郝剛

摘要：目前銀行業(yè)在金融科技方面投入力度越來越大，均建立有同城或異地災(zāi)備中心，但在災(zāi)備中心的利用效率上有待提高。該文提出一種實(shí)現(xiàn)銀行業(yè)應(yīng)用級雙活的網(wǎng)絡(luò)架構(gòu)改造方法，通過對現(xiàn)有網(wǎng)絡(luò)架構(gòu)進(jìn)行改造，實(shí)現(xiàn)數(shù)據(jù)中心與災(zāi)備中心的應(yīng)用級雙活，能夠同時對外提供服務(wù)，另外可以在數(shù)據(jù)中心因意外等原因中斷服務(wù)時實(shí)現(xiàn)災(zāi)備中心的無縫切換。

關(guān)鍵詞：金融科技;災(zāi)備中心;應(yīng)用級雙活;架構(gòu)改造

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）33-0021-02

1概述

隨著我國經(jīng)濟(jì)的快速發(fā)展，各行各業(yè)越來越重視科技對業(yè)務(wù)的驅(qū)動作用，對科技的投入力度越來越大。尤其在銀行業(yè)，金融科技已成為核心競爭力，各行每年在科技方面的預(yù)算投入不斷增加，通過建設(shè)越來越人性化的應(yīng)用系統(tǒng)，不斷提升客戶體驗(yàn)，增強(qiáng)獲客能力。數(shù)據(jù)中心作為信息技術(shù)基礎(chǔ)設(shè)施的重要載體，是各行應(yīng)用系統(tǒng)安全可靠運(yùn)行、提供高效優(yōu)質(zhì)服務(wù)的重要保障。為進(jìn)一步增強(qiáng)容災(zāi)能力，保證業(yè)務(wù)的連續(xù)性，絕大部分銀行均建設(shè)有同城或異地災(zāi)備中心，災(zāi)備中心為近年來金融業(yè)務(wù)的迅猛發(fā)展起到了基礎(chǔ)的保障作用。

2雙中心架構(gòu)介紹

銀行業(yè)災(zāi)備中心在設(shè)計(jì)建設(shè)之初，顧名思義，承擔(dān)著數(shù)據(jù)中心的災(zāi)難備份作用，圖1是目前一種常見的數(shù)據(jù)中心與災(zāi)備中心網(wǎng)絡(luò)架構(gòu)簡圖。

在圖l中，雙中心均部署有核心路由器、防火墻、核心交換機(jī)、服務(wù)器虛擬化集群。核心路由器負(fù)責(zé)銀行內(nèi)外部流量的接收和轉(zhuǎn)發(fā)，防火墻負(fù)責(zé)安全防護(hù)策略的控制。內(nèi)部網(wǎng)絡(luò)采用二層架構(gòu)，即核心層一接人層，所有虛擬局域網(wǎng)（VLAN）信息均在核心交換機(jī)中定義，接人層交換機(jī)只負(fù)責(zé)流量的轉(zhuǎn)發(fā)（未在圖l中畫出）。服務(wù)器虛擬化集群是提供服務(wù)的主要設(shè)備，依靠數(shù)據(jù)同步機(jī)制和虛擬化控制器的控制作用，保證數(shù)據(jù)在雙中心的同步以及應(yīng)用在雙中心的漂移。

在實(shí)際業(yè)務(wù)訪問過程中，業(yè)務(wù)的流量無論從數(shù)據(jù)中心路由器還是從災(zāi)備中心路由器進(jìn)入網(wǎng)絡(luò)內(nèi)部，路由器均會依靠路由優(yōu)先級的控制策略，將流量轉(zhuǎn)發(fā)到數(shù)據(jù)中心內(nèi)部，并不會進(jìn)入災(zāi)備中心。訪問流量經(jīng)過數(shù)據(jù)中心防火墻、核心交換機(jī)，進(jìn)入服務(wù)器區(qū)域，從而得到虛擬化集群的響應(yīng)，流量返回路徑仍然沿著數(shù)據(jù)中心原路返回，通過數(shù)據(jù)中心核心路由器送到外部。

