【文章內容簡介】 有新配置的 3640 主路由器才配置 VOIP。 新增三級節(jié)點 新增節(jié)點因為交易模式?jīng)]有變化，所以新網(wǎng)絡對股民用戶而言是完全透明的，相對以往的操作也不會產(chǎn)生任何不同的感覺。 相對于廣發(fā)網(wǎng)絡原有三級節(jié)點，新 增節(jié)點在二期施工后，將具備同樣的工作模式，相同的備份方式，網(wǎng)絡性能將有極大的改善，同時提供很高的可靠性。 三級節(jié)點通過 DDN 或者與相應二級節(jié)點相連，或直接與網(wǎng)絡中心相連。 營業(yè)部的配置需要 2 臺 Cisco 2924 交換機和 2 臺 Cisco 2611 路由器。二期方案共有 59 個三級節(jié)點，其中一期方案的 2 個三級節(jié)點已購買設備，廣發(fā)原有三級節(jié)點共 38 個，各原有節(jié)點已存在一臺 Cisco 2501 路由器，為保護已有投資，各原有節(jié)點的現(xiàn)存 2501 路由器作為主路由器的熱備份（不能備份 VOIP 功能），因此原有節(jié)點各需另配 1 臺 2611 共 38 臺路由器作為各節(jié)點的主路由器。二期新增二級節(jié)點 19 個，每個節(jié)點需配置 2 臺 Cisco 2924 交換機和 2 臺 Cisco 2611路由器，共 38 臺交換機和 38 臺路由器。 因此，二期方案中共需配置 76 臺 Cisco 2611 路由器。由于廣發(fā)原有三級節(jié)點的現(xiàn)存設備能解決交換機的熱備份問題，所以在二期中不用考慮在原有三級節(jié)點配置新的交換機。這樣，二期中共需配置 38 臺 Cisco 2924 交換機。 每個三級節(jié)點配置兩臺 2611 路由器，其中作為主路由器的 2611 配置 VOIP模塊，作為備份的 2611 不配置 VOIP 模塊。 同樣，原有三級節(jié)點只有新配置的2611 主路由器配置 VOIP 模塊，原有的作備份的 2501 不配置 VOIP 模塊。 防火墻系統(tǒng)設計方案 防火墻應用的重要性 由于 Inter 網(wǎng)絡的飛速發(fā)展，全球數(shù)以億計的計算機已經(jīng)連接在同一個網(wǎng)絡上，這樣既為各上網(wǎng)機構提供了前所未有的宣傳媒介，也同時為一些不法分子提供了獲取機密的條件，他們通過破譯密碼、特洛伊木馬、非法 FTP 等手段竊取資料，導致很多企業(yè)蒙受了巨大的經(jīng)濟損失。盡管目前的各種應用軟件，包括數(shù)據(jù)庫系統(tǒng)， Lotus Notes 等均提供數(shù)據(jù)安全保護功 能，但仍不足以阻止黑客（ Hacker）的攻擊，而應用防火墻技術可以有效的防止這些，通過 IP 地址屏蔽，IP 包過濾， Proxy 服務器，數(shù)據(jù)加密等多種方式提高網(wǎng)絡的免疫能力。 在最近一、二年，隨著 Inter的發(fā)展，另一個名詞 Intra也應運而生， Intra就是利用 Inter的技術和設備，為某一行業(yè)或企業(yè)提供綜合性服務的計算機網(wǎng)絡，它既具備企業(yè)內部網(wǎng)的安全性，又具備 Inter的開放性和靈活性， Intra在支持企業(yè)網(wǎng)絡應用的同時，還可提供界面更為友好的 WWW信息發(fā)布方式，并且能夠提 供與 Inter的平滑聯(lián)接，這是傳統(tǒng)的信 息管理系統(tǒng)無法比擬的，這促使 Intra也不斷地發(fā)展，象聯(lián)邦快運公司（ FEDEX）， Levi Strauss以及 VISA都巳使用 Intra技術。 由于 Inter是一個遍及全球的網(wǎng)絡系統(tǒng)，因此，越來越多的個人及企業(yè)的 Intra全都聯(lián)接到 Inter，但是，一旦上 Inter，相對的也提供了一條他人進入到內部企業(yè)網(wǎng)絡的通道，因此，越來越多的商業(yè)機構都面臨著一個共同的網(wǎng)絡安全問題。