目前证券公司除了以DDN，FRAME-RELAY或SDH为主干的广域网链路外，还建立了一套备份网络模式，采用的技术有开通第二电信专线，ISDN，PSTN等。开通第二电信专线主要指同一家营业部向另一家电信服务商申请数字线路，平时做为第一电信主干线路的备份或两条线路做负载均衡。这种备份模式的优点在于设备配置简单，数据传输安全高效，备份切换无须干预，但实施和日常费用高，对于正在压缩经营费用的公司来说很难再有这样一笔开支。使用路由器ISDN拨叫做为备份手段，可以达到128K的稳定传输速率，但ISDN已经不是电信的主推技术了，而且跨省呼叫配置比较麻烦，日常维护量也较大，有时需要人为干预激活端口。使用PSTN的话，优点是实施和维护简单，但速率低，当前证券公司除了交易数据传输外，还有OA数据，数据采集，视频会议等多项业务，PSTN满足不了这样的需求，而且线路易受干扰。那么有没有一种既便宜又能保持较高带宽和效率的备份方式呢？VPN就是一种可行的技术。

　　VPN被定义为通过公用网络建立一个临时的、安全的连接，是一条安全、稳定的隧道，是对企业内部网的扩展。VPN能提供如下安全措施： 加密数据，保证通过公网传输的信息不被泄露； 通过信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份；提供访问控制，不同的用户有不同的访问权限。

　　VPN区别于一般网络互联的关键在于隧道的建立，一般在数据链路层实现数据封装的协议有PPTP、L2TP等；在网络层实现数据封装的协议有IPSec。 PPTP和L2TP比较适合用于远程用户访问VPN，因为其支持多种网络协议，如IPX，NetBEUI和Apple Talk协议，还支持流量控制，通过减少丢弃包来改善网络性能，减少重传。但PPTP和L2TP将不安全的IP包封装在安全的IP包内，用IP帧在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户身份就不再需要，这样可能带来安全隐患，没有对两个节点间的信息传输进行持续的监视。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密也受到限制，没有强加密和认证支持。IPSec是IETF协会正在完善的安全标准，支持一系列加密算法，它通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由AH(Authentication Header)、ESP(Encapsulated Security Payload)和密钥管理协议组成。AH(认证包头)为IP数据包的报头和有效载荷提供认证，ESP(封装安全有效载荷)负责为IP数据包提供有效载荷的加密。而且IPSec适应向IP v6的迁移。它提供所有在网络层上的数据保护，提供透明的安全通信。

　　IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下，整个IP数据包都被加密，并成为一个新的IP数据包的有效载荷，这样保护从一个防火墙到另一个防火墙时的安全性，防止数据包被截取和分析。隧道模式是最安全的，但会带来较大的系统开销。证券公司内部网络一般选用隧道模式。

　　目前实现IPSEC VPN的方式有几种：使用支持VPN的硬件防火墙，如Netsceen，PIX等；在主干路由设备上增加VPN模快，并升级内存；使用厂商开发的VPN软件，把软件安装在PC上以代替硬件防火墙的功能；使用小型的带VPN和基本防火墙功能的宽带设备。不同的方式适用于不同的业务需求(如效率，安全，吞吐量，稳定性等)，越稳定的产品、整体的成本就越高，高端的专用VPN硬件，由于采用高性能的硬件架构、专用的软件，可具备非常高的稳定性。由于证券公司对业务实时性，安全性和稳定性要求很高，所以推荐使用前两种方式。下面先谈一下证券公司网络的通用架构。

　　证券公司的广域网络一般分为三层结构，顶层是核心网，第二层是分支机构接入网，第三层是营业部或技术服务部接入网。营业部网络先汇入分支机构再进入核心层，是一种星型结构。一般出于管理和维护上的方便都采用动态路由协议，如OSPF，EIGRP等。以OSPF为例，良好的网络设计一般将不同网络层次分域(AREA)，核心层为AREA 0，接入层按不同地域分为不同的AREA。

