智慧教育環(huán)境下無線教育城域網(wǎng)建設(shè)與應(yīng)用研究

顧軍+沈治國

現(xiàn)狀與需求分析

1.“無錫教育城域網(wǎng)”已覆蓋區(qū)域所有學校

2001年，無錫地區(qū)已開始全面建設(shè)“無錫教育城域網(wǎng)”，該網(wǎng)絡(luò)是由通信運營商和教育局共建的教育專網(wǎng)，建成至今已正常運行16年，目前接入學校單位四百余所，除高等院校和中職院校外，本地區(qū)中心小學以上規(guī)模學校多數(shù)是無錫教育城域網(wǎng)用戶單位。該網(wǎng)絡(luò)的統(tǒng)一出口設(shè)在教育信息化管理服務(wù)中心，網(wǎng)內(nèi)設(shè)市級和區(qū)縣級多個數(shù)據(jù)中心，提供全市和各區(qū)的個性化教育信息化管理、應(yīng)用、服務(wù)系統(tǒng)。目前所有學校均建設(shè)有校園網(wǎng)絡(luò)，在職教師均有利用網(wǎng)上資源教學的經(jīng)歷和經(jīng)驗。

2.學校師生對移動教育的需求日益凸顯

隨著校園教育活動網(wǎng)絡(luò)化的普及，在校學生、教師和服務(wù)、管理人員越來越要求盡可能方便、快速、移動式地使用網(wǎng)絡(luò)，同時越來越多的人擁有了無線網(wǎng)絡(luò)客戶端產(chǎn)品。因此，很多學校開始思考如何能夠使有線網(wǎng)絡(luò)沒有延伸到的場合，如大多數(shù)教室、禮堂、會議室、圖書館、體育場館等場所，也同樣能夠訪問校園網(wǎng)絡(luò)；在已經(jīng)設(shè)有有線網(wǎng)絡(luò)的地方，如多數(shù)辦公室、專用教室，能夠方便、快捷地接入各類上網(wǎng)終端，最大程度延伸網(wǎng)絡(luò)半徑，真正讓網(wǎng)絡(luò)滲透到校園的每個角落。這對于管理者和建設(shè)者來說，是急需思考與解決的問題。

3.無線局域網(wǎng)技術(shù)是學校有線網(wǎng)絡(luò)“最后一米”的有效延伸

各高等院校、中職院校在經(jīng)過近幾年的無線實驗網(wǎng)的探索之后，紛紛開始規(guī)劃并建設(shè)校園無線網(wǎng)絡(luò)，為校園提供全校無線局域網(wǎng)信號覆蓋，并提供數(shù)據(jù)接入業(yè)務(wù)，讓學校師生都能受益。

4.K12學校和幼兒園很難有效組織建設(shè)校園無線網(wǎng)

多數(shù)高等院校和中職院校建有較完備的無線校園網(wǎng)，而數(shù)量眾多、規(guī)模差異極大、技術(shù)能力薄弱、專業(yè)人才匱乏的K12學校和幼兒園本身已經(jīng)很難有效規(guī)劃、組織建設(shè)和有效維護學校自己的有線網(wǎng)絡(luò)，面對技術(shù)遠比有線網(wǎng)絡(luò)復雜的無線網(wǎng)，他們就更沒有能力很好地解決這些問題。其他層級學校中僅個別學校初步建成了無線校園網(wǎng)，剩余學校僅有部分利用少量家用無線AP或無線路由器自行覆蓋個別辦公場所，可用性低，管理較混亂。而且普及高標準的無線校園網(wǎng)，對于教育行政部門來說，資金也是一大難題。

