SD-WAN网络在证券行业的探索与实践
陆颂华、杨亚斌、乐剑平 海通证券
摘要:SD-WAN的出现,有助于以较低成本拥有更加可靠和更高带宽的广域网线路,为企业在分支互联区域替代广域网专线提供可能。海通证券以“高速互联,品质体验,简易运维”为目标,携手华为共同打造的新一代SD-WAN网络,一方面能够为海通的业务发展夯实网络基础设施,促进营业网点智能化等战略的落地;另一方面也可以为科技创新,如海通混合金融云等应用的深化提供技术保障。本文以SD-WAN技术的特点和海通证券业务、技术发展需要为切入点,详细描述了SD-WAN在海通证券的应用实践,作为行业内率先使用SD-WAN技术的探索者,希望能为证券行业网络新技术应用提供一定的借鉴。
关键词:SD-WAN 软件定义广域网 海通证券 广域网
一、引言
网络作为联接从云端到边缘的基础设施,在企业数字化转型中扮演着重要角色。
SD-WAN(软件定义广域网)的出现,以低成本的互联网宽带在一定程度上代替了较低流量、价格昂贵的专线来完成企业站点互联,加上安装运维管理的简易性、全局流量调度和可视分析等特性,极大地降低了企业IT投入开支。
SD-WAN是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,可以帮助用户降低广域网(WAN)的成本开支并提高网络连接的灵活性。
近两年,SD-WAN已经成为网络领域的新风向。根据近期IDC针对SD-WAN的相关调研,95%的企业已经或将在两年内使用SD-WAN技术,而42%的企业已经完成部署。其中,中国SD-WAN应用始于2017年,在2018年快速增长,2019年SD-WAN市场增速超过130%,市场规模接近7000万美元,使用涉及金融、零售、制造、互联网、媒体、政府、医疗、能源、电力、教育、交通和服务等多个行业。[1]
SD-WAN市场的快速发展得益于它具有的如下优势:
1、安全可靠。SD-WAN可在广域网流量传输的过程中对流量进行加密,并通过对网络进行分片来提高网络安全性,确保数据安全。
2、高性价比。SD-WAN可以让企业有效地利用互联网、4G、MPLS专线等多种方式构建高性价比的广域网来满足业务需求,而不用担心维护空闲的备份链路。
3、组网灵活。SD-WAN路由器可以组合多个广域网连接的带宽,并根据企业不同分支机构的地域分布、规模大小以及实际网络需求等,提供灵活的组网方式。
4、部署敏捷。SD-WAN可以使WAN服务快速部署到远程站点,而不需要IT人员去部署,真正实现终端设备的零接触部署、零接触维护和策略自动管理。
5、智能选路。为了避免链路故障带来的网络风险,企业往往会订购多个互联网链路,SD-WAN通过控制器监管链路、网点、应用和设备情况,可基于应用动态智能选择最优路径。
6、云网融合。SD-WAN让企业对网络的管理更加便捷,通过集中监测、分析网络性能和当前状态,促进公有云、数据中心、分支机构和物联网之间的任意互联。
二、SD-WAN网络应用背景
海通证券是国内成立最早、综合实力最强的证券公司之一,其经营网点遍及全球14个国家和地区,在境内拥有近340家证券及期货营业部,服务近1500万客户。面对如此复杂的经营网络和庞大的客户群,加上行业业务办理线上化、交易渠道互联网化趋势明显,使得公司的业务开展更加依赖高可靠、大带宽、高性价比和低延时的广域网络。然而,采用传统广域网络支撑公司未来发展面临如下挑战:
1)流量需求快速增加,专线扩容性价比低:智慧营业部引入智能身份识别、高清视频、语音交互等创新金融服务,使营业网点业务流量激增;而传统网络大多采用专线构建营业部到总部的多级广域网络,不仅带宽小(仅2~10Mbps)且价格昂贵,采用传统专线带宽扩容方式无法既经济又有效的满足智慧营业部的业务流量需求。
2)单链路适配性差,差异化需求无法满足:随着智慧营业部和金融云战略的推进,网点对网络流量的需求不断增加,而不同应用对链路的带宽、时延、抖动、丢包等需求并不一样,证券交易业务需要低时延;高清视频业务更依赖大带宽,而语音交互则对丢包更敏感。传统单链路专线无法针对特殊应用设置专门的可靠性参数,无法针对不同应用的要求提供相应的链路保障。
3)运营模式不灵活,部署过程不可见:海通证券拥有大量轻型营业网点(即C类营业部),经营定位与运营模式灵活,需要顺应周边商业环境变化快速设立或撤并;传统专线及IPSec的连接模式,往往需要分派专业工程师进行现场调试、安装、部署,这一过程动辄需要数周甚至一个月,一方面无法满足轻型营业网点快速变迁的需求,另一方面,部署过程对需求方的透明,也增加了需求方在等待过程中的焦虑。
