第一篇:XX证券VPN组网解决方案
XX证券VPN组网解决方案
第一章 前言
以Internet为基础的信息高速公路的迅猛发展,正以前所未有的速度和能力改变着人们的生活和工作方式,我们真正处于一个“信息爆炸”的时代。
一方面,Internet使得人们能够跨越时空的限制,为学习、生活和工作带来空前的便利;许多企事业单位不仅仅充分利用Internet的丰富资源,同时,为了企事业单位内部的资源共享和信息传输,也纷纷建起了企事业单位内部Intranet,达到企事业单位内部资源的高度共享。甚至一些信息化建设程度较高的企事业单位已经建起了Extranet,与其他政府机构、合作伙伴也进行了资源共享。
另一方面,面对信息的汪洋大海,人们往往感到无所适从,出现“信息迷向”的现象。更严重的是Internet是一个无国界的虚拟信息社会,现实社会中的各种问题都会在Internet上通过电子手段予以重现,信息犯罪愈演愈烈。网络的开放性,互连性,共享性程度的扩大,使网络的重要性和对社会的影响也越来越大,信息安全问题变得越来越重要。信息安全问题不仅仅涉及到国家的经济安全、金融安全,还涉及到国家的国防安全、政治安全和文化安全。对于企事业单位的重要信息和资源,也构成了巨大威胁,致使一些企事业单位单位不敢联网,把网络互联的优势完全抛弃,形成了一个一个信息孤岛。
政府信息化的发展已经成为当代信息化的最重要的领域之一。据联合国教科文组织在2000年的调查,89%的国家都在不同程度地推进政府信息化的发展,并将其列为国家级的重要工作。
江泽民总书记明确指出:“四个现代化,那一化也离不开信息化。”我国的政务现代化也离不开信息化。
“两会”前,朱总理提出:“电子政务的发展正在成为当代信息化的最重要的领域之一。为了适应国际形势和我国经济建设与社会发展的需要,我国必须加快电子政务的发展。”在今年的《政府工作报告》中,朱总理更明确指出,要“加快政府管理信息化建设,推广电子政务,提高工作效率和监管有效性。”
如何有效地利用网络互联的优势,提升XX证券系统信息化建设的速度,同时保证网络和信息的安全共享,是摆在我们面前的迫切问题。虚拟私有网络(Virtual Private Network,VPN)的出现,为我们提供了一个安全、经济、快捷、灵活的网络安全互联组网方案。结合的XX证券实际需求和现状网络,通过对必要性和可行性,实施效果、成本和风险,硬件和网络方案等进行了充分的调研和论证,提出了《XX证券VPN组网解决方案》。
根据项目计划,将在XX证券中心机房和全国各营业点部署VPN安全网关,实施安全访问控制和各点之间的加密通信。
第二章 项目情况介绍
2.1 目前网络的现状
目前,XX证券总部在电信申请了2个互联网线路,一条线路用于同其他各营业点(在全国共27个)进行OA系统的信息传输,另外一条线路用户内部员工访问互联网。其他各营业点均在本地电信申请ADSL线路。
目前的网络示意图如下:
图2-1 XX证券网络示意图 2.2 目前网络系统存在的需求
1、应用需求 目前,XX证券全国各营业点需要实时访问XX证券总部(武汉)应用服务器(OA服务器、mail服务器等)。利用传统的公网是无法快捷、安全地访问内部服务器。因为所有数据在传输过程中都是以明文的,如果别有用心的人利用Sniffer等网络监听分析工具,极易篡改、窃取甚至破坏关键数据,给造成不可估量的损失。针对的相关应用需求,我们建议采用VPN的组网方式,可以安全、方便地在XX证券和全国27各营业点之间的“虚拟专用网络”。
2、安全需求
目前XX证券应用系统和重要数据都以明文在网络进行直接传输,因应用系统的网络传输数据体现了XX证券的重要情况和保密敏感信息,属于高度机密,以明文在公共网络上直接传输存在着很大的隐患,黑客或网络运营商中的某些有不良居心的人员可以利用专用软件在网络结点设备或线路上截获应用系统或重要数据,如果这些数据被公布或透露给外界,对于来说,后果是非常严重的。
另一方面,各营业点网络直接和internet相连,这样就存在极大的安全隐患,外部网络可以随意访问内部网络,甚至控制内部服务器,然后已内部主机作为跳板,转而攻击网络总部的服务器,那么整个系统将无安全性可言。
综上所述,如何很好地解决“信息的共享和信息的安全问题”是本方案重点讨论要解决的问题。使整个网络的安全达到一个全面加强,使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。
第三章 设计原则和设计思想
系统的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则: 3.1 安全性原则
在网络运行的各个环节中,都应该严格注意安全的问题,防止其中的任一过程存在着安全的漏洞,从而影响整个区政府正常办公的大局。
随着计算机网络技术的提高,网络的安全性也越来越值得人们注意和防范,在该方案中,安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全,对相关的网络设备、主机系统、应用数据库提供严密的保护。同时,采用国际上最新的主流VPN技术,确保用户能充分利用网络的互通性和易用性,同时可以为用户尽可能地降低系统投入成本,实现高效益。网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品,好的安全策略;另一方面,更为重要的是要有完善的安全管理制度。3.2 实用性原则
系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用国际上最先进的技术,使系统完成后,保持一定时期的领先地位。
