金融行业
 一、 前言

   随着Internet的快速发展和 Intranet技术的普及, TCP/IP协议成为占决定性主导地位的网络协议。大多数银行运行和生产网络主要使用IBM主机,在它们的业务网络、办公网络及其它网络中逐渐都采用TCP/IP协议。采用了TCP/IP技术后,可以充分利用INTERNET和INTRANET技术的最新成果。因此,无论是从减少投资,提高设备和线路的利用率、还是从降低费用出发,以IP作为骨干的传输机制,从传统的层次性体系结构向新兴的Internet技术逐步过渡是一件很有价值和意义的事情。随着网络通信技术的飞速发展和TCP/IP协议的普及,通信技术的新近发展如帧中继、ATM、xDSL等可以提供更高的链路速度、带宽和响应时延。 
   IP以其兼容性好,成本低等特点成为大多数商业银行首选的网络平台。 
   当今的银行网络,除了承载传统银行业务以外,还要承载银行办公业务(例如公文传送、网络电话、视频会议等应用),以及今后银行的增值服务。考虑到今后银行网络支持多业务的趋势,IP网络平台是最佳选择。 
   安奈特(中国)网络有限公司,身为全球领先的以太网和IP网络产品的供应商,致力于用合理的价格、高可靠性的技术和产品、优质的服务帮助用户构建网络世界,完善运营形式,降低成本,提高效率。安奈特公司的网络产品在各级银行的局域网络和银行分行(二级分行)、支行以及营业网点之间的广域网络中有着广阔的应用前景。

二、 银行网络基本情况

  1.    主机方面的基本情况 由于历史原因和对可靠性的要求,银行一般习惯采用小型以上的非通用的主机系统(mainframe),如IBM ES/9000 系列、IBM AS/400系列、富士通等。近年来,虽然UNIX发展较快,但是大多数关键数据和应用仍存在于主机系统,而且随着业务系统从分布式朝大集中方向发展,越来越多的主机系统被重新采用,UNIX、NT将只被用于一些外围前置系统。 
  2.    网络方面的基本情况 目前,各大商业银行都建立了自己的专用网络,且已经覆盖到大多数营业网点。一般银行网络都广泛采用了多种成熟的网络技术和网络设备,包括FDDI、DDN、X.25、帧中继、Ethernet、Token Ring等。从网络逻辑架构上来说基本都是一种树状结构,从总行、省级分行、地市级分行、县或城区支行一直到营业网点分了若干个层次,但从物理架构来看又是灵活多样的。 
  3.    应用系统的基本情况 一般而言,每种银行业务都会有一套计算机应用系统,如储蓄业务系统、会计业务系统(含国内结算)、信用卡业务系统、国际结算系统、ATM前置系统、POS前置系统、电子邮件系统等。近来,有一些所谓的"商业银行综合业务系统"推出并投入使用,但其并不能包括上述所有业务,一般只支持储蓄、会计核算、对公结算、信用卡等,且一般都是在小型机以下的平台上开发的,如AS/400、UNIX等,大型机上尚未见过类似系统。这些系统一般都是主机/终端、服务器/客户机之类的两层结构,其主机一般集中放在一个数据中心机房,再通过网络将前端(终端或客户机)拉到业务经营管理部门和办理该业务的营业网点。不同的业务系统一般不能共享一个前端,但不同的业务系统之间有时因为业务的需要而相互在应用层连接,从而实现部分业务的相互代办,如储蓄系统和信用卡系统连接后,储蓄系统的前端就可以直接处理信用卡的柜台存取款、转帐业务。某些前置系统是根据操作需要决定其摆放地点,可以放在中心机房,也可以放在业务管理部门的机房,再通过网络与相应的后台主机连接。 
  4.    银行机构设置和系统配备的基本情况 一般大银行从总行到营业网点有5级机构:总行、省级分行、地市级分行、支行、网点,前四种主要是业务管理机构,但其中也有业务经营部门,而且有些业务还只能在支行或更高一级机构办理,这些机构一般都设有专门的营业部办理业务。网点(分理处或储蓄所)负责办理一般的储蓄、对公结算、信用卡业务。 从系统配备方面看,一般总行只是数据交换中心,并无通常意义上的业务系统,如储蓄系统、对公系统等,但是这些业务要跨省办理时,总行会有一个交换中心系统提供支持。省级分行是主要的业务系统所在地,随着大集中模式的流行,原分散在各地市行的数据将集中到省级分行,各地市行原有的业务系统也将逐步取消,各业务系统的前端将直接从省级分行直接拉到地市分行业务经营部门和所有网点。 

