改进NOVELL 服务器磁盘写性能
改进NOVELL 服务器磁盘写性能
Novell提供给NetWare服务器的默认值平衡读写功能。改变参数可以使写盘加快,但会降低读盘速度,这是鱼和熊掌不可兼得的技术上的矛盾。然后,假如指定一个服务器主要做写盘操作(例如是保存数据目录的服务器),就可以平衡向倾斜变化中获得好处。
利用SERVMAN改进服务器磁盘写性能
1) 在控制台提示符下键入LOAD SERVAMN。
2) 选择Server Parameters项,然后选File Caching。
3) 高亮条移至Maximum Concurrent Disk Cache Writes项上,并且使数字从50(默认值)增至100。
4) 按Esc键两次,回到Update Options菜单中,选择Update AUTOEXEC。NCF和STARTUP。NCF,然后按Enter键确认。
5) 在Available Options菜单中选Server Parameters项,然后选Direcotory Caching项。
6) 高亮条移至Dirty Disk Cache Delay Time上把时间从3。3秒增至7秒。
7) 按下Esc键,选择Directory Caching。
高亮条移至Dirty Directory Cache Delay Time,把时间值从0。5秒增至2秒。
9) 高亮条移至Maximum Concurrent Directory Cache Writes,把数值从10增至25。
10) 按Esc键两次,到Update Options菜单中,选择Update AUTOEXEC。NCF,STARTUP。NCF, 按Enter键确认。
11) 按下Esc键退出SERVMAN。
通过把某类高速缓存区中已更改过,而且需要写到磁盘上去的缓存区数目和全部高速缓存区数目进行比较,可以确定是否需要增强服务器的写操作性能。在General Information菜单下观察Monitor屏幕,如果该高速缓存区数目大于总数的70%,可以通过改变这些参数以改进服务器性能。
通过把某类缓存区中已更改的而且需要写到磁盘上去的缓存区数目和全部缓存区菜单下观察Monitor屏幕,如果该类缓存区数目大于总数的70%,就可以通过改变这些参数来改进服务器性能。
Maximum Concurrent Disk Cache Writes取值范围是从10至4000。最好是先加到100,然后第二天检查参数装载后的性能如何。有可能要再次增加数值,但是在改进此参数之前,最好还是先看一下改动其它参数是否也会影响性能。
SERVMAN能立该改变设置,而且允许把变化存到启动文件中。这就是说,不需要析启动服务器,就能让参数的改动生效。而且如果保存更改结果,设置的参数在服务器每天重新启动时都会保持有效。
再看一下DIRTY Disk Cache Delay Time设置,其决定已更改的磁盘块写回磁盘之前所延迟的时间,此值较小时,写盘会较频繁,但每次写入的块数也会较少。强迫系统在写盘前等几秒钟,可以更有效地响应写请求,而这并不降低应用程序运行速度,因为当文件缓冲区接收文件写请求时,应用程序照常运行。
Dirty Directory Cache Delay Time对目录高速缓存表起着同样的作用。因为当前目录列表保存在文件缓冲区RAM中,所以必须经常把改动信息写到盘上去。写盘操作时间间隔略微延长,会使写盘更有效率,但也会稍微提 高目录入口表面受损的危险性。可以把该参数由默认值0。5秒改为2秒。
Maximum Concurrent Directory Cache Writes参数能增加可同时时行的上述目录高速缓冲区写操作数目。可以试着把数目从10改为25,这确实会影响目录高速缓冲区的读性能。
改进NOVELL 服务器磁盘读性能
同加快数据文件服务器写操作相对的是,加快应用程序文件的读操作。实现后者的办法是,迫使系统将目录缓冲区保留更长的时间,并降低写操作的频率。要注意,在缓冲区设置上,一方面有所得必然导致另一方面有所失。
装载SERVMAN程序后,在Server Pfarameters菜单中选File caching菜单选项,再选Maximum Concurrent Disk Writes项,把值从默认的50改为10,减少执行写操作数目。如果读过前面的部分就会知道,这个值的增加会使写操作加快,而现有我们反过来用这个参数限制写盘时间,从而使读盘时间更充裕。
下一步是把Maximum Concurrent Directory Cache Writes从默认值10改为5,限制写操作的数目,这了和改进写盘性能的操作形成对照。。
Directory Cache Buffer Nonreferenced Delay的值指定目录缓存区驻留在内存中的时间长短,这个数大就会使目录缓存区在越长时间内保持有效和可再用。文件存取使得更多的目录缓冲区打开以供使用,有效目录缓冲区越多,系统就能越快地找到文件。
改变Directory Caching(目录缓冲区)参数后,按Esc键,并从Categories菜单中选择File System项,找到Turbo FAT Reuse Wait Time项,并把数值加至600秒。
Turbo FAT Reuse Wait Time项对于大型数据库文件特别有帮助,当一个被访问文件有多于64个FAT(File allocation table文件分配表)入口时,系统就建立一个FAT索引。这样做可以加快庞大文件的运行速度,这些数据库文件采用顺序记录表,而且总是顺相同的FAT入口。
利用SERVMAN程序改进磁盘读性能
1) 在控制台提示符(NetWare4。10和4。11)或从MONITOR (NetWare4。11)下,建入LOAD SRVMAN,启动SERVMAN程序。
2) 选择Server Parameters,然后选择File Caching。
3) 将高亮条移到Maximum Concurrent Disk Cache Writes,把数值从50(默认值)减至10。
4) 按下Esc,进入Categories菜单,然后选择Director Caching。
5) 选择Maximum Concurrent Directory Cache Writes,并把数值从10(默认值)改为5。
6) 选择Directory Cache Buffer Nonreferenced Delay,并将数值从5。5秒(默认值)改为60秒。
7) 按Esc键,进入Categories菜单,选择File System。
光标向下选择Turbo Reuse Wait Time ,并将数值由296秒(默认值)改为600秒(10分钟),这里以秒为设置单位。
9) 按两次Esc键,回到Update Options菜单,并选择Update AUTOEXEC。NCF和STARTUP。NCF文件,按Enter确认。
10) 按ESC键,退出SERVMAN。
通过查看服务器的利用率信息,初步判断问题所在
利用Load Monitor程序观察服务器利用率
1) 利用率(Utilization):显示网络服务所占的CPU时间。这是网络负载的一半,磁盘活动是另一半。如果一次有超过一、两分钟时间的数字指示超过了50%,那就表明网络需要提高性能。也有可能指示数字超过100%,因此如果看到有时利用率达到103%,也不要过分激动。
2) 高速缓冲区总(Totol Cache Buffers):该数字越低,表明文件的执行也就越慢,如果Total指示的数字不到缓冲区数量的一半,那就该增加更多的RAM。
3) 当前的服务进程数(Current Service Processes):该数字指示读请求的多少。当一读请求出现,而又没有相应进程立即响应处理时,就建立一服务进程来执行读ASAP。缓冲区太少会使该数字上升。有了大量的RAM,但服务进程数仍在上升,这就需要磁盘通道来帮忙了。升级控制器或磁盘,或将高负荷的应用程序移到另一个服务器上。
4) 包接收缓冲区数(Packet Receive Buffers):用以保存从工作站送来的包,直到它们得到服务器的处理。根据需要分配缓冲区,该数字逐淅增大指示着服务器性能不足以承担如此多的负载。
5) 可以在MONITOR中打开的另一个屏幕是Cache Utilization Statistics。可以看Cache Utilization的菜单选项。如果长期缓冲区命中率(Long Term Cache Hits)指数停留在90%以上,说明服务器得到了很好的文件了务配置。
对于服务器和网络设备硬件应考虑的问题
服务器的通道包括:磁盘通道和网络通道。
由于通信量集中在交换器100M端口, 容易造成拥塞, 因此在选择交换器时应注意交换器是否有灵活的通信量控制机制与缓冲处理能力。从包交换速率看, 一般的10M/100M交换设备都能满足上述通信量要求。快速以太网和交换式以太网可解决网络带宽瓶颈,但所有请求同时到达服务器,会使服务器I/O通道面临很大压力。因此服务器的通道性能是决定整个系统性能的关键。
由于I/O操作相对于主CPU的处理能力要慢得多, 因此提高文件服务能力的关键是优化系统的I/O操作。衡量服务器的I/O处理能力,首先要从结构上考虑。 由于服务器采用软硬件与微机兼容的设计方案,使服务器在系统结构上有许多缺陷,如总线效率低, 通道争用,过分CPU依赖处理I/O事务等,因而严重限制I/O吞吐量。
一般来说, 服务器硬盘子系统的性能于硬盘接口传输速率/ 硬盘转速与寻道时间和硬盘通首设计有直接的关系, 应选用宽带的SCSI 接口,带宽为40M/s, 并且硬盘最好用支持高传速,容量小(通常为4.3 Gb), 通过阵列卡作使硬盘的读写均衡。
一个好的网络是在无形地工作着, 服务器快速响应客户机发出的请求, 同时不给正在使用网络资源的其他用户带来任何显著影响。
各种网络资源-如网络信道容量和节点的信息缓冲区—是有限的, 也就是说,它支持的连接和容纳的业务量是有限的,当网络连接和业务量超过它能支持的限度时, 服务质量就会下降,表现在信号延迟增大, 信息包丢失严重。
由于存在这种突发性的异步需求,给资源分配和共享带来了不少困难,因此,如果不对进入网络 的信息流加以控制,就会由于结冲区过负荷而造成拥塞。当信息通过网络的时间比预计长时,我们就说网络处于拥塞状态, 此进网络传送的信息越来越少,远远少于进入的信息数,从而使拥塞区域迅速扩大,如果不采取措施,当所在缓冲区被占满而无法腾空时,就出现死锁现象,信息传递停 。在选用网络设备时应考虑用良好的底板带宽和端口缓存及端口流量控制的网络交换机。
因为每个端口连接的客户机会随时发送信息。即使缓冲区很大,由于速率较高, 还是会很快用完缓冲区。当几个端口同时访问文件服务器,文件服务器所连接的端口的通信量很大,由于缓冲区无法容纳这么多信息,就会丢失大量信息包,增加服务器的CPU负荷,使网络性能急剧下降。
证券营业部网络常见问题
实例-1:某券商网络慢,在线200点,现象:行情好时,CPU利用率经常瞬间达95%,钱龙、查询变得缓慢。
解决:通过load monitor,观察LAN information中的内容,发现网络收发包不均衡,初步判断是网络流量问题,采用Novell公司网管分析软件,分析网络流量,发现是”汇金”转码机的问题,暂停该机,问题解决。
实例-2:某券商服务器经常的自己重启,就好象电源掉电一样。
解决:赶紧找服务器厂商,检查服务器硬件,更换CPU电源模块,问题解决。
实例-3:某券商服务器的系统卷不能够mount,数据读不出来。
解决:load vrepair,问题解决。
实例-4:某券商行情服务器增加双CPU,但系统不识别双CPU。
解决:在硬件配置F10中选择IntranetWare SMP,并在startup.ncf中加载双CPU的驱动程序, 安装Novell公司Patch程序IWSP5B,问题解决。
实例-5:某券商行情服务器在进行2000年测试完成后,服务器屏幕上每隔2分钟报警:时间不同步,Synthetic time is being issued or patition…。
解决:在服务器屏幕上用load dsrepair -a,选择advanced options、选择replica and partition operations、选择repair time stamp,问题解决。
实例-6:某券商行情服务器购买了500用户的Novell软件,但当在线用户达到255个左右时,发现新打开的无盘工作站或重新登录的工作站,上不了网。
解决:更换工作站的网卡,或更换网卡的BOOT芯片,问题解决。
实例-7:某券商行情服务器屏幕上不断出现MAC 地址和网段号报警。
解决:通常为在双网卡,双网段的情况下,将不同的物理网段连接在同一个网段上了。导致服务器报警。需要将网段物理正确的连接,或改变网段的网络地址。
也存在网卡的物理故障。或利用userlist /a和load monitor查出MAC是哪一块网卡,用新网卡替换。
实例-8:当一定数量的用户上网后,或行情好时,网络速度明显变慢。
解决:检查网络瓶颈,一般来说应该在中心交换机处,或网络上存在大量广播包的传送,如钱龙、宏汇等同时在一台服务器中运行,瓶颈了服务器的网卡。
实例-9:某券商大屏刷新的速度很慢。
解决:将大屏控制机的网线连接在中心网络交换机上。
实例-10:某券商网络用户不多,也不是在开市时间,但用户登陆上网的速度很慢。
解决:一个原因是网络中心设备速度慢,请更注意网络全双工问题。将网络交换机的接口和网卡都设置成半双工。
实例-11:某券商登陆钱龙或其他热自助用户后,在退出时,出现类似“can’t find A;\command.com…”信息后,死机。
解决:首先确认net$dos.sys中的command.com是什么版本,假如是MS-DOS 6.22,则在sys:\public\v6.22目录中拷贝这个版本的command.com文件。然后在用syscon或netadmin 在system script中加入map s2:=sys: \public\OS_VERSION ;comspec=s2:command.com,注意需要将sys:public的[R F]授权给用户或组。
实例-12:某券商中户、大户用户很多,非常随机的出现股民自己设置钱龙自选股,在第二天上网后丢失。
解决:是钱龙软件的问题,钱龙公司已经知道,请您拨打钱龙公司电话。
实例-13:新营业部钱龙用户登陆后,没有出现画面。
解决:用超级用户给钱龙用户分配相应的权限。
实例-14:营业部在星期一或放假结束时,重新开机上网,工作站不能找到服务器。
解决:服务器所连接的中心交换机端口没有初始化正确。可以再次冷启动中心交换机,最好是对中心交换机端口进行固定速率100M全双工、或100M半双工的设置。
实例-15:某营业部行情服务器出现用户不能上网,现象如下
现象:
服务器CPU利用率100%,用户不能上网。服务器屏幕上每60秒出现如下信息:
Server-4.11-1616
An NLM has been loaded that does not allow low priority threads to be run. Low priority threads are used for file compression, etc. Set ‘Upgrade low priority thread’s to ON or unload the NLM.
