一種實現銀行業應用級雙活的網絡架構改造方法

郝剛

摘要：目前銀行業在金融科技方面投入力度越來越大，均建立有同城或異地災備中心，但在災備中心的利用效率上有待提高。該文提出一種實現銀行業應用級雙活的網絡架構改造方法，通過對現有網絡架構進行改造，實現數據中心與災備中心的應用級雙活，能夠同時對外提供服務，另外可以在數據中心因意外等原因中斷服務時實現災備中心的無縫切換。

關鍵詞：金融科技;災備中心;應用級雙活;架構改造

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）33-0021-02

1概述

隨著我國經濟的快速發展，各行各業越來越重視科技對業務的驅動作用，對科技的投入力度越來越大。尤其在銀行業，金融科技已成為核心競爭力，各行每年在科技方面的預算投入不斷增加，通過建設越來越人性化的應用系統，不斷提升客戶體驗，增強獲客能力。數據中心作為信息技術基礎設施的重要載體，是各行應用系統安全可靠運行、提供高效優質服務的重要保障。為進一步增強容災能力，保證業務的連續性，絕大部分銀行均建設有同城或異地災備中心，災備中心為近年來金融業務的迅猛發展起到了基礎的保障作用。

2雙中心架構介紹

銀行業災備中心在設計建設之初，顧名思義，承擔著數據中心的災難備份作用，圖1是目前一種常見的數據中心與災備中心網絡架構簡圖。

在圖l中，雙中心均部署有核心路由器、防火墻、核心交換機、服務器虛擬化集群。核心路由器負責銀行內外部流量的接收和轉發，防火墻負責安全防護策略的控制。內部網絡采用二層架構，即核心層一接人層，所有虛擬局域網（VLAN）信息均在核心交換機中定義，接人層交換機只負責流量的轉發（未在圖l中畫出）。服務器虛擬化集群是提供服務的主要設備，依靠數據同步機制和虛擬化控制器的控制作用，保證數據在雙中心的同步以及應用在雙中心的漂移。

在實際業務訪問過程中，業務的流量無論從數據中心路由器還是從災備中心路由器進入網絡內部，路由器均會依靠路由優先級的控制策略，將流量轉發到數據中心內部，并不會進入災備中心。訪問流量經過數據中心防火墻、核心交換機，進入服務器區域，從而得到虛擬化集群的響應，流量返回路徑仍然沿著數據中心原路返回，通過數據中心核心路由器送到外部。

3存在的問題

圖1的網絡架構可以在較大程度上保障銀行業務的順利開展，并起到災難備份作用，但隨著網絡、虛擬化等技術的進步，設備性能的提升，上述的網絡架構也相應存在一些問題：

1）網絡可維護性和擴展性較差

網絡目前采用的是二層架構，即接人層一核心層架構，所有vlan信息均在核心交換機中定義。但一般在銀行內部，包括大量的服務器、辦公客戶端、安全防控設備，所有設備的流量轉發都通過核心交換機完成，增加了核心交換機的負擔;同時當接入網絡出現問題后影響范圍過大，排錯也較難;另外，二層架構的可擴展性較差，不利于分類管理。

2）災備中心利用率較低

災備中心只有在數據中心因意外等原因停止對外服務后，才可接管數據中心的業務，在數據中心正常運轉情況下，災備中心設備基本處于閑置狀態，只在路由器層面上進行簡單的數據的轉發，造成了極大地資源浪費，相當于投資了兩倍的資金但實際上只發揮一倍的作用;而且所有應用服務均由數據中心提供，加大了數據中心設備的負載，久而久之，服務響應速度也會受一定影響。

3）災備中心接管服務不靈活

由于所有VLAN信息均在數據中心核心交換機中定義，為防止IP地址沖突，實際上災備中心核心交換機并沒有配置相應網絡信息。當數據中心因意外等原因出現故障無法提供服務時，災備中心不會立即切換，自動承擔起數據中心的角色，需要科技人員在災備中心核心交換機上手工配置VLAN等信息，但在這期間會造成業務的中斷。

由于存在的上述問題，針對圖1的網絡架構，現提出一種實現銀行業應用級雙活的網絡架構改造方法。

4一種實現銀行業應用級雙活的網絡架構改造方法

1）改造三層網絡架構

根據銀行業務特點，在保留原有核心區的基礎上，在數據中心增加生產區、工作區、安全區、管理區四個分區，每個分區的具體功能如下：

生產區：業務服務器部署區域，生產區對不同級別的業務系統實施不同安全策略，將各業務系統操作人員的操作，控制在本區域內。

安全區：安全監控專用區域，部署有安全設備管理終端、堡壘機、安全數據備份、后期審計應用設備、密鑰管理、物理環境安全監控等。

管理區：運行維護管理終端、設備日志服務器、網絡管理系統、物理環境監控等設備專用區域。

工作區：辦公終端、業務終端部署區域。

每個分區分別增加兩臺匯聚交換機，形成“核心一匯聚一接人”三層網絡結構。核心交換機只負責不同分區之間和外部訪問的流量轉發，相應VLAN信息下沉，由各分區匯聚交換機負責定義。核心交換機與各分區匯聚交換機之間采用三層路由方式互聯，在核心交換機、各分區匯聚交換機間啟用OSPF，核心交換機與外聯防火墻等設備采用靜態路由，并將靜態路由重分布到OSPF中，使全網能夠互訪。

通過這種三層架構模式改造，網絡結構更加合理，不同的設備根據自身功能不同，接人相應的分區之中。分區之間互相獨立，降低了核心交換機的負載，當接入層網絡出現問題后影響范圍縮小，便于后續故障排除。災備中心原則上應與數據中心的改造方法相同，進行分區管理，但可根據各家單位的資金實際情況，酌情進行刪減，但為了后續災備中心能夠自動接管業務，生產區是必須要保留的，生產區匯聚交換機也是必須要配備的。

2）生產區匯聚交換機的二層打通

數據中心與災備中心兩邊各部署兩臺生產區匯聚交換機，兩兩之間實現雙機熱備和虛擬化，之后再將雙中心的生產區匯聚交換機二層打通。二層打通實際上是實現了生產區網關信息的共享，利用的是虛擬路由器冗余協議（VRRP）技術，該協議是由IETF提出的解決局域網中配置靜態網關出現單點失效現象的路由協議，廣泛應用在邊緣網絡中，它的設計目標是支持特定情況下IP數據流量失敗轉移不會引起混亂。通過設置VRRP優先級，確定浮動網關位置，在這種情況下，將浮動網關優先放置在數據中心生產區匯聚交換機中。

通過網絡架構改造后的網絡簡圖如圖2。

5結束語

隨著銀行業務的發展和金融科技水平的提高，災備中心的定位也應有所改變，災備中心應該不單單定位于數據中心的災難備份中心，應該更多的承接數據中心的業務。本文通過對現有網絡架構改造，可以有效解決原有網絡架構可維護性和擴展性較差、災備中心利用率較低、災備中心接管服務不靈活等方面問題，提升了災備中心的定位。在具體實現過程中，需要網絡工程師和系統工程師的密切配合，并在完成后需開展充分的網絡和系統測試。

[通聯編輯：代影]