1、第一部分 網絡解決方案1一、前言1.二、需求分析2.1、建設背景2.2、系統需求 三、網絡系統設計 1、系統設計目標 2、系統設計原則3.3、系統總體設計34、網絡平臺詳細設計45、 服務器系統詳細設計 1. 36、操作系統平臺選擇 1四、安全體系設計 11 、主機安全 2、數據安全 3、網絡安全 4五、工程實施2.81、工程實施成功的要素 282、工程管理組織303、工程實施步驟 3.14、工程文檔 3.2第一部分網絡解決方案一、前言隨著XX證券公司自身業務規模的不斷擴大，為了更好的對廣大股民提供服 務，XX證券計劃對公司柳州營業部新址的證券業務進行重新規劃，并在近期建 造一個全新的電腦網絡

2、系統。北京XX軟港致力于證券行業的系統集成及軟件開發，多年在廣西區內為 各證券營業部實施系統集成工程，具有豐富的證券行業系統集成經驗，在區內 擁有百分之六十的市場占有率，聲譽卓著。隨著國際互聯網的發展，北京XX 軟港已大踏步地向網絡化發展，為券商提供全面的系統集成解決方案。為了把XX證券柳州營業部新址的計算機網絡系統建設成為一個可伸縮性 好、安全可靠、穩定先進的網絡平臺，北京XX軟港在進行方案設計時充分利用 了XX軟港在證券行業以及銀行交易系統開發和服務方面長期積累的成熟先進 技術資源，在保證系統提供咼性能、咼可用、安全交易的前提下，保證系統具有 良好的可擴展性。經過詳細的分析，XX軟港推薦X

3、X證券采用XX新世紀券商千兆解決方 案。本方案有如下特點：采用三層硬分離結構，實現內外網完全隔離，網絡千兆主干冗余，百兆上聯 冗余，百兆全交換到桌面，不存在單點故障，保證網絡不會因為某個設備故 障而導致整個網絡崩潰。采用先進NHAS系統(Novell HA Serve),通過使用高性能的磁盤陣列柜，提高了 Novell行情服務器的可靠性和可用性，保障證券Novell服務器能7x24 小時不間斷地高速運作。采用先進的LifeKeep技術(NCR LifeKeep)，通過使用高性能的磁盤陣列柜， 提高了交易服務器的可靠性和可用性，保障證券交易服務器能7x24小時不間斷地高速運作。工作站采用Inte

4、l Pro/100 S可管理網卡，硬件級支持DES加密，底層完成保 護在局域網中傳輸的數據，并支持遠程喚醒。下面，我們就對這個解決方案做詳盡的闡述。二、需求分析1、建設背景XX證券公司在近期將柳州營業部搬遷至新址， 同時為了滿足不斷增長的業 務，需要建立一個全新的高效的計算機網絡系統，以增強自身的競爭能力。這個網絡系統不僅是為證券交易業務提供一個強大穩定的平臺， 具備行情發 布和柜臺交易功能，而且還能提供辦公自動化功能，提高XX證券公司的辦公效 率。網絡系統必須是高效、安全的，還應該具備很好的擴展性。2、系統需求網絡主干要求達到千兆位帶寬，桌面接入要求達到百兆位帶寬；網絡結構要求做到完全冗余，

5、不存在單點故障，能不間斷運作；網絡系統要求至少提供1000個信息點的接入能力；主機系統能夠滿足目前以及未來的應用需要，具備高可靠性和高擴展性。三、網絡系統設計1、系統設計目標1）為營業部中各個部門的證券交易業務以及辦公自動化業務一個安全穩定可靠的運行控制和集成管理核心網絡環境，為所有的信息點提供100M全交換的桌 面接入；2）提供豐富的網絡服務，實現廣泛的軟件、硬件資源共享，避免重復投資，發揮系統最大效益；3）主機系統應具有高度的可靠性，能7x24小時不間斷工作，并有容錯措施；還 應具備很高的安全性，以保證券商網絡中機密數據的合法訪問；具有廣泛的 軟件支持，軟件兼容性好，并支持多種傳輸協議；4

6、）主機系統應享有較好的性價比和較低的總擁有成本，并具有良好的向后擴展 能力和一定的先進性；考慮到券商技術力量的限制，主機系統應易于使用和維護；2、系統設計原則本網絡系統作為XX證券業務的核心基礎，應充分利用先進技術，通過組織 和利用系統資源，以合理的代價，為用戶提供安全、可靠、有效、充分、友好的 服務。為了滿足XX證券的業務對網絡系統的要求， 針對XX證券的具體需求和業 務特點，在網絡系統的構架中應遵循以下原則：1）高安全性和可靠性原則：整個系統必須具有高度的安全性、 可靠性和穩定性， 保證網絡系統能高可靠的運作。在萬一出現局部故障時應不影響網絡其它部分的 運行，并且故障便于診斷和排除。充分體

7、現計算機網絡的高可用性；2）成熟性和先進性原則：應采用被實踐證明為技術成熟且領先的技術方案，最 大限度地滿足現在業務和未來發展的需求；3）開放性和可擴展性原則：應考慮未來發展的需要，使系統與未來擴展的設備 具有互聯性和互操作性，又便于升級、換代，使整個系統可以隨著科學技術的發 展與進步，不斷得到充實、完善、改進和提高，并且能很方便地融于全球信息網 絡中；4）集成性和可管理性原則：充分考慮系統所涉及的各子系統的集成和信息共享， 保證系統總體上的先進性和合理性，采用集中管理、操作和分散控制的模式；5）經濟性原則：系統應具有較高的性能價格比。3、系統總體設計要充分考慮到系統既要高起點地滿足當前需求，

