第一篇:XX證券VPN組網解決方案
XX證券VPN組網解決方案
第一章 前言
以Internet為基礎的信息高速公路的迅猛發展,正以前所未有的速度和能力改變著人們的生活和工作方式,我們真正處于一個“信息爆炸”的時代。
一方面,Internet使得人們能夠跨越時空的限制,為學習、生活和工作帶來空前的便利;許多企事業單位不僅僅充分利用Internet的豐富資源,同時,為了企事業單位內部的資源共享和信息傳輸,也紛紛建起了企事業單位內部Intranet,達到企事業單位內部資源的高度共享。甚至一些信息化建設程度較高的企事業單位已經建起了Extranet,與其他政府機構、合作伙伴也進行了資源共享。
另一方面,面對信息的汪洋大海,人們往往感到無所適從,出現“信息迷向”的現象。更嚴重的是Internet是一個無國界的虛擬信息社會,現實社會中的各種問題都會在Internet上通過電子手段予以重現,信息犯罪愈演愈烈。網絡的開放性,互連性,共享性程度的擴大,使網絡的重要性和對社會的影響也越來越大,信息安全問題變得越來越重要。信息安全問題不僅僅涉及到國家的經濟安全、金融安全,還涉及到國家的國防安全、政治安全和文化安全。對于企事業單位的重要信息和資源,也構成了巨大威脅,致使一些企事業單位單位不敢聯網,把網絡互聯的優勢完全拋棄,形成了一個一個信息孤島。
政府信息化的發展已經成為當代信息化的最重要的領域之一。據聯合國教科文組織在2000年的調查,89%的國家都在不同程度地推進政府信息化的發展,并將其列為國家級的重要工作。
江澤民總書記明確指出:“四個現代化,那一化也離不開信息化。”我國的政務現代化也離不開信息化。
“兩會”前,朱總理提出:“電子政務的發展正在成為當代信息化的最重要的領域之一。為了適應國際形勢和我國經濟建設與社會發展的需要,我國必須加快電子政務的發展。”在今年的《政府工作報告》中,朱總理更明確指出,要“加快政府管理信息化建設,推廣電子政務,提高工作效率和監管有效性。”
如何有效地利用網絡互聯的優勢,提升XX證券系統信息化建設的速度,同時保證網絡和信息的安全共享,是擺在我們面前的迫切問題。虛擬私有網絡(Virtual Private Network,VPN)的出現,為我們提供了一個安全、經濟、快捷、靈活的網絡安全互聯組網方案。結合的XX證券實際需求和現狀網絡,通過對必要性和可行性,實施效果、成本和風險,硬件和網絡方案等進行了充分的調研和論證,提出了《XX證券VPN組網解決方案》。
根據項目計劃,將在XX證券中心機房和全國各營業點部署VPN安全網關,實施安全訪問控制和各點之間的加密通信。
第二章 項目情況介紹
2.1 目前網絡的現狀
目前,XX證券總部在電信申請了2個互聯網線路,一條線路用于同其他各營業點(在全國共27個)進行OA系統的信息傳輸,另外一條線路用戶內部員工訪問互聯網。其他各營業點均在本地電信申請ADSL線路。
目前的網絡示意圖如下:
圖2-1 XX證券網絡示意圖 2.2 目前網絡系統存在的需求
1、應用需求 目前,XX證券全國各營業點需要實時訪問XX證券總部(武漢)應用服務器(OA服務器、mail服務器等)。利用傳統的公網是無法快捷、安全地訪問內部服務器。因為所有數據在傳輸過程中都是以明文的,如果別有用心的人利用Sniffer等網絡監聽分析工具,極易篡改、竊取甚至破壞關鍵數據,給造成不可估量的損失。針對的相關應用需求,我們建議采用VPN的組網方式,可以安全、方便地在XX證券和全國27各營業點之間的“虛擬專用網絡”。
2、安全需求
目前XX證券應用系統和重要數據都以明文在網絡進行直接傳輸,因應用系統的網絡傳輸數據體現了XX證券的重要情況和保密敏感信息,屬于高度機密,以明文在公共網絡上直接傳輸存在著很大的隱患,黑客或網絡運營商中的某些有不良居心的人員可以利用專用軟件在網絡結點設備或線路上截獲應用系統或重要數據,如果這些數據被公布或透露給外界,對于來說,后果是非常嚴重的。
另一方面,各營業點網絡直接和internet相連,這樣就存在極大的安全隱患,外部網絡可以隨意訪問內部網絡,甚至控制內部服務器,然后已內部主機作為跳板,轉而攻擊網絡總部的服務器,那么整個系統將無安全性可言。
綜上所述,如何很好地解決“信息的共享和信息的安全問題”是本方案重點討論要解決的問題。使整個網絡的安全達到一個全面加強,使網絡系統的每個部分都不會成為“木桶的最短一塊木板”是本系統方案要實現的目標。
第三章 設計原則和設計思想
系統的總體設計思想是要體現技術的先進性和決策的前瞻性,著力于“實用性、高起點、前瞻性、擴展性”。具體的我們遵循了以下原則: 3.1 安全性原則
在網絡運行的各個環節中,都應該嚴格注意安全的問題,防止其中的任一過程存在著安全的漏洞,從而影響整個區政府正常辦公的大局。
隨著計算機網絡技術的提高,網絡的安全性也越來越值得人們注意和防范,在該方案中,安達通公司時刻強調高度的安全性。我們在進行系統設計時將提供多種手段保障系統的安全,對相關的網絡設備、主機系統、應用數據庫提供嚴密的保護。同時,采用國際上最新的主流VPN技術,確保用戶能充分利用網絡的互通性和易用性,同時可以為用戶盡可能地降低系統投入成本,實現高效益。網絡安全需要依靠綜合手段才能夠實現。一方面需要好的安全技術產品,好的安全策略;另一方面,更為重要的是要有完善的安全管理制度。3.2 實用性原則
系統在設計上一方面將滿足雙向的數據傳送、實時處理的要求;另一方面,又采用國際上最先進的技術,使系統完成后,保持一定時期的領先地位。
