海南航空股份有限公司（以下簡稱海航）是中國第四大航空公司，也是國內(nèi)首家榮獲四星級航空服務的航空公司，擁有波音737、767系列和空客330、340系列為主的年輕豪華機隊，員工達30000多人。1993年至今，海南航空在以海口為主基地的基礎上，先后建立了北京、西安等多個分公司，航線網(wǎng)絡遍布中國，覆蓋亞洲，輻射歐洲、美洲、非洲，開通了國內(nèi)外航線近500條。海航集團下包括航空運輸、機場集團、海航置業(yè)、海航旅業(yè)、海航實業(yè)、海航商業(yè)、海航物流等七大業(yè)務板塊。北京營運基地作為海航集團在海南基地之外最重要的營運節(jié)點，不僅作為海航的網(wǎng)絡核心之一，與�？诨�地一起形成一個全國性航空IT網(wǎng)絡，同時還承載著集團的主要業(yè)務系統(tǒng)，擔負著海航一半以上的國內(nèi)航線和國際航線的IT運維工作，其作用不可忽視。

　　用戶需求

　　為了保證海航北京營運基地信息系統(tǒng)的正常運行，海航集團啟動了基地IT系統(tǒng)的終端安全建設，建立全方位的安全性保護能力，以防止外部入侵、黑客攻擊、病毒和網(wǎng)絡嗅探，在局域網(wǎng)環(huán)境中保證客戶的隔離，防止外部人員的非法侵入以及操作人員的越級操作，保護網(wǎng)絡使用者的合法利益。從2008年開始，海航經(jīng)過長達一年的多次交流考察和產(chǎn)品測試后，最終選擇H3C作為終端安全解決方案的供應商。

　　海航集團北京營運基地目前的網(wǎng)絡狀況以數(shù)據(jù)中心為重點，主要業(yè)務系統(tǒng)和機房位于服務中心樓內(nèi)，通過廣域網(wǎng)與�？谥行暮图瘓F分支機構進行互聯(lián)。基地園區(qū)根據(jù)日常業(yè)務、辦公、生活設置的分部和職能部門，分化成多個功能區(qū)域。在不同功能區(qū)域間，來往人員比較復雜，臨時出差用戶、外來訪客等人員眾多，因此海航對防止非法接入功能的實現(xiàn)需求較高。同時海航的用戶數(shù)眾多，可以訪問的資源并不一致，需要實現(xiàn)靈活的用戶權限控制。使用nternet的用戶也存在濫用網(wǎng)絡的行為。此外，為滿足移動辦公的需要，在辦公大樓內(nèi)部、停機坪等區(qū)域部署WLAN進行無線覆蓋。海航現(xiàn)有網(wǎng)絡結構如下：

　　基地核心：以服務中心樓為主體，高性能核心交換機組成10G 核心，保證性能和高可靠，為整個網(wǎng)絡系統(tǒng)的管理維護提供支撐；

　　基地接入層：采用樓道交換機和匯聚交換機兩層結構，部署3臺24口交換機、38臺48口交換機，具有終端接入控制、ARP防攻擊等特性，同時具有高密度千兆線速端口和萬兆上行接口，消除網(wǎng)絡性能瓶頸；

　　無線接入層：部署3臺無線控制器AC和120臺雙頻FitAP，作為無線業(yè)務的終結點，可以為用戶提供認證、安全和帶寬控制等服務。

　　海南航空北京營運基地為了能夠系統(tǒng)地解決目前網(wǎng)絡安全、優(yōu)化、運營中存在的問題，避免傳統(tǒng)網(wǎng)絡事前無認證、事中無控制、事后無審計的三無現(xiàn)象，針對海南航空的網(wǎng)絡現(xiàn)狀和終端管理情為了保證海航北京營運基地信息系統(tǒng)的正常運行，海航集團啟動了基地IT系統(tǒng)的終端安全建設，建立全方位的安全性保護能力，以防止外部入侵、黑客攻擊、病毒和網(wǎng)絡嗅探，在局域網(wǎng)環(huán)境中保證客戶的隔離，防止外部人員的非法侵入以及操作人員的越級操作，保護網(wǎng)絡使用者的合法利益。從2008年開始，海航經(jīng)過長達一年的多次交流考察和產(chǎn)品測試后，最終選擇H3C作為終端安全解決方案的供應商。

