【正文】 ，保證通信不間斷。 三、 總部與 Inter 的互連 考慮到總部主機房的重要性，在與 Inter 互連的設(shè)計上，建議申請一條 ADSL 寬帶線路，總部主機房購置一臺高檔 PC。 眾所周知，證券行業(yè)的日常業(yè)務(wù)涉及大量資金且參與群體眾多， 對網(wǎng)絡(luò) 的穩(wěn)定性 、實時性 和可靠性要求極高。許多 ISP 廠商已提供或正計劃提供增值 VPN 服務(wù)。 ISP 對外提供兩種服務(wù)，資源利用率和業(yè)務(wù)量都會大大增加。第二層隧道協(xié)議有 L2F、 PPTP、 L2TP等。 IPSec 使用 AH（ Authentication Header）和 ESP（ Encapsulating Security Payload）兩個協(xié)議來提供數(shù)據(jù)流量的安全性。在基于 MPLS 的 VPN 中， BGP 只對同一個 VPN 的成員發(fā)布信息，通過流量分離來提供基本的安全性。根據(jù)數(shù)據(jù)入口，交換機選擇一特定的轉(zhuǎn)發(fā)表，該表中只包括在 VPN 中有效的目的地址。 這種網(wǎng)絡(luò)結(jié)構(gòu)目前可支持許多 種 VPN，可減輕每一個新網(wǎng)絡(luò)實施工程的負擔(dān)。 證券公司 MPLS VPN 設(shè)計方案描述 根據(jù)用戶的需求，虛擬專網(wǎng)需要覆蓋目前用戶業(yè)務(wù)比較集中的地區(qū)，各營業(yè)部均連入虛擬專網(wǎng)內(nèi)，享受高速、快捷、方便、實時的網(wǎng)絡(luò)服務(wù)。證券公司各個管理總部采用就近原則，在主鏈路失效時，自動啟動撥號備份功能，保障 WAN 的互連。 Router(configif)backup interface interfacename IP 地址、路由規(guī)劃 一、證券公司 IP 規(guī)劃： 證券公司 IP 地址規(guī)劃建議采用一個 A 類地址， 。 總部與固定線路電信運營商節(jié)點采用 2 條 E1 線路互為備份，實現(xiàn)負載均衡。主要過 程如下： （ A）定義一個 VPN 1． Router(config)ip vrf vrfname （通過分配 VRF 名來定義一個 VPN 環(huán)境） 2． Router(configvrf)rd routedistinguisher（建立一個 routing 和 forwarding 表） 3． Router(configvrf)routetarget {import | export | both} routetargetextmunity（對于指定的 VRF，建立輸出和輸入到目標組織的路由列表） 4． Router(configvrf)import map routemap （ 可選項 ，將特定的路由映射到指定的VRF 上） 5． Router(configif)ip vrf forwarding vrfname （使 VRF 和某個指定的接口或子接口綁定） （ B）設(shè)置 BGP 中 PE 到 PE 的路由 1. Router(config)router bgp autonomoussystem (激活 IBGP 路由 ) 2. Router(configrouter)neighbor {ipaddress | peergroupname} remoteas number (指定 BGP 鄰居或?qū)Φ认到y(tǒng)，以和本自治系統(tǒng)區(qū)分 ) 3. Router(configrouter)neighbor ipaddress activate (在非廣播網(wǎng)上運行 BGP 要指定激活鄰居路由器 ) （ C）設(shè)置 BGP 網(wǎng)中 PE 到 CE 的路由會話 (EBGP、 OSPF、 RIP 或靜態(tài) ) (config)router bgp autonomoussystem (激活 EBGP 路由 ) (configrouter)neighbor {ipaddress | peergroupname} remoteas number (指定 BGP 鄰居或?qū)Φ认到y(tǒng)，以和本自治系統(tǒng)區(qū)分 ) (configrouter)neighbor ipaddress activate (在非廣播網(wǎng)上運行 BGP 要指定激活鄰居路由器 ) 采用 MPLS VPN 的好處是顯而易見的。