网络通信 频道

武汉HY集团公司SDN企业园区网改项目案例

  【IT168 案例】武汉HY集团有限公司(简称:HY集团)成立于 2001年,现有员工2000余人,HY集团是一家主流器件制造商,拥有多条大规模生产线,在独立自主基础上发展技术创新体系,承担了多项国家发改委、科技部、信息产业部等技术攻关项目;拥有覆盖全国的销售和服务网络。

  HY集团希望通过本次网络改造,使得其网络具有长远、统一的规划,并具备先进、安全、可扩展、高可用的能力,同时易于管理,简化IT运维,解决现有IT团队人力不足的问题。

  1.1 用户痛点

  网络权限分配混乱,权限管理困难

  网络权限分配以IP为粒度,基于设备端口的权限分配模式,随着用户规模的不断扩大及IP地址的变更,导致网络权限分配频繁调整,同时移动办公的需要,也导致了设备配置的频繁更改,权限及配置管理的难度急剧增加。

  用户接入难控制,安全风险高

  由于缺乏用户终端接入控制手段,导致用户终端可任意接入网络,存在非法用户接入网络、越权访问的风险。

  运维效率低,故障恢复时间长

  传统的CLI运维管理过度依赖人力的技能并容易误操作,且网络状态、网络流量不可视,导致HY集团整个网络上百台交换机需要靠大量人力去运维管理,运维效率低,出现网络故障需凭个人经验去定位及排障,故障恢复时间长。

  1.2 用户需求

  基于用户的网络权限分配管理需求

  网络权限的分配应基于权限最小化原则,实现网络权限按人员身份进行精细化分配与管理,且网络权限与员工的身份相结合,移动办公也无需重复配置网络,用户策略随行。

  多样化的用户安全接入控制需求

  随着HY集团的发展,员工数量越来越多,存在大量员工自带IT终端接入网络、来访人员接入网络需求,面临巨大的安全隐患,如何控制用户终端安全可控的接入网络也是HY集团网络改造需求之一。

  集中化、可视化的运维管理需求

  随着网络规模的不断扩张,IT团队面临的运维压力也越来越大,过去的运维模式已不能满足HY集团的发展需求,新的网络架构应能满足集中化、可视化的运维需求,可快速定位并恢复网络故障,帮助HY集团降低IT运维成本。

  二、 解决方案

  2.1 方案概述

  泰信通SDN网络解决方案从HY集团业务发展的网络需求出发,针对现有网络系统架构的痛点,为HY集团制定可扩展、智能化的SDN网络解决方案。该方案引入先进的SDN网络技术,基于开放标准的SDN软硬件架构,将过去封闭的以网络设备为中心的网络转变为以用户/业务为中心的开放式网络,基于用户身份编排、调度网络资源,实现用户网络随行,同时为HY集团提供弹性、易用、灵活定制的网络平台,网络平台自动感知网络运营状态,并实现基于业务流粒度的转发路径可视化,简化IT运营管理,大幅度提升HY集团的整体IT运维效率,实现IT从成本中心向利润中心跳跃式的提升。

  泰信通SDN网络解决方案的用户网络随行实现‘一次配置,全网生效’,通过将用户与网络无缝对接,基于用户身份集中编排网络策略,同时智能感知并定位上线用户,为用户自动下发所属的网络策略,网络策略与用户相绑定,随用户移动而迁移。

  泰信通SDN网络解决方案采用SDN网络分片技术,为HY集团提供员工之间、部门之间、员工与部门之间等多样化的网络安全隔离,结合SDN分布式防火墙,对全网安全策略统一协同管控,同时基于用户身份、IP地址、MAC地址、端口等多维度的安全准入手段精确控制用户/终端接入安全,杜绝越权访问,大幅度提升企业信息安全。

  泰信通SDN网络解决方案帮助HY集团构建同城灾备数据数据,通过高性能的VxLAN大二层网络,实现生产、办公业务同城部署,提高业务可用性。

  2.2 方案架构

武汉HY集团公司SDN企业园区网改项目案例

  2.3 技术亮点

  2.3.1 用户网络身份识别

  本方案通过SDN控制器与HY集团AD域认证系统深度对接集成,构建HY集团用户网络信息库,并通过用户网络身份实现用户上/下线动态感知与定位,并智能识别用户终端MAC、IP地址、接入位置等网络信息。支持自建用户网络身份,可基于用户终端MAC、IP地址、接入位置等网络属性构建用户身份。

  2.3.2 用户策略集中编排与调度

  本方案将网络策略与用户身份无缝集成,支持以用户/部门等维度集中配置网络策略,通过用户上线感知精确识别、定位用户网络身份,根据用户身份提取相应的网络策略并自动下发,无需人工操作,且网络策略随用户移动而迁移,避免用户重复配置,满足HY集团大规模的移动办公需求。

