保險(xiǎn)公司業(yè)務(wù)承載網(wǎng)絡(luò)的優(yōu)化改造實(shí)踐

鄭添健ZHENG Tian-jian

（黔南民族師范學(xué)院，都勻 558000）

（Qiannan Normal College for Nationalities，Duyun 558000，China）

0 引言

人壽保險(xiǎn)保險(xiǎn)公司省級(jí)分公司業(yè)務(wù)系統(tǒng)是中國(guó)人壽保險(xiǎn)股份有限公司系統(tǒng)的組成和延伸部分，承擔(dān)著全省壽險(xiǎn)業(yè)務(wù)和內(nèi)部管理工作。由于保險(xiǎn)業(yè)務(wù)管理系統(tǒng)對(duì)數(shù)據(jù)的安全性、實(shí)時(shí)性有著特殊的要求，加上公司管理水平不斷提升，因此只有建設(shè)安全、高效的網(wǎng)絡(luò)系統(tǒng)，才能跟上公司業(yè)務(wù)及管理水平迅速提高的步伐。2010年以來(lái)，我們對(duì)原有計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行了優(yōu)化、改造，為管理水平的提升和業(yè)務(wù)流程的進(jìn)一步完善提供了廣闊的拓展空間，也為網(wǎng)絡(luò)系統(tǒng)自身發(fā)展打下了較好的基礎(chǔ)。我們?cè)O(shè)定的系統(tǒng)改造的目標(biāo)如下：

①提高公司計(jì)算機(jī)管理應(yīng)用水平；

②升級(jí)現(xiàn)有的網(wǎng)絡(luò)設(shè)備，構(gòu)造新型網(wǎng)絡(luò)平臺(tái)；

③開創(chuàng)一種全新、符合公司形象的現(xiàn)代化辦公環(huán)境；

④實(shí)現(xiàn)數(shù)據(jù)物理集中：從州級(jí)到省級(jí)集中，使數(shù)據(jù)的安全性進(jìn)一步提高；

⑤建立并逐步完善語(yǔ)音系統(tǒng)、OA 辦公系統(tǒng)、Internet網(wǎng)絡(luò)應(yīng)用和實(shí)現(xiàn)與銀行網(wǎng)絡(luò)互聯(lián)。

1 原有網(wǎng)絡(luò)系統(tǒng)分析

1.1 網(wǎng)絡(luò)結(jié)構(gòu)

圖1 是省級(jí)公司原有網(wǎng)絡(luò)結(jié)構(gòu)圖。

分析圖1，我們可以發(fā)現(xiàn)廣域網(wǎng)的現(xiàn)狀較為理想。主要就地市公司局域網(wǎng)（圖2）進(jìn)行分析：

圖1 人壽全省網(wǎng)絡(luò)現(xiàn)狀圖

1.2 網(wǎng)絡(luò)架構(gòu)的問(wèn)題 分析上述網(wǎng)絡(luò)結(jié)構(gòu)，我們可以發(fā)現(xiàn)地市局域網(wǎng)主要由簡(jiǎn)單二層交換機(jī)和HUB 構(gòu)成。這存在非常大的弊端和隱患：

①設(shè)備性能低，無(wú)法滿足應(yīng)用需求：地市公司的局域網(wǎng)設(shè)備均為低端設(shè)備（甚至是HUB 這種極簡(jiǎn)單的設(shè)備），因此在設(shè)備級(jí)的穩(wěn)定上很低。而地市分公司局域網(wǎng)不僅要承擔(dān)本大樓所有用戶的數(shù)據(jù)交換，更重要的是還有承擔(dān)所轄所有縣公司的業(yè)務(wù)數(shù)據(jù)和OA 等其他數(shù)據(jù)的交換，數(shù)據(jù)交換量非常較大，極易出現(xiàn)因設(shè)備死機(jī)而引發(fā)的網(wǎng)絡(luò)崩潰，致使全市網(wǎng)點(diǎn)無(wú)法工作。

