中心机房及网络系统方案建议书教学提纲.doc

《中心机房及网络系统方案建议书教学提纲.doc》由会员分享，可在线阅读，更多相关《中心机房及网络系统方案建议书教学提纲.doc（149页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Good is good, but better carries it.精益求精，善益求善。中心机房及网络系统方案建议书-证券中心机房及网络系统方案建议书XXXXXX有限公司2002年8月目录第一章需求分析41.0总体设计目标41.1应用系统的分析51.2网络拓扑结构需求61.3计算机系统安全需求71.4网络管理需求7第二章设计原则8第三章局域网103.1局域网设计拓朴结构103.2中心交换机产器选型113.3所使用的技术与作用133.4网络安全设计说明173.5局域网设计特点183.6实验室交换机选型183.7二级交换机选型19第四章广域网方案204.1广域网网络拓扑结构204.2所用技术与

2、应用224.3产品选型224.4证券应用的积极作用234.5中心节点设计23第五章主机系统245.1设计目标245.2主机系统设计245.3厂家选择245.4产品选型245.5特点分析285.6磁盘阵列柜接线图29第六章网络安全系统30第六章网络安全系统316.1广域网安全分析316.2网络安全建议346.3路由器级安全控制43第七章、信息监控系统477.1、IT环境简介477.2系统的目标477.3具体技术要求487.4、技术选型497.5系统管理方案537.6网络管理方案60第八章、磁带机备份系统628.1、引言628.2、需求描述628.3、厂家选择628.4、技术选型638.5、特点6

3、78.6系统配置68第九章、弱电防雷系统70第十章、机柜机架及布线71第十一章网络方案特点7311.1高性能网络系统7311.2网络设计的灵活性7311.3支持各种网络协议及应用7311.4可靠性7311.5安全性7311.6易于管理和维护7311.7支持多媒体73第十二章、项目组织与质量保证7512.1项目小组成员、负责人与资历7512.2进度控制与质量保证与措施7512.3售后服务承诺及附加服务内容7612.4网络工程验收与交付物76附录、公司介绍79第一章需求分析XX证券总部是XX证券有限责任公司投资银行总部、资产管理总部、证券投资总部、研发中心等业务总部日常办公所在地以及电脑中心。为配

4、合业务的开展，要求建设一个快速、安全、可靠的网络系统平台。其中行政办公信息点数量为300个。机房信息点总数为250个。从业务部门的角度来看要满足以下几个系统的运行需要：资产管理及证券投资业务系统（包括行情系统、交易系统）；证券信息研发系统（实验机房等）；服务器性能与系统监控；弱电防雷建设；与其他各营业部可靠联接、备份。其中证券交易系统报盘数据经由本地营业部或直接通过双向卫星发往交易所。本方案建议书主要包括以下几方面的内容：1、总部局域网设计建设2、总部广域网设计建设3、总部主机系统4、数据备份系统5、信息监控系统6、弱电防雷系统7、机柜机架及布线系统设计以满足XX证券总部目前及未来业务发展和管

5、理为设计目标，整个系统设计以总部局域网设计、数据备份系统、网络安全设计和系统冗余设计为整个系统设计的重点。1.0总体设计目标技术先进性，使用技术在今后的3至5年内不落后。符合信息技术的发展方向。满足中国证券业电子化、网络化、智能化、集中式发展趋势的要求。重点建设好网络通信基础设施平台，为上层业务系统提供良好的底层支持。1.1应用系统的分析XX证券在全国有三十多家营业部，总部负有统一管理、资讯研发的责任。总部预计信息点数比较多。其总部网络涉及多个子系统：例如财务系统、交易系统、行政OA办公系统、Internet系统等。系统同时要满足OA及业务系统数据流为主的应用，网络的体系结构要能支持以OA/业

6、务数据流的应用，系统能够实现资源共享和信息流的无阻塞通畅流转，包括文件传输，WEB访问，邮件传输，行情查询，以及内部Intranet/Extranet应用等等。同时为将来的VoIP、VOD、视频会议等应用需求做好可升级的准备。因此所采用设备必须支持TCP/IP以及SPX/IPX协议，支持各种路由协议，同时支持IPMulticast、QOS、RSVP等局域网和广域网多媒体应用技术。提供足够的带宽，从而实现OA、业务数据流与多媒体应用的实现。所以网络设备选择要能够满足企业级应用，同时主干交换机不但能够满足目前的应用，还要能够对应将来系统扩充保持一定的扩容能力，以及适当的灵活性，以便于网络扩容和增加

