客戶背景
昆明巫家壩國際機場,建于1922年,是中國第二個民用機場,經(jīng)3次改擴建,航站樓設計容量1037萬人次,但僅2008年巫家壩機場的客運吞吐量就達到了1528萬人次,2011年達到2229萬人次,遠遠超出了現(xiàn)有航站樓設計容量,成為了中國第七個吞吐量超過2000萬的國際機場,機場運營壓力巨大。
巫家壩機場距離昆明市中心直線距離僅6.6公里,是全國省會城市機場中距離市中心最近的機場,目前其周圍已被城市包圍,不具備原地擴建的條件。因此,昆明市政府決定遷建一座全新的機場,而東方航空云南分公司作為云南最大的航空公司,其基地伴隨著機場的遷建也需要在新機場建設而遷移,所以需要重新建設一張集運營、辦公等為目的的安全、可靠、先進的網(wǎng)絡。
2012年6月27日晚21:30,隨著最后一趟出港航班東航MU5945的起飛。至此,歷經(jīng)60余個春秋的昆明巫家壩國際機場圓滿完成了民航的歷史使命。巫家壩機場隨即拉開了轉場最后沖刺的陸、空“大搬家”,確保所有設備28日早晨到達長水機場各就各位,迎接長水國際機場啟用后的首個航班的出發(fā)。27日晚巫家壩機場有18架飛機完成集體“搬家”。巫家壩機場的陸地“搬家”則從27日22時起出發(fā),地面搬遷主要涉及生產(chǎn)設備、物資38輛次,包括食品車、傳送車、拖頭車、加油車、電源車、氣源車、引導車、擺渡車、客梯車等在內(nèi)的209輛特種車輛車隊,地面搬遷將持續(xù)到28日凌晨6點。
而長水國際機場則是昆明僅用3年時間,在曾經(jīng)亂石林立、雜草叢生的高原山地上建起來的一座氣勢恢宏、科技環(huán)保的現(xiàn)代化國際機場,創(chuàng)造了多項中國第一。長水國際機場的建成,必將對完善中國航空交通運輸體系,優(yōu)化國家機場布局,促進中國與世界各國的交流合作,助推新一輪西部大開發(fā)戰(zhàn)略和云南建設中國面向西南開放重要橋頭堡,產(chǎn)生重大而深遠的影響。隨著長水國際機場28日零時起正式啟用,長水順利的接過了巫家壩國際機場的民航使命。
2012年6月28日8時,昆明長水國際機場正式運營,載客航班開始起飛降落。為完成機場轉場期間的正常運營,東方航空云南分公司提出從運行資產(chǎn)、信息系統(tǒng)、人力資源、轉場費用、搬遷方案、手冊修訂等六個方面進行運行準備,其中新基地的信息系統(tǒng)建設事關轉場運營的成敗,顯得尤為重要,構建一個安全高效的新基地辦公網(wǎng)絡勢在必行。
客戶面臨的挑戰(zhàn)
昆明東航基地辦公網(wǎng)絡為各個東航昆明新機場基地內(nèi)計算機用戶提供高速、可靠、安全、有效的信息網(wǎng)絡服務。它將分散在東航昆明新機場基地內(nèi)的所有計算機、信息終端、工作站、服務器等設備通過網(wǎng)絡互相連接,在網(wǎng)絡通信協(xié)議和網(wǎng)絡管理軟件控制下,實現(xiàn)互相通信、資源共享和分布處理。基地辦公網(wǎng)絡是整個東航昆明新機場基地辦公的基礎通訊平臺,同時也是東航昆明新機場基地對外信息網(wǎng)絡進行通訊連接的通信平臺,所以網(wǎng)絡建設也面臨著許多挑戰(zhàn),具體如下:
1、昆明長水機場搬遷,政府要求在8小時內(nèi)完成新老機場轉場,面臨系統(tǒng)切換失敗,機場停運的巨大風險和挑戰(zhàn)
航空公司關鍵業(yè)務應用的可用性與性能要求對于航空公司營運來說,比其他任何企業(yè)都更為關鍵、重要。如果關鍵業(yè)務長時間中斷,對航空公司來說將是一場滅頂之災。如果網(wǎng)絡不穩(wěn)定,客戶與員工不能及時訪問重要應用,業(yè)務也會遭受無法挽回的利潤損失,并使生產(chǎn)力下降、客戶的不信任,最終將導致市場份額的丟失。所以整體網(wǎng)絡規(guī)劃必須確保可以全天候提供運營服務,網(wǎng)絡具有強大的容錯功能。
