 |
金融科技 |
 |
|
|
|
华为3Com构建中行福建分行核心局域网
来源: 作者: 日期:2004/12/2
我国银行的发展重点正在从以“量的扩张”为主转变到以“质的提高”为主,向数据集中化、业务电子化、管理信息化和服务创新等方向发展。所有这一切的变化和发展,必然需要对银行现有的业务基础进行改造和重建,而作为承载平台的网络系统也在悄然发生着历史性的转变。
中国银行福建省分行大楼局域网是连接全省业务的神经中枢。该局域网原来使用的是1998年配置的2台核心交换机,主干为155MATM,7台楼层交换机通过单链路连接到核心交换机。从目前运行情况看,该网络原有设备处于高负荷运转状态,无法充分满足日益增长的新的业务需求。为此,中行福建分行提出了对省行大楼局域网进行改造的迫切需求。
在本次改造项目中,全部选择华为3Com公司具有线速交换能力的系列局域网交换机Quidway? S8016、S3050组建中行福建省分行局域网。
为了保证网络的可靠性,整个局域网采用两台华为3Com的Quidway S8016作为核心交换机,来进行整个大楼局域网络的三层交换处理,两台核心交换机双引擎、双交换网板、冗余电源配置,两台S8016之间通过4个GE链路捆绑互联,之间运行VRRP协议进行负载均担和备份保护,实现双机热备。每台S8016配置多个千兆多模光口与接入层交换机、服务器实现互联。S8016具有128G交换容量,交换网络、路由处理系统、内部总线、以及电源风扇系统等所有关键部件均采用冗余热备份设计,满足福建中行核心业务网高可靠的需求。同时,S8016支持DHCP Relay并内置DHCP Server功能,可以为福建中行局域网内的移动用户分配IP地址,移动用户的访问权限可以通过规则来限定,S8016不论是路由处理系统本身,还是分布式的线路接口板都提供包安全过滤/ACL的机制,防止非法侵入和恶意报文攻击,ACL采用硬件实现,对正常业务没有影响,整机可以支持80K条硬件ACL规则。
楼层交换机采用Quidway? S3050设备,每台交换机与两台核心交换机组成光纤环路,启用RSTP协议进行链路备份,保证网络的健壮性和自愈性,同时保证主干道实现负载分担,提高网络处理能力。
方案中按照业务和办公、生产和开发测试分离的原则对大楼局域网络VLAN和IP地址进行了规划设计。通过Vlan划分实现了外联业务、开发测试、外来人员等特殊客户群的需求。S8016支持4K个全局VLAN(802.1Q),整机支持VLAN数目可随端口数倍增,配合接入层设备S3050完成各个工作组VLAN的划分。
为了保证网络的安全性,最大程度减少IP网络可能出现的地址重复、盗用等行为,方案中对局域网络用户进行MAC+IP+Port三者的绑定认证,这样就能确保只有合法用户才能够上网。无IP地址的主机用户采用MAC+Port方式进行认证。S8016、S3050支持对用户MAC、IP、VLAN、PORT任意组合绑定,有效的防止非法用户访问网络。
同时,配合华为3Com公司 QuidViewTM网管系统实现大楼局域网的统一网管。
解决方案的特点
中行福建分行核心层局域网采用了多业务、高可靠、大容量设计:核心层采用S8016核心交换机具有128G交换容量,所有关键部件均采用冗余热备份设计,采用分布式路由转发处理引擎,支持真正热插拔、热备份。支持VRRP,提供MPLS的快速重路由(FastReroute)功能。网络拓补采用冗余链路设计,通过运行STP保证链路的负载分担和冗余备份,充分保证了网络的高效、可靠运行。
在网络管理和业务能力方面,该局域网能够支持完善的DiffServ/QoS保障:实现了简单流分类、复杂流分类、流量监管、真正的拥塞控制、完善的队列调度和输出流整形等功能,使网络成为一个可以同时承载数据、语音和视频业务的综合网络。Quidway S8016所有QoS功能采用硬件实现,因此,QoS功能的开通不会影响设备性能。
在安全性方面,网络所有设备支持802.1X认证,支持802.1Q VLAN划分,实现用户安全管理和安全隔离。故障速查功能确保快速定位故障节点和可疑用户,可以链接用户信息。该项目的实施为福建中行省行大楼局域网提供了一个数据集中、业务整合、全面安全的新一代高安全金融业务网络。
|
|
|