原因:
是由于NDS有问题引起的。
解决办法:
1. 在服务器上cd\nwserver, 然后server -na [enter], load dsrepair [enter], 选择Full unattach repair ..选项(即菜单的第一行)[enter], 进行NDS的修复,须多修复几次,直到屏幕右上角处的Total error 为0。
2. Down,exit 退出服务器。
3. 重起服务器,在进行一次load dsrepair, 选择Full unattach repair ..选项进行修复,确认Total error 为0。
4. Load monitor [enter], 查看CPU利用率正常,用户可以上网工作。
5. 完成。
实例-16:某营业部行情服务器上不断出现“检测到一个丢失的硬件中断“信息。
解决:磁盘控制卡方面的问题引起,如:驱动程序不匹配、硬件自身问题等。更换驱动程序或更换硬件。
实例-17:Novell C2 级安全级别在证券中的应用。Novell公司intraNetWare/NetWare 4.11网络操作系统是具有C2级安全级别的,那么是否只要安装这个软件后,系统就具有C2级的安全保护呢?
解决:不是。C2级的保护需要在网络服务器平台上加载 security.ncf ,使对通过网络的数据(包括:数据包、用户名、口令等)都得以加密。但会影响网络和服务器的性能,因此在证券中不建议采用。 因为通过正确的设置用户权限,并通过某些网络设备的安全设置特性完全会达到。
实例-18:通常当股民向电脑部反映“慢“时,将从几方面分析?
解决:首先判断是都慢?还是某一片慢?还是这台慢?
1) 工作站本身,- 386?486?586?本身网卡故障?
- 换一台旁边不慢的机器。
2) 网络交换机,- 换一个端口,用网管查看交换机端口的网络流量,分析是否存在坏包。
3) 布线系统上是否有干扰?- 换条网络跳线,最后联系布线公司。
4) 服务器, -CPU利用率高?网卡是以100BaseTX工作的吗?网卡上错包多吗?磁盘系统是否存在瓶颈?
5) 交易系统软件支持的用户规模有多大?
实例-19:某券商问题:以太网交换机(Switch)与以太网集线器(hub)工作方式有何区别?
解决:集线器工作于物理层,接收和放大物理信号,一台工作站发送信息时,其它工作站不能发送,工作方式等同于早期网络中的中继器;交换机工作于数据链路层,通过识别网卡的MAC地址建立各台工作站和交换机端口的对应关系,两个端口上的工作站通讯时其它端口上的工作站间仍可通讯。
实例-20:券商关心的安全问题如下:
1) 不良股民上网时,按ctrl-break,F4,F8等键侵入网络。怎么办?
答:请在Config.sys文件中加入:
Config.sys
Switches=/F/N ;屏蔽F4,F8
Device=break.sys ;屏蔽ctrl-break
Device=break.sys /c ;屏蔽ctrl-c
Break.sys软件是有限制的使用,我们将email给您。如果您试用以后需要使用,可以到Internet上订购。This program is cheap too. Only $25 / File Server or $250 unlimited.
2) 不良股民以网络上其它用户名( 如卫星,大屏等用户)侵入网络。怎么办?
答:利用NetWare系统中的”站点限制”实现。请用syscon或netadmin设置。
3) 不良股民自带WIN95/98通过网络邻居或Find Computer侵入NT交易服务器。怎么办?
答:利用Cisco交换机内的ports与MAC地址映射表进行非营业部计算机接入网络的限制。
4) 不良股民退出上网用户后,再打login /ns侵入行情交易服务器。怎么办?
答:/ns的意思是login过程不执行入网底稿。我们将email给您屏蔽/ns参数的login.exe文件。
证券营业部、信息系统安全状况非现场检查项目网络部分
(如果没有以下检查项涉及的设备,则不回答。)
1、选用或采购的网络安全设备是否经过了国家信息安全认证?
不答。如果是Cisco公司的PIX防火墙,PIX-520的证书编号为XKC33021
2、是否做到了对主要的网络设备由公司总部进行统一选型?
按实际情况回答
3、是否有网络设备参数配置清单?
是
4、是否有网络安全设备参数配置清单?
是 建议:如果没有防火墙、代理服务器等可不回答。
5、路由器是否设置了控制端口密码?
全部设置 “控制端口”指路由器和交换机的”Console port” ,我公司已全部设置。
6、交换机是否设置了控制端口密码?
全部设置
7、路由器是否设置了远程登录控制密码?
全部设置 “远程登录控制密码”是指Telnet访问控制口令,我公司已全部设置。
8、交换机是否设置了远程登录控制密码?
全部设置 我公司已全部设置。
9、防火墙等网络安全设备是否设置了登录密码?
是
建议:如果没有防火墙等可不回答。
10、路由器的密码设置做到:
建议回答:
(1) 口令长度大于等于8位
(2)数字和字母混用
(3)没有具体含义
如果贵营业部目前未达到,我公司可以协助营业部进行配置,并给出给出配置文档。(配置步骤见附录1)
11、交换机的密码设置做到:
建议回答:
(1) 口令长度大于等于8位
(2)数字和字母混用
(3)没有具体含义
如果贵营业部目前未达到,我公司可以协助营业部进行配置,并给出给出配置文档。(配置步骤见附录1)
12、防火墙等网络安全设备的密码设置做到:
建议回答:
(1) 口令长度大于等于8位
(2)数字和字母混用
(3)没有具体含义
13、路由器的密码更换周期为:
建议:一个月
14、交换机的密码更换周期为:
建议:一个月
15、防火墙等网络安全设备的密码更换周期为:
建议:1周
16、设定的路由器身份鉴别失败的最高次数是__次。
建议:3次
17、设定的交换机身份鉴别失败的最高次数是__次。
建议:3次
核心交换机(Catalyst4000、5000、6000系列)需要限制登录失败次数,配置方法见附录2。
Catalyst 2924XL/3524XL没有相关命令。
18、核心网络设备的密码是否互相不重复?
是
19、对网络配置进行修改的授权方法和记录方式有哪些? (100字以内)
对于网络设备的本地配置通过Console端口来进行,并设置Privilege(Enable)模式密码,防止非法用户对设备的配置进行修改。对于Telnet的访问方式进行密码保护。对于所有配置的修改均以书面方式保存。
20、是否对路由器配置修改进行记录?
是
21、是否对交换机配置修改进行记录?
是
22、是否对防火墙的配置修改进行记录?
是
23、对路由器设置的安全访问控制权限有哪些?(50字以内)
给不同的用户设置不同的访问权限,分为四个级别,授予不同等级的对设备的控制权(附录三)。
24、对交换机设置的安全访问控制权限有哪些?(50字以内)
同23
25、对防火墙设置的安全访问控制权限有哪些?(50字以内)
可不答
26、路由器关闭了哪些用户所不用的服务和远程操作命令?(50字以内)
仅使用静态路由 使用口令加密方式 关闭finger服务关闭ARP代理服务 关闭IP重定向 关闭rlogin服务
27、交换机关闭了哪些用户所不用的服务和远程操作命令?(50字以内)
关闭tftp服务 关闭http服务 关闭DNS服务
28、防火墙关闭了哪些用户所不用的服务和远程操作命令? (50字以内)
禁止外部网络Ping内部网络。禁止外部网络非法用户访问内部网络和DMZ区应用服务器。 禁止外部网络用户对内部网络HTTP、FTP、TELNET、TRACEROUTE、RLOGIN等端口访问。 禁止DMZ区的应用服务器访问内部网络。
29、当关键网络设备发生故障后是否有自动恢复运行的措施?
是 热备份,如双核心交换机,服务器双网卡等
30、当关键网络设备发生故障后是否有手工恢复运行的措施?
是 冷备份,如冷备份交换机
31、控制台是否提供了会话保护功能?
限制控制台会话时间。(见附录四)
建议回答:是
32、对非管理使用的网络工作站是否都禁用了软驱和光驱?
据实回答
建议:是
33、是否作到禁止其它部门网线私自接入交易服务器所在网段?
据实回答
建议:是
34、局域网是否采用了结构化综合布线?
是 我公司所做工程均为结构化综合布线。
35、是否对远程通信线路的接线端子定期进行维护检查?
是,周期是3个月
36、是否对本地通信线路定期进行维护?
是,周期是3个月
37、与交易所的通信线路是否有备份?
据实回答。
深圳行情备份:
1.单向与双向卫星通信互为备份;
2.伙伴备份;
3.拨号备份;
4.公司内部广域网备份。
深圳委托备份:
1.伙伴备份;
2.电话人工报盘。
上海行情备份:
1.深圳高速单向系统的上海行情备份;
2.单双向互为备份;
3.公司内部广域网备份;
上海委托备份:
1.拨号备份;
2.公司内部广域网备份;
3.电话人工报盘
38、与银行的通信线路是否有备份?
据实回答
建议:主线路采用DDN/ISDN,备用线路采用ISDN/PSTN拨号
39、与公网的通信通道是否有备份?
