暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 【交易技术前沿】证券轻型营业部SDWAN改造探索与实践

【交易技术前沿】证券轻型营业部SDWAN改造探索与实践

上交所技术服务 2021-10-13
732

本文选自《交易技术前沿》总第四十三期文章(2021年3月)

晏强、杨超、刘嵩、吴昊

 光大证券股份有限公司 liusong@ebscn.com

 

随着近些年证券行业在业务种类、金融科技等多个方面的快速增长,互联网(WAN)也逐步承担了越来越多的数据传输工作。由于互联网具有延迟高,不稳定等缺点,如何确保业务有效平稳运行成为亟需解决的问题。SDWAN作为一种新兴的组网技术,对于广域网线路传输优化以及可用性提升有着较为显著的促进作用。本文主要从 SDWAN的技术优势以及应用进行分析,并且结合具体实践介绍了轻型营业部的SDWAN组网解决方案。

一、引言

随着企业业务云化的不断升级,互联网线路已成为承载各种业务的重要媒介。企业基础架构(包括计算、存储设施)逐步变成可运营的资源,业务人员可以通过互联网按需弹性获取。这就对网络提出了较高的要求,要求网络能适应业务的发展进行灵活的调整。

近些年,随着国家提速降费政策的大力推广,运营商所提供的互联网带宽有了较为显著的增长,资费却无明显提高。相较专线,互联网线路成为了性价比较高的数据传输方式。并且,目前企业互联网带宽以年复26%的增长率逐步增加,但是日常带宽利用率较低。如何有效的利用现有互联网带宽,也成为运维人员需要思考的问题。

SDWAN是将 SDN 技术应用到广域网场景中所形成的一种服务。这种服务用于连接区域跨度较大的企业分支、数据中心、云服务及互联网业务,旨在帮助企业降低投入,提高效率,增强互联网相关业务的稳定性和安全性。SDWAN技术对于传统的广域网市场带来了巨大的变革。互联网线路正逐渐从各自独立,互不关联过渡到整合的SDWAN。根据Gartner的数据,2019年有20%的企业采用了SDWAN。在未来的四到五年中,Gartner预计部署基于互联网的SDWAN企业数量将达到60%。

SDWAN技术具有的独特优势,包括:

快速配置:SDWAN能够提升企业服务配置速度。根据Gartner的调查报告,SDWAN解决方案的使用者将营业部部署时间缩短了50%-80%;

提高可靠性:传统运维人员一般通过命令行或图形界面配置硬件设备,易出现配置失误进而产生不良影响。SDWAN通过降低网络复杂性,减少维护成本。且可以自动执行多种配置任务,杜绝人为失误。并通过统一的控制器实现对链路、流量及设备运行情况的统一管控和监控,还可实现动态智能选路;

提升性能:SDWAN解决方案可以提供广域网加速和优化。让企业能够较为轻松的提升云应用性能。

降低成本:通过自动化配置,可以节省IT成本。在缺乏专业运维人员的营业部表现尤为明显,此外,SDWAN还可以通过采用混合广域网的模式来充分利用现有带宽资源,进一步节约成本。

二、背景

随着业务规模的飞速增长,目前公司的营业部数量达到了280余家,网点遍布全国30个省、自治区、直辖市的135个城市,柜台资产突破8600亿元。离散分布在全国各地的小型分支成为用户直接面向市场的前沿“突击队”或“服务队”,不但需要灵活高效地与总部进行信息交互,同时还需要流畅获取外部资讯。这就使得公司对于互联网线路的依赖性也越来越高,运维人员面临的挑战也越来越大。基本可以总结为以下几个方面:

营业部与总部之间的VPN隧道故障率较高。

营业部主要通过互联网线路与位于上海金桥、上海外高桥以及深圳的三家数据中心建立的VPN隧道,并通过该隧道访问云桌面系统,进而办理各种业务。由于互联网线路自身稳定性限制、各城市运营商技术水平参差不齐以及跨运营商等多种因素,VPN的故障率较高,且排障较为困难,业务连续性存在较大隐患。虽然多数营业部和各数据中心已经部署了双互联网线路,但是当主用线路故障后,VPN隧道需要运维人员进行手动切换,势必会影响到营业部访问位于总部的云桌面系统,进而影响业务的正常办理。

营业部需求多,投入较大。

营业部存在上网行为管理、与总部建立VPN隧道、防火墙网关、流量控制等需求。如果按传统方式按需采购设备,不仅需要的设备数量和类型较多,且部署实施也较为复杂。偏离了业界公认的分支机构IT建设一体化,中心端高可用性,快速部署等组网要求。不仅无法满足C型营业部快速部署,灵活迁移的需求,也较大的增加了公司的投入。

运维复杂,无法有效排查故障。

营业部的IT技术力量较为薄弱。当发生故障时,大部分情况由总部运维人员进行远程故障排查和修复。由于现场员工缺乏相应的基础知识,过多的设备势必会极大的增加排障复杂度。并且运维人员很难对营业部的设备进行统一管控,增加了运维成本。

