来源:中国电子政务网 更新时间:2012-04-15
引言
证券业务在我国的开展时日已久,并随着时间的推移日渐繁荣。证券市场在建设之 初,存在营业场地小、投资者人数多、下单速度慢、人工委托容易出差错等一系列瓶颈问题,如何从技术上进行有效突破成为当务之急。早期能够解决这一问题最有效的手段是电话委托方式,然而在行情火爆时,电话打不进去、不能成交的现象时常存在。此外,证券业在繁荣的同时也必然会引入一些新的业务模式,股民们已不仅仅满足于某一笔交易的完成,还希望以更方便的方式获得实时行情、证券资讯,听取投资分析、问题解答……证券公司无疑也期望籍此提高股民的满意度,在日趋激烈的市场竞争中处于领先地位。而这些需求都是传统手段所无法满足的。
网络技术的日新月异为证券服务的尴尬处境带来新的契机--到今天,网络已逐渐进入到千家万户,改变着人们的工作、生活、学习模式,使信息的交流跨越了时间和空间的束缚。利用新一代信息技术改造原有证券服务模式,进而拓展增值应用,已经成为证券行业发展的潮流。不过,这一切都必须依赖可靠、安全、高效、可管理的网络。证券行业的信息网建设包括多个层面,主要有营业部网络、企业内部网Intranet以及网上交易系统 等。
营业部网络实现了面向用户的各种业务流程的电子化,提供了传统证券业务的各种职能。它能够为用户提供行情公告和委托下单服务,并可以进行交易清算。同时,这种网络可以将营业部的各项数据实现数字化管理,并通过共享方式做到准确及时的交流。营业部网络的建设可以起到立竿见影的效果,迅速提高证券企业的市场竞争力。
随着竞争越来越激烈,各证券公司都在全国范围的广域环境中组建企业自身的Intranet,并借助它实现办公自动化、电子邮件通信、资金管控、财务管理。Intranet能够从根本上优化证券公司内部业务处理流程,利用流畅的信息传递和共享实现资源的最佳配置。它实现了企业内部、企业与客户之间的信息资源高效、快捷的交流和共享,极大地提高了工作效率,减轻了工作量。此外,这部分功能体系体现了证券公司的增值能力,为扩展市场影响力、开拓新的业务范围打下了坚实的基础。
在营业部网络和企业Intranet建成的基础上,证券公司还可以开展更深层次的服务,这就是网上交易。国外的网上交易服务已有不少成功的案例,如全球最大的在线证券商嘉信理财,拥有超过1百万的网络用户,有50%的交易通过网络来实现,总交易额超过700亿美元。国内的网上交易也蓬勃兴起:我国最早开展网上交易的证券商是中国华融信托投资公司湛江营业部,该部于1997年3月推出多媒体公众信息网网上交易系统,象征着中国证券网上交易的开始。目前,国内已有200多家证券经营机构开展了网上委托业务,通过网上委托系统完成的交易量占整个市场的3%左右。
由此可以看出,计算机网络系统在证券业务运营中的作用和扮演的角色越来越重要,依靠先进的技术和拥有可靠、安全、快速的计算机网络平台,不但极大地方便了现有投资者,而且会赢来得了众多的新投资者,极大地推动了我国证券市场的发展,它的优越性在以下几方面有明显体现:
1.网络应用集实时行情、技术分析、证券资讯、电子交易于一身,有利于改善服务质量,提高股民满意度;
2.全国一体化,降低企业成本和风险--大规模证券公司往往在全国各地开展联 营,通过网络可实现各营业点资源共享,信息同步,同时也简化了办公管理流程,从而降低成本;
3.改变工作模式,开展新业务--网上交易方便快捷,减少了日常营业费用,易于扩展客户群,同时也便于逐步开展一些新兴业务如多媒体股评、视频点播等,吸引更多的用户加盟;
4.提高市场竞争力--高效的网络应用降低了证券公司的运营成本,扩大了用户 群,势必会提高证券商实力,在市场竞争中处于不败之地。
实践证明,只要拥有一个可靠、安全、高效、可管理的系统,证券商在计算机网络建设上的投资总会得到良好的回报。通威公司以其卓越的技术技能、丰富的产品线和完善的售后服务体系为保障,能够为证券公司提供完善的网络解决方案。
