广发证券二期网络设计与实施方案

《广发证券二期网络设计与实施方案》由会员分享，可在线阅读，更多相关《广发证券二期网络设计与实施方案（47页珍藏版）》请在装配图网上搜索。

1、广发证券综合业务网二期网络系统设计与实施方案目 录目 录2第一章 概 述3第二章 需求分析42.1 网络系统需求分析42.2 网络建设规模62.3 网络系统性能6第三章 网络总体设计83.1 网络设计范围83.2 网络设计原则83.3 网络规划11第四章 网络系统实施方案154.1 设计概要154.2 网络结构164.3 防火墙系统设计方案184.4 IP电话系统234.5多媒体影视系统294.6 产品选型和配置介绍354.7 投资保护46第一章 概 述广发证券公司综合业务网的建设在经历了近一年时间的准备阶段后，已经迈出了坚实的第一步。在这段时间内，广发证券公司和XX集团本着精诚合作、共同发展

2、的原则，在多次的交流和沟通中逐渐达成了共识，确定了网络结构和进一步的发展方向。在一期网络进行实施的同时，广发证券公司又并购了近30家营业部，更进一步的突出了广发证券在广东省内证券公司中领头羊的地位。这种不断壮大的趋势也促使广发证券公司加速自身的网络建设，以适应瞬息万变的市场需求，将目前的网络升级为一个更加强大、高速、覆盖面广、支持多样化服务、体系结构清晰的综合业务网已经迫在眉睫。 广发证券有限责任公司的决策层一贯重视高新技术在基础设施建设及管理方面的应用。因此，XX集团在双方良好的合作基础上将不遗余力的发挥自身的特点，与广发证券携手合作，为广发证券再创辉煌做出贡献。第二章 需求分析2.1 网络

3、系统需求分析2.1.1 网络结构的统一实现广发证券公司完善的交易监控和内部管理体系需要结构清晰、整齐化一的网络结构。根据广发证券公司各营业部和职能机构的分布状况以及业务和管理流程，通过地面网络的建设，在层次结构上实现集中化的通信链路结构，从而提高中心的监控和管理能力。广发证券公司一期的综合网建设在基本原则确定的基础上，形成了相对统一的网络结构，但由于处于尝试阶段，仍然有部分网络节点并没有按照三级网络结构的规划进行合理安排（例如：一些三级的营业部直接连接网络中心）。目前广发证券具有敏锐洞察力的领导层清楚的意识到了分布式管理模式的优势，广发证券将形成中央集中控制、大区分地域管理的模式，从而提高效率

4、，增强竞争力。这种体制以一期网络设计中所提出的三级网络结构为基础，则能够发挥出更大的效力，并完美的融合起来。广发证券公司希望通过网络结构的进一步调整，形成清晰统一的交易体系，突出区域管理职能和中心监管职能，逐步实现交易的集中监控，认证，并为平滑过渡到集中交易的方式打下坚实的基础。2.1.2 多媒体服务的需求券商之间的竞争不仅表现在交易环境的改善上，丰富多彩的增值服务也是增强竞争力的有力措施。务体系。通过改进后的网络实现IP电话和呼叫中心服务能够有效的提高广发证券公司的服务质量。在网络技术飞速发展的今日，许多有实力的企业都建立了内部的IP电话系统和客户服务中心系统，利用很少的运营成本为广大的用户

5、提供了有吸引力的服随着用户的素质和层次不断提高，他们对服务的需求已经不仅仅满足与简单的接收行情信息，他们需要更为直接的视音频服务。而在现在网络带宽不断扩大、压缩技术不断更新的条件下，这一切都成为可能。同时，企业内部网络也向更加快捷方便的交流方式转变。网络系统中所提供的多媒体视频广播、视频会议系统和视频存储系统能够为广发证券公司提供实时股评、电视会议、海量资料存储等增值服务。2.1.3 系统管理需求在广发证券公司内部需要通过健全的MIS系统、基于Web技术实现的Intranet系统、结构层次清晰的办公自动化系统以及基于视频广播体系的多媒体信息发布等方式来强化内部的信息管理系统，从而形成完善的管理

6、体系，为广发证券不断发展和壮大提供条件。而这样的一个管理范围涉及面广的应用系统需要统一的管理平台作为有力支撑。在一期网络的设计中，由于仅仅涉及到网络的搭建，因此在管理上我们配置了CISCO公司的网络管理软件CWSI对网络设备进行全面的管理，而二期则是与应用相结合的管理模式，我们推荐采用更加强大的支持应用的管理软件。2.1.4 Internet接入需求为了支持广发证券公司范围更广，影响更大的网上股票交易，同时让内部员工能够在办公地点以外的任何地方安全的使用广发网络中的各项服务，并将零散的、有很多安全隐患的管理方式逐步形成统一的Internet接入方式，我们在广发证券综合业务网的一期项目基础上，增

7、加Internet的接入功能，并在此基础上实现广发证券公司的移动办公。2.1.5 安全的远程大户室接入需求为了让广发证券公司各营业部的大户能够得到更优质的服务，能够足不出户就可以通过电脑查询行情和实现交易，通过呼叫中心服务的大户能够享受到比Internet交易更为方便快捷的交易方式，从而增强广发证券在业界的竞争力。2.1.6 通信线路的调整2.2 网络建设规模根据前面提出的需求，XX集团提供的方案中涉及的范围有：l 广发证券网络中心扩容：扩容后的网络中心具有更加强大的中心处理能力，更稳定可靠的体系结构，更完善的系统管理功能，为中心职能的发挥提供了有力的保障，带给广发证券更快的交易速度，更稳定的