尤其是采用了目前國際上領先的“安全網關”技術,將“Firewall+VPN+IDS”技術的充分糅合,較單純的Firewall技術具有不可比擬的優勢,體現在:不僅具有FireWall的保護內網、提供服務的功能,而且利用VPN技術,可以解決Firewall所不能解決的外網用戶的安全接入問題(在本方案中,導致可以直接省略“撥號服務器”),同時可以不受接入數量限制,這使整個網絡系統的可用性大幅度提高。利用IDS技術,不僅強化了本身的抗攻擊能力,而且可以與IDS系統互動。
實用性原則既要做到先進技術與現有成熟技術相兼顧,又要使系統的高性能與實用性相結合。
3.3 可靠性原則
這套網絡安全系統是網絡的門戶。它的穩定可靠關系重大,特別是WEB網上服務等具體業務項目,隨著使用的普及,信息平臺的運行不穩定甚至癱瘓將嚴重影響政府的形象,也將給為政府帶來不便和不可低估的損失。因此可靠性是平臺運行的首要保證。
我公司將采用相應的手段保證系統、網絡和數據的穩定可靠性,采用負載均衡技術、備份技術就是其中的重要策略。3.4 可擴展性原則
網絡安全建設應該是統一規劃、分步實施、逐步完善的的過程。我公司在該方案的設計中充分考慮它的可擴展性,在實現基本的網絡被動防護系統(安裝防火墻、VPN安全網關及其管理平臺)以及信息傳輸加密的前提下,為以后進一步實現網絡的主動防護系統,主要包括IDS、漏洞掃描系統和統一的安全策略管理系統都留有相應的接口,便于以后的擴展以及與IDS等設備實現互動。3.5 易管理性原則
網絡系統的管理和維護工作也是至關重要的。在系統設計時既要充分考慮平臺的易管理性,為平臺維護者提供方便的管理工具;同時又要設計規范但不失靈活的工作流程。另外,通過網管平臺,可以實現遠程安全管理和本地管理等多種管理手段。第四章 XX證券VPN組網建設方案
4.1 VPN技術簡介
VPN(虛擬專用網)技術是指通過公共網絡建立私有數據傳輸通道(即隧道),將遠程的分支機構、商業伙伴、移動辦公用戶等安全連接起來的一種專用網絡技術。在該網中的主機將不再感覺到公共網絡的存在,仿佛所有的主機都處于一個網絡之中。對企業而言,VPN可以替代傳統租用線來連接計算機或局域網等。而任何VPN業務都是基于隧道技術實現的,隧道機制是VPN實施的關鍵。數據通過安全的“加密管道”在公共網絡中傳播。企業只需要租用本地的數據專線,連接上本地的公眾信息網,各地的機構就可以互相傳遞信息;同時,企業還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以連接進入企業網中。使用VPN有節省成本、提供遠程訪問、擴展性強、便于管理和實現全面控制等好處,是目前和今后企業網絡發展的趨勢。
在眾多的VPN解決方案中,IP-VPN脫穎而出,成為眾多企業組建VPN的首選方案。IP-VPN是指在運行IP協議的網絡上實現的VPN。世界上最大的IP網絡就是Internet。由于Internet正在使用的IPv4協議在設計初期并沒有過多地考慮安全問題,因此無法為用戶解決他們所擔心的數據安全保密性。IP-VPN在使用了一些額外的安全技術后,解決了這一難題。
目前,國際主流的大多是基于Ipsec的VPN技術,該技術正在迅速走向成熟,而且它正處于興盛期。
圖4-1 VPN組網示意圖
虛擬專網的重點在于建立安全的數據傳輸通道,構造這條安全通道的協議必須具備以下條件:
保證數據的真實性:通信主機必須是經過授權的,要有抵抗地址冒認(IP Spoofing)的能力。
保證數據的完整性:接收到的數據必須與發送時的一致,要有抵抗不法分子纂改數據的能力。
保證通道的機密性:提供強有力的加密手段,必須使偷聽者不能破解攔截到的通道數據。
提供動態密匙交換功能:提供密匙中心管理服務器,必須具備防止數據重演(Replay)的功能,保證通道不能被重演。
提供安全防護措施和訪問控制:要有抵抗黑客通過VPN通道攻擊企業網絡的能力,并且可以對VPN通道進行訪問控制(Access Control)。
虛擬專用網VPN可以使在Internet中的信息交換有安全保障,大多數的VPN產品支持IPSec。最初VPN技術被設想為Intenet節點的連接方式,后來它很快被公認為是一種遠端的接入技術,例如在一個遠程的PC或筆記本電腦用戶與他的公司本部之間建立的加密通道。目前,VPN技術正在迅速走向成熟,而且它正處于興盛期。
安達通公司作為國內領先的專業VPN廠商,投入了很大的人力、財力,經過一段時間的研究和攻關,提出了國內領先的全動態地址VPN的解決方案。安達通公司的解決方案不但真正解決了全動態VPN的組網問題,還融入了PKI技術,采用基于數字證書的身份認證機制,解決了大規模VPN應用中的設備管理和網絡管理的難題。4.2 產品選型
上海安達通信息安全技術有限公司(簡稱ADT)是一家專業致力于解決企業互聯網和內聯網的網絡信息傳輸和管理的公司。公司將自己定位為:基于PKI的網絡安全傳輸平臺供應商。目前已經擁有“PKI安全網關SGW系列、安全網關客戶端軟件、PKI網管平臺、單/雙密鑰體系的企業CA系統、數字證書載體SureID系列、證書中間件”等產品。形成了一個以CA為核心,證書為靈魂,網絡類安全設備和桌面安全軟件/設備相互聯動、密切配合的構建在PKI平臺上的網絡安全系統。
安全網關是一種結合防火墻、VPN技術的綜合的網絡邊界安全設備,并且具有和入侵檢測系統(IDS)互動的功能;隨著系統的升級,ADT安全網關SGW系列產品,還將整合防病毒網關的功能以及基本的入侵檢測功能來增強“安全網關”自身的穩定性、安全性和抗攻擊性。作為網絡的邊界安全設備,安全網關將具有綜合的安全作用,使網絡的安全和投入,獲得最佳的安全和效益。
另外,安達通公司的“安全網關”具有一個很明顯的技術優勢――解決了目前國際上的VPN技術的難題――非固定IP間的VPN通訊連接(如:通訊雙方均采用ADSL進行連接)。
故此,我們建議目前的各XX證券組網方式改為VPN組網方案。
