IT Certification 考試資訊

标签: SD-WAN

  • 中小型銀行 SD-WAN 建設:選用評估、規劃要點與核心考量

    導讀

    SD-WAN 雖然已成主流選擇,但對於中小型銀行,其選用、規劃、成本控制等均是技術與管理的雙重測試。
    本文基於銀行實踐,整理六大核心決策維度,對 SD-WAN 講解得非常全面,實用價值高,可以為同儕提供「避坑指南」與思考架構。
    作者:賈超
    某銀行金融科技部 資深工程師
    一、引言隨著金融業務線上化、分行智慧化進程加快,傳統廣域網路在彈性、成本和管理效率上已顯乏力。
    SD-WAN 雖然已成主流選擇,但對於資源與風險承受能力相對有限的中小型銀行而言,如何選型、如何規劃、如何控製成本,每一步都是技術與管理的雙重考驗。
    本文基於我行實際建設項目,整理六大核心決策維度,希望能為同儕提供一份「避坑指南」與思考架構。
    二、 SD-WAN 分類SD-WAN ,全稱軟體定義廣域網路  (Software-Defined Wide Area Network) ,是將軟體定義網路 (SDN) 技術應用於廣域網路 (WAN) 的新型網路方案。
    基於 SD-WAN 網絡方案,目前市場上有各式各樣的 SD-WAN 產品,形態各異,用途也不盡相同。
    基於本次專案實施經驗,我對市場上常見的 SD-WAN 產品進行了歸納分類,該分類未必標準,但有助於溝通交流時,請理解廠商的原始基因和核心意圖。
    分類如下:
    ( 1 )公有雲廠商 SD-WAN 。
    隨著企業業務向雲端遷移,企業的廣域網路 WAN 承載越來越多且雲端相關的應用流量,為了實現分公司與雲端的快速連接,適應新業務快速上線的需求,各家公有雲廠商都推出了各自的 SD-WAN 產品和設備。
    對應包括阿里雲的 SD-WAN (智慧型接取網關 SAG )、騰訊雲 SD-WAN ( Edge 設備)等。
    ( 2 )傳統網路廠商 SD-WAN 。
    此類 SD-WAN 產品,大多基於路由器及對應的硬體 SD-WAN 控制器實現,對應產品包括華為、新華三、邁普、銳捷、深信服的 SD-WAN 相關設備等。
    ( 3 )新興的雲端網路 SD-WAN 。
    此類 SD-WAN 產品,專為 SD-WAN 開發,以會話為中心,與傳統路由表為中心的邏輯差異較大。
    對應產品包括締安科技 SD-WAN 等。
    三、 SD-WAN 決策考慮SD-WAN 專案實施過程,涉及多個決策考量,有產品選用方面,有架構調整方面,也有成本變動方面,針對我們實施的 SD-WAN 專案決策分享如下:
    維度一:技術路線-傳統網路廠商 vs. 新興雲端網路 SD-WAN WAN 中小型銀行業務大多是在上述資料中心還是新興的雲端網路 SD-WAN ?
    傳統網路廠商對 SD-WAN 實現大多以路由協定為基礎,採用 BGP EVPN 技術,透過擴展 BGP 協定,使用擴展後的可達性訊息,使不同站點的底層傳輸網路互通,然後透過 BGP 的多 VPN 能力,最終實現不同站點網路間的隧道封裝資訊從資料平面轉移到控制平面。
    新興的雲端網路 SD-WAN 產品專門為 SD-WAN 開發,與傳統路由表為中心的協定相差較大,可以實現傳統路由操作起來非常複雜的一些功能,例如多線路回程一致性、隨源路由等,而且 SD-WAN 實現過程中,無需升級或替換原有設備,甚至能實現 IDS/IPS 、流控、上網行為審計等功能合一。
    新興的雲端網路 SD-WAN 產品有點類似雲端原生概念,天生 SD-WAN 功能強大,但底層邏輯實作與傳統網路差異較大,相關邏輯無法簡單套用傳統路由交換角度去理解。
    目前金融業多採用傳統網路廠商 SD-WAN 產品,個別金融企業也採用了雲端網路 SD-WAN 產品。
    由於雲端網路 SD-WAN 產品涉及的金融案例相對較少,實際招標採購中也面臨一定問題,結合廠商穩定性等考量,我們選擇了傳統網路廠商 SD-WAN 產品。

