第7章企业网络案例2009年8月6日1本章主要内容•网络建设目标与需求分析•设计原则•局域网设计方案•广域网设计方案•主机系统设计方案•网络安全系统•信息监控系统2009年8月6日2•磁带机备份系统•弱电防雷系统•机柜及布线•网络方案特点2009年8月6日37.1网络建设目标与需求分析•7.1.1企业基本情况与总体设计目标•XX金融集团总部是XX金融集团投资银行总部、资产管理总部、证券投资总部、研发中心等业务总部日常办公所在地以及电脑中心。•从业务部门的角度来看要满足以下几个系统的运行需要:•(1)资产管理及证券投资业务系统(包括行情系统、交易系统);•(2)证券信息研发系统(实验机房等);2009年8月6日4•(3)服务器性能与系统监控;•(4)弱电防雷建设;•(5)与其他各营业部可靠联接、备份。•网络建成后,将达到:•(1)技术先进性,使用技术在今后的3至5年内不落后,符合信息技术的发展方向。•(2)满足中国证券业电子化、网络化、智能化、集中式发展趋势的要求。•(3)重点建设好网络通信基础设施平台,为上层业务系统提供良好的底层支持。2009年8月6日5•7.1.2应用系统的分析•XX金融集团总部网络系统已经建设好,这一次是搬家并改建,网络系统需要平滑迁移,建议如下:•(1)保持原总部系统运行的情况下,建设新总部,并将部分业务部门迁移到新总部。•(2)新总部除电脑部外其他功能齐全,在系统稳定运行一段时间后,将电脑部的设备逐步迁移到新总部,直到所有设备都迁移到新总部,原有总部停止运行。2009年8月6日6•(3)在系统并行运行时新总部和原有总部间建立宽带连接或高速专线连接,保证所有的业务系统正常运行。•(4)在广域网接入设备迁移到新总部时可以预先将电信部门的光纤接好,最终迁移时只要将光纤分配器、路由器等设备迁移到新总部,实现对营业部透明迁移。•(5)网上交易部分,逐步迁移到新总部。•(6)其他服务器一次性迁移到新总部机房。2009年8月6日7•7.1.3需求分析•1.网络拓扑结构需求•XX金融集团总部网络系统应采用千兆网络主干,百兆交换到桌面。由于总部存在多个应用,所以保证各应用系统稳定快速运行是完成网络设计建设的重点。因此采用双星拓扑结构。•XX金融集团在全国十几个省、自治区和直辖市分布有子公司,子公司所在城市分布比较分散,在部分城市有多个分支机构。整个网络结构要满足分散交易、网络通信、网络管理、系统冗余等要求。2009年8月6日8•广域网拓扑结构采用双主干节点建设XX金融集团IP多业务网络平台系统广域网拓扑结构。•网络系统链路冗余可以采用双链路结构,所有子公司都用专线与集团总部连接,ISDN做为备份线路,另外用一条ISDN与备份中心连接。2009年8月6日9•2.计算机系统安全需求•由于总部存在多个业务子系统,有些业务是相对保密并极为重要的,不能因为办公网的故障(误操作、病毒、非法入侵等)而造成数据损失或篡改。因此,需要在两个子系统之间进行有效的隔离,必须保证各子系统之间的通讯是灵活、高效而又受到控制的。2009年8月6日10•3.网络管理需求•网络管理系统应满足以下要求:•(1)网络管理系统应具有同时支持网络监视和控制两方面的能力。•(2)尽可能大的管理范围。•(3)尽可能小的系统开销。•(4)容纳不同的网络管理系统。2009年8月6日117.2设计原则•(1)实用性。•(2)先进性。•(3)可靠性。•(4)网络安全性。•(5)易于管理和维护。•(6)支持多媒体。•(7)符合国际标准。•(8)可扩展性。•(9)高性能。•(10)可管理性。2009年8月6日127.3局域网设计方案•7.3.1局域网设计拓朴结构•中心选用两台CiscoCatalyst6509交换机实现骨干千兆交换,同时提供二级交换机和服务器以及其他关键设备的连接。二级交换机使用Catalyst2950系列交换机。•对于总部网络系统的管理一般涉及到网络设备管理和网络用户、资源管理。网络管理建议使用CiscoWorks2000。