8、又要滿足將來可能的爆炸式 的增長，就必須將系統建立在一個強健的、 高度可伸縮的體系結構之上。我們建 議的就是這樣一個體系結構。我們采用分層設計方法來設計XX證券網絡系統， 其中核心網絡由主干交換 機組（核心層）和桌面接入交換機群（訪問層）、路由器（邊緣層）構成。系統總體邏輯結構如下:主服務器從服務器PC機FC機卩機根據系統設計目標的對系統規模的要求,我們對系統進行了細致的設計和論證，我們將在下面展開詳細闡述4、網絡平臺詳細設計1）網絡技術選擇采用完全交換式以太網技術完全交換式以太網技術，能有效提高整個網絡的性能和可靠性，主要表現在：1、采用完全交換式以太網技術后，任何一個點的突發性事故不會對網

9、絡中 其他部分造成影響，系統可以自動的屏蔽該點的故障，切斷虛電路。2、在目前證券行業的計算機網絡模式中，利用完全交換式以太網技術，可 以有效的屏蔽廣播包，同時可以利用交換機的背板帶寬，提高重要工作站 間的數據交換處理能力。3、 采用完全交換式以太網技術，可以利用802.X生成樹協議（SpanningTree）,對網絡進行冗余、均衡配置，提高系統的可用性和安全性。采用千兆交換式以太網技術采用千兆以太網技術千兆網絡技術已經成熟，千兆產品正在成為市場的主流。千兆網絡可以輕松解決證券公司在行情火爆和交易量大時，出現的網絡“瓶頸”問題。千兆網絡方便以后證券交易網絡的升級，可以保護證券公司投資。千兆以太網

10、技術的優勢核心設備具有更強的處理能力；可與目前的以太網（10M、快速以太網（100M設備無縫連接；利用現有的以太網知識就可以管理、監視和維護千兆以太網；千兆以太網技術是組建網絡主干的核心技術；基于RSVP和IEEE802.1Q/p標準實現CoS從而提供不同的服務等級。采用千兆銅纜以太網技術千兆銅纜技術能在普通雙絞線實現千兆速度的數據傳輸。千兆銅纜設備可實現百兆和千兆的自適應，實現與原有的快速以太網設備無縫連接，保護投資。千兆銅纜設備與千兆光纖設備相比具有更高的性價比。網絡設備冗余與容錯網絡系統的可靠性對于證券公司來說至關重要， 甚至高于對性能的要求。網 絡可靠性可采用冗余的網絡互連結構和故障迅

11、速恢復技術來實現。 要實現網絡的 可靠性，消除交換機的單點故障，必須采用硬件上的冗余，主要包括主干交換機 冗余、二級交換機上行鏈路冗余和服務器網卡冗余。主干交換機冗余可采用雙主干交換機形式兩臺交換機相互冗余形式或一臺主交換機與一臺備用交換機相結合形式。通過 GEC(Giga Ethernet Cha nnel) 技術還可實現負載均衡。二級交換機上行鏈路冗余通過Spanning Tree Protocol生成樹協議，可采用光纖或銅纜作 為上行冗余鏈路。服務器網卡容錯在服務器上安裝兩塊服務器網卡，分別連接兩臺主干交換機，形成服 務器與主干交換機之間連接的冗余，實現容錯功能。通過以幾方面的論述可以看

12、出：我們的方案能夠保證網絡的可靠性， 做到中 心交換機的故障不會導致整個網絡癱瘓， 并提供最快速的故障恢復方案，從根本 上消除證券公司面臨的風險。2) 網絡設備廠商選擇目前能夠提供網絡產品的廠商很多，Cisco、3Com和Intel等公司都有從路 由器到交換機的全線網絡產品，用戶選擇余地較大。然而這些公司的技術、產品、 服務與價格存在一些差異，故網絡廠商的選擇時，應認真分析這些公司的特點， 并結合所建系統的具體特點。Cisco在高端產品市場優勢明顯，但價位較高。但其在網絡解決方案方面， 具有較高的領先性和良好的性價比。3Com在高中低端的網絡產品市場，尤其在桌面市場占據一定優勢。In tel公

13、司的近年來在網絡方面發展很快，尤其在千兆銅纜產品方面，其 在服務器網卡市場占有絕對的優勢。 特別是其千兆服務器網卡，目前尚 未有同類產品可以匹敵。這幾個公司各有其特點，根據XX證券公司網絡系統的具體特征， 推薦選用 Cisco公司交換機產品、選用In tel公司的網卡來構建網絡系統。3) 網絡拓撲結構陸眼SNetWaie 4.11行惜服耀PtetWare 4.11交易眼務器CcwaqP如噸兆心蟲嘰顧:亡題唸開蠶気Witidows2KCompaq ML570i UOLElylau曲戸.ilCompaqADSLCisco 40D610D0M光殲冗余7 |_吸 4006 Ciiiu 294SUL /

