石化集团网络解决方案书
目录
1. 客户情况 1
1.1 需求分析 1
2. 网络总体需求 2
2.1 新网络需求 2
2.2 新体验需求 3
2.3 新融合需求 3
3. 解决方案 3
1. 客户情况
石化集团有限公司是占地面积58万平方米,现有员工4435人。集团的新厂区落成,需要进行信息化工程建设和搬迁。新厂区预计包含网络信息点200余个,主要分布于厂区内办公楼和厂房内,专门服务于集团新厂区的生产和办公,以及一些设备的远程管理和监控等,属集团核心业务网络。
集团搬迁工作中关于企业信息化建设部分的规划设计由集团信息中心负责。
1.1 需求分析
1.1.1 客户的动机和目标
1.1.2 客户动机
集团领导要求全集团“抓住难得机遇、实现战略搬迁”,在集团中层以上领导中开展“负责任、重执行、求实效”主题教育活动,实现企业又好又快新发展的目标。
1.1.3 客户目标
信息中心依据集团领导精神,制定了信息化建设的目标为:加强新厂区电子化生产和办公水平,打造稳定可靠、安全高效、易于扩展的信息化系统,提升新厂核心竞争力。同时,围绕战略搬迁的重点工程保障整体搬迁过程的平滑过渡,顺利完成。
1.1.4 客户的计划和工作
1.1.5 客户的计划
集团信息中心针对搬迁过程中的信息化工程计划了四步工作:制定信息化整体设计指导思想、制定企业搬迁信息化建设总体规划、完成企业搬迁信息化建设总体方案设计、分阶段实施建设工程。
在总体规划中具体制定了企业搬迁信息化建设的阶段规划:
基础环境建设
系统平台环境建设
基本应用软件环境建设
管理信息化建设
过程信息化建设
商务应用信息化建设
网络平台集成整合,管控数据集成整合,企业信息与市场信息良性互动。
通过阶段性的规划逐步实现工业化带动信息化,信息化促进工业化。为企业全面提升核心竞争力,提供优质的信息化保障能力。
1.1.6 客户的工作
按照规划,本次建设主要完成前四个阶段的工作,共分为三大部分。
第一部分:信息中心机房建设,包括网络支撑平台建设、网络应用平台建设以及机房基础设施建设;
第二部分:全厂区监控网建设;
第三部分:电话通讯与网络综合布线。
1.1.7 客户需求解析
2. 网络总体需求
作为连接整个企业的信息高速公路,本期建设的企业网络平台不仅应具有高速、安全、稳定、标准、可扩充、可移动性的特征,而且还应具有一定的技术超前性、较高的性价比,并适合业务的需求。
企业网络的建设,本着“实用、够用、适当超前”的精神,应遵循以下原则
高可靠性。具有高峰处理能力,支持全面数字化,支持语音、数据、视频集成,7X24小时不间断可靠运行;
高稳定性。保证星湘染化网络的稳定运行是我们的首要目标;
高性能。随着星湘染化业务的增长,网络将承担数据、语音和视频的传输,网络应具备高速转发性能,保证各项业务的顺利开展;
高安全性。具备防攻击,网络准入控制,虚拟专网和阻止病毒传播能力;
易于管理。基于业务的图形化统一管理界面,能够方便监控所有网络设备的状态,并对网络设备进行灵活的配置、管理;
灵活扩充。网络设备具备高性价比,满足目前需要,并通过灵活性和模块化的方式平滑升级网络功能和扩展网络规模。
2.1 新网络需求
应通过此次新厂区的网络建设,采用新技术,提高工作效率,提高集团生产力;
网络采用分区设计,满足不同功能区对网络性能、功能等多方面得需求;
建立独立的数据中心,为工厂的ERP、OA等系统提供优质的基础设施保障;
此网络属于核心业务承载网络,为大染化生产、办公服务,要求稳定,在方案设计上要采用冗余设计,能够抵御一定条件下的线路和设备故障;
无线网络可以结合有线网络设备管理系统统一管理;
无线网络系统可以在不改变主体架构的前提下,实现平滑升级和扩容;
网络管理系统不能只是仅仅管理网络设备,还需要对IT信息系统相关的资源进行管理,如数据库、操作系统、中间件等,能够进行综合的评估;
2.2 新体验需求
实现厂区内办公主机既可以访问内网也可以访问互联网,但是同一时间只能访问一个网络,避免中间人的网络攻击,对内网生产和办公系统造成影响;
办公区部分区域需要无线覆盖;
此网络会连接新厂区内所有办公终端和部分可联网监控的生产设备,需要充分考虑此网络的安全风险;
新厂区内将布设视频监控摄像头,摄像头与办公、生产公用一张网络,但需实现逻辑上的安全隔离;
2.3 新融合需求
新厂区与老厂区采用VPN设备进行安全连接,在利用互联网资源的同时,保障安全性,新厂区还需要具备个别用户使用VPN专线远程拨入的能力;同时市内办事处,也可以采用VPN的方式连接进来;
