《广发银行—3G无线VPN加速全局管理解决方案.doc》由会员分享,可在线阅读,更多相关《广发银行—3G无线VPN加速全局管理解决方案.doc(16页珍藏版)》请在三一办公上搜索。
1、广东发展银行深信服3G无线VPN全局部署解决方案 深圳市深信服电子科技有限公司2010年3月目录1.背景介绍22.解决方案42.1整体方案说明42.1.1总行与大型支行VPN构建42.1.2整网VPN的统一集中管理52.1.3小型支行、ATM存提款机VPN连网82.2方案部署说明82.2.1总部设备具体部署92.2.2支行设备具体部署103.方案价值114.成功案例列表125.售后服务126.深信服科技介绍141. 背景介绍在这个信息化浪潮席卷全球的时代,银行的应用系统不断增多,日常业务的处理越来越离不开计算机,随着企业和机构的规模不断的发展和增大,怎样将银行的所有分支安全互联起来,以完成数据
2、集中和交换,已经作为一个迫切的问题摆在面前。银行信息数据大集中,全国甚至全球访问公司总部,都碰到了广域网传输速度、带宽的瓶颈。现代社会是一个追求高效的社会,在对整网组网的管理上,同样要保证统一、高效、便利的整网设备管理。示意图:(1) 总部数据大集中、与分支构建统一信息平台:普通的互联网线路普遍存在丢包、延时严重的现象,尤其是在中国多运营商并行且带有明显地域性的环境下,跨运营商传输的瓶颈问题尤为严重。而传统的TCP协议本身的交互和拥塞控制机制非常不适用于存在丢包、延时的网络环境,经实际测试表明一条100M的线路在最大传输窗口为64K、网络延时大于40ms并逐渐增大的情况下,线路传输效率明显下降
3、,实际的吞吐量甚至下降到所允许的最高数据吞吐量的 10%以下,而3G无线上网方式,则会存在更大的延时、甚至丢包的问题。而另一方面,应用自身所采用的协议也有一定的局限性。许多应软件应用,比如用友NC、网上邻居CIFS等应用都是依据局域网内千兆甚至万兆网络环境设计的,为了保障数据传输的可靠性等普遍采用了小包传输、多重交互的方式。然而随着组织的发展,应用本身需要随着业务的扩张在局域网外运用。而普通的互联网传输已经是问题重重,应用协议本身的低效性更是让远程办公雪上加霜。 同时,数据的高冗余度同样造成了带宽的极大浪费。在构建了统一信息平台、数据中心的组织中,分支机构与总部之间需要频繁的数据交互来保证办公
4、的正常进行。一封公共邮件甚至是一个数据库文件在传统的网络中都需要每个使用者单独从总部服务器上读取到本地,甚至可以造成线路中一天大部分都在跑相同的数据文件,高冗余度的数据传输造成带宽的极大浪费。而对于长距离、高丢包、高延时的网络来说,每个人使用者在进行办公时都需要为某些相同的数据传输经历同样漫长的等待过程,严重拖滞了员工的工作进度。(2) 小型支行或营业厅远程接入:广东发展银行各分行下属小型营业厅人数少,甚至处于较为偏远专线不可及的地方,无论从组网、使用便利性还是性价比方面考虑,专线都是不最好的选择。下属营业厅大部分采用的通常为ADSL、3G无线网络等丢包、延时频繁的网络,应用的访问效果难以得到
5、很好的保证,尤其在使用ATM村提款业务、柜台结算业务、OA办公业务等实时性强的应用时,缓慢的传输极大的影响了办公效率,甚至出现“排长龙”的现象,一方面影响了工作效率,另一方面则降低了客户的满意度。(3) 整网设备的管理维护问题:整个组织分支众多且遍布范围广,部分大型分支拥有自己的网络管理中心,但是许多中小型分支网络管理中心人员配备不完善,甚至是没有专门的网络管理人员的设置。这使得网络设备的管理、维护工作显得尤为的困难,若是出现某处的网络因人员操作不当等原因宕掉,网管人员就必须马不停蹄的赶往该地排查错误并恢复,效率低下,给公司带来大量额外开销的同时严重的影响到了业务正常运行。同时对于组织机构的整
6、个基础网络来说,十分重要的一点就是必须保证配置上的统一。如何实现整网设备的统一管理、对整个网络的联通状态进行实时的监控同时并进行及时的维护显得尤为重要。2. 解决方案2.1 整体方案说明2.1.1 总行与大型支行VPN构建从方案设计方面,需要从实用性、使用效果、组网便利性和性价比四个方面进行全面的考虑。总部与分支的用户具有固定的办公场所,基本上属于固定用户,推荐采用固定的组网方式。结合性价比和组网便利性方面考虑,推荐采用IPSec VPN方式进行组网。IPSec VPN是公认最安全的虚拟专用网技术之一,具有组网便利的特点,只需要使用普通的互联网线路即可构建专属传输网络,相比于专线大大降低了网络
