宋澳華 胡曦明 李鵬 馬苗

摘要：本文面向《中國教育現(xiàn)代化2035》戰(zhàn)略規(guī)劃，深入分析發(fā)現(xiàn)東西部高校對口支援、高校區(qū)域集群協(xié)同化和高校聯(lián)盟教育資源共建共享正在將遠程教育資源共享推向新的發(fā)展階段。在此基礎(chǔ)上，作者提出了“L2TP VPN+Radius”組網(wǎng)的設(shè)計方案，相比于傳統(tǒng)VPN組網(wǎng)技術(shù)。該方案可以解決統(tǒng)一安全認證基礎(chǔ)上的遠程跨域互訪，通過仿真實驗表明該方案可有效實現(xiàn)教育資源跨域受控共享，為發(fā)展公平而有質(zhì)量的高等教育提供技術(shù)支撐。

關(guān)鍵詞：遠程教育;虛擬專用網(wǎng);用戶認證;組網(wǎng)技術(shù)

中圖分類號：TP393? 文獻標識碼：A? 論文編號：1674-2117（2020）18-0000-06

● 引言

2019年2月，中共中央、國務(wù)院印發(fā)《中國教育現(xiàn)代化2035》[1]，明確提出“著力提高教育質(zhì)量，促進教育公平”，發(fā)展公平而有質(zhì)量的教育因而成為全面深化教育事業(yè)改革的時代主題，我國遠程教育教學現(xiàn)代化面臨創(chuàng)新發(fā)展的新機遇和新挑戰(zhàn)。如何以信息網(wǎng)絡(luò)技術(shù)創(chuàng)新實現(xiàn)在保障信息安全和保護知識產(chǎn)權(quán)的基礎(chǔ)上，突破信息跨域受控共享的壁壘，進而最大限度地消除知識共建共享普及化發(fā)展過程中存在的用戶認證、權(quán)限管理、信息不對稱等關(guān)鍵問題，構(gòu)建起安全受控的新型融合式教育資源共享網(wǎng)絡(luò)是遠程教育教學研究領(lǐng)域需要聚焦的重點和難點。

● 高校遠程教育資源共享新發(fā)展

1.東西部高校對口支援

作為國家層面推進高等教育均衡可持續(xù)發(fā)展和教育公平的重要改革舉措，東西部高校對口支援計劃自2001年《教育部關(guān)于實施“對口支援西部地區(qū)高等學校計劃”的通知》正式啟動[2]，到2019年中共中央、國務(wù)院印發(fā)《中國教育現(xiàn)代化2035》明確提出“完善區(qū)域教育發(fā)展協(xié)作機制和教育對口支援機制，深入實施東西部協(xié)作”，經(jīng)過近二十年的持續(xù)探索實踐和不斷深化，其對口支援的理念和模式已從初期的資金、物質(zhì)從東到西簡單“輸血”向以扶持知識、智力和科技等軟實力提升為首要的“造血”轉(zhuǎn)變。[3]例如，清華大學與青海大學的對口支援形式正在從早期選派知名學者、專家團異地掛職實施階段性幫扶向建立基于信息網(wǎng)絡(luò)開放優(yōu)質(zhì)教育資源和科技創(chuàng)新創(chuàng)業(yè)雙向互動協(xié)作的長效機制轉(zhuǎn)變[4];中山大學對新疆、西藏、湖南等中西部地區(qū)受援高校的幫扶從初期抽調(diào)本校優(yōu)質(zhì)師資赴受援地開展短期講學[5]、不定期學術(shù)交流等“脈沖式”支援項目向基于遠程在線的優(yōu)質(zhì)課程開放和本地師資培養(yǎng)等長期可持續(xù)發(fā)展模式轉(zhuǎn)變。[6]當需要調(diào)度第三方教育資源時，就需要在公網(wǎng)構(gòu)建專有資源傳輸信道的基礎(chǔ)上，實現(xiàn)異地跨域訪問授權(quán)控制。

2.高校區(qū)域集群協(xié)同化發(fā)展

高等教育區(qū)域性發(fā)展中存在的不協(xié)調(diào)和不平衡是新時代高水平本科教育建設(shè)關(guān)注的重要問題之一。[7]針對如何落實高等教育公平發(fā)展，教育部部長陳寶生在2018年6月召開的新時代全國高等學校本科教育工作會議上的講話中首次提出要“充分發(fā)揮高等教育集群發(fā)展的集聚-溢出效應(yīng)”，并明確了分別以成都、西安、蘭州和重慶、成都、西安為支點發(fā)展西北和西南兩大高校集群。[8]

城市群教育和科創(chuàng)平臺的建立對突破傳統(tǒng)壁壘實現(xiàn)跨域平臺交流提出了新的應(yīng)用需求。例如，如圖1所示，城市A、B、C是三大城市高校集群，因集群高校間的地理優(yōu)勢，城市內(nèi)部高校之間可進行優(yōu)質(zhì)課程共享、科創(chuàng)項目交流以及特色教育互動培養(yǎng)等協(xié)同化活動。為了更大范圍、更高水平地開放共享優(yōu)質(zhì)教育資源，就需要突破地理位置的限制，在城市群之上構(gòu)建教育和科創(chuàng)大平臺，如環(huán)形箭頭所示，基于平臺共享，可將城市內(nèi)部高校集群之間的交流共享拓展到城市間的大集群之上，實現(xiàn)跨地域的人才培養(yǎng)、科技創(chuàng)新，以及教育互動等活動。當各高校需要通過平臺互訪時，就需要基于新型組網(wǎng)來實現(xiàn)安全受控的跨域教育資源交流共享。

3.高校聯(lián)盟教育資源共建共享

隨著新形勢下高校間基于優(yōu)質(zhì)教育資源共享的人才培養(yǎng)協(xié)作化發