扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
随着我国金融行业实施“改制”和信息化建设的深入,如今的银行已不再是传统意义上的银行,而是具备先进营销理念、融合了高端科技成果的现代金融服务企业。运行稳定、高效、安全的网络已经成为银行良好运行的基础,成为决定银行核心竞争力的最重要的因素。位于祖国北部边陲的内蒙古,随着西部大开发的逐渐深入与扩展,地区经济发展实现了快速增长。而作为区域经济快速增长的重要推动者,内蒙古建行随着建总行数据集中工程的推进和应用系统的快速增多,对网络在总体架构、可靠性、安全性、整体性能等方面都提出了更高的要求。
据了解,中国建设银行内蒙古分行正是于近年完成了骨干网的改造,为数据集中和全行的应用系统的稳定运行提供了良好的网络基础平台,但内蒙古建行的办公大楼却还是5、6年前的网络应用环境,大楼办公网的业务处理能力已经不能胜任和满足现在的业务需求,网络安全事件也曾在大楼网络系统中上演,这也为网络建设应该在扩展性上给于更多的考虑提供了实践依据。而作为共享的基础设施的大楼办公网络就更谈不上对银行的整个网络进行统一的规划和管理,因此,从网络设备层解决安全问题,优化办公网络环境,使网络具有易扩展的功能,并实现网络的统一规划和管理,成为内蒙古建行办公局域网的健全完善以及未来业务发展的最基本的要求。
双核心部署构建高性能稳定网络
目前,内蒙建行省分行有两栋办公大楼,主办公楼有19层,是全省数据中心和网络核心,同时还有部分业务处室集中在南办公楼(共8层)。因此,共27层的办公网络的稳定运行和每层信息点的畅通连接需要一整套网络优化方案。在网络改建中,内蒙古建行采用了锐捷网络强大的双核心解决方案,使整个网络可以从容应对大楼办公的业务处理需求。
图1、内蒙古建行大楼办公网拓扑结构
在网络建设中,锐捷采用双核心、双电源技术,为分行大楼局域网核心层配备了2台万兆路由核心交换机RG-S6506。
——实现更稳定的网络运行.
这次办公网的改建工程,运用双核心设计分离了办公网和业务网,从而降低了彼此之间的影响,使办公网方面的问题不会影响银行核心业务的正常运行,同时办公网核心交换机锐捷RG-S6506对每个网段都启用了VRRP协议,保证每个网段的客户端都能够从IP层上实现冗余备份,当其中一台核心交换机停机等问题出现时,另一台交换机能够承担全部的任务,以保障综合业务和办公业务7*24小时不间断运行。
——实现更高的可扩展性。
RG-S6506这一全模块化骨干路由交换机拥有6个模块扩展槽,以提供管理模块冗余,并拥有电源冗余能力,支持引擎、模块带电热插拔和万兆模块,支持千兆和百兆模块线速转发,可根据用户的需求灵活配置,构建弹性可扩展的现代IP网络。
——实现更高的网络性能。
由于RG-S6506端口线速转发,具有更大的路由表、Mac地址表、ACL表等资源,使网络无论处于何种环境下都不会出现瓶颈,并支持基于Vlan的策略路由和基于目标地址的策略路由功能,最多可以使用4条路径进行负载均衡,充分利用了设备和链路带宽,进而从核心层就可以成倍地提升网络性能。
标准开放协议实现平滑互连
在网络接入层,锐捷采用具有48个固定10/100M以太网RJ45接口的智能千兆交换机STAR-S2150G实现到桌面的100Mbps的连接,其中2个千兆上连扩展槽,采用千兆短波光纤双链路上连双核心,实现与千兆骨干网的连接,而将原有设备用作接入,通过千兆双绞线或千兆光纤连接双核心交换机,使南楼的千兆骨干、百兆到桌面的得以接入,同时也使办公网络的原有设备得到充分利用,节约了投资资金。
