数通365案例 | 中信银行新一代SRv6广域网，筑建数据大动脉

随着云时代和移动互联技术的不断发展，银行业将全面进入BANK4.0数字化时代，银行服务变得无处不在，融入各类生活场景，以客户体验为中心提供体验化的金融服务。中信银行基于人行印发的《 金融科技发展规划（2022-2025 年）》为指导，结合中信新业态，以数字化转型推动金融科技创新发展，不断提升客户体验，打造具有中信银行特色的金融科技生态。

2021年7月，根据《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》有关要求，全面深入推进IPv6规模部署和应用，中央网络安全和信息化委员会办公室、国家发展和改革委员会及工业和信息化部印发了《关于加快推进互联网协议第六版（IPv6）规模部署和应用工作的通知》。

中信银行积极响应国家IPv6政策要求，基于IPv6研究规划新一代广域网建设，实现网络架构的统一设计、统一管理、统一维护，构建高速泛在、融合互联，灵活调度、弹性部署，云网一体、算力调度的网络体系。

中信银行传统广域网采用树状结构的IP组网方案，使用的均是传统路由协议如静态路由、BGP IPv4单播。当前广域网架构方案在金融业务高速发展的今天，面临着更多的挑战：

多DC多机房扩展：同城、异地多DC部署，部署架构复杂

• 随着同城多中心、两地多中心部署规划的逐步落地，数据中心互联网络复杂度大大提升，如何确保DCI网络的稳定性、可运维性，同时满足机房搬迁过程中各类场景的需要成为新的课题。

• 随着内网IPv6改造的逐步开展，核心承载网也要同步进行改造，从而支撑全行IPv6发展战略。

业务保障：分行应用上收到总行，需要提供更为灵活弹性的广域网带宽保障

• 随着总行各类系统的平台化、集中化部署，以及分行本地应用统一部署到总行云平台，总分行的广域网带宽需要实现更为弹性、灵活的调度模式，能够满足各类突发流量的场景。

• 能够通过引入低资费的大带宽线路降低整体投入。

网络运维：架构复杂和需求多元化，运维压力日益增大

• 随着业务复杂度的增加以及上线频率的加快，广域网QoS的时效性和准确性难以保证。

• 基于路由技术构建的广域网架构灵活度不足，在满足业务需求时变更方案复杂，部署周期长。

针对以上的各种问题和网络挑战，只有从技术层面创新才能实现整体网络架构的跨越式升级。中信银行与华为形成全面战略合作伙伴，全面开展联合创新，制定了中信银行新一代网络架构规划，对中信银行数据中心广域网等重点网络架构进行重新规划设计，合理引入先进的技术架构，满足中信银行业务创新和发展要求。数据中心的广域网是中信银行最关键的网络基础设施，是数字化银行最重要的数据流通枢纽，打造新一代广域网是面向未来的必然选择。

在分布式数据中心和业务全面数字化的趋势下，银行数据流量模型发生了根本性的变化，APP业务快速上新及分支灵活互通接入成为常态化需求。新一代广域网需要满足多中心融合建网、多线路统一调度、多业务可视运维，因此广域网架构和技术是其中关键。

1. 新一代网络规划，制定双平面物理架构

2022年，中信银行启动了新一代广域网的建设，确定采用基于SRv6 policy为主的技术，制定了从传统IP转发广域网络架构跨越式升级到基于IPv6的自动可编程广域网络架构的技术方案，并结合多地多中心的IT战略布局，制定了架构解耦、管理敏捷的新一代广域网目标网络架构如下：

图1 新一代广域网三层组网架构

新一代分行广域网在架构上分为三个层次：

●核心层：北京汇天、北京东坝、北京朝阳、合肥为核心节点（暂定这几个点，之后根据新DC，修正），构建Fullmesh+双平面架构的广域网，架构设计参考广域网设计。

●汇聚层：通过分行汇聚设备，满足一级分行广域网的标准化接入需求，同时提供带宽动态调整能力。

●接入层：满足分行内外多业务融合接入，根据中信银行的业务发展情况，接入机构可分为两类，即同城行内机构和行外附属机构。

2. SRv6-Policy实践落地，实现广域技术网架构跨越式升级

2022年底，中信银行完成了SDN+SRv6广域网的建设以及试点运行工作，完成了核心生产业务切换上线的既定目标，实现了广域网简化网络架构、提升智能控制、支持IPv6平滑演进等多项技术进步，实现了中信银行广域网从“传统IP+传输”向SDN SRv6网络可编程的变革。

中信银行经过半年多的技术论证和业界调研，结合中信技术储备，在反复评估技术成熟度和业务实际需求后，采用从IPv4跨越MPLS和MPLS-SR网络，一步到SRv6的技术演进方案。

• 只从IPv4到IPv6路由协议变更，降低的运维复杂；

• MPLS是中间态的，SR+IPv6才是最新承载技术；

• 全行IPv6时代，须要承载先行，连通总行，分行，子公司以及未来数据中心IPv6。

MPLS 作为最传统的协议，在如今并不只满足通断的网络需求下略显乏力。MPLS属于分布式架构，每台设备都维护自己的信息，MPLS作为传统技术“局部视角”已经不能满足广域网的发展，转发路径需要“端到端视角，全盘统一调度”。

需要摆脱局部视角，做到端到端视角，使转发路径端到端最优就需要通盘考虑，一个“大脑”进行转发路径的计算。

SRv6(Segment Routing over IPv6)的核心思想是将报文转发路径切割为不同的分段，并在路径头节点往报文中插入分段信息，中间节点只需要按照报文里携带的分段信息转发即可。结合SDN控制器就可以轻松实现集中控制，分布转发，全局转发路径统一调度的诉求。

SRv6通过完全消除MPLS，并依靠本机IPv6报头和报头扩展直接通过IPv6数据平面提供与SR-MPLS相同的服务和灵活性，进一步简化了网络，同时SRv6 TI-LFA带来的100%拓扑覆盖提高了网络的故障冗余性。

图2 新一代广域网实现业务的灵活路径控制和智能调度

新一代广域网使用DSCP+SRv6 Policy引流技术，可以根据业务不同的网络诉求进行灵活路径控制，如对时延要求低业务规划时延较低的转发路径，对带宽较高的业务诉求使用多路负载方式不同广域带宽灵活使用。

依靠控制器的自动调优功能实时对广域网转发路径进行调整，根据网络负载和业务诉求，比如办公类业务突发，SRv6自动分裂路径出新路径，基于突发流量调整分裂路径权重.使广域网带宽利用率更高，网络更加智能。

中信银行践行IPv6+国家战略，
加速数字化转型

中信银行目前已完成面向公众互联网应用系统的IPv6升级改造，包括80+应用，IPv6流量占比超过40%。相关应用系统改造均符合IPv6技术要求，改造后系统运行稳定。同时我行新一代核心广域网络也在按照SRv6技术持续扩大部署，在核心广域网全面支持IPv6后，计划逐步推进新应用系统和终端优先使用IPv6地址。最终实现全行IPv6 Only的网络目标。