【正文】 技術(shù)透過SNMP向管理主控臺傳遞數(shù)據(jù)。 網(wǎng)絡(luò)線路和設(shè)備可用性和故障管理通過SNMP協(xié)議，采集網(wǎng)絡(luò)設(shè)備的MIB II以及設(shè)備專用的MIB信息庫完成；同時通過ICMP協(xié)議定期Ping各個節(jié)點，探測設(shè)備可用性；如監(jiān)控、控制局域網(wǎng)VLAN劃分、監(jiān)控網(wǎng)絡(luò)路徑可用性、基于PVC監(jiān)控幀中繼線路可用性和故障等等本方案建議的系統(tǒng)管理功能從各種不同的來源采集數(shù)據(jù)：廣發(fā)證券網(wǎng)絡(luò)系統(tǒng)各個被管理服務(wù)器上的NSM模塊負(fù)責(zé)監(jiān)視本機(jī)操作系統(tǒng)，收集可用性和故障數(shù)據(jù)，通過管理主控臺集中反映。我們建議的廣發(fā)證券網(wǎng)絡(luò)系統(tǒng)運行狀況、可用性和故障管理由如下不同部分組成：實現(xiàn)方案為了在上述范圍內(nèi)實現(xiàn)集中的可用性和故障管理，我們建議在網(wǎng)絡(luò)中心采用一臺PC服務(wù)器，通過Unicenter的相關(guān)管理模塊完成可用性和故障管理功能。 廣發(fā)證券網(wǎng)絡(luò)系統(tǒng)關(guān)鍵數(shù)據(jù)庫系統(tǒng)（如SQL）對這些對象進(jìn)行性能管理的目標(biāo)是實時監(jiān)控其關(guān)鍵參數(shù)的運行狀態(tài)和故障情況，通過直觀簡潔的圖形用戶界面集中表現(xiàn)出來。 廣發(fā)證券網(wǎng)絡(luò)系統(tǒng)廣域網(wǎng)線路/設(shè)備管理我們建議首期廣發(fā)證券網(wǎng)絡(luò)系統(tǒng)運行狀況和可用性管理的范圍是：因此也就實現(xiàn)了用戶通過WEB瀏覽器來管理VoIP網(wǎng)的功能。即用戶使用通常的web瀏覽器（Netscape、IE）通過標(biāo)準(zhǔn)的超文本協(xié)議（HTTP）與Cisco Voice Manager Server進(jìn)行通訊。它能自動檢測網(wǎng)絡(luò)狀況，包含有檢測網(wǎng)絡(luò)故障的工具以及通話的詳細(xì)資料，如通話質(zhì)量、歷史數(shù)據(jù)等。 IP VOICE管理在廣發(fā)證券的語音網(wǎng)絡(luò)中我們配置了CiscoWorks2000 Voice Manager (CVM)， CVM提供了基于Web的語音管理和報告的解決方案。作為 Cisco 端到端安全產(chǎn)品線的管理基礎(chǔ)，Cisco Secure Policy Manager 在 Cisco 網(wǎng)絡(luò)內(nèi)簡化了安全產(chǎn)品和服務(wù)的部署。在創(chuàng)建時，這些政策可以集中分發(fā)，從而消除了逐設(shè)備實施安全命令的代價高昂、耗費時間的實踐。該產(chǎn)品使管理復(fù)雜網(wǎng)絡(luò)安全部件的任務(wù)流程化，例如周邊訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和基于 IPSec 的 VPN。 策略的管理在廣發(fā)證券的語音網(wǎng)絡(luò)中我們配置了CiscoWorks2000 Cisco Secure Policy Manager，是一個用于 Cisco 防火墻和虛擬專網(wǎng)(VPN)網(wǎng)關(guān)的可伸縮、強(qiáng)大的安全政策管理系統(tǒng)。 系統(tǒng)管理頁：13加入策略管理、IP VOICE 管理 CISCO 網(wǎng)絡(luò)設(shè)備的管理在廣發(fā)證券的語音網(wǎng)絡(luò)中我們配置了CiscoWorks2000 LAN Management和CiscoWorks2000 Routed WAN Management，為廣發(fā)證券提供配置、管理、監(jiān)控和故障診斷工具。若不支持則根據(jù)具體情況需要更改為路由器的語音接口為Eamp。