3G/4G Pad在銀行應用實施案例

隨著運營商3G/4G 無線網絡技術在金融行業的應用，針對于數量眾多、分散布局的營業網點、銀行POS機、ATM機、ATM視頻監控則可以從以前專線網絡過渡到 3G/4G網絡上來，3G/4G網絡通過發卡控制號段使一個企業的所有無線終端接入網絡以后處在同一個封閉VPN專網中，進入VPN專網以后終端還需要通過銀行的AAA認證才能進入相關生產業務系統。通過一系列的安全措施可以充分保證交易網絡的安全性。無線終端可以在銀行網絡系統結構不作任何修改的基礎上完成平滑過渡。

國內運營商提供的3G/4G網絡可以為銀行營業網點、ATM機、POS、移動終端提供數據通信服務。為滿足公從對金融服務的需求，在大型居民區、重要旅游景點、大型商場、賓館飯店等營銷推廣。本案例主要應用就是銀行營銷人員在以上場所中推廣相關的營銷業務同時辦理信用卡等生產業務。

某銀行使用Pad來辦理強生產業務，相關應用APP已開發完成，主要是通過銀行的營銷人員可以通過平板來辦理生產業務，同時要保證數據傳輸的安全性，現在急需使用平板來開展相關業務。需要使用三星Pad通過VPDN訪問生產網絡，同時要保證數據傳輸的安全性。

項目中只采購了一臺RSR-7708做為LNS使用，3G端使用三星T311移動數字電話（平板+電話），不管采用何種方式都要保證中間數據傳輸安全.

基礎環境搭建

gt; 按正常3G解決方案完成LSN相關配置，并通過3G路由器測試VPDN、IPSEC、業務訪問正常。

gt; 完成3G端Android apn撥號的的相關配置

gt; Android 通過l2tp over ipsec 與LNS對接

拓撲結構圖

上圖拓撲為建成后3G區的整網結構，本方案只涉及終端、平板部分，并使用單LNS單獨鏈路方式接入，通過3G路由器的接入部分文檔不在講述

一、Android apn的相關設置

說明： 以上配置做完后，正常情況下平板就獲取到 LNS分配的地址，同時在LNS上可以看到 LAC與LNS建立的L2TP隧道。

（竅門 "整個測試過程需要平板來操作，為了方便可能把平板帶到單位和家里，這時可以在平板安裝telnet軟件，當VPDN建立正常后就可以遠程登陸到LSN進行相關配置修改。

二、Android 通過l2tp over ipsec 與LNS對接

移動終端的L2TP Over IPSec VPN采用了如下默認配置

gt; 在IKE協商第一階段中使用主模式

gt; 在IKE協商第一階段中支持預共享密鑰和數字證書兩種認證方式

gt; 在IKE協商第一階段中使用加密算法3DES、驗證算法SHA-1、密鑰交換算法Diffie-Hellman組 2（密鑰長度1024 位）

gt; 在IKE協商第一階段中支持NAT穿越

gt; 在IKE協商第二階段中使用傳輸模式

gt; 在IKE協商第二階段中使用協議類型ESP、加密算法3DES、驗證算法SHA-1

Android l2tp over ipsec配置

說明：在Android的4.2.2版本中無法實現單獨的L2TP或者IPSec，新建的VPN默認為L2TP Over IPSec VPN。

左圖顯示平板VPN建立成功的狀態，右圖顯示訪問生產業務界面

三、LNS端排查方法：

debug ppp packet;debug ppp negotiation

debug ppp event;debug ppp authentication

debug ppp event;debug vpdn error

debug vpdn event;debug vpdn l2x-data

debug vpdn l2x-events;debug vpdn l2x-packets

debug vpdn l2x-errors