“無線教育城域網(wǎng)”建設(shè)方案設(shè)計

經(jīng)細致分析我們發(fā)現(xiàn)，構(gòu)建無錫無線教育城域網(wǎng)需要破解以下難題：①區(qū)域級網(wǎng)絡(luò)的規(guī)模龐大、接入學校眾多，如何保證無線網(wǎng)能夠以統(tǒng)一標準覆蓋全部學校，同時滿足較長一段時期學校對無線網(wǎng)絡(luò)覆蓋度的不斷變化的需求；②學校專業(yè)人才匱乏，如何保證整體無線網(wǎng)絡(luò)設(shè)備對各級教育行政和各學?？晒芸煽?；③無線教育城域網(wǎng)建設(shè)后，應(yīng)該如何利用這套網(wǎng)絡(luò)來提高教學質(zhì)量；④沒有明確邊界的網(wǎng)絡(luò)信號，如何讓用戶實名化以多種方式，方便、順利地接入無線網(wǎng)絡(luò)，同時有效地識別、屏蔽外來終端蹭入無線網(wǎng)絡(luò)，影響整網(wǎng)安全。

根據(jù)互聯(lián)網(wǎng)“云”思想，我們在教育城域網(wǎng)中心建立了“無線網(wǎng)絡(luò)控制平臺”“實名制認證平臺”“網(wǎng)絡(luò)運維平臺”“資源共享平臺”等四大云平臺，學校根據(jù)實際情況部署無線熱點，利用現(xiàn)有無錫教育城域網(wǎng)和學校校園網(wǎng)現(xiàn)成網(wǎng)絡(luò)通道連接學校端無線熱點和接入終端到中心各云平臺，實現(xiàn)了區(qū)域范圍的城域無線教育專網(wǎng)——無錫無線教育城域網(wǎng)。

城域無線教育專網(wǎng)——無錫無線教育城域網(wǎng)的應(yīng)用

1.無線網(wǎng)絡(luò)控制平臺

無線網(wǎng)絡(luò)控制平臺負責全市數(shù)百所中小學等接入單位的無線熱點管理，安全策略下發(fā)，是無線教育城域網(wǎng)最關(guān)鍵的系統(tǒng)。需要重點考慮平臺的可用性，需要有成熟可靠的冗余機制，一臺或者幾臺設(shè)備宕機后，其他設(shè)備能夠在第一時間進行接管，不會對全網(wǎng)造成影響。

我們以市教育城域網(wǎng)數(shù)據(jù)中心機房作為主機房，放置主無線控制器集群，在無錫城市云數(shù)據(jù)中心設(shè)立備用機房部署備份無線控制器集群。主、備機房由裸光纖連接，主機房和備份機房是1+1備份關(guān)系，主機房設(shè)備宕機或者鏈路故障，AP會自動切換到備用機房，不影響下屬學校開展正常的教學任務(wù)[注：主、備機房無線控制器集群虛擬化成主、備各一臺邏輯無線控制器（AC）]。

其工作過程包括：①兩臺AC通過協(xié)商確定主AC和備AC（或指定），AC間通過?；顧C制進行保活；②AP與主AC建立主CAPWAP隧道，與備AC建立備CAPWAP隧道；③用戶使用無線客戶端關(guān)聯(lián)到AP；④用戶通過AP與AC的主CAPWAP隧道與外部進行網(wǎng)絡(luò)通信；⑤當主AC發(fā)生故障時，備AC檢測到?；畛瑫r，馬上通知AP；⑥備AC與AP之間的備用CAPWAP隧道被激活，備AC變成主AC；⑦用戶的業(yè)務(wù)在備CAPWAP隧道激活后恢復正常；⑧原主AC恢復正常后，與新主AC重新建立熱備關(guān)系，原主AC變成備AC，AP與之建立備CAPWAP隧道，用戶的業(yè)務(wù)不會中斷。其中，AC間通過三層通道?；?，在設(shè)計熱備拓撲時，必須保證AC間三層通道可達，主機房和備份機房需要有一根三層鏈路。

2.實名制認證平臺

無錫教育城域網(wǎng)設(shè)計、建設(shè)于2001年，當時全網(wǎng)推行準入和實名制部署，城域網(wǎng)接入沒有身份控制。接入學校為滿足公安部82號令要求，多數(shù)采取IP+MAC組合以保證上網(wǎng)實名制并留存上網(wǎng)記錄。無線上網(wǎng)終端數(shù)量、種類多，變化頻繁，很多終端（如手機，屬于私人設(shè)備）采用IP+MAC組合的方式使得上網(wǎng)實名制基本行不通。采用賬號方式來區(qū)分實際網(wǎng)絡(luò)使用者是較大規(guī)模網(wǎng)絡(luò)和無線網(wǎng)絡(luò)比較合理可行的落實實名上網(wǎng)的技術(shù)手段。我們在部署實名制認證平臺時，不僅需考慮無線網(wǎng)絡(luò)準入的要求，同時還要考慮升級原有有線網(wǎng)絡(luò)的準入機制。

