《基于应用驱动的商业银行智能核心网流量模型设计与实践.docx》由会员分享,可在线阅读,更多相关《基于应用驱动的商业银行智能核心网流量模型设计与实践.docx(7页珍藏版)》请在第壹文秘上搜索。
1、近年来,随着信息技术的蓬勃发展,由数字政府、数字企业、数字社会甚至数字人所构成的数字李生世界正加速孕育,并逐步改变着包括银行业在内的社会各领域的业态发展。尤其对于商业银行来说,数字银行建设是时代发展的重要趋势,要求银行无论是在客户营销还是风险管理领域,都应更多地以大数据中的全量样本和行为数据作为决策依据。在此背景下,大数据分析、人工智能、云计算等技术推动银行数据中心逐步从传统的“两地三中心”向“分布式多数据中心”架构演进,使得核心网架构的复杂程度大幅提升。同时,技术中台战略的提出与应用微服务化也进一步提升了系统间的交互需求,而当远程办公、视频会议逐渐成为日常办公的标配,核心网数据量更是呈爆发式
2、增长态势。顺应上述趋势变化,兴业银行创新开展了应用驱动流量模型与核心网SDTAN建设工作,以期为全面数字化转型奠定更为坚实的基础。一、兴业银行新一代核心网总体架构当前,日趋复杂的核心网架构与大数据传输对核心网效能提出了极大挑战,依赖传统路由技术己难以解决灵活性差、可视化弱、利用率不均等问题,甚至会严重阻碍银行数字化转型战略的深入开展。为此,兴业银行以应用驱动流量模型与核心网SDTAN流量工程为抓手,全新开启了新一代核心网建设工程。实践中,兴业银行选择采用二层扁平化接入模式,其中,核心层三个骨干站点采用多数据平面互联架构,可支持各分支机构就近通过PE设备接入核心网。兴业银行新一代核心网总体架构如
3、图1所示。与传统MPLSVPN不同,新一代核心网的控制层摒弃传统的LDP标签分发协议,采用了新兴的SegmentROUting(SR)分段路由技术,并在全域启用了基于源路由的SRPOliCy流量工程策略。同时,兴业银行通过在核心网边界使用EgreSSPeeringEngineering(EPE)出向流量工程技术以及BGPFloWSPeC入向流量工程技术,实现了IP流量的双向调度,并通过部署智能控制器,实现了基于软件定义的核心网流量工程集中控制。SD-WAN控制器集群图1兴业银行断一代核心网总体架构二、兴业银行新一代核心网技术特点1 .创新流量工程模式在传统MPLSVPN架构下,分支机构的IP流
4、量从CE进入PE被封装后以标签交换的方式在MPLS域内转发,并在到达尾端PE被解封装后以IP流量的形式进入目的分支机构,其间,整个会话流量以“IP+MPLS”的形式在整个转发平面中多次转换,要进行流量工程调度难度极大。对此,兴业银行创新引入“IP+MPLS”SD-WAN流量工程调度技术,实现了分支机构之间端到端的流量管理。在流量管理方面,骨干网流量工程主要使用SegmentRoutingTrafficEngineering(SRTE)与BGPFlowspec两种技术,并通过使用SD-WAN控制器对其进行整合,形成了统一的场景管理模式,支持其作为同一个流量工程策略下发,从而实现了对整个骨干网流量
5、的协同管理。其中,SRTE是SR技术的核心,其本质是通过在骨干网边界节点设置Segment标签列表的方式,定义某类业务流量的承载路径,从而在源节点实现精确到单个五元组(源IP、目的IP、源端口、目的端口以及协议)的流量调度。同时,由于SR是一种基于MPLS标签的源路由技术,因此其原生支持SDN的中央控制器架构。SR技术消除了MPLS转发层面对传统LDP、RSVP等标签和信令协议的依赖,所以还具有实现简单、流量控制灵活、效率高、通用性强等优势。此外,在某些特定场景下,还可基于SREPE特性为eBGP邻居分配不同的EPE标签,并通过BGPLink-State地址簇协议通告给其他PE或者控制器,从而
6、实现对核心区出向流量的灵活调度。实践中,EPE标签既可安装在头端PE的SRPolicy的末尾作为最后一个SID,从而实现特定流量在PE到CE方向的链路选择;也可以通告给SD-WAN控制器,由控制器按需将EPE标签应用到SRPolicy上。对于BGPFlOWSPeC技术而言,当前分支机构通常采用多根运营商专线接入骨干网汇聚层,此类上下行流量并不携带标签,属于传统的IP流量,而采用BGPFlOwSPeC技术将可实现精确到五元组会话的流量选路功能。实践中,BGPFloWSPeC技术常用于运营商DDOS流量清洗,简言之,其是一种在多协议BGP下扩展FlOwSPeC地址簇的PBR技术,用于强制为特定流量
