客户背景

昆明巫家坝国际机场，建于1922年，是中国第二个民用机场，经3次改扩建，航站楼设计容量1037万人次，但仅2008年巫家坝机场的客运吞吐量就达到了1528万人次，2011年达到2229万人次，远远超出了现有航站楼设计容量，成为了中国第七个吞吐量超过2000万的国际机场，机场运营压力巨大。

巫家坝机场距离昆明市中心直线距离仅6.6公里，是全国省会城市机场中距离市中心最近的机场，目前其周围已被城市包围，不具备原地扩建的条件。因此，昆明市政府决定迁建一座全新的机场，而东方航空云南分公司作为云南最大的航空公司，其基地伴随着机场的迁建也需要在新机场建设而迁移，所以需要重新建设一张集运营、办公等为目的的安全、可靠、先进的网络。

2012年6月27日晚21:30，随着最后一趟出港航班东航MU5945的起飞。至此，历经60余个春秋的昆明巫家坝国际机场圆满完成了民航的历史使命。巫家坝机场随即拉开了转场最后冲刺的陆、空“大搬家”，确保所有设备28日早晨到达长水机场各就各位，迎接长水国际机场启用后的首个航班的出发。27日晚巫家坝机场有18架飞机完成集体“搬家”。巫家坝机场的陆地“搬家”则从27日22时起出发，地面搬迁主要涉及生产设备、物资38辆次，包括食品车、传送车、拖头车、加油车、电源车、气源车、引导车、摆渡车、客梯车等在内的209辆特种车辆车队，地面搬迁将持续到28日凌晨6点。

而长水国际机场则是昆明仅用3年时间，在曾经乱石林立、杂草丛生的高原山地上建起来的一座气势恢宏、科技环保的现代化国际机场，创造了多项中国第一。长水国际机场的建成，必将对完善中国航空交通运输体系，优化国家机场布局，促进中国与世界各国的交流合作，助推新一轮西部大开发战略和云南建设中国面向西南开放重要桥头堡，产生重大而深远的影响。随着长水国际机场28日零时起正式启用，长水顺利的接过了巫家坝国际机场的民航使命。

2012年6月28日8时，昆明长水国际机场正式运营，载客航班开始起飞降落。为完成机场转场期间的正常运营，东方航空云南分公司提出从运行资产、信息系统、人力资源、转场费用、搬迁方案、手册修订等六个方面进行运行准备，其中新基地的信息系统建设事关转场运营的成败，显得尤为重要，构建一个安全高效的新基地办公网络势在必行。

客户面临的挑战

昆明东航基地办公网络为各个东航昆明新机场基地内计算机用户提供高速、可靠、安全、有效的信息网络服务。它将分散在东航昆明新机场基地内的所有计算机、信息终端、工作站、服务器等设备通过网络互相连接，在网络通信协议和网络管理软件控制下，实现互相通信、资源共享和分布处理。基地办公网络是整个东航昆明新机场基地办公的基础通讯平台，同时也是东航昆明新机场基地对外信息网络进行通讯连接的通信平台，所以网络建设也面临着许多挑战，具体如下：

1、昆明长水机场搬迁，政府要求在8小时内完成新老机场转场，面临系统切换失败，机场停运的巨大风险和挑战

航空公司关键业务应用的可用性与性能要求对于航空公司营运来说，比其他任何企业都更为关键、重要。如果关键业务长时间中断，对航空公司来说将是一场灭顶之灾。如果网络不稳定，客户与员工不能及时访问重要应用，业务也会遭受无法挽回的利润损失，并使生产力下降、客户的不信任，最终将导致市场份额的丢失。所以整体网络规划必须确保可以全天候提供运营服务，网络具有强大的容错功能。

