XX金融机构技术服务案例

　　一、 项目背景

　　XX金融机构VPN工程是该单位的全国性工程，整个全网工程包含有19个省市，每一个省市都设置一个中心端，接入省内各个地市的分支机构。在本次全国网工程中每个省涉及的设备主要有：2套SecPath1000F，60-300套SecPath10F，1套BIMS，1套IP设备网管系统，100-500个移动客户端。中心端涉及的设备为：2套Secpath1000F，1套BIMS，1套IP设备网管系统，分支机构涉及的设备主要有1套SecPath10F和多套移动VPN客户端。本次工程主要是各省VPN中心端Secpath1000F、BIMS以及IP设备网管系统的安装调测及试运行。

　　二、 业务需求

　　本次XX金融机构网络改造，主要需要解决以下几个问题：

　　A.构建VPN网络，实现业务系统的安全访问：目前在XX金融机构网络上承载的应用系统包括OA系统、业务系统等等，所有应用的系统在一个VLAN内。各业务系统的流向主要是省公司核心到地州和县级节点，地州和县级节点之间也存在少量互访。

　　B.网络向县级节点延伸：全省约有县区级节点数量100多个，目前只有部分县区节点与上级地市建立了网络连接，通过本次网络改造，需要实现新增若干节点通过2M带宽的ADSL接入运营商网络，以IPSec VPN与省中心建立连接。

　　C.节点的接入采用IPSEC+L2TP技术，远程移动办公的接入采用身份认证锁SecKey技术确保从公网接入到XX金融机构内部网络的安全性。

　　三、 组网方案

　　网络解决方案总体思路：

　　A.在XX金融机构省公司节点放置两台SecPath 1000 F高性能安全网关作为备份网络的核心接入设备，使用VRRP，实现省公司核心节点的双机热备，提高网络可靠性。线路通过电信运营商的ADSL网络连接省公司以及县级节点，由于业务要穿越公网，必须采用安全性高的IPSec协议技术来构建VPN网络，同时要实现与公网的安全隔离。考虑到IPSec技术对路由器资源的耗费较高，XX金融机构采用专用的VPN安全网关来组网，如上图所示，在各级节点的Internet出口处都部署一台VPN安全网关设备通过ADSL网络与省公司网络互连，利用VPN安全网关的强大防火墙功能实现对内部业务专网的隔离保护。

　　B.各级节点VPN网关：考虑到从省公司到地州到县各级节点的业务量的差异，以及整网建设成本的问题，在各级节点的VPN网关选择不同档次的设备产品，在省公司节点选择H3C公司的高性能高可靠SecPath1000F专用VPN安全网关，县一级采用SecPath10F。

　　四、 实施经验

　　本项目是XX金融机构为开拓农村市场，发展乡镇一级营业网点而进行的网络建设。由于XX金融机构地处我国西部，地理环境比较复杂，地市及网点负责人技术水平参差不齐，在施工过程中遇到了许多困难。部分网点地处偏僻山区，到达施工现场就需要盘行三、四个小时的山路，且当地运营商没有竞争，服务态度极差，虽然在去现场前已千叮万嘱线路要事先到位，但实际情况则是很少有地方可以做到。针对施工过程中的面临的困难，我方建议采用如下方式：首先将网点设备配置好，然后在每个地市找三个左右的网点进行试点，且在试点过程中对地市技术负责人进行简单培训，使其掌握基本安装方法，并将安装方法编辑成手册，最后由地市技术负责人安装当地其他网点设备。该方式不仅可以加快施工进度，节约人力成本，且地市工程师在安装过程中亦具备了基本的维护能力，今后设备运行中的一般性问题可由当地技术人员处理，提高了故障处理的响应速度，增强了网络的可靠性。经过与客户领导的沟通，并在一个地市进行试点，效果良好，客户满意度较高。

2016年01月