1.1 T3地面运行网(T3 GOIS)

1.1.1 拓扑图

1.1.2 功能定位及描述

T3地面运行网在T3建设时期开始建设,并在2008年正式投入使用。
T3地面运行网为T3内所有生产运行相关系统提供网络接入,T3地面网中包含T3泊位子网、T3广播子网和T3照明子网。
T3地面运行网采用三层网络架构设计,分为核心层、汇聚层和接入层。核心层共4台(2组)H3C S9512交换机,配置为单主控板,安放在T3C PCR001/T3E PCR050两个核心机房,之间为万兆非全互连方式连接。汇聚层共18台(9组)H3C S9505交换机,配置为单主控板,安放在T3C/T3D/T3E/GTC/ITC等9个汇聚机房内,每台汇聚层与核心层设备间为4条千兆链路捆绑,汇聚层与核心层之间为全互连结构。同一汇聚层设备间为4条千兆链路捆绑方式互联。ITC汇聚层同时作为T3地面运行网主要服务器的服务器接入区,T3地面运行网内的所有服务器都部署在ITC IDF4-3和IDF4-1机房。接入层为H3C S3600系列交换机,采用千兆双上联的方式接入到两台汇聚层设备上,并启用MSTP以避免二层环路。在部分值机岛、行李转盘和廊桥,级联了H3C S3100系列交换机连接航显终端和客桥终端。
T3地面运行网最初的结构如上图1所示,T3C/GTC/ITC的汇聚仅连接到T3C的核心上,T3D/T3E的汇聚仅连接到T3E的核心上。考虑到网络冗余上存在一定的问题,特别是ITC作为服务器接入区在网络连接上的风险,所以在原有网络架构基础上增加了部分跨核心的冗余链路,以避免因核心设备故障导致业务系统不可用。新增冗余链路为单条千兆链路。如上图2所示。
T3地面运行网与骨干网之间部署了一对防火墙FortiGate 1000A,用于控制T3地面运行网与其他业务网络间的数据流量。除此以外,在防火墙外侧(靠近骨干网一侧)有两组外围接口区,分别各有一对防火墙FortiGate 1000A进行访问控制:一组是ATC(空管局)的接口,一组是连接中航信、检验检疫、L3大件行李、南航等外围单位的接口。在与骨干网互联的防火墙上划分有独立的DMZ区,用于接入服务器的监控管理、防病毒、时钟服务器等。另外为了保护T3地面运行网服务器区与其他业务网络间的通讯安全,在ITC汇聚层9505和DMZ之间进行了网络直连,使服务器区对外看来为DMZ区的一部分,当服务器区内的服务器与外围接口、其他业务网络内的资源进行的相互数据通讯时,所有流量均通过DMZ区。和如上图3。
T3地面运行网与T2地面运行网、T2航显网、T3离港网、T3行李网、T3安防网、园区网的服务器区和测试环境间都存在数据交互。

1.1.3 承载业务

应用系统 系统所属单位 管理方
AODB/CIIMS(地面信息系统) 机场 信息部
ASUP(数据发布平台) 机场 信息部
数据中心系统 机场 信息部
IAS/GIIS(地面信息查询系统) 机场 信息部
RMS(资源分配系统) 机场 信息部
FIDS(航显系统) 机场 信息部
BMIS(客桥系统) 机场 信息部
SMIS(安检系统) 机场 信息部
VDGS(泊位系统) 机场 信息部
PAS(广播系统) 机场 信息部
CallCenter(呼叫中心) 机场 信息部
西区新航显系统 机场 信息部
PMP(电力监控) 机场
EIB(照明系统) 机场
DT(电梯) 机场
FAS(消防) 机场
IBMS(楼宇监控系统) 机场
CPMS(停车楼管理系统) 机场
BAS(停车楼楼宇控制) 机场

1.1.4 IP地址规划

T3地面运行网使用的IP地址范围:10.66.0.0/16。
另外,在T3地面运行网中使用了部分10.90.0.0/18的地址,作为数据中心网络系统预留的IP地址范围。
T3地面运行网的所有服务器及终端均使用静态IP地址分配方式。

1.1.5 VLAN规划

T3地面运行网VLAN是在汇聚层以业务分类方式进行划分的。每个VLAN的IP地址范围为1个C类地址。T3地面运行网中没有启用任何VLAN动态注册协议,在设备互连端口上启用了Trunk转发允许控制。

1.1.6 路由规划

T3地面运行网内使用OSPF动态路由协议,区域ID为0。部分链路调整了链路Cost值,以优化路由选择。在防火墙及防火墙两侧采用静态路由协议,并重分发至OSPF中。另外对ITC汇聚设备和骨干防火墙上使用了静态路由进行路由控制,使T3地面运行网服务器区与其他业务网络间的数据通讯必须经过防火墙的DMZ区。