4)运维复杂度大,故障排查效率不高:传统网点必须配备专业的网络工程师,在现场进行网络调试和故障定位,一个小的故障往往就涉及数千行命令行的配置,运维过程复杂、效率低下。
为此,海通证券携手华为,在行业内率先启动SD-WAN新一代网络建设,以“高速互联,品质体验,简易运维”为目标,为公司混合金融云和智慧营业网点构建高速互联的通道。
三、海通证券SD-WAN应用实践
海通证券从2019年开始建设SD-WAN网络,目前,主要探索实践以下工作:1、灵活引入MSTP、MPLS VPN、Internet、LTE等多种链路专线,针对不同营业部的规模和业务特点,构建高性价比的SD-WAN高速互联通道;2、多链路互备,应用级智能选路,保障关键证券业务体验;3、营业部无需专业人员上门,设备即插即用,网络分钟级开通;4、全网集中可视管理,全流程自动化管理,提升运维效率;5、通过异地容灾,控制集群的双重冗余设计,与海通证券“两地三中心”的数据中心整体布局相融合,确保SD-WAN控制器高可靠,实现全网集中可视管理,运行状态一目了然。
3.1 混合链路接入,高性价比SD-WAN互联通道
根据SD-WAN网络特点以及实际业务需求,海通证券构建了全新的广域网络架构。
过去,海通证券的广域网络是树形结构,采用SD-WAN方案后,借助其丰富的组网模型,除A型营业部全部采用专线直连机房的扁平化组网模式外,B型和C型营业部均可根据业务诉求,灵活选择与中心机房建立扁平化或者层次化组网。
基于证券行业业务特点,流量主要以分支网点到中心机房的上下行流量为主,很少涉及分支网点互访,所以组网架构推荐采用Hub-Spoke模型,分支Spoke站点只与Hub通信,无法直接互访。出于可靠性考虑,Hub点(即中心机房)选择双设备,Spoke站点按需可单可双,当前海通已部署的C型Spoke站点为单设备单出口部署。Hub侧每台CPE各连一条运营商链路,Spoke侧可根据网点规模,采用单链路或者双链路Internet接入。
如下图是海通证券C型营业网点采用单条Internet接入数据中心的组网模型:
站点之间物理组网
站点之间逻辑组网(Hub-Spoke架构)
3.2 应用级智能选路,关键证券业务体验可保障
传统网络中,设备无法根据线路质量进行实时切换调整,但SD-WAN则不同。海通应用级智能选路包含三种选路方式:
1、基于链路质量的智能选路:当链路质量低于SLA阈值(包括丢包、时延、抖动),网络会自动进行流量切换,转移到质量好的网络上去;
2、基于链路带宽流量负载分担:通过应用识别,确定不同业务流带来的链路带宽流量负载,为不同的业务流选择适合它的链路带宽;
3、基于链路带宽利用率的智能选路:如当主链路带宽利用率高于阈值上限70%时,切换低优先级应用到备链路,当主链路带宽利用率低于阈值下限50%时,回切低优先级应用到主链路。
3.3 零接触开局,网点分钟级网络开通
在部署SD-WAN过程中,海通证券充分体验到了SD-WAN部署的ZTP(Zero Touch Provisioning,零接触部署),利用USB、邮件、DHCP等多种方式灵活开局,30分钟内快速上线网点业务,大大加速了证券业务的快速扩张。
以通过邮件方式开局为例。在部署SD-WAN时,总部的IT工程师只需要提前做好配置数据,然后将配置通过邮件的方式,发给站点开局人员,该员工即可通过邮件内加密链接,完成设备配置部署,不再需要专业IT人士到场进行配置安装,实现网点设备“即插即用”,网点应用“随叫随到”。
3.4 多维度可视运维,降低运维复杂度
海通证券SD-WAN在组网完成后,建立了全方位的监控网络,以确保网络正常运转。具体包括站点性能监控、站点间性能监控、应用性能监控等,同时借助设备日志管理和故障定位,及时发现问题、解决问题。
站点性能监控:通过站点维度的监控,管理员可以监控全网站点的健康度情况,根据指定站点的日、周、月不同时间纬度查看设备性能、链路吞吐率及带宽利用率、链路质量、应用的流量和质量、访客的流量和应用等;
站点间性能监控:通过站点间维度的监控,管理员可以监控两个站点之间日、周、月不同时间纬度的链路质量,流量,带宽使用率及应用的流量和质量等;
