EN
首页 / 全部资讯 / SD-WAN / 金融SD-WAN组网场景分析和方案设计

金融SD-WAN组网场景分析和方案设计

时间:2022-02-09 13:01:53发布:http://www.vecloud.com 阅读量:123

金融行业包含了银行、保险、证券等细分子行业,是国家经济的重要支撑。随着社交媒体以及移动技术的发展,互联网金融业务在快速发展,金融行业的传统业务模式正在发生变革。

(1)营业网点业务转型

除了传统的交易类业务,泛金融业务也正在快速地增长,如智能化及自助化的远程视频设备可用于金融行业的宣传和培训,提升客户体验,降低网点人员成本。移动网点因此打破了位置限制,实现了金融业务的广覆盖。传统的交易类业务数据流量较小,而现在新增的非交易类的视频类、语音类、社交类业务数据流量较大。

(2)业务和网络的扁平化

金融行业普遍采用分层网络结构,网点到总行的业务路径需要经过二级分行汇聚,进一步增加了时延,影响了SLA等级,流量在二级分行的汇聚逐渐成为三级分行和网点的瓶颈,进而影响二级以下分行业务的稳定性。然而,通过扩容二级分行汇聚设备来改善当前困境,存在扩容费用和IT建设费用高的问题。随着生产业务的扁平化,二/三级分行同步扁平化到普通网点层级,实行扁平化管理,则避免了前述问题,提升了经营层次,减少了管理成本,提高了经营效率。

(3)5G智能网点

随着5G时代的到来,金融行业也在探索新的业务模式,催生出无人值守智能网点。5G网络的大带宽和低时延特性使得通过远程视频坐席办理成为可能,也实现了高清视频监控的实时回传和安防监控的实时处理。此外,5G网络也助力承载物联网,构建万物互联,实现自动化、智能化地控制智能网点的终端设备(如智能门/窗帘/灯/新风系统等),真正做到无人值守。

(4)业务云化互联网金融的崛起加速了金融科技化的进程,同时,针对企业交易的场景化金融服务也依赖金融科技的进步。在互联网金融和场景化金融加速发展的趋势下,金融行业加速云化发展,网点及第三方便捷接入金融行业云成为金融机构接入网的发展方向。

本文以全国性商业银行某银行为例,给出了SD-WAN的场景分析和方案设计。

1.场景分析

某银行作为全国性商业银行,其分支机构遍布全国。在银行业务大发展的背景下,某银行传统的WAN网络架构已经无法适应业务发展的需要,面临一系列新的挑战,具体如下。

(1)专线价格昂贵,运营成本增加

某银行的应用部署在总行的数据中心,通过租用运营商专线可将银行分支网点连接到数据中心。为了提高大型分支网点接入的可靠性,通常租用两条不同的运营商专线。随着泛金融类业务的增加,需要更大的WAN线路带宽保证某银行分支网点的业务稳定性,例如人脸识别业务、视频会议等都需要大带宽的支持。某银行分支网点的专线运营成本不断攀升。

(2)专线业务开通周期长,业务灵活性差,无法支持网点的快速开通

传统专线网络可获取性较差,光纤/电缆需要单独部署,耗费的周期长。专线跨越多个网络/运营商时,将使业务的开通周期更长,导致业务不能灵活订购。互联网时代,某银行为了争取更多的客户,计划开通临时网点办理银行业务,但专线业务无法满足某银行的业务诉求。

(3)网络设备功能单一,业务扩展性差

某银行的网络设备大量使用单一功能的硬件,若需扩展新的功能,通常需要增加新设备,且部署周期长。

(4)无法适应云业务的发展

目前业界的IT基础设施和软件已经开始向云端迁移,要求网络功能软件化、网络能够随着业务自动调整。某银行的网络以硬件设备为中心,已经无法适应云业务的发展。

(5)网络管理和运维效率低

某银行的分支网点多达数百个,遍布全国各地,缺少统一的集中运维手段,需要大量的本地网络运维人员。随着云计算和移动互联网的快速发展,某银行内部的应用和数据流量的分布已经发生变化,传统网络的问题变得越来越不可预测且更加复杂。传统的采用命令行进行网络配置的方式效率低,故障定位时间长。

