在应用创新科技赋能物流业务数智化转型的路途中,中通快递的智慧物流大脑又增添了两套方案,一套是利用锐捷SMP+对全网“人、物、事”实现统一的安全认证管理,另一套则是依据分拨中心业务场景需求部署的无线高密接入网络。两组方案的部署落地,将认证管理与Wi-Fi功能折叠到一个平台之上,为中通“数智化”战略提供了重要的成长因子。
超大型分支网络升级,遭遇“大高密”三道难题
借着新一波技术浪潮,物流行业已经从肩扛手提的传统模式,进入以科技驱动的新物流时代。近年来,中通快递作为电商快递行业规模第一的企业,“数智化”战略加速推进,不仅打造出强有力的“地网”和为广大电商以及制造业服务的“仓网”,更在寻求“全网全域全链路”的一体化管理管控最佳解决方案。
2020年,新冠疫情突袭。中通快递在积极投身抗疫的同时,加大数字化基础设施升级工作,尤其是对分拣分拨中心的网络接入认证与无线网应用进行改造。但是,其中却涉及到的“一大、一高、一密”的三道场景化难题。
大规模:中通拥有上亿规模的用户量,2020年全年发送的包裹超过170 亿件,保护用户及公司内部数据安全性已成“必选题”。其中,网络准入是安全的第一道屏障,因此,如何对超大规模分支网络实现统一接入部署,解决认证平台的设备兼容性、使用便捷性等难题,必然少不了一次次的技术攻关。
高成本:安全认证市场上的常见方式,是从每个分支网络出口或用户入口处署对应的认证系统,这种部署方案核算下来,建设成本巨大,同时存在入网凭证数据分散无法实现跨区域漫游认证,后期维护成本难以评估等“后遗症”。
密度高:从下订单到配送,一件包裹在短短几天内送达用户手中,大概要经历仓储分拣、干线运输、中转分拨、末端配送等环节。因此,需要重新规划更加智能、先进的无线网,支撑分拣中心扫码枪、AVG无人车等终端设备的大规模接入,避免无线信号争抢、货架干扰、网络漫游等原因造成的卡顿、丢包和掉线现象。
高密AP提升分拣中心工作效能,实现全国Wi-Fi 一张网
中通网络技术负责人表示:“单从物流领域来看,无线终端的使用虽然极大程度提高了生产效率,但在接入过程中,无线网络是否稳定和可靠面临着极大的挑战,特别是分拣中心存在着PDA/PAD/AGV等移动无线终端以及MES/CNC/PLC等固定终端联网的需求。同时,我们还希望通过总部的控制与优化平台实时对分中心进行管理,进而化解分中心的运维压力。”
通过对总部、分中心原有无线管理问题的拆解,中通希望形成一体化无线网解决方案,广邀头部无线网络设备提供商进行实地POC。最终,锐捷网络凭借其在无线接入的场景化创新优势和丰富的仓储物流高密无线网部署经验,方案获得认可。锐捷为中通设计了总部部署“大”无线控制器,通过 VPN 通道实现分拨中心“小”无线控制器备份冗余、分级分权管理,以及通过WIS无线AI云统一管理与优化前端高密接入AP的整体方案。
通过多次地勘,锐捷对AP点位重新进行了优化及AP增补,充分考虑无线网络安全、射频控制、移动访问、服务质量保证、无缝漫游等重要因素,配合锐捷网络RG-WS系列无线控制器产品,完成了无线用户数据转发、安全和访问控制。在高密度接入方面,锐捷特有的“Xspeed”技术在多AP、高密度接入干扰的情况下,有效缩短了下联用户发送无线数据包的竞争等待时间,确保了复杂仓储环境中每台设备的满格信号。同时,方案解决了大量802.11n 协议手持扫描枪因移动、离AP较远而导致延时大、速度慢、AP整机性能低下的问题,全面提升了分拣中心的工作效率。
10万终端全网统一准入认证,有线、无线准入体验好
作为一家拥有上万员工、上万终端、服务上亿用户的超大规模物流企业,对人员与设备身份进行真实性、有效性鉴别与认证,是保障信息安全,确保业务可靠运行的“必答题。”
