文/李晶林

目前国内各银行金融网点分支IT建设模式已经相对比较成熟，都有各自的建设规范。从接入建设思路看，大都根据网点规模和业务定位，采取不同的组网模型，选择不同档次设备，其中路由器+交换机是主要IT设备。随着网点规模、业务终端数量扩展迅速，同时受到业界竞争加剧以及新业务引入（如监控业务的集中化趋势）等等因素的影响，维护压力和风险日趋增大。尤其是终端IP化以后，安全风险日益显现。

国外银行网点的建设特点与国内银行明显不同，首先，接入规模更大，经常有数千、数万个分支网点扁平化接入，中间没有汇聚层次；其次，国外银行充分利用公网接入，运营商MPLS VPN和互联网成为普遍的链路选择，国内银行目前主流的专线思路在海外越来越少见。基于安全考虑，一般都会考虑额外的加密措施；有些要求支持动态路由，单路由域设备数可能高达几千台，对总部设备汇聚能力要求极高。

一、     当前网点建设的主要现象和问题分析

l    多厂家设备异构建设加重了维护负担

网点异构建设问题，一方面是指由于各种历史和现实的原因，造成当前银行网点中，设备厂家、规格特性、型号、版本极度复杂多样。一些银行网点建设规范中设备标准相对宽泛，缺乏强有力的牵引和指导作用，有时候过于强调一些不必要的灵活性，导致各设备厂商陷入槽位数的苦战中。多设备型号的泛滥，进而给维护和管理带来巨大的挑战，中心网管人员被迫花费大量的精力去做低层次的重复工作，蕴含着很大的技术隐患和成本风险，很容易造成TCO的失控。

另一方面是指由于设备规格特性不统一，而带来的设备种类和组网模式多样化问题。比如有些是路由交换一体机，有些是路由器+交换机组合，还有些是路由器+HUB组合；有些通过槽位扩展业务能力，有些由设备内置提供等等。由于各设备组合不同，在业务扩展时，不同网点又可能需要采取完全不同的策略和措施，如堆砌更多的不同设备，从而对网点的管理和维护雪上加霜。

l    专业人员上收与不足导致分支可控性差，远程运维难度大

目前商业银行的业务规模扩张已在一定程度上对自身业务系统的承载和维护能力提出了挑战，由于数据大集中建设，IT运维专业人员全部上收，远程网点的可维护性与可管理性越来越依赖网管平台，但是很多网络问题的处理，仍然需要依赖人力进行，IT人员奔波于远程版本升级、设备管理和信息数据采集等工作，超负荷运转现象十分普遍。例如某二级行网点运维部门需要每人负责100个网点设备的现场版本升级和设备端口信息采集，在当前信息化时代，几乎是梦魇一般的事情。

如何实现网点可维护性和管理性方面的标准化建设，减轻网管压力、减少人工去现场的需要，是传统的中心统一网管难以解决的运维难题。这些问题主要包括：

¡  如何实现远程设备的自动化快速部署，如无“人”开局；

¡  如何实现远程维护的自动化，如批量自动版本升级；

¡  如何解决由于可能的配置错误而导致的网点失控。

l    相比字符终端，IP终端的安全性天然脆弱

网点业务的IP化，带来了PC上的各种安全风险，如病毒、木马、系统漏洞、黑客攻击等等诸多问题。而接入链路的以太化，业务数据报文在网络上的流动近乎透明，安全问题隐患大。

目前，多数网络安全事件都是由“脆弱”的用户终端和“失控”的网络使用行为引起。相比字符终端，IP终端的安全性天然脆弱，网络使得潜在的安全威胁在更大范围内快速扩散。因此保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证网络安全运行的前提。由于远程网点的管理相对松散，容易存在各种安全漏洞和失控行为，使上级行受到非法攻击和病毒感染的几率成倍增加。

l    网络可靠性，依然是目前至关重要、需要持续关注的问题

各银行的可靠性保障一定程度上是牺牲业务中断时间来换取的，目前还未能能做到任何故障情况下的业务永续，仍存在一定的人工干预过程。

网点网络故障主要是链路故障，受各种现实社会和经济条件约束，运营商提供的链路可靠性方面通常只能保证3个9或4个9的水平，还远达不到5个9，如何在这种可靠性水平下，保障银行成千上万个网点的业务正常运行，是一个比较严峻的挑战。尤其是在前文所提到的网点设备种类多、组网模式不一、网点没有IT人员等等的现实困难下。

目前网点已经普遍采用双链路+双设备的方式，实现设备和链路的冗余备份。内网可靠性策略主要是在冗余设备上预留足够的交换端口，供设备故障时人工进行倒换。这种方式存在的问题是：

¡  故障恢复对网点员工存在一定的技术要求，在某些情况下可能无法实施；

¡  存在不可控的业务中断时间；

¡  易出错，特别是对网络设备不熟悉的银行业务员工。

二、     金融网点标准化的建设新思路

针对以上存在的问题，这里尝试提出一些新的建设思路供探讨。

主要的出发点是从运维管理角度，将网点建设成为标准化模式，预先定义好各种类型网点模板，实施完全一致的设备配置、安全、QoS、可靠性、运维管理等策略，以减少网点间差异性和不确定性。按这种模式部署的网点，可称为标准化建设网点。由于特殊原因不能实行标准化部署的，属于非标网点，另外单独进行管理。标准化网点业务接入如图1所示。

基本思路如下：

¡  标准化：强化网点组网技术与拓扑的标准化，杜绝不必要的灵活性；

¡  固化：固化设备类型，屏蔽不同厂家的设备规格型号特性差异；

¡  统一化：在安全准入、可靠性保障、运维管理等方面，实现统一的标准化模式和管理界面。

 

http://www.h3c.com.cn/res/201211/01/20121101_1436573_image001_758709_30008_0.png

图1.  标准化网点业务接入示意图

1.    采用路由交换一体化设备，实现组网技术与拓扑的标准化

坚决走All in One的思路，实现设备规格的归一化与标准化，将所有设备功能、特性融合到路由交换一体化设备上去，彻底简化网点设备种类构成，简化网点部署，降低运维难度与工作量。在规划阶段，按当前业务容量2-3倍的接入密度进行设备规格定义，做到在可预见的生命周期内，不再考虑使用额外的交换机等附属设备来进行业务扩展，如果以后超出当前设备容量，则使用路由器交换板卡（以下简称LSW）解决。从当前业界情况看，路由交换一体化设备已经成为趋势，主流的设备厂家均有相应的设备可供选择，网点设备的标准化和归一化条件已经基本成熟。

为确保网点单设备具备足够的能力，需要在安全（防火墙、IPS、Portal、802.1x等等）、QoS（基于业务的LB）、可靠性（BFD）、运维（自动部署）等方面进行明确定义。包括为了支持以后的有线无线一体化统一接入，路由交换一体化设备必须能够支持内置AC特性，以便可以管理外部AP，从而简化无线组网配置需求。

从整网管理和运维角度，预先定义好统一清晰的安全、QoS、可靠性、管理等策略的标准化模型，将后续所有的管理行为和运维模式标准化，减少不同分支间的差异性，简化后续运维复杂度，降低TCO成本。

如图1所示，网点无论大小，完全采用路由交换一体化进行部署，网点设备精简为一台或冗余备份的两台，杜绝不必要的灵活性，杜绝设备堆砌。

具体实践时，根据网点类型分为网点、自助银行、离行ATM三大类型，区别只在于业务终端数量不同：

¡  离行ATM：单台ATM业务接入相对固定，可为内置4口LSW的路由交换一体化设备；

¡  自助银行：6个信息点以内，采用内置12口/24口LSW的路由交换一体化设备；

¡  小型网点：12个信息点以内，采用内置24口LSW的路由交换一体化设备，通过LSW板卡可以扩展至32个交换端口。每个网点采用一台或者两台；

¡  大型网点：24个信息点以上，采用内置48口LSW的路由交换一体化设备，通过LSW板卡可以扩展至60个交换口。每个网点采用一台或者两台。

以上的思路也体现了“弃小就大”的特点，即一开始预留足够的业务扩展能力，从降低整个TCO的角度，非常有意义。初始增加的设备成本，在整个生命周期内几乎可以忽略不计。相比之下，原有的“前期规格匹配、物尽其用”的做法，将在后续业务扩展过程中，付出更为高昂的代价和机会成本。

基于路由交换一体化设备构建的统一业务交换架构，实现网点所有IP业务的承载，也适应了视频监控、门禁等等各种IP化业务的统一接入趋势。对于业务接入，将完全利用路由交换一体化设备内置LAN口实现。可根据网点规模和业务种类，在分行范围内，统一端口范围和业务策略，对不同的业务端口，实行统一的安全策略、QoS策略和管理策略等。

2.    实施严格统一的业务安全准入策略

实施业务统一的安全准入策略，以确保网点IP终端设备的安全接入与安全状态可控，其基本原理如图2所示：

http://www.h3c.com.cn/res/201211/01/20121101_1436574_image002_758709_30008_0.png

                                        图2.  端点准入策略的架构示意

¡  当网点终端试图接入网络时，首先通过客户端进行用户身份认证，非法用户将被拒绝接入网络；

¡  合法用户将被要求进行安全状态认证，由安全策略服务器验证用户终端安全状态是否符合基于用户帐号预定义的安全策略，包括补丁版本、病毒库版本是否合格，软件安装允许是否合格、是否使用代理服务器等信息，不合格用户将被智能联动设备隔离到隔离区；

¡  进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法程序、取消代理设置等操作，直到安全状态合格；

¡  安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由智能联动设备提供基于身份的网络服务。

3.    明确化、简化高可靠技术的部署标准

实现标准化部署的重要网点，需要考虑网络设备+上行链路+下行链路的完全冗余备份能力，至少保证所有的生产业务终端有两条冗余接入链路。相关建议是：

¡  在强可靠需求情况下，生产终端采用双网卡，分别接入到不同的设备交换端口上去，这样当设备故障或者链路故障时，自动倒换到另一条链路或者设备上去，确保避免由于需要人工干预导致的业务中断；

¡  办公终端，考虑有线和无线互为备份；

¡  在广域链路上基于业务的负载分担，网点业务与应用自动选择合适的链路，确保核心应用业务得到保障；

¡  实现基于用户身份的业务精细化控制，VIP客户与普通客户享受不同的QoS服务；

随着技术发展和进步，将来更可以考虑虚拟化技术的引入，实现将现在两台设备和两条链路分别虚拟成一台和一条，实现可靠性技术的部署简化。因为设备单一、特性统一、组网模式一致，这些策略可以得到很好的统一贯彻。

4.    通过网管平台增强零配置、自动化能力

网管平台将通过增强以下的特性，减轻运维工作量和增强远程“无”人网点的故障自愈能力：

第一，实现远程网点的“无”人快速部署，如新网点快速开通、分支设备故障更换等场景，只要现场人员接好各种线缆，直接开机通电即可，不需要具备IT专业素质背景，从而大大节省人力物力。

具体实现可以有两种模式：

¡  中心网管提前编写相关配置命令，通过邮寄U盘、Email、短信等方式交达到网点，网点人员只要将含有这些配置命令的U盘，插到路由交换一体机上，开机通电即可，设备会自动连接网管中心，下载相关配置和版本，自动完成所有的配置工作;

¡  如果网点分支采用3G作为一种上行方式时，网点人员只要把3G模块的号码告知网管中心，网管中心即可通过3G短信等方式下发配置命令，控制路由器与网管中心连接，路由器将自动下载版本和配置，完成所有配置工作。

第二，实现远程维护的自动化。通过部署统一的设备版本管理服务器，一方面实现设备临时更换的配置重新加载等工作，另一方面，也可以实现版本的自动、批量、可控升级，可以节省巨大的人力物力，避免了一人去现场维护升级100个分支网点的事情。

第三，实现远程故障自动恢复。无论怎样的技术保障，远程配置管理总是会存在一定概率的失败情况，比如配置重新下发过程中，由于人为错误、网络错误，导致配置更新不成功，最恶劣的情况是由于配置错误，导致路由器无法再与网管中心连接上。以前这种情况下，只能是进行现场人工恢复，毫无疑问，因此而导致的业务中断是无法接受的。远程故障的自动恢复，主要就是在出现配置错误不能连接网管中心的情况下，路由器能够自动回滚到以前的正常配置，恢复与网管中心的连接，从而保证远端分支设备不失控，最终避免派人去现场的情况。

三、     结束语

商业银行是信息科技成果应用最快、最广、最深入的行业之一，同时也是受信息科技风险影响最大的行业之一。银行对信息技术的依赖程度会随着整个行业竞争和发展而不断加深，但当前网点建设的设备与组网技术复杂性，蕴含着业务的隐患和风险。

通过一些标准化建设思路，使网点设备单一化，简化组网拓扑，从而大大降低运维复杂度和工作量，降低分支网络建设总体TCO。通过一些安全、运维管理策略的标准化，实现网点终端的安全准入控制，减少故障发生时对业务可能造成的中断和影响，增强网点网络故障的自愈能力，也将有助于中心IT管理人员能够将精力集中到核心业务上。