油田網絡系統(tǒng)架構及管理

　　面對全球市場化的挑戰(zhàn)，企業(yè)要實現跨地區(qū)、跨行業(yè)、跨國經營的戰(zhàn)略目標，要把工作重點轉向技術創(chuàng)新、管理創(chuàng)新和制度創(chuàng)新上來，信息化是必然的選擇。油田的數字化建設為油田的生產經營業(yè)務提供安全、穩(wěn)定、高效、可靠的網絡服務目標，把工作重心轉移到確保“數字化管理”的網絡需要上來，緊緊圍繞中國石油規(guī)劃的計算機局域網改進項目實施，主要從計算機主干網絡、網絡安全體系、網絡數字化管理等方面，提供了強有力的通信信息服務保障。油田的數字化建設對計算機網絡的安全性提出了更高的要求。

　　一、網絡系統(tǒng)架構

　　遵循中國石油局域網建設和運維規(guī)范，結合各地油田實際，科學規(guī)劃，從網絡架構、設備配置、系統(tǒng)承載能力、網絡帶寬等全面構架網絡。

　　網絡架構設計。按照核心層、匯聚層、接入層三層架構的設計原則，在主要油氣區(qū)設置網絡匯聚節(jié)點，提高網絡覆蓋面，滿足油氣生產需要。

　　網絡拓撲結構采用雙星型結構。自有電路與社會電路資源結合使用，在鏈路層面提高了油氣區(qū)網絡的可靠性和安全性。對于主要油氣區(qū)域的匯聚節(jié)點，采用網狀組網方式，增加到其他匯聚節(jié)點的千兆級電路，提高網絡冗余度。

　　設備配置。主干節(jié)點設備采用冗余配置。西安網絡核心、各網絡匯聚節(jié)點及重要三級節(jié)點的路由器、交換機，采用雙設備冗余配置。用設備與備份設備雙機模式工作，在系統(tǒng)或者硬件故障時候應用自動切換，在硬件層面提高主干網絡的安全性、可靠性。

　　網絡帶寬。油田的數字化管理全面展開，計算機網絡的帶寬需要按照業(yè)務需求進行規(guī)劃。將網絡業(yè)務分為生產、辦公、住宅三類，逐一預測帶寬。將主干網絡承載的主要業(yè)務生產數據按照其業(yè)務層級.從井站、作業(yè)區(qū)、廠部到公司，逐級分解，明確了主干網絡的帶寬需求，初步確定了網絡核心與各匯聚節(jié)點之間采用雙2.5Gbps鏈路互聯，三級節(jié)點至網絡匯聚節(jié)點采用1―2個1000Mbps-ff聯，核心網絡采用雙萬兆互聯的鏈路方案。為確保鏈路的可靠性，主要節(jié)點之間采用雙鏈路互聯。

　　二、網絡安全體系的規(guī)劃和構建

　　如何規(guī)劃和設計好網絡安全體系，是油田數字化管理基礎網絡建設的重中之重，也是支持各種信息化應用系統(tǒng)運行的關鍵所在。按照中國石油的統(tǒng)一規(guī)劃，各油田計算機網絡，對上，與中國石油總部內部網絡互聯，對外，可以就地通過電信運營商接入Internet。這樣就可以從結構上將網絡安全分為內部安全、外部安全進行考慮。油田在打造暢通、可靠的油田計算機主干網絡的同時，同步做好網絡安全工作，從網絡的邊界層、核心層、接入層及安全體系等方面進行統(tǒng)籌規(guī)劃，已初步形成了邊界嚴防護、核心重監(jiān)控、桌面勤補漏、全網建體系的網絡安全管理理念。網絡安全性得到加強，非正常應用流量減少90%。在邊界層，采用防火墻及IPS技術，實現對來自外網的安全第一級防護;在網絡核心層，首次在企業(yè)網應用了流量清洗技術，不僅實現了外網第二級安全防護，還實現企業(yè)內部各個重要業(yè)務及用戶之間的流量監(jiān)測及攻擊性數據清洗;在接入層，采用漏洞掃描系統(tǒng)，不定期對敏感業(yè)務系統(tǒng)進行掃描和加固，及時發(fā)現安全隱患并予以消除;在主干網方面，以建立網絡安全體系為核心，加強網絡安全管理，初步建立起了主干網的安全評估體系。

　　1、互聯網網絡安全。在與互聯網的接入部分，按照安全區(qū)、信息交換區(qū)、互聯網接入區(qū)三個安全區(qū)進行建設，規(guī)劃兩臺防火墻，考慮到出口網絡萬兆升級以及防火墻處理能力，同時為了降低出口網絡復雜度，選擇自帶IPS功能的防火墻，通過防火墻設備完成出口網絡

