证券数据中心技术方案.doc

证券有限责任公司证券有限责任公司证券有限责任公司证券有限责任公司 新建数据中心网络项目新建数据中心网络项目新建数据中心网络项目新建数据中心网络项目 招标编号招标编号招标编号招标编号： 技技 术术 标标 书书 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 i 目目 录录 1项目背景与需求分析项目背景与需求分析1 1.1项目背景.1 1.2需求分析.1 1.2.1新数据中心设计.1 1.2.2业务支持设计.2 1.2.3路由设计2 1.2.4安全设计2 1.2.5网络服务质量（qos）策略.3 1.2.6ip 地址规划3 1.3设计原则、策略与规范.3 1.3.1设计原则3 1.3.2网络设计策略.5 1.3.3网络设计标准与规范5 2网络设计方案网络设计方案 7 2.1集中交易系统对网络的设计要求.7 2.1.1集中交易数据交换流程 7 2.1.2集中交易体系结构8 2.2网络结构设计10 2.2.1网络总体架构设计10 2.2.2广域网接入网络设计12 2.2.3交易内网网络设计14 2.2.4交易隔离区网络设计16 2.2.5广域与灾备域网络设计 17 2.2.6安全隔离网网络设计18 2.3可靠性设计.19 2.3.1广域网接入可靠性设计 20 2.3.2交易内网可靠性设计23 2.3.3交易隔离网可靠性设计 26 2.3.4广域与灾备域可靠性设计.29 2.3.5安全隔离网可靠性设计 31 2.4网络安全设计34 2.4.1安全保障建议措施34 2.4.2防火墙安全部署设计36 2.5双网卡冗余备份方案的网络设计建议37 3设备配置方案设备配置方案 40 3.1广域网接入路由器配置.40 3.2交易内网/交易隔离网交换机配置40 3.3广域网/灾备网交换机配置.41 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 ii 3.4安全隔离区与 dmz 区防火墙配置 41 3.5安全隔离网交换机配置.41 3.6dmz 区域及办公网交换机配置.41 4系统实施与测试方案系统实施与测试方案42 4.1项目风险控制42 4.2工程实施方案43 4.2.1第一阶段：实施方案准备.43 4.2.2第二阶段：网络安装45 4.2.3第三阶段：系统测试45 4.2.4第四阶段：网络割接46 4.2.5第五阶段：回退计划46 4.2.6第六阶段：监控及优化 46 4.3测试与验收方案47 4.3.1单元测试48 4.3.2整体测试50 4.3.3系统集成测试.52 4.3.4测试验收单 53 5工程项目管理计划工程项目管理计划.56 5.1项目组织结构56 5.2技术服务人员情况介绍.61 5.3项目实施计划64 5.3.1设计方案认定.64 5.3.2物理结构图设计.64 5.3.3实施计划的确定.65 5.3.4工程施工督导、监察65 5.3.5工程安装、调试和最终验收.65 5.4项目进度计划1 5.4.1设备采购与设置.2 5.4.2工程准备3 5.4.3工程实施4 5.4.4完善优化工作.5 5.4.5工程验收5 5.5项目管理.1 5.5.1人员管理1 5.5.2物资管理1 5.5.3进度管理1 5.5.4文档管理2 5.5.5合同管理2 5.5.6项目计划的控制.2 5.5.7采购过程的控制.2 5.5.8安装过程的控制.3 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 iii 5.5.9用户服务3 5.6项目风险管理3 5.6.1项目风险概述.3 5.6.2项目风险控制措施5 5.7项目质量控制9 5.7.1项目管理概述.9 5.7.2方迪公司质量体系简介 9 5.7.3项目的质量保证.11 5.7.4文档移交不同实施阶段移交的文档清单.14 5.7.5项目表格15 5.7.6交付设备文档清单15 5.7.7项目实施表格.16 4验收证明验收证明20 5系统集成日记录表系统集成日记录表.21 6售后服务与培训方案售后服务与培训方案23 6.1方迪客户服务体系介绍.23 6.1.1客户服务体系概要23 6.1.2客户服务架构.24 6.1.3客户服务模式.25 6.1.4case 处理流程 .26 6.1.5rma 处理流程.32 6.1.6客户满意度调查.33 6.2技术服务内容34 6.2.1基本服务34 6.2.2高级服务35 6.2.3网络系统健康检查与维修服务41 6.2.4网络安全高级服务45 6.3售后服务计划及响应.56 6.3.1服务响应承诺.56 6.3.2方迪提供的本地化服务 57 6.4培训计划.58 6.4.1现场培训58 6.4.2不定期的技术交流培训 59 6.4.3网上资料库 59 7产品性能分析产品性能分析 60 7.1cisco 3845 性能分析 .60 7.1.1产品概述60 7.1.2用于数据、话音和视频的安全网络连接.61 7.1.3融合 ip 通信.62 7.1.4集成化服务 63 7.1.5主要特性和优势.63 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 iv 7.1.6产品架构65 7.1.7总结.66 7.2cisco catalyst 4948 性能分析.67 7.2.1主要特性和优势.67 7.2.2软件配置选项.69 7.2.3技术规格69 7.3juniper ssg 300 性能分析74 7.3.1概述.74 7.3.2特性和优势 74 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 1 1项目背景与需求分析项目背景与需求分析 1.1 项目背景项目背景 证券有限责任公司于 1992 年 11 月成立。