一、项目背景及目标

随着甘肃农信业务规模的持续扩大，日常业务数据传输、突发高流量任务处理对网络的依赖度日益提升，传统网络架构逐渐暴露出诸多短板：链路管理缺乏智能化手段，数据传输效率与稳定性难以保障，无法精准匹配多样化业务需求；链路带宽量化不足导致资源利用率偏低，单位带宽成本居高不下，既增加了运营开支，也与数字化时代下高效节约的发展理念相悖；同时，传统网络在业务响应速度、安全防护能力以及应对未来业务变化的灵活性上存在明显局限，难以支撑甘肃农信全面推进数字化转型，亟需通过技术升级构建更高效、经济、安全且可扩展的网络体系。

甘肃农信 SDWAN 项目核心目标在于打造适配业务发展的现代化网络架构：一是通过 SDWAN 技术实现现有网络链路的智能管理与优化，保障日常及突发高流量业务数据传输的高效与稳定，同时精准量化链路带宽、提升资源利用率，降低单位带宽成本与整体运营开支；二是依托 SDWAN 的智能路径选择功能优化数据传输路径，提升各类业务响应速度与服务质量，强化业务性能；三是引入先进安全机制，加强网络安全防护，确保数据传输安全完整，增强网络系统风险抵御能力；四是凭借 SDWAN 的灵活性与可扩展性，满足未来业务变化及升级改造需求，为甘肃农信数字化转型提供有力支撑，助力其实现高效、可持续的高质量发展。

二、创新点

（一）多链路连接方式

SD-WAN将通过混合和多元化接入方式来最大化网络的连通性。我们将使用MPLS、公网宽带、4G/LTE或5G网络这些接入方式，针对不同网点和环境选择最合适、最高效的接入方式。如在网络环境较好的城市区域，可优先采用公网宽带或者5G网络，利用其大带宽的优势，提供高速度的网络服务；在网络环境复杂或偏远地区，则可以利用4G/LTE网络或者MPLS专线，保障网络的稳定性和可靠性。这样的混合和多元接入方式，可以根据地理位置和网络环境的差异，灵活选择接入方式，大大提高甘肃农信网络的覆盖范围和连通性。

（二）多级调度网络架构

SD-WAN解决方案将构建一个覆盖全省的网络架构，加强总部与分支机构的连通性，提高各分支机构间业务协同效率。SD-WAN可实现动态路径选择、应用优先级智能判断等，保证重要业务的畅通，同时在意外的网络故障和拥堵情况下，通过自动切换链路，实现网络的高可用性。而集中的网络管理，也大大简化了网络维护的复杂性，提高了整体的运营效率。

（三）自动网络负载优化

SD-WAN具有负载均衡和智能路由的功能。在业务流量过大或网络拥堵的情况下，SD-WAN能够实时地调整网络负载，将流量合理地分配到不同的链路上，避免单一链路的过载，优化整体网络性能。此外，应用级别的智能路由能够将敏感应用的流量使用安全性高、稳定性好的链路，确保关键业务的稳定运行，非关键或者非敏感性数据可以走公网链路，最大化网络资源的使用，提升网络性能。

三、项目技术方案

（一）总体架构设计

各网点路由器通过两条专线与县级网点的两台汇聚路由器NE20相连，再由两台汇聚路由器NE20连接至数据中心DCA和DCB的NE40路由器。网点端设定为Spoke接入点，而数据中心的NE40路由器被定义为Hub节点。在实际部署中，县级的汇聚路由器仅作为数据通道使用，负责传输数据。通过定义Hub--Spoke两级骨干网架构模型，明确这种架构属于SD-WAN典型架构，省联社对整个SD-WAN网络进行统一管控。同时通过SD-WAN控制器对全网进行精细化管理。

