| 1.1 金融數據中心網絡的發展趨勢 |

以云計算、大數據、區塊鏈和AI（Artificial Intelligence，人工智能）為代表的金融科技正在深刻改變金融行業的面貌。發展金融科技、實施數字化轉型成為幾乎所有金融企業的共同戰略選擇。金融行業數字化轉型的主要目標是提升信息處理與運用能力，促進業務創新與流程再造，以實現智慧金融和普惠金融。數據中心作為金融企業處理數字業務的實際承載點，理所當然地站到了潮頭。傳統金融數據中心的特點是大業務量、高可靠性、安全合規，而在保持上述優勢的同時，如何打造一個架構更靈活、資源利用率更高、管控更全面及時、業務響應更敏捷的金融云數據中心，以支撐企業未來業務的持續創新與產品的快速迭代，是擺在金融行業科技工作者，尤其是金融企業數據中心建設者面前的現實問題。

本章將以金融行業中典型的銀行業為例，介紹金融行業當前的網絡演進趨勢、關鍵需求、關鍵技術以及金融數據中心網絡的設計目標。

1.1.1 銀行業務轉型與信息化的演進趨勢

依據德勤公司前咨詢顧問布萊特·金（Brett King）在《銀行 3.0：移動互聯時代的銀行轉型之道》一書中關于商業銀行運營模式轉型的描述，商業銀行運營模式經歷了Bank 1.0時代、Bank 2.0時代、Bank 3.0時代，正向Bank 4.0時代過渡，這一理論獲得了銀行業的普遍認可。從“以業務為中心”的傳統模式向“以客戶為中心”的新模式轉型已成為行業發展的主流趨勢。銀行轉型的演進路線如圖1-1所示。

圖1-1 銀行轉型的演進路線

在Bank 1.0時代，銀行的業務形態是以物理網點為基礎的。在Bank 2.0時代，電子技術如ATM（Automated Teller Machine，自動取款機）、網銀延伸了物理網點的觸角，但客戶的賬戶仍歸屬某個具體網點。Bank 2.0時代主要有三大改變：跨行整合，利用互聯網技術發展以實體分行為基礎的跨行整合服務；互聯網業務萌芽，開通了網銀、網上支付等業務；柜面效率提升，對柜面進行業務整合和改造，實施綜合柜員制，提升了柜面效率。

Bank 3.0時代也被稱為移動互聯網時代。在這一時代實現了業務移動化，客戶可以隨時隨地獲得銀行服務，全渠道的興起使客戶在與銀行的關系中起主導作用。移動互聯改變了銀行的服務渠道，移動支付已成為主流。《2017年中國銀行業服務報告》顯示，中國工商銀行的離柜業務率已達到97%，其他15家大型銀行的離柜業務率也均超過90%，其中有6家超過95%，行業平均離柜業務率已近88%。智能終端催生行業應用的創新，金融服務融入商業流程（供應鏈金融），讓企業可以獲利或獲客。大數據使能金融服務，實現智能獲客、智能投顧、智慧風控。

Bank 3.0時代也出現了三大改變：獲客成本和單次獲客量發生了改變，平均獲客成本相比Bank 2.0時代的獲客成本下降了90%，單次獲客量從數百量級突增到千萬量級，這要求數據中心網絡能夠支撐浪涌式增長的訪問流量；渠道和服務方式發生了改變，7×24 h全天候服務、零空間限制 （特別是支付、存取款、轉賬、理財、開戶等業務）要求數據中心網絡高可用、支撐多渠道接入；風險管理實時性發生了改變，實時性從以周為單位提高到以分鐘為單位，從事后發展到事前、事中、事后全流程，這要求數據中心網絡支持大數據分析業務的快速部署與擴容。