据实回答
41、对网络设备可能受到物理篡改或破坏有监视能力的软件和设备有哪些?(100字以内)
门禁系统、机柜上锁、在机房安装监控设备,防止物理上对设备的破坏。
42、在局域网中重要子网之间采用的技术隔离机制为:
建议(多选):VLAN(如果有)、路由器访问控制列表、中间件
43、营业部局域网与公司总部的对外接口处采用了哪些技术隔离机制?(50字以内)
据实回答
建议:路由端口访问列表
44、局域网与交易所的联接采用了哪些技术隔离机制?(50字以内)
采用双网卡,分别绑定不同的协议。一般情况下在卫星通信网段上使用IP或X.25协议,而在营业部内部网段绑定IPX协议,模拟为一个网关,从而隔离营业部网络和交易所的连接。
45、局域网与银行的联接采用了哪些技术隔离机制?(50字以内)
一般情况下,采用双网卡,根据各个营业部所使用的SQL设置情况不同,分别绑定不同或相同的协议。如果采用相同的协议,则关闭IP转发功能。在银行路由器端,对每个营业部只限制一个指定的电话号码拨入,并进行身份验证。
46、局域网与公网的联接采用了哪些技术隔离机制?(50字以内)
据实回答
建议:路由器地址转换(NAT)、防火墙、代理服务器(MS Proxy、Wingate、Winroute等)、Win2k远程访问控制等
47、与电话委托的连接端口采取了哪些防止非法进入及越权访问的防范措施?(50字以内)
为不同的用户设立相应的口令
48、与远程大户室的连接端口采取了哪些防止非法进入及越权访问的防范措施?(100字以内)
设置AAA认证,提供对拨入用户的验证-Authentication,授权-Authorization,和审计-Accounting。 简单配置的情况下,采用PPP协议进行Chap方式的身份验证,或限制拨入的电话号码,以及采用Callback特性。
49、内部办公接入的连接端口采取了哪些防止非法进入及越权访问的防范措施?(50字以内)
据实回答
建议:将办公网物理隔离。移动办公要求登录身份验证。
50、局域网与公司网站的联接端口采取了哪些防止非法进入及越权访问的防范措施?(50字以内)
据实回答
建议:防火墙。Or 路由器局域网端口设置访问列表。
51、是否提供了客户使用营业部内客户终端访问Internet服务?
据实回答。
52、针对客户使用营业部内客户终端访问Internet服务采取了哪些隔离的措施?
据实回答
建议:物理隔离,如果Internet和交易网在物理上连接,可采用VLAN技术在OSI第二层进行隔离。
53、针对客户使用营业部内客户终端访问Internet制定了哪些管理制度?(50字以内)
1. 使用有盘站管理,对客户端进行远程监控和维护,同时采用”瘦客户端”限制客户的应用。
2. 采用相应的程序,限制对一些站点的访问。
54、配备使用哪些网管工具监视和管理网络运行?(50字以内)
据实回答
Cisco公司的网络管理工具软件CiscoWorks 2000
55、对网络系统的实时监控措施有:
软件工具:Cisco公司的网络管理工具软件CiscoWorks 2000
56、对网络系统的实时监控措施是否正常启用?
据实回答
建议: 监控所有网络交换机和路由器的工作状态,监视关键端口的工作状态和流量
57、对网络系统的入侵检测措施有:
Cisco对应的解决方案使用的产品为Cisco IDS Sensor。
58、对网络系统的入侵检测措施是否正常启用?
是
59、对路由器、交换机、防火墙等重要网络设备的安全漏洞检测措施有:
Cisco对应的解决方案使用的产品为Cisco Secure Scanner.
60、对路由器、交换机、防火墙等重要网络设备是否定期进行安全漏洞检测?
是
61、路由器、交换机、防火墙等重要网络设备检测出的安全漏洞是否及时进行修补?
是
62、关键交换机的备份方式为:
双机热备份
63、关键路由器的备份方式为:
据实回答
建议:通常不做设备级备份,只进行线路备份
64、重要的工作站的备份方式为:
备份机
65、防火墙的备份方式为:
不备份
66、对网络是否有专项的书面技术事故应急计划?
是
1.如果服务器电源发生故障,因为服务器均配置了冗余电源,可自动使用备用电源保持服务器正常工作,应立刻联系集成商对电源进行更换、维修。
2.如果网卡损坏,因为服务器均配置了网卡冗余技术,可保证服务器正常通讯,应立刻联系集成商对网卡进行更换、维修。
3.如果服务器硬盘发生损坏,因为以配置为磁盘阵列,更换硬盘即可。
4.如果主服务器发生宕机,启动备用服务器接管主服务器的工作。
5.如果中心网络设备或模块发生故障,因为配置了热冗余技术,备用交换机可自动接管主交换机工作,应立刻联系集成商对中心网络设备进行更换、维修。
6.如果桌面交换机发生故障,应利用备件立刻更换。
7.如果重要工作站发生故障,应使用备用设备立刻更换。
67、对网络故障恢复和应急处理计划的演习频率为:
建议:每季
68、对网络故障恢复和应急处理过程是否有具体的记录?
是
附录1.
路由器的密码设置
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password password //设置EXEC模式密码
Router(config)# enable secret/password password //设置Priviledged模式密码:
交换机的密码设置
1. 对于IOS-BASED交换机:
Switch(config)#line console 0
Switch(config-line)#login
Switch(config-line)#password password //设置EXEC模式密码
Switch(config)#enable password level 1 password //设置EXEC模式的密码
Switch(config)#enable password level 15 password //设置Priveledged模式密码
或
Switch(config)# enable secret/password password //设置Priveleged模式密码
2. 对于CLI-BASED交换机:
Switch(enable)#set password //设置EXEC模式密码
Switch(enable)#set enablepass //设置Priveleged模式密码
附录2.
交换机身份鉴别失败的最高次数的设置(Catalyst4000、5000、6000系列)
set authentication enable attempt count [console | telnet]
//设置Telnet、Console登陆身份鉴别失败次数
附录3.
设置路由器的安全访问控制权限
Router(config)#privilege configure level 3 username
Router(config)#privilege configure level 3 copy run start
Router(config)#privilege configure level 3 ping
Router(config)#privilege configure level 3 show run
Router(config)#privilege configure level 3 show
Router(config)#enable secret level 3 cisco
附录4.
控制控制台会话时间
Router(config)# line console 0
Router(config-if) # exec-timeout 5 30
如何构造Internet网上证券营业部
一、 证券营业部计算机网络系统的现状
由于证券营业部计算机网络系统对可靠性要求远远超过银行、邮电行业对网络可靠性的要求,从而导致证券营业部计算机网络系统在采用新产品、新技术和新的解决方案方面一直处于落后的状态。券商在建设和改造网络系统时由于害怕出故障,导致全国的证券营业部在技术和产品上基本没有谁敢做出新的突破。目前证券营业部的技术的落后表现在以下几个方面:
1. 由于对交换机的VLAN技术,第三层交换技术和防火墙技术不清楚,证券营业部的局域网不敢连接到Internet,从而每个营业部的网络都是一个个封闭的信息孤岛,不能和外界交流信息。
2. 由于不明白桌面管理系统(如Novell 的Z.E.N.Works、微软的SMS 、Windows 2000的桌面管理、Windows 2000的Terminal Service)因此不敢将Win95、Win98、Windows 2000这些先进的桌面系统引入客户端,导致每个营业部都是用DOS 无盘工作站提供钱龙热自助这一单一枯燥的落后界面。券商计算机网络系统的落后是券商本身的观念和技术落后导致的。如果Win95、Win98、Windows 2000不能进入用户的客户端,要想提拱新的服务手段是根本不可能的。
3. 证券网络的可靠性远远高于银行、电信对网络的可靠性要求,而券商对服务器高可靠性和网络高可靠性方面的知识缺乏,投资力度不能把握,甚至没有服务器和网络容错的手段。
4. 证券业务的数据安全性没有充分的认识,很多营业部对于交易的NT服务器和行情的Novell 服务器没有备份手段,将容错技术和备份技术混为一谈。
5. 由于证券营业部电脑部经理一人要掌握Novell 、Microsoft 、CA 、Cisco等多家公司的产品,并且还要熟悉业务,导致每样产品只能知其然不知其所以然,再加上缺乏专业化的集成商,导致证券营业部的网络系统技术落后,产品配置不合理。
6. 由于对Internet 和Intranet的最新技术不了解,很多证券营业部连 E-mail, Print Server这样基本的网络服务都没有采用。
针对以上情况,结合诺威公司多年来在银行、电信、证券、政府、校园网方面积累的丰富经验,诺威公司推出新一代证券营业部计算机网络系统的建设方案。
二、诺威公司Internet网上证券营业部建设方案
可靠、安全、高效和可管理是诺威公司围绕证券营业部网络建设的宗旨。我们的解决方案分为网络高可靠性解决方案、服务器高可靠性解决方案、数据备份解决方案、Intranet 和Internet接入方案四大部份。
1. 网络高可靠性解决方案
千兆做骨干,百兆到桌面已是证券营业部网络新的技术趋式。诺威公司推出的网络容错的思想已成为北京地区建设和改造券商网络的标准。
构造证券高可靠性网络的核心交换机可采用两台Cisco Catalyst 4006交换机,在Catalyst 4006交换机上配置一块6口的千兆网模块(WS-X4306-GB)和一块48口10/100M自适应的WS-X4148-RJ模块。二层交换机选用2台Catalyst 2948G和若干台Catalyst 2924交换机。
两台Catalyst 4006之间通过2个千兆口以GEC方式相连,前台行情服务器的千兆网卡采用Intel Pro1000网卡用AFT技术连接到核心的两台Catalyst 4006 交换机。二层的Catalyst 2948G以千兆口分别连接到核心Catalyst 4006交换机,二层的Catalyst 2924交换机以100M分别连接到核心的Catalyst 4006上的WS-X4148-RJ的百兆以太网接口。在二层交换机上配置Uplink-Fast ,保证核心的主交换机出故障时,二层交换机1秒之内切换到另一台Catalyst 4006交换机。工作站与服务器的通讯不中断,实现了网络的热备份。
为了保证工作站和服务器与网络的快速连接,交换机上对应的端口配置成Port Fast方式。
后台网络采用2台Catalyst 2948G交换机。2台Catalyst2948G之间用4个100M端口以全双工FEC方式相连提供800M的带宽。后台行情服务器用千兆网卡以AFT方式连接到两台Catalyst 2948G的千兆口。后台备用行情服务器用百兆网卡以NFT方式连接到两台Catalyst 2948G的百兆口。后台交易服务器与2台Catalyst 2948G的联接方法与行情服务器的连接方式一样。
前台网络与后台网络之间通过中间件相连。所谓中间件就是运行Windows NT Server的高档PC或服务器,在中间件上安装2块百兆网卡实现前台网络与后台网络的联接。提供给股民的前台PC机对交易服务器的访问通过中间件来实现。
下图为北京诺威公司为北京国际信托投资公司亚运村营业部实现的三分离的网络拓扑图。
对网络上的交换机的管理采用CiscoWorks 2000来实现。
2、服务器高可靠性解决方案:
证券营业部的服务器分行情服务器和交易服务器。行情服务器运行NetWare 4.11,交易服务器运行Windows NT Server。
服务器是证券网络系统的核心,因此选择高可靠和高性能的服务器是券商系统运行可靠的根本保证。诺威公司推荐给券商的服务器是Compaq Proliant 8000。
Compaq ProLiant 8000 具有超凡的可扩展性,支持8个Intel Pentium Ⅲ Xeon 处理器,16GB的SDRAM、11个PCI扩展槽以及380GB的内部硬盘存储容量。新一代的SCSI磁盘阵列控制器4250ES可以支持Wide Ultra 2 SCSI Hot-Plug 硬盘。
① 交易服务器容错建议采用Windows NT Cluster解决方案
交易服务器的容错诺威建议采用两台Compaq ProLiant 8000服务器,通过Compaq 光纤通道存储技术访问共享的外部磁盘阵列柜(RAID 4100),在服务器上安装Windows NT Server Enterprise Edition版本及SQL Server 6.5 Enterprise Edition版本。
