移动安全 安全管理应用案例 网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用案例 >

构建不变、安然、靠得住的新一代万兆园区网

时间:2013-08-13 11:16来源:TuZhiJiaMi企业信息安全专家 点击:
客户布景 昆明巫家坝国际机场,建于1922年,是中国第二个平易近用机场,经3次改扩建,航站楼设计容量1037万人次,但仅2008年巫家坝机场的客运吞吐量就达到了1528万人次,2011年达到2229万人次
Tags案例(164)华为(32)交通行业(3)万兆园区网(1)  

  客户布景

  昆明巫家坝国际机场,建于1922年,是中国第二个平易近用机场,经3次改扩建,航站楼设计容量1037万人次,但仅2008年巫家坝机场的客运吞吐量就达到了1528万人次,2011年达到2229万人次,远远超出了现有航站楼设计容量,成了中国第七个吞吐量超越2000万的国际机场,机场运营压力巨大年夜。

  巫家坝机场距离昆明市中间直线距离仅6.6千米,是全国省会城市机场中距离市中间比来的机场,今朝其周围已被城市包抄,不具有原地扩建的前提。是以,昆明市当局决定迁建一座全新的机场,而东方航空云南分公司作为云南最大年夜的航空公司,其基地伴跟着机场的迁建也需要在新机场扶植而迁徙,所以需要从头扶植一张集运营、办公等为目标的安然、靠得住、进步前辈的收集。

  2012年6月27日晚21:30,跟着最后一趟出港航班东航MU5945的起飞。至此,历经60余个春秋的昆明巫家坝国际机场美满完成了平易近航的汗青任务。巫家坝机场随即拉开了转场最后冲刺的陆、空“大年夜搬场”,确保所有设备28日凌晨达到长水机场各就各位,迎接长水国际机场启用后的首个航班的解缆。27日晚巫家坝机场有18架飞机完成集体“搬场”。巫家坝机场的陆地“搬场”则从27日22时起解缆,地面搬家首要触及出产设备、物质38辆次,包含食物车、传送车、拖头车、加油车、电源车、气源车、指导车、摆渡车、客梯车等在内的209辆特种车辆车队,地面搬家将延续到28日凌晨6点。

  而长水国际机场则是昆明仅用3年时候,在曾乱石林立、杂草丛生的高原山地上建起来的一座气焰恢宏、科技环保的现代化国际机场,创作发现了多项中国第一。长水国际机场的建成,必将对完美中国航空交通运输系统,优化国度机场布局,促进中国与世界各国的交换合作,助推新一轮西部大年夜开辟计谋和云南扶植中国面向西南开放首要桥头堡,产生重大年夜而深远的影响。跟着长水国际机场28日零时起正式启用,长水顺利的接过了巫家坝国际机场的平易近航任务。

  2012年6月28日8时,昆明长水国际机场正式运营,载客航班开端起飞降落。为完成机场转场期间的正常运营,东方航空云南分公司提出从运行资产、信息系统、人力资本、转场费用、搬家方案、手册修订等六个方面进交运行预备,此中新基地的信息系统扶植事关转场运营的成败,显得尤其首要,构建一个安然高效的新基地办公收集势在必行。

  客户面对的挑战

  昆明东航基地办公收集为各个东航昆明新机场基地内计较机用户供给高速、靠得住、安然、有效的信息收集办事。它将分离在东航昆明新机场基地内的所有计较机、信息终端、工作站、办事器等设备经由过程收集彼此连接,在收集通信和谈和收集治理软件节制下,实现彼此通信、资本共享和漫衍措置。基地办公收集是全部东航昆明新机场基地办公的根本通信平台,同时也是东航昆明新机场基地对外信息收集进行通信连接的通信平台,所以收集扶植也面对着良多挑战,具体以下:

  1、昆明长水机场搬家,当局要求在8小时内完成新老机场转场,面对系统切换掉败,机场停运的巨大年夜风险和挑战

  航空公司关头营业利用的可用性与机能要求对航空公司营运来讲,比其他任何企业都更加关头、首要。假定关头营业长时候间断,对航空公司来讲将是一场没顶之灾。假定收集不不变,客户与员工不克不及及时拜候首要利用,营业也会蒙受没法挽回的利润损掉,并使出产力降落、客户的不信赖,最终将导致市场份额的丢掉。所以整体收集打算必需确保可以全天候供给运营办事,收集具有强大年夜的容错功能。

