| 1.1 金融數(shù)據(jù)中心網(wǎng)絡(luò)的發(fā)展趨勢 |

以云計算、大數(shù)據(jù)、區(qū)塊鏈和AI（Artificial Intelligence，人工智能）為代表的金融科技正在深刻改變金融行業(yè)的面貌。發(fā)展金融科技、實施數(shù)字化轉(zhuǎn)型成為幾乎所有金融企業(yè)的共同戰(zhàn)略選擇。金融行業(yè)數(shù)字化轉(zhuǎn)型的主要目標是提升信息處理與運用能力，促進業(yè)務(wù)創(chuàng)新與流程再造，以實現(xiàn)智慧金融和普惠金融。數(shù)據(jù)中心作為金融企業(yè)處理數(shù)字業(yè)務(wù)的實際承載點，理所當然地站到了潮頭。傳統(tǒng)金融數(shù)據(jù)中心的特點是大業(yè)務(wù)量、高可靠性、安全合規(guī)，而在保持上述優(yōu)勢的同時，如何打造一個架構(gòu)更靈活、資源利用率更高、管控更全面及時、業(yè)務(wù)響應(yīng)更敏捷的金融云數(shù)據(jù)中心，以支撐企業(yè)未來業(yè)務(wù)的持續(xù)創(chuàng)新與產(chǎn)品的快速迭代，是擺在金融行業(yè)科技工作者，尤其是金融企業(yè)數(shù)據(jù)中心建設(shè)者面前的現(xiàn)實問題。

本章將以金融行業(yè)中典型的銀行業(yè)為例，介紹金融行業(yè)當前的網(wǎng)絡(luò)演進趨勢、關(guān)鍵需求、關(guān)鍵技術(shù)以及金融數(shù)據(jù)中心網(wǎng)絡(luò)的設(shè)計目標。

1.1.1 銀行業(yè)務(wù)轉(zhuǎn)型與信息化的演進趨勢

依據(jù)德勤公司前咨詢顧問布萊特·金（Brett King）在《銀行 3.0：移動互聯(lián)時代的銀行轉(zhuǎn)型之道》一書中關(guān)于商業(yè)銀行運營模式轉(zhuǎn)型的描述，商業(yè)銀行運營模式經(jīng)歷了Bank 1.0時代、Bank 2.0時代、Bank 3.0時代，正向Bank 4.0時代過渡，這一理論獲得了銀行業(yè)的普遍認可。從“以業(yè)務(wù)為中心”的傳統(tǒng)模式向“以客戶為中心”的新模式轉(zhuǎn)型已成為行業(yè)發(fā)展的主流趨勢。銀行轉(zhuǎn)型的演進路線如圖1-1所示。

圖1-1 銀行轉(zhuǎn)型的演進路線

在Bank 1.0時代，銀行的業(yè)務(wù)形態(tài)是以物理網(wǎng)點為基礎(chǔ)的。在Bank 2.0時代，電子技術(shù)如ATM（Automated Teller Machine，自動取款機）、網(wǎng)銀延伸了物理網(wǎng)點的觸角，但客戶的賬戶仍歸屬某個具體網(wǎng)點。Bank 2.0時代主要有三大改變：跨行整合，利用互聯(lián)網(wǎng)技術(shù)發(fā)展以實體分行為基礎(chǔ)的跨行整合服務(wù)；互聯(lián)網(wǎng)業(yè)務(wù)萌芽，開通了網(wǎng)銀、網(wǎng)上支付等業(yè)務(wù)；柜面效率提升，對柜面進行業(yè)務(wù)整合和改造，實施綜合柜員制，提升了柜面效率。

Bank 3.0時代也被稱為移動互聯(lián)網(wǎng)時代。在這一時代實現(xiàn)了業(yè)務(wù)移動化，客戶可以隨時隨地獲得銀行服務(wù)，全渠道的興起使客戶在與銀行的關(guān)系中起主導(dǎo)作用。移動互聯(lián)改變了銀行的服務(wù)渠道，移動支付已成為主流。《2017年中國銀行業(yè)服務(wù)報告》顯示，中國工商銀行的離柜業(yè)務(wù)率已達到97%，其他15家大型銀行的離柜業(yè)務(wù)率也均超過90%，其中有6家超過95%，行業(yè)平均離柜業(yè)務(wù)率已近88%。智能終端催生行業(yè)應(yīng)用的創(chuàng)新，金融服務(wù)融入商業(yè)流程（供應(yīng)鏈金融），讓企業(yè)可以獲利或獲客。大數(shù)據(jù)使能金融服務(wù)，實現(xiàn)智能獲客、智能投顧、智慧風(fēng)控。

