【正文】 在其中使用子網(wǎng)劃分的原則，每個總部使用一個 B 類子網(wǎng)，內(nèi)部進(jìn)行細(xì)分，原則上按照 C 類子網(wǎng)分配給其下屬營業(yè)部。 PRI支持 30B＋ D，統(tǒng)一的電話號碼。 證券公司各地管理總部以就近原則，以 2M的本地?cái)?shù)據(jù)專線連接到當(dāng)?shù)氐墓歉晒?jié)點(diǎn)上，上海總部以 4M 目 錄 16 數(shù)字電路連接到中國電信上海節(jié)點(diǎn)。這種方案易于進(jìn)行 VPN的添加、移動和改變。為了創(chuàng)建 Extra，服務(wù)提供 目 錄 15 商在 VPN 之間要明確配置可達(dá)性。因?yàn)閿?shù)據(jù)是通過使用 LSPs 來轉(zhuǎn)發(fā)的， LSP 定義一條特定的路徑，不可以被改變 ， 以保證其安全性。 AH 提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證以及可選的反重放服務(wù)； ESP 可提供數(shù)據(jù)的保密性，它同時也可提供類似 AH 的服務(wù)（如數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證等）。 L2TP 協(xié)議是目前 IETF的標(biāo)準(zhǔn)，由 IETF融合 PPTP與 L2F 而形成。 對于 VPN 用戶而言，利用 Inter 組建私有網(wǎng)，將大筆的專線費(fèi)用縮減為少量的市話費(fèi)用和 Inter費(fèi)用，無疑是非常有吸引力的，如果愿意，企業(yè)甚至可以不必建立自己的廣域網(wǎng)維護(hù)系統(tǒng)，而將這一繁重的任務(wù)交由專業(yè)的 ISP 來完成。虛擬專用網(wǎng)（ VPN： Vitual Private Network）指的是依靠 ISP（ Inter 服務(wù)提供者）和其他 NSP（網(wǎng)絡(luò)服務(wù)提供者）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。 進(jìn)入新世紀(jì)，證券 業(yè) 面臨著眾多的挑戰(zhàn)。為了安全的考慮，配置一臺 Cisco PIX515 防火墻。 三、 管理總部與 Inter 的互連 管理總部與 Inter 的互連，采用寬帶 ADSL上網(wǎng)方式接入 Inter，前端配置一臺高檔 PC 作為 ADSL PROXY 服務(wù)器。管理總部購置 Cisco 3640 路由器（或原有路由器），配置快速以太網(wǎng)接口，營業(yè)部配置 Cisco 2621路由器（或原有路由器），通過 RJ45 轉(zhuǎn)光纖 Transceiver，經(jīng)光纖介質(zhì)實(shí)現(xiàn)快速以太網(wǎng)干道互連，光纖采用 48芯的光纖介質(zhì)，提高傳輸介質(zhì)可靠性。建議這一范圍的設(shè)備選用 Cisco 3640 路由器。 ISDN 的費(fèi)用按實(shí)際通話次數(shù)計(jì)算，費(fèi)用低廉。 從廣域網(wǎng)傳輸網(wǎng)覆蓋的范圍來看： 中國電信 DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)）目前可覆蓋到全國縣或鄉(xiāng)、鎮(zhèn)區(qū)域，因而其應(yīng)用覆蓋范圍最廣。其核心可能采用不同的實(shí)現(xiàn)技術(shù) IP over SDH， IP over ATM， 或 IP Over DWDM，但能夠提供用戶 10/100M以上帶寬接入是這類網(wǎng)絡(luò)接入的共同特點(diǎn)。幀中繼系統(tǒng)沒有幀流量控制和分組級的復(fù)用功能。 （ 1） 數(shù)字?jǐn)?shù)據(jù)網(wǎng)（ DDN ） 數(shù)字?jǐn)?shù)據(jù)網(wǎng) (DDN)是采用 TDM 技術(shù)的專線網(wǎng)。 統(tǒng)計(jì)數(shù)據(jù)表明，網(wǎng)絡(luò)的建設(shè)成本在總成本的三分之一，網(wǎng)絡(luò)的運(yùn)營管理成本則要消耗總成本的三分之二左右。 五、易擴(kuò)充性 隨著社會的快速發(fā)展，系統(tǒng)的任務(wù)將愈來愈艱巨，愈來愈復(fù)雜。