2、面对海量系统日志，无法有效准确定位网络攻击事件，决策者无法获得对安全态势的全局观，一旦发生安全网络攻击事件，无法做到事前和事中的预警和对网络攻击的有效阻断

3、无有效安全管控手段保证网络端到端的安全

新基地园区基础网络设施建成后将承载不同用户的各种业务，所以关键信息的完整性与保密性变得尤为重要。不同职能部门之间需要逻辑隔离，防止无关人员未经授权非法访问其他职能部门机密信息。对于每个接入网络的终端，接入前需对接入设备身份及系统软件环境做相关检查，符合安全策略的才授予访问权限，对于不符合安全策略的终端将被强制放入隔离区，只有在隔离区内将所有问题修复后才重新下发网络正常访问权限。同时对于已授予接入权限的终端也需要做实时行为审计，当实时监测到终端出现不符合安全策略操作时，需立即隔离或强制下线，以保证主网络的安全，并且也需要提供违规信息记录、日志信息等为网络安全审计提供保障。对于无线网络，所有接入用户都需要进行接入授权认证，极大保障网络的安全性。

4、新建系统需要有良好的扩展性，保障业务系统未来5年的发展

目前航空各项业务以及应用逐渐增加，所以需要应用系统业务量增加时，基础设施架构能够扩展以适应更多用户、交易以及更多数据处理的能力。可扩展性应该通过尽可能扩展已有的系统来实现，而不是必须替换已有系统。因此也要求企业自身能对未来业务进行预测(性能)，在当前网络部署建设时给予充分考虑。

5、面对复杂的系统和网络，无有效管理手段统一管理

东航昆明新机场基地网络庞大，需要对整网网络设备实现统一管理，实现网络的拓扑、性能、故障、配置全方位的管理，能够对整个网络中的有线网络部分和无线网络部分实现统一管理，其次，网络管理的另一个重要内容就是对应用层流量进行精确分析，及时、准确、高效地掌握新基地信息网络系统中正在运行的各个业务系统的流量情况，这对于IT管理提出了挑战。

华为解决方案

1、紧抓关键点，打造7×24小时无故障网络，提供高可靠解决方案和现场保障服务

航空公司关键性业务需要保障7×24小时无故障，如果关键业务长时间中断，对航空公司影响巨大，并且如果网络不稳定，将导致业务访问出现问题，导致恶劣影响，所以网络的高可靠性必须保障。

通过提供设备级可靠性、网络规划可靠性、业务可靠性、测试和现场保障四个方面进行可靠性保障，全面保障7×24小时业务不中断。

设备级可靠性：汇聚设备、核心设备关键部件(风扇、主控、电源)冗余，彻底避免了网络单板故障导致的设备不可用。

网络规划可靠性：关键汇聚以及核心设备采用双机冗余方式规划，毫秒级的网络切换，彻底杜绝了单设备出现问题导致业务不通问题。

业务可靠性：针对关键业务，对其提供服务的服务器进行冗余备份，并可以实时同步以及切换。

人员、备机、制度保障可靠性方案：在机场转场前，提供各项测试准备工作包括断纤测试，系统宕机切换测试，在机场转场过程中，提供多台核心硬件备机保障网络风险最低，提供现场人员保障服务，连续4昼夜的华为原厂技术支持，有效的保证了网络的正常运行。

2、构建iSOC统一安全管控中心，通过对IT设备和业务系统的日志集中采集、分类存储、关联分析，从海量安全事件中产生精确告警、定位安全问题，提升安全运维管理效率，并满足相关安全合规的要求。

事前：实现安全事件的集中、量化管理，在最快的时间内作出适当的精确警示。

事中：协助安全管理人员做出正确的判断，提升安全管理和响应的效率，当安全事故发生时减少对业务的冲击。

事后： 通过专用非关系型日志数据库，实现日志数据的快速写入存储，保证后续的审计追溯。通过一次写入不可更改技术，结合大量法规遵从报表模板实现客户的合规报表输出需求。

