1、1ECDS 移交切换网络环境准备指引1、引言1.1 背景根据人民银行统一部署,电子商业汇票系统(以下简称为ECDS)将在 2017 年 10 月 1 日至 10 月 7 日整体移交切换至上海票据交易所。为确保 ECDS 整体移交切换工作有序进行,各ECDS 接入点应完成专线开通、专线带宽扩容、网络访问策略开通以及连通性验证等工作,做好 ECDS 系统的切换准备工作。1.2 编写目的本文档编写目的是指导 ECDS 接入点完成接入票交所网络的各项准备工作。1.3 范围本文档可供 ECDS 接入点作为接入上海票据交易所 ECDS 网络的参考依据。2、接入方式ECDS 接入点统一通过两家不同运营商提供
2、的两条网络专线接入上海票据交易所,确保 ECDS 生产网络的冗余性。2.1 专线类型2上海票据交易所可提供接入的广域网接口类型为 MSTP 线路,支持的运营商为中国电信、中国联通和中国移动。接入点应针对 MSTP 线路配置链路状态检测机制(SLA 或 NQA),实现广域网电路通断监测和路由切换,完成电路切换测试。为避免链路翻转引起路由不稳定,应配置链路状态检测延迟(track delay),连通性中断后延迟 6 秒切换,连通性恢复后延迟 180秒切回,以在线路中断时获得最佳的业务体验。2.2 带宽评估对于已接入票交所的 ECDS 接入点,应根据自身 ECDS 业务量对现有网络专线带宽进行评估,
3、合理规划性能容量并按需进行网络专线带宽扩容。对于尚未接入票交所的 ECDS 接入点,应向运营商申请足够的专线带宽。ECDS 系统参与者带宽评估参考标准如下:按每笔报文理论要求 10K 带宽估算,对于峰值期间每秒小于 200 条报文的系统参与者,建议带宽为 2M。对于每秒大于 200 条报文的系统参与者,根据峰值每秒 200 条报文所需 2M 带宽的标准进行推算。2.3 线路开通信息票交所 ECDS 的生产机房位于上海外高桥数据中心和上海嘉定数据中心,各 ECDS 接入点必须通过两条专线分别接入两个数据中心。3 外高桥线路接入地址:上海市浦东新区台南西路 80 号 6号楼 3 楼 嘉定线路接入地
4、址:上海市嘉定区汇旺东路 398 号 6 号楼 1 楼 单位名称:上海票据交易所 网络工程师联系方式:021-28989995 高子慧 端口类型:MSTP 汇聚口 光纤接口2.4 IP 地址规划ECDS 接入点与票交所互联所涉及的广域网 IP 地址、外联通信 IP 地址均由票交所统一分配,ECDS 接入点内部设备互联、局域网等 IP 地址保持不变。ECDS 接入点在连接票交所的网络专线上配置广域网互联 IP地址,实现与票交所的网络专线对接,并通过防火墙或路由器等网络设备实施 IP 地址转换,将本单位 ECDS MBFE 的 IP 地址转换为票交所分配的外联通信 IP 地址后访问票交所 ECDS
5、。接入票交所 ECDS 的相关 IP 地址分配已通过电子邮件发送至各 ECDS 接入点。3、网络策略配置3.1 专线接入配置4接入点应在连接票交所的网络专线上配置票交所分配的广域网 IP 地址,票交所侧的广域网 IP 地址为接入点侧-1。为保证双专线冗余的有效性,需配置链路状态检测机制(SLA/NQA),同时应配置切换延迟(down delay 6s/up delay 180s),以便在线路切换时获得最佳业务体验。以思科路由器配置为例,供参考:3.2 地址转换策略票交所 ECDS 对于接入点有严格的访问控制,各接入点必须使用票交所分配的外联通信 IP 地址接入票交所。通过路由器或防火墙等网络设
6、备对 MBFE 进行地址转换(NAT),将接入点 MBFE的内部 IP 地址一对一静态转换为票交所分配的外联通信 IP 地址,访问票交所 ECDS CCPC。以思科路由器配置为例,供参考:3.3 路由配置5票交所与所有接入点均通过静态路由进行网络对接,各接入点应开通至票交所 ECDS CCPC 的路由策略,同时通过静态路由的优先级指定线路主备关系。对于已接入中国票据交易系统的会员,访问票交所 ECDS 主备线路关系与访问中国票据交易系统的主备关系保持一致,对于新开通专线的 ECDS 接入点,应配置连接嘉定数据中心的专线为主用线路。以思科路由器配置为例,供参考:3.4 防火墙策略开通票交所 EC
7、DS 系统共有 4 个集中接入 CCPC 供接入点访问,各接入点应按照如下访问关系开通防火墙策略,对应关系见附件 4:ECDS 接入点和票交所 CCPC 对应关系表:源服务器名称源地址 目的服务器名称目的地址 服务 服务端口 备注接入点MBFE *票交所 ECDS应用服务器172.31.72.10X TCP 1418/1124124小时长连接票交所 ECDS应用服务器172.31.72.10X 接入点 MBFE * TCP 1417/1124124小时长连接以华为防火墙配置为例,供参考:64、网络验证步骤4.1 专线连通性验证验证接入点专线接入路由器上能够 ping 通票交所的专线地址,并使用
8、一定数量的 1500Byte 大包测试专线的质量。要求成功率为 100%,平均时延低于每千公里 50ms。4.2 端到端连通性验证验证接入点 ECDS MBFE 能够 ping 通票交所 ECDS CCPC,并使用 telnet 命令检查至票交所 ECDS 端到端的连通性。使用 MQ中间件的接入点检查至票交所 ECDS 的 TCP 1418 端口连通性;7使用 TLQ 中间件的接入点检查至票交所 ECDS 的 TCP 11241 端口连通性。下图为端到端连通性验证通过的回显结果,供参考:4.3 主备线路冗余性验证主用专线中断时,要求接入点的网络能够自动切换至备份线路,此时在接入点 ECDS MBFE 上验证能否访问票交所 ECDS 相关 TCP 端口。使用 MQ 中间件的接入点检查至票交所 ECDS 的TCP 1418 端口连通性;使用 TLQ 中间件的接入点检查至票交所ECDS 的 TCP 11241 端口连通性。在专线切换和回切时网络的中断时间应小于 6 秒。