VPN組網除了以太網絡聯網方式外,還可以用于專用線路、幀中繼/ATM鏈路或普通的舊式電話網(PSTN)提供的服務:如Modem撥號方式、ISDN、ADSL等。利用專線、幀中繼/ATM或以太網方式,從經濟上和功能上不太適合的組網需求,利用電話線路的組網方式中,由于Modem撥號方式從技術上、管理上、安全上不太適合目前業務發展的需要。ADSL是電信力推的企事業單位上網模式,不但速度快、性能好、實時性好,針對的應用特點和聯網規模,從經濟上也是前幾種組網方式所不能比擬的。
針對的實際需求和具體應用,我們推薦此方案采用安達通公司的SGW25C、SGW25B、SGW25A等型號的硬件產品。4.3 網絡規劃與產品部署
1、總部設計方案
考慮到目前總部服務器的高安全性、高載荷和將來的發展,建議在總部業務線路(100M線路上)放置兩臺安達通SGW25C型VPN安全網關。為了避免出現單點故障,兩網關作雙機熱備。
利用安達通安全網關的VPN技術建立總部和下面各營業點的“安全隧道”,實現總部和營業點之間安全的VPN“虛擬專用通道”。
利用安達通安全網關的防火墻功能實現基本的訪問控制和安全隔離。普通數據包通過防火墻模塊到達XX證券內部網絡,實現包狀態檢測和訪問控制功能。只有需要加密的數據和信息才可以通過安達通VPN網關到總部內部網絡,對于非法的數據包則可以利用VPN安全策略將其進行過濾和處理。
另外,作為VPN備份線路,建議在總部的另外一個出口(10M線路,用于內部訪問互聯網)處步署一臺安達通SGW25B安全網關,當業務線路出現故障(如路由器出現故障,被攻擊,或者電信部門調整線路)時,下面各營業點可以同該網關(SGW25B)建立VPN通道,從而連接到內部網絡。
2、全國各營業點網絡設計方案
目前各營業點的使用adsl接入互聯網,鑒于其網絡流量不是很大的特點,建議在各營業點步署安達通公司SGW25A安全網關,利用其VPN功能,可以通總部建立VPN通道,從而安全的連接到總部內部網絡;另外,利用其強大的防火墻功能,可以保護營業點內部網絡。VPN組網結構如下: 圖4-2 XX證券VPN組網結構示意圖
第二篇:電信行業VPN解決方案
SSLVPN
電信行業VPN解決方案
時間:2004-7-4 14:40:27 來自: 點擊:185
隨著國內電信市場的高速發展,各大運營商如電信、網通、聯通等等都在大力推廣內部的信息化應用,利用先進的信息化管理系統來改善內部的管理。同時,為了更好的給用戶提供服務,也逐步的將營業網點和業務代辦點建到了眾多的場所。
雖然運營商自身有著豐富的網絡資源,骨干網絡完全可以通過自有的DDN甚至光纖等其他專用線路來構建,但如何實現各移動用戶隨時安全的接入內部網絡、如何將廣大的代理商也能接入網絡訪問必要的數據,成為了運營商構建自身信息平臺的重要問題之一。
隨著近期各種寬帶上網方式(如ADSL)的普及,新型的移動接入方式也層出不窮,眾多的運營商開始采用Internet作為網絡傳輸的補充平臺、在此基礎上構建安全方便的VPN虛擬網絡。
遠程辦公,遠程營業
各個服務中心開展現場營銷活動時,客戶經理在現場通過VPN連接總部獲得營業信息,使用內部運營管理系統。在臨時需要與總部聯網時,不必架設繁瑣的專用線路。只需要以任意方式接入Internet即可。
領導在外出差或在家辦公時,只要能上網、安裝VPN客戶端軟件,就可以登陸內部辦公系統,及時審批公文和處理業務。
員工休假或出差時,也能及時通過VPN客戶端、連接到內部辦公系統獲取公司信息。
實現效果:
原來各營業廳的客戶經理在進行現場銷售活動時,開通業務必須要到營業 廳內、很不方便,使用iGate SSL VPN,可以在戶外現場直接開通業務,大大提高效率并提升了運營商的形象。
原來領導和員工外出辦公,只能通過Modem撥號接入到辦公網,速度很慢,使用iGate SSL VPN后,可以通過寬帶接入辦公網,速度大大提高,提高了工作效率。通過對接入授權的配置,提供給不同用戶不同的權限,加強了辦公網的內部安全。
連接合作伙伴、遠程維護
替代原來的Modem接入方式或專線接入方式,將代理商接入到計費網絡,使代理商可以在授權范圍內自行開通和查詢所代理的業務。
電信機房維護人員通過VPN,遠程維護電信設備。
原來領導和員工外出辦公,無法連接到辦公網辦公,使用iGate SSL VPN后,無論何時,何地,采用任何設備均可訪問內部資源,提高了工作效率。
工程人員和運維人員可以遠程維護機房設備,大大提高工作效率。在 iGate 上有嚴格的接入限制和授權,保證遠程用戶接入的安全性。
安全性充分滿足了運營商的需要:
VPN網絡的安全性有三層含義:一是數據傳輸的安全;二是用戶接入的安全;三是對內網資源的訪問安全。一般來說,所有的VPN產品都會通過數據加密技術來保障數據傳輸的安全,也會通過用戶名密碼或其他的證書認證方式等等,來保證用戶接入的安全。但對內網資源的訪問安全,則很多VPN產品都沒有妥善的考慮。
運營商的內部網絡資源繁多,也極其重要。所以首先必須保證合法的用戶才能接入到網絡中來,其次、對每個接入的用戶,都必須設置相應的訪問權限,只允許訪問授權范圍內的網絡資源。
iGate SSL VPN采用了基于硬件的身份認證技術來解決用戶的接入認證問題,即ikey身份驗證令牌。只有在客戶端插入ikey,輸入PIN碼,通過認證,才可訪問被授權的資源。
另外,iGate SSL VPN還增強了對內網的安全設置,保障了第三個層次――內網資源訪問的安全。尤其是接入的VPN用戶并非是內部工作人員(如供應商、客戶、合作伙伴等)時,對VPN用戶訪問權限需要更嚴格的設定。iGate提供了對內網訪問權限的基于角色的設定,可以對不同的用戶分配不同的權限規則,避免內部出現的安全隱患,一個合法的VPN用戶接入總部后,他對總部資源的訪問權限能夠被限定在一個很小的范圍內,例如總部有多個應用系統(如OA、財務、HR、CRM等等),一個普通的業務人員在聯入VPN后只能訪問OA或CRM,而公司領導則可以同時訪問所有的應用系統,所有的這些權限都可以通過簡單的配置迅速完成,極大的方便了IT安全部門的管理工作。
