香港中文大学(深圳)构建先进安全的一体化校园网
2019-04-11曾祥容
文/曾祥容
香港中文大学(深圳)是一所经国家教育部批准,按中外合作办学条例设立,传承香港中文大学的办学理念和学术体系的大学。以创建一所立足中国、 面向世界的一流研究型大学为己任,致力于培养具有国际视野、中华传统和社会担当的创新型高层次人才。大学前期开设理科、工科、经济管理类和人文社科类专业。长远办学规模为国内外学生 11000 人,其中本科生7500人,硕士及博士研究生3500 人。
自2014 年建校来,在网络基础设施建设、书院网络、无线网络、视频会议、大学数据中心、统一身份认证、校园内网门户、一卡通等多种信息管理系统方面投入了大量的人力、物力和财力,信息化建设取得了快速发展。建校短短几年,一个完善的基础网络设施已经建设完成,相关的核心业务系统也随之建设完毕。随着学校的发展,“敏捷网络”、“全光网络”、“模块化数据中心”以及“软定义网络”等方面技术也加速推进校园网的高速、智能化、虚拟化,为实现整个校区万兆骨干、千兆汇聚,构建先进安全的、有线无线一体化的校园网。
智慧校园概念
智慧校园可理解为以信息技术为基础的智慧化的校园工作、学习和生活一体化环境,这个一体化环境以各种应用服务系统为载体,将教学、科研、管理和校园生活进行充分融合。
然而,不同的高校和不同的厂商针对智慧校园这个定义却是不同的。甚至不同时期,同一个高校或者厂商在不同的时期对该定义也在改变。
此外,智慧校园与数字校园的区别是什么?大部分人认为,“智慧校园”是数字校园升级到一定阶段的表现,是数字校园发展的一个高级阶段。由此可见“智慧校园”的基石是前期数字校园的建设与发展。这也就意味着,“智慧校园”首先要有一个统一的基础设施平台,统一的数据共享平台和综合信息服务平台。
智慧校园建设主要内容
作为新成立大学,信息系统建设虽然没有历史包袱,但建设起点高、标准新、建设周期短,同时没有经验可以参考,面临挑战同样不少。
正如前文所述,智慧校园的前提是建设一个完善的基础设施平台,其中包括一个完善的校园基础设施平台。大学的核心业务系统,例如学生信息管理系统、财务管理系统、人事管理系统、科研管理系统、学生事务管理系统和内网门户平台等,都离不开一个完善且稳定的基础设施平台。
在建设过程,大学制定了先硬件后软件和先核心后边缘的建设思路,快速且很好地完成了建设任务。截至目前,硬件设施建设已经全部完成,目前剩余少量非核心应用系统正在实施中,部分核心应用系统二期甚至三期计划也在安排之中。
实际上,智慧校园的内涵远不止包含基础设施和业务系统。目前,包括平安校园、绿色校园以及基于物联网全互联校园等概念也日渐被提及,并可能成为日后智慧校园建设的方向之一。
园区网建设规划
网络主拓扑
学校一期网络拓扑如图1所示。从网络的层次维度,网络可以划分为核心层、汇聚层和接入层三级结构。
从功能层次维度,本次园区网络可以划分为 DMZ 区、对外网络出口区、数据中心区和办公区,其中办公区根据不同的部门划分为 2 个园区子网络(上园书院区和下园教学办公区)。校园里教学楼、办公区、宿舍有线上网支持千兆接入。无线网络覆盖依据不同场景部署,如:宿舍采用敏分AP,保证每个房间的信号强度以及零漫游;室外采用IP67防护等级无线AP,保障室外场景的无线覆盖等。不同类型的终端用户可以通过有线,无线方式接入网络。
图1 学校一期信息系统网络拓扑结构
该网络具备如下特点:
1.采用高性能的汇聚核心设备,背板支持平滑升级到100G线卡,打造一个大容量的校园网络以满足学校长远办学规模对网络的需求。
2.通过堆叠 iStack,集群 CSS2等虚拟化技术,以及链路捆绑 Eth-trunk,双机热备等技术实现网络的主备冗余,打造一个可靠健壮的校园网络。
3.通过部署校园出口安全、校园接入安全、数据中心安全、高级威胁防御等手段,打造一个多维度的安全校园网络。
4.使用全可编程ENP芯片的敏捷随板 AC及ACU2无线插卡等方式实现对AP 的管理,无线业务的下发,使用支持802.11ac协议的 AP,单AP 整机速率达到1.9Gbps;AP 采用矩阵式智能天线,波束成型技术,覆盖无死角;打造一个全场景Wi-Fi覆盖,无缝漫游,访问不中断的校园无线网络。
5.使用eSight 管理平台,能对有线无线统一管理,大大降低了管理运维工作量,打造一个精细化运营的校园网络。
6.使用数据中心系列 CE 交换机,以及VXLAN,防火墙虚拟化等技术,打造一个高度虚拟化,能提供多业务、多租户的大型数据中心网络。
