|
中国石化网络建设策略与管理
李德芳 张志檩 孙维 吴占奎
为应对经济全球化和加入WTO
的挑战, 中国石油化工股份有限公司(下称中国石化) 按照以信息化带动工业化, 发挥后发优势,
实现跨越式发展的方针, 确立了采用先进的信息技术, 改造和提升石油石化传统产业,
提高企业国际竞争力的信息化思路。中国石化在最近几年加快了信息化建设的步伐,
陆续投用了物资采购和化工产品销售电子商务系统、销售管理信息系统、财务管理系统、经济技术指标统计系统、办公综合业务处理系统等大型信息系统,
开展了企业ERP
和加油卡工程的试点和推广。这些系统的推广和使用对提高中国石化的生产、经营和管理水平发挥了很大的作用。而这些信息系统的运行都离不开石化内部网络的支撑,
同时对网络的带宽、安全性和可靠性等提出了更高的要求。
1
网络建设规划和策略的制定
1.1
“十五”中国石化网络建设目标
在《中国石油化工集团公司“十五”发展计划纲要》和《中国石化ERP 系统总体规划》的基础上,
制定了《2002~2005 年中国石化信息化建设目标和任务》。其中信息基础设施建设目标是: “根据ERP
总体规划和中国石化信息化目标, 加快和完善总部及企业网络、数据中心和基础应用系统的建设, 为ERP
系统的实施和其他关键应用系统的建设和运行提供稳定、安全、可靠和高效的基础设施”。中国石化网络建设要达到以下具体目标。
(1)
实现对业务应用的全面覆盖 网络应覆盖总部和所有企业的业务点,
包括办公室、车间、油田、钻井平台、码头、油库、加油站等。
(2)
具有高可用性 网络不只是信息基础设施, 也是中国石化生产经营管理的基础要素,
要满足生产和管理系统对其可用性的要求, 实现网络服务不中断和业务的连续性。
(3)
网络带宽满足关键应用的需求 网络带宽满足关键应用系统对传输速率、响应时间和误码率的要求。
(4)
建立一体化的网络管理系统 建立上下一体的网络管理系统,
实时监控总部及企业的网络设备、重点服务器和关键应用系统。
(5)
建立完善的网络安全防护体系 建立完善的防病毒、防窃密、防入侵、访问权限控制和认证体系,
保证中国石化网络和应用系统的整体安全性。
(6)
实现运行管理规范化 建立完善的运行管理制度和规范, 建设中国石化集中分布式的客户服务中心,
提高运行维护水平。
1.2
中国石化网络系统建设策略
中国石化组织企业内部和外部的专家编制了《中国石化网络系统建设策略》,
制定了在网络建设中的技术路线和运行管理等方面的建设策略。在该建设策略中, 主要解决了以下问题。
(1)
评估现有的网络基础设施建设现状, 分析各种应用特点, 明确对网络设施的需求,
确定未来5年网络系统建设目标及整体思路。
(2)
从中国石化和国内公共通信设施的实际情况出发, 结合网络技术的现状及发展趋势,
制定了总部和企业网络系统建设中有关网络技术和设备、传输链路、卫星系统、自有输油管道光缆综合利用、拓扑结构、IP
地址规划、路由协议及带宽管理等方面的原则和策略。为各级网络建设提供实用和具有可操作性的技术指导。
(3)
针对网络管理和网络安全系统方面比较薄弱的现状, 确立网络管理平台建设的整体架构和实施步骤,
为下一阶段网络安全系统和网络管理系统的建设和完善, 提供清晰的实施思路。
(4)
确立建立总部及企业两级数据中心的总体目标, 明确总部面向经营管理数据, 下属企业面向生产数据的建设思路,
对数据中心的网络、安全、数据存储、备份、容灾及恢复等系统的建设提出了建设性的原则和意见,
为建立规范的数据中心提供系统化的设计指导。
(5)
规范化的建设、运行和管理是发挥网络系统和数据中心作用的必要保证, 从组织管理, 建立规范的运行架构,
落实人员岗位和职责、设立客户服务中心, 并配合相应的IT
技术支撑系统等方面系统地提出运行管理的思路和策略, 实现规范化和高效化的运维管理,
保障应用系统的正常运行。
2
网络建设与提升
中国石化网络由主干网络、总部网络和企业网络组成。主干网自1997 年开始建设以来,
在信息化建设中发挥了重要的作用。随着大型信息应用系统的陆续投用, 对网络的需求不断增长,
原有网络在性能(链路带宽只有64~128 K) 和可靠性方面越来越难以满足信息化的要求。为此,
总公司在2002年对主干网络进行了一次系统的提升。
2.1
网络提升的目标的内容
(1)
对现有主干网络架构进行优化和调整。
(2)
提升企业连接主干网的带宽。
(3)
消除总部和企业连接主干网设备的单点故障, 完善总部与所有直属企业的主干互连,
充分利用租用线路和卫星传输线路, 实现总部与企业之间链路及设备的冗余备份,
完善和提高远程拨号访问系统的性能。
(4)
总部和企业之间的传输以数据为主, 并加入语音及视频传输, 完善和扩展原有卫星会议电视功能。
(5)
实现网络端到端服务质量(QoS) 策略, 对语音、视频及不同的应用服务定义不同的服务等级,