    維度二:控制器模式-「強」 vs. 「弱」控制器上對 SD-WAN 功能實現,分為強、弱兩種控制器模式。
    強弱控制器模式本質上是「集中式控制」與「分散式協同」兩種設計哲學的體現。
    強控制器(集中式)策略統一、調度靈活,但對控制器可靠性要求極高;弱控制器(分散式)更依賴本地設備智能,容災性好,但策略複雜度受限。
    簡單來說,弱控制器模式下控制器將相關 SD-WAN 配置下發到路由器上,依賴路由器本身實現流量調度,即使控制器全部故障對 SD-WAN 流量調度等功能無任何影響;而強控制器模式下 SD-WAN 流量調度等功能依賴控制器本身實現,如控制器異常,則 SD-WAN 相關功能無法使用。
    強弱控制器模式的選擇,主要依賴廠商對 SD-WAN 定義的理解與實現,目前主流的華為、新華三 SD-WAN 產品為弱控制器模式。
    各廠商的 SD-WAN 控制器稱呼不同,華為稱為 iMaster NCE-WAN 、新華三稱為 AD-WAN 、邁普稱為 BD-WAN 等等。
    對應的 SD-WAN 控制器硬體實現也不同, SD-WAN 控制器實際上是硬體伺服器安裝 SD-WAN 應用程式實現,有的廠商三台伺服器群組叢集模式實現,有廠商兩台伺服器主備方式實現。
    叢集模式的控制器當機一台、兩台、三台, SD-WAN 控制器唯讀、讀寫模式表現均不相同,具體可參考實際產品宕機後的高可用測試情況,個別廠商宕機三節點伺服器宕機兩台後,控制器即全部失效。
    我們更看重控制器故障場景下的業務自洽能力,傾向弱控制器模式。但也有廠商及同業認為強控制器能實現更靈活的 SD-WAN 調度,傾向強控制器模式。
    維度三:網路架構-“旁掛” vs. “串接”,“保留傳統存取” vs. “ ALL in SD-WAN ”SD-WAN 群組網路模型,包括常見的 hub-spoke 、 full-mesh 、層次化網路、 partial-mesh 群組網路等,以上網路模型多數 SD-WAN產品均支持,組網模型拓樸及要求,設備廠商文件很多,本文也不再贅述,規劃過程中要以廠商推薦的最佳實務為參考,結合現網實際狀況。
    部分中小型銀行 SD-WAN 建設過程,實際上是對傳統 WAN 路由器的替換升級,需要注意個別廠商最佳實踐為旁掛 SD-WAN 路由器,相當於傳統路由器替換升級的同時,還需要單獨新增 SD-WAN 路由器用於流量的管理調度,前期採購成本相對會上升。
    大多數銀行的廣域網路區域除了接取分行及分行外,可能存在部分特殊的分行站點的存取(例如管理歸屬方不同導致等等),改造前期要充分評估所有站點是否都能做 SD-WAN 存取的改造工作,還是只能以傳統路由方式存取。
    多數廠商宣稱 SD-WAN 路由器可以在 SD-WAN 接入的同時承擔傳統路由的功能,但是 SD-WAN 路由器“身兼多職”,不同路由之間極有可能相互衝突。
    對於管理歸屬特殊的站點,我們保留了傳統接取這種方式,這種「混合架構」也增加了一定的管理成本。
    維度四:線路新技術- 5G+SD-WANSD-WAN 組成網路方案,可以對多條混合連結動態調度。
    傳統金融業的廣域網路專線多為 MSTP 專線,這幾年隨著 5G 技術發展, 部分大型銀行已開始應用 5G 線路承載生產業務。
    5G 具有高頻寬、低延時等特點,且 5G 網路部署快、行動快,無需等待營運商安裝或部署專線,可滿足智慧網點快速開通、部分示範業務「行動化」的需求。
    以中國建設銀行為例,在 2021 年中國建設銀行聯合華為,透過 5G+SD-WAN 創新方案共同打造的全球首個新概念 5G+ 智慧銀行。智慧銀行或智慧網點的核心問題是,優化分行金融服務體驗的同時,分行資料流量呈現幾何級數成長。而傳統網點一般採用 MSTP 專線,其僅 2~4M 的頻寬顯然無法支撐智慧應用的運作。
    另一方面,成千上萬個分支網點廣域網路的維運管理,必須需要引進 SD-WAN 做自動化的管理及流量調度。
    實際 5G 應用過程中, 5G 產業專網分為獨立專網、虛擬專網、混合專網三種部署模式,不同業者對三種網路稱呼不同。
