客户需求:近几年,中国移动数据业务发展迅速,系统数量急剧增加,规模不断扩大,导致网络互联架构日益复杂,安全威胁不断升级。为从整体上提高数据业务系统的安全防护能力,2010年初,中国移动集团下发了《中国移动数据业务系统集中化安全防护技术要求》,山西移动率先响应集团要求,对数据业务系统进行安全改造和加固。
案例看点:建立新一代私有云数据中心,充分考虑运营商自有系统数据中心的严格安全域划分和多层面安全加固防护。
背景信息
山西移动数据业务网承载山西移动大量自营数据业务,如:短信,彩铃,WAP等。由于部署其中的网络安全设备是众多核心业务系统稳定运行的基础承载保证,直接关系到山西移动的用户体验和业务收入,因此在选择解决方案上尤为慎重。山西移动原有数据业务系统没有设置核心交换区,每个业务系统都有单独的出口到互联网、网管系统和计费系统,网络复杂;没有设置互联网接口区对从互联网进来的流量进行攻击保护,整体系统存在网络安全隐患;各业务系统单独建设防火墙,重复投资。基于以上原因,山西移动在充分了解业界各厂商方案后,锁定H3C提供的新一代数据中心解决方案。
方案特色
山西移动数据业务网的建设设计方案完全按照私有云数据中心的思路建设:
• 在设计方案上,较传统单一零散的数据业务同来说,更关注整体网络的统一。将多个系统统一整合,建立数据中心的架构,既方便统一管理,也方便资源调整,改变长期以来的条带化分割系统的做法,使整体网络架构更为高效。
• 逻辑分区的网络设计结构清晰,有利于安全域的划分,同时还保证了网络的可扩展性。
• 高可用性、可靠性:采用数据中心级交换机构建核心交换区,主控板与交换网板物理分离,可靠性高;严格无阻塞的交换能力及分布式200ms缓存保证数据转发不丢包,业务不中断。
• 安全与网络的融合及高性能安全产品:网络与安全融合,简化网络与管理,并可使安全加固能力平滑扩展。互联网接口区采用超万兆的防火墙,出口带宽得到保证。
• 采用IRF 2.0虚拟化技术,使网络结构变得简单,管理方便。
• SecCenter安全管理中心,实现对全网安全设备的集中统一管理。
用户价值
该项目采用了多台数据中心级核心交换机S12500、超万兆防火墙F5000等高端设备,将整体性提升山西移动数据业务系统的防护水平,为核心业务系统提供基础承载保证,同时,该项目的率先实施也为近期中国移动正在全面开展移动数据业务系统安全防护提升工作树立了楷模。
