| 1.1 金融数据中心网络的发展趋势 |_金融数据中心网络架构与技术-QQ阅读男生都市网

书名：金融数据中心网络架构与技术
作者名：张学明陈乐主编
本章字数：7773字
更新时间：2024-11-03 11:24:07

| 1.1 金融数据中心网络的发展趋势 |

以云计算、大数据、区块链和AI（Artificial Intelligence，人工智能）为代表的金融科技正在深刻改变金融行业的面貌。发展金融科技、实施数字化转型成为几乎所有金融企业的共同战略选择。金融行业数字化转型的主要目标是提升信息处理与运用能力，促进业务创新与流程再造，以实现智慧金融和普惠金融。数据中心作为金融企业处理数字业务的实际承载点，理所当然地站到了潮头。传统金融数据中心的特点是大业务量、高可靠性、安全合规，而在保持上述优势的同时，如何打造一个架构更灵活、资源利用率更高、管控更全面及时、业务响应更敏捷的金融云数据中心，以支撑企业未来业务的持续创新与产品的快速迭代，是摆在金融行业科技工作者，尤其是金融企业数据中心建设者面前的现实问题。

本章将以金融行业中典型的银行业为例，介绍金融行业当前的网络演进趋势、关键需求、关键技术以及金融数据中心网络的设计目标。

1.1.1 银行业务转型与信息化的演进趋势

依据德勤公司前咨询顾问布莱特·金（Brett King）在《银行 3.0：移动互联时代的银行转型之道》一书中关于商业银行运营模式转型的描述，商业银行运营模式经历了Bank 1.0时代、Bank 2.0时代、Bank 3.0时代，正向Bank 4.0时代过渡，这一理论获得了银行业的普遍认可。从“以业务为中心”的传统模式向“以客户为中心”的新模式转型已成为行业发展的主流趋势。银行转型的演进路线如图1-1所示。

图1-1 银行转型的演进路线

在Bank 1.0时代，银行的业务形态是以物理网点为基础的。在Bank 2.0时代，电子技术如ATM（Automated Teller Machine，自动取款机）、网银延伸了物理网点的触角，但客户的账户仍归属某个具体网点。Bank 2.0时代主要有三大改变：跨行整合，利用互联网技术发展以实体分行为基础的跨行整合服务；互联网业务萌芽，开通了网银、网上支付等业务；柜面效率提升，对柜面进行业务整合和改造，实施综合柜员制，提升了柜面效率。

Bank 3.0时代也被称为移动互联网时代。在这一时代实现了业务移动化，客户可以随时随地获得银行服务，全渠道的兴起使客户在与银行的关系中起主导作用。移动互联改变了银行的服务渠道，移动支付已成为主流。《2017年中国银行业服务报告》显示，中国工商银行的离柜业务率已达到97%，其他15家大型银行的离柜业务率也均超过90%，其中有6家超过95%，行业平均离柜业务率已近88%。智能终端催生行业应用的创新，金融服务融入商业流程（供应链金融），让企业可以获利或获客。大数据使能金融服务，实现智能获客、智能投顾、智慧风控。

Bank 3.0时代也出现了三大改变：获客成本和单次获客量发生了改变，平均获客成本相比Bank 2.0时代的获客成本下降了90%，单次获客量从数百量级突增到千万量级，这要求数据中心网络能够支撑浪涌式增长的访问流量；渠道和服务方式发生了改变，7×24 h全天候服务、零空间限制（特别是支付、存取款、转账、理财、开户等业务）要求数据中心网络高可用、支撑多渠道接入；风险管理实时性发生了改变，实时性从以周为单位提高到以分钟为单位，从事后发展到事前、事中、事后全流程，这要求数据中心网络支持大数据分析业务的快速部署与扩容。

Bank 4.0时代是数字化银行时代、体验时代，银行服务融入各类生活场景，这种隐形银行提供了无处不在的服务。Bank 4.0时代的核心是提供“个性化、智能化、实时化、综合化”的金融服务，以客户体验为中心，提供全渠道、无缝式、定制化的产品和服务，全面提升客户体验。Bank 4.0时代的典型业务有银联云闪付、支付宝支付、微信支付等。Bank 4.0时代的金融业务在以下3个方面发生了变化。

用户：体验驱动、回归金融服务本质。Bank 4.0时代带来了“以人为核心”的现代科技金融，而非银行固有产品和服务的“数字化改良”。Bank 4.0时代的到来表明科技不再仅对银行局部流程（如渠道）进行优化，而是给传统金融模式带来了“颠覆性变革”。