8、业务系统，同时能够在此基础上增加MIS、OA应用、移动接入、安全的大户室接入等服务。l 新增的二级分中心建设（新增加七个大区中心）：二级分中心是在地面网的网络结构中体现出来的，向上直接连接网络中心，向下连接各三级节点，起到减轻中心压力、增强网络可靠性以及节省投资的效果。l 三级营业部建设（已经委托的营业部）：利用更完善的管理制度和整齐化一的网络结构实现的三级营业部形成了全网的连通。l 连接上述机构的完善的地面网络系统扩容l 实时多媒体广播系统及与之配合的信息制作存储系统：通过多媒体广播系统可以实现实时股评、人员培训、消息发布等服务。通过信息制作存储系统能够将高质量的视像信息无失真的收集和存储下

9、来。l IP电话和呼叫中心：通过CISCO Voice Over IP的技术实现的企业IP电话服务和增值的呼叫中心服务。l 移动办公服务：通过更多端口的拨号访问实现移动办公。l 远程大户接入服务：通过呼叫中心接入方式实现大户的安全交易。本网络建设是广发证券应用系统的基础，因此设计规模上要充分满足需求。2.3 网络系统性能2.3.1 网络系统可靠性1. 网络系统需要7 x 24小时不间断工作2. 各种硬件设备的平均无故障时间不低于8000小时3. 设备支持热插拔功能4. 地面网络系统与卫星网络系统紧密联系完成备份功能5. 重要节点的网络设备具有完善的冗余配置2.3.2 网络系统安全性1. 网络设

10、备应具备完整的操作权限管理机制2. 网络设备应具备完整的安全管理机制3. 网络管理系统应能为系统管理员提供多种发现系统故障和非法用户登录的手段4. 网络管理系统能支持磁带、光盘等外部存储方式保存历史数据5. 网络设备应具备VLAN的划分功能第三章 网络总体设计3.1 网络设计范围广发证券综合业务网的总体设计思想是：在充分保护现有（人员、技术、结构、设备）投资的基础上，采用国际主流的网络技术、结构和设备，提供从网络联通、网络管理、核心业务运行直至用户接入、用户管理和信息服务、内部信息系统以及电子化办公等一系列功能，保证系统的可靠性、稳定性、适用性和可扩展性。扩容后的广发网将成为国内证券业首例具有

11、统一管理、规范经营、有效运作的企业网，直接与国际先进水平接轨。扩容后的广发网为实现业务和管理的综合应用提供了保障。实现业务系统和管理信息系统的互动，也能实现真正的监控系统和决策支持系统，同时为将来发展在线交易提供了条件。广发网二期项目网络部分从技术上分为：1. 地面网建设2. 多媒体应用从业务数据上分成以下几个部分：1. 核心业务（交易、行情等）；2. 管理信息系统；3. 办公自动化系统与企业内联网（Intranet）；4. 多媒体数据（视频广播，IP电话等）。3.2 网络设计原则l 实时性 实时性是指在应用网络开展业务时，不会因为网络的时延而无法适应股市的瞬息万变，更不至于因为时延造成交易的

12、失败，也不会使用户感到比用其它手段操作有明显的时延。广发网采用全新的网络和业务模式，使用高性能的网络设备（交换机和路由器）和服务器（包括计算机硬件和软件），由于设备和网络导致的时延极小，而且新建地面网的时延远小于原有的卫星网。不但不会影响一笔委托交易的成交，而且对于用户来说服务将比未改造前更为快捷。通过方案中选用的设备支持的QoS保障的性能，能够为网络上传输的不同应用的数据信息划分优先级别，从而在多种应用并存的网络环境中保证交易业务的实时传输。l 一致性网络传输的一致性是指数据被准确地、完整地由用户端经网络传送到目的地，并有效地回传确认信息。广发网将通过网络的数据传输层控制来保障一致性。更重要

13、的数据一致性将由应用系统来实现。l 可靠性可靠性是指网络在开展业务期间抗御故障的能力。广发网将采用一系列备份和冗余措施来尽量提高系统的可靠性。例如：网络中心与备份中心；传输链路备份；网络设备冗余备份；端口冗余备份；关键服务器异地热备份；数据异地冗余备份等等。采用了多种可靠性措施后，各种业务数据（尤其是交易数据）可以抵御各种网络故障，保证数据传输到目的地。l 安全性安全性是指通过有效手段防止网络数据被窃取，资源被非法登录和黑客攻击等的设计。数据安全方面，广发网将采用数据加密和链路加密的方式来保障。网络安全方面，广发网将在与外界接口处设置防火墙（或单机连接的应用网关方式），阻挡来自广发网外部的非法

14、侵入。在网络实施中，各环节尽可能多地采取安全保密措施，如利用分组的闭合用户群功能，用户权限设置和口令、加密等方法。另外，通过适当划分VLAN进行部分隔离，限制部分交换，也可以起到在网络内部将核心交易业务与其他业务分隔开来的作用。l 实用性实用性是指网络针对各项业务的可用性及业界先进性。这与其它性能指标不同，实用性需要综合地进行评价。在广发网的设计中，注意使网络具有很好的实用性，不仅充分保护现有投资，而且要有良好的可扩展性、开放性、互联性，应当是完全面向二十一世纪的。作为优化网络性能的手段之一，应尽可能将整个网络资源合理分配和使用。所设计的广发网不仅能够满足公司业务的需要，从长远发展的观点考虑，

15、还可以与各种网络（包括超高速以太网、ATM网、HFC混合网、光纤网、帧中继和SDH骨干网等）顺利互联，便于市场开发、业务拓展、同业交流及国际接轨。网络提供了多种操作方式的选择,甚至是通过其它网络(如广电宽带多媒体HFC混合网、Internet)接入的可能,不论整个网络系统如何构筑，对于股民用户来讲是透明的，几乎没有差别，进而可以实现真正意义的网上交易。l 易管理性与易扩充性在广发网整体设计中做到了易于维护、平滑升级、方便扩容，并且通过优秀的网管软件实现了对网络的监控管理和性能的有效调整。这些都是确保系统稳定性的切实措施。网络所采用的技术、设备（软件和硬件）均为业界实践已证明是成熟可靠的。方案中

