h3c港务集团信息化解决方案分析

更多企业学院：./Shop/中小企业管理全能版183套讲座+89700份资料./Shop/40.shtml总经理、高层管理49套讲座+16388份资料./Shop/38.shtml中层管理学院46套讲座+6020份资料./Shop/39.shtml国学智慧、易经46套讲座./Shop/41.shtml人力资源学院56套讲座+27123份资料./Shop/44.shtml各阶段员工培训学院77套讲座+ 324份资料./Shop/49.shtml员工管理企业学院67套讲座+ 8720份资料./Shop/42.shtml工厂生产管理学院52套讲座+ 13920份资料./Shop/43.shtml财务管理学院53套讲座+ 17945份资料./Shop/45.shtml销售经理学院56套讲座+ 14350份资料./Shop/46.shtml销售人员培训学院72套讲座+ 4879份资料./Shop/47.shtml H3C港务集团信息化解决方案前言中国已成为世界上港口吞吐量和集装箱吞吐量最多，增长速度最快的国家，但是中国港口的生产能力仍然滞后于吞吐量的发展。“十二五”期间，港口信息化建设的重点主要在于提高信息资源的深度开发和综合利用水平，发展现代物流、发展交通电子口岸建设，开展港口船舶电子结关、查验、危险品申报、港政管理、运政管理等交通行政许可的“一站式”服务，并实现与国家电子口岸对接，为港口生产部门、船舶、船东、货主等提供信息服务，港口的信息化建设要符合信息化发展要求。港口信息化建设，需要围绕港口生产调度、流程优化、运营管理、企业管理、辅助战略决策等业务展开。目前，从信息化成熟度方面来看，港口信息化建设成熟度可分为初级、中级、高级三个阶段，初级阶段信息化只是个别业务部门或管理部门局部工具，信息化作用类似于生产工具性能改进，中级阶段信息化达到了大部门纵向集成，信息化作用类似于某个生产部门生产力改进，高级阶段信息化达到跨部门信息化资源整合，并且同业务部门互动融合，成为企业必不可少的基础设施及战略决策依据。中国有些大型港口信息化成熟度已经达到中级阶段，正在向高级阶段迈进，而大部分中小港口还处于初级或初级向中级阶段发展阶段。本文结合港口信息化需求，介绍H3C对于港口信息化高级阶段所提出的一系列解决方案。1. 港口信息化现状及发展趋势由于历史原因，传统港口信息化建设主要以码头公司为单位进行，整体上看，其应用、数据、承载网络、信息化管理条块分割，缺乏整体性、系统性，各信息化功能模块之间彼此关联少，信息系统稳定可靠性差、管理维护以及信息互通共享性不足等。传统港口信息化基础设施存在如下问题，主要体现在以下几方面：n 信息系统条块分割问题：信息系统繁多，标准不一，彼此相对独立，业务信息共享困难。n 基础网络问题：由于业务系统横纵向不能互通，因此网络系统也是缺乏整体统一规划，互联互通性差；或办公网和生产网混合，稳定性差。n 各部门信息化系统之间条块分割导致没有统一数据中心，数据中心应该是应用系统、数据管理系统及信息化管理系统中心。n 信息系统安全问题：网络边缘安全设施单一，存在不足；园区内部终端安全不足，隐患多；安全事件不可见，不可控，无法预防，缺乏集中安全管理。n 信息化基础设施管理问题：只能实现网络设备级管理，并且各业务系统单独管理，不能对网络、安全、数据、应用系统进行统一管理，不能识别网络业务和用户行为。以上问题制约港务集团信息化发展，而港口的业务系统（如：EDI、ERP、物流、调度等）、办公系统以及港口安防等要求IP承载网络能够提供高可靠、安全、高效、易管理的服务，因此，港口的信息化建设需要解决上述面临的问题。港口信息化已经具备了一定的规模，主要包含港务集团园区网、港务集团数据中心以及港务集团信息化安全和IT资源管理，其架构如下图所示：下面逐一讲述H3C提供的港口信息化解决方案以及这些方案是如何解决目前面临的问题。港口信息化解决方案包括：港务集团IP承载网络解决方案、港务集团数据中心解决方案、全面深入的信息化安全、信息化智能管理方案。2. 