【正文】 二、 證券公司 MPLS VPN 路由規(guī)劃 證券公司內(nèi)部路由協(xié)議可以采用 OSPF 動態(tài)路由協(xié)議，實現(xiàn)證券公司網(wǎng)絡(luò)系統(tǒng)內(nèi)部快速、統(tǒng)一的路由發(fā)現(xiàn)功能。 證券公司總部 IP： ， 內(nèi)部使用 OSPF（或 RIP）路由協(xié)議， CE 路由器（ Cisco 7206）互連電信運營商接口 IP： ， PE 路由器（ Cisco 7206）互連接口 IP： 。 Router(configif)backup interface interfacename IP 地址、路由規(guī)劃 一、證券公司 IP 規(guī)劃： 證券公司 IP 地址規(guī)劃建議采用一個 A類地址， 。例如： Router(configif) ip address 二、 證券公司各地總部 CE 路由器配置 DDR 主要是撥號參數(shù)：包括對方 IP 地址和電話號碼的關(guān)系、 PPP 協(xié)議等。 總部與固定線路電信運營商節(jié)點采用 2 條 E1 線路互為備份，實現(xiàn)負載均衡。 BRI 則采用不同電話號碼。證券公司各個管理總部采用就近原則，在主鏈路失效時，自動啟動撥號備份功能，保障 WAN 的互連。 ISDN 技術(shù)成熟，覆蓋面廣。主要過程如下： （ A）定義一 個 VPN 1． Router(config)ip vrf vrfname （通過分配 VRF名來定義一個 VPN環(huán)境） 2． Router(configvrf)rd routedistinguisher（建立一個 routing 和 forwarding表） 3． Router(configvrf)routetarget {import | export | both} routetargetextmunity（對于指定的 VRF，建立輸出和輸入到目標組織的路由列表） 4． Router(configvrf)import map routemap （ 可選項 ，將特定的路由映射到指定的 VRF上） 5． Router(configif)ip vrf forwarding vrfname （使 VRF和某個指定的接口或子接口綁定） （ B）設(shè)置 BGP中 PE到 PE的路由 1. Router(config)router bgp autonomoussystem (激活 IBGP路由 ) 2. Router(configrouter)neighbor {ipaddress | peergroupname} remoteas number (指定 BGP鄰居或?qū)Φ认到y(tǒng)，以和本自治系統(tǒng)區(qū)分 ) 3. Router(configrouter)neighbor ipaddress activate (在非廣播網(wǎng)上運行 BGP要指定激活鄰居路由器 ) （ C）設(shè)置 BGP網(wǎng)中 PE到 CE的路由會話 (EBGP、 OSPF、 RIP或靜態(tài) ) (config)router bgp autonomoussystem (激活 EBGP路由 ) (configrouter)neighbor {ipaddress | peergroupname} remoteas number (指定 BGP鄰居或?qū)Φ认到y(tǒng)，以和本自治系統(tǒng)區(qū)分 ) (configrouter)neighbor ipaddress activate (在非廣播網(wǎng)上運行 BGP 要指定激活鄰居路由器 ) 采用 MPLS VPN 的好處是顯而易見的。 其他營業(yè)部分別通過 ISDN或低速 DDN方式同該區(qū)域管理總部連通。 證券公司 MPLS VPN 設(shè)計方案描述 根據(jù)用戶的需求，虛擬專網(wǎng)需要覆蓋目前用戶業(yè)務(wù)比較集中的地區(qū)，各營業(yè)部均連入虛擬專網(wǎng)內(nèi)，享受高速、快捷、方便、實時的網(wǎng)絡(luò)服務(wù)。 從以上工作過 程可見， MPLS VPN絲毫不改變 CE（ Customer Edge）和 PE（ Provider Edge）原有的配置，一旦有新的 CE 加入到網(wǎng)絡(luò)時，只需在 PE上作簡單配置，其余的改動信息由 IGP/BGP 自動通知到 CE和 PE。與增加一臺設(shè)備需要大量操作的 overlay VPN相比，這種方案要簡單、迅速和便宜的多。如果某個公司需要在自己的 VPN 中增加一站點，服務(wù)提供商只需告訴客戶端設(shè)備的路由器如何與網(wǎng)絡(luò)連接，并配置 LSR 來識別來自于 CPE 的 VPN 成員。 這種網(wǎng)絡(luò)結(jié)構(gòu)目前可支持許多種 VPN，可減輕每一個 新網(wǎng)絡(luò)實施工程的負擔。