香港中文大學(xué)（深圳）構(gòu)建先進(jìn)安全的一體化校園網(wǎng)

2019-04-18 09:34曾祥容

中國教育網(wǎng)絡(luò) 2019年3期

文／曾祥容

香港中文大學(xué)(深圳)是一所經(jīng)國家教育部批準(zhǔn)，按中外合作辦學(xué)條例設(shè)立，傳承香港中文大學(xué)的辦學(xué)理念和學(xué)術(shù)體系的大學(xué)。以創(chuàng)建一所立足中國、面向世界的一流研究型大學(xué)為己任，致力于培養(yǎng)具有國際視野、中華傳統(tǒng)和社會(huì)擔(dān)當(dāng)?shù)膭?chuàng)新型高層次人才。大學(xué)前期開設(shè)理科、工科、經(jīng)濟(jì)管理類和人文社科類專業(yè)。長遠(yuǎn)辦學(xué)規(guī)模為國內(nèi)外學(xué)生 11000 人，其中本科生7500人，碩士及博士研究生3500 人。

自2014 年建校來，在網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、書院網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、視頻會(huì)議、大學(xué)數(shù)據(jù)中心、統(tǒng)一身份認(rèn)證、校園內(nèi)網(wǎng)門戶、一卡通等多種信息管理系統(tǒng)方面投入了大量的人力、物力和財(cái)力，信息化建設(shè)取得了快速發(fā)展。建校短短幾年，一個(gè)完善的基礎(chǔ)網(wǎng)絡(luò)設(shè)施已經(jīng)建設(shè)完成，相關(guān)的核心業(yè)務(wù)系統(tǒng)也隨之建設(shè)完畢。隨著學(xué)校的發(fā)展，“敏捷網(wǎng)絡(luò)”、“全光網(wǎng)絡(luò)”、“模塊化數(shù)據(jù)中心”以及“軟定義網(wǎng)絡(luò)”等方面技術(shù)也加速推進(jìn)校園網(wǎng)的高速、智能化、虛擬化，為實(shí)現(xiàn)整個(gè)校區(qū)萬兆骨干、千兆匯聚，構(gòu)建先進(jìn)安全的、有線無線一體化的校園網(wǎng)。

智慧校園概念

智慧校園可理解為以信息技術(shù)為基礎(chǔ)的智慧化的校園工作、學(xué)習(xí)和生活一體化環(huán)境，這個(gè)一體化環(huán)境以各種應(yīng)用服務(wù)系統(tǒng)為載體，將教學(xué)、科研、管理和校園生活進(jìn)行充分融合。

然而，不同的高校和不同的廠商針對(duì)智慧校園這個(gè)定義卻是不同的。甚至不同時(shí)期，同一個(gè)高校或者廠商在不同的時(shí)期對(duì)該定義也在改變。

此外，智慧校園與數(shù)字校園的區(qū)別是什么？大部分人認(rèn)為，“智慧校園”是數(shù)字校園升級(jí)到一定階段的表現(xiàn)，是數(shù)字校園發(fā)展的一個(gè)高級(jí)階段。由此可見“智慧校園”的基石是前期數(shù)字校園的建設(shè)與發(fā)展。這也就意味著，“智慧校園”首先要有一個(gè)統(tǒng)一的基礎(chǔ)設(shè)施平臺(tái)，統(tǒng)一的數(shù)據(jù)共享平臺(tái)和綜合信息服務(wù)平臺(tái)。

智慧校園建設(shè)主要內(nèi)容

作為新成立大學(xué)，信息系統(tǒng)建設(shè)雖然沒有歷史包袱，但建設(shè)起點(diǎn)高、標(biāo)準(zhǔn)新、建設(shè)周期短，同時(shí)沒有經(jīng)驗(yàn)可以參考，面臨挑戰(zhàn)同樣不少。

正如前文所述，智慧校園的前提是建設(shè)一個(gè)完善的基礎(chǔ)設(shè)施平臺(tái)，其中包括一個(gè)完善的校園基礎(chǔ)設(shè)施平臺(tái)。大學(xué)的核心業(yè)務(wù)系統(tǒng)，例如學(xué)生信息管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、人事管理系統(tǒng)、科研管理系統(tǒng)、學(xué)生事務(wù)管理系統(tǒng)和內(nèi)網(wǎng)門戶平臺(tái)等，都離不開一個(gè)完善且穩(wěn)定的基礎(chǔ)設(shè)施平臺(tái)。

