××证券网络方案第一部分

目目 录录 第一部分第一部分 网络解决方案网络解决方案 一 前言 二 需求分析 1 建设背景 2 系统需求 三 网络系统设计 1 系统设计目标 2 系统设计原则我 3 系统总体设计 4 网络平台详细设计 5 服务器系统详细设计 6 操作系统平台选择 四 安全体系设计 1 主机安全 2 数据安全 3 网络安全 五 工程实施 1 工程实施成功的要素 2 工程管理组织 3 工程实施步骤 4 工程文档 证券柳州营业部网络系统方案 网络解决方案 第一部分第一部分 网络解决方案网络解决方案 一 前言一 前言 随着 证券公司自身业务规模的不断扩大 为了更好的对广大股民提供 服务 证券计划对公司柳州营业部新址的证券业务进行重新规划 并在近 期建造一个全新的电脑网络系统 北京 软港致力于证券行业的系统集成及软件开发 多年在广西区内为 各证券营业部实施系统集成工程 具有丰富的证券行业系统集成经验 在区内 拥有百分之六十的市场占有率 声誉卓著 随着国际互联网的发展 北京 软港已大踏步地向网络化发展 为券商提供全面的系统集成解决方案 为了把 证券柳州营业部新址的计算机网络系统建设成为一个可伸缩性 好 安全可靠 稳定先进的网络平台 北京 软港在进行方案设计时充分利 用了 软港在证券行业以及银行交易系统开发和服务方面长期积累的成熟先 进技术资源 在保证系统提供高性能 高可用 安全交易的前提下 保证系统 具有良好的可扩展性 经过详细的分析 软港推荐 证券采用 新世纪券商千兆解决方 案 本方案有如下特点 本方案有如下特点 采用三层硬分离结构 实现内外网完全隔离 网络千兆主干冗余 百兆上采用三层硬分离结构 实现内外网完全隔离 网络千兆主干冗余 百兆上 联冗余 百兆全交换到桌面 不存在单点故障 保证网络不会因为某个设联冗余 百兆全交换到桌面 不存在单点故障 保证网络不会因为某个设 备故障而导致整个网络崩溃 备故障而导致整个网络崩溃 采用先进采用先进NHAS系统 系统 Novell HA Server 通过使用高性能的磁盘阵列柜 通过使用高性能的磁盘阵列柜 提高了提高了Novell行情服务器的可靠性和可用性 保障证券行情服务器的可靠性和可用性 保障证券Novell服务器能服务器能 7x24小时不间断地高速运作 小时不间断地高速运作 采用先进的采用先进的LifeKeep技术 技术 NCR LifeKeep 通过使用高性能的磁盘阵列柜 通过使用高性能的磁盘阵列柜 提高了交易服务器的可靠性和可用性 保障证券交易服务器能提高了交易服务器的可靠性和可用性 保障证券交易服务器能7x24小时不小时不 间断地高速运作 间断地高速运作 工作站采用工作站采用Intel Pro 100 S可管理网卡 硬件级支持可管理网卡 硬件级支持DES加密 底层完成加密 底层完成 保护在局域网中传输的数据 并支持远程唤醒 保护在局域网中传输的数据 并支持远程唤醒 下面 我们就对这个解决方案做详尽的阐述 证券柳州营业部网络系统方案 网络解决方案 二 需求分析二 需求分析 1 1 建设背景 建设背景 证券公司在近期将柳州营业部搬迁至新址 同时为了满足不断增长的 业务 需要建立一个全新的高效的计算机网络系统 以增强自身的竞争能力 这个网络系统不仅是为证券交易业务提供一个强大稳定的平台 具备行情 发布和柜台交易功能 而且还能提供办公自动化功能 提高 证券公司的办 公效率 网络系统必须是高效 安全的 还应该具备很好的扩展性 2 2 系统需求 系统需求 网络主干要求达到千兆位带宽 桌面接入要求达到百兆位带宽 网络结构要求做到完全冗余 不存在单点故障 能不间断运作 网络系统要求至少提供 1000 个信息点的接入能力 主机系统能够满足目前以及未来的应用需要 具备高可靠性和高扩展性 三 网络系统设计三 网络系统设计 1 1 系统设计目标 系统设计目标 1 为营业部中各个部门的证券交易业务以及办公自动化业务一个安全稳定可靠 的运行控制和集成管理核心网络环境 为所有的信息点提供 100M 全交换的 桌面接入 2 提供丰富的网络服务 实现广泛的软件 硬件资源共享 避免重复投资 发 挥系统最大效益 3 主机系统应具有高度的可靠性 能 7x24 小时不间断工作 并有容错措施 还应具备很高的安全性 以保证券商网络中机密数据的合法访问 具有广泛 的软件支持 软件兼容性好 并支持多种传输协议 4 主机系统应享有较好的性价比和较低的总拥有成本 并具有良好的向后扩展 能力和一定的先进性 考虑到券商技术力量的限制 主机系统应易于使用和 证券柳州营业部网络系统方案 网络解决方案 维护 2 2 系统设计原则系统设计原则 本网络系统作为 证券业务的核心基础 应充分利用先进技术 通过组 织和利用系统资源 以合理的代价 为用户提供安全 可靠 有效 充分 友 好的服务 为了满足 证券的业务对网络系统的要求 针对 证券的具体需求和 业务特点 在网络系统的构架中应遵循以下原则 1 1 高安全性和可靠性原则 高安全性和可靠性原则 整个系统必须具有高度的安全性 可靠性和稳定性 保证网络系统能高可靠的运作 在万一出现局部故障时应不影响网络其它部分 的运行 并且故障便于诊断和排除 充分体现计算机网络的高可用性 2 2 成熟性和先进性原则 成熟性和先进性原则 应采用被实践证明为技术成熟且领先的技术方案 最 大限度地满足现在业务和未来发展的需求 