金融数据中心SDN骨干网技术研究与实践

当前，随着网络技术的快速发展，金融业数据中心骨干网建设也不断更新。以邮储银行为例，经过多年发展建设，邮储银行数据中心骨干网已逐步形成以北京丰台和亦庄、河北廊坊和安徽合肥“三地四中心”为核心的多中心格局，然而，因依旧采用传统的“传输网+IP路由”组网，已难以满足快速发展的业务需求，尤其在业务分流、网络调整、流量优化等方面更是瓶颈凸显。为应对上述挑战，邮储银行在骨干网建设方面展开积极探索，并采用“SDN+SRv6”技术构建了数据中心间SDNWAN新一代骨干网，为邮储银行业务发展提供了一个更新、更快、更便捷的网络基础平台。一、骨干网需求模型设计近年来，随着“多活数据中心一张网”概念的深度推广，核心骨干网不仅要能够承载多种业务，且不同类型业务之间与主干链路还需要满足安全隔离要求，并支持根据实际业务需求动态调整现有链路带宽。同时，骨干网络需要满足与数据中心网络、分行接入网络解耦，以及在网络架构上能够做到分区、分层，实现弹性伸缩与故障域隔离。此外，还需要充分保障骨干网络的高可用性、冗余性和稳定性，实现快速统一成熟部署配置。结合上述理念，新一代数据中心骨干网在引入分层思想的基础上，应重点以基础架构层、网络资源层和网络服务层为核心设计，同时持续加强网络安全和监控管理，并满足如下细分要求。一是在基础架构层方面，应实现标准一致、弹性可控、易扩展，即基于标准的分层架构，实现骨干网和接入层网络解耦、骨干网架构与接入模型标准化，以及后续核心节点易扩展，以便于附属机构、第三方按标准模型直接接入，支撑业务快速上线。二是在网络资源层方面，应满足高可靠、高性能要求，实现按需调度、灵活承载，即基于网络、链路、设备等多维度进行高可靠设计，实现控制面和转发面解耦。同时，骨干网链路资源池化，按需进行带宽资源分配，满足业务随时按需接入，保障业务交互质量，实现不同类型业务灵活承载。三是在网络服务层方面，实现高效、开放，以及整网时延和收敛可控，支持业务对骨干网时延和收敛的要求。网络能力更加开放，可演进，可满足未来的业务发展需要。四是在网络监控管理方面，达到全景、可视。监控管理上能够全面展现应用流信息，实现应用流可视、可预测，采用成熟、开放的网络技术，降低维护复杂度，提升自动化能力，实现故障快速定界和恢复。五是在网络安全方面，针对不同类型业务实现安全隔离，并基于业务类型采用不同的保障策略，以满足信息安全等级保护的技术要求，实现监管合规。二、骨干网演进路线选型近年来，随着金融业务的快速发展，多中心多业务互通对网络资源和性能的要求越来越高，邮储银行采用传统“传输网+IP路由”方式构建的骨干网也暴露出诸多问题，如采用传输隔离网络带宽资源不能灵活使用、传输带宽调整死板、IP业务路径复杂等，导致随着业务的相继开通原有架构变得越来越复杂，维护越来越困难。SR技术的创新发展为新一代骨干网建设提供了实践思路，其核心思想是将报文转发路径切割为不同的分段，并在路径头节点往报文中插入分段信息，中间节点只需要按照报文里携带的分段信息转发即可。在此基础上，SR技术结合SDN控制器即可以轻松实现集中控制、分布转发、全局转发路径统一调度等多项诉求。截至目前，业界已有多家金融机构搭建了基于SRv6技术的SDN骨干网络，其建设路径基本为首先从IPv4网络升级到SR-MPLS架构，再进一步演进到SRv6。邮储银行结合自身数据中心骨干网特点和需求，在充分论证后选择直接从IPv4网络升级到SRv6网络，并采用了SRv6Policy的流量调度模型来实现以下目标：一是业务路由与转发解耦，如骨干网故障进行网络转发路径切换，不会导致业务路由端到端感知收敛，在简化路由组织的同时，结合保护路径算法TI-LFA提供更高的可靠性保护。二是协议简化，与之前的MPLS-TE不同，SRv6只需通过IGP协议扩展即可实现，不会出现因协议配合不当引发的各种问题。三是在头节点即可完成对整条业务转发路径的规划，支持以小颗粒度为单位进行各类业务的灵活调整。三、SDN骨干网建设实践在新一代骨干网建设实践中，邮储银行采用领先的SRv6Policy技术，基于软件定义网络SDN的思想进行架构设计，搭建“三地四中心”SDNWAN高速互联骨干网络，实现了业务多路径负载部署方式，有效提升了在多平面组网中的业务灵活调度能力和连续性，同时采用BGPEVPN技术，实现了多种类型业务的逻辑隔离与高性能融合承载能力，并通过SR技术进行流量调度实现不同业务之间的共享带宽利用，切实保证了关键业务传输质量。