7、新的功能。由于XX证券总部网络系统已经建设好，这一次是搬家并改建，网络系统需要平滑迁移，建议如下：1、保持原总部系统运行的情况下，建设新总部，并将部分业务部门迁移到新总部。主要保留电脑部的主要设备在原有总部运行，如广域网接入部分，主要功能服务器等保留在原有总部，但将ISDN拨号备份部分迁移到新总部。2、新总部除电脑部外其他功能齐全，在系统稳定运行一段时间后，将电脑部的设备逐步迁移到新总部，直到所有设备都迁移到新总部，原有总部停止运行，并将广域网接入设备一次迁移到新总部。3、在系统并行运行时新总部和原有总部间建立宽带连接或高速专线连接，保证所有的业务系统正常运行，4、在广域网接入设备迁移到新总部

8、时可以预先将电信部门的光纤接好，最终迁移时只要将光纤分配器、路由器等设备迁移到新总部，实现对营业部透明迁移。5、网上交易部分，深圳、上海卫星与委托接收系统、法人清算系统等逐步迁移到新总部6、其他如信息处理系统、办公、财务的服务器一次性迁移到新总部机房。1.2网络拓扑结构需求网络拓扑结构要满足通信的要求：主要是能够满足业务和办公系统的数据通信，采用适当的网络通信技术使得网络逻辑易于收敛，并使得快速完成业务数据流的通信。网络拓扑结构要满足网络管理的要求:主要是在整个网络系统中易于管理到所有设备，结构清晰，便于扩展。网络拓扑结构要满足网络稳定性的要求:主要是在整个网络系统中尽量避免单点故障，不会因为

9、某个设备的损坏导致整个网络瘫痪。XX证券总部网络系统应采用千兆网络主干,百兆交换到桌面。由于总部存在多个应用,所以保证各应用系统稳定快速运行是完成网络设计建设的重点。XX证券公司在全国十几个省、自治区和直辖市分布有营业部，营业部所在城市分布比较分散，在部分城市有多个营业部。整个网络结构要满足分散交易、网络通信、网络管理、系统冗余等要求。网络系统对通信系统的要求主要是能够满足IP多业务网络平台系统的数据通信，采用适当的网络通信技术使得网络逻辑拓扑收敛快速，而且数据通信更快达到目的站点完成任务请求。网络系统冗余主要是从提供服务到完成服务的整个端到端实现系统级冗余，在广域网结构的冗余主要是网络设备和

10、链路的冗余。网络拓扑结构要满足网络管理的要求在带宽许可的情况下能够管理到广域网的所有设备，或采用分布式管理所有网络设备。广域网拓扑结构可以采用单点辐射状，双节点冗余连接辐射状，或者多主干节点冗余连接。第一种结构存在单点故障，中心节点失败导致整个系统的停止服务，在证券系统停止服务是非常可怕的，建议不可取；对于第二种结构主干节点使用双重节点，可以提供相互备份冗余服务，投资适中；第三种结构完美，但是投资过大，建议在初期投资建设中不采用。所以建议采用双主干节点建设XX证券IP多业务网络平台系统广域网拓扑结构，比如在北京和上海分别建立数据中心和数据备份中心，提供整个多服务平台的中心和备份中心，提供集中服

11、务。网络系统链路冗余可以采用双链路结构，所有营业部都用专线与广东总部连接，ISDN做为备份线路，另外用一条ISDN与备份中心连接。1.3计算机系统安全需求由于总部存在多个业务子系统，有些业务是相对保密并极为重要的，比如财务系统，不能因为办公网的故障（误操作、病毒、非法入侵等）而造成数据损失或篡改。因此，需要在两个子系统之间进行有效的隔离，必须保证各子系统之间的通讯是灵活、高效而又受到控制的。1.4网络管理需求网络管理的目的在于提供一种对计算机网络进行规划、设计操作运行、管理、监视、分析、控制、评估和扩展等手段。从而以合理的代价，组织和利用系统资源，提供正常、安全、可靠、有效、充分、用户友好的服

