银行证券证券网络系统的设计与实现

证券网络系统的与实现 ----随着网络系统的不断发展，新的数据库系统和应用系统不断走向大规模集成化，系统的网络传输频宽的需求也不断增强；同时网络安全性也越来越受到券商的重视。针对上述要求，江西省证券公司第二营业部计算机网络系统的设计采用了安全、可靠的三层网络结构。它把一个营业部的局域网分为内网和外网，内、外网通过中间件相连，前后台由不同的服务器进行处理，实现了前台与后台的分离。数据服务器在内网中，用户网络与交易数据只通过中间件连接。通信经过加密处理，采用多线程技术提高了网络运行效率，实现了网络与数据的分离，可防止黑客的侵袭。中间件通信采用加密算法，每个中间件有不同的密钥，使得黑客攻击无经验可借鉴，即使外网Novell服务器被攻破，内网的数据服务器和文件服务器仍不会被黑客破坏。 网络的配置 ----服务器至主交换机采用百兆以太网，采用具有先进Load Balance技术的双百兆网卡(Intel 8480)来承担，一旦该网卡出现问题，系统会自动切换到另一块百兆网卡上，使其达到冗余的目的。两台Cisco Catalyst 3524-EN交换机作为网络主干交换机(适用于工作站数量≤550的网络），交换机之间通过千兆光纤链路通道技术(Gigabit Ether Channel)相互连接，保证负载均衡及线路备份。2条千兆线路用作GEC连接，实现了全双工4G带宽。采用Spanning-Tree技术避免回路，实现交换机间的线路备份，在正常情况下，当主干交换机的光纤端口或光纤链路出现故障时，整个网络可通过Spanning-Tree重新计算并构造网络结构，配合UplinkFast技术，在2秒内自动启用备份线路，无须人工干预。 ----在行情服务器上装有两块百兆网卡（Intel 8480)用于扩展服务器到主干交换机的带宽，并起冗余备份的作用，备份行情服务器则配置一块双端口网卡（Intel 8472)，通过Cisco的FEC技术连接到主干交换机上，达到全双工400M带宽；主交易服务器也选用两块单口100M网卡（Intel 8480)，组成冗余网卡组，分别连接两台主干交换机，达到冗余的目的。备份交易服务器则配置一块双端口网卡（Intel 8472)和一块单端口网卡（Intel 8460B)，双口网卡通过FEC技术连接到主交换机上，单端口网卡则用作心跳连接。这样交换机与交换机、服务器与交换机之间均采用了备份线路，能保证整个网络在部份设备出现故障时还可正常工作。原有的网络设备，如Bay、Intel交换机则可移至二级网络，它们与主干网的Cisco交换机之间也采用交叉连接的方式进行备份，保证了整个网络的服务器、主干和二级网之间互为冗余备份，该系统具有很高的可靠性及稳定性。 ----证监会对证券网络提出了三个分离（技术与业务分离、前台与后台分离、网络与数据分离）的要求，因此该系统采用了虚拟网（VLAN）技术。Cisco交换机提供Cisco ISL及802.1Q技术，可提高整个网络的安全和效率，例如把交易服务器和行情服务器分在不同的VLAN，股民只允许访问行情服务器所在的VLAN，而禁止对交易服务器的非法访问；把不同作用的客户机分配在不同的VLAN，限制它们的相互访问；或者利用端口管理技术，限制它对交换机某一个端口的访问权。另外，为了提高交易系统的安全性，我们采用了中间件，外围委托软件不能直接访问数据服务器，而是通过中间件系统来访问数据服务器。中间件接收外围委托软件发来的请求指令，根据收到的指令向数据服务器发出请求数据指令，比如验证密码、验证股票余额、验证资金余额、查询资金、股票等，把数据服务器返回的结果送给外围委托软件。显然，外围系统与数据服务器的通信是通过中间件连接的，中间件、外围软件、数据服务器之间的通信是通过发送、接收加密网络包的形式实现的，不再需要DBF交换库，彻底消除了DBF数据库被修改、删除等不安全因素。支持Cisco ISL技术的网卡有Intel 8480。 ----应用Cisco内置的网络管理系统（CVSM），网络管理人员可以方便地通过Web技术对整个网络的交换机进行管理，包括Cisco交换机的每一端口工作状态、网络数据流量、软件配置及升级等。采用CA ARCserve及磁带机对网络系统进行数据备份，同时可对系统进行快速灾难恢复，降低故障率。 ----与上海、深圳的单、双向卫星接收机为4台DBR401，其中四台通信工作站分别与Cisco Catalyst 3524-EN中心交换机连接。 网络的实现 ----1．