Сетевая архитектура ATM
Справочная заметка ATM: Сетевая архитектура ATM.
Сетевая архитектура ATM
Обзор
ATM подключается к процессинговому хосту через защищённый канал связи. Типичная топология:
ATM → (WAN/VPN) → Acquirer Switch (ATM Host) → Card Scheme → IssuerВесь трафик прикладного уровня (авторизационные сообщения ISO 8583 / NDC) передаётся поверх TCP/IP с обязательным шифрованием канала.
Топология сети
graph TD
ATM["🏧 ATM\n(Terminal)"]
Router["Router/Firewall\n(Branch/Site)"]
WAN["WAN\n(MPLS / Internet VPN / 4G)"]
DC_FW["Firewall\nData Center DMZ"]
ATM_Switch["ATM Switch\n(Acquirer Host)"]
HSM_DC["HSM Cluster\n(Data Center)"]
CardScheme["Card Scheme\n(Visa / MC / МИР)"]
Issuer["Issuer\nAuthorizer"]
Monitoring["ATM Monitoring\n(EMS/CMS)"]
EJ_Server["EJ / Journal\nServer"]
ATM -->|"TLS 1.2/1.3\nport 443/custom"| Router
Router -->|"IPSec VPN\nили MPLS"| WAN
WAN --> DC_FW
DC_FW --> ATM_Switch
ATM_Switch <--> HSM_DC
ATM_Switch -->|"ISO 8583\nover TCP"| CardScheme
CardScheme -->|"ISO 8583"| Issuer
ATM_Switch --> EJ_Server
ATM -->|"SNMP / TCP"| MonitoringКаналы связи
| Тип канала | Применение | Статус |
|---|---|---|
| MPLS (выделенная сеть) | Корпоративные ATM банка | Современный стандарт |
| IPSec VPN over Internet | ATM партнёров, торговые точки | Широко используется |
| TLS over TCP | Прикладной уровень поверх любого канала | Обязательно |
| 4G LTE / 5G | Удалённые ATM, резервный канал | Растёт применение |
| ADSL / VDSL | Устаревшие установки | Выводится из эксплуатации |
| Выделенная линия / X.25 | Legacy, устаревший | Не используется в новых |
Требования к каналу
| Параметр | Минимум | Рекомендуется |
|---|---|---|
| Полоса пропускания | 64 Kbps | 1–10 Mbps |
| Задержка (RTT) | < 3 000 ms | < 500 ms |
| Доступность | 99.5% | 99.9%+ |
| Резервный канал | Желательно | Обязательно для высоконагруженных |
[!note] Малый трафик Одна авторизационная транзакция ISO 8583 занимает ~500 байт–2 KB. Полоса некритична. Критичны: задержка (влияет на UX) и доступность (влияет на uptime ATM).
Безопасность канала
TLS
- Версия: TLS 1.2 (минимум) / TLS 1.3 (рекомендуется)
- Mutual TLS (mTLS) — взаимная аутентификация ATM и хоста
- Сертификаты: PKI инфраструктура банка
- PCI DSS требует шифрование в transit для данных держателей карт
Шифрование на уровне приложения
- PIN Block шифруется в EPP до отправки по сети (независимо от TLS)
- MAC (Message Authentication Code) защищает целостность ISO 8583 сообщений
- Ключи хранятся в HSM
Сегментация сети
- ATM сеть изолирована в отдельный VLAN / сегмент
- DMZ между ATM-сетью и процессингом
- Firewall rules: только разрешённые порты к ATM Switch
- ATM не имеет доступа в интернет напрямую
Мониторинг сети
- SNMP v2c/v3 — мониторинг сетевого оборудования
- TCP keepalive — поддержание соединения ATM↔хост
- ATM heartbeat (echo/signOn) — периодическая проверка связи
- В NDC: Network Management Request / Response
- В ISO 8583: MTI 0800/0810 (Network Management)
- EMS (Estate Management System) — система мониторинга состояния ATM
- Примеры: NCR APTRA Vision, Diebold Nixdorf AllConnect, собственные системы банков
Порты и протоколы
| Сервис | Порт | Протокол |
|---|---|---|
| ATM Host (ISO 8583 / NDC) | 443, 4000–4999 (custom) | TCP/TLS |
| ATM Monitoring (SNMP) | 161/162 | UDP |
| Remote management | 22 (SSH), 3389 (RDP) | TCP |
| NTP (синхронизация времени) | 123 | UDP |
| Syslog | 514 | UDP/TCP |
Высокая доступность (HA)
- Primary/Backup Host: ATM настроен на primary и backup адрес хоста
- При недоступности primary — автоматический failover на backup
- Dual WAN: два независимых канала (например, fiber + 4G)
- Local fallback: часть ATM могут работать в offline-режиме (ограниченно)
Связанные заметки
- ATM-Архитектура-ATM — физическая архитектура
- ATM-Процессинг-обзор — роли участников транзакции
- ATM-ISO-8583 — протокол авторизационных сообщений
- ATM-NDC-DDC — протокол ATM↔хост
- TERM-acquirer · TERM-hsm · TERM-pin-block