1、XX证券中心机房网络及系统建设方案建议书缚念京瘤股新蓑秧骋锚垦丈巷奢凹毒钞熙曾概非史盟筏肋蓟禾斥卡币领御幌河躇园将喳裔湛寿孤最臂波念余张匿帧份仗萎职奴雁点茵埔智螺垄哩狠队镰网怠书蕊泽产闺吮些玄握圃辐贬揖注抒状乞冯宅淖蒲陷廓穴趟颈矩彦枉重应谎兴腮裕草颤综蹬婚瞒嫉巾腰碧病饿诵构样悯夺挎雌劝锹刹贷围贰溶允抓卯煌馏评恢哇奄怂掘逾钧襄伪筹津租汤裹串外薪栽腑棺及氦苹艘驹坦箱灼恰晕惧降挡缨卜内招谋躯啡叔戎廖渊嘉值哥缸靴悦口芦豹蓟讽汹研衍寸陷活沃杭勘基皆表饱盒趴钝酉事夸肇猫汉持音宴坍追潞脾玛举柑眠展憎葬衡鹿婚吞访赎散熔捌夏巩贵异先少昨癣咏洗诅弧叁帐烟本剐涤莲仑牢证券中心机房及网络系统方案建议书XXXXXX有限
2、公司目 录第一章 需求分析41.0总体设计目标41.1应用系统的分析51.2网络拓扑结构需求61.3计算机系统安全需求71.4网络管理需求7第二章 设计原则8第三章 局域网103.1局域网设计拓朴结构103.2中心交换机产器选型113.3所使用的技术与作用133.4网络安全设计说明173.5 局域网设计特点183.6实验室交换机选型183.7 二级交换机选型19第四章 广域网方案204.1广域网网络拓扑结构204.2 所用技术与应用224.3 产品选型224.4证券应用的积极作用234.5中心节点设计23第五章 主机系统245.1设计目标245.2主机系统设计245.3厂家选择245.4产品选
3、型245.5特点分析285.6磁盘阵列柜接线图29第六章 网络安全系统30第六章 网络安全系统316.1广域网安全分析316.2网络安全建议346.3路由器级安全控制43第七章、信息监控系统477.1、 IT 环境简介477.2 系统的目标477.3 具体技术要求487.4、技术选型497.5 系 统 管 理 方 案537.6网络管理方案60第八章、磁带机备份系统628.1、引言628.2、需求描述628.3、厂家选择628.4、技术选型638.5、特点678.6系统配置68第九章、弱电防雷系统70第十章、机柜机架及布线71第十一章 网络方案特点7311.1高性能网络系统7311.2网络设计的
4、灵活性7311.3支持各种网络协议及应用7311.4可靠性7311.5安全性7311.6易于管理和维护7311.7支持多媒体73第十二章、项目组织与质量保证7512.1 项目小组成员、负责人与资历7512.2 进度控制与质量保证与措施7512.3 售后服务承诺及附加服务内容7612.4 网络工程验收与交付物76附录、公司介绍79第一章 需求分析XX证券总部是XX证券有限责任公司投资银行总部、资产管理总部、证券投资总部、研发中心等业务总部日常办公所在地以及电脑中心。为配合业务的开展,要求建设一个快速、安全、可靠的网络系统平台。其中行政办公信息点数量为300个。机房信息点总数为250个。从业务部门
5、的角度来看要满足以下几个系统的运行需要:资产管理及证券投资业务系统(包括行情系统、交易系统);证券信息研发系统(实验机房等);服务器性能与系统监控;弱电防雷建设;与其他各营业部可靠联接、备份。其中证券交易系统报盘数据经由本地营业部或直接通过双向卫星发往交易所。本方案建议书主要包括以下几方面的内容:1、总部局域网设计建设2、总部广域网设计建设3、总部主机系统4、数据备份系统5、信息监控系统6、弱电防雷系统7、机柜机架及布线系统设计以满足XX证券总部目前及未来业务发展和管理为设计目标,整个系统设计以总部局域网设计、数据备份系统、网络安全设计和系统冗余设计为整个系统设计的重点。1.0总体设计目标技术
6、先进性,使用技术在今后的3至5年内不落后。符合信息技术的发展方向。满足中国证券业电子化、网络化、智能化、集中式发展趋势的要求。重点建设好网络通信基础设施平台,为上层业务系统提供良好的底层支持。1.1应用系统的分析XX证券在全国有三十多家营业部,总部负有统一管理、资讯研发的责任。总部预计信息点数比较多。其总部网络涉及多个子系统:例如财务系统、交易系统、行政OA办公系统、Internet系统等。系统同时要满足OA及业务系统数据流为主的应用,网络的体系结构要能支持以OA/业务数据流的应用,系统能够实现资源共享和信息流的无阻塞通畅流转,包括文件传输,WEB访问,邮件传输,行情查询,以及内部Intran