②網(wǎng)絡(luò)結(jié)構(gòu)不合理，無(wú)法保證穩(wěn)定性和可靠性：網(wǎng)絡(luò)核心為簡(jiǎn)單二層交換機(jī)，無(wú)法對(duì)用戶進(jìn)行分組并進(jìn)行訪問(wèn)權(quán)限的控制。通過(guò)VLAN 劃分，將用戶分為不同的組，并在三層設(shè)備上配置策略，才能實(shí)現(xiàn)不同網(wǎng)段用戶間的策略互通，而二層核心顯然是無(wú)法實(shí)現(xiàn)這點(diǎn)的。網(wǎng)絡(luò)在設(shè)計(jì)上還存在嚴(yán)重的單點(diǎn)故障，包括核心設(shè)備的單點(diǎn)和樓層與核心連接上的單點(diǎn)。另外HUB 的使用讓很多的PC 共存于同一沖突域，極大增加阻塞頻率。

③網(wǎng)絡(luò)無(wú)安全措施，安全隱患極大：正是由于采用了低端設(shè)備，造成不僅網(wǎng)絡(luò)性能低下，而且由于設(shè)備功能非常簡(jiǎn)單，因此無(wú)法對(duì)網(wǎng)絡(luò)病毒的傳播和網(wǎng)絡(luò)攻擊進(jìn)行任何防范和抵御，只能任其在局域網(wǎng)中活動(dòng)，常常會(huì)造成網(wǎng)絡(luò)不穩(wěn)定，甚至崩潰。

根據(jù)上述分析，我們確定了分公司局域網(wǎng)改造的原則：將地市局域網(wǎng)核心更換為高性能的三層交換設(shè)備，更換接入層交換機(jī)提高性能并增加安全措施，從而提高整個(gè)網(wǎng)絡(luò)的可靠性，保證網(wǎng)絡(luò)系統(tǒng)7×24 小時(shí)的穩(wěn)定運(yùn)行。

2 網(wǎng)絡(luò)優(yōu)化改造方案簡(jiǎn)介

如圖3 所示，我們將對(duì)地市局域網(wǎng)的核心采用一臺(tái)STAR-S4909 骨干路由交換機(jī)，通過(guò)百兆電口連接接入交換機(jī)。

接入層交換機(jī)采用三臺(tái)RG-S2100 系列安全智能交換機(jī)，通過(guò)10/100M 連接到桌面PC。這個(gè)系列的交換機(jī)具有極強(qiáng)的端口擴(kuò)展和功能集成能力，在接入用戶增加時(shí)可以堆疊從機(jī)或增加接口模塊。為保證可靠，單獨(dú)選擇一臺(tái)RG-S2100 交換機(jī)作為OA 服務(wù)器的接入交換機(jī)。

為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的可靠管理，我們?cè)诰钟蚓W(wǎng)內(nèi)設(shè)置網(wǎng)管平臺(tái)，但從保護(hù)投資的角度考慮，此次改造中可先不進(jìn)行。

每個(gè)地市分公司增加的路由器配置如下：

3 改造方案的實(shí)施效果分析

3.1 網(wǎng)絡(luò)性能方面的效果分析 由于采用了，高性能的三層交換設(shè)備做為地市局域網(wǎng)的核心，因此對(duì)于大數(shù)據(jù)量的交換得到了很好的保證。（STAR-S4909 的背板帶寬為64G，2 層/3 層包轉(zhuǎn)發(fā)率為24Mpps）

同時(shí)，由于網(wǎng)絡(luò)核心更改為三層設(shè)備，可以對(duì)用戶按照不同的級(jí)別和類型進(jìn)行劃分，將其納入到不同的VLAN中，并在核心上啟用相關(guān)控制策略來(lái)對(duì)其訪問(wèn)行為進(jìn)行控制。例如：劃分一個(gè)OA 用戶VLAN，在核心交換機(jī)上配置策略，限制該VLAN 的用戶只能訪問(wèn)OA 服務(wù)器和Internet 出口，而不能訪問(wèn)業(yè)務(wù)系統(tǒng)。

