導(dǎo)語(yǔ)：基層人民銀行無(wú)線(xiàn)災(zāi)備線(xiàn)路建設(shè)思考一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

摘要：無(wú)線(xiàn)通信技術(shù)發(fā)展日新月異，為人民銀行分支機(jī)構(gòu)開(kāi)展無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)建設(shè)提供了良好的產(chǎn)業(yè)條件和技術(shù)供給。人民銀行宿遷市中心支行根據(jù)《中國(guó)人民銀行信息技術(shù)“十三五”發(fā)展規(guī)劃》要求，組織轄內(nèi)縣支行開(kāi)展4G災(zāi)備線(xiàn)路建設(shè)。本文針對(duì)無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)的體系結(jié)構(gòu)、網(wǎng)絡(luò)搭建、路由選擇、安全設(shè)計(jì)等具體內(nèi)容進(jìn)行了深入研究，并通過(guò)測(cè)試，有效驗(yàn)證了無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)的可行性、安全性和穩(wěn)定性，為下一步工作提出意見(jiàn)和建議。

關(guān)鍵詞：無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)；人民銀行網(wǎng)絡(luò)；網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型

一、實(shí)施背景

無(wú)線(xiàn)通信技術(shù)發(fā)展日新月異，相關(guān)技術(shù)不斷迭代突破。從上游的芯片、射頻器件、光模塊以及光器件等產(chǎn)業(yè)，到中游的系統(tǒng)集成、終端設(shè)備、IT支撐等業(yè)務(wù)領(lǐng)域，再到下游的移動(dòng)通信運(yùn)營(yíng)商，產(chǎn)業(yè)鏈上下游企業(yè)持續(xù)開(kāi)拓創(chuàng)新。技術(shù)進(jìn)步帶動(dòng)產(chǎn)業(yè)發(fā)展，產(chǎn)業(yè)發(fā)展又促成相關(guān)技術(shù)被應(yīng)用到經(jīng)濟(jì)社會(huì)的各個(gè)領(lǐng)域。在設(shè)備和線(xiàn)路不斷降價(jià)的同時(shí)，無(wú)線(xiàn)網(wǎng)絡(luò)的安全性、可靠性、易用性得到極大提升，為人民銀行分支機(jī)構(gòu)開(kāi)展無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)建設(shè)提供了良好的產(chǎn)業(yè)條件和技術(shù)供給。相關(guān)研究表明，人民銀行傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)傳輸模式呈現(xiàn)8/2的特點(diǎn)，即80%的數(shù)據(jù)流量在局域網(wǎng)內(nèi)，20%的數(shù)據(jù)流量在局域網(wǎng)外。但隨著人民銀行系統(tǒng)“三集中”工作的開(kāi)展，業(yè)務(wù)上收、資源整合、數(shù)據(jù)集中等工作逐漸完成，傳統(tǒng)基層人民銀行的網(wǎng)絡(luò)流量發(fā)生了根本性、結(jié)構(gòu)性的改變，由8/2變成了2/8模式。因此，維護(hù)網(wǎng)絡(luò)系統(tǒng)的通暢日益成為人民銀行各業(yè)務(wù)條線(xiàn)的履職基礎(chǔ)，也成為基層人民銀行科技工作的首要任務(wù)。然而，傳統(tǒng)上基層人民銀行分支機(jī)構(gòu)的互聯(lián)依托運(yùn)營(yíng)商的有線(xiàn)網(wǎng)絡(luò)，雖然存在主備兩條有線(xiàn)專(zhuān)線(xiàn)與上下級(jí)機(jī)構(gòu)聯(lián)系，但由于市政規(guī)劃原因，不同運(yùn)營(yíng)商的線(xiàn)路一般布局在相近的物理區(qū)域內(nèi)，一旦發(fā)生重大災(zāi)害、嚴(yán)重沖突等不可抗力事件，主備有線(xiàn)線(xiàn)路可能同時(shí)斷開(kāi)，且短時(shí)間內(nèi)難以恢復(fù)，后果不堪設(shè)想。在此背景下，建設(shè)無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)呼之欲出。基于以上供需兩方面背景，人民銀行宿遷市中心支行根據(jù)《中國(guó)人民銀行信息技術(shù)“十三五”發(fā)展規(guī)劃》要求，在上級(jí)行的指導(dǎo)下，結(jié)合基層實(shí)際情況，組織轄內(nèi)縣支行開(kāi)展4G災(zāi)備線(xiàn)路建設(shè)。工程實(shí)踐得到了上級(jí)行的肯定，并在全省推廣。本文針對(duì)無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)的體系結(jié)構(gòu)、網(wǎng)絡(luò)搭建、路由選擇、安全設(shè)計(jì)等具體內(nèi)容進(jìn)行了深入研究，并通過(guò)測(cè)試，有效驗(yàn)證了無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)作為應(yīng)急措施的可行性、安全性和穩(wěn)定性，為下一步工作提供意見(jiàn)和建議。