　　我们举一个例子：R1是总部路由器，R2是分支机构路由器，R3是营业部路由器，R1的所有端口属于OSPF AREA 0，R2除和R1相连的端口(属于AREA 0)外其余端口都属于AREA 23，R3所有端口也属于AREA 23。见图1。

{
this.src=\'http://www.yesky.com/image20010518/121219.jpg\';
}\" hspace=\"3\" src=\"http://www.yesky.com/image20010518/121219.jpg\" align=\"center\" vspace=\"1\" border=\"1\" />

   　基本配置如下：

　　R1：

　　Router ospf 99

　　Network 192.168.100.1 0.0.0.0 area 0

　　Network 192.168.110.1 0.0.0.0 area 0 (连R2的端口IP地址)

　　R2：

　　Router ospf 99

　　Network 192.168.110.2 0.0.0.0 area 0  (连R1的端口IP地址)

　　Network 192.168.112.1 0.0.0.0 area 23

　　Network 192.168.110.5 0.0.0.0 area 23  (连R3的端口IP地址)

　　R3：

　　Router ospf 99

　　Network 192.168.110.6 0.0.0.0 area 23  (连R3的端口IP地址)

　　Network 192.168.113.1 0.0.0.0 area 23

　　对于这样结构的主干网如何建立VPN备份呢？我们先采用硬件防火墙的模式。对于营业部而言，单个网络的数据处理量不是很大，可以采用低端防火墙，如Netscreen-5XP或PIX 506等，这些产品的价格都在几千元左右；分支机构可采用Netscreen 204或PIX 515(如果集成VPN加速卡，可以提供63Mbps的吞吐量和2000个IPSec隧道)；总部可采用Netscreen204或PIX 525等中档防火墙。这些新版本的防火墙大都具有强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速，并提供网络地址翻译(NAT)等功能。分支机构申请2个公网IP地址(1个用于连所有营业部，另1个用于连总部)，营业部申请1个公网地址。营业部主干链路中断后，路由器将数据包转发给防火墙，再由防火墙触发到分支机构的VPN连接。路由器静态路由配置示例(部分)：

　　R3：

　　Ip route 192.168.100.0 255.255.255.0 192.168.113.100 199

　　Ip route 192.168.102.0 255.255.255.0 192.168.113.100 199

　　(192.168.113.100是营业部防火墙的inside端口地址；199是distance值，distance是用来选择路由优先路径的参数，OSPF的distance值是110，所以平时以主干链路的OSPF路由为优先)

　　IPSEC VPN的建立原理主要是由启动会话过程的IPSEC同伴将自己配置的ISAKMP(Internet Security Association and Key Management Protocol)策略发送给远程同伴，策略中包含加密算法(如DES，3DES，AES等)，哈希算法，认证方式，Diffe-Hellman组和SA(Security Association)存活时间。IKE结束协商过程后，一个SA将被创建。

　　类似在分支机构路由器上也做相应配置。分支机构和总部间的路由备份也是类似的配置。这样就构成和主干相似的三层结构，分支机构和总部分别做为下一级网络的VPN汇接点。这里可能会有这样一个疑问，为什么营业部不直接连总部VPN，不是可以节省分支机构这一级的投资吗？当然从技术上来说是可行的，但从管理和维护上说不太方便，因为营业部和技术服务部数量众多，全部接入总部会打乱原先的层次结构和安全规则，而且总部存在接入点的单点故障隐患，当然在决定建网方式的时候要参照公司的网络规模，如果只有二，三十个营业部和服务站的话，VPN若直接连到总部在性能和管理性上面就没有什么问题。如果有更多营业部的话还是分级做VPN汇接合适，我们参考过国内和国外的一些VPN技术方案，大中型的金融企业一般都是将VPN汇接按地区或业务分片管理，和这里提及的三级结构类似。