Bank 3.0時代也出現(xiàn)了三大改變：獲客成本和單次獲客量發(fā)生了改變，平均獲客成本相比Bank 2.0時代的獲客成本下降了90%，單次獲客量從數(shù)百量級突增到千萬量級，這要求數(shù)據(jù)中心網(wǎng)絡(luò)能夠支撐浪涌式增長的訪問流量；渠道和服務(wù)方式發(fā)生了改變，7×24 h全天候服務(wù)、零空間限制 （特別是支付、存取款、轉(zhuǎn)賬、理財、開戶等業(yè)務(wù)）要求數(shù)據(jù)中心網(wǎng)絡(luò)高可用、支撐多渠道接入；風(fēng)險管理實時性發(fā)生了改變，實時性從以周為單位提高到以分鐘為單位，從事后發(fā)展到事前、事中、事后全流程，這要求數(shù)據(jù)中心網(wǎng)絡(luò)支持大數(shù)據(jù)分析業(yè)務(wù)的快速部署與擴容。

Bank 4.0時代是數(shù)字化銀行時代、體驗時代，銀行服務(wù)融入各類生活場景，這種隱形銀行提供了無處不在的服務(wù)。Bank 4.0時代的核心是提供“個性化、智能化、實時化、綜合化”的金融服務(wù)，以客戶體驗為中心，提供全渠道、無縫式、定制化的產(chǎn)品和服務(wù)，全面提升客戶體驗。Bank 4.0時代的典型業(yè)務(wù)有銀聯(lián)云閃付、支付寶支付、微信支付等。Bank 4.0時代的金融業(yè)務(wù)在以下3個方面發(fā)生了變化。

用戶：體驗驅(qū)動、回歸金融服務(wù)本質(zhì)。Bank 4.0時代帶來了“以人為核心”的現(xiàn)代科技金融，而非銀行固有產(chǎn)品和服務(wù)的“數(shù)字化改良”。Bank 4.0時代的到來表明科技不再僅對銀行局部流程（如渠道）進行優(yōu)化，而是給傳統(tǒng)金融模式帶來了“顛覆性變革”。

科技：AI、IoT（Internet of Things，物聯(lián)網(wǎng)）、移動互聯(lián)網(wǎng)、5G、區(qū)塊鏈等新技術(shù)將未來的社交場景、消費場景、出行場景無縫地與銀行服務(wù)對接。未來的銀行將是“秒申秒到、即用即走”的銀行。“衣食住行玩”，只要是存在服務(wù)的場景就能找到銀行金融服務(wù)的入口，這使得銀行服務(wù)擺脫了時間、空間的制約。

銀行：未來的銀行將不再是一個地方，而是一種行為。銀行將構(gòu)成一個無處不在的服務(wù)環(huán)境，以人為核心提供不依賴物理設(shè)施的虛擬服務(wù)。消費者將享受基于“ROADS”理念的極致互動體驗。ROADS，指實時（Real-time）、按需（On-demand）、全在線（All-online）、服務(wù)自助（DIY）和社交化（Social）。

目前，國內(nèi)銀行的運營模式已經(jīng)完成了向Bank 3.0時代的轉(zhuǎn)型，正在向Bank 4.0時代演進。Bank 3.0時代要求銀行的網(wǎng)絡(luò)高可用，并提供7×24 h的在線接入能力。此外，Bank 3.0時代還要求銀行的基礎(chǔ)設(shè)施具備IT（Information Technology，信息技術(shù)）基礎(chǔ)架構(gòu)，金融網(wǎng)絡(luò)需要具備敏捷彈性和靈活擴容的業(yè)務(wù)支撐能力。Bank 4.0時代要求銀行將AI、大數(shù)據(jù)、云計算等科技融入IT基礎(chǔ)設(shè)施，為業(yè)務(wù)與運營的轉(zhuǎn)型提供科技動力。

伴隨著金融運營模式的轉(zhuǎn)型，銀行的數(shù)據(jù)中心也一路向著信息化發(fā)展，從大集中數(shù)據(jù)中心普遍發(fā)展到虛擬化數(shù)據(jù)中心，正在向云數(shù)據(jù)中心轉(zhuǎn)型，如圖1-2所示。

