基于虛擬網(wǎng)絡(luò)的智慧校園上網(wǎng)解決方案

鄧華 周凱

摘要：隨著校園信息化建設(shè)的快速發(fā)展，將日新月異的互聯(lián)網(wǎng)、云計算等技術(shù)融入智慧校園建設(shè)成為教育信息化發(fā)展的主要方向?；诨ヂ?lián)網(wǎng)應(yīng)用中的第三方應(yīng)用授權(quán)登錄、云計算平臺中的虛擬網(wǎng)絡(luò)等技術(shù)，提出了基于虛擬網(wǎng)絡(luò)的智慧校園上網(wǎng)解決方案，對校園網(wǎng)的網(wǎng)絡(luò)建設(shè)、上網(wǎng)方式等進行了改進。

關(guān)鍵詞關(guān)鍵詞：智慧校園；虛擬網(wǎng)絡(luò)；VLAN；Web認證；微信

DOIDOI：10.11907/rjdk.161289

中圖分類號：TP393文獻標識碼：A文章編號文章編號：16727800（2016）007016103

0引言

自教育信息化十二五規(guī)劃中提出智慧校園概念以來，校園信息化建設(shè)不斷推進。隨著計算機技術(shù)的日新月異，如何將校園網(wǎng)建設(shè)與當下流行的物聯(lián)網(wǎng)、云計算等技術(shù)結(jié)合，構(gòu)建新一代的智慧校園，成為教育信息化發(fā)展的重要課題。

智慧校園是為廣大師生提供一個全面的智能感知環(huán)境和綜合信息服務(wù)平臺，為學校與外部世界提供一個相互交流和相互感知的接口。簡言之就是打造一個安全、穩(wěn)定、環(huán)保、節(jié)能的校園[1]。

本文運用微信掃碼、虛擬網(wǎng)絡(luò)等在物聯(lián)網(wǎng)、云計算中具有代表性的技術(shù)，提出了一種基于虛擬網(wǎng)絡(luò)的智慧校園上網(wǎng)解決方案，利用互聯(lián)網(wǎng)及現(xiàn)有數(shù)字化校園網(wǎng)環(huán)境對傳統(tǒng)的校園網(wǎng)撥號上網(wǎng)、網(wǎng)絡(luò)傳輸?shù)确绞阶鞒龈倪M，以期提供更加便捷、安全的信息化服務(wù)。

1虛擬網(wǎng)絡(luò)

虛擬網(wǎng)絡(luò)是一種包含至少部分是虛擬網(wǎng)絡(luò)鏈接的計算機網(wǎng)絡(luò)，VLAN是一種最常見的虛擬網(wǎng)絡(luò)形式，它的全稱是Virtual Local Area Network，即虛擬局域網(wǎng)。

IEEE于1999年頒布了以標準化VLAN實現(xiàn)方案的802.1Q協(xié)議標準草案。運用VLAN技術(shù)，管理員能夠根據(jù)實際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，或者把不同物理局域網(wǎng)的不同用戶邏輯地劃分成相同廣播域。在每個VLAN中都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分而不是從物理上劃分，所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點可知，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其它VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

采用VLAN技術(shù)進行網(wǎng)絡(luò)工作組劃分可突破共享網(wǎng)絡(luò)中地理位置的限制，大大提高網(wǎng)絡(luò)規(guī)劃和重組功能。如圖1所示，在同一個VLAN中的工作站，不論與哪個交換機連接，它們之間的通訊都好像在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，不會傳輸?shù)狡渌?VLAN中。

在校園網(wǎng)中采用VLAN組網(wǎng)，利用不同VLAN之間不能相互通訊的特性，可將不同用途的接入點（如教室、辦公室、實驗室等）劃分到不同的VLAN當中，從而增加不同接入點的安全性，避免產(chǎn)生大面積感染病毒、不必要的廣播風暴等網(wǎng)絡(luò)安全問題。

2上網(wǎng)方式改進

傳統(tǒng)的校園上網(wǎng)方式雖然也是自動化的，但由于需要用戶安裝額外客戶端，故需要針對不同的操作系統(tǒng)做適配，客戶端如有更新，則需通知所有用戶升級，較為繁瑣和碎片化。另外，這種方式的數(shù)據(jù)在校園網(wǎng)內(nèi)部傳輸中易被惡意監(jiān)聽，安全得不到保障。