    5G 組網也分為過渡型的 NSA ( 非獨立組網 ) 、 一步到位型的 SA ( 獨立組網 ) 兩種。基本成本考慮,中小型銀行大多使用 5G 虛擬專網模式,在 5G 虛擬專網基礎上,增加 AAA 伺服器以及 LNS 匯聚路由器等,是業界主流的 5G+VPDN 解決方案。
    但需要明確的是,如果計劃分支機構數量龐大,不同分支機構的 5G 信號覆蓋要求,運營商的虛擬專網中 5G 與 4G 共用底層通信設施, 5G 鏈路上傳問題也達不到下載質量。
    如果實現想利用 5G 承載生產業務,不同分公司的 5G 訊號均需要事先測試,且後期需要營運商做持續優化。
    維度五: SD-WAN 新考量-扁平化目前金融業分公司直接訪問總部的趨勢越來越明顯,需求越來越集中。
    部分銀行已經進行分行架構扁平化工作,實現分行及自助銀行網路直連省中心,逐步取消分行直連分行。
    扁平化的實施改造將大量的 WAN 線路匯總到了省級中心,大多與 SD-WAN 結合同步進行,利用 SD-WAN 技術對不同線路動態調度。
    扁平化的改造離開不自上而下的大力推動,這是首要前提。
    同時扁平化改造也帶來了成本的巨大變化。
    分行與當地分行互聯集中在一個城市內部,對應的線路為本地線路,而網點與省級中心互聯後,對應線路變成了長途(省內)線路,同樣速率 MSTP 或 OTN 線路帶寬,成本則可能相差幾倍。
    例如,某分行從連接地市分行改為直連省會資料中心,同等 20M MSTP 專線,年租金可能從 1.5 萬元增至 6 萬元,線路成本增幅達 3 倍。
    這個勢必要引進 5G 或 MPLS VPN 等其他資費較低的線路,大多金融業 SD-WAN 改造過程中,與 5G 結合的案例相對較多。
    維度六:成本評估-「採購成本」 vs. 「隱形成本」SD-WAN 路線的選擇,不僅包括了硬體的採購成本,也包括了各種隱形成本,有隱性的各種功能授權成本,也有新技術路線的人力變更實施等成本。
    Gartner 提出 SD-WAN 的四大核心特徵包括:
    ( 1 )支援混合連結存取
    ( 2 )支援動態路徑選擇與負載平衡
    ( 3 )簡化管理
    ( 4 )支援 VPN 及第三方加值服務。
    以 Gartner 所提的「第三方加值服務」為例,大多分公司 SD-WAN 路由器設備,例如防火牆功能、 IPS 功能等增值服務需要購買單獨授權才能支持,部分加值服務的授權價格接近分公司 SD-WAN 路由器本身。
    分行分行若全面啟用安全加值服務,五年授權費可能超過硬體投資。如果分公司較多,則需該部分成本影響非常大。
    以 Gartner 所提的「簡化管理」為例,傳統網路廠商的 SD-WAN 依賴於底層的路由交換, SD-WAN 實施的過程,個別廠商將傳統路由交換的 CLI 腳本命令轉換成了圖形化的 WEB 介面操作,部分 CLI 腳本實現的操作並沒有簡化,甚至有可能增加了操作的複雜度,如果對大量操作機構進行的更具改造。
    四、 SD-WAN 新發展隨著近年 SD-WAN 的使用深入,各網路廠商在 SD-WAN 的基礎上又不斷進行了延伸,其中一個是分公司 LAN 網路與 WAN 網路的融合,一個是分公司 SD-WAN 與資料中心核心流量 SRv6 調度技術的融合。
    以華為廠商為例,前者稱作 SD-Branch ,將軟體定義的理念從 WAN 推廣至分支網絡,將軟體定義的範圍擴展到 LAN 側,支援對 LAN 側設備進行自動化編排與控制,分支機構 LAN 可選擇集路由、交換、防火牆、 IPS 、防病毒、 5G/LTE 和 Wi-Fi 總部的一個有效單元SD-WAN 解決方案。
    後者稱作 Cloud-WAN ,資料中心核心網路和分行網點存取網路均採用 SRv6 協議,建立廣域一張網, SRv6 統一承載業務靈活調優,實現金融業務端到端的敏捷發放、多中心業務協同等功能。
    Cloud-WAN 需要資料中心核心及網點接取全部採用 SRv6 ,實施改造難度相對較大,目前市面上相關廠商成熟度有待進一步提高。
    五、總結回過頭看, SD-WAN 選型沒有“最佳方案”,只有“最適配選擇”。
    “適配”,適配的是每家行的技術堆疊、成本結構和風險偏好。文中提到的幾個向度,每一個都是我們糾結過、討論過的。我們的選擇與思考,未必適用於所有人,而這,恰恰是討論的價值所在。

