導語：基層人民銀行無線災備線路建設思考一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：無線通信技術發展日新月異，為人民銀行分支機構開展無線災備網絡建設提供了良好的產業條件和技術供給。人民銀行宿遷市中心支行根據《中國人民銀行信息技術“十三五”發展規劃》要求，組織轄內縣支行開展4G災備線路建設。本文針對無線災備網絡的體系結構、網絡搭建、路由選擇、安全設計等具體內容進行了深入研究，并通過測試，有效驗證了無線災備網絡的可行性、安全性和穩定性，為下一步工作提出意見和建議。

關鍵詞：無線災備網絡；人民銀行網絡；網絡架構轉型

一、實施背景

無線通信技術發展日新月異，相關技術不斷迭代突破。從上游的芯片、射頻器件、光模塊以及光器件等產業，到中游的系統集成、終端設備、IT支撐等業務領域，再到下游的移動通信運營商，產業鏈上下游企業持續開拓創新。技術進步帶動產業發展，產業發展又促成相關技術被應用到經濟社會的各個領域。在設備和線路不斷降價的同時，無線網絡的安全性、可靠性、易用性得到極大提升，為人民銀行分支機構開展無線災備網絡建設提供了良好的產業條件和技術供給。相關研究表明，人民銀行傳統的網絡數據傳輸模式呈現8/2的特點，即80%的數據流量在局域網內，20%的數據流量在局域網外。但隨著人民銀行系統“三集中”工作的開展，業務上收、資源整合、數據集中等工作逐漸完成，傳統基層人民銀行的網絡流量發生了根本性、結構性的改變，由8/2變成了2/8模式。因此，維護網絡系統的通暢日益成為人民銀行各業務條線的履職基礎，也成為基層人民銀行科技工作的首要任務。然而，傳統上基層人民銀行分支機構的互聯依托運營商的有線網絡，雖然存在主備兩條有線專線與上下級機構聯系，但由于市政規劃原因，不同運營商的線路一般布局在相近的物理區域內，一旦發生重大災害、嚴重沖突等不可抗力事件，主備有線線路可能同時斷開，且短時間內難以恢復，后果不堪設想。在此背景下，建設無線災備網絡呼之欲出?；谝陨瞎┬鑳煞矫姹尘?，人民銀行宿遷市中心支行根據《中國人民銀行信息技術“十三五”發展規劃》要求，在上級行的指導下，結合基層實際情況，組織轄內縣支行開展4G災備線路建設。工程實踐得到了上級行的肯定，并在全省推廣。本文針對無線災備網絡的體系結構、網絡搭建、路由選擇、安全設計等具體內容進行了深入研究，并通過測試，有效驗證了無線災備網絡作為應急措施的可行性、安全性和穩定性，為下一步工作提供意見和建議。

二、體系結構

各縣支行原有專線業務通過MSTP專線與中支實現互聯互通，新增無線災備線路拓撲結構如下：各結點部署一臺4G路由器，使用運營商提供的4G撥號上網UIM卡；各結點原在網路由器新增電口與4G路由器連接；一臺LNS設備（L2TP網絡服務器）部署在運營商端，負責中心交換；每個結點4G路由器通過無線信號接入GGSN，并與LNS設備建立大二層VPN隧道，再通過LNS設備進行互訪；最后通過靜態路由方式實現中支和縣支互連，如圖1所示。

三、網絡搭建

項目主要使用VPN技術在物理的公用網絡上建立邏輯的專用網絡，并利用加密技術、隧道技術、密鑰管理技術和認證技術對數據進行封裝。本方案的VPN技術結合了服務器、硬件、軟件等多種方式，依賴的VPDN技術是基于撥號接入的虛擬專用網，是一種撥號的VPN。而LNS路由器是一臺專門用于L2TP類型VPN接入、匯聚、認證的路由器，具體網絡建立步驟是：4G路由器插上4G卡，通過4G網絡訪問有固定IP的LNS設備；LNS設備上設立L2TP撥號VPN、撥號域賬號等信息；4G路由器向LNS發起L2TP撥號，LNS在驗證賬號合法后，與4G路由器建立VPN通道，至此虛擬鏈路通道建立。通道建立后，分組數據被以UDP的方式封裝在L2TP的隧道內部，在中支與縣支行之間流動。

