海南航空股份有限公司(以下简称海航)是中国第四大航空公司,也是国内首家荣获四星级航空服务的航空公司,拥有波音737、767系列和空客330、340系列为主的年轻豪华机队,员工达30000多人。1993年至今,海南航空在以海口为主基地的基础上,先后建立了北京、西安等多个分公司,航线网络遍布中国,覆盖亚洲,辐射欧洲、美洲、非洲,开通了国内外航线近500条。海航集团下包括航空运输、机场集团、海航置业、海航旅业、海航实业、海航商业、海航物流等七大业务板块。北京营运基地作为海航集团在海南基地之外最重要的营运节点,不仅作为海航的网络核心之一,与海口基地一起形成一个全国性航空IT网络,同时还承载着集团的主要业务系统,担负着海航一半以上的国内航线和国际航线的IT运维工作,其作用不可忽视。
用户需求
为了保证海航北京营运基地信息系统的正常运行,海航集团启动了基地IT系统的终端安全建设,建立全方位的安全性保护能力,以防止外部入侵、黑客攻击、病毒和网络嗅探,在局域网环境中保证客户的隔离,防止外部人员的非法侵入以及操作人员的越级操作,保护网络使用者的合法利益。从2008年开始,海航经过长达一年的多次交流考察和产品测试后,最终选择H3C作为终端安全解决方案的供应商。
海航集团北京营运基地目前的网络状况以数据中心为重点,主要业务系统和机房位于服务中心楼内,通过广域网与海口中心和集团分支机构进行互联。基地园区根据日常业务、办公、生活设置的分部和职能部门,分化成多个功能区域。在不同功能区域间,来往人员比较复杂,临时出差用户、外来访客等人员众多,因此海航对防止非法接入功能的实现需求较高。同时海航的用户数众多,可以访问的资源并不一致,需要实现灵活的用户权限控制。使用nternet的用户也存在滥用网络的行为。此外,为满足移动办公的需要,在办公大楼内部、停机坪等区域部署WLAN进行无线覆盖。海航现有网络结构如下:
基地核心:以服务中心楼为主体,高性能核心交换机组成10G 核心,保证性能和高可靠,为整个网络系统的管理维护提供支撑;
基地接入层:采用楼道交换机和汇聚交换机两层结构,部署3台24口交换机、38台48口交换机,具有终端接入控制、ARP防攻击等特性,同时具有高密度千兆线速端口和万兆上行接口,消除网络性能瓶颈;
无线接入层:部署3台无线控制器AC和120台双频FitAP,作为无线业务的终结点,可以为用户提供认证、安全和带宽控制等服务。
海南航空北京营运基地为了能够系统地解决目前网络安全、优化、运营中存在的问题,避免传统网络事前无认证、事中无控制、事后无审计的三无现象,针对海南航空的网络现状和终端管理情为了保证海航北京营运基地信息系统的正常运行,海航集团启动了基地IT系统的终端安全建设,建立全方位的安全性保护能力,以防止外部入侵、黑客攻击、病毒和网络嗅探,在局域网环境中保证客户的隔离,防止外部人员的非法侵入以及操作人员的越级操作,保护网络使用者的合法利益。从2008年开始,海航经过长达一年的多次交流考察和产品测试后,最终选择H3C作为终端安全解决方案的供应商。
海航集团北京营运基地目前的网络状况以数据中心为重点,主要业务系统和机房位于服务中心楼内,通过广域网与海口中心和集团分支机构进行互联。基地园区根据日常业务、办公、生活设置的分部和职能部门,分化成多个功能区域。在不同功能区域间,来往人员比较复杂,临时出差用户、外来访客等人员众多,因此海航对防止非法接入功能的实现需求较高。同时海航的用户数众多,可以访问的资源并不一致,需要实现灵活的用户权限控制。使用Internet的用户也存在滥用网络的行为。
此外,为满足移动办公的需要,在办公大楼内部、停机坪等区域部署WLAN进行无线覆盖。海航现有网络结构如下:
基地核心:以服务中心楼为主体,高性能核心交换机组成10G 核心,保证性能和高可靠,为整个网络系统的管理维护提供支撑;
基地接入层:采用楼道交换机和汇聚交换机两层结构,部署3台24口交换机、38台48口交换机,具有终端接入控制、ARP防攻击等特性,同时具有高密度千兆线速端口和万兆上行接口,消除网络性能瓶颈;
无线接入层:部署3台无线控制器AC和120台双频Fit AP,作为无线业务的终结点,可以为用户提供认证、安全和带宽控制等服务。
海航集团北京营运基地
为了能够系统地解决目前网络安全、优化、运营中存在的问题,避免传统网络事前无认证、事中无控制、事后无审计的三无现象,针对海南航空的网络现状和终端管理情况,H3C采用了iMC EAD终端准入控制解决方案,提出了解决措施,其网络拓扑示意图所示:
首先,在园区网接入层交换机上启用802.1X认证,直接在接入层与EAD解决方案配合,终端接入必须经过身份认证,并根据用户身份动态授权,保证终端无毒、用户合法、行为可控。
其次,在EAD服务器上根据用户的身份信息划分权限,在认证通过后向二层交换机作动态的VLAN ID下发配置,保证不同的用户具有不同的资源访问权限。
最后,在无线控制器AC上启用Portal EAD认证方式,配合EAD系统,完成对用户的有线无线一体化管理,实现接入认证和安全策略的下发。详细应用如下:
- 网络设备管理与用户安全管理的的融合
不仅实现了对网络、无线、安全等整网设备的统一管理,还实现了对用户安全的统一管理。同时,可以将用户的身份信息与网络拓扑信息结合,不仅可以追查到端口,二期可以追查到具体的用户帐号。
- 有线无线一体化安全接入
用户使用同一个客户端、同一个帐号,同时在有线网络和无线网络进行接入认证,可在享受无线网络灵活漫游的同时,保证无线用户和有线用户的接入安全。
- 用户接入的有序、灵活、可控
H3C EAD解决方案保证了用户终端的安全,有效阻止威胁入侵网络,并可根据用户的身份动态划分权限,对用户的网络访问行为进行有效的控制,保证了网络的安全运行。
