油田網(wǎng)絡(luò )系統架構及管理

　　面對全球市場(chǎng)化的挑戰，企業(yè)要實(shí)現跨地區、跨行業(yè)、跨國經(jīng)營(yíng)的戰略目標，要把工作重點(diǎn)轉向技術(shù)創(chuàng )新、管理創(chuàng )新和制度創(chuàng )新上來(lái)，信息化是必然的選擇。油田的數字化建設為油田的生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)提供安全、穩定、高效、可靠的網(wǎng)絡(luò )服務(wù)目標，把工作重心轉移到確保“數字化管理”的網(wǎng)絡(luò )需要上來(lái)，緊緊圍繞中國石油規劃的計算機局域網(wǎng)改進(jìn)項目實(shí)施，主要從計算機主干網(wǎng)絡(luò )、網(wǎng)絡(luò )安全體系、網(wǎng)絡(luò )數字化管理等方面，提供了強有力的通信信息服務(wù)保障。油田的數字化建設對計算機網(wǎng)絡(luò )的安全性提出了更高的要求。

　　一、網(wǎng)絡(luò )系統架構

　　遵循中國石油局域網(wǎng)建設和運維規范，結合各地油田實(shí)際，科學(xué)規劃，從網(wǎng)絡(luò )架構、設備配置、系統承載能力、網(wǎng)絡(luò )帶寬等全面構架網(wǎng)絡(luò )。

　　網(wǎng)絡(luò )架構設計。按照核心層、匯聚層、接入層三層架構的設計原則，在主要油氣區設置網(wǎng)絡(luò )匯聚節點(diǎn)，提高網(wǎng)絡(luò )覆蓋面，滿(mǎn)足油氣生產(chǎn)需要。

　　網(wǎng)絡(luò )拓撲結構采用雙星型結構。自有電路與社會(huì )電路資源結合使用，在鏈路層面提高了油氣區網(wǎng)絡(luò )的可靠性和安全性。對于主要油氣區域的匯聚節點(diǎn)，采用網(wǎng)狀組網(wǎng)方式，增加到其他匯聚節點(diǎn)的千兆級電路，提高網(wǎng)絡(luò )冗余度。

　　設備配置。主干節點(diǎn)設備采用冗余配置。西安網(wǎng)絡(luò )核心、各網(wǎng)絡(luò )匯聚節點(diǎn)及重要三級節點(diǎn)的路由器、交換機，采用雙設備冗余配置。用設備與備份設備雙機模式工作，在系統或者硬件故障時(shí)候應用自動(dòng)切換，在硬件層面提高主干網(wǎng)絡(luò )的安全性、可靠性。

　　網(wǎng)絡(luò )帶寬。油田的數字化管理全面展開(kāi)，計算機網(wǎng)絡(luò )的帶寬需要按照業(yè)務(wù)需求進(jìn)行規劃。將網(wǎng)絡(luò )業(yè)務(wù)分為生產(chǎn)、辦公、住宅三類(lèi)，逐一預測帶寬。將主干網(wǎng)絡(luò )承載的主要業(yè)務(wù)生產(chǎn)數據按照其業(yè)務(wù)層級.從井站、作業(yè)區、廠(chǎng)部到公司，逐級分解，明確了主干網(wǎng)絡(luò )的帶寬需求，初步確定了網(wǎng)絡(luò )核心與各匯聚節點(diǎn)之間采用雙2.5Gbps鏈路互聯(lián)，三級節點(diǎn)至網(wǎng)絡(luò )匯聚節點(diǎn)采用1―2個(gè)1000Mbps-ff聯(lián)，核心網(wǎng)絡(luò )采用雙萬(wàn)兆互聯(lián)的鏈路方案。為確保鏈路的可靠性，主要節點(diǎn)之間采用雙鏈路互聯(lián)。

