中國銀聯與上海銀行基於SDN的下一代金融雲網路聯合研究與應用實踐：從分層分區傳統架構向雲網架構轉型

文 / 上海銀行 馬永祥 等

中國銀聯 祖立軍 等

引言

中國銀聯與上海銀行就金融雲與SDN技術研究等達成合作，其中中國銀聯的電子商務與電子支付國家工程實驗室與上海銀行數據中心以下一代金融雲數據中心為藍圖，組成聯合研究團隊開展基於SDN的下一代金融雲網路架構技術研究。（上海市科委項目資助（17YF1425800）: 金融行業雲關鍵技術研究及應用）

聯合研究團隊認為：雲網路架構是機構開展金融雲基礎平台建設最為核心關鍵的因素，其主要體現如下方面：

首先，雙模IT中網路是唯一必須兼容兩種IT模式的平滑互通的基礎資源。為兼顧新技術、新架構、新模式於既有的傳統信息技術體系結合，雙模IT將是金融機構IT發展的主要形態，處於兩種IT模式下的金融應用無必須共享伺服器和存儲的要求，但必須在網路層面實現互聯互通。

其次，金融合規性與安全性在IT基礎設施中主要體現在數據中心網路。金融機構多區域隔離、應用間的強訪問控制以及外部防護攻擊均主要基於網路規劃與專用網路設備應用措施。

最後，以軟體定義網路為代表的新技術應用是雲平台發展的必然趨勢。基於雲計算、大數據與區塊鏈等新技術的金融創新應用產生了新的數據網路交換模型，對應用所部署的數據中心網路環境提出了新的技術要求，軟體定義網路技術效果與之契合，有助於推動金融IT向高效服務化的轉型，從而提升金融機構的創新能力。

然而，由於網路技術變革難度高與應用影響性廣等因素，當前在全球範圍內金融機構雲網路架構落地實踐整體上還處於初級階段，無標準化統一的架構實踐參考。為此聯合研究團隊經過近兩年多的努力，提出了在當前金融數據中心網路架構下，應用SDN的雲網參考模型，並予以落地實踐驗證，其中主要完成工作包括：

金融雲數據中心需求梳理與新架構網路設計原則規劃。結合當前金融行業網路架構現狀分析，梳理了未來金融數據中心網路高敏捷、高彈性、高可管理、高可用以及高性能的「五高」要求，歸納總結了未來金融數據中心網路架構「面向服務理念、管理統一編排、資源池標準化、成熟技術集成再造創新」的四大設計原則。

定義基於SDN的下一代金融機構網路的標準化參考架構。聯合研究團隊提出了「多數據中心間虛擬專網互聯，數據中心內核心交換匯流排互通，傳統分區、雲網分區並存」的雲網路架構模型，模型給出了網路管理平面與數據平面的標準實現架構，服務能力涵蓋二/三層網路連通性能力以及負載均衡/防火牆L4-L7服務能力。

驗證標準化參考架構的核心關鍵技術。研究團隊已基於開源技術通過自主研發的區域互聯（Region Interconnect）SDN控制器實現了對核心交換網路（國際首創）與各分區的SDN控制器的協調控制，從而實現數據中心內網路資源池化以及網路資源彈性調度服務。

上述雲網架構模型的應用可實現新一代符合金融行業雲要求的網路架構，其效果主要包括：

平滑兼容傳統架構。可有效支持雙模IT，可在保持傳統網路架構穩定運行的前提下，支持SDN等新技術的前瞻性應用。

兼容異構網路技術。通過自主創新的區域互聯（RI）SDN控制技術，實現對廠商設備異構解耦，屏蔽不同廠商在SDN技術實現中的技術差異性。

網路多租戶能力擴展性強。網路租戶能力不局限於單一網路設備區域，可有效擴展至異構設備區域以及跨數據中心區域。

安全合規等級不降低。新模型設計之初即基於現有網路安全與合規性的要求考慮，新技術的應用嚴格遵守現有金融規範。

在研究過程中，我們認識到金融雲計算技術研究是技術集成創新與產業協同創新的複雜系統工程，金融雲計算技術的自主可控需要良好的產業生態支持，因此也同步與國內外產業界保持密切溝通，探索相關技術在金融行業範圍內以工作組的形式深化聯合研究，在工作組內共享技術研究成果，共同以工作組的團體力量與國內外雲計算組織展開合作，推動金融雲技術的研究與進步，加速金融科技的變革，支撐金融服務的創新發展。

