年中央网信办、国家发展改革委、工业和信息化部联合印发《加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》,要求探索“IPv6+”在金融领域的应用,进一步推动金融行业IPv6演进升级,深入推进金融机构广域网、分支机构网络、数据中心的IPv6改造。对于银行等金融机构而言,IPv6+规模部署既是建设网络强国的重要国家战略,又是业务云化数字化转型的必经之路,充满机遇和挑战。为此中国农业银行(以下简称“农行”)在“ABCONE+”网络新三年规划的指导下,制定了以IPv6+为内核的新一代网络架构演进路线,致力于构建一张业界领先的,全方位支撑农行数字化业务发展的统一融合、智能稳固、聚焦体验的新时代网络。
中国农业银行数据中心专家许青邦
行稳致远,走出有节奏的创新之路
历史经验证明,创新技术从研究孵化、标准完善到实践落地,需要大刀阔斧的魄力,更需要严谨而踏实的科学精神。为落实国家及监管机构对金融行业IPv6部署工作的要求,同时提升网络品质和服务水平,农行结合自身的需求审时度势,制定了网络架构演进的三个阶段。
图1农行IPv6基础架构领域演进阶段
阶段一:网络简化
部署基于SRv6Policy的智能调度骨干网。年,农行成功在骨干网核心节点和一级节点全面部署SRv6Policy,开创了金融行业SRv6实践的先河。自此,总行间、总行分行间可实现多维度智能流量调度,骨干网从此有了“智能选路、一跳入云”的能力,全面完成了农行数字化转型智能“高速公路”建设。阶段二:体验保障
实现端到端可视、云管端联动的IPv6网络管道。在已有SRv6成果的基础上,农行积极开展更多IPv6+前瞻性课题的研究和技术成果落地。年1月,《中国农业银行端到端可视化SRv6网络建设》课题入选中央网信办牵头的IPv6技术创新和融合应用综合试点项目名单,课题包括iFIT随流检测、云网融合、接入网SRv6和iFIT试点、内网应用IPv6部署等几个研究方向。阶段三:应用感知
部署APN6应用感知技术,实现应用驱动型的智能网络平台。报文可以直接携带应用侧的各类信息,网络侧通过识别APN标识,就可以完成应用识别入隧道、随流检测、路径可视等功能,不再需要维护五元组、ACL、DSCP等各种与应用间接关联的关系。这也是整个IPv6+体系带来的架构价值提升。夯实“稳”的基础,争取“新”的突破。在行稳致远的指导思想下,《中国农业银行端到端可视化SRv6网络建设》课题正在稳步进行,并已成功在总行数据中心、一级分行节点完成骨干网iFIT和VxLANSRv6云网融合的试点部署,标志着农行新一代网络架构建设已经正式迈入以体验保障为核心的第二阶段,农行率先完成业界基于体验的“IPv6+”2.0网络升级。
SRv6+iFIT应用,“精准”质量感知
IPv6+是基于IPv6下一代互联网的全面升级,其中最耀眼最活跃的两大创新点,即SRv6和iFIT。SRv6可以简化传统的复杂网络协议,同时基于智能流量调度能力提升整体带宽利用率,但是仅仅只有转发层面的升级是远远不够的。随着数字化转型深化,农行对网络业务保障诉求提升到了新的高度。
为了实现业务SLA的主动测量和实时感知,农行在SRv6基础上应用了华为iFIT随流检测方案,这也是业界率先商用部署的完整体系随流检测方案。如图2所示,在头节点DCPE和BRPE根据监控策略将VPN或五元组报文送入SRv6Policy的同时,在SRH扩展头中添加iFit数据,包含流ID、LD标志位(丢包时延)、时间戳等参数,出口PE路由器会统计每个周期内L比特连续0或1的数量并上报控制器。iMasterNCE-IP控制器主动发现骨干网低概率丢包、ms级时延突变等服务质量问题,并给出具体的丢包位置,快速隔离和定位故障根因,实现骨干网服务质量可视化。iFIT检测模式分为端到端模式(E2EiFIT)和逐流模式(traceiFIT)两种,基于农行骨干网的实际需求,检测模式设计如下。■日常检测:基于队列(DSCP)端到端检测,例如语音、生产等敏感业务不能丢包,需要持续监控。一旦出现丢包超阈值的情况,将自动切换到逐跳检测模式,快速定位丢包位置和原因。
