证券数据中心技术方案.doc

《证券数据中心技术方案.doc》由会员分享，可在线阅读，更多相关《证券数据中心技术方案.doc（152页珍藏版）》请在三一办公上搜索。

1、证券有限责任公司新建数据中心网络项目招标编号：技术标书目 录1项目背景与需求分析11.1项目背景11.2需求分析11.2.1新数据中心设计11.2.2业务支持设计21.2.3路由设计21.2.4安全设计21.2.5网络服务质量（QoS）策略31.2.6IP地址规划31.3设计原则、策略与规范31.3.1设计原则31.3.2网络设计策略51.3.3网络设计标准与规范52网络设计方案72.1集中交易系统对网络的设计要求72.1.1集中交易数据交换流程72.1.2集中交易体系结构82.2网络结构设计102.2.1网络总体架构设计102.2.2广域网接入网络设计122.2.3交易内网网络设计142.2

2、.4交易隔离区网络设计162.2.5广域与灾备域网络设计172.2.6安全隔离网网络设计182.3可靠性设计192.3.1广域网接入可靠性设计202.3.2交易内网可靠性设计232.3.3交易隔离网可靠性设计262.3.4广域与灾备域可靠性设计292.3.5安全隔离网可靠性设计312.4网络安全设计342.4.1安全保障建议措施342.4.2防火墙安全部署设计362.5双网卡冗余备份方案的网络设计建议373设备配置方案403.1广域网接入路由器配置403.2交易内网/交易隔离网交换机配置403.3广域网/灾备网交换机配置413.4安全隔离区与DMZ区防火墙配置413.5安全隔离网交换机配置41

3、3.6DMZ区域及办公网交换机配置414系统实施与测试方案424.1项目风险控制424.2工程实施方案434.2.1第一阶段：实施方案准备434.2.2第二阶段：网络安装454.2.3第三阶段：系统测试454.2.4第四阶段：网络割接464.2.5第五阶段：回退计划464.2.6第六阶段：监控及优化464.3测试与验收方案474.3.1单元测试484.3.2整体测试504.3.3系统集成测试524.3.4测试验收单535工程项目管理计划565.1项目组织结构565.2技术服务人员情况介绍615.3项目实施计划645.3.1设计方案认定645.3.2物理结构图设计645.3.3实施计划的确定65

4、5.3.4工程施工督导、监察655.3.5工程安装、调试和最终验收655.4项目进度计划15.4.1设备采购与设置25.4.2工程准备35.4.3工程实施45.4.4完善优化工作55.4.5工程验收55.5项目管理15.5.1人员管理15.5.2物资管理15.5.3进度管理15.5.4文档管理25.5.5合同管理25.5.6项目计划的控制25.5.7采购过程的控制25.5.8安装过程的控制35.5.9用户服务35.6项目风险管理35.6.1项目风险概述35.6.2项目风险控制措施55.7项目质量控制95.7.1项目管理概述95.7.2方迪公司质量体系简介95.7.3项目的质量保证115.7.4

5、文档移交不同实施阶段移交的文档清单145.7.5项目表格155.7.6交付设备文档清单155.7.7项目实施表格164验收证明205系统集成日记录表216售后服务与培训方案236.1方迪客户服务体系介绍236.1.1客户服务体系概要236.1.2客户服务架构246.1.3客户服务模式256.1.4CASE处理流程266.1.5RMA处理流程326.1.6客户满意度调查336.2技术服务内容346.2.1基本服务346.2.2高级服务356.2.3网络系统健康检查与维修服务416.2.4网络安全高级服务456.3售后服务计划及响应566.3.1服务响应承诺566.3.2方迪提供的本地化服务576

6、.4培训计划586.4.1现场培训586.4.2不定期的技术交流培训596.4.3网上资料库597产品性能分析607.1Cisco 3845性能分析607.1.1产品概述607.1.2用于数据、话音和视频的安全网络连接617.1.3融合IP通信627.1.4集成化服务637.1.5主要特性和优势637.1.6产品架构657.1.7总结667.2Cisco Catalyst 4948性能分析677.2.1主要特性和优势677.2.2软件配置选项697.2.3技术规格697.3Juniper SSG 300性能分析747.3.1概述747.3.2特性和优势741 项目背景与需求分析1.1 项目背景

