郑添健ZHENG Tian-jian

（黔南民族师范学院，都匀 558000）

（Qiannan Normal College for Nationalities，Duyun 558000，China）

0 引言

人寿保险保险公司省级分公司业务系统是中国人寿保险股份有限公司系统的组成和延伸部分，承担着全省寿险业务和内部管理工作。由于保险业务管理系统对数据的安全性、实时性有着特殊的要求，加上公司管理水平不断提升，因此只有建设安全、高效的网络系统，才能跟上公司业务及管理水平迅速提高的步伐。2010年以来，我们对原有计算机网络系统进行了优化、改造，为管理水平的提升和业务流程的进一步完善提供了广阔的拓展空间，也为网络系统自身发展打下了较好的基础。我们设定的系统改造的目标如下：

①提高公司计算机管理应用水平；

②升级现有的网络设备，构造新型网络平台；

③开创一种全新、符合公司形象的现代化办公环境；

④实现数据物理集中：从州级到省级集中，使数据的安全性进一步提高；

⑤建立并逐步完善语音系统、OA 办公系统、Internet网络应用和实现与银行网络互联。

1 原有网络系统分析

1.1 网络结构

图1 是省级公司原有网络结构图。

分析图1，我们可以发现广域网的现状较为理想。主要就地市公司局域网（图2）进行分析：

图1 人寿全省网络现状图

1.2 网络架构的问题 分析上述网络结构，我们可以发现地市局域网主要由简单二层交换机和HUB 构成。这存在非常大的弊端和隐患：

①设备性能低，无法满足应用需求：地市公司的局域网设备均为低端设备（甚至是HUB 这种极简单的设备），因此在设备级的稳定上很低。而地市分公司局域网不仅要承担本大楼所有用户的数据交换，更重要的是还有承担所辖所有县公司的业务数据和OA 等其他数据的交换，数据交换量非常较大，极易出现因设备死机而引发的网络崩溃，致使全市网点无法工作。

②网络结构不合理，无法保证稳定性和可靠性：网络核心为简单二层交换机，无法对用户进行分组并进行访问权限的控制。通过VLAN 划分，将用户分为不同的组，并在三层设备上配置策略，才能实现不同网段用户间的策略互通，而二层核心显然是无法实现这点的。网络在设计上还存在严重的单点故障，包括核心设备的单点和楼层与核心连接上的单点。另外HUB 的使用让很多的PC 共存于同一冲突域，极大增加阻塞频率。

③网络无安全措施，安全隐患极大：正是由于采用了低端设备，造成不仅网络性能低下，而且由于设备功能非常简单，因此无法对网络病毒的传播和网络攻击进行任何防范和抵御，只能任其在局域网中活动，常常会造成网络不稳定，甚至崩溃。

根据上述分析，我们确定了分公司局域网改造的原则：将地市局域网核心更换为高性能的三层交换设备，更换接入层交换机提高性能并增加安全措施，从而提高整个网络的可靠性，保证网络系统7×24 小时的稳定运行。

2 网络优化改造方案简介

如图3 所示，我们将对地市局域网的核心采用一台STAR-S4909 骨干路由交换机，通过百兆电口连接接入交换机。

接入层交换机采用三台RG-S2100 系列安全智能交换机，通过10/100M 连接到桌面PC。这个系列的交换机具有极强的端口扩展和功能集成能力，在接入用户增加时可以堆叠从机或增加接口模块。为保证可靠，单独选择一台RG-S2100 交换机作为OA 服务器的接入交换机。

为了实现对网络的可靠管理，我们在局域网内设置网管平台，但从保护投资的角度考虑，此次改造中可先不进行。

每个地市分公司增加的路由器配置如下：

3 改造方案的实施效果分析

3.1 网络性能方面的效果分析 由于采用了，高性能的三层交换设备做为地市局域网的核心，因此对于大数据量的交换得到了很好的保证。（STAR-S4909 的背板带宽为64G，2 层/3 层包转发率为24Mpps）

同时，由于网络核心更改为三层设备，可以对用户按照不同的级别和类型进行划分，将其纳入到不同的VLAN中，并在核心上启用相关控制策略来对其访问行为进行控制。例如：划分一个OA 用户VLAN，在核心交换机上配置策略，限制该VLAN 的用户只能访问OA 服务器和Internet 出口，而不能访问业务系统。

由于采用了单独的交换设备连接OA 服务器，提高业务核心网和OA 局域网核心的数据转发能力，降低业务核心网和OA 局域网的关联度，增加网络的安全控制能力，提高整体网络性能（大多数信息流只在本地交还，而不必穿越网络核心,大多数OA 用户不会访问到数据中心核心业务系统），做到业务与OA 两网隔离。

3.2 网络安全方面的效果分析 由于更换了网络核心设备和接入层设备，可以在这两类设备上配置诸如ACL策略、启用防ARP、DOS、DHCP 攻击、用户身份认证等功能，来提高网络的安全性。具体可以实现下列安全目标：

①确定内网用户的合法身份；②控制合法用户的访问权限；③禁止内网用户非法拨号；④有效地管理IP 地址；⑤提高网络防病毒能力（防止诸如冲击波、震荡波等常见病毒的传播和攻击）；⑥阻断内网攻击（可以防止ARP、MAC、DOS、DHCP、IP 的等常见的攻击）；⑦强大的管理、监控与日志能力。

3.3 网络管理方面的效果分析（今后实施后的效果）在上述方案中的网络硬件平台上可以设置网络管理平台，我们将采用锐捷网络StarView 管理系统。该系统能提供整个网络的拓扑结构，能对以太网络中的任何通用IP 设备、SNMP 管理型设备进行管理，结合管理设备所支持的SNMP 管理、Telnet 管理、Web 管理、RMON 管理等构成一个功能齐全的网络管理解决方案，实现从网络级到设备级的全方位的网络管理。StarView 可以对整个网络上的网络设备进行集中式的配置、监视和控制，自动检测网络拓扑结构，监视和控制网段和端口，以及进行网络流量的统计和错误统计，网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。

[1]吕新奎.中国信息化[M].北京:电子工业出版社,2004.

[2]胡道元.网络设计师教程[M].北京:清华大学出版社,2004.

[3]王晓军.信息化建设推动保险业持续快速发展[J].中国金融电脑,2008(02).