证券行业的网络应用主要分为两大方面:营业部网络和证券公司广域网。前者实现了各营业部的基本工作职能,侧重于局域网建设;后者则满足了大型跨地域证券公司的网络互连需求和增值服务的实现。为此,通威公司针对两类应用的特点分别提出了相应的解决方案。
营业部网络
营业部网络的功能由以下几部分组成:
1、交易/行情业务处理
这是每一个证券营业部网络所要提供的基本职能。它需要为用户提供行情公告和委托下单服务,一般基于Novell网络操作系统应用程序;同时还要具有交易清算的功能,这一般在Windows NT或UNIX环境下完成。交易/行情业务数据以文字为主,仅带有少量图形信息,但数据量大,更新频繁,其网络传递能力代表了证券营业部的服务质量和市场竞争 力,因此为这项主业务作支撑的网络要求具有很高的可靠性、数据传输速率和安全性。根据各营业部规模不同,网络环境大多采用100/1000M交换以太网作主干,10/100M 交换以太网到桌面的连接方式。
2、办公管理
除业务处理外,办公管理现代化也是行业发展的必然趋势,它可将营业部的各项管理数据作电子存档,通过网络共享,做到准确、及时、方便的信息交流,这部分数据以文字和图形为主,一般采用界面友好的浏览器形式操作。相对主业务数据而言,办公管理对网络实时性要求不高,主要强调系统的安全可靠、稳定和经济性。为此网络采用100M交换以太网主干,10M交换到桌面的连接方式就足以满足需求了。
3、通信服务
通信服务的内容涉及多个方面。这主要包括:发展证券公司内部Intranet,以WEB、电子邮件等方式加强办公管理;进一步与当地信息港、互联网连通,实现资源共享,同时扩展市场影响力;增加本地拨入服务,建立远程大户室,从而开拓新的业务范围等。这部分功能体现了证券公司的增值能力,其应用特点为灵活、多样,并且往往要借助于广域网链路来实现,要求系统可靠、扩展能力强,广域网链路经济,而互联网的接入则对网络的安全性提出考验。为此可采用防火墙和认证软件来保证系统的安全可靠,采用模块化设计的网络设备保证系统的扩充能力,并采用优化的带宽管理、多种链路技术、高速缓存等来保证广域网链路的经济性。
证券营业部网络的各项功能并非是各自独立的,而是相辅相成,并最终在一个统一的网络架构中实现。综上所述,这个网络的主体要求是:
可靠,不停机--系统有一定的冗余和备份,故障恢复迅速;
高速--在用户数据较多、突发流量大的情况下,不容许出现网络瓶颈,阻碍正常交易;
安全--鉴于网络中传递的信息就是金钱,一定要保证数据安全保密,防止不良分子破坏,尤其在互联网接入、危机四伏的情况下,网络安全更要引起重视;
可管理性--为保证系统良好的运行,满足前述几项要求,营业部网络也需要实施完善的管理,如精确分析网络流量、确定系统运行状态,监控非法用户入侵等。
结合上述网络要求,并针对不同的营业部规模和各自应用特点,通威公司提出了以下多种解决方案。
(1)500节点以下证券营业部解决方案
这是针对相对小型的证券营业部提出的解决方案,方案特点如下。
系统全套备份,主干交换机的全冗余配置,每个工作站到每台服务器都有多条连接链路,并采用快速以太网通道化、快速上联恢复和快速端口恢复等技术充分确保网络的可靠性。
高性能全交换,利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽,满足大负荷网络运行需求;
系统安全,保密性高,交换机端口安全设置技术保证了局域网环境的安全,而IOS操作系统集成防火墙功能构成了广域连接安全屏障;
管理简单,可在用户熟悉的浏览器界面下,对系统的交换机实施配置和监控。管理人员也无需专门培训。
A、百兆主干方案
根据经济承受能力的不同,对500节点以下的营业部解决方案可以有百兆主干和千兆主干两种方式,百兆主干方案拓扑结构如下
由下图可看出,该方案网络设备组成为(斜杠表示可互换设备)
Catalyst 3524/2948G交换机 两台
Catalyst 2924/3524/3548交换机 十台