7、证券有限责任公司于1992年11月成立。证券以科技为依托，合理配置资源，突出比较竞争优势，不断推出特色服务，将公司建成规模适中、效益显著的综合类证券公司。目前证券在全国已经拥有包括深圳深南大道营业部、深圳人民北路营业部、北京车公庄大街营业部 、上海零陵路营业部、上海长宁路营业部、竹苑路营业部、武汉新华下路营业部、鞍山南胜利路营业部、鞍山二道街营业部、南通孩儿巷营业部、沈阳文艺路营业部、杭州凤起路营业部、广州花城大道营业部等13家营业部以及1家服务部。为了适应当前证券市场发展的需要，证券将在原机房附近扩建一新数据中心，建设新的证券中心机房。1.2 需求分析本项目可以认为是证券新中心机房的建设和机

8、房搬迁两大部分组成。项目总体目标是建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性、可持续稳定运行的公司网络。1.2.1 新数据中心设计为了适应当前证券市场发展的需要，证券将在原数据中心搬迁到新机房，建立证券新中心机房。新中心机房是证券整个公司网络的“心脏”，设计效果的好坏将直接影响整个网络的性能。 网络系统必须保证7X24小时连续稳定运行； 在设备选型方面充分考虑处理能力和高可扩展性； 与外部可信任公司如交易所、登记公司、银行等的接入采用可靠的技术隔离手段，确保网络安全。1.2.2 业务支持设计满足当前公司业务需求，包括：集中交易系统、办公自动化系统、财务系统、清算开户

9、系统、以及其它系统接入。1.2.3 路由设计选择标准的路由协议，能适合不同厂商的网络设备，能进行较为快速的网络收敛, 尽量避免使用静态路由；采用有效的技术手段抑制拓扑变化所带来的网络不稳定性，合理规划营业网点的IP地址，减少路由条目；在保证网络运行稳定的基础上，尽量启用路由加速功能，加快包交换速度。1.2.4 安全设计公司网络传输大量对安全性要求极高的敏感数据，任何的安全漏洞都可能造成严重的后果。网络的安全性方面必须至少具备以下的一些功能： 必须有能力抵御已知的网络攻击。推荐一个功能强大的、有效的网络攻击检测和防御产品，切实保护网络资源的安全。 能够实时监控网络的一切活动，准确判断、识别、阻止

10、已知的各种类型的网络攻击行为； 能够方便、可靠地更新攻击行为模式库以适应攻击方式的不断推陈出新； 能够对可疑的网络行为发出警告，并对经确定的攻击行为自动更新至模式库； 能够与已有的其他各种类型防护设备协同工作，充分挖掘、发挥这些设备的安全功能，必须对生产网络没有任何实质性的不良的影响。 能够有效的控制计算机病毒的传播范围，将损失减小到最低； 采取有效手段使点到点的数据传输安全，防止数据被非法窃取、泄露、篡改； 营业部的网络安全设计需纳入到公司网络安全整体设计中，充分挖掘、利用营业部路由器、交换机安全方面的特性，部署网络安全的第一道防线； 提供防病毒系统部署方案，保证业务系统的应用及数据安全。1

11、.2.5 网络服务质量（QoS）策略为了充分利用广域网线路带宽资源，并确保实时性与重要性高的数据及时传输，须对备份线路带宽部署严格、有效的服务质量（QoS）策略。1.2.6 IP地址规划 按区域统一规划、规范IP地址的使用； 所采用的IP规划规范必须能够有利于路由汇聚，便于日常的网络管理和运维； IP规划规范必须具有良好的扩展性。1.3 设计原则、策略与规范1.3.1 设计原则深圳市方迪计算机系统有限公司作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。在方案设计时，我们将严格遵循以下设计原则： 高可靠性原则：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中