证券以科技为依托，合 理配置资源，突出比较竞争优势，不断推出特色服务，将公司建成规模适中、 效益显著的综合类证券公司。目前证券在全国已经拥有包括深圳深南大道 营业部、深圳人民北路营业部、北京车公庄大街营业部 、上海零陵路营业部、 上海长宁路营业部、竹苑路营业部、武汉新华下路营业部、鞍山南胜利路 营业部、鞍山二道街营业部、南通孩儿巷营业部、沈阳文艺路营业部、杭州凤 起路营业部、广州花城大道营业部等 13 家营业部以及 1 家服务部。 为了适应当前证券市场发展的需要，证券将在原机房附近扩建一新数 据中心，建设新的证券中心机房。 1.2 需求分析需求分析 本项目可以认为是证券新中心机房的建设和机房搬迁两大部分组成。 项目总体目标是建立一个设计规范、功能完备、性能优良、安全可靠、有良好 的扩展性与可用性、可持续稳定运行的公司网络。 1.2.1 新数据中心设计新数据中心设计 为了适应当前证券市场发展的需要，证券将在原数据中心搬迁到新机 房，建立证券新中心机房。 新中心机房是证券整个公司网络的“心脏” ，设计效果的好坏将直接影 响整个网络的性能。 网络系统必须保证 7x24 小时连续稳定运行； 在设备选型方面充分考虑处理能力和高可扩展性； 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 2 与外部可信任公司如交易所、登记公司、银行等的接入采用可靠的技术 隔离手段，确保网络安全。 1.2.2 业务支持业务支持设计设计 满足当前公司业务需求，包括：集中交易系统、办公自动化系统、财务系 统、清算开户系统、以及其它系统接入。 1.2.3 路由设计路由设计 选择标准的路由协议，能适合不同厂商的网络设备，能进行较为快速的网 络收敛, 尽量避免使用静态路由； 采用有效的技术手段抑制拓扑变化所带来的网络不稳定性，合理规划营业 网点的 ip 地址，减少路由条目； 在保证网络运行稳定的基础上，尽量启用路由加速功能，加快包交换速度。 1.2.4 安全设计安全设计 公司网络传输大量对安全性要求极高的敏感数据，任何的安全漏洞都可能 造成严重的后果。网络的安全性方面必须至少具备以下的一些功能： 必须有能力抵御已知的网络攻击。推荐一个功能强大的、有效的网络攻 击检测和防御产品，切实保护网络资源的安全。 能够实时监控网络的一切活动，准确判断、识别、阻止已知的各种类型 的网络攻击行为； 能够方便、可靠地更新攻击行为模式库以适应攻击方式的不断推陈出新； 能够对可疑的网络行为发出警告，并对经确定的攻击行为自动更新至模 式库； 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 3 能够与已有的其他各种类型防护设备协同工作，充分挖掘、发挥这些设 备的安全功能，必须对生产网络没有任何实质性的不良的影响。 能够有效的控制计算机病毒的传播范围，将损失减小到最低； 采取有效手段使点到点的数据传输安全，防止数据被非法窃取、泄露、 篡改； 营业部的网络安全设计需纳入到公司网络安全整体设计中，充分挖掘、 利用营业部路由器、交换机安全方面的特性，部署网络安全的第一道防 线； 提供防病毒系统部署方案，保证业务系统的应用及数据安全。 1.2.5 网络服务质量（网络服务质量（qos）策略）策略 为了充分利用广域网线路带宽资源，并确保实时性与重要性高的数据及时 传输，须对备份线路带宽部署严格、有效的服务质量（qos）策略。 1.2.6 ip 地址规划地址规划 按区域统一规划、规范 ip 地址的使用； 所采用的 ip 规划规范必须能够有利于路由汇聚，便于日常的网络管理和 运维； ip 规划规范必须具有良好的扩展性。 1.3 设计原则、策略与规范设计原则、策略与规范 1.3.1 设计原则设计原则 深圳市方迪计算机系统有限公司作为一家优秀的系统集成商，向用户提供 的不仅仅是设备，而是整套的技术与服务。在方案设计时，我们将严格遵循以 下设计原则： 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 4 高可靠性原则：高可靠性原则： 网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用 高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络 具有故障自愈的能力，最大限度地支持各个系统的正常运行。 技术先进性和实用性原则：技术先进性和实用性原则： 保证满足证券交易业务的同时，又要体现网络系统的先进性。