银行业数字化转型背景下内部网络部署策略
2023-07-21罗娟
摘 要 随着互联网 移动技术 大数据应用的发展 互联网金融业务也进入了快速发展阶段 传统的银行业业务模式已发生了变化 银行业的移动网点逐步打破了位置限制 实现了银行业务的广覆盖 传统的交易类业务数据流量较小 而现在新增的非交易类的视频类 语音类 影像类 社交类业务数据流量不断增长 传统的网络架构已无法满足银行业的需求 作为一种新型的网络架构 SD-WAN拥有多层安全机制 智能路由和可编程网络等优点 逐渐受到银行业的关注 文章通过SD-WAN 的特点研究和实践总结 探讨了银行业使用SD-WAN 的优势和可行性 同时提出了适合银行业的SD-WAN 应用实践方案
关键词SD-WAN 银行业 网络架构SD-WAN 方案
中图法分类号F832 文献标识码A.
1 引言
随着金融业务的不断快速发展,对银行的扁平化管理模式需求也日趋迫切,这种扁平化管理模式能够提高经营效率,减少管理成本,也可以改变企业经营层次,因此扁平化管理模式正逐渐延伸至普通网点层级。同时,5G 网络的大带宽和低时延特性使得远程视频坐席办理业务成为可能,也让高清视频监控的实时回传和安防监控的实时处理得以实现。并且,随着金融业务的云化,在互联网金融和场景化金融加速发展的趋势下,金融行业正在加速云化发展,网点及第三方便捷接入金融行业云成为金融机构接入网的发展方向。面对上述挑战,银行业科技部门需配套集中管控、扁平化管理方式。在满足高流量网络运行需求及用户体验的同时,降低企业单位财力、物力、人力等高支出成本,为金融行业云发展部署前期技术环境提供条件。
SD?WAN 针对银行的场景全方位设计了总体和各分支详细方案,目前已实现了银行在新形势下较为妥善的大变革[1] 。SD?WAN 具有简单的网络管理、灵活程度高、可快速部署性、价比高以及能满足混合云及跨云连接等优势,成为满足上述需求的内部网络策略。本文旨在通过案例研究和实践总结,探讨银行业使用SD?WAN 的优势和可行性,提出适合银行业SD?WAN 应用的实践方案。本文的研究结果将为银行业优化网络架构提供理论依据和实践指导。
2 银行业广域网架构现状
以前,以柜面为主的经营模式,其广域网流量较平稳,也较容易预测。在接入网络设计方面,主要围绕点对点线路的冗余和接入网络设备的热备机制开展,目的是保障银行广域网的可靠性、安全性等。但近年来,随着银行的网点和办公部门的影像文件、语音流量、视频文件、生物特征识别信息等的交互不断增加,接入的网络逐步面临以下挑战。
(1)需要适应金融科技的发展。银行大流量交互信息形成的广域网吞吐量不断增加,流量波动不断复杂化。
( 2)需要高质量的通信服务。保障银行业务的连续性要求,提升银行各类应用系统的客户体验度。
(3)需要可控的支出成本。银行机构的广域网节点众多,大流量传输需求日益增长,通信费用支出也不断增加。银行需要更精细化的流量控制和封装机制,以提高接入网络的管理效率,实现可控的通信费用支出。
上述诸多挑战促使传统企业WAN 的改革。企业WAN 亟需找到一种更加敏捷、灵活且具备成本优势的解决方案来应对上述挑战。
3 SD?WAN 技术的提出与业界标准
SD?WAN 全称为Software?Defined WAN,中文解释为软件定义广域网。SD?WAN 服务是将SDN 信息技术应用于广域网互联场景中而产生的一项业务。这种技术的典型特征是将网络能力以软件形式“云化”,即将应用于感知的网络能力放开。
2014 年,ONUG(Open Networking User Group)———开放网络用户组织首次提出了SD?WAN 的概念。在随后的发展中,众多各网络行业组织和机构都各自提出了对SD?WAN 网络的定义,具体有如下共识。
(1)通过ZTP 等方式,快速部署和上线分支机构网络节点,提高部署效率。
(2)针对不同的应用流量,可以动态调整流量的流向路径,实现灵活而便捷的流量自动调整。
(3)集中管控,全网状态可视化,提供自动化、智能化运维能力。
(4)提供广域优化、安全等增值业务,保障业务体验的质量。
4 SD?WAN 网络架构与优势
SD?WAN 网络架构主要由两端节点路由、运营商线路、SDWAN 控制器、防火墙等设备组成, 其中SDWAN 控制器为架构核心。SD?WAN 网络架构如图1 所示。
下文将结合网络架构和节点设备阐述SD?WAN相较于传统企业WAN 具有的优势。
(1)支持多种接入链路。
SD?WAN 可以广泛允许多种线路类型,如MPLS,xSDL,PON 光纤宽带,4G LTE, 5G 网络等。客户端设备可以形成接口资源池,支持多种类型接口的接入。因此,这使企业用户打破原有成本较高的点对点专线的局限,也使普通互联网宽带和5G 网络应用于重要业务场景中,从而提升用户流量带寬利用率,实现了支付成本有效控制。
