港务集团信息化解决方案样本.doc

1、 H3C港务集团信息化解决方案前言中华人民共和国已成为世界上港口吞吐量和集装箱吞吐量最多，增长速度最快国家，但是中华人民共和国港口生产能力依然滞后于吞吐量发展。“十二五”期间，港口信息化建设重点重要在于提高信息资源深度开发和综合运用水平，发呈当代物流、发展交通电子口岸建设，开展港口船舶电子结关、查验、危险品申报、港政管理、运政管理等交通行政允许“一站式”服务，并实现与国家电子口岸对接，为港口生产部门、船舶、船东、货主等提供信息服务，港口信息化建设要符合信息化发展规定。港口信息化建设，需要环绕港口生产调度、流程优化、运营管理、公司管理、辅助战略决策等业务展开。当前，从信息化成熟度方面来看，港口信

2、息化建设成熟度可分为初级、中级、高档三个阶段，初级阶段信息化只是个别业务部门或管理部门局部工具，信息化作用类似于生产工具性能改进，中级阶段信息化达到了大部门纵向集成，信息化作用类似于某个生产部门生产力改进，高档阶段信息化达到跨部门信息化资源整合，并且同业务部门互动融合，成为公司必不可少基本设施及战略决策根据。中华人民共和国有些大型港口信息化成熟度已经达到中级阶段，正在向高档阶段迈进，而大某些中小港口还处在初级或初级向中级阶段发展阶段。本文结合港口信息化需求，简介H3C对于港口信息化高档阶段所提出一系列解决方案。1. 港口信息化现状及发展趋势由于历史因素，老式港口信息化建设重要以码头公司为单位进

3、行，整体上看，其应用、数据、承载网络、信息化管理条块分割，缺少整体性、系统性，各信息化功能模块之间彼此关联少，信息系统稳定可靠性差、管理维护以及信息互通共享性局限性等。老式港口信息化基本设施存在如下问题，重要体当前如下几方面：n 信息系统条块分割问题：信息系统繁多，原则不一，彼此相对独立，业务信息共享困难。n 基本网络问题：由于业务系统横纵向不能互通，因而网络系统也是缺少整体统一规划，互联互通性差；或办公网和生产网混合，稳定性差。n 各部门信息化系统之间条块分割导致没有统一数据中心，数据中心应当是应用系统、数据管理系统及信息化管理系统中心。n 信息系统安全问题：网络边沿安全设施单一，存在局限性

4、；园区内部终端安全局限性，隐患多；安全事件不可见，不可控，无法防止，缺少集中安全管理。n 信息化基本设施管理问题：只能实现网络设备级管理，并且各业务系统单独管理，不能对网络、安全、数据、应用系统进行统一管理，不能辨认网络业务和顾客行为。以上问题制约港务集团信息化发展，而港口业务系统（如：EDI、ERP、物流、调度等）、办公系统以及港口安防等规定IP承载网络可以提供高可靠、安全、高效、易管理服务，因而，港口信息化建设需要解决上述面临问题。港口信息化已经具备了一定规模，重要包括港务集团园区网、港务集团数据中心以及港务集团信息化安全和IT资源管理，其架构如下图所示：下面逐个讲述H3C提供港口信息化解

5、决方案以及这些方案是如何解决当前面临问题。港口信息化解决方案涉及：港务集团IP承载网络解决方案、港务集团数据中心解决方案、全面进一步信息化安全、信息化智能管理方案。2. 港务集团园区网解决方案港务集团园区网解决方案以港务集团为中心，建立统一覆盖各个码头分公司高效IP网络，承载集装箱作业系统、EDI系统、ERP管理系统、OA、安防系统。大型港务集团园区网络普通需要建设独立核心层网络，核心节点间互联采用万兆RPR或万兆以太网，各港口公司业务网络和管理单位办公楼，码头作业区、堆场、物流园区等接入到集团核心层，大型港务集团普通覆盖区域跨度达到数十公里，不同港口公司局域网通过集团核心网互联互通，集团集中