在此核心需求上,建设统一身份认证、安全加密与权限管理平台,则能够打破由于应用系统过多、密码规则复杂而造成的效率瓶颈。
但是,采用网关式部署的传统方案不仅建设成本大、运维成本高,还存在着内网访问管控弱,功能单一等问题,这就需要中通要去寻找更高性价比的解决方案去破冰。通过技术参数与成本等多方面的考核,中通选择了锐捷网络SMP+解决方案。
SMP+解决方案几乎融合了现在网络身份认证市场上所有的方式,并且全面兼容主流厂商的网络设备,实现了人(所有使用中通网络平台的用户)、物(PC、无线移动端、扫描枪等哑终端)、事(接入控制、审计、日志管理与合规)的统一接口,而且,花费成本只有预估投入的40%。
图:锐捷SMP+业务流程图
锐捷SMP+提供了业界独有的无感知准入、无客户端安装的极简部署模式,这对于中通这种超大规模分支网络来说,不仅可以将工程进度缩短数十倍,更实现了扫描枪等哑终端的安全入网。
SMP+能够自动发现全网终端,并且智能根据终端的类型(自动却分普通终端与哑终端),决定是否需要实名认证,或是需要通过“中通宝盒”扫描二维码入网和自动审批入网。例如:对哑终端进行合规放行,直接进行审批准入,快速而便利,可以无须实名,避免了用户名密码输入;对Windows终端进行病毒防御策略检测,包括杀毒软件安装检测与推送、不合规软件安装检测、系统补丁检测与推送,防火墙开启检测、外设管控等策略。
在此之前,每个分拨中心都有数以千计的终端设备,但由于无法智能识别出PDA、扫码枪等哑终端,信息管理员需要通过单独VLAN来接入哑终端,以人为方式来区分终端类型。这难免会出现纰漏,将非哑终端也设置成无需认证入网策略,对网络访问安全造成威胁。启用SMP+无感知无客户端准入合规功能之后,通过SNMP+Telnet+流量探针等多种方式形成NMAP,准确发现所有终端并对类型进行识别,自动区分出来哑终端以及非哑终端,针对哑终端提供审批准入的能力,针对非哑终端提供认证合规的能力,在网络接入层便实现了精细化的管控服务。
在安全方面,中通快递高度重视对亿万用户隐私信息的保护,在统一认证平台之前研发出“中通宝盒”等安全利器。通过行业领先的生物识别技术,简单、快速、有效地完成实名认证程序,以降低违规登录概率,从“第一步”完善系统的使用安全。而中通的统一认证项目成功部署,不仅解决了对内部员工使用的有线、无线网络进行准入认证管控,更打通了新平台与中通宝盒的联动,形成了多层、立体、智能、联动的数据安全防御体系。
目前,锐捷SMP+已经成功部署在包括总部之外的虹桥、北京、南通、桂林、沈阳等20个分中心 ,服务上网活动用户数近3万人。随着项目进度安排,2021年底将完成108个分拨中心的统一接入,为超过10万用户提供安全准入服务。
VOC——听到客户的声音
中通网络技术负责人介绍,“我们是于2017年与锐捷合作,将“锐捷SMP+终端安全智能准入平台”在中通成功部署。截至目前,已成功守护2万多名员工和访客,约70多万次的入网安全。”
没有身份认证和授权,就没有信息安全。锐捷的SMP+系统,对内加强准入认证管控,员工身份获得认证后,即可轻松入网,而且实现全国漫游,无需多次重复验证;同时对外进行安全管控,访客联网后,需内部员工使用中通自研的宝盒,进行扫码方可入网,既能过滤恶意蹭网,又杜绝了外部设备给内网带来的中病毒风险,有效提升了中通信息数据的安全。
而且,锐捷SMP+系统还能有效兼容总部和分拨中心各类型号的网络设备,无需大规模更新,极大减轻了网络运维人员的工作压力。
中通在信息安全上面的投入一直非常大,始终将用户信息安全放在第一位,他们对内网信息的管控有极高的要求,在锐捷助力下打造的网络准入安全只是第一步。未来,我们将继续向前,不断自我迭代,完善优化网络安全架构,这是对亿万消费者的无声守候。