1、证券局域网三层结构分析与研究 本文着重阐述了三层结构证券局域网的结构及特点,并以一个物理上完全隔离的三层结构网络为例进行了测试和分析。 关键词三层结构中间件虚网硬三层 1.概述 证券行业是对计算机要求很高的行业,一般说来,每个证券营业部都有自己的局域网。证券交易/行情业务数据以文字为主,仅带有少量图形信息,但数据量大,更新频繁,网络要求具有很高的可靠性、数据传输率和平安性。 2.传统的证券局域网结构 通常,传统的证券局域网一般是以交换机作为主干的二层结构星形网络。网络环境大多采用20230/202300m交换以太网做主干,2023/20230m交换以太网到桌面的连接方式。其拓扑结构如图1所示。
2、 图1传统的证券局域网 网络一般采用c/s(client/server)模式,资金和交易数据主要保存在后台的ntserver上,无盘工作站可以直接访问前台的novellserver,但不能直接访问后台的ntserver,而后台的pc工作站那么可以在许可的权限范围内直接访问ntserver。这种网络结构具有高效、易扩展等特点,但也存在一些平安性问题,主要是由于前台系统和后台系统存在物理上的连接,因而不能完全杜绝用户操作无盘工作站利用某种非法手段进入后台系统作案的可能性。且作案后一般不会留下可供追查的线索。 3.三层结构证券局域网分析 3.1三层结构证券局域网的产生背景 随着近年来网络技术的飞速开
3、展和internet的普及,证券公司所面临的被恶意或非恶意入侵时机越来越多,特别是新技术和新思路的不断涌现,对证券网络的正常运行和日常维护提出了严重的挑战,对信息系统的平安性、可靠性的要求越来越高,三层c/s结构的证券网络就是针对上述情况而提出来的。这种网络在数据管理层和用户界面层之间增加了一层结构中间层。这样就将整个网络的体系结构划分为三层:效劳器端、中间件(构成中间层的构件)和客户端。中间件的存在,将网络分隔为完全别离的内部网和外部网,使前端用户无法看到后台数据库效劳器和文件效劳器,有效地防止了黑客的攻击。中间件在系统处理能力上采用多线程技术,大大提高了工作效率,可靠性和扩展性也较二层结构
4、强。符合中国证监会关于证券经营机构信息系统管理的“三别离原那么,即数据与网络别离、技术与业务别离、前台与后台别离。被证券业界一致认为是今后交易系统的开展方向。 3.2三层结构证券局域网的分类 目前,三层结构证券局域网主要有两种模式,软三层结构和硬三层结构。 3.2.1软三层结构 软三层结构主要通过虚网(vlan)来实现。它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为两个(或多个)虚拟网段,划分的依据一般是交换机的物理端口(也可以是用户节点的mac地址等)。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据通讯那么需要通过路由来完成。这样在一定程度上加强了虚网间隔离,能有效防止外
5、部用户入侵,提高平安性。此外,划分虚网还可以隔离播送信息,一个虚网内节点发送的播送信息不会被转发到其他虚网上去,这对于提高证券网络的运行效率是很有帮助的。其拓扑结构如图2所示。 资金效劳器(windowsnt)n bsp;行情效劳器(netware) 图2利用虚网设置的三层结构证券局域网 软三层结构具有本钱低、结构简单的特点。但管理、维护较复杂,需要对交换机的端口进行设置,并建立端口与内外网之间的对应关系。 3.2.2硬三层结构 硬三层结构是物理上完全隔离的三层结构,以下是某证券营业部的网络拓扑图: 资金效劳器(windowsnt)交易效劳器(netware)行情效劳器 (netware) 外
6、网 图3物理上完全隔离的三层结构证券局域网 相对软三层结构来说,硬三层结构管理、维护较为简单,网络划分只需在交换机一级进行,不涉及每一具体端口。但网络结构复杂、建设本钱高。 图3所示网络的外网(行情系统)和内网(交易系统)在物理上是完全隔离的,外网主干交换机是ciscocatalyst4006,内网交换机为cisco3548。连接到桌面的网络设备采用cisco1924。中间件运行平台为windowsnt4.0,中间件上安装两块网卡,分别连接内网和外网,在nt中安装ipx/spx协议(不安装tcp/ip协议,这样可以有效防止tcp/ip数据包攻击),关闭这两块网卡的内部路由功能,这样外网的用户便
7、无法利用中间件的软件路由功能直接访问内网数据,而客户的委托成交数据那么利用中间件程序转发。为进一步增加平安性,还可将这两块网卡绑定不同的协议,如连接外网的网卡只绑定ipx/spx协议,连接内网的网卡只绑定tcp/ip协议,由于两块网卡连接的协议不同,在一定程度上增加了系统的平安。 3.2.3网络测试 以下是我们使用著名的sniffer软件对该营业部网络的检测概况: (1)dashborad 某日在外网主干交换机上对效劳器网卡进行监控,结果如下: network sizedistribution detailerrors packets472,573 64s19,301 crcs0 drops0
8、 65-127s20,221 runts0 broadcasts21,275 128-255s18,763 oversizes0 multicasts4,015 256-511s12,418 fragments0 bytes618,700,250 512-202323s3,177 jabbersnbs p;0 utilization25 202324-1518s398,693 alignments0 errors0 collisions0 从表中可以看出,主干交换机4006利用率为025%,网络中错包和冲突包、crc错包数都是0,网络工作状态良好。 (2)captureddataofserve
9、rnic(expert分析) 在4006交换机上设置sniffer端口用来监控行情效劳器网卡的端口,并捕获8m数据,进行expert的分析。结果如下: broadcast/multicaststorm threshold 40 peakbroadcastrate 143 broadcastframes 5,996 localframes 11,874 remoteframes 0 firsttime 2022/7/32023:02: 24.266 stormduration 2m23s128ms station1name 0036be5202300 station1name 0002fdcc4
10、029 station1name 0004271d3040 snifferexpert分析只有播送、多目播送风暴,由于证券网中的乾隆等行情揭示系统往往采用播送方式传送行情,所以出现播送风暴是正常的 (3)deltatime(网络延时) no. status sourceaddress destaddress summary len rel.time deltatime 27 1e111.1 113. 00400565890 ncp:rok 566 0:00:06.383 0.000.423 28 113. 000021d3e63 1e111.1 ncp:cgetcurrentsizeoffilef=dc4f0300 60 0:00:06.384 0.000.068 29 1e111.1 113. 0050ba72cd1 ncp:rok 566 0:00:06.384 0.000.425 从表中可以看出,deltatime值较小,没有到秒一级别,说明网络延时很小,网络工作状态良好。 (4)系统日常运行统计 效劳器相关运行值 测试工程 结果 cpu利用率 一般202330% cpu利用率分布情况 ipxrtrncpworktodo015% interrupt515% 内存占用和空闲情况 currentserviceprocesses 第10页 共10页