高校与运营商共建数字化校园的探索实践
2017-06-16凌越陶向东
凌越++陶向东
摘 要:随着高等教育信息化的发展,高校与运营商合作共建数字化校园的案例越来越多。因利益分歧,合作一般难以达成共赢,且项目不易控制,造成资源浪费。本文以某高校数字化校园基础设施建设为例,在高校与多运营商的合作实践中进行探索,总结了合作模式、项目管理、网络规划、技术实现和实施步骤,为数字化校园基础设施共建共享提供借鉴与参考。
关键词:数字化校园;校园网;运营商;共建;PPP
中图分类号:G250.73 文献标志码:A 文章编号:1673-8454(2017)11-0064-03
一、引言
对于各项教学科研事业均需大量资金和人力投入的高校而言,数字化校园基础设施建设投资大、周期长、受有限资源的约束;同时,庞大的高校学生群体是商家积极争取的消费对象,各大运营商都期望不断拓展高校市场、改善用户体验。以上两个因素的互动催生了高校和各大运营商合作共建数字化校园基础设施的实践。
目前,由于多方诉求的不一致,在共建实践中暴露了许多问题,存在各运营商低效重复建设、互相干扰的现象。在多方博弈的复杂局面中,高校占据信息优势,应当合理统筹、优势互补,在实践中探索新的合作机制,应用新技术,在数字化校园建设中推进共建共享。
二、多运营商合作模式分析
数字化校园基础设施建设按照项目生命周期有可行性研究、立项、规划设计、投融资、施工、监理、审计、运维、报废、更新等多个阶段,在多方共建情境下,由于项目组织成员来自于不同的社会经济组织,耦合松散,管理较为复杂,需要事先拟定有效的合作模式。投资方式通常决定合作模式和项目组织架构,从投资关系上看,常见的方式有:
(1)校方自筹经费,主要使用财政资金,建设时可自建,也可招标代建,建设模式有平行发包和总承包等多种,建成后出租给运营商使用;
(2)运营商投资,又可分为:单一运营商投资;多运营商共同投资。建成后资产属于运营商,部分设备由学校代管;
(3)校方和运营商共同投资,比如公共网络和WLAN校方出资建设,其他设施运营商分块投资并共同使用;
(4)引入第三方民营机构,公私合作共建即PPP(Public-Private Partnership)模式。
上述投资方式中,校方使用财政资金建设会占用大量经费,审批周期长,变更困难,不利于技术变化较快的信息化建设领域;运营商投资易导致重复建设,矛盾较大,管理困难;高校出资建设一些关键共用设施(如公共网络、WLAN),其他项目分解后由各运营商分块包干,这种方式中,高校处于主导地位,易于进行商务谈判和技术引导,较为常见,但这种模式也存在缺陷,只要运营商进行直接投资,就会存在设备所有权和运营权分割的问题,利益纠纷较多,高校管理成本较高。另外,运营商作为大型国企,其设计、采购、安装、变更等审批流程周期较长,对数字化校园建设的进度管理有不利影响。
在PPP模式中,第三方民营机构实现自身利益的追求,高校可以实现公共福利和高质量服务的目标,运营商租用高校的信息化基础设施,民营机构与高校分成——权责清晰,目标一致,可以形成合作共赢的长期伙伴关系。PPP模式的实现有多种选择,如:建造、运营、移交(BOT);建设、移交、运营(BTO);设计、建造、融资及经营(DB-FO)等多种。高校、运营商、第三方民营企业共建数字化校园,有利于减少高校资金压力、提高效率、降低工程造价。与传统的融资模式相比,PPP项目平均节约17%的费用,并且易于实现成本、进度、质量的目标管理。在项目的全生命周期管理过程中,高校可以脱离繁杂的事务性工作,回到规划者和监管者的角色,发挥高校、运营商和民营组织各自的优势,弥补各自不足。所以,PPP模式是值得高校信息化建设管理部门借鉴的方式。
在共建过程中,应在“公平、公正、公开”的基础上,采用合理的技术手段,实现数字化校园设施有效共享共用。
三、建设过程管理
