返回
金融行业3g无线安全接入解决方案

金融行业3g无线安全接入解决方案

ID:24840602

大小:1.13 MB

页数:12页

时间:2018-11-16

金融行业3g无线安全接入解决方案_第1页
金融行业3g无线安全接入解决方案_第2页
金融行业3g无线安全接入解决方案_第3页
金融行业3g无线安全接入解决方案_第4页
金融行业3g无线安全接入解决方案_第5页
资源描述:

《金融行业3g无线安全接入解决方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、3G无线安全接入解决方案3G无线安全接入解决方案锐捷网络第12页共12页3G无线安全接入解决方案目  录1、客户存在的困惑32、3G数据业务介绍33、解决方案63.1.整体方案概述63.2.安全保障措施84、附3G无线安全介绍9第12页共12页3G无线安全接入解决方案1、客户存在的困惑长期以来SDH/ATM/DDN等专线做为银行柜面网点、自助银行、离行式ATM、上门服务业务接入的唯一选择,很好地保障了金融业务的开展。但是这几年银行以下几点的变化,使得传统的专线存在一些不足:1、近年来银行部署了大量的离行式ATM机、查询机、自助银行,让客户体验到无处不在的便利服务。但是这些网点分散在大街小巷、

2、商场社区、甚至沿海省份海岛上、西北省份大型油田/电力/军队系统中,外部专线难以进入,影响布放点的选择和业务开展。2、银行为VIP客户提供上门办理业务的服务,需要移动网点。银行在学校/企业/大型会议提供的临时服务,需要临时网点。这两种需求都有一个共同的特点,机动灵活,但专线开通的周期长,机动灵活性不足。3、集约化已经成为银行经营管理的主旋律,银行更加关注成本及收益,大量的柜面网点由于重要性高,都要求采用双线路保证更高的可靠性,采用双专线线路备份成本高。尤其是备份线路,只在主线路故障时才启用,长期闲置,投资利用率低。2、3G数据业务介绍3G飞速发展2009年1月份国家工业与信息化部正式向移动、电

3、信、联通三家运营商分别颁发了TD-SCDMA、CDMA2000、WCDMA三张牌照,3G开始正式拉开序幕。通过3G用户可以实现无线宽带接入,在速度方面和2.5G相比有质的飞越,这使得3G在更多企业通讯场合中替代有线成为了可能。目前三种3G的理论速率如下:中国联通:WCDMA,下行7.2M,上行5.76M;中国移动:TD-SCDMA,下行2M,上行384K;中国电信:WCDMA2000,下行3.1M,上行1.8M;第12页共12页3G无线安全接入解决方案经过近一年的发展,3G无线信号已经覆盖了众多的城市,并且运营商仍不断在扩大覆盖的范围,优化信号质量。目前情况大致如下:中国联通:覆盖全国285

4、个城市(截止2009年9月)中国移动:覆盖全国238个城市(截止2009年底)中国电信:覆盖全国342个城市(截止2009年9月)3G的飞速发展为银行通过无线技术解决目前有线专线存在的问题,成为可能。3G两种数据业务3G用于企业数据通讯的业务可以归结为两种:一种是普通互联网业务;一种是无线VPDN业务(或无线DDN)。相对应就有两种解决方案:(1.自建VPN)(2.运营商VPDN)l第一种,通过互联网自建VPN的方案。网点路由器通过3G拨到普通互联网,总部出口架设一条直通互联网的专线,且分配公有地址。网点和总部的路由器之间直接建立IPSECVPN加密隧道。由于有些运营商为3G分配私有地址,运

5、营商内部要经过NAT,所以需要采用IPSECVPN穿越NAT的机制。第12页共12页3G无线安全接入解决方案l第二种,利用运营商提供的VPDN方案。网点路由器通过3G拨号至运营商的LAC设备,然后LAC设备通过专线和总部出口的路由器(即LNS)建立L2TPVPN隧道。然后网点路由器再与总部路由器,在L2TP基础之上建立IPSECVPN加密隧道。运营商可以通过策略使网点3GSIM卡,只开通VPDN服务,禁止互联网服务,这样即保证安全又可以防止员工非法使用。运营商和总部之间可以采用专线、城域网VPN等线路,针对银行一般采用SDH/MSTP等专线更加安全。两种方案优劣势的分析对比如下:l第一种方案

6、网点3G和总部出口链路都连接普通互联网,成本较低,但安全性较差,网点的3G和总部的链路不一定是同一家运营商,组网灵活性好。因此,适用于移动办公等应用场合。l第二种方案网点的3G只能拨到总部,总部采用专线,两端都和互联网隔离,安全性高,成本较高,网点的3G必须和总部的专线隶属同一家运营商,灵活性较差。因此适用于生产环境下的应用场合。第12页共12页3G无线安全接入解决方案3、解决方案3.1.整体方案概述如上图所示,网点采用路由器+3GMODEM,运营商需要有LAC及配套的AAA服务器。总部需要准备一台路由器(LNS),一条专线,一台AAA服务器。AAA服务器负责对3G用户进行认证并向LAC下发

7、该用户对应的LNS信息,LAC负责与LNS建立隧道。网点路由器的IP地址,可以静态指定也可以由AAA服务器分配(注:中国移动VPDN的3G用户地址空间不能随意分配,须按照移动的统一规划,使用地址空间)。解决方案建议网点端采用静态IP地址。LNS端路由器必须采用静态IP地址。锐捷RSR10/20可以直接扩展内置的3G卡,满足柜面网点、临时网点、上门服务车等环境中应用需求。为了增强安全性RSR10/20可以扩展国

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。