【文章內(nèi)容簡介】 XX證券中心機房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書 久易數(shù)據(jù)網(wǎng)， 11 所有的子網(wǎng)網(wǎng)關(guān)都設(shè)置在 6509引擎三層模塊的內(nèi)置千兆端口。千兆端口配置 TRUNK，同時使用 CISCO子接口技術(shù)，給所有 VLAN提供網(wǎng)關(guān)。 使用 ACL控制功能實現(xiàn)不同 VLAN間的定向訪問，如其他子網(wǎng)不可以訪問財務(wù)子網(wǎng)，但財務(wù)子網(wǎng)可以訪問行情服務(wù)器。 其他信息點使用 Catalyst2950 和原有的 2924交換機連接，提供 10/100M桌面交換，并以冗余方式和核心交換機連接。實現(xiàn) UPLINKFAST 功能，當(dāng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)發(fā)生變化時實現(xiàn)快速切換，保證網(wǎng)絡(luò)的可用性。 機房 使用兩臺 Catalyst 2948G 提供對 10/100M速度要求比較高轉(zhuǎn)換機。 使用 ACL控制功能實現(xiàn)不同 VLAN間的定向訪問，如其他子網(wǎng)不可以訪問財務(wù)子網(wǎng)，但財務(wù)子網(wǎng)可以訪問行情服務(wù)器。 所有網(wǎng)絡(luò)交換機連接工作站、服務(wù)器的端口使用 CISCO專用主機通信優(yōu)化技術(shù)實現(xiàn)工作站和服務(wù)器快速連接到網(wǎng)絡(luò)。 對網(wǎng)絡(luò)實現(xiàn)夸交換機劃分 VLAN， VLAN間通信通過三層交換實現(xiàn)，同時通過 ACL（ 2層 MAC和 3層訪問控制）實現(xiàn) VLAN間訪問控制。 通過使用路由器的靜態(tài) ARP和 MAC安全設(shè)置實現(xiàn)總部網(wǎng)絡(luò)工作站的 MAC地址和 IP地址的邦定，禁止違法站點訪問網(wǎng)絡(luò)。 中心交換機產(chǎn)器選型 根據(jù)網(wǎng)絡(luò)系統(tǒng)建設(shè)的原則，從安全可靠、高性能的角度考慮我們推薦使用世界著名的網(wǎng)絡(luò)產(chǎn)品－ CISCO產(chǎn)品系列。 在證券行業(yè)的主交換機的選型中，根據(jù)我們在多家營業(yè)部及總部網(wǎng)絡(luò)系統(tǒng)的應(yīng)用和實際交換機的負載能力上主要是選擇 Catalyst 4000 和 Catalyst6500 系列交換機，在較小的網(wǎng)絡(luò)系統(tǒng)中可以使用 Catalyst2948GL3為核心交換機 。 下面是 CISCO 這兩種系列產(chǎn)品的主要技術(shù)比較： 產(chǎn)品名稱 Catalyst 4000 Catalyst 6500 Specifications 類型 模塊化 模塊化 XX證券中心機房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書 久易數(shù)據(jù)網(wǎng)， 12 Gigabit Ether 是 是 100Mbps Ether 是 是 10Mbps Ether 是 是 DRAM 64 MB 64 MB to 128 MB 規(guī)格 x x 12 in x x 12 in. 安全特征 RADIUS 是 是 TACACS+ 是 是 Kerberos 是 是 Access List 是 是 Hi Availability/Resilliency RedundantSupervisor Engine 否 是 Redundant Power Supply 是 是 Spanning Tree 是 是 Portfast 是 是 Uplink Fast 是 是 HSRP 是 是 QOS/Voice/Multicast/Multimedia IGMP 是 是 QPM 否 是 QOSMarking Classification 是 是 QOS Multiqueues 是 是 ISL/.1Q 是 是 CGMP 是 是 交換容量 Throughput 18 Mpps 150 Mpps Backplane Capacity 60 Gbps 32256 Gbps Number of VLANs 1024 1000 多層交換 Layer 4 – 7 否 是 Layer 3 是 是 Layer 2 是 是 通過以上分析我們可以歸納以下幾點作詳細比較： XX證券中心機房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書 久易數(shù)據(jù)網(wǎng)， 13 1. 