Chinaunix首页 | 论坛 | 博客
  • 博客访问: 10327049
  • 博文数量: 1669
  • 博客积分: 16831
  • 博客等级: 上将
  • 技术积分: 12594
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-25 07:23
个人简介

柔中带刚,刚中带柔,淫荡中富含柔和,刚猛中荡漾风骚,无坚不摧,无孔不入!

文章分类

全部博文(1669)

文章存档

2023年(4)

2022年(1)

2021年(10)

2020年(24)

2019年(4)

2018年(19)

2017年(66)

2016年(60)

2015年(49)

2014年(201)

2013年(221)

2012年(638)

2011年(372)

分类: 系统运维

2015-04-21 20:08:30

部门:网络优化与安全产品部

方案名称:负载均衡应用解决方案-Array证券解决方案


一、用户需求

1、证券网络的现状与趋势

  证券业务在我国的开展时日已久,并随着时间的推移日渐繁荣。证券市场在建设之初,存在营业场地小、投资者人数多、下单速度慢、人工委托容易出差错等一系列瓶颈问题,如何从技术上进行有效突破成为当务之急。早期能够解决这一问题最有效的手段是电话委托方式,然而在行情火爆时,电话打不进去、不能成交的现象时常存在。此外,证券业在繁荣的同时也必然会引入一些新的业务模式,股民们已不仅仅满足于某一笔交易的完成,还希望以更方便的方式获得实时行情、证券资讯,听取投资分析、问题解答……证券公司无疑也期望籍此提高股民的满意度,在日趋激烈的市场竞争中处于领先地位。而这些需求都是传统手段所无法满足的。 
  网络技术的日新月异为证券服务的尴尬处境带来新的契机--到今天,网络已逐渐进入到千家万户,改变着人们的工作、生活、学习模式,使信息的交流跨越了时间和空间的束缚。利用新一代信息技术改造原有证券服务模式,进而拓展增值应用,已经成为证券行业发展的潮流。不过,这一切都必须依赖可靠、安全、高效、可管理的网络。证券行业的信息网建设包括多个层面,主要有营业部网络、企业内部网Intranet以及网上交易系统等。 
营业部网络实现了面向用户的各种业务流程的电子化,提供了传统证券业务的各种职能。它能够为用户提供行情公告和委托下单服务,并可以进行交易清算。同时,这种网络可以将营业部的各项数据实现数字化管理,并通过共享方式做到准确及时的交流。营业部网络的建设可以起到立竿见影的效果,迅速提高证券企业的市场竞争力。 
  随着竞争越来越激烈,各证券公司都在全国范围的广域环境中组建企业自身的Intranet,并借助它实现办公自动化、电子邮件通信、资金管控、财务管理。Intranet能够从根本上优化证券公司内部业务处理流程,利用流畅的信息传递和共享实现资源的最佳配置。它实现了企业内部、企业与客户之间的信息资源高效、快捷的交流和共享,极大地提高了工作效率,减轻了工作量。此外,这部分功能体系体现了证券公司的增值能力,为扩展市场影响力、开拓新的业务范围打下了坚实的基础。 
  在营业部网络和企业Intranet建成的基础上,证券公司还可以开展更深层次的服务,这就是网上交易。国外的网上交易服务已有不少成功的案例,如全球最大的在线证券商嘉信理财,拥有超过1百万的网络用户,有50%的交易通过网络来实现,总交易额超过700亿美元。国内的网上交易也蓬勃兴起:我国最早开展网上交易的证券商是中国华融信托投资公司湛江营业部,该部于1997年3月推出多媒体公众信息网网上交易系统,象征着中国证券网上交易的开始。根据iResearch艾瑞市场咨询《2003年网上证券研究报告》的研究数据显示,2001年底,中国网上交易开户总数为332万,占当年沪深交易所平均开户总数的10%。2002年底,网上交易开户数增长到507万,占当年沪深交易所平均开户总数的14.7%。到2003年底,中国网上交易开户总数已经增长到527万,占当年沪深交易所平均开户总数的15.1%。由此可以看出,计算机网络系统在证券业务运营中的作用和扮演的角色越来越重要,依靠先进的技术和拥有可靠、安全、快速的计算机网络平台,不但极大地方便了现有投资者,而且会赢来众多的新投资者,极大地推动了我国证券市场的发展,它的优越性在以下几方面有明显体现: 
  (1)网络应用集实时行情、技术分析、证券资讯、电子交易于一身,有利于改善服务质量,提高股民满意度; 
  (2)全国一体化,降低企业成本和风险--大规模证券公司往往在全国各地开展联营,通过网络可实现各营业点资源共享,信息同步,同时也简化了办公管理流程,从而降低成本; 
  (3)改变工作模式,开展新业务--网上交易方便快捷,减少了日常营业费用,易于扩展客户群,同时也便于逐步开展一些新兴业务如多媒体股评、视频点播等,吸引更多的用户加盟; 
  (4)提高市场竞争力--高效的网络应用降低了证券公司的运营成本,扩大了用户 群,势必会提高证券商实力,在市场竞争中处于不败之地。 
实践证明,只要拥有一个可靠、安全、高效、可管理的系统,证券商在计算机网络建设上的投资总会得到良好的回报。Array公司以其卓越的技术、丰富的产品线和完善的售后服务体系为保障,能够为证券公司提供完善的网上证券解决方案。

