導(dǎo)語：基層人民銀行無線災(zāi)備線路建設(shè)思考一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：無線通信技術(shù)發(fā)展日新月異，為人民銀行分支機(jī)構(gòu)開展無線災(zāi)備網(wǎng)絡(luò)建設(shè)提供了良好的產(chǎn)業(yè)條件和技術(shù)供給。人民銀行宿遷市中心支行根據(jù)《中國人民銀行信息技術(shù)“十三五”發(fā)展規(guī)劃》要求，組織轄內(nèi)縣支行開展4G災(zāi)備線路建設(shè)。本文針對無線災(zāi)備網(wǎng)絡(luò)的體系結(jié)構(gòu)、網(wǎng)絡(luò)搭建、路由選擇、安全設(shè)計(jì)等具體內(nèi)容進(jìn)行了深入研究，并通過測試，有效驗(yàn)證了無線災(zāi)備網(wǎng)絡(luò)的可行性、安全性和穩(wěn)定性，為下一步工作提出意見和建議。

關(guān)鍵詞：無線災(zāi)備網(wǎng)絡(luò)；人民銀行網(wǎng)絡(luò)；網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型

一、實(shí)施背景

無線通信技術(shù)發(fā)展日新月異，相關(guān)技術(shù)不斷迭代突破。從上游的芯片、射頻器件、光模塊以及光器件等產(chǎn)業(yè)，到中游的系統(tǒng)集成、終端設(shè)備、IT支撐等業(yè)務(wù)領(lǐng)域，再到下游的移動通信運(yùn)營商，產(chǎn)業(yè)鏈上下游企業(yè)持續(xù)開拓創(chuàng)新。技術(shù)進(jìn)步帶動產(chǎn)業(yè)發(fā)展，產(chǎn)業(yè)發(fā)展又促成相關(guān)技術(shù)被應(yīng)用到經(jīng)濟(jì)社會的各個領(lǐng)域。在設(shè)備和線路不斷降價的同時，無線網(wǎng)絡(luò)的安全性、可靠性、易用性得到極大提升，為人民銀行分支機(jī)構(gòu)開展無線災(zāi)備網(wǎng)絡(luò)建設(shè)提供了良好的產(chǎn)業(yè)條件和技術(shù)供給。相關(guān)研究表明，人民銀行傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)傳輸模式呈現(xiàn)8/2的特點(diǎn)，即80%的數(shù)據(jù)流量在局域網(wǎng)內(nèi)，20%的數(shù)據(jù)流量在局域網(wǎng)外。但隨著人民銀行系統(tǒng)“三集中”工作的開展，業(yè)務(wù)上收、資源整合、數(shù)據(jù)集中等工作逐漸完成，傳統(tǒng)基層人民銀行的網(wǎng)絡(luò)流量發(fā)生了根本性、結(jié)構(gòu)性的改變，由8/2變成了2/8模式。因此，維護(hù)網(wǎng)絡(luò)系統(tǒng)的通暢日益成為人民銀行各業(yè)務(wù)條線的履職基礎(chǔ)，也成為基層人民銀行科技工作的首要任務(wù)。然而，傳統(tǒng)上基層人民銀行分支機(jī)構(gòu)的互聯(lián)依托運(yùn)營商的有線網(wǎng)絡(luò)，雖然存在主備兩條有線專線與上下級機(jī)構(gòu)聯(lián)系，但由于市政規(guī)劃原因，不同運(yùn)營商的線路一般布局在相近的物理區(qū)域內(nèi)，一旦發(fā)生重大災(zāi)害、嚴(yán)重沖突等不可抗力事件，主備有線線路可能同時斷開，且短時間內(nèi)難以恢復(fù)，后果不堪設(shè)想。在此背景下，建設(shè)無線災(zāi)備網(wǎng)絡(luò)呼之欲出?；谝陨瞎┬鑳煞矫姹尘?，人民銀行宿遷市中心支行根據(jù)《中國人民銀行信息技術(shù)“十三五”發(fā)展規(guī)劃》要求，在上級行的指導(dǎo)下，結(jié)合基層實(shí)際情況，組織轄內(nèi)縣支行開展4G災(zāi)備線路建設(shè)。工程實(shí)踐得到了上級行的肯定，并在全省推廣。本文針對無線災(zāi)備網(wǎng)絡(luò)的體系結(jié)構(gòu)、網(wǎng)絡(luò)搭建、路由選擇、安全設(shè)計(jì)等具體內(nèi)容進(jìn)行了深入研究，并通過測試，有效驗(yàn)證了無線災(zāi)備網(wǎng)絡(luò)作為應(yīng)急措施的可行性、安全性和穩(wěn)定性，為下一步工作提供意見和建議。

二、體系結(jié)構(gòu)

