通威科技证券公司广域网建设解决方案

    证券公司广域网

    营业部网络实现了各证券营业部的基本工作职能，它侧重于本地局域网建设，其通信服务功能模块只起到了辅助作用，仅对数据量要求不高的Internet访问和少量远程大户提供广 域网支持；而有相当规模的证券公司，将远距离控制多个营业公部和为更多远程大户提供服务，相应业务范围和工作模式都会有很大改变，因此需要一个强有力的广域网架构来支撑。当然，证券公司广域网和营业部局域网绝非相互独立，而是相辅相成的－－营业部网络的建设是前提，而广域网则起到将多个营业部网络互联的作用，它的建设，受营业部规模和数量的影响。

    证券公司广域网上传递的信息与各营业部网络信息密切相关，主要仍为行情/交易信 息、办公管理数据、Internet业务等，有条件的证券公司还可开展语音和多媒体传递， 如；各营业部间通过数据网络打电话，或为用户提供远程视频点播等业务。而传统的网络模式常常是将各项业务独立起来，如图5所示：打电话是基于常规的PSTN电话网，营业部与公司总部间采用昂贵的专线传递各种交易/行情和办公数据，远程大户的接入则采用PSTN拨号登录。这种应用模式既浪费网络资源，带来高额成本，也不便于集中管理和应用的升 级。为此，建成一个多业务集成、经济有效的网络将是证券公司广域网的发展趋势。

    通威公司认为证券广域网应用模式，应具有以下新的特点：

    

    1.广域网可实现全冗余连接，保证网络运行可靠－－根据各证券公司财力，营业部间广域网连接可采用DDN专线，或更为经济的帧中继、ISDN、甚至PSTN等线路；同时，低 速、拨号线路(如：ISDN、PSTN)也可作为高速、永久线路(如：DDN、帧中继)的备份使 用，当主链路断线或超负荷时，以按需方式启用备份，从而保障系统可靠性；

    2.ISDN节约广域网通讯费用－－在上述多种可供选择的广域网链路中，ISDN是值得推荐的一种连接方式，它具有方便建立、价格经济、带宽充足(128K)等特点，并且应用灵 活，可在不同时间连接到不同的目的地，并可根据用户需要，在有数据时才建立连接，或依据数据量多少自动调节带宽，从而节省链路花费；

    3.采用思科端到端安全解决方案－－多项业务集成能最大限度地利用已有链路，提高网络经济性，但由此带来的安全问题不容忽视，例如：远程大户和公司营业部职员所能访问的权限肯定是有所不同的，它们的数据应能被识别和隔离开来分别处理，为此通威公司提供了以下安全防范手段：

    建立安全边界－－在营业部或公司总部的接入路由器外设置IOS防火墙或PIX防火墙，它们的主要作用都是对欲进入本网的数据包实施安全检验和过滤(依据数据包头所含的源、目的地址，端口号，协议类型等进行判别)。

    实施安全认证－－安全认证主要是对用户身份实施检验和权限设定，这样当外部用户以远程大户身份和以营业部职员身份登录时，他们所能访问的数据可以是截然不同的。安全认证一般采用集中管理方式，在内部网络中设立专门的认证服务器，在其上建立用户数据库，这样不论用户从何处登录进来，都需要经过该服务器的统一检验，授权并且其后的所有访问过程都可被审计，记入日志。思科公司对用户认证的相应解决方案：Cisco Secure ACS；

    引导安全传输－－上述两种安全手段各有特点，若能结合起来将达到更理想的防范效果。除此之外，可用的安全技术还有很多，必要时还可引入VPN(虚拟专网)技术：营业部与公司总部之间，及营业部与远程大户之间，都可建立起端到端的逻辑隧道(Tunnel)，所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处理，从而能与同一物理链路中其它数据区别开来，避免被不法用户所窃取，只有在隧道的始末两端(营业部、公司总部或远程大户节点处)才可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络(如Internet)传递业务数据时，这项技术尤为必要；思科公司的多款路由器都可通过IOS升级支持VPN应用，可用作虚拟专网隧道的起始和终止设备。

    4、语音数据集成(Voice over IP)－－语音数据集成是多业务集成的真实体现，它通过特定硬件处理，使原来只能运行于PSTN电话网的语音被转换为IP数据包，同普通数据一起通过DDN、帻中继等数据网络传递到远端，使长途话费成本大大降低，也简化了内部信息系统管理。思科公司的Cisco 2600/3600路由器都可选配Voice over IP语音模块，将每路语音压缩到只占8K左右带宽，并且支持多种带宽优化技术来保证同一链路中语音信息的优先，从而保证话音质量。

    上述各项技术体现了新型证券广域网的发展趋势，在实际应用中用户可根据自己的需要选择相应产品，逐步实现其各项功能。下面将以产品为导向介绍一套实际应用方案。

    证券公司广域网解决方案

    这是一套集数据、语音传递为一体，双链路互备份的广域网解决方案，拓朴结构如下

    这里着重介绍其广域网连接，所用路由器设备：

    

