新一代數(shù)字校園網(wǎng)絡(luò)基礎(chǔ)平臺(tái)研究與實(shí)現(xiàn)

蔣建軍

摘 要：本文介紹了上海電機(jī)學(xué)院新一代的數(shù)字化校園基礎(chǔ)平臺(tái)的建設(shè)情況，結(jié)合華為公司的成熟技術(shù)，詳細(xì)分析了融合的數(shù)據(jù)中心、云計(jì)算、立體安全防護(hù)技術(shù)和多校區(qū)互聯(lián)互通的實(shí)現(xiàn)辦法，為各學(xué)校建立多校區(qū)數(shù)字化校園基礎(chǔ)平臺(tái)起到了一定的示范借鑒作用。

關(guān)鍵詞：數(shù)據(jù)中心；云計(jì)算；立體安全；防護(hù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-8454（2014）19-0060-03

一、引言

中國(guó)的高校信息化已經(jīng)進(jìn)展了將近20年，與其他行業(yè)一樣，數(shù)字化校園的基礎(chǔ)架構(gòu)隨著IT技術(shù)的不斷發(fā)展，逐步走向融合、云化，真正開始面向以應(yīng)用為核心提供靈活擴(kuò)展的服務(wù)平臺(tái)。上海電機(jī)學(xué)院新一代數(shù)據(jù)中心也將在臨港新校區(qū)建成之際落成，新數(shù)據(jù)中心將為全校師生提供一流的數(shù)字化校園生活，為實(shí)現(xiàn)上海電機(jī)學(xué)院辦學(xué)目標(biāo)提供信息化保障。

為實(shí)現(xiàn)這一目標(biāo)，上海電機(jī)學(xué)院與華為公司達(dá)成戰(zhàn)略合作伙伴關(guān)系，在信息化建設(shè)過程中采取了虛擬化整合數(shù)據(jù)中心、云計(jì)算、立體安全等全新理念，建設(shè)新一代的數(shù)字化校園，具體說來，IT基礎(chǔ)架構(gòu)具有以下鮮明的特色：

融合的數(shù)據(jù)中心：實(shí)現(xiàn)虛擬化整合、容災(zāi)備份、分級(jí)存儲(chǔ)和云存儲(chǔ)；

云計(jì)算：實(shí)現(xiàn)應(yīng)用平臺(tái)、服務(wù)器平臺(tái)、虛擬化平臺(tái)和桌面虛擬化；

立體安全防御：實(shí)現(xiàn)數(shù)據(jù)中心和接入網(wǎng)絡(luò)安全、信息安全、云安全的立體安全防御體系。

以下將針對(duì)上海電機(jī)學(xué)院信息化建設(shè)的三大顯著特點(diǎn)展開論述。

二、融合的數(shù)據(jù)中心

數(shù)據(jù)中心的整合，為各種應(yīng)用系統(tǒng)提供按需分配的資源，是一個(gè)美好的愿望，但是由于傳統(tǒng)上各種應(yīng)用往往基于自身獨(dú)立的硬件系統(tǒng)，相互間難以兼容，因此，實(shí)現(xiàn)數(shù)據(jù)中心的融合，是一個(gè)很大的難題。

方案需要考慮到原有各種各樣復(fù)雜應(yīng)用系統(tǒng)，需要平滑過渡，不影響原有業(yè)務(wù)的運(yùn)行，又要實(shí)現(xiàn)虛擬化，在兩個(gè)校區(qū)之間建立容災(zāi)系統(tǒng)，還要兼顧方案實(shí)施成本和技術(shù)難度。校方先后考察了基于應(yīng)用層、主機(jī)層、操作系統(tǒng)、陣列層和網(wǎng)絡(luò)層的多種虛擬化解決方案，最后決定采用基于網(wǎng)絡(luò)層的存儲(chǔ)虛擬化技術(shù)。因?yàn)榫W(wǎng)絡(luò)層的存儲(chǔ)虛擬化對(duì)目前網(wǎng)絡(luò)和應(yīng)用改變最小，而且滿足目前系統(tǒng)的異構(gòu)和擴(kuò)展需求，安裝部署的過程基本不需要修改現(xiàn)網(wǎng)應(yīng)用，現(xiàn)網(wǎng)設(shè)備可以全部應(yīng)用。通過網(wǎng)絡(luò)層虛擬化將來可以平滑升級(jí)數(shù)據(jù)保護(hù)的層次，后期擴(kuò)容也不受廠家和存儲(chǔ)設(shè)備功能特性的限制。