7、建设成本。由于IPSec VPN是构建在互联网之上,在本次项目中必须提供相应的方案解决互联网线路丢包延时严重、应用协议局限性及数据高冗余度的问题。深信服VPN产品集成了专业的IPSec VPN模块,并结合全面的广域网加速技术实现VPN数据的加速,全面解决各种网络传输 针对丢包延时严重及传统TCP低效性的问题,深信服广域网支持HTP快速传输协议,从扩充传输窗口、改善拥塞机制、重传机制、数据传输方式四大方面对传统TCP协议慢上升快下降的传输进行改进,即使在高丢包高延时的网络中同样保证较高的数据传输速度。深信服广域网加速独有的畅联技术,尤其使用与跨运营商等高丢包的环境,即使在丢包率高达30%的情况下
8、同样支持丢失数据包的还原,大大提升高丢包环境下用户的使用体验。 针对应用协议局限性的问题,深信服广域网加速支持TCP、CIFS、HTTP、HTTPS、POP3/SMTP、Exchange等应用协议优化技术,可实现对Lotus Notes、Exchange、Oracle、MS-SQL、SAP、金蝶EAS、用友NC等应用加速,最大的降低广域网对应用使用效果的影响。 针对数据高冗余性导致的带宽利用率不高、响应速度慢的问题,深信服广域网加速支持有别于传统的文件缓存的基于码流特征的数据优化技术,通过对分片数据包的缓存及标签替代机制在保证数据完整性的前提下大幅降低传输数据量,根据实际的测试甚至可够将流量减
9、少95%以上。深信服广域网加速融合了LZO、GZIP高效流压缩,大大提高了终端用户应用访问速度,减少下载时间和网络流量。2.1.2 整网VPN的统一集中管理分布于全国各地的加速VPN设备,由于其分布地点不一,尤各个分行进行自行维护所需投入的的人力成本过高、效率低下,也不便于整网配置的统一及联通状态的实时监控维护。针对这样的情况,推荐采用软硬一体化的深信服SC集中管理平台对整网加速VPN设备进行统一的集中管理、远程维护、实时监控、智能升级及日志审计。 全面集中管理,整网统一远程维护通过深信服SC集中管理平台,管理员可方便的对位于全球任何地方的分支设备进行统一的配置,在同一个GUI管理界面中,可以
10、配置所有纳入到SC集中管理平台的深信服 VPN设备。一个IT管理员随时随地就可以同时部署和维护上百乃至上万个网络节点,节省了大量人力成本,真正实现了集中管理。企业VPN网络根据地域分布及组织结构往往具备自身独有的特征,深信服SC集中管理平台提供灵活的多级管理员分权限设置,企业可以根据自身组织结构灵活进行分区域管理,为不同区域设置不同管理员权限,并可细化管理到单台设备。在更加细化VPN网络管理的同时,防止管理员的越权操作而带来的配置混乱及安全问题。 设备状态实时监控IT管理员可以在任何地方通过深信服SC集中管理平台查看企业整网的VPN设备和移动客户端运行情况以及VPN链路状态。包括分支设备实时信
11、息,显示分支设备的状态、CPU、内存、磁盘占用情况、内外网流量情况等。对分支网点设备的异常情况,能做出细致的显示。并细致显示整网VPN设备的拓补,管理人员从宏观上可以清楚了解分支网络设备运行情况。同时,通过SC平台IT管理员还可以进一步查看任何一台设备的实时及历史日志,方便管理人员能快速找出设备故障原因并进行远程统一维护。 智能升级功深信服SC集中管理平台可以对整网的VPN设备进行统一升级,从而节省时间。管理员可以预定升级版本的工作日期及时间,SC会自动按时起动智能升级功能。同时,管理员可以预定下载配置功能,可以集中配置文件在SC设备上,可以免除每台分支设备重复配置的工作量。考虑到国内用户实际
12、的网络环境,即互联网出口带宽较窄,如果用户分支设备较多,在同一时刻进行策略同步或版本升级,将严重占用出口带宽,对其它关键业务应用造成影响。为此,SC集中管理平台内置的任务计划功能可为分支设备设定不同的策略升级时间,消除众多分支设备同时升级配置带来的对网络出口带宽的压力。 独立报表中心整网VPN设备的合理、完善管理除了在实现实时监控、统一管理之余,还必须包括对一段历史事件内对整网VPN设备运营状况的统计情况管理。深信服SC支持独立报表中心,提供对整网分节点VPN线路流量、流通状态、帐户流量、帐户安全、帐户使用状况等进行全面的记录并进行报表的导出及日志的指定服务器发送,以详尽的统计数据为管理人员提
