千兆位网络技术的开发与应用研究
傅瑞军 肖从毅 王建勇 张明安 冯金忠
摘要 针对地质院科研生产实际,并结合胜利油田有限公司大网环境,对千兆位网络的新技术进行研究,探索建设网络应用基本硬件环境;在网络安全、网络运行等方面探索有效管理的方式和方法;以网络建设和网络管理为基础,建立各类共享网络应用系统,更好地为科研生产服务。
关键词 千兆位网络 网络管理 网络应用研究 网上协作 数字签名
一、引言
进入20世纪90年代,网络及相关技术发展迅速,成为带动社会和科技进步的主要力量。1997年地质科学研究院(地质院)开始网络设计、规划与应用研究工作。1999年引进投产了集成千兆位和三层交换等先进技术的网络系统设备,其网络设计结合了地质院软、硬件资源及各研究室在办公大楼中的分布,采用技术比较先进的千兆位以太网技术,分别辅以大量的千兆位、百兆位、十兆位的独享交换端口,并以此套设备为核心,构筑起地质院信息系统工程的基本应用框架。
二、需求与技术分析
地质院是胜利油田有限公司油气田勘探和开发的科学技术研究机构。地质院在盆地模拟、三维地震解释、油藏描述、复杂断块油田开发、水平井稠油热采、油藏数值模拟、现代试井等方面的研究取得突破性进展,并达到国内先进水平。随着胜利油区勘探、开发难度的不断加大,地质院每年所承担的科研课题数量越来越多,涉及的领域越来越广,其研究的难度也越来越大。根据目前油田的生产规模(29000口井,1900km2三维地震资料)和地质院所承担的研究、生产任务,每年需要引用的原始数据量为地震剖面数据1TB,测井数据1TB,开发数据1TB,钻井数据1TB,其他数据1TB,次生数据10TB;考虑到类似研究的重复性,全院近百项勘探、开发研究生产任务所需引用信息量约100TB,次生信息约100TB。地质院与外部单位及地质院内部的信息流向关系十分复杂,其网络信息系统必须从网络管理、网络安全、网络基础系统、网络应用各方面进行全面开发,以满足地质院对网络信息系统不同层次的需求。
交换技术、虚网技术、三层技术、千兆位技术等网络新技术的应用,使网络性能得以大幅提升,应用范围也不断拓宽。地质院网络系统开发与应用研究的内容包括:网络建设(研究、探索建设网络应用基本硬件环境);网络管理(在网络安全、网络运行等方面探索有效管理的方式和方法);应用研究(以网络建设和网络管理为基础,建立各类共享网络应用系统)。
三、网络建设
1.网络技术选择
当前的网络技术包括交换技术、虚拟网络技术和快速网络技术。
交换技术能够将现有各种技术的网络带宽成倍地提升,同时又包容这些网络技术,是目前网络技术的主流和发展方向。
虚拟网络技术能够在现有物理网基础上,根据实际网络应用的需要灵活配置,保证网络信道始终能够保持极高的效率,避免了信息无谓拥塞。
快速网络技术主要包括FDDI技术、ATM技术及快速以太网技术。FDDI技术目前已逐步淘汰;ATM异步传输方式由于其价位较高,只能作为骨干网。快速以太网技术的国际标准已经形成,各网络生产厂家都推出其快速以太网产品。它也可用于构筑中、小规模的骨干网。特别是千兆位以太网产品大量应用于中距离的骨干网和局域高速网。
通过对地质院信息系统工程的需求分析,结合当前网络发展趋势,考虑到以太网技术系列在兼容性、易用性、性能价格比、可发展性、主干性能、技术标准成熟度等方面的优越性,可采用以千兆位以太网技术为主构筑地质院网络硬件体系[1]。
2.网络拓扑结构分析与选择
根据目前网络技术发展状况,主要有三种网络拓扑结构可供选择:①总线结构,其缺点是网络速度较低,网络故障不易定位和隔离;②环形结构,一般用于令牌环网和FDDI网络中;③星形结构,星形结构非常灵活,易于管理,物理传输介质的选择范围宽,适合目前出现的包括以太网技术在内的各种网络技术,符合结构化布线技术的要求[2]。
3.网络方案设计
根据地质院计算机应用现状和科研生产对信息的需求,以其实际信息流量、流向,兼顾地质院管理与组织结构的特点及计算机网络技术的发展趋势,地质院信息系统工程规划方案如下特点。
第一,网络系统分为三个部分。第一部分是以建筑楼为单位的局域网络系统;第二部分是百兆、千兆网络骨干;第三个部分是核心交换机和服务器。
第二,千兆位以太网、快速以太网、油田千兆位主干网通过功能较强的交换机器相连、分隔。由于采用交换机作为网络的中心,为构筑网络防火墙及虚网的划分创造了有利条件,同时也保证了信息不互相串扰,各部分网络系统都能以较高的效率运行。
综上所述,地质院综合信息网络为一星形结构,它与地质院的组织机构及信息流动方式、路径保持一致。骨干网分别对应勘探系统、开发系统、测试中心、档案情报中心、计算所等局域网络系统[1]。
