陈瑜 马海鹏

【摘 要】为了适应油田公司大发展和油田数字化管理系统对网络传输的需求，对我厂生产网络系统进行升级改造，升级改造的主要内容包括：提升采油厂汇聚层的网络传输能力（≥100Mbps），即增设必要的光缆和升级部分传输设备；优化全厂的网络结构，将生产（自控）网与办公网进行逻辑隔离，配套完善网络设备。确保全厂高速、安全、稳定的网络系统。

【关键词】生产网 办公网 网络隔离 防火墙

【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158（2013）03-0090-01

1、引言

为了适应油田数字化的快速发展，以及越来越多应用系统的上线和运行，应油田公司要求，加快完善油田基础网络，提升网络整体性能，优化网络资源配置、提高网络带宽、扩大覆盖范围、增强冗余能力、提高运维水平，为日益增长的各种业务数据传输提供高速、安全、可靠的传输平台。同时加大对骨干网网络、接入节点设备和各基层单位的网络进行扩容和升级改造，使网络覆盖到所有站级单位。为数字化和信息化的应用拓宽传输通道，为油气田数字化与信息化管理水平的稳步提升提供技术支撑。

2、网络系统改造前的网络状况

光缆及网络设备状况：

改造前全厂光缆不到400公里，其中大部分为架空光缆，还有部分地埋光缆。各类Cisco交换机共106台。

核心交换机运行情况：

改造前靖边核心交换机cpu利用率40%左右，最高达到90%.

3、网络系统改造内容及系统优化策略

改造后光缆及网络设备状况：

改造后全厂光缆增加了300多公里，并经过改造全部为架空光缆，各类Cisco交换机共120台，较之前增加了16台，并增加2台防火墙用于隔离办公网与生产网及厂出口。

靖边核心交换机运行情况：

改造后核心交换机cpu利用率6%左右。存有到达特定网络终端的路径，在某些情况下，还有一些与这些路径相关的度量。

利用防火墙建立路由表以此可以减轻核心交换机的cpu利用率，在没有安装出口防火墙之前，这些路由表都是在核心交换机上运行的，核心交换机运行路由表要耗费一定的内存。这样做可以使防火墙和核心交换机对路由表均衡负载。

C、利用防火墙隔离生产网与办公网

生产网是指所有通过数字化设备采集的实时数据的专有局域网，为油田数字化提供的专有网络。生产网是以“11”开头的网段；

办公网是指连接各大应用系统，比如A2、应急预警系统、数字化生产指挥系统等以办公为主的局域网。办公网是以“10”开头的网段。

在防火墙上做安全策略来隔离生产网和办公网。

D、实现办公网的优化

办公局域网由于IP地址分配不合理，造成IP地址不够用，广播域增大，容易引起广播风暴及洪泛。为了解决这些问题，采用子网划分，实现VLSM网络，这样能节约IP地址，采用增加冲突域的方法来缩小广播域。

4、效果分析

（1）此次网络系统升级改造后，所有光缆均为架空光缆。架空光缆较地埋光缆便于故障查询和排除。

（2）在此次网络系统升级改造中，扩大了全厂的网络覆盖范围。现在网络几乎覆盖了大部分井场，使得井场的各项实时数据能传输到应急预警系统及数字化生产指挥系统中。

（3）在此次网络系统升级改造中，在我厂的网络出口增加了一台出口隔离防火墙。

首先，这台防火墙控制了可以登录外网的网段，只有属于办公网网段的用户可以登录外网，其他用户只能登录我厂范围内的内网。

其次，把原先在我厂核心交换机上的路由表建立在这台防火墙上，实现了核心交换机与这台出口防火墙均衡负载，从而减轻了核心交换机的运行负担，降低其CPU利用率，来提高它的工作效率。

（4）在此次网络系统升级改造中，增加了一台Cisco3750作为生产网核心设备，用于物理隔离生产网与办公网。

（5）在此次网络系统升级改造中，增加另外一台防火墙在厂核心交换机上，用于逻辑隔离生产网与办公网，同时用不同网段的IP地址区分不同的网络。

网络系统升级改造后，网络结构发生了变化.总体而言，增加了生产网核心设备，两台隔离防火墙，同时原有的基础上完善了网络设备，扩大了网络覆盖面。

此次网络系统升级改造，主要是为了适应油田公司大发展和油田数字化管理系统对网络传输的需求。油田数字化的发展，需要越来越多的业务数据传输，因此在原有网络上充分结合网络现状，通过共享光芯，升级传输设备满足带宽需要，为数字化建设提供高速、安全、可靠的传输平台。