| 1.2 關鍵需求分析 |

基于上述場景需求，金融數據中心網絡的主要需求包括多種接入方式、數據復制和數據備份、端到端業務保障。多種接入方式包括VM（Virtual Machine，虛擬機）與BM（Bare Metal，裸金屬服務器，也稱裸機）接入或Docker接入，提供分鐘/秒級業務下發；數據復制和數據備份需要在同城或者異地間進行，從而確保數據的互通性和高可用性；在端到端業務中，要求DCN為語音和視頻業務提供高性能、高帶寬的網絡傳輸，保證端到端業務的流暢性和極佳的用戶體驗。

對網絡的需求來自于業務場景，常見的業務場景包括DCN場景、統一通信場景和IP語音/呼叫中心/視頻會議等場景。

DCN場景：該場景主要負責計算資源和存儲資源的互聯，主要需求包括VM與BM接入、Docker接入、數據復制和數據備份。

VM與BM接入要求網絡提供10GE的接入帶寬和40GE上行帶寬的能力。服務器雙歸接入2臺交換機，網卡采用主備或雙活模式。虛擬化服務器主流的虛擬化管理平臺有KVM（Kernel-based Virtual Machine，基于內核的虛擬機）、VMWare ESX和Microsoft Hyper-V，這3種虛擬化管理平臺的云管平臺分別為OpenStack云平臺、vCenter云平臺和SystemCenter云平臺（集成在Windows Azure Pack中）。接入交換機的選型和數量受服務器網卡類型、網卡數量、虛擬化服務器的虛擬化比例的影響，需要調研清楚這些方面的信息。此外，還需要統一考慮Web前置機、加密機、Linux服務器、小型機、MySQL數據庫服務器等，一并接入網絡中。

Docker接入的部署方式可以參考VM與BM接入。為Docker獨立分配IP地址，也可以基于NAT（Network Address Translation，網絡地址轉換）分配主機IP地址。此外，Docker可通過VLAN接入二層網絡，也可以基于路由接入網絡。在實際應用中，要求主機支持部署多個網段的Docker，這樣在重啟Docker時保證IP地址不變。部署Docker接入時，需要提供插件對接容器管理平臺，如Kubernetes，自動化下發網絡配置。

數據復制主要分為數據中心內的數據存儲、同城數據中心的同步數據復制和異地數據中心的異步數據復制3種方式。數據中心內的數據存儲可分成SAN（Storage Area Network，存儲區域網絡）存儲和NAS / GPFS（General Parallel File System，通用并行文件系統）存儲。對于SAN存儲，需要建設數據中心內的SAN網絡。對于NAS / GPFS存儲，則可以利用數據中心內的業務IP網絡。同城數據中心內的數據存儲主要通過FC（Fibre Channel，光纖通道）網絡進行，網絡需要為同步數據復制提供邏輯通道。FC同步復制的RTT（Round Trip Time，往返路程時間，也稱往返時延）要求低于1 ms。對于FC over IP的方式，網絡需要為異步數據復制提供IP連接。同城中心間的NAS/GPFS復制則利用同城數據中心間的業務IP網絡完成。對于異地中心間的NAS/GPFS復制，當流量不大時，使用異地數據中心間的業務IP網絡；當流量較大時，需在異地中心間規劃獨立的網絡邏輯通道。

數據備份同樣分成數據中心內的數據備份、同城數據中心間的數據備份和異地數據中心間的數據備份。對于采用LAN-Free（指快速隨機存儲設備向備份存儲設備復制數據，如磁盤陣列或服務器硬盤向磁帶庫或磁帶機復制數據）的方式，需要建設數據中心內的SAN；對于采用LAN-Base（基于局域網）的方式，可以利用數據中心內的業務IP網絡。同時網絡需要為同城和異地數據備份提供鏈接，并對NAS（Network Attached Storage，網絡附接存儲）部署提供支持。