尤其是采用了目前国际上领先的“安全网关”技术,将“Firewall+VPN+IDS”技术的充分糅合,较单纯的Firewall技术具有不可比拟的优势,体现在:不仅具有FireWall的保护内网、提供服务的功能,而且利用VPN技术,可以解决Firewall所不能解决的外网用户的安全接入问题(在本方案中,导致可以直接省略“拨号服务器”),同时可以不受接入数量限制,这使整个网络系统的可用性大幅度提高。利用IDS技术,不仅强化了本身的抗攻击能力,而且可以与IDS系统互动。
实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能与实用性相结合。
3.3 可靠性原则
这套网络安全系统是网络的门户。它的稳定可靠关系重大,特别是WEB网上服务等具体业务项目,随着使用的普及,信息平台的运行不稳定甚至瘫痪将严重影响政府的形象,也将给为政府带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。
我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,采用负载均衡技术、备份技术就是其中的重要策略。3.4 可扩展性原则
网络安全建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性,在实现基本的网络被动防护系统(安装防火墙、VPN安全网关及其管理平台)以及信息传输加密的前提下,为以后进一步实现网络的主动防护系统,主要包括IDS、漏洞扫描系统和统一的安全策略管理系统都留有相应的接口,便于以后的扩展以及与IDS等设备实现互动。3.5 易管理性原则
网络系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。另外,通过网管平台,可以实现远程安全管理和本地管理等多种管理手段。第四章 XX证券VPN组网建设方案
4.1 VPN技术简介
VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道(即隧道),将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在,仿佛所有的主机都处于一个网络之中。对企业而言,VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术实现的,隧道机制是VPN实施的关键。数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
在众多的VPN解决方案中,IP-VPN脱颖而出,成为众多企业组建VPN的首选方案。IP-VPN是指在运行IP协议的网络上实现的VPN。世界上最大的IP网络就是Internet。由于Internet正在使用的IPv4协议在设计初期并没有过多地考虑安全问题,因此无法为用户解决他们所担心的数据安全保密性。IP-VPN在使用了一些额外的安全技术后,解决了这一难题。
目前,国际主流的大多是基于Ipsec的VPN技术,该技术正在迅速走向成熟,而且它正处于兴盛期。
图4-1 VPN组网示意图
虚拟专网的重点在于建立安全的数据传输通道,构造这条安全通道的协议必须具备以下条件:
保证数据的真实性:通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。
保证数据的完整性:接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性:提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密匙交换功能:提供密匙中心管理服务器,必须具备防止数据重演(Replay)的功能,保证通道不能被重演。
提供安全防护措施和访问控制:要有抵抗黑客通过VPN通道攻击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control)。
虚拟专用网VPN可以使在Internet中的信息交换有安全保障,大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式,后来它很快被公认为是一种远端的接入技术,例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。目前,VPN技术正在迅速走向成熟,而且它正处于兴盛期。
安达通公司作为国内领先的专业VPN厂商,投入了很大的人力、财力,经过一段时间的研究和攻关,提出了国内领先的全动态地址VPN的解决方案。安达通公司的解决方案不但真正解决了全动态VPN的组网问题,还融入了PKI技术,采用基于数字证书的身份认证机制,解决了大规模VPN应用中的设备管理和网络管理的难题。4.2 产品选型
上海安达通信息安全技术有限公司(简称ADT)是一家专业致力于解决企业互联网和内联网的网络信息传输和管理的公司。公司将自己定位为:基于PKI的网络安全传输平台供应商。目前已经拥有“PKI安全网关SGW系列、安全网关客户端软件、PKI网管平台、单/双密钥体系的企业CA系统、数字证书载体SureID系列、证书中间件”等产品。形成了一个以CA为核心,证书为灵魂,网络类安全设备和桌面安全软件/设备相互联动、密切配合的构建在PKI平台上的网络安全系统。
安全网关是一种结合防火墙、VPN技术的综合的网络边界安全设备,并且具有和入侵检测系统(IDS)互动的功能;随着系统的升级,ADT安全网关SGW系列产品,还将整合防病毒网关的功能以及基本的入侵检测功能来增强“安全网关”自身的稳定性、安全性和抗攻击性。作为网络的边界安全设备,安全网关将具有综合的安全作用,使网络的安全和投入,获得最佳的安全和效益。
另外,安达通公司的“安全网关”具有一个很明显的技术优势――解决了目前国际上的VPN技术的难题――非固定IP间的VPN通讯连接(如:通讯双方均采用ADSL进行连接)。
