基于虛擬化模式的民辦學校入網(wǎng)建設探析

肖春光

摘 要 投資民辦學校的政策瓶頸，民辦學校網(wǎng)絡接入成本和運維技術力量不足等問題普遍存在，公民辦學校數(shù)字鴻溝難于逾越。在網(wǎng)絡邊界防火墻及上網(wǎng)行為審計設備虛擬化基礎上，提出基于虛擬化模式實現(xiàn)民辦學校網(wǎng)絡接入教育城域網(wǎng)的建設思路、技術實現(xiàn)、實施流程、運維管理及前景探析。

關鍵詞 虛擬化模式；教育城域網(wǎng)；民辦學校；校校通；三通兩平臺；教育資源；教育信息化

中圖分類號：G434 文獻標識碼：B

文章編號：1671-489X（2018）13-0008-03

1 背景

《國家中長期教育改革和發(fā)展規(guī)劃綱要（2010—2020年）》著重提出全面推進“三通兩平臺”建設。廣東省教育廳頒發(fā)的《關于開展“以信息化促進義務教育均衡發(fā)展實驗區(qū)”建設工作的通知》（粵教電函〔2010〕18號）和深圳市教育局頒發(fā)的《轉(zhuǎn)發(fā)關于開展“以信息化促進義務教育均衡發(fā)展實驗區(qū)”建設工作的通知》（深教〔2011〕36號）中明確要求：“基本實現(xiàn)‘校校通，鎮(zhèn)中心小學以上學校以10兆以上光纖接入省基礎教育專網(wǎng)。”2007年底，寶安區(qū)100%的公辦學校（幼兒園）全部采用區(qū)政府信息網(wǎng)和中國電信VPN組網(wǎng)方式光纖接入?yún)^(qū)教育城域網(wǎng)，高標準實現(xiàn)“校校通”工程目標，全區(qū)優(yōu)質(zhì)網(wǎng)絡教育資源共建共享工作取得顯著成效。

自2008年以來，寶安區(qū)石巖公學等19所民辦學校自籌資金，完善校園網(wǎng)絡及安全等區(qū)教育城域網(wǎng)準入設備，完成了電信VPN光纖寬帶接入?yún)^(qū)教育城域網(wǎng)絡系統(tǒng)的工作，與公辦學校共享優(yōu)質(zhì)網(wǎng)絡資源，加快了學校信息化發(fā)展進程。但尚未接入的民辦學校還有47所，占民辦學校總數(shù)的77%，大部分學校仍使用ADSL窄帶電路（小于4 MB）連接互聯(lián)網(wǎng)，存在訪問速度慢、無法共享區(qū)內(nèi)優(yōu)質(zhì)資源以及上網(wǎng)行為無法監(jiān)管等問題，嚴重制約了民辦學校教育信息化的發(fā)展。

在深圳推進教育一體化進程中，民辦學校必須抓住機遇，加快實現(xiàn)“校校通”和“班班通”，以信息化推進學校辦學的優(yōu)質(zhì)化。為有效加快寶安區(qū)民辦學校“校校通”建設步伐，進一步縮小公民辦學校數(shù)字鴻溝，提高全區(qū)教育信息化的整體水平，全面推廣應用寶安區(qū)教育云服務平臺，共享優(yōu)質(zhì)網(wǎng)絡教育資源，有效推進義務教育均衡發(fā)展，真正實現(xiàn)全區(qū)“三通兩平臺”建設。為此，寶安區(qū)已于2014年提出基于虛擬化模式實現(xiàn)全區(qū)47所民辦學校網(wǎng)絡接入教育城域網(wǎng)的構想。

2 建設部署

為確保政府投資項目國有資產(chǎn)管理不流失，依托寶安區(qū)教育城域網(wǎng)云計算環(huán)境的優(yōu)勢，本項目采用先進的云計算IAAS服務架構進行虛擬化設備的部署，是寶安區(qū)教育云服務平臺全面優(yōu)化服務體系的重要組成，主要建設部署內(nèi)容如下。

