制造业信息化解决方案
高可靠、低成本—构建煤炭企业核心竞争力
煤炭行业信息化需求分析
煤炭作为我国的主要能源,在一次能源生产和消费结构中始终占70%左右,但目前我国煤矿安全生产形势严峻,伤亡人数为世界上主要采煤国家死亡总数的4倍。为此,国家先后出台《中华人民共和国矿山安全法》,制定“关小扶大,扶优汰劣”的煤炭产业政策,并规定矿难赔偿不少于20万等一系列法律法规,“安全生产”已经成为目前煤炭企业的生存之本。
另一方面,由于原煤产品不需要“制造”,同级别煤炭产品并没有品质上的差异,谁能降低生产成本,降低销售价格,谁将在竞争中占据优势地位,成本领先战略成为煤炭企业的核心竞争战略。
“关注安全生产”,“降低生产成本”将在目前以及未来长时间内指引煤炭企业的生存和发展方向,而煤炭企业信息化已经证明是达到以上目标的一种有效技术手段。
在黑龙江省,自2002年10月开始建设的“防止煤矿瓦斯爆炸实时监测管理系统”,已经覆盖全省800多处矿井,平均每月接到和处理瓦斯超限、风机停运等警报数千起,大大减少了瓦斯事故的发生。
在河北省沙河市,自2004年4月建立监控系统以来,监测出了将近900起瓦斯和一氧化碳超限现象,及时排除了12起重大隐患,全市80个煤矿已连续14个月消灭了瓦斯事故和死亡事故……
“高可靠、低成本”数字矿山解决方案
通过对煤炭企业需求的深入理解,H3C利用先进实用数据通讯技术与产品,提出了数字矿山解决方案。一个典型的数字矿山网络可分为办公信息网和矿区生产网两部分,通过安全分区隔离,选择高可靠的网络产品、高可靠拓扑结构设计和高可靠路由规划,可为煤炭企业构建坚实的网络基础平台;结合集合通讯、IP数据存储、EPON等技术,可最大程度降低企业信息化成本。
高可靠网络平台、全业务安全保障
—构建煤炭行业生命承载网络
高可靠矿区生产网——光纤环网拓扑结构设计
矿区生产网直接承载了煤炭生产调度、瓦斯监控、井下生产人员安全管理、风机监控等关键业务,任意一个环节出现问题,都可能导致爆炸、塌方、渗水等致命事故,矿区生产网的安全性设计、可靠性设计是矿区生产网最核心的内容,典型矿区生产网方案示意图如下:
为保障生产网的安全,生产网全部采用高可靠光纤环网技术,一方面光纤能够避免强电磁环境的干扰,能更好的适应井下高温、高湿、电压不稳等恶劣工作环境,同时环型组网与星型组网相比,还能极大节省矿井布线工作量,最后,光纤环网上将启动RRPP(Rapid Ring Protection Protocol)快速环网保护协议,与传统的STP协议所需的秒级切换相比,RRPP在200ms内即可完成倒换,能最大程度降低因光纤链路故障导致的业务中断时间。
考虑到井下工作环境的恶劣性,井下设备建议选择第三方的工业以太网交换机产品,它们具有防尘、防暴等本质安全特性,对于井上生产网设备,由于其工作环境良好,可完全采用商用设备,这样的组网成本、维护成本更低。
矿区生产网、办公信息网安全隔离与接入方案
由于矿区生产网事关煤炭企业生产运营以及井下人员生命安全,生产网的安全性要求非常高,生产网内只允许少数合法用户具有网络接入和业务系统访问权限,生产网与办公信息网之间将通过防火墙设备实现安全隔离,生产网用户可正常访问信息网资源,但与Internet隔离,避免互联网病毒和黑客的入侵,而信息网只有特定用户可通过防火墙DMZ区的代理服务器访问部分生产网数据。
在与信息网完全隔离以后,矿区生产网作为一个相对封闭网络,如何解决内部用户安全接入成为矿区信息化关重点,根据美国FBI&CSI及中国CNISTEC官方机构的调查显示,非法用户的内部网接入对重要信息的破坏和泄密所造成的损失远远超过病毒感染和黑客攻击,安全威胁80%以上来自内网。
为此,H3C建议生产网内只承载生产相关的业务系统,并在生产网交换机上启动端口MAC地址绑定和802.1X接入认证技术,只允许合法的计算机终端和合法计算机用户接入,同时还将在计算机终端上启动Windows域管理技术,除了少数网管人员具有域管理的管理者权限以外,实际的业务系统操作人员只具有域管理的普通用户权限,普通权限用户不能在生产网计算机上安装、卸载任何软件,甚至还可限定他们只能运行特定软件,结合计算机物理安全技术,例如拆除光驱软驱、封闭USB口,添加机箱锁等措施,生产网的接入安全问题可以得到高度保障。
