• 快捷搜索
  • 全站搜索

社区银行DMVPN解决方案探究

2017-10-27 19:39:50作者:招商银行上海数据中心 杨凯编辑:金融咨询网
目前,多数社区银行或基层金融服务站点多选址在居民小区物业楼内,其网络接入环境与分行数据中心机房不能同日而语,安全管理力度也远不及分行核心机房,往往运营商的信息接入手段也相对单一,安全风险较大。

社区银行金融服务的开展离不开安全可靠且成本较低的lT系统基础环境。目前,多数社区银行或基层金融服务站点多选址在居民小区物业楼内,其网络接入环境与分行数据中心机房不能同日而语,安全管理力度也远不及分行核心机房,往往运营商的信息接入手段也相对单一,安全风险较大。

静态IPSec VPN解决方案

  由于社区银行、ATM机等远端分支通过运营商第三方线路与总部连接,因此在建设过程中,除了保证灵活的部署外,需要针对数据传输制定合理的安全策略和方案,防止信息在ATM机等分支终端与数据中心的传输过程中被监听、窃取。
  
  IPSec VPN作为一项成熟的技术,利用组织已有的互联网出口,虚拟出一条“逻辑专线”,将组织的分支机构和总部连接起来,组成一个大的加密局域网。IPSec VPN最显著的特点是:身份认证,即只受信任的对方通信;所有数据只通过密文传输,保障了安全性。目前比较典型的IPsec VPN技术实现方式是传统的静态IPSec VPN和动态DMVPN。
  
        在site-to-site VPN的解决方案中,传统静态IPSec VPN解决方案最常见。对于各个分支机构来说,只需在路由器/防火墙上开启IPSec服务即可建立IPSec隧道。但在实际应用中,考虑到社区银行网点众多,而且一些分支机构用的是电话线缆或3G网络,这些分支机构不可能全部申请静态IP地址,所以一方面,在中心路由器节点需要维护大量的VPN条目来建立与各个分支的VPN隧道;另一方面,由于分支结点IP地址是动态变化的,也无法建立稳定的VPN隧道。

  传统site-to-site VPN主要有星形和网状这两种连接拓扑。星形拓扑即所有的分支机构全部与总部建立VPN隧道,而分支机构之间不建立VPN隧道。这种模式,中心站点配置量大,运维难度加大;分支站点间流量延时较大,影响关键业务传输;分支站点间流量占用中心带宽,影响业务后续拓展,不适合在有大量分支站点的网络中进行部署。网状拓扑在部署中同样存在一些问题:站点配置工作量巨大,后续运维工作量激增;分支站点需要维护过多IPSec会话,分支机构设备压力过大;每个分支站点需要固定IP地址,分支机构拓展受限。
  
DMVPN解决方案介绍
  
  1.DMVPN功能简介。DMVPN是通过多点GRE(mGRE)和下一跳解析协议(NHRP)与IPSec相结合实现的。在DMVPN解决方案中,利用IPSec实现加密功能,利用GRE或多点GRE(mGRE)建立隧道,利用NHRP解决分支节点的动态地址问题。DMVPN只要求中心节点必须申请静态的公共IP地址。

表1.jpg
表1 DMVPN与传统IPSEC VPN技术对比

  (1)虚拟全网状连通性,保障分支站点之间的无阻塞通讯。
  
  DMVPN技术框架中部署了MGRE协议,传统的lPSEC及GRE协议是“点对点”的,而MGRE是“点对多点”的,这是其最大的优势。MGRE是一种特殊的GRE技术,它的组网模型能够保证各个分支机构之间不经过中心站点而直接通信,非常类似于多帧中继网络。
  
  所有站点的MGRE隧道接口,都处于一个网段(10.1.1.0/24),顾名思义多点GRE。也就是说任何一个分支站点不仅能够和中心站点进行通讯,而且还能直接和其他分支站点进行通讯。如此保证了两个分支站点之间可以直接进行通讯,无需再绕行中心站点,避免中心站点成为加密及 数据转发的瓶颈。
  