6、建设数据中心，数据中心集中设立应用系统服务器、数据存储系统等设备，智能管理中心设立网络、安全集中管理服务器。对于港口核心骨干网，由于承载生产调度、管理、安防等实时生产性核心业务，因此对于可靠性和带宽需求比较高，普通不容许有链路或设备级单点故障，由于承载多媒体业务，骨干网带宽普通在N * GE10GE。港务集团核心骨干网如下图所示：对于园区骨干网，H3C可以提供符合业界原则高可靠RPR环网技术，RPR具备如下技术优势：n 高带宽运用率：双环逆向，同步传送数据，2.5G RPR双向带宽可以达到5Gbps，10Gbps RPR双向带宽可以达到20Gbps。n 传送时延小：在环上节点传送时不进入网络设

7、备三层转发，直接从RPR板转发，对于实时调度业务及视频监控业务，承载质量高。n 50ms迅速故障恢复，环上任意节点设备或链路故障，不影响应用系统，充分保证信息化可靠性。n 服务质量保障：可以对业务进行分级解决，保证环上重要和实时业务。n 支持单播、组播和广播：在RPR环路上依照节点RPR MAC地址完毕单播、组播和广播数据业务传送，组播业务对于多媒体业务是非常重要。 n 维护简朴以便：支持完善OAM，配备维护以便。核心骨干网稳定、可靠、高带宽对于整个港务集团信息系统可靠高效运营至关重要，对于码头分公司生产、安防、管理业务网，采用双设备、双链路GE/10GE以太局域网保证带宽及可靠性，这里不多赘

8、述。作为综合业务传送园区网，需要采用逻辑隔离技术实现不同业务系统隔离，H3C对于港务集团园区网，提供如下隔离技术：n 二层VLAN：二层隔离技术，在三层终结。不易扩展，适合中小型港口分公司网络n 分布式ACL：需要严格方略控制，灵活性差，管理维护复杂，适合中小港口分公司网络n VRF/MPLS VPN：三层隔离技术，业务隔离性好，每个VPN独立转刊登， 扩展性好。 支持各种灵活接入方式，配备管理简朴、支持QoS，适合大型港园区网应用n 大型港口园区网推荐组合：VLAN+VRF，VRF+MPLS VPN，二三层隔离融合，安全性高，避免大量ACL配备问题，直观、易维护、易扩展。通过适合于各种港口场

9、合应用逻辑隔离技术，实现不同业务系统隔离，避免互相影响，从而提高信息化系统安全稳定性，并减少建设成本。H3C园区网虚拟化实现方案如下图所示：园区虚拟化解决方案接入控制采用H3CEAD认证系统，对通过认证顾客动态下发VPN和相应资源访问和使用权限 通过VLAN/VRF/MPLS VPN技术对不同应用、业务和群组顾客进行安全隔离，把不同顾客、不同应用数据横向隔离开来，保证数据传播私密性和安全性。通过MPLS VPN与EAD联动，H3C虚拟园区网为顾客提供端到端VPN隔离能力。顾客在任何地方接入网络，通过EAD认证后都会获得相似VPN归属和访问权限 港务集团虚拟园区网解决方案优势：n 港务集团拥有一

10、套高性能、高可靠园区物理网络，虚拟化出资源可以分派给不同业务系统 n 按需分派虚拟化网络资源，在满足各分公司业务同步最大化运用资源 n 管理有限物理设备即可，极大减少了管理难度 此外，港口分公司在港口作业区、码头、堆场、仓库等区域，存在难于布线等问题，因而对于WLAN具备需求，通过港口分公司WALN网络建设，可以实现上述区域多业务无线终端覆盖。H3C 具备适合港口需求WLAN解决方案，下面简朴简介：码头WLAN可以作为码头有线网络延伸，可以独立建设WLAN系统为生产和管理提供统一提供接入，当前主流WLAN技术为Fit AP架构WLAN，H3C提供无线有线一体化Fit AP架构WLAN，将无线控