16、所有部分都为未来的扩充和升级预留了足够的空间，网络的扩充和升级不会对网络运行造成影响。3.3 网络规划3.3.1 业务传输分析下面相对各种应用的传输来分析一下它们网络中应该如何规划。1、 交易业务：这是广发证券综合业务网的核心业务。交易业务的特点是每笔作业的数据量较小，总的交易数据流量不定（伴随牛市会出现突发性流量，导致带宽变得紧张；而在熊市数据流量又会很小，显得资源闲置），但是对网络性能要求较高，无论网络忙闲，都必须绝对保证交易数据被优先传送！更高效、可靠地、易监控地传输交易业务是本方案建立地面专网的原因，正是为了更高效、更集中地处理业务数据，所以它理所当然采用地面网作为主传输网络，而采用卫

17、星网为备份。数据监控与分析、决策支持系统等由于与业务密切相关，可以采用业务数据传输的处理方式。2、 行情发布业务：行情发布是证券行业提供的重要业务之一，这项业务的主要特点是数据传输量和传输频率相对稳定，同时也没有交互信息的传输，因此很适合于以卫星信道上提供的单向广播方式来实现。由于现有的交易所直接将行情数据广播到各营业部的模式已相当成熟可靠，所以在广发网络建成之后也没有必要去改变它。基于可靠性的考虑，采用广发网络扩容后的卫星网作为行情发布的备份。3、 管理信息系统（MIS）：管理信息系统也是本网络的一个重要组成部分，可以说只有在管理信息系统真正实施运行之后，建立专用网络的优势才体现出来。目前大

18、量已应用的MIS系统的都是基于数据网（即地面网）的，本方案也将采用地面网来传输MIS的数据。本方案中采用的广域网产品可以通过不同传输优先级的设定来实现网络传输的QoS（服务质量）保证，网络实施时将业务传输设为最高优先级，以保证所有业务处理数据都能在第一时间传送到目的地。而MIS以及后面的几项应用相应设为不同的较低优先级，以在不影响正常业务通信的情况下实现网络中多种数据的传送。4、 办公自动化系统（OA）：建立专用网络之后，可以很方便地实现办公自动化、网络化，极大地提高工作效率。OA系统由于大量数据传输是在局域网上发生，广域网上一般只是一些报表之类的上、下传工作，频度不高但可能数据量较大。OA系

19、统同样会划分较低的优先级，使它可以在地面网上应用而不用分配太高带宽。5、 Intranet/Extranet/Internet：随着Intranet日渐流行，广发网络日后必然会采用Intranet的架构，同时Intranet与OA和MIS也紧密相关。Intranet/Internet结构本身就是一种以网络为中心的计算结构，在网络中需要传送大量数据，也就是需要占用大量带宽。由于广发网络中业务数据传输是首要的，如果在地面网上实现Intranet，为了保证业务数据的优先级，Intranet数据的带宽必然受到影响。而目前可行的地面网带宽本身就不易满足广发证券这样的大型公司Intranet的需求。所以，

20、本方案建议在日后建立Intranet时，申请另外的线路，或通过在Internet上的VPN技术来建设自己的虚拟专用网。6、 多媒体广播系统：这是本网络中对带宽要求最高的部分，由于前述卫星网在数据广播方面的优势，所以本方案采用卫星网来建设多媒体广播系统。7、多媒体视频会议系统：视频会议同样要求很高的传输带宽，而且由于视频会议是交互式的网络应用，又不同于广播方式。考虑到使用SCPC技术在卫星网上建设视频会议系统代价太高，而采用最适合视频会议的ISDN技术在国内又尚未普及和完善，本方案暂不作视频会议系统的配置。待日后国内ISDN网真正普及后，再采用其建设多媒体视频会议系统。3.3.2 三级网络结构如

21、前所述，本方案采用DDN线路建设地面网，而DDN的主要问题在于线路费用较高，为了使网络的线路费用降到最低，本方案地面网沿用一期方案中的三级网络结构，。即：中心节点：网络中心；分中心：同一行政区划中有多个营业部时设立分中心。网络分中心直接连接中心节点，同时每个分中心下联若干个三级节点。分中心可以在各业务总部，也可以在地区业务部，根据网络线路连接情况决定；三级节点：三级节点上联到分中心，再通过分中心连接到网络中心。三级节点包括各营业部，以及总公司下属的各总部（在同一大楼的不须广域网连接）。这次的网络扩容项目中，将过去直接连接中心的营业部均改为通过二级节点上联中心的方式，更进一步的使得三级结构变的清

22、晰采用三级结构后，可以更好地实现分层次管理和责任制。本网络建设的重要目的之一就是做到集中监控，甚至日后集中交易和清算，以降低风险。而采用三级结构后，各业务总部的地位才能真正在交易流程中体现出来。如果完全由总部进行交易监控，首先是工作量很大，可能出现疏漏，其次是责任并不是很明晰，对于风险的控制还不是最佳的方式。由各业务总部来进行交易监控，首先利于分层次的管理，真正完善业务总部的作用。其次可以采用分层负责制，这样针对性更强，责任更明确，更利于风险控制。这种方式目前在国外的证券行业已普遍采用。采用三级结构时，分中心与网络中心的连接需要分配较高的带宽，以满足其所有下联三级节点通信的要求。3.3.3 I

23、P电话系统和客户服务中心本网络将建成企业级完善的IP电话体系，从而有效的节省企业内部的长途电话资费，其具体分析报告详见第四章中的有关章节介绍，为了能够使广发证券享受到这项服务，这次的方案在有效利用原有资源的基础上增加了相应的模块，达到一次投资，永久见效的目的。在广发网络基础上增加客户服务中心设备，从而实现客户服务中心的支持也是二期项目中为提高广发网络功能的重要举措，通过客户服务中心的设立，可以为广发证券提供故障快速处理、股民问题解答、远程大户室支持等增值服务。+第四章 网络系统实施方案4.1 设计概要4.1.1 网络节点规划广发网由中心（一级节点）、大区中心（二级节点）、营业部（三级节点）三级