對移動用戶的支持非常方便易用:
移動用戶不可能帶著硬件設備來接入公司VPN網絡,有些低端的VPN產品解決移動用戶的方式是直接調用操作系統自帶的VPN功能,采用PPTP虛擬撥號的方式接入總部,只有基本的用戶名密碼驗證,安全級別非常低;另外不能同時訪問內網和Internet,也造成了極大的不便。
iGate SSL VPN對移動用戶提供了強大的支持,并且支持“移動IP”。移動用戶不但能夠接入企業VPN網絡,而且能夠獲取與在局域網內時相同的內網IP地址,并能夠通過該IP地址與內部網絡相互通信。這就使得移動用戶不但可以訪問企業網絡,同時在外出時、也能夠被局域網所找到,完全象在同一個局域網內一樣。
ikey身份驗證令牌可以將移動用戶的安全策略存儲在類似U盤的USB Key中,這樣移動用戶隨身攜帶標識自己身份和存儲了對應安全策略配置信息的ikey,可以在任何一臺電腦安全的接入到總部。用戶只需要插入ikey,輸入PIN碼就可以完成接入,做到了VPN客戶端零配置,和使用銀行取款機一樣安全方便。簡單易用性達到極點。
第三篇:MSTP組網類解決方案
中國人民銀行西安分行網絡升級
解決方案
中國電信股份有限公司西安分公司
2018年5月
目錄
1、中國人民銀行西安分行網絡現狀及需求分析...........................3
1.1 中國人民銀行西安分行網絡現狀................................3 1.2中國人民銀行西安分行需求分析.................................3
2、中國人民銀行西安分行解決方案....................................4
2.1 方案設計原則................................................4 2.2 中國人民銀行西安分行MSTP組網解決方案.......................5
3、MSTP組網方案特點...............................................5
4、方案優勢........................................................6
1、中國人民銀行西安分行網絡現狀及需求分析
1.1 中國人民銀行西安分行網絡現狀
中國人民銀行西安分行目前的全省廣域網線路已運行多年,具體形式為: 1.西安分行核心路由器通過CPOS光口與電信方專業傳輸設備對接,實現9個地市及營業部單位的數據互聯;
2.目前共開通有11條SDH數字電路,每條電路帶寬為10M,每個地市單位同時開通1條SDH數字電路,并通過西安分行路由器和地市及營業部單位路由器進行互聯使用;
3.每個地市及營業部單位10M帶寬承載了公文、視頻會議系統等重要業務。4.經現場與客戶網絡設備廠家技術人員確認:
? 中心端路由器具備空閑千兆FE電口,并且端口具備劃分子接口(VLAN)的功能;
? 地市及營業部單位路由器均空閑有1個以太網端口。
1.2中國人民銀行西安分行需求分析
中國人民銀行西安分行現廣域網已經運行多年,隨著政務系統信息化建設的推進,現有的網絡帶寬已經不能滿足業務量激增的需要,急需進行升級擴容,具體要求包括:
1、將西安分行至9個地市及營業部單位的廣域網帶寬由10M提升至20M;
2、盡可能利舊現有設備實現升速;
3、整個網絡升級擴容不能影響到正常工作,并且升級后全網的ip地址不需要變更。
2、中國人民銀行西安分行解決方案
2.1 方案設計原則
針對中國人民銀行西安分行廣域網升級項目的重要性和特殊性,我們在設計項目解決方案時特別遵循了以下設計原則: ? 先進性原則
從較高的起點對網絡建設進行規劃,充分采用先進成熟的網絡技術,滿足中國人民銀行西安分行業務數據傳輸需要。用中國電信的傳輸網絡優質資源提供全面的解決方案,形成統一先進的通信系統。? 可靠性原則
網絡設計過程中從網絡技術、骨干路由、專線保護等多方面考慮中國人民銀行西安分行廣域網線路的可靠性,保證數據傳輸的安全可靠。同時提供的7*24小時的服務保障,從技術和服務兩方面保證中國人民銀行西安分行業務專網可用性達到要求。
? 經濟性原則
通過技術、經濟比較,性能、價格比較,選擇優化的網絡結構和網絡技術,做到從實際出發,制定經濟、合理的方案,為用戶實現一個高可用、高安全的專網線路服務。? 可擴充性原則
考慮到中國人民銀行西安分行業務的飛速發展,網絡承載的信息流量不斷增加。中國人民銀行西安分行專線的設計中須考慮未來帶寬擴容的需要,從網絡和設備的配置上都要保留一定的擴充余地,便于未來擴容需要。
第四篇:OA辦公自動化系統組網解決方案
oa 辦公自動化系統利用先進的技術,使人的各種辦公業務活動逐步由各種設備、各種人機信息系統來協助完成,達到充分利用信息,提高工作效率和工作 質量,提高生產率的目的。作為企業信息化的重要組成部分,oa系統一直都是必須的一項業務。隨著企業的發展,開設分公司、新辦事處、在家辦公、移動辦公等都成了一種新的需求。因此,oa系統的應用不僅僅局限于某個公司總部或單位總局小型局域網了,現在總部都需要實現和分支機構的互聯,使oa系統中的個人辦公、公文系統、綜合業務、行政管理、綜合信息等資源共享,讓公司管理更加統一規范,保證物流、信息流的實時更新,確保公司市場信息的及時傳遞,營銷方案的及時執行,提高工作效率;對于政府機構來講,需要實現和分局的實時聯絡,保證公文流轉的時效性和安全性等等。