系統(tǒng)可擴展性： 4000 系列與 6000 系列交換機均為模塊化交換機，其模塊插槽數(shù)、交換容量等已經(jīng)可以滿足系統(tǒng)應(yīng)用； 2. 4000 系列交換機不支持冗余引擎，對交換機的保護沒有達到企業(yè)級，但是啟用雙主交換機的方式可以滿足要求； 3. 在三層交換上， 4000的三層交換能力達到 8GBPS， 6MPPS的能力，沒有完全達到“線速”交換，而 6500的三層交換能力達到 150MPPS 的轉(zhuǎn)發(fā)能力； 4. 在三層交換的安全訪問控制上， 4000系列產(chǎn)品通過 4232L3模塊或 supervisor III 實現(xiàn)，實現(xiàn)內(nèi)部千兆端口安全訪問控制。而 6500的三層通過引擎實現(xiàn)， 可以實現(xiàn)各個端口的安全訪問控制； 5． 4000系列交換機在設(shè)計定位上屬于配線間級交換機，而 6500系列交換機屬于企業(yè)（主干）級交換機； 由于 總部級網(wǎng)絡(luò)規(guī)模不能和 同等 營業(yè)部網(wǎng)絡(luò)規(guī)模相比，因為營業(yè)部網(wǎng)絡(luò)工作站主要是無盤站，對網(wǎng)絡(luò)帶寬要求較低，而總部主要是有盤站，應(yīng)用復(fù)雜，并且有盤站的各種廣播包占有相當(dāng)?shù)膸?，所以總部網(wǎng)絡(luò)核心交換機的交換機能力要遠遠大于營業(yè)部的交換機容量。 綜上所述，我們不難得出結(jié)論： 對于 XX證券總部這樣需要劃分多個業(yè)務(wù)子網(wǎng)，并且需要進行有效的安全訪問控制的網(wǎng)絡(luò)來說，我們建議主干交換機選用 Catalyst6509交換機，其更能適合系統(tǒng)需求。 的技術(shù)與作用 對于整個網(wǎng)絡(luò)來說，潛在的故障點有以下幾個方面： 交換機引擎 交換機電源 子網(wǎng)間的路由 交換機之間的鏈路 交換機的端口 服務(wù)器的網(wǎng)絡(luò)連接 本方案中，我們針對以上潛在的故障點作了以下幾方面設(shè)計，使得整個系統(tǒng)盡量避免了主干網(wǎng)絡(luò)上的單點故障。 選擇中心交換機相互冗余； 在網(wǎng)絡(luò)中心配置兩臺中心交換機，一旦主交換故障，備份交換機可以立即接管所有工作（通過鏈路層的 SPT協(xié)議以及網(wǎng)絡(luò)層的 HSRP協(xié)議）。有效的防 止了單點故障點的出現(xiàn)； 主干交換機雙電源保護； HSRP（熱備份路由冗余協(xié)議）保證了 VLAN間路由的不間斷； 二級交換機通過兩條鏈路分別連接到兩臺中心交換機，利用 SPT（ SPANTREE）技術(shù)實現(xiàn)鏈路及端口的冗余，同時 UPLINKFAST 技術(shù)實現(xiàn)了快速切換。 關(guān)鍵業(yè)務(wù)服務(wù)器的網(wǎng)絡(luò)連接使用 AFT技術(shù)實現(xiàn)冗余保護。 Spanning tree 技術(shù) XX證券中心機房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書 久易數(shù)據(jù)網(wǎng)， 14 當(dāng)下級交換機采用雙鏈路上聯(lián)到上級交換機時，標(biāo)準(zhǔn) Spanningtree 能夠判斷出網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，并且自動將其中一條鏈路“阻塞”（ Blocking），只使用一條鏈路進行網(wǎng)絡(luò)通訊（ Forwarding） ，以避免網(wǎng)絡(luò)拓撲結(jié)構(gòu)上的環(huán)路的形成，這條鏈路稱為“主鏈路”。