【文章內(nèi)容簡(jiǎn)介】 層模塊的內(nèi)置千兆端口。千兆端口配置TRUNK，同時(shí)使用CISCO子接口技術(shù)，給所有VLAN提供網(wǎng)關(guān)。使用ACL控制功能實(shí)現(xiàn)不同VLAN間的定向訪問，如其他子網(wǎng)不可以訪問財(cái)務(wù)子網(wǎng)，但財(cái)務(wù)子網(wǎng)可以訪問行情服務(wù)器。其他信息點(diǎn)使用Catalyst2950和原有的2924交換機(jī)連接，提供桌面交換，并以冗余方式和核心交換機(jī)連接。實(shí)現(xiàn)UPLINKFAST的可用性。機(jī)房使用兩臺(tái)使用ACL8CISCO專用主機(jī)通信優(yōu)化技術(shù)實(shí)現(xiàn)工作站和服務(wù)器快速連接到網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)夸交換機(jī)劃分VLAN，VLAN間通信通過三層交換實(shí)現(xiàn)，同時(shí)通過ACL（2層MAC和3層訪問控制）實(shí)現(xiàn)VLAN間訪問控制。通過使用路由器的靜態(tài)ARP和MAC安全設(shè)置實(shí)現(xiàn)總部網(wǎng)絡(luò)工作站的MAC地址和IP地址的邦定，禁止違法站點(diǎn)訪問網(wǎng)絡(luò)。根據(jù)網(wǎng)絡(luò)系統(tǒng)建設(shè)的原則，從安全可靠、高性能的角度考慮我們推薦使用世界著名的網(wǎng)絡(luò)產(chǎn)品－CISCO產(chǎn)品系列。在證券行業(yè)的主交換機(jī)的選型中，根據(jù)我們?cè)诙嗉覡I(yíng)業(yè)部及總部網(wǎng)絡(luò)系統(tǒng)的應(yīng)用和實(shí)際交換機(jī)的負(fù)載能力上主要是選擇Catalyst 4000和Catalyst6500系列交換機(jī)，在較小的網(wǎng)絡(luò)系統(tǒng)中可以使用Catalyst2948GL3為核心交換機(jī)。下面是CISCO這兩種系列產(chǎn)品的主要技術(shù)比較：11 《萬源倉商務(wù)網(wǎng)》 通過以上分析我們可以歸納以下幾點(diǎn)作詳細(xì)比較：1. 系統(tǒng)可擴(kuò)展性： 4000系列與6000系列交換機(jī)均為模塊化交換機(jī)，其模塊插槽數(shù)、交換容《萬源倉商務(wù)網(wǎng)》12XXX證券中心機(jī)房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書量等已經(jīng)可以滿足系統(tǒng)應(yīng)用；2. 4000系列交換機(jī)不支持冗余引擎，對(duì)交換機(jī)的保護(hù)沒有達(dá)到企業(yè)級(jí)，但是啟用雙主交換機(jī)的方式可以滿足要求；3. 在三層交換上，4000的三層交換能力達(dá)到8GBPS，6MPPS的能力，沒有完全達(dá)到“線速”交換，而6500的三層交換能力達(dá)到150MPPS的轉(zhuǎn)發(fā)能力；4. 在三層交換的安全訪問控制上，4000系列產(chǎn)品通過4232L3模塊或supervisor III實(shí)現(xiàn)，實(shí)現(xiàn)內(nèi)部千兆端口安全訪問控制。而6500的三層通過引擎實(shí)現(xiàn)，可以實(shí)現(xiàn)各個(gè)端口的安全訪問控制；5．4000系列交換機(jī)在設(shè)計(jì)定位上屬于配線間級(jí)交換機(jī)，而級(jí)交換機(jī)； 對(duì)于整個(gè)網(wǎng)絡(luò)來說，潛在的故障點(diǎn)有以下幾個(gè)方面：交換機(jī)引擎交換機(jī)電源子網(wǎng)間的路由交換機(jī)之間的鏈路交換機(jī)的端口服務(wù)器的網(wǎng)絡(luò)連接本方案中，我們針對(duì)以上潛在的故障點(diǎn)作了以下幾方面設(shè)計(jì)，使得整個(gè)系統(tǒng)盡量避免了主干網(wǎng)絡(luò)上的單點(diǎn)故障。選擇中心交換機(jī)相互冗余；在網(wǎng)絡(luò)中心配置兩臺(tái)中心交換機(jī)，一旦主交換故障，備份交換機(jī)可以立即接管所有工作（通過鏈路層的SPT協(xié)議以及網(wǎng)絡(luò)層的HSRP協(xié)議）。有效的防止了單點(diǎn)故障點(diǎn)的出現(xiàn)；主干交換機(jī)雙電源保護(hù)；HSRP（熱備份路由冗余協(xié)議）保證了VLAN間路由的不間斷；二級(jí)交換機(jī)通過兩條鏈路分別連接到兩臺(tái)中心交換機(jī)，利用SPT（SPANTREE）技術(shù)實(shí)現(xiàn)鏈路及端口的冗余，同時(shí)UPLINKFAST技術(shù)實(shí)現(xiàn)了快速切換。關(guān)鍵業(yè)務(wù)服務(wù)器的網(wǎng)絡(luò)連接使用AFT技術(shù)實(shí)現(xiàn)冗余保護(hù)。 