來源：2022第三屆中小金融機構數智化轉型優秀案例評選

獲獎單位：貴州農信

榮獲獎項：IT架構創新優秀案例獎

一、項目方案

貴州農信新一代廣域網承載網采用SR/SRv6技術來構建廣域承載網，能夠實現流量可視化，并能承載端到端的IPv4/IPV6業務及VPN的安全隔離；通過新一代承載網，實現數據中心與廣域網解耦，廣域網作為承載平台可進行多中心及全局網點的擴展接入，大幅提升管理及運維效率及資源利用率，同時降低成本及投入。

1.系統架構

新一代廣域網承載網總體系統架構模型如下圖：

網絡層：網絡為基礎架構層，由位于多地多中心的分布式雲數據中心，以及各地的分支機構構成。業務流量分為東西向和南北向兩部分，DCI網絡承載數據中心之間的東西向流量，WAN網絡承載分行到總行的南北向（縱向）流量。

控制層：NCE是管理、控制和分析融合的網絡自動化平台，聚焦業務自動化、運維自适應以及網絡自治，支撐網絡雲化和數字化運營轉型。NEC管理和控制系統能夠實現物理網絡與商業意圖的有效連接，向下實現全局網絡的集中管理、控制和分析，向上提供開放網絡API 與IT 快速集成。

應用層：應用層是實現數字化運營轉型的平台，包括傳統的OSS、業務協同、大數據分析等，提供網絡基礎設施的資源呈現、策略管理、業務系統運營等，實現全網運營。

2.功能架構

本期規劃：數據中心DC-CE不做Multi-CE改造，各接入分區不設置獨立CE出口，DC-CE通過不同子接口接入骨幹網，生産業務VPN、辦公業務VPN；數據中心測試分區設置獨立R&D-CE出口直連骨幹網DC-PE測試VPN；

目标規劃：數據中心運管業務分區、互聯網接入分區、三方外聯接入分區設置獨立CE接入骨幹網PE。總體架構圖如下：

後續規劃：數據中心三方外聯接入分區、運管業務分區、互聯網接入分區分别設置獨立CE設備連接骨幹網DC-PE對應的業務VPN，即分别接入第三方外聯VPN、互聯網業務VPN，多個VPN可以通過SRv6骨幹網統一承載，并通過EVPN做業務隔離。

3.業務分類

本次廣域承載網建設範圍：一共83個行社（包含8個地州行社，6個貴陽行社，其中貴陽行社扁平化直連數據中心WAN-P，69個縣行社），2個數據中心及辦公大樓。

根據網絡的現有業務情況和未來業務進行規劃，将VPN劃分為這幾類：生産、辦公、測試。

多VPN場景下VPN路由默認隔離，有互訪必要時通過策略控制VPN間路由的導入。

備注：

（1）同一個VPN出于相關目的（如為了形成VPN FRR）可以設置不同的RD；

（2）在縣行社PE至總行數據中心的業務場景中，地州行社PE僅做P節點。

4.部署架構

通過融合雲骨幹實現一網多業務承載，同時彙接地州/縣行社、兩地三中心/多數據中心，甚至是公有雲，滿足智能金融網絡的業務需求：主要包括DCI業務、分支到數據中心、分支與分支之間、分支到公有雲的業務需求

關鍵技術：

SDN & 承載技術：SRv6 EVPN、SRv6 Policy流量調優；

智能運維：iFit随流SLA檢測、telemetry秒級采集、流量可視化、故障快速定界定位。

5.網絡架構

基于面向未來的設計理念，構建業界領先、智簡彈性的金融雲骨幹網。

由貴陽、貴安作為骨幹網核心節點，由4台DC-P設備進行高速互連構建雙中心互聯核心，兩個數據中心分别部署2台DC-PE用于本地數據中心的接入；

在貴陽觀山湖主中心部署兩台WAN-P，在貴安備中心部署一台WAN-P，用于彙聚各地州行社PE；貴陽本地6個行社采用扁平化組網，科技大樓和本地各行社分别部署兩台行社PE，科技大樓通過本地鍊路與觀山湖WAN-P1和WAN-P2直連；貴陽縣行社PE分别連接觀山湖WAN-P1和貴安WAN-P3；

