广发银行—3G无线VPN加速全局管理项目解决方案.doc

广东发展银行 深信服3G无线VPN全局部署解决方案 深圳市深信服电子科技有限公司 2010年3月 目录 TOC \o 1-3 \h \u 1. 背景介绍 2 2. 解决方案 4 2.1 整体方案说明 4 2.1.1 总行与大型支行VPN构建 4 2.1.2 整网VPN的统一集中管理 5 2.1.3 小型支行、ATM存提款机VPN连网 8 2.2 方案部署说明 8 2.2.1 总部设备具体部署 9 2.2.2 支行设备具体部署 10 3. 方案价值 11 4. 成功案例列表 12 5. 售后服务 12 6. 深信服科技介绍 14 背景介绍 在这个信息化浪潮席卷全球的时代，银行的应用系统不断增多，日常业务的处理越来越离不开计算机，随着企业和机构的规模不断的发展和增大，怎样将银行的所有分支安全互联起来，以完成数据集中和交换，已经作为一个迫切的问题摆在面前。银行信息数据大集中，全国甚至全球访问公司总部，都碰到了广域网传输速度、带宽的瓶颈。现代社会是一个追求高效的社会，在对整网组网的管理上，同样要保证统一、高效、便利的整网设备管理。示意图： 总部数据大集中、与分支构建统一信息平台： 普通的互联网线路普遍存在丢包、延时严重的现象，尤其是在中国多运营商并行且带有明显地域性的环境下，跨运营商传输的瓶颈问题尤为严重。而传统的TCP协议本身的交互和拥塞控制机制非常不适用于存在丢包、延时的网络环境，经实际测试表明一条100M的线路在最大传输窗口为64K、网络延时大于40ms并逐渐增大的情况下，线路传输效率明显下降，实际的吞吐量甚至下降到所允许的最高数据吞吐量的 10%以下，而3G无线上网方式，则会存在更大的延时、甚至丢包的问题。 而另一方面，应用自身所采用的协议也有一定的局限性。许多应软件应用，比如用友NC、网上邻居CIFS等应用都是依据局域网内千兆甚至万兆网络环境设计的，为了保障数据传输的可靠性等普遍采用了小包传输、多重交互的方式。然而随着组织的发展，应用本身需要随着业务的扩张在局域网外运用。而普通的互联网传输已经是问题重重，应用协议本身的低效性更是让远程办公雪上加霜。 同时，数据的高冗余度同样造成了带宽的极大浪费。在构建了统一信息平台、数据中心的组织中，分支机构与总部之间需要频繁的数据交互来保证办公的正常进行。一封公共邮件甚至是一个数据库文件在传统的网络中都需要每个使用者单独从总部服务器上读取到本地，甚至可以造成线路中一天大部分都在跑相同的数据文件，高冗余度的数据传输造成带宽的极大浪费。而对于长距离、高丢包、高延时的网络来说，每个人使用者在进行办公时都需要为某些相同的数据传输经历同样漫长的等待过程，严重拖滞了员工的工作进度。 小型支行或营业厅远程接入： 广东发展银行各分行下属小型营业厅人数少，甚至处于较为偏远专线不可及的地方，无论从组网、使用便利性还是性价比方面考虑，专线都是不最好的选择。 下属营业厅大部分采用的通常为ADSL、3G无线网络等丢包、延时频繁的网络，应用的访问效果难以得到很好的保证，尤其在使用ATM村提款业务、柜台结算业务、OA办公业务等实时性强的应用时，缓慢的传输极大的影响了办公效率，甚至出现“排长龙”的现象，一方面影响了工作效率，另一方面则降低了客户的满意度。 整网设备的管理维护问题： 整个组织分支众多且遍布范围广，部分大型分支拥有自己的网络管理中心，但是许多中小型分支网络管理中心人员配备不完善，甚至是没有专门的网络管理人员的设置。这使得网络设备的管理、维护工作显得尤为的困难，若是出现某处的网络因人员操作不当等原因宕掉，网管人员就必须马不停蹄的赶往该地排查错误并恢复，效率低下，给公司带来大量额外开销的同时严重的影响到了业务正常运行。同时对于组织机构的整个基础网络来说，十分重要的一点就是必须保证配置上的统一。如何实现整网设备的统一管理、对整个网络的联通状态进行实时的监控同时并进行及时的维护显得尤为重要。 解决方案 整体方案说明 总行与大型支行VPN构建 从方案设计方面，需要从实用性、使用效果、组网便利性和性价比四个方面进行全面的考虑。总部与分支的用户具有固定的办公场所，基本上属于固定用户，推荐采用固定的组网方式。结合性价比和组网便利性方面考虑，推荐采用IPSec VPN方式进行组网。IPSec VPN是公认最安全的虚拟专用网技术之一，具有组网便利的特点，只需要使用普通的互联网线路即可构建专属传输网络，相比于专线大大降低了网络建设成本。 由于IPSec VPN是构建在互联网之上，在本次项目中必须提供相应的方案解决互联网线路丢包延时严重、应用协议局限性及数据高冗余度的问题。深信服VPN产品集成了专业的IPSec VPN模块，并结合全面的广域