7、指定一个期望的下一跳接口和地址。此外,BGPFloWSPeC技术还可以针对某个具体流量进行限速,从而进一步丰富广域网流量管理和应急处置的手段。BGPFlowspec同样原生支持SDN,可通过控制器下发BGPFlowspecNLRl到路由器,再经路由器编码到硬件,并执行流量转发或限速动作。2 .构建应用驱动流量模型长期以来,传统流量模型大多是建立在路由调度的基础上,即通过各类路由协议进行目标网络的端到端调度,并将流量分为生产、办公两个大类,分别在不同的骨干网平面中承载。在此模式下,不仅颗粒度较粗,且无法针对途经的多条路径按需进行调度,导致部分对延时要求较为苛刻的业务仅能靠预定义的QoS进行保障,
8、而无法将拥塞的流量精准迁移至其余路径上。对此,兴业银行针对商业银行核心网的站点间多路径与同一时间忙闲不均的情况,提出了一种基于应用驱动的核心网流量模型,并对应用系统进行了更细颗粒度的划分,包括延时敏感型流量、异步业务流量、非结构化传输流量、补丁类流量等。在此基础上,还通过智能控制器按需规划了不相交路径,以便于对各类业务流量进行承载,以期在避免流量间相互串扰的同时,进一步提升骨干网整体带宽利用率。(1)延时敏感型流量商业银行核心交易业务的实时性通常较高。针对此类流量,控制器采用基于延时计算最短路径的动态SRPolicy,可有效保证在任何场景下,此类流量均承载于最短路径上,且即使在故障场景下,依旧
9、能自动计算并选择跨平面最短的延时路径进行承载,从而有效降低故障场景对延时敏感型业务的影响。(2)异步业务流量分支机构间经常需要进行异地数据通信,部分流量是高并发的异地灾备数据同步类流量,尽管该类流量本身重要性较高,但对同平面专线带宽的挤占较多,对关键业务流量的影响也相对较大。对此,控制器可提前将上述流量调度至同平面非最短路径上。由于此类路径与低延时最短路径互不相交,可极大缓解上述流量对关键业务流量的影响。此外,非最短路径也将相对空闲,有助于提升骨干网的整体带宽利用率。(3)非结构化传输流量在金融数字化浪潮下,大量非结构化数据的跨区域传输需求越来越多,而上述传输过程对骨干网线路带宽挤占极其严重。
10、传统解决方法是通过定时任务在业务低谷时段利用骨干网进行传输,但随着传输数据量激增,该方法已越来越难以在业务低谷时段完成所有数据传输任务。对此,控制器通过流量调度功能将此类流量在C平面上进行承载,既避免了对A、B平面的影响,又保证了其全天24小时不间断传输。(4)补丁类流量软件下载、办公文件传输、补丁升级、病毒库更新等流量不仅在时间上具有较强的突发性,而且其客户端也具有不确定性,经常会呈爆发式的流量增长,易对骨干网线路造成较大影响。对此,控制器通过提前将此类流量调度至C平面并使用BGPFIoWSPeC技术针对不同场景进行智能限速,可保证即使在多客户端并行下载的场景下,也不会对C平面带宽造成严重挤
11、占。3 .引入SD-WAN控制器异地双集群架构SD-WAN控制器作为整个核心网的中枢,可对骨干网所有设备进行集中控制和管理,是整个智能核心网的“大脑”。对此,兴业银行核心网控制器集群采用异地双集群高可用架构,并与各主要节点建立了BGP邻居关系,可通过下发策略的方式进行流量的按时、按需调度,SDTAN控制器架构如图2所示。分支1效掘收集小J3 J &-级告干网、SD-W AN控制器SNMP接口流监控(Netflow应用流监控Telemetry SR策咯监控徵拓扑可视化数据存储臼可视化闻xViii( 策略定义 (策略设计与优化图2SD-WAN控制器架构实际运行中,SDTAN控制器的主要功能包括可视
12、化和控制两大部分。其中,可视化功能指控制器通过BGPLink-State地址簇协议,可实时获取环形网链路状态信息并反推出整个拓扑架构;通过TeIemetr协议得到SRPoIiCy策略信息;通过BMP协议实时获取全网路由信息;通过Netflow协议收集应用流量数据;通过SNMP协议采集接口流量和QoS信息等。在此基础上,通过对各类数据源进行整合,可提供可视化API并呈现到GUI界面。控制功能是指控制器通过GUI界面或者API定义策略,可通过手动路径选择、控制器本地计算等方式设计SRPoIiCy路径;通过BGPIPv4单播地址族实现路由下发与染色;通过BGPSR-PoliCy地址族协议或者NetC
13、onf协议下发SRPoIiCy到网络设备,实现对流量路径的控制,并通过可视化功能将效果呈现在用户交互界面中。此外,控制器还可实现丰富的场景触发设置,即根据带宽利用率、时间等场景决定某个流量调度策略是否激活。展望未来,随着设备性能的提升与SRv6标准的逐步完善,金融机构还可将目前的SR-MPLS架构平滑迁移至SRv6,打造端到端的纯IP编程网络,进一步丰富业务流量模型,简化核心网运维操作。同时,随着容器等轻量化网络的兴起,未来数据中心网络架构或将朝着软件定义DC的方向逐步演进,而网络边界也将进一步模糊,伴随SR技术延伸到数据中心内部,将可通过统一的控制模式对DC、DCI/WAN等进行管理,从而实现真正的端到端流量管理。