（二）物理架构设计

1.集中部署

省农信联社集中部署一组或多组汇聚SD-WAN路由器（以下简称HUB），每组路由器采用旁挂方式连接NE40设备。NE40和旁挂设备采用千兆互联方式。

在HUB节点旁挂，这种部署方式带来了几个好处：

集中化服务：将如防火墙、入侵检测系统安全等服务集中化，可以简化这些服务的管理和扩展。

成本节约：通过集中服务，可以在中心HUB节点投入更先进的硬件和软件资源，而不是在每个分支都进行投资，这可以显著降低企业的总拥有成本（TCO）。

优化的性能：通过将关键服务部署在网络的核心位置，可以更有效地处理跨网络的流量，进而优化性能。对于需要集中审计或日志管理的场景尤其有利。

更好的安全性管理：在HUB节点旁边集中部署安全服务可以更加有效地管理和监控整个网络的安全，因为所有通过SD-WAN的流量都可以通过这一点进行检查和过滤。

简化的冗余和高可用性实现：在HUB节点部署服务可以简化灾难恢复和业务连续性计划的实施，因为只需要在中心点上设置冗余系统和备份机制。

加快服务部署：集中化的服务允许快速部署新的应用和服务，因为它们可以被集中配置，并自动推送到整个网络的各个分支网点。

网络流量优化：当服务如WAN优化器部署在HUB节点时，所有经过HUB的流量都可以被优化，减少了延迟，提高了整个网络的效率。

简化网络架构：通过将多个服务“旁挂”在HUB节点，可以减少原来网络的改动，从而降低网络架构的复杂性，简化网络设计和部署。

整体拓扑图：

图1整体拓扑图

2.数据中心部署拓扑

在两个数据中心，分别标记为DCA和DCB，我们采用一个标准化部署结构。在每个数据中心，为每台华为NE40网络设备配备一台RSR77系列的路由器作为其伴生设备。我们将DCA中的一台NE40及其伴生RSR77路由器和DCB中相同配置的一组设备配对，形成一对。整个部署涉及这样的两对设备，合计四台设备，分布在两个数据中心。

这四台设备被配置为网络中的核心HUB节点，具备与各个网点创建VPN隧道的能力。为了增强路由策略的反射和优化，我们在DCA和DCB的每个NE40旁增设一台高端路由器，专门用作路由反射器（RR）。这种部署策略的设计为整个网络提供了冗余、高效的VPN连接和路由优化功能。

对于部署在DCA和DCB数据中心的每台华为NE40网络设备，使用三层路由器架构模式部署，并在旁边安装了RSR77系列路由器。这些旁挂路由器与NE40通过静态或动态路由协议实现路由信息的同步和共享，以确保网络路径的最优和可靠性。

在物理连接方面，为了确保流量管理的透明度和智能调度能力，我们采用了双线连接策略。具体来说，每台设备配置了两条独立的线路，直接连接到旁边的NE40网络设备。其中一条线路专门用于SD-WAN的站点内设备连接（Interlink），负责内部站点流量的智能管理和优化；另一条线路则为数据VPN流量提供传输服务。这样的设计既确保了流量高效管理，也加强了网络的冗余性和弹性。

3.路由设计

在整体的SD-WAN架构中，本次新增的HUB节点承载了两项关键职能。首先，它负责建立VPN网络；其次，它充当路由反射器。这个HUB节点可以被视为一个独立的区域，其独特性在于它横跨两个数据中心（数据中心A和数据中心B），并确保这两个数据中心之间能够相互连接。在网络路由方面，此节点通过三层交换地址来与NE40设备进行连接。这种连接构建了一个独立的OSPF（开放最短路径优先）区域，并在该区域内宣告了相应的网络接口。

针对这种特定场景，选优OSPF主要带来的优点包括：

结构化网络：通过划分为独立OSPF区域，HUB节点能够在不同数据中心之间提供结构化和优化的路由信息交换。

灵活的路由选择：OSPF随着网络状况的变动自动选择最佳路径，提高VPN连通性和数据中心间互联的效率。

可扩展性：随着网络增长，OSPF允许新增路由和网络分区而无需显著改造现有架构。

自动恢复：在设备或者链路故障时，OSPF能够快速重新计算路由，自动恢复数据传输，提高网络的韧性和连续性。

减少广播风暴：通过路由反射器的有效使用，OSPF帮助减少了整个SD-WAN中的路由广播，节约带宽，提升性能。

因此，采用OSPF确保了SD-WAN在网络变化、扩展性和稳定性方面的需求得到满足，同时优化了数据流的处理和路由策略的实施。

图3

在NE40的边界设置中引入互联地址到OSPF配置中，必须将HUB节点的网络接口纳入正确的OSPF区域。此外，该设备还需要在其BGP（边界网关协议）配置中宣告从HUB节点引入的地址，这是为了确保客户端数据流能够正确地被引导至HUB节点和路由反射器，从而实现有效的网络流量管理和优化。