制定网络策略控制及管理系统, 实现基于策略、需求或自适应的带宽管理, 保证重要应用。
改造后主干网络连接的远程节点达到了110个, 链路带宽提升到512 K~2 M , 个别单位已扩展到10
M。主干网的核心设备、接入设备和信道实现了冗余备份。
2.2
网络拓朴结构
网络提升前的主干网络使用北方电讯的网络设备, 在制定实施方案时, 为了保护现有投资,
并考虑到企业的差异性, 经过测试和方案优化, 最终在提升后的主干网络中选用了Cisco 和Nortel
混合组网的方式, 其拓扑结构如图1 所示。
图1 中国石化网络拓扑
在中国石化, 由原有的两台Nortel BCN、新购置的两台Cisco7606
和千兆交换设备组成了主干网的核心,
连接各企业网络和总部局域网。总部主干网的核心设备都连接到同一个以太网上,
并运行OSPF(开放式最短路径优化协议)
动态路由协议,实现总部主干网核心设备之间的信息交换。主干网与总部局域网的连接主要以动态路由实现。
通过对原有Nortel 设备进行重组和优化, 改造后的主干网中, Nortel 的BCN
主要用于连接销售企业, 每个节点配备两台ARN 进行冗余, 消除了总部和远端连接的单点故障。
新购置的两台Cisco7606 主要用于与炼化和油田等企业的主干网互联, 远端配置两台Cisco3745
, 并通过2M SDH 电路和备份链路(卫星或ISDN) 实现设备和链路冗余备份。
主干网采用星型的拓扑结构, 以总部为中心,连接各企业, 适合以北京总部为核心的业务运营模式,
因为主要的信息交换是总部和各企业之间。各企业与主干网的链路,
根据业务需求不同而选择不同的传输技术为主链路。
链路带宽要求大于512 kbps 而小于2 Mbps 的企业采用SDH 电路为主链路。小于512
kbps 的企业则采用DDN 传输技术为主链路。总部采用信道化E1 电路和信道化STM - 1
电路分别作企业的DDN 和SDH 电路的接入。
备份链路主要采用卫星专网(VSAT) 和ISDN。当主链路或主路由器出现问题时,
企业的备份路由器会主动拨号到总部, 提供备份连接。
2.3
网络路由选择与优化
主干网由总部的OSPF 区域0 、连接总部和其他企业的10 个OSPF 子区域组成。OSPF 区域0
包括总部主干网的核心设备。多个企业与总部的连接组成一个OSPF 子区域。每个OSPF 子区域与OSPF
区域0 连接, 整个子区域的OSPF 路由信息先被聚合(Summarization) ,
才分配进入OSPF 区域0 内。以缩减路由表及增加不同子区域的稳定性。OSPF 区域划分的原则如下。
(1)
每个OSPF 区域内, 所有企业的主路由器以同一类型的主链路连接总部的一台主路由器。
(2)
所有企业的备份路由器以同一类型的备份链路连接总部的一台备份路由器。
(3)
每个OSPF 区域的两台核心路由器以一个或两个同区域的设备局域网连接, 实现intra
-area的数据交换。
(4)
每个OSPF 区域主要采用同一厂家的网络设备。
(5)
每个OSPF 区域的路由器数目不可以超过40 。
(6)
减少每个OSPF 区域边界路由器ABR (总部核心路由器) 所支持的OSPF 区域数目,
以减少区域边界路由器的负担。
根据以上设计原则, 将远程节点与主干网路的接入归纳出8 中模型,
分别进行详细设计。工程实施后的实际运行表明, 网络的稳定性和可靠性都达到了设计的要求。
2.4
网络安全建设
中国石化2000 年制定了《中国石化网络安全建设规划》, 2001年开始实施了网络安全一期工程,
其建设重点如下。
(1)
中国石化的电视会议系统基于卫星链路,为了防止非法接入会场和接收会议信息, 保障系统的安全性和保密性,
使用链路加密设备实施对系统的加密传输。
(2)
中国石化主干网络使用的链路种类较多,而且随着电信运营商的服务质量、资费标准以及应用需求的变化,
需要经常调整。为此部署了IP 加密设备, 对主干网络系统加密, 保障传输的安全性和保密性。
(3)
选用NORTON 的产品, 在总部和企业部署电子邮件和INTERNET 的防病毒网关,
在客户端安装防病毒软件, 建立了系统的防病毒体系。
(4)
加强对总部和企业的因特网及其他外部网出口的安全管理,
设置防火墙和入侵检测等系统,对企业的外部网出口进行防护。
(5)
作为安全防护的重点, 调整了总部局域网的拓扑结构, 划分了不同的安全区域,
部署了防病毒、防火墙、入侵检测和漏洞扫描系统。
2002
年发布了《中国石化计算机信息系统安全管理暂行规定》,
规定了信息系统安全管理有关的管理原则、组织和任务、过程和方法、机房设施安全、网络安全、系统安全、数据安全、网站安全、病毒防护、运行安全、人员安全管理以及安全管理制度等。
