某证券公司柳州营业部网络设计方案(第一部分)

1、.证券柳州营业部网络系统方案：网络处理方案PAGE ：.；PAGE 目 录 TOC o 1-3 h z HYPERLINK l _Toc525927507 第一部分 网络处理方案 PAGEREF _Toc525927507 h HYPERLINK l _Toc525927508 一、前言 PAGEREF _Toc525927508 h HYPERLINK l _Toc525927509 二、需求分析 PAGEREF _Toc525927509 h HYPERLINK l _Toc525927510 1、建立背景 PAGEREF _Toc525927510 h HYPERLINK l _Toc5

2、25927511 2、系统需求 PAGEREF _Toc525927511 h HYPERLINK l _Toc525927512 三、网络系统设计 PAGEREF _Toc525927512 h HYPERLINK l _Toc525927513 1、系统设计目的 PAGEREF _Toc525927513 h HYPERLINK l _Toc525927514 2、 系统设计原那么 PAGEREF _Toc525927514 h HYPERLINK l _Toc525927515 3、系统总体设计 PAGEREF _Toc525927515 h HYPERLINK l _Toc525927

3、516 4、网络平台详细设计 PAGEREF _Toc525927516 h HYPERLINK l _Toc525927517 5、效力器系统详细设计 PAGEREF _Toc525927517 h HYPERLINK l _Toc525927518 6、 操作系统平台选择 PAGEREF _Toc525927518 h HYPERLINK l _Toc525927519 四、平安体系设计 PAGEREF _Toc525927519 h HYPERLINK l _Toc525927520 1、主机平安 PAGEREF _Toc525927520 h HYPERLINK l _Toc52592

4、7521 2、数据平安 PAGEREF _Toc525927521 h HYPERLINK l _Toc525927522 3、 网络平安 PAGEREF _Toc525927522 h HYPERLINK l _Toc525927523 五、工程实施 PAGEREF _Toc525927523 h HYPERLINK l _Toc525927524 1、工程实施胜利的要素 PAGEREF _Toc525927524 h HYPERLINK l _Toc525927525 2、工程管理组织 PAGEREF _Toc525927525 h HYPERLINK l _Toc525927526 3、

5、工程实施步骤 PAGEREF _Toc525927526 h HYPERLINK l _Toc525927527 4、工程文档 PAGEREF _Toc525927527 h 第一部分 网络处理方案一、前言随着证券公司本身业务规模的不断扩展，为了更好的对宽广股民提供效力，证券方案对公司柳州营业部新址的证券业务进展重新规划，并在近期建造一个全新的电脑网络系统。北京软港努力于证券行业的系统集成及软件开发，多年在广西区内为各证券营业部实施系统集成工程，具有丰富的证券行业系统集成阅历，在区内拥有百分之六十的市场占有率，声誉卓著。随着国际互联网的开展，北京软港已大踏步地向网络化开展，为券商提供全面的系统

6、集成处理方案。为了把证券柳州营业部新址的计算机网络系统建立成为一个可伸缩性好、平安可靠、稳定先进的网络平台，北京软港在进展方案设计时充分利用了软港在证券行业以及银行买卖系统开发和效力方面长期积累的成熟先进技术资源，在保证系统提供高性能、高可用、平安买卖的前提下，保证系统具有良好的可扩展性。经过详细的分析，软港引荐证券采用新世纪券商千兆处理方案。本方案有如下特点：采用三层硬分别构造，实现内外网完全隔离，网络千兆主干冗余，百兆上联冗余，百兆全交换到桌面，不存在单点缺点，保证网络不会由于某个设备缺点而导致整个网络解体。采用先进NHAS系统Novell HA Server，经过运用高性能的磁盘阵列柜，

7、提高了Novell行情效力器的可靠性和可用性，保证证券Novell效力器能7x24小时不延续地高速运作。采用先进的LifeKeep技术NCR LifeKeep，经过运用高性能的磁盘阵列柜，提高了买卖效力器的可靠性和可用性，保证证券买卖效力器能7x24小时不延续地高速运作。任务站采用Intel Pro/100 S可管理网卡，硬件级支持DES加密，底层完成维护在局域网中传输的数据，并支持远程唤醒。下面，我们就对这个处理方案做详尽的论述。二、需求分析1、建立背景证券公司在近期将柳州营业部搬迁至新址，同时为了满足不断增长的业务，需求建立一个全新的高效的计算机网络系统，以加强本身的竞争才干。这个网络系统

8、不仅是为证券买卖业务提供一个强大稳定的平台，具备行情发布和柜台买卖功能，而且还能提供办公自动化功能，提高证券公司的办公效率。网络系统必需是高效、平安的，还应该具备很好的扩展性。2、系统需求网络主干要求到达千兆位带宽，桌面接入要求到达百兆位带宽；网络构造要求做到完全冗余，不存在单点缺点，能不延续运作；网络系统要求至少提供1000个信息点的接入才干；主机系统可以满足目前以及未来的运用需求，具备高可靠性和高扩展性。三、网络系统设计1、系统设计目的为营业部中各个部门的证券买卖业务以及办公自动化业务一个平安稳定可靠的运转控制和集成管理中心网络环境，为一切的信息点提供100M全交换的桌面接入；提供丰富的网

