本文選自《交易技術前沿》總第三十九期文章(2020年第二期)
陸頌華、楊亞斌、樂劍平
海通證券股份有限公司
SD-WAN的出現,有助於以較低成本擁有更加可靠和更高帶寬的廣域網線路,為企業在分支互聯區域替代廣域網專線提供可能。海通證券以“高速互聯,品質體驗,簡易運維”為目標,攜手華為共同打造的新一代SD-WAN網絡,一方面能夠為海通的業務發展夯實網絡基礎設施,促進營業網點智能化等戰略的落地;另一方面也可以為科技創新,如海通混合金融雲等應用的深化提供技術保障。本文以SD-WAN技術的特點和海通證券業務、技術發展需要為切入點,詳細描述了SD-WAN在海通證券的應用實踐,作為行業內率先使用SD-WAN技術的探索者,希望能為證券行業網絡新技術應用提供一定的借鑑。
一、引言
網絡作為聯接從雲端到邊緣的基礎設施,在企業數字化轉型中扮演著重要角色。
SD-WAN(軟件定義廣域網)的出現,以低成本的互聯網寬帶在一定程度上代替了較低流量、價格昂貴的專線來完成企業站點互聯,加上安裝運維管理的簡易性、全局流量調度和可視分析等特性,極大地降低了企業IT投入開支。
SD-WAN是將SDN技術應用到廣域網場景中所形成的一種服務,這種服務用於連接廣闊地理範圍的企業網絡、數據中心、互聯網應用及雲服務,可以幫助用戶降低廣域網(WAN)的成本開支並提高網絡連接的靈活性。
近兩年,SD-WAN已經成為網絡領域的新風向。根據近期IDC針對SD-WAN的相關調研,95%的企業已經或將在兩年內使用SD-WAN技術,而42%的企業已經完成部署。其中,中國SD-WAN應用始於2017年,在2018年快速增長,2019年SD-WAN市場增速超過130%,市場規模接近7000萬美元,使用涉及金融、零售、製造、互聯網、媒體、政府、醫療、能源、電力、教育、交通和服務等多個行業。
SD-WAN市場的快速發展得益於它具有的如下優勢:
1、安全可靠。SD-WAN可在廣域網流量傳輸的過程中對流量進行加密,並通過對網絡進行分片來提高網絡安全性,確保數據安全。
2、高性價比。SD-WAN可以讓企業有效地利用互聯網、4G、MPLS專線等多種方式構建高性價比的廣域網來滿足業務需求,而不用擔心維護空閒的備份鏈路。
3、組網靈活。SD-WAN路由器可以組合多個廣域網連接的帶寬,並根據企業不同分支機構的地域分佈、規模大小以及實際網絡需求等,提供靈活的組網方式。
4、部署敏捷。SD-WAN可以使WAN服務快速部署到遠程站點,而不需要IT人員去部署,真正實現終端設備的零接觸部署、零接觸維護和策略自動管理。
5、智能選路。為了避免鏈路故障帶來的網絡風險,企業往往會訂購多個互聯網鏈路,SD-WAN通過控制器監管鏈路、網點、應用和設備情況,可基於應用動態智能選擇最優路徑。
6、雲網融合。SD-WAN讓企業對網絡的管理更加便捷,通過集中監測、分析網絡性能和當前狀態,促進公有云、數據中心、分支機構和物聯網之間的任意互聯。
二、SD-WAN網絡應用背景
海通證券是國內成立最早、綜合實力最強的證券公司之一,其經營網點遍及全球14個國家和地區,在境內擁有近340家證券及期貨營業部,服務近1500萬客戶。面對如此複雜的經營網絡和龐大的客戶群,加上行業業務辦理線上化、交易渠道互聯網化趨勢明顯,使得公司的業務開展更加依賴高可靠、大帶寬、高性價比和低延時的廣域網絡。然而,採用傳統廣域網絡支撐公司未來發展面臨如下挑戰:
1)流量需求快速增加,專線擴容性價比低:智慧營業部引入智能身份識別、高清視頻、語音交互等創新金融服務,使營業網點業務流量激增;而傳統網絡大多采用專線構建營業部到總部的多級廣域網絡,不僅帶寬小(僅2~10Mbps)且價格昂貴,採用傳統專線帶寬擴容方式無法既經濟又有效的滿足智慧營業部的業務流量需求。
2)單鏈路適配性差,差異化需求無法滿足:隨著智慧營業部和金融雲戰略的推進,網點對網絡流量的需求不斷增加,而不同應用對鏈路的帶寬、時延、抖動、丟包等需求並不一樣,證券交易業務需要低時延;高清視頻業務更依賴大帶寬,而語音交互則對丟包更敏感。傳統單鏈路專線無法針對特殊應用設置專門的可靠性參數,無法針對不同應用的要求提供相應的鏈路保障。