12、务。网络管理系统应满足以下要求：1) 首先网络管理系统应具有同时支持网络监视和控制两方面的能力。网络监视功能是为了掌握当前运行状态；而网络控制功能是采取措施影响网络的运行。2) 尽可能大的管理范围。不仅能管理点到点的网络通信，还应管理端到端的网络通信；不仅管理基本的网络设备，还应该管理应用层的功能。3) 尽可能小的系统开销。管理尽可能多的协议层和尽可能大的范围是以增大系统开销为代价的。应该根据实际情况对网络管理的范围和所需的系统开销进行统一、合理的分配和选择。4) 容纳不同的网络管理系统。尽可能容纳不同的网络管理功能，形成全网统一的管理和运行机制的集中式网络管理系统是十分重要的。对于XX证券网

13、络系统的管理在后面的章节中我们将结合整个网络系统作详细讨论。第二章设计原则我们根据以下原则来设计XX证券总部网络系统:1. 实用性在考虑整体网络设计时，尽量从经济实用的角度进行考虑。2. 先进性设计立足先进技术，采用最新科技，以适应业务数据流传输以及多媒体信息的传输。使整个系统在国内三到五年内保持领先的水平，并具有长足的发展能力，以适应未来网络技术的发展。使用主流网络产品保证用户投资。3. 可靠性整个网络方案选用高可靠性的网络设备，并在设计上从物理层、链路层到网络层均采用备份冗余式的设计，保证了网络的可靠性。4. 网络安全性通过使用适当的安全技术实现从应用到底层系统整体安全,使系统达到端到端的

14、安全.保证各系统之间的安全访问5. 易于管理和维护该网络系统应该易于管理,通过网络管理工具,可以方便地监控网络运行情况,对出现的问题及时解决,对网络系统进行及时的优化.另外,网络的设计应采用简单易用的网络技术,降低运行维护的费用.6. 支持多媒体如今的网络应用越来越多的是语音,图像等多媒体应用,多媒体应用对服务质量有很高的要求.如带宽,延迟,延迟的变化等等.需要利用IPQoS,IPMulticast等技术来保证多媒体服务.7. 符合国际标准网络设计应采用国际标准的技术和符合标准的设备,这样才便于对投资的保护.8. 可扩展性网络设计不仅要满足当前的需求,还要为将来的扩展留有余地,保护用户投资.当

15、系统业务扩展时可方便实现系统扩展。9. 高性能为了适应业务迅速增长的需要,设计时应考虑网络带宽,性能不仅要适应现在的需要,还要满足未来几年的数据量的要求，同时要满足系统功能的扩充.10. 可管理性系统可以控制台方式方便实现对系统各资源的监控。可实现资产管理及对各种相应服务器、性能的监控。第三章局域网3.1局域网设计拓朴结构中心选用两台CISCOCatalyst6509交换机实现骨干千兆交换，同时提供二级交换机和服务器以及其他关键设备的连接。二级交换机使用catalyst2950系列交换机。对于总部网络系统的管理一般涉及到网络设备管理，网络用户、资源管理。网络管理建议使用CISCOWORKS20

16、00；网络局域网拓扑图如下：对于设备配置选择如下：1、选用两台Catalyst6509为中心交换机，提供高速千兆交换，6509配置双电源，配置一块48口10/100M二级交换机连接，再配置一块16口GBIC千兆模块作为服务器和二级千兆交换机连接使用；2、6509的引擎三层交换功能为VLAN间路由使用，同时使用HSRP技术，保证任一主交换机出现问题，所有服务器和在线工作站可继续工作。3、所有的子网网关都设置在6509引擎三层模块的内置千兆端口。千兆端口配置TRUNK，同时使用CISCO子接口技术，给所有VLAN提供网关。4、使用ACL控制功能实现不同VLAN间的定向访问，如其他子网不可以访问财务

17、子网，但财务子网可以访问行情服务器。5、其他信息点使用Catalyst2950和原有的2924交换机连接，提供10/100M桌面交换，并以冗余方式和核心交换机连接。实现UPLINKFAST功能，当网络拓扑结构发生变化时实现快速切换，保证网络的可用性。6、机房使用两台Catalyst2948G提供对10/100M速度要求比较高转换机。7、使用ACL控制功能实现不同VLAN间的定向访问，如其他子网不可以访问财务子网，但财务子网可以访问行情服务器。8、所有网络交换机连接工作站、服务器的端口使用CISCO专用主机通信优化技术实现工作站和服务器快速连接到网络。9、对网络实现夸交换机划分VLAN，VLAN