所以，為保障網(wǎng)絡(luò)的質(zhì)量，8路并發(fā)語音所需要帶寬為：|8K*10/70%|=114K。 帶寬要求 一路語音在傳統(tǒng)的TDM電訊系統(tǒng)中傳輸需占用64K帶寬，而利用新的IP技術(shù)可將其壓縮至10~12K。 IP 語音 IP語音工作原理 語音接點的布設(shè)及PBX的選擇針對IP語音的建立，在上海數(shù)據(jù)中心的3662路由器上增加一個E1端口的語音模塊，用于連接PBX；信息中心的PBX推薦采用數(shù)字交換系統(tǒng)，采用該交換機(jī)還可為將來的IP Call Center打下基礎(chǔ)。同時還可兼作移動用戶的接入訪問控制服務(wù)器。目前這些營業(yè)部包括北京、上海、廣東地區(qū)等，共87個。 獨立營業(yè)部設(shè)計其他地區(qū)的營業(yè)部目前在第一期工程時先采用一臺Cisco 2651多功能路由器通過1條256Kbps的DDN長途鏈路與信息中心或區(qū)域中心主路由器相連接，通過ISDN/PSTN進(jìn)行主鏈路的備份。 OA總部設(shè)計OA總部是OA等業(yè)務(wù)系統(tǒng)中心，采用一臺Cisco 3662高端路由器作為主干廣域網(wǎng)路由器，與數(shù)據(jù)中心7506主干路由器經(jīng)DDN連接；另采用一臺Cisco 3662多功能路由器作為PSTN/ISDN訪問服務(wù)器，提供與數(shù)據(jù)中心備份連接；同時Cisco 3662路由器還起著VoIP語音網(wǎng)關(guān)的作用，通過FXO端口與本地PBX相連接，提供IP電話業(yè)務(wù)。 分公司（區(qū)域中心）網(wǎng)絡(luò)系統(tǒng)分公司是區(qū)域數(shù)據(jù)中心和通訊中心，采用一臺Cisco 3662高端路由器作為主干廣域網(wǎng)路由器，與數(shù)據(jù)中心7506主干路由器經(jīng)DDN連接，同時提供下屬營業(yè)部主鏈路接入；另采用一臺Cisco 3662多功能路由器作為PSTN/ISDN訪問服務(wù)器，提供與數(shù)據(jù)中心備份連接，同時提供下屬營業(yè)部備份鏈路接入；；同時Cisco 3662路由器還起著VoIP語音網(wǎng)關(guān)的作用，通過FXO端口與本地PBX相連接，提供IP電話業(yè)務(wù)。信息中心的局域網(wǎng)采用原有Cisco Catalyst 6509 Switch不變，實現(xiàn)與各地網(wǎng)絡(luò)之間的高速數(shù)據(jù)交換。另采用一臺Cisco 3662多功能路由器作為PSTN/ISDN訪問服務(wù)器，提供備份接入，它可以自動識別模擬信號和數(shù)字信號，調(diào)配相應(yīng)的模擬modem或數(shù)字modem與之握手；同時Cisco 3662路由器還起著VoIP語音網(wǎng)關(guān)的作用，通過1個E1模塊與上海本地的PBX相連接，提供IP電話業(yè)務(wù)。安全問題詳見安全解決方案。整個系統(tǒng)構(gòu)成了廣發(fā)證券的綜合信息平臺，目前主要為廣發(fā)證券提供交易、辦公提供數(shù)據(jù)應(yīng)用的支持，同時提供IP語音平臺，為將來在企業(yè)范圍內(nèi)的IP語音和視頻應(yīng)用的推廣打好基礎(chǔ)。5 解決方案 網(wǎng)絡(luò)解決方案描述根據(jù)以上網(wǎng)絡(luò)設(shè)計原則，我們對廣發(fā)證券的寬帶廣域網(wǎng)部分作如下設(shè)計：由上圖可見，廣發(fā)證券的寬帶廣域網(wǎng)中心位于計算中心，與總部OA中心、Internet等外聯(lián)系統(tǒng)連接；同時提供區(qū)域中心、廣東地區(qū)營業(yè)部等接入。無論是網(wǎng)絡(luò)硬件還是系統(tǒng)軟件，都可以方便的擴(kuò)充和升級，關(guān)鍵設(shè)備的擴(kuò)充和升級時，系統(tǒng)將無需中斷正常的工作?？蓴U(kuò)展性隨著廣發(fā)證券的各項業(yè)務(wù)的快速發(fā)展，網(wǎng)絡(luò)系統(tǒng)面臨的任務(wù)將愈來愈艱巨，愈來愈復(fù)雜。