大型证券营业部网络解决方案(1)

大型证券营业部网络解决方案#前言#证券业务在我国开展的时日已久，随着时间地推移日渐繁荣。证券市场在建设之初，存在营业场地小、投资人数多、下单速度慢、人工委托容易出差错等一系列瓶颈问题。如何从技术上进行有效突破成为当务之急。网络技术的日新月异为证券服务带来了新的契机。利用新一代信息技术改造原有证券服务模式，进而拓展增值效用，已成为证券行业发展的潮流。不过，这一切都必须依靠、安全、高效、可管理的网络。证券营业部实现了面向用户的各种业务流程的电子化，提供了传统证券业务的各种职能。它能够为用户提供行情公告和委托下单服务，并可以进行交易清算。同时，这种网络可以将营业部的各项数据实现数字化管理，并通过共享的方式做到准备及时的交流。营业部网络的建设可以起到立竿见影的效果，它实现了企业内部、企业与客户之间的信息资源高效、快捷的交流和共享，极大的提高了工作效率，减轻了工作量。此外，这部分功能体现了证券公司的增值能力，为拓展市场、开拓新的业务范围打下了坚实的基础。构建致胜平台·集实时行情、技术分析、证券资讯、电子交易于一身，改善服务质量，提高股民满意程度。·改变工作模式，开展新业务。网上交易方便快捷，减少日常营业费用，易于拓展用户群，开展新业务·提高市场竞争力。降低证券公司运营成本，扩大用户群，提高证券商实力。#网络应用分析#·交易/行业业务处理这是每一个证券营业部网络所需要提供的基本职能。它需要为用户提供行情公告和委托下单服务，一般基于NOVELL网络操作系统应用程序；同时还要具有交易清算功能，这一般在WINDOWSNT或UNIX环境下完成。交易/行情业务数据以文字为主，仅带有少量图形信息，但数据量大，更新频繁，其网络传递能力代表了证券营业部的服务质量和市场竞争力，因此支撑这项业务的网络要求具有很高的可靠性、数据传输速率和安全性。·办公管理业务处理外，办公管理现代化也是行业发展的必然趋势，它可将营业部的各项管理数据作电子存档，通过网络共享做到准确、及时、方便的信息交流，这部分数据以文字和图形为主，一般采用界面友好的浏览器形式操作。相对业务数据而言，办公管理对网络实时性要求不高，主要强调系统的可靠、稳定和经济性。·通讯服务通讯服务的内容涉及多个方面。这主要包括：发展证券公司内部INTRANET，以WEB、电子邮件等方式加强办公管理；进一步与当地信息港、互联网联通，实现资源共享，同时扩大市场影响力；增强本地拨入服务，建立远程大户室，从而开拓新的业务范畴。#系统主体要求#证券营业部网络的各项功能并非是各自独立的，而是相辅相成的，并最终在一个统一的网络构架中实现。综上所述，这个网络的主体要求是：·可靠、不停机――拥有一定的冗余和备份，出现故障时恢复迅速。·高速――用户数据较多、突发流量大的情况下，不容许出现网络瓶颈，阻碍正常交易。·安全――于网络中传递的信息就是金钱，一定要保证数据安全、保密，防止不良分子破坏，尤其在接入互联网、危机四伏的情况下网络安全更要引起重视。·可管理性――保证系统良好的运行，满足前几项要求，营业部网络也需要实施完善的管理，如精确分析网络流量、确认系统运行状态，监控非法用户入侵等。#解决方案#结合证券业网络要求，针对不同的营业部规模及应用特点，我们提供如下解决方案：路由器：采用Cisco3600/2650路由器，Cisco3600系列是一个适合大中型企业Internet服务供应商的模块化、多功能访问平台家族。Cisco3600系列拥有70多个模块化接口选项，提供语音/数据集成、虚拟专网（VPN）、拨号访问和多协议数据路由解决方案。通过利用CIsco的语音/传真网络模块，Cisco3600系列允许客户在单个网络上合并语音、传真和数据流量。高性能的模块化体系结构保护了客户的网络技术投资，并将多个设备的功能集成到一个可管理的解决方案之中。3600捆绑还可用于抓住特定的RAS机遇。