3G安全接入解决方案

3G安全接入解决方案Contents建设热点问题解决方案简析场景建设分析先驱案例呈现流动业务vs有线接入困难

如何满足移动业务和移动办公的便捷和安全可管理的需求？如何满足各个部门建立的应急处突平台的部署中，移动平台的移动通信的应用需求？Page3业务发展VS有线覆盖不足Page4如何满足分布广泛的各个基层单位的接入要求如何克服地理条件和城市建筑的限制开通一个月，至少三个月起租，如何摆脱有线线路开通的漫长等待备份加固VS有线成本昂贵Page5专线接入方式，备份线路的资费统计如下：月租网点数量费用总计1000元100年资费总计：1200000（每网点单条2ME1线路），费用支出：分行日常运营费用。ADSL接入方式，备份线路的资费统计如下：年租单位数量费用总计

1680元

1000年资费总计：1680000（每单位单条2MADSL线路）利用有线线路的备份，每年将会有近百万元左右的投入备份线路利用率不高，投入和产出比例堪忧解决以上问题—3G解决方案覆盖广部署快低成本Page6Contents建设热点问题解决方案简析场景建设分析先驱案例呈现锐捷网络3G接入解决方案Page8AAA服务器SMP/ESSCA服务器运营商AAA运营商LACLNS+VPN网关RSR77RSR10-02ERSR10-01G3G网管平台SNC-3G

Manager移动业务3G接入自助机具接入RSR10-02ERSR10-01G有线专线备份RSR20系列RSR10-02EIPSecVPN隧道L2TP隧道3G-随地接入部署带宽速率：

WCDMAHSPA－下行7.2M，上行5.76M

WCDMAHSPA+

R7

-下行28M，上行5.76M

CDMA20001xEV-DORev.A－下行3.1M，上行1.8MTD-SCDMAHSDPA－下行2.8M，上行128K覆盖支持(截止到2010年6月)：联通：覆盖全国339个城市电信：覆盖全国500个城市移动：覆盖全国238个城市3G-随时接入部署有线专线开通业务大大加速合同审批资源确认现场施工…耗时15天以上三个月起租3GVPDNSIM卡到位路由器到位随时开通想搬就搬…再也不用等待3G-全方位容灾和移动能力Page11双3G卡切换2G/3G切换断线重连冗余LNS延长天线3G解决方案稳定性保证运营商快速响应保障+3G解决方案稳定性保证=全方位容灾3G-成本低廉Page12运营商名称计费方式费用总计备注中国联通集团一次性平台接入费5000元子用户包月功能费50元/月5000+50*100*12=65000适用于所有场景按流量计费：150/5G150/5G(超出流量0.1元/M)适用于灾备线路中国电信集团一次性平台接入费5000元子用户包月功能费80元5000+80*100*12=101000适用于所有场景专线接入方式，备份线路的资费统计如下：VPDN接入方式：月租网点数量费用总计1000元100年资费总计：1200000（每网点单条2ME1线路），费用支出：分行日常运营费用。使用3G线路，相较有线专线，节省费用成本90%以上。3G-成本低廉Page13运营商名称计费方式费用总计备注中国联通集团一次性平台接入费5000元子用户包月功能费50元/月5000+50*1000*12=605000适用于所有场景按流量计费：150/5G150/5G(超出流量0.1元/M)适用于灾备线路中国电信集团一次性平台接入费5000元子用户包月功能费80元5000+80*1000*12=965000适用于所有场景ADSL接入方式，备份线路的资费统计如下：VPDN接入方式：年租单位数量费用总计

1680元

1000年资费总计：1680000（每单位单条2MADSL线路）使用3G线路，相比ADSL，节省费用成本至少45%以上。3G-安全可控Page141、账号，内部人员之间账号窜用/盗用；2、终端，业务终端或PC随意接入；访问权限安全1、外部卡，能否拨入；2、内部卡，访问外网，或者同时连着内网和外网；1、无线部分，无线信号被窃2、有线部分，有线数据被窃数据传输安全事后审计安全SIM卡IMSI号与域名绑定SIM卡访问权限绑定3G无线自身安全技术IPSECVPN加密通道SIM卡IMSI号与用户名绑定、CA数字证书IP与MAC绑定、应用层访问控制3G-方便管理Page15运营商VPDN管理3G设备/SIM卡管理VPN配置管理Contents建设热点问题解决方案简析场景建设分析先驱案例呈现2013年主题—优化3G以下的应用场景