各縣支行原有專線業(yè)務(wù)通過MSTP專線與中支實(shí)現(xiàn)互聯(lián)互通，新增無線災(zāi)備線路拓?fù)浣Y(jié)構(gòu)如下：各結(jié)點(diǎn)部署一臺4G路由器，使用運(yùn)營商提供的4G撥號上網(wǎng)UIM卡；各結(jié)點(diǎn)原在網(wǎng)路由器新增電口與4G路由器連接；一臺LNS設(shè)備（L2TP網(wǎng)絡(luò)服務(wù)器）部署在運(yùn)營商端，負(fù)責(zé)中心交換；每個結(jié)點(diǎn)4G路由器通過無線信號接入GGSN，并與LNS設(shè)備建立大二層VPN隧道，再通過LNS設(shè)備進(jìn)行互訪；最后通過靜態(tài)路由方式實(shí)現(xiàn)中支和縣支互連，如圖1所示。

三、網(wǎng)絡(luò)搭建

項(xiàng)目主要使用VPN技術(shù)在物理的公用網(wǎng)絡(luò)上建立邏輯的專用網(wǎng)絡(luò)，并利用加密技術(shù)、隧道技術(shù)、密鑰管理技術(shù)和認(rèn)證技術(shù)對數(shù)據(jù)進(jìn)行封裝。本方案的VPN技術(shù)結(jié)合了服務(wù)器、硬件、軟件等多種方式，依賴的VPDN技術(shù)是基于撥號接入的虛擬專用網(wǎng)，是一種撥號的VPN。而LNS路由器是一臺專門用于L2TP類型VPN接入、匯聚、認(rèn)證的路由器，具體網(wǎng)絡(luò)建立步驟是：4G路由器插上4G卡，通過4G網(wǎng)絡(luò)訪問有固定IP的LNS設(shè)備；LNS設(shè)備上設(shè)立L2TP撥號VPN、撥號域賬號等信息；4G路由器向LNS發(fā)起L2TP撥號，LNS在驗(yàn)證賬號合法后，與4G路由器建立VPN通道，至此虛擬鏈路通道建立。通道建立后，分組數(shù)據(jù)被以UDP的方式封裝在L2TP的隧道內(nèi)部，在中支與縣支行之間流動。

四、路由選擇

應(yīng)急災(zāi)備網(wǎng)絡(luò)啟用時一般都是臨危受命，因此必須實(shí)現(xiàn)路由快速收斂、網(wǎng)絡(luò)快速恢復(fù)，同時由于無線網(wǎng)絡(luò)本身性能受限和災(zāi)備環(huán)境惡劣，必須保障路由開銷小、網(wǎng)絡(luò)運(yùn)行穩(wěn)。傳統(tǒng)有線網(wǎng)絡(luò)一般使用動態(tài)路由協(xié)議，但有線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，手工配置靜態(tài)路由不僅工作量大而且容易出現(xiàn)錯誤，而動態(tài)路由會自動發(fā)現(xiàn)和修改路由，避免了人工維護(hù)和操作失誤，但動態(tài)路由協(xié)議開銷大、初始協(xié)議配置復(fù)雜。相對的，靜態(tài)路由則具有配置簡單、穩(wěn)定性好、無計(jì)算開銷等特點(diǎn)，但路由選擇完全依賴手動設(shè)置的路由表。實(shí)際上，動態(tài)路由協(xié)議是用額外的網(wǎng)絡(luò)帶寬、計(jì)算資源和運(yùn)算時間來換取路由對網(wǎng)絡(luò)拓?fù)渥兓倪m應(yīng)性，當(dāng)前的無線災(zāi)備網(wǎng)絡(luò)建設(shè)初衷并非著眼于無線網(wǎng)絡(luò)的移動性，網(wǎng)絡(luò)拓?fù)渥兓男枨筮h(yuǎn)遠(yuǎn)小于對網(wǎng)絡(luò)本身穩(wěn)定性和即時性的需求，所以結(jié)合無線網(wǎng)絡(luò)的特點(diǎn)和應(yīng)急災(zāi)備的需求，4G無線災(zāi)備網(wǎng)絡(luò)采用靜態(tài)路由方式組織分組數(shù)據(jù)流向。有線路由使用OSPF路由協(xié)議，新增4G災(zāi)備線路路由只需在相應(yīng)結(jié)點(diǎn)的原在網(wǎng)路由器上使用import-routestatic命令將靜態(tài)路由項(xiàng)導(dǎo)入OSPF中即可。由于有線路由的優(yōu)先級高于4G災(zāi)備線路路由，所以分組數(shù)據(jù)只有在有線路由失效的情況下才會選擇4G災(zāi)備線路路由，實(shí)現(xiàn)路由自動選擇功能，達(dá)到路由備份繼而線路備份的目的。

五、安全設(shè)計(jì)