這就要求對于此網(wǎng)絡(luò)的建設(shè)應(yīng)充分考慮到設(shè)備的可靠性，網(wǎng)絡(luò)設(shè)計(jì)的冗余性。 2 證券公司廣域網(wǎng)、城域網(wǎng)設(shè)計(jì) 證券公司網(wǎng)絡(luò)設(shè)計(jì)原則 隨著證券公司互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展和高速 Inter 接入的需要。 視頻多媒體應(yīng)用可以讓我們在公司內(nèi)部通過廣域網(wǎng)進(jìn)行電視會議、開通可視電話、開展 Elearning（電子教育）、視頻點(diǎn)播等。為了提高公司的管理水平，在激烈的市場競爭中占有一席之地，建設(shè)較為適用的辦公自動化系統(tǒng)。提供有 行情實(shí)時備份系統(tǒng)、 法人清算、實(shí)時風(fēng)險(xiǎn)監(jiān)控、報(bào)警中心、并行清算系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、統(tǒng)計(jì)分析系統(tǒng)和稽核系統(tǒng)等功能。 四、 總部網(wǎng)絡(luò)應(yīng)用需求 證券公司充分考慮到將來證券業(yè)務(wù)的發(fā)展以及加強(qiáng)其競爭優(yōu) 勢，為進(jìn)一步地適應(yīng)以后業(yè)務(wù)的充分?jǐn)U展。（我們針對證券公司的區(qū)域規(guī)劃和區(qū)管中心規(guī)劃純粹是考慮空間范疇和就近組網(wǎng)的原則，實(shí)際情況會根據(jù)各券商的整體規(guī)劃作相應(yīng)調(diào)整） 目 錄 3 2． 區(qū)域管理中心和區(qū)域內(nèi)營業(yè)部的互連通信平臺。 同時，證券公司的經(jīng)營管理模式已由傳統(tǒng)的單個營業(yè)部式的經(jīng)營管理模式向?yàn)楣炯壍募薪y(tǒng)一的經(jīng)營管理模式轉(zhuǎn)變。 本技術(shù)白皮書為專為證券公司 的 營業(yè)部 級 網(wǎng)絡(luò)建設(shè)、 以及 全國廣域網(wǎng) 級的 通訊平臺 和 電子商務(wù)平臺建設(shè)提供的全面解決方案， 方案設(shè)計(jì)遵循的原則是：高性能、高可靠性、高擴(kuò)展性、高安全性以及高性價(jià)比 。 ＸＸ 科技 專注于為證券公司提供專業(yè)化、多元化、標(biāo)準(zhǔn)化的 IT 系統(tǒng)的建設(shè)服務(wù)。 目 錄 2 第一部分 證券公司廣域網(wǎng)系統(tǒng) 1 證券公司網(wǎng)絡(luò)現(xiàn)狀分析 證券公司網(wǎng)絡(luò)通信現(xiàn)狀 伴隨著新世紀(jì)的到來，我們邁入了一個數(shù)字化生存的時代，信息化程度和水平已成為衡量一個證券公司的綜合實(shí)力和文明程度的重要標(biāo)志。 證券廣域網(wǎng)應(yīng)用需求 一、 廣域網(wǎng)的建設(shè)需求 廣域網(wǎng)的建設(shè)主要是指證券公司各區(qū)域管理中心和該區(qū)域營業(yè)部的互連通信平臺以及區(qū)域管理中心與總部信息中心的互連通信平臺。 三、 中心機(jī)房的建設(shè) 中心機(jī)房提供數(shù)據(jù)集中存放、數(shù)據(jù)收集和整理、遠(yuǎn)程接入及辦公數(shù)據(jù)匯總等任務(wù)?？偛控?cái)務(wù)管理人員可對各分支機(jī)構(gòu)的財(cái)務(wù)管理進(jìn)行實(shí)時監(jiān)控，及時發(fā)現(xiàn)問題，及時處理問題。 公司網(wǎng)上交易數(shù)據(jù) 分發(fā)中心系統(tǒng)是公司集中式網(wǎng)上交易和公司證券代理 通買通賣 的核心系統(tǒng)。 確保辦公自動化系統(tǒng)成為公司管理進(jìn)步的先遣部隊(duì)，推動公司的管理制度、工作方式和辦事程序與先進(jìn)的辦公自動化系統(tǒng)相適應(yīng)，達(dá)到國內(nèi)一流證券公司的管理水平。通過各種模型的計(jì)算分析，為公司業(yè)務(wù)發(fā)展提供決策依據(jù)。這樣，我們設(shè)計(jì)的網(wǎng)絡(luò)在技術(shù)上必須體現(xiàn)高度的先進(jìn)性。