引言:
中國移動通信集團公司政企客戶分公司(簡稱政企分公司),前身為中國移動總部集團客戶部,成立于2012年8月,是中國移動通信集團公司下屬經(jīng)營集團客戶市場的專業(yè)化分公司。
集團客戶市場是當(dāng)今全球信息通信行業(yè)發(fā)展的重要藍海。截至2014年1月,中國移動集團客戶數(shù)已超過320萬家,覆蓋了全國逾40%的法人和產(chǎn)業(yè)活動單位,集團成員達2.3億戶,集團客戶的整體收入已超過中國移動整體收入的40%。開展集團客戶市場的專業(yè)化運營,已經(jīng)成為推動我國信息化事業(yè)持續(xù)健康發(fā)展的必然趨勢。
按照中國移動的整體戰(zhàn)略部署,政企分公司主要提供面向政府、大型企業(yè)等重要集團客戶的銷售和端到端服務(wù);負(fù)責(zé)面向全國的集團客戶產(chǎn)品整合和產(chǎn)品推廣;統(tǒng)籌各方資源,組織協(xié)調(diào)跨省跨國業(yè)務(wù)的支撐和調(diào)度。
政企分公司將依托于中國移動在網(wǎng)絡(luò)、客戶、渠道、業(yè)務(wù)和產(chǎn)業(yè)鏈等方面的整體優(yōu)勢,緊密圍繞“移動改變生活”的發(fā)展愿景,持續(xù)地提升面向各行各業(yè)的信息服務(wù)份額,做質(zhì)量更好、服務(wù)更優(yōu)、創(chuàng)新更強、價值更高、管理更有效的運營商和現(xiàn)代服務(wù)企業(yè)。
一、 項目概況
1. 項目背景
隨著近幾年工業(yè)互聯(lián)網(wǎng)的發(fā)展,傳統(tǒng)的工業(yè)網(wǎng)絡(luò)正在向扁平化、IP化演進,越來越多的工廠內(nèi)設(shè)備接入工業(yè)專網(wǎng),并通過互聯(lián)網(wǎng)進行跨區(qū)域數(shù)據(jù)傳輸。同時企業(yè)上云已經(jīng)成為共識,通過結(jié)合公有云與私有云,打造企業(yè)混合云成為未來一段時間內(nèi)的大趨勢。因此工業(yè)企業(yè)各機構(gòu)、廠區(qū)以及云數(shù)據(jù)中心間面臨不同于以往的網(wǎng)絡(luò)互聯(lián)和網(wǎng)絡(luò)安全挑戰(zhàn)。傳統(tǒng)的網(wǎng)絡(luò)設(shè)備和網(wǎng)管系統(tǒng)使用復(fù)雜、技術(shù)要求高,不能滿足工業(yè)企業(yè)對網(wǎng)絡(luò)的便捷有效管理需求。同時為保證網(wǎng)絡(luò)安全,需要在網(wǎng)關(guān)處堆疊多種不同類型的安全設(shè)備,不但組網(wǎng)復(fù)雜,管理維護難度大,也自然造成設(shè)備采購和運維成本高。工業(yè)企業(yè)亟需一套成本較低且易于管理的云、網(wǎng)及安全一體化解決方案。
2. 項目簡介
本項目將中國移動的SD-WAN產(chǎn)品用于某發(fā)動機制造企業(yè)的工廠外網(wǎng)絡(luò)建設(shè)中,利用SDN與NFV技術(shù),通過位于云端的集中管理平臺解決運維管理難題,通過多功能一體化的安全網(wǎng)關(guān)降低設(shè)備采購成本。該發(fā)動機制造企業(yè)所面臨的具體問題如下:
1、 企業(yè)總部廠區(qū)目前在進行智慧工廠改造,廠區(qū)內(nèi)生產(chǎn)設(shè)備逐步聯(lián)入企業(yè)內(nèi)網(wǎng)并將數(shù)據(jù)上傳至MES系統(tǒng),一些敏感設(shè)備數(shù)據(jù)存在跨區(qū)域傳輸需要。企業(yè)現(xiàn)有的跨區(qū)域傳輸手段是租用運營商的傳輸專線,因此沒有建設(shè)接入互聯(lián)網(wǎng)所必須的防火墻、入侵保護等安全防護措施,難以實現(xiàn)工廠內(nèi)網(wǎng)與工廠外網(wǎng)的隔離,也就無法保證生產(chǎn)運營數(shù)據(jù)的安全存儲和防止關(guān)鍵數(shù)據(jù)外泄。目前企業(yè)需要運用上述的安全措施在總部廠區(qū),工程研究院和歐洲研發(fā)中心之間組建跨區(qū)域的工廠外網(wǎng)專網(wǎng)。
