海南航空股份有限公司（以下簡(jiǎn)稱海航）是中國(guó)第四大航空公司，也是國(guó)內(nèi)首家榮獲四星級(jí)航空服務(wù)的航空公司，擁有波音737、767系列和空客330、340系列為主的年輕豪華機(jī)隊(duì)，員工達(dá)30000多人。1993年至今，海南航空在以�？跒橹骰�地的基礎(chǔ)上，先后建立了北京、西安等多個(gè)分公司，航線網(wǎng)絡(luò)遍布中國(guó)，覆蓋亞洲，輻射歐洲、美洲、非洲，開通了國(guó)內(nèi)外航線近500條。海航集團(tuán)下包括航空運(yùn)輸、機(jī)場(chǎng)集團(tuán)、海航置業(yè)、海航旅業(yè)、海航實(shí)業(yè)、海航商業(yè)、海航物流等七大業(yè)務(wù)板塊。北京營(yíng)運(yùn)基地作為海航集團(tuán)在海南基地之外最重要的營(yíng)運(yùn)節(jié)點(diǎn)，不僅作為海航的網(wǎng)絡(luò)核心之一，與�？诨�地一起形成一個(gè)全國(guó)性航空IT網(wǎng)絡(luò)，同時(shí)還承載著集團(tuán)的主要業(yè)務(wù)系統(tǒng)，擔(dān)負(fù)著海航一半以上的國(guó)內(nèi)航線和國(guó)際航線的IT運(yùn)維工作，其作用不可忽視。

　　用戶需求

　　為了保證海航北京營(yíng)運(yùn)基地信息系統(tǒng)的正常運(yùn)行，海航集團(tuán)啟動(dòng)了基地IT系統(tǒng)的終端安全建設(shè)，建立全方位的安全性保護(hù)能力，以防止外部入侵、黑客攻擊、病毒和網(wǎng)絡(luò)嗅探，在局域網(wǎng)環(huán)境中保證客戶的隔離，防止外部人員的非法侵入以及操作人員的越級(jí)操作，保護(hù)網(wǎng)絡(luò)使用者的合法利益。從2008年開始，海航經(jīng)過長(zhǎng)達(dá)一年的多次交流考察和產(chǎn)品測(cè)試后，最終選擇H3C作為終端安全解決方案的供應(yīng)商。

　　海航集團(tuán)北京營(yíng)運(yùn)基地目前的網(wǎng)絡(luò)狀況以數(shù)據(jù)中心為重點(diǎn)，主要業(yè)務(wù)系統(tǒng)和機(jī)房位于服務(wù)中心樓內(nèi)，通過廣域網(wǎng)與海口中心和集團(tuán)分支機(jī)構(gòu)進(jìn)行互聯(lián)�；�地園區(qū)根據(jù)日常業(yè)務(wù)、辦公、生活設(shè)置的分部和職能部門，分化成多個(gè)功能區(qū)域。在不同功能區(qū)域間，來往人員比較復(fù)雜，臨時(shí)出差用戶、外來訪客等人員眾多，因此海航對(duì)防止非法接入功能的實(shí)現(xiàn)需求較高。同時(shí)海航的用戶數(shù)眾多，可以訪問的資源并不一致，需要實(shí)現(xiàn)靈活的用戶權(quán)限控制。使用nternet的用戶也存在濫用網(wǎng)絡(luò)的行為。此外，為滿足移動(dòng)辦公的需要，在辦公大樓內(nèi)部、停機(jī)坪等區(qū)域部署WLAN進(jìn)行無線覆蓋。海航現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)如下：

　　基地核心：以服務(wù)中心樓為主體，高性能核心交換機(jī)組成10G 核心，保證性能和高可靠，為整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理維護(hù)提供支撐；

　　基地接入層：采用樓道交換機(jī)和匯聚交換機(jī)兩層結(jié)構(gòu)，部署3臺(tái)24口交換機(jī)、38臺(tái)48口交換機(jī)，具有終端接入控制、ARP防攻擊等特性，同時(shí)具有高密度千兆線速端口和萬兆上行接口，消除網(wǎng)絡(luò)性能瓶頸；

　　無線接入層：部署3臺(tái)無線控制器AC和120臺(tái)雙頻FitAP，作為無線業(yè)務(wù)的終結(jié)點(diǎn)，可以為用戶提供認(rèn)證、安全和帶寬控制等服務(wù)。

　　海南航空北京營(yíng)運(yùn)基地為了能夠系統(tǒng)地解決目前網(wǎng)絡(luò)安全、優(yōu)化、運(yùn)營(yíng)中存在的問題，避免傳統(tǒng)網(wǎng)絡(luò)事前無認(rèn)證、事中無控制、事后無審計(jì)的三無現(xiàn)象，針對(duì)海南航空的網(wǎng)絡(luò)現(xiàn)狀和終端管理情為了保證海航北京營(yíng)運(yùn)基地信息系統(tǒng)的正常運(yùn)行，海航集團(tuán)啟動(dòng)了基地IT系統(tǒng)的終端安全建設(shè)，建立全方位的安全性保護(hù)能力，以防止外部入侵、黑客攻擊、病毒和網(wǎng)絡(luò)嗅探，在局域網(wǎng)環(huán)境中保證客戶的隔離，防止外部人員的非法侵入以及操作人員的越級(jí)操作，保護(hù)網(wǎng)絡(luò)使用者的合法利益。從2008年開始，海航經(jīng)過長(zhǎng)達(dá)一年的多次交流考察和產(chǎn)品測(cè)試后，最終選擇H3C作為終端安全解決方案的供應(yīng)商。