由于采用了單獨(dú)的交換設(shè)備連接OA 服務(wù)器，提高業(yè)務(wù)核心網(wǎng)和OA 局域網(wǎng)核心的數(shù)據(jù)轉(zhuǎn)發(fā)能力，降低業(yè)務(wù)核心網(wǎng)和OA 局域網(wǎng)的關(guān)聯(lián)度，增加網(wǎng)絡(luò)的安全控制能力，提高整體網(wǎng)絡(luò)性能（大多數(shù)信息流只在本地交還，而不必穿越網(wǎng)絡(luò)核心,大多數(shù)OA 用戶不會(huì)訪問(wèn)到數(shù)據(jù)中心核心業(yè)務(wù)系統(tǒng)），做到業(yè)務(wù)與OA 兩網(wǎng)隔離。

3.2 網(wǎng)絡(luò)安全方面的效果分析 由于更換了網(wǎng)絡(luò)核心設(shè)備和接入層設(shè)備，可以在這兩類設(shè)備上配置諸如ACL策略、啟用防ARP、DOS、DHCP 攻擊、用戶身份認(rèn)證等功能，來(lái)提高網(wǎng)絡(luò)的安全性。具體可以實(shí)現(xiàn)下列安全目標(biāo)：

①確定內(nèi)網(wǎng)用戶的合法身份；②控制合法用戶的訪問(wèn)權(quán)限；③禁止內(nèi)網(wǎng)用戶非法撥號(hào)；④有效地管理IP 地址；⑤提高網(wǎng)絡(luò)防病毒能力（防止諸如沖擊波、震蕩波等常見病毒的傳播和攻擊）；⑥阻斷內(nèi)網(wǎng)攻擊（可以防止ARP、MAC、DOS、DHCP、IP 的等常見的攻擊）；⑦強(qiáng)大的管理、監(jiān)控與日志能力。

3.3 網(wǎng)絡(luò)管理方面的效果分析（今后實(shí)施后的效果）在上述方案中的網(wǎng)絡(luò)硬件平臺(tái)上可以設(shè)置網(wǎng)絡(luò)管理平臺(tái)，我們將采用銳捷網(wǎng)絡(luò)StarView 管理系統(tǒng)。該系統(tǒng)能提供整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，能對(duì)以太網(wǎng)絡(luò)中的任何通用IP 設(shè)備、SNMP 管理型設(shè)備進(jìn)行管理，結(jié)合管理設(shè)備所支持的SNMP 管理、Telnet 管理、Web 管理、RMON 管理等構(gòu)成一個(gè)功能齊全的網(wǎng)絡(luò)管理解決方案，實(shí)現(xiàn)從網(wǎng)絡(luò)級(jí)到設(shè)備級(jí)的全方位的網(wǎng)絡(luò)管理。StarView 可以對(duì)整個(gè)網(wǎng)絡(luò)上的網(wǎng)絡(luò)設(shè)備進(jìn)行集中式的配置、監(jiān)視和控制，自動(dòng)檢測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，監(jiān)視和控制網(wǎng)段和端口，以及進(jìn)行網(wǎng)絡(luò)流量的統(tǒng)計(jì)和錯(cuò)誤統(tǒng)計(jì)，網(wǎng)絡(luò)設(shè)備事件的自動(dòng)收集和管理等一系列綜合而詳盡的管理和監(jiān)測(cè)。通過(guò)對(duì)網(wǎng)絡(luò)的全面監(jiān)控，網(wǎng)絡(luò)管理員可以重構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)，使網(wǎng)絡(luò)達(dá)到最佳效果。

[1]呂新奎.中國(guó)信息化[M].北京:電子工業(yè)出版社,2004.

[2]胡道元.網(wǎng)絡(luò)設(shè)計(jì)師教程[M].北京:清華大學(xué)出版社,2004.

[3]王曉軍.信息化建設(shè)推動(dòng)保險(xiǎn)業(yè)持續(xù)快速發(fā)展[J].中國(guó)金融電腦,2008(02).