总论
广域网的可靠性对于证券公司来说是至关重要的,现在一般证券公司的A/B股交易、网上交易、开放式基金、公司的信息管理系统等基本业务都在广域网上运行,可以说广域网对证券公司而言是容不得任何闪失的。
而在一般情况下,对于整个证券广域网的构建,基本上会按照““双路由器+双线路”的模式来处理以确保整个广域网设备级/链路级/路由级/应用级的高可靠性。对于广域网的主链路,基本上会采用DDN 或 SDH等专线的方式,而当营业部到总部的专线出现故障时,选用何种高效的备份线路却有不同的选择。
根据目前中国运营商所提供广域网线路的实际情况及将来的技术发展超势,创新的采用支持动态IP地址的VPN技术,在充分利用宽带接入(如ADSL和宽带城域网) 的前提下,为证券公司提供了采用宽带接入结合VPN技术实现证券公司广域网备份互连。事实证明,采用动态VPN技术和宽带接入的方式是目前证券备份链路和备份连接的一个较好的解决方案。
创新的动态VPN技术
VPN技术是指在公共的网络平台如Internet上搭建隧道传输用户私有的数据,从而使得在不安全的互联网上安全地传输私有数据来实现用户的广域互联。这种技术的效果类似于传统的租用专线联网方式,但其费用远比采用专线方式联网要便宜。
根据VPN虚拟专用网的组网原理,当创建VPN网络时一般情况下要求隧道的至少一方具有固定的IP地址(有很多产品还要求双方都要求固定的IP地址)。由于申请固定IP地址的月租费远远高于动态IP地址的月租费,因此如果用户想采用宽带接入进行VPN组网的话如两端均申请动态IP地址的宽带接入方式将大大降低组网成本。
NETGEAR公司创新地采用FQDN技术,并与国内最大的DDNS运营公司结盟。用户可免费从NETGEAR的合作伙伴处申请到DDNS(动态域名解析服务),在组建VPN网络时可支持网络的两端均为动态的IP地址,从而可低成本地组建VPN网络。NETGEAR公司的VPN产品为用户组网带来巨大的好处,如只需申请普通的ADSL接入,就可方便便宜地组建VPN虚拟专用网,实现多分支机构的广域网互连种和公司远程员工的远程访问了。当采用FQDN进行VPN组建时,就算VPN网络的两端都为动态的公网IP地址,也可以从VPN隧道的任意一方发起VPN的连接,使用十分方便。
动态VPN备份网的优势
证券公司的备份线路采用专线(DDN/SDH)是最为理想的方式。这种方式的缺点就是贵,给整个公司的运营都会造成负担,所以多数证券公司很难接受两条广域网线路均采用专线的方式。
采用ISDN作为备份线路,这在证券广域网中较为普遍,但随着电信运营商宽带业务的调整,ISDN正在逐步被淘汰。加上ISDN具有如带宽低、 ISDN线路不稳定及区域覆盖有限等诸多缺点,目前选用ISDN作为备份线路已是不是发展趋势了。
但我们高兴的看到,最新的接入方式 ? 宽带接入如ADSL 及宽带城域网等正是目前所有运营商所大力推广的线路接入方式。由于典型的宽带接入一般具有512K~2M之间的带宽可以满足目前证券公司的的业务流量要求,另外在线路质量和运维服务方面经过这些年的发展都已达到了比较好的水平。最为关键的是,在价格方面,宽带接入的费用相当低廉,目前在全国大部他地区512kbps的ADSL每月只要200多元。因此从宽带接入在线路带宽、线路质量、线路的稳定性、线路的服务质量保证、线路的租金等各方面来看,宽带接入是现在和未来考虑作为备份线路接入的潮流。
另外,采用VPN技术在在公网(Internet)上传输用户的业务数据,其安全性是有保证的。目前国内外许多的电子商务、网上购物以及证券的网上交易都已经证明,通过Internet跑业务,在安全技术方面已经不存在问题,这是有很多的先例可依的。现在国内外很多公司已将Internet作为构建公司私有网络的平台,因此对采用VPN技术在公网之上来传输证券的金融数据是否安全应该可以放心!