18、间通信通过三层交换实现，同时通过ACL（2层MAC和3层访问控制）实现VLAN间访问控制。10、通过使用路由器的静态ARP和MAC安全设置实现总部网络工作站的MAC地址和IP地址的邦定，禁止违法站点访问网络。3.2中心交换机产器选型根据网络系统建设的原则，从安全可靠、高性能的角度考虑我们推荐使用世界著名的网络产品CISCO产品系列。在证券行业的主交换机的选型中，根据我们在多家营业部及总部网络系统的应用和实际交换机的负载能力上主要是选择Catalyst4000和Catalyst6500系列交换机，在较小的网络系统中可以使用Catalyst2948G-L3为核心交换机。下面是CISCO这两种系列产

19、品的主要技术比较：产品名称Catalyst4000Catalyst6500Specifications类型模块化模块化GigabitEthernet是是100MbpsEthernet是是10MbpsEthernet是是DRAM64MB64MBto128MB规格17.5x17.25x12in25.2x17.2x12in.安全特征RADIUS是是TACACS+是是Kerberos是是AccessList是是HiAvailability/ResilliencyRedundantSupervisorEngine否是RedundantPowerSupply是是SpanningTree是是Portfast

20、是是UplinkFast是是HSRP是是QOS/Voice/Multicast/MultimediaIGMP是是802.1/P是是QPM否是QOS-MarkingClassification是是QOS-Multiqueues是是ISL/.1Q是是CGMP是是交换容量Throughput18Mpps150MppsBackplaneCapacity60Gbps32-256GbpsNumberofVLANs10241000多层交换Layer47否是Layer3是是Layer2是是通过以上分析我们可以归纳以下几点作详细比较：1.系统可扩展性：4000系列与6000系列交换机均为模块化交换机，其模块插槽

21、数、交换容量等已经可以满足系统应用；2.4000系列交换机不支持冗余引擎，对交换机的保护没有达到企业级，但是启用双主交换机的方式可以满足要求；3.在三层交换上，4000的三层交换能力达到8GBPS，6MPPS的能力，没有完全达到“线速”交换，而6500的三层交换能力达到150MPPS的转发能力；4.在三层交换的安全访问控制上，4000系列产品通过4232-L3模块或supervisorIII实现，实现内部千兆端口安全访问控制。而6500的三层通过引擎实现，可以实现各个端口的安全访问控制；54000系列交换机在设计定位上属于配线间级交换机，而6500系列交换机属于企业（主干）级交换机；6、由于总

22、部级网络规模不能和同等营业部网络规模相比，因为营业部网络工作站主要是无盘站，对网络带宽要求较低，而总部主要是有盘站，应用复杂，并且有盘站的各种广播包占有相当的带宽，所以总部网络核心交换机的交换机能力要远远大于营业部的交换机容量。综上所述，我们不难得出结论：对于XX证券总部这样需要划分多个业务子网，并且需要进行有效的安全访问控制的网络来说，我们建议主干交换机选用Catalyst6509交换机，其更能适合系统需求。3.3所使用的技术与作用对于整个网络来说，潜在的故障点有以下几个方面：1、交换机引擎2、交换机电源3、子网间的路由4、交换机之间的链路5、交换机的端口6、服务器的网络连接本方案中，我们针

23、对以上潜在的故障点作了以下几方面设计，使得整个系统尽量避免了主干网络上的单点故障。1、选择中心交换机相互冗余；2、在网络中心配置两台中心交换机，一旦主交换故障，备份交换机可以立即接管所有工作（通过链路层的SPT协议以及网络层的HSRP协议）。有效的防止了单点故障点的出现；3、主干交换机双电源保护；4、HSRP（热备份路由冗余协议）保证了VLAN间路由的不间断；5、二级交换机通过两条链路分别连接到两台中心交换机，利用SPT（SPANTREE）技术实现链路及端口的冗余，同时UPLINKFAST技术实现了快速切换。6、关键业务服务器的网络连接使用AFT技术实现冗余保护。3.3.1Spanningtr