  • 行業丨思科 Meraki:賦能製造業,潤物細無聲

    行業丨思科 Meraki:賦能製造業,潤物細無聲
    鄭凱 思科聯天下 1週前
    新冠疫情的爆發與肆虐給很多行業帶來了改變。疫情的 “ 催化 ” ,讓製造業認識到數字化技術對複工復產、提質增效的意義,它們對走向智能製造的渴望,從未有現在這樣迫切。

    智能製造的本質,是精細化定制化生產模式,對傳統粗放的流程化生產模式的替代。其中最核心的轉變,就是流程驅動被數據驅動所取代,在產品觸達用戶的同時,也伴隨著服務觸達。

    1.先進工業網絡可以促進 IT 與 OT 融合
    如今數字化轉型正成為製造企業共識,智能製造的發展正迎來關鍵性的歷史機遇。中國製造業的數字化轉型規模正在穩步成長。今年賽迪顧問發布的《2020-2021 年中國工業互聯網市場研究年度報告》顯示:2020 年,中國工業互聯網市場規模總量達到 6712.7 億元,同比增長 10.4%。儘管受新冠肺炎疫情影響,中國製造企業對數字化的投入增長有所放緩,但仍保持了穩定的增長態勢,並在汽車、醫藥、電子、能源等行業湧現出一大批優秀的數字化領軍企業。

    但是,還是要看到,雖然中國發展智能製造的總體態勢良好,但在很多細節上的不足也限制了應用效果的體現。

    傳統製造業 IT 與 OT 很少有交集,但進入數字化時代,透過物聯網、大數據與雲端智能,IT 與 OT 兩者終能展開對話。由 OT 領域的傳感器獲取數據,上傳 IT 領域的雲端中心執行大數據分析,繁衍出各種創新應用。融合 IT 和 OT 不僅僅是因為 “ 感覺不錯 ” ,對於製造商來說,融合 IT 和 OT 是降低成本和有效競爭的一個戰略需求。

    但在美好設想落地的過程中,會面臨種種難題。比如製造業的設備老舊,很難讓 IT 管理老舊的工業設備。而分裂的 OT 和 IT 環境,則有可能帶來巨大的安全風險。考慮到生產環境的複雜性,一座智能工廠所需的基礎設施,其強韌度和可靠度要比一般的 IT 基礎設施高出一個等級。再有,製造業企業相對傳統,在吸引 IT 技術人才方面也有所欠缺。

    好的網絡其實可以推動 IT 與 OT 融合,如 OT 可以開始考慮讓生產設備通過工業物聯網進行實時通信,而 IT 可以嘗試分析各種設備的運行數據以發現提高效率的方法,這讓好的工業網絡成為智能製造的 “ 催化劑 ” 。