圖1-2 銀行數(shù)據(jù)中心信息化演進趨勢

大集中數(shù)據(jù)中心通過網(wǎng)絡(luò)實現(xiàn)業(yè)務(wù)的集中操作、數(shù)據(jù)的集中存儲和管理，有利于集約化管理，減少運維成本。數(shù)據(jù)集中之后，為了實現(xiàn)業(yè)務(wù)持續(xù)運行，確保數(shù)據(jù)安全可靠，需要建設(shè)數(shù)據(jù)同步復(fù)制的同城數(shù)據(jù)中心和異步復(fù)制的異地災(zāi)備中心。如人民銀行規(guī)定，資產(chǎn)超過1000億元的金融企業(yè)需要建設(shè)異地災(zāi)備中心。

數(shù)據(jù)集中之后，銀行采用虛擬化技術(shù)提高了計算、存儲性能和網(wǎng)絡(luò)的資源利用率，實現(xiàn)了靈活、高效、動態(tài)的IT基礎(chǔ)架構(gòu)。這樣便于金融服務(wù)的創(chuàng)新，滿足了銀行快速推出產(chǎn)品和服務(wù)的需求。目前國內(nèi)大中型銀行普遍處于這個階段，這個階段主要采用VMWare ESX平臺實現(xiàn)計算虛擬化、vSAN（virtual Storage Area Network，虛擬存儲區(qū)域網(wǎng)絡(luò)）實現(xiàn)存儲虛擬化、VLAN+VRRP^[1]實現(xiàn)網(wǎng)絡(luò)虛擬化。

國內(nèi)部分技術(shù)領(lǐng)先的銀行已經(jīng)完成了云數(shù)據(jù)中心的部署，將生產(chǎn)業(yè)務(wù)部署在其金融私有云上，云計算+SDN（Software Defined Network，軟件定義網(wǎng)絡(luò)）是主流的部署模式。國內(nèi)大部分中小型銀行，包括城商農(nóng)信、股份制銀行，以及證券、保險業(yè)和絕大部分海外銀行目前仍處于部署虛擬化數(shù)據(jù)中心的階段，部分正在試點部署云數(shù)據(jù)中心。

Bank 4.0時代的特點是利用信息技術(shù)實現(xiàn)“無處不在的銀行”，即建設(shè)以最新的信息技術(shù)為底座的銀行。因此，對于銀行而言，必須引進并應(yīng)用最新的信息技術(shù)才能實現(xiàn)其競爭優(yōu)勢。例如，新信息技術(shù)可以提高資源效率，提升用戶體驗，降低運營成本。這些信息技術(shù)的價值以及其對網(wǎng)絡(luò)的要求如表1-1所示。

表1-1 信息技術(shù)的價值及其對網(wǎng)絡(luò)的要求

信息技術(shù)對網(wǎng)絡(luò)提出了新的需求，在CT（Communications Technology，通信技術(shù)）領(lǐng)域就有對應(yīng)的新的通信技術(shù)來滿足這些需求，通信技術(shù)的價值及其對信息技術(shù)的匹配如表1-2所示。

表1-2 通信技術(shù)的價值及其對信息技術(shù)的匹配

續(xù)表

注：LAN即Local Area Network，局域網(wǎng)；WAN即Wide Area Network，廣域網(wǎng)。

1.1.2 銀行網(wǎng)絡(luò)架構(gòu)的演進趨勢

銀行的網(wǎng)絡(luò)架構(gòu)經(jīng)過了幾個發(fā)展階段，從信息煙囪，到全網(wǎng)互聯(lián)，再到數(shù)據(jù)大集中、將分行數(shù)據(jù)上傳至總行數(shù)據(jù)中心。

到2010年前后，國內(nèi)主要大中型銀行基本完成了兩地三中心和以數(shù)據(jù)中心為核心節(jié)點的骨干網(wǎng)建設(shè)，廣域網(wǎng)采用了EBGP+EIGRP，專線采用了ATM+SDH^[2]。目前大部分銀行完成了由廣域網(wǎng)向EBGP+OSPF、專線向MSTP+SDH的改造^[3]，這也是銀行當前的主流網(wǎng)絡(luò)建設(shè)模式。

部分領(lǐng)先的銀行自2016年起逐步建成了采用 MPLS VPN+SD-WAN^[4]承載多業(yè)務(wù)的核心骨干網(wǎng)，并進行廣域鏈路調(diào)優(yōu)，同時建設(shè)了以SDN+VXLAN對接OpenStack云平臺為基礎(chǔ)的數(shù)據(jù)中心，采用了多地多中心的網(wǎng)絡(luò)架構(gòu)，每個云數(shù)據(jù)中心有各自的功能定位。