24、ee技术当下级交换机采用双链路上联到上级交换机时，标准Spanning-tree能够判断出网络的拓扑结构，并且自动将其中一条链路“阻塞”（Blocking），只使用一条链路进行网络通讯（Forwarding），以避免网络拓扑结构上的环路的形成，这条链路称为“主链路”。当主链路失效时，标准Spanning-tree有一套完整的故障诊断和恢复的方法，下图左侧部分显示出Spanning-tree故障恢复的几个过程，包括Blocking、listening、Learning和Forwarding，交换机在Listening和Learning过程中监听和学习网络的拓扑结构，之后才能激活备份端口（Forw

25、arding），恢复网络的传输，整个故障恢复的过程大概要持续40秒到1分钟。3.3.2PortFast技术SPANING-TREEPORTFAST技术使得交换机端口迅速跳过listening(侦听)和learning(学习)状态，而迅速成为forwarding(转发)状态。我们可以在交换机上将连接到服务器或工作站的端口设置为SPANINGTREEPORTFAST，这样可以减少网络生成树的时间。PORTFAST仅仅设置连接到单一端站点，否则将导致网络环路。3.3.3UplinkFast技术Uplink-Fast是Cisco公司独有的故障链路快速诊断与恢复技术，是对标准Spanning-tree技

26、术的加强。当配置了Uplink-Fast技术后，当主交换机的主上联链路断掉后，交换机几乎可以马上判断出网络的故障，然后立刻激活备份链路，在极短的时间内恢复网络连接，整个故障恢复的过程只需1至2秒。在SPANINGTREE拓扑结构发生变化时，UplinkFast能够通过使用冗余连接组提供快速收敛并获得负载平衡。UplinkFast组就是VLAN的一组设置端口，其中一个是处于Forwarding（转发）状态，其余为Blocking（阻塞）状态。一般情况下UplinkFast端口组包括一个转发端口和一些阻塞端口，用来阻止网络环路。UplinkFast端口组提供一个可选择的端口以防止网络失败。下图表示

27、了一个网络正常的案例，SwitchA是根交换机，是通过L1和SwitchB直接相连，通过L2和SwitchC直接相连，SwitchC和SwitchB相连的端口是BLOCK状态，L2连接是活动的，L3是处于BLOCK状态。当L2连接失败时，UplinkFast解除在SwitchC上的BLOCK端口进行转发数据，而不需要通过侦听和学习过程，交换机如上图所示，整个切换过程不超过2秒。3.3.4FEC/GEC技术FEC/GEC称为Cisco交换机带宽聚合技术，FEC应用于快速以太网端口，GEC用于千兆以太网端口。在两台Cisco交换机互连时，利用FEC/GEC技术，可以将2条或4条物理链路捆绑成为一条

28、更高带宽的逻辑链路。应用FEC技术，我们可以得到一条全双工800M带宽的链路。而GEC技术可以使我们实现高达4G的带宽。FEC/GEC技术一方面为我们提供了一种扩展网络带宽的手段，另一方面，FEC/GEC还为连接提供了容错。平时，网络流量是被分摊到构成FEC/GEC的2条和4条物理链路上，如果其中一条链路发生故障（比如断线），该故障链路上的物理流量会立刻被重新分配到其他正常的流量上，从而达到容错的目的。FEC/GEC技术本身是由Cisco公司开发的，原来只能用于Cisco设备之间的互连，但现在该技术已经被越来越多的其他物理厂商接受，如Intel公司的100M和1000M的专用服务器网卡已全面支

29、持FEC/GEC，也就是说，如果一台服务器配置了两块或多块Intel的服务器网卡，并且连接到同一台Cisco以太网交换机，那么，可以利用FEC/GEC技术将原本独立的两条链路“聚合”成一条4G的具有容错性质的链路，以提高服务器的物理访问能力和稳定性。3.3.5HSRP(路由热备份协议)技术CISCOHSRP提供了路由器备份功能，可以为IP在以太网、FDDI、令牌环等局域网上提供提供路由网管保护。同时CISCOHSRP和IPX、AppleTalk、BanyanVINES等协议兼容使用。HSRP通过将一组配置为HSRP的路由器的LAN端口组成一组，同时虚拟一个路由器的LAN端口，其MAC地址是CI

