香港中文大學（深圳）構建先進安全的一體化校園網

文／曾祥容

香港中文大學(深圳)是一所經國家教育部批準，按中外合作辦學條例設立，傳承香港中文大學的辦學理念和學術體系的大學。以創建一所立足中國、 面向世界的一流研究型大學為己任，致力于培養具有國際視野、中華傳統和社會擔當的創新型高層次人才。大學前期開設理科、工科、經濟管理類和人文社科類專業。長遠辦學規模為國內外學生 11000 人，其中本科生7500人，碩士及博士研究生3500 人。

自2014 年建校來，在網絡基礎設施建設、書院網絡、無線網絡、視頻會議、大學數據中心、統一身份認證、校園內網門戶、一卡通等多種信息管理系統方面投入了大量的人力、物力和財力，信息化建設取得了快速發展。建校短短幾年，一個完善的基礎網絡設施已經建設完成，相關的核心業務系統也隨之建設完畢。隨著學校的發展，“敏捷網絡”、“全光網絡”、“模塊化數據中心”以及“軟定義網絡”等方面技術也加速推進校園網的高速、智能化、虛擬化，為實現整個校區萬兆骨干、千兆匯聚，構建先進安全的、有線無線一體化的校園網。

智慧校園概念

智慧校園可理解為以信息技術為基礎的智慧化的校園工作、學習和生活一體化環境，這個一體化環境以各種應用服務系統為載體，將教學、科研、管理和校園生活進行充分融合。

然而，不同的高校和不同的廠商針對智慧校園這個定義卻是不同的。甚至不同時期，同一個高校或者廠商在不同的時期對該定義也在改變。

此外，智慧校園與數字校園的區別是什么？大部分人認為，“智慧校園”是數字校園升級到一定階段的表現，是數字校園發展的一個高級階段。由此可見“智慧校園”的基石是前期數字校園的建設與發展。這也就意味著，“智慧校園”首先要有一個統一的基礎設施平臺，統一的數據共享平臺和綜合信息服務平臺。

智慧校園建設主要內容

作為新成立大學，信息系統建設雖然沒有歷史包袱，但建設起點高、標準新、建設周期短，同時沒有經驗可以參考，面臨挑戰同樣不少。

正如前文所述，智慧校園的前提是建設一個完善的基礎設施平臺，其中包括一個完善的校園基礎設施平臺。大學的核心業務系統，例如學生信息管理系統、財務管理系統、人事管理系統、科研管理系統、學生事務管理系統和內網門戶平臺等，都離不開一個完善且穩定的基礎設施平臺。

在建設過程，大學制定了先硬件后軟件和先核心后邊緣的建設思路，快速且很好地完成了建設任務。截至目前，硬件設施建設已經全部完成，目前剩余少量非核心應用系統正在實施中，部分核心應用系統二期甚至三期計劃也在安排之中。

實際上，智慧校園的內涵遠不止包含基礎設施和業務系統。目前，包括平安校園、綠色校園以及基于物聯網全互聯校園等概念也日漸被提及，并可能成為日后智慧校園建設的方向之一。

園區網建設規劃

網絡主拓撲

學校一期網絡拓撲如圖1所示。從網絡的層次維度，網絡可以劃分為核心層、匯聚層和接入層三級結構。

從功能層次維度，本次園區網絡可以劃分為 DMZ 區、對外網絡出口區、數據中心區和辦公區，其中辦公區根據不同的部門劃分為 2 個園區子網絡（上園書院區和下園教學辦公區）。校園里教學樓、辦公區、宿舍有線上網支持千兆接入。無線網絡覆蓋依據不同場景部署，如：宿舍采用敏分AP，保證每個房間的信號強度以及零漫游；室外采用IP67防護等級無線AP，保障室外場景的無線覆蓋等。不同類型的終端用戶可以通過有線，無線方式接入網絡。

圖1 學校一期信息系統網絡拓撲結構

該網絡具備如下特點：

1.采用高性能的匯聚核心設備，背板支持平滑升級到100G線卡，打造一個大容量的校園網絡以滿足學校長遠辦學規模對網絡的需求。

2.通過堆疊 iStack，集群 CSS2等虛擬化技術，以及鏈路捆綁 Eth-trunk，雙機熱備等技術實現網絡的主備冗余，打造一個可靠健壯的校園網絡。

3.通過部署校園出口安全、校園接入安全、數據中心安全、高級威脅防御等手段,打造一個多維度的安全校園網絡。

4.使用全可編程ENP芯片的敏捷隨板 AC及ACU2無線插卡等方式實現對AP 的管理，無線業務的下發，使用支持802.11ac協議的 AP，單AP 整機速率達到1.9Gbps；AP 采用矩陣式智能天線，波束成型技術，覆蓋無死角；打造一個全場景Wi-Fi覆蓋，無縫漫游，訪問不中斷的校園無線網絡。

