基于虚拟化模式的民办学校入网建设探析

肖春光

摘 要 投资民办学校的政策瓶颈，民办学校网络接入成本和运维技术力量不足等问题普遍存在，公民办学校数字鸿沟难于逾越。在网络边界防火墙及上网行为审计设备虚拟化基础上，提出基于虚拟化模式实现民办学校网络接入教育城域网的建设思路、技术实现、实施流程、运维管理及前景探析。

关键词 虚拟化模式；教育城域网；民办学校；校校通；三通两平台；教育资源；教育信息化

中图分类号：G434 文献标识码：B

文章编号：1671-489X（2018）13-0008-03

1 背景

《国家中长期教育改革和发展规划纲要（2010—2020年）》着重提出全面推进“三通两平台”建设。广东省教育厅颁发的《关于开展“以信息化促进义务教育均衡发展实验区”建设工作的通知》（粤教电函〔2010〕18号）和深圳市教育局颁发的《转发关于开展“以信息化促进义务教育均衡发展实验区”建设工作的通知》（深教〔2011〕36号）中明确要求：“基本实现‘校校通，镇中心小学以上学校以10兆以上光纤接入省基础教育专网。”2007年底，宝安区100%的公办学校（幼儿园）全部采用区政府信息网和中国电信VPN组网方式光纤接入区教育城域网，高标准实现“校校通”工程目标，全区优质网络教育资源共建共享工作取得显著成效。

自2008年以来，宝安区石岩公学等19所民办学校自筹资金，完善校园网络及安全等区教育城域网准入设备，完成了电信VPN光纤宽带接入区教育城域网络系统的工作，与公办学校共享优质网络资源，加快了学校信息化发展进程。但尚未接入的民办学校还有47所，占民办学校总数的77%，大部分学校仍使用ADSL窄带电路（小于4 MB）连接互联网，存在访问速度慢、无法共享区内优质资源以及上网行为无法监管等问题，严重制约了民办学校教育信息化的发展。

在深圳推进教育一体化进程中，民办学校必须抓住机遇，加快实现“校校通”和“班班通”，以信息化推进学校办学的优质化。为有效加快宝安区民办学校“校校通”建设步伐，进一步缩小公民办学校数字鸿沟，提高全区教育信息化的整体水平，全面推广应用宝安区教育云服务平台，共享优质网络教育资源，有效推进义务教育均衡发展，真正实现全区“三通两平台”建设。为此，宝安区已于2014年提出基于虚拟化模式实现全区47所民办学校网络接入教育城域网的构想。

2 建设部署

为确保政府投资项目国有资产管理不流失，依托宝安区教育城域网云计算环境的优势，本项目采用先进的云计算IAAS服务架构进行虚拟化设备的部署，是宝安区教育云服务平台全面优化服务体系的重要组成，主要建设部署内容如下。

区教育城域网中心端 部署双冗余、高性能、集群式的虚拟化防火墙设备，完成至少47所以上民办学校虚拟防火墙的接入配置要求；部署双冗余、高性能、集群式的上网行为审计设备，完成各虚拟链路上网行为的独立审计及上网行为数据存储、预警和防护；建设部署虚拟化防火墙、上网行为审计集中式管理系统，完成虚拟化防火墙、审计设备集中式监控、管理及策略下发。链路运营商提供一条10 G

汇聚链路，实现47所民办学校与区教育城域网中心的互联。

学校接入端 由链路运营商一次性投入建设和部署光纤网络及接入端设备，完成三层MPLS VPN光纤链路的组网及互联互通调试工作。光纤资源接入民办学校网络中心机房，学校可自主选择100 M/1000 M不同带宽接入区教育城域网。

3 技术实现

充分考虑和利用现有民办学校内部的校园网络，在不对民办学校内部网络进行任何改动的情况下，通过技术手段，实现民办学校光纤接入到区教育城域网，同时很好地解决了各民办学校之间的资源互访问题。部署架构图如图1所示。