根據(jù)《中國人民銀行網(wǎng)絡(luò)安全管理規(guī)定》（銀發(fā)〔2019〕169號）和《人民銀行信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引（試行）》（銀發(fā)〔2011〕173號）等文件要求，人民銀行業(yè)務(wù)網(wǎng)與其他各類內(nèi)外部網(wǎng)絡(luò)均需相互隔離，同時在網(wǎng)絡(luò)邊界需部署有重要網(wǎng)絡(luò)安全設(shè)施。相較而言，有線網(wǎng)絡(luò)的網(wǎng)絡(luò)連接相對固定、網(wǎng)絡(luò)邊界相對確定，無線網(wǎng)絡(luò)則沒有一個明確的防御邊界。同時，無線網(wǎng)絡(luò)的開放性使得網(wǎng)絡(luò)更容易受到被動竊聽或主動干擾等各種攻擊。所以安全設(shè)計(jì)是無線災(zāi)備網(wǎng)絡(luò)建設(shè)的重要內(nèi)容，本方案設(shè)置了3道安全措施。（一）接入認(rèn)證。4G無線接入的AAA認(rèn)證過程是對用戶的域名進(jìn)行鑒權(quán)認(rèn)證，VPDN成員是以形式登錄的，與互聯(lián)網(wǎng)完全隔離。4G無線接入的AAA服務(wù)器對登錄用戶的域名和UIM卡進(jìn)行綁定審核驗(yàn)證，驗(yàn)證通過后，方可接入4G網(wǎng)絡(luò)。（二）轉(zhuǎn)發(fā)檢驗(yàn)。4G用戶接入后需要進(jìn)行第二次檢查，即除了4G無線接入網(wǎng)對用戶進(jìn)行認(rèn)證外，還將由LNS路由器對用戶進(jìn)行二次檢查，二級的AAA服務(wù)器將鑒別VPDN成員的用戶名和密碼的正確性，這進(jìn)一步提高了網(wǎng)絡(luò)安全性。LNS路由器與運(yùn)營商PE之間通過CN2專線連接，保證用戶數(shù)據(jù)與互聯(lián)網(wǎng)物理隔離。（三）數(shù)據(jù)加密。當(dāng)4G路由器通過接入認(rèn)證、獲得IP地址后，各無線結(jié)點(diǎn)之間的數(shù)據(jù)分組將被封裝起來實(shí)現(xiàn)透明傳輸，同時傳輸將通過IPSec進(jìn)行加密。IPSec引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能，解決了傳統(tǒng)TCP/IP體系缺乏安全設(shè)計(jì)的問題。

六、測試

4G災(zāi)備線路建設(shè)中，人民銀行宿遷市中心支行多次組織開展了4G災(zāi)備線路切換測試，完善了相關(guān)軟硬件參數(shù)配置。測試中模擬兩條有線專線同時出現(xiàn)中斷的情況，在MSTP線路中斷且端口保持UP的狀態(tài)下，4G災(zāi)備線路速率經(jīng)測試達(dá)到20-50M（目前有線專線的速率為20M），中支到縣支的端到端ping時延為30-40ms，雖然不及有線專線的3-4ms，但可以滿足緊急情況下的業(yè)務(wù)需求。測試階段還重點(diǎn)驗(yàn)證了在發(fā)生不可抗力事件時的應(yīng)對情況。具體是，假定有線網(wǎng)絡(luò)基礎(chǔ)設(shè)施大面積癱瘓，在完全由無線網(wǎng)絡(luò)負(fù)載承壓的環(huán)境下，運(yùn)營商出動通信應(yīng)急車，確保網(wǎng)絡(luò)整體切換順利、使用平穩(wěn)。4G災(zāi)備線路費(fèi)用主要包括設(shè)備投入、流量卡費(fèi)用和電路費(fèi)用，經(jīng)招標(biāo)實(shí)施，單卡40G免費(fèi)流量，滿足應(yīng)急需要，項(xiàng)目整體建設(shè)和運(yùn)行成本在可接受范圍內(nèi)。從總體評估看，4G災(zāi)備線路傳輸速率高，具有較好的安全性，設(shè)備簡單、易用，線路租賃價格適中，符合基層人民銀行業(yè)務(wù)連續(xù)性保障要求，達(dá)到線路建設(shè)的預(yù)期目標(biāo)。

七、總結(jié)

