肖春光

摘 要 投資民辦學(xué)校的政策瓶頸，民辦學(xué)校網(wǎng)絡(luò)接入成本和運(yùn)維技術(shù)力量不足等問題普遍存在，公民辦學(xué)校數(shù)字鴻溝難于逾越。在網(wǎng)絡(luò)邊界防火墻及上網(wǎng)行為審計(jì)設(shè)備虛擬化基礎(chǔ)上，提出基于虛擬化模式實(shí)現(xiàn)民辦學(xué)校網(wǎng)絡(luò)接入教育城域網(wǎng)的建設(shè)思路、技術(shù)實(shí)現(xiàn)、實(shí)施流程、運(yùn)維管理及前景探析。

關(guān)鍵詞 虛擬化模式；教育城域網(wǎng)；民辦學(xué)校；校校通；三通兩平臺(tái)；教育資源；教育信息化

中圖分類號(hào)：G434 文獻(xiàn)標(biāo)識(shí)碼：B

文章編號(hào)：1671-489X（2018）13-0008-03

1 背景

《國(guó)家中長(zhǎng)期教育改革和發(fā)展規(guī)劃綱要（2010—2020年）》著重提出全面推進(jìn)“三通兩平臺(tái)”建設(shè)。廣東省教育廳頒發(fā)的《關(guān)于開展“以信息化促進(jìn)義務(wù)教育均衡發(fā)展實(shí)驗(yàn)區(qū)”建設(shè)工作的通知》（粵教電函〔2010〕18號(hào)）和深圳市教育局頒發(fā)的《轉(zhuǎn)發(fā)關(guān)于開展“以信息化促進(jìn)義務(wù)教育均衡發(fā)展實(shí)驗(yàn)區(qū)”建設(shè)工作的通知》（深教〔2011〕36號(hào)）中明確要求：“基本實(shí)現(xiàn)‘校校通，鎮(zhèn)中心小學(xué)以上學(xué)校以10兆以上光纖接入省基礎(chǔ)教育專網(wǎng)?！?007年底，寶安區(qū)100%的公辦學(xué)校（幼兒園）全部采用區(qū)政府信息網(wǎng)和中國(guó)電信VPN組網(wǎng)方式光纖接入?yún)^(qū)教育城域網(wǎng)，高標(biāo)準(zhǔn)實(shí)現(xiàn)“校校通”工程目標(biāo)，全區(qū)優(yōu)質(zhì)網(wǎng)絡(luò)教育資源共建共享工作取得顯著成效。

自2008年以來，寶安區(qū)石巖公學(xué)等19所民辦學(xué)校自籌資金，完善校園網(wǎng)絡(luò)及安全等區(qū)教育城域網(wǎng)準(zhǔn)入設(shè)備，完成了電信VPN光纖寬帶接入?yún)^(qū)教育城域網(wǎng)絡(luò)系統(tǒng)的工作，與公辦學(xué)校共享優(yōu)質(zhì)網(wǎng)絡(luò)資源，加快了學(xué)校信息化發(fā)展進(jìn)程。但尚未接入的民辦學(xué)校還有47所，占民辦學(xué)校總數(shù)的77%，大部分學(xué)校仍使用ADSL窄帶電路（小于4 MB）連接互聯(lián)網(wǎng)，存在訪問速度慢、無法共享區(qū)內(nèi)優(yōu)質(zhì)資源以及上網(wǎng)行為無法監(jiān)管等問題，嚴(yán)重制約了民辦學(xué)校教育信息化的發(fā)展。

