2002年是中国证券业持续发展和变革的一年,随着证券公司的合并和增资扩股的不断进行,中国证券公司正向集约化、规模化方向发展。作为支撑业务运转的基础平台,证券信息系统同样面临着变革和创新,具体表现为对以总部为核心的集中式交易系统的需求量越来越大。
营业部网络实现了各证券营业部的基本工作职能,它侧重于证券营业部本地局域网建设,其通信服务功能模块只起到了辅助作用,仅对数据量要求不高的Internet访问和少量远程大户提供广域网支持。
利用集中式交易系统,具有相当规模的证券公司将远距离控制多个营业部和为更多远程大户提供服务,相应业务范围和工作模式都会有很大转变,因此需要一个强有力的网络解决方案来支撑证券集中业务。
网络平台的特点
考虑到证券行业数据的重要性,为了保证多项证券业务的顺利进行,保证网络的不间断运行,提供强大的处理能力和良好的可治理性,此网络平台应该具有一下特点:
高可靠性--网络系统的稳定可靠是应用系统正常运行的要害保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各个系统的正常运行。
技术先进性和实用性--保证满足证券交易系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到证券公司网络应用的现状和未来发展趋势。
高性能--承载网络性能是网络通讯系统良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为证券公司各项业务开展的瓶颈。
标准开放性--支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于保证与其它网络(如公共数据网、金融网络、行内其它网络)之间的平滑连接互通,以及将来网络的扩展。
灵活性及可扩展性--根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和设备的调整。
可治理性--对网络实行集中监测、分权治理,并统一分配带宽资源。选用先进的网络治理平台,具有对设备、端口等的治理、流量统计分析,及可提供故障自动报警。
安全性--制订统一的骨干网安全策略,整体考虑网络平台的安全性。
证券公司网路平台解决方案介绍
1. 广域网络系统设计
图1(以Quidway系列为例)
考虑到证券网络的业务数据的重要性,广域网采用双星型广域网络拓扑结构;在广域网线路的方面,建议采用现行成本低、线路状况好的SDH传输网络。
其中一个中心是以总部中心机房为中心的星型网络:在中心机房选择Quidway NE16E,NE16E路由器的要害部件都实现冗余备份,支持在线热插拔,具有高稳定性、高可靠性和很强的处理能力,满足中心网络要求;采用通道化155M POS接口通过第一运营商SDH网络接入各个分支机构的主用N×2M,同时通过GE接口上行到网络中心。另外,在中心机房还有一个Quidway R3680模块化路由器配置低速同步串口模块,作为第三拨号备份接入,以保证某些分支机构在非常情况下仍能采用拨号的方式保持与中心网络的连接。
另一个星型网以备份机房为中心:采用与总部中心机房相同的设备要求的设计,选择Quidway NE16E,提供备份中心的高稳定性、高可靠性和高处理能力。同样采用通道化155M POS接口通过第二运营商SDH网络接入各个分支机构的备份N×2M线路;上行为GE光接口。
分支结构/营业点:采用两台Quidway系列路由器,其中R3640模块化作为主用路由器,实现N×2M的接入,主要传输优先级高的交易数据、行情数据等。R3680作为连接备份中心的N×2M接入路由器,同时也作为非常状态下的拨号连接备份路由器;另外R3680也是ip电话系统的语音网关,实现各个分支机构VOIP功能。由于语音数据实时性要求很高,而作为网络核心数据的交易数据、行情数据要求有很高的优先级,因此二者轻易发生拥塞,而通过以上分别在两条不同的物理线路上传输,就可以非常好的解决这个问题。出于对网络灾难备份的考虑,主用线路和备份线路必须租用不同运营商的SDH线路。证券公司网络与上海交易所、深圳交易所的连接也由中心机房和备份机房共同完成。中心机房分别通过地面专线和卫星线路与上交所、深交所建立连接,备份中心采用卫星线路与上交所、深交所连接。
2. 网络中心系统设计