在网络设计 中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到证券数 据中心网络应用的现状和未来发展趋势。 高性能原则：高性能原则： 承载网络性能是网络通讯系统良好运行的基础，设计中必须保障网络及设 备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，才能使 网络不成为证券各项业务开展的瓶颈。 标准化原则：标准化原则： 支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放 协议，有利于保证与其它网络(如公共数据网、证券网络、其它网络)之间的平 滑连接互通，以及将来网络的扩展。 灵活性及可扩展性原则：灵活性及可扩展性原则： 根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减 少对网络架构和设备的调整。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 5 可管理性原则：可管理性原则： 对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络 管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报 警等等。 安全性及高性价比原则：安全性及高性价比原则： 制订统一的骨干网安全策略，整体考虑网络平台的安全性。网络方案的设 计必须充分考虑投资保护。 1.3.2 网络设计策略网络设计策略 严格保障安全严格保障安全： 证券数据中心网络需求多，严格的安全访问控制可以有效控制风险， 保证网络安全。方案设计要考虑制定严格的访问控制，禁止非法访问。 标准化标准化原则原则： 网络设计中所用的各种协议、接口规程须符合国际标准。方案设计中制定 的操作标准、规范，应沿袭骨干网改造、数据集中工程网络建设的成果，保持 全行网络的一致性。 易于维护易于维护： 网络结构设计清晰明了、层次分明，配置力求简洁规范，便于维护管理。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 6 1.3.3 网络设计标准与规范网络设计标准与规范 证券属于一个典型的行业网络，必须遵循行业相关的网络标准，同时， 为了保证各种网络设备的兼容性和业务的不断发展需要，也必须遵循国际上的 相关的统一标准，我们在设计证券的网络解决方案的时候，主要参考的标 准如下： 标标 准准说说 明明 证券经营机构营业部信息系统技术管理规范（试行） ieee 802.3z 光纤千兆位以太网标准（lx 和 sx）和短距离铜线 传输千兆位以太网标准（cx） ieee 802.3ab5 类铜介质线缆千兆位以太网标准 1000base-t ieee 802.3u快速以太网 100 base-tx ieee 802.3u10m 以太网 10 base-t ieee 802.3xfull-duplex with flow control（流量控制） ieee 802.1dspanning tree protocol（生成书协议） ieee 802.1qvirtual bridged local area networks 协议 ieee 802.3ad链路集合控制协议 ieee 802.1x port based network access control protocol（基于端口 的访问控制协议） ieee 802.1p 优先级队列，包括 garp ansi/eia/tia-569电信走道和空间的商用建筑标准 ansi/eia/tia-606商用建筑物电信设备的管理标准 gbj 232-8电气装置安装工程施工及验收规范 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 7 标标 准准说说 明明 yd5037-97中国公用计算机互联网工程设计暂行规定 其它符合现行的国际、国家和行业标准规范 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 8 2网络设计方案网络设计方案 2.1 集中交易系统对网络的设计要求集中交易系统对网络的设计要求 证券集中交易系统是证券公司最核心的业务系统，因此证券新建数据 中心的体系架构都须以集中交易系统为核进行设计。这里我们将讨论下在集中 交易系统对网络的设计要求。 2.1.1 集中交易数据交换流程集中交易数据交换流程 根据上海证券交易所以及深圳证券交易所制定的证券交易流程，各券商与 交易所的交易数据的交换是分层设计的。 集中交易系统数据交换的流程示意如下： 这是数据交换的一个逻辑拓扑图。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 9 证券公司与交易所的数据交换是通过“网关” 。网关指放置在证券公司、 用于连接交易所交易系统的软硬件设施，俗称通信端口或小站。深交所通过密 钥 key 的方式，上交所以分配操作员密码方式把小站与交易所席位进行绑定。 