面向高校遠程教育資源共享新發展的VPN組網技術研究

宋澳華 胡曦明 李鵬 馬苗

摘要：本文面向《中國教育現代化2035》戰略規劃，深入分析發現東西部高校對口支援、高校區域集群協同化和高校聯盟教育資源共建共享正在將遠程教育資源共享推向新的發展階段。在此基礎上，作者提出了“L2TP VPN+Radius”組網的設計方案，相比于傳統VPN組網技術。該方案可以解決統一安全認證基礎上的遠程跨域互訪，通過仿真實驗表明該方案可有效實現教育資源跨域受控共享，為發展公平而有質量的高等教育提供技術支撐。

關鍵詞：遠程教育;虛擬專用網;用戶認證;組網技術

中圖分類號：TP393? 文獻標識碼：A? 論文編號：1674-2117（2020）18-0000-06

● 引言

2019年2月，中共中央、國務院印發《中國教育現代化2035》[1]，明確提出“著力提高教育質量，促進教育公平”，發展公平而有質量的教育因而成為全面深化教育事業改革的時代主題，我國遠程教育教學現代化面臨創新發展的新機遇和新挑戰。如何以信息網絡技術創新實現在保障信息安全和保護知識產權的基礎上，突破信息跨域受控共享的壁壘，進而最大限度地消除知識共建共享普及化發展過程中存在的用戶認證、權限管理、信息不對稱等關鍵問題，構建起安全受控的新型融合式教育資源共享網絡是遠程教育教學研究領域需要聚焦的重點和難點。

● 高校遠程教育資源共享新發展

1.東西部高校對口支援

作為國家層面推進高等教育均衡可持續發展和教育公平的重要改革舉措，東西部高校對口支援計劃自2001年《教育部關于實施“對口支援西部地區高等學校計劃”的通知》正式啟動[2]，到2019年中共中央、國務院印發《中國教育現代化2035》明確提出“完善區域教育發展協作機制和教育對口支援機制，深入實施東西部協作”，經過近二十年的持續探索實踐和不斷深化，其對口支援的理念和模式已從初期的資金、物質從東到西簡單“輸血”向以扶持知識、智力和科技等軟實力提升為首要的“造血”轉變。[3]例如，清華大學與青海大學的對口支援形式正在從早期選派知名學者、專家團異地掛職實施階段性幫扶向建立基于信息網絡開放優質教育資源和科技創新創業雙向互動協作的長效機制轉變[4];中山大學對新疆、西藏、湖南等中西部地區受援高校的幫扶從初期抽調本校優質師資赴受援地開展短期講學[5]、不定期學術交流等“脈沖式”支援項目向基于遠程在線的優質課程開放和本地師資培養等長期可持續發展模式轉變。[6]當需要調度第三方教育資源時，就需要在公網構建專有資源傳輸信道的基礎上，實現異地跨域訪問授權控制。

2.高校區域集群協同化發展

高等教育區域性發展中存在的不協調和不平衡是新時代高水平本科教育建設關注的重要問題之一。[7]針對如何落實高等教育公平發展，教育部部長陳寶生在2018年6月召開的新時代全國高等學校本科教育工作會議上的講話中首次提出要“充分發揮高等教育集群發展的集聚-溢出效應”，并明確了分別以成都、西安、蘭州和重慶、成都、西安為支點發展西北和西南兩大高校集群。[8]

城市群教育和科創平臺的建立對突破傳統壁壘實現跨域平臺交流提出了新的應用需求。例如，如圖1所示，城市A、B、C是三大城市高校集群，因集群高校間的地理優勢，城市內部高校之間可進行優質課程共享、科創項目交流以及特色教育互動培養等協同化活動。為了更大范圍、更高水平地開放共享優質教育資源，就需要突破地理位置的限制，在城市群之上構建教育和科創大平臺，如環形箭頭所示，基于平臺共享，可將城市內部高校集群之間的交流共享拓展到城市間的大集群之上，實現跨地域的人才培養、科技創新，以及教育互動等活動。當各高校需要通過平臺互訪時，就需要基于新型組網來實現安全受控的跨域教育資源交流共享。

