SD-WAN 網絡技術在省級中央銀行的應用研究

劉成星

（中國人民銀行貴陽中心支行，貴陽 550001）

0 引言

隨著云計算技術的日趨成熟及廣泛使用，中國人民銀行正朝著資源整合、數據集中的方向不斷地深入實施其信息化建設戰略，傳統網絡架構已不能很好地適應未來業務發展需求。廣域網作為連接人民銀行各個分支機構的核心網絡，是各分支機構開展業務必要的信息技術基礎設施。本次研究所調研地區人民銀行中心支行作為省會中支，為保證本級及轄內8 個地市中心支行、71 個縣級支行業務穩定運行，探索利用SDN 技術對全省廣域網進行改造升級，打造一張高可靠、高可用、極簡運維的全省業務專網。

1 傳統廣域網的問題

在傳統網絡場景中，廣域網與業務系統分屬2個獨立的系統。網絡作為被動承載業務系統的傳輸通道，僅靠基于目的IP 地址進行靜態選路，無法對業務流量進行精細化管控。即便在其中部分線路故障時采用傳統路由方式進行業務切換，也是將故障線路承載的所有業務全部切換，無法針對某些核心業務提供相關的保障。而在故障線路恢復后，也是將原有的全部業務進行統一回遷，并不能智能化地基于業務進行動態流量調度和線路切換。

隨著人民銀行業務應用的不斷云化，其網絡流量模型也因此要發生改變，業務對于網絡的要求也越來越高。只關注網絡本身的傳統網絡無法動態適應業務流量，很難滿足業務云化后核心業務對于線路的敏態需求。本文調研的人民銀行廣域網存在以下問題：

（1）全網采用雙設備雙鏈路組網，廣域網采用多鏈路并且各節點運行OSPF 協議。地市、縣級支行的運維能力相對較弱，采用手工配置方式容易出錯。若產生OSPF 路由宣告錯誤等事件可能會導致全省網絡故障，造成不可估量的后果。

（2）業務流根據策略靜態分布在廣域網2 條鏈路上，無法根據鏈路利用率、帶寬、時延以及丟包率等網絡品質實現自動分流。傳統的策略路由和QoS對流量的管理與控制粒度并不精細，調度策略也不夠靈活，導致現網鏈路的利用率極低，造成大量的資源浪費、且無法實時保障部分關鍵業務流量。

（3）目前所調研人民銀行的網絡管理采用純人工方式，自動化運維程度較低，僅通過基礎網管軟件對網絡設備進行基礎管理，無法做到拓撲、流量甚至業務的可視化呈現，出現網絡故障后需由管理員通過登錄設備查看日志去做詳細排查，無法有效識別并快速加以恢復。人工運維對于網絡維護人員的技能要求較高。由于廣域網設備分散在不同區域，不同區域的運維人員技術能力也不一致，因此全省廣域網運維難度極大。

2 SD-WAN 解決方案研究

為了解決該次調研地區人民銀行廣域網存在的各種問題，本文探索采用SD-WAN 解決方案構建了一張開放架構、支持靈活編排并且易于運維的廣域網絡，用于承擔該次調研地區人民銀行各機構的應用流量，實現網絡動態適應業務，能夠基于業務按需進行靈活調度。

SD-WAN 是將控制層與轉發層分離。從邏輯上可以將整個解決方案分為轉發層、控制層以及編排層三個層次，如圖1 所示。這里擬對各層的作用展開探討分述如下。

圖1 SD-WAN 層次圖Fig.1 The hierarchy graph of SD-WAN

（1）轉發層：轉發層由各節點路由器設備組成，接受控制層的控制和管理，利用SNMP、NETCONF、WEBSOCKET 等協議和控制器進行通信。采用NQA、Netstream、Trap 等協議完成對各種數據的采集和上報。

（2）控制層：該層發揮承上啟下的作用，除了提供基礎網管功能外，還包含SD-WAN 的核心控制組件以及廣域網質量分析組件。控制器南向通過標準協議實現轉發層硬件設備的管控。北向提供可定制的應用程序接口與第三方業務系統或云平臺對接，滿足后續差異化的業務需求。

（3）編排層：通過調用上層配置的應用程序接口，可以對業務進行策略定義、管理編排，還可以對全網的基礎設施進行實時監控，增強網絡的可視化呈現，簡化網絡的運維管理。這一層內置編排功能，還可通過北向接口為行內業務系統提供開發API接口的功能。

SD-WAN 解決方案優勢主要體現在以下幾點：

（1）高效的資源利用能力。SD-WAN 解決方案中的控制器采用Telemetry 協議對全網設備和鏈路進行實時監控，動態獲取設備和鏈路的資源情況，根據業務需求靈活分配硬件設施資源，提高資源利用率，節省設備及鏈路的投資成本。

（2）豐富的控制調度能力。SD-WAN 解決方案中的控制器是整個網絡的大腦，可以基于全網的流量進行動態調度和調整。也可將符合業務需求的網絡策略及時下發到全網設備中，實現資源彈性調度。

（3）極簡的運維部署能力。SD-WAN 解決方案可以通過配置模板、定制化等方式對注冊到控制器的硬件設備進行零配置部署，還可以通過控制器對全網設備進行配置下發。有效解決網絡自動化水平低、運維復雜等管理難題。除此之外，控制器還支持豐富的南北向接口，可以通過這些接口基于實際業務需求定制化開發運維應用，進一步提升自動化運維能力。