小站分为报盘小站和行情小站,报盘小站是双向的，行情小站只是单向接收。 证券交易所提供的网关设备并不存取数据，双向报盘及单向接收的行情数 据都要存放在文件服务器上。以前的文件服务器基本上都是 novell 系统。随着 tcp/ip 的流行，现在许多证券公司的文件服务器都切换到 windows 或者 linux。 外围层，也叫做前置处理机，有报盘程序和行情接收程序，报盘程序每隔 几毫秒就读一次，在交易时间内，这个程序数百万次的读取和写入这些 dbf 文 件，完成证券公司与交易所的数据实时交换。 券商的应用系统，应用系统采用多层技术体系架构，包括通讯中间层、业 务中间层以及数据库层。多层技术体系架构能够很好地保证系统的安全性：中 间层(业务逻辑层)隔离了客户(用户界面层)直接对数据库系统的访问，保护了数 据库系统和数据的安全。业务逻辑层缓冲了用户与数据库系统的实际连接，使 数据库系统的实际连接数量远小于应用数量。 与此对应，证券集中交易系统在网络上也需要在逻辑或物理上划分相 应的功能网段。 2.1.2 集中交易体系结构集中交易体系结构 针对证券交易系统对数据交换流程的规定，结合证券采用的集中交易 系统，方迪公司建议部署如下图所示的集中交易系统体系结构。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 10 集中交易系统按地域及功能的不同可以划分为中央交易系统、灾备交易系 统以及营业部交易系统。与此对应，在本项目证券将中央交易系统部署在 新建的数据中心，灾备交易系统部署在深圳证券通信公司券灾备机房，各 营业部则部署营业部交易系统。 集中交易系统的体系结构建议为四层架构：数据服务器+应用服务器+通讯 服务器+操作终端。它遵循了业界主流的多层架构。这种模式将应用系统的客户 端表现、业务逻辑、数据服务分层设计，单独实现，这样可以在不改变其它层 次的情况下，独立地对客户端表现、业务逻辑和数据服务单独修改和扩展，大 大增加系统的灵活性和扩展性。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 11 2.2 网络结构设计网络结构设计 2.2.1 网络总体架构设计网络总体架构设计 建议证券在新数据中心网络采取分区的网络架构规划设计，采用独立 扩展的功能模块化分区设计有如下几个显著优势： 1.安全性好 容易明确不同网络区域之间的安全关系，可以单独对每个区域进行安 全实施，不会对其它区域造成影响。 2.扩展性好 可根据不同区域和层次的功能按需建设，业务部署灵活，可以非常方 便的增加新 server farm 区，而不改变原有的网络结构。 3.提高可用性 可以最大限度的隔离故障域，简化数据路径，加快故障收敛时间。 4.易管理 网络结构清晰，日常的运维变得更加简单，问题定位容易。 依据模块化功能分区设计架构，我们建议证券新建数据中心网络结构 设计如下图所示： 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 12 结合证券当前业务区域及特点，建议全网规划为 7 个网络区域： 区域 1：交易核心内网； 区域 2：交易隔离网； 区域 3：公司广域网（上海证通） 、深圳证通、中建工银行三方、深/ 沪单双向卫星网； 区域 4：灾备； 区域 5：安全隔离网； 区域 6：dmz 区域； 区域 7：部门办公网 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 13 建议全网采用纯千兆网络，所有网络设备原则上配有冗余电源配置。 我们将分为广域网接入、交易内网、交易隔离网、广域与灾备区、安全隔 离区等区域进行设计，具体网络设计如下： 2.2.2 广域网接入网络设计广域网接入网络设计 目前证券共有 14 个分支机构，各分支机构均有 1 条 sdh 电路作为主 线路，备份线路采用中国电信 isdn 以及 vpn 线路。 其中，采用中国电信提供 sdh 线路有上海分部一、上海分部二、北京分部、 南通分部、武汉分部、鞍山分部一、鞍山海城分部、沈阳分部、杭州分部；采 用中国联通提供专线的分部有深圳一部、深圳二部、深圳江苏大厦总部、 分部和上海分部一通过帧中继复用 1 条电路、广州分部。 证券现有的外联机构接入状况为： 深圳证券通讯公司有 1 条中国电信 sdh 电路和 1 条中国电信 ddn 电路， 均直连中心机房；上海证券通讯公司有 2 条电路到上海分部一，其中 1 条中国 联通 sdh 电路，1 条中国电信 ddn 电路（上海市场的报盘走公司广域网通过 上海分部一中转到上海证通） 。 中国工商银行有 1 条中国电信 sdh 电路到中心机房，1 条网通 sdh 电路 到深圳江苏大厦总部（通过路由实现互备） ；中国银行和中国建行银行分别有 1 条中国联通 sdh 电路到中心机房（建行专线需配置成帧模式） ，1 条中国网通 sdh 电路到北京分部（通过路由实现互备） 。 我们建议将上述分支机构及外联机构统一为“广域网接入区”进行分区设 计与管理。广域网接入区目前有 13 条电信 sdh 线路接入，7 条网通 sdh 线路 接入。 