支機(jī)構(gòu)開展業(yè)務(wù)必要的信息技術(shù)基礎(chǔ)設(shè)施。本次研究所調(diào)研地區(qū)人民銀行中心支行作為省會中支，為保證本級及轄內(nèi)8 個(gè)地市中心支行、71 個(gè)縣級支行業(yè)務(wù)穩(wěn)定運(yùn)行，探索利用SDN 技術(shù)對全省廣域網(wǎng)進(jìn)行改造升級，打造一張高可靠、高可用、極簡運(yùn)維的全省業(yè)務(wù)專網(wǎng)。

1 傳統(tǒng)廣域網(wǎng)的問題

在傳統(tǒng)網(wǎng)絡(luò)場景中，廣域網(wǎng)與業(yè)務(wù)系統(tǒng)分屬2個(gè)獨(dú)立的系統(tǒng)。網(wǎng)絡(luò)作為被動(dòng)承載業(yè)務(wù)系統(tǒng)的傳輸通道，僅靠基于目的IP 地址進(jìn)行靜態(tài)選路，無法對業(yè)務(wù)流量進(jìn)行精細(xì)化管控。即便在其中部分線路故障時(shí)采用傳統(tǒng)路由方式進(jìn)行業(yè)務(wù)切換，也是將故障線路承載的所有業(yè)務(wù)全部切換，無法針對某些核心業(yè)務(wù)提供相關(guān)的保障。而在故障線路恢復(fù)后，也是將原有的全部業(yè)務(wù)進(jìn)行統(tǒng)一回遷，并不能智能化地基于業(yè)務(wù)進(jìn)行動(dòng)態(tài)流量調(diào)度和線路切換。

隨著人民銀行業(yè)務(wù)應(yīng)用的不斷云化，其網(wǎng)絡(luò)流量模型也因此要發(fā)生改變，業(yè)務(wù)對于網(wǎng)絡(luò)的要求也越來越高。只關(guān)注網(wǎng)絡(luò)本身的傳統(tǒng)網(wǎng)絡(luò)無法動(dòng)態(tài)適應(yīng)業(yè)務(wù)流量，很難滿足業(yè)務(wù)云化后核心業(yè)務(wù)對于線路的敏態(tài)需求。本文調(diào)研的人民銀行廣域網(wǎng)存在以下問題：

（1）全網(wǎng)采用雙設(shè)備雙鏈路組網(wǎng)，廣域網(wǎng)采用多鏈路并且各節(jié)點(diǎn)運(yùn)行OSPF 協(xié)議。地市、縣級支行的運(yùn)維能力相對較弱，采用手工配置方式容易出錯(cuò)。若產(chǎn)生OSPF 路由宣告錯(cuò)誤等事件可能會導(dǎo)致全省網(wǎng)絡(luò)故障，造成不可估量的后果。

（2）業(yè)務(wù)流根據(jù)策略靜態(tài)分布在廣域網(wǎng)2 條鏈路上，無法根據(jù)鏈路利用率、帶寬、時(shí)延以及丟包率等網(wǎng)絡(luò)品質(zhì)實(shí)現(xiàn)自動(dòng)分流。傳統(tǒng)的策略路由和QoS對流量的管理與控制粒度并不精細(xì)，調(diào)度策略也不夠靈活，導(dǎo)致現(xiàn)網(wǎng)鏈路的利用率極低，造成大量的資源浪費(fèi)、且無法實(shí)時(shí)保障部分關(guān)鍵業(yè)務(wù)流量。

（3）目前所調(diào)研人民銀行的網(wǎng)絡(luò)管理采用純?nèi)斯し绞?，自?dòng)化運(yùn)維程度較低，僅通過基礎(chǔ)網(wǎng)管軟件對網(wǎng)絡(luò)設(shè)備進(jìn)行基礎(chǔ)管理，無法做到拓?fù)洹⒘髁可踔翗I(yè)務(wù)的可視化呈現(xiàn)，出現(xiàn)網(wǎng)絡(luò)故障后需由管理員通過登錄設(shè)備查看日志去做詳細(xì)排查，無法有效識別并快速加以恢復(fù)。人工運(yùn)維對于網(wǎng)絡(luò)維護(hù)人員的技能要求較高。由于廣域網(wǎng)設(shè)備分散在不同區(qū)域，不同區(qū)域的運(yùn)維人員技術(shù)能力也不一致，因此全省廣域網(wǎng)運(yùn)維難度極大。

