凌越++陶向東

摘 要：隨著高等教育信息化的發(fā)展，高校與運(yùn)營(yíng)商合作共建數(shù)字化校園的案例越來越多。因利益分歧，合作一般難以達(dá)成共贏，且項(xiàng)目不易控制，造成資源浪費(fèi)。本文以某高校數(shù)字化校園基礎(chǔ)設(shè)施建設(shè)為例，在高校與多運(yùn)營(yíng)商的合作實(shí)踐中進(jìn)行探索，總結(jié)了合作模式、項(xiàng)目管理、網(wǎng)絡(luò)規(guī)劃、技術(shù)實(shí)現(xiàn)和實(shí)施步驟，為數(shù)字化校園基礎(chǔ)設(shè)施共建共享提供借鑒與參考。

關(guān)鍵詞：數(shù)字化校園；校園網(wǎng)；運(yùn)營(yíng)商；共建；PPP

中圖分類號(hào)：G250.73 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-8454（2017）11-0064-03

一、引言

對(duì)于各項(xiàng)教學(xué)科研事業(yè)均需大量資金和人力投入的高校而言，數(shù)字化校園基礎(chǔ)設(shè)施建設(shè)投資大、周期長(zhǎng)、受有限資源的約束；同時(shí)，龐大的高校學(xué)生群體是商家積極爭(zhēng)取的消費(fèi)對(duì)象，各大運(yùn)營(yíng)商都期望不斷拓展高校市場(chǎng)、改善用戶體驗(yàn)。以上兩個(gè)因素的互動(dòng)催生了高校和各大運(yùn)營(yíng)商合作共建數(shù)字化校園基礎(chǔ)設(shè)施的實(shí)踐。

目前，由于多方訴求的不一致，在共建實(shí)踐中暴露了許多問題，存在各運(yùn)營(yíng)商低效重復(fù)建設(shè)、互相干擾的現(xiàn)象。在多方博弈的復(fù)雜局面中，高校占據(jù)信息優(yōu)勢(shì)，應(yīng)當(dāng)合理統(tǒng)籌、優(yōu)勢(shì)互補(bǔ)，在實(shí)踐中探索新的合作機(jī)制，應(yīng)用新技術(shù)，在數(shù)字化校園建設(shè)中推進(jìn)共建共享。

二、多運(yùn)營(yíng)商合作模式分析

數(shù)字化校園基礎(chǔ)設(shè)施建設(shè)按照項(xiàng)目生命周期有可行性研究、立項(xiàng)、規(guī)劃設(shè)計(jì)、投融資、施工、監(jiān)理、審計(jì)、運(yùn)維、報(bào)廢、更新等多個(gè)階段，在多方共建情境下，由于項(xiàng)目組織成員來自于不同的社會(huì)經(jīng)濟(jì)組織，耦合松散，管理較為復(fù)雜，需要事先擬定有效的合作模式。投資方式通常決定合作模式和項(xiàng)目組織架構(gòu)，從投資關(guān)系上看，常見的方式有：

（1）校方自籌經(jīng)費(fèi)，主要使用財(cái)政資金，建設(shè)時(shí)可自建，也可招標(biāo)代建，建設(shè)模式有平行發(fā)包和總承包等多種，建成后出租給運(yùn)營(yíng)商使用；

（2）運(yùn)營(yíng)商投資，又可分為：?jiǎn)我贿\(yùn)營(yíng)商投資；多運(yùn)營(yíng)商共同投資。建成后資產(chǎn)屬于運(yùn)營(yíng)商，部分設(shè)備由學(xué)校代管；

（3）校方和運(yùn)營(yíng)商共同投資，比如公共網(wǎng)絡(luò)和WLAN校方出資建設(shè)，其他設(shè)施運(yùn)營(yíng)商分塊投資并共同使用；