3存在的問題

圖1的網(wǎng)絡(luò)架構(gòu)可以在較大程度上保障銀行業(yè)務(wù)的順利開展，并起到災(zāi)難備份作用，但隨著網(wǎng)絡(luò)、虛擬化等技術(shù)的進(jìn)步，設(shè)備性能的提升，上述的網(wǎng)絡(luò)架構(gòu)也相應(yīng)存在一些問題：

1）網(wǎng)絡(luò)可維護(hù)性和擴(kuò)展性較差

網(wǎng)絡(luò)目前采用的是二層架構(gòu)，即接人層一核心層架構(gòu)，所有vlan信息均在核心交換機(jī)中定義。但一般在銀行內(nèi)部，包括大量的服務(wù)器、辦公客戶端、安全防控設(shè)備，所有設(shè)備的流量轉(zhuǎn)發(fā)都通過核心交換機(jī)完成，增加了核心交換機(jī)的負(fù)擔(dān);同時當(dāng)接入網(wǎng)絡(luò)出現(xiàn)問題后影響范圍過大，排錯也較難;另外，二層架構(gòu)的可擴(kuò)展性較差，不利于分類管理。

2）災(zāi)備中心利用率較低

災(zāi)備中心只有在數(shù)據(jù)中心因意外等原因停止對外服務(wù)后，才可接管數(shù)據(jù)中心的業(yè)務(wù)，在數(shù)據(jù)中心正常運(yùn)轉(zhuǎn)情況下，災(zāi)備中心設(shè)備基本處于閑置狀態(tài)，只在路由器層面上進(jìn)行簡單的數(shù)據(jù)的轉(zhuǎn)發(fā)，造成了極大地資源浪費(fèi)，相當(dāng)于投資了兩倍的資金但實(shí)際上只發(fā)揮一倍的作用;而且所有應(yīng)用服務(wù)均由數(shù)據(jù)中心提供，加大了數(shù)據(jù)中心設(shè)備的負(fù)載，久而久之，服務(wù)響應(yīng)速度也會受一定影響。

3）災(zāi)備中心接管服務(wù)不靈活

由于所有VLAN信息均在數(shù)據(jù)中心核心交換機(jī)中定義，為防止IP地址沖突，實(shí)際上災(zāi)備中心核心交換機(jī)并沒有配置相應(yīng)網(wǎng)絡(luò)信息。當(dāng)數(shù)據(jù)中心因意外等原因出現(xiàn)故障無法提供服務(wù)時，災(zāi)備中心不會立即切換，自動承擔(dān)起數(shù)據(jù)中心的角色，需要科技人員在災(zāi)備中心核心交換機(jī)上手工配置VLAN等信息，但在這期間會造成業(yè)務(wù)的中斷。

由于存在的上述問題，針對圖1的網(wǎng)絡(luò)架構(gòu)，現(xiàn)提出一種實(shí)現(xiàn)銀行業(yè)應(yīng)用級雙活的網(wǎng)絡(luò)架構(gòu)改造方法。

4一種實(shí)現(xiàn)銀行業(yè)應(yīng)用級雙活的網(wǎng)絡(luò)架構(gòu)改造方法

1）改造三層網(wǎng)絡(luò)架構(gòu)

根據(jù)銀行業(yè)務(wù)特點(diǎn)，在保留原有核心區(qū)的基礎(chǔ)上，在數(shù)據(jù)中心增加生產(chǎn)區(qū)、工作區(qū)、安全區(qū)、管理區(qū)四個分區(qū)，每個分區(qū)的具體功能如下：

生產(chǎn)區(qū)：業(yè)務(wù)服務(wù)器部署區(qū)域，生產(chǎn)區(qū)對不同級別的業(yè)務(wù)系統(tǒng)實(shí)施不同安全策略，將各業(yè)務(wù)系統(tǒng)操作人員的操作，控制在本區(qū)域內(nèi)。

安全區(qū)：安全監(jiān)控專用區(qū)域，部署有安全設(shè)備管理終端、堡壘機(jī)、安全數(shù)據(jù)備份、后期審計(jì)應(yīng)用設(shè)備、密鑰管理、物理環(huán)境安全監(jiān)控等。

管理區(qū)：運(yùn)行維護(hù)管理終端、設(shè)備日志服務(wù)器、網(wǎng)絡(luò)管理系統(tǒng)、物理環(huán)境監(jiān)控等設(shè)備專用區(qū)域。