9、络效力，实现广泛的软件、硬件资源共享，防止反复投资，发扬系统最大效益；主机系统应具有高度的可靠性，能7x24小时不延续任务，并有容错措施；还应具备很高的平安性，以保证券商网络中数据的合法访问；具有广泛的软件支持，软件兼容性好，并支持多种传输协议；主机系统应享有较好的性价比和较低的总拥有本钱，并具有良好的向后扩展才干和一定的先进性；思索到券商技术力量的限制，主机系统应易于运用和维护；2、 系统设计原那么本网络系统作为证券业务的中心根底，应充分利用先进技术，经过组织和利用系统资源，以合理的代价，为用户提供平安、可靠、有效、充分、友好的效力。为了满足证券的业务对网络系统的要求，针对证券的详细需求和业

10、务特点，在网络系统的构架中应遵照以下原那么：1高平安性和可靠性原那么：整个系统必需具有高度的平安性、可靠性和稳定性，保证网络系统能高可靠的运作。在万一出现部分缺点时应不影响网络其它部分的运转，并且缺点便于诊断和排除。充分表达计算机网络的高可用性；2成熟性和先进性原那么：应采用被实际证明为技术成熟且领先的技术方案，最大限制地满足如今业务和未来开展的需求；3开放性和可扩展性原那么：应思索未来开展的需求，使系统与未来扩展的设备具有互联性和互操作性，又便于晋级、换代，使整个系统可以随着科学技术的开展与提高，不断得到充实、完善、改良和提高，并且能很方便地融于全球信息网络中；4集成性和可管理性原那么：充分

11、思索系统所涉及的各子系统的集成和信息共享，保证系统总体上的先进性和合理性，采用集中管理、操作和分散控制的方式；5经济性原那么：系统应具有较高的性能价钱比。3、系统总体设计要充分思索到系统既要高起点地满足当前需求，又要满足未来能够的爆炸式的增长，就必需将系统建立在一个强壮的、高度可伸缩的体系构造之上。我们建议的就是这样一个体系构造。我们采用分层设计方法来设计证券网络系统，其中中心网络由主干交换机组中心层和桌面接入交换机群访问层、路由器边缘层构成。系统总体逻辑构造如下：根据系统设计目的的对系统规模的要求，我们对系统进展了细致的设计和论证，我们将在下面展开详细论述。4、网络平台详细设计1 网络技术选

12、择采用完全交换式以太网技术 完全交换式以太网技术，能有效提高整个网络的性能和可靠性，主要表如今：1、采用完全交换式以太网技术后，任何一个点的突发性事故不会对网络中其他部分呵斥影响，系统可以自动的屏蔽该点的缺点，切断虚电路。2、在目前证券行业的计算机网络方式中，利用完全交换式以太网技术，可以有效的屏蔽广播包，同时可以利用交换机的背板带宽，提高重要任务站间的数据交换处置才干。3、采用完全交换式以太网技术，可以利用802.X生成树协议Spanning Tree，对网络进展冗余、平衡配置，提高系统的可用性和平安性。采用千兆交换式以太网技术采用千兆以太网技术 千兆网络技术曾经成熟，千兆产品正在成为市场的

13、主流。千兆网络可以轻松处理证券公司在行情火爆和买卖量大时，出现的网络“瓶颈问题。千兆网络方便以后证券买卖网络的晋级，可以维护证券公司投资。千兆以太网技术的优势中心设备具有更强的处置才干；可与目前的以太网10M、快速以太网100M设备无缝衔接；利用现有的以太网知识就可以管理、监视和维护千兆以太网；千兆以太网技术是组建网络主干的中心技术；基于RSVP和IEEE802.1Q/p规范实现CoS，从而提供不同的效力等级。采用千兆铜缆以太网技术千兆铜缆技术能在普通双绞线实现千兆速度的数据传输。千兆铜缆设备可实现百兆和千兆的自顺应，实现与原有的快速以太网设备无缝衔接，维护投资。千兆铜缆设备与千兆光纤设备相比

14、具有更高的性价比。网络设备冗余与容错 网络系统的可靠性对于证券公司来说至关重要，甚至高于对性能的要求。网络可靠性可采用冗余的网络互连构造和缺点迅速恢复技术来实现。要实现网络的可靠性，消除交换机的单点缺点，必需采用硬件上的冗余，主要包括主干交换机冗余、二级交换机上行链路冗余和效力器网卡冗余。主干交换机冗余可采用双主干交换机方式两台交换机相互冗余方式或一台主交换机与一台备用交换机相结合方式。经过GEC(Giga Ethernet Channel)技术还可实现负载平衡。二级交换机上行链路冗余 经过Spanning Tree Protocol生成树协议，可采用光纤或铜缆作为上行冗余链路。效力器网卡容错

15、在效力器上安装两块效力器网卡，分别衔接两台主干交换机，形效果劳器与主干交换机之间衔接的冗余，实现容错功能。 经过以几方面的论述可以看出：我们的方案可以保证网络的可靠性，做到中心交换机的缺点不会导致整个网络瘫痪，并提供最快速的缺点恢复方案，从根本上消除证券公司面临的风险。2 网络设备厂商选择目前可以提供网络产品的厂商很多，Cisco、3Com和Intel等公司都有从路由器到交换机的全线网络产品，用户选择余地较大。然而这些公司的技术、产品、效力与价钱存在一些差别，故网络厂商的选择时，应仔细分析这些公司的特点，并结合所建系统的详细特点。Cisco在高端产品市场优势明显，但价位较高。但其在网络处理方案

