国家 / 地区
docurl=/cn/Solution/TechnologySolution/InterConnect/Business_Software/TerminalAccess/Solution/201801/1055483_30004_0.htm

金融分支网络自动化管理方案

【发布时间:2018-01-03】

方案相关内容

本文对目前金融机构企业在分支机构网络部署上遇到的需求与挑战进行了分析,针对金融分支各种场景下的配置管理问题,H3C在零配置管理方案,本文将对零配置方案及应用场景进行阐述。

需求与挑战

在现代金融机构规模扩张的过程中,总部以外,会出现越来越多的分支机构、网点、支公司、营业部等分支,这种分支机构数量非常庞大,地理位置分散,金融机构在部署、维护中需要花费大量人力,由于无法进行有效的远程监控与管理,往往难以保证网络的高可靠性,由此带来了新的挑战与需求。

http://www.h3c.com.cn/res/201203/20/20120320_1332829_01_728549_30004_0.gif成本降低

由于分支数量庞大,一般不会使用专线,而是通过ADSL拨号等方式接入公网然后与总部通讯。同时为了降低人力成本也不会配备专门的技术维护人员驻守分支,技术人员奔波于各分支机构部署、维护的成本也是比较可观的,还无法保证网络时刻都处于正常可用的状态。

http://www.h3c.com.cn/res/201203/20/20120320_1332829_01_728549_30004_0.gif可维护性

一般金融机构总部的网络设备都会有专门的管理员或管理团队维护其正常运作,而分支机构、网点、支公司、营业部数量较多,一般无法都配备专门的管理员,这就对分支机构的网络设备在可维护性上提出了较高的要求。

http://www.h3c.com.cn/res/201203/20/20120320_1332829_01_728549_30004_0.gif可扩展性

随着金融机构的扩张,分支机构的数量也会随之增加,这就要求金融机构网络具有良好的可扩展性,当分支机构增加时,不需要对已经存在的网络进行大的调整,即可增加新的分支机构。

http://www.h3c.com.cn/res/201203/20/20120320_1332829_01_728549_30004_0.gif安全性高

由于使用ADSL等广域公共网络,因此需要对金融机构的重要数据进行加密保护,防止金融机构机密的泄漏或重要数据被篡改。

技术分析

所谓零配置管理方案,即在设备上电后,网络管理员与现场设备零接触的情况下,自动完成远程设备的业务下发及配置维护。要实现这个目标,首先需要看一下相关的技术支撑。

TR069是由DSL论坛(现更名为Broadband,http://www.broadband-forum.org/)推出的技术规范,其全称为“CPE广域网管理协议”。它提供了对下一代网络中用户网络设备进行管理配置的通用框架和协议,用于从网络侧对用户网络中的网关、路由器、机顶盒等设备进行远程集中管理。基于该协议,初始安装时,用户设备会自动寻找管理服务器,建立连接后即可与服务器通信,实现自动配置升级、软件版本管理、状态监控及故障诊断。如图1所示。

http://www.h3c.com/cn/res/201308/21/20130821_1653678_image002_728551_30004_0.png

图1 TR069协议

在TR069协议的基础上,零配置管理方案中进行了创新,通过DHCP报文来实现管理服务器的IP地址以及用户名、密码等信息的传递,从而实现 “零配置”。如图2所示,在零配置管理服务器(BIMS)上预先制定设备配置策略,远程的网络设备无需任何配置,上电后向DHCP服务器请求IP地址,DHCP服务器在向网络设备反馈IP地址的同时,向网络设备提供管理服务器的访问地址。网络设备随即通过TR069协议向服务器发起配置请求,服务器根据网络设备的类型或序列号下发相应的配置内容,完成网络设备的自动配置。

http://www.h3c.com/cn/res/201308/21/20130821_1653679_image003_728551_30004_0.png

图2零配置管理方案

综合来看,TR069主要完成四个方面的工作:

http://www.h3c.com.cn/res/201203/20/20120320_1332829_01_728549_30004_0.gif一是用户设备自动配置和动态的业务配置。对于ACS来说,每个用户设备可以在协议中对自己作出标志(例如型号、版本等),根据可设定的规则,ACS可以对某一个特定用户设备,也可以对某一组用户设备下发配置。CPE可以在开机后自动请求ACS中的配置信息,ACS也可在需要时主动发起配置。通过该功能可以实现用户设备的“零配置安装”功能,或是从网络侧控制业务参数的动态改变;

http://www.h3c.com.cn/res/201203/20/20120320_1332829_01_728549_30004_0.gif二是对用户设备的软件、固件管理。TR069协议提供了对用户设备中的软件、固件进行管理和下载的功能。ACS可以识别用户设备的版本号,决定是否远程更新其软件版本,并且在更新完成后能够得知是否成功。例如,当用户设备需要加载软件以实现新的业务功能时,或是当前软件存在必须修复的bug时,通过该功能可以实现对用户设备的远程管理升级;

