2.2.2　商业银行的传统网络架构

商业银行数据中心是IT建设的重点，而网络架构作为信息交换、数据传输、接入转出、建立客户与银行信息交互的通道，是保障信息互联互通的关键设施，所以网络架构是数据中心建设的重点之一。银行IT网络架构既要为上层提供便捷、可靠、高性能的业务需求，又必须满足银行信息系统严格的合规需求，还要实施有效的安全策略和防护，以实现安全可靠、具备一定弹性的商业银行数据中心网络结构。

银行业内有“三张网”的说法，即生产网、办公网、互联网，三张网在正常情况下应当物理隔离，以保障不同业务属性互不影响。此外，按连通范围可分为城域网、广域网以及数据中心网络；按用途可分为生产业务网、测试业务网、管理网、备份网、办公网等。本节将对城域网、广域网及数据中心网络进行简单介绍。

1. 城域、广域网架构

商业银行的城域、广域网架构从地理位置上看包括总行、分支机构、数据中心、外部机构等，大型商业银行还有可能在境外开设分支机构。城域、广域网IT网络构建主要考虑满足高可靠、多用途、安全隔离、高性能等需求。

商业银行数据中心网络架构只有复杂和很复杂两种类型，其设计并不是扯几根网线那么简单，而是关联到总行数据中心、灾备数据中心、分支机构、外部机构等跨地域甚至跨洲际的网络设计。为保障网络的可靠性，在数据中心之间、分支机构与总行数据中心之间、海外机构与总行数据中心之间，均需要建立主备双线通道。关于网络通道，一般是同城采用裸纤、DWDM（Dense Wavelength Division Multiplexing，密集型光波复用）通道，异地采用SDH（Synchronous Digital Hierarchy，同步数字体系）/SONET（Synchronous OpticalNetwork，同步光纤网络）或MSTP（Multi- Service Transport Platform，多业务传送平台）刚性通道专线和MPLS（Multi-Protocol Label Switching，多协议标签交换）VPN、VPDN远程连接方式。不同IDC（Internet Data Center，互联网数据中心）在内容传输方面也各有差异，从分支行到总行的数据传输主要是业务、办公、视频监控数据；而数据中心之间的数据传输多为业务复制数据、备份数据、管理网数据、系统接口调用数据；总行或分支行与外部机构之间主要是接口调用数据和文件交互数据。

城域、广域网分层网络架构如图2-4所示。

此网络结构的优势在于架构的分层式设计，流量走向清晰、双通道冗余度高，缺点是扩展性差、新增节点专线成本高、新增分支机构节点的东西流量须到总行数据中心周转，所以无形之中又增加了南北流量。

对于中小规模的商业银行来说，上述网络架构基本能够满足建设需求，不过随着银行业分布式架构的部署，以及多活数据中心的应用和新建数据中心、分支机构的增加，分层网络架构响应起来就有点儿吃力了。因此，对于多数据中心、东西流量大的情况，网络结构会采用图2-5所示的环状承载网架构。

环状承载网架构采用CE-PE模式，PE作为承载网中心节点，CE作为接入节点，数据中心和分支机构均作为CE节点。环状承载网架构提高了多数据中心间网络的可靠性，CE节点只需对接最优的PE节点以此优化东西向流量，同时CE节点只需对接主备PE节点，在保障高可用的前提下大量减少了全网专线数量，降低了专线成本投入[1]。

2. 数据中心网络架构

数据中心网络作为银行内部网络，作为各系统间通信的通道，可以说承载了银行所有业务系统流量，其重要性不言而喻，是网络架构设计的重点。单个数据中心内部网络架构设计通常会遵循“水平分区，垂直分层”的原则。

（1）水平分区

水平分区是以模块化方式对网络进行功能划区，目的是分解网络并实现区域隔离和安全管控。基于强监管要求，银行要求具备独立的安全管控分区，于是形成了具备金融业特色的区域划分。

业务区域的整体架构规划参考中国人民银行颁发的网银网络技术架构指引，如图2-6所示，商业银行网络区域划分在满足监管合规的前提下也须满足银行互联网化架构变更的需求。银行业数据中心区域划分通常包括前置DMZ区、网银应用区、交易业务区、核心交换区、数据库区、外联区、管理业务区、运维区、下联区、数据存储区和测试区等。各区域之间都要通过独立硬件设备进行安全隔离，在每个网络区域的边界均要部署独立的访问控制设备。访问控制设备采取默认拒绝所有访问策略，需要时必须以“最小、必要”的原则，以白名单方式开通允许访问的能力。

各网络区域承载的功能如下。

▪ 前置DMZ区：用于放置业务互联区中供外部用户访问的业务区域，包括互联网出入口前置代理、公网DNS解析设备等。

▪ 网银应用区：主要承载面向互联网提供服务的应用，包括传统银行网银业务及互联网金融类业务。

▪ 交易业务区：部署现金交易相关业务系统区域，处理各种业务逻辑，如核心应用、支付平台、金融IC卡等基础服务业务系统。

▪ 核心交换区：是整个网络区域的核心，作为核心节点对网络各区进行连通，并对数据进行高速转发，同时也是双活数据中心的关键互联通道。

▪ 数据库区：主要处理应用各种数据操作的数据库区域，具备最高安全等级，在多机房环境中，数据库同步使用单独波分通道。

▪ 外联区：主要处理第三方访问的区域，用于与第三方机构通过运营商专线接入，如人行、银联等机构。基于人行系统重要性考虑，细分为人行外联和三方外联。

▪ 管理业务区：主要负责管理设备的接入，部署业务后管等系统，适用于银行内部业务团队访问的场景。

▪ 运维区：部署运维管理、运维监控、运维发布、备份平台及安全管控等系统。

▪ 下联区：用于银行分支机构的上联接入。

▪ 数据存储区：部署各类存储设备（如FC集中存储、NAS集中存储、分布式存储等），提供基于FC网络、IP网络方式的访问。

▪ 测试区：单独的互联网测试环境区域，内部区域参考生产网络区域，并与生产环境网络物理隔离。

如图2-7所示，根据网络业务运行和运维管理用途可以划分为前端网络和后端网络。

前端网络包含生产业务网、数据存储网和数据同步网。生产业务网为用户访问及系统调用网络，数据存储网主要可以分为SAN网络及NFS网络，数据同步网则主要用于跨中心的数据复制。后端网络包含管理网、监控网、办公网、开发测试网、数据备份网。根据合规及网络隔离要求，一般后端运维管理网络与业务网络相互隔离，而后端网络中的管理网、监控网、数据备份网、开发测试网也需要相互隔离。

（2）垂直分层

垂直分层既可表示数据中心整体架构分层，也可表示水平分区的各区域内部垂直分层，如图2-8所示，可以分为核心层、汇聚层和接入层。

垂直分层有利于分级管理、分级运维及故障隔离。核心层作为网络区域交互的枢纽，实现跨区域网络流量转发，并可以旁挂内网DNS设备用于内部DNS动态解析。汇聚层实现接入层设备接入，然后转接到核心层，可以把汇聚层设备作为接入层网关设备，并旁挂SLB等智能服务设备。接入层则是实现服务器等设备的接入网络设备，一般会通过VLAN对网络进行二层区分和广播风暴控制。

[1] 王明汉，等.银行信息系统架构［M］.北京：机械工业出版社，2015：211-213.