随着证券公司的合并和增资扩股的不断进行,中国证券公司正向集约化、规模化方向发展。作为支撑业务运转的基础平台,证券信息系统同样面临着变革和创新,具体表现为对以总部为核心的集中式交易系统的需求量越来越大。
----营业部网络实现了各证券营业部的基本工作职能,它侧重于证券营业部本地局域网建设,其通信服务功能模块只起到了辅助作用,仅对数据量要求不高的Internet访问和少量远程大户提供广域网支持。
----利用集中式交易系统, 具有相当规模的证券公司将远距离控制多个营业部和为更多远程大户提供服务,相应业务范围和工作模式都会有很大改变,因此需要一个强有力的网络解决方案来支撑证券业务集中业务。
----考虑到证券业务数据的重要性,为了保证多项证券业务的顺利进行, 证券用户需要一套高度稳定可靠,处理能力强大,高安全性和可管理的,并且能够兼容原有网络的平台, 具体的说应该具有以下特点:
高可靠, 高智能:由于在现有网络上运行的既有实时交易数据, 又有网上交易数据,还有办公自动化, IP话音、E-Learning 和视频会议等重要数据,这些数据的高可靠传输将是多项网络业务正常运行的必要保证。这就要求我们必须拥有高可靠,智能化的网络。Cisco 将通过业界领先的链路冗余,路由热备份负载均衡(HSRP/GLBP)及拨号备份等领先技术提供高可靠高智能的网络系统;
更高的性能:Cisco 具有从低端到高端的业界最完整的产品线,在数据的转发能力、高密度的端口密度、多样的物理或协议的兼容性方面,Cisco都处于绝对领先的地位,而且在新应用的研发方面,Cisco 开发出丰富的基于IP 的数据、语音和视频的综合应用,利用统一的、强大的IOS平台加以实现,并通过业界最完善的服务质量控制(QoS)特性在保证高性能的同时更进一步保证关键和实时的证券业务的应用;
更高的安全性:由于证券网络上传递的数据可能包含的是资金,账号,密码等重要信息,如何保证这些信息安全可靠地在网络上是一个不容忽视的问题。思科全面的网络安全技术如:防火墙、虚拟专网VPN、入侵检测,网络弱点扫描,AAA认证,访问控制列表Access List,数据加密等技术,将尽最大可能地保证证券数据在网络上传输的安全性;
· 更好的可管理性:作为一套考虑完善、可靠性要求极高的系统,网络管理是网络设计必不可少的考虑因素之一,从设备本身操作系统所具备的一些网管功能如CVSM,到简单的网络管理工具如Cisco Works Windows,甚而功能强大的大型管理系统如Cisco Works 2000,用户可根据自身的实际网络应用,循序渐进的实现全面网络管理功能。
集中交易系统广域网网络拓扑
附件:
您所在的用户组无法下载或查看附件本方案中用到的主要网络产品为:
证券公司总部:
Cisco 7507路由器: 两台
Cisco catalyst4506核心交换机 : 两台
ASA5540 防火墙:两台
各营业部:
CISCO2821 路由器: 一台
ASA 5510 防火墙: 一台
三层交换机:CISCO3650 两台
广域网方案采用集中式网络拓扑结构,主要由三部分组成:证券公司总部和营业部,广域网连接方式为证券公司各地营业部均通过租用电信和网通公司的广域网专线路直接连接到这个证券公司的总部,并且通过internet与证券公司的总部建立VPN隧道作为备份链路;各地营业部和证券公司总部同样通过以上三种方式与灾难备份中心建立广域网连接;证券公司总部和交易所及灾难备份中心的报盘系统采用天地互备的连接方式。
考虑到证券业务数据的重要性,我们在进行广域网设计时必须充分考虑到广域网线路和设备的冗余备份和自动恢复的功能,因此我们建议有条件的证券公司的线路的选择上可以采用以下方式:分别选择网通2Mbps SDH专线和电信2Mbps SDH作为营业部到总部到防灾备份中心的主干线路;同时也用此方式作为总部到防灾中心的主干链路。选择internet建立VPN(IPSEC)作为备份链路作为三地的冗余互备链路。平时采用当SDH主干出现故障时,路由器会通过动态路由自动选用VPN备份线路;从而最大限度保证广域网连接的高可靠性。
