鄧華 周凱
摘要:隨著校園信息化建設(shè)的快速發(fā)展,將日新月異的互聯(lián)網(wǎng)、云計算等技術(shù)融入智慧校園建設(shè)成為教育信息化發(fā)展的主要方向?;诨ヂ?lián)網(wǎng)應(yīng)用中的第三方應(yīng)用授權(quán)登錄、云計算平臺中的虛擬網(wǎng)絡(luò)等技術(shù),提出了基于虛擬網(wǎng)絡(luò)的智慧校園上網(wǎng)解決方案,對校園網(wǎng)的網(wǎng)絡(luò)建設(shè)、上網(wǎng)方式等進行了改進。
關(guān)鍵詞關(guān)鍵詞:智慧校園;虛擬網(wǎng)絡(luò);VLAN;Web認證;微信
DOIDOI:10.11907/rjdk.161289
中圖分類號:TP393文獻標識碼:A文章編號文章編號:16727800(2016)007016103
0引言
自教育信息化十二五規(guī)劃中提出智慧校園概念以來,校園信息化建設(shè)不斷推進。隨著計算機技術(shù)的日新月異,如何將校園網(wǎng)建設(shè)與當下流行的物聯(lián)網(wǎng)、云計算等技術(shù)結(jié)合,構(gòu)建新一代的智慧校園,成為教育信息化發(fā)展的重要課題。
智慧校園是為廣大師生提供一個全面的智能感知環(huán)境和綜合信息服務(wù)平臺,為學校與外部世界提供一個相互交流和相互感知的接口。簡言之就是打造一個安全、穩(wěn)定、環(huán)保、節(jié)能的校園[1]。
本文運用微信掃碼、虛擬網(wǎng)絡(luò)等在物聯(lián)網(wǎng)、云計算中具有代表性的技術(shù),提出了一種基于虛擬網(wǎng)絡(luò)的智慧校園上網(wǎng)解決方案,利用互聯(lián)網(wǎng)及現(xiàn)有數(shù)字化校園網(wǎng)環(huán)境對傳統(tǒng)的校園網(wǎng)撥號上網(wǎng)、網(wǎng)絡(luò)傳輸?shù)确绞阶鞒龈倪M,以期提供更加便捷、安全的信息化服務(wù)。
1虛擬網(wǎng)絡(luò)
虛擬網(wǎng)絡(luò)是一種包含至少部分是虛擬網(wǎng)絡(luò)鏈接的計算機網(wǎng)絡(luò),VLAN是一種最常見的虛擬網(wǎng)絡(luò)形式,它的全稱是Virtual Local Area Network,即虛擬局域網(wǎng)。
IEEE于1999年頒布了以標準化VLAN實現(xiàn)方案的802.1Q協(xié)議標準草案。運用VLAN技術(shù),管理員能夠根據(jù)實際應(yīng)用需求,把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域,或者把不同物理局域網(wǎng)的不同用戶邏輯地劃分成相同廣播域。在每個VLAN中都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分而不是從物理上劃分,所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中,即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點可知,一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其它VLAN中,從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
采用VLAN技術(shù)進行網(wǎng)絡(luò)工作組劃分可突破共享網(wǎng)絡(luò)中地理位置的限制,大大提高網(wǎng)絡(luò)規(guī)劃和重組功能。如圖1所示,在同一個VLAN中的工作站,不論與哪個交換機連接,它們之間的通訊都好像在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到,不會傳輸?shù)狡渌?VLAN中。
在校園網(wǎng)中采用VLAN組網(wǎng),利用不同VLAN之間不能相互通訊的特性,可將不同用途的接入點(如教室、辦公室、實驗室等)劃分到不同的VLAN當中,從而增加不同接入點的安全性,避免產(chǎn)生大面積感染病毒、不必要的廣播風暴等網(wǎng)絡(luò)安全問題。