（4）引入第三方民營(yíng)機(jī)構(gòu)，公私合作共建即PPP（Public-Private Partnership）模式。

上述投資方式中，校方使用財(cái)政資金建設(shè)會(huì)占用大量經(jīng)費(fèi)，審批周期長(zhǎng)，變更困難，不利于技術(shù)變化較快的信息化建設(shè)領(lǐng)域；運(yùn)營(yíng)商投資易導(dǎo)致重復(fù)建設(shè)，矛盾較大，管理困難；高校出資建設(shè)一些關(guān)鍵共用設(shè)施（如公共網(wǎng)絡(luò)、WLAN），其他項(xiàng)目分解后由各運(yùn)營(yíng)商分塊包干，這種方式中，高校處于主導(dǎo)地位，易于進(jìn)行商務(wù)談判和技術(shù)引導(dǎo)，較為常見，但這種模式也存在缺陷，只要運(yùn)營(yíng)商進(jìn)行直接投資，就會(huì)存在設(shè)備所有權(quán)和運(yùn)營(yíng)權(quán)分割的問題，利益糾紛較多，高校管理成本較高。另外，運(yùn)營(yíng)商作為大型國(guó)企，其設(shè)計(jì)、采購、安裝、變更等審批流程周期較長(zhǎng)，對(duì)數(shù)字化校園建設(shè)的進(jìn)度管理有不利影響。

在PPP模式中，第三方民營(yíng)機(jī)構(gòu)實(shí)現(xiàn)自身利益的追求，高校可以實(shí)現(xiàn)公共福利和高質(zhì)量服務(wù)的目標(biāo)，運(yùn)營(yíng)商租用高校的信息化基礎(chǔ)設(shè)施，民營(yíng)機(jī)構(gòu)與高校分成——權(quán)責(zé)清晰，目標(biāo)一致，可以形成合作共贏的長(zhǎng)期伙伴關(guān)系。PPP模式的實(shí)現(xiàn)有多種選擇，如：建造、運(yùn)營(yíng)、移交（BOT）；建設(shè)、移交、運(yùn)營(yíng)（BTO）；設(shè)計(jì)、建造、融資及經(jīng)營(yíng)（DB-FO）等多種。高校、運(yùn)營(yíng)商、第三方民營(yíng)企業(yè)共建數(shù)字化校園，有利于減少高校資金壓力、提高效率、降低工程造價(jià)。與傳統(tǒng)的融資模式相比，PPP項(xiàng)目平均節(jié)約17%的費(fèi)用，并且易于實(shí)現(xiàn)成本、進(jìn)度、質(zhì)量的目標(biāo)管理。在項(xiàng)目的全生命周期管理過程中，高校可以脫離繁雜的事務(wù)性工作，回到規(guī)劃者和監(jiān)管者的角色，發(fā)揮高校、運(yùn)營(yíng)商和民營(yíng)組織各自的優(yōu)勢(shì)，彌補(bǔ)各自不足。所以，PPP模式是值得高校信息化建設(shè)管理部門借鑒的方式。

在共建過程中，應(yīng)在“公平、公正、公開”的基礎(chǔ)上，采用合理的技術(shù)手段，實(shí)現(xiàn)數(shù)字化校園設(shè)施有效共享共用。

三、建設(shè)過程管理

以某校數(shù)字化校園建設(shè)為例為例，本案例一期共建工程投資1500萬元，在項(xiàng)目建設(shè)過程中，參與方來自于高校、運(yùn)營(yíng)商、設(shè)備供應(yīng)商、勞務(wù)分包商、第三方代建單位，還有第三方監(jiān)理和審計(jì)單位等。各單位需指定專職聯(lián)系人或項(xiàng)目經(jīng)理，以及專職或兼職技術(shù)員、施工員、安全員、質(zhì)檢員等，建立由高校信息技術(shù)負(fù)責(zé)人擔(dān)任項(xiàng)目總監(jiān)的項(xiàng)目部，根據(jù)項(xiàng)目合同和施工組織設(shè)計(jì)開展目標(biāo)管理，做好進(jìn)場(chǎng)施工人員安全和技術(shù)交底工作，定期舉行項(xiàng)目例會(huì)和班組會(huì)，做好全過程的施工文檔歸集和整理工作，做好隱蔽工程驗(yàn)收和變更簽證工作，做好系統(tǒng)試運(yùn)和交付驗(yàn)收。因?yàn)閿?shù)字化校園建設(shè)的涉及面較廣，工程開工前還應(yīng)建立由高校分管校長(zhǎng)牽頭，教學(xué)、學(xué)工、后勤等業(yè)務(wù)部門主管共同參與的信息化領(lǐng)導(dǎo)小組，以便于互通信息、消除矛盾，統(tǒng)一調(diào)度。

四、技術(shù)實(shí)現(xiàn)

在高校和多運(yùn)營(yíng)商共建數(shù)字化校園的實(shí)施過程中，由于多方參與，矛盾較多。既要用合理的組織結(jié)構(gòu)為項(xiàng)目護(hù)航；又要采用適用的技術(shù)手段支撐多方共享共用得以實(shí)現(xiàn)。

