【正文】 級(jí)網(wǎng)絡(luò)設(shè)備需要具有高可靠性（防止設(shè)備出現(xiàn)故障時(shí)整個(gè)網(wǎng)上應(yīng)用系統(tǒng)無法正常工作）、高效性（能夠及時(shí)處理包的轉(zhuǎn)發(fā)）。證券公司主機(jī)房由于連接網(wǎng)點(diǎn)眾多，建議采用 Cisco 7206 路由器。建議這一范圍的設(shè)備選用 Cisco 3640 路由器。 其余的單個(gè)營(yíng)業(yè)部級(jí)建議選用 Cisco 2621 設(shè)備（或者使用原有設(shè)備，保護(hù)用戶的投資），該設(shè)備在滿足營(yíng)業(yè)部網(wǎng)絡(luò)互連時(shí)提供了良好的經(jīng)濟(jì)適用性。 區(qū)域管理中心區(qū)域通信平臺(tái) 區(qū)域管理中心管理管理每個(gè)區(qū)域內(nèi)的多家營(yíng)業(yè)部。 區(qū)域管理中心廣域網(wǎng)結(jié)構(gòu)參見相應(yīng)網(wǎng)絡(luò) 拓?fù)浣Y(jié)構(gòu)圖。管理總部購(gòu)置 Cisco 3640 路由器（或原有路由器），配置快速以太網(wǎng)接口，營(yíng)業(yè)部配置 Cisco 2621路由器（或原有路由器），通過 RJ45 轉(zhuǎn)光纖 Transceiver，經(jīng)光纖介質(zhì)實(shí)現(xiàn)快速以太網(wǎng)干道互連，光纖采用 48芯的光纖介質(zhì)，提高傳輸介質(zhì)可靠性。 營(yíng)業(yè)部和其下屬服務(wù)部的互連，可以維持原有 128K/64K DDN 互連。營(yíng)業(yè)部和其下屬服務(wù)部保持原有撥號(hào)備份。為此，在管理總部的互連設(shè)備 Cisco 3640上配置一個(gè) E1 接口。 三、 管理總部與 Inter 的互連 管理總部與 Inter 的互連，采用寬帶 ADSL上網(wǎng)方式接入 Inter，前端配置一臺(tái)高檔 PC 作為 ADSL PROXY 服務(wù)器。為此，營(yíng)業(yè)部購(gòu)置一臺(tái) Cisco 2621。 二、 證券公司總部大廈辦公網(wǎng)絡(luò)與總部中心機(jī)房互連 目 錄 11 證券公司總部大廈辦公網(wǎng)絡(luò)通過租用（敷設(shè)）光纖，采用快速以太網(wǎng)方式互連總部中心機(jī)房。 在廣域網(wǎng)備份設(shè)計(jì)上，互連設(shè)備上購(gòu)置 ISDN 廣域網(wǎng)接口卡或模塊，通過配置 DDR 撥號(hào)備份，實(shí)現(xiàn)路由器按需撥號(hào)，在 DDN 主鏈路（或其接口）出現(xiàn)故障時(shí)，自動(dòng)啟動(dòng) ISDN 撥號(hào)備份 線路，保證通信不間斷。為了安全的考慮，配置一臺(tái) Cisco PIX515 防火墻。 四、 設(shè)備配置 單個(gè)營(yíng)業(yè)部 序號(hào) 名稱 模塊號(hào) 描述 數(shù)量 1 Cisco 2621 CISCO2621 Cisco 2621 路由器， 2 個(gè) 10/100M TX， 2 個(gè) WIC 槽， 1 個(gè)模塊 插槽 1 WIC1BS/T 1 個(gè) ISDN WAN 接口卡 1 PWR2600AC Cisco 2600 電源模塊 1 WIC1T 1 WAN 接口卡 1 CABV35FC V35 線纜母線 1 總部辦公大樓 序號(hào) 名稱 模塊號(hào) 描述 數(shù)量 1 Cisco 3662 CISCO3662 Cisco 3662 路由器， 2 個(gè) 10/100M TX， 6 個(gè)模塊插槽， 1 個(gè)電源模塊 1 WIC1BS/T 1 個(gè) ISDN WAN 接口卡 1 PWR3660AC