臨港校區(qū)和閔行校區(qū)各放置一套虛擬化網(wǎng)關(guān)，相互之間通過上海教科網(wǎng)實(shí)現(xiàn)基于IP網(wǎng)絡(luò)的異步鏡像，如圖1所示。

采用華為的網(wǎng)絡(luò)層虛擬化產(chǎn)品，實(shí)施虛擬化后，所有存儲(chǔ)資源形成一個(gè)大存儲(chǔ)池，可為大部分的應(yīng)用和主機(jī)服務(wù)，今后存儲(chǔ)的擴(kuò)容再也不必為品牌和兼容性發(fā)愁，而且，可以在不同品牌的陣列之間自由遷移數(shù)據(jù)、鏡像，也為容災(zāi)備份的實(shí)施打好基礎(chǔ)。

1.動(dòng)態(tài)分級(jí)存儲(chǔ)

提供動(dòng)態(tài)分級(jí)存儲(chǔ)的功能，使熱點(diǎn)數(shù)據(jù)可從高性能存儲(chǔ)訪問，（如圖2所示）提高了系統(tǒng)性能。動(dòng)態(tài)分級(jí)存儲(chǔ)根據(jù)策略篩選文件，將長(zhǎng)期不訪問的數(shù)據(jù)遷移到廉價(jià)存儲(chǔ)上，遷移后可直接從廉價(jià)存儲(chǔ)訪問，對(duì)業(yè)務(wù)的應(yīng)用透明，對(duì)于已經(jīng)遷移到二級(jí)存儲(chǔ)上的文件，可以設(shè)置策略根據(jù)訪問頻度回遷到一級(jí)存儲(chǔ)，這樣就保證了用戶的訪問性能。

2.云存儲(chǔ)

學(xué)校可在目前的平臺(tái)基礎(chǔ)上，拓展為云存儲(chǔ)架構(gòu)，為全校師生提供海量數(shù)據(jù)存儲(chǔ)、備份、共享的空間，如圖3所示。

3.云計(jì)算

由于高校業(yè)務(wù)系統(tǒng)的要求，目前高校數(shù)據(jù)中心越來越多地采用 X86服務(wù)器。通過搭建云計(jì)算平臺(tái)，采用虛擬化技術(shù)，并配合存儲(chǔ)架構(gòu)，可以減少硬件投資、降低運(yùn)行成本、簡(jiǎn)化管理、提高業(yè)務(wù)連續(xù)性和災(zāi)備能力。

另外，采用傳統(tǒng)的方式，眾多且極度分散的PC客戶端，勢(shì)必會(huì)面臨如下難題——難以管理、難以實(shí)現(xiàn)數(shù)據(jù)保護(hù)和保密、成本高昂、能耗高。采用云計(jì)算平臺(tái)，可讓分散在各地的用戶迅速、安全、方便地訪問關(guān)鍵性企業(yè)應(yīng)用和信息數(shù)據(jù)，從而擺脫本地PC的束縛，實(shí)現(xiàn)在任何時(shí)間、任何地點(diǎn)，通過任何設(shè)備的虛擬接入，從而實(shí)現(xiàn)快速部署業(yè)務(wù)、保證數(shù)據(jù)安全、災(zāi)備、節(jié)能等多種目標(biāo)，如圖4為虛擬化資源配置圖。

通過云計(jì)算、云存儲(chǔ)、云網(wǎng)絡(luò)、云安全提供基礎(chǔ)架構(gòu)的平臺(tái)解決方案，包括了“計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、平臺(tái)軟件、工程設(shè)計(jì)以及基礎(chǔ)設(shè)施”等，構(gòu)建具備“分布式、網(wǎng)絡(luò)化、智能管控、開放性”的云平臺(tái)。

三、立體安全防御

1.內(nèi)控外防，認(rèn)證相輔

臨港新區(qū)校園網(wǎng)的設(shè)計(jì)采取“內(nèi)外結(jié)合”的思想來解決，如圖5所示。首先，就網(wǎng)絡(luò)威脅的來源分為內(nèi)網(wǎng)威脅和外網(wǎng)威脅，內(nèi)網(wǎng)威脅主要分為非法使用網(wǎng)絡(luò)和非法的網(wǎng)絡(luò)攻擊行為，而外網(wǎng)威脅則來源于L2-L7的互聯(lián)網(wǎng)攻擊和非法言論控制。

針對(duì)威脅根源，校園網(wǎng)的安全設(shè)計(jì)分兩步走。第一步解決內(nèi)網(wǎng)安全，首先用入網(wǎng)即認(rèn)證的方式解決非法用戶接入的問題。通過一臺(tái)為認(rèn)證服務(wù)器實(shí)現(xiàn)全網(wǎng)認(rèn)證，所有進(jìn)入網(wǎng)絡(luò)的用戶首先需要通過認(rèn)證。

