华丽转身——金融数据中心网络开始大规模向SDN演进

21世纪初“互联网泡沫”破灭后，人们在计算机和网络技术上不断创新，使得2001年至今，互联网经历了又一个腾飞期。互联网不断地改变着人类的生活，尤其是移动互联网的产生、应用和普及。以腾讯、阿里巴巴等为典型代表的公司通过互联网技术对各个行业和领域进行革新，互联网金融应运而生。蚂蚁金服、微众银行等互联网金融公司以其便捷性、快速创新能力以及优质用户体验给传统金融行业造成了巨大压力。自2009年淘宝“双十一”后，各种互联网购物狂欢节不断涌现，单日交易金额不断攀升，2017年“双11”销售额达2539.7亿元，爆发式的成交额和交易次数给银行交易系统抗浪涌能力带来了巨大的考验。

面对日益严峻的竞争，传统金融行业需要重塑业务平台进行数字化转型，其关键步骤包含：

关键业务云化，提升自身业务接入的便捷性和业务弹性，满足用户移动化接入需求、应对海量用户接入带来的业务浪涌；

金融服务和产品的快速创新和投放，提升用户体验；

简化运维，让科技部门更专注于业务创新。

金融行业数字化转型是一次综合性的战略建设，其中私有云建设则是构筑银行数字化的硬件基础。通过私有云建设，实现关键业务上云，优化和精简现有业务平台，从而达成更具弹性和敏捷的新业务模式。

在数据中心私有云的建设过程中，计算虚拟化、存储虚拟化技术日趋成熟，网络虚拟化(SDN)亟待解决。数据中心网络虚拟化技术经历了传统的堆叠技术、大二层技术（SPB、TRILL）、NVO3技术（NvGRE、VxLAN、STT）的不断演进，最终VxLAN技术成为一致认可的网络虚拟化技术。

针对金融行业私有云建设的诉求，华为基于多年行业经验积累，同时联合全球TOP级的商业银行进行SDN创新，推出了金融数据中心网络解决方案。通过SDN Controller和Fabric网络架构，联合众多的第三方云平台厂商，共同为金融客户打造金融私有云。华为金融数据中心网络解决方案主要为金融私有云提供以下三种能力：

按需弹性扩展的网络，为金融客户构建金融云化资源池，实现业务按需弹性扩容，应对海量移动接入用户的浪涌式访问；

SDN网络自动化，提高业务部署效率，实现业务快速创新和上线；

网络精细化运维，通过全局网络可视和网络故障快速定位，极大的简化运维，提升业务运营效率。

图1 华为金融私有云解决方案架构图

华为数据中心网络解决方案主要有以下特点：

•业务自动化，网络设备由AC控制器纳管，通过与云平台和VMM的对接，实现网络服务的自动化部署，将传统网络的部署周期提升至分钟级；

•弹性资源池，借助VXLAN Overlay网络虚拟化和Service Chain技术，将网络的转发和服务功能资源池化，提升网络架构的灵活性、可扩展性和可演进性；

•精细化运维，应用、逻辑和物理网络三层互视，业务质量可视可控，网络状态看得见；多种故障定位和运维手段，实现分钟级故障定位，网络故障看得清。

图2 华为金融数据中心网络解决方案

华为秉承“以客户为中心”和不断创新的精神，结合金融客户现状，针对数据中心安全、精细化运维提出了“微分段”和FabricInsight方案。

微分段

由于金融数据中心承载的业务类型越来越多样化，其受到的安全威胁也越来越多。在传统的数据中心里，普遍认为数据中心网络内部的流量是安全的，数据中心网络外部的流量是不安全的。因此，需要在数据中心网络内、外部的边界设备上部署防火墙，通过将流入数据中心网络内部的流量（即南北向流量）引导到防火墙上进行分析，以确保只有授权用户才能访问数据中心网络内部的资源。这种在边界设备上对流量进行安全分析的技术，也称为边界安全技术。

图3 传统数据中心安全方案

随着复杂的第三方攻击的产生，传统的边界安全技术也不再固若金汤。一旦攻击者冲破边界防护，那么数据中心内部的安全将受到严重威胁，攻击者可以随意攻击数据中心内部的服务。

同时，随着数据中心的不断发展，数据存储、WEB应用的不断扩大，数据中心网络内部的流量（即东西向流量）也在不断增加。因此，在新一代的金融数据中心网络中，需要基于“零信任”的原则，对所有流量进行分析，并重点考虑数据中心网络内部的安全保护。

