油田企業(yè)局域網的設計和管理

1、油田企業(yè)局域網的設計和管理 油田企業(yè)局域網的設計和管理 摘要：在數字化油田大開展時代，有效的公司信息平安管理對企業(yè)的良好運作至關重要，但在具體的實施過程中，企業(yè)平安管理需要從前期平安策略的具體制定、中期信息平安解決方案的選擇與實施、后續(xù)的平安效勞的跟進等多方面、全方位予以重視，并作周到細致的考慮。這既涉及到企業(yè)系統(tǒng)如何在應用中實現平安管理，同時又涉及到平安廠商如何提供全方位平安咨詢及后續(xù)平安效勞等方面的問題。 關鍵詞：石油通信；局域網；IP網絡 Abstract: in the era of digital oilfield development, valid company informa

2、tion security management is very important to enterprise"s good operation, but in the concrete implementation process, the enterprise security management needs from previous security policy specific information security solution in the middle of the formulation, choice and implementation and su

3、bsequent follow up of the security service, attach importance to it in all directions, and thoughtful consideration. It involves how to implement safety management in the application of enterprise system, at the same time involves how the security vendor provides the omni-directional security consul

4、ting and follow-up security service, etc. Key words: oil communication; Local area network (LAN); IP network 中圖分類號：TE31 文獻標識碼：A 一、油田企業(yè)聯網需求分析 概述 企業(yè)想增強競爭實力，必須隨時改良和更新系統(tǒng)和網絡，但是時機增加常伴隨著平安風險的增加，尤其是機構的數據對更多用戶開放的時候因為技術越先進，平安管理就越復雜。所以企業(yè)為了消除平安隱患，下一步就需要對現有的網絡、系統(tǒng)、應用進行相應的風險評估，確定在企業(yè)的具體環(huán)境下到底存在哪些平安漏洞和平安隱患。再次是在此根底上，制

5、定并實施平安策略，完成平安策略的責任分配，設立平安標準：幾乎所有企業(yè)目前都有信息平安策略，只不過許多策略都沒有書面化，只作為完成任務的一種手段。恰當的信息平安策略必須與機構的所有業(yè)務需求直接相關。 二、關于油田企業(yè)局域網總體設計 網絡規(guī)劃 針對我公司的網絡需求及目前的網絡現狀，在進行網絡設計改造時要綜合考慮以下的因素，從而建設一個平安、可靠、功能豐富的網絡系統(tǒng)： 廣域網絡 數據中心及備份中心 語音/視頻 網絡外聯 網絡平安 網絡管理 廣域網絡 在廣域網絡設計時，要考慮目前可用的網絡資源以及網絡拓撲結構。根據目前的網絡資源以及地理分布情況，綜合考慮網絡資源的費用、網上業(yè)務情況，以及今后的開展趨勢

6、。廣域網絡采用目前的樹型結構，但要擴展網絡資源的帶寬，使之滿足目前的數據、語音業(yè)務、客戶效勞中心業(yè)務數據集中業(yè)務的需求；同時為了滿足將來的視頻等其他應用對目前的網絡設備應考慮一定的擴展性。 數據中心及備份中心 隨著數據的集中，公司的數據中心愈來愈重要，要求我們在設計時要考慮到集中的或分散的數據中心的情況；但無論如何，數據中心都要保證數據的平安可靠、數據的高速訪問；對數據中心來說，它是整個網絡系統(tǒng)的核心，要保證其他系統(tǒng)，包括廣域網系統(tǒng)、網管中心系統(tǒng)、外聯系統(tǒng)的授權用戶的高速的訪問。 對于目前的情況，數據分散到各個省公司，要求對各個省公司都設計相應的數據中心，由于全公司的數據都會集中備份到總公司，

7、所以總公司的數據中心尤其重要，它是其他所有省公司的備份中心。 語音/視頻 在滿足業(yè)務運行需要并考慮運行維護本錢的前提下，可以考慮語音及視頻的應用。 提供數據、語音和視頻的集成是整個網絡建設的重要因素，由于技術的進步，在傳統(tǒng)的數據網絡上提供語音和視頻應用也成為可行而普遍的趨勢。提供數據、語音和視頻的集成一方面可以降低語音通訊的本錢，滿足整個公司語音的需求，另一方面可以與客戶效勞中心結合在一起，提供一個以客戶為中心的綜合效勞系統(tǒng)。 網絡平安 對于我公司而言，網絡系統(tǒng)的平安是最重要的因素，應該引起格外的重視；網絡的平安應該包括認證、授權和審計(AAA) 。其中認證包括路由認證、撥號備份認證等；授權包

8、括權限控制、訪問控制等；審計包括對網絡系統(tǒng)的主動掃描和被動記錄等。 網絡總體設計 公司業(yè)務網絡系統(tǒng)的核心就是廣域網絡骨干的建設，如何對現有網絡進行改造以及對將來的網絡結構進行規(guī)劃是當前網絡改造的首要任務。 當今網絡的開展遠遠超出了單純追求根本連通歷史階段。我們在網絡連通根底上需要更高要求的網絡效勞內容，它應包括：-數據/圖象/話音、QoS、。我們必須要有清晰的網絡總體設計思路及原那么，遵循總體設計、分步實施的原那么，用新一代的網絡設計思想、最成熟的網絡技術對公司網絡進行總體設計。 網絡資源以及網絡骨干技術的選擇 1、網絡骨干技術介紹 選擇合理的網絡主干技術對于一個核心網絡來說十分重要，它關系到