2、面對海量系統(tǒng)日志,無法有效準確定位網(wǎng)絡攻擊事件,決策者無法獲得對安全態(tài)勢的全局觀,一旦發(fā)生安全網(wǎng)絡攻擊事件,無法做到事前和事中的預警和對網(wǎng)絡攻擊的有效阻斷
3、無有效安全管控手段保證網(wǎng)絡端到端的安全
新基地園區(qū)基礎網(wǎng)絡設施建成后將承載不同用戶的各種業(yè)務,所以關鍵信息的完整性與保密性變得尤為重要。不同職能部門之間需要邏輯隔離,防止無關人員未經(jīng)授權非法訪問其他職能部門機密信息。對于每個接入網(wǎng)絡的終端,接入前需對接入設備身份及系統(tǒng)軟件環(huán)境做相關檢查,符合安全策略的才授予訪問權限,對于不符合安全策略的終端將被強制放入隔離區(qū),只有在隔離區(qū)內(nèi)將所有問題修復后才重新下發(fā)網(wǎng)絡正常訪問權限。同時對于已授予接入權限的終端也需要做實時行為審計,當實時監(jiān)測到終端出現(xiàn)不符合安全策略操作時,需立即隔離或強制下線,以保證主網(wǎng)絡的安全,并且也需要提供違規(guī)信息記錄、日志信息等為網(wǎng)絡安全審計提供保障。對于無線網(wǎng)絡,所有接入用戶都需要進行接入授權認證,極大保障網(wǎng)絡的安全性。
4、新建系統(tǒng)需要有良好的擴展性,保障業(yè)務系統(tǒng)未來5年的發(fā)展
目前航空各項業(yè)務以及應用逐漸增加,所以需要應用系統(tǒng)業(yè)務量增加時,基礎設施架構能夠擴展以適應更多用戶、交易以及更多數(shù)據(jù)處理的能力。可擴展性應該通過盡可能擴展已有的系統(tǒng)來實現(xiàn),而不是必須替換已有系統(tǒng)。因此也要求企業(yè)自身能對未來業(yè)務進行預測(性能),在當前網(wǎng)絡部署建設時給予充分考慮。
5、面對復雜的系統(tǒng)和網(wǎng)絡,無有效管理手段統(tǒng)一管理
東航昆明新機場基地網(wǎng)絡龐大,需要對整網(wǎng)網(wǎng)絡設備實現(xiàn)統(tǒng)一管理,實現(xiàn)網(wǎng)絡的拓撲、性能、故障、配置全方位的管理,能夠對整個網(wǎng)絡中的有線網(wǎng)絡部分和無線網(wǎng)絡部分實現(xiàn)統(tǒng)一管理,其次,網(wǎng)絡管理的另一個重要內(nèi)容就是對應用層流量進行精確分析,及時、準確、高效地掌握新基地信息網(wǎng)絡系統(tǒng)中正在運行的各個業(yè)務系統(tǒng)的流量情況,這對于IT管理提出了挑戰(zhàn)。
華為解決方案
1、緊抓關鍵點,打造7×24小時無故障網(wǎng)絡,提供高可靠解決方案和現(xiàn)場保障服務
航空公司關鍵性業(yè)務需要保障7×24小時無故障,如果關鍵業(yè)務長時間中斷,對航空公司影響巨大,并且如果網(wǎng)絡不穩(wěn)定,將導致業(yè)務訪問出現(xiàn)問題,導致惡劣影響,所以網(wǎng)絡的高可靠性必須保障。
通過提供設備級可靠性、網(wǎng)絡規(guī)劃可靠性、業(yè)務可靠性、測試和現(xiàn)場保障四個方面進行可靠性保障,全面保障7×24小時業(yè)務不中斷。
設備級可靠性:匯聚設備、核心設備關鍵部件(風扇、主控、電源)冗余,徹底避免了網(wǎng)絡單板故障導致的設備不可用。
網(wǎng)絡規(guī)劃可靠性:關鍵匯聚以及核心設備采用雙機冗余方式規(guī)劃,毫秒級的網(wǎng)絡切換,徹底杜絕了單設備出現(xiàn)問題導致業(yè)務不通問題。