14、 10DRTffi3 ;蕊 :DOOM光殲冗余 | FECCisco 254SGCisco 2924Cisco 2P24Cisra 292U機房設備機房設備V/ ；豊皐專外網內網-100DM光野DODM光外備財HOM*我們在這里為XX證券設計的網絡方案，其網絡拓撲圖如下:4）網絡平臺設計詳述網絡平臺采用兩臺Cisco 4006千兆企業級交換機作為網絡主干交換機，兩臺 480T千兆交換機之間采用 GEC光纖通道實現互為冗余容錯，同時還能實現負載 均衡，從而保證主干網絡的可靠性和穩定性以及提高性能，杜絕網絡單點故障。內網的主干交換機采用兩臺 Cisco 2948G企業級交換機通過多個百兆端口實 現

15、FEC通道來互為冗余備份，同時還能實現負載均衡。行情服務器通過安裝的兩塊 Intel Pro/1000 Gigabit Server Adapter （千兆光纖 網卡）進行AFT容錯，實現網卡互為冗余備份，防止因網卡出錯而導致系統工 作中斷。而且每臺服務器都采用冗余光纖鏈路分別連接到外網的兩臺4006主干交換機的千兆光纖口上。交易服務器也采用兩塊In tel Pro/1000 Gigabit ServerAdapter （千兆光纖網卡）AFT容錯方式，并通過冗余光纖鏈路分別連接到內網 的兩臺2948G主交換機的GBIC千兆光纖口上。對于桌面接入交換機（二級交換機），我們采用Cisco 2924

16、獨立式百兆交換機，為桌面PC提供100M全交換接入。而且每臺Cisco 2924都采用百兆冗余銅 纜上行鏈路分別連接到兩臺4006的百兆銅纜口上。與國際互聯網的連接通過 ADSL設備來實現，并且采用防火墻軟件抵御外 部網絡入侵。夕卜部網絡和內部網絡之間采用中間件來安全隔離，保證內部網絡數據的安全性和可靠性。5）網絡設備產品簡介Cisco Catalyst 4006Cisco Catalyst 4006能夠在一個機箱中滿足多達 240個快速以太網端口的網絡部件連接要求，背板帶寬是 60Gbps Catalyst 4006的熱插拔模塊的即插即 用交換解決方案降低了復雜性，可以簡單地支持當今網絡不斷

17、變化的桌面環境。 未來端口接口增強包括無線 PC連接、千兆銅纜連接。Catalyst 4006 結合了高 級工程技術和生產進步，以更加經濟有效的價格提供更加強大、更加可靠的企業 交換解決方案。它重新定義了新的性價比值。Catalyst 4006提供的自治愈網絡智能，足以快速恢復端口、設備及網絡故障，而沒有明顯的桌面延遲。主要優點包括：性能-提供了先進的交換解決方案，它能隨著您端口的添加而增大帶寬。領先的ASIC技術更是使Catalyst 4000系列解決方案如虎添翼，ASIC技 術提供了線速第2層和第3層10/100或千兆位交換。其中，第2層交換 由24 Gbps、18 Mpps引擎驅動，第3

18、層交換則由可伸縮的 8 Gbps、6 Mpps 引擎驅動。投資保護-靈活的模塊化體系結構對配線室中的動態桌面連接提供了經 濟高效的管理。Catalyst 4006背板進一步提供了網絡保護能力，因為它支 持60 Gbps無阻塞容量，所以這種機箱更能適應未來需要。*功能透明板卡-Catalyst 4000的結構優勢擴大了 Catalyst 4000系列板卡的 部署壽命。只要簡單地添加其它引擎模塊，如新的第3層服務模塊，Catalyst 4000系統就能方便地將所有系統端口升級到更高層的交換功能。不需要 更換現有板卡就能在系統端口上實現高層功能增強， 這在常規交換產品中 是很常見的。這樣，新的Cat

19、alyst 4006端口可以隨時用于 WAN、IP電話、 第4層到第7層Web交換。模塊化監控器引擎保護-Catalyst 4006機箱背板和監控器連接器可以支持 未來的監控器引擎升級。未來改進的可能性包括將可伸縮交換機結構容量 增加到64 Gbps、使用線速第3層和第4層交換和基于未來技術的千兆位 上行鏈路。Cisco IOS網絡服務-Catalyst 4000系列交換機提供了成熟的企業第 2層和 第3層特性，能夠有效地增強公司網絡的能力。這些特性滿足大中型企業 的高級聯網要求，因為它們的推出直接得益于多年的 Cisco客戶反饋意見。基于硬件的組播-協議獨立組播（PIM ）密集和稀疏模式、I

20、n ternet組群組 播協議（IGMP ）、以及Cisco組群組播協議（CGMP）支持基于標準的、 Cisco改進的高效多媒體聯網。共享內存體系結構，沒有線路頭阻塞-集中式低等待延遲（1.4微秒）、共 享內存交換結構提供了領先的能力，消除了所有可能的線路頭部阻塞。*桌面能夠使用千兆位能力-Catalyst 4000系列已經提供了豐富的1000Mbps千兆位和千兆位服務器交換解決方案。Catalyst 4000系統的千兆位解決方案的使用范圍可以方便地擴展到桌面。可管理性-利用每一種Catalyst 4000系列交換解決方案提供的先進的管理 能力以及每一個端口中內置的基于業界標準的管理功能，Ca