3
网络管理系统建设与应用
3.1
网络管理系统建设的目标和任务
保证网络健康稳定地运行是一项非常复杂的任务。随着信息化步伐的加快,
网络规模和复杂程度在急剧扩大。网络的运行和管理涉及到传输介质,各种类型和多厂商的复杂设备,
同时还涉及许多专业机构和部门。要改变以往粗放式的管理模式, 必须采用必要的技术设备和手段,
建立完善的网络管理系统, 及时分析和处理网络运行中存在的隐患,缩短故障处理时间。
网络管理一直是网络建设方面的薄弱环节。根据“中国石化网络系统建设策略”,
2002年开始着手建立总部的网络管理系统, 该系统以总部和主干网为主,
同时通过分布的远程节点对主要企业网络和重点应用进行监测。其管理范围为中国石化主干网网络设备,
中国石化总部局域网网络设备, 中国石化因特网节点设备, 中国石化卫星专网设备,
中国石化总部局域网内的系统、应用及服务器, 中国石化因特网节点内的系统、应用及服务器,
中国石化因特网内的防火墙、IDS 负载均衡设备等, 中国石化总部桌面系统,
中国石化企业公司内的二级网管服务器, 中国石化企业网内的关键服务器。
3.2
网络管理系统架构
中国石化的网络规模十分庞大, 不可能使用一个管理系统就可以做到故障、性能、配置、安全的管理,
而且中国石化企业数量多, 分布广,
企业网络规模大、结构复杂。因此中国石化的综合网络管理系统采用了模块化, 既支持集中管理,
又兼容分布管理的架构, 采用三层架构即: 被管理层, 网络、服务器管理层, 综合管理层。
在三层架构下, 所有的被管理设备和服务器都会被安排到被管理层。因此, 被管理层内的组成元素包括:
中国石化总部、县、地、省级分公司的各种Nortel、Cisco 、3Com
及其他厂家路由器、交换机等网络设备; Nortel Passport 6480、4450
及其他各种交换设备;卫星专网的设备;防火墙、IDS 等加密设备; 应用系统、数据库和各种服务器;
其他设备。
所有专用管理系统都会被放到网络、服务器管理层和综合管理层内。综合管理层内的管理系统设在中国石化总部,
集中管理, 统一指挥。至于网络、服务器管理层内的网管系统, 则根据需求设立在总部或企业。
3.3
网络管理系统的逻辑结构与主要模块
经过多方论证和比较, 选用HP 的Openview为管理平台, 集成了CISCO、3COM、BMC
和LANDESK等第三方的软件。通过定制和二次开发、实现了对总部1500 台桌面系统、55
台服务器、200 余台主干网络设备、60 余台总部局域网交换机和重要的数据库系统, Notes、SAP
和Internet应用的实时监控, 建立了故障及服务处理流程。
在网络管理系统的实施和建设中, 使用和部署了以下的产品或模块: 综合管理, HP OVO、亿阳WEB
模块及HP SD工单系统; 网络设备故障管理, HP OVO/ NNM;系统故障管理, HP OVO
及HP OV/ IS ;安全管理, HP OVO 及HP OV SPI for Data
Networking Device ; 性能管理, 亿阳网络性能模块、HP OVO 及HP OV/ IS
; 配置管理,CiscoWorks 及3Com Transcend/
Supervisor;桌面系统管理, Intel LANDesk。
中国石化的综合网络管理系统的逻辑结构如图2所示。
图2 综合网络管理系统的逻辑结构
为了实现对关键应用的系统监控和管理, 在企业部署了远程监控节点。一方面企业可自行检测本地网络的运行状况,
另一方面还可以实时收集企业本地网的主要网路设备和关键服务器的信息, 掌握关键业务系统的运行状况,
上报总部网管中心, 及时发现和处理有关故障, 保证网络和应用系统的可用性。2003 年实施ERP
的企业进行了网络管理系统的建设。
4
结语
网络建设是基础, 建立完善的网络管理系统是保证网络可靠运行的必要技术手段,
落实管理机构、人员和制定切实可行有效的管理制度也是中国石化网络建设和管理中的重要部分。随着信息化的深入,
信息系统将成为中国石化生产、经营和管理的一部分,
对网络等信息基础设施的依赖性越来越强。在网络的运行管理上要像管理生产装置一样进行规范化和制度化的管理。要制定应急预案,
降低各种风险。
中国石化的网络建设经历了从无到有, 从小到大的发展历程。随着信息化的不断深入,
信息基础设施方面的工作重点也将从建设向运行管理转移。网络规模的扩大, 应用系统的普及和数量增多,
会极大地提高企业的整体效益。但是, 来自内部或外部的威胁也在增加, 病毒的爆发和泛滥, 黑客的入侵,
设备的故障, 以及人为的误操作等都会造成网络的服务中断,
给企业造成巨大的损失。只有对网络的规划、建设、运行和管理统筹兼顾,
并采用系统的、动态的和发展的思路解决各种问题, 才能保证网络系统的稳定、安全和可靠。 |