Cisco 3660 電源模塊 1 2 高檔 PC PIII 800 以上品牌機(jī) 1 目 錄 12 總部中心機(jī)房 序號(hào) 名稱 模塊號(hào) 描述 數(shù)量 1 Cisco 7206 CISCO7206 Cisco 7206 路由器， 6個(gè)模塊插槽，1 個(gè)電源模塊 1 NPE225 網(wǎng)絡(luò)處理器模塊 NPE225 1 C7200I/OFE Cisco 7200 I/O 控制器模塊， 1 個(gè)快速以太網(wǎng)接口 PA8BS/T 8 個(gè) ISDN WAN 接口卡 1 PWR7200/2 Cisco 7200 冗余電 源模塊 1 2 高檔 PC PIII 800 以上品牌機(jī) 各地營(yíng)業(yè)部與 Inter 的互連 各地營(yíng)業(yè)部在制度允許的情況下，與 Inter 的互連，使用 ADSL 接入方式，前端配置一臺(tái)高檔的品牌 PC作為代理服務(wù)器，營(yíng)業(yè)部?jī)?nèi)部用戶通過代理服務(wù)器訪問 Inter，內(nèi)部采用一臺(tái)高檔 PC，安裝軟件防火墻實(shí)現(xiàn)隔離。原有營(yíng)業(yè)部一般都已通過本地 ADSL 寬帶接入 INTERNET，不用投入。 但在全國(guó)范圍網(wǎng)絡(luò)互連仍采用傳統(tǒng)的專線或撥號(hào)方式，嚴(yán)重制約了信息資源的共享和交易的高效和可靠性。 進(jìn)入新世紀(jì)，證券 業(yè) 面臨著眾多的挑戰(zhàn)。這些挑戰(zhàn)也為 證券公司 發(fā)展帶來了廣泛 的潛在機(jī)會(huì)。 目 錄 13 綜合分析了證券公司的信息共享系統(tǒng)的現(xiàn)狀和未來業(yè)務(wù)的發(fā)展，建議證券公司采用 MPLS VPN 作為內(nèi)部信息交換的平臺(tái)，實(shí)現(xiàn)內(nèi)部管理信息化，使證券交易信息安全、可靠、及時(shí)地傳遞和共享，又能有效控制和管理用戶及信息流量， 充分高效利用網(wǎng)絡(luò)資源，節(jié)省費(fèi)用開支。 MPLS VPN 技術(shù)概述 近年來，隨著因特網(wǎng)的廣泛應(yīng)用，如何利用因特網(wǎng)的資源組建企業(yè)的虛擬專用網(wǎng)絡(luò)（ VPN），已成為IT 業(yè)界的一個(gè)新熱點(diǎn)。虛擬專用網(wǎng)（ VPN： Vitual Private Network）指的是依靠 ISP（ Inter 服務(wù)提供者）和其他 NSP（網(wǎng)絡(luò)服務(wù)提供者）在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。 IETF 草案理 解基于 IP 的 VPN為：“使用 IP 機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”是通過私有的“隧道（ Tunnel）技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。通過向企業(yè)提供 VPN服務(wù)， ISP 可以與企業(yè)建立更加緊密的長(zhǎng)期合作關(guān)系，同時(shí)充分利用現(xiàn)有網(wǎng)絡(luò)資源，提高業(yè)務(wù)量。 VPN用戶通常是上班時(shí)間形成流量的高峰，而普通用戶的流量高峰期則在工作時(shí)間之 外。 對(duì)于 VPN 用戶而言，利用 Inter 組建私有網(wǎng)，將大筆的專線費(fèi)用縮減為少量的市話費(fèi)用和 Inter費(fèi)用，無疑是非常有吸引力的，如果愿意，企業(yè)甚至可以不必建立自己的廣域網(wǎng)維護(hù)系統(tǒng)，而將這一繁重的任務(wù)交由專業(yè)的 ISP 來完成。