2、目前证券网上交易存在的潜在问题

  网上交易虽然好处颇多,但在我国仍处于起步阶段。目前网上委托交易开户率仅占5000万投资者的0.5%,交易量也总是在1%徘徊。要改变这一状况,除了降低网费、提高网速外,证券网站为投资者提供的资讯信息和投资决策服务和帮助也有待提高,更依赖着网络基础设施建设、电讯通信稳定性、安全性等因素的进一步完善,而法律和行业准入等问题也要进一步规范化。随着证监会《网上证券委托暂行管理办法》的发布,新一轮的客户争夺战势将开展,面向全国2000万以上的上网用户都可能成为潜在客户的巨大诱惑,各证券公司都正加快其开展网上交易的建设步伐,可以想象,未来在此方面处于劣势的证券公司将在竞争中同样处于劣势。
  由于中国证券行业的特殊状况,一般证券公司均会将网上行情交易系统和证券网站独立运转, 前者提供行情查询和在线交易,后者则侧重信息发布和证券咨询服务。仔细研究现有证券的网络结构,结合Array公司在多家国际证券公司的成功经验和行业理解,我们认为在一些关键应用上,目前国内证券交易系统存在下面几方面的问题:
  (1)网络安全性
  由于网上证券是一种网络应用,它的所有内容都是以数字的形式流转于Internet之上,因此,在网上证券应用中不可避免地存在着由Internet的自由、开放所带来的信息安全隐患。另外,网上证券作为庞大资金流动的载体,更易成为非法入侵和恶意攻击的对象。所以,安全性成为了网上证券的首要问题,证券公司应制定并实施充分的物理安全措施,有效防范外部或内部非授权人员对关键设备的非法接触;应采用合适的加密技术和措施,以确认网上证券业务用户身份和授权,保证网上交易数据传输的保密性、真实性,保证通过网络传输信息的完整性和交易的不可否认性。
  (2)速度和稳定性
  随着网上证券用户数量的增长,许多证券交易网访问量突增,网络用户的所有请求都涌向交易网站,导致证券交易网站运维压力太大,内容响应速度慢,大大降低网络的运行速率。如果网上交易的人数过多,就容易出现线路拥挤的情况,也给电脑黑客提供机会,一定程度上影响股民的操作速度和网上交易。
另外还可能出现一些意外的故障,影响网上交易的稳定性,如:
服务器故障-服务器出现硬件或操作系统故障而不能使用 ; 
软件故障-尽管其它应用系统正常运行,但某个或某些应用系统挂起或停止响应 ; 
  内容故障-服务器和应用系统都在正常运行,但对请求的响应却是“404 Object Not Found”,或响应内容不正确;
  流量过多-服务器的响应与负载量变化密切相关。在流量增 长的过程中,服务器将及时对请求作出响应,然而当流量到达一个极限点时,服务器就会停止对所有请求进行响应;
  不能访问网络-如果服务器和外界的连接中断,也就无法进行访问了。这可能是由路由器故障、路由器配置错误或是高速缓存故障而引起的;
  异地容灾问题-当一个中心发生故障时,如何自动转向其它可用站点,并在原中心恢复后,自动转回服务,而且自动同步内容。

3.网上证券系统的业务需求

  (1)网上证券交易对安全的需求 
  网上证券交易安全性的实现应该以交易信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益,同时也以避免其他用户的非授权访问和破坏为最终目的。具体来说,网上证券交易的安全性需求应包括以下几个方面: 
  - 身份认证及访问控制:在网上证券交易过程中,证券经纪与用户进行互相认证,以保证交易双方的正确身份。网上交易服务提供商根据用户的身份,对其访问的信息进行控制。 
  - 机密性和完整性:保证网上证券交易中涉及的大量个人保密信息在公网传输过程中不被窃取,并保证所传输的交易信息不被中途篡改或通过重复发送进行虚假交易。 
  - 不可抵赖:参与网上证券交易的任何一方都无法否认发生的交易,证券经纪无法否认在某个时间某个客户提出了某个交易委托申请,而客户也不能抵赖他曾经提交过的委托。 
  - 安全存储和审计:由于证券交易数据对安全的敏感性,交易数据需要安全的存储和审计设计,保证在以后可以进行检查。 
  - 用户漫游: 要充分发挥网上证券交易的优势,在完成以上的安全设计后,还应该保证用户是可以漫游的,即用户在互联网上的任何地方参与网上证券交易活动,都能享受以上的安全保护。
  (2)网上证券交易对高可靠性的需求
  证券网络所面临的一个重要问题是可靠性问题,应用中任一环节出现故障都会导致证券公司的巨大损失,因此问题的解决也应从多方面入手,如数据备份,交易/行情服务器的硬件冗余、软件容错,以及网络设备的部件冗余和结构(链路)冗余等,以保障整套系统的万无一失。
  (3)网上证券交易对高速网络的需求
  在网上交易用户数较多、突发流量大的情况下,不容许出现网络瓶颈,阻碍正常交易。
  针对证券系统的的业务需求,Array公司提出了一套高速、安全、可靠的解决方案。

二、Array网上证券解决方案的特点

1. 可扩展性

  网上证券系统是一个不断发展的系统,所以它必须具有良好的扩展性。能够根据将来信息化的不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。
  Array设计的网上证券网络解决方案采用了模块化的设计,从而具有良好的可扩展性,完全可以适应网上证券业务的发展,逐步扩展网络。针对到具体的网上证券网络解决方案,其可扩展性主要体现在以下方面:
  (1)网络可扩展的关键在于能否实现合理的模块化设计,采取模块化的设计可以根据网络需求的变化,在不影响现有网络运行的状况下,迅速扩展。在Array提供的网上证券网络方案中,模块化即为其重要的一点,在整个网上证券网络设计中分为Internet互联模块、系统安全模块、核心交换模块、针对不同网上证券用户类型的功能模块、及后台管理模块。每个模块可以进行独立设计,可根据不同网上证券的不同需求、规模、及业务发展状况进行取舍。 
  (2)在Array提供的网上证券方案中,Internet互联层、核心层、业务功能层皆采用先进的智能专用网络设备,其分布式的体系结构提供了强大的网络吞吐能力,加上设备丰富的L4/L7功能,使得整个网上证券网络具有极强的扩展能力。

2. 实用性和可靠性

  高实用性和高可用性是网上证券运营成功的关键,也是证券用户选择网上证券的基本原则。针对网上证券的网络方案,其可用性设计包括网络设备本身的冗余能力、网络的冗余设计。Array 网上证券方案中主要的高实用性和高可用性设计有: 
  (1)采用冗余网络设计。每个层次均采用双机方式,层次与层次之间采用全冗余连接。 
  (2)提供多种冗余技术。在Array 网上证券 解决方案中,在不同层次可提供增值冗余设计,在Internet 层采用VRRP 冗余协议、核心层采用STP、VRRP等技术、分布层采用应用层交换机的重定向功能实现高效、负载均衡的服务器备份。
  (3)采用应用层交换机的健康检查功能,对服务器、防火墙等负载均衡设备实施实时的监测和故障自动屏蔽功能。 
  (4)采用应用层交换机的L4/L7增值功能,提供在线备份服务器方案,故障后的应急服务器方案,在线维修服务器方案。 
  (5)通过带宽管理设备为托管用户提供有质量保证的带宽服务,特别是可以根据时间动态调整带宽分配,为网上证券节省网络管理的时间。 