    Cisco 7206路由器 一台

    Cisco 3661/3662/3640路由器 两台

    Cisco 2620/2621/2650/2651路由器 若干

    由图可看出，这是一个证券公司总部和各营业部网点互联的二级广域网结构，总部(核心网络)用到三台路由器；一台Cisco 7206和两台Cisco 3600。Cisco 7206是思科公司高端路由产品之一，共有六个端口适配器插槽，可支持多种高性能、高端口密度的模块，在本方案中被用作核心路由器，与各营业网点的路由器通过DDN专线或帧中继分别接成64K或128K的主传 输线路，构成该广域网主体；Cisco 3600是思科公司应用广泛的中端路由器产品系列，它有四至六个网络模块插槽，其最大特点是模块种类繁多，应用极度灵活，方案中一台Cisco 3600被用作Cisco 7206的备份，通过ISDN线路与各营业网点相连，当核心路由器或主干链路发生故障时，该路由器可以按需方式启用ISDN拨号，继续与二级路由器保持连接和数据传递，保障业务运行的可靠性；另一台Cisco 3600通过以太网放置于总部局域网中，它的主要作用是实现数据语音的传递－－每台Cisco 3600最多可在数据网络(DDN、帧中继)中传输12至24路语音，而分机的数量可通过PBX交换机扩展到更多。

    二级营业部用户数相对较少，所用路由器为Cisco 2600系列，它带有一个或二个固定的10/100M自适应以太网端口，一个网络模块插槽和两个WIC广域网接口卡。语音模块便配置在网络模块插槽中，每个Cisco 2600最多可支持四路语音(方案中只用到两路)；而与总部主路由器Cisco 7206所作的DDN或帧中继连接，以及与备份路由器Cisco 3600所作的ISDN连接则由两个WIC接口模块来完成。

    综上所述，这是一套综合考虑了数据/语音多业务集成和设备/线路冗余的网络，具有较高的可靠性和传输效率。总部网络中所用到的三台路由器都作了较高配置，在满足现有应用的同时还留出了较大的扩展空间，使网络具备较好的可扩充性。

    总的来说，这一整套方案最突出的特点是高安全性、高可靠性，并且能够实现对广域网带宽的有效利用。

    安全性主要是通过防火墙和VPN来体现的。IOS防火墙是集成在路由器操作系统中的一项功能，相对简单但经济实用，而PIX则是思科公司得以广泛应用的专用防火墙产品，它拥有自己专有的软件系统，不需借助于外部操作平台，内核技术不公开，因此能更有效地阻止网络黑客的攻击，而配套的硬件组成使其数据处理效率更高，是更为理想但相应成本也更高的安全应用，尤其适合于广域网的应用环境。VPN能够在公共网络上的架设虚拟专用网络，物理链路采用服务提供商已有的公共连接网，但其传递的数据是经过特殊处理的，能与其它数据区别开来。使用VPN的最大好处是大大降低网络成本。此外它在需要传递数据的远程双方之间建立起一条逻辑隧道，将VPN数据与其它数据隔离，因此通过隧道封装和加密充分保证了数据安全性。

    利用广域线路的备份方案和节点设备的备份技术可以实现系统的可靠性。例如上述方案在线路上采用DDN或帧中继链路作为主干，ISDN作为备份，可以解决广域线路的可靠性问题。而热备份路由器协议（HSRP）技术的的采用，更可以实现路由器的备份问题。HSRP根据对两互备份路由器的优先级进行设定，将其中一台设备置为活动状态，而另一台设备置为备用状态，当主设备发生故障时备用设备能立即启用，这就是所谓“热备份”的含义。对网络中正常工作的用户而言，这一切换是透明不可见的，因此不会影响营业部的正常交易。

    在广域网环境中，带宽优化不仅直接节省开支，同时又能增强网络性能。思科的方案中几种典型带宽优化技术包括IP组风广播技术、队列技术、压缩技术等。组内广播是有选择地将数据送到指定的一组节点上去，其它节点不会接收到这组数据。它消除数据冗余，减少服务顺的CPU负载，并有效地控制了网络流量，使数据传递效率和质量达到最佳状态。队列技术是路由器所支持的一项用于提高服务质量的技术。它改变了传统的数据处理依据先进先出的这项原则，使部分数据得以优先通过。压缩技术是节省广域网带宽的一种较为直接的方式，它将原来较大的数据包经特定计算后转换成占字节数较少的数据，使数据流占用的带宽成比例下降，因而链路中能容纳更多的数据。

    以上介绍了通威公司针对证券公司营业部网络和各营业部间广域网建设提出的多套方案，结合证券应用的要求，这些方案都具有以下特点。

    可靠－－通过设备冗余设置和采用以太网通道、快速上联恢复、快速端口恢复、热备份路由器协议等技术来实现高可靠性，达到全冗余、热备份、快速恢复的目的，广域网上也有实用的线路备份方案；

    高效－－采用快速以太网或千兆以太网作为骨干，并通过快速以太网通道化和千兆以太网通道化技术扩展带宽，极大提高了数据处理能力；加上10/100兆交换到桌面，可以保证每个最终用户都拥有充足的通信资源；

    安全－－从虚拟局域网、交换机端口安全机制、集成路由器防火墙、专用PIX防火墙到认证体系以及虚拟专网，提供端到端的保障，在局域网和文域网环境中均可以实现系统安全；

    可管理－－提供的一些免费或收费的配置管理工具，基于浏览器或图形界面，方便使用和设备管理。

    各证券公司可参考上述方案并结合自身的实际情况作相应的修改或重新设计。

相关文章

• (2007-06-20 00:00)·内蒙古证联信息点播系统实施方案
• (2007-05-31 00:00)·VIEWGOOD国海证券视频直播平台方案
• (2007-04-24 00:00)·HP惠普、恒生助力华安证券集中交易
• (2007-04-03 00:00)·惠普产品在广州证券中的成功应用案例
• (2007-03-30 00:00)·北方信联投资人关系网站长江电力案例
• (2007-03-29 00:00)·北京东方讯普券商网上营业部解决方案
• (2007-03-29 00:00)·新大陆银证通系统解决方案