面向金融機構的阿里雲SDWAN解決方案解讀

什麼是軟體定義廣域網SDWAN？

伴著雲端計算的興起，軟體定義網路（SDN）技術帶來了新一輪的網路技術變革。SDN技術在資料中心和雲網路中的應用已非常成熟，近幾年業界逐漸把焦點轉向資料中心之外的廣域網，希望用SDN的技術來解決傳統廣域網中的問題遇到的挑戰。

隨著企業新興業務的爆發、迅速增長。傳統以昂貴MPLS專線為主的傳統廣域網互聯難以支撐企業WAN的流量激增，SDWAN逐漸成為企業總部分支互聯在雲時代的首選。

SDWAN（Software-Defined WAN）軟體定義廣域網技術，是以廣域網裝置支援虛擬化功能為基礎，構建多租戶的虛擬化軟體網路，以及軟硬一體化的網路配置、監控、排程、視覺化等功能，實現按需自助、敏捷彈性、低價高效地獲得廣域網服務的目的。

相較於傳統網路裝置廠商提供SDWAN產品硬體的方案不同，阿里雲則依託於其全球高質量傳輸網的優勢，利用網際網路、4G/5G，與本地專線、長途專線組合，解決“最後一公里”就近接入阿里雲全球SDWAN網路，使用者只需透過線上購買阿里雲SDWAN網路服務，就可迅速獲得專有虛擬的全球廣域網路。利用SDWAN的技術優勢，進一步平衡並最佳化企業應用，從而提高企業WAN網路的可靠性、靈活性和運維效率。最終讓客戶逐步淘汰自建的老舊廣域網系統，減少IT在長途專線上昂貴的支出。

本文重點介紹的，就是阿里雲CCN、CEN、SAG等雲產品組成的阿里雲SDWAN解決方案。

1.1 什麼是CEN

雲企業網CEN（Cloud Enterprise Network），是構建在阿里雲全球物理傳輸網路上、OVERLAY層面的多租戶的SDWAN網路，用於建立各個租戶專有的企業虛擬核心傳輸網路（CEN例項）。每個租戶都可以建立一個或多個專有CEN例項，將其國內外各個VPC網路、雲連線網CCN、邊界路由器VBR等，都載入到這個CEN例項後，就能實現本企業雲上VPC、雲下IDC機房、各地分支機構相互之間的互通互聯和防火牆安全控制。簡單地說，客戶只需要建立併購買CEN例項、SAG CCN連線等服務，就立刻擁有了一張企業級、高可用、高效能、大容量、安全隔離、全球連線的虛擬廣域網路，再也不用像以前那般投資建設跨省/跨國的物理骨幹網路。同時，在跨境雲專線部分，阿里雲也是和中國聯通合作，由聯通運營、透過阿里雲銷售渠道向客戶提供專線服務，確保了線路的合規性。

1.2 什麼是CCN

雲連線網CCN（Cloud Connect Network），是在阿里雲全球物理傳輸網路的基礎上，構建的一張OVERLAY的SDWAN網際網路VPN雲接入網路。CCN網路主要是由Region裡的CCN控制器（獨立於CEN控制器），分佈全國和海外主要城市POP點，以及部署在客戶端的SAG組成。主要功能是透過網際網路，就近建立各POP點與使用者各線下分支機構和資料中心的IPSEC VPN連線。再透過阿里雲高速傳輸網路，實現與阿里雲CEN雲企業網的虛擬例項連線。幫助客戶快速搭建一張客戶專有云的虛擬SDWAN網路。

CCN連線的最大價值，一是將客戶原來時延和質量不穩定的端到端網際網路VPN連線，變成一段本省內/城市內的網際網路連線，加一段阿里雲物理傳輸網路的穩定時延和質量連線。二是客戶不需要投資客戶端網路裝置和中心側匯接網路裝置（阿里雲統一提供），就可以建立起一套分佈全國和海外的虛擬廣域網，按需自助敏捷地開通任意接入點之間的網路連線，彈性擴縮任意2點間網路頻寬，靈活敏捷地在各條互備網路連線上排程網路流量。目前CCN的已基本覆蓋全國一線城市及二線發達城市，海外當前主要圍繞阿里雲region城市部署。

1.3 什麼是SAG

SAG（Smart Access Gateway）智慧接入閘道器，有硬體、APP（SDK）、映象等3種部署形態。其中SAG 100wm/1000智慧接入裝置，支援由阿里雲CCN和CEN統一遠端管理、支援零配置自動安裝上線，可以部署在客戶各地分支機構和資料中心側，將客戶各級分支機構接入阿里雲CCN、CEN的主打產品。SAG-APP則可以在手機、電腦等個人移動終端一鍵部署，即可遠端SSL VPN接入使用者在阿里雲上虛擬SDWAN網路，從而遠端訪問企業雲上、雲下IT業務應用系統；SAG 映象，則可在直接部署在客戶IDC虛擬機器，即可就近接入到CCN各地POP點，實現POP點到客戶雲上雲下資料中心之間的阿里雲的高速、優質地網路轉發。

