摘 要：為了滿足農(nóng)村合作金融業(yè)務(wù)服務(wù)的連續(xù)性、安全性和實(shí)效性的綜合需求，也為了保證農(nóng)村合作金融各個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)及離行式ATM網(wǎng)點(diǎn)通信傳輸通道時(shí)刻暢通和安全、穩(wěn)定地運(yùn)行，結(jié)合農(nóng)村商業(yè)銀行網(wǎng)點(diǎn)的分布的實(shí)際情況，為克服有線通信網(wǎng)絡(luò)容易受路政、市政等工程影響的不利因素，本方案提出了有關(guān)利用3G網(wǎng)絡(luò)來實(shí)現(xiàn)轄區(qū)內(nèi)地面通信線路的思路方向，詳細(xì)做了工程模塊設(shè)計(jì)、網(wǎng)絡(luò)拓補(bǔ)、3G路由器選型與配置，并且在實(shí)際工程施工中，營(yíng)業(yè)網(wǎng)點(diǎn)無線3G網(wǎng)絡(luò)成功接入及省聯(lián)社科技中心，實(shí)現(xiàn)了最初的設(shè)計(jì)目標(biāo)，得到基于3G無線VPN網(wǎng)絡(luò)完全可以作為全轄金融網(wǎng)點(diǎn)有線通信傳輸通道備份的結(jié)論，為提升農(nóng)村商業(yè)銀行金融網(wǎng)點(diǎn)業(yè)務(wù)運(yùn)行的連續(xù)性提供了保障。并使移動(dòng)式金融服務(wù)業(yè)務(wù)柜臺(tái)成為可能。

關(guān)鍵詞：3G；農(nóng)村合作金融；VPDN；MSTP

中圖分類號(hào)：F832.35

近年來，農(nóng)村商業(yè)銀行正大量興建離行式自助銀行服務(wù)區(qū)和社區(qū)銀行。因此對(duì)金融業(yè)務(wù)服務(wù)的連續(xù)性和安全性都提出了更高的要求。為保障業(yè)務(wù)需求能得到有力的支撐，滿足越來越多的大數(shù)據(jù)量傳輸?shù)臉I(yè)務(wù)需要，采用3G網(wǎng)絡(luò)來實(shí)現(xiàn)省內(nèi)備份通信線路成為網(wǎng)絡(luò)改造的一個(gè)思路。

1 農(nóng)村合作金融網(wǎng)絡(luò)的現(xiàn)狀

之前的農(nóng)村合作金融網(wǎng)絡(luò)通信系統(tǒng)用至今日，已不能滿足業(yè)務(wù)發(fā)展需求。尤其是新的業(yè)務(wù)系統(tǒng)上線之后，圖像、音頻和視頻數(shù)據(jù)傳輸使得數(shù)據(jù)傳輸量驟然增加，這使得傳輸鏈路帶寬面臨空前壓力。另一方面，近幾年各地市政工程施工，光纜常被挖斷，造成網(wǎng)點(diǎn)營(yíng)業(yè)停止。因此有必要建設(shè)一套穩(wěn)定的基于3G無線備份通信線路，確保營(yíng)業(yè)網(wǎng)點(diǎn)服務(wù)的連續(xù)性，為客戶提供安全穩(wěn)定的金融服務(wù)。

2 技術(shù)簡(jiǎn)介

2.1 VPDN（Viaual Private Dial-up Network）

又稱虛擬專用撥號(hào)網(wǎng)絡(luò)，其本質(zhì)是VPN業(yè)務(wù)的一種，它采用點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）撥號(hào)的方式接入網(wǎng)絡(luò)，用L2TP協(xié)議建立安全鏈路隧道，從而安全穩(wěn)定地傳輸數(shù)據(jù)，并采用安全協(xié)議對(duì)數(shù)據(jù)進(jìn)行封包和加密。它是利用IP網(wǎng)絡(luò)的承載功能結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制建立起來的安全的VPN。

2.2 3G（the 3rd Generation）技術(shù)

