银行3G网络建议方案.doc

1 西藏邮储银行西藏邮储银行 3g 网络建设建议方案网络建设建议方案 2 目录目录 第 1 章 概述 2 第 2 章 需求分析 3 2 1 需求分析 3 2 2 3g 接入方式的选择 4 第 3 章 3g 应用设计方案 6 3 1 vpdn 解决方案 6 3 2 3g 安全保障方案 8 第 4 章 设备及线路选型 11 4 1 汇聚端路由器设备选型 如果需要更安全的 sm1 国密办加密算法 单台设备配置 关键部 件冗余 11 4 2 离行 atm 临时网点 移动服务车 设备选型 2 套设备配置 11 4 3 营业网点 3g 路由器设备选型 单台设备配置 11 4 4 运营商线路选择 12 第 1 章 概述 长期以来 sdh atm ddn 等专线做为银行柜面网点 自助银行 离行式 atm 上门服务业务 接入的唯一选择 很好地保障了金融业务的开展 但是这几年银行以下几点的变化 使得传统 的专线存在一些不足 近年来银行部署了大量的离行式 atm 机 查询机 自助银行 让客户体验到无处不在 3 的便利服务 但是这些网点分散在大街小巷 商场社区 海岛 油田 电力 军队系统 中 外部专线难以进入 影响布放点的选择和业务开展 银行为 vip 客户提供上门办理业务的服务 需要移动网点 银行在学校 企业 大型会 议提供的临时服务 需要临时网点 这两种需求都有一个共同的特点 机动灵活 但 专线开通的周期长 机动灵活性不足 集约化已经成为银行经营管理的主旋律 银行更加关注成本及收益 大量的柜面网点 由于重要性高 都要求采用双线路保证更高的可靠性 采用双专线线路备份成本高 尤其是备份线路 只在主线路故障时才启用 长期闲置 投资利用率低 2009 年 1 月份国家工业与信息化部正式向移动 电信 联通三家运营商分别颁发了 td scdma cdma2000 wcdma 三张牌照 3g 开始正式拉开序幕 通过 3g 用户可以实现无线宽带 接入 在速度方面和 2 5g 相比有质的飞越 这使得 3g 在更多企业通讯场合中替代有线成为了 可能 目前三种 3g 的理论速率如下 中国联通 wcdma 下行 7 2m 上行 5 76m 中国移动 td scdma 下行 2m 上行 384k 中国电信 wcdma2000 下行 3 1m 上行 1 8m 经过一年多的发展 3g 无线信号已经覆盖了众多的城市 并且运营商仍不断在扩大覆盖 的范围 优化信号质量 3g 的飞速发展 银行通过无线技术解决目前有线专线存在的问题成为可能 第 2 章 需求分析 2 1 需求分析 可采用 3g 线路方式接入的场景主要包括离行式 atm 接入 柜面业务延伸及外派终端业务 网点线路的备份 移动办公的接入 这对 3g 网络的接入有如下需求 3g 的接入速率能基本满足几种接入方式对上下行带宽的要求 保证线路的安全性 包括 3g 无线端到基站连接的安全 运营商到银行中心端的安全 4 保证数据的安全性 采用可靠的加密算法 离行式 atm 外派终端等应用设备部署的方便性 3g 做备份线路时可灵活的实现主备的切换 与主流厂商的协议兼容性 2 2 3g 接入方式的选择 3g 用于企业数据通讯的业务可以归结为两种 一种是普通互联网业务 一种是无线 vpdn 业务 或无线专线 相对应就有两种解决方案 1 自建 vpn 2 运营商 vpdn 第一种 通过互联网自建 vpn 的方案 网点路由器通过 3g 拨到普通互联网 总部出口架 设一条直通互联网的专线 且分配公有地址 网点和总部的路由器之间直接建立 ipsec vpn 加密隧道 由于有些运营商为 3g 分配私有地址 运营商内部要经过 nat 所以需要 采用 ipsec vpn 穿越 nat 的机制 5 第二种 利用运营商提供的 vpdn 方案 网点路由器通过 3g 拨号至运营商的 lac 设备 然后 lac 设备通过专线和总部出口的路由器 即 lns 建立 l2tp vpn 隧道 然后网点路 由器再与总部路由器 在 l2tp 基础之上建立 ipsec vpn 加密隧道 运营商可以通过策略 使网点 3g sim 卡 只开通 vpdn 服务 禁止互联网服务 这样即保证安全又可以防止员 工非法使用 运营商和总部之间可以采用专线 城域网 vpn 等线路 