技术应用丨城商行广域网架构的创新探索与应用

城市商业银行通过建设广域网来连接其分布在各地的分支机构，以实现远程办公、数据共享和业务协同等目标。商业银行广域网建设是银行业数字化转型和业务发展中的重要组成部分，对于提升银行的服务能力、运营效率以及客户体验具有重要意义。随着商业银行业务发展，广域网承载的业务场景日趋丰富，对网络带宽、网络延时、高可用等的要求越来越高，传统广域网组网架构的弊端越来越明显。在此背景下，柳州银行根据网络技术发展趋势，结合软件定义传输技术提出了创新改造的探索并取得了比较可观的应用成效。

商业银行广域网架构创新应用的背景

1.网络技术发展趋势

随着金融信息化的发展，城市商业银行等金融机构采用的网络技术也在不断地迭代更新，以应对日益复杂的网络架构。商业银行早期一般采用传统网络管理模式，即将控制平面和数据平面集成于每台网络设备上，通过控制平面运行网络协议来指导数据平面对数据包进行处理。在业务需求多样化以及网络动态变化的环境下，这种设计模式缺乏对网络的全局管控，存在网络配置不灵活、网络资源利用率不足、网络可扩展性差等缺陷。软件定义网络（Software-Defined Networking，SDN）通过分离网络的控制平面和数据平面，能够有效地弥补传统网络管理模式的不足。SDN将所有网络交换机、路由器等设备的控制功能集中到一个逻辑控制器，能够提供灵活的网络配置管理及全局的资源管理等。随后，软件定义的概念向不同的应用方向延伸，软件定义传输（Software-Defined Transport，SDT）便是SDN思想在网络传输层面的一种延伸。在SDT中，传统的硬件传输设备被虚拟化为软件模块，这些模块可以在通用的计算平台上运行，并通过软件来定义和配置传输路径、带宽、服务质量（Quality ofService, QoS）等参数，可以提高传输网络的灵活性和可扩展性。

当前，商业银行的网络承载着大量且多样的重要业务流量，其采用传统的广域网建设架构，用不同的运营商专线建设业务专网，分别承载生产/办公、监控、视频会议/互联网等业务流量。然而，不同的业务流量对广域网带宽具有不同的需求，传统的组网模式缺乏对网络资源进行综合利用，导致部分业务场景的线路带宽资源利用率低、网络故障率高等问题，降低了金融机构的服务效率和质量，通过SDT技术则能够解决传统广域网架构存在的问题，已成为一种发展趋势。

2.传统广域网架构存在的弊端

商业银行普遍采用的传统广域网建设方案，如图1所示，各级营业网点通过不同的运营商专线接入总行数据中心，利用专线建设生产网、监控网、视频会议/互联网等不同的业务专网，以此实现各营业机构业务流量数据传输，这样的组网架构能够实现不同业务之间的物理安全隔离，避免了公共互联网上的拥堵和不稳定性。然而，该方案在带宽利用率和网络高可用上仍存在一些弊端，具体如下。

一是专线带宽利用不均衡，部分专线利用率较低。生产网采用主备线路模式，当检测到主线路故障时生产业务流量才会切换至备用线路进行数据传输，备用线路长期处于闲置状态，但也存在部分业务流量大的分支机构在业务高峰期时专线带宽利用过高的情况；视频会议/互联网流量具有阶段性特点，该线路带宽通常只有在开会时才会使用，利用率不足5% ；监控网传输的主要是视频文件，网络带宽要求较高，带宽利用率上也是偏高。

二是除生产办公业务专网外的其他专网均为单线路模式，高可用性不足。生产/办公专网的所有流量数据全部集中于主线路，当流量过大时也无法自动实现线路切换，容易造成网络阻塞，降低网络服务质量和效率；监控网和视频会议/互联网均为单线路模式，整个专网依赖于单一专线，缺乏冗余和备份机制，当线路出现故障时网络将面临中断且不能快速恢复的风险。

因此，传统的广域网组网方案存在网络流量负载不均衡、大量闲置带宽资源未得到充分利用、部分业务场景存在线路单点高可用不足等问题，增加了网络发生故障的可能性，运营商专线带宽的整体利用率较低。

商业银行广域网架构发展趋势分析及应用

1.新一代广域网架构设计目标及原则

新一代广域网架构设计的总体目标是解决传统广域网架构存在的弊端，满足商业银行未来3至5年的金融业务创新和发展的网络需求。通过合理引入先进的技术架构和管理理念，使商业银行的广域网具备自主可控、高可靠性、高效性、合理性、灵活性和易管理性，制定具备一定弹性、可扩展、可持续发展的新一代广域网架构方案，以指导后续相关网络建设演进和实施工作。

