【正文】 總部主機(jī)房購置一臺(tái)高檔 PC。 新建營業(yè)部需要購置一臺(tái)高檔品牌機(jī)。 眾所周知，證券行業(yè)的日常業(yè)務(wù)涉及大量資金且參與群體眾多， 對(duì)網(wǎng)絡(luò) 的穩(wěn)定性 、實(shí)時(shí)性 和可靠性要求極高。在發(fā)揚(yáng)穩(wěn)健經(jīng)營傳統(tǒng)的基礎(chǔ)上，增加服務(wù)品種，及時(shí)引入新交易技術(shù)和信息管理手段 ， 開設(shè)遠(yuǎn)程交易系統(tǒng)，為廣大客戶提供準(zhǔn)確、快捷、安全的交易代理與清算服務(wù)。許多 ISP 廠商已提供或正計(jì)劃提供增值 VPN服務(wù)。 VPN可以使客戶利用公眾網(wǎng)的資源將分散在各地的機(jī)構(gòu)動(dòng)態(tài)的連接起來，使電信運(yùn)營公司，電信客戶和最終用戶三者都獲利。ISP 對(duì)外提供兩種服務(wù)，資源利用率和業(yè)務(wù)量都會(huì)大大增加。 隧道技術(shù)是 VPN 的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。第二層隧道協(xié)議有 L2F、 PPTP、 L2TP 等。 Media IP L2TP PPP IP 用戶數(shù)據(jù) 圖 2 L2TP 數(shù)據(jù)報(bào)格式 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。 IPSec 使用 AH（ Authentication Header）和 ESP（ Encapsulating Security Payload）兩個(gè)協(xié)議來提供數(shù)據(jù)流量的安全性。 Media IP HEAD AH ESP 用戶數(shù)據(jù) 圖 2 IPSec 幀格式 MPLS VPN 的基本工作方式是采用第三層技術(shù)，每一個(gè) VPN 具有獨(dú)自的 VPNID，每一個(gè) VPN 的用戶只能與自己 VPN網(wǎng)絡(luò)中的成員進(jìn)行通信，而也只有 VPN的成員才能有權(quán)進(jìn)入該 VPN。在基于 MPLS的 VPN 中， BGP 只對(duì)同一個(gè) VPN 的成員發(fā)布信息，通過流量分離來提供基本的安全性。既然不可能 spoof 端口， MPLS VPN 就不易受到 spoof的攻擊。根據(jù)數(shù)據(jù)入口，交換機(jī)選擇一特定的轉(zhuǎn)發(fā)表，該表中只包括在 VPN 中有效的目的地址。 QoS可為每個(gè) VPN提供特有的業(yè)務(wù)政策，而且 QoS 服務(wù)可與基于 MPLS 的 VPN無縫結(jié)合，因?yàn)閮烧叨际腔跇?biāo)記的技術(shù)。 這種網(wǎng)絡(luò)結(jié)構(gòu)目前可支持許多種 VPN，可減輕每一個(gè) 新網(wǎng)絡(luò)實(shí)施工程的負(fù)擔(dān)。與增加一臺(tái)設(shè)備需要大量操作的 overlay VPN相比，這種方案要簡單、迅速和便宜的多。 證券公司 MPLS VPN 設(shè)計(jì)方案描述 根據(jù)用戶的需求，虛擬專網(wǎng)需要覆蓋目前用戶業(yè)務(wù)比較集中的地區(qū)，各營業(yè)部均連入虛擬專網(wǎng)內(nèi)，享受高速、快捷、方便、實(shí)時(shí)的網(wǎng)絡(luò)服務(wù)。主要過程如下： （ A）定義一 個(gè) VPN 1． Router(config)ip vrf vrfname （通過分配 VRF名來定義一個(gè) VPN環(huán)境） 2． Router(configvrf)rd routedistinguisher（建立一個(gè) routing 和 forwarding表） 3． Router(configvrf)routetarget {import | export | both} routetargetextmunity（對(duì)于指定的 VRF，建立輸出和輸入到目標(biāo)組織的路由列表） 4． Router(configvrf)import map routemap （ 可選項(xiàng) ，將特定的路由映射到指定的 VRF上） 5． Router(configif)ip vrf forwarding vrfname （使 VRF和某個(gè)指定的接口或子接口綁定） （ B）設(shè)置 BGP中 PE到 PE的路由 1. Router(config)router bgp autonomoussystem (激活 IBGP路由 ) 2. Router(configrouter)neighbor {ipaddress | peergroupname} remoteas number (指定 BGP鄰居或?qū)Φ认到y(tǒng)，以和本自治系統(tǒng)區(qū)分 ) 3. Router(configrouter)neighbor ipaddress activate (在非廣播網(wǎng)上運(yùn)行 BGP要指定激活鄰居路由器 ) （ C）設(shè)置 BGP網(wǎng)中 PE到 CE的路由會(huì)話 (EBGP、 OSPF、 RIP或靜態(tài) ) (config)router bgp autonomoussystem (激活 EBGP路由 ) (configrouter)neighbor {ipaddress | peergroupname} remoteas number (指定 BGP鄰居或?qū)Φ认到y(tǒng)，以和本自治系統(tǒng)區(qū)分 ) (configrouter)neighbor ipaddress activate (在非廣播網(wǎng)上運(yùn)行 BGP 要指定激活鄰居路由器 ) 采用 MPLS VPN 的好處是顯而易見的。證券公司各個(gè)管理總部采用就近原則，在主鏈路失效時(shí)，自動(dòng)啟動(dòng)撥號(hào)備份功能，保障 WAN 的互連。 總部與固定線路電信運(yùn)營商節(jié)點(diǎn)采用 2 條 E1 線路互為備份，實(shí)現(xiàn)負(fù)載均衡。 Router(configif)backup interface interfacename IP 地址、路由規(guī)劃 一、證券公司 IP 規(guī)劃： 證券公司 IP 地址規(guī)劃建議采用一個(gè) A類地址， 。 二、 證券公司 MPLS VPN 路由規(guī)劃 證券公司內(nèi)部路由協(xié)議可以采用 OSPF 動(dòng)態(tài)路由協(xié)議，實(shí)現(xiàn)證券公司網(wǎng)絡(luò)系統(tǒng)內(nèi)部快速、統(tǒng)一的路由發(fā)現(xiàn)功能。 證券公司總部 IP： ， 內(nèi)部使用 OSPF（或 RIP）路由協(xié)議， CE 路由器（ Cisco 7206）互連電信運(yùn)營商接口 IP： ， PE 路由器（ Cisco 7206）互連接口 IP： 。例如： Router(configif) ip address 二、 證券公司各地總部 CE 路由器配置 DDR 主要是撥號(hào)參數(shù)：包括對(duì)方 IP 地址和電話號(hào)碼的關(guān)系、 PPP 協(xié)議等。 BRI 則采用不同電話號(hào)碼。 ISDN 技術(shù)成熟，覆蓋面廣。 其他營業(yè)部分別通過 ISDN或低速 DDN方式同該區(qū)域管理總部連通。 從以上工作過 程可見， MPLS VPN絲毫不改變 CE（ Customer Edge）和 PE（ Provider Edge）原有的配置，一旦有新的 CE 加入到網(wǎng)絡(luò)時(shí)，只需在 PE上作簡單配置，其余的改動(dòng)信息由 IGP/BGP 自動(dòng)通知到 CE和 PE。如果某個(gè)公司需要在自己的 VPN 中增加一站點(diǎn)，服務(wù)提供商只需告訴客戶端設(shè)備的路由器如何與網(wǎng)絡(luò)連接，并配置 LSR 來識(shí)別來自于 CPE 的 VPN 成員。租用者可與供應(yīng)商提供的服務(wù)無縫結(jié)合，不必改變 Intra 應(yīng)用，因?yàn)檫@些網(wǎng)絡(luò)具有應(yīng)用通曉性、保密性且 QoS 內(nèi)置于網(wǎng)絡(luò)中。 這種解決方案的優(yōu)勢在于服務(wù)提供商可以通過相同的網(wǎng)絡(luò)結(jié)構(gòu)來支持許多種 VPN，并不需要為每一個(gè)用戶建立單獨(dú)的網(wǎng)絡(luò)。通過這個(gè)標(biāo)簽將數(shù)據(jù)傳送到相應(yīng)地點(diǎn)。這種基于標(biāo)簽的模式可與幀中繼和 ATM 一樣提供保密性。轉(zhuǎn)發(fā)表中包括一個(gè)獨(dú)一無二的地址，叫作 VPNIP 地址，是由RD 和用戶的 IP 地址連接形成 ， VPNIP 地址在網(wǎng)絡(luò)中是獨(dú)一無二的，地址表存儲(chǔ)在轉(zhuǎn)發(fā)表中。 