2、 企業(yè)在智慧工廠改造過程中,組建企業(yè)內(nèi)部私有云平臺,將關(guān)鍵生產(chǎn)系統(tǒng)部署于私有云上,同時部分企業(yè)應(yīng)用部署于公有云,但企業(yè)缺乏組建安全的混合云網(wǎng)絡(luò)的手段。
3、 企業(yè)管理人員缺乏統(tǒng)一的管理平臺對網(wǎng)絡(luò)和節(jié)點進行集中管控,無法及時對網(wǎng)絡(luò)異常狀態(tài)進行有效處理,無法對設(shè)備進行遠(yuǎn)程管理維護。
3. 項目目標(biāo)
本項目即著眼于通過一套SD-WAN方案,解決上述該發(fā)動機制造企業(yè)所面臨的網(wǎng)絡(luò)和安全問題。
二、項目實施概況
1. 項目總體架構(gòu)
該發(fā)動機制造企業(yè)通過部署基于SDN/NFV技術(shù)的SD-WAN網(wǎng)絡(luò)實現(xiàn)工廠外網(wǎng)專網(wǎng)的組建,并保證專網(wǎng)安全。SD-WAN網(wǎng)絡(luò)由集中管理平臺與安全網(wǎng)關(guān)組成,集中管理平臺在中國移動的公有云端進行部署,可對整個網(wǎng)絡(luò)進行統(tǒng)一管理;安全網(wǎng)關(guān)部署于企業(yè)內(nèi)部,通過虛擬化的方式靈活承載網(wǎng)絡(luò)功能,來提供企業(yè)工業(yè)專網(wǎng)所需的各種網(wǎng)絡(luò)安全特性,同時安全網(wǎng)關(guān)支持通過TD-LTE網(wǎng)絡(luò)進行數(shù)據(jù)傳輸。
該企業(yè)的SD-WAN工業(yè)專網(wǎng)解決方案如下圖所示:
圖1 某發(fā)動機企業(yè)SD-WAN工業(yè)專網(wǎng)組網(wǎng)示意圖
2. 項目主要內(nèi)容
(1)網(wǎng)絡(luò)互聯(lián)
在該企業(yè)總部廠區(qū)與工程研究院之間各部署一臺安全網(wǎng)關(guān),通過安全網(wǎng)關(guān)在兩點間部署主備兩條數(shù)據(jù)鏈路進行數(shù)據(jù)傳輸,主用鏈路為一條點對點數(shù)據(jù)專線,該鏈路為企業(yè)專用,與Internet物理隔離。備用鏈路為使用安全網(wǎng)關(guān)建立的一條加密的IPSec VPN隧道,通過TD-LTE無線網(wǎng)絡(luò)進行數(shù)據(jù)傳輸。基于IPSec的加密功能,可以保證數(shù)據(jù)的端到端安全傳輸。安全網(wǎng)關(guān)支持TD-LTE通信功能,在不額外增加物理鏈路的情況下,快速完成備用鏈路的部署。在主鏈路故障時,業(yè)務(wù)會自動切換至TD-LTE鏈路。
在該企業(yè)的歐洲研發(fā)中心中部署安全網(wǎng)關(guān),并與總部廠區(qū)基于Internet建立加密的跨國IPSec VPN隧道,在原有互聯(lián)網(wǎng)數(shù)據(jù)傳輸基礎(chǔ)上保證數(shù)據(jù)的傳輸安全。
(2)網(wǎng)絡(luò)安全
安全網(wǎng)關(guān)采用通用硬件架構(gòu),以虛擬化的方式構(gòu)建網(wǎng)絡(luò)功能。該企業(yè)通過安全網(wǎng)關(guān)的狀態(tài)化防火墻功能,根據(jù)流量上下文對流量進行管理和控制,并對防火墻安全區(qū)域和安全等級進行劃分。
