李 堅

（中國人民銀行武漢分行，湖北武漢 430071）

一、概述

武漢分行湖北全轄業(yè)務(wù)網(wǎng)廣域網(wǎng)采用核心、匯聚、接入分層的網(wǎng)絡(luò)架構(gòu)?？h支行作為接入層通過專線至地市中支進行匯聚，再接入作為核心層的省級數(shù)據(jù)中心。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和業(yè)務(wù)承載量的逐步增大，這種傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的弊端也日益顯現(xiàn)。

為解決傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的痛點，簡化運維難度、節(jié)省運維成本，滿足未來“數(shù)字央行”建設(shè)的需求。武漢分行在保持現(xiàn)有物理拓撲結(jié)構(gòu)情況下，開展了業(yè)務(wù)網(wǎng)廣域網(wǎng)由傳統(tǒng)架構(gòu)到廣域網(wǎng)軟件定義網(wǎng)絡(luò)（SD-WAN）的改造實施。新上線的SD-WAN系統(tǒng)基于全局視角，通過統(tǒng)一整合轄內(nèi)廣域網(wǎng)網(wǎng)絡(luò)資源、多角度觀測網(wǎng)絡(luò)運行狀態(tài)、對運行數(shù)據(jù)實施智能分析，實現(xiàn)對湖北轄內(nèi)業(yè)務(wù)網(wǎng)廣域網(wǎng)網(wǎng)絡(luò)運行情況的多層次、全方位可視化顯示，并根據(jù)用戶策略和業(yè)務(wù)連續(xù)性保障需求實現(xiàn)網(wǎng)絡(luò)流量集中管控、全局調(diào)度、實時優(yōu)化分流，提升網(wǎng)絡(luò)運維管理智能化水平。

二、業(yè)務(wù)網(wǎng)SD-WAN系統(tǒng)架構(gòu)

（一）業(yè)務(wù)網(wǎng)廣域網(wǎng)網(wǎng)絡(luò)架構(gòu)

武漢分行SD-WAN控制器通過分三級進行納管武漢分行、分行營業(yè)管理部及湖北轄內(nèi)12個地市中支（含營管部）、67個支行的路由器（路由交換一體機），構(gòu)建SR（Segment Routing，分段路由）網(wǎng)絡(luò)架構(gòu)；梳理分析武漢分行業(yè)務(wù)數(shù)據(jù)流，定義業(yè)務(wù)分組，對重要業(yè)務(wù)進行實時流量調(diào)度和QoS保障，保障業(yè)務(wù)的連續(xù)性；網(wǎng)絡(luò)拓撲及業(yè)務(wù)的可視化，實時呈現(xiàn)網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)的健康程度，提高運維效率。各廣域網(wǎng)網(wǎng)絡(luò)設(shè)備接收SD-WAN控制器控制和管理，支持SNMP、NETCONF、BGP-LS、OpenFlow等協(xié)議，和Controller進行通信。同時在轉(zhuǎn)發(fā)層面進行優(yōu)化，支持Segment Routing、Openflow硬件轉(zhuǎn)發(fā)。

（二）SD-WAN控制器架構(gòu)

SD-WAN控制器基于開源ODL平臺開發(fā)，具備支持各類APP集成的能力；根據(jù)廣域網(wǎng)不同業(yè)務(wù)場景開發(fā)，滿足用戶的實際需求；南向基于標準協(xié)議與硬件設(shè)備互通；北向面向用戶提供定制化的API接口，實現(xiàn)與編排系統(tǒng)的集成。通過調(diào)用APP提供的API接口，實現(xiàn)對各類業(yè)務(wù)的策略定義和管理編排，以及對轄內(nèi)業(yè)務(wù)網(wǎng)廣域網(wǎng)的實時監(jiān)控、可視化呈現(xiàn)、故障排查等，進而簡化網(wǎng)絡(luò)運維管理。系統(tǒng)整體如圖1所示分為南向接口、ODL、ADWAN APP、北向接口四個邏輯平面，各邏輯平面詳細介紹如下：

圖1 SD-WAN控制器架構(gòu)

南向接口平面主要用于控制器與設(shè)備信息的交互、控制器采集網(wǎng)絡(luò)信息、控制器下發(fā)業(yè)務(wù)轉(zhuǎn)發(fā)信息等功能。