2上網(wǎng)方式改進
傳統(tǒng)的校園上網(wǎng)方式雖然也是自動化的,但由于需要用戶安裝額外客戶端,故需要針對不同的操作系統(tǒng)做適配,客戶端如有更新,則需通知所有用戶升級,較為繁瑣和碎片化。另外,這種方式的數(shù)據(jù)在校園網(wǎng)內(nèi)部傳輸中易被惡意監(jiān)聽,安全得不到保障。
為了解決這些問題,筆者采用Web認證[2]作為用戶身份驗證入口。該種方式不需要安裝客戶端軟件,用戶登錄流程如有變更只需要服務(wù)端更新即可,無需用戶參與,使用方便。在數(shù)據(jù)傳輸過程中為每個用戶創(chuàng)建專用VLAN,保證數(shù)據(jù)安全。
3智慧校園上網(wǎng)系統(tǒng)設(shè)計
將Web認證方式和虛擬網(wǎng)絡(luò)通道等技術(shù)整合,從而實現(xiàn)完整的基于虛擬網(wǎng)絡(luò)的上網(wǎng)解決方案。系統(tǒng)核心架構(gòu)分為6大模塊,分別是身份管理、認證模塊、訂閱管理、拓撲模塊、路由管理、指令代理。核心架構(gòu)與模塊間業(yè)務(wù)流程如圖2所示。計費管理、監(jiān)控管理、開放接口等功能都可根據(jù)實際需求逐步擴展。
3.1身份管理
本模塊用來接收用戶開通網(wǎng)絡(luò)申請。除了常規(guī)開通網(wǎng)絡(luò)申請環(huán)節(jié),增加了微信賬號綁定流程,用于在身份驗證環(huán)節(jié)使用微信登錄[3]。微信綁定用戶上網(wǎng)賬號技術(shù)流程如下:①使用微信接口生成二維碼鏈接返回給前臺頁面,并建立場景值A(chǔ)與用戶的對應(yīng)關(guān)系;②管理員或業(yè)務(wù)審查員向用戶提供二維碼;③用戶掃描二維碼,并點擊關(guān)注微信公眾號(假如已關(guān)注,直接跳到④;④后臺接收微信服務(wù)器推送的場景值A(chǔ);⑤后臺根據(jù)場景值A(chǔ),查詢到對應(yīng)的用戶ID(依賴于①中建立的對應(yīng)關(guān)系);⑥建立用戶userid與微信用戶openid的對應(yīng)關(guān)系;⑦推送“綁定成功”提示到微信客戶端;⑧通知前臺頁面綁定已完成,刷新頁面,并返回微信賬戶信息,完成綁定。
3.2認證模塊
本模塊以Web認證加微信授權(quán)登錄方式提供用戶上網(wǎng)身份驗證功能。流程如下:①用戶連接網(wǎng)絡(luò);②認證系統(tǒng)通過Portal服務(wù)器返回認證頁面;③手機登錄微信,利用“掃一掃”功能掃描網(wǎng)頁上的二維碼;④手機掃描成功后,網(wǎng)頁上顯示“成功掃描,請在手機點擊確認以登錄”;⑤手機端點擊“登錄網(wǎng)頁版微信”,瀏覽器跳轉(zhuǎn)到授權(quán)回調(diào)URL;⑥通知網(wǎng)關(guān)對此用戶授權(quán);⑦網(wǎng)關(guān)對此用戶授權(quán),用戶設(shè)備可訪問網(wǎng)絡(luò)。
這種登錄方式的原理是:瀏覽器加載的認證頁面從服務(wù)端獲得一個唯一的、臨時的uid,通過長連接,客戶端掃描帶有此uid的二維碼后,從長連接中獲得客戶端上報給服務(wù)器的帳號信息。在客戶端點擊確認后,獲得服務(wù)器授信的令牌,隨后進行信息交互。 在超時、網(wǎng)絡(luò)斷開、其它設(shè)備上登錄后,此前獲得的令牌或丟失、或失效,對授權(quán)過程形成有效的安全防護。
3.3訂閱管理
本模塊是系統(tǒng)核心模塊,用來維護虛擬通道的生命周期,處理虛擬通道的創(chuàng)建、銷毀、時長、帶寬等要素[4]。在該模塊中可以查看所有用戶使用的虛擬通道,并對這些虛擬通道進行管理,用戶完成身份驗證后啟動本模塊。
計費功能可融入本模塊,或由本模塊擴展。
3.4拓撲模塊