4.承载量设计

在SDWAN（Software-Defined Wide Area Network）设计中，HUB（中心节点）节点的数量主要取决于多个因素。

（1）决定Hub节点数量的主要因素：

地理分布：根据组织在不同地理区域的分支机构分布，设置相应的Hub节点，以降低延迟并提高性能。

网络流量模式：监控分支机构的流量模式，确保Hub节点可以处理高峰时的流量同时还能高效地转发常规数据。

业务连续性和灾难恢复：为了保证网络在节点故障时仍然可用，需要设置足够的Hub节点提供冗余。

成本与预算：Hub节点的部署与运维成本需要在组织的预算范围内进行平衡。

带宽需求：节点间的带宽需求将直接影响Hub节点的数量和部署位置。

延迟和性能要求：应用程序和服务的延迟敏感度和性能要求是影响Hub节点部署的关键因素。

安全和合规性：根据安全和合规性要求决定适当的Hub节点量。

未来扩展性：根据预期的业务增长和扩展计划事先规划Hub节点。

（2）增加VPN和路由器容量的因素：

增长的数据流量：数据量的增长需要增大VPN通道和路由器的处理能力。

新的应用部署：引入新应用可能要求提供额外的带宽和更复杂的路由策略。

安全性增强：随着安全威胁的演变，需要部署更高级别的加密和更复杂的安全策略。

联网需求的变化：组织架构变化、合作伙伴接入或客户接入都可能导致网络联网需求的变化。

技术更新换代：为了适应最新的行业标准或技术进步，可能需要增加VPN和路由器的容量。

监控和管理功能：随着网络复杂性的增加，需要更强大的监控和管理能力来维护网络正常运行。

综上所述，在SDWAN设计中，HUB节点的数量选择需要综合考虑组织的网络规模、冗余可用性、拓扑结构、带宽需求、地理位置和运营商等因素。根据实际情况进行综合评估，选择最适合的HUB节点数量，以实现高效、可靠、灵活的网络连接。

在设计SDWAN架构时，VPN连接及路由邻居建立的要求是不可忽视的关键因素。锐捷77XA型号设备拥有充足的能力去构建数量庞大的BGP邻居和VPN隧道链接。

具体来讲，单台77XA设备能够支持大约1600个节点的VPN隧道建立以及800条动态路由邻居。标准的设备搭配包含2台77XA，该配置下，在节点稳定运行后，第二台设备作为备份将维护VPN隧道，同时管理动态路由邻居。若主设备发生故障，备用设备能够独立管理最多800个节点。

考虑到一组两台设备的组合，部署两组此类设备有能力支撑至多3200个节点的VPN连接和1600条动态路由邻居的建立。此模式提供了网络运行的稳定性、可靠性以及扩展性，充分满足了大规模网络布局的需求。

针对超出2000个节点的场景，以实现稳固的VPN连接和路由邻居搭建，我们将主要依托锐捷77XA设备来完成VPN的建立工作。与此同时，我们会配备高端路由器用作路由反射器（Route Reflector, RR），该路由器专注于构建和维护路由邻居关系。此类分离设计能显著增进VPN接入点数量和邻居连接能力，同时增强了网络的冗余性。

5.网点部署设计

图4 网点物理架构设计

网点使用锐捷20X系列设备，通过双线路（电信和移动）连接到县支行的NE20设备。NE20设备负责对所有数据进行汇聚，并进一步连接到A/B中心。部分网点还配备有第三条链路，通过4G灾备链路直接与C中心相连。

6.网点隧道设计

SDWAN架构部署中，隧道技术的采用是出于以下关键原因：

实现物理网络的解耦：SD-WAN采纳IP Overlay网络技术以达成企业站点间的WAN互联，此举让网络与具体的WAN组网技术相解耦，仅需依靠可用的IP路由即可。这要求SD-WAN隧道基于诸如IPSec、GRE、VXLAN等灵活的IP隧道技术，并可按需扩展其功能。

VPN隔离能力：为了满足在多租户环境下，以及单一租户内不同部门间的VPN隔离需求，隧道应具备支持VPN逻辑分隔的功能，通常是通过VPN标识来实现该隔离。

锐捷采用GRE（GRE: Generic Routing Encapsulation）方式进行隧道部署设计，GRE是一个可以封装多种网络层协议的简单且灵活的策略。它的兼容性强，得益于广泛的设备和系统支持，便于在多种网络环境中无缝部署。GRE隧道配置过程直接，易于管理，使得网络设计与调整变得更加便捷。此外，GRE确保了传输网络的透明性，仿佛用户数据包在直接连接的网段中一样，同时由于是开放标准，GRE隧道几乎不增加任何成本。它还支持多种协议的封装，便于网络的过渡和服务整合，而且可通过创建多条隧道实现负载平衡和增强网络的容错性。然而需要注意的是，GRE本身不具备加密功能，为了保障数据传输安全，通常需要与IPsec等加密技术结合使用。综合来看，GRE隧道在SD-WAN中的使用优化了网络的灵活性、兼容性和成本效益，并且可以配合其他技术达到所需的网络安全标准。