思科公司的Catalyst 3524或Catalyst 2948G交换机是这一网络的核心设备,Catalyst 3524提供了24个10/100M自适应的快速以太网端口和两上千兆以太网端口,Catalyst 2948G则具有48个10/100M快速以太网端口和两个千兆以太网端口,可分别用于对工作站数量有不同要求的应用,由图1可看出,两台Catalyst 3524/2948G各自利用两个百兆端口通过Cisco FEC(快速以太网通道,Fast Ethernet Channel)接成高达400M的无阻塞通道,成为该网络的主干;每台Catalyst 3524/2948G又分别和十台二级交换机Catalyst 2924/3524/3548级联,共可为220-460个10M或100M用户工作站提供网络接 入;同时,为保证交易服务器和行情服务器的高数据传输率,主干交换机Catalyst 3524/2948G又以100M甚至1000M带宽分别与各台服务器相连,使下级工作站的大量访问数据得以畅通无阻。
为实现前文所述的营业部网络的第三项功能--通信服务,方案中还引入了思科公司的路由器Cisco 2600,这是一款功能灵活、得以广泛应用的中档路由器,除了有固定的10M或10/100M局域网端口外,还具备一个NM网络插槽和两个WIC广域网接口插槽,所选模块可以有多种组合:如NM-8AM模块可为远程大户同时建立八条115.2K的电话拨号连接;WIC-IT可通过DDN专线或帧中继接入Internet或公司总部;WIC-IB则可提供一条ISDN拨号链路……营业部可根据自身需求选择适合的Cisco 2600型号和相应模块,空余的插槽可为以后网络升级留出空间。
除了硬件选配的灵活多样外,Cisco 2600在操作系统软件性能上也可以有丰富的功能选择。图1中所示的路由器后方带有一个红色砖墙标志,它表示该路由器兼任了防火墙--这是通过操作系统升级而具备的增强功能,它使路由器在承担远程连接的同时实施数据包检验和过滤,防止非法用户侵入到内部局域网中。
考虑到远程大户室的发展趋势,在每套解决方案中都用到了800/1700路由器来引入远程大户连接,这套方案中用到了思科公司的低端路由器Cisco 800/1700,它提供了对内的10/100M局域网接口和对外的128K的ISDN或专线连接,通过专用线路实现远程交易或浏览等应用。ISDN是国内已广泛应用的一种拨号技术,按连接时间计费,费用比普通电话线稍高,但带宽能达到普通电话线的3-4倍,且传输稳定,连接迅速。
思科公司产品系统的中、低端路由器都可以通过操作系统升级具备防火墙性能,在承担远程连接的同时实施数据包检验和过滤,防止非法用户入侵到内部局域网中。对连接到广域网的用户来说,安全性是网络设计中不可忽视的一项重要因素。
这种局域网设计的最大特点是高效率、高可靠性、高安全性和高可管理性;并且成本较低,网络结构易于搭建和管理,兼顾了证券营业部的多方面应用。高效率体现在FEC技术的使用、网络的分层结构和带宽的合理分配上。FEC技术是链路带宽扩容的一条重要途径。它可在100M或1000M以太网端口间实现,用于将多条并行链路的带宽叠加起来。这项技术能够把2-4组高速端口之间的连接带宽聚合在一起,在全双工工作模式下达到400M-800M的带宽,这样多条链路被用作单条高速数据通道,避免了回路的形成。以太网通道技术也体现了产品的可扩充性能,能充分利用现有设备实现高速数据传递。
高可靠性则由两台主干交换机的全冗余充分表现出来:从每个工作站到每台服务器都有多条连接链路,这样即使其中一条链路断线或一个主干交换机发生故障,都能在用户觉察不到的极短时间内启用备份恢复数据传递,从而保证了系统稳定可靠的运行。思科交换机所支持的几种容错技术,如FEC、Uplink-Fast(快速上联恢复)和Port-Fast(快速端口恢复)技术能够充分确保网络的可靠性。FEC技术的引入在实现带宽扩充的同时,多条链路被用作单条高速数据通道,避免了回路的形成,另外通道中部分线路的故障不影响其它线路的带宽聚合,从而也保障了网络的可靠性。快速上联恢复是用在交换机间级联链路上的一项技术。它使备份端口直接由阻塞进入到转发状态,从而使网络收敛时间从40秒大大缩短至5秒以内。快速端口恢复技术应用在直接连接工作站或服务器的交换机端口上,它与快速上联恢复的工作原理类似,将转换延迟从40秒缩短至2秒以内,这样在交换机上接入新的工作站,或改变某工作站的所接端口时,该站点能很快进入工作状态。