與增加一臺設(shè)備需要大量操作的 overlay VPN 相比，這種方案要簡單、迅速和便宜的多。 QoS 可為每個 VPN 提供特有的業(yè)務(wù)政策，而且 QoS服務(wù)可與基于 MPLS 的 VPN 無縫結(jié)合，因為兩者都是基于標記的技術(shù)。既然不可能 spoof 端口， MPLS VPN 就不易受到 spoof 的攻擊。 Media IP HEAD AH ESP 用戶數(shù)據(jù) 圖 2 IPSec 幀格式 MPLS VPN 的基本工作方式是采用第三層技術(shù)，每一個 VPN 具有獨自的 VPNID，每一個 VPN 的用戶只能與自己 VPN 網(wǎng)絡(luò)中的成員進行通信，而也只有 VPN 的成員才能有權(quán)進入該 VPN。 Media IP L2TP PPP IP 用戶數(shù)據(jù) 圖 2 L2TP 數(shù)據(jù)報格式 Hantang electronic Workstation Mail: １７ 漢唐電子 .弱電 工程 資料全集 弱電工程 資料全集 弱電工程系統(tǒng)白皮書 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。 隧道技術(shù)是 VPN 的基本技術(shù)，類似于點對點連接技術(shù)，在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。 VPN 可以使客戶利用公眾網(wǎng)的資源將分散在各地的機構(gòu)動態(tài)的連接起來，使電信運營公司，電信客戶和最終用戶三者都獲利。在發(fā)揚穩(wěn)健經(jīng)營傳統(tǒng)的基礎(chǔ)上，增加服務(wù)品種，及時引入新交易技術(shù)和信息管理手段 ， 開設(shè)遠程交易系統(tǒng)，為廣大客戶提供準確、快捷、安全的交易代理與清算服務(wù)。 新建營業(yè)部需要購置一臺高檔品牌機。 在廣 域網(wǎng)備份設(shè)計上，互連設(shè)備上購置 ISDN 廣域網(wǎng)接口卡或模塊，通過配置 DDR 撥號備份，實現(xiàn)路由器按需撥號，在 DDN 主鏈路（或其接口）出現(xiàn)故障時，自動啟動 ISDN 撥號備份線路，保證通信不間斷。 在廣域網(wǎng)備份上，管理總部和營業(yè)部保持原有無線備份線路，在光纖主鏈路（或其接口）出現(xiàn)故障時，保證通信不間斷。 Cisco 3600 系列和 Cisco 2621 路由器均能支持語音模塊及視頻會議網(wǎng)關(guān)代理功能。 總部級的特點是連接網(wǎng)點數(shù)量眾多或者是網(wǎng)絡(luò)流量集中的地方，證券公司總部主機房屬于這一范疇。 全國各大城市目前均開展了 ISDN（一線通）業(yè)務(wù)，在廣東省內(nèi)， ISDN 接入覆蓋到 各地級市，省內(nèi)長途 ISDN 連接不存在問題。 ISDN可以在客戶需要通信時建立高速、可靠的數(shù)字連接，當(dāng)局域網(wǎng)間用戶數(shù)據(jù)流量只是臨時性需要的時候，可考慮取代局域網(wǎng)間的租用線路，從而大大節(jié)省了費用（尤其對長距離租用線）。