    進一步說,智能製造要解決的首要問題其實是網絡連結。過去的工廠網絡相對獨立,因為工廠管理層最不希望看到製造系統受到網絡攻擊,但現在企業也希望有所改變,因為封閉的網絡使生產數據的價值無法被深入挖掘,智能製造更是無從談起。

    2.剖析智能製造三大挑戰尋破解之道
    球製造業格局正發生著深刻變化。在各個地區,製造業奮力向前的同時,均面臨著如何減少停機時間提升生產效率、逐步實現移動網絡在製造企業的廣泛應用、及物聯網時代如何降本增效、減少浪費這三大挑戰。

    盡可能地減少停機時間:“ 時間就是金錢 ” 這句話也正是為製造業量身定做。僅僅幾分鐘的停機就可能讓大型企業損失成千上萬美元,更會給企業聲譽帶來長久的損害。因此全球的製造企業,無論大小,都將減少停機時間作為最關注的事項。

    移動網絡在製造企業的應用:隨著近年科技的進步與發展,SaaS 云網絡管理技術為移動網絡在製造企業的應用提供了一個更為便捷的工作方式,工廠經理和高管實現了遠程辦公。無論他們身在何地,都可以實時了解企業生產運營信息。當然,這需要 IT 部門和 OT 部門之間更好地配合——部署更好的網絡方案,讓製造企業在網絡應用上獲得無與倫比的體驗。

    降本增效減少浪費:降本增效對於任何一家企業都是重中之重。對企業而言可以收穫更多利潤、對社會而言可以保護生態環境。簡而言之,在 IT 和 OT 走向融合的大趨勢下,智慧工廠降低損耗、節約成本的關鍵在於如何正確地通過IT工具來部署 OT 設備和技術,並將生產信息準確地傳遞給相關團隊。

    作為面向未來的智能 IT 解決方案,思科 Meraki 緊跟全球數字化趨勢,提供簡捷、安全和智能的解決方案,近幾年始終活躍在幫助製造型企業實現智能化轉型的舞台上。通過 Meraki 的 SaaS 云網絡管理平台,用戶不僅能組建定制化的無線網絡環境,並且通過基於瀏覽器的控制面板就能完成對整個系統的管理。 Meraki SaaS 云網絡管理平台是 Meraki 產品組合的云網絡基礎,其解決方案包括無線接入點 (MR), 交換機 (MS), 含安全功能的路由器 (MX) 和 SD-WAN,以及最新 IoT 產品傳感器(MT)。 Meraki 所具備的簡捷、智能、安全、降本增效的獨特特點,可以助力智能製造業應對三大挑戰。

    01.利用 Wi-Fi 6 實現工業物聯網 (IIoT)
    智能工廠正在擁抱的數字轉型的一個關鍵組成部分是工業物聯網(IIoT),從機器人到叉車,再到工具車的所有設備都連接到網絡上。有了這樣的連接,便可以實現集中管理及監測,同時利用各種分析工具提高生產效率、減少停機時間並作出更明智的判斷及預測。而面對如此多的無線設備接入網絡,最具挑戰的則是需要有支持 Wi-Fi 6 強大而穩定的網絡環境。 Wi-Fi 6 技術相較之前最重要的改進是減少擁塞並允許更多設備連接到網絡,提高了效率和網絡容量。 Wi-Fi 6 有可能將每個用戶的平均吞吐量提高四倍,從而為製造商提供高性能且穩定的 IIoT 部署。

    思科 Meraki 借助 Wi-Fi 6 認證技術,為用戶提供全新的體驗,在提供更快的速度以增強應用體驗的同時,為高密度室內外環境提供更大的容量。在 Wi-Fi 6 的幫助下,思科 Meraki 的應用場景可適用於室內外的高密度 Wi-Fi,並具備豐富的性能監控和保護手段。此外,豐富的分析結果可以為客戶提供更寶貴的洞見。

    全球某知名汽車公司在產線上部署了 Meraki Wi-Fi 6 解決方案之後,IT 運維團隊可以隨時了解廠區網絡運行情況。一旦遇到異常,可以迅速精准定位出故障的工業機器人,並採取預防措施以避免產線停擺。同時,智能管理網絡也便於總部集中管理分佈在全國各地的廠區網絡,用更精練的 IT 團隊管理龐大的網絡。