在建設(shè)過程，大學(xué)制定了先硬件后軟件和先核心后邊緣的建設(shè)思路，快速且很好地完成了建設(shè)任務(wù)。截至目前，硬件設(shè)施建設(shè)已經(jīng)全部完成，目前剩余少量非核心應(yīng)用系統(tǒng)正在實(shí)施中，部分核心應(yīng)用系統(tǒng)二期甚至三期計(jì)劃也在安排之中。

實(shí)際上，智慧校園的內(nèi)涵遠(yuǎn)不止包含基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)。目前，包括平安校園、綠色校園以及基于物聯(lián)網(wǎng)全互聯(lián)校園等概念也日漸被提及，并可能成為日后智慧校園建設(shè)的方向之一。

園區(qū)網(wǎng)建設(shè)規(guī)劃

網(wǎng)絡(luò)主拓?fù)?/h3>
學(xué)校一期網(wǎng)絡(luò)拓?fù)淙鐖D1所示。從網(wǎng)絡(luò)的層次維度，網(wǎng)絡(luò)可以劃分為核心層、匯聚層和接入層三級(jí)結(jié)構(gòu)。
從功能層次維度，本次園區(qū)網(wǎng)絡(luò)可以劃分為 DMZ 區(qū)、對(duì)外網(wǎng)絡(luò)出口區(qū)、數(shù)據(jù)中心區(qū)和辦公區(qū)，其中辦公區(qū)根據(jù)不同的部門劃分為 2 個(gè)園區(qū)子網(wǎng)絡(luò)（上園書院區(qū)和下園教學(xué)辦公區(qū)）。校園里教學(xué)樓、辦公區(qū)、宿舍有線上網(wǎng)支持千兆接入。無線網(wǎng)絡(luò)覆蓋依據(jù)不同場(chǎng)景部署，如：宿舍采用敏分AP，保證每個(gè)房間的信號(hào)強(qiáng)度以及零漫游；室外采用IP67防護(hù)等級(jí)無線AP，保障室外場(chǎng)景的無線覆蓋等。不同類型的終端用戶可以通過有線，無線方式接入網(wǎng)絡(luò)。
圖1 學(xué)校一期信息系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
該網(wǎng)絡(luò)具備如下特點(diǎn)：
1.采用高性能的匯聚核心設(shè)備，背板支持平滑升級(jí)到100G線卡，打造一個(gè)大容量的校園網(wǎng)絡(luò)以滿足學(xué)校長遠(yuǎn)辦學(xué)規(guī)模對(duì)網(wǎng)絡(luò)的需求。
2.通過堆疊 iStack，集群 CSS2等虛擬化技術(shù)，以及鏈路捆綁 Eth-trunk，雙機(jī)熱備等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的主備冗余，打造一個(gè)可靠健壯的校園網(wǎng)絡(luò)。
3.通過部署校園出口安全、校園接入安全、數(shù)據(jù)中心安全、高級(jí)威脅防御等手段,打造一個(gè)多維度的安全校園網(wǎng)絡(luò)。
4.使用全可編程ENP芯片的敏捷隨板 AC及ACU2無線插卡等方式實(shí)現(xiàn)對(duì)AP 的管理，無線業(yè)務(wù)的下發(fā)，使用支持802.11ac協(xié)議的 AP，單AP 整機(jī)速率達(dá)到1.9Gbps；AP 采用矩陣式智能天線，波束成型技術(shù)，覆蓋無死角；打造一個(gè)全場(chǎng)景Wi-Fi覆蓋，無縫漫游，訪問不中斷的校園無線網(wǎng)絡(luò)。
5.使用eSight 管理平臺(tái)，能對(duì)有線無線統(tǒng)一管理，大大降低了管理運(yùn)維工作量，打造一個(gè)精細(xì)化運(yùn)營的校園網(wǎng)絡(luò)。
6.使用數(shù)據(jù)中心系列 CE 交換機(jī)，以及VXLAN，防火墻虛擬化等技術(shù)，打造一個(gè)高度虛擬化，能提供多業(yè)務(wù)、多租戶的大型數(shù)據(jù)中心網(wǎng)絡(luò)。
7.部署AntiDDOS設(shè)備防御DDOS攻擊。沙箱FireHunter與防火墻聯(lián)動(dòng)署，在防火墻抵御已知安全威脅的基礎(chǔ)上，同時(shí)具備防御惡意文件和網(wǎng)站等未知威脅的能力。
8.教職工宿舍采用全光網(wǎng)絡(luò)，打造高可靠網(wǎng)絡(luò)以滿足國內(nèi)外教職工的信息服務(wù)需求。
9.采用模塊化數(shù)據(jù)中心機(jī)房，標(biāo)準(zhǔn)設(shè)計(jì)和安裝，實(shí)現(xiàn)分期快速部署的目的。機(jī)房預(yù)留后續(xù)擴(kuò)容空間，滿足大學(xué)快速建設(shè)的需求。