2 SD-WAN 解決方案研究

為了解決該次調(diào)研地區(qū)人民銀行廣域網(wǎng)存在的各種問題，本文探索采用SD-WAN 解決方案構(gòu)建了一張開放架構(gòu)、支持靈活編排并且易于運(yùn)維的廣域網(wǎng)絡(luò)，用于承擔(dān)該次調(diào)研地區(qū)人民銀行各機(jī)構(gòu)的應(yīng)用流量，實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)適應(yīng)業(yè)務(wù)，能夠基于業(yè)務(wù)按需進(jìn)行靈活調(diào)度。

SD-WAN 是將控制層與轉(zhuǎn)發(fā)層分離。從邏輯上可以將整個(gè)解決方案分為轉(zhuǎn)發(fā)層、控制層以及編排層三個(gè)層次，如圖1 所示。這里擬對各層的作用展開探討分述如下。

圖1 SD-WAN 層次圖Fig.1 The hierarchy graph of SD-WAN

（1）轉(zhuǎn)發(fā)層：轉(zhuǎn)發(fā)層由各節(jié)點(diǎn)路由器設(shè)備組成，接受控制層的控制和管理，利用SNMP、NETCONF、WEBSOCKET 等協(xié)議和控制器進(jìn)行通信。采用NQA、Netstream、Trap 等協(xié)議完成對各種數(shù)據(jù)的采集和上報(bào)。

（2）控制層：該層發(fā)揮承上啟下的作用，除了提供基礎(chǔ)網(wǎng)管功能外，還包含SD-WAN 的核心控制組件以及廣域網(wǎng)質(zhì)量分析組件?？刂破髂舷蛲ㄟ^標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)轉(zhuǎn)發(fā)層硬件設(shè)備的管控。北向提供可定制的應(yīng)用程序接口與第三方業(yè)務(wù)系統(tǒng)或云平臺對接，滿足后續(xù)差異化的業(yè)務(wù)需求。

（3）編排層：通過調(diào)用上層配置的應(yīng)用程序接口，可以對業(yè)務(wù)進(jìn)行策略定義、管理編排，還可以對全網(wǎng)的基礎(chǔ)設(shè)施進(jìn)行實(shí)時(shí)監(jiān)控，增強(qiáng)網(wǎng)絡(luò)的可視化呈現(xiàn)，簡化網(wǎng)絡(luò)的運(yùn)維管理。這一層內(nèi)置編排功能，還可通過北向接口為行內(nèi)業(yè)務(wù)系統(tǒng)提供開發(fā)API接口的功能。

SD-WAN 解決方案優(yōu)勢主要體現(xiàn)在以下幾點(diǎn)：

（1）高效的資源利用能力。SD-WAN 解決方案中的控制器采用Telemetry 協(xié)議對全網(wǎng)設(shè)備和鏈路進(jìn)行實(shí)時(shí)監(jiān)控，動(dòng)態(tài)獲取設(shè)備和鏈路的資源情況，根據(jù)業(yè)務(wù)需求靈活分配硬件設(shè)施資源，提高資源利用率，節(jié)省設(shè)備及鏈路的投資成本。

（2）豐富的控制調(diào)度能力。SD-WAN 解決方案中的控制器是整個(gè)網(wǎng)絡(luò)的大腦，可以基于全網(wǎng)的流量進(jìn)行動(dòng)態(tài)調(diào)度和調(diào)整。也可將符合業(yè)務(wù)需求的網(wǎng)絡(luò)策略及時(shí)下發(fā)到全網(wǎng)設(shè)備中，實(shí)現(xiàn)資源彈性調(diào)度。

（3）極簡的運(yùn)維部署能力。SD-WAN 解決方案可以通過配置模板、定制化等方式對注冊到控制器的硬件設(shè)備進(jìn)行零配置部署，還可以通過控制器對全網(wǎng)設(shè)備進(jìn)行配置下發(fā)。有效解決網(wǎng)絡(luò)自動(dòng)化水平低、運(yùn)維復(fù)雜等管理難題。除此之外，控制器還支持豐富的南北向接口，可以通過這些接口基于實(shí)際業(yè)務(wù)需求定制化開發(fā)運(yùn)維應(yīng)用，進(jìn)一步提升自動(dòng)化運(yùn)維能力。

