一、案例概述
1.1案例背景
随着移动互联、大数据时代的来临,BH银行业务逐步从以交易为中心向以客户为中心的方式改变,未来银行业将需要更多创新驱动力,在商业模式、渠道等服务与产品的创新会越来越多。大物移云智等技术与金融服务的结合和创新应用将是大势所趋,这些都要求银行数据中心实现基础设施资源池化、业务部署自动化、敏捷弹性交付,才能满足激烈的行业竞争和业务创新需求。
1.2行业痛点
当前银行的创新应用都已采用B/S架构,形成WEB-AP-DB三层架构,客户端只需提供网页浏览器,业务逻辑或者运算完全在服务器上实现,非常符合银行数据集中的业务模式,相对于C/S架构,创新应用对后台及数据中心的计算、存储以及网络承载要求也更高。同时,随着移动互联网异军突起,智能终端快速占领市场,越来越多的员工携带自己的终端设备上班,无线接入办公网络,在方便办公的同时,也带来管理和安全的问题。互联网金融,是传统金融行业与互联网相结合的领域,不仅代表在互联网上处理金融业务,而且是一种开放、平等、协作、分享的精神,通过互联网、移动终端等媒介,使得金融业务具备更强的透明度、更高的参与度、更好的协作性、更低的中间成本、更便携的操作方式等,其本质还是数据和互联网。
传统网络支撑的业务背景下,其存在以下几个痛点:
资源池化规模小,利用率低
银行数据中心的物理分区尚未完全摆脱传统二层技术,受技术影响,单个分区规模难以进一步扩展;网络物理分区多,计算、存储资源池小,难以提高资源共享利用率。
同城灾备切换时间长,业务可用性低
业务资源不能跨三层网络漂移,仍依赖于二层网络,无法真正意义数据中心同城灾备,数据中心故障切换时无法避免业务中断;同城数据中心每个分区二层互联,物理分区未能实现业务灵活隔离,导致二层泛洪报文涉及两个数据中心。
运维工作量大,自动化程度低
银行复杂的网络架构导致设备类型的多样化,同时新旧网络的融合管理,不同厂商、不同类型的网络设备配置、运维、割接等策略配置仍以网络专员手工操作为主,无法面向业务应用,提供全流程自动化交付服务,也无法在计算节点迁移调整时,自动适配网络配置策略。
IP地址与应用系统、物理分区、安全控制策略紧耦合,难以支持应用跨区域、跨中心灵活部署和调整,需要网络专员和应用人员同时维护访问关系,管理复杂。同时,物理网络、服务器虚拟网络的各种网络资源及服务难以统一管理。
终端策略控制难,安全风险高
随着行内配发的大量设备与员工BYOD设备,传统终端如台式机、笔记本,智能终端如PAD、智能手机等,同时存在VoIP、打印机等哑终端,导致终端接入难控制,终端网络策略难管理,存在巨大安全隐患。
1.3用户需求
随着BH银行业务的快速发展,同时能支撑业务系统的快速创新和升级变更,其业务网络的需求如下:
网点快速扩张,业务快速上线
银行网点的扩展和业务创新,要求其网络架构具备适应业务的快速扩展和变更的能力,能支撑业务系统的快速上线。
设备资源池化低,提高资源利用率
BH银行业务系统众多,现有的网络中网络设备多样化,导致设备碎片化严重、管理分散,其网络架构应能整合网络资源,实现网络资源虚拟池化,提供网络资源利用率。
服务升级,业务网络连续性
BH银行业务系统的连续性作为银行竞争的基石,直接影响着用户的使用体验,其网络架构应在任何时刻多能保障期业务联系性。
场景多,安全、融合移动互联
BH银行的业务场景多,网络复杂性高,各类型终端接入多,其网络应能实现多种类型终端接入,并实现对接入终端进行安全认证和授权,提高业务安全性。
设备多而杂,提高运维效率,降低运营成本
银行多而复杂的业务应用场景,新旧网络的融合管理,且频繁组织变更,带来频繁的业务网络配置调整,不同厂商、不同类型的网络设备,导致网络管理复杂度不断增加,从而要求其业务网络策略应能随业务场景、组织的变更而自动调整,降低人工配置的工作量,并能实现多设备集中管理,提高整体运维效率。