Bank 4.0時代是數字化銀行時代、體驗時代，銀行服務融入各類生活場景，這種隱形銀行提供了無處不在的服務。Bank 4.0時代的核心是提供“個性化、智能化、實時化、綜合化”的金融服務，以客戶體驗為中心，提供全渠道、無縫式、定制化的產品和服務，全面提升客戶體驗。Bank 4.0時代的典型業務有銀聯云閃付、支付寶支付、微信支付等。Bank 4.0時代的金融業務在以下3個方面發生了變化。

用戶：體驗驅動、回歸金融服務本質。Bank 4.0時代帶來了“以人為核心”的現代科技金融，而非銀行固有產品和服務的“數字化改良”。Bank 4.0時代的到來表明科技不再僅對銀行局部流程（如渠道）進行優化，而是給傳統金融模式帶來了“顛覆性變革”。

科技：AI、IoT（Internet of Things，物聯網）、移動互聯網、5G、區塊鏈等新技術將未來的社交場景、消費場景、出行場景無縫地與銀行服務對接。未來的銀行將是“秒申秒到、即用即走”的銀行。“衣食住行玩”，只要是存在服務的場景就能找到銀行金融服務的入口，這使得銀行服務擺脫了時間、空間的制約。

銀行：未來的銀行將不再是一個地方，而是一種行為。銀行將構成一個無處不在的服務環境，以人為核心提供不依賴物理設施的虛擬服務。消費者將享受基于“ROADS”理念的極致互動體驗。ROADS，指實時（Real-time）、按需（On-demand）、全在線（All-online）、服務自助（DIY）和社交化（Social）。

目前，國內銀行的運營模式已經完成了向Bank 3.0時代的轉型，正在向Bank 4.0時代演進。Bank 3.0時代要求銀行的網絡高可用，并提供7×24 h的在線接入能力。此外，Bank 3.0時代還要求銀行的基礎設施具備IT（Information Technology，信息技術）基礎架構，金融網絡需要具備敏捷彈性和靈活擴容的業務支撐能力。Bank 4.0時代要求銀行將AI、大數據、云計算等科技融入IT基礎設施，為業務與運營的轉型提供科技動力。

伴隨著金融運營模式的轉型，銀行的數據中心也一路向著信息化發展，從大集中數據中心普遍發展到虛擬化數據中心，正在向云數據中心轉型，如圖1-2所示。

圖1-2 銀行數據中心信息化演進趨勢

大集中數據中心通過網絡實現業務的集中操作、數據的集中存儲和管理，有利于集約化管理，減少運維成本。數據集中之后，為了實現業務持續運行，確保數據安全可靠，需要建設數據同步復制的同城數據中心和異步復制的異地災備中心。如人民銀行規定，資產超過1000億元的金融企業需要建設異地災備中心。

數據集中之后，銀行采用虛擬化技術提高了計算、存儲性能和網絡的資源利用率，實現了靈活、高效、動態的IT基礎架構。這樣便于金融服務的創新，滿足了銀行快速推出產品和服務的需求。目前國內大中型銀行普遍處于這個階段，這個階段主要采用VMWare ESX平臺實現計算虛擬化、vSAN（virtual Storage Area Network，虛擬存儲區域網絡）實現存儲虛擬化、VLAN+VRRP^[1]實現網絡虛擬化。

國內部分技術領先的銀行已經完成了云數據中心的部署，將生產業務部署在其金融私有云上，云計算+SDN（Software Defined Network，軟件定義網絡）是主流的部署模式。國內大部分中小型銀行，包括城商農信、股份制銀行，以及證券、保險業和絕大部分海外銀行目前仍處于部署虛擬化數據中心的階段，部分正在試點部署云數據中心。

Bank 4.0時代的特點是利用信息技術實現“無處不在的銀行”，即建設以最新的信息技術為底座的銀行。因此，對于銀行而言，必須引進并應用最新的信息技術才能實現其競爭優勢。例如，新信息技術可以提高資源效率，提升用戶體驗，降低運營成本。這些信息技術的價值以及其對網絡的要求如表1-1所示。

