鄭添健ZHENG Tian-jian

（黔南民族師范學院，都勻 558000）

（Qiannan Normal College for Nationalities，Duyun 558000，China）

0 引言

人壽保險保險公司省級分公司業(yè)務系統(tǒng)是中國人壽保險股份有限公司系統(tǒng)的組成和延伸部分，承擔著全省壽險業(yè)務和內(nèi)部管理工作。由于保險業(yè)務管理系統(tǒng)對數(shù)據(jù)的安全性、實時性有著特殊的要求，加上公司管理水平不斷提升，因此只有建設安全、高效的網(wǎng)絡系統(tǒng)，才能跟上公司業(yè)務及管理水平迅速提高的步伐。2010年以來，我們對原有計算機網(wǎng)絡系統(tǒng)進行了優(yōu)化、改造，為管理水平的提升和業(yè)務流程的進一步完善提供了廣闊的拓展空間，也為網(wǎng)絡系統(tǒng)自身發(fā)展打下了較好的基礎。我們設定的系統(tǒng)改造的目標如下：

①提高公司計算機管理應用水平；

②升級現(xiàn)有的網(wǎng)絡設備，構造新型網(wǎng)絡平臺；

③開創(chuàng)一種全新、符合公司形象的現(xiàn)代化辦公環(huán)境；

④實現(xiàn)數(shù)據(jù)物理集中：從州級到省級集中，使數(shù)據(jù)的安全性進一步提高；

⑤建立并逐步完善語音系統(tǒng)、OA 辦公系統(tǒng)、Internet網(wǎng)絡應用和實現(xiàn)與銀行網(wǎng)絡互聯(lián)。

1 原有網(wǎng)絡系統(tǒng)分析

1.1 網(wǎng)絡結構

圖1 是省級公司原有網(wǎng)絡結構圖。

分析圖1，我們可以發(fā)現(xiàn)廣域網(wǎng)的現(xiàn)狀較為理想。主要就地市公司局域網(wǎng)（圖2）進行分析：

圖1 人壽全省網(wǎng)絡現(xiàn)狀圖

1.2 網(wǎng)絡架構的問題 分析上述網(wǎng)絡結構，我們可以發(fā)現(xiàn)地市局域網(wǎng)主要由簡單二層交換機和HUB 構成。這存在非常大的弊端和隱患：

①設備性能低，無法滿足應用需求：地市公司的局域網(wǎng)設備均為低端設備（甚至是HUB 這種極簡單的設備），因此在設備級的穩(wěn)定上很低。而地市分公司局域網(wǎng)不僅要承擔本大樓所有用戶的數(shù)據(jù)交換，更重要的是還有承擔所轄所有縣公司的業(yè)務數(shù)據(jù)和OA 等其他數(shù)據(jù)的交換，數(shù)據(jù)交換量非常較大，極易出現(xiàn)因設備死機而引發(fā)的網(wǎng)絡崩潰，致使全市網(wǎng)點無法工作。

②網(wǎng)絡結構不合理，無法保證穩(wěn)定性和可靠性：網(wǎng)絡核心為簡單二層交換機，無法對用戶進行分組并進行訪問權限的控制。通過VLAN 劃分，將用戶分為不同的組，并在三層設備上配置策略，才能實現(xiàn)不同網(wǎng)段用戶間的策略互通，而二層核心顯然是無法實現(xiàn)這點的。網(wǎng)絡在設計上還存在嚴重的單點故障，包括核心設備的單點和樓層與核心連接上的單點。另外HUB 的使用讓很多的PC 共存于同一沖突域，極大增加阻塞頻率。

③網(wǎng)絡無安全措施，安全隱患極大：正是由于采用了低端設備，造成不僅網(wǎng)絡性能低下，而且由于設備功能非常簡單，因此無法對網(wǎng)絡病毒的傳播和網(wǎng)絡攻擊進行任何防范和抵御，只能任其在局域網(wǎng)中活動，常常會造成網(wǎng)絡不穩(wěn)定，甚至崩潰。

根據(jù)上述分析，我們確定了分公司局域網(wǎng)改造的原則：將地市局域網(wǎng)核心更換為高性能的三層交換設備，更換接入層交換機提高性能并增加安全措施，從而提高整個網(wǎng)絡的可靠性，保證網(wǎng)絡系統(tǒng)7×24 小時的穩(wěn)定運行。