http://www.h3c.com.cn/res/201203/20/20120320_1332829_01_728549_30004_0.gif三是对用户设备的状态和性能进行监测。TR069定义了ACS对用户设备的状态和性能进行监测的手段。其中包括一些通用的性能参数,可以反映当前用户设备的工作状态。另外还提供了标准的语法,运营商可以定义额外的参数;

http://www.h3c.com.cn/res/201203/20/20120320_1332829_01_728549_30004_0.gif四是对通信故障的诊断。TR069还定义了用户端自我诊断和报告的能力,例如在ACS的指示下,用户端可以通过ping或其它手段检查用户端与网络业务提供点之间的连通性、带宽等,检测结果返回给ACS。这样,运营商在远端操作,就可以对用户申告的设备故障进行简单定位,并作相应的处理。

TR069采用了成熟的通信协议、开放的面向对象的管理信息架构,具有强大的灵活性和可扩充能力,可以满足各类远端用户的设备管理和配置需求。随着越来越多的设备支持TR069,该协议必将成为IP层以上业务的主流配置方式。

解决方案

出于成本方面的考虑,在使用昂贵的专线之外可以用ADSL拨号、3G无线上网等接入公网的方式,其中3G无线上网方式可以带来更大的灵活性或者作为备份链路;由于使用了公共网络,需要考虑提高安全性。IPsec协议能够为Internet上传输的数据提供高质量的、可互操作的、基于密码学的安全保证,并在IP层提供安全服务,是一种传统的实现三层VPN的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据。因此IPsec协议成为了最好的选择。

通过ADSL拨号/3G无线上网加上IPsec VPN就可以在有效控制成本的前提下对业务数据进行安全可靠的传输。若进一步考虑分支网络的可维护性及可扩展性,最大程度减少网络设备的部署、维护工作量,可以使用TR069协议。通过TR069协议,可以实现对分支网络中的网络设备进行远程集中管理的功能,大大降低维护人员到各个分支机构现场部署、维护网络设备以及后期运维的工作量。

H3C的iMCBIMS(Branch Intelligent Management System,分支网点智能管理系统)平台,可以方便、直观地对远程设备进行集中式管理(图3)。另外H3C还提供了iMC IVM组件(如图4)进行IPsec VPN的规划、部署与监控。更可以通过IVM与BIMS的联动,结合IVM对IPsec VPN业务的管理与BIMS平台对远程(分支)设备的管理能力,实现分支机构“零配置”部署。

http://www.h3c.com.cn/res/201111/01/20111101_1272467_image002_728551_30004_0.jpg

图3 iMC BIMS管理系统

http://www.h3c.com.cn/res/201111/01/20111101_1272468_image003_728551_30004_0.jpg

图4 iMC IVM组件

下面就解决方案的流程进行描述:

1. 网络规划

对于总部、分支机构的内部资源进行统一规划,考虑到今后分支机构可能增加,需要为以后的扩展预留出资源;确定总部IPsec VPN网关的公网地址,需要申请固定的公网IP地址;确实iMC BIMS管理系统安装服务器的地址,也需要申请固定的公网IP地址;确定IPsec VPN相关参数;确定BIMS相关参数。

2. 设备出厂配置及网管部署

设备在出厂前进行预配置,以便实现在分支机构“零配置”部署,预配置主要涉及BIMS服务器的相关信息,以便分支设备上电后可以与BIMS服务器通信并被纳入管理。目前,零配置解决方案可通过U盘、3G短信和DHCP方式实现CPE设备的自动化配置启动。

总部网管人员将设备的型号等相关参数,以及发送分支机构的信息等录入BIMS系统,并根据这些信息与网络规划在iMC IVM管理系统中进行IPsec VPN业务部署,IVM系统在部署时发现分支设备(设备安装并连接到公网之后)为远程设备,根据设置好的BIMS服务器信息,直接将分支设备的配置传递给BIMS系统等待下发。

3. 分支机构设备部署及业务开通

当设备到达分支机构后,进行简单的安装后连接到公网(ADSL/3G)。设备上电后,会通过公网直接访问BIMS服务器请求配置,这时之前在IVM系统传递给BIMS系统的配置会自动下发到分支设备上来,从而实现了分支“零配置”部署。

结束语

网络自动化构建正成为当下比较热门的话题,并给金融机构带来立竿见影的好处:节约成本,提高可维护性与可扩展性,增强安全性。网络自动化构建同时也给大中金融机构提出了挑战,H3C通过使用TR069协议给出了完美的解决方案,同时通过使用智能网管iMC的IVM与BIMS组件,大幅降低了管理难度。在不久的将来,该解决方案还将全方位支持在金融分支网络中的自动化构建。