兴业银行股份有限公司成都分行国产化安全SD-WAN建设项目

摘要：近年来，党中央、国务院多次强调“提高金融体系服务实体经济能力”。金融是实体经济的血脉，科技是金融发展的新引擎，而网络是科技金融创新的基石。在习近平总书记关于“网络强国”的重要思想指引下，在以习近平同志为核心的党中央引领下，科技创新为金融业转型升级与高质量发展擘画了蓝图愿景。高新科技的迅猛发展促使传统金融业务与互联网技术融合，产生出新的金融生态、金融服务模式与金融产品。依托国产化安全SD-WAN建设，能够在基本不进行架构改动的同时实现SD-WAN全功能叠加，同时，融入国家商用密码算法所构建的端到端安全传输隧道，使SD-WAN技术应用落地时整体的安全性得到了充分的保障。在兴业银行股份有限公司成都分行SD-WAN改造完成后，实现了网络资源虚拟化、网络调度智能化、网络管控可视化，将数据及信息进行系统性整合，解决目前组网模式的局限性，进一步提升网络能效，以国产化的安全虚拟网络技术，切实提升银行的数字化转型进程，加速技术成果向业务价值转化，支撑业务的高速发展、提升服务能效，对银行持续推进数字化、云上业务提供了网络改造的新思路。

关键词：银行，国产化，SD-WAN，网络安全，全场景互联，数字化业务体系

一、 引言

2021年，十三届全国人大四次会议表决通过了关于《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》的决议，在打造数字经济新优势、加快数字社会建设步伐、提高数字政府建设水平、营造良好数字生态等方面作出战略部署。同年底，中央网络安全和信息化委员会印发《“十四五”国家信息化规划》，明确了未来的发展目标，需要进一步提升信息化发展水平，全面夯实数字基础设施，充分发挥数据要素价值。党的十八大以来，习近平总书记多次就数字中国建设作出重要论述、提出明确要求；在党的二十大报告中，习近平总书记对数字中国建设又作出新部署、提出新要求。这是以习近平同志为核心的党中央把握信息革命发展大势、立足全面建设社会主义现代化国家新征程、统筹国内国际两个大局作出的重大决策部署。构筑自立、自强的数字技术创新体系，强化数字技术安全防控能力，筑牢可信可控的数字安全屏障，是构建开放、合作的信息共享平台，培育经济发展的关键要素之一。

“从严治行、专家办行、科技兴行，服务立行”是兴业银行成都分行的坚持，以数字化能力促动服务质量持续提升，通过优良的客户营销和服务体系，借助先进技术手段，致力于向企业、同业及个人客户不断推出丰富的金融产品并提供优质、快捷、安全的金融服务，是兴业银行成都分行的目标，20年来，始终按照兴业银行“建设一流现代化商业银行，实施从严治行、专家办行、科技兴行，着力推进网络扩张与服务延伸、产品创新和体制改革的有机融合”的战略思想，遵循依法经营、稳健经营、文明经营的传统，以成都平原为依托，面向四川全省，通过优良的客户营销和服务体系，借助便捷、实用的网上银行“在线兴业”、电话银行、自助银行等先进技术手段，向企业、同业及个人客户推出丰富的金融品种，以真诚的服务，为四川的经济发展和西部大开发作出应有的贡献。

二、 项目概况

当前，伴随金融行业IT信息化建设的高速发展，科技已经成为金融企业经营管理的重要保障，网络信息技术逐渐成为重塑行业竞争格局的重要力量，在打造数字经济新优势、加快数字社会建设步伐方面持续输送价值，促使传统金融业务与互联网技术融合，通过优化资源配置与技术创新，产生出新的金融生态、金融服务模式与金融产品，银行分支机构网点各类业务也随之激增。

新业务的挑战、技术的革新迫使网络平台开始向数据化、扁平化、可视化、简洁化方向发展，以满足与日递增的信息传输需要。兴业银行成都分行在持续推进信息化建设优化的过程中，通过定期开展网点线路流量分析和升速，观察到网点线路虽经过设备配置按照生产和办公的不同性质进行了分流，但仍普遍存在主备线路流量分布不均的情况。

