|
【PConline 解决方案】经济是一个国家发展的命脉行业,金融行业自然离不开银行业的飞速发展,近些年我国银行业的迅猛发展为我国的国民经济发展贡献了不可磨灭的巨大力量,同时,构建一个稳定安全的银行网络也成为了众多银行管理者的重头戏。 近日,在金融行业知名的一知名厂家迈普公司在民生银行的网络改造中提出了良好的建议以及优良的解决方案部署。 运营商选择 根据对不同运营商的3G网络覆盖情况(包括覆盖范围、信号质量等)的比较、评估,建议优选中国联通(WCDMA)、电信(CDMA2000)的3G网络,中国移动的TD-CDMA网络原则上仅做为研究使用,不推荐在生产网络中使用。各分行在实施中,需要结合各业务场景应用带宽真实需求,测试本地3G信号质量、带宽情况,根据带宽要求进行适当选择,必要时要求运营商提供必要的信号和最小带宽保障,以保证业务的正常开展。 应用场景隔离原则 考虑到不同应用场景的安全、管理要求不同,在实施时应按照不同的应用场景为每个应用场景申请相对应的域名,并要求运营商端对不同功能的SIM卡做严格的IMSI码和域名绑定,防止某应用场景的3G卡随意拨入其他的应用场景。 稳定性原则 原则上在一级分行3G接入区应首选采用双专线冗余、双LNS,同时实现VPN加密冗余。根据当地不同运营商3G资源覆盖、服务质量等状况,可选择双运营商或单一运营商。如果当地不同运营商3G资源比较均衡,可选择双运营商各单线路的接入形式实现。如果当地不同运营商3G资源差异较大,可选择单一运营商双线路或单线路接入实现,根据不同的接入方式灵活组网,保证网络的高可靠性;网点备份场景可不考虑双LNS备份。考虑到一级分行辖内3G接入的认证管理统一由一级分行AAA服务器完成,要求分行配置两台AAA服务器,当主AAA服务器意外宕机时,由备AAA服务器接管认证工作,实现认证的高可靠性。 移动银行应用具有移动性强的特点,在采用双运营商3G网络的情况下,移动终端场景下终端所使用的3G接入路由器可支持多种制式配置,从接入端实现热备切换。 安全原则 要求遵循统一的安全策略和信息安全保障体系架构基础上,充分利用运营商侧提供的安全保证机制,要求所有业务场景采用SM1国密办算法保证端到端数据传输安全。同时要求每个用户名对应一个IMSI码,便于安全管理与控制。 管理原则 一级分行3G网管区部署AAA、CA、3G网管服务器,对辖内3G接入网络进行统一的安全控制、集中管理。 要求遵循网络建设与IT运维管理规范,3G接入网建设必须考虑可管理性,采用集中监控、分级维护的方式,在一级分行实现集中监控,具体维护工作可由一、二级分行维护人员完成。 对3G接入网络实现对3G设备的地理位置的安全管控、短信的带外网管、IP地址、VPN隧道、自动配置、强制下线操作等有效管理。3G网络管理功能将随着应用和管理的逐步完善实现与现有分行网络监控管理系统集成,实现监控界面、事件的统一管理。 总体解决方案架构
在网络结构上,无线接入平台应充分满足可靠性和安全性要求。总分行无线接入平台的设备,主要由2台防火墙、2台接入交换机、2台LNS路由器组成。防火墙用于无线接入平台与行内网络的隔离与访问控制;接入交换机用于防火墙与LNS路由器的互联,LNS路由器用于与运营商LAC路由器互联。支行使用独立3G路由器或在现有支行上联路由器上增加3G板卡实现无线备份功能,移动银行、离行自助应用则新增3G路由器将3G线路作为主链路来使用。 防火墙 网络接入平台防火墙应选用支持三层、主备模式的防火墙。两台防火墙间通过专用的心跳接口进行连接,用于心跳检测及连接状态信息同步。 两台防火墙内网口与两台核心交换机之间采用口字型互联;两台防火墙外网口与两台接入交换机间采用口字型互联。 防火墙应采用三层模式,以便实现NAT等操作。在防火墙上设置安全策略,限制3G接入终端可访问的内网资源,防止非法访问。 接入交换机 在防火墙和LNS路由器之间,配置两台中低端接入交换机,用于连接LNS路由器和防火墙。 两台接入交换机之间应通过两条链路通过逻辑捆绑的方式形成一条逻辑链路进行互联。 LNS路由器 为提高网络的可靠性,LNS路由器采用冗余方式部署。两台LNS之间通过以太网互联,和接入交换机之间呈完全口字型相连,有效保证当接入区交换机意外宕机时不影响数据通信。[返回频道首页] |