當(dāng)主鏈路失效時，標(biāo)準(zhǔn) Spanningtree有一套完整的故障診斷和恢復(fù)的方法，下圖左側(cè)部分顯示出 Spanningtree故障恢復(fù)的幾個過程，包括 Blocking、 listening、 Learning 和 Forwarding，交換機在 Listening 和 Learning 過程中監(jiān)聽和學(xué)習(xí)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，之后才能激活備份端口（ Forwarding），恢復(fù)網(wǎng)絡(luò)的傳輸，整個故障恢復(fù)的過程大概要 持續(xù) 40秒到 1分鐘。 PortFast 技術(shù) SPANINGTREE PORTFAST 技術(shù)使得交換機端口迅速跳過 listening(偵聽 )和 learning(學(xué)習(xí) )狀態(tài)，而迅速成為 forwarding(轉(zhuǎn)發(fā) )狀態(tài)。我們可以在交換機上將連接到服務(wù)器或工作站的端口設(shè)置為 SPANING－ TREE PORTFAST，這樣可以減少網(wǎng)絡(luò)生成樹的時間。 PORTFAST 僅僅設(shè)置連接到單一端站點，否則將導(dǎo)致網(wǎng)絡(luò)環(huán)路。 UplinkFast 技術(shù) UplinkFast 是 Cisco 公司獨有的故障鏈 路快速診斷與恢復(fù)技術(shù)，是對標(biāo)準(zhǔn) Spanningtree 技術(shù)的加強。當(dāng)配置了 UplinkFast技術(shù)后，當(dāng)主交換機的主上聯(lián)鏈路斷掉后，交換機幾乎可以馬上判斷出網(wǎng)絡(luò)的故障，然后立刻激活備份鏈路，在極短的時間內(nèi)恢復(fù)網(wǎng)絡(luò)連接，整個故障恢復(fù)的過程只需1至 2秒。 在 SPANING－ TREE 拓撲結(jié)構(gòu)發(fā)生變化時， Uplink Fast 能夠通過使用冗余連接組提供快速收斂并獲得負載平衡。 Uplink Fast 組就是 VLAN的一組設(shè)置端口，其中一個是處于 Forwarding（轉(zhuǎn)發(fā)）狀態(tài)，其余為 Blocking（阻塞）狀態(tài)。一 般情況下 Uplink Fast 端口組包 括 一個轉(zhuǎn)發(fā)端口和一些阻XX證券中心機房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書 久易數(shù)據(jù)網(wǎng)， 15 塞端口，用來阻止網(wǎng)絡(luò)環(huán)路。 Uplink Fast端口組提供一個可選擇的端口以防止網(wǎng)絡(luò)失敗 。 下圖表示了一個網(wǎng)絡(luò)正常的案例， Switch A是根交換機，是通過 L1和 Switch B 直接相連，通過 L2和 Switch C 直接相連， Switch C和 Switch B 相連的端口是 BLOCK狀態(tài)， L2連接是活動的， L3是處于 BLOCK狀態(tài)。 當(dāng) L2連接失敗時， Uplink Fast 解除在 Switch C 上的 BLOCK 端口進行轉(zhuǎn)發(fā)數(shù)據(jù)，而不需要通過偵聽和學(xué) 習(xí)過程，交換機如上圖所示，整個切換過程不超過 2秒。 FEC/GEC 技術(shù) FEC/GEC 稱為 Cisco交換機帶寬聚合技術(shù)， FEC應(yīng)用于快速以太網(wǎng)端口， GEC用于千兆以太網(wǎng)端口。在兩臺 Cisco交換機互連時，利用 FEC/GEC 技術(shù)，可以將 2條或 4條物理鏈路捆綁成為一條更高帶寬的邏輯鏈路。應(yīng)用 FEC 技術(shù)，我們可以得到一條全雙工 800M 帶寬的鏈路。而 GEC 技術(shù)可以使我們實現(xiàn)高達 4G的帶寬。 