導語：基層人民銀行無線災備線路建設(shè)思考一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：無線通信技術(shù)發(fā)展日新月異，為人民銀行分支機構(gòu)開展無線災備網(wǎng)絡建設(shè)提供了良好的產(chǎn)業(yè)條件和技術(shù)供給。人民銀行宿遷市中心支行根據(jù)《中國人民銀行信息技術(shù)“十三五”發(fā)展規(guī)劃》要求，組織轄內(nèi)縣支行開展4G災備線路建設(shè)。本文針對無線災備網(wǎng)絡的體系結(jié)構(gòu)、網(wǎng)絡搭建、路由選擇、安全設(shè)計等具體內(nèi)容進行了深入研究，并通過測試，有效驗證了無線災備網(wǎng)絡的可行性、安全性和穩(wěn)定性，為下一步工作提出意見和建議。

關(guān)鍵詞：無線災備網(wǎng)絡；人民銀行網(wǎng)絡；網(wǎng)絡架構(gòu)轉(zhuǎn)型

一、實施背景

無線通信技術(shù)發(fā)展日新月異，相關(guān)技術(shù)不斷迭代突破。從上游的芯片、射頻器件、光模塊以及光器件等產(chǎn)業(yè)，到中游的系統(tǒng)集成、終端設(shè)備、IT支撐等業(yè)務領(lǐng)域，再到下游的移動通信運營商，產(chǎn)業(yè)鏈上下游企業(yè)持續(xù)開拓創(chuàng)新。技術(shù)進步帶動產(chǎn)業(yè)發(fā)展，產(chǎn)業(yè)發(fā)展又促成相關(guān)技術(shù)被應用到經(jīng)濟社會的各個領(lǐng)域。在設(shè)備和線路不斷降價的同時，無線網(wǎng)絡的安全性、可靠性、易用性得到極大提升，為人民銀行分支機構(gòu)開展無線災備網(wǎng)絡建設(shè)提供了良好的產(chǎn)業(yè)條件和技術(shù)供給。相關(guān)研究表明，人民銀行傳統(tǒng)的網(wǎng)絡數(shù)據(jù)傳輸模式呈現(xiàn)8/2的特點，即80%的數(shù)據(jù)流量在局域網(wǎng)內(nèi)，20%的數(shù)據(jù)流量在局域網(wǎng)外。但隨著人民銀行系統(tǒng)“三集中”工作的開展，業(yè)務上收、資源整合、數(shù)據(jù)集中等工作逐漸完成，傳統(tǒng)基層人民銀行的網(wǎng)絡流量發(fā)生了根本性、結(jié)構(gòu)性的改變，由8/2變成了2/8模式。因此，維護網(wǎng)絡系統(tǒng)的通暢日益成為人民銀行各業(yè)務條線的履職基礎(chǔ)，也成為基層人民銀行科技工作的首要任務。然而，傳統(tǒng)上基層人民銀行分支機構(gòu)的互聯(lián)依托運營商的有線網(wǎng)絡，雖然存在主備兩條有線專線與上下級機構(gòu)聯(lián)系，但由于市政規(guī)劃原因，不同運營商的線路一般布局在相近的物理區(qū)域內(nèi)，一旦發(fā)生重大災害、嚴重沖突等不可抗力事件，主備有線線路可能同時斷開，且短時間內(nèi)難以恢復，后果不堪設(shè)想。在此背景下，建設(shè)無線災備網(wǎng)絡呼之欲出?；谝陨瞎┬鑳煞矫姹尘?，人民銀行宿遷市中心支行根據(jù)《中國人民銀行信息技術(shù)“十三五”發(fā)展規(guī)劃》要求，在上級行的指導下，結(jié)合基層實際情況，組織轄內(nèi)縣支行開展4G災備線路建設(shè)。工程實踐得到了上級行的肯定，并在全省推廣。本文針對無線災備網(wǎng)絡的體系結(jié)構(gòu)、網(wǎng)絡搭建、路由選擇、安全設(shè)計等具體內(nèi)容進行了深入研究，并通過測試，有效驗證了無線災備網(wǎng)絡作為應急措施的可行性、安全性和穩(wěn)定性，為下一步工作提供意見和建議。