幀中繼傳輸協(xié)議只包括物理層和數(shù)據(jù)鏈路層，不包括網(wǎng)絡(luò)層，采用統(tǒng)計復(fù)用技術(shù)，對突發(fā)數(shù)據(jù)有很好的響應(yīng)，可以 Hantang electronic Workstation Mail: １０ 漢唐電子 .弱電 工程 資料全集 弱電工程 資料全集 弱電工程系統(tǒng)白皮書 簡化網(wǎng)絡(luò)拓樸，降低硬件成本。 DDN 網(wǎng)通信質(zhì)量較高，其點到點的連接特性給用戶提供了較好的安全和保密性能，但靈活性不夠，此外 DDN 無法提供按需的帶寬分配，作為傳輸網(wǎng)的傳輸技術(shù)來說， DDN 提供了一種選擇。 當(dāng)今網(wǎng)絡(luò)的發(fā)展已遠遠超出了單純追求基本連通的歷史階段。一旦網(wǎng)絡(luò)安全出現(xiàn)問題，將對證券公司 信譽造成的損失是不可估量的。 三、易管理性 證券公司廣域網(wǎng)建設(shè)涉及互連的營業(yè)部網(wǎng)點數(shù)目較多，采用的網(wǎng)絡(luò)互連媒介及技術(shù)也較復(fù)雜多樣，網(wǎng)絡(luò)的管理任務(wù)十分重要。為此，我們設(shè)計證券公司網(wǎng)絡(luò)的基本原則和指導(dǎo)思想是： 一、先進性 作為新一代智能系統(tǒng)，除支持傳統(tǒng)的數(shù)據(jù)傳輸業(yè)務(wù)以外，還應(yīng)支持 VOD、視頻會議等多媒體應(yīng)用。 公司分析決策系統(tǒng) 公司分析決策系統(tǒng)是以建立公司各項經(jīng)營管理信息為基礎(chǔ)的綜合信息倉庫系統(tǒng)。 采用合理的工作流程方式處理影響工作效率的各個環(huán)節(jié)，最大限度地避免人工傳送實物的工作。要求建成后的公司網(wǎng)站能夠提供在線咨詢、網(wǎng)上行情等服務(wù)。公司總部可以在第一時間獲得營業(yè)部的財務(wù)數(shù)據(jù)，并可以為數(shù)據(jù)提供較好的安全防護和備份，避免營業(yè)部獨立財務(wù)系統(tǒng)的維護工作，提高全公司的財務(wù)工作效率。設(shè)計的目的是實現(xiàn)證券公司區(qū)域和總部的安全、可靠、迅捷的網(wǎng)絡(luò)通信。 證券公司作為一家新成立的綜合類券商，其信息化建設(shè)將統(tǒng)籌多種交易手段、辦公自動化、財務(wù)系統(tǒng)管理、強大的信息服務(wù)功能、決策支持系統(tǒng)于一 身，以高可靠性、高速度和實時性更強的業(yè)務(wù)管理系統(tǒng)作為證券信息化建設(shè)的目標，而實現(xiàn)這一目標的基礎(chǔ)是構(gòu)建全公司的高效、安全的廣域網(wǎng)網(wǎng)絡(luò)。 目 錄 １ 目 錄 前言及保密說明 .......................................................................................................... 錯誤 !未定義書簽。所以國內(nèi)的證券公司與其所屬營業(yè)部之間正在逐步完成廣域網(wǎng)的建設(shè)和總部數(shù)據(jù)轉(zhuǎn)發(fā)平臺的建設(shè)。為公司的各類網(wǎng)絡(luò)應(yīng)用（例如數(shù)據(jù)集中、營業(yè)部的實時監(jiān)控、財務(wù)系統(tǒng)、法人清算系統(tǒng)、網(wǎng)上交易等）提供可靠的、高性能的基礎(chǔ)網(wǎng)絡(luò)設(shè)施平臺。 公司財務(wù)數(shù)據(jù)監(jiān)控備份中心系統(tǒng)是公司對各分支機構(gòu)的財務(wù)系統(tǒng)的監(jiān)控備份的中心。網(wǎng)上行情和網(wǎng)上交易能夠與營業(yè)部基本同步，作到及時，準 確。 