30、SCOMAC池中保留的一个；HSRP通过配置优先权指定那一个HSRP配置路由器成为活动路由器，那些为STANDBY路由器。HSRP通过多目广播交换各自的优先权。当ACTIVE路由器在一定时间内没有发送信息，有着最高优先权的STANDBY路由器将成为ACTIVE路由器。路由器间转发数据包对于LAN是透明的。HSRP配置路由器交换三种多目广播信息：HELLO这个信息向其他路由器宣告自己的HSRP优先权和状态。缺省是3S发送一次。COUP当一个STANDBY路由器想取代ACTIVE路由器时，发送该信息。Resign当ACTIVE路由器将宕机或其检测到一个具有更高的优先权时发送该信息。在任何情况下，H

31、SRP配置路由器总是处于以下某一种状态：Active-该路由器执行包转发功能；Standby-假如ACTIVE路由器失败，该路由器处于准备代替ACTIVE路由器，Speakingandlistening-该路由器在发送或接收HELLO信息。HSRP工作过程如下图所示：在HSRP组路由器都正常时，由ACTIVE路由器转发数据包。当ACTIVE路由器出现故障时STANDBY路由器接替工作，成为ACTIVE路由器。3.3.6千兆以太网技术使用千兆以太网技术，使用目前局域网上成熟最高网络速度。同时也是非常成熟的以太网络技术。广泛应用于金融行业各种应用。速度可达1GBPS.光纤接口可实现距离可达70KM

32、.3.4网络安全设计说明目前的企业内部局域网普遍存在着很多安全漏洞，比如：普通办公PC可以浏览到关键业务用机（如财务）；普通用户可以进入重要的数据服务器系统；外来人员用便携式电脑连入公司网络对服务器进行攻击或对数据进行窃取，等等。为了弥补这些漏洞，我们在本方案中采用以下手段，以确保关键业务部门的安全。3.4.1通过虚拟局域网的划分加强网络安全本方案采用了按照业务划分虚拟局域网的设计思想，将各个业务子网有效的进行了隔离，各个子网间的通讯受到ACL（访问控制列表）的严格控制。有效的保证了核心业务的安全。下面的示意图仅仅对财务VLAN与行情/交易VLAN进行了标识，而实际上，用户可以按照自己的需求非

33、常灵活的根据交换机的端口划分任意VLAN。3.4.2通过交换机设置限制站点对网络系统的访问Cisco交换机提供了MAC地址限制的功能。在特定的端口进行设置，允许固定MAC地址网卡的包通过，只要工作站网卡MAC地址未被该端口登记，这台工作站就无法在网络上工作。这种通过对交换机设置来限制工作站点的方法能够有效阻止非本公司的电脑的非法使用，保护了公司网络的安全。3.4.3通过网络操作系统的安全管理加强网络安全由于各关键业务的数据大多是以文件形式存放于网络存储设备上的，因此，要严格地限制对存放这些关键数据的权限。例如：限定特定用户在专用的时间段才能登录、访问关键数据（这些操作在NetWare系统中，可

34、以用NWADMIN管理工具实现，在WINDOWS系统中，可以通过域用户管理来实现）。另外，网络操作系统中都提供了审记功能，你可以对关键用户，关键数据文件进行审记核查工作；通过对每个内部维护工程人员分配独自的帐户，可以清楚地记录每次关键操作。有利于提高网络的安全性。3.5局域网设计特点使用双主干网络设计。保证主干交换机网络容错。一台主干交换机故障不会导致交易网络不能工作，也不用手工切换进行维护。保证网络可靠性。使用千兆网络保证网络交易速度与实时性。使用stp、portfast、uplinkfast实现网络故障时快速切换。保证可靠运行。使用FEC/GEC技术实现网络带宽扩展。适应证券网络不断扩展要

35、求。3.6实验室交换机选型建议使用4006SupervisorIII交换机。使用相应的2600系列路由器实现对营业部网络测试与各种仿真。在各种网络应用及设备投入实际交易网络运行前进行测试。4006supervisorIII技术规格:64Gbps无阻塞交换矩阵。48Mpps第2层数据包转发率（硬件）。48Mpps第3/4层转发率IP路由，基于Cisco快速转发（硬件）。基于硬件的第2层、第3层、第4层交换引擎（基于ASIC）。集中式设计：没有线头阻塞。第2层多播地址：16384。MAC地址：32768。VLAN：在硬件上支持4096个（将来的软件）PVST：支持上行链路：两条1000Mbps千兆