為了解決這些問題，筆者采用Web認證[2]作為用戶身份驗證入口。該種方式不需要安裝客戶端軟件，用戶登錄流程如有變更只需要服務(wù)端更新即可，無需用戶參與，使用方便。在數(shù)據(jù)傳輸過程中為每個用戶創(chuàng)建專用VLAN，保證數(shù)據(jù)安全。

3智慧校園上網(wǎng)系統(tǒng)設(shè)計

將Web認證方式和虛擬網(wǎng)絡(luò)通道等技術(shù)整合，從而實現(xiàn)完整的基于虛擬網(wǎng)絡(luò)的上網(wǎng)解決方案。系統(tǒng)核心架構(gòu)分為6大模塊，分別是身份管理、認證模塊、訂閱管理、拓撲模塊、路由管理、指令代理。核心架構(gòu)與模塊間業(yè)務(wù)流程如圖2所示。計費管理、監(jiān)控管理、開放接口等功能都可根據(jù)實際需求逐步擴展。

3.1身份管理

本模塊用來接收用戶開通網(wǎng)絡(luò)申請。除了常規(guī)開通網(wǎng)絡(luò)申請環(huán)節(jié)，增加了微信賬號綁定流程，用于在身份驗證環(huán)節(jié)使用微信登錄[3]。微信綁定用戶上網(wǎng)賬號技術(shù)流程如下：①使用微信接口生成二維碼鏈接返回給前臺頁面，并建立場景值A(chǔ)與用戶的對應(yīng)關(guān)系；②管理員或業(yè)務(wù)審查員向用戶提供二維碼；③用戶掃描二維碼，并點擊關(guān)注微信公眾號（假如已關(guān)注，直接跳到④；④后臺接收微信服務(wù)器推送的場景值A(chǔ)；⑤后臺根據(jù)場景值A(chǔ)，查詢到對應(yīng)的用戶ID（依賴于①中建立的對應(yīng)關(guān)系）；⑥建立用戶userid與微信用戶openid的對應(yīng)關(guān)系；⑦推送“綁定成功”提示到微信客戶端；⑧通知前臺頁面綁定已完成，刷新頁面，并返回微信賬戶信息，完成綁定。

3.2認證模塊

本模塊以Web認證加微信授權(quán)登錄方式提供用戶上網(wǎng)身份驗證功能。流程如下：①用戶連接網(wǎng)絡(luò)；②認證系統(tǒng)通過Portal服務(wù)器返回認證頁面；③手機登錄微信，利用“掃一掃”功能掃描網(wǎng)頁上的二維碼；④手機掃描成功后，網(wǎng)頁上顯示“成功掃描，請在手機點擊確認以登錄”；⑤手機端點擊“登錄網(wǎng)頁版微信”，瀏覽器跳轉(zhuǎn)到授權(quán)回調(diào)URL；⑥通知網(wǎng)關(guān)對此用戶授權(quán)；⑦網(wǎng)關(guān)對此用戶授權(quán)，用戶設(shè)備可訪問網(wǎng)絡(luò)。

這種登錄方式的原理是：瀏覽器加載的認證頁面從服務(wù)端獲得一個唯一的、臨時的uid，通過長連接，客戶端掃描帶有此uid的二維碼后，從長連接中獲得客戶端上報給服務(wù)器的帳號信息。在客戶端點擊確認后，獲得服務(wù)器授信的令牌，隨后進行信息交互。 在超時、網(wǎng)絡(luò)斷開、其它設(shè)備上登錄后，此前獲得的令牌或丟失、或失效，對授權(quán)過程形成有效的安全防護。

3.3訂閱管理

本模塊是系統(tǒng)核心模塊，用來維護虛擬通道的生命周期，處理虛擬通道的創(chuàng)建、銷毀、時長、帶寬等要素[4]。在該模塊中可以查看所有用戶使用的虛擬通道，并對這些虛擬通道進行管理，用戶完成身份驗證后啟動本模塊。