图2(以Quidway系列为例)
在总部中心机房和备份机房分别构建完全相互冗余的数据存储网络(SAN),充分保证数据服务的不间断性。
接入层选择Quidway NE16E,中心机房与备份机房各一台,同时接入各个分支机构;通过NE16E上的GE口分别各自上行到中心机房和备份机房的核心交换机Quidway S8016上,形成交叉连接状,实现冗余备份。在中心机房的R3680路由器作为接入服务器,实现分支节点的拨号接入,FE上行至中心机房核心交换机S8016。S8016定位是企业核心局域网路由交换产品:
交换背板 256G,转发性 能 96M pps;
双主控(MPU),双交换网板(NET);
20个Slots,16个通用I/O槽;
通用分布式接口处理单元(LPU);
双M_BUS高速治理总线互为备份;
支持直流电源两组输入;交流电源
提供最多4+1备份,风扇系统热备份;
完善的冗余、治理、控制特性;
支持华为3Com QuidView网管平台。
核心交换层采用电信级核心路由交换机Quidway S8016,在中心机房与备份机房之间,通过两个千兆接口的捆绑,建立起两个机房之间的高速数据链路,提供数据备份的通道,同时也是数据负载分担的连接桥梁。两台S8016都分别采用GE口连接本地的数据存储网络,两中心数据库为同步数据库。在中心机房,S8016还是总部局域网地核心,通过GE/FE口接入总部各个楼层的汇聚交换机。
两个机房存储网络,是证券公司大集中数据仓库,各个分支机构的数据都直接存储在这里,因而数据的交换非常频繁,要求从存储网络到核心交换机的带宽足够宽,保证各种业务的正常运行;对于能够直接实现千兆接入的数据库直接采用千兆接入,对于一些数据交换较少的地方,可以采用百兆接入。同时,作为数据仓库,必须有相当高的安全性,保证数据的可靠,为此在核心交换机S8016与存储网络核心S5516之间加以防火墙。
3. 总部局域网络设计
图3(以Quidway系列为例)
公司总部各个楼层的接入交换机可以直接连接到中心机房的核心交换机S8016上。
接入层采用Quidway S3026/3526以太网交换机,实现百兆到桌面,S3526可以与S3026一起级联工作;在上行接口带宽方面,对于带宽要求高的工作组可以采用2个GE口捆绑实现高带宽的上行;而对于一些普通工作组上行可以采用GE口或是FE口。通过VLAN划分以及VLAN透传技术,灵活划分不同的工作组。
4. 电子商务部局域网络设计
图4(以Quidway系列为例)
随着互联网络的发展,电子化商务运作将会运用更广泛。电子商务部也将成为非常重要的一个分之机构。
电子商务部采用Quidway S5516以太网交换机作为电子商务部局域网络核心,通过S5516的远距离光接口接入中心机房核心路由器S8016上。
电子商务部内接入采用Quidway S3026/3526实现百兆接入,千兆上行至S5516。通过VLAN划分以及VLAN透传技术,灵活划分不同的工作组。
电子商务部另外一个非常重要的部分就是对外商务区,包括公司WWW服务、其他合作伙伴接入等,由于直接与公网连接,存在很高的安全隐患。在这里,我们建议将对外的路由器直接连至公网,而在对外路由器与内部交换机之间建立双防火墙,建立非军事化区;同时,在双防火墙之间设立一定的代理服务器,外部访问连接的是这些代理服务器,再由代理服务器经过内部防火墙连接公司内部的数据库和服务器。
在这里对外接入路由器选择Quidway R3680,通过百兆口与公司内部网络相连;内部选用S3026作为对外接入交换机,S3026与S5516之间可以采用GE捆绑连接方式。
5. 分支机构局域网络设计
图5(以Quidway系列为例)
分支机构,在网络核心选择Quidway S5516路由交换机;桌面接入选择S3026以太网交换机,GE口上行至S5516。
采用S3026交换机与广域网路由器R3640、R3680相连,同时提供与外网系统的连接。
对于内网(公司内部网络)与外网(客户交易系统、行情系统等)的连接,选用一台中间服务器,在此服务器上运行加密、数据隔离和代理软件,实现内外网的物理隔离。对于较大规模营业点,可以采用多台中间服务器或是多网卡,实现更高带宽的连接。
在外网中,可以两级汇集设计,S3026接入、S3526汇聚,通过交换机上的VLAN技术隔离各个子系统。