1.底層網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)

該校的校園網(wǎng)基礎(chǔ)設(shè)施原來采用傳統(tǒng)的L3+L2的交換型組網(wǎng)模式，網(wǎng)絡(luò)結(jié)構(gòu)為核心-匯聚-接入的三層星型架構(gòu)，基于交換機(jī)端口的劃分VLAN，校內(nèi)用戶采用出口認(rèn)證方式，通過SAM認(rèn)證后接入Internet和教育網(wǎng)，在校園網(wǎng)邊界配置防火墻實(shí)現(xiàn)安全防護(hù)。

由于設(shè)備陳舊老化，考慮結(jié)合校園網(wǎng)改擴(kuò)建，引入運(yùn)營(yíng)商共建共享數(shù)字化校園。在網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)中，建立以路由器為核心的扁平化大二層網(wǎng)絡(luò)，劃分為業(yè)務(wù)控制層和業(yè)務(wù)接入層，拓?fù)浣Y(jié)構(gòu)見圖1。

圖1中，采用兩臺(tái)高性能核心路由器（寬帶遠(yuǎn)程接入服務(wù)器BRAS），虛擬化為一臺(tái)核心BRAS后，與部署在數(shù)據(jù)中心的接入認(rèn)證管理系統(tǒng)配合，作為整個(gè)校園網(wǎng)的業(yè)務(wù)控制層，負(fù)責(zé)對(duì)用戶進(jìn)行統(tǒng)一的接入控制、認(rèn)證計(jì)費(fèi)以及精細(xì)化管理。匯聚層和接入層交換機(jī)共同構(gòu)成校園網(wǎng)的業(yè)務(wù)接入層。接入交換機(jī)為每個(gè)端口分配獨(dú)立的內(nèi)層VLAN標(biāo)簽，核心交換機(jī)承擔(dān)QinQ的功能，給相應(yīng)的用戶打上對(duì)應(yīng)的外層標(biāo)簽，實(shí)現(xiàn)大二層的結(jié)構(gòu)，核心BRAS作為集中認(rèn)證網(wǎng)關(guān)，負(fù)責(zé)終結(jié)QinQ報(bào)文，并提供用戶接入和控制。整網(wǎng)通過QinQ技術(shù)實(shí)現(xiàn)用戶間的二層隔離。無線網(wǎng)絡(luò)部署采用扁平化、瘦連接架構(gòu)，所有的控制功能均由業(yè)務(wù)控制層實(shí)現(xiàn)。各運(yùn)營(yíng)商共用以上有線無線一體化網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

2.有線無線一體化網(wǎng)絡(luò)共享

在原三層交換網(wǎng)中，有線、無線網(wǎng)絡(luò)在管理和認(rèn)證方式上各自為政，用戶體驗(yàn)差；難以對(duì)有線無線用戶實(shí)施靈活的限速計(jì)費(fèi)策略；各運(yùn)營(yíng)商無線網(wǎng)絡(luò)干擾嚴(yán)重，難以故障排查和定位。在本案例中，一方面清理了過去重復(fù)建設(shè)的物理線路，釋放了線路橋架的空間；另一方面用同一物理層承載各方的業(yè)務(wù)，在確保容錯(cuò)性與健壯性的基礎(chǔ)上，校園有線和無線網(wǎng)絡(luò)可由各運(yùn)營(yíng)商和學(xué)校共用，提供了校內(nèi)統(tǒng)一的信息高速公路。

有線網(wǎng)絡(luò)采用了雙層標(biāo)簽來標(biāo)識(shí)信息點(diǎn)或用戶，接入層交換機(jī)的配置一致，有利于減少接入層設(shè)備的配置工作量；無線AP僅提供無線二層通道，簡(jiǎn)化了無線設(shè)備的成本和管理維護(hù)需求；AC用萬兆聚合端口和核心交換機(jī)互聯(lián)，實(shí)現(xiàn)全網(wǎng)無線功能License的共享管理。校園內(nèi)部采用Internet保留地址，支持IPoE/L2TP，通過Web Portal服務(wù)器推送認(rèn)證頁面，由用戶自主選擇不同的運(yùn)營(yíng)商出口進(jìn)行Internet訪問。

3.統(tǒng)一認(rèn)證和安全審計(jì)

