摘 要：為了適應(yīng)市場(chǎng)經(jīng)濟(jì)的發(fā)展和滿足用戶對(duì)銀行業(yè)務(wù)的需求，優(yōu)化地市級(jí)銀行的網(wǎng)絡(luò)狀況，提高銀行網(wǎng)絡(luò)的運(yùn)行效率、安全等方面因素，文章設(shè)計(jì)了一個(gè)模擬的銀行網(wǎng)絡(luò)并加以優(yōu)化，為各銀行提供了網(wǎng)絡(luò)設(shè)計(jì)模型。模擬中，原網(wǎng)絡(luò)線路比較單一，設(shè)計(jì)不夠冗余，負(fù)載比較嚴(yán)重，服務(wù)器的安全不夠合理。需要在原有骨干線路上在進(jìn)行拓?fù)鋬?yōu)化，增添網(wǎng)絡(luò)設(shè)備，設(shè)計(jì)路由和安全策略。最終能夠?qū)崿F(xiàn)設(shè)備間運(yùn)行效率更高，數(shù)據(jù)的傳輸更加安全可靠，保證了重要服務(wù)器的安全。最后經(jīng)過(guò)測(cè)試，優(yōu)化后的網(wǎng)絡(luò)無(wú)論在運(yùn)行效率還是安全性方面都有顯著的提高。

關(guān)鍵詞：模型；拓?fù)鋬?yōu)化；路由；安全策略

中圖分類號(hào)：TP393

隨著社會(huì)的發(fā)展和市場(chǎng)經(jīng)濟(jì)發(fā)展的需要，人們對(duì)于銀行的業(yè)務(wù)需求越來(lái)越多，業(yè)務(wù)處理越來(lái)越復(fù)雜，簡(jiǎn)單的網(wǎng)絡(luò)運(yùn)行管理，已經(jīng)無(wú)法滿足銀行快速的發(fā)展。銀行網(wǎng)絡(luò)的設(shè)計(jì)中，拓?fù)?、路由和安全的設(shè)計(jì)關(guān)系著銀行業(yè)務(wù)的處理效率[1]和數(shù)據(jù)安全[2]以及網(wǎng)絡(luò)運(yùn)行的可靠性等。

1 建設(shè)基礎(chǔ)

1.1 網(wǎng)絡(luò)現(xiàn)狀

當(dāng)前銀行網(wǎng)絡(luò)核心網(wǎng)絡(luò)，以兩臺(tái)CISCO3550作為核心交換機(jī)，并啟用三層，各區(qū)域之間通過(guò)單線程進(jìn)行鏈接，比較簡(jiǎn)單，各區(qū)域之間也都是單線程連接非常簡(jiǎn)單。

1.2 存在的問(wèn)題

舊網(wǎng)建設(shè)時(shí)采用的是當(dāng)時(shí)先進(jìn)的技術(shù)和優(yōu)良的設(shè)備，但隨著各種技術(shù)層出不窮，舊網(wǎng)在新的形勢(shì)面前變得乏力。因此，有如下問(wèn)題較為明顯是急需改造設(shè)計(jì)中需要重點(diǎn)考慮[3，4]。

（1）網(wǎng)絡(luò)冗余：舊網(wǎng)只是在總部對(duì)核心采用了備份。一旦某區(qū)域有一條線路斷開(kāi)，會(huì)導(dǎo)致該區(qū)域的癱瘓，無(wú)法工作。

（2）網(wǎng)絡(luò)的負(fù)載均衡：舊網(wǎng)僅有一條主鏈路。在大規(guī)模的數(shù)據(jù)傳遞時(shí)會(huì)產(chǎn)生網(wǎng)絡(luò)擁塞，導(dǎo)致網(wǎng)絡(luò)癱瘓。

（3）舊線路的老化：由于當(dāng)時(shí)技術(shù)條件的限制，加上時(shí)間的長(zhǎng)久，在數(shù)據(jù)的傳輸上不是能夠完全做到快速有效及時(shí)。

（4）內(nèi)外部的信息交流：銀行網(wǎng)絡(luò)的建設(shè)重點(diǎn)就是安全性。應(yīng)當(dāng)對(duì)部門做一些安全策略。