广域网接入区网络设计如下图所示： 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 14 对于广域网接入区这样一个关键网络区域，建议新购两台高性价比的接入 路由器分别接入不同运营商线路。各线路接入方式维持现有不变。每台路由器 各配置 24 个 g.703 端口，实现设备、模块的冗余互备。isdn 备份线路对应的 路由器延用现有设备。目前的 cisco3640 接入路由器可以做为上述两台路由器 的冷备路由器，进一步提高广域网接入的可靠性。 建议配置 2 台 cisco 3845 担当广域网接入路由器。cisco 3800 系列集成多 业务路由器建立在思科 20 年创新技术的基础之上，通过为客户提供无与伦比的 网络灵活性、性能和智能性。凭借透明地将先进技术、可适应服务和安全企业 通信集成入单一永续系统，cisco 3800 系列路由器简化了部署和管理、降低了 网络成本和复杂度，并提供了无可匹敌的投资保护。cisco 3800 系列路由器具 有内嵌安全处理、大幅系统和内存优化以及全新高密度接口，可在要求最严格 的企业环境中提供扩展关键任务安全性、ip 电话、商业视频、网络分析和 web 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 15 应用所需的性能、可用性和可靠性。 2.2.3 交易内网网络设计交易内网网络设计 证券交易内网是核心业务服务器和数据的接入区域，交易服务器、历 史服务器、温备服务器以及交易中间件 kcxp 等关键业务和数据均部署在此区 域。因此交易内网的接入交换机要求是高性能，无阻塞，可靠以及容易扩展。 交易内网网络设计如下图所示： 如上图所示： 1) 交换机端口划分内网 vlan1 和内网 vlan2，实现逻辑隔离； 2) 交易核心内网服务器接入内网 vlan1 端口； 3) 内网 vlan2 端口作为交易隔离网交换机故障时的备份端口。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 16 交易内网的交换机建议采用 1 台 cisco catalyst 4948。catalyst 4948 是一款 线速、低延迟、第二到四层、1 机架单元（1ru）固定配置交换机，可提供进 行了优化设计的的服务器集群机架的交换。cisco catalyst 4948 以成熟的 cisco catalyst 4500 系列硬件和软件架构为基础，为高性能服务器和工作站的低密度、 多层汇聚提供了出色性能和可靠性。cisco catalyst 4948 具有 48 个线速 10/100/1000base-t 端口，并另有 4 个线速端口。 我们推荐证券的 cisco catalyst 4948 是一款采用了一个 96gbps 交换矩 阵，在硬件中为第二到四层流量提供了 72mpps 的转发速率，从而为数据密集 型应用提供了线速吞吐率和低延迟。无论有多少路由条目或启用了多少第三层 和第四层服务，都能保证交换性能。基于硬件的思科快速转发路由架构提高了 可扩展性和性能。catalyst 4948-e 的 ios 配置的是增强第三层镜像，包括最短 路径优先打开（ospf）、中间系统到中间系统（is-is）、增强内部网关路由协 议（eigrp）和边界网关协议（bgp）。 cisco catalyst 4948 无论从性能、功能还是高可靠性方面都极具优势： 性能：性能： 性能相当于一台 4500+ sup5/10ge 全部端口线速 设计为低延时 2-4us 大缓存,减少丢包 功能：功能： 软件功能和与 4500 相同 支持高级协议如 isis,igmp v3 高可靠性：高可靠性： 部件热拔插 基于成熟的 4500 平台双电源 智能冗余风扇 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 17 支持 ac/dc 混合 2.2.4 交易隔离区网络设计交易隔离区网络设计 交易隔离区内将部署包括交易中间件 kcbp、温备/灾备复制服务器以及沪 深报盘、沪深行情、消息中间件 kcxp 以及各委托主站等服务器。 交易隔离区的网络设计如下图所示： 如上图所示： 1) 交换机端口划分内网 vlan1 和内网 vlan2，实现逻辑隔离 2) 交易隔离区服务器接入内网 vlan2 端口 3) 内网 vlan1 端口作为交易核心网交换机故障时的备份端口 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 18 cisco catalyst 4948 以成熟的 cisco catalyst 4500 系列硬件和软件架构为基 础，为高性能服务器和工作站的低密度、多层汇聚提供了出色性能和可靠性具 有 48 个线速 10/100/1000base-t 端口。交易隔离区的交换机建议采用 1 台与核 心交易网交换机一样配置的 cisco catalyst 4948。 2.2.5 广域与灾备域网络设计广域与灾备域网络设计 广域与灾备域内部署有沪深报盘、沪深行情、消息中间件 kcxp、各委托 主站等服务器以及存管采集、存管中间件、办公系统、单/双向卫星接收机等系 统。 