银行分支的联网困惑 如何组建临时性专网

笔者有幸参与一家区域性商业银行的一个特别的业务组网案例。这家银行总部在福州和上海，一般分行实时业务数据传往福州处理。现在笔者所在城市的分行要与设在一家五星级酒店的临时分理处进行联网。而在那家酒店正在举行着一个银行业的峰会，这家分行接受总部的指示要在现场提供全套该银行的前台业务服务，以显示其整体实力。按正常的情况，这种联网是属于“最后一公里”的接入问题，一般是分行和分理处都就近向电信公司申请专线，接到各自所在地电信公司的局端。

　　问题：银行需要架设临时性的保密专线

　　但是，这给组网带来了难题：一是银行业务所需要的承载网须是高度保密的专线数据通信链路；二是如今在这家酒店开设的是临时的分理处是临时性质的，不可能为服务这个两天议程的会议而申请专线；三是利用类似于专线的安全数据链路进行组网，但是什么样的组网方式适合保密和移动的原则。

　　这样的需求，银行、保险、税务等行业客户会经常碰到。它们会有自身一些重要的实时电子数据交换业务， 在总部服务器与分支机构终端联网中一般都是租用电信公司的专线（如常见的SDH电路）来进行业务数据的传输，这种业务要求有极高的保密性，因此必须是专线连接，但是有时也会有紧急的临时组网需求，比如临时在一个地方现场开办业务，需要进行实时电子数据交换。由于这个办事处是临时的，因此也不会希望它永久存在，因此不会因为这个临时的办事处而租用专线。这就会考虑是否电信公司能提供一种类似于专线的临时解决方案，现在的答案是就是VPDN技术，全称为“虚拟拨号专用网络（Virtual Private Dialup Network）”，它是企业专网的一种备用线路。

　　前台业务量小但地点分散，如何选择上网方式？

　　笔者所处的银行案例中，是银行分行要与设在一家五星级酒店的临时分理处进行联网，而在那家酒店正在举行着一个银行业的峰会，这家分行接受总部的指示要在现场提供全套该银行的前台业务服务。

　　在这个过程中，主要是想让分散的用户能够体验银行网络的优势及周到的服务。这是典型的数据量小，移动性强、地点分散、网络带宽小，安全性较高的用户群体应用。

　　对于这种情况，选择VPDN组网、中国联通的CDMA1X无线网络接入相结合的方式，成为比较合理的解决方案。这种方案适合数据量小，移动性强、地点分散、网络带宽小，安全性较高的用户群体。CDMA1X是一种新型的移动数据通信，它是中国联通在CDMA网络推出的第2.75代通信技术，它在CDMA网络基础上升级了无线接口，使其支持高速增值业务信道。CDMA1X 理论速率153.6Kbps，目前实际测试速率为80kbps，超过目前普通拨号的理论速率56kbps。它特别适合像金融交易、远程监测等行业的通信需求，完全取代过去传统的有线MODEM、数传电台等通信方式。只要CDMA 手机能打通的地方，基于CDMA 1X无线网络的VPDN通信即可实现。

　　临时分理处通过基于CDMA1X宽带网络的VPDN组网，分行到电信公司是专线连接，而临时分理处到电信公司是通CDMA1X无线网络连接。

　　VPDN：移动性、临时性与安全性，能否周全？

　　VPN(Virtual Private Network) 技术是指采用隧道技术以及加密、身份认证等方法，在公众网络上构建专用网络的技术，数据通过安全的 “ 加密管道 ” 在公众网络中传播。而VPDN(Virtual Private Dial-Network)是基于电信公司的宽带网络（如：固网的ADSL，移动的GPRS和CDMA等），用户需要拨打电信公司的特服号，利用安全的L2TP隧道传输协议，就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。与VPN不同的是VPDN链路的建立是动态的，因此它具有更高的分全性。

　　实现过程如下：用户通过拨号访问网络服务提供商的网络访问服务器NAS（Network Access Server），发出PPP连接请求，NAS收到呼叫后，在用户和NAS之间建立PPP链路，然后，NAS对用户进行身份验证，确定是合法用户，就启动VPDN功能，与公司总部内部连接，访问其内部资源。

　　在笔者参与建设的这家银行的VPDN组网中，采用的是基于中国联通的CDMA1X网络。中国联通VPDN业务是应用在基于CDMA1X无线网络的业务，是掌宽业务的扩展业务。临时分理处通过基于CDMA1X宽带网络的VPDN组网，分行到电信公司是专线连接，而临时分理处到电信公司是通CDMA1X无线网络连接。

　　实战网络部署及配置关键

　　本案例中，设备配置上接触到的组网设备包括分行的路由器CISCO2811（专注VPDN业务），用于分行与中国联通局端的路由路专线连接； CDMA1X无线上网卡，用于临时分理处与联通CDMA1X网络连接。

　　（图1）

　　企业端路由器配置实例

　　本节主要讲解在分行总部的VPDN业务路由器上的有关VPDN的设置。
　　56_wlw_VPDN#show run
　　Building configuration...