21、talyst 4000系列的控制能力和安全性都得到了加強。您可以靈活地選擇是使用基于 Web 的圖形用戶接口（ GUI）還是命令行接口（ CLI ）來完成管理任務，從而 增強了您的網絡操作能力。*降低網絡操作費用-因為Catalyst平臺、體系結構和軟件之間有更高的一 致性，所以費用得到了很大降低。另外，端到端的Cisco管理和服務也降低了網絡的總擁有成本。*保護關鍵任務應用的性能-集中式企業策略創建加上 CiscoAssure支持和 針對第2層CoS和第3層ToS的網絡服務質量，這些可共同保證您能夠 從邊緣到核心得到一致的應用性能。高可用性-Catalyst 4000系列提供了自恢復網絡智能

22、，它的速度足以從端 口、設備、鏈路上發現故障而在桌面上沒有明顯延遲。面向未來的網絡-Cisco的繼續開發和投資使Cisco Catalyst 4000系列LAN 解決方案成為一個具有戰略意義的配線室和分支機構平臺，它經歷了多年的不斷改進。Catalyst 4000系列能輕松地應對網絡發展，通過簡單地添加 更多的端口，您可以有效地提高您網絡的帶寬。另外，功能上透明的體系 結構優勢將擴大每個交換板卡的有效時間，允許您隨著您的需求而添加更高級的功能，而不需要進行徹底升級。Cisco Catalyst 2948GCatalyst 2948G為一固定配置的第二層的以太網交換機，提供48個RJ-4510/

23、100M端口和2個千兆以太網上聯端口，帶有模塊化的千兆以太網轉換 器（GBIC）端口。Catalyst 2948G支持Catalyst企業版的系統軟件。該特點不僅使其與其它Catalyst交換機具有互操作性，還是供業界最豐富的第二層的特點。 其主要支持 的軟件特點包括：* 先進擴展性（如 Fast EtherChannel, Dynamic VLAN, 802.1Q trunking）帶寬管理（QoS,協議過濾，鏈路負載平衡）* 網絡的可靠性（UplingFast, PortFast, Spanning tree*安全性（每端口的安全，驗證，IP Permit Lists）- Catalyst

24、 2948G是企業級桌面交換機，其很高的性能，可靠的軟件，高性能非 阻塞的結構為XX證券的內網提供保障。- Catalyst 2948G 具有24Gbps的帶寬，可以同時支持48個10/100和千兆口 同時以線速交換。Catalyst 2948G高性能的結構將減少擁塞和提供整個網絡的 相應時間。Catalyst 2948G支持各種容錯特點，包括一個外置的冗余電源（單獨購買） ，支持多條負載均衡的中繼(Fast EtherChanne),多個Spanning tree快速收斂的 軟件工具如PortFast和UplinkFast。廣泛的硬件和軟件的容錯工具使Catalyst2948G可以提供當今關

25、鍵任務網絡所需要的靈活的平臺和容錯特性。Cisco Catalyst 2924 XLCisco Catalyst 2924 XL交換機擁有 24 個 10Base-T 或 100Base-TX端口，背板帶寬是3.2Gbps。它還具備以下的杰出優點： 12或24個10Base-T/100Base-TX自適應端口能夠為要求苛刻的工作組和服務器提供最需要的功能，同時保留了傳統的10Base-T連接(Catalyst2912 XL 和 Catalyst 2924 XL)。24個10Base-T/100Base-TX自適應端口能夠為要求苛刻的工作組和服務 器提供最需要的功能，同時保留了傳統的10Base

26、-T連接。3.2-Gbps交換網和3Mpps的傳送速度保證了所有10Base-T/100Base-TX端 口具有最佳的性能。 100Base-T端口的全雙工功能使終端、服務器和交換機之間的帶寬可以達 到 200Mbps。 4-MB共享內存結構通過去除頭部信息阻塞現象、最大地減少數據包丟失 以及降低多點傳送和廣播傳輸的擁擠現象，保證了最高的吞吐量。快速以太通道技術實現的帶寬集合提高了容錯能力，能夠為交換機、路由 器、服務器之間的連接提供高達 800Mbps的帶寬。每個交換機可以擁有多達12個快速以太通道帶寬集合群，這使每臺Catalyst 2900 XL交換機能夠通過標準的全雙工 10/100快

27、速以太通道鏈路 將多個網絡設備聚集在一起。 CGMP使交換機能夠有選擇和動態地將IP多點傳送信息傳送到目標多媒 體終端，因而從整體上減少了網絡流量。可配置的網絡端口能夠為骨干連接提供不受限制的媒體訪問控制(MAC )地址支持能力。In tel Pro/100 S臺式機網卡英特爾？ PRO/100 S臺式機網卡是專門為服務器優化、可信賴、可管理的10/100M 網卡。主要特性針對電子商業而優化的高性能局域網安全性先進的特性緩和了服務器的瓶頸問題，同時最大程度地提高工作站的正常運行時間 英特爾singleDriver ?技術降低了網絡復雜程度 支持3DES（ 168位高強度加密）新型英特爾? PR

28、O/100 S網卡利用基于標準的安全性來保護局域網上的敏感數據，同時依然保持出色性能。英特爾? PRO/100S網卡將IPSec加密卸載與英特爾? PRO/100+網卡所具有的先進管理特性完美地結合在了一起。 英特爾？ 82594ED網絡加密協處理器-從臺式機的處理器上卸載加密工作， 最大程度地提高網絡性能，節省系統資源用于其它關鍵服務器任務。智能控制器-英特爾?自適應技術可動態調整傳輸速率以減少沖突，并且能 夠實現網卡微代碼的軟件升級。 針對 Windows*2000進行優化英特爾? PRO/100 S網卡是英特爾與微軟合作開發的產品，專門針對 Windows*2000進行精心設計,可在您的