　　一般来说，建立IPSEC VPN应该固定2端的公网IP地址，那么如果营业部端用ADSL上网的话，它所获得的是动态IP，如何解决这个问题呢？举例，我们可以在营业部部署PIX506。它支持直接PPPoE拨号和动态VPN连接。在分支机构接入端的PIX515上可配置(部分)：

　　crypto map linkToRemote 20 ipsec-isakmp dynamic cisco

　　crypto map linkToRemote interface outside(在outside端口绑定IPSEC)

　　isakmp enable outside

　　isakmp key ******** address 0.0.0.0 netmask 0.0.0.0(接收远端PIX动态连接的ISAKMP策略)

　　类似PIX，用Netscreen系列防火墙也可以达到这些效果。Netscreen的ScreenOS4版本支持Routing-Based VPN和Policy-Based VPN。Routing-Based VPN除了具有一般Policy-Based VPN根据数据流目标建立IPSEC隧道的功能外,还为Netscreen的Tunnel附加了一些网络端口的功能，可以在其上建立数据传输的规则。具体配置方法和配置例子可参考Netscreen和Cisco的官方网站(http://www.netscreen.com http://www.cisco.com )。

　　另一种建立VPN网络的方法是在路由设备上添加模块和VPN属性集。由于VPN进程会消耗不少系统资源，并且必须启动必要的安全措施(类似防火墙的一些规则)，所以可能还要升级路由设备的内存容量。VPN的配置原理和配置方法和配置PIX类似，而且也支持营业部端的动态IP。另外华为等其他厂商的系列路由器也可以支持动态VPN。笔者曾测通了Cisco路由器和华为路由器的具有固定公网IP的IPSEC VPN通讯，但没有测过当使用动态IP时，两种路由器的VPN通信效果。        

　　IPSEC 模式的VPN缺省不能路由广播和组播数据包，而大部分动态路由协议(除了BGP)是基于广播或组播IP数据包运作的，如果我们需要在VPN链路上实现OSPF等协议，可以使用GRE隧道技术。使用路由器做VPN设备的优点是可以比较好地支持动态路由(一些防火墙时只能运行静态路由)，通过使用GRE Tunnel，将Tunnel端口的IP地址编入OSPF进程就可实现动态协议。而且使用GRE还能较好地支持视频组播和QOS等应用。营业部端设备可使用Cisco 2621XM，Cisco 1751，华为R1760等。关于在GRE Tunnel中运行OSPF的例子可查询Cisco网站。总部和分支机构接入端除了用带VPN功能的路由器外，也可以用硬件防火墙，其实VPN建网的灵活性很大，我们完全可以按需选用性价比较高的设备。

　　最后我们再简要介绍一下使用低端宽带设备的VPN组网方案。这是种低成本的方式，适用于数据通讯量不大或对网络稳定性要求一般的技术站或小型营业部或使用VPN分流主干中不太重要的数据流。目前这一类的产品很多，这里我们可以参考NETGEAR公司的网络产品(http://www.netgear.com )。NETGEAR支持IPSEC协议，以及DES、3DES、AES加密算法，同时还可通过IKE、共享秘钥进行身份认证，部分产品内置了硬件防火墙和状态检测功能，能够做到一定的安全防范。另外NETGEAR使用DDNS(动态域名解析技术)也可以达到动态VPN的效果。主干路由器中的备份配置方法和使用硬件防火墙中提及的方法类似。

　　为了便于调试和监控VPN网络，我们可以建立SYSLOG日志服务器，自动获取路由器和防火墙的信息，对安全隐患及时排除。对于远程工作站(HOST)的接入，也可以启用RADIUS服务做验证。

　　由于电信宽带的普及和证券公司投入产出的考虑，可以预见VPN的使用将会越来越普遍，一些证券公司的分支机构已经把OA系统和视频会议运行在VPN网络上，同时做为主干的备份。如果在VPN网络上再运行VoIP等增值服务，将极大降低企业的日常费用并能开发出一些针对客户的衍生服务，同时把节省的部分费用再投入到几个中心节点的建设中，增强网络的稳定性和增加各种接入手段。随着VPN安全措施，安全技术，QOS保障和路由模式的进一步发展和完善以及VPN接入设备性能的加强，今后很有可能将取代电信数字线路成为券商网络的主干。