工作區(qū)：辦公終端、業(yè)務(wù)終端部署區(qū)域。

每個分區(qū)分別增加兩臺匯聚交換機(jī)，形成“核心一匯聚一接人”三層網(wǎng)絡(luò)結(jié)構(gòu)。核心交換機(jī)只負(fù)責(zé)不同分區(qū)之間和外部訪問的流量轉(zhuǎn)發(fā)，相應(yīng)VLAN信息下沉，由各分區(qū)匯聚交換機(jī)負(fù)責(zé)定義。核心交換機(jī)與各分區(qū)匯聚交換機(jī)之間采用三層路由方式互聯(lián)，在核心交換機(jī)、各分區(qū)匯聚交換機(jī)間啟用OSPF，核心交換機(jī)與外聯(lián)防火墻等設(shè)備采用靜態(tài)路由，并將靜態(tài)路由重分布到OSPF中，使全網(wǎng)能夠互訪。

通過這種三層架構(gòu)模式改造，網(wǎng)絡(luò)結(jié)構(gòu)更加合理，不同的設(shè)備根據(jù)自身功能不同，接人相應(yīng)的分區(qū)之中。分區(qū)之間互相獨(dú)立，降低了核心交換機(jī)的負(fù)載，當(dāng)接入層網(wǎng)絡(luò)出現(xiàn)問題后影響范圍縮小，便于后續(xù)故障排除。災(zāi)備中心原則上應(yīng)與數(shù)據(jù)中心的改造方法相同，進(jìn)行分區(qū)管理，但可根據(jù)各家單位的資金實(shí)際情況，酌情進(jìn)行刪減，但為了后續(xù)災(zāi)備中心能夠自動接管業(yè)務(wù)，生產(chǎn)區(qū)是必須要保留的，生產(chǎn)區(qū)匯聚交換機(jī)也是必須要配備的。

2）生產(chǎn)區(qū)匯聚交換機(jī)的二層打通

數(shù)據(jù)中心與災(zāi)備中心兩邊各部署兩臺生產(chǎn)區(qū)匯聚交換機(jī)，兩兩之間實(shí)現(xiàn)雙機(jī)熱備和虛擬化，之后再將雙中心的生產(chǎn)區(qū)匯聚交換機(jī)二層打通。二層打通實(shí)際上是實(shí)現(xiàn)了生產(chǎn)區(qū)網(wǎng)關(guān)信息的共享，利用的是虛擬路由器冗余協(xié)議（VRRP）技術(shù)，該協(xié)議是由IETF提出的解決局域網(wǎng)中配置靜態(tài)網(wǎng)關(guān)出現(xiàn)單點(diǎn)失效現(xiàn)象的路由協(xié)議，廣泛應(yīng)用在邊緣網(wǎng)絡(luò)中，它的設(shè)計(jì)目標(biāo)是支持特定情況下IP數(shù)據(jù)流量失敗轉(zhuǎn)移不會引起混亂。通過設(shè)置VRRP優(yōu)先級，確定浮動網(wǎng)關(guān)位置，在這種情況下，將浮動網(wǎng)關(guān)優(yōu)先放置在數(shù)據(jù)中心生產(chǎn)區(qū)匯聚交換機(jī)中。

通過網(wǎng)絡(luò)架構(gòu)改造后的網(wǎng)絡(luò)簡圖如圖2。

5結(jié)束語

隨著銀行業(yè)務(wù)的發(fā)展和金融科技水平的提高，災(zāi)備中心的定位也應(yīng)有所改變，災(zāi)備中心應(yīng)該不單單定位于數(shù)據(jù)中心的災(zāi)難備份中心，應(yīng)該更多的承接數(shù)據(jù)中心的業(yè)務(wù)。本文通過對現(xiàn)有網(wǎng)絡(luò)架構(gòu)改造，可以有效解決原有網(wǎng)絡(luò)架構(gòu)可維護(hù)性和擴(kuò)展性較差、災(zāi)備中心利用率較低、災(zāi)備中心接管服務(wù)不靈活等方面問題，提升了災(zāi)備中心的定位。在具體實(shí)現(xiàn)過程中，需要網(wǎng)絡(luò)工程師和系統(tǒng)工程師的密切配合，并在完成后需開展充分的網(wǎng)絡(luò)和系統(tǒng)測試。

[通聯(lián)編輯：代影]