在深圳推進(jìn)教育一體化進(jìn)程中，民辦學(xué)校必須抓住機(jī)遇，加快實(shí)現(xiàn)“校校通”和“班班通”，以信息化推進(jìn)學(xué)校辦學(xué)的優(yōu)質(zhì)化。為有效加快寶安區(qū)民辦學(xué)校“校校通”建設(shè)步伐，進(jìn)一步縮小公民辦學(xué)校數(shù)字鴻溝，提高全區(qū)教育信息化的整體水平，全面推廣應(yīng)用寶安區(qū)教育云服務(wù)平臺(tái)，共享優(yōu)質(zhì)網(wǎng)絡(luò)教育資源，有效推進(jìn)義務(wù)教育均衡發(fā)展，真正實(shí)現(xiàn)全區(qū)“三通兩平臺(tái)”建設(shè)。為此，寶安區(qū)已于2014年提出基于虛擬化模式實(shí)現(xiàn)全區(qū)47所民辦學(xué)校網(wǎng)絡(luò)接入教育城域網(wǎng)的構(gòu)想。

2 建設(shè)部署

為確保政府投資項(xiàng)目國(guó)有資產(chǎn)管理不流失，依托寶安區(qū)教育城域網(wǎng)云計(jì)算環(huán)境的優(yōu)勢(shì)，本項(xiàng)目采用先進(jìn)的云計(jì)算IAAS服務(wù)架構(gòu)進(jìn)行虛擬化設(shè)備的部署，是寶安區(qū)教育云服務(wù)平臺(tái)全面優(yōu)化服務(wù)體系的重要組成，主要建設(shè)部署內(nèi)容如下。

區(qū)教育城域網(wǎng)中心端 部署雙冗余、高性能、集群式的虛擬化防火墻設(shè)備，完成至少47所以上民辦學(xué)校虛擬防火墻的接入配置要求；部署雙冗余、高性能、集群式的上網(wǎng)行為審計(jì)設(shè)備，完成各虛擬鏈路上網(wǎng)行為的獨(dú)立審計(jì)及上網(wǎng)行為數(shù)據(jù)存儲(chǔ)、預(yù)警和防護(hù)；建設(shè)部署虛擬化防火墻、上網(wǎng)行為審計(jì)集中式管理系統(tǒng)，完成虛擬化防火墻、審計(jì)設(shè)備集中式監(jiān)控、管理及策略下發(fā)。鏈路運(yùn)營(yíng)商提供一條10 G

匯聚鏈路，實(shí)現(xiàn)47所民辦學(xué)校與區(qū)教育城域網(wǎng)中心的互聯(lián)。

學(xué)校接入端 由鏈路運(yùn)營(yíng)商一次性投入建設(shè)和部署光纖網(wǎng)絡(luò)及接入端設(shè)備，完成三層MPLS VPN光纖鏈路的組網(wǎng)及互聯(lián)互通調(diào)試工作。光纖資源接入民辦學(xué)校網(wǎng)絡(luò)中心機(jī)房，學(xué)?？勺灾鬟x擇100 M/1000 M不同帶寬接入?yún)^(qū)教育城域網(wǎng)。

3 技術(shù)實(shí)現(xiàn)

充分考慮和利用現(xiàn)有民辦學(xué)校內(nèi)部的校園網(wǎng)絡(luò)，在不對(duì)民辦學(xué)校內(nèi)部網(wǎng)絡(luò)進(jìn)行任何改動(dòng)的情況下，通過技術(shù)手段，實(shí)現(xiàn)民辦學(xué)校光纖接入到區(qū)教育城域網(wǎng)，同時(shí)很好地解決了各民辦學(xué)校之間的資源互訪問題。部署架構(gòu)圖如圖1所示。