9、網絡的效勞品質和可持續(xù)開展的特性。網絡主干包括主干網設備之間及其與會聚點核心設備之間的連接，寬帶IP網絡的主干必須選用相應的寬帶主干技術。目前，可供選擇的寬帶技術包括以下幾種： 傳統(tǒng)電信資源。包括DS0(64Kbps)，nX64Kbps，PCM G.703/G.704、等 異步轉移模式(ATM技術)。 采用信元傳輸和交換技術，減少處理時延，保障效勞質量，使其端口可以支持從E1(2Mbps)到STM-1(155Mbps)、STM-4 (622Mbps)、STM-16(2.5Gbps)、STM-64(10Gbps)的傳輸速率。 SDH技術(或POS技術)。采用高速光纖傳輸，以點對點方式提供從STM

10、1到STM64甚至更高的傳輸速率。 2、網絡骨干技術的選擇 公司租用電信運營商的SDH或一條E1/FR(2Mbps)構成一級網絡骨干，對于接入層與骨干層以及根底層與接入層的的連接，可以租用ATM或傳統(tǒng)電信資源。 一級網和二級網由于數據流量大，承載的業(yè)務影響面大，應該申請ATM/DDN/FR作為目前SDH的備份線路，兩條線路可以進行負載均衡、互為備份；三級網由于數據量較小，建議考慮采用撥號備份作為主線路的備份線路，只有當主線路發(fā)生故障時或者主線路負載超過設定范圍是，撥號備份線路才啟用，即保證了網絡的可靠性，又節(jié)省一定的費用。 網絡設備 三類二級節(jié)點配備的路由器是不同的，主要是配備的數量以及模塊不

11、同。 一類二級節(jié)點配備兩臺中端路由器，分別連接兩條骨干線路，同時其中一臺通過撥號備份線路與相應的一級節(jié)點連接；兩臺路由器分別配備一些向下連接的模塊，與下屬的三級節(jié)點連接，其中一臺同時為下屬三級節(jié)點提供撥號備份連接。 二類二級節(jié)點配備兩臺中端路由器，但與一級節(jié)點有一條骨干線路和一條撥號備份線路連接；兩臺路由器可以分工協(xié)作，也可以一臺是另一臺的冷備份；在前一種情況下，一臺路由器向上連接，另一臺路由器向下連接，或者把所有的連接分擔到兩臺路由器上，在后一種情況下，其中一臺負責所有的連接，另一臺完全作為冷備份使用。 三類節(jié)點配備一臺中端路由器，申請一條骨干線路和一條撥號備份線路。該路由器負責整個節(jié)點的上

12、連和下連的任務；可以配備相應的同步模塊和異步模塊。 路由器根本配置要求如下： 兩個RJ-45 100Mbps端口 雙電源配置(可選) 支持PSTN/ISDN端口 支持標準協(xié)議如下： 網絡協(xié)議 廣域網協(xié)議 支持標準的動態(tài)路由協(xié)議 Multicast 支持基于策略的路由 QoS管理機制 三、數據中心設計 效勞接入局域網 效勞接入局域網主要提供效勞器群局域網與總公司其他網絡的可靠連接，是整個數據中心的核心設備，要求提供最大的性能、平安性、可靠性和擴展性能。配置兩臺高端局域網交換機，配上相關的千兆網或10/100M局域網模塊連接廣域骨干網、語音系統(tǒng)、視頻系統(tǒng)、網絡管理中心、外聯系統(tǒng)、樓內用戶、客戶效勞

13、中心系統(tǒng)；并且通過千兆以太網透過防火墻與效勞器群局域網相連。 平安保護區(qū) 為保護整個公司的效勞器資源，在效勞接入區(qū)和效勞器群之間安置了平安保護區(qū)，該區(qū)提供效勞器與其他局部的平安隔離作用；在該區(qū)配備高性能防火墻來隔離效勞器與效勞接入區(qū)。兩臺防火墻為主動/備份方式工作，當主防火墻發(fā)生故障時，備份防火墻自開工作，保證整個網絡的高效運行。 四.網絡平安及維護系統(tǒng) 方案設計 根據我公司的網絡狀況，在與Internet/Extranet等外網的接入、PSTN/ISDN的撥號接入、局域網接入控制等幾個方面的平安問題是需要著重考慮的，此外在內部的局域網也應有一定的平安措施以保護某些關鍵的信息。下面針對這幾個方

14、面做相應的設計。 Internet/Extranet接入的平安設計 由于內外網接入點是公司的企業(yè)內部網絡與Internet/Extranet外部網絡的連接處，該點承受著多種可能的對內部網絡的攻擊威脅，但由于業(yè)務的需要，又必須對外部網絡開通局部的網絡效勞，針對這種情況，要求采用目前常用的設計方法，采用防火墻這一平安隔離設備，將網絡隔離為三個平安等級不同的區(qū)域，即平安級別最高的內部網絡、平安級別最低的外部網絡和非軍事化區(qū)。 對網絡設備和效勞的保護 包括： * 在所有路由器上設置控制臺口令； * 在所有路由器上設置特權用戶口令； * 在所有路由器上設置遠程登錄口令； * 在所有路由器上設置分級用戶名和口令； * 在所有路由器上設置日志記錄, 建立單獨日志效勞器； * 在撥號接入路由