農(nóng)村商業(yè)銀行基于3G—VPDN的備份網(wǎng)絡(luò)的實現(xiàn)

摘 要：為了滿足農(nóng)村合作金融業(yè)務(wù)服務(wù)的連續(xù)性、安全性和實效性的綜合需求，也為了保證農(nóng)村合作金融各個營業(yè)網(wǎng)點及離行式ATM網(wǎng)點通信傳輸通道時刻暢通和安全、穩(wěn)定地運行，結(jié)合農(nóng)村商業(yè)銀行網(wǎng)點的分布的實際情況，為克服有線通信網(wǎng)絡(luò)容易受路政、市政等工程影響的不利因素，本方案提出了有關(guān)利用3G網(wǎng)絡(luò)來實現(xiàn)轄區(qū)內(nèi)地面通信線路的思路方向，詳細(xì)做了工程模塊設(shè)計、網(wǎng)絡(luò)拓補、3G路由器選型與配置，并且在實際工程施工中，營業(yè)網(wǎng)點無線3G網(wǎng)絡(luò)成功接入及省聯(lián)社科技中心，實現(xiàn)了最初的設(shè)計目標(biāo)，得到基于3G無線VPN網(wǎng)絡(luò)完全可以作為全轄金融網(wǎng)點有線通信傳輸通道備份的結(jié)論，為提升農(nóng)村商業(yè)銀行金融網(wǎng)點業(yè)務(wù)運行的連續(xù)性提供了保障。并使移動式金融服務(wù)業(yè)務(wù)柜臺成為可能。

關(guān)鍵詞：3G；農(nóng)村合作金融；VPDN；MSTP

中圖分類號：F832.35

近年來，農(nóng)村商業(yè)銀行正大量興建離行式自助銀行服務(wù)區(qū)和社區(qū)銀行。因此對金融業(yè)務(wù)服務(wù)的連續(xù)性和安全性都提出了更高的要求。為保障業(yè)務(wù)需求能得到有力的支撐，滿足越來越多的大數(shù)據(jù)量傳輸?shù)臉I(yè)務(wù)需要，采用3G網(wǎng)絡(luò)來實現(xiàn)省內(nèi)備份通信線路成為網(wǎng)絡(luò)改造的一個思路。

1 農(nóng)村合作金融網(wǎng)絡(luò)的現(xiàn)狀

之前的農(nóng)村合作金融網(wǎng)絡(luò)通信系統(tǒng)用至今日，已不能滿足業(yè)務(wù)發(fā)展需求。尤其是新的業(yè)務(wù)系統(tǒng)上線之后，圖像、音頻和視頻數(shù)據(jù)傳輸使得數(shù)據(jù)傳輸量驟然增加，這使得傳輸鏈路帶寬面臨空前壓力。另一方面，近幾年各地市政工程施工，光纜常被挖斷，造成網(wǎng)點營業(yè)停止。因此有必要建設(shè)一套穩(wěn)定的基于3G無線備份通信線路，確保營業(yè)網(wǎng)點服務(wù)的連續(xù)性，為客戶提供安全穩(wěn)定的金融服務(wù)。

2 技術(shù)簡介

2.1 VPDN（Viaual Private Dial-up Network）

又稱虛擬專用撥號網(wǎng)絡(luò)，其本質(zhì)是VPN業(yè)務(wù)的一種，它采用點到點隧道協(xié)議（PPTP）撥號的方式接入網(wǎng)絡(luò)，用L2TP協(xié)議建立安全鏈路隧道，從而安全穩(wěn)定地傳輸數(shù)據(jù)，并采用安全協(xié)議對數(shù)據(jù)進(jìn)行封包和加密。它是利用IP網(wǎng)絡(luò)的承載功能結(jié)合相應(yīng)的認(rèn)證和授權(quán)機制建立起來的安全的VPN。

2.2 3G（the 3rd Generation）技術(shù)

指第三代移動通信技術(shù)，3G更是移動多媒體通信系統(tǒng)，提供包括語音、傳真、數(shù)據(jù)、多媒體娛樂和全球無縫漫游等，3G技術(shù)能夠同時傳送聲音（通話）及數(shù)據(jù)信息（電子郵件、即時通信等），其特點是提供高速數(shù)據(jù)業(yè)務(wù)，完全可以滿足實際業(yè)務(wù)需要。

3 系統(tǒng)架構(gòu)的設(shè)計與實現(xiàn)

3.1 主干網(wǎng)絡(luò)

3.1.1 網(wǎng)絡(luò)節(jié)點分類和鏈路類型。省聯(lián)社網(wǎng)絡(luò)中心，這是整個網(wǎng)絡(luò)的核心節(jié)點；地市分中心；市（縣）行社匯聚中心；營業(yè)網(wǎng)點既是MSTP樹狀網(wǎng)絡(luò)結(jié)構(gòu)中最底層的葉子節(jié)點，也是3G無線VPDN星型網(wǎng)絡(luò)結(jié)構(gòu)中眾多的外圍節(jié)點。各級節(jié)點之間的有線數(shù)據(jù)傳輸鏈路均為MSTP數(shù)據(jù)專線，根據(jù)不同需求，傳輸帶寬不用；營業(yè)網(wǎng)點至省聯(lián)社網(wǎng)絡(luò)中心的備用數(shù)據(jù)通信鏈路為3G-VPDN線路。