AH 和 ESP 可單獨(dú)使用，也可以共同使用。 IPSec（ IP Security）是由一組 RFC 文檔組成，定義了一個(gè)系統(tǒng)來提供安全協(xié)議選擇、安全算法、確定服務(wù)所使用密鑰等服務(wù)，從而在 IP 層提供安全保障。 L2TP 的工作過程如下： LAC 接收用戶的 PPP 請(qǐng)求，當(dāng) LAC 認(rèn)為用戶是需要 VPN服務(wù)時(shí)，即向 LNS（ LNS地址可以由管理員根據(jù)用戶身份配置，也可以由用戶提供）發(fā)出 L2TP 隧道建立申請(qǐng)； LAN與 LNS 之間通過交換 AVP 建立 L2TP 隧道，用戶的 PPP 數(shù)據(jù)被 LAC 封裝上 L2TP 包頭后向 LNS 發(fā)出， 目 錄 14 LNS 也許會(huì)對(duì)用戶進(jìn)行多次認(rèn)證； LACLNS 之間通過 “HELLOW”包維護(hù) L2TP 隧道，隧道安全性可以LACLNS 保證，也可以“用戶 LNS”之間保證。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP 中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。 目前 VPN 主要采用四項(xiàng)技術(shù)：隧道技術(shù)（ Tunneling）、加解密技術(shù) Encryption amp。事實(shí)上， VPN 用戶的數(shù)據(jù)流量較普通用戶要大得多，而且時(shí)間上也是相互錯(cuò)開的。在虛擬網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。構(gòu)建的專用網(wǎng)絡(luò)應(yīng)具有技術(shù)先進(jìn)性和靈活的擴(kuò)展性，能平滑過度，快速適應(yīng)未來多種業(yè)務(wù)發(fā)展的需求，有效保護(hù)用 戶的已有投資。融資服務(wù)趨于多樣化，投資交易對(duì)信息服務(wù)和時(shí)效性提出了更高要求，交易技術(shù)網(wǎng)絡(luò)化，證券市場隨著中國加入 WTO 加速對(duì)外開放。 證券公司區(qū)域網(wǎng)設(shè)計(jì)方案 本著 為 證券公司 提供專業(yè)而富有個(gè)性的服務(wù)，使客戶交易便捷、信息服務(wù) 支持充分 的宗旨， 長城證券對(duì)其信息系統(tǒng)進(jìn)行了升級(jí)改造，并且 建立了一整套從最前端的業(yè)務(wù)處理到最高端管理決策支持的信息系統(tǒng)和相應(yīng)管理體系。 對(duì)于總部大廈辦公網(wǎng)絡(luò)，可以采用 ADSL 上網(wǎng)方式，前端配置一臺(tái)高檔 PC，作為 ADSL 上網(wǎng)代理服務(wù)器即可。為此，辦公樓購置一臺(tái) Cisco 3662。 四、 設(shè)備配置和服務(wù)費(fèi)用項(xiàng)目 管理總部： 序號(hào) 名稱 模塊號(hào) 描述 數(shù)量 1 Cisco 3640 CISCO3640 Cisco 3640， 4 模塊插槽， 1 個(gè)電源 1 NM2FE2W 10/100M TX 模塊 1 NM1CE1U E1 接口模塊 1 NM4BS/T 4 ISDN BRI 接口 1 PWR3640AC Cisco 3640 交流電源 1 2 高檔 PC PIII 800 以上品牌機(jī) 1 單個(gè)營業(yè)部及總部 WAN 通信平臺(tái) 由于地域關(guān)系，某些營業(yè)部以及總部辦公大樓直接和總部的中心機(jī)房直接互連，網(wǎng)絡(luò)結(jié)構(gòu)參考相應(yīng)營業(yè)部與總部互連網(wǎng)絡(luò)結(jié)構(gòu)圖 一、 單個(gè)營業(yè)部 單個(gè)營業(yè)部申請(qǐng) 128 K DDN 線路連接總部。 二、 管理總部與深圳總部的廣域網(wǎng)連接 管理總部和深圳總部的 WAN 互連，管理總部租用 E1 數(shù)字線路，通過 MPLS VPN，實(shí)現(xiàn)與深圳總部的互連，保證安全、可靠、迅捷地訪問深圳總部網(wǎng)絡(luò)。 營業(yè)部與管理總部不在同一城內(nèi)，管理總部和營業(yè)部之間可以使用 2M DDN 方式互連。