導讀
SD-WAN 雖然已成主流選擇,但對於中小型銀行,其選用、規劃、成本控制等均是技術與管理的雙重測試。
本文基於銀行實踐,整理六大核心決策維度,對 SD-WAN 講解得非常全面,實用價值高,可以為同儕提供「避坑指南」與思考架構。
作者:賈超
某銀行金融科技部 資深工程師
一、引言隨著金融業務線上化、分行智慧化進程加快,傳統廣域網路在彈性、成本和管理效率上已顯乏力。
SD-WAN 雖然已成主流選擇,但對於資源與風險承受能力相對有限的中小型銀行而言,如何選型、如何規劃、如何控製成本,每一步都是技術與管理的雙重考驗。
本文基於我行實際建設項目,整理六大核心決策維度,希望能為同儕提供一份「避坑指南」與思考架構。
二、 SD-WAN 分類SD-WAN ,全稱軟體定義廣域網路 (Software-Defined Wide Area Network) ,是將軟體定義網路 (SDN) 技術應用於廣域網路 (WAN) 的新型網路方案。
基於 SD-WAN 網絡方案,目前市場上有各式各樣的 SD-WAN 產品,形態各異,用途也不盡相同。
基於本次專案實施經驗,我對市場上常見的 SD-WAN 產品進行了歸納分類,該分類未必標準,但有助於溝通交流時,請理解廠商的原始基因和核心意圖。
分類如下:
( 1 )公有雲廠商 SD-WAN 。
隨著企業業務向雲端遷移,企業的廣域網路 WAN 承載越來越多且雲端相關的應用流量,為了實現分公司與雲端的快速連接,適應新業務快速上線的需求,各家公有雲廠商都推出了各自的 SD-WAN 產品和設備。
對應包括阿里雲的 SD-WAN (智慧型接取網關 SAG )、騰訊雲 SD-WAN ( Edge 設備)等。
( 2 )傳統網路廠商 SD-WAN 。
此類 SD-WAN 產品,大多基於路由器及對應的硬體 SD-WAN 控制器實現,對應產品包括華為、新華三、邁普、銳捷、深信服的 SD-WAN 相關設備等。
( 3 )新興的雲端網路 SD-WAN 。
此類 SD-WAN 產品,專為 SD-WAN 開發,以會話為中心,與傳統路由表為中心的邏輯差異較大。
對應產品包括締安科技 SD-WAN 等。
三、 SD-WAN 決策考慮SD-WAN 專案實施過程,涉及多個決策考量,有產品選用方面,有架構調整方面,也有成本變動方面,針對我們實施的 SD-WAN 專案決策分享如下:
維度一:技術路線-傳統網路廠商 vs. 新興雲端網路 SD-WAN WAN 中小型銀行業務大多是在上述資料中心還是新興的雲端網路 SD-WAN ?
傳統網路廠商對 SD-WAN 實現大多以路由協定為基礎,採用 BGP EVPN 技術,透過擴展 BGP 協定,使用擴展後的可達性訊息,使不同站點的底層傳輸網路互通,然後透過 BGP 的多 VPN 能力,最終實現不同站點網路間的隧道封裝資訊從資料平面轉移到控制平面。
新興的雲端網路 SD-WAN 產品專門為 SD-WAN 開發,與傳統路由表為中心的協定相差較大,可以實現傳統路由操作起來非常複雜的一些功能,例如多線路回程一致性、隨源路由等,而且 SD-WAN 實現過程中,無需升級或替換原有設備,甚至能實現 IDS/IPS 、流控、上網行為審計等功能合一。
新興的雲端網路 SD-WAN 產品有點類似雲端原生概念,天生 SD-WAN 功能強大,但底層邏輯實作與傳統網路差異較大,相關邏輯無法簡單套用傳統路由交換角度去理解。
目前金融業多採用傳統網路廠商 SD-WAN 產品,個別金融企業也採用了雲端網路 SD-WAN 產品。
由於雲端網路 SD-WAN 產品涉及的金融案例相對較少,實際招標採購中也面臨一定問題,結合廠商穩定性等考量,我們選擇了傳統網路廠商 SD-WAN 產品。
維度二:控制器模式-「強」 vs. 「弱」控制器上對 SD-WAN 功能實現,分為強、弱兩種控制器模式。
強弱控制器模式本質上是「集中式控制」與「分散式協同」兩種設計哲學的體現。