安全網(wǎng)關(guān)支持L3~L4的防攻擊功能,防DoS/DDoS攻擊功能,支持防端口掃描功能,防止其它設(shè)備或者應(yīng)用的惡意端口掃描。安全網(wǎng)關(guān)能實現(xiàn)主動入侵防御功能,通過本功能,防火墻可以識別并阻止L7的異常流量和攻擊,提高網(wǎng)絡(luò)可靠性。
安全網(wǎng)關(guān)支持防病毒功能,可以檢測壓縮包內(nèi)的文件,并提供病毒阻斷功能,防止帶毒文件被下載到本地。支持對HTTP、POP3、SMTP、IMAP和FTP協(xié)議報文中的木馬、病毒、廣告程序、蠕蟲和其他惡意程序的檢測和阻擋;支持對ZIP或者RAR數(shù)據(jù)包的內(nèi)容掃描功能,可以智能跳過指定大小的壓縮包或者帶密碼的壓縮包;檢測到病毒之后,發(fā)送告警信息至平臺。
安全網(wǎng)關(guān)通過DPI檢測流量類型,對生產(chǎn)辦公類數(shù)據(jù)精細(xì)化管理,并優(yōu)先保障關(guān)鍵流量的傳輸。
(3)混合云安全組網(wǎng)
在該企業(yè)的公有云和私有云的虛擬機上分別云化部署安全網(wǎng)關(guān),并通過網(wǎng)關(guān)支持的VxLAN功能,打通公有云和私有云間的大二層網(wǎng)絡(luò),同時使用網(wǎng)關(guān)的安全功能保證混合云網(wǎng)絡(luò)安全。
(4)網(wǎng)絡(luò)管理
該企業(yè)網(wǎng)關(guān)人員通過集中管理平臺對全網(wǎng)設(shè)備、網(wǎng)絡(luò)功能、業(yè)務(wù)流量和安全態(tài)勢進行統(tǒng)一管理,可視化管理方式使網(wǎng)絡(luò)管理便捷高效。
三、下一步實施計劃
下一步計劃在該企業(yè)擴展SD-WAN的部署規(guī)模,使工業(yè)專網(wǎng)逐步覆蓋企業(yè)所有廠區(qū)、辦公區(qū)、服務(wù)網(wǎng)點等分支機構(gòu)。
四、項目創(chuàng)新點和實施效果
1. 項目先進性及創(chuàng)新點
技術(shù)創(chuàng)新點:
(1)本項目中使用了基于SDN和NFV技術(shù)的SD-WAN安全網(wǎng)關(guān),網(wǎng)關(guān)集網(wǎng)絡(luò)與安全功能于一體,大大降低了企業(yè)組建安全的工業(yè)專網(wǎng)所需的網(wǎng)元數(shù)量,簡化了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),并降低硬件采購成本。
(2)通過部署于中國移動公有云端的集中管理平臺對企業(yè)工業(yè)專網(wǎng)進行統(tǒng)一管理,一套平臺即可實現(xiàn)對網(wǎng)絡(luò)狀態(tài)和安全態(tài)勢的實時監(jiān)控,并為企業(yè)節(jié)省了部署網(wǎng)管服務(wù)器的投資,同時可視化的操作方式大大降低了對網(wǎng)管人員的技術(shù)要求。
(3)通過云化部署網(wǎng)關(guān)軟件,非常便捷的打通了企業(yè)云、網(wǎng)連接,同時利用網(wǎng)關(guān)的安全功能充分保障云安全。
商業(yè)模式創(chuàng)新點:
(1)融合網(wǎng)絡(luò)與安全的一體化解決方案。
(2)以服務(wù)的形式向客戶提供安全可靠的工廠外網(wǎng)絡(luò),客戶通過月租費的形式支付費用,降低一次性投資。
可復(fù)制推廣性:
本項目可面向工業(yè)行業(yè)內(nèi)的所有企業(yè),在工廠外網(wǎng)絡(luò)的聯(lián)網(wǎng)和安全領(lǐng)域進行復(fù)制推廣。
2. 實施效果
本項目實施后完全達到了預(yù)期目標(biāo),解決了前述該發(fā)動機制造企業(yè)面臨的三個主要網(wǎng)絡(luò)和安全痛點。根據(jù)測算,本項目共幫助企業(yè)減少了50%的網(wǎng)絡(luò)和安全設(shè)備投資,降低了70%的運維成本。