四、路由選擇

應急災備網絡啟用時一般都是臨危受命，因此必須實現路由快速收斂、網絡快速恢復，同時由于無線網絡本身性能受限和災備環境惡劣，必須保障路由開銷小、網絡運行穩。傳統有線網絡一般使用動態路由協議，但有線網絡拓撲結構復雜，手工配置靜態路由不僅工作量大而且容易出現錯誤，而動態路由會自動發現和修改路由，避免了人工維護和操作失誤，但動態路由協議開銷大、初始協議配置復雜。相對的，靜態路由則具有配置簡單、穩定性好、無計算開銷等特點，但路由選擇完全依賴手動設置的路由表。實際上，動態路由協議是用額外的網絡帶寬、計算資源和運算時間來換取路由對網絡拓撲變化的適應性，當前的無線災備網絡建設初衷并非著眼于無線網絡的移動性，網絡拓撲變化的需求遠遠小于對網絡本身穩定性和即時性的需求，所以結合無線網絡的特點和應急災備的需求，4G無線災備網絡采用靜態路由方式組織分組數據流向。有線路由使用OSPF路由協議，新增4G災備線路路由只需在相應結點的原在網路由器上使用import-routestatic命令將靜態路由項導入OSPF中即可。由于有線路由的優先級高于4G災備線路路由，所以分組數據只有在有線路由失效的情況下才會選擇4G災備線路路由，實現路由自動選擇功能，達到路由備份繼而線路備份的目的。

五、安全設計

根據《中國人民銀行網絡安全管理規定》（銀發〔2019〕169號）和《人民銀行信息系統信息安全等級保護實施指引（試行）》（銀發〔2011〕173號）等文件要求，人民銀行業務網與其他各類內外部網絡均需相互隔離，同時在網絡邊界需部署有重要網絡安全設施。相較而言，有線網絡的網絡連接相對固定、網絡邊界相對確定，無線網絡則沒有一個明確的防御邊界。同時，無線網絡的開放性使得網絡更容易受到被動竊聽或主動干擾等各種攻擊。所以安全設計是無線災備網絡建設的重要內容，本方案設置了3道安全措施。（一）接入認證。4G無線接入的AAA認證過程是對用戶的域名進行鑒權認證，VPDN成員是以形式登錄的，與互聯網完全隔離。4G無線接入的AAA服務器對登錄用戶的域名和UIM卡進行綁定審核驗證，驗證通過后，方可接入4G網絡。（二）轉發檢驗。4G用戶接入后需要進行第二次檢查，即除了4G無線接入網對用戶進行認證外，還將由LNS路由器對用戶進行二次檢查，二級的AAA服務器將鑒別VPDN成員的用戶名和密碼的正確性，這進一步提高了網絡安全性。LNS路由器與運營商PE之間通過CN2專線連接，保證用戶數據與互聯網物理隔離。（三）數據加密。當4G路由器通過接入認證、獲得IP地址后，各無線結點之間的數據分組將被封裝起來實現透明傳輸，同時傳輸將通過IPSec進行加密。IPSec引進了完整的安全機制，包括加密、認證和數據防篡改功能，解決了傳統TCP/IP體系缺乏安全設計的問題。