強控制器(集中式)策略統一、調度靈活,但對控制器可靠性要求極高;弱控制器(分散式)更依賴本地設備智能,容災性好,但策略複雜度受限。
簡單來說,弱控制器模式下控制器將相關 SD-WAN 配置下發到路由器上,依賴路由器本身實現流量調度,即使控制器全部故障對 SD-WAN 流量調度等功能無任何影響;而強控制器模式下 SD-WAN 流量調度等功能依賴控制器本身實現,如控制器異常,則 SD-WAN 相關功能無法使用。
強弱控制器模式的選擇,主要依賴廠商對 SD-WAN 定義的理解與實現,目前主流的華為、新華三 SD-WAN 產品為弱控制器模式。
各廠商的 SD-WAN 控制器稱呼不同,華為稱為 iMaster NCE-WAN 、新華三稱為 AD-WAN 、邁普稱為 BD-WAN 等等。
對應的 SD-WAN 控制器硬體實現也不同, SD-WAN 控制器實際上是硬體伺服器安裝 SD-WAN 應用程式實現,有的廠商三台伺服器群組叢集模式實現,有廠商兩台伺服器主備方式實現。
叢集模式的控制器當機一台、兩台、三台, SD-WAN 控制器唯讀、讀寫模式表現均不相同,具體可參考實際產品宕機後的高可用測試情況,個別廠商宕機三節點伺服器宕機兩台後,控制器即全部失效。
我們更看重控制器故障場景下的業務自洽能力,傾向弱控制器模式。但也有廠商及同業認為強控制器能實現更靈活的 SD-WAN 調度,傾向強控制器模式。
維度三:網路架構-“旁掛” vs. “串接”,“保留傳統存取” vs. “ ALL in SD-WAN ”SD-WAN 群組網路模型,包括常見的 hub-spoke 、 full-mesh 、層次化網路、 partial-mesh 群組網路等,以上網路模型多數 SD-WAN產品均支持,組網模型拓樸及要求,設備廠商文件很多,本文也不再贅述,規劃過程中要以廠商推薦的最佳實務為參考,結合現網實際狀況。
部分中小型銀行 SD-WAN 建設過程,實際上是對傳統 WAN 路由器的替換升級,需要注意個別廠商最佳實踐為旁掛 SD-WAN 路由器,相當於傳統路由器替換升級的同時,還需要單獨新增 SD-WAN 路由器用於流量的管理調度,前期採購成本相對會上升。
大多數銀行的廣域網路區域除了接取分行及分行外,可能存在部分特殊的分行站點的存取(例如管理歸屬方不同導致等等),改造前期要充分評估所有站點是否都能做 SD-WAN 存取的改造工作,還是只能以傳統路由方式存取。
多數廠商宣稱 SD-WAN 路由器可以在 SD-WAN 接入的同時承擔傳統路由的功能,但是 SD-WAN 路由器“身兼多職”,不同路由之間極有可能相互衝突。
對於管理歸屬特殊的站點,我們保留了傳統接取這種方式,這種「混合架構」也增加了一定的管理成本。
維度四:線路新技術- 5G+SD-WANSD-WAN 組成網路方案,可以對多條混合連結動態調度。
傳統金融業的廣域網路專線多為 MSTP 專線,這幾年隨著 5G 技術發展, 部分大型銀行已開始應用 5G 線路承載生產業務。
5G 具有高頻寬、低延時等特點,且 5G 網路部署快、行動快,無需等待營運商安裝或部署專線,可滿足智慧網點快速開通、部分示範業務「行動化」的需求。
以中國建設銀行為例,在 2021 年中國建設銀行聯合華為,透過 5G+SD-WAN 創新方案共同打造的全球首個新概念 5G+ 智慧銀行。智慧銀行或智慧網點的核心問題是,優化分行金融服務體驗的同時,分行資料流量呈現幾何級數成長。而傳統網點一般採用 MSTP 專線,其僅 2~4M 的頻寬顯然無法支撐智慧應用的運作。
另一方面,成千上萬個分支網點廣域網路的維運管理,必須需要引進 SD-WAN 做自動化的管理及流量調度。
實際 5G 應用過程中, 5G 產業專網分為獨立專網、虛擬專網、混合專網三種部署模式,不同業者對三種網路稱呼不同。
5G 組網也分為過渡型的 NSA ( 非獨立組網 ) 、 一步到位型的 SA ( 獨立組網 ) 兩種。基本成本考慮,中小型銀行大多使用 5G 虛擬專網模式,在 5G 虛擬專網基礎上,增加 AAA 伺服器以及 LNS 匯聚路由器等,是業界主流的 5G+VPDN 解決方案。