24、组成。广发网一级设有两个中心节点，分别为网络中心和灾难备份中心。网络中心设在广发证券电脑中心；灾难备份中心设在广发证券选定的广州以外的新址。参照总体方案的规划，二期方案除一期原有的5个二级大区中心：北京、上海、深圳、海口、沈阳外，新增了7个二级节点，根据现有机构和广域网线路的情况，分别定为：汕头，珠海，中山，肇庆，江门，东莞及广州。一期方案中广州的各营业部和管理机构(三级节点)与广州中心节点直连，在二期方案中改为在广州另设一个二级节点与中心节点直连，其它各营业部和管理机构与该二级节点直连。这样二期方案中与各地（包括广州）大区中心相连的三级节点共42个节点，再加上除广州外的直接与网络中心相连的三

25、级节点17个，一共是59个三级节点，其中新增三级节点为19个。这些三级节点将按地区接入各大区中心或与网络中心直连。4.1.2 网络连接线路和多级备份策略广发网二期工程将在一期工程中实现的地面DDN网主干基础上，将网络中心连接新增所有二级节点，二级节点连接下属新增三级节点。参照一期模式所有新增业务节点（二、三级）都通过VSAT卫星网直接连接网络中心，作为应急备份方式。当灾难事件发生时，所有新增业务节点都可以通过PSTN电话网直接连接灾难备份中心，作为灾难备份方式。4.2 网络结构广发二期方案中仍采用一期方案中的树型网络结构，广发网由中心、分中心、营业部三级组成，中心由网络中心和备份中心组成，分中

26、心即大区中心与网络中心直连，营业厅通过地理位置分别与相应的大区中心直连。一期方案中广州的三级节点都与网络中心直连，二期方案中改为在广州另设一个大区中心与网络中心直连，而广州的三级节点直接与该大区中心相连，不再与网络中心直连。在一期方案中除广州之外的与网络中心直连的三级节点，如杭州昆明等，在二期中仍保留与网络中心直连连。4.2.1 中心4.2.1.1 网络中心网络中心用于运行全部交易业务。它是广发网的帧中继接入中心、卫星网中心、交易信息数据中心、网络系统管理中心、管理信息系统中心、办公自动化系统中心和多媒体管理中心。网络中心负责对整个GFNET网的管理和调度，统一掌握全网的地址分配和网络用户授权

27、，对于网络运行状况和非正常现象进行监控和处理。网络中心除直接连接各二级分中心外，还有以下连接：与上交所和深交所通过帧中继线路互连，与卫星网一起实现集中交易的天地备份；与备份中心间通过高速帧中继互连，实现数据实时备份；基于广发证券现有发展需要，以及稳定性和安全性的考虑，二期工程网络中心配置2台交换机、5台3660系列路由器和1台拨号访问服务器。同时配置整个网络的网管工作站。其中两台3662作为主路由器，与各大区中心和对应营业厅通过帧中继主干网相连，另外两台3662作为这两台主路由器的热备份。同时再配置一台Cisco 3640完成拨号接入的功能，配置一台Cisco 3662完成16路IP电话服务和

28、Internet接入功能（具体分析见4.7产品选型和配置）。4.2.1.2 灾难备份中心备份中心配置有网络中心各核心业务服务器的备份，只用于在网络中心出现灾难时负责接管全部交易业务并保证数据一致性。备份中心通过高速帧中继线路连接网络中心。各级交易业务节点可以直接通过拨号到备份中心，实现交易备份。一期工程中备份中心设备采用1台主交换机加1台路由器 / 拨号访问服务器。4.2.2 新增大区中心从地区性业务管理的角度，大区中心负责将所辖地区内的各三级营业部的交易数据汇集后传输到网络中心。与原有大区中心一样，新增大区中心与网络中心通过帧中继主干连接，卫星网作为应急备份，与备份中心通过PSTN拨号作为灾

29、难备份。大区中心与下属三级节点通过DDN网连接。每个大区中心配置2台4003交换机和2台3640路由器互为热备份。广发二期共有12个大区中心，其中一期原有大区中心5个，已购买10台Cisco 3640路由器和10台4003交换机。新增大区中心7个，另需14台交换机和14台路由器。因为广发已有2台Cisco 3640和6台Cisco 2522路由器，为了保护已有投资，在二期方案中准备把这些路由器留给新增大区中心所用。这样在二期中除去已存在路由器，另外只需配置6台3640路由器和14台4003交换机。每个大区中心配置2台3640路由器，其中一台做为主路由器的3640配VOIP功能模块，而另一台做为

30、备份的3640不配VOIP模块，它不对VOIP功能进行备份。同样，在分配了2522路由器的大区中心里，作为备份的2522也不配VOIP模块，只有新配置的3640主路由器才配置VOIP。4.2.3 新增三级节点新增节点因为交易模式没有变化，所以新网络对股民用户而言是完全透明的，相对以往的操作也不会产生任何不同的感觉。 相对于广发网络原有三级节点，新增节点在二期施工后，将具备同样的工作模式，相同的备份方式，网络性能将有极大的改善，同时提供很高的可靠性。三级节点通过DDN或者与相应二级节点相连，或直接与网络中心相连。营业部的配置需要2台Cisco 2924交换机和2台Cisco 2611路由器。二期

31、方案共有59个三级节点，其中一期方案的2个三级节点已购买设备，广发原有三级节点共38个，各原有节点已存在一台Cisco 2501路由器，为保护已有投资，各原有节点的现存2501路由器作为主路由器的热备份（不能备份VOIP功能），因此原有节点各需另配1台2611共38台路由器作为各节点的主路由器。二期新增二级节点19个，每个节点需配置2台Cisco 2924交换机和2台Cisco 2611路由器，共38台交换机和38台路由器。因此，二期方案中共需配置76台Cisco 2611路由器。由于广发原有三级节点的现存设备能解决交换机的热备份问题，所以在二期中不用考虑在原有三级节点配置新的交换机。这样，二

