保險公司業務承載網絡的優化改造實踐

鄭添健ZHENG Tian-jian

（黔南民族師范學院，都勻 558000）

（Qiannan Normal College for Nationalities，Duyun 558000，China）

0 引言

人壽保險保險公司省級分公司業務系統是中國人壽保險股份有限公司系統的組成和延伸部分，承擔著全省壽險業務和內部管理工作。由于保險業務管理系統對數據的安全性、實時性有著特殊的要求，加上公司管理水平不斷提升，因此只有建設安全、高效的網絡系統，才能跟上公司業務及管理水平迅速提高的步伐。2010年以來，我們對原有計算機網絡系統進行了優化、改造，為管理水平的提升和業務流程的進一步完善提供了廣闊的拓展空間，也為網絡系統自身發展打下了較好的基礎。我們設定的系統改造的目標如下：

①提高公司計算機管理應用水平；

②升級現有的網絡設備，構造新型網絡平臺；

③開創一種全新、符合公司形象的現代化辦公環境；

④實現數據物理集中：從州級到省級集中，使數據的安全性進一步提高；

⑤建立并逐步完善語音系統、OA 辦公系統、Internet網絡應用和實現與銀行網絡互聯。

1 原有網絡系統分析

1.1 網絡結構

圖1 是省級公司原有網絡結構圖。

分析圖1，我們可以發現廣域網的現狀較為理想。主要就地市公司局域網（圖2）進行分析：

圖1 人壽全省網絡現狀圖

1.2 網絡架構的問題 分析上述網絡結構，我們可以發現地市局域網主要由簡單二層交換機和HUB 構成。這存在非常大的弊端和隱患：

①設備性能低，無法滿足應用需求：地市公司的局域網設備均為低端設備（甚至是HUB 這種極簡單的設備），因此在設備級的穩定上很低。而地市分公司局域網不僅要承擔本大樓所有用戶的數據交換，更重要的是還有承擔所轄所有縣公司的業務數據和OA 等其他數據的交換，數據交換量非常較大，極易出現因設備死機而引發的網絡崩潰，致使全市網點無法工作。

②網絡結構不合理，無法保證穩定性和可靠性：網絡核心為簡單二層交換機，無法對用戶進行分組并進行訪問權限的控制。通過VLAN 劃分，將用戶分為不同的組，并在三層設備上配置策略，才能實現不同網段用戶間的策略互通，而二層核心顯然是無法實現這點的。網絡在設計上還存在嚴重的單點故障，包括核心設備的單點和樓層與核心連接上的單點。另外HUB 的使用讓很多的PC 共存于同一沖突域，極大增加阻塞頻率。

③網絡無安全措施，安全隱患極大：正是由于采用了低端設備，造成不僅網絡性能低下，而且由于設備功能非常簡單，因此無法對網絡病毒的傳播和網絡攻擊進行任何防范和抵御，只能任其在局域網中活動，常常會造成網絡不穩定，甚至崩潰。

根據上述分析，我們確定了分公司局域網改造的原則：將地市局域網核心更換為高性能的三層交換設備，更換接入層交換機提高性能并增加安全措施，從而提高整個網絡的可靠性，保證網絡系統7×24 小時的穩定運行。

2 網絡優化改造方案簡介

如圖3 所示，我們將對地市局域網的核心采用一臺STAR-S4909 骨干路由交換機，通過百兆電口連接接入交換機。

接入層交換機采用三臺RG-S2100 系列安全智能交換機，通過10/100M 連接到桌面PC。這個系列的交換機具有極強的端口擴展和功能集成能力，在接入用戶增加時可以堆疊從機或增加接口模塊。為保證可靠，單獨選擇一臺RG-S2100 交換機作為OA 服務器的接入交換機。

為了實現對網絡的可靠管理，我們在局域網內設置網管平臺，但從保護投資的角度考慮，此次改造中可先不進行。

每個地市分公司增加的路由器配置如下：

3 改造方案的實施效果分析

3.1 網絡性能方面的效果分析 由于采用了，高性能的三層交換設備做為地市局域網的核心，因此對于大數據量的交換得到了很好的保證。（STAR-S4909 的背板帶寬為64G，2 層/3 層包轉發率為24Mpps）

同時，由于網絡核心更改為三層設備，可以對用戶按照不同的級別和類型進行劃分，將其納入到不同的VLAN中，并在核心上啟用相關控制策略來對其訪問行為進行控制。例如：劃分一個OA 用戶VLAN，在核心交換機上配置策略，限制該VLAN 的用戶只能訪問OA 服務器和Internet 出口，而不能訪問業務系統。

由于采用了單獨的交換設備連接OA 服務器，提高業務核心網和OA 局域網核心的數據轉發能力，降低業務核心網和OA 局域網的關聯度，增加網絡的安全控制能力，提高整體網絡性能（大多數信息流只在本地交還，而不必穿越網絡核心,大多數OA 用戶不會訪問到數據中心核心業務系統），做到業務與OA 兩網隔離。

3.2 網絡安全方面的效果分析 由于更換了網絡核心設備和接入層設備，可以在這兩類設備上配置諸如ACL策略、啟用防ARP、DOS、DHCP 攻擊、用戶身份認證等功能，來提高網絡的安全性。具體可以實現下列安全目標：

①確定內網用戶的合法身份；②控制合法用戶的訪問權限；③禁止內網用戶非法撥號；④有效地管理IP 地址；⑤提高網絡防病毒能力（防止諸如沖擊波、震蕩波等常見病毒的傳播和攻擊）；⑥阻斷內網攻擊（可以防止ARP、MAC、DOS、DHCP、IP 的等常見的攻擊）；⑦強大的管理、監控與日志能力。

3.3 網絡管理方面的效果分析（今后實施后的效果）在上述方案中的網絡硬件平臺上可以設置網絡管理平臺，我們將采用銳捷網絡StarView 管理系統。該系統能提供整個網絡的拓撲結構，能對以太網絡中的任何通用IP 設備、SNMP 管理型設備進行管理，結合管理設備所支持的SNMP 管理、Telnet 管理、Web 管理、RMON 管理等構成一個功能齊全的網絡管理解決方案，實現從網絡級到設備級的全方位的網絡管理。StarView 可以對整個網絡上的網絡設備進行集中式的配置、監視和控制，自動檢測網絡拓撲結構，監視和控制網段和端口，以及進行網絡流量的統計和錯誤統計，網絡設備事件的自動收集和管理等一系列綜合而詳盡的管理和監測。通過對網絡的全面監控，網絡管理員可以重構網絡結構，使網絡達到最佳效果。

[1]呂新奎.中國信息化[M].北京:電子工業出版社,2004.

[2]胡道元.網絡設計師教程[M].北京:清華大學出版社,2004.

[3]王曉軍.信息化建設推動保險業持續快速發展[J].中國金融電腦,2008(02).