| 1.2 關鍵需求分析 |

基于上述場景需求，金融數(shù)據(jù)中心網(wǎng)絡的主要需求包括多種接入方式、數(shù)據(jù)復制和數(shù)據(jù)備份、端到端業(yè)務保障。多種接入方式包括VM（Virtual Machine，虛擬機）與BM（Bare Metal，裸金屬服務器，也稱裸機）接入或Docker接入，提供分鐘/秒級業(yè)務下發(fā)；數(shù)據(jù)復制和數(shù)據(jù)備份需要在同城或者異地間進行，從而確保數(shù)據(jù)的互通性和高可用性；在端到端業(yè)務中，要求DCN為語音和視頻業(yè)務提供高性能、高帶寬的網(wǎng)絡傳輸，保證端到端業(yè)務的流暢性和極佳的用戶體驗。

對網(wǎng)絡的需求來自于業(yè)務場景，常見的業(yè)務場景包括DCN場景、統(tǒng)一通信場景和IP語音/呼叫中心/視頻會議等場景。

DCN場景：該場景主要負責計算資源和存儲資源的互聯(lián)，主要需求包括VM與BM接入、Docker接入、數(shù)據(jù)復制和數(shù)據(jù)備份。

VM與BM接入要求網(wǎng)絡提供10GE的接入帶寬和40GE上行帶寬的能力。服務器雙歸接入2臺交換機，網(wǎng)卡采用主備或雙活模式。虛擬化服務器主流的虛擬化管理平臺有KVM（Kernel-based Virtual Machine，基于內核的虛擬機）、VMWare ESX和Microsoft Hyper-V，這3種虛擬化管理平臺的云管平臺分別為OpenStack云平臺、vCenter云平臺和SystemCenter云平臺（集成在Windows Azure Pack中）。接入交換機的選型和數(shù)量受服務器網(wǎng)卡類型、網(wǎng)卡數(shù)量、虛擬化服務器的虛擬化比例的影響，需要調研清楚這些方面的信息。此外，還需要統(tǒng)一考慮Web前置機、加密機、Linux服務器、小型機、MySQL數(shù)據(jù)庫服務器等，一并接入網(wǎng)絡中。

Docker接入的部署方式可以參考VM與BM接入。為Docker獨立分配IP地址，也可以基于NAT（Network Address Translation，網(wǎng)絡地址轉換）分配主機IP地址。此外，Docker可通過VLAN接入二層網(wǎng)絡，也可以基于路由接入網(wǎng)絡。在實際應用中，要求主機支持部署多個網(wǎng)段的Docker，這樣在重啟Docker時保證IP地址不變。部署Docker接入時，需要提供插件對接容器管理平臺，如Kubernetes，自動化下發(fā)網(wǎng)絡配置。

數(shù)據(jù)復制主要分為數(shù)據(jù)中心內的數(shù)據(jù)存儲、同城數(shù)據(jù)中心的同步數(shù)據(jù)復制和異地數(shù)據(jù)中心的異步數(shù)據(jù)復制3種方式。數(shù)據(jù)中心內的數(shù)據(jù)存儲可分成SAN（Storage Area Network，存儲區(qū)域網(wǎng)絡）存儲和NAS / GPFS（General Parallel File System，通用并行文件系統(tǒng)）存儲。對于SAN存儲，需要建設數(shù)據(jù)中心內的SAN網(wǎng)絡。對于NAS / GPFS存儲，則可以利用數(shù)據(jù)中心內的業(yè)務IP網(wǎng)絡。同城數(shù)據(jù)中心內的數(shù)據(jù)存儲主要通過FC（Fibre Channel，光纖通道）網(wǎng)絡進行，網(wǎng)絡需要為同步數(shù)據(jù)復制提供邏輯通道。FC同步復制的RTT（Round Trip Time，往返路程時間，也稱往返時延）要求低于1 ms。對于FC over IP的方式，網(wǎng)絡需要為異步數(shù)據(jù)復制提供IP連接。同城中心間的NAS/GPFS復制則利用同城數(shù)據(jù)中心間的業(yè)務IP網(wǎng)絡完成。對于異地中心間的NAS/GPFS復制，當流量不大時，使用異地數(shù)據(jù)中心間的業(yè)務IP網(wǎng)絡；當流量較大時，需在異地中心間規(guī)劃獨立的網(wǎng)絡邏輯通道。

數(shù)據(jù)備份同樣分成數(shù)據(jù)中心內的數(shù)據(jù)備份、同城數(shù)據(jù)中心間的數(shù)據(jù)備份和異地數(shù)據(jù)中心間的數(shù)據(jù)備份。對于采用LAN-Free（指快速隨機存儲設備向備份存儲設備復制數(shù)據(jù)，如磁盤陣列或服務器硬盤向磁帶庫或磁帶機復制數(shù)據(jù)）的方式，需要建設數(shù)據(jù)中心內的SAN；對于采用LAN-Base（基于局域網(wǎng)）的方式，可以利用數(shù)據(jù)中心內的業(yè)務IP網(wǎng)絡。同時網(wǎng)絡需要為同城和異地數(shù)據(jù)備份提供鏈接，并對NAS（Network Attached Storage，網(wǎng)絡附接存儲）部署提供支持。

統(tǒng)一通信場景：該場景對網(wǎng)絡的主要需求是從分支機構到數(shù)據(jù)中心進行三層網(wǎng)絡的連接，同時要求網(wǎng)絡傳輸時延低于150 ms、丟包率小于1%、時延抖動低于20 ms。