2009年8月6日132009年8月6日14•7.3.2网络设备选型•1.中心交换机产器选型•主干交换机选用Catalyst6509交换机•2.二级交换机选型•二级交换机建议使用Catalyst2950-48G/2948G交换机。•3.实验室交换机选型•建议使用Catalyst4006SupervisorIII交换机。2009年8月6日15•7.3.3所使用的技术与作用•对于整个网络来说,潜在的故障点有以下几个方面:•(1)交换机引擎。•(2)交换机电源。•(3)子网间的路由。•(4)交换机之间的链路。•(5)交换机的端口。•(6)服务器的网络连接。2009年8月6日16•本方案中,针对以上潜在的故障点作了以下几方面设计。•(1)选择中心交换机相互冗余。•(2)在网络中心配置两台中心交换机,一旦主交换机故障,备份交换机可以立即接管所有工作,有效的防止了单点故障点的出现。•(3)主干交换机双电源保护。(4)HSRP(热备份路由冗余协议)保证了VLAN间路由的不间断。2009年8月6日17•(5)二级交换机通过两条链路分别连接到两台中心交换机,利用SPT(SPANTREE)技术实现链路及端口的冗余,同时UPLINKFAST技术实现了快速切换。•(6)关键业务服务器的网络连接使用AFT(AdapterFaultTolerance,网卡出错冗余)技术实现冗余保护。2009年8月6日18•7.3.4网络安全设计说明•在本方案中采用以下手段,以确保关键业务部门的安全。•(1)通过虚拟局域网的划分加强网络安全。•(2)通过交换机设置限制站点对网络系统的访问。•(3)通过网络操作系统的安全管理加强网络安全。2009年8月6日19•7.3.5局域网设计特点•(1)使用双主干网络设计,保证主干交换机网络容错。一台主干交换机故障不会导致交易网络不能工作,也不用手工切换进行维护,保证网络可靠性。•(2)使用千兆网络保证网络交易速度与实时性。•(3)使用stp、portfast、uplinkfast实现网络故障时快速切换,保证可靠运行。•(4)使用FEC/GEC技术实现网络带宽扩展,适应证券网络不断扩展要求。2009年8月6日207.4广域网设计方案•7.4.1广域网网络拓扑结构•该网络的拓扑结构分为三层结构,如图7-2所示。•(1)以XX市为中心,也是XX金融集成的总部所在地。•(2)使用7507路由器作为主路由器,对于重要的子公司管理总部可通过2MDDN线路联接至7507路由器。2009年8月6日21•(3)新增一台7206路由器作为备份,对于一般的子公司或因路由器模块本身限制速度不能达到2M的链路可联接至7206路由器。•(4)原Cisco3600路由器保留,作为ISDN/PSTN拨号线路的接入,用于DDN线路故障的备份。当7507/7200路由器故障或7500/7200至各子公司相应的通信线路故障的备份。2009年8月6日222009年8月6日23•7.4.2设备选型•1)在保留原中心的主干路由器7507基础上,新增一台7206路由器。•2)根据子公司对高带宽的DDN线路要求的多少,Cisco7507配置相应数量的VIP4-80卡及相应的PA-MC-8E1/120卡。•3)PA-MC-8E1/120为8portmultichannelE1portadapterwithG.703120Ohm。•4)原Cisco7507的PA-8T的卡可移入7206路由器,用于联接FR或低带宽的DDN线路。2009年8月6日24•7.4.3中心节点设计•本网络系统的中心节点为XX市数据中心,建立网络系统的骨干,分别与二级分支节点相连,两个中心之间使用高速广域网链路连接,比如宽带、SDH、1000M光纤等,能够满足系统的冗余与负载平衡。总部的关键部门通过VPN与子公司连接,同时在关键部门使用防火墙保护,如Cisco的PIX系列或相应国产的防火墙。2009年8月6日25•数据中心使用Cisco7507/7206为核心路由器,同时使用3640为ISDN拨号备份路由器。