3. 安全性 

  Array的解决方案具备内在的安全特性,这些特性是专门为避免遭受攻击和为服务器和网络设备提供保护而特别设计的。Array WebWall防火墙能有效地保护服务器和应用的安全。  Array的SSL VPN,保证证券公司总部与各营业部之间信息传输的机密性,基于SSL协议的应用加密系统保证股民交易安全。

4. 可管理性 

  对于网上证券运营商而言,运营管理的成功与否是网上证券是否成功的标志,而网络的可管理性是网上证券运营管理成功的基础。在Array 的网上证券网络方案中,可提供多种优化的可管理信息。 
  (1)对于用户的各项业务,Array 解决方案可提供多种方式的详尽的事件记录以供给计费系统进行计费。 
  (2)无论是防火墙、应用层交换机,还是VPN设备,都能提供基于Web方式的管理界面,方便客户进行远程管理。同时,其完备的报警功能,可以在系统发生故障时,及时通知网络管理人员。 
  (3)完整的日志记录,能够用来记录和分析客户的访问和交易情况。
三、Array网上证券解决方案


  Array产品系列提供一个将诸多复杂Web设备化零为整的解决方案,可以完全解决网上证券系统存在的问题。它是第一个真正的将众多重要的网络功能合为一体的集成化应用系统,这些网络功能包括服务器负载均衡(SLB),全局服务器负载均衡(GSLB),SSL加速, WebWall安全,链路负载平衡(LLB),HTTP压缩以及SSL VPN解决远程安全访问等。

1.SLB――解决服务器负载平衡和高可靠性

  对于网上证券而言,访问时延和服务器的可靠性是非常重要的问题。而随着业务的增长,对拥有多台服务器的证券运营中心来说,不是全部服务器都发挥了其应有的效力。Array的负载均衡服务,使每台服务器的处理能力都能得到充分的发挥。SLB可以实现如下的功能:
  - 提供真正面向应用层的WWW、DNS、FTP,以及基于固定端口的TCP/UDP等应用的负载均衡;
  - 无需改动网络拓扑结构,即可实现功能;
  - 功能强大,支持路由功能- 根据实际响应时间的负载平衡算法来实现真正的合理的流量分配。

1.1 SLB的工作模式

Array的服务器负载均衡可以以两种模式执行:Reverse Proxy Mode(反向代理模式)和Transparent Mode(透明模式)。
  (1)Reverse Proxy Mode(反向代理模式)
  使用Array TM的反向代理服务可以将请求转发给内部的服务器,让Array TM将请求均匀地转发给多台内部服务器之一上,从而达到负载均衡的目的。这种代理方式与普通的代理方式有所不同,标准代理方式是客户使用代理访问多个外部服务器,而这种代理方式是多个客户使用它访问内部服务器,因此也被称为反向代理模式。其传输流程如下所示:

 

反向代理模式的优点:
  -可以采用One-armed的结构部署;
  -可以通过连接池技术增强系统性能。
  反向代理模式的局限性:
  -服务器无法记录哪些IP的客户端曾进行访问
  解决办法: Array TM可以在用户的HTTP包头中加入X-Forwarded-For字段,用它记录客户端的IP地址。
  (2)Transparent Mode(透明模式)
  Array TM 的透明模式是指Array TM在转发用户请求时,透明地将客户端的连接定向到特定的服务器上,即用户的源IP地址对服务器是透明的,服务器可以知道哪个客户对其进行了访问。其传输流程如下:

透明模式的优点:服务器可以记录哪些IP的客户端曾进行访问。
  透明模式的局限性:
  -结构/路由设计必须保障从源服务器端来的响应必须经过TM;
  -One-armed的结构有可能不能实现;
  -由于每个请求的源IP地址都不一样,因此无法利用连接池技术改善系统性能。

1.2 SLB的负载均衡算法

  Array支持多种服务器负载均衡算法(持续性的和非持续性的),包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法,链路带宽算法等等。此外实际服务器可以被分配不同的加权值来调整被分配的流量。比如性能高的大型服务器可配置较大的加权值,而为性能较低的小型服务器设置较小的加权值。为了避免服务器因过载而崩溃,可为实际服务器指定最大连接阈值来避免该服务器过载。任何服务器可被指定为另一台服务器的备份服务器或溢出服务器,从而进一步保证了应用可用性。
  (1)非持续性算法(Non-Persistent):一个客户端的不同的请求可能被分配到一个实服务组中的不同的实服务器上进行处理。主要有轮循算法、最少连接算法、响应速度算法等。
-轮循算法(Round Robin):每一次来自网络的请求轮流分配给内部中的每台服务器,从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况; 
  -最少连接算法(Least Connection):客户端的每一次请求服务在服务器停留的时间都可能会有较大的差异,随着工作时间的加长,如果采用简单的轮循或随机均衡算法,每一台服务器上的连接进程可能会产生极大的不同,这样的结果并不会达到真正的负载均衡。最少连接数均衡算法对内部中有负载的每一台服务器都有一个数据记录,记录的内容是当前该服务器正在处理的连接数量,当有新的服务连接请求时,将把当前请求分配给连接数最少的服务器,使均衡更加符合实际情况,负载更加均衡。此种均衡算法适合长时间处理的请求服务。 
  -响应速度算法(Response Time):负载均衡设备对内部各服务器发出一个探测请求(例如Ping),然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好地反映服务器的当前运行状态,但最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间,而不是客户端与服务器间的最快响应时间。
  (2)持续性算法(Persistent):从一个特定的客户端发出的请求都被分配到一个实服务组中的同一个实服务器上进行处理。主要包括:
  A.基于IP的算法
  -Persistent IP (pi):基于用户IP地址来选择服务器。
  -Hash IP (hi) :基于用户IP地址的HASH值,来选择服务器
  -Consistent Hash IP (chi):
  B.基于报头/请求的算法
  -Hash Header (hh):基于用户请求报中HTTP报头来选择服务器;
  -Persistent Hostname (ph) :基于用户请求报中HTTP报头的Hostname的HASH值,来选择服务器;
  -Persistent URL (pu):基于对URI Tag 和值的静态对应关系来选择服务器。-SSL Session ID (sslsid):基于SSL会话ID来选择服务器。
  C.基于Cookie的算法
  -Persistent Cookie (pc) : 选择服务器基于用户请求包用Cookie Name / Value 的静态对应关系; 
  -Hash Cookie (hc) :选择服务器基于用户请求包用Cookie Name / Value 的Hash 值对应关系;
  -Insert Cookie (ic) :选择服务器基于Array 向服务器响应包中插入Cookie;
  -Re-write Cookie (rc):选择服务器基于Array 向服务器响应包中重写Cookie值。(必须为重写指定Cookie值的偏移量)