16、方面，具有较高的领先性和良好的性价比。3Com在高中低端的网络产品市场，尤其在桌面市场占据一定优势。Intel公司的近年来在网络方面开展很快，尤其在千兆铜缆产品方面，其在效力器网卡市场占有绝对的优势。特别是其千兆效力器网卡，目前尚未有同类产品可以匹敌。这几个公司各有其特点，根据证券公司网络系统的详细特征，引荐选用Cisco公司交换机产品、选用Intel公司的网卡来构建网络系统。3网络拓扑构造我们在这里为证券设计的网络方案，其网络拓扑图如下：4网络平台设计详述网络平台采用两台Cisco 4006 千兆企业级交换机作为网络主干交换机，两台480T千兆交换机之间采用GEC光纤通道实现互为冗余容错，同

17、时还能实现负载平衡，从而保证主干网络的可靠性和稳定性以及提高性能，杜绝网络单点缺点。内网的主干交换机采用两台Cisco 2948G企业级交换机经过多个百兆端口实现FEC通道来互为冗余备份，同时还能实现负载平衡。行情效力器经过安装的两块Intel Pro/1000 Gigabit Server Adapter 千兆光纤网卡进展AFT容错，实现网卡互为冗余备份，防止因网卡出错而导致系统任务中断。而且每台效力器都采用冗余光纤链路分别衔接到外网的两台4006主干交换机的千兆光纤口上。买卖效力器也采用两块Intel Pro/1000 Gigabit Server Adapter 千兆光纤网卡AFT容错方

18、式，并经过冗余光纤链路分别衔接到内网的两台2948G主交换机的GBIC千兆光纤口上。对于桌面接入交换机二级交换机，我们采用Cisco 2924独立式百兆交换机，为桌面PC提供100M全交换接入。而且每台Cisco 2924都采用百兆冗余铜缆上行链路分别衔接到两台4006的百兆铜缆口上。与国际互联网的衔接经过ADSL设备来实现，并且采用防火墙软件抵御外部网络入侵。外部网络和内部网络之间采用中间件来平安隔离，保证内部网络数据的平安性和可靠性。5网络设备产品简介Cisco Catalyst 4006Cisco Catalyst 4006可以在一个机箱中满足多达240个快速以太网端口的网络部件衔接要求

19、，背板带宽是60Gbps。Catalyst 4006的热插拔模块的即插即用交换处理方案降低了复杂性，可以简单地支持当今网络不断变化的桌面环境。未来端口接口加强包括无线PC衔接、千兆铜缆衔接。Catalyst 4006结合了高级工程技术和消费提高，以更加经济有效的价钱提供更加强大、更加可靠的企业交换处理方案。它重新定义了新的性价比值。Catalyst 4006提供的自治愈网络智能，足以快速恢复端口、设备及网络缺点，而没有明显的桌面延迟。主要优点包括： 性能-提供了先进的交换处理方案，它能随着您端口的添加而增大带宽。领先的ASIC技术更是使Catalyst 4000系列处理方案如虎添翼，ASIC技

20、术提供了线速第2层和第3层 10/100或千兆位交换。其中，第2层交换由24 Gbps、18 Mpps引擎驱动，第3层交换那么由可伸缩的8 Gbps、6 Mpps引擎驱动。 投资维护-灵敏的模块化体系构造对配线室中的动态桌面衔接提供了经济高效的管理。Catalyst 4006背板进一步提供了网络维护才干，由于它支持60 Gbps无阻塞容量，所以这种机箱更能顺应未来需求。 功能透明板卡-Catalyst 4000的构造优势扩展了Catalyst 4000系列板卡的部署寿命。只需简单地添加其它引擎模块，如新的第3层效力模块，Catalyst 4000系统就能方便地将一切系统端口晋级到更高层的交换功

21、能。不需求改换现有板卡就能在系统端口上实现高层功能加强，这在常规交换产品中是很常见的。这样，新的Catalyst 4006端口可以随时用于WAN、IP、第4层到第7层Web交换。 模块化监控器引擎维护-Catalyst 4006机箱背板和监控器衔接器可以支持未来的监控器引擎晋级。未来改良的能够性包括将可伸缩交换机构造容量添加到64 Gbps、运用线速第3层和第4层交换和基于未来技术的千兆位上行链路。 Cisco IOS网络效力-Catalyst 4000系列交换机提供了成熟的企业第2层和第3层特性，可以有效地加强公司网络的才干。这些特性满足大中型企业的高级联网要求，由于它们的推出直接得益于多年

22、的Cisco客户反响意见。 基于硬件的组播-协议独立组播PIM密集和稀疏方式、Internet组群组播协议IGMP、以及Cisco组群组播协议CGMP支持基于规范的、Cisco改良的高效多媒体联网。 共享内存体系构造，没有线路头阻塞-集中式低等待延迟1.4微秒、共享内存交换构造提供了领先的才干，消除了一切能够的线路头部阻塞。 桌面可以运用千兆位才干-Catalyst 4000系列曾经提供了丰富的1000 Mbps千兆位和千兆位效力器交换处理方案。Catalyst 4000系统的千兆位处理方案的运用范围可以方便地扩展到桌面。 可管理性-利用每一种Catalyst 4000系列交换处理方案提供的先

23、进的管理才干以及每一个端口中内置的基于业界规范的管理功能，Catalyst 4000系列的控制才干和平安性都得到了加强。您可以灵敏地选择是运用基于Web的图形用户接口GUI还是命令行接口CLI来完成管理义务，从而加强了您的网络操作才干。 降低网络操作费用-由于Catalyst平台、体系构造和软件之间有更高的一致性，所以费用得到了很大降低。另外，端到端的Cisco管理和效力也降低了网络的总拥有本钱。 维护关键义务运用的性能-集中式企业战略创建加上CiscoAssure支持和针对第2层CoS和第3层ToS的网络效力质量，这些可共同保证您可以从边缘到中心得到一致的运用性能。 高可用性-Catalys