13、供网络优化依据。2.1.3 小型支行、ATM存提款机VPN连网对于ATM提款机其放置位置并非都在银行,很多社区、商场、大型企业、街道、写字楼等等场所都有,而这些ATM机采用3G上网方式,或是租用ADSL上网链路,采用VPN接入是最佳的方案,因为,小型分支需要采用简便、易用、无需本地维护的VPN接入方式。结合实际情况,推荐采用深信服SOHO型VPN设备实现小型分支的远程接入。只需要在ATM机处部署一台VPN设备,将设备的管理维护全部集中到总部。 针对小型分支普遍采用3G或ADSL上网,存在的网络状况不稳定、访问速度慢的特点,深信服VPN支持多线路智能选路、HTP、WebCache、Web优化、W
14、eb压缩、C/S压缩、加速等多项加速技术,从线路、传输、应用等方面全面提升移动用户的访问体验。2.2 方案部署说明针对广东发展银行的网络现状,我们推荐采用深信服广域网VPN方式实现总行、各分行、小型支行、ATM机快速、安全、优化网络的构建。对于大中型分支机构与总部之间的VPN网络的建立,推荐采用深信服VPN加速设备构建快速、安全、便捷的VPN网络。通过深信服VPN模块功能,可使用普通的互联网线路构建安全的VPN网络,保证总部与分支之间传输数据的强加密及专属性。同时,采用基于码流特征的数据优化技术、协议优化、畅联技术、HTP传输协议等技术,从缓存、压缩、协议优化等方面提升总部与分支之间的数据传输
15、速度。对于整网的加速VPN的统一管理,推荐采用软硬一体化的深信服SC集中管理平台实现全网设备的集中管理、实时监控、远程维护、智能升级及日志审计,大大方便了管理人员的工作。对于小型支行、ATM机,基于其部署在不同的场所经的特点,推荐采用深信服SOHO型 VPN安全接入,同时通过其加速优化功能,提高数据在3G、ADSL、跨运营商网络环境下的速度。整网部署图如下:2.2.1 总部设备具体部署总部是整个广东发展银行网络的核心,推荐部署深信服VPN网加速M5X00-Q、S5X00-Q、深信服SC集中管理平台M5500-SC,具体部署如下:配置说明:n 在总部内网中将深信服广域网加速设备以路由模式部署在防
16、火墙与三层交换机之间,与各大中型机构的广域网加速设备构建加速IPSec VPN隧道,实现信息平台、数据中心的快速访问。n 在总部与下属分支机构之间的VPN通道启用加速技术保障数据的快速传输。启用基于码流特征的数据优化技术进行传输数据的削减,减少传输数据量的同时提高线路传输的有效性。启用流压缩技术对监测数据进行实时压缩传输,降低带宽的负荷。启用相应的协议优化机制降低数据传输的交互,缩短网络延时。启用畅联技术进行网络传输机制优化、传输窗口的自适应调整,将丢包现象降低到最少。n 在总部内网中将深信服SC集中管理平台以单臂模式部署在三层交换机上,并将各地的深信服广域网设备上做好相应的配置,添加到SC集
17、中管理平台的管理域中,实现整网设备的统一管理。2.2.2 支行设备具体部署在各个分支,根据其网络状况选择最合适的网络部署方式。若网络出口没有部署专业的防火墙,推荐将深信服广域网加速M5X00-Q采用路由模式部署,可开启M5X00-Q中的防火墙模块并进行相应的设置,实现数据传输加速的同时提供对内网的保护功能。若分支的网络中已采用了专业的防火墙,推荐奖深信服广域网加速M5X00-Q采用单臂模式部署在三层交换机上,最大的保护原有网络结构的完整性。 路由模式 单臂模式配置说明:n 在分支中将深信服广域网加速以路由模式部署在网络出口,与部署在总部的广域网加速设备构建加速VPN隧道,实现传输数据的加速。开