其他地州行社采用非扁平化組網，各地州行社分别部署兩台PE（兼做縣行社上聯P節點），通過3條廣域鍊路分别接入觀山湖和貴安機房的WAN-P節點，其中與貴陽觀山湖WAN-P1和WAN-P2采用口字型互聯；每縣行社/行社部署XL-PE，通過2條廣域網鍊路分别接入地州行社DZ-PE&P；

在貴陽觀山湖和貴安機房分别選擇其中一台DC-P兼做RR，用來反射骨幹網區域路由，RR間冗餘備份；貴陽觀山湖和貴安數中心間的DC-P可通過自有波分設備和線路直接互連。

6.隧道規劃

隧道類型：

隧道數量：

行社與數據中心間的隧道數量計算如下：PE間采用full-mesh方式建立policy隧道，假設存在3對PE節點（觀山湖數據中心、貴安數據中心、科技大樓），每PE和遠端每個PE各建4條隧道，遠端83個行社，每個行社2台PE；隧道總數為：6（PE）*2（遠端PE）*4（TE）*83*2（雙向）=7968條

科技大樓與數據中心間的隧道數量計算如下：PE間采用full-mesh方式建立policy隧道，假設存在2對PE節點（觀山湖數據中心、貴安數據中心），每PE和遠端每個PE各建4條隧道，科技大樓2台PE；隧道總數為：4（PE）*2（遠端PE）*4（TE）*2（雙向）=64條

7.流量調度規劃

全局采用統一的算路策略，以最小開銷值計算。

以數據中心與地州行社之間的互訪為例，業務選路設計如下：

高優先級的生産業務絕對優先，按優先級順序調整；如果出現流量越限的情況，以聯通鍊路越限為例：

（1）優先調整測試業務到移動/電信；

（2）如果步驟1無法解除擁塞，再調整部分辦公業務的權重，使部分辦公業務的流量大部分走到移動的鍊路上，對單條業務來說，聯通鍊路最小承載1/16的流量；

（3）步驟2如果無法解除擁塞，會再調整部分辦公業務到電信的鍊路，部分辦公業務的路徑為移動 電信；

（4）如果步驟3也無法解除擁塞，會再調整部分生産業務的權重，使部分生産業務的大部分流量走到移動鍊路，聯通鍊路最小承載1/16的流量；

如果步驟4也無法解除擁塞，會調整部分生産業務的路徑為移動 電信；

出現運營商鍊路故障的情況:

