3.2.1　网络架构设计思路

网络架构设计需要明确网络环境需求，主要涉及高可用、高性能、安全性、可扩展性、灵活性、自动化等需求。其中高可用、高性能、安全性是网络设计基础需求，可扩展性、灵活性、自动化是网络设计高级需求。传统网络架构主要以满足基础需求为目标，而在互联网金融业务背景下的网络架构需要满足网络设计高级需求，以支持互联网业务灵活的网络支持要求，实现网络运维的便捷化、可视化管理。

1. 主体架构

考虑银行监管合规，主体架构仍然采用“水平分区、垂直分层”架构。

▪ 区域隔离设计：区域间必须经过物理防火墙，并且出口防火墙与内部防火墙异构。

▪ 区域内分层设计：部署区域汇聚交换机+接入交换机或者横向可扩展性的叶脊Spine+Leaf网络架构。

2. 汇聚+接入网络设计

区域汇聚接入架构实现如下需求，其区域分层架构如图3-2所示。

图3-2　区域分层架构

区域汇聚和核心层之间为区域安全边界，通过防火墙串联并设置访问控制，配置明细访问策略；防火墙通过静态路由的方式将流量回注；汇聚设备作为区域业务区的出口，通过三层网络连接到核心层；网络网关放在汇聚交换机上，实现区域内三层转发；汇聚设备旁挂SLB、网络分析等智能服务设备，实现区域内负载均衡等功能；结构、节点、链路均采用冗余设计，满足高可用性要求。

3. 叶脊Spine+Leaf网络设计

在银行传统业务模式下，网络流量主要是以纵向南北流量为主，三层网络设计可以很好地满足业务需求。在金融科技发展的浪潮下，伴随着虚拟化的兴起、软件架构的解耦及分布式应用大规模使用，三层架构的弊端逐渐显现出来，具体如下：

▪ 三层架构STP协议导致的上行连接网络资源浪费；

▪ 横向东西流量大，导致核心、汇聚设备压力过大；

▪ 网关在汇聚设备上，横向扩展能力弱；

▪ 大二层支持能力弱。

改进方式是采用基于Overlay技术的叶脊Spine-Leaf架构来构建大二层网络，如图3-3所示。通过构建大二层网络可以有效解决三层网络架构弊端。通过类似于VPC等协议解决STP协议导致的链路浪费问题，可使上行链路提高承载流量、解决东西流量问题及提高横向扩展能力。通过配合叶脊Spine+Leaf网络设计与基于VXLAN（Virtual eXtensible LAN，可扩展虚拟局域网）的大二层技术，能够构建区域间、多数据中心间的大二层网络，实现跨区域业务扩容、虚拟化迁移、集群扩展等功能，无须重构IP网络环境。

图3-3　叶脊Spine-Leaf架构