人民銀行業(yè)務網(wǎng)廣域網(wǎng)SDN應用實踐

李 堅

（中國人民銀行武漢分行，湖北武漢 430071）

一、概述

武漢分行湖北全轄業(yè)務網(wǎng)廣域網(wǎng)采用核心、匯聚、接入分層的網(wǎng)絡架構?？h支行作為接入層通過專線至地市中支進行匯聚，再接入作為核心層的省級數(shù)據(jù)中心。隨著網(wǎng)絡技術的快速發(fā)展和業(yè)務承載量的逐步增大，這種傳統(tǒng)網(wǎng)絡架構的弊端也日益顯現(xiàn)。

為解決傳統(tǒng)網(wǎng)絡架構的痛點，簡化運維難度、節(jié)省運維成本，滿足未來“數(shù)字央行”建設的需求。武漢分行在保持現(xiàn)有物理拓撲結構情況下，開展了業(yè)務網(wǎng)廣域網(wǎng)由傳統(tǒng)架構到廣域網(wǎng)軟件定義網(wǎng)絡（SD-WAN）的改造實施。新上線的SD-WAN系統(tǒng)基于全局視角，通過統(tǒng)一整合轄內(nèi)廣域網(wǎng)網(wǎng)絡資源、多角度觀測網(wǎng)絡運行狀態(tài)、對運行數(shù)據(jù)實施智能分析，實現(xiàn)對湖北轄內(nèi)業(yè)務網(wǎng)廣域網(wǎng)網(wǎng)絡運行情況的多層次、全方位可視化顯示，并根據(jù)用戶策略和業(yè)務連續(xù)性保障需求實現(xiàn)網(wǎng)絡流量集中管控、全局調度、實時優(yōu)化分流，提升網(wǎng)絡運維管理智能化水平。

二、業(yè)務網(wǎng)SD-WAN系統(tǒng)架構

（一）業(yè)務網(wǎng)廣域網(wǎng)網(wǎng)絡架構

武漢分行SD-WAN控制器通過分三級進行納管武漢分行、分行營業(yè)管理部及湖北轄內(nèi)12個地市中支（含營管部）、67個支行的路由器（路由交換一體機），構建SR（Segment Routing，分段路由）網(wǎng)絡架構；梳理分析武漢分行業(yè)務數(shù)據(jù)流，定義業(yè)務分組，對重要業(yè)務進行實時流量調度和QoS保障，保障業(yè)務的連續(xù)性；網(wǎng)絡拓撲及業(yè)務的可視化，實時呈現(xiàn)網(wǎng)絡設備和業(yè)務的健康程度，提高運維效率。各廣域網(wǎng)網(wǎng)絡設備接收SD-WAN控制器控制和管理，支持SNMP、NETCONF、BGP-LS、OpenFlow等協(xié)議，和Controller進行通信。同時在轉發(fā)層面進行優(yōu)化，支持Segment Routing、Openflow硬件轉發(fā)。

（二）SD-WAN控制器架構

SD-WAN控制器基于開源ODL平臺開發(fā)，具備支持各類APP集成的能力；根據(jù)廣域網(wǎng)不同業(yè)務場景開發(fā)，滿足用戶的實際需求；南向基于標準協(xié)議與硬件設備互通；北向面向用戶提供定制化的API接口，實現(xiàn)與編排系統(tǒng)的集成。通過調用APP提供的API接口，實現(xiàn)對各類業(yè)務的策略定義和管理編排，以及對轄內(nèi)業(yè)務網(wǎng)廣域網(wǎng)的實時監(jiān)控、可視化呈現(xiàn)、故障排查等，進而簡化網(wǎng)絡運維管理。系統(tǒng)整體如圖1所示分為南向接口、ODL、ADWAN APP、北向接口四個邏輯平面，各邏輯平面詳細介紹如下：