系统的安全性包含了局域网的安全性和广域网的安全性。思科局域网交换机能够进行端口安全的设置,交换机端口所连的各个工作站/服务器都有自己唯一的MAC地址,为此对应交换机的每端口都有一下MAC地址表。网络管理员可手动地在表中加入特定的MAC和端口的对应关系,将设备与端口绑定,防止假冒身份的非法用户通过网络中其它交换机接入;此外,端口安全机制还体现在对每端口所支持MAC地址数的限定上。在广域网方面,思科公司路由器的操作系统IOS能够集成防火墙功能。这使路由器在完成路由和远程连接功能的同时充当安全屏障--防火墙的角色,对规模较小的证券营业部,IOS防火墙不失为一种经济的选择。
此外,系统的管理相对简单,可以采用Cisco交换机视像管理器(CVSM),它是一套基于WEB的免费配置管理软件,可在用户熟悉的浏览器界面下对思科交换机系列产品实施配置和监控。CVSM避免了对交换机操作系统语言的直接介入,而以更为友好的图形界面取而代之。用户只需在交换机上只需事先设定好IP地址,就可以通过CVSM轻松地去访问和管理它;所有操作一次性完成,不需随时监控。
B、千兆主干方案
在同一网络规模下,若证券公司对网络主干有更高的要求,可通过更换前套方案中的主干交换机将其提升为千兆主干网络,拓朴结构如下:
图中网络设备组成为:[见图]
Catalyst4003交换机 两台
Catalyst2924/3524/3548交换机 十台
Cisco 2600路由器 一台
该方案与前方案结构大致相同,只是核心交换机由原来的Catalyst 3524/2948G升级为Catalyst 4003,它具备三个接口插槽,可选择的以太网端口从带宽上和密度上都比Catalyst 3524/2948G有较大提高。这里共选配了8个千兆端口和32个百兆端口,从而可以将两台主干间的百兆FEC通道提升为千兆GEC通道,接成高达4G的主干带宽;同时也可为更多的行情/交易服务器或数据量较大的二级交换机提供千兆连接。千兆以太网通道化技术与快速以太网通道化技术类似,它可将2-4组千兆端口之间的连接带宽聚合在一起,在全双工工作模式下达到4-8G的带宽,这样多条链路被用作单条高速数据通道,在提高传输效率的同时避免了回路的形成,通道中部分线路的故障不影响其它线路的带宽聚合,从而也提高了网络的可靠性。
(2)500-1000节点证券营业部解决方案
能支持500-1000节点的证券营业部属中型规模,它的网络建设同样需要满足营业部网络的特定要求,并且相对500节点以下的网络还应具有更高的数据吞吐能力,此类系统的主要特点如下:
系统全套备份,稳定可靠,独特的堆叠技术能够在网络中构造冗余,在堆叠之外每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接,保障系统运行的可靠性;利用HSRP技术,可以实现两个主干交换机在第三层上的热备份功能;
高性能全交换,千兆主干,并采用千兆以太网通道化技术扩充带宽,能满足大负荷网络运行需求;第三层交换技术,能够使两个网段在进行数据交换时,可以根据不同的应用有选择的进行,提高了带宽资源的利用率。VLAN技术的引入也使得系统资源能够被更有效地利用,结合HSRP(热备份路由协议)技术、PVST(每个VLAN单独计算Spanning Tree)技 术,使每个二级交换机上的两条联链路同时处于传输状态,各自分担一部分VLAN的数据传输,充分利用带宽。
系统安全,保密性高,采用先进的虚拟局域网技术,它依靠用户逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成,从而提高了系统的安全性。
可选用功能相对强大的专业网管系统,使网络管理从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面,管理界面友好,使用灵活方便。