HUB节点隧建立：

HUB节点的每一组需要建立一条独立的隧道，用于传输VAG中的Interlink数据。

网点隧道规划

甘肃农信每一网点的两条链路和HUB节点中分别与A/B中心需要建立1条隧道。

图5

7.县支行隧道设计

县支行主要作为营业网点进行规划，当前业务网关部署在NE20汇聚设备上。在县支行的设计中，我们需要将县支行的网关从NE20迁移至灾备的锐捷20X设备，并进行相应的路由部署。这样可以确保县支行的营业室作为一个下挂的网点进行业务处理。具体隧道建立方式如下图所示：

图6

8.灾备线路隧道规划

为未来的拓展与规划，我们已构建了一条备用隧道以加强灾备线路。此外，数据中心B与灾备链路之间也建立了一条专用隧道，并以优先级为依据的调度系统。数据中心B作为关键的灾备站点，其主要职能是在主中心遇到故障时，承担起业务的连续性保障。为保障整体网络与HUB之间的稳定性与高效，整体针对网点设立了三条通信隧道。

图7

隧道规划总览：

电信链路与A中心间构建一条HUB隧道。

移动链路与B中心间构建一条VPN隧道。

灾备线路与B中心间增设一条VPN隧道。

A与B中心间的HUB节点间构建一条VPN隧道。

基于载荷预估，网点总共需设立6000条隧道（2000个网点*3）。A与B中心共需部署3条隧道。硬件配置上，考虑采用2组共4台设备。

按照这一规划，完成部署后将有6台设备用于支持VPN隧道服务，其中每台设备能提供1600条隧道。由此，总隧道容量将达到6400条（1600条*4台设备），充分应对未来的发展和扩展需求。

图8

（三）流量调度方案设计

流量调优设计整体主要为网络业务部署、业务流量自动部署组成。

1.整体流量规划设计

在完成数据链路的V-AG捆绑调度后，对生产与办公数据进行了新的流向规划。具体来看：

（1）生产数据流现默认通过Tunnel1转发，并优先采用电信链路；而办公数据流则默认通过Tunnel2转发，优先使用移动链路。

（2）将物理链路与Tunnel及Tunne2相绑定。具有灾备线路的网点建立Tunne3，并且也进行捆绑。对应调度各相关接口的带宽通过环回口完成隧道的建立工作。

（3）为增强链路的冗余和容错能力，生产与办公的物理链路接口被设置为数据流的互备选项。这意味着生产数据在遇到问题时，可以无缝切换至Tunnel2（移动链路）；反之，办公数据流在出现故障时，亦可根据预定设置，全面或部分地优先转移到Tunnel1（电信链路）。

上述调整确保了业务连续性和数据传输的安全性。

图9 正常数据流量

图10 主链路中断生产数据流量

图11 备份链路中断办公数据流量

2.网点分段调度策略

为了提升链路带宽效率并降低备份链路的负荷，实施了一种数据分段调度策略。该策略具体包括：

（1）对Underlay网络层的路由策略进行调整，以确保在路由中断时能够立刻转向备用路由。此外，维持现有的做法，通过环回接口来建立隧道，保证隧道连接的稳定性。

（2）生产数据流和办公数据流相互作为对方的备份。通过精细控制数据流的分段，实现高效的链路调度。一旦生产数据流发生中断，我们将其从网点重定向至县支行，直至能够在县支行恢复到正常的链路路径。

（3）根据具体需求，我们还将适应性地调整策略，以期在时延、带宽和抖动等因素上做出最佳的链路选择。这个灵活的策略调整将进一步优化数据传输的性能。

图12 主链路故障生产数据分段调度

图13备链路故障办公数据分段调度

2.网络业务部署

应用组配置

依据业务特征，基于IP五元组、DSCP特征来定义应用组，SD-WAN控制器根据流量调度情况匹配应用策略。应用组配置过程中，可根据应用组需求，绑定应用组对带宽保障、链路质量、QoS的需求；同时也可以在应用组配置中关联用户自定义的时间段策略，使应用组按照指定时间段生效。

