| 出版日期:2003-04-21 总期号:1208 本年期号:27 |
|
 |
多种业务安全运行
思科为内蒙古农行构建MPLS/VPN网络 宋媛媛 中国农业银行内蒙古分行是自治区四大国有商业银行之一, 截至2002年6月,内蒙古农行已建成的集中式综合业务网络系统共包括网点1007个,遍布自治区13个盟市分行和130多个偏远旗县支行,是内蒙古自治区内网点最多、分布最广的银行。为了保证在业务正常有序进行的同时加大监管力度,从2002年8月到2003年3月底,内蒙古自治区农行完成了从现有网络向MPLS/VPN网络的平滑迁移。 非专网也能保安全 据内蒙古农行杨玉杰副行长介绍,由于集中式信贷管理系统(CMS)要与办公网联接,因此必须与已建成的“新一代”综合业务网络互相隔离,以保证两个系统的安全性,部分省分行为此建设了信贷业务专用网络。但是内蒙古地域辽阔,人口密度偏低,建设专网不仅需要大量的设备投资,而且通信线路成本也很高。对于科技人员相对缺乏的内蒙古来说,建设专网显然是不现实的。通过大量的市场调查,内蒙古农行决定采用思科的MPLS/VPN技术对现有集中式三级网络系统进行改造和再建设,从而使CMS同ABIS、中间业务、国际业务和OA甚至IP 语音、视频等各项应用能够在同一个网络上安全可靠地运行。 安全在网络内部实现 思科的MPLS/VPN技术兼有基于第二层交换的分组转发技术和第三层路由器技术的优点,在实现广域网的连接中,在网络层将不同的传输业务进行隔离,在网络内部形成了安全性,并且通过进一步采用入侵检测、拨号认证等安全手段,实现了网络的更可靠的安全。这样便于在安全策略下的统一管理和维护,有利于网络资源的充分利用。 另外,为了有效防止黑客及不法用户的非法侵袭,思科公司专门为内蒙古农行设计了一系列安全保护措施。所有的外部连接都采用独立于内部网的路由器,银行内部网采用自定义的IP地址;利用Cisco SecureACS和SecurityDynamicsACE进行网络的身份识别;利用Cisco PIX Firewall来实现网络的防火墙功能,有效防止非法访问,对数据的远程传输进行先进的IPSec56位加密处理等。这些安全手段的实施,使内蒙古农行的多级广域网络系统拥有了一个安全的自我保护盾牌。 分级设计提升网络性能 自治区内一级主干网络在整个体系中发挥着核心支配作用,它对系统的可靠性与安全性要求最高。为此,思科公司采用了两台Cisco Catalyst 6509交换机作为中心机房的局域网核心交换设备,组建了网络中心的高速交换局域网,同时互为备份。而两台扩展性及处理能力极强的Cisco 7513路由器均以交叉连接方式连入两台Catalyst 6509交换机的快速以太网口上,当任何一台设备(路由器或交换机)线路或设备本身发生故障时,另一台将自动接替其工作,无需网管人员干预,保障了系统的安全运行。 
内蒙农行MPLS/VPN总体解决方案 自治区内二级主干网络作为整个广域网络的枢纽和纽带,具有与一级主干网络同等重要的地位,因此,它的设计思想与一级主干网一致。思科公司为盟市行网络设计了双路由器、双交换机的结构,并配置了两台Catalyst 4006中档以太网交换机,两台Cisco 7507和Cisco 3662高、中性能路由器,一台网管工作站,也采用了双机热备份的结构,从而保障了二级主干网络的可靠性与安全性。 自治区内三级主干网络作为由PC或终端组建的营业网点通信线路的汇集点、数据接收和转发的节点,只需通过一台路由器连接到广域网,实现旗县支行的各营业网点之间、旗县支行与二级主干网络之间相通,就可在保留原有网点结构不变的情况下,实现网络互连,因此思科为各旗县支行网络中心选择一台Cisco 2621路由器作为广域连接路由器,通过一条64K DDN与盟市行网络中心的Cisco 7507或Cisco 3662路由器建立连接,同时在网络出现拥塞或发生故障时,可通过自动电话拨号的方式与盟市行数据中心的另一台Cisco 3662路由器建立连接,保障了旗县支行网络的可靠性与安全性。 内蒙古农行是全国农行系统第一家成功采用MPLS/VPN网络技术的分行,现在MPLS/VPN网络已成为承载各项主要业务安全、可靠运行的平台,为商业银行的网络建设工作做出了很好的尝试和有益的探索。 |
||||||||||||||||||||||||||||