業(yè)務可靠性:針對關鍵業(yè)務,對其提供服務的服務器進行冗余備份,并可以實時同步以及切換。
人員、備機、制度保障可靠性方案:在機場轉場前,提供各項測試準備工作包括斷纖測試,系統(tǒng)宕機切換測試,在機場轉場過程中,提供多臺核心硬件備機保障網(wǎng)絡風險最低,提供現(xiàn)場人員保障服務,連續(xù)4晝夜的華為原廠技術支持,有效的保證了網(wǎng)絡的正常運行。
2、構建iSOC統(tǒng)一安全管控中心,通過對IT設備和業(yè)務系統(tǒng)的日志集中采集、分類存儲、關聯(lián)分析,從海量安全事件中產(chǎn)生精確告警、定位安全問題,提升安全運維管理效率,并滿足相關安全合規(guī)的要求。
事前:實現(xiàn)安全事件的集中、量化管理,在最快的時間內(nèi)作出適當?shù)木_警示。
事中:協(xié)助安全管理人員做出正確的判斷,提升安全管理和響應的效率,當安全事故發(fā)生時減少對業(yè)務的沖擊。
事后: 通過專用非關系型日志數(shù)據(jù)庫,實現(xiàn)日志數(shù)據(jù)的快速寫入存儲,保證后續(xù)的審計追溯。通過一次寫入不可更改技術,結合大量法規(guī)遵從報表模板實現(xiàn)客戶的合規(guī)報表輸出需求。
3、端到端網(wǎng)絡安全保障使網(wǎng)絡固若金湯
對于東航新基地來說,由于辦公網(wǎng)絡是日常辦公和業(yè)務訪問的主要場所,其安全性不言而喻。同時還有流動辦公、會議接入、外聯(lián)單位人員網(wǎng)絡接入的需要,因此需要提高網(wǎng)絡的安全性,身份認證以及安全審計必不可少。
針對桌面接入層面,網(wǎng)絡數(shù)據(jù)傳輸交換層面,服務器區(qū),出口區(qū)以及遠程接入?yún)^(qū)提供不同的解決方案。
桌面接入層面:使用桌面安全系統(tǒng),使每個終端避免被攻擊以及主動攻擊,且其病毒軟件以及補丁可以定時升級。
網(wǎng)絡數(shù)據(jù)傳輸交換層面:核心設備部署虛擬防火墻,針對匯聚層的每個網(wǎng)段進行安全防火保障。并且在核心區(qū)總體部署防火墻以及IPS,對網(wǎng)絡安全層層把關。
服務器區(qū):部署防火期以及IPS,確保服務器區(qū)數(shù)據(jù)萬無一失。
出口區(qū):部署SSL VPN,使遠程接入更加靈活,安全。
4 、萬兆骨干, 千兆桌面虛擬化架構設計保障業(yè)務未來幾年發(fā)展擴展需要
隨著業(yè)務發(fā)展,東航業(yè)務應用將越來越多,保障網(wǎng)絡在未來幾年內(nèi)可以承載比原來更多的業(yè)務應用以及網(wǎng)絡擴展是網(wǎng)絡規(guī)劃建設不可缺少的考慮因素。
采用“萬兆骨干,千兆桌面”的總體思想,打造一個高速高效的網(wǎng)絡信息平臺。
采用多插槽框式設備,冗余足夠的插槽保障未來幾年的擴展需要。
5、易管理、易維護
東航網(wǎng)絡信息平臺建成后,其網(wǎng)絡規(guī)模龐大,設備種類分散,對維護管理提出考驗。
采用統(tǒng)一網(wǎng)管平臺,所有設備(安全、無線、數(shù)通、服務器等)統(tǒng)一管理,所采用的網(wǎng)管平臺可以管理業(yè)界所有主流廠家的設備,為后期的網(wǎng)絡擴展奠定了基礎,減少了維護成本。
網(wǎng)絡設計采用層次化、模塊化的設計思路,按照接入層、匯聚層、核心層和出口層進行網(wǎng)絡設備設計部署。在接入層交換機,通過模塊化(業(yè)務單板)方式提供WLAN AC控制器、防火墻、負載均衡器等增值業(yè)務功能,滿足企業(yè)日益增長的業(yè)務需求。
