――广东省人寿保险公司网络升级改造纪实

　　文/中国人寿保险广东省分公司 毛军 梁钢

　　中国加入“WTO”以后，金融保险企业的经营项目种类得到进一步放开，大量的海外保险公司开始抢滩登陆，国内保险业面临着内忧外患。作为寿险行业的旗舰企业-中国人寿公司，在行业内具有很大的客户优势，业务量占有60%左右。而广东省人寿作为人寿全国市场的重要组成部分，一直以来承担着全国业务量的很大份额，为了更好的保障业务的发展，决定对自己的中心生产和办公网路进行规范，优化网络信息流程，增强分公司对辖区内的所属分支机构的监管力度。

　　推进数据集中，网络升级改造呼之欲出

　　在中国的保险和金融行业，大多数的生产和办公网络已经非常健全。为了进一步加强总公司的监管力度；简化业务流程、提高工作效率；统一客户界面，提高企业形象；节省运维成本，提高服务质量，最近各大金融企业都提出了数据的统一上收，即数据大集中。

　　一直走在金融信息化建设前列的广东人寿保险公司，在数据大集中方面进行了大量的工作，目前数据已经集中至省中心，数据的上收，对广域网线路以及省中心局域网的备份和高效性都提出了很高的要求，为了更好的满足网络应用的需求，对现有网络进行升级改造势在必行。根据自己的实际需求，我们确定了网络改造的基本原则：使用先进的网络技术，在全省建成宽带、高性能、综合多种业务的数据通信骨干网，为全省内的人寿公司系统提供高速、可靠、优质的通信服务。

　　进行升级改造，要看到目前网络架构的弊端所在。那么改造前的广东人寿的网络架构状态如何呢？

　　广东人寿各地市生产业务服务器放置在各地分公司，负责地市辖内支公司的业务终端的接入和数据的调用，每个地市安排相应的技术员工进行维护。这种网络架构 大大增加了对网络及服务器的维护量，而且网络设备和主机的可靠运行度不高；数据库同步慢，无法对各地分公司进行及时的监管；业务系统很难统一应用； 开发新的业务系统和险种时具有很大瓶颈。

　　省人寿大厦的13、14、15层是分公司的办公区域，采用Lotus Domino/Notes系统实现企业办公的信息化， Lotus Domino/Notes所具有的强大功能、开放性、跨平台性、易用性、可伸缩性和安全性。但是人寿公司目前在上面开发的应用还很少，主要原因是没有一个健壮的网络平台。

　　就省中心改造前网络结构来看，通过3台STAR-S1824F+交换机的级联实现每个信息点和服务器的接入，存在着很多不足。如：设备缺乏管理功能；广播域的范围很大，降低了整个网络的性能；存在安全隐患；新的应用无法开展，不能有效的承担起数据大集中后，核心数据交换的重任。

　　有了对问题的细致分析，我们此次中心局域网建设必须满足的几点要求就基本明确了。

　　作为全省数据中心，省中心局域网的高可靠稳定性是第一要求；由于我们的数据进行了集中，一旦数据中心受到攻击，可能造成整个网络上所有业务系统的崩溃，因而高安全性同样是非常高的要求；数据的集中，意味着数据中心大量的数据交换，网络的高效性，将是最大限度的保证数据集中后整个人寿网络高效的运转，使工作效率得到进一步提高的保证；为了更好的适应未来网络的发展，数据中心网络要具有很好的可扩展性。

　　携手锐捷网络，广东人寿建设高效安全新网络

　　通过细致的规划和多次论证，此次核心网络改造方案最终确定了采用锐捷网络提供的改造方案及网络设备。

　　在公司数据中心部署两台互为备份的交换机STAR-S6808，做为整个网络的核心。对于生产服务器区块，使用一台S4909和一台S3550-48连接40台pc server。两台交换机分别通过千兆线路先与防火强相连再与两台核心交换机相连。小型机群通过千兆交换机连接后，再通过两条千兆光纤，连接到两台核心交换机。

　　省人寿大厦13-15层办公区域，每层放置一台接入交换机S3550-48，负责整个三层楼的办公区域内OA信息点的接入，三台S3550-48分别通过两条千兆线路与两台核心层交换机分别相连。

　　负责各地市广域网相连的7507路由器及3600，通过以太口分别连接两台S6808交换机。

　　其他视频VLAN、呼叫中心VLAN分别由各自VLAN接入交换机S3550-24通过两条千兆光纤连接到核心交换机。

　　外联业务通过3550-24/48连接防火墙再与外部银行相连 。

　　为什么我们选择了这样的一种改造方案呢？事实上，无论是我们的最初论证还是后来的试运行，新的网络改造方案都表现出很高的可靠性、安全性、高效性、可管理性及可扩展性。

　　在可靠性上，管理引擎、电源模块等核心设备关键模块，采用冗余备份，从物理层保证了网络的可靠性；所有接入交换机均通过两条千兆光纤分别连接到两台核心交换机；两台核心之间启用VRRP(虚拟路由冗余协议)，实现核心设备之间的热备份，主备交换机之间实时切换；启用OSPF动态路由协议，保证了路径之间的负载均衡及路由备份，以上分别通过多种技术保证了网络的可靠运行。

　　在安全性方面，将整个网络按照不同的部门和业务种类进行详细的vlan划分，即减小了广播域，更主要的是对安全的保证提供了丰富的技术实现手段；采用生产运维网络和OA网络通过ACL隔离的方式，严格规定每一个信息点的业务角色，不允许OA内部的PC机直接访问生产网络；生产网络内由于主机数量很多，对于40台pc server 可以采用锐捷交换机的pvlan功能，相互隔开，减小广播包对服务器性能的影响；对于重要服务器及数据的保护方面，部署防火墙，启用严格的安全接入控制。

　　在高效性方面，选用的所有交换机，均可以保证对数据的线速转发，尤其是核心交换机，采用CROSSBAR背板设计架构，保证了核心设备对大数据流量的实时转发；采用国际先进的千兆主干百兆到桌面的两层设计理念，千兆主干可充分满足未来网络规模的扩展和跨网段之间数据的高效传输。

　　在可管理性方面，由于所采用的所有设备均为可网管设备，采用业界流行的图形化界面的网络管理系统，可以实时的监控网络中的设备状态，分析网络的性能，便于对网络的维护及管理。

　　在可扩展性方面，为了满足生产运行的高安全性、可靠性这两个最根本的要求， 核心交换机采用模块化设计，可以随着网络规模的不断扩大，通过增加相应板卡来满足新增的需求，很好的保证了数据中心网络的可扩展性。通过选用对于组播功能的支持比较好的设备，更加便于满足未来在语音和视频的发展需求。

　　经过大家的努力，公司此次网络升级改造任务如期顺利完成。完成后的整个网络在可靠性、安全性、高效性方面得到了实践的进一步的证明，两台核心设备既实现了冗余备份，同时也实现了负载均衡，同时，改造后的网络架构也更加明晰，网络管理和维护更加的便捷。目前，改造后的网络已经稳定高效的运行达一年之久，网络的稳定运行为业务提供了有力的支持。