Cisco上海证券

证券公司网络系统的构建 朱宁 ---- 证券公司业务的开展依赖于大量的数据处理和信息交流，对数据的实时性和准确性要求很高。特别是当前我国又面临加入世界贸易组织的挑战，更要求证券公司在对外积极拓展业务领域的同时，加强内部的监察和自控工作。全国性的大型证券公司一般都有数十个营业部，这些营业部分散在不同区域，如何构建一个高效的广域网络，以便将公司内部连为一体，一直是证券公司信息部门的主要任务。 一、广域网设计需求 ---- 1. 安全性 ---- 总机房主干路由器和下级机构网络相连，要防止远程网络节点对主干局域网的非法访问，保证系统的安全性不受侵犯，保护数据不被非法窃取、篡改或泄露，并能防止计算机病毒通过内部网络侵入。在本中，通过利用Cisco IOS提供的访问控制过滤（AccessList Control/ Extend AccessList Control）组件、CiscoSecure安全认证软件和网管软件的功能来保证系统的安全。 ---- 2. 可靠性 ---- 网络具有足够的通信带宽，对数据通讯高峰有预先的估算，并对通讯带宽留有一定余量，网络有备份路由方案。本方案采用2台骨干交换机，各个节点之间的连接分配充足的带宽，线路有备份，可以满足证券交易的特殊需要。 ---- 3. 高效性 ---- 网络应该保证数据包能够高效、快速、准确地发送到目标主机，同时在广域网上尽可能少地占用网络资源。通过选用高性能的交换设备和在整个广域网采用OSPF内部网关便可实现这一要求。 ---- 4. 可管理性需求 ---- 网络应易于管理和维护，并且便于制定网络规范和选用网管软件。另外，还应考虑到关键设备的兼容性，最好选用同一家厂商的交换机和路由器产品。为实现以上目标，我们选用CiscoWorks 2000作为网络管理工具，并全部采用Cisco公司的产品。 二、主干局域网建设方案和设备选择 ---- 目前，网络主干技术有快速以太网、FDDI、ATM和千兆位以太网等。其中千兆位以太网是从以太网和快速以太网发展而来的局域网技术，它采用与以太网相同的原理，具有和以太网相同的帧格式及管理方式，并具有性能高、成本低及易于维护等特点。千兆位以太网提高了带宽，能通过交换机进行扩展，可使用新的协议，如带宽预留协议(RSVP)等，其VLAN能为网络中的数据包提供明确的优先级信息，此外千兆位以太网使用了先进的视频压缩技术，使图像和多媒体数据的高效传输成为可能。 ---- 基于上述考虑，本方案选用Cisco Catalyst 6000系列交换机。Cisco Catalyst千兆位交换机实现了千兆位通道技术，可在交换机之间实现最高速率为8Gbps的骨干连接，支持802.1p协议，提供了8个等级的优先级别。Cisco IOS软件中的带宽预留协议（RSVP）、工作组管理协议（CGMP）等网络技术能保证基于IP的QoS。Cisco Catalyst 6000交换机可实现线速第3层路由交换功能，支持等值路径路由算法（如OSPF）和非等值路径路由算法（如EIGRP），其收敛速度和可靠性均较好。另外在Catalyst 6000系列交换机上配置多服务模块（MSM），就可以拥有高速的第3层交换能力，速率可达到15Mpps，将来可扩展到150Mpps，远远高于路由器所能提供的包转发速度。网络结构如附图所示。 ---- 目前在本方案中，将10/100Mbps用于桌面计算，千兆位以太网用作核心主干技术，这样不仅可以满足证券公司现有的业务要求，而且提供了对多媒体数据传输的支持，具有很高的扩展性。 ---- 网络的可靠性和稳定性是极为重要的，特别是像证券公司这样的金融机构，一旦网络系统崩溃，损失会很大。所以主机房选用2台Catalyst 6009作为中心交换机，它们之间通过2条1000Base通道互连，提供高达4Gbps的总通道带宽，各个服务器通过2块网卡分别连入2台Catalyst 6000交换机，主干路由器Cisco 7507也通过快速以太网端口接入Catalyst 6000交换机。当一条网络链路出现故障时，网络系统会自动切换至另一条链路，这样整个网络就有了一个可靠、高效与可管理的中心。 三、广域网络连接方式和备份方案 ---- 公司广域网是一个3层结构的通讯网络。