Spanning tree 技術(shù)當(dāng)下級(jí)交換機(jī)采用雙鏈路上聯(lián)到上級(jí)交換機(jī)時(shí)，標(biāo)準(zhǔn)Spanningtree能夠判斷出網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并且自動(dòng)將其中一條鏈路“阻塞”（Blocking），只使用一條鏈路進(jìn)行網(wǎng)絡(luò)通訊（Forwarding），《萬源倉商務(wù)網(wǎng)》 13XXX證券中心機(jī)房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書以避免網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上的環(huán)路的形成，這條鏈路稱為“主鏈路”。當(dāng)主鏈路失效時(shí)，標(biāo)準(zhǔn)Spanningtree有一套完整的故障診斷和恢復(fù)的方法，下圖左側(cè)部分顯示出Spanningtree故障恢復(fù)的幾個(gè)過程，包括Blocking、listening、Learning和Forwarding，交換機(jī)在Listening和Learning過程中監(jiān)聽和學(xué)習(xí)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，之后才能激活備份端口（Forwarding），恢復(fù)網(wǎng)絡(luò)的傳輸，整個(gè)故障恢復(fù)的過程大概要持續(xù)40秒到1分鐘。 PortFast 技術(shù)使得交換機(jī)端口迅速跳過listening(偵聽)和learning(學(xué)習(xí))狀forwarding(轉(zhuǎn)發(fā))狀態(tài)。我們可以在交換機(jī)上將連接到服務(wù)器或工作站的端口設(shè)置為SPANING－TREE PORTFAST，這樣可以減少網(wǎng)絡(luò)生成樹的時(shí)間。PORTFAST僅僅設(shè)置連接到單一端站點(diǎn)，否則將導(dǎo)致網(wǎng)絡(luò)環(huán)路。 UplinkFast 技術(shù)UplinkFast是Cisco公司獨(dú)有的故障鏈路快速診斷與恢復(fù)技術(shù)，是對(duì)標(biāo)準(zhǔn)Spanningtree技術(shù)的加強(qiáng)。當(dāng)配置了UplinkFast技術(shù)后，當(dāng)主交換機(jī)的主上聯(lián)鏈路斷掉后，交換機(jī)幾乎可以馬上判斷出網(wǎng)絡(luò)的故障，然后立刻激活備份鏈路，在極短的時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)連接，整個(gè)故障恢復(fù)的過程只需1至2秒。在SPANING－TREE拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)，Uplink Fast能夠通過使用冗余連接組提供快速收斂并獲得負(fù)載平衡。Uplink Fast組就是VLAN的一組設(shè)置端口，其中一個(gè)是處于Forwarding（轉(zhuǎn)發(fā)）狀態(tài)，其余為Blocking（阻塞）狀態(tài)。一般情況下Uplink Fast端口組包括一個(gè)轉(zhuǎn)發(fā)端口和一些阻塞端口，用來阻止網(wǎng)絡(luò)環(huán)路。Uplink Fast端口組提供一個(gè)可選擇的端口以防止網(wǎng)絡(luò)失敗。下圖表示了一個(gè)網(wǎng)絡(luò)正常的案例，Switch A是根交換機(jī)，是通過L1和Switch B直接相連，通《萬源倉商務(wù)網(wǎng)》 14XXX證券中心機(jī)房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書過L2和Switch C直接相連，Switch C和Switch B相連的端口是BLOCK狀態(tài)，L2連接是活動(dòng)的，L3是處于BLOCK狀態(tài)?！度f源倉商務(wù)網(wǎng)》獨(dú)家提供本篇文章，謹(jǐn)防假冒當(dāng)L2連接失敗時(shí)，Uplink FEC/GECFEC/GEC稱為GEC用于千兆以太網(wǎng)端口。在兩臺(tái)Cisco2條或4條物理鏈路捆綁成為一條更高800M帶寬的鏈路。而GEC技術(shù)可以使我另一方面，F(xiàn)EC/GEC還為連接提供了容錯(cuò)。平時(shí)，網(wǎng)絡(luò)流量是被分?jǐn)偟綐?gòu)成FEC/GEC的2條和4條物理鏈路上，如果其中一條鏈路發(fā)生故障（比如斷線），該故障鏈路上的物理流量會(huì)立刻被重新分配到其他正常的流量上，從而達(dá)到容錯(cuò)的目的。