12、选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各个系统的正常运行。 技术先进性和实用性原则：保证满足证券交易业务的同时，又要体现网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到证券数据中心网络应用的现状和未来发展趋势。 高性能原则：承载网络性能是网络通讯系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图像）的高质量传输，才能使网络不成为证券各项业务开展的瓶颈。 标准化原则：支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其它网络

13、(如公共数据网、证券网络、其它网络)之间的平滑连接互通，以及将来网络的扩展。 灵活性及可扩展性原则：根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和设备的调整。 可管理性原则：对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警等等。 安全性及高性价比原则：制订统一的骨干网安全策略，整体考虑网络平台的安全性。网络方案的设计必须充分考虑投资保护。1.3.2 网络设计策略 严格保障安全：证券数据中心网络需求多，严格的安全访问控制可以有效控制风险，保证网络安全。方案设计要考虑制定严格的访问

14、控制，禁止非法访问。 标准化原则：网络设计中所用的各种协议、接口规程须符合国际标准。方案设计中制定的操作标准、规范，应沿袭骨干网改造、数据集中工程网络建设的成果，保持全行网络的一致性。 易于维护：网络结构设计清晰明了、层次分明，配置力求简洁规范，便于维护管理。1.3.3 网络设计标准与规范证券属于一个典型的行业网络，必须遵循行业相关的网络标准，同时，为了保证各种网络设备的兼容性和业务的不断发展需要，也必须遵循国际上的相关的统一标准，我们在设计证券的网络解决方案的时候，主要参考的标准如下：标 准说 明证券经营机构营业部信息系统技术管理规范（试行）IEEE 802.3z光纤千兆位以太网标准（LX和

15、SX）和短距离铜线传输千兆位以太网标准（CX）IEEE 802.3ab5类铜介质线缆千兆位以太网标准1000Base-TIEEE 802.3u快速以太网100 BASE-TXIEEE 802.3u10M以太网10 BASE-TIEEE 802.3xFull-Duplex with Flow Control（流量控制）IEEE 802.1dSpanning Tree Protocol（生成书协议）IEEE 802.1qVirtual Bridged Local Area Networks协议IEEE 802.3ad链路集合控制协议IEEE 802.1X Port based network ac

16、cess control protocol（基于端口的访问控制协议）IEEE 802.1p 优先级队列，包括GARPANSI/EIA/TIA-569电信走道和空间的商用建筑标准ANSI/EIA/TIA-606商用建筑物电信设备的管理标准GBJ 232-8电气装置安装工程施工及验收规范YD5037-97中国公用计算机互联网工程设计暂行规定其它符合现行的国际、国家和行业标准规范2 网络设计方案2.1 集中交易系统对网络的设计要求证券集中交易系统是证券公司最核心的业务系统，因此证券新建数据中心的体系架构都须以集中交易系统为核进行设计。这里我们将讨论下在集中交易系统对网络的设计要求。2.1.1 集中交

17、易数据交换流程根据上海证券交易所以及深圳证券交易所制定的证券交易流程，各券商与交易所的交易数据的交换是分层设计的。集中交易系统数据交换的流程示意如下：这是数据交换的一个逻辑拓扑图。证券公司与交易所的数据交换是通过“网关” 。网关指放置在证券公司、用于连接交易所交易系统的软硬件设施，俗称通信端口或小站。深交所通过密钥KEY的方式，上交所以分配操作员密码方式把小站与交易所席位进行绑定。小站分为报盘小站和行情小站,报盘小站是双向的，行情小站只是单向接收。证券交易所提供的网关设备并不存取数据，双向报盘及单向接收的行情数据都要存放在文件服务器上。以前的文件服务器基本上都是Novell系统。随着TCP/I

18、P的流行，现在许多证券公司的文件服务器都切换到Windows或者Linux。外围层，也叫做前置处理机，有报盘程序和行情接收程序，报盘程序每隔几毫秒就读一次，在交易时间内，这个程序数百万次的读取和写入这些DBF文件，完成证券公司与交易所的数据实时交换。券商的应用系统，应用系统采用多层技术体系架构，包括通讯中间层、业务中间层以及数据库层。多层技术体系架构能够很好地保证系统的安全性：中间层(业务逻辑层)隔离了客户(用户界面层)直接对数据库系统的访问，保护了数据库系统和数据的安全。业务逻辑层缓冲了用户与数据库系统的实际连接，使数据库系统的实际连接数量远小于应用数量。与此对应，证券集中交易系统在网络上也