1.1.3 金融數(shù)據(jù)中心網(wǎng)絡(luò)的現(xiàn)狀與存在的問題

本節(jié)對主流的金融網(wǎng)絡(luò)的網(wǎng)絡(luò)總體架構(gòu)、數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)中心分區(qū)網(wǎng)絡(luò)架構(gòu)、同城數(shù)據(jù)中心網(wǎng)絡(luò)互聯(lián)架構(gòu)逐一展開介紹，最后分析當前金融數(shù)據(jù)中心網(wǎng)絡(luò)存在的問題。

1.網(wǎng)絡(luò)總體架構(gòu)

金融網(wǎng)絡(luò)總體架構(gòu)分為服務(wù)域、通道域和用戶域，如圖1-3所示，圖中雙向箭頭表示依賴關(guān)系，單向箭頭表示組成關(guān)系。

圖1-3 金融網(wǎng)絡(luò)總體架構(gòu)

用戶域

用戶域包括行內(nèi)用戶和行外用戶，其中行內(nèi)用戶包括分支機構(gòu)用戶、數(shù)據(jù)中心用戶和總行用戶，行外用戶包括互聯(lián)網(wǎng)用戶和外聯(lián)第三方用戶。不同類型的用戶接入不同的網(wǎng)絡(luò)，詳情如下。

? 分支機構(gòu)用戶：通過通道域中的內(nèi)網(wǎng)接入數(shù)據(jù)中心網(wǎng)絡(luò)。

? 數(shù)據(jù)中心用戶：數(shù)據(jù)中心網(wǎng)絡(luò)分區(qū)中本地用戶接入?yún)^(qū)。

? 總行用戶：先通過城域網(wǎng)接入通道域中的內(nèi)網(wǎng)，再接入總行數(shù)據(jù)中心廣域區(qū)。

? 互聯(lián)網(wǎng)用戶：通過通道域中的內(nèi)網(wǎng)接入數(shù)據(jù)中心網(wǎng)絡(luò)。

? 外聯(lián)用戶：通過通道域中的內(nèi)網(wǎng)（主要是專線接入）接入數(shù)據(jù)中心網(wǎng)絡(luò)。

通道域

通道域中的內(nèi)網(wǎng)由金融企業(yè)的核心骨干網(wǎng)、一級骨干網(wǎng)、二級骨干網(wǎng)、網(wǎng)點廣域網(wǎng)組成。銀行網(wǎng)點接入網(wǎng)點廣域網(wǎng)，網(wǎng)點廣域網(wǎng)接入二級骨干網(wǎng)，二級骨干網(wǎng)還可能掛接在二級分行廣域區(qū)，二級骨干網(wǎng)接入一級骨干網(wǎng)，一級骨干網(wǎng)掛接在一級分行廣域區(qū)，一級骨干網(wǎng)接入核心骨干網(wǎng)，總行數(shù)據(jù)中心掛接在核心骨干網(wǎng)。目前銀行正在進行扁平化改造，后續(xù)會逐步減少二級骨干網(wǎng)的建設(shè)。

服務(wù)域

服務(wù)域提供了各種金融業(yè)務(wù)服務(wù)，涵蓋了金融企業(yè)總行和一級分行的數(shù)據(jù)中心網(wǎng)絡(luò)中的全部主機區(qū)（IBM大型機）和服務(wù)器區(qū)（x86服務(wù)器），提供的服務(wù)包括核心業(yè)務(wù)（如會計核算、客戶信息處理、后臺業(yè)務(wù)、資金業(yè)務(wù)、結(jié)算業(yè)務(wù)等）、中間業(yè)務(wù)（如銀行卡業(yè)務(wù)、國際業(yè)務(wù)、代理業(yè)務(wù)、外聯(lián)業(yè)務(wù)、信貸業(yè)務(wù)等）、渠道服務(wù)系統(tǒng)（網(wǎng)上銀行、電話銀行、手機銀行、自助銀行、綜合柜員等）、管理支撐系統(tǒng)（如經(jīng)營管理、風(fēng)險管理、管理平臺、辦公系統(tǒng)等）等。

2.數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)

金融網(wǎng)絡(luò)的數(shù)據(jù)中心普遍采用兩地三中心的網(wǎng)絡(luò)架構(gòu)，部分銀行正在向多地多中心的網(wǎng)絡(luò)架構(gòu)演進。一般來說，主中心、同城災(zāi)備中心、異地災(zāi)備中心通過廣域網(wǎng)互聯(lián)，支持應(yīng)用系統(tǒng)跨園區(qū)部署。同時，主中心、異地災(zāi)備中心也需要部署生產(chǎn)互聯(lián)網(wǎng)的出口。大型銀行的互聯(lián)網(wǎng)出口總帶寬通常為10～20 Gbit/s，服務(wù)器總數(shù)超過10 000臺。

