锐捷网络助广东人寿信息化建设

构建新一代高可靠、高效率、高安全的人寿系统中心局域网

中国加入“WTO”以后，在“十五”期间的金融企业的经营项目种类会进一步放开。中国的保险行业面临着巨大的内忧外患，大量的海外保险公 司开始抢滩登入。作为寿险行业的旗舰行业－中国人寿公司，在行业内具有很大的客户优势，业务量占有60％左右。各地人寿公司的IT部门，积极在开展提高信息化水平的网络改造工程。中国人寿广东分公司就是在这样的情况下，决定对自己的中心生产和办公网路进行规范，优化网络信息流程，增强分公司对辖区内的所属分支机构的监管力度。

项目建设背景

在中国的保险和金融行业，大多数的生产和办公网络已经非常健全。最近两年以中国工商银行为首的各大商业银行纷纷将分散在分理处或支行的数据进行上收。建立了以总行/一级分行为中心的数据中心。数据大集中会大大加强总公司的监管力度；简化业务流程、提高工作效率；统一客户界面，提高企业形象；节省运维成本，提高服务质量。

广东人寿保险公司同样在数据大集中方面进行了大量的工作，目前数据已经集中至省中心，数据的上收，对广域网线路以及省中心局域网的备份和高效性都提出了很高的要求，广东人寿的网络改造的原则是：使用先进的网络技术，在全省建成宽带、高性能、综合多种业务的数据通信骨干网，为全省内的人寿公司系统提供高速、可靠、优质的通信服务。

项目具体实施

广东人寿的网络现状分析

广东人寿公司各地分公司都有自己的生产业务服务器，负责地市辖内支公司的业务终端的接入和数据的调用。这种网络架构存在以下弊端：

（1） 大大增加了网络的维护量，而且网络设备和主机的可靠性不高。

（2） 数据库同步慢，分公司无法及时的监管。

（3） 业务系统很难统一应用。

（4） 开发新的业务系统和险种时具有很大瓶颈。

广东人寿大厦的13、14、15层是分公司的办公区域，采用Lotus Domino/Notes系统实现企业办公的信息化， Lotus Domino/Notes所具有的强大功能、开放性、跨平台性、易用性、可伸缩性和安全性。但是人寿公司目前在上面开发的应用还很少，主要原因是没有一个健壮的网络平台。就现有网络结构来看，通过3台STAR-S1824F+交换机的级联实现每个信息点和服务器的接入，存在着很多不足。

如：设备缺乏管理功能；广播域的范围很大，降低了整个网络的性能；存在安全隐患；新的应用无法开展。

广东人寿中心局域网建设必须满足的几点要求：

1． 由于省中心是全省的数据中心，所以中心局域网的高可靠性是第一要求。

2． 考虑到数据的集中同样预示着危险的集中，省中心一处危险可能会造成整个业务系统的崩溃，高安全性同样是最高的要求。

3． 高效率的提出，将是最大限度的保证数据集中后整个人寿网络高效的运转，使工作效率得到进一步的提高。

4．适应未来网络的发展，现有的网络要满足未来语音视频的发展。

通过细致的规划和多次论证，广东人寿核心网络改造方案最终确定了采用锐捷网络提供的改造方案及网络设备。

首先在高可靠性方面我们在中心设备采用双核心双引擎双电源的技术保证，在物理层、链路层、和网络层我们都有相应的备份机制。保证任何的单点故障都不会影响到整个网络的正常使用。

其次在高安全方面我们将整个网络按照不同的部门和业务种类进行详细的vlan划分，即减小了广播域更主要的是对安全的保证提供了丰富的技术实现手段。

第三在高效率方面我们采用国际先进的千兆主干百兆到桌面的两层设计理念，千兆主干可充分满足未来网络规模的扩展和跨网段之间数据的高效传输。

在满足未来语音和视频的发展方面，我们采用的这些设备对于组播功能的支持都非常强大，核心交换机的组播路由协议支持dvmrp、pim-sm、pim-dm等，其次核心设备的256G的背板带宽和线速的2/3层数据转发，都可以充分满足未来的语音和视频的发展。

