金融广域网路由部署方案许青邦

1、金融广域网路由部署方案文/许青邦如何从用户的业务需求出发，利用领先的网络架构和路由协议，为金融行业提供可靠性与灵活性兼备的广域网通讯平台？本文抛砖引玉，以一次部署实践来作阐述。概述广域网在金融网络中起着举足轻重的作用，它上联数据中心，下联分行、网点，好比遍布人体的血脉系统，源源不断的输送氧气和各种营养成分，是金融信息系统保持活力的物质基础。在当前金融系统数据大集中的背景下，广域网任何位置出现故障，小到一个网点，大到数据中心，都可能牵一发而动全身，影响到众多客户的满意度，因此构建一个快速畅通、不间断运行的金融广域网，是所有金融信息部门的当务之急。组网结构以某银行为例，其网络由两个数据中心、多家一

2、级分行构成，数据中心A为生产批量、测试业务的处理中心，数据中心B为生产联机业务的处理中心，两个中心互为备份。图1为该银行的全国广域网拓扑图：图1 某银行的全国广域网拓扑图从图中可以看出，这张广域网从网络层次上分为核心骨干网和一级骨干网两部分，核心骨干网为连接数据中心A、数据中心B的广域网，由2条链路组成，一级骨干网为互连数据中心A至分行、数据中心B至分行的广域网，每个分行通过4条链路上连两个数据中心。数据中心、分行都有各自的广域区，广域区由2台汇聚交换机和多台接入路由器组成，其作用是横向连接局域网与广域网，纵向打通各级广域网。分流目标这家银行的主要业务包括生产联机、生产批量、测试、语音等，除生

3、产联机的服务器位于数据中心B外，其余业务的服务器都位于数据中心A。各业务在核心骨干网、一级骨干网上的分流要求如图2所示： 图2 业务分布图在核心骨干网上，生产联机、语音等业务承载在链路一上，生产批量、测试承载在链路二上。一级骨干网中，4条链路分别承载着四种主要业务，语音由分行至数据中心A的链路一承载，测试由分行至数据中心A的链路二承载，生产联机承载在分行至数据中心B的链路一上，生产批量则承载在分行至数据中心B的链路二上。路由模型 整体上采用分层路由模型，在广域网的入口处（广域区交换机）标记路由，在广域网核心位置（广域路由器）根据路由类型作数据分流，总体的路由协议规划见图3：图3 路由协议总体规

4、划图广域网使用BGP路由协议，为数据中心A、数据中心B、分行各分配一个AS，三者之间分别建立eBGP邻居关系，同时在广域区内部建立iBGP邻居关系，使BGP路由纵向贯穿整个广域网。广域区内部需要运行一个OSPF 300的进程，主要用于交换广域区设备的loopback地址路由，以供建立iBGP邻居关系用。局域网内部运行OSPF 100进程，广域区交换机作为广域网和局域网的交汇点，同时运行OSPF 100、OSPF 300、BGP三种路由协议，其中OSPF 100与BGP之间存在路由再发布关系。路由标示在广域区交换机上用Community标示由局域网进入的路由。Community是一种任选传递的B

5、GP属性，可以跨AS传递。与普通的ACL相比，Community更加灵活，可以极大简化网络核心的路由策略。根据前面提到的机构设置、业务划分情况，采用两级Community定义，第一级为行级和机构ID Community，前两个字节表示行级，后两个字节表示总行或分行的ID，第二级为业务类型Community，前两个字节表示路由类别（生产、办公、语音等），后两个字节表示具体的业务类型。两级Community的具体数值分配如表1和表2所示：表1标识不同行级和机构ID的一级Community行级和ID一级Community数据中心A100:1数据中心B100:2一级分行101:101-199表2标识不

