XX证券网络改造方案

 

 

 

 

 

 

目录

1. 项目整体介绍        

1.1客户背景        

1.2项目简介        

2. 网络规划        

2.1 现内网结构拓扑：        

2.2现网简介        

2.3现网存在的问题：        

2.4规划后的网络拓扑：        

2.5规划后的网络简介        

2.6现网规划的优势：        

 

 

 

 

 

1.                      项目整体介绍

1.1客户背景

上海XX投资管理有限公司是一家专注于把握中国A股市场投资和套利交易机会的投资管理公司。从事证券投资25年，凭借敏锐的投资眼光，带领其专业化投资队伍连续在国内证券投资市场内创下佳绩。

1.2项目简介

客户目前分为内外网，内网通过两根专线与光大证券对接，外网用于本公司人员上网使用。内网使用两台ASA5505接光大证券过来的两根外线，单台接单根运营商线路，只使用一台，另外一台作为冷备。（一根电信，一根联通），下接两台C3560X核心交换机（两台交换机只接线，未运行任何冗余协议），核心下接百兆接入交换机。

 

2.                      网络规划

2.1 现内网结构拓扑：

 

2.2现网简介

 

现内网是用电信联通两根专线，与光大证券做对接，实现数据的互通。内网采用两台两台思科3560X分别接两根电信和联通的专线，与光大2台ASA5505对接，ASA之间无融合冗余协议，备的防火墙纯当冷备。XX内网两台思科3560X核心交换机，两台核心交换机采用传统的STP模式，用阻塞端口来实现链路冗余，可能切换时间慢，流量会产生不一致的问题。核心交换机下接两台百兆接入交换机，接入交换机都是单台双线分别接入两台核心。百兆接入下接客户服务网段，与光大证券方互通。

2.3现网存在的问题：

²                      网络设备只有冷备，无热备，出现故障时只能手动切换，无法快速的恢复网络。

²                      交换机使用传统的STP冗余模式，切换速度慢，排除故障较难。

²                      设备都是冷备，只有出问题的时候才使用，造成资源浪费。

²                      有多线路，但并未使用，造成资源浪费

²                      设备年代长久，设备老化，存在安全隐患。

 

2.4规划后的网络拓扑：

 

 

 

2.5规划后的网络简介

光大方面，两台思科ASA5505 更换为ASA5508，性能提升，保证网络的稳定性，考虑到防火墙上有两根运营商的专线，建议在防火墙上做IP SLA的功能，通过track来检测网络中故障，达到当其中的一根外线down时，防火墙能够快速检测到，并立马把业务切换到另外一根线上。两台防火墙也可以通过failoverA/S的技术，实现设备的热备，当active故障离线时，failover会通过心跳线检测到主火墙离线，流量立刻切换至standby，保证数据的正常通信。两条链路一主一备，优先从电信线路转发数据，当电信线路断开时，立刻切换至备用线路进行工作。尽快的缩短故障时间。核心交换机替换为思科9300交换机，性能替换，交换容量和包转发率提高，结合思科硬件堆叠技术，将两台9300进行堆叠，将两台虚拟成一台使用，增加堆叠带宽，并提供设备和链路的冗余性，接入交换机2960替换成千兆型号9200的，双上联核心，实现千兆到桌面，保证业务的稳定性。

 

2.6现网规划的优势：

²                      设备更新换代，保证设备的稳定性。防止出现突然宕机的情况。

²                      防火墙上做IP SLA 保证内网和外网链路的稳定性和网络的安全性。

²                      防火墙交换机有硬件和线路的冗余，保证网络稳定性。

²                      后期可扩展性强。

²                      无单点故障，当网络出现故障时，不需要手动切换，切换时间快，对网络造成的影响较小。

 

 

 

 

3.                      涉及到技术详解

3.1 IP SLA技术

²                      原理：发送测试报文，对网络性能，服务质量进行分析，并为用户提供网络服务质量的各种参数

²                      功能：检测设备之间的网络性能；量化当前网络的性能，健康状况；评估现有网络的服务质量；帮助用户分析，排除网络故障；和浮动静态路由技术结合做track功能，快速检测网络故障点。

 

3.2failover A/S技术

Failover特性是Cisco安全产品高可用性的一个解决方案，目的是为了提供不间断的服务，当主设备down掉的时候，备用设备能够马上接管主设备的工作，进而保持通信的连通性，Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接，活动设备的接口被monitor，用于发现是否要进行Failover切换，Failover分为failover和Stateful Failover，即故障切换和带状态的故障切换，不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断，不带状态的failover在进行切换的时候，所有活动的连接信息都会丢失，所有Client都需要重新建立连接信息，那么这会导致流量的间断，带状态的failover，主设备将配置信息拷贝给备用设备的同时，也会把自己的连接状态信息拷贝给备用设备，那么当主的设备down的时候，由于备用设备上保存有连接信息，因此Client不需要重新建立连接，那么也就不会导致流量的中断。

 

 

3.3思科交换机堆叠技术：

 

 

叠加的交换机之间通过两条环路线缆连接起来。交换机的硬件负责将数据包在双环路上做负载均衡。环路在这里充当了这个大的逻辑交换机的背板的角色，在双环路都正常工作时，数据包在这台逻辑交换机上的传输率为32Gbps。当一个数据帧需要传输时，交换机的软件会进行计算看哪条环路更可用，然后数据帧会被送到该环路上。如果一条堆叠电缆出故障，故障两端的交换机都会侦测到该故 障，并将受影响的环路断开，而逻辑交换机仍然可以以单环的状态工作，此时的数据包通过率为16Gbps。