为了防止光纤通道的单点故障,我们采用双光纤通道控制卡、双HUB和双光 纤控制器的F200配置方式。利用Microsoft Cluster Server 集群软件,保证当任意一台服务器出故障时,另一台服务器可以接替出故障服务器的所有业务。该容错方案诺威公司已在光大证券北京樱花营业部投入成功使用。
② 行情服务器容错建议采用福州顶点计算机软件公司的NovMate2000。
由于证券营业部行情服务器的许多文件都是以 .dbf数据库形式提供给用户共享的,因此当服务器出故障时,往往导致该数据库的内容受损。采用Vinca 的Standby Server 和 Novell 的NHAS也不能解决这一问题。虽然SFT Ⅲ 可以解决这一问题,但工作站超过300台以上时服务器的CPU 利用率高达100% ,另外Novell在NetWare 5以后不开发SFT Ⅲ 技术,这样SFT Ⅲ目前在证券行业也不可取。
福州顶点公司的NovMate2000是高效率低负载的增量备份系统,灵活定制备份策略。它不会导致备份服务器上的数据库损坏。在目前行情服务器的备份手段里,是性价比不错的选择。
诺威公司建议采用高可靠性的Compaq ProLiant 8000 做行情服务器,采用双4250ES阵列卡,硬盘配置为Online Spare RAID 5,采用双CPU。通过顶点的NovMate 2000与另一台老服务器做热备份。诺威公司在北京证券福州证券营业部的工程就是采用Compaq ProLiant 8000 为主服务器,Compaq ProLiant 6000 服务器为备用服务器运行顶点的NovMate 2000实现行情服务器热备份。
3、 利用CA公司ARCserve IT 解决数据备份。
ARCserve IT是CA公司的一个跨平台的网络数据备份软件,在数据保护、系统恢复、病毒防护方面均提供全面的产品支持,目前在全球数据备份市场已成为业界的事实标准。
诺威公司针对证券营业部网络系统NetWare和NT并存的情况,推出以NT服务器为平台(将DAT磁带机安装在NT服务器)备份NT 和NetWare的方案。
在数据备份系统的设计中,我们主要针对资金服务器进行数据和系统备份(数据库系统、应用程序、其他数据等等);同时,通过Client Push Agent For NetWare,对行情服务器进行数据和系统备份(包括NDS树、用户信息等)。
ARCServeIT 6.61 For Windows NT Advanced Edition
进行数据备份,控制备份代理,调度备份进程,进行24小时的不中断在线数据备份,保护系统中的特定环境信息,同时,进行数据校验、与客户机进行并行数据处理。
Backup Agent For Open File For Windows NT 4.0
可以对对正在使用的文件进行备份操作,确保数据的完整性,作到与应用程序无关的在线数据备份。
Backup Agent For SQL Server 6.61
关系数据库的备份代理,通过不同的Backup Agent,对于那些联机数据库和信息系统提供了数据库表一级的追加式备份。
Disaster Recovery 6.61 For Windows NT
对于灾难性事故的恢复系统,能借助ARCServeIT的快速启动过程由一个新的硬盘快速简便的恢复整个系统。包括创建和格式化分区、恢复网络操作系统和所有关键性的配置。
Client Push Agent 6.61 For NetWare
使用Client Push Agent For NetWare把行情服务器作为在资金服务器上安装的ARCServeIT系统的客户机代理,同时,在行情服务器上安装Backup Agent For Open File,即可对行情服务器作到系统和数据备份。
Backup Agent For Open File For NetWare
可以对对正在使用的文件进行备份操作,确保数据的完整性,作到与应用程序无关的在线数据备份。
诺威公司在厦门证券北京营业部的备份方案时,就按本方案成功实施。
4.Intranet 及Internet接入方案
如果Win95/98/2000桌面系统不能进行证券营业部,那么营业部为投资者就不能提供服务创新的手段。如果证券营业部的网络不接入Internet,那么营业部为投资者提供的网络就是信息的孤岛。桌面管理和网络安全问题解决好后,证券营业部的网络就能为投资者提供浏览Internet,收发邮件、多媒体股评和视频点播等服务。
随着交易软件厂商支持三分离的软件成熟。证券营业部提供给股民的PC机就不能对交易服务器进行攻击。这样配备给股民的机器安装Win95/98/2000后就可以访问Internet。如果股民要用DOS下的钱龙软件,工作站启动时只需选服务器引导,这样就是一台传统的DOS无盘工作站。如果要上网就选本地引导。采用三分离后,诺威公司建议证券营业部就没有必要采用无盘工作站。这样营业部提供给股民的工作站支持Win95/98/2000后就可以转变为网上营业部(全面支持Internet技术),股民可以进行网上交易,访问Internet,获取图文并茂高带宽的多媒体信息。营业部在激烈的市场竞争中才有生命力。
由于前台和后台通过中间件相连,这样将前台网络连接到Internet之后,Internet上的用户不能对交易服务器进行攻击。营业部的网络分为内部办公自动化网络VLAN,财务网络VLAN,提供给股民服务的前台网络VLAN。为了实现不同VLAN之间安全高效的通讯,我们建议在营业部的网络上配置一台支持第三层交换的Catalyst2948G-L3来实现网络的第三层交换。当然也可以在Catalyst 4006上配置2块WS-X4232-L3实现更可靠的三层交换(利用HSRP技术)。
① Win95/98/2000的桌面管理
只有Win95/98/2000进入证券营业部的桌面操作系统,券商才能为投资者提供更新更好的服务。
由于用户并不是电脑专家,所以很容易进行一些误操作而删除必要的程序,造成工作站的死机。另外,如果营业部要给工作站安装新的软件,工作量大不说,也容易出错。
诺威公司建议采用Novell公司的Z.E.N..Works或微软公司的SMS来管理桌面系统。这些软件可以把工作站变成只能运行特定权限软件的瘦客户端,例如只能运行钱龙和IE等由管理人员指定的应用程序,有效的防止了股民对网络的破坏。另外,这些软件还具有强大的维护管理功能,简化了管理人员对工作站的管理工作: 自动的软件分发功能, 软件自动修复, 确定硬件配置,运程管理客户端。
另外一种方式就是采用Windows 2000 Terminal Server, 前端采用Windows 2000终端,这样也能为股民提供多媒体的终端。
② 构造证券营业部的Intranet
证券营业部的Intranet 上可以为员工和大户提供电子邮件、浏览Web、共享打印机等服务。电子邮件系统可采用Novell 的GroupWise或微软的Exchange Server。
在证券营业部的Intranet网上配置一个Cisco 2610 路由器,Cisco 2610 上配置一个8口的NM-8AM 或16口的NM-16AM解决员工或大户通过电话交换网访问证券营业部的Intranet。远程用户的身份认证,授权和计费通过CISCO Secure ACS来解决。Cisco 2610的配置WIC-1T或WIC-1B-ST通过专线和ISDN与证券公司总部相连接。
③ 利用Cisco IP/TV 为股民提供多媒体服务
视频点播基本是一种单向的服务,视频流是从网络上的视频服务器到客户端的单向传输。视频点播有三种应用环境:实时广播、定时播放、点播。
由于CISCO Catalyst 交换机支持IP Multicast 特性,这样一路DVD效果的视频流只占网络6Mbps的带宽,网络上所有站点只需要安装Cisco 的IP Viewer软件即可观看实时的股评直播。
Cisco IP/TV产品线由几个功能服务器组成:IP/TV 3411控制服务器、IP/TV 3422/3423广播服务器、IP/TV 3431档案服务器。
④ 证券营业部Intranet的建立及Internet的接入
证券公司的网络接入Internet的同时,所面临的最大的挑战是如何保护自己免受来自 Internet的攻击。在这方面,我们绝对信赖Cisco公司的解决方案,作为Internet百分之八十的路由设备的供应商,Cisco的PIX 500系列硬件防火墙产品更是始终保持全球安全产品的市场占有率第一。
Cisco Secure PIX Firewall是高速、专业的硬件防火墙,它给网络提供安全保护的同时,不会降低网络的性能。PIX防火墙安装于公司局域网和Internet访问路由器之间,能够同时支持250,000个连接。
本方案中,营业部的局域网作为”内部网”(Inside),其安全等级为100;Internet 作为”外部网”(Outside),其安全等级为0;公司的Web服务器、DNS服务器位于”非军事化区”(DMZ),其安全等级为50。
Cisco PIX Firewall的原则(缺省)是低优先级网络不能访问高优先级网络,但反过来可以访问,这样,保证内网的用户可以毫无阻碍地访问Internet,但从Internet上无法看到公司局域网上的任何服务器。
公司的内部网络使用10.X.X.X私有网络IP地址,访问外部网络时PIX提供地址转换的功能(NAT),通过有限的几个Internet IP地址,使公司全国各地的员工均能访问Internet。
值得注意的是,公司的Web服务器或邮件服务器与内部网络的其他服务器性质不同,它们必须要能被Internet用户访问,而且也要能被内部网的公司员工访问。使用其他厂商的软件防火墙是,这个问题很难处理。Cisco的解决方法简单合理,PIX防火墙能够提供多个局域网端口,可以连接多个不同的网段。除了Inside和Outside网段之外,其他网段均称为”非军事化区”(简称DMZ),它安全等级可以任意配置,并且能够提供使Internet用户能够访问进来的”管道”(Conduit)。
这样,Web服务器相当于公司对Internet的一个窗口,而重要的数据均放在内部网络 的数据库服务器上,这些服务器从Internet是无法访问的。
方案中另一个与Internet访问相关的产品是Cisco Cache Engine 505。Cisco Cache Engine 500 系列产品是网络集成的高速缓存解决方案,可以减少广域网带宽使用,最大限度地提高网络服务质量,提高现有网络的可伸缩性。Cisco 的网络高速缓存解决方案被设计成作为一个高速缓存系统运行,它结合了高速缓存意识的互联网设备,运行 Cisco IOS 软件业界领先的 Web 高速缓存通信协议 (WCCP) 以及网络集成的 Cache Engine 500 系列产品,该产品的管理和设计与网络产品相似,并能够适应网络的需要。
与其他的基于软件的Cache产品不同,Cisco Cache Engine 505完全融入到Cisco网 络整体解决方案中,它不必放置在Internet访问的出口上,即不必同路由器串联放置,所以不会降低访问的性能。
当Cisco 2610(Internet接入路由器)接收到一个HTTP的访问请求是,马上通过WCCP 协议将这个请求转发给Cache Engine 505,如果被申请的Web页面已经存在,那么Cache Engine 505会直接将该页面发送给申请者,大大提高Web页面的访问速度,减少出口带宽的占用率。这一过程对用户的浏览器来说完全透明,用户不会知道他所看到的Web页面是从本地的Cache中发送过来的。
三、结论
建造可靠、安全、高效、可管理的证券网络是用户和诺威公司的目标,选择一流厂商、跟踪先进技术、提供完美方案、实施专业服务是诺威的经营理念。证券营业部网络容错的思想是诺威公司第一家引入证券的。采用诺威公司推荐的支持Internet技术的证券营业部计算机网络系统的营业部将更加具有市场竞争力。按照诺威公司这一思想构造的营业部将全面支持Internet技术,平滑支持网上交易。Internet网上营业部是证券营业部的必然的发展趋势,网上交易的发展也不会冲击这一类型的营业部。因为只有在Internet网上营业部上才能提供高带宽、个性化的多媒体信息,并且股民之间还可以在营业部进行交流。股民在营业部和在其它场所都将使用统一的Internet界面,这样将增强对用户的凝聚力。
原文链接:http://www.51novell.com.cn/?p=8060
Novell提供给NetWare服务器的默认值平衡读写功能。改变参数可以使写盘加快,但会降低读盘速度,这是鱼和熊掌不可兼得的技术上的矛盾。然后,假如指定一个服务器主要做写盘操作(例如是保存数据目录的服务器),就可以平衡向倾斜变化中获得好处。
利用SERVMAN改进服务器磁盘写性能
1) 在控制台提示符下键入LOAD SERVAMN。
2) 选择Server Parameters项,然后选File Caching。
3) 高亮条移至Maximum Concurrent Disk Cache Writes项上,并且使数字从50(默认值)增至100。
4) 按Esc键两次,回到Update Options菜单中,选择Update AUTOEXEC。NCF和STARTUP。NCF,然后按Enter键确认。
5) 在Available Options菜单中选Server Parameters项,然后选Direcotory Caching项。
6) 高亮条移至Dirty Disk Cache Delay Time上把时间从3。3秒增至7秒。
7) 按下Esc键,选择Directory Caching。
高亮条移至Dirty Directory Cache Delay Time,把时间值从0。5秒增至2秒。
9) 高亮条移至Maximum Concurrent Directory Cache Writes,把数值从10增至25。