24、t 4000系列提供了自恢复网络智能，它的速度足以从端口、设备、链路上发现缺点而在桌面上没有明显延迟。 面向未来的网络-Cisco的继续开发和投资使Cisco Catalyst 4000系列LAN处理方案成为一个具有战略意义的配线室和分支机构平台，它阅历了多年的不断改良。Catalyst 4000系列能轻松地应对网络开展，经过简单地添加更多的端口，您可以有效地提高您网络的带宽。另外，功能上透明的体系构造优势将扩展每个交换板卡的有效时间，允许您随着您的需求而添加更高级的功能，而不需求进展彻底晋级。 Cisco Catalyst 2948GCatalyst 2948G为一固定配置的第二层的以太网交

25、换机，提供48个RJ-4510/100M端口和2个千兆以太网上联端口，带有模块化的千兆以太网转换器GBIC端口。Catalyst 2948G支持Catalyst企业版的系统软件。该特点不仅使其与其它Catalyst交换机具有互操作性，还是供业界最丰富的第二层的特点。其主要支持的软件特点包括： 先进扩展性如Fast EtherChannel, Dynamic VLAN, 802.1Q trunking 带宽管理QoS，协议过滤，链路负载平衡 网络的可靠性UplingFast, PortFast, Spanning tree 平安性每端口的平安，验证，IP Permit Lists Catalys

26、t 2948G是企业级桌面交换机，其很高的性能，可靠的软件，高性能非阻塞的构造为证券的内网提供保证。 Catalyst 2948G具有24Gbps的带宽，可以同时支持48个10/100和千兆口同时以线速交换。Catalyst 2948G高性能的构造将减少拥塞和提供整个网络的相应时间。 Catalyst 2948G支持各种容错特点，包括一个外置的冗余电源单独购买，支持多条负载平衡的中继Fast EtherChannel，多个Spanning tree，快速收敛的软件工具如PortFast和UplinkFast。广泛的硬件和软件的容错工具使Catalyst 2948G可以提供当今关键义务网络所需求

27、的灵敏的平台和容错特性。Cisco Catalyst 2924 XLCisco Catalyst 2924 XL交换机拥有24个10Base-T或100Base-TX端口，背板带宽是3.2Gbps。它还具备以下的出色优点：12或24个10Base-T/100Base-TX自顺应端口可以为要求苛刻的任务组和效力器提供最需求的功能，同时保管了传统的10Base-T衔接Catalyst 2912 XL和Catalyst 2924 XL。 24个10Base-T/100Base-TX自顺应端口可以为要求苛刻的任务组和效力器提供最需求的功能，同时保管了传统的10Base-T衔接。3.2-Gbps交换网和

28、3Mpps的传送速度保证了一切10Base-T/100Base-TX端口具有最正确的性能。 100Base-T端口的全双工功能使终端、效力器和交换机之间的带宽可以到达200Mbps。 4-MB共享内存构造经过去除头部信息阻塞景象、最大地减少数据包丧失以及降低多点传送和广播传输的拥堵景象，保证了最高的吞吐量。 快速以太通道技术实现的带宽集合提高了容错才干，可以为交换机、路由器、效力器之间的衔接提供高达800Mbps的带宽。 每个交换机可以拥有多达12个快速以太通道带宽集合群，这使每台Catalyst 2900 XL交换机可以经过规范的全双工10/100快速以太通道链路将多个网络设备聚集在一同。

29、CGMP使交换机可以有选择和动态地将IP多点传送信息传送到目的多媒体终端，因此从整体上减少了网络流量。 可配置的网络端口可以为骨干衔接提供不受限制的媒体访问控制MAC地址支持才干。 Intel Pro/100 S 台式机网卡英特尔 PRO/100 S 台式机网卡是专门为效力器优化、可信任、可管理的10/100M网卡。主要特性 针对电子商业而优化的高性能局域网平安性 先进的特性缓和了效力器的瓶颈问题，同时最大程度地提高任务站的正常运转时间 英特尔singleDriver 技术降低了网络复杂程度 支持3DES168位高强度加密 新型英特尔 PRO/100 S 网卡利用基于规范的平安性来维护局域网上

30、的敏感数据，同时依然坚持出色性能。英特尔 PRO/100 S 网卡将IPSec加密卸载与英特尔 PRO/100+网卡所具有的先进管理特性完美地结合在了一同。英特尔 82594ED网络加密协处置器从台式机的处置器上卸载加密任务，最大程度地提高网络性能，节省系统资源用于其它关键效力器义务。智能控制器英特尔 自顺应技术可动态调整传输速率以减少冲突，并且可以实现网卡微代码的软件晋级。针对 Windows*2000 进展优化英特尔 PRO/100 S 网卡是英特尔与微软协作开发的产品，专门针对Windows*2000 进展精心设计,可在您的网络上实施加密,同时性能丝毫不受影响。+ +先进的远程管理支持W

31、fM1 2.0、SNMP、DMI2.0，经过Wake on LAN和板上英特尔 Boot Agent可实现远程效力器配置。可扩展的吞吐才干和高可用性总带宽高达800Mbps，运用任何英特尔效力器网卡的组合均可建立自动冗余衔接。DES 和 3DES加密算法运用运用最广泛的最高级别平安性，以维护局域网上传输的数据。Intel Pro/1000 F 千兆光纤效力器网卡高性能千兆位效力器网卡主要特性 高度集成的英特尔 控制器提供了业界领先的性能 经过网卡容错和PCL热插拔加强了效力器的可用性 自顺应负载平衡和千兆位EtherChannel提供了可扩展的吞吐才干，支持1000BASE-SX的SC光纤衔接