应用性能监控:通过应用维度的监控,管理员可以监控应用质量的分布情况,应用使用流量排名,应用的客户端数排名,指定应用的日,周,月流量和质量趋势等;
设备日志管理:管理员通过SD-WAN控制器部署CPE的日志策略后,CPE上报日志给日志服务器,日志服务器对CPE日志进行采集,存储和分析;管理员可分别通过SD-WAN控制器或日志服务器对控制器及CPE的日志进行查询;
故障定位:管理员通过告警和监控及时了解到网络任一位置异常后,通过简易的故障定位手段即可快速发现问题根因,并由此制定相应的修改策略和解决措施。
3.5初步成效
在海通证券建设智慧营业网点过程中,SD-WAN网络的部署,优化了海通证券现有网络架构,提升网络基础设施的运行和保障能力;积极探索了证券行业控制器异地容灾网络;通过双重冗余方案设计、控制器异地容灾和站内集群技术保障网络业务的高可靠性。SD-WAN在海通证券的部署,其成效具体表现为以下三个方面:
1、加速营业部部署速度,支持业务快速扩张。传统营业网点的开通和部署需要0.5天,而即插即用的SD-WAN只需要30分钟,就可以实现网点新建、搬迁、扩容过程中业务快速上线,支撑业务战略;同时,多层SD-WAN网络架构,可以对不同层级划分不同租户进行网络管理,实现更加灵活的营业部组网模型,满足不同规模营业部的组网需求。
2、保障证券关键业务高品质体验。SD-WAN可以快速识别知名应用和证券私有应用,合理规划证券交易,通过多链路负载均衡,让证券交易数据始终运行在质量最优的链路上;充分利用MSTP,Internet主备链路,避免主链路拥塞,备链路空闲。不仅提高了应用体验,也提升了带宽的利用率。
3、实现了证券可视化运维,应用、链路、网点、设备状态信息一目了然。其中,基于GIS地图的网络监控,应用、链路、网点、设备状态可视;全网业务时延、抖动、丢包率等关键指标实时呈现;网络自动巡检,精准告警信息邮件通知。
四、SD-WAN实践中的思考
通过SD-WAN网络在海通证券的部署实施,我们有如下几点思考:
一是要看全局,重规划。要充分了解广域网技术尤其是企业现有网络体系结构的发展路径,并站在未来公司业务发展方向来谋划公司网络基础设施的布局。同时,随着服务器虚拟化、云平台的应用、移动端流量激增、智慧网点建设等新趋势,企业广域网络流量需求增加迅速,企业的网络架构需要持续优化。提前做好规划,通过对公司当前网络状况以及使用情况进行深入分析,针对不同分支机构的网络需求进行评估、设计和规划。
二是要分阶段、重实效。在实施和运维过程中,要选择适合企业自身特点的网络解决方案,SD-WAN组网绝非一蹴而就,而是要根据不同网点,不同区域的业务特点,分步骤,有节奏的逐步推进;如何实现跨地域的大规模组网,如何实现与非SD-WAN站点的互联互通,如何确保业务安全,都是实施过程中关注的重点和难点。
三是要重合作、提能力。SD-WAN是一种复杂、强大且不断发展的技术,企业需要选择合适的合作伙伴来共同规划、实施、运营和完善,在选择SD-WAN的合作伙伴时,应重点关注其服务和支持能力以及生态圈的广度和深度。同时,加强自身团队建设,做好人员储备,以应对新型组网对网络架构和人员专业能力的新要求。
五、未来展望
SD-WAN逐渐成为企业网络迭代的必然选择,海通证券将持续完善网络体系机构,优化网络运营流程,加快SD-WAN覆盖;同时,结合云计算,5G和AI等技术,为智慧海通构建高速互联通道。
5G、AI等技术与SD-WAN的融合将带来如下收益:一是5G、SD-WAN接入超大带宽、超低时延、海量连接的能力,可极大提升证券网点的接入灵活性和联接带宽,也为轻型证券网点向更多的城市和社区延伸提供了可能;二是5G网络的切片功能与SD-WAN结合后,能利用其应用识别能力,对业务流进行识别、分类,实现更精准的智能选路,以应对低时延的证券业务需要和智能在线客服的业务量激增;三是融合5G、SD-WAN的一体化设备将重塑广域网边缘基础设施,灵活集成路由、安全、广域优化等丰富的边缘特性,降低分支业务部署的复杂度;四是与AI技术结合的SD-WAN自动化运维技术,将极大简化网络运维复杂度、减少故障定位时间,为分布式、跨地域的证券公司分支机构的网络无人化运维提供可能。
[1] IDC咨询:SD-WAN江湖——原有网络市场格局将被彻底打破, 2020年3月24日
声明:本文来自证券信息技术研发中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。