  2、面对海量系统日记,没法有效正肯定位收集报复打击事务,决定计划者没法获得对安然态势的全局不雅,一旦产生安然收集报复打击事务,没法做到事前和事中的预警和对收集报复打击的有效阻断

  3、无有效安然管控手段包管收集端到端的安然

  新基地园区根本收集举措措施建成后将承载不合用户的各类营业,所以关头信息的完全性与保密性变得尤其首要。不合本能机能部门之间需要逻辑隔离,避免无关人员未经授权不法拜候其他本能机能部门奥秘信息。对每个接进收集的终端,接进前需对接进设备身份及系统软件环境做相干查抄,合适安然策略的才授予拜候权限,对不合适安然策略的终端将被强迫放进隔离区,只有在隔离区内将所有标题问题修复后才从头下发收集正常拜候权限。同时对已授予接进权限的终端也需要做及时行动审计,当及时监测到终端呈现不合适安然策略把持时,需当即隔离或强迫下线,以包管主收集的安然,并且也需要供给背规信息记实、日记信息等为收集安然审计供给保障。对无线收集,所有接进用户都需要进行接进授权认证,极大年夜保障收集的安然性。

  4、新建系统需要有杰出的扩大性,保障营业系统将来5年的成长

  今朝航空各项营业和利用逐步增加,所以需要利用系统营业量增加时,根本举措措施架构可以或许扩大以适应更多用户、生意和更大都据措置的能力。可扩大性应当经由过程尽可能扩大已有的系统来实现,而不是必需替代已有系统。是以也要求企业本身能对将来营业进行猜想(机能),在当前收集摆设扶植时赐与充分考虑。

  5、面对复杂的系统和收集,无有效治理手段统一治理

  东航昆明新机场基地收集复杂年夜,需要对整网收集设备实现统一治理,实现收集的拓扑、机能、故障、建设全方位的治理,可以或许对全部收集中的有线收集部门和无线收集部门实现统一治理,其次,收集治理的另外一个首要内容就是对利用层流量进行切确阐发,及时、准确、高效地掌控新基地信息收集系统中正在运行的各个营业系统的流量环境,这对IT治理提出了挑战。

  华为解决方案

  1、紧抓关头点,打造7×24小时无故障收集,供给高靠得住解决方案和现场保障办事

  航空公司关头性营业需要保障7×24小时无故障,假定关头营业长时候间断,对航空公司影响巨大年夜,并且假定收集不不变,将导致营业拜候呈现标题问题,导致卑劣影响,所以收集的高靠得住性必需保障。

  经由过程供给设备级靠得住性、收集打算靠得住性、营业靠得住性、测试和现场保障四个方面进行靠得住性保障,周全保障7×24小时营业不间断。

  设备级靠得住性:会聚设备、核心设备关头部件(电扇、主控、电源)冗余,完全避免了收集单板故障导致的设备不成用。

  收集打算靠得住性:关头会聚和核心设备采取双机冗余编制打算,毫秒级的收集切换,完全杜尽了单设备呈现标题问题导致营业不通标题问题。

  营业靠得住性:针对关头营业,对其供给办事的办事器进行冗余备份,并可和时同步和切换。

  人员、备机、轨制保障靠得住性方案:在机场转场前,供给各项测试预备工作包含断纤测试,系统宕机切换测试,在机场转场过程中,供给多台核心硬件备机保障收集风险最低,供给现场人员保障办事,持续4日夜的华为原厂手艺撑持,有效的包管了收集的正常运行。

  2、构建iSOC统一安然管控中间,经由过程对IT设备和营业系统的日记集中汇集、分类存储、联系关系阐发,从海量安然事务中产生切确告警、定位安然标题问题,晋升安然运维治理效力,并知足相干安然合规的要求。

  事前:实现安然事务的集中、量化治理,在最快的时候内作出恰当的切确警示。

  事中:协助安然治理人员做出准确的鉴定,晋升安然治理和响应的效力,当安然变乱产生时削减对营业的冲击。

  过后: 经由过程专用非关系型日记数据库,实现日记数据的快速写进存储,包管后续的审计追溯。经由过程一次写进不成更改手艺,连络大年夜量律例顺从报表模板实现客户的合规报表输出需求。