32、器顶级千兆位网卡“其它没有一款网卡可以提供与之相媲美的1000Mbps吞吐量。-引自1998年8月LANQuest实验室报告可扩展的吞吐才干和高可用性高达8Gbps的集合带宽，并且可以利用任何英特尔 效力器网卡组合建立自动冗余衔接。支持工业规范- 802.3z千兆位以太网-用于高级通讯管理的802.1QVLAN和802.3x数据流控制。广泛的互操作性与WindowsNT*、Novell*、UNIX*和Linux*环境中的工业规范交换机兼容。在线维护才干PCI热插拔技术补充了网卡容错特性，可以在不中断效力器运转的情况下改换缺点网卡。经过远程管理降低支持本钱支持联网管理WfM2.0、SNMP和DM

33、I2.0。5、效力器系统详细设计1效力器系统要求1、效力器系统技术要求 效力器系统选用先进、适用、稳定、可靠的系统，具有开放性构造，且效力器系统选型时应要思索备份机制和容错功能。2、效力器系统平安性要求 建立企业内部访问的平安控制机制，提高效力器系统数据的平安性和访问的平安性。3、效力器系统设备要求 效力器系统应采用国际知名品牌产品，具有较高的性价比，可扩展、易晋级，应操作简便、易于管理。2效力器系统设计原那么效力器系统设计是系统建立的关键，其直接影响投资规模和系统成败，因此要仔细作好这项任务。效力器系统设计基于以下原那么：一、高可靠性由于证券效力器系统可靠性直接关系到证券业务的正常进展，只需

34、可靠性高的产品才干做到无延续运转。效力器系统必需具有高平安性，可以有效的防止黑客的入侵。二、高可用性由于证券业务系统需求高可用性的特点，在设计时需求思索采用，可利用双机容错系统提高系统的可用性，减少宕机时间。三、高扩展性在投资范围内，追求最大的可扩展性，为以后扩展晋级打下根底，维护客户投资。四、高性价比在有限的预算前提下，选用性能价钱比较高的产品，用最少的投资获得最大的效益。五、高质量和高效的售后效力国际著名效力器厂商的产品无论在质量上、效力上，还是在技术支持上都有卓著的声誉，产品的继续支持才干也能得到保证。3效力器系统设计效力器系统是在整个网络的运转以及各种网络运用效力中是起着关键的作用。对

35、网络性能的实现和今后网络的晋级都非常重要。目前在证券行业中效力器大都是采用COMPAQ效力器，而且COMPAQ效力器在多年来的证券运用中口碑很好。1行情效力器设计思索到有近1000个任务站，而且任务站需求做成无盘WIN98任务站，效力器的负载比较大，因此Novell行情效力器建议采用一台康柏ProLiant 8000做主效力器，用另一台康柏ProLiant 8000做备份效力器。为了提高整个Novell Netware系统可靠性和稳定性，采用NOVELL HA SERVER技术，并为两台效力器配备先进的DFT-5008磁盘阵列柜系统，保证整个网络的可靠性和稳定性。Novell HAServer

36、是Novell公司的独立版权产品，它集合了以往StandBy、SFTIII等产品的全部优点，专为目前Client/Server局域网提供的一种通用的高可用性、高扩展性的处理方案，它运用工业规范化商品部件，经过一条共享SCSI总线或光纤通道，将局域网中的两台Novell效力器衔接，从而支持关键业务环境、支持不断增长的存储需求，最大程度地降低效力器的down 机时间，具备非常优良的容错性能。客户机在访问一切的群集资源，诸如共享磁盘，文件共享和数据库运用程序时，都不用知道群集系统中单一效力器的称号。当一台效力器系统发生缺点时，另一台效力器会立刻承当发生缺点效力器的任务，将共享卷、NDS权限、Netw

37、are用户数和文件共享等进展迁移，从而保证整个群集系统作业运转的延续性。在NHAS系统中，我们选用DFT-5008U2磁盘阵列柜配备4个18.2Gb Wide Ultra3 SCSI硬盘COMPAQ 10K，实现RAID 5+1方式。为两台NOVELL效力器提供高性能、不延续的共享磁盘效力。HA Server的技术要点主从效力器的硬件配置不用完全一致，可充分利用原有设备。Novell HA Server提供两种切换机制，失效切换和手工切换。失效切换确保效力器失效时全自动实施切换，手工切换和系统暂停机制，方便正常系统维护任务。支持多条冗余的心跳途径以有效防止系统误切换，还可以经过冗余的数据通道来

38、提供更高程度的可用性。支持工业化规范的互连ODI、IP compliant、对称多处置器SMP。支持运用共享SCSI 技术或FiberChannel光纤通道技术的磁盘阵列柜。HAServer配置灵敏、运用简单、维护方便。HAServer支持多台效力器群集，支持分布式运用。HA Server所带来的益处运用磁盘阵列柜的Novell HA Server群集系统，一方面能大大提高硬盘的读写速度，明显改善诸如证券行业中行情分析软件的反响速度，还可以将两套分析软件分别在两台效力器上运转以有效平衡效力器负载；另一方面，由于运用硬件实施系统的容错，因此可大大提高这个系统的平安容错级别。在今天，“数据与主机电