19、需要在逻辑或物理上划分相应的功能网段。2.1.2 集中交易体系结构针对证券交易系统对数据交换流程的规定，结合证券采用的集中交易系统，方迪公司建议部署如下图所示的集中交易系统体系结构。集中交易系统按地域及功能的不同可以划分为中央交易系统、灾备交易系统以及营业部交易系统。与此对应，在本项目证券将中央交易系统部署在新建的数据中心，灾备交易系统部署在深圳证券通信公司券灾备机房，各营业部则部署营业部交易系统。集中交易系统的体系结构建议为四层架构：数据服务器+应用服务器+通讯服务器+操作终端。它遵循了业界主流的多层架构。这种模式将应用系统的客户端表现、业务逻辑、数据服务分层设计，单独实现，这样可以在不改变

20、其它层次的情况下，独立地对客户端表现、业务逻辑和数据服务单独修改和扩展，大大增加系统的灵活性和扩展性。2.2 网络结构设计2.2.1 网络总体架构设计建议证券在新数据中心网络采取分区的网络架构规划设计，采用独立扩展的功能模块化分区设计有如下几个显著优势：1. 安全性好容易明确不同网络区域之间的安全关系，可以单独对每个区域进行安全实施，不会对其它区域造成影响。2. 扩展性好可根据不同区域和层次的功能按需建设，业务部署灵活，可以非常方便的增加新 Server Farm区，而不改变原有的网络结构。3. 提高可用性可以最大限度的隔离故障域，简化数据路径，加快故障收敛时间。4. 易管理网络结构清晰，日常

21、的运维变得更加简单，问题定位容易。 依据模块化功能分区设计架构，我们建议证券新建数据中心网络结构设计如下图所示：结合证券当前业务区域及特点，建议全网规划为7个网络区域： 区域1：交易核心内网； 区域2：交易隔离网； 区域3：公司广域网（上海证通）、深圳证通、中建工银行三方、深/ 沪单双向卫星网； 区域4：灾备； 区域5：安全隔离网； 区域6：DMZ区域； 区域7：部门办公网建议全网采用纯千兆网络，所有网络设备原则上配有冗余电源配置。我们将分为广域网接入、交易内网、交易隔离网、广域与灾备区、安全隔离区等区域进行设计，具体网络设计如下：2.2.2 广域网接入网络设计目前证券共有14个分支机构，各分

22、支机构均有1条SDH电路作为主线路，备份线路采用中国电信ISDN以及VPN线路。其中，采用中国电信提供SDH线路有上海分部一、上海分部二、北京分部、南通分部、武汉分部、鞍山分部一、鞍山海城分部、沈阳分部、杭州分部；采用中国联通提供专线的分部有深圳一部、深圳二部、深圳江苏大厦总部、分部和上海分部一通过帧中继复用1条电路、广州分部。证券现有的外联机构接入状况为：深圳证券通讯公司有1条中国电信SDH电路和1条中国电信DDN电路，均直连中心机房；上海证券通讯公司有2条电路到上海分部一，其中1条中国联通SDH电路，1条中国电信DDN电路（上海市场的报盘走公司广域网通过上海分部一中转到上海证通）。中国工商

23、银行有1条中国电信SDH电路到中心机房，1条网通SDH电路到深圳江苏大厦总部（通过路由实现互备）；中国银行和中国建行银行分别有1条中国联通SDH电路到中心机房（建行专线需配置成帧模式），1条中国网通SDH电路到北京分部（通过路由实现互备）。我们建议将上述分支机构及外联机构统一为“广域网接入区”进行分区设计与管理。广域网接入区目前有13条电信SDH线路接入，7条网通SDH线路接入。广域网接入区网络设计如下图所示：对于广域网接入区这样一个关键网络区域，建议新购两台高性价比的接入路由器分别接入不同运营商线路。各线路接入方式维持现有不变。每台路由器各配置24个G.703端口，实现设备、模块的冗余互备。

