基层人民银行无线灾备线路建设思考

导语：基层人民银行无线灾备线路建设思考一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

摘要：无线通信技术发展日新月异，为人民银行分支机构开展无线灾备网络建设提供了良好的产业条件和技术供给。人民银行宿迁市中心支行根据《中国人民银行信息技术“十三五”发展规划》要求，组织辖内县支行开展4G灾备线路建设。本文针对无线灾备网络的体系结构、网络搭建、路由选择、安全设计等具体内容进行了深入研究，并通过测试，有效验证了无线灾备网络的可行性、安全性和稳定性，为下一步工作提出意见和建议。

关键词：无线灾备网络；人民银行网络；网络架构转型

一、实施背景

无线通信技术发展日新月异，相关技术不断迭代突破。从上游的芯片、射频器件、光模块以及光器件等产业，到中游的系统集成、终端设备、IT支撑等业务领域，再到下游的移动通信运营商，产业链上下游企业持续开拓创新。技术进步带动产业发展，产业发展又促成相关技术被应用到经济社会的各个领域。在设备和线路不断降价的同时，无线网络的安全性、可靠性、易用性得到极大提升，为人民银行分支机构开展无线灾备网络建设提供了良好的产业条件和技术供给。相关研究表明，人民银行传统的网络数据传输模式呈现8/2的特点，即80%的数据流量在局域网内，20%的数据流量在局域网外。但随着人民银行系统“三集中”工作的开展，业务上收、资源整合、数据集中等工作逐渐完成，传统基层人民银行的网络流量发生了根本性、结构性的改变，由8/2变成了2/8模式。因此，维护网络系统的通畅日益成为人民银行各业务条线的履职基础，也成为基层人民银行科技工作的首要任务。然而，传统上基层人民银行分支机构的互联依托运营商的有线网络，虽然存在主备两条有线专线与上下级机构联系，但由于市政规划原因，不同运营商的线路一般布局在相近的物理区域内，一旦发生重大灾害、严重冲突等不可抗力事件，主备有线线路可能同时断开，且短时间内难以恢复，后果不堪设想。在此背景下，建设无线灾备网络呼之欲出。基于以上供需两方面背景，人民银行宿迁市中心支行根据《中国人民银行信息技术“十三五”发展规划》要求，在上级行的指导下，结合基层实际情况，组织辖内县支行开展4G灾备线路建设。工程实践得到了上级行的肯定，并在全省推广。本文针对无线灾备网络的体系结构、网络搭建、路由选择、安全设计等具体内容进行了深入研究，并通过测试，有效验证了无线灾备网络作为应急措施的可行性、安全性和稳定性，为下一步工作提供意见和建议。

二、体系结构

各县支行原有专线业务通过MSTP专线与中支实现互联互通，新增无线灾备线路拓扑结构如下：各结点部署一台4G路由器，使用运营商提供的4G拨号上网UIM卡；各结点原在网路由器新增电口与4G路由器连接；一台LNS设备（L2TP网络服务器）部署在运营商端，负责中心交换；每个结点4G路由器通过无线信号接入GGSN，并与LNS设备建立大二层VPN隧道，再通过LNS设备进行互访；最后通过静态路由方式实现中支和县支互连，如图1所示。

三、网络搭建

项目主要使用VPN技术在物理的公用网络上建立逻辑的专用网络，并利用加密技术、隧道技术、密钥管理技术和认证技术对数据进行封装。本方案的VPN技术结合了服务器、硬件、软件等多种方式，依赖的VPDN技术是基于拨号接入的虚拟专用网，是一种拨号的VPN。而LNS路由器是一台专门用于L2TP类型VPN接入、汇聚、认证的路由器，具体网络建立步骤是：4G路由器插上4G卡，通过4G网络访问有固定IP的LNS设备；LNS设备上设立L2TP拨号VPN、拨号域账号等信息；4G路由器向LNS发起L2TP拨号，LNS在验证账号合法后，与4G路由器建立VPN通道，至此虚拟链路通道建立。通道建立后，分组数据被以UDP的方式封装在L2TP的隧道内部，在中支与县支行之间流动。

四、路由选择

应急灾备网络启用时一般都是临危受命，因此必须实现路由快速收敛、网络快速恢复，同时由于无线网络本身性能受限和灾备环境恶劣，必须保障路由开销小、网络运行稳。传统有线网络一般使用动态路由协议，但有线网络拓扑结构复杂，手工配置静态路由不仅工作量大而且容易出现错误，而动态路由会自动发现和修改路由，避免了人工维护和操作失误，但动态路由协议开销大、初始协议配置复杂。相对的，静态路由则具有配置简单、稳定性好、无计算开销等特点，但路由选择完全依赖手动设置的路由表。实际上，动态路由协议是用额外的网络带宽、计算资源和运算时间来换取路由对网络拓扑变化的适应性，当前的无线灾备网络建设初衷并非着眼于无线网络的移动性，网络拓扑变化的需求远远小于对网络本身稳定性和即时性的需求，所以结合无线网络的特点和应急灾备的需求，4G无线灾备网络采用静态路由方式组织分组数据流向。有线路由使用OSPF路由协议，新增4G灾备线路路由只需在相应结点的原在网路由器上使用import-routestatic命令将静态路由项导入OSPF中即可。由于有线路由的优先级高于4G灾备线路路由，所以分组数据只有在有线路由失效的情况下才会选择4G灾备线路路由，实现路由自动选择功能，达到路由备份继而线路备份的目的。