四、网络管理
1.管理技术分析
网络管理的核心是通过技术手段对进出交换机端口的数据流进行监测和调控。其三层交换的工作过程如下。
第一,三层交换通过若干个MAC-IP地址对与所有子网建立连接。
第二,当源主机向不同子网的目的主机发送信息包时,源主机将发送带有设置为目的主机IP地址和设置为相应的三层交换MAC地址的信息包;如果源主机不知到三层交换的MAC地址,它将通过ARP请求查询到所需地址。
第三,当三层交换收到源主机发送的信息包后,它将检查目的地址是否在与其直接相连的子网上,如果在,三层交换将信息包传送到目的子网,如果三层交换不知道目的主机的MAC地址,则在传送前执行ARP请求。
SMON的功能在于分类统计进出各交换机端口的信息包。
通过上述分析可知,三层交换可以控制子网间信息的流动;通过控制交换机的MAC-IP地址对,可以实施对端口的有效管理。
2.网络管理技术路线及方案设计
根据网络标准层次模型(图1)结合网络管理技术分析得知,实现网络管理的有效入口点在于应用层、二层交换和三层交换。
图1 地质院网络(单向信息流)层次模型图
3.网络管理及安全措施
(1)实现子网和虚网的绑定
为地质院各三级和四级单位划分了子网,实现了隔离。由于采用了灵活的星形结构和三层交换技术,子网的划分可以跨骨干和交换机。为提高各子网的安全性,进行了数据链路层的隔离,用户只能在自己的子网与虚网范围内选择地址,不可能实现跨网段的IP地址盗用。
(2)网络地址与网卡 MAC地址的绑定
在三层交换机上建立网络地址与网卡 MAC地址的对应关系数据库,保证网卡 MAC地址与IP地址的一一对应。用户不能通过更改 IP地址的方法骗取某些IP地址的权限,更换网卡也不能达到目的。盗用IP地址的用户已经被取消出访和接收外部信息的权利,从而扼制了IP地址盗用的行为。
(3)路由器上启动弱防火墙功能
根据规则或单位用户的要求,在路由器上启动相应的防火墙地址和端口过滤功能[3],能够限制子网内部用户访问其他子网和油田其他单位网络,也同样可以限制油田外部网络用户对地质院敏感资源的访问,限制地质院其他三级单位对本单位的访问。
(4)定向路由技术
在重要的大中型UNIX服务器上,应用定向路由技术,只允许特定的网络和特定的IP地址与本服务器通讯;不设定缺省的网关,对开放的网段和开放的主机,设定正确的路由。对于非设定范围内的网络地址,不进行通信信号的应答,拒绝非法网络用户对服务器资源的使用。
(5)路由选择技术
在两个并行路由器上进行不同的设置,根据用户的需求制定两套不同管理方案,由用户进行选择。
(6)服务器应用系统的控制功能
对各类应用系统进行访问控制的研究,利用现有应用系统的有效控制手段,最大限度地保护主要应用的安全。如UNIX系统中设定NFS和X-WINDOW服务由某些网络用户使用,可以精细到某个IP地址上某一用户。NT服务器也有自己的一套相对完善的用户管理安全措施。在WEB服务器也可以进行用户和网络地址的限制,保证合法用户的正常使用。
(7)完善网络管理信息数据库
信息管理数据库把复杂、繁琐的管理维护工作纳入计算机数据库查询管理。通过数据库管理系统对网络管理维护实施档案数据的动态管理,使网络故障的定位更方便快捷,管理思路更清晰。
(8)SMON控制
SMON控制可对虚网或端口进行以下各组信息分类统计:好包比例,坏包比例,广播包比例,每秒数据包流量,每秒坏包流量,每秒广播包流量,单目的包流量,多目的包流量,含优先权包流量和带宽使用状况等。
五、网络应用开发
1.应用系统的分析设计
应用系统的设计原则应以地质院现有的网络环境为基础,结合其组织机构和地理位置分布,遵循软件系统开发的一般步骤。该系统在开发初期应进行深入的需求分析,建立详尽的开发计划,制定切实可行的验收考核标准,抽象出可操作的数据模型,增加应用软件的可移植性。
2.数字签名
信息安全传输技术的核心是数字签名技术的实现。数字签名技术主要被网上信息发送和接收方用来相互确认身份。采用大数分解难题生成公钥d和私钥e,以保证接收到的不被片面性[3]。
3.虚拟主机服务
用户发布和管理一个网站需占用一台计算机服务器的全部资源。对于高性能服务器,导致巨大的资源浪费。由于服务器采用的是多用户操作系统,通过技术改造,可用一套服务器虚拟实现多套服务器的功能,使没有网络服务器和网络地址的用户也可发布自己的网页。
虚拟主机服务可由硬件虚拟主机和软件虚拟主机两种方式实现。由于UNIX强有力的多用户处理能力,其虚拟主机能力可达256个,即一台服务器可以充当256台服务器使用。
4.电子邮件服务系统
