文 / 山东省银行业数字化转型研究工作组
当前银行业正通过数字化转型战略规划,依据特定的设计理念与方法体系,有计划有步骤地推动数字化转型。本文作者尝试在当前5G网络架构、5G网络切片、边缘云计算、量子通信、软件定义网络、数据中心云化等数字化技术应用前提下,结合银行业现行网络架构,提出以“5S”为设计理念的银行业网络架构思路,旨在为银行业数字化转型提供独特视角的参考。
5S设计理念
1.5S逻辑关系。5S是指“Smart(智能的)、Simple(简单的)、Software(软件定义的)、Slicing(切片的)、Security(安全的)”。用户体验智能化、运维管理简单化,软件驱动核心化、网络切片个性化、安全防护系统化。
2.Smart智能网络。固网方面,在运营商MSTP线路资源有限的情况下,银行专线向光传送网OTN转移,固网5G光业务单元F5GOSU(OpticalServiceUnit)成为构建大带宽、高可靠、高安全、低时延、云网融合、自助服务的新一代智能网。移动网方面,无线接入端CPE跟WIFI6的结合,5G核心网原生云化、SBA架构、网元UPF下移、网络切片全程化、多接入边缘计算(MEC)等设计为移动5G用户提供灵活业务接入、大带宽、高可靠性及端到端质量保障,实现流量本地卸载、时延减少、重要数据不出园区。5G网络与AI人工智能、大数据、AR远程协作、VR虚拟会议、巡检运维机器人等技术的结合,搭建承载多种业务的智能化网络,助力银行业数字化转型。
3.Simple简单。5G网络控制面与用户面解耦合设计,通过网络功能虚拟化NFV与SDN技术,构建简单、灵活、开放、易扩展、基于服务的SBA(Service Based Architecture)网络架构。银行业机构多层多级,传统专线网络逐级上联,结构复杂,设备众多,运行维护难度较大。5G网络使连接无线化、扁平化,以大带宽、低延迟、海量接入、安全接入、部署简单快捷的优势被越来越多的同业所接受,在智慧网点、巡检机器人、安保监控、生产备份线路、物联网等场景下得到越来越多的应用。SDN技术的发展使计算、存储、网络、应用趋向超融合化。虚拟化、容器化、功能化、微服务化等技术趋势的演进,实现SaaS、PaaS、IaaS的数据中心云化,加快了服务器上线周期、减少了重复投资。城际经济圈的快速扩张、运营商线路费用的同城化,驱动网络架构扁平化、简单化,进一步降低了网络设备与线路部署的复杂度。网络结构扁平化具有故障点减少、时延降低、配置规范化、管控集中化等优点。未来自动化驾驶网络通过网络自动化、人工智能等技术使网络至简又智能,网络运营管理简单、直观、有效。
4.Security安全。银行业网络架构的设计应遵循“安全第一”的原则,做好从接入到核心、从边缘到内部的认证、加密、授权、入侵防御、防火墙隔离等网络安全预防与保护措施,实现安全防护系统化。结合当前量子通信技术,依其自身的“不可克隆”与“不可分割”特性实现IPSEC_VPN密钥的安全传递。面对物联网海量连接,通过物联网终端接入安全与态势感知系统打造物联网安全体系。5G行业专网从无线侧对银行营业网点的基站进行5QI参数和QoS高优先级配置,实现金融业务的带宽保障和优先级设置。到传输网采用硬隔离(FlexE、MTU交叉隔离)或软隔离(VPN+QoS隔离)等切片方式,实现银行业务在传输网中的隔离和业务保障,以及核心网硬件资源层、虚拟资源层和网元功能层及数据中心内的交换机路由器等设备的隔离。当前金融行业对信创的要求,使硬件网络设备及其软件从CPU、交换芯片、操作系统、协议栈、SDN等核心技术,开始自主可控,为系统化的安全防护提供坚实的基础。
5.Software软件定义。以SDN为代表的计算、存储、网络虚拟化、容器化编排,构建起银行业公有云与私有云平台。以SR与SRv6为代表的两地三中心核心SD-WAN网络,以overlay隧道为代表的总分支SD-WAN网络,使广域网的部署、管理、流量控制实现软件智能化。5G+SD-WAN的组合正成为银行业应用较为成熟的方案。以软件定义为核心的网络设计理念也将引领未来网络发展的方向。