新一代广域网架构设计应遵循五大原则。一是标准化，根据各商业银行网络现状，并参考行业最佳实践和新技术发展趋势，制定业务专网标准，定义每一个专网的带宽标准。二是易维护性，简化广域网架构的复杂度，具备对专线质量的全面监测能力，提高运维效率。三是高可靠性，采用双链路、双设备节点设计，实现多个业务专网的高可靠性，保障业务连续性。四是高安全性，允许多个运营商的线路准入，实现业务专网的安全隔离，避免监听和劫持等网络攻击。五是高效性，实现各个业务在广域网的带宽灵活编排和弹性扩展，提高数据交互效率。

2.新一代广域网架构的关键技术

经过对当前广域网领域的创新技术及现有广域网架构的弊端进行分析，确定引入SDT技术架构和管理理念，应用于商业银行广域网组网的创新应用。

SDT的本质是构建用户自主可控的安全传输网。通过集中式控制，允许用户在该传输网上灵活定义和承载多个业务专网，并实现各业务专网之间的安全隔离，达到屏蔽底层运营商专线的效果，让网络资源分配敏捷化。同时，将不同运营商的多条专线进行捆绑和云化构建传输资源池，使得资源池带宽为多条专线带宽之和，实现上层业务专网对传输资源池带宽的动态调度。

3.柳州银行广域网架构设计

（1）总体架构设计。柳州银行结合自身的网络通信需求和SDT在传输层面的技术优势，开展了广域网组网创新应用的探索。柳州银行制定了如图3所示广域网架构改造方案，该架构包括了分支机构、总行数据中心两个部分。通过SDT传输设备、业务接入/汇聚网络设备、运营商专线等资源的协同，实现为各分支机构与总行数据中心之间提供安全、可靠、高效的网络通信链路。

总行数据中心端：一是部署一组（2台）SDT控制端设备，以集群配置的方式实现设备的高可用，实现对SDT接入端设备进行统一管理和配置；二是SDT控制端设备的不同局域网接口，根据业务类型分别连接总行数据中心的分支行生产/办公专网、监控专网、视频会议专网、互联网专网的汇聚交换机。

分支机构端：一是部署一组（2台）SDT接入制端设备，以集群配置的方式实现设备的高可用，确保当其中一台设备发生故障时另一台设备能够自动接替继续提供服务，增加网络的可靠性，以保障业务连续性；二是接入端SDT配置的LAN1、LAN2、LAN3、LAN4接口分别连接生产/办公专网、监控专网、视频会议专网、互联网专网等多个业务专网，实现各专网之间的全路径安全隔离；三是接入端SDT设备的WAN1、WAN2接口分别连接两个不同的运营商设备，以接入运营商专线，实现与总行数据中心的数据传输。

以上新的广域网架构保持了原各业务专网的网络接入结构，也保留了原有组网的独立性和稳定性，减少大范围改造，避免了由此衍生的信息科技风险。

（2）QoS服务质量设计。柳州银行新一代广域网架构通过SDT技术将两个运营商的2条线路带宽捆绑为一条逻辑链路，形成云化资源池，使得逻辑链路总带宽等于2条专线带宽之和。资源池云化后，可进行专网级QoS设计，定义各专网的优先级、最小保障带宽和最大带宽比例，详细设计如表所示。

表  专网通道名称的优先级、最小保障带宽和最大带宽比例

QoS的设计使得各专网可以按照实时的带宽传输需求进行资源调度。一是当某个业务专网无数据包传输时，SDT会释放该业务专网的传输带宽给其他业务专网管道使用，实现每一个专网管道的弹性伸缩（范围为链路资源池总带宽的0~100%），极大提高专线利用率。二是当出现传输的波峰时，按照已经定义好的最小保障带宽进行带宽分配和管控，避免管道带宽争用导致业务卡顿或中断。三是当线路发生中断、出现数据拥塞时，根据定义的专网优先级，优先确保生产/办公专网业务流畅，其次保障监控业务正常传输，最后保障视频专网和互联网专网业务。

（3）带宽资源自动调度机制。在柳州银行新一代广域网架构中，各分支机构通过SDT构建的自主可控传输网完成数据通信，每个业务专网相当于一条虚拟通道，通道的带宽会根据当前业务流量的大小进行调整。带宽资源自动调度的流程如图4所示，具体描述如下。

SDT设备接收到业务数据流量后，会根据数据帧的通道标识符将其传送到对应的业务专网虚拟通道，并依据预先配置的通道最大最小带宽比例来判断当前流量是否大于本通道的保障带宽。

若业务流量小于等于本通道保障带宽，则本通道带宽保持不变；否则，将进一步判断该业务流量与当前其他通道的流量之和是否大于传输资源池的总带宽。

若当前该流量与其他通道流量之和不大于资源池总带宽，则将本虚拟通道的带宽扩充至与当前业务流量大小一致；否则，将通过SDT内置算法与其他通道抢占带宽资源，从而将本通道带宽扩充至保障带宽与算法分配的带宽之和。

