金融分支网络自动化构建方案

需求与挑战

在现代金融、保险企业单位规模扩张的过程中,总部以外,会出现越来越多的分支机构、办事处、门店等分支,例如保险公司在汽车4S店中都会设有办公点,现场为用户输入资料到总部,下载并打印保险合同等。这种分支机构数量非常庞大,地理位置分散,企业在部署、维护中需要花费大量人力,由于无法进行有效的远程监控与管理,往往难以保证网络的高可靠性,由此带来了新的挑战与需求。

l 成本降低

由于分支数量庞大,一般不会使用专线,而是通过ADSL拨号等方式接入公网然后与总部通讯。同时为了降低人力成本也不会配备专门的技术维护人员驻守分支,技术人员奔波于各分支机构部署、维护的成本也是比较可观的,还无法保证网络时刻都处于正常可用的状态。

l 可维护性

一般企业总部的网络设备都会有专门的管理员或管理团队维护其正常运作,而分支机构、办事处、门店数量较多,一般无法都配备专门的管理员,这就对分支机构的网络设备在可维护性上提出了较高的要求。

l 可扩展性

随着企业的扩张,分支机构的数量也会随之增加,这就要求企业网络具有良好的可扩展性,当分支机构增加时,不需要对已经存在的网络进行大的调整,即可增加新的分支机构。

l 安全性高

由于使用ADSL等广域公共网络,因此需要对企业的重要数据进行加密保护,防止企业机密的泄漏或重要数据被篡改。

技术分析

金融企业用户面对的种种难题实际上可以归结为管理问题。TR069的出现正是为了解决这样的问题。TR069是由DSL论坛(www.dslforum.org)所开发的技术规范之一,其全称为“CPE广域网管理协议”。它提供了对下一代网络中用户网络设备进行管理配置的通用框架和协议,用于从网络侧对用户网络中的网关、路由器、机顶盒等设备进行远程集中管理。这里所提到的用户网络设备即指DHCPNAT方式连接到公网上的设备,现有的SNMP/TELNET/SSH等传统远程管理方式无法对其进行管理。

考虑到成本,对于规模较小的分支机构、办事处、门店等,网络接入上会使用经济实惠的DSL接入方式,由于设备数量繁多、部署分散,且通常位于用户侧,采用这种接入方式不易进行设备的管理和维护。TR069协议提出通过ACSAuto-Configuration Server,自动配置服务器)对CPECustomer Premises Equipment,用户侧设备)进行远程集中管理,解决CPE设备的管理困难,节约维护成本,提高问题解决效率。

综合来看,TR069主要完成四个方面的工作:

l 一是用户设备自动配置和动态的业务配置。对于ACS来说,每个用户设备可以在协议中对自己作出标志(例如型号、版本等),根据可设定的规则,ACS可以对某一个特定用户设备,也可以对某一组用户设备下发配置。CPE可以在开机后自动请求ACS中的配置信息,ACS也可在需要时主动发起配置。通过该功能可以实现用户设备的“零配置安装”功能,或是从网络侧控制业务参数的动态改变;

l 二是对用户设备的软件、固件管理。TR069协议提供了对用户设备中的软件、固件进行管理和下载的功能。ACS可以识别用户设备的版本号,决定是否远程更新其软件版本,并且在更新完成后能够得知是否成功。例如,当用户设备需要加载软件以实现新的业务功能时,或是当前软件存在必须修复的bug时,通过该功能可以实现对用户设备的远程管理升级;

l 三是对用户设备的状态和性能进行监测。TR069定义了ACS对用户设备的状态和性能进行监测的手段。其中包括一些通用的性能参数,可以反映当前用户设备的工作状态。另外还提供了标准的语法,运营商可以定义额外的参数;

l 四是对通信故障的诊断。TR069还定义了用户端自我诊断和报告的能力,例如在ACS的指示下,用户端可以通过ping或其它手段检查用户端与网络业务提供点之间的连通性、带宽等,检测结果返回给ACS。这样,运营商在远端操作,就可以对用户申告的设备故障进行简单定位,并作相应的处理。