三、 银行网络特点

一般性要求 
   整个网络工程必须严格遵照金融网络系统的特殊要求:既要充分考虑网络的稳定性、可靠性、安全性,满足银行业务的特殊需求,同时也要兼顾银行业务今后的发展,注重网络的先进性和可扩展性。

  1.    先进性:银行网络系统是以业务为主服务的高速信息系统,为适应当今时代信息技术日新月异、飞速发展的情况,避免系统建成后过早地因技术落伍而需要升级和更新,因此在网络的拓扑结构、网络设备的选型、软硬件平台的选择和应用系统的选择和设计上,都应该考虑到使用先进的技术。 
  2.    开放性:我们要求采用符合当前最新国际标准的软硬件标准、开放的技术、开放的结构、开放的系统组件及用户接口,使之能在今后的发展过程中能平滑地向更高、更新的产品和技术过渡; 
  3.    可靠性:要求网络运行稳定可靠,具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率),提高容错设计,支持故障检测和恢复,可管理性强; 
  4.    安全性:应该能在高可靠性的前提下,抵挡住来自内部或外部的攻击;采用的安全措施有效、可信,能够在多层次上、以多种方式实现安全的控制; 
  5.    扩展性和灵活性:既能满足当前业务对网络的应用需求,又可以在将来需要扩展的时候,能方便地扩展,保护目前的所有投资;设计的配置可以灵活变通,以便于适应客户的其他要求; 

接口类型的多样性 
   考虑到现阶段通信业务的不断发展,在经营网点和市分行之间的路由器设备需要支持包括以太网、帧中继FR、DDN、ISDN等在内的多种广域网连接方式,同时提供DDR、PSTN等功能。 

   以太网接口能够完成从中速到高速的网络连接,是目前局域网络首选的网络接口类型。不但能够完成从10M到1000M的网络连接,而且在必要的情况下,可以完成从0米到100千米的网络连接。并且具有价格低、实现简单的特点。 

   FR、DDN是电信服务商目前能够提供的主要的专线连接方法。能够对用户提供带宽保证,而且在银行内部需要开展一些实时的应用如电话会议/视频会议时,专线连接是一个很好的选择。 

   ISDN、DDR、PSTN、X.25等拨号或低速连接方式,是一些小营业点、办公室、ATM采用最多的连接形式。能够节省部分营运成本,电信业务也容易延伸过去。

业务类型的多样性 
   主要可以归纳成两大类型:城市综合业务网络(简称城综网)和企业内部网两大应用类型,实现了从单机网点到柜面业务集成联网运行、再到城市综合业务网络系统的飞跃。 

   城综网:已形成包括柜面综合业务(储蓄、会计、信用卡等)、住房公积金、国际业务等业务系统为核心,ATM、POS、电话银行、自助银行、查询机等外围系统为辅助的在线交易处理应用系统,为银行信息化建设打下坚实的基础。 

   企业网:城综网的快速发展适应和解决了业务处理的需求,但并不意味着企业信息化建设的完成。企业网系统主要功能是,文件快速传递、管理信息资源共享、资金营运分析、办公自动化等系统,以适应业务发展和市场竞争的状况。 

   随着中国加入WTO,将促进中国金融混业经营;金融创新将关系到中国金融业的生存与发展,不仅会改变银行与客户互相联系的方式,同时也改变银行的服务方式、产品推销方式和交易处理方式;电子货币将迅猛发展,畅行在网络交易和电子交易中;金融监管的信息化、现代化、国际化将成为中央银行维护金融秩序、规范金融市场、防范金融风险的重要手段;银行的经营理念将发生根本转变,银行将从主要靠存贷利差获取收入,转向靠为客户提供优质金融服务获取效益;银行将不再单纯地追求铺点设摊式的外延扩张,而是更加重视和依靠现代信息技术、网络环境提供崭新的、更加便捷、周到的金融服务。因此银行网络的建设,更加需要能够保证网络在未来的发展中能够满足业务、技术进步的需要。