29、網絡上實施加密,同時性能絲毫不受影響 先進的遠程管理支持WfM2.0、SNMP DMI2.0，通過Wake on LAN和板上英特爾Boot Age nt可實現遠程服務器配置可擴充的吞吐能力和高可用性總帶寬高達800Mbps使用任何英特爾服務器網卡的組合均可建立自動冗余連接。 DES和3DES加密算法使用應用最廣泛的最高級別安全性，以保護局域網 上傳輸的數據。Intel Pro/1000 F千兆光纖服務器網卡高性能千兆位服務器網卡主要特性高度集成的英特爾?控制器提供了業界領先的性能通過網卡容錯和PCL熱插拔增強了服務器的可用性自適應負載平衡和千兆位EtherChannel提供了可擴充的吞吐能力

30、，支持1000BASE-SX勺SC光纖連接器頂級千兆位網卡其它沒有一款網卡能夠提供與之相媲美的1000Mbps吞吐量。”-引自1998年8月LANQuest實驗室報告可擴充的吞吐能力和高可用性一一高達8Gbps的集合帶寬，并且可以利用任何英特爾?服務器網卡組合建立自動冗余連接。支持工業標準-802.3Z千兆位以太網-用于高級通信管理的802.1QVLAN和802.3x數據流控制。 廣泛的互操作性與 WindowsNT* Novell*、UNIX*和Linux*環境中的工業標準交換機兼容。在線維護能力-PCI熱插拔技術補充了網卡容錯特性，能夠在不中斷服務器運行的情況下更換故障網卡。通過遠程管理降

31、低支持成本支持聯網管理（ WfM ） 2.0、SNMP和DMI2.0。5、服務器系統詳細設計1）服務器系統要求1、服務器系統技術要求 服務器系統選用先進、實用、穩定、可靠的系統，具有開放性結構，且服務器系統選型時應要考慮備份機制和容錯功能。2、服務器系統安全性要求 建立企業內部訪問的安全控制機制，提高服務器系統數據的安全性和訪問的安全性。3、服務器系統設備要求 服務器系統應采用國際知名品牌產品，具有較高的 性價比，可擴展、易升級，應操作簡便、易于管理。2）服務器系統設計原則服務器系統設計是系統建設的關鍵， 其直接影響投資規模和系統成敗，因此 要認真作好這項工作。服務器系統設計基于以下原則：一、

32、高可靠性由于證券服務器系統可靠性直接關系到證券業務的正常進行，只有可靠 性高的產品才能做到無間斷運行。服務器系統必須具有高安全性，能夠有效 的防止黑客的入侵。二、高可用性由于證券業務系統需要高可用性的特點，在設計時需要考慮采用，可利用雙機容錯系統提高系統的可用性，減少宕機時間。三、高擴展性在投資范圍內，追求最大的可擴展性，為以后擴展升級打下基礎，保護客戶投資。四、高性價比在有限的預算前提下，選用性能價格比較高的產品，用最少的投資獲得 最大的效益。五、高質量和高效的售后服苻國際著名服務器廠商的產品無論在質量上、服務上，還是在技術支持上都有卓著的聲譽，產品的持續支持能力也能得到保證。3）服務器系統

33、設計服務器系統是在整個網絡的運行以及各種網絡應用服務中是起著關鍵的作用。對網絡性能的實現和今后網絡的升級都十分重要。目前在證券行業中服務器大都是采用 COMPAQ服務器，而且COMPAQ服 務器在多年來的證券應用中口碑很好。（1）行情服務器設計考慮到有近1000個工作站，而且工作站需要做成無盤 WIN98工作站，服務 器的負載比較大，因此Novell行情服務器建議采用一臺康柏 ProLiant 8000做主 服務器，用另一臺康柏ProLiant 8000做備份服務器。為了提高整個Novell Netware 系統可靠性和穩定性，采用NOVELL HA SERVER技術，并為兩臺服務器配備先 進

34、的DFT-5008磁盤陣列柜系統，保證整個網絡的可靠性和穩定性。Novell HAServer是Novell公司的獨立版權產品，它集合了以往 StandBy、 SFTIII等產品的全部優點，專為目前 Client/Server局域網提供的一種通用的高 可用性、高擴充性的解決方案，它使用工業標準化商品部件，通過一條共享SCSI 總線或光纖通道，將局域網中的兩臺Novell服務器連接，從而支持關鍵業務環境、支持不斷增長的存儲需求，最大程度地降低服務器的down機時間，具備十分優異的容錯性能。客戶機在訪問所有的群集資源，諸如共享磁盤，文件共享和數據庫應用程序 時，都不必知道群集系統中單一服務器的名稱

35、。當一臺服務器系統發生故障時， 另一臺服務器會立即承擔發生故障服務器的工作，將共享卷、NDS權限、Netware用戶數和文件共享等進行遷移，從而保證整個群集系統作業運行的連續性。在NHAS系統中，我們選用DFT-5008U2磁盤陣列柜配備4個18.2Gb Wide Ultra3 SCSI 硬盤（COMPAQ 10K），實現 RAID 5+1 模式。為兩臺 NOVELL 服務器提供高性能、不間斷的共享磁盤服務。HA Server的技術要點主從服務器的硬件配置不必完全一致，可充分利用原有設備。Novell HA Server提供兩種切換機制，失效切換和手工切換。失效 切換確保服務器失效時全自動實施

