双链路应对数据"大集中"（1）

　　【赛迪网讯】新业务的快速增长，使得银川市商业银行原有的网络系统难以承受，加之未来的OA业务、Internet业务、IP电话业务、视频业务等新兴业务的扩展，对网络系统提出了更高的要求。

　　现如今的商业银行，已经从以往的只负责传统的存储和支付等业务，向综合的广泛业务扩展，出现了多种业务、多种经营的模式。就拿银川市商业银行来说，它的发展经历，可以说是我国城市商业银行发展过程的一个缩影，是一家从传统银行业务向新兴银行业务转型的一个代表。

　　数据量骤增要求网络升级

　　以往，银川市商业银行像大多数商业银行一样，一直在经营储蓄/支付、外汇业务等传统的银行业务。近年来，随着金融电子化逐步兴起和发展，银川市商业银行增加了13种不同种类的代理业务，像银联业务卡业务，同城清算以及加油卡等业务。

　　新业务的快速增长，使得业务的数据量骤增，这样银川市商业银行原有的网络系统难以承受，加之在未来的增业务中，如OA业务、Internet业务、IP电话业务、视频业务等新兴业务的扩展，也将会对银川市商业银行的网络系统提出更高要求。银川市商业银行决定对原有的网络系统进行全面改造。

　　在这次对网络的改造中，银川市商业银行提出了“对网络实施彻底、全面的改造”，意在把银行所属的2个中心（数据中心和灾备中心）、4个管理部和34家支行的网络进行全面的升级建设，工程从南到北遍布整个银川市。是银川市商业银行发展中的一个“大动作”。

　　尽管全网改建是一项庞大而复杂的工程，但是能够彻底改变以往网络结构层次不清、结构不合理的网络格局，并能更好地确保每个环节安全可靠的建设，整体降低安全风险，确保实施更丰富的易管理策略，银川市商业银行觉得做“大动作”还是值得。

　　银川市商业银行的全网改造是一套“大动作”，但是“大动作”也是由一个个“小动作”组合完成的。所以，在改造进入实施阶段的时候，银川市商业银行把网络改建工程分成了10个小阶段来完成。

　　银川市商业银行先是利用2006年的“五一”长假期间，把整个银行实现了数据大迁移。

　　其实，“数据大迁移”也是一个非常复杂和艰辛的过程，它标志着历时5个月的银川市商业银行全网改建工程“基本大功告成”，已经成功地完成了规范IP地址、设备硬件验收、设备配置、全网设备联调、测试、监测广域网链路和网络割接七个阶段的工作。

　　更重要的是，“数据大迁移”的实现，也为网络初验、网络监测和网络终验的后续阶段工作，做好了充分的准备工作。

　　在网络改造实施工作中，让银川市商业银行感受颇深的一点是，锐捷网络为银川市商业银行设计的整体网络改造工程技术方案中“因地制宜”的思路，是全网改造的基础，同时锐捷网络技术人员对直接参与相关设备的调试，以及他们对业务割接和外联网接入的配合与支持工作，为整个网络的改建，奠定了基础。

　　目前，银川市商业银行的全新网络平台，已经具备了整体的安全可靠性和可扩展能力，保障了业务拓展的灵活性和网络的易管理、易维护。

　　用“星型”，规范结构

　　在银川市商业银行，拥有2个中心，包括1个数据中心和1个灾备中心；有4个管理部，包括中心机房、吴忠管理部、石嘴山管理部和中卫管理部；有34家支行。在网络改造工程中，他们分别被划分为核心层（一级）、管理部层（二级）、支行层（三级）三层，并使整体网络形成星型结构。

　　这样，在银川市商业银行总行的广域网中，吴忠、中卫、石嘴山管理部，均采用锐捷RG-R3662路由器（石嘴山采用RG-R2632）作为二级管理部上联总行网络中心和所辖支行的汇集连接。所有支行均采用锐捷RG-R2692路由器，应用其自带的2个广域网接口作为上行SDH链路和DDN链路的连接。

　　在银川市商业银行总行局域网，采用了2台锐捷S6506高端交换机作为核心交换机，并配置2台S4909交换机作为大楼的汇聚交换机，并应用VRRP技术提供网关的冗余性。所有楼层交换机均采用锐捷S2126交换机，并应用2条100M线路上联至汇聚交换机；汇聚交换机与办公大楼核心交换机采用1000M全交叉连接，并运行动态路由协议，提供高冗余性。