二、體系結(jié)構(gòu)

各縣支行原有專(zhuān)線(xiàn)業(yè)務(wù)通過(guò)MSTP專(zhuān)線(xiàn)與中支實(shí)現(xiàn)互聯(lián)互通，新增無(wú)線(xiàn)災(zāi)備線(xiàn)路拓?fù)浣Y(jié)構(gòu)如下：各結(jié)點(diǎn)部署一臺(tái)4G路由器，使用運(yùn)營(yíng)商提供的4G撥號(hào)上網(wǎng)UIM卡；各結(jié)點(diǎn)原在網(wǎng)路由器新增電口與4G路由器連接；一臺(tái)LNS設(shè)備（L2TP網(wǎng)絡(luò)服務(wù)器）部署在運(yùn)營(yíng)商端，負(fù)責(zé)中心交換；每個(gè)結(jié)點(diǎn)4G路由器通過(guò)無(wú)線(xiàn)信號(hào)接入GGSN，并與LNS設(shè)備建立大二層VPN隧道，再通過(guò)LNS設(shè)備進(jìn)行互訪；最后通過(guò)靜態(tài)路由方式實(shí)現(xiàn)中支和縣支互連，如圖1所示。

三、網(wǎng)絡(luò)搭建

項(xiàng)目主要使用VPN技術(shù)在物理的公用網(wǎng)絡(luò)上建立邏輯的專(zhuān)用網(wǎng)絡(luò)，并利用加密技術(shù)、隧道技術(shù)、密鑰管理技術(shù)和認(rèn)證技術(shù)對(duì)數(shù)據(jù)進(jìn)行封裝。本方案的VPN技術(shù)結(jié)合了服務(wù)器、硬件、軟件等多種方式，依賴(lài)的VPDN技術(shù)是基于撥號(hào)接入的虛擬專(zhuān)用網(wǎng)，是一種撥號(hào)的VPN。而LNS路由器是一臺(tái)專(zhuān)門(mén)用于L2TP類(lèi)型VPN接入、匯聚、認(rèn)證的路由器，具體網(wǎng)絡(luò)建立步驟是：4G路由器插上4G卡，通過(guò)4G網(wǎng)絡(luò)訪問(wèn)有固定IP的LNS設(shè)備；LNS設(shè)備上設(shè)立L2TP撥號(hào)VPN、撥號(hào)域賬號(hào)等信息；4G路由器向LNS發(fā)起L2TP撥號(hào)，LNS在驗(yàn)證賬號(hào)合法后，與4G路由器建立VPN通道，至此虛擬鏈路通道建立。通道建立后，分組數(shù)據(jù)被以UDP的方式封裝在L2TP的隧道內(nèi)部，在中支與縣支行之間流動(dòng)。