3 3 开放性和可扩展性原则 开放性和可扩展性原则 应考虑未来发展的需要 使系统与未来扩展的设备 具有互联性和互操作性 又便于升级 换代 使整个系统可以随着科学技术的 发展与进步 不断得到充实 完善 改进和提高 并且能很方便地融于全球信 息网络中 4 4 集成性和可管理性原则 集成性和可管理性原则 充分考虑系统所涉及的各子系统的集成和信息共享 保证系统总体上的先进性和合理性 采用集中管理 操作和分散控制的模式 5 经济性原则 经济性原则 系统应具有较高的性能价格比 3 3 系统总体设计 系统总体设计 要充分考虑到系统既要高起点地满足当前需求 又要满足将来可能的爆炸 式的增长 就必须将系统建立在一个强健的 高度可伸缩的体系结构之上 我 们建议的就是这样一个体系结构 我们采用分层设计方法来设计 证券网络系统 其中核心网络由主干交 换机组 核心层 和桌面接入交换机群 访问层 路由器 边缘层 构成 系统总体逻辑结构如下 证券柳州营业部网络系统方案 网络解决方案 根据系统设计目标的对系统规模的要求 我们对系统进行了细致的设计和 论证 我们将在下面展开详细阐述 4 4 网络平台详细设计 网络平台详细设计 1 网络技术选择网络技术选择 采用完全交换式以太网技术采用完全交换式以太网技术 完全交换式以太网技术 能有效提高整个网络的性能和可靠性 主要表现在 1 采用完全交换式以太网技术后 任何一个点的突发性事故不会对网络 中其他部分造成影响 系统可以自动的屏蔽该点的故障 切断虚电路 2 在目前证券行业的计算机网络模式中 利用完全交换式以太网技术 可以有效的屏蔽广播包 同时可以利用交换机的背板带宽 提高重要工作 站间的数据交换处理能力 3 采用完全交换式以太网技术 可以利用 802 X 生成树协议 Spanning 证券柳州营业部网络系统方案 网络解决方案 Tree 对网络进行冗余 均衡配置 提高系统的可用性和安全性 采用千兆交换式以太网技术采用千兆交换式以太网技术 采用千兆以太网技术采用千兆以太网技术 千兆网络技术已经成熟 千兆产品正在成为市场的主流 千兆网络可以轻松解决证券公司在行情火爆和交易量大时 出现的网络 瓶颈 问题 千兆网络方便以后证券交易网络的升级 可以保护证券公司投资 千兆以太网技术的优势千兆以太网技术的优势 核心设备具有更强的处理能力 可与目前的以太网 10M 快速以太网 100M 设备无缝连接 利用现有的以太网知识就可以管理 监视和维护千兆以太网 千兆以太网技术是组建网络主干的核心技术 基于 RSVP 和 IEEE802 1Q p 标准实现 CoS 从而提供不同的服务等级 采用千兆铜缆以太网技术采用千兆铜缆以太网技术 千兆铜缆技术能在普通双绞线实现千兆速度的数据传输 千兆铜缆设备可实现百兆和千兆的自适应 实现与原有的快速以太网设备 无缝连接 保护投资 千兆铜缆设备与千兆光纤设备相比具有更高的性价比 网络设备冗余与容错网络设备冗余与容错 网络系统的可靠性对于证券公司来说至关重要 甚至高于对性能的要求 网络可靠性可采用冗余的网络互连结构和故障迅速恢复技术来实现 要实现网 络的可靠性 消除交换机的单点故障 必须采用硬件上的冗余 主要包括主干 交换机冗余 二级交换机上行链路冗余和服务器网卡冗余 主干交换机冗余主干交换机冗余 证券柳州营业部网络系统方案 网络解决方案 可采用双主干交换机形式 两台交换机相互冗余形式或一台主交换 机与一台备用交换机相结合形式 通过 GEC Giga Ethernet Channel 技 术还可实现负载均衡 二级交换机上行链路冗余二级交换机上行链路冗余 通过 Spanning Tree Protocol 生成树协议 可采用光纤或铜缆 作为上行冗余链路 服务器网卡容错服务器网卡容错 在服务器上安装两块服务器网卡 分别连接两台主干交换机 形成服 务器与主干交换机之间连接的冗余 实现容错功能 通过以几方面的论述可以看出 我们的方案能够保证网络的可靠性 做到 中心交换机的故障不会导致整个网络瘫痪 并提供最快速的故障恢复方案 从 根本上消除证券公司面临的风险 2 网络设备厂商选择网络设备厂商选择 目前能够提供网络产品的厂商很多 Cisco 3Com 和 Intel 等公司都有从 路由器到交换机的全线网络产品 用户选择余地较大 然而这些公司的技术 产品 服务与价格存在一些差异 故网络厂商的选择时 应认真分析这些公司 的特点 并结合所建系统的具体特点 Cisco 在高端产品市场优势明显 但价位较高 但其在网络解决方案方面 具有较高的领先性和良好的性价比 3Com 在高中低端的网络产品市场 尤其在桌面市场占据一定优势 Intel 公司的近年来在网络方面发展很快 尤其在千兆铜缆产品方面 其 在服务器网卡市场占有绝对的优势 特别是其千兆服务器网卡 目前 尚未有同类产品可以匹敌 这几个公司各有其特点 根据 证券公司网络系统的具体特征 推荐选 用 CiscoCisco 公司交换机产品 选用 IntelIntel 公司的网卡来构建网络系统 3 网络拓扑结构 网络拓扑结构 证券柳州营业部网络系统方案 网络解决方案 我们在这里为 证券设计的网络方案 其网络拓扑图如下 4 网络平台设计详述 网络平台设计详述 网络平台采用两台 Cisco 4006 千兆企业级交换机作为网络主干交换机 两 台 480T 千兆交换机之间采用 