以双核心技术为主要策略的建设银行大楼办公网络系统，在设计中保障了网络及设备的高吞吐能力和各种信息的高质量传输，实现了网络平滑扩充和升级，而且揉和了其未来技术和业务的集中发展趋势。

随着我国金融行业实施“改制”和信息化建设的深入，如今的银行已不再是传统意义上的银行，而是具备先进营销理念、融合了高端科技成果的现代金融服务企业。

目前，运行稳定、高效、安全的网络已经成为银行良好运行的基础，成为决定银行核心竞争力的最重要的因素。

随着西部大开发的逐渐深入与扩展，内蒙古地区经济发展实现了快速增长。中国建设银行内蒙古分行成为区域经济快速增长的重要推动者，并随着总行数据集中工程的推进和应用系统的快速增多，对网络在总体架构、可靠性、安全性、整体性能等方面都提出了更高的要求。

近年，中国建设银行内蒙古分行已经完成了骨干网的改造，为数据集中和全行应用系统的稳定运行提供了良好的网络基础平台，但行里的办公大楼却还是5、6年前的网络应用环境，大楼办公网的业务处理能力已经不能胜任和满足现在的业务需求，网络安全也开始日渐考验大楼的网络系统。

这一切都为网络建设应该在扩展性上给予更多的考虑提供了实践依据。而作为共享基础设施的大楼办公网络就更谈不上对银行的整个网络进行统一的规划和管理。

因此，从网络设备层解决安全问题，优化办公网络环境，使网络具有易扩展的功能，并实现网络的统一规划和管理，成为建设银行办公局域网的健全完善以及未来业务发展的最基本的要求。

双核心部署构建高性能稳定网络

目前，中国建设银行内蒙古分行有两栋办公大楼，主办公楼有19层，是全省数据中心和网络核心，同时还有部分业务处室集中在南办公楼（共8层）。因此，共27层办公网络的稳定运行和每层信息点的畅通连接需要一整套网络优化方案。在网络改建中，建设银行采用了锐捷网络的双核心解决方案，如图1所示为办公大楼的网络拓扑结构图。

图1 大楼办公网拓扑结构

在网络建设中，采用双核心、双电源技术，为大楼局域网核心层配备了2台万兆路由核心交换机RG-S6506，这样就为系统网络的稳定运行提供了保障。

这次办公网的改建工程，运用双核心设计还分离了办公网和业务网，降低了两个网络彼此之间的影响，使办公网方面的问题不会影响银行核心业务的正常运行，同时办公网核心交换机RG-S6506对每个网段都启用了VRRP协议，保证每个网段的客户端都能够从IP层上实现冗余备份。

改建后的网络系统中，当其中一台核心交换机出现停机等问题时，另一台交换机就能够承担全部任务，以保障综合业务和办公业务7×24小时不间断运行。这种设计，又使网络具备了更高的可扩展性能。

此外，RG-S6506这一全模块化骨干路由交换机还拥有6个模块可扩展槽，以提供管理模块的冗余，并拥有电源冗余能力，支持引擎、模块带电热插拔和万兆模块，支持千兆和百兆模块线速转发，可根据需求灵活配置，还可构建弹性可扩展的现代化IP网络。

由于RG-S6506端口线速转发，具有更大的路由表、Mac地址表、ACL表等资源，网络无论处于何种环境下，都不会出现瓶颈，并支持基于Vlan的策略路由和基于目标地址的策略路由功能，最多可以使用4条路径进行负载均衡，充分利用了设备和链路带宽，进而从核心层就可以成倍地提升网络性能。

标准开放协议实现平滑互连

在网络接入层，中国建设银行内蒙古分行采用了具有48个固定10/100M以太网RJ45接口的智能千兆交换机锐捷STAR-S2150G，以实现到桌面的100Mbps的连接，其中2个千兆上连接扩展槽，采用千兆短波光纤双链路上连双核心，实现与千兆骨干网的连接，而将原有设备用作接入，通过千兆双绞线或千兆光纤连接双核心交换机，使南楼的千兆骨干、百兆到桌面得以接入，同时也使办公网络的原有设备得到充分利用，节约了投资资金。

此次大楼办公网的建设，采用的是支持国际上通用的标准网络协议以及国际标准的大型动态路由协议等开放协议，如接入交换机STAR-S2150G与双核心之间就启用了多VLAN生成树协议MSTP（IEEE 802.1S）。

同时，在整个网络接入层，接入交换机业务被划分为办公VLAN和业务VLAN，当办公数据流通过链入右边的同核心互连链路传输到核心时，左边的链路作为备份；当综合业务的数据流都通过左边的同核心互连链路传输到核心时，右边的链路作为备份，如图2所示。

图2 与接入层的连接结构

而在与骨干网的互连中，在2台办公核心交换机与2台骨干网核心交换机之间采用了OSPF动态路由协议或静态路由协议，分行大楼局域网作为骨干核心的一个接入模块，以三层方式接入骨干传输核心，并实现数据流在骨干网核心交换机上进行路由的重分发，如图3所示。

图3 与骨干网的互连结构

因此，整个办公网络通过上述协议的运作保证了所建办公网络与综合业务网络、外联机构的其它网络之间的平滑连接与互通，同时也可以看到网络扩展的未来。

统一安全规范与管理策略

在网络建设中，从网络的接入层到核心层的交换设备都嵌有病毒和攻击防护能力如MAC、DHCP、STP、ARP攻击、IP/MAC欺骗攻击、DoS/DDoS攻击、IP扫描攻击等，也会被网络设备隔绝在网络之外，不会造成网络瘫痪和其它计算机感染。

在办公局域网的交换机上，还针对不同安全区域设置了营业类、管理类、多媒体类、开发类、测试类等网段，每个网段只为属于这一类的主机和终端提供接口，而不同网段之间则采用VLAN、访问控制列表等安全措施，以保证不同安全区域之间的可控互通，并将安全策略部署在交换核心，以便控制和策略的调整。

同时，为杜绝人为乱改IP地址，在办公网核心交换机上启用IP地址和Mac地址的绑定功能，防止私自更改IP地址，甚至可以对任何特定的计算机只有使用固定分配出的IP地址才能正常接入网络，所有这些措施的实施进一步增强了对IP地址的有效管理。

提升系统QoS及办公效率

新的办公网络不仅统一了安全规范和管理策略，在保障全局QoS的前提下，新办公网络的建设还将外联业务迁入，实现了Internet接入平台和移动办公接入平台在全行的集中式规划，为新办公网络增加了IPSec VPN功能，采取统一标准和安全规范提高网络的可靠性和安全性。

目前，建设银行大楼办公新网络运行良好，这一以双核心技术为主要策略的解决方案通过大楼办公网与业务骨干网的平滑互连，提高了建设银行整个网络的运行效率，从而大大提升了全行的业务处理能力。

(中国建设银行内蒙古分行 韩刚)