故此,我们建议目前的各XX证券组网方式改为VPN组网方案。
VPN组网除了以太网络联网方式外,还可以用于专用线路、帧中继/ATM链路或普通的旧式电话网(PSTN)提供的服务:如Modem拨号方式、ISDN、ADSL等。利用专线、帧中继/ATM或以太网方式,从经济上和功能上不太适合的组网需求,利用电话线路的组网方式中,由于Modem拨号方式从技术上、管理上、安全上不太适合目前业务发展的需要。ADSL是电信力推的企事业单位上网模式,不但速度快、性能好、实时性好,针对的应用特点和联网规模,从经济上也是前几种组网方式所不能比拟的。
针对的实际需求和具体应用,我们推荐此方案采用安达通公司的SGW25C、SGW25B、SGW25A等型号的硬件产品。4.3 网络规划与产品部署
1、总部设计方案
考虑到目前总部服务器的高安全性、高载荷和将来的发展,建议在总部业务线路(100M线路上)放置两台安达通SGW25C型VPN安全网关。为了避免出现单点故障,两网关作双机热备。
利用安达通安全网关的VPN技术建立总部和下面各营业点的“安全隧道”,实现总部和营业点之间安全的VPN“虚拟专用通道”。
利用安达通安全网关的防火墙功能实现基本的访问控制和安全隔离。普通数据包通过防火墙模块到达XX证券内部网络,实现包状态检测和访问控制功能。只有需要加密的数据和信息才可以通过安达通VPN网关到总部内部网络,对于非法的数据包则可以利用VPN安全策略将其进行过滤和处理。
另外,作为VPN备份线路,建议在总部的另外一个出口(10M线路,用于内部访问互联网)处步署一台安达通SGW25B安全网关,当业务线路出现故障(如路由器出现故障,被攻击,或者电信部门调整线路)时,下面各营业点可以同该网关(SGW25B)建立VPN通道,从而连接到内部网络。
2、全国各营业点网络设计方案
目前各营业点的使用adsl接入互联网,鉴于其网络流量不是很大的特点,建议在各营业点步署安达通公司SGW25A安全网关,利用其VPN功能,可以通总部建立VPN通道,从而安全的连接到总部内部网络;另外,利用其强大的防火墙功能,可以保护营业点内部网络。VPN组网结构如下: 图4-2 XX证券VPN组网结构示意图
第二篇:电信行业VPN解决方案
SSLVPN
电信行业VPN解决方案
时间:2004-7-4 14:40:27 来自: 点击:185
随着国内电信市场的高速发展,各大运营商如电信、网通、联通等等都在大力推广内部的信息化应用,利用先进的信息化管理系统来改善内部的管理。同时,为了更好的给用户提供服务,也逐步的将营业网点和业务代办点建到了众多的场所。
虽然运营商自身有着丰富的网络资源,骨干网络完全可以通过自有的DDN甚至光纤等其他专用线路来构建,但如何实现各移动用户随时安全的接入内部网络、如何将广大的代理商也能接入网络访问必要的数据,成为了运营商构建自身信息平台的重要问题之一。
随着近期各种宽带上网方式(如ADSL)的普及,新型的移动接入方式也层出不穷,众多的运营商开始采用Internet作为网络传输的补充平台、在此基础上构建安全方便的VPN虚拟网络。
远程办公,远程营业
各个服务中心开展现场营销活动时,客户经理在现场通过VPN连接总部获得营业信息,使用内部运营管理系统。在临时需要与总部联网时,不必架设繁琐的专用线路。只需要以任意方式接入Internet即可。
领导在外出差或在家办公时,只要能上网、安装VPN客户端软件,就可以登陆内部办公系统,及时审批公文和处理业务。
员工休假或出差时,也能及时通过VPN客户端、连接到内部办公系统获取公司信息。
实现效果:
原来各营业厅的客户经理在进行现场销售活动时,开通业务必须要到营业 厅内、很不方便,使用iGate SSL VPN,可以在户外现场直接开通业务,大大提高效率并提升了运营商的形象。
原来领导和员工外出办公,只能通过Modem拨号接入到办公网,速度很慢,使用iGate SSL VPN后,可以通过宽带接入办公网,速度大大提高,提高了工作效率。通过对接入授权的配置,提供给不同用户不同的权限,加强了办公网的内部安全。
连接合作伙伴、远程维护
替代原来的Modem接入方式或专线接入方式,将代理商接入到计费网络,使代理商可以在授权范围内自行开通和查询所代理的业务。
电信机房维护人员通过VPN,远程维护电信设备。
原来领导和员工外出办公,无法连接到办公网办公,使用iGate SSL VPN后,无论何时,何地,采用任何设备均可访问内部资源,提高了工作效率。
工程人员和运维人员可以远程维护机房设备,大大提高工作效率。在 iGate 上有严格的接入限制和授权,保证远程用户接入的安全性。
安全性充分满足了运营商的需要:
VPN网络的安全性有三层含义:一是数据传输的安全;二是用户接入的安全;三是对内网资源的访问安全。一般来说,所有的VPN产品都会通过数据加密技术来保障数据传输的安全,也会通过用户名密码或其他的证书认证方式等等,来保证用户接入的安全。但对内网资源的访问安全,则很多VPN产品都没有妥善的考虑。
运营商的内部网络资源繁多,也极其重要。所以首先必须保证合法的用户才能接入到网络中来,其次、对每个接入的用户,都必须设置相应的访问权限,只允许访问授权范围内的网络资源。
iGate SSL VPN采用了基于硬件的身份认证技术来解决用户的接入认证问题,即ikey身份验证令牌。只有在客户端插入ikey,输入PIN码,通过认证,才可访问被授权的资源。