金融行業網路架構現狀

金融行業網路建設歷程與金融行業近三十年信息化過程密不可分，目前為止已經歷多個階段發展。

現階段金融行業網路整體多以「兩地三中心」架構為主。利用DWDM及高帶寬專線構建高速轉發「核心骨幹網」用於數據中心間互聯，數據中心作為骨幹網接入節點。在核心骨幹網框架上擴展延伸出「三級網」架構用於各級分支機構的匯聚，數據中心至一級分支機構間構建一級網，一級分支至二級分支機構間構建二級網，二級至三級分支機構間構建三級網。示意圖如下：

圖1 階段金融行業網路整體示意圖

數據中心內部採用「匯流排型、模塊化」架構，遵循「垂直分層、水平分區」的原則，根據應用系統種類不同、重要性區別、安全防護需求差異將網路劃分為多個區域，通過高性能交換機構建交換匯流排，網路各分區通過匯流排進行互聯互通，如下圖：

圖2 數據中心內網路分區示意圖

網路分區可劃分為三大類：業務區、隔離區、特定功能區。

業務區：用於承載各類系統應用伺服器及資料庫伺服器，應用系統根據特定原則劃分至不同業務區。

隔離區：也稱DMZ區，承載各類前置機，面向互聯網或第三方機構提供服務。

特定功能區：如管理區承載監控系統、流程系統、操作終端等，用於數據中心維護；廣域網區用戶數據中心至骨幹網的連通。

傳統架構優點：安全、穩定、可靠、可擴展。

架構缺點：靈活性不足、豎井壁壘存在、自動化不高、建設成本高昂。

金融數據中心網路面臨的挑戰

1. 面臨的挑戰

當前，「業務應用變革式創新發展」、「以雲計算為代表的新技術應用」以及「金融IT成本與效率優化新要求」是金融數據中心網路發展面臨的三大挑戰。

首先業務應用發展對網路服務提出新的挑戰，面向互聯網方式的金融創新應用快速發展對網路服務提出更敏捷的服務要求，網路資源的開通與變更希望是從原本的周為單位提升到分鐘級別，從而支撐應用快速投產。

其次，雲計算等新技術在數據中心內越發應用廣泛，其對網路連接也提出新的要求。為適應虛擬化技術，資源的漂移遷移能力，網路服務需要從物理機識別提升到虛擬主機識別，雲的多租戶特性要求在共享的物理網路設備下提供可獨立解耦的網路地址路由空間，雲彈性伸縮則要求網路有更高地彈性擴展能力，巨大的雲平台規模，也要求雲網路服務也必須具備足夠的網路容量與健壯性。

再則，新常態下金融機構的運營壓力要求IT架構可實現更高效與低成本，從純商業「產品」解決方案向「自主」網路方案演進，金融數據中心網路技術應用更趨於開放，要求網路運維人員從單純的人工維護解放出來，進入高效的自動化方式。

2. 未來金融數據中心網路應用需求

因此，結合上述發展的挑戰與趨勢，我們認為未來金融數據中心網路應用需求可總結為高敏捷、高彈性、高可管理、高可用以及高性能的「五高」要求：

高敏捷，實現業務快速上線，面對應用的變化達到資源的按需變更，通過新技術應用打破因重安全而舍效率的困局，在雲計算新環境下安全與高效並重；

高彈性，一是內部彈性強化，打破豎井式架構中網路區域成為限制資源共享的壁壘，實現網路資源池整合與靈活共享與隔離，二是外部彈性兼容，支持新老架構並存，從而使原有網路可以平滑過渡到新架構；