表1-1 信息技術的價值及其對網絡的要求

信息技術對網絡提出了新的需求，在CT（Communications Technology，通信技術）領域就有對應的新的通信技術來滿足這些需求，通信技術的價值及其對信息技術的匹配如表1-2所示。

表1-2 通信技術的價值及其對信息技術的匹配

續表

注：LAN即Local Area Network，局域網；WAN即Wide Area Network，廣域網。

1.1.2 銀行網絡架構的演進趨勢

銀行的網絡架構經過了幾個發展階段，從信息煙囪，到全網互聯，再到數據大集中、將分行數據上傳至總行數據中心。

到2010年前后，國內主要大中型銀行基本完成了兩地三中心和以數據中心為核心節點的骨干網建設，廣域網采用了EBGP+EIGRP，專線采用了ATM+SDH^[2]。目前大部分銀行完成了由廣域網向EBGP+OSPF、專線向MSTP+SDH的改造^[3]，這也是銀行當前的主流網絡建設模式。

部分領先的銀行自2016年起逐步建成了采用 MPLS VPN+SD-WAN^[4]承載多業務的核心骨干網，并進行廣域鏈路調優，同時建設了以SDN+VXLAN對接OpenStack云平臺為基礎的數據中心，采用了多地多中心的網絡架構，每個云數據中心有各自的功能定位。

1.1.3 金融數據中心網絡的現狀與存在的問題

本節對主流的金融網絡的網絡總體架構、數據中心網絡架構、數據中心分區網絡架構、同城數據中心網絡互聯架構逐一展開介紹，最后分析當前金融數據中心網絡存在的問題。

1.網絡總體架構

金融網絡總體架構分為服務域、通道域和用戶域，如圖1-3所示，圖中雙向箭頭表示依賴關系，單向箭頭表示組成關系。

圖1-3 金融網絡總體架構

用戶域

用戶域包括行內用戶和行外用戶，其中行內用戶包括分支機構用戶、數據中心用戶和總行用戶，行外用戶包括互聯網用戶和外聯第三方用戶。不同類型的用戶接入不同的網絡，詳情如下。

? 分支機構用戶：通過通道域中的內網接入數據中心網絡。

? 數據中心用戶：數據中心網絡分區中本地用戶接入區。

? 總行用戶：先通過城域網接入通道域中的內網，再接入總行數據中心廣域區。

? 互聯網用戶：通過通道域中的內網接入數據中心網絡。

? 外聯用戶：通過通道域中的內網（主要是專線接入）接入數據中心網絡。

通道域

通道域中的內網由金融企業的核心骨干網、一級骨干網、二級骨干網、網點廣域網組成。銀行網點接入網點廣域網，網點廣域網接入二級骨干網，二級骨干網還可能掛接在二級分行廣域區，二級骨干網接入一級骨干網，一級骨干網掛接在一級分行廣域區，一級骨干網接入核心骨干網，總行數據中心掛接在核心骨干網。目前銀行正在進行扁平化改造，后續會逐步減少二級骨干網的建設。

服務域

服務域提供了各種金融業務服務，涵蓋了金融企業總行和一級分行的數據中心網絡中的全部主機區（IBM大型機）和服務器區（x86服務器），提供的服務包括核心業務（如會計核算、客戶信息處理、后臺業務、資金業務、結算業務等）、中間業務（如銀行卡業務、國際業務、代理業務、外聯業務、信貸業務等）、渠道服務系統（網上銀行、電話銀行、手機銀行、自助銀行、綜合柜員等）、管理支撐系統（如經營管理、風險管理、管理平臺、辦公系統等）等。

2.數據中心網絡架構

金融網絡的數據中心普遍采用兩地三中心的網絡架構，部分銀行正在向多地多中心的網絡架構演進。一般來說，主中心、同城災備中心、異地災備中心通過廣域網互聯，支持應用系統跨園區部署。同時，主中心、異地災備中心也需要部署生產互聯網的出口。大型銀行的互聯網出口總帶寬通常為10～20 Gbit/s，服務器總數超過10 000臺。