10) 按Esc键两次,到Update Options菜单中,选择Update AUTOEXEC。NCF,STARTUP。NCF, 按Enter键确认。
11) 按下Esc键退出SERVMAN。
通过把某类高速缓存区中已更改过,而且需要写到磁盘上去的缓存区数目和全部高速缓存区数目进行比较,可以确定是否需要增强服务器的写操作性能。在General Information菜单下观察Monitor屏幕,如果该高速缓存区数目大于总数的70%,可以通过改变这些参数以改进服务器性能。
通过把某类缓存区中已更改的而且需要写到磁盘上去的缓存区数目和全部缓存区菜单下观察Monitor屏幕,如果该类缓存区数目大于总数的70%,就可以通过改变这些参数来改进服务器性能。
Maximum Concurrent Disk Cache Writes取值范围是从10至4000。最好是先加到100,然后第二天检查参数装载后的性能如何。有可能要再次增加数值,但是在改进此参数之前,最好还是先看一下改动其它参数是否也会影响性能。
SERVMAN能立该改变设置,而且允许把变化存到启动文件中。这就是说,不需要析启动服务器,就能让参数的改动生效。而且如果保存更改结果,设置的参数在服务器每天重新启动时都会保持有效。
再看一下DIRTY Disk Cache Delay Time设置,其决定已更改的磁盘块写回磁盘之前所延迟的时间,此值较小时,写盘会较频繁,但每次写入的块数也会较少。强迫系统在写盘前等几秒钟,可以更有效地响应写请求,而这并不降低应用程序运行速度,因为当文件缓冲区接收文件写请求时,应用程序照常运行。
Dirty Directory Cache Delay Time对目录高速缓存表起着同样的作用。因为当前目录列表保存在文件缓冲区RAM中,所以必须经常把改动信息写到盘上去。写盘操作时间间隔略微延长,会使写盘更有效率,但也会稍微提 高目录入口表面受损的危险性。可以把该参数由默认值0。5秒改为2秒。
Maximum Concurrent Directory Cache Writes参数能增加可同时时行的上述目录高速缓冲区写操作数目。可以试着把数目从10改为25,这确实会影响目录高速缓冲区的读性能。
改进NOVELL 服务器磁盘读性能
同加快数据文件服务器写操作相对的是,加快应用程序文件的读操作。实现后者的办法是,迫使系统将目录缓冲区保留更长的时间,并降低写操作的频率。要注意,在缓冲区设置上,一方面有所得必然导致另一方面有所失。
装载SERVMAN程序后,在Server Pfarameters菜单中选File caching菜单选项,再选Maximum Concurrent Disk Writes项,把值从默认的50改为10,减少执行写操作数目。如果读过前面的部分就会知道,这个值的增加会使写操作加快,而现有我们反过来用这个参数限制写盘时间,从而使读盘时间更充裕。
下一步是把Maximum Concurrent Directory Cache Writes从默认值10改为5,限制写操作的数目,这了和改进写盘性能的操作形成对照。。
Directory Cache Buffer Nonreferenced Delay的值指定目录缓存区驻留在内存中的时间长短,这个数大就会使目录缓存区在越长时间内保持有效和可再用。文件存取使得更多的目录缓冲区打开以供使用,有效目录缓冲区越多,系统就能越快地找到文件。
改变Directory Caching(目录缓冲区)参数后,按Esc键,并从Categories菜单中选择File System项,找到Turbo FAT Reuse Wait Time项,并把数值加至600秒。
Turbo FAT Reuse Wait Time项对于大型数据库文件特别有帮助,当一个被访问文件有多于64个FAT(File allocation table文件分配表)入口时,系统就建立一个FAT索引。这样做可以加快庞大文件的运行速度,这些数据库文件采用顺序记录表,而且总是顺相同的FAT入口。
利用SERVMAN程序改进磁盘读性能
1) 在控制台提示符(NetWare4。10和4。11)或从MONITOR (NetWare4。11)下,建入LOAD SRVMAN,启动SERVMAN程序。
2) 选择Server Parameters,然后选择File Caching。
3) 将高亮条移到Maximum Concurrent Disk Cache Writes,把数值从50(默认值)减至10。
4) 按下Esc,进入Categories菜单,然后选择Director Caching。
5) 选择Maximum Concurrent Directory Cache Writes,并把数值从10(默认值)改为5。
6) 选择Directory Cache Buffer Nonreferenced Delay,并将数值从5。5秒(默认值)改为60秒。
7) 按Esc键,进入Categories菜单,选择File System。
光标向下选择Turbo Reuse Wait Time ,并将数值由296秒(默认值)改为600秒(10分钟),这里以秒为设置单位。
9) 按两次Esc键,回到Update Options菜单,并选择Update AUTOEXEC。NCF和STARTUP。NCF文件,按Enter确认。
10) 按ESC键,退出SERVMAN。
通过查看服务器的利用率信息,初步判断问题所在
利用Load Monitor程序观察服务器利用率
1) 利用率(Utilization):显示网络服务所占的CPU时间。这是网络负载的一半,磁盘活动是另一半。如果一次有超过一、两分钟时间的数字指示超过了50%,那就表明网络需要提高性能。也有可能指示数字超过100%,因此如果看到有时利用率达到103%,也不要过分激动。
2) 高速缓冲区总(Totol Cache Buffers):该数字越低,表明文件的执行也就越慢,如果Total指示的数字不到缓冲区数量的一半,那就该增加更多的RAM。
3) 当前的服务进程数(Current Service Processes):该数字指示读请求的多少。当一读请求出现,而又没有相应进程立即响应处理时,就建立一服务进程来执行读ASAP。缓冲区太少会使该数字上升。有了大量的RAM,但服务进程数仍在上升,这就需要磁盘通道来帮忙了。升级控制器或磁盘,或将高负荷的应用程序移到另一个服务器上。
4) 包接收缓冲区数(Packet Receive Buffers):用以保存从工作站送来的包,直到它们得到服务器的处理。根据需要分配缓冲区,该数字逐淅增大指示着服务器性能不足以承担如此多的负载。
5) 可以在MONITOR中打开的另一个屏幕是Cache Utilization Statistics。可以看Cache Utilization的菜单选项。如果长期缓冲区命中率(Long Term Cache Hits)指数停留在90%以上,说明服务器得到了很好的文件了务配置。
对于服务器和网络设备硬件应考虑的问题
服务器的通道包括:磁盘通道和网络通道。
由于通信量集中在交换器100M端口, 容易造成拥塞, 因此在选择交换器时应注意交换器是否有灵活的通信量控制机制与缓冲处理能力。从包交换速率看, 一般的10M/100M交换设备都能满足上述通信量要求。快速以太网和交换式以太网可解决网络带宽瓶颈,但所有请求同时到达服务器,会使服务器I/O通道面临很大压力。因此服务器的通道性能是决定整个系统性能的关键。
由于I/O操作相对于主CPU的处理能力要慢得多, 因此提高文件服务能力的关键是优化系统的I/O操作。衡量服务器的I/O处理能力,首先要从结构上考虑。 由于服务器采用软硬件与微机兼容的设计方案,使服务器在系统结构上有许多缺陷,如总线效率低, 通道争用,过分CPU依赖处理I/O事务等,因而严重限制I/O吞吐量。
一般来说, 服务器硬盘子系统的性能于硬盘接口传输速率/ 硬盘转速与寻道时间和硬盘通首设计有直接的关系, 应选用宽带的SCSI 接口,带宽为40M/s, 并且硬盘最好用支持高传速,容量小(通常为4.3 Gb), 通过阵列卡作使硬盘的读写均衡。
一个好的网络是在无形地工作着, 服务器快速响应客户机发出的请求, 同时不给正在使用网络资源的其他用户带来任何显著影响。
各种网络资源-如网络信道容量和节点的信息缓冲区—是有限的, 也就是说,它支持的连接和容纳的业务量是有限的,当网络连接和业务量超过它能支持的限度时, 服务质量就会下降,表现在信号延迟增大, 信息包丢失严重。
由于存在这种突发性的异步需求,给资源分配和共享带来了不少困难,因此,如果不对进入网络 的信息流加以控制,就会由于结冲区过负荷而造成拥塞。当信息通过网络的时间比预计长时,我们就说网络处于拥塞状态, 此进网络传送的信息越来越少,远远少于进入的信息数,从而使拥塞区域迅速扩大,如果不采取措施,当所在缓冲区被占满而无法腾空时,就出现死锁现象,信息传递停 。在选用网络设备时应考虑用良好的底板带宽和端口缓存及端口流量控制的网络交换机。
因为每个端口连接的客户机会随时发送信息。即使缓冲区很大,由于速率较高, 还是会很快用完缓冲区。当几个端口同时访问文件服务器,文件服务器所连接的端口的通信量很大,由于缓冲区无法容纳这么多信息,就会丢失大量信息包,增加服务器的CPU负荷,使网络性能急剧下降。
证券营业部网络常见问题
实例-1:某券商网络慢,在线200点,现象:行情好时,CPU利用率经常瞬间达95%,钱龙、查询变得缓慢。
解决:通过load monitor,观察LAN information中的内容,发现网络收发包不均衡,初步判断是网络流量问题,采用Novell公司网管分析软件,分析网络流量,发现是”汇金”转码机的问题,暂停该机,问题解决。
实例-2:某券商服务器经常的自己重启,就好象电源掉电一样。
解决:赶紧找服务器厂商,检查服务器硬件,更换CPU电源模块,问题解决。
实例-3:某券商服务器的系统卷不能够mount,数据读不出来。
解决:load vrepair,问题解决。
实例-4:某券商行情服务器增加双CPU,但系统不识别双CPU。
解决:在硬件配置F10中选择IntranetWare SMP,并在startup.ncf中加载双CPU的驱动程序, 安装Novell公司Patch程序IWSP5B,问题解决。
实例-5:某券商行情服务器在进行2000年测试完成后,服务器屏幕上每隔2分钟报警:时间不同步,Synthetic time is being issued or patition…。
解决:在服务器屏幕上用load dsrepair -a,选择advanced options、选择replica and partition operations、选择repair time stamp,问题解决。
实例-6:某券商行情服务器购买了500用户的Novell软件,但当在线用户达到255个左右时,发现新打开的无盘工作站或重新登录的工作站,上不了网。
解决:更换工作站的网卡,或更换网卡的BOOT芯片,问题解决。
实例-7:某券商行情服务器屏幕上不断出现MAC 地址和网段号报警。
解决:通常为在双网卡,双网段的情况下,将不同的物理网段连接在同一个网段上了。导致服务器报警。需要将网段物理正确的连接,或改变网段的网络地址。
也存在网卡的物理故障。或利用userlist /a和load monitor查出MAC是哪一块网卡,用新网卡替换。
实例-8:当一定数量的用户上网后,或行情好时,网络速度明显变慢。
解决:检查网络瓶颈,一般来说应该在中心交换机处,或网络上存在大量广播包的传送,如钱龙、宏汇等同时在一台服务器中运行,瓶颈了服务器的网卡。
实例-9:某券商大屏刷新的速度很慢。
解决:将大屏控制机的网线连接在中心网络交换机上。
实例-10:某券商网络用户不多,也不是在开市时间,但用户登陆上网的速度很慢。
解决:一个原因是网络中心设备速度慢,请更注意网络全双工问题。将网络交换机的接口和网卡都设置成半双工。
实例-11:某券商登陆钱龙或其他热自助用户后,在退出时,出现类似“can’t find A;\command.com…”信息后,死机。
解决:首先确认net$dos.sys中的command.com是什么版本,假如是MS-DOS 6.22,则在sys:\public\v6.22目录中拷贝这个版本的command.com文件。然后在用syscon或netadmin 在system script中加入map s2:=sys: \public\OS_VERSION ;comspec=s2:command.com,注意需要将sys:public的[R F]授权给用户或组。
实例-12:某券商中户、大户用户很多,非常随机的出现股民自己设置钱龙自选股,在第二天上网后丢失。
解决:是钱龙软件的问题,钱龙公司已经知道,请您拨打钱龙公司电话。
实例-13:新营业部钱龙用户登陆后,没有出现画面。
解决:用超级用户给钱龙用户分配相应的权限。
实例-14:营业部在星期一或放假结束时,重新开机上网,工作站不能找到服务器。
解决:服务器所连接的中心交换机端口没有初始化正确。可以再次冷启动中心交换机,最好是对中心交换机端口进行固定速率100M全双工、或100M半双工的设置。
实例-15:某营业部行情服务器出现用户不能上网,现象如下
现象:
服务器CPU利用率100%,用户不能上网。服务器屏幕上每60秒出现如下信息:
Server-4.11-1616
An NLM has been loaded that does not allow low priority threads to be run. Low priority threads are used for file compression, etc. Set ‘Upgrade low priority thread’s to ON or unload the NLM.