32、期中共需配置38台Cisco 2924交换机。每个三级节点配置两台2611路由器，其中作为主路由器的2611配置VOIP模块，作为备份的2611不配置VOIP模块。同样，原有三级节点只有新配置的2611主路由器配置VOIP模块，原有的作备份的2501不配置VOIP模块。4.3 防火墙系统设计方案4.3.1 防火墙应用的重要性由于Internet网络的飞速发展，全球数以亿计的计算机已经连接在同一个网络上，这样既为各上网机构提供了前所未有的宣传媒介，也同时为一些不法分子提供了获取机密的条件，他们通过破译密码、特洛伊木马、非法FTP等手段窃取资料，导致很多企业蒙受了巨大的经济损失。尽管目前的各种应用

33、软件，包括数据库系统，Lotus Notes等均提供数据安全保护功能，但仍不足以阻止黑客（Hacker）的攻击，而应用防火墙技术可以有效的防止这些，通过IP地址屏蔽，IP包过滤，Proxy服务器，数据加密等多种方式提高网络的免疫能力。在最近一、二年，随着Internet的发展，另一个名词Intranet也应运而生，Intranet就是利用Internet的技术和设备，为某一行业或企业提供综合性服务的计算机网络，它既具备企业内部网的安全性，又具备Internet的开放性和灵活性，Intranet在支持企业网络应用的同时，还可提供界面更为友好的WWW信息发布方式，并且能够提供与Internet的平

34、滑联接，这是传统的信息管理系统无法比拟的，这促使Intranet也不断地发展，象联邦快运公司（FEDEX），Levi Strauss以及VISA都巳使用Intranet技术。由于Internet是一个遍及全球的网络系统，因此，越来越多的个人及企业的Intranet全都联接到Internet，但是，一旦上Internet，相对的也提供了一条他人进入到内部企业网络的通道，因此，越来越多的商业机构都面临着一个共同的网络安全问题。一是要保护自己内部的网络免受外部的非法入侵，二是防止内部信息的非法泄密。为达到这一安全目的，就要在内部网络(Secured Network)和外部网络（Non_Secured

35、 Network）之间建立防火墙（Firewall）。（如下图所示）Intranet/Internet的防火墙是一个软件与硬件的结合，可以对两个网络之间的信息交换进行控制，在一台机器上至少插两张网卡，一个连接内部网络（Secured Network），另一个连接Internet（Non_Secured Network），并运行防火墙软件。将企业内部应用的Web Server，Domain Name Server，E_mail Server放在防火墙内，外部网络中只有经过授权的用户才能通过防火墙，进入到内部网获取信息，相对地，内部网络上的用户若想访问Internet，则必须通过防火墙的检查，以确

36、认是否合法。4.3.2 广发证券公司防火墙策略及设计方案概述广发证券公司综合业务网络覆盖了全国多个省市，各节点通过广域网方式互联，并通过几处设置防火墙连接Internet。对于这些防火墙来说，如果不能统一进行管理，将造成混乱，也很可能会由于设置不当出现安全隐患。Check Point防火墙提供了集中化管理的功能，即无论多个防火墙的分布如何，都可以通过某个中心位置的控制进行各分行防火墙的管理，这样既可以达到全局的统一，又可以节省人力资源的开销。在本次需要连入Intranet网络的各个节点均配置一台小型机作为防火墙服务器。防火墙的设计要依据建行的实际需要进行全局和局部的分析，在统一规划的前提下对具

37、体的问题用相应的方式进行细化安排。在此，我们提供了一个整体方案供建行参考。下一节将详细介绍这个方案建议。4.3.3 防火墙实施策略广发证券公司网络中心的防火墙服务器不仅要完成对网络中心局域网的保护，还要管理整个Intranet各网络节点的其它防火墙，因此它成为安全措施的核心设备，同时所有网络中心的计算机与外界的通讯均要通过防火墙的验证，如果该设备当机，将导致内外通讯瘫痪，需要用两台具有较高的处理能力的主机相互备份来完成。其它Internet接入点分别设置一台工作站作为防火墙服务器，由于防火墙服务器在安装的时候会将其上的其它应用停止，因此防火墙服务器应为一台专用服务器，除DNS服务之外，其它服务

38、（如WWW，MAIL）不应设计在此服务器上。防火墙通过将安全网和非安全网的各种访问环节（包括主机、IP地址、网卡、防火墙主机、子网等等）设置成不同的单元，通过在各单元之间设置访问规则来实现安全控制。 对重要服务器的安全保护是安全体系中的重要一环，因此在配置防火墙时，建议利用防火墙的IP地址屏蔽功能将这些服务器的IP地址屏蔽掉，使得非安全网络的任何用户不知道服务器的存在，也就无法对它们进行攻击。IP地址屏蔽功能是防火墙最高级别的安全防护措施。 对进出防火墙的IP包进行过滤是防火墙的一项重要防护功能，防火墙通过对IP包源地址和目的地址的检测分析，拒绝非法数据包的传输。 将某些主机设置为单向传输方式

39、。这样可以利用一些专用主机进行接受数据的操作，而它们不可以向非安全网络传输信息，这样就可以使外部用户访问安全网络的路径受到限制，通过对这些路径的重点监视，提高网络通信效率。 在防火墙上进行Proxy Server的设置，这样所有在安全网络和非安全网络之间的访问均需要通过Proxy Server，即双方不进行直接的通信，Proxy Server提供一个很大的Disk Cache，这样的设置也使得网络内外的通信流量大大降低，从而节省了费用。 设置防火墙的安全邮件功能可以保证邮件传输的安全性，所有邮件均发送至防火墙，然后由防火墙转发。 防火墙安全监视器可以随时监视网络的安全体系，当发现存在安全隐患的