1.3 SLB的负载均衡策略

  SLB 的负载均衡策略主要有三大类:基础性策略、保持性策略、QOS策略。
  (1)基础性策略
  -Static
  -Default
  -Backup
  (2)保持性策略
  -Persistent URL
  -Persistent Cookie
  -Rewrite Cookie
  -Insert Cookie
  -Header
  (3)QOS 策略
  -QOS Cookie 
  -QOS Hostname 
  -QOS URL
  -QoS Network
  -Regular Expression
  -Header

1.4 Array的SLB健康检查

  Array通过对服务器的实时健康检查,保证数据流量会自动绕过故障服务器或不可用服务器。当Array的健康检测机制,检测到服务器重新恢复正常以后,将使该服务器可以自动回到服务器群之中,所有这些服务器故障的处理,对进行操作的用户是完全透明的。
  Array对服务器的健康检查,可采用三种方式:
  -ICMP检查:利用ICMP可检查服务器的网络工作是否正常。
  -TCP检查:Array可与服务器之间,利用服务器的服务端口建立TCP连接,检查服务器的服务是否正常。
  -HTTP检查:Array采用HTTP的检查,来验证服务器提供的服务是否正常。
  通过这三种机制,确保服务器为用户提供正确可靠的服务。用户再也不会得到这样请求的响应 “404 Object Not Found”,或响应内容不正确。

1.5 Array的SLB的特点

  -实时监控服务器应用系统的状态,并智能屏蔽故障应用系统;
  -实现多台服务器的负载均衡,提升系统的可靠性;
  -可以监控和同步服务器提供的内容,确保客户获取到准确可靠的内容;
  -提供服务器在线维护和调试的手段。

2.Array的GSLB技术,解决异地容灾问题

  上面提到的SLB(服务器负载均衡)是指能够在性能不同的服务器之间进行任务分配,既能保证性能差的服务器不成为系统的瓶颈,又能保证性能高的服务器的资源得到充分利用。而GSLB(全局服务器负载均衡)允许Web网络托管商、门户站点和企业根据地理位置分配内容和服务。通过使用多站点内容和服务来提高容错性和可用性,防止因本地网或区域网络中断、断电或自然灾害而导致的故障。在Array 证券解决方案中GSLB将发挥重要作用,其性能高低将直接影响整个系统的性能。
  观看行情作为股民上网炒股的首要工作,是各个证券网站着重提供的服务,也是吸引用户在本网站上交易的重要因素(用户一般采用同一网站的行情程序与证券交易程序以达到及时抓住行情交易地目的)。通常,证券公司会在多个城市放置自己的行情服务器,然后通过在网站上发布通知或让用户自行选择行情服务器IP地址进行连接。其结果就是造成各个行情服务器负载不平衡,服务器因过载而崩溃,而用户又不断尝试连接已严重过载或已崩溃的服务器,最终导致用户投诉网站行情无法接受,影响用户投资决策,进而转投其它券商。
  因此,证券公司必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。Array的GLSB可提供基于服务质量的高可用性,从而确保证券公司站点持续运行,并使其IP服务基础设施投资获得最大回报。
  Array的GLSB用以向用户提供分布于不同地理位置的证券公司总部和营业部的高可用性和智能化业务及流量分担解决方案。

2.1 Array GSLB的工作方式 

  下图表示的是Array GSLB的工作方式。

Array GSLB的目的是在多个可提供相同服务的站点之间,根据相应的分配策略将用户请求“路由”到合适的站点上。对GSLB而言,最重要的一点是每一个Array TM需要知道其他TM了解的服务、链路、系统状态信息,这一点通过Array状态信息通信协议(SICP)来完成的。SICP是Array公司的私有协议,主要完成GSLB组中状态信息的交换,需要利用SLB、LLB的健康检查和状态监测功能。处在GSLB中的TM每2秒(可配置)互相交换健康状态信息,每30秒(可配置)互相交换本地服务器负载、链路负载、网络状况信息。这些状态信息主要包括:链路可用性-LLB、实服务可用性-SLB、虚服务可用性、集群状态。

2.2 Array GSLB的负载平衡算法

  Array GSLB的核心是负载均衡算法,Array支持非常丰富的算法,包括以下三大类:一般性算法、基于(链路、网络、系统、服务)负载的算法、基于与用户距离的算法等。
  (1)一般性算法
  -Round Robin Load Balance:轮询负载平衡算法。
  (2)基于(链路、网络、系统、服务)负载的算法
  -Global Link Load Balance
  -Member-based Weighted Round Robin Load Balance 
  -Site-based Weighted Round Robin Load Balance
  -Connection Overflow Load Balance
  -Member-based Volume Overflow Load Balance
  -Site-based Volume Overflow Load Balance
  -Member-based Hit Overflow Load Balance
  -Site-based Hit Overflow Load Balance
  -Response Time based Load Balance
  (3)基于与用户距离的算法
  -Proximity Load Balance
  -Least Hop Load Balance
  -Least Latency Load Balance

2.3 Array GSLB 的Smart DNS

Smart DNS通过其内置的IP地址/地域/网络对应表来实现用户的就近访问策略,当位于不同位置的Local DNS请求到达的时候,SmartDNS根据对用户的Local DNS策略判断用户所处的位置,返回距离用户最近的镜像站点的IP地址。
  SmartDNS通过智能状态检测功能实现对链路、服务器健康状态的检测。检测的策略可以为ping、TCP端口检测和内容检测,真正的检测服务器和链路的健康状态。对于因故障或检修而停止服务的服务器和链路从负载均衡组中摘除,并继续检测链路和服务器的状态,一旦该链路或服务器恢复健康,则将其继续加入负载均衡组。
  在网络状况复杂,用户要求较高的状况下,SmartDNS可通过在镜像站点安装Probe探针软件来检测从各镜像站点到达用户Local DNS的速度,通过自我学习建立全网网络状况表,配合智能检测功能来实现用户的最快访问策略。
  在SmartDNS的内部,采用矩阵算法,对服务器健康状态、网络健康状态、用户IP地理位置等参数进行综合计算,判断返回给用户的最佳镜像站点IP地址,使用户始终能得到最佳的网络服务。