GEC 光纤通道实现互为冗余容错 同时还能实现 负载均衡 从而保证主干网络的可靠性和稳定性以及提高性能 杜绝网络单点 故障 内网的主干交换机采用两台 Cisco 2948G 企业级交换机通过多个百兆端口实 现 FEC 通道来互为冗余备份 同时还能实现负载均衡 行情服务器通过安装的两块 Intel Pro 1000 Gigabit Server Adapter 千兆光 纤网卡 进行 AFT 容错 实现网卡互为冗余备份 防止因网卡出错而导致系统 工作中断 而且每台服务器都采用冗余光纤链路分别连接到外网的两台 4006 主 干交换机的千兆光纤口上 交易服务器也采用两块 Intel Pro 1000 Gigabit Server Adapter 千兆光纤网卡 AFT 容错方式 并通过冗余光纤链路分别连接到内 网的两台 2948G 主交换机的 GBIC 千兆光纤口上 证券柳州营业部网络系统方案 网络解决方案 对于桌面接入交换机 二级交换机 我们采用 Cisco 2924 独立式百兆交换 机 为桌面 PC 提供 100M 全交换接入 而且每台 Cisco 2924 都采用百兆冗余 铜缆上行链路分别连接到两台 4006 的百兆铜缆口上 与国际互联网的连接通过 ADSL 设备来实现 并且采用防火墙软件抵御外 部网络入侵 外部网络和内部网络之间采用中间件来安全隔离 保证内部网络数据的安 全性和可靠性 5 网络设备产品简介 网络设备产品简介 Cisco Catalyst 4006 Cisco Catalyst 4006 能够在一个机箱中满足多达 240 个快速以太网端口 的网络部件连接要求 背板带宽是 60Gbps Catalyst 4006 的热插拔模块的即 插即用交换解决方案降低了复杂性 可以简单地支持当今网络不断变化的桌面 环境 未来端口接口增强包括无线 PC 连接 千兆铜缆连接 Catalyst 4006 结 合了高级工程技术和生产进步 以更加经济有效的价格提供更加强大 更加可 靠的企业交换解决方案 它重新定义了新的性价比值 Catalyst 4006 提供的 自治愈网络智能 足以快速恢复端口 设备及网络故障 而没有明显的桌面延 迟 主要优点包括 性能 提供了先进的交换解决方案 它能随着您端口的添加而增大带宽 领先的 ASIC 技术更是使 Catalyst 4000 系列解决方案如虎添翼 ASIC 技 术提供了线速第 2 层和第 3 层 10 100 或千兆位交换 其中 第 2 层交换 由 24 Gbps 18 Mpps 引擎驱动 第 3 层交换则由可伸缩的 8 Gbps 6 Mpps 引擎驱动 投资保护 灵活的模块化体系结构对配线室中的动态桌面连接提供了经 济高效的管理 Catalyst 4006 背板进一步提供了网络保护能力 因为它 支持 60 Gbps 无阻塞容量 所以这种机箱更能适应未来需要 功能透明板卡 Catalyst 4000 的结构优势扩大了 Catalyst 4000 系列板卡的 证券柳州营业部网络系统方案 网络解决方案 部署寿命 只要简单地添加其它引擎模块 如新的第 3 层服务模块 Catalyst 4000 系统就能方便地将所有系统端口升级到更高层的交换功能 不需要更换现有板卡就能在系统端口上实现高层功能增强 这在常规交 换产品中是很常见的 这样 新的 Catalyst 4006 端口可以随时用于 WAN IP 电话 第 4 层到第 7 层 Web 交换 模块化监控器引擎保护 Catalyst 4006 机箱背板和监控器连接器可以支持 未来的监控器引擎升级 未来改进的可能性包括将可伸缩交换机结构容 量增加到 64 Gbps 使用线速第 3 层和第 4 层交换和基于未来技术的千 兆位上行链路 Cisco IOS 网络服务 Catalyst 4000 系列交换机提供了成熟的企业第 2 层 和第 3 层特性 能够有效地增强公司网络的能力 这些特性满足大中型 企业的高级联网要求 因为它们的推出直接得益于多年的 Cisco 客户反 馈意见 基于硬件的组播 协议独立组播 PIM 密集和稀疏模式 Internet 组群 组播协议 IGMP 以及 Cisco 组群组播协议 CGMP 支持基于标准 的 Cisco 改进的高效多媒体联网 共享内存体系结构 没有线路头阻塞 集中式低等待延迟 1 4 微秒 共享内存交换结构提供了领先的能力 消除了所有可能的线路头部阻塞 桌面能够使用千兆位能力 Catalyst 4000 系列已经提供了丰富的 1000 Mbps 千兆位和千兆位服务器交换解决方案 Catalyst 4000 系统的千兆位 解决方案的使用范围可以方便地扩展到桌面 可管理性 利用每一种 Catalyst 4000 系列交换解决方案提供的先进的管 理能力以及每一个端口中内置的基于业界标准的管理功能 Catalyst 4000 系列的控制能力和安全性都得到了加强 您可以灵活地选择是使用基于 Web 的图形用户接口 GUI 还是命令行接口 CLI 来完成管理任务 从而增强了您的网络操作能力 降低网络操作费用 因为 Catalyst 平台 体系结构和软件之间有更高的一 致性 所以费用得到了很大降低 另外 端到端的 Cisco 管理和服务也 证券柳州营业部网络系统方案 网络解决方案 降低了网络的总拥有成本 保护关键任务应用的性能 