银行3G网络建议方案.doc

西藏邮储银行3G网络建设建议方案目录第1章 概述2第2章 需求分析32.1 需求分析32.2 3G接入方式的选择4第3章 3G应用设计方案63.1 VPDN解决方案63.2 3G安全保障方案8第4章 设备及线路选型114.1 汇聚端路由器设备选型（如果需要更安全的SM1国密办加密算法）（单台设备配置关键部件冗余）114.2 离行ATM、临时网点（移动服务车）设备选型（2套设备配置）114.3 营业网点3G路由器设备选型（单台设备配置）114.4 运营商线路选择12第1章 概述长期以来SDH/ATM/DDN等专线做为银行柜面网点、自助银行、离行式ATM、上门服务业务接入的唯一选择，很好地保障了金融业务的开展。但是这几年银行以下几点的变化，使得传统的专线存在一些不足：l 近年来银行部署了大量的离行式ATM机、查询机、自助银行，让客户体验到无处不在的便利服务。但是这些网点分散在大街小巷、商场社区、海岛、油田/电力/军队系统中，外部专线难以进入，影响布放点的选择和业务开展。l 银行为VIP客户提供上门办理业务的服务，需要移动网点。银行在学校/企业/大型会议提供的临时服务，需要临时网点。这两种需求都有一个共同的特点，机动灵活，但专线开通的周期长，机动灵活性不足。l 集约化已经成为银行经营管理的主旋律，银行更加关注成本及收益，大量的柜面网点由于重要性高，都要求采用双线路保证更高的可靠性，采用双专线线路备份成本高。尤其是备份线路，只在主线路故障时才启用，长期闲置，投资利用率低。2009年1月份国家工业与信息化部正式向移动、电信、联通三家运营商分别颁发了TD-SCDMA、 CDMA2000、WCDMA三张牌照，3G开始正式拉开序幕。通过3G用户可以实现无线宽带接入，在速度方面和2.5G相比有质的飞越，这使得3G在更多企业通讯场合中替代有线成为了可能。目前三种3G的理论速率如下：中国联通：WCDMA，下行7.2M，上行5.76M；中国移动：TD-SCDMA，下行2M，上行384K；中国电信：WCDMA2000，下行3.1M，上行1.8M；经过一年多的发展，3G无线信号已经覆盖了众多的城市，并且运营商仍不断在扩大覆盖的范围，优化信号质量。3G的飞速发展，银行通过无线技术解决目前有线专线存在的问题成为可能。 第2章 需求分析2.1 需求分析可采用3G线路方式接入的场景主要包括离行式ATM接入、柜面业务延伸及外派终端业务、网点线路的备份、移动办公的接入。这对3G网络的接入有如下需求Ø 3G的接入速率能基本满足几种接入方式对上下行带宽的要求Ø 保证线路的安全性，包括3G无线端到基站连接的安全，运营商到银行中心端的安全。Ø 保证数据的安全性，采用可靠的加密算法Ø 离行式ATM、外派终端等应用设备部署的方便性Ø 3G做备份线路时可灵活的实现主备的切换Ø 与主流厂商的协议兼容性2.2 3G接入方式的选择3G用于企业数据通讯的业务可以归结为两种：一种是普通互联网业务；一种是无线VPDN业务（或无线专线）。相对应就有两种解决方案：（1 自建VPN）（2.运营商VPDN）Ø 第一种，通过互联网自建VPN的方案。网点路由器通过3G拨到普通互联网，总部出口架设一条直通互联网的专线，且分配公有地址。网点和总部的路由器之间直接建立IPSEC VPN加密隧道。由于有些运营商为3G分配私有地址，运营商内部要经过NAT，所以需要采用IPSEC VPN穿越NAT的机制。Ø 第二种，利用运营商提供的VPDN方案。网点路由器通过3G拨号至运营商的LAC设备，然后LAC设备通过专线和总部出口的路由器（即LNS）建立L2TP VPN隧道。然后网点路由器再与总部路由器，在L2TP基础之上建立IPSEC VPN加密隧道。运营商可以通过策略使网点3G SIM卡，只开通VPDN服务，禁止互联网服务，这样即保证安全又可以防止员工非法使用。运营商和总部之间可以采用专线、城域网VPN等线路，针对银行一般采用SDH/MSTP等专线更加安全。两种方案优劣势的分析对比如下：Ø 第一种方案网点3G和总部出口链路都连接普通互联网，成本较低，但安全性较差，网点的3G和总部的链路不一定是同一家运营商，组网灵活性好。