ODL平面又稱為控制器平臺層，提供基本網(wǎng)絡(luò)服務(wù)功能模塊，包括拓撲管理、統(tǒng)計管理模塊、轉(zhuǎn)發(fā)管理模塊、主機追蹤模塊、ARPHandler模塊、交換機管理模塊。

ADWAN APP平面：又稱控制器功能層，基于ODL平面的基礎(chǔ)數(shù)據(jù)庫生成面向運維人員的APP功能，以便提供新一代智能運維、管控、可視等方面的需求。

北向接口平面提供面向業(yè)務(wù)的RESTful API接口，第三方系統(tǒng)通過調(diào)用這些API接口，就可以很方便將ADWAN豐富的網(wǎng)絡(luò)能力集成進來，而不用關(guān)心網(wǎng)絡(luò)技術(shù)細節(jié)和設(shè)備上的差異，從而能更多的聚焦用戶業(yè)務(wù)編排和創(chuàng)新上。

三、主要做法

（一）完成廣域網(wǎng)設(shè)備硬件更新及軟件升級

武漢分行經(jīng)過多年的前期準備，分步實施網(wǎng)絡(luò)設(shè)備替換工作，先后更新分行下聯(lián)路由器、地市中支核心路由器及支行骨干路由交換設(shè)備，確保硬件設(shè)備均支持SDN。在此基礎(chǔ)上經(jīng)廠商實驗環(huán)境嚴格測試，確認了網(wǎng)絡(luò)設(shè)備最終適用的操作系統(tǒng)軟件版本，并完成湖北轄內(nèi)業(yè)務(wù)網(wǎng)路由器（路由交換一體機）的設(shè)備Comware軟件升級，為廣域網(wǎng)SDN正式實施提供基礎(chǔ)設(shè)施支撐。

（二）SD-WAN功能實施

1.增加網(wǎng)絡(luò)配置。

由于湖北轄內(nèi)業(yè)務(wù)網(wǎng)路由器設(shè)備均需納管到SD-WAN控制器上，需要設(shè)備能注冊到控制器上，由控制器進行統(tǒng)一管理；因此在所有需要SDWAN控制器管理的路由器上配置SNMP、BGP、Netconf等功能。在引入路由至SD-WAN網(wǎng)絡(luò)時，為防止路由環(huán)路，避免使用直接引入方式，通過network方式發(fā)布路由。

2.SD-WAN控制器部署。

梳理湖北轄內(nèi)各類業(yè)務(wù)系統(tǒng)涉及的數(shù)據(jù)流，在SD-WAN控制器上對數(shù)據(jù)流進行匹配實現(xiàn)對湖北轄內(nèi)網(wǎng)絡(luò)設(shè)備的納管。通過構(gòu)建轄內(nèi)網(wǎng)絡(luò)拓撲，并開啟智能化、可視化、自動化功能，使其物理網(wǎng)絡(luò)結(jié)構(gòu)、邏輯網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)流以及管理數(shù)據(jù)流向直觀的投射在SD-WAN控制器上。

四、實施成效

（一）實時保障業(yè)務(wù)連續(xù)性

在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下，如某條廣域網(wǎng)線路出現(xiàn)時延過大、抖動過大、線路擁塞、丟包率高等問題，路由層面無法動態(tài)感知底層鏈路質(zhì)量，數(shù)據(jù)流到達設(shè)備后依然將數(shù)據(jù)流由故障線路轉(zhuǎn)發(fā)，必然造成相應(yīng)業(yè)務(wù)不穩(wěn)定。部署SD-WAN后SDN控制器能實時感知底層網(wǎng)絡(luò)時延、抖動、帶寬、丟包等情況，通過智能分析廣域網(wǎng)線路質(zhì)量，實現(xiàn)業(yè)務(wù)數(shù)據(jù)流的智能調(diào)度，通過優(yōu)化數(shù)據(jù)流轉(zhuǎn)發(fā)路徑實時保障重要業(yè)務(wù)的連續(xù)性。