區(qū)教育城域網(wǎng)中心端 部署雙冗余、高性能、集群式的虛擬化防火墻設備，完成至少47所以上民辦學校虛擬防火墻的接入配置要求；部署雙冗余、高性能、集群式的上網(wǎng)行為審計設備，完成各虛擬鏈路上網(wǎng)行為的獨立審計及上網(wǎng)行為數(shù)據(jù)存儲、預警和防護；建設部署虛擬化防火墻、上網(wǎng)行為審計集中式管理系統(tǒng)，完成虛擬化防火墻、審計設備集中式監(jiān)控、管理及策略下發(fā)。鏈路運營商提供一條10 G

匯聚鏈路，實現(xiàn)47所民辦學校與區(qū)教育城域網(wǎng)中心的互聯(lián)。

學校接入端 由鏈路運營商一次性投入建設和部署光纖網(wǎng)絡及接入端設備，完成三層MPLS VPN光纖鏈路的組網(wǎng)及互聯(lián)互通調(diào)試工作。光纖資源接入民辦學校網(wǎng)絡中心機房，學校可自主選擇100 M/1000 M不同帶寬接入?yún)^(qū)教育城域網(wǎng)。

3 技術實現(xiàn)

充分考慮和利用現(xiàn)有民辦學校內(nèi)部的校園網(wǎng)絡，在不對民辦學校內(nèi)部網(wǎng)絡進行任何改動的情況下，通過技術手段，實現(xiàn)民辦學校光纖接入到區(qū)教育城域網(wǎng)，同時很好地解決了各民辦學校之間的資源互訪問題。部署架構圖如圖1所示。

虛擬防火墻設備部署 城域網(wǎng)中心部署兩臺防火墻設備，組成HA雙機，提高網(wǎng)絡運行的高可靠性；在防火墻上啟用功能主要為虛擬防火墻、虛擬防火墻上的IPsec VPN、NAT地址轉(zhuǎn)換等。為了充分利用防火墻的資源，虛擬防火墻支持管理員對硬件資源的分配，從而實現(xiàn)管理員可以根據(jù)接入學校的規(guī)模大小，動態(tài)調(diào)整分配給該學校對應虛擬防火墻的CPU資源、最大并發(fā)資源等。每個學校對應的虛擬防火墻需要提供各自獨立的管理界面，需要實現(xiàn)虛擬防火墻之間的互訪，從而實現(xiàn)各民辦學校之間的互訪；即使在民辦學校間出現(xiàn)地址重疊的情況下，依然能夠?qū)崿F(xiàn)民辦學校之間的互訪。

集中式管理平臺部署 城域網(wǎng)中心部署一臺集中式虛擬防火墻管理系統(tǒng)，實現(xiàn)對防火墻系統(tǒng)、虛擬防火墻系統(tǒng)的集中監(jiān)控和管理、可用性監(jiān)控、VPN隧道狀態(tài)監(jiān)控、策略配置的統(tǒng)一下發(fā)、運行狀態(tài)監(jiān)控、日志分析及報表生成等。

上網(wǎng)行為審計設備部署 城域網(wǎng)中心部署兩臺上網(wǎng)行為審計系統(tǒng)，組成HA雙機模式，以提高可靠性；通過從防火墻設備上鏡像端口流量出來到審計系統(tǒng)，以實現(xiàn)日志記錄；同時連接一條管理線路到網(wǎng)絡上，以實現(xiàn)對用戶訪問網(wǎng)絡流量的攔截及阻斷；學校上網(wǎng)終端存在不同的學校IP地址相同的情況，審計系統(tǒng)需滿足公安部82號令，審計設備能夠結合防火墻日志及CE設備（校園網(wǎng)三層交換機）的SNMP信息，以學校名稱+真實終端IP的方式區(qū)分所有學校的上網(wǎng)終端，精確記錄各民辦學校內(nèi)部真實的IP與MAC地址，解決網(wǎng)絡行為的溯源問題。同時，審計系統(tǒng)需具備對網(wǎng)絡關鍵字過濾、用戶網(wǎng)絡訪問權限管理等，以有效控制用戶對網(wǎng)絡的正常訪問。