以某校数字化校园建设为例为例,本案例一期共建工程投资1500万元,在项目建设过程中,參与方来自于高校、运营商、设备供应商、劳务分包商、第三方代建单位,还有第三方监理和审计单位等。各单位需指定专职联系人或项目经理,以及专职或兼职技术员、施工员、安全员、质检员等,建立由高校信息技术负责人担任项目总监的项目部,根据项目合同和施工组织设计开展目标管理,做好进场施工人员安全和技术交底工作,定期举行项目例会和班组会,做好全过程的施工文档归集和整理工作,做好隐蔽工程验收和变更签证工作,做好系统试运和交付验收。因为数字化校园建设的涉及面较广,工程开工前还应建立由高校分管校长牵头,教学、学工、后勤等业务部门主管共同参与的信息化领导小组,以便于互通信息、消除矛盾,统一调度。
四、技术实现
在高校和多运营商共建数字化校园的实施过程中,由于多方参与,矛盾较多。既要用合理的组织结构为项目护航;又要采用适用的技术手段支撑多方共享共用得以实现。
1.底层网络的规划与设计
该校的校园网基础设施原来采用传统的L3+L2的交换型组网模式,网络结构为核心-汇聚-接入的三层星型架构,基于交换机端口的划分VLAN,校内用户采用出口认证方式,通过SAM认证后接入Internet和教育网,在校园网边界配置防火墙实现安全防护。
由于设备陈旧老化,考虑结合校园网改扩建,引入运营商共建共享数字化校园。在网络基础设施建设中,建立以路由器为核心的扁平化大二层网络,划分为业务控制层和业务接入层,拓扑结构见图1。
图1中,采用两台高性能核心路由器(宽带远程接入服务器BRAS),虚拟化为一台核心BRAS后,与部署在数据中心的接入认证管理系统配合,作为整个校园网的业务控制层,负责对用户进行统一的接入控制、认证计费以及精细化管理。汇聚层和接入层交换机共同构成校园网的业务接入层。接入交换机为每个端口分配独立的内层VLAN标签,核心交换机承担QinQ的功能,给相应的用户打上对应的外层标签,实现大二层的结构,核心BRAS作为集中认证网关,负责终结QinQ报文,并提供用户接入和控制。整网通过QinQ技术实现用户间的二层隔离。无线网络部署采用扁平化、瘦连接架构,所有的控制功能均由业务控制层实现。各运营商共用以上有线无线一体化网络基础设施。
2.有线无线一体化网络共享
在原三层交换网中,有线、无线网络在管理和认证方式上各自为政,用户体验差;难以对有线无线用户实施灵活的限速计费策略;各运营商无线网络干扰严重,难以故障排查和定位。在本案例中,一方面清理了过去重复建设的物理线路,释放了线路桥架的空间;另一方面用同一物理层承载各方的业务,在确保容错性与健壮性的基础上,校园有线和无线网络可由各运营商和学校共用,提供了校内统一的信息高速公路。
有线网络采用了双层标签来标识信息点或用户,接入层交换机的配置一致,有利于减少接入层设备的配置工作量;无线AP仅提供无线二层通道,简化了无线设备的成本和管理维护需求;AC用万兆聚合端口和核心交换机互联,实现全网无线功能License的共享管理。校园内部采用Internet保留地址,支持IPoE/L2TP,通过Web Portal服务器推送认证页面,由用户自主选择不同的运营商出口进行Internet访问。
3.统一认证和安全审计
采用有线无线一体化的Web Portal统一的认证方式,通过核心BRAS进行统一身份认证、权限控制。在数据中心的虚拟服务器上部署接入认证管理系统,安装Web Server组件及Radius组件,对全校用户实现准入准出统一认证、计费和授权控制。用户接入后,免费访问校内资源;访问校外资源时自动重定向到Web认证界面,认证通过后才能访问校外资源,并支持外来访客和高校跨校认证,根据用户身份分配并发终端数,基于本月流量分配互联网带宽,根据@Domain后缀分配路由,基于高校和运营商两级行为审计系统实现上网行为记录,同时依靠QinQ双层标签和用户名,实现快速定位用户和终端,满足公安部“82号令”一键落地查人的要求。
4.计费与与流量控制
实现了将月租、扣费、免费额度和折扣率灵活组合的计费方式。认证计费系统数据源唯一,使用LDAP进行认证。临时账户存放在本地使用本地数据库进行认证。
Radius逻辑拓扑如图2。