數據中心內部統一采用交換核心來匯聚各物理分區。物理分區規模通常不大，目前規模最大的物理分區可承載約1000臺物理服務器。新引入的服務器網卡通常為10GE（Gigabit Ethernet，千兆以太網）網卡，GE網卡主要用于服務器的帶外管理。

各物理分區邊界都需要部署防火墻，防火墻策略一般多于50 000條，變更防火墻策略的工作量巨大，可達到10 000次/年，防火墻策略變更數量占網絡變更總量的60%以上。各物理分區都部署了負載均衡設備，服務多個應用系統。園區部署分布式DNS（Domain Name Service，域名服務）系統。分行客戶端訪問數據中心的應用、5級災備應用訪問DB（Database，數據庫）已實現通過域名方式訪問。

說明：金融業務系統按照重要性劃分為5個災備級別。5級災備應用要求具備數據實時同步備份的能力，該應用在同城數據中心雙活部署。

常見的一種數據中心網絡架構示例如圖1-4所示。

注：ECC即Enterprise Command Center，企業控制中心。

圖1-4 數據中心網絡架構示例1

上述分區中，一般情況下業務1區為柜面業務區，業務3區為網銀業務區，業務5區為辦公、郵件和Notes業務區，其余業務區根據實際部署情況可能有不同的功能。

如圖1-5所示，根據應用特點、重要性、安全隔離、運維管理等因素，也可以將數據中心網絡劃分為核心業務區、外聯隔離區、互聯網區、語音視頻區、辦公管理區、管理外網區。

注：POD即Point of Delivery，分發點。

圖1-5 數據中心網絡架構示例2

圖1-6展示了另一種常見的數據中心網絡分區方式。基于業務系統的開發平臺劃分為主機區（IBM大型機）和開放平臺區（x86服務器）。數據中心采用傳統分區設計，二層網絡采用STP（Spanning Tree Protocol，生成樹協議）組網技術，三層網絡采用OSPF的路由設計。在網絡安全方面，使用防火墻將生產網和辦公網進行隔離，在互聯網區（網銀區）部署異構防火墻、AntiDDos等設備，大部分用戶域業務區未部署防火墻。網絡運維的主要痛點在于日常需要大量變更安全策略，數據中心的安全運維是按邊界最小授權原則處理，每周處理幾百條ACL（Access Control List，訪問控制列表）。最小授權原則指默認拒絕訪問，按需開放最小的訪問權限（網段+端口）。

圖1-6 金融數據中心網絡架構示例3

3.數據中心分區網絡架構

上述幾個示例適用于具有不同的業務規模和需求的金融企業，都采用了水平分區、垂直分層的設計思路。每個分區內部的網絡通常采用匯聚交換機+匯接交換機+接入交換機的架構，匯聚層部署網關，數據中心主流的服務器分區網絡架構如圖1-7所示。

在主流的服務器分區網絡架構中，需要獨立部署數據中心核心交換機。網絡主要采用匯聚交換機+匯接交換機+接入交換機的架構，每一層采用vPC（virtual Port Channel，虛擬端口通道）堆疊或M-LAG技術實現破環和鏈路復用。

匯聚設備包含路由核心和交換核心，采用高端框式交換機。將2臺框式交換機采用VS（Virtual System，虛擬系統）技術虛擬化成4臺設備，2臺編號為VS0、2臺編號為VS1,VS1為路由核心、VS0為三層交換核心。防火墻串聯在交換核心和路由核心之間，防火墻與交換核心、路由核心之間運行靜態路由，在交換核心部署服務器網關。采用TOR（Top of Rack，機架交換機）方式部署接入交換機，采用EOR（End of Rack，行末交換機）方式部署匯接交換機。

