[周报全文]全民教育的网络支撑——无锡教育城域网中心网络解析

2011-10-09 |  作者:网界网 李夏艳 |  来源:独家 |  查看原文

摘要支撑无锡地区七区两市的全民教育网络是如何搭建的?为全地区市民、众多用户网上学习提供的网络传输平台如何来解决带宽不足、网络安全以及虚拟化管理的问题?

教育是一种资源,如何把这种资源用更便捷的方式提供给更多的用户,是很多人都在思考的问题,而促进教育公平也已被写进了国家的基本国策。现在,通过网络来实现更大范围的覆盖成为了一种可能。无锡教育公共服务平台就提供了这样一种尝试。这个网络可以为众多用户网上学习提供网络传输平台;为无锡市,以及江阴和宜兴500多所学校外网服务器集中托管提供网络支撑;为上百个网上学习、网上教研应用系统提供数据通道。

“教育城域网从2001年全面开建,2009年进行网络升级,开始打造教育数据中心,为建设教育公共服务平台做准备。” 无锡市电化教育馆网络建设部沈治国主任这样介绍无锡教育城域网。“其中,我们把教育公共服务平台定位为一个应用平台,而教育城域网及其数据中心是对应用平台的有力支撑。”

老网络应付不了新问题

在2003年前,没有P2P的下载,也很少有视频文件的传输,网络的主要应用是浏览网页、收发邮件,以及BBS里的发帖和回帖。这些应用对带宽的要求都不高,而且当时接入单位也只有100多家。所以,1个千兆出口在当时显得绰绰有余。

这种情况在几年以后开始出现变化,“起先是网络内大量终端感染病毒后,效率大大降低。后来网上视频点播、P2P下载等也造成了不小的困扰。用户经常抱怨上网慢、网页经常打不开⋯⋯”沈主任对那几年的网络问题记忆犹新。实际上,教育城域网的用户数每年都在增加,现在已经达到了500多家。而视频教学等新型应用对带宽的需求也非常大。每年都增加的服务器让网络核心交换机的端口捉襟见肘,而服务器直接与核心交换机相连的网络结构也给管理带来了问题。

新网络的应对之道

“针对原有网络的问题,我们采用了新的网络架构,问题便迎刃而解。”沈主任口中的新网络架构是主干设备从路由器、核心交换机到防火墙、入侵检测全冗余,网络线路采用双链路的方式连接主干设备。教育城域网与教育数据中心用两台入侵检测设备H3C T5000相连,应用服务器放置在教育数据中心。其中,数据中心采用两台H3C的S12508作为网络核心交换机,并且这两台机器之间用IRF2技术相连。在核心交换机和服务器中间增加H3C S5800-32C作为汇聚层交换机连接服务器。而且,在S12508上配置了防火墙业务板卡进行网络层安全防护。教育城域网出口在网络出口处部署了盒式设备ACG应用控制网关,进行应用访问控制、流量控制上网行为审计等应用层安全防护。部署了F5000防范外网对教育城域网的攻击和进行高速的NAT地址转换服务,全面保障了教育城域网信息系统的安全。

“出口带宽也进行了升级,现在接入了电信的两条千兆,未来还将接入移动的一条500兆。”沈主任对增加的带宽还不是很满意,“实际上,现在这样的带宽还是不能满足需求,但万兆接入的成本太高,而且操作上也会有其他问题。”而对网络架构的优化和对上网行为的精确控制,与运营商合作,将高流量的应用服务器分布式地直接部署在运营商机房的措施,很大程度上解决了带宽出口不足的问题。

除了连接了运营商网络,无锡教育城域网还与江苏省基础教育计算机网、无锡电子政务外网相连。这样的好处是显而易见的,用户可以很好地沟通,既省去了各单位单独接线的建设成本,又省去了维护成本。

核心交换机的灵活应用

作为网络核心的两台H3C S12508、两台H3C S7506E-V采用IRF2技术相连,“这样最大的好处是两台机器相当于一台使用,管理上更加容易。”沈主任对IRF2带来的管理便捷非常满意。同样满意的还有S12508上配置防火墙业务板卡的设计。

实际上,直接在核心交换机上配置安全模块并不多见,对性能影响的担心占了很大的因素。“我们主要考虑了两个方面,其一是对H3C S12508交换机性能有信心,相信它完全有能力处理;其二是这样的设置很好地保证了安全的灵活性,部署安全策略时非常方便,可以细化到每一个端口。”沈主任口中的安全灵活性在教育数据中心需求很大。基础数据、交互教学平台,以及视频传输等不同应用都需要不同的安全策略,单独用一种策略是无法满足所有需求的。应用类型多、新增应用数量大、速度快是一个方面,需要不定时的对安全策略进行调整又是另外一个方面,这就导致了安全策略的复杂程度更高。而把防火墙业务办卡直接配置在核心交换机S12508上,就很好地解决了这个问题。快速配置、管理简单是其突出优点。

虚拟化的好处

“我们的虚拟化工作是逐步做的。从去年开始,采购来的服务器都进行了虚拟化,从物理数量上来看占20%左右,但是从具体应用数量的比例上来看却远远不止于此。”沈主任对虚拟化相当推崇,这是由教育网络应用的特点决定的:访问密集度低,一台服务器往往有足够的处理能力对多种应用作出响应。而1:N虚拟化之后,在弹性扩展、业务迁移,以及新应用部署上都有明显的优势。同时,在管理上也更容易。他举例说:“以我们常见的“死机”问题为例,虚拟化之前需要工作人员去机房重启。而在虚拟化之后(+关注网络世界),既可以选择开启软件让机器自动重启,也可以由工作人员远程登录管理界面进行重启的操作。这都有效地提升了工作效率。”

与服务器虚拟化后会在网络端造成管理混乱的看法不同,沈主任对虚拟化的管理投了赞成票:“根据业务的服务对象把网络分成了几个部分,在管理上我们只需要考虑在哪个VLAN上进行操作就可以了,不用考虑到具体的服务器,更不用关心具体到哪个虚拟机,所以虚拟化给我们带来的是网络端更方便的管理。”

关于设备的故事

“我们在做流量控制的时候,曾经发生过一个小故事。”说起这个故事,需要对背景进行一下解释。无锡教育城域网在最初IP地址分配的时候就考虑到日后扩展的问题,所以采用了不连续,但有一定规则的地址分配方式。而这种分配方式恰好与H3C的流量控制设备——ACG应用控制网关的调度算法一致。这件事情的发生概率非常非常低。但是这种一致性直接导致了一台设备上的两块处理引擎只能使用一块,性能远远达不到指标,流量稍大,网络就不能用。“厂家技术人员上门来做了很多测试,很快就找到了症结所在。而H3C解决问题的方案让我们非常满意。”再次谈到这个故事的时候,沈主任的心情非常好。“当时,H3C为我们量身定制,重写了调度算法,重新开发了适用于我们网络的ACG核心软件。暑假结束前对设备升级,现在就可以正常运行了。”

在这个真实的故事最后,沈主任的一段评价让我记忆颇深,“这样的工作只有对客户很重视的厂商才会做,不仅解决速度快,态度好,而且提供的解决方案充分考虑了客户需求。作为用户,我们只需要在检查问题的时候提供配合,并不要求我们调整网络架构来适应设备。而且整个过程是免费的。”

相关文章