首页>解决方案>路由器解决方案>迈普金融4G解决方案
迈普金融4G解决方案

一、3G应用中遇到的挑战

难题1上行带宽低,链路质量不稳定。

目前3G带宽最高的中国联通,有效上行带宽也是在200~800kbps之间浮动。离行ATM普遍具有三个摄像头,每个摄像头至少占用256kbps的上行带宽。对于离行ATM有视频回传要求的银行,只能保证一路或两路的视频回传,极大限制了离行ATM视频监控业务的开展。

VTM虚拟柜员机已经开始应用,国内的交通银行、海外的汇丰银行都已经开始规模部署。

初步估算VTM机最低的上行带宽要求是3.5Mbps。3G链路带宽无法满足要求,因此VTM机目前无法脱离专线网络。这极大的限制了VTM机向更丰富的地理区域部署,没有规模化就无法真正达到银行降低人力成本的目的。

3G的无线链路为多用户共享频谱资源,基站的接入用户数增加会导致信噪比下降,表现在链路的延迟不稳定。这导致视频这种延迟敏感型应用效果不理想,限制了规模化使用。

 

难题2移动终端安全管控。

客户经理登门推广、办理业务已经成为各大银行业务拓展的新形势,笔记本、平板电脑成为客户经理的必备之物。这种外派的业务模式在规模和人员上也处于逐年增长的态势,每个外派终端都有权限接入到银行的办公网或者生产网中。这就打破了传统有线网络下,银行已经很稳固的安全机制。如何解决大量外派移动终端的安全管控即将成为银行科技部门面临的棘手难题。

 

难题33G应用的高可用性

在3G规模应用的这三年中,迈普在大量案例的调研分析基础上,提炼出了两大难题:

专线切换3G时,VPDN拨号失败;由于3G无线侧用户在基站处是基于共享资源的方式,基站接入用户数到达上限后,会拒绝新用户的接入。

双3G切换机制不合理,过去的机制是基于PPP的Keepalive报文检测和无线侧的空口信号强度。前者只能检测3G路由器到运营商LAC端的链路通断,后者只能检测3G路由器到基站侧的链路质量,而且无线干扰影响振幅,及时信号强数据吞吐量也会很差。

3G是备份线路,缺乏高可用性会使得3G应用失去了存在的意义,解决可用性难题是3G应用的生死存亡之战。

 

难题4数字证书

银行广泛使用的数字证书基于RSA非对称密码算法,在计算机硬件处理能力急速增长的年代,RSA唯有使用更长的密钥采用保证安全性。2048bit的密钥是确保安全最低长度,更高安全等级的应用已经采用3072bit甚至4096bit的密钥长度。过长的密钥在存储、签名速度方面导致了较大的问题。

 

二、迁移到4G的考虑因素

1、迁移成本

分为工期和投资两个角度去考虑。经过三年的建设,3G应用已成规模,大量的3G接入终端若是全部更换基本相当于重新建设,需要投入大量的资金并重新消耗大量的建设时间。这就有悖于3G应用灵活、便宜的初衷了。因此,现有的3G方案必须能够支持平滑过渡到4G网络,没有重复的设备投资。

 

2、设备性能

LTE为3.9G,理论速率为100Mbps下行和50Mbps上行。LTE advanced为真正的4G,可以达到1Gbps的下行和500Mbps的上行,该技术已经离开实验室开始试用。为了满足将来无需更换3G/4G接入路由器的目的,现有路由器3G模块每个槽位的带宽至少需要满足LTE无线侧双向吞吐量的性能升级要求。

 

3、部署规模

由于4G网络更加扁平化,LTE 无线链路在带宽、延迟、丢包等线路质量方面已经与专线媲美。4G的到来可以使得离行ATM、VTM可以脱离有线网络的束缚,部署到更加广阔的地理区域,未来五年将会迎来离行机具的大爆发。

这种爆发表现在银行可以根据热点区域的需求及争夺高附加值客户的需要,将离行机具的部署规模上升一个等级,在现有的汇聚平台出额外增加1-2倍的离行机具数目。从业务集中性和风险集中性平衡的角度出发,迈普建议汇聚平台汇聚接入点未来需要扩容,但最大接入不超过1200个点。

如果不加密视频应用,这要求汇聚路由器至少支持240Mbps的国密加密能力,如果加密视频应用需要汇聚路由器至少支持1.5Gbps的国密加密能力。离行ATM及网点灾备应用中每台路由器需要建立一个L2TP隧道打通接入路由器与LNS路由器的二层链路,加密每种应用需要建立一个IPSEC隧道,生产和视频应用同时加密需要2个IPSEC隧道。因此,汇聚路由器至少需要支持1200个L2TP隧道和2400个IPSEC隧道的能力。

 

4、移动终端管控

银行外派移动终端数量逐年增长,使用人员范围逐步扩大。必须要有一个完善的平台来控制移动终端接入银行内网,并能够对移动终端进行有效的管控,从而降低银行内网的安全风险。

