邢 輝

中國郵政儲(chǔ)蓄銀行內(nèi)蒙古分行，內(nèi)蒙古呼和浩特 010000

基于路由器VRRP及QOS功能構(gòu)建金融系統(tǒng)網(wǎng)點(diǎn)主備線路設(shè)計(jì)

邢 輝

中國郵政儲(chǔ)蓄銀行內(nèi)蒙古分行，內(nèi)蒙古呼和浩特 010000

為保障金融系統(tǒng)網(wǎng)點(diǎn)不間斷對(duì)外提供服務(wù)，需要實(shí)現(xiàn)網(wǎng)絡(luò)通訊線路主用中斷，備用可自動(dòng)接管，并能夠根據(jù)兩條線路傳輸?shù)臉I(yè)務(wù)重要程度，進(jìn)行帶寬流量控制，保證重要生產(chǎn)業(yè)務(wù)數(shù)據(jù)的穩(wěn)定傳輸。文章闡述了基于VRRP協(xié)議及QOS服務(wù)合理設(shè)計(jì)，并與通訊運(yùn)營商線路類型緊密銜接，設(shè)計(jì)網(wǎng)絡(luò)組網(wǎng)結(jié)構(gòu)，通過網(wǎng)絡(luò)路由器準(zhǔn)確配置成功將該設(shè)計(jì)運(yùn)用于金融系統(tǒng)網(wǎng)絡(luò)中。

自動(dòng)切換；通訊線路；虛擬路由冗余；服務(wù)質(zhì)量

隨著我國經(jīng)濟(jì)發(fā)展，金融服務(wù)業(yè)也得到了前所未有的快速提升。金融業(yè)務(wù)的穩(wěn)定服務(wù)不僅關(guān)系到金融行業(yè)的聲譽(yù)、利益，甚至關(guān)系到社會(huì)的穩(wěn)定甚至國家的安全。金融業(yè)能夠穩(wěn)定對(duì)外服務(wù)，擁有一個(gè)堅(jiān)固而穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)，是金融行業(yè)得以繼續(xù)發(fā)展的重要基礎(chǔ)。

金融行業(yè)信息系統(tǒng)主要分兩大類網(wǎng)絡(luò)，一是生產(chǎn)網(wǎng)，對(duì)外提供金融服務(wù)的網(wǎng)絡(luò)；二是管理網(wǎng)，對(duì)內(nèi)提供金融系統(tǒng)內(nèi)部管理、數(shù)據(jù)分析的網(wǎng)絡(luò)。目前，重要的金融機(jī)構(gòu)采用生產(chǎn)網(wǎng)和管理網(wǎng)均申請(qǐng)一條備用通訊線路，用來保證網(wǎng)絡(luò)不間斷運(yùn)行。對(duì)于網(wǎng)點(diǎn)眾多的大型金融機(jī)構(gòu)，增加的通訊線路數(shù)量在幾百條、甚至幾千條，通訊線路成本成為信息系統(tǒng)運(yùn)行成本的主要支出。如何在保障生產(chǎn)網(wǎng)穩(wěn)定不間斷運(yùn)行，并且無需新增通訊線路，成為一個(gè)非常重要的技術(shù)關(guān)鍵點(diǎn)。通過合理設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)、合理運(yùn)用網(wǎng)絡(luò)技術(shù)，同時(shí)進(jìn)行大量實(shí)驗(yàn)測試，得出以下結(jié)論：利用原有生產(chǎn)網(wǎng)與管理網(wǎng)，通過已有的網(wǎng)絡(luò)形成線路備份機(jī)制，同時(shí)能夠兼顧兩網(wǎng)運(yùn)行的業(yè)務(wù)，保證業(yè)務(wù)服務(wù)質(zhì)量。本文網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)及網(wǎng)絡(luò)技術(shù)運(yùn)用成功實(shí)現(xiàn)了雙線備份及服務(wù)質(zhì)量保證，提高網(wǎng)絡(luò)穩(wěn)定性的同時(shí)，大大減少了通訊線路成本支出，為企業(yè)節(jié)約成本也是一種效益的體現(xiàn)。

1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

1.1網(wǎng)絡(luò)邏輯架構(gòu)