一是要保護自己內部的網(wǎng)絡免受外部的非法入侵，二是防止內部信 息的非法泄密。為達到這一安全目的，就要在內部網(wǎng)絡 (Secured Network)和外部網(wǎng)絡（ Non_Secured Network）之間建立防火墻（ Firewall）。（如下圖所示） Intra/Inter的防火墻是一個軟件與硬件的結合，可以對兩個網(wǎng)絡之間的信息交換進行控制，在一臺機器上至少插兩張網(wǎng)卡，一個連接內部網(wǎng)絡（ Secured Network），另一個連接 Inter（ Non_Secured Network），并運行防火墻軟件。 將企業(yè)內部應用的 Web Server， Domain Name Server， E_mail Server放在防火墻內，外部網(wǎng)絡中只有經(jīng)過授權的用戶才能通過防火墻，進入到內部網(wǎng)獲取信息，相對地，內部網(wǎng)絡上的用戶若想訪問 Inter，則必須通過防火墻的檢查，以確認是否合法。 廣發(fā)證券公司防火墻策略及設計方案概述 廣發(fā)證券公司綜合業(yè)務網(wǎng)絡覆蓋了全國多個省市，各節(jié)點通過廣域網(wǎng)方式互聯(lián)，并通過幾處設置防火墻連接 Inter。對于這些防火墻來說，如果不能統(tǒng)一進行管理，將造成混亂，也很可能會由于設置不當出現(xiàn)安全隱患。 Check Point防火墻 提供了集中化管理的功能，即無論多個防火墻的分布如何，都可以通過某個中心位置的控制進行各分行防火墻的管理，這樣既可以達到全局的統(tǒng)一，又可以節(jié)省人力資源的開銷。 在本次需要連入 Intra 網(wǎng)絡的各個節(jié)點均配置一臺小型機作為防火墻服務器。 防火墻的設計要依據(jù)建行的實際需要進行全局和局部的分析，在統(tǒng)一規(guī)劃的前提下對具體的問題用相應的方式進行細化安排。在此，我們提供了一個整體方案供建行參考。下一節(jié)將詳細介紹這個方案建議。 防火墻實施策略 廣發(fā)證券公司網(wǎng)絡中心的防火墻服務器不僅要完成對網(wǎng)絡中心局域 網(wǎng)的保護，還要管理整個 Intra 各網(wǎng)絡節(jié)點的其它防火墻，因此它成為安全措施的核心設備，同時所有網(wǎng)絡中心的計算機與外界的通訊均要通過防火墻的驗證，如果該設備當機，將導致內外通訊癱瘓，需要用兩臺具有較高的處理能力的主機相互備份來完成。 其它 Inter 接入點分別設置一臺工作站作為防火墻服務器，由于防火墻服務器在安裝的時候會將其上的其它應用停止，因此防火墻服務器應為一臺專用服務器，除 DNS 服務之外，其它服務（如 WWW， MAIL??）不應設計在此服務器上。 防火墻通過將安全網(wǎng)和非安全網(wǎng)的各種訪問環(huán)節(jié)（ 包括主機、 IP 地址、網(wǎng)卡、防火墻主機、子網(wǎng)等等）設置成不同的單元，通過在各單元之間設置訪問規(guī)則來實現(xiàn)安全控制。 ★ 對重要服務器的安全保護是安全體系中的重要一環(huán)，因此在配置防火墻時，建議利用防火墻的 IP 地址屏蔽功能將這些服務器的IP 地址屏蔽掉，使得非安全網(wǎng)絡的任何用戶不知道服務器的存在，也就無法對它們進行攻擊。 IP 地址屏蔽功能是防火墻最高級別的安全防護措施。 ★ 對進出防火墻的 IP 包進行過濾是防火墻的一項重要防護功能，防火墻通過對 IP 包源地址和目的地址的檢測分析，拒絕非法數(shù)據(jù)包的傳輸。 ★ 將某些主機設置為單向傳輸方式 。