金融业不保守！招商银行SDN实践解读

SDN（软件定义网络）是IT领域的新技术，因为其带来的网络灵活性和IT效率的提高，受到了不少企业的关注，尤其是互联网和运营商，它们对SDN进行了规模大大小小的应用实践。

如今，对于更加严谨的金融业银行来说，也开始了对SDN的研究与探索。这不，招商银行就搭建了一套SDN网络架构，是金融机构中对SDN实践为数不多的几个。

用招商银行数据中心总经理高旭磊的话说，“信息技术已经与招商银行的业务紧密结合，招商银行要做的就是同互联网企业合作与相互学习，就像起初招行在云计算领域进行了大胆而严谨的探索与实践，如今SDN也不例外，通过应用新技术从而应对来自互联网金融的冲击。”

招商银行数据中心总经理高旭磊，招商银行平湖数据中心经理钟祝君，华三通信国内市场部副总裁张浩，华三通信数据中心解决方案总工遇惠君接受采访

据介绍，招商银行零售电子渠道综合柜面替代率达97%以上，手机渠道累积交易25.25亿笔，同比增长182%。由此看来，银行业在信息技术的应用不是保守者，而是信息化建设的创新与实践者。

在SDN方面，我们来看看招商银行又是如何实践与创新的？

招商银行对SDN技术的探索与研究历程

2013年，招商银行开始对引入SDN技术进行可行性分析。2014年，对业界主流的SDN方案和产品进行测试与分析。2015年，招商银行新建了科兴园区SDN网络。

这是招行对新型网络前瞻性的尝试，谈到招行IT网络建设面临的困难和挑战，招商银行平湖数据中心经理钟祝君表示，“IT资源虚拟化的快速推进，使传统网络无法适应其需求。并且，IT运维管理的自动化程度日益提高，传统网络无法与之匹配。同时，业务的发展对数据流量的管控要求越来越细，传统网络的服务质量难以保证。最重要的是，在传统网络上，业务系统与之紧耦合，难以实现业务的快速部署和灵活变更。”

SDN是解决这些问题的出路，为了将SDN技术有效的应用于IT基础架构，招商银行对于SDN进行了必要的探索与实践。在2014年对SDN方案和产品的测试中，招行对SDN领域的主流厂商进行了相关调研，包括思科、VMware、H3C、Juniper、Arista等，最终选择了新华三集团。

之所以选择新华三，一方面是因为招行在与新华三长期的合作中建立了充分的信任关系，另一方面，也是最重要的，新华三SDN的产品方案特性得到了招行的认可。

钟祝君谈到招商银行对SDN网络的要求与期望时表示：“一是网络流量可灵活调度；二是网络资源自动化部署，包括网络资源和策略的自动化部署，网络服务的按需分配等；三是网络统一管理控制，包括对物理网络和虚拟网络的管理和监控，以及实现网络在云平台下的统一管理和控制。”

新华三的SDN新网络架构为金融用户构筑云数据中心基础网络，使整个IT系统成为一个融合架构。其解决方案提供了包括SDN设备、SDN控制器、SDN应用、SDN管理与业务编排系统等，通过控制器划分Overlay虚拟化网络为上层应用提供网络资源服务。新华三旗下华三通信数据中心解决方案总工遇惠君介绍，新华三SDN解决方案可以独立部署，为金融数据中心提供灵活弹性、高效运维的网络环境。同时，SDN控制器也可以向上对接云平台，实现云平台对数据中心基础设施的整体调度和业务应用自动化部署。

招商银行科兴园区SDN网络采用了 “云平台+SDN+Overlay“的模式

最终，招商银行科兴园区SDN网络采用了新华三“云平台+SDN+Overlay“的部署模式，实现了对传统网络的改变期望，例如SDN控制器掌控全网信息，能够灵活快速的响应业务的需求变化，网络控制层与转发层解耦合，使网络变得更加快捷和简便等。

招行科兴园区SDN网络架构解读

作为招商银行未来在生产环境中引入SDN的探索，科兴园区SDN网络架构有自己的特点，钟祝君总结道：

1、标准化：采用业界通用的Spine-Leaf模型进行组网，可实现网络的模块化建设，为未来IT基础架构建设提供标准化模型。

2、高可靠性：物理网络为纯三层网络，无二层网络，可靠性更高，使得网络更易于部署与平滑扩展

3、灵活性：在物理网络之上构建了一层虚拟Overlay网络，各类IT资源统一接入Overlay网络。Overlay网络的好处是虚拟、弹性，并可根据业务需要可自定义。

4、解耦合：Overlay网络的部署，实现了服务器的接入位置、IP地址与物理网络的解耦合，实现了网络资源与物理网络设备的解耦合。

5、自动化：通过SDN控制器，对Overlay进行集中部署管理，实现了IT资源的自动化分配和弹性扩展，提高了网络快速部署和灵活扩展能力。

科兴园区SDN网络采用独立的物理设备部署，与传统网络通过静态路由实现互通，避免了新老网络的相互干扰

通过新华三的云管理平台，科兴园区的IT基础资源实现统一管理，平台功能包含对计算、存储和网络资源的管理，对网络安全的管理、对网络流量的调度、拓扑管理，租户管理、运维管理等。

SDN网络架构的安全性同样重要，尤其对银行来说，科兴园区SDN可灵活自定义服务链。NFV提供虚拟安全服务节点、vSwitch支持嵌入式安全、SDN控制器提供服务链的自定义和安全资源的统一编排与控制。新华三SDN解决方案支持服务链特性，摆脱“串糖葫芦”式的物理网络布局，可根据金融业务安全需求在各服务节点间灵活调度流量。除新华三安全产品外，更可通过服务链代理功能兼容第三方安全产品。

至此，招商银行利用SDN完成了对科兴园区数据中心网络的重构，虽然主要支撑开发测试环境，但用高旭磊的话说，招行开发测试的任务相比生产环境带来的网络变动更大和更频繁。科兴园区承载了招行主要的测试和开发环境任务，即使在所有的银行中，招行开发和测试的强度和频率也是比较大的。在没有SDN之前，项目的上线和下线要对开发和测试环境花费大量的人力运维，现在计算、存储、网络资源的管理只有三个人，这在以前是不可能的。

当然，有了科兴园区SDN的探索和经验积累，意味着招商银行将SDN引入生产环境也许就不远了！