面向高校远程教育资源共享新发展的VPN组网技术研究
宋澳华 胡曦明 李鹏 马苗
摘要:本文面向《中国教育现代化2035》战略规划,深入分析发现东西部高校对口支援、高校区域集群协同化和高校联盟教育资源共建共享正在将远程教育资源共享推向新的发展阶段。在此基础上,作者提出了“L2TP VPN+Radius”组网的设计方案,相比于传统VPN组网技术。该方案可以解决统一安全认证基础上的远程跨域互访,通过仿真实验表明该方案可有效实现教育资源跨域受控共享,为发展公平而有质量的高等教育提供技术支撑。
关键词:远程教育;虚拟专用网;用户认证;组网技术
中图分类号:TP393? 文献标识码:A? 论文编号:1674-2117(2020)18-0000-06
● 引言
2019年2月,中共中央、国务院印发《中国教育现代化2035》[1],明确提出“着力提高教育质量,促进教育公平”,发展公平而有质量的教育因而成为全面深化教育事业改革的时代主题,我国远程教育教学现代化面临创新发展的新机遇和新挑战。如何以信息网络技术创新实现在保障信息安全和保护知识产权的基础上,突破信息跨域受控共享的壁垒,进而最大限度地消除知识共建共享普及化发展过程中存在的用户认证、权限管理、信息不对称等关键问题,构建起安全受控的新型融合式教育资源共享网络是远程教育教学研究领域需要聚焦的重点和难点。
● 高校远程教育资源共享新发展
1.东西部高校对口支援
作为国家层面推进高等教育均衡可持续发展和教育公平的重要改革举措,东西部高校对口支援计划自2001年《教育部关于实施“对口支援西部地区高等学校计划”的通知》正式启动[2],到2019年中共中央、国务院印发《中国教育现代化2035》明确提出“完善区域教育发展协作机制和教育对口支援机制,深入实施东西部协作”,经过近二十年的持续探索实践和不断深化,其对口支援的理念和模式已从初期的资金、物质从东到西简单“输血”向以扶持知识、智力和科技等软实力提升为首要的“造血”转变。[3]例如,清华大学与青海大学的对口支援形式正在从早期选派知名学者、专家团异地挂职实施阶段性帮扶向建立基于信息网络开放优质教育资源和科技创新创业双向互动协作的长效机制转变[4];中山大学对新疆、西藏、湖南等中西部地区受援高校的帮扶从初期抽调本校优质师资赴受援地开展短期讲学[5]、不定期学术交流等“脉冲式”支援项目向基于远程在线的优质课程开放和本地师资培养等长期可持续发展模式转变。[6]当需要调度第三方教育资源时,就需要在公网构建专有资源传输信道的基础上,实现异地跨域访问授权控制。
2.高校区域集群协同化发展
高等教育区域性发展中存在的不协调和不平衡是新时代高水平本科教育建设关注的重要问题之一。[7]針对如何落实高等教育公平发展,教育部部长陈宝生在2018年6月召开的新时代全国高等学校本科教育工作会议上的讲话中首次提出要“充分发挥高等教育集群发展的集聚-溢出效应”,并明确了分别以成都、西安、兰州和重庆、成都、西安为支点发展西北和西南两大高校集群。[8]
城市群教育和科创平台的建立对突破传统壁垒实现跨域平台交流提出了新的应用需求。例如,如图1所示,城市A、B、C是三大城市高校集群,因集群高校间的地理优势,城市内部高校之间可进行优质课程共享、科创项目交流以及特色教育互动培养等协同化活动。为了更大范围、更高水平地开放共享优质教育资源,就需要突破地理位置的限制,在城市群之上构建教育和科创大平台,如环形箭头所示,基于平台共享,可将城市内部高校集群之间的交流共享拓展到城市间的大集群之上,实现跨地域的人才培养、科技创新,以及教育互动等活动。当各高校需要通过平台互访时,就需要基于新型组网来实现安全受控的跨域教育资源交流共享。
3.高校联盟教育资源共建共享
随着新形势下高校间基于优质教育资源共享的人才培养协作化发展趋势愈发明显[9],高校联盟也在不断拓展深化自身的教育功能和合作模式。2018年教育部发布的《关于加快建设高水平本科教育,全面提高人才培养能力的意见》明确提出“要推进现代信息技术与教育教学深度融合,构建全方位全过程深融合的协同育人新机制[10],基于网络信息技术支撑的开放化、细分化和轻量级的人才培养合作项目成为新时代高校联盟的新发展”。例如,2017年5月陕西师范大学、西北大学、西安外国语大学等5所陕西高校组成“长安联盟”[11],专门针对课程教学这一细分领域,以线上+线下相结合的运作模式实现优质资源的共建共享,为大规模在校本科生提供跨校课程共享和校际学分互认,以教育信息化推动高校间优质办学资源的精准协同。
● 基于“L2TP VPN+Radius”的组网设计
综上所述,东西部高校对口支援、高校集群和高校联盟教育资源共建共享协同化发展的教育资源共享等新型高校远程教育资源共享的典型场景都存在远程访问基础上实现跨域互访和统一安全认证的关键性技术难题。就此而言,当前教育行业普遍采用的虚拟专用网络MPLS VPN[12]、IPSec VPN[13]等传统VPN技术不能够动态分配跨域访问权限,难以突破教育资源共建共享普及化过程中存在的用户认证、权限管理、信息不对称等关键性技术,为此本文针对高校新型远程教育应用场景需求提出切实可行的VPN组网解决方案——基于“L2TP VPN+Radius”组网。
从数据网络组网设计的层面来审视上述东西部高校对口支援、高校集群协同化发展的教育资源共享和高校联盟教育资源共建共享三种新型高校远程教育资源共享的典型场景(如图1),可以基于“L2TP VPN+Radius”组网技术对照三种场景构建出典型组网方案。具体设计方案如图2所示,将对口帮扶高校组合、某区域高校集群与同一高校联盟分别划分在同一VPN之下。