7、et/Extranet应用等等。同时为将来的VoIP、VOD、视频会议等应用需求做好可升级的准备。因此所采用设备必须支持TCP/IP以及SPX/IPX协议,支持各种路由协议,同时支持IP Multicast、QOS、RSVP等局域网和广域网多媒体应用技术。提供足够的带宽,从而实现OA、业务数据流与多媒体应用的实现 。所以网络设备选择要能够满足企业级应用,同时主干交换机不但能够满足目前的应用,还要能够对应将来系统扩充保持一定的扩容能力,以及适当的灵活性,以便于网络扩容和增加新的功能。由于XX证券总部网络系统已经建设好,这一次是搬家并改建,网络系统需要平滑迁移,建议如下:1、保持原总部系统运行的情
8、况下,建设新总部,并将部分业务部门迁移到新总部。主要保留电脑部的主要设备在原有总部运行,如广域网接入部分,主要功能服务器等保留在原有总部,但将ISDN拨号备份部分迁移到新总部。2、新总部除电脑部外其他功能齐全,在系统稳定运行一段时间后,将电脑部的设备逐步迁移到新总部,直到所有设备都迁移到新总部,原有总部停止运行,并将广域网接入设备一次迁移到新总部。3、在系统并行运行时新总部和原有总部间建立宽带连接或高速专线连接,保证所有的业务系统正常运行,4、在广域网接入设备迁移到新总部时可以预先将电信部门的光纤接好,最终迁移时只要将光纤分配器、路由器等设备迁移到新总部,实现对营业部透明迁移。5、网上交易部分
9、,深圳、上海卫星与委托接收系统、法人清算系统等逐步迁移到新总部6、其他如信息处理系统、办公、财务的服务器一次性迁移到新总部机房。1.2网络拓扑结构需求网络拓扑结构要满足通信的要求:主要是能够满足业务和办公系统的数据通信,采用适当的网络通信技术使得网络逻辑易于收敛,并使得快速完成业务数据流的通信。网络拓扑结构要满足网络管理的要求:主要是在整个网络系统中易于管理到所有设备,结构清晰,便于扩展。网络拓扑结构要满足网络稳定性的要求:主要是在整个网络系统中尽量避免单点故障,不会因为某个设备的损坏导致整个网络瘫痪。XX证券总部网络系统应采用千兆网络主干,百兆交换到桌面。由于总部存在多个应用,所以保证各应用
10、系统稳定快速运行是完成网络设计建设的重点。XX证券公司在全国十几个省、自治区和直辖市分布有营业部,营业部所在城市分布比较分散,在部分城市有多个营业部。整个网络结构要满足分散交易、网络通信、网络管理、系统冗余等要求。网络系统对通信系统的要求主要是能够满足IP多业务网络平台系统的数据通信,采用适当的网络通信技术使得网络逻辑拓扑收敛快速,而且数据通信更快达到目的站点完成任务请求。网络系统冗余主要是从提供服务到完成服务的整个端到端实现系统级冗余,在广域网结构的冗余主要是网络设备和链路的冗余。网络拓扑结构要满足网络管理的要求在带宽许可的情况下能够管理到广域网的所有设备,或采用分布式管理所有网络设备。广域
11、网拓扑结构可以采用单点辐射状,双节点冗余连接辐射状,或者多主干节点冗余连接。第一种结构存在单点故障,中心节点失败导致整个系统的停止服务,在证券系统停止服务是非常可怕的,建议不可取;对于第二种结构主干节点使用双重节点,可以提供相互备份冗余服务,投资适中;第三种结构完美,但是投资过大,建议在初期投资建设中不采用。所以建议采用双主干节点建设XX证券IP多业务网络平台系统广域网拓扑结构,比如在北京和上海分别建立数据中心和数据备份中心,提供整个多服务平台的中心和备份中心,提供集中服务。网络系统链路冗余可以采用双链路结构,所有营业部都用专线与广东总部连接,ISDN做为备份线路,另外用一条ISDN与备份中心
