随着网络系统的不断发展,新的数据库系统和应用系统不断走向大规模集成化,系统的网络传输频宽的需求也不断增强;同时网络安全性也越来越受到券商的重视。针对上述要求,江西省证券公司第二营业部计算机网络系统的设计采用了安全、可靠的三层网络结构。它把一个营业部的局域网分为内网和外网,内、外网通过中间件相连,前后台由不同的服务器进行处理,实现了前台与后台的分离。数据服务器在内网中,用户网络与交易数据只通过中间件连接。通信经过加密处理,采用多线程技术提高了网络运行效率,实现了网络与数据的分离,可防止黑客的侵袭。中间件通信采用加密算法,每个中间件有不同的密钥,使得黑客攻击无经验可借鉴,即使外网Novell服务器被攻破,内网的数据服务器和文件服务器仍不会被黑客破坏。 网络的配置 服务器至主交换机采用百兆以太网,采用具有先进Load Balance技术的双百兆网卡(Intel 8480)来承担,一旦该网卡出现问题,系统会自动切换到另一块百兆网卡上,使其达到冗余的目的。两台Cisco Catalyst 3524-EN交换机作为网络主干交换机(适用于工作站数量≤550的网络),交换机之间通过千兆光纤链路通道技术(Gigabit Ether Channel)相互连接,保证负载均衡及线路备份。2条千兆线路用作GEC连接,实现了全双工4G带宽。采用Spanning-Tree技术避免回路,实现交换机间的线路备份,在正常情况下,当主干交换机的光纤端口或光纤链路出现故障时,整个网络可通过Spanning-Tree重新计算并构造网络结构,配合UplinkFast技术,在2秒内自动启用备份线路,无须人工干预。 在行情服务器上装有两块百兆网卡(Intel 8480)用于扩展服务器到主干交换机的带宽,并起冗余备份的作用,备份行情服务器则配置一块双端口网卡(Intel 8472),通过Cisco的FEC技术连接到主干交换机上,达到全双工400M带宽;主交易服务器也选用两块单口100M网卡(Intel 8480),组成冗余网卡组,分别连接两台主干交换机,达到冗余的目的。备份交易服务器则配置一块双端口网卡(Intel 8472)和一块单端口网卡(Intel 8460B),双口网卡通过FEC技术连接到主交换机上,单端口网卡则用作心跳连接。这样交换机与交换机、服务器与交换机之间均采用了备份线路,能保证整个网络在部份设备出现故障时还可正常工作。原有的网络设备,如Bay、Intel交换机则可移至二级网络,它们与主干网的Cisco交换机之间也采用交叉连接的方式进行备份,保证了整个网络的服务器、主干和二级网之间互为冗余备份,该系统具有很高的可靠性及稳定性。 证监会对证券网络提出了三个分离(技术与业务分离、前台与后台分离、网络与数据分离)的要求,因此该系统采用了虚拟网(VLAN)技术。Cisco交换机提供Cisco ISL及802.1Q技术,可提高整个网络的安全和效率,例如把交易服务器和行情服务器分在不同的VLAN,股民只允许访问行情服务器所在的VLAN,而禁止对交易服务器的非法访问;把不同作用的客户机分配在不同的VLAN,限制它们的相互访问;或者利用端口管理技术,限制它对交换机某一个端口的访问权。另外,为了提高交易系统的安全性,我们采用了中间件,外围委托软件不能直接访问数据服务器,而是通过中间件系统来访问数据服务器。中间件接收外围委托软件发来的请求指令,根据收到的指令向数据服务器发出请求数据指令,比如验证密码、验证股票余额、验证资金余额、查询资金、股票等,把数据服务器返回的结果送给外围委托软件。显然,外围系统与数据服务器的通信是通过中间件连接的,中间件、外围软件、数据服务器之间的通信是通过发送、接收加密网络包的形式实现的,不再需要DBF交换库,彻底消除了DBF数据库被修改、删除等不安全因素。支持Cisco ISL技术的网卡有Intel 8480。 应用Cisco内置的网络管理系统(CVSM),网络管理人员可以方便地通过Web技术对整个网络的交换机进行管理,包括Cisco交换机的每一端口工作状态、网络数据流量、软件配置及升级等。采用CA ARCserve及磁带机对网络系统进行数据备份,同时可对系统进行快速灾难恢复,降低故障率。 与上海、深圳的单、双向卫星接收机为4台DBR401,其中四台通信工作站分别与Cisco Catalyst 3524-EN中心交换机连接。 