针对银行一般采用 sdh mstp 等专线更加安全 两种方案优劣势的分析对比如下 第一种方案网点 3g 和总部出口链路都连接普通互联网 成本较低 但安全性较差 网点 的 3g 和总部的链路不一定是同一家运营商 组网灵活性好 因此 适用于移动办公等应 用场合 第二种方案网点的 3g 只能拨到总部 总部采用专线 两端都和互联网隔离 安全性高 成本较高 网点的 3g 必须和总部的专线隶属同一家运营商 灵活性较差 因此适用于生 产环境下的应用场合 对于银行的业务应用模式 安全性可靠性是首要考虑的内容 目前所有已经和准备开通 3g 数据业务的银行几乎都选用 vpdn 方案来进行 3g 接入网络的部署 6 第 3 章 3g 应用设计方案 3 1 vpdn 解决方案 如上图所示 网点采用路由器 3g modem 运营商需要有 lac 及配套的 aaa 服务器 总部 需要准备一台路由器 lns 一条专线 一台 aaa 服务器 aaa 服务器负责对 3g 用户进行认 证并向 lac 下发该用户对应的 lns 信息 lac 负责与 lns 建立隧道 网点路由器的 ip 地址 可以静态指定也可以由 aaa 服务器分配 注 中国移动 vpdn 的 3g 用户地址空间不能随意分配 须按照移动的统一规划 使用地址空间 解决方案建议网点端采用静态 ip 地址 lns 端路由 器必须采用静态 ip 地址 锐捷 rsr10 20 可以直接扩展内置的 3g 卡 满足柜面网点 临时网点 上门服务车等环境 中应用需求 为了增强安全性 rsr10 20 可以扩展国密办的加密算法卡 这样在涉及到现金生 产交易业务的环境中 如离行式 atm 柜面网点 可以保证生产业务安全 同时 为满足离行 式 atm 机 上门服务车等应用场合 锐捷定制了 rsr10 的小尺寸机箱路由器 其重量只有 1kg 轻便易于携带 而且可以轻松地放入自助机具中 不需专门的机柜 部署方便 同时 7 整个解决方案还可以兼容柜面业务延伸应用 在柜面业务延伸应用中柜员只携带一台笔记本电 脑或终端上门服务 只需要普通的 usb 3g 卡采用操作系统自带的 ipsec vpn 客户端拨号 锐捷的 lns 路由器 rsr30 50 同样可以兼容这种模式 工作原理如下 工作原理如下 8 运营商 aaa 服务器中配置用户 imsi 信息 imsi 是在运营商网络中唯一识别一个移动用户 的号码 由 15 位数字组成 存于 sim 卡中 终端用户的账号和密码 对应 lns 地址 vpdn 隧道属性 总部 aaa 服务器主要存放网点路由器建立连接时所需要的用户名和密码 用户名的 格式为 xx xx com cn 其中 前面的字符串可以由用户端自行定义 后面的字符串即域名 必须由运营商分配 运营商 aaa 服务器通过域名 确认该用户的权限 运营商 aaa 服务器与总 部 aaa 服务器的用户名和密码必须一致 以下是主要的报文交互过程 1 网点路由器 3g modem 通过无线信号找到运营商基站并注册连接 对 sim 卡认证 并协商双方加密密钥 2 路由器启动 ppp 拨号向 lac 发出认证请求 3 lac 把认证请求转至运营商 lac aaa 服务器 4 aaa 服务器将会回复认证结果并返回该用户所属的 lns 地址 vpdn 隧道属性等信息 5 lac 向返回的 lns 地址发出 l2tp 隧道建立请求 隧道建立成功 请求建立隧道的认 证可选 6 lns 对网点路由器的用户名和密码进行重新认证 lns 对网点路由器的重认证可选 7 l2tp 隧道建立完成 网点路由器对应的拨号接口 up 8 如果网点发起了能够触发 ipsec vpn 的流量 则 ipsec vpn 隧道建立过程启动 网 点路由器与 lns 发起 ipsec vpn 连接请求 3 2 3g 安全保障方案 安全措施 主要有以下几个方面 9 1 无线加密 网点路由器 3g modem 通过信号找到基站后 有一个注册的过程 在这个过程 中运营商侧需要对接入的 3g sim 卡身份通过密钥机制进行确认 这个过程也称为鉴权 在身份确认的过程中 双方还会协商用于通讯加密的密钥 并在通信过程中采用该密钥 对数据和话音进行加密 以避免被监听 同时在对数据加密完成之后 还会附加上校验 码 