随着近年来我国石油天然气勘探步伐的加快,地球物理勘探行业对计算机的计算能力和交换机的数据交换能力要求越来越高,在资料处理和解释环节中,办公网络和生产网络的界限已经变得越来越模糊。网络通讯能力越来越成为制约系统效率发挥的一大“瓶颈”。如何构建高性能的网络系统,缩短生产周期,提高效率,已经成为助推石油物探行业的重要一环。
东方地球物理公司研究院大港分院主要从事地质资料的处理和解释工作,网络改造前有4套物探资料处理集群网络,2套SAN存储网络,1套包含50台资料处理终端的网络,1套包含40台解释工作站网络,1套划分6个vlan的办公网络,他们之间的数据交换由一台10光口千兆交换机作为分院主交换机来承担,随着公司石油物探事业的迅猛发展数据交换量越来越大,网络系统问题逐渐暴露出来。
1:内部FTP速度只有5MB/s,外部FTP速度只有2MB/s。
2:资料处理终端mount文件系统慢,导致终端开机速度慢。
3:远程登录调用服务器慢。
4:交换机端口数量远远不能满足需要。
5:办公网络访问Internet网页速度慢。
6:网络安全性控制差。
根据暴露出来的问题,我们从网络布线、网络交换机、服务器网卡等硬件和用户的应用软件等方面进行了认真仔细的分析,认为网络设备的瓶颈和网络主干的带宽不足是造成上述问题的主要原因:
1:两个大楼内部网络主干电缆和交换机都是百兆,网络实际运行速度只有5MB/s以内。
2:网络应用节点(微机和网络打印机)超过交换机端口,采取大量增加二层交换机的方式,造成交换机负载过重。
3:网络设备老化,多是2003年的设备,尤其是主交换机的24Gbps交换矩阵结构,第2、3层12Gbps最大传送速率,64字节包17Mpps传送速率;以及4个楼内主干交换机13.6Gbps的交换矩阵,第二层和第三层最大传输带宽6.8Gbps,64字节的包传输速率为10.1Mbps。
4:现有超5类网线也是制约网速的原因。
5:网络安全策略需要重新制定,这个关系到分院的数据信息安全,安全策略是实施交换 机配置的重点问题。
6:随着分院的发展,局域网用户越来越多,同时,应用系统的提高对网络系统性能要求越来越高,例如:ftp的应用、Xmanager(Xwindow Service)和SecureCRT(Remote login如 telnet、rsh、ssh等)的应用、以及远程发送作业等。
在解决方案中,我们除了要进行6类千兆布线千兆到桌面外,还要综合考虑主交换机的更新问题。新交换机需要满足高性能,高稳定性,高可用性,高管理性和安全性,端口高密度。在选择产品方面我们重点关注了性能指标、功能特征、价格,并且考虑了现有需求应用分析与前瞻性 ;整体与局部的能力;与承载业务的吻合程度;网络的运行和维护。
我们从2004年使用过多种品牌的交换机,有Cisco、华为、Foundry、HP,尤其是在集群内部使用的高性能交换机列入我们主要考虑的范畴,对比第一套集群使用的HP ProCurve 9315、第二套集群的HP ProCurve 5412 zl、第三套集群的华为5648堆叠、第四套集群的foundry SX 1600,综合考虑后,我们决定采用HP ProCurve 5412 zl(见图1)。
图1:HP ProCurve 5412 zl
我们之所以选中HP ProCurve 5412 zl,主要因为以下几点:
1:高性能:采用定制的ProVision ASIC技术,通过691.2Gbps矩阵交换结构,可在模块间和模块内提供480.3Mpps的吞吐率。
2:高稳定性及可用性:本身自带两块电源互为冗余,我们又加了一块电源,最多设4块电源。提供不间断的电源,允许在线添加或更换模块、mini-GBIC和冗余电源配置中的电源。并且VRRP允许双路由器组动态地相互备份,以建立高可用的路由环境。每个端口可提供15.4瓦的电源,为IP电话、无线接入点、摄像头等符合IEEE 802.3af标准的PoE设备供电。
3:高管理性:管理上不但提供传统上的CLI方式,还可以通过web界面更加形象地管理(见图2),能准确提供统计信息、历史记录、警报及事件的高级监控和报告功能。电缆出现故障时,可监控两个交换机之间的电缆,并关闭两端的端口,同时将双向链路调节为单向,以避免出现回路等网络问题。