应用选路

各设备根据应用组定义的带宽需求、质量需求、时间段需求以及链路优选策略等，自动为应用组选择合适路径，实现了线路劣化变化时无需控制器干预的分布式智能选路。

业务流量自动化部署

SD-WAN控制器能支持全网自动化下发业务、WAN/LAN业务和QoS业务，支持基于IP五元组、DSCP等字段及基于应用特征(例如SSH 22号端口、HTTP 80号端口)进行应用定义，支持按照优选链路需求、带宽需求、应用质量需求（延时、抖动、丢包率）以及应用的时间段自定义应用策略，支持通过SD-WAN控制器界面一键下发配置。

WAN/LAN业务部署

对于WAN/LAN侧接入网络，根据用户预先在控制器上的的业务设置和网络规划，上线后，SD-WAN控制器支持自动化整网下发完整相关underlay路由、接口等相关配置，不再需要手工方式逐一进行相关业务打通部署。

QOS部署

在骨干网布放业务端到端的QoS功能，实现了基于应用的QoS端到端快速部署能力。不再需要关注各设备的QoS配置，仅需根据业务的QoS需求，通过控制器实现QoS业务的快速下发。

当前常见的MSTP线路通常为100M的高速链路接口，但实际带宽为运营商分配，如2M、4M、8M、10M等，往往小于100M，由于接口带宽和实际带宽不一致，传统的QOS队列机制不会生效，可以通过启用GTS限速后，限速范围从2M-100M之间，再继续启用QOS的队列机制，通过2级QOS技术，支持MSTP线路高带宽链路上的QOS。

生产线路上数据路由器采用尽力转发策略，发生拥塞并造成端口缓存拥塞后路由器广域网口将按FIFO队列处理。

OA线路上推荐采用LLQ队列进行QOS保障。针对故障切换过来的业务数据进行2M带宽保障，对监控类数据进行限定带宽4M低延时优先转发，OA业务采用FIFO队列处理。

传统CLI命令方式配置H-QOS过于复杂，配置困难，学习困难，维护困难在这里不建议使用。如使用广域网SDN技术，使用网络控制器可视化配置，可以考虑在广域网部署H-QOS，进一步提升QOS策略灵活度与精度为业务开展提供保障。

（四）流量调度自动化部署

根据业务情况定义多种调度策略，通过部署线路情况及指定策略，关联实际业务情况，仅需根据在骨干网中业务的调度需求，通过控制器实现业务调度的快速下发。目前锐捷SD-WAN解决方案的智能选路和流量调度基于V-AG技术的带宽池化调度。

V-AG（虚拟链路聚合），为锐捷独有的多链路流量调度技术。V-AG把两个站点之间的多条线路聚合成一条虚拟线路，这些线路可以分布在一台设备上，也可以是在多台设备上。V-AG可以把两级机构之间的多条广域网线路聚合成一个V-AG组进行统一调度。每级机构内部两台或多台设备之间要求路由可达。

V-AG将站点内路由器出口方向的多条链路（可以是Overlay隧道，也可以是物理/逻辑链路）看成是一个带宽资源集合，每台物理设备周期性探测一次出口链路的SLA，然后将探测结果同步到设备监控中心，调度中心从监控中心获取链路SLA并根据链路SLA质量对现有流量按照SD-WAN控制器预设的调度策略进行调度。

对应用流的首包，VAG内的任何一台设备从LAN侧接收到报文时，VAG调度中心将报文通过VAG Interlink送主调度中心，调度中心根据当前所有线路SLA情况和调度策略选择出最优线路并转发，然后通告站点内的成员设备的调度中心，调度中心缓存该应用的路径，该应用的后续报文就可以通过查询调度中心的路径缓存，直接转发，提升转发性能。