因此，适用于移动办公等应用场合。Ø 第二种方案网点的3G只能拨到总部，总部采用专线，两端都和互联网隔离，安全性高，成本较高，网点的3G必须和总部的专线隶属同一家运营商，灵活性较差。因此适用于生产环境下的应用场合。对于银行的业务应用模式，安全性可靠性是首要考虑的内容，目前所有已经和准备开通3G数据业务的银行几乎都选用VPDN方案来进行3G接入网络的部署。第3章 3G应用设计方案3.1 VPDN解决方案 如上图所示，网点采用路由器+3G MODEM，运营商需要有LAC及配套的AAA服务器。总部需要准备一台路由器（LNS），一条专线，一台AAA服务器。AAA服务器负责对3G用户进行认证并向LAC下发该用户对应的LNS信息，LAC负责与LNS建立隧道。网点路由器的IP地址，可以静态指定也可以由AAA服务器分配（注：中国移动VPDN的3G用户地址空间不能随意分配，须按照移动的统一规划，使用地址空间）。解决方案建议网点端采用静态IP地址。LNS端路由器必须采用静态IP地址。锐捷RSR10/20可以直接扩展内置的3G卡，满足柜面网点、临时网点、上门服务车等环境中应用需求。为了增强安全性RSR10/20可以扩展国密办的加密算法卡，这样在涉及到现金生产交易业务的环境中，如离行式ATM、柜面网点，可以保证生产业务安全。同时，为满足离行式ATM机，上门服务车等应用场合，锐捷定制了RSR10的小尺寸机箱路由器，其重量只有1KG，轻便易于携带，而且可以轻松地放入自助机具中，不需专门的机柜，部署方便。同时，整个解决方案还可以兼容柜面业务延伸应用，在柜面业务延伸应用中柜员只携带一台笔记本电脑或终端上门服务，只需要普通的USB 3G卡采用操作系统自带的IPSEC VPN客户端拨号，锐捷的LNS路由器RSR30/50同样可以兼容这种模式。工作原理如下：运营商AAA服务器中配置用户IMSI信息（IMSI是在运营商网络中唯一识别一个移动用户的号码，由15位数字组成，存于SIM卡中）、终端用户的账号和密码、对应LNS地址、VPDN隧道属性。总部AAA服务器主要存放网点路由器建立连接时所需要的用户名和密码。用户名的格式为XXXX.COM.CN，其中前面的字符串可以由用户端自行定义，后面的字符串即域名，必须由运营商分配。运营商AAA服务器通过域名，确认该用户的权限。运营商AAA服务器与总部AAA服务器的用户名和密码必须一致。以下是主要的报文交互过程：1) 网点路由器3Gmodem通过无线信号找到运营商基站并注册连接（对SIM卡认证、并协商双方加密密钥）。2) 路由器启动PPP拨号向LAC发出认证请求。3) LAC把认证请求转至运营商LAC AAA服务器。4) AAA服务器将会回复认证结果并返回该用户所属的LNS地址、VPDN隧道属性等信息。5) LAC向返回的LNS地址发出L2TP隧道建立请求，隧道建立成功（请求建立隧道的认证可选）。6) LNS对网点路由器的用户名和密码进行重新认证（LNS对网点路由器的重认证可选）。7) L2TP隧道建立完成。网点路由器对应的拨号接口UP。8) 如果网点发起了能够触发IPSEC VPN的流量，则IPSEC VPN隧道建立过程启动。网点路由器与LNS发起IPSEC VPN连接请求。3.2 3G安全保障方案安全措施，主要有以下几个方面：1) 无线加密：网点路由器3G MODEM通过信号找到基站后，有一个注册的过程，在这个过程中运营商侧需要对接入的3G SIM卡身份通过密钥机制进行确认（这个过程也称为鉴权）。在身份确认的过程中，双方还会协商用于通讯加密的密钥，并在通信过程中采用该密钥对数据和话音进行加密，以避免被监听。同时在对数据加密完成之后，还会附加上校验码，对方在收到之后会重新计算和核对校验码是否正确，以此判断信息是否在无线传输过程中被篡改。2) 访问控制：访问控制分成三部分，1、针对企业外部用户的访问控制；2、针对企业内部用户的访问控制；3、针对互联网服务的访问控制。