（4）全面的狀態(tài)呈現(xiàn)能力。實(shí)時(shí)監(jiān)控全網(wǎng)設(shè)備及鏈路的變化，做到整個(gè)廣域網(wǎng)設(shè)備狀態(tài)、鏈路流量、鏈路質(zhì)量和業(yè)務(wù)流量可視化展示，方便網(wǎng)絡(luò)管理人員運(yùn)維。

3 SD-WAN 技術(shù)應(yīng)用

3.1 拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

基于SD-WAN 的技術(shù)特點(diǎn)，以及人民銀行廣域網(wǎng)省級節(jié)點(diǎn)、市級節(jié)點(diǎn)和縣級節(jié)點(diǎn)三級縱向網(wǎng)場景的特征，SD-WAN 整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)如圖2 所示。整個(gè)方案主要包括省級路由器、市級路由器、縣級路由器和廣域網(wǎng)控制器等模塊。

圖2 SD-WAN 組網(wǎng)拓?fù)鋱DFig.2 The networking topology of SD-WAN

該次調(diào)研地區(qū)人民銀行的業(yè)務(wù)應(yīng)用均采用集中式部署，其流量模型均為縱向流量，幾乎不存在橫向流量。因此解決方案采用省、市、縣三級組網(wǎng)，在市縣部署匯聚節(jié)點(diǎn)，在省級數(shù)據(jù)中心部署廣域網(wǎng)控制器，通過SD-WAN 控制器對全省廣域網(wǎng)硬件設(shè)備進(jìn)行管理和配置下發(fā)。

方案采用樹形多級縱向網(wǎng)絡(luò)，各級網(wǎng)絡(luò)節(jié)點(diǎn)與鏈路均冗余部署，并且冗余設(shè)備之間部署橫向虛擬化技術(shù)，將2 臺設(shè)備虛擬化為1 臺邏輯設(shè)備，保障網(wǎng)絡(luò)結(jié)構(gòu)簡單可靠，方便運(yùn)維。

3.2 業(yè)務(wù)網(wǎng)絡(luò)設(shè)計(jì)

本文基于該次調(diào)研地區(qū)人民銀行實(shí)際業(yè)務(wù)情況，將全省業(yè)務(wù)流量大致分為語音視頻類、資金賬務(wù)類、生產(chǎn)交互類、辦公類和其他五大類。要實(shí)現(xiàn)一網(wǎng)多業(yè)務(wù)的目標(biāo)，需要利用控制器在各級節(jié)點(diǎn)上為應(yīng)用創(chuàng)建VPN 通道，通過VPN 對各業(yè)務(wù)進(jìn)行區(qū)分隔離。

當(dāng)設(shè)備注冊上線后，可以通過控制器在各級節(jié)點(diǎn)上構(gòu)建GRE over IPsec 加密應(yīng)用通道，形成一個(gè)無狀態(tài)的Overlay 網(wǎng)絡(luò)?？刂破鲗?shí)時(shí)地對鏈路丟包率、帶寬、時(shí)延、抖動(dòng)等信息進(jìn)行采集，以圖表形式呈現(xiàn)給管理員，方便其對應(yīng)用流量進(jìn)行靈活調(diào)度。

管理員可以通過IP 五元組對應(yīng)用進(jìn)行自定義，并定義各個(gè)應(yīng)用對于網(wǎng)絡(luò)的質(zhì)量要求?？刂破鞣纸廨斎胄畔⒑笞詣?dòng)下發(fā)網(wǎng)絡(luò)配置到各級節(jié)點(diǎn)設(shè)備上。通過實(shí)時(shí)的網(wǎng)絡(luò)性能監(jiān)測，控制器可以執(zhí)行靈活的網(wǎng)絡(luò)調(diào)度策略，根據(jù)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行流量調(diào)優(yōu)，在多條鏈路上提供無差異的應(yīng)用服務(wù)。

SD-WAN 解決方案實(shí)現(xiàn)了基于應(yīng)用的端到端保障和調(diào)度能力，可根據(jù)業(yè)務(wù)對應(yīng)用帶寬、延時(shí)、丟包和抖動(dòng)的要求進(jìn)行靈活選路，從而實(shí)現(xiàn)應(yīng)用的帶寬和質(zhì)量保障。