高可管理，一是實現管理的體系的簡化，支持多品牌的融合管理，二是實現管理自動化與智能化，使日常運維從大量人工維護的高工作量解放出來；

高可用，網路架構持續穩定影響金融數據中心全局服務能力，網路架構需要基於穩定可靠的技術構建，使網路服務具備7*24小時業務連續性服務的能力；

高性能，面對秒殺等新業務場景等的極限服務能力，實現時延和帶寬等關鍵指標的跨越式提升，同時注重資源的高效利用，用儘可能少的資源實現最大的性能服務。

基於SDN的下一代金融機構網路設計與構想

1. 網路設計原則

SDN技術的應用對金融數據中心的架構是革命性的變化,因此下一代金融數據中心網路需進行針對性設計，我們總結未來金融數據中心網路需遵循以下四大設計原則：

面向服務理念，網路功能以服務、標準API介面的形式對外提供，網路系統內部以服務的形式進行自組織，從而提升對外服務能力，簡化外部調用網路能力的複雜性；

管理統一編排，數據中心內網路二/三層連通、四/七層功能的管理界面統一視圖，不同網路資源池的管理採用二級管理編排方式，即底層適配不同網路資源池管理操作、上層異構協調編排；

資源池標準化，打破傳統網路豎井式架構，利用新一代的大二層技術構建資源池，在不擴大廣播域、不增加二層環路風險的前提下提升計算、存儲資源調動靈活性。

成熟技術集成再造創新，基於網路技術平滑兼容的要求，對基礎可擴展網路技術與協議進行繼承，組合現有技術進行集成創新，創新而不失穩定，保證網路架構的全局穩定。

2. 金融雲網架構模型設計與構想

（1）管理控制平面模型

傳統網路中各功能組件，如交換機、防火牆、負載均衡，通常採用不同的設備供應商解決方案，各產品管理介面存在差異（CLI、UI介面各不相同）、普遍不支持API介面。設備參數設置、配置調整大量依賴人工，且對於維護人員的專業技能要求較高。在此背景下，網路的服務化、自動化實現難度巨大，難以實現單一的工具或平台對全網設備進行統一管理和服務發布。

隨著產業技術的發展，網路產品製造商也逐漸改變產品發展方向，由原先的封閉式設備向介面開放的方向發展。現階段，業內越來越多的產品開始支持Restful API介面，管理模式不再局限於傳統的CLI及UI介面。

數據中心新架構中，為了實現網路服務化、自動化、統一編排調度等目標，除了要求網路各組件支持API介面、可編程等功能特性外，我們認為在管理控制平面，還需對各品牌網路的API介面做進一步抽象，通過雲網控制平台建立標準網路服務模型，並與各網路組件對接。一方面 ，實現網路服務介面的標準化，統一網路對外介面，屏蔽不同品牌設備介面的差異性，簡化上層雲管理平台的開發難度。另一方面，將複雜的網路參數隱藏，網路各組件的技術實現、參數設置仍由專業網路工程師完成，上層構建雲管理平台專註於服務流程、業務編排、工作流調度、網路標準服務調用等。

圖3 雲計算管理平台下的網路平台控制架構

雲網控制平台又可分為兩個層次，分別為服務抽象層和驅動控制層。

服務抽象層負責將網路資源抽象成標準的網路服務和模型，例如提供創建網路、創建路由器服務，同時對上層平台提供標準的網路服務API介面。

控制驅動層負責將標準的網路服務在具體的產品上實現，並將上層的API介面翻譯成網路組件可識別的介面，實現對網路組件的參數調整。

（2）交換網模型

傳統交換網路穩定有餘但靈活、高效不足。各網路分區之間計算、存儲、網路、機房物理環境等資源均為獨享模式，不同分區之間計算宿主機無法共享資源，虛擬機不允許在不同分區宿主機間漂移，計算資源利用率下降。中小型金融機構交換網及各功能組件以普遍採用萬兆級設備，設備性能強勁，但出於安全性、可靠性及合規性的考量，金融機構數據中心網路分區數量無法減少，在客戶群規模、交易量不大的情況下，網路資源利用率普遍較低。在機房空間利用率上，各類設備的擺放需綜合考慮布線、TOR交換機部署、電力、製冷等諸多因素，難以實現靈活部署。若採用傳統技術，例如大二層，試圖解決上述問題，又會造成廣播域的放大、二層環路風險增加，對於後續運維造成巨大壓力，得不償失。

