金融数据大集中之后,金融企业都形成了支撑大集中业务的多级网络架构,这对骨干网的稳定性和可靠性提出了较高的要求。同时,业务的持续性和安全性越来越依赖于骨干网络的健壮性、安全性、性能等来保证。当网络出现情况时,需要及时有效的处理,保障业务持续稳定性。这也要求设计一个更加合理、容易管理、易于扩展和易于保障运维的骨干网。
可靠性需求:网络设备是网络的“基石”,如果设备本身的设计考虑不周,那会从根本上对骨干网的可靠性产生极大的影响;同时,网络架构的简化、冗余设计的好坏,也将会对骨干网的可靠性产生较大影响;
安全性需求:在骨干网上,不仅要保证基础设施如网络设备、线路、协议的安全,同时还需要考虑数据的安全,这样才能从整体上确保整个骨干网的安全;
灵活性需求:随着业务不断的增多,对骨干网的带宽需求也越来越明显,为了更好的利用有限的骨干网网络带宽,需要对不同业务进行灵活划分,这样才能更好的、更合理的使用骨干网带宽;
高速的需求:在信息化发展大踏步前进的时候,如何高效的转发业务,让金融企业为用户提供更加高效的服务,这也是骨干网设计时必须考虑的一个问题;
易管理需求:业务增多、网点数量加大、策略数增多等,都对网络的易管理提出了较高的要求;
综上所诉,骨干网需要综合考虑网络的可靠性、安全性、灵活性、高效性以及易管理,从而才能够保证业务永续不中断、业务安全不泄露、业务分配更灵活、业务转发更高效和管理方便更简洁。
要想建设一个高可靠、安全、灵活、高效、易管理的骨干网,需要从网络的根本组成及影响这些诉求的因素出发,逐一周详考虑其中的组成部分才能解决根本问题。
经过深入分析,以下方面即1)设备本身软硬件设计因素、2)网络架构和协议设计合理性、3)设备性能及扩展性、4)网络带宽、5)保障、运维、管理等这几个方面都是影响骨干网这些诉求的主要因素,骨干网解决方案要着重改善这些方面,做到这些因素最优组合,才能使您“无忧”。锐捷网络的“5优”方案正式基于这几方面进行设计的。
如何确保业务的不中断?不仅要从使用的设备本身入手,同时还要考虑到网络架构及所采用的协议,这样才能从整体上确保业务永续不中断。
本次网络设计所采用的高端交换机和路由器除了采用分布式交换架构、引擎热备、电源风扇热备、模块热插拔等设计外,来确保设备本身的稳定;同时,还采用一些高可靠特性技术,如核心交换机虚拟化、不间断转发、BFD(Bi-Directional Forwarding Detection,双向链路检测)外,骨干交换机全面采用锐捷独有技术NFPP(Network Foundation Protection Policy,基础网络保护策略)技术,对特定类型的非法数据流进行智能识别、限速或隔离,实现设备管理层面的保护,从设备自身的稳定来确保网络稳定。
路由器所有模块端口是真正的路由口设计,缓存队列最低200ms的深度,满足多级QoS(服务质量)的需要;高端路由和交换采用路由、转发和管理分离的设计,实现真正意义上的分布式。
而且,设备本身的软件采用统一操作系统、模块化设计,每个模块可以独立进行维护和管理等,这些技术的运用,保障在骨干网和汇聚400个网点,并启用动态路由、QoS、BFD、GR(Graceful Restart,完美重启)、ACL(Access Control List,访问控制列表)的全业务的情况下,网络邻居稳定、不震荡。
在一二级分行节点,采用分区模块化的设计方案,设立独立的广域网区,互联两级骨干网,使广域网区和局域网实现松散耦合,减少局域网区域对骨干网的影响,同时策略分散部署于各个功能区,使广域网区更加清晰,减少广域网区的负载和压力,以及人为错误的几率,提高骨干网的可靠性。
为了合理充分利用骨干网链路带宽资源,节省投资,需要数据合理分流,同时又保证路由的控制管理简单高效,根据客户业务要求采用不同的分流设计,采用一级骨干、二级骨干不同的自治域设计,业务类数据量通过主线路传输,且管理类数据通过副线路传输,并实现主副线路的相互备份。