流动银行业务设备便携？运营商信号不好？多个以太网终端？远程故障定位？内控合规压力？离行设备设备内置安装？内置机具后的远程维护？设备安全定位及移机上报？安保视频监控部署？改坐商为行商—身轻如燕还是手提肩扛？

业务人员如是说：我们实在不想把每次出来办业务都搞得像搬家；移动业务现场也代表银行形象，谁不想桌子上放的机具利索些RSR10-01G—小巧全能的3G路由器

RSR10-01G，超小机箱便携设计；支持移动终端场景；方便查看信号情况，可外接延长天线；内置国密算法，RSR10系列功能全部支持！配合RSR10-01G的移动银行桌面

流动业务随身携带：E动终端办业务；RSR10-01G连网络原来纸质材料才是重量级物品！RSR10-02E—让便携、信号和多终端同时满足

RSR10-02E，小机箱无风扇便携设计；2个SIC卡，支持双运营商3G接入，不愁信号覆盖；支持8个以太网终端的接入；512MBSDRAM，600Kpps业界同款最高性能转发平台；2个SIC模块插槽，支持各种广域网模块；RGOS支持H-QoS等全功能；IEEE802.1X和Web准入控制；国密认证及3G-MS-E卡的使用；国密认证—让流动银行合规内控不再成问题Page22证书齐全《国家商用密码生产定点单位证书》、《国家商用密码销售许可证》、《商用密码产品型号证书》全线路由器均通过国密办检测评定SJJ1120-ARSR50ESJJ1120-BRSR30SJJ1120-CRSR20-14ESJJ1120-DRSR20-14FSJJ1120-ERSR10

中华人民共和国国务院第273号令，1999年10月7日发布商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品；《中国金融移动支付标准》，中国人民银行，2012年12月发布要求在3G、Wifi等移动支付环境下，使用国密加密算法；全方位安全保证-RSR路由器国密算法体系类型算法名称用途对称密码算法128位SM1密码算法密钥协商数据加密保护、报文数据加密保护非对称密钥算法2048位RSA算法、256位SM2算法实体验证、数字签名、数字信封密码杂凑算法SHA-1算法、256位SM3密码算法数据摘要、会话密钥生成、完整性校验随机数生成算法国密局审批的硬件生成根据国家密码管理局2011年3月发布的最新升级要求非对称密钥算法按照国密要求，支持256位SM2算法；同时亦支持升级后的RSA算法（2048位）；RSR路由器已经完成国密算法的升级准备工作，待国密VPN规范升级后，可升级使用SM2、SM3算法；2013年主题—优化3G以下的应用场景

流动银行业务设备便携？运营商信号不好？多个以太网终端？远程故障定位？内控合规压力？离行设备设备内置安装？内置机具后的远程维护？设备安全定位及移机上报？安保视频监控部署？面对狭小空间，我们有两手准备

RSR10-02E满足视频监控，旁挂壁挂查询机等多终端接入需求RSR10-01G体积小巧，直流供电，巴掌大的空间即可内置一个真实的故事—离行ATM在哪里？离行ATM路由器升级维护；网络科只有设备所在门牌号；到达现场后，发现这个门牌号下的建筑真不少；电子银行部、网络科、设备厂商工程师三人分头找了20多分钟，终于在花园旁边寻获本台ATM短信精确定位—解决设备寻找和移机后的麻烦联通短信定位接口，网管平台上精确查询机具位置，精度50-200M；只要3G

SIM卡在线，即可进行查询，无关3G终端类型及状态；3GVPDN3G路由器LNS/VPNSNC-3G3G网管平台网管平台所属短信网关SNC所属定位服务器定位服务器所属短信网关中国联通定位信息接口服务器分行内部网络运营商VPDN网点侧网络Internet短信短信本地电子地图数据短信精确定位—解决设备寻找和移机后的麻烦实时了解设备移动位置，并可调取设备信息如信号、名称、状态等；实时了解设备故障信息，如信号变弱、运营商切换、异常下线，帮助一线排障；短信配置—解决远程和开箱之苦每次需要电子银行部参与、保卫部门报备、公安解除设防…….只因设备内置后，需要开箱进行维护操作；有些现场少跑为妙短信配置—解决远程和开箱之苦设备开通、配置下发、设备重启……所有的事情无需现场开箱配置，只需在SNC-3G