科技：AI、IoT（Internet of Things，物联网）、移动互联网、5G、区块链等新技术将未来的社交场景、消费场景、出行场景无缝地与银行服务对接。未来的银行将是“秒申秒到、即用即走”的银行。“衣食住行玩”，只要是存在服务的场景就能找到银行金融服务的入口，这使得银行服务摆脱了时间、空间的制约。

银行：未来的银行将不再是一个地方，而是一种行为。银行将构成一个无处不在的服务环境，以人为核心提供不依赖物理设施的虚拟服务。消费者将享受基于“ROADS”理念的极致互动体验。ROADS，指实时（Real-time）、按需（On-demand）、全在线（All-online）、服务自助（DIY）和社交化（Social）。

目前，国内银行的运营模式已经完成了向Bank 3.0时代的转型，正在向Bank 4.0时代演进。Bank 3.0时代要求银行的网络高可用，并提供7×24 h的在线接入能力。此外，Bank 3.0时代还要求银行的基础设施具备IT（Information Technology，信息技术）基础架构，金融网络需要具备敏捷弹性和灵活扩容的业务支撑能力。Bank 4.0时代要求银行将AI、大数据、云计算等科技融入IT基础设施，为业务与运营的转型提供科技动力。

伴随着金融运营模式的转型，银行的数据中心也一路向着信息化发展，从大集中数据中心普遍发展到虚拟化数据中心，正在向云数据中心转型，如图1-2所示。

图1-2 银行数据中心信息化演进趋势

大集中数据中心通过网络实现业务的集中操作、数据的集中存储和管理，有利于集约化管理，减少运维成本。数据集中之后，为了实现业务持续运行，确保数据安全可靠，需要建设数据同步复制的同城数据中心和异步复制的异地灾备中心。如人民银行规定，资产超过1000亿元的金融企业需要建设异地灾备中心。

数据集中之后，银行采用虚拟化技术提高了计算、存储性能和网络的资源利用率，实现了灵活、高效、动态的IT基础架构。这样便于金融服务的创新，满足了银行快速推出产品和服务的需求。目前国内大中型银行普遍处于这个阶段，这个阶段主要采用VMWare ESX平台实现计算虚拟化、vSAN（virtual Storage Area Network，虚拟存储区域网络）实现存储虚拟化、VLAN+VRRP^[1]实现网络虚拟化。

国内部分技术领先的银行已经完成了云数据中心的部署，将生产业务部署在其金融私有云上，云计算+SDN（Software Defined Network，软件定义网络）是主流的部署模式。国内大部分中小型银行，包括城商农信、股份制银行，以及证券、保险业和绝大部分海外银行目前仍处于部署虚拟化数据中心的阶段，部分正在试点部署云数据中心。

Bank 4.0时代的特点是利用信息技术实现“无处不在的银行”，即建设以最新的信息技术为底座的银行。因此，对于银行而言，必须引进并应用最新的信息技术才能实现其竞争优势。例如，新信息技术可以提高资源效率，提升用户体验，降低运营成本。这些信息技术的价值以及其对网络的要求如表1-1所示。

表1-1 信息技术的价值及其对网络的要求

信息技术对网络提出了新的需求，在CT（Communications Technology，通信技术）领域就有对应的新的通信技术来满足这些需求，通信技术的价值及其对信息技术的匹配如表1-2所示。

表1-2 通信技术的价值及其对信息技术的匹配

续表

注：LAN即Local Area Network，局域网；WAN即Wide Area Network，广域网。

1.1.2 银行网络架构的演进趋势

银行的网络架构经过了几个发展阶段，从信息烟囱，到全网互联，再到数据大集中、将分行数据上传至总行数据中心。

到2010年前后，国内主要大中型银行基本完成了两地三中心和以数据中心为核心节点的骨干网建设，广域网采用了EBGP+EIGRP，专线采用了ATM+SDH^[2]。目前大部分银行完成了由广域网向EBGP+OSPF、专线向MSTP+SDH的改造^[3]，这也是银行当前的主流网络建设模式。

部分领先的银行自2016年起逐步建成了采用 MPLS VPN+SD-WAN^[4]承载多业务的核心骨干网，并进行广域链路调优，同时建设了以SDN+VXLAN对接OpenStack云平台为基础的数据中心，采用了多地多中心的网络架构，每个云数据中心有各自的功能定位。

