邢 辉

中国邮政储蓄银行内蒙古分行，内蒙古呼和浩特 010000

基于路由器VRRP及QOS功能构建金融系统网点主备线路设计

邢 辉

中国邮政储蓄银行内蒙古分行，内蒙古呼和浩特 010000

为保障金融系统网点不间断对外提供服务，需要实现网络通讯线路主用中断，备用可自动接管，并能够根据两条线路传输的业务重要程度，进行带宽流量控制，保证重要生产业务数据的稳定传输。文章阐述了基于VRRP协议及QOS服务合理设计，并与通讯运营商线路类型紧密衔接，设计网络组网结构，通过网络路由器准确配置成功将该设计运用于金融系统网络中。

自动切换；通讯线路；虚拟路由冗余；服务质量

随着我国经济发展，金融服务业也得到了前所未有的快速提升。金融业务的稳定服务不仅关系到金融行业的声誉、利益，甚至关系到社会的稳定甚至国家的安全。金融业能够稳定对外服务，拥有一个坚固而稳定的网络系统，是金融行业得以继续发展的重要基础。

金融行业信息系统主要分两大类网络，一是生产网，对外提供金融服务的网络；二是管理网，对内提供金融系统内部管理、数据分析的网络。目前，重要的金融机构采用生产网和管理网均申请一条备用通讯线路，用来保证网络不间断运行。对于网点众多的大型金融机构，增加的通讯线路数量在几百条、甚至几千条，通讯线路成本成为信息系统运行成本的主要支出。如何在保障生产网稳定不间断运行，并且无需新增通讯线路，成为一个非常重要的技术关键点。通过合理设计网络结构、合理运用网络技术，同时进行大量实验测试，得出以下结论：利用原有生产网与管理网，通过已有的网络形成线路备份机制，同时能够兼顾两网运行的业务，保证业务服务质量。本文网络结构设计及网络技术运用成功实现了双线备份及服务质量保证，提高网络稳定性的同时，大大减少了通讯线路成本支出，为企业节约成本也是一种效益的体现。

1 网络架构设计

1.1网络逻辑架构

金融机构网络主要由生产网和管理网构成，数据中心与网点间采用直连汇聚链路进行网络通讯。在数据中心侧通过4台路由器2台为一组分别连接网点侧生产网和管理网路由器，数据中心端路由器通过生产网和管理网核心交换机与服务器通讯，网点侧2台路由器通过互联trunk端口进行主备线路切换，网络逻辑拓扑图如图1所示。

1.2网络路由设计

使用ospf协议建立核心区网络路由，为了满足生产网和管理网络隔离的需求，在汇聚路由器上使用两个ospf进程进行隔离。生产网核心交换机与生产网汇聚路由器之间运行ospf100，传输生产网络数据流量；管理网核心交换机与管理网汇聚路由器之间使用ospf200，传输管理网网络数据流量。

生产网核心路由器同数据中心生产网汇聚路由器使用三层口全互联网络架构，ospf进程设为100。ospf路由协议会自动实现备份功能，任何一根线断掉或者设备故障，都不会影响生产网安全运营。邻居建立使用ospf point-to-point网络类型。引入下联rip路由协议进入ospf100，使用路由过滤功能，只准许生产网段进入ospf100。

管理网核心路由器同数据中心管理网汇聚路由器使用三层口全互联网络架构，ospf进程设为200。ospf路由协议会自动实现备份功能，任何一根线断掉或者设备故障，都不会影响非生产网安全运营。邻居建立使用ospf point-to-point网络类型。引入下联rip路由协议进入ospf200，使用路由过滤功能，只准许非生产网段进入ospf200。

在汇聚路由器与网点之间使用了RIP路由，启用单进程的RIPv2协议，进程号为100。在新建的网点中，不需要获得其他网点的路由，同时要避免网点线路故障时，造成rip路由重新计算，占用整个网络设备的资源。采用下联设备只接收网点发来的rip路由，网点使用静态访问各自需要访问的资源。

2 网络协议设计

2.1VRRP协议

VRRP全称是虚拟路由器冗余协议（Virtual Router Redundancy Protocol），根据协议原理将网点端路由器设计为一个广播域，并将2台路由器接口变为一组，形成一个虚拟路由器，为其分配一个IP地址，该地址是第三方地址，作为虚拟路由器的接口地址。两台路由器通过优先级的设定，指定优先级高的路由器为主用路由器。

配置网点生产网段VRRP组的实地址和虚地址，实地址用于设备互联，虚地址为生产网段的网关。配置路由器接口在VRRP组的优先级为120（默认为100），即正常情况下路由器的接口为VRRP组的主网关，配置实例如图2所示。

2.2链路检测协议

如图3配置，通过的链路检测技术对网点上行链路进行实时监控，当VRRP组中主用路由器的上行链路断开，它的状态仍是Master，此时该域中的主机路由仍走此路由器。但因为其上行链路断开，导致该域的主机无法正常与外界通信。因此，在VRRP中增加上行链路状态检测解决此问题，步骤如下：配置一个VRRP组跟踪某track的链路状态，如果该接口状态从up变为down，则主动降低优先级；如果从down变化up，则主动升高优先级，以加快VRRP的主备竞选，可将主网关在VRRP组的优先级减掉50从而激活备份网关，保证生产流量的不被中断。

2.3QOS设计

当网点生产网主用线路中断、设备故障时，通过切换至管理网连接数据中心。由于管理网上同时运行管理应用，生产业务使用管理网线路时需要在数据中心汇聚路由器上针对生产网业务进行带宽保障，即通过QOS的方式来实现带宽保障的需求。

当互备机制生效，网点管理网路由器切换为生产主用设备时，生产和管理业务共用网点线路带宽，需启用QOS策略保障生产业务。网点路由器上配置WFQ队列，针对不同的业务创建不同的动作组，结合访问控制列表匹配不同业务的网段，分配不同份额的带宽比，首先保证生产业务流的传输，其余的带宽分配给监控等非生产业务。

3 结论

基于VRRP和QOS设计的网络架构，在保证网络安全的基础上，分层级设计网络结构，充分利用企业生产网和管理网，实现了管理网作为生产网的备份，并且生产网应用及管理网应用合理分配带宽资源及数据传输，为企业减少生产网单独备用线路投资，大大提高了网络可用率，该网络设计已成功应用于邮政储蓄银行内蒙古分行，每年为企业减少通讯电路费用300余万元，该网络组网设计可在类似的金融机构中推广使用。

［1］特南鲍姆，韦瑟罗尔.计算机网络［M］.严伟，潘爱民，译.4版.北京：清华大学出版社，2010.

［2］Richard Stevens.TCP/IP详解卷一：协议［M］.范建华，胥光辉，张涛，等，译.北京：机械工业出版社，2014.

［3］杭州华三通信技术有限公司.H3C路由器典型配置指导［M］.北京：清华大学出版社，2013.

［4］宏智科技系统集成公司.Juniper网络设备配置指南.

TP3

A

1674-6708（2015）147-0098-02

邢辉，工程师，研究方向：计算机网络