3.高校聯盟教育資源共建共享

隨著新形勢下高校間基于優質教育資源共享的人才培養協作化發展趨勢愈發明顯[9]，高校聯盟也在不斷拓展深化自身的教育功能和合作模式。2018年教育部發布的《關于加快建設高水平本科教育，全面提高人才培養能力的意見》明確提出“要推進現代信息技術與教育教學深度融合，構建全方位全過程深融合的協同育人新機制[10]，基于網絡信息技術支撐的開放化、細分化和輕量級的人才培養合作項目成為新時代高校聯盟的新發展”。例如，2017年5月陜西師范大學、西北大學、西安外國語大學等5所陜西高校組成“長安聯盟”[11]，專門針對課程教學這一細分領域，以線上+線下相結合的運作模式實現優質資源的共建共享，為大規模在校本科生提供跨校課程共享和校際學分互認，以教育信息化推動高校間優質辦學資源的精準協同。

● 基于“L2TP VPN+Radius”的組網設計

綜上所述，東西部高校對口支援、高校集群和高校聯盟教育資源共建共享協同化發展的教育資源共享等新型高校遠程教育資源共享的典型場景都存在遠程訪問基礎上實現跨域互訪和統一安全認證的關鍵性技術難題。就此而言，當前教育行業普遍采用的虛擬專用網絡MPLS VPN[12]、IPSec VPN[13]等傳統VPN技術不能夠動態分配跨域訪問權限，難以突破教育資源共建共享普及化過程中存在的用戶認證、權限管理、信息不對稱等關鍵性技術，為此本文針對高校新型遠程教育應用場景需求提出切實可行的VPN組網解決方案——基于“L2TP VPN+Radius”組網。

從數據網絡組網設計的層面來審視上述東西部高校對口支援、高校集群協同化發展的教育資源共享和高校聯盟教育資源共建共享三種新型高校遠程教育資源共享的典型場景（如圖1），可以基于“L2TP VPN+Radius”組網技術對照三種場景構建出典型組網方案。具體設計方案如圖2所示，將對口幫扶高校組合、某區域高校集群與同一高校聯盟分別劃分在同一VPN之下。

當跨域用戶想要獲取其他區域的資源或在區域間實現信息交互等跨區域訪問活動時，就需要經過如下過程：

（1）L2TP VPN隧道建立：首先在Radius服務器中注冊該用戶的用戶名、口令、密碼等認證信息，然后跨域用戶利用已注冊的用戶名和密碼通過路徑①向VPN網關發起L2TP VPN隧道建立請求。

（2）Radius服務器認證：VPN網關作為Radius客戶端利用用戶名、密碼等認證信息和端口標識通過路徑②產生跨域訪問接入請求并發送給Radius服務器。

（3）跨域虛接口分配：Radius服務器會根據訪問請求包中的用戶名來查找數據庫是否有相同的數據與此匹配。[19]待上述訪問請求通過認證后，Radius服務器再根據已配置的用戶所屬跨域目標訪問組分配虛接口，此后跨域用戶便可通過該虛接口轉接實現訪問路徑的跨域跳轉。

可以看到，該方案通過L2TP VPN隧道在實現用戶遠程訪問資源的基礎上，采用Radius服務器對跨域用戶在本域內和跨域間的資源訪問進行統一的認證、授權、計費和配置等安全控制，從而為域內和域間教育資源共建共享過程的信息安全保障和知識產權保護提供了切實可行的組網設計途徑。

● 組網方案的仿真實驗

為實際驗證、測試組網方案的功能與性能，采用H3C Cloud Lab平臺對“L2TP VPN+Radius”組網設計進行仿真實驗。H3C Cloud Lab是網絡仿真平臺，實驗首先在該平臺中通過虛擬網絡設備進行組網，然后將平臺與外置Radius服務器實現交互，進而搭建出完整的仿真環境開展實驗。

