来源:cbinews 更新时间:2012-04-15
引言 证券业务在我国的开展时日已久,并随着时间的推移日渐繁荣。证券市场在建设之 初,存在营业场地小、投资者人数多、下单速度慢、人工委托容易出差错等一系列瓶颈问题,如何从技术上进行有效突破成为当务之急。早期能够解决这一问题最有效的手段是电话委托方式,然而在行情火爆时,电话打不进去、不能成交的现象时常存在。此外,证券业在繁荣的同时也必然会引入一些新的业务模式,股民们已不仅仅满足于某一笔交易的完成,还希望以更方便的方式获得实时行情、证券资讯,听取投资分析、问题解答……证券公司无疑也期望籍此提高股民的满意度,在日趋激烈的市场竞争中处于领先地位。而这些需求都是传统手段所无法满足的。
网络技术的日新月异为证券服务的尴尬处境带来新的契机--到今天,网络已逐渐进入到千家万户,改变着人们的工作、生活、学习模式,使信息的交流跨越了时间和空间的束缚。利用新一代信息技术改造原有证券服务模式,进而拓展增值应用,已经成为证券行业发展的潮流。不过,这一切都必须依赖可靠、安全、高效、可管理的网络。证券行业的信息网建设包括多个层面,主要有营业部网络、企业内部网Intranet以及网上交易系统 等。
营业部网络实现了面向用户的各种业务流程的电子化,提供了传统证券业务的各种职能。它能够为用户提供行情公告和委托下单服务,并可以进行交易清算。同时,这种网络可以将营业部的各项数据实现数字化管理,并通过共享方式做到准确及时的交流。营业部网络的建设可以起到立竿见影的效果,迅速提高证券企业的市场竞争力。
随着竞争越来越激烈,各证券公司都在全国范围的广域环境中组建企业自身的Intranet,并借助它实现办公自动化、电子邮件通信、资金管控、财务管理。Intranet能够从根本上优化证券公司内部业务处理流程,利用流畅的信息传递和共享实现资源的最佳配置。它实现了企业内部、企业与客户之间的信息资源高效、快捷的交流和共享,极大地提高了工作效率,减轻了工作量。此外,这部分功能体系体现了证券公司的增值能力,为扩展市场影响力、开拓新的业务范围打下了坚实的基础。
在营业部网络和企业Intranet建成的基础上,证券公司还可以开展更深层次的服务,这就是网上交易。国外的网上交易服务已有不少成功的案例,如全球最大的在线证券商嘉信理财,拥有超过1百万的网络用户,有50%的交易通过网络来实现,总交易额超过700亿美元。国内的网上交易也蓬勃兴起:我国最早开展网上交易的证券商是中国华融信托投资公司湛江营业部,该部于1997年3月推出多媒体公众信息网网上交易系统,象征着中国证券网上交易的开始。目前,国内已有200多家证券经营机构开展了网上委托业务,通过网上委托系统完成的交易量占整个市场的3%左右。
由此可以看出,计算机网络系统在证券业务运营中的作用和扮演的角色越来越重要,依靠先进的技术和拥有可靠、安全、快速的计算机网络平台,不但极大地方便了现有投资者,而且会赢来得了众多的新投资者,极大地推动了我国证券市场的发展,它的优越性在以下几方面有明显体现:
网络应用集实时行情、技术分析、证券资讯、电子交易于一身,有利于改善服务质量,提高股民满意度;
全国一体化,降低企业成本和风险--大规模证券公司往往在全国各地开展联 营,通过网络可实现各营业点资源共享,信息同步,同时也简化了办公管理流程,从而降低成本;
改变工作模式,开展新业务--网上交易方便快捷,减少了日常营业费用,易于扩展客户群,同时也便于逐步开展一些新兴业务如多媒体股评、视频点播等,吸引更多的用户加盟;
提高市场竞争力--高效的网络应用降低了证券公司的运营成本,扩大了用户 群,势必会提高证券商实力,在市场竞争中处于不败之地。
实践证明,只要拥有一个可靠、安全、高效、可管理的系统,证券商在计算机网络建设上的投资总会得到良好的回报。通威公司以其卓越的技术技能、丰富的产品线和完善的售后服务体系为保障,能够为证券公司提供完善的网络解决方案。
证券行业的网络应用主要分为两大方面:营业部网络和证券公司广域网。前者实现了各营业部的基本工作职能,侧重于局域网建设;后者则满足了大型跨地域证券公司的网络互连需求和增值服务的实现。为此,通威公司针对两类应用的特点分别提出了相应的解决方案。
1、营业部网络
营业部网络的功能由以下几部分组成:
1、交易/行情业务处理
这是每一个证券营业部网络所要提供的基本职能。它需要为用户提供行情公告和委托下单服务,一般基于Novell网络操作系统应用程序;同时还要具有交易清算的功能,这一般在Windows NT或UNIX环境下完成。交易/行情业务数据以文字为主,仅带有少量图形信息,但数据量大,更新频繁,其网络传递能力代表了证券营业部的服务质量和市场竞争 力,因此为这项主业务作支撑的网络要求具有很高的可靠性、数据传输速率和安全性。根据各营业部规模不同,网络环境大多采用100/1000M交换以太网作主干,10/100M 交换以太网到桌面的连接方式。
2、办公管理
除业务处理外,办公管理现代化也是行业发展的必然趋势,它可将营业部的各项管理数据作电子存档,通过网络共享,做到准确、及时、方便的信息交流,这部分数据以文字和图形为主,一般采用界面友好的浏览器形式操作。相对主业务数据而言,办公管理对网络实时性要求不高,主要强调系统的安全可靠、稳定和经济性。为此网络采用100M交换以太网主干,10M交换到桌面的连接方式就足以满足需求了。
3、通信服务
通信服务的内容涉及多个方面。这主要包括:发展证券公司内部Intranet,以WEB、电子邮件等方式加强办公管理;进一步与当地信息港、互联网连通,实现资源共享,同时扩展市场影响力;增加本地拨入服务,建立远程大户室,从而开拓新的业务范围等。这部分功能体现了证券公司的增值能力,其应用特点为灵活、多样,并且往往要借助于广域网链路来实现,要求系统可靠、扩展能力强,广域网链路经济,而互联网的接入则对网络的安全性提出考验。为此可采用防火墙和认证软件来保证系统的安全可靠,采用模块化设计的网络设备保证系统的扩充能力,并采用优化的带宽管理、多种链路技术、高速缓存等来保证广域网链路的经济性。
