新一代数字校园网络基础平台研究与实现

蒋建军

摘 要：本文介绍了上海电机学院新一代的数字化校园基础平台的建设情况，结合华为公司的成熟技术，详细分析了融合的数据中心、云计算、立体安全防护技术和多校区互联互通的实现办法，为各学校建立多校区数字化校园基础平台起到了一定的示范借鉴作用。

关键词：数据中心；云计算；立体安全；防护

中图分类号：TP393 文献标志码：A 文章编号：1673-8454（2014）19-0060-03

一、引言

中国的高校信息化已经进展了将近20年，与其他行业一样，数字化校园的基础架构随着IT技术的不断发展，逐步走向融合、云化，真正开始面向以应用为核心提供灵活扩展的服务平台。上海电机学院新一代数据中心也将在临港新校区建成之际落成，新数据中心将为全校师生提供一流的数字化校园生活，为实现上海电机学院办学目标提供信息化保障。

为实现这一目标，上海电机学院与华为公司达成战略合作伙伴关系，在信息化建设过程中采取了虚拟化整合数据中心、云计算、立体安全等全新理念，建设新一代的数字化校园，具体说来，IT基础架构具有以下鲜明的特色：

融合的数据中心：实现虚拟化整合、容灾备份、分级存储和云存储；

云计算：实现应用平台、服务器平台、虚拟化平台和桌面虚拟化；

立体安全防御：实现数据中心和接入网络安全、信息安全、云安全的立体安全防御体系。

以下将针对上海电机学院信息化建设的三大显著特点展开论述。

二、融合的数据中心

数据中心的整合，为各种应用系统提供按需分配的资源，是一个美好的愿望，但是由于传统上各种应用往往基于自身独立的硬件系统，相互间难以兼容，因此，实现数据中心的融合，是一个很大的难题。

方案需要考虑到原有各种各样复杂应用系统，需要平滑过渡，不影响原有业务的运行，又要实现虚拟化，在两个校区之间建立容灾系统，还要兼顾方案实施成本和技术难度。校方先后考察了基于应用层、主机层、操作系统、阵列层和网络层的多种虚拟化解决方案，最后决定采用基于网络层的存储虚拟化技术。因为网络层的存储虚拟化对目前网络和应用改变最小，而且满足目前系统的异构和扩展需求，安装部署的过程基本不需要修改现网应用，现网设备可以全部应用。通过网络层虚拟化将来可以平滑升级数据保护的层次，后期扩容也不受厂家和存储设备功能特性的限制。

临港校区和闵行校区各放置一套虚拟化网关，相互之间通过上海教科网实现基于IP网络的异步镜像，如图1所示。

采用华为的网络层虚拟化产品，实施虚拟化后，所有存储资源形成一个大存储池，可为大部分的应用和主机服务，今后存储的扩容再也不必为品牌和兼容性发愁，而且，可以在不同品牌的阵列之间自由迁移数据、镜像，也为容灾备份的实施打好基础。

1.动态分级存储

提供动态分级存储的功能，使热点数据可从高性能存储访问，（如图2所示）提高了系统性能。动态分级存储根据策略筛选文件，将长期不访问的数据迁移到廉价存储上，迁移后可直接从廉价存储访问，对业务的应用透明，对于已经迁移到二级存储上的文件，可以设置策略根据访问频度回迁到一级存储，这样就保证了用户的访问性能。

2.云存储

学校可在目前的平台基础上，拓展为云存储架构，为全校师生提供海量数据存储、备份、共享的空间，如图3所示。

3.云计算

由于高校业务系统的要求，目前高校数据中心越来越多地采用 X86服务器。通过搭建云计算平台，采用虚拟化技术，并配合存储架构，可以减少硬件投资、降低运行成本、简化管理、提高业务连续性和灾备能力。

另外，采用传统的方式，众多且极度分散的PC客户端，势必会面临如下难题——难以管理、难以实现数据保护和保密、成本高昂、能耗高。采用云计算平台，可让分散在各地的用户迅速、安全、方便地访问关键性企业应用和信息数据，从而摆脱本地PC的束缚，实现在任何时间、任何地点，通过任何设备的虚拟接入，从而实现快速部署业务、保证数据安全、灾备、节能等多种目标，如图4为虚拟化资源配置图。

通过云计算、云存储、云网络、云安全提供基础架构的平台解决方案，包括了“计算、存储、网络、平台软件、工程设计以及基础设施”等，构建具备“分布式、网络化、智能管控、开放性”的云平台。

三、立体安全防御

1.内控外防，认证相辅

临港新区校园网的设计采取“内外结合”的思想来解决，如图5所示。首先，就网络威胁的来源分为内网威胁和外网威胁，内网威胁主要分为非法使用网络和非法的网络攻击行为，而外网威胁则来源于L2-L7的互联网攻击和非法言论控制。

针对威胁根源，校园网的安全设计分两步走。第一步解决内网安全，首先用入网即认证的方式解决非法用户接入的问题。通过一台为认证服务器实现全网认证，所有进入网络的用户首先需要通过认证。

第二步则是解决外网安全威胁，而出口是内网与外网的唯一连接口，所以在出口需要部署强大的安全防御体系。通过在出口部署两台冗余的高性能UTM设备，主要实现L2-L4的安全防御，同时支持L5-L7的应用层防御。同时核心交换机部署的IDS设备，实现全网进出流量威胁检测，通过策略同前端防火墙联动，完善防御体系。

2.层次防御，审计相随

临港新区校园网的建设，充分考虑各种用户和数据的安全性。通过安全域策略和层次化建设来实现，高效且安全。

USG5000系列防火墙，最高支持16个安全区域的划分，有全网的普通学生用户区、学校教师办公区、网管审计区、核心业务服务区等多个不同的安全级区域。通过不同安全等级的设置，实现各个安全区域的互访控制。确保高安全等级区域例如核心业务服务区的安全。

在关键的核心业务服务区，部署具备万兆性能的分布式ATCA架构的USG9100防火墙。实现对该区域的二次防护，有效阻断外部Internet网络对核心业务服务区的访问，实现对校园网内部用户对该区域的访问控制，实行业务区域的按需访问。

临港新校区网络及业务系统庞大，难免出现针对主机系统、数据库的安全事件。例如后门木马、内部人员篡改数据等，如何及时发现并制止这类安全事件呢？针对可能出现的问题，部署一套完善的日志管理和安全审计系统，有效实现对全网日志的全面收集和及时审计。

3.整网延伸，安全可信

临港新校区建成后，如何实现新校区同老校区的安全、高速互联，成为摆在面前的一个现实问题。

通过部署SVN3000来实现新老校区通过IPsec VPN的安全互联。同时SVN3000能够满足临港校区出差教师、兄弟院校用户等，对基于移动PC的SSL VPN远程接入学校网络和信息系统的需求，图6 为立体安全防护效果。

四、结束语

上海电机学院与华为公司借新校区信息化建设的新机遇，以云计算、虚拟化、融合为主线，对数据中心IT基础架构部分的网络基础架构、网络安全、服务器虚拟化、桌面虚拟化、存储虚拟化与整合、容灾备份等几个方面做了详细的方案讨论并最终得以实施。对现有网络架构、安全体系、计算与存储资源进行了充分利用与优化，设计出了新一代数据中心的初步网络平台构架，达到了融合、虚拟化、立体安全防护、绿色节能的目标。

（编辑：王天鹏）endprint