迈普助力晋商银行网络改造

概述

晋商银行股份有限公司自2009年2月28日正式挂牌成立以来，一直处于业务飞速发展阶段，网点已经开始向省内及全国扩张。但目前的网络结构只能满足太原市区内总分二级架构的业务需要，且没有安全、有效的运维、管理、监控手段，已经成为制约晋商银行网点扩张的瓶颈。为适应晋商银行核心业务及未来发展的需求，拟对现有广域网进行改造。

在晋商银行组织的广域网改造项目的公开招标中，迈普与国内外近多家知名厂商同台竞争，最终凭借出色的表现，成功中标晋商银行广域网接入项目。改造完成之后，晋商银行所有地市及网点的业务全部通过迈普MP3840、MP2824、SM4200-28FC、SM3100-52TC等设备进行传输。

挑战

依据2010年度完成的网络规划方案，晋商银行拟对现有广域网进行改造，建设稳定、快速、安全、高效、可拓展的银行信息网络，建设适合晋商银行核心业务系统及其它重要系统现状及未来发展的网络系统。整网改造总共分为四个部分：广域网、数据中心网络、同城灾备中心网络、异地灾备中心网络4个部分。其中，迈普参与广域网改造部分，提供分、支行网络路由器及交换机设备。

【广域网可用性需求】

晋商银行广域网改造后，所有网点设备采用移动、联通双MSTP上联到太原中心汇聚设备。

通过对金融系统网管数据进行分析，某行2010年9月份全辖 1100个网点正常业务时段线路故障264小时，线路可用率约为99.90%，而设备故障仅5次。因此，影响广域网可用性的主要因素在于广域网线路的稳定性，而设备故障的情况相对较少。

目前，该行网点数量为70，备用网点路由器数量为8，备份比大约达到了9:1，基本可满足该行的网点设备备份要求。

考虑到办公网PC连接Internet，潜在的安全因素较多，若条件允许，推荐该行网点逐渐过渡到办公、生产物理隔离的模式。办公、生产网络采用单独的网点接入路由器，主线路推荐使用2-4M MSTP线路，备份线路可考虑使用3G。

【广域网安全管理需求】

此次网络改造完成之后，该行网点网络对生产、OA用户未作物理隔离，因此在路由交换一体机或交换机下，需要严格区分生产、办公用户。

网点局域网生产用户VLAN需确保只有该行授权的终端设备能够接入网点局域网，防止未授权的用户对生产系统的访问；通过安全认证技术，实现网络设备的准入控制，确保只有该行授权的网络设备能够接入广域网。

对于离行自助网点（离行ATM），应确保网络设备的物理安全。同样需通过安全认证技术实现网络设备准入控制，确保只有该行授权的网络设备能够接入广域网。离行自助网点（离行ATM）路由器上应控制访问内网服务器的范围。

解决方案

在晋商银行广域网改造项目中，采用了迈普8台MP3840、97台MPMP2824、8台SM4200-28TC、20台SM3100-52TC-AC，全省所有网点及异地分行的数据全部通过迈普设备进行传输。

支行网点设备接入

图4-1 网点支行网络拓扑结构

网点采用单台路由交换一体机设备MP2824，通过两条专线分别接入太原数据中心汇聚路由器。

根据带宽使用情况，通过路由控制实现生产、OA等业务的数据流控制；配合相应的QOS机制，保证生产业务足够的带宽资源分配。

MP2824配置2块24FETH的业务接口板，可支持48个生产或办公终端的接入。划分生产和办公两个VLAN，每个VLAN下分配单独的IP地址网段，控制生产和办公两个网段的互访。

异地分行接入

图4-2 分行网络拓扑结构

异地分行上下联路由器采用MP3840，自带4个千兆电口，其中一个电口用于汇聚异地支行路由器（每个分行2个网点）；其中两个电口分别连接两台核心交换机S4200-28FC；最后一个千兆电口用于连接太原中心汇聚端路由器。

核心交换机采用迈普S4200-28FC，自带24个1000M SFP光口和12个1000M 千兆光口。核心交换机S4200通过千兆光纤互联，通过千兆电口连接防火墙，防火墙通过千兆电口连接分行外联路由器MP2824；通过千兆SFP光口连接异地分行的接入交换机S3100-52TC。

接入交换机采用迈普S3100-52TC，自带48个100M电口和4个1000M Combo口，通过双千兆SFP光纤链路上联到核心交换机S4200上。S3100的交换机端口划分为2个VLAN，生产VLAN和办公VLAN，每个VLAN采用单独的网段，以作安全隔离。

部署分行外联路由器MP2824，连接外联单位。