当跨域用户想要获取其他区域的资源或在区域间实现信息交互等跨区域访问活动时,就需要经过如下过程:
(1)L2TP VPN隧道建立:首先在Radius服务器中注册该用户的用户名、口令、密码等认证信息,然后跨域用户利用已注册的用户名和密码通过路径①向VPN网关发起L2TP VPN隧道建立请求。
(2)Radius服务器认证:VPN网关作为Radius客户端利用用户名、密码等认证信息和端口标识通过路径②产生跨域访问接入请求并发送给Radius服务器。
(3)跨域虚接口分配:Radius服务器会根据访问请求包中的用户名来查找数据库是否有相同的数据与此匹配。[19]待上述访问请求通过认证后,Radius服务器再根据已配置的用户所属跨域目标访问组分配虚接口,此后跨域用户便可通过该虚接口转接实现访问路径的跨域跳转。
可以看到,该方案通过L2TP VPN隧道在实现用户远程访问资源的基础上,采用Radius服务器对跨域用户在本域内和跨域间的资源访问进行统一的认证、授权、计费和配置等安全控制,从而为域内和域间教育资源共建共享过程的信息安全保障和知识产权保护提供了切实可行的组网设计途径。
● 组网方案的仿真实验
为实际验证、测试组网方案的功能与性能,采用H3C Cloud Lab平台对“L2TP VPN+Radius”组网设计进行仿真实验。H3C Cloud Lab是网络仿真平台,实验首先在该平台中通过虚拟网络设备进行组网,然后将平台与外置Radius服务器实现交互,进而搭建出完整的仿真环境开展实验。
1.实验拓扑
实验拓扑如下页图3所示,对口帮扶高校组合、某区域高校集群与同一高校联盟属于同一个VPN域,选取VPN2中的跨域用户对VPN1资源发起访问,以验证“L2TP VPN+Radius”组网方案实现教育资源跨共享的设计目标。
2.关键技术实现
RTF路由器既作为L2TP VPN隧道的LNS来接收客户端请求,又作为Radius服务器访问机制中的NAS来提供接入和交互服务,主要配置与操作如下。
(1)L2TP VPN隧道
图3所示的跨域用户向设备RTF发起L2TP隧道建立请求,RTF作为LNS来处理隧道建立请求,从而建立起跨域访问的VPN隧道,主要配置操作如表1所示。
跨域用户作为L2TP VPN客户端需要将本机IP地址配置为与RTF相连接口GE_0/0在同一网段,并将网关指向该接口。当客户端需要使用VPN连接时,需要将本机网络配置属性中工作区的地址更新为跨域用户主机的网关地址,利用预设的L2TP VPN用户名和密码进行验证即可连接RTF,从而建立起L2TP VPN隧道。
(2)Radius用户认证
在跨域访问过程中,不仅需要构建L2TP VPN隧道作为传输通道,还需要对资源访问进行安全认证。将Radius服务器与L2TP VPN隧道中的LNS连接,使得RTF 既作为隧道LNS,又作为Radius的NAS提供安全认证管理,主要配置操作如表2所示。
3.功能验证与性能测试
(1)L2TP VPN隧道连通性测试
从RTF的GE_0/0接口(地址1.1.1.1)抓取报文,跨域用户(地址1.1.1.2)发起隧道建立请求,发送用户名user@abc.com和密码hello。可以看到L2TP VPN隧道已经在跨域用户与RTF之间连通,建立过程如下页图4所示。
(2)Radius用户管理
Radius服务器的种类有很多,如在网络设备管理中常用的TekRadius[15]、在高校图书馆用户认证中常用的FreeRadius[16]、在电信平台常用的WinRadius,这三种认证服务器性能对比分析如表3所示。
TekRadius适用于Windows环境,并且能够有效控制账号在线数。该软件需要在相应的数据库(以SQL Server 2005为例)连接下进行使用。首先,开启SQL Server 2005后,在TekRadius的Settings目录下,选择DB Connection进行数据库连接,当界面显示“SQL? connection successful”则表示连接成功,即可进行用户信息的输入和认证。接下来,在TekRadius的Groups目录下增添新的组别“vpn1”,并将用户user放入vpn1的组别之下,从而实现用户的分组管理,如图5所示。
(3)跨域VPN访问的动态认证
VPN2中的用户实现对VPN1的跨域访问流程如下页图6所示。
①在Radius服务器上新建Client和User的认证账户,Client即为Radius服务器的客户端,User即需要访问VPN1的用户。
②跨域用户以认证账户的用户名和密码通过拨号方式向設备RTF发起L2TP VPN隧道建立请求;设备RTF接收到请求后,会建立相应虚接口;随后Radius服务器利用存储的数据库信息检查用户名和口令。
③如果该用户的信息匹配,Radius服务器会向RTF反馈认证成功。设备RTF根据该用户的后缀名将虚接口转移到VPN1中,待用户接收到反馈信息后,便可以与设备RTF建立L2TP VPN隧道,从而访问VPN1中的信息。
● 总结
发展公平而有质量的高等教育需要以现代网络与信息化技术为支撑,重点突破优质教育资源共享过程中面临的安全性和开放性问题。笔者提出了“L2TP VPN+Radius”组网的设计方案,可以满足东西部高校对口支援、高校联盟教育资源共建共享和高校集群协同化发展等新应用场景下教育资源共享对VPN隧道搭建、用户认证和权限管理等相关技术需求。仿真实验表明该方案具有组网灵活、结构简捷和安全可控的优点,为面向未来的高等教育远程资源共享提供了切实可行的途径。
参考文献:
[1]中共中央国务院印发《中国教育现代化2035》[J].人民教育,2019(05):7-10.
