基于應(yīng)用驅(qū)動(dòng)的商業(yè)銀行智能核心網(wǎng)流量模型設(shè)計(jì)與實(shí)踐

近年來(lái)，隨著信息技術(shù)的蓬勃發(fā)展，由數(shù)字政府、數(shù)字企業(yè)、數(shù)字社會(huì)甚至數(shù)字人所構(gòu)成的數(shù)字孿生世界正加速孕育，并逐步改變著包括銀行業(yè)在內(nèi)的社會(huì)各領(lǐng)域的業(yè)態(tài)發(fā)展。尤其對(duì)于商業(yè)銀行來(lái)說(shuō)，數(shù)字銀行建設(shè)是時(shí)代發(fā)展的重要趨勢(shì)，要求銀行無(wú)論是在客戶營(yíng)銷還是風(fēng)險(xiǎn)管理領(lǐng)域，都應(yīng)更多地以大數(shù)據(jù)中的全量樣本和行為數(shù)據(jù)作為決策依據(jù)。在此背景下，大數(shù)據(jù)分析、人工智能、云計(jì)算等技術(shù)推動(dòng)銀行數(shù)據(jù)中心逐步從傳統(tǒng)的“兩地三中心”向“分布式多數(shù)據(jù)中心”架構(gòu)演進(jìn)，使得核心網(wǎng)架構(gòu)的復(fù)雜程度大幅提升。同時(shí)，技術(shù)中臺(tái)戰(zhàn)略的提出與應(yīng)用微服務(wù)化也進(jìn)一步提升了系統(tǒng)間的交互需求，而當(dāng)遠(yuǎn)程辦公、視頻會(huì)議逐漸成為日常辦公的標(biāo)配，核心網(wǎng)數(shù)據(jù)量更是呈爆發(fā)式增長(zhǎng)態(tài)勢(shì)。順應(yīng)上述趨勢(shì)變化，興業(yè)銀行創(chuàng)新開(kāi)展了應(yīng)用驅(qū)動(dòng)流量模型與核心網(wǎng)SD-WAN建設(shè)工作，以期為全面數(shù)字化轉(zhuǎn)型奠定更為堅(jiān)實(shí)的基礎(chǔ)。一、興業(yè)銀行新一代核心網(wǎng)總體架構(gòu)當(dāng)前，日趨復(fù)雜的核心網(wǎng)架構(gòu)與大數(shù)據(jù)傳輸對(duì)核心網(wǎng)效能提出了極大挑戰(zhàn)，依賴傳統(tǒng)路由技術(shù)已難以解決靈活性差、可視化弱、利用率不均等問(wèn)題，甚至?xí)?yán)重阻礙銀行數(shù)字化轉(zhuǎn)型戰(zhàn)略的深入開(kāi)展。為此，興業(yè)銀行以應(yīng)用驅(qū)動(dòng)流量模型與核心網(wǎng)SD-WAN流量工程為抓手，全新開(kāi)啟了新一代核心網(wǎng)建設(shè)工程。實(shí)踐中，興業(yè)銀行選擇采用二層扁平化接入模式，其中，核心層三個(gè)骨干站點(diǎn)采用多數(shù)據(jù)平面互聯(lián)架構(gòu)，可支持各分支機(jī)構(gòu)就近通過(guò)PE設(shè)備接入核心網(wǎng)。興業(yè)銀行新一代核心網(wǎng)總體架構(gòu)如圖1所示。與傳統(tǒng)MPLSVPN不同，新一代核心網(wǎng)的控制層摒棄傳統(tǒng)的LDP標(biāo)簽分發(fā)協(xié)議，采用了新興的SegmentRouting(SR)分段路由技術(shù)，并在全域啟用了基于源路由的SRPolicy流量工程策略。同時(shí)，興業(yè)銀行通過(guò)在核心網(wǎng)邊界使用EgressPeeringEngineering(EPE)出向流量工程技術(shù)以及BGPFlowspec入向流量工程技術(shù)，實(shí)現(xiàn)了IP流量的雙向調(diào)度，并通過(guò)部署智能控制器，實(shí)現(xiàn)了基于軟件定義的核心網(wǎng)流量工程集中控制。