　　海航集團北京營運基地目前的網(wǎng)絡狀況以數(shù)據(jù)中心為重點，主要業(yè)務系統(tǒng)和機房位于服務中心樓內(nèi)，通過廣域網(wǎng)與海口中心和集團分支機構進行互聯(lián)�；�地園區(qū)根據(jù)日常業(yè)務、辦公、生活設置的分部和職能部門，分化成多個功能區(qū)域。在不同功能區(qū)域間，來往人員比較復雜，臨時出差用戶、外來訪客等人員眾多，因此海航對防止非法接入功能的實現(xiàn)需求較高。同時海航的用戶數(shù)眾多，可以訪問的資源并不一致，需要實現(xiàn)靈活的用戶權限控制。使用Internet的用戶也存在濫用網(wǎng)絡的行為。

　　此外，為滿足移動辦公的需要，在辦公大樓內(nèi)部、停機坪等區(qū)域部署WLAN進行無線覆蓋。海航現(xiàn)有網(wǎng)絡結構如下：

　　基地核心：以服務中心樓為主體，高性能核心交換機組成10G 核心，保證性能和高可靠，為整個網(wǎng)絡系統(tǒng)的管理維護提供支撐；

　　基地接入層：采用樓道交換機和匯聚交換機兩層結構，部署3臺24口交換機、38臺48口交換機，具有終端接入控制、ARP防攻擊等特性，同時具有高密度千兆線速端口和萬兆上行接口，消除網(wǎng)絡性能瓶頸；

　　無線接入層：部署3臺無線控制器AC和120臺雙頻Fit AP，作為無線業(yè)務的終結點，可以為用戶提供認證、安全和帶寬控制等服務。

　　海航集團北京營運基地

　　為了能夠系統(tǒng)地解決目前網(wǎng)絡安全、優(yōu)化、運營中存在的問題，避免傳統(tǒng)網(wǎng)絡事前無認證、事中無控制、事后無審計的三無現(xiàn)象，針對海南航空的網(wǎng)絡現(xiàn)狀和終端管理情況，H3C采用了iMC EAD終端準入控制解決方案，提出了解決措施，其網(wǎng)絡拓撲示意圖所示：

　　首先，在園區(qū)網(wǎng)接入層交換機上啟用802.1X認證，直接在接入層與EAD解決方案配合，終端接入必須經(jīng)過身份認證，并根據(jù)用戶身份動態(tài)授權，保證終端無毒、用戶合法、行為可控。

　　其次，在EAD服務器上根據(jù)用戶的身份信息劃分權限，在認證通過后向二層交換機作動態(tài)的VLAN ID下發(fā)配置，保證不同的用戶具有不同的資源訪問權限。

　　最后，在無線控制器AC上啟用Portal EAD認證方式，配合EAD系統(tǒng)，完成對用戶的有線無線一體化管理，實現(xiàn)接入認證和安全策略的下發(fā)。詳細應用如下：

• 網(wǎng)絡設備管理與用戶安全管理的的融合

　　不僅實現(xiàn)了對網(wǎng)絡、無線、安全等整網(wǎng)設備的統(tǒng)一管理，還實現(xiàn)了對用戶安全的統(tǒng)一管理。同時，可以將用戶的身份信息與網(wǎng)絡拓撲信息結合，不僅可以追查到端口，二期可以追查到具體的用戶帳號。

• 有線無線一體化安全接入

　　用戶使用同一個客戶端、同一個帳號，同時在有線網(wǎng)絡和無線網(wǎng)絡進行接入認證，可在享受無線網(wǎng)絡靈活漫游的同時，保證無線用戶和有線用戶的接入安全。

• 用戶接入的有序、靈活、可控

　　H3C EAD解決方案保證了用戶終端的安全，有效阻止威脅入侵網(wǎng)絡，并可根據(jù)用戶的身份動態(tài)劃分權限，對用戶的網(wǎng)絡訪問行為進行有效的控制，保證了網(wǎng)絡的安全運行。