2.4 Array的Disaster recovery――灾难恢复

  Array 的灾难恢复是指在两个地理上分离的站点之间提供服务可靠性的策略。其中一个站点作为主站点(Primary Site),另一个作为备份站点(Backup Site)。当主站点工作正常时,所有流量通过主站点;当主站点发生故障时,Array的灾难恢复功能就会把所有请求转到备份站点,备份站点来处理主站点所有的网络请求;当主站点故障恢复时,Array 会把所有的请求转回到主站点上。


2.5 Array GSLB的优点

  1)GSLB将用户指引到一个地区内的最佳站点上。那些依靠像路由器转发(hops)这种规格的竞争性解决方案在做出负载均衡决定时未能考虑到像网络拥塞和服务器负载这样的一些重要因素。只有Array Networks的GSLB有效地考虑到了这些因素。
  2)智能负载分配将大多数通信量灌进那些性能最好的站点中而不会使之超载。所有资源均得到有效使用,使用户获得更好的体验。
  3)当一个站点的所有服务器均出现故障或拥塞时,用户就被自动地转移到下一个最佳站点上,提高了服务和内容的可用性。
3.SSL加速

  SSL(安全套接层协议)已经成为互联网安全通信的标准协议。它是一种对用户进行鉴权的公钥加密方案。首先,服务器向客户机发送承认其可靠性的认证。然后,使用共享密钥来对发送方与接收方之间的数据进行加密。例如,当发送方确认接收方正确无误时,会为数据包加上一个安全的“外壳”(加密),同时通过线缆传输此数据包。必须在目的地将此“外壳”去掉,才能使用该数据包信息。其它的步骤还包括:认证、加密和解密,这极大地增加了Web服务器的流量处理负担。
网上证券交易过程是Internet交互中速度最慢、工作负载最大的一部分,其原因是股民需要经过 SSL站点,对交易进行监督和数据加密的保护。如果通过计算密集型程序来设置和实施的SSL对话,即使是功能最强大的服务器也无法达到很高的速度。这样,在上网的高峰时刻,等待时间会越来越长,有时一些证券交易根本无法完成。
  为了解决网上证券服务器反应速度问题,从根本上解决SSL给服务器运行带来的不利影响,必须采用专门设备处理SSL协议,以便使服务器的CPU从繁重的加密/解密过程中解脱出来。
  Array内置SSL加速功能使问题迎刃而解。Array产品包括SSL加速技术,该技术是用于卸载服务器的SSL(安全套接层)处理的,以提高其性能,同时大幅度缩短响应时间并增强客户交易流量管理。SSL加速技术可以提高网上证券交易服务器的性能,并在证券交易过程中提供安全性、高速度和流量管理,所有这一切都是从同一地点进行的,无需费钱费力地在每台服务器上安装额外的硬件或软件。
  Array解决方案能使证券工作人员卸载认证管理以及加密和解密功能,从而提高工作效率和可靠性。 解决方案真正解除了Web服务器上的通信负载。因此,无需再购买额外的服务器来处理SSL流量。Array产品还允许您为整个服务器集群只购买一个证书,从而降低了成本并减少了证书管理的时间,与必须为每台Web服务器购买和安装SSL处理卡不同的是,您只需安装一次SSL加速器。

-通过专用硬件――SSL加速卡实现高性能的SSL加速;
  -同时支持异步和同步的加密加速服务;
  -通过突破性的专利技术SpeedStack?技术保障高性能;
  -可以同时处理SSL流量和非SSL流量;
  - CSR 能产生证书的申请,同时生成一个临时的证书用于测试;
  - 能为Open-SSL,Apache-SSL and Microsoft IIS导入PEM格式的证书;
  - 能导入 Chained (intermediate) certificates;
  - 利用X-Forwarded header,把用户的IP地址传给服务器,用于LOG记录用户的访问;
  - 支持当今流行 128 bit 加密密钥。
  -Array TM每秒钟可以处理5000个SSL交易,并以750Mbps的吞吐量同时处理32000个SSL连接。

4.提供安全机制-Webwall有效解决安全问题

  进行证券网上交易的首要条件是交易的安全性,如果交易数据的安全无法保证,网上交易也将成为空谈。因此证券网上交易站点必须配备防火墙,以确保交易安全。随着网上交易量的逐步增加,网上交易站点同Internet的连接速度不断提升,防火墙作为整个系统的瓶颈将越来越明显。由于防火墙要求数据流同进同出,故无法采用简单的叠加方式提升防火墙性能,直接导致交易缓慢甚至无法进行交易。
  Array的产品具备内在的安全特性,这些特性是专门为避免遭受攻击和为服务器和网络设备提供保护而特别设计的。Array WebWall防火墙能有效地保护服务器和应用的安全。
  Array WEBWALL 产品可有效保护您的服务器:
  1)支持应用层URL的过滤;
  2)基于包状态检测的防火墙;
  3) 支持NAT的功能,使内部用户能访问Internet的资源;
  4) 端口的 Forward 功能,使用户能远端对服务器进行管理,能把常用的端口映射到服务器的任意端口(端口映射)。常用的端口,比如80,443,20,21能映射到服务器任何端口。这个能提供更高的安全性,让闯入者很难知道哪些服务运转在哪个端口;
  5) WebWall功能启动后,它将关闭所有的访问,除非用户显式地打开;
  6) 高效,Array支持多达1000个访问控制列表,仅消耗1%的CPU资源;
  7) Array的是个坚固的设备,设计得能抵抗一般的攻击,譬如:DOS攻击;
  8) 通过HTTPS或SSL远端管理,使用SSH命令行或以HTTPS来做浏览器界面管理;
  9) 支持SSL的安全访问。