但对于矿区办公信息网用户而言,由于随着煤矿信息化程度的提高,越来越多的矿区开始拥有独立的互联网出口,普通的办公类计算机均具备了Internet上网权限、办公网用户拥有自行安装、卸载软件的权限,矿区生产网所采用的强制Windows域权限管理方式已不满足办公网用户需求。为此,H3C专门开发了端点准入防御(EAD,Endpoint Admission Control)解决方案,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动技术、以及对用户终端强制实施安全策略,严格控制终端用户的权限等方式可有效解决这个问题。
一个正常的煤矿办公信息网用户在接入网络之前,必须要通过身份认证,要求用户输入用户名、密码信息,只有合法用户才能接入到网络中,身份认证通过后,EAD客户端还会检查用户计算机的安全状态,包括计算机操作系统补丁安装是否合格、病毒库定义是否合格、是否启动防病毒软件、是否安装了非法软件(例如QQ聊天、BT下载等)、是否只启用符合其身份的应用软件……只有通过安全认证,计算机才能正常接入到网络中开始工作,安全状态检查只要有一条不能满足要求,该计算机将被安全隔离到隔离区,并在隔离区内自动安装系统补丁、防病毒软件、卸载非法软件等。
除了提供用户安全认证,EAD解决方案还可实现基于用户的网络访问权限管理,包括哪些用户可以访问Internet,哪些用户可以访问财务服务器等。EAD在为办公信息网用户提供足够灵活性和方便性的情况下,为办公信息网构建了一道安全坚固屏障。
考虑到矿区办公信息网还有Internet访问接口,虽然防火墙作为信息网和Internet的隔离设备,可以抵御绝大部分来自互联网的攻击,但随着网络攻击方式的多样化,防火墙基于TCP/IP 3层和4层的访问控制对于7层的应用层攻击威胁却往往无法识别。另外,由于越来越多的病毒和蠕虫基于Internet网络来传播,且传播速度极快,以SQL Slammer为例,10分钟内,SQL Slammer感染了全球90%的有漏洞的计算机,如果防火墙对于这些威胁不能识别,纯粹依靠人工手动的打补丁、升级防病毒软件、在防火墙上设置ACL,根本无法抑制这些蠕虫病毒的大规模泛滥。
为了弥补防火墙的以上不足,H3C建议在矿区信息网的互联网出口处部署专门的IPS入侵防御系统。H3C的H3C IPS产品自2002年发布以来,已迅速成为提供基于网络的入侵防御系统的领先厂商。H3C的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VoIP等多种应用层攻击以及点到点应用滥用,通过深达第七层的流量侦测,H3C的入侵防御系统能够在发生损失之前阻断恶意流量。利用H3C提供的数字疫苗服务,入侵防御系统还能从Internet实时得到漏洞特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新,将传统的人工被动防御转变网络自我主动防御,能抵御最新网络攻击。
矿区办公信息网Internet流量监管与广域网流量优化
随着煤炭行业应用系统越来越广泛,网络承载的业务也越来越丰富。如何规划矿区与集团公司的广域网带宽?局域网建设千兆骨干网带宽能否满足要求?企业网络管理人员只有详细了解网络业务的流量特征,才可能对网络带宽配置最优化,并及时解决网络性能问题。但由于过去缺乏流量分析工具,导致网管人员无法对以下问题给予准确答案:
网络的可视性:网络利用率如何?什么样的程序在网络中运行?主要用户有哪些?网络中是否产生异常流量?有没有长期的趋势数据用作网络带宽规划?
应用的可视性:当前网内有哪些应用?分别产生了多少流量?网络中应用使用的模式是什么?企业内部重要应用执行状况如何?
用户使用网络模式的可视性:哪些用户产生的流量最多?哪些服务器接收的流量最多?哪些会话产生了流量?分别使用了哪些应用?
为了应对企业网络管理中的这些问题,H3C公司的NTA(Network Traffic Analysis)解决方案应运而生!