另外,iGate SSL VPN还增强了对内网的安全设置,保障了第三个层次――内网资源访问的安全。尤其是接入的VPN用户并非是内部工作人员(如供应商、客户、合作伙伴等)时,对VPN用户访问权限需要更严格的设定。iGate提供了对内网访问权限的基于角色的设定,可以对不同的用户分配不同的权限规则,避免内部出现的安全隐患,一个合法的VPN用户接入总部后,他对总部资源的访问权限能够被限定在一个很小的范围内,例如总部有多个应用系统(如OA、财务、HR、CRM等等),一个普通的业务人员在联入VPN后只能访问OA或CRM,而公司领导则可以同时访问所有的应用系统,所有的这些权限都可以通过简单的配置迅速完成,极大的方便了IT安全部门的管理工作。
对移动用户的支持非常方便易用:
移动用户不可能带着硬件设备来接入公司VPN网络,有些低端的VPN产品解决移动用户的方式是直接调用操作系统自带的VPN功能,采用PPTP虚拟拨号的方式接入总部,只有基本的用户名密码验证,安全级别非常低;另外不能同时访问内网和Internet,也造成了极大的不便。
iGate SSL VPN对移动用户提供了强大的支持,并且支持“移动IP”。移动用户不但能够接入企业VPN网络,而且能够获取与在局域网内时相同的内网IP地址,并能够通过该IP地址与内部网络相互通信。这就使得移动用户不但可以访问企业网络,同时在外出时、也能够被局域网所找到,完全象在同一个局域网内一样。
ikey身份验证令牌可以将移动用户的安全策略存储在类似U盘的USB Key中,这样移动用户随身携带标识自己身份和存储了对应安全策略配置信息的ikey,可以在任何一台电脑安全的接入到总部。用户只需要插入ikey,输入PIN码就可以完成接入,做到了VPN客户端零配置,和使用银行取款机一样安全方便。简单易用性达到极点。
第三篇:MSTP组网类解决方案
中国人民银行西安分行网络升级
解决方案
中国电信股份有限公司西安分公司
2018年5月
目录
1、中国人民银行西安分行网络现状及需求分析...........................3
1.1 中国人民银行西安分行网络现状................................3 1.2中国人民银行西安分行需求分析.................................3
2、中国人民银行西安分行解决方案....................................4
2.1 方案设计原则................................................4 2.2 中国人民银行西安分行MSTP组网解决方案.......................5
3、MSTP组网方案特点...............................................5
4、方案优势........................................................6
1、中国人民银行西安分行网络现状及需求分析
1.1 中国人民银行西安分行网络现状
中国人民银行西安分行目前的全省广域网线路已运行多年,具体形式为: 1.西安分行核心路由器通过CPOS光口与电信方专业传输设备对接,实现9个地市及营业部单位的数据互联;
2.目前共开通有11条SDH数字电路,每条电路带宽为10M,每个地市单位同时开通1条SDH数字电路,并通过西安分行路由器和地市及营业部单位路由器进行互联使用;
3.每个地市及营业部单位10M带宽承载了公文、视频会议系统等重要业务。4.经现场与客户网络设备厂家技术人员确认:
中心端路由器具备空闲千兆FE电口,并且端口具备划分子接口(VLAN)的功能;
地市及营业部单位路由器均空闲有1个以太网端口。
1.2中国人民银行西安分行需求分析
中国人民银行西安分行现广域网已经运行多年,随着政务系统信息化建设的推进,现有的网络带宽已经不能满足业务量激增的需要,急需进行升级扩容,具体要求包括:
1、将西安分行至9个地市及营业部单位的广域网带宽由10M提升至20M;
2、尽可能利旧现有设备实现升速;
3、整个网络升级扩容不能影响到正常工作,并且升级后全网的ip地址不需要变更。
2、中国人民银行西安分行解决方案
2.1 方案设计原则
针对中国人民银行西安分行广域网升级项目的重要性和特殊性,我们在设计项目解决方案时特别遵循了以下设计原则: 先进性原则
从较高的起点对网络建设进行规划,充分采用先进成熟的网络技术,满足中国人民银行西安分行业务数据传输需要。用中国电信的传输网络优质资源提供全面的解决方案,形成统一先进的通信系统。 可靠性原则
网络设计过程中从网络技术、骨干路由、专线保护等多方面考虑中国人民银行西安分行广域网线路的可靠性,保证数据传输的安全可靠。同时提供的7*24小时的服务保障,从技术和服务两方面保证中国人民银行西安分行业务专网可用性达到要求。
经济性原则
通过技术、经济比较,性能、价格比较,选择优化的网络结构和网络技术,做到从实际出发,制定经济、合理的方案,为用户实现一个高可用、高安全的专网线路服务。 可扩充性原则
考虑到中国人民银行西安分行业务的飞速发展,网络承载的信息流量不断增加。中国人民银行西安分行专线的设计中须考虑未来带宽扩容的需要,从网络和设备的配置上都要保留一定的扩充余地,便于未来扩容需要。
第四篇:OA办公自动化系统组网解决方案
oa 办公自动化系统利用先进的技术,使人的各种办公业务活动逐步由各种设备、各种人机信息系统来协助完成,达到充分利用信息,提高工作效率和工作 质量,提高生产率的目的。作为企业信息化的重要组成部分,oa系统一直都是必须的一项业务。随着企业的发展,开设分公司、新办事处、在家办公、移动办公等都成了一种新的需求。因此,oa系统的应用不仅仅局限于某个公司总部或单位总局小型局域网了,现在总部都需要实现和分支机构的互联,使oa系统中的个人办公、公文系统、综合业务、行政管理、综合信息等资源共享,让公司管理更加统一规范,保证物流、信息流的实时更新,确保公司市场信息的及时传递,营销方案的及时执行,提高工作效率;对于政府机构来讲,需要实现和分局的实时联络,保证公文流转的时效性和安全性等等。