广域与灾备区网络设计如下图所示： 如上图所示： 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 19 1) 配备 2 台三层交换机 2) 2 台交换机之间配置 hsrp，实现终端虚拟网关 3) 此区域服务器集中接入一台交换机,另一台温备 此区域交换机建议采用 2 台与核心交易网交换机一样配置的 cisco catalyst 4948。 2.2.6 安全隔离网网络设计安全隔离网网络设计 在网络上，vlan 是一个独立的广播域，也是一个独立的冲突域，也就是说， 在同一 vlan 之中的用户是可以通讯的。而在不同 vlan 中的用户不能直接进行 通讯，如果需要通讯，必须通过三层的路由。在三层路由上，可以通过 acl 加 以控制，限制访问权限。因此，我们通过 vlan 系统的合理划分达到 vlan 之内 信息共享、vlan 之间相互隔离控制的安全要求。 在如交易核心内网、交易隔离网、广域与灾备区等均设置成不同 vlan 实现 逻辑隔离。 防火墙可通过监测、限制通过防火墙的数据流，尽可能地对外部屏蔽网络 内部的信息、结构和运行状况，以此来实现网络的安全保护。 通过安全隔离区的防火墙隔离出单独网段区域，用于连接外联单位、特殊 的访问要求接入。使用防火墙的隔离保护功能，赋予最小使用权限，保护内部 网络安全。 安全隔离区的网络设计如下图所示： 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 20 如上图所示： 1) 部署 2 台防火墙执行安全控制策略 2) 2 台防火墙部署方式为 active / standby 3) 部署 2 台交换机，用于接入防火墙端口的扩展 4) 2 台交换机配置 hsrp，实现设备间的冗余。 2.3 可靠性设计可靠性设计 网络系统的稳定可靠是应用系统正常运行的关键保证，因此我们在证 券新数据中心的网络设计中选用了思科公司系列的高可靠性网络产品，同时， 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 21 我们也应合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自 愈的能力，最大限度地支持各个系统的正常运行。 2.3.1 广域网接入可靠性设计广域网接入可靠性设计 证券目前广域网接入包括 14 个营业部、公司总部、银行三方、深证通 以及龙岗电信等单位的接入。 在设备方面，部署 2 台 cisco 3845 路由器分别接入不同运营商线路，每台 路由器各配置 24 个 g.703 端口，实现设备、模块的冗余互备。 下图为广域网接入在正常情况下的数据流方式。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 22 当某一中心路由器本身出现故障，不能提供服务时，如下图所示，可以通 过手工整体切换线路至另一台路由器对应的端口上，即可以实现因路由器故障 的切换。 另外，目前的 cisco3640 接入路由器可以做为上述两台路由器的冷备路由 器，进一步提高广域网接入的可靠性。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 23 当营业部主线路故障或营业部路由器(端口)故障时，如下图所示，如果是 中心端先侦测到下联线路故障，中心 isdn 拔号路由器将发起 isdn 拔号至营 业部路由器，从而实现备份接入。如果是营业部路由器侦测到上联线路故障， 将由营业部 vpn 网关发起 vpn 连接到中心深信服务 vpn 服务器，从而实现备 份接入。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 24 2.3.2 交易内网可靠性设计交易内网可靠性设计 交换机端口划分内网 vlan1 和内网 vlan2，实现逻辑隔离。交易核心内 网服务器接入内网 vlan1 端口，内网 vlan2 端口作为交易隔离网交换机故障 时的备份端口。 交易内网正常情况下的数据流如下图所示： 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 25 当交易核心内网交换机故障时，如下图所示，只须手工整体切换交易核心 内网服务器至交易隔离区交换机的内网 vlan1 端口即可实现故障切换。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 26 当交易核心内网 vlan1 中的某一交换机端口（如 port n）出现故障时，如 下图所示，手工切换服务器至交易隔离区交换机 vlan1 对应 port n 端口，数 据经两交换机互联 trunk 线路回传至交易核心内网交换机后正常传输，从而达 到故障切换。此时其它端口正常的数据不会改变流向。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 27 2.3.3 交易隔离网可靠性设计交易隔离网可靠性设计 交易隔离区的交换机端口划分内网 vlan1 和内网 vlan2，实现了逻辑隔 离。