39、气分别观念曾经迅速成为当前IT技术的新潮流。运用磁盘阵列柜的Novell HA Server群集系统为最终用户提供了如下的益处：高度可用性,确保作业的延续性 Novell HA Server群集系统中某个效力器由于硬件或软件失败而导致解体，群集系统中的备用效力器可以予以接纳，以保证处置过程的继续，群集也可以对某些单独组件，如磁盘或适配器，或是单独的运用程序的失败作出反响，经过隔离失败节点的错误，其它节点可以继续运转，保证整个群集系统的功能。速度上的明显提升Novell HA Server群集系统中磁盘阵列柜基于80Mbyte/S的Ultra Wide宽带SCSI技术或基于100Mbyte/S的

40、光纤通道技术，并且阵列柜内部配有CPU及大冗量缓存做读写预处置与以太网络相比，100Base-T以太网只相当于12.5Mbyte/S带宽。以上构造使得阵列数据读写速度远高于主机内部硬盘，而且不需主机CPU分时，又进一步提高了主机系统的处置速度，使得传统的外存I/O瓶颈大改善，这种Novell HA Server群集系统较之早期的纯软件网络备份容错及主机内部加装阵列卡的方式在速度上有了质的飞跃。提升数据的平安容错级别至99.99%Novell HA Server群集系统中的磁盘阵列柜配置主要包括：控制器其上自带CPU、缓存、电源、风扇、磁盘存储子系统，其运用全硬件冗余方式保证数据的平安性，从而消

41、除了Novell HA Server群集系统的单点缺点。双通道双路在线控制器磁盘阵列柜普通可以配置2个控制器，作为冗余，而且每个控制器运用2个独立的主机通道、2个独立的磁盘通道，除了提升磁盘阵列的I/O外，也保证了任务控制器或控制器上的某一个通道出现缺点时，备用控制器或控制器通道的在线热切换，加强了系统的高可用性支持。两组热插拔容错电源，双散热风扇冗余电源保证当一个电源及电源通路出现缺点时，RAID Array的可用性，冗余的风扇功能使得当一个风扇出现缺点时RAID Array的散热依然得到保证。支持RAID 0，1，0+1，3，5校验，并支持热插拔和热备件的自动缺点恢复工能。RAID级别保证

42、恣意硬盘缺点时其上数据不会丧失，而且答应运用一块硬盘作为阵列上RAID集的备用盘，当RAID集中的任一硬盘出现缺点时，备用硬盘可以自动交换缺点硬盘。极大的降低了系统的风险并减轻维护人员的负担。独立的用于电池或UPS的电源接口。磁盘阵列柜普通都配有电池，用来维护系统掉电时对磁盘阵列缓存的维护，以实现数据的完好性，另外，磁盘阵列柜还具有内部UPS接口，以实现对控制器及缓存的更充分的维护。双Active，效力器负载平衡 运用软件可与群集软件协同任务以平衡群集系统中各效力器的任务负载。例如，行情效力器可以并行任务在多个节点上， 同时从共享磁盘中获取数据，从而充分发扬容错系统中各个结点的资源，实现效力器

43、负载平衡和缓解行情效力器的网络压力，从而提高客户端的访问速度。2买卖效力器设计行情效力器也建议采用一台康柏ProLiant ML570做主效力器，用另一台康柏ProLiant ML570做备份效力器。由于买卖效力器在整个证券业务中是很重要的，为了保证买卖效力器的可靠性和冗余热备份，我们采用NCR LifeKeep技术，经过心跳线使两台效力器互为冗余备份，保证整个买卖系统的可靠性和稳定性。LifeKeeper For Windows NT 软件是NCR公司推出的全球第一套基于NT操作系统，并支持16台效力器集群的容错软件，也是市场上第一套可提供OSI 七层参考模型的高可用性软件，自九十年代出推出

44、以来，备受用户称誉。美国NCR LifeKeeper可以广泛运用于证券、金融、政府、交通、邮电、医院、税收、公安、民航、军工、商业等采用Windows NT Server平台的行业，LifeKeeper能满足这些行业作业系统数据平台高度稳定、平安可靠的运用需求。规划阐明：双或多主机经过一条TCP/IP网络线以及一条RS232电缆线相连。双或多主机经过一条SCSI电缆线与磁盘阵列柜相连。主效力器缺点后，备份效力器自动接纳主效力器的作业和数据。备份效力器同时自动接纳主效力器的主机名Host及网络地址IP主效力器修复好以后，再将备份效力器上的作业和数据切换到主效力器。建议主、备份效力器内存大小根本一

45、致。3报盘效力器设计 思索到报盘效力器在证券买卖业务中的重要性，我们不引荐采用普通效力器例如普通PC机，建议采用康柏ML 530效力器作为报盘效力器，以保证稳定性，确保报盘任务稳定可靠。4中间件效力器设计由于中间件效力器作为衔接外、内网的网关，处于一个非常重要的位置，所以我们不引荐采用普通效力器，应该采用专业效力器，确保内外网通讯稳定可靠。为了维护证券原有的设备投资，我们建议将证券原有的康柏Proliant 7000效力器作为中间件效力器，并给其配置双网卡。4 主机系统产品简介Compaq Proliant 8000康柏 ProLiant 8000,具有大量内部存储和容错性能的超大容量8路效力