四、路由選擇

應(yīng)急災(zāi)備網(wǎng)絡(luò)啟用時(shí)一般都是臨危受命，因此必須實(shí)現(xiàn)路由快速收斂、網(wǎng)絡(luò)快速恢復(fù)，同時(shí)由于無(wú)線(xiàn)網(wǎng)絡(luò)本身性能受限和災(zāi)備環(huán)境惡劣，必須保障路由開(kāi)銷(xiāo)小、網(wǎng)絡(luò)運(yùn)行穩(wěn)。傳統(tǒng)有線(xiàn)網(wǎng)絡(luò)一般使用動(dòng)態(tài)路由協(xié)議，但有線(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，手工配置靜態(tài)路由不僅工作量大而且容易出現(xiàn)錯(cuò)誤，而動(dòng)態(tài)路由會(huì)自動(dòng)發(fā)現(xiàn)和修改路由，避免了人工維護(hù)和操作失誤，但動(dòng)態(tài)路由協(xié)議開(kāi)銷(xiāo)大、初始協(xié)議配置復(fù)雜。相對(duì)的，靜態(tài)路由則具有配置簡(jiǎn)單、穩(wěn)定性好、無(wú)計(jì)算開(kāi)銷(xiāo)等特點(diǎn)，但路由選擇完全依賴(lài)手動(dòng)設(shè)置的路由表。實(shí)際上，動(dòng)態(tài)路由協(xié)議是用額外的網(wǎng)絡(luò)帶寬、計(jì)算資源和運(yùn)算時(shí)間來(lái)?yè)Q取路由對(duì)網(wǎng)絡(luò)拓?fù)渥兓倪m應(yīng)性，當(dāng)前的無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)建設(shè)初衷并非著眼于無(wú)線(xiàn)網(wǎng)絡(luò)的移動(dòng)性，網(wǎng)絡(luò)拓?fù)渥兓男枨筮h(yuǎn)遠(yuǎn)小于對(duì)網(wǎng)絡(luò)本身穩(wěn)定性和即時(shí)性的需求，所以結(jié)合無(wú)線(xiàn)網(wǎng)絡(luò)的特點(diǎn)和應(yīng)急災(zāi)備的需求，4G無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)采用靜態(tài)路由方式組織分組數(shù)據(jù)流向。有線(xiàn)路由使用OSPF路由協(xié)議，新增4G災(zāi)備線(xiàn)路路由只需在相應(yīng)結(jié)點(diǎn)的原在網(wǎng)路由器上使用import-routestatic命令將靜態(tài)路由項(xiàng)導(dǎo)入OSPF中即可。由于有線(xiàn)路由的優(yōu)先級(jí)高于4G災(zāi)備線(xiàn)路路由，所以分組數(shù)據(jù)只有在有線(xiàn)路由失效的情況下才會(huì)選擇4G災(zāi)備線(xiàn)路路由，實(shí)現(xiàn)路由自動(dòng)選擇功能，達(dá)到路由備份繼而線(xiàn)路備份的目的。

五、安全設(shè)計(jì)

根據(jù)《中國(guó)人民銀行網(wǎng)絡(luò)安全管理規(guī)定》（銀發(fā)〔2019〕169號(hào)）和《人民銀行信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引（試行）》（銀發(fā)〔2011〕173號(hào)）等文件要求，人民銀行業(yè)務(wù)網(wǎng)與其他各類(lèi)內(nèi)外部網(wǎng)絡(luò)均需相互隔離，同時(shí)在網(wǎng)絡(luò)邊界需部署有重要網(wǎng)絡(luò)安全設(shè)施。相較而言，有線(xiàn)網(wǎng)絡(luò)的網(wǎng)絡(luò)連接相對(duì)固定、網(wǎng)絡(luò)邊界相對(duì)確定，無(wú)線(xiàn)網(wǎng)絡(luò)則沒(méi)有一個(gè)明確的防御邊界。同時(shí)，無(wú)線(xiàn)網(wǎng)絡(luò)的開(kāi)放性使得網(wǎng)絡(luò)更容易受到被動(dòng)竊聽(tīng)或主動(dòng)干擾等各種攻擊。所以安全設(shè)計(jì)是無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)建設(shè)的重要內(nèi)容，本方案設(shè)置了3道安全措施。（一）接入認(rèn)證。4G無(wú)線(xiàn)接入的AAA認(rèn)證過(guò)程是對(duì)用戶(hù)的域名進(jìn)行鑒權(quán)認(rèn)證，VPDN成員是以形式登錄的，與互聯(lián)網(wǎng)完全隔離。4G無(wú)線(xiàn)接入的AAA服務(wù)器對(duì)登錄用戶(hù)的域名和UIM卡進(jìn)行綁定審核驗(yàn)證，驗(yàn)證通過(guò)后，方可接入4G網(wǎng)絡(luò)。（二）轉(zhuǎn)發(fā)檢驗(yàn)。4G用戶(hù)接入后需要進(jìn)行第二次檢查，即除了4G無(wú)線(xiàn)接入網(wǎng)對(duì)用戶(hù)進(jìn)行認(rèn)證外，還將由LNS路由器對(duì)用戶(hù)進(jìn)行二次檢查，二級(jí)的AAA服務(wù)器將鑒別VPDN成員的用戶(hù)名和密碼的正確性，這進(jìn)一步提高了網(wǎng)絡(luò)安全性。LNS路由器與運(yùn)營(yíng)商PE之間通過(guò)CN2專(zhuān)線(xiàn)連接，保證用戶(hù)數(shù)據(jù)與互聯(lián)網(wǎng)物理隔離。（三）數(shù)據(jù)加密。當(dāng)4G路由器通過(guò)接入認(rèn)證、獲得IP地址后，各無(wú)線(xiàn)結(jié)點(diǎn)之間的數(shù)據(jù)分組將被封裝起來(lái)實(shí)現(xiàn)透明傳輸，同時(shí)傳輸將通過(guò)IPSec進(jìn)行加密。IPSec引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能，解決了傳統(tǒng)TCP/IP體系缺乏安全設(shè)計(jì)的問(wèn)題。