重定向服务器将用户访问的页面重定向到Web服务器。Web服务器为用户提供认证页面并且将用户输入的用户名和密码转发给Radius进行认证。Radius服务器实现用户的认证、计费和授权。管理服务器对整个系统功能模块进行统一管理并且对用户数据进行保存和处理。
5.与运营商的接口
学校内部的Radius作为Radius Client与运营商的Radius/Radius Proxy进行对接,运营商提供Radius服务器的IP、端口(认证和计费)、密钥(Secret),并添加校内Radius Proxy作为其Client。学校的核心BRAS将运营商各自用户的认证请求先发往内部Radius,由其进行转发到运营商的Radius进行认证,并在内部Radius上生成相关的用户记录并保存,便于精确统计和检索。
与运营商进行用户身份认证对接的流程如下:
(1)用户有线或无线接入网络,通过DHCP获取校内保留IP地址;
(2)用户发起Web连接,BRAS默认策略重定向给内部的Web Portal服务器进行认证;
(3)用户在Portal页面上输入账号,Portal后台程序将提取用户账号信息,送往校方Radius处理;
(4)校方Radius根据用户账号信息判断:校内账号由校内Radius认证完成,直接下发策略给校内BRAS设备,校内完成用户上网相关信息记录;运营商账号发送给对应运营商Radius进行处理,运营商Radius认证完成,并下发策略报文到校内Radius,校内Radius再下发给校内BRAS设备。
6.测试与割接
本案例为改扩建工程,实施期间须避免影响教学生活秩序。在实施之前进行各项功能的模拟测试,所有测试功能完成后再进行具体业务的割接和实际用户的迁移。为降低风险,采用逐步割接原则,每一栋楼宇割接完后进行复测,确认没有问题后再进行下一个楼宇的割接。过程简介如下:
(1)运营商提供新系统接入线路,确保上行各出口畅通,协议一致;旧线路保持到割接成功,試运行结束后回收;
(2)校内主设备如BRAS等调试成功,关键服务如Web Portal、Radius服务等试验无误,与运营商进行对接成功。
(3)修改接入交换机的端口VLAN,实现用户的二层隔离;交换机的上联端口改成Trunk模式;在接入交换机上创建管理VLAN并启用三层接口地址作为管理地址;
(4)汇聚交换机的下联端口配置QinQ,将接入交换机上对应的VLAN打上外层标签,同时透传管理VLAN;上联端口透传QinQ外层标签及管理VLAN标签;
(5)若原有客户端采用静态地址方式,则需要将用户侧客户端改成DHCP自动获取;对保留地址设备进行处理,收集,MAC地址,然后在BRAS上进行MAC地址绑定;
(6)发割接通知,进行割接,做好故障处理预案;割接完成后进行业务测试。
五、结束语
高校与运营商共建共享数字化校园基础设施可避免重复建设,提高效率;技术层面的合理部署能实现高校与各运营商无缝对接;合作共建时采用PPP模式能实现优势互补。与财政投入项目相比,引入社会资金在项目运营方面会更加灵活和高效。需要注意的是确保多方合作中的对等、互惠关系,高校是用市场换取第三方的投入,这个由大量用户形成的市场是一个无形资产,在合作共建的过程中应使这个无形资产获得公允的估值。另外,数字化校园的运营中,一方面应当借鉴成功的OTT (Over The Top)应用,如微信、YY等,引入和开发两手抓,为师生提供方便易用的上层应用服务,充分发挥基础设施的功用。另一方面,对于外来的OTT业务,也可以考虑洽谈分成,获取校园信息化的支撑资源。
参考文献:
[1]何来坤,刘礼芳.基于多运营商共建共享的高校WLAN建设方案的探索[J].杭州师范大学学报(自然科学版),2013(12):180-183.
[2]周玉陶,杨海平.与运营商合作开展信息化建设的策略思考[J].中国教育信息化,2014(21):14-17.
[3]王宗善,冷飞,季晶晶.高校数字化校园建设的探索与实践[J].实验室研究与探索,2010(29):162-164.
(编辑:王晓明)