【正文】 總部主機房購置一臺高檔 PC。 新建營業(yè)部需要購置一臺高檔品牌機。 眾所周知，證券行業(yè)的日常業(yè)務(wù)涉及大量資金且參與群體眾多， 對網(wǎng)絡(luò) 的穩(wěn)定性 、實時性 和可靠性要求極高。在發(fā)揚穩(wěn)健經(jīng)營傳統(tǒng)的基礎(chǔ)上，增加服務(wù)品種，及時引入新交易技術(shù)和信息管理手段 ， 開設(shè)遠程交易系統(tǒng)，為廣大客戶提供準(zhǔn)確、快捷、安全的交易代理與清算服務(wù)。許多 ISP 廠商已提供或正計劃提供增值 VPN服務(wù)。 VPN可以使客戶利用公眾網(wǎng)的資源將分散在各地的機構(gòu)動態(tài)的連接起來，使電信運營公司，電信客戶和最終用戶三者都獲利。ISP 對外提供兩種服務(wù)，資源利用率和業(yè)務(wù)量都會大大增加。 隧道技術(shù)是 VPN 的基本技術(shù)，類似于點對點連接技術(shù)，在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。第二層隧道協(xié)議有 L2F、 PPTP、 L2TP 等。 Media IP L2TP PPP IP 用戶數(shù)據(jù) 圖 2 L2TP 數(shù)據(jù)報格式 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。 IPSec 使用 AH（ Authentication Header）和 ESP（ Encapsulating Security Payload）兩個協(xié)議來提供數(shù)據(jù)流量的安全性。 Media IP HEAD AH ESP 用戶數(shù)據(jù) 圖 2 IPSec 幀格式 MPLS VPN 的基本工作方式是采用第三層技術(shù)，每一個 VPN 具有獨自的 VPNID，每一個 VPN 的用戶只能與自己 VPN網(wǎng)絡(luò)中的成員進行通信，而也只有 VPN的成員才能有權(quán)進入該 VPN。在基于 MPLS的 VPN 中， BGP 只對同一個 VPN 的成員發(fā)布信息，通過流量分離來提供基本的安全性。既然不可能 spoof 端口， MPLS VPN 就不易受到 spoof的攻擊。根據(jù)數(shù)據(jù)入口，交換機選擇一特定的轉(zhuǎn)發(fā)表，該表中只包括在 VPN 中有效的目的地址。 QoS可為每個 VPN提供特有的業(yè)務(wù)政策，而且 QoS 服務(wù)可與基于 MPLS 的 VPN無縫結(jié)合，因為兩者都是基于標(biāo)記的技術(shù)。 這種網(wǎng)絡(luò)結(jié)構(gòu)目前可支持許多種 VPN，可減輕每一個 新網(wǎng)絡(luò)實施工程的負擔(dān)。與增加一臺設(shè)備需要大量操作的 overlay VPN相比，這種方案要簡單、迅速和便宜的多。 證券公司 MPLS VPN 設(shè)計方案描述 根據(jù)用戶的需求，虛擬專網(wǎng)需要覆蓋目前用戶業(yè)務(wù)比較集中的地區(qū)，各營業(yè)部均連入虛擬專網(wǎng)內(nèi)，享受高速、快捷、方便、實時的網(wǎng)絡(luò)服務(wù)。主要過程如下： （ A）定義一 個 VPN 1． Router(config)ip vrf vrfname （通過分配 VRF名來定義一個 VPN環(huán)境） 2． Router(configvrf)rd routedistinguisher（建立一個 routing 和 forwarding表） 3． Router(configvrf)routetarget {import | export | both} routetargetextmunity（對于指定的 VRF，建立輸出和輸入到目標(biāo)組織的路由列表） 4． Router(configvrf)import map routemap （ 可選項 ，將特定的路由映射到指定的 VRF上） 5． Router(configif)ip vrf forwarding vrfname （使 VRF和某個指定的接口或子接口綁定） （ B）設(shè)置 BGP中 PE到 PE的路由 1. Router(config)router bgp autonomoussystem (激活 IBGP路由 ) 2. Router(configrouter)neighbor {ipaddress | peergroupname} remoteas number (指定 BGP鄰居或?qū)Φ认到y(tǒng)，以和本自治系統(tǒng)區(qū)分 ) 3. Router(configrouter)neighbor ipaddress activate (在非廣播網(wǎng)上運行 BGP要指定激活鄰居路由器 ) （ C）設(shè)置 BGP網(wǎng)中 PE到 CE的路由會話 (EBGP、 OSPF、 RIP或靜態(tài) ) (config)router bgp autonomoussystem (激活 EBGP路由 ) (configrouter)neighbor {ipaddress | peergroupname} remoteas number (指定 BGP鄰居或?qū)Φ认到y(tǒng)，以和本自治系統(tǒng)區(qū)分 ) (configrouter)neighbor ipaddress activate (在非廣播網(wǎng)上運行 BGP 要指定激活鄰居路由器 ) 采用 MPLS VPN 的好處是顯而易見的。證券公司各個管理總部采用就近原則，在主鏈路失效時，自動啟動撥號備份功能，保障 WAN 的互連。 總部與固定線路電信運營商節(jié)點采用 2 條 E1 線路互為備份，實現(xiàn)負載均衡。 Router(configif)backup interface interfacename IP 地址、路由規(guī)劃 一、證券公司 IP 規(guī)劃： 證券公司 IP 地址規(guī)劃建議采用一個 A類地址， 。 二、 證券公司 MPLS VPN 路由規(guī)劃 證券公司內(nèi)部路由協(xié)議可以采用 OSPF 動態(tài)路由協(xié)議，實現(xiàn)證券公司網(wǎng)絡(luò)系統(tǒng)內(nèi)部快速、統(tǒng)一的路由發(fā)現(xiàn)功能。 證券公司總部 IP： ， 內(nèi)部使用 OSPF（或 RIP）路由協(xié)議， CE 路由器（ Cisco 7206）互連電信運營商接口 IP： ， PE 路由器（ Cisco 7206）互連接口 IP： 。例如： Router(configif) ip address 二、 證券公司各地總部 CE 路由器配置 DDR 主要是撥號參數(shù)：包括對方 IP 地址和電話號碼的關(guān)系、 PPP 協(xié)議等。 BRI 則采用不同電話號碼。 ISDN 技術(shù)成熟，覆蓋面廣。 其他營業(yè)部分別通過 ISDN或低速 DDN方式同該區(qū)域管理總部連通。 從以上工作過 程可見， MPLS VPN絲毫不改變 CE（ Customer Edge）和 PE（ Provider Edge）原有的配置，一旦有新的 CE 加入到網(wǎng)絡(luò)時，只需在 PE上作簡單配置，其余的改動信息由 IGP/BGP 自動通知到 CE和 PE。如果某個公司需要在自己的 VPN 中增加一站點，服務(wù)提供商只需告訴客戶端設(shè)備的路由器如何與網(wǎng)絡(luò)連接，并配置 LSR 來識別來自于 CPE 的 VPN 成員。租用者可與供應(yīng)商提供的服務(wù)無縫結(jié)合，不必改變 Intra 應(yīng)用，因為這些網(wǎng)絡(luò)具有應(yīng)用通曉性、保密性且 QoS 內(nèi)置于網(wǎng)絡(luò)中。 這種解決方案的優(yōu)勢在于服務(wù)提供商可以通過相同的網(wǎng)絡(luò)結(jié)構(gòu)來支持許多種 VPN，并不需要為每一個用戶建立單獨的網(wǎng)絡(luò)。通過這個標(biāo)簽將數(shù)據(jù)傳送到相應(yīng)地點。這種基于標(biāo)簽的模式可與幀中繼和 ATM 一樣提供保密性。