智慧教育環境下無線教育城域網建設與應用研究

顧軍+沈治國

現狀與需求分析

1.“無錫教育城域網”已覆蓋區域所有學校

2001年，無錫地區已開始全面建設“無錫教育城域網”，該網絡是由通信運營商和教育局共建的教育專網，建成至今已正常運行16年，目前接入學校單位四百余所，除高等院校和中職院校外，本地區中心小學以上規模學校多數是無錫教育城域網用戶單位。該網絡的統一出口設在教育信息化管理服務中心，網內設市級和區縣級多個數據中心，提供全市和各區的個性化教育信息化管理、應用、服務系統。目前所有學校均建設有校園網絡，在職教師均有利用網上資源教學的經歷和經驗。

2.學校師生對移動教育的需求日益凸顯

隨著校園教育活動網絡化的普及，在校學生、教師和服務、管理人員越來越要求盡可能方便、快速、移動式地使用網絡，同時越來越多的人擁有了無線網絡客戶端產品。因此，很多學校開始思考如何能夠使有線網絡沒有延伸到的場合，如大多數教室、禮堂、會議室、圖書館、體育場館等場所，也同樣能夠訪問校園網絡；在已經設有有線網絡的地方，如多數辦公室、專用教室，能夠方便、快捷地接入各類上網終端，最大程度延伸網絡半徑，真正讓網絡滲透到校園的每個角落。這對于管理者和建設者來說，是急需思考與解決的問題。

3.無線局域網技術是學校有線網絡“最后一米”的有效延伸

各高等院校、中職院校在經過近幾年的無線實驗網的探索之后，紛紛開始規劃并建設校園無線網絡，為校園提供全校無線局域網信號覆蓋，并提供數據接入業務，讓學校師生都能受益。

4.K12學校和幼兒園很難有效組織建設校園無線網

多數高等院校和中職院校建有較完備的無線校園網，而數量眾多、規模差異極大、技術能力薄弱、專業人才匱乏的K12學校和幼兒園本身已經很難有效規劃、組織建設和有效維護學校自己的有線網絡，面對技術遠比有線網絡復雜的無線網，他們就更沒有能力很好地解決這些問題。其他層級學校中僅個別學校初步建成了無線校園網，剩余學校僅有部分利用少量家用無線AP或無線路由器自行覆蓋個別辦公場所，可用性低，管理較混亂。而且普及高標準的無線校園網，對于教育行政部門來說，資金也是一大難題。

“無線教育城域網”建設方案設計

經細致分析我們發現，構建無錫無線教育城域網需要破解以下難題：①區域級網絡的規模龐大、接入學校眾多，如何保證無線網能夠以統一標準覆蓋全部學校，同時滿足較長一段時期學校對無線網絡覆蓋度的不斷變化的需求；②學校專業人才匱乏，如何保證整體無線網絡設備對各級教育行政和各學校可管可控；③無線教育城域網建設后，應該如何利用這套網絡來提高教學質量；④沒有明確邊界的網絡信號，如何讓用戶實名化以多種方式，方便、順利地接入無線網絡，同時有效地識別、屏蔽外來終端蹭入無線網絡，影響整網安全。

根據互聯網“云”思想，我們在教育城域網中心建立了“無線網絡控制平臺”“實名制認證平臺”“網絡運維平臺”“資源共享平臺”等四大云平臺，學校根據實際情況部署無線熱點，利用現有無錫教育城域網和學校校園網現成網絡通道連接學校端無線熱點和接入終端到中心各云平臺，實現了區域范圍的城域無線教育專網——無錫無線教育城域網。

城域無線教育專網——無錫無線教育城域網的應用

1.無線網絡控制平臺

無線網絡控制平臺負責全市數百所中小學等接入單位的無線熱點管理，安全策略下發，是無線教育城域網最關鍵的系統。需要重點考慮平臺的可用性，需要有成熟可靠的冗余機制，一臺或者幾臺設備宕機后，其他設備能夠在第一時間進行接管，不會對全網造成影響。

我們以市教育城域網數據中心機房作為主機房，放置主無線控制器集群，在無錫城市云數據中心設立備用機房部署備份無線控制器集群。主、備機房由裸光纖連接，主機房和備份機房是1+1備份關系，主機房設備宕機或者鏈路故障，AP會自動切換到備用機房，不影響下屬學校開展正常的教學任務[注：主、備機房無線控制器集群虛擬化成主、備各一臺邏輯無線控制器（AC）]。