FEC/GEC 技術(shù)一方面為我們提供了一種擴展網(wǎng)絡(luò)帶寬的手段，另一方面， FEC/GEC還為連接提供了容錯。平時，網(wǎng)絡(luò) 流量是被分攤到構(gòu)成 FEC/GEC的 2條和 4條物理鏈路上，如果其中一條鏈路發(fā)生故障（比如斷線），該故障鏈路上的物理流量會立刻被重新分配到其他正常的流量上，從而達到容錯的目的。 FEC/GEC 技術(shù)本身是由 Cisco 公司開發(fā)的，原來只能用于 Cisco 設(shè)備之間的互連，但現(xiàn)在該技術(shù)已經(jīng)被越來越多的其他物理廠商接受，如 Intel 公司的 100M和 1000M 的專用服務(wù)器網(wǎng)卡已全面支持 FEC/GEC，也就是說，如果一臺服務(wù)器配置了兩塊或多塊 Intel的服務(wù)器網(wǎng)卡，并且連接到同一臺Cisco 以太網(wǎng)交換機，那么，可以利用 FEC/GEC 技術(shù)將原本獨立的兩條鏈路“聚合”成一條 4G 的具有容錯性質(zhì)的鏈路，以提高服務(wù)器的物理訪問能力和穩(wěn)定性。 HSRP(路由熱備份協(xié)議 )技術(shù) CISCO HSRP 提供了路由器備份功能，可以為 IP 在以太網(wǎng)、 FDDI、令牌環(huán)等局域網(wǎng)上提供提供路由網(wǎng)管保護。同時 CISCO HSRP 和 IPX、 AppleTalk、 Banyan VINES 等協(xié)議兼容使用。 HSRP通過將一組配置為 HSRP的路由器的 LAN端口組成一組，同時虛擬一個路由器的 LAN端口，其 MAC地址是 CISCO MAC 池中保留的一個； HSRP通 過配置優(yōu)先權(quán)指定那一個 HSRP配置路由器成為活動路由器，那些為 STANDBY 路由器。 HSRP 通過多目廣播交換各自的優(yōu)先權(quán)。當(dāng) ACTIVE 路由器在一定時間內(nèi)沒有發(fā)送信息，有著最高優(yōu)先權(quán)的 STANDBY 路由器將成為 ACTIVE 路由器。路由器間轉(zhuǎn)發(fā)數(shù)據(jù)包對于 LAN是透明的。 HSRP配置路由器交換三種多目廣播信息： HELLO－這個信息向其他路由器宣告自己的 HSRP優(yōu)先權(quán)和狀態(tài)。缺省是 3S 發(fā)送一次。 XX證券中心機房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書 久易數(shù)據(jù)網(wǎng)， 16 COUP－當(dāng)一個 STANDBY路由器想取代 ACTIVE路由器時，發(fā)送該信息。 Resign－當(dāng) ACTIVE 路由器 將宕機或其檢測到一個具有更高的優(yōu)先權(quán)時發(fā)送該信息。 在任何情況下， HSRP配置路由器總是處于以下某一種狀態(tài)： Active該路由器執(zhí)行包轉(zhuǎn)發(fā)功能； Standby假如 ACTIVE 路由器失敗，該路由器處于準(zhǔn)備代替 ACTIVE路由器， Speaking and listening該路由器在發(fā)送或接收 HELLO信息。 HSRP工作過程如下圖所示： H S R PL A N Sw i t chL A N Sw i t chProvi des VL A N R ou t i ng B ack up B et w een R ou t er sPri m ar y Secon dar yD ef aul tef aul tI P G at e w ayI P at e ayNE TW ORKCi sc o Hot Sta n d b y Ro u t e r Pro t o c o l (HSRP)H S R P 功能：設(shè)備和鏈路冗余 在 HSRP組路由器都正常時，由 ACTIVE路由器轉(zhuǎn)發(fā)數(shù)據(jù)包。 XX證券中心機房網(wǎng)絡(luò)及系統(tǒng)建設(shè)方案建議書 久易數(shù)據(jù)網(wǎng)， 17 H S R PL A N Sw i t chL A N Sw i t chProvi des VL A N R ou t i ng B ack up