（4）全面的狀態呈現能力。實時監控全網設備及鏈路的變化，做到整個廣域網設備狀態、鏈路流量、鏈路質量和業務流量可視化展示，方便網絡管理人員運維。

3 SD-WAN 技術應用

3.1 拓撲結構設計

基于SD-WAN 的技術特點，以及人民銀行廣域網省級節點、市級節點和縣級節點三級縱向網場景的特征，SD-WAN 整體網絡拓撲結構設計如圖2 所示。整個方案主要包括省級路由器、市級路由器、縣級路由器和廣域網控制器等模塊。

圖2 SD-WAN 組網拓撲圖Fig.2 The networking topology of SD-WAN

該次調研地區人民銀行的業務應用均采用集中式部署，其流量模型均為縱向流量，幾乎不存在橫向流量。因此解決方案采用省、市、縣三級組網，在市縣部署匯聚節點，在省級數據中心部署廣域網控制器，通過SD-WAN 控制器對全省廣域網硬件設備進行管理和配置下發。

方案采用樹形多級縱向網絡，各級網絡節點與鏈路均冗余部署，并且冗余設備之間部署橫向虛擬化技術，將2 臺設備虛擬化為1 臺邏輯設備，保障網絡結構簡單可靠，方便運維。

3.2 業務網絡設計

本文基于該次調研地區人民銀行實際業務情況，將全省業務流量大致分為語音視頻類、資金賬務類、生產交互類、辦公類和其他五大類。要實現一網多業務的目標，需要利用控制器在各級節點上為應用創建VPN 通道，通過VPN 對各業務進行區分隔離。

當設備注冊上線后，可以通過控制器在各級節點上構建GRE over IPsec 加密應用通道，形成一個無狀態的Overlay 網絡。控制器實時地對鏈路丟包率、帶寬、時延、抖動等信息進行采集，以圖表形式呈現給管理員，方便其對應用流量進行靈活調度。

管理員可以通過IP 五元組對應用進行自定義，并定義各個應用對于網絡的質量要求。控制器分解輸入信息后自動下發網絡配置到各級節點設備上。通過實時的網絡性能監測，控制器可以執行靈活的網絡調度策略，根據網絡現狀進行流量調優，在多條鏈路上提供無差異的應用服務。

SD-WAN 解決方案實現了基于應用的端到端保障和調度能力，可根據業務對應用帶寬、延時、丟包和抖動的要求進行靈活選路，從而實現應用的帶寬和質量保障。

3.3 部署流程

SD-WAN 解決方案主要依賴自動化調度來保障關鍵應用的業務可靠性。核心功能包括設備零配置部署、網絡業務自動化下發、多維可視化和自動化的流量調度功能。其業務整體流程如圖3 所示。對此，文中將給出闡釋論述如下。

圖3 SD-WAN 業務流程圖Fig.3 The business flow chart of SD-WAN

（1）拓撲收集

①手動方式：在控制器上手動添加設備和鏈路。

②自動方式：通過協議收集設備信息和鏈路信息，自動呈現整網拓撲。

（2）基礎網絡可視

①設備、鏈路信息可視：通過自動方式收集網絡拓撲后，通過Telemetry 協議實時采集，并呈現鏈路質量、設備狀態、設備版本以及資源利用率等基礎網絡信息。

②鏈路質量信息可視：基于物理組網拓撲，通過NQA 技術檢測并呈現鏈路的時延、抖動率、丟包率等信息。

（3）應用組配置。通過應用的IP 地址和端口等信息可以自定義應用，根據應用特征，將應用劃分到不同應用組，利用QoS 的差分服務進行應用組保障。在配置應用組時，可以為不同的應用組綁定不同的帶寬以及鏈路等，也可以為應用組配置時間段元素，使策略只在配置的時間段內生效。

（4）Overlay 網絡構建。根據應用組及策略的部署情況，SD-WAN控制器可以自動構建Overlay網絡。管理員也可以根據實際情況手動添加自定義Overlay 網絡，并為每個業務創建默認VPN 以及選擇調度其他VPN。

（5）引流方式。通過配置策略路由的方式進行引流，并且通過轉發流量的優先級選擇不同隧道承載不同應用組流量。

（6）應用選路。控制器根據應用組定義的鏈路帶寬、鏈路質量和時間段等需求，自動為應用組匹配最優路徑，下發給首節點進行數據傳輸。

4 結束語

利用SD-WAN 網絡技術，本文在所調研地區人民銀行實現了廣域網與業務應用緊密相連，能夠對應用、業務、運維進行全流程的管理以及端到端的業務保障。

通過SD-WAN 可實現鏈路流量智能調度和全網流量優化，人民銀行五大類業務流量能動態分布在主備2 條鏈路上。某條鏈路利用率低就自動分擔一定業務流量去往該電路，實現自動分流。而若某一條鏈路出現延時大、假死或利用率高的情況，業務流量自動前往另一條鏈路，毫秒級自動快速切換，避免故障發生。最后，還可以對某類業務做流量調度。如配置語音視頻會議業務只走一條鏈路，或走多條鏈路，實現業務流量的精細化管理。