商业银行一级分行局域网建设探讨

商业银行一级分行局域网建设探讨汤海浩中国建设银行重庆市分行信息技术管理部400010【文章摘要】信息系统是商业银行发展的支撑,网络是信息系统的基础平台全国性商业银行一级分行一般为省,直辖市分行,在商业银行结构体系中起着承上启下的作用,本文以某全国性商业银行为例探讨商业银行一级分行局域网络建设问题【关键词】商业银行局域网一,商业银行网络发展历程我国商业银行信息化建设从上世纪90年代中期开始,网络系统从最初路由器加二层交换机的简单组合起步,90年代末期发展为核心汇聚加边缘接入的“园区网“组网方式近年来,应技术发展,业务发展及安全生产运营要求,商业银行存在对网络等基础设施更新改造的迫切需求商业银行一级分行局域网一般指分行本部及中心机房所在大楼局域网,本文主要探讨商业银行一级分行局域网建设问题,以下如无特别说明,局域网皆为商业银行一级分行局域网二,网络建设的一些原则网络建设目标各商业银行多少存在差异,但建设原则多少存在一些共性笔者认为网络建设需考虑的一些原则如下1,全面性的原则由于网络是商业银行各个部门各种业务的底层支撑,资源共享平台,因此,未来网络要为全行的所有业务提供统一的综合通讯平台,要为客户和员工提供全面的服务,满足各类应用对网络的需求2,业务驱动网络的原则网络建设必须适应应用体系的形成和发展,全面提升网络对业务的支撑能力,充分满足业务发展的需求3,松散耦合的原则网络建设应遵循模块化的设计思路,采用松散联系的层次化,模块化体系架构来构建网络各个模块有机地结合在一起,模块之间既自成体系又相互依存4,标准化的原则遵循标准化的原则,采用统一的标准来规划整个网络目标体系架构5,可操作性的原则遵循可操作性的原则,在规划中所确定的网络体系架构,要符合商业银行未来发展的需要,并能够通过技术手段实现6,可扩展性的原则网络的发展将依据应用的发展而发展,网络规划即要满足应用对网络的需求,又要满足应用动态变化发展和应用规模日益扩展对网络提供的可扩展性要求三,局域网网络体系结构从网络体系结构,局域网使用功能出发,商业银行局域网目前可分为六大区域建设服务器区,广域网区,外联接入区,互联接入区,客户端区及核心交换区,各区域模块功能设计如下核心交换区核心交换区作为整个一级分行局域网的核心,连接不同的功能区域,实现数据的高速转发为了保证更好的网络性能,核心交换区只提供实现高速转发功能,安全控制在各边缘区域中实现服务器区服务器区主要是提供一级分行各种主机,服务器的网络接入,是商业银行一级分行生产运行的核心部分该区域从应用体系上可细分为内网服务器区对终端用户提供业务服务,集成服务器区为各应用系统间提供数据加工传输等服务客户端区客户端区主要负责一级分行局域网用户接入,包括办公大楼和同城城域网用户接入客户端区根据业务类型,可分为逻辑隔离的两个安全区生产客户端区和办公客户端区广域网区广域网区实现一级分行上联总部,数据中心,下联二级分行,网点,是一级分行区域内的汇聚层该区域可细分为上联区,下联区,汇聚交换区外联区外联区主要是实现业务的外联,包括同行业的往来业务,重点客户的业务,中间代理业务等的互连平台互联网区互联网区是一级分行访问INTERNET的出口平台,需要通过ISP与INTERNET连接各功能模块区通过核心区有机连接形成商业银行的局域网络,在连接中宜满足以下规则1,核,区域采用冗佘高可靠性,高性能三层交换机建设2,各区域只能通过核心交换区进行互连互访3,各区域使用冗佘汇聚设备连接核4,各区域至核心区采用三层连接,有效分隔二层网络广播域,区域内部设备按实际需求采用二层或者三层连接四,局域网网络安全银行对网络安全有非常高的要求,商业银行网络安全策略的总体目标是保护网络不受攻击,控制异常行为影响网络高效数据转发,以及保护服务器区的计算资源局域网主要是银行内网,除了特定区域需综合部署安全设备,技术外,其他区域要以稳定高效运行与安全保障合理结合出发,主要采用以下技术1,网络分区通过网络分区,明确不同网络区域之间的安全关系,可以对每一个区域进行安全的评估和实施,不必考虑对其他区域的影响,保障了网络的高扩展性,可管理性和弹性互连,外联区因特殊性需综合采用访问控制,防病毒,防火墙,IDS等安全措施2,区域内VLAN隔离在局域网各区域内采用VLAN技术,限制局域网中的广播包隔离不同的网段,使不同VLAN之间的设备互通必须经过路由,为安全控制提供了基础VLAN之间的数据包在链路层上隔离,防止数据不适当的转发或窃听,确保了基础的安全性3,ACLACCESSCONTROLLISTACL通过对网络数据源地址,源端口,目的地址,目的端口全部或部分组合的控制,能够限制数据在网络中的传输在网络中应用ACL,能够达到阻断网络中的异常流量,控制应用系统间访问,控制SNMP网管工作站访问等目的4,防火墙专用的硬件防火墙,是网络中重要的安全设备,为网络提供快速,安全的保护除了在互联外联区必须部署外,为保护主机应用服务器安全可在服务器区出口部署防火墙其他方面,加强安全控制还应考虑防病毒,桌面安全,接入认证等有力手段五,局域网设备选择等其他因素局域网建设还设计其他一些问题,如设备选择,应以满足需求,留足扩展空间出发,选择单一主流厂商主流成熟设备为主,这也可有效减少维护,运营成本局域网路由协议等涉及互连互通部分应选择如OSPF