（1）聯通鍊路故障

生産業務優先級最高，路徑變為移動 電信；

辦公業務路徑變為移動 電信；

測試業務優先級最低，路徑變為移動/電信；

（2）移動鍊路故障

生産業務優先級最高，路徑變為聯通 電信；

辦公業務路徑變為聯通 電信；

測試業務路徑不變；

（3）電信鍊路故障

電信鍊路為備份鍊路，三種業務路徑不變；

8.可視化運維設計

NCE提供性能視圖可直觀展示設備狀态信息，方便監控網元健康狀态，及時發現異常并快速處理，保證網絡的正常運行。

NCE在性能視圖中提供各小區域，支持列表、曲線圖、柱狀圖、餅圖等方式直觀展現設備狀态、全網狀态等。

NCE支持将需要關注的網絡性能指标按照某種維度分類顯示在不同頁面中，方便監控設備狀況。

NCE支持在性能拓撲上集成網元性能指标和告警信息，直觀展示整個網絡的網元情況和監控運行狀态。

NCE支持在性能拓撲上集成鍊路性能指标和告警信息，直觀展示整個網絡的組網情況和監控運行狀态。

常見性能監控指标：

二、創新點

貴州農信新一代承載網已于2022年3月底完成全省83家行社及兩個同城數據中心的遷移割接工作，成功全國省級農信系統首家部署SRv6的銀行，為金融業樹立了科技創新的典範。實現了多級智能，流量調度。控制層面使用SR/SRv6-TE配合廣域SDN控制器實現流量的智能調度，有效整合廣域網資源，實現不同業務的差異化SLA服務保障；實現了行為識别，帶寬保證。360度業務流量可視化，區分各種業務類型，對各業務帶寬進行精确保障，SDN控制器可根據網絡負載及鍊路質量實現流量自動調優，通過預先設定SLA多維路由算法策略，實現全網集中算路，路徑自動優化，滿足不同業務的帶寬、時延、抖動等網絡服務保障要求，讓業務更穩定、更安全、更高效；實現了端到端安全隔離及IPv6/IPv4支持。

融合承載多類型業務，基于BGP EVPN技術實現各業務流量端到端安全保證，支持IPv6 VPN。通過“智能”承載網的建設，節省了基礎網絡投資，滿足了銀行後續業務自主創新和快速上線的要求，提升運維效率，降低了運維成本，提高了網絡投資的帶寬收益。符合“IPv6 AI 協議創新”的IPv6 的定義，滿足雲網融合的靈活組網、業務快速開通、按需服務、差異化保障等需求，簡化網絡運維、優化用戶體驗，真正開啟了IPV6 時代。

三、技術實現特點

面向未來網絡需求，下一代骨幹網需具備扁平化架構，按需接入，容易擴容，網絡協議簡化，部署方便，網絡可靠性高，流量調優提供SLA保障等要求。核心骨幹采用雙平面标準組網，按需連接到核心骨幹，核心層提供大帶寬，高速的同城和異地互聯，設備和鍊路都是冗餘架構，超核節點全網狀。

下一代骨幹網在架構上分為核心 接入兩層架構，實現業務靈活接入，網絡按需标準化部署：

1.核心層

大帶寬、高速互連；

超級核心節點全網狀；

新增核心可按帶寬需求連接觀山湖數據中心、貴安數據中心兩核心；

2.接入層

通過不同角色的PE，實現業務的标準靈活接入；

地州/區縣行社PE作為業務系統的接入點，為DC間、地州/區縣-DC間提供訪問服務和控制；

可按需擴展，滿足未來業務靈活擴容；

位置可根據實際專線需要靈活部署；

主要架構要點：

整體方案從架構上劃分為管理控制層和物理網絡層；

管理控制層是NCE-IP控制器，對網絡的進行管理分析和流量調優；

物理網絡層由P\PE\RR各個網元組成，基于IPv6協議的骨幹網絡；

采用ISISv6協議，整網統一為Level 2區域打通underlay層基礎路由；

采用單BGP AS部署，P設備兼做RR，PE和RR建立鄰居，傳遞MP-BGPv4\v6業務層路由，打通overlay層面；

采用EVPN for IPv4\IPv6對不同業務\用戶的邏輯隔離控制；

采用SRv6 Policy\SRv6 BE作為隧道承載技術，統一承載IPv4\IPv6業務；

NCE-IP納管整個骨幹網和基礎網絡間建立NetConf\BGP-LS\BGP SRv6 Policy\Telemetry通道，實現對骨幹網業務的管理、分析、控制；

四、項目過程管理

第一階段（2020年12月-2021年3月）：完成承載網SR-TE，SRV6技術交流；

第二階段（2020年4月-2021年6月）：完成主流網絡廠商SR-TE，SRV6技術驗證性測試；

第三階段（2020年7月-2021年8月）：完成承載網網絡設備招标采購；

第四階段（2020年9月-2021年11月）：完成承載網需求調研、方案設計、設備上架部署及聯調測試；

第五階段（2020年12月-2022年1月）：完成承載網試點行社遷移割接；

第六階段（2022年2月-2022年3月）：完成承載網推廣上線。

五、運營情況

自2022年3月底全省推廣上線完成至今，承載網的運行穩定，有效支撐了我社OA系統，内網即時通信系統等大流量辦公類應用的全省推廣。一是由傳統主備骨幹廣域網鍊路，升級為鍊路雙活負載，骨幹網絡帶寬利用率得到了極大的提升，如下圖所示。