24、ISDN备份线路对应的路由器延用现有设备。目前的Cisco3640接入路由器可以做为上述两台路由器的冷备路由器，进一步提高广域网接入的可靠性。建议配置2台Cisco 3845担当广域网接入路由器。Cisco 3800系列集成多业务路由器建立在思科20年创新技术的基础之上，通过为客户提供无与伦比的网络灵活性、性能和智能性。凭借透明地将先进技术、可适应服务和安全企业通信集成入单一永续系统，Cisco 3800系列路由器简化了部署和管理、降低了网络成本和复杂度，并提供了无可匹敌的投资保护。Cisco 3800系列路由器具有内嵌安全处理、大幅系统和内存优化以及全新高密度接口，可在要求最严格的企业环境中

25、提供扩展关键任务安全性、IP电话、商业视频、网络分析和Web应用所需的性能、可用性和可靠性。2.2.3 交易内网网络设计证券交易内网是核心业务服务器和数据的接入区域，交易服务器、历史服务器、温备服务器以及交易中间件KCXP等关键业务和数据均部署在此区域。因此交易内网的接入交换机要求是高性能，无阻塞，可靠以及容易扩展。交易内网网络设计如下图所示：如上图所示：1) 交换机端口划分内网VLAN1和内网VLAN2，实现逻辑隔离；2) 交易核心内网服务器接入内网VLAN1端口；3) 内网VLAN2端口作为交易隔离网交换机故障时的备份端口。交易内网的交换机建议采用1台Cisco Catalyst 4948

26、。Catalyst 4948是一款线速、低延迟、第二到四层、1机架单元（1RU）固定配置交换机，可提供进行了优化设计的的服务器集群机架的交换。Cisco Catalyst 4948以成熟的Cisco Catalyst 4500系列硬件和软件架构为基础，为高性能服务器和工作站的低密度、多层汇聚提供了出色性能和可靠性。Cisco Catalyst 4948具有48个线速10/100/1000BASE-T端口，并另有4个线速端口。我们推荐证券的Cisco Catalyst 4948是一款采用了一个96Gbps交换矩阵，在硬件中为第二到四层流量提供了72Mpps的转发速率，从而为数据密集型应用提供了线

27、速吞吐率和低延迟。无论有多少路由条目或启用了多少第三层和第四层服务，都能保证交换性能。基于硬件的思科快速转发路由架构提高了可扩展性和性能。Catalyst 4948-E的IOS配置的是增强第三层镜像，包括最短路径优先打开（OSPF）、中间系统到中间系统（IS-IS）、增强内部网关路由协议（EIGRP）和边界网关协议（BGP）。Cisco Catalyst 4948无论从性能、功能还是高可靠性方面都极具优势：性能：性能相当于一台4500+ Sup5/10GE全部端口线速设计为低延时2-4us大缓存,减少丢包功能：软件功能和与4500相同支持高级协议如ISIS,IGMP V3高可靠性：部件热拔插基

28、于成熟的4500平台双电源智能冗余风扇支持AC/DC混合2.2.4 交易隔离区网络设计交易隔离区内将部署包括交易中间件KCBP、温备/灾备复制服务器以及沪深报盘、沪深行情、消息中间件KCXP以及各委托主站等服务器。交易隔离区的网络设计如下图所示：如上图所示：1) 交换机端口划分内网VLAN1和内网VLAN2，实现逻辑隔离2) 交易隔离区服务器接入内网VLAN2端口3) 内网VLAN1端口作为交易核心网交换机故障时的备份端口Cisco Catalyst 4948以成熟的Cisco Catalyst 4500系列硬件和软件架构为基础，为高性能服务器和工作站的低密度、多层汇聚提供了出色性能和可靠性具

