在信息化试点工作期间,为保障优质资源充分共享,我校构建了以光通信网络为基础、由高速以太网交换机为承载的校园数据通讯网络,同时提供高速无线网络接入能力,为全校师生提供了完善的校园网接入服务,保障了校园网络的稳定高效运行。
校园网采用先进的扁平化架构,配合万兆主干互联,提供高速稳定的数据转发、方便易用的接入认证、完善可靠的硬件安全防护,满足校内所有IT业务的集中服务和终端覆盖。校园网中心机房采用国标A类机房标准设计,提供可靠的运行环境。采用高性能计算和存储资源,配合万兆骨干网络、应用防火墙、出口防火墙及负载均衡设备,建设了基于虚拟化的高可用、高性能、动态扩展、按需分配的云平台,为校园IT业务构建了坚实、高效、安全的硬件基础平台。
1.升级接入及主干网络
试点期间,学校对校园网络进行了全面升级改造,更新了接入网络设备,升级了主干网络。改造后的校园网提供涵盖全校的数据通讯服务,物理覆盖范围包括12栋教学楼、1栋行政办公楼、1座图书馆、1座体育馆、1座医院、5个食堂、23栋学生宿舍楼及11栋教工宿舍楼,楼栋网络接入率达到了100%。
校园网有线接入设备共522台、信息点总计达到18000余个。在校园有线网络接入层,采用了高速以太网交换机,为终端用户提供百兆接入、千兆级联的高速接入能力,每楼栋采用千兆级联、万兆汇聚的高性能交换机作为楼栋汇聚,其中终端接入交换机为465台、楼栋汇聚交换机57台。
我校的校园网络拓扑结构为二级汇聚形式,接入交换机通过双千兆冗余链路汇聚至楼栋汇聚交换机,再由楼栋交换机通过万兆汇聚至核心交换机。接入交换机上行可提供千兆汇聚速率,并配合STP技术有效保障网络可用性,减小链路或端口故障带来的影响;下行为全校终端用户提供稳定的100Mbps接入速率。图1为我校有线接入网络拓扑图。
在对接入网络进行改造时,为保障网络服务的高可用性,我们对接入交换机还采用了以下技术:
广播抑制:对每端口配置广播抑制特性,避免因广播报文异常突发导致的转发延迟;
端口隔离:利用交换机的端口隔离功能,避免非法流量在二层网络中的快速传播;
DHCP侦测:使用DHCP侦测功能,保证终端用户从唯一合法服务器获取IP地址;
STP:使用生成树协议完成对接入层冗余链路的阻断,消除误操作导致环路而造成网络服务停止的威胁。
在信息基础设施建设过程中,我校一直高度重视通讯链路的建设,主要采用光纤链路进行校园内部的楼栋汇聚互联。现已完成中心机房至三个分中心机房、各分中心机房间的光纤主干环网及备用环网的建设、中心机房及各分中心机房至全校所有楼栋节点的光纤链路建设,到达楼栋节点的光纤芯口数量均不低于12芯,为校园网的高速发展提供了有力保障。
目前校园内已建成的各类光纤敷设总长超过70公里、中心机房光纤汇聚总芯数为1092芯,分支节点光纤总芯数为480芯。校园网主干光纤承担了校园有线网络、无线网络、视频监控网络、一卡通网络及标准化考场网络的数据传输任务,后期还将以此为基础建设PON网络,大幅提升校园网数据传输速率,降低校园以太网建设维护成本。
2.进行网络扁平化改造
原有校园网采用传统三层架构实现,在实际运行中暴露出诸多问题,如网络延迟不稳定、路由转发效率低、网络结构难以规范、故障排除难度大、设备性能发挥不充分等。同期采用的802.1X接入认证方式也有客户端程序兼容性差、协议通讯故障判断困难、对接入交换机功能要求高等问题。
针对上述问题,我校于2013年对校园网进行了扁平化改造,在网络核心层增加了BAS设备,取消了原有楼栋汇聚交换机的路由转发功能,采用二层交换方式完成终端与核心的通讯;将原有的千兆汇聚主干网络提升至万兆。
同时,将认证方式由802.1X改为更易被接受的PPPoE和IPoE。该方案中,由核心BAS设备完成用户的准入准出的认证,用户内网或外网的访问权限控制策略由BAS制定,Radius根据用户认证时选择的权限(准入或准出)下发不同的控制策略模版给BAS执行,实现旁路的准入准出方案。
改造后的网络网络设备大幅减少配置策略,提升设备稳定性及工作效率;客户端兼容性提升,降低错误率;由Base控制访问策略及限速,效果优秀;故障代码统一,按需编写了排障手册,大幅提升排障效率;同时提供多种认证机制,满足校内多类型用户;由统一系统完成策略制定及下发,管理效率提升;DHCP方式帮助高效管理IP地址及登录用户,摆脱IP管理困扰。
3.重建中心机房
原校园网中心机房建设规格低、面积小、环境条件较差,无法承载日益发展的业务需求。新机房着力于提供未来5年的数据中心级机房环境,以《电子信息系统机房设计规范》(GB50174-2008)为基准,完成了我校中心机房的建设。