6、同业务类型的二级Community业务类型二级Community生产联机201:1生产批量201:2测试201:3语音202:1例如，数据中心A生产批量路由的Community值为100:1 201:2，数据中心B生产联机路由的Community值为100:2 201:1。另外，对于有些只需要在数据中心之间交换、不对分行发布的路由，需要增加第三级Community，标示这类路由发布的范围。广域网路由规划广域网的核心骨干网、一级骨干网使用eBGP路由协议，具体部署见图4：图4 广域网的路由规划图根据该银行业务的需要，生产联机、生产批量、测试三种业务在核心骨干网、一级骨干网上需要实现数据分流，分流

7、关系可以归纳总结为表3和表4：表3 核心骨干网的业务分流关系业务类型线路序号生产联机生产批量测试核心骨干链路一122核心骨干链路二211表4 一级骨干网的业务分流关系业务类型线路序号生产联机生产批量测试分行至数据中心A链路一342分行至数据中心A二431分行至数据中心B链路一12无分行至数据中心B链路二21无注：表格中数字（1、2、3、4）表示链路备份的顺序。BGP的分流通过修改属性值实现，常用的分流属性有MED和LP（Local Preference）等。在BGP的选路规则中，LP优先于MED，而且不受其他属性的影响，是BGP分流的最佳选择。表5和表6中是分配的LP具体值：表5 核心骨干网的

8、LP值业务类型线路序号生产联机生产批量测试核心骨干链路一（LP3）400300300核心骨干链路二（LP4）300400400表6 一级骨干网的LP值业务类型线路序号生产联机生产批量测试分行至数据中心A链路一（LP1）200100500分行至数据中心A链路二（LP2）100200600分行至数据中心B链路一（LP5）600500无分行至数据中心B链路二（LP6）500600无由于LP属性只能在AS内部传递，因此用于eBGP时需要在邻居的inbound方向根据路由类型设置LP值。广域区路由规划如前所述，广域区采用OSPFBGP的双层路由结构，图5为广域区的具体路由部署：图5 广域区的路由规划图为

9、减少iBGP连接的数量，在广域区中使用路由反射器技术。广域区交换机由于处于广域区的中心位置，理所当然成为路由反射器。将两台交换机放在同一cluster中，降低重复路由信息，骨干路由器作为路由反射器客户端，分别与两台交换机建立iBGP邻居关系。路由再发布广域区交换机位于局域网和广域网之间，是iBGP与OSPF 100路由再发布的边界点，再发布策略如下图6所示：图6 iBGP与OSPF 100的路由再发布策略1. iBGPOSPF 100iBGP路由是以import-route方式导入OSPF 100的。由于交换机从BGP学到的都是iBGP路由，因此在将BGP导入OSPF 100时，还需要使能iB

10、GP导入IGP的再发布特性。为了确保iBGP路由能够导入OSPF 100，需要调整BGP和OSPF 100的路由优先级,例如，BGP的路由优先级全部设置为170，OSPF的内部路由优先级设为110，外部路由设为190。如图7所示，假设广域区交换机二从iBGP学到路由X，通过再发布导入OSPF 100，广域区交换机一同时从iBGP和OSPF 100学到路由X，由于iBGP路由优先级170低于OSPF外部路由优先级190，交换机二将iBGP路由导入OSPF 100。图7 iBGPOSPF 100路由控制2. OSPF 100iBGPOSPF 100路由并不直接以import-route方式导入BGP，而是采用network的方式，将OSPF 100中的路由按需导入BGP，避免了繁琐的路由过滤控制。并且，广域区的两台交换机之间不能交换本地始发路由，否则将导致OSPF 100的外部路由不能正确发布到BGP中。如图8所示，假设OSPF 100中有一条局域网路由Y，广域区交换机二将Y导入BGP，并发布给广域区交换机一。若交换机一同时从iBGP和OSPF学到路由Y，由于iBGP优先，会导致交换机一无法正确发布路由。为使交换机一能够正确将OSPF 100路由发布到BGP中，需要让交换机一和二不交换本地路由，最简单的办法是，两台广