二、體系結(jié)構(gòu)

各縣支行原有專線業(yè)務通過MSTP專線與中支實現(xiàn)互聯(lián)互通，新增無線災備線路拓撲結(jié)構(gòu)如下：各結(jié)點部署一臺4G路由器，使用運營商提供的4G撥號上網(wǎng)UIM卡；各結(jié)點原在網(wǎng)路由器新增電口與4G路由器連接；一臺LNS設(shè)備（L2TP網(wǎng)絡服務器）部署在運營商端，負責中心交換；每個結(jié)點4G路由器通過無線信號接入GGSN，并與LNS設(shè)備建立大二層VPN隧道，再通過LNS設(shè)備進行互訪；最后通過靜態(tài)路由方式實現(xiàn)中支和縣支互連，如圖1所示。

三、網(wǎng)絡搭建

項目主要使用VPN技術(shù)在物理的公用網(wǎng)絡上建立邏輯的專用網(wǎng)絡，并利用加密技術(shù)、隧道技術(shù)、密鑰管理技術(shù)和認證技術(shù)對數(shù)據(jù)進行封裝。本方案的VPN技術(shù)結(jié)合了服務器、硬件、軟件等多種方式，依賴的VPDN技術(shù)是基于撥號接入的虛擬專用網(wǎng)，是一種撥號的VPN。而LNS路由器是一臺專門用于L2TP類型VPN接入、匯聚、認證的路由器，具體網(wǎng)絡建立步驟是：4G路由器插上4G卡，通過4G網(wǎng)絡訪問有固定IP的LNS設(shè)備；LNS設(shè)備上設(shè)立L2TP撥號VPN、撥號域賬號等信息；4G路由器向LNS發(fā)起L2TP撥號，LNS在驗證賬號合法后，與4G路由器建立VPN通道，至此虛擬鏈路通道建立。通道建立后，分組數(shù)據(jù)被以UDP的方式封裝在L2TP的隧道內(nèi)部，在中支與縣支行之間流動。

四、路由選擇

應急災備網(wǎng)絡啟用時一般都是臨危受命，因此必須實現(xiàn)路由快速收斂、網(wǎng)絡快速恢復，同時由于無線網(wǎng)絡本身性能受限和災備環(huán)境惡劣，必須保障路由開銷小、網(wǎng)絡運行穩(wěn)。傳統(tǒng)有線網(wǎng)絡一般使用動態(tài)路由協(xié)議，但有線網(wǎng)絡拓撲結(jié)構(gòu)復雜，手工配置靜態(tài)路由不僅工作量大而且容易出現(xiàn)錯誤，而動態(tài)路由會自動發(fā)現(xiàn)和修改路由，避免了人工維護和操作失誤，但動態(tài)路由協(xié)議開銷大、初始協(xié)議配置復雜。相對的，靜態(tài)路由則具有配置簡單、穩(wěn)定性好、無計算開銷等特點，但路由選擇完全依賴手動設(shè)置的路由表。實際上，動態(tài)路由協(xié)議是用額外的網(wǎng)絡帶寬、計算資源和運算時間來換取路由對網(wǎng)絡拓撲變化的適應性，當前的無線災備網(wǎng)絡建設(shè)初衷并非著眼于無線網(wǎng)絡的移動性，網(wǎng)絡拓撲變化的需求遠遠小于對網(wǎng)絡本身穩(wěn)定性和即時性的需求，所以結(jié)合無線網(wǎng)絡的特點和應急災備的需求，4G無線災備網(wǎng)絡采用靜態(tài)路由方式組織分組數(shù)據(jù)流向。有線路由使用OSPF路由協(xié)議，新增4G災備線路路由只需在相應結(jié)點的原在網(wǎng)路由器上使用import-routestatic命令將靜態(tài)路由項導入OSPF中即可。由于有線路由的優(yōu)先級高于4G災備線路路由，所以分組數(shù)據(jù)只有在有線路由失效的情況下才會選擇4G災備線路路由，實現(xiàn)路由自動選擇功能，達到路由備份繼而線路備份的目的。