    02.使用 MT 環境傳感器監控智能工廠
    傳感器及其配件的基礎作用是進行監測。而如今,傳感器可以結合大數據幫助企業改善其生產流程、預測故障,並最終提高現代智能工廠的效率。思科 Meraki MT 包括了一系列環境傳感器(室內溫/濕度、室內洩漏、開/關門),實時提供遠程可視化監控,以幫助全天候保護企業的資產和設備。起初這項技術部署在IT機櫃中,以確保關鍵基礎設備的正常運行,如今已經擴展到製造商的各類環境監控中。 Meraki MT 環境傳感器可以輕鬆地在幾秒內完成配置,通過 Wi-Fi 6 無線接入到網絡中,使得對於環境及危險監測變得更為可移動,IT 及高層管理在任何環境下都可以掌握環境狀態。

    全球知名的機器人技術研發企業 Bossa Nova 的製造試驗車間一直缺乏可靠的環境監測手段,來保障其昂貴的設備免受溫濕度變化及漏水情況等造成的損害。包括對於溫度、濕度變化及漏水等相關檢測。 Bossa Nova 在現有網絡部署中添加了兩種雲管理傳感器:MT10 溫/濕度傳感器和 MT12 漏水檢測傳感器。在部署的頭幾個月,Meraki MT 傳感器幫助 Bossa Nova 避免了至少 2 次由過熱引起的開關故障,避免損失硬件成本逾 3 萬美元。 Bossa Nova 的資訊科技及機器人通訊總監 Todd Shipway 說:“Meraki MT 傳感器對於保護機器人產品至關重要,如果沒辦法監測溫度,我們很可能會損失一個或多個機器人,每個機器人的造價高達 10 萬美元,那將會是一筆巨大損失。”

    03.使用 MX 實現廠區到總部的 SD-WAN 改造
    隨著製造企業的業務不斷擴張,伴隨而來的是工廠擴建而帶來的網絡部署煩惱。過去的做法是需要 IT 人員親赴各個工廠部署網絡,並且由於項目時間週期不同各地網絡環境的部署很難做到統一、一致且穩定,每當項目更新 IT 人員又需要重新趕往各個工廠進行部署升級。

    在智能製造時代下製造企業有了更多的選擇。通過思科 Meraki MX 設備,企業得以遠程進行大規模快速部署,從而大幅降低 WAN 成本。思科 Meraki 提供支持 SD-WAN 功能,能讓分佈不同地點的運營站點組成高效的廣域網。

    澳洲某知名造紙廠擁有 120 個廠區,其需要解決單片機聯網的問題,先前的解決方案複雜且低效,沒有任何工具對網絡進行管理,且每當排查故障時需要協調當地工程師及 IT 人員,人力成本極高。當使用了支持 SD-WAN 功能的 Meraki MX 路由器之後,使各站點輕鬆和總部得以相連接。 Meraki SD-WAN 提供了更簡捷的可視化管理系統,讓 IT 人員無需到廠即可實現各類部署及更新,大大降低了運營及部署成本、提高了運維效率。

    3.道阻且長,行則將至
    根據《智能製造發展指數報告》顯示:2020 年工業設備數字化率為 50%,設備聯網率僅為 23%,遠遠低於同期消費互聯網高達 70% 的聯網率。這意味著製造業的智能網絡轉型迫在眉睫,製造業企業迫切地需要一個更穩健、安全、靈活且可遠程中央管理的可視化網絡。他們已然認識到智能而強大的網絡可以為企業化解難題,並向智能製造演進。

    從這些角度看,思科 Meraki 解決方案的部署簡易,維護輕鬆,穩定可靠,投資回報率高等特點,恰好貼合了目前製造業數字化升級的訴求。

    數字化轉型的機遇稍縱即逝,製造業的智能化也是時不我待,選擇思科 Meraki 就等於選擇了敏捷、高效、易部署維護的先進工業網絡,企業就此可以抓住智能製造發展的歷史性機遇。