【文章內(nèi)容簡介】 層模塊的內(nèi)置千兆端口。千兆端口配置TRUNK，同時使用CISCO子接口技術(shù)，給所有VLAN提供網(wǎng)關(guān)。使用ACL控制功能實現(xiàn)不同VLAN間的定向訪問，如其他子網(wǎng)不可以訪問財務子網(wǎng)，但財務子網(wǎng)可以訪問行情服務器。其他信息點使用Catalyst2950和原有的2924交換機連接，提供桌面交換，并以冗余方式和核心交換機連接。實現(xiàn)UPLINKFAST的可用性。機房使用兩臺使用ACL8CISCO專用主機通信優(yōu)化技術(shù)實現(xiàn)工作站和服務器快速連接到網(wǎng)絡。對網(wǎng)絡實現(xiàn)夸交換機劃分VLAN，VLAN間通信通過三層交換實現(xiàn)，同時通過ACL（2層MAC和3層訪問控制）實現(xiàn)VLAN間訪問控制。通過使用路由器的靜態(tài)ARP和MAC安全設置實現(xiàn)總部網(wǎng)絡工作站的MAC地址和IP地址的邦定，禁止違法站點訪問網(wǎng)絡。根據(jù)網(wǎng)絡系統(tǒng)建設的原則，從安全可靠、高性能的角度考慮我們推薦使用世界著名的網(wǎng)絡產(chǎn)品－CISCO產(chǎn)品系列。在證券行業(yè)的主交換機的選型中，根據(jù)我們在多家營業(yè)部及總部網(wǎng)絡系統(tǒng)的應用和實際交換機的負載能力上主要是選擇Catalyst 4000和Catalyst6500系列交換機，在較小的網(wǎng)絡系統(tǒng)中可以使用Catalyst2948GL3為核心交換機。下面是CISCO這兩種系列產(chǎn)品的主要技術(shù)比較：11 《萬源倉商務網(wǎng)》 通過以上分析我們可以歸納以下幾點作詳細比較：1. 系統(tǒng)可擴展性： 4000系列與6000系列交換機均為模塊化交換機，其模塊插槽數(shù)、交換容《萬源倉商務網(wǎng)》12XXX證券中心機房網(wǎng)絡及系統(tǒng)建設方案建議書量等已經(jīng)可以滿足系統(tǒng)應用；2. 4000系列交換機不支持冗余引擎，對交換機的保護沒有達到企業(yè)級，但是啟用雙主交換機的方式可以滿足要求；3. 在三層交換上，4000的三層交換能力達到8GBPS，6MPPS的能力，沒有完全達到“線速”交換，而6500的三層交換能力達到150MPPS的轉(zhuǎn)發(fā)能力；4. 在三層交換的安全訪問控制上，4000系列產(chǎn)品通過4232L3模塊或supervisor III實現(xiàn)，實現(xiàn)內(nèi)部千兆端口安全訪問控制。而6500的三層通過引擎實現(xiàn)，可以實現(xiàn)各個端口的安全訪問控制；5．4000系列交換機在設計定位上屬于配線間級交換機，而級交換機； 對于整個網(wǎng)絡來說，潛在的故障點有以下幾個方面：交換機引擎交換機電源子網(wǎng)間的路由交換機之間的鏈路交換機的端口服務器的網(wǎng)絡連接本方案中，我們針對以上潛在的故障點作了以下幾方面設計，使得整個系統(tǒng)盡量避免了主干網(wǎng)絡上的單點故障。選擇中心交換機相互冗余；在網(wǎng)絡中心配置兩臺中心交換機，一旦主交換故障，備份交換機可以立即接管所有工作（通過鏈路層的SPT協(xié)議以及網(wǎng)絡層的HSRP協(xié)議）。有效的防止了單點故障點的出現(xiàn)；主干交換機雙電源保護；HSRP（熱備份路由冗余協(xié)議）保證了VLAN間路由的不間斷；二級交換機通過兩條鏈路分別連接到兩臺中心交換機，利用SPT（SPANTREE）技術(shù)實現(xiàn)鏈路及端口的冗余，同時UPLINKFAST技術(shù)實現(xiàn)了快速切換。關(guān)鍵業(yè)務服務器的網(wǎng)絡連接使用AFT技術(shù)實現(xiàn)冗余保護。 