| 1.2 关键需求分析 |

基于上述场景需求，金融数据中心网络的主要需求包括多种接入方式、数据复制和数据备份、端到端业务保障。多种接入方式包括VM（Virtual Machine，虚拟机）与BM（Bare Metal，裸金属服务器，也称裸机）接入或Docker接入，提供分钟/秒级业务下发；数据复制和数据备份需要在同城或者异地间进行，从而确保数据的互通性和高可用性；在端到端业务中，要求DCN为语音和视频业务提供高性能、高带宽的网络传输，保证端到端业务的流畅性和极佳的用户体验。

对网络的需求来自于业务场景，常见的业务场景包括DCN场景、统一通信场景和IP语音/呼叫中心/视频会议等场景。

DCN场景：该场景主要负责计算资源和存储资源的互联，主要需求包括VM与BM接入、Docker接入、数据复制和数据备份。

VM与BM接入要求网络提供10GE的接入带宽和40GE上行带宽的能力。服务器双归接入2台交换机，网卡采用主备或双活模式。虚拟化服务器主流的虚拟化管理平台有KVM（Kernel-based Virtual Machine，基于内核的虚拟机）、VMWare ESX和Microsoft Hyper-V，这3种虚拟化管理平台的云管平台分别为OpenStack云平台、vCenter云平台和SystemCenter云平台（集成在Windows Azure Pack中）。接入交换机的选型和数量受服务器网卡类型、网卡数量、虚拟化服务器的虚拟化比例的影响，需要调研清楚这些方面的信息。此外，还需要统一考虑Web前置机、加密机、Linux服务器、小型机、MySQL数据库服务器等，一并接入网络中。

Docker接入的部署方式可以参考VM与BM接入。为Docker独立分配IP地址，也可以基于NAT（Network Address Translation，网络地址转换）分配主机IP地址。此外，Docker可通过VLAN接入二层网络，也可以基于路由接入网络。在实际应用中，要求主机支持部署多个网段的Docker，这样在重启Docker时保证IP地址不变。部署Docker接入时，需要提供插件对接容器管理平台，如Kubernetes，自动化下发网络配置。

数据复制主要分为数据中心内的数据存储、同城数据中心的同步数据复制和异地数据中心的异步数据复制3种方式。数据中心内的数据存储可分成SAN（Storage Area Network，存储区域网络）存储和NAS / GPFS（General Parallel File System，通用并行文件系统）存储。对于SAN存储，需要建设数据中心内的SAN网络。对于NAS / GPFS存储，则可以利用数据中心内的业务IP网络。同城数据中心内的数据存储主要通过FC（Fibre Channel，光纤通道）网络进行，网络需要为同步数据复制提供逻辑通道。FC同步复制的RTT（Round Trip Time，往返路程时间，也称往返时延）要求低于1 ms。对于FC over IP的方式，网络需要为异步数据复制提供IP连接。同城中心间的NAS/GPFS复制则利用同城数据中心间的业务IP网络完成。对于异地中心间的NAS/GPFS复制，当流量不大时，使用异地数据中心间的业务IP网络；当流量较大时，需在异地中心间规划独立的网络逻辑通道。

数据备份同样分成数据中心内的数据备份、同城数据中心间的数据备份和异地数据中心间的数据备份。对于采用LAN-Free（指快速随机存储设备向备份存储设备复制数据，如磁盘阵列或服务器硬盘向磁带库或磁带机复制数据）的方式，需要建设数据中心内的SAN；对于采用LAN-Base（基于局域网）的方式，可以利用数据中心内的业务IP网络。同时网络需要为同城和异地数据备份提供链接，并对NAS（Network Attached Storage，网络附接存储）部署提供支持。

统一通信场景：该场景对网络的主要需求是从分支机构到数据中心进行三层网络的连接，同时要求网络传输时延低于150 ms、丢包率小于1%、时延抖动低于20 ms。

IP语音系统/呼叫中心/视频会议场景：该场景同样需要建立同城数据中心之间和分支机构与数据中心之间三层网络的连接，同时对网络传输时延、丢包率和时延抖动均有要求。

除在不同应用场景下对网络的需求不同之外，数据中心对于网络质量也提出了一定的需求，网络质量的保障对网络的稳定、健康运行起着关键作用。网络质量需求主要包括网络高可用、网络高安全、网络自动化和网络资源池化。

1.网络高可用

对于金融数据中心网络，网络高可用需求是确保业务永续的基石。从Garnter发布的意外宕机事件统计来看，金融行业发生的影响业务的事件中，40%是人为误操作，且大部分故障来源于应用与系统的故障。详细分析问题根因可以发现，绝大部分故障与二层网络的技术故障（二层环路、未知单播泛洪）相关。

为此，金融企业普遍采用建设同城双中心+异地数据中心的方式，保证网络发生故障时业务可以快速切换与恢复，避免出现全局性故障，确保在15 min内恢复业务。

为了应对确保业务不间断的需求，需要网络具备高可用的特性。目前，业界普遍采用部署SDN的方式来提供高可用的网络。SDN的高可用性主要体现在：SDN控制器发生故障不影响数据转发面，不会中断业务的访问；SDN优化了数据中心内部和数据中心之间的广播流量，减少了故障域；Underlay网络与Overlay网络的路由相互隔离，互不影响；业务不感知硬件设备的软件版本升级和配件的替换。

2.网络高安全

网络高安全需求确保了数据安全，是金融数据中心网络的核心要务。数据安全关系到金融企业的信誉，甚至影响到国计民生。在金融数据中心网络中，除了需要保留传统安全措施，还需要重点考虑云环境下的数据中心网络安全。云的开放性引入了更多的安全威胁，如漏洞、恶意渗透、远程控制等，需要更智能的下一代安全防御体系应对安全威胁。金融数据中心在数据安全方面的需求，主要包括以下2个方面。

• 自动化安全，传统安全部署的上线速度难匹配云业务的需求，运维人员手动配置海量的安全策略，也增加了运维成本，因此需要自动化的安全运维手段。

• 云基础设施的安全防护，包括虚拟基础设施的安全，如Hypervisor/OS（Operating System，操作系统）/应用环境的未知漏洞、针对基础设施的APT（Advanced Persistent Threat，高级持续威胁）攻击、应用认证和鉴权安全等；虚拟网络的安全，如存在东西向防御盲点、VM被渗透后横向感染或攻击基础设施；租户边界和租户内部的安全；虚拟化资源管理的安全，如NFV（Network Functions Virtualization，网络功能虚拟化）/SDN管理部件之间的通信安全、API调用安全；开放业务的安全，如源组件/第三方VNF（Virtual Network Function，虚拟网络功能）的未知漏洞、移动跳板攻击、网银木马。

3.网络自动化

网络自动化是指网络支持快速敏捷发放各类创新型业务，确保传统金融企业在与互联网金融企业的竞争中保持业务优势。自动化和标准化使网络运维人员从传统烦琐的配置变更中解放出来，不再忙于贴配置、定位问题，可以投入到更有价值的工作，如网络优化、网络规划。

4.网络资源池化

网络资源池化要求网络资源池可以弹性扩缩，业务从资源池中申请资源，有效保障业务的正确性和效率周期，确保在重要的时间节点前业务能够快速上线，网络自动化和资源池化将带来业务效率的极大提高和用户体验的显著改善。

结合上述的需求分析，我们提出了面向云的金融数据中心目标架构，推导出对应的金融云数据中心网络网络规划设计目标，用以指导网络具体的规划设计。