18、启广域网加速设备中的防火墙模块并设置相应的数据过滤规则,对通过网关的数据包进行过滤。开启防DOS攻击功能,实现对内网、外网DOS攻击的双向防护。n 在分支中将深信服广域网加速以单臂模式部署在三层交换机上,并在三层交换机和前置防火墙上配置好相应的路由规则,与总部广域网加速设备实现加速VPN隧道构建。3. 方案价值1. 高性价比异地组网,提高异地分支协同工作效率:通过VPN搭建业务网络是整个组织的业务主干网,面对不断上升的流量,若是采用专线升级的方案将带来高昂的网络建设及运营成本。通过深信服广域网加速对现有专线进行流量大幅削减。原来应用使用的磕磕绊绊,让用户抱怨不断,现在通过同样的专线网络可完全畅
19、通的访问各种应用,将现有专线发挥出最大效率的同时提升分支员工的工作效率。此次网络建设是一次性的投入,避免了专线网络升级的高昂建设成本及经年累月的高昂运营成本的支出。2. 快速扩展的VPN,业务流程快速推进通过深信服VPN设备,无论何时无论何地都可以通过3G、ADSL等等上网方式进行业务。,只要能够上网就能通过VPN安全远程接入。便捷的操作方式,大大降低在终端上操作的复杂度,同时结合多项加速技术保障传输质量,即使面对无线、跨运营商等高丢包、高延时网络状况都能高速访问,大幅提升移动用户使用体验。3. 部署便利,方便扩容使用深信服广域网设备构建主干网络具有部署便利的特点,可直接使用普通的上网线路进行
20、专网搭建,避免了使用DDH、SDH等线路进行专网搭建所需的漫长等待周期。尤其在面对业务结构调整、新区域的业务扩张所带来的网络改造,加速VPN网络这种可媲美专线效果的专网组网方式更显现其优势。4. 全网智能集中统一管理采用了深信服SC集中管理平台对整网构建基础网络平台的VPN进行集中管理、实时监控、远程维护和智能升级,大大方便了管理员的工作,提高管理效率,为公司节省了大量人力物力资源。4. 成功案例列表政府金融教育科研能源电力运营商大企业中国环境监测总站中国人民银行总行中国人民大学中国国电集团中国移动通信有限公司总部招商局集团卫生部卫生监督中心中国银行浙江大学中国电力投资集团中国移动云南省分公司
21、中国远洋运输集团中国妇幼保健中心中国农业银行中国政法大学中国华能集团中国电信广西区分公司中国医药集团农业部信息中心招商银行中国传媒大学中国大唐集团中国电信山东省分公司中国电子信息产业集团中国残疾人联合会兴业银行电子科技大学中国华电集团中国电信湖南省分公司中国铝业公司中国对外贸易中心中国银联中央广播电视大学国家电网公司中国电信四川省分公司中国航空器材集团公司国家林业局森林病虫害防治总站中国人寿保险股份有限公司中山大学中国南方电网有限责任公司中国联通河北省分公司中国黄金集团公司河北省审计厅泰康人寿财产保险股份有限公司华东理工大学中国水电顾问集团中国联通辽宁省分公司中国长江航运集团四川省交通厅新华人
22、寿保险股份有限公司电子科技大学广东省粤电集团有限公司中国联通黑龙江省分公司中国邮电器材集团公司湖南省财政厅华夏基金管理有限公司吉林大学广西电网公司中国联通重庆市分公司中国中纺集团公司浙江省教育厅海通证券股份有限公司 华南理工大学中国石油天然气集团公司中国网通广东省分公司华侨城集团5. 售后服务深信服科技以深圳总部为核心,经过多年的完善逐渐在全国范围内建设了三级服务体系,为广大用户提供全方位的服务。深信服科技服务体系覆盖广泛,布局合理,响应及时,三级服务网络分别为:第一级 公司总部专业的客服中心在深信服总部,拥有80人的CTI呼叫中心由经验丰富的资深技术支持工程师为广大客户提供724小时热线电话
23、服务,送修服务、远程调试、现场服务和有偿个性化服务。总部的产品专家和网络安全专家服务队伍同时负责全国服务网络的技术支持、管理、监督与协调,保证用户问题得到及时、有效的解决。同时,在公司总部还组建了一支由负责产品研发的工程师组成的问题响应支持中心,每天24小时值班,帮助大区、本地技术支持中心和合作伙伴解决技术难题。在深信服科技深圳总部,设有用户呼叫中心,用户可随时通过拨打深信服科技免费的售后服务电话:800-830-6430(手机用户可拨打:400-830-6430)进行有关问题的查询,并将有关问题提交给深信服科技,以便深信服科技提高对服务请求的追踪和反应速度,更迅速的解决用户出现的问题。并且完