关键特性：·在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM连接以及语音、视频和数据的多服务集成。·模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护。·高密度ISDNPRI功能。·预配置的BRI和PRI调制解调器捆绑。·支持Modem-over-BRI功能性。·集成了CiscoIOS软件（产品定价中包括IPIOS软件）。·完全支持VPN。防火墙：采用方正方御防火墙FG-FW。利用防火墙隔断内网与外网，统一部署安全策略，为内网设备与数据信息提供安全保障；利用入侵检测实现发现攻击企图，为内部提供更多的可了解信息；利用扫描器对自己的网络进行安全扫描，评估内部风险，并定期维护内网安全。核心交换机：采用二台机箱式快速三层路由交换机HDS8514进行冗余连接。模块化的机箱可灵活方便的根据需要选择模块；为保证交易服务器和行情服务器的高数据传输率，直接以100M或1000M端口与各服务器相联，使下级工作站的大量访问数据得以畅通无阻；12G的背板带宽，充分保证网络的高速性，避免网络瓶颈的出现；所有模块均支持热插拔；具有广播风暴控制；第三层线速交换。两组交换机堆叠间用两个千兆端口聚合成4G的链路，构成网络主干。每台HDS8514机箱分别和二级节点交换机进行级联。二级交换机：采用HDS5524F或HDS5524FS可堆叠交换机，10M/100M的用户端口，并提供标准完善的管理功能。HDS5524F系列交换机支持标准的802.1QVLAN，使各部门的局域自成体系，增强安全性并隔离了广播风暴，同时HDS8514的第三层交换的功能又使不同用户群之间必要的限制性访问得到实现，从而使得应用网络的设计更加自由，更加灵活。HDS5524F系列交换机采用静态MAC地址绑定。在其端口上设置无盘工作站网卡的MAC地址，将MAC地址与端口进行绑定，实现网络用户接入的安全保障，不良动机者携带笔记本电脑也不能连入营业部网内。#方案特点#高效、高可靠性、高安全性、低成本，网络结构易于搭建和管理，兼顾了证券营业部的多方面应用。·高效性体现在TRUNK技术的使用、网络的分层结构和宽带的合理分配上。TRUNK是链路宽带扩展的一个重要途径。TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用，可以把多组端口的宽带叠加起来使用。TRUNK技术可以实现TRUNK内部多条链路互为备份的功能，即当一条链路出现故障时，不影响其他链路的工作，同时多链路之间还能实现流量负载均衡。·高可靠性则由两台核心交换机的冗余充分体现：每个工作站到每台服务器都有两条连接链路，这样即使其中的一条链路断线或一个主干交换机发生故障，都能在用户觉察不到的时间内启用备份恢复数据传递，从而保证了系统稳定可靠的运行。·系统安全性是证券网络最突出的特征。系统的安全性包含了局域网安全性和广域网安全性。HDS交换机能够将交换机所连端口上的工作站的唯一合法MAC地址以及IP地址与端口进行绑定。网络管理员通过对交换机的设置手工加入特定的MAC地址以及IP和端口的对应关系，将设备与端口绑定，防止假冒身份的非法用户通过交换机接入网络。同时按应用域划分VLANS，可以对不同业务范围作安全的划分。在广域网安全性方面，采用方正方御1U型防火墙＋VPN模块。利用防火墙可统一部署安全策略，隔离内网外网以及服务器设备，即内、外网分离的系统结构方案，营业部关键业务数据和普通行情数据被分离，关键业务数据因为中间件的隔离作用，处于被严格保护的状态，极大的为内网设备与信息提供安全保障；利用入侵检测实现发现攻击企图，为内部提供更多的可了解信息；利用扫描器对自己的网络进行安全扫描，评估内部风险，并定期维护内网安全，实现内网的安全。·便利的管理则体现在所有的交换机均可实现串口、TELNET以及WEB方式进行管理。简明的管理界面清晰直观易懂，可方便的查询各端口的工作状态以及流量情况，便于分析及查找网络故障。