提供自動監(jiān)督工作功能，為部門之間實現(xiàn)真正的協(xié)同工作提供保證，促使部門之間的工作流程由過去的一環(huán)接一環(huán)的松散結(jié)構(gòu)向緊湊的工作流結(jié)構(gòu)遷移，擺脫以往多個部門協(xié)作時經(jīng)常出現(xiàn)的互相等待的狀況。該系統(tǒng) Hantang electronic Workstation Mail: ７ 漢唐電子 .弱電 工程 資料全集 弱電工程 資料全集 弱電工程系統(tǒng)白皮書 通過對公司財務(wù)，交易，人事，資產(chǎn)等多方面的信息進行科學(xué)化，系統(tǒng)化的分析整理，建立多維的數(shù)據(jù)分析模型。因此， 證券公司廣域網(wǎng)絡(luò)系統(tǒng)將來要處理的信息量不僅十分龐大，而且信息的種類也多種多樣，這就要求計算機網(wǎng) 絡(luò)要有極高的能力和效率，以勝任面臨的愈來愈艱巨的任務(wù)。如何有效地管理好網(wǎng)絡(luò)關(guān)系到是否能充分有效地利用網(wǎng)絡(luò)系統(tǒng)資源。 設(shè)計的網(wǎng)絡(luò)應(yīng)提供良好的、可行的安全控制。我們在網(wǎng)絡(luò)連通基礎(chǔ)上需要有更高要求的網(wǎng)絡(luò)服務(wù)內(nèi)容，包括網(wǎng)絡(luò)服務(wù)質(zhì)量 (QoS)、安全性、高可靠性、可擴展性等增值服務(wù)。特別對那些幀中繼或 ATM 網(wǎng)絡(luò)尚未通達到的地區(qū)來說，只能采用 DDN 專線接入。幀中繼的用戶速率可以達到 2Mbps ， 未來可以達到 DS3（ 45Mbps） . （ 3） 寬帶 IP 接入 網(wǎng)絡(luò)應(yīng)用的需求是推動網(wǎng)絡(luò)技術(shù)發(fā)展的主要動力。這種應(yīng)用方式尤其使得 ISDN 適宜于作為專用線路的采用備份線路。貴陽、上海、北京等地的 ISDN 連接也沒有問題。作為總部級網(wǎng)絡(luò)設(shè)備需要具有高可靠性（防止設(shè)備出現(xiàn)故障時整個網(wǎng)上應(yīng)用系統(tǒng)無法正常工作）、高效性（能夠及時處理包的轉(zhuǎn)發(fā)）。 Hantang electronic Workstation Mail: １２ 漢唐電子 .弱電 工程 資料全集 弱電工程 資料全集 弱電工程系統(tǒng)白皮書 區(qū)域管理中心區(qū)域通信平臺 區(qū)域管理中心管理管理每個區(qū)域內(nèi)的多家營業(yè)部。營業(yè)部和其下屬服務(wù)部保持原有撥號備份。 二、 證券公司總部大廈辦公網(wǎng)絡(luò)與總部中心機房互連 證券公司總部大廈辦公網(wǎng)絡(luò)通過租用（敷設(shè)）光纖，采用快速以太網(wǎng)方式互連總部中心機房。原有營業(yè)部一般都已通過本地 ADSL 寬帶接入INTERNET，不用投入。 綜合分析了證券公司的信息共享系統(tǒng)的現(xiàn)狀和未來業(yè)務(wù)的發(fā)展，建議證券公司采用MPLS VPN 作為內(nèi)部信息交換的平臺，實現(xiàn)內(nèi)部管理信息化，使證券交易信息安全、可靠、及時地傳遞和共享，又能有效控制和管理用戶及信息流量， 充分高效利用網(wǎng)絡(luò)資源，節(jié)省費用開支。通過向企業(yè)提供 VPN 服務(wù)， ISP 可以與企業(yè)建立更加緊密的長期合作關(guān)系，同時充分利用現(xiàn)有網(wǎng)絡(luò)資源，提高業(yè)務(wù)量。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第三層隧道協(xié)議有 VTP、 IPSec 等。 MPLS VPN 的工作過程如下： 在基于 MPLS 的 VPN 中，服務(wù)提供商為每個 VPN 分配了一個標識符，稱作路由標識符 (RD)，這個標識符在