數(shù)據(jù)中心內(nèi)部統(tǒng)一采用交換核心來匯聚各物理分區(qū)。物理分區(qū)規(guī)模通常不大，目前規(guī)模最大的物理分區(qū)可承載約1000臺物理服務(wù)器。新引入的服務(wù)器網(wǎng)卡通常為10GE（Gigabit Ethernet，千兆以太網(wǎng)）網(wǎng)卡，GE網(wǎng)卡主要用于服務(wù)器的帶外管理。

各物理分區(qū)邊界都需要部署防火墻，防火墻策略一般多于50 000條，變更防火墻策略的工作量巨大，可達到10 000次/年，防火墻策略變更數(shù)量占網(wǎng)絡(luò)變更總量的60%以上。各物理分區(qū)都部署了負載均衡設(shè)備，服務(wù)多個應(yīng)用系統(tǒng)。園區(qū)部署分布式DNS（Domain Name Service，域名服務(wù)）系統(tǒng)。分行客戶端訪問數(shù)據(jù)中心的應(yīng)用、5級災(zāi)備應(yīng)用訪問DB（Database，數(shù)據(jù)庫）已實現(xiàn)通過域名方式訪問。

說明：金融業(yè)務(wù)系統(tǒng)按照重要性劃分為5個災(zāi)備級別。5級災(zāi)備應(yīng)用要求具備數(shù)據(jù)實時同步備份的能力，該應(yīng)用在同城數(shù)據(jù)中心雙活部署。

常見的一種數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)示例如圖1-4所示。

注：ECC即Enterprise Command Center，企業(yè)控制中心。

圖1-4 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)示例1

上述分區(qū)中，一般情況下業(yè)務(wù)1區(qū)為柜面業(yè)務(wù)區(qū)，業(yè)務(wù)3區(qū)為網(wǎng)銀業(yè)務(wù)區(qū)，業(yè)務(wù)5區(qū)為辦公、郵件和Notes業(yè)務(wù)區(qū)，其余業(yè)務(wù)區(qū)根據(jù)實際部署情況可能有不同的功能。

如圖1-5所示，根據(jù)應(yīng)用特點、重要性、安全隔離、運維管理等因素，也可以將數(shù)據(jù)中心網(wǎng)絡(luò)劃分為核心業(yè)務(wù)區(qū)、外聯(lián)隔離區(qū)、互聯(lián)網(wǎng)區(qū)、語音視頻區(qū)、辦公管理區(qū)、管理外網(wǎng)區(qū)。

注：POD即Point of Delivery，分發(fā)點。

圖1-5 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)示例2

圖1-6展示了另一種常見的數(shù)據(jù)中心網(wǎng)絡(luò)分區(qū)方式。基于業(yè)務(wù)系統(tǒng)的開發(fā)平臺劃分為主機區(qū)（IBM大型機）和開放平臺區(qū)（x86服務(wù)器）。數(shù)據(jù)中心采用傳統(tǒng)分區(qū)設(shè)計，二層網(wǎng)絡(luò)采用STP（Spanning Tree Protocol，生成樹協(xié)議）組網(wǎng)技術(shù)，三層網(wǎng)絡(luò)采用OSPF的路由設(shè)計。在網(wǎng)絡(luò)安全方面，使用防火墻將生產(chǎn)網(wǎng)和辦公網(wǎng)進行隔離，在互聯(lián)網(wǎng)區(qū)（網(wǎng)銀區(qū)）部署異構(gòu)防火墻、AntiDDos等設(shè)備，大部分用戶域業(yè)務(wù)區(qū)未部署防火墻。網(wǎng)絡(luò)運維的主要痛點在于日常需要大量變更安全策略，數(shù)據(jù)中心的安全運維是按邊界最小授權(quán)原則處理，每周處理幾百條ACL（Access Control List，訪問控制列表）。最小授權(quán)原則指默認拒絕訪問，按需開放最小的訪問權(quán)限（網(wǎng)段+端口）。

圖1-6 金融數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)示例3

3.數(shù)據(jù)中心分區(qū)網(wǎng)絡(luò)架構(gòu)

上述幾個示例適用于具有不同的業(yè)務(wù)規(guī)模和需求的金融企業(yè)，都采用了水平分區(qū)、垂直分層的設(shè)計思路。每個分區(qū)內(nèi)部的網(wǎng)絡(luò)通常采用匯聚交換機+匯接交換機+接入交換機的架構(gòu)，匯聚層部署網(wǎng)關(guān)，數(shù)據(jù)中心主流的服務(wù)器分區(qū)網(wǎng)絡(luò)架構(gòu)如圖1-7所示。