5.Array的SSL VPN技术,实现端到端的安全解决方案

5.1 SSL VPN 与IPSec VPN 的比较

  目前大多数远程安全访问解决方案是采用IPSec VPN方式。IPSec是网络层的VPN技术,表示它独立于应用程序。IPSec以自己的封包封装原始IP信息,因此可隐藏所有应用协议的信息。一旦IPSec建立加密隧道后,就可以实现各种类型的一对多的连接,如Web、电子邮件、文件传输、VoIP等连接,并且,每个传输必然对应到VPN网关之后的相关服务器上。但是IPSec VPN在解决远程安全访问时具有几个比较大的缺点,如:
  -需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序; 
  -IPSec VPN的连接性会受到网络地址转换(NAT)的影响,或受网关代理设备(proxy)的影响;
  -IPSec VPN需要先完成客户端配置才能建立通信信道,并且配置复杂;
  -采用隧道方式,使远程接入的安全风险增加;
  -管理IPSec的客户端费用较高。
  SSL VPN指的是以HTTPS为基础的VPN,但也包括可支持SSL的应用程序,例如,电子邮件客户端程序,如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”,因为目前大多数计算机在出货时,都已经安装了支持HTTP和HTTPS(以SSL为基础的HTTP)的Web浏览器,所以SSL VPN可以通过Web浏览器实现无客户端的远程访问。目前,SSL已由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。如同IPSec/IKE一样,它必须首先进行配置,包括使用公钥与对称密钥加密以交换信息。此种交换通过数字签名让客户端使用已验证的服务器,还可选择性地通过签名或其他方法让服务器验证客户端的合法性,接着可安全地产生会话密钥进行信息加密并提供完整性检查。SSL可利用各种公钥(RSA、DSA)算法、对称密钥算法(DES、3DES、RC4)和完整性(MD5、SHA-1)算法。
  同IPSec VPN相比,SSL VPN具有如下优点:
  -它的HTTPS客户端程序,如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中,因此不需要再次安装;
  Microsoft Outlook与Eudora这类流行的邮件客户端/服务器程序所支持的SSL HTTPS功能,同样也与市场上主要的Web服务器捆绑销售,或者通过专门的软硬件供货商(例如Web存取设备)获得; 
  -SSL VPN可在NAT代理装置上以透明模式工作;
  -SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。

5.2 Array的SSL VPN 解决方案

  多项业务集成能最大限度地利用已有链路,提高网络经济性,但由此带来的安全问题不容忽视,例如:远程大户和公司营业部职员所能访问的权限肯定是有所不同的,它们的数据应能被识别和隔离开来分别处理。采用Array公司端到端的安全解决方案,可以提供以下安全防范手段: 
  实施安全认证--安全认证主要是对用户身份实施检验和权限设定,这样当外部用户以远程大户身份和以营业部职员身份登录时,他们所能访问的数据可以是截然不同的。安全认证一般采用集中管理方式,在内部网络中设立专门的认证服务器,在其上建立用户数据库,这样不论用户从何处登录进来,都需要经过该服务器的统一检验,授权并且其后的所有访问过程都可被审计,记入日志。 
  在营业部与公司总部之间,及营业部与远程大户之间,都可建立起端到端的逻辑隧道(Tunnel),所谓“隧道”是指其中所传递的数据都经过特殊包装和加密处理,从而能与同一物理链路中其它数据区别开来,避免被不法用户所窃取,只有在隧道的始末两端(营业部、公司总部或远程大户节点处)才可能添加和去除这些特殊包装以得到真实的数据。在通过公共网络(如Internet)传递业务数据时,这项技术尤为必要。 下图为Array SP产品在网上证券的应用结构。

5.3 Array的SSL VPN的特点

  (1)虚拟站点
  Array SP支持多达128个独立的虚拟Web站点,一个虚拟站点是一个远程接入内部应用的安全门户,每个站点包含自有的域名和IP/port,并且每个站点可配置独立的应用服务器、门户接口和安全措施。

虚拟站点的好处:
  -SP的sorter会把每一个VS的用户连接状态保持在专用的内存空间中;
  -系统完全隔离的维护每个VS的配置;
  -当系统处理一个VS的新的工作时,它读取VS的配置和上次工作的状态信息,其他VS的状态信息不会被读取;
  -类似于交换网络中的VLAN。
  (2)Web资源映射
  证券公司或其他企业需要将Intranet内的资源向远程访问的员工、合作伙伴开放共享,对任意访问Intranet的请求提供唯一的可控制的访问入口,但是Intranet的IP/DNS体制通常与Internet的IP/DNS体制相独立,外部用户只能看到一个个Broken Links,而且服务不可用。
  利用Array的SSL VPN的Web资源映射可以实现:
  -URL-NAT:URL的动态重写;
  -强迫认证:强迫任何访问Intranet的请求都必须先通过AAA;
  -隐藏内部资源:可以隐藏Intranet的资源路径,提高整体安全性。

(3)支持非Web应用
  -SP 6.0 支持大量的非Web应用,绝大多数固定端口的TCP应用都可以支持;
  -典型的企业非Web应用:Telnet、Email (POP/IMAP/SMTP/OWA)、Microsoft Exchange、Lotus Notes;
  -支持远程文件共享,可以与文件服务器的权限设定相结合,支持Windows 和Unix的操作环境;
  -通过标准的Web浏览器实现
  (4)多层安全控制机制
  -Webwall-应用层防火墙:基于IP/TCP/UDP的包过滤机制;防DOS攻击;基于状态检测的防火墙功能;基于URL的过滤机制。
  -端到端的SSL加密
  -强大的AAA功能
  -通过WRM隐藏内部资源路径

6.Array的Cluster技术,提供容错性,高可靠性和高吞吐量

6.1 Cluster的工作方式

  传统的四层设备,仅支持二台设备工作在HA方式下,支持Active/Active、Active/Standby工作方式,从而L4设备可靠性,可扩展性,网络吞吐量都受到限制。但L4层的设备是一关健设备,许多L4 层厂家都没有很好解决这些问题。
  Array在给服务器提供高容错性,高可靠性的前提是,Array设备本身的容错性和高可靠性。Array支持Cluster的工作模式,提供1+1 和N+1 的冗余配置模式,能工作在Active/Standby或Active/Active方式。 
  (1) Active/Standby方式
  在Active/Standby方式,一个Cluster中某个Array设备的所有VIP都是主VIP,其他Array中的VIP都是备份VIP。当主设备故障时,备份设备转换为主设备。如图所示:

图中,Array1为主设备,处理SLB流量,Array2为备份设备,监听Array1的广播,当Array1发生故障时,Array2就会接管Array1上的所有流量。
  (2)Active/Active方式
  在Active/Active方式,一个Cluster中每一个Array设备的都有主VIP和备份VIP。如图所示:

