人民銀行業務網廣域網SDN應用實踐

李 堅

（中國人民銀行武漢分行，湖北武漢 430071）

一、概述

武漢分行湖北全轄業務網廣域網采用核心、匯聚、接入分層的網絡架構。縣支行作為接入層通過專線至地市中支進行匯聚，再接入作為核心層的省級數據中心。隨著網絡技術的快速發展和業務承載量的逐步增大，這種傳統網絡架構的弊端也日益顯現。

為解決傳統網絡架構的痛點，簡化運維難度、節省運維成本，滿足未來“數字央行”建設的需求。武漢分行在保持現有物理拓撲結構情況下，開展了業務網廣域網由傳統架構到廣域網軟件定義網絡（SD-WAN）的改造實施。新上線的SD-WAN系統基于全局視角，通過統一整合轄內廣域網網絡資源、多角度觀測網絡運行狀態、對運行數據實施智能分析，實現對湖北轄內業務網廣域網網絡運行情況的多層次、全方位可視化顯示，并根據用戶策略和業務連續性保障需求實現網絡流量集中管控、全局調度、實時優化分流，提升網絡運維管理智能化水平。

二、業務網SD-WAN系統架構

（一）業務網廣域網網絡架構

武漢分行SD-WAN控制器通過分三級進行納管武漢分行、分行營業管理部及湖北轄內12個地市中支（含營管部）、67個支行的路由器（路由交換一體機），構建SR（Segment Routing，分段路由）網絡架構；梳理分析武漢分行業務數據流，定義業務分組，對重要業務進行實時流量調度和QoS保障，保障業務的連續性；網絡拓撲及業務的可視化，實時呈現網絡設備和業務的健康程度，提高運維效率。各廣域網網絡設備接收SD-WAN控制器控制和管理，支持SNMP、NETCONF、BGP-LS、OpenFlow等協議，和Controller進行通信。同時在轉發層面進行優化，支持Segment Routing、Openflow硬件轉發。

（二）SD-WAN控制器架構

SD-WAN控制器基于開源ODL平臺開發，具備支持各類APP集成的能力；根據廣域網不同業務場景開發，滿足用戶的實際需求；南向基于標準協議與硬件設備互通；北向面向用戶提供定制化的API接口，實現與編排系統的集成。通過調用APP提供的API接口，實現對各類業務的策略定義和管理編排，以及對轄內業務網廣域網的實時監控、可視化呈現、故障排查等，進而簡化網絡運維管理。系統整體如圖1所示分為南向接口、ODL、ADWAN APP、北向接口四個邏輯平面，各邏輯平面詳細介紹如下：

圖1 SD-WAN控制器架構

南向接口平面主要用于控制器與設備信息的交互、控制器采集網絡信息、控制器下發業務轉發信息等功能。

ODL平面又稱為控制器平臺層，提供基本網絡服務功能模塊，包括拓撲管理、統計管理模塊、轉發管理模塊、主機追蹤模塊、ARPHandler模塊、交換機管理模塊。

ADWAN APP平面：又稱控制器功能層，基于ODL平面的基礎數據庫生成面向運維人員的APP功能，以便提供新一代智能運維、管控、可視等方面的需求。

北向接口平面提供面向業務的RESTful API接口，第三方系統通過調用這些API接口，就可以很方便將ADWAN豐富的網絡能力集成進來，而不用關心網絡技術細節和設備上的差異，從而能更多的聚焦用戶業務編排和創新上。

三、主要做法

（一）完成廣域網設備硬件更新及軟件升級

武漢分行經過多年的前期準備，分步實施網絡設備替換工作，先后更新分行下聯路由器、地市中支核心路由器及支行骨干路由交換設備，確保硬件設備均支持SDN。在此基礎上經廠商實驗環境嚴格測試，確認了網絡設備最終適用的操作系統軟件版本，并完成湖北轄內業務網路由器（路由交換一體機）的設備Comware軟件升級，為廣域網SDN正式實施提供基礎設施支撐。

（二）SD-WAN功能實施

1.增加網絡配置。

由于湖北轄內業務網路由器設備均需納管到SD-WAN控制器上，需要設備能注冊到控制器上，由控制器進行統一管理；因此在所有需要SDWAN控制器管理的路由器上配置SNMP、BGP、Netconf等功能。在引入路由至SD-WAN網絡時，為防止路由環路，避免使用直接引入方式，通過network方式發布路由。