针对第一点，运营商AAA服务器上可以绑定账号和SIM卡中的IMSI标识号，由于不同的SIM卡IMSI标识号不同，所以企业外部用户不可以使用非指定的卡拨进企业中。针对第二点，在企业总部的LNS AAA服务器上，可以将账户信息与IMSI号绑定。这样可以防止企业内部用户之间互相盗用账号，导致定位和追溯的麻烦。针对第三点，运营商在开SIM卡时，同时也设置了SIM卡的访问权限，对于VPDN企业用户，关闭互联网服务，这样就不用担心与互联网耦合度过高而引入安全隐患；3) 数据加密：主要针对上层数据层面。无线物理层面主要是运营商3G本身提供的加密服务，只针对无线信号的部分。从LAC到LNS之间虽然有L2TP隧道，但是该隧道并不加密，还是明文传送，且LAC到专线网中间还有可能经过安全度相对较低的网络，所以在网点和LNS路由器之间，采用IPSEC VPN实现数据层面的端到端加密。IPSEC VPN同样采用密钥的机制，提供身份认证、数据保密和完整性的服务。第4章 设备及线路选型4.1 汇聚端路由器设备选型（如果需要更安全的SM1国密办加密算法）（单台设备配置关键部件冗余）汇聚路由器RG-RSR7708RSR7708主机箱（双路由引擎插槽，4个业务载板插槽，8个业务子卡插槽，带风扇盘、防尘网），路由引擎、业务载板及子卡、电源需要另外购买，支持热拔插1RSR7708-SRCMIRSR7708路由引擎，固化1个10M/100M/1000M口，2个USB 2.0口，1个SD卡插槽，1个Console，1个AUX，2G内存，512M FLASH2RG-PA300I交流电源模块（可以冗余，300W，配10A电源线）3DNME-8E1/CE18端口E1/CE1接口模块1RSR77-SIP2NME业务接口卡载板，2G内存，2个千兆光电复用接口，2个NME业务接口卡插槽（支持2个NME或1个DNME业务卡）1 DNME-SEC国密局SM1加密模块1 CAB-E1 unbalanced/DB25M-8*BNC/75 ohm/3m4E1/CE1和8E1/CE1模块上用的非平衡电缆，每根线缆连接4个E1接口，在8E1/CE1上需要配2根该线缆2 4.2 离行ATM、临时网点（移动服务车）设备选型（2套设备配置）路由器RSR10-02RSR10-02主机，包括2个FE口，1个Console口，2个SIC模块插槽，小机箱无风扇设计2SIC-SEC网络数据加密SIC接口模块（支持国密办加密）2 SIC-3G-TDTD-SCDMA制式3G无线广域网模块0 SIC-3G-WCDMAWCDMA制式3G无线广域网模块0 SIC-3G-CDMACDMA2000制式3G无线广域网模块2 4.3 营业网点3G路由器设备选型（单台设备配置）路由交换一体机RSR20-14ERSR20-14E主机，包括2个GE口（光电复用，支持100M和1000M光），1个Console口，1个AUX口，1个USB口，1个SD卡插槽，4个SIC模块插槽，固化24个交换端口，512M 内存1SIC-1E1-F1端口非通道化E1-F接口模块1CAB-E1 unbalanced/DB9M-2*BNC/75 ohm/3mE1非平衡电缆：DB9M连BNC×21SIC-SEC网络数据加密SIC接口模块（支持国密办加密）1SIC-3G-TDTD-SCDMA制式3G无线广域网模块0 SIC-3G-WCDMAWCDMA制式3G无线广域网模块0 SIC-3G-CDMACDMA2000制式3G无线广域网模块1 4.4 运营商线路选择三家运营商均可提供3G的VPDN接入解决方案，各厂商理论带宽如下：中国联通：WCDMA，下行7.2M，上行5.76M；中国移动：TD-SCDMA，下行2M，上行384K；中国电信：WCDMA2000，下行3.1M，上行1.8M；在接入端因实际部署环境及基站接入时间段的不同，对带宽影响较大，根据实际情况选择合适的运营商接入。结合到西藏自治区运营商移动信号的覆盖和对业务速率的要求，可选择西藏电信作为3G业务开展的移动运行商。 在汇聚端运营商可采用MSTP或SDH连接3G汇聚路由器，根据接入点的多少选用适合的汇聚端带宽。