证券营业部网络的各项功能并非是各自独立的,而是相辅相成,并最终在一个统一的网络架构中实现。综上所述,这个网络的主体要求是:
可靠,不停机--系统有一定的冗余和备份,故障恢复迅速;
高速--在用户数据较多、突发流量大的情况下,不容许出现网络瓶颈,阻碍正常交易;
安全--鉴于网络中传递的信息就是金钱,一定要保证数据安全保密,防止不良分子破坏,尤其在互联网接入、危机四伏的情况下,网络安全更要引起重视;
可管理性--为保证系统良好的运行,满足前述几项要求,营业部网络也需要实施完善的管理,如精确分析网络流量、确定系统运行状态,监控非法用户入侵等。
结合上述网络要求,并针对不同的营业部规模和各自应用特点,通威公司提出了以下多种解决方案。
(1)500节点以下证券营业部解决方案
这是针对相对小型的证券营业部提出的解决方案,方案特点如下。
系统全套备份,主干交换机的全冗余配置,每个工作站到每台服务器都有多条连接链路,并采用快速以太网通道化、快速上联恢复和快速端口恢复等技术充分确保网络的可靠性。
高性能全交换,利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽,满足大负荷网络运行需求;
系统安全,保密性高,交换机端口安全设置技术保证了局域网环境的安全,而IOS操作系统集成防火墙功能构成了广域连接安全屏障;
管理简单,可在用户熟悉的浏览器界面下,对系统的交换机实施配置和监控。管理人员也无需专门培训。
A、百兆主干方案
根据经济承受能力的不同,对500节点以下的营业部解决方案可以有百兆主干和千兆主干两种方式,百兆主干方案拓扑结构如下
由下图可看出,该方案网络设备组成为(斜杠表示可互换设备)
Catalyst 3524/2948G交换机 两台
Catalyst 2924/3524/3548交换机 十台
Cisco 2600路由器 一台
思科公司的Catalyst 3524或Catalyst 2948G交换机是这一网络的核心设备,Catalyst 3524提供了24个10/100M自适应的快速以太网端口和两上千兆以太网端口,Catalyst 2948G则具有48个10/100M快速以太网端口和两个千兆以太网端口,可分别用于对工作站数量有不同要求的应用,由图1可看出,两台Catalyst 3524/2948G各自利用两个百兆端口通过Cisco FEC(快速以太网通道,Fast Ethernet Channel)接成高达400M的无阻塞通道,成为该网络的主干;每台Catalyst 3524/2948G又分别和十台二级交换机Catalyst 2924/3524/3548级联,共可为220-460个10M或100M用户工作站提供网络接 入;同时,为保证交易服务器和行情服务器的高数据传输率,主干交换机Catalyst 3524/2948G又以100M甚至1000M带宽分别与各台服务器相连,使下级工作站的大量访问数据得以畅通无阻。
为实现前文所述的营业部网络的第三项功能--通信服务,方案中还引入了思科公司的路由器Cisco 2600,这是一款功能灵活、得以广泛应用的中档路由器,除了有固定的10M或10/100M局域网端口外,还具备一个NM网络插槽和两个WIC广域网接口插槽,所选模块可以有多种组合:如NM-8AM模块可为远程大户同时建立八条115.2K的电话拨号连接;WIC-IT可通过DDN专线或帧中继接入Internet或公司总部;WIC-IB则可提供一条ISDN拨号链路……营业部可根据自身需求选择适合的Cisco 2600型号和相应模块,空余的插槽可为以后网络升级留出空间。
除了硬件选配的灵活多样外,Cisco 2600在操作系统软件性能上也可以有丰富的功能选择。图1中所示的路由器后方带有一个红色砖墙标志,它表示该路由器兼任了防火墙--这是通过操作系统升级而具备的增强功能,它使路由器在承担远程连接的同时实施数据包检验和过滤,防止非法用户侵入到内部局域网中。
考虑到远程大户室的发展趋势,在每套解决方案中都用到了800/1700路由器来引入远程大户连接,这套方案中用到了思科公司的低端路由器Cisco 800/1700,它提供了对内的10/100M局域网接口和对外的128K的ISDN或专线连接,通过专用线路实现远程交易或浏览等应用。ISDN是国内已广泛应用的一种拨号技术,按连接时间计费,费用比普通电话线稍高,但带宽能达到普通电话线的3-4倍,且传输稳定,连接迅速。
思科公司产品系统的中、低端路由器都可以通过操作系统升级具备防火墙性能,在承担远程连接的同时实施数据包检验和过滤,防止非法用户入侵到内部局域网中。对连接到广域网的用户来说,安全性是网络设计中不可忽视的一项重要因素。
这种局域网设计的最大特点是高效率、高可靠性、高安全性和高可管理性;并且成本较低,网络结构易于搭建和管理,兼顾了证券营业部的多方面应用。高效率体现在FEC技术的使用、网络的分层结构和带宽的合理分配上。FEC技术是链路带宽扩容的一条重要途径。它可在100M或1000M以太网端口间实现,用于将多条并行链路的带宽叠加起来。这项技术能够把2-4组高速端口之间的连接带宽聚合在一起,在全双工工作模式下达到400M-800M的带宽,这样多条链路被用作单条高速数据通道,避免了回路的形成。以太网通道技术也体现了产品的可扩充性能,能充分利用现有设备实现高速数据传递。