考慮到上網(wǎng)賬號可能在學校之間漫游，以上網(wǎng)賬號為基礎(chǔ)，對接各類應(yīng)用系統(tǒng)，使上網(wǎng)賬號成為未來各種應(yīng)用系統(tǒng)的賬號等因素，我們在網(wǎng)絡(luò)中心部署了全市統(tǒng)一的實名制認證平臺，實現(xiàn)有線、無線網(wǎng)絡(luò)和應(yīng)用系統(tǒng)統(tǒng)一賬號，網(wǎng)絡(luò)準入統(tǒng)一平臺認證。

學校內(nèi)部采用私有IP地址，出口網(wǎng)關(guān)上開啟NAT。在這種情況下，出口網(wǎng)關(guān)開啟分布式NAS功能，可以支持內(nèi)網(wǎng)的PC穿越NAT環(huán)境后，在市級別認證平臺上進行實名制認證。學校出口網(wǎng)關(guān)作為NAS設(shè)備分散在各學校，認證平臺集中在中心機房，采用分布式認證。綜合網(wǎng)關(guān)支持內(nèi)置的portal（2.0版本）和中心機房的認證平臺聯(lián)動認證（不需要另外搭建外部portal服務(wù)器，即可實現(xiàn)用戶的portal認證）。

其中，有線用戶認證通過學校終端訪問80端口的http請求也可以說是瀏覽器訪問某一頁面時，學校出口網(wǎng)關(guān)攔截到該請求后，進行TCP代理三次握手且將該請求重定向到中心portal的認證頁面，提交賬號、密碼信息和終端信息到認證服務(wù)器進行數(shù)據(jù)校驗，校驗成功后，觸發(fā)學校出口網(wǎng)關(guān)放行，同時推送上線成功或自定義頁面。而無線用戶認證通過用戶連接至學校SSID，認證信息通過AC（無線認證NAS節(jié)點）傳遞到實名制認證服務(wù)器。由認證服務(wù)器進行用戶名和密碼的驗證，并返回結(jié)果。

3.網(wǎng)絡(luò)運維平臺

傳統(tǒng)的網(wǎng)絡(luò)管理軟件只能管理網(wǎng)絡(luò)設(shè)備本身，對于大型網(wǎng)絡(luò)、無線網(wǎng)絡(luò)缺乏良好的管理手段。協(xié)助各級管理人員的作用也非常有限，無法滿足現(xiàn)有網(wǎng)絡(luò)復雜的運維管理需求。城域網(wǎng)中要管理的不僅僅是網(wǎng)絡(luò)設(shè)備，還需要管理無線、流量、PC、各種應(yīng)用軟件、服務(wù)器等。幾乎所有信息化工作都需要網(wǎng)絡(luò)管理人員親自動手，工作量巨大，技術(shù)要求高。部署一套系統(tǒng)，統(tǒng)一監(jiān)管網(wǎng)絡(luò)中的設(shè)備、終端、服務(wù)器、應(yīng)用系統(tǒng)等，并且通過實名制保證接入終端的合法性及安全性，在安全接入后能夠自動處理管控所有終端，這將大大減輕網(wǎng)絡(luò)管理人員的工作量，并維護網(wǎng)絡(luò)中終端資源安全以及整網(wǎng)安全。

我們在市教育城域網(wǎng)數(shù)據(jù)中心機房部署了一套運維平臺，采用集中式部署、分級式管理的模式，運維平臺可以做到分級分權(quán)，面向全市的網(wǎng)絡(luò)管理教師（人員）。平臺具備多用戶權(quán)限劃分（面向市級管理員、區(qū)級管理員和校級管理員），可以進行功能權(quán)限和設(shè)備監(jiān)測權(quán)限的單獨劃分，允許通過指定的IP地址進行訪問，并具有詳細的操作審核機制。用戶間的數(shù)據(jù)相對隔離，不同用戶之間無法訪問對方管理的信息數(shù)據(jù)。用戶的任何配置信息全部采用128位EDS加密方法進行本地存儲，保障用戶配置的賬戶信息安全。