当链路状态或者SLA出现变化，监控中心会立即通知调度中心，调度中心会对现有的路径缓存进行刷新，根据变化的链路状况，对应用进行重新选路，达到自动调度的效果。

为了保证路径的一致性，调度中心之间还会通过定期同步机制刷新应用的路径，防止老化后重新调度，做到应用路径在任何时刻在每台设备上都保持一致。

V-AG作为跨设备链路聚合的技术，具备以下优势：

V-AG支持跨设备链路捆绑和流量负载分担，充分利用链路带宽。

V-AG是在现有网络上叠加而成，不改变现网的任何规划和组网。

V-AG支持单端聚合，解决一个方向的流量调度，做到网络的平滑改造。

根据目前项目场景，锐捷SD-WAN方案提供如下关键流量调度能力：

基于不同SLA的流量调度功能

目前控制器支持基于时延、抖动、丢包率、带宽利用率调度功能，可设定当线路时延、抖动、丢包率、带宽利用率不同劣化情况下的不同调度方案，如图：

图13 智能流量调度策略设计并关联应用

并根据实际业务情况，自由搭配实现智能流量调度。

以时延为例，设定策略：生产业务在链路时延小于50ms时转发在主链路上，时间超过50ms就调度到备链路上，如下示例。

图14 正常转发                                                                       图15 符合设定的策略后调度

基于时间的流量调度功能

控制器提供了基于时间灵活的管理方式，可以在不同的时间段进行不同的调度。除全部时段生效外、目前有三种类型的时间管理：每日、每周、固定时间。

图16 基于时间的智能调度

根据业务情况自由选择调度功能

除上述调度策略外，目前锐捷网络SD-WAN方案还提供如下调度策略：

主备线路调度策略

图17 主备线路调度策略

双线路负载均衡调度策略

图18 负载均衡调度策略

流量调度4种模式

4种模式：指定路径模式、主备路径模式、动态负载模式、混合调度模式。

指定路径模式：指定业务运行在某条链路上，当链路发生故障时，业务不会被调度到其他线路，以保障其他线路上承载的业务不受到影响。这种模式，比较适合对实时性、甚至中断要求不高的业务，比如，视频调阅业务，本身传输量较大，且对中断不是特别敏感，如果在B线路中断后调度到A线路，则有可能引起交易业务、办公业务的带宽受到影响，因此，有的金融客户会将此类业务固定在B线路传输。使用此模式，可很好的满足这种需求。在调度策略配置界面中，只选择一条主承载链路，即可将业务部署在此模式。

主备路径模式：指定业务主运行在某条链路上，当链路质量不满足设定的条件时，业务切换到备链路上，当链路质量恢复后，业务重新切换到主链路上。此种模式，适用于生产交易、重要办公等业务保障场景，与传统路由主备方式类似，但在具体检测与调度实现上有天壤之别。检测方面，方案以500ms默认值进行链路质量（丢包、延时、抖动）探测，5钞计算一次线路质量，连续3次超过用户设定阈值、且备线质量正常的情况下，即刻执行操作，将相关业务流量调度到备线转发，调度过程不会造成数据包丢失或损坏。带宽方面，最小以30s采集频率，超阈值后，将本链路大负载应用调度到备线转发。如主线路中断，则将本模式调度策略关联的业务，调度到备线转发。通过在调度策略配置界面中，配置主、备链路，开启劣化后，可设置质量（丢包、延时、抖动）、带宽共4类阈值，即可完成主备模式的定义。

动态负载模式：根据带宽利用率动态的负载到两条链路上。此种模式应用于大数据传输的场景，比如，FTP上传下输、业务报表同步等。通过全局开启负载均衡启动范围值后，在调度策略配置界面将承载线路选入主传输线路框中，即可完成此模式的定义。执行过程中，当某一条线路的带宽利用率在负载均衡范围窗口内，即在两条线中进行流模式的负载均衡。

混合调度模式：部分业务指定路径，部分业务主备调度，剩余业务负载均衡模式。这种模式是前三种模式的一个组合，当前三种模式在多条通信线路上配置完毕后，即形成了此种模式。混合调度模式的应用场景是最广泛的，当营业机构的业务种类很多、需要按需保障时，就会用到前三类模式的组合应用。

以上4种模式都是基于链路的带宽利用率、时延、抖动、丢包等因素，控制器上可进行调度的设置。当调度模式定义完成后，还需要与业务关联，再与站点关联，此时，调度策略会下发到指定的范围，当链路符合设置的调度策略，即会实现进行智能调度。下图为调度策略配置界面，通过不同的组合设置，实现以上4种模式：

图19

调度策略主要是根据underlay和overlay配置中定义的链路资源、路由、隧道实现的，下面针对underlay和overlay的网络配置进行说明。

Underlay网络配置

图16 Underlay网络配置

定义路由域：路由域定义了路由可达和隧道建立的范围，即属于同一路由域的不同线路对应的物理链路之间是路由可达的。通常情况下，不同运营商的相同链路类型之间，例如：移动和联通的互联网专线，可定义为一个路由域。