要實現這些目標,過去通過電話,電子郵件,不僅效率低,而且費用也不低;采用ddn專線造價太高,用modem遠程撥號的方式速度又太慢。如何達到價格和性能的完美統一呢?有了iceflow vpn,只需要運行一套c/s、或者b/s的oa系統,全球各地的同事就可以協作完成任務了。
iceflow vpn特點
◇ 安全:iceflow vpn基于國際標準ipsec協議構建,采用192位idea、des、3des高強度加密算法,并采用動態密鑰交換機制,其具有全面日志分析管理功能,最大程度保證公網傳輸中數據安全問題。可以將分部pptp用戶和特定主機綁定,即使pptp客戶用戶名密碼泄漏也絕無安全隱患。另外,與某類產品相比,iceflow vpn免受網絡上病毒的攻擊,也避免重啟等手續,更有效保證數據傳輸的安全性
◇ 穩定:iceflow vpn按照工業標準設計,支持30000小時連續無故障運行,自動撥號,斷線后可在線路恢復正常后10秒內恢復正常運行,支持單機雙線路和雙機分流備份,有效保證數據流暢通
◇ 靈活:iceflow vpn可實時查看當前數據流量;支持ddn,adsl,cable等多種方式接入internet;支持網狀結構和星型結構等多種組網方式;可通過監控中心即時監測各個節點使用狀態等,內建update功能,一般新發布的功能均可以免費得到。性價比高:iceflow vpn與同行業產品相比,價格合理,并且根據性能檔次分不同價位,可滿足不同用戶需求。iceflow充分考慮用戶的實際需求,為其良身定放產品
方案概述
oa辦公自動化vpn組網原理和遠程erp系統組網原理相同,都屬于應用系統遠程組網。iceflow建議,只需要在客戶的總部以及各個分支機構分別放一臺iceflow系列路由器,各點通過adsl或其它方式接入公網internet,就可以為客戶構建廉價,穩定的vpn網絡。因公司或企業領導需要在家或出差在外時仍能方便辦公,故可采用pptp撥號方式接入,實現與總部的互聯。
網絡架構
◇ 總部:總部一般來講是企業信息存放、處理的中心,網絡內部主機數量多,數據流量大,安全性和實時性要求高;因此推薦采用高性能的iceflow r5000h作為接入服務器。對于實時要求很高的企業用戶,可以在總部采用兩臺r5000h 作雙機備份,保證穩定數據傳輸
◇ 分支機構:企業分支機構一般指分布在全國各地規模中等的分公司,公司內部建有中等規模的局域網,同時通過當地isp提供的寬帶接入方式接入因特網。安裝一臺iceflowr5000l或1700h路由器,作為客戶端接入總部
◇ 移動辦公用戶:采用pptp或l2tp協議,接入總部,可支持cdma/gprs及802.11b等無線移動接入,用戶即使在乘坐車船甚至飛機的途中,可隨時隨地實現移動辦公
第五篇:1 證券解決方案
證券解決方案
證券行業的網絡應用主要分為兩大方面:營業部網絡和證券公司廣域網。前者實現了各營業部的基本工作職能,側重于局域網建設;后者則滿足了大型跨地域證券公司的網絡互連需求和增值服務的實現。為此,通威公司針對兩類應用的特點分別提出了相應的解決方案。
1、營業部網絡
營業部網絡的功能由以下幾部分組成:
1、交易/行情業務處理
這是每一個證券營業部網絡所要提供的基本職能。它需要為用戶提供行情公告和委托下單服務,一般基于Novell網絡操作系統應用程序;同時還要具有交易清算的功能,這一般在Windows NT或UNIX環境下完成。交易/行情業務數據以文字為主,僅帶有少量圖形信息,但數據量大,更新頻繁,其網絡傳遞能力代表了證券營業部的服務質量和市場競爭 力,因此為這項主業務作支撐的網絡要求具有很高的可靠性、數據傳輸速率和安全性。根據各營業部規模不同,網絡環境大多采用100/1000M交換以太網作主干,10/100M 交換以太網到桌面的連接方式。
2、辦公管理
除業務處理外,辦公管理現代化也是行業發展的必然趨勢,它可將營業部的各項管理數據作電子存檔,通過網絡共享,做到準確、及時、方便的信息交流,這部分數據以文字和圖形為主,一般采用界面友好的瀏覽器形式操作。相對主業務數據而言,辦公管理對網絡實時性要求不高,主要強調系統的安全可靠、穩定和經濟性。為此網絡采用100M交換以太網主干,10M交換到桌面的連接方式就足以滿足需求了。
3、通信服務
通信服務的內容涉及多個方面。這主要包括:發展證券公司內部Intranet,以WEB、電子郵件等方式加強辦公管理;進一步與當地信息港、互聯網連通,實現資源共享,同時擴展市場影響力;增加本地撥入服務,建立遠程大戶室,從而開拓新的業務范圍等。這部分功能體現了證券公司的增值能力,其應用特點為靈活、多樣,并且往往要借助于廣域網鏈路來實現,要求系統可靠、擴展能力強,廣域網鏈路經濟,而互聯網的接入則對網絡的安全性提出考驗。為此可采用防火墻和認證軟件來保證系統的安全可靠,采用模塊化設計的網絡設備保證系統的擴充能力,并采用優化的帶寬管理、多種鏈路技術、高速緩存等來保證廣域網鏈路的經濟性。
證券營業部網絡的各項功能并非是各自獨立的,而是相輔相成,并最終在一個統一的網絡架構中實現。綜上所述,這個網絡的主體要求是:
? 可靠,不停機--系統有一定的冗余和備份,故障恢復迅速;
高速--在用戶數據較多、突發流量大的情況下,不容許出現網絡瓶頸,阻礙正常交易;
安全--鑒于網絡中傳遞的信息就是金錢,一定要保證數據安全保密,防止不良分子破壞,尤其在互聯網接入、危機四伏的情況下,網絡安全更要引起重視;
可管理性--為保證系統良好的運行,滿足前述幾項要求,營業部網絡也需要實施完善的管理,如精確分析網絡流量、確定系統運行狀態,監控非法用戶入侵等。? ?
