27層辦公網絡優化數據高效安全" 直航"

隨著我國金融行業實施" 改制" 和信息化建設的深入，如今的銀行已不再是傳統意義上的銀行，而是具備先進營銷理念、融合了高端科技成果的現代金融服務企業。運行穩定、高效、安全的網絡已經成為銀行良好運行的基礎，成為決定銀行核心競爭力的最重要的因素。位于祖國北部邊陲的內蒙古，隨著西部大開發的逐漸深入與擴展，地區經濟發展實現了快速增長。而作為區域經濟快速增長的重要推動者，內蒙古建行隨著建總行數據集中工程的推進和應用系統的快速增多，對網絡在總體架構、可靠性、安全性、整體性能等方面都提出了更高的要求。

據了解，中國建設銀行內蒙古分行正是于近年完成了骨干網的改造，為數據集中和全行的應用系統的穩定運行提供了良好的網絡基礎平臺，但內蒙古建行的辦公大樓卻還是5 、6 年前的網絡應用環境，大樓辦公網的業務處理能力已經不能勝任和滿足現在的業務需求，網絡安全事件也曾在大樓網絡系統中上演，這也為網絡建設應該在擴展性上給于更多的考慮提供了實踐依據。而作為共享的基礎設施的大樓辦公網絡就更談不上對銀行的整個網絡進行統一的規劃和管理，因此，從網絡設備層解決安全問題，優化辦公網絡環境，使網絡具有易擴展的功能，并實現網絡的統一規劃和管理，成為內蒙古建行辦公局域網的健全完善以及未來業務發展的最基本的要求。

雙核心部署構建高性能穩定網絡

目前，內蒙建行省分行有兩棟辦公大樓，主辦公樓有19層，是全省數據中心和網絡核心，同時還有部分業務處室集中在南辦公樓（共8 層）。因此，共27層的辦公網絡的穩定運行和每層信息點的暢通連接需要一整套網絡優化方案。在網絡改建中，內蒙古建行采用了銳捷網絡強大的雙核心解決方案，使整個網絡可以從容應對大樓辦公的業務處理需求。

在網絡建設中，銳捷采用雙核心、雙電源技術，為分行大樓局域網核心層配備了2 臺萬兆路由核心交換機RG-S6506。――實現更穩定的網絡運行。

這次辦公網的改建工程，運用雙核心設計分離了辦公網和業務網，從而降低了彼此之間的影響，使辦公網方面的問題不會影響銀行核心業務的正常運行，同時辦公網核心交換機銳捷RG-S6506對每個網段都啟用了VRRP協議，保證每個網段的客戶端都能夠從IP層上實現冗余備份，當其中一臺核心交換機停機等問題出現時，另一臺交換機能夠承擔全部的任務，以保障綜合業務和辦公業務7*24小時不間斷運行。

――實現更高的可擴展性。

RG-S6506這一全模塊化骨干路由交換機擁有6 個模塊擴展槽，以提供管理模塊冗余，并擁有電源冗余能力，支持引擎、模塊帶電熱插拔和萬兆模塊，支持千兆和百兆模塊線速轉發，可根據用戶的需求靈活配置，構建彈性可擴展的現代IP網絡。

――實現更高的網絡性能。

由于RG-S6506端口線速轉發，具有更大的路由表、Mac 地址表、ACL 表等資源，使網絡無論處于何種環境下都不會出現瓶頸，并支持基于Vlan的策略路由和基于目標地址的策略路由功能，最多可以使用4 條路徑進行負載均衡，充分利用了設備和鏈路帶寬，進而從核心層就可以成倍地提升網絡性能。

標準開放協議實現平滑互連

在網絡接入層，銳捷采用具有48個固定10/100M 以太網RJ45接口的智能千兆交換機STAR-S2150G 實現到桌面的100Mbps 的連接，其中2 個千兆上連擴展槽，采用千兆短波光纖雙鏈路上連雙核心，實現與千兆骨干網的連接，而將原有設備用作接入，通過千兆雙絞線或千兆光纖連接雙核心交換機，使南樓的千兆骨干、百兆到桌面的得以接入，同時也使辦公網絡的原有設備得到充分利用，節約了投資資金。