 

三、迈普金融4G解决方案

 

方案特点:

 

 

   1、平滑过渡

迈普金融4G方案在网络架构、网络协议上没有任何改变,银行客户仅仅需要将原有3G路由器的3G模块升级为4G模块即可完成平滑升级。迈普为银行客户在升级改造上带来最短的工期和最低的投资。

迈普从三个方面完成平滑过渡:

(1)整网架构:迈普金融4G方案的固定终端接入区中仍然采用IPSEC over L2TP的协议架构,这与3G应用完成一致。证书软件、认证软件、E3G运维软件均可以沿用到4G方案中。

(2)汇聚路由器:迈普MP7500系列路由器具备300Mbps国密加密性能及12~48MPPS的处理能力,满足现有规模的3G应用全部升级到4G线路的性能要求。未来五年金融进入移动互联时代,银行客户需要大量扩容离行ATM、VTM得到规模应用、离行机具视频加密并回传,这需要现有的汇聚平台具备很高的处理性能和国密加密性能。迈普MP7500E路由器能够满足用户未来五年的需求,MP7500E路由器处理能力最低200MPPS,具有最高2Gbps的国密加密性能。

(3)接入路由器:MP1800/2800 3G接入路由器3G模块每个槽位预留了400M带宽,MP2900路由器3G模块每个槽位预留了1G带宽。充分满足了升级到TD LTE 乃至LTE advanced的带宽需求。

2、两种LTE制式

迈普4G路由器支持TD LTE 和FDD LTE,其中TD LTE为中移动模式,FDD LTE为联通、电信模式,支持3G/4G模块混用,3G备份4G线路。TD LTE杭州实测在100%加扰环境下,上行达到了3.69Mbps,下行达到了11.54Mbps,满足离行ATM视频监控业务全面开展及VTM机的规模应用。

LTE上行采用OFDMA编码,下行采用SC-FDMA编码,链路延迟更稳定。LTE整网更加扁平化,在e-NODE B处部署QOS,即无线与有线的交汇处部署QOS,整网QOS效果更好。

 

3、移动终端安全管控

迈普金融4G解决方案创造性的提出了移动接入区的概念,即利用SSL VPN技术结合安全网关将外派移动终端借助3G/4G专网统一接入到现有的3G外联区中。迈普的移动终端接入方案具有如下优势:

(1)VRC客户端软件兼容性高。能够兼容笔记本windows系统,IPAD的IOS各个版本操作系统,安卓从2.X到4.X的各个版本。

(2)VRC客户端可以记录用户的登陆日志及应用程序访问日志,通过后台系统可以对外派人员的使用行为进行有效记录。

(3)使用区域及时间控制。结合迈普E3G平台,可以灵活的设置外派终端的使用地理区域及使用时间。外派人员只有在规定的地点及时间才能借助3G/4G专网连入银行内网,最大限度的保障了银行内网安全。

(4)双因素认证。为解决外派终端丢失,非常人员介入银行内网的安全隐患。迈普的接入方案支持用户名密码+数字证书和短信认证+数字证书的双因素认证模式。确保非银行员工即使获得外派终端也无法接入银行内网。

 

4、高可用性

迈普基于三年来大量案例的收集和分析,解决了目前困扰3G备线大量应用的两个难题。

专线切换3G,VPDN拨号失败

迈普创造性的提出3G一直在线,按需建立IPSEC的方式解决了此问题。设备开通后,3G会一直在线,流量通过有线专线转发。专线中断后触发建立IPSEC隧道,流量切换到3G备线。该方法3G线路只有保活流量,每月10M左右,可以保证3G备线100%可用。

全新的双3G切换机制

迈普创造性的提出了基于链路的IP SLA触发切换的机制,包括:链路延迟、链路丢包、链路抖动。实现了双3G切换基于整体链路质量的机制,使得双3G切换更贴合实际应用。

 

5、SM2数字证书

SM2算法是国产认证、加密算法,与RSA均为非对称加密算法。目前是国家商用密码办公室强制推行的一款数字证书算法。256bit的SM2算法具有等同于2048bitRSA算法的安全性。因此SM2算法对存储空间要求低,签名速度快,硬件实现更简单。

迈普是获得了国家商用密码管理办公室的销售许可,路由器及网关产品也在国家商用密码管理办公室的产品目录里。

 

四、核心产品

    3G/4G接入路由器:MP1800系列;MP2800系列;2900系列;IMR800系列LNS

    汇聚设备:MP7500/MP7500E/3800路由器,VPN3000系列网关

    IPSec加密:MP1800/2800 /2900/3800/7500均支持国密SM1/SM2算法

    AAA服务器:由迈普AAS软硬一体服务器承担

    证书服务器:由MPSec CMS证书服务器承担,支持SM2算法

    管理维护平台:由迈普E3G软件、PoliceMaster软件


关注我们


更多资讯,尽在迈普官方微信