探析证券局域网三层结构

　　摘 要 软三层结构主要通过虚网(VLAN)来实现。它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为两个(或多个)虚拟网段，划分的依据一般是交换机的物理端口(也可以是用户节点的MAC地址等)。划分的结果使得同一虚网内数据可自由通讯，而不同虚网间的数据通讯则需要通过路由来完成。

　　关键词：三层结构,中间件,虚网,硬三层

　　1. 概述

　　证券行业是对计算机要求很高的行业，一般说来，每个证券营业部都有自己的局域网。证券交易/行情业务数据以文字为主，仅带有少量图形信息，但数据量大，更新频繁，网络要求具有很高的可靠性、数据传输率和安全性。

　　2. 传统的证券局域网结构

　　通常，传统的证券局域网一般是以交换机作为主干的二层结构星形网络。网络环境大多采用100/1000M交换以太网做主干，10/100M交换以太网到桌面的连接方式。其拓扑结构如图1所示。

　　图1 传统的证券局域网

　　网络一般采用C/S(Client/Server)模式，资金和交易数据主要保存在后台的NT Server上，无盘工作站可以直接访问前台的Novell Server，但不能直接访问后台的NT Server，而后台的PC工作站则可以在许可的权限范围内直接访问NT Server。这种网络结构具有高效、易扩展等特点，但也存在一些安全性问题，主要是由于前台系统和后台系统存在物理上的连接，因而不能完全杜绝用户操作无盘工作站利用某种非法手段进入后台系统作案的可能性。且作案后一般不会留下可供追查的线索。

　　3. 三层结构证券局域网分析

　　3.1 三层结构证券局域网的产生背景

　　这样就将整个网络的体系结构划分为三层：服务器端、中间件(构成中间层的构件)和客户端。中间件的存在，将网络分隔为完全分离的内部网和外部网，使前端用户无法看到后台数据库服务器和文件服务器 ，有效地防止了黑客的攻击。中间件在系统处理能力上采用多线程技术，大大提高了工作效率，可靠性和扩展性也较二层结构强。符合中国证监会关于证券经营机构信息系统管理的“三分离”原则，即数据与网络分离、技术与业务分离、前台与后台分离。被证券业界一致认为是今后交易系统的发展方向。

　　3.2三层结构证券局域网的分类

　　目前，三层结构证券局域网主要有两种模式，软三层结构和硬三层结构。

　　3.2.1软三层结构

　　这样在一定程度上加强了虚网间隔离，能有效防止外部用户入侵，提高安全性。此外，划分虚网还可以隔离广播信息，一个虚网内节点发送的广播信息不会被转发到其他虚网上去，这对于提高证券网络的运行效率是很有帮助的。其拓扑结构如图2所示。

　　资金服务器(Windows NT) 行情服务器(NetWare)

　　图2 利用虚网设置的三层结构证券局域网

　　软三层结构具有成本低、结构简单的特点。但管理、维护较复杂，需要对交换机的端口进行设置，并建立端口与内外网之间的对应关系。

　　3.2.2硬三层结构

　　硬三层结构是物理上完全隔离的三层结构，以下是某证券营业部的网络拓扑图：

　　资金服务器(Windows NT) 交易服务器(NetWare) 行情服务器

　　(NetWare)

　　外网

　　图3 物理上完全隔离的三层结构证券局域网

　　相对软三层结构来说，硬三层结构管理、维护较为简单，网络划分只需在交换机一级进行，不涉及每一具体端口。但网络结构复杂、建设成本高。

　　图3所示网络的外网(行情系统)和内网(交易系统)在物理上是完全隔离的，外网主干交换机是Cisco Catalyst 4006，内网交换机为Cisco3548。连接到桌面的网络设备采用Cisco1924。中间件运行平台为Windows NT4.0，中间件上安装两块网卡，分别连接内网和外网，在NT中安装IPX/SPX协议(不安装TCP/IP协议，这样可以有效防止TCP/IP数据包攻击)，关闭这两块网卡的内部路由功能，这样外网的用户便无法利用中间件的软件路由功能直接访问内网数据，而客户的委托成交数据则利用中间件程序转发。为进一步增加安全性，还可将这两块网卡绑定不同的协议，如连接外网的网卡只绑定IPX/SPX协议，连接内网的网卡只绑定TCP/IP协议，由于两块网卡连接的协议不同，在一定程度上增加了系统的安全。

期刊VIP网，您身边的高端学术顾问

文章名称： 探析证券局域网三层结构

文章地址： http://www.qikanvip.com/jisuanjiyingyong/12822.html