圖1 SD-WAN控制器架構

南向接口平面主要用于控制器與設備信息的交互、控制器采集網(wǎng)絡信息、控制器下發(fā)業(yè)務轉發(fā)信息等功能。

ODL平面又稱為控制器平臺層，提供基本網(wǎng)絡服務功能模塊，包括拓撲管理、統(tǒng)計管理模塊、轉發(fā)管理模塊、主機追蹤模塊、ARPHandler模塊、交換機管理模塊。

ADWAN APP平面：又稱控制器功能層，基于ODL平面的基礎數(shù)據(jù)庫生成面向運維人員的APP功能，以便提供新一代智能運維、管控、可視等方面的需求。

北向接口平面提供面向業(yè)務的RESTful API接口，第三方系統(tǒng)通過調用這些API接口，就可以很方便將ADWAN豐富的網(wǎng)絡能力集成進來，而不用關心網(wǎng)絡技術細節(jié)和設備上的差異，從而能更多的聚焦用戶業(yè)務編排和創(chuàng)新上。

三、主要做法

（一）完成廣域網(wǎng)設備硬件更新及軟件升級

武漢分行經(jīng)過多年的前期準備，分步實施網(wǎng)絡設備替換工作，先后更新分行下聯(lián)路由器、地市中支核心路由器及支行骨干路由交換設備，確保硬件設備均支持SDN。在此基礎上經(jīng)廠商實驗環(huán)境嚴格測試，確認了網(wǎng)絡設備最終適用的操作系統(tǒng)軟件版本，并完成湖北轄內(nèi)業(yè)務網(wǎng)路由器（路由交換一體機）的設備Comware軟件升級，為廣域網(wǎng)SDN正式實施提供基礎設施支撐。

（二）SD-WAN功能實施

1.增加網(wǎng)絡配置。

由于湖北轄內(nèi)業(yè)務網(wǎng)路由器設備均需納管到SD-WAN控制器上，需要設備能注冊到控制器上，由控制器進行統(tǒng)一管理；因此在所有需要SDWAN控制器管理的路由器上配置SNMP、BGP、Netconf等功能。在引入路由至SD-WAN網(wǎng)絡時，為防止路由環(huán)路，避免使用直接引入方式，通過network方式發(fā)布路由。

2.SD-WAN控制器部署。

梳理湖北轄內(nèi)各類業(yè)務系統(tǒng)涉及的數(shù)據(jù)流，在SD-WAN控制器上對數(shù)據(jù)流進行匹配實現(xiàn)對湖北轄內(nèi)網(wǎng)絡設備的納管。通過構建轄內(nèi)網(wǎng)絡拓撲，并開啟智能化、可視化、自動化功能，使其物理網(wǎng)絡結構、邏輯網(wǎng)絡結構、業(yè)務流以及管理數(shù)據(jù)流向直觀的投射在SD-WAN控制器上。

四、實施成效

（一）實時保障業(yè)務連續(xù)性

在傳統(tǒng)網(wǎng)絡架構下，如某條廣域網(wǎng)線路出現(xiàn)時延過大、抖動過大、線路擁塞、丟包率高等問題，路由層面無法動態(tài)感知底層鏈路質量，數(shù)據(jù)流到達設備后依然將數(shù)據(jù)流由故障線路轉發(fā)，必然造成相應業(yè)務不穩(wěn)定。部署SD-WAN后SDN控制器能實時感知底層網(wǎng)絡時延、抖動、帶寬、丟包等情況，通過智能分析廣域網(wǎng)線路質量，實現(xiàn)業(yè)務數(shù)據(jù)流的智能調度，通過優(yōu)化數(shù)據(jù)流轉發(fā)路徑實時保障重要業(yè)務的連續(xù)性。