要实现这些目标,过去通过电话,电子邮件,不仅效率低,而且费用也不低;采用ddn专线造价太高,用modem远程拨号的方式速度又太慢。如何达到价格和性能的完美统一呢?有了iceflow vpn,只需要运行一套c/s、或者b/s的oa系统,全球各地的同事就可以协作完成任务了。
iceflow vpn特点
◇ 安全:iceflow vpn基于国际标准ipsec协议构建,采用192位idea、des、3des高强度加密算法,并采用动态密钥交换机制,其具有全面日志分析管理功能,最大程度保证公网传输中数据安全问题。可以将分部pptp用户和特定主机绑定,即使pptp客户用户名密码泄漏也绝无安全隐患。另外,与某类产品相比,iceflow vpn免受网络上病毒的攻击,也避免重启等手续,更有效保证数据传输的安全性
◇ 稳定:iceflow vpn按照工业标准设计,支持30000小时连续无故障运行,自动拨号,断线后可在线路恢复正常后10秒内恢复正常运行,支持单机双线路和双机分流备份,有效保证数据流畅通
◇ 灵活:iceflow vpn可实时查看当前数据流量;支持ddn,adsl,cable等多种方式接入internet;支持网状结构和星型结构等多种组网方式;可通过监控中心即时监测各个节点使用状态等,内建update功能,一般新发布的功能均可以免费得到。性价比高:iceflow vpn与同行业产品相比,价格合理,并且根据性能档次分不同价位,可满足不同用户需求。iceflow充分考虑用户的实际需求,为其良身定放产品
方案概述
oa办公自动化vpn组网原理和远程erp系统组网原理相同,都属于应用系统远程组网。iceflow建议,只需要在客户的总部以及各个分支机构分别放一台iceflow系列路由器,各点通过adsl或其它方式接入公网internet,就可以为客户构建廉价,稳定的vpn网络。因公司或企业领导需要在家或出差在外时仍能方便办公,故可采用pptp拨号方式接入,实现与总部的互联。
网络架构
◇ 总部:总部一般来讲是企业信息存放、处理的中心,网络内部主机数量多,数据流量大,安全性和实时性要求高;因此推荐采用高性能的iceflow r5000h作为接入服务器。对于实时要求很高的企业用户,可以在总部采用两台r5000h 作双机备份,保证稳定数据传输
◇ 分支机构:企业分支机构一般指分布在全国各地规模中等的分公司,公司内部建有中等规模的局域网,同时通过当地isp提供的宽带接入方式接入因特网。安装一台iceflowr5000l或1700h路由器,作为客户端接入总部
◇ 移动办公用户:采用pptp或l2tp协议,接入总部,可支持cdma/gprs及802.11b等无线移动接入,用户即使在乘坐车船甚至飞机的途中,可随时随地实现移动办公
第五篇:1 证券解决方案
证券解决方案
证券行业的网络应用主要分为两大方面:营业部网络和证券公司广域网。前者实现了各营业部的基本工作职能,侧重于局域网建设;后者则满足了大型跨地域证券公司的网络互连需求和增值服务的实现。为此,通威公司针对两类应用的特点分别提出了相应的解决方案。
1、营业部网络
营业部网络的功能由以下几部分组成:
1、交易/行情业务处理
这是每一个证券营业部网络所要提供的基本职能。它需要为用户提供行情公告和委托下单服务,一般基于Novell网络操作系统应用程序;同时还要具有交易清算的功能,这一般在Windows NT或UNIX环境下完成。交易/行情业务数据以文字为主,仅带有少量图形信息,但数据量大,更新频繁,其网络传递能力代表了证券营业部的服务质量和市场竞争 力,因此为这项主业务作支撑的网络要求具有很高的可靠性、数据传输速率和安全性。根据各营业部规模不同,网络环境大多采用100/1000M交换以太网作主干,10/100M 交换以太网到桌面的连接方式。
2、办公管理
除业务处理外,办公管理现代化也是行业发展的必然趋势,它可将营业部的各项管理数据作电子存档,通过网络共享,做到准确、及时、方便的信息交流,这部分数据以文字和图形为主,一般采用界面友好的浏览器形式操作。相对主业务数据而言,办公管理对网络实时性要求不高,主要强调系统的安全可靠、稳定和经济性。为此网络采用100M交换以太网主干,10M交换到桌面的连接方式就足以满足需求了。
3、通信服务
通信服务的内容涉及多个方面。这主要包括:发展证券公司内部Intranet,以WEB、电子邮件等方式加强办公管理;进一步与当地信息港、互联网连通,实现资源共享,同时扩展市场影响力;增加本地拨入服务,建立远程大户室,从而开拓新的业务范围等。这部分功能体现了证券公司的增值能力,其应用特点为灵活、多样,并且往往要借助于广域网链路来实现,要求系统可靠、扩展能力强,广域网链路经济,而互联网的接入则对网络的安全性提出考验。为此可采用防火墙和认证软件来保证系统的安全可靠,采用模块化设计的网络设备保证系统的扩充能力,并采用优化的带宽管理、多种链路技术、高速缓存等来保证广域网链路的经济性。
证券营业部网络的各项功能并非是各自独立的,而是相辅相成,并最终在一个统一的网络架构中实现。综上所述,这个网络的主体要求是:
可靠,不停机--系统有一定的冗余和备份,故障恢复迅速;
高速--在用户数据较多、突发流量大的情况下,不容许出现网络瓶颈,阻碍正常交易;
安全--鉴于网络中传递的信息就是金钱,一定要保证数据安全保密,防止不良分子破坏,尤其在互联网接入、危机四伏的情况下,网络安全更要引起重视;
可管理性--为保证系统良好的运行,满足前述几项要求,营业部网络也需要实施完善的管理,如精确分析网络流量、确定系统运行状态,监控非法用户入侵等。
结合上述网络要求,并针对不同的营业部规模和各自应用特点,通威公司提出了以下多种解决方案。