當(dāng)然，高性能與高可靠性是以高投入為代價的。在網(wǎng)絡(luò)投入運行初期，提供現(xiàn)場顧問服務(wù)也是必須的。一個有效的網(wǎng)絡(luò)管理方案不僅要包括建立各級網(wǎng)管中心的設(shè)備及軟件，而且要包括配置各種設(shè)備的必要顧問服務(wù)。我們建議采用的Cisco 系列產(chǎn)品是目前業(yè)界支持協(xié)議最多、接口介質(zhì)最廣泛的網(wǎng)絡(luò)產(chǎn)品。標(biāo)準(zhǔn)化從發(fā)展的眼光看，計算機(jī)信息系統(tǒng)就是要實現(xiàn)信息的共享，完成不同制造廠商的設(shè)備和計算機(jī)軟、硬件資源的數(shù)據(jù)交換。面臨十分嚴(yán)肅的安全性挑戰(zhàn)。在外界環(huán)境或內(nèi)部條件發(fā)生突變時，怎樣使系統(tǒng)保持正常工作，或者在盡量短的時間內(nèi)恢復(fù)正常工作，在設(shè)計時對可靠性的考慮，可以充分減少或消除因意外或事故造成的損失。我們將在網(wǎng)絡(luò)構(gòu)架，硬件設(shè)備，傳輸速率，協(xié)議選擇，安全控制和虛擬網(wǎng)劃分等各個方面充分體現(xiàn)廣發(fā)證券的寬帶廣域網(wǎng)網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。而且隨著業(yè)務(wù)的快速發(fā)展，系統(tǒng)面臨的任務(wù)也愈來愈艱巨，所以，我們設(shè)計的網(wǎng)絡(luò)在技術(shù)上必須體現(xiàn)高度的先進(jìn)性。廣發(fā)證券在綜合業(yè)務(wù)信息平臺的總體設(shè)計思想和第一期建設(shè)正是體現(xiàn)了上述思想。Cisco公司建議采用端到端的網(wǎng)絡(luò)方案，即采用主要有一家公司的包括交換機(jī)，路由器，撥號訪問服務(wù)器軟硬件產(chǎn)品。如圖所示Cisco所建議的網(wǎng)絡(luò)方案總體結(jié)構(gòu)基于三層模型：即網(wǎng)絡(luò)硬件的互連環(huán)境層，網(wǎng)絡(luò)軟件的增值服務(wù)層及多層次網(wǎng)絡(luò)管理層。3 設(shè)計總體考慮當(dāng)今網(wǎng)絡(luò)的發(fā)展正遠(yuǎn)遠(yuǎn)超出了單純追求基本連通的歷史階段。需求：廣發(fā)證券網(wǎng)絡(luò)安全項目網(wǎng)絡(luò)部分建設(shè)方案書2002．5目 錄1 簡介 32 網(wǎng)絡(luò)安全項目網(wǎng)絡(luò)部分技術(shù)要求及說明 33 設(shè)計總體考慮 34 網(wǎng)絡(luò)設(shè)計原則 45 解決方案 6 網(wǎng)絡(luò)解決方案描述 6 廣東數(shù)據(jù)中心的設(shè)計 7 分公司（區(qū)域中心）網(wǎng)絡(luò)系統(tǒng) 8 OA總部設(shè)計 9 獨立營業(yè)部設(shè)計 10 廣域網(wǎng)絡(luò)的備份 10 IP 語音 11 IP語音工作原理 11 語音接點的布設(shè)及PBX的選擇 11 帶寬要求 11 對PBX的要求 11 系統(tǒng)管理 12 CISCO 網(wǎng)絡(luò)設(shè)備的管理 12 策略的管理 12 IP VOICE管理 12 CA網(wǎng)管平臺 136 性能分析 18 先進(jìn)性 18 安全性 20 保證服務(wù)質(zhì)量 20 可擴(kuò)展性 23 便于向新的技術(shù)發(fā)展 23 采用工業(yè)標(biāo)準(zhǔn)化技術(shù)，具有好的互聯(lián)特性 237 實施方案 24 技術(shù)細(xì)節(jié) 24 IP 地址規(guī)劃 24 路由協(xié)議的選擇 26 IP語音技術(shù)細(xì)節(jié) 31 信息流策略實現(xiàn)QoS 368 產(chǎn)品簡介 44 Cisco 7500系列路由器 44 Cisco 3600 路由器 50 高級網(wǎng)絡(luò)模塊介紹 53廣發(fā)證券網(wǎng)絡(luò)安全項目網(wǎng)絡(luò)部分建設(shè)方案書1 簡介本方案書是按照廣發(fā)證券網(wǎng)絡(luò)安全項目招標(biāo)文件網(wǎng)絡(luò)部分簡要技術(shù)說明、廣發(fā)證券的現(xiàn)狀和實際需求而設(shè)計的解決方案。