图中Array1的VIP1为主VIP,VIP2为备份VIP,Array2的VIP1为备份VIP,VIP2为主VIP。Array1和Array2同时处理SLB流量,又互为备份。

6.2 Array clustering 工作原理 

  - 利用 IP Multicast (224.0.0.18) 进行广播,默认值:每3秒一次;
  - 具有最高优先级的成为Master, 若一个备份的Array具有最高优先级,它就成为Master;
  - 一个备份Array在3 秒内,没在听到Master的广播,它宣布成为Master;
  - 只在Master的Array的VIP响应ARP请求;
  - 每个设备独立的流量的处理,同时又监视本Cluster中其它设备的工作状态;
  - 能把Clustering 配置成Active-Standby 或 Active-Active ;
  - 利用VRRP的技术实现 ( VRRP-虚拟路由冗余协议, RFC 2338)。
7.LLB(Link Load Balanceing)链路负载平衡

7.1 Array LLB在证券网络中的应用

  目前几乎所有的证券公司都采用多个接入链路(多宿主)接入Internet,采用多宿主的解决方案来避免Internet接入中断所造成的损失。在这里所提及的“多宿主”通常指同时使用不同ISP提供的多条Internet接入链路。可用性的提高来自于多条链路的使用,而性能提高则是因为同时使用多条链路增加了带宽。但是这种多宿主网络目前存在几个严重的问题,一是对于流入流量来说,不能保证链路的同时使用,多宿主解决方案的部分优点无法实现。二是内部网络同时使用两个ISP提供的地址,一部分内部用户(A组)使用ISP1提供的地址,另一部分内部用户(B组)使用ISP2提供的地址,当ISP1的链路中断时,A组的用户将无法接入Internet。除去以上的问题,多宿主网络的一些优势还没有完全实现,例如:
  -现在一些多宿主网络解决方案只是“共享”式,而不是真正的负载均衡。
  -没有就近性的路径判断。
  -对流入的流量没有很好的解决方案。
  Array 的LLB(链路负载平衡)技术能轻松横跨多个链路连结以传送数据流量,无需在路由器上进行复杂的BGP设定;智能管理不同ISP提供的IP地址网段;保证优化所有的ISP链路,即通过智能负载均衡所有通过可用链路的流量;使用Array的SmartNAT和SmartDNS、最小响应时间检测算法来选择用于输入输出流量的最佳ISP;确保两个ISP链路同时应用与所有的流入流量,保证证券公司Internet连接的畅通。

7.2 Array LLB的技术实现

  Array的LLB技术实现如图所示:

 图中多宿主网络通过ISP1和ISP2接入Internet。每个ISP都分配给该网络一个IP地址网段,假设ISP1分配的地址段为100.10.1.0/24,ISP2分配的地址段为200.20.1.0/24。同样,Internet知道通过ISP1访问100.10.1.0/24,通过ISP2访问200.20.1.0/24。网络中的主机和服务器都属于私有网段192.168.1.0/24。
  Array的解决方案就是在内部交换机和连接ISP的路由器之间,跨接一台Array TM,所有的地址处理和Internet链路优化全部由Array TM来完成。
  如图所示,Array TM的外侧端口1上绑定IP地址100.10.1.2/24,外侧端口2上绑定IP地址200.20.1.2/24,内侧端口上绑定IP地址192.168.1.1/24。
  (1)流出(Outbound)流量处理
  ARRAY TM主要采用以下方式来处理流出流量。
  SmartNAT
  对于流出流量的智能地址管理,ARRAY TM使用了称为SmartNAT的算法。当选定一个路由器(某一个ISP)传送流出流量时,ARRAY TM将选择该ISP提供的地址。在图二中,如果ARRAY TM选择ISP1作为流出流量的路径,则它将把内部的主机地址192.168.1.A/24翻译为100.10.1.10/24,并作为流出数据包的源地址。同样,如果ARRAY TM选择ISP2作为流出流量的路径,则它将把内部的主机地址192.168.1.A/24翻译为200.20.1.10/24,并作为流出数据包的源地址。
  Shortest Response Time--最快响应时间
  为了优化流出的流量,ARRAY TM还为流出的流量实施最快响应时间运算。如果内部主机要访问某一Internet站点,可能通过一个ISP的路径比通过其他ISP的路径有效。因此,ARRAY TM可以提供最短响应时间算法,为流出到某一个站点的流量选择最佳的ISP路径,保证所需内容最快到达目的地,提高服务的品质。
  (2)流入(Inbound)流量处理
  ARRAY TM不仅需要管理流出的流量,还必须管理来自Internet的访问,即流入(InBound)流量。假设下图中的Server是Web服务器,Internet主机名为llb.arraynetworks.net,地址为私有IP:192.168.1.100/24。

SmartDNS
  ARRAY TM上集成的SmartDNS功能能够完成流入流量的负载均衡。
如图所示,在DNS服务器上有两笔NS记录指向ARRAY TM:
  llb.arraynetworks.net 100.10.1.10
  llb.arraynetworks.net 200.20.1.10 
  而在ARRAY TM上设置静态的地址翻译:
  192.168.1.100 100.10.1.10
  192.168.2.100 200.20.1.10
  当有Internet用户访问llb.arraynetworks.net时,DNS服务器回应给用户由ARRAY TM来完成最终地址解析。ARRAY TM根据具体设置来选定适当的ISP线路,如果选择ISP1,则将地址解析为100.10.1.10。同样,如果选择ISP2,则将地址解析为200.20.1.10。从而完成流入流量的负载均衡。
  Shortest Response Time
  对于流入的流量,ARRAY TM使用与流出流量相同的最短响应时间判断机制,选择最佳的流入流量传输路径,进行最终的解析地址。
  (3)LLB其他的功能设置
  链路健康检查
  ARRAY TM在多宿主网络中的一个主要作用是检测ISP链路的可用性,即健康状况。因此,ARRAY TM提供了链路健康检查的功能,从而保证多条数据链路的正常,提高服务质量。
  路径健康检查
  访问Internet的可靠性不仅仅是由ISP路由器提供的链路状况决定的,而是由整个数据流经的路径决定。因此,ARRAY TM提供了路径健康检查的功能,从而保证整条数据路径的正常,提高服务质量。
  策略路由
  ARRAY TM可以设置基于用户数据包源IP/Port、目标IP/Port的策略路由,通过该功能可以帮助企业人为的对特殊的流入流出流量进行规划,比如某个业务部门的应用系统需要比较高的数据传输带宽,而公司的多条Internet链路的带宽存在不均衡性,管理员可以选择一条带宽更高的链路承载这个部门的数据流量。