12、连接。1.3计算机系统安全需求由于总部存在多个业务子系统,有些业务是相对保密并极为重要的,比如财务系统,不能因为办公网的故障(误操作、病毒、非法入侵等)而造成数据损失或篡改。因此,需要在两个子系统之间进行有效的隔离,必须保证各子系统之间的通讯是灵活、高效而又受到控制的。1.4网络管理需求网络管理的目的在于提供一种对计算机网络进行规划、设计操作运行、管理、监视、分析、控制、评估和扩展等手段。从而以合理的代价,组织和利用系统资源,提供正常、安全、可靠、有效、充分、用户友好的服务。网络管理系统应满足以下要求:1) 首先网络管理系统应具有同时支持网络监视和控制两方面的能力。网络监视功能是为了掌握当前运
13、行状态;而网络控制功能是采取措施影响网络的运行。2) 尽可能大的管理范围。不仅能管理点到点的网络通信,还应管理端到端的网络通信;不仅管理基本的网络设备,还应该管理应用层的功能。3) 尽可能小的系统开销。管理尽可能多的协议层和尽可能大的范围是以增大系统开销为代价的。应该根据实际情况对网络管理的范围和所需的系统开销进行统一、合理的分配和选择。4) 容纳不同的网络管理系统。尽可能容纳不同的网络管理功能,形成全网统一的管理和运行机制的集中式网络管理系统是十分重要的。对于XX证券网络系统的管理在后面的章节中我们将结合整个网络系统作详细讨论。第二章 设计原则我们根据以下原则来设计XX证券总部网络系统:1.
14、 实用性 在考虑整体网络设计时,尽量从经济实用的角度进行考虑。2. 先进性 设计立足先进技术,采用最新科技,以适应业务数据流传输以及多媒体信息的传输。使整个系统在国内三到五年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。使用主流网络产品保证用户投资。3. 可靠性整个网络方案选用高可靠性的网络设备,并在设计上从物理层、链路层到网络层均采用备份冗余式的设计,保证了网络的可靠性。4. 网络安全性通过使用适当的安全技术实现从应用到底层系统整体安全,使系统达到端到端的安全.保证各系统之间的安全访问5. 易于管理和维护该网络系统应该易于管理,通过网络管理工具,可以方便地监控网络运行情况
15、,对出现的问题及时解决,对网络系统进行及时的优化.另外,网络的设计应采用简单易用的网络技术,降低运行维护的费用.6. 支持多媒体 如今的网络应用越来越多的是语音,图像等多媒体应用,多媒体应用对服务质量有很高的要求.如带宽,延迟,延迟的变化等等.需要利用IP QoS,IP Multicast等技术来保证多媒体服务.7. 符合国际标准 网络设计应采用国际标准的技术和符合标准的设备,这样才便于对投资的保护.8. 可扩展性 网络设计不仅要满足当前的需求,还要为将来的扩展留有余地,保护用户投资.当系统业务扩展时可方便实现系统扩展。9. 高性能为了适应业务迅速增长的需要,设计时应考虑网络带宽,性能不仅要适
16、应现在的需要,还要满足未来几年的数据量的要求,同时要满足系统功能的扩充.10. 可管理性系统可以控制台方式方便实现对系统各资源的监控。可实现资产管理及对各种相应服务器、性能的监控。第三章 局域网3.1局域网设计拓朴结构中心选用两台CISCO Catalyst6509交换机实现骨干千兆交换,同时提供二级交换机和服务器以及其他关键设备的连接。二级交换机使用catalyst 2950系列交换机。对于总部网络系统的管理一般涉及到网络设备管理,网络用户、资源管理。网络管理建议使用CISCO WORKS 2000;网络局域网拓扑图如下:对于设备配置选择如下:1、选用两台Catalyst6509为中心交换机
17、,提供高速千兆交换,6509配置双电源,配置一块48口10/100M二级交换机连接,再配置一块16口GBIC千兆模块作为服务器和二级千兆交换机连接使用;2、6509的引擎三层交换功能为VLAN间路由使用,同时使用HSRP技术,保证任一主交换机出现问题,所有服务器和在线工作站可继续工作。3、所有的子网网关都设置在6509引擎三层模块的内置千兆端口。千兆端口配置TRUNK,同时使用CISCO子接口技术,给所有VLAN提供网关。4、使用ACL控制功能实现不同VLAN间的定向访问,如其他子网不可以访问财务子网,但财务子网可以访问行情服务器。5、其他信息点使用Catalyst2950和原有的2924交换