結合上述網絡要求,并針對不同的營業部規模和各自應用特點,通威公司提出了以下多種解決方案。
(1)500節點以下證券營業部解決方案
這是針對相對小型的證券營業部提出的解決方案,方案特點如下。
1.系統全套備份,主干交換機的全冗余配置,每個工作站到每臺服務器都有多條連接鏈路,并采用快速以太網通道化、快速上聯恢復和快速端口恢復等技術充分確保網絡的可靠性。
2.高性能全交換,利用快速以太網通道化/千兆以太網通道化技術擴展網絡帶寬,滿足大負荷網絡運行需求;
3.系統安全,保密性高,交換機端口安全設置技術保證了局域網環境的安全,而IOS操作系統集成防火墻功能構成了廣域連接安全屏障;
4.管理簡單,可在用戶熟悉的瀏覽器界面下,對系統的交換機實施配置和監控。管理人員也無需專門培訓。
A、百兆主干方案
根據經濟承受能力的不同,對500節點以下的營業部解決方案可以有百兆主干和千兆主干兩種方式,百兆主干方案拓撲結構如下
由下圖可看出,該方案網絡設備組成為(斜杠表示可互換設備)
Catalyst 3524/2948G交換機 兩臺
Catalyst 2924/3524/3548交換機 十臺 Cisco 2600路由器 一臺
思科公司的Catalyst 3524或Catalyst 2948G交換機是這一網絡的核心設備,Catalyst 3524提供了24個10/100M自適應的快速以太網端口和兩上千兆以太網端口,Catalyst 2948G則具有48個10/100M快速以太網端口和兩個千兆以太網端口,可分別用于對工作站數量有不同要求的應用,由圖1可看出,兩臺Catalyst 3524/2948G各自利用兩個百兆端口通過Cisco FEC(快速以太網通道,Fast Ethernet Channel)接成高達400M的無阻塞通道,成為該網絡的主干;每臺Catalyst 3524/2948G又分別和十臺二級交換機Catalyst 2924/3524/3548級聯,共可為220-460個10M或100M用戶工作站提供網絡接 入;同時,為保證交易服務器和行情服務器的高數據傳輸率,主干交換機Catalyst 3524/2948G又以100M甚至1000M帶寬分別與各臺服務器相連,使下級工作站的大量訪問數據得以暢通無阻。
為實現前文所述的營業部網絡的第三項功能--通信服務,方案中還引入了思科公司的路由器Cisco 2600,這是一款功能靈活、得以廣泛應用的中檔路由器,除了有固定的10M或10/100M局域網端口外,還具備一個NM網絡插槽和兩個WIC廣域網接口插槽,所選模塊可以有多種組合:如NM-8AM模塊可為遠程大戶同時建立八條115.2K的電話撥號連接;WIC-IT可通過DDN專線或幀中繼接入Internet或公司總部;WIC-IB則可提供一條ISDN撥號鏈路……營業部可根據自身需求選擇適合的Cisco 2600型號和相應模塊,空余的插槽可為以后網絡升級留出空間。
除了硬件選配的靈活多樣外,Cisco 2600在操作系統軟件性能上也可以有豐富的功能選擇。圖1中所示的路由器后方帶有一個紅色磚墻標志,它表示該路由器兼任了防火墻--這是通過操作系統升級而具備的增強功能,它使路由器在承擔遠程連接的同時實施數據包檢驗和過濾,防止非法用戶侵入到內部局域網中。
考慮到遠程大戶室的發展趨勢,在每套解決方案中都用到了800/1700路由器來引入遠程大戶連接,這套方案中用到了思科公司的低端路由器Cisco 800/1700,它提供了對內的10/100M局域網接口和對外的128K的ISDN或專線連接,通過專用線路實現遠程交易或瀏覽等應用。ISDN是國內已廣泛應用的一種撥號技術,按連接時間計費,費用比普通電話線稍高,但帶寬能達到普通電話線的3-4倍,且傳輸穩定,連接迅速。
思科公司產品系統的中、低端路由器都可以通過操作系統升級具備防火墻性能,在承擔遠程連接的同時實施數據包檢驗和過濾,防止非法用戶入侵到內部局域網中。對連接到廣域網的用戶來說,安全性是網絡設計中不可忽視的一項重要因素。
這種局域網設計的最大特點是高效率、高可靠性、高安全性和高可管理性;并且成本較低,網絡結構易于搭建和管理,兼顧了證券營業部的多方面應用。高效率體現在FEC技術的使用、網絡的分層結構和帶寬的合理分配上。FEC技術是鏈路帶寬擴容的一條重要途徑。它可在100M或1000M以太網端口間實現,用于將多條并行鏈路的帶寬疊加起來。這項技術能夠把2-4組高速端口之間的連接帶寬聚合在一起,在全雙工工作模式下達到400M-800M的帶寬,這樣多條鏈路被用作單條高速數據通道,避免了回路的形成。以太網通道技術也體現了產品的可擴充性能,能充分利用現有設備實現高速數據傳遞。
高可靠性則由兩臺主干交換機的全冗余充分表現出來:從每個工作站到每臺服務器都有多條連接鏈路,這樣即使其中一條鏈路斷線或一個主干交換機發生故障,都能在用戶覺察不到的極短時間內啟用備份恢復數據傳遞,從而保證了系統穩定可靠的運行。思科交換機所支持的幾種容錯技術,如FEC、Uplink-Fast(快速上聯恢復)和Port-Fast(快速端口恢復)技術能夠充分確保網絡的可靠性。FEC技術的引入在實現帶寬擴充的同時,多條鏈路被用作單條高速數據通道,避免了回路的形成,另外通道中部分線路的故障不影響其它線路的帶寬聚合,從而也保障了網絡的可靠性。快速上聯恢復是用在交換機間級聯鏈路上的一項技術。它使備份端口直接由阻塞進入到轉發狀態,從而使網絡收斂時間從40秒大大縮短至5秒以內。快速端口恢復技術應用在直接連接工作站或服務器的交換機端口上,它與快速上聯恢復的工作原理類似,將轉換延遲從40秒縮短至2秒以內,這樣在交換機上接入新的工作站,或改變某工作站的所接端口時,該站點能很快進入工作狀態。