港务集团园区网解决方案港务集团园区网解决方案以港务集团为中心，建立统一覆盖各个码头分公司的高效IP网络，承载集装箱作业系统、EDI系统、ERP管理系统、OA、安防系统。大型港务集团园区网络通常需要建设独立的核心层网络，核心节点间互联采用万兆RPR或万兆以太网，各港口公司业务网络和管理单位办公楼，码头作业区、堆场、物流园区等接入到集团核心层，大型港务集团通常覆盖区域跨度达到数十公里，不同港口公司局域网通过集团核心网互联互通，集团集中建设数据中心，数据中心集中设置应用系统服务器、数据存储系统等设备，智能管理中心设置网络、安全的集中管理服务器。对于港口核心骨干网，由于承载生产调度、管理、安防等实时生产性关键业务，所以对于可靠性和带宽需求比较高，通常不允许有链路或设备级单点故障，由于承载多媒体业务，骨干网带宽通常在N * GE10GE。港务集团核心骨干网如下图所示：对于园区骨干网，H3C可以提供符合业界标准的高可靠RPR环网技术，RPR具有如下技术优势：n 高带宽利用率：双环逆向，同时传送数据，2.5G RPR双向带宽可以达到5Gbps，10Gbps RPR双向带宽可以达到20Gbps。n 传送时延小：在环上节点传送时不进入网络设备的三层转发，直接从RPR板转发，对于实时调度业务及视频监控业务，承载质量高。n 50ms快速故障恢复，环上任意节点设备或链路故障，不影响应用系统，充分保证信息化可靠性。n 服务质量保障：可以对业务进行分级处理，保证环上重要和实时的业务。n 支持单播、组播和广播：在RPR环路上根据节点的RPR MAC地址完成单播、组播和广播数据业务的传送，组播业务对于多媒体业务是非常重要的。 n 维护简单方便：支持完善的OAM，配置维护方便。核心骨干网稳定、可靠、高带宽对于整个港务集团信息系统可靠高效运行至关重要，对于码头分公司生产、安防、管理业务网，采用双设备、双链路GE/10GE以太局域网保证带宽及可靠性，这里不多赘述。作为综合业务传送园区网，需要采用逻辑隔离技术实现不同业务系统隔离，H3C对于港务集团园区网，提供如下隔离技术：n 二层VLAN：二层隔离技术，在三层终结。不易扩展，适合中小型港口分公司网络n 分布式ACL：需要严格的策略控制，灵活性差，管理维护复杂，适合中小港口分公司网络n VRF/MPLS VPN：三层隔离技术，业务隔离性好，每个VPN独立转发表， 扩展性好。 支持多种灵活的接入方式，配置管理简单、支持QoS，适合大型港园区网的应用n 大型港口园区网推荐组合：VLAN+VRF，VRF+MPLS VPN，二三层隔离的融合，安全性高，避免大量的ACL配置问题，直观、易维护、易扩展。通过适合于各种港口场合应用的逻辑隔离技术，实现不同业务系统隔离，避免相互影响，从而提高信息化系统安全稳定性，并降低建设成本。H3C园区网虚拟化实现方案如下图所示：园区虚拟化解决方案接入控制采用H3C的EAD认证系统，对通过认证的用户动态下发VPN和对应的资源访问和使用权限 通过VLAN/VRF/MPLS VPN技术对不同的应用、业务和群组用户进行安全隔离，把不同用户、不同应用的数据横向隔离开来，保证数据传输的私密性和安全性。通过MPLS VPN与EAD联动，H3C虚拟园区网为用户提供端到端的VPN隔离能力。用户在任何地方接入网络，通过EAD认证后都会获得相同的VPN归属和访问权限 港务集团虚拟园区网解决方案优势：n 港务集团拥有一套高性能、高可靠园区物理网络，虚拟化出的资源可以分配给不同的业务系统 n 按需分配虚拟化网络资源，在满足各分公司业务的同时最大化的利用资源 n 管理有限的物理设备即可，极大降低了管理难度 此外，港口分公司在港口作业区、码头、堆场、仓库等区域，存在难于布线等问题，因此对于WLAN具有需求，通过港口分公司WALN网络的建设，可以实现上述区域多业务无线终端覆盖。H3C 具有适合港口需求的WLAN解决方案，下面简单介绍：码头WLAN可以作为码头有线网络延伸，可以独立建设WLAN系统为生产和管理提供统一提供接入，目前主流WLAN技术为Fit AP架构WLAN，H3C提供无线有线一体化Fit AP架构WLAN，将无线控制器以插卡形式集成到以太网交换机，将WLAN和有线网络融合，实现统一高效网络，统一承载数据、语音、视频业务。