18、机连接,提供10/100M桌面交换,并以冗余方式和核心交换机连接。实现UPLINKFAST功能,当网络拓扑结构发生变化时实现快速切换,保证网络的可用性。6、机房使用两台Catalyst 2948G提供对10/100M速度要求比较高转换机。7、使用ACL控制功能实现不同VLAN间的定向访问,如其他子网不可以访问财务子网,但财务子网可以访问行情服务器。8、所有网络交换机连接工作站、服务器的端口使用CISCO专用主机通信优化技术实现工作站和服务器快速连接到网络。9、对网络实现夸交换机划分VLAN,VLAN间通信通过三层交换实现,同时通过ACL(2层MAC和3层访问控制)实现VLAN间访问控制。10、
19、通过使用路由器的静态ARP和MAC安全设置实现总部网络工作站的MAC地址和IP地址的邦定,禁止违法站点访问网络。3.2中心交换机产器选型根据网络系统建设的原则,从安全可靠、高性能的角度考虑我们推荐使用世界著名的网络产品CISCO产品系列。在证券行业的主交换机的选型中,根据我们在多家营业部及总部网络系统的应用和实际交换机的负载能力上主要是选择Catalyst 4000和Catalyst6500系列交换机,在较小的网络系统中可以使用Catalyst2948G-L3为核心交换机。下面是CISCO这两种系列产品的主要技术比较:产品名称Catalyst 4000 Catalyst 6500Specifi
20、cations 类型模块化模块化Gigabit Ethernet 是是100Mbps Ethernet 是是10Mbps Ethernet 是是DRAM 64 MB 64 MB to 128 MB 规格17.5 x 17.25 x 12 in 25.2 x 17.2 x 12 in. 安全特征RADIUS 是是TACACS+ 是是Kerberos 是是Access List 是是Hi Availability/Resilliency RedundantSupervisor Engine否是Redundant Power Supply 是是Spanning Tree 是是Portfast 是是U
21、plink Fast是是HSRP是是QOS/Voice/Multicast/Multimedia IGMP 是是802.1/P 是是QPM 否是QOS-Marking Classification 是是QOS- Multiqueues 是是ISL/.1Q 是是CGMP 是是交换容量Throughput 18 Mpps 150 Mpps Backplane Capacity 60 Gbps 32-256 Gbps Number of VLANs 1024 1000 多层交换Layer 4 7 否是Layer 3 是是Layer 2 是是通过以上分析我们可以归纳以下几点作详细比较:1. 系统可扩展
22、性: 4000系列与6000系列交换机均为模块化交换机,其模块插槽数、交换容量等已经可以满足系统应用;2. 4000系列交换机不支持冗余引擎,对交换机的保护没有达到企业级,但是启用双主交换机的方式可以满足要求;3. 在三层交换上,4000的三层交换能力达到8GBPS,6MPPS的能力,没有完全达到“线速”交换,而6500的三层交换能力达到150MPPS的转发能力;4. 在三层交换的安全访问控制上,4000系列产品通过4232-L3模块或supervisor III实现,实现内部千兆端口安全访问控制。而6500的三层通过引擎实现,可以实现各个端口的安全访问控制;54000系列交换机在设计定位上属
