一、概述
前海大数金融是中国首家专业数据化信贷工厂,第三代小微贷款技术引领者。公司采用数据化的风险管理技术,生产中大金额的个人无担保贷款,为银行(及其他金融机构)提供全流程的信贷外包服务。
大数金融成立于2014年7月,成立之初即获得“红杉资本”中国基金一亿元风险投资,是红杉中国对初始期创业公司最大的投资。2015年11月,大数金融完成B轮融资,获得了近5亿元人民币的投资,由太盟投资集团(PAG)领投、红杉跟投。
为了大数金融各分点间业务的顺利开展以及更好的发展,现各分点间需要组建一张高安全性、可靠性和快速的内部互联网。现采用中国联通发展成熟的MPLS VPN专线线路,使各分点实现高安全性互联。
二、需求分析
大数金融全国MPLS VPN组网建设应达成下列目标:
1、深圳大数金融总部能收到下属各个分支的内网数据网段路由,并能通过MPLS VPN的标签功能结合VPN隧道的加密功能实现网络安全、准确、完整性的传递总部与各个分公司的数据流量信息;
2、总部能实现远程管理到各个分支的CE路由器,以及某些重要的终端服务器和网络设备,并能通过MPLS VPN专网实现各个分支的流量统计;
3、深圳前海大数金融与各分支各采用CISCO路由器连接联通PE路由器接入联通MPLS VPN骨干网中。
三、解决方案
如下图所示,通过在分支部署CE路由器,上行连ISP PE设备接入MPLS VPN 骨干网。下行连接分支核心交换机,实现各分部之间网络互联互通。部分点(如腾讯)要求不另外部署CE设备的则直接在出口设备端口上配置CE地址与PE直连。CE与PE路由器之间建立BGP邻居动态学习内网网段路由。接口下开启流量统计,实时监控流量大小。
四、实现效果
(1)公司总部或分部有放置服务器,其他各点可以实现与该点的数据互联和资源共享。
(2)可根据客户需求实现不同业务数据的分流和网络数据的分析。
(3)可以实现总部与分支机构之间的视频会议需求,以满足开会,培训或实时的业务沟通等。
(4)可以实现总部要对部分需要安装监控摄像头的场所,进行人员管理,业务现场的视频监控。
(5)可以实现总部对分部系统软件的远程监管。
(6)和普通ADSL组网相比:
1、MPLS VPN组网全部实行光纤接入,可以保障整个网络的稳定性,不会因为电话铜缆老化等导致的传输质量不好或中断。
2、光纤接入上下行对称可以保证数据对等传输的快速性,视频会议及视频监控的数据传输更有保障,如ADSL上行只有512K,则无法满足大数据的传输。
3、客户总部统一规划各分点IP地址,实现管理方面的便捷性。
4、统一互联网出口管理可以保障各分点电脑上网的安全性,不会遭受互联网攻击,并且在总部可以实现各分点的上网行为管理。
五、维护服务
我公司实时监控客户网络状态,提供4*7*24小时不间断的维护服务,保障大数金融公司WAN的高质量运行。
大数金融 WAN维护服务的对象是指大数金融各地VPN链路及其CE设备和防火墙设备,主要服务如下表:
| 服务项目 | 服务描述 |
| 故障管理服务 | 根据故障等级标准向大数金融承诺故障响应、故障升级和业务恢复时间,迅速处理故障,在规定时限内恢复服务 |
| 问题管理服务 | 针对网络和设备重大或重复发生的故障,分析根本原因,提出问题解决方案并组织实施 |
| 例行维护服务 | 对大数金融机房环境进行检查和记录,按例行维护规程对网络和设备进行预防性维护和清洁,并填写例行维护记录 |
| 变更管理服务 | 变更管理主要是针对大数金融的WAN电路及CE设备按照流程,在业务变更、网络调整、软件升级等活动中出现任何变更进行实施、管理和控制 |
| 性能管理服务 | 通过例行维护服务过程中获得的大数金融网络和设备性能数据的分析,为大数金融提供性能分析及优化建议 |
| 报告管理服务 | 汇集各类服务数据,经综合处理后按时向客户提供网络和设备的整体运行情况报告 |
大数金融 WAN故障等级划分表故障分级:
故障等级 |
故障现象 |
|
1级
|
网络完全拥塞设备宕机 |
网络的性能严重下降,对客户的业务运作产生重要影响 | |
|
2级
|
各地设备宕机 |
网络的性能下降,对大部分客户的业务运作产生影响 | |
|
3级
|
网络性能受损,但客户大部分业务仍可正常工作 |
网络运行正常但部分应用无法正常工作 | |
|
4级 LOW |
其它一般的故障,不影响系统的整体运行,不影响大部分客户的使用 |
远程监控及按需现场方式故障管理服务时间指标:
故障等级 |
响应时间 |
恢复时间 |
1级 |
10分钟 |
4小时 |
2级 |
10分钟 |
8小时 |
3级 |
30分钟 |
12小时 |
六、方案价值
高效的网络
MPLS VPN采用MPLS技术, MPLS采用无连接的控制平面和面向连接的数据平面。无连接的控制平面实现了路由信息的传递和标签的分发。面向连接的数据平面实现了报文在建立的标签转发路径上传送。在MPLS域内,数据包的传递时,设备不需要查看每个报文的目的IP,只需要根据封装在IP头外面的标签就能进行转发。所以相比于传统网络转发模式,MPLS标签转发提升了转发的效率。
安全的网络
MPLS VPN为用户提供纯IP通道,与互联网分离,降低了来自公网上攻击的风险。MPLS/VPN的安全性不是像Ipsec VPN通过加密技术达到的,而是通过对不同用户间、用户与公网间的路由信息进行隔离实现的。用户间的数据流量在不同的虚拟通道中传递,保障了数据的隔离,与ATM、FR提供的专线具有类似的安全级别。在运营商的业务路由上能实现基于物理端口的QOS等级标记,防止伪造QOS等级的攻击。在运营商的业务接入控制点上,采用并发连接数控制技术, 控制单个用户同时发起的信令、TCP 或者UDP 连接的数量, 阻止对信令服务器和GW 发起的DDOS 攻击;在网络边缘采用严格的uRPF技术阻止可能发起的伪地址攻击。
敏捷的网络
运营商为用户提供多样的接入方式,涵盖几乎所有的接入方式和带宽范围,更方便用户扩展网络。主要以RJ45以太网接口为主,以及2-100M范围的带宽,可以直接接入PC、路由器、交换机等网络设备。
可靠的网络
MPLS VPN核心层对IP数据包做高速转发,减少了时延和抖动,增加了网络吞吐能力,大大提高了网络的QoS保证。运营商的MPLS VPN线路采用多种技术来保证用户的服务质量(QoS)和服务级别(CoS)。