第1层是主机房网络中心，包括办公自动化服务器、文件服务器、通讯服务器、数据仓库服务器、主干路由器、备份及访问路由器、网管系统和中心交换机。 ---- Cisco 7507路由器是广域网络主干路由设备，其E0口接主机房内部网络；Cisco 7507路由器的MIB模块可接带宽为2Mbps的光纤设备，目前分配了十余个时隙，每个时隙带宽为64Kbps，采用DDN方式和江苏、浙江与上海的各营业部相连。Cisco 7507路由器的16个高速串口接主机房的SDM300卫星Modem，通过租用双向卫星通道，分别连接16家外省市分支机构。 ---- 公司通讯网络第2层和第3层分别是各分支机构机房和下属各营业部机房，通过DDN专线相互连通；分支机构配有Cisco 2522路由器。Cisco 2522有2个高速串口和8个低速串口。高速串口用于和SDM300卫星Modem相连，接入总机房。低速串口用于和下属营业部相连，由于低速串口可支持同步和异步传输，因此在营业部DDN线路尚未建立好的情况下，可先采用电话线拨入方式等待营业部呼叫。营业部的通讯设备选用Cisco 2501路由器。 ---- 备份网独立于通讯主干网，采用2级结构，拨号备份。主机房配备若干台Cisco 2511作为拨入设备。分支机构Cisco 2522路由器的AUX端口作为路由拨号端口外接Modem。当双向卫星通讯中断后，路由器自动切换到AUX端口进行拨号，拨入主机房Cisco 2511路由器恢复通讯。同样，当分支机构和下属营业部的DDN专线出现中断情况时，营业部的Cisco 2501路由器也会自动在AUX端口进行拨号，拨入分支机构机房的Cisco 2511路由器。 ---- 整个广域网采用OSPF内部网关协议。OSPF的特点是使用驻留在每个路由器中相同的拓扑数据库，对拓扑形式的改变能提供快速的聚合；一组路由器组成一个区域，区域边界路由器（ABR）在区域之间交换信息，因此OSPF比较适合于设计和实现大型网络。 四、网络安全性建设 ---- 1. 配置Access Control List ---- 利用Cisco IOS提供的访问控制过滤（AccessList Control/ Extend AccessList Control）组件，可以对网络资源进行有效安全的管理。其中AccessList（权限列表）针对数据包的目的网络地址，通过IP地址的过滤完成访问控制，包括网段和主机地址；Extended AccessList（扩展权限列表）针对数据包的源地址和目的地址的组合，对网络访问进行访问控制，包括网段和主机地址。 ---- 通过在网络设备上设置权限列表，不同IP网段的用户可以访问对方特定的网段或主机，但是拒绝这些用户对整个系统网段和主机的访问。更重要的是利用AccessList Control，不仅可以对不同的端口进行不同的访问控制，同时还可以对不同的应用使用不同的TCP端口进行分类控制。例如，在同一台管理信息系统主机上，同时运行电子邮件应用和WWW应用，通过在路由器上设置控制表，可以控制其他用户只能访问电子邮件应用，而不能访问WWW应用。 ---- 2. 使用认证软件 ---- 为了建立一套完善的安全认证机制，本方案在主机房选用了CiscoSecure安全认证软件。CiscoSecure提供如下3方面的功能：对网络合法用户的身份提供验证；对网络用户使用网络资源提供授权；根据用户的要求对网络继续审计和记账。对于所有的Cisco网络设备，CiscoSecure通过工业标准的TACACS/RADIUS安全认证协议，提供集中的用户安全认证，这样有效地保护了网络设备的安全性，防止网络入侵者以网络设备为跳板攻击网络系统。CiscoSecure还提供了丰富的网络审计功能。 ---- 同时，CiscoSecure还能够对拨号(备份)路由器和远程用户进行集中的用户名/口令的认证，并支持PAP和CHAP口令验证协议。对于更高安全要求的用户，可使用“一次性口令Token”安全认证。 ---- 此外，该软件根据路由器提供数据流量的统计，可以记录流出路由器某端口的IP包的个数和字节数，并可以按源地址和目的地址进行分类和筛选，为以后实行流量计费打下基础。 五、网络管理 ---- 证券公司网络系统相当庞大而且复杂，因此在网络应用中采用强大而全面的网络管理系统显得愈加重要。网络管理系统应该直观、动态显示设备的工作状态和利用效率，具有图形操作界面，并支持网络自动报警、故障诊断、在线升级和维护等功能。 ---- 为了实现对网络系统的统一管理，本方案选择CiscoWorks 2000作为网络管理工具。 ---- CiscoWorks 2000可探测网络设备的型号、软件版本、图像类型以及所安装接口的数目和类型。这些信息自动放置在配置文件中。利用Show Commands命令能够快速查看有关路由选择设备的系统和协议的详细信息，同时允许机房管理员集中分布和管理互连网络上的路由器软件，因而降低了升级费用。CiscoWorks 2000为所有Cisco IOS软件提供中央存储区，无需执行乏味的人工管理工作，使机房管理员能够快速和方便地查找到想升级的路由器，自动跟踪网络上运行的软件版本。 ---- 该网管软件可收集以前的网络数据以便对性能趋势和通信量模式进行脱机分析。集成的Sybase SQL关系数据库服务器存储指定的SNMP MIB变量，包括字节数和包总数等，可以从中建立查询并生成有关的统计图形。 ---- 此外，通过使用CiscoWorks 2000还建立了授权检查程序，以保护被选定的CiscoWorks 2000应用程序和网络设备不接受非授权个人的访问。这种保护措施可以保证只有具有合法账户和口令的用户和工作组才能执行配置路由器、删除数据库设备信息以及确定存储程序等功能。 六、数据传输系统的构建 ---- 在公司建立完善的TCP/IP广域网基础上，为了实现总部和各分支机构之间能信息共享和及时传递财务清算数据，公司需要选择一个通信系统基础平台，它应具有良好的系统稳定性和可管理性，同时能进行合理的传输优先级分配和权限控制。 ---- 通过多方比较和测试，证券公司决定采用Lotus Domino/Notes 4.6作为企业级通讯和协同计算平台。Lotus Domino 是一个面向应用程序和邮件处理的服务器软件，集成了电子邮件、群件应用和Internet Web等功能，具有完善的工作流控制和数据库复制技术，尤其适合于处理各种非结构化与半结构化的文档数据，同时它支持多种网络协议，这些功能使基于公司Intranet的一系列交互式解决方案成为可能。Domino/Notes另一个突出优点是它在网络安全控制方面做得比较好，具有包括验证、数字签名、存取控制和加密等在内的一整套安全保密机制。此外，经过不断改进，Domino 4.6系列版本的系统稳定性大大优于先前版本，和Windows NT 4.0结合得非常好。 ---- 由于公司网络已成功通过TCP/IP协议连接起来，因此本方案将整个广域网中所有的Domino服务器都归入一个Notes域中，主机房设有一台Domino Hub Server，作为邮件中继和文档类数据库复制服务器。 ---- Domino系统的配置文档绝大部分集中在公共通讯录数据库中，因此规范和维护该数据库是保证Domino正常运行的前提条件。我们在通讯录的“连接”文档中，了文档类数据库复制的优先级和时间段，将实时性不强的讨论性数据库复制安排在通讯量不高的中午和下午，而将营业部人员及客户关心的新闻类数据库复制安排在上午，同时将每台Domino服务器和其他服务器复制的时间分别错开5分钟，以避免通讯高峰引发带宽瓶颈。 ---- 公司内部因为要实行严格的稽核和自控制度，所以要求营业部将每天的财务资料通过邮件形式发往总部的信息中心。我们在信息中心的接收邮件数据库中编写了一些代理，以实现自动检测邮件、自动拆离财务数据和自动归档等功能，完全不需手工干预。同时，公司总部发布的通知或文件也通过Domino邮件机制快速分发到各个分支机构，极大地促进了信息交流，摆脱了地理限制。 ---- Domino/Notes有一套完整的安全加密和权限控制机制，机房制订了详细的系统管理手册，以便规范服务器命名和组织命名、建立用户组、注册新用户和数据库备份（磁带机）等。同时严格遵守用户ID文件的发放和界定文档型数据库的管理与编辑权限。为了防止用户邮箱数据库无限膨胀，系统管理员对每一个用户的数据库设置容量限额，并定期查看Domino日志数据库。 ---- 对于远程用户使用Notes，可通过特定用户名拨入机房Cisco 2511路由器，便于随时访问文档数据库和个人信箱，全天候和公司保持联系，及时处理手头工作，真正实现移动计算。机房管理人员可以通过查看拨号认证软件的记录表来监督用户的上网情况