客户名称：深圳民航凯亚有限公司

所属行业：民航通信设备

客户介绍：

深圳民航凯亚有限公司(简称深圳凯亚)成立于1995年4月，是由中国民航信息网络股份有限公司控股，深航、深圳机场、南航、国航、海航、川航共同投资入股组成的民航信息技术服务性公司。 深圳凯亚是中国民航信息网络股份有限公司(简称中国航信)的控股子公司。2000年10月，中国航信由中国民航计算机信息中心联合当时所有国内航空公司发起成立，2001年2月在香港联交所主板挂牌上市交易。2008年7月，中国民航信息集团公司以中国民航信息网络股份有限公司为主体，完成主营业务和资产重组并在香港成功整体上市。
 
深圳凯亚主要为深圳及其周边地区的航空公司、机场、航空销售代理人提供民航网络技术服务，承担本地区民航网络、民航订座和离港等系统的设计、建设、开发和维护工作。作为民航实时订票系统和机场实时旅客处理系统的运营保障机构，深圳凯亚是区域内唯一拥有系统核心技术的单位。
现状分析：

主要挑战：

当前深圳民航凯亚有限公司负责管理和运维区域内关于航空运营方面的网络服务系统，保障信息安全是非常重要的一项工作。在深圳宝安机场新机房建设中，机房内网网络需要面对来自联通和电信的外部网络连接，所以，在网络建设方面，深圳民航凯亚选择设立DMZ区域，用以保护机房内部网络安全。
DMZ区域作为连接内网与外网缓冲的特殊区域，在实际的运用中，某些主机需要对外提供服务，为了更好地提供服务，同时又要有效地保护内部网络的安全，将这些需要对外开放的主机与内部的众多网络设备分隔开来，DMZ可以为主机环境提供网络级的保护，能减少为不信任客户提供服务而引发的危险，是放置公共信息的最佳位置。通过配置DMZ，可以将需要保护的Web应用程序服务器和数据库系统放在内网中，把没有包含敏感数据、担当代理数据访问职责的主机放置于DMZ中，这样就为应用系统安全提供了保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻击者即使初步入侵成功，还要面临DMZ设置的新的障碍。
如果DMZ区域的服务器安装传统基于硬件直接部署操作系统的方式建设，当服务器系统遭到外部攻击后瘫痪后，恢复过程会非常漫长，影响外部客户的访问；同时，基于硬件的单独应用部署，也严重浪费的服务器计算资源。

客户需求：

随着深圳及其周边民航事业的快速发展，深圳民航凯亚所承担的任务越来越重，数据中心的安全工作更是重中之重，在面对复杂的外部网络面前，数据中心的DMZ区域的稳定性及故障后的快速恢复显得尤为重要。由此，客户对DMZ区域建设提出了更高的要求：
（1）满足7*24小时不间断运行，充分保证DMZ区域内所有系统的高可用性；
（2）合理高效的有限的硬件资源内，提高服务器资源利用率，承载更多应用；
（3）系统需要连接不同网络，做到网络安全隔离；
（4）集中统一的管理架构，统一监控，提高需求响应速度，提升IT管理服务能力；

解决方案：

经过多方考察与建议，深圳民航凯亚最终决定在DMZ区域使用VMware的虚拟化技术，利用VMware vSphere软件对DMZ区域的物理服务器进行虚拟化，使用标准虚拟交换将物理服务器网口进行不同网络间的隔离，使用HDS共享存储承载DMZ区域虚拟机的Image。
虚拟化层：使用VMware vSphere虚拟化软件，对DMZ区域的x86物理服务器进行虚拟化，组成一个资源池群集；
网络方面：在ESXi主机上分别创建管理标准交换机，内网标准交换机，电信网络标准交换机，联通网络标准交换机；并且物理服务器的上联交换机端口设置成Trunk模式，不同网络利用VLAN做隔离；
存储方面：利用FC SAN技术连接HDS共享存储，使用ESXi默认的存储路径管理模式。
 
具体方案架构图如下所示：