所谓的工欲善其事,必先利其器,NTA解决方案可以帮助网络管理人员了解企业内部网络之运行状况,及时发现并解决网络中的性能瓶颈问题、网络异常现象,也能方便用户进行网络优化、网络设备投资、网络带宽优化等的参考,并方便网络管理员及时解决网络异常问题。
Network Traffic Analysis解决方案包括:网流采样设备(NetTraffic Exporter)、网流流采集设备(NetTraffic Collector)、数据分析处理设备(NetTraffic Processor),三个设备之间的关系如下图所示:
NTE负责流量的采集和发送,NTC设备负责收集和存储NTE发来的流量统计数据信息;NTP从数据库中获取收集到的数据,经分析加工后以直观的图表、报表等方式为网络规划、网络优化、网络监控、应用监控等提供直接的数据依据。
H3C系列化的路由器、交换机均可作为NTE设备提供流量统计功能,针对客户可能已经采用其他厂商设备组网的情况,H3C还可提供DIG流量分析探针设备,只要网络设备支持端口镜像,DIG采集设备能直接从镜像端口收集网络流量信息,并形成DIG日志提供给NTC/NTP进行流量分析。
NTE设备/DIG设备与XLog应用平台相互配合,可实现按端口流量统计、按应用流量统计、按访问目的地址流量统计、以及按用户流量统计等多种统计方式,使用户对网络应用流量分布了然于胸。端口流量统计、应用流量统计两种典型应用分析图表如下:
端口流量统计报表:给出一段时间内入出流量的趋势图,以及按入出流量统计总流量、最大速率、最小速率、平均速率,并给出流量明细信息。
有了详细的流量监控,这一方面能为网络规划提供依据,同时还能及时发现网络中的“非法”流量,针对企业中常见的QQ视频聊天、BT下载等非工作流量,H3C的Tipping Point IPS设备通过对2层到7层流量的深度分析与检测能力,可对所有主流聊天工具、下载工具进行识别,P2P应用识别率可达到98%,处于业界领先水平,在应用识别的基础上,可自由选择限制带宽、和阻止运行两种方式保护煤炭办公网的可靠运行。
网络新技术,降低信息化成本
—提升煤炭企业核心竞争力
由于煤炭企业的产品—煤,本身并不消耗原材料,相同级别的煤炭产品不存在品质上的差异,因此煤炭产品的价格成为煤炭生产企业核心竞争力的关键因素。除了控制煤炭挖掘过程中辅助材料消耗成本以外,如何在企业信息化投资上降低成本也成为了煤炭企业信息化的关注点。
H3C的煤矿解决方案从降低建网成本、降低通信成本、降低维护成本等多个方面进行了详细分析和设计。
降低煤炭广域网光纤线路部署成本
—RPR、EPON新技术的应用
由于煤炭企业生产矿区普遍分布较远,如何将各个矿区网络低成本、高效率的互联是煤炭广域网设计中考虑的重点。
RPR光纤环网解决方案
针对煤炭企业一个核心、多个矿区分布的实际情况,最理想的广域网方案为双核心、双归属拓扑结构,每个矿区均有两条独立直达的光纤链路到集团核心,这种组网模式具有高可靠、高性能的特点,但由于矿区一般都比较分散并且位置偏远,这种方式导致光纤部署成本会非常高。考虑到这个问题,实际煤炭企业在构建光纤通信网时普遍采用环网拓扑结构。
在环型拓扑结构中,RPR(Resilient Packet Ring)弹性分组环技术成为IP数据网最佳选择,RPR技术结合了SDH光传输技术的50ms高可靠环网倒换技术,又具有以太网包交换的高带宽使用率和低成本,整个环网只需一对光纤即可,由于RPR这些突出优点,它已经成为当前城域网、园区网建设中最主要的技术方案之一。
RPR技术还能在网络拥塞和多种不同类型业务统一承载的情况下,仍能保证高的带宽利用率和良好的输出质量;并根据节点数目的多少和节点间距的远近,自动调节环网拓扑结构;大至城域网和广域网,小到大楼内的环网,都能保证内部节点业务流量的公平性;同时能针对不同业务对带宽和时延的不同要求,提供不同的服务级别,保证语音、视频等实时业务的高质量传输;
H3C的NE系列高端路由器、S85系列高端交换机均能提供RPR连接功能,只需一对光纤,就可轻松实现几十个矿区的高可靠、高性能互联。