各網(wǎng)絡(luò)管理人員的分級分權(quán)管理：學校設(shè)備和應(yīng)用系統(tǒng)數(shù)量眾多，且分散于不同的地理位置，最佳的管理方式應(yīng)為集中與分布相結(jié)合。賬戶分配機制如下：①市級管理員，具備最高管理權(quán)限，可以添加、刪除任何市級、校級設(shè)備，可以對全市所有設(shè)備、鏈路做到監(jiān)控管理，可以添加、刪除下級管理員的賬號、管理權(quán)限，具備后續(xù)擴容模塊的管理權(quán)限（如業(yè)務(wù)監(jiān)控管理）。②校級管理員，權(quán)限來自市級管理員的分配，在所分配的權(quán)限內(nèi)能夠查看所屬設(shè)備的運行狀態(tài)（有線、無線、出口設(shè)備），能夠配置和管理設(shè)備。

平臺管理員提供無線管理視圖、無線網(wǎng)絡(luò)拓撲管理、無線資源管理、安全管理、統(tǒng)計分析等功能，并通過信號衰減算法，在無線網(wǎng)絡(luò)拓撲中為用戶呈現(xiàn)真實的無線網(wǎng)絡(luò)熱點覆蓋范圍，幫助用戶做無線網(wǎng)絡(luò)熱點規(guī)劃。

平臺還能通過SNMP等協(xié)議完成對主流網(wǎng)絡(luò)設(shè)備廠商生產(chǎn)的網(wǎng)絡(luò)設(shè)備進行監(jiān)控，對網(wǎng)絡(luò)設(shè)備的基本信息、可用性、性能、配置等指標進行采集和管理，幫助管理員及時發(fā)現(xiàn)故障和故障隱患。支持網(wǎng)絡(luò)拓撲管理、配置管理、IP地址管理等，支持在拓撲視圖中顯示告警信息，點擊鼠標即可顯示報警概要信息。

4.資源共享平臺

無錫教育城域網(wǎng)目前總出口帶寬為8.1Gbps，全部連接在教育城域網(wǎng)中心機房，接入學校統(tǒng)一通過中心機房連接外網(wǎng)。教育城域網(wǎng)中心機房連接學校的帶寬達到34Gbps，學校在20Mbps和150Mbps之間選擇不同速率的帶寬接入教育城域網(wǎng)。為有效、充分利用出口帶寬資源，我們在教育城域網(wǎng)中心部署了大型緩存集群，緩存容量達到數(shù)十TB，在學校端部署了帶有緩存功能的出口網(wǎng)關(guān)。中心緩存集群通過偵聽上網(wǎng)請求，將訪問量較高的外網(wǎng)資源下載到本地。下載完成后，當再次接收到同樣請求時，緩存系統(tǒng)會將請求定向到本地緩存，直接提供內(nèi)容，節(jié)省出口帶寬。學校端出口網(wǎng)關(guān)能與中心緩存集群聯(lián)動，一方面出口網(wǎng)關(guān)能根據(jù)學校訪問請求的信息，主動下載熱點資源到本地，另一方面中心緩存集群能主動在上網(wǎng)閑時將熱點資源推送到學校端。據(jù)測試，整個系統(tǒng)能提高網(wǎng)絡(luò)中心總出口和學校端出口利用率百分之二十左右。在學校開展互聯(lián)網(wǎng)課程時，學生按照教師要求統(tǒng)一訪問目標網(wǎng)站時體驗提升尤為明顯。

5.學校無線覆蓋

要更好地實現(xiàn)無線應(yīng)用效果，不僅要考慮無線基于場景的部署（電子書包課堂、辦公室、會議室、室外等），考慮無線用戶的管理、資源訪問的引導，還要考慮到學校的網(wǎng)絡(luò)現(xiàn)狀，進行對接。