1.1.3 金融数据中心网络的现状与存在的问题

本节对主流的金融网络的网络总体架构、数据中心网络架构、数据中心分区网络架构、同城数据中心网络互联架构逐一展开介绍，最后分析当前金融数据中心网络存在的问题。

1.网络总体架构

金融网络总体架构分为服务域、通道域和用户域，如图1-3所示，图中双向箭头表示依赖关系，单向箭头表示组成关系。

图1-3 金融网络总体架构

用户域

用户域包括行内用户和行外用户，其中行内用户包括分支机构用户、数据中心用户和总行用户，行外用户包括互联网用户和外联第三方用户。不同类型的用户接入不同的网络，详情如下。

• 分支机构用户：通过通道域中的内网接入数据中心网络。

• 数据中心用户：数据中心网络分区中本地用户接入区。

• 总行用户：先通过城域网接入通道域中的内网，再接入总行数据中心广域区。

• 互联网用户：通过通道域中的内网接入数据中心网络。

• 外联用户：通过通道域中的内网（主要是专线接入）接入数据中心网络。

通道域

通道域中的内网由金融企业的核心骨干网、一级骨干网、二级骨干网、网点广域网组成。银行网点接入网点广域网，网点广域网接入二级骨干网，二级骨干网还可能挂接在二级分行广域区，二级骨干网接入一级骨干网，一级骨干网挂接在一级分行广域区，一级骨干网接入核心骨干网，总行数据中心挂接在核心骨干网。目前银行正在进行扁平化改造，后续会逐步减少二级骨干网的建设。

服务域

服务域提供了各种金融业务服务，涵盖了金融企业总行和一级分行的数据中心网络中的全部主机区（IBM大型机）和服务器区（x86服务器），提供的服务包括核心业务（如会计核算、客户信息处理、后台业务、资金业务、结算业务等）、中间业务（如银行卡业务、国际业务、代理业务、外联业务、信贷业务等）、渠道服务系统（网上银行、电话银行、手机银行、自助银行、综合柜员等）、管理支撑系统（如经营管理、风险管理、管理平台、办公系统等）等。

2.数据中心网络架构

金融网络的数据中心普遍采用两地三中心的网络架构，部分银行正在向多地多中心的网络架构演进。一般来说，主中心、同城灾备中心、异地灾备中心通过广域网互联，支持应用系统跨园区部署。同时，主中心、异地灾备中心也需要部署生产互联网的出口。大型银行的互联网出口总带宽通常为10～20 Gbit/s，服务器总数超过10 000台。

数据中心内部统一采用交换核心来汇聚各物理分区。物理分区规模通常不大，目前规模最大的物理分区可承载约1000台物理服务器。新引入的服务器网卡通常为10GE（Gigabit Ethernet，千兆以太网）网卡，GE网卡主要用于服务器的带外管理。

各物理分区边界都需要部署防火墙，防火墙策略一般多于50 000条，变更防火墙策略的工作量巨大，可达到10 000次/年，防火墙策略变更数量占网络变更总量的60%以上。各物理分区都部署了负载均衡设备，服务多个应用系统。园区部署分布式DNS（Domain Name Service，域名服务）系统。分行客户端访问数据中心的应用、5级灾备应用访问DB（Database，数据库）已实现通过域名方式访问。

说明：金融业务系统按照重要性划分为5个灾备级别。5级灾备应用要求具备数据实时同步备份的能力，该应用在同城数据中心双活部署。

常见的一种数据中心网络架构示例如图1-4所示。

注：ECC即Enterprise Command Center，企业控制中心。

图1-4 数据中心网络架构示例1

上述分区中，一般情况下业务1区为柜面业务区，业务3区为网银业务区，业务5区为办公、邮件和Notes业务区，其余业务区根据实际部署情况可能有不同的功能。

如图1-5所示，根据应用特点、重要性、安全隔离、运维管理等因素，也可以将数据中心网络划分为核心业务区、外联隔离区、互联网区、语音视频区、办公管理区、管理外网区。

注：POD即Point of Delivery，分发点。

图1-5 数据中心网络架构示例2

图1-6展示了另一种常见的数据中心网络分区方式。基于业务系统的开发平台划分为主机区（IBM大型机）和开放平台区（x86服务器）。数据中心采用传统分区设计，二层网络采用STP（Spanning Tree Protocol，生成树协议）组网技术，三层网络采用OSPF的路由设计。在网络安全方面，使用防火墙将生产网和办公网进行隔离，在互联网区（网银区）部署异构防火墙、AntiDDos等设备，大部分用户域业务区未部署防火墙。网络运维的主要痛点在于日常需要大量变更安全策略，数据中心的安全运维是按边界最小授权原则处理，每周处理几百条ACL（Access Control List，访问控制列表）。最小授权原则指默认拒绝访问，按需开放最小的访问权限（网段+端口）。

