银川商行网络现状
一直以来,银川商行承办传统储蓄/支付、外汇业务等综合业务,以及信贷、13种不同种类的代理业务,银联业务卡业务,现代支付、同城清算等7项人行业务,以及加油卡的托管业务等。我行这次决定进行全网改造是应当前金融业务拓展的要求,为未来新增业务,如OA业务、Internet业务、ip电话业务、视频业务等扩展空间,以保证我行更多、更好、更安全地为银川百姓服务。
此次我行决定对网络实施彻底、全面的改造,其中包括2个中心(数据中心和灾备中心)、4个治理部和34家支行网络的全面升级建设,从南到北该工程遍布了整个银川市。虽然全网改建工程庞大而复杂,但能彻底改变以往网络结构层次不清、结构不合理的网络格局,并能更好地确保每个环节安全可靠的建设,整体降低安全风险,同时确保实施更丰富的易治理策略,此外,全网性的改造能很好地采用国际标准技术及协议,应用成熟的网络部署技术,切实实现网络的成熟性、标准性及开放性,最后构建一个网络结构合理、设备运行稳定可靠、网络治理先进的高安全性和高可扩展性的网络体系。这次改造可谓是我行发展中的一个“大动作”,从而确保了我行业务的可持续性发展,为百姓带来稳定安全的全面服务。
此次网络改建工程共分10个阶段,在2006年五一期间,整个银行实现了数据大迁移,这标志着全网改建工程历时5个月的规范IP地址阶段、设备硬件验收阶段、设备配置阶段、全网设备联调阶段、测试阶段、监测广域网链路阶段和网络割接共7个阶段工作的成功完成,并做好了在网络初验阶段、网络监测阶段和网络终验阶段的大量预备工作。目前,该全新网络平台已经具备了整体安全可靠性和可扩展能力,保障了业务拓展的灵活性以及网络的易治理、易维护性。在改造实施的工作中,锐捷网络顺利完成了整体工程技术方案、相关设备调试,以及业务割接和外联网接入配合等重要工作,为整个网络改建奠定了扎实的基础,也为整体工程目标的提前完成争取了时间。
星型拓扑规范全网结构
我行拥有2个中心、4个治理部(中心机房,吴忠、石嘴山、中卫治理部)、34家支行,在网络改造工程中,分别被划分为核心层(一级)、治理部层(二级)、支行层(三级),整体网络采用星型结构。
在总行的广域网中,吴忠、中卫、石嘴山治理部均采用锐捷RG-R3662(石嘴山采用锐捷RG-R2632)作为二级治理部上联总行网络中心和所辖支行的汇集连接。所有支行均采用锐捷RG-R2692路由器,应用其自带的两个广域网接口作为上行SDH链路和DDN链路的连接。在总行局域网,采用了两台锐捷高端交换机S6506作为核心交换机,并配置两台S4909交换机作为大楼的汇聚交换机,并应用VRRP技术提供网关的冗余性。所有楼层交换机均采用锐捷S2126交换机,并应用两条100M线路上联至汇聚交换机,汇聚交换机与办公大楼核心交换机采用1000M全交叉连接,并运行动态路由协议,提供高冗余性。在办公大楼核心交换机与数据中心核心交换机的两条千兆光纤线路之间,应用两台锐捷高端防火墙以进行安全策略部署。
因此,使网络结构实现了全网梳理,在总行即核心层、治理部层、支行层形成了星型的拓扑结构,如图1所示。
图1、我行全网改造的网络拓扑结构
双链路灾备确保业务可持续性
根据我行网络特点,整个方案采用了OSPF路由协议作为全网的路由协议,所有节点均采用双链路与上级节点连接,主线路均为2M的SDH线路,备份线路均为64K的DDN线路(如图1所示)。所有二级节点采用一条2M SDH线路与网络中心连接,采用一条64K DDN线路与灾备中心连接,(银川市治理部所设中心机房与网络中心在一起,因此银川市治理部的二级节点与一级节点属于本地连接),所有三级节点采用一条2M SDH线路和一条64K DDN线路与所在二级节点连接。
由此,银行在正常情况下,各个治理部及支行通过主线路(2M)和总行数据中心实现顺畅通讯(包括综合业务数据通讯和办公数据通讯),而且,在该主线路通讯失败时,支行或治理部的综合业务数据可以通过DDN线路与总行数据中心实现通讯。而当主线路恢复时,这种双链路结构可以实现自动切换,数据又可以从备用线路自动切回主线路,实现与总行数据中心的通讯。同时,QoS保障技术可在网络发生拥塞时,保证要害性业务和语音视频业务的服务质量。而对于广域网来说,QoS技术的实施使各类业务分别在2M主线路和64K备份线路上保障足够的带宽。
双引擎、双电源网络高效处理大集中数据