采用有線無線一體化的Web Portal統(tǒng)一的認(rèn)證方式，通過核心BRAS進(jìn)行統(tǒng)一身份認(rèn)證、權(quán)限控制。在數(shù)據(jù)中心的虛擬服務(wù)器上部署接入認(rèn)證管理系統(tǒng)，安裝Web Server組件及Radius組件，對(duì)全校用戶實(shí)現(xiàn)準(zhǔn)入準(zhǔn)出統(tǒng)一認(rèn)證、計(jì)費(fèi)和授權(quán)控制。用戶接入后，免費(fèi)訪問校內(nèi)資源；訪問校外資源時(shí)自動(dòng)重定向到Web認(rèn)證界面，認(rèn)證通過后才能訪問校外資源，并支持外來訪客和高?？缧ＵJ(rèn)證，根據(jù)用戶身份分配并發(fā)終端數(shù)，基于本月流量分配互聯(lián)網(wǎng)帶寬，根據(jù)@Domain后綴分配路由，基于高校和運(yùn)營(yíng)商兩級(jí)行為審計(jì)系統(tǒng)實(shí)現(xiàn)上網(wǎng)行為記錄，同時(shí)依靠QinQ雙層標(biāo)簽和用戶名，實(shí)現(xiàn)快速定位用戶和終端，滿足公安部“82號(hào)令”一鍵落地查人的要求。

4.計(jì)費(fèi)與與流量控制

實(shí)現(xiàn)了將月租、扣費(fèi)、免費(fèi)額度和折扣率靈活組合的計(jì)費(fèi)方式。認(rèn)證計(jì)費(fèi)系統(tǒng)數(shù)據(jù)源唯一，使用LDAP進(jìn)行認(rèn)證。臨時(shí)賬戶存放在本地使用本地?cái)?shù)據(jù)庫進(jìn)行認(rèn)證。

Radius邏輯拓?fù)淙鐖D2。

重定向服務(wù)器將用戶訪問的頁面重定向到Web服務(wù)器。Web服務(wù)器為用戶提供認(rèn)證頁面并且將用戶輸入的用戶名和密碼轉(zhuǎn)發(fā)給Radius進(jìn)行認(rèn)證。Radius服務(wù)器實(shí)現(xiàn)用戶的認(rèn)證、計(jì)費(fèi)和授權(quán)。管理服務(wù)器對(duì)整個(gè)系統(tǒng)功能模塊進(jìn)行統(tǒng)一管理并且對(duì)用戶數(shù)據(jù)進(jìn)行保存和處理。

5.與運(yùn)營(yíng)商的接口

學(xué)校內(nèi)部的Radius作為Radius Client與運(yùn)營(yíng)商的Radius/Radius Proxy進(jìn)行對(duì)接，運(yùn)營(yíng)商提供Radius服務(wù)器的IP、端口（認(rèn)證和計(jì)費(fèi)）、密鑰（Secret），并添加校內(nèi)Radius Proxy作為其Client。學(xué)校的核心BRAS將運(yùn)營(yíng)商各自用戶的認(rèn)證請(qǐng)求先發(fā)往內(nèi)部Radius，由其進(jìn)行轉(zhuǎn)發(fā)到運(yùn)營(yíng)商的Radius進(jìn)行認(rèn)證，并在內(nèi)部Radius上生成相關(guān)的用戶記錄并保存，便于精確統(tǒng)計(jì)和檢索。

與運(yùn)營(yíng)商進(jìn)行用戶身份認(rèn)證對(duì)接的流程如下：

（1）用戶有線或無線接入網(wǎng)絡(luò)，通過DHCP獲取校內(nèi)保留IP地址；

（2）用戶發(fā)起Web連接，BRAS默認(rèn)策略重定向給內(nèi)部的Web Portal服務(wù)器進(jìn)行認(rèn)證；

（3）用戶在Portal頁面上輸入賬號(hào)，Portal后臺(tái)程序?qū)⑻崛∮脩糍~號(hào)信息，送往校方Radius處理；

（4）校方Radius根據(jù)用戶賬號(hào)信息判斷：校內(nèi)賬號(hào)由校內(nèi)Radius認(rèn)證完成，直接下發(fā)策略給校內(nèi)BRAS設(shè)備，校內(nèi)完成用戶上網(wǎng)相關(guān)信息記錄；運(yùn)營(yíng)商賬號(hào)發(fā)送給對(duì)應(yīng)運(yùn)營(yíng)商Radius進(jìn)行處理，運(yùn)營(yíng)商Radius認(rèn)證完成，并下發(fā)策略報(bào)文到校內(nèi)Radius，校內(nèi)Radius再下發(fā)給校內(nèi)BRAS設(shè)備。

