高校與運營商共建數字化校園的探索實踐

凌越++陶向東

摘 要：隨著高等教育信息化的發(fā)展，高校與運營商合作共建數字化校園的案例越來越多。因利益分歧，合作一般難以達成共贏，且項目不易控制，造成資源浪費。本文以某高校數字化校園基礎設施建設為例，在高校與多運營商的合作實踐中進行探索，總結了合作模式、項目管理、網絡規(guī)劃、技術實現和實施步驟，為數字化校園基礎設施共建共享提供借鑒與參考。

關鍵詞：數字化校園；校園網；運營商；共建；PPP

中圖分類號：G250.73 文獻標志碼：A 文章編號：1673-8454（2017）11-0064-03

一、引言

對于各項教學科研事業(yè)均需大量資金和人力投入的高校而言，數字化校園基礎設施建設投資大、周期長、受有限資源的約束；同時，龐大的高校學生群體是商家積極爭取的消費對象，各大運營商都期望不斷拓展高校市場、改善用戶體驗。以上兩個因素的互動催生了高校和各大運營商合作共建數字化校園基礎設施的實踐。

目前，由于多方訴求的不一致，在共建實踐中暴露了許多問題，存在各運營商低效重復建設、互相干擾的現象。在多方博弈的復雜局面中，高校占據信息優(yōu)勢，應當合理統(tǒng)籌、優(yōu)勢互補，在實踐中探索新的合作機制，應用新技術，在數字化校園建設中推進共建共享。

二、多運營商合作模式分析

數字化校園基礎設施建設按照項目生命周期有可行性研究、立項、規(guī)劃設計、投融資、施工、監(jiān)理、審計、運維、報廢、更新等多個階段，在多方共建情境下，由于項目組織成員來自于不同的社會經濟組織，耦合松散，管理較為復雜，需要事先擬定有效的合作模式。投資方式通常決定合作模式和項目組織架構，從投資關系上看，常見的方式有：

（1）校方自籌經費，主要使用財政資金，建設時可自建，也可招標代建，建設模式有平行發(fā)包和總承包等多種，建成后出租給運營商使用；

（2）運營商投資，又可分為：單一運營商投資；多運營商共同投資。建成后資產屬于運營商，部分設備由學校代管；

（3）校方和運營商共同投資，比如公共網絡和WLAN校方出資建設，其他設施運營商分塊投資并共同使用；

（4）引入第三方民營機構，公私合作共建即PPP（Public-Private Partnership）模式。

上述投資方式中，校方使用財政資金建設會占用大量經費，審批周期長，變更困難，不利于技術變化較快的信息化建設領域；運營商投資易導致重復建設，矛盾較大，管理困難；高校出資建設一些關鍵共用設施（如公共網絡、WLAN），其他項目分解后由各運營商分塊包干，這種方式中，高校處于主導地位，易于進行商務談判和技術引導，較為常見，但這種模式也存在缺陷，只要運營商進行直接投資，就會存在設備所有權和運營權分割的問題，利益糾紛較多，高校管理成本較高。另外，運營商作為大型國企，其設計、采購、安裝、變更等審批流程周期較長，對數字化校園建設的進度管理有不利影響。

在PPP模式中，第三方民營機構實現自身利益的追求，高?？梢詫崿F公共福利和高質量服務的目標，運營商租用高校的信息化基礎設施，民營機構與高校分成——權責清晰，目標一致，可以形成合作共贏的長期伙伴關系。PPP模式的實現有多種選擇，如：建造、運營、移交（BOT）；建設、移交、運營（BTO）；設計、建造、融資及經營（DB-FO）等多種。高校、運營商、第三方民營企業(yè)共建數字化校園，有利于減少高校資金壓力、提高效率、降低工程造價。與傳統(tǒng)的融資模式相比，PPP項目平均節(jié)約17%的費用，并且易于實現成本、進度、質量的目標管理。在項目的全生命周期管理過程中，高校可以脫離繁雜的事務性工作，回到規(guī)劃者和監(jiān)管者的角色，發(fā)揮高校、運營商和民營組織各自的優(yōu)勢，彌補各自不足。所以，PPP模式是值得高校信息化建設管理部門借鑒的方式。