对方在收到之后会重新计算和核对校验码是否正确 以此判断信息是否在无线传输 过程中被篡改 2 访问控制 访问控制分成三部分 1 针对企业外部用户的访问控制 2 针对企业内部 用户的访问控制 3 针对互联网服务的访问控制 针对第一点 运营商 aaa 服务器上可 以绑定账号和 sim 卡中的 imsi 标识号 由于不同的 sim 卡 imsi 标识号不同 所以企业 外部用户不可以使用非指定的卡拨进企业中 针对第二点 在企业总部的 lns aaa 服务 器上 可以将账户信息与 imsi 号绑定 这样可以防止企业内部用户之间互相盗用账号 导致定位和追溯的麻烦 针对第三点 运营商在开 sim 卡时 同时也设置了 sim 卡的访 问权限 对于 vpdn 企业用户 关闭互联网服务 这样就不用担心与互联网耦合度过高而 引入安全隐患 3 数据加密 主要针对上层数据层面 无线物理层面主要是运营商 3g 本身提供的加密服务 只针对无线信号的部分 从 lac 到 lns 之间虽然有 l2tp 隧道 但是该隧道并不加密 还 10 是明文传送 且 lac 到专线网中间还有可能经过安全度相对较低的网络 所以在网点和 lns 路由器之间 采用 ipsec vpn 实现数据层面的端到端加密 ipsec vpn 同样采用密钥 的机制 提供身份认证 数据保密和完整性的服务 11 第 4 章 设备及线路选型 4 1 汇聚端路由器设备选型 如果需要更安全的 sm1 国密办加密算 法 单台设备配置 关键部件冗余 汇聚路由器汇聚路由器 rg rsr7708 rsr7708 主机箱 双路由引擎插槽 4 个业务载板插槽 8 个 业务子卡插槽 带风扇盘 防尘网 路由引擎 业务载板及 子卡 电源需要另外购买 支持热拔插 1 rsr7708 srcmi rsr7708 路由引擎 固化 1 个 10m 100m 1000m 口 2 个 usb 2 0 口 1 个 sd 卡插槽 1 个 console 1 个 aux 2g 内存 512m flash 2 rg pa300i交流电源模块 可以冗余 300w 配 10a 电源线 3 dnme 8e1 ce18 端口 e1 ce1 接口模块1 rsr77 sip2 nme 业务接口卡载板 2g 内存 2 个千兆光电复用接口 2 个 nme 业务接口卡插槽 支持 2 个 nme 或 1 个 dnme 业务 卡 1 dnme sec国密局 sm1 加密模块1 cab e1 unbalanced db25m 8 bnc 75 ohm 3m 4e1 ce1 和 8e1 ce1 模块上用的非平衡电缆 每根线缆连接 4 个 e1 接口 在 8e1 ce1 上需要配 2 根该线缆 2 4 2 离行 atm 临时网点 移动服务车 设备选型 2 套设备配置 路由器路由器 rsr10 02rsr10 02 主机 包括 2 个 fe 口 1 个 console 口 2 个 sic 模块插 槽 小机箱无风扇设计 2 sic sec网络数据加密 sic 接口模块 支持国密办加密 2 sic 3g tdtd scdma 制式 3g 无线广域网模块0 sic 3g wcdmawcdma 制式 3g 无线广域网模块0 sic 3g cdmacdma2000 制式 3g 无线广域网模块2 12 4 3 营业网点 3g 路由器设备选型 单台设备配置 路由交换一体机路由交换一体机 rsr20 14e rsr20 14e 主机 包括 2 个 ge 口 光电复用 支持 100m 和 1000m 光 1 个 console 口 1 个 aux 口 1 个 usb 口 1 个 sd 卡插槽 4 个 sic 模块插槽 固化 24 个交换端口 512m 内存 1 sic 1e1 f1 端口非通道化 e1 f 接口模块1 cab e1 unbalanced db9m 2 bnc 75 ohm 3m e1 非平衡电缆 db9m 连 bnc 21 sic sec网络数据加密 sic 接口模块 支持国密办加密 1 sic 3g tdtd scdma 制式 3g 无线广域网模块0 sic 3g wcdmawcdma 制式 3g 无线广域网模块0 sic 3g cdmacdma2000 制式 3g 无线广域网模块1 4 4 运营商线路选