(2)关键业务流量保障。
根据软件的能力,客户端设备可以甄别多种不同等级的应用类型,并分配对应的流量服务。比如,对网络质量要求较高的视频流量,可以调高其QoS 优先级等级;而对于文字聊天等应用,则可以设置较低优先级,从而保障关键业务的使用体验。
(3)自主选择最佳路径。
SD?WAN 关键技术在于流量路径的自动选择功能。对于不同类型的业务或者子节点特征,SD?WAN可以根据配置来自主选择最佳路径。同时,SD?WAN具备网络负载均衡能力,可以保障网络的可靠性和安全性。
( 4)部署简单。
在对SD?WAN 部署时,可以使用零接触部署功能,也称零配置开局[2] 。即除了客户端设备开机后自动获取配置外,SD?WAN 还支持扫码配置或邮件配置。配置方式可远程,灵活度较高。比如,邮件部署方式:总公司工作人员登录SD?WAN 网关,选择邮箱配置,输入SMTP 服务器地址和端口,并配置用户名/ 密码认证或加密连接认证方式,输入此SD?WAN 网关需要发送的邮件的电子邮件地址,子公司人员即可通过链接完成设备的配置部署。扫码方式:使用支持SD?WAN 的提供商提供的移动应用程序在移动设备上扫描SD?WAN 应用程序的二维码。在扫描二维码后,SD?WAN 应用程序将自动启动并提示进行身份验证,输入用户名和密码,以便SD?WAN 应用程序能够连接网络。一旦身份验证成功,SD?WAN 应用程序将提供可以访问的所有网络的列表。然后选择要连接的网络,等待SD?WAN 连接成功。在确认SD?WAN 连接已成功建立后,便可以开始使用SD?WAN 提供的网络连接。通过使用SD?WAN 应用程序监视连接状态、性能和带宽使用情况,以及进行其他管理任务。需注意的是,扫描二维码和身份验证过程确保只有授权用户可以访问SD?WAN 连接。此外,需确保使用的移动设备满足SD?WAN 应用程序的系统要求,并连接到互联网。
( 5)自管自控,智能运维。
SD?WAN 具备可视化管理平台。网络管理员可以通过网管界面进行监控和管理,并及时处理问题,这种方式可大幅降低维护难度,减少故障处理时间。SD?WAN 不仅可以帮助企业节省带宽成本,而且具有部署时间短、运维难度小等优势。借助SD?WAN技术实现云网一体化,可以为企业提供更灵活、便捷的服务。SD?WAN 对比传统WAN 的优势如图2所示。
5 SD?WAN 在银行业的优势
SD?WAN 可以将不同的网络连接,如对MPLS 和4G/5G 移动网络、宽带等进行绑定,从而提高网络性能和可靠性,降低网络成本。SD?WAN 可以动态调整网络流量,降低网络带宽使用率,同时减少网络建设和运维成本,增强网络安全。SD?WAN 具有多层安全机制,包括加密传输、授权认证、安全监控等,可以保护网络的安全性。
6 SD?WAN 网络架构在银行业的实际应用
银行机构内部层级之间的管理较为复杂,而且随着新技术的引入,其业务也逐渐呈现出多元化的趋势,因此不仅要对整个银行内部的网络进行管理,还要对各种新兴业务的体验进行充分的考虑,这就要求进行周密、详细的设计,SD?WAN 针对银行的场景,全方位设计了总体和各分支详细方案,实现了银行在新形势下较为妥善的大变革。
(1)方案设计。
①适配因特网:通过因特网链路替代省外分行到总行数据中心的跨省MSTP 专线,降低银行WAN 线路和站点的运营成本。
②集中管理海量:集中管理海量分支,基于网络控制器的统一可视化运维、策略下发、故障诊断等功能,帮助简化运维。
③改变网点的管理方式:在银行总部布局SD?WAN 网络控制器,用于管理和构造所有SD?WAN 网络站点,同时对同城异地的银行系统灾备中心、各分行、各网点进行改造,SD?WAN 网络站点可以在开局时选择通过MPLS 链路或因特网链路向上层网络控制器进行注册。
④站点互访。SD?WAN 站点间的Overlay 隧道主要承载银行的办公和生产业务,使用智能选路功能将生产业务和办公业务分配到不同的WAN 链路上,2条链路互为主备,基于丢包率、时延、抖动的阈值进行链路切换。
⑤安全措施。通过防火墙间隧道提供安全保障,在跨省防火墙之间建立IPSec 隧道,保证私网流量可以穿越公网,同时保障数据传输的安全性。
⑥运维设计。网络控制器作为集中的管控和运维平台, 实现了网络和业务的状态可视( 全局Dashboard、告警实时监控、拓扑、站点/ 站点间/ 应用状态监控等)、可管控(站点级配置、批量下发业务策略、灵活定义多种运维角色等)、可维护(可视化故障定位手段、远程SSH 登录、设备系统/ 补丁批量升级等)。
