金融SD-WAN组网场景分析和方案设计

金融行业包含了银行、保险、证券等细分子行业，是国家经济的重要支撑。随着社交媒体以及移动技术的发展，互联网金融业务在快速发展，金融行业的传统业务模式正在发生变革。

（1）营业网点业务转型

除了传统的交易类业务，泛金融业务也正在快速地增长，如智能化及自助化的远程视频设备可用于金融行业的宣传和培训，提升客户体验，降低网点人员成本。移动网点因此打破了位置限制，实现了金融业务的广覆盖。传统的交易类业务数据流量较小，而现在新增的非交易类的视频类、语音类、社交类业务数据流量较大。

（2）业务和网络的扁平化

金融行业普遍采用分层网络结构，网点到总行的业务路径需要经过二级分行汇聚，进一步增加了时延，影响了SLA等级，流量在二级分行的汇聚逐渐成为三级分行和网点的瓶颈，进而影响二级以下分行业务的稳定性。然而，通过扩容二级分行汇聚设备来改善当前困境，存在扩容费用和IT建设费用高的问题。随着生产业务的扁平化，二/三级分行同步扁平化到普通网点层级，实行扁平化管理，则避免了前述问题，提升了经营层次，减少了管理成本，提高了经营效率。

（3）5G智能网点

随着5G时代的到来，金融行业也在探索新的业务模式，催生出无人值守智能网点。5G网络的大带宽和低时延特性使得通过远程视频坐席办理成为可能，也实现了高清视频监控的实时回传和安防监控的实时处理。此外，5G网络也助力承载物联网，构建万物互联，实现自动化、智能化地控制智能网点的终端设备（如智能门/窗帘/灯/新风系统等），真正做到无人值守。

（4）业务云化互联网金融的崛起加速了金融科技化的进程，同时，针对企业交易的场景化金融服务也依赖金融科技的进步。在互联网金融和场景化金融加速发展的趋势下，金融行业加速云化发展，网点及第三方便捷接入金融行业云成为金融机构接入网的发展方向。

本文以全国性商业银行某银行为例，给出了SD-WAN的场景分析和方案设计。

1．场景分析

某银行作为全国性商业银行，其分支机构遍布全国。在银行业务大发展的背景下，某银行传统的WAN网络架构已经无法适应业务发展的需要，面临一系列新的挑战，具体如下。

（1）专线价格昂贵，运营成本增加

某银行的应用部署在总行的数据中心，通过租用运营商专线可将银行分支网点连接到数据中心。为了提高大型分支网点接入的可靠性，通常租用两条不同的运营商专线。随着泛金融类业务的增加，需要更大的WAN线路带宽保证某银行分支网点的业务稳定性，例如人脸识别业务、视频会议等都需要大带宽的支持。某银行分支网点的专线运营成本不断攀升。

（2）专线业务开通周期长，业务灵活性差，无法支持网点的快速开通

传统专线网络可获取性较差，光纤/电缆需要单独部署，耗费的周期长。专线跨越多个网络/运营商时，将使业务的开通周期更长，导致业务不能灵活订购。互联网时代，某银行为了争取更多的客户，计划开通临时网点办理银行业务，但专线业务无法满足某银行的业务诉求。

（3）网络设备功能单一，业务扩展性差

某银行的网络设备大量使用单一功能的硬件，若需扩展新的功能，通常需要增加新设备，且部署周期长。

（4）无法适应云业务的发展

目前业界的IT基础设施和软件已经开始向云端迁移，要求网络功能软件化、网络能够随着业务自动调整。某银行的网络以硬件设备为中心，已经无法适应云业务的发展。

（5）网络管理和运维效率低

某银行的分支网点多达数百个，遍布全国各地，缺少统一的集中运维手段，需要大量的本地网络运维人员。随着云计算和移动互联网的快速发展，某银行内部的应用和数据流量的分布已经发生变化，传统网络的问题变得越来越不可预测且更加复杂。传统的采用命令行进行网络配置的方式效率低，故障定位时间长。

