李 堅(jiān)

（中國(guó)人民銀行武漢分行，湖北武漢 430071）

一、概述

武漢分行湖北全轄業(yè)務(wù)網(wǎng)廣域網(wǎng)采用核心、匯聚、接入分層的網(wǎng)絡(luò)架構(gòu)?？h支行作為接入層通過專線至地市中支進(jìn)行匯聚，再接入作為核心層的省級(jí)數(shù)據(jù)中心。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和業(yè)務(wù)承載量的逐步增大，這種傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的弊端也日益顯現(xiàn)。

為解決傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的痛點(diǎn)，簡(jiǎn)化運(yùn)維難度、節(jié)省運(yùn)維成本，滿足未來“數(shù)字央行”建設(shè)的需求。武漢分行在保持現(xiàn)有物理拓?fù)浣Y(jié)構(gòu)情況下，開展了業(yè)務(wù)網(wǎng)廣域網(wǎng)由傳統(tǒng)架構(gòu)到廣域網(wǎng)軟件定義網(wǎng)絡(luò)（SD-WAN）的改造實(shí)施。新上線的SD-WAN系統(tǒng)基于全局視角，通過統(tǒng)一整合轄內(nèi)廣域網(wǎng)網(wǎng)絡(luò)資源、多角度觀測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)、對(duì)運(yùn)行數(shù)據(jù)實(shí)施智能分析，實(shí)現(xiàn)對(duì)湖北轄內(nèi)業(yè)務(wù)網(wǎng)廣域網(wǎng)網(wǎng)絡(luò)運(yùn)行情況的多層次、全方位可視化顯示，并根據(jù)用戶策略和業(yè)務(wù)連續(xù)性保障需求實(shí)現(xiàn)網(wǎng)絡(luò)流量集中管控、全局調(diào)度、實(shí)時(shí)優(yōu)化分流，提升網(wǎng)絡(luò)運(yùn)維管理智能化水平。

二、業(yè)務(wù)網(wǎng)SD-WAN系統(tǒng)架構(gòu)

（一）業(yè)務(wù)網(wǎng)廣域網(wǎng)網(wǎng)絡(luò)架構(gòu)

武漢分行SD-WAN控制器通過分三級(jí)進(jìn)行納管武漢分行、分行營(yíng)業(yè)管理部及湖北轄內(nèi)12個(gè)地市中支（含營(yíng)管部）、67個(gè)支行的路由器（路由交換一體機(jī)），構(gòu)建SR（Segment Routing，分段路由）網(wǎng)絡(luò)架構(gòu)；梳理分析武漢分行業(yè)務(wù)數(shù)據(jù)流，定義業(yè)務(wù)分組，對(duì)重要業(yè)務(wù)進(jìn)行實(shí)時(shí)流量調(diào)度和QoS保障，保障業(yè)務(wù)的連續(xù)性；網(wǎng)絡(luò)拓?fù)浼皹I(yè)務(wù)的可視化，實(shí)時(shí)呈現(xiàn)網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)的健康程度，提高運(yùn)維效率。各廣域網(wǎng)網(wǎng)絡(luò)設(shè)備接收SD-WAN控制器控制和管理，支持SNMP、NETCONF、BGP-LS、OpenFlow等協(xié)議，和Controller進(jìn)行通信。同時(shí)在轉(zhuǎn)發(fā)層面進(jìn)行優(yōu)化，支持Segment Routing、Openflow硬件轉(zhuǎn)發(fā)。

（二）SD-WAN控制器架構(gòu)

SD-WAN控制器基于開源ODL平臺(tái)開發(fā)，具備支持各類APP集成的能力；根據(jù)廣域網(wǎng)不同業(yè)務(wù)場(chǎng)景開發(fā)，滿足用戶的實(shí)際需求；南向基于標(biāo)準(zhǔn)協(xié)議與硬件設(shè)備互通；北向面向用戶提供定制化的API接口，實(shí)現(xiàn)與編排系統(tǒng)的集成。通過調(diào)用APP提供的API接口，實(shí)現(xiàn)對(duì)各類業(yè)務(wù)的策略定義和管理編排，以及對(duì)轄內(nèi)業(yè)務(wù)網(wǎng)廣域網(wǎng)的實(shí)時(shí)監(jiān)控、可視化呈現(xiàn)、故障排查等，進(jìn)而簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維管理。系統(tǒng)整體如圖1所示分為南向接口、ODL、ADWAN APP、北向接口四個(gè)邏輯平面，各邏輯平面詳細(xì)介紹如下：

圖1 SD-WAN控制器架構(gòu)

南向接口平面主要用于控制器與設(shè)備信息的交互、控制器采集網(wǎng)絡(luò)信息、控制器下發(fā)業(yè)務(wù)轉(zhuǎn)發(fā)信息等功能。