⑦设备开局。在SD?WAN 开局前,总部创建SD?WAN 控制器并配置开局信息,生成URL 连接后,下发至下级网络开局人员,下级开局人员通过浏览器访问URL,连接后启动开局工作,若授权成功,则设备将下载相关配置,包括路由表、负载均衡策略和网络拓扑等,以确保设备与网络的兼容性[3~4] 。
⑧设备业务配置下发。网络管理员在网络控制器上配置站点设备的三层接口,应用识别策略以及VLAN,QoS,ACL 和选路策略等,设备完成注册上线后,网络控制器将配置下发到站点设备。
(2)实施应用。
针对省内支行,将省内分支机构接入扁平化管理结构,并建立了Hub 到Spoke 的2 层局域网,将数据中心的下联路由器作为Hub 站点,将网点的出口网关作为Spoke 站点,Spoke 和Hub 之间利用主备2 条线路,分别设置DSVPN 隧道。针对省外分行,采用数据中心到分行与支行的三级架构,并设置独立的Hub?Agg?Spoke 三层组网络节点,以数据中心的下联路由器为Hub 站点。与Hub 相连的分行站点为Agg,与Agg 相连的网点出口网关为spoke 站点。DSVPN 隧道也分成2 层,Hub 与Agg 之间创建第一层隧道,Agg 与Spoke 之间建立第二层隧道。数据中心网络扁平化管理结构如图3 所示。
(3)通过引入SD?WAN 技术带来收益。
①更高的安全性,SD?WAN 将安全控制下放到边缘设备,可以更精细化地控制网络流量和数据,支持安全VPN 连接和防火墙等安全机制、各线路采用隧道加密封装技术等,安全性高。
②更大的带宽和更灵活的网络连接。SD?WAN允许利用多条网络线路,实现负载均衡和可靠性管理。对于不同的业务类型,通过SD?WAN 控制器设置相关伐值参数,配置应用最优选择链路,如关键重要应用选择到最佳质量的链路,其余流量均衡负载分配到2 条链路上。为实现上述功能,SD?WAN 网络需要具备以下重要技术:基于应用优先级和质量的服务(QoS)及SD?WAN 技术可以根据应用的需求,为不同的应用分配不同的带宽,从而保障重要应用的网络质量。策略路由技术及SD?WAN 技术支持配置多条路由,可以根据应用类型、流量大小、延迟等策略来选择最优链路。智能链路决策算法及SD?WAN 技术可以通过在边缘设备上运行智能链路选择算法,实现对多个链路的动态监测和智能选择。分布式决策及SD?WAN 技术支持在不同的SD?WAN 站点上独立做出决策,从而提高链路选择的鲁棒性和可靠性[5] 。
③更低的通信线路成本。SD?WAN 可允许多种运营商通信线路,在安全可控的前提下,银行可以使用成本较低、带宽更大的互联网线路,有效降低全行通信费用成本。
④更高效的管理。传统网络运维过程缺少较直观且实时有效的数据,维护效率相对较低,比较依赖于网管人员自身的经验累积。SD?WAN 技术可以对网络的运维进行可视化和数据化展示,获取更精细化、实时的网络运行数据,降低运维人员经验门槛,提升运维效率。比如,展示图形化的网络拓扑图,实现更简洁明了的运维管理界面,帮助对故障进行迅速定位。其还有故障的推测功能,对网络系统运行中大量采集的实时数据池进行准确科学推测。新实现的自动配置入网功能,减少了下级网络运维人员工作量,促进了网络配置的自动化、线上化、标准化操作。
7 结束语
通过SD?WAN 网络机构的搭建,Internet 网络替代了原MPLS 网络,网络带宽得到迅速提升,给传统WAN 市场网络模式带来了改变,SD?WAN 网络架构提供的高效、低成本、舒适的部署方式得到了企业及运营商的青睐,尤其针对数字化转型的银行业,SD?WAN 的优势满足了当前的迫切需求。
SD?WAN 在银行业网络架构优化中具有广阔的应用前景,可以有效提高网络性能和安全性,降低网络成本和风险,同时提高业务的稳定性和可靠性。银行业应科学合理地制定SD?WAN 应用方案,结合实际情况选择合适的技术和设备,以优化网络架构为目的,推进SD?WAN 技术在银行业的应用,从而有效提升银行业网络架构的实时性、灵活性和智能化水平。
参考文献:
[1] 金赫煥,金明卓,蔡义社.SD?WAN 在银行业的实施效果研究[J].软件工程及其应用,2019,13(1):111?124.
[2] 贝克,戴恩.SD?WAN:金融服务业网络基础设施的未来[J].金融服务技术杂志,2018,10(4):1?10.
[3] 李毅,秦颖.SD?WAN 在金融行业的综合研究[J].IET 网络,2020,9(3):166?172.
[4] 达斯卡洛夫斯卡.金融服务业中SD?WAN 与MPLS 的选择:案例研究[J].金融服务技术杂志,2020,12(3):1?6.
[5] 辛格,考尔.采用混合加密技术增强银行业SD?WAN 的安全性[J].计算机科学与信息技术研究国际期刊,2021,9(1),331?338.
作者简介:
罗娟(1982—),本科,工程师,研究方向:计算机技术。