链路配置：自定义链路对应的名称，仅具有本地意义；

Underlay网络配置逻辑：定义WAN口配置定义LAN口配置定义interlink路由配置

Hub端WAN口配置：

图20

Hub端interlink路由配置：

图21

Hub端静态路由配置：

图22

网点Spoke端WAN口配置：

图23

网点Spoke端LAN口配置：

图24

网点Spoke端静态路由配置：

图25

Overlay网络配置

创建Overlay VPN名称为overlay_test(Overlay_为默认前缀无需添加)，并关联站点。

图26

图27

Hub端overlay配置：

图28

创建Overlay VPN名称为overlay_shiyanshi(Overlay_为默认前缀无需添加)，并关联站点

图29

流量调度模型

为保障业务及网络冗余，采用HUB双运营商线路、SPOKE节点建立多隧道保障业务冗余，具体设计如下：

县支行、网点分部双线路场景

双设备双线路场景下，SPOKE节点和HUB节点同时建立4条隧道，一个HUB路由器连接两条不同运营商接入的overlay隧道，当其中某个HUB节点故障时，SPOKE节点仍能通过原运营商线路和正常HUB建立隧道，保障业务正常转发及线路冗余，线路带宽不减少。

在正常情况下，指定同一运营商的两条隧道组成V-AG资源池并作为主备隧道进行调度。如图，所有线路通过红色隧道进行业务转发；

图30

当其中一个HUB异常后，两个SPOKE设备分别通过两条运营商线路和另一个HUB建立的隧道进行正常的业务转发：

图31

当其中一个运营商线路异常后，SPOKE设备通过另一组运营商线路和两个HUB建立隧道，进行正常的业务转发：

图32

当一个SPOKE设备故障后，另一个SPOKE设备通过和两个HUB设备建立的隧道进行正常业务转发；

图33

单设备双线路场景

单设备双线路场景下，SPOKE节点和HUB节点同时建立4条隧道，当其中某个HUB节点故障时，SPOKE节点仍能通过原运营商线路和正常HUB建立隧道，保障业务正常转发及线路冗余，线路带宽不减少。

在正常情况下，HUB和SPOKE节点通过两条运营商线路建立4条隧道，一个HUB路由器连接两条不同运营商接入的overlay隧道，指定同一运营商的两条线路组成V-AG资源池并作为主备线路进行调度。如图，正常情况下，所有线路通过红色线路进行业务转发；

图34

当其中一个HUB异常后，SPOKE设备分别通过两条运营商线路和另一个HUB建立的隧道进行正常的业务转发：

图35

当其中一个运营商线路异常后，SPOKE设备通过另一组运营商线路和两个HUB建立隧道，进行正常的业务转发：

图36

图2站内链接示意图

四、项目过程管理

（一）总体实施原则

本项目的实施将遵从以下原则：

规范性：网络建设严格遵守相关规范，各个区域的建设及业务部署符合规范要求。

严谨性：网络切换或切换计划周密，安排周到，谨慎实施，使操作对现网和业务的影响降到最低。

统一性：按照统一部署，结合具体需求，配合整体业务发展规划，为业务提供统一的、稳定的网络平台。

高质量：严格按照原厂商质量标准进行实施，保障设备长期稳定运行。

（二）项目整体计划

（三）实施阶段划分

对于甘肃农信SD-WAN网络实施，根据项目的实施流程，可以划分为三个阶段：

1.准备阶段：

准备阶段的主要任务包括实施方案编写、环境准备、设备加电验货、软件版本统一等；

2.实施阶段：

实施阶段的主要任务包括设备的上架安装，配置导入和调试、实施培训，测试验证等

3.投产阶段：

投产阶段主要任务包括网络测试（连通性、压力等）、演练（切换演练、并行演练、投产演练）、上线投产等

（四）项目实施步骤

根据实施阶段所描述的内容，进行详细的任务分解和安排每个任务的实施步骤，确保项目的实施可以按照流程发展。

在保证项目实施的可控范围内，实施任务和步骤，可以根据实际情况作适当的调整，使得项目实施效率更高。

五、运营情况

当前对辖内200个网点进行设备主要运营情况如下：

1.连接方式：SD-WAN将通过混合和多元化接入方式来最大化网络的连通性。我们将使用MPLS、公网宽带、4G/LTE或5G网络这些接入方式，针对不同网点和环境选择最合适、最高效的接入方式。这样的混合和多元接入方式，可以根据地理位置和网络环境的差异，灵活选择接入方式，大大提高甘肃农信网络的覆盖范围和连通性。