一是制度設(shè)計(jì)和管理辦法層面，做到制度化管理運(yùn)維、常態(tài)化應(yīng)急演練，堅(jiān)持平戰(zhàn)結(jié)合的指導(dǎo)思想。災(zāi)備管理制度設(shè)計(jì)總原則包括：統(tǒng)一領(lǐng)導(dǎo)，層層負(fù)責(zé)；未雨綢繆，預(yù)防為主；快速反應(yīng)，協(xié)同合作。制度設(shè)計(jì)要覆蓋安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)安全管理和系統(tǒng)運(yùn)維管理等多個領(lǐng)域。應(yīng)根據(jù)年度計(jì)劃安排，確保每年組織一次包括災(zāi)難模擬、人員集結(jié)、指揮決策等管理流程在內(nèi)的綜合性年度演練，演練前要制定能立即中斷演練的應(yīng)急預(yù)案，防止演練過程中出現(xiàn)真實(shí)一級以上事件，演練結(jié)束后應(yīng)及時報(bào)送演練總結(jié)報(bào)告。最后，針對縣支行網(wǎng)絡(luò)技術(shù)隊(duì)伍不足的問題，應(yīng)加強(qiáng)對網(wǎng)絡(luò)技術(shù)人才的培養(yǎng)，定期舉辦技術(shù)培訓(xùn)。建立常態(tài)化的科技人員上掛下派交流制度，讓縣支行的科技人員有更多技術(shù)實(shí)踐機(jī)會和理論學(xué)習(xí)機(jī)會，緩解人員配置和工作安排不匹配造成的“吃不飽、吃不消”的情況。二是技術(shù)研究和創(chuàng)新應(yīng)用層面，需擴(kuò)大無線災(zāi)備體系的覆蓋廣度和加強(qiáng)應(yīng)用深度。覆蓋廣度方面，需做到無線災(zāi)備網(wǎng)絡(luò)對省市縣三級人民銀行機(jī)構(gòu)全覆蓋。目前，現(xiàn)有的有線網(wǎng)絡(luò)體系架構(gòu)屬于樹型結(jié)構(gòu)，數(shù)據(jù)上聯(lián)層層匯聚。樹型結(jié)構(gòu)的拓?fù)浜唵?、層次分明，易于擴(kuò)展和隔離局部網(wǎng)絡(luò)故障，但是上聯(lián)結(jié)點(diǎn)的故障會阻隔下聯(lián)網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域的通信，數(shù)據(jù)上聯(lián)層層依賴。因此，需要讓縣支行擺脫對地市中支級無線結(jié)點(diǎn)的依賴，切實(shí)提高無線災(zāi)備水平。應(yīng)用深度方面，隨著云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的日趨成熟與應(yīng)用普及，人民銀行基礎(chǔ)信息系統(tǒng)架構(gòu)正在向虛擬化、扁平化轉(zhuǎn)型，對分支行網(wǎng)絡(luò)支撐能力和數(shù)據(jù)處理能力提出更新、更高的要求。本次項(xiàng)目已經(jīng)在物理層和數(shù)據(jù)鏈路層實(shí)現(xiàn)星型組網(wǎng)，邏輯上可以通過LNS設(shè)備實(shí)現(xiàn)網(wǎng)狀拓?fù)?，但由于無線災(zāi)備網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)初衷和無線系統(tǒng)性能所限，目前在網(wǎng)絡(luò)層仍使用的是靜態(tài)路由功能，網(wǎng)絡(luò)拓?fù)湟餐嘶癁閭鹘y(tǒng)的樹型拓?fù)?。后續(xù)需加大新技術(shù)學(xué)習(xí)和實(shí)踐創(chuàng)新，結(jié)合5G，SDN網(wǎng)絡(luò)等新技術(shù)，探索推動無線災(zāi)備網(wǎng)絡(luò)向無線常備網(wǎng)絡(luò)演進(jìn)，與有線網(wǎng)絡(luò)實(shí)現(xiàn)優(yōu)勢互補(bǔ)和協(xié)同發(fā)展。下一步，人行宿遷中支將堅(jiān)持“守正創(chuàng)新、安全可控”的基本原則，在總分行的統(tǒng)一領(lǐng)導(dǎo)下，為人民銀行網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型探索制度設(shè)計(jì)、驗(yàn)證技術(shù)路線、積累實(shí)踐經(jīng)驗(yàn)。

參考文獻(xiàn)：

[1]于少山，于鐵君. 人民銀行省級數(shù)據(jù)中心建設(shè)SDN網(wǎng)絡(luò)的思考與建議[J]. 金融科技時代，2019(5):65-68.

[2]韓志雄. 央行分支行網(wǎng)絡(luò)建設(shè)與運(yùn)營管理的現(xiàn)狀、問題及對策建議[J]. 金融科技時代，2017(12):75-78.

[3]楊正東. 基層央行網(wǎng)絡(luò)結(jié)構(gòu)扁平化的研究分析[J]. 金融科技時代，2017(5):61-63.

[4]任偉. 無線網(wǎng)絡(luò)安全問題初探[J]. 信息網(wǎng)絡(luò)安全，2012(1):10-13. 

作者:蔡斌 楊志輝 單位:1.中國人民銀行南京分行 2.中國人民銀行宿遷市中心支行