原因:
是由于NDS有问题引起的。
解决办法:
1. 在服务器上cd\nwserver, 然后server -na [enter], load dsrepair [enter], 选择Full unattach repair ..选项(即菜单的第一行)[enter], 进行NDS的修复,须多修复几次,直到屏幕右上角处的Total error 为0。
2. Down,exit 退出服务器。
3. 重起服务器,在进行一次load dsrepair, 选择Full unattach repair ..选项进行修复,确认Total error 为0。
4. Load monitor [enter], 查看CPU利用率正常,用户可以上网工作。
5. 完成。
实例-16:某营业部行情服务器上不断出现“检测到一个丢失的硬件中断“信息。
解决:磁盘控制卡方面的问题引起,如:驱动程序不匹配、硬件自身问题等。更换驱动程序或更换硬件。
实例-17:Novell C2 级安全级别在证券中的应用。Novell公司intraNetWare/NetWare 4.11网络操作系统是具有C2级安全级别的,那么是否只要安装这个软件后,系统就具有C2级的安全保护呢?
解决:不是。C2级的保护需要在网络服务器平台上加载 security.ncf ,使对通过网络的数据(包括:数据包、用户名、口令等)都得以加密。但会影响网络和服务器的性能,因此在证券中不建议采用。 因为通过正确的设置用户权限,并通过某些网络设备的安全设置特性完全会达到。
实例-18:通常当股民向电脑部反映“慢“时,将从几方面分析?
解决:首先判断是都慢?还是某一片慢?还是这台慢?
1) 工作站本身,- 386?486?586?本身网卡故障?
- 换一台旁边不慢的机器。
2) 网络交换机,- 换一个端口,用网管查看交换机端口的网络流量,分析是否存在坏包。
3) 布线系统上是否有干扰?- 换条网络跳线,最后联系布线公司。
4) 服务器, -CPU利用率高?网卡是以100BaseTX工作的吗?网卡上错包多吗?磁盘系统是否存在瓶颈?
5) 交易系统软件支持的用户规模有多大?
实例-19:某券商问题:以太网交换机(Switch)与以太网集线器(hub)工作方式有何区别?
解决:集线器工作于物理层,接收和放大物理信号,一台工作站发送信息时,其它工作站不能发送,工作方式等同于早期网络中的中继器;交换机工作于数据链路层,通过识别网卡的MAC地址建立各台工作站和交换机端口的对应关系,两个端口上的工作站通讯时其它端口上的工作站间仍可通讯。
实例-20:券商关心的安全问题如下:
1) 不良股民上网时,按ctrl-break,F4,F8等键侵入网络。怎么办?
答:请在Config.sys文件中加入:
Config.sys
Switches=/F/N ;屏蔽F4,F8
Device=break.sys ;屏蔽ctrl-break
Device=break.sys /c ;屏蔽ctrl-c
Break.sys软件是有限制的使用,我们将email给您。如果您试用以后需要使用,可以到Internet上订购。This program is cheap too. Only $25 / File Server or $250 unlimited.
2) 不良股民以网络上其它用户名( 如卫星,大屏等用户)侵入网络。怎么办?
答:利用NetWare系统中的”站点限制”实现。请用syscon或netadmin设置。
3) 不良股民自带WIN95/98通过网络邻居或Find Computer侵入NT交易服务器。怎么办?
答:利用Cisco交换机内的ports与MAC地址映射表进行非营业部计算机接入网络的限制。
4) 不良股民退出上网用户后,再打login /ns侵入行情交易服务器。怎么办?
答:/ns的意思是login过程不执行入网底稿。我们将email给您屏蔽/ns参数的login.exe文件。
证券营业部、信息系统安全状况非现场检查项目网络部分
(如果没有以下检查项涉及的设备,则不回答。)
1、选用或采购的网络安全设备是否经过了国家信息安全认证?
不答。如果是Cisco公司的PIX防火墙,PIX-520的证书编号为XKC33021
2、是否做到了对主要的网络设备由公司总部进行统一选型?
按实际情况回答
3、是否有网络设备参数配置清单?
是
4、是否有网络安全设备参数配置清单?
是 建议:如果没有防火墙、代理服务器等可不回答。
5、路由器是否设置了控制端口密码?
全部设置 “控制端口”指路由器和交换机的”Console port” ,我公司已全部设置。
6、交换机是否设置了控制端口密码?
全部设置
7、路由器是否设置了远程登录控制密码?
全部设置 “远程登录控制密码”是指Telnet访问控制口令,我公司已全部设置。
8、交换机是否设置了远程登录控制密码?
全部设置 我公司已全部设置。
9、防火墙等网络安全设备是否设置了登录密码?
是
建议:如果没有防火墙等可不回答。
10、路由器的密码设置做到:
建议回答:
(1) 口令长度大于等于8位
(2)数字和字母混用
(3)没有具体含义
如果贵营业部目前未达到,我公司可以协助营业部进行配置,并给出给出配置文档。(配置步骤见附录1)
11、交换机的密码设置做到:
建议回答:
(1) 口令长度大于等于8位
(2)数字和字母混用
(3)没有具体含义
如果贵营业部目前未达到,我公司可以协助营业部进行配置,并给出给出配置文档。(配置步骤见附录1)
12、防火墙等网络安全设备的密码设置做到:
建议回答:
(1) 口令长度大于等于8位
(2)数字和字母混用
(3)没有具体含义
13、路由器的密码更换周期为:
建议:一个月
14、交换机的密码更换周期为:
建议:一个月
15、防火墙等网络安全设备的密码更换周期为:
建议:1周
16、设定的路由器身份鉴别失败的最高次数是__次。
建议:3次
17、设定的交换机身份鉴别失败的最高次数是__次。
建议:3次
核心交换机(Catalyst4000、5000、6000系列)需要限制登录失败次数,配置方法见附录2。
Catalyst 2924XL/3524XL没有相关命令。
18、核心网络设备的密码是否互相不重复?
是
19、对网络配置进行修改的授权方法和记录方式有哪些? (100字以内)
对于网络设备的本地配置通过Console端口来进行,并设置Privilege(Enable)模式密码,防止非法用户对设备的配置进行修改。对于Telnet的访问方式进行密码保护。对于所有配置的修改均以书面方式保存。
20、是否对路由器配置修改进行记录?
是
21、是否对交换机配置修改进行记录?
是
22、是否对防火墙的配置修改进行记录?
是
23、对路由器设置的安全访问控制权限有哪些?(50字以内)
给不同的用户设置不同的访问权限,分为四个级别,授予不同等级的对设备的控制权(附录三)。
24、对交换机设置的安全访问控制权限有哪些?(50字以内)
同23
25、对防火墙设置的安全访问控制权限有哪些?(50字以内)
可不答
26、路由器关闭了哪些用户所不用的服务和远程操作命令?(50字以内)
仅使用静态路由 使用口令加密方式 关闭finger服务关闭ARP代理服务 关闭IP重定向 关闭rlogin服务
27、交换机关闭了哪些用户所不用的服务和远程操作命令?(50字以内)
关闭tftp服务 关闭http服务 关闭DNS服务
28、防火墙关闭了哪些用户所不用的服务和远程操作命令? (50字以内)
禁止外部网络Ping内部网络。禁止外部网络非法用户访问内部网络和DMZ区应用服务器。 禁止外部网络用户对内部网络HTTP、FTP、TELNET、TRACEROUTE、RLOGIN等端口访问。 禁止DMZ区的应用服务器访问内部网络。
29、当关键网络设备发生故障后是否有自动恢复运行的措施?
是 热备份,如双核心交换机,服务器双网卡等
30、当关键网络设备发生故障后是否有手工恢复运行的措施?
是 冷备份,如冷备份交换机
31、控制台是否提供了会话保护功能?
限制控制台会话时间。(见附录四)
建议回答:是
32、对非管理使用的网络工作站是否都禁用了软驱和光驱?
据实回答
建议:是
33、是否作到禁止其它部门网线私自接入交易服务器所在网段?
据实回答
建议:是
34、局域网是否采用了结构化综合布线?
是 我公司所做工程均为结构化综合布线。
35、是否对远程通信线路的接线端子定期进行维护检查?
是,周期是3个月
36、是否对本地通信线路定期进行维护?
是,周期是3个月
37、与交易所的通信线路是否有备份?
据实回答。
深圳行情备份:
1.单向与双向卫星通信互为备份;
2.伙伴备份;
3.拨号备份;
4.公司内部广域网备份。
深圳委托备份:
1.伙伴备份;
2.电话人工报盘。
上海行情备份:
1.深圳高速单向系统的上海行情备份;
2.单双向互为备份;
3.公司内部广域网备份;
上海委托备份:
1.拨号备份;
2.公司内部广域网备份;
3.电话人工报盘
38、与银行的通信线路是否有备份?
据实回答
建议:主线路采用DDN/ISDN,备用线路采用ISDN/PSTN拨号
39、与公网的通信通道是否有备份?