需要完成營業(yè)部與區(qū)域管理中心的網(wǎng)絡(luò)通信平臺(tái)建設(shè)，實(shí)現(xiàn)安全、可靠、迅捷的網(wǎng)絡(luò)通信。該設(shè)備具有冗余的雙電源，并提供 4 個(gè)可用的插槽供將來擴(kuò)展。建議總部級(jí)的網(wǎng)絡(luò)設(shè)備選用 Cisco 高端路由器產(chǎn)品。 以下是廣域網(wǎng)傳輸網(wǎng)物理連接特性比較表： 廣域 傳輸網(wǎng) 覆蓋范圍 同等帶寬資費(fèi)標(biāo)準(zhǔn) 適宜應(yīng)用 可用性 中國電信 DDN 可達(dá)全國縣、鄉(xiāng)、鎮(zhèn) 區(qū)域 最貴 數(shù)據(jù)傳輸 高 幀中繼（ FR） 省會(huì)城市及各地級(jí)市 DDN費(fèi)用一半 數(shù)據(jù)、語音 高 ISDN 各省會(huì)城市及部分省地級(jí)市 費(fèi)用低廉 數(shù)據(jù)、語音、視頻 中 寬帶 IP接入 僅限于少數(shù)城市 DDN資費(fèi)標(biāo)準(zhǔn)一半 數(shù)據(jù)、多媒體 中 從以上綜合比較來看 ，對(duì)于跨省際的廣域網(wǎng)傳輸網(wǎng)，我們建議券商一定要選用已經(jīng)建立起全國級(jí)骨干網(wǎng)絡(luò)的電信運(yùn)營商（如電信、聯(lián)通、網(wǎng)通）。預(yù)計(jì)全國各中心城市的 ISDN互連能夠在今年下半年完成。 中元公司的幀中繼網(wǎng)絡(luò)目前可覆蓋全國各省會(huì)城市及各省的地級(jí)市。在需要大于 128kbps 的帶寬時(shí)，可考慮利用 MPPP 技術(shù)將幾條 ISDN 線路綁在一塊使用。對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量的保證各個(gè)線路提供商的承諾則不盡相 同。傳統(tǒng)的網(wǎng)絡(luò)框架定制了傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用，即以共享以太 網(wǎng)和低速鏈路接入廣域網(wǎng)，如 64Kbps 的 DDN或更低的 PSTN 鏈路，就可以滿足應(yīng)用的要求。采用幀中繼技術(shù)，可以為用戶傳送變吞吐量、低時(shí)延的數(shù)據(jù)。 （ 2） 幀中繼網(wǎng)（ Frame Relay） 幀中繼是有分組交換技術(shù)發(fā)展而來的一種技術(shù)，這種技術(shù)比 協(xié)議提供的功能少。 DDN 網(wǎng)只允許用戶建立點(diǎn)到點(diǎn)的連接，并不具有統(tǒng)計(jì)復(fù)用的功能。 我們建議采用端到端的網(wǎng)絡(luò)方案，即采用主要有一家公司提供的包括交換機(jī)，路由器，撥號(hào)訪問服務(wù)器軟硬件產(chǎn)品。 在建設(shè)證券公司廣域網(wǎng)時(shí)，我們將綜合考慮網(wǎng)絡(luò)的性價(jià)比，確保網(wǎng)絡(luò)的經(jīng)濟(jì)使用性。但同時(shí)我們還應(yīng)該注意到，所建設(shè)的廣域網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全畢竟只能局限于網(wǎng)絡(luò)層乃至傳輸層，它必須和用戶的應(yīng)用系統(tǒng)緊密聯(lián)系起來。為了適應(yīng)這個(gè)變化和日新月異的計(jì)算機(jī)技術(shù)的發(fā)展，所設(shè)計(jì)的網(wǎng)絡(luò)平臺(tái)無論是網(wǎng)絡(luò)硬件還是系統(tǒng)軟件，都可以方便的擴(kuò)充和升級(jí)，在對(duì)關(guān)鍵設(shè)備進(jìn)行擴(kuò)充和升級(jí)時(shí)，系統(tǒng)無需中斷正常的工作。所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)支持 SNMP、 RMON 等網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，通過集成化的網(wǎng)絡(luò)管理軟件包，可以用圖形化的管理界面和簡潔的操作方式，提供強(qiáng)大的網(wǎng)絡(luò)管理功能，使網(wǎng)絡(luò)日常的維護(hù)和操作變得直觀，簡便和高效