五、安全設(shè)計

根據(jù)《中國人民銀行網(wǎng)絡安全管理規(guī)定》（銀發(fā)〔2019〕169號）和《人民銀行信息系統(tǒng)信息安全等級保護實施指引（試行）》（銀發(fā)〔2011〕173號）等文件要求，人民銀行業(yè)務網(wǎng)與其他各類內(nèi)外部網(wǎng)絡均需相互隔離，同時在網(wǎng)絡邊界需部署有重要網(wǎng)絡安全設(shè)施。相較而言，有線網(wǎng)絡的網(wǎng)絡連接相對固定、網(wǎng)絡邊界相對確定，無線網(wǎng)絡則沒有一個明確的防御邊界。同時，無線網(wǎng)絡的開放性使得網(wǎng)絡更容易受到被動竊聽或主動干擾等各種攻擊。所以安全設(shè)計是無線災備網(wǎng)絡建設(shè)的重要內(nèi)容，本方案設(shè)置了3道安全措施。（一）接入認證。4G無線接入的AAA認證過程是對用戶的域名進行鑒權(quán)認證，VPDN成員是以形式登錄的，與互聯(lián)網(wǎng)完全隔離。4G無線接入的AAA服務器對登錄用戶的域名和UIM卡進行綁定審核驗證，驗證通過后，方可接入4G網(wǎng)絡。（二）轉(zhuǎn)發(fā)檢驗。4G用戶接入后需要進行第二次檢查，即除了4G無線接入網(wǎng)對用戶進行認證外，還將由LNS路由器對用戶進行二次檢查，二級的AAA服務器將鑒別VPDN成員的用戶名和密碼的正確性，這進一步提高了網(wǎng)絡安全性。LNS路由器與運營商PE之間通過CN2專線連接，保證用戶數(shù)據(jù)與互聯(lián)網(wǎng)物理隔離。（三）數(shù)據(jù)加密。當4G路由器通過接入認證、獲得IP地址后，各無線結(jié)點之間的數(shù)據(jù)分組將被封裝起來實現(xiàn)透明傳輸，同時傳輸將通過IPSec進行加密。IPSec引進了完整的安全機制，包括加密、認證和數(shù)據(jù)防篡改功能，解決了傳統(tǒng)TCP/IP體系缺乏安全設(shè)計的問題。

六、測試

4G災備線路建設(shè)中，人民銀行宿遷市中心支行多次組織開展了4G災備線路切換測試，完善了相關(guān)軟硬件參數(shù)配置。測試中模擬兩條有線專線同時出現(xiàn)中斷的情況，在MSTP線路中斷且端口保持UP的狀態(tài)下，4G災備線路速率經(jīng)測試達到20-50M（目前有線專線的速率為20M），中支到縣支的端到端ping時延為30-40ms，雖然不及有線專線的3-4ms，但可以滿足緊急情況下的業(yè)務需求。測試階段還重點驗證了在發(fā)生不可抗力事件時的應對情況。具體是，假定有線網(wǎng)絡基礎(chǔ)設(shè)施大面積癱瘓，在完全由無線網(wǎng)絡負載承壓的環(huán)境下，運營商出動通信應急車，確保網(wǎng)絡整體切換順利、使用平穩(wěn)。4G災備線路費用主要包括設(shè)備投入、流量卡費用和電路費用，經(jīng)招標實施，單卡40G免費流量，滿足應急需要，項目整體建設(shè)和運行成本在可接受范圍內(nèi)。從總體評估看，4G災備線路傳輸速率高，具有較好的安全性，設(shè)備簡單、易用，線路租賃價格適中，符合基層人民銀行業(yè)務連續(xù)性保障要求，達到線路建設(shè)的預期目標。

七、總結(jié)

