在数字化转型的大潮中,金融行业对基础网络的依赖日益增强,网络的稳定性和安全性成为了金融机构关注的焦点。青岛农商银行紧跟国家战略,通过生产网络系统高可用建设项目,采用IPv6+创新技术,实现了网络系统的高可用性和智能化管理,为核心业务的连续性管理提供了坚实的技术支撑。
现状说明
目前青岛农商银行运营总行主数据中心和同城灾备中心,总行主数据中心部署了各类生产业务系统,同城灾备中心部署了开发测试环境以及重要信息系统数据级备份,有效保障青岛农商银行重要信息系统数据安全,避免总行数据中心灾难性故障后数据丢失的风险。
青岛农商银行拥有营业网点约350处,每处网点2条专线均连接至总行数据中心,2条专线通过路由策略对生产业务、内部办公、语音视频等流量进行分流。上联省联社的广域网部分,按照省联社统一规划部署,使用2台路由器通过4条专线连接到省联社“一网双平面”广域骨干网,通过MPLSVPN技术实现不同业务类型的逻辑隔离与应用分流,2台路由器均部署在总行数据中心。
基于上述现状,青岛农商银行下联、上联两级广域网架构均存在单一数据中心故障风险,设备及线路均部署在总行数据中心,当总行数据中心出现灾难性故障时,辖内营业网点业务连续性无法得到保障,灾难恢复时间较长。核心业务系统等均部署在省联社,针对这些重要业务系统的容灾备份,青岛农商银行计划通过网络通道级别的灾备,避免单一数据中心灾难发生时,分支机构至总行数据中心,以及总行数据中心至省联社数据中心无可用网络通道造成生产业务的中断。采用IPv6+技术重构广域骨干网,完善灾备中心网络建设,实现当总行数据中心出现灾难后,确保全行分支机构能够通过同城灾备中心访问省联社重要业务系统,同时有效支撑后续网络系统IPv6规模化部署。
项目目标
项目建设完成后将消除青岛农商银行下联、上联两级广域网架构存在的单一数据中心故障风险,实现跨数据中心级网络通道高可用,在总行数据中心出现灾难性故障时,分支机构能够通过同城灾备中心访问省联社业务系统;项目方案采用先进的IPv6+技术,构建高速、智能、弹性的金融城域网,提升网络的承载能力和服务质量;通过自动化运维和流量智能调度,提高网络运维的效率和质量,降低业务连续性风险;推动网络系统IPv6规模化部署,为后续数据中心内网IPv6改造和IPv6+创新技术应用提供网络基础。
总体技术方案
本次IPv6+创新实践中,在总行数据中心与同城中心搭建城域环网,新城域环网具备IPv4、IPv6双栈接入能力,采用SDN架构提供敏捷部署、统一管理、深度可视、动态调整、智能运维的服务能力。新城域环网使用SRv6技术进行流量调度,根据带宽、延迟、丢包率等参数智能实现流量分流,提供低延时、高可靠的承载能力,为柜面、核心交易等实时性业务提供差异化保障,保证端到端的业务质量。完成新城域网的入网,分批将全行分支机构由传统城域网迁移至新城域网(SDN+SRv6架构),分支机构双专线分别接入至总行数据中心和同城灾备中心,实现网络通道层级的高可用性。新城域网架构设备与技术自主可控,为我行数据中心其他区域IPv6规模化部署,应用SRv6、IFIT、网络切片等IPv6+创新技术提供支撑,保障生产系统的稳定运行,更安全、稳固的支持全行业务的快速健康发展。
1.转控分离:统一管控平台与业务承载平台
(1)统一管控平台。SDN控制器通过南向接口(Telemetry、BGP-LS、SNMP、NETCONF等)对业务承载平台进行统一管控,统一入口,实现统一业务编排、运维管理、安全监测、安全管理。SDN控制器提供设备快速部署、自动业务分发、全面业务保障、多维流量可视,集合AI及大数据分析能力进行智能灵活的业务流量调度与调优,问题快速定位等能力,提升服务体验,保障业务稳定运行。
(2)业务承载平台。增强业务承载能力,对数据中心核心路由器、分支机构路由器进行升级,提高设备运行可靠性和稳定性,充分利用主备专线资源,实现流量的智能分担。
2.骨干网架构
(1)BGP路由规划。各分支机构、总行数据中心、同城灾备中心的PE设备与RR设备在同一个AS之内,以上设备全部与RR建立IBGP邻居关系,RR反射全网路由构成IBGP全互联拓扑。
