移动互联背景下，骨干网络如何建设？

　　大型金融企业在骨干网络建设的过程中，如何在更好融入互联网的同时，有效地解决安全问题？

　　移动互联技术的快速普及和深入应用，正在对传统的大型金融企业运营模式形成巨大冲击和挑战，金融企业不仅要为客户提供便捷及时的移动互联网服务，还要及时跟进获取瞬息万变的外部世界信息，以应对更加激烈的竞争环境，因此，对于想立于不败之地的大型金融企业来说，积极整合内外资源构建合理的商业生态以形成独特的竞争优势是必然的选择。如何构建企业网络，以应对在拥抱移动互联世界的同时防范和化解对金融企业至关重要的安全风险变得极其关键。本文拟从骨干网络建设角度来探讨在移动互联背景下大型金融企业如何更好地开展网络建设。（文中所指的大型金融企业是拥有完整的总、省、市、县以及营业网点在全国范围内开展业务的金融企业）

　　大型金融企业骨干网络建设回顾

　　一般而言，大型金融企业经过持续多年的建设，均已构建较为完善的骨干网络，伴随着业务总部集中，形成连通总、省、市、县及网点的树形骨干内部网络，少数企业顺应技术发展趋势率先完成内部网络的扁平化改造。互联网方面，企业内部部分机构网点有零星的互联网接入，与内部网络严格隔离，但互联网络建设既未形成体系，亦不承载业务运行。总体来看，骨干网络核心以内网为主，线路质量越来越稳定，带宽越来越大，由单一业务发展到支持综合业务，较好地支持业务发展需要。

　　（一）树形骨干内部网络

　　树形骨干网络以总部（亦指数据中心等信息资源集中的地方，下同）为根节点，形成总部、省级、地市级、区县级等4级网络架构，下级机构通过专用线路上联到上级机构，同时根据需要配置必要的冗余线路，带宽根据业务需要做出选择，省级之间的线路均为长途。上下级机构之间网络直接相通，同级通过上级机构进行通信。在网络管理和维护方面，由本级机构负责本级机构网络运行以及本级机构与下级机构的网络连接及维护工作。

　　随着数据不断集中到总部，业务访问方面原则上各级机构将不再依赖于上级机构，直接访问总部即可获取所需的服务。中间节点的存在不仅增加了网络的复杂性，而且其故障将导致整个下级节点的不可用，每个下级节点网络变化都将影响到与中间节点相连的下级节点的网络访问效率，整体网路访问链条较长，可靠性较低，并由此引起网络的可管理性和可扩展性不高，因此现有树形网络架构已经不再适应数据总部集中的形势。

　　（二）扁平化内部网络

　　树形骨干网络在数据总部集中的情况下已经成为制约网络通信的瓶颈，在探索可行途径的过程中，扁平化网络自然地进入人们的视野。

　　所谓扁平化网络就是指各级机构网点直接与数据中心相连（如图1所示），只有数据中心是中心节点，其余均为末端节点，每个末端节点根据需要配置合理的带宽及Qos。基于成本和维护方面的考虑，扁平化网络一般采取MPLS VPN技术利用运营商成熟的商业网络来构建，每个末端节点直接接在运营商的网络上，每个连接都是本地专线，而非长途。末端节点可直接访问中心节点。如有需要，不同节点之间可以实现互通。网络管理和维护较为简单，每个末端节点直接维护本地网络，所有网点运行信息利用运营商的监控工具可直接显示在总部的网络控制室，从而非常便捷地实现对全系统网络的监控和跟踪。

　　相比树形网络，扁平化网络有效地简化了网络，化解了中间节点的风险，降低了访问时延，同时由于采用本地线路，将会大大降低网络成本。

　　移动互联背景下大型金融骨干网络建设

　　毫无疑问，当前是移动互联的天下，对金融企业来说，既是机遇又是挑战。一方面，企业不得不在内网之外另行接入互联网；另一方面，互联网的存在又严重影响内网安全，这个问题在移动互联时代下愈加突出。解决办法主要有两个，一是全网全控，二是重点防护。全网全控就是在全系统实现互联网与内网的严格隔离，在现有的内部骨干网络之外加上层层防护，动用不断加码的安全措施，以求安全；重点防护就是缩小保护范围，将资源高度集中的数据中心内网通过严密的安全手段和措施保护起来，并开放安全的互联网访问通道，其余机构网点则全部推向互联网，直接利用互联网来构建遍布全系统的网络体系，通过互联网访问数据中心。这种模式我们称之为“大外网，小内网”，大外网是指连接数据中心和全系统各个网点的基于互联网的网络，小内网特指数据中心内部网络。