图1-6 金融数据中心网络架构示例3

3.数据中心分区网络架构

上述几个示例适用于具有不同的业务规模和需求的金融企业，都采用了水平分区、垂直分层的设计思路。每个分区内部的网络通常采用汇聚交换机+汇接交换机+接入交换机的架构，汇聚层部署网关，数据中心主流的服务器分区网络架构如图1-7所示。

在主流的服务器分区网络架构中，需要独立部署数据中心核心交换机。网络主要采用汇聚交换机+汇接交换机+接入交换机的架构，每一层采用vPC（virtual Port Channel，虚拟端口通道）堆叠或M-LAG技术实现破环和链路复用。

汇聚设备包含路由核心和交换核心，采用高端框式交换机。将2台框式交换机采用VS（Virtual System，虚拟系统）技术虚拟化成4台设备，2台编号为VS0、2台编号为VS1,VS1为路由核心、VS0为三层交换核心。防火墙串联在交换核心和路由核心之间，防火墙与交换核心、路由核心之间运行静态路由，在交换核心部署服务器网关。采用TOR（Top of Rack，机架交换机）方式部署接入交换机，采用EOR（End of Rack，行末交换机）方式部署汇接交换机。

图1-7 主流服务器分区网络架构

在负载均衡设备上没有部署SNAT（Source Network Address Translation，源地址转换）功能的情况下，将服务器的网关部署在负载均衡设备上。已经部署了SNAT功能的系统，则将服务器的网关部署在核心交换机上。

除互联网区、外联区外，其他功能分区的Web、App、DB组件需要部署在同一个区域，这样组件间的互访可以不经过防火墙。服务器通过网线连接到TOR上，在一个机架上部署8台或12台服务器。

TOR通过跳线连接到分区汇接交换机，网络设备的带外管理接入交换机部署在网络柜。服务器分区网络普遍存在以下痛点：服务器部署位置固定，不同业务分区的服务器只能接入固定的网络分区对应的接入交换机，灵活性不佳，长此以往形成了资源总体紧张、局部富裕的不均衡现象；网络配置采用手工或脚本方式配置，效率低且极易出错；防火墙策略维护工作量大，且不易判断防火墙策略是否可以删除、是否冗余；手工分配IP地址，工作周期长、效率低，且部分地址采用公网地址，可能会造成地址重复；部分应用基于IP访问、不能支持SNAT，导致二层网络范围大，网关部署在负载均衡设备上，性能低、故障域大。

4.同城数据中心网络互联架构

同城数据中心之间存在引发二层网络广播风暴的风险，为了降低这种风险，大型银行普遍采用三层互联。部分中小规模银行可以使用二层互联建设网络，大型银行仅在业务临时搬迁时才使用这种方式。

二层互联普遍采用区域交换核心（网关交换机）直连DWDM（Dense Wavelength Division Multiplexing，密集波分复用）设备的方式，Eth-Trunk需要允许对应的VLAN 通过，实现二层延伸，如图1-8所示。

图1-8 同城数据中心网络互联架构

三层互联有以下两种方式：采用核心交换机直连DWDM设备；采用核心交换机连接到CPE/MCE^[5]，然后通过CPE/MCE连接到DWDM设备，如图1-9所示。

图1-9 同城数据中心网络三层互联架构

1.1.4 金融业务的发展需求

金融业务发展有三大趋势：数字化（digitization），通过数据分析帮助银行更好地进行风险管理，更加以客户为中心；移动互联网化（mobilization），移动互联网科技随时随地满足客户需求；普惠金融化（democratization），越来越多的人能享受到金融和银行的服务。