采用虛擬化技術對核心交換機進行集群(或堆疊),將兩臺/多臺交換機虛擬化成一臺交換機,降低網(wǎng)絡拓撲復雜度的同時,提高網(wǎng)絡可靠性;.采用AC+AP的方式實現(xiàn)區(qū)域的無線覆蓋,對無線AP進行統(tǒng)一管理部署,簡化了網(wǎng)絡部署方式,增加了不同用戶的接入方式,提高了用戶體驗。
在服務器區(qū)配置了負載均衡板卡,它能夠為大量的基于TCP/IP的網(wǎng)絡應用提供服務器負載均衡服務。并且可以連續(xù)地對目標服務器進行L4到L7合理性檢查,當用戶請求目標服務器服務時,負載均衡設備根椐目標服務器之間性能和網(wǎng)絡健康情況,選擇性能最佳的服務器響應用戶的請求。當網(wǎng)絡服務器趨于飽和,那么負載均衡設備將按照各個服務器的負載情況,進行業(yè)務的分擔,并且在業(yè)務分擔過程中將保持會話統(tǒng)一。
在出口區(qū)配置了鏈路負載均衡板卡,可以針對不同的業(yè)務訪問主動選擇最優(yōu)的出口,確保安全方面,采用端到端網(wǎng)絡安全解決方案,客戶的桌面接入(TSM桌面安全系統(tǒng))、網(wǎng)絡數(shù)據(jù)傳輸(虛擬防火墻)、服務器區(qū)(入侵檢測系統(tǒng),防火墻)、出口(防火墻)、遠程接入(SSL VPN),各個部分進行網(wǎng)絡安全保障,構建iSOC統(tǒng)一安全管控中心,通過對IT設備和業(yè)務系統(tǒng)的日志集中采集、分類存儲、關聯(lián)分析,從海量安全事件中產(chǎn)生精確告警、定位安全問題,提升安全運維管理效率,并滿足相關安全合規(guī)的要求。針對各種不同應用系統(tǒng)以及網(wǎng)絡進行統(tǒng)一管理,采用華為的esight網(wǎng)管平臺,管理現(xiàn)網(wǎng)的所有設備(路由器,交換機,安全設備,WLAN,服務器,數(shù)據(jù)庫等)極大的減少了運維管理成本,并且esight網(wǎng)管平臺支持主流廠家的設備管理,對于后期網(wǎng)絡的兼容性管理提供了保障。
項目亮點
1、基于虛擬化技術的萬兆骨干園區(qū)網(wǎng),實現(xiàn)高穩(wěn)定高性能高可擴展性
東方航空云南分公司新基地網(wǎng)絡解決方案,秉承“萬兆骨干,千兆桌面,端到端虛擬化”的設計理念,打造出高性能高可擴展性先進的網(wǎng)絡。匯聚層設備以及核心層設備虛擬化,將兩臺設備虛擬成一臺設備進行組網(wǎng)以及管理,設備之間通過多條萬兆線路捆綁冗余互聯(lián),在邏輯上呈現(xiàn)出以核心節(jié)點為“根”的星形分層拓撲,架構穩(wěn)定,易于擴展和維護。
服務器區(qū)以及出口區(qū)分別采用負載均衡設備,針對不同的流量進行智能分擔選路,提高整體網(wǎng)絡服務平臺服務效率。
2、轉場實現(xiàn)零故障,實現(xiàn)復雜系統(tǒng)和網(wǎng)絡的最短時間切換,體現(xiàn)出華為在網(wǎng)絡保障中的強大實力并得到客戶充分認可
連續(xù)四個晝夜的轉場奮戰(zhàn)和嚴格的轉場保障應急措施,保證了東航基地網(wǎng)絡運營的無縫銜接,華為提供的測試方案和應急預案準備充分,保障到位。
3、構建iSOC統(tǒng)一安全管控中心,掌握對安全態(tài)勢的全局觀