圖1興業(yè)銀行新一代核心網(wǎng)總體架構(gòu)二、興業(yè)銀行新一代核心網(wǎng)技術(shù)特點(diǎn)1.創(chuàng)新流量工程模式在傳統(tǒng)MPLSVPN架構(gòu)下，分支機(jī)構(gòu)的IP流量從CE進(jìn)入PE被封裝后以標(biāo)簽交換的方式在MPLS域內(nèi)轉(zhuǎn)發(fā)，并在到達(dá)尾端PE被解封裝后以IP流量的形式進(jìn)入目的分支機(jī)構(gòu)，其間，整個(gè)會(huì)話流量以“IP+MPLS”的形式在整個(gè)轉(zhuǎn)發(fā)平面中多次轉(zhuǎn)換，要進(jìn)行流量工程調(diào)度難度極大。對(duì)此，興業(yè)銀行創(chuàng)新引入“IP+MPLS”SD-WAN流量工程調(diào)度技術(shù)，實(shí)現(xiàn)了分支機(jī)構(gòu)之間端到端的流量管理。在流量管理方面，骨干網(wǎng)流量工程主要使用SegmentRoutingTrafficEngineering(SRTE)與BGPFlowspec兩種技術(shù)，并通過(guò)使用SD-WAN控制器對(duì)其進(jìn)行整合，形成了統(tǒng)一的場(chǎng)景管理模式，支持其作為同一個(gè)流量工程策略下發(fā)，從而實(shí)現(xiàn)了對(duì)整個(gè)骨干網(wǎng)流量的協(xié)同管理。其中，SRTE是SR技術(shù)的核心，其本質(zhì)是通過(guò)在骨干網(wǎng)邊界節(jié)點(diǎn)設(shè)置Segment標(biāo)簽列表的方式，定義某類業(yè)務(wù)流量的承載路徑，從而在源節(jié)點(diǎn)實(shí)現(xiàn)精確到單個(gè)五元組(源IP、目的IP、源端口、目的端口以及協(xié)議)的流量調(diào)度。同時(shí)，由于SR是一種基于MPLS標(biāo)簽的源路由技術(shù)，因此其原生支持SDN的中央控制器架構(gòu)。SR技術(shù)消除了MPLS轉(zhuǎn)發(fā)層面對(duì)傳統(tǒng)LDP、RSVP等標(biāo)簽和信令協(xié)議的依賴，所以還具有實(shí)現(xiàn)簡(jiǎn)單、流量控制靈活、效率高、通用性強(qiáng)等優(yōu)勢(shì)。此外，在某些特定場(chǎng)景下，還可基于SREPE特性為eBGP鄰居分配不同的EPE標(biāo)簽，并通過(guò)BGPLink-State地址簇協(xié)議通告給其他PE或者控制器，從而實(shí)現(xiàn)對(duì)核心區(qū)出向流量的靈活調(diào)度。實(shí)踐中，EPE標(biāo)簽既可安裝在頭端PE的SRPolicy的末尾作為最后一個(gè)SID，從而實(shí)現(xiàn)特定流量在PE到CE方向的鏈路選擇；也可以通告給SD-WAN控制器，由控制器按需將EPE標(biāo)簽應(yīng)用到SRPolicy上。對(duì)于BGPFlowspec技術(shù)而言，當(dāng)前分支機(jī)構(gòu)通常采用多根運(yùn)營(yíng)商專線接入骨干網(wǎng)匯聚層，此類上下行流量并不攜帶標(biāo)簽，屬于傳統(tǒng)的IP流量，而采用BGPFlowspec技術(shù)將可實(shí)現(xiàn)精確到五元組會(huì)話的流量選路功能。實(shí)踐中，BGPFlowspec技術(shù)常用于運(yùn)營(yíng)商DDOS流量清洗，簡(jiǎn)言之，其是一種在多協(xié)議BGP下擴(kuò)展Flowspec地址簇的PBR技術(shù)，用于強(qiáng)制為特定流量指定一個(gè)期望的下一跳接口和地址。