经典案例   Case
最新资讯   New
Array Networks. . .
联系我们   Contact

地址:广州市天河区天河北路725号东方之珠花园G座1102

邮编:510630

联系人:刘小姐

联系电话:020-38904030 18922213910

传   真:020-87593770

邮箱: liuln@pytech.com.cn

网址:www.pytech.com.cn



搜索   Search
你的位置:首页 > 经典案例 > 教育行业

Array Networks 在上海大学的应用

2014/10/14 17:31:44      点击:1264

Array Networks 在上海大学的应用

客户名称:

上海大学

行业:

教育高效

应用类型

数字图书馆、校务系统、OA、无线网络接入、学校网站

产品

Array TMX SPX

 

 

摘要

 

上海大学是国家211工程重点建设高校之一。其对校园网建设非常重视,信息化建设也走在高校信息化前沿。目前其校务系统、OA系统建设已初具规模,但远程的安全访问是一个噬需解决的问题。数字图书馆系统已经为广大师生广泛使用,但依然存在师生不在校园网内部如何访问的问题。其次,校园内部建设了无线上网系统,采用WLAN方式方便接入,但用户上网认证控制和计费需要解决。最后,上海大学的外部网站系统需要解决多台服务器负载均衡问题,同时,由于校园网和外界的接口有中国移动CMNET提供的链路和教育网链路两种,如何将访问流量合理分担在这两条不同的链路也需要优化。

 

通过部署Array SSL VPN设备SPX5000和流量管理设备TMX3000可以很好的满足上述需求。通过SSL VPN的L3VPN功能,师生在校园网外面依然可以访问数字图书馆系统,并提供无线WLAN上网的认证控制和计费管理。学校管理人员、教师可以通过SSL VPN访问校务系统和OA系统,方便快捷。通过TMX3000设备完成WEB服务器的负载均衡,同时将外部不同ISP的访问流量合理分配,使通过不同的ISP链路访问的流量仍然从原链路返回,使用户访问的路径最优,响应最快。

 

上海大学应用及需求介绍

 

1)     数字图书馆远程安全访问

校园数字图书馆系统已初具规模,首先,上海大学将自身馆藏书籍数字化;其次与商业化合作购买阅览版权,如国内期刊;最后,与海外数字图书馆的连接,向国外商业图书馆交纳版板费,获得更多珍藏文献资料的浏览权;校外的数字图书馆系统访问需要大学统一付费。上海大学将数字化图书馆数据与校园网共享,让校内外师生都能方便查询各种电子文献资料。这是以教育信息化面向师生应用较为广泛应用之一。

 

校园数字图书馆面对的用户群是本校师生,再就是校外的移动授权用户,比如师生在家的访问问题随之产生,尤其是涉及到访问国外的图书馆。如为了保证数据信息的知识产权,浏览者必须是已缴纳版权费的本校内网地址。但是,数字图书馆的应用必须拓展接入范围,方便广大师生浏览,而与国外图书馆的合作却是限制了外网接入,只能保证校内IP地址的应用。因此,要解决网络化应用,拓展数字图书馆的接入范围,就必须通过一种VPN的方式,将校外移动用户逻辑上接入校园网,通过分配校内虚拟地址访问校外图书馆。在真正意义上达到随时、随地、随需访问查询。

2)     校务系统、办公自动化系统校外安全访问

随着教育信息化的应用逐渐规模化,上海大学的校务系统、办公自动化系统发展迅速,如网上排课系统、学校公告发布、邮件系统等都是典型的应用。上海大学的办公系统是基于Lotus Notes开发的系统,是一种典型的应用结构。如果校务管理人员和教师不在校园网内,就出现了一个安全访问的问题,如何提供一个提供数据加密、认证授权机制,同时又是安全方便、快捷的VPN通道访问就显得非常关键了。

 