　　作者：董丽凤

　　在办公大楼核心交换机与数据中心核心交换机的2条千兆光纤线路之间，应用2台锐捷高端防火墙以进行安全策略部署。

　　因此，使银川市商业银行的网络结构，实现了全网的梳理，在总行即核心层、管理部层、支行层形成了星型的拓扑结构。

　　双链路灾备，确保可持续

　　根据银川市商业银行“点多面广”的网络特点，网络方案采用了OSPF路由协议作为全网的路由协议，所有节点均采用双链路与上级节点连接，主线路均为2M的SDH线路，备份线路均为64K的DDN线路。

　　所有二级节点采用1条2M SDH线路与网络中心连接，采用1条64K DDN线路与灾备中心连接。

　　由于银川市商业银行管理部所设中心机房与网络中心在一起，因此银川市商业银行管理部的二级节点与一级节点属于本地连接。所有三级节点采用1条2M SDH线路和1条64K DDN线路与所在二级节点连接。

　　由此，银川市商业银行在正常情况下，各个管理部及支行通过主线路（2M）和总行数据中心实现顺畅通讯，包括综合业务数据通讯和办公数据通讯，而且在这条主线路通讯失败时，支行或管理部的综合业务数据，还可以通过DDN线路与总行数据中心实现通讯。

　　而当主线路恢复时，这种双链路结构可以实现自动切换，数据又可以从备用线路自动切回主线路，实现与总行数据中心的通讯。

　　同时，QoS保障技术可在网络发生拥塞时，保证关键性业务和语音视频业务的服务质量。

　　而对于广域网来说，QoS技术的实施使各类业务分别在2M主线路和64K备份线路上保障足够的带宽。

　　管住“接入”，改变模式

　　值得一提的是，在银川市商业银行的网络系统中，数据传输是采用大集中方式。也就是说，在所有管理部和支行的业务操作，都与数据中心之间进行通讯，这样一来数据中心对网络的性能要求很高。

　　为此，数据中心主要采用了2台锐捷S6810E高端交换机作为核心交换设备，配置双电源、双引擎，实现热冗余备份；在数据中心汇聚层，采用3台锐捷S4909交换机，针对不同业务类型进行汇聚。

　　为了确保核心交换机上网关的冗余性，考虑到这种双机热备协议可提供一个虚拟的IP地址，对于各个业务VLAN可以指向这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机提供一个可靠的网关地址，以实现在2台核心交换机之间进行设备的硬件冗余，一主一备，共用一个虚拟的IP地址和MAC地址，通过内部的协议传输机制，可以自动进行工作角色的切换。进而双引擎、双电源的设计，为网络高效处理大集中数据提供了可靠的保障。

　　对外网的接入问题是这次网络改造的重点之一，毕竟它牵系着整个网络的安全问题。

　　外联网经过初期接入改造，尽管已经对外网的访问进行了限制，但是外网仍然直接访问内网IP地址，这就存在了安全隐患。

　　为提高整体外联网络的安全性，针对外联网连接，在这次改造中，银川市商业银行把重点放在了模式的改造上，即将防火墙更改为路由模式，把所有代理业务前置设备，放置于防火墙的DMZ（非军事区）上。

　　同时，银川市商业银行采用高性能路由设备对所有外联网络线路进行集中接入，采用高性能防火墙严格控制网络访问，将所有代理业务前置服务器放置在防火墙的DMZ区，代理业务服务器经路由器进行NAT转换，保障内网IP资源，保证外网对内网数据的非直接访问。

　　此次外联网络初期改造中，还将数据中心ATM接入路由器进行升级，并能支持64个离行ATM设备。

　　经过这次网络改造工程实施后，银川市商业银行的全网设备和带宽都得到了升级，对网络结构和IP地址都进行了合理规划，全网均部署了严格的安全策略，灾备中心网络环境也获得了改善，这些不仅是银川市商业银行全网改造的重要组成部分，更使得银川市商业银行在网络改造后，实现了网络的“六突出”：可靠性、安全性、扩展性、业务保障的灵活性、可管理性与易维护性、技术的标准性与成熟性均有了提升。

　　银川市商业银行全网改造的网络星型结构(n101)

　　作者：董丽凤