（二）提高運維效率

傳統(tǒng)網(wǎng)絡(luò)運維依靠網(wǎng)管軟件等方式輔助運維人員進行維護，運維效率受限于個人能力差異以及響應(yīng)時效等因素。特別是網(wǎng)絡(luò)業(yè)務(wù)割接或者故障處理時，往往因為運維人員個人經(jīng)驗以及能力等原因影響割接或處置進度，最終導(dǎo)致嚴重后果，增加運維的負擔。此外，在進行某個新業(yè)務(wù)的全網(wǎng)部署往往需要進行全網(wǎng)業(yè)務(wù)配置、發(fā)生安全問題需要進行快速端口控制、進行特定業(yè)務(wù)管控配置下發(fā)與收回等場景下，傳統(tǒng)的配置手段往往耗費大量人力且易出現(xiàn)人為故障，采用SDWAN技術(shù)可以通過業(yè)務(wù)配置自動化部署，降低操作失誤風險，縮短上線周期，減輕運維人員工作量。當網(wǎng)絡(luò)出現(xiàn)故障時，SDN控制器可實時查看網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)流量的健康狀態(tài)，還可采用歷史圖表、報表的方式對廣域網(wǎng)鏈路質(zhì)量和業(yè)務(wù)健康狀況進行分析，縮短故障處理時間，提高運維效率。

（三）提高主備線路的利用率

傳統(tǒng)網(wǎng)絡(luò)環(huán)境下為保障分行重要業(yè)務(wù)，通常采用分流及QoS的方式實現(xiàn)業(yè)務(wù)流在廣域網(wǎng)上主備線路的負載均衡，在實際的運維中往往會出現(xiàn)這樣的情況，比如當廣域網(wǎng)某條線路擁塞時,QoS通過尾丟棄的方式丟棄部分數(shù)據(jù)包，然而此時另一條廣域網(wǎng)線路可能負載不足20%；在SD-WAN環(huán)境中，可以通過自動化方式，快速開通或調(diào)整業(yè)務(wù)，提高大量網(wǎng)絡(luò)節(jié)點的業(yè)務(wù)管控效率，可動態(tài)或手動操作的方式實現(xiàn)業(yè)務(wù)流到不同廣域網(wǎng)線路上進行流量負載，從而提高廣域網(wǎng)線路利用率及業(yè)務(wù)體驗。

（四）實現(xiàn)業(yè)務(wù)可視化

由于人民銀行分支機構(gòu)主要租用運營商MSTP線路組網(wǎng)，運營商傳輸往往會提供環(huán)路保護，并與用戶簽訂鏈路質(zhì)量SLA。一般情況下即使主用鏈路出現(xiàn)故障還會由環(huán)鏈路保障連通性（當然，也有個別區(qū)域因為成本限制，運營商并沒有提供傳輸保護）。一旦運營商鏈路出現(xiàn)老化（傳輸層頻繁切換鏈路）、故障（工程施工導(dǎo)致的鏈路故障，由冗余鏈路接管），由于用戶端IP層應(yīng)用無法感知底層質(zhì)量劣化，仍按照IGP的Metric設(shè)計值進行轉(zhuǎn)發(fā)，如果此時有電視會議、保衛(wèi)監(jiān)控視頻傳輸?shù)葘W(wǎng)絡(luò)質(zhì)量要求較高的業(yè)務(wù)，即使用戶網(wǎng)絡(luò)設(shè)備等信息基礎(chǔ)設(shè)施均完好，仍會出現(xiàn)視頻卡頓等問題，且傳統(tǒng)運維方式無法快速滿足問題定位、問題復(fù)現(xiàn)的需求。通過部署SDN控制器納管業(yè)務(wù)網(wǎng)廣域網(wǎng)設(shè)備，可以實時感知底層網(wǎng)絡(luò)時延、丟包、抖動、帶寬利用率情況，并采用歷史圖表、報表方式統(tǒng)計，基于軟件界面方式方便用戶快速查驗?zāi)硞€時間段的廣域網(wǎng)鏈路問題，讓用戶時刻了解網(wǎng)絡(luò)整體健康狀態(tài)。通過業(yè)務(wù)可視化，實時呈現(xiàn)業(yè)務(wù)的健康程度。不僅能滿足運維管理人員對業(yè)務(wù)的連通質(zhì)量進行掌握需求，更能監(jiān)控到各業(yè)務(wù)的流量帶寬占用，方便后續(xù)廣域網(wǎng)鏈路提速擴容。一旦業(yè)務(wù)出現(xiàn)問題，運維人員可以快速識別和排查故障，讓網(wǎng)絡(luò)更易于運維。