  (2)分支站点支持动态获取地址、分支站点到分支站点 动态产生隧道,保障分支机构无限制扩展。每个分支站点都 需要手动影射中心站点的虚拟IP到公网lP,所以中心站点必须拥有固定IP地址。分支站点有了这个手动映射就能够和中心站点取得联系,并且通过NHRP协议,注册这个分支站点的隧道虚拟IP到动态获取的公网IP,一旦注册成功,中心站点就有所有分支站点的NHRP影射。这样中心站点也能够访问所有注册后的分支站点。因为注册是动态的,所以分支站点支持动态获取地址。当某一分支站点希望访问另外一个分 支站点时,它首先会使用NHRP协议询问中心站点(NHRP的服务器),目的分支站点隧道虚拟IP所对应的公网IP,中心站点回送NHRP影射给发起方,发起方有了目的站点的 NHRP影射以后,就能够通过MGRE直接发起隧道访问目的站点。
  
  (3)全网支持动态路由协议,方便整网的快速收敛。动态路由协议的主要目的是宣告隧道接口网络和站点身后私有网络,保证整个VPN网络的终端及各个业务系统的互联互通 及整体网络的快速收敛。在DMVPN上完全可以运行RIP、OSPF等动态路由协议,配合BFD的检测协议保证整网的快速收敛,保证业务无中断转发。
  
  (4)全网支持IPSEC协议加密,保证传输链路的安全。 DMVPN可以理解为MGRE over IPSec,IPSec其实就是对MGRE流量进行加密。虽然MGRE是一种特殊的GRE技术,但是协议号依然为GRE的47。大体工作原理与GRE over lPSec类似。DMVPN和GRE over IPSec一样也应该采取传输模式进行封装,全程保障数据安全的通过互联网进行传输。
  
  2.银行DMVPN部署方案。考虑到社区银行、ATM机等远程分支机构数量多、规模庞大、对数据安全性要求高、增长数量快等特点,我们建议通过在分行数据中心与各个分支机构之间部署DMVPN来实现数据加密传输。
  
  通过在分行数据中心部署两台主路由器作为DMVPN的Hub节点,两个节点作HA冗余部署,所有社区银行及其他末端接入点的路由器与两台路由器动态建立DMVPN隧道。当主路由器宕机后,备用路由器会接替主路由器接管VPN隧道建立与维护。同时DMVPN要求分行数据中心的路由器必须配置预先分配专用IP地址段。对于社区银行分支机构来说,对其网络没有特殊要求,只需要有普通网络出口(无线或其他介质)即可。
  
  通过在数据中心和各个远程分支之间部署DMVPN,可以实现以下功能。
  
  (1)数据安全性。分行核心网络可以对每个社区分支接入点进行动态身份验证;同时,分行数据中心与社区接入点之间会自动建立IPSEC+GRE的安全隧道,对两点间通信的数据进行IPsec加密,而且末端接入点之间也可以动态建立加密隧道,对于感兴趣的数据流进行加密。
  
  (2)网络可靠性。DMVPN的部署模式支持核心节点的双活热备,即在一个核心节点失效的情况下,备份核心可以平滑自动接管DMVPN对所有加密VPN隧道的管理,非常适合我行正在进行的分行双活改造的部署需求,提高了加密网络的可靠性、健壮性。
  
  (3)高度扩展性。建设初期,DMVPN的加密网络架构只需在核心节点设备上按照加密需求做好标准数据配置,后期无论扩充多少接入节点,均不需改动核心设备的配置,减低了建设和维护工作量,以及变更数量和变更带来的潜在风险,可维护性很高。
  
  (4)全网动态路由。动态路由协议无疑是规模较大的网络实现路由自动更新的首选,而在传统的N BMA结构的VPN网络中,全网的动态路由协议又是很难实现的。DMVPN利用了多点GRE(mGRE)+IPSEC技术,成功实现了分支到中心节点、分支节点到分支节点的动态路由更新,灵活性很高,可以更有利地支撑上层通信。
  
(文章来源:金融电子化杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章