  3、端到端收集安然保障使收集安如盘石

  对东航新基地来讲,因为办公收集是平常办公和营业拜候的首要场合,其安然性不言而喻。同时还有勾当办公、会议接进、外联单位人员收集接进的需要,是以需要进步收集的安然性,身份认证和安然审计必不成少。

  针对桌面接进层面,收集数据传输互换层面,办事器区,出口区和长途接进区供给不合的解决方案。

  桌面接进层面:利用桌面安然系统,使每个终端避免被报复打击和主动报复打击,且其病毒软件和补丁可以按时进级。

  收集数据传输互换层面:核心设备摆设虚拟防火墙,针对会聚层的每个网段进行安然防火保障。并且在核心区整体摆设防火墙和IPS,对收集安然层层把关。

  办事器区:摆设防火期和IPS,确保办事器区数据万无一掉。

  出口区:摆设SSL VPN,使长途接进加倍矫捷,安然。

  4 、万兆骨干, 千兆桌面虚拟化架构设计保障营业将来几年成长扩大需要

  跟着营业成长,东航营业利用将愈来愈多,保障收集在将来几年内可以承载比本来更多的营业利用和收集扩大是收集打算扶植不成贫乏的考虑身分。

  采取“万兆骨干,千兆桌面”的整体思惟,打造一个高速高效的收集信息平台。

  采取多插槽框式设备,冗余足够的插槽保障将来几年的扩大需要。

  5、易治理、易保护

  东航收集信息平台建成后,其收集范围复杂年夜,设备种类分离,对保护治理提出考验。

  采取统一网管平台,所有设备(安然、无线、数通、办事器等)统一治理,所采取的网管平台可以治理业界所有主流厂家的设备,为后期的收集扩大奠定了根本,削减了保护成本。

  收集设计采取层次化、模块化的设计思路,遵循接进层、会聚层、核心层和出口层进行收集设备设计摆设。在接进层互换机,经由过程模块化(营业单板)编制供给WLAN AC节制器、防火墙、负载均衡器等增值营业功能,知足企业日趋增加的营业需求。

  采取虚拟化手艺对核心互换机进行集群(或堆叠),将两台/多台互换机虚拟化成一台互换机,降落收集拓扑复杂度的同时,进步收集靠得住性;.采取AC+AP的编制实现区域的无线笼盖,对无线AP进行统一治理摆设,简化了收集摆设编制,增加了不合用户的接进编制,进步了用户体验。

  在办事器区建设了负载均衡板卡,它可以或许为大年夜量的基于TCP/IP的收集利用供给办事器负载均衡办事。并且可以持续地对方针办事器进行L4到L7合理性查抄,当用户要求方针办事器办事时,负载均衡设备根椐方针办事器之间机能和收集健康环境,选择机能最好的办事器响利用户的要求。当收集办事器趋于饱和,那么负载均衡设备将遵循各个办事器的负载环境,进行营业的分担,并且在营业分担过程中将保持会话统一。

  在出口区建设了链路负载均衡板卡,可以针对不合的营业拜候主动选择最优的出口,确保安然方面,采取端到端收集安然解决方案,客户的桌面接进(TSM桌面安然系统)、收集数据传输(虚拟防火墙)、办事器区(进侵检测系统,防火墙)、出口(防火墙)、长途接进(SSL VPN),各个部门进行收集安然保障,构建iSOC统一安然管控中间,经由过程对IT设备和营业系统的日记集中汇集、分类存储、联系关系阐发,从海量安然事务中产生切确告警、定位安然标题问题,晋升安然运维治理效力,并知足相干安然合规的要求。针对各类不合利用系统和收集进行统一治理,采取华为的esight网管平台,治理现网的所有设备(路由器,互换机,安然设备,WLAN,办事器,数据库等)极大年夜的削减了运维治理成本,并且esight网管平台撑持主流厂家的设备治理,对后期收集的兼容性治理供给了保障。

  项目亮点

  1、基于虚拟化手艺的万兆骨干园区网,实现高不变高机能高可扩大性

  东方航空云南分公司新基地收集解决方案,秉承“万兆骨干,千兆桌面,端到端虚拟化”的设计理念,打造出高机能高可扩大性进步前辈的收集。会聚层设备和核心层设备虚拟化,将两台设备虚拟成一台设备进行组网和治理,设备之间经由过程量条万兆线路***冗余互联,在逻辑上闪现出以核心节点为“根”的星形分层拓扑,架构不变,易于扩大和保护。