5.使用eSight 管理平臺，能對有線無線統一管理，大大降低了管理運維工作量，打造一個精細化運營的校園網絡。

6.使用數據中心系列 CE 交換機，以及VXLAN，防火墻虛擬化等技術，打造一個高度虛擬化，能提供多業務、多租戶的大型數據中心網絡。

7.部署AntiDDOS設備防御DDOS攻擊。沙箱FireHunter與防火墻聯動署，在防火墻抵御已知安全威脅的基礎上，同時具備防御惡意文件和網站等未知威脅的能力。

8.教職工宿舍采用全光網絡，打造高可靠網絡以滿足國內外教職工的信息服務需求。

9.采用模塊化數據中心機房，標準設計和安裝，實現分期快速部署的目的。機房預留后續擴容空間，滿足大學快速建設的需求。

方案主要創新

全場景Wi-Fi覆蓋，無縫漫游，訪問不中斷。

當無線客戶端移動時，如從圖書館內A區移動到B區，甚至移動到學生宿舍C區，若要保持視頻、語音等實時性強的業務不中斷，就要求Wi-Fi產品能夠支持漫游。例如AC集中轉發方案可以實現不同VLAN下無縫漫游50ms切換，數據業務不中斷。

作為國內第一批加入Eduroam的高校，能夠滿足無線賬號跨地區漫游的需求；同時，學校也是少數向社會大眾免費開放網絡的機構之一。

1.精細化運營校園

大二層網絡設計，有線無線融合加CSS2堆疊，保障有線及無線網絡的可靠性，簡化網絡管理。

敏捷隨板AC，全可編程ENP芯片，通過用戶組實現矩陣式策略管控。

有線無線融合大大降低了管理運維工作量。

2.業務自動化部署

網絡管理員通過在Agile Controller上拖拽邏輯模型的方式完成租戶邏輯網絡模型定義。

一鍵式部署，Agile Controller根據邏輯定義，自動翻譯網絡配置命令行，并下發到設備上。

SDN網絡由網絡部門通過SDN控制器Agile Controller下發。

3.全光網絡

為向廣大教職工提供便利的生活設施，教職工宿舍網絡由大學免費提供。相對于傳統的雙絞線或者同軸電纜方案，我們選擇GPON方案作為建網技術方案，可同時為用戶提供提供Wi-Fi、有線、語音接入方式。

采用PON技術構建網絡，其中一些關鍵技術，例如多重安全機制、動態帶寬分配（DBA）以及服務質量（QoS）等都為校園網絡提供更高的安全保障和更精細化的管理手段。

此外，全光網絡在整體架構中間段設施屬于無源設備這一結構特點，也大大降低了網絡故障率，減少網絡維護質量。

4.模塊化數據中心

大學新建數據中心，占地800平方，可放置192個標準機柜。和傳統數據中心相比，模塊化設計可以實現分期快速部署、擴容方便；能源層內部協同，進一步提升能效；結構可靠，IT主設備、制冷和信號傳輸無單點故障。此外，由于模塊化機房都是預組裝、預測試，工期大大縮短。

5.大數據應用

無線設備可向第三方設施提供標準接口，在用戶許可的情況下，以采集相關的接入或者軌跡信息。目前已經完成相關應用，例如場地熱度查詢，空閑設施查詢等。

方案實施

大學智慧校園一期項目建設于2017年7月啟動，同年8月底完成全部主體建設工作，截至2018年3月硬件部分全部驗收完畢。

從前期的建設經驗來看，項目的實施需要注意如下幾個方面：

1.方案規劃與設計

作為最終的用戶方，需要學習各方的建設經驗，以自身需求為出發點，適當參考相關廠家的解決方案，規劃適合的智慧校園解決方案。為使項目規劃更具有前瞻性，大學在規劃智慧校園建設方案的同時，還邀請了國際第三方咨詢顧問團隊，為大學完成智慧校園頂層規劃設計，收到了良好的效果。

2.工程協調與管理

智慧校園項目建設規模大，涉及的上下游環節很多。例如學校的基建部門、政府項目承建單位、第三方規劃設計單位、項目監理等眾多部門。信息系統作為基礎設施建設的末端環節，一定要在基礎設施建設階段甚至更早期的階段接入，以免影響后續的工作安排。例如綜合布線需求、機房建設規格、無線接入點安裝以及弱點井空間等，都需要在最早期時候提出需求并落實。

此外，項目一般會由不同的集成商負責完成。學校作為甲方或者最終用戶，一定要從項目管理的角度，協調好進度、預算和質量的關系，以盡可能地協調處理或者推動解決建設過程的各項問題。

3.工程質量管理

質量是項目建設的基石。在趕工的情況下，普遍存在質量問題。為避免此類問題，可加強現場工作管理，例如制定施工規范，操作規范，建立驗收標準和樣板站點等方法，加強現場施工質量管理。

校園網絡從投入使用至今，很少發現因前期質量問題導致的網絡故障。說明前期的質量管理工作是到位的。

智慧校園建設除了上述基礎設施建設之外，還包括眾多的其他建設模塊，例如各核心業務部門管理系統，數據服務總線ESB，業務流程管理BPM，統一支付平臺以及統一內容管理平臺等建設內容。此外，還包括一卡通平臺，視頻監控系統，能效管理平臺等建設內容。