租用者可與供應(yīng)商提供的服務(wù)無縫結(jié)合，不必改變 Intra 應(yīng)用，因為這些網(wǎng)絡(luò)具有應(yīng)用通曉性、保密性且 QoS 內(nèi)置于網(wǎng)絡(luò)中。 QoS可為每個 VPN提供特有的業(yè)務(wù)政策，而且 QoS 服務(wù)可與基于 MPLS 的 VPN無縫結(jié)合，因為兩者都是基于標記的技術(shù)。 這種解決方案的優(yōu)勢在于服務(wù)提供商可以通過相同的網(wǎng)絡(luò)結(jié)構(gòu)來支持許多種 VPN，并不需要為每一個用戶建立單獨的網(wǎng)絡(luò)。根據(jù)數(shù)據(jù)入口，交換機選擇一特定的轉(zhuǎn)發(fā)表，該表中只包括在 VPN 中有效的目的地址。通過這個標簽將數(shù)據(jù)傳送到相應(yīng)地點。既然不可能 spoof 端口， MPLS VPN 就不易受到 spoof的攻擊。這種基于標簽的模式可與幀中繼和 ATM 一樣提供保密性。在基于 MPLS的 VPN 中， BGP 只對同一個 VPN 的成員發(fā)布信息，通過流量分離來提供基本的安全性。轉(zhuǎn)發(fā)表中包括一個獨一無二的地址，叫作 VPNIP 地址，是由RD 和用戶的 IP 地址連接形成 ， VPNIP 地址在網(wǎng)絡(luò)中是獨一無二的，地址表存儲在轉(zhuǎn)發(fā)表中。 Media IP HEAD AH ESP 用戶數(shù)據(jù) 圖 2 IPSec 幀格式 MPLS VPN 的基本工作方式是采用第三層技術(shù)，每一個 VPN 具有獨自的 VPNID，每一個 VPN 的用戶只能與自己 VPN網(wǎng)絡(luò)中的成員進行通信，而也只有 VPN的成員才能有權(quán)進入該 VPN。 AH 和 ESP 可單獨使用，也可以共同使用。 IPSec 使用 AH（ Authentication Header）和 ESP（ Encapsulating Security Payload）兩個協(xié)議來提供數(shù)據(jù)流量的安全性。 IPSec（ IP Security）是由一組 RFC 文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法、確定服務(wù)所使用密鑰等服務(wù)，從而在 IP 層提供安全保障。 Media IP L2TP PPP IP 用戶數(shù)據(jù) 圖 2 L2TP 數(shù)據(jù)報格式 第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。 L2TP 的工作過程如下： LAC 接收用戶的 PPP 請求，當 LAC 認為用戶是需要 VPN服務(wù)時，即向 LNS（ LNS地址可以由管理員根據(jù)用戶身份配置，也可以由用戶提供）發(fā)出 L2TP 隧道建立申請； LAN與 LNS 之間通過交換 AVP 建立 L2TP 隧道，用戶的 PPP 數(shù)據(jù)被 LAC 封裝上 L2TP 包頭后向 LNS 發(fā)出， 目 錄 14 LNS 也許會對用戶進行多次認證； LACLNS 之間通過 “HELLOW”包維護 L2TP 隧道，隧道安全性可以LACLNS 保證，也可以“用戶 LNS”之間保證。第二層隧道協(xié)議有 L2F、 PPTP、 L2TP 等。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP 中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。 隧道技術(shù)是 VPN 的基本技術(shù)，類似于點對點連接技術(shù)，在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。 目前 VPN 主要采用四項技術(shù)：隧道技術(shù)（ Tunneling）、加解密技術(shù) Encryption amp。ISP 對外提供兩種服務(wù)，資源利用率和業(yè)務(wù)量都會大大增加。事實上， VPN 用戶的數(shù)據(jù)流量較普通用戶要大得多，而且時間上也是相互錯開的。 VPN可以使客戶利用公眾網(wǎng)的資源將分散在各地的機構(gòu)動態(tài)的連接起來，使電信運營公司，電信客戶和最終用戶三者都獲利。在虛擬網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。許多 ISP 廠商已提供或正計劃提供增值 VPN服務(wù)。構(gòu)建的專用網(wǎng)絡(luò)應(yīng)具有技術(shù)先進性和靈活的擴展性，能平滑過度，快速適應(yīng)未來多種業(yè)務(wù)發(fā)展的需求，有效保護用 戶的已有投資。在發(fā)揚穩(wěn)健經(jīng)營傳統(tǒng)的基礎(chǔ)上，增加服務(wù)品種，及時引入新交易技術(shù)和信息管理手段 ， 開設(shè)遠程交易系統(tǒng)，為廣大客戶提供準確、快捷、安全的交易代理與清算服務(wù)。