其工作過程包括：①兩臺AC通過協商確定主AC和備AC（或指定），AC間通過保活機制進行保活；②AP與主AC建立主CAPWAP隧道，與備AC建立備CAPWAP隧道；③用戶使用無線客戶端關聯到AP；④用戶通過AP與AC的主CAPWAP隧道與外部進行網絡通信；⑤當主AC發生故障時，備AC檢測到保活超時，馬上通知AP；⑥備AC與AP之間的備用CAPWAP隧道被激活，備AC變成主AC；⑦用戶的業務在備CAPWAP隧道激活后恢復正常；⑧原主AC恢復正常后，與新主AC重新建立熱備關系，原主AC變成備AC，AP與之建立備CAPWAP隧道，用戶的業務不會中斷。其中，AC間通過三層通道保活，在設計熱備拓撲時，必須保證AC間三層通道可達，主機房和備份機房需要有一根三層鏈路。

2.實名制認證平臺

無錫教育城域網設計、建設于2001年，當時全網推行準入和實名制部署，城域網接入沒有身份控制。接入學校為滿足公安部82號令要求，多數采取IP+MAC組合以保證上網實名制并留存上網記錄。無線上網終端數量、種類多，變化頻繁，很多終端（如手機，屬于私人設備）采用IP+MAC組合的方式使得上網實名制基本行不通。采用賬號方式來區分實際網絡使用者是較大規模網絡和無線網絡比較合理可行的落實實名上網的技術手段。我們在部署實名制認證平臺時，不僅需考慮無線網絡準入的要求，同時還要考慮升級原有有線網絡的準入機制。

考慮到上網賬號可能在學校之間漫游，以上網賬號為基礎，對接各類應用系統，使上網賬號成為未來各種應用系統的賬號等因素，我們在網絡中心部署了全市統一的實名制認證平臺，實現有線、無線網絡和應用系統統一賬號，網絡準入統一平臺認證。

學校內部采用私有IP地址，出口網關上開啟NAT。在這種情況下，出口網關開啟分布式NAS功能，可以支持內網的PC穿越NAT環境后，在市級別認證平臺上進行實名制認證。學校出口網關作為NAS設備分散在各學校，認證平臺集中在中心機房，采用分布式認證。綜合網關支持內置的portal（2.0版本）和中心機房的認證平臺聯動認證（不需要另外搭建外部portal服務器，即可實現用戶的portal認證）。

其中，有線用戶認證通過學校終端訪問80端口的http請求也可以說是瀏覽器訪問某一頁面時，學校出口網關攔截到該請求后，進行TCP代理三次握手且將該請求重定向到中心portal的認證頁面，提交賬號、密碼信息和終端信息到認證服務器進行數據校驗，校驗成功后，觸發學校出口網關放行，同時推送上線成功或自定義頁面。而無線用戶認證通過用戶連接至學校SSID，認證信息通過AC（無線認證NAS節點）傳遞到實名制認證服務器。由認證服務器進行用戶名和密碼的驗證，并返回結果。

3.網絡運維平臺

傳統的網絡管理軟件只能管理網絡設備本身，對于大型網絡、無線網絡缺乏良好的管理手段。協助各級管理人員的作用也非常有限，無法滿足現有網絡復雜的運維管理需求。城域網中要管理的不僅僅是網絡設備，還需要管理無線、流量、PC、各種應用軟件、服務器等。幾乎所有信息化工作都需要網絡管理人員親自動手，工作量巨大，技術要求高。部署一套系統，統一監管網絡中的設備、終端、服務器、應用系統等，并且通過實名制保證接入終端的合法性及安全性，在安全接入后能夠自動處理管控所有終端，這將大大減輕網絡管理人員的工作量，并維護網絡中終端資源安全以及整網安全。

我們在市教育城域網數據中心機房部署了一套運維平臺，采用集中式部署、分級式管理的模式，運維平臺可以做到分級分權，面向全市的網絡管理教師（人員）。平臺具備多用戶權限劃分（面向市級管理員、區級管理員和校級管理員），可以進行功能權限和設備監測權限的單獨劃分，允許通過指定的IP地址進行訪問，并具有詳細的操作審核機制。用戶間的數據相對隔離，不同用戶之間無法訪問對方管理的信息數據。用戶的任何配置信息全部采用128位EDS加密方法進行本地存儲，保障用戶配置的賬戶信息安全。

各網絡管理人員的分級分權管理：學校設備和應用系統數量眾多，且分散于不同的地理位置，最佳的管理方式應為集中與分布相結合。賬戶分配機制如下：①市級管理員，具備最高管理權限，可以添加、刪除任何市級、校級設備，可以對全市所有設備、鏈路做到監控管理，可以添加、刪除下級管理員的賬號、管理權限，具備后續擴容模塊的管理權限（如業務監控管理）。②校級管理員，權限來自市級管理員的分配，在所分配的權限內能夠查看所屬設備的運行狀態（有線、無線、出口設備），能夠配置和管理設備。

平臺管理員提供無線管理視圖、無線網絡拓撲管理、無線資源管理、安全管理、統計分析等功能，并通過信號衰減算法，在無線網絡拓撲中為用戶呈現真實的無線網絡熱點覆蓋范圍，幫助用戶做無線網絡熱點規劃。