EPON以太网技术
针对某些煤炭企业矿区站点密集、分布广,光纤缺乏的情况,还可采用更经济的EPON技术实现高带宽接入,所有接入站点可共享一条光纤链路的千兆带宽。针对用户信息点分布情况,EPON主要有狭长地带用户解决方案和偏远地区密集接入两套方案。
节省主干光纤资源
保障在使用1根主干光纤的情况下,通过无源分光器接入多根分支光纤(最多32根),每根分支光纤可分别接入不同用户,完全解决远距离光纤接入时主干光纤资源不足的瓶颈问题,同时相比传统点对点光纤接入组网,节省了大量OLT侧光适配模块。
无源网络结构保障电信级高可靠性
EPON网络中无有源电子器件,维护成本显著降低;同时由于网络组件数量少,因此故障点也相应减少,运营支出最大程度地降低。
10~20Km超长距离传输
可以在高带宽的情况下保证10-20Km的传输距离,完全克服了以太网和xDSL技术在距离和带宽上的局限性,使接入方案的部署更为灵活。
带宽按需分配并动态可调
接入带宽从1M~1G可以任意调整,支持动态带宽分配(DBA),可以根据不断变化的用户需求和相应的服务级别来动态地进行带宽分配。
高度集中的运营管理与维护
支持对ONU的集中管理/远处监控/远处调测/远程维护/远程在线升级;可限定特定的ONU和PC接入。
“三网合一”降低煤炭企业建网成本
在传统煤炭生产企业中,各业务通信网络往往处于独立分割的状态,例如煤炭矿区生产网中,瓦斯监控、井下工业电视、井下电话通讯系统、井下数据网均为独立建网,网络、终端、标准、协议、功能等都彼此不同,各种通信模式无法互通,这一方面造成企业建网成本和维护成本高昂,而且对煤炭信息化整合带来无法逾越的数字鸿沟。
随着煤炭企业信息网的完善,IP技术的成熟,越来越多的业务系统均可由网络统一承载,语音、视频、数据三类业务系统融合过程中,将极大降低煤炭企业的信息化成本。
在将原有企业多张独立网络融合改造过程中,企业可最大程度节省建网成本和维护成本,具体优势包括:
1、创新新业务,提高企业竞争力
IP集合通信通过语音、视频与数据的融合,为企业建成一个基于IP的通信平台,为日后实现丰富的端到端的IP通信业务打下基础。在继承传统语音、视频业务的同时,可以方便支持新的业务,如电话会议,语音信息,可视通信、统一电话目录服务等,使通信系统成为企业进步的驱动力。
2、节约通信成本
对于一个大型煤炭企业,往往存在分布在不同区域的多个矿区分支机构, 在建设IP集合通信系统前,不同分支间的通信往往是通过运营商的长途线路进行的,企业每年都为此支付不菲的费用。如今,通过IP集合通信,企业内部的语音通信可以转化为IP报文,直接通过企业内部IP网络进行,从而极大的节约了企业的通信成本。
3、降低网络管理成本
通过IP集合通信,实现了企业数据、语音、视频系统的管理融合。通过一套管理系统即可对数据及语音的设备、用户及应用进行管理。由于是基于IP,具备很大的灵活性,企业的电话可以根据企业业务的发展及组织的变更灵活的扩充网络、调整号码分配方案。也可以支持企业员工的移动办公,员工的办公位置发生变化后,只需在管理软件上作相应的简单改变,该员工的号码不变。
IP存储“海纳百川”,Neocean实现低成本、易扩展的数据共享平台
信息或数据在IT系统中,总是必然处于计算、存储、传输三个状态之一。这三个方面也正好对应于整个IT技术的三个基础架构单元——计算、存储和网络。
从90年代后期,从FC协议的标准公布开始,以SAN(存储域网)的建设为代表,IT行业开始了计算与存储分离的探索,在过去以FC协议为主的SAN存储系统建设中,人们逐渐发现FC协议虽然基本解决了传输速度和扩大容量的问题,却难以完全承担起存储系统独立化的的重任,FC SAN的互操作性仍是实施过程中存在的主要问题。
由于煤炭行业尚没有统一的存储标准,各个应用系统厂商各自选择不同的FC产品,FC存储兼容性差、成本高昂、扩展能力差、异构化严重的问题已经极大的制约了煤炭信息化的持续深入展开。