　　海航集團(tuán)北京營(yíng)運(yùn)基地目前的網(wǎng)絡(luò)狀況以數(shù)據(jù)中心為重點(diǎn)，主要業(yè)務(wù)系統(tǒng)和機(jī)房位于服務(wù)中心樓內(nèi)，通過廣域網(wǎng)與�？谥行暮图瘓F(tuán)分支機(jī)構(gòu)進(jìn)行互聯(lián)�；�地園區(qū)根據(jù)日常業(yè)務(wù)、辦公、生活設(shè)置的分部和職能部門，分化成多個(gè)功能區(qū)域。在不同功能區(qū)域間，來往人員比較復(fù)雜，臨時(shí)出差用戶、外來訪客等人員眾多，因此海航對(duì)防止非法接入功能的實(shí)現(xiàn)需求較高。同時(shí)海航的用戶數(shù)眾多，可以訪問的資源并不一致，需要實(shí)現(xiàn)靈活的用戶權(quán)限控制。使用Internet的用戶也存在濫用網(wǎng)絡(luò)的行為。

　　此外，為滿足移動(dòng)辦公的需要，在辦公大樓內(nèi)部、停機(jī)坪等區(qū)域部署WLAN進(jìn)行無線覆蓋。海航現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)如下：

　　基地核心：以服務(wù)中心樓為主體，高性能核心交換機(jī)組成10G 核心，保證性能和高可靠，為整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理維護(hù)提供支撐；

　　基地接入層：采用樓道交換機(jī)和匯聚交換機(jī)兩層結(jié)構(gòu)，部署3臺(tái)24口交換機(jī)、38臺(tái)48口交換機(jī)，具有終端接入控制、ARP防攻擊等特性，同時(shí)具有高密度千兆線速端口和萬兆上行接口，消除網(wǎng)絡(luò)性能瓶頸；

　　無線接入層：部署3臺(tái)無線控制器AC和120臺(tái)雙頻Fit AP，作為無線業(yè)務(wù)的終結(jié)點(diǎn)，可以為用戶提供認(rèn)證、安全和帶寬控制等服務(wù)。

　　海航集團(tuán)北京營(yíng)運(yùn)基地

　　為了能夠系統(tǒng)地解決目前網(wǎng)絡(luò)安全、優(yōu)化、運(yùn)營(yíng)中存在的問題，避免傳統(tǒng)網(wǎng)絡(luò)事前無認(rèn)證、事中無控制、事后無審計(jì)的三無現(xiàn)象，針對(duì)海南航空的網(wǎng)絡(luò)現(xiàn)狀和終端管理情況，H3C采用了iMC EAD終端準(zhǔn)入控制解決方案，提出了解決措施，其網(wǎng)絡(luò)拓?fù)涫疽鈭D所示：

　　首先，在園區(qū)網(wǎng)接入層交換機(jī)上啟用802.1X認(rèn)證，直接在接入層與EAD解決方案配合，終端接入必須經(jīng)過身份認(rèn)證，并根據(jù)用戶身份動(dòng)態(tài)授權(quán)，保證終端無毒、用戶合法、行為可控。

　　其次，在EAD服務(wù)器上根據(jù)用戶的身份信息劃分權(quán)限，在認(rèn)證通過后向二層交換機(jī)作動(dòng)態(tài)的VLAN ID下發(fā)配置，保證不同的用戶具有不同的資源訪問權(quán)限。

　　最后，在無線控制器AC上啟用Portal EAD認(rèn)證方式，配合EAD系統(tǒng)，完成對(duì)用戶的有線無線一體化管理，實(shí)現(xiàn)接入認(rèn)證和安全策略的下發(fā)。詳細(xì)應(yīng)用如下：

• 網(wǎng)絡(luò)設(shè)備管理與用戶安全管理的的融合

　　不僅實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)、無線、安全等整網(wǎng)設(shè)備的統(tǒng)一管理，還實(shí)現(xiàn)了對(duì)用戶安全的統(tǒng)一管理。同時(shí)，可以將用戶的身份信息與網(wǎng)絡(luò)拓?fù)湫畔⒔Y(jié)合，不僅可以追查到端口，二期可以追查到具體的用戶帳號(hào)。

• 有線無線一體化安全接入

　　用戶使用同一個(gè)客戶端、同一個(gè)帳號(hào)，同時(shí)在有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)進(jìn)行接入認(rèn)證，可在享受無線網(wǎng)絡(luò)靈活漫游的同時(shí)，保證無線用戶和有線用戶的接入安全。

• 用戶接入的有序、靈活、可控

　　H3C EAD解決方案保證了用戶終端的安全，有效阻止威脅入侵網(wǎng)絡(luò)，并可根據(jù)用戶的身份動(dòng)態(tài)劃分權(quán)限，對(duì)用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制，保證了網(wǎng)絡(luò)的安全運(yùn)行。