该中心机房面积220㎡,配有独立配电间,配备双路50KVAUPS供配电系统及独立接地系统,配备2组共128节电池,提供8小时满载市电故障运行时间及抗雷击特性,且UPS可平滑升级至双路100KVA,提保障未来扩容需求;配置双路40KW制冷量的精密空调并机运行,可持续将房间内温湿度及空气含尘浓度控制在标准范围,为精密电子设备提供稳定运行环境;提供48台42U标准宽体机柜用于安装网络、计算及存储设备;提供10G光纤通讯网络、且可平滑升级至40G,提供千兆/万兆接入能力;配备了漏液检测、惰性气体喷洒式消防系统、全自动新风系统等事故保障手段,可有效保障火灾事故时的设备安全;数据中心还设置了门禁系统及视频监控系统,严格控制机房进出权限;同时利用可视化机房环境动力监控系统及综合业务管理平台,完成对全网设备运行状态的实时监控。
校园网中心机房承担着全校信息化业务的核心支撑作用,其计算及存储能力随应用系统的建设逐步提升,保障了校园信息化业务系统的各项性能要求。目前,中心机房为各信息化业务提供了2套完善的资源架构:基于集中存储和高性能刀片服务器的集中式架构与基于分布式存储和计算的分布式架构。
集中式架构:采用IBM和Cisco的高性能刀片服务器,提供44路共806G的CPU处理能力及1920G内存处理能力;采用NetApp的集中式存储,具备8GbFC及10GbFCoE的高速冗余接口,提供40TB的存储空间,并通过虚拟化引擎将计算及存储资源整合至资源池中,再根据业务系统的各自需求合理分配。该架构主要为我校核心业务提供服务,如:校级核心数据库及数据网络、数字化校园系统(三大平台及OA、教务、人事、学工、科研等业务系统)、一卡通系统、DNS及NTP服务、邮件服务等。分布式架构:采用机架式x86服务器群,提供20路共29.6G的CPU处理能力及384G内存处理能力;采用服务器内置硬盘配合PCIeSSD提供较低成本的高速存储能力;采用独立光纤万兆双网卡提供高速数据交互能力,通过虚拟化引擎将将计算及存储资源整合至资源池中,并由云平台资源申请及管理服务提供给我校各部门或学院使用。该架构即为我校云平台的系统架构,主要为我校部门级业务提供服务,如:部门或院系网站、各院系教学实训系统、各部门申请独立使用的其他系统等。
4.构建校园云服务平台
通过数字校园的不断建设,我校已初步形成了教育信息化的基础设施体系,并基本完成了数字校园平台及业务系统的建设,以此为基础,我们还着力建设基于校园云服务的业务系统,利用云服务功能特性,满足校园服务的公众化、资源管理的集约化,达到服务和资源的广泛高效利用。
我校云平台的建设是基于服务器虚拟化技术,提供武汉职业技术学院已有计算及存储资源的云服务管理平台。云平台系统通过对现有资源整合和调配,提供完整的基础设施与应用的统一化在线服务,做到面向用户提供包括弹性计算、灵活存储、多类型数据库及应用程序等在内的云计算特性功能,并集成完善的权限管理、计费管理、网络资源管理及安全管理特性,满足行业用户对IaaS、PaaS类的业务需求。
该云平台将学校分布式架构资源进行集中管理调度,形成统一的云资源池,支撑各类业务管理系统和公共服务平台的稳定运行以及科研高性能计算工作,另外,还能提供诸如大数据处理、课程培训、云计算教学、动漫设计等应用。老师、学生等云平台最终用户可以通过网络在学校任何地方访问云平台,实现对云资源的自助使用。
云平台整体包括六大模块,分别是:
IT基础硬件:充分利用已有高性能计算资源对服务器、存储设备、网络设备进行了统一调度管理,以实现资源的优化配置、充分共享。
云资源池:利用云平台的虚拟化技术,将底层IT基础硬件设备进行虚拟化处理,借助云平台控制器对虚拟资源进行统一纳管,屏蔽底层各类硬件环境的复杂性,构建统一的虚拟化云资源池,为上层的业务管理系统和公共服务平台的运行提供必须的计算、存储和网络资源。
自动化云服务:在虚拟化层基础上,云平台对虚拟资源进行能力封装,提供了多项自动化的云服务,包括基础能力(虚拟机、存储卷、网络资源等)、应用支撑能力(应用自动化部署、数据库服务、负载均衡服务等)、辅助能力(HPC、大数据处理、安全防护等)等,云平台用户可以通过这些服务满足各种场景下的IT需求。该层是整个云平台的核心部分,直接决定着云数据中心的能力大小。
自助服务:云平台为老师、用户提供了自助服务门户。云平台管理员只需要为每个用户分配一定的资源配额(例如10VCPU、20G内存、200G存储空间等),用户就可以自助登录到云平台界面,使用云平台提供的各项功能进行应用部署工作