  2.3.3 SDN网络分片

  SDN网络分片将网络按用户/部门进行分片规划,不同分片间网络隔离,支持基于MAC、IP、协议、端口等维度进行网络分配,满足用户间隔离、部门间隔离、用户与部门间隔离等多样化的网络隔离需求,提高网络安全性。

  2.3.4 SDN分布式防火墙

  SDN分布式防火墙将全网访问策略集中协同管理,摆脱传统网络逐台配置的模式,单点配置,统一下发,全网生效,支持基于用户身份、MAC地址、IP地址、协议类型等维度制定网络访问策略,网络策略全网生效。

  实现用户终端安全接入控制,支持基于MAC地址、IP地址、端口等多维度的接入安全控制,拒绝非授权用户终端接入网络,提高网络安全性。

  2.3.5 同城大二层数据中心部署

  本方案帮助HY集团构建同城双活数据中心,在HY集团办公大楼和生产大楼分别构建数据中心,数据中心内部实现生产、办公业务的虚拟化部署,数据中心之间基于SDN高性能硬件构建VxLAN大二层网络,满足生产、办公业务虚机跨数据中心热迁移,业务数据在数据中心间实时同步,提高业务可用性

  2.3.6 网络可视化

  本方案通过SDN控制器自动发现网络拓扑和用户终端,实时感知网络状态,并基于网络拓扑统一可视化呈现,如用户在线状态、网络设备运行状态、网络流量、网络事件等等,对设备性能负载高、链路流量大的链路以不同颜色区分标识,让管理员实时掌握网络运营状态,简化IT运营管理。

  支持基于业务流粒度的网络转发路径可视化,用户可自定义指定业务流的源/目IP地址等信息,即可在网络拓扑上显示业务流转发路径,当网络出现故障时,可快速定位故障点,帮助运维人员减少业务故障的故障定位、故障恢复时间,提高运维效率。

  2.4 方案亮点

  2.4.1 用户网络随行

  本方案构建以用户为中心的网络架构,将用户身份与网络资源相绑定,用户身份作为网络资源获取的唯一特征,基于用户身份配置、编排、下发网络策略,实现网络权限最小化和网络资源有效管理利用,并提高网络信息安全。同时通过感知用户上下线,网络策略自动化下发,实现用户网络策略随行,避免管理员频繁调整变更用户网络策略,减少管理员网络策略维护工作量。

  2.4.2 全网安全协同

  本方案采用SDN网络分片、分布式防火墙等SDN安全技术,将全网安全策略统一管理编排,实现用户身份、MAC地址、IP地址、协议类型等维度的用户终端安全接入控制和用户访问控制,避免网络资源越权访问和信息泄露,提升网络信息安全。

  2.4.3 同城双活数据中心,业务高可用

  本方案将办公大楼和生产大楼的数据中心通过VxLAN技术进行互联,构建同城大二层网络,实现数据中心的同城双活和业务虚机级别的业务在线实时迁移,提升业务可用性。

  2.4.4 集中化、可视化运维管理平台

  本方案通过统一的Web网络平台对整个SDN网络设备、网络功能进行集中管理、配置、维护,摈弃传统CLI逐台配置的管理模式,简化IT运维管理,提升HY集团IT整体运维效率。

  本方案对全网进行全方位的网络状态监控,如链路状态、设备状态、网络流量状态等等,基于自动化网络拓扑统一可视化呈现,结合信息告警提前预防网络故障,同时结合业务流的转发路径可视化快速定位并恢复网络故障,将业务故障时间降到最低。

  三、 用户价值

  通过泰信通的SDN网络解决方案,HY集团从传统网络到SDN智能网络的平滑快速转变,并构建一张以用户为中心,高效、智能、适应业务未来发展的网络架构,其用户价值体现如下:

  HY集团网络信息安全的提升

  摆脱过去传统网络下权限管理混乱、权限分配不合理的问题,以用户为单位分配、管理网络权限,通过SDN网络安全手段精确控制用户安全接入和用户网络隔离,实现权限按需分配,资源按需访问。

  HY集团IT运维效率的提升

  摆脱过去不可视、凭经验、人肉的运维模式,采用可视化、智能化的统一运维平台对SDN网络进行集中管理运营,将HY集团IT团队从繁重的运维工作中解脱出来,减少网络故障率,并将网络故障恢复时间从过去的几小时缩短至数分钟,使得HY集团的IT运维效率得到跳跃式的提升,同时降低IT运营成本。

1
相关文章