2.方案设计

某银行的SD-WAN解决方案的设计目标是开放、智能和分层,方案的主要特点如下。

扁平化改造省内网点,提升业务体验和网络可靠性。

通过互联网链路替代省[插图]外1分行到总行数据中心的跨省MSTP专线,降低银行WAN线路和站点的运营成本。

集中管理海量分支,基于网络控制器的统一可视化运维、策略下发、故障诊断等功能,帮助简化运维。

某银行的SD-WAN解决方案架构如图1所示。

图1 某银行SD-WAN解决方案架构

(1)总体规划

某银行在总行数据中心内部署SD-WAN网络控制器,同时对同城异地的两个数据中心(以下简称Hub站点)、全国各地多个分行(以下简称汇聚站点)和全国各地多个支行(以下简称Spoke站点)进行网络改造。

在总行数据中心部署SD-WAN网络控制器,用于对所有SD-WAN站点进行管理和业务编排。网络控制器南向IP地址采用双地址模式,SD-WAN站点可以在开局时选择通过MPLS链路或因特网链路向网络控制器注册。

对总行数据中心所在省份内的支行现网进行扁平化改造。总行主备数据中心分别部署Hub站点(每个站点部署2台CPE),省内支行部署Spoke站点(每个站点部署1~2台CPE)。

对总行数据中心所在省份之外的分行/支行采用分层组网,分行引入因特网链路替代跨省专线。省外分行部署汇聚站点(部署2台CPE);省外支行部署Spoke站点(每个站点部署1~2台CPE)。

Overlay网络共规划两个路由域以及对应的传输网,分别对应Underlay网络的MPLS VPN和因特网。

首先部署SD-WAN网络控制器,其次部署总行数据中心Hub站点,再次部署省外分行汇聚站点,最后部署支行Spoke站点。

(2)站点设计

省内站点

总行主备数据中心部署双Hub站点,采用站点双网关方式组网,采用旁挂现网路由器的方式部署CPE。LAN侧与WAN侧的路由设计如下。

LAN侧接口与总行核心交换机建立OSPF邻居关系。

WAN侧通过两个接口连接总行现网路由器,Underlay网络通过静态路由指向总行现网路由器,Overlay网络通过隧道与分行及支行建立BGP邻居关系。Hub站点的每个CPE都有两条WAN链路,一条连接MPLS VPN,另一条连接因特网,即站点双网关共4条WAN链路(双MPLS链路+双因特网链路)。总行数据中心所在省份内的支行均部署Spoke站点,采用站点单网关或站点双网关组网。LAN侧与WAN侧的路由设计如下。

LAN侧接口与支行交换机建立OSPF邻居关系。

WAN侧接口连接支行现网路由器,Underlay网络层通过静态路由指向支行现网路由器,Overlay网络层通过隧道与总行建立BGP邻居关系。每个支行站点都有两条WAN链路,分别连接不同运营商的MPLS VPN。

省外站点

总行数据中心所在省份外的分行部署区域汇聚站点,采用站点双网关组网。LAN侧与WAN侧的路由设计如下。

LAN侧接口与分行现网路由器建立OSPF邻居关系。

WAN侧配置两个接口,其中一个接口连接分行出口防火墙,Underlay网络通过静态路由指向出口防火墙,Overlay网络通过隧道与总行Hub站点建立BGP邻居关系;另一个接口连接分行的现网路由器。每个省外分行站点的CPE都有两条WAN链路,一条连接到支行的MPLS VPN,另一条连接因特网,即站点双网关共4条WAN链路(双MPLS链路+双因特网链路)。总行数据中心所在省份外的支行部署Spoke站点,采用站点单网关或站点双网关组网。LAN侧与WAN侧的路由设计如下。

LAN侧接口与支行交换机建立OSPF邻居关系。

WAN侧配置两个接口,均连接支行现网路由器,Underlay网络通过静态路由指向支行现网路由器,Overlay网络通过省外支行与分行建立BGP邻居关系。每个省外支行站点都有两条WAN链路,连接到分行的MPLS VPN。

(3)组网设计

控制平面

总行Hub站点为RR站点(RR与Hub站点合设,该站点也称为RR站点),省内站点均以总行Hub设备为RR站点建立控制通道。省外分行汇聚站点也为RR站点,与本区域内所有省外支行站点建立控制通道,同时也与总行Hub站点以及其他省外分行站点建立基于Full-mesh拓扑的控制通道,使用BGP交互Overlay路由信息。

