城市商业银行两地三中心解决方案

城市商业银行资产规模从小到大、经营范围从地方到区域再到全国,逐步发展壮大。未来城市商行将在经济发展中扮演更重要的角色, 而为了更好的服务用户,数据、授权、管理的集中化,以及新核心业务系统上线,都将使数据中心变得越来越重要。锐捷网络根据城市商业银行的应用特性,结合国家监管部门的要求,推出了两地三中心解决方案,为客户构建一张“业务永续”的网络。

城商行现状分析

发展快速

业务创新层出不穷

8

随着国家对金融机构政策的调整,银行业之间的竞争越来越激烈,各家城商行也在不断地对业务进行创新,例如:为中小企业推出定制化的金融服务方案,网上银行业务的不断推出,某些银行推出的“对俄金融服务”、“文化创新金融服务”等特色服务。

新兴业务的不断增加,现有的数据中心面临巨大的压力:规模要加大、数据备份要及时、扩展性以及兼容性要有保障。

分支机构增长迅猛

9

2010年,城商行全年新增分行116家,占自2006年全国第一家城商行异地分行设立以来总数的30%,在147家城商行中,有36家未上市城商行已经冲向全国,开始在省外设立分支机构:北京、上海、深圳是首选,重庆、大连、天津、广州等城市也很受青睐。诸多城商行都在不断地加大跨区经营规模,同时加大了村镇银行的建设,使得同业间的竞争日趋激烈,这对银行的服务也提出了更高的要求。如何确保业务的连续性以及业务的处理效率,将是信息部门思考的重点。

监管机构严格要求

银行涉及诸多的现金交易,也是直接关系民计民生的服务性机构。国家各级管理单位对于银行的网络建设都提出了规范性的要求,例如:

2010年,中国银行业监督管理委员会办公厅关于印发《商业银行数据中心监管指引》的通知,总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行,及省级农村信用联合社应设立异地模式灾备中心。

2012年,中国人民银行发文《关于进一步推进银行业信息安全等级保护工作的通知》,对网络建设中的安全规范定义了更严格的审核标准。

很多城商行的网络架构以及信息安全不能满足监管机构的要求,信息部门如何在成本可控的情况下,进一步加强信息化建设,规范数据中心架构,成为亟待解决的问题。

锐捷网络两地三中心解决方案

城商行应在未来一到两年内,按照监管部门的要求,结合自己的发展进度,加强数据中心的建设,完善全行的灾备体系,逐步完成两地三中心的架构铺设,为业务的发展提供强有力的保障。

锐捷网络结合城商行的现网架构以及应用需求,推出两地三中心解决方案,帮助客户规范全网架构,提升网络的稳定性,保障业务的持续运营能力。

10

主中心模块化分区设计

数据中心各功能区域具有独立的交换网络,区域内的大量数据交换在区域内完成,只有区域之间的数据交换通过核心交换机区域完成转发。模块化的设计使得各种业务系统根据访问关系部署在不同的功能区,边界清晰,安全策略部署简便,也降低了各功能区的相互影响,便于网络管理和维护。

5

服务器区规划:

各种应用业务系统的重要节点,承载了大量服务器等关键设备。

各级机构以及诸多终端都需要实时的访问该区域,要求提供无间断的转发服务:采用锐捷网络VSU(虚拟交换单元)技术,将传统网络中两台核心层交换机用VSU替换,VSU和汇聚层交换机通过聚合链路连接。在外围设备看来,VSU相当于一台交换机。可实现毫秒级的故障切换,并进一步减轻设备的管理运行压力,并可以充分利用冗余线路的带宽资源。

访问的类型多样化,需要对业务流量进行实时监控:采用IPFIX流量监控,基于业务监控相应的数据流量信息。提高网络的管理和规划的水平,监控各类业务的流量情况,为未来升级和整合资源提供依据,并能及时定位异常流量,协助处理故障。

服务器接入繁多,扩展性要求高:采用S6200系列交换机,48口高密度万兆接入,同时支持FCoE(以太网光纤通道)、VEPA(虚拟以太端口汇聚器)技术,使得一台交换机就能实现多种存储链路的接入,并且将软件的虚拟交换回归到硬件,服务器性能降低、管理边界清晰、流量可监管。

1

广域网区规划:

广域网区根据连接功能不同,分为三个区域:数据中心互联,用于连接数据灾备中心;一级骨干网WAN区用于连接各分行;同城汇聚用于连接同城网点或其他分支机构或办公大楼、呼叫中心等。

三个WAN接入区都汇聚到两台WAN区汇聚交换机上,以保持数据中心结构清晰、同时易于实现对广域网上的安全防护。

2

外联区规划:

外联服务器区部署与银联、人行及中间业务合作单位等第三方机构开展业务的前置服务器以及网络互连设备;该区使用2台以太网交换机、4台防火墙(或防火墙模块)、2台入侵防护设备、2台路由器相互连接;若有中间业务类的前置机,可放在该区域的隔离区内 。

3

网络管理区规划:

部署操作、管理数据中心内部所有主机、服务器、网络设备、存储设备的控制终端、监控终端等设备;部署网络安全管理系统的服务器,如网络防病毒系统、内网安全管理系统等。实现对网络、安全、设备、系统、应用、数据等的管理维护;所有主机、服务器、网络设备等单独组建KVM管理网,也连接到该区,以便能够直接操作到所有的设备;该区部署2台汇聚交换机、2台防火墙(或防火墙模块)和多台接入交换机。

4

应用级同城灾备中心规划

同城灾备保证:灾备业务连续性及业务数据令丢失;

同城灾备中心的灾备级别为:应用级灾备,存储数据采用同步复制;

分区设计、网络&服务器&存储应与主中心1:1备份。

11

数据级异地灾备中心

异地灾备保证:数据的异地存储及核心业务异地备份

异地灾备中心的灾备级别为:数据级灾备,存储数据采用异步复制

分区设计建议简化,只备份核心业务系统、存储,并简化网络架构

6

业务连续性设计

业务连续性设计方法论

对于银行客户的灾难恢复业务影响分析,一般银行客户大约有数十个应用,关键应用需要同时运行在主机和开放平台上。根据业务的保护性要求不同将业务分为三类,如下图。

7

一类是银行面向客户的业务,含24×7小时、8×7小时两种;二类为银行的外部链接和批处理业务等;三类为银行内部办公和管理系统应用。其中一类和二类应用需要第6级(无数据丢失)灾难恢复支持,三类应用需要第5级或第4级灾难恢复支持。

两地三中心路由规划

所有骨干网路由器使用BGP路由协议,属同一数据中心的路由器建立IBGP邻居,不同数据中心的路由器建立EBGP邻居。分支机构与数据中心之间有线线路运行OSPF/RIP,3G灾备线路运行静态路由,保障网点线路的快速切换。

小结

模块化架构设计,加强了数据中心内网的可控性,网管人员对网络的调整更为灵活,网络的整体拓展性更强。合理的路由规划,确保全网的数据流备份,故障切换有保障。3G的应用,数据中心特性的支持,确保网络的先进性,加强了网络的可扩展性。两地三中心解决方案,让您的网络安全稳定,让业务“永不中断”。

上一篇:锐捷无线网络助力广东工行网点营销项目

下一篇:互联网金融需完善信息安全的标准问题