高可靠性则由两台主干交换机的全冗余充分表现出来:从每个工作站到每台服务器都有多条连接链路,这样即使其中一条链路断线或一个主干交换机发生故障,都能在用户觉察不到的极短时间内启用备份恢复数据传递,从而保证了系统稳定可靠的运行。思科交换机所支持的几种容错技术,如FEC、Uplink-Fast(快速上联恢复)和Port-Fast(快速端口恢复)技术能够充分确保网络的可靠性。FEC技术的引入在实现带宽扩充的同时,多条链路被用作单条高速数据通道,避免了回路的形成,另外通道中部分线路的故障不影响其它线路的带宽聚合,从而也保障了网络的可靠性。快速上联恢复是用在交换机间级联链路上的一项技术。它使备份端口直接由阻塞进入到转发状态,从而使网络收敛时间从40秒大大缩短至5秒以内。快速端口恢复技术应用在直接连接工作站或服务器的交换机端口上,它与快速上联恢复的工作原理类似,将转换延迟从40秒缩短至2秒以内,这样在交换机上接入新的工作站,或改变某工作站的所接端口时,该站点能很快进入工作状态。
系统的安全性包含了局域网的安全性和广域网的安全性。思科局域网交换机能够进行端口安全的设置,交换机端口所连的各个工作站/服务器都有自己唯一的MAC地址,为此对应交换机的每端口都有一下MAC地址表。网络管理员可手动地在表中加入特定的MAC和端口的对应关系,将设备与端口绑定,防止假冒身份的非法用户通过网络中其它交换机接入;此外,端口安全机制还体现在对每端口所支持MAC地址数的限定上。在广域网方面,思科公司路由器的操作系统IOS能够集成防火墙功能。这使路由器在完成路由和远程连接功能的同时充当安全屏障--防火墙的角色,对规模较小的证券营业部,IOS防火墙不失为一种经济的选择。
此外,系统的管理相对简单,可以采用Cisco交换机视像管理器(CVSM),它是一套基于WEB的免费配置管理软件,可在用户熟悉的浏览器界面下对思科交换机系列产品实施配置和监控。CVSM避免了对交换机操作系统语言的直接介入,而以更为友好的图形界面取而代之。用户只需在交换机上只需事先设定好IP地址,就可以通过CVSM轻松地去访问和管理它;所有操作一次性完成,不需随时监控。
B、千兆主干方案
在同一网络规模下,若证券公司对网络主干有更高的要求,可通过更换前套方案中的主干交换机将其提升为千兆主干网络,拓朴结构如下:
Catalyst4003交换机 两台
Catalyst2924/3524/3548交换机 十台
Cisco 2600路由器 一台
该方案与前方案结构大致相同,只是核心交换机由原来的Catalyst 3524/2948G升级为Catalyst 4003,它具备三个接口插槽,可选择的以太网端口从带宽上和密度上都比Catalyst 3524/2948G有较大提高。这里共选配了8个千兆端口和32个百兆端口,从而可以将两台主干间的百兆FEC通道提升为千兆GEC通道,接成高达4G的主干带宽;同时也可为更多的行情/交易服务器或数据量较大的二级交换机提供千兆连接。千兆以太网通道化技术与快速以太网通道化技术类似,它可将2-4组千兆端口之间的连接带宽聚合在一起,在全双工工作模式下达到4-8G的带宽,这样多条链路被用作单条高速数据通道,在提高传输效率的同时避免了回路的形成,通道中部分线路的故障不影响其它线路的带宽聚合,从而也提高了网络的可靠性。
(2)500-1000节点证券营业部解决方案
能支持500-1000节点的证券营业部属中型规模,它的网络建设同样需要满足营业部网络的特定要求,并且相对500节点以下的网络还应具有更高的数据吞吐能力,此类系统的主要特点如下:
系统全套备份,稳定可靠,独特的堆叠技术能够在网络中构造冗余,在堆叠之外每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接,保障系统运行的可靠性;利用HSRP技术,可以实现两个主干交换机在第三层上的热备份功能;
高性能全交换,千兆主干,并采用千兆以太网通道化技术扩充带宽,能满足大负荷网络运行需求;第三层交换技术,能够使两个网段在进行数据交换时,可以根据不同的应用有选择的进行,提高了带宽资源的利用率。VLAN技术的引入也使得系统资源能够被更有效地利用,结合HSRP(热备份路由协议)技术、PVST(每个VLAN单独计算Spanning Tree)技 术,使每个二级交换机上的两条联链路同时处于传输状态,各自分担一部分VLAN的数据传输,充分利用带宽。
系统安全,保密性高,采用先进的虚拟局域网技术,它依靠用户逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成,从而提高了系统的安全性。
可选用功能相对强大的专业网管系统,使网络管理从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面,管理界面友好,使用灵活方便。
通威公司针对这种规模的网络提供的方案拓扑结构如下:
图中网络设备组成如下图:
Catalyst 4006/6506交换机 两台
Catalyst 2948G/2980G交换机 若干
Catalyst 3524/3548交换机 若干
Cisco 2600路由器 一台
由图可看出,这套方案仍为双主干互备份,级联多个二级交换机的结构。但为支持更多用户数和更多大的数据传输量,各级设备都相应升级:主干交换机采用两台Catalyst 4006(6个接口插槽,带第三层交换模块)或Catalyst 6506(6个接口插槽,带第三层交换模块MSFC),以GEC技术构造8G高速主干,足以负担沉重的数据传输量;二级交换机可采用Catalyst 2948G/2980G,同时与两主干交换机作千兆上联,并为工作站提供48/80个 10/100M接入端口;若某些二级网点要求的用户数更多,则可采用多台Catalyst 3524/3548堆叠--思科公司的Catalyst3500交换机具有独特的GigaStack堆叠技术,采用价格低廉的铜缆以菊花链方式构成1G的堆叠总线,每堆叠最多可支持九台Catalyst 3524/3548,提供多达300多个10/100M工作站接入端口。
该方案充分考虑到系统的高可靠性、高安全性、高速率和可管理性。