H3C 港口WLAN方案主要有以下优势：n 有线无线一体化，WLAN网络的建设、运维管理方便n AP胖瘦自适应，H3C AP支持胖瘦AP切换，灵活性好，有效保护投资n 仓库、堆场室外环境适应，H3C 室外型WLAN通过IP65/IP66认证，符合港口环境n 支持IEEE802.11g|b|a外，还支持IEEE 802.11n，带宽充分，对于无线监控业务具有优势。3. 港务集团新一代数据中心解决方案港口信息化发展到高级阶段，必然需要建设统一数据中心，以便实现跨部门信息资源整合并减少重复分散投资，数据中心集中设置面向各码头的调度系统，EDI系统，OA系统等，同时数据中心面向各个业务系统集中设置数据存储系统，并考虑备份容灾，数据中心安全关系到整个港口信息化安全，因此，需要考虑数据中心安全，同时，数据中心需要考虑整体管理中心。数据中心建设本着如下原则：n 标准：模块化分区建设；计算、存储、业务网络采用以太网技术，消除异构网络n 简单：网络虚拟化，简化网络结构，提高网络可靠性n 融合：安全设施与网络资源紧密耦合，形成一体化融合安全网络港务集团数据中心可分为多个功能区，如：调度服务器区、EDI服务器区、OA服务器区、系统管理区等。在进行分区设计时，尽量做到各模块之间松耦合，这样可以很好的保证数据中心的业务扩展性，扩展新的业务系统或模块时不需要对核心或其它模块进行改动。同时模块化设计也可以很好的分散风险，在某一模块（除核心区外）出现故障时不会影响到其它模块，将数据中心的故障影响降到最小。网络层次方面，根据内外部分流原则，把数据中心网络分成标准的核心层、汇聚层和接入层三层结构。服务器与业务系统之间的流量大部分在单个功能分区内部，不需要经过核心；分区之间的流量才经过核心，而且在每个分区的汇聚层交换机上做互访控制策略会更容易、对核心的压力会更好、故障影响范围更小、故障恢复更快。网络架构及可靠性方面，通过H3C IRF技术对同一层面的设备进行横向整合，将两台或多台设备虚拟为一台设务，统一转发、统一管理，并实现跨设备的链路捆绑。因此不会引入环路，无需部署STP和VRRP等协议，简化网络协议的部署，大大缩短设备和链路收敛时间（毫秒级），链路负载分担方式工作，利用率大大提升。有了可靠的网络系统，还要有全面信息安全系统以保证数据中心稳定运行，数据中心安全包括：各功能区安全、网络边缘安全及安全管理几部分。H3C数据中心全面深入安全解决方案如下图所示：各功能区安全在服务器汇聚交换机设置防火墙、IPS、负载均衡、应用控制网关等模块，实现各服务器2-7层安全及应用系统加速优化。网络边缘安全包括广域网及互联网区边缘安全，需要在这些边缘设置防火墙、IPS、应用控制网关实现7层深入安全防护。安全管理中心实现对数据中心及整个港口的安全管理中心，对于安全事件可见，可控，可管。网络安全融合解决方案可以实现安全前提下网络的高性能，同时避免单点故障，降低网络复杂度。H3C一体化数据中心安全解决方案具有如下优势：n 实现数据中心、网络边缘及园区内部端到端2-7层安全解决方案；n 网络安全一体化可以减少单点故障，提高网络可靠性；n 安全插卡模块性能高，并且安全性能可以灵活扩展；n 网络安全一体化部署可以简化机房的布线，节约机房空间，降低能耗n 网络安全一体化：H3C 交换机内置防火墙、IPS等安全模块，支持ARP攻击、DHCP Snooping、防DoS攻击等安全特性；n 安全插卡模块支持以IRF2为基础的N:1虚拟化；以MPLS为基础的1:N虚拟化；安全部署及资源分配灵活，可靠性高。综上所述，港务集团数据中心建设，符合港务集团建设企业私有云的发展趋势和要求。港务集团私有云的构建仅为港务集团单独使用，能够对云服务安全性和服务质量达到有效控制。同时，对港务集团而言，私有云大幅提高目前的基础设施的使用率，降低了总体TCO，私有云中，港务集团网络运维管理将极大简化，网络运维管理将变得更加的自动化、智能化。4. 