虛擬防火墻設(shè)備部署 城域網(wǎng)中心部署兩臺(tái)防火墻設(shè)備，組成HA雙機(jī)，提高網(wǎng)絡(luò)運(yùn)行的高可靠性；在防火墻上啟用功能主要為虛擬防火墻、虛擬防火墻上的IPsec VPN、NAT地址轉(zhuǎn)換等。為了充分利用防火墻的資源，虛擬防火墻支持管理員對(duì)硬件資源的分配，從而實(shí)現(xiàn)管理員可以根據(jù)接入學(xué)校的規(guī)模大小，動(dòng)態(tài)調(diào)整分配給該學(xué)校對(duì)應(yīng)虛擬防火墻的CPU資源、最大并發(fā)資源等。每個(gè)學(xué)校對(duì)應(yīng)的虛擬防火墻需要提供各自獨(dú)立的管理界面，需要實(shí)現(xiàn)虛擬防火墻之間的互訪，從而實(shí)現(xiàn)各民辦學(xué)校之間的互訪；即使在民辦學(xué)校間出現(xiàn)地址重疊的情況下，依然能夠?qū)崿F(xiàn)民辦學(xué)校之間的互訪。

集中式管理平臺(tái)部署 城域網(wǎng)中心部署一臺(tái)集中式虛擬防火墻管理系統(tǒng)，實(shí)現(xiàn)對(duì)防火墻系統(tǒng)、虛擬防火墻系統(tǒng)的集中監(jiān)控和管理、可用性監(jiān)控、VPN隧道狀態(tài)監(jiān)控、策略配置的統(tǒng)一下發(fā)、運(yùn)行狀態(tài)監(jiān)控、日志分析及報(bào)表生成等。

上網(wǎng)行為審計(jì)設(shè)備部署 城域網(wǎng)中心部署兩臺(tái)上網(wǎng)行為審計(jì)系統(tǒng)，組成HA雙機(jī)模式，以提高可靠性；通過從防火墻設(shè)備上鏡像端口流量出來到審計(jì)系統(tǒng)，以實(shí)現(xiàn)日志記錄；同時(shí)連接一條管理線路到網(wǎng)絡(luò)上，以實(shí)現(xiàn)對(duì)用戶訪問網(wǎng)絡(luò)流量的攔截及阻斷；學(xué)校上網(wǎng)終端存在不同的學(xué)校IP地址相同的情況，審計(jì)系統(tǒng)需滿足公安部82號(hào)令，審計(jì)設(shè)備能夠結(jié)合防火墻日志及CE設(shè)備（校園網(wǎng)三層交換機(jī)）的SNMP信息，以學(xué)校名稱+真實(shí)終端IP的方式區(qū)分所有學(xué)校的上網(wǎng)終端，精確記錄各民辦學(xué)校內(nèi)部真實(shí)的IP與MAC地址，解決網(wǎng)絡(luò)行為的溯源問題。同時(shí)，審計(jì)系統(tǒng)需具備對(duì)網(wǎng)絡(luò)關(guān)鍵字過濾、用戶網(wǎng)絡(luò)訪問權(quán)限管理等，以有效控制用戶對(duì)網(wǎng)絡(luò)的正常訪問。

運(yùn)營(yíng)商接入光纖鏈路及組網(wǎng)部署 運(yùn)營(yíng)商完成47所未接入?yún)^(qū)教育城域網(wǎng)民辦學(xué)校的光纖敷設(shè)到學(xué)校網(wǎng)絡(luò)中心，選擇成熟的三層MPLS組網(wǎng)，接入光纖及接入端設(shè)備支持100 M和1000 M鏈路接入，提供一條10 G匯聚鏈路實(shí)現(xiàn)47所民辦學(xué)校與區(qū)教育城域網(wǎng)中心的互聯(lián)。協(xié)助完成原來19所已接入民辦學(xué)校的二層VPN轉(zhuǎn)三層VPN的組網(wǎng)需求，所有組網(wǎng)納入統(tǒng)一管理、統(tǒng)一監(jiān)控，學(xué)校之間互聯(lián)互通。

4 實(shí)施流程

為有效推進(jìn)47所民辦學(xué)校接入?yún)^(qū)教育城域網(wǎng)的項(xiàng)目建設(shè)，成立局領(lǐng)導(dǎo)掛帥的項(xiàng)目推進(jìn)領(lǐng)導(dǎo)小組，明確了中心端設(shè)備與光纖到校工程部署及學(xué)校端接入?yún)^(qū)教育城域網(wǎng)部署所涉及的工作流程、負(fù)責(zé)部門、協(xié)助部門和完成情況，確保項(xiàng)目建設(shè)的效率與效果（如表1所示）。