6.測(cè)試與割接

本案例為改擴(kuò)建工程，實(shí)施期間須避免影響教學(xué)生活秩序。在實(shí)施之前進(jìn)行各項(xiàng)功能的模擬測(cè)試，所有測(cè)試功能完成后再進(jìn)行具體業(yè)務(wù)的割接和實(shí)際用戶的遷移。為降低風(fēng)險(xiǎn)，采用逐步割接原則，每一棟樓宇割接完后進(jìn)行復(fù)測(cè)，確認(rèn)沒有問題后再進(jìn)行下一個(gè)樓宇的割接。過程簡(jiǎn)介如下：

（1）運(yùn)營(yíng)商提供新系統(tǒng)接入線路，確保上行各出口暢通，協(xié)議一致；舊線路保持到割接成功，試運(yùn)行結(jié)束后回收；

（2）校內(nèi)主設(shè)備如BRAS等調(diào)試成功，關(guān)鍵服務(wù)如Web Portal、Radius服務(wù)等試驗(yàn)無誤，與運(yùn)營(yíng)商進(jìn)行對(duì)接成功。

（3）修改接入交換機(jī)的端口VLAN，實(shí)現(xiàn)用戶的二層隔離；交換機(jī)的上聯(lián)端口改成Trunk模式；在接入交換機(jī)上創(chuàng)建管理VLAN并啟用三層接口地址作為管理地址；

（4）匯聚交換機(jī)的下聯(lián)端口配置QinQ，將接入交換機(jī)上對(duì)應(yīng)的VLAN打上外層標(biāo)簽，同時(shí)透?jìng)鞴芾鞻LAN；上聯(lián)端口透?jìng)鱍inQ外層標(biāo)簽及管理VLAN標(biāo)簽；

（5）若原有客戶端采用靜態(tài)地址方式，則需要將用戶側(cè)客戶端改成DHCP自動(dòng)獲??；對(duì)保留地址設(shè)備進(jìn)行處理，收集，MAC地址，然后在BRAS上進(jìn)行MAC地址綁定；

（6）發(fā)割接通知，進(jìn)行割接，做好故障處理預(yù)案；割接完成后進(jìn)行業(yè)務(wù)測(cè)試。

五、結(jié)束語

高校與運(yùn)營(yíng)商共建共享數(shù)字化校園基礎(chǔ)設(shè)施可避免重復(fù)建設(shè)，提高效率；技術(shù)層面的合理部署能實(shí)現(xiàn)高校與各運(yùn)營(yíng)商無縫對(duì)接；合作共建時(shí)采用PPP模式能實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)。與財(cái)政投入項(xiàng)目相比，引入社會(huì)資金在項(xiàng)目運(yùn)營(yíng)方面會(huì)更加靈活和高效。需要注意的是確保多方合作中的對(duì)等、互惠關(guān)系，高校是用市場(chǎng)換取第三方的投入，這個(gè)由大量用戶形成的市場(chǎng)是一個(gè)無形資產(chǎn)，在合作共建的過程中應(yīng)使這個(gè)無形資產(chǎn)獲得公允的估值。另外，數(shù)字化校園的運(yùn)營(yíng)中，一方面應(yīng)當(dāng)借鑒成功的OTT （Over The Top）應(yīng)用，如微信、YY等，引入和開發(fā)兩手抓，為師生提供方便易用的上層應(yīng)用服務(wù)，充分發(fā)揮基礎(chǔ)設(shè)施的功用。另一方面，對(duì)于外來的OTT業(yè)務(wù)，也可以考慮洽談分成，獲取校園信息化的支撐資源。

參考文獻(xiàn)：

[1]何來坤，劉禮芳.基于多運(yùn)營(yíng)商共建共享的高校WLAN建設(shè)方案的探索[J].杭州師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2013（12）：180-183.

[2]周玉陶，楊海平.與運(yùn)營(yíng)商合作開展信息化建設(shè)的策略思考[J].中國(guó)教育信息化，2014（21）：14-17.

[3]王宗善，冷飛，季晶晶.高校數(shù)字化校園建設(shè)的探索與實(shí)踐[J].實(shí)驗(yàn)室研究與探索，2010（29）：162-164.

（編輯：王曉明）