2．方案设计

某银行的SD-WAN解决方案的设计目标是开放、智能和分层，方案的主要特点如下。

扁平化改造省内网点，提升业务体验和网络可靠性。

通过互联网链路替代省[插图]外1分行到总行数据中心的跨省MSTP专线，降低银行WAN线路和站点的运营成本。

集中管理海量分支，基于网络控制器的统一可视化运维、策略下发、故障诊断等功能，帮助简化运维。

某银行的SD-WAN解决方案架构如图1所示。

图1 某银行SD-WAN解决方案架构

（1）总体规划

某银行在总行数据中心内部署SD-WAN网络控制器，同时对同城异地的两个数据中心（以下简称Hub站点）、全国各地多个分行（以下简称汇聚站点）和全国各地多个支行（以下简称Spoke站点）进行网络改造。

在总行数据中心部署SD-WAN网络控制器，用于对所有SD-WAN站点进行管理和业务编排。网络控制器南向IP地址采用双地址模式，SD-WAN站点可以在开局时选择通过MPLS链路或因特网链路向网络控制器注册。

对总行数据中心所在省份内的支行现网进行扁平化改造。总行主备数据中心分别部署Hub站点（每个站点部署2台CPE），省内支行部署Spoke站点（每个站点部署1～2台CPE）。

对总行数据中心所在省份之外的分行/支行采用分层组网，分行引入因特网链路替代跨省专线。省外分行部署汇聚站点（部署2台CPE）；省外支行部署Spoke站点（每个站点部署1～2台CPE）。

Overlay网络共规划两个路由域以及对应的传输网，分别对应Underlay网络的MPLS VPN和因特网。

首先部署SD-WAN网络控制器，其次部署总行数据中心Hub站点，再次部署省外分行汇聚站点，最后部署支行Spoke站点。

（2）站点设计

省内站点

总行主备数据中心部署双Hub站点，采用站点双网关方式组网，采用旁挂现网路由器的方式部署CPE。LAN侧与WAN侧的路由设计如下。

LAN侧接口与总行核心交换机建立OSPF邻居关系。

WAN侧通过两个接口连接总行现网路由器，Underlay网络通过静态路由指向总行现网路由器，Overlay网络通过隧道与分行及支行建立BGP邻居关系。Hub站点的每个CPE都有两条WAN链路，一条连接MPLS VPN，另一条连接因特网，即站点双网关共4条WAN链路（双MPLS链路+双因特网链路）。总行数据中心所在省份内的支行均部署Spoke站点，采用站点单网关或站点双网关组网。LAN侧与WAN侧的路由设计如下。

LAN侧接口与支行交换机建立OSPF邻居关系。

WAN侧接口连接支行现网路由器，Underlay网络层通过静态路由指向支行现网路由器，Overlay网络层通过隧道与总行建立BGP邻居关系。每个支行站点都有两条WAN链路，分别连接不同运营商的MPLS VPN。

省外站点

总行数据中心所在省份外的分行部署区域汇聚站点，采用站点双网关组网。LAN侧与WAN侧的路由设计如下。

LAN侧接口与分行现网路由器建立OSPF邻居关系。

WAN侧配置两个接口，其中一个接口连接分行出口防火墙，Underlay网络通过静态路由指向出口防火墙，Overlay网络通过隧道与总行Hub站点建立BGP邻居关系；另一个接口连接分行的现网路由器。每个省外分行站点的CPE都有两条WAN链路，一条连接到支行的MPLS VPN，另一条连接因特网，即站点双网关共4条WAN链路（双MPLS链路+双因特网链路）。总行数据中心所在省份外的支行部署Spoke站点，采用站点单网关或站点双网关组网。LAN侧与WAN侧的路由设计如下。

LAN侧接口与支行交换机建立OSPF邻居关系。

WAN侧配置两个接口，均连接支行现网路由器，Underlay网络通过静态路由指向支行现网路由器，Overlay网络通过省外支行与分行建立BGP邻居关系。每个省外支行站点都有两条WAN链路，连接到分行的MPLS VPN。

（3）组网设计

控制平面

总行Hub站点为RR站点（RR与Hub站点合设，该站点也称为RR站点），省内站点均以总行Hub设备为RR站点建立控制通道。省外分行汇聚站点也为RR站点，与本区域内所有省外支行站点建立控制通道，同时也与总行Hub站点以及其他省外分行站点建立基于Full-mesh拓扑的控制通道，使用BGP交互Overlay路由信息。

数据平面总行数据中心所在省份内采用Hub-spoke拓扑组网。

总体采用扁平化架构组网，不需要设计管理层级的汇聚站点，Hub站点与Spoke站点之间直接互联。省内站点以省内Hub站点作为区域Border站点。Hub站点与Spoke站点之间采用Hub-spoke拓扑组网，Hub站点与Spoke站点之间可直接通信，Spoke站点与Spoke站点之间的通信需要经过Hub站点。