本模塊是系統(tǒng)核心模塊,用來維護校園網(wǎng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu),為路由計算提供數(shù)據(jù)。需要使用本系統(tǒng)開通網(wǎng)絡(luò)訪問的區(qū)域都須納入網(wǎng)絡(luò)拓撲結(jié)構(gòu)中。當實際網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時,管理員需要對已有拓撲結(jié)構(gòu)進行調(diào)整,或新增/移除設(shè)備、或更新設(shè)備信息/路由配置等。網(wǎng)絡(luò)中如有靜態(tài)路由也需要在本模塊中定義,否則路由計算可能出現(xiàn)異常。
3.5路由計算
當訂閱管理模塊中某一虛擬通道生命周期開啟時,即某一虛擬通道開始創(chuàng)建時,模塊會收到從用戶設(shè)備到目標網(wǎng)絡(luò)的路徑計算請求。此時會先從拓撲模塊獲取網(wǎng)絡(luò)結(jié)構(gòu),根據(jù)路由計算規(guī)則計算出符合用戶要求的虛擬網(wǎng)絡(luò)通道路線,然后調(diào)用指令代理模塊,對相應(yīng)設(shè)備下發(fā)命令,完成整個虛擬通道的配置。這個虛擬通道實際上就是為用戶創(chuàng)建的專用VLAN。
本模塊支持靜態(tài)路由計算、全局遍歷搜索等方式計算路徑,動態(tài)路由的計算方法還在規(guī)劃中。
3.6指令代理
本模塊實際上是對規(guī)劃出的虛擬通道實現(xiàn),也就是對若干設(shè)備的命令代理。在各級設(shè)備上配置相關(guān)VLAN指令,從而讓設(shè)備感知這條虛擬通道。
設(shè)備傳輸VLAN通道數(shù)據(jù)原理如下:
(1)接收數(shù)據(jù)。如果是Untagged數(shù)據(jù),按照PVID打上tag然后尋找相同VLAN ID的端口轉(zhuǎn)發(fā);如果是Tagged數(shù)據(jù),VLAN ID在Tagged Port有定義時直接尋找相同VLAN ID的端口轉(zhuǎn)發(fā),VLAN ID在Untagged Port有定義時去掉tag后尋找相同VLAN ID的端口轉(zhuǎn)發(fā),否則丟棄。
(2)發(fā)送數(shù)據(jù)。如果是Untagged數(shù)據(jù),按照PVID打上tag然后發(fā)出;如果是Tagged數(shù)據(jù),VLAN ID在Tagged Port有定義時直接發(fā)出,VLAN ID在Untagged Port有定義時去掉tag后發(fā)出,否則丟棄。
這里通過示例來描述該原理,如圖3所示。圓圈表示交換機上的port(端口),port類型以標注的形式列出。
4結(jié)語
基于虛擬網(wǎng)絡(luò)的智慧校園上網(wǎng)解決方案,融合了多種先進技術(shù),在校園網(wǎng)建設(shè)中有良好的使用前景和較高的前瞻性。筆者進行了小范圍的應(yīng)用測試,核心功能效果良好。若要進行大面積推廣,系統(tǒng)還有很多工作要做,比如構(gòu)建基礎(chǔ)信息數(shù)據(jù)庫、支持多種接入方式、更智能的路由計算規(guī)則、容災(zāi)預(yù)警等功能都要納入改進計劃中。
隨著教育信息化需求的不斷變化,更多的互聯(lián)網(wǎng)新技術(shù)、云計算等技術(shù)會融入到智慧校園建設(shè)。如何在追求智慧校園建設(shè)技術(shù)的同時,提高整體效率、改善用戶體驗、避免投資冗余,是后期在優(yōu)化系統(tǒng)架構(gòu)時需要重點考慮的。
參考文獻:
[1]程艷旗.浙江大學智慧型校園探索[EB/OL].http://wenku.baidu.com/view/dfe4352c2af90242a895e5e9.html
[2]杜民.802.1 X和web/portal認證協(xié)同打造校園網(wǎng)認證系統(tǒng) [J].河南科技,2010(24):104107.
[3]騰訊公司.微信公眾平臺開發(fā)者文檔[EB/OL]. http://mp.weixin.qq.com/wiki/home/index.html
[4]ZHOU KAI.Ondemand transmission path providing system and method[M].US53455,2015.
責任編輯(責任編輯:杜能鋼)