5 運(yùn)維管理

基于虛擬化模式創(chuàng)新實(shí)現(xiàn)民辦學(xué)校網(wǎng)絡(luò)接入城域網(wǎng)運(yùn)維架構(gòu)圖如圖2所示。

營(yíng)造綠色校園 47所民辦學(xué)校納入寶安區(qū)從2004年起積極營(yíng)造的區(qū)域綠色校園網(wǎng)絡(luò)環(huán)境，全區(qū)教育城域網(wǎng)實(shí)行統(tǒng)一網(wǎng)絡(luò)平臺(tái)、統(tǒng)一互聯(lián)網(wǎng)出口、網(wǎng)絡(luò)行為多級(jí)監(jiān)控的集中管理模式，以信息化手段降低了各校網(wǎng)管技術(shù)難度，提高了學(xué)校網(wǎng)絡(luò)信息安全管理水平，為全區(qū)公民辦學(xué)校的青少年學(xué)生營(yíng)造健康綠色的網(wǎng)絡(luò)教育環(huán)境。

網(wǎng)絡(luò)安全策略 提高了民辦學(xué)校城域網(wǎng)網(wǎng)絡(luò)安全和信息保密水平，統(tǒng)一了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和行為管理，各接入學(xué)?？勺灾鞴芾碜约合嚓P(guān)的虛擬防火墻及虛擬的上網(wǎng)行為審計(jì)設(shè)備，校級(jí)賬號(hào)既可實(shí)現(xiàn)分權(quán)分賬號(hào)的自主管理，也可實(shí)現(xiàn)區(qū)級(jí)對(duì)校級(jí)賬號(hào)的統(tǒng)一管控、策略及資源調(diào)配等。

區(qū)校職責(zé)明晰 防火墻和上網(wǎng)行為審計(jì)的核心設(shè)備均部署在區(qū)教育城域網(wǎng)中心機(jī)房，由城域網(wǎng)運(yùn)維小組提供專業(yè)化的運(yùn)維與管理服務(wù)，鏈路部分由鏈路運(yùn)營(yíng)商提供線路保障，學(xué)校僅需負(fù)責(zé)校園網(wǎng)內(nèi)部的日常管理維護(hù)，大大降低了學(xué)校維護(hù)的難度與成本。

6 前景探析

寶安區(qū)47所民辦學(xué)校自2015年通過基于虛擬化模式實(shí)施實(shí)現(xiàn)民辦學(xué)校網(wǎng)絡(luò)接入?yún)^(qū)教育城域網(wǎng)以來，網(wǎng)絡(luò)運(yùn)行高速、穩(wěn)定，實(shí)現(xiàn)了與公辦學(xué)校同等級(jí)的統(tǒng)一網(wǎng)絡(luò)平臺(tái)和上網(wǎng)出口，平等使用寶安區(qū)教育云平臺(tái)的資源和服務(wù)。本文提出的基于虛擬化模式創(chuàng)新實(shí)現(xiàn)民辦學(xué)校網(wǎng)絡(luò)接入城域網(wǎng)案例，有效解決了國(guó)有資產(chǎn)下?lián)苊褶k學(xué)校的政策瓶頸問題，結(jié)合民辦學(xué)校網(wǎng)絡(luò)接入成本和運(yùn)維技術(shù)力量不足的普遍存在問題，把項(xiàng)目建設(shè)的重點(diǎn)、難點(diǎn)、高成本部分上移到區(qū)里統(tǒng)籌解決，打破了民辦學(xué)校信息孤島，有利于進(jìn)一步縮小公民辦學(xué)校數(shù)字鴻溝，提高全區(qū)教育信息化的整體水平。