据实回答
41、对网络设备可能受到物理篡改或破坏有监视能力的软件和设备有哪些?(100字以内)
门禁系统、机柜上锁、在机房安装监控设备,防止物理上对设备的破坏。
42、在局域网中重要子网之间采用的技术隔离机制为:
建议(多选):VLAN(如果有)、路由器访问控制列表、中间件
43、营业部局域网与公司总部的对外接口处采用了哪些技术隔离机制?(50字以内)
据实回答
建议:路由端口访问列表
44、局域网与交易所的联接采用了哪些技术隔离机制?(50字以内)
采用双网卡,分别绑定不同的协议。一般情况下在卫星通信网段上使用IP或X.25协议,而在营业部内部网段绑定IPX协议,模拟为一个网关,从而隔离营业部网络和交易所的连接。
45、局域网与银行的联接采用了哪些技术隔离机制?(50字以内)
一般情况下,采用双网卡,根据各个营业部所使用的SQL设置情况不同,分别绑定不同或相同的协议。如果采用相同的协议,则关闭IP转发功能。在银行路由器端,对每个营业部只限制一个指定的电话号码拨入,并进行身份验证。
46、局域网与公网的联接采用了哪些技术隔离机制?(50字以内)
据实回答
建议:路由器地址转换(NAT)、防火墙、代理服务器(MS Proxy、Wingate、Winroute等)、Win2k远程访问控制等
47、与电话委托的连接端口采取了哪些防止非法进入及越权访问的防范措施?(50字以内)
为不同的用户设立相应的口令
48、与远程大户室的连接端口采取了哪些防止非法进入及越权访问的防范措施?(100字以内)
设置AAA认证,提供对拨入用户的验证-Authentication,授权-Authorization,和审计-Accounting。 简单配置的情况下,采用PPP协议进行Chap方式的身份验证,或限制拨入的电话号码,以及采用Callback特性。
49、内部办公接入的连接端口采取了哪些防止非法进入及越权访问的防范措施?(50字以内)
据实回答
建议:将办公网物理隔离。移动办公要求登录身份验证。
50、局域网与公司网站的联接端口采取了哪些防止非法进入及越权访问的防范措施?(50字以内)
据实回答
建议:防火墙。Or 路由器局域网端口设置访问列表。
51、是否提供了客户使用营业部内客户终端访问Internet服务?
据实回答。
52、针对客户使用营业部内客户终端访问Internet服务采取了哪些隔离的措施?
据实回答
建议:物理隔离,如果Internet和交易网在物理上连接,可采用VLAN技术在OSI第二层进行隔离。
53、针对客户使用营业部内客户终端访问Internet制定了哪些管理制度?(50字以内)
1. 使用有盘站管理,对客户端进行远程监控和维护,同时采用”瘦客户端”限制客户的应用。
2. 采用相应的程序,限制对一些站点的访问。
54、配备使用哪些网管工具监视和管理网络运行?(50字以内)
据实回答
Cisco公司的网络管理工具软件CiscoWorks 2000
55、对网络系统的实时监控措施有:
软件工具:Cisco公司的网络管理工具软件CiscoWorks 2000
56、对网络系统的实时监控措施是否正常启用?
据实回答
建议: 监控所有网络交换机和路由器的工作状态,监视关键端口的工作状态和流量
57、对网络系统的入侵检测措施有:
Cisco对应的解决方案使用的产品为Cisco IDS Sensor。
58、对网络系统的入侵检测措施是否正常启用?
是
59、对路由器、交换机、防火墙等重要网络设备的安全漏洞检测措施有:
Cisco对应的解决方案使用的产品为Cisco Secure Scanner.
60、对路由器、交换机、防火墙等重要网络设备是否定期进行安全漏洞检测?
是
61、路由器、交换机、防火墙等重要网络设备检测出的安全漏洞是否及时进行修补?
是
62、关键交换机的备份方式为:
双机热备份
63、关键路由器的备份方式为:
据实回答
建议:通常不做设备级备份,只进行线路备份
64、重要的工作站的备份方式为:
备份机
65、防火墙的备份方式为:
不备份
66、对网络是否有专项的书面技术事故应急计划?
是
1.如果服务器电源发生故障,因为服务器均配置了冗余电源,可自动使用备用电源保持服务器正常工作,应立刻联系集成商对电源进行更换、维修。
2.如果网卡损坏,因为服务器均配置了网卡冗余技术,可保证服务器正常通讯,应立刻联系集成商对网卡进行更换、维修。
3.如果服务器硬盘发生损坏,因为以配置为磁盘阵列,更换硬盘即可。
4.如果主服务器发生宕机,启动备用服务器接管主服务器的工作。
5.如果中心网络设备或模块发生故障,因为配置了热冗余技术,备用交换机可自动接管主交换机工作,应立刻联系集成商对中心网络设备进行更换、维修。
6.如果桌面交换机发生故障,应利用备件立刻更换。
7.如果重要工作站发生故障,应使用备用设备立刻更换。
67、对网络故障恢复和应急处理计划的演习频率为:
建议:每季
68、对网络故障恢复和应急处理过程是否有具体的记录?
是
附录1.
路由器的密码设置
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password password //设置EXEC模式密码
Router(config)# enable secret/password password //设置Priviledged模式密码:
交换机的密码设置
1. 对于IOS-BASED交换机:
Switch(config)#line console 0
Switch(config-line)#login
Switch(config-line)#password password //设置EXEC模式密码
Switch(config)#enable password level 1 password //设置EXEC模式的密码
Switch(config)#enable password level 15 password //设置Priveledged模式密码
或
Switch(config)# enable secret/password password //设置Priveleged模式密码
2. 对于CLI-BASED交换机:
Switch(enable)#set password //设置EXEC模式密码
Switch(enable)#set enablepass //设置Priveleged模式密码
附录2.
交换机身份鉴别失败的最高次数的设置(Catalyst4000、5000、6000系列)
set authentication enable attempt count [console | telnet]
//设置Telnet、Console登陆身份鉴别失败次数
附录3.
设置路由器的安全访问控制权限
Router(config)#privilege configure level 3 username
Router(config)#privilege configure level 3 copy run start
Router(config)#privilege configure level 3 ping
Router(config)#privilege configure level 3 show run
Router(config)#privilege configure level 3 show
Router(config)#enable secret level 3 cisco
附录4.
控制控制台会话时间
Router(config)# line console 0
Router(config-if) # exec-timeout 5 30
如何构造Internet网上证券营业部
一、 证券营业部计算机网络系统的现状
由于证券营业部计算机网络系统对可靠性要求远远超过银行、邮电行业对网络可靠性的要求,从而导致证券营业部计算机网络系统在采用新产品、新技术和新的解决方案方面一直处于落后的状态。券商在建设和改造网络系统时由于害怕出故障,导致全国的证券营业部在技术和产品上基本没有谁敢做出新的突破。目前证券营业部的技术的落后表现在以下几个方面:
1. 由于对交换机的VLAN技术,第三层交换技术和防火墙技术不清楚,证券营业部的局域网不敢连接到Internet,从而每个营业部的网络都是一个个封闭的信息孤岛,不能和外界交流信息。
2. 由于不明白桌面管理系统(如Novell 的Z.E.N.Works、微软的SMS 、Windows 2000的桌面管理、Windows 2000的Terminal Service)因此不敢将Win95、Win98、Windows 2000这些先进的桌面系统引入客户端,导致每个营业部都是用DOS 无盘工作站提供钱龙热自助这一单一枯燥的落后界面。券商计算机网络系统的落后是券商本身的观念和技术落后导致的。如果Win95、Win98、Windows 2000不能进入用户的客户端,要想提拱新的服务手段是根本不可能的。
3. 证券网络的可靠性远远高于银行、电信对网络的可靠性要求,而券商对服务器高可靠性和网络高可靠性方面的知识缺乏,投资力度不能把握,甚至没有服务器和网络容错的手段。
4. 证券业务的数据安全性没有充分的认识,很多营业部对于交易的NT服务器和行情的Novell 服务器没有备份手段,将容错技术和备份技术混为一谈。
5. 由于证券营业部电脑部经理一人要掌握Novell 、Microsoft 、CA 、Cisco等多家公司的产品,并且还要熟悉业务,导致每样产品只能知其然不知其所以然,再加上缺乏专业化的集成商,导致证券营业部的网络系统技术落后,产品配置不合理。
6. 由于对Internet 和Intranet的最新技术不了解,很多证券营业部连 E-mail, Print Server这样基本的网络服务都没有采用。
针对以上情况,结合诺威公司多年来在银行、电信、证券、政府、校园网方面积累的丰富经验,诺威公司推出新一代证券营业部计算机网络系统的建设方案。
二、诺威公司Internet网上证券营业部建设方案
可靠、安全、高效和可管理是诺威公司围绕证券营业部网络建设的宗旨。我们的解决方案分为网络高可靠性解决方案、服务器高可靠性解决方案、数据备份解决方案、Intranet 和Internet接入方案四大部份。
1. 网络高可靠性解决方案
千兆做骨干,百兆到桌面已是证券营业部网络新的技术趋式。诺威公司推出的网络容错的思想已成为北京地区建设和改造券商网络的标准。
构造证券高可靠性网络的核心交换机可采用两台Cisco Catalyst 4006交换机,在Catalyst 4006交换机上配置一块6口的千兆网模块(WS-X4306-GB)和一块48口10/100M自适应的WS-X4148-RJ模块。二层交换机选用2台Catalyst 2948G和若干台Catalyst 2924交换机。
两台Catalyst 4006之间通过2个千兆口以GEC方式相连,前台行情服务器的千兆网卡采用Intel Pro1000网卡用AFT技术连接到核心的两台Catalyst 4006 交换机。二层的Catalyst 2948G以千兆口分别连接到核心Catalyst 4006交换机,二层的Catalyst 2924交换机以100M分别连接到核心的Catalyst 4006上的WS-X4148-RJ的百兆以太网接口。在二层交换机上配置Uplink-Fast ,保证核心的主交换机出故障时,二层交换机1秒之内切换到另一台Catalyst 4006交换机。工作站与服务器的通讯不中断,实现了网络的热备份。
为了保证工作站和服务器与网络的快速连接,交换机上对应的端口配置成Port Fast方式。
后台网络采用2台Catalyst 2948G交换机。2台Catalyst2948G之间用4个100M端口以全双工FEC方式相连提供800M的带宽。后台行情服务器用千兆网卡以AFT方式连接到两台Catalyst 2948G的千兆口。后台备用行情服务器用百兆网卡以NFT方式连接到两台Catalyst 2948G的百兆口。后台交易服务器与2台Catalyst 2948G的联接方法与行情服务器的连接方式一样。
前台网络与后台网络之间通过中间件相连。所谓中间件就是运行Windows NT Server的高档PC或服务器,在中间件上安装2块百兆网卡实现前台网络与后台网络的联接。提供给股民的前台PC机对交易服务器的访问通过中间件来实现。
下图为北京诺威公司为北京国际信托投资公司亚运村营业部实现的三分离的网络拓扑图。
对网络上的交换机的管理采用CiscoWorks 2000来实现。
2、服务器高可靠性解决方案:
证券营业部的服务器分行情服务器和交易服务器。行情服务器运行NetWare 4.11,交易服务器运行Windows NT Server。
服务器是证券网络系统的核心,因此选择高可靠和高性能的服务器是券商系统运行可靠的根本保证。诺威公司推荐给券商的服务器是Compaq Proliant 8000。
Compaq ProLiant 8000 具有超凡的可扩展性,支持8个Intel Pentium Ⅲ Xeon 处理器,16GB的SDRAM、11个PCI扩展槽以及380GB的内部硬盘存储容量。新一代的SCSI磁盘阵列控制器4250ES可以支持Wide Ultra 2 SCSI Hot-Plug 硬盘。