四、 网络方案

1、二级分行、支行、营业网点接入构造拓扑 

银行广域网络构造

   本方案将主要面对银行网络的二级分行、支行以及营业网点的网络。 

   二级分行同时承担着与一级行及下级行连接的作用。 

   二级分行网应是一个可靠性高、满足现在业务要求并适应将来发展的高效率的业务网络系统,能够为社会各界提供高效、可靠、方便的金融电子化服务,同时满足内部办公自动化(OA)的应用需求,提高银行经营管理效率,增加企业的竞争力,技术上要求在设备、线路上都能提供冗余。实现单条线路故障时到另一条线路的自动切换,以提供不同程度的安全保障。 

   区县级支行是下级网点连接的汇集点,主要目的是将营业点和其他信任的客户单位的业务数据路由到网络中心去。因此,这里的网络数据流量相对较小。所有的下属营业点和管区内的POS机都通过电信网络连接到这里来了。 

   各营业网点是银行的底层业务单位,直接面对客户和具体业务。网络流量小,但是业务繁忙。为保证业务的通畅,通常对上级支行的网络连接需要有备份线路。 

   整个网络在二级分行和大型的支行各分别放置2台安奈特公司的AR700系列模块化企业级路由器。两者互为备份,通过DDN/FR线路连接下级节点,并接入上一级节点。同时利用PSTN/ISDN线路对广域网线路进行拨号备份。这样在银行网络的二级分行和支行的广域网既实现的设备级的备份又实现的广域网链路级的备份,保障了网络广域网连接的可靠性。 

   由于一般营业网点的通讯流量相对较小,因此我们在这里采用安奈特的AR410中小规模网络接入路由器上联到支行节点。AR410可以提供广域网同步接口和异步拨号接口,能够满足广域网连接和拨号备份的需要;还可以提供5个10/100Base-T端口接入营业所的终端。对于一些规模较大的营业网点,我们还可以采用安奈特公司的Rapier24i路由交换机上联到支行节点。Rapier24i路由交换机可以提供多种广域网接口和多达24个10/100Base-T接口,以及2个1000兆上联口。可以充分满足银行网点的需求。 

   以上推荐的广域网连接设备,支持各种类型的电信接口,非常有利于灵活的满足不同地方的电信设备的状况。而且,路由器支持防火墙和加密传输,对网络的安全性具有至关重要的作用。安奈特公司的路由器还可提供VoIP语音模块,可以组建银行自己的VoIP话音网络。

2、银行分支机构局域网络 

银行系统分支机构局域网络()()示意图

   银行系统分支机构局域网建议采用安奈特的完全线速的SwitchBlade4000系列核心路由交换机作为整个网络的核心,主要是需要它的高速路由的能力,支持大容量路由表的能力,以及线速ACL控制能力和内置经由ICSA认证的基于状态监测的防火墙。采用安奈特的AT-8000系列二层接入交换机作为分支机构局域网的接入设备。整个网络设备之间均采用千兆联接,无阻塞结构,能够满足银行系统分支机构局域网的要求。由于核心交换机内置防火墙功能和访问控制功能,使得该网络能够安全地承载银行业务网络和办公网络。

3、接入网点局域网络 

银行系统营业网局域网络()()示意图

   上图为银行系统营业网点局域网络示意图,由于营业网点的通讯流量小,因此我们在这里采用安奈特的完全线速的三层路由交换机Rapier24i 作为整个网络的核心,各种业务用的设备可以直接连接到它上面。利用Rapier24i的广域网路由模块,可以灵活地接入广域网线路。同时,也可以采用传统的接入路由器加二层交换机的方式。两种营业网点接入方式的比较,如下图所示:

方案一

采用传统的路由器加二层交换机解决营业网点局域网的接入;
方案二

采用安奈特公司具有特色的Rapier24i三层路由交换机,该设备提供24个10/100兆以太网端口和2个千1000兆接口,可以根据需要插入广域网接口模块,省去额外购买路由器的投资。

   如上图所示,如果在营业网点需要划分Vlan来保证不同业务部门或者业务网络和办公网络之间的访问控制,则方案二比方案一整体网络性能更高,网络更安全。