40、时候报警。 由于广发证券各营业部有很多终端设备，内部IP地址是由广发证券统一分配，如果为这些终端设备均分配Internet IP并不现实。我们通过设置IBM Firewall的NAT（Network Address Translation）功能来进行网络地址的映射，当一个数据包从安全网络传向非安全网络时进行网络地址转换，这样做方便了IP地址分配带来的不便，节省了IP资源。 同时，对于广发证券的上网管理也需要有力的措施，杜绝综合业务网内计算机拨号上网的情况发生是有效保障广发网络安全的措施。4.4 IP电话系统基于因特网的实时语音通信，是目前Internet技术应用的一个重大发展方向，通过IP网络

41、，传送商业质量的话音/传真，已经开始冲击到传统的电话业务，特别是国际长途业务。“Voice Over IP”，就是指应用于IP网络上实现话音及传真信号传输的一门全新的集成业务数据网络技术。其特点在于其软硬件均经过精心设计和开发，可以 通过任何IP网络提供无缝的话音/传真集成。目前，世界数据网络通信领域的领先厂商均开发了这方面的产品。对于企业用户来说，通过IP网关传送长途电话/传真，同样具有重要的意义:1 节省长途电话费用用IP网络完成所有话音/传真的传送，能极大地降低了公司内部跨地域、跨国界的电话/传真成本。2 减少设备投资公司可以在原来只能传送数据的网络上获得增值的话音服务，而无需再另外租用

42、或者购买单独用于话音的设备和线路。由于所有内部通信（话音、数据、传真）都通过同一网络传送，企业可以大大降低购买和维护设备的费用。4.4.1 IP电话的工作原理通常，我们可以通过合理地管理IP网络，达到实时通信的目的。例如，可以采用具有优先级别的包和带宽分配机制，在现有的IP网络上建立一个附加的语音/传真网络，从而使任何拥有IP地址的人都可以通过网络发送和接收语音/传真。PC到PC之间的通话，只要有合适的客户端软件就可以实现。但是要实现公众电话网（PSTN）与 Intranet之间的互通，从而完成基于IP电话网关的Phone-to-Phone的语音通信和基于IP电话网关的Phone-to-PC的

43、语音通信，则有很多额外的工作要做。ITU-T已就如何实现数据通信网上的多媒体业务（包括语音和视频）及网际互通制订了H.323等一系列标准，使得IP电话的规范逐步完善，各厂商的设备可以互通。语音压缩技术的不断进步也为IP电话的发展铺平了道路。我们以本次中国的IP电话试验网为例，说明IP电话的工作原理。当用户A想通过Internet拨打用户B时，首先拨打IP电话的接入服务号码（179xx）到本地的接入服务器（IP电话网关）;待连通后，再拨叫被叫用户B的电话号码。A端的接入服务器根据该号码查到B端接入服务器的IP地址，通过 Internet与B端的接入服务器建立连接，然后告诉B端接入服务器B用户的电

44、话号码，B端接入服务器则根据这号码呼叫B用户;如果B摘机，则电话接通。通话过程中，A端的接入服务器把用户A的话音压缩成G.729或G.723.1流，并封装成IP包，然后通过实时传输协议RTP传给B端的接入服务器;B端的接入服务器则将此包解开，并还原成音频流传给用户B。反之亦然。IP传真的原理同IP电话。4.4.2 IP电话的技术标准 ITU-T于1996年通过了H.323vl标准，其目的在于给IP电话提供一个国际标准，其基本组成如下:H.323标准定义了4个IP电话组件:Terminal,Gat-eway,MCU(Multipoint Control Unit)和Gatekeeper。Term

45、inal:是一个符合H.323标准的客户终端，可以是软件（如netmeeting）也可以是硬件（如专用的Internet Phone）,它提供了实时的双向传输用以传送声音。Gateway:完成PSTN/PBA/ISDN网络之间的协议转换，主要包括传输格式的转换（如H.225.0到H.221），通信过程的转换（如H.245到H.242）,另外还完成音频格式的转换和呼叫建立。因此，如果要建立异种网络间的通话（如PSTN到Internet）,网关是必需的，否则网关可以省略。Gatekeeper:负责用户注册和管理，如地址映射，呼叫认证和管理，呼叫记录和区域管理。MCU:其功能是实现多点通信，使得In

46、ternet能够支持诸如网络会议这样的一些多点应用。4.4.3 设计目的：为什么要为广发网络工程设计IP电话系统技术的进步和发展促进了IP电话的增长，使其技术成本不断降低，并且更加具有实用价值。同时，IP电话的关键部件-DSP的成本已经显著下降。正如我们所知，模拟电话呼叫无论采用何种转换方式，都要占用64Kbps的带宽，这样，高速数据线路的用户也许要把相当数量的带宽用于传送语音，当多媒体应用越来越广泛的时候，带宽资源就会显得相当紧张。DSP则可以把模拟信号转换成8Kbps或带宽更窄的数据流。所以，如果把语音转换成一种数据流后，用户就可以在同一条线路上传输比采用模拟技术时更多的呼叫，从而使数据通

47、信的经营效益更好。实际上在多年以前，语音数字化在技术上就可以实现了，那时的主要问题是用户负担不起这笔费用。而最近几年内，DSP技术在功能和性能上迅速取得了进展，因此，用户不但负担得起，而且还能够很快获得投资收益。未来网络发展的方向无疑是迈向三网合一， 在一条线路上综合传输话音、数据和视频，当然这是一个漫长的过程。同时， IP电话运营的更深涵义并不仅仅在于从中获取利益，而是通过IP电话的使用使企业发展成一个成熟的现代化企业，并能够为用户提供象CALL CENTER这样的现代化服务。广发证券综合业务网的建设，是一个多业务、多应用的网络工程。利用基础网络的建设，实现IP电话系统就是其中一个重要方面。