3、端到端网络安全保障使网络固若金汤

对于东航新基地来说，由于办公网络是日常办公和业务访问的主要场所，其安全性不言而喻。同时还有流动办公、会议接入、外联单位人员网络接入的需要，因此需要提高网络的安全性，身份认证以及安全审计必不可少。

针对桌面接入层面，网络数据传输交换层面，服务器区，出口区以及远程接入区提供不同的解决方案。

桌面接入层面：使用桌面安全系统，使每个终端避免被攻击以及主动攻击，且其病毒软件以及补丁可以定时升级。

网络数据传输交换层面：核心设备部署虚拟防火墙，针对汇聚层的每个网段进行安全防火保障。并且在核心区总体部署防火墙以及IPS，对网络安全层层把关。

服务器区：部署防火期以及IPS，确保服务器区数据万无一失。

出口区：部署SSL VPN，使远程接入更加灵活，安全。

4 、万兆骨干， 千兆桌面虚拟化架构设计保障业务未来几年发展扩展需要

随着业务发展，东航业务应用将越来越多，保障网络在未来几年内可以承载比原来更多的业务应用以及网络扩展是网络规划建设不可缺少的考虑因素。

采用“万兆骨干，千兆桌面”的总体思想，打造一个高速高效的网络信息平台。

采用多插槽框式设备，冗余足够的插槽保障未来几年的扩展需要。

5、易管理、易维护

东航网络信息平台建成后，其网络规模庞大，设备种类分散，对维护管理提出考验。

采用统一网管平台，所有设备(安全、无线、数通、服务器等)统一管理，所采用的网管平台可以管理业界所有主流厂家的设备，为后期的网络扩展奠定了基础，减少了维护成本。

网络设计采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署。在接入层交换机，通过模块化(业务单板)方式提供WLAN AC控制器、防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。

采用虚拟化技术对核心交换机进行集群(或堆叠)，将两台/多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时，提高网络可靠性;.采用AC+AP的方式实现区域的无线覆盖，对无线AP进行统一管理部署，简化了网络部署方式，增加了不同用户的接入方式，提高了用户体验。

在服务器区配置了负载均衡板卡，它能够为大量的基于TCP/IP的网络应用提供服务器负载均衡服务。并且可以连续地对目标服务器进行L4到L7合理性检查，当用户请求目标服务器服务时，负载均衡设备根椐目标服务器之间性能和网络健康情况，选择性能最佳的服务器响应用户的请求。当网络服务器趋于饱和，那么负载均衡设备将按照各个服务器的负载情况，进行业务的分担，并且在业务分担过程中将保持会话统一。

在出口区配置了链路负载均衡板卡，可以针对不同的业务访问主动选择最优的出口，确保安全方面，采用端到端网络安全解决方案，客户的桌面接入(TSM桌面安全系统)、网络数据传输(虚拟防火墙)、服务器区(入侵检测系统，防火墙)、出口(防火墙)、远程接入(SSL VPN)，各个部分进行网络安全保障，构建iSOC统一安全管控中心，通过对IT设备和业务系统的日志集中采集、分类存储、关联分析，从海量安全事件中产生精确告警、定位安全问题，提升安全运维管理效率，并满足相关安全合规的要求。针对各种不同应用系统以及网络进行统一管理，采用华为的esight网管平台，管理现网的所有设备(路由器，交换机，安全设备，WLAN，服务器，数据库等)极大的减少了运维管理成本，并且esight网管平台支持主流厂家的设备管理，对于后期网络的兼容性管理提供了保障。

项目亮点

1、基于虚拟化技术的万兆骨干园区网，实现高稳定高性能高可扩展性

东方航空云南分公司新基地网络解决方案，秉承“万兆骨干，千兆桌面，端到端虚拟化”的设计理念，打造出高性能高可扩展性先进的网络。汇聚层设备以及核心层设备虚拟化，将两台设备虚拟成一台设备进行组网以及管理，设备之间通过多条万兆线路捆绑冗余互联，在逻辑上呈现出以核心节点为“根”的星形分层拓扑，架构稳定，易于扩展和维护。

