李爽久：平安云如何解决金融同业互联专线痛点

据统计，2017 年中国专线市场规模超过 75 亿美元，年增长率达 10%。金融行业出于安全性的要求，对专线服务的需求也在逐步提高。这意味着金融专线不仅需要优秀的传输性能，还需要具有更高的稳定性、安全性。前段时间，平安云推出了金联网，针对金融同业互联问题提出了自己的解决方案。InfoQ 采访了平安云网络技术专家李爽久，了解了金融行业专线的痛点及金联网的一些细节。

InfoQ：您目前负责哪方面工作？

李爽久：目前我在平安云负责网络产品的规划和架构设计，以及网络解决方案的对外输出工作。我们的团队除了提供业界标准化的云网络产品，也会根据用户的需求和行业特点，设计具有行业特色的解决方案，并推动实现产品化。

InfoQ：目前行业内金融专线的现状是什么样的？

李爽久：目前金融企业在网络建设上都规划有专线接入区，用于接入合作伙伴，包括监管机构和其他企业。由于金融行业对安全性的要求，一般都是点对点的专线接入，也就是说一家企业，每拉一条专线，都只能和指定的企业之间互通。

这样就造成了企业需要建设大量的专线，大一点的企业，比如平安，目前有上千条专线，规模小一点的金融企业，十多条、几十条、上百条不等。这样不仅要付出较大的经济成本，而且在开通效率上，也受限于运营商，以平安为例，目前一条专线的开通，运营商承诺的时间是 20 个工作日，这个效率也很低。

InfoQ：金融同行业互联在技术和合规上有哪些重点，为什么云厂商的 SD-WAN 无法满足？

李爽久：这里主要探讨企业之间的互联，因为监管机构的互联，每个监管机构都会有自己的规范，要求会更加严格。金融企业互联，一般都是通过合作伙伴接入，在合作伙伴区部署前置系统，企业之间的互联，实际是实现前置系统的互联，业务的访问都是要通过前置机跳转。而且这里的前置系统 IP，也是经过 NAT 转换后提供给对方的，并不会将真实的 IP 暴露出来。同时，在专线接入区也会要求部署防火墙，安全策略采用最小开放原则，仅开通业务通信所需的 IP 和端口。

应该说金融同行业互联的业务需求，和现有云厂商的 SD-WAN 模型是完全不一样的，现有云厂商的 SD-WAN 方案，更多的是解决两类问题，一类是混合云的构建，算是对专线接入方案的一种补充，可以实现业务的快速开通和就近进入，有些厂商也同步推出了智能硬件设备提供给用户使用。但本质来讲，还是一种纵向的互联方案，是连接用户本地 IDC 与 VPC，这种场景下，是很少考虑安全策略的。

还有一类，是广域网的流量调度和优化，这里其实和互联就没有太多关系了。而金融同业互联，是一种横向的互联，是要实现企业之间的互联互通，那么我们就要提供对应的安全措施，包括企业之间的授权、IP 地址的隐藏、安全策略的控制等。推出金融同业互联方案，是要建立在对金融行业网络深刻理解的基础上的，当然我们未来在产品化的过程中，也会用到 SDN 的技术，但肯定和现有云厂商的 SD-WAN 方案是完全不一样的。

InfoQ：平安云金联网有哪些能力和特性，是如何满足金融行业要求的？

李爽久：平安云金联网的设计原则，是让用户以较少的投资，满足多个场景的需求。

通过一条专线接入平安云，同时实现企业本地 IDC 与 VPC 互通，金融企业之间的互通，以及金融企业与平安集团的互通。我们在做混合云产品设计的时候，发现很多在平安云上的用户，他的专线接入需求并不是到自己本地 IDC 的，而是要到自己的合作伙伴。还有前面提到过的，平安目前有上千条合作伙伴专线，我们就想如果是平安的合作伙伴要上云，能不能复用已有的这条线路。于是我们就将所有需求结合起来，设计出可同时满足多个场景的金联网解决方案。

当然我们也考虑到了金融用户的使用习惯，安全合规等，所以我们在金联网的边界部署了安全设备。我们建议用户如果要实现行业互通，可以将对应的前置系统迁移到平安云 VPC，通过金联网边界的安全设备，满足用户对前置系统 IP 地址隐藏，安全控制等需求。

当前阶段解决方案正在进行产品化，用户在使用时需要向平安云提出申请，我们的解决方案专家会为用户提供系统迁移和互通方案，在产品化完成之后，用户就可以在平安云门户自助完成开通了。

InfoQ：平安云金联网在安全上做了哪些工作？

李爽久：平安云金联网，是基于平安的骨干网进行建设的，我们在骨干网上规划专有的虚拟网络，确保金融企业之间互通的通道是独立的。同时在网络设备上，我们也确保用于金联网场景的网络设备，与平安云其他业务是独立的。另外其实前面也提到了，我们会在金联网的边界部署安全设备，进行 IP 隐藏和安全策略控制，帮助企业之间实现逻辑上的点对点通信。

InfoQ：平安云金联网在运维保障上做了哪些工作，主要使用了哪些技术？

李爽久：金联网基于平安云为用户提供服务，所以我们也是充分利用了平安云在运维保障上的优势。为了解决服务、问题事件无差别处理，平安云花了很大精力投入到智能运维开发中，比如平安云网络智能自愈系统，是针对故障场景和专家诊断经验，结合业务网络拓扑追踪、智能告警归纳、智能流量可视化平台、流量动态阈值等各种因子按照人工智能算法研发而成。

一线的运维人员，通过智能问题自愈系统快速完成问题处理、故障处理，同时也提升了服务能力。我们更多地是依靠管理系统和工具，而非人力。当然，金联网在架构设计之初，也就充分考虑了各个层面的冗余性和切换效率，确保故障发生时，能够快速地进行 HA 切换。

InfoQ：金联网在未来有哪些规划？

李爽久：在解决方案推出后，我们下一步的首要目标是尽快完成产品化，提升用户体验。和业界的混合云产品一样，未来金联网也会是平安云的一个非常重要、有特色的产品，我们是业界第一个提出这个概念的。

金联网可以想象的空间很大，比如现在平安的合作伙伴，未来不仅可以和平安集团互通，还能够通过这条专线，使用金联网与平安云的其他用户互通，那么我们就可以形成一个大的金融生态圈，一个以网络为纽带的生态圈，这个是平安云得天独厚的资源。

最后，未来如果银行核心系统上平安云，我们也会探索为我们的用户提供接入监管机构的方案。