Manager上轻点鼠标即可完成；SNC与路由器短信交互采用加密方式，防止配置破解；3G视频传输加速—视频监控联网分行视频监控中心离行ATM视频监控类业务3G路由器3GVPDN联通WCDMA实际测试数据：最高可同时上传3路512Kbps码率的监控视频；（RSSI=-55dbm，空载时延80ms）独家实践—中国邮政储蓄银行离行ATM3G视频监控独家承担邮储银行全国近千台离行ATM视频监控网的3G联网建设；因运营商3G部署质量参差不齐，部分网点监控质量欠佳；RSR路由器启用3G线路质量优化功能后，3G线路能有效的承载符合总行要求的视频监控码流，图像质量和稳定性有了明显提升；2013年主题—做最好的3G解决方案

智慧3G畅行3G打造最佳的3G管理体验面向工作流的SNC设计短信等多种管理手段全面日志和报表管理安全3G可靠3G速度和规模不再限制业务3G线路质量优化4000路VPN承载能力联通HSPA+板卡TD-LTE率先跨越

安全可信的组网设计3G设备实时定位国密体系认证算法AAA和终端安全一体化高可用的3G部署3G线路质量智能监测3G/专线快速切换汇聚平台快速切换能力打造最佳的3G管理体验-3G设备零配置上线3G网管服务器CA服务器运营商短信基站上线打造最佳的3G管理体验-SIM卡费用管理3G网管资费欠费轻松完成余额查询；设置资费告警阀值，随时提醒业务部门为SIM卡缴费；速度和规模不再限制业务理想很丰满现实很骨感提速--为了我们的客户，为了他们的业务分行视频监控中心离行ATM分行业务处理中心移动营销业务视频监控类业务实时速率128K-512Kbps；时延丢包敏感；移动营销业务大量图文资料上传；传输速率直接决定业务效率；3G路由器3G路由器3GVPDN3GVPDN提速--业界独有3G线路质量优化功能终端-办理业务RSR3G路由器开启优化3GVPDN企业内网业务服务器加速后上传速率加速前上传速率RSR路由器业界独有3G线路质量优化功能；采用RSR路由器3G线路加速功能后，3G线路有效带宽提升2-4倍提速--TD-LTE业内优先支持3G承诺7Mbps实测<2Mbps时延高丢包率大……4G承诺100Mbps实测>20Mbps线路质量好……已完成TD-LTE验证板卡的开发，并在中国移动4G试点城市的实地测试；2013年6月可面向客户提供试点用设备；工信部向运营商发放4G牌照后，即可正式推出4G产品；提速--高性能汇聚平台无惧场景大容量终端接入RSR77的国密算法加密性能整机可达2Gbps！2013年内，VPN汇聚能力升级达到4000路，满足大型国有商业银行等大规模部署场景要求！主线路3G备份X10003G流动业务终端X800机具3G终端X1500以一个典型规模一级机构的辖内3G接入数量统计3300全方位安全保证-AAA和终端安全一体化实现3G路由器设备管理用户名密码绑定；IMSI/手机号绑定；固定IP地址的分配。全方位安全保证-AAA和终端安全一体化实现3G路由器设备管理认证时段管理；上网明细查询；流量报表。LNSA高可用容灾和移动-针对3G线路的可用保障措施LACAAA专线1AAALAC3G汇聚平台专线2ⅹⅹ离行ATM自助网点RG-RSR10-02E网点3G接入RG-RSR10-01G移动办公用户接入汇聚平台RSR77支持双主控引擎热备份切换支持主备LNS机制支持IPSecVPN多Peer机制单专线亦可采用VRRP机制接入平台RSR20/103G单卡/双卡主备BFD探测3G单卡/双卡主备TRACK探测3G单卡/双卡主备RSSI监控3G单卡多用户主备BFD探测3G单卡多用户主备TRACK探测组网产品一览Page44板卡SIC-SECNMX-SECH末端设备汇聚设备LNS路由器/VPN网关-RSR30RSR10-02ERSR10-01G/01G-E管理端软件RG-SNC-3G

