支撐無錫地區(qū)七區(qū)兩市的全民教育網(wǎng)絡是如何搭建的?為全地區(qū)市民、眾多用戶網(wǎng)上學習提供的網(wǎng)絡傳輸平臺又是如何來解決帶寬不足、網(wǎng)絡安全，以及虛擬化管理問題的?

　　教育是一種資源，如何把這種資源用更便捷的方式提供給更多的用戶，是很多人都在思考的問題，而促進教育公平也已被寫進了國家的基本國策?，F(xiàn)在，通過網(wǎng)絡來實現(xiàn)更大范圍的覆蓋成為了一種可能。無錫教育公共服務平臺就提供了這樣一種嘗試。這個網(wǎng)絡可以為眾多用戶網(wǎng)上學習提供網(wǎng)絡傳輸平臺；為無錫市，以及江陰和宜興500多所學校外網(wǎng)服務器集中托管提供網(wǎng)絡支撐；為上百個網(wǎng)上學習、網(wǎng)上教研應用系統(tǒng)提供數(shù)據(jù)通道。

　　“教育城域網(wǎng)從2001年全面開建，2009年進行網(wǎng)絡升級，開始打造教育數(shù)據(jù)中心，為建設教育公共服務平臺做準備?！睙o錫市電化教育館網(wǎng)絡建設部沈治國主任這樣介紹無錫教育城域網(wǎng)?！捌渲?，我們把教育公共服務平臺定位為一個應用平臺，而教育城域網(wǎng)及其數(shù)據(jù)中心是對應用平臺的有力支撐?！?/p>

　　老網(wǎng)絡應付不了新問題

　　在2003年前，沒有P2P的下載，也很少有視頻文件的傳輸，網(wǎng)絡的主要應用是瀏覽網(wǎng)頁、收發(fā)郵件，以及BBS里的發(fā)帖和回帖。這些應用對帶寬的要求都不高，而且當時接人單位也只有100多家。所以，1個千兆出口在當時顯得綽綽有余。

　　這種情況在幾年以后開始出現(xiàn)變化，“起先是網(wǎng)絡內(nèi)大量終端感染病毒后，效率大大降低。后來網(wǎng)上視頻點播、P2P下載等也造成了不小的困擾。用戶經(jīng)常抱怨上網(wǎng)慢、網(wǎng)頁經(jīng)常打不開……”沈主任對那幾年的網(wǎng)絡問題記憶猶新。實際上，教育城域網(wǎng)的用戶數(shù)每年都在增加，現(xiàn)在已經(jīng)達到了500多家。而視頻教學等新型應用對帶寬的需求也非常大。每年都增加的服務器讓網(wǎng)絡核心交換機的端口捉襟見肘，而服務器直接與核心交換機相連的網(wǎng)絡結(jié)構(gòu)也給管理帶來了問題。

　　新網(wǎng)絡的應對之道

　　“針對原有網(wǎng)絡的問題，我們采用了新的網(wǎng)絡架構(gòu)，問題便迎刃而解。”沈主任口中的新網(wǎng)絡架構(gòu)是主干設備從路由器、核心交換機到防火墻、入侵檢測全冗余，網(wǎng)絡線路采用雙鏈路的方式連接主干設備。教育城域網(wǎng)與教育數(shù)據(jù)中心用兩臺入侵檢測設備H3CT5000相連，應用服務器放置在教育數(shù)據(jù)中心。其中，數(shù)據(jù)中心采用兩臺H3C的S12508作為網(wǎng)絡核心交換機，并且這兩臺機器之間用IRF2技術(shù)相連。在核心交換機和服務器中間增加H3CS5800-32C作為匯聚層交換機連接服務器。而且，在S12508上配置了防火墻業(yè)務板卡進行網(wǎng)絡層安全防護。教育城域網(wǎng)出口在網(wǎng)絡出口處部署了盒式設備ACG應用控制網(wǎng)關(guān)，進行應用訪問控制、流量控制上網(wǎng)行為審計等應用層安全防護。部署了F5000防范外網(wǎng)對教育城域網(wǎng)的攻擊和進行高速的NAT地址轉(zhuǎn)換服務，全面保障了教育城域網(wǎng)信息系統(tǒng)的安全。

　　“出口帶寬也進行了升級，現(xiàn)在接入了電信的兩條千兆，未來還將接人移動的一條500兆?！鄙蛑魅螌υ黾拥膸掃€不是很滿意，“實際上，現(xiàn)在這樣的帶寬還是不能滿足需求，但萬兆接入的成本太高，而且操作上也會有其他問題。”而對網(wǎng)絡架構(gòu)的優(yōu)化和對上網(wǎng)行為的精確控制，與運營商合作，將高流量的應用服務器分布式地直接部署在運營商機房的措施，很大程度上解決了帶寬出口不足的問題。