省内支行基于省内MPLS VPN与总部Hub站点建立Overlay隧道。总行数据中心所在省份外采用分层拓扑组网。

总体采用总行（Hub站点）—分行（Border站点）—支行（Spoke站点）的架构，需要设计管理层级的汇聚站点。省外站点以分行站点作为区域Border站点，Border站点承载同区域内东西向及南北向的流量转发。区域内Spoke站点与区域外Hub站点之间通过Border站点互联。区域内支行间的业务互访通过Border站点中转。跨区域互访以Hub站点作为中转点，流量经过区域内Border站点到区域外Hub站点再转向其他站点。

省外分行站点与总行Hub站点基于因特网链路建立Overlay隧道，省外支行站点与省外分行站点基于MPLS VPN链路建立Overlay隧道。

（4）业务设计

站点互访SD-WAN站点间的Overlay隧道主要承载某银行的办公和生产业务。

通过自定义应用策略，采用源/目的IP地址的首包识别方式识别某银行的生产和办公业务，并对业务进行应用质量的监控与统计。

分行以及支行WAN侧出口为双WAN链路，通过对链路SLA质量的实时检测，使用智能选路功能将生产业务和办公业务分配到不同的WAN链路上，两条链路互为主备，基于丢包率/时延/抖动的阈值进行链路切换。

对于语音/视频会议业务的流量，通过应用识别和基于应用的QoS策略保障语音/视频会议的体验。

因特网访问

作为金融企业的某银行对因特网访问有严格的安全要求，SD-WAN解决方案采用集中上网访问的方式保障业务安全。

省内总行Hub站点是省内支行的集中上网点，上网流量经过Hub站点LAN侧出局访问因特网。

省外分行是省外所在区域内支行的集中上网点，省外支行上网流量通过Overlay隧道到达分行站点，经过LAN侧出局访问因特网。

与传统MPLS网络互通

对于某银行的SD-WAN站点需要与传统站点互通的场景，采用集中互访的方式，以总行Hub站点作为互访流量的集中出口，在网络控制器上部署与传统站点集中互访的功能，并选择Hub站点作为互访站点。

（5）安全设计

某银行的网络对数据传输的安全性要求很高，可选择采用如下措施。

通过防火墙间隧道提供安全保障：跨省防火墙之间建立IPSec隧道，保证私网流量可以穿越公网，同时保障数据传输的安全性。

通过SD-WAN Overlay隧道提供安全保障：SD-WAN中所有Overlay隧道，包括省内支行到总部、省外支行到省外分行、省外分行到总部等站点间的MPLS链路和因特网链路统一采用GRE over IPSec隧道，保障数据传输的安全性。

（6）运维设计

网络控制器作为集中的管控和运维平台，实现了网络和业务的状态可视（全局Dashboard、告警实时监控、拓扑、站点/站点间/应用状态监控等）、可管控（站点级配置、批量下发业务策略、灵活定义多种运维角色等）、可维护（可视化故障定位手段、远程SSH登录、设备系统/补丁批量升级等）。

设备开局：通过网络控制器配置站点的Underlay参数，网络管理员通过网络控制器指定开局邮件中的URL链接，完成开局信息配置，再将开局邮件发送至开局人员的邮箱。开局人员收到邮件后，通过浏览器访问邮件中的URL链接并启动开局流程，设备自动完成开局部署。

设备业务配置下发：网络管理员在网络控制器上配置站点设备的VLAN、三层接口、应用识别策略、QoS、ACL和选路策略等，设备完成注册上线后，网络控制器将配置下发到站点设备。

设备替换：当站点设备由于硬件故障等原因不能再继续使用时，需要维护人员使用新设备到现场替换故障设备，并对新设备重新进行邮件开局，新设备上线后，继续使用原有设备的业务配置。

以上就是金融SD-WAN组网场景分析和方案设计的介绍。

Vecloud作为国内的云服务综合解决方案提供商，拥有包括MPLS VPN、IPLC专线、云专线以及SD-WAN在内的多种产品，可为您提供专业、灵活、多样性的专线及SD-WAN组网解决方案。详询Vecloud客服电话 400-028-9798。