本文我們主要介紹面向金融分支機構客戶SDWAN方案，那麼首先我們來了解一下，當前金融分支機構的廣域網現狀是怎樣的呢？

上圖為典型的全國性中大型分支機構客戶扁平化廣域網網路設計架構，具體架構如下：

1) 資料中心之間透過多家運營商MPLS VPN網路實現高速互聯；

2) 省級機構保持2條MPLS VPN線路，連線各個資料中心和總部機構，地市級機構只保留一條專線，另一條採用網際網路寬頻；

3) 各個營業網點透過 1條 MPLS VPN專線或網際網路線路，連線交易所、總部機構、資料中心；

以上扁平化廣域網設計，可實現各級業務人員透過移動網際網路就能線上辦理客戶業務，各級辦公人員也可以實現透過ssl-vpn遠端安全訪問企業資料中心的各類業務系統。

但同樣，也存在如下的挑戰：

1、建設成本高：

總部機房和資料中心之間互連專線、省級/地市2條上行專線建設成本高，往往網路佔到了IT總支出相對一部分的成本。

2、分支網際網路線路質量無保證：

分支機構跨省、跨運營商的互聯線路存在較大的時延、抖動、丟包等威脅，網路質量可靠性不足。

3、分支網路和裝置運維量大：

三級傳輸網路高SLA運維依賴內部3級機構協同配合，難以統一集中管理。各級分支機構接入網路裝置缺少自動化配置和一體化監管控能力。

4、未統籌考慮混合雲組網要求

同時，隨著保險、證券業務應用逐步上雲，客戶的網路架構也需要解決各級分支機構需要同時高速連線雲下和雲上部署的應用系統，如何低成本、平滑構建混合雲組網是面臨的一大挑戰。

解讀：金融機構廣域網發展趨勢

隨著我國金融機構的數字化轉型不斷深入，金融業務應用更加場景化、生態化、智慧化。這些業務應用的發展趨勢，促使金融機構WAN廣域網向扁平化、線上化、服務化的發展。
而云計算服務，不僅是一種軟體定義IT基礎設施的技術架構，更是一種規模經濟、服務經濟、平臺經濟的商業模式。按需自助服務、敏捷彈性擴充套件、低成本高效、隨時隨地接入等雲端計算的的特性價值將得到最大限度發揮。

隨著監管部門不斷開明開放、鼓勵支援、規範管理公共雲/金融行業雲的背景下，以互金、保險、基金為先鋒的金融機構，將會優先擁抱連線公共雲、行業雲。金融機構建設發展融合專有云、公共雲/金融行業雲的一體化混合雲架構，成為必然趨勢。這將促使金融機構廣域網，與公共雲/行業雲的廣域網，進行廣泛地連線和融合。

為了更好地服務好金融客戶，阿里雲網路面向金融機構廣域網分支互聯場景，推出了阿里云云原生的SDWAN解決方案。

面向金融機構的阿里雲SDWAN解決方案

場景1-分支機構全面線上

目標場景：

• 全國多分支機構的保險、證劵、基金等金融類客戶。客戶原廣域網路每個分支機構有2條專線與總部互聯。

• 全國性保險類分支機構，透過此方案與總部資料中心構造扁平化網路改造。

方案介紹：

• 客戶國內分支機構，透過1條專線+1條網際網路寬頻或者1條網際網路寬頻+1條4G/5G，連線到阿里雲CEN雲企業網。

• 客戶本地資料中心，透過2條專線，就近連線到阿里雲接入點機房。

• 客戶將基於阿里雲CCN、CEN網路，建立自己專有的、覆蓋國內、海外扁平化、虛擬化SDWAN網路，實現客戶雲下各資料中心、各級分支， 以及雲上各VPC網路和網際網路出口等靈活互連的混合雲網路。

場景2-分支機構混合線上

目標場景

• 已經在雲上/雲下分級部署了應用系統的大中型保險類客戶

方案介紹：

• 本地資料中心，透過2條專線，就近連線到阿里雲核心節點中某個城市的2個接入點機房，再接入阿里雲CEN。

• 客戶省分公司，保留1條原運營商專線連線本地資料中心，再透過一條專線就近連線到阿里核心節點中某個城市的接入點機房。雲下雲上WAN裝置、連線，統一納入阿里雲SDWAN控制器集中管理。雲上雲下2條網路連線，根據排程負責不同業務流量的路由，並相互備份。