[2]解群.中国高校对口支援政策分析[D].上海:华东师范大学,2012.
[3]王学男,江长州.教育援藏:从“单打独斗式”向“组团式”支援转变[J].人民教育,2019(01):35-37.
[4]张怀英,黄昕,蒋辉.对口支援西部高校的典型模式与运行机制[J].教育现代化,2019,6(45):104-106.
[5]徐姗姗,羌洲.新时期教育扶贫模式的重大创新:“组团式”教育人才援藏[J].中国藏学,2018(03):134-144.
[6]王克,田宇,何梓燕.对口支援整体性与受援高校人才培养质量体系建设[J].教育教学论坛,2019(50):74-75.
[7]向飞,向青果.利用信息技术促进区域学校教育资源均衡化的途径浅析[J].中国信息技术教育,2015(22):142-144.
[8]陈宝生.在新时代全国高等学校本科教育工作会议上的讲话[J].中国高等教育,2018(Z3):4-10.
[9]程婷婷.加强高校信息化建设促进高校教育内涵式发展[J].中国信息技术教育,2014(08):1.
[10] 教育部.教育部关于加快建设高水平本科教育全面提高人才培养能力的意见.[EB/OL]http://www.moe.gov.cn/srcsite/A08/s7056/201810/t20181017_351887.html,2018-10-8.
[11] 任小朋,杨希.陕西省五所高校共建“长安联盟”[J].陕西教育:高教,2017(06):80.
[12] I. Martinez-Yelmo, D. Larrabeiti, I. Soto and P. Pacyna, "Multicast traffic aggregation in MPLS-based VPN networks," in IEEE Communications Magazine, vol. 45, no. 10, pp. 78-85, October 2007.
[13] 王霞俊.基于H3C HCL的IPSec VPN实验设计与仿真[J].实验室研究与探索,2018,37(03):118-121.
[14] 徐波,张勤慧.基于802.1x协议的Radius认证原理及分析[J].计算机与现代化,2012(06):106-108.
[15] 巫俊峰.应用TekRADIUS零成本构建网络设备统一认证系统[J].电信技术,2012(08):25-29.
[16] 王政军,俞小怡,金玉玲.利用开源软件FreeRADIUS构建图书馆统一认证平台的研究与实现[J].现代情报,2016,36(05):104-109+127.
作者简介:宋澳华(1999.11—),第一作者,女,河北沧州人,陕西师范大学计算机科学学院创新实验班本科生;胡曦明(1978.9—),通讯作者,男,四川南充人,博士,讲师,教育硕士导师,主要研究领域为智慧教育、计算机教育;李鹏(1981.11—),男,陕西扶风人,博士,副教授,硕导,现任陕西师范大学计算机科学学院教学副院长,主要研究领域:移动计算、教育信息化,lipeng@snnu.edu.cn;马苗(1977.4—)女,漢族,山东聊城人,博士,教授,博导,现任陕西师范大学计算机科学学院科研副院长,主要研究领域为数据处理、智能系统等。
基金项目:国家自然科学基金项目“基于移动社会网络的校园协作学习交互与微视频扩散关键技术研究”(61877037);中央高校基本科研业务费专项资金资助项目“面向教育云的数据中心网络关键技术研究”(GK201503065);陕西师范大学2020年教师教学模式创新与实践研究专项基金项目“金课导向下计算机网络协议课程体验式教学改革与实践”(JSJX2020Z28);陕西师范大学2019年教师教学模式创新与实践研究专项基金项目“人工智能背景下《深度学习》实践教学探索与创新”(JSJX2019Z47)。