1.實驗拓撲

實驗拓撲如下頁圖3所示，對口幫扶高校組合、某區域高校集群與同一高校聯盟屬于同一個VPN域，選取VPN2中的跨域用戶對VPN1資源發起訪問，以驗證“L2TP VPN+Radius”組網方案實現教育資源跨共享的設計目標。

2.關鍵技術實現

RTF路由器既作為L2TP VPN隧道的LNS來接收客戶端請求，又作為Radius服務器訪問機制中的NAS來提供接入和交互服務，主要配置與操作如下。

（1）L2TP VPN隧道

圖3所示的跨域用戶向設備RTF發起L2TP隧道建立請求，RTF作為LNS來處理隧道建立請求，從而建立起跨域訪問的VPN隧道，主要配置操作如表1所示。

跨域用戶作為L2TP VPN客戶端需要將本機IP地址配置為與RTF相連接口GE_0/0在同一網段，并將網關指向該接口。當客戶端需要使用VPN連接時，需要將本機網絡配置屬性中工作區的地址更新為跨域用戶主機的網關地址，利用預設的L2TP VPN用戶名和密碼進行驗證即可連接RTF，從而建立起L2TP VPN隧道。

（2）Radius用戶認證

在跨域訪問過程中，不僅需要構建L2TP VPN隧道作為傳輸通道，還需要對資源訪問進行安全認證。將Radius服務器與L2TP VPN隧道中的LNS連接，使得RTF 既作為隧道LNS，又作為Radius的NAS提供安全認證管理，主要配置操作如表2所示。

3.功能驗證與性能測試

（1）L2TP VPN隧道連通性測試

從RTF的GE_0/0接口（地址1.1.1.1）抓取報文，跨域用戶（地址1.1.1.2）發起隧道建立請求，發送用戶名user@abc.com和密碼hello。可以看到L2TP VPN隧道已經在跨域用戶與RTF之間連通，建立過程如下頁圖4所示。

（2）Radius用戶管理

Radius服務器的種類有很多，如在網絡設備管理中常用的TekRadius[15]、在高校圖書館用戶認證中常用的FreeRadius[16]、在電信平臺常用的WinRadius，這三種認證服務器性能對比分析如表3所示。

TekRadius適用于Windows環境，并且能夠有效控制賬號在線數。該軟件需要在相應的數據庫（以SQL Server 2005為例）連接下進行使用。首先，開啟SQL Server 2005后，在TekRadius的Settings目錄下，選擇DB Connection進行數據庫連接，當界面顯示“SQL? connection successful”則表示連接成功，即可進行用戶信息的輸入和認證。接下來，在TekRadius的Groups目錄下增添新的組別“vpn1”，并將用戶user放入vpn1的組別之下，從而實現用戶的分組管理，如圖5所示。

（3）跨域VPN訪問的動態認證

VPN2中的用戶實現對VPN1的跨域訪問流程如下頁圖6所示。

①在Radius服務器上新建Client和User的認證賬戶，Client即為Radius服務器的客戶端，User即需要訪問VPN1的用戶。

②跨域用戶以認證賬戶的用戶名和密碼通過撥號方式向設備RTF發起L2TP VPN隧道建立請求;設備RTF接收到請求后，會建立相應虛接口;隨后Radius服務器利用存儲的數據庫信息檢查用戶名和口令。

③如果該用戶的信息匹配，Radius服務器會向RTF反饋認證成功。設備RTF根據該用戶的后綴名將虛接口轉移到VPN1中，待用戶接收到反饋信息后，便可以與設備RTF建立L2TP VPN隧道，從而訪問VPN1中的信息。

● 總結

發展公平而有質量的高等教育需要以現代網絡與信息化技術為支撐，重點突破優質教育資源共享過程中面臨的安全性和開放性問題。筆者提出了“L2TP VPN+Radius”組網的設計方案，可以滿足東西部高校對口支援、高校聯盟教育資源共建共享和高校集群協同化發展等新應用場景下教育資源共享對VPN隧道搭建、用戶認證和權限管理等相關技術需求。仿真實驗表明該方案具有組網靈活、結構簡捷和安全可控的優點，為面向未來的高等教育遠程資源共享提供了切實可行的途徑。

參考文獻：

[1]中共中央國務院印發《中國教育現代化2035》[J].人民教育，2019（05）：7-10.