在主链路或7206设备正常时分支节点使用DDN,总部到电信使用多路复用技术,当主链路出现故障时使用ISDN拨号连接中心。2009年8月6日26•7.4.4广域网设计主要特点•(1)使用多主干路由器设计,保证网络主干路由容错。一台故障不会导致与总部网络不能通信,也不用手工切换进行维护,保证网络可靠性。•(2)使用Cisco高性能路由器保证广域网网络转发速度与性能,保证总部与子公司之间数据通信速度。•(3)实现网络故障时快速切换,保证网络可靠运行。2009年8月6日27•(4)充分使用原网络主干路由器,保护原用户的投入。•(5)高性能主干路由器保证网络系统路由数据速度。•(6)三条链路容错保证网络系统主干可靠。•(7)既保证主干网络系统可靠性,可扩展性好,又可适应将来发展。•(8)使用CiscoWorks2000对网络系统进行管理。2009年8月6日28•7.4.5所用技术与应用•(1)IP通信技术是广域网上使用最广泛的第三层通信协议,带宽与开销小。•2)使用适应性好的路由协议如OSPF、EIGRP等链路状态路由协议,对网络链路故障进行快速定位。•(3)使用EIGRP可以实现不同链路之间的负载均衡,使用OSPF可实现网络层次管理及负载均衡。2009年8月6日29•(4)在QoS方面,可以使用排队技术、带宽预留技术、队列整形、优先级技术对不同类应用给予不同级别与带宽,实现总部与子公司之间数据传送的优先级。•(5)线路备份方面主要有DDR、HSRP、路由协议内置特性实现。2009年8月6日307.5主机系统设计方案•7.5.1设计目标•保证信息、资金服务器工作站的可靠运行。•7.5.2设备选型•1.行情服务器选型•使用双机单柜实现行情服务器容错。服务器选用CompaqProliantDL760。•2.资金服务器选型•资金服务器选用二台CompaqProliantDL580机柜式服务器。二台服务器之间数据同步备份通2009年8月6日31•过OCTOPUS软件实现,当一台服务器故障时可自动或手工切换至另一台服务器。•3.阵列柜选型•阵列柜使用康柏StorageWorksRAIDArray4100。•4.机房处理机选型(一)•机房处理机推荐选用CompaqDL320。•5.机房处理机选型(二)•机房处理机也可选用圆明1010r服务器。2009年8月6日32•6.软件产品选型•(1)信息服务器容错软件•信息服务器容错软件选用OEMLegato公司的NHAS软件。•(2)资金服务器容错软件•目前比较多的软件备份主要有Lifekeep、Costandby、Octopus。建议使用Octopus软件。2009年8月6日337.6网络安全系统•7.6.1广域网安全分析•1.网络系统的安全问题•网络服务提供系统可能存在的安全威胁来自以下方面:•(1)操作系统的安全性。•(2)来自外部非法用户或者黑客的攻击。•(3)来自内部网用户的安全威胁。•(4)缺少有效的保护措施。2009年8月6日34•(5)缺乏有效的手段监视、评估网络系统的安全性。•(6)采用的TCP/IP协议族软件,本身缺乏安全性。•(7)未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。•(8)应用服务系统在访问控制及安全通讯方面考虑较少,容易造成损失。2009年8月6日35•2.系统安全结构•针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。•(1)物理层。•(2)链路层。•(3)网络层。•(4)操作系统。•(5)应用平台。•(6)应用系统。2009年8月6日36•3.广域网的安全的必要性•由于广域网采用公网传输数据,因而在广域网上进行传输时信息也可能会被不法分子截取。如子公司从异地上发一个信息到总部时,这个信息包就有可能被人截取和利用。因。此在广域网一定要设计安全系统200