产品综合解决方案quidway金融网络

利用统一的计算机网络同时开展多种增值业务是各大银行应用系统的发展趋势将各种传统业务从专有系统环境移植到计算机网络上来不仅可通过计算机网络带来更佳的灵现逻辑上的实现不同类别业务的区别服务等等都是需要仔细设计的环节趋深刻而业务网络物理统一逻辑上要求安全的呼声也越来越高如何在统一的网络络设备供应商的共同问题技术致力于提供面向用户的可裁剪可扩展高效实施简便的专业化金融网络解决方案面向上述需求公司推出了基于Quidway系列网络产品平台MPLS和IPSEC技术的 MPLS多协议交换技术最初是用来提高路由器的转发速度而一个协议但MPLS在流量工程和IPMPLS已日益成为扩大IP网络规模的重要标准MPLS协议的关键是引入了Label交换概念是一种短的易于处理的不包含拓扑信息只具有局部意义的信息内容基于BGP4的MPLS技术是一种运营级的技术在网状网以及需要在同一个IP网络上承载多个相互独立的的时候MPLS表现出强大的扩展性和高性能基于MPLS的特性必须实现如下功能LDPLabelDistributionProtocol分布协议是MPLS的信令协议用以管理和分配MPLS转发模块根据报文上的标签和本地映射表进行二三层间交换MBGP和BGP扩展用来传递路由和承载属性QoS信息等内容路由管理的扩展建立多路由表用以支持路由在MPLS网络中有必要引入三个概念CECustomEdge用户SitePEProviderEdgeCEP路由器ProviderRouterCE在运营网中MPLS的网络构造由服务提供商来完成在这种网络构造中由服务提供商向用户提供服务用户感觉不到公共网络的存在就好像拥有独立的网络资源一样同样在金融企业网络中实现MPLS业务对于使用业务的不同类别用户来说PCE直接相连的路由器而言也不知道有的存在而仅仅负责骨干网内部的数据传输 的构建连接和管理工作都是在PE上进行的PE位于服务提供商网络的边缘从PE的角度来看用户的通的IP系统被视为一个site 每一个site通过CE与PE相连site是构成 的基本单元一个 是由多个site组成的一个site也可以同时属于不同的属于同一个的两个site通过服务提供商的公共网络相连数据在公共网络上必须要保证数据传输的私有性和安全性 也就是说从属于某个的site发送出来的报文只能转发到同样属于这个的site里去而不能被转发到其他site中去同时任何两个没有共同的site的都可以使用的地址空间即在用户的私有网络中使用自己独立的地址空间而不用考虑是否与其他或公网的地址空间这也是MPLS适合多业务多用户网络使用的主要原因之一公司MPLS/BGP解决方案可以为金融网络提供一种基于网络易于管理扩充性好安全且具有QoS保障可在任意节点间连接的1基于网络易于管理这种基于网络的可以完全由骨干网络来实现不同业务用户可将的管理完全托管给骨干网络管理机构即最终业务网络用户完全感觉不到该业务网与其他业务网络的集成就像使用物理上独立的一套网络一样不用了解是如何构造和连接的由骨干网络管理机构在其网络内构建完成MPLS可以显著地减少运营商和用户的投资特别适合于金融企业用户集中多业务网络实现Intranet2扩充性好由于基于MPLS/BGP实现因此很容易对网络节点进行扩充网络可3安全由于基于MPLS/BGP实现报文在网络节点构成的MPLS域中采用转发的形式进行交换LSP因此具有同ATM/FR虚电路相同的安全级别4QOS:由于基于MPLS/BGP实现可以利用MPLS技术特有的CoSRSVP,流量工程等机制从而能够为用户实现有QoS保证的QuidwayMPLS采用虚拟路由表的方法来实现一个路由器上多个的路由表每一个对应一个或多个VRFs(routing/forwardinginstance)VRFPE上的成员(一个site)资格一个VRF包括一个IP路由表一个FIB(forwardinginformationtable)表相关联的端口和一些控制路由的规则和参数VRFFIB对应一个路由表和一个FIB表PE路由器可通过静态路由RIPBGPCEIP前缀的路由该IPv4的前缀然后PE8RD(routedistinguisher)将它转换成为一个-IPv4的前缀该前缀属于-IPv4的前缀通过这种方法可以使用户地址唯一即使用户使用的是IANA规定的保留地址用于生成-IPv4RD(routedistinguisher)PE路由器的VRFMBGP协议为的每个-IPv4前缀传递NLRI(NetworkLayerReachabilityInformation)BGP实体之间的通信出现在两个地方ASiBGPASEBGPPE-PEPE-RR(routereflector)iBGPPE-CEEBGPBGP协议通过BGP多协议扩展(BGP,MultiprotocolExtensionsforBGP-4)来传递-的同伴处得到BGP路由PECElabellabel作为一BGPCommunitiesBGPPECE路由器IPPElabelIPPE路labeledIP包后将labelIP包中去除作为一个纯IPCE路由器当labeledIP包在骨分传递时其基于labelswitching或trafficengineered进行一个用户的IP包在穿行时携带了2层QuidwayMPLS/BGP在基于Qudiway产品组建的MPLS网络结构中所有网络节点以及部分骨干层节点都可以设置业务,这些网络节点都作为PE路由器这些路由器可以是QuidwayNE系列路由器也可以是QudiwayR3600系列路由器由于PE节点的特殊性和工作量较大对于网络结构比较复杂数量较多的网络建议全部采用QuidwayNE系列产品组建PE之间的互联可以通过骨干层P路由器进行也可以直接进行互联图示为一个企业的内部私网相对于主干网来说所有的site属于几个就可以用几个RD来标识图中假设RD1010属于储蓄业务用户而RD99和RD90分别属于另两种业务用户假设是OA和等等作为MPLS的最大特点之一不同的业务可以使用相同的地址段这对于结构庞大地址资源严重不足的用户来说是IPV6以外的另对于中心节点上的共有资源如DB以及金融的大型机等设施可以通过三层交换机来实现互联不同的PE不同的VLAN子接口接入三层交换机通过三层交换机访问公共资源返回的数据报文通过VLAN信息进入正确的VLAN从而回到正确的中如果不同中的地址段重复PEVLANNAT地址转换将其转换到企业网公有地址段中对于INTERNET等应用同样可以采取鉴于目前金融网络结构特点对于层次较多而且要求高安全性较高的需求公司提供了结合MPLS+Ipsec的组合解决方案全面支持当前金融网络系统的网络过渡与上一部分我们全网MPLS相区别在这一部分描述的解决方案中我们在边缘网络的选择现有通用技术如L2TPGRE IPsec等 GRE和IPSEC是目前广泛使用的 技术L2TP是一种二层隧道协目前使用已经较少GRE这种三层隧道技术以其广泛的兼容性和的简单性获得了大面积的使用配合IPSEC提供的安全特性GRE+IPSEC已经成为隧道技术应用的典考虑GRE+IPSEC实施方案的一个目的是在实现私有网的同时兼顾网络的高安全性正如用户所顾虑的在敏感数据网越靠近边缘往往从制度上保证的安全措施越薄弱而对台的情况下充分考虑实施的安全特性正如图三显示的我们在省行以下的实施主要依靠两个协议进行与上级MPLS的对接实现在PE设备QudiwayNE08/16E/3600设备上图中的红色虚线显示了IPSEC隧道的起止位置为了解决IPSEC对网络系统的资源占用问题对于隧PEQuidwayR3600IPSEC隧道网关在R3600上扩展一块根据需要或者是两块公司的处理器模块就可以集中高效的处理来自下级网络各地市县分支处理点建立的IPSEC隧道加任务从而实现安全的接入在Quidway的实施建议中加密算法最高可以选择3DES进行下端地市县的分理处处于IPSEC星型结构的末端支持此算法不必要使用硬件加密卡关于IPSEC以及相关技术可以参考公司提供的白皮书以及解决方案文档相关文档可以在公司数据通信 上获取GRE802.1QVLAN实现各业务系统的二层在路由器的入端口网络操作系统通过IP报文的子网信息或者直接依据802.1QTAG进行流的分类区别普通OA和支付数据报文支付报文直接进入GRE隧道打上GRE的隧道报文头在该路由器上行接口上配置策略应用IPSEC再次封装GRE数据流数据流被IPSEC加密加密后的报文流向广域网在PE节点隧道对端IPSEC报文到达广域网路由器式是直接解GRE封装进入MPLS 另式是通过其以太网口首先流入QuidwayR3600进行IPSEC 后的报文为GRE报文报文通过以太网回到广域网路由器NE16/08/3600广域网设备直接通过GRE隧道信息剥离GRE报文头将内部数据送入相应的MPLS中其反向操作类似这样一个全程的接续流程完通过在不同网络层面实现不同技术的方式使得金融机构可以作到在对原有网络结构设备改动尽可能的小的情况下在各个边缘网络之内由于结构上的灵活性可以GRE+IPSEC的方案也可以根据实际情况选用其它的技术从中心MPLS的工作原理上说都是可以实现顺利对接但出于敏感网络对安全特性的严格要求建议在特别是边缘使用的非安全保障上实施IPSEC的128或其以上密钥长度的加密1的安全保直接构建在公用网上实现简单方便灵活但同时其安全问题也更为突出企业必需要确保其上传送的数据不被者窥视和篡改并且要防止用户对网络资源或私有信息的在MPLS网络中使用形式进行报文的转发具有和ATM/FR虚电路相同的安全级别可以保证通常应用的数据安全在安全性要求很高的场合可以应用加密隧道则进一步保护了数据的私有性完整性使数据在网上传送而不被窥视与篡改例如用户中的用户需要有很重要数据通过网络发送可以通过IPSEC配置加密隧道选择性传送加密隧道可以在用户路由器CE设备及其以下设备上配置2Internet的安全防 发地址转换用来实现私有网络地址与公有网络地址之间的转换地址转换的优点在于了内部网络的实际地址外部网络不可能穿过地址来直接内部网络支持带控制列表的地址转换通过配置用户可以指定能够通过地址转换的主机以有效地控制内部网络对外部网络的结合地址池还可以支持多对多的地址转换更有效地利用用户的合法IP地址资源Quidway IP报文的IP报头及所承载的上层协议如TCP报头的每个域包含了可以由路由器 IP的源目的地址及协议域TCP或UDP的源目的端口ICMP码ICMP由这些域的各式各样的组合形成不同的规则比如要从主机到主IPIPIP的协议域= 目的端口= Qudiway支持基于接口的滤即可以在一个接口的进出两个方向上对报文进Quidway同时支持基于时间段的滤可以规定过滤规则发生作用的时间范围比如可设置每周一的8:00至20:00允许FTP报文而其余时间则FTP连接在时用在应用上具有极大的灵活性使用滤规则可以根据网络的特点和数据包经过网络的特点灵活的设计不同的安全规则来保护网络的安全在解决方案中滤可以设置在各个业务的出口也可以设置在整个企业网的出口在互通的不同应用共同的资