交易隔离区服务器接入内网 vlan2 端口，内网 vlan1 端口作为交易核心 网交换机故障时的备份端口。正常情况下交易隔离区内的数据流如下图所示： 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 28 当交易隔离区交换机故障时，如下图所示，只须手工整体切换交易隔离区 服务器至交易核心内网交换机的内网 vlan2 端口即可实现故障切换。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 29 当交易隔离区交换机 vlan2 的某端口（例如 port m）出现故障，如下图 所示，只须手工切换服务器至交易内网交换机 vlan2 对应 port m 端口，数据 经两交换机互联 trunk 线路回传至交易隔离区交换机后正常传输，故障切换完 成。此时其它端口正常的数据不改变流向。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 30 2.3.4 广域与灾备域可靠性设计广域与灾备域可靠性设计 广域与灾备区域内部署了 2 台三层交换机，2 台交换机之间配置 hsrp，实 现终端虚拟网关，此区域服务器集中接入一台交换机,另一台温备。此区域内正 常情况下数据流如下图所示。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 31 当此区域内的主交换机发生故障，如下图所示，只须手工整体切换此区域 网服务器至另一台交换机对应端口即可完成故障切换。因为 hsrp 提供了虚拟 网关，因此在服务器端无须做任何配置上改动。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 32 2.3.5 安全隔离网可靠性设计安全隔离网可靠性设计 在安全隔离区内部署了 2 台防火墙用以执行安全控制策略。这 2 台防火墙 部署方式为 active / standby。由于防火墙端口扩展相对困难，因此部署了 2 台交换机用于接入防火墙端口的扩展，2 台交换机配置 hsrp。 此区域内正常情况下的数据流如下图所示： 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 33 当主防火墙发生故障的时候，如下图所示，防火墙将进行 active / standby 切换。此时广域区主交换机 hsrp 侦听到了防火墙互联端口失效，主交换机数 据流切至从交换机。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 34 当此区域主交换机发生故障时，如下图所示，主防火墙侦听到与主交换机 互联失效，因此防火墙进行 active / standby 切换。因为 hsrp 提供的虚拟网 关，其它设备无须做配置上的改动。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 35 2.4 网络安全设计网络安全设计 2.4.1 安全保障建议措施安全保障建议措施 2.4.1.1vlan 隔离隔离 在网络上，vlan 是一个独立的广播域，也是一个独立的冲突域，也就是说， 在同一 vlan 之中的用户是可以通讯的。而在不同 vlan 中的用户不能直接进行 通讯，如果需要通讯，必须通过三层的路由。在三层路由上，可以通过 acl 加 以控制，限制访问权限。因此，我们通过 vlan 系统的合理划分达到 vlan 之内 信息共享、vlan 之间相互隔离控制的安全要求。 2.4.1.2acl 策略控制策略控制 划分 vlan 只能在广播域或者说是在本地局域网内有效，对于广域网上的隔 离控制，只能采取定义 acl 列表，在路由器上启用防火墙或交换机上启用包过 滤来限制通讯。证券新数据中心网络建设中我们建议采取的方式是在路由 器的广域网接口上检查接收数据包的来源地址和目的地址，在交换机端口上检 查需要发送的数据包的目的地址，符合要求的才转发。 2.4.1.3802.1x 身份认证身份认证 证券新数据中心网络的设计中，建议可考虑使用局域网 802.1x 身份认 证系统，任何人只要将计算机连接到交换机上，就需要首先进行身份认证，认 证通过后，获得相应的 ip 地址，才能连接到网络上。 使用局域网 802.1x 身份认证需要三个条件: 1) 客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户 端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。 目前，windows 2000 或者 windows xp 都自带 802.1x 客户端程序。 2) 认证系统：支持 802.1x 认证的交换机，其主要作用是完成用户认证信 息的上传、下达工作，并根据认证的结果打开或关闭端口。 3) 认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 36 别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换 机发出打开或保持端口关闭的状态。