  办事器区和出口辨别离采取负载均衡设备,针对不合的流量进行智能分担选路,进步整体收集办事平台办事效力。

  2、转场实现零故障,实现复杂系统和收集的最短时候切换,表现出华为在收集保障中的强大年夜实力并获得客户充分承认

  持续四个日夜的转场奋战和严格的转场保障应急办法,包管了东航基地收集运营的无缝跟尾,华为供给的测试方案和应急预案预备充分,保障到位。

  3、构建iSOC统一安然管控中间,掌控对安然态势的全局不雅

  东方航空云南分公司新基地收集解决方案iSOC摆设后,实现事前安然事务的集中、量化治理,在最快的时候内作出恰当的切确警示。实现事中协助安然治理人员做出准确的鉴定,晋升安然治理和响应的效力,当安然变乱产生时削减对营业的冲击。实现过后经由过程专用非关系型日记数据库,实现日记数据的快速写进存储,包管后续的审计追溯。并经由过程一次写进不成更改手艺,连络大年夜量律例顺从报表模板实现客户的合规报表输出需求。

  4、端到端安然方案摆设,实现立体化全方位安然

  东方航空云南分公司新基地收集安然解决方案,采取端到端安然防护摆设编制,针对终端采取桌面安然系统,从最底层保障收集安然,使终端安然安如盘石。在数据层面采取虚拟防火墙针对各个收集分区进行安然防护,针对核心区摆设硬件防火墙和进侵检测系统确保核心和出口区安然,在办事器区采取虚拟防火墙和IPS保障办事器区数据万无一掉。采取SSL VPN供给矫捷的长途办公接进,和数据加密。

  5、统一收集治理平台,简化收集运维治理,降落运维治理成本

  东方航空云南分公司新基地收集安然解决方案,采取“统一”的设计思惟,一套网管治理多种设备和营业,完全丢弃了传统的不合营业不合设备利用不合网管别离治理的设计,针对WLAN、安然、数据设备、办事器划一一可视化治理,完全简化了收集运维治理,降落了治理成本。

  给客户带来价值

  1、昆明机场转场运营无缝跟尾,云南东航基地收集切换不变,运营正常,建立了杰出的社会名誉。

  持续四个日夜的转场奋战和严格的转场保障应急办法,包管了东航基地收集运营的无缝跟尾,获得了社会和当局相干部门的一致好评。

  2、有效晋升东方航空航空公司信息平台国际化的程度,打造了东航航空新基地新一代进步前辈的收集信息平台手刺

  东航云南分公司经由过程构建不变、安然、靠得住的新一代万兆园区收集信息平台,充分表现了东航信息化扶植的可用性和进步前辈性,并且与国际化主流企业信息化接轨,打造出进步前辈、靠得住、不变、安然的航空公司新一代收集信息化平台手刺。

  3、晋升并保障了整体收集信息化平台机能,晋升了工作效力

  东航云南分公司经由过程构建不变、安然、靠得住的新一代万兆园区收集信息平台,引进了业界进步前辈的虚拟化、万兆骨干高机能高冗余组网编制,iSOC系统的摆设极大年夜的减轻了安然运维人员的运维承担,削减了安然报复打击事务的误报和漏报,晋升保障了东航基地收集信息平台整体机能,晋升了整体收集信息化办公的工作效力。

  4、周全进步信息化的利用程度

  东航云南分公司经由过程构建不变、安然、靠得住的新一代万兆园区收集信息平台,环绕随时实地的安然利用收集,真实的流利办公和internet体验,和智能矫捷的营业拜候平台,促进了更多办公系统和INTERNET的新营业的利用,周全晋升了信息化的利用程度。

  5、最安然、靠得住的信息化平台,最安心的平台

  东航云南分公司经由过程构建不变、安然、靠得住的新一代万兆园区收集信息平台,端到端的收集安然摆设,全冗余的收集摆设编制,完全保障了数据安然,和收集不变性,打造出用户最安心的新一代收集信息平台。

  客户评价

  “向华为公司暗示感激,祝贺华为公司明天会更好!”

------分隔线----------------------------

推荐内容