为更好地满足兴业银行成都分行分支网点上行链路稳定性要求和带宽资源需求，支撑业务的高速发展，提升服务能效，同时进一步优化网络运营成本，我们认为：通过引入SD-WAN技术，能够将数据及信息进行系统性整合，解决目前组网模式的局限性，进一步提升网络能效，以国产化的安全虚拟网络技术，切实提升银行的数字化转型进程，加速技术成果向业务价值转化。

整体来看，传统网络架构中面临的主要挑战有以下几点：

1） 网络线路可视化程度待提升；

2） 网络排障复杂、定位困难、耗时长；

3） 网络线路资源难以根据具体的业务种类进行调度；

4） 难以有效应对流量突发情况；

5） 伴随互联网业务蓬勃发展，整网安全性有待进一步增强。

因此，兴业银行成都分行通过多方调研，积极寻求先进的网络技术，以提升整网的性能与灵活程度。最终，兴业银行成都分行决定利用国产化安全SD-WAN技术，摒弃传统网络的紧耦合状态，将网络改造为物理网络（Underlay）和逻辑网络（Overlay）两层，从而使底层网络对上层调度的支撑更加迅速、敏捷；同时，融入国家商用密码算法所构建的端到端安全传输隧道，使SD-WAN技术应用落地时整体的安全性得到了充分的保障。

三、 项目创新点

（一） 数据传输隧道整体优化，稳定性与效率成倍提升

信息的传输离不开基础的传输隧道，传输隧道的性能极大影响着数据传输的稳定性与安全性。为了提升数据传输稳定性以确保业务运行的稳定性与效率，通过隧道优化技术，使得即使在线路丢包高达60%的情况下，仍然能够保障SD-WAN组网中各链路流量的稳定，确保银行的业务运行不受基础线路质量波动影响。

（二） 多线路质量智能实时监控检测，平滑调度保障关键业务持续运行

通过运用国产化安全SD-WAN解决方案，对多重网络线路如何进行线路状况的实时识别及智能综合调度提出新的思路。SD-WAN所具备的智能切换检测技术能够在网络线路质量出现剧烈波动（包括延时、丢包、抖动或带宽用量）时，将业务流量进行平滑调度，牵引至质量更佳的线路或者备用线路中，保证关键业务的平稳运行，将业务与应用视为中心，以网络切实支撑业务，而非成为业务蓬勃发展的桎梏。

（三） 零改动部署模式简捷迅速，提升网络改造效率并压缩运维成本

SD-WAN“零改动”的部署模式，帮助数量庞大的分支机构实现基本“无感知”的上线，迅速完成改造过渡，也能够在确保最小改动的前提下完成优化提升，对现网的影响可控，帮助减轻运维工作负担，进一步压缩运维的投入。

（四） 管理大屏统一管控全网设备，实时业务分析功能为管理提供更丰富视角

传统的网络是不可视或基本不可视的，网络的整体架构、各节点的通断情况、不同网络线路中运行的应用情况，并不具备一个统一的管理平台进行实时的查看与管控，往往耗费大量的时间成本及沟通成本进行网络流量与设备情况的分析与管控。国产化安全SD-WAN则通过统一的网络管理大屏，完整呈现网络的整体架构，对各个节点实现全面的管控，实时监测网络状况，远程即可操作实现不同线路中的流量调度，节省大量运维成本，并帮助IT运维人员、技术人员、业务人员甚至管理层直观地看到整网中的任何异常，实现异常问题的精准定位，并对业务流量进行精细化的分析，为业务管理提供更丰富的视角。

