智慧教育环境下无线教育城域网建设与应用研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇智慧教育环境下无线教育城域网建设与应用研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
现状与需求分析
1.“无锡教育城域网”已覆盖区域所有学校
2001年,无锡地区已开始全面建设“无锡教育城域网”,该网络是由通信运营商和教育局共建的教育专网,建成至今已正常运行16年,目前接入学校单位四百余所,除高等院校和中职院校外,本地区中心小学以上规模学校多数是无锡教育城域网用户单位。该网络的统一出口设在教育信息化管理服务中心,网内设市级和区县级多个数据中心,提供全市和各区的个性化教育信息化管理、应用、服务系统。目前所有学校均建设有校园网络,在职教师均有利用网上资源教学的经历和经验。
2.学校师生对移动教育的需求日益凸显
随着校园教育活动网络化的普及,在校学生、教师和服务、管理人员越来越要求尽可能方便、快速、移动式地使用网络,同时越来越多的人拥有了无线网络客户端产品。因此,很多学校开始思考如何能够使有线网络没有延伸到的场合,如大多数教室、礼堂、会议室、图书馆、体育场馆等场所,也同样能够访问校园网络;在已经设有有线网络的地方,如多数办公室、专用教室,能够方便、快捷地接入各类上网终端,最大程度延伸网络半径,真正让网络渗透到校园的每个角落。这对于管理者和建设者来说,是急需思考与解决的问题。
3.无线局域网技术是学校有线网络“最后一米”的有效延伸
各高等院校、中职院校在经过近几年的无线实验网的探索之后,纷纷开始规划并建设校园无线网络,为校园提供全校无线局域网信号覆盖,并提供数据接入业务,让学校师生都能受益。
4.K12学校和幼儿园很难有效组织建设校园无线网
多数高等院校和中职院校建有较完备的无线校园网,而数量众多、规模差异极大、技术能力薄弱、专业人才匮乏的K12学校和幼儿园本身已经很难有效规划、组织建设和有效维护学校自己的有线网络,面对技术远比有线网络复杂的无线网,他们就更没有能力很好地解决这些问题。其他层级学校中仅个别学校初步建成了无线校园网,剩余学校仅有部分利用少量家用无线AP或无线路由器自行覆盖个别办公场所,可用性低,管理较混乱。而且普及高标准的无线校园网,对于教育行政部门来说,资金也是一大难题。
“无线教育城域网”建设方案设计
经细致分析我们发现,构建无锡无线教育城域网需要破解以下难题:①区域级网络的规模庞大、接入学校众多,如何保证无线网能够以统一标准覆盖全部学校,同时满足较长一段时期学校对无线网络覆盖度的不断变化的需求;②学校专业人才匮乏,如何保证整体无线网络设备对各级教育行政和各学校可管可控;③无线教育城域网建设后,应该如何利用这套网络来提高教学质量;④没有明确边界的网络信号,如何让用户实名化以多种方式,方便、顺利地接入无线网络,同时有效地识别、屏蔽外来终端蹭入无线网络,影响整网安全。
根据互联网“云”思想,我们在教育城域网中心建立了“无线网络控制平台”“实名制认证平台”“网络运维平台”“资源共享平台”等四大云平台,学校根据实际情况部署无线热点,利用现有无锡教育城域网和学校校园网现成网络通道连接学校端无线热点和接入终端到中心各云平台,实现了区域范围的城域无线教育专网――无锡无线教育城域网。
城域无线教育专网――无锡无线教育城域网的应用
1.无线网络控制平台
无线网络控制平台负责全市数百所中小学等接入单位的无线热点管理,安全策略下发,是无线教育城域网最关键的系统。需要重点考虑平台的可用性,需要有成熟可靠的冗余机制,一台或者几台设备宕机后,其他设备能够在第一时间进行接管,不会对全网造成影响。
我们以市教育城域网数据中心机房作为主机房,放置主无线控制器集群,在无锡城市云数据中心设立备用机房部署备份无线控制器集群。主、备机房由裸光纤连接,主机房和备份机房是1+1备份关系,主机房设备宕机或者链路故障,AP会自动切换到备用机房,不影响下属学校开展正常的教学任务[注:主、备机房无线控制器集群虚拟化成主、备各一台逻辑无线控制器(AC)]。