在可靠性方面,思科的GigaStack堆叠技术,使首尾两台交换机的额外连线将整个总线结成回路,其目的是在堆叠内构造冗余,这样即使堆叠中任一连接出现故障,都能继续传递数据;在堆叠之外,每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接,保障系统运行的可靠性。
该方案采用了虚拟局域网(VLAN)技术来充分保证系统的安全性。随着用户的增多,整个营业部局域网内数据流通量增大,并且行情、交易、办公管理的数据混杂,不利于网络性能的提高和安全隔离,这使得VLAN的应用成为必要。VLAN依靠用户的逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的MAC地址等。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成。划分VLAN具备以下好处:提高安全性、隔离第二层的广播信息提高带宽利用率、增强网络应用灵活性。当然,不同部门(VLAN)之间有时也需要进行数据交换,为此需要借助主干交换机第三层交换的功能,这是由交换机的第三层交换模块来实现。它支持多种路由协议(如RIP,PIP v2,OSPF,EIGRP等),也支持访问控制列表(access list)。
主干交换机采用千兆高速技术和GEC技术,足以负担沉重的数据传输量;二级交换机的处理能力也非常强大,同时与两主干交换机作千兆上联。思科的HSRP(热备份路由协议)技术,能够使两个主干交换机在第三层(即VLAN之间的数据传输)互为热备份;同时在二级交换机上,利用PVST技术针对两条千兆上联链路为每个VLAN设定不同优先级,使到两条千兆上联链路都负担部分流量,做到负载分担,充分利用带宽资源。
该方案可以选用功能相对强大的专业网管系统如Cisco Works Windows。它的功能已从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面:如定性或定量的分析网络各项参数;基于SNMP全面管理网络中多种设备,以照片方式显示设备直观视图;通过简单的点击配置设备端口和各项参数;通过不同色彩和多种图表显示各种工作状态等。这是一套基于Windows的网络管理软件,可安装在Windows 95/98或Windows NT平台上,界面友好,使用灵活方便。
此外,数据处理能力的增强使得证券营业部有可能开展更多的服务项目,如图形信息量较大、对网络带宽和传输质量要求较高的多媒体股评、视频点播等。
(3)1000节点以上证券营业部解决方案
对于更大规模的证券营业部,通威公司又推出第三套建议方案,方案特点如下:
系统全套备份,稳定可靠;
高性能全交换,千兆主干,满足大负荷网络运行需求;交换机具备极高的交换能力和端口密度,并通过第三层交换提高了系统性能。
系统安全,保密性高,在VLAN、交换机端口安全机制等基础上,高性能的交换机具有对第三层路由模块的支持能力,可以对VLAN间数据交换起到更好的支持作用
网络管理采用深入全面的工具,可运行于Windows NT或多种UNIX平台,功能十分强大,可对VLAN和ATM实施管理,支持的用户数更多,适用于大型网络。
相对中、小规模的证券营业部,大型营业部的业务模式基本没有太多变化,因此网络方案特点同于前方案,但用户数进一步增加对网络容量所带来的更高要求使本方案所用设备再次升级,具体拓扑结构如下:
图中网络设备组成为:
Catalyst6509交换机 两台
Catalyst 2948G/2980G交换机 若干
Catalyst 3524/3548交换机 若干
Cisco 2600路由器 一台
大规模证券营业部所采用的二级交换机仍为Catalyst 2948G/2980G或Catalyst 3524/3548堆叠,每个网点可最多为数百个用户提供连接;但由于二级网点数量的增加,对主干设备性能则提出了更高要求,为此主干交换机升级为两台Catalyst 6509,这是思科公司性能卓越的高端局域网产品之一,具备极高的交换能力和端口密度,有Catalyst 6506/6509两种不同插槽数的型号可供选择,最多可支持上百个千兆以太网端口,能充分满足网络互联的需求。
除端口密度增加外,Catalyst 6500性能的提升还体现在其第三层功能上:首先,Catalyst 6500支持专有的第三层交换模块MSFC(多层交换特性卡),不需借助外接的路由器就可实现路由;其次,MSFC直接附在交换引擎上,无需占用一个槽位;再次MSFC支持多层交换,可以提供。
另外Catalyst 6500支持双交换引擎、双电源冗余备份,体现其极高的可靠性。
Catalyst 6500系列满足了可扩展性和高的性能/价格比的需求,支持宽广的端口密 度、性能及高可用的选择,并提供智能化、服务质量(QoS)和安全的机制。客户可以更加有效的增强网络的客户服务如组播和ERP的应用而不须考虑网络性能的严重衰减。与PFC(策略特性卡,和MSFC一样附在交换引擎上)一起,可基于第二、三、四层的信息如用户、IP地址或不同的应用而实现网络的策略管理,或得很好的服务质量(QoS)。
该方案对于可靠性、运行速度、安全性、可管理性都予以充分的考虑。
整个系统采用的全套备份的体系,具备很高的可靠性,而Catalyst 6500所具备的热备份路由功能(HSRP)更是提高了这一性能。
除了前几种方案所述的VLAN、交换机端口安全机制等技术之外,该方案中Catalyst 6500对第三层路由模块的支持能力,可以对VLAN间数据交流尤其起到了更好的支持,从而提高了系统的安全性。
在网络运行速度方面,这一方案的配置相比而言更为高档,数据处理能力极强。此外,Catalyst 6500既保留了传统的第二层交换在各端口间传递数据时的高线速,又集成了原来在第三层路由中才有的完善的控制功能如路由、审计、广播隔离等,大大提高数据处理能力。