23、于配线间级交换机,而6500系列交换机属于企业(主干)级交换机;6、由于总部级网络规模不能和同等营业部网络规模相比,因为营业部网络工作站主要是无盘站,对网络带宽要求较低,而总部主要是有盘站,应用复杂,并且有盘站的各种广播包占有相当的带宽,所以总部网络核心交换机的交换机能力要远远大于营业部的交换机容量。综上所述,我们不难得出结论:对于XX证券总部这样需要划分多个业务子网,并且需要进行有效的安全访问控制的网络来说,我们建议主干交换机选用Catalyst6509交换机,其更能适合系统需求。3.3所使用的技术与作用 对于整个网络来说,潜在的故障点有以下几个方面:1、交换机引擎2、交换机电源3、子网间的
24、路由4、交换机之间的链路5、交换机的端口6、服务器的网络连接本方案中,我们针对以上潜在的故障点作了以下几方面设计,使得整个系统尽量避免了主干网络上的单点故障。1、选择中心交换机相互冗余;2、在网络中心配置两台中心交换机,一旦主交换故障,备份交换机可以立即接管所有工作(通过链路层的SPT协议以及网络层的HSRP协议)。有效的防止了单点故障点的出现;3、主干交换机双电源保护;4、HSRP(热备份路由冗余协议)保证了VLAN间路由的不间断;5、二级交换机通过两条链路分别连接到两台中心交换机,利用SPT(SPANTREE)技术实现链路及端口的冗余,同时UPLINKFAST技术实现了快速切换。6、关键业
25、务服务器的网络连接使用AFT技术实现冗余保护。3.3.1 Spanning tree 技术当下级交换机采用双链路上联到上级交换机时,标准Spanning-tree能够判断出网络的拓扑结构,并且自动将其中一条链路“阻塞”(Blocking),只使用一条链路进行网络通讯(Forwarding),以避免网络拓扑结构上的环路的形成,这条链路称为“主链路”。当主链路失效时,标准Spanning-tree有一套完整的故障诊断和恢复的方法,下图左侧部分显示出Spanning-tree故障恢复的几个过程,包括Blocking、listening、Learning和Forwarding,交换机在Listenin
26、g和Learning过程中监听和学习网络的拓扑结构,之后才能激活备份端口(Forwarding),恢复网络的传输,整个故障恢复的过程大概要持续40秒到1分钟。3.3.2 PortFast 技术SPANING-TREE PORTFAST技术使得交换机端口迅速跳过listening(侦听)和learning(学习)状态,而迅速成为forwarding(转发)状态。我们可以在交换机上将连接到服务器或工作站的端口设置为SPANINGTREE PORTFAST,这样可以减少网络生成树的时间。PORTFAST仅仅设置连接到单一端站点,否则将导致网络环路。3.3.3 UplinkFast 技术Uplink-
27、Fast是Cisco公司独有的故障链路快速诊断与恢复技术,是对标准Spanning-tree技术的加强。当配置了Uplink-Fast技术后,当主交换机的主上联链路断掉后,交换机几乎可以马上判断出网络的故障,然后立刻激活备份链路,在极短的时间内恢复网络连接,整个故障恢复的过程只需1至2秒。在SPANINGTREE拓扑结构发生变化时,Uplink Fast能够通过使用冗余连接组提供快速收敛并获得负载平衡。Uplink Fast组就是VLAN的一组设置端口,其中一个是处于Forwarding(转发)状态,其余为Blocking(阻塞)状态。一般情况下Uplink Fast端口组包括一个转发端口和一
28、些阻塞端口,用来阻止网络环路。Uplink Fast端口组提供一个可选择的端口以防止网络失败。下图表示了一个网络正常的案例,Switch A是根交换机,是通过L1和Switch B直接相连,通过L2和Switch C直接相连,Switch C和Switch B相连的端口是BLOCK状态,L2连接是活动的,L3是处于BLOCK状态。当L2连接失败时,Uplink Fast解除在Switch C 上的BLOCK端口进行转发数据,而不需要通过侦听和学习过程,交换机如上图所示,整个切换过程不超过2秒。3.3.4 FEC/GEC技术FEC/GEC称为Cisco交换机带宽聚合技术,FEC应用于快速以太网端