还有,现在的VPN设备一般都已经内具了最新的防火墙技术―基于连接的状态数据包过滤SPI技术,可确保证券公司的局域私有网络不会受到来自外网的黑客攻击。就是对广域网络设备的管理,也都是采用基于https的加密机制,可确保整个网络的安全。
因此,随着国内宽带接入的成熟和线路的更趋稳定,在基于宽带接入的基础之上采用VPN技术作为证券公司的备份广域网连接是目前一种可行的解决方案。如果采用支持VPN隧道双方均为动态ADSL接入(动态公网IP地址)的VPN产品与方案,可方便快捷地为证券公司构建高性价的广域备份互连。
应用实例
近年年来NETGEAR公司已为包括广发证券/浙江金信证券/北京航空证券等多家证券公司提供了采用宽带接入结合VPN技术实现证券公司广域网备份互连的成功案例。下面以金信证券有限责任公司为例进行简单介绍。
广发证券应用
广发证券股份有限公司是国内首批综合类券商之一,是一家与中国资本市场一同成长起来的新型投资银行。公司现注册资本为20亿元人民币,有员工1700多人,在全国各地拥有76家证券营业部、20家证券服务部,另托管了19家证券营业部。是一家典型的具多分支机构的证券公司。
目前,广发证券正按照与国际接轨的要求,积极调整和规范企业内部管理体制和运作机制,以建立现代化的企业资源管理流程系统,不断提升公司的管理水平,实现公司“成为国内优秀的、具有专业特色的跨国投资银行”的战略目标,争取为中国资本市场的发展做出更大贡献。
广发证券的VPN建设大体上分为多个片区,首先是要建设分别以广州华南区、北京北方区、上海华东区三个总部为中心分别辐射到全国76个分支机构的VPN网络互连。该VPN网络作为主干股市交易网络的高品质备份网络,平时用于传输办公的关键业务(例如:OA、EXCHANGE电子邮件、电子通告、视频会议、VoIP等),需要时能切换为主干业务网为证券交易。
在每个片区的两个营业点上分别布置一台FVL328作为这个片区的中心节点。华南片区就是在广州江湾营业部和广州农林下路营业部分别布置一台FVL328。其中一台FVL328申请固定IP地址的专线接入,另外一台FVL328申请动态IP地址的ADSL接入。如广州总部为保证带宽和速率就向电信ISP申请开通一条10M带宽的DDN专线,共有8个固定IP地址的INTERNET专线。DDN专线接入FVL 328的WAN端口,总部的局域网交换机接入到FVL328的局域网口(FVL328带有8个局域网口,如果电脑数量多,可以级连交换机),然后所有的电脑统一接入交换机。在另一个营业部的FVL328就申请动态IP公网地址的ADSL接入了。
在每个片区的其他各支营业部,根据营业部规模的大小可选用FVL328和FVS318产品。并且都只申请动态IP地址的ADSL接入便可。在这些营业部的VPN设备上,为提供网络的可靠性,分别创建两条VPN隧道。其中一条隧道是和片区中心具固定公网地址的FVL328相连接,另外一条隧道是和片区中心具动态IP公网地址的FVL328相连接。整个片区的网络呈星网状型结构。
对于每个片区的在外地出差的用户,如果想联入总部或任何一个分支机构的内部网络,则在其电脑上安装对应的VPN CLIENT客户端软件。当出差的移动用户连上公网后,运行VPN CLIENT软件,输入密码,软件会根据事先配置的策略自动与总部或分支机构的VPN设备建立起安全的隧道。
这样基本上每个片区负责约20来个证券营业部,以中心的两台FVL328为中心,构建一个高可靠的低成本、易管理的VPN网络。
美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥进行身份认证等方式,加强内部网络的安全性能。另外,在数据传输的过程中,由于美国网件的FVL328与FVS318 VPN产品中设置了硬件防火墙和状态检测功能,因此既可在NAT模式下实现网络地址的转换,保障内部网络的安全,同时也可以防止诸如DoS、PING包等多种方式的攻击,为分布在各地的工作人员提供安全的点到点和远程访问通讯。美国网件产品内置的防火墙功能可将总部和分支机构的局域网与公网进行安全隔离,使网内的数据库服务器不再暴露于公网之上,处于安全保护下,从而为企业原有的应用系统提供了一个专用、安全、高效的网络应用环境。
整个全国网络的VPN连接示意图如下:
应用效果
目前已安装完毕的广州片区运营半年来,得到了用户的高度评价。其他各个片区的设备正在紧张的安装调试过程当中。此VPN网络为用户带来的直接的好处有:
降低成本:借助电信的ISP来建立私有的VPN,就可以节省大量的通信费用,并且数据传输得到保密。此外,本套VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备。
容易扩展:广发证券整个网络用户想扩大VPN的容量和覆盖范围。总部需做的事情很少,而且能立时实现:只有每个营业厅到电信申请一条动态ADSL宽带线路(广州企业用户包月是500元),添加一台FVL328或是FVS318即可以,而且整个网络都不需要任何的改动。在远程办公室增加VPN能力也很简单:通过配置好SAFENET客户端软件就可以使美国网件VPN路由器拥有Internet和VPN能力,VPN路由器还能对工作站自动进行IP地址配置。