3)     WLAN接入管理

WLAN无线接入已经成为广泛采用的网络接入手段,上海大学为了广大师生方便上网,提供了WLAN接入。但WLAN的接入管理控制是一个比较复杂的课题,上海大学迫切需要一个系统能够对接入的客户进行认证管理、权限管理,尤其是能够对出校园网的流量进行管理控制和计费。城市热点计费系统为上海大学提供了接入认证和计费平台,这就需要VPN系统能够和其Radius系统很好的结合,完成Radius的认证和计费。对师生的接入进行管理。

 

 

4)     多链路ISP校园主页访问管理优化

随着学校信息发布系统,如学校主页、各个学院的主页等的丰富和发展,越来越多的互联网用户(包括CERNET用户和CMNet用户)将通过校园网出口链路访问学校内部的信息系统。上海大学学校网络有两条Internet接入,一条通过学校比较普遍的接入教育网-Cernet,另一条通过中国移动链路,这样,多链路解决方案来避免Internet接入中断所造成的损失。

 

当校园网两条出口链路分别连接到CMNetCERNET以实现内容发布功能时,为了提高对用户访问的响应速度,希望能够根据用户发起访问的源IP地址的不同让用户通过不同的链路进行接入访问,即从CERNET发起访问的用户从校园网教育网链路访问到校园网内部的服务器,从CMNet发起访问的用户直接通过校园网CMNet专线链路访问到校园网内部的服务器。

 

5)     校园信息平台WEB服务器负载均衡

由于上海大学有多达15台的Web服务器设备提供主页浏览,迫切需要负载均衡设备进行流量管理,不但可以检测服务器的状况,最好还能有相关技术实现应用加速。这样可以保障Web服务的高可用性。

 

 

Array 的解决方案

 

针对以上上海大学的网络状况和信息化需求,Array 提供了统一的解决方案,部署了Array 的TMX3000和SPX5000设备。其中TMX3000完成链路管理和服务器负载均衡,SPX5000完成SSL VPN服务,提供数字化图书管、无线上网管理、远程校务系统以及办公自动化系统接入。

如下图:

 

 


 

1)     SSL VPN功能模块L3VPN实现数字图书馆的接入

 

通过部署Array SSL VPN网关SPX5000,大学师生从校外公网接入需经过SSL VPN的认证和授权,只有经过认证和授权的用户才能使用接入SSL VPN,保障了本校授权人员的使用。客户登陆后会分配一个虚拟的网卡,此网卡地址为SSL VPN网关分配的,其地址体系是校内的统一地址体系。这些IP地址是允许访问校内外数字图书馆的IP地址。这样通过SSL VPN隧道从公网也能够顺利访问数字图书馆,突破了校外图书馆对于本校IP地址的限制。

 

这样,经过授权的外网用户,无论是通过电信、还是移动等接入ISP,还是其他运营商上网用户,通过SSL VPN接入技术,远程登陆VPN 网关设备,通过SSL VPN隧道建立,接入校园网内。这时,这台机器就好像已经直接连到校园网内了。无论是访问校内,还是校外数字图书馆,都不会再有限制了。在此,外网移动用户便可随需选择国外合作馆藏进行自由查阅。

 

其过程如下图:

2)     通过SSL VPN公网远程访问校务系统,办公系统

 

Array 的SSL VPN网关设备单台设备可以部署多个SSL VPN门户,上面我们已经为数字图书馆部署了一个门户,具有自己单独的门户域名和IP地址。我们同样为办公系统分配一个SSL VPN门户,同样具有自己的域名和IP地址。这正是Array的Virtualization技术。这样,两个门户的用户认证系统不同,分配的IP地址不同,允许访问的IP地址也不同,可以完全将两种应用区分开来。

 

使用SSL VPN接入的师生,只需要登陆此SSL VPN门户,经过认证和授权,即会打开L3VPN通道,通过此隧道访问校务系统,如排课系统等,或查看校内公布信息,收发EMAIL等办公任务。

 

另外,校园网的网络维护人员也可以通过SSL VPN隧道远程维护校园网的软硬件设备,尤其是在出现故障的情况下,网管维护人员可以马上接入,无论是在家,还是出差,都可以即时修复故障,保障校园信息化系统的稳定性工作。