29、有48个线速10/100/1000BASE-T端口。交易隔离区的交换机建议采用1台与核心交易网交换机一样配置的Cisco Catalyst 4948。2.2.5 广域与灾备域网络设计广域与灾备域内部署有沪深报盘、沪深行情、消息中间件KCXP、各委托主站等服务器以及存管采集、存管中间件、办公系统、单/双向卫星接收机等系统。广域与灾备区网络设计如下图所示：如上图所示：1) 配备2台三层交换机2) 2台交换机之间配置HSRP，实现终端虚拟网关3) 此区域服务器集中接入一台交换机,另一台温备此区域交换机建议采用2台与核心交易网交换机一样配置的Cisco Catalyst 4948。2.2.6 安全隔离

30、网网络设计在网络上，VLAN是一个独立的广播域，也是一个独立的冲突域，也就是说，在同一VLAN之中的用户是可以通讯的。而在不同VLAN中的用户不能直接进行通讯，如果需要通讯，必须通过三层的路由。在三层路由上，可以通过ACL加以控制，限制访问权限。因此，我们通过VLAN系统的合理划分达到VLAN之内信息共享、VLAN之间相互隔离控制的安全要求。在如交易核心内网、交易隔离网、广域与灾备区等均设置成不同VLAN实现逻辑隔离。防火墙可通过监测、限制通过防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。通过安全隔离区的防火墙隔离出单独网段区域，用于连接外联单位、

31、特殊的访问要求接入。使用防火墙的隔离保护功能，赋予最小使用权限，保护内部网络安全。安全隔离区的网络设计如下图所示：如上图所示：1) 部署2台防火墙执行安全控制策略2) 2台防火墙部署方式为Active / Standby3) 部署2台交换机，用于接入防火墙端口的扩展4) 2台交换机配置HSRP，实现设备间的冗余。2.3 可靠性设计网络系统的稳定可靠是应用系统正常运行的关键保证，因此我们在证券新数据中心的网络设计中选用了思科公司系列的高可靠性网络产品，同时，我们也应合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各个系统的正常运行。2.3.1 广域网接入可靠性

32、设计证券目前广域网接入包括14个营业部、公司总部、银行三方、深证通以及龙岗电信等单位的接入。在设备方面，部署2台Cisco 3845路由器分别接入不同运营商线路，每台路由器各配置24个G.703端口，实现设备、模块的冗余互备。下图为广域网接入在正常情况下的数据流方式。当某一中心路由器本身出现故障，不能提供服务时，如下图所示，可以通过手工整体切换线路至另一台路由器对应的端口上，即可以实现因路由器故障的切换。另外，目前的Cisco3640接入路由器可以做为上述两台路由器的冷备路由器，进一步提高广域网接入的可靠性。当营业部主线路故障或营业部路由器(端口)故障时，如下图所示，如果是中心端先侦测到下联线

33、路故障，中心ISDN拔号路由器将发起ISDN拔号至营业部路由器，从而实现备份接入。如果是营业部路由器侦测到上联线路故障，将由营业部VPN网关发起VPN连接到中心深信服务VPN服务器，从而实现备份接入。2.3.2 交易内网可靠性设计交换机端口划分内网VLAN1和内网VLAN2，实现逻辑隔离。交易核心内网服务器接入内网VLAN1端口，内网VLAN2端口作为交易隔离网交换机故障时的备份端口。交易内网正常情况下的数据流如下图所示：当交易核心内网交换机故障时，如下图所示，只须手工整体切换交易核心内网服务器至交易隔离区交换机的内网VLAN1端口即可实现故障切换。当交易核心内网VLAN1中的某一交换机端口（

34、如port N）出现故障时，如下图所示，手工切换服务器至交易隔离区交换机VLAN1对应port N端口，数据经两交换机互联trunk线路回传至交易核心内网交换机后正常传输，从而达到故障切换。此时其它端口正常的数据不会改变流向。2.3.3 交易隔离网可靠性设计交易隔离区的交换机端口划分内网VLAN1和内网VLAN2，实现了逻辑隔离。交易隔离区服务器接入内网VLAN2端口，内网VLAN1端口作为交易核心网交换机故障时的备份端口。正常情况下交易隔离区内的数据流如下图所示：当交易隔离区交换机故障时，如下图所示，只须手工整体切换交易隔离区服务器至交易核心内网交换机的内网VLAN2端口即可实现故障切换。当