（1）學校網(wǎng)絡(luò)出口設(shè)備。在學校出口處部署綜合網(wǎng)關(guān)設(shè)備，啟用以下功能：NAT功能、DHCP服務(wù)、防火墻功能、智能鏈路選擇功能、用戶認證功能、內(nèi)容緩存功能、實名制帶寬控制功能、日志記錄功能。

（2）無線部署方式。我們把普教校園分為四種無線應(yīng)用場景，即辦公室場景、高密度（大會堂、報告廳）場景、電子書包教室場景和室外場景，每種場景都有其特點，具體在無線熱點選擇上也有側(cè)重點。

在辦公室采用墻面AP，智能天線徹底解決傳統(tǒng)天線存在覆蓋盲區(qū)的弱點；快速、準確地識別終端類型，如果是使用功率較低的手機、平板電腦等移動終端，智能天線能夠通過動態(tài)信號補償技術(shù)進行信號補償，解決信號入室問題；在報告廳、會議室等高密度場景采用大容量高性能放裝AP，在面積較大、容納人員較多的場所合理布局多個AP在同一空間，承接密集接入和訪問請求；在教室多數(shù)會用到“電子書包”，教室內(nèi)部數(shù)據(jù)交換量明顯大于對外的訪問請求，我們在這樣的場景部署高性能、大容量，帶有本地轉(zhuǎn)發(fā)功能的AP，并在管理端將同一教室的終端定向到教室本地AP，防止終端接入到臨近教室的AP；室外區(qū)域分布有較高的密集的建筑群和植物群，這對信號的覆蓋是較大的障礙。因此，應(yīng)當選用專用的室外大功率無線AP產(chǎn)品，配置使用定向天線，可以保證無障礙下的300米半徑覆蓋以及近距離的多重障礙物的穿透能力，完全保證了室外區(qū)域的信號覆蓋品質(zhì)，同時要考慮具備抗雷擊、防雨、防潮、抗高低溫、阻燃等多項指標，無線室外覆蓋，建議部署在校內(nèi)的制高點上，同時采用全向或定向天線進行無線覆蓋。

（3）無線城域網(wǎng)IP管理。建成后的無線教育城域網(wǎng)，無線控制平臺部署在中心各機房，AP部署在學校。無線控制平臺的IP地址是由市級教育局統(tǒng)一配置，符合教育城域網(wǎng)IP地址管理要求，具備訪問內(nèi)網(wǎng)、外網(wǎng)的權(quán)限。學校端部署AP，應(yīng)根據(jù)學校的實際情況部署，如部分學校核心交換機開啟了DHCP server功能，則從核心交換機自動獲取到學校的私有IP地址。

學校內(nèi)的無線終端（手機、平板、筆記本等）獲取到的地址為學校內(nèi)部私有IP地址，該地址具備兩個功能：一是縱向訪問市數(shù)據(jù)中心資源，或從市數(shù)據(jù)中心訪問互聯(lián)網(wǎng)；二是橫向訪問學校內(nèi)部資源，或者多個無線終端之間橫向數(shù)據(jù)互訪。

存在的問題與展望

無錫無線教育城域網(wǎng)經(jīng)過一年多的規(guī)劃、論證、實驗和完善，于2016年4月形成最終建設(shè)方案并付諸實施。雖然解決了很多技術(shù)問題，但目前還缺乏配套的用戶業(yè)務(wù)辦理流程、用戶使用規(guī)范、網(wǎng)絡(luò)管理維護制度等制度和規(guī)章。學校加入無錫教育城域網(wǎng)建設(shè)學校的無線網(wǎng)絡(luò)雖然能共享中心云端平臺資源，但是在學校內(nèi)部還是要施工、部署大量無線熱點，這對學校來說也是一筆不小的開支。

我們相信在發(fā)展大潮的推動下，在教育信息化需求的促進下，在行政領(lǐng)導的關(guān)懷下，在我們自身和學校的共同努力下，無錫無線教育城域網(wǎng)定能克服各種困難，不斷得到建設(shè)和完善。