四、 项目建设的总体原则

SD-WAN作为一种新兴的广域网技术，自2014年被正式提出后便迅速窜红，经过近几年来如火如荼的发展，目前，SD-WAN已广泛地被运营商与主流网络设备厂商所认可，并成为企业组网中最看重的选项之一。根据国际知名IT咨询公司IDC咨询近期对最终用户的调研结果可以看出，SD-WAN更灵活开放的WAN技术、对运维管理的进一步简化、对内部核心应用的切实保障、对组网费用的持续压缩成为吸引用户的四项关键价值要素，SD-WAN组网方案正成为企业构建网络和优化建设时的优先选择，以保障技术与业务具备充分的前瞻性。

本项目重点关注现有网络中存在的待解决与改良的问题，通过基于SD-WAN的云网络优化升级建设，实现SD-WAN能力叠加，提升网络的灵活性与冗余性，保障网络的可用性和健壮性，优化网络管理方式，提高运维效率，逐步实现改造目标，最终，满足业务单位和数据中心间的链路稳定性和带宽资源需要，更好地支持业务网点开展业务所需的网络连通需求，打造以业务发展为核心的国产化安全网络传输平台。

1） 经济合理原则

本项目建设拟在现有网络资源的基础上，在不改动现有网络平台的前提下叠加国产化SD-WAN系统。在满足功能及性能要求的前提下，尽量降低系统的建设成本。

2） 先进性原则

通过引入业内先进成熟的云网络建设理念与实操方法，从实际业务需求出发，构建对业务流量进行智能识别及灵活调度的能力，简化业务网络复杂性，明确业务路径和网络线路资源的实时情况，充分发挥当前强有力的基础网络平台优势，让业务流通更加规范、灵活、清晰。通过将WAN线路组网进行统一整合管理，显著提升整体网络架构的灵活性和维护的便捷性。

3） 运维简捷原则

通过统一的网管运维平台，实现广域网线路流量的透明化、精细化、可视化，便于对全网SD-WAN设备及网络进行精细化的统一、实时管控，且包含监控、配置、告警等功能，简化运维学习成本，提升运维管控效率。网管运维平台为一线及二线运维人员快速定位及排查业务问题提供帮助，展现界面一目了然，具有高效、简捷、易用等特性。

4） 安全健壮原则

SD-WAN建设方案都严格遵循国家监管要求，确保在网络中传输的数据均为端到端加密，避免泄露或篡改。同时，通过SD-WAN进行网络升级，可以使整网中不再出现单点故障点，并且确保在任意节点发生线路故障或设备故障时都不会影响现网业务进行，保证现网的健壮性。

5） 易扩展原则

在设计项目方案时，以适应当前兴业银行成都分行网络体系为抓手，综合考虑后续分支增加的计划和业务需求扩展的需要，确保SD-WAN建设完成后能够充分满足兴业银行成都分行的发展规划。方案中所包含的网关也支持版本兼容升级，满足后续持续扩张的要求。

图1 SD-WAN改造前系统架构示意图

改造前，兴业银行成都分行各下辖支行和分行之间均通过两根MSTP专线互联，两条专线分别用于承载生产业务和办公业务，且互为主备。支行单专线故障时，可通过另一条专线线路保障支行的生产和办公业务正常运行。

改造前网络架构基本保证了网络的稳定性，但仍存在着部分局限因素：

1） 网络线路资源难以根据具体的业务种类进行调度，备线切换速度较慢；

2） 难以有效应对流量突发情况，流量突发时可能导致关键业务访问缓慢或无法访问；

3） 网络线路可视化程度待提升，排障复杂的问题待解决。

图2 SD-WAN改造后系统架构示意图

在成都分行的分支行路由器采用旁挂模式部署SD-WAN设备，下辖支行采用透明串接模式部署SD-WAN设备； 支行SD-WAN设备基于两条专线与分行SD-WAN设备建立两条Overlay隧道实现针对业务的流量调度、应用的优化与带宽保障。并定义选路策略如下：