所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)支持 SNMP、 RMON 等網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，通過集成化的網(wǎng)絡(luò)管理軟件包，可以用圖形化的管理界面和簡潔的操作方式，提供強(qiáng)大的網(wǎng)絡(luò)管理功能，使網(wǎng)絡(luò)日常的維護(hù)和操作變得直觀，簡便和高效。但同時我們還應(yīng)該注意到，所建設(shè)的廣域網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全畢竟只能局限于網(wǎng)絡(luò)層乃至傳輸層，它必須和用戶的應(yīng)用系統(tǒng)緊密聯(lián)系起來。 我們建議采用端到端的網(wǎng)絡(luò)方案，即采用主要有一家公司提供的包括交換機(jī)，路由器，撥號訪問服務(wù)器軟硬件產(chǎn)品。 （ 2） 幀中繼網(wǎng)（ Frame Relay） 幀中繼是有分組交換技術(shù)發(fā)展而來的一種技術(shù)，這種技術(shù)比 協(xié)議提供的功能少。傳統(tǒng)的網(wǎng)絡(luò)框架定制了傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用，即以共享以太 網(wǎng)和低速鏈路接入廣域網(wǎng)，如 64Kbps 的 DDN或更低的 PSTN 鏈路，就可以滿足應(yīng)用的要求。在需要大于 128kbps 的帶寬時，可考慮利用 MPPP 技術(shù)將幾條 ISDN 線路綁在一塊使用。預(yù)計(jì)全國各中心城市的 ISDN互連能夠在今年下半年完成。建議總部級的網(wǎng)絡(luò)設(shè)備選用 Cisco 高端路由器產(chǎn)品。需要完成營業(yè)部與區(qū)域管理中心的網(wǎng)絡(luò)通信平臺建設(shè)，實(shí)現(xiàn)安全、可靠、迅捷的網(wǎng)絡(luò)通信。 二、 管理總部與深圳總部的廣域網(wǎng)連接 管理總部和深圳總部的 WAN 互連，管理總部租用 E1 數(shù)字線路，通過 MPLS VPN，實(shí)現(xiàn)與深圳總部的互連，保證安全、可靠、迅捷地訪問深圳總部網(wǎng)絡(luò)。為此，辦公樓購置一臺 Cisco 3662。 證券公司區(qū)域網(wǎng)設(shè)計(jì)方案 本著 為 證券公司 提供專業(yè)而富有個性的服務(wù)，使客戶交易便捷、信息服務(wù) 支持充分 的宗旨， 長城證券對其信息系統(tǒng)進(jìn)行了升級改造，并且 建立了一整套從最前端的業(yè)務(wù)處理到最高端管理決策支持的信息系統(tǒng)和相應(yīng)管理體系。構(gòu)建的專用網(wǎng)絡(luò)應(yīng)具有技術(shù)先進(jìn)性和靈活的擴(kuò)展性，能平滑過度，快速適應(yīng)未來多種業(yè)務(wù)發(fā)展的需求，有效保護(hù)用 戶的已有投資。事實(shí)上， VPN 用戶的數(shù)據(jù)流量較普通用戶要大得多，而且時間上也是相互錯開的。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP 中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。 IPSec（ IP Security）是由一組 RFC 文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法、確定服務(wù)所使用密鑰等服務(wù)，從而在 IP 層提供安全保障。轉(zhuǎn)發(fā)表中包括一個獨(dú)一無二的地址，叫作 VPNIP 地址，是由RD 和用戶的 IP 地址連接形成 ， VPNIP 地址在網(wǎng)絡(luò)中是獨(dú)一無二的，地址表存儲在轉(zhuǎn)發(fā)表中。通過這個標(biāo)簽將數(shù)據(jù)傳送到相應(yīng)地點(diǎn)。租用者可與供應(yīng)商提供的服務(wù)無縫結(jié)合，不必改變 Intra 應(yīng)用，因?yàn)檫@些網(wǎng)絡(luò)具有應(yīng)用通曉性、保密性且 QoS 內(nèi)置于網(wǎng)絡(luò)中。 