六、測(cè)試

4G災(zāi)備線(xiàn)路建設(shè)中，人民銀行宿遷市中心支行多次組織開(kāi)展了4G災(zāi)備線(xiàn)路切換測(cè)試，完善了相關(guān)軟硬件參數(shù)配置。測(cè)試中模擬兩條有線(xiàn)專(zhuān)線(xiàn)同時(shí)出現(xiàn)中斷的情況，在MSTP線(xiàn)路中斷且端口保持UP的狀態(tài)下，4G災(zāi)備線(xiàn)路速率經(jīng)測(cè)試達(dá)到20-50M（目前有線(xiàn)專(zhuān)線(xiàn)的速率為20M），中支到縣支的端到端ping時(shí)延為30-40ms，雖然不及有線(xiàn)專(zhuān)線(xiàn)的3-4ms，但可以滿(mǎn)足緊急情況下的業(yè)務(wù)需求。測(cè)試階段還重點(diǎn)驗(yàn)證了在發(fā)生不可抗力事件時(shí)的應(yīng)對(duì)情況。具體是，假定有線(xiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施大面積癱瘓，在完全由無(wú)線(xiàn)網(wǎng)絡(luò)負(fù)載承壓的環(huán)境下，運(yùn)營(yíng)商出動(dòng)通信應(yīng)急車(chē)，確保網(wǎng)絡(luò)整體切換順利、使用平穩(wěn)。4G災(zāi)備線(xiàn)路費(fèi)用主要包括設(shè)備投入、流量卡費(fèi)用和電路費(fèi)用，經(jīng)招標(biāo)實(shí)施，單卡40G免費(fèi)流量，滿(mǎn)足應(yīng)急需要，項(xiàng)目整體建設(shè)和運(yùn)行成本在可接受范圍內(nèi)。從總體評(píng)估看，4G災(zāi)備線(xiàn)路傳輸速率高，具有較好的安全性，設(shè)備簡(jiǎn)單、易用，線(xiàn)路租賃價(jià)格適中，符合基層人民銀行業(yè)務(wù)連續(xù)性保障要求，達(dá)到線(xiàn)路建設(shè)的預(yù)期目標(biāo)。

七、總結(jié)