• 客戶地縣區網點，透過1條專線（運營商MPLS VPN），1條網際網路寬頻或1條網際網路4G/5G，連線到阿里雲CCN雲連線網再到阿里雲CEN雲企業網。

• 客戶在香港或其他的海外資料中心，只需要租使用者1條海外專線連線阿里雲海外機房接入點，再租用一條海外網際網路線路，就可以與國內建立高速網路連線。

• 客戶將基於阿里雲CCN、CEN網路，建立自己專有的、覆蓋國內、海外扁平化、虛擬化SDWAN網路，實現客戶雲下各資料中心、各級分支， 以及雲上各VPC網路和網際網路出口等靈活互連的混合雲網路。

針對以上兩種場景的方案，我們總結了以下幾點阿里雲SDWAN方案價值：

• 成本節約：客戶可節省原大量骨幹網構建的裝置採購，線下分支透過SAG或物理專線即可就近接入阿里雲全球傳輸網路。透過阿里雲SDWAN線路替換其中一條省會、地市2條長途專線，大幅降低網路成本。日常維護運營成本也將大幅下降，無需5年一次WAN全面升級換代，總體成本節約35%-45%。

• 安全可靠：各級分支機構網際網路就近連線阿里雲全國的POP點，POP點透過多條運營商專線連線阿里雲CEN。配合阿里雲內部SDWAN的秒級鏈路質量檢測能力和智慧排程，為使用者提供質量高於傳統網際網路VPN的接入服務。

• 混合組網：客戶可分鐘級線上自助開通任意2機構之間的網路互連線，打造線上/線下一體化混合雲容災架構。也可以與雲上其他企業之間對等自助開通任何兩點間的網路連線，迅速構建對接的網路互聯。

• 敏捷彈性：線上分鐘級頻寬自助擴縮，大量擴充套件分支機構，無需新增本地DC裝置。同時也利用阿里雲全球傳輸網的優勢快速擴充套件出海機構業務，完成全球一張網的互聯。

• 簡單運維：SAG零配置自動上線、鏈路端到端健康檢查快速故障監控和切換、集中自動配置QOS和安全策略。雲上雲下網路裝置、鏈路、流量狀態集中視覺化管理，大幅降低企業IT運維壓力。

透過對阿里雲面向金融分支機構的SDWAN兩個場景化的解決方案介紹，我相信大家對阿里雲SDWAN的能力及價值有了初步的瞭解。下面我們也來分享一個阿里雲在某金融機構的最佳實踐。

某金融客戶WAN網路現狀：

• 雲下兩地災備IDC，雲上兩地2個容災中心架構。雲下2個資料中心之間租用2條MSTP物理線路。同時，兩地資料中心各租用2條MSTP線路連線本地阿里雲。

• 全國30+家省級分支機構各租用2條MPLS VPN線路，接入北京、上海2個雲下資料中心。

• 全國300+個地市級分支機構各租用1條MPLS VPN線路、1條網際網路VPN線路，分別接入北京、上海 2個雲下資料中心。

結合當前客戶的廣域網現狀，我們提出了以下的最佳化改造方案：

• 雲下2地資料中心，各透過2條1G MSTP線路連線本地阿里雲

• 省級分支機構原有2條MV專線，利用SDWAN線路替換1條MV線路。

• 地市分支機構原有1條MV專線、1條網際網路寬頻專線，改為1條阿里雲寬頻網際網路CCN連線、1條阿里雲4G網際網路CCN連線。

改造成本對比：

除了在建設成本的最佳化，利用阿里雲SDWAN的敏捷彈性，客戶可以根據業務的需求靈活的調配SDWAN頻寬，做到針對的網路為業務服務，進一步地提升了運營效能。利用阿里雲SDWAN的簡單運維的特點，客戶可以實現雲上雲下統一的視覺化監控管理，讓網路做到真正的可管可用。同時，基於阿里雲SDWAN全球一張傳輸網路的優勢，地級分支機構只需就近加密加入阿里雲pop即可完成分支總部的核心網互聯，避免了原有跨省、跨運營商的公網時延、抖動、丟包對業務帶來的可靠性影響，進一步地提升了總部分支機構廣域網的網路質量，確保業務的穩定性。

寫在最後

與其他廠商的SDWAN方案相比，阿里雲提供的是一站式雲網端“雲原生”的SDWAN解決方案。從18年推出智慧接入閘道器作為阿里雲SDWAN的CPE角色，也是阿里云云網一體化的一次新嘗試及突破。
經過兩年多市場的歷練和考驗，阿里雲SDWAN已經在金融、傳統政企、跨國集團、零售門店等多個領域落地了最佳實踐。我們希望透過阿里雲端計算網路的技術和產品，能夠服務更多的客戶，在為使用者提供更加方便快捷的上雲服務同時進一步放大雲端計算的優勢和效能，為企業客戶提供一張自服務、便捷、高質量的廣域網服務。