证券营业部的网络

7.8.3　组网设计实例三：证券营业部的网络

这是一个证券公司营业部的计算机网络系统的设计方案，网络结构如图7-5所示。

随着证券业务的发展，新的数据库系统和应用系统对网络传输带宽的需求也不断增强，同时网络安全性也受到了券商的重视。针对上述要求，该方案采用了安全、可靠的三层网络结构，把一个营业部的局域网分为内网和外网两部分，内、外网通过中间件相连，由不同的服务器提供服务，实现了前台与后台的分离，提高了网络数据的安全性。

1．网络设计的特点

服务器至主交换机采用百兆以太网，采用具有负载平衡特性的双百兆网卡（Intel8480），一旦网卡出现问题，系统会自动切换到另一块百兆网卡上，使其达到可靠的目的。两台Cisco Catalyst3524-EN交换机作为网络主干交换机，交换机之间通过千兆光纤链路通道技术相互连接，保证负载均衡及线路备份。2条千兆线路用作FEC连接，实现了全双工4Gbps带宽和交换机间的线路备份。在正常情况下，当主干交换机的光纤端口或光纤链路出现故障时，交换机自动通过生成树重新计算并构造网络结构，启动备份线路。

图7-5　一个证券营业部的网络设计方案

证券网络要求做到技术与业务分离、前台与后台分离、网络与数据分离。该系统采用虚拟网技术实现上述分离要求，如把交易服务器和行情服务器分在不同的VLAN，股民只允许访问行情服务器所在的VLAN，而禁止对交易服务器的非法访问；把不同作用的客户机分配在不同的VLAN，限制它们的相互访问；或者利用端口管理技术，限制它对交换机某一个端口的访问权。方案选用的CISCO交换机和网卡都支持VLAN技术。

CISCO的ISL技术或802.1q VLAN Trunk技术可以通过VLAN控制广播域，只有在同一个VLAN的设备才可以接收到广播，因此可以提高网络性能。通过CISCO独有的交换机间链路协议技术，可在单一的物理链路上划分多个子通道以对应多个VLAN，实现服务器用一个端口与多个VLAN交换数据。Intel8480网卡支持ISL技术，可在一个端口分出多个逻辑端口对应不同的VLAN。这样通过ISL或802.1q，可以实现服务器在同一个通道同时完成VLAN Trunk的备份及负载均衡。

2．网络设备的选择

网络主干选用2台能满足高速应用的Cisco Catalyst3524-EN交换机，每台提供2个1 Gbps端口插槽，24个10/100M自适应端口，背板交换能力达到1Gbps。用于服务器、重要工作站及二级交换机的连接。在两台Cisco 3524-EN之间，采用千兆连接。网络主要设备实现线路冗余和负载平衡。

二级交换机为12台Cisco Catalyst2924-EN，每一台Cisco 2924-EN可提供24个10M端口，2个100M端口。连接主干交换机的端口，实现二级网络交换机冗余。主干交换机和二级交换机共能提供约300余台电脑接入。

网络服务器分成行情服务器、交易服务器等，并使用了备份服务器。服务器使用RA ID硬盘提供数据保存的可靠性，使用Intel PRO/100 PILA8480网卡支持Cisco ISL VLAN技术和双机热备份数据检测链路技术。

设计中采用了单、双向卫星接收机与上海和深圳交易所构成数据通道，卫星通信工作站又分别与Cisco Catalyst3524-EN中心交换机直接连接；采用Cisco 2621路由器通过DDN专线与上级证券中心相连。