此外，BGPFlowspec技術(shù)還可以針對(duì)某個(gè)具體流量進(jìn)行限速，從而進(jìn)一步豐富廣域網(wǎng)流量管理和應(yīng)急處置的手段。BGPFlowspec同樣原生支持SDN，可通過(guò)控制器下發(fā)BGPFlowspecNLRI到路由器，再經(jīng)路由器編碼到硬件，并執(zhí)行流量轉(zhuǎn)發(fā)或限速動(dòng)作。2.構(gòu)建應(yīng)用驅(qū)動(dòng)流量模型長(zhǎng)期以來(lái)，傳統(tǒng)流量模型大多是建立在路由調(diào)度的基礎(chǔ)上，即通過(guò)各類路由協(xié)議進(jìn)行目標(biāo)網(wǎng)絡(luò)的端到端調(diào)度，并將流量分為生產(chǎn)、辦公兩個(gè)大類，分別在不同的骨干網(wǎng)平面中承載。在此模式下，不僅顆粒度較粗，且無(wú)法針對(duì)途經(jīng)的多條路徑按需進(jìn)行調(diào)度，導(dǎo)致部分對(duì)延時(shí)要求較為苛刻的業(yè)務(wù)僅能靠預(yù)定義的QoS進(jìn)行保障，而無(wú)法將擁塞的流量精準(zhǔn)遷移至其余路徑上。對(duì)此，興業(yè)銀行針對(duì)商業(yè)銀行核心網(wǎng)的站點(diǎn)間多路徑與同一時(shí)間忙閑不均的情況，提出了一種基于應(yīng)用驅(qū)動(dòng)的核心網(wǎng)流量模型，并對(duì)應(yīng)用系統(tǒng)進(jìn)行了更細(xì)顆粒度的劃分，包括延時(shí)敏感型流量、異步業(yè)務(wù)流量、非結(jié)構(gòu)化傳輸流量、補(bǔ)丁類流量等。在此基礎(chǔ)上，還通過(guò)智能控制器按需規(guī)劃了不相交路徑，以便于對(duì)各類業(yè)務(wù)流量進(jìn)行承載，以期在避免流量間相互串?dāng)_的同時(shí)，進(jìn)一步提升骨干網(wǎng)整體帶寬利用率。(1)延時(shí)敏感型流量商業(yè)銀行核心交易業(yè)務(wù)的實(shí)時(shí)性通常較高。針對(duì)此類流量，控制器采用基于延時(shí)計(jì)算最短路徑的動(dòng)態(tài)SRPolicy，可有效保證在任何場(chǎng)景下，此類流量均承載于最短路徑上，且即使在故障場(chǎng)景下，依舊能自動(dòng)計(jì)算并選擇跨平面最短的延時(shí)路徑進(jìn)行承載，從而有效降低故障場(chǎng)景對(duì)延時(shí)敏感型業(yè)務(wù)的影響。(2)異步業(yè)務(wù)流量分支機(jī)構(gòu)間經(jīng)常需要進(jìn)行異地?cái)?shù)據(jù)通信，部分流量是高并發(fā)的異地災(zāi)備數(shù)據(jù)同步類流量，盡管該類流量本身重要性較高，但對(duì)同平面專線帶寬的擠占較多，對(duì)關(guān)鍵業(yè)務(wù)流量的影響也相對(duì)較大。對(duì)此，控制器可提前將上述流量調(diào)度至同平面非最短路徑上。由于此類路徑與低延時(shí)最短路徑互不相交，可極大緩解上述流量對(duì)關(guān)鍵業(yè)務(wù)流量的影響。此外，非最短路徑也將相對(duì)空閑，有助于提升骨干網(wǎng)的整體帶寬利用率。(3)非結(jié)構(gòu)化傳輸流量在金融數(shù)字化浪潮下，大量非結(jié)構(gòu)化數(shù)據(jù)的跨區(qū)域傳輸需求越來(lái)越多，而上述傳輸過(guò)程對(duì)骨干網(wǎng)線路帶寬擠占極其嚴(yán)重。