集中式企业策略创建加上 CiscoAssure 支持和 针对第 2 层 CoS 和第 3 层 ToS 的网络服务质量 这些可共同保证您能够 从边缘到核心得到一致的应用性能 高可用性 Catalyst 4000 系列提供了自恢复网络智能 它的速度足以从端 口 设备 链路上发现故障而在桌面上没有明显延迟 面向未来的网络 Cisco 的继续开发和投资使 Cisco Catalyst 4000 系列 LAN 解决方案成为一个具有战略意义的配线室和分支机构平台 它经历 了多年的不断改进 Catalyst 4000 系列能轻松地应对网络发展 通过简 单地添加更多的端口 您可以有效地提高您网络的带宽 另外 功能上 透明的体系结构优势将扩大每个交换板卡的有效时间 允许您随着您的 需求而添加更高级的功能 而不需要进行彻底升级 Cisco Catalyst 2948G Catalyst 2948G 为一固定配置的第二层的以太网交换机 提供 48 个 RJ 4510 100M 端口和 2 个千兆以太网上联端口 带有模块化的千兆以太网转换器 GBIC 端口 Catalyst 2948G 支持 Catalyst 企业版的系统软件 该特点不仅使其与其它 Catalyst 交换机具有互操作性 还是供业界最丰富的第二层的特点 其主要支 持的软件特点包括 先进扩展性 如 Fast EtherChannel Dynamic VLAN 802 1Q trunking 带宽管理 QoS 协议过滤 链路负载平衡 网络的可靠性 UplingFast PortFast Spanning tree 安全性 每端口的安全 验证 IP Permit Lists Catalyst 2948G 是企业级桌面交换机 其很高的性能 可靠的软件 高性能 非阻塞的结构为 证券的内网提供保障 证券柳州营业部网络系统方案 网络解决方案 Catalyst 2948G 具有 24Gbps 的带宽 可以同时支持 48 个 10 100 和千兆 口同时以线速交换 Catalyst 2948G 高性能的结构将减少拥塞和提供整个网络 的相应时间 Catalyst 2948G 支持各种容错特点 包括一个外置的冗余电源 单独购买 支持多条负载均衡的中继 Fast EtherChannel 多个 Spanning tree 快速收敛 的软件工具如 PortFast 和 UplinkFast 广泛的硬件和软件的容错工具使 Catalyst 2948G 可以提供当今关键任务网络所需要的灵活的平台和容错特性 Cisco Catalyst 2924 XL Cisco Catalyst 2924 XL 交换机拥有 24 个 10Base T 或 100Base TX 端口 背板带宽是 3 2Gbps 它还具备以下的杰出优点 12 或 24 个 10Base T 100Base TX 自适应端口能够为要求苛刻的工作组和 服务器提供最需要的功能 同时保留了传统的 10Base T 连接 Catalyst 2912 XL 和 Catalyst 2924 XL 24 个 10Base T 100Base TX 自适应端口能够为要求苛刻的工作组和服务 器提供最需要的功能 同时保留了传统的 10Base T 连接 3 2 Gbps 交换网和 3Mpps 的传送速度保证了所有 10Base T 100Base TX 端口具有最佳的性能 100Base T 端口的全双工功能使终端 服务器和交换机之间的带宽可以 达到 200Mbps 4 MB 共享内存结构通过去除头部信息阻塞现象 最大地减少数据包丢 失以及降低多点传送和广播传输的拥挤现象 保证了最高的吞吐量 快速以太通道技术实现的带宽集合提高了容错能力 能够为交换机 路 由器 服务器之间的连接提供高达 800Mbps 的带宽 每个交换机可以拥有多达 12 个快速以太通道带宽集合群 这使每台 Catalyst 2900 XL 交换机能够通过标准的全双工 10 100 快速以太通道链 路将多个网络设备聚集在一起 CGMP 使交换机能够有选择和动态地将 IP 多点传送信息传送到目标多媒 证券柳州营业部网络系统方案 网络解决方案 体终端 因而从整体上减少了网络流量 可配置的网络端口能够为骨干连接提供不受限制的媒体访问控制 MAC 地址支持能力 Intel Pro 100 S 台式机网卡 英特尔 PRO 100 S 台式机网卡是专门为服务器优化 可信赖 可管理的 10 100M 网卡 主要特性主要特性 针对电子商业而优化的高性能局域网安全性 先进的特性缓和了服务器的瓶颈问题 同时最大程 度地提高工作站的正常运行时间 英特尔 singleDriver 技术降低了网络复杂程度 支持 3DES 168 位高强度加密 新型英特尔 PRO 100 S 网卡利用基于标准的安全性来保护局域网上的敏 感数据 同时依然保持出色性能 英特尔 PRO 100 S 网卡将 IPSec 加密卸载 与英特尔 PRO 100 网卡所具有的先进管理特性完美地结合在了一起 英特尔 82594ED 网络加密协处理器 从台式机的处理器上卸载加密工作 最大程度地提高网络性能 节省系统资源用于其它关键服务器任务 智能控制器 英特尔 自适应技术可动态调整传输速率以减少冲突 并且能 够实现网卡微代码的软件升级 针对 Windows 2000 