此次内蒙古建行的大楼办公网的建设,采用了支持国际上通用的标准网络协议以及国际标准的大型的动态路由协议等开放协议。接入交换机STAR-S2150G与双核心之间就启用了多VLAN生成树协议MSTP(IEEE 802.1S),并将接入交换机业务划分为办公VLAN和业务VLAN,当办公数据流通过链入右边的同核心互连链路传输到核心时,左边的链路作为备份,当综合业务的数据流都通过左边的同核心互连链路传输到核心时,右边的链路作为备份,如图2所示;而与骨干网的互连中,在2台办公核心交换机与2台骨干网核心交换机之间采用了OSPF动态路由协议或静态路由协议,分行大楼局域网作为骨干核心的一个接入模块,以三层方式接入骨干传输核心,并实现数据流在骨干网核心交换机上进行路由的重分发,如图3所示。因此,整个办公网络通过上述协议的运作保证了所建办公网络与综合业务网络、外联机构的其它网络之间的平滑连接与互通,同时也可以看到网络扩展的未来。
图2、与接入层的连接结构
图3、与骨干网的互连结构
统一安全规范与管理策略确保全局QoS
在网络建设中,从网络的接入层到核心层的交换设备都嵌有病毒和攻击防护能力如MAC 、DHCP、STP、ARP攻击,IP/MAC欺骗攻击,DoS/DDoS攻击(SYN Flood攻击),IP扫描攻击等,即使有计算机中一些网络病毒,如冲击波、振荡波、蠕虫等网络病毒,则会被网络设备隔绝在网络之外,不会造成网络瘫痪和其它计算机感染,可以说,这为网络构筑了两道天然屏障,并配置简单、方便快捷。
在办公局域网的交换机上,锐捷还针对不同安全区域设置了营业类、管理类、多媒体类、开发类、测试类等网段,每个网段只为属于这一类的主机和终端提供接口,而不同网段之间则采用VLAN、访问控制列表等安全措施,以保证不同安全区域之间的可控互通,并将安全策略部署在交换核心,以便控制和策略的调整。同时,为杜绝人为乱改IP地址,在办公网核心交换机上启用IP地址和Mac地址的绑定功能,防止私自更改IP地址,并且可以对任何特定的计算机,只有使用固定分配出的IP地址才能正常接入网络,从而增强了对IP地址的有效管理。
为保证业务、语音和视频的无阻塞转发,还将原来的办公服务器、视频服务器、以及www、FTP等等的服务器移到新的办公网络核心上来。由于锐捷网络RG-S6506交换机具有基于Vlan的策略路由功能,能够将语音视频服务器或在语音视频Vlan中的其它多媒体设备的数据流分配到预定的链路上,并根据主机和终端的IP网段进行分类,设定不同优先级,并引入QOS专类设备加以完善QOS策略,提高对接入应用的分类差异化管理。目前,内蒙古建行的业务已经实现了业务按类型的划分网段,在局域网内启用基于VLAN的策略路由功能,在全局可以实施QoS,保证了关键业务的语音、视频等数据流在局域网内的优先转发和选择最佳路径转发,实现数据的高效传输和转发。
不仅如此,新办公网络的建设还将外联业务迁入,实现了Internet接入平台和移动办公接入平台在全行的集中式规划,为新办公网络增加了IPsec-VPN功能,采取统一标准和安全规范提高网络的可靠性和安全性。
内蒙古建行大楼办公网络是全行计算机系统良好运行的基础,在设计中保障了网络及设备的高吞吐能力和各种信息(数据、语音、图象)的高质量传输,从务实、发展的角度满足了内蒙古建行应用业务系统的安全、稳定、易管理的需求,体现了办公网络系统的先进性,使先进技术、现有成熟技术与技术标准相互结合,实现了网络平滑扩充和升级,最大程度减少了对所实施网络架构和现有设备的节约型调整,充分地考虑到内蒙建行计算机系统网络目前的现状以及未来技术和业务集中的发展趋势。
目前,内蒙古建行大楼办公新网络运行良好,锐捷这一以双核心技术为主要策略的解决方案通过大楼办公网与业务骨干网的平滑互连提高了内蒙古建行整个网络的运行效率,从而大大提升了全行的业务处理能力,该方案的成功实施也受到了内蒙古建行的肯定和好评,并为西部地区金融领域的信息化建设搭建了成功的实践平台。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。