具体组网如下图示

项目设计思想及特点：

为了满足广东人寿公司对生产运行的高安全性、可靠性这两个最根本的要求，我们采用生产运维网络和OA网络通过ACL隔离的方式，并且核心设备采用双机热备份的方式保证生产的不间断运行。同时要严格规定每一个信息点的业务角色，不允许OA内部的PC机直接访问生产网络。

另外， 对于不同角色的服务器如视频、影像、OA服务器等划分在不同的VLAN,减小了广播域，避免了服务器之间的相互影像，如果服务器之间有通信的需求，而通过硬件的三层功能实现，并且可以通过acl灵活的控制子网个性化主机之间的通信。

高效率、高可靠

（1） 千兆以太网为网络的骨干，以100M快速以太网到桌面的方式,也是目前最先进的局域网建设模式，这一点也满足了网络高带宽、高性能的建设需求，因此我们在方案设计中采用了骨干千兆以太网交换，信息点与接入交换机之间采用百兆以太网交换的方式。

（2） 核心交换机之间采用Gigabit Ethernet channel（以太通道技术），可以达到8GE的带宽，Gigabit Ethernet channel除了能够构建高速的无瓶颈骨干外，利用MSTP和VRRP等技术还能够在网络的各层之间起到设备之间的冗余备份和负载均衡。锐捷网络所提供的网络设备采用的基于目的MAC地址的负载平衡算法，能够实现高效的负载均衡和冗余备份。

（3） 世界流行的二层架构，即接入层和汇聚层合并，核心到接入交换机为千兆光纤，利用接入交换机的高性能、高端口密度，用户信息点直接通过双绞线以百兆接入接层交换机。

（4） 采用业界流行的图形化界面的网络管理系统，实现更加快速、有效、网络管理与维护工作更加容易。

（5） 这样，在整个网络的核心配置一组双核心交换机，包括2台STAR－S6808核心骨干交换机，核心交换机之间采用GE Channel技术联结成一体，且通过RRSTP、MSTP、VRRP等技术作相互冗余备份和负载均衡。

（6） 13－15层每层放置一台接入交换机S3550-48，负责整个三层楼的办公区域内OA信息点的接入。三台S3550-48分别通过两条GBIC千兆线路与两台核心层交换机分别相连。

（7） 对于生产服务器区块，使用一台S4909和一台S3550-48分别连接40台pc server和两台小型机。两台交换机分别通过千兆线路先与防火强相连再与两台核心交换机相连。

（8） 与各地市广域网相连的cisco7500路由器，通过双以太口分别连接两台S6808交换机。

（9） 外联业务分别通过3550-24/48连接防火墙再与外部广域网相连。

高安全性

（1） 把业务网段和OA网段作隔离的安全性设计（如前面描述）

（2） 生产网络内由于主机数量很多，为了减轻彼此之间的广域报文的影像，提高网络性能，所以采用两台交换机连接，40台服务器分载在两天交换机上，如果某天设备出现故障还可以相互备份。当小型机到位时，再把两台小型机划分在独立的VLAN中，和pc server隔开广播域。对于40台pc server 可以采用锐捷交换机的pvlan功能，相互隔开，减小广播包对服务器性能的影响。或者分到两个vlan里。

（3） S-NSMP安全接入认证审计系统

（4） 在网络的各大区的数据中心，建立S-NSMP安全认证审计服务器。网络内任何一个用户只有提供合法的用户名和密码才能使用网络。即解决了域内IP地址冲突的问题，又解决了非法用户入侵的问题。另外，这种方式支持移动用户的账号漫游，用户在企业内部各省市之间出差时，可以随心所欲的使用网络。

项目效果分析和用户反馈

该项目在既定的时间内如期按照《广东省人寿核心局域网改造项目实施报告》顺利完成，完成后的整个网络在可靠性安全性高效性方面得到了实践的进一步的证明，两台核心设备计实现了冗余备份同时也实现了负载均衡，现在整个网络已经正常高效的运转了一个月，使用效果令人满意，除此之外改造后的网络架构更加明晰，管理和维护也更加方便。信息技术部的毛处和梁科长对整个网络改造项目的实施从方案和技术两方面都给与了很好的指导和认可。

相关文章