在共建過程中，應在“公平、公正、公開”的基礎上，采用合理的技術手段，實現數字化校園設施有效共享共用。

三、建設過程管理

以某校數字化校園建設為例為例，本案例一期共建工程投資1500萬元，在項目建設過程中，參與方來自于高校、運營商、設備供應商、勞務分包商、第三方代建單位，還有第三方監(jiān)理和審計單位等。各單位需指定專職聯(lián)系人或項目經理，以及專職或兼職技術員、施工員、安全員、質檢員等，建立由高校信息技術負責人擔任項目總監(jiān)的項目部，根據項目合同和施工組織設計開展目標管理，做好進場施工人員安全和技術交底工作，定期舉行項目例會和班組會，做好全過程的施工文檔歸集和整理工作，做好隱蔽工程驗收和變更簽證工作，做好系統(tǒng)試運和交付驗收。因為數字化校園建設的涉及面較廣，工程開工前還應建立由高校分管校長牽頭，教學、學工、后勤等業(yè)務部門主管共同參與的信息化領導小組，以便于互通信息、消除矛盾，統(tǒng)一調度。

四、技術實現

在高校和多運營商共建數字化校園的實施過程中，由于多方參與，矛盾較多。既要用合理的組織結構為項目護航；又要采用適用的技術手段支撐多方共享共用得以實現。

1.底層網絡的規(guī)劃與設計

該校的校園網基礎設施原來采用傳統(tǒng)的L3+L2的交換型組網模式，網絡結構為核心-匯聚-接入的三層星型架構，基于交換機端口的劃分VLAN，校內用戶采用出口認證方式，通過SAM認證后接入Internet和教育網，在校園網邊界配置防火墻實現安全防護。

由于設備陳舊老化，考慮結合校園網改擴建，引入運營商共建共享數字化校園。在網絡基礎設施建設中，建立以路由器為核心的扁平化大二層網絡，劃分為業(yè)務控制層和業(yè)務接入層，拓撲結構見圖1。

圖1中，采用兩臺高性能核心路由器（寬帶遠程接入服務器BRAS），虛擬化為一臺核心BRAS后，與部署在數據中心的接入認證管理系統(tǒng)配合，作為整個校園網的業(yè)務控制層，負責對用戶進行統(tǒng)一的接入控制、認證計費以及精細化管理。匯聚層和接入層交換機共同構成校園網的業(yè)務接入層。接入交換機為每個端口分配獨立的內層VLAN標簽，核心交換機承擔QinQ的功能，給相應的用戶打上對應的外層標簽，實現大二層的結構，核心BRAS作為集中認證網關，負責終結QinQ報文，并提供用戶接入和控制。整網通過QinQ技術實現用戶間的二層隔離。無線網絡部署采用扁平化、瘦連接架構，所有的控制功能均由業(yè)務控制層實現。各運營商共用以上有線無線一體化網絡基礎設施。

2.有線無線一體化網絡共享

在原三層交換網中，有線、無線網絡在管理和認證方式上各自為政，用戶體驗差；難以對有線無線用戶實施靈活的限速計費策略；各運營商無線網絡干擾嚴重，難以故障排查和定位。在本案例中，一方面清理了過去重復建設的物理線路，釋放了線路橋架的空間；另一方面用同一物理層承載各方的業(yè)務，在確保容錯性與健壯性的基礎上，校園有線和無線網絡可由各運營商和學校共用，提供了校內統(tǒng)一的信息高速公路。

有線網絡采用了雙層標簽來標識信息點或用戶，接入層交換機的配置一致，有利于減少接入層設備的配置工作量；無線AP僅提供無線二層通道，簡化了無線設備的成本和管理維護需求；AC用萬兆聚合端口和核心交換機互聯(lián)，實現全網無線功能License的共享管理。校園內部采用Internet保留地址，支持IPoE/L2TP，通過Web Portal服務器推送認證頁面，由用戶自主選擇不同的運營商出口進行Internet訪問。

3.統(tǒng)一認證和安全審計

采用有線無線一體化的Web Portal統(tǒng)一的認證方式，通過核心BRAS進行統(tǒng)一身份認證、權限控制。在數據中心的虛擬服務器上部署接入認證管理系統(tǒng)，安裝Web Server組件及Radius組件，對全校用戶實現準入準出統(tǒng)一認證、計費和授權控制。用戶接入后，免費訪問校內資源；訪問校外資源時自動重定向到Web認證界面，認證通過后才能訪問校外資源，并支持外來訪客和高?？缧ＵJ證，根據用戶身份分配并發(fā)終端數，基于本月流量分配互聯(lián)網帶寬，根據@Domain后綴分配路由，基于高校和運營商兩級行為審計系統(tǒng)實現上網行為記錄，同時依靠QinQ雙層標簽和用戶名，實現快速定位用戶和終端，滿足公安部“82號令”一鍵落地查人的要求。