Manager软件版本AAARG-SMPLNS路由器/VPN网关-RSR77RSR20-04E/14E/14FDNME-SECSIC-3GSIC-3G-ESIC-4G-TD-LTESIC-3G-H-E硬件化AAARG-ESSSIC-3G-MS-E技术应用模式-3G做固定场所主线路分支机构主线路接入电子政务网基层线路接入离行ATM临时专线接入企业网分支网点MPLSVPN网络对接VPDN与MPLSVPN的无缝对接技术应用模式-3G做移动业务主线路移动业务接入移动营销业务流动银行服务移动应急处突平台接入移动办公接入远程业务审批移动OA技术应用模式-3G做有线专线备份分支机构专线备份多级灾备中心LNS备份灾备中心双VPN网关备份分支机构双3G备份Contents建设热点问题解决方案简析场景建设分析先驱案例呈现XX银行分行移动业务3G应用案例Page49LNSALACAAACARG-SNC-PRORG-SMP-2.XAAA深圳分行网络中心1#网移动服务终端专线2AAALACLNSB分行局域网HA公共服务区3G安全接入区专线1采用LNS和IPSEC分离方式组网解决移动服务快速部署问题。L2TP+IPSEC(SM1)、内置双制式、终端截屏、数字证书长期保活机制采用RIP协议关键技术点：业务部门和信息科技部门反馈，目前已部署的移动服务终端，3G的高带宽、机动性强特性，每天交易量和以前相比大大增加。客户收益：移动终端服务应用场景（600台套设备）应用场景：XX银行分行自助查询设备3G应用案例Page50RSR30-44ACSCARG-SNCXX自助通MSTPMSTPAAALAC一级分行局域网服务器区新建3G接入区RG-S5750RG-S5750防火墙主防火墙备RG-RSR10-01G-WRG-RSR10-01G-WHA主备HA采用LNS和IPSEC分离方式组网解决移动服务快速部署问题。L2TP+IPSEC(SM1)、数字证书长期保活机制采用RIP协议关键技术点：分行采用的是包月流量的方式，50元/1G。据观察每个离行自助设备每月所需流量小于1G。因此，每网点年链路费用为600元左右。相较专线大大节省。客户收益：商场、集贸市场中银自助通（230台套设备）应用场景：XX集团网络扁平化建设3G应用案例Page51WINDOWS2003(CA)CN2电信/CDMA2000MSTPSDHLNS汇聚路由网点网点网点RG-RSR20-14RG-RSR20-14RG-RSR20-14主备L2TP总部集团公司进行全国扁平化，采用电信CN2线路，单专线、3G备份组网模式减少一根物理线路。L2TP+IPSEC采用反向路由注入的方式。关键点：使用设备：扁平化网点备份应用场景：3G链路作为备份，主线路正常时，只需要付月功能费即可，不产生流量，很好地解决了扁平化之后，链路资费增加的问题。Page52香港XX集团3G无线备份案例香港XX集团

3G无线备份网络中，总部采用2台30-44路由器，分支机构采用RSR10-02+3G模块70余套。客户收益：通过3G的部署，使该餐饮企业分支机构的部署更加快捷灵活，大大节约了分支专线接入的成本，并使网络具有较高的可延续性和整网的容灾备份能力。3GWaninternetISPISPRouterISPRouterRSR3044RSR3044RSR10-02RG-SNCServerMPLSVPNMPLSVPNBDatacenterBBranchesABranchesAHeadQuarterRSR3044ISPRouterISPRouterISPRouter福建省某局3G应急指挥项目LACLACAAA服务器AAA服务器应急指挥车应急指挥车RSR10-02RSR10-02RSR50-40RSR50-40福建省XX局应急平台中，采用锐捷RSR50-409台，RSR10-0284台、配置CDMA2000制式3G无线模块。客户收益：通过部署锐捷RSR10-02,应急指挥车通过RSR10-02路由器，在任何时候，任何地方实现与省XX专网的互联互通，实现信息的发布和交互。竞争策略简析<对外宣