ODL平面又稱為控制器平臺(tái)層，提供基本網(wǎng)絡(luò)服務(wù)功能模塊，包括拓?fù)涔芾?、統(tǒng)計(jì)管理模塊、轉(zhuǎn)發(fā)管理模塊、主機(jī)追蹤模塊、ARPHandler模塊、交換機(jī)管理模塊。

ADWAN APP平面：又稱控制器功能層，基于ODL平面的基礎(chǔ)數(shù)據(jù)庫(kù)生成面向運(yùn)維人員的APP功能，以便提供新一代智能運(yùn)維、管控、可視等方面的需求。

北向接口平面提供面向業(yè)務(wù)的RESTful API接口，第三方系統(tǒng)通過調(diào)用這些API接口，就可以很方便將ADWAN豐富的網(wǎng)絡(luò)能力集成進(jìn)來，而不用關(guān)心網(wǎng)絡(luò)技術(shù)細(xì)節(jié)和設(shè)備上的差異，從而能更多的聚焦用戶業(yè)務(wù)編排和創(chuàng)新上。

三、主要做法

（一）完成廣域網(wǎng)設(shè)備硬件更新及軟件升級(jí)

武漢分行經(jīng)過多年的前期準(zhǔn)備，分步實(shí)施網(wǎng)絡(luò)設(shè)備替換工作，先后更新分行下聯(lián)路由器、地市中支核心路由器及支行骨干路由交換設(shè)備，確保硬件設(shè)備均支持SDN。在此基礎(chǔ)上經(jīng)廠商實(shí)驗(yàn)環(huán)境嚴(yán)格測(cè)試，確認(rèn)了網(wǎng)絡(luò)設(shè)備最終適用的操作系統(tǒng)軟件版本，并完成湖北轄內(nèi)業(yè)務(wù)網(wǎng)路由器（路由交換一體機(jī)）的設(shè)備Comware軟件升級(jí)，為廣域網(wǎng)SDN正式實(shí)施提供基礎(chǔ)設(shè)施支撐。

（二）SD-WAN功能實(shí)施

1.增加網(wǎng)絡(luò)配置。

由于湖北轄內(nèi)業(yè)務(wù)網(wǎng)路由器設(shè)備均需納管到SD-WAN控制器上，需要設(shè)備能注冊(cè)到控制器上，由控制器進(jìn)行統(tǒng)一管理；因此在所有需要SDWAN控制器管理的路由器上配置SNMP、BGP、Netconf等功能。在引入路由至SD-WAN網(wǎng)絡(luò)時(shí)，為防止路由環(huán)路，避免使用直接引入方式，通過network方式發(fā)布路由。

2.SD-WAN控制器部署。

梳理湖北轄內(nèi)各類業(yè)務(wù)系統(tǒng)涉及的數(shù)據(jù)流，在SD-WAN控制器上對(duì)數(shù)據(jù)流進(jìn)行匹配實(shí)現(xiàn)對(duì)湖北轄內(nèi)網(wǎng)絡(luò)設(shè)備的納管。通過構(gòu)建轄內(nèi)網(wǎng)絡(luò)拓?fù)?，并開啟智能化、可視化、自動(dòng)化功能，使其物理網(wǎng)絡(luò)結(jié)構(gòu)、邏輯網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)流以及管理數(shù)據(jù)流向直觀的投射在SD-WAN控制器上。

四、實(shí)施成效

（一）實(shí)時(shí)保障業(yè)務(wù)連續(xù)性

在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下，如某條廣域網(wǎng)線路出現(xiàn)時(shí)延過大、抖動(dòng)過大、線路擁塞、丟包率高等問題，路由層面無法動(dòng)態(tài)感知底層鏈路質(zhì)量，數(shù)據(jù)流到達(dá)設(shè)備后依然將數(shù)據(jù)流由故障線路轉(zhuǎn)發(fā)，必然造成相應(yīng)業(yè)務(wù)不穩(wěn)定。部署SD-WAN后SDN控制器能實(shí)時(shí)感知底層網(wǎng)絡(luò)時(shí)延、抖動(dòng)、帶寬、丟包等情況，通過智能分析廣域網(wǎng)線路質(zhì)量，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)流的智能調(diào)度，通過優(yōu)化數(shù)據(jù)流轉(zhuǎn)發(fā)路徑實(shí)時(shí)保障重要業(yè)務(wù)的連續(xù)性。