其工作过程包括:①两台AC通过协商确定主AC和备AC(或指定),AC间通过保活机制进行保活;②AP与主AC建立主CAPWAP隧道,与备AC建立备CAPWAP隧道;③用户使用无线客户端关联到AP;④用户通过AP与AC的主CAPWAP隧道与外部进行网络通信;⑤当主AC发生故障时,备AC检测到保活超时,马上通知AP;⑥备AC与AP之间的备用CAPWAP隧道被激活,备AC变成主AC;⑦用户的业务在备CAPWAP隧道激活后恢复正常;⑧原主AC恢复正常后,与新主AC重新建立热备关系,原主AC变成备AC,AP与之建立备CAPWAP隧道,用户的业务不会中断。其中,AC间通过三层通道保活,在设计热备拓扑时,必须保证AC间三层通道可达,主机房和备份机房需要有一根三层链路。
2.实名制认证平台
无锡教育城域网设计、建设于2001年,当时全网推行准入和实名制部署,城域网接入没有身份控制。接入学校为满足公安部82号令要求,多数采取IP+MAC组合以保证上网实名制并留存上网记录。无线上网终端数量、种类多,变化频繁,很多终端(如手机,属于私人设备)采用IP+MAC组合的方式使得上网实名制基本行不通。采用账号方式来区分实际网络使用者是较大规模网络和无线网络比较合理可行的落实实名上网的技术手段。我们在部署实名制认证平台时,不仅需考虑无线网络准入的要求,同时还要考虑升级原有有线网络的准入机制。
考虑到上网账号可能在学校之间漫游,以上网账号为基础,对接各类应用系统,使上网账号成为未来各种应用系统的账号等因素,我们在网络中心部署了全市统一的实名制认证平台,实现有线、无线网络和应用系统统一账号,网络准入统一平台认证。
学校内部采用私有IP地址,出口网关上开启NAT。在这种情况下,出口网关开启分布式NAS功能,可以支持内网的PC穿越NAT环境后,在市级别认证平台上进行实名制认证。学校出口网关作为NAS设备分散在各学校,认证平台集中在中心机房,采用分布式认证。综合网关支持内置的portal(2.0版本)和中心机房的认证平动认证(不需要另外搭建外部portal服务器,即可实现用户的portal认证)。
其中,有线用户认证通过学校终端访问80端口的http请求也可以说是浏览器访问某一页面时,学校出口网关拦截到该请求后,进行TCP三次握手且将该请求重定向到中心portal的认证页面,提交账号、密码信息和终端信息到认证服务器进行数据校验,校验成功后,触发学校出口网关放行,同时推送上线成功或自定义页面。而无线用户认证通过用户连接至学校SSID,认证信息通过AC(无线认证NAS节点)传递到实名制认证服务器。由认证服务器进行用户名和密码的验证,并返回结果。
3.网络运维平台
传统的网络管理软件只能管理网络设备本身,对于大型网络、无线网络缺乏良好的管理手段。协助各级管理人员的作用也非常有限,无法满足现有网络复杂的运维管理需求。城域网中要管理的不仅仅是网络设备,还需要管理无线、流量、PC、各种应用软件、服务器等。几乎所有信息化工作都需要网络管理人员亲自动手,工作量巨大,技术要求高。部署一套系统,统一监管网络中的设备、终端、服务器、应用系统等,并且通过实名制保证接入终端的合法性及安全性,在安全接入后能够自动处理管控所有终端,这将大大减轻网络管理人员的工作量,并维护网络中终端资源安全以及整网安全。
我们在市教育城域网数据中心机房部署了一套运维平台,采用集中式部署、分级式管理的模式,运维平台可以做到分级分权,面向全市的网络管理教师(人员)。平台具备多用户权限划分(面向市级管理员、区级管理员和校级管理员),可以进行功能权限和设备监测权限的单独划分,允许通过指定的IP地址进行访问,并具有详细的操作审核机制。用户间的数据相对隔离,不同用户之间无法访问对方管理的信息数据。用户的任何配置信息全部采用128位EDS加密方法进行本地存储,保障用户配置的账户信息安全。
各网络管理人员的分级分权管理:学校设备和应用系统数量众多,且分散于不同的地理位置,最佳的管理方式应为集中与分布相结合。账户分配机制如下:①市级管理员,具备最高管理权限,可以添加、删除任何市级、校级设备,可以对全市所有设备、链路做到监控管理,可以添加、删除下级管理员的账号、管理权限,具备后续扩容模块的管理权限(如业务监控管理)。②校级管理员,权限来自市级管理员的分配,在所分配的权限内能够查看所属设备的运行状态(有线、无线、出口设备),能够配置和管理设备。
平台管理员提供无线管理视图、无线网络拓扑管理、无线资源管理、安全管理、统计分析等功能,并通过信号衰减算法,在无线网络拓扑中为用户呈现真实的无线网络热点覆盖范围,帮助用户做无线网络热点规划。