36、位以太网链路流量/拥塞管理:队列个数：每个端口四个队列缓存类型：动态每台catalyst4006交换机配置如下：supervisorIII的引擎，一块48口10/100M模块。一块6口光纤模块。路由器配置如下：CISCO2620路由器一台。ISDN模块一个DDN模块一个。3.7二级交换机选型二级交换机建议使用Catalyst2950-48G/2948G交换机目前cisco已宣布将于7月停止销售3548G交换机.为保证网络产品更换及保护投资.CISCO公司建议使用C2950G-48交换机或者使用C2948G交换机代替C3548交换机.2950交换机特性和关键优点:1各个端口包括千兆位端口的线速、

37、无阻塞性能。28.8Gbps交换结构和最大660万包/秒的传输速率，能够保证最大的吞吐量312-或24个10BaseT/100BaseTX自适应端口，每个可为单个用户、服务器、工作组4提供最大200Mbps的带宽，完全可以支持对带宽需求苛刻的应用。58MB共享内存结构由于使用了消除包头阻塞以及最大可能减少包丢失的设计，所6以可以在组播和广播流量很大的情况下，提供更佳的整体性能，同时保证最大可能的吞吐量。716MB的DRAM和8MB的板上闪存可以为未来升级提供便利，做到最大限度地保护用户投资。8利用快速以太通道和千兆位以太通道技术的带宽汇集可提高容错性能，并在交换机、路由器和各服务器之间提供最大

38、4Gbps的汇集带宽。9每个端口使用基于802.1Q标准的VLAN主干；每个交换机带有64个VLAN，附10有64个生成树（PVST+）的实例。11支持硬件IGMP侦听的超级组播管理能力。2950交换机支持QoS服务质量：1支持基于802.1pCoS值或网络管理员为每个端口指定的缺省CoS值来对数据帧进行重新分类。2在硬件上，每个输出端口支持四个队列。3WRR队列算法确保低优先级端口不会被忽视。4严格的优先权安排配置保证诸如语音等时间敏感的应用能够在交换结构中一直使用快速路径。因机房信息点多达250个，建议使用二台2948G交换机联接机房的重要转换机。其他信息点可通过2950-24交换机联接。

39、主要机房工作站联接的C2950G-48可通过光纤与主干交换机相联。其他工作站可通过100M上联与网络联接。2950-24通过5类双绞线分别与二台主干交换机相联。第四章广域网方案4.1广域网网络拓扑结构该网络的拓扑结构分为三层结构:1、以广州为中心，也是XX证券的总部所在地；2、使用7507路由器作为主路由器，对于重要的营业管理总部可通过2MDDN线路联接至7507路由器。随着业务规模的扩展，新的营业部对带宽要求更高的可接入7507路由器。3、新增一台7206路由器作为备份，对于一般的营业部或因路由器模块本身限制速度不能达到2M的链路可联接至7206路由器。4、原csico3600路由器保留，作

40、为ISDN/PSTN拨号线路的接入，用于DDN线路故障的备份。当7507/7200路由器故障或7500/7200至各营业部相应的通信线路故障的备份。（详见XX证券广域网冗余拓扑示意图）该种连接方式可以提供中心路由器、链路的冗余保护，整个切换有系统自动完成，不需要人工干涉，包括对关键业务如到清算中心的冗余路由路径切换。同时在路由器配置时可采用HSRP路由冗余协议，使得路由计算加快，提高收敛速度，缺省路由配置等不需要手工更改。总部配置一台新的CISCO7206路由器，一台CISCO7507路由器、还有一台CISCO3640路由器。每个证券营业部通过DDN（SDH）广域网方式与总部7507路由器相联

41、。通过FR/DDN（带宽小于2M）方式与7206路由器相联。通过ISDN/PSTN与3640路由器相联。三种链路可相互备份。三台路由器可相互备份。充分保证广域网络系统主干可靠、连续运行。每个营业部可根据本地实际情况选2或3条链联上联至总部。当一条链路故障时可自动切换至另一个链路。当然多条线路根据需要可以进行负载均衡。按应用类别不同可使用不同带宽的广域网的线路。使用FR比ISDN可获取更大带宽，保证分部与总部网络系统数据交换速度。广域网设计主要特点：充分使用原网络主干路由器，保护原用户的投入。高性能主干路由器保证网络系统路由数据速度。三条链路容错保证网络系统主干可靠。既保证主干网络系统可靠性，可