因此，我們認為新的交換網架構需在不增加運維風險的前提下提升計算、存儲、機房空間資源的利用率。同時引入租戶的概念，對一個交換網路進行隔離劃分，對於單個金融機構可用於實現部分傳統網路分區的合并部署，也可用於多金融租戶的合并部署。

金融數據中心新交換網架構仍採用匯流排型架構，保留傳統分區、傳統應用接入，新增多個雲網分區用於新應用上線或存量應用遷移。在風險可控的前提下，對部分功能相同的網路區域進行合并部署，例如多個業務區合并為一個雲網分區，多個隔離區合并為另一個雲網分區。

圖4 雲網模型架構

一個雲網分區內由同一品牌的SDN設備組成，內部採用Vxlan分離Underlay、Overlay網路，實現網路物理架構與邏輯架構的解耦。採用Spine+Leaf的物理結構，其中計算Leaf接入提供虛擬機的計算伺服器資源，網路功能Leaf接入負載均衡、防火牆等網元服務設備資源，Border Leaf負責與數據中心核心交換設備互聯， 雲網分區內由Spine設備負責各Leaf之間的流量互通，每個雲網分區由其自有的控制器進行管理控制。

（3）分區之間互聯模型

數據中心核心交換網路則是由獨立交換設備組網，不同雲網分區可能使用不同的SDN解決方案、協議與技術，雲網分區內部的Vxlan標籤在數據包出區域後被剝離，因此雲網分區之間在Overlay層面無法實現互通。

上述數據中心內的組網模型與功能設計的挑戰主要在於如何將存在於不同雲網分區的租戶流量進行識別，從而保證通過核心交換網路後，雲網分區可以正確將IP地址重用的多租戶流量轉發至正確的租戶資源。經過評估，我們認為傳統技術中的VRF（虛擬路由轉發表）或MPLS-VPN(基於多協議標籤交換的虛擬網路)技術能很好的解決多個雲網分區之間租戶信息傳遞的問題，可將一個VRF或VPN網路抽象成一個區域互聯路由器，用於連接同一租戶不同邏輯區域。

同時，我們提出了一種區域互聯SDN控制技術，實現對核心交換網路與各雲網分區的SDN控制器的協調控制，實現多租戶信息標識的傳遞的隧道能力。

圖5介紹了在數據轉發平面的設計思想，每個租戶在出各自雲網分區時，送入不同的虛擬路由表VRF（或VPN）進行轉發，VRF是交換機內部隔離不同路由轉發的虛擬化技術，實現了虛擬機的一虛多能力。

圖5 RI數據平面轉發設計圖

在相應控制平面，我們設計了一個RI控制器實現對核心交換網路的自動化配置能力，其包括2大功能，一是根據租戶變動情況動態創建配置VRF及其相關配置，二是實現在不同SDN 雲網分區資源動態變化情況下，路由地址動態發布，以便保持動態變換的網路資源的連通性。

圖6給出了RI控制器的架構設計，其通過netconf協議管理核心交換網路的設備，同時也通過適配不同SDN控制器的API介面定時或觸發讀取相應雲網分區的動態資源信息。在跨異構SDN新租戶創建過程中，則會自動根據前述數據轉發平面的設計創建相應VRF通道，在有新網段資源創建時，觸發RI控制器通過SDN控制API查詢新增網段信息，並通過OSPF動態路由注入的方式更新核心交換網路中的VRF路由表信息，同時我們設計的RI控制器定時任務，定時查詢SDN的網路資源信息，對比出已刪除的網路資源信息，進行路由表清理工作。

圖6 RI控制器控制平面設計圖

在具體研發過程中，我們考慮到了核心網路設備支持的不同操作管理協議，以及未來不同合作夥伴今後提出新的隧道協議應用方式，因此在代碼架構上我們支持了不同設備控制方式和隧道協議的擴展能力，以便未來完善優化。