3.1.2 網(wǎng)絡(luò)拓補圖。網(wǎng)絡(luò)結(jié)構(gòu)大致可分為主用網(wǎng)絡(luò)和備用網(wǎng)絡(luò)兩部分。

3.2 備用3G-VPDN網(wǎng)絡(luò)架構(gòu)設(shè)計

3.2.1 設(shè)備選型。網(wǎng)點路由器：H3C MSR2011（支持USB口的3G上網(wǎng)卡）；省中心至運營商接入路由器：H3C SR6604；接入?yún)^(qū)域交換：H3C S5500；防火墻：H3C F1000。

3.2.2 設(shè)計規(guī)劃。備份網(wǎng)絡(luò)用三個運營商并行接入的模式，以使3G信號能覆蓋至所有網(wǎng)點。大致可以分為“接入網(wǎng)絡(luò)區(qū)域”和“身份驗證區(qū)域”。網(wǎng)點路由器MSR2011通過3G撥入省中心的接入網(wǎng)絡(luò)，經(jīng)身份驗證后，建立指定的L2TP隧道，連入內(nèi)網(wǎng)。

3G接入?yún)^(qū)由兩臺F1000E和三臺接SR6604組成。三臺SR6604作為LNS端和運營商側(cè)的LAC端建立L2TP隧道，同時負(fù)責(zé)和各個網(wǎng)點（或離行ATM、移動服務(wù)終端）的3G路由器建立L2TP會話；兩臺F1000E作為3G業(yè)務(wù)IPSEC通道的終點，和各個網(wǎng)點用戶的MSR2011之間建立IPSEC通道。3G接入?yún)^(qū)兩臺F1000E和核心交換區(qū)的兩臺核心交換機之間口子型相連。各臺接入路由器與主F1000E均進(jìn)行連接。

每一個運營商對應(yīng)一臺SR6604，和對應(yīng)運營商的LAC設(shè)備建立一對一的L2TP隧道，并和通過該運營商接入的3G路由器之間建立L2TP會話。

主F1000E分別和各個3G路由器之間建立IPSEC通道，對于每個3G路由器和兩個F1000E虛擬出的VRRP地址建立IPSEC通道，兩臺設(shè)備互為備份。

3.2.3 技術(shù)方案重點。（1）3G接入?yún)^(qū)為3臺SR6604和2臺F1000之間屬于同一個廣播域中。其中每臺SR6604上行2條鏈路通過3層聚合連接到2臺S5500。為防止在兩臺S5500上出現(xiàn)MAC地址漂移的現(xiàn)象，不能簡單地將S5500只作為2層交換機，上行連接到F1000，下行連接到SR6604，2臺S5500通過2層聚合互聯(lián)，而應(yīng)該把兩臺S5500通過IRF2進(jìn)行堆疊，同時把S5500上和SR6604相連的兩個端口進(jìn)行跨設(shè)備聚合。然后在兩臺2臺S7506中，通過OAA把流量引到IPS板卡上，通過路由模式把流量引到防火墻插卡上；（2）訪問控制。Console采用本地認(rèn)證，VTY采用本地認(rèn)證，并給VTY配置入方向的ACL，所有會話設(shè)置超時時間；在設(shè)備本地配置的密碼信息應(yīng)該設(shè)置為cipher格式，避免以明文的形式出現(xiàn)；關(guān)閉非必須服務(wù)，如http、ftp等，保留telnet、ntp、snmp等服務(wù)；設(shè)置日志主機，啟用info-center，記錄設(shè)備運行過程中產(chǎn)生的關(guān)鍵日志信息；部署NTP協(xié)議；遠(yuǎn)程登錄均采用ssh訪問登錄。

4 結(jié)束語

通過上述設(shè)計和配置，網(wǎng)點路由器在有線網(wǎng)中斷后，短時間內(nèi)啟用3G-VPDN線路，并順利通過安全驗證，實現(xiàn)對省中心的實時訪問。基本實現(xiàn)了設(shè)計目標(biāo)。此方案亦可以作為擴展移動終端業(yè)務(wù)和離行式自助銀行服務(wù)項目的可選方案。

參考文獻(xiàn)：

[1]聶恩旺，董保華.基于3G無線VPDN網(wǎng)絡(luò)備份通信線路的實現(xiàn)[J].現(xiàn)代電子技術(shù)，2012（23）：49-51.

[2]丁琳娜，張鳳登.虛擬專用網(wǎng)（VPN）及其隧道技術(shù)研究[J].電腦知識與技術(shù)，2009（03）：2072-2073.

[3]羅建平.淺析VPDN技術(shù)[J].中國數(shù)據(jù)通信，2003（12）：27-30.

[4]黃曦.虛擬專用網(wǎng)VPN各種技術(shù)的實現(xiàn)機制與應(yīng)用分析[J].信息通信，2013（04）：76.

[5]張銳.3G VPDN專網(wǎng)在無線電監(jiān)測網(wǎng)中的應(yīng)用探討[J].中國無線電，2011（08）：26-28.

[6]魏晶晶.基于VPN的全數(shù)字化遠(yuǎn)程視頻監(jiān)控系統(tǒng)的架構(gòu)與實現(xiàn)[J].電子世界，2012（08）：83-84.

作者單位：安徽理工大學(xué) 計算機科學(xué)與工程學(xué)院，安徽淮南 232001；淮南市郵政局信息技術(shù)中心，安徽淮南 232000