平台还能通过SNMP等协议完成对主流网络设备厂商生产的网络设备进行监控,对网络设备的基本信息、可用性、性能、配置等指标进行采集和管理,帮助管理员及时发现故障和故障隐患。支持网络拓扑管理、配置管理、IP地址管理等,支持在拓扑视图中显示告警信息,点击鼠标即可显示报警概要信息。
4.资源共享平台
无锡教育城域网目前总出口带宽为8.1Gbps,全部连接在教育城域网中心机房,接入学校统一通过中心机房连接外网。教育城域网中心机房连接学校的带宽达到34Gbps,学校在20Mbps和150Mbps之间选择不同速率的带宽接入教育城域网。为有效、充分利用出口带宽资源,我们在教育城域网中心部署了大型缓存集群,缓存容量达到数十TB,在学校端部署了带有缓存功能的出口网关。中心缓存集群通过侦听上网请求,将访问量较高的外网资源下载到本地。下载完成后,当再次接收到同样请求时,缓存系统会将请求定向到本地缓存,直接提供内容,节省出口带宽。学校端出口网关能与中心缓存集群联动,一方面出口网关能根据学校访问请求的信息,主动下载热点资源到本地,另一方面中心缓存集群能主动在上网闲时将热点资源推送到学校端。据测试,整个系统能提高网络中心总出口和学校端出口利用率百分之二十左右。在学校开展互联网课程时,学生按照教师要求统一访问目标网站时体验提升尤为明显。
5.学校无线覆盖
要更好地实现无线应用效果,不仅要考虑无线基于场景的部署(电子书包课堂、办公室、会议室、室外等),考虑无线用户的管理、资源访问的引导,还要考虑到学校的网络现状,进行对接。
(1)学校网络出口设备。在学校出口处部署综合网关设备,启用以下功能:NAT功能、DHCP服务、防火墙功能、智能链路选择功能、用户认证功能、内容缓存功能、实名制带宽控制功能、日志记录功能。
(2)无线部署方式。我们把普教校园分为四种无线应用场景,即办公室场景、高密度(大会堂、报告厅)场景、电子书包教室场景和室外场景,每种场景都有其特点,具体在无线热点选择上也有侧重点。
在办公室采用墙面AP,智能天线彻底解决传统天线存在覆盖盲区的弱点;快速、准确地识别终端类型,如果是使用功率较低的手机、平板电脑等移动终端,智能天线能够通过动态信号补偿技术进行信号补偿,解决信号入室问题;在报告厅、会议室等高密度场景采用大容量高性能放装AP,在面积较大、容纳人员较多的场所合理布局多个AP在同一空间,承接密集接入和访问请求;在教室多数会用到“电子书包”,教室内部数据交换量明显大于对外的访问请求,我们在这样的场景部署高性能、大容量,带有本地转发功能的AP,并在管理端将同一教室的终端定向到教室本地AP,防止终端接入到临近教室的AP;室外区域分布有较高的密集的建筑群和植物群,这对信号的覆盖是较大的障碍。因此,应当选用专用的室外大功率无线AP产品,配置使用定向天线,可以保证无障碍下的300米半径覆盖以及近距离的多重障碍物的穿透能力,完全保证了室外区域的信号覆盖品质,同时要考虑具备抗雷击、防雨、防潮、抗高低温、阻燃等多项指标,无线室外覆盖,建议部署在校内的制高点上,同时采用全向或定向天线进行无线覆盖。
(3)无线城域网IP管理。建成后的无线教育城域网,无线控制平台部署在中心各机房,AP部署在学校。无线控制平台的IP地址是由市级教育局统一配置,符合教育城域网IP地址管理要求,具备访问内网、外网的权限。学校端部署AP,应根据学校的实际情况部署,如部分学校核心交换机开启了DHCP server功能,则从核心交换机自动获取到学校的私有IP地址。
学校内的无线终端(手机、平板、笔记本等)获取到的地址为学校内部私有IP地址,该地址具备两个功能:一是纵向访问市数据中心资源,或从市数据中心访问互联网;二是横向访问学校内部资源,或者多个无线终端之间横向数据互访。
存在的问题与展望
无锡无线教育城域网经过一年多的规划、论证、实验和完善,于2016年4月形成最终建设方案并付诸实施。虽然解决了很多技术问题,但目前还缺乏配套的用户业务办理流程、用户使用规范、网络管理维护制度等制度和规章。学校加入无锡教育城域网建设学校的无线网络虽然能共享中心云端平台资源,但是在学校内部还是要施工、部署大量无线热点,这对学校来说也是一笔不小的开支。
我们相信在发展大潮的推动下,在教育信息化需求的促进下,在行政领导的关怀下,在我们自身和学校的共同努力下,无锡无线教育城域网定能克服各种困难,不断得到建设和完善。