（4）防火牆與負載均衡模型

防火牆及負載均衡用於提供四到七層網路服務，實現邏輯區域之間的安全隔離、伺服器流量分攤。

金融雲網架構模型中，可將防火牆及負載均衡等硬體資源進行池化部署，並按需進行調度。通過雲控制平台實現防火牆、負載均衡資源池的統一管理。隨著VNF技術的日益成熟，在未來，負載均衡和防火牆將作為VNF接入到不同業務邏輯區域當中，實現流量的合理編排和調度。

3. 兩地三中心模型構想

在金融行業普遍採用「兩地三中心」的高可用場景下，金融行業雲平台的網路服務也必須支持跨數據中心的網路多租戶能力。

圖7 兩地三中心模型

在設計中可沿用現有骨幹網的設計思路，並引入MPLS VPN技術，將同一租戶的流量引入一個VPN網路中，實現單一租戶可調用的資源範圍覆蓋所有數據中心，並支持分支機構的接入。同時利用MP-BGP豐富的選路能力以及QoS技術，實現租戶信息跨數據中心傳遞，租戶之間、應用流量之間相互隔離。

原型實踐情況

基於以上設計構想，研究小組就單中心模型進行原型驗證，詳細情況如下：

1. 物理架構概述

圖8展示了的原型平台物理架構圖，交換核心區域由華為三層交換機組成，下聯2個不同品牌的雲網分區，雲網分區1為華為設備，雲網分區2為思科ACI設備，根據不同雲網分區IT服務商的合作溝通，負載均衡和防火牆的物理接入位置稍有不同，華為雲網分區內負載均衡和防火牆接入網關組，思科雲網分區內負載均衡和防火牆接入專用功能Leaf，但邏輯網路架構保持一致。

圖8 原型平台物理架構圖

我們在中國銀聯與上海銀行聯合研究的數據中心實驗環境搭建了原型平台，平台由華為、思科兩套異構SDN雲網分區構成，同時也配備了相應的負載均衡和防火牆資源，平台設備列表如表1：

表1：原型平台設備列表

平台基於OpenStack、OVS、Centos等開源軟體進行研發，相應軟體版本情況如表2：

表2：軟體版本情況表

2. 管理控制平台概述

使用OpenStack作為雲控制平台，起到了承上啟下的作用,向上暴露標準化的API給到多租戶業務調度。另外一方面它通過底層SDN控制器、防火牆驅動、負載均衡驅動和RI模塊，實現對下層物理網路資源的抽象、隔離和調度。

3. 雲網分區和雲控制平台集成

雲網分區架構下，需要管理的四種資源：二層網路（思科APIC和華為AC）、三層網關、防火牆和負載均衡。雲網分區和雲管理平台集成的一般有以下兩種模式：

圖9 OpenStack集成SDN雲網分區技術模式

A模式通過SDN控制器驅動二層和三層，四層以上設備通過OpenStack Neutron直接管理，B模式通過SDN控制器驅動所有設備。我們現有的防火牆和負載均衡分別是思科的ASA防火牆、華為的USG防火牆以及F5負載均衡設備，下表是兩種設備通過A模式和B模式下具備的驅動具備現狀：

表3 設備和OpenStack集成驅動現狀

我們選擇了A模式和B模式混合的方式進行組網：

思科ASA防火牆我們重新開發了OpenStack FWaaS驅動進行管理（A模式）

華為USG防火牆通過華為SDN控制器進行管理（B模式）

F5負載均衡通過F5官方提供的OpenStack驅動進行管理（A模式）

在以上集成的基礎上，我們開發實現了網間互聯的RI模塊，用來完成對核心交換機的策略下發，最終軟體驅動的架構如下：

圖10 原型集成驅動實現方式

下面我們將詳細介紹每個模塊的具體集成。

（1）思科APIC和華為AC的整合

OpenStack對接思科APIC和華為的AC SDN控制器，需要在原生OpenStack的基礎上，在控制節點、網路節點和計算節點上做配置的變更。

表4 思科APIC和華為AC的整合技術實現表

（2）F5負載均衡集成

在OpenStack LbaaSv2模型中，負載均衡服務被抽象成loadbalancer，listener，pool，member，health monitor五種虛擬資源。一個loadbalancer下可以掛載多個listener，不同listener監聽埠不同，一個listener下掛載一個pool，一個pool掛載members和health monitor。這些虛擬標準資源和F5資源的對應關係如下：