2.SD-WAN控制器部署。

梳理湖北轄內各類業務系統涉及的數據流，在SD-WAN控制器上對數據流進行匹配實現對湖北轄內網絡設備的納管。通過構建轄內網絡拓撲，并開啟智能化、可視化、自動化功能，使其物理網絡結構、邏輯網絡結構、業務流以及管理數據流向直觀的投射在SD-WAN控制器上。

四、實施成效

（一）實時保障業務連續性

在傳統網絡架構下，如某條廣域網線路出現時延過大、抖動過大、線路擁塞、丟包率高等問題，路由層面無法動態感知底層鏈路質量，數據流到達設備后依然將數據流由故障線路轉發，必然造成相應業務不穩定。部署SD-WAN后SDN控制器能實時感知底層網絡時延、抖動、帶寬、丟包等情況，通過智能分析廣域網線路質量，實現業務數據流的智能調度，通過優化數據流轉發路徑實時保障重要業務的連續性。

（二）提高運維效率

傳統網絡運維依靠網管軟件等方式輔助運維人員進行維護，運維效率受限于個人能力差異以及響應時效等因素。特別是網絡業務割接或者故障處理時，往往因為運維人員個人經驗以及能力等原因影響割接或處置進度，最終導致嚴重后果，增加運維的負擔。此外，在進行某個新業務的全網部署往往需要進行全網業務配置、發生安全問題需要進行快速端口控制、進行特定業務管控配置下發與收回等場景下，傳統的配置手段往往耗費大量人力且易出現人為故障，采用SDWAN技術可以通過業務配置自動化部署，降低操作失誤風險，縮短上線周期，減輕運維人員工作量。當網絡出現故障時，SDN控制器可實時查看網絡設備和業務流量的健康狀態，還可采用歷史圖表、報表的方式對廣域網鏈路質量和業務健康狀況進行分析，縮短故障處理時間，提高運維效率。

（三）提高主備線路的利用率

傳統網絡環境下為保障分行重要業務，通常采用分流及QoS的方式實現業務流在廣域網上主備線路的負載均衡，在實際的運維中往往會出現這樣的情況，比如當廣域網某條線路擁塞時,QoS通過尾丟棄的方式丟棄部分數據包，然而此時另一條廣域網線路可能負載不足20%；在SD-WAN環境中，可以通過自動化方式，快速開通或調整業務，提高大量網絡節點的業務管控效率，可動態或手動操作的方式實現業務流到不同廣域網線路上進行流量負載，從而提高廣域網線路利用率及業務體驗。

（四）實現業務可視化

由于人民銀行分支機構主要租用運營商MSTP線路組網，運營商傳輸往往會提供環路保護，并與用戶簽訂鏈路質量SLA。一般情況下即使主用鏈路出現故障還會由環鏈路保障連通性（當然，也有個別區域因為成本限制，運營商并沒有提供傳輸保護）。一旦運營商鏈路出現老化（傳輸層頻繁切換鏈路）、故障（工程施工導致的鏈路故障，由冗余鏈路接管），由于用戶端IP層應用無法感知底層質量劣化，仍按照IGP的Metric設計值進行轉發，如果此時有電視會議、保衛監控視頻傳輸等對網絡質量要求較高的業務，即使用戶網絡設備等信息基礎設施均完好，仍會出現視頻卡頓等問題，且傳統運維方式無法快速滿足問題定位、問題復現的需求。通過部署SDN控制器納管業務網廣域網設備，可以實時感知底層網絡時延、丟包、抖動、帶寬利用率情況，并采用歷史圖表、報表方式統計，基于軟件界面方式方便用戶快速查驗某個時間段的廣域網鏈路問題，讓用戶時刻了解網絡整體健康狀態。通過業務可視化，實時呈現業務的健康程度。不僅能滿足運維管理人員對業務的連通質量進行掌握需求，更能監控到各業務的流量帶寬占用，方便后續廣域網鏈路提速擴容。一旦業務出現問題，運維人員可以快速識別和排查故障，讓網絡更易于運維。