基于以上的难点,公司根据现有的网络架构进行SDWAN组网建设改造,为营业部与数据中心之间构建“快速性、安全性、易用性”的数据通道。实现了总部与营业厅之间的链路优化、智能选路、故障自动切换等效果。不仅完美解决了异地营业部互联问题,还针对营业部需求进行紧密匹配,建立了总部对于营业部的初期上线,中期配置,后期维护的全流程解决方案。建立了轻型营业部零IT,总部管理更敏捷,业务访问最佳体验的IT基础体系架构。

三、应用实践

3.1面临的问题

结合现有的营业部建设模式以及运维现状,SDWAN网络组建重点要解决以下几个方面的问题:
3.1.1总部端
无法统一运维
由于AC、VPN等安全设备部署在不同地点,简单的远程运维不能同时满足部署、监控和维护的要求。当网络参数或结构发生变化的时候,需要重新调整和配置每个节点的设备。在某些情况下还需营业部员工配合。目前只能通过增加网络维护人员来应对数目众多的营业部,增加了IT运营成本。
无法统一管理
营业部的设备均需要部署安全规则。如果采用人工部署方式,很难保证所有场所的安全策略是一致的,符合安全规范的。
无法统一升级
随着新的安全漏洞的发现或攻击方式的产生,所有设备必须不断升级或安装补丁。大量设备的升级难以同时完成,另外升级异地设备还需要耗去大量的人力物力。
无法统一监控可视化
当营业部因为设备或网络故障等原因造成业务中断时,总部端运维人员应当第一时间得知情况,帮助处理问题,而不是被动等待营业部反馈问题后再进行处理。
3.1.2分支端

线路故障率高,业务连续性无法保证

现网中虽然多数营业部已经采用双互联网线路,但是当某条线路故障后,无法保障业务自动切换到另一条线路的隧道继续传输。而营业部多种业务需要保持到总部的连续访问,包括:云桌面、交易系统等,因此需要组网具备高可靠性和自动切换能力。

营业部需求复杂

营业部有多线路互备、互联网流量管控、用户权限管控等多方面的需求,需要进行简单有效的管控。

营业部上线难

因为营业部人工成本,租金成本,建设成本等多项原因,敏捷上线已渐渐成为业务快速开展的刚需之一。但是轻型营业部无专门IT运维人员,导致该类营业部上线周期较长,成为了快速开展业务的瓶颈。

营业部网络安全隔离不明确

由于营业部员工IT知识与安全意识较为缺乏,无法对员工办公区和客户访问区进行明确的划分,致使营业部网络中数据流较为混杂,降低了营业部网络安全等级,容易被不法分子的利用。

3.2设计原则

3.2.1保护现有资产
尽量使用营业部已有设备,实现固定资产最大化保护
3.2.2高可靠性
国内目前南电信北网通的运营模式,对于跨运营商的数据传输有一定影响。因此需要解决不同运营商之间的互联问题,提高接入访问速度,在传输过程中保证传输质量,降低丢包。
3.2.3安全性
本文例中SDWAN改造主要基于VPN。SDWAN设备均直接面向互联网开放。因此必须制定安全策略,确保没有获得授权的用户无法接入VPN网络。

3.2.4易用性

运维人员必须可对整个VPN网络进行有效的管理、维护和监控,并且能够直接对位于营业部的设备进行远程管理,无需当地员工协助。

3.3改造过程

3.3.1结合营业部现状,实现SDWAN组网平滑升级

目前光大证券已有200余家营业部部署了深信服AC上网行为管理设备,实现了上网行为控制、流量管理以及防火墙网关等功能。为了减小对现有网络架构的影响,降低投入成本,进行了以下两方面的配置:

升级现有AC设备版本并开通SDWAN功能模块,实现了营业部对于SDWAN组网的支持。只有在硬件老旧,或软件版本过早而不支持升级的情况下,营业部才需要更换新型号设备。

在上海外高桥、上海金桥和深圳建艺三处机房部署SDWAN WOC设备,使数据中心也满足SDWAN组网需求,为实现组网架构的升级做好准备。

具体网络拓扑如下图所示:

从网络拓扑可以看出云桌面系统主要部署于上海外高桥数据中心、上海金桥数据中心以及深圳数据中心。三个数据中心之间通过专线互相通讯。在上海外高桥机房部署有BBC统一管理平台,通过互联网对营业部AC设备以及各数据中心WOC设备进行集中管理。营业部的AC设备与三个数据中心均建立了多条VPN隧道,可根据具体需求自行选择使用哪个数据中心的云桌面。 
3.3.2营业部多链路互备,实现业务高效保护
 智能切换
总部SDWAN WOC设备与营业部AC设备之间建立了VPN。通过多线路带宽迭加及复用技术,将多条不同方式接入的上网线路实现带宽迭加和互为备份,保证了整个系统的持续可靠运行。当任何一条线路出现故障,WOC可以将数据无缝切换到其他正常线路,若故障线路恢复正常,VPN的连接隧道将自动愈合。这一切都是系统自动进行,无需人工干预,保证了重要应用持续、不间断地稳定运行。
流量管控
AC设备具有隧道内流控功能。通过该项技术,可以自定义不同服务的QoS级别,确保最重要的云桌面服务得到最优的带宽保障,确保业务的正常开展;