7.3 Array LLB 的优势

  Array TM是专门为企业实现链路负载均衡设计,它具有以下优势:
  * 支持多宿主网络,保障企业可以从不同运营商租用链路
  * 实现流入/流出双向流量负载均衡
  * 支持防火墙负载均衡
  * 支持链路和路径健康检查,智能的将不可用的链路排除,保障对Internet访问的永远可用
  * 支持最短响应时间的监测机制,使用户获得更高的服务质量
  * 支持策略路由,方便企业人工调控业务流量分配
  * 支持1+1的集群,保障TM本身的高可靠性和高性能
  * 可以和SLB/GSLB/Cache等功能无缝集成,方便企业未来功能扩展
  * 性价比是业界最优秀的。

8.HTTP压缩(HTTP Compression)技术

  网上证券交易网速太慢是CNNIC历次调查中股民认为最不满意的一个主要问题。线路拥挤带来的不便甚多,网上证券交易难免不受影响。在交易量较大的情况下,无论电话委托或网上委托,都可能发生线路阻塞现象,网上行情与信息的发布速度甚至可能比实际行情慢几分钟以上,直接影响交易完成的质量,客户可能因为行情阻塞或显示慢,下不了单或下单拿不到想要的价格。随着网上业务的增长,用户对因特网的传输速率提出了越来越高的要求。要改善目前上网慢的情况,除了增加路由器速度和服务器的处理能力外,还要想办法提高网络带宽利用率。采用HTTP 压缩技术可以大大提高网络带宽的利用率。
  Array设备采用了HTTP 压缩技术,Array的 HTTP压缩功能可以将效能提升为原来的6倍,并大幅节省传送网络服务与其他动态内容时所需的带宽。
  Array HTTP压缩过程:

采用Array HTTP压缩的优势:
  -节省带宽;
  -缩短用户下载内容的时间;
  -在Web Server上不需要压缩功能,减轻了Web Server的负担。
  下图是采用HTTP压缩前后的带宽利用率比较: 

由图可以看出,在15.1Mbps带宽下:
  -没有采用HTTP压缩时,每秒可以处理2000个HTTP请求;
  -采用HTTP压缩时,每秒可以处理20000个HTTP请求。

9.Array在网络加速方面的改进技术

9.1 SpeedstackTM专利技术

  Array Networks的突破性的SpeedStackTM专利技术,采用高性能数据包处理内核,包括GB级TCP/IP和SSL处理,HTTP处理内核和全代理内核,IP 数据包对全部的网路功能仅需在TCP/IP堆栈中分析一次,可避免重复性的数据包处理工作。
  Array Networks的SpeedStack技术可以实现:
  -系统的最低处理时延
  -紧密的功能集成
  -高级的功能交迭
  -零拷贝:所有数据直接放置在内存中,无需多次移动。
  Array Networks的SpeedStack技术带来的优势:   -业界出众的总体性能;
  -系统处理对资源最小化的需求。 


9.2 Connection Multiplexing(连接复用)技术

  Array的Connection Multiplexing(连接复用)技术的主要作用是为了改善现有系统的总体性能,其技术原理是自动实现HTTP 1.0到HTTP 1.1的转换。HTTP1.0是短连接,即每次用户请求,都要重新建立一次连接;HTTP1.1 为长连接,连接维持时间较长,它可以将多个请求在一个连接中进行传输,减少连接建立和拆除所带来的延迟,并能够最大限度地降低对并发连接数的消耗,所以TCP/IP协议栈在处理长连接时具有更好的性能。Array的连接复用技术可以将客户端与Array TM的HTTP1.0连接转换为在Array TM与服务器之间使用HTTP1.1连接,使Array TM与服务器之间保持一个长连接, 减少了服务器建立和拆除连接对服务器资源的消耗。Array Connection Multiplexing(连接复用)技术的实现过程:

采用Array Connection Multiplexing(连接复用)技术后的效果比较: 


9.3 Connection Pooling(连接池)技术

  Array采用Connection Pooling(连接池)技术,其优点在于:
  (1)加快了与后台服务器之间的TCP连接处理速度
  -Array TM预先与后台服务器之间建立多个连接,并保持住它们(每个服务器最多预先建立20个连接);
  -如果有客户端的请求,根据负载分担算法被分配到某个后台服务器上,Array TM从预先建立的该服务器的连接池中选择一个连接,在此连接上发送客户端的请求,一个连接可以被用来传送多个请求(每个连接最多可以同时处理90个请求);
  - 显著的减少了后台服务器需要处理的用户端连接数(减少量可能达90%)
  (2)改善了服务器的性能.
  - 服务器不需要花费更多的时间处理TCP连接建立和拆除的工作
  - 服务器不需要耗费更多的资源保持多个客户端连接
 
四、Array网上证券解决方案的说明

  证券公司网络主要分为营业部网络和证券公司Intranet网络。营业部网络由内网和外网组成,内网主要包括资金服务器、程序服务器,各种和委托有关的计算机(如委托转换机、上海深圳委托发送机等);外网包括行情服务器、交易服务器以及对外营业所使用的计算机设备。
  证券公司Intranet和营业部网络绝非相互独立,而是相辅相成的。营业部网络的建设是前提,而Intranet则起到将多个营业部网络互联的作用,证券公司Intranet网上传递的信息与各营业部网络信息密切相关,主要仍为行情/交易信息、办公管理数据、Internet业务等。
  在营业部与证券公司总部之间,及营业部与远程大户之间,通过Array SP的SSLVPN建立起端到端的安全连接,保证证券运营和网上交易的安全性。另外在证券营业部和证券公司总部采用Array TM系列产品,通过SLB(服务器负载平衡)、GSLB(全局服务器负载平衡)、SSL加速、LLB(链路负载平衡)、集群、HTTP压缩等功能,保证服务器负载平衡和高的可靠性,减少网络拥塞,提高网上证券交易的速度和质量。
  下图为Array产品在网上证券解决方案的网络拓扑结构图。
阅读(2083) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~