35、交易隔离区交换机VLAN2 的某端口（例如port M）出现故障，如下图所示，只须手工切换服务器至交易内网交换机VLAN2对应port M端口，数据经两交换机互联trunk线路回传至交易隔离区交换机后正常传输，故障切换完成。此时其它端口正常的数据不改变流向。2.3.4 广域与灾备域可靠性设计广域与灾备区域内部署了2台三层交换机，2台交换机之间配置HSRP，实现终端虚拟网关，此区域服务器集中接入一台交换机,另一台温备。此区域内正常情况下数据流如下图所示。当此区域内的主交换机发生故障，如下图所示，只须手工整体切换此区域网服务器至另一台交换机对应端口即可完成故障切换。因为HSRP提供了虚拟网关，因此

36、在服务器端无须做任何配置上改动。2.3.5 安全隔离网可靠性设计在安全隔离区内部署了2台防火墙用以执行安全控制策略。这2台防火墙部署方式为Active / Standby。由于防火墙端口扩展相对困难，因此部署了2台交换机用于接入防火墙端口的扩展，2台交换机配置HSRP。此区域内正常情况下的数据流如下图所示：当主防火墙发生故障的时候，如下图所示，防火墙将进行Active / Standby切换。此时广域区主交换机HSRP侦听到了防火墙互联端口失效，主交换机数据流切至从交换机。当此区域主交换机发生故障时，如下图所示，主防火墙侦听到与主交换机互联失效，因此防火墙进行Active / Standby切

37、换。因为HSRP提供的虚拟网关，其它设备无须做配置上的改动。2.4 网络安全设计2.4.1 安全保障建议措施2.4.1.1 VLAN隔离在网络上，VLAN是一个独立的广播域，也是一个独立的冲突域，也就是说，在同一VLAN之中的用户是可以通讯的。而在不同VLAN中的用户不能直接进行通讯，如果需要通讯，必须通过三层的路由。在三层路由上，可以通过ACL加以控制，限制访问权限。因此，我们通过VLAN系统的合理划分达到VLAN之内信息共享、VLAN之间相互隔离控制的安全要求。2.4.1.2 ACL策略控制划分VLAN只能在广播域或者说是在本地局域网内有效，对于广域网上的隔离控制，只能采取定义ACL列表，

38、在路由器上启用防火墙或交换机上启用包过滤来限制通讯。证券新数据中心网络建设中我们建议采取的方式是在路由器的广域网接口上检查接收数据包的来源地址和目的地址，在交换机端口上检查需要发送的数据包的目的地址，符合要求的才转发。2.4.1.3 802.1X身份认证证券新数据中心网络的设计中，建议可考虑使用局域网802.1X身份认证系统，任何人只要将计算机连接到交换机上，就需要首先进行身份认证，认证通过后，获得相应的IP地址，才能连接到网络上。使用局域网802.1X身份认证需要三个条件:1) 客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连

39、接请求。 目前，windows 2000 或者windows XP 都自带802.1x客户端程序。2) 认证系统：支持802.1X认证的交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。 3) 认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。一般RADIUS服务器作为认证服务器。2.4.1.4 AAA AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它是对网络安全的一种管理。AA

40、A服务可以完成以下功能：验证用户是否可获得访问权，授权用户可使用哪些服务，记录用户使用网络资源的情况。证券新数据中心网络内建议部署AAA认证。2.4.1.5 防火墙隔离防火墙可通过监测、限制通过防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。中心新数据中心网络内建议使用防火墙隔离出单独网段区域，用于连接外联单位、特殊的访问要求接入。使用防火墙的隔离保护功能，赋予最小使用权限，保护内部网络安全。2.4.1.6 网络设备保护采取如下措施对网络设备加以保护1) 在路由器上、交换机上要设置控制台口令、特权用户口令、远程登录口令和分级用户名和口令，并使用加密口

