国都证券广域网动态VPN备份案例

　　当营业部到总部的专线出现故障时，动态VPN备份是一个很好的解决方案。

　　目前，广域网对于证券公司来说已经是至关重要，因为一旦A/B股交易、网上交易、开放式基金、自营等基本业务都在广域网上运行，那么广域网自然就成为证券公司的生命线，容不得任何闪失。

　　目前的广域网主要面临两个问题：线路带宽以及设备和线路的备份。

带宽问题比较容易解决。以目前的网络流量来看，平均的业务流量（不包括Internet访问）一般不会超过256kbps，即使考虑到网络流量的增长趋势，只要将带宽升级到2Mbps，并合理地实施QoS技术，2Mbps完全可以胜任语音、视频和数据的传输。

　　设备和线路备份的目的是消除广域网上的单点故障，简单讲就是要达到“双路由器＋双线路”。

　　双路由器就是使用两台路由器互为备份。线路备份才是真正困扰证券公司的关键问题。目前只有两种线路可以选择??专线和ISDN，下面简单分析一下这两种线路存在的问题。

　　备份线路采用专线（DDN/SDH）应当是最理想的方式，目前已经有部分券商使用两条专线连接营业部。通常的做法是选择两家不同的运营商，这样可以将运营风险降到最低。专线的唯一缺点就是贵，一条2Mbps的SDH长途线路月租费为8000元，每年的费用接近10万，这会给整个公司的运营造成负担，所以多数证券公司很难接受两条专线方案。

　　采用ISDN作为备份线路，这在证券广域网中非常普遍，但随着电信公司宽带业务的调整，ISDN正在逐步被淘汰。用ISDN作备份主要存在几方面的问题，第一是带宽低，因为它只有128kbps，所以在做备份时难以承载所有业务流量，必须将一些非紧要的流量过滤掉；更严重的是第二个问题：ISDN线路不稳定，经常处于一种非激活状态，这就导致主线路中断时，ISDN由于没有被激活而无法拨号，即使是有经验的管理员也经常会手忙脚乱；另外，ISDN服务主要集中在一些较大的城市，偏远地区的ISDN覆盖有限，而且线路质量也存在问题。

　　那么有没有一种线路能够满足证券公司的需求：既要带宽高，又要稳定性好，最重要的是要便宜。回答是肯定的，这就是宽带VPN解决方案。

　　这两年国内的宽带业务发展迅猛，其增长态势已超过了ISDN。宽带是Internet带宽接入的简称，主流的技术包括ADSL、以太网、有线的Cable Modem等，在线路带宽、线路质量和运维服务方面都已达到了比较好的水平，而且费用相当低廉，512kbps的ADSL每月只要200多元。

　　使用VPN加密之后，在公网（Internet）上传输业务数据，其安全性是有保证的，电子商务、网上购物以及证券的网上交易都已经证明，通过Internet跑业务，在安全技术方面已经不存在问题，而且国内外很多公司已将Internet作为构建公司私有网络的平台。

　　对于证券公司来说，现在就将广域网构建在Internet（VPN）上还为时过早，与专线相比，VPN在两个方面还存在问题。首先，Internet上的带宽没有保证，无法实施End-to-End的QoS；第二，Internet宽带接入的稳定性还无法与专线相比。所以，我们认为VPN目前还不适合作为主线路，但是与ISDN和专线相比，VPN却更适合作为备份线路。

　　如果营业部已经连接了一条2Mbps的SDH线路，现在又购买了一台路由器，希望用它来连接一条备份线路，做到“双路由器＋双线路”，那么到底采用哪种线路更合适？

　　通过表中的比较可以看出，VPN在一些关键的特性上与专线很接近，而且费用方面又非常低廉。说与专线相比，VPN能够更好地平衡线路备份的需要和公司运营成本之间的矛盾。

　　国都证券有限责任公司在天地网络技术服务有限公司的支持下，已于2003年7月11日实现了动态VPN对广域网的备份，为国都证券的区域集中提供了高可靠的广域网基础设施。7月中旬，作为B股集中报盘中心的北京XX营业部与总部之间的广域网专线发生间歇性通讯中断，VPN成功切换，通讯性能比较原ISDN备份方式大大提高，保证了业务的正常运转。动态VPN技术在国都证券广域网的成功应用，为国都证券节省了广域网运行的费用。其广域网VPN网络拓扑结构如图所示。

　　

　　国都证券公司广域VPN备份方案

　　首先，总部和营业部都要增加网络设备。总部需要新增一台中高端的防火墙（PIX 515E/525）和一台专门用于VPN路由的路由器（Cisco 2651XM）；每个营业部需要新增一台低端防火墙PIX 506E和一台备份路由器Cisco 2611XM。

　　总部以专线方式接入Internet，而且必须具有静态的公网IP，带宽应大于2Mbps。营业部以ADSL方式接入Internet，带宽有512kbps就足够。PIX 506E防火墙具有PPPoE拨号功能，只要将从ADSL Modem出来的RJ-45网线直接连接到PIX 506E的outside端口即可。

　　由于ADSL上网获得的是动态IP地址，所以在构建VPN时是采用Cisco EzVPN技术，由营业部端的防火墙向总部防火墙发起连接请求，以建立IPSec VPN，这种方式称为动态VPN。所谓动态是指每次ADSL重新拨号后，IPSec VPN也要重新建立。

　　要在VPN上传输数据，仅仅有防火墙是不够的，还必须通过复杂的路由配置，保证当专线中断时，业务流量能够被快速地重新定向到VPN线路上。使用OSPF（或EIGRP）动态路由协议，并且通过GRE技术，将动态路由协议OSPF扩展到VPN上。

　　考虑到备份手段的多样性，建议保留原有的ISDN线路，只是现在的备份策略与以前不同：专线中断后，所有的流量会切换到VPN上，如果这时VPN线路也意外中断，备份路由器会马上启动ISDN线路，保证在专线和VPN都中断时，业务依然能够传输。所以，ISDN将成为第三备份手段。

　　综上所述，VPN备份方案能够实现以下的备份功能：营业部到总部的专线出现故障时，流量能够在2秒内切换到VPN线路上；营业部的主路由器发生故障时，备份路由器能够自动在20秒内恢复广域网连接；总部主路由器Cisco 7507发生故障时，所有业务在2秒内切换到VPN线路上，实现针对整个广域网的备份。

　　

　　通过表格对三种备份方式进行比较

0