二、解决方案
2.1方案概述
基于BH银行当前的现状与需求,泰信通通过引入先进的SDN网络技术和业界领先的SDN网络产品,并基于开放标准化的软硬件架构,实现网络快速变更、升级,同时利用VxLAN技术构建同城双活数据中心,提升业务联系性。泰信通SDN解决方案帮助BH银行构建安全稳定、灵活高效的网络架构,支撑BH银行业务的快速创新与发展。
泰信通SDN解决方案以SDN控制器为核心,整合全网网络资源进行统一管控,避免设备碎片化,解耦设备差异化,并实现网络功能服务虚拟资源池化,提高整体资源使用效率和运维效率。同时解耦网络拓扑,摆脱基于拓扑的业务部署模式,提升网络的灵活性,并实现基于业务进行网络策略配置与下发,网络策略随业务升级变更而自动调整下发,一键备份/部署改变过去蹲守式测试、割接的模式,大幅度降低运维工作量,适应多种业务场景,有效降低BH银行IT运营成本。
BH银行应用泰信通SDN解决方案快速构建全网安全态势图,实现全网安全态势、安全策略可视化,网络、安全集成协同,构建安全流量模型,自动感知异常、威胁流量,基于安全事件自动隔离、阻断异常与威胁源,避免人工操作带来的响应延时和误操作。并构建安全防护区,精细化、按需的业务策略,保障业务网络安全,多样化的用户终端接入控制措施满足银行多种业务场景的终端接入安全,提供业务安全性。
2.2方案架构
2.3技术亮点
安全流量模型
泰信通SDN解决方案通过SDN控制器构建应用的全网安全流量模型,利用SDN的流量感知能力自动感知异常、威胁数据流量,基于应用制定安全响应策略,实现第一时间感知异常、威胁流量并快速定位流量源,异常流量类型从流量源头自动执行流量阻断、隔离等响应策略,阻断威胁流量进入业务网络,全程自动化执行,避免人工响应带来的延时和误操作,提升业务网络的安全性。
SDN安全服务链
SDN安全服务链实现应用的精细化、按需的网络安全防护,改变过去双层异构安全设备串联在网络拓扑中的部署模式,降低安全设备的故障风险和释放性能压力,提高网络灵活性,通过构建安全资源区统一提供安全服务,并自动感知业务流量进行灵活控制,用户业务所需的安全服务进行智能编排,如先经防火墙进行包检测,再经过流控进行流量控制等,实现业务安全差异化部署,并无需过去复杂的策略配置,通过SDN控制器即可一键完成。
SDN安全服务链将安全功能资源池化,无需设备本身具备虚拟化特性,支持FW、IDS/IPS、DDOS、WAF、DPI等网络功能服务设备,支持不同厂商、不同性能的安全设备虚拟化,可支持物理和虚拟网络功能设备混合虚拟化成资源池,实现服务资源弹性扩展,并根据设备性能智能负载分担业务流量,大幅度提高设备利用率,并实现设备利旧使用。
网络安全集成联动
通过SDN控制器与安全设备对接集成, SDN控制器自己感知安全设备运行状态和实时采集安全事件,并对安全事件进行深度分析,快速定位威胁源,根据安全事件等级、事件类型自动执行网络隔离、阻断等网络动作,隔离、阻断威胁流量,防止后续的威胁流量再度进入网络消耗安全设备性能,同时触发日志告警通知管理员。与安全流量模型协同处理,实现安全流量模型与安全设备双层防护,进一步提升业务网络安全。
SDN安全策略中心
SDN安全策略中心实现全网的访问策略控制,实现业务的安全访问和终端安全接入控制,摆脱过去网络设备逐台配置、多台设备重复配置的模式,从策略中心即可实现对全网进行策略配置、编排、下发,访问策略全网生效,无需重复配置多台设备,简化网络策略配置工作量。
支持针对应用类型、MAC地址、IP地址、协议类型等维度的精细化网络访问策略,支持基于MAC地址、IP地址、端口等多种方式的接入安全控制,并实现用户一键式安全准入操作,拒绝非授权用户终端接入网络,提高网络安全性。