這樣可以利用一些專用主機進行接受數(shù)據(jù)的操作，而它們不可以向非安全網(wǎng)絡傳輸信息，這樣就可以使外部用戶訪問安全網(wǎng)絡的路徑受到限制，通過對這些路徑的重點監(jiān)視，提高網(wǎng)絡通信效率。 ★ 在防火墻上進行 Proxy Server 的設置，這樣所有在安全網(wǎng)絡和非安全網(wǎng)絡之間的訪問均需要通過 Proxy Server，即雙方不進行直接的通信， Proxy Server 提供一個很大的 Disk Cache，這樣的設置也使得網(wǎng)絡內外的通信流量大大降低，從而節(jié)省了費用。 ★ 設置防火墻的安全郵件功能可以保證郵件傳輸?shù)陌踩?，所有郵件均發(fā)送至防火 墻，然后由防火墻轉發(fā)。 ★ 防火墻安全監(jiān)視器可以隨時監(jiān)視網(wǎng)絡的安全體系，當發(fā)現(xiàn)存在安全隱患的時候報警。 ★ 由于廣發(fā)證券各營業(yè)部有很多終端設備，內部 IP 地址是由廣發(fā)證券統(tǒng)一分配，如果為這些終端設備均分配 Inter IP 并不現(xiàn)實。我們通過設置 IBM Firewall 的 NAT（ Network Address Translation）功能來進行網(wǎng)絡地址的映射，當一個數(shù)據(jù)包從安全網(wǎng)絡傳向非安全網(wǎng)絡時進行網(wǎng)絡地址轉換，這樣做方便了 IP 地址分配帶來的不便，節(jié)省了 IP 資源。 ★ 同時，對于廣發(fā)證券的上網(wǎng)管理也需要有力的措施，杜 絕綜合業(yè)務網(wǎng)內計算機撥號上網(wǎng)的情況發(fā)生是有效保障廣發(fā)網(wǎng)絡安全的措施。 IP 電話系統(tǒng) 基于因特網(wǎng)的實時語音通信，是目前 Inter 技術應用的一個重大發(fā)展方向，通過 IP 網(wǎng)絡，傳送商業(yè)質量的話音 /傳真，已經(jīng)開始沖擊到傳統(tǒng)的電話業(yè)務，特別是國際長途業(yè)務。 “Voice Over IP”，就是指應用于 IP 網(wǎng)絡上實現(xiàn)話音及傳真信號傳輸?shù)囊婚T全新的集成業(yè)務數(shù)據(jù)網(wǎng)絡技術。其特點在于其軟硬件均經(jīng)過精心設計和開發(fā)，可以 通過任何 IP 網(wǎng)絡提供無縫的話音 /傳真集成。目前，世界數(shù)據(jù)網(wǎng)絡通信領域的領先廠商均開發(fā) 了 這方面的產(chǎn)品。 對于企業(yè)用戶來說，通過 IP 網(wǎng)關傳送長途電話 /傳真，同樣具有重要的意義 : 1． 節(jié)省長途電話費用 用 IP 網(wǎng)絡完成所有話音 /傳真的傳送，能極大地降低了公司內部跨地域、跨國界的電話 /傳真成本。 2． 減少設備投資 公司可以在原來只能傳送數(shù)據(jù)的網(wǎng)絡上獲得增值的話音服務，而無需再另外租用或者購買單獨用于話音的設備和線路。由于所有內部通信（話音、數(shù)據(jù)、傳真）都通過同一網(wǎng)絡傳送，企業(yè)可以大大降低購買和維護設備的費用。 IP 電話的工作原理 通常，我們可以通過合理地管理 IP 網(wǎng)絡，達到實時通信的目的。例如，可以采用具有優(yōu)先級別的包和帶寬分配機制，在現(xiàn)有的 IP 網(wǎng)絡上建立一個附加的語音 /傳真網(wǎng)絡，從而使任何擁有 IP 地址的人都可以通過網(wǎng)絡發(fā)送和接收語音 /傳真。 PC 到 PC 之間的通話，只要有合適的客戶端軟件就可以實現(xiàn)。 但是要實現(xiàn)公眾電話網(wǎng)（ PSTN）與 Intra 之間的互通，從而完成基于 IP電話網(wǎng)關的 PhonetoPhone的語音通信和基于 IP電話網(wǎng)關的 PhonetoPC的語音通信，則有很多額外的工作要做。 