五、安全设计

根据《中国人民银行网络安全管理规定》（银发〔2019〕169号）和《人民银行信息系统信息安全等级保护实施指引（试行）》（银发〔2011〕173号）等文件要求，人民银行业务网与其他各类内外部网络均需相互隔离，同时在网络边界需部署有重要网络安全设施。相较而言，有线网络的网络连接相对固定、网络边界相对确定，无线网络则没有一个明确的防御边界。同时，无线网络的开放性使得网络更容易受到被动窃听或主动干扰等各种攻击。所以安全设计是无线灾备网络建设的重要内容，本方案设置了3道安全措施。（一）接入认证。4G无线接入的AAA认证过程是对用户的域名进行鉴权认证，VPDN成员是以形式登录的，与互联网完全隔离。4G无线接入的AAA服务器对登录用户的域名和UIM卡进行绑定审核验证，验证通过后，方可接入4G网络。（二）转发检验。4G用户接入后需要进行第二次检查，即除了4G无线接入网对用户进行认证外，还将由LNS路由器对用户进行二次检查，二级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性，这进一步提高了网络安全性。LNS路由器与运营商PE之间通过CN2专线连接，保证用户数据与互联网物理隔离。（三）数据加密。当4G路由器通过接入认证、获得IP地址后，各无线结点之间的数据分组将被封装起来实现透明传输，同时传输将通过IPSec进行加密。IPSec引进了完整的安全机制，包括加密、认证和数据防篡改功能，解决了传统TCP/IP体系缺乏安全设计的问题。

六、测试

4G灾备线路建设中，人民银行宿迁市中心支行多次组织开展了4G灾备线路切换测试，完善了相关软硬件参数配置。测试中模拟两条有线专线同时出现中断的情况，在MSTP线路中断且端口保持UP的状态下，4G灾备线路速率经测试达到20-50M（目前有线专线的速率为20M），中支到县支的端到端ping时延为30-40ms，虽然不及有线专线的3-4ms，但可以满足紧急情况下的业务需求。测试阶段还重点验证了在发生不可抗力事件时的应对情况。具体是，假定有线网络基础设施大面积瘫痪，在完全由无线网络负载承压的环境下，运营商出动通信应急车，确保网络整体切换顺利、使用平稳。4G灾备线路费用主要包括设备投入、流量卡费用和电路费用，经招标实施，单卡40G免费流量，满足应急需要，项目整体建设和运行成本在可接受范围内。从总体评估看，4G灾备线路传输速率高，具有较好的安全性，设备简单、易用，线路租赁价格适中，符合基层人民银行业务连续性保障要求，达到线路建设的预期目标。

七、总结

一是制度设计和管理办法层面，做到制度化管理运维、常态化应急演练，坚持平战结合的指导思想。灾备管理制度设计总原则包括：统一领导，层层负责；未雨绸缪，预防为主；快速反应，协同合作。制度设计要覆盖安全管理机构、人员安全管理、系统安全管理和系统运维管理等多个领域。应根据年度计划安排，确保每年组织一次包括灾难模拟、人员集结、指挥决策等管理流程在内的综合性年度演练，演练前要制定能立即中断演练的应急预案，防止演练过程中出现真实一级以上事件，演练结束后应及时报送演练总结报告。最后，针对县支行网络技术队伍不足的问题，应加强对网络技术人才的培养，定期举办技术培训。建立常态化的科技人员上挂下派交流制度，让县支行的科技人员有更多技术实践机会和理论学习机会，缓解人员配置和工作安排不匹配造成的“吃不饱、吃不消”的情况。二是技术研究和创新应用层面，需扩大无线灾备体系的覆盖广度和加强应用深度。覆盖广度方面，需做到无线灾备网络对省市县三级人民银行机构全覆盖。目前，现有的有线网络体系架构属于树型结构，数据上联层层汇聚。树型结构的拓扑简单、层次分明，易于扩展和隔离局部网络故障，但是上联结点的故障会阻隔下联网络区域与其他网络区域的通信，数据上联层层依赖。因此，需要让县支行摆脱对地市中支级无线结点的依赖，切实提高无线灾备水平。应用深度方面，随着云计算、大数据、区块链等新技术的日趋成熟与应用普及，人民银行基础信息系统架构正在向虚拟化、扁平化转型，对分支行网络支撑能力和数据处理能力提出更新、更高的要求。本次项目已经在物理层和数据链路层实现星型组网，逻辑上可以通过LNS设备实现网状拓扑，但由于无线灾备网络系统设计初衷和无线系统性能所限，目前在网络层仍使用的是静态路由功能，网络拓扑也退化为传统的树型拓扑。后续需加大新技术学习和实践创新，结合5G，SDN网络等新技术，探索推动无线灾备网络向无线常备网络演进，与有线网络实现优势互补和协同发展。下一步，人行宿迁中支将坚持“守正创新、安全可控”的基本原则，在总分行的统一领导下，为人民银行网络架构转型探索制度设计、验证技术路线、积累实践经验。

参考文献：

[1]于少山，于铁君. 人民银行省级数据中心建设SDN网络的思考与建议[J]. 金融科技时代，2019(5):65-68.

[2]韩志雄. 央行分支行网络建设与运营管理的现状、问题及对策建议[J]. 金融科技时代，2017(12):75-78.

[3]杨正东. 基层央行网络结构扁平化的研究分析[J]. 金融科技时代，2017(5):61-63.

[4]任伟. 无线网络安全问题初探[J]. 信息网络安全，2012(1):10-13. 

作者:蔡斌 杨志辉 单位:1.中国人民银行南京分行 2.中国人民银行宿迁市中心支行