表5 F5負載均衡OpenStack資源映射表

LbaaSv2 Driver將OpenStack中虛擬負載均衡資源通過RPC的方式發送給F5 agent，一個F5 agent可以管控一台F5設備、HA模式F5集群或者Cluster模式F5集群，同時F5 agent的分布式部署方式使得F5設備的橫向擴展能力得到提升，通過LbaaSv2 Driver中的調度演算法，將OpenStack中虛擬負載均衡資源合理的分配到不同的F5設備當中。

在和華為AC集成的時候，F5的管理通過 OpenStack進行調度，再通過AC中的L2BSR的方式接入到AC網路中。

在和思科ACI集成的時候，F5的管理通過 OpenStack進行調度，再將F5設備通過ACI中的Physical Domain方式接入到ACI中。由於ACI將虛擬網路類型變成了OpFlex類型，且該虛擬網路的VLAN（或者VNI）由APIC進行分配，這樣導致OpenStack Lbaas在給F5下發配置時因為缺少VLAN或者VNI的信息而下發失敗，需要通過修改F5的代碼支持OpFlex類型來支持下發，或者啟用F5提供的Global Route模式來解決。

（3）防火牆集成

和負載均衡一樣，OpenStack為防火牆服務提供了V1.0和V2.0兩種API模型， FWaaS 2.0在社區M版本中提出，現在仍在開發中，因此我們採用FWaaS 1.0 模型和防火牆設備進行集成。

同樣的，防火牆服務被抽象成多種虛擬資源，分別是firewall，policy和rule。一個firewall可以關聯應用到多個router，一個firewall使用一個policy，policy是rule的集合。和ASA防火牆的對應關係如下：

表6 思科防火牆OpenStack資源映射表

FWaaS Plugin將OpenStack中虛擬防火牆資源通過RPC的方式發送給ASA agent，一個ASA agent可以管控一台ASA設備、HA模式ASA集群或者Cluster模式ASA集群，同時ASA agent的分布式部署方式使得ASA設備的橫向擴展能力得到提升，通過FWaaS Plugin中的調度演算法，可將OpenStack中虛擬防火牆資源合理的分配到不同的ASA設備當中。

（4）網路資源與OpenStack映射模型

雲管平台上層支持多個金融機構，每個金融機構是一個租戶。每一個租戶在OpenStack里對應一個項目，包涵多個邏輯雲網分區和一個RI組成的隔離資源區。單個租戶的每一個邏輯雲網分區對應一個物理雲網分區，每個物理雲網分區支持多個租戶的邏輯雲網分區。

圖11 多租戶雲網分區邏輯與物理資源映射關係圖

在和ACI集成中，一個邏輯雲網分區對應ACI中的一個租戶概念，一個ACI租戶含一個VRF，一個VRF內虛擬網路的流量全通。

在和AC集成中，一個邏輯雲網分區對應AC中的一個VPC概念，一個VPC含一個VRF，一個VRF內虛擬網路的流量全通。

4. 效果展示

原型平台基於多租戶能力，創建了中國銀聯與上海銀行兩個金融機構租戶，兩個租戶的網路地址完全隔離復用，每個租戶橫跨華為與思科的兩個雲網分區資源，且共同復用所有硬體資源，通過核心交換網路進行數據互通。如下圖在極端情況下，兩個機構租戶的虛擬機資源的部署與地址規劃與開通完全一致

圖12 多租戶網路地址完全隔離復用

圖13展示了原型平台金融機構租戶管理員的管理服務界面，原型平台實現了雲數據中心虛擬路由、負載均衡、防火牆網路資源以及相關網路安全配置的自動化開通能力與統一視圖展示。