2 網(wǎng)絡(luò)安全項目網(wǎng)絡(luò)部分技術(shù)要求及說明網(wǎng)絡(luò)安全項目網(wǎng)絡(luò)部分綜合業(yè)務(wù)信息平臺的建設(shè)以廣東計算中心和全國12家分公司，87個營業(yè)部的廣域網(wǎng)連接為主，其中廣州、上海等12家分公司作為區(qū)域中心供本地營業(yè)部的接入，同時考慮建立IP語音的測試平臺，為將來在企業(yè)范圍內(nèi)的IP語音和視頻應(yīng)用的推廣打好基礎(chǔ)。 廣域網(wǎng)絡(luò)結(jié)構(gòu)整體性規(guī)劃和設(shè)計，包括整體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的建議，路由算法的選擇和優(yōu)化等工作。 網(wǎng)絡(luò)性能分析和改進(jìn)建議，包括對廣域網(wǎng)和局域網(wǎng)的流量分析和統(tǒng)計，對網(wǎng)絡(luò)傳輸性能的優(yōu)化改進(jìn)建議。 網(wǎng)絡(luò)管理方案設(shè)計和實施，包括對局域網(wǎng)和廣域網(wǎng)的網(wǎng)絡(luò)管理和監(jiān)控方案的設(shè)計和實施。 網(wǎng)絡(luò)重大故障的技術(shù)支持策略。我們在網(wǎng)絡(luò)連通基礎(chǔ)上需要更高要求的網(wǎng)絡(luò)服務(wù)內(nèi)容，包括QoS網(wǎng)絡(luò)服務(wù)質(zhì)量，Security安全性服務(wù)，Reliability高可靠性，Scalability可擴(kuò)展性等增值服務(wù)。其中網(wǎng)絡(luò)硬件互連環(huán)境主要指傳統(tǒng)意義上的網(wǎng)絡(luò)互連設(shè)備，包括交換機(jī)，路由器，撥號訪問服務(wù)器等設(shè)備環(huán)境。因為只有這樣才能真正實現(xiàn)端到端的網(wǎng)絡(luò)性能，端到端的網(wǎng)絡(luò)安全性，端到端的服務(wù)質(zhì)量以及端到端的網(wǎng)絡(luò)管理，從而在節(jié)省開銷的同時，大大提高網(wǎng)絡(luò)的經(jīng)濟(jì)效益。4 網(wǎng)絡(luò)設(shè)計原則先進(jìn)性作為廣發(fā)證券的新一代信息系統(tǒng)的承載網(wǎng)絡(luò)，網(wǎng)絡(luò)系統(tǒng)處理的信息量是十分龐大的，要求計算機(jī)網(wǎng)絡(luò)有很高的工作效率。技術(shù)上的先進(jìn)性將保證處理數(shù)據(jù)的高效率，技術(shù)上的先進(jìn)性將保證系統(tǒng)工作的靈活性，技術(shù)上的先進(jìn)性將保證網(wǎng)絡(luò)的可靠性，技術(shù)上的先進(jìn)性也使系統(tǒng)的擴(kuò)充和維護(hù)變得十分簡單。可靠性 在廣發(fā)證券的寬帶廣域網(wǎng)網(wǎng)絡(luò)設(shè)計中，很重要的一點就是網(wǎng)絡(luò)的可靠性，即堅固性。安全性隨著計算機(jī)技術(shù)的發(fā)展，尤其是網(wǎng)絡(luò)和網(wǎng)絡(luò)間互聯(lián)的規(guī)模的擴(kuò)大，信息和網(wǎng)絡(luò)的安全性日益受到重視。我們在網(wǎng)絡(luò)設(shè)計時，將通過訪問控制列表、防火墻、IP隧道等技術(shù)來保證廣發(fā)證券的寬帶廣域網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安全。