第二步則是解決外網(wǎng)安全威脅，而出口是內(nèi)網(wǎng)與外網(wǎng)的唯一連接口，所以在出口需要部署強(qiáng)大的安全防御體系。通過在出口部署兩臺(tái)冗余的高性能UTM設(shè)備，主要實(shí)現(xiàn)L2-L4的安全防御，同時(shí)支持L5-L7的應(yīng)用層防御。同時(shí)核心交換機(jī)部署的IDS設(shè)備，實(shí)現(xiàn)全網(wǎng)進(jìn)出流量威脅檢測(cè)，通過策略同前端防火墻聯(lián)動(dòng)，完善防御體系。

2.層次防御，審計(jì)相隨

臨港新區(qū)校園網(wǎng)的建設(shè)，充分考慮各種用戶和數(shù)據(jù)的安全性。通過安全域策略和層次化建設(shè)來實(shí)現(xiàn)，高效且安全。

USG5000系列防火墻，最高支持16個(gè)安全區(qū)域的劃分，有全網(wǎng)的普通學(xué)生用戶區(qū)、學(xué)校教師辦公區(qū)、網(wǎng)管審計(jì)區(qū)、核心業(yè)務(wù)服務(wù)區(qū)等多個(gè)不同的安全級(jí)區(qū)域。通過不同安全等級(jí)的設(shè)置，實(shí)現(xiàn)各個(gè)安全區(qū)域的互訪控制。確保高安全等級(jí)區(qū)域例如核心業(yè)務(wù)服務(wù)區(qū)的安全。

在關(guān)鍵的核心業(yè)務(wù)服務(wù)區(qū)，部署具備萬兆性能的分布式ATCA架構(gòu)的USG9100防火墻。實(shí)現(xiàn)對(duì)該區(qū)域的二次防護(hù)，有效阻斷外部Internet網(wǎng)絡(luò)對(duì)核心業(yè)務(wù)服務(wù)區(qū)的訪問，實(shí)現(xiàn)對(duì)校園網(wǎng)內(nèi)部用戶對(duì)該區(qū)域的訪問控制，實(shí)行業(yè)務(wù)區(qū)域的按需訪問。

臨港新校區(qū)網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)龐大，難免出現(xiàn)針對(duì)主機(jī)系統(tǒng)、數(shù)據(jù)庫的安全事件。例如后門木馬、內(nèi)部人員篡改數(shù)據(jù)等，如何及時(shí)發(fā)現(xiàn)并制止這類安全事件呢？針對(duì)可能出現(xiàn)的問題，部署一套完善的日志管理和安全審計(jì)系統(tǒng)，有效實(shí)現(xiàn)對(duì)全網(wǎng)日志的全面收集和及時(shí)審計(jì)。

3.整網(wǎng)延伸，安全可信

臨港新校區(qū)建成后，如何實(shí)現(xiàn)新校區(qū)同老校區(qū)的安全、高速互聯(lián)，成為擺在面前的一個(gè)現(xiàn)實(shí)問題。

通過部署SVN3000來實(shí)現(xiàn)新老校區(qū)通過IPsec VPN的安全互聯(lián)。同時(shí)SVN3000能夠滿足臨港校區(qū)出差教師、兄弟院校用戶等，對(duì)基于移動(dòng)PC的SSL VPN遠(yuǎn)程接入學(xué)校網(wǎng)絡(luò)和信息系統(tǒng)的需求，圖6 為立體安全防護(hù)效果。

四、結(jié)束語

上海電機(jī)學(xué)院與華為公司借新校區(qū)信息化建設(shè)的新機(jī)遇，以云計(jì)算、虛擬化、融合為主線，對(duì)數(shù)據(jù)中心IT基礎(chǔ)架構(gòu)部分的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、網(wǎng)絡(luò)安全、服務(wù)器虛擬化、桌面虛擬化、存儲(chǔ)虛擬化與整合、容災(zāi)備份等幾個(gè)方面做了詳細(xì)的方案討論并最終得以實(shí)施。對(duì)現(xiàn)有網(wǎng)絡(luò)架構(gòu)、安全體系、計(jì)算與存儲(chǔ)資源進(jìn)行了充分利用與優(yōu)化，設(shè)計(jì)出了新一代數(shù)據(jù)中心的初步網(wǎng)絡(luò)平臺(tái)構(gòu)架，達(dá)到了融合、虛擬化、立體安全防護(hù)、綠色節(jié)能的目標(biāo)。

（編輯：王天鵬）endprint