传统的边界安全技术，主要通过划分业务子网、配置ACL等方式，对网络流量进行隔离。但是这种技术存在如下问题：

通过VLAN、VNI等方式划分业务子网实现的业务隔离，是基于子网的（即子网A与子网B之间进行隔离），其不能实现同一子网内不同服务器之间的隔离。同时，当不同子网共用同一个网关设备时，由于在网关设备上存在到各子网之间的路由信息，因此这种情况下，也无法实现不同子网内不同服务器之间的隔离；

通过配置ACL规则可以实现不同服务器之间的隔离。但是数据中心网络中，服务器的数量非常庞大，若要实现服务器之间的隔离，则需要部署海量的ACL规则，配置维护相当复杂。同时，网络设备的ACL资源有限，不能满足客户部署海量ACL规则的需求；

虚拟化技术的发展使得安全的边界难以界定。数据中心网络中，逻辑网络拓扑根据业务的需求随时可变，传统的基于物理边界防护的安全架构无法对其进行有效的安全防护。

基于上述现状，华为基于硬件实现的微分段技术闪亮登场！”微分段”，从字面上可以拆分为“微”和“分段”两部分。“分段”是指将网络按照一定的分组规则划分为若干个子网络，不同子网络之间相互隔离，从而实现数据报文仅能在约定的节点之间相互发送，而不是将所有数据报文发送给所有节点。

“微分段”是相对于“物理网络分段”而言的。物理网络分段是基于广播域VLAN/VNI来实现子网划分，即属于不同VLAN/VNI的设备之间相互隔离，属于同一VLAN/VNI的设备之间可以互通。与物理网络分段相比，微分段的分段粒度更细，它可以基于IP地址、IP网段、MAC地址、VM名、容器、操作系统等来实现子网划分，即属于相同VLAN的不同设备之间也能实现相互隔离。

如图4所示，VM1、VM2、VM3、VM4属于同一个广播域VNI 10，其中，VM1和VM3属于同一安全分区，VM2和VM4属于另一个安全分区。在物理网络分段的情况下，VM1和VM4因为属于同一广播域，因此它们之间可以相互通信，即属于同一广播域、不同安全分区的设备之间也可以通信。在微分段的情况下，VM1和VM4虽然属于同一广播域，但他们的安全分区不同，因此相互之间不可以通信，即属于同一广播域、不同安全分区的设备之间相互隔离。

图4 物理网络分段与微分段的对比

可以看出，微分段提供了比VLAN/VNI粒度更细的分组规则，它将数据中心网络内部的服务器按照一定的规则进行分组，然后基于分组来部署流量控制策略，就可以实现服务器与服务器之间的业务隔离。同时，通过在网络中部署控制器，由控制器部署微分段的相关功能，从而达到简化运维、安全管控的目的。

FabricInsight

金融数据中心70%以上的流量都是TCP链接，FabricInsight通过对TCP特征报文的镜像进行分析，实现对整网TCP流的分析。

图5 FabricInsight获取流的过程

FabricInsight获取一条流的如下信息，并进行智能分析：

报文转发路径信息；

TCP开始时间，结束时间；

传输的Bytes；

SYN路径时延，FIN路径时延；

异常。

最终通过分析，实现对所有TCP流的可视，以完成以下功能：

• 网络负载监控、链路负载监控、网络质量监控；

• TCP 重传检测、TCP 重置检测、时延异常检测、路由环路检测等；

• 应用交互关系分析、应用质量监控、应用网络路径分析。

图6FabricInsight架构

自2009年OpenFlow诞生以来，SDN技术经历了炒作期、低谷期，从Gartner与2017年7月发布的技术成熟度曲线（HypeCycle）可以看出，SDN正稳步进入成熟商用期。

图7 Gartner Hype Cycle

2017年，华为金融数据中心网络解决方案在金融行业TOP客户得到规模商用，用事实印证了Gartner的分析报告。2017年，华为金融数据中心网络解决方案在工商银行、中国银联、中国银行、交通银行、邮政储蓄银行、招商银行、华夏银行、中国人寿、上海银行等客户数据中心得到应用。

截至现在，华为在金融行业网络建设方面，已经与10多家金融客户达成了战略合作，与100多行业ISV共同构建了联合方案，全球已服务于300多家金融客户，其中TOP10的银行客户有6家。

2018年，将会有更多的金融客户对数据中心进行云化改造，华为金融数据中心网络解决方案将会助力客户精简传统核心业务平台，构建云化资源池。

图8金融数据中心云化演进过程