基于VxLAN的同城灾备数据中心
利用VxLAN技术帮助BH银行构建基于二层网络的同城灾备数据中心,数据中心内部通过计算虚拟化实现研发、办公业务虚拟化部署,主/备数据中心之间基于SDN高性能硬件构建VxLAN大二层网络,满足研发、办公业务虚机跨数据中心热迁移,业务数据数据中心间实时同步,实现研发、办公业务系统秒级故障切换,业务不中断,提高业务连续性。
安全态势图
通过结合安全流量模型、安全事件,实时感知全网异常、威胁流量,并基于自动化网络拓扑,在网络拓扑上可视化呈现异常、威胁流量分布,不同流量大小不同颜色显示,实现全网安全态势图。用户从安全态势图可实时掌握网络安全状态,异常流量大小和安全事件数据等,并时候监测网络运行状态、设备状态,安全态势图支持丰富的网络配置功能,用户可配置、变更安全策略和响应动作。
多协议集成
SDN控制器集成Openflow、NETCONF、RPC、SNMP等主流南向接口协议,解耦设备类型差异化,用户不用关心不同厂商设备配置方式不一致、命令不一致的问题,实现对不同厂商、不同类型的设备进行集中化、可视化、自动化配置管理,同时改变过去SSH的配置模式,通过Web方式统一配置维护,降低设备配置管理复杂度。
网络自动化部署
支持一键备份/部署功能,用户可对网络设备配置自动备份和手动备份,支持单台和多台批量备份,用户可基于备份文件进行设备还原,用户可将测试版本进行备份,当网络割接时,只需将测试备份版本进行自动还原即可完成网络割接,设备故障时,也只需更换设备,网络配置即可快速还原,实现故障快速恢复。
支持SDN网络设备开局零配置上线,SDN交换机接入网络,SDN控制器自动SDN交换机身份角色,根据交换机角色自动下发相应的网络配置,无需人工配置,可适应大规模网络,大幅度减少设备配置工作量。
2.4方案亮点
多种安全手段,保障业务网络安全性
本方案以安全作为功能核心,通过安全流量模型、网络安全集成联动、SDN安全服务链、安全策略中心等多重安全防护手段,改变过去网络与安全隔离的模式,通过检测业务流类型,控制业务访问和终端接入,将威胁数据从源头隔离在业务网络外,保障业务网络安全。
数据中心大二层灾备,业务连续性高
本方案通过VxLAN构建灾备数据中心,实现业务系统跨数据中心部署及业务资源跨三层网络迁移,秒级故障切换,业务连续性高。
集中化、自动化,运维效率高
本方案通过集成主流南向接口协议实现多厂商设备集中管理,用户不再需要掌握各厂商的网络技术和配置命令,降低配置管理复杂度,同时一键备份部署、配置自动下发等一系列网络自动化措施,将用户从繁重的配置工作量中释放出来,提高运维效率。
三、用户价值
通过泰信通SDN网络解决方案,BH银行成功从传统网络转型为SDN网络,赋予业务网络更多的灵活性和安全性,将过去业务适应的网络模式转变为网络适应业务的模式,以业务为中心,网络随业务的升级、变更而动态调整,满足各种应用场景,并支撑BH银行业务的快速创新和上线,同时降低IT运营成本。
业务创新、上线快,抢占市场先机
SDN实现业务网络的自动化配置,将业务网络的配置、测试、上线时间从原有的数天缩短至数小时,同时业务网络资源随业务需求而动态调度,减少人工调整带来延时。
网安融合,提升业务网络安全性和灵活性
通过SDN的多种安全手段,将网络与安全深度融合,面向业务的安全方案,用户可任意位置部署业务系统,满足各种复杂的应用场景。
资源整合、一体化管控,资源利用率高,运营成本低
SDN有效整合网络、安全资源,对资源进行统一编排调度,将资源利用率从原来的30%提升至80%,并降低对用户技能的依赖,同时将用户从繁重的运维工作中解脱出来,更注重于业务网络优化,完成IT运营成本的降低。 