方案主要?jiǎng)?chuàng)新

全場(chǎng)景Wi-Fi覆蓋，無縫漫游，訪問不中斷。

當(dāng)無線客戶端移動(dòng)時(shí)，如從圖書館內(nèi)A區(qū)移動(dòng)到B區(qū)，甚至移動(dòng)到學(xué)生宿舍C區(qū)，若要保持視頻、語音等實(shí)時(shí)性強(qiáng)的業(yè)務(wù)不中斷，就要求Wi-Fi產(chǎn)品能夠支持漫游。例如AC集中轉(zhuǎn)發(fā)方案可以實(shí)現(xiàn)不同VLAN下無縫漫游50ms切換，數(shù)據(jù)業(yè)務(wù)不中斷。

作為國內(nèi)第一批加入Eduroam的高校，能夠滿足無線賬號(hào)跨地區(qū)漫游的需求；同時(shí)，學(xué)校也是少數(shù)向社會(huì)大眾免費(fèi)開放網(wǎng)絡(luò)的機(jī)構(gòu)之一。

1.精細(xì)化運(yùn)營校園

大二層網(wǎng)絡(luò)設(shè)計(jì)，有線無線融合加CSS2堆疊，保障有線及無線網(wǎng)絡(luò)的可靠性，簡化網(wǎng)絡(luò)管理。

敏捷隨板AC，全可編程ENP芯片，通過用戶組實(shí)現(xiàn)矩陣式策略管控。

有線無線融合大大降低了管理運(yùn)維工作量。

2.業(yè)務(wù)自動(dòng)化部署

網(wǎng)絡(luò)管理員通過在Agile Controller上拖拽邏輯模型的方式完成租戶邏輯網(wǎng)絡(luò)模型定義。

一鍵式部署，Agile Controller根據(jù)邏輯定義，自動(dòng)翻譯網(wǎng)絡(luò)配置命令行，并下發(fā)到設(shè)備上。

SDN網(wǎng)絡(luò)由網(wǎng)絡(luò)部門通過SDN控制器Agile Controller下發(fā)。

3.全光網(wǎng)絡(luò)

為向廣大教職工提供便利的生活設(shè)施，教職工宿舍網(wǎng)絡(luò)由大學(xué)免費(fèi)提供。相對(duì)于傳統(tǒng)的雙絞線或者同軸電纜方案，我們選擇GPON方案作為建網(wǎng)技術(shù)方案，可同時(shí)為用戶提供提供Wi-Fi、有線、語音接入方式。

采用PON技術(shù)構(gòu)建網(wǎng)絡(luò)，其中一些關(guān)鍵技術(shù)，例如多重安全機(jī)制、動(dòng)態(tài)帶寬分配（DBA）以及服務(wù)質(zhì)量（QoS）等都為校園網(wǎng)絡(luò)提供更高的安全保障和更精細(xì)化的管理手段。

此外，全光網(wǎng)絡(luò)在整體架構(gòu)中間段設(shè)施屬于無源設(shè)備這一結(jié)構(gòu)特點(diǎn)，也大大降低了網(wǎng)絡(luò)故障率，減少網(wǎng)絡(luò)維護(hù)質(zhì)量。