本次网络设计所采用的网络设备,均支持CPP(CPU Protect Policy,控制平面保护)技术,该技术可实现对发往CPU的流量进行集中控制,确保设备本身在受到攻击的情况下,CPU利用率不超过30%,使整机可以对业务数据做正常的转发。同时,设备集成众多安全功能,可通过在设备上设置报文过滤、状态检测等确保网络安全;与此同时,设备本身的抗攻击性如针对DDoS(分布式拒绝服务攻击)Ping of Death、ping flood等攻击可进行有效的防范,保证网络的安全。
设备本身的加解密功能,也是确保业务安全的一种手段。锐捷路由器本身不仅集成了加解密功能,同时其加解密的性能也满足二级骨干网对数据传输的要求,这样可确保在不影响业务正常转发的情况下有效的确保了业务的安全。
随着金融业务种类的增多,骨干网链路带宽有限的情况下,要求以太网设备不仅能够进一步细化区分业务流量,而且还能够对多个用户、多种业务、多种流量等传输对象进行统一管理和分层调度。显然,这些应用对于传统的QoS技术来说,是很难实现的,为了能够实现该需求,本次网络在设计上充分考虑这方面的需求。
首先,我们通过设备自身所具备的IPFIX(IP Flow Information Export,IP数据流信息输出)功能,有效地监控骨干网中数据流的情况,结合IPFIX所监控到的业务数据流的情况,如网络中有那些业务、目前占用的带宽等;其次采用HQoS(Hierarchical Quality of Service,分层QoS)技术,为用户提供多层次、多用户、多业务的带宽分配,进而有效确保业务的灵活合理分配。
随着数据的大集中,业务种类的不断增多,业务对网络高速的转发提出了更高的要求,如何确保业务高效的转发?需要做更多的考虑。
针对金融行业骨干网链路带宽有限,业务不断增多等特点,本方案在设计上采用了REF(Ruijie Express Forwarding,锐捷业务交换)技术,其技术上将各方面的处理充分融合,根据业务模块处理性能,CPU特性进行调整,达到业务实现高速交换。
本次网络设计采用了区块化、松耦合的方式,这样不仅在部署上非常方便,同时也可以在不同区域实现不同区域的按需配置和管理,使整个骨干网管理清晰、设备间影响较少。
同时,网络设备都采用业界通用的命令行方式,使用户在掌握一套配置命令时,即可对设备进行有效的操作,提高用户管理效率,降低用户的管理难度;网络设备本身支持标准的管理协议,如SNMP(Simple Network Management Protocol,简单网络管理协议)、SSH(Secure Shell,安全外壳)等,可以与基于标准协议开发的网管系统对接,以实现对整网设备的集中、统一管理。
“第一优”业务永续不中断:1)从产品本身的可靠性设计确保业务永续,如关键部件冗余设计、引擎热切换不丢包、BFD、GR以及锐捷独有技术NFPP、CPP等方面确保设备自身可靠;2)从架构的设计确保业务的永续,如采取区块化设计、松耦合方式确保网络可靠;3)从协议的设计确保业务的永续,如在进行协议设计时考虑主备线路充分利用、相互备份以及路由震荡等对业务不中断。
“第二优”业务安全不泄露:1)网络设备自身的抗攻击性确保网络安全;2)提供数据加解密功能确保数据传输的安全。
“第三优”业务分配更灵活:通过流量监控手段详细掌握骨干网的业务种类和流量,通过QoS和HQoS进行业务分类,让业务分配更加灵活合理。
“第四优”业务转发更高效:通过锐捷独有技术REF提高数据转发效率,同时通过4M线路800个网点的接入能力,提升网络性能,实现业务的快速转发。
“第五优”管理方便更简洁:合理的架构、通用的配置、标准化的支持,实现整网简单、统一的管理。