地质院电子邮件服务系统的使用范围仅限于本院,设立该项服务系统的目的在于为其办公自动化系统的开发使用建立基本环境。由于NETSCAPE MESSAGEING支持LDAP协议,因此可以利用目录服务信息系统提供的信息实现用户组的划分,从而实现信息的定向成组发送和成群发送,为各类办公自动化活动的开展创造极为有利的条件。其基本特性为支持SMTP、POP3、IMAP4、MIME等协议。
5.网上协作系统
网上协作系统可以使分散的专题组成员在网上进行信息交流、问题讨论等。网上协作的基本工作过程:假设A、B、C共同承担一项研究任务,他们虽处于不同的地理位置,分属于不同的研究院或采油厂,但仍可以通过网络相互交流。使用网上协作系统,A、B、C便可将自己取得的进展通过网上协作组及时与他人共享;如遇到无法解决的问题,可将问题放到网上协作组,协作组成员可以协同一致予以解决。
网上协作系统的应用(图2)不仅限于课题的攻关,还可用于办公自动化系统。
图2 网上协作系统应用逻辑图
6.DNS域名服务系统
域名服务主要解决实现计算机名字和计算机IP地址的自动转换。该系统的硬件环境为SUN WORK-STATION,软件环境为SOLARIS 2.6操作系统NIS。
建立域名服务系统的关键,一是严格按照要求定义各项属性,二是不能照搬INTERNET的定义,应根据实际定义若干个文件的关系,否则可能影响其他系统的正常运行。
DNS平台选择SUN环境的原因是SOLARIS系统的坚固性、稳定性及UNIX系统出色的多用户能力。
为了配合网络计算机电话的应用,在DNS中成功地建立了用户名与IP地址对照表以及电话号码与IP地址对照表,为网络计算机电话的应用创造了必要条件。
7.目录服务系统
目录服务是网络,特别是较大型网络应用的基础,也是一个基础数据库服务系统。其主要存储网上用户、网上计算机等各类资源的各项属性,供网上用户或各类网络应用软件查询使用。该技术的应用在国内尚处于起步阶段。其应用程序通过端口389查询使用目录资源。
应用目录服务构筑起的基础信息服务系统,为其他应用系统(如电子邮件、网络协作等)的应用建立起了支撑环境。
8.网络计算机电话
计算机通过互联网络实现相互呼叫,替代或部分替代传统的电话系统,从而达到节省话费的目的。
硬件要求:互联网络(如院网络);联网计算机,并配备声卡、音箱、麦克风;联网服务器(586以上微机)。
软件环境:Microsoft Netmeeting或Netscape Conference客户端软件;DLS用户定位服务器软件;DNS域名服务信息系统;目录服务信息系统。
网络计算机电话系统(图3)的实现过程如下:①通讯双方启动客户端软件(NET-MEETING或CONFERENCE),客户也可将上述软件设定为开机自动启动程序;主叫方输入被叫方名字汉语拼音第一个字母缩写或对方电话号码。②客户端软件接受输入后,向域名服务器提出查询请求,域名服务器收到请求后,将查找到的名字对应的IP地址返回给客户端软件。③客户端通过TCP/IP协议呼叫对方,被叫方接受请求,一次呼叫完成。主叫方如不知被叫方的有关信息,则可通过浏览器软件或电子邮件查收软件提供的接口查询有关的信息。主叫方也可通过用户定位服务器直接呼叫被定位的用户。
图3 网络计算机电话依赖关系结构图
域名服务实现将用户名字或用户电话号码转译成相应的网络IP地址;目录服务提供用户基本信息查询;用户定位服务提供连机用户的自动定位与使用;电子邮件系统实现被叫方不在的情况下向用户发出留言信息。
网络计算机电话系统存在的问题:①受地址限制,地质院电子邮件的系统使用仅限于局内;②目前网络流量相对较小,再加上资源配置、机构等因素的变化,虚网结构并不一定适应将来网络应用的需要;③机理和网络应用研究需要进一步深入和完善。
六、结论
网络系统开发应用研究通过目录服务等七个基本信息系统的建立和网络应用软件接口的研究、设计开发,使网络协作组等多个应用软件在基础信息系统和SUN SOLARIS、SGI IRIX,MICROSOFT WINDOWS的支持下,协同一致,有效工作,实现了MICROSOFT客户端、NETSCAPE客户端与多个NETSCAPE、UNIX、MICROSOFT服务端的相互交叉集成,解决了多项应用难题,建立了的较为完整的公共综合应用服务体系,为充分发挥网络效益和院网络应用的逐步拓展打下良好基础。
主要参考文献
[1]林康敏,聂建英,付瑞军等.地质院信息系统工程规划方案.见:杜贤樾等主编.胜利油区勘探开发论文集(第一辑).北京:地质出版社,1997.
[2]潘启敬等.计算机局部网络原理及应用.成都:西南交通大学出版社,1994.
[3]魏中山.计算机信息保护.天津:天津大学出版社,1996.