(1)500节点以下证券营业部解决方案
这是针对相对小型的证券营业部提出的解决方案,方案特点如下。
1.系统全套备份,主干交换机的全冗余配置,每个工作站到每台服务器都有多条连接链路,并采用快速以太网通道化、快速上联恢复和快速端口恢复等技术充分确保网络的可靠性。
2.高性能全交换,利用快速以太网通道化/千兆以太网通道化技术扩展网络带宽,满足大负荷网络运行需求;
3.系统安全,保密性高,交换机端口安全设置技术保证了局域网环境的安全,而IOS操作系统集成防火墙功能构成了广域连接安全屏障;
4.管理简单,可在用户熟悉的浏览器界面下,对系统的交换机实施配置和监控。管理人员也无需专门培训。
A、百兆主干方案
根据经济承受能力的不同,对500节点以下的营业部解决方案可以有百兆主干和千兆主干两种方式,百兆主干方案拓扑结构如下
由下图可看出,该方案网络设备组成为(斜杠表示可互换设备)
Catalyst 3524/2948G交换机 两台
Catalyst 2924/3524/3548交换机 十台 Cisco 2600路由器 一台
思科公司的Catalyst 3524或Catalyst 2948G交换机是这一网络的核心设备,Catalyst 3524提供了24个10/100M自适应的快速以太网端口和两上千兆以太网端口,Catalyst 2948G则具有48个10/100M快速以太网端口和两个千兆以太网端口,可分别用于对工作站数量有不同要求的应用,由图1可看出,两台Catalyst 3524/2948G各自利用两个百兆端口通过Cisco FEC(快速以太网通道,Fast Ethernet Channel)接成高达400M的无阻塞通道,成为该网络的主干;每台Catalyst 3524/2948G又分别和十台二级交换机Catalyst 2924/3524/3548级联,共可为220-460个10M或100M用户工作站提供网络接 入;同时,为保证交易服务器和行情服务器的高数据传输率,主干交换机Catalyst 3524/2948G又以100M甚至1000M带宽分别与各台服务器相连,使下级工作站的大量访问数据得以畅通无阻。
为实现前文所述的营业部网络的第三项功能--通信服务,方案中还引入了思科公司的路由器Cisco 2600,这是一款功能灵活、得以广泛应用的中档路由器,除了有固定的10M或10/100M局域网端口外,还具备一个NM网络插槽和两个WIC广域网接口插槽,所选模块可以有多种组合:如NM-8AM模块可为远程大户同时建立八条115.2K的电话拨号连接;WIC-IT可通过DDN专线或帧中继接入Internet或公司总部;WIC-IB则可提供一条ISDN拨号链路……营业部可根据自身需求选择适合的Cisco 2600型号和相应模块,空余的插槽可为以后网络升级留出空间。
除了硬件选配的灵活多样外,Cisco 2600在操作系统软件性能上也可以有丰富的功能选择。图1中所示的路由器后方带有一个红色砖墙标志,它表示该路由器兼任了防火墙--这是通过操作系统升级而具备的增强功能,它使路由器在承担远程连接的同时实施数据包检验和过滤,防止非法用户侵入到内部局域网中。
考虑到远程大户室的发展趋势,在每套解决方案中都用到了800/1700路由器来引入远程大户连接,这套方案中用到了思科公司的低端路由器Cisco 800/1700,它提供了对内的10/100M局域网接口和对外的128K的ISDN或专线连接,通过专用线路实现远程交易或浏览等应用。ISDN是国内已广泛应用的一种拨号技术,按连接时间计费,费用比普通电话线稍高,但带宽能达到普通电话线的3-4倍,且传输稳定,连接迅速。
思科公司产品系统的中、低端路由器都可以通过操作系统升级具备防火墙性能,在承担远程连接的同时实施数据包检验和过滤,防止非法用户入侵到内部局域网中。对连接到广域网的用户来说,安全性是网络设计中不可忽视的一项重要因素。
这种局域网设计的最大特点是高效率、高可靠性、高安全性和高可管理性;并且成本较低,网络结构易于搭建和管理,兼顾了证券营业部的多方面应用。高效率体现在FEC技术的使用、网络的分层结构和带宽的合理分配上。FEC技术是链路带宽扩容的一条重要途径。它可在100M或1000M以太网端口间实现,用于将多条并行链路的带宽叠加起来。这项技术能够把2-4组高速端口之间的连接带宽聚合在一起,在全双工工作模式下达到400M-800M的带宽,这样多条链路被用作单条高速数据通道,避免了回路的形成。以太网通道技术也体现了产品的可扩充性能,能充分利用现有设备实现高速数据传递。
高可靠性则由两台主干交换机的全冗余充分表现出来:从每个工作站到每台服务器都有多条连接链路,这样即使其中一条链路断线或一个主干交换机发生故障,都能在用户觉察不到的极短时间内启用备份恢复数据传递,从而保证了系统稳定可靠的运行。思科交换机所支持的几种容错技术,如FEC、Uplink-Fast(快速上联恢复)和Port-Fast(快速端口恢复)技术能够充分确保网络的可靠性。FEC技术的引入在实现带宽扩充的同时,多条链路被用作单条高速数据通道,避免了回路的形成,另外通道中部分线路的故障不影响其它线路的带宽聚合,从而也保障了网络的可靠性。快速上联恢复是用在交换机间级联链路上的一项技术。它使备份端口直接由阻塞进入到转发状态,从而使网络收敛时间从40秒大大缩短至5秒以内。快速端口恢复技术应用在直接连接工作站或服务器的交换机端口上,它与快速上联恢复的工作原理类似,将转换延迟从40秒缩短至2秒以内,这样在交换机上接入新的工作站,或改变某工作站的所接端口时,该站点能很快进入工作状态。