FEC/GEC技術(shù)本身是由Cisco公司開發(fā)的，原來只能用于Cisco設(shè)備之間的互連，但現(xiàn)在該技術(shù)已經(jīng)被越來越多的其他物理廠商接受，如Intel公司的100M和1000M的專用服務(wù)器網(wǎng)卡已全面支持FEC/GEC，也就是說，如果一臺(tái)服務(wù)器配置了兩塊或多塊Intel的服務(wù)器網(wǎng)卡，并且連接到同一臺(tái)Cisco以太網(wǎng)交換機(jī)，那么，可以利用FEC/GEC技術(shù)將原本獨(dú)立的兩條鏈路“聚合”成一條4G的具有容錯(cuò)性質(zhì)的鏈路，以提高服務(wù)器的物理訪問能力和穩(wěn)定性。 HSRP(路由熱備份協(xié)議)技術(shù)CISCO HSRP提供了路由器備份功能，可以為IP 在以太網(wǎng)、FDDI、令牌環(huán)等局域網(wǎng)上提供提供路由網(wǎng)管保護(hù)。同時(shí)CISCO HSRP和IPX、AppleTalk、Banyan VINES等協(xié)議兼容使用。HSRP通過將一組配置為HSRP的路由器的LAN端口組成一組，同時(shí)虛擬一個(gè)路由器的LAN端口，其MAC地址是CISCO MAC池中保留的一個(gè)；HSRP通過配置優(yōu)先權(quán)指定那一個(gè)HSRP配置路由器成為活動(dòng)路由器，那些為STANDBY路由器。HSRP通過多目廣播交換各自的優(yōu)先權(quán)。當(dāng)ACTIVE路由器在一定時(shí)間內(nèi)沒有發(fā)送信息，有著最高優(yōu)先權(quán)的STANDBY路由器將成為ACTIVE路由器。路由器間轉(zhuǎn)發(fā)數(shù)據(jù)包對(duì)于LAN是透明的。HSRP配置路由器交換三種多目廣播信息：HELLO－這個(gè)信息向其他路由器宣告自己的HSRP優(yōu)先權(quán)和狀態(tài)。缺省是3S發(fā)送一次。COUP－當(dāng)一個(gè)STANDBY路由器想取代ACTIVE路由器時(shí)，發(fā)送該信息。Resign－當(dāng)ACTIVE路由器將宕機(jī)或其檢測(cè)到一個(gè)具有更高的優(yōu)先權(quán)時(shí)發(fā)送該信息。《萬源倉商務(wù)網(wǎng)》 15XXX證券中心機(jī)房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書在任何情況下，HSRP配置路由器總是處于以下某一種狀態(tài)：Active該路由器執(zhí)行包轉(zhuǎn)發(fā)功能；Standby假如ACTIVE路由器失敗，該路由器處于準(zhǔn)備代替ACTIVE路由器， Speaking and listening該路由器在發(fā)送或接收HELLO信息。HSRP工作過程如下圖所示： 在HSRP組路由器都正常時(shí)，由ACTIVE路由器轉(zhuǎn)發(fā)數(shù)據(jù)包?！度f源倉商務(wù)網(wǎng)》 16XXX證券中心機(jī)房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書 千兆以太網(wǎng)技術(shù)使用千兆以太網(wǎng)技術(shù)，使用目前局域網(wǎng)上成熟最高網(wǎng)絡(luò)速度。同時(shí)也是非常成熟的以太網(wǎng)絡(luò)技術(shù)。廣泛應(yīng)用于金融行業(yè)各種應(yīng)用。. 目前的企業(yè)內(nèi)部局域網(wǎng)普遍存在著很多安全漏洞，比如：普通辦公PC可以瀏覽到關(guān)鍵業(yè)務(wù)用機(jī)（如財(cái)務(wù)）；普通用戶可以進(jìn)入重要的數(shù)據(jù)服務(wù)器系統(tǒng)；外來人員用便攜式電腦連入公司網(wǎng)絡(luò)對(duì)服務(wù)器進(jìn)行攻擊或?qū)?shù)據(jù)進(jìn)行竊取，等等。為了彌補(bǔ)這些漏洞，我們?cè)诒痉桨钢胁捎靡韵率侄?，以確保關(guān)鍵業(yè)務(wù)部門的安全。 通過虛擬局域網(wǎng)的劃分加強(qiáng)網(wǎng)絡(luò)安全本方案采用了按照業(yè)務(wù)劃分虛擬局域網(wǎng)的設(shè)計(jì)思想，將各個(gè)業(yè)務(wù)子網(wǎng)有效的進(jìn)行了隔離，各個(gè)子網(wǎng)間的通訊受到ACL（訪問控制列表）的嚴(yán)格控制。有效的保證了核心業(yè)務(wù)的安全。下面的示意圖僅僅對(duì)財(cái)務(wù)VLAN與行情/交易VLAN進(jìn)行了標(biāo)識(shí)，而實(shí)際上，用戶可以按照自己的需求非常靈活的根據(jù)交換機(jī)的端口劃分任意VLAN。 通過交換機(jī)設(shè)置限制站點(diǎn)對(duì)網(wǎng)絡(luò)系統(tǒng)的訪問Cisco交換機(jī)提供了MAC地址限制的功能。在特定的端口進(jìn)行設(shè)置，允許固定MAC