在主流的服務(wù)器分區(qū)網(wǎng)絡(luò)架構(gòu)中，需要獨立部署數(shù)據(jù)中心核心交換機。網(wǎng)絡(luò)主要采用匯聚交換機+匯接交換機+接入交換機的架構(gòu)，每一層采用vPC（virtual Port Channel，虛擬端口通道）堆疊或M-LAG技術(shù)實現(xiàn)破環(huán)和鏈路復(fù)用。

匯聚設(shè)備包含路由核心和交換核心，采用高端框式交換機。將2臺框式交換機采用VS（Virtual System，虛擬系統(tǒng)）技術(shù)虛擬化成4臺設(shè)備，2臺編號為VS0、2臺編號為VS1,VS1為路由核心、VS0為三層交換核心。防火墻串聯(lián)在交換核心和路由核心之間，防火墻與交換核心、路由核心之間運行靜態(tài)路由，在交換核心部署服務(wù)器網(wǎng)關(guān)。采用TOR（Top of Rack，機架交換機）方式部署接入交換機，采用EOR（End of Rack，行末交換機）方式部署匯接交換機。

圖1-7 主流服務(wù)器分區(qū)網(wǎng)絡(luò)架構(gòu)

在負載均衡設(shè)備上沒有部署SNAT（Source Network Address Translation，源地址轉(zhuǎn)換）功能的情況下，將服務(wù)器的網(wǎng)關(guān)部署在負載均衡設(shè)備上。已經(jīng)部署了SNAT功能的系統(tǒng)，則將服務(wù)器的網(wǎng)關(guān)部署在核心交換機上。

除互聯(lián)網(wǎng)區(qū)、外聯(lián)區(qū)外，其他功能分區(qū)的Web、App、DB組件需要部署在同一個區(qū)域，這樣組件間的互訪可以不經(jīng)過防火墻。服務(wù)器通過網(wǎng)線連接到TOR上，在一個機架上部署8臺或12臺服務(wù)器。

TOR通過跳線連接到分區(qū)匯接交換機，網(wǎng)絡(luò)設(shè)備的帶外管理接入交換機部署在網(wǎng)絡(luò)柜。服務(wù)器分區(qū)網(wǎng)絡(luò)普遍存在以下痛點：服務(wù)器部署位置固定，不同業(yè)務(wù)分區(qū)的服務(wù)器只能接入固定的網(wǎng)絡(luò)分區(qū)對應(yīng)的接入交換機，靈活性不佳，長此以往形成了資源總體緊張、局部富裕的不均衡現(xiàn)象；網(wǎng)絡(luò)配置采用手工或腳本方式配置，效率低且極易出錯；防火墻策略維護工作量大，且不易判斷防火墻策略是否可以刪除、是否冗余；手工分配IP地址，工作周期長、效率低，且部分地址采用公網(wǎng)地址，可能會造成地址重復(fù)；部分應(yīng)用基于IP訪問、不能支持SNAT，導(dǎo)致二層網(wǎng)絡(luò)范圍大，網(wǎng)關(guān)部署在負載均衡設(shè)備上，性能低、故障域大。

4.同城數(shù)據(jù)中心網(wǎng)絡(luò)互聯(lián)架構(gòu)

同城數(shù)據(jù)中心之間存在引發(fā)二層網(wǎng)絡(luò)廣播風(fēng)暴的風(fēng)險，為了降低這種風(fēng)險，大型銀行普遍采用三層互聯(lián)。部分中小規(guī)模銀行可以使用二層互聯(lián)建設(shè)網(wǎng)絡(luò)，大型銀行僅在業(yè)務(wù)臨時搬遷時才使用這種方式。

二層互聯(lián)普遍采用區(qū)域交換核心（網(wǎng)關(guān)交換機）直連DWDM（Dense Wavelength Division Multiplexing，密集波分復(fù)用）設(shè)備的方式，Eth-Trunk需要允許對應(yīng)的VLAN 通過，實現(xiàn)二層延伸，如圖1-8所示。

圖1-8 同城數(shù)據(jù)中心網(wǎng)絡(luò)互聯(lián)架構(gòu)

三層互聯(lián)有以下兩種方式：采用核心交換機直連DWDM設(shè)備；采用核心交換機連接到CPE/MCE^[5]，然后通過CPE/MCE連接到DWDM設(shè)備，如圖1-9所示。