服务器区以及出口区分别采用负载均衡设备，针对不同的流量进行智能分担选路，提高整体网络服务平台服务效率。

2、转场实现零故障，实现复杂系统和网络的最短时间切换，体现出华为在网络保障中的强大实力并得到客户充分认可

连续四个昼夜的转场奋战和严格的转场保障应急措施，保证了东航基地网络运营的无缝衔接，华为提供的测试方案和应急预案准备充分，保障到位。

3、构建iSOC统一安全管控中心，掌握对安全态势的全局观

东方航空云南分公司新基地网络解决方案iSOC部署后，实现事前安全事件的集中、量化管理，在最快的时间内作出适当的精确警示。实现事中协助安全管理人员做出正确的判断，提升安全管理和响应的效率，当安全事故发生时减少对业务的冲击。实现事后通过专用非关系型日志数据库，实现日志数据的快速写入存储，保证后续的审计追溯。并通过一次写入不可更改技术，结合大量法规遵从报表模板实现客户的合规报表输出需求。

4、端到端安全方案部署，实现立体化全方位安全

东方航空云南分公司新基地网络安全解决方案，采用端到端安全防护部署方式，针对终端采用桌面安全系统，从最底层保障网络安全，使终端安全固若金汤。在数据层面采用虚拟防火墙针对各个网络分区进行安全防护，针对核心区部署硬件防火墙以及入侵检测系统确保核心以及出口区安全，在服务器区采用虚拟防火墙以及IPS保障服务器区数据万无一失。采用SSL VPN提供灵活的远程办公接入，以及数据加密。

5、统一网络管理平台，简化网络运维管理，降低运维管理成本

东方航空云南分公司新基地网络安全解决方案，采用“统一”的设计思想，一套网管管理多种设备以及业务，彻底抛弃了传统的不同业务不同设备使用不同网管分别管理的设计，针对于WLAN、安全、数据设备、服务器等统一可视化管理，彻底简化了网络运维管理，降低了管理成本。

给客户带来价值

1、昆明机场转场运营无缝衔接，云南东航基地网络切换稳定，运营正常，树立了良好的社会声誉。

连续四个昼夜的转场奋战和严格的转场保障应急措施，保证了东航基地网络运营的无缝衔接，得到了社会和政府相关部门的一致好评。

2、有效提升东方航空航空公司信息平台国际化的水平，打造了东航航空新基地新一代先进的网络信息平台名片

东航云南分公司通过构建稳定、安全、可靠的新一代万兆园区网络信息平台，充分体现了东航信息化建设的可用性以及先进性，并且与国际化主流企业信息化接轨，打造出先进、可靠、稳定、安全的航空公司新一代网络信息化平台名片。

3、提升并保障了整体网络信息化平台性能，提升了工作效率

东航云南分公司通过构建稳定、安全、可靠的新一代万兆园区网络信息平台，引入了业界先进的虚拟化、万兆骨干高性能高冗余组网方式，iSOC系统的部署极大的减轻了安全运维人员的运维负担，减少了安全攻击事件的误报和漏报，提升保障了东航基地网络信息平台整体性能，提升了整体网络信息化办公的工作效率。

4、全面提高信息化的应用水平

东航云南分公司通过构建稳定、安全、可靠的新一代万兆园区网络信息平台，围绕随时实地的安全使用网络，真实的流畅办公以及internet体验，以及智能灵活的业务访问平台，促进了更多办公系统以及INTERNET的新业务的应用，全面提升了信息化的应用水平。

5、最安全、可靠的信息化平台，最放心的平台

东航云南分公司通过构建稳定、安全、可靠的新一代万兆园区网络信息平台，端到端的网络安全部署，全冗余的网络部署方式，彻底保障了数据安全，以及网络稳定性，打造出用户最放心的新一代网络信息平台。