3)運營模式不靈活,部署過程不可見:海通證券擁有大量輕型營業網點(即C類營業部),經營定位與運營模式靈活,需要順應周邊商業環境變化快速設立或撤併;傳統專線及IPSec的連接模式,往往需要分派專業工程師進行現場調試、安裝、部署,這一過程動輒需要數週甚至一個月,一方面無法滿足輕型營業網點快速變遷的需求,另一方面,部署過程對需求方的透明,也增加了需求方在等待過程中的焦慮。
4)運維複雜度大,故障排查效率不高:傳統網點必須配備專業的網絡工程師,在現場進行網絡調試和故障定位,一個小的故障往往就涉及數千行命令行的配置,運維過程複雜、效率低下。
為此,海通證券攜手華為,在行業內率先啟動SD-WAN新一代網絡建設,以“高速互聯,品質體驗,簡易運維”為目標,為公司混合金融雲和智慧營業網點構建高速互聯的通道。
三、海通證券SD-WAN應用實踐
海通證券從2019年開始建設SD-WAN網絡,目前,主要探索實踐以下工作:1、靈活引入MSTP、MPLS VPN、Internet、LTE等多種鏈路專線,針對不同營業部的規模和業務特點,構建高性價比的SD-WAN高速互聯通道;2、多鏈路互備,應用級智能選路,保障關鍵證券業務體驗;3、營業部無需專業人員上門,設備即插即用,網絡分鐘級開通;4、全網集中可視管理,全流程自動化管理,提升運維效率;5、通過異地容災,控制集群的雙重冗餘設計,與海通證券“兩地三中心”的數據中心整體佈局相融合,確保SD-WAN控制器高可靠,實現全網集中可視管理,運行狀態一目瞭然。
3.1 混合鏈路接入,高性價比SD-WAN互聯通道
根據SD-WAN網絡特點以及實際業務需求,海通證券構建了全新的廣域網絡架構。
過去,海通證券的廣域網絡是樹形結構,採用SD-WAN方案後,藉助其豐富的組網模型,除A型營業部全部採用專線直連機房的扁平化組網模式外,B型和C型營業部均可根據業務訴求,靈活選擇與中心機房建立扁平化或者層次化組網。
基於證券行業業務特點,流量主要以分支網點到中心機房的上下行流量為主,很少涉及分支網點互訪,所以組網架構推薦採用Hub-Spoke模型,分支Spoke站點只與Hub通信,無法直接互訪。出於可靠性考慮,Hub點(即中心機房)選擇雙設備,Spoke站點按需可單可雙,當前海通已部署的C型Spoke站點為單設備單出口部署。Hub側每臺CPE各連一條運營商鏈路,Spoke側可根據網點規模,採用單鏈路或者雙鏈路Internet接入。
如下圖是海通證券C型營業網點採用單條Internet接入數據中心的組網模型:
3.2 應用級智能選路,關鍵證券業務體驗可保障
傳統網絡中,設備無法根據線路質量進行實時切換調整,但SD-WAN則不同。海通應用級智能選路包含三種選路方式:
1、基於鏈路質量的智能選路:當鏈路質量低於SLA閾值(包括丟包、時延、抖動),網絡會自動進行流量切換,轉移到質量好的網絡上去;
2、基於鏈路帶寬流量負載分擔:通過應用識別,確定不同業務流帶來的鏈路帶寬流量負載,為不同的業務流選擇適合它的鏈路帶寬;
3、基於鏈路帶寬利用率的智能選路:如當主鏈路帶寬利用率高於閾值上限70%時,切換低優先級應用到備鏈路,當主鏈路帶寬利用率低於閾值下限50%時,回切低優先級應用到主鏈路。
3.3 零接觸開局,網點分鐘級網絡開通
在部署SD-WAN過程中,海通證券充分體驗到了SD-WAN部署的ZTP(Zero Touch Provisioning,零接觸部署),利用USB、郵件、DHCP等多種方式靈活開局,30分鐘內快速上線網點業務,大大加速了證券業務的快速擴張。
以通過郵件方式開局為例。在部署SD-WAN時,總部的IT工程師只需要提前做好配置數據,然後將配置通過郵件的方式,發給站點開局人員,該員工即可通過郵件內加密鏈接,完成設備配置部署,不再需要專業IT人士到場進行配置安裝,實現網點設備“即插即用”,網點應用“隨叫隨到”。
3.4 多維度可視運維,降低運維複雜度
海通證券SD-WAN在組網完成後,建立了全方位的監控網絡,以確保網絡正常運轉。具體包括站點性能監控、站點間性能監控、應用性能監控等,同時藉助設備日誌管理和故障定位,及時發現問題、解決問題。
站點性能監控:通過站點維度的監控,管理員可以監控全網站點的健康度情況,根據指定站點的日、周、月不同時間緯度查看設備性能、鏈路吞吐率及帶寬利用率、鏈路質量、應用的流量和質量、訪客的流量和應用等;