在管理方面,该方案可以选用Cisco Works 2000这类管理深入全面的工具,它可运行于Windows NT或多种UNIX平台,功能十分强大,可对VLAN和ATM实施管理,支持的用户数也更多,适用于大型网络。
该方案还具有对多媒体信息处理的强大能力,这主要通过增强的数据处理能力、完善的QoS机制和优化的视频数据传输方案IP/TV等来实现的。值得一提的是,QoS不仅能够充分利用带宽资源,更可充分保证关键应用。QoS系统能对网上的数据流应用类别进行判定,并在IP包头其优先级。然后,在应用识别基础上,对数据流量进行调度。思科的加权式公平队列(WFQ)、加权随机早期探测(WRED)等技术,可以精确处理带宽流量,从而使系统资源利用更为有效,保证各类多媒体信息可以流畅地在网络中传送。
2、证券公司广域网
营业部网络实现了各证券营业部的基本工作职能,它侧重于本地局域网建设,其通信服务功能模块只起到了辅助作用,仅对数据量要求不高的Internet访问和少量远程大户提供广域网支持;而有相当规模的证券公司,将远距离控制多个营业公部和为更多远程大户提供服务,相应业务范围和工作模式都会有很大改变,因此需要一个强有力的广域网架构来支撑。当然,证券公司广域网和营业部局域网绝非相互独立,而是相辅相成的--营业部网络的建设是前提,而广域网则起到将多个营业部网络互联的作用,它的建设,受营业部规模和数量的影响。
证券公司广域网上传递的信息与各营业部网络信息密切相关,主要仍为行情/交易信 息、办公管理数据、Internet业务等,有条件的证券公司还可开展语音和多媒体传递, 如;各营业部间通过数据网络打电话,或为用户提供远程视频点播等业务。而传统的网络模式常常是将各项业务独立起来,如图5所示:打电话是基于常规的PSTN电话网,营业部与公司总部间采用昂贵的专线传递各种交易/行情和办公数据,远程大户的接入则采用PSTN拨号登录。这种应用模式既浪费网络资源,带来高额成本,也不便于集中管理和应用的升 级。为此,建成一个多业务集成、经济有效的网络将是证券公司广域网的发展趋势。
通威公司认为证券广域网应用模式,应具有以下新的特点:
1.广域网可实现全冗余连接,保证网络运行可靠--根据各证券公司财力,营业部间广域网连接可采用DDN专线,或更为经济的帧中继、ISDN、甚至PSTN等线路;同时,低 速、拨号线路(如:ISDN、PSTN)也可作为高速、永久线路(如:DDN、帧中继)的备份使 用,当主链路断线或超负荷时,以按需方式启用备份,从而保障系统可靠性;
2.ISDN节约广域网通讯费用--在上述多种可供选择的广域网链路中,ISDN是值得推荐的一种连接方式,它具有方便建立、价格经济、带宽充足(128K)等特点,并且应用灵 活,可在不同时间连接到不同的目的地,并可根据用户需要,在有数据时才建立连接,或依据数据量多少自动调节带宽,从而节省链路花费;
3.采用思科端到端安全解决方案--多项业务集成能最大限度地利用已有链路,提高网络经济性,但由此带来的安全问题不容忽视,例如:远程大户和公司营业部职员所能访问的权限肯定是有所不同的,它们的数据应能被识别和隔离开来分别处理,为此通威公司提供了以下安全防范手段:
建立安全边界--在营业部或公司总部的接入路由器外设置IOS防火墙或PIX防火墙,它们的主要作用都是对欲进入本网的数据包实施安全检验和过滤(依据数据包头所含的源、目的地址,端口号,协议类型等进行判别)。
实施安全认证--安全认证主要是对用户身份实施检验和权限设定,这样当外部用户以远程大户身份和以营业部职员身份登录时,他们所能访问的数据可以是截然不同的。安全认证一般采用集中管理方式,在内部网络中设立专门的认证服务器,在其上建立用户数据库,这样不论用户从何处登录进来,都需要经过该服务器的统一检验,授权并且其后的所有访问过程都可被审计,记入日志。思科公司对用户认证的相应解决方案:Cisco Secure ACS;
引导安全传输--上述两种安全手段各有特点,若能结合起来将达到更理想的防范效果。除此之外,可用的安全技术还有很多,必要时还可引入VPN(虚拟专网)技术:营业部与公司总部之间,及营业部与远程大户之间,都可建立起端到端的逻辑隧道(Tunnel),所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处理,从而能与同一物理链路中其它数据区别开来,避免被不法用户所窃取,只有在隧道的始末两端(营业部、公司总部或远程大户节点处)才可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络(如Internet)传递业务数据时,这项技术尤为必要;思科公司的多款路由器都可通过IOS升级支持VPN应用,可用作虚拟专网隧道的起始和终止设备。
4、语音数据集成(Voice over IP)--语音数据集成是多业务集成的真实体现,它通过特定硬件处理,使原来只能运行于PSTN电话网的语音被转换为IP数据包,同普通数据一起通过DDN、帻中继等数据网络传递到远端,使长途话费成本大大降低,也简化了内部信息系统管理。思科公司的Cisco 2600/3600路由器都可选配Voice over IP语音模块,将每路语音压缩到只占8K左右带宽,并且支持多种带宽优化技术来保证同一链路中语音信息的优先,从而保证话音质量。
上述各项技术体现了新型证券广域网的发展趋势,在实际应用中用户可根据自己的需要选择相应产品,逐步实现其各项功能。下面将以产品为导向介绍一套实际应用方案。
证券公司广域网解决方案
这是一套集数据、语音传递为一体,双链路互备份的广域网解决方案,拓朴结构如下
这里着重介绍其广域网连接,所用路由器设备:
Cisco 7206路由器 一台
Cisco 3661/3662/3640路由器 两台
Cisco 2620/2621/2650/2651路由器 若干