在证券公司总部,配置有二台高性能的Cisco 7507路由器和;两台ASA5540安全网关,其中的两台Cisco 7507路由器作为广域网主干路由器分别接运营商网通和电信,每台Cisco 7500配置有OC3 STM接口模块可以提供155Mbps或N*2Mbps的方式提供各营业部2M E1线路的接入;另外一台安全网关与internet连接可建立一个或多个端到端的vpn隧道与营业部和防灾备份中心建立冗余备份链路。为保证设备的高可靠性,证券公司总部主交换机采用两台catalyst5406双电源配置模式做冗余备份。Cisco ASA5540安全访问网关主要用于提供VPN终结功能,它区别于其它安全网关的最大特点是:新一代的UTM产品,提供加速和扩展模块功能。
我们建议在每个营业部配置一台CiscoISR路由器和ASA安全网关以连接证券公司总部和防灾备份中心。 Cisco ISR系列集成多业务路由器,不仅支持多种广域网接口,让分支机构和总部的网络连接畅通无阻,而且内置IOS防火墙,内置IPS入侵检测系统,具有动态多点VPN功能,一举解决了分支机构网络安全的后顾之忧。同时ISR2800/3800系列集成多业务路由器能够将语音功能直接嵌入到路由器中,支持IP电话、电话会议、语音网关、语音留言和电话总机等高级语音服务,还可以利用思科CCME/SRST技术,实现分支机构和总部网络中断时本地电话系统继续工作。
在广域网环境中,带宽优化不仅直接节省开支,同时又能增强网络性能。思科的方案中几种典型带宽优化技术包括IP组内广播技术、队列技术、压缩技术等。组内广播是有选择地将数据送到指定的一组节点上去,其它节点不会接收到这组数据。它消除数据冗余,减少服务器的CPU负载,并有效地控制了网络流量,使数据传递效率和质量达到最佳状态。队列技术是路由器所支持的一项用于提高服务质量的技术。它改变了传统的数据处理所依据的先进先出的原则,使部分数据得以优先通过。压缩技术是节省广域网带宽的一种较为直接的方式,它将原来较大的数据包经特定计算后转换成占字节数较少的数据,使数据流占用的带宽成比例下降,因而能提高链路的传输效率。
综上,为证券行业集中交易系统的广域网的端到端的统一的多业务综合网络解决方案,这套解决方案最突出的特点是高可靠性、高性能、高安全性和容易管理。
证券行业集中交易系统广域网解决方案
随着证券公司的合并和增资扩股的不断进行,中国证券公司正向集约化、规模化方向发展。作为支撑业务运转的基础平台,证券信息系统同样面临着变革和创新,具体表现为对以总部为核心的集中式交易系统的需求量越来越大。
----营业部网络实现了各证券营业部的基本工作职能,它侧重于证券营业部本地局域网建设,其通信服务功能模块只起到了辅助作用,仅对数据量要求不高的Internet访问和少量远程大户提供广域网支持。
----利用集中式交易系统, 具有相当规模的证券公司将远距离控制多个营业部和为更多远程大户提供服务,相应业务范围和工作模式都会有很大改变,因此需要一个强有力的网络解决方案来支撑证券业务集中业务。
----考虑到证券业务数据的重要性,为了保证多项证券业务的顺利进行, 证券用户需要一套高度稳定可靠,处理能力强大,高安全性和可管理的,并且能够兼容原有网络的平台, 具体的说应该具有以下特点:
高可靠, 高智能:由于在现有网络上运行的既有实时交易数据, 又有网上交易数据,还有办公自动化, IP话音、E-Learning 和视频会议等重要数据,这些数据的高可靠传输将是多项网络业务正常运行的必要保证。这就要求我们必须拥有高可靠,智能化的网络。Cisco 将通过业界领先的链路冗余,路由热备份负载均衡(HSRP/GLBP)及拨号备份等领先技术提供高可靠高智能的网络系统;
更高的性能:Cisco 具有从低端到高端的业界最完整的产品线,在数据的转发能力、高密度的端口密度、多样的物理或协议的兼容性方面,Cisco都处于绝对领先的地位,而且在新应用的研发方面,Cisco 开发出丰富的基于IP 的数据、语音和视频的综合应用,利用统一的、强大的IOS平台加以实现,并通过业界最完善的服务质量控制(QoS)特性在保证高性能的同时更进一步保证关键和实时的证券业务的应用;
更高的安全性:由于证券网络上传递的数据可能包含的是资金,账号,密码等重要信息,如何保证这些信息安全可靠地在网络上是一个不容忽视的问题。思科全面的网络安全技术如:防火墙、虚拟专网VPN、入侵检测,网络弱点扫描,AAA认证,访问控制列表Access List,数据加密等技术,将尽最大可能地保证证券数据在网络上传输的安全性;