站點間性能監控:通過站點間維度的監控,管理員可以監控兩個站點之間日、周、月不同時間緯度的鏈路質量,流量,帶寬使用率及應用的流量和質量等;
應用性能監控:通過應用維度的監控,管理員可以監控應用質量的分佈情況,應用使用流量排名,應用的客戶端數排名,指定應用的日,周,月流量和質量趨勢等;
設備日誌管理:管理員通過SD-WAN控制器部署CPE的日誌策略後,CPE上報日誌給日誌服務器,日誌服務器對CPE日誌進行採集,存儲和分析;管理員可分別通過SD-WAN控制器或日誌服務器對控制器及CPE的日誌進行查詢;
故障定位:管理員通過告警和監控及時瞭解到網絡任一位置異常後,通過簡易的故障定位手段即可快速發現問題根因,並由此制定相應的修改策略和解決措施。
3.5 初步成效
在海通證券建設智慧營業網點過程中,SD-WAN網絡的部署,優化了海通證券現有網絡架構,提升網絡基礎設施的運行和保障能力;積極探索了證券行業控制器異地容災網絡;通過雙重冗餘方案設計、控制器異地容災和站內集群技術保障網絡業務的高可靠性。SD-WAN在海通證券的部署,其成效具體表現為以下三個方面:
1、加速營業部部署速度,支持業務快速擴張。傳統營業網點的開通和部署需要0.5天,而即插即用的SD-WAN只需要30分鐘,就可以實現網點新建、搬遷、擴容過程中業務快速上線,支撐業務戰略;同時,多層SD-WAN網絡架構,可以對不同層級劃分不同租戶進行網絡管理,實現更加靈活的營業部組網模型,滿足不同規模營業部的組網需求。
2、保障證券關鍵業務高品質體驗。SD-WAN可以快速識別知名應用和證券私有應用,合理規劃證券交易,通過多鏈路負載均衡,讓證券交易數據始終運行在質量最優的鏈路上;充分利用MSTP,Internet主備鏈路,避免主鏈路擁塞,備鏈路空閒。不僅提高了應用體驗,也提升了帶寬的利用率。
3、實現了證券可視化運維,應用、鏈路、網點、設備狀態信息一目瞭然。其中,基於GIS地圖的網絡監控,應用、鏈路、網點、設備狀態可視;全網業務時延、抖動、丟包率等關鍵指標實時呈現;網絡自動巡檢,精準告警信息郵件通知。
四、SD-WAN實踐中的思考
通過SD-WAN網絡在海通證券的部署實施,我們有如下幾點思考:
一是要看全局,重規劃。要充分了解廣域網技術尤其是企業現有網絡體系結構的發展路徑,並站在未來公司業務發展方向來謀劃公司網絡基礎設施的佈局。同時,隨著服務器虛擬化、雲平臺的應用、移動端流量激增、智慧網點建設等新趨勢,企業廣域網絡流量需求增加迅速,企業的網絡架構需要持續優化。提前做好規劃,通過對公司當前網絡狀況以及使用情況進行深入分析,針對不同分支機構的網絡需求進行評估、設計和規劃。
二是要分階段、重實效。在實施和運維過程中,要選擇適合企業自身特點的網絡解決方案,SD-WAN組網絕非一蹴而就,而是要根據不同網點,不同區域的業務特點,分步驟,有節奏的逐步推進;如何實現跨地域的大規模組網,如何實現與非SD-WAN站點的互聯互通,如何確保業務安全,都是實施過程中關注的重點和難點。
三是要重合作、提能力。SD-WAN是一種複雜、強大且不斷髮展的技術,企業需要選擇合適的合作伙伴來共同規劃、實施、運營和完善,在選擇SD-WAN的合作伙伴時,應重點關注其服務和支持能力以及生態圈的廣度和深度。同時,加強自身團隊建設,做好人員儲備,以應對新型組網對網絡架構和人員專業能力的新要求。
五、未來展望
SD-WAN逐漸成為企業網絡迭代的必然選擇,海通證券將持續完善網絡體系機構,優化網絡運營流程,加快SD-WAN覆蓋;同時,結合雲計算,5G和AI等技術,為智慧海通構建高速互聯通道。
5G、AI等技術與SD-WAN的融合將帶來如下收益:一是5G、SD-WAN接入超大帶寬、超低時延、海量連接的能力,可極大提升證券網點的接入靈活性和聯接帶寬,也為輕型證券網點向更多的城市和社區延伸提供了可能;二是5G網絡的切片功能與SD-WAN結合後,能利用其應用識別能力,對業務流進行識別、分類,實現更精準的智能選路,以應對低時延的證券業務需要和智能在線客服的業務量激增;三是融合5G、SD-WAN的一體化設備將重塑廣域網邊緣基礎設施,靈活集成路由、安全、廣域優化等豐富的邊緣特性,降低分支業務部署的複雜度;四是與AI技術結合的SD-WAN自動化運維技術,將極大簡化網絡運維複雜度、減少故障定位時間,為分佈式、跨地域的證券公司分支機構的網絡無人化運維提供可能。