网络的实现 1.主干交换机 网络主干选用2台能满足高速应用的Cisco Catalyst 3524-EN交换机,每台提供2个1000M端口插槽,24个10/100M自适应端口。用于服务器、重要工作站及二级交换机的连接。在两台Cisco Catalyst 3524-EN之间,采用千兆连接,网络主要设备实现线路冗余和负载平衡。 2.二级交换机 二级交换机为18台Cisco Catalyst 1924-EN,每一台Cisco Catalyst 1924-EN可提供24个10M端口,2个100M端口。连接主干交换机的端口,实现二级网络交换机冗余。主干交换机和二级交换机共能提供约480台电脑接入。 3.服务器及网卡 (1)服务器 网络服务器采用Compaq PROLIANT 6000、3000、2500服务器。 •行情服务器 PL6000作为行情主服务器,采用PIII450、RAM128M、2块RIAD12×4.3G硬盘、PL2500作为行情备份服务器,主CPU为PRO200、RAM128M、2块RIAD12×4.3G硬盘,操作系统为Netware 4.11,利用Novell High Availability Server双机热备份软件组成群集系统,互为备份。磁盘阵列柜采用Compaq公司的RA3000,容量为5×9.1G,阵列柜接口为50MB/SSCSI,应用软件及行情数据均存储在此阵列柜中。行情分析选择钱龙V2.23,工作方式目前为ACTIVE-STANDBY。 •交易服务器 PL3000作为交易主服务器,PL2500作为交易备份服务器,用STANDBY FOR NETWARE双机热备份软件相连。 (2)网卡 服务器网卡采用Intel PRO/100 Intelligent Server Adapter的PILA8480网卡,它支持以下高级服务器网卡技术:AFT、ALB、FEC及Cisco ISL VLAN,可实现服务器与交换机之间的智能连接。采用Intel PRO/100+ Server Adapter网卡(Intel 8460)作服务器双机热备份数据检测链路(心跳)。 应用Novell V4.11 NLSP协议的LOAD BALANCE技术,使整个网络负载均衡,同时增大了服务器与交换器之间的连接带宽。 网络主要特点 (1)用Novell High Availability Server双机热备份软件组成群集系统,网络核心没有单点故障。 (2)采用Cisco基于Web界面的网管系统,可以通过图形界面对Cisco设备进行管理、配置、监控整个网络运行情况。 (3)采用Cisco的ISL技术或802.1QVLANTrunk技术。通过VLAN,可以控制广播域,只有在同一个VLAN的设备才可以接收到广播,因此可以提高网络性能。通过Cisco独有的交换机间链路协议技术,可在单一的物理链路上划分多个子通道以对应多个VLAN,实现服务器用一个端口与多个VLAN交换数据,Intel 8480网卡可支持ISL技术,可在一个端口分出多个逻辑端口对应不同的VLAN。这样通过ISL或802.1Q,可以实现服务器在同一个通道同时完成VLAN Trunk的备份及负载均衡。 (4)采用端口安全技术,将客户机的网卡MAC地址在交换机上登记,只有在某个端口进行登记的MAC地址才可以在这个端口进行网络连接,否则,交换机不允许客户机使用网络。 (5)Catalyst 1900-EN可采用统一的Cisco RPS电源,每个RPS最多可支持4个Cisco设备。 (6)Catalyst交换机具有很强的背板交换能力,Catalyst 1900-EN及3500-EN的背板能力分别为1Gbps及10Gbps。 (7)广域网采用Cisco2621通过DDN专线与省证券中心相连。 主干网络扩展 在中心机房配置了2台Cisco Catalyst 3524-EN,随着网络扩展的需要,可增加一定数量的Catalyst 3524-EN,它们之间连接通过Giga Stack模块构成堆叠矩阵,组成单一的IP地址,中心交换机可配置Catalyst 3508-EN或Catalyst 6005将所有Catalyst 3524-EN实现千兆互连。 |