系统的安全性包含了局域网的安全性和广域网的安全性。思科局域网交换机能够进行端口安全的设置,交换机端口所连的各个工作站/服务器都有自己唯一的MAC地址,为此对应交换机的每端口都有一下MAC地址表。网络管理员可手动地在表中加入特定的MAC和端口的对应关系,将设备与端口绑定,防止假冒身份的非法用户通过网络中其它交换机接入;此外,端口安全机制还体现在对每端口所支持MAC地址数的限定上。在广域网方面,思科公司路由器的操作系统IOS能够集成防火墙功能。这使路由器在完成路由和远程连接功能的同时充当安全屏障--防火墙的角色,对规模较小的证券营业部,IOS防火墙不失为一种经济的选择。
此外,系统的管理相对简单,可以采用Cisco交换机视像管理器(CVSM),它是一套基于WEB的免费配置管理软件,可在用户熟悉的浏览器界面下对思科交换机系列产品实施配置和监控。CVSM避免了对交换机操作系统语言的直接介入,而以更为友好的图形界面取而代之。用户只需在交换机上只需事先设定好IP地址,就可以通过CVSM轻松地去访问和管理它;所有操作一次性完成,不需随时监控。
B、千兆主干方案
在同一网络规模下,若证券公司对网络主干有更高的要求,可通过更换前套方案中的主干交换机将其提升为千兆主干网络,拓朴结构如下:
图中网络设备组成为:[见图]
Catalyst4003交换机 两台
Catalyst2924/3524/3548交换机 十台
Cisco 2600路由器 一台
该方案与前方案结构大致相同,只是核心交换机由原来的Catalyst 3524/2948G升级为Catalyst 4003,它具备三个接口插槽,可选择的以太网端口从带宽上和密度上都比Catalyst 3524/2948G有较大提高。这里共选配了8个千兆端口和32个百兆端口,从而可以将两台主干间的百兆FEC通道提升为千兆GEC通道,接成高达4G的主干带宽;同时也可为更多的行情/交易服务器或数据量较大的二级交换机提供千兆连接。千兆以太网通道化技术与快速以太网通道化技术类似,它可将2-4组千兆端口之间的连接带宽聚合在一起,在全双工工作模式下达到4-8G的带宽,这样多条链路被用作单条高速数据通道,在提高传输效率的同时避免了回路的形成,通道中部分线路的故障不影响其它线路的带宽聚合,从而也提高了网络的可靠性。
(2)500-1000节点证券营业部解决方案
能支持500-1000节点的证券营业部属中型规模,它的网络建设同样需要满足营业部网络的特定要求,并且相对500节点以下的网络还应具有更高的数据吞吐能力,此类系统的主要特点如下:
系统全套备份,稳定可靠,独特的堆叠技术能够在网络中构造冗余,在堆叠之外每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接,保障系统运行的可靠性;利用HSRP技术,可以实现两个主干交换机在第三层上的热备份功能;
高性能全交换,千兆主干,并采用千兆以太网通道化技术扩充带宽,能满足大负荷网络运行需求;第三层交换技术,能够使两个网段在进行数据交换时,可以根据不同的应用有选择的进行,提高了带宽资源的利用率。VLAN技术的引入也使得系统资源能够被更有效地利用,结合HSRP(热备份路由协议)技术、PVST(每个VLAN单独计算Spanning Tree)技 术,使每个二级交换机上的两条联链路同时处于传输状态,各自分担一部分VLAN的数据传输,充分利用带宽。
系统安全,保密性高,采用先进的虚拟局域网技术,它依靠用户逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成,从而提高了系统的安全性。
可选用功能相对强大的专业网管系统,使网络管理从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面,管理界面友好,使用灵活方便。
通威公司针对这种规模的网络提供的方案拓扑结构如下:
图中网络设备组成如下图:
Catalyst 4006/6506交换机 两台
Catalyst 2948G/2980G交换机 若干 Catalyst 3524/3548交换机 若干
Cisco 2600路由器 一台
由图可看出,这套方案仍为双主干互备份,级联多个二级交换机的结构。但为支持更多用户数和更多大的数据传输量,各级设备都相应升级:主干交换机采用两台Catalyst 4006(6个接口插槽,带第三层交换模块)或Catalyst 6506(6个接口插槽,带第三层交换模块MSFC),以GEC技术构造8G高速主干,足以负担沉重的数据传输量;二级交换机可采用Catalyst 2948G/2980G,同时与两主干交换机作千兆上联,并为工作站提供48/80个 10/100M接入端口;若某些二级网点要求的用户数更多,则可采用多台Catalyst 3524/3548堆叠--思科公司的Catalyst3500交换机具有独特的GigaStack堆叠技术,采用价格低廉的铜缆以菊花链方式构成1G的堆叠总线,每堆叠最多可支持九台Catalyst 3524/3548,提供多达300多个10/100M工作站接入端口。
该方案充分考虑到系统的高可靠性、高安全性、高速率和可管理性。
在可靠性方面,思科的GigaStack堆叠技术,使首尾两台交换机的额外连线将整个总线结成回路,其目的是在堆叠内构造冗余,这样即使堆叠中任一连接出现故障,都能继续传递数据;在堆叠之外,每个二级网点和服务器仍同时与两台主干交换机作千兆双链路连接,保障系统运行的可靠性。
该方案采用了虚拟局域网(VLAN)技术来充分保证系统的安全性。随着用户的增多,整个营业部局域网内数据流通量增大,并且行情、交易、办公管理的数据混杂,不利于网络性能的提高和安全隔离,这使得VLAN的应用成为必要。VLAN依靠用户的逻辑设定将原来物理上互连的一个局域网络划分为多个虚拟网段,划分的依据可为设备所连的端口、用户节点的MAC地址等。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过第三层交换来完成。划分VLAN具备以下好处:提高安全性、隔离第二层的广播信息提高带宽利用率、增强网络应用灵活性。当然,不同部门(VLAN)之间有时也需要进行数据交换,为此需要借助主干交换机第三层交换的功能,这是由交换机的第三层交换模块来实现。它支持多种路由协议(如RIP,PIP v2,OSPF,EIGRP等),也支持访问控制列表(access list)。