数字化趋势要求采用大数据、AI作为技术支撑，实现精准营销和风险管理。

移动互联网化趋势要求银行保障海量用户的服务体验，包括以下几点。

• 提供随时随地的服务，满足规模化的用户接入需求。能够应对几十亿用户和每人数十次的访问频率，网络能够支撑快速增长的业务和海量用户数据。

• 一致的用户体验，要求网络具备弹性性能，面对数十倍浪涌式流量能提供一致的体验。

• 提供个性化服务，快速创新金融业务，快速响应客户需求，产品快速更新（上市时间从以月为单位提升为以天为单位）。

• 渠道创新，4K人脸、指纹识别等要求网络具备大规模计算能力。

• 业务需要7×24 h在线。由于用户数量大，且高并发访问的概率更高，网络故障的影响更大，因此对网络可靠性的要求更高。

普惠金融化趋势要求银行IT系统能够有针对性地快速提供各类差异化服务。此外，面对支付宝、芝麻信用、蚂蚁聚宝等互联网金融企业的竞争，银行急需加速业务创新、提升竞争力：提升获客能力，准确分析客户行为，提供有竞争力的产品和服务；提升客户体验，实时处理，做到真正的事中风险控制；提升服务水平，支持PB（1 PB=2²⁰ GB）级历史数据查询，以及实时查询、长时间查询等；收集客户全方位数据，特别是非结构化数据，并据此分析和挖掘客户习惯，预测客户行为，有效进行客户细分，提高业务营销和风险控制的有效性和针对性。

金融企业普遍有自己的业务发展战略，比较共性的趋势包括：集团化，网络统一接入各个子公司，分行业务上收，提供分行云、分行托管业务；行业化，为集团外的客户提供金融IaaS（Infrastructure as a Service，基础设施即服务）、SaaS（Software as a Service，软件即服务）以及PaaS（Platform as a Service，平台即服务），建设行业云；移动化（移动互联网）；数据化（大数据分析）；智能化。

银行业面对上述挑战，要求IT系统支撑关键业务云化，以应对互联网流量的浪涌式访问，加快金融产品发布，提升用户体验。简化网络运维方式，专注业务创新；采用大数据分析，支撑精准营销、实时风控，通过实时查询历史数据，提高效率，提升竞争力，应对互联网金融挑战；关键业务系统双活部署，保证业务零中断、数据零丢失，满足不断加强的监管要求；金融业务的发展要求网络资源池化、灵活弹性、自动化与服务化。此外，FinTech（金融科技）技术广泛应用在传统金融企业和互联网金融企业，其技术发展对网络也提出了一系列要求。

为了达到上述要求，也需要对网络进行相应的升级，具体表现为：面对互联网创新应用的快速发布，要求网络提供灵活的资源调配和敏捷的应用部署功能；面对用户增长的不确定性和爆发性，要求网络容量具备足够的抗冲击能力和应对高并发访问的能力，同时具备灵活的按需扩展能力；面对以大数据、云计算为代表的新技术与金融业务深度融合，要求运营商提供高带宽、低时延的高性能网络，同时要求网络架构可伸缩，具备开放性与兼容性；面对形势严峻的风险防控以及网络安全威胁，需要全面提升网络安全保障能力，要求具备完整的安全防护体系，网络架构高可用，以确保业务永续，要求应用可视化、管理自动化，便于快速排障。

作为银行业务的一部分，互联网金融对网络在高可用性、高性能、灵活弹性、敏捷自动化、安全可控等方面也提出了诸多需求，如图1-10所示。

图1-10 互联网金融网络需求

数据中心云化和大数据应用是金融行业未来发展的主要方向。数据中心云化，具有虚拟机数量多、增长快、虚拟机迁移范围大的特点，对网络提出了以下新的要求。

• 东西向流量增大、二层网络的拓扑变大、网络带宽需求增加，从GE接入、10GE上行，演进到10GE接入、40GE上行，进而25GE接入、100GE上行很快得到普及。

• 要求能够在数据中心机房模块内、几个机房模块之间，甚至在同城数据中心之间灵活部署、任意迁移虚拟机，需要部署大二层网络，同时避免广播风暴。

• 需要整体规划数据中心多站点选择，用于应对云环境下的多活系统或主备系统。

• 要求接入交换机支持更大的MAC（Media Access Control，媒体访问控制）表和主机路由表项。

大数据应用具有数据量大、数据类型多、处理速度快等特点，并且流量模型一般为多打一或多打多的场景，对网络也提出了新的需求。

• 需要网络高可用和可扩展，支持ECMP（Equal-Cost Multi-Path，等价多路径）。

• 大数据应用也会产生突发流量，这就要求网络设备具有较强的缓存和队列功能，以缓解突发流量的影响。

• 大数据应用要求网络具有良好的收敛比，一般情况下，服务器和接入层的超载比为3∶1左右，接入层和汇聚层以及汇聚层和核心层之间的超载比为2∶1左右。

• 大数据应用要求网络有足够的接入带宽，要求汇聚层交换机的网络延迟较小。

• AI技术要求网络具备高性能、低时延、零丢包的特点。