（5）設(shè)備的不足：當(dāng)前網(wǎng)絡(luò)多區(qū)域共用一臺(tái)防火墻，導(dǎo)致網(wǎng)絡(luò)擁塞。

2 建設(shè)方案

通過(guò)對(duì)現(xiàn)有網(wǎng)絡(luò)的分析，本次的設(shè)計(jì)方案在設(shè)備的選擇上更加合理，充分利用IP地址，解決了地址浪費(fèi)和不足的問(wèn)題。路由方面全網(wǎng)動(dòng)態(tài)和靜態(tài)相結(jié)合，讓各區(qū)域之間的工作效率更高。充分考慮信息的安全，做好設(shè)備間冗余和備份。

2.1 網(wǎng)絡(luò)設(shè)計(jì)

整網(wǎng)按業(yè)務(wù)功能和安全需要分為不同的網(wǎng)絡(luò)區(qū)域。各個(gè)區(qū)域部署獨(dú)立的網(wǎng)絡(luò)設(shè)備連接相應(yīng)的主機(jī)、服務(wù)器等設(shè)備，網(wǎng)絡(luò)區(qū)域的匯聚交換機(jī)再連接到核心交換機(jī)上。設(shè)計(jì)過(guò)程中，要避免過(guò)多的環(huán)路，充分考慮備份冗余和數(shù)據(jù)傳輸?shù)男室约案鲄^(qū)域之間網(wǎng)絡(luò)安全等[5，6]。

2.2 路由策略設(shè)計(jì)

為保持良好的擴(kuò)展性，此次全網(wǎng)改造中，將使用OSPF動(dòng)態(tài)路由協(xié)議代替靜態(tài)路由協(xié)議。同時(shí)，由于全網(wǎng)采用的三層的分區(qū)結(jié)構(gòu)設(shè)計(jì)，且每個(gè)功能區(qū)都有防火墻做完全隔離，因此功能區(qū)與核心交換之間仍然使用靜態(tài)路由。對(duì)于新建的大型網(wǎng)絡(luò)來(lái)說(shuō)，選擇一個(gè)合適的路由協(xié)議非常重要。路由協(xié)議對(duì)網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時(shí)的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時(shí)的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有很重要的影響。

數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)路由協(xié)議的選擇要點(diǎn)如下：

（1）適用于實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)，支持大規(guī)模的IP網(wǎng)絡(luò)。

（2）路由選擇的準(zhǔn)確性。

（3）路由算法的簡(jiǎn)單、穩(wěn)定，以減少由算法帶來(lái)的網(wǎng)絡(luò)流量。

（4）路由算法的迅速收斂。減少由收斂慢可能引起的路由環(huán)路。

（5）路由算法的靈活性。

（6）路由協(xié)議具有很好的可擴(kuò)展性。

3 路由安全策略

3.1 下聯(lián)區(qū)安全部署

ACL（Access Control List，訪問(wèn)控制列表）是路由器和交換機(jī)接口的指令列表，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包，其目的是為了對(duì)某種訪問(wèn)進(jìn)行控制。信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，是控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。

ACL是整個(gè)網(wǎng)絡(luò)安全環(huán)境構(gòu)架的基礎(chǔ)。哪些可以和銀行內(nèi)部進(jìn)行交流，哪些銀行部門可以與哪些銀行部門互訪或隔離，哪些數(shù)據(jù)信息需要什么要求才可以訪問(wèn)，都是由ACL進(jìn)行設(shè)定。因此，對(duì)于ACL通常在網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)寫好之后，會(huì)統(tǒng)一在建行總部留有備份，屬于銀行機(jī)密信息。ACL是安全方面的軟防護(hù)，具體的設(shè)備及相關(guān)的安全設(shè)備（如防火墻等）則是安全方面的硬防護(hù)，軟硬結(jié)合方可達(dá)到安全效益的最大化。

3.2 核心功能區(qū)及關(guān)鍵業(yè)務(wù)主機(jī)的安全

（1）應(yīng)考慮在核心交換區(qū)與運(yùn)維監(jiān)控區(qū)、開(kāi)發(fā)測(cè)試區(qū)等之間部署防火墻設(shè)備，并設(shè)置適當(dāng)?shù)脑L問(wèn)策略。

（2）應(yīng)考慮對(duì)生產(chǎn)業(yè)務(wù)區(qū)的關(guān)鍵業(yè)務(wù)主機(jī)、網(wǎng)銀區(qū)的網(wǎng)站主機(jī)部署第二層的防護(hù)措施。