港务集团信息化安全解决方案除了数据中心安全外，整个港口信息化体系同样需要考虑全面深入安全，为了保证港口生产和管理系统的稳定运行，必须考虑港口信息化端到端的安全性，安全解决方案必须全面，包括各功能区网络边缘安全、内部用户安全，同时，安全解决方案必须深入，实现网络L2-L7层全方位安全防护。 端到端港口信息化安全解决方案整体策略如下图所示：高安全网络：部署防火墙和IPS对港口外部单位出口、数据中心出口进行防护，IPS可以深入分析到应用层信息，并且可以在线阻断攻击，补充防火墙不足。在大型港口，不同业务网络同核心网络之间也通过防火墙、IPS互通，充分保证各业务系统安全。H3C IPS安全设备为在线线速检测设备，对网络边缘提供2-7层深入安全防护；H3C IPS快速的数字疫苗升级模式能够最快的发现针对已知漏洞的攻击行为，尤其针对Windows系统的漏洞，可以实现在发布漏洞的第二天推出防护/检测补丁，业界最快；H3C IPS提供在线7层检测的安全设备，在安全检测防护同时实现线速转发，且交换机一样延时低(215微妙)，最多支持200万并发连接。H3C SecPath系列防火墙产品是通过ICSA实验室认证的安全产品，ICSA实验室为国际上最为权威的信息安全产品认证机构，通过ICSA实验室认证对于信息安全行业中任何一款产品来说都具有里程碑式的意义，通过ICSA实验室认证可以充分保证数据安全。高安全用户：针对内部用户终端带来的安全威胁，H3C公司推出了终端准入防御（EAD）解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入港务集团网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，加强对网络用户终端的主动防御能力，保护网络安全。港口用户终端试图接入网络时，首先通过安全客户端上传用户信息至安全策略服务器进行用户身份认证，非法用户将被拒绝接入网络；合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本等信息是否合格，不合格用户将被安全联动设备隔离到隔离区；进入隔离区的用户可以根据企业网络安全策略，通过第三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操作，直到接入终端符合企业网络安全策略；安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务。通过EAD系统应用于有线和无线网络，实现内部用户接入控制、安全控制、权限控制、行为监控，充分防范来自内部安全隐患。高效安全管理：H3C SecCenter安全事件统一管理系统能够提供对全网海量的安全事件和日志的集中收集与统一分析，SecCenter能够兼容网络中多厂商的各种设备，对收集数据高度聚合存储及归一化处理，实时监控全网安全状况，同时能够根据不同用户需求提供丰富的自动报告，提供具有说服力的网络安全状况与政策符合性审计报告，系统自动执行以上收集、监控、告警、报告、归档等所有任务，使IT及安全管理员脱离繁琐的手工管理工作，极大提高效率，能够集中精力用于更有价值的活动，保障网络安全。H3C SecCenter提供如下功能： 支持近百家主流厂商的网络设备及主机系统，包括：防火墙、路由器、交换机、VPN网关、IDS/IPS、内容过滤系统、防病毒系统、防间谍软件系统、防垃圾邮件系统和Windows、Unix和Linux 主机、数据库等。 提供网络拓扑和威胁的可视化，SecCenter可生成整网安全拓扑视图，管理员能够通过一个界面直观的查看整个网络威胁状态与安全事件。 强大的日志管理功能，兼容主流厂商日志格式，并通过多种方式获取设备日志信息，包括主动收集、被动接收等。 提供了对安全事件的集中监控，能够实时显示每台设备的事件详情，包括源地址、目的地址、规则号、用户名、日期时间、设备类型、流、协议、端口、描述、事件ID、攻击ID、病毒名、病毒ID、URL、设备名称等。通过实时显示窗口，能够轻松了解突发事件，包括事件起因、发生位置、被攻击设备和端口，从而快速纠正危险，保障网络安全。