金融機(jī)構(gòu)網(wǎng)絡(luò)主要由生產(chǎn)網(wǎng)和管理網(wǎng)構(gòu)成，數(shù)據(jù)中心與網(wǎng)點(diǎn)間采用直連匯聚鏈路進(jìn)行網(wǎng)絡(luò)通訊。在數(shù)據(jù)中心側(cè)通過4臺(tái)路由器2臺(tái)為一組分別連接網(wǎng)點(diǎn)側(cè)生產(chǎn)網(wǎng)和管理網(wǎng)路由器，數(shù)據(jù)中心端路由器通過生產(chǎn)網(wǎng)和管理網(wǎng)核心交換機(jī)與服務(wù)器通訊，網(wǎng)點(diǎn)側(cè)2臺(tái)路由器通過互聯(lián)trunk端口進(jìn)行主備線路切換，網(wǎng)絡(luò)邏輯拓?fù)鋱D如圖1所示。

1.2網(wǎng)絡(luò)路由設(shè)計(jì)

使用ospf協(xié)議建立核心區(qū)網(wǎng)絡(luò)路由，為了滿足生產(chǎn)網(wǎng)和管理網(wǎng)絡(luò)隔離的需求，在匯聚路由器上使用兩個(gè)ospf進(jìn)程進(jìn)行隔離。生產(chǎn)網(wǎng)核心交換機(jī)與生產(chǎn)網(wǎng)匯聚路由器之間運(yùn)行ospf100，傳輸生產(chǎn)網(wǎng)絡(luò)數(shù)據(jù)流量；管理網(wǎng)核心交換機(jī)與管理網(wǎng)匯聚路由器之間使用ospf200，傳輸管理網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)流量。

生產(chǎn)網(wǎng)核心路由器同數(shù)據(jù)中心生產(chǎn)網(wǎng)匯聚路由器使用三層口全互聯(lián)網(wǎng)絡(luò)架構(gòu)，ospf進(jìn)程設(shè)為100。ospf路由協(xié)議會(huì)自動(dòng)實(shí)現(xiàn)備份功能，任何一根線斷掉或者設(shè)備故障，都不會(huì)影響生產(chǎn)網(wǎng)安全運(yùn)營。鄰居建立使用ospf point-to-point網(wǎng)絡(luò)類型。引入下聯(lián)rip路由協(xié)議進(jìn)入ospf100，使用路由過濾功能，只準(zhǔn)許生產(chǎn)網(wǎng)段進(jìn)入ospf100。

管理網(wǎng)核心路由器同數(shù)據(jù)中心管理網(wǎng)匯聚路由器使用三層口全互聯(lián)網(wǎng)絡(luò)架構(gòu)，ospf進(jìn)程設(shè)為200。ospf路由協(xié)議會(huì)自動(dòng)實(shí)現(xiàn)備份功能，任何一根線斷掉或者設(shè)備故障，都不會(huì)影響非生產(chǎn)網(wǎng)安全運(yùn)營。鄰居建立使用ospf point-to-point網(wǎng)絡(luò)類型。引入下聯(lián)rip路由協(xié)議進(jìn)入ospf200，使用路由過濾功能，只準(zhǔn)許非生產(chǎn)網(wǎng)段進(jìn)入ospf200。

在匯聚路由器與網(wǎng)點(diǎn)之間使用了RIP路由，啟用單進(jìn)程的RIPv2協(xié)議，進(jìn)程號(hào)為100。在新建的網(wǎng)點(diǎn)中，不需要獲得其他網(wǎng)點(diǎn)的路由，同時(shí)要避免網(wǎng)點(diǎn)線路故障時(shí)，造成rip路由重新計(jì)算，占用整個(gè)網(wǎng)絡(luò)設(shè)備的資源。采用下聯(lián)設(shè)備只接收網(wǎng)點(diǎn)發(fā)來的rip路由，網(wǎng)點(diǎn)使用靜態(tài)訪問各自需要訪問的資源。

2 網(wǎng)絡(luò)協(xié)議設(shè)計(jì)

2.1VRRP協(xié)議

VRRP全稱是虛擬路由器冗余協(xié)議（Virtual Router Redundancy Protocol），根據(jù)協(xié)議原理將網(wǎng)點(diǎn)端路由器設(shè)計(jì)為一個(gè)廣播域，并將2臺(tái)路由器接口變?yōu)橐唤M，形成一個(gè)虛擬路由器，為其分配一個(gè)IP地址，該地址是第三方地址，作為虛擬路由器的接口地址。兩臺(tái)路由器通過優(yōu)先級(jí)的設(shè)定，指定優(yōu)先級(jí)高的路由器為主用路由器。

配置網(wǎng)點(diǎn)生產(chǎn)網(wǎng)段VRRP組的實(shí)地址和虛地址，實(shí)地址用于設(shè)備互聯(lián)，虛地址為生產(chǎn)網(wǎng)段的網(wǎng)關(guān)。配置路由器接口在VRRP組的優(yōu)先級(jí)為120（默認(rèn)為100），即正常情況下路由器的接口為VRRP組的主網(wǎng)關(guān)，配置實(shí)例如圖2所示。

