通威公司在证券网建设中已经拥有许多成功的实际应用,这里将援引其中部分典型案例:
1、长春证券北京营业部网络系统方案
需求分析:
长春证券北京营业部是一家新建的证券营业部,该营业部有信息点约700个,要求部分主干采用千兆以太网技术,重要的服务器和工作站需要100M的速率,一般工作站需要10M的速率。新建的计算机网络系统要求能满足证监会有关的规范。
拓朴设计:
考虑到目前思科系统公司的网络产品在各方面的优越性能,以及在证券行业也是公认的领先厂商,其提供的解决方案是全国各证券公司普遍采用,因此用户选用思科的网络产品来建设营业部的网络系统。网络拓朴结构如下:
应用分析:
根据用户的需求,系统采用了一种非常严格的内外网分离的方法,将整个网络划分为内网和外网--内网的应用包括资金服务器、备用资金服务器和程序服务器、备用程序服务器,各种和委托有关的计算机(如委托转换机、上海深圳委托发送机等);外网则包括行情服务器、备用行情服务器、行情转换机以及对外营业所使用的计算机设备。
外网服务器上安装多块网卡,同时接到内、外网核心主干交换机上,同时关闭所有的路由功能,这样使得内网能访问外网数据,而外网的工作站地法进入内网,但又不影响它的功能。这是一种物理上的完全隔离,因而是十分安全的。
营业部网络采用以太网、快速以太网和千兆以太网混合组建,拓朴结构为星形:内网结构相对简单,采用一台Catalyst 3524交换机作主干,内网用户直接连到Catalyst 3524上;外网则采用两Catalyst 2948G交换机互联成为冗余主干,外网的行情服务器以千兆带宽直接连到两台Catalyst 2948G,以百兆连到内网的Catalyst 3524上,二级桌面交换机采用Catalyst 1924(2个100M口,24个10M口),通过100BaseTX与两台中心交换机Catalyst 2948G相连,再以10M下接各工作站。
除了实施内、外网的物理隔离外,思科交换机产品的多种多样的安全特性也能进一步提高安全性,如采用VLAN技术还可以在内外网进行一步划分不同功能的VLAN,保证各网段不同的安全级别;同时,运用交换机内置的TACACS+口令管理、基于MAC地址的端口安全等可以实现更高的安全管理。
主干交换机Catalyst 2948G之间还可以快速以太网通道提升主干带宽(最高可达800M),使网络具备更好的可靠性和一定的可扩展性。
2、华夏证券营业部方案
需求分析:
作为面向股民的交易委托结构,华夏证券营业部需要对股民帐号、资金和所拥有的股票种类、数量进行管理,因此系统的重点要求是:
可靠不能停机--系统停机将给营业部造成巨大的损失;
具备高安全性--在证券营业部网络上传递的信息就是金钱,所以必须有一套完善的措施来防止非授权使用和蓄意破坏;
性能高、速度快--性能低、速度慢将影响各项交易的正常进行。
拓朴设计:
千兆以太网具有高带宽、低价位、能从以太网和快速以太网平滑升级,适于构建网络骨干等特点,思科系统公司提供了品种丰富、高性能、功能全面的千兆网络产品,对于改进证券营业部的计算机系统问题具有明显的优势。为此华夏证券选用了思科千兆以太网解决方案,拓朴结构如下:
应用分析:
图中Catalyst 4912G是思科公司的一款纯千兆以太网交换机,提供了12个纯千兆以太网端口,被用作网络核心设备。方案中用到两台Catalyst 4912G通过千兆以太网通道(GEC)互连,构成高达4G的主干带宽,并互为冗余;二级交换机采用的是思科公司的Catalyst 5500(共四台),它采用纯模块化结构,除了可选择千兆上联端口之外,还提供了更多的10M、10/100M及100M网络接口选择,既与主干网络及服务器相连,又为下级设备提供了灵活的端口选择;每台二级交换机及行情/交易服务器都同时与两台Catalyst 4912G互连,形成高可靠的全冗余结构。
系统建设中采用的技术和相应特点有:
1.服务器容错技术:如AFT网卡容错技术、ALB网卡平衡负载技术、网卡容错等,保证服务器的正常工作,是系统可靠性的体现;
2.Cisco GEC(Gigabit EtherChannel)带宽聚合技术:GEC能在两台交换机间最多提供4条千兆链路的高达8Gbps的并行带宽(方案中用到2条并行链路,带宽达4Gbps),大大提高主干网络的数据吞吐量,同时各链路负载均衡并互为备份,对可靠性提供保障;
3.用于Spanning-Tree的Cisco Uplink Fast技术:在冗余连接中的某条主线路发生故障时能迅速切换到备份线路,恢复网络的连通性,恢复过程只有1秒钟的延时(如果没有Uplink Fast技术那么spanning tree的过程需要40秒钟的延时),这也是对网络可靠性的体现;
4.Cisco的MAC地址限制技术:在Cisco交换机的端口上固定设置工作站网卡的MAC地址(每端口最多设置132个),防止不良动机的股民携带笔记本电脑连入营业部网内,实现网络用户接入的安全保障。