11、制器以插卡形式集成到以太网互换机，将WLAN和有线网络融合，实现统一高效网络，统一承载数据、语音、视频业务。H3C 港口WLAN方案重要有如下优势：n 有线无线一体化，WLAN网络建设、运维管理以便n AP胖瘦自适应，H3C AP支持胖瘦AP切换，灵活性好，有效保护投资n 仓库、堆场室外环境适应，H3C 室外型WLAN通过IP65/IP66认证，符合港口环境n 支持IEEE802.11g|b|a外，还支持IEEE 802.11n，带宽充分，对于无线监控业务具备优势。3. 港务集团新一代数据中心解决方案港口信息化发展到高档阶段，必然需要建设统一数据中心，以便实现跨部门信息资源整合并减少重复分散投

12、资，数据中心集中设立面向各码头调度系统，EDI系统，OA系统等，同步数据中心面向各个业务系统集中设立数据存储系统，并考虑备份容灾，数据中心安全关系到整个港口信息化安全，因而，需要考虑数据中心安全，同步，数据中心需要考虑整体管理中心。数据中心建设本着如下原则：n 原则：模块化分区建设；计算、存储、业务网络采用以太网技术，消除异构网络n 简朴：网络虚拟化，简化网络构造，提高网络可靠性n 融合：安全设施与网络资源紧密耦合，形成一体化融合安全网络港务集团数据中心可分为各种功能区，如：调度服务器区、EDI服务器区、OA服务器区、系统管理区等。在进行分区设计时，尽量做到各模块之间松耦合，这样可以较好保证数

13、据中心业务扩展性，扩展新业务系统或模块时不需要对核心或其他模块进行改动。同步模块化设计也可以较好分散风险，在某一模块（除核心区外）浮现故障时不会影响到其他模块，将数据中心故障影响降到最小。网络层次方面，依照内外某些流原则，把数据中心网络提成原则核心层、汇聚层和接入层三层构造。服务器与业务系统之间流量大某些在单个功能分区内部，不需要通过核心；分区之间流量才通过核心，并且在每个分区汇聚层互换机上做互访控制方略会更容易、对核心压力会更好、故障影响范畴更小、故障恢复更快。网络架构及可靠性方面，通过H3C IRF技术对同一层面设备进行横向整合，将两台或多台设备虚拟为一台设务，统一转发、统一管理，并实现跨

14、设备链路捆绑。因而不会引入环路，无需布置STP和VRRP等合同，简化网络合同布置，大大缩短设备和链路收敛时间（毫秒级），链路负载分担方式工作，运用率大大提高。有了可靠网络系统，还要有全面信息安全系统以保证数据中心稳定运营，数据中心安全涉及：各功能区安全、网络边沿安全及安全管理几某些。H3C数据中心全面进一步安全解决方案如下图所示：各功能区安全在服务器汇聚互换机设立防火墙、IPS、负载均衡、应用控制网关等模块，实现各服务器2-7层安全及应用系统加速优化。网络边沿安全涉及广域网及互联网区边沿安全，需要在这些边沿设立防火墙、IPS、应用控制网关实现7层进一步安全防护。安全管理中心实现对数据中心及整个

15、港口安全管理中心，对于安全事件可见，可控，可管。网络安全融合解决方案可以实现安全前提下网络高性能，同步避免单点故障，减少网络复杂度。H3C一体化数据中心安全解决方案具备如下优势：n 实现数据中心、网络边沿及园区内部端到端2-7层安全解决方案；n 网络安全一体化可以减少单点故障，提高网络可靠性；n 安全插卡模块性能高，并且安全性能可以灵活扩展；n 网络安全一体化布置可以简化机房布线，节约机房空间，减少能耗n 网络安全一体化：H3C 互换机内置防火墙、IPS等安全模块，支持ARP袭击、DHCP Snooping、防DoS袭击等安全特性；n 安全插卡模块支持以IRF2为基本N:1虚拟化；以MPLS为