由图可看出,这是一个证券公司总部和各营业部网点互联的二级广域网结构,总部(核心网络)用到三台路由器;一台Cisco 7206和两台Cisco 3600。Cisco 7206是思科公司高端路由产品之一,共有六个端口适配器插槽,可支持多种高性能、高端口密度的模块,在本方案中被用作核心路由器,与各营业网点的路由器通过DDN专线或帧中继分别接成64K或128K的主传 输线路,构成该广域网主体;Cisco 3600是思科公司应用广泛的中端路由器产品系列,它有四至六个网络模块插槽,其最大特点是模块种类繁多,应用极度灵活,方案中一台Cisco 3600被用作Cisco 7206的备份,通过ISDN线路与各营业网点相连,当核心路由器或主干链路发生故障时,该路由器可以按需方式启用ISDN拨号,继续与二级路由器保持连接和数据传递,保障业务运行的可靠性;另一台Cisco 3600通过以太网放置于总部局域网中,它的主要作用是实现数据语音的传递--每台Cisco 3600最多可在数据网络(DDN、帧中继)中传输12至24路语音,而分机的数量可通过PBX交换机扩展到更多。
二级营业部用户数相对较少,所用路由器为Cisco 2600系列,它带有一个或二个固定的10/100M自适应以太网端口,一个网络模块插槽和两个WIC广域网接口卡。语音模块便配置在网络模块插槽中,每个Cisco 2600最多可支持四路语音(方案中只用到两路);而与总部主路由器Cisco 7206所作的DDN或帧中继连接,以及与备份路由器Cisco 3600所作的ISDN连接则由两个WIC接口模块来完成。
综上所述,这是一套综合考虑了数据/语音多业务集成和设备/线路冗余的网络,具有较高的可靠性和传输效率。总部网络中所用到的三台路由器都作了较高配置,在满足现有应用的同时还留出了较大的扩展空间,使网络具备较好的可扩充性。
总的来说,这一整套方案最突出的特点是高安全性、高可靠性,并且能够实现对广域网带宽的有效利用。
安全性主要是通过防火墙和VPN来体现的。IOS防火墙是集成在路由器操作系统中的一项功能,相对简单但经济实用,而PIX则是思科公司得以广泛应用的专用防火墙产品,它拥有自己专有的软件系统,不需借助于外部操作平台,内核技术不公开,因此能更有效地阻止网络黑客的攻击,而配套的硬件组成使其数据处理效率更高,是更为理想但相应成本也更高的安全应用,尤其适合于广域网的应用环境。VPN能够在公共网络上的架设虚拟专用网络,物理链路采用服务提供商已有的公共连接网,但其传递的数据是经过特殊处理的,能与其它数据区别开来。使用VPN的最大好处是大大降低网络成本。此外它在需要传递数据的远程双方之间建立起一条逻辑隧道,将VPN数据与其它数据隔离,因此通过隧道封装和加密充分保证了数据安全性。
利用广域线路的备份方案和节点设备的备份技术可以实现系统的可靠性。例如上述方案在线路上采用DDN或帧中继链路作为主干,ISDN作为备份,可以解决广域线路的可靠性问题。而热备份路由器协议(HSRP)技术的的采用,更可以实现路由器的备份问题。HSRP根据对两互备份路由器的优先级进行设定,将其中一台设备置为活动状态,而另一台设备置为备用状态,当主设备发生故障时备用设备能立即启用,这就是所谓“热备份”的含义。对网络中正常工作的用户而言,这一切换是透明不可见的,因此不会影响营业部的正常交易。
在广域网环境中,带宽优化不仅直接节省开支,同时又能增强网络性能。思科的方案中几种典型带宽优化技术包括IP组风广播技术、队列技术、压缩技术等。组内广播是有选择地将数据送到指定的一组节点上去,其它节点不会接收到这组数据。它消除数据冗余,减少服务顺的CPU负载,并有效地控制了网络流量,使数据传递效率和质量达到最佳状态。队列技术是路由器所支持的一项用于提高服务质量的技术。它改变了传统的数据处理依据先进先出的这项原则,使部分数据得以优先通过。压缩技术是节省广域网带宽的一种较为直接的方式,它将原来较大的数据包经特定计算后转换成占字节数较少的数据,使数据流占用的带宽成比例下降,因而链路中能容纳更多的数据。
以上介绍了通威公司针对证券公司营业部网络和各营业部间广域网建设提出的多套方案,结合证券应用的要求,这些方案都具有以下特点。
可靠--通过设备冗余设置和采用以太网通道、快速上联恢复、快速端口恢复、热备份路由器协议等技术来实现高可靠性,达到全冗余、热备份、快速恢复的目的,广域网上也有实用的线路备份方案;
高效--采用快速以太网或千兆以太网作为骨干,并通过快速以太网通道化和千兆以太网通道化技术扩展带宽,极大提高了数据处理能力;加上10/100兆交换到桌面,可以保证每个最终用户都拥有充足的通信资源;
安全--从虚拟局域网、交换机端口安全机制、集成路由器防火墙、专用PIX防火墙到认证体系以及虚拟专网,提供端到端的保障,在局域网和文域网环境中均可以实现系统安全;
可管理--提供的一些免费或收费的配置管理工具,基于浏览器或图形界面,方便使用和设备管理。
各证券公司可参考上述方案并结合自身的实际情况作相应的修改或重新设计。
证券网络应用技术介绍
在前述解决方案分析中曾提到了多种网络产品的增强功能,它们对丰富网络应用、提高网络性能都起到了不可或缺的作用,这里将针对证券网络所面临的各项问题,提出思科公司的相应解决技术:
1、思科网络容错技术
证券网络所面临的一个重要问题是可靠性问题,应用中任一环节出现故障都会导致证券公司的巨大损失,因此问题的解决也应从多方面入手,如数据备份,交易/行情服务器的硬件冗余、软件容错,以及网络设备的部件冗余和结构(链路)冗余等,以保障整套系统的万无一失。下面将主要介绍思科公司交换机产品所支持的几种容错技术,使用户了解其对故障恢复所带来的好处。
(1)Fast/Gigabit Etherchannel(快速/千兆以太网通道)