二是實現了差異化的帶寬服務保障，按照業務優先級分類，重要生産業務優先于一般業務，一般生産業務優先于辦公業務，在任何情況下，重要生産業務都是最優先保障的，不會因為次優先級别的業務突發的大流量影響高優先級的業務訪問。

三是業務的自動部署，采用傳統的手工方法需要配置命令行，建立隧道，配置VRF實例等過程，不僅對運維人員有較高的能力要求，而且容易因為人為因素的配置錯誤，影響現網業務。基于NCE-IP SDN的VPN業務自動發放，簡化了這個過程，大大提高了業務部署、開通的效率，同時降低了運維人員的能力要求。圖形化，參數模闆化的部署模式，無須記憶命令行多台設備配置，端到端可視化VPN發放。開通VPN業務，網管隻需要通過簡單的圖形化操作過程，快速選擇VPN的起點和終點設備，設置相應參數即可。

六、項目成效

一是顯著提升專線帶寬利用率。預計将省、地、縣廣域網鍊路帶寬利用率提升40%，每年節約專線鍊路租用成本約300萬。

二是自動化部署助力業務開通時間縮短到分鐘級。通過SDN控制器實現業務端到端部署全自動化，減少配置工作量約70%以上，且通過控制器全網配置自動校對、自動下發将業務開通時間縮短到分鐘級。

三是差異化的SLA服務質量保障實現關鍵業務高質量運行。通過全局網絡視圖合理規劃網絡資源、以及資源調配策略，識别關鍵業務流量，通過差異化的SLA服務質量保障策略，實現在多業務混合承載的場景下關鍵業務的高質量運行。

四是運維可視化，提升運維效率。利用SDN技術賦能，不僅提升了網絡的可靠性、健壯性和擴展性，且通過“應用-邏輯-物理”三級網絡拓撲可視，且通過強大的可編程能力打通北向接口，利用大數據AI算法，實現配置變更、事件監控、事件處置融合協同，變被動運維為主動運維，助力運維自主可控，保障系統穩定運行。

七、經驗總結

一網多業務超融合，有效整合廣域網資源。一張物理網絡實現交易類、管理類、測試類不同業務邏輯承載的超融合架構，在保障生産交易類業務連續性的前提下實現業務接入的彈性可擴展。

一鍵部署，實現端到端業務部署自動化。全網通過SDN控制器實現配置模闆分鐘級端到端自動化下發，保障各虛拟專用網絡（VPN）、SRV6業務隧道的一鍵部署。基于IP五元組，DSCP，VPN字段及應用報文特征等進行靈活定義，按照優選鍊路需求，帶寬需求，應用質量需求等自定義應用策略模闆，通過控制器實現一鍵下發相關配置，保障業務端到端分鐘級開通。

流量自動調優，實現不同業務的差異化SLA服務保障。SDN控制器可根據網絡負載及鍊路質量實現流量自動調優，通過預先設定SLA多維路由算法策略，實現全網集中算路，路徑自動優化，滿足不同業務的帶寬、時延、抖動等網絡服務保障要求，讓業務更穩定、更安全、更高效。

激發每一兆帶寬，降低專線租用成本。通過全場景智能調優，不同業務切片的差異化管理，負載均衡提升轉發效率，激發每一兆帶寬，預期将帶寬利用率提升40%，每年節約線路租用成本約300萬。

智能運維，助力貴州農信運維自助可控。支持全網設備可視和統一納管，以SDN控制器為核心，通過南向接口，利用網絡遙感技術實現網絡設備運行狀态、網絡流量等基礎數據的實時采集、可視化展現和集成數據分析。通過北向接口利用強大的可編程能力與豐富的API接口與雲平台、大數據運維監控平台等對接。構建自下而上的，以SDN控制器為核心的大數據分析監控平台，變被動運維為主動運維，助力我社運維自主可控，全面提升業務連續性保障。

更多金融科技案例和金融數據智能優秀解決方案，請登錄數字金融創新知識服務平台-金科創新社官網案例庫、選型庫查看。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!