虚拟防火墙设备部署 城域网中心部署两台防火墙设备，组成HA双机，提高网络运行的高可靠性；在防火墙上启用功能主要为虚拟防火墙、虚拟防火墙上的IPsec VPN、NAT地址转换等。为了充分利用防火墙的资源，虚拟防火墙支持管理员对硬件资源的分配，从而实现管理员可以根据接入学校的规模大小，动态调整分配给该学校对应虚拟防火墙的CPU资源、最大并发资源等。每个学校对应的虚拟防火墙需要提供各自独立的管理界面，需要实现虚拟防火墙之间的互访，从而实现各民办学校之间的互访；即使在民办学校间出现地址重叠的情况下，依然能够实现民办学校之间的互访。

集中式管理平臺部署 城域网中心部署一台集中式虚拟防火墙管理系统，实现对防火墙系统、虚拟防火墙系统的集中监控和管理、可用性监控、VPN隧道状态监控、策略配置的统一下发、运行状态监控、日志分析及报表生成等。

上网行为审计设备部署 城域网中心部署两台上网行为审计系统，组成HA双机模式，以提高可靠性；通过从防火墙设备上镜像端口流量出来到审计系统，以实现日志记录；同时连接一条管理线路到网络上，以实现对用户访问网络流量的拦截及阻断；学校上网终端存在不同的学校IP地址相同的情况，审计系统需满足公安部82号令，审计设备能够结合防火墙日志及CE设备（校园网三层交换机）的SNMP信息，以学校名称+真实终端IP的方式区分所有学校的上网终端，精确记录各民办学校内部真实的IP与MAC地址，解决网络行为的溯源问题。同时，审计系统需具备对网络关键字过滤、用户网络访问权限管理等，以有效控制用户对网络的正常访问。

运营商接入光纤链路及组网部署 运营商完成47所未接入区教育城域网民办学校的光纤敷设到学校网络中心，选择成熟的三层MPLS组网，接入光纤及接入端设备支持100 M和1000 M链路接入，提供一条10 G汇聚链路实现47所民办学校与区教育城域网中心的互联。协助完成原来19所已接入民办学校的二层VPN转三层VPN的组网需求，所有组网纳入统一管理、统一监控，学校之间互联互通。

4 实施流程

为有效推进47所民办学校接入区教育城域网的项目建设，成立局领导挂帅的项目推进领导小组，明确了中心端设备与光纤到校工程部署及学校端接入区教育城域网部署所涉及的工作流程、负责部门、协助部门和完成情况，确保项目建设的效率与效果（如表1所示）。

5 运维管理

基于虚拟化模式创新实现民办学校网络接入城域网运维架构图如图2所示。

营造绿色校园 47所民办学校纳入宝安区从2004年起积极营造的区域绿色校园网络环境，全区教育城域网实行统一网络平台、统一互联网出口、网络行为多级监控的集中管理模式，以信息化手段降低了各校网管技术难度，提高了学校网络信息安全管理水平，为全区公民办学校的青少年学生营造健康绿色的网络教育环境。

网络安全策略 提高了民办学校城域网网络安全和信息保密水平，统一了网络安全标准和行为管理，各接入学校可自主管理自己相关的虚拟防火墙及虚拟的上网行为审计设备，校级账号既可实现分权分账号的自主管理，也可实现区级对校级账号的统一管控、策略及资源调配等。

区校职责明晰 防火墙和上网行为审计的核心设备均部署在区教育城域网中心机房，由城域网运维小组提供专业化的运维与管理服务，链路部分由链路运营商提供线路保障，学校仅需负责校园网内部的日常管理维护，大大降低了学校维护的难度与成本。

6 前景探析

宝安区47所民办学校自2015年通过基于虚拟化模式实施实现民办学校网络接入区教育城域网以来，网络运行高速、稳定，实现了与公办学校同等级的统一网络平台和上网出口，平等使用宝安区教育云平台的资源和服务。本文提出的基于虚拟化模式创新实现民办学校网络接入城域网案例，有效解决了国有资产下拨民办学校的政策瓶颈问题，结合民办学校网络接入成本和运维技术力量不足的普遍存在问题，把项目建设的重点、难点、高成本部分上移到区里统筹解决，打破了民办学校信息孤岛，有利于进一步缩小公民办学校数字鸿沟，提高全区教育信息化的整体水平。