天津港集装箱公司网络系统的整合

天津港集装箱公司网络系统的整合

李彬

天津港集装箱码头有限公司 天津市 300456

天津港集装箱码头有限公司（新），英文简称TCT，成立于2019年9月3日，由天津港集装箱公司、天津东方海陆集装箱码头有限公司、天津五洲国际集装箱有限公司合并而成，是天津港旗下体量最大、设备最先进、功能最齐全的集装箱码头。

公司占地面积175万平方米，其中堆场面积105.5万平方米，拥有集装箱专用泊位13个，岸线长度3543米，前沿设计水深-12米至-17米，年设计吞吐能力600万TEU，能够接卸目前全球最大等级的集装箱船舶。公司配置集装箱装卸桥36台，场桥和轨道桥86台，是全球首个在传统人工码头上，通过智能技术改造实现自动化的集装箱码头企业。天津港集装箱码头有限公司承担码头集装箱船舶装卸生产作业、集港、分流、铁路集装箱集散运输、危险品集装箱和冷藏集装箱的集散运输等业务，船舶装卸业务作为我公司的核心业务。

目前天津港集装箱码头有限公司网络整合完成后存在以下问题：

1. 目前天津港集装箱码头有限公司通过增加核心路由方式将原有三家码头网络通过路由方式进行整合，整合完成后所有访问OA网络及互联网络的流量均通过东区互联网出口转发，所有访问生产网络的流量均通过北区网络转发，生产网和办公网流量均运行于同一网络中，存在安全隐患。

2. 网络整合完成后网络架构不清晰，所有网络设备均通过千兆链路进行互联，并且所有业务流量的互访均需要通过核心路由，核心路由的性能和稳定性变得尤为重要。

3. 网络整合完成后东区互联网出口带宽由原有100M扩容为500M。

综上所述，目前天津港集装箱码头有限公司设备存在着设备老化、带宽瓶颈以及安全等问题，因此，如何保证集装箱公司对外信息业务稳定、高效、安全是天津港集装箱码头有限公司必须要考虑的问题.

天津港集装箱码头有限公司（新）成立后，整体办公人员为1000多人。互联网出口链路由原有3条独立出口链路整合为统一出口链路，并将该出口链路带宽扩容为500M。原有互联网出口设备均按照出口带宽为200M~300M进行规划设计，已经无法满足互联网出口500M带宽的需求，所以本次需要新增加1套互联网出口设备以满足办公网对互联网出口设备性能的要求。

本次新增加2台能够承载1000M出口性能的上网行为管理设备用于替换原有上网行为管理设备，2台上网行为管理设备配置为HA架构以保证互联网出口网络的冗余性及可靠性；新增2台出口防火墙并配置AV及IPS模块替换原有互联网出口防火墙及防毒墙设备，2台防火墙配置为HA架构并集成AV及IPS模块，既减少了互联网出口的单点故障又保证了互联网出口的安全性；本次在互联网出口增加2台出口交换机以满足多条出口链路连接的要求。本次新增2台框式交换机作为整体办公网核心交换机并配置万兆接口业务板卡，实现整体办公网千兆到桌面、万兆互连的需求。利旧现有2台S7706交换机作为西区汇聚交换机，通过万兆链路上连至办公网核心交换机；东区原有核心交换机为1台思科4507R，不支持万兆网络，所以本次新增2台汇聚交换机并配置为集群架构，通过万兆链路上联至办公网核心交换机；利旧北区2台办公网核心交换机并增加相应的万兆业务板卡，通过万兆链路上联至办公网核心交换机。

三家码头未整合前仅有西区网络生产网和办公网进行了隔离，东区和北区生产网和办公网运行于同一网络中，新公司成立后，生产网也随后完成了整合，为了保证生产网的安全性，本次网络设计为新建一套生产网络并将办公网和生产网进行隔离。本次新增2台框式交换机并配置为集群架构作为生产网核心交换机，并新增2台生产网防火墙用于对接Navis生产网络，保证生产网边界的安全性。

利旧北区2台出口防火墙并部署于生产网和办公网边界，保证生产网和办公网边界的安全性。新增2台海关及安防网防火墙并部署于海关及安防网出口，保证到海关及集团视频网络的安全性。利旧现有2台（现已部署在视频网和办公网之间）防火墙并部署于办公网和视频网边界，保证视频网和办公网边界的安全性。

本次VPN设备、日志审计、数据库审计、堡垒机、漏洞扫描、自动化轨道桥网络设备及东突堤网络设备均采用利旧设备。

最终核心网建设项目完成后可实现如下目标

1. 实现集装箱公司网络统一及规范化

通过天津港集装箱码头有限公司核心网建设项目，进一步加大统筹整合力度，实现了公司网络分散到整体统一的转变，实现了东区、西区及北区网络IP地址段统一。通过重新规划各业务地址段并进行分配，规范了IP地址段的划分并简化了公司整体网络的运维及故障分析。最终通过本次项目实现了办公网、生产网、管理网及视频网网络的规范化及网络的统一。

2. 实现办公网、生产网、管理网及视频网的安全隔离

通过天津港集装箱码头有限公司核心网建设项目，完成了办公网、生产网、管理网及视频网网络的建设，通过在办公网、生产网、管理网及视频网各网络边界部署防火墙并配置相应的安全策略控制彼此网络的互访，保证了各自网络运行的安全性，最终实现了各自网络的安全隔离及运行的连续性。

3. 提升公司整体网络性能及带宽

通过天津港集装箱码头有限公司核心网建设项目，最终实现了用户千兆到桌面、万兆互连的需求，满足用户办公人员日益增长及业务系统日益增加对设备性能及链路带宽的需求，满足了至少未来5年对天津港集装箱码头有限公司对网络带宽及性能的要求。

4. 提高公司整体网络系统的安全性。

通过天津港集装箱码头有限公司核心网建设项目，实现了网络的区域划分，最终将区域划分为办公网、生产网、视频网及管理网，各区域边界均通过安全设备进行防护，保证网络中各业务系统运行的可靠、安全及稳定性。

5. 提高公司业务系统可靠性及统一性。

通过天津港集装箱码头有限公司核心网建设项目，所有核心节点均配置为冗余链路及冗余设备，通过利用网络集群及高可用性功能实现网络故障的自动主备切换，确保了网络的高可用性、冗余性，实现了网络安全稳定的运行，最终实现业务系统运行的安全性、可靠性及连续性。