ITUT 已就如何實現(xiàn)數(shù)據(jù)通信網(wǎng)上的多媒體業(yè)務（包括語音 和視頻）及網(wǎng)際互通制訂了 等一系列標準，使得 IP 電話的規(guī)范逐步完善，各廠商的設備可以互通。語音壓縮技術的不斷進步也為 IP 電話的發(fā)展鋪平了道路。 我們以本次中國的 IP 電話試驗網(wǎng)為例，說明 IP 電話的工作原理。 當用戶 A 想通過 Inter 撥打用戶 B 時，首先撥打 IP 電話的接入服務號碼（ 179xx）到本地的接入服務器（ IP 電話網(wǎng)關） 。待連通后，再撥叫被叫用戶 B的電話號碼。 A 端的接入服務器根據(jù)該號碼查到 B 端接入服務器的 IP 地址，通過 Inter 與 B 端的接入服務器建立連接，然后告訴 B 端接入服務器 B 用戶的電話號碼， B 端接入服務器則根據(jù)這號碼呼叫 B 用戶 。如果 B 摘機，則電話接通。通話過程中， A 端的接入服務器把用戶 A 的話音壓縮成 或 流，并封裝成 IP 包，然后通過實時傳輸協(xié)議 RTP 傳給 B 端的接入服務器 。B 端的接入服務器則將此包解開，并還原成音頻流傳給用戶 B。反之亦然。 IP 傳真的原理同 IP 電話。 IP 電話的技術標準 ITUT 于 1996 年通過了 標準，其目的在于給 IP 電話提供一個國際標準，其基本組成如 下 : 標準定義了 4 個 IP 電話組件 :Terminal,Gateway,MCU(Multipoint Control Unit)和 Gatekeeper。 Terminal:是一個符合 標準的客戶終端，可以是軟件（如 meeting）也可以是硬件（如專用的 Inter Phone） ,它提供了實時的雙向傳輸用以傳送聲音。 Gateway:完成 PSTN/PBA/ISDN 網(wǎng)絡之間的協(xié)議轉換，主要包括傳輸格式的轉換（如 到 ），通信過程的轉換（如 到 ） ,另外還完成音頻格式的轉換和呼叫建立。因此， 如果要建立異種網(wǎng)絡間的通話（如 PSTN 到Inter） ,網(wǎng)關是必需的，否則網(wǎng)關可以省略。 Gatekeeper:負責用戶注冊和管理，如地址映射，呼叫認證和管理，呼叫記錄和區(qū)域管理。 MCU:其功能是實現(xiàn)多點通信，使得 Inter 能夠支持諸如網(wǎng)絡會議這樣的一些多點應用。 設計目的：為什么要為廣發(fā)網(wǎng)絡工程設計 IP 電話系統(tǒng) 技術的進步和發(fā)展促進了 IP 電話的增長，使其技術成本不斷降低，并且更加具有實用價值。同時， IP 電話的關鍵部件 DSP 的成本已經(jīng)顯著下降。 正如我們所 知，模擬電話呼叫無論采用何種轉換方式，都要占用 64Kbps 的帶寬，這樣，高速數(shù)據(jù)線路的用戶也許要把相當數(shù)量的帶寬用于傳送語音，當多媒體應用越來越廣泛的時候，帶寬資源就會顯得相當緊張。 DSP 則可以把模擬信號轉換成 8Kbps 或帶寬更窄的數(shù)據(jù)流。所以，如果把語音轉換成一種數(shù)據(jù)流后，用戶就可以在同一條線路上傳輸比采用模擬技術時更多的呼叫，從而使數(shù)據(jù)通信的經(jīng)營效益更好。 實際上在多年以前，語音數(shù)字化在技術上就可以實現(xiàn)了，那時的主要問題是用戶負擔不起這筆費用。而最近幾年內， DSP 技術在功能和性能上迅速取得了進展，因此，用戶不但負擔得起，而且還能夠很快獲得投資收益。 未來網(wǎng)絡發(fā)展的方向無疑是邁向三網(wǎng)合一， 在一條線路上綜合傳輸話音、數(shù)據(jù)和視頻，當然這是一個漫長的過程。同時， IP 電話運營的更深涵義并不僅僅在于從中獲取利益，而是通過 IP 電話的使用 使企業(yè)發(fā)展成一個成熟的現(xiàn)代化企業(yè)，并能夠為用戶提供象 CALL CENTER 這樣的現(xiàn)代化服務。 廣發(fā)證