圖1-9 同城數(shù)據(jù)中心網(wǎng)絡(luò)三層互聯(lián)架構(gòu)

1.1.4 金融業(yè)務(wù)的發(fā)展需求

金融業(yè)務(wù)發(fā)展有三大趨勢：數(shù)字化（digitization），通過數(shù)據(jù)分析幫助銀行更好地進行風(fēng)險管理，更加以客戶為中心；移動互聯(lián)網(wǎng)化（mobilization），移動互聯(lián)網(wǎng)科技隨時隨地滿足客戶需求；普惠金融化（democratization），越來越多的人能享受到金融和銀行的服務(wù)。

數(shù)字化趨勢要求采用大數(shù)據(jù)、AI作為技術(shù)支撐，實現(xiàn)精準營銷和風(fēng)險管理。

移動互聯(lián)網(wǎng)化趨勢要求銀行保障海量用戶的服務(wù)體驗，包括以下幾點。

? 提供隨時隨地的服務(wù)，滿足規(guī)模化的用戶接入需求。能夠應(yīng)對幾十億用戶和每人數(shù)十次的訪問頻率，網(wǎng)絡(luò)能夠支撐快速增長的業(yè)務(wù)和海量用戶數(shù)據(jù)。

? 一致的用戶體驗，要求網(wǎng)絡(luò)具備彈性性能，面對數(shù)十倍浪涌式流量能提供一致的體驗。

? 提供個性化服務(wù)，快速創(chuàng)新金融業(yè)務(wù)，快速響應(yīng)客戶需求，產(chǎn)品快速更新（上市時間從以月為單位提升為以天為單位）。

? 渠道創(chuàng)新，4K人臉、指紋識別等要求網(wǎng)絡(luò)具備大規(guī)模計算能力。

? 業(yè)務(wù)需要7×24 h在線。由于用戶數(shù)量大，且高并發(fā)訪問的概率更高，網(wǎng)絡(luò)故障的影響更大，因此對網(wǎng)絡(luò)可靠性的要求更高。

普惠金融化趨勢要求銀行IT系統(tǒng)能夠有針對性地快速提供各類差異化服務(wù)。此外，面對支付寶、芝麻信用、螞蟻聚寶等互聯(lián)網(wǎng)金融企業(yè)的競爭，銀行急需加速業(yè)務(wù)創(chuàng)新、提升競爭力：提升獲客能力，準確分析客戶行為，提供有競爭力的產(chǎn)品和服務(wù)；提升客戶體驗，實時處理，做到真正的事中風(fēng)險控制；提升服務(wù)水平，支持PB（1 PB=2²⁰ GB）級歷史數(shù)據(jù)查詢，以及實時查詢、長時間查詢等；收集客戶全方位數(shù)據(jù)，特別是非結(jié)構(gòu)化數(shù)據(jù)，并據(jù)此分析和挖掘客戶習(xí)慣，預(yù)測客戶行為，有效進行客戶細分，提高業(yè)務(wù)營銷和風(fēng)險控制的有效性和針對性。

金融企業(yè)普遍有自己的業(yè)務(wù)發(fā)展戰(zhàn)略，比較共性的趨勢包括：集團化，網(wǎng)絡(luò)統(tǒng)一接入各個子公司，分行業(yè)務(wù)上收，提供分行云、分行托管業(yè)務(wù)；行業(yè)化，為集團外的客戶提供金融IaaS（Infrastructure as a Service，基礎(chǔ)設(shè)施即服務(wù)）、SaaS（Software as a Service，軟件即服務(wù)）以及PaaS（Platform as a Service，平臺即服務(wù)），建設(shè)行業(yè)云；移動化（移動互聯(lián)網(wǎng)）；數(shù)據(jù)化（大數(shù)據(jù)分析）；智能化。

銀行業(yè)面對上述挑戰(zhàn)，要求IT系統(tǒng)支撐關(guān)鍵業(yè)務(wù)云化，以應(yīng)對互聯(lián)網(wǎng)流量的浪涌式訪問，加快金融產(chǎn)品發(fā)布，提升用戶體驗。簡化網(wǎng)絡(luò)運維方式，專注業(yè)務(wù)創(chuàng)新；采用大數(shù)據(jù)分析，支撐精準營銷、實時風(fēng)控，通過實時查詢歷史數(shù)據(jù)，提高效率，提升競爭力，應(yīng)對互聯(lián)網(wǎng)金融挑戰(zhàn)；關(guān)鍵業(yè)務(wù)系統(tǒng)雙活部署，保證業(yè)務(wù)零中斷、數(shù)據(jù)零丟失，滿足不斷加強的監(jiān)管要求；金融業(yè)務(wù)的發(fā)展要求網(wǎng)絡(luò)資源池化、靈活彈性、自動化與服務(wù)化。此外，F(xiàn)inTech（金融科技）技術(shù)廣泛應(yīng)用在傳統(tǒng)金融企業(yè)和互聯(lián)網(wǎng)金融企業(yè)，其技術(shù)發(fā)展對網(wǎng)絡(luò)也提出了一系列要求。