3.3 部署流程

SD-WAN 解決方案主要依賴自動(dòng)化調(diào)度來保障關(guān)鍵應(yīng)用的業(yè)務(wù)可靠性。核心功能包括設(shè)備零配置部署、網(wǎng)絡(luò)業(yè)務(wù)自動(dòng)化下發(fā)、多維可視化和自動(dòng)化的流量調(diào)度功能。其業(yè)務(wù)整體流程如圖3 所示。對此，文中將給出闡釋論述如下。

圖3 SD-WAN 業(yè)務(wù)流程圖Fig.3 The business flow chart of SD-WAN

（1）拓?fù)涫占?/p>

①手動(dòng)方式：在控制器上手動(dòng)添加設(shè)備和鏈路。

②自動(dòng)方式：通過協(xié)議收集設(shè)備信息和鏈路信息，自動(dòng)呈現(xiàn)整網(wǎng)拓?fù)洹?/p>

（2）基礎(chǔ)網(wǎng)絡(luò)可視

①設(shè)備、鏈路信息可視：通過自動(dòng)方式收集網(wǎng)絡(luò)拓?fù)浜螅ㄟ^Telemetry 協(xié)議實(shí)時(shí)采集，并呈現(xiàn)鏈路質(zhì)量、設(shè)備狀態(tài)、設(shè)備版本以及資源利用率等基礎(chǔ)網(wǎng)絡(luò)信息。

②鏈路質(zhì)量信息可視：基于物理組網(wǎng)拓?fù)?，通過NQA 技術(shù)檢測并呈現(xiàn)鏈路的時(shí)延、抖動(dòng)率、丟包率等信息。

（3）應(yīng)用組配置。通過應(yīng)用的IP 地址和端口等信息可以自定義應(yīng)用，根據(jù)應(yīng)用特征，將應(yīng)用劃分到不同應(yīng)用組，利用QoS 的差分服務(wù)進(jìn)行應(yīng)用組保障。在配置應(yīng)用組時(shí)，可以為不同的應(yīng)用組綁定不同的帶寬以及鏈路等，也可以為應(yīng)用組配置時(shí)間段元素，使策略只在配置的時(shí)間段內(nèi)生效。

（4）Overlay 網(wǎng)絡(luò)構(gòu)建。根據(jù)應(yīng)用組及策略的部署情況，SD-WAN控制器可以自動(dòng)構(gòu)建Overlay網(wǎng)絡(luò)。管理員也可以根據(jù)實(shí)際情況手動(dòng)添加自定義Overlay 網(wǎng)絡(luò)，并為每個(gè)業(yè)務(wù)創(chuàng)建默認(rèn)VPN 以及選擇調(diào)度其他VPN。

（5）引流方式。通過配置策略路由的方式進(jìn)行引流，并且通過轉(zhuǎn)發(fā)流量的優(yōu)先級選擇不同隧道承載不同應(yīng)用組流量。

（6）應(yīng)用選路?？刂破鞲鶕?jù)應(yīng)用組定義的鏈路帶寬、鏈路質(zhì)量和時(shí)間段等需求，自動(dòng)為應(yīng)用組匹配最優(yōu)路徑，下發(fā)給首節(jié)點(diǎn)進(jìn)行數(shù)據(jù)傳輸。

4 結(jié)束語

利用SD-WAN 網(wǎng)絡(luò)技術(shù)，本文在所調(diào)研地區(qū)人民銀行實(shí)現(xiàn)了廣域網(wǎng)與業(yè)務(wù)應(yīng)用緊密相連，能夠?qū)?yīng)用、業(yè)務(wù)、運(yùn)維進(jìn)行全流程的管理以及端到端的業(yè)務(wù)保障。

通過SD-WAN 可實(shí)現(xiàn)鏈路流量智能調(diào)度和全網(wǎng)流量優(yōu)化，人民銀行五大類業(yè)務(wù)流量能動(dòng)態(tài)分布在主備2 條鏈路上。某條鏈路利用率低就自動(dòng)分擔(dān)一定業(yè)務(wù)流量去往該電路，實(shí)現(xiàn)自動(dòng)分流。而若某一條鏈路出現(xiàn)延時(shí)大、假死或利用率高的情況，業(yè)務(wù)流量自動(dòng)前往另一條鏈路，毫秒級自動(dòng)快速切換，避免故障發(fā)生。最后，還可以對某類業(yè)務(wù)做流量調(diào)度。如配置語音視頻會議業(yè)務(wù)只走一條鏈路，或走多條鏈路，實(shí)現(xiàn)業(yè)務(wù)流量的精細(xì)化管理。