41、令。2) 建立日志服务器记录日志。 3) 只允许网管网段对网络设备进行Telnet访问。4) 关闭不必要的网络服务，关闭禁止源路由功能、finger服务、bootp服务和域名解析功能。5) 只允许网管地址段的网管服务器对网络设备进行SNMP管理。2.4.2 防火墙安全部署设计建议在安全隔离区及DMZ区部署三台高性价比的防火墙进行安全策略的实施。其中字全隔离区部署2台防火墙用于冗余热备。证券新数据中心的防火墙部署设计如下图所示：Juniper网络公司安全业务网关（SSG）300系列是新型的专用安全产品，为地区和分支办事处部署提供高性能、安全性和局域网/广域网连接的完美组合，通过一系列完整的统一威

42、胁管理（UTM）安全特性-如状态防火墙、IPSec VPN、IPS、防病毒（包括防间谍软件、防广告软件和防网页仿冒）、防垃圾邮件和Web过滤等-来保护出入分支办事处的流量免遭蠕虫、间谍软件、特洛伊木马和恶意软件的攻击。SSG 320M可以提供450Mbps的防火墙流量，具有极高的性价比，建议选用3台Juniper SSG-320M-SH（注：1G内存）防火墙。2.5 双网卡冗余备份方案的网络设计建议证券各类服务器作为集中交易平台的核心，其稳定性和安全性至关重要，连接服务器的网络链路是尤为重要的一环。增加热备份冗余链路成为保障服务器链路通畅常用的方法之一，此方式可以强化系统网络链路，减少故障率。

43、 证券新建数据中心搭建了各种信息平台，服务器作为信息平台的硬件载体，其稳定性日趋重要。其中，网络链路又是尤为重要的一环，显然，如何保障服务器网络链路的持续稳定工作已成为摆在网络管理员、系统管理员面前的重要问题了。 增加热备份冗余链路成为保障服务器链路通畅常用的方法之一，此方式可以强化系统网络链路，减少故障率。 服务器网络冗余备份方式可以应用于企业的重要业务访问，实施后，相应业务在多种冗余技术的支持下，将会更加稳固。包括部署了金证集中交易系统在内的众多证券信息平台的关键服务器都通过服务器双网卡方式实现服务器网络的冗余备份。通过软件将双网卡绑定为一个IP地址（许多高档服务器网卡都具有多网卡绑定功能

44、），可以通过软硬件设置将两块或者多块网卡绑定在同一个IP地址上，使用起来就好象在使用一块网卡，这对客户访问将达到透明。建议证券部署在核心内网、交易隔离区及广域区等关键服务器部署双网卡冗余备份方案，当服务器某一块网口故障的情况下无需人工干，另一块立刻接管全部负载，过程是无缝的，服务不会中断。在此方案下的网络设计如下图所示：为保证网络设备热备份，核心设备、服务器接入设备都使用了双机，配置802.1q Trunk模式互联，属同一VTP Domain，并都启用了STP（Spanning Tree Protocol，生成树协议），利用STP实现网络设备、网络链路的切换，将一台交换机设置为STP根（roo

45、t）交换机。通过STP协商后屏蔽的端口，以避免环路，无数据流量可视为中断。另外将交换机的终端接入端口设置为PortFast，以加快交换机端口启用时间。 l 软件使用原则 服务器接入可以通过使用网卡捆绑软件实现热备冗余，对于服务器双网卡捆绑软件的选择可遵循以下几点原则: 兼容性好，能在不同品牌网卡上使用； 中断恢复快; 能检测深层中断，即能检测到非直连设备的中断。 l 推荐软件 NIC Express 4.0是一款兼容性较好的捆绑软件，它能兼容Broadcom、D-Link等常见网卡，但在Intel网卡上安装会造成大量丢包。 Inter Proset是针对Intel网卡的专用网卡捆绑软件，但Inter Proset只能在Intel网卡上使用，且不支持深层中断的检测。 l 相关软件设置建议 NIC Express 4.0 使用NIC Express的ELB模式，将网络检测这一关键参数设置为Status Packet，而不能使用Auto，因为设置为Auto只能检测到直连部分的中断情况，而设置为S