TR069采用了成熟的通信协议、开放的面向对象的管理信息架构,具有强大的灵活性和可扩充能力,可以满足各类远端用户的设备管理和配置需求。随着越来越多的设备支持TR069,该协议必将成为IP层以上业务的主流配置方式。

解决方案

出于成本方面的考虑,在使用昂贵的专线之外可以用ADSL拨号、3G无线上网等接入公网的方式,其中3G无线上网方式可以带来更大的灵活性或者作为备份链路;由于使用了公共网络,需要考虑提高安全性。IPsec协议能够为Internet上传输的数据提供高质量的、可互操作的、基于密码学的安全保证,并在IP层提供安全服务,是一种传统的实现三层VPN的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据。因此IPsec协议成为了最好的选择。

1 金融分支网络组网示意图

通过ADSL拨号/3G无线上网加上IPsec VPN就可以在有效控制成本的前提下对业务数据进行安全可靠的传输。若进一步考虑分支网络的可维护性及可扩展性,最大程度减少网络设备的部署、维护工作量,可以使用TR069协议。通过TR069协议,可以实现对分支网络中的网络设备进行远程集中管理的功能,大大降低维护人员到各个分支机构现场部署、维护网络设备以及后期运维的工作量。

综合来看,整个解决方案基本成形了(如图1):通过ADSL/3G等方式接入公网解决分支接入成本问题;在分支与总部之间使用IPsec VPN—解决接入安全问题;通过TR069协议进行远程集中管理解决了维护性问题。还剩下可扩展性需求一条,实际上这一点可以通过网络管理软件来实现。例如H3CiMC BIMSBranch Intelligent Management System,分支网点智能管理系统)平台,可以方便、直观地对远程设备进行集中式管理(图2)。另外H3C还提供了iMC IVM组件(如图3)进行IPsec VPN的规划、部署与监控。更可以通过IVMBIMS的联动,结合IVMIPsec VPN业务的管理与BIMS平台对远程(分支)设备的管理能力,实现分支机构“零配置”部署。

2 iMC BIMS管理系统

3 iMC IVM组件

下面就解决方案的流程进行描述:

1. 网络规划

对于总部、分支机构的内部资源进行统一规划,考虑到今后分支机构可能增加,需要为以后的扩展预留出资源;确定总部IPsec VPN网关的公网地址,需要申请固定的公网IP地址;确实iMC BIMS管理系统安装服务器的地址,也需要申请固定的公网IP地址;确定IPsec VPN相关参数;确定BIMS相关参数。

2. 设备出厂配置及网管部署

设备在出厂前进行预配置,以便实现在分支机构“零配置”部署,预配置主要涉及BIMS服务器的相关信息,以便分支设备上电后可以与BIMS服务器通信并被纳入管理。

总部网管人员将设备的型号、OUI、序列号,以及发送分支机构的信息等录入BIMS系统,并根据这些信息与网络规划在iMC IVM管理系统中进行IPsec VPN业务部署,IVM系统在部署时发现分支设备(设备安装并连接到公网之后)为远程设备,根据设置好的BIMS服务器信息,直接将分支设备的配置传递给BIMS系统等待下发。

3. 分支机构设备部署及业务开通

当设备到达分支机构后,进行简单的安装后连接到公网(ADSL/3G)。设备上电后,会通过公网直接访问BIMS服务器请求配置,这时之前在IVM系统传递给BIMS系统的配置会自动下发到分支设备上来,从而实现了分支“零配置”部署。

4 自动化构建流程图

结束语

网络自动化构建正成为当下比较热门的话题,并给企业带来立竿见影的好处:节约成本,提高可维护性与可扩展性,增强安全性。网络自动化构建同时也给大中企业提出了挑战,H3C通过使用TR069协议给出了完美的解决方案,同时通过使用智能网管iMCIVMBIMS组件,大幅降低了管理难度。在不久的将来,该解决方案还将全方位支持在金融分支网络中的自动化构建。