一般 radius 服务器作为认证服务 器。 2.4.1.4aaa aaa 是 authentication，authorization and accounting（认证、授权和 计费）的简称，它是对网络安全的一种管理。 aaa 服务可以完成以下功能：验证用户是否可获得访问权，授权用户可使用 哪些服务，记录用户使用网络资源的情况。 证券新数据中心网络内建议部署 aaa 认证。 2.4.1.5防火墙隔离防火墙隔离 防火墙可通过监测、限制通过防火墙的数据流，尽可能地对外部屏蔽网络 内部的信息、结构和运行状况，以此来实现网络的安全保护。 中心新数据中心网络内建议使用防火墙隔离出单独网段区域，用于连接外 联单位、特殊的访问要求接入。使用防火墙的隔离保护功能，赋予最小使用权 限，保护内部网络安全。 2.4.1.6网络设备保护网络设备保护 采取如下措施对网络设备加以保护 1) 在路由器上、交换机上要设置控制台口令、特权用户口令、远程登录口 令和分级用户名和口令，并使用加密口令。 2) 建立日志服务器记录日志。 3) 只允许网管网段对网络设备进行 telnet 访问。 4) 关闭不必要的网络服务，关闭禁止源路由功能、finger 服务、bootp 服 务和域名解析功能。 5) 只允许网管地址段的网管服务器对网络设备进行 snmp 管理。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 37 2.4.2 防火墙安全部署设计防火墙安全部署设计 建议在安全隔离区及 dmz 区部署三台高性价比的防火墙进行安全策略的 实施。其中字全隔离区部署 2 台防火墙用于冗余热备。 证券新数据中心的防火墙部署设计如下图所示： juniper 网络公司安全业务网关（ssg）300 系列是新型的专用安全产品， 为地区和分支办事处部署提供高性能、安全性和局域网/广域网连接的完美组合， 通过一系列完整的统一威胁管理（utm）安全特性-如状态防火墙、ipsec vpn、ips、防病毒（包括防间谍软件、防广告软件和防网页仿冒） 、防垃圾邮 件和 web 过滤等-来保护出入分支办事处的流量免遭蠕虫、间谍软件、特洛伊 木马和恶意软件的攻击。 ssg 320m 可以提供 450mbps 的防火墙流量，具有极高的性价比，建议选 用 3 台 juniper ssg-320m-sh（注：1g 内存）防火墙。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 38 2.5 双网卡冗余备份方案的网络设计建议双网卡冗余备份方案的网络设计建议 证券各类服务器作为集中交易平台的核心，其稳定性和安全性至关重 要，连接服务器的网络链路是尤为重要的一环。增加热备份冗余链路成为保障 服务器链路通畅常用的方法之一，此方式可以强化系统网络链路，减少故障率。 证券新建数据中心搭建了各种信息平台，服务器作为信息平台的硬件 载体，其稳定性日趋重要。其中，网络链路又是尤为重要的一环，显然，如何 保障服务器网络链路的持续稳定工作已成为摆在网络管理员、系统管理员面前 的重要问题了。 增加热备份冗余链路成为保障服务器链路通畅常用的方法之一，此方式可 以强化系统网络链路，减少故障率。 服务器网络冗余备份方式可以应用于企业 的重要业务访问，实施后，相应业务在多种冗余技术的支持下，将会更加稳固。 包括部署了金证集中交易系统在内的众多证券信息平台的关键服务器都通 过服务器双网卡方式实现服务器网络的冗余备份。通过软件将双网卡绑定为一 个 ip 地址（许多高档服务器网卡都具有多网卡绑定功能），可以通过软硬件设 置将两块或者多块网卡绑定在同一个 ip 地址上，使用起来就好象在使用一块网 卡，这对客户访问将达到透明。 建议证券部署在核心内网、交易隔离区及广域区等关键服务器部署双 网卡冗余备份方案，当服务器某一块网口故障的情况下无需人工干，另一块立 刻接管全部负载，过程是无缝的，服务不会中断。 在此方案下的网络设计如下图所示： 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 39 为保证网络设备热备份，核心设备、服务器接入设备都使用了双机，配置 802.1q trunk 模式互联，属同一 vtp domain，并都启用了 stp（spanning tree protocol，生成树协议），利用 stp 实现网络设备、网络链路的切换，将 一台交换机设置为 stp 根（root）交换机。通过 stp 协商后屏蔽的端口，以避 免环路，无数据流量可视为中断。另外将交换机的终端接入端口设置为 portfast，以加快交换机端口启用时间。 软件使用原则软件使用原则 服务器接入可以通过使用网卡捆绑软件实现热备冗余，对于服务器双网卡 捆绑软件的选择可遵循以下几点原则: 兼容性好，能在不同品牌网卡上使用； 中断恢复快; 能检测深层中断，即能检测到非直连设备的中断。 证券新建数据中心网络项目-技术方案 深圳市方迪计算机系统有限公司 40 推荐软件推荐软件 nic express 4.0 是一款兼容性较好的捆绑软件，它能兼容 broadcom、d- link 等常见网卡，但