　　除了連接了運營商網(wǎng)絡，無錫教育城域網(wǎng)還與江蘇省基礎教育計算機網(wǎng)、無錫電子政務外網(wǎng)相連。這樣的好處是顯而易見的，用戶可以很好地溝通，既省去了各單位單獨接線的建設成本，又省去了維護成本。

　　核心交換機的靈活應用

　　作為網(wǎng)絡核心的兩臺H3CS12508、兩臺H3CS7506E-V采用IRF2技術(shù)相連，“這樣最大的好處是兩臺機器相當于一臺使用，管理上更加容易。”沈主任對IRF2帶來的管理便捷非常滿意。同樣滿意的還有S12508上配置防火墻業(yè)務板卡的設計。

　　實際上，直接在核心交換機上配置安全模塊并不多見，對性能影響的擔心占了很大的因素?！拔覀冎饕紤]了兩個方面，其一是對H3CS12508交換機性能有信心，相信它完全有能力處理；其二是這樣的設置很好地保證了安全的靈活性，部署安全策略時非常方便，可以細化到每一個端口。”沈主任口中的安全靈活性在教育數(shù)據(jù)中心需求很大?；A數(shù)據(jù)、交互教學平臺，以及視頻傳輸?shù)炔煌瑧枚夹枰煌陌踩呗?，單獨用一種策略是無法滿足所有需求的。應用類型多、新增應用數(shù)量大、速度快是一個方面，需要不定時的對安全策略進行調(diào)整又是另外一個方面，這就導致了安全策略的復雜程度更高。而把防火墻業(yè)務辦卡直接配置在核心交換機S12508上，就很好地解決了這個問題。快速配置、管理簡單是其突出優(yōu)點。

　　虛擬化的好處

　　“我們的虛擬化工作是逐步做的。從去年開始，采購來的服務器都進行了虛擬化，從物理數(shù)量上來看占20％左右，但是從具體應用數(shù)量的比例上來看卻遠遠不止于此?！鄙蛑魅螌μ摂M化相當推崇，這是由教育網(wǎng)絡應用的特點決定的：訪問密集度低，一臺服務器往往有足夠的處理能力對多種應用作出響應。而1：N虛擬化之后，在彈性擴展、業(yè)務遷移，以及新應用部署上都有明顯的優(yōu)勢。同時，在管理上也更容易。他舉例說：“以我們常見的‘死機’問題為例，虛擬化之前需要工作人員去機房重啟。而在虛擬化之后，既可以選擇開啟軟件讓機器自動重啟，也可以由工作人員遠程登錄管理界面進行重啟的操作。這都有效地提升了工作效率?！?/p>

　　與服務器虛擬化后會在網(wǎng)絡端造成管理混亂的看法不同，沈主任對虛擬化的管理投了贊成票：“根據(jù)業(yè)務的服務對象把網(wǎng)絡分成了幾個部分，在管理上我們只需要考慮在哪個VLAN上進行操作就可以了，不用考慮到具體的服務器，更不用關(guān)心具體到哪個虛擬機，所以虛擬化給我們帶來的是網(wǎng)絡端更方便的管理?！?/p>

　　關(guān)于設備的故事

　　“我們在做流量控制的時候，曾經(jīng)發(fā)生過一個小故事。”說起這個故事，需要對背景進行一下解釋。無錫教育城域網(wǎng)在最初IP地址分配的時候就考慮到日后擴展的問題，所以采用了不連續(xù)，但有一定規(guī)則的地址分配方式。而這種分配方式恰好與H3C的流量控制設備——ACG應用控制網(wǎng)關(guān)的調(diào)度算法一致。這件事情的發(fā)生概率非常非常低。但是這種一致性直接導致了一臺設備上的兩塊處理引擎只能使用一塊，性能遠遠達不到指標，流量稍大，網(wǎng)絡就不能用。“廠家技術(shù)人員上門來做了很多測試，很快就找到了癥結(jié)所在。而H3C解決問題的方案讓我們非常滿意?！痹俅握劦竭@個故事的時候，沈主任的，心情非常好。“當時，H3C為我們量身定制，重寫了調(diào)度算法，重新開發(fā)了適用于我們網(wǎng)絡的ACC核心軟件。暑假結(jié)束前對設備升級，現(xiàn)在就可以正常運行了?！?/p>

　　在這個真實的故事最后，沈主任的一段評價讓我記憶頗深，“這樣的工作只有對客戶很重視的廠商才會做，不僅解決速度快，態(tài)度好，而且提供的解決方案充分考慮了客戶需求。作為用戶，我們只需要在檢查問題的時候提供配合，并不要求我們調(diào)整網(wǎng)絡架構(gòu)來適應設備。而且整個過程是免費的?！?/p>