7.部署AntiDDOS设备防御DDOS攻击。沙箱FireHunter与防火墙联动署,在防火墙抵御已知安全威胁的基础上,同时具备防御恶意文件和网站等未知威胁的能力。
8.教职工宿舍采用全光网络,打造高可靠网络以满足国内外教职工的信息服务需求。
9.采用模块化数据中心机房,标准设计和安装,实现分期快速部署的目的。机房预留后续扩容空间,满足大学快速建设的需求。
方案主要创新
全场景Wi-Fi覆盖,无缝漫游,访问不中断。
当无线客户端移动时,如从图书馆内A区移动到B区,甚至移动到学生宿舍C区,若要保持视频、语音等实时性强的业务不中断,就要求Wi-Fi产品能够支持漫游。例如AC集中转发方案可以实现不同VLAN下无缝漫游50ms切换,数据业务不中断。
作为国内第一批加入Eduroam的高校,能够满足无线账号跨地区漫游的需求;同时,学校也是少数向社会大众免费开放网络的机构之一。
1.精细化运营校园
大二层网络设计,有线无线融合加CSS2堆叠,保障有线及无线网络的可靠性,简化网络管理。
敏捷随板AC,全可编程ENP芯片,通过用户组实现矩阵式策略管控。
有线无线融合大大降低了管理运维工作量。
2.业务自动化部署
网络管理员通过在Agile Controller上拖拽逻辑模型的方式完成租户逻辑网络模型定义。
一键式部署,Agile Controller根据逻辑定义,自动翻译网络配置命令行,并下发到设备上。
SDN网络由网络部门通过SDN控制器Agile Controller下发。
3.全光网络
为向广大教职工提供便利的生活设施,教职工宿舍网络由大学免费提供。相对于传统的双绞线或者同轴电缆方案,我们选择GPON方案作为建网技术方案,可同时为用户提供提供Wi-Fi、有线、语音接入方式。
采用PON技术构建网络,其中一些关键技术,例如多重安全机制、动态带宽分配(DBA)以及服务质量(QoS)等都为校园网络提供更高的安全保障和更精细化的管理手段。
此外,全光网络在整体架构中间段设施属于无源设备这一结构特点,也大大降低了网络故障率,减少网络维护质量。
4.模块化数据中心
大学新建数据中心,占地800平方,可放置192个标准机柜。和传统数据中心相比,模块化设计可以实现分期快速部署、扩容方便;能源层内部协同,进一步提升能效;结构可靠,IT主设备、制冷和信号传输无单点故障。此外,由于模块化机房都是预组装、预测试,工期大大缩短。
5.大数据应用
无线设备可向第三方设施提供标准接口,在用户许可的情况下,以采集相关的接入或者轨迹信息。目前已经完成相关应用,例如场地热度查询,空闲设施查询等。
方案实施
大学智慧校园一期项目建设于2017年7月启动,同年8月底完成全部主体建设工作,截至2018年3月硬件部分全部验收完毕。
从前期的建设经验来看,项目的实施需要注意如下几个方面:
1.方案规划与设计
作为最终的用户方,需要学习各方的建设经验,以自身需求为出发点,适当参考相关厂家的解决方案,规划适合的智慧校园解决方案。为使项目规划更具有前瞻性,大学在规划智慧校园建设方案的同时,还邀请了国际第三方咨询顾问团队,为大学完成智慧校园顶层规划设计,收到了良好的效果。
2.工程协调与管理
智慧校园项目建设规模大,涉及的上下游环节很多。例如学校的基建部门、政府项目承建单位、第三方规划设计单位、项目监理等众多部门。信息系统作为基础设施建设的末端环节,一定要在基础设施建设阶段甚至更早期的阶段接入,以免影响后续的工作安排。例如综合布线需求、机房建设规格、无线接入点安装以及弱点井空间等,都需要在最早期时候提出需求并落实。
此外,项目一般会由不同的集成商负责完成。学校作为甲方或者最终用户,一定要从项目管理的角度,协调好进度、预算和质量的关系,以尽可能地协调处理或者推动解决建设过程的各项问题。
3.工程质量管理
质量是项目建设的基石。在赶工的情况下,普遍存在质量问题。为避免此类问题,可加强现场工作管理,例如制定施工规范,操作规范,建立验收标准和样板站点等方法,加强现场施工质量管理。
校园网络从投入使用至今,很少发现因前期质量问题导致的网络故障。说明前期的质量管理工作是到位的。
智慧校园建设除了上述基础设施建设之外,还包括众多的其他建设模块,例如各核心业务部门管理系统,数据服务总线ESB,业务流程管理BPM,统一支付平台以及统一内容管理平台等建设内容。此外,还包括一卡通平台,视频监控系统,能效管理平台等建设内容。