数据平面总行数据中心所在省份内采用Hub-spoke拓扑组网。

总体采用扁平化架构组网,不需要设计管理层级的汇聚站点,Hub站点与Spoke站点之间直接互联。省内站点以省内Hub站点作为区域Border站点。Hub站点与Spoke站点之间采用Hub-spoke拓扑组网,Hub站点与Spoke站点之间可直接通信,Spoke站点与Spoke站点之间的通信需要经过Hub站点。

省内支行基于省内MPLS VPN与总部Hub站点建立Overlay隧道。总行数据中心所在省份外采用分层拓扑组网。

总体采用总行(Hub站点)—分行(Border站点)—支行(Spoke站点)的架构,需要设计管理层级的汇聚站点。省外站点以分行站点作为区域Border站点,Border站点承载同区域内东西向及南北向的流量转发。区域内Spoke站点与区域外Hub站点之间通过Border站点互联。区域内支行间的业务互访通过Border站点中转。跨区域互访以Hub站点作为中转点,流量经过区域内Border站点到区域外Hub站点再转向其他站点。

省外分行站点与总行Hub站点基于因特网链路建立Overlay隧道,省外支行站点与省外分行站点基于MPLS VPN链路建立Overlay隧道。

(4)业务设计

站点互访SD-WAN站点间的Overlay隧道主要承载某银行的办公和生产业务。

通过自定义应用策略,采用源/目的IP地址的首包识别方式识别某银行的生产和办公业务,并对业务进行应用质量的监控与统计。

分行以及支行WAN侧出口为双WAN链路,通过对链路SLA质量的实时检测,使用智能选路功能将生产业务和办公业务分配到不同的WAN链路上,两条链路互为主备,基于丢包率/时延/抖动的阈值进行链路切换。

对于语音/视频会议业务的流量,通过应用识别和基于应用的QoS策略保障语音/视频会议的体验。

因特网访问

作为金融企业的某银行对因特网访问有严格的安全要求,SD-WAN解决方案采用集中上网访问的方式保障业务安全。

省内总行Hub站点是省内支行的集中上网点,上网流量经过Hub站点LAN侧出局访问因特网。

省外分行是省外所在区域内支行的集中上网点,省外支行上网流量通过Overlay隧道到达分行站点,经过LAN侧出局访问因特网。

与传统MPLS网络互通

对于某银行的SD-WAN站点需要与传统站点互通的场景,采用集中互访的方式,以总行Hub站点作为互访流量的集中出口,在网络控制器上部署与传统站点集中互访的功能,并选择Hub站点作为互访站点。

(5)安全设计

某银行的网络对数据传输的安全性要求很高,可选择采用如下措施。

通过防火墙间隧道提供安全保障:跨省防火墙之间建立IPSec隧道,保证私网流量可以穿越公网,同时保障数据传输的安全性。

通过SD-WAN Overlay隧道提供安全保障:SD-WAN中所有Overlay隧道,包括省内支行到总部、省外支行到省外分行、省外分行到总部等站点间的MPLS链路和因特网链路统一采用GRE over IPSec隧道,保障数据传输的安全性。

(6)运维设计

网络控制器作为集中的管控和运维平台,实现了网络和业务的状态可视(全局Dashboard、告警实时监控、拓扑、站点/站点间/应用状态监控等)、可管控(站点级配置、批量下发业务策略、灵活定义多种运维角色等)、可维护(可视化故障定位手段、远程SSH登录、设备系统/补丁批量升级等)。

设备开局:通过网络控制器配置站点的Underlay参数,网络管理员通过网络控制器指定开局邮件中的URL链接,完成开局信息配置,再将开局邮件发送至开局人员的邮箱。开局人员收到邮件后,通过浏览器访问邮件中的URL链接并启动开局流程,设备自动完成开局部署。

设备业务配置下发:网络管理员在网络控制器上配置站点设备的VLAN、三层接口、应用识别策略、QoS、ACL和选路策略等,设备完成注册上线后,网络控制器将配置下发到站点设备。

设备替换:当站点设备由于硬件故障等原因不能再继续使用时,需要维护人员使用新设备到现场替换故障设备,并对新设备重新进行邮件开局,新设备上线后,继续使用原有设备的业务配置。

以上就是金融SD-WAN组网场景分析和方案设计的介绍。

Vecloud作为国内专业的云服务综合解决方案提供商,拥有包括MPLS VPN、IPLC专线云专线以及SD-WAN在内的多种产品,可为您提供专业、灵活、多样性的专线及SD-WAN组网解决方案。详询Vecloud客服电话 400-028-9798。

400-028-9798
vecloud-微云