一是制度設(shè)計(jì)和管理辦法層面，做到制度化管理運(yùn)維、常態(tài)化應(yīng)急演練，堅(jiān)持平戰(zhàn)結(jié)合的指導(dǎo)思想。災(zāi)備管理制度設(shè)計(jì)總原則包括：統(tǒng)一領(lǐng)導(dǎo)，層層負(fù)責(zé)；未雨綢繆，預(yù)防為主；快速反應(yīng)，協(xié)同合作。制度設(shè)計(jì)要覆蓋安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)安全管理和系統(tǒng)運(yùn)維管理等多個(gè)領(lǐng)域。應(yīng)根據(jù)年度計(jì)劃安排，確保每年組織一次包括災(zāi)難模擬、人員集結(jié)、指揮決策等管理流程在內(nèi)的綜合性年度演練，演練前要制定能立即中斷演練的應(yīng)急預(yù)案，防止演練過(guò)程中出現(xiàn)真實(shí)一級(jí)以上事件，演練結(jié)束后應(yīng)及時(shí)報(bào)送演練總結(jié)報(bào)告。最后，針對(duì)縣支行網(wǎng)絡(luò)技術(shù)隊(duì)伍不足的問(wèn)題，應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)技術(shù)人才的培養(yǎng)，定期舉辦技術(shù)培訓(xùn)。建立常態(tài)化的科技人員上掛下派交流制度，讓縣支行的科技人員有更多技術(shù)實(shí)踐機(jī)會(huì)和理論學(xué)習(xí)機(jī)會(huì)，緩解人員配置和工作安排不匹配造成的“吃不飽、吃不消”的情況。二是技術(shù)研究和創(chuàng)新應(yīng)用層面，需擴(kuò)大無(wú)線(xiàn)災(zāi)備體系的覆蓋廣度和加強(qiáng)應(yīng)用深度。覆蓋廣度方面，需做到無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)對(duì)省市縣三級(jí)人民銀行機(jī)構(gòu)全覆蓋。目前，現(xiàn)有的有線(xiàn)網(wǎng)絡(luò)體系架構(gòu)屬于樹(shù)型結(jié)構(gòu)，數(shù)據(jù)上聯(lián)層層匯聚。樹(shù)型結(jié)構(gòu)的拓?fù)浜?jiǎn)單、層次分明，易于擴(kuò)展和隔離局部網(wǎng)絡(luò)故障，但是上聯(lián)結(jié)點(diǎn)的故障會(huì)阻隔下聯(lián)網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域的通信，數(shù)據(jù)上聯(lián)層層依賴(lài)。因此，需要讓縣支行擺脫對(duì)地市中支級(jí)無(wú)線(xiàn)結(jié)點(diǎn)的依賴(lài)，切實(shí)提高無(wú)線(xiàn)災(zāi)備水平。應(yīng)用深度方面，隨著云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的日趨成熟與應(yīng)用普及，人民銀行基礎(chǔ)信息系統(tǒng)架構(gòu)正在向虛擬化、扁平化轉(zhuǎn)型，對(duì)分支行網(wǎng)絡(luò)支撐能力和數(shù)據(jù)處理能力提出更新、更高的要求。本次項(xiàng)目已經(jīng)在物理層和數(shù)據(jù)鏈路層實(shí)現(xiàn)星型組網(wǎng)，邏輯上可以通過(guò)LNS設(shè)備實(shí)現(xiàn)網(wǎng)狀拓?fù)洌捎跓o(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)初衷和無(wú)線(xiàn)系統(tǒng)性能所限，目前在網(wǎng)絡(luò)層仍使用的是靜態(tài)路由功能，網(wǎng)絡(luò)拓?fù)湟餐嘶癁閭鹘y(tǒng)的樹(shù)型拓?fù)洹：罄m(xù)需加大新技術(shù)學(xué)習(xí)和實(shí)踐創(chuàng)新，結(jié)合5G，SDN網(wǎng)絡(luò)等新技術(shù)，探索推動(dòng)無(wú)線(xiàn)災(zāi)備網(wǎng)絡(luò)向無(wú)線(xiàn)常備網(wǎng)絡(luò)演進(jìn)，與有線(xiàn)網(wǎng)絡(luò)實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)和協(xié)同發(fā)展。下一步，人行宿遷中支將堅(jiān)持“守正創(chuàng)新、安全可控”的基本原則，在總分行的統(tǒng)一領(lǐng)導(dǎo)下，為人民銀行網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型探索制度設(shè)計(jì)、驗(yàn)證技術(shù)路線(xiàn)、積累實(shí)踐經(jīng)驗(yàn)。

參考文獻(xiàn)：

[1]于少山，于鐵君. 人民銀行省級(jí)數(shù)據(jù)中心建設(shè)SDN網(wǎng)絡(luò)的思考與建議[J]. 金融科技時(shí)代，2019(5):65-68.

[2]韓志雄. 央行分支行網(wǎng)絡(luò)建設(shè)與運(yùn)營(yíng)管理的現(xiàn)狀、問(wèn)題及對(duì)策建議[J]. 金融科技時(shí)代，2017(12):75-78.

[3]楊正東. 基層央行網(wǎng)絡(luò)結(jié)構(gòu)扁平化的研究分析[J]. 金融科技時(shí)代，2017(5):61-63.

[4]任偉. 無(wú)線(xiàn)網(wǎng)絡(luò)安全問(wèn)題初探[J]. 信息網(wǎng)絡(luò)安全，2012(1):10-13. 

作者:蔡斌 楊志輝 單位:1.中國(guó)人民銀行南京分行 2.中國(guó)人民銀行宿遷市中心支行