圖1-7 主流服務器分區網絡架構

在負載均衡設備上沒有部署SNAT（Source Network Address Translation，源地址轉換）功能的情況下，將服務器的網關部署在負載均衡設備上。已經部署了SNAT功能的系統，則將服務器的網關部署在核心交換機上。

除互聯網區、外聯區外，其他功能分區的Web、App、DB組件需要部署在同一個區域，這樣組件間的互訪可以不經過防火墻。服務器通過網線連接到TOR上，在一個機架上部署8臺或12臺服務器。

TOR通過跳線連接到分區匯接交換機，網絡設備的帶外管理接入交換機部署在網絡柜。服務器分區網絡普遍存在以下痛點：服務器部署位置固定，不同業務分區的服務器只能接入固定的網絡分區對應的接入交換機，靈活性不佳，長此以往形成了資源總體緊張、局部富裕的不均衡現象；網絡配置采用手工或腳本方式配置，效率低且極易出錯；防火墻策略維護工作量大，且不易判斷防火墻策略是否可以刪除、是否冗余；手工分配IP地址，工作周期長、效率低，且部分地址采用公網地址，可能會造成地址重復；部分應用基于IP訪問、不能支持SNAT，導致二層網絡范圍大，網關部署在負載均衡設備上，性能低、故障域大。

4.同城數據中心網絡互聯架構

同城數據中心之間存在引發二層網絡廣播風暴的風險，為了降低這種風險，大型銀行普遍采用三層互聯。部分中小規模銀行可以使用二層互聯建設網絡，大型銀行僅在業務臨時搬遷時才使用這種方式。

二層互聯普遍采用區域交換核心（網關交換機）直連DWDM（Dense Wavelength Division Multiplexing，密集波分復用）設備的方式，Eth-Trunk需要允許對應的VLAN 通過，實現二層延伸，如圖1-8所示。

圖1-8 同城數據中心網絡互聯架構

三層互聯有以下兩種方式：采用核心交換機直連DWDM設備；采用核心交換機連接到CPE/MCE^[5]，然后通過CPE/MCE連接到DWDM設備，如圖1-9所示。

圖1-9 同城數據中心網絡三層互聯架構

1.1.4 金融業務的發展需求

金融業務發展有三大趨勢：數字化（digitization），通過數據分析幫助銀行更好地進行風險管理，更加以客戶為中心；移動互聯網化（mobilization），移動互聯網科技隨時隨地滿足客戶需求；普惠金融化（democratization），越來越多的人能享受到金融和銀行的服務。

數字化趨勢要求采用大數據、AI作為技術支撐，實現精準營銷和風險管理。

移動互聯網化趨勢要求銀行保障海量用戶的服務體驗，包括以下幾點。

? 提供隨時隨地的服務，滿足規模化的用戶接入需求。能夠應對幾十億用戶和每人數十次的訪問頻率，網絡能夠支撐快速增長的業務和海量用戶數據。

? 一致的用戶體驗，要求網絡具備彈性性能，面對數十倍浪涌式流量能提供一致的體驗。

? 提供個性化服務，快速創新金融業務，快速響應客戶需求，產品快速更新（上市時間從以月為單位提升為以天為單位）。

? 渠道創新，4K人臉、指紋識別等要求網絡具備大規模計算能力。

? 業務需要7×24 h在線。由于用戶數量大，且高并發訪問的概率更高，網絡故障的影響更大，因此對網絡可靠性的要求更高。

普惠金融化趨勢要求銀行IT系統能夠有針對性地快速提供各類差異化服務。此外，面對支付寶、芝麻信用、螞蟻聚寶等互聯網金融企業的競爭，銀行急需加速業務創新、提升競爭力：提升獲客能力，準確分析客戶行為，提供有競爭力的產品和服務；提升客戶體驗，實時處理，做到真正的事中風險控制；提升服務水平，支持PB（1 PB=2²⁰ GB）級歷史數據查詢，以及實時查詢、長時間查詢等；收集客戶全方位數據，特別是非結構化數據，并據此分析和挖掘客戶習慣，預測客戶行為，有效進行客戶細分，提高業務營銷和風險控制的有效性和針對性。