16、基本1:N虚拟化；安所有署及资源分派灵活，可靠性高。综上所述，港务集团数据中心建设，符合港务集团建设公司私有云发展趋势和规定。港务集团私有云构建仅为港务集团单独使用，可以对云服务安全性和服务质量达到有效控制。同步，对港务集团而言，私有云大幅提高当前基本设施使用率，减少了总体TCO，私有云中，港务集团网络运维管理将极大简化，网络运维管理将变得更加自动化、智能化。4. 港务集团信息化安全解决方案除了数据中心安全外，整个港口信息化体系同样需要考虑全面进一步安全，为了保证港口生产和管理系统稳定运营，必要考虑港口信息化端到端安全性，安全解决方案必要全面，涉及各功能区网络边沿安全、内部顾客安全，同步，安全

17、解决方案必要进一步，实现网络L2-L7层全方位安全防护。 端到端港口信息化安全解决方案整体方略如下图所示：高安全网络：布置防火墙和IPS对港口外部单位出口、数据中心出口进行防护，IPS可以进一步分析到应用层信息，并且可以在线阻断袭击，补充防火墙局限性。在大型港口，不同业务网络同核心网络之间也通过防火墙、IPS互通，充分保证各业务系统安全。H3C IPS安全设备为在线线速检测设备，对网络边沿提供2-7层进一步安全防护；H3C IPS迅速数字疫苗升级模式可以最快发现针对已知漏洞袭击行为，特别针对Windows系统漏洞，可以实当前发布漏洞第二天推出防护/检测补丁，业界最快；H3C IPS提供在线7层

18、检测安全设备，在安全检测防护同步实现线速转发，且互换机同样延时低(215微妙)，最多支持200万并发连接。H3C SecPath系列防火墙产品是通过ICSA实验室认证安全产品，ICSA实验室为国际上最为权威信息安全产品认证机构，通过ICSA实验室认证对于信息安全行业中任何一款产品来说都具备里程碑式意义，通过ICSA实验室认证可以充分保证数据安全。高安全顾客：针对内部顾客终端带来安全威胁，H3C公司推出了终端准入防御（EAD）解决方案，该方案从网络顾客终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全方略服务器、网络设备以及第三方软件联动，对接入港务集团网络顾客终端强制实行公

19、司安全方略，严格控制终端顾客网络使用行为，加强对网络顾客终端积极防御能力，保护网络安全。港口顾客终端试图接入网络时，一方面通过安全客户端上传顾客信息至安全方略服务器进行顾客身份认证，非法顾客将被回绝接入网络；合法顾客将被规定进行安全状态认证，由安全方略服务器验证补丁版本、病毒库版本等信息与否合格，不合格顾客将被安全联动设备隔离到隔离区；进入隔离区顾客可以依照公司网络安全方略，通过第三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操作，直到接入终端符合公司网络安全方略；安全状态合格顾客将实行由安全方略服务器下发安全设立，并由安全联动设备提供基于身份网络服务。通过EAD系统应用于有线和无

20、线网络，实现内部顾客接入控制、安全控制、权限控制、行为监控，充分防范来自内部安全隐患。高效安全管理：H3C SecCenter安全事件统一管理系统可以提供对全网海量安全事件和日记集中收集与统一分析，SecCenter可以兼容网络中多厂商各种设备，对收集数据高度聚合存储及归一化解决，实时监控全网安全状况，同步可以依照不同顾客需求提供丰富自动报告，提供具备说服力网络安全状况与政策符合性审计报告，系统自动执行以上收集、监控、告警、报告、归档等所有任务，使IT及安全管理员脱离繁琐手工管理工作，极大提高效率，可以集中精力用于更有价值活动，保障网络安全。H3C SecCenter提供如下功能： 支持近百家