從以上工作過 程可見， MPLS VPN絲毫不改變 CE（ Customer Edge）和 PE（ Provider Edge）原有的配置，一旦有新的 CE 加入到網(wǎng)絡(luò)時，只需在 PE上作簡單配置，其余的改動信息由 IGP/BGP 自動通知到 CE和 PE。 ISDN 技術(shù)成熟，覆蓋面廣。例如： Router(configif) ip address 二、 證券公司各地總部 CE 路由器配置 DDR 主要是撥號參數(shù)：包括對方 IP 地址和電話號碼的關(guān)系、 PPP 協(xié)議等。 二、 證券公司 MPLS VPN 路由規(guī)劃 證券公司內(nèi)部路由協(xié)議可以采用 OSPF 動態(tài)路由協(xié)議，實(shí)現(xiàn)證券公司網(wǎng)絡(luò)系統(tǒng)內(nèi)部快速、統(tǒng)一的路由發(fā)現(xiàn)功能。 總部與固定線路電信運(yùn)營商節(jié)點(diǎn)采用 2 條 E1 線路互為備份，實(shí)現(xiàn)負(fù)載均衡。主要過程如下： （ A）定義一 個 VPN 1． Router(config)ip vrf vrfname （通過分配 VRF名來定義一個 VPN環(huán)境） 2． Router(configvrf)rd routedistinguisher（建立一個 routing 和 forwarding表） 3． Router(configvrf)routetarget {import | export | both} routetargetextmunity（對于指定的 VRF，建立輸出和輸入到目標(biāo)組織的路由列表） 4． Router(configvrf)import map routemap （ 可選項(xiàng) ，將特定的路由映射到指定的 VRF上） 5． Router(configif)ip vrf forwarding vrfname （使 VRF和某個指定的接口或子接口綁定） （ B）設(shè)置 BGP中 PE到 PE的路由 1. Router(config)router bgp autonomoussystem (激活 IBGP路由 ) 2. Router(configrouter)neighbor {ipaddress | peergroupname} remoteas number (指定 BGP鄰居或?qū)Φ认到y(tǒng)，以和本自治系統(tǒng)區(qū)分 ) 3. Router(configrouter)neighbor ipaddress activate (在非廣播網(wǎng)上運(yùn)行 BGP要指定激活鄰居路由器 ) （ C）設(shè)置 BGP網(wǎng)中 PE到 CE的路由會話 (EBGP、 OSPF、 RIP或靜態(tài) ) (config)router bgp autonomoussystem (激活 EBGP路由 ) (configrouter)neighbor {ipaddress | peergroupname} remoteas number (指定 BGP鄰居或?qū)Φ认到y(tǒng)，以和本自治系統(tǒng)區(qū)分 ) (configrouter)neighbor ipaddress activate (在非廣播網(wǎng)上運(yùn)行 BGP 要指定激活鄰居路由器 ) 采用 MPLS VPN 的好處是顯而易見的。與增加一臺設(shè)備需要大量操作的 overlay VPN相比，這種方案要簡單、迅速和便宜的多。 QoS可為每個 VPN提供特有的業(yè)務(wù)政策，而且 QoS 服務(wù)可與基于 MPLS 的 VPN無縫結(jié)合，因?yàn)閮烧叨际腔跇?biāo)記的技術(shù)。既然不可能 spoof 端口， MPLS VPN 就不易受到 spoof的攻擊。 Media IP HEAD AH ESP 用戶數(shù)據(jù) 圖 2 IPSec 幀格式 MPLS VPN 的基本工作方式是采用第三層技術(shù)，每一個 VPN 具有獨(dú)自的 VPNID，每一個 VPN 的用戶只能與自己 VPN網(wǎng)絡(luò)中的成員進(jìn)行通信，而也只有 VPN的成員才能有權(quán)進(jìn)入該 VPN。 Media IP L2TP PPP IP 用戶數(shù)據(jù) 圖 2 L2TP 數(shù)據(jù)報(bào)格式 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。 隧道技術(shù)是 VPN 的基本技術(shù)，類似