面对FC SAN存在的问题以及IP技术的不断成熟,以太网带宽从10M发展到了10G,整整提升了1000倍,2003年,以IBM等公司共同发起的基于IP的iSCSI(Internet SCSI)协议,通过IETF组织的审议,公布为RFC标准。
iSCSI标准一经公布,就以其低成本、高可管理性、天然的跨广域数据传输和管理能力、海量组网能力得到了业界的青睐。由于将SCSI数据传输的基础从封闭昂贵的FC协议转移到IP之上,使存储系统突破了长期困扰的兼容性、成本和管理性桎梏,使存储网格、广域数据传输、大规模服务器数据集中、远程容灾、高性能交换式存储架构等存储技术脱下昂贵的外衣,成为广大行业客户均能轻松获得的最新存储技术。
基于对IP技术的深刻理解和长期技术积累,在由4000多项专利组成的IP专利技术群之上,H3C公司与国际一流的存储软硬件供应商合作,共同开发推出了Neocean自适应网络存储系列产品。以IP存储技术、WSAN(广域SAN)技术、网格存储技术、虚拟存储技术、数据应用服务技术五大技术群,构建了新一代自适应网络存储体系。
通过IP存储产品的引入,Neocean一方面可实现煤炭企业原有FC存储系统之间的数据共享,保护用户原有投资,在另一方面,可将煤炭企业后续数据扩展平滑切换到IP存储之上,为煤炭企业提供易扩展、高安全、高性价比的数据存储新格局。
多功能Quidview网管系统降低煤炭企业系统维护成本
早期网络设备厂商在为煤炭用户提供管理解决方案时,主要集中在网管软件能对全系列网络设备和设备互联链路的管理上,检查设备是否有故障,链路是否出现拥塞等。诚然,网络出现问题,煤炭应用系统肯定会出现问题,但保障应用系统可靠运行的因素并不只涉及网络,还包括很多因素,例如服务器是否出现问题、存储系统是否出现问题等,只有对威胁应用系统可靠运行的所有因素综合考虑,才能快速定位问题,解决问题,将系统故障对生产造成的损失降到最低,这样的网络管理系才能满足煤炭用户对业务的高可靠性要求。
H3C的Quidview网管平台在提供传统网管软件的设备管理、拓扑管理、性能管理、故障管理等功能基础之上,还针对国内用户需求做了很多实用性功能开发。例如煤炭企业在持续信息化投入过程中,经常出现多厂家设备混合组网的情况,而单一厂商的网管软件无法对其他厂商设备进行管理,这给企业的网络故障定位带来很大困难,H3C Quidview网管可轻松实现H3C、3Com以及其他厂商设备的统一管理。
在煤炭企业网络环境中,除了要保证路由器、交换机这些关键网络设备能够正常运行,保证服务器的"健康"与否同样关键,只有承载核心业务系统的服务器能够正常运行,各种业务才能顺利开展。Quidview除了能够实现对网络设备的管理外,还能监视服务器的CPU、内存、硬盘等资源的利用情况,保证服务器的正常运行,同时还支持对服务器上运行的各种关键业务进行监控,保证煤炭安全生产的正常开展。
Quidview网管平台还能与H3C的CAMS用户认证平台、XLog用户日志系统、IPS入侵防御系统等多种产品相互配合,提供更多实用功能,例如可为瓦斯监控等关键业务预留网络带宽资源,记录用户的登录网络端口、登录时间、网络访问记录等,为后续的网络故障排除记录详细的原始资料。
Quidview采用了全中文图形化操作界面,具有使用方便、功能强大的特点,同时Quidview还配备了详细的故障知识库管理功能,对于常见网络故障,系统可提示用户故障原因并引导客户解决问题,并且网管人员还可自行添加故障类型和故障解决办法,通过不断的积累企业网络故障维护经验,可有效帮助煤炭企业网络维护人员提升技术水平,降低网络维护工作量,迅速定位和解决问题。
煤炭信息化未来展望
煤炭信息化虽然面临标准不统一,技术人员缺乏等诸多困难,但煤炭信息化发展到今天,已经为保障企业安全生产,降低企业生产成本,提升企业核心竞争力做出了重大贡献,面对煤炭信息化持续关注安全和成本的发展趋势,H3C立志于为煤炭用户提供一种多业务融合、安全可靠、可继承发展的高品质IP网络,使网络能更好的与煤炭业务相结合,并能伴随煤炭企业的不断发展,提供平滑演进的能力。
H3C——数字矿山的共同建设者,愿伴随煤炭行业信息化共同成长!
|