21、主流厂商网络设备及主机系统，涉及：防火墙、路由器、互换机、VPN网关、IDS/IPS、内容过滤系统、防病毒系统、防间谍软件系统、防垃圾邮件系统和Windows、Unix和Linux 主机、数据库等。 提供网络拓扑和威胁可视化，SecCenter可生成整网安全拓扑视图，管理员可以通过一种界面直观查看整个网络威胁状态与安全事件。 强大日记管理功能，兼容主流厂商日记格式，并通过各种方式获取设备日记信息，涉及积极收集、被动接受等。 提供了对安全事件集中监控，可以实时显示每台设备事件详情，涉及源地址、目地址、规则号、顾客名、日期时间、设备类型、流、合同、端口、描述、事件ID、袭击ID、病毒名、病毒ID、

22、URL、设备名称等。通过实时显示窗口，可以轻松理解突发事件，涉及事件起因、发生位置、被袭击设备和端口，从而迅速纠正危险，保障网络安全。面对网络中海量事件，核心事件很容易被沉没。凭借对网络安全领域进一步研究，针对各种安全问题，SecCenter提供了几十种预定义关联告警模板智能“专家系统”。同步容许顾客自定义安全方略，设定关联模板，过滤重复信息，协助顾客迅速发现真正安全隐患，做出重点解决，防止问题发生。 安全审计分析。通过对历史信息进一步分析和总结，顾客可以最直接理解袭击行为和活动，审计追踪违规行为，同步可为将来网络非法入侵进行严格界定，从而对网络安全状况做出预测，并有针对性实行安全方略。 完善

23、报告。提供了基于角色访问报告功能，可以满足个人、部门以及高档管理等各层次需求。此外，符合政府制定规范，如：公安部级别保护、萨班斯法案(SOX)、HIPAA、GLBA等。SecCenter可以提供有针对性报告，协助顾客遵从法规规定。5. 港务集团IT资源智能化管理方案港务集团信息化发展带来不可回避问题就是日渐庞大IT系统管理运维。H3C iMC基本IT资源管理解决方案以网络资源基本管理为核心，不但提供功能，更通过流程向导方式告诉顾客如何使用功能满足业务需求，为顾客提供了网络精细化管理最佳工具软件。1、全面基本资源管理除了老式路由器、互换机外，更能对网络中无线、安全、语音、存储、服务器、打印机、U

24、PS等设备进行管理，实现设备资源集中化管理；基于H3C专利发现算法，能迅速、精确地发现网络资源，涉及路由方式、ARP方式、IPsec VPN方式、网段方式等；支持设备面板管理，所见即所得显示设备资产构成和运营状态。2、灵活以便拓扑功能除老式IP拓扑视图外，支持网络拓扑、二层拓扑、邻居拓扑、机房机架拓扑等视图，顾客可以依照自己组织构造、地区状况、甚至楼层状况清晰灵活地绘制出客户化网络拓扑；通过拓扑实时展示网络设备及链路状态，实时定位网络故障。3、智能告警管理 iMC具备完备告警和故障管理机制及流程，能自动汇总全网中故障设备，形成故障设备列表，使管理员能迅速、便捷找到需要关注故障设备；提供对重复告

25、警、突发大流量告警、未知告警自动过滤，顾客还可以自定义过滤规则，以有效压缩海量网络告警，使得管理员直接关注真正网络故障；提供涉及实时远程告警（手机短信、Email告警）、声光告警板集中告警（按告警类型分类告警）、拓扑实时展示告警等各种机制，为管理员从多角度实时监控网络状态。4、以便易用性能管理iMC支持对CPU运用率、内存运用率、带宽运用率、设备响应性能、设备不可达等指标监视，支持TopN记录排序；支持对每一种性能指标设立两级阈值，发送不同级别告警，顾客可以依照告警信息直接理解到设备某指标性能状况；对监控信息支持饼图、折线图、曲线图等各种方式输出，提供灵活组合条件记录和查询，性能报表支持导出H