指第三代移動(dòng)通信技術(shù)，3G更是移動(dòng)多媒體通信系統(tǒng)，提供包括語(yǔ)音、傳真、數(shù)據(jù)、多媒體娛樂和全球無縫漫游等，3G技術(shù)能夠同時(shí)傳送聲音（通話）及數(shù)據(jù)信息（電子郵件、即時(shí)通信等），其特點(diǎn)是提供高速數(shù)據(jù)業(yè)務(wù)，完全可以滿足實(shí)際業(yè)務(wù)需要。

3 系統(tǒng)架構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)

3.1 主干網(wǎng)絡(luò)

3.1.1 網(wǎng)絡(luò)節(jié)點(diǎn)分類和鏈路類型。省聯(lián)社網(wǎng)絡(luò)中心，這是整個(gè)網(wǎng)絡(luò)的核心節(jié)點(diǎn)；地市分中心；市（縣）行社匯聚中心；營(yíng)業(yè)網(wǎng)點(diǎn)既是MSTP樹狀網(wǎng)絡(luò)結(jié)構(gòu)中最底層的葉子節(jié)點(diǎn)，也是3G無線VPDN星型網(wǎng)絡(luò)結(jié)構(gòu)中眾多的外圍節(jié)點(diǎn)。各級(jí)節(jié)點(diǎn)之間的有線數(shù)據(jù)傳輸鏈路均為MSTP數(shù)據(jù)專線，根據(jù)不同需求，傳輸帶寬不用；營(yíng)業(yè)網(wǎng)點(diǎn)至省聯(lián)社網(wǎng)絡(luò)中心的備用數(shù)據(jù)通信鏈路為3G-VPDN線路。

3.1.2 網(wǎng)絡(luò)拓補(bǔ)圖。網(wǎng)絡(luò)結(jié)構(gòu)大致可分為主用網(wǎng)絡(luò)和備用網(wǎng)絡(luò)兩部分。

3.2 備用3G-VPDN網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

3.2.1 設(shè)備選型。網(wǎng)點(diǎn)路由器：H3C MSR2011（支持USB口的3G上網(wǎng)卡）；省中心至運(yùn)營(yíng)商接入路由器：H3C SR6604；接入?yún)^(qū)域交換：H3C S5500；防火墻：H3C F1000。

3.2.2 設(shè)計(jì)規(guī)劃。備份網(wǎng)絡(luò)用三個(gè)運(yùn)營(yíng)商并行接入的模式，以使3G信號(hào)能覆蓋至所有網(wǎng)點(diǎn)。大致可以分為“接入網(wǎng)絡(luò)區(qū)域”和“身份驗(yàn)證區(qū)域”。網(wǎng)點(diǎn)路由器MSR2011通過3G撥入省中心的接入網(wǎng)絡(luò)，經(jīng)身份驗(yàn)證后，建立指定的L2TP隧道，連入內(nèi)網(wǎng)。

3G接入?yún)^(qū)由兩臺(tái)F1000E和三臺(tái)接SR6604組成。三臺(tái)SR6604作為L(zhǎng)NS端和運(yùn)營(yíng)商側(cè)的LAC端建立L2TP隧道，同時(shí)負(fù)責(zé)和各個(gè)網(wǎng)點(diǎn)（或離行ATM、移動(dòng)服務(wù)終端）的3G路由器建立L2TP會(huì)話；兩臺(tái)F1000E作為3G業(yè)務(wù)IPSEC通道的終點(diǎn)，和各個(gè)網(wǎng)點(diǎn)用戶的MSR2011之間建立IPSEC通道。3G接入?yún)^(qū)兩臺(tái)F1000E和核心交換區(qū)的兩臺(tái)核心交換機(jī)之間口子型相連。各臺(tái)接入路由器與主F1000E均進(jìn)行連接。

每一個(gè)運(yùn)營(yíng)商對(duì)應(yīng)一臺(tái)SR6604，和對(duì)應(yīng)運(yùn)營(yíng)商的LAC設(shè)備建立一對(duì)一的L2TP隧道，并和通過該運(yùn)營(yíng)商接入的3G路由器之間建立L2TP會(huì)話。