IP語音系統(tǒng)/呼叫中心/視頻會議場景：該場景同樣需要建立同城數(shù)據(jù)中心之間和分支機構與數(shù)據(jù)中心之間三層網(wǎng)絡的連接，同時對網(wǎng)絡傳輸時延、丟包率和時延抖動均有要求。

除在不同應用場景下對網(wǎng)絡的需求不同之外，數(shù)據(jù)中心對于網(wǎng)絡質量也提出了一定的需求，網(wǎng)絡質量的保障對網(wǎng)絡的穩(wěn)定、健康運行起著關鍵作用。網(wǎng)絡質量需求主要包括網(wǎng)絡高可用、網(wǎng)絡高安全、網(wǎng)絡自動化和網(wǎng)絡資源池化。

1.網(wǎng)絡高可用

對于金融數(shù)據(jù)中心網(wǎng)絡，網(wǎng)絡高可用需求是確保業(yè)務永續(xù)的基石。從Garnter發(fā)布的意外宕機事件統(tǒng)計來看，金融行業(yè)發(fā)生的影響業(yè)務的事件中，40%是人為誤操作，且大部分故障來源于應用與系統(tǒng)的故障。詳細分析問題根因可以發(fā)現(xiàn)，絕大部分故障與二層網(wǎng)絡的技術故障（二層環(huán)路、未知單播泛洪）相關。

為此，金融企業(yè)普遍采用建設同城雙中心+異地數(shù)據(jù)中心的方式，保證網(wǎng)絡發(fā)生故障時業(yè)務可以快速切換與恢復，避免出現(xiàn)全局性故障，確保在15 min內恢復業(yè)務。

為了應對確保業(yè)務不間斷的需求，需要網(wǎng)絡具備高可用的特性。目前，業(yè)界普遍采用部署SDN的方式來提供高可用的網(wǎng)絡。SDN的高可用性主要體現(xiàn)在：SDN控制器發(fā)生故障不影響數(shù)據(jù)轉發(fā)面，不會中斷業(yè)務的訪問；SDN優(yōu)化了數(shù)據(jù)中心內部和數(shù)據(jù)中心之間的廣播流量，減少了故障域；Underlay網(wǎng)絡與Overlay網(wǎng)絡的路由相互隔離，互不影響；業(yè)務不感知硬件設備的軟件版本升級和配件的替換。

2.網(wǎng)絡高安全

網(wǎng)絡高安全需求確保了數(shù)據(jù)安全，是金融數(shù)據(jù)中心網(wǎng)絡的核心要務。數(shù)據(jù)安全關系到金融企業(yè)的信譽，甚至影響到國計民生。在金融數(shù)據(jù)中心網(wǎng)絡中，除了需要保留傳統(tǒng)安全措施，還需要重點考慮云環(huán)境下的數(shù)據(jù)中心網(wǎng)絡安全。云的開放性引入了更多的安全威脅，如漏洞、惡意滲透、遠程控制等，需要更智能的下一代安全防御體系應對安全威脅。金融數(shù)據(jù)中心在數(shù)據(jù)安全方面的需求，主要包括以下2個方面。

? 自動化安全，傳統(tǒng)安全部署的上線速度難匹配云業(yè)務的需求，運維人員手動配置海量的安全策略，也增加了運維成本，因此需要自動化的安全運維手段。

? 云基礎設施的安全防護，包括虛擬基礎設施的安全，如Hypervisor/OS（Operating System，操作系統(tǒng)）/應用環(huán)境的未知漏洞、針對基礎設施的APT（Advanced Persistent Threat，高級持續(xù)威脅）攻擊、應用認證和鑒權安全等；虛擬網(wǎng)絡的安全，如存在東西向防御盲點、VM被滲透后橫向感染或攻擊基礎設施；租戶邊界和租戶內部的安全；虛擬化資源管理的安全，如NFV（Network Functions Virtualization，網(wǎng)絡功能虛擬化）/SDN管理部件之間的通信安全、API調用安全；開放業(yè)務的安全，如源組件/第三方VNF（Virtual Network Function，虛擬網(wǎng)絡功能）的未知漏洞、移動跳板攻擊、網(wǎng)銀木馬。

3.網(wǎng)絡自動化

網(wǎng)絡自動化是指網(wǎng)絡支持快速敏捷發(fā)放各類創(chuàng)新型業(yè)務，確保傳統(tǒng)金融企業(yè)在與互聯(lián)網(wǎng)金融企業(yè)的競爭中保持業(yè)務優(yōu)勢。自動化和標準化使網(wǎng)絡運維人員從傳統(tǒng)煩瑣的配置變更中解放出來，不再忙于貼配置、定位問題，可以投入到更有價值的工作，如網(wǎng)絡優(yōu)化、網(wǎng)絡規(guī)劃。

4.網(wǎng)絡資源池化

網(wǎng)絡資源池化要求網(wǎng)絡資源池可以彈性擴縮，業(yè)務從資源池中申請資源，有效保障業(yè)務的正確性和效率周期，確保在重要的時間節(jié)點前業(yè)務能夠快速上線，網(wǎng)絡自動化和資源池化將帶來業(yè)務效率的極大提高和用戶體驗的顯著改善。

結合上述的需求分析，我們提出了面向云的金融數(shù)據(jù)中心目標架構，推導出對應的金融云數(shù)據(jù)中心網(wǎng)絡網(wǎng)絡規(guī)劃設計目標，用以指導網(wǎng)絡具體的規(guī)劃設計。