42、扩展性好，可适应将来发展。使用CiscoWorks2000对网络系统进行管理。新加设备的主要配置如下:Product#DescriptionQuantityC7206VXR/400/2FE7206VXRwithNPE-400andI/OControllerwith2FE/EPorts将原7507路由器上PA模块移入7206路由器。在7507上配置2M的CE1模块。实现7507路由器联接主要大型管理总部或对带宽要求较高的营业部。使用7206路由器实现FR/DDN接入。4.2所用技术与应用使用技术主要有：IP通信技术、EIGRP、OSPF、QOS、线路备份。IP通信技术是广域网上使用最广泛的第三层

43、通信协议。带宽与开销小。国际互联网上使用都是IP应用。使用适应性好的路由协议如OSPF、EIGRP等链路状态路由协议。对网络链路故障进行快速定位。使用EIGRP可以实现不同链路之间的负载均衡。使用OSPF可实现网络层次管理及负载均衡。在QOS方面，可以使用排队技术、带宽预留技术、队列整形、优先级技术对不同类应用给予不同级别与带宽。实现总部与营业部之间数据传送的优先级。排队技术很多如：FIFO、公平队列、优先队列、CUSTOM队列等。排队技术主要功能为不同数据、接口、大小、协议、端口进行分类，放入不同发送队列按一定算法进行发送的技术。带宽预留技术为相应的应用预定一定带宽。保证应用响应速度。队列整

44、形技术是为相应PVC、应用的数据限制一定带宽。以免一些应用占用过多广域网带宽。线路备份方面主要有DDR、HSRP、路由协议内置特性实现。HSRP（HOTstandbyroutingprotocol）主要用于第三层网络容错。当一台路由器（三层交换机）故障时，系统自动识别并转换到另一台正常工作的路由器（三层交换机）。DDR主要为拨号线路使用，当一条主链路故障时，路由器自动进行拨号联接并与另一台路由器进行通信。保证网络连续运行。4.3产品选型在保留原中心的主干路由器7507基础上，新增一台7206路由器。根据营业部对高带宽的DDN线路要求的多少，CISCO7507配置相应数量的VIP4-80卡及相应

45、的PA-MC-8E1/120卡。PA-MC-8E1/120为8portmultichannelE1portadapterwithG.703120Ohm。原CISCO7507的PA-8T的卡可移入7206路由器。用于联接FR或低带宽的DDN线路。4.4证券应用的积极作用使用多主干路由器设计。保证网络主干路由容错。一台故障不会导致与总部网络不能通信，也不用手工切换进行维护。保证网络可靠性。使用CISCO高性能路由器保证广域网络网络转发速度与性能。保证总部与营业部之间数据通信速度。实现网络故障时快速切换。保证证券网络可靠运行。4.5中心节点设计本网络系统的中心节点为广东数据中心，建立网络系统的骨干，

46、分别与二级分支节点相连，两个中心之间使用高速广域网链路连接，比如（宽带、SDH、1000M光纤等）带宽，能够满足系统的冗余与负载平衡。总部的关键部门通过VPN与营业部连接，同时在关键部门使用防火墙保护，如CISCO的PIX系列或相应国产的防火墙。数据中心使用CISCO7507/72XX为核心路由器，同时使用3640为ISDN拨号备份路由器。在主链路或7200设备正常时分支节点使用DDN，总部到电信使用多路复用技术，当主链路出现故障时使用ISDN拨号连接中心。1、使用引擎和电源冗余模块，保障系统的稳定运行；2、两个10/100M以太口，以冗余方式接入总部网络；3、CISCO7507配置多口高速同步端口和各分支连接，提供和备份中心以及营业部广域网连接；4、CISCO3640为拨号备份路由器，提供ISDN连接；5、3640同时提供IP电话（VoIP）服务，建立VoIP试验系统；第五章主机系统5.1设计目标保证行情、资金服务器工作站的可靠运行。5.2主机系统设计使用双机单柜实现行情服务器容错。行情服务器建议使用CompaqPr