【51CTO.com綜合報道】

客戶背景

某證券有限責(zé)任公司是一家專業(yè)化、全國性的綜合類證券公司。公司下屬41家證券營業(yè)部，遍及北京、上海、天津、重慶、內(nèi)蒙古、河南、河北、山東、江蘇、浙江、湖南、湖北、福建、四川、廣東等全國15個省、自治區(qū)和直轄市，形成輻射全國、布局合理的客戶服務(wù)和經(jīng)營網(wǎng)絡(luò)。

漢柏科技有限責(zé)任公司（以下簡稱漢柏）為某證券提供了網(wǎng)絡(luò)改建方案，此次網(wǎng)絡(luò)改建的項目主要覆蓋北京的總部和昌平、順義的分部。

 客戶需求

某證券對網(wǎng)絡(luò)的要求體現(xiàn)在幾個方面：

一是可用性。網(wǎng)絡(luò)是證券業(yè)務(wù)的載體，網(wǎng)絡(luò)的可用性直接影響著業(yè)務(wù)的可用性和連續(xù)性。業(yè)務(wù)如果中斷，帶來的經(jīng)濟影響和社會影響都非常大。

二是安全性。證券業(yè)務(wù)相關(guān)數(shù)據(jù)的重要性和私密性不言而喻，客觀上要求網(wǎng)絡(luò)具有很高的安全性和私密性。隨著證券業(yè)務(wù)的不斷擴展，網(wǎng)絡(luò)規(guī)模和復(fù)雜度都在不斷提高，特別是隨著Internet 證券交易模式的出現(xiàn)，證券網(wǎng)絡(luò)面臨著更多的安全挑戰(zhàn)。

三是易維護。構(gòu)建得再好的網(wǎng)絡(luò)，如果不易維護，運行時間長了也容易出問題。設(shè)計網(wǎng)絡(luò)時，應(yīng)盡量使網(wǎng)絡(luò)結(jié)構(gòu)簡單、層次清晰、管理方便。

此外，某證券的網(wǎng)絡(luò)還有自己的特點，例如有許多無線接入設(shè)備。這些設(shè)備分布范圍廣，地域跨度大。如何以最少的基礎(chǔ)設(shè)施改動和最低的建設(shè)成本把這些設(shè)備接入到網(wǎng)絡(luò)中來，也是面臨的挑戰(zhàn)之一。

漢柏網(wǎng)絡(luò)解決方案

漢柏憑借著豐富的行業(yè)成功經(jīng)驗及穩(wěn)定可靠的產(chǎn)品，以交換機為核心，以MPLS VPN和POE+（802.3AT）方案為特點，成功地為某證券提供了高可靠性、高安全性、高性能的網(wǎng)絡(luò)改建方案。

網(wǎng)絡(luò)基本結(jié)構(gòu)圖如下：

在公司總部網(wǎng)絡(luò)中，采用了多臺PT-6608多業(yè)務(wù)萬兆核心路由交換機，在分部核心層，每個分部采用了多臺PT-3750E-28T萬兆核心路由交換機，在接入層則采用了總共180臺2960G-26P和2960G-24T全千兆交換機。對于無線接入設(shè)備，還提供了節(jié)省電源布線成本的POE+高功耗的網(wǎng)線供電方案。

方案特點

一、高可用性

高可用性體現(xiàn)在兩個方面：網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計的高可用性以及漢柏交換機產(chǎn)品的高可用性。

從網(wǎng)絡(luò)結(jié)構(gòu)來看，在總部核心層和分部核心層，交換機之間兩兩相連，即使其中部分交換機或端口出故障，也不會導(dǎo)致本層次內(nèi)部的連接中斷。層與層之間的級聯(lián)，也是通過多條鏈路實現(xiàn)的。這些鏈路互為備份，并能分擔(dān)流量，實現(xiàn)負(fù)載均衡。