為此必須建立一個由開放式、標(biāo)準(zhǔn)化的網(wǎng)絡(luò)結(jié)構(gòu)體系，滿足當(dāng)前可實現(xiàn)的技術(shù)，又能適應(yīng)今后新技術(shù)的引進(jìn)、開發(fā)和推廣?？晒芾硇院涂删S護(hù)性網(wǎng)絡(luò)設(shè)計中，對網(wǎng)絡(luò)主干的有效管理也是必須考慮的主要因素。尤為重要的是，要能幫助用戶制定網(wǎng)管策略和網(wǎng)管中心運作機(jī)制。在滿足上述多項原則的基礎(chǔ)上，盡可能降低工程造價，追求最優(yōu)的性能/價格比。最終的方案一定是性能與價格折中的產(chǎn)物。為了適應(yīng)這個變化和日新月異的計算機(jī)技術(shù)的發(fā)展，我們設(shè)計的網(wǎng)絡(luò)十分注重擴(kuò)充性。上述系統(tǒng)設(shè)計的原則將自始自終貫穿整個系統(tǒng)的設(shè)計和實現(xiàn)。上海、北京等12家分公司作為區(qū)域中心供本地營業(yè)部的接入；同時，上海、北京等12家區(qū)域中心以及廣東地區(qū)除分中心管理外的其他營業(yè)部(直接連接到信息中心)接入。系統(tǒng)中的所有區(qū)域中心及營業(yè)部，主鏈路均采用中國電信的DDN,按照上述描述連接；首選的備份鏈路均采用ISDN/PST；第二份備份鏈路采用現(xiàn)有的衛(wèi)星系統(tǒng)保持不變。 廣東數(shù)據(jù)中心的設(shè)計信息中心是廣發(fā)證券寬帶廣域網(wǎng)的數(shù)據(jù)中心和通訊中心，采用一臺Cisco 7507高端路由器作為主干廣域網(wǎng)路由器，與中國電信的長途干線網(wǎng)連接，在本期工程中，與區(qū)域中心合OA總部的連接采用1Mbps的DDN鏈路，與營業(yè)部的連接采用256Kbps的DDN鏈路（建議）。在廣域網(wǎng)路由器與內(nèi)部局域網(wǎng)之間采用兩臺防火墻，互為熱備份，完成安全防衛(wèi)任務(wù)，同時提供IPSec的VPN隧道技術(shù)的支持。對于在數(shù)據(jù)中心的外聯(lián)系統(tǒng)包括Internet和銀行等均包含在統(tǒng)一的接入中心交換平臺上，使用高端防火墻作安全隔離，接入中心交易平臺使用三層交換技術(shù)和網(wǎng)絡(luò)地址翻譯技術(shù)來確保連接各個不同的單位。在廣域網(wǎng)路由器與內(nèi)部局域網(wǎng)之間采用兩臺防火墻，互為熱備份，完成安全防衛(wèi)任務(wù)，同時提供IPSec的VPN隧道技術(shù)的支持。在廣域網(wǎng)路由器與內(nèi)部局域網(wǎng)之間采用兩臺防火墻，互為熱備份，完成安全防衛(wèi)任務(wù)，同時提供IPSec的VPN隧道技術(shù)的支持。在廣域網(wǎng)路由器與內(nèi)部局域網(wǎng)之間采用一臺防火墻，在完成安全防衛(wèi)任務(wù)。 廣域網(wǎng)絡(luò)的備份在數(shù)據(jù)中心配置了一臺多功能Cisco 3660路由器作為VoIP語音網(wǎng)關(guān)和ISDN/PSTN備份連接網(wǎng)絡(luò)接入服務(wù)器，可同時容納30條普通MODEM或數(shù)字MODEM進(jìn)行備份連接，滿足廣發(fā)證券總的備份 能力的需求。另外，我們建議采用原有的衛(wèi)星線路作為第二條備份鏈路。在區(qū)域中心和OA總部的3662則使用8線FXO的兩個語音模塊連接本地的PBX；可建立VoIP的平臺，作廣發(fā)證券全面實施IP 語音準(zhǔn)備。當(dāng)廣域網(wǎng)線路的利用率超過70%的時候，網(wǎng)絡(luò)性能將會呈線性下降。 對PBX的要求 采用本方案需要總部的PBX 支持E1接入。M或FX0接口。其具有基于 Web 的解決方案帶有管理交換和路由環(huán)境的應(yīng)用。通過 Cisco Secure Policy Manager，Cisco 客戶可以集中定義、分發(fā)、執(zhí)行和審計網(wǎng)絡(luò)范圍的安全政策。通過 Cisco Secure Policy Manager的圖形用戶界面，管理員可以直觀地為多個 Cisco 防火墻和 VPN 網(wǎng)關(guān)定義高級安全政策