計費功能可融入本模塊，或由本模塊擴展。

3.4拓撲模塊

本模塊是系統(tǒng)核心模塊，用來維護校園網(wǎng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，為路由計算提供數(shù)據(jù)。需要使用本系統(tǒng)開通網(wǎng)絡(luò)訪問的區(qū)域都須納入網(wǎng)絡(luò)拓撲結(jié)構(gòu)中。當實際網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時，管理員需要對已有拓撲結(jié)構(gòu)進行調(diào)整，或新增/移除設(shè)備、或更新設(shè)備信息/路由配置等。網(wǎng)絡(luò)中如有靜態(tài)路由也需要在本模塊中定義，否則路由計算可能出現(xiàn)異常。

3.5路由計算

當訂閱管理模塊中某一虛擬通道生命周期開啟時，即某一虛擬通道開始創(chuàng)建時，模塊會收到從用戶設(shè)備到目標網(wǎng)絡(luò)的路徑計算請求。此時會先從拓撲模塊獲取網(wǎng)絡(luò)結(jié)構(gòu)，根據(jù)路由計算規(guī)則計算出符合用戶要求的虛擬網(wǎng)絡(luò)通道路線，然后調(diào)用指令代理模塊，對相應(yīng)設(shè)備下發(fā)命令，完成整個虛擬通道的配置。這個虛擬通道實際上就是為用戶創(chuàng)建的專用VLAN。

本模塊支持靜態(tài)路由計算、全局遍歷搜索等方式計算路徑，動態(tài)路由的計算方法還在規(guī)劃中。

3.6指令代理

本模塊實際上是對規(guī)劃出的虛擬通道實現(xiàn)，也就是對若干設(shè)備的命令代理。在各級設(shè)備上配置相關(guān)VLAN指令，從而讓設(shè)備感知這條虛擬通道。

設(shè)備傳輸VLAN通道數(shù)據(jù)原理如下：

（1）接收數(shù)據(jù)。如果是Untagged數(shù)據(jù)，按照PVID打上tag然后尋找相同VLAN ID的端口轉(zhuǎn)發(fā)；如果是Tagged數(shù)據(jù)，VLAN ID在Tagged Port有定義時直接尋找相同VLAN ID的端口轉(zhuǎn)發(fā)，VLAN ID在Untagged Port有定義時去掉tag后尋找相同VLAN ID的端口轉(zhuǎn)發(fā)，否則丟棄。

（2）發(fā)送數(shù)據(jù)。如果是Untagged數(shù)據(jù)，按照PVID打上tag然后發(fā)出；如果是Tagged數(shù)據(jù)，VLAN ID在Tagged Port有定義時直接發(fā)出，VLAN ID在Untagged Port有定義時去掉tag后發(fā)出，否則丟棄。

這里通過示例來描述該原理，如圖3所示。圓圈表示交換機上的port（端口），port類型以標注的形式列出。

4結(jié)語

基于虛擬網(wǎng)絡(luò)的智慧校園上網(wǎng)解決方案，融合了多種先進技術(shù)，在校園網(wǎng)建設(shè)中有良好的使用前景和較高的前瞻性。筆者進行了小范圍的應(yīng)用測試，核心功能效果良好。若要進行大面積推廣，系統(tǒng)還有很多工作要做，比如構(gòu)建基礎(chǔ)信息數(shù)據(jù)庫、支持多種接入方式、更智能的路由計算規(guī)則、容災(zāi)預(yù)警等功能都要納入改進計劃中。

隨著教育信息化需求的不斷變化，更多的互聯(lián)網(wǎng)新技術(shù)、云計算等技術(shù)會融入到智慧校園建設(shè)。如何在追求智慧校園建設(shè)技術(shù)的同時，提高整體效率、改善用戶體驗、避免投資冗余，是后期在優(yōu)化系統(tǒng)架構(gòu)時需要重點考慮的。

參考文獻：

[1]程艷旗.浙江大學智慧型校園探索[EB/OL].http：//wenku.baidu.com/view/dfe4352c2af90242a895e5e9.html

[2]杜民.802.1 X和web/portal認證協(xié)同打造校園網(wǎng)認證系統(tǒng) [J].河南科技，2010（24）：104107.

[3]騰訊公司.微信公眾平臺開發(fā)者文檔[EB/OL]. http：//mp.weixin.qq.com/wiki/home/index.html

[4]ZHOU KAI.Ondemand transmission path providing system and method[M].US53455，2015.

責任編輯（責任編輯：杜能鋼）