通威公司针对这种规模的网络提供的方案拓扑结构如下:
图中网络设备组成如下图:
Catalyst 4006/6506交换机 两台
Catalyst 2948G/2980G交换机 若干
Catalyst 3524/3548交换机 若干
Cisco 2600路由器 一台
由图可看出,这套方案仍为双主干互备份,级联多个二级交换机的结构。但为支持更多用户数和更多大的数据传输量,各级设备都相应升级:主干交换机采用两台Catalyst 4006(6个接口插槽,带第三层交换模块)或Catalyst 6506(6个接口插槽,带第三层交换模块MSFC),以GEC技术构造8G高速主干,足以负担沉重的数据传输量;二级交换机可采用Catalyst 2948G/2980G,同时与两主干交换机作千兆上联,并为工作站提供48/80个 10/100M接入端口;若某些二级网点要求的用户数更多,则可采用多台Catalyst 3524/3548堆叠--思科公司的Catalyst3500交换机具有独特的GigaStack堆叠技术,采用价格低廉的铜缆以菊花链方式构成1G的堆叠总线,每堆叠最多可支持九台Catalyst 3524/3548,提供多达300多个10/100M工作站接入端口。
该方案充分考虑到系统的高可靠性、高安全性、高速率和可管理性。
在可靠性方面,思科的GigaStack堆叠技术,使首尾两台交换机的额外连线将整个总线结成回路,其目的是在堆叠内构造冗余,这样即使堆叠中任一连接出现故障,都能继续传递数据;在堆叠之外,每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接,保障系统运行的可靠性。
该方案采用了虚拟局域网(VLAN)技术来充分保证系统的安全性。随着用户的增多,整个营业部局域网内数据流通量增大,并且行情、交易、办公管理的数据混杂,不利于网络性能的提高和安全隔离,这使得VLAN的应用成为必要。VLAN依靠用户的逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的MAC地址等。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成。划分VLAN具备以下好处:提高安全性、隔离第二层的广播信息提高带宽利用率、增强网络应用灵活性。当然,不同部门(VLAN)之间有时也需要进行数据交换,为此需要借助主干交换机第三层交换的功能,这是由交换机的第三层交换模块来实现。它支持多种路由协议(如RIP,PIP v2,OSPF,EIGRP等),也支持访问控制列表(access list)。
主干交换机采用千兆高速技术和GEC技术,足以负担沉重的数据传输量;二级交换机的处理能力也非常强大,同时与两主干交换机作千兆上联。思科的HSRP(热备份路由协议)技术,能够使两个主干交换机在第三层(即VLAN之间的数据传输)互为热备份;同时在二级交换机上,利用PVST技术针对两条千兆上联链路为每个VLAN设定不同优先级,使到两条千兆上联链路都负担部分流量,做到负载分担,充分利用带宽资源。
该方案可以选用功能相对强大的专业网管系统如Cisco Works Windows。它的功能已从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面:如定性或定量的分析网络各项参数;基于SNMP全面管理网络中多种设备,以照片方式显示设备直观视图;通过简单的点击配置设备端口和各项参数;通过不同色彩和多种图表显示各种工作状态等。这是一套基于Windows的网络管理软件,可安装在Windows 95/98或Windows NT平台上,界面友好,使用灵活方便。
此外,数据处理能力的增强使得证券营业部有可能开展更多的服务项目,如图形信息量较大、对网络带宽和传输质量要求较高的多媒体股评、视频点播等。
(3)1000节点以上证券营业部解决方案
对于更大规模的证券营业部,通威公司又推出第三套建议方案,方案特点如下:
系统全套备份,稳定可靠;
高性能全交换,千兆主干,满足大负荷网络运行需求;交换机具备极高的交换能力和端口密度,并通过第三层交换提高了系统性能。
系统安全,保密性高,在VLAN、交换机端口安全机制等基础上,高性能的交换机具有对第三层路由模块的支持能力,可以对VLAN间数据交换起到更好的支持作用
网络管理采用深入全面的工具,可运行于Windows NT或多种UNIX平台,功能十分强大,可对VLAN和ATM实施管理,支持的用户数更多,适用于大型网络。
相对中、小规模的证券营业部,大型营业部的业务模式基本没有太多变化,因此网络方案特点同于前方案,但用户数进一步增加对网络容量所带来的更高要求使本方案所用设备再次升级,具体拓扑结构如下:
图中网络设备组成为:
Catalyst6509交换机 两台
Catalyst 2948G/2980G交换机 若干
Catalyst 3524/3548交换机 若干
Cisco 2600路由器 一台
大规模证券营业部所采用的二级交换机仍为Catalyst 2948G/2980G或Catalyst 3524/3548堆叠,每个网点可最多为数百个用户提供连接;但由于二级网点数量的增加,对主干设备性能则提出了更高要求,为此主干交换机升级为两台Catalyst 6509,这是思科公司性能卓越的高端局域网产品之一,具备极高的交换能力和端口密度,有Catalyst 6506/6509两种不同插槽数的型号可供选择,最多可支持上百个千兆以太网端口,能充分满足网络互联的需求。
除端口密度增加外,Catalyst 6500性能的提升还体现在其第三层功能上:首先,Catalyst 6500支持专有的第三层交换模块MSFC(多层交换特性卡),不需借助外接的路由器就可实现路由;其次,MSFC直接附在交换引擎上,无需占用一个槽位;再次MSFC支持多层交换,可以提供。
另外Catalyst 6500支持双交换引擎、双电源冗余备份,体现其极高的可靠性。
Catalyst 6500系列满足了可扩展性和高的性能/价格比的需求,支持宽广的端口密 度、性能及高可用的选择,并提供智能化、服务质量(QoS)和安全的机制。客户可以更加有效的增强网络的客户服务如组播和ERP的应用而不须考虑网络性能的严重衰减。与PFC(策略特性卡,和MSFC一样附在交换引擎上)一起,可基于第二、三、四层的信息如用户、IP地址或不同的应用而实现网络的策略管理,或得很好的服务质量(QoS)。
该方案对于可靠性、运行速度、安全性、可管理性都予以充分的考虑。
整个系统采用的全套备份的体系,具备很高的可靠性,而Catalyst 6500所具备的热备份路由功能(HSRP)更是提高了这一性能。
除了前几种方案所述的VLAN、交换机端口安全机制等技术之外,该方案中Catalyst 6500对第三层路由模块的支持能力,可以对VLAN间数据交流尤其起到了更好的支持,从而提高了系统的安全性。
在网络运行速度方面,这一方案的配置相比而言更为高档,数据处理能力极强。此外,Catalyst 6500既保留了传统的第二层交换在各端口间传递数据时的高线速,又集成了原来在第三层路由中才有的完善的控制功能如路由、审计、广播隔离等,大大提高数据处理能力。
在管理方面,该方案可以选用Cisco Works 2000这类管理深入全面的工具,它可运行于Windows NT或多种UNIX平台,功能十分强大,可对VLAN和ATM实施管理,支持的用户数也更多,适用于大型网络。
该方案还具有对多媒体信息处理的强大能力,这主要通过增强的数据处理能力、完善的QoS机制和优化的视频数据传输方案IP/TV等来实现的。值得一提的是,QoS不仅能够充分利用带宽资源,更可充分保证关键应用。QoS系统能对网上的数据流应用类别进行判定,并在IP包头其优先级。然后,在应用识别基础上,对数据流量进行调度。思科的加权式公平队列(WFQ)、加权随机早期探测(WRED)等技术,可以精确处理带宽流量,从而使系统资源利用更为有效,保证各类多媒体信息可以流畅地在网络中传送。