轉(zhuǎn)發(fā)表中包括一個獨一無二的地址，叫作 VPNIP 地址，是由RD 和用戶的 IP 地址連接形成 ， VPNIP 地址在網(wǎng)絡(luò)中是獨一無二的，地址表存儲在轉(zhuǎn)發(fā)表中。 AH 和 ESP 可單獨使用，也可以共同使用。 IPSec（ IP Security）是由一組 RFC 文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法、確定服務(wù)所使用密鑰等服務(wù)，從而在 IP 層提供安全保障。 L2TP 的工作過程如下： LAC 接收用戶的 PPP 請求，當(dāng) LAC 認為用戶是需要 VPN服務(wù)時，即向 LNS（ LNS地址可以由管理員根據(jù)用戶身份配置，也可以由用戶提供）發(fā)出 L2TP 隧道建立申請； LAN與 LNS 之間通過交換 AVP 建立 L2TP 隧道，用戶的 PPP 數(shù)據(jù)被 LAC 封裝上 L2TP 包頭后向 LNS 發(fā)出， 目 錄 14 LNS 也許會對用戶進行多次認證； LACLNS 之間通過 “HELLOW”包維護 L2TP 隧道，隧道安全性可以LACLNS 保證，也可以“用戶 LNS”之間保證。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP 中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。 目前 VPN 主要采用四項技術(shù)：隧道技術(shù)（ Tunneling）、加解密技術(shù) Encryption amp。事實上， VPN 用戶的數(shù)據(jù)流量較普通用戶要大得多，而且時間上也是相互錯開的。在虛擬網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。構(gòu)建的專用網(wǎng)絡(luò)應(yīng)具有技術(shù)先進性和靈活的擴展性，能平滑過度，快速適應(yīng)未來多種業(yè)務(wù)發(fā)展的需求，有效保護用 戶的已有投資。融資服務(wù)趨于多樣化，投資交易對信息服務(wù)和時效性提出了更高要求，交易技術(shù)網(wǎng)絡(luò)化，證券市場隨著中國加入 WTO 加速對外開放。 證券公司區(qū)域網(wǎng)設(shè)計方案 本著 為 證券公司 提供專業(yè)而富有個性的服務(wù)，使客戶交易便捷、信息服務(wù) 支持充分 的宗旨， 長城證券對其信息系統(tǒng)進行了升級改造，并且 建立了一整套從最前端的業(yè)務(wù)處理到最高端管理決策支持的信息系統(tǒng)和相應(yīng)管理體系。 對于總部大廈辦公網(wǎng)絡(luò)，可以采用 ADSL 上網(wǎng)方式，前端配置一臺高檔 PC，作為 ADSL 上網(wǎng)代理服務(wù)器即可。為此，辦公樓購置一臺 Cisco 3662。 四、 設(shè)備配置和服務(wù)費用項目 管理總部： 序號 名稱 模塊號 描述 數(shù)量 1 Cisco 3640 CISCO3640 Cisco 3640， 4 模塊插槽， 1 個電源 1 NM2FE2W 10/100M TX 模塊 1 NM1CE1U E1 接口模塊 1 NM4BS/T 4 ISDN BRI 接口 1 PWR3640AC Cisco 3640 交流電源 1 2 高檔 PC PIII 800 以上品牌機 1 單個營業(yè)部及總部 WAN 通信平臺 由于地域關(guān)系，某些營業(yè)部以及總部辦公大樓直接和總部的中心機房直接互連，網(wǎng)絡(luò)結(jié)構(gòu)參考相應(yīng)營業(yè)部與總部互連網(wǎng)絡(luò)結(jié)構(gòu)圖 一、 單個營業(yè)部 單個營業(yè)部申請 128 K DDN 線路連接總部。 二、 管理總部與深圳總部的廣域網(wǎng)連接 管理總部和深圳總部的 WAN 互連，管理總部租用 E1 數(shù)字線路，通過 MPLS VPN，實現(xiàn)與深圳總部的互連，保證安全、可靠、迅捷地訪問深圳總部網(wǎng)絡(luò)。 