但需要明確的是,如果計劃分支機構數量龐大,不同分支機構的 5G 信號覆蓋要求,運營商的虛擬專網中 5G 與 4G 共用底層通信設施, 5G 鏈路上傳問題也達不到下載質量。
如果實現想利用 5G 承載生產業務,不同分公司的 5G 訊號均需要事先測試,且後期需要營運商做持續優化。
維度五: SD-WAN 新考量-扁平化目前金融業分公司直接訪問總部的趨勢越來越明顯,需求越來越集中。
部分銀行已經進行分行架構扁平化工作,實現分行及自助銀行網路直連省中心,逐步取消分行直連分行。
扁平化的實施改造將大量的 WAN 線路匯總到了省級中心,大多與 SD-WAN 結合同步進行,利用 SD-WAN 技術對不同線路動態調度。
扁平化的改造離開不自上而下的大力推動,這是首要前提。
同時扁平化改造也帶來了成本的巨大變化。
分行與當地分行互聯集中在一個城市內部,對應的線路為本地線路,而網點與省級中心互聯後,對應線路變成了長途(省內)線路,同樣速率 MSTP 或 OTN 線路帶寬,成本則可能相差幾倍。
例如,某分行從連接地市分行改為直連省會資料中心,同等 20M MSTP 專線,年租金可能從 1.5 萬元增至 6 萬元,線路成本增幅達 3 倍。
這個勢必要引進 5G 或 MPLS VPN 等其他資費較低的線路,大多金融業 SD-WAN 改造過程中,與 5G 結合的案例相對較多。
維度六:成本評估-「採購成本」 vs. 「隱形成本」SD-WAN 路線的選擇,不僅包括了硬體的採購成本,也包括了各種隱形成本,有隱性的各種功能授權成本,也有新技術路線的人力變更實施等成本。
Gartner 提出 SD-WAN 的四大核心特徵包括:
( 1 )支援混合連結存取
( 2 )支援動態路徑選擇與負載平衡
( 3 )簡化管理
( 4 )支援 VPN 及第三方加值服務。
以 Gartner 所提的「第三方加值服務」為例,大多分公司 SD-WAN 路由器設備,例如防火牆功能、 IPS 功能等增值服務需要購買單獨授權才能支持,部分加值服務的授權價格接近分公司 SD-WAN 路由器本身。
分行分行若全面啟用安全加值服務,五年授權費可能超過硬體投資。如果分公司較多,則需該部分成本影響非常大。
以 Gartner 所提的「簡化管理」為例,傳統網路廠商的 SD-WAN 依賴於底層的路由交換, SD-WAN 實施的過程,個別廠商將傳統路由交換的 CLI 腳本命令轉換成了圖形化的 WEB 介面操作,部分 CLI 腳本實現的操作並沒有簡化,甚至有可能增加了操作的複雜度,如果對大量操作機構進行的更具改造。
四、 SD-WAN 新發展隨著近年 SD-WAN 的使用深入,各網路廠商在 SD-WAN 的基礎上又不斷進行了延伸,其中一個是分公司 LAN 網路與 WAN 網路的融合,一個是分公司 SD-WAN 與資料中心核心流量 SRv6 調度技術的融合。
以華為廠商為例,前者稱作 SD-Branch ,將軟體定義的理念從 WAN 推廣至分支網絡,將軟體定義的範圍擴展到 LAN 側,支援對 LAN 側設備進行自動化編排與控制,分支機構 LAN 可選擇集路由、交換、防火牆、 IPS 、防病毒、 5G/LTE 和 Wi-Fi 總部的一個有效單元SD-WAN 解決方案。
後者稱作 Cloud-WAN ,資料中心核心網路和分行網點存取網路均採用 SRv6 協議,建立廣域一張網, SRv6 統一承載業務靈活調優,實現金融業務端到端的敏捷發放、多中心業務協同等功能。
Cloud-WAN 需要資料中心核心及網點接取全部採用 SRv6 ,實施改造難度相對較大,目前市面上相關廠商成熟度有待進一步提高。
五、總結回過頭看, SD-WAN 選型沒有“最佳方案”,只有“最適配選擇”。
“適配”,適配的是每家行的技術堆疊、成本結構和風險偏好。文中提到的幾個向度,每一個都是我們糾結過、討論過的。我們的選擇與思考,未必適用於所有人,而這,恰恰是討論的價值所在。