■应急检测:基于五元组逐跳检测,可以真实还原业务流转发路径,对故障点进行快速定界和定位。图2SRv6+iFIT应用农行之所以选择了iFIT随流检测方案,正是希望可以将统一IPv6技术栈带来的好处发挥到极致。实际部署证明,iFIT的时延检测精度可达us级,丢包检测精度可达10-6量级,这种高精度的质量检测可满足农行核心交易系统和核心数据“零丢包”的要求,实现租户级业务质量的可感可知可控,显著提升网络运维及性能监控的及时性和有效性。首创VxLAN与SRv6无缝衔接,“深度”云网融合
骨干网作为连接不同资源域的通道,除了自身可靠性和SLA保障能力之外,还应增强边界衔接能力,助力资源域的便捷快速互通。当前主流的跨数据中心互访通常采用DCN和WAN背靠背对接的模式,即流量在各自数据中心资源域边界节点进行封装或解封装。这种方式要求骨干网感知各种跨中心互访的业务流量,并通过不同VPN来承载,存在扩展性问题,同时在数据中心边缘存在配置和维护断点的问题,无法实现端到端OAM能力。
为了实现总行间、总行/分行间资源的快速拉通和统一运维,农行创新性地打破了骨干网SRv6和数据中心VxLAN的边界,实现了真正无缝衔接、云网融合。主要包括如下两个场景。■场景1:分行访问总行数据中心,SRv6和VxLAN协议自动转换,实现骨干网SRv6和数据中心VxLAN网络互通。骨干网升级为SRv6后,分行BRPE到DCPE之间为SRv6Policy承载,但是数据中心内VxLAN的端点是在DCGW上,即VxLAN交换机上,DC-PE和DC-GW之间需要通过OptionA背靠背传递路由,报文转发时会经历SRv6到NativeIP再到VxLAN的两次封装转换。农行创新性地将DCGW和DCPE合一,直接在DCPE上实现VxLAN终结,使用VxLAN/SRv6的路由重生成功打通两个网络域,这样就实现了云网间的无缝粘合。
图3场景1:分行访问总行数据中心■场景2:总行数据中心互访,端到端VxLANoverSRv6实现多中心灵活部署。传统方式跨数据中心流量在BorderLeaf终结VxLAN封装,然后直接通过NativeIP,走underlay的方式进入到骨干网对应的VPN。农行采用三段式VxLAN,跨中心的VxLAN隧道在经过骨干网DCPE节点时,不需要解封装,直接叠加SRv6,实现跨数据中心资源互访。骨干网为此需要实现一系列的功能,包括在DC之间传递BorderLeaf的VTEP路由,规划专门的隧道来承载NativeIP流量,基于跨中心VxLAN隧道的L3VNI来入隧道,将L3VNI与业务SLA绑定,实现差异化服务。图4场景2:总行数据中心互访通过VxLAN与SRv6的协同,农行打造了云网融合架构,打破云网互通边界,加速了跨数据中心资源域拉通。一方面可实现基于租户VNI的精细化优先级映射,为实时交易、办公OA等不同等级业务提供差异化保障,另一方面可实现总行和分行端到端的流量可视化和质量检测,为后续进一步实现全行端到端统一流量调度和基于应用的质量感知打下坚实的基础。“因时而进,因势而新。”农行新一代IPv6+网络架构落地始终围绕ABCONE框架展开,通过不断融入新技术元素和设计理念,丰富其核心技术模块并完善网络模型,显著增强了农行网络的智能化服务水平,使农行始终走在数字化转型的前沿。展望未来,基于IPv6+的网络和应用一定会更加智能、更加敏捷、更加无处不在。农行将持续履行大行担当,做创新技术的先行者,为全面深入推进IPv6+规模部署与应用贡献自己的力量!