4:高安全性:HP ProCurve 5412 zl 不仅提供访问控制列表(ACL)功能,还提供多种身份验证功能,例如,基于Web的身份验证、基于MAC的身份验证、每个端口同时进行IEEE 802.1X、Web和MAC身份验证、病毒遏制(病毒抑制:无需外部设备便可检测典型的蠕虫型病毒的流量模式,清除或完全阻止病毒在VLAN或桥接接口之间扩散)、DHCP保护、MAC地址封锁、端口安全性、动态IP锁定、动态ARP保护、RADIUS/TACACS+等等。
5:端口高密度:12个接口模块插槽,每个系统有288个支持PoE的线速10/100/1000端口,或48个10-GbE端口。并自动适应所有10/100/1000端口上的直连或交叉电缆。
6:优质完善的售后服务:终身硬件免费备件更换承诺(厂商直接服务)
终身免费的操作系统升级承诺(厂商直接服务)
终身免费电话支持(厂商直接服务)
图2:HP ProCurve 5412 zl GUI实际管理界面
根据我们的需要,用新增HP ProCurve 5412zl交换机替代原来的分院主交换机,兼做研究所大楼接入交换机和分院集群以外的主交换机,研究所大楼所有计算机千兆到桌边。淘汰2004年以前的交换机和各办公室为了扩充网络接口而是用的所有16口以下的小百兆交换机。新增1台HP ProCurve 2848G交换机,作为计算中心终端室的接入交换机,实现终端千兆接入连接集群核心网络。
在HP ProCurve 5412 zl的配置中,我们根据楼层、生产与办公等需求,共划分了13个vlan,较好的控制了广播风暴,并编写了访问控制列表(ACL),主要应用到生产所用的vlan中,严格控制生产数据不能外出。通过千兆光口的捆绑,实现了与处理集群交换机的2000Mbps的链接,搭建起了分院新一代网络结构(见图3)。
图3:网络结构图
新交换机的端口高密度大大缓解交换机端口不足:升级前交换机可用端口不足85个,多数房间内的小交换机进一步使研究所交换机严重超负荷运行。换用HP ProCurve 5412zl交换机支持最多288个千兆端口,解决现有端口需求,并留有扩充空间。
提升网络运行效率:研究所双屏微机远程登陆工作站进行图形访问占用大量带宽,原微机和解释机房交换机之间只提供400Mbps的带宽,而且微机网段访问工作站网段还需要经过核心交换机的转发,瓶颈在100Mbps,如果一台解释工作站同时有5人远程调用解释图形界面,每个人只能分享20Mbps,而我们实测在网络带宽保证达到80Mbps时远程调用解释图形界面比较顺畅,100Mbps使得研究所经常出现整体网络瘫痪的情况。新交换机提供692Gbps背板带宽,480.3 Mbps包转发能力,比原网络的路由转发速度提高一个数量级以上,提供端到端1000Mbps,改造后主交换机直连微机和工作站,这样,如果一台解释工作站同时有5人远程调用解释图形界面,每个人就能分享200Mbps,从根本上解决了解释工作站远程调用速度慢的问题。处理终端HP ProCurve 2848G交换机直接接入集群,以前处理终端mount集群服务器文件系统需要90秒,而现在基本不需要延时,远程发送作业也快了很多。处理和解释数据经常用到FTP传输数据,换了新交换机后,实测FTP速度在30MB/s至70MB/s之间(不同系统的设备、不同种类的磁盘会有一定影响),比原来快了6倍至11倍。
提高网络管理和安全管理能力:研究所楼基本是每个员工一台微机,解释员多数配置双屏显示器,可以兼作生产用。通过在HP ProCurve 5412 zl 建立dhcp-snooping ,并将其应用到相应的vlan中,有效地将IP地址和网卡物理地址(MAC)捆绑,实现只允许通过MAC验证的设备以指定的IP访问网络,杜绝随意更改IP及无IP授权的设备无法访问网络,这样可以防止拦截未授权主机的ARP广播,避免IP源地址欺骗避免窃听或盗窃网络数据,在工作站上做的一些安全控制措施能够得到有效实现。一旦网络数据发生安全问题,可以落实到某个设备、某个人,提高了网络安全性,为更加科学管理网络奠定了基础。
我们下一步准备将计算中心楼用相同的模式进行网络改造,并对HP ProCurve 5412 zl的IEEE 802.3af Power over Ethernet 功能进行开发利用,相信在不久的将来,大港分院会在HP交换机的支持下,信息化、智能化、处理解释一体化会更上一个台阶。