　　二、網(wǎng)絡(luò )安全體系的規劃和構建

　　如何規劃和設計好網(wǎng)絡(luò )安全體系，是油田數字化管理基礎網(wǎng)絡(luò )建設的重中之重，也是支持各種信息化應用系統運行的關(guān)鍵所在。按照中國石油的統一規劃，各油田計算機網(wǎng)絡(luò )，對上，與中國石油總部?jì)炔烤W(wǎng)絡(luò )互聯(lián)，對外，可以就地通過(guò)電信運營(yíng)商接入Internet。這樣就可以從結構上將網(wǎng)絡(luò )安全分為內部安全、外部安全進(jìn)行考慮。油田在打造暢通、可靠的油田計算機主干網(wǎng)絡(luò )的同時(shí)，同步做好網(wǎng)絡(luò )安全工作，從網(wǎng)絡(luò )的邊界層、核心層、接入層及安全體系等方面進(jìn)行統籌規劃，已初步形成了邊界嚴防護、核心重監控、桌面勤補漏、全網(wǎng)建體系的網(wǎng)絡(luò )安全管理理念。網(wǎng)絡(luò )安全性得到加強，非正常應用流量減少90%。在邊界層，采用防火墻及IPS技術(shù)，實(shí)現對來(lái)自外網(wǎng)的安全第一級防護;在網(wǎng)絡(luò )核心層，首次在企業(yè)網(wǎng)應用了流量清洗技術(shù)，不僅實(shí)現了外網(wǎng)第二級安全防護，還實(shí)現企業(yè)內部各個(gè)重要業(yè)務(wù)及用戶(hù)之間的流量監測及攻擊性數據清洗;在接入層，采用漏洞掃描系統，不定期對敏感業(yè)務(wù)系統進(jìn)行掃描和加固，及時(shí)發(fā)現安全隱患并予以消除;在主干網(wǎng)方面，以建立網(wǎng)絡(luò )安全體系為核心，加強網(wǎng)絡(luò )安全管理，初步建立起了主干網(wǎng)的安全評估體系。

　　1、互聯(lián)網(wǎng)網(wǎng)絡(luò )安全。在與互聯(lián)網(wǎng)的接入部分，按照安全區、信息交換區、互聯(lián)網(wǎng)接入區三個(gè)安全區進(jìn)行建設，規劃兩臺防火墻，考慮到出口網(wǎng)絡(luò )萬(wàn)兆升級以及防火墻處理能力，同時(shí)為了降低出口網(wǎng)絡(luò )復雜度，選擇自帶IPS功能的防火墻，通過(guò)防火墻設備完成出口網(wǎng)絡(luò )

　　的安全防護和入侵防護功能。防火墻選型上既考慮國內產(chǎn)品自主知識產(chǎn)權的優(yōu)勢、又兼顧國外產(chǎn)品高性能及穩定性好的特點(diǎn)。

　　2、內網(wǎng)安全。通過(guò)對目前業(yè)界各類(lèi)安全技術(shù)的跟蹤和研究，重點(diǎn)按照攙D層做清洗、桌面做漏洞掃描及加固、全網(wǎng)進(jìn)行安全體系建設三方面強化內部網(wǎng)絡(luò )安全建設。核心網(wǎng)絡(luò )流量監控及清洗。一方面，通過(guò)建立流量模型，保障主要業(yè)務(wù)。在網(wǎng)絡(luò )核心。采用相對串接、鏡像等方式先進(jìn)的分光技術(shù)，部署旁路流量分析監管設備，通過(guò)分析網(wǎng)絡(luò )核心、互聯(lián)網(wǎng)出口等流量情況，提煉重要業(yè)務(wù)的特性，建立全網(wǎng)主要業(yè)務(wù)流量模型，為網(wǎng)絡(luò )規劃建設提供依據。對于P2P等對于網(wǎng)絡(luò )帶寬消耗較大的業(yè)務(wù)，設定閥值及流量管理規則，使P2P等業(yè)務(wù)對用戶(hù)網(wǎng)絡(luò )訪(fǎng)問(wèn)影響降到最低。另―方面，通過(guò)對異常流量的清洗，保障核心業(yè)務(wù)及網(wǎng)絡(luò )的安全。針對目前在網(wǎng)絡(luò )中頻繁發(fā)生的病毒攻擊等行為，選擇旁路部署的網(wǎng)絡(luò )異常流量清洗設備，通過(guò)采用策略路由和BGP引流方式實(shí)現流量監控與異常流量的清洗，使得網(wǎng)絡(luò )安全管理變被動(dòng)為主動(dòng)、由事后分析到事前防范、由未知到可視。據統計。2010年3月份就成功消除安全事件1600多起，較大提高了網(wǎng)絡(luò )的穩定性和可靠性。各類(lèi)安全策略及規則庫的及時(shí)更新升級，也使得系統能應對各類(lèi)新的攻擊。