圖13 租戶管理服務界面展示的跨區組網視圖

5. 實踐中的問題識別與缺陷

基於當前銀聯生產技術的選型以及開放的研究角度，我們基於OpenStack開源技術進行了研究實現，在實現過程中不斷匯總梳理了相應遇到的問題，一些影響核心應用的問題我們進行了個別優化解決，一些問題仍然有待解決，我們計劃提交社區優化，具體如下：

（1）二/三層網路模型

三層模型不支持雙出口

現有路由器模型僅支持一個去往互聯網的External出口，模型不支持設置雙出口，但金融機構DMZ區的往往需要兩個出口，一個去往內網、一個去往外聯網或互聯網。

（2）防火牆模型

地址及服務對象定義方式有限

僅支持IP或網段，不支持IP範圍、網段範圍等，無法將多個地址對象組合成為一個地址組使用。無法將多個服務對象組合成一個服務組使用。這些限制會導致策略數量急劇增多，降低防火牆效率，不利於維護。

無法針對特定服務設置連接超時時間

無法滿足特定長連接應用的需求，導致應用異常。

無法針對特定服務設置應用層協議探測

傳統防火牆支持的ALG功能，動態開放埠等，在遇到非標埠時需進行設置（例如FTP協議使用了2121埠情況），但在防火牆模型中無此概念。

無法針對特定策略設置有效時間

無法基於防火牆實現地址轉換

（3）負載均衡模型

負載均衡部署模型受限

現持單臂有負載均衡模型僅支模式，不支持雙臂、多臂等。

無法設置連接超時時間

無法滿足特定長連接應用的需求，導致應用異常。

無法設置會話保持設置超時時間

無法滿足特定長連接應用的需求，導致應用異常。

支持演算法較少

Listener支持類型較少、支持會話保持方法較少、支持負載均衡演算法較少、支持健康檢查方法較少

（4）其他方面

部分網路關鍵組件缺少模型

如：IPS、DDOS網路安全、鏈路負載均衡等。

同時，我們通過研究後，我們也認為SDN Fabric控制器以及其他網路設備的API能力，或其提供的管理軟體驅動可以進一步加強，以便可以在實現金融網路SDN能力時，可以更方便的獲取相應細節參數以及加強管理的精細化力度。

總結與展望

經過上述研究與實踐，中國銀聯與上海銀行的聯合研究團隊認為SDN技術的應用將是未來金融數據中心網路的發展趨勢，當前技術積累，即未來基於SDN的下一代金融雲網路架構設計可以推動未來的生產逐步應用。同時我們也認為金融雲建設是一項技術集成創新、產業協同創新的重大、複雜性高的系統工程工作，金融機構技術研發應立足於金融科技核心，聚焦於SDN等技術應用之金融機構的特色技術解決方案，注重產業合作創新。當前，我們有計劃與期望籌建金融行業在雲計算領域的聯合研究工作組，橫向凝聚金融機構的研究力量，縱向聯合IT產業各方，積極影響OpenStack等開源社區研發方向，共同推動金融雲關鍵技術的突破與應用，提高金融雲科技技術的普適性與標準化，非常歡迎大家，尤其是金融機構的合作夥伴能夠一起參與我們發起的聯合研究工作中，並多給予寶貴的指導意見，讓金融雲技術在世界範圍內聯網通用。

在聯合研究過程中，得到了產業界的合作夥伴支持，在此感謝思科黃海華、謝曉虹、王瀛、孫濤、華為趙成偉、F5馮勇、九州雲網路團隊、華訊陳琪、苗先知、都書儒、沈佳偉以及復旦大學等研究人員的協作支持。

