李刚
摘要:随着新技术在校园网中的不断应用,教学手段的不断丰富,荆州职业技术学院现有校园网急需升级改造。经过设计和选型,最终采用了万兆核心、全无线覆盖和服务器虚拟化的方案,结合一卡通、安防、门禁等功能的实现,将校园网建设成为了新一代的“智慧校园”。随着“智慧校园”的提出,数字化校园在“大数据”和“云”的洗涤下,赋予了新的生命。一卡通、安防、门禁、无线接入、虚拟化、数据挖掘、决策平台等场景的实施又为“智慧校园”丰富了血肉。荆州职业技术学院是一所经湖北省人民政府批准、国家教育部备案的全日制公办学院,分别由多所省级重点中专组建而成。组建伊始,由于各中专院校之间相距较远、校园网建设层次不一、设备老旧,院领导决定在新校区建设新的校园网。经过几年的建设使用,随着教学手段的不断提升、在校生的不断增加、新业务的不断拓展,原有校园网已经不能满足教学、办公、实训等的需要,急需优化。
关键词:智慧校园;网络架构设计;设备选型;技术优化
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)19-0024-02
荆州职业技术学院的校园网自2002年建设以来,没有大的改进,还停留在1.0时代。即百兆出口、千兆核心和汇聚、接入采用有线连接方式,校内只提供了门户网站、教务系统、CRP办公平台、食堂刷卡等应用,已经远远不能满足现在教学和生活的需要,且多个系统相互分离,数据不能共享。
1网络架构设计,突出创新和拓展
通过对师生需求的分析,结合本院的实际情况,突出“智慧”,经过多个建设方案的参考后,决定从网络架构上实现根本改变,从1.0跨入到2.0时代。
方案采用无线全覆盖模式,即出口、核心、汇聚、数据中心采用全万兆接入,千兆到无线节点,公共机房和重要实训场所千兆光纤与汇聚直连,无线补充;服务器采用虚拟化技术,整合硬件平台,并在出口加装负载均衡和七层防火墙等安全设备,提升安全防护能力;一卡通、安防系统、应用服务器在数据中心互连,由大数据分析系统统一调度,为决策平台提供依据;用户接入实现实名制、扁平化,可在自己的移动终端上查询所需的数据和报告;门禁等系统可利用无线平台或专线实现车辆出入管理、会议签到等功能。
此方案不仅将无线由辅改主,强化了安全性,而且还满足今后数字录播、教学资源、等级保护等需求的应用。
2设备选型,突出高效和统一
在设备的选型上,按“三横三竖”的原则。“三横”即VPN、出口、数据中心,“三竖”即核心、汇聚、接入。
VPN由出口设备自带,可实现与其他校区逻辑上互联,也可方便校外的老师访问校内资源。
出口采用多台设备,包括下一代防火墙、路由器、行为管理、流量控制、防代理网关等,也可由出口网关统一实现。由多家ISP提供链路接入,实现G级高速访问。
数据中心集数据与网络为一体,为核心硬件提供了安全保障和可靠的运行环境。
核心采用CLOS架构的双万兆核心交换机,通过配置VRRP命令,实现交换机虚拟冗余链路,保障汇聚的接入。无线管理器又可管理全院的AP设备,实现动态策略的配置。
汇聚采用万兆交换机,与核心交换机实现万兆互联。为今后的翻转课堂、慕课等新教学形式和教学资源库的调用提供了传输带宽保障。
接入交换机和AP全部使用POE技术,通过单根屏蔽双绞线就可实现数据与供电的双传输,减少了综合布线的施工难度,提升了接入的可靠性。
在这个网络平台上,一卡通、门禁都可借用此平台的传输线路,即减少了施工成本,又方便了在某些不便施工的地点,采用AP接入的灵活方式。
安防因特殊性,使用单独布线,但摄像头还是采用POE供电、H265压缩,接入主机按楼宇进行分布,最终在数据中心进行实时备份。学院领导可通过校园网进行实时查看和调用。
除了架构的调整,还在设备选型、综合布线等方面设计了技术标准,保障的设备的先进性和冗余性。
3技术优化,突出安全和融合
硬件只是平台的保障,技术才是实现的关键。在此方案中,我们分别采用了服务器虚拟化技术、存储虚拟化技术、链路聚合技术、虚拟冗余链路技术、虚拟防火墙技术、数据挖掘技术、数据关联筛选技术、人脸识别技术、电子巡更技术、精准定位技术、扁平化技术等。将硬件设备自身的特性和服务器等技术有效的结合,为“智慧校园”提供了数据保障和决策分析。
虚拟化技术是目前数据中心采用的最为广泛的技术,本院在数据中心建设方案中也采用了此技术。通过服务器虚拟化和存储虚拟化,将升级的老服务器与新购服务器实现了硬件平台的整合,不仅保障了原有服务器的应用,还利用空余资源实现了多虚机的备份,提高了数据安全性,节省了数据恢复时间。通过加设负载均衡,在数据读取的高峰期,保障了数据读写的速度,减少了死机、卡机等现象。
因为我院网络应用都是基于WEB平台的开发,所以四至七层的防护尤为重要,国家也有相关安全等级保护的要求。我院在数据中心的出口处加装了一台下一代防火墙,实现了网络的2.0架构和出入数据的安全保障,防护了来自校园网内部的攻击,为以后的网站群建设提供了基础。
虚机之间的平行安全也很重要,一个虚机被攻破后,可能会对共享的数据实施破坏。如果共享数据放在存储上,又会引起一系列的安全问题。H3C的CAS、RUIJIE的VSD、SANGFOR的VAF、VMware的vShield Endpoint等产品都提供了相关虚机安全解决方案。总体来说分为两种,一种是虚机内部安装安全软件,提供分布式防护。这样会占用部分虚机资源,而且还需要一台主机提供管理。一种是界定虚机访问流向。指定虚机访问数据必须通过安全硬件的检测后才可回流。这种方案需要强大的外部设备,并占用更多的带宽资源,会提高虚拟化成本。
我院在方案设计时考虑到了数据中心的建设成本、虚拟化技术实施条件等因素,最终采用了虚机内部提供分布式防护的方案。
为了实现扁平化,我们将DHCP设立单独的虚机,认证管理也由接入层提升到了核心层。
本方案除了全万兆核心、全POE供电、全虚拟化、全高清等技术标准外,还提出了“全融合”的概念。此“全融合”并不是硬件厂商提出的服务器硬件和软件基于KVM技术的虚拟一体化方案,而是将多个不同系统数据库的相关字段进行有效挖掘、整合成一个大的数据库,在终端、手机APP、决策平台上能提供有效的查询,打破传统的“三家分天下”,即CRP和教务、运维认证、一卡通三大系统数据库平台数据不能统一实现的不便局面。
4方案实施,突出标准和实现
整体方案定型、设备选型、技术定位后,就是具体实施了。在实施的过程中,我院要求五个“统一”。即综合布线标准的统一;配件品牌的统一;施工进度的统一;工程师进场要求的统一;运维服务的统一。只有统一规划、统一标准、统一建设,才能有效地保障新学期前能顺利投入使用。
5结束语
“智慧校园”是一个大的课题,也是一个长期建设的过程。现在的“智慧”也仅是有限的“小智慧”,只有不断的建设、提升、融合,才能逐渐实现校园的“大智慧”。
参考文献:
[1] 胡勇,杨永其.万兆核心校园多建设与实践——以四川广播电视大学为例[J].数字技术与应用,2016(1):233-234.