(2)SRv6隧道设计。总行数据中心与同城灾备中心之间SRv6隧道端到端部署,总行数据中心与分支机构SRv6隧道端到端部署,同城中心与分支机构SRv6隧道端到端部署,分支机构之间SRv6隧道端到端部署,上述隧道均不涉及跨域。
(3)广域网IBGP设计。城域网内部将运行MP-IBGP路由协议,IBGP自身防环机制规定,从IBGP对等体获得的路由不向其他的IBGP对等体发布。
(4)RR部署设计。为保证IBGP对等体之间的连通性,在总行数据中心和同城灾备中心各部署一台路由器作为RR,其他设备都和RR建立邻接关系,RR在客户机之间反射路由信息,客户机之间不需要建立IBGP连接,有效减少设备BGP邻接关系配置数量,增加新节点只需要对RR设备增加相应配置即可,可扩展性、可维护性更高。
3.SRv6网络设计
(1)SRv6路由协议设计。Segment Routing是对现有MPLS的简化和优化,尤其是控制平面,只需要支持IGP协议,不再需要部署LDP或RSVP-TE协议,通过IGP协议的SR扩展来同步,大大简化了设备运行的协议数量。Segment Routing只需要IGP协议就可以完成标签转发表的建立,易扩展,规模小。
使用OSPFv3协议作为SRv6 IGP协议。OSPFv3为支持SRv6做了扩展,使用SRv6 Locator LSA和Prefix LSA发布Locator路由信息,其中普通IPv6节点通过Prefix LSA学习Locator路由,SRv6Locator LSA除了携带路由信息外,还会携带End SID等SRv6 SID信息,SID SubTLV发布SRv6 SID和SID对应的SRv6 Endpoint节点行为信息。OSPFv3能够传递Locator路由信息,能够把节点及链路信息发布至全网(广域网内部),帮助PE之间构建隧道。
网络采用IPv6协议作为基础地址配置,使用BGP4+作为城域网业务路由传递协议,传递PE间业务路由。
(2)BGPv4+协议设计。城域网内部将运行IBGP路由协议,IBG不涉及跨域,且维护简单。以IPv6为基线的BGP为BGP4+,BGP4+部署范围涉及各个分支、总行数据中心、同城灾备中心的PE设备与RR设备在同一个AS之内。
(3)OSPFv3协议设计。OSPFv3协议作为SRv6IGP协议能够传递locator信息以及帮助设备建立BGP4+邻居关系。OSPFv3协议部署范围涉及分支PE到数据中心PE以及P设备、RR设备之间,整体采用OSPFv3作为IGP协议,所有路由器全部在area0,使控制器南向IPv6地址能够与骨干网设备进行通信。
项目成效
青岛农商银行实施的生产网络高可用建设项目取得了较为显著的成效,一是提升了网络系统的可用性,通过广域网双活数据中心架构和SRv6技术,实现了网络故障的快速切换和流量的智能调度,大大提升了网络的高可用性,更好地满足监管要求。二是优化了网络架构,项目实施后,网络架构更加清晰、易于管理,节约了投资成本,对原有业务没有产生影响。三是提高了运维效率,通过SDN控制器的自动化运维功能,实现了海量资源和告警的快速检索、与业务状态的实时自动关联,提升了运维效率和质量。四是推动了IPv6的规模化部署,项目中全面采用IPv6协议,网络系统IPv6应用范围大幅提升,同时为后续IPv6+创新技术应用提供了网络基础。
未来,青岛农商银行将进一步优化网络架构,提升网络的承载能力和服务质量,为业务的快速发展提供坚实的技术支撑;深化SDN技术的应用,实现网络资源的自动化管理和智能化调度,提升网络的灵活性和可编程性;加强网络安全防护,利用IPv6的安全性特点,提升网络的安全性和抵御外部攻击的能力;推动IPv6规模化部署,积极探索IPv6+创新技术应用,为我行数字化转型提供支撑;加强与行业内外的合作,共享IPv6+创新实践的经验和成果,推动金融行业的共同发展。
(此文刊发于《金融电子化》2024年11月下半月刊)