· 更好的可管理性:作为一套考虑完善、可靠性要求极高的系统,网络管理是网络设计必不可少的考虑因素之一,从设备本身操作系统所具备的一些网管功能如CVSM,到简单的网络管理工具如Cisco Works Windows,甚而功能强大的大型管理系统如Cisco Works 2000,用户可根据自身的实际网络应用,循序渐进的实现全面网络管理功能。
集中交易系统广域网网络拓扑
本方案中用到的主要网络产品为:
证券公司总部:
Cisco 7507路由器: 两台
Cisco catalyst4506核心交换机 : 两台
ASA5540 防火墙:两台
各营业部:
CISCO2821 路由器: 一台
ASA 5510 防火墙: 一台
三层交换机:CISCO3650 两台
广域网方案采用集中式网络拓扑结构,主要由三部分组成:证券公司总部和营业部,广域网连接方式为证券公司各地营业部均通过租用电信和网通公司的广域网专线路直接连接到这个证券公司的总部,并且通过internet与证券公司的总部建立VPN隧道作为备份链路;各地营业部和证券公司总部同样通过以上三种方式与灾难备份中心建立广域网连接;证券公司总部和交易所及灾难备份中心的报盘系统采用天地互备的连接方式。
考虑到证券业务数据的重要性,我们在进行广域网设计时必须充分考虑到广域网线路和设备的冗余备份和自动恢复的功能,因此我们建议有条件的证券公司的线路的选择上可以采用以下方式:分别选择网通2Mbps SDH专线和电信2Mbps SDH作为营业部到总部到防灾备份中心的主干线路;同时也用此方式作为总部到防灾中心的主干链路。选择internet建立VPN(IPSEC)作为备份链路作为三地的冗余互备链路。平时采用当SDH主干出现故障时,路由器会通过动态路由自动选用VPN备份线路;从而最大限度保证广域网连接的高可靠性。
在证券公司总部,配置有二台高性能的Cisco 7507路由器和;两台ASA5540安全网关,其中的两台Cisco 7507路由器作为广域网主干路由器分别接运营商网通和电信,每台Cisco 7500配置有OC3 STM接口模块可以提供155Mbps或N*2Mbps的方式提供各营业部2M E1线路的接入;另外一台安全网关与internet连接可建立一个或多个端到端的vpn隧道与营业部和防灾备份中心建立冗余备份链路。为保证设备的高可靠性,证券公司总部主交换机采用两台catalyst5406双电源配置模式做冗余备份。Cisco ASA5540安全访问网关主要用于提供VPN终结功能,它区别于其它安全网关的最大特点是:新一代的UTM产品,提供加速和扩展模块功能。
我们建议在每个营业部配置一台CiscoISR路由器和ASA安全网关以连接证券公司总部和防灾备份中心。 Cisco ISR系列集成多业务路由器,不仅支持多种广域网接口,让分支机构和总部的网络连接畅通无阻,而且内置IOS防火墙,内置IPS入侵检测系统,具有动态多点VPN功能,一举解决了分支机构网络安全的后顾之忧。同时ISR2800/3800系列集成多业务路由器能够将语音功能直接嵌入到路由器中,支持IP电话、电话会议、语音网关、语音留言和电话总机等高级语音服务,还可以利用思科CCME/SRST技术,实现分支机构和总部网络中断时本地电话系统继续工作。
在广域网环境中,带宽优化不仅直接节省开支,同时又能增强网络性能。思科的方案中几种典型带宽优化技术包括IP组内广播技术、队列技术、压缩技术等。组内广播是有选择地将数据送到指定的一组节点上去,其它节点不会接收到这组数据。它消除数据冗余,减少服务器的CPU负载,并有效地控制了网络流量,使数据传递效率和质量达到最佳状态。队列技术是路由器所支持的一项用于提高服务质量的技术。它改变了传统的数据处理所依据的先进先出的原则,使部分数据得以优先通过。压缩技术是节省广域网带宽的一种较为直接的方式,它将原来较大的数据包经特定计算后转换成占字节数较少的数据,使数据流占用的带宽成比例下降,因而能提高链路的传输效率。
综上,为证券行业集中交易系统的广域网的端到端的统一的多业务综合网络解决方案,这套解决方案最突出的特点是高可靠性、高性能、高安全性和容易管理。