进行优化 英特尔 PRO 100 S 网卡是英特尔与微软合 作开发的产品 专门针对 Windows 2000 进行精心设计 可在您的网络上实 施加密 同时性能丝毫不受影响 先进的远程管理 支持 WfM1 2 0 SNMP DMI2 0 通过 Wake on LAN 和板 上英特尔 Boot Agent 可实现远程服务器配置 可扩充的吞吐能力和高可用性 总带宽高达 800Mbps 使用任何英特尔服务 器网卡的组合均可建立自动冗余连接 DES 和 3DES 加密算法 使用应用最广泛的最高级别安全性 以保护局域网 上传输的数据 证券柳州营业部网络系统方案 网络解决方案 Intel Pro 1000 F 千兆光纤服务器网卡 高性能千兆位服务器网卡 主要特性主要特性 高度集成的英特尔 控制器提供了业界领先的性能 通过网卡容错和 PCL 热插拔增强了服务器的可用性 自适应负载平衡和千兆位 EtherChannel 提供了可扩充的吞吐能力 支持 1000BASE SX 的 SC 光纤连接器 顶级千兆位网卡 其它没有一款网卡能够提供与之相媲美的 1000Mbps 吞吐 量 引自 1998 年 8 月 LANQuest 实验室报告 可扩充的吞吐能力和高可用性 高达 8Gbps 的集合带宽 并且可以利用任 何英特尔 服务器网卡组合建立自动冗余连接 支持工业标准 802 3z 千兆位以太网 用于高级通信管理的 802 1QVLAN 和 802 3x 数据流控制 广泛的互操作性 与 WindowsNT Novell UNIX 和 Linux 环境中的工业 标准交换机兼容 在线维护能力 PCI 热插拔技术补充了网卡容错特性 能够在不中断服务器 运行的情况下更换故障网卡 通过远程管理降低支持成本 支持联网管理 WfM 2 0 SNMP 和 DMI2 0 5 5 服务器系统详细设计 服务器系统详细设计 1 服务器系统要求 服务器系统要求 1 1 服务器系统技术要求 服务器系统技术要求 服务器系统选用先进 实用 稳定 可靠的系统 具有开放性结构 且服务器系统选型时应要考虑备份机制和容错功能 2 2 服务器系统安全性要求 服务器系统安全性要求 建立企业内部访问的安全控制机制 提高服务器 系统数据的安全性和访问的安全性 3 3 服务器系统设备要求 服务器系统设备要求 服务器系统应采用国际知名品牌产品 具有较高 的性价比 可扩展 易升级 应操作简便 易于管理 证券柳州营业部网络系统方案 网络解决方案 2 服务器系统设计原则 服务器系统设计原则 服务器系统设计是系统建设的关键 其直接影响投资规模和系统成败 因 此要认真作好这项工作 服务器系统设计基于以下原则 一 高可靠性一 高可靠性 由于证券服务器系统可靠性直接关系到证券业务的正常进行 只有可靠 性高的产品才能做到无间断运行 服务器系统必须具有高安全性 能够有效 的防止黑客的入侵 二 高可用性二 高可用性 由于证券业务系统需要高可用性的特点 在设计时需要考虑采用 可利 用双机容错系统提高系统的可用性 减少宕机时间 三 高扩展性三 高扩展性 在投资范围内 追求最大的可扩展性 为以后扩展升级打下基础 保护 客户投资 四 高性价比四 高性价比 在有限的预算前提下 选用性能价格比较高的产品 用最少的投资获得 最大的效益 五 高质量和高效的售后服务五 高质量和高效的售后服务 国际著名服务器厂商的产品无论在质量上 服务上 还是在技术支持上 都有卓著的声誉 产品的持续支持能力也能得到保证 3 服务器系统设计 服务器系统设计 服务器系统是在整个网络的运行以及各种网络应用服务中是起着关键的作 用 对网络性能的实现和今后网络的升级都十分重要 目前在证券行业中服务器大都是采用 COMPAQ 服务器 而且 COMPAQ 服 务器在多年来的证券应用中口碑很好 证券柳州营业部网络系统方案 网络解决方案 1 行情服务器设计 行情服务器设计 考虑到有近 1000 个工作站 而且工作站需要做成无盘 WIN98 工作站 服 务器的负载比较大 因此 Novell 行情服务器建议采用一台康柏 ProLiant 8000 做 主服务器 用另一台康柏 ProLiant 8000 做备份服务器 为了提高整个 Novell Netware 系统可靠性和稳定性 采用 NOVELL HA SERVER 技术 并为两台服 务器配备先进的 DFT 5008 磁盘阵列柜系统 保证整个网络的可靠性和稳定性 Novell HAServer 是 Novell 公司的独立版权产品 它集合了以往 StandBy SFTIII 等产品的全部优点 专为目前 Client Server 局域网提供的一 种通用的高可用性 高扩充性的解决方案 它使用工业标准化商品部件 通过 一条共享 SCSI 总线或光纤通道 将局域网中的两台 Novell 服务器连接 从而 支持关键业务环境 支持不断增长的存储需求 最大程度地降低服务器的 down 机时间 具备十分优异的容错性能 客户机在访问所有的群集资源 诸如共享磁盘 文件共享和数据库应用程 序时 都不必知道群集系统中单一服务器的名称 当一台服务器系统发生故障 时 另一台服务器会立即承担发生故障服务器的工作 将共享卷 NDS 权限 Netware 用户数和文件共享等进行迁移 从而保证整个群集系统作业运行的连 续性 在 NHAS 系统中 我们选用 