主干交换机采用千兆高速技术和GEC技术,足以负担沉重的数据传输量;二级交换机的处理能力也非常强大,同时与两主干交换机作千兆上联。思科的HSRP(热备份路由协议)技术,能够使两个主干交换机在第三层(即VLAN之间的数据传输)互为热备份;同时在二级交换机上,利用PVST技术针对两条千兆上联链路为每个VLAN设定不同优先级,使到两条千兆上联链路都负担部分流量,做到负载分担,充分利用带宽资源。
该方案可以选用功能相对强大的专业网管系统如Cisco Works Windows。它的功能已从单纯的配置管理扩展到设备配置和网络健康状况管理等多个方面:如定性或定量的分析网络各项参数;基于SNMP全面管理网络中多种设备,以照片方式显示设备直观视图;通过简单的点击配置设备端口和各项参数;通过不同色彩和多种图表显示各种工作状态等。这是一套基于Windows的网络管理软件,可安装在Windows 95/98或Windows NT平台上,界面友好,使用灵活方便。
此外,数据处理能力的增强使得证券营业部有可能开展更多的服务项目,如图形信息量较大、对网络带宽和传输质量要求较高的多媒体股评、视频点播等。
(3)1000节点以上证券营业部解决方案
对于更大规模的证券营业部,通威公司又推出第三套建议方案,方案特点如下:
1.系统全套备份,稳定可靠;
2.高性能全交换,千兆主干,满足大负荷网络运行需求;交换机具备极高的交换能力和端口密度,并通过第三层交换提高了系统性能。
3.系统安全,保密性高,在VLAN、交换机端口安全机制等基础上,高性能的交换机具有对第三层路由模块的支持能力,可以对VLAN间数据交换起到更好的支持作用
4.网络管理采用深入全面的工具,可运行于Windows NT或多种UNIX平台,功能十分强大,可对VLAN和ATM实施管理,支持的用户数更多,适用于大型网络。
相对中、小规模的证券营业部,大型营业部的业务模式基本没有太多变化,因此网络方案特点同于前方案,但用户数进一步增加对网络容量所带来的更高要求使本方案所用设备再次升级,具体拓扑结构如下:
图中网络设备组成为:
atalyst6509交换机 两台
Catalyst 2948G/2980G交换机
若干 Catalyst 3524/3548交换机 若干
Cisco 2600路由器 一台
大规模证券营业部所采用的二级交换机仍为Catalyst 2948G/2980G或Catalyst 3524/3548堆叠,每个网点可最多为数百个用户提供连接;但由于二级网点数量的增加,对主干设备性能则提出了更高要求,为此主干交换机升级为两台Catalyst 6509,这是思科公司性能卓越的高端局域网产品之一,具备极高的交换能力和端口密度,有Catalyst 6506/6509两种不同插槽数的型号可供选择,最多可支持上百个千兆以太网端口,能充分满足网络互联的需求。
除端口密度增加外,Catalyst 6500性能的提升还体现在其第三层功能上:首先,Catalyst 6500支持专有的第三层交换模块MSFC(多层交换特性卡),不需借助外接的路由器就可实现路由;其次,MSFC直接附在交换引擎上,无需占用一个槽位;再次MSFC支持多层交换,可以提供。
另外Catalyst 6500支持双交换引擎、双电源冗余备份,体现其极高的可靠性。
Catalyst 6500系列满足了可扩展性和高的性能/价格比的需求,支持宽广的端口密 度、性能及高可用的选择,并提供智能化、服务质量(QoS)和安全的机制。客户可以更加有效的增强网络的客户服务如组播和ERP的应用而不须考虑网络性能的严重衰减。与PFC(策略特性卡,和MSFC一样附在交换引擎上)一起,可基于第二、三、四层的信息如用户、IP地址或不同的应用而实现网络的策略管理,或得很好的服务质量(QoS)。
该方案对于可靠性、运行速度、安全性、可管理性都予以充分的考虑。
整个系统采用的全套备份的体系,具备很高的可靠性,而Catalyst 6500所具备的热备份路由功能(HSRP)更是提高了这一性能。
除了前几种方案所述的VLAN、交换机端口安全机制等技术之外,该方案中Catalyst 6500对第三层路由模块的支持能力,可以对VLAN间数据交流尤其起到了更好的支持,从而提高了系统的安全性。
在网络运行速度方面,这一方案的配置相比而言更为高档,数据处理能力极强。此外,Catalyst 6500既保留了传统的第二层交换在各端口间传递数据时的高线速,又集成了原来在第三层路由中才有的完善的控制功能如路由、审计、广播隔离等,大大提高数据处理能力。
在管理方面,该方案可以选用Cisco Works 2000这类管理深入全面的工具,它可运行于Windows NT或多种UNIX平台,功能十分强大,可对VLAN和ATM实施管理,支持的用户数也更多,适用于大型网络。
该方案还具有对多媒体信息处理的强大能力,这主要通过增强的数据处理能力、完善的QoS机制和优化的视频数据传输方案IP/TV等来实现的。值得一提的是,QoS不仅能够充分利用带宽资源,更可充分保证关键应用。QoS系统能对网上的数据流应用类别进行判定,并在IP包头其优先级。然后,在应用识别基础上,对数据流量进行调度。思科的加权式公平队列(WFQ)、加权随机早期探测(WRED)等技术,可以精确处理带宽流量,从而使系统资源利用更为有效,保证各类多媒体信息可以流畅地在网络中传送
点击咨询 