人行省级数据中心网络性能优化策略

近年来，人民银行根据新时期全面履行职责的要求，结合金融信息化发展趋势，提出了“数据集中、资源整合”的信息化发展战略和建立人民银行两级数据中心的发展模式，集中体现了集业务发展、科技进步、管理创新、资源优化为一体的和谐发展目标。湖南省人民银行信息化建设经过多年的发展，已经取得了一定的成绩，业务处理信息化程度有较大提高，建设了供各个业务部门使用的信息管理系统，省级数据中心初具规模。但随着信息化建设的推进，省级数据中心的网络建设显露出新问题。笔者针对省级数据中心网络结构配置等方面存在的不足，提出了网络性能优化方案，有利于提高网络的适应性以及信息系统运行效率。

一、湖南省级数据中心网络现状

        湖南省级数据中心业务网按照总行规划，实现了分层分区，但在结构和配置方面仍然存在不足，导致性能瓶颈。

        一是虚拟子网的网关均设置在核心交换机上。核心层的主要功能是高速转发和路由，一个合理局域网的规划，应在汇聚层划分子网，汇聚层交换机到核心交换机之间用三层IP互联，这样能使核心层免受广播风暴以及基于广播技术的攻击。子网均在核心交换机上划分，导致不同子网间的通信均需通过核心交换机，既增加了核心交换机的负载，又降低了数据传输效率。

        二是安全管理系统未部署在管理和安全区。安全系统的网络流量较大，流量高发时期会对业务系统造成影响。湖南省级数据中心业务内网划分了独立的管理和安全区子网，但是，目前仅有少量安全服务器部署在管理和安全区，其他重要安全管理系统由于所运行的服务器如小型机、刀片服务器的物理位置固定，上线时考虑到布线的方便，就近部署在服务器网段，导致安全和管理区实际接入系统很少的状况。

        三是纵向防火墙部署位置不合理。设置纵向防火墙的初衷是为了保护两级数据中心的数据，因此，省级数据中心纵向防火墙本应部署在省级数据中心的生产区，但建设时根据总行要求部署在核心交换机与下联路由器之间。防火墙部署在此位置，使得长沙中心支行辖内所有用户访问总行或者其他省区的系统，都得经过纵向防火墙，加重了防火墙的负担，增加了访问策略的复杂程度。四是清算系统放置外联网防火墙DMZ区。目前长沙清算分中心的部分系统放置在长沙业务网DMZ区域，既不利于业务系统的隔离，也不利于网络的性能分担。

二、优化策略

        提高网络性能主要有两种方法：一是增强网络各主要单元的性能、速度，更新网络瓶颈部分的网络设备和线路；二是在有效利用现用设备的基础上合理规划网络，提高性能。网络性能优化重点考虑如何应用网络规划来增强网络性能。省级数据中心网络的瓶颈主要体现在网络结构欠合理，服务器IP分配待调整等方面，针对目前存在的不足，提出如下优化方案。

        1．调整网络结构

        （1）将省级数据中心的大二层网络调整为二层三层混合网络

        主要内容为将核心交换机与汇聚层交换机相连的区域改造为三层网络，通过动态路由实现网络访问；汇聚交换机与接入交换机之间的区域保留为二层网络；服务器及客户端网关下移到汇聚层交换机上，访问控制策略主要在汇聚层交换机上实现。调整后主要益处包括以下三方面。一是优化网络访问路径，服务器到服务器、客户机到客户机之间的访问直接通过生产区汇聚、工作区汇聚交换机实现转发，不再通过核心交换机及核心交换机与汇聚交换机之间的线路，缩短了网络路径。二是缩短网络访问时间。由于服务器到服务器、客户机到客户机之间的访问减少了核心交换机处理、核心交换机到汇聚交换机之间传输的时间，从而减小网络访问时间，提高了用户访问的网络速度以及服务器之问相互访问的速度。三是提高网络利用效率。服务器到服务器、客户机到客户机之间的流量不在三层区域出现，大大减小了三层区域的网络流量，三层区域将有更多的网络带宽和设备处理速度来处理其他的网络传输。