信息化、电子化管理和办公是集团发展方向,会逐渐增加业务系统,方案设计需满足星湘石化集团未来5~10年发展需要;
3. 解决方案
总体架构设计
图1 星湘石化集团岳长新厂区网络拓扑
3.1.1 解决方案介绍
分区设计
为客户提供的解决方案中,按照功能对网络进行了分区设计:核心区、数据中心区、办公区、出口区和视频监控区。
高速稳定
总体网络架构上设计为万兆骨干、千兆接入。考虑到实际业务需求与综合性价比,办公区依旧保留千兆到核心的设计。满足了大染化的数据、语音、视频等综合业务对网络带宽的需求。
同时,设计了核心网络设备万兆互联虚拟化,实现了核心业务在网络层面上低于50 毫秒的电信级切换,保障网络核心的高可靠和高稳定。全网配合以相应的QoS策略对核心ERP-U8业务做关键业务保障,提高了关键业务的可持续性。
智能出口
租用运营商互联网出口,通过高性能的出口路由器进行高速转发,并且在多运营商情况下实现链路的负载均衡和冗余备份。同时,由于目前P2P流量成为出口带宽的杀手,大量占用网络资源,导致正常的互联网访问不能正常进行。通过设置流控设备,深度分析会话应用,智能调节应用带宽分配,提高出口带宽利用率。通过设置流控设备,重点保证网页浏览,远程会议等关键业务,并与身份认证相结合,实现实名的带宽控制,保障重要应用和重要人员的互联网出口带宽。
可视管理
使用符合ITIL标准的RILL运维管理平台对整个集团的各类信息资源及基础设施进行面向业务的综合可视化管理。以业务为单位的集中可视化管理为实现数字染化的提供有效保障,减少因为各自独立的IT资源单点故障导致的定位不准、排障困难、影响面分析不足等问题,缩短由此而引发的办公、生产长时间中断问题。提升信息系统运维效率,提高大染化新厂区生产力。
安全可控
网络接入安全方面主要涉及安全入网身份认证系统的建立以及相关审计手段的完善。本方案将把入网实名认证系统和数据库日志审计、NAT日志审计进行有效结合,实现实名制的入网管理和日志记录。首先确保入网人员身份的真实性和安全性,其次是具备事后追查与追溯的能力。通过部署安全入网认证系统,实现整网的实名认证、网络权限划分等一系列功能。
独立设计的数据中心内部分为两个区域:办公系统区域主要是提供服务的统,如ERP系统、OA系统、邮件系统等;测试区主要是为了避免新系统上线对现有网络造成影响而专门开辟的测试环境。此环境从物理上与工作区环境完全相同,但受到更为严格的安全策略控制。
灵活接入
从网络区域的安全考虑,我们将楼内的安全域划分为内网域和互联网域,用户在进行入网认证时进行安全域的选择。当用户选择互联网域时,用户可以访问Internet,并且与内网相关的服务器逻辑隔离;当用户选择内网域时,用户与互联网断开,不可访问Internet。通过这种技术,实现用户同一时间只能登陆内网或外网,从而保护内网完全。
在办公楼部分区域使用无线覆盖,提供3×3MIMO的智能天线技术实现无线网络的高速稳定接入。结合802.1x和WEB登录结合的无感知认证技术,为合法用户提供一次登录终身使用的无线体验。在无线覆盖区内,合法用户可随时随地的接入办公网处理相关工作。
统一融合
通过逻辑隔离和VPN通道技术将新旧厂区和市内办事处的视频监控网络、办公OA网络以及生产数据网络进行统一融合,实现了关键节点的全面覆盖,同时通过逻辑安全隔离等方式,保证了视频数据和生产、办公数据在两厂一办之间的平滑传输。
使用效果
本解决方案在实施完毕后实现了如下效果:
网络按照功能分区,针对不同的区域有不同的网络访问权限及安全策略,增强了信息中心的管理力度,简化并明晰了网络结构;
关键节点线路和设备均实现冗余,极大的降低了断网故障的发生几率;
信息中心管理员使用RILL运维管理平台进行的网络管理工作聚焦与业务而不再仅局限在网络设备,故障定位与排查的效率极大提升;
只有经过实名认证授权的人才能使用符合相应安全基线的主机,才能访问办公楼网络;
用户上网过程中一旦实时监测到用户的违规操作,IDS会进行指定动作(帐号加入认证黑名单并即时踢下线);
数据中心分为办公系统区域和测试区域,即实现了测试环境与工作环境的标准化;
融合的视频监控网络覆盖了新旧厂区,通过逻辑安全隔离等方式实现了统一网络上的视频数据安全传输。
石化集团的客户通过本方案的实施落地:
获得了高带宽、高稳定可管理的新网络;
获得了基于网络安全可控条件的灵活接入新体验;
获得了新老园区平滑过渡、无缝连接,多业务综合统一的新融合方案。