東方航空云南分公司新基地網(wǎng)絡解決方案iSOC部署后,實現(xiàn)事前安全事件的集中、量化管理,在最快的時間內(nèi)作出適當?shù)木_警示。實現(xiàn)事中協(xié)助安全管理人員做出正確的判斷,提升安全管理和響應的效率,當安全事故發(fā)生時減少對業(yè)務的沖擊。實現(xiàn)事后通過專用非關系型日志數(shù)據(jù)庫,實現(xiàn)日志數(shù)據(jù)的快速寫入存儲,保證后續(xù)的審計追溯。并通過一次寫入不可更改技術,結合大量法規(guī)遵從報表模板實現(xiàn)客戶的合規(guī)報表輸出需求。
4、端到端安全方案部署,實現(xiàn)立體化全方位安全
東方航空云南分公司新基地網(wǎng)絡安全解決方案,采用端到端安全防護部署方式,針對終端采用桌面安全系統(tǒng),從最底層保障網(wǎng)絡安全,使終端安全固若金湯。在數(shù)據(jù)層面采用虛擬防火墻針對各個網(wǎng)絡分區(qū)進行安全防護,針對核心區(qū)部署硬件防火墻以及入侵檢測系統(tǒng)確保核心以及出口區(qū)安全,在服務器區(qū)采用虛擬防火墻以及IPS保障服務器區(qū)數(shù)據(jù)萬無一失。采用SSL VPN提供靈活的遠程辦公接入,以及數(shù)據(jù)加密。
5、統(tǒng)一網(wǎng)絡管理平臺,簡化網(wǎng)絡運維管理,降低運維管理成本
東方航空云南分公司新基地網(wǎng)絡安全解決方案,采用“統(tǒng)一”的設計思想,一套網(wǎng)管管理多種設備以及業(yè)務,徹底拋棄了傳統(tǒng)的不同業(yè)務不同設備使用不同網(wǎng)管分別管理的設計,針對于WLAN、安全、數(shù)據(jù)設備、服務器等統(tǒng)一可視化管理,徹底簡化了網(wǎng)絡運維管理,降低了管理成本。
給客戶帶來價值
1、昆明機場轉場運營無縫銜接,云南東航基地網(wǎng)絡切換穩(wěn)定,運營正常,樹立了良好的社會聲譽。
連續(xù)四個晝夜的轉場奮戰(zhàn)和嚴格的轉場保障應急措施,保證了東航基地網(wǎng)絡運營的無縫銜接,得到了社會和政府相關部門的一致好評。
2、有效提升東方航空航空公司信息平臺國際化的水平,打造了東航航空新基地新一代先進的網(wǎng)絡信息平臺名片
東航云南分公司通過構建穩(wěn)定、安全、可靠的新一代萬兆園區(qū)網(wǎng)絡信息平臺,充分體現(xiàn)了東航信息化建設的可用性以及先進性,并且與國際化主流企業(yè)信息化接軌,打造出先進、可靠、穩(wěn)定、安全的航空公司新一代網(wǎng)絡信息化平臺名片。
3、提升并保障了整體網(wǎng)絡信息化平臺性能,提升了工作效率
東航云南分公司通過構建穩(wěn)定、安全、可靠的新一代萬兆園區(qū)網(wǎng)絡信息平臺,引入了業(yè)界先進的虛擬化、萬兆骨干高性能高冗余組網(wǎng)方式,iSOC系統(tǒng)的部署極大的減輕了安全運維人員的運維負擔,減少了安全攻擊事件的誤報和漏報,提升保障了東航基地網(wǎng)絡信息平臺整體性能,提升了整體網(wǎng)絡信息化辦公的工作效率。
4、全面提高信息化的應用水平
東航云南分公司通過構建穩(wěn)定、安全、可靠的新一代萬兆園區(qū)網(wǎng)絡信息平臺,圍繞隨時實地的安全使用網(wǎng)絡,真實的流暢辦公以及internet體驗,以及智能靈活的業(yè)務訪問平臺,促進了更多辦公系統(tǒng)以及INTERNET的新業(yè)務的應用,全面提升了信息化的應用水平。
5、最安全、可靠的信息化平臺,最放心的平臺
東航云南分公司通過構建穩(wěn)定、安全、可靠的新一代萬兆園區(qū)網(wǎng)絡信息平臺,端到端的網(wǎng)絡安全部署,全冗余的網(wǎng)絡部署方式,徹底保障了數(shù)據(jù)安全,以及網(wǎng)絡穩(wěn)定性,打造出用戶最放心的新一代網(wǎng)絡信息平臺。
京公網(wǎng)安備 11010502049343號