金融企業普遍有自己的業務發展戰略，比較共性的趨勢包括：集團化，網絡統一接入各個子公司，分行業務上收，提供分行云、分行托管業務；行業化，為集團外的客戶提供金融IaaS（Infrastructure as a Service，基礎設施即服務）、SaaS（Software as a Service，軟件即服務）以及PaaS（Platform as a Service，平臺即服務），建設行業云；移動化（移動互聯網）；數據化（大數據分析）；智能化。

銀行業面對上述挑戰，要求IT系統支撐關鍵業務云化，以應對互聯網流量的浪涌式訪問，加快金融產品發布，提升用戶體驗。簡化網絡運維方式，專注業務創新；采用大數據分析，支撐精準營銷、實時風控，通過實時查詢歷史數據，提高效率，提升競爭力，應對互聯網金融挑戰；關鍵業務系統雙活部署，保證業務零中斷、數據零丟失，滿足不斷加強的監管要求；金融業務的發展要求網絡資源池化、靈活彈性、自動化與服務化。此外，FinTech（金融科技）技術廣泛應用在傳統金融企業和互聯網金融企業，其技術發展對網絡也提出了一系列要求。

為了達到上述要求，也需要對網絡進行相應的升級，具體表現為：面對互聯網創新應用的快速發布，要求網絡提供靈活的資源調配和敏捷的應用部署功能；面對用戶增長的不確定性和爆發性，要求網絡容量具備足夠的抗沖擊能力和應對高并發訪問的能力，同時具備靈活的按需擴展能力；面對以大數據、云計算為代表的新技術與金融業務深度融合，要求運營商提供高帶寬、低時延的高性能網絡，同時要求網絡架構可伸縮，具備開放性與兼容性；面對形勢嚴峻的風險防控以及網絡安全威脅，需要全面提升網絡安全保障能力，要求具備完整的安全防護體系，網絡架構高可用，以確保業務永續，要求應用可視化、管理自動化，便于快速排障。

作為銀行業務的一部分，互聯網金融對網絡在高可用性、高性能、靈活彈性、敏捷自動化、安全可控等方面也提出了諸多需求，如圖1-10所示。

圖1-10 互聯網金融網絡需求

數據中心云化和大數據應用是金融行業未來發展的主要方向。數據中心云化，具有虛擬機數量多、增長快、虛擬機遷移范圍大的特點，對網絡提出了以下新的要求。

? 東西向流量增大、二層網絡的拓撲變大、網絡帶寬需求增加，從GE接入、10GE上行，演進到10GE接入、40GE上行，進而25GE接入、100GE上行很快得到普及。

? 要求能夠在數據中心機房模塊內、幾個機房模塊之間，甚至在同城數據中心之間靈活部署、任意遷移虛擬機，需要部署大二層網絡，同時避免廣播風暴。

? 需要整體規劃數據中心多站點選擇，用于應對云環境下的多活系統或主備系統。

? 要求接入交換機支持更大的MAC（Media Access Control，媒體訪問控制）表和主機路由表項。

大數據應用具有數據量大、數據類型多、處理速度快等特點，并且流量模型一般為多打一或多打多的場景，對網絡也提出了新的需求。

? 需要網絡高可用和可擴展，支持ECMP（Equal-Cost Multi-Path，等價多路徑）。

? 大數據應用也會產生突發流量，這就要求網絡設備具有較強的緩存和隊列功能，以緩解突發流量的影響。

? 大數據應用要求網絡具有良好的收斂比，一般情況下，服務器和接入層的超載比為3∶1左右，接入層和匯聚層以及匯聚層和核心層之間的超載比為2∶1左右。

? 大數據應用要求網絡有足夠的接入帶寬，要求匯聚層交換機的網絡延遲較小。

? AI技術要求網絡具備高性能、低時延、零丟包的特點。