1.总体架构模型新一代核心骨干网架构模型采用整网一体化概念，分层构建多中心互联高速骨干，充分满足了新核心系统跨中心高速、灵活互联的要求，实现了分行的多活接入。邮储银行新一代核心骨干网整体架构如图1所示。图1邮储银行新一代核心骨干网整体架构实践中，通过采用新一代骨干网替换现有的SDH网络，邮储银行借助SRv6和QoS(QualityofService)大幅提升了骨干网的灵活性。新一代核心骨干网基础架构的关键点设计如下：一是骨干网架构标准化，实现多数据中心、全国一级分行、同城/异地机构标准化接入；二是网络资源虚拟化，通过EVPN技术实现业务虚拟化隔离和统一承载能力，以提高物理设备资源和链路带宽资源的综合利用率；三是多业务融合承载灵活调度，基于SRv6Policy和QoS技术满足了生产、测试、办公等多业务融合承载需求，包括实现不同业务级别的带宽保证、灵活部署以及故障快速切换；四是业务流质量可视，通过SDN控制器对流量进行采集和分析，进而提供隧道快速部署、流量动态调优、业务流路径可视等能力，提升骨干网运维效率。2.EVPN设计实现对于新一代骨干网而言，多业务通道采用了BGPEVPN技术实现多种类型业务逻辑隔离与高性能融合承载，即通过VPN实现了骨干网的物理资源复用，并能够针对业务流量提供VRF(路由)级别的互访控制和隔离，在区分不同业务流量的同时，为L2\L3层以及IPv4\IPv6等多种业务提供融合承载能力。此外，不同业务类型流量间的转发质量则主要依赖QoS和SRv6Policy进行控制。EVPN通道设计模型如图2所示。图2EVPN通道设计模型基于上述模型，EVPN设计及优化思路如下：一是L3VPN、L2VPN均采用BGP进行统一部署，简化了协议的复杂度，使得L2/L3层业务路由的维护变得简单；二是EVPN实现了转控分离，转发层面可以迭代到SRv6Policy隧道;三是基于BGP路由反射器的部署和BGP路由控制能力，减少了大量全连接的协议部署与逻辑连接，使得业务可以随用随通、精确控制。3.SRv6-Policy隧道设计和部署在满足VPN承载的前提下，邮储银行采用SRv6-Policy隧道进行流量调度优化，结合IPv6报文头部携带的多重可编程空间，通过对不同业务进行标识，使网络感知应用，高效满足了网络服务需求，并通过集中式控制面实现了网络路径集中算路、按需路径规划与调度，在业务路径可视、业务保护、网络可维护性、网络可扩展性等方面均提供了更为优质的服务。此外，邮储银行在新一代骨干网的SRv6-Policy模型中采用单CP多List隧道方式，不仅使大流量业务有多条路径可以使用，且流量还可以分担到不同链路，并尝试使用多List在不同链路负载分担。在隧道引流方面，邮储银行选择基于DSCP对SRv6Policy进行引流，即根据业务流的DSCP标记值进入不同隧道，且不同隧道还可以定义不同的带宽时延等约束条件，从而实现不同业务的SLA。相对于基于路由color的引流方式，这种基于DSCP的引流方式更为简单，且可以绕开复杂的路由策略，以flow的颗粒度实现业务流选择SRv6Policy，是目前结合金融业务实际场景较为优化的SRv6隧道方案。此外，在隧道部署方面，多中心间采用full-meshed结构实现了双向SRv6Policy，支持采用实时带宽采集数据，且Policy内多条SegmentList(SList)按等价路由形式承载业务流量，使不同的SList可以走不同的网络路径。SRv6-Policy隧道结构如图3所示。图3SRv6-Policy隧道结构4.智能运维管理在运维管理层面，邮储银行面向新一代核心骨干网采用了Telemetry等新技术，使骨干网运行状态得到充分而形象的可视化呈现。实践中，邮储银行基于Telemetry技术，实现了网络资源、流量情况及异常告警等信息的精细化采集与监控，进而可实时感知网络流量异常，快速定位、自动调优并迅速恢复。四、总结与展望综上，邮储银行基于新一代骨干网建设，大幅提高了数据中心骨干网综合服务能力，构建了国内领先的多地多活数据中心骨干网络。SDNWAN核心骨干网的成功上线，标志着邮储银行正式攻克了核心骨干网直接从传统IPv4BGP网络一次性升级