Spanning tree 技術(shù)當下級交換機采用雙鏈路上聯(lián)到上級交換機時，標準Spanningtree能夠判斷出網(wǎng)絡的拓撲結(jié)構(gòu)，并且自動將其中一條鏈路“阻塞”（Blocking），只使用一條鏈路進行網(wǎng)絡通訊（Forwarding），《萬源倉商務網(wǎng)》 13XXX證券中心機房網(wǎng)絡及系統(tǒng)建設方案建議書以避免網(wǎng)絡拓撲結(jié)構(gòu)上的環(huán)路的形成，這條鏈路稱為“主鏈路”。當主鏈路失效時，標準Spanningtree有一套完整的故障診斷和恢復的方法，下圖左側(cè)部分顯示出Spanningtree故障恢復的幾個過程，包括Blocking、listening、Learning和Forwarding，交換機在Listening和Learning過程中監(jiān)聽和學習網(wǎng)絡的拓撲結(jié)構(gòu)，之后才能激活備份端口（Forwarding），恢復網(wǎng)絡的傳輸，整個故障恢復的過程大概要持續(xù)40秒到1分鐘。 PortFast 技術(shù)使得交換機端口迅速跳過listening(偵聽)和learning(學習)狀forwarding(轉(zhuǎn)發(fā))狀態(tài)。我們可以在交換機上將連接到服務器或工作站的端口設置為SPANING－TREE PORTFAST，這樣可以減少網(wǎng)絡生成樹的時間。PORTFAST僅僅設置連接到單一端站點，否則將導致網(wǎng)絡環(huán)路。 UplinkFast 技術(shù)UplinkFast是Cisco公司獨有的故障鏈路快速診斷與恢復技術(shù)，是對標準Spanningtree技術(shù)的加強。當配置了UplinkFast技術(shù)后，當主交換機的主上聯(lián)鏈路斷掉后，交換機幾乎可以馬上判斷出網(wǎng)絡的故障，然后立刻激活備份鏈路，在極短的時間內(nèi)恢復網(wǎng)絡連接，整個故障恢復的過程只需1至2秒。在SPANING－TREE拓撲結(jié)構(gòu)發(fā)生變化時，Uplink Fast能夠通過使用冗余連接組提供快速收斂并獲得負載平衡。Uplink Fast組就是VLAN的一組設置端口，其中一個是處于Forwarding（轉(zhuǎn)發(fā)）狀態(tài)，其余為Blocking（阻塞）狀態(tài)。一般情況下Uplink Fast端口組包括一個轉(zhuǎn)發(fā)端口和一些阻塞端口，用來阻止網(wǎng)絡環(huán)路。Uplink Fast端口組提供一個可選擇的端口以防止網(wǎng)絡失敗。下圖表示了一個網(wǎng)絡正常的案例，Switch A是根交換機，是通過L1和Switch B直接相連，通《萬源倉商務網(wǎng)》 14XXX證券中心機房網(wǎng)絡及系統(tǒng)建設方案建議書過L2和Switch C直接相連，Switch C和Switch B相連的端口是BLOCK狀態(tài)，L2連接是活動的，L3是處于BLOCK狀態(tài)?！度f源倉商務網(wǎng)》獨家提供本篇文章，謹防假冒當L2連接失敗時，Uplink FEC/GECFEC/GEC稱為GEC用于千兆以太網(wǎng)端口。在兩臺Cisco2條或4條物理鏈路捆綁成為一條更高800M帶寬的鏈路。而GEC技術(shù)可以使我另一方面，F(xiàn)EC/GEC還為連接提供了容錯。平時，網(wǎng)絡流量是被分攤到構(gòu)成FEC/GEC的2條和4條物理鏈路上，如果其中一條鏈路發(fā)生故障（比如斷線），該故障鏈路上的物理流量會立刻被重新分配到其他正常的流量上，從而達到容錯的目的。