48、4.4.4 IP电话资费分析为充分利用项目建设的广域网资源，可以通过网络进行电话通信，范围覆盖总公司到每一个营业部，可以极大地减少长途电话支出（作为一个跨省的大公司，此项为一重要支出）。中国电信所提供的长途电话资费有两种：1. 省内长途：0.6元/分钟2. 省外长途：0.7元/分钟如果利用现有的网络资源安装IP电话，那么就可节约下所有的长途费用了。而安装IP电话到底需要多少的初期投入呢？一个VOIP的模块加上两个电话接口插件需要￥22,800元，总共能同时接通四路IP电话，那么每个接口（既每路IP电话的安装）实际上只投入了￥5,520元，再根据在以往的业务中所交纳的长途费，就可以知道多少时间可

49、以收回IP电话的安装投入了。4.4.5 IP电话带宽占用分析大家知道，IP电话的接通是要占用带宽的。那么IP电话会不会影响正常业务的运作呢？让我们来一级级的分析：如下图所示，在我们所设计的方案中，每个3级节点如果用一个VOIP模块的话，最多能同时通四路IP电话，也就是说，最多同时占用32K的带宽。而三级节点的DDN带宽为64K，那么最少还有32K可用。我们知道行情信息的信息量很大，但是因为它用的是卫星广播，所以可以不考虑在内。而交易信息的信息量一般也就占用1020K。综上所述，在三级节点安装IP电话最多用到32K带宽，无论它接的是二级节点还是网络中心都是不会影响正常业务的。在二级节点中，我们建

50、议用两个模块，最多可同时接通8路IP电话。如图所示，二级节点到网络中心用的是128K的专线连接，那么这条线路最多要承载多少路IP电话呢？理论上讲应该是这个二级节点本身的最大通路数加上它所连接的所有三级节点的IP电话路数总和，按照现有连接状况看，要占用8 X （8+4 X 4）=192K带宽！但是，实际情况不是这样的，因为很少有可能它所连接的所有的IP电话都同时通过这个二级节点到中心的专线。而且，我们可以用CISCO的QOS（质量控制）来保障关键业务的正常运作，具体方法是：限制IP电话所占用的最大带宽；设置各种业务的优先级别。通过这些手段完全可以控制二级节点到三级节点的关键业务不受IP电话的影响

51、。所以，在二级节点安装IP电话也是不会影响正常业务的。网络中心也是IP电话的一个集散中心，它的IP电话业务量也是非常巨大的，所以，我们建议在网络中心安装16路IP电话。而网络中心与其它节点的专线带宽承载能力前面已经讨论过，这里就不再复述。4.4.6 IP电话的实现IP电话在现在已经是一个很普及的应用了，如Internet上常见的Media Ring、IP2Phone等等，都属于IP电话。MS Netmeeting它同样支持G.729/G.711，不但能实现电话功能，同时还能实现更多信息服务，如白板等。而且与视频会议系统有互操作性。IP电话采用前面提到的G.729/G.711标准，其中G.729

52、只需要8Kbps带宽就可以传送一路语音信号。G.729/G.711标准也是H.323标准中的子项，所以采用视频会议系统也同时能够实现IP电话，但这可能在使用上比较麻烦一些。如果采用普通电话，则需要专门的设备，如Cisco 的Voice/IP模块、IP Phone Access Gateway等，可以直接连接在电话机或PBX交换机上。采用普通电话有操作方便、人人可用、管理方便等有点，所以这也是一个可选的方式。4.5多媒体影视系统4.5.1 设计目的广发证券综合业务网的建设，是一个多业务、多应用的网络工程。利用基础网络的建设，实现多媒体影视系统就是其中一个重要方面。多媒体影视系统包括：1、 视频广

53、播系统在公司总部进行行情的实时解盘，通过多媒体视频广播系统向所有营业部直播，更好地为股民服务。同时视频广播系统还可用作内部图象广播使用。2、 电视会议系统主要用于公司内部管理、业务人员等实现远程实时电视会议，同时还可以做全国同步参与的“股市沙龙”等用途。4.5.2 技术基础4.5.2.1 视频压缩编码标准21世纪将是数据、图像和声音和多媒体时代。在这个时代中最重要的媒体之一就是图像，因为图像的数据量巨大，因而图像压缩将是人们自由获取、传输、处理以及应用图像必不可少的条件。但要使一种图像压缩的流程得到广泛的应用，就必不可少地要进行标准化的工作。在图像通信中，参与通信的各方的设备都必须能够理解发送

54、方的“话语”，即能够把码流还原成图像。但图像压缩的方法有多种，如果发送方和接收方采用不同的编解码方法，可以想象会出现什么后果；即便是双方采用了相同的编解码方法，但如果所用的参数有某些不同，也会导致不能正确解码和恢复原图像。在当今这个开放的时代，人们希望图像在经过压缩、存储或传输之后，不管用户用什么解压缩流程，只要该流程与压缩流程遵循得是同一标准，就能够解压缩并恢复原图像。这就使得天各一方的通信双方不必一定要用同一厂家生产的编解码产品，就能进行图像通信。这一点对用户非常重要，用户可以根据自己的要求去挑选不同的产品而不必担心它们之间的互通性，从而摆脱对某一厂家的过分依赖。如在会议电视中，这种互通性

55、保证了使用不同的设备也能正常开会，不再出现象早期美、日、欧那种会议电视不能互通的情况。基于上述原因，国际上的一些组织如国际标准化组织(ISO)、国际电讯联盟(ITU)、国际电子电机工程师委员会(IEEE)等一直在致力于标准化的工作，并已取得丰硕的成果，如JPEG、MPEG、H.261、H.263等一系列标准化的建议，给厂家和用户提供了巨大的方便。H.261是1990年7月由CCITT第15研究组通过的建议草案。它是世界各国几十年经验的总结，是使会议电视/可视电话图像压缩编码技术走向标准化和实用化的一个里程碑。H.261适用的速率范围是px64kbps(p=130)，即64kbps到1.92Mb