l 源地址为生产网段的生产业务主机，主要通过生产专线的Overlay访问生产业务，当生产专线故障时，可通过办公专线访问生产业务；

l 源地址为办公网段的办公业务主机，主要通过办公专线的Overlay访问办公业务，当办公专线故障时，可通过生产专线访问办公业务；

l 将源地址为生产主机访问办公业务的流量，主要通过办公专线的Overlay访问办公业务，当办公专线故障时，可通过生产专线访问办公业务。

为保证支行网络稳定，设备故障时，可以使SD-WAN设备自动开启完全硬件Bypass功能。当开启完全硬件Bypass功能后，设备即相当于普通的传输网线，流量自动切换至原本的Underlay线路，不对业务造成任何影响。同时，SD-WAN设备具备应用识别和流量分析能力，也可通过本地SD-WAN设备查看分支机构的实时流量，甚至是单台台主机的通讯流量。

SD-WAN具备统一的网管平台和丰富的诊断工具，可以在一台SD-WAN设备中实现对整个内网的业务诊断，便于技术部门对各下辖支行整体网络的运维。

五、 网络实际应用场景

（一）SD-WAN透明串接上线，不开启策略，业务和流量走向

图3 SD-WAN不开启策略时流量示意图

将SD-WAN设备透明串接到支行专线中，业务不受影响正常情况下，生产流量承载于专线资源1、办公流量承载于专线资源2、流量走向示意图如图3所示。

（二）SD-WAN建立隧道、开启策略，业务和流量走向

图4 SD-WAN开启策略后流量示意图

将SD-WAN设备透明串接到支行专线中，业务不受影响正常情况下，生产流量承载于专线资源1、办公流量承载于专线资源2、流量走向示意图如图4所示。

（三）地市支行专线故障，业务和流量走向

图5 SD-WAN开启后，专线故障时流量示意图

SD-WAN透明串接到支行专线中，业务不受影响正常情况下，生产流量承载于专线资源1、办公流量承载于专线资源2、流量走向示意图如图5所示。

当单专线1故障时，运行在该专线的流量将切换至专线2中，并保持生产业务依然指给生产路由器，保障来回路径一致。

六、 案例总结

在进行国产化安全SD-WAN建设后，兴业银行成都分行的业务运行效率得到了显著的提升，用户对业务响应度更加满意，员工在业务处理和日常办公的过程中也能明显感受到网络速度的提升，集中平台清晰展示各分支行网点实时流量和历史流量情况，实现广域网线路流量透明化、精细化、可视化，赋能网络运维管理。

通过应用SD-WAN实现的基于业务需求、从业务应用视角出发构建的流量精细化调度与保障的能力，不仅使业务网络得到了进一步的简化，也明确了业务路径和所有网络线路资源，充分发挥当前强有力的基础网络平台优势，让业务流通更加规范、灵活、清晰，整体网络架构的灵活性和维护的便捷性显著提升，对大多数网络架构相似的银行、金融企业等具有一定的参考价值。

在项目案例中，SD-WAN最小改动、平滑切换的特点，以及可迅速叠加扩展、统一下发策略的特点，使兴业银行成都分行有足够的信心进行进一步的架构完善，并在未来持续扩展、构建更加丰富的数字化业务体系。

通过国产化安全SD-WAN建设，兴业银行成都分行分支机构、网点的网络平台向数据化、扁平化、可视化、简洁化方向发展，满足与日递增的信息传输需要，解决此前组网模式存在的局限性，将网络线路由基本不可视变为可视、可控，将网络资源由难以根据业务种类调度变为以业务为核心进行智能调度，将网络能力由难以承载流量突发情况变为灵活适应各类极端情况。兴业银行成都分行的各类金融业务正依托新一代的虚拟化网络传输技术平稳发展，业务更新与调整也不再对网络运维造成过高的压力。

数字化的能力驱动兴业银行成都分行持续向精细化经营进行转变，精细化经营使兴业银行成都分行充分开拓支付、融资等金融需求场景，大力拓展结算类、票证类等业务，加强金融产品的融合运用，提升客户服务响应效率，切实优化客户体验，布局重点行业客户，积极推进经济的高质量发展。