Decryption）、密鑰管理技術(shù)（ Keymanagement）、使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication）。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。 L2TP 協(xié)議是目前 IETF的標(biāo)準(zhǔn)，由 IETF融合 PPTP與 L2F 而形成。 L2TP 數(shù)據(jù)報(bào)格式如圖 2。第三層隧道協(xié)議有 VTP、 IPSec 等。 IPSec 由 IPSec 框架，AH 和 ESP、 IKE、 ISAKMP、 Oak1ey 及其他加密算法等幾部分組成。 AH 提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證以及可選的反重放服務(wù)； ESP 可提供數(shù)據(jù)的保密性，它同時(shí)也可提供類似 AH 的服務(wù)（如數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證等）。 IPSec 的幀格式如圖 3 所示。 MPLS VPN的工作過程如下： 在基于 MPLS 的 VPN 中，服務(wù)提供商為每個(gè) VPN 分配了一個(gè)標(biāo)識(shí)符，稱作路由標(biāo)識(shí)符 (RD)，這個(gè)標(biāo)識(shí)符在服務(wù)提供商的網(wǎng)絡(luò)中是獨(dú)一無二的。 BGP 是一個(gè) 路由信息分布協(xié)議，它利用多協(xié)議擴(kuò)展和共有屬性來定義 VPN 的連接性。因?yàn)閿?shù)據(jù)是通過使用 LSPs 來轉(zhuǎn)發(fā)的， LSP 定義一條特定的路徑，不可以被改變 ， 以保證其安全性。服務(wù)提供商，而不是用戶，應(yīng)用 VPN 時(shí)將一個(gè)特定的 VPN 與接口聯(lián)系起來，數(shù)據(jù)包的轉(zhuǎn)發(fā)是由用于入口的標(biāo)簽決定的。 VPN 轉(zhuǎn)發(fā)表中包括與 VPNIP 地址相對(duì)應(yīng)的標(biāo)簽。既然標(biāo)簽代替了 IP 地址，用戶可以保持他們的專用地址結(jié)構(gòu)，無需進(jìn)行網(wǎng)絡(luò)地址翻譯 (NAT)來傳送數(shù)據(jù)。為了創(chuàng)建 Extra，服務(wù)提供 目 錄 15 商在 VPN 之間要明確配置可達(dá)性。而且，這種方案將 IP VPN 的能力內(nèi)置于網(wǎng)絡(luò)本身，所以，服務(wù)提供商可以為所有租用者配置一個(gè)網(wǎng)絡(luò)來提供 專用的 IP 網(wǎng)服務(wù)，如 Intra 和 Extra，而無需管理隧道或 VC mesh。 基于 MPLS 的 IP VPN 網(wǎng)絡(luò)可以很容易地與基于 IP 的用戶網(wǎng)絡(luò)結(jié)合起來。用戶能夠使用他們專有的 IP 地址而無需 NAT(網(wǎng)絡(luò)地址翻譯 )。這種方案易于進(jìn)行 VPN的添加、移動(dòng)和改變。 BGP 會(huì)自動(dòng)更新 VPN 成員。在一個(gè) overlay VPN中增加一臺(tái)新設(shè)備要涉及到更新流量 matrix，從新站點(diǎn)建立 VC 到所有現(xiàn)存的站點(diǎn)，更新每個(gè)站點(diǎn)的 OSPF設(shè)計(jì)，針對(duì)新的拓?fù)浣Y(jié)構(gòu)圖重新配置每臺(tái) CPE 設(shè)備。