主干交换机 ----网络主干选用2台能满足高速应用的Cisco Catalyst 3524-EN交换机，每台提供2个1000M端口插槽，24个10/100M自适应端口。用于服务器、重要工作站及二级交换机的连接。在两台Cisco Catalyst 3524-EN之间，采用千兆连接，网络主要设备实现线路冗余和负载平衡。 ----2．二级交换机 ----二级交换机为18台Cisco Catalyst 1924-EN，每一台Cisco Catalyst 1924-EN可提供24个10M端口，2个100M端口。连接主干交换机的端口,实现二级网络交换机冗余。主干交换机和二级交换机共能提供约480台电脑接入。 ----3．服务器及网卡 ----(1）服务器 ----网络服务器采用Compaq PROLIANT 6000、3000、2500服务器。 ----·行情服务器 ----PL6000作为行情主服务器，采用PIII450、RAM128M、2块RIAD12×4.3G硬盘、PL2500作为行情备份服务器，主CPU为PRO200、RAM128M、2块RIAD12×4.3G硬盘，操作系统为Netware 4.11，利用Novell High Availability Server双机热备份软件组成群集系统，互为备份。磁盘阵列柜采用Compaq公司的RA3000，容量为5×9.1G，阵列柜接口为50MB/SSCSI，应用软件及行情数据均存储在此阵列柜中。行情分析选择钱龙V2.23，工作方式目前为ACTIVE-STANDBY。 ----·交易服务器 ----PL3000作为交易主服务器，PL2500作为交易备份服务器，用STANDBY FOR NETWARE双机热备份软件相连。 ----(2）网卡 ----服务器网卡采用Intel PRO/100 Intelligent Server Adapter的PILA8480网卡，它支持以下高级服务器网卡技术：AFT、ALB、FEC及Cisco ISL VLAN，可实现服务器与交换机之间的智能连接。采用Intel PRO/100＋ Server Adapter网卡（Intel 8460）作服务器双机热备份数据检测链路（心跳）。 ----应用Novell V4.11 NLSP的LOAD BALANCE技术，使整个网络负载均衡，同时增大了服务器与交换器之间的连接带宽。 网络主要特点 ----　(1）用Novell High Availability Server双机热备份软件组成群集系统，网络核心没有单点故障。 ----(2）采用Cisco基于Web界面的网管系统，可以通过图形界面对Cisco设备进行管理、配置、监控整个网络运行情况。 ----(3）采用Cisco的ISL技术或802.1QVLANTrunk技术。通过VLAN，可以控制广播域，只有在同一个VLAN的设备才可以接收到广播，因此可以提高网络性能。通过Cisco独有的交换机间链路协议技术，可在单一的物理链路上划分多个子通道以对应多个VLAN，实现服务器用一个端口与多个VLAN交换数据，Intel 8480网卡可支持ISL技术，可在一个端口分出多个逻辑端口对应不同的VLAN。这样通过ISL或802.1Q，可以实现服务器在同一个通道同时完成VLAN Trunk的备份及负载均衡。 ----(4）采用端口安全技术，将客户机的网卡MAC地址在交换机上登记，只有在某个端口进行登记的MAC地址才可以在这个端口进行网络连接，否则，交换机不允许客户机使用网络。 ----(5）Catalyst 1900-EN可采用统一的Cisco RPS电源，每个RPS最多可支持4个Cisco设备。 ----(6）Catalyst交换机具有很强的背板交换能力，Catalyst 1900-EN及3500-EN的背板能力分别为1Gbps及10Gbps。 ----(7）广域网采用Cisco2621通过DDN专线与省证券中心相连。 主干网络扩展 ----在中心机房配置了2台Cisco Catalyst 3524-EN，随着网络扩展的需要，可增加一定数量的Catalyst 3524-EN，它们之间连接通过Giga Stack模块构成堆叠矩阵，组成单一的IP地址，中心交换机可配置Catalyst 3508-EN或Catalyst 6005将所有Catalyst 3524-EN实现千兆互连。 ----这套系统已于2000年2月下旬投入试运行，目前这4套服务器、网络设备运行状况非常稳定。通过试验，行情、交易服务器系统，主干网络设备切换一切正常。在网络规模、运行速度、安全性等方面，较以前老营业部网络系统都有很大的提高。