银行数据中心发展经历了数据大集中、两地三中心、向多地多中心演进的多个阶段。随着数据中心技术的发展,分布式云数据中心逐渐成为建设主流,多地多中心布局对数据中心互联网络的扩展性和健壮性提出了更高要求,国内各大中型银行逐步考虑广域网络架构重构及优化,以更好的实现多地多中心多业务融合承载。
一、银行广域网络现状
目前银行业仍普遍采用标准的两地三中心的灾备体系架构,同业部分银行正在向多中心、多活架构演进。现有的金融广域网组网方式以两种为主,以数据中心为根的树形组网和采用独立的核心骨干网(承载网)层次化组网。核心骨干网架构能够更好的支持多地多中心弹性扩展,是未来广域网架构演进的趋势。
以数据中心为根的树形网络架构
以主备双数据中心为根节点的树形架构,各一级分行一般通过租用运营商两根广域网长途专线分别连接总行两个数据中心。广域网与数据中心联接紧密,在向多地多中心演进时,新增数据中心需要调整原有数据中心的策略,基础网络调整周期长、灵活调度差,难以适应向多地多中心加速转变的业务诉求。
图1:树形网络架构模型
采用独立的核心骨干网层次化组网架构
随着银行业务发展及数字化转型带来的基础设施规模增长,数据中心内部的网络流量激增,流量结构更加繁杂。大中型银行已经不再满足传统意义上的两地三中心建设,在考虑向多地多中心演进,集中式运营,业务融合承载。原有以数据中心为根的树形网络结构不易扩展,部分大型银行已建设独立的核心骨干网络,与数据中心网络松耦合,负责连接各个数据中心、一级分行、子公司、同城机构等;部分银行采用扁平化组网优化分支接入,网点直接接入一级分行,逐步减少二级分行部署,减少管理和运维层级。层次化、扁平化是未来广域网的发展趋势。
图2:层次化组网架构模型
二、银行广域网架构设计
银行网络整体可分为三大部分:数据中心网络、广域网和分支网络。广域网作为一个独立的网络域,为数据中心全局资源的利用率的提升提供了高效的网络链接。
数据中心网络与广域网为对接关系如下:
广域网架构模型
广域网作为银行的骨干传输网络,最主要的功能是稳定、可靠地高速转发各类业务流量。基于数据中心与广域松耦合架构,采用层次化组网,提高网络接入灵活性,未来可向多地多中心演进。广域网架构模型如下:
图3:广域网架构模型
1、层次化设计
采用分层设计,包括核心层、汇聚层、接入层,实现数据中心与广域松耦合,提高基础架构灵活性:
核心层:核心层用于数据中心,一级分行及业务中心的高速互联,主要包括部署位置在主要的一些数据中心的核心路由器,提供汇接多个汇聚设备的能力。其数量和部署位置一般不随业务的增长发生变化;
汇聚层:用来汇聚各个连接到核心网的网络的流量,同时作为流量选路的控制点,分为数据中心汇聚和广域汇聚,数据中心汇聚路由器主要用来汇聚数据中心的流量,广域汇聚路由器主要汇聚一级分行的流量、城域网的流量及其他行内机构的流量。主要包括部署位置在不同数据中心的汇聚路由器,部署在分支的汇聚路由器,提供金融业务接入为广域网业务的能力;随着业务的增长和变化,汇聚层设备数量和部署位置一般也会发生变化;
接入层:主要是各个业务区域的出口,包括数据中心出口,分行出口、城域网出口等,随着业务增长部署。
2、双平面设计
每个节点部署两组路由器形成双平面,不同业务流量分别运行在不同平面,同时互为备份,充分利用链路资源,保障业务的可靠性。
3、业务统一承载
物理共享+逻辑隔离,实现一张物理网统一承载多业务。
广域网角色设计
广域网根据流量承载的差异,可以将全网的设备划分为如下几种角色:
DC-P:数据中心骨干核心路由器,P角色,负责核心骨干网的高速转发,部署在数据中心机房。
DC-PE:数据中心骨干边界路由器,PE角色,用于数据中心VPN业务的接入,部署在数据中心机房。
DC-CE:数据中心出口路由器,CE角色,起数据中心内部汇聚与广域网出口互联作用,上联到数据中心DC-PE设备,部署在数据中心机房。