我行的数据传输采用大集中方式,在所有治理部及支行的业务操作与数据中心之间进行通讯,因此,数据中心对网络的性能要求很高。数据中心的网络连接拓扑结构如图1所示,数据中心主要采用2台锐捷S6810E高端交换机作为核心交换设备,配置双电源、双引擎,实现热冗余备份,在数据中心汇聚层采用3台锐捷S4909交换机,针对不同业务类型进行汇聚。
为了确保核心交换机上网关的冗余性,考虑到这种双机热备协议可提供一个虚拟的IP地址,对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在两台核心交换机之间进行设备的硬件冗余,一主一备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。
安全外联实施非直接访问
外联网经过初期接入改造,尽管已经对外网的访问进行了限制,但是外网仍然直接访问内网IP地址,这就存在了安全隐患。因此,为了提高整体外联网络的安全性,针对外联网连接(包括人行银联和代理机构的连接),在此次二次改造中,重点在于将防火墙更改为路由模式,把所有代理业务前置设备放置于防火墙的DMZ区上。
我行采用高性能路由设备对所有外联网络线路进行集中接入,采用高性能防火墙严格控制网络访问,将所有代理业务前置服务器放置在防火墙的DMZ区,代理业务服务器经路由器进行NAT转换,保障内网IP资源,保证外网对内网数据的非直接访问。同时,此次外联网络初期改造中还将数据中心ATM接入路由器进行升级,并能支持64个离行ATM设备。
同一屋檐下的联网
在全网改造的基本构架下,银行整体网络结构采用三级结构,我行的4个二级治理部(中心机房,吴忠、石嘴山、中卫治理部)与34家支行三级中心均通过广域网端口连接,而吴忠、石嘴山、中卫治理部与相应的支行则同处一个屋檐下,显然仍租用广域网线路进行连接是不合理的。因此,采取支行路由器的一个以太口直接与治理部的交换机相连接,支行路由器R2692采用静态路由的方式,治理部采用动态路由。进而,支行的网络建设主要拥有了路由器的路由配置、交换机上的VLAN配置,以及防火墙上的安全配置。从而使在同一屋檐下的治理部网络与支行网络拥有了更简单、更节约成本的连接方式。
全新全网特点突出
经过本次工程实施,我行全网设备及带宽都得到了升级,对网络结构及IP地址都进行了合理规划,全网均部署了严格的安全策略,灾备中心网络环境也获得了改善,这些都是我行全网改造的重要组成部分。改建后,我行网络全面拥有了更稳定的性能、更强大的功能,分别表现在以下几个方面:
——可靠性突出。
此次全网改造均选择高稳定性的网络设备、高稳定性的通讯线路,网络设计上选择可靠的拓朴结构(避免单点失效和进行冗余设计),建设灾备中心,选择可靠的路由协议和技术等。
——安全性突出。
此次改造着重加固了网络设备本身的安全性,在网络中布署网络防护系统,在网络设备上配置防病毒功能,在网络中布署防病毒软件,并实施以访问控制为基础的安全策略,保障业务系统与办公系统的分离,同时部署防火墙控制外网对内网的访问。
——扩展性突出。
此次改造所选择的网络核心设备具有相当的富余插槽与处理能力,能够满足业务发展和营业部需求的增加;网络边缘设备也具有足够的处理能力,以满足可预见的多种需求。
——业务保障的灵活性突出。
不同的业务对网络有不同的要求,如在网络拥挤时要首先保证综合业务,综合业务的数据包不能丢失,而VOIP业务有着对于网络时延和网络抖动等网络参数的非凡要求,但要限制VOIP网络业务流量对网络带宽的过度使用。此次全网建设实现了针对这种情况至关重要的端到端Qos功能。
——可治理性及易维护性突出。
此次改建所配置的完善的网管系统锐捷StarView平台,能够实现对全网的统一治理,减轻网络治理的成本,并能实现对各种网络参数的实时监控和历史记录统计,提高网络的安全可靠性,且可减少由于网络故障增加的业务成本。
——技术的标准性和成熟性突出。
在数据中心的网络建设中采用国际标准技术及协议,并应用成熟的网络部署技术,实现设备间的物理备份,并可提供虚拟IP地址,作为各业务VLAN的网关,从而切实体现了网络的成熟性、标准性及开放性。
此次改造,为我行各级职员的业务顺利开展提供了崭新的平台,更提高了我行面向百姓提供服务的质量。此次网络改造将为我行业务的全面可持续发展提供安全可靠的平台保障。