DFT 5008U2 磁盘阵列柜配备 4 个 18 2Gb Wide Ultra3 SCSI 硬盘 COMPAQ 10K 实现 RAID 5 1 模式 为两台 NOVELL 服务器提供高性能 不间断的共享磁盘服务 HA Server 的技术要点的技术要点 主从服务器的硬件配置不必完全一致 可充分利用原有设备 Novell HA Server 提供两种切换机制 失效切换和手工切换 失效 切换确保服务器失效时全自动实施切换 手工切换和系统暂停机 制 方便正常系统维护工作 支持多条冗余的心跳路径以有效避免系统误切换 还可以通过冗 余的数据通道来提供更高水平的可用性 支持工业化标准的互连 ODI IP compliant 对称多处理器 证券柳州营业部网络系统方案 网络解决方案 SMP 支持使用共享 SCSI 技术或 FiberChannel 光纤通道技术的磁盘阵 列柜 HAServer 配置灵活 使用简单 维护方便 HAServer 支持多台服务器群集 支持分布式应用 HA Server 所带来的好处所带来的好处 使用磁盘阵列柜的 Novell HA Server 群集系统 一方面能大大提高硬盘的 读写速度 明显改善诸如证券行业中行情分析软件的反应速度 还可以将两套 分析软件分别在两台服务器上运行以有效均衡服务器负载 另一方面 由于使 用硬件实施系统的容错 因此可大大提高这个系统的安全容错级别 在今天 数据与主机电气分离数据与主机电气分离 观念已经迅速成为当前 IT 技术的新潮流 使用磁盘阵列柜的 Novell HA Server 群集系统为最终用户提供了如下的益处 高度可用性高度可用性 确保作业的连续性确保作业的连续性 Novell HA Server 群集系统中某个服务器由于硬件或软件失败而导致崩溃 群集系统中的备用服务器可以予以接管 以保证处理过程的继续 群集也可以 对某些单独组件 如磁盘或适配器 或是单独的应用程序的失败作出反应 通 过隔离失败节点的错误 其它节点可以继续运行 保证整个群集系统的功能 速度上的明显提升速度上的明显提升 Novell HA Server 群集系统中磁盘阵列柜基于 80Mbyte S 的 Ultra Wide 宽 带 SCSI 技术或基于 100Mbyte S 的光纤通道技术 并且阵列柜内部配有 CPU 及大冗量缓存做读写预处理 与以太网络相比 100Base T 以太网只相当于 12 5Mbyte S 带宽 以上结构使得阵列 数据读写速度远高于主机内部硬盘 而且不需主机 CPU 分时 又进一步提高 了主机系统的处理速度 使得传统的外存 I O 瓶颈大改善 这种 Novell HA Server 群集系统较之早期的纯软件网络备份容错及主机内部加装阵列卡的方式 在速度上有了质的飞跃 提升数据的安全容错级别至提升数据的安全容错级别至 99 99 Novell HA Server 群集系统中的磁盘阵列柜配置主要包括 控制器 其上 自带 CPU 缓存 电源 风扇 磁盘存储子系统 其使用全硬件冗余方式保 证数据的安全性 从而消除了 Novell HA Server 群集系统的单点故障 双通道双路在线控制器 证券柳州营业部网络系统方案 网络解决方案 磁盘阵列柜一般可以配置 2 个控制器 作为冗余 而且每个控制器使 用 2 个独立的主机通道 2 个独立的磁盘通道 除了提升磁盘阵列的 I O 外 也保证了工作控制器或控制器上的某一个通道出现故障时 备 用控制器或控制器通道的在线热切换 加强了系统的高可用性支持 两组热插拔容错电源 双散热风扇 冗余电源保证当一个电源及电源通路出现故障时 RAID Array 的可用 性 冗余的风扇功能使得当一个风扇出现故障时 RAID Array 的散热仍 然得到保障 支持 RAID 0 1 0 1 3 5 校验 并支持热插拔和热备件的自动故障 恢复工能 RAID 级别保证任意硬盘故障时其上数据不会丢失 而且许可使用一块 硬盘作为阵列上 RAID 集的备用盘 当 RAID 集中的任一硬盘出现故障 时 备用硬盘可以自动替换故障硬盘 极大的降低了系统的风险并减 轻维护人员的负担 独立的用于电池或 UPS 的电源接口 磁盘阵列柜一般都配有电池 用来保护系统掉电时对磁盘阵列缓存的 保护 以实现数据的完整性 另外 磁盘阵列柜还具有内部 UPS 接口 以实现对控制器及缓存的更充分的保护 双双 Active 服务器负载均衡 服务器负载均衡 应用软件可与群集软件协同工作以平衡群集系统中各服务器的工作负载 例如 行情服务器可以并行工作在多个节点上 同时从共享磁盘中获取数据 从而充分发挥容错系统中各个结点的资源 实现服务器负载均衡和缓解行情服 务器的网络压力 从而提高客户端的访问速度 2 交易服务器设计 交易服务器设计 行情服务器也建议采用一台康柏 ProLiant ML570 做主服务器 用另一台康 柏 ProLiant ML570 做备份服务器 由于交易服务器在整个证券业务中是很重要 的 为了保证交易服务器的可靠性和冗余热备份 我们采用 NCR LifeKeep 技术 通过心跳线使两台服务器互为冗余备份 保证整个交易系统的可靠性和稳定性 LifeKeeper For Windows NT 软件是 NCR 公司推出的全球第一套基于 NT 操作系统 并支持 16 台服务器集群的容错软件 