4.計費與與流量控制

實現了將月租、扣費、免費額度和折扣率靈活組合的計費方式。認證計費系統(tǒng)數據源唯一，使用LDAP進行認證。臨時賬戶存放在本地使用本地數據庫進行認證。

Radius邏輯拓撲如圖2。

重定向服務器將用戶訪問的頁面重定向到Web服務器。Web服務器為用戶提供認證頁面并且將用戶輸入的用戶名和密碼轉發(fā)給Radius進行認證。Radius服務器實現用戶的認證、計費和授權。管理服務器對整個系統(tǒng)功能模塊進行統(tǒng)一管理并且對用戶數據進行保存和處理。

5.與運營商的接口

學校內部的Radius作為Radius Client與運營商的Radius/Radius Proxy進行對接，運營商提供Radius服務器的IP、端口（認證和計費）、密鑰（Secret），并添加校內Radius Proxy作為其Client。學校的核心BRAS將運營商各自用戶的認證請求先發(fā)往內部Radius，由其進行轉發(fā)到運營商的Radius進行認證，并在內部Radius上生成相關的用戶記錄并保存，便于精確統(tǒng)計和檢索。

與運營商進行用戶身份認證對接的流程如下：

（1）用戶有線或無線接入網絡，通過DHCP獲取校內保留IP地址；

（2）用戶發(fā)起Web連接，BRAS默認策略重定向給內部的Web Portal服務器進行認證；

（3）用戶在Portal頁面上輸入賬號，Portal后臺程序將提取用戶賬號信息，送往校方Radius處理；

（4）校方Radius根據用戶賬號信息判斷：校內賬號由校內Radius認證完成，直接下發(fā)策略給校內BRAS設備，校內完成用戶上網相關信息記錄；運營商賬號發(fā)送給對應運營商Radius進行處理，運營商Radius認證完成，并下發(fā)策略報文到校內Radius，校內Radius再下發(fā)給校內BRAS設備。

6.測試與割接

本案例為改擴建工程，實施期間須避免影響教學生活秩序。在實施之前進行各項功能的模擬測試，所有測試功能完成后再進行具體業(yè)務的割接和實際用戶的遷移。為降低風險，采用逐步割接原則，每一棟樓宇割接完后進行復測，確認沒有問題后再進行下一個樓宇的割接。過程簡介如下：

（1）運營商提供新系統(tǒng)接入線路，確保上行各出口暢通，協(xié)議一致；舊線路保持到割接成功，試運行結束后回收；

（2）校內主設備如BRAS等調試成功，關鍵服務如Web Portal、Radius服務等試驗無誤，與運營商進行對接成功。

（3）修改接入交換機的端口VLAN，實現用戶的二層隔離；交換機的上聯(lián)端口改成Trunk模式；在接入交換機上創(chuàng)建管理VLAN并啟用三層接口地址作為管理地址；

（4）匯聚交換機的下聯(lián)端口配置QinQ，將接入交換機上對應的VLAN打上外層標簽，同時透傳管理VLAN；上聯(lián)端口透傳QinQ外層標簽及管理VLAN標簽；

（5）若原有客戶端采用靜態(tài)地址方式，則需要將用戶側客戶端改成DHCP自動獲??；對保留地址設備進行處理，收集，MAC地址，然后在BRAS上進行MAC地址綁定；

（6）發(fā)割接通知，進行割接，做好故障處理預案；割接完成后進行業(yè)務測試。

五、結束語

高校與運營商共建共享數字化校園基礎設施可避免重復建設，提高效率；技術層面的合理部署能實現高校與各運營商無縫對接；合作共建時采用PPP模式能實現優(yōu)勢互補。與財政投入項目相比，引入社會資金在項目運營方面會更加靈活和高效。需要注意的是確保多方合作中的對等、互惠關系，高校是用市場換取第三方的投入，這個由大量用戶形成的市場是一個無形資產，在合作共建的過程中應使這個無形資產獲得公允的估值。另外，數字化校園的運營中，一方面應當借鑒成功的OTT （Over The Top）應用，如微信、YY等，引入和開發(fā)兩手抓，為師生提供方便易用的上層應用服務，充分發(fā)揮基礎設施的功用。另一方面，對于外來的OTT業(yè)務，也可以考慮洽談分成，獲取校園信息化的支撐資源。

參考文獻：

[1]何來坤，劉禮芳.基于多運營商共建共享的高校WLAN建設方案的探索[J].杭州師范大學學報（自然科學版），2013（12）：180-183.

[2]周玉陶，楊海平.與運營商合作開展信息化建設的策略思考[J].中國教育信息化，2014（21）：14-17.

[3]王宗善，冷飛，季晶晶.高校數字化校園建設的探索與實踐[J].實驗室研究與探索，2010（29）：162-164.

（編輯：王曉明）