6.Slicing网络切片。5G网络切片将一个物理网切割成多个虚拟的端到端的网络,每一个都可获得逻辑独立的网络资源,且各切片之间可相互隔离,确保安全性与独立性,实现一张网络承载多种业务。网络切片最重要的安全问题是网络切片需要提供不同切片实例之间的隔离机制。切片从空口、基站、承载网、核心网端到端保证隔离,使被隔离的用户数据之间完全不可互访,金融切片与其他行业及公用切片之间不可互访。在逻辑隔离层面,5G网络切片仍采用VLAN、IP隧道、VPN虚拟机等方式进行业务逻辑隔离。由中国移动、华为、腾讯等联合发布的《网络切片分级白皮书~2020.3》中,根据公众网与行业网的区分把网络切片分为L0~L4共5个等级,金融行业属于行业网L3~L4级,等级越高对网络定制与业务体验的要求越高,从资源的完全共享至独立隔离,从基本安全至全面高阶安全,从无法自主运维到可管、可控、从默认的SLA服务到可定制化服务。
5S网络架构设计方案
1.网络架构说明。一级分行由主备数据中心构成,二级分行下设二级支行。二级分行与二级支行在网络部署上处于同一层级,以实现扁平化部署。二级支行与一级分行之间通过量子通信的QKD(量子密钥分发)技术,使相应SD-WAN路由器读取量子安全U盾里面的密钥,并建立IPSEC_VPN安全通道;一二级分行所属的巡检机器人、视频设备、门禁设备、告警设备、对讲AR远程协助等物联网设备均通过本地无线WIFI6连接CPE(5G无线路由器),CPE设备接入OTN传输网,OTN传输网与5G核心SA网相连。未来5G模组的普及,5G终端可直接接入基站无需再部署CPE;一级分行安保监控中心、安全态势感知与控制中心部署在行业专用边缘云计算中心与5GOTN传输网、一级分行数据中心安全连接,实现对所有5G移动终端的管理与控制。
2.功能说明。(1)Simple简单。整个网络的运行与管理以意图为导向,简单而直观。从5G接入、分支行网络上线、业务应用上线,到流量监控、线路质量、带宽占有率与控制器的智能联动,再到5G业务的自动切片与边缘计算管理,实现全网自动驾驶。二级分支行通过广域网线路与一级分行连接,构建扁平化网络架构。
(2)Software软件定义。从5G核心云与边缘云平台的SDN到一二级分行广域网的SD-WAN,软件定义网络使网络架构实现专业化、弹性化、均衡化、智能化。SD-WAN架构中的北向RESTFUL接口协议与第三方平台的融合,使网络管理个性化、用户体验人性化。
(3)Security安全化。一二级分支行之间建立以量子通信为基础的IPSEC_VPN加密隧道,实现生产业务数据灾备、非重要业务日常化的5G网络安全传输。物联网终端准入策略的下发与中心端安全态势感知与控制使物联网设备在可管、可控、真实唯一性前提下接入行内网络。
(4)Slicing网络切片。根据业务数据对安全带宽时延的要求、视频监控对带宽的要求、视频会议对带宽时延的要求、巡检运维机器人对时延的要求,设计满足不同业务要求的网络切片,以实现安全隔离下的SLA保障。
(5)Smart智能。SD-WAN控制器对全网设备、线路、流量统一管理与策略调度。物联网方面端点与网络的全面感知、安全准入与主动防御的安全可控。巡检运维机器人通过5G边缘云平台进行流量卸载与AI人脸识别、物体识别、视频分析、语音识别、OCR、NLP,协助管理人员处理经常性与案例性的事务,以提高管理人员的工作效率与满意度,增强科技的黏合度。AR远程协助。通过语音、视频进行在线实时分享第一视角的影像及图像,与后台专家一起解决现场出现的故障问题。通过智能降噪麦克风阵列,全语音操控解放双手;远程专家仿佛亲临现场,高效指导现场操作人员;高清晰视频、拍照,实时上传;可在图像上做标记,发送文字语句。专家系统可跨平台操作,计算机、手机、平板均可作用。
前景展望
移动5G、AI、VR/AR/MR、区块链、量子计算、量子通信、大数据等前沿技术对银行业数字化转型的引领,使网络由中心云化向边缘云化、由传统网络向智能网络、由人工干预到自动驾驶转变。无损网络、DetNet(确定网络)保障业务传输的不丢包与低时延,面向内容录制使数据与算力资源提供泛在的分布式均衡连接。面向未来,6G技术将实现人机物智能互联、空间与想象、虚拟与现实深度融合,提供沉浸式多空间多维度立体交互场景,打造“万物智联、焕然新生”的生态环境。(注 :山东省银行业数字化转型研究工作组成员分别为 :兴业银行济南分行信息科技部孟凡武、兴业银行郑州分行信息科技部王晓建、招商银行济南分行信息技术部朱钟峰、齐鲁银行信息科技部吴有文、莱商银行信息科技部商甲福、东营银行信息技术部刘波、中国联合通信有限公司山东省分公司胡彬)
(栏目编辑:张丽霞)
热门跟贴