26、tml、Txt、Excel、Pdf格式文献。5、智能化配备和软件管理通过NMS管理员能以便对设备配备文献和软件文献进行集中管理，涉及配备文献备份、恢复以及批量更新、设备软件备份和升级等功能；同步NMS提供设备配备基线化版本管理，可以对配备文献变化进行比较跟踪；提供设备软件升级历史记录，可以全面审计设备软件版本变化，并可迅速恢复历史版本，极大以便了对设备管理，提高了网络可维护性。6、专业应用性能监控iMC基本资源提供对各种Web服务器（Apache服务器、IIS服务器等）、应用服务器（Microsoft .NET、WebLogic、WebSphere等）、操作系统（Windows、Linux、S

27、unSolaris、FreeBSD、IBM AIX、HP- UX、Tru64 Unix、Mac OS等）、数据库（Oracle、MySQL、MS SQL Server、IBMDB2、Sybase等）进行性能监控，及时发现应用系统中存在问题。由于采用了可扩展系统架构，对于任何提供JMX或者SNMP接口应用，通过自定义方式，均可进行监控。7、丰富报表功能iMC系统自带近百张报表，涵盖告警、网元、性能、拓扑、配备等各功能模块，报表可实时、按周期在线查看，也可直接通过Email发送给有关负责人，使得真个基本IT资源状况一目了然。如果系统提供报表数据不能满足需求，可通过iAR智能分析报表进行定制报表。6

28、. H3C港口信息化解决方案优势总结H3C港口信息化解决方案符合整合型港口，为港口运营效率提高、跨部门应用集成、面向整个港口决策分析等提供稳定高效支撑，详细优势体当前：n 高可靠港务集团虚拟园区网保证数据信息通信不中断高可靠港务集团虚拟园区网平台，高可靠组网模式，融合网络安全、全方位进一步安全防护，充分保证港口及物流业务稳定可靠运营。n 新一代数据中心解决方案实现整个港口信息化资源整合新一代数据中心解决方案在实现数据中心高性能、高可靠同步，实现了港务集团网络横纵向互通，为港务集团以及各港口分公司资源共享提供了便捷手段，有助于港务集团数据挖掘，有助于管理者进行决策分析。n 新一代数据中心解决方案

29、符合港务集团公司私有云应用公司私有云可觉得公司提供可靠数据安全保护、高品质服务质量，同步可以减少公司总体TCO。n 端到端全面进一步信息系统安全高安全网络、高安全顾客、高效率管理，保证港口信息化平台安全稳定。n 简朴易用一体化管理方案基于公司IT环境和管理流程特性，通过iMC智能管理中心实现港务集团网络业务生命周期全流程管理，构建以人为本、面向业务动态资源管理系统。n 服务就在身边H3C港口信息化建设主流品牌，服务于众多港务集团信息化建设，竭诚为港口顾客提供温暖感专业化服务。7. 案例分享唐山曹妃甸港是中华人民共和国沿海少有能停靠二十五吨级以上远洋巨轮钻石级港，先后被河北省、唐山市列为“一号工程”，由唐山市长挂牌督办。在曹妃甸港，H3C港口信息化解决方案得到全面应用H3C港口园区万兆核心互换S9500E/S7500E系统，核心多业务路由器SR/MSR路由器广域网系统，支持802.11n一体化网络无线系统，一体化网络安全系统，万兆IP-SAN存储系统，从网络、安全、存储、无线到终端顾客IT综合管理系统，以及覆盖港区IP视频监控系统、视频会议系统，涵盖了H3C全系列解决方案和产品体系。