29、口,GEC用于千兆以太网端口。在两台Cisco交换机互连时,利用FEC/GEC技术,可以将2条或4条物理链路捆绑成为一条更高带宽的逻辑链路。应用FEC技术,我们可以得到一条全双工800M带宽的链路。而GEC技术可以使我们实现高达4G的带宽。FEC/GEC技术一方面为我们提供了一种扩展网络带宽的手段,另一方面,FEC/GEC还为连接提供了容错。平时,网络流量是被分摊到构成FEC/GEC的2条和4条物理链路上,如果其中一条链路发生故障(比如断线),该故障链路上的物理流量会立刻被重新分配到其他正常的流量上,从而达到容错的目的。FEC/GEC技术本身是由Cisco公司开发的,原来只能用于Cisco设备
30、之间的互连,但现在该技术已经被越来越多的其他物理厂商接受,如Intel公司的100M和1000M的专用服务器网卡已全面支持FEC/GEC,也就是说,如果一台服务器配置了两块或多块Intel的服务器网卡,并且连接到同一台Cisco以太网交换机,那么,可以利用FEC/GEC技术将原本独立的两条链路“聚合”成一条4G的具有容错性质的链路,以提高服务器的物理访问能力和稳定性。3.3.5 HSRP(路由热备份协议)技术CISCO HSRP提供了路由器备份功能,可以为IP 在以太网、FDDI、令牌环等局域网上提供提供路由网管保护。同时CISCO HSRP和IPX、AppleTalk、Banyan VINE
31、S等协议兼容使用。HSRP通过将一组配置为HSRP的路由器的LAN端口组成一组,同时虚拟一个路由器的LAN端口,其MAC地址是CISCO MAC池中保留的一个;HSRP通过配置优先权指定那一个HSRP配置路由器成为活动路由器,那些为STANDBY路由器。HSRP通过多目广播交换各自的优先权。当ACTIVE路由器在一定时间内没有发送信息,有着最高优先权的STANDBY路由器将成为ACTIVE路由器。路由器间转发数据包对于LAN是透明的。HSRP配置路由器交换三种多目广播信息:HELLO这个信息向其他路由器宣告自己的HSRP优先权和状态。缺省是3S发送一次。COUP当一个STANDBY路由器想取代
32、ACTIVE路由器时,发送该信息。Resign当ACTIVE路由器将宕机或其检测到一个具有更高的优先权时发送该信息。在任何情况下,HSRP配置路由器总是处于以下某一种状态:Active-该路由器执行包转发功能;Standby-假如ACTIVE路由器失败,该路由器处于准备代替ACTIVE路由器,Speaking and listening-该路由器在发送或接收HELLO信息。HSRP工作过程如下图所示:在HSRP组路由器都正常时,由ACTIVE路由器转发数据包。当ACTIVE路由器出现故障时STANDBY路由器接替工作,成为ACTIVE路由器。3.3.6 千兆以太网技术使用千兆以太网技术,使用目
33、前局域网上成熟最高网络速度。同时也是非常成熟的以太网络技术。广泛应用于金融行业各种应用。速度可达1GBPS.光纤接口可实现距离可达70KM.3.4网络安全设计说明目前的企业内部局域网普遍存在着很多安全漏洞,比如:普通办公PC可以浏览到关键业务用机(如财务);普通用户可以进入重要的数据服务器系统;外来人员用便携式电脑连入公司网络对服务器进行攻击或对数据进行窃取,等等。为了弥补这些漏洞,我们在本方案中采用以下手段,以确保关键业务部门的安全。3.4.1 通过虚拟局域网的划分加强网络安全本方案采用了按照业务划分虚拟局域网的设计思想,将各个业务子网有效的进行了隔离,各个子网间的通讯受到ACL(访问控制列
34、表)的严格控制。有效的保证了核心业务的安全。下面的示意图仅仅对财务VLAN与行情/交易VLAN进行了标识,而实际上,用户可以按照自己的需求非常灵活的根据交换机的端口划分任意VLAN。3.4.2 通过交换机设置限制站点对网络系统的访问Cisco交换机提供了MAC地址限制的功能。在特定的端口进行设置,允许固定MAC地址网卡的包通过,只要工作站网卡MAC地址未被该端口登记,这台工作站就无法在网络上工作。这种通过对交换机设置来限制工作站点的方法能够有效阻止非本公司的电脑的非法使用,保护了公司网络的安全。3.4.3 通过网络操作系统的安全管理加强网络安全由于各关键业务的数据大多是以文件形式存放于网络存储