　　的安全防護和入侵防護功能。防火墻選型上既考慮國內產品自主知識產權的優(yōu)勢、又兼顧國外產品高性能及穩(wěn)定性好的特點。

　　2、內網安全。通過對目前業(yè)界各類安全技術的跟蹤和研究，重點按照攙D層做清洗、桌面做漏洞掃描及加固、全網進行安全體系建設三方面強化內部網絡安全建設。核心網絡流量監(jiān)控及清洗。一方面，通過建立流量模型，保障主要業(yè)務。在網絡核心。采用相對串接、鏡像等方式先進的分光技術，部署旁路流量分析監(jiān)管設備，通過分析網絡核心、互聯網出口等流量情況，提煉重要業(yè)務的特性，建立全網主要業(yè)務流量模型，為網絡規(guī)劃建設提供依據。對于P2P等對于網絡帶寬消耗較大的業(yè)務，設定閥值及流量管理規(guī)則，使P2P等業(yè)務對用戶網絡訪問影響降到最低。另―方面，通過對異常流量的清洗，保障核心業(yè)務及網絡的安全。針對目前在網絡中頻繁發(fā)生的病毒攻擊等行為，選擇旁路部署的網絡異常流量清洗設備，通過采用策略路由和BGP引流方式實現流量監(jiān)控與異常流量的清洗，使得網絡安全管理變被動為主動、由事后分析到事前防范、由未知到可視。據統(tǒng)計。2010年3月份就成功消除安全事件1600多起，較大提高了網絡的穩(wěn)定性和可靠性。各類安全策略及規(guī)則庫的及時更新升級，也使得系統(tǒng)能應對各類新的攻擊。

　　3、安全評估建設及桌面漏洞掃描。在網絡核心部署漏洞掃描系統(tǒng)，不定期對相關業(yè)務網絡進行掃描，發(fā)現漏洞，及時進行系統(tǒng)加固，減少安全事件的發(fā)生，提高網絡穩(wěn)定性。在此基礎上。與國家有安全資質的第三方公司合作，開展安全體系建設，逐步建立較為完善的網絡安全管理體系。

　　三、網絡管理

　　經過計算機網絡的大規(guī)模建設發(fā)展，網絡運維工作量規(guī)模成倍增長，而網絡運維人員沒有增加，如何高效運維已經成了追在眉睫的問題，通過不斷的調研和測試，我們認為目前的網絡廠家的專業(yè)化網管軟件、第三方網管軟件、國內的網絡軟件之中，第三方的較為實用，縱觀CA、HP等廠家的系統(tǒng)，Solarwinds成為目前比較適合單位實際，能快速高效部署和運維的一套經濟實用的系統(tǒng)。主要實現了以下幾個方面的開發(fā)和應用：實現對全網的網絡設備包括路由器、交換機、防火墻、服務器等的實時監(jiān)測，涉及CISCO、中興、H3C、華賽、Junipier、飛塔等多個廠家的產品，監(jiān)測參數包括CPU、內存、帶寬、會話數等;實現對各類故障的實時告警和管理，以短信等方式及時提醒運維人員;實時展現全網拓撲結構，以圖形化界面友好展示網絡暢通情況;實現對全網設備的配置自動備份，能進行配置比對，方便技術人員分析設備運行情況;量化統(tǒng)計分析網絡及設備的可用性等指標;靈活定制各類報表，方便決策分析和統(tǒng)計。通過自定義方式建立起來的資源管理，極大方便了網絡基礎數據和資料的管理。

　　四、結論

　　在近一年多的實際運維中，主干網絡未出現中斷、出口通暢，網絡可用性達到l00%。網絡整體服務能力的各項指標明顯提高：網頁平均打開時間由15ms降低到7ms;主干帶寬利用率保持<13%;安全設備主要性能指標利用率

【油田網絡系統(tǒng)架構及管理】相關文章：

物流管理的合理架構分析10-02

零售企業(yè)的信息管理架構08-20

BXP無盤網絡系統(tǒng)08-18

華為認證架構介紹10-03

基于GIS的通信管網管理系統(tǒng)架構設計10-18

森林資源監(jiān)測管理預警系統(tǒng)架構設計09-20

微服務的架構設計09-24

紅帽認證體系架構介紹07-23

如何搭建系統(tǒng)CSS架構12-31

Linux概念架構解讀201610-15