保证网上数据的实时传输和安全可靠是证券公司网络改造需要考虑的首要问题，QoS和策略路由是有效的解决办法。

　　华夏证券总公司网络改造的第二阶段从2002年3月到2002年5月，改造的重点放在北京地区的广域网。旧有的广域网主线路采用原北京电信的DDN，带宽只有128kbps，原来只承载办公自动化（Notes）和Internet流量，基本没有实时业务。但到2000年以后，B股、网上交易、实时监控、开放基金、集中财务等依赖广域网的业务相继上马，DDN线路很快成为瓶颈。

　　虽然公司已经决定申请网通的专线，为每个营业部增加一条2Mbps的SDH线路，但是当时网通的线路从申请到开通至少需要两个月的时间。如何保证这段时间内网上交易业务、B股交易和自营业务的畅通，是电脑中心面临的首要问题。通过比较，华夏证券最终选择北京路由天地网络技术服务有限公司承担这次网络改造。

　　通过在DDN线路上部署QoS（Quality of Service），有效地解决了这个问题。Cisco的QoS技术包括范围非常广泛，不同的技术适合不同的应用场合。路由天地公司经过研究和实际测试，最终选择Cisco CBWFQ作为主要策略，并结合CB-WRED（Class-Based Weighted Random Early Detection）技术，取得了理想的结果。例如在实施QoS之前，营业部到B股中心的响应时间达到300毫秒以上时，出现过丢包；而部署了CBWFQ之后，B股的响应时间下降到150毫秒以内，即使是在由于Internet下载和Notes复制造成严重网络拥塞的情况下，B股交易依然不受影响。

　　Cisco CBWFQ（Class-Based Weighted Fair Queueing基于流量分类的加权公平队列）是一种新的队列技术，与以前的WFQ、PQ、Custom Queueing等技术相比，CBWFQ的特点是能够根据自己的实际情况，自定义流量的分类以及每类流量的最低保证带宽。实际应用中，路由天地公司将流量分成三类：交易业务（包括自营、B股、开放基金、监控等）、办公自动化（主要是Notes和E-mail）以及Internet访问，并且为每类流量分配了不同的最低保证带宽，见图1。

　　图1 CBWFQ的带宽分配

　　需要注意的是，CBWFQ只在广域网端口拥塞时才发生作用。网络正常时，所有数据包被发送到端口的Transmit-Ring，然后直接输出。当网络发生拥塞时，突发的流量导致Transmit-Ring溢出，后续的数据包将被放到L3 Cache中等待（如图2所示），这时端口发生了拥塞。CBWFQ就是作用在L3 Cache中，它将到达L3 Cache的数据包排队，每类流量占一个队列，然后根据为每类流量分配的带宽，按比例送往物理端口。另外，CBWFQ不会造成带宽的浪费，比如为交易流量分配了40％的带宽，但平时交易流量并不是很大，那么剩余带宽将自动分配给其他流量。

　　QoS必须端到端地配置在所有的路由器上，只在某一两台路由器上使用QoS是没有意义的。考虑到比较复杂的广域网中，数据流量的传输往往要经过多台路由器，为了避免重复性的流量分类，路由天地公司在所有边界路由器上为进入广域网的流量打上标签（这个标签就是IP优先级）。由于IP优先级在数据包转发的过程中是不会丢掉的，所以，中途的路由器就不必再使用ACL来为流量分类，只要一看标签就知道这个数据包应当被放到哪个队列中。

　　通常CBWFQ能够解决大多数的网络拥塞，但在某些特殊情况下，仅仅靠CBWFQ依然不够。比如持续的拥塞会造成L3 Cache中的队列溢出（见图2），这将导致随后的数据包被丢弃。如果这种情况经常发生（配置了CBWFQ后，发现交易流量依然出现丢包），那么还需要配置WRED（Weighted Random Early Detection），优化队列的管理。

　　图2 CBWFQ队列技术的实现过程

　　WRED实际上是一种丢弃策略，不同于传统的尾部丢包（Tail-Drop），WRED能够在队列未满之前，就预先丢弃某些优先级较低的IP包，这样高优先级的数据包能够得到更多的缓存空间。CB-WRED能够很好地与CBWFQ结合，比如B股和监控的流量都属于交易类，在L3 Cache中，它们会被排在同一个队列中，如果我们为B股数据包分配更高的优先级，这样在网络发生严重拥塞时，监控业务的流量将被优先丢弃，从而能够减少、甚至消除B股业务的丢包。

　　2002年4月份以后，网通的SDH线路陆续到位，而原有的DDN线路也依然保留。由于经费的问题，营业部一端没有配置两台路由器，于是北京地区的广域网发展成图3所示的结构。

　　图3 北京地区广域网双运营商结构

　　目前，华夏证券北京总公司到每家北京的营业部，均有一条2 Mbps的SDH线路和一条128kbps的DDN线路，并且采用ISDN作为第三种备份手段，现在面临的问题是怎样才能将SDH和DDN两条线路同时利用起来，并且能够互相备份？

　　最终，路由天地公司采用了策略路由技术（Cisco Policy-Based Routing），将来自不同业务主机的IP包路由到不同的线路上——SDH线路承载交易业务、视频和OA，DDN线路承载Internet访问的流量，同时在两条线路上配置了QoS，保证关键业务的响应速度，特别是当其中一条线路发生故障的时候。

　　在总公司和上海分公司之间的2Mbps SDH专线和512kbps的DDN专线上也实施了策略路由技术。

　　在考虑广域网性能的同时，路由天地公司也十分重视网络的安全性和网管。在安全性方面，在总公司与广域网的接口处设置防火墙，在营业部端的路由器上打开访问控制列表ACL，并使用Cisco Secure ACS为拨号用户和针对网络设备的访问提供身份认证、授权和审计（AAA）。在网络管理方面，使用NTP（Network Time Protocol）技术统一了所有网络设备的时钟，并利用CiscoWorks2000网管软件监控关键设备和线路的运行情况，实现了针对设备故障的实时告警（Device Fault Manager,DFM），并且能够在开市期间跟踪关键业务主机的响应情况（Internetwork Performance Monitor,IPM）。

　　现在，华夏证券公司广域网上又开通了视频广播和视频会议应用。

　　通过改造，华夏证券总公司局域网以及广域网在可靠性、安全性、高效性、可扩展性和可管理性方面，已经满足了公司各项业务要求，为华夏证券股份有限公司各项业务拓展奠定了坚实基础。华夏证券电脑中心与北京路由天地网络技术服务有限公司在整个项目的规划、设计、实施、运维和优化过程中,互相配合、精益求精，从而保证这一大型复杂的项目成功完成。