也是市场上第一套可提供 OSI 七层参考模型的高可用性软件 自九十年代出推出以来 备受用户称誉 证券柳州营业部网络系统方案 网络解决方案 美国 NCR LifeKeeper 可以广泛应用于证券 金融 政府 交通 邮电 医院 税收 公安 民航 军工 商业等采用 Windows NT Server 平台的行业 LifeKeeper 能满足这些行业作业系统数据平台高度稳定 安全可靠的应用需求 规划说明 规划说明 双 或多 主机通过一条 TCP IP 网络线以及一条 RS232 电缆线相连 双 或多 主机通过一条 SCSI 电缆线与磁盘阵列柜相连 主服务器故障后 备份服务器自动接管主服务器的作业和数据 备份服务器同时自动接管主服务器的主机名 Host 及网络地址 IP 主服务器修复好以后 再将备份服务器上的作业和数据切换到主服务器 建议主 备份服务器内存大小基本一致 3 报盘服务器设计 报盘服务器设计 考虑到报盘服务器在证券交易业务中的重要性 我们不推荐采用普通服务 器 例如普通 PC 机 建议采用康柏 ML 530 服务器作为报盘服务器 以保证 稳定性 确保报盘工作稳定可靠 4 中间件服务器设计 中间件服务器设计 由于中间件服务器作为连接外 内网的网关 处于一个非常重要的位置 所以我们不推荐采用普通服务器 应该采用专业服务器 确保内外网通讯稳定 可靠 为了保护 证券原有的设备投资 我们建议将 证券原有的康柏 Proliant 7000 服务器作为中间件服务器 并给其配置双网卡 4 主机系统产品简介主机系统产品简介 Compaq Proliant 8000 康柏 ProLiant 8000 具有大量内部存储和容错性能的超大容量 8 路服务 器 保持业界领先地位意味着您需要尽可能地实现各种优势 以提高企业的计 算能力并维护您宝贵的 IT 资源 随着新型应用不断出现 对性能的要求日益苛刻 数据和用户越来越多 您的 IT 系统始终压力重重 现在 康柏 ProLiant 8000 服务器将为 您提供取得成功所需的强劲性能 标准配置 证券柳州营业部网络系统方案 网络解决方案 双 PIII Xeon 700Mhz CPU 1M 二级高速缓存 1Gb ECC 内存 可扩至 8Gb 18 2Gb Wide Ultra2 SCSI 硬盘 一万转 12 个 1 英寸热插拔 Wide Ultra2 SCSI 驱动器 集成的双通道 Wide Ultra2 SCSI 适配器 内置 100M PCI 服务器专用网卡 双冗余电源 Compaq Proliant ML570 ProLiant ML570 基于 ProLiant 5500 6000 和 6500 的强大功能而构 建 将最新的性能和高度可用性引入富含功能的四处理器服务器平台中 Proliant ML570 具有卓越的可靠性和容错能力 提供了企业级系统可用 性和 218 4GB 最大内置存储器容量 客户们可以依赖这款高度可管理性服务器降低拥有成本 并提供更安全 可靠的计算环境 标准配置 双 PIII Xeon 700Mhz CPU 1M 二级高速缓存 512Mb ECC 内存 可扩至 8Gb 18 2Gb Wide Ultra2 SCSI 硬盘 一万转 12 个 1 英寸热插拔 Wide Ultra2 SCSI 驱动器 集成的双通道 Wide Ultra2 SCSI 适配器 内置 100M PCI 服务器专用网卡 双冗余电源 Compaq Proliant ML530 ProLiant ML530 是新一代 ProLiant 3000 两路服务器 在两路服务器中 提供了扩展性 可用性和性能的完美组合 针对那些要求获得最高的性能 硬盘和内存扩展性来运行需要双路处理支 持应用的公司 这款服务器提供了卓越的价值 标准配置 PIII Xeon 933Mhz CPU 256K 二级高速缓存 证券柳州营业部网络系统方案 网络解决方案 512Mb ECC 内存 可扩至 8Gb 18 2 Gb Wide Ultra2 SCSI 硬盘 一万转 12 个 1 英寸热插拔 Wide Ultra2 SCSI 驱动器 集成的双通道 Wide Ultra2 SCSI 适配器 内置 100M PCI 服务器专用网卡 双冗余电源 DFT 5008U2 磁盘阵列柜 DFT 5008U2 64 位 PowerPC RISC CPU 64 位 SCSI 总线 速率可达 80 160MB SEC 单机容量可达 TBG 300w 2 冗余双电源 双风扇 塔式 5U 标准工业 机箱 它拥有以下特性 高数据传输性能高数据传输性能 DFT 5008U2 支持并发访问请求 能完成从主机到硬盘的高速并行数据传输 为了达到最高的数据吞吐量 阵列内部所有环节均采用 LVD 接口 包括并发 I O 命令队列特性等都已在 DFT 5008U2 控制器内部完成 控制器采用高性能 的 64 位 PowerPC RISC CPU 以使 I O 任务智能化 高速缓存可以完成智能的 read ahead 和 write back 有了高性能的设计 DFT 5008U2 提供了一个基于 SCSI 计算机的广泛存储方案 以应用单用户工作站 高端 PC 服务器 UNIX 中央主机等环境当中 高数据容错错能力 DFT 5008U2 提供 RAID 0 1 0 1 3 5 3 spare 