此次內蒙古建行的大樓辦公網的建設，采用了支持國際上通用的標準網絡協議以及國際標準的大型的動態路由協議等開放協議。接入交換機STAR-S2150G 與雙核心之間就啟用了多VLAN生成樹協議MSTP（IEEE 802.1S ），并將接入交換機業務劃分為辦公VLAN和業務VLAN，當辦公數據流通過鏈入右邊的同核心互連鏈路傳輸到核心時，左邊的鏈路作為備份，當綜合業務的數據流都通過左邊的同核心互連鏈路傳輸到核心時，右邊的鏈路作為備份。

而與骨干網的互連中，在2 臺辦公核心交換機與2 臺骨干網核心交換機之間采用了OSPF動態路由協議或靜態路由協議，分行大樓局域網作為骨干核心的一個接入模塊，以三層方式接入骨干傳輸核心，并實現數據流在骨干網核心交換機上進行路由的重分發。因此，整個辦公網絡通過上述協議的運作保證了所建辦公網絡與綜合業務網絡、外聯機構的其它網絡之間的平滑連接與互通，同時也可以看到網絡擴展的未來。

統一安全規范與管理策略確保全局QoS

在網絡建設中，從網絡的接入層到核心層的交換設備都嵌有病毒和攻擊防護能力如MAC 、DHCP、STP 、ARP 攻擊，IP/MAC欺騙攻擊，DoS/DDoS攻擊（SYN Flood 攻擊），IP掃描攻擊等，即使有計算機中一些網絡病毒，如沖擊波、振蕩波、蠕蟲等網絡病毒，則會被網絡設備隔絕在網絡之外，不會造成網絡癱瘓和其它計算機感染，可以說，這為網絡構筑了兩道天然屏障，并配置簡單、方便快捷。

在辦公局域網的交換機上，銳捷還針對不同安全區域設置了營業類、管理類、多媒體類、開發類、測試類等網段，每個網段只為屬于這一類的主機和終端提供接口，而不同網段之間則采用VLAN、訪問控制列表等安全措施，以保證不同安全區域之間的可控互通，并將安全策略部署在交換核心，以便控制和策略的調整。同時，為杜絕人為亂改IP地址，在辦公網核心交換機上啟用IP地址和Mac 地址的綁定功能，防止私自更改IP地址，并且可以對任何特定的計算機，只有使用固定分配出的IP地址才能正常接入網絡，從而增強了對IP地址的有效管理。

為保證業務、語音和視頻的無阻塞轉發，還將原來的辦公服務器、視頻服務器、以及www 、FTP 等等的服務器移到新的辦公網絡核心上來。由于銳捷網絡RG-S6506交換機具有基于Vlan的策略路由功能，能夠將語音視頻服務器或在語音視頻Vlan中的其它多媒體設備的數據流分配到預定的鏈路上，并根據主機和終端的IP網段進行分類，設定不同優先級，并引入QOS 專類設備加以完善QOS 策略，提高對接入應用的分類差異化管理。目前，內蒙古建行的業務已經實現了業務按類型的劃分網段，在局域網內啟用基于VLAN的策略路由功能，在全局可以實施QoS ，保證了關鍵業務的語音、視頻等數據流在局域網內的優先轉發和選擇最佳路徑轉發，實現數據的高效傳輸和轉發。

不僅如此，新辦公網絡的建設還將外聯業務遷入，實現了Internet接入平臺和移動辦公接入平臺在全行的集中式規劃，為新辦公網絡增加了IPsec-VPN 功能，采取統一標準和安全規范提高網絡的可靠性和安全性。

內蒙古建行大樓辦公網絡是全行計算機系統良好運行的基礎，在設計中保障了網絡及設備的高吞吐能力和各種信息（數據、語音、圖象）的高質量傳輸，從務實、發展的角度滿足了內蒙古建行應用業務系統的安全、穩定、易管理的需求，體現了辦公網絡系統的先進性，使先進技術、現有成熟技術與技術標準相互結合，實現了網絡平滑擴充和升級，最大程度減少了對所實施網絡架構和現有設備的節約型調整，充分地考慮到內蒙建行計算機系統網絡目前的現狀以及未來技術和業務集中的發展趨勢。

目前，內蒙古建行大樓辦公新網絡運行良好，銳捷這一以雙核心技術為主要策略的解決方案通過大樓辦公網與業務骨干網的平滑互連提高了內蒙古建行整個網絡的運行效率，從而大大提升了全行的業務處理能力，該方案的成功實施也受到了內蒙古建行的肯定和好評，并為西部地區金融領域的信息化建設搭建了成功的實踐平臺。