以太网通道技术不仅起到容错作用,更是链路带宽扩容的一条重要途径。它右在100M(快速以太网通道,简称FEC)或1000M(千兆以太网通道,简称GEC)以太网端口间实现,用于将多条并行链路的带宽叠加起来。这样多条链路被用作单条高速数据通道,通道中部分线路的故障不影响其它线路的带宽聚合,从而也保障了网络的可靠性。
思科公司的全线交换机产品和带快速以太网端口的路由器都可以实施以太网通道技术,并且还可与多家厂家(Intel、Xircom、Adaptec等)的网卡构造以太网通道,在交换机和服务器之间建立高速连接。
(2)Uplink-Fast(快速上联恢复)/Port-Fast(快速端口恢复)
这是用在交换机间级联链路和连接服务器、工作站的端口上的技术。为了防止回路发生而采取的Spanning-Tree在链路切换时经历阻塞-聆听-学习-数据转发等诸多过程,耗时较长,一般需60秒左右,对正在传递大量数据的服务器和工作站而言,这段时间是能明显觉察的,并极可能导致连接超时而中断应用。而思科公司提出的Uplink-Fast技术是对Span-ning-Tree的改进,它省却了链路切换过程中的聆听和学阶段,使备份端口直接由阻塞进入到转发状态,从而使延迟缩短到5秒以内,用户几乎觉察不到这一过程,营业部业务不会受到故障影响。
Port-Fast与Uplin-Fast的工作原理类似,在交换机上接入新的工作站,或改变某工作站的所接端口时,该站点能很快进入工作状态。
(3)HSRP(热备份路由器协议)
HSRP则可用于设备/链路故障的恢复--它原是用在两路由器间互作备份的协议,现思科公司的第三层交换机(如:解决方案中提到的Catalyst 6000等)也支持该协议。HSRP根据对两互备份路由器或交换机的优先级设定,将其中一台设备置为活动状态,而另一台设备置为备用状态,当主设备发生故障时备用设备能立即启用,这就是所谓“热备 份”的含义。对网络中正常工作的用户而言,这一切换是透明不可见的,因此不会影响营业部的正常交易。
2、思科网络安全技术
证券公司所传递的各项数据关联各证券用户的切身利益,因此数据安全是不可或缺的重要考虑因素。应用的安全性同样可体现在应用的多个方面,包括机房安全、服务器安全登录、网络安全等,这里仍就思科公司的各项局域网和广域网安全技术作一一介绍。
(1)局域网安全性--VLAN
VLAN即Virtual LAN,表示虚拟局域网,简称虚网。它依靠用户的逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的MAC地址等。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过路由来完成。
划分VLAN具备以下好处:
提高安全性--不同VLAN的数据不能自由交流,需要接受路由器的检验,因此在一定程度上加强了虚网间的隔离,有效防止外部用户入侵,提高安全性;
隔离广播信息--实施虚网划分后,某VLAN内节点发送的广播信息不会被转发到其它VLAN上去,不会影响这些VLAN的正常工作,有利于提高网络运行效率;
增强网络应用的灵活性--VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境没有任何改变。
在多种划分VLAN的方式中,以交换机物理端口为依据作VLAN设定是最普遍的,用户根据自己的实际需求将某台交换机的不同端口分配不同VLAN ID,这样同一交换机的不同VLAN端口不能自由传递数据,而相互连接的不同交换机的属同一VLAN的端口则可无阻碍地通讯。
思科公司的Catalyst 交换机系列都支持VLAN的设定和ISL、802.1Q两种以太网VLAN标识技术。
(2)局域网安全性--交换机端口安全机制
局域网交换机所支持的另一项安全技术是端口安全的设置--交换机端口所连的各个工作站/服务器都有自己唯一的MAC地址,为此对应交换机的每端口都有一个MAC地址 表,包含了该端口都有一个MAC地址表,包含了该端口下联的所有设备的MAC地址(由于交换机支持级联,故端口表中可以有多个MAC地址)。一般情况下,MAC地址表是交换机根据所连设备,通过源地址学习自动建立的,而为了提高端口安全性,网络管理员可手动地在表中加入特定的MAC和端口的对应关系,将设备与端口绑定,防止假冒身份的非法用户通过网络中其它交换机接入;此外,端口安全机制还体现在对每端口所支持MAC地址数的限定上,启用端口安全机制意味着每端口最多可下接132个设备,否则将发生地址非法错 误,导致该端口失效。
(3)广域网安全性--IOS防火墙/PIX防火墙
IOS(Internetworking Operation System)代表思科公司路由器的操作系统程序,IOS防火墙则表示集成在路由器操作系统中的防火墙功能。思科的系统列中低端路由器均可通过操作系统升级获得防火墙性能,它是在路由器原有的访问列表对数据的源、目标地址、协议类型、TCP端口号检测的基础上加入了基于应用的流量控制、Java小程序过滤、对恶意攻击的监测与防治、数据轨迹跟踪和实是报警等功能。使路由器在完成路由和远程连接功能的同时充当安全屏障--防火墙的角色,对规模较小的证券营业部,IOS防火墙不失为一种经济的选择。
PIX防火墙体现出用户对网络安全的极度关注:PIX的工作原理仍为数据包过滤,所有流经PIX的数据都必须接受严格而全面的检验,检验内容包括数据的源和目标地址、TCP随机序列号、TCP端口号和附加标志等,只在满足特定条件的数据才能穿过这道防火 墙;相对集成在路由器的防火墙和软件防火墙而言,PIX使用自己专有的软件系统,不需借助于外部操作平台,内核技术不公开,因此能更有效地阻止网络黑客的攻击;而配套的硬件组成使其数据处理效率更高;此外,PIX还支持网络地址翻译的功能,能够实现内部IP到合法IP的转换,方便更多的用户利用有限的IP地址资源作Internet访问。
(4)网络弱点扫描工具--NetSonar