1.1.7 QoS策略

T3地面运行网中启用了QoS策略,针对不同类型的业务分配不同的QoS等级,以保证重要业务具有较高的QoS优先级。

1.1.8 外围接口

外围接口 描述
ATC(空管局) AODB从ATC接收航班计划和航班动态,并将机场的资源信息发送给ATC。目前从T3C和T3E分别有一条链路连接到ATC,以保证链路冗余。
ATC CDM 机场ACDM系统与ATC CDM系统间的数据交互,TAMCC使用的空管局流控终端。单链路连接。
中航信 安检系统从中航信接收旅客值机和旅客订座信息。单链路连接。
检验检疫 与ASUP通讯,检验检疫获取航班计划和航班动态。单链路连接。
L3 与SMIS通讯,L3获取旅客托运行李信息,并发送托运行李安检图片及安检结果。单链路连接。
公安(至民航总局) 与SMIS通讯,民航总局获取旅客信息、旅客安检信息、托运行李信息、托运行李安检结果,安检验证头像照片及随身行李X光机图片。对端设备为网闸。单链路连接。
北京交通委 与ASUP通讯,北京交通委获取航班计划和航班动态,并发送机场快轨时刻。单链路连接。
边检 与ASUP通讯,边检获取航班计划和航班动态。对端设备为双网卡服务器。单链路连接。
南航 与ASUP通讯,南航北京分公司获取航班计划和航班动态及资源数据,并发送南航保障数据。单链路连接。
东航 与ASUP通讯,东航获取航班资源数据,并发送航班计划和航班动态,及保障数据。连接到T2地面网的东航网络接口。单链路连接。
海航 与ASUP通讯,海航获取航班资源数据,并发送航班计划和航班动态,及保障数据。连接到T1海航网络。单链路连接。
SITA报文 与报文系统通讯,报文系统接收飞机起飞报,旅客人数报,航班负载报,货邮报等信息。通过SITA专线链路,单链路连接。
华北管理局 与ACDM通讯,华北管理局获取航班计划及动态,并发送航班时刻数据。单链路连接。
民航数通(ADCC) 与ACDM系统通讯,民航总局获取航班计划及动态数据,并发送航班流量数据。TAMCC使用的民航总局运管中心流量查询终端。单链路连接。
动力能源 动力能源采集服务器访问T1、T2和T3楼内的能源监控系统。
T2行李系统 与新TODB通讯,向行李系统发送航班计划及动态,并接收行李分拣口分配信息。对端设备为交换机。单链路连接。
厦航 与ASUP通讯,厦航获取航班计划和航班动态及资源数据,并发送厦航保障数据。单链路连接。
深航 与ASUP通讯,深航获取航班计划和航班动态及资源数据,并发送深航保障数据。单链路连接。
中航信(航旅纵横) 与ASUP,ACDM通讯,航旅纵横获取航班计划和航班动态及资源数据,单链路连接。
广州白云机场 与ASUP通讯,航旅纵横获取航班计划和航班动态及资源数据,单链路连接。
中国航油 与ACDM通讯,中国航油获取航班计划和航班动态及资源数据,单链路连接。
川航 与ASUP通讯,川航获取航班计划和航班动态及资源数据,单链路连接。
公安分局诚信安检(分级安检) 与T3安检系统通讯,获取安检数据等,双链路连接。

1.1.9 外部单位接入

在T3地面运行网中,有很多外部单位需要在航站楼外使用T3地面运行网的业务终端,这些需求都是通过光纤连接到T3C SCR001内T3A-C-S001-B6-5626-1实现的,该交换机目前接入的外部用户主要有:西塔台,东塔台,边检,机场电视台,国航南综,机场要客,机场公安,机场配餐公司以及国航配餐。

1.1.10 网络技术

l 使用MSTP多生成树协议避免二层网络环路。
l 使用VRRP虚拟路由冗余协议保证汇聚层设备网关的冗余备份。
l 使用LACP链路聚合控制协议实现多链路捆绑。

1.1.11 安全策略

l OSPF配置为P2P类型,采用MD5认证方式。
l VRRP配置了MD5认证方式。
l 在汇聚层设备上配有VLANACL在不同的业务VLAN间进行流量控制。
l 配有广播、组播和单播流量抑制。
l 接入层设备配有端口安全。
l 防火墙依应用需要限定了流量方向、源及目的地址、目的端口号。
l 交换机采用HWTACACS协议进行设备统一登录管理,防火墙和IDS为设备本地认证。
l 网络中部署了绿盟冰之眼IDS对服务器区的流量进行监控。