① 交易服务器容错建议采用Windows NT Cluster解决方案
交易服务器的容错诺威建议采用两台Compaq ProLiant 8000服务器,通过Compaq 光纤通道存储技术访问共享的外部磁盘阵列柜(RAID 4100),在服务器上安装Windows NT Server Enterprise Edition版本及SQL Server 6.5 Enterprise Edition版本。
为了防止光纤通道的单点故障,我们采用双光纤通道控制卡、双HUB和双光 纤控制器的F200配置方式。利用Microsoft Cluster Server 集群软件,保证当任意一台服务器出故障时,另一台服务器可以接替出故障服务器的所有业务。该容错方案诺威公司已在光大证券北京樱花营业部投入成功使用。
② 行情服务器容错建议采用福州顶点计算机软件公司的NovMate2000。
由于证券营业部行情服务器的许多文件都是以 .dbf数据库形式提供给用户共享的,因此当服务器出故障时,往往导致该数据库的内容受损。采用Vinca 的Standby Server 和 Novell 的NHAS也不能解决这一问题。虽然SFT Ⅲ 可以解决这一问题,但工作站超过300台以上时服务器的CPU 利用率高达100% ,另外Novell在NetWare 5以后不开发SFT Ⅲ 技术,这样SFT Ⅲ目前在证券行业也不可取。
福州顶点公司的NovMate2000是高效率低负载的增量备份系统,灵活定制备份策略。它不会导致备份服务器上的数据库损坏。在目前行情服务器的备份手段里,是性价比不错的选择。
诺威公司建议采用高可靠性的Compaq ProLiant 8000 做行情服务器,采用双4250ES阵列卡,硬盘配置为Online Spare RAID 5,采用双CPU。通过顶点的NovMate 2000与另一台老服务器做热备份。诺威公司在北京证券福州证券营业部的工程就是采用Compaq ProLiant 8000 为主服务器,Compaq ProLiant 6000 服务器为备用服务器运行顶点的NovMate 2000实现行情服务器热备份。
3、 利用CA公司ARCserve IT 解决数据备份。
ARCserve IT是CA公司的一个跨平台的网络数据备份软件,在数据保护、系统恢复、病毒防护方面均提供全面的产品支持,目前在全球数据备份市场已成为业界的事实标准。
诺威公司针对证券营业部网络系统NetWare和NT并存的情况,推出以NT服务器为平台(将DAT磁带机安装在NT服务器)备份NT 和NetWare的方案。
在数据备份系统的设计中,我们主要针对资金服务器进行数据和系统备份(数据库系统、应用程序、其他数据等等);同时,通过Client Push Agent For NetWare,对行情服务器进行数据和系统备份(包括NDS树、用户信息等)。
ARCServeIT 6.61 For Windows NT Advanced Edition
进行数据备份,控制备份代理,调度备份进程,进行24小时的不中断在线数据备份,保护系统中的特定环境信息,同时,进行数据校验、与客户机进行并行数据处理。
Backup Agent For Open File For Windows NT 4.0
可以对对正在使用的文件进行备份操作,确保数据的完整性,作到与应用程序无关的在线数据备份。
Backup Agent For SQL Server 6.61
关系数据库的备份代理,通过不同的Backup Agent,对于那些联机数据库和信息系统提供了数据库表一级的追加式备份。
Disaster Recovery 6.61 For Windows NT
对于灾难性事故的恢复系统,能借助ARCServeIT的快速启动过程由一个新的硬盘快速简便的恢复整个系统。包括创建和格式化分区、恢复网络操作系统和所有关键性的配置。
Client Push Agent 6.61 For NetWare
使用Client Push Agent For NetWare把行情服务器作为在资金服务器上安装的ARCServeIT系统的客户机代理,同时,在行情服务器上安装Backup Agent For Open File,即可对行情服务器作到系统和数据备份。
Backup Agent For Open File For NetWare
可以对对正在使用的文件进行备份操作,确保数据的完整性,作到与应用程序无关的在线数据备份。
诺威公司在厦门证券北京营业部的备份方案时,就按本方案成功实施。
4.Intranet 及Internet接入方案
如果Win95/98/2000桌面系统不能进行证券营业部,那么营业部为投资者就不能提供服务创新的手段。如果证券营业部的网络不接入Internet,那么营业部为投资者提供的网络就是信息的孤岛。桌面管理和网络安全问题解决好后,证券营业部的网络就能为投资者提供浏览Internet,收发邮件、多媒体股评和视频点播等服务。
随着交易软件厂商支持三分离的软件成熟。证券营业部提供给股民的PC机就不能对交易服务器进行攻击。这样配备给股民的机器安装Win95/98/2000后就可以访问Internet。如果股民要用DOS下的钱龙软件,工作站启动时只需选服务器引导,这样就是一台传统的DOS无盘工作站。如果要上网就选本地引导。采用三分离后,诺威公司建议证券营业部就没有必要采用无盘工作站。这样营业部提供给股民的工作站支持Win95/98/2000后就可以转变为网上营业部(全面支持Internet技术),股民可以进行网上交易,访问Internet,获取图文并茂高带宽的多媒体信息。营业部在激烈的市场竞争中才有生命力。
由于前台和后台通过中间件相连,这样将前台网络连接到Internet之后,Internet上的用户不能对交易服务器进行攻击。营业部的网络分为内部办公自动化网络VLAN,财务网络VLAN,提供给股民服务的前台网络VLAN。为了实现不同VLAN之间安全高效的通讯,我们建议在营业部的网络上配置一台支持第三层交换的Catalyst2948G-L3来实现网络的第三层交换。当然也可以在Catalyst 4006上配置2块WS-X4232-L3实现更可靠的三层交换(利用HSRP技术)。
① Win95/98/2000的桌面管理
只有Win95/98/2000进入证券营业部的桌面操作系统,券商才能为投资者提供更新更好的服务。
由于用户并不是电脑专家,所以很容易进行一些误操作而删除必要的程序,造成工作站的死机。另外,如果营业部要给工作站安装新的软件,工作量大不说,也容易出错。
诺威公司建议采用Novell公司的Z.E.N..Works或微软公司的SMS来管理桌面系统。这些软件可以把工作站变成只能运行特定权限软件的瘦客户端,例如只能运行钱龙和IE等由管理人员指定的应用程序,有效的防止了股民对网络的破坏。另外,这些软件还具有强大的维护管理功能,简化了管理人员对工作站的管理工作: 自动的软件分发功能, 软件自动修复, 确定硬件配置,运程管理客户端。
另外一种方式就是采用Windows 2000 Terminal Server, 前端采用Windows 2000终端,这样也能为股民提供多媒体的终端。
② 构造证券营业部的Intranet
证券营业部的Intranet 上可以为员工和大户提供电子邮件、浏览Web、共享打印机等服务。电子邮件系统可采用Novell 的GroupWise或微软的Exchange Server。
在证券营业部的Intranet网上配置一个Cisco 2610 路由器,Cisco 2610 上配置一个8口的NM-8AM 或16口的NM-16AM解决员工或大户通过电话交换网访问证券营业部的Intranet。远程用户的身份认证,授权和计费通过CISCO Secure ACS来解决。Cisco 2610的配置WIC-1T或WIC-1B-ST通过专线和ISDN与证券公司总部相连接。
③ 利用Cisco IP/TV 为股民提供多媒体服务
视频点播基本是一种单向的服务,视频流是从网络上的视频服务器到客户端的单向传输。视频点播有三种应用环境:实时广播、定时播放、点播。
由于CISCO Catalyst 交换机支持IP Multicast 特性,这样一路DVD效果的视频流只占网络6Mbps的带宽,网络上所有站点只需要安装Cisco 的IP Viewer软件即可观看实时的股评直播。
Cisco IP/TV产品线由几个功能服务器组成:IP/TV 3411控制服务器、IP/TV 3422/3423广播服务器、IP/TV 3431档案服务器。
④ 证券营业部Intranet的建立及Internet的接入
证券公司的网络接入Internet的同时,所面临的最大的挑战是如何保护自己免受来自 Internet的攻击。在这方面,我们绝对信赖Cisco公司的解决方案,作为Internet百分之八十的路由设备的供应商,Cisco的PIX 500系列硬件防火墙产品更是始终保持全球安全产品的市场占有率第一。
Cisco Secure PIX Firewall是高速、专业的硬件防火墙,它给网络提供安全保护的同时,不会降低网络的性能。PIX防火墙安装于公司局域网和Internet访问路由器之间,能够同时支持250,000个连接。
本方案中,营业部的局域网作为”内部网”(Inside),其安全等级为100;Internet 作为”外部网”(Outside),其安全等级为0;公司的Web服务器、DNS服务器位于”非军事化区”(DMZ),其安全等级为50。
Cisco PIX Firewall的原则(缺省)是低优先级网络不能访问高优先级网络,但反过来可以访问,这样,保证内网的用户可以毫无阻碍地访问Internet,但从Internet上无法看到公司局域网上的任何服务器。
公司的内部网络使用10.X.X.X私有网络IP地址,访问外部网络时PIX提供地址转换的功能(NAT),通过有限的几个Internet IP地址,使公司全国各地的员工均能访问Internet。
值得注意的是,公司的Web服务器或邮件服务器与内部网络的其他服务器性质不同,它们必须要能被Internet用户访问,而且也要能被内部网的公司员工访问。使用其他厂商的软件防火墙是,这个问题很难处理。Cisco的解决方法简单合理,PIX防火墙能够提供多个局域网端口,可以连接多个不同的网段。除了Inside和Outside网段之外,其他网段均称为”非军事化区”(简称DMZ),它安全等级可以任意配置,并且能够提供使Internet用户能够访问进来的”管道”(Conduit)。
这样,Web服务器相当于公司对Internet的一个窗口,而重要的数据均放在内部网络 的数据库服务器上,这些服务器从Internet是无法访问的。
方案中另一个与Internet访问相关的产品是Cisco Cache Engine 505。Cisco Cache Engine 500 系列产品是网络集成的高速缓存解决方案,可以减少广域网带宽使用,最大限度地提高网络服务质量,提高现有网络的可伸缩性。Cisco 的网络高速缓存解决方案被设计成作为一个高速缓存系统运行,它结合了高速缓存意识的互联网设备,运行 Cisco IOS 软件业界领先的 Web 高速缓存通信协议 (WCCP) 以及网络集成的 Cache Engine 500 系列产品,该产品的管理和设计与网络产品相似,并能够适应网络的需要。
与其他的基于软件的Cache产品不同,Cisco Cache Engine 505完全融入到Cisco网 络整体解决方案中,它不必放置在Internet访问的出口上,即不必同路由器串联放置,所以不会降低访问的性能。
当Cisco 2610(Internet接入路由器)接收到一个HTTP的访问请求是,马上通过WCCP 协议将这个请求转发给Cache Engine 505,如果被申请的Web页面已经存在,那么Cache Engine 505会直接将该页面发送给申请者,大大提高Web页面的访问速度,减少出口带宽的占用率。这一过程对用户的浏览器来说完全透明,用户不会知道他所看到的Web页面是从本地的Cache中发送过来的。
三、结论
建造可靠、安全、高效、可管理的证券网络是用户和诺威公司的目标,选择一流厂商、跟踪先进技术、提供完美方案、实施专业服务是诺威的经营理念。证券营业部网络容错的思想是诺威公司第一家引入证券的。采用诺威公司推荐的支持Internet技术的证券营业部计算机网络系统的营业部将更加具有市场竞争力。按照诺威公司这一思想构造的营业部将全面支持Internet技术,平滑支持网上交易。Internet网上营业部是证券营业部的必然的发展趋势,网上交易的发展也不会冲击这一类型的营业部。因为只有在Internet网上营业部上才能提供高带宽、个性化的多媒体信息,并且股民之间还可以在营业部进行交流。股民在营业部和在其它场所都将使用统一的Internet界面,这样将增强对用户的凝聚力。
原文链接:http://www.51novell.com.cn/?p=8060