35、设备上的,因此,要严格地限制对存放这些关键数据的权限。例如:限定特定用户在专用的时间段才能登录、访问关键数据(这些操作在NetWare系统中,可以用NWADMIN管理工具实现,在WINDOWS系统中,可以通过域用户管理来实现)。另外,网络操作系统中都提供了审记功能,你可以对关键用户,关键数据文件进行审记核查工作;通过对每个内部维护工程人员分配独自的帐户,可以清楚地记录每次关键操作。有利于提高网络的安全性。3.5 局域网设计特点使用双主干网络设计。保证主干交换机网络容错。一台主干交换机故障不会导致交易网络不能工作,也不用手工切换进行维护。保证网络可靠性。使用千兆网络保证网络交易速度与实时性。使用
36、stp 、portfast、uplinkfast实现网络故障时快速切换。保证可靠运行。使用FEC/GEC技术实现网络带宽扩展。适应证券网络不断扩展要求。3.6实验室交换机选型建议使用4006 Supervisor III交换机。使用相应的2600系列路由器实现对营业部网络测试与各种仿真。在各种网络应用及设备投入实际交易网络运行前进行测试。4006 supervisor III技术规格: 64Gbps无阻塞交换矩阵 。48Mpps第2层数据包转发率(硬件)。 48Mpps第3/4层转发率IP路由,基于Cisco快速转发(硬件)。 基于硬件的第2层、第3层、第4层交换引擎(基于ASIC)。 集中式
37、设计:没有线头阻塞 。第2层多播地址:16384 。MAC地址:32768 。VLAN:在硬件上支持4096个(将来的软件) PVST:支持 上行链路:两条1000Mbps千兆位以太网链路流量/拥塞管理: 队列个数:每个端口四个队列 缓存类型:动态每台catalyst 4006交换机配置如下:supervisor III的引擎,一块48口10/100M模块。一块6口光纤模块。路由器配置如下:CISCO 2620路由器一台。ISDN模块一个DDN模块一个。3.7 二级交换机选型二级交换机建议使用Catalyst 2950-48G/2948G交换机目前cisco已宣布将于7月停止销售3548G交换
38、机.为保证网络产品更换及保护投资.CISCO公司建议使用C2950G-48交换机或者使用C2948G交换机代替C3548交换机.2950交换机特性和关键优点:1各个端口包括千兆位端口的线速、无阻塞性能。 28.8Gbps交换结构和最大660万包/秒的传输速率,能够保证最大的吞吐量 312-或24个10BaseT/100BaseTX自适应端口,每个可为单个用户、服务器、工作组4提供最大200Mbps的带宽,完全可以支持对带宽需求苛刻的应用。 58MB共享内存结构由于使用了消除包头阻塞以及最大可能减少包丢失的设计,所6以可以在组播和广播流量很大的情况下,提供更佳的整体性能,同时保证最大可能的吞吐量
39、。 716MB的DRAM和8MB的板上闪存可以为未来升级提供便利,做到最大限度地保护用户投资。 8利用快速以太通道和千兆位以太通道技术的带宽汇集可提高容错性能,并在交换机、路由器和各服务器之间提供最大4Gbps的汇集带宽。 9每个端口使用基于802.1Q标准的VLAN主干;每个交换机带有64个VLAN,附10有64个生成树(PVST+)的实例。 11支持硬件IGMP侦听的超级组播管理能力。 2950 交换机支持QoS服务质量:1支持基于802.1p CoS值或网络管理员为每个端口指定的缺省CoS值来对数据帧进行重新分类。 2在硬件上,每个输出端口支持四个队列。 3WRR队列算法确保低优先级端口