（3）網(wǎng)對(duì)數(shù)據(jù)中心內(nèi)部的邊界應(yīng)部署防火墻進(jìn)行隔離，園區(qū)網(wǎng)向數(shù)據(jù)中心內(nèi)部的訪問(wèn)應(yīng)限制在辦公等功能區(qū)。

（4）應(yīng)考慮在二層交換機(jī)上，采用相應(yīng)的安全技術(shù)來(lái)保障和加強(qiáng)網(wǎng)絡(luò)二層的安全，防范如MAC Flooding、VLAN Hopping等攻擊。

3.3 網(wǎng)絡(luò)設(shè)備自身的安全防護(hù)和加固

數(shù)據(jù)中心網(wǎng)絡(luò)整體安全架構(gòu)設(shè)計(jì)的基礎(chǔ)上，加強(qiáng)網(wǎng)絡(luò)設(shè)備自身的安全防護(hù)也非常重要，一旦網(wǎng)絡(luò)設(shè)備自身的安全受到威脅，將會(huì)給帶來(lái)非常嚴(yán)重的后果。思科的網(wǎng)絡(luò)設(shè)備提供了很多功能來(lái)加強(qiáng)設(shè)備自身的安全防護(hù)，充分而合理的使用可以大大提高和加固這些設(shè)備自身的安全性。

思科路由器和多層交換機(jī)均有一些缺省開(kāi)啟的服務(wù)，很有可能會(huì)被非法利用，通過(guò)關(guān)閉這些服務(wù)，可以增強(qiáng)網(wǎng)絡(luò)設(shè)備自身的安全，只有明確需要時(shí)才啟用這些特性。

4 結(jié)束語(yǔ)

通過(guò)本次對(duì)銀行網(wǎng)絡(luò)拓?fù)湟?guī)劃和路由安全策略設(shè)計(jì)，解決了網(wǎng)絡(luò)中線路比較單一、設(shè)計(jì)不夠冗余、負(fù)載比較嚴(yán)重、服務(wù)器的安全不夠合理、局域網(wǎng)之間通訊緩慢的問(wèn)題。在原有骨干線路上在進(jìn)行設(shè)計(jì)，增添一些網(wǎng)絡(luò)設(shè)備，制定一些新的安全策略，運(yùn)用動(dòng)態(tài)路由協(xié)議和靜態(tài)路由協(xié)議的結(jié)合，節(jié)約了大量成本。最終能夠?qū)崿F(xiàn)設(shè)備間運(yùn)行效率更高，數(shù)據(jù)的傳輸更加安全可靠，保證了重要服務(wù)器的安全。

參考文獻(xiàn)：

[1]隆重.某企業(yè)信息化建設(shè)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)原則[J].工業(yè)設(shè)計(jì)，2011（08）.

[2]胡曦明，董淑福，郭榮平.新型分布式網(wǎng)絡(luò)工程實(shí)驗(yàn)室的設(shè)計(jì)與建設(shè)[J].實(shí)驗(yàn)室研究與探索，2011（10）.

[3]吳建平，林嵩，徐恪.可演進(jìn)的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)研究進(jìn)展[J].2012（06）.

[4]尹本兵.一種基于信任證書管理的可信OSPF協(xié)議[D].北京郵電大學(xué)，2012（01）.

[5]黃向農(nóng)，曾毅夫，譚永欣.關(guān)于OSPF路由優(yōu)化技術(shù)的探討[J].實(shí)驗(yàn)技術(shù)與管理，2012（02）.

[6]姚林燕.IGP-OSPF路由協(xié)議網(wǎng)絡(luò)優(yōu)化技術(shù)[J].電腦與電信，2012（02）.

[7]于本成，陳彥，楊勇.ACL在中小型企業(yè)網(wǎng)絡(luò)中的應(yīng)用[J].軟件工程師，2011（07）.

[8]彭薇.ACL在網(wǎng)絡(luò)管理中的應(yīng)用[J].太原大學(xué)學(xué)報(bào)，2011（09）.

[9]Thawatchai Chomsiri；Preecha Noiumkar The Theories for Analyzing Matched Packets on Cisco ACL Rules，The Proceedings of 2011 1st International Conference on Network and Electronics Engineering，2011-09-16.

作者簡(jiǎn)介：李道偉（1974-），男，江蘇徐州人，本科，研究方向：網(wǎng)絡(luò)管理。

作者單位：徐州工業(yè)職業(yè)技術(shù)學(xué)院，江蘇徐州 221000