漢柏交換機具有高可用性。PT-6600、PT-3750E系列路由交換機對所有關(guān)鍵部件都采用了冗余備份的設(shè)計方案：電源冗余、管理模塊冗余、鏈路冗余、系統(tǒng)軟件冗余、AC+DC電源冗余。同時還具有FLASH ECC自動糾錯、內(nèi)存ECC自動糾錯等先進(jìn)技術(shù)，保障了設(shè)備運行的穩(wěn)定性。PT-2960G系列交換機支持鏈路級的多種可靠性保障，如支持生成樹協(xié)議(802.1d、802.1w、802.1s等)、快速以太環(huán)網(wǎng)保障技術(shù)、負(fù)載均衡、LLDP等多重保障，并且支持運營商級的網(wǎng)絡(luò)硬件故障檢測定位技術(shù)OAM，提供毫秒級的定位能力，有效保障在網(wǎng)絡(luò)運行中數(shù)據(jù)轉(zhuǎn)發(fā)不間斷。

二、高安全性

在網(wǎng)絡(luò)結(jié)構(gòu)上，總部與各分部之間，以及分部各私有部門之間，采用了高效低成本的MPLS VPN(P、PE+MCE)方案，有效地保障了數(shù)據(jù)不被竊聽、不被篡改，從而保證了數(shù)據(jù)的安全性和私密性。

在產(chǎn)品層面，漢柏交換機具備業(yè)界最全面的多層次的安全防范機制，為超大規(guī)模、多業(yè)務(wù)、復(fù)雜流量訪問網(wǎng)絡(luò)提供了有效的安全保障。通過多重的ACL策略、全面的安全ARP技術(shù)、DHCP Snooping技術(shù)、安全路由技術(shù)、安全受控組播技術(shù)等保障L2到L7層的安全交換、全面的安全接入防御機制，可有效防止各種病毒、人為攻擊。

三、易維護性

網(wǎng)絡(luò)結(jié)構(gòu)層次清晰，總部核心層、分部核層以及分部接入層各司其職。在分部的網(wǎng)絡(luò)設(shè)計中，采用了易管理的兩層結(jié)構(gòu)，降低了網(wǎng)絡(luò)維護的難度。

PT-6600系列和PT-2960G系列交換機都具有豐富的安全網(wǎng)管功能，在對用戶進(jìn)行身份認(rèn)證或?qū)τ脩舻腗AC/IP的綁定進(jìn)行校驗等多種安全機制的保護下，可通過WEB、SSH、SYSLOG、TELNET、SHELL等多種方式來對設(shè)備進(jìn)行管理、配置、訪問、監(jiān)測，并可根據(jù)不同的用戶權(quán)限進(jìn)行不同的操作。這樣即可拒絕了惡意用戶的非法攻擊，也避免了非信任用戶隨意修改設(shè)備的問題。

四、綠色I(xiàn)T架構(gòu)，低成本，低能耗

某證券的網(wǎng)絡(luò)中，有許多無線路由器、攝像頭等設(shè)備。這些設(shè)備的共同特點是功耗低、分布廣、地域跨度大。通過POE+技術(shù)的應(yīng)用，PT-2960G系列交換機為這類設(shè)備提供了每端口30W的供電能力，大大降低了電源布線成本和日常維護成本。

同時，PT-6600和PT-2960G系列交換機符合漢柏科技的綠色I(xiàn)T架構(gòu)設(shè)計理念，硬件采用最新的節(jié)能技術(shù)，與業(yè)界相同級別的設(shè)備相比，可節(jié)省30%左右的功耗，為用戶提供了綠色環(huán)保、節(jié)能低碳的高性能的核心交換平臺。

實施效果

成功實施了漢柏科技的網(wǎng)絡(luò)改建方案后，某證券北京總部和昌平、順義分部網(wǎng)絡(luò)具備了高可用性、高安全性、易維護等特點，無線設(shè)備也能輕松接入，大大降低了其網(wǎng)絡(luò)體系的搭建成本和維護成本，同時也更好地構(gòu)建了高效安全的網(wǎng)絡(luò)，保證了某證券的各項業(yè)務(wù)及相關(guān)工作的順利展開。