3.3.3构建统一管理平台,实现营业部链路、设备集中运维管控,提高效率

通过总部部署的BBC集中管理平台,完成营业部深信服AC设备的集中管理,以及互联网线路接入的配置,较好地提高了运维管理效率。
集中管理
BBC集中管理平台远程管理营业部部署的AC设备,展示设备运行状态以及流量情况,并且能够实现营业部配置策略下发、设备智能升级等操作。

全面监控

集中管理平台提供营业部设备的整体监控蓝图。运维人员可以根据展示画面迅速判断故障点,提高排障效率。

智能告警
BBC集中管理平台提供网络告警、离线告警、授权告警、硬件告警、安全告警五大维度监控。

智能报表分析
BBC集中管理平台拥有智能报表功能,提供问题分析报表。管理员可以从日志报表中看到全网安全状况,提高决策效率。报表还可对营业部资源利用率、带宽利用率、告警问题汇总、告警排行、告警数量、离线时长等进行WEB界面展示。

3.4实现效果

在对轻型营业部SDWAN组网改造的建设过程中,通过进行应用策略的详细梳理,并制定合适的链路优化及智能选路策略,对于当前营业部的架构进行了优化,提高了业务的可靠性。实现效果主要体现在以下几个方面:
降低链路成本
通过引入性价比较高的互联网链路,减少申请专线带来的较高的线路成本,满足轻型营业厅业务传输带宽需求,符合轻型营业厅灵活的建设规划。
提升业务访问体验
互联网业务增多后,与员工一般上网需求产生冲突。在营业部有多条互联网线路的情况下,可以通过SDWAN智能选路技术、链路优化技术实现业务承载在最优链路上,避免上网流量增多后影响正常业务流量传输,提高业务应用体验。
加固分支安全,满足政策法规
随着网络安全威胁加剧,政策合规升级,证券营业部安全建设需求日益紧迫。SDWAN解决方案通过上网行为管理AC的安全防护能力(包括IPS、防病毒等),审计能力(包括业务识别、日志留存等功能)加固分支安全,满足政策法规。
降低部署和维护的时间与成本
营业部上网行为管理AC设备上线之后可以接入集中管控BBC设备直接获取相关配置信息并自动生效。后期的配置修改及设备升级等多种操作均可通过BBC设备完成。

四、实践建议

通过SDWAN架构的实施部署,总结了如下几点经验:
统筹规划
必须全面梳理现有网络结构,线路特点。SDWAN改造涉及到整个公司的网络架构,牵一发动全身,必须在建设初期制定详细的规划方案,以确保建设方向没有偏差;
 逐步推进
 证券公司由于营业部的特征不同,所使用的网络架构也不大相同,如A、B类以专线为主,而C类以互联网VPN隧道为主,且各自的需求也是不一样的,并且SDWAN组网是一个全面的建设模式,势必周期比较长,所以须结合自身的情况制定分步实施方案,如以C类为试点,试运行平稳后再进行A、B类的建设,从而保证SDWAN组网方案的平滑升级;
知识培训
SDWAN是一种较为先进的技术,与传统网络运维差别较大。需要加强对运维人员相关知识的培训,使他们对于SDWAN的工作原理有深入的理解。从而保障公司未来网络的发展和演进。

五、未来展望

近年来,SDWAN发展迅速。它以广域网为承载,通过多链路融合的方式提供快捷、安全的点到点、点到多点及多点到多点的数据连接,较好的满足各种差异化的组网需求,在提供灵活的组网方案的同时也能根据需求增加丰富的自定义功能模块。
如同SDN一样,SDWAN是未来广域网融合的发展趋势。把SDWAN和MPLS VPN相结合将会是未来的发展趋势。随着5G网络的飞速部署,将SDWAN和5G技术相结合也会是SDWAN技术的重要发展方向。
企业服务是SDWAN发展的另一个重要方向。通过和SDWAN体系的融合,企业能够给自己的服务提供更多的灵活性,使客户无论在任何场景,使用任何设备,都可以通过云端自动获取个性化的定制,提升用户体验。
目前公司仅对互联网线路进行了SDWAN优化,提升了轻型营业部业务办理的体验。占用网络投入份额较多的专线的优化亟需实施。相信通过SDWAN技术,能够探索出更加优秀的组网方案,大幅度提高现有资源的利用效率。


免责声明   

本公众号内容仅供参考。对任何因直接或间接使用本公众号内容而造成的损失,包括但不限于因有关内容不准确、不完整而导致的损失,本公众号不承担任何法律责任。如有问题请反馈至tech_support@sse.com.cn。

 

--------------------------
上海证券交易所为证券公司、基金管理公司等市场参与者及相关行业机构提供交易技术支持与服务,包括日常交易技术支持、技术交流研讨、市场调查反馈、证券信息技术知识库、测试等服务。

数据库
文章转载自上交所技术服务,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论