面对网络中的海量事件，关键事件很容易被淹没。凭借对网络安全领域的深入研究，针对各种安全问题，SecCenter提供了几十种预定义的关联告警模板智能的“专家系统”。同时允许用户自定义安全策略，设定关联模板，过滤重复信息，帮助用户快速发现真正的安全隐患，做出重点处理，防止问题发生。 安全审计分析。通过对历史信息的深入分析和总结，用户能够最直接的了解攻击行为和活动，审计追踪违规行为，同时可为未来网络非法入侵进行严格界定，从而对网络安全状况做出预测，并有针对性的实施安全策略。 完善的报告。提供了基于角色的访问报告功能，能够满足个人、部门以及高级管理等各层次的需求。另外，符合政府制定的规范，如：公安部等级保护、萨班斯法案(SOX)、HIPAA、GLBA等。SecCenter能够提供有针对性的报告，帮助用户遵从法规要求。5. 港务集团IT资源智能化管理方案港务集团信息化的发展带来的不可回避的问题就是日渐庞大的IT系统的管理运维。H3C iMC基础IT资源管理解决方案以网络资源的基本管理为核心，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。1、全面的基础资源管理除了传统的路由器、交换机外，更能对网络中的无线、安全、语音、存储、服务器、打印机、UPS等设备进行管理，实现设备资源的集中化管理；基于H3C专利的发现算法，能快速、准确地发现网络资源，包括路由方式、ARP方式、IPsec VPN方式、网段方式等；支持设备面板管理，所见即所得的显示设备的资产组成和运行状态。2、灵活方便的拓扑功能除传统的IP拓扑视图外，支持网络拓扑、二层拓扑、邻居拓扑、机房机架拓扑等视图，用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑；通过拓扑实时展示网络设备及链路状态，实时定位网络故障。3、智能的告警管理 iMC具有完备的告警和故障管理机制及流程，能自动汇总全网中故障设备，形成故障设备列表，使管理员能快速、便捷的找到需要关注的故障设备；提供对重复告警、突发的大流量告警、未知告警的自动过滤，用户还可以自定义过滤规则，以有效压缩海量网络告警，使得管理员直接关注真正的网络故障；提供包括实时远程告警（手机短信、Email告警）、声光告警板集中告警（按告警类型分类告警）、拓扑实时展示告警等多种机制，为管理员从多角度实时监控网络状态。4、方便易用的性能管理iMC支持对CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等指标的监视，支持TopN统计排序；支持对每一个性能指标设置两级阈值，发送不同级别的告警，用户可以根据告警信息直接了解到设备某指标的性能情况；对监控的信息支持饼图、折线图、曲线图等多种方式输出，提供灵活的组合条件统计和查询，性能报表支持导出Html、Txt、Excel、Pdf格式文件。5、智能化的配置和软件管理通过NMS管理员能方便的对设备配置文件和软件文件进行集中管理，包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能；同时NMS提供设备配置的基线化版本管理，可以对配置文件的变化进行比较跟踪；提供设备软件的升级历史记录，可以全面审计设备软件版本的变化，并可快速的恢复历史版本，极大的方便了对设备的管理，提高了网络的可维护性。6、专业的应用性能监控iMC基础资源提供对多种Web服务器（Apache服务器、IIS服务器等）、应用服务器（Microsoft .NET、WebLogic、WebSphere等）、操作系统（Windows、Linux、SunSolaris、FreeBSD、IBM AIX、HP- UX、Tru64 Unix、Mac OS等）、数据库（Oracle、MySQL、MS SQL Server、IBMDB2、Sybase等）进行性能监控，及时发现应用系统中存在的问题。由于采用了可扩展的系统架构，对于任何提供JMX或者SNMP接口的应用，通过自定义方式，均可进行