24、善的客服系统会自动记录下用户的产品信息和历史故障,为每个用户建立资料库,以便深信服科技更准确的采取有针对性的措施来为用户服务。第二级 覆盖全国的深信服产品专业服务队伍深信服科技在全国各地设立有庞大的专业服务队伍。包括:华北区、华南区、华东区、西南区、西北区,华中区六个大区和近三十个驻外分支机构,所有分支机构都建立了本地客服中心,直接承担所在地区深信服客户的直接服务,达到全国所有一级城市和地区覆盖。第三级 最为广泛的深信服合作伙伴深信服科技通过遍布全国各地区、各行业的专业网络服务商,提供延伸到地市级城市的产品售前售后服务。目前,通过“深信服产品技术认证工程师”认证的合作伙伴超过400人,强大的售
25、后服务保障体系,为广大客户服务提供了最直接的贴身服务。6. 深信服科技介绍深信服科技有限公司是一家长期致力于以提升商业用户互联网带宽价值为目的高科技、高成长型企业。通过专业、创新、高性价比的产品,围绕商业用户Internet带宽资源,帮助用户降低成本(VPN实现网间互联、替代专线)、提高效率(网间加速让应用更快捷)、产生效益(SSL VPN实现无处不在的移动办公)、防范风险(AC上网行为管理网关保证内、外网安全)、优化资源(BM流量控制实现带宽合理管控)、提高访问体验(AD应用交付实现链路及服务器双负载均衡),提升用户Internet带宽价值。公司现有产品包括IPSEC VPN、SSL VPN
26、、网间加速VPN、AC上网行为管理、BM流量控制、AD应用交付等全系列产品线。丰富的产品系列给客户更大的选择空间。不同层次、不同需求的客户都可以在深信服科技找到适合自己的网络连通、管理、优化产品。从2000年底成立至今,公司以每年销售收入增长23倍、人员增长1倍的速度高速发展,2005年、2006年、2007年、2008年连续四年入选德勤“中国高科技高成长50强”,“亚太高科技高成长500强”,2008年获得渣打银行授予的“最具成长性新锐企业”中型企业金奖。2009年,深信服荣获财富杂志“卓越雇主奖”。目前,深信服公司总人数已达到700人,直属分支机构36个,销售网络遍布全国,并在香港、新加坡
27、、阿联酋、泰国、印度等国家和地区设有直属办事机构。截止到2009年8月,已有超过14,000家用户选择了同深信服合作并取得了显著收益,其中包括中国移动、通用电气、壳牌石油、丰田汽车等世界500强企业,也包括中国人民银行、国资委、招商银行、南方航空、中国人民大学等中国知名用户 。深信服科技每年将销售收入的15投入产品研发,始终着保持技术的时时领先,目前拥有近30项网络及安全领域发明专利。 深信服科技部分专利列表:200510037455.1 一种在网关、网桥上实现用户安全接入外网的方法 200510037454.7 一种电子邮件的安全审查方法 200610062252.2 一种基于网关/网桥的防
28、间谍软件侵犯方法 200610061591.9 一种基于网关/网桥的线路自动选路方法 200610156977.8 一种基于网络应用中的P2P流量识别控制方法 200710075287.4 利用网络设备实现代理服务器负载均衡的方法 200710072997.1 基于网关、网桥防范网络钓鱼网站的方法200810241565.3 一种在网关进行数据安全检测方法、系统及设备200810141807.1 一种网络插件的安全检查方法、系统及安全检查设备 200910108672.3 一种网络数据流识别方法 深信服科技部分资质介绍一、国家商用密码产品生产定点单位二、国家商用密码产品销售许可证三、国家商用密
29、码产品型号证书四、公安部信息安全产品销售许可单位五、“国家火炬计划立项”项目单位六、IPSec VPN、SSL VPN国家标准制定厂家七、第八界中国国际高新技术成果交易会优秀产品 深信服科技部分荣誉2009年IT500强最佳信息安全产品和服务提供商奖证书2008年德勤亚太高科技高成长500强、中国高科技高成长50强2008年第三届“中国最具成长性新锐企业奖”(渣打银行)2008年中国优秀金融IT及解决方案年度推荐称号2008年度中国金融科技发展论坛十大金融科技杰出企业2007年德勤亚太高科技高成长500强、中国高科技高成长50强2007年度中国制造业信息化优秀供应商2007最佳电信网络安全产品奖2006年德勤亚太高科技高成长500强、中国高科技高成长50强2006年渠道进取金奖(网络安全产品)2005年德勤亚太高科技高成长500强、中国高科技高成长50强