傳統(tǒng)解決方法是通過(guò)定時(shí)任務(wù)在業(yè)務(wù)低谷時(shí)段利用骨干網(wǎng)進(jìn)行傳輸，但隨著傳輸數(shù)據(jù)量激增，該方法已越來(lái)越難以在業(yè)務(wù)低谷時(shí)段完成所有數(shù)據(jù)傳輸任務(wù)。對(duì)此，控制器通過(guò)流量調(diào)度功能將此類流量在C平面上進(jìn)行承載，既避免了對(duì)A、B平面的影響，又保證了其全天24小時(shí)不間斷傳輸。(4)補(bǔ)丁類流量軟件下載、辦公文件傳輸、補(bǔ)丁升級(jí)、病毒庫(kù)更新等流量不僅在時(shí)間上具有較強(qiáng)的突發(fā)性，而且其客戶端也具有不確定性，經(jīng)常會(huì)呈爆發(fā)式的流量增長(zhǎng)，易對(duì)骨干網(wǎng)線路造成較大影響。對(duì)此，控制器通過(guò)提前將此類流量調(diào)度至C平面并使用BGPFlowspec技術(shù)針對(duì)不同場(chǎng)景進(jìn)行智能限速，可保證即使在多客戶端并行下載的場(chǎng)景下，也不會(huì)對(duì)C平面帶寬造成嚴(yán)重?cái)D占。3.引入SD-WAN控制器異地雙集群架構(gòu)SD-WAN控制器作為整個(gè)核心網(wǎng)的中樞，可對(duì)骨干網(wǎng)所有設(shè)備進(jìn)行集中控制和管理，是整個(gè)智能核心網(wǎng)的“大腦”。對(duì)此，興業(yè)銀行核心網(wǎng)控制器集群采用異地雙集群高可用架構(gòu)，并與各主要節(jié)點(diǎn)建立了BGP鄰居關(guān)系，可通過(guò)下發(fā)策略的方式進(jìn)行流量的按時(shí)、按需調(diào)度，SD-WAN控制器架構(gòu)如圖2所示。圖2SD-WAN控制器架構(gòu)實(shí)際運(yùn)行中，SD-WAN控制器的主要功能包括可視化和控制兩大部分。其中，可視化功能指控制器通過(guò)BGPLink-State地址簇協(xié)議，可實(shí)時(shí)獲取環(huán)形網(wǎng)鏈路狀態(tài)信息并反推出整個(gè)拓?fù)浼軜?gòu)；通過(guò)Telemetry協(xié)議得到SRPolicy策略信息；通過(guò)BMP協(xié)議實(shí)時(shí)獲取全網(wǎng)路由信息;通過(guò)Netflow協(xié)議收集應(yīng)用流量數(shù)據(jù)；通過(guò)SNMP協(xié)議采集接口流量和QOS信息等。在此基礎(chǔ)上，通過(guò)對(duì)各類數(shù)據(jù)源進(jìn)行整合，可提供可視化API并呈現(xiàn)到GUI界面。控制功能是指控制器通過(guò)GUI界面或者API定義策略，可通過(guò)手動(dòng)路徑選擇、控制器本地計(jì)算等方式設(shè)計(jì)SRPolicy路徑；通過(guò)BGPIPv4單播地址蔟實(shí)現(xiàn)路由下發(fā)與染色；通過(guò)BGPSR-Policy地址蔟協(xié)議或者Netconf協(xié)議下發(fā)SRPolicy到網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)對(duì)流量路徑的控制，并通過(guò)可視化功能將效果呈現(xiàn)在用戶交互界面中。此外，控制器還可實(shí)現(xiàn)豐富的場(chǎng)景觸發(fā)設(shè)置，即根據(jù)帶寬利用率、時(shí)間等場(chǎng)景決定某個(gè)流量調(diào)度策略是否激活。展望未來(lái)，隨著設(shè)備性能的提升與SRv