六、測試

4G災備線路建設中，人民銀行宿遷市中心支行多次組織開展了4G災備線路切換測試，完善了相關軟硬件參數配置。測試中模擬兩條有線專線同時出現中斷的情況，在MSTP線路中斷且端口保持UP的狀態下，4G災備線路速率經測試達到20-50M（目前有線專線的速率為20M），中支到縣支的端到端ping時延為30-40ms，雖然不及有線專線的3-4ms，但可以滿足緊急情況下的業務需求。測試階段還重點驗證了在發生不可抗力事件時的應對情況。具體是，假定有線網絡基礎設施大面積癱瘓，在完全由無線網絡負載承壓的環境下，運營商出動通信應急車，確保網絡整體切換順利、使用平穩。4G災備線路費用主要包括設備投入、流量卡費用和電路費用，經招標實施，單卡40G免費流量，滿足應急需要，項目整體建設和運行成本在可接受范圍內。從總體評估看，4G災備線路傳輸速率高，具有較好的安全性，設備簡單、易用，線路租賃價格適中，符合基層人民銀行業務連續性保障要求，達到線路建設的預期目標。

七、總結

一是制度設計和管理辦法層面，做到制度化管理運維、常態化應急演練，堅持平戰結合的指導思想。災備管理制度設計總原則包括：統一領導，層層負責；未雨綢繆，預防為主；快速反應，協同合作。制度設計要覆蓋安全管理機構、人員安全管理、系統安全管理和系統運維管理等多個領域。應根據年度計劃安排，確保每年組織一次包括災難模擬、人員集結、指揮決策等管理流程在內的綜合性年度演練，演練前要制定能立即中斷演練的應急預案，防止演練過程中出現真實一級以上事件，演練結束后應及時報送演練總結報告。最后，針對縣支行網絡技術隊伍不足的問題，應加強對網絡技術人才的培養，定期舉辦技術培訓。建立常態化的科技人員上掛下派交流制度，讓縣支行的科技人員有更多技術實踐機會和理論學習機會，緩解人員配置和工作安排不匹配造成的“吃不飽、吃不消”的情況。二是技術研究和創新應用層面，需擴大無線災備體系的覆蓋廣度和加強應用深度。覆蓋廣度方面，需做到無線災備網絡對省市縣三級人民銀行機構全覆蓋。目前，現有的有線網絡體系架構屬于樹型結構，數據上聯層層匯聚。樹型結構的拓撲簡單、層次分明，易于擴展和隔離局部網絡故障，但是上聯結點的故障會阻隔下聯網絡區域與其他網絡區域的通信，數據上聯層層依賴。因此，需要讓縣支行擺脫對地市中支級無線結點的依賴，切實提高無線災備水平。應用深度方面，隨著云計算、大數據、區塊鏈等新技術的日趨成熟與應用普及，人民銀行基礎信息系統架構正在向虛擬化、扁平化轉型，對分支行網絡支撐能力和數據處理能力提出更新、更高的要求。本次項目已經在物理層和數據鏈路層實現星型組網，邏輯上可以通過LNS設備實現網狀拓撲，但由于無線災備網絡系統設計初衷和無線系統性能所限，目前在網絡層仍使用的是靜態路由功能，網絡拓撲也退化為傳統的樹型拓撲。后續需加大新技術學習和實踐創新，結合5G，SDN網絡等新技術，探索推動無線災備網絡向無線常備網絡演進，與有線網絡實現優勢互補和協同發展。下一步，人行宿遷中支將堅持“守正創新、安全可控”的基本原則，在總分行的統一領導下，為人民銀行網絡架構轉型探索制度設計、驗證技術路線、積累實踐經驗。

參考文獻：

[1]于少山，于鐵君. 人民銀行省級數據中心建設SDN網絡的思考與建議[J]. 金融科技時代，2019(5):65-68.

[2]韓志雄. 央行分支行網絡建設與運營管理的現狀、問題及對策建議[J]. 金融科技時代，2017(12):75-78.

[3]楊正東. 基層央行網絡結構扁平化的研究分析[J]. 金融科技時代，2017(5):61-63.

[4]任偉. 無線網絡安全問題初探[J]. 信息網絡安全，2012(1):10-13. 

作者:蔡斌 楊志輝 單位:1.中國人民銀行南京分行 2.中國人民銀行宿遷市中心支行