作者介紹：

祖立軍，畢業於同濟大學信號與信息處理專業，工學碩士，就職於中國銀聯電子支付研究院、電子商務與電子支付國家工程實驗室，中國銀聯技術委員會專家，同濟大學客座教師，長期從事金融信息工程領域研究工作，專註於金融端雲一體化信系統建設。負責建成中國銀聯雲計算平台，2011年提出OpenStack開源雲軟體的技術路線，並在生產大規模應用，參與國家雲計算示範工程項目，現主持上海市科委課題「金融行業雲關鍵技術研究及應用」研究,對金融企業雲計算應用具有深刻理解，關注軟體定義網路、軟體定義存儲、雲間互聯、智能雲汽車等前瞻性技術。曾獲國家科技進步二等獎1次，上海市科學技術一等獎1次，銀行科技發展一等獎1次，2015年上海市軟體行業標兵，2017年度上海市青年科技英才,累計申請或聯合他人申請國內外專利18項，其中國內授權專利2項，國際授權專利2項，累計發表論文18篇，其中SCI檢索2篇，EI檢索6篇。

馬永祥，畢業於上海大學通訊工程專業，工學學士，先後就職於工商銀行數據中心（上海）、上海農商銀行信息科技部、上海銀行信息技術部，網路通訊領域技術專家，長期從事銀行業網路技術研究、設計與實踐，對於銀行業數據中心網路規劃有著豐富經驗，現擔任上海銀行數據中心網路通訊部主管。曾負責多家大型銀行數據中心網路系統規劃、改造與建設工作，2009年-2011年參加工商銀行數據中心（上海）園區擴建網路建設項目，實現工行網路架構優化升級，2011年-2013年牽頭上海農商銀行新一代銀行系統建設網路集成項目，完成網路架構五年規劃、張江數據中心投產、全行網路優化改造等工作。2013年-2017年牽頭上海銀行張江數據中心網路建設項目，完成網路兩地三中心架構規劃、張江數據中心網路建設及投產、應用系統遷移、網路改造等工作。

袁航，畢業於同濟大學系統工程專業，工學碩士，現就職於中國銀聯電子支付研究院、電子商務與電子支付國家工程實驗室，研究員。現負責中國銀聯創新研究環境的研發和建設、金融SDN評測標準（上海銀行、復旦大學、上海寬頻中心、思科、華為、華三、博科等18家單位，中國通信標準協會標準、中國銀聯標準技術指引）的制訂等工作。關注於SDN軟體定義網路、跨數據中心管理等前沿性技術，在OVS等網路開源軟體在金融數據中心應用有深入研究。

王明輝，2010年開始就職於上海銀行信息技術部，網路技術專家，上海銀行科技項目技術方案評審小組成員，擁有CCIE（RS）證書，專註於金融機構兩地三中心數據中心網路架構建設。曾參與上海銀行張江數據中心網路架構設計和建設，配合完成張江數據中心的投產、應用系統遷移等重要工作。現牽頭負責上海銀行同城數據中心和異地災備數據中心網路建設項目。2016年完成並行內發表了一篇《軟體定義網路（SDN）技術研究》的課題研究論文，對基於IaaS雲架構模型有較深刻的理解。關注軟體定義網路、未來雲數據中心架構、跨數據中心多租戶運維管理等前沿性技術。

周雍愷，畢業於上海交通大學，信息安全專業,電子商務與電子支付國家工程實驗室進行博士後研究，研究方向為SDN金融應用及其安全。在博士後期間，提出面向金融雲的軟體定義網路（SDN）安全研究理論與框架，正在牽頭推動中國銀聯面向SDN網路的下一代雲網監控系統的生產應用工作。

金斯，畢業於上海海事大學網路工程專業，擁有CCIE（RS）證書，長期從事銀行業數據中心的建設運維工作，致力於金融行業雲的研究。2012年至2013年就職於上海華訊網路系統有限公司，參與農商行新一代數據中心的建設遷移項目，完成了多個核心區域的遷移手冊編寫及實施。2014年就職於上海銀行信息技術部，負責數據中心的網路運維及技術方案審核，曾牽頭完成上海銀行原主備數據中心多個核心區域的改造遷移項目。2016年開始參與SDN的課題研究，與同事共同完成了《軟體定義網路（SDN）技術研究》課題研究論文，獲得上海銀行2016年課題研究二等獎。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 CSDN 的精彩文章: