金融行业案例——华为智慧金融网点网络解决方案

0

华为智慧金融网点网络解决方案 交付一本通(商业市场)

版本配套说明

华为智慧金融S5700系列产品文档网点网络解决方案中的推荐产品型号和推荐软件版本如表1-1所示。

表1-1 华为智慧金融网点网络解决方案版本配套表

分类

产品系列

产品型号

起始最低版本

推荐版本

配套说明

相关手册

融合网关

NetEngine AR6700系列

AR6710-L

V600R022C00

V600R022C00

企业路由器,作为办公网络、生产网络的网关与出口,上联口与专线互联

AR6700系列产品文档

接入交换机PoE

CloudEngine S5700系列

S5735-L

V200R021C10

V200R022C00

接入交换机,用于有线终端的接入,以及AP设备的汇聚

S5700系列产品文档

大堂AP

AirEngine 6700系列

AirEngine 6761-21/21T

V200R021C10

V200R022C00

Wi-Fi 6标准的室内放装型AP,用于金融网点网络中接入无线终端

AirEngine 6700系列产品文档

AirEngine 5700系列

AirEngine 5761-11

V200R021C10

V200R022C00

AirEngine 5700系列产品文档

面板AP

AirEngine 5700系列

AirEngine 5762-12SW

V200R021C10

V200R022C00

Wi-Fi 6标准的面板型AP,用于金融网点网络中接入无线终端

AirEngine 5700系列产品文档

WLAN AC

AC6000系列

AC6508

V200R021C10

V200R022C00

无线接入控制器(Access Controller),部署在上一层分行或运维管理中心,对网点中的AP进行管理

AC6000系列产品文档

本文档涉及产品的配置将采用表1-1给出的推荐产品型号和软件推荐软件版本进行举例。因版本升级、设备型号不同等原因,可能造成文档中提供的内容与用户使用的设备界面不一致,请以用户设备界面的信息为准,本文档不再针对前述情况造成的差异一一说明。

不同产品型号之间的差异,以及同一产品型号不同版本之间的差异,请使用Info-Finder中的规格查询工具进行对比,您可以在线浏览差异项或导出差异说明。

方案简介

金融网点是金融企业与客户接触的主要途径之一。以银行为例,银行通过各种网点对客户提供服务并营销理财产品、吸纳个人存款,客户通过银行网点了解银行,所以网点成了银行的一扇窗户。围绕“智慧营销、智慧运营、智慧安防”的总体要求来建设金融网点已经成为行业共识。针对网络层面,总体上看,金融中小型网点需要便捷好用、好配置、好管理的安全网络,支撑金融网点的营销、运营活动和安防保障。

华为智慧金融网点网络解决方案的基线组网如图2-1所示,该网络分为办公网络和生产网络两部分,办公和生产业务进行安全隔离。无线控制器AC部署在上一级分行或管理运维中心,用于对多个网点中AP的统一管理。

图2-1 华为智慧金融网点网络示意图

办公网络

在办公网络中:

  • 办公无线终端通过Wi-Fi接入大堂AP或86面板AP。其中,针对普通终端(可以安装并执行802.1X客户端软件程序的终端,如笔记本电脑),推荐采用802.1X的认证方式;针对哑终端(不具备802.1X认证能力的终端,如打印机、传真机等)采用MAC认证的方式。
  • 办公有线终端直接接入交换机。其中,针对普通终端,推荐采用802.1X的认证方式;针对哑终端采用MAC认证的方式。
  • 办公网络中的AP管理VLAN网关、有线终端接入的业务VLAN网关均设置在其上连的交换机上;无线终端接入的业务VLAN网关设置在上一层分行网络中。
  • 办公网络流量将AR1连接的专线网络1作为主链路、将AR2连接的专线网络2作为备链路来访问上一级分行。

安防监控网络建设一般分为两种,部分银行安全监控网络接入到办公网络,也有独立建设的安防网络(与办公网和生产网物理隔离)。本文以安防接入到办公网络为例进行说明。

生产网络

在生产网络中:

  • 只存在有线类终端,它们直接接入到交换机上。其中,针对普通终端,推荐采用802.1X的认证方式;针对哑终端采用MAC认证的方式。
  • 生产网络的VLAN网关设置在其上连的交换机上。
  • 生产网络流量将AR2连接的专线网络2作为主链路、将AR1连接的专线网络1作为备链路来访问上一级分行。

汇聚与出口

  • 两台交换机、两台AR路由器之间采用L3链路组成“口”字型网络,并部署OSPF,实现路由互通和可靠性,当任意一条专线故障时,流量可绕行到另外一条专线转发。
  • 网点的两台AR路由器通过不同的专线链路与上一级分行互联。

    AR路由器与上一级分行之间采用路由互通,由于银行间配置规范不同,AR路由器上行口的配置和路由配置需根据客户实际规划来部署,本文不做举例。AR路由器上接口和路由的基本配置可参见AR6700系列产品文档。

  • AC设备部署在上一级分行或管理运维中心的机房中,通过专线远程管理网点中的AP设备。AP设备通过静态方式(静态设置管理IP而非DHCP方式获取)配置管理IP,并被AC纳管。

流量优化

  • 在金融网点网络中,需要部署QoS策略,保证生产业务流量的最优转发和带宽。
  • 在办公网络、生产网络中配置ACL实现办公业务、生产业务、安防业务的网段间流量隔离。

金融网点网络建设需要符合《JR-T 0071-2020 金融行业网络安全等级保护实施指引》要求,并且需要遵循行业标准和监管要求,部分企业有自己的内部建网规范,所以上述方案组网仅为举例使用,请根据具体项目部署实施要求调整方案。