[2]解群.中國高校對口支援政策分析[D].上海：華東師范大學，2012.

[3]王學男，江長州.教育援藏：從“單打獨斗式”向“組團式”支援轉變[J].人民教育，2019（01）：35-37.

[4]張懷英，黃昕，蔣輝.對口支援西部高校的典型模式與運行機制[J].教育現代化，2019，6（45）：104-106.

[5]徐姍姍，羌洲.新時期教育扶貧模式的重大創新：“組團式”教育人才援藏[J].中國藏學，2018（03）：134-144.

[6]王克，田宇，何梓燕.對口支援整體性與受援高校人才培養質量體系建設[J].教育教學論壇，2019（50）：74-75.

[7]向飛，向青果.利用信息技術促進區域學校教育資源均衡化的途徑淺析[J].中國信息技術教育，2015（22）：142-144.

[8]陳寶生.在新時代全國高等學校本科教育工作會議上的講話[J].中國高等教育，2018（Z3）：4-10.

[9]程婷婷.加強高校信息化建設促進高校教育內涵式發展[J].中國信息技術教育，2014（08）：1.

[10] 教育部.教育部關于加快建設高水平本科教育全面提高人才培養能力的意見.[EB/OL]http：//www.moe.gov.cn/srcsite/A08/s7056/201810/t20181017_351887.html，2018-10-8.

[11] 任小朋，楊希.陜西省五所高校共建“長安聯盟”[J].陜西教育：高教，2017（06）：80.

[12] I. Martinez-Yelmo， D. Larrabeiti， I. Soto and P. Pacyna， "Multicast traffic aggregation in MPLS-based VPN networks，" in IEEE Communications Magazine， vol. 45， no. 10， pp. 78-85， October 2007.

[13] 王霞俊.基于H3C HCL的IPSec VPN實驗設計與仿真[J].實驗室研究與探索，2018，37（03）：118-121.

[14] 徐波，張勤慧.基于802.1x協議的Radius認證原理及分析[J].計算機與現代化，2012（06）：106-108.

[15] 巫俊峰.應用TekRADIUS零成本構建網絡設備統一認證系統[J].電信技術，2012（08）：25-29.

[16] 王政軍，俞小怡，金玉玲.利用開源軟件FreeRADIUS構建圖書館統一認證平臺的研究與實現[J].現代情報，2016，36（05）：104-109+127.

作者簡介：宋澳華（1999.11—），第一作者，女，河北滄州人，陜西師范大學計算機科學學院創新實驗班本科生;胡曦明（1978.9—），通訊作者，男，四川南充人，博士，講師，教育碩士導師，主要研究領域為智慧教育、計算機教育;李鵬（1981.11—），男，陜西扶風人，博士，副教授，碩導，現任陜西師范大學計算機科學學院教學副院長，主要研究領域：移動計算、教育信息化，lipeng@snnu.edu.cn;馬苗（1977.4—）女，漢族，山東聊城人，博士，教授，博導，現任陜西師范大學計算機科學學院科研副院長，主要研究領域為數據處理、智能系統等。

基金項目：國家自然科學基金項目“基于移動社會網絡的校園協作學習交互與微視頻擴散關鍵技術研究”（61877037）;中央高校基本科研業務費專項資金資助項目“面向教育云的數據中心網絡關鍵技術研究”（GK201503065）;陜西師范大學2020年教師教學模式創新與實踐研究專項基金項目“金課導向下計算機網絡協議課程體驗式教學改革與實踐”（JSJX2020Z28）;陜西師范大學2019年教師教學模式創新與實踐研究專項基金項目“人工智能背景下《深度學習》實踐教學探索與創新”（JSJX2019Z47）。