        （2）纵向防火墙下移

        将纵向防火墙调整至生产区外沿，仅生产区数据需要经过防火墙，其他数据不再经过防火墙。长沙中心支行客户端访问总行，长沙中心支行客户端与省内其他系统、客户端之间的访问不再经过纵向防火墙，缩短了纵向防火墙处理的时间。安全策略一般在发起端虚拟网上实现，缩短了无效网络访问的路径，无效网络访问在其网关交换机上就被丢弃，不再传输到纵向防火墙，提高了网络的利用效率。

        （3）将相关网络管理、安全设备移到管理安全区

        网络管理的流量主要针对所有的网络设备，安全设备的网络流量主要针对所有的网络设备与服务存储设备，其流量与其他业务系统的业务流量无关，由单独划分的管理安全区承载。由于网络安全流量对带宽的要求性高，实时性比业务系统的要求低，分开流量有助于加强对业务流量的管理，提高生产区网络的使用效率。

        2．调整主机IP与接入点

        一是调整关联业务或较大相互访问流量的服务器至同一网段。将关联服务器或有较大相互访问流量的服务器放在同一网段，访问不需要三层转发，可以提高访问速度。此外，访问局限在二层，有助于缩短访问路径，从而提高访问速率及网络利用率。

        二是将有较大相互访问流量的主机调至同一接入设备。同一网段且同一接入设备的两个服务器之间数据传输仅需通过接入交换机，不需要经过其他设备中转。传输路径最短，效率最高。

        3．调整虚拟子网

        子网划分是实现网络性能优化的有效手段，划分遵循这样的原则：子网间的通信流量尽可能小，以减少通过网络互连设备的开销；子网内的流量尽可能大，表明子网内的信息关联密切；各子网内流量应趋于平衡，防止因新增网络设备而导致子网性能急剧下降。

        根据以上技术考虑及相关的管理要求，规划今后生产区为14个虚拟网，其中一个网管虚拟网，13个业务虚拟网，业务虚拟网按照人民银行业务的13大类来区分。管理安全区分为网络管理虚拟网、安全类虚拟网，工作区按部门划分虚拟网。按业务、部门划分虚拟网，一是可以将网络访问关系、网络流量主要集中在业务、部门内部；二是有利于开展更为精确的访问控制。

        4．调整服务质量保障

        长沙中心支行按照总行要求，分别对资金类、生产交互类等业务系统大类进行了服务质量保障。但近年来，业务系统的快速发展，对网络带宽提出了新的要求，如TIPS系统。因此，针对个别核心业务系统，单独作QoS保障，确保系统稳定运行，是未来的一种趋势。为了保障QoS的有效性，需对业务的要求、业务的流量做全面的分析，根据分析的结果调整QoS的设置，确保重要业务系统保障的带宽满足业务的需要，确实起到网络服务质量保障的作用。

        5．提高安全管理系统的性能

        据统计，安全管理软件占用了大部分的流量。因此，安全管理软件性能的提高能够有效减少网络拥塞，提高网络畅通性。可考虑从以下几个方面优化安全管理系统对网络的影响。

        一是尽量降低各软件客户端对服务器的访问频率，如U盘控制软件，可考虑仅在有U盘接入的时候才与服务器通信。二是在技术上降低客户端与服务器交互的数据量，如采用更优的压缩算法、工作时段禁传非实时数据等。三是定期对网络做流量分析，发现因为安全软件故障造成的流量异常。由于安全软件涉及所有的网络设备或服务器、PC设备，个别设备节点的异常即可造成整个网络的流量异常。四是关注安全管理区事件与网络流量的关系，尽量安排非工作时问执行相关有预期的网络安全操作。如补丁分发系统、推送系统、漏洞扫描等。五是将网络管理、网络安全流量与业务流量剥离，建立网络安全管理区来承载网络安全流量，确保不对业务的正常运行造成影响。

        上述网络性能优化策略，既适用于人民银行省级数据中心的网络优化，也对其他金融机构数据中心提高网络性能有借鉴意义。通过有步骤有计划地调整网络结构，完善网络配置，同时更换陈旧设备，有利于进一步改善网络运行环境，提高网络传输速率，加快省级数据中心建设进程。

（文章来源：《中国金融电脑》杂志）

扫码即可手机
阅读转发此文