摘 要 軟三層結(jié)構(gòu)主要通過虛網(wǎng)(VLAN)來實(shí)現(xiàn)。它依靠用戶的邏輯設(shè)定將原來物理上互連的一個(gè)局域網(wǎng)劃分為兩個(gè)(或多個(gè))虛擬網(wǎng)段，劃分的依據(jù)一般是交換機(jī)的物理端口(也可以是用戶節(jié)點(diǎn)的MAC地址等)。劃分的結(jié)果使得同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)通訊則需要通過路由來完成。

　　關(guān)鍵詞：三層結(jié)構(gòu),中間件,虛網(wǎng),硬三層

　　1. 概述

　　證券行業(yè)是對(duì)計(jì)算機(jī)要求很高的行業(yè)，一般說來，每個(gè)證券營業(yè)部都有自己的局域網(wǎng)。證券交易/行情業(yè)務(wù)數(shù)據(jù)以文字為主，僅帶有少量圖形信息，但數(shù)據(jù)量大，更新頻繁，網(wǎng)絡(luò)要求具有很高的可靠性、數(shù)據(jù)傳輸率和安全性。

　　2. 傳統(tǒng)的證券局域網(wǎng)結(jié)構(gòu)

　　通常，傳統(tǒng)的證券局域網(wǎng)一般是以交換機(jī)作為主干的二層結(jié)構(gòu)星形網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境大多采用100/1000M交換以太網(wǎng)做主干，10/100M交換以太網(wǎng)到桌面的連接方式。其拓?fù)浣Y(jié)構(gòu)如圖1所示。

　　圖1 傳統(tǒng)的證券局域網(wǎng)

　　網(wǎng)絡(luò)一般采用C/S(Client/Server)模式，資金和交易數(shù)據(jù)主要保存在后臺(tái)的NT Server上，無盤工作站可以直接訪問前臺(tái)的Novell Server，但不能直接訪問后臺(tái)的NT Server，而后臺(tái)的PC工作站則可以在許可的權(quán)限范圍內(nèi)直接訪問NT Server。這種網(wǎng)絡(luò)結(jié)構(gòu)具有高效、易擴(kuò)展等特點(diǎn)，但也存在一些安全性問題，主要是由于前臺(tái)系統(tǒng)和后臺(tái)系統(tǒng)存在物理上的連接，因而不能完全杜絕用戶操作無盤工作站利用某種非法手段進(jìn)入后臺(tái)系統(tǒng)作案的可能性。且作案后一般不會(huì)留下可供追查的線索。

　　3. 三層結(jié)構(gòu)證券局域網(wǎng)分析

　　3.1 三層結(jié)構(gòu)證券局域網(wǎng)的產(chǎn)生背景

　　這樣就將整個(gè)網(wǎng)絡(luò)的體系結(jié)構(gòu)劃分為三層：服務(wù)器端、中間件(構(gòu)成中間層的構(gòu)件)和客戶端。中間件的存在，將網(wǎng)絡(luò)分隔為完全分離的內(nèi)部網(wǎng)和外部網(wǎng)，使前端用戶無法看到后臺(tái)數(shù)據(jù)庫服務(wù)器和文件服務(wù)器 ，有效地防止了黑客的攻擊。中間件在系統(tǒng)處理能力上采用多線程技術(shù)，大大提高了工作效率，可靠性和擴(kuò)展性也較二層結(jié)構(gòu)強(qiáng)。符合中國證監(jiān)會(huì)關(guān)于證券經(jīng)營機(jī)構(gòu)信息系統(tǒng)管理的“三分離”原則，即數(shù)據(jù)與網(wǎng)絡(luò)分離、技術(shù)與業(yè)務(wù)分離、前臺(tái)與后臺(tái)分離。被證券業(yè)界一致認(rèn)為是今后交易系統(tǒng)的發(fā)展方向。

　　3.2三層結(jié)構(gòu)證券局域網(wǎng)的分類

　　目前，三層結(jié)構(gòu)證券局域網(wǎng)主要有兩種模式，軟三層結(jié)構(gòu)和硬三層結(jié)構(gòu)。

　　3.2.1軟三層結(jié)構(gòu)

　　這樣在一定程度上加強(qiáng)了虛網(wǎng)間隔離，能有效防止外部用戶入侵，提高安全性。此外，劃分虛網(wǎng)還可以隔離廣播信息，一個(gè)虛網(wǎng)內(nèi)節(jié)點(diǎn)發(fā)送的廣播信息不會(huì)被轉(zhuǎn)發(fā)到其他虛網(wǎng)上去，這對(duì)于提高證券網(wǎng)絡(luò)的運(yùn)行效率是很有幫助的。其拓?fù)浣Y(jié)構(gòu)如圖2所示。

　　資金服務(wù)器(Windows NT) 行情服務(wù)器(NetWare)

　　圖2 利用虛網(wǎng)設(shè)置的三層結(jié)構(gòu)證券局域網(wǎng)

　　軟三層結(jié)構(gòu)具有成本低、結(jié)構(gòu)簡單的特點(diǎn)。但管理、維護(hù)較復(fù)雜，需要對(duì)交換機(jī)的端口進(jìn)行設(shè)置，并建立端口與內(nèi)外網(wǎng)之間的對(duì)應(yīng)關(guān)系。

　　3.2.2硬三層結(jié)構(gòu)

　　硬三層結(jié)構(gòu)是物理上完全隔離的三層結(jié)構(gòu)，以下是某證券營業(yè)部的網(wǎng)絡(luò)拓?fù)鋱D：

　　資金服務(wù)器(Windows NT) 交易服務(wù)器(NetWare) 行情服務(wù)器

　　(NetWare)

　　外網(wǎng)

　　圖3 物理上完全隔離的三層結(jié)構(gòu)證券局域網(wǎng)

　　相對(duì)軟三層結(jié)構(gòu)來說，硬三層結(jié)構(gòu)管理、維護(hù)較為簡單，網(wǎng)絡(luò)劃分只需在交換機(jī)一級(jí)進(jìn)行，不涉及每一具體端口。但網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、建設(shè)成本高。

　　圖3所示網(wǎng)絡(luò)的外網(wǎng)(行情系統(tǒng))和內(nèi)網(wǎng)(交易系統(tǒng))在物理上是完全隔離的，外網(wǎng)主干交換機(jī)是Cisco Catalyst 4006，內(nèi)網(wǎng)交換機(jī)為Cisco3548。連接到桌面的網(wǎng)絡(luò)設(shè)備采用Cisco1924。中間件運(yùn)行平臺(tái)為Windows NT4.0，中間件上安裝兩塊網(wǎng)卡，分別連接內(nèi)網(wǎng)和外網(wǎng)，在NT中安裝IPX/SPX協(xié)議(不安裝TCP/IP協(xié)議，這樣可以有效防止TCP/IP數(shù)據(jù)包攻擊)，關(guān)閉這兩塊網(wǎng)卡的內(nèi)部路由功能，這樣外網(wǎng)的用戶便無法利用中間件的軟件路由功能直接訪問內(nèi)網(wǎng)數(shù)據(jù)，而客戶的委托成交數(shù)據(jù)則利用中間件程序轉(zhuǎn)發(fā)。為進(jìn)一步增加安全性，還可將這兩塊網(wǎng)卡綁定不同的協(xié)議，如連接外網(wǎng)的網(wǎng)卡只綁定IPX/SPX協(xié)議，連接內(nèi)網(wǎng)的網(wǎng)卡只綁定TCP/IP協(xié)議，由于兩塊網(wǎng)卡連接的協(xié)議不同，在一定程度上增加了系統(tǒng)的安全。