40、不会被忽视。 4严格的优先权安排配置保证诸如语音等时间敏感的应用能够在交换结构中一直使用快速路径。 因机房信息点多达250个,建议使用二台2948G交换机联接机房的重要转换机。其他信息点可通过2950-24交换机联接。主要机房工作站联接的C2950G-48可通过光纤与主干交换机相联。其他工作站可通过100M上联与网络联接。2950-24通过5类双绞线分别与二台主干交换机相联。第四章 广域网方案4.1广域网网络拓扑结构该网络的拓扑结构分为三层结构:1、以广州为中心,也是XX证券的总部所在地;2、使用7507路由器作为主路由器,对于重要的营业管理总部可通过2M DDN线路联接至7507路由器。随着
41、业务规模的扩展,新的营业部对带宽要求更高的可接入7507路由器。3、新增一台7206路由器作为备份,对于一般的营业部或因路由器模块本身限制速度不能达到2M的链路可联接至7206路由器。4、原csico 3600路由器保留,作为ISDN/PSTN拨号线路的接入,用于DDN线路故障的备份。当7507/7200路由器故障或7500/7200至各营业部相应的通信线路故障的备份。(详见XX证券广域网冗余拓扑示意图)该种连接方式可以提供中心路由器、链路的冗余保护,整个切换有系统自动完成,不需要人工干涉,包括对关键业务如到清算中心的冗余路由路径切换。 同时在路由器配置时可采用HSRP路由冗余协议,使得路由计
42、算加快,提高收敛速度,缺省路由配置等不需要手工更改。总部配置一台新的CISCO 7206路由器,一台CISCO 7507路由器、还有一台CISCO 3640路由器。每个证券营业部通过DDN(SDH)广域网方式与总部7507路由器相联。通过FR/ DDN(带宽小于2M)方式与7206路由器相联。通过ISDN/PSTN与3640路由器相联。三种链路可相互备份。三台路由器可相互备份。充分保证广域网络系统主干可靠、连续运行。每个营业部可根据本地实际情况选2或3条链联上联至总部。当一条链路故障时可自动切换至另一个链路。当然多条线路根据需要可以进行负载均衡。按应用类别不同可使用不同带宽的广域网的线路。使用
43、FR比ISDN可获取更大带宽,保证分部与总部网络系统数据交换速度。广域网设计主要特点:充分使用原网络主干路由器,保护原用户的投入。高性能主干路由器保证网络系统路由数据速度。三条链路容错保证网络系统主干可靠。既保证主干网络系统可靠性,可扩展性好,可适应将来发展。使用CiscoWorks 2000对网络系统进行管理。新加设备的主要配置如下:Product # Description Quantity C7206VXR/400/2FE7206VXR with NPE-400 and I/O Controller with 2 FE/E Ports将原7507路由器上PA模块移入7206路由器。在75
44、07上配置2M的CE1模块。实现7507路由器联接主要大型管理总部或对带宽要求较高的营业部。使用7206路由器实现FR/DDN接入。4.2 所用技术与应用使用技术主要有:IP通信技术、EIGRP、OSPF、QOS、线路备份。IP通信技术是广域网上使用最广泛的第三层通信协议。带宽与开销小。国际互联网上使用都是IP应用。使用适应性好的路由协议如OSPF、EIGRP等链路状态路由协议。对网络链路故障进行快速定位。使用EIGRP可以实现不同链路之间的负载均衡。使用OSPF可实现网络层次管理及负载均衡。在QOS方面,可以使用排队技术、带宽预留技术、队列整形、优先级技术对不同类应用给予不同级别与带宽。实现总部与营业部之间数据传送的优先级。排队技术很多如:FIFO、公平队列、优先队列、CUSTOM队列等。排队技术主要功能为不同数据、接口、大小、协议、端口进行分类,放入不同发送队列按一定算法进行发送的技术。带宽预留技术为相应的应用预定一定带宽。保证应用响应速度。队列整形技术是为相应PVC、应用的数据限制一定带宽。以免一些应用占用过多广域网带宽。线路备份方面主要有DDR、HSRP、路由协议内置特性实现。HSRP(HOT stand