（二）提高運(yùn)維效率

傳統(tǒng)網(wǎng)絡(luò)運(yùn)維依靠網(wǎng)管軟件等方式輔助運(yùn)維人員進(jìn)行維護(hù)，運(yùn)維效率受限于個(gè)人能力差異以及響應(yīng)時(shí)效等因素。特別是網(wǎng)絡(luò)業(yè)務(wù)割接或者故障處理時(shí)，往往因?yàn)檫\(yùn)維人員個(gè)人經(jīng)驗(yàn)以及能力等原因影響割接或處置進(jìn)度，最終導(dǎo)致嚴(yán)重后果，增加運(yùn)維的負(fù)擔(dān)。此外，在進(jìn)行某個(gè)新業(yè)務(wù)的全網(wǎng)部署往往需要進(jìn)行全網(wǎng)業(yè)務(wù)配置、發(fā)生安全問題需要進(jìn)行快速端口控制、進(jìn)行特定業(yè)務(wù)管控配置下發(fā)與收回等場(chǎng)景下，傳統(tǒng)的配置手段往往耗費(fèi)大量人力且易出現(xiàn)人為故障，采用SDWAN技術(shù)可以通過業(yè)務(wù)配置自動(dòng)化部署，降低操作失誤風(fēng)險(xiǎn)，縮短上線周期，減輕運(yùn)維人員工作量。當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，SDN控制器可實(shí)時(shí)查看網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)流量的健康狀態(tài)，還可采用歷史圖表、報(bào)表的方式對(duì)廣域網(wǎng)鏈路質(zhì)量和業(yè)務(wù)健康狀況進(jìn)行分析，縮短故障處理時(shí)間，提高運(yùn)維效率。

（三）提高主備線路的利用率

傳統(tǒng)網(wǎng)絡(luò)環(huán)境下為保障分行重要業(yè)務(wù)，通常采用分流及QoS的方式實(shí)現(xiàn)業(yè)務(wù)流在廣域網(wǎng)上主備線路的負(fù)載均衡，在實(shí)際的運(yùn)維中往往會(huì)出現(xiàn)這樣的情況，比如當(dāng)廣域網(wǎng)某條線路擁塞時(shí),QoS通過尾丟棄的方式丟棄部分?jǐn)?shù)據(jù)包，然而此時(shí)另一條廣域網(wǎng)線路可能負(fù)載不足20%；在SD-WAN環(huán)境中，可以通過自動(dòng)化方式，快速開通或調(diào)整業(yè)務(wù)，提高大量網(wǎng)絡(luò)節(jié)點(diǎn)的業(yè)務(wù)管控效率，可動(dòng)態(tài)或手動(dòng)操作的方式實(shí)現(xiàn)業(yè)務(wù)流到不同廣域網(wǎng)線路上進(jìn)行流量負(fù)載，從而提高廣域網(wǎng)線路利用率及業(yè)務(wù)體驗(yàn)。

（四）實(shí)現(xiàn)業(yè)務(wù)可視化

由于人民銀行分支機(jī)構(gòu)主要租用運(yùn)營(yíng)商MSTP線路組網(wǎng)，運(yùn)營(yíng)商傳輸往往會(huì)提供環(huán)路保護(hù)，并與用戶簽訂鏈路質(zhì)量SLA。一般情況下即使主用鏈路出現(xiàn)故障還會(huì)由環(huán)鏈路保障連通性（當(dāng)然，也有個(gè)別區(qū)域因?yàn)槌杀鞠拗?，運(yùn)營(yíng)商并沒有提供傳輸保護(hù)）。一旦運(yùn)營(yíng)商鏈路出現(xiàn)老化（傳輸層頻繁切換鏈路）、故障（工程施工導(dǎo)致的鏈路故障，由冗余鏈路接管），由于用戶端IP層應(yīng)用無法感知底層質(zhì)量劣化，仍按照IGP的Metric設(shè)計(jì)值進(jìn)行轉(zhuǎn)發(fā)，如果此時(shí)有電視會(huì)議、保衛(wèi)監(jiān)控視頻傳輸?shù)葘?duì)網(wǎng)絡(luò)質(zhì)量要求較高的業(yè)務(wù)，即使用戶網(wǎng)絡(luò)設(shè)備等信息基礎(chǔ)設(shè)施均完好，仍會(huì)出現(xiàn)視頻卡頓等問題，且傳統(tǒng)運(yùn)維方式無法快速滿足問題定位、問題復(fù)現(xiàn)的需求。通過部署SDN控制器納管業(yè)務(wù)網(wǎng)廣域網(wǎng)設(shè)備，可以實(shí)時(shí)感知底層網(wǎng)絡(luò)時(shí)延、丟包、抖動(dòng)、帶寬利用率情況，并采用歷史圖表、報(bào)表方式統(tǒng)計(jì)，基于軟件界面方式方便用戶快速查驗(yàn)?zāi)硞€(gè)時(shí)間段的廣域網(wǎng)鏈路問題，讓用戶時(shí)刻了解網(wǎng)絡(luò)整體健康狀態(tài)。通過業(yè)務(wù)可視化，實(shí)時(shí)呈現(xiàn)業(yè)務(wù)的健康程度。不僅能滿足運(yùn)維管理人員對(duì)業(yè)務(wù)的連通質(zhì)量進(jìn)行掌握需求，更能監(jiān)控到各業(yè)務(wù)的流量帶寬占用，方便后續(xù)廣域網(wǎng)鏈路提速擴(kuò)容。一旦業(yè)務(wù)出現(xiàn)問題，運(yùn)維人員可以快速識(shí)別和排查故障，讓網(wǎng)絡(luò)更易于運(yùn)維。