以上介绍的是在网络初始建设中需要考虑或使用的一些安全手段,而网络应用是长期进行的,安全隐患也随时存在并且千变万化、推陈出新。为此,安全状态监控也应是一个长期的过程,是网络管理工作不可缺少的一部分。思科的网络弱点扫描工具NetSonar便是用于实现这一功能的。NetSonar总是考虑如何主动地去发现网络弱点所在,以在“准黑客”还未到来之际便将漏洞补齐。我们通常将这样的主动弱点评估工具称作“被雇佣的黑客”,它能智能化地,或是按用户设计的方式支实施侦测工作。
NetSonar是一套基于Windows NT或Sun Solaris平台的软件,它主要工作方式是网络扫描--定期地发送扫描数据包去检测被调查网络中所有节点的可到达性或某些服务器的服务功能(如:Web服务器的浏览功能,FTP服务器的文件传输功能,路由器/交换机的数据转发功能等),然后将这些节点和服务器信息汇集成详细电子文档,绘出相应的节点和服务分布图,并根据软件中已有规则或用户自定义规则去评判网络安全的弱点所在,最后生成多种形式的分析报告,向网络管理员提示网络安全状况。
3、思科的网络管理方案
在前文的多套解决方案的介绍中,我们没有涉及专用的网络管理产品,这并非表示征券网络的建设不需要网络管理。恰恰相反,随着网络中设备逐渐增多,网络技术日趋复 杂,网络管理的重要性越来越明显--网络的复杂导致系统运行的不确定因素增加,可靠性降低,“down机”时间变长且带来的损失越来越大,而往往由于平时对网管的忽略,缺乏受过专业培训的网络管理人员,也缺乏综合的网管解决方案,因而发生问题时无从下 手,这才意识到网管的重要。作为一套考虑完善、可靠性要求极高的系统,当然不希望有“亡羊补牢”的情况发生,因此网络管理是网络设计必不可少的考虑因素之一,从设备本身操作系统所具备的一些网管功能(如前文提到的防火墙性能包),到简单的网络管理工 具,甚而功能强大的大型管理系统,用户可根据自身的实际网络应用和资金安排,循序渐进,逐步实现全面网络管理功能。下面将介绍思科公司由简单到全面的几套网管系统:CVSM、Cisco Works Windows和Cisco Works 2000。
(1)CVSM(Cisco Visual Switch Manager)
CVSM即Cisco交换机视像管理器,它是一套基于WEB的免费配置管理软件,可在用户熟悉的浏览器界面下对思科交换机系列产品实施配置和监控。顾名思义,CVSM能够显示设备的直观图像,利用图像中的状态灯来反映设备活动状况;用户还可点击图像中特定端口来进入其配置界面,修改工作参数或查看统计数据--参数的设定也通过鼠标点击,以选择或填空方式来完成。
CVSM避免了对交换机操作系统语言的直接介入,而以更为友好的图形界面取而代 之。要实施CVSM的应用,用户在交换机上只需事先设定好IP地址,就可以通过CVSM轻松地去访问和管理它;所有操作一次性完成,不需随时监控;最多可管理多达16台交换机的集群。对于以局域网为主,无须复杂配置的营业部网络应用,是一项非常好的辅助工具。
(2)Cisco Works Windows/Cisco Works 2000
对于中型或大型规模的证券网,则有必要用到Cisco Works Windows或Cisco Works 2000这样功能强大的专业网管系统,它们的功能已从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面,其主要特点包括:
定性或定量的分析网络各项参数(如:接口流量、错误发生率、CPU利用率等),判断网络健康状况,为系统升级、维护提供一手资料;
基于SNMP(简单网络管理协议)全面管理网络中多种设备(路由器、交换机、防火墙等),以照片方式显示设备直观视图;
易于使用,通过简单的点击配置设备端口和各项参数;
通过不同色彩和多种图表显示各种工作状态,便于实时监控和迅速定位故障;
提供设备升级接口,在有新产品问世时可以很方便地从思科的网上站点免费下载该产品软件包并安装在系统中,获得对新产品的支持。
Cisco Works Windows是一套基于Windows的网络管理软件,可安装在Windows 95/98或Windows NT平台上,界面友好,使用灵活方便,一般用于500站点以下的网络;Cisco Works 2000则可运行于Windows NT或多种UNIX平台,其功能更为强大,对网络的管理更为深入全面(可对VLAN和ATM实施管理),支持的用户数也更多,可用于500用户以上的大型网络
4、证券网络的增值应用--IP/TV多媒体系统
前面多次提到了证券公司可能开展的多媒体业务,如多媒体股评和视频点播等,这些业务需要通过专门的多媒体传输系统来完成,思科公司的IP/TV则是针对这一应用的理想方案。它的主要性能包括:
IP/TV是一套综合性客户机/服务器应用系统,服务器软件用于捕获和存贮TV图像,客户机软件则可以调用和观看图像,此外还有专门的管理软件对图像内容和用户情况实施管理;
IP/TV可以实现的应用有两大类:视频广播和点播--前者由管理员选定播放内容,实时或定时向指定的客户发送;后者则由用户自己选择所需的内容,播放到自己所处的客户机中;
IP/TV的图像采用标准的视频文件格式,如MPEG-1、AVI、H.261等,当服务器容量和线路质量足够好时,可采用分辨率较高的图像格式,反之则可降低分辨率来减轻服务器和线路负担;
IP/TV支持标准的实时传输和组内广播协议,有利于提高传输质量,实现完全同步的全屏播放,同时保障数据传递效率,避免带宽浪费;
IP/TV具有完善的管理特性,可以对节目实施编排,也可以对观众的情况进行跟踪,查看哪些观众在观看广播的内容,哪些观众在点播节目,并能够给出分析,以便更好的规划网络带宽等参数;
IP/TV基于流行的Windows NT操作系统和TCP/IP网络协议,硬件平台为PC服务器,便于实施和掌握,经济可行。