一是制度設(shè)計和管理辦法層面，做到制度化管理運維、常態(tài)化應急演練，堅持平戰(zhàn)結(jié)合的指導思想。災備管理制度設(shè)計總原則包括：統(tǒng)一領(lǐng)導，層層負責；未雨綢繆，預防為主；快速反應，協(xié)同合作。制度設(shè)計要覆蓋安全管理機構(gòu)、人員安全管理、系統(tǒng)安全管理和系統(tǒng)運維管理等多個領(lǐng)域。應根據(jù)年度計劃安排，確保每年組織一次包括災難模擬、人員集結(jié)、指揮決策等管理流程在內(nèi)的綜合性年度演練，演練前要制定能立即中斷演練的應急預案，防止演練過程中出現(xiàn)真實一級以上事件，演練結(jié)束后應及時報送演練總結(jié)報告。最后，針對縣支行網(wǎng)絡技術(shù)隊伍不足的問題，應加強對網(wǎng)絡技術(shù)人才的培養(yǎng)，定期舉辦技術(shù)培訓。建立常態(tài)化的科技人員上掛下派交流制度，讓縣支行的科技人員有更多技術(shù)實踐機會和理論學習機會，緩解人員配置和工作安排不匹配造成的“吃不飽、吃不消”的情況。二是技術(shù)研究和創(chuàng)新應用層面，需擴大無線災備體系的覆蓋廣度和加強應用深度。覆蓋廣度方面，需做到無線災備網(wǎng)絡對省市縣三級人民銀行機構(gòu)全覆蓋。目前，現(xiàn)有的有線網(wǎng)絡體系架構(gòu)屬于樹型結(jié)構(gòu)，數(shù)據(jù)上聯(lián)層層匯聚。樹型結(jié)構(gòu)的拓撲簡單、層次分明，易于擴展和隔離局部網(wǎng)絡故障，但是上聯(lián)結(jié)點的故障會阻隔下聯(lián)網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域的通信，數(shù)據(jù)上聯(lián)層層依賴。因此，需要讓縣支行擺脫對地市中支級無線結(jié)點的依賴，切實提高無線災備水平。應用深度方面，隨著云計算、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的日趨成熟與應用普及，人民銀行基礎(chǔ)信息系統(tǒng)架構(gòu)正在向虛擬化、扁平化轉(zhuǎn)型，對分支行網(wǎng)絡支撐能力和數(shù)據(jù)處理能力提出更新、更高的要求。本次項目已經(jīng)在物理層和數(shù)據(jù)鏈路層實現(xiàn)星型組網(wǎng)，邏輯上可以通過LNS設(shè)備實現(xiàn)網(wǎng)狀拓撲，但由于無線災備網(wǎng)絡系統(tǒng)設(shè)計初衷和無線系統(tǒng)性能所限，目前在網(wǎng)絡層仍使用的是靜態(tài)路由功能，網(wǎng)絡拓撲也退化為傳統(tǒng)的樹型拓撲。后續(xù)需加大新技術(shù)學習和實踐創(chuàng)新，結(jié)合5G，SDN網(wǎng)絡等新技術(shù)，探索推動無線災備網(wǎng)絡向無線常備網(wǎng)絡演進，與有線網(wǎng)絡實現(xiàn)優(yōu)勢互補和協(xié)同發(fā)展。下一步，人行宿遷中支將堅持“守正創(chuàng)新、安全可控”的基本原則，在總分行的統(tǒng)一領(lǐng)導下，為人民銀行網(wǎng)絡架構(gòu)轉(zhuǎn)型探索制度設(shè)計、驗證技術(shù)路線、積累實踐經(jīng)驗。

參考文獻：

[1]于少山，于鐵君. 人民銀行省級數(shù)據(jù)中心建設(shè)SDN網(wǎng)絡的思考與建議[J]. 金融科技時代，2019(5):65-68.

[2]韓志雄. 央行分支行網(wǎng)絡建設(shè)與運營管理的現(xiàn)狀、問題及對策建議[J]. 金融科技時代，2017(12):75-78.

[3]楊正東. 基層央行網(wǎng)絡結(jié)構(gòu)扁平化的研究分析[J]. 金融科技時代，2017(5):61-63.

[4]任偉. 無線網(wǎng)絡安全問題初探[J]. 信息網(wǎng)絡安全，2012(1):10-13. 

作者:蔡斌 楊志輝 單位:1.中國人民銀行南京分行 2.中國人民銀行宿遷市中心支行