36、切換，手工切換和系統暫停機 制，方便正常系統維護工作。支持多條冗余的心跳路徑以有效避免系統誤切換，還可以通過冗余 的數據通道來提供更高水平的可用性。支持工業化標準的互連（ODI、IP compliant ）、對稱多處理器（SMP）。 支持使用共享SCSI技術或FiberChannel光纖通道技術的磁盤陣 列柜。HAServer配置靈活、使用簡單、維護方便。HAServer支持多臺服務器群集，支持分布式應用。HA Server所帶來的好處使用磁盤陣列柜的Novell HA Server群集系統，一方面能大大提高硬盤的讀 寫速度，明顯改善諸如證券行業中行情分析軟件的反應速度， 還可以將兩套分析 軟

37、件分別在兩臺服務器上運行以有效均衡服務器負載； 另一方面，由于使用硬件 實施系統的容錯，因此可大大提高這個系統的安全容錯級別。在今天，“數據與主機電氣分離”觀念已經迅速成為當前IT技術的新潮流。 使用磁盤陣列柜的Novell HA Server群集系統為最終用戶提供了如下的益處：高度可用性，確保作業的連續性Novell HA Server群集系統中某個服務器由于硬件或軟件失敗而導致崩潰， 群集系統中的備用服務器可以予以接管，以保證處理過程的繼續，群集也可以對某些單獨組件，如磁盤或適配器，或是單獨的應用程序的失敗作出反應，通過隔離失敗節點的錯誤，其它節點可以繼續運行，保證整個群集系統的功能。速度

38、上的明顯提升Novell HA Server群集系統中磁盤陣列柜基于 80Mbyte/S的Ultra Wide寬 帶SCSI技術或基于100Mbyte/S的光纖通道技術，并且陣列柜內部配有CPU及大冗量緩存做讀寫預處理（與以太網絡相比，100Base-T以太網只相當于12.5Mbyte/S 帶寬 ）。以上結構使得陣列 數據讀寫速度遠高于主機內部硬盤，而且不需主機CPU分時，又進一步提高了主機系統的處理速度，使得傳統的外存 I/O瓶頸大改善，這種Novell HA Server 群集系統較之早期的純軟件網絡備份容錯及主機內部加裝陣列卡的方式在速度 上有了質的飛躍。提升數據的安全容錯級別至 99.

39、99%Novell HA Server群集系統中的磁盤陣列柜配置主要包括：控制器（其上 自帶CPU、緩存）、電源、風扇、磁盤存儲子系統，其使用全硬件冗余方式保證 數據的安全性，從而消除了 Novell HA Server群集系統的單點故障。雙通道雙路在線控制器磁盤陣列柜一般可以配置2個控制器，作為冗余，而且每個控制器使用2個獨立的主機通道、2個獨立的磁盤通道，除了提升磁盤陣列的I/O外，也保證了工作控制器或控制器上的某一個通道出現故障時，備用控 制器或控制器通道的在線熱切換，加強了系統的高可用性支持。兩組熱插拔容錯電源，雙散熱風扇冗余電源保證當一個電源及電源通路出現故障時， RAID Arra

40、y的可用 性，冗余的風扇功能使得當一個風扇出現故障時 RAID Array的散熱仍 然得到保障。支持RAID 0，1，0+1，3，5校驗，并支持熱插拔和熱備件的自動故障 恢復工能。RAID級別保證任意硬盤故障時其上數據不會丟失，而且許可使用一塊 硬盤作為陣列上RAID集的備用盤，當RAID集中的任一硬盤出現故障 時，備用硬盤可以自動替換故障硬盤。極大的降低了系統的風險并減輕 維護人員的負擔。獨立的用于電池或UPS的電源接口。磁盤陣列柜一般都配有電池，用來保護系統掉電時對磁盤陣列緩存的保 護，以實現數據的完整性，另外，磁盤陣列柜還具有內部 UPS接口， 以實現對控制器及緩存的更充分的保護。雙 A

41、ctive，服務器負載均衡應用軟件可與群集軟件協同工作以平衡群集系統中各服務器的工作負載。例如，行情服務器可以并行工作在多個節點上，同時從共享磁盤中獲取數據，從而充分發揮容錯系統中各個結點的資源，實現服務器負載均衡和緩解行情服務器 的網絡壓力，從而提高客戶端的訪問速度。（2）交易服務器設計行情服務器也建議采用一臺康柏 ProLiant ML570做主服務器，用另一臺康 柏ProLiant ML570做備份服務器。由于交易服務器在整個證券業務中是很重要 的,為了保證交易服務器的可靠性和冗余熱備份，我們采用NCR LifeKeep技術，通過心跳線使兩臺服務器互為冗余備份，保證整個交易系統的可靠性和

42、穩定性。LifeKeeper For Windows NT 軟件是NCR公司推出的全球第一套基于 NT 操作系統，并支持16臺服務器集群的容錯軟件，也是市場上第一套可提供 OSI 七層參考模型的高可用性軟件，自九十年代出推出以來，備受用戶稱譽。美國NCR LifeKeeper可以廣泛應用于證券、金融、政府、交通、郵電、醫 院、稅收、公安、民航、軍工、商業等采用Windows NT Server平臺的行業，LifeKeeper能滿足這些行業作業系統數據平臺高度穩定、安全可靠的應用需求。規劃說明：雙（或多）主機通過一條 TCP/IP網絡線以及一條RS232電纜線相連。雙（或多）主機通過一條 SCS