2.2鏈路檢測協(xié)議

如圖3配置，通過的鏈路檢測技術(shù)對(duì)網(wǎng)點(diǎn)上行鏈路進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)VRRP組中主用路由器的上行鏈路斷開，它的狀態(tài)仍是Master，此時(shí)該域中的主機(jī)路由仍走此路由器。但因?yàn)槠渖闲墟溌窋嚅_，導(dǎo)致該域的主機(jī)無法正常與外界通信。因此，在VRRP中增加上行鏈路狀態(tài)檢測解決此問題，步驟如下：配置一個(gè)VRRP組跟蹤某track的鏈路狀態(tài)，如果該接口狀態(tài)從up變?yōu)閐own，則主動(dòng)降低優(yōu)先級(jí)；如果從down變化up，則主動(dòng)升高優(yōu)先級(jí)，以加快VRRP的主備競選，可將主網(wǎng)關(guān)在VRRP組的優(yōu)先級(jí)減掉50從而激活備份網(wǎng)關(guān)，保證生產(chǎn)流量的不被中斷。

2.3QOS設(shè)計(jì)

當(dāng)網(wǎng)點(diǎn)生產(chǎn)網(wǎng)主用線路中斷、設(shè)備故障時(shí)，通過切換至管理網(wǎng)連接數(shù)據(jù)中心。由于管理網(wǎng)上同時(shí)運(yùn)行管理應(yīng)用，生產(chǎn)業(yè)務(wù)使用管理網(wǎng)線路時(shí)需要在數(shù)據(jù)中心匯聚路由器上針對(duì)生產(chǎn)網(wǎng)業(yè)務(wù)進(jìn)行帶寬保障，即通過QOS的方式來實(shí)現(xiàn)帶寬保障的需求。

當(dāng)互備機(jī)制生效，網(wǎng)點(diǎn)管理網(wǎng)路由器切換為生產(chǎn)主用設(shè)備時(shí)，生產(chǎn)和管理業(yè)務(wù)共用網(wǎng)點(diǎn)線路帶寬，需啟用QOS策略保障生產(chǎn)業(yè)務(wù)。網(wǎng)點(diǎn)路由器上配置WFQ隊(duì)列，針對(duì)不同的業(yè)務(wù)創(chuàng)建不同的動(dòng)作組，結(jié)合訪問控制列表匹配不同業(yè)務(wù)的網(wǎng)段，分配不同份額的帶寬比，首先保證生產(chǎn)業(yè)務(wù)流的傳輸，其余的帶寬分配給監(jiān)控等非生產(chǎn)業(yè)務(wù)。

3 結(jié)論

基于VRRP和QOS設(shè)計(jì)的網(wǎng)絡(luò)架構(gòu)，在保證網(wǎng)絡(luò)安全的基礎(chǔ)上，分層級(jí)設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，充分利用企業(yè)生產(chǎn)網(wǎng)和管理網(wǎng)，實(shí)現(xiàn)了管理網(wǎng)作為生產(chǎn)網(wǎng)的備份，并且生產(chǎn)網(wǎng)應(yīng)用及管理網(wǎng)應(yīng)用合理分配帶寬資源及數(shù)據(jù)傳輸，為企業(yè)減少生產(chǎn)網(wǎng)單獨(dú)備用線路投資，大大提高了網(wǎng)絡(luò)可用率，該網(wǎng)絡(luò)設(shè)計(jì)已成功應(yīng)用于郵政儲(chǔ)蓄銀行內(nèi)蒙古分行，每年為企業(yè)減少通訊電路費(fèi)用300余萬元，該網(wǎng)絡(luò)組網(wǎng)設(shè)計(jì)可在類似的金融機(jī)構(gòu)中推廣使用。

［1］特南鮑姆，韋瑟羅爾.計(jì)算機(jī)網(wǎng)絡(luò)［M］.嚴(yán)偉，潘愛民，譯.4版.北京：清華大學(xué)出版社，2010.

［2］Richard Stevens.TCP/IP詳解卷一：協(xié)議［M］.范建華，胥光輝，張濤，等，譯.北京：機(jī)械工業(yè)出版社，2014.

［3］杭州華三通信技術(shù)有限公司.H3C路由器典型配置指導(dǎo)［M］.北京：清華大學(xué)出版社，2013.

［4］宏智科技系統(tǒng)集成公司.Juniper網(wǎng)絡(luò)設(shè)備配置指南.

TP3

A

1674-6708（2015）147-0098-02

邢輝，工程師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)