2.网络架构：SD-WAN解决方案将构建一个覆盖全省的网络架构，加强总部与分支机构的连通性，提高各分支机构间业务协同效率。SD-WAN可实现动态路径选择、应用优先级智能判断等，保证重要业务的畅通，同时在意外的网络故障和拥堵情况下，通过自动切换链路，实现网络的高可用性。而集中的网络管理，也大大简化了网络维护的复杂性，提高了整体的运营效率。

3.网络优化：SD-WAN具有负载均衡和智能路由的功能。在业务流量过大或网络拥堵的情况下，SD-WAN能够实时地调整网络负载，将流量合理地分配到不同的链路上，避免单一链路的过载，优化整体网络性能。此外，应用级别的智能路由能够将敏感应用的流量使用安全性高、稳定性好的链路，确保关键业务的稳定运行，非关键或者非敏感性数据可以走公网链路，最大化网络资源的使用，提升网络性能。

六、项目成效

1.经济效益

甘肃农信SDWAN项目通过可视化链路管理实现带宽动态优化，无需额外新增带宽资源即可满足业务传输需求，显著降低每月网络运营成本。结合我社1900多个网点的业务覆盖规模，按年度周期测算，项目带来的成本节约可累积形成大幅总成本缩减，为运营效益提升提供直接支撑。

此外，成本节约产生的资金可进一步反哺到金融服务升级、技术研发等核心业务领域，如投入到农村金融产品创新、网点服务设施完善等工作中，形成 “成本优化 - 资源再投入 - 业务提质” 的良性循环。同时，SDWAN简化分支机构网络管理流程、降低人力运维成本的特性，也间接减少了运营开支，助力我社在控制成本的同时，提升整体经营效率与市场竞争力。

2.社会效益

甘肃农信SDWAN项目的落地，不仅带来显著运营效益，更在服务民生、助力金融行业高质量发展等方面产生积极社会效益。从服务质量提升来看，SDWAN通过动态路径选择与流量优化提升网络性能，加快金融交易处理速度、保障业务可靠性，让广大农村及县域地区的客户在办理存取款、转账汇款、信贷申请等业务时，能享受到更高效、稳定的服务，有效缩小城乡金融服务体验差距，助力普惠金融落地生根。

从安全保障层面，SDWAN搭载的加密机制与细粒度安全策略控制，强化了金融数据传输与存储的安全性，既能守护客户资金与信息安全，也进一步夯实甘肃农信的金融服务信任基础，对维护区域金融秩序稳定、增强公众对地方金融机构的信心具有重要意义。

在行业示范与可持续发展方面，SDWAN简化分支机构网络管理、降低人力成本的特性，为同类农村金融机构的数字化转型提供了可借鉴的技术路径；同时，其通过优化带宽使用减少额外资源需求的特点，契合绿色低碳发展理念，减少网络运营中的资源浪费，间接为社会资源高效利用贡献力量。此外，项目长远来看对业务增长的支撑能力，能帮助甘肃农信更好地适配乡村振兴背景下的多样化金融需求，如为农业产业发展、农村小微企业经营提供更便捷的金融服务支持，助力地方经济循环与社会发展。

七、经验总结

甘肃农信SDWAN项目的推进，充分依托技术成熟度与自身资源优势，为金融机构网络升级提供了可借鉴的实践经验。从技术选型来看，SDWAN技术已在大规模场景中应用，其成熟性与可靠性为项目落地奠定了坚实基础，印证了选择行业主流、经过市场验证的技术路径，是保障项目成功率的关键前提。

从实施基础来看，我行网点统一品牌设备的先天条件，有效降低了设备适配难度与改造复杂度，减少了项目推进中的额外成本与协调阻力，这表明充分梳理并利用自身现有资源优势，能为技术项目高效落地提供重要支撑。

从项目价值来看，通过SDWAN实现网点间高效网络连接与路径优化，不仅直接提升业务效率与员工工作效率，更凭借智能选择、动态负载均衡功能增强网络可靠性，保障关键业务稳定运行；同时项目当年即可实现费用节省、运维成本降低与网络健壮性提升，快速兑现价值，为业务发展与竞争力提升注入动力。这些成效进一步说明，技术项目需聚焦实际业务需求，以“降本、增效、提质”为核心目标，才能切实为机构长远发展赋能，也为后续项目立项与深化开发提供了有力依据。