運營商接入光纖鏈路及組網(wǎng)部署 運營商完成47所未接入?yún)^(qū)教育城域網(wǎng)民辦學校的光纖敷設到學校網(wǎng)絡中心，選擇成熟的三層MPLS組網(wǎng)，接入光纖及接入端設備支持100 M和1000 M鏈路接入，提供一條10 G匯聚鏈路實現(xiàn)47所民辦學校與區(qū)教育城域網(wǎng)中心的互聯(lián)。協(xié)助完成原來19所已接入民辦學校的二層VPN轉(zhuǎn)三層VPN的組網(wǎng)需求，所有組網(wǎng)納入統(tǒng)一管理、統(tǒng)一監(jiān)控，學校之間互聯(lián)互通。

4 實施流程

為有效推進47所民辦學校接入?yún)^(qū)教育城域網(wǎng)的項目建設，成立局領導掛帥的項目推進領導小組，明確了中心端設備與光纖到校工程部署及學校端接入?yún)^(qū)教育城域網(wǎng)部署所涉及的工作流程、負責部門、協(xié)助部門和完成情況，確保項目建設的效率與效果（如表1所示）。

5 運維管理

基于虛擬化模式創(chuàng)新實現(xiàn)民辦學校網(wǎng)絡接入城域網(wǎng)運維架構圖如圖2所示。

營造綠色校園 47所民辦學校納入寶安區(qū)從2004年起積極營造的區(qū)域綠色校園網(wǎng)絡環(huán)境，全區(qū)教育城域網(wǎng)實行統(tǒng)一網(wǎng)絡平臺、統(tǒng)一互聯(lián)網(wǎng)出口、網(wǎng)絡行為多級監(jiān)控的集中管理模式，以信息化手段降低了各校網(wǎng)管技術難度，提高了學校網(wǎng)絡信息安全管理水平，為全區(qū)公民辦學校的青少年學生營造健康綠色的網(wǎng)絡教育環(huán)境。

網(wǎng)絡安全策略 提高了民辦學校城域網(wǎng)網(wǎng)絡安全和信息保密水平，統(tǒng)一了網(wǎng)絡安全標準和行為管理，各接入學校可自主管理自己相關的虛擬防火墻及虛擬的上網(wǎng)行為審計設備，校級賬號既可實現(xiàn)分權分賬號的自主管理，也可實現(xiàn)區(qū)級對校級賬號的統(tǒng)一管控、策略及資源調(diào)配等。

區(qū)校職責明晰 防火墻和上網(wǎng)行為審計的核心設備均部署在區(qū)教育城域網(wǎng)中心機房，由城域網(wǎng)運維小組提供專業(yè)化的運維與管理服務，鏈路部分由鏈路運營商提供線路保障，學校僅需負責校園網(wǎng)內(nèi)部的日常管理維護，大大降低了學校維護的難度與成本。

6 前景探析

寶安區(qū)47所民辦學校自2015年通過基于虛擬化模式實施實現(xiàn)民辦學校網(wǎng)絡接入?yún)^(qū)教育城域網(wǎng)以來，網(wǎng)絡運行高速、穩(wěn)定，實現(xiàn)了與公辦學校同等級的統(tǒng)一網(wǎng)絡平臺和上網(wǎng)出口，平等使用寶安區(qū)教育云平臺的資源和服務。本文提出的基于虛擬化模式創(chuàng)新實現(xiàn)民辦學校網(wǎng)絡接入城域網(wǎng)案例，有效解決了國有資產(chǎn)下?lián)苊褶k學校的政策瓶頸問題，結合民辦學校網(wǎng)絡接入成本和運維技術力量不足的普遍存在問題，把項目建設的重點、難點、高成本部分上移到區(qū)里統(tǒng)籌解決，打破了民辦學校信息孤島，有利于進一步縮小公民辦學校數(shù)字鴻溝，提高全區(qū)教育信息化的整體水平。