　　应该说内网延伸到哪里，危险就延伸到哪里，那里就需要严格保护。而安全不是取决于防护最好的那块，而是取决于防护最弱的那块，一旦攻破，畅通无阻的内网将会轻易的全部沦陷。但是对于遍布全系统的内网来说，由于涉及面广，安全措施众多，策略复杂，不仅成本巨大，效果不彰，而且对于频繁切换于内外网的用户来说，极不便利。因此对于大型金融企业来说，需要转换思维，改变策略，重点保护信息资源集结点数据中心才是合理而高效的，而将其他网点面向互联网开放，既可以便捷地访问互联网资源，又可以通过安全的通道访问数据中心的资源。基于此，本文将重点探讨如何基于互联网来建设遍布互联互通的全系统骨干网络，即大外网建设部分，而不涉及数据中心内部网络。

　　（一）基于移动互联网的大外网骨干网络方案

　　基于互联网的骨干网络就是将除数据中心之外的其余机构和网点完全互联网化，通过互联网接入数据中心（如图2所示）。

　　每个节点可根据需要连接1个或2个运营商，数据中心原则上需要连接多家运营商，以确保始终可以对外提供信息服务。每个节点内部网络布局如图3、图4和图5所示。

　　需要说明的是，该方案从一开始设计就是高可用的。一方面，数据中心之间通过高速环网互联并同时接入多家运营商互联网网络，从而保证始终可用；另一方面每个节点可通过VPN通道与任一数据中心相连，以确保在一中心故障时可实时访问另一中心以进行认证的同时访问所需的服务，每个节点也可以同时接入多家运营商网络，从而确保随时可以接入互联网。这也就是传统意义上的多活连接方案。

　　在整体方案设计中，移动互联接入作为重点予以考虑。组建移动互联网络，无线网络控制器（AC）和无线接入点设备（AP）是两类非常关键的设备，无线网络控制器通过无线接入点设备的管理，实现对诸如手机等无线接入设备的认证和管理。传统上，无线控制器与无线接入点设备部署于同一地方，类似于局域网，通过出口网关接入互联网，但是考虑到统一认证因素和成本因素，无线网络控制器可以统一集中部署于数据中心并形成无线网络连接资源池，以对全系统范围内的无线接入点设备进行管理。此时无线接入点设备与无线控制器通过VPN通道进行通信，从而极大限度节约无线控制器的数量，实现无线控制器的资源共享，而用户可以使用同一套用户名和密码平滑无缝地在全系统所有机构和网点自动接入移动互联网，无需人为干预。

　　需要说明的是无线网络设计也同样是高可用方案，所有网点均可通过VPN通道接入多中心，在一个中心出现故障时，自动连接另一中心，以实现用户的认证和设备管理。整体无线网络方案如图6所示。

　　（二）若干需要注意的关键因素

　　统一认证。为防止非法接入，进行了相应的认证设计，要实现用户能在所有机构和网点自动接入以及其对互联网的访问策略在所有机构和网点保持一致，也就是用户访问策略随身，本地认证无法解决这个问题。因此方案要求所有互联网接入的身份认证统一由位于数据中心的认证中心来完成，然后才能根据身份将互联网访问策略随时配置到访问点。总的来说认证方式可以根据实际需要进行很灵活的变化，模式可以多种多样并灵活组合，比如说既可以是很传统的用户名/密码认证，也可以结合手机/验证码方式，也可以结合微信或自有APP的二维码扫描进行身份认证，但是实现方式区分为有线网络和无线网络两种模式，现予分别说明。

　　有线网络认证方面，为杜绝非法接入，基于WEB认证，利用末端节点网关与数据中心之间构建的VPN通道与认证中心对接，实现对所有有线用户接入互联网的安全认证。

　　无线网络认证方面，用户认证主要基于802.1x标准，利用末端节点网关与数据中心之间构建的VPN通道，通过无线控制器+认证系统完成准入身份认证控制，如图8所示。

　　流量控制。为保证实际用户使用体验，优先保障重要业务数据，需在各末端节点专用流量控制设备或出口网关设备上进行相关流控配置，流量控制可根据用户身份和应用的不同而不同。

　　访问审计。为保障公司互联网信息安全，避免任何违法犯罪行为，通过专用行为管理设备或在出口网关设备上开启相关的行为审计功能，实现对用户访问互联网行为的信息记录，末端节点网关通过和认证服务器联动，将审计获取的内容通过用户IP，与用户登录账号以及真实姓名等信息进行关联，实现用户的实名制认证，方便快速查找和定位。同时定期(如网络空闲时段)通过IPsec VPN隧道将审计日志发送到数据中心的服务器进行集中保存管理。

　　设备管理。为方便日常运维管理，实现集中策略下发，确保故障设备快速业务恢复，利用网管系统实行对所有在网重点设备进行管理，制定定期自动配置备份任务以及按需编写对应的配置下发任务。

　　文/中国人寿保险股份有限公司信息技术部 豆昱