43、I電纜線與磁盤陣列柜相連。主服務器故障后，備份服務器自動接管主服務器的作業和數據。備份服務器同時自動接管主服務器的主機名（Host）及網絡地址（IP） 主服務器修復好以后，再將備份服務器上的作業和數據切換到主服務器。建議主、備份服務器內存大小基本一致。（3）報盤服務器設計考慮到報盤服務器在證券交易業務中的重要性，我們不推薦采用普通服務器（例如普通PC機），建議采用康柏ML 530服務器作為報盤服務器，以保證穩定 性，確保報盤工作穩定可靠。（4）中間件服務器設計由于中間件服務器作為連接外、內網的網關，處于一個非常重要的位置，所 以我們不推薦采用普通服務器，應該采用專業服務器，確保內外網通訊穩定可

44、靠。 為了保護XX證券原有的設備投資，我們建議將XX證券原有的康柏Prolia nt7000服務器作為中間件服務器，并給其配置雙網卡。4）主機系統產品簡介Compaq Prolia nt 8000康柏ProLiant 8000,具有大量內部存儲和容錯性能的超大容量 8路服務器 保持業界領先地位意味著您需要盡可能地實現各種優勢， 以提高企業的計算 能力并維護您寶貴的IT資源隨著新型應用不斷出現、對性能的要求日益苛刻、數據和用戶越來越多-您的IT系統始終壓力重重。現在，康柏 ProLiant 8000服務器將為您提 供取得成功所需的強勁性能標準配置：雙 PIII Xeon 700Mhz CPU （

45、1M 二級高速緩存）1Gb ECC內存（可擴至8Gb）18.2Gb Wide Ultra2 SCSI硬盤（一萬轉）12個1英寸熱插拔 Wide Ultra2 SCSI 驅動器集成的雙通道Wide-Ultra2 SCSI適配器內置100M PCI服務器專用網卡雙冗余電源Compaq Prolia nt ML570ProLiant ML570基于 ProLiant 5500 6000 和 6500 的強大功能而構建,將最新的性能和高度可用性引入富含功能的四處理器服務器平臺中Prolia nt ML570具有卓越的可靠性和容錯能力，提供了企業級系統可用性和218.4GB 最大內置存儲器容量客戶們可以

46、依賴這款高度可管理性服務器降低擁有成本，并提供更安全、可 靠的計算環境標準配置：雙 PIII Xeon 700Mhz CPU （1M 二級高速緩存）512Mb ECC內存（可擴至8Gb）18.2Gb Wide Ultra2 SCSI 硬盤（一萬轉）12個1英寸熱插拔 Wide Ultra2 SCSI 驅動器集成的雙通道Wide-Ultra2 SCSI 適配器內置100M PCI服務器專用網卡雙冗余電源Compaq Prolia nt ML530ProLiant ML530是新一代ProLiant 3000兩路服務器，在兩路服務器中 提供了擴展性、可用性和性能的完美組合針對那些要求獲得最高的性能

47、、硬盤和內存擴展性來運行需要雙路處理支持應用的公司，這款服務器提供了卓越的價值標準配置：PIII Xeon 933Mhz CPU （256K 二級高速緩存）512Mb ECC內存（可擴至8Gb）18.2 Gb Wide Ultra2 SCSI 硬盤（一萬轉）12個1英寸熱插拔 Wide Ultra2 SCSI 驅動器集成的雙通道Wide-Ultra2 SCSI 適配器內置100M PCI服務器專用網卡雙冗余電源DFT-5008U2磁盤陣列柜DFT-5008U2: 64位 PowerPC RISC CPU, 64位 SCSI總線,速率可達 80-160MB/SEC,單機容量可達TBG, 300w

48、*2冗余雙電源，雙風扇，塔式/5U標準工業機箱，它擁有 以下特性：高數據傳輸性能DFT-5008U2支持并發訪問請求，能完成從主機到硬盤的高速并行數據傳輸。 為了達到最高的數據吞吐量,陣列內部所有環節均采用LVD接口 ,包括并發I/O， 命令隊列特性等都已在 DFT-5008U2控制器內部完成控制器采用高性能的64 位PowerPC RISC CPU以使I/O任務智能化.高速緩存可以完成智能的read-ahead 和write-back.有了高性能的設計,DFT-5008U2提供了一個基于SCSI計算機的 廣泛存儲方案，以應用單用戶工作站、高端PC服務器、UNIX中央主機等環境當中。高數據容錯

49、能力DFT-5008U2 提供 RAID 0、1(0+1), 3、5,3+spare 5+spare 可供選擇.這些RAID功能給用戶數據的高可靠性提供了保證。例如自動偵測失效盤，熱備用硬盤，壞盤數據重建，在線更換硬盤，后臺自動重建等高擴充性和靈活性利用擴展模塊，DFT-5008U2可獲得更多的SCSI通道。最多可達8個SCSI通 道。DFT-5008U2支持8個邏輯硬盤，每個邏輯硬盤支持 8個分區。每個SCSI 通道，可定義主機或設備通道，實現多主機連接。當讀寫硬盤的時候，DFT-5008U2 能夠校驗處理壞扇區，從同一邏輯盤中的其他硬盤獲的壞盤數據， 并對壞扇區重置。所有這些對主機來說，都