主F1000E分別和各個(gè)3G路由器之間建立IPSEC通道，對(duì)于每個(gè)3G路由器和兩個(gè)F1000E虛擬出的VRRP地址建立IPSEC通道，兩臺(tái)設(shè)備互為備份。

3.2.3 技術(shù)方案重點(diǎn)。（1）3G接入?yún)^(qū)為3臺(tái)SR6604和2臺(tái)F1000之間屬于同一個(gè)廣播域中。其中每臺(tái)SR6604上行2條鏈路通過3層聚合連接到2臺(tái)S5500。為防止在兩臺(tái)S5500上出現(xiàn)MAC地址漂移的現(xiàn)象，不能簡(jiǎn)單地將S5500只作為2層交換機(jī)，上行連接到F1000，下行連接到SR6604，2臺(tái)S5500通過2層聚合互聯(lián)，而應(yīng)該把兩臺(tái)S5500通過IRF2進(jìn)行堆疊，同時(shí)把S5500上和SR6604相連的兩個(gè)端口進(jìn)行跨設(shè)備聚合。然后在兩臺(tái)2臺(tái)S7506中，通過OAA把流量引到IPS板卡上，通過路由模式把流量引到防火墻插卡上；（2）訪問控制。Console采用本地認(rèn)證，VTY采用本地認(rèn)證，并給VTY配置入方向的ACL，所有會(huì)話設(shè)置超時(shí)時(shí)間；在設(shè)備本地配置的密碼信息應(yīng)該設(shè)置為cipher格式，避免以明文的形式出現(xiàn)；關(guān)閉非必須服務(wù)，如http、ftp等，保留telnet、ntp、snmp等服務(wù)；設(shè)置日志主機(jī)，啟用info-center，記錄設(shè)備運(yùn)行過程中產(chǎn)生的關(guān)鍵日志信息；部署NTP協(xié)議；遠(yuǎn)程登錄均采用ssh訪問登錄。

4 結(jié)束語(yǔ)

通過上述設(shè)計(jì)和配置，網(wǎng)點(diǎn)路由器在有線網(wǎng)中斷后，短時(shí)間內(nèi)啟用3G-VPDN線路，并順利通過安全驗(yàn)證，實(shí)現(xiàn)對(duì)省中心的實(shí)時(shí)訪問?；緦?shí)現(xiàn)了設(shè)計(jì)目標(biāo)。此方案亦可以作為擴(kuò)展移動(dòng)終端業(yè)務(wù)和離行式自助銀行服務(wù)項(xiàng)目的可選方案。

參考文獻(xiàn)：

[1]聶恩旺，董保華.基于3G無線VPDN網(wǎng)絡(luò)備份通信線路的實(shí)現(xiàn)[J].現(xiàn)代電子技術(shù)，2012（23）：49-51.

[2]丁琳娜，張鳳登.虛擬專用網(wǎng)（VPN）及其隧道技術(shù)研究[J].電腦知識(shí)與技術(shù)，2009（03）：2072-2073.

[3]羅建平.淺析VPDN技術(shù)[J].中國(guó)數(shù)據(jù)通信，2003（12）：27-30.

[4]黃曦.虛擬專用網(wǎng)VPN各種技術(shù)的實(shí)現(xiàn)機(jī)制與應(yīng)用分析[J].信息通信，2013（04）：76.

[5]張銳.3G VPDN專網(wǎng)在無線電監(jiān)測(cè)網(wǎng)中的應(yīng)用探討[J].中國(guó)無線電，2011（08）：26-28.

[6]魏晶晶.基于VPN的全數(shù)字化遠(yuǎn)程視頻監(jiān)控系統(tǒng)的架構(gòu)與實(shí)現(xiàn)[J].電子世界，2012（08）：83-84.

作者單位：安徽理工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，安徽淮南 232001；淮南市郵政局信息技術(shù)中心，安徽淮南 232000