營業(yè)部與管理總部不在同一城內(nèi)，管理總部和營業(yè)部之間可以使用 2M DDN 方式互連。需要完成營業(yè)部與區(qū)域管理中心的網(wǎng)絡(luò)通信平臺建設(shè)，實現(xiàn)安全、可靠、迅捷的網(wǎng)絡(luò)通信。該設(shè)備具有冗余的雙電源，并提供 4 個可用的插槽供將來擴展。建議總部級的網(wǎng)絡(luò)設(shè)備選用 Cisco 高端路由器產(chǎn)品。 以下是廣域網(wǎng)傳輸網(wǎng)物理連接特性比較表： 廣域 傳輸網(wǎng) 覆蓋范圍 同等帶寬資費標(biāo)準(zhǔn) 適宜應(yīng)用 可用性 中國電信 DDN 可達全國縣、鄉(xiāng)、鎮(zhèn) 區(qū)域 最貴 數(shù)據(jù)傳輸 高 幀中繼（ FR） 省會城市及各地級市 DDN費用一半 數(shù)據(jù)、語音 高 ISDN 各省會城市及部分省地級市 費用低廉 數(shù)據(jù)、語音、視頻 中 寬帶 IP接入 僅限于少數(shù)城市 DDN資費標(biāo)準(zhǔn)一半 數(shù)據(jù)、多媒體 中 從以上綜合比較來看 ，對于跨省際的廣域網(wǎng)傳輸網(wǎng)，我們建議券商一定要選用已經(jīng)建立起全國級骨干網(wǎng)絡(luò)的電信運營商（如電信、聯(lián)通、網(wǎng)通）。預(yù)計全國各中心城市的 ISDN互連能夠在今年下半年完成。 中元公司的幀中繼網(wǎng)絡(luò)目前可覆蓋全國各省會城市及各省的地級市。在需要大于 128kbps 的帶寬時，可考慮利用 MPPP 技術(shù)將幾條 ISDN 線路綁在一塊使用。對網(wǎng)絡(luò)服務(wù)質(zhì)量的保證各個線路提供商的承諾則不盡相 同。傳統(tǒng)的網(wǎng)絡(luò)框架定制了傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用，即以共享以太 網(wǎng)和低速鏈路接入廣域網(wǎng)，如 64Kbps 的 DDN或更低的 PSTN 鏈路，就可以滿足應(yīng)用的要求。采用幀中繼技術(shù)，可以為用戶傳送變吞吐量、低時延的數(shù)據(jù)。 （ 2） 幀中繼網(wǎng)（ Frame Relay） 幀中繼是有分組交換技術(shù)發(fā)展而來的一種技術(shù)，這種技術(shù)比 協(xié)議提供的功能少。 DDN 網(wǎng)只允許用戶建立點到點的連接，并不具有統(tǒng)計復(fù)用的功能。 我們建議采用端到端的網(wǎng)絡(luò)方案，即采用主要有一家公司提供的包括交換機，路由器，撥號訪問服務(wù)器軟硬件產(chǎn)品。 在建設(shè)證券公司廣域網(wǎng)時，我們將綜合考慮網(wǎng)絡(luò)的性價比，確保網(wǎng)絡(luò)的經(jīng)濟使用性。但同時我們還應(yīng)該注意到，所建設(shè)的廣域網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全畢竟只能局限于網(wǎng)絡(luò)層乃至傳輸層，它必須和用戶的應(yīng)用系統(tǒng)緊密聯(lián)系起來。為了適應(yīng)這個變化和日新月異的計算機技術(shù)的發(fā)展，所設(shè)計的網(wǎng)絡(luò)平臺無論是網(wǎng)絡(luò)硬件還是系統(tǒng)軟件，都可以方便的擴充和升級，在對關(guān)鍵設(shè)備進行擴充和升級時，系統(tǒng)無需中斷正常的工作。所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)支持 SNMP、 RMON 等網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，通過集成化的網(wǎng)絡(luò)管理軟件包，可以用圖形化的管理界面和簡潔的操作方式，提供強大的網(wǎng)絡(luò)管理功能，使網(wǎng)絡(luò)日常的維護和操作變得直觀，簡便和高效