56、ps。现在，基于H.261编码的会议电视在世界上已形成较大范围的应用。H.263是1995年6月ITU-T通过的标准，根据H.261改进而来的，针对低比特率视频编码，采用了一些较成熟而有效的方法，改善了图像的质量。在H.263中参考了MPEG-2引入了PB帧模式、以上这些可选项进一步改善了运动补偿的效果，保证了低码率下的图像质量。虽说H.263是针对低码率视频编码，但这些改进方法在更高码率的情况下也优于H.261，所以ITU-T取消了其原来的“64kbps”的规定。在ISDN的普及短期内无法实现的情况下，H.263是实现话带传输活动图像美好的一种很好的方法。综上所述，采用H.263标准，能满足

57、低带宽情况下的高质量视频图象，同时由于H.263早已标准化，所以目前市场上的主流视频产品几乎都支持它。这首先为产品选择带来极大的余地，其次即使是不同厂家产品间也可以互操作。4.5.2.2 网络视频会议标准同样基于不同产品间互操作性的要求，ITU-T也为视频会议订立了标准。由于视频会议的发展与ISDN的发展同步，所以视频会议标准中ISDN占了很大成分。ITU-T H.320标准是关于在速率从56Kbps到2Mbps的ISDN和交换的56Kbps电路上进行电视会议的标准。自从1990年最早通过以后，H.320成为广泛接受的关于ISDN会议电视的标准。H.320是一个系统标准，它包含了许多关于系统

58、各部分的其它ITU-T标准，下列标准是H.320的主要组成部分：H.221提供把音频、视频、数据和控制信息复用进单个比特流的标准。H.230/H.242提供用于方式命令和指示以 及功能交换的标准。H.261提供用于视频编码的标准.按计划H.263是一个新的可选的方式 G.721提供用于音频编码（64kbps窄带）标准。 G.722（48-64kbps宽带）和G.728（16kbps窄带）是可选的代替方式。G.723和G.729已列出制定计划。 H.320要求所有终端都支持通用的基本方式（H.261视频和G.711音频），以保证互操作性。 除了视频和音频信道外，在需要时可以传送数据，例如T.12

59、0会议。ITU-T标准 H.231和H.243是关于多点操作的标准，在这种情况下三个或 更多会 场参与群组会 议中。ITU-TH.224和H.281是有关用于远端部件控制和远端摄像机控制的实时数据 信道的标准。ITU-TH.233和H.234标准规定了H.320加密和密匙交换， 使得会议信息在通过网络时不被监视。以上H.320标准为视频会议的最初标准，基于ISDN，在它之上发展起来的H.323则是基于通用网络的新标准，适用性更强。ITU-T H.323标准于1996年6月通过，该标准是世界上第一个也是唯一的一个多个供应商的它定义了许多结构并将H.245协议扩展到H.323中。H. 323标准描

60、述了四个主要部分：用于终端的基本技术是H.261视频G.711音频（用于与H.320互通）。 其它方式是可选的。使用H.225.0进行打包和呼叫建立，使用H.245进行控制。 网关支持与H.320、H.324、常规电话、 ISDN中的其它终端类型、POTS或 其它 网络顺利地、低时延地进行互通。作为网络业务量控制的一种方式，门限决定允许或否定呼叫请求。多点控制器和处理器利用多媒体流或多点广播协议支持多点呼叫。 H.323使用与Internet协议兼容的IETF RTP/RTCP标准，并计划使用各种 分组交换网（PSN）协议，包括TCP/IP和Novell SPX/IPX。当在使用了交换集线器和

61、 保留协议（例如RSVP）的以太LAN上使用H.323时，在企业Intranet上支持多媒体会 议， 并支持IP多点广播，从而为支持Internet作好了准备 。T.120则是在会议系统中增加了视频、音频之外的数据会议标准。ITU-T T.120系列标准现已完全通过，它是用于数据和图形会议的国际标准。T.120系列支持点到点和多点数据和图形会议，它具有一系列非常复杂、灵活和有效的功能，包括支持非标准的应用协议。T.120与网络无关，所以在ISDN上使用H.320、在LAN上使用H.323、在POTS、话音/数据调制解调器上使用H.324终端都可参加同一个T.120 会 议。 T. 120不包括

62、音频和视频， 但能和谐地与H-系列多媒体标准一起工作。T.120应用协议，例如用于静止图像传输（JPEG、JBIG ）和注释（电子白板）的T.126和用于多点二进制文件传送的T.127。微软的Netmeeting就是基于H.323/T.120标准的，所以基于标准的产品都能和Netmeeting互操作。4.5.3系统实现4.5.3.1 视频会议的实现视频会议的实现参见图一。视频会议桌面系统：支持H.323/T.120协议族，具有视频压缩/解压缩功能，具有摄象和录音设备。这里既可以使用PC机，也可使用专用成套设备（如带机顶盒的大屏幕电视）。我们推荐采用PC机，用一台PC既可以连接大屏幕电视作为视频

63、会议系统，同时在后面提到的视频广播中也能使用。视频会议多点服务器系统：支持H.323/T.120协议族，由于服务器只作为数据的集中与分配点，所以不需要图象处理功能。具有虚拟会议管理功能。各服务器间可以实时交换数据。所有桌面系统都可以象服务器提出加入会议要求（Dial in），服务器予于分配虚拟会议室。服务器也可以直接邀请桌面系统加入会议（Dial Out）。更重要的一点：由于微软Netmeeting系统支持H.323/T.120，所以任何一台装有Netmeeting（包含在IE中）的桌面PC都能够和这个系统互操作。即使没有视频设备，也能利用T.120实现“白板”、“网上讨论”等功能。图上还画出了通过ISDN实现视频会议的方式，这时需要一个叫H.320网关的服务器，所有的远程终端都通过ISDN连接到它。H.320网关和多点控制服务器协同工作。 4.5.3.2 视频广播的实现视频广播与视频会议不同，并没有一个统一的国际标准，各厂家千差万别，