融資服務(wù)趨于多樣化，投資交易對信息服務(wù)和時效性提出了更高要求，交易技術(shù)網(wǎng)絡(luò)化，證券市場隨著中國加入 WTO 加速對外開放。 眾所周知，證券行業(yè)的日常業(yè)務(wù)涉及大量資金且參與群體眾多， 對網(wǎng)絡(luò) 的穩(wěn)定性 、實時性 和可靠性要求極高。 證券公司區(qū)域網(wǎng)設(shè)計方案 本著 為 證券公司 提供專業(yè)而富有個性的服務(wù)，使客戶交易便捷、信息服務(wù) 支持充分 的宗旨， 長城證券對其信息系統(tǒng)進行了升級改造，并且 建立了一整套從最前端的業(yè)務(wù)處理到最高端管理決策支持的信息系統(tǒng)和相應(yīng)管理體系。 新建營業(yè)部需要購置一臺高檔品牌機。 對于總部大廈辦公網(wǎng)絡(luò)，可以采用 ADSL 上網(wǎng)方式，前端配置一臺高檔 PC，作為 ADSL 上網(wǎng)代理服務(wù)器即可。 三、 總部與 Inter 的互連 考慮到總部主機房的重要性，在與 Inter 互連的設(shè)計上，建議申請一條 ADSL 寬帶線路，總部主機房購置一臺高檔 PC。為此，辦公樓購置一臺 Cisco 3662。 在廣域網(wǎng)備份設(shè)計上，互連設(shè) 備上購置 ISDN 廣域網(wǎng)接口卡或模塊，通過配置 DDR 撥號備份，實現(xiàn)路由器按需撥號，在 DDN 主鏈路（或其接口）出現(xiàn)故障時，自動啟動 ISDN 撥號備份線路，保證通信不間斷。 四、 設(shè)備配置和服務(wù)費用項目 管理總部： 序號 名稱 模塊號 描述 數(shù)量 1 Cisco 3640 CISCO3640 Cisco 3640， 4 模塊插槽， 1 個電源 1 NM2FE2W 10/100M TX 模塊 1 NM1CE1U E1 接口模塊 1 NM4BS/T 4 ISDN BRI 接口 1 PWR3640AC Cisco 3640 交流電源 1 2 高檔 PC PIII 800 以上品牌機 1 單個營業(yè)部及總部 WAN 通信平臺 由于地域關(guān)系，某些營業(yè)部以及總部辦公大樓直接和總部的中心機房直接互連，網(wǎng)絡(luò)結(jié)構(gòu)參考相應(yīng)營業(yè)部與總部互連網(wǎng)絡(luò)結(jié)構(gòu)圖 一、 單個營業(yè)部 單個營業(yè)部申請 128 K DDN 線路連接總部。 目 錄 10 在廣域網(wǎng)備份設(shè)計上，總部和區(qū)域管理總部通過長途 ISDN 撥號線路備份，互連設(shè)備上購置 ISDN 廣域網(wǎng)接口卡或模塊， 通過配置 DDR 撥號備份，實現(xiàn)路由器按需撥號，在 E1 主鏈路（或其接口）出現(xiàn)故障時，自動啟動 ISDN 撥號備份線路，保證通信不間斷。 二、 管理總部與深圳總部的廣域網(wǎng)連接 管理總部和深圳總部的 WAN 互連，管理總部租用 E1 數(shù)字線路，通過 MPLS VPN，實現(xiàn)與深圳總部的互連，保證安全、可靠、迅捷地訪問深圳總部網(wǎng)絡(luò)。 在廣域網(wǎng)備份上，管理總部和營業(yè)部保持原有無線備份線路，在光纖主鏈路（或其接口）出現(xiàn)故障時，保證通信不間斷。 營業(yè)部與管理總部不在同一城內(nèi)，管理總部和營業(yè)部之間可以使用 2M DDN 方式互連。 一、 管理總部與營業(yè)部的廣域網(wǎng)連接 管理總部和營業(yè)部在同一城內(nèi)，管理總部和營業(yè)部之間可以使用光纖方式互連。需要完成營業(yè)部與區(qū)域管理中心的網(wǎng)絡(luò)通信平臺建設(shè)，實現(xiàn)安全、可靠、迅捷的網(wǎng)絡(luò)通信。 Cisco 3600 系列和 Cisco 2621 路由器均能支持語音模塊及視頻會議網(wǎng)關(guān)代理功能。該設(shè)備具有冗余的雙電源，并提供 4 個可用的插槽供將來擴展。 地區(qū)總部連接總部和各營業(yè)部接入網(wǎng)點，其網(wǎng)絡(luò)流量介入總部和營業(yè)部之間。建議總部級的網(wǎng)絡(luò)設(shè)備選用 Cisco 高端路由器產(chǎn)品。 目 錄 9 總部級的特點是連接網(wǎng)點數(shù)量眾多或者是網(wǎng)絡(luò)流量集中的地方，證券公司總部主機房屬于這一范疇。 以下是廣域網(wǎng)傳輸網(wǎng)物理連接特性比較表： 廣域 傳輸網(wǎng) 覆蓋范圍 同等帶寬資費標準 適宜應(yīng)用 可用性 中國電信 DDN 可達全國縣、鄉(xiāng)、鎮(zhèn) 區(qū)域 最貴 數(shù)據(jù)傳輸 高 幀中繼（ FR） 省會城市及各地級市 DDN費用一半 數(shù)據(jù)、語音 高 ISDN 各省會城市及部分省地級市 費用低廉 數(shù)據(jù)、語音、視頻 中 寬帶 IP接入 僅限于少數(shù)城市 DDN資費標準一半 數(shù)據(jù)、多媒體