統一通信場景：該場景對網絡的主要需求是從分支機構到數據中心進行三層網絡的連接，同時要求網絡傳輸時延低于150 ms、丟包率小于1%、時延抖動低于20 ms。

IP語音系統/呼叫中心/視頻會議場景：該場景同樣需要建立同城數據中心之間和分支機構與數據中心之間三層網絡的連接，同時對網絡傳輸時延、丟包率和時延抖動均有要求。

除在不同應用場景下對網絡的需求不同之外，數據中心對于網絡質量也提出了一定的需求，網絡質量的保障對網絡的穩定、健康運行起著關鍵作用。網絡質量需求主要包括網絡高可用、網絡高安全、網絡自動化和網絡資源池化。

1.網絡高可用

對于金融數據中心網絡，網絡高可用需求是確保業務永續的基石。從Garnter發布的意外宕機事件統計來看，金融行業發生的影響業務的事件中，40%是人為誤操作，且大部分故障來源于應用與系統的故障。詳細分析問題根因可以發現，絕大部分故障與二層網絡的技術故障（二層環路、未知單播泛洪）相關。

為此，金融企業普遍采用建設同城雙中心+異地數據中心的方式，保證網絡發生故障時業務可以快速切換與恢復，避免出現全局性故障，確保在15 min內恢復業務。

為了應對確保業務不間斷的需求，需要網絡具備高可用的特性。目前，業界普遍采用部署SDN的方式來提供高可用的網絡。SDN的高可用性主要體現在：SDN控制器發生故障不影響數據轉發面，不會中斷業務的訪問；SDN優化了數據中心內部和數據中心之間的廣播流量，減少了故障域；Underlay網絡與Overlay網絡的路由相互隔離，互不影響；業務不感知硬件設備的軟件版本升級和配件的替換。

2.網絡高安全

網絡高安全需求確保了數據安全，是金融數據中心網絡的核心要務。數據安全關系到金融企業的信譽，甚至影響到國計民生。在金融數據中心網絡中，除了需要保留傳統安全措施，還需要重點考慮云環境下的數據中心網絡安全。云的開放性引入了更多的安全威脅，如漏洞、惡意滲透、遠程控制等，需要更智能的下一代安全防御體系應對安全威脅。金融數據中心在數據安全方面的需求，主要包括以下2個方面。

? 自動化安全，傳統安全部署的上線速度難匹配云業務的需求，運維人員手動配置海量的安全策略，也增加了運維成本，因此需要自動化的安全運維手段。

? 云基礎設施的安全防護，包括虛擬基礎設施的安全，如Hypervisor/OS（Operating System，操作系統）/應用環境的未知漏洞、針對基礎設施的APT（Advanced Persistent Threat，高級持續威脅）攻擊、應用認證和鑒權安全等；虛擬網絡的安全，如存在東西向防御盲點、VM被滲透后橫向感染或攻擊基礎設施；租戶邊界和租戶內部的安全；虛擬化資源管理的安全，如NFV（Network Functions Virtualization，網絡功能虛擬化）/SDN管理部件之間的通信安全、API調用安全；開放業務的安全，如源組件/第三方VNF（Virtual Network Function，虛擬網絡功能）的未知漏洞、移動跳板攻擊、網銀木馬。

3.網絡自動化

網絡自動化是指網絡支持快速敏捷發放各類創新型業務，確保傳統金融企業在與互聯網金融企業的競爭中保持業務優勢。自動化和標準化使網絡運維人員從傳統煩瑣的配置變更中解放出來，不再忙于貼配置、定位問題，可以投入到更有價值的工作，如網絡優化、網絡規劃。

4.網絡資源池化

網絡資源池化要求網絡資源池可以彈性擴縮，業務從資源池中申請資源，有效保障業務的正確性和效率周期，確保在重要的時間節點前業務能夠快速上線，網絡自動化和資源池化將帶來業務效率的極大提高和用戶體驗的顯著改善。

結合上述的需求分析，我們提出了面向云的金融數據中心目標架構，推導出對應的金融云數據中心網絡網絡規劃設計目標，用以指導網絡具體的規劃設計。