因此， MPLS VPN 擁有以下優(yōu)點(diǎn)： (1)VPN 連接配置簡(jiǎn)單，對(duì)現(xiàn)有骨干網(wǎng)絡(luò)沒有壓力； (2)對(duì)現(xiàn)有用戶的要求為 0，用戶不需要作任何改動(dòng)，用戶加入 VPN 的配置也很簡(jiǎn)單； (3)網(wǎng)絡(luò)可擴(kuò)展能力很強(qiáng)； (4)VPN用戶可以延用原有的專用地址，不需要作任何修改，在骨干網(wǎng)絡(luò)采用 VPNID，可以保 持全網(wǎng)的唯一性； (5)易于提供增值業(yè)務(wù)，如不同的 CoS。 證券公司各地管理總部以就近原則，以 2M的本地?cái)?shù)據(jù)專線連接到當(dāng)?shù)氐墓歉晒?jié)點(diǎn)上，上?？偛恳?4M 目 錄 16 數(shù)字電路連接到中國(guó)電信上海節(jié)點(diǎn)。 在 MPLS VPN 實(shí)現(xiàn)上，主要通過配置 PE 路由器和對(duì) MPLS 協(xié)議的配置。它和傳統(tǒng)的 DDN 方案比較如下： MPLS VPN DDN 費(fèi)用（月租金） 比 DDN 便宜 20％－ 30％ 高 QoS 保證 是 否 目 錄 17 流分類 是 否 流量整形和監(jiān)管 是 否 擁塞管理和帶寬分配 是 否 迂回路由 是 否 網(wǎng)絡(luò)安全性 好 好 CoS 支持 不支持 網(wǎng)絡(luò)復(fù)雜度 低 高 網(wǎng)絡(luò)維護(hù) /監(jiān)控 專業(yè)維護(hù) 用戶自行維護(hù) 網(wǎng)絡(luò)擴(kuò)展性 好 一般 網(wǎng)絡(luò)設(shè)備需求 同樣 同樣 備份線路 ISDN 備份 ISDN 備份 ISDN 撥號(hào)備份設(shè)計(jì)方案 備份線路建議使用 ISDN。在總部 Cisco7206，各分中心 Cisco3640 上配置 ISDN 模塊， BRI 或 PRI（ 8Port ISDNBRI Network Module） ，各個(gè)節(jié)點(diǎn)的接入路由器上配置 ISDN 模塊。 PRI支持 30B＋ D，統(tǒng)一的電話號(hào)碼。 在 ISDN 配置方面，主要利用 Cisco DDR按需撥號(hào)功能（ Dial On Demond），在主 DDN線路失效情況下，可以在規(guī)定的延時(shí)內(nèi)啟用撥號(hào)備份線路。 主要配置過程： 一、 證券公司各地總部 CE 路由器配置 ISDN BRI 接口 主要是定義 ISDN BRI 接口參數(shù)：包括交換類型、 IP 地址等。 目 錄 18 Router(configif) dialer map ip name htzq 2463401 Router(configif)dialergroup 1 Router(configif)encapsulation ppp …… 三、 證券公司各地總部 CE 路由器配置撥號(hào)備份 主要是定義該接口是主干線路接口的備份接口。在其中使用子網(wǎng)劃分的原則，每個(gè)總部使用一個(gè) B 類子網(wǎng)，內(nèi)部進(jìn)行細(xì)分，原則上按照 C 類子網(wǎng)分配給其下屬營(yíng)業(yè)部。 證券公司區(qū)域管理中心 IP： ， 內(nèi)部使用 OSPF（或 RIP）路由協(xié)議， CE 路由器（ Cisco 3640）互連接口 IP： ， PE路由器（ Cisco 7206）互連接口 IP： 。 1．首先，各地 PE 路由器定義 vrf 唯一接口（名稱： vpnht）和 rd 號(hào)： 總部： router(config) ip vrf vpnht router(configvrf) rd 9818:20 區(qū)域中心： router(config)ip vrf vpnht router(configvrf)rd 9818:21 … … 2．其次，各地 PE 路由器建立彼此輸入輸出目標(biāo)路由列表： 總部： 目 錄 19 router(configvrf) routetarget export 9818:21