（二）提高運維效率

傳統(tǒng)網(wǎng)絡運維依靠網(wǎng)管軟件等方式輔助運維人員進行維護，運維效率受限于個人能力差異以及響應時效等因素。特別是網(wǎng)絡業(yè)務割接或者故障處理時，往往因為運維人員個人經(jīng)驗以及能力等原因影響割接或處置進度，最終導致嚴重后果，增加運維的負擔。此外，在進行某個新業(yè)務的全網(wǎng)部署往往需要進行全網(wǎng)業(yè)務配置、發(fā)生安全問題需要進行快速端口控制、進行特定業(yè)務管控配置下發(fā)與收回等場景下，傳統(tǒng)的配置手段往往耗費大量人力且易出現(xiàn)人為故障，采用SDWAN技術可以通過業(yè)務配置自動化部署，降低操作失誤風險，縮短上線周期，減輕運維人員工作量。當網(wǎng)絡出現(xiàn)故障時，SDN控制器可實時查看網(wǎng)絡設備和業(yè)務流量的健康狀態(tài)，還可采用歷史圖表、報表的方式對廣域網(wǎng)鏈路質量和業(yè)務健康狀況進行分析，縮短故障處理時間，提高運維效率。

（三）提高主備線路的利用率

傳統(tǒng)網(wǎng)絡環(huán)境下為保障分行重要業(yè)務，通常采用分流及QoS的方式實現(xiàn)業(yè)務流在廣域網(wǎng)上主備線路的負載均衡，在實際的運維中往往會出現(xiàn)這樣的情況，比如當廣域網(wǎng)某條線路擁塞時,QoS通過尾丟棄的方式丟棄部分數(shù)據(jù)包，然而此時另一條廣域網(wǎng)線路可能負載不足20%；在SD-WAN環(huán)境中，可以通過自動化方式，快速開通或調整業(yè)務，提高大量網(wǎng)絡節(jié)點的業(yè)務管控效率，可動態(tài)或手動操作的方式實現(xiàn)業(yè)務流到不同廣域網(wǎng)線路上進行流量負載，從而提高廣域網(wǎng)線路利用率及業(yè)務體驗。

（四）實現(xiàn)業(yè)務可視化

由于人民銀行分支機構主要租用運營商MSTP線路組網(wǎng)，運營商傳輸往往會提供環(huán)路保護，并與用戶簽訂鏈路質量SLA。一般情況下即使主用鏈路出現(xiàn)故障還會由環(huán)鏈路保障連通性（當然，也有個別區(qū)域因為成本限制，運營商并沒有提供傳輸保護）。一旦運營商鏈路出現(xiàn)老化（傳輸層頻繁切換鏈路）、故障（工程施工導致的鏈路故障，由冗余鏈路接管），由于用戶端IP層應用無法感知底層質量劣化，仍按照IGP的Metric設計值進行轉發(fā)，如果此時有電視會議、保衛(wèi)監(jiān)控視頻傳輸?shù)葘W(wǎng)絡質量要求較高的業(yè)務，即使用戶網(wǎng)絡設備等信息基礎設施均完好，仍會出現(xiàn)視頻卡頓等問題，且傳統(tǒng)運維方式無法快速滿足問題定位、問題復現(xiàn)的需求。通過部署SDN控制器納管業(yè)務網(wǎng)廣域網(wǎng)設備，可以實時感知底層網(wǎng)絡時延、丟包、抖動、帶寬利用率情況，并采用歷史圖表、報表方式統(tǒng)計，基于軟件界面方式方便用戶快速查驗某個時間段的廣域網(wǎng)鏈路問題，讓用戶時刻了解網(wǎng)絡整體健康狀態(tài)。通過業(yè)務可視化，實時呈現(xiàn)業(yè)務的健康程度。不僅能滿足運維管理人員對業(yè)務的連通質量進行掌握需求，更能監(jiān)控到各業(yè)務的流量帶寬占用，方便后續(xù)廣域網(wǎng)鏈路提速擴容。一旦業(yè)務出現(xiàn)問題，運維人員可以快速識別和排查故障，讓網(wǎng)絡更易于運維。