FEC/GEC技術(shù)本身是由Cisco公司開發(fā)的，原來只能用于Cisco設備之間的互連，但現(xiàn)在該技術(shù)已經(jīng)被越來越多的其他物理廠商接受，如Intel公司的100M和1000M的專用服務器網(wǎng)卡已全面支持FEC/GEC，也就是說，如果一臺服務器配置了兩塊或多塊Intel的服務器網(wǎng)卡，并且連接到同一臺Cisco以太網(wǎng)交換機，那么，可以利用FEC/GEC技術(shù)將原本獨立的兩條鏈路“聚合”成一條4G的具有容錯性質(zhì)的鏈路，以提高服務器的物理訪問能力和穩(wěn)定性。 HSRP(路由熱備份協(xié)議)技術(shù)CISCO HSRP提供了路由器備份功能，可以為IP 在以太網(wǎng)、FDDI、令牌環(huán)等局域網(wǎng)上提供提供路由網(wǎng)管保護。同時CISCO HSRP和IPX、AppleTalk、Banyan VINES等協(xié)議兼容使用。HSRP通過將一組配置為HSRP的路由器的LAN端口組成一組，同時虛擬一個路由器的LAN端口，其MAC地址是CISCO MAC池中保留的一個；HSRP通過配置優(yōu)先權(quán)指定那一個HSRP配置路由器成為活動路由器，那些為STANDBY路由器。HSRP通過多目廣播交換各自的優(yōu)先權(quán)。當ACTIVE路由器在一定時間內(nèi)沒有發(fā)送信息，有著最高優(yōu)先權(quán)的STANDBY路由器將成為ACTIVE路由器。路由器間轉(zhuǎn)發(fā)數(shù)據(jù)包對于LAN是透明的。HSRP配置路由器交換三種多目廣播信息：HELLO－這個信息向其他路由器宣告自己的HSRP優(yōu)先權(quán)和狀態(tài)。缺省是3S發(fā)送一次。COUP－當一個STANDBY路由器想取代ACTIVE路由器時，發(fā)送該信息。Resign－當ACTIVE路由器將宕機或其檢測到一個具有更高的優(yōu)先權(quán)時發(fā)送該信息。《萬源倉商務網(wǎng)》 15XXX證券中心機房網(wǎng)絡及系統(tǒng)建設方案建議書在任何情況下，HSRP配置路由器總是處于以下某一種狀態(tài)：Active該路由器執(zhí)行包轉(zhuǎn)發(fā)功能；Standby假如ACTIVE路由器失敗，該路由器處于準備代替ACTIVE路由器， Speaking and listening該路由器在發(fā)送或接收HELLO信息。HSRP工作過程如下圖所示： 在HSRP組路由器都正常時，由ACTIVE路由器轉(zhuǎn)發(fā)數(shù)據(jù)包。《萬源倉商務網(wǎng)》 16XXX證券中心機房網(wǎng)絡及系統(tǒng)建設方案建議書 千兆以太網(wǎng)技術(shù)使用千兆以太網(wǎng)技術(shù)，使用目前局域網(wǎng)上成熟最高網(wǎng)絡速度。同時也是非常成熟的以太網(wǎng)絡技術(shù)。廣泛應用于金融行業(yè)各種應用。. 目前的企業(yè)內(nèi)部局域網(wǎng)普遍存在著很多安全漏洞，比如：普通辦公PC可以瀏覽到關(guān)鍵業(yè)務用機（如財務）；普通用戶可以進入重要的數(shù)據(jù)服務器系統(tǒng)；外來人員用便攜式電腦連入公司網(wǎng)絡對服務器進行攻擊或?qū)?shù)據(jù)進行竊取，等等。為了彌補這些漏洞，我們在本方案中采用以下手段，以確保關(guān)鍵業(yè)務部門的安全。 通過虛擬局域網(wǎng)的劃分加強網(wǎng)絡安全本方案采用了按照業(yè)務劃分虛擬局域網(wǎng)的設計思想，將各個業(yè)務子網(wǎng)有效的進行了隔離，各個子網(wǎng)間的通訊受到ACL（訪問控制列表）的嚴格控制。有效的保證了核心業(yè)務的安全。下面的示意圖僅僅對財務VLAN與行情/交易VLAN進行了標識，而實際上，用戶可以按照自己的需求非常靈活的根據(jù)交換機的端口劃分任意VLAN。 通過交換機設置限制站點對網(wǎng)絡系統(tǒng)的訪問Cisco交換機提供了MAC地址限制的功能。在特定的端口進行設置，允許固定MAC