46、器坚持业界领先位置意味着您需求尽能够地实现各种优势，以提高企业的计算才干并维护您珍贵的IT资源随着新型运用不断出现、对性能的要求日益苛刻、数据和用户越来越多您的IT系一致直压力重重。如今，康柏 ProLiant 8000 效力器将为您提供获得胜利所需的强劲性能规范配置：双PIII Xeon 700Mhz CPU1M二级高速缓存1Gb ECC内存可扩至8Gb18.2Gb Wide Ultra2 SCSI硬盘一万转12个1英寸热插拔 Wide Ultra2 SCSI驱动器集成的双通道Wide-Ultra2 SCSI适配器内置100M PCI效力器公用网卡双冗余电源Compaq Proliant M

47、L570ProLiant ML570 基于ProLiant 5500、6000和6500的强大功能而构建，将最新的性能和高度可用性引入富含功能的四处置器效力器平台中Proliant ML570 具有杰出的可靠性和容错才干，提供了企业级系统可用性和218.4GB 最大内置存储器容量客户们可以依赖这款高度可管理性效力器降低拥有本钱，并提供更平安、可靠的计算环境规范配置：双PIII Xeon 700Mhz CPU1M二级高速缓存512Mb ECC内存可扩至8Gb18.2Gb Wide Ultra2 SCSI硬盘一万转12个1英寸热插拔 Wide Ultra2 SCSI驱动器集成的双通道Wide-Ul

48、tra2 SCSI适配器内置100M PCI效力器公用网卡双冗余电源Compaq Proliant ML530ProLiant ML530是新一代ProLiant 3000两路效力器，在两路效力器中提供了扩展性、可用性和性能的完美组合针对那些要求获得最高的性能、硬盘和内存扩展性来运转需求双路处置支持运用的公司，这款效力器提供了杰出的价值规范配置：PIII Xeon 933Mhz CPU256K二级高速缓存512Mb ECC内存可扩至8Gb18.2 Gb Wide Ultra2 SCSI硬盘一万转12个1英寸热插拔 Wide Ultra2 SCSI驱动器集成的双通道Wide-Ultra2 SCS

49、I适配器内置100M PCI效力器公用网卡双冗余电源DFT-5008U2 磁盘阵列柜DFT-5008U2: 64位PowerPC RISC CPU, 64位SCSI总线,速率可达80-160MB/SEC,单机容量可达TBG, 300w*2 冗余双电源,双风扇,塔式/5U规范工业机箱，它拥有以下特性：高数据传输性能DFT-5008U2支持并发访问恳求，能完成从主机到硬盘的高速并行数据传输。为了到达最高的数据吞吐量, 阵列内部一切环节均采用LVD接口,包括并发I/O，命令队列特性等都已在DFT-5008U2控制器内部完成. 控制器采用高性能的64位PowerPC RISC CPU以使I/O义务智能

50、化. 高速缓存可以完成智能的read-ahead 和 write-back. 有了高性能的设计, DFT-5008U2提供了一个基于SCSI计算机的广泛存储方案，以运用单用户任务站、高端PC效力器、UNIX中央主机等环境当中。 高数据容错才干DFT-5008U2 提供 RAID 0、1(0+1), 3、5,3+spare、5+spare 可供选择. 这些RAID 功能给用户数据的高可靠性提供了保证。例如自动侦测失效盘, 热备用硬盘, 坏盘数据重建, 在线改换硬盘, 后台自动重建等高扩展性和灵敏性利用扩展模块，DFT-5008U2可获得更多的SCSI通道。最多可达8个SCSI 通道。DFT-50

51、08U2支持8个逻辑硬盘，每个逻辑硬盘支持8个分区。每个SCSI通道，可定义主机或设备通道，实现多主机衔接。当读写硬盘的时候，DFT-5008U2可以校验处置坏扇区，从同一逻辑盘中的其他硬盘获的坏盘数据，并对坏扇区重置。一切这些对主机来说，都是透明的DFT-5000控制器主机/硬盘接口2个主机通道，2个磁盘通道可扩展为6个RAID Level0,1(0+1),3,5,30,50,JBOD根本的SCSI通道2-8个 Ultra2 Wide or Ultra3 Wide SCSI 通道硬盘位6,8,12,16四种规范配置高速缓存32M to 1Gbytes，规范配置64M后备电池可选,DFT-90

52、70c电源300W*2 /400W*2可选容错总线falut bus支持(DFT 专有)国际认证FCC,CE,Y2KMTBF500000尺寸17.5(H) x 8.75 (W) x 21.5(D) 26.75(H) x 9.75 (W) x 25.5 (D)6、 操作系统平台选择网络操作系统是网络软件系统的中心。因此选择网络操作系统成为组网过程中非常重要的一步。在选择好主机系统硬件之后，还必需选择能充分发扬网络整体性能的操作系统。目前在证券行业中被广泛采用的操作系统主要有两种：NOVELL公司的NETWARE操作系统和Microsoft公司WINDOWS NT操作系统。不同的网络操作系统建立在

53、不同的网络体系根底之上的，WINDOWS NT 网络操作系统是建立在TCP/IP网络体系之上的，而NETWARE网络操作系统那么主要是以NOVELL IPX/SPX为根底。目前在证券行业中的行情效力器大都是采用NETWARE 操作系统，它采用的一系列先进技术以保证操作系统的整体性能具有较高的程度，并且可靠性和平安性都比较不错。因此我们采用NETWARE 4.11作为行情效力器的网络操作系统。而WINDOWS NT 操作系统是一种纯32位的网络操作操作系统，它是一种面向分布式图形运用程序的操作平台，主要是作为数据库以及买卖系统的底层平台。因此在买卖效力器中选用的是Microsoft的WINDOW