 

3)     通过SSL VPN接入完成WLAN接入用户的管理控制和计费

 

接入WLAN的终端被导入到SSL VPN的门户上面进行认证,审计。这个门户是单独为WLAN接入分配的,不同于数字图书馆和OA系统的SSL VPN接入门户,它同样具有自己的域名和IP地址。其认证是和城市热点计费的Radius系统相结合的。即用户登陆时,SSL VPN网关SPX5000会将用户名、密码等信息通过Radius协议提交给Radius服务器进行认证,进而决定用户接入是否允许。同时,SPX5000还会将用户何时登陆、退出提交给Radius服务器进行计费。同时,SSL VPN还可以控制WLAN接入用户的访问权限,允许或禁止访问某些网段,是否可以访问公网等接入控制。

 

4)     通过TMX3000GSLB功能完成校园主页访问的链路流量分配

 

Array 的TMX3000具有GSLB功能,其实现模块为SDNS功能模块,即通过Smart DNS功能实现根据用户所处网络不同,使用户通过不同链路访问内部网资源。

 

当校园网两条出口链路分别连接到CMNet和CERNET以实现内容发布功能时,为了提高对用户访问的响应速度,上海大学希望能够根据用户发起访问的源IP地址的不同让用户通过不同的链路进行接入访问,即从CERNET发起访问的用户从校园网教育网链路访问到校园网内部的服务器,从非教育网发起访问的用户直接通过校园网CMNet专线链路访问到校园网内部的服务器。

 

通过Array TM产品SDNS功能的应用,能够在用户基于域名访问校园网的Web应用时,自动判断访问用户是从哪个网络发起的访问请求,并进行智能域名解析功能实现,从而根据用户所处的网络是CERNET还是非教育网网络,智能返还给用户相应的域名解析结果IP,使用户能够通过最优的链路访问校园应用系统。在保证了访问速度的同时,充分利用了校园网的链路。

 

5)     通过TMX3000SLB功能完成多台Web服务器的负载分担

 

通过一个CMNet公网IP,面向公网访问请求,提供学校几十台不同域名的web应用访问和服务器负载分担。校园网的一个主要特点是CERNET链路合法IP充足而CMNet链路合法IP非常紧张、有限,如何通过有限的CMNet网段的合法IP地址(如一个)满足校园网内部几十台Web服务器的应用要求,将成为校园网站建设中的一个重要课题。

 

通过Array TMX3000产品中的服务器负载均衡功能,能够解决这个问题,并满足校园网内容发布应用需求。可以仅通过一个合法IP地址,来响应用户对校园网内部几十台甚至上百台Web服务器的访问请求,在只有一个CMNet网络合法IP地址的情况下,对不同的域名访问请求进行智能判断和负载分担,极大的节省了对合法IP地址的占用,同时结合TMX产品连接复用功能、连接共享池功能的应用,能够为用户的访问请求加速,对外网访问请求提供更优服务质量,更好的保障了校园网Web服务。实现对应用服务器的负载分担功能,能够使后台每个服务器都充分的发挥其功效,实现总的应用处理能力等于N台服务器处理能力的总和。

 

Array TMX服务器负载均衡功能高可用性,同时也是确保应用系统正常运行所需考虑的,使数据始终以一个稳定、安全的方式处理,在应用系统平台中,即便存在单台设备不能提供服务时,仍能保持信息发布的可用性。通过智能识别检查,使整体应用持续稳定运行,即便发生单点或多点故障仍然能够保证正常提供服务。

 

而当其中的任何一台或几台应用服务器需要离线进行维护或出现故障时,Array TMX设备能够通过预先配置的多种智能健康检查机制,及时发现不能正常处理应用的应用服务器,并将接下来的用户访问请求发送到其它能够正常处理的应用的服务器上,从而避免了由于某台服务器的故障影响整个业务的提供,保证应用业务的高可用性。