RR:骨干RR反射路由器,用于反射VPN内业务路由,部署在数据中心机房。
BR-PE:分行上联路由器,PE角色,用于分行VPN业务的接入,部署在分行机房。
BR-CE:分行核心骨干交换机,CE角色,用于一级分行骨干网的出口与分行上联接入到广域网BR-PE,部署在分行机房。
MAN-PE设备:城域网边界路由器,PE角色,用于城域网办公节点汇聚,部署在数据中心机房。
在选择核心节点时,一般在具备独立承载交易类生产业务条件的数据中心部署DC-P设备。一方面这类节点机房条件良好,本地具备网络的维护能力,一般也都选在运营商的骨干节点、容易获得良好的广域网线路资源。另一方面从全网来看流量模型以数据中心为根,DC-P节点与生产数据中心重合可减少流量路径。
每个核心节点部署两台DC-P设备,核心节点间full mesh全互联。从可靠性角度,一组DC-P定位为同一故障域。新增数据中心时,如本地已有DC-P设备,则仅新增DC-PE设备,与DC-P设备对接;如果在本地或就近地域DC-P设备,则双线路接入两个不同站点的DC-P设备。
广域网SDN设计
基于传统路由的流量管理和调度策略的灵活性不足,通常在带宽利用率达到50%左右时,基于业务备份,就需考虑带宽扩容,无法智能调节流量,而部分业务对广域链路突发流量带宽要求又高,因此无法充分利用线路带宽资源。未来的广域网要求由传统网络向SDN转变,实现应用流量在广域网中的智能调度,达到精细化、自动化、智能化管理水平。
SD-WAN技术,可以基于整网拓扑信息和隧道信息集中算路,实现整网流量尽量最优,如隧道路径cost或时延最小,提高网络带宽资源利用率等。目前广域网隧道调优主要基于下几种技术:
MPLS-TE:即MPLS流量工程。通过RSVP-TE协议建立基于约束的标签交换路径。MPLS-TE结合了MPLS技术与流量工程,通过建立经过指定路径的LSP进行资源预留,使网络流量绕开拥塞节点,达到平衡网络流量的目的。在路径调整和控制上,无论是正常业务调整还是故障场景的被动路径调整,都需逐节点下发配置。
SR-TE:是基于源路由理念而设计的在网络上转发数据包的一种协议。Segment Routing将网络路径分成一个个段,并且为这些段和网络中的转发节点分配段标识ID。通过对段和网络节点进行有序排列(Segment List),就可以得到一条转发路径。与传统MPLS-TE相比,SR-TE仅在头节点对报文进行标签操作即可任意控制业务路径,中间节点不需要维护路径信息,设备控制层面压力小。
SRv6:IPv6段路由SRv6是基于源路由理念而设计的在网络上转发IPv6数据包的一种协议。基于IPv6转发面的SRv6,通过在IPv6报文中插入一个路由扩展头,通过中间节点不断的进行更新目的地址和偏移地址栈的操作来完成逐跳转发。SRv6不使用MPLS技术,完全兼容现有IPv6网络,节点可以不支持MPLS转发,只要支持正常IPv6转发即可。
RSVP-TE技术成熟,但协议复杂,标签资源占用较多,标签转发表维护工作量大,已经不能满足快速发展的需求。SR-TE作为一种新型的MPLS TE隧道技术协议简单,无需专门的MPLS控制协议,支持端到端路径控制。SRv6面向IPv6,标准化中,能够简化网络配置,更简易的实现VPN,便于IPv6转发路径的流量调优,技术逐步稳定是未来广域网络技术演进的趋势。
三、总结
以上是对主流金融广域网技术架构的简要介绍,在银行广域网方案设计时仍需要综合考虑多个要素,包括数据中心使用规划、业务模型、基础设施资源现状、运维痛点等,在此基础上进行需求分析总结,提炼出广域网络的规划设计目标,以及对应的设计方案和未来演进。
以上就是浅谈商业银行广域网络设计的介绍,Vecloud提供全球网络优化服务、MPLS服务、全球服务器托管(IDC)&服务器租赁服务、企业私有云&混合云搭建方案、云直连专线服务、SD-WAN服务、企业云视频会议服务等相关应用场景