支撐無錫地區七區兩市的全民教育網絡是如何搭建的?為全地區市民、眾多用戶網上學習提供的網絡傳輸平臺又是如何來解決帶寬不足、網絡安全，以及虛擬化管理問題的?

　　教育是一種資源，如何把這種資源用更便捷的方式提供給更多的用戶，是很多人都在思考的問題，而促進教育公平也已被寫進了國家的基本國策。現在，通過網絡來實現更大范圍的覆蓋成為了一種可能。無錫教育公共服務平臺就提供了這樣一種嘗試。這個網絡可以為眾多用戶網上學習提供網絡傳輸平臺；為無錫市，以及江陰和宜興500多所學校外網服務器集中托管提供網絡支撐；為上百個網上學習、網上教研應用系統提供數據通道。

　　“教育城域網從2001年全面開建，2009年進行網絡升級，開始打造教育數據中心，為建設教育公共服務平臺做準備。”無錫市電化教育館網絡建設部沈治國主任這樣介紹無錫教育城域網。“其中，我們把教育公共服務平臺定位為一個應用平臺，而教育城域網及其數據中心是對應用平臺的有力支撐。”

　　老網絡應付不了新問題

　　在2003年前，沒有P2P的下載，也很少有視頻文件的傳輸，網絡的主要應用是瀏覽網頁、收發郵件，以及BBS里的發帖和回帖。這些應用對帶寬的要求都不高，而且當時接人單位也只有100多家。所以，1個千兆出口在當時顯得綽綽有余。

　　這種情況在幾年以后開始出現變化，“起先是網絡內大量終端感染病毒后，效率大大降低。后來網上視頻點播、P2P下載等也造成了不小的困擾。用戶經常抱怨上網慢、網頁經常打不開……”沈主任對那幾年的網絡問題記憶猶新。實際上，教育城域網的用戶數每年都在增加，現在已經達到了500多家。而視頻教學等新型應用對帶寬的需求也非常大。每年都增加的服務器讓網絡核心交換機的端口捉襟見肘，而服務器直接與核心交換機相連的網絡結構也給管理帶來了問題。

　　新網絡的應對之道

　　“針對原有網絡的問題，我們采用了新的網絡架構，問題便迎刃而解。”沈主任口中的新網絡架構是主干設備從路由器、核心交換機到防火墻、入侵檢測全冗余，網絡線路采用雙鏈路的方式連接主干設備。教育城域網與教育數據中心用兩臺入侵檢測設備H3CT5000相連，應用服務器放置在教育數據中心。其中，數據中心采用兩臺H3C的S12508作為網絡核心交換機，并且這兩臺機器之間用IRF2技術相連。在核心交換機和服務器中間增加H3CS5800-32C作為匯聚層交換機連接服務器。而且，在S12508上配置了防火墻業務板卡進行網絡層安全防護。教育城域網出口在網絡出口處部署了盒式設備ACG應用控制網關，進行應用訪問控制、流量控制上網行為審計等應用層安全防護。部署了F5000防范外網對教育城域網的攻擊和進行高速的NAT地址轉換服務，全面保障了教育城域網信息系統的安全。

　　“出口帶寬也進行了升級，現在接入了電信的兩條千兆，未來還將接人移動的一條500兆。”沈主任對增加的帶寬還不是很滿意，“實際上，現在這樣的帶寬還是不能滿足需求，但萬兆接入的成本太高，而且操作上也會有其他問題。”而對網絡架構的優化和對上網行為的精確控制，與運營商合作，將高流量的應用服務器分布式地直接部署在運營商機房的措施，很大程度上解決了帶寬出口不足的問題。

　　除了連接了運營商網絡，無錫教育城域網還與江蘇省基礎教育計算機網、無錫電子政務外網相連。這樣的好處是顯而易見的，用戶可以很好地溝通，既省去了各單位單獨接線的建設成本，又省去了維護成本。

　　核心交換機的靈活應用

　　作為網絡核心的兩臺H3CS12508、兩臺H3CS7506E-V采用IRF2技術相連，“這樣最大的好處是兩臺機器相當于一臺使用，管理上更加容易。”沈主任對IRF2帶來的管理便捷非常滿意。同樣滿意的還有S12508上配置防火墻業務板卡的設計。

　　實際上，直接在核心交換機上配置安全模塊并不多見，對性能影響的擔心占了很大的因素。“我們主要考慮了兩個方面，其一是對H3CS12508交換機性能有信心，相信它完全有能力處理；其二是這樣的設置很好地保證了安全的靈活性，部署安全策略時非常方便，可以細化到每一個端口。”沈主任口中的安全靈活性在教育數據中心需求很大。基礎數據、交互教學平臺，以及視頻傳輸等不同應用都需要不同的安全策略，單獨用一種策略是無法滿足所有需求的。應用類型多、新增應用數量大、速度快是一個方面，需要不定時的對安全策略進行調整又是另外一個方面，這就導致了安全策略的復雜程度更高。而把防火墻業務辦卡直接配置在核心交換機S12508上，就很好地解決了這個問題。快速配置、管理簡單是其突出優點。

　　虛擬化的好處

　　“我們的虛擬化工作是逐步做的。從去年開始，采購來的服務器都進行了虛擬化，從物理數量上來看占20％左右，但是從具體應用數量的比例上來看卻遠遠不止于此。”沈主任對虛擬化相當推崇，這是由教育網絡應用的特點決定的：訪問密集度低，一臺服務器往往有足夠的處理能力對多種應用作出響應。而1：N虛擬化之后，在彈性擴展、業務遷移，以及新應用部署上都有明顯的優勢。同時，在管理上也更容易。他舉例說：“以我們常見的‘死機’問題為例，虛擬化之前需要工作人員去機房重啟。而在虛擬化之后，既可以選擇開啟軟件讓機器自動重啟，也可以由工作人員遠程登錄管理界面進行重啟的操作。這都有效地提升了工作效率。”

　　與服務器虛擬化后會在網絡端造成管理混亂的看法不同，沈主任對虛擬化的管理投了贊成票：“根據業務的服務對象把網絡分成了幾個部分，在管理上我們只需要考慮在哪個VLAN上進行操作就可以了，不用考慮到具體的服務器，更不用關心具體到哪個虛擬機，所以虛擬化給我們帶來的是網絡端更方便的管理。”

　　關于設備的故事

　　“我們在做流量控制的時候，曾經發生過一個小故事。”說起這個故事，需要對背景進行一下解釋。無錫教育城域網在最初IP地址分配的時候就考慮到日后擴展的問題，所以采用了不連續，但有一定規則的地址分配方式。而這種分配方式恰好與H3C的流量控制設備——ACG應用控制網關的調度算法一致。這件事情的發生概率非常非常低。但是這種一致性直接導致了一臺設備上的兩塊處理引擎只能使用一塊，性能遠遠達不到指標，流量稍大，網絡就不能用。“廠家技術人員上門來做了很多測試，很快就找到了癥結所在。而H3C解決問題的方案讓我們非常滿意。”再次談到這個故事的時候，沈主任的，心情非常好。“當時，H3C為我們量身定制，重寫了調度算法，重新開發了適用于我們網絡的ACC核心軟件。暑假結束前對設備升級，現在就可以正常運行了。”

　　在這個真實的故事最后，沈主任的一段評價讓我記憶頗深，“這樣的工作只有對客戶很重視的廠商才會做，不僅解決速度快，態度好，而且提供的解決方案充分考慮了客戶需求。作為用戶，我們只需要在檢查問題的時候提供配合，并不要求我們調整網絡架構來適應設備。而且整個過程是免費的。”