5 spare 可供选择 这些 RAID 功能给用户数据的高可靠性提供了保证 例如自动侦测失效盘 热备用 硬盘 坏盘数据重建 在线更换硬盘 后台自动重建等 高扩充性和灵活性高扩充性和灵活性 利用扩展模块 DFT 5008U2 可获得更多的 SCSI 通道 最多可达 8 个 SCSI 通道 DFT 5008U2 支持 8 个逻辑硬盘 每个逻辑硬盘支持 8 个分区 每个 SCSI 通道 可定义主机或设备通道 实现多主机连接 当读写硬盘的时候 DFT 5008U2 能够校验处理坏扇区 从同一逻辑盘中的其他硬盘获的坏盘数据 并对坏扇区重置 所有这些对主机来说 都是透明的 证券柳州营业部网络系统方案 网络解决方案 DFT 5000 控制器 主机 硬盘接口2 个主机通道 2 个磁盘通道 可扩充为 6 个 RAID Level0 1 0 1 3 5 30 50 JBOD 基本的 SCSI 通道2 8 个 Ultra2 Wide or Ultra3 Wide SCSI 通道 硬盘位6 8 12 16 四种标准配置 高速缓存32M to 1Gbytes 标准配置 64M 后备电池可选 DFT 9070c 电源300W 2 400W 2 可选 容错总线 falut bus 支持 DFT 专有 国际认证FCC CE Y2K MTBF 尺寸 17 5 H x 8 75 W x 21 5 D 26 75 H x 9 75 W x 25 5 D 6 6 操作系统平台选择操作系统平台选择 网络操作系统是网络软件系统的核心 因此选择网络操作系统成为组网过 程中十分重要的一步 在选择好主机系统硬件之后 还必须选择能充分发挥网 络整体性能的操作系统 目前在证券行业中被广泛采用的操作系统主要有两种 NOVELL 公司的 NETWARE 操作系统和 Microsoft 公司 WINDOWS NT 操作系统 不同的网络操 作系统建立在不同的网络体系基础之上的 WINDOWS NT 网络操作系统是建 立在 TCP IP 网络体系之上的 而 NETWARE 网络操作系统则主要是以 NOVELL IPX SPX 为基础 目前在证券行业中的行情服务器大都是采用 NETWARE 操作系统 它采 用的一系列先进技术以保证操作系统的整体性能具有较高的水平 并且可靠性 和安全性都比较不错 因此我们采用 NETWARE 4 11 作为行情服务器的网络操 作系统 而 WINDOWS NT 操作系统是一种纯 32 位的网络操作操作系统 它是一 种面向分布式图形应用程序的操作平台 主要是作为数据库以及交易系统的底 证券柳州营业部网络系统方案 网络解决方案 层平台 因此在交易服务器中选用的是 Microsoft 的 WINDOWS NT SERVER 网络操作系统 四 安全体系设计四 安全体系设计 新世纪的商务运作与电脑网络息息相关 成功的商业机构必须有快速可靠 的网络 对证券行业而言 计算机网络业已成为证券营业部业务运作不可缺少 的工具 与此同时 网络安全也成为刻不容缓急待解决的问题 可以说 我们今天所面对的安全问题已不再局限于系统本身 对外 我们 将面对一群具有高知慧 高能力 高手段而且对网络系统和编程语言都有着深 刻了解的 黑客 他们无时无刻不在窥探着你的网络 你却没有丝毫的觉察 他们能在你的眼皮底下偷走或修改你的数据 能让你在正常操作中丢失你的管 理员密码 能删掉你的重要数据 更能让你的服务器在开市时宕机 对内 系统则会时刻受到在你身边而不为你察觉的内网用户的攻击威胁 面对这些乍听起来让人觉得很 遥远 但的确在悄悄发生的事实 您是否是否 已做好准备了呢 已做好准备了呢 安全是在网络建设中需要认真分析 综合考虑的关键问题 下面我们将从 三个方面来讨论保障网络安全的若干措施 1 1 主机安全 主机安全 采用网段分离技术 把网络上相互间没有直接关系的系统主机分布在不同 的网段 由于各网段间不能直接互访 从而减少各系统被正面攻击的机会 网 段分离可以采用物理方式以及逻辑方式来实现 在物理上 我们将网络分为行 情发布子网 外网 和交易处理子网 内网 两网段 在逻辑上运用虚拟专用 网技术 VLAN 将应用服务器和工作站根据具体情况分别放在不同的网段和虚 拟子网上 另外 在安全方面有一个最基本的原则 系统的安全性与它被暴露的程度 成反比 因此 建议将行情发布的服务器与交易处理服务器隔离 由于将数据 库和交易处理主机封闭在系统内部 增加了系统的安全性 同时使用中间件技 证券柳州营业部网络系统方案 网络解决方案 术 不允许直接访问业务主机 所有的应用连接都通过代理来完成 这不仅仅 增强了业务主机的隐蔽性 也提高了业务处理效率 2 2 数据安全 数据安全 在网络上运行的软件需要通过网络收发数据 要确保数据安全就必须采用 一些安全保障方式 1 1 在工作站上采用支持在工作站上采用支持 IPSecIPSec 加密能力的网卡加密能力的网卡 网络内部人员的安全破坏行为超过了网络外部入侵者 两者的比例分别为 55 30 像防火墙这样的传统局域网安全保护措施可以保护网络的 前门 但是 根据 FBI 的 调查 大多数安全破坏行为发生在局域网内部 未经授权的访问 欺诈 窃取和其它违反 使用规章的行为 英特尔 PRO 100 S 网卡通过提供 IPSec 互联网协议安全 加密能力 可帮助保护局域网上的敏感数据 I