為了達到上述要求，也需要對網(wǎng)絡(luò)進行相應(yīng)的升級，具體表現(xiàn)為：面對互聯(lián)網(wǎng)創(chuàng)新應(yīng)用的快速發(fā)布，要求網(wǎng)絡(luò)提供靈活的資源調(diào)配和敏捷的應(yīng)用部署功能；面對用戶增長的不確定性和爆發(fā)性，要求網(wǎng)絡(luò)容量具備足夠的抗沖擊能力和應(yīng)對高并發(fā)訪問的能力，同時具備靈活的按需擴展能力；面對以大數(shù)據(jù)、云計算為代表的新技術(shù)與金融業(yè)務(wù)深度融合，要求運營商提供高帶寬、低時延的高性能網(wǎng)絡(luò)，同時要求網(wǎng)絡(luò)架構(gòu)可伸縮，具備開放性與兼容性；面對形勢嚴峻的風(fēng)險防控以及網(wǎng)絡(luò)安全威脅，需要全面提升網(wǎng)絡(luò)安全保障能力，要求具備完整的安全防護體系，網(wǎng)絡(luò)架構(gòu)高可用，以確保業(yè)務(wù)永續(xù)，要求應(yīng)用可視化、管理自動化，便于快速排障。

作為銀行業(yè)務(wù)的一部分，互聯(lián)網(wǎng)金融對網(wǎng)絡(luò)在高可用性、高性能、靈活彈性、敏捷自動化、安全可控等方面也提出了諸多需求，如圖1-10所示。

圖1-10 互聯(lián)網(wǎng)金融網(wǎng)絡(luò)需求

數(shù)據(jù)中心云化和大數(shù)據(jù)應(yīng)用是金融行業(yè)未來發(fā)展的主要方向。數(shù)據(jù)中心云化，具有虛擬機數(shù)量多、增長快、虛擬機遷移范圍大的特點，對網(wǎng)絡(luò)提出了以下新的要求。

? 東西向流量增大、二層網(wǎng)絡(luò)的拓撲變大、網(wǎng)絡(luò)帶寬需求增加，從GE接入、10GE上行，演進到10GE接入、40GE上行，進而25GE接入、100GE上行很快得到普及。

? 要求能夠在數(shù)據(jù)中心機房模塊內(nèi)、幾個機房模塊之間，甚至在同城數(shù)據(jù)中心之間靈活部署、任意遷移虛擬機，需要部署大二層網(wǎng)絡(luò)，同時避免廣播風(fēng)暴。

? 需要整體規(guī)劃數(shù)據(jù)中心多站點選擇，用于應(yīng)對云環(huán)境下的多活系統(tǒng)或主備系統(tǒng)。

? 要求接入交換機支持更大的MAC（Media Access Control，媒體訪問控制）表和主機路由表項。

大數(shù)據(jù)應(yīng)用具有數(shù)據(jù)量大、數(shù)據(jù)類型多、處理速度快等特點，并且流量模型一般為多打一或多打多的場景，對網(wǎng)絡(luò)也提出了新的需求。

? 需要網(wǎng)絡(luò)高可用和可擴展，支持ECMP（Equal-Cost Multi-Path，等價多路徑）。

? 大數(shù)據(jù)應(yīng)用也會產(chǎn)生突發(fā)流量，這就要求網(wǎng)絡(luò)設(shè)備具有較強的緩存和隊列功能，以緩解突發(fā)流量的影響。

? 大數(shù)據(jù)應(yīng)用要求網(wǎng)絡(luò)具有良好的收斂比，一般情況下，服務(wù)器和接入層的超載比為3∶1左右，接入層和匯聚層以及匯聚層和核心層之間的超載比為2∶1左右。

? 大數(shù)據(jù)應(yīng)用要求網(wǎng)絡(luò)有足夠的接入帶寬，要求匯聚層交換機的網(wǎng)絡(luò)延遲較小。

? AI技術(shù)要求網(wǎng)絡(luò)具備高性能、低時延、零丟包的特點。