系統的安全性包含了局域網的安全性和廣域網的安全性。思科局域網交換機能夠進行端口安全的設置,交換機端口所連的各個工作站/服務器都有自己唯一的MAC地址,為此對應交換機的每端口都有一下MAC地址表。網絡管理員可手動地在表中加入特定的MAC和端口的對應關系,將設備與端口綁定,防止假冒身份的非法用戶通過網絡中其它交換機接入;此外,端口安全機制還體現在對每端口所支持MAC地址數的限定上。在廣域網方面,思科公司路由器的操作系統IOS能夠集成防火墻功能。這使路由器在完成路由和遠程連接功能的同時充當安全屏障--防火墻的角色,對規模較小的證券營業部,IOS防火墻不失為一種經濟的選擇。
此外,系統的管理相對簡單,可以采用Cisco交換機視像管理器(CVSM),它是一套基于WEB的免費配置管理軟件,可在用戶熟悉的瀏覽器界面下對思科交換機系列產品實施配置和監控。CVSM避免了對交換機操作系統語言的直接介入,而以更為友好的圖形界面取而代之。用戶只需在交換機上只需事先設定好IP地址,就可以通過CVSM輕松地去訪問和管理它;所有操作一次性完成,不需隨時監控。
B、千兆主干方案
在同一網絡規模下,若證券公司對網絡主干有更高的要求,可通過更換前套方案中的主干交換機將其提升為千兆主干網絡,拓樸結構如下:
圖中網絡設備組成為:[見圖]
Catalyst4003交換機 兩臺
Catalyst2924/3524/3548交換機 十臺
Cisco 2600路由器 一臺
該方案與前方案結構大致相同,只是核心交換機由原來的Catalyst 3524/2948G升級為Catalyst 4003,它具備三個接口插槽,可選擇的以太網端口從帶寬上和密度上都比Catalyst 3524/2948G有較大提高。這里共選配了8個千兆端口和32個百兆端口,從而可以將兩臺主干間的百兆FEC通道提升為千兆GEC通道,接成高達4G的主干帶寬;同時也可為更多的行情/交易服務器或數據量較大的二級交換機提供千兆連接。千兆以太網通道化技術與快速以太網通道化技術類似,它可將2-4組千兆端口之間的連接帶寬聚合在一起,在全雙工工作模式下達到4-8G的帶寬,這樣多條鏈路被用作單條高速數據通道,在提高傳輸效率的同時避免了回路的形成,通道中部分線路的故障不影響其它線路的帶寬聚合,從而也提高了網絡的可靠性。
(2)500-1000節點證券營業部解決方案
能支持500-1000節點的證券營業部屬中型規模,它的網絡建設同樣需要滿足營業部網絡的特定要求,并且相對500節點以下的網絡還應具有更高的數據吞吐能力,此類系統的主要特點如下:
系統全套備份,穩定可靠,獨特的堆疊技術能夠在網絡中構造冗余,在堆疊之外每個二級網點和服務器仍同時與兩臺主干交換機作千兆雙鏈路連接,保障系統運行的可靠性;利用HSRP技術,可以實現兩個主干交換機在第三層上的熱備份功能;
高性能全交換,千兆主干,并采用千兆以太網通道化技術擴充帶寬,能滿足大負荷網絡運行需求;第三層交換技術,能夠使兩個網段在進行數據交換時,可以根據不同的應用有選擇的進行,提高了帶寬資源的利用率。VLAN技術的引入也使得系統資源能夠被更有效地利用,結合HSRP(熱備份路由協議)技術、PVST(每個VLAN單獨計算Spanning Tree)技 術,使每個二級交換機上的兩條聯鏈路同時處于傳輸狀態,各自分擔一部分VLAN的數據傳輸,充分利用帶寬。
系統安全,保密性高,采用先進的虛擬局域網技術,它依靠用戶邏輯設定將原來物理上互連的一個局域網絡劃分為多個虛擬網段,同一虛網內數據可自由通訊,而不同虛網間的數據交流則需要通過第三層交換來完成,從而提高了系統的安全性。
可選用功能相對強大的專業網管系統,使網絡管理從單純的配置管理擴展到設備配置和網絡健康狀況管理等多個方面,管理界面友好,使用靈活方便。
通威公司針對這種規模的網絡提供的方案拓撲結構如下:
圖中網絡設備組成如下圖:
Catalyst 4006/6506交換機 兩臺
Catalyst 2948G/2980G交換機 若干 Catalyst 3524/3548交換機 若干
Cisco 2600路由器 一臺
由圖可看出,這套方案仍為雙主干互備份,級聯多個二級交換機的結構。但為支持更多用戶數和更多大的數據傳輸量,各級設備都相應升級:主干交換機采用兩臺Catalyst 4006(6個接口插槽,帶第三層交換模塊)或Catalyst 6506(6個接口插槽,帶第三層交換模塊MSFC),以GEC技術構造8G高速主干,足以負擔沉重的數據傳輸量;二級交換機可采用Catalyst 2948G/2980G,同時與兩主干交換機作千兆上聯,并為工作站提供48/80個 10/100M接入端口;若某些二級網點要求的用戶數更多,則可采用多臺Catalyst 3524/3548堆疊--思科公司的Catalyst3500交換機具有獨特的GigaStack堆疊技術,采用價格低廉的銅纜以菊花鏈方式構成1G的堆疊總線,每堆疊最多可支持九臺Catalyst 3524/3548,提供多達300多個10/100M工作站接入端口。
該方案充分考慮到系統的高可靠性、高安全性、高速率和可管理性。
在可靠性方面,思科的GigaStack堆疊技術,使首尾兩臺交換機的額外連線將整個總線結成回路,其目的是在堆疊內構造冗余,這樣即使堆疊中任一連接出現故障,都能繼續傳遞數據;在堆疊之外,每個二級網點和服務器仍同時與兩臺主干交換機作千兆雙鏈路連接,保障系統運行的可靠性。
該方案采用了虛擬局域網(VLAN)技術來充分保證系統的安全性。隨著用戶的增多,整個營業部局域網內數據流通量增大,并且行情、交易、辦公管理的數據混雜,不利于網絡性能的提高和安全隔離,這使得VLAN的應用成為必要。VLAN依靠用戶的邏輯設定將原來物理上互連的一個局域網絡劃分為多個虛擬網段,劃分的依據可為設備所連的端口、用戶節點的MAC地址等。劃分的結果使得同一虛網內數據可自由通訊,而不同虛網間的數據交流則需要通過第三層交換來完成。劃分VLAN具備以下好處:提高安全性、隔離第二層的廣播信息提高帶寬利用率、增強網絡應用靈活性。當然,不同部門(VLAN)之間有時也需要進行數據交換,為此需要借助主干交換機第三層交換的功能,這是由交換機的第三層交換模塊來實現。它支持多種路由協議(如RIP,PIP v2,OSPF,EIGRP等),也支持訪問控制列表(access list)。