平臺還能通過SNMP等協議完成對主流網絡設備廠商生產的網絡設備進行監控，對網絡設備的基本信息、可用性、性能、配置等指標進行采集和管理，幫助管理員及時發現故障和故障隱患。支持網絡拓撲管理、配置管理、IP地址管理等，支持在拓撲視圖中顯示告警信息，點擊鼠標即可顯示報警概要信息。

4.資源共享平臺

無錫教育城域網目前總出口帶寬為8.1Gbps，全部連接在教育城域網中心機房，接入學校統一通過中心機房連接外網。教育城域網中心機房連接學校的帶寬達到34Gbps，學校在20Mbps和150Mbps之間選擇不同速率的帶寬接入教育城域網。為有效、充分利用出口帶寬資源，我們在教育城域網中心部署了大型緩存集群，緩存容量達到數十TB，在學校端部署了帶有緩存功能的出口網關。中心緩存集群通過偵聽上網請求，將訪問量較高的外網資源下載到本地。下載完成后，當再次接收到同樣請求時，緩存系統會將請求定向到本地緩存，直接提供內容，節省出口帶寬。學校端出口網關能與中心緩存集群聯動，一方面出口網關能根據學校訪問請求的信息，主動下載熱點資源到本地，另一方面中心緩存集群能主動在上網閑時將熱點資源推送到學校端。據測試，整個系統能提高網絡中心總出口和學校端出口利用率百分之二十左右。在學校開展互聯網課程時，學生按照教師要求統一訪問目標網站時體驗提升尤為明顯。

5.學校無線覆蓋

要更好地實現無線應用效果，不僅要考慮無線基于場景的部署（電子書包課堂、辦公室、會議室、室外等），考慮無線用戶的管理、資源訪問的引導，還要考慮到學校的網絡現狀，進行對接。

（1）學校網絡出口設備。在學校出口處部署綜合網關設備，啟用以下功能：NAT功能、DHCP服務、防火墻功能、智能鏈路選擇功能、用戶認證功能、內容緩存功能、實名制帶寬控制功能、日志記錄功能。

（2）無線部署方式。我們把普教校園分為四種無線應用場景，即辦公室場景、高密度（大會堂、報告廳）場景、電子書包教室場景和室外場景，每種場景都有其特點，具體在無線熱點選擇上也有側重點。

在辦公室采用墻面AP，智能天線徹底解決傳統天線存在覆蓋盲區的弱點；快速、準確地識別終端類型，如果是使用功率較低的手機、平板電腦等移動終端，智能天線能夠通過動態信號補償技術進行信號補償，解決信號入室問題；在報告廳、會議室等高密度場景采用大容量高性能放裝AP，在面積較大、容納人員較多的場所合理布局多個AP在同一空間，承接密集接入和訪問請求；在教室多數會用到“電子書包”，教室內部數據交換量明顯大于對外的訪問請求，我們在這樣的場景部署高性能、大容量，帶有本地轉發功能的AP，并在管理端將同一教室的終端定向到教室本地AP，防止終端接入到臨近教室的AP；室外區域分布有較高的密集的建筑群和植物群，這對信號的覆蓋是較大的障礙。因此，應當選用專用的室外大功率無線AP產品，配置使用定向天線，可以保證無障礙下的300米半徑覆蓋以及近距離的多重障礙物的穿透能力，完全保證了室外區域的信號覆蓋品質，同時要考慮具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項指標，無線室外覆蓋，建議部署在校內的制高點上，同時采用全向或定向天線進行無線覆蓋。

（3）無線城域網IP管理。建成后的無線教育城域網，無線控制平臺部署在中心各機房，AP部署在學校。無線控制平臺的IP地址是由市級教育局統一配置，符合教育城域網IP地址管理要求，具備訪問內網、外網的權限。學校端部署AP，應根據學校的實際情況部署，如部分學校核心交換機開啟了DHCP server功能，則從核心交換機自動獲取到學校的私有IP地址。

學校內的無線終端（手機、平板、筆記本等）獲取到的地址為學校內部私有IP地址，該地址具備兩個功能：一是縱向訪問市數據中心資源，或從市數據中心訪問互聯網；二是橫向訪問學校內部資源，或者多個無線終端之間橫向數據互訪。

存在的問題與展望

無錫無線教育城域網經過一年多的規劃、論證、實驗和完善，于2016年4月形成最終建設方案并付諸實施。雖然解決了很多技術問題，但目前還缺乏配套的用戶業務辦理流程、用戶使用規范、網絡管理維護制度等制度和規章。學校加入無錫教育城域網建設學校的無線網絡雖然能共享中心云端平臺資源，但是在學校內部還是要施工、部署大量無線熱點，這對學校來說也是一筆不小的開支。

我們相信在發展大潮的推動下，在教育信息化需求的促進下，在行政領導的關懷下，在我們自身和學校的共同努力下，無錫無線教育城域網定能克服各種困難，不斷得到建設和完善。