SDT设备根据调整后的通道带宽来传输该业务数据，对端SDT设备收到流量后，再根据通道标识符将其转发至对应的局域网端口，最终完成数据传输。

柳州银行新一代广域网

架构创新应用取得的成效

柳州银行根据自身业务场景的需要，在广域网架构中探索SDT技术的创新应用，从分支机构与总行数据中心之间的试点探索到推广应用，再到跨省际的灾备数据中心与生产数据中心之间组网的创新应用都取得了良好成效。

1.专网之间实现隔离更安全

通过在测试不同专网之间的连通性发现，同一个专网内的用户可以互相通信，不同专网之间则不能实现数据交互。由此可知，SDT组网方案能够形成独立的业务专网，通过在SDT两端采用私有协议，能够实现专网安全隔离，与原有的运营商专线的隔离效果一致，保证了业务数据的传输安全。

2.线路带宽动态调整及扩容更灵活

首先，通过调整LAN4通道的最大带宽比例发现，不同带宽比例下的带宽均能达到最大值；其次，在LAN4满载的情况下，调整LAN2通道带宽的最小比例，发现LAN2能够获得所定义的最小比例带宽。由此可见，基于SDT改造后的广域网架构，能够有效实现全行运营商专线带宽的合理规划以及专网资源的动态分配，使得运营商专线利用率大幅提升，改造后带宽的利用率是原来的3倍以上。在广域网传输上，进一步优化了服务质量，在网络资源有限的情况下，能够确保关键数据流量有足够的带宽资源，有效提升业务体验，同时，根据专线带宽整体使用情况，可以更有针对性、灵活地开展专线带宽的扩容。

3.设备线路双冗余可用性更高

经过模拟测试数据中心SDT设备的故障与恢复场景发现，SDT主机关机后网络会丢失几个数据包后快速恢复正常，且LAN1-LAN4的业务带宽均能接近单链路最大比例带宽，SDT主机开机后各专网的通道带宽均能够恢复到叠加后的值。同时，经过模拟测试运营商专线的中断与恢复场景发现，断开W A N 1专线后会丢失一个数据包后快速恢复正常，各业务带宽相应减小，而恢复WAN1专线后，各业务带宽能够同时恢复至叠加后的值。由此可见，SDT设备之间通过运行心跳协议实现集群，当其中一台设备出现故障时，另一台设备能够接管全部业务；同样，各业务专网都具有两条链路，当一条专线发生中断时，只是减小了通道带宽，设备和业务均无感知，并不影响实际业务。因此，应用SDT设备改造后的广域网架构能够实现设备和线路互相备份冗余的高可用。

4.无缝接入实现零风险上线

SDT设备只需串联在现网设备上，保持现网IP规划，不需要改变现有各专网架构、路由、流量路径，可实现无缝接入。同时，SDT的每个接入设备均具有身份识别号，SDT集中管理中心可以通过其自有发现协议自动发现和识别接入设备，并统一对接入设备下发配置和策略，实现接入端零配置上线。

5.网络链路监测更全面管理更有效

通过SDT管理软件或集成现有的网管平台，可以实现对整个广域网络的设备、端口、线路状态等的全方位监测。一是监测线路的连通性，管理系统会主动对线路状态进行告警，不依赖于网络层协议，避免了网络层出现问题而误判为线路问题，使得线路监测更可靠。二是监测线路的流量分布，既可以监测每条线路的上下行流量，也可监测每个业务网的上下行流量，以此给未来的QoS设计调整提供数据支撑。三是监测线路质量，在线路质量出现波动下降时，即可主动发出告警，增强了运营商对线路质量的主动保障及效率，解决了原来只有线路中断时才能发出线路告警的被动处理方式；同时也可在中心设备上关断任意一个网点的任意一条或两条专线，利于逐一排查两条线路的质量问题及网点的网络问题。

6.实现网络质量的提升和成本的压降

通过引入SDT技术改造升级柳州银行广域网架构，在物理组网上，原有的4条运营商专线只需要保留2个运营商提供的2条专线构建广域网上的传输环网，并在传输环网上灵活定义生产/办公、监控、视频会议、互联网等单独的业务专网。因此，通过SDT技术将2条专线在柳州银行的传输环网上延伸成为8条数据链路，为每个业务专网提供双线冗余接入，在提升网络高可用的同时大幅减少运营商专线租用的数量，根据不同规模的分支机构，改造省级后运营商专线成本支出降低30%~60%，实现了降本增效。

未来，随着信息技术的推陈出新，柳州银行将立足于自身的实际情况，与时俱进持续地开展新技术的探索与应用，将技术与金融业务有机融合，不断提升柳州银行的金融服务能力和服务质量，为广大客户提供更安全、更高效的金融服务，助力金融业高质量发展。

（此文刊发于《金融电子化》2024年12月下半月刊）