主干交換機采用千兆高速技術和GEC技術,足以負擔沉重的數據傳輸量;二級交換機的處理能力也非常強大,同時與兩主干交換機作千兆上聯。思科的HSRP(熱備份路由協議)技術,能夠使兩個主干交換機在第三層(即VLAN之間的數據傳輸)互為熱備份;同時在二級交換機上,利用PVST技術針對兩條千兆上聯鏈路為每個VLAN設定不同優先級,使到兩條千兆上聯鏈路都負擔部分流量,做到負載分擔,充分利用帶寬資源。
該方案可以選用功能相對強大的專業網管系統如Cisco Works Windows。它的功能已從單純的配置管理擴展到設備配置和網絡健康狀況管理等多個方面:如定性或定量的分析網絡各項參數;基于SNMP全面管理網絡中多種設備,以照片方式顯示設備直觀視圖;通過簡單的點擊配置設備端口和各項參數;通過不同色彩和多種圖表顯示各種工作狀態等。這是一套基于Windows的網絡管理軟件,可安裝在Windows 95/98或Windows NT平臺上,界面友好,使用靈活方便。
此外,數據處理能力的增強使得證券營業部有可能開展更多的服務項目,如圖形信息量較大、對網絡帶寬和傳輸質量要求較高的多媒體股評、視頻點播等。
(3)1000節點以上證券營業部解決方案
對于更大規模的證券營業部,通威公司又推出第三套建議方案,方案特點如下:
1.系統全套備份,穩定可靠;
2.高性能全交換,千兆主干,滿足大負荷網絡運行需求;交換機具備極高的交換能力和端口密度,并通過第三層交換提高了系統性能。
3.系統安全,保密性高,在VLAN、交換機端口安全機制等基礎上,高性能的交換機具有對第三層路由模塊的支持能力,可以對VLAN間數據交換起到更好的支持作用
4.網絡管理采用深入全面的工具,可運行于Windows NT或多種UNIX平臺,功能十分強大,可對VLAN和ATM實施管理,支持的用戶數更多,適用于大型網絡。
相對中、小規模的證券營業部,大型營業部的業務模式基本沒有太多變化,因此網絡方案特點同于前方案,但用戶數進一步增加對網絡容量所帶來的更高要求使本方案所用設備再次升級,具體拓撲結構如下:
圖中網絡設備組成為:
atalyst6509交換機 兩臺
Catalyst 2948G/2980G交換機
若干 Catalyst 3524/3548交換機 若干
Cisco 2600路由器 一臺
大規模證券營業部所采用的二級交換機仍為Catalyst 2948G/2980G或Catalyst 3524/3548堆疊,每個網點可最多為數百個用戶提供連接;但由于二級網點數量的增加,對主干設備性能則提出了更高要求,為此主干交換機升級為兩臺Catalyst 6509,這是思科公司性能卓越的高端局域網產品之一,具備極高的交換能力和端口密度,有Catalyst 6506/6509兩種不同插槽數的型號可供選擇,最多可支持上百個千兆以太網端口,能充分滿足網絡互聯的需求。
除端口密度增加外,Catalyst 6500性能的提升還體現在其第三層功能上:首先,Catalyst 6500支持專有的第三層交換模塊MSFC(多層交換特性卡),不需借助外接的路由器就可實現路由;其次,MSFC直接附在交換引擎上,無需占用一個槽位;再次MSFC支持多層交換,可以提供。
另外Catalyst 6500支持雙交換引擎、雙電源冗余備份,體現其極高的可靠性。
Catalyst 6500系列滿足了可擴展性和高的性能/價格比的需求,支持寬廣的端口密 度、性能及高可用的選擇,并提供智能化、服務質量(QoS)和安全的機制。客戶可以更加有效的增強網絡的客戶服務如組播和ERP的應用而不須考慮網絡性能的嚴重衰減。與PFC(策略特性卡,和MSFC一樣附在交換引擎上)一起,可基于第二、三、四層的信息如用戶、IP地址或不同的應用而實現網絡的策略管理,或得很好的服務質量(QoS)。
該方案對于可靠性、運行速度、安全性、可管理性都予以充分的考慮。
整個系統采用的全套備份的體系,具備很高的可靠性,而Catalyst 6500所具備的熱備份路由功能(HSRP)更是提高了這一性能。
除了前幾種方案所述的VLAN、交換機端口安全機制等技術之外,該方案中Catalyst 6500對第三層路由模塊的支持能力,可以對VLAN間數據交流尤其起到了更好的支持,從而提高了系統的安全性。
在網絡運行速度方面,這一方案的配置相比而言更為高檔,數據處理能力極強。此外,Catalyst 6500既保留了傳統的第二層交換在各端口間傳遞數據時的高線速,又集成了原來在第三層路由中才有的完善的控制功能如路由、審計、廣播隔離等,大大提高數據處理能力。
在管理方面,該方案可以選用Cisco Works 2000這類管理深入全面的工具,它可運行于Windows NT或多種UNIX平臺,功能十分強大,可對VLAN和ATM實施管理,支持的用戶數也更多,適用于大型網絡。
該方案還具有對多媒體信息處理的強大能力,這主要通過增強的數據處理能力、完善的QoS機制和優化的視頻數據傳輸方案IP/TV等來實現的。值得一提的是,QoS不僅能夠充分利用帶寬資源,更可充分保證關鍵應用。QoS系統能對網上的數據流應用類別進行判定,并在IP包頭其優先級。然后,在應用識別基礎上,對數據流量進行調度。思科的加權式公平隊列(WFQ)、加權隨機早期探測(WRED)等技術,可以精確處理帶寬流量,從而使系統資源利用更為有效,保證各類多媒體信息可以流暢地在網絡中傳送
點擊咨詢 