　　Current configuration : 1791 bytes
　　!
　　version 12.3
　　service timestamps debug datetime msec
　　service timestamps log datetime msec
　　no service password-encryption
　　!
　　hostname 56_wlw_VPDN
　　!
　　boot-start-marker
　　boot-end-marker
　　!
　　logging buffered 51200 warnings
　　enable secret 5 $1$nSkT$b2lZ0YoMRpG7.Ox/NbM0P1
　　!
　　username ADMIN secret 5 $1$aDpC$.rfb6huVX9BRGImAzrOcE/

　　！指定无线终端拨号的用户名为CDMAPOS@gdyh01.133vpdn.gd, 密码为abcd，有几个无线终端就设几个。这里为四个无线终端设置用户名和密码。
　　username CDMAPOS@gdyh01.133vpdn.gd password 0 abcd
　　username CDMAPOS@gdyh02.133vpdn.gd password 0 abcd
　　username CDMAPOS@gdyh03.133vpdn.gd password 0 abcd
　　username CDMAPOS@gdyh04.133vpdn.gd password 0 abcd
　　no network-clock-participate aim 0
　　no network-clock-participate aim 1
　　aaa new-model

　　!
　　! 指定认证方式为本地认证(即由路由器进行认证)
　　aaa authentication ppp default local
　　aaa session-id common
　　ip subnet-zero
　　!
　　!
　　ip cef
　　!
　　!
　　ip domain name yourdomain.com
　　vpdn enable //启用VPDN的功能
　　!
　　vpdn-group CDMAPOS
　　! Default L2TP VPDN group
　　accept-dialin
　　protocol l2tp // 设置VPDN协议为l2tp
　　virtual-template 1
　　l2tp tunnel password 0 gdyh1234
　　!
　　no ftp-server write-enable
　　!
　　!        
　　!
　　! 指定以太网口的地址, 为业务网网段的IP地址
　　interface FastEthernet0/0
　　ip address 68.55.65.56 255.255.255.128 
　　duplex auto
　　speed auto
　　!
　　interface FastEthernet0/1
　　no ip address
　　duplex auto
　　speed auto
　　! 指定和CDMA专线互联的地址，联通方面地址为10.137.10.77
　　interface Serial0/0/0
　　description 2M-CDMA-POS
　　ip address 10.137.10.78 255.255.255.252
　　!
　　interface Serial0/0/1
　　no ip address
　　clockrate 2000000
　　! 指定虚模板使用业务网网段地址
　　interface Virtual-Template1
　　ip unnumbered FastEthernet0/0
　　peer default ip address pool GroupCDMA
　　ppp authentication chap pap
　　! 指定PPP拨号时使用的业务地址段，用于动态分配给无线终端使用
　　ip local pool GroupCDMA  68.55.65.57 68.55.65.65
　　ip classless
　　！指定访问联通接入服务器的路由
　　ip route 220.192.20.0 255.255.255.0 10.137.10.77
　　ip http server
　　ip http access-class 23
　　ip http authentication local
　　ip http timeout-policy idle 60 life 86400 requests 10000
　　!
　　!
　　!
　　control-plane
　　!
　　!
　　line con 0
　　line aux 0
　　line vty 0 4
　　privilege level 15
　　transport input telnet
　　line vty 5 15
　　privilege level 15
　　transport input telnet
　　!
　　scheduler allocate 20000 1000
　　!
　　end

　　银行业务的网络客户端配置

　　在电脑市场中我们都可以买到支持联通CDMA 1X 2000网络的上网卡，接口通常是PCMCIA或者USB，品牌也很多。CDMA 1X 2000上网卡安装都比较容易。首先将联通UIM卡插入笔记本电脑PCMCIA网卡的插槽，然后将网卡插入笔记本电脑的PCMCIA插槽就可以了。这时候Windows会提示你“发现新硬件”，用附带的光盘加上网卡说明书对照起来几分钟就可以安装完毕，我们建议只安装上网卡的驱动就可以了，然后直接在windows下添加一个拨号网络连接，这样省去了很多比如调试方面的诸多麻烦。

　　中国联通CDMA 1X网用户的拨号号码是“#777”。输入用户名和密码，中国联通CDMA 1X网用户的帐号和密码都是“card”；
　　（如图7）

　　总结：
　　VPDN业务是目前进行临时组建专网最好的方式，它能很好解决移动与安全性的要求。由于它是拨号的VPN，所以比VPN具有更高的安全性。VPDN基于现代移动通信的网络，使得只要有移动电话信号覆盖的地方就能组网，极大地方便客户的临时性需要。