4.模塊化數(shù)據(jù)中心

大學(xué)新建數(shù)據(jù)中心，占地800平方，可放置192個(gè)標(biāo)準(zhǔn)機(jī)柜。和傳統(tǒng)數(shù)據(jù)中心相比，模塊化設(shè)計(jì)可以實(shí)現(xiàn)分期快速部署、擴(kuò)容方便；能源層內(nèi)部協(xié)同，進(jìn)一步提升能效；結(jié)構(gòu)可靠，IT主設(shè)備、制冷和信號(hào)傳輸無單點(diǎn)故障。此外，由于模塊化機(jī)房都是預(yù)組裝、預(yù)測(cè)試，工期大大縮短。

5.大數(shù)據(jù)應(yīng)用

無線設(shè)備可向第三方設(shè)施提供標(biāo)準(zhǔn)接口，在用戶許可的情況下，以采集相關(guān)的接入或者軌跡信息。目前已經(jīng)完成相關(guān)應(yīng)用，例如場(chǎng)地?zé)岫炔樵?，空閑設(shè)施查詢等。

方案實(shí)施

大學(xué)智慧校園一期項(xiàng)目建設(shè)于2017年7月啟動(dòng)，同年8月底完成全部主體建設(shè)工作，截至2018年3月硬件部分全部驗(yàn)收完畢。

從前期的建設(shè)經(jīng)驗(yàn)來看，項(xiàng)目的實(shí)施需要注意如下幾個(gè)方面：

1.方案規(guī)劃與設(shè)計(jì)

作為最終的用戶方，需要學(xué)習(xí)各方的建設(shè)經(jīng)驗(yàn)，以自身需求為出發(fā)點(diǎn)，適當(dāng)參考相關(guān)廠家的解決方案，規(guī)劃適合的智慧校園解決方案。為使項(xiàng)目規(guī)劃更具有前瞻性，大學(xué)在規(guī)劃智慧校園建設(shè)方案的同時(shí)，還邀請(qǐng)了國際第三方咨詢顧問團(tuán)隊(duì)，為大學(xué)完成智慧校園頂層規(guī)劃設(shè)計(jì)，收到了良好的效果。

2.工程協(xié)調(diào)與管理

智慧校園項(xiàng)目建設(shè)規(guī)模大，涉及的上下游環(huán)節(jié)很多。例如學(xué)校的基建部門、政府項(xiàng)目承建單位、第三方規(guī)劃設(shè)計(jì)單位、項(xiàng)目監(jiān)理等眾多部門。信息系統(tǒng)作為基礎(chǔ)設(shè)施建設(shè)的末端環(huán)節(jié)，一定要在基礎(chǔ)設(shè)施建設(shè)階段甚至更早期的階段接入，以免影響后續(xù)的工作安排。例如綜合布線需求、機(jī)房建設(shè)規(guī)格、無線接入點(diǎn)安裝以及弱點(diǎn)井空間等，都需要在最早期時(shí)候提出需求并落實(shí)。

此外，項(xiàng)目一般會(huì)由不同的集成商負(fù)責(zé)完成。學(xué)校作為甲方或者最終用戶，一定要從項(xiàng)目管理的角度，協(xié)調(diào)好進(jìn)度、預(yù)算和質(zhì)量的關(guān)系，以盡可能地協(xié)調(diào)處理或者推動(dòng)解決建設(shè)過程的各項(xiàng)問題。

3.工程質(zhì)量管理

質(zhì)量是項(xiàng)目建設(shè)的基石。在趕工的情況下，普遍存在質(zhì)量問題。為避免此類問題，可加強(qiáng)現(xiàn)場(chǎng)工作管理，例如制定施工規(guī)范，操作規(guī)范，建立驗(yàn)收標(biāo)準(zhǔn)和樣板站點(diǎn)等方法，加強(qiáng)現(xiàn)場(chǎng)施工質(zhì)量管理。

校園網(wǎng)絡(luò)從投入使用至今，很少發(fā)現(xiàn)因前期質(zhì)量問題導(dǎo)致的網(wǎng)絡(luò)故障。說明前期的質(zhì)量管理工作是到位的。