50、是透明的DFT-5000控制器主機/硬盤接口2個主機通道，2個磁盤通道(可擴充為6個)RAID Level0,1(0+1),3,5,30,50,JB0D基本的SCSI通道2-8 個 Ultra2 Wide or Ultra3 Wide SCSI 通道硬盤位6,8,12,16四種標準配置高速緩存32M to 1Gbytes，標準配置 64M后備電池可選,DFT-9070c電源300W*2 /400W*2 (可選)容錯總線(falut bus)支持(DFT專有)國際認證FCC,CE,Y2KMTBF500000尺寸17.5(H) x 8.75 (W) x 21.5(D)26.75(H) x 9.75

51、 (W) x 25.5 (D)6、操作系統平臺選擇網絡操作系統是網絡軟件系統的核心。因此選擇網絡操作系統成為組網過程 中十分重要的一步。在選擇好主機系統硬件之后，還必須選擇能充分發揮網絡整 體性能的操作系統。目前在證券行業中被廣泛采用的操作系統主要有兩種：NOVELL公司的NETWARE操作系統和Microsoft公司WINDOWS NT操作系統。不同的網絡操 作系統建立在不同的網絡體系基礎之上的， WINDOWS NT網絡操作系統是建立 在TCP/IP網絡體系之上的，而 NETWARE網絡操作系統則主要是以 NOVELL IPX/SPX為基礎。目前在證券行業中的行情服務器大都是采用 NETW

52、ARE操作系統，它采用 的一系列先進技術以保證操作系統的整體性能具有較高的水平， 并且可靠性和安 全性都比較不錯。因此我們采用 NETWARE 4.11作為行情服務器的網絡操作系 統。而WINDOWS NT操作系統是一種純32位的網絡操作操作系統，它是一種 面向分布式圖形應用程序的操作平臺，主要是作為數據庫以及交易系統的底層平 臺。因此在交易服務器中選用的是 Microsoft的WINDOWS NT SERVER 網絡操 作系統。四、安全體系設計新世紀的商務運作與電腦網絡息息相關，成功的商業機構必須有快速可靠的網絡。對證券行業而言，計算機網絡業已成為證券營業部業務運作不可缺少 的工具。與此同時

53、，網絡安全也成為刻不容緩急待解決的問題。可以說，我們今天所面對的安全問題已不再局限于系統本身。對外，我們 將面對一群具有高知慧、高能力、高手段而且對網絡系統和編程語言都有著深 刻了解的“黑客”，他們無時無刻不在窺探著你的網絡，你卻沒有絲毫的覺察。 他們能在你的眼皮底下偷走或修改你的數據，能讓你在正常操作中丟失你的管 理員密碼，能刪掉你的重要數據，更能讓你的服務器在開市時宕機;對內，系統則會時刻受到在你身邊而不為你察覺的內網用戶的攻擊威脅。面對這些乍聽起來讓人覺得很“遙遠”但的確在悄悄發生的事實，您是否已做好準備了呢？安全是在網絡建設中需要認真分析、綜合考慮的關鍵問題。下面我們將從三 個方面來討

54、論保障網絡安全的若干措施。1、主機安全采用網段分離技術，把網絡上相互間沒有直接關系的系統主機分布在不同的 網段，由于各網段間不能直接互訪，從而減少各系統被正面攻擊的機會。 網段分 離可以采用物理方式以及邏輯方式來實現。在物理上，我們將網絡分為行情發布 子網（外網）和交易處理子網（內網）兩網段；在邏輯上運用虛擬專用網技術（VLAN，將應用服務器和工作站根據具體情況分別放在不同的網段和虛擬子網 上。另外，在安全方面有一個最基本的原則：系統的安全性與它被暴露的程度成 反比。因此，建議將行情發布的服務器與交易處理服務器隔離，由于將數據庫和交易處理主機封閉在系統內部，增加了系統的安全性。同時使用中間件技

55、術，不 允許直接訪問業務主機，所有的應用連接都通過代理來完成， 這不僅僅增強了業 務主機的隱蔽性，也提高了業務處理效率。2、數據安全在網絡上運行的軟件需要通過網絡收發數據，要確保數據安全就必須采用一 些安全保障方式。1）在工作站上采用支持IPSec加密能力的網卡網絡內部人員的安全破壞行為超過了網絡外部入侵者（兩者的比例分別為55： 30）。像防火墻這樣的傳統局域網安全保護措施可以保護網絡的前門”。但是，根據FBI的調查，大多數安全破壞行為發生在局域網內部，未經授權的訪問、欺詐、竊取和其它違反使用規章的行為。英特爾？ PRO/100 S網卡通過提供IPSec （互聯網協議安全）加密能力，可 幫助

56、保護局域網上的敏感數據。IPSec是一種能夠運行于任何 TCP/IP網絡（包括企業級局域網）之上的工業標準。IPSec具有以下能力：對用戶進行身份驗證，幫助防止未經授權的數據訪問。防止惡意的攻擊和篡改，有助于保持傳輸過程的數據完整性。對數據包進行加密，有助于確保數據的機密性。但是，加密和解密數據的過程會降低服務器的運行速度，這就需要平衡安全性和運行速度。英特爾與微軟合作，開發了一款能夠同時為您帶來安全性和高性能的解決方案：即In telPro/100 S安全網卡，它可以將加密解密過程卸載至網卡板上的英特爾？ 82594ED網絡加密協處理器，從而將CPU從這項工作中解脫出來，并最終達到最佳的運行速度。IPSec基于標 準的安全性與英特爾？服務器網卡業界領先的高性能相結合，是創建可信賴的安