2 網(wǎng)絡優(yōu)化改造方案簡介

如圖3 所示，我們將對地市局域網(wǎng)的核心采用一臺STAR-S4909 骨干路由交換機，通過百兆電口連接接入交換機。

接入層交換機采用三臺RG-S2100 系列安全智能交換機，通過10/100M 連接到桌面PC。這個系列的交換機具有極強的端口擴展和功能集成能力，在接入用戶增加時可以堆疊從機或增加接口模塊。為保證可靠，單獨選擇一臺RG-S2100 交換機作為OA 服務器的接入交換機。

為了實現(xiàn)對網(wǎng)絡的可靠管理，我們在局域網(wǎng)內(nèi)設置網(wǎng)管平臺，但從保護投資的角度考慮，此次改造中可先不進行。

每個地市分公司增加的路由器配置如下：

3 改造方案的實施效果分析

3.1 網(wǎng)絡性能方面的效果分析 由于采用了，高性能的三層交換設備做為地市局域網(wǎng)的核心，因此對于大數(shù)據(jù)量的交換得到了很好的保證。（STAR-S4909 的背板帶寬為64G，2 層/3 層包轉發(fā)率為24Mpps）

同時，由于網(wǎng)絡核心更改為三層設備，可以對用戶按照不同的級別和類型進行劃分，將其納入到不同的VLAN中，并在核心上啟用相關控制策略來對其訪問行為進行控制。例如：劃分一個OA 用戶VLAN，在核心交換機上配置策略，限制該VLAN 的用戶只能訪問OA 服務器和Internet 出口，而不能訪問業(yè)務系統(tǒng)。

由于采用了單獨的交換設備連接OA 服務器，提高業(yè)務核心網(wǎng)和OA 局域網(wǎng)核心的數(shù)據(jù)轉發(fā)能力，降低業(yè)務核心網(wǎng)和OA 局域網(wǎng)的關聯(lián)度，增加網(wǎng)絡的安全控制能力，提高整體網(wǎng)絡性能（大多數(shù)信息流只在本地交還，而不必穿越網(wǎng)絡核心,大多數(shù)OA 用戶不會訪問到數(shù)據(jù)中心核心業(yè)務系統(tǒng)），做到業(yè)務與OA 兩網(wǎng)隔離。

3.2 網(wǎng)絡安全方面的效果分析 由于更換了網(wǎng)絡核心設備和接入層設備，可以在這兩類設備上配置諸如ACL策略、啟用防ARP、DOS、DHCP 攻擊、用戶身份認證等功能，來提高網(wǎng)絡的安全性。具體可以實現(xiàn)下列安全目標：

①確定內(nèi)網(wǎng)用戶的合法身份；②控制合法用戶的訪問權限；③禁止內(nèi)網(wǎng)用戶非法撥號；④有效地管理IP 地址；⑤提高網(wǎng)絡防病毒能力（防止諸如沖擊波、震蕩波等常見病毒的傳播和攻擊）；⑥阻斷內(nèi)網(wǎng)攻擊（可以防止ARP、MAC、DOS、DHCP、IP 的等常見的攻擊）；⑦強大的管理、監(jiān)控與日志能力。

3.3 網(wǎng)絡管理方面的效果分析（今后實施后的效果）在上述方案中的網(wǎng)絡硬件平臺上可以設置網(wǎng)絡管理平臺，我們將采用銳捷網(wǎng)絡StarView 管理系統(tǒng)。該系統(tǒng)能提供整個網(wǎng)絡的拓撲結構，能對以太網(wǎng)絡中的任何通用IP 設備、SNMP 管理型設備進行管理，結合管理設備所支持的SNMP 管理、Telnet 管理、Web 管理、RMON 管理等構成一個功能齊全的網(wǎng)絡管理解決方案，實現(xiàn)從網(wǎng)絡級到設備級的全方位的網(wǎng)絡管理。StarView 可以對整個網(wǎng)絡上的網(wǎng)絡設備進行集中式的配置、監(jiān)視和控制，自動檢測網(wǎng)絡拓撲結構，監(jiān)視和控制網(wǎng)段和端口，以及進行網(wǎng)絡流量的統(tǒng)計和錯誤統(tǒng)計，網(wǎng)絡設備事件的自動收集和管理等一系列綜合而詳盡的管理和監(jiān)測。通過對網(wǎng)絡的全面監(jiān)控，網(wǎng)絡管理員可以重構網(wǎng)絡結構，使網(wǎng)絡達到最佳效果。

[1]呂新奎.中國信息化[M].北京:電子工業(yè)出版社,2004.

[2]胡道元.網(wǎng)絡設計師教程[M].北京:清華大學出版社,2004.

[3]王曉軍.信息化建設推動保險業(yè)持續(xù)快速發(fā)展[J].中國金融電腦,2008(02).