54、S NT SERVER 网络操作系统。四、平安体系设计新世纪的商务运作与电脑网络息息相关，胜利的商业机构必需有快速可靠的网络。对证券行业而言，计算机网络业已成为证券营业部业务运作不可短少的工具。与此同时，网络平安也成为刻不容缓急待处理的问题。可以说，我们今天所面对的平安问题已不再局限于系统本身。对外，我们将面对一群具有高知慧、高才干、高手段而且对网络系统和编程言语都有着深化了解的“黑客，他们无时无刻不在窥探着他的网络，他却没有丝毫的觉察。他们能在他的眼皮底下偷走或修正他的数据，能让他在正常操作中丧失他的管理员密码，能删掉他的重要数据，更能让他的效力器在开市时宕机;对内，系统那么会时辰遭到在他身

55、边而不为他觉察的内网用户的攻击要挟。面对这些乍听起来让人觉得很“遥远但确真实悄然发生的现实，您能否已做好预备了呢？平安是在网络建立中需求仔细分析、综合思索的关键问题。下面我们将从三个方面来讨论保证网络平安的假设干措施。1、主机平安采用网段分别技术，把网络上相互间没有直接关系的系统主机分布在不同的网段，由于各网段间不能直接互访，从而减少各系统被正面攻击的时机。网段分别可以采用物理方式以及逻辑方式来实现。在物理上，我们将网络分为行情发布子网外网和买卖处置子网内网两网段；在逻辑上运用虚拟公用网技术VLAN，将运用效力器和任务站根据详细情况分别放在不同的网段和虚拟子网上。另外，在平安方面有一个最根本的

56、原那么：系统的平安性与它被暴露的程度成反比。因此，建议将行情发布的效力器与买卖处置效力器隔离，由于将数据库和买卖处置主机封锁在系统内部，添加了系统的平安性。同时运用中间件技术，不允许直接访问业务主机，一切的运用衔接都经过代理来完成，这不仅仅加强了业务主机的隐蔽性，也提高了业务处置效率。2、数据平安在网络上运转的软件需求经过网络收发数据，要确保数据平安就必需采用一些平安保证方式。1)在任务站上采用支持IPSec加密才干的网卡网络内部人员的平安破坏行为超越了网络外部入侵者两者的比例分别为55：30。像防火墙这样的传统局域网平安维护措施可以维护网络的“前门。但是，根据FBI的调查，大多数平安破坏行为

57、发生在局域网内部，未经授权的访问、欺诈、窃取和其它违反运用规章的行为。英特尔 PRO/100 S 网卡经过提供IPSec互联网协议平安加密才干，可协助 维护局域网上的敏感数据。IPSec是一种可以运转于任何TCP/IP网络包括企业级局域网之上的工业规范。IPSec具有以下才干： 对用户进展身份验证，协助 防止未经授权的数据访问。 防止恶意的攻击和篡改，有助于坚持传输过程的数据完好性。 对数据包进展加密，有助于确保数据的性。但是，加密和解密数据的过程会降低效力器的运转速度，这就需求平衡平安性和运转速度。英特尔与微软协作，开发了一款可以同时为您带来平安性和高性能的处理方案：即Intel Pro/1

58、00 S平安网卡，它可以将加密解密过程卸载至网卡板上的英特尔 82594ED网络加密协处置器，从而将CPU从这项任务中解脱出来，并最终到达最正确的运转速度。IPSec基于规范的平安性与英特尔 效力器网卡业界领先的高性能相结合,是创建可信任的平安任务组的关键。2)用户口令加密存储和传输目前，绝大多数运用仍采用口令来确保平安，口令需求经过网络传输，并且作为数据存储在计算机硬盘中。假设用户口令仍以原码的方式存储和传输，一旦被读取或窃听，入侵者将能以合法的身份进展非法操作，绝大多数的平安防备措施将会失效。所以用户口令需求采取加密方式存储和传输。3)分设操作员分设操作员的方式在许多单机系统中早已运用。在

59、网络系统中，应添加管理员、普通运用员等多种操作员类型，以便对用户的网络行为进展限制。4日志记录和分析完好的日志不仅要包括用户的各项操作，而且还要包括网络中数据接纳的正确性、有效性及合法性的检查结果，为日后网络平安分析提供根据。对日志的分析还可用于预防入侵，提高网络平安。例如，假设分析结果阐明某用户某日失败注册次数高达20次，就能够是入侵者正在尝试该用户的口令。3、 网络平安在内部网络设计中主要思索的是网络的可靠性和性能，而如何确保网络平安也是一个不容忽视的问题。为进一步保证系统平安，还要在网络中对入侵防备等方面做特殊思索。NetCop网警入侵检测系统是北京中洲基业软件技术作为Novell公司N

60、etware 平台、NDS目录效力平台运用产品研发中心开发出的国内第一套成熟的证券网络平安防护系统。该软件已获得Novell公司认证并已经过公安部平安产品检验中心检验。NetCop系统拥有设备指纹验证、网络登录规那么审查、关键数据维护三层平安防护功能，弥补了诸如网络地址冒充、超级用户特权益用、隐藏用户或隐藏权限、自带PC机上网等证券网络平安运用方面的主要缺乏，为网络入侵设置了多重屏障。同时系统的图形操作界面可以实时监控网络衔接与登录的全过程、实时处置网络入侵、实时监控对关键数据修正、实时报告任务站设备联机情况，大大提高了对网络平安管理的易操作性，有助于建立正确的平安效力理念，从而在整体上加强网