1.1 T3泊位网(T3 VDGS)

1.1.1 拓扑图

1.1.2 功能定位及描述

T3泊位网在T3建设时期开始建设,并在2008年正式投入使用。
T3泊位网为T3地面运行网的子网络,主要用于承载飞机入、离机位的目视泊位引导业务。
T3泊位网采用环形网络结构设计,分为核心层和三个环形网络,使用赫斯曼Hirschmann工业交换机。核心层设备为两台Hirschmann MACH4002交换机,安放在T3C PCR001和T3E PCR050两个机房。6台(3组)Hirschmann MS30交换机分别作为三个环形网络的节点设备,将环形网络连接至泊位网络的核心层设备。环形网络中的接入设备为Hirschmann RS20交换机。T3泊位网的环状结构,使得单一的设备节点和光纤链路故障,不会对其他的设备节点产生影响,也不会影响到相关的业务系统。
T3泊位网通过其核心层设备MACH4002与T3地面运行网T3C PCR001及T3E PCR050的核心交换机H3C S9512进行网络连接,以满足目视泊位系统与机场内部系统间的数据通讯。
核心层设备MACH4002连接了两台H3C S5626交换机用于目视泊位系统的服务器接入,交换机安放在ITC IDF4-1机房,目视泊位系统的服务器也部署在ITC IDF4-1机房。

1.1.3 承载业务

T3泊位网主要承载T3目视泊位引导系统(VDGS)。

1.1.4 IP地址规划

T3泊位网使用的IP地址范围是T3地面运行网10.66.0.0/16中的部分网段,为:10.66.148-151.0/24,10.66.167-170.0/24。使用静态IP地址分配方式。

1.2 T3广播网(T3 PAS)

1.2.1 拓扑图

1.2.2 功能定位及描述

T3广播网在T3建设时期开始建设,并在2008年正式投入使用。
T3广播网为T3地面运行网的子网络,主要承载T3广播系统(PAS),提供包括广播控制信号以及音频信号的传输。
T3广播网在逻辑架构上采用二层网络架构设计,物理结构上则为三层,分为核心层,汇聚层(二层网络),接入层。核心层为2台(1组)H3C S7506R交换机,配置为单主控板,安放在ITC IDF4-1 机房,之间为两条千兆链路捆绑方式连接。汇聚层为4台(2组)H3C S7506R交换机,配置为单主控板,安放在T3C PCR001和T3E PCR050两个核心机房,同一汇聚层设备间为两条千兆链路捆绑方式连接。每台汇聚层与核心层设备间为单条千兆链路互联,汇聚层与核心层设备间为全互连结构。同时两组汇聚层设备之间也为千兆全互连结构。接入层设备为H3C S3600系列交换机,采用千兆双上联的方式连接到核心层、汇聚层交换机上。
T3广播网的生成树的根以及冗余网关均配置在核心层上,汇聚层仅为二层网络的汇聚,汇聚层与核心层之间为二层连接,全网启用MSTP避免二层网络环路。
T3广播网与T3地面运行网之间存在两个互联接口:一是网络层面的直接互联,T3广播网ITC两台核心交换机与T3地面运行网T3C/T3E中两台核心交换机间为单条千兆“口”字型连接,使用静态路由进行路由控制。此互联接口仅用于网络监控管理的数据交换;第二个互联是通过两台具有双网卡的服务器进行连接,用于航显系统与广播系统间的业务数据交换。(互联结构见上图)

1.2.3 承载业务

T3广播网主要承载T3广播系统(PAS),提供包括广播控制信号以及音频信号的传输。

1.2.4 IP地址规划

T3广播网使用的IP地址范围是T3地面运行网10.66.0.0/16中的部分网段,为:10.66.152-162.0/24。使用静态IP地址分配方式。

1.2.5 安全策略

l VRRP配置了简单口令认证方式。
l 交换机采用HWTACACS协议进行设备统一登录管理

1.3 T3照明网(T3 EIB)

1.3.1 拓扑图

1.3.2 功能定位及描述

T3照明网在T3建设时期开始建设,并在2008年正式投入使用。
T3照明网为T3地面运行网的子网络,主要用于承载T3的灯光照明控制等系统。
T3照明网在逻辑架构上为二层网络架构设计,物理结构上则为三层结构,分为核心层、汇聚层(二层网络)以及接入层。核心层为两台H3C S5500-34F交换机,安放在T3C PCR001和T3E PCR050机房,并采用H3C IRF2(智能弹性架构)技术进行虚拟化,形成逻辑上的一台核心设备。汇聚层设备为8台H3C S5500-28F系列交换机,分别安放在T3C/T3D/T3E/GTC共8个汇聚机房内。汇聚层设备与核心层设备间为两条千兆链路捆绑互联。接入层设备为H3C S3600系列交换机,通过单条千兆链路与汇聚层设备进行互联。
T3照明网的生成树根和网关配置在核心层。汇聚层与核心层为二层网络连接。
T3照明网与T3地面运行网之间存在互联接口,T3照明网的两台核心交换机与T3地面运行网T3C/T3E中两台核心交换机间为单条千兆“口”字型连接,使用静态路由进行路由控制。

1.3.3 承载业务

T3照明网主要承载T3灯光照明控制,T3楼内UPS监控等系统。

1.3.4 IP地址规划

T3照明网使用的IP地址范围是T3地面运行网10.66.0.0/16中的部分网段,为:10.66.144-147.0/24。使用静态IP地址分配方式。

1.3.5 安全策略

l 交换机采用HWTACACS协议进行设备统一登录管理

技能: IE证书
辅助技能: shell python linux