　　3、安全評估建設及桌面漏洞掃描。在網(wǎng)絡(luò )核心部署漏洞掃描系統，不定期對相關(guān)業(yè)務(wù)網(wǎng)絡(luò )進(jìn)行掃描，發(fā)現漏洞，及時(shí)進(jìn)行系統加固，減少安全事件的發(fā)生，提高網(wǎng)絡(luò )穩定性。在此基礎上。與國家有安全資質(zhì)的第三方公司合作，開(kāi)展安全體系建設，逐步建立較為完善的網(wǎng)絡(luò )安全管理體系。

　　三、網(wǎng)絡(luò )管理

　　經(jīng)過(guò)計算機網(wǎng)絡(luò )的大規模建設發(fā)展，網(wǎng)絡(luò )運維工作量規模成倍增長(cháng)，而網(wǎng)絡(luò )運維人員沒(méi)有增加，如何高效運維已經(jīng)成了追在眉睫的問(wèn)題，通過(guò)不斷的調研和測試，我們認為目前的網(wǎng)絡(luò )廠(chǎng)家的專(zhuān)業(yè)化網(wǎng)管軟件、第三方網(wǎng)管軟件、國內的網(wǎng)絡(luò )軟件之中，第三方的較為實(shí)用，縱觀(guān)CA、HP等廠(chǎng)家的系統，Solarwinds成為目前比較適合單位實(shí)際，能快速高效部署和運維的一套經(jīng)濟實(shí)用的系統。主要實(shí)現了以下幾個(gè)方面的開(kāi)發(fā)和應用：實(shí)現對全網(wǎng)的網(wǎng)絡(luò )設備包括路由器、交換機、防火墻、服務(wù)器等的實(shí)時(shí)監測，涉及CISCO、中興、H3C、華賽、Junipier、飛塔等多個(gè)廠(chǎng)家的產(chǎn)品，監測參數包括CPU、內存、帶寬、會(huì )話(huà)數等;實(shí)現對各類(lèi)故障的實(shí)時(shí)告警和管理，以短信等方式及時(shí)提醒運維人員;實(shí)時(shí)展現全網(wǎng)拓撲結構，以圖形化界面友好展示網(wǎng)絡(luò )暢通情況;實(shí)現對全網(wǎng)設備的配置自動(dòng)備份，能進(jìn)行配置比對，方便技術(shù)人員分析設備運行情況;量化統計分析網(wǎng)絡(luò )及設備的可用性等指標;靈活定制各類(lèi)報表，方便決策分析和統計。通過(guò)自定義方式建立起來(lái)的資源管理，極大方便了網(wǎng)絡(luò )基礎數據和資料的管理。

　　四、結論

　　在近一年多的實(shí)際運維中，主干網(wǎng)絡(luò )未出現中斷、出口通暢，網(wǎng)絡(luò )可用性達到l00%。網(wǎng)絡(luò )整體服務(wù)能力的各項指標明顯提高：網(wǎng)頁(yè)平均打開(kāi)時(shí)間由15ms降低到7ms;主干帶寬利用率保持<13%;安全設備主要性能指標利用率

【油田網(wǎng)絡(luò )系統架構及管理】相關(guān)文章：

物流管理的合理架構分析10-02

零售企業(yè)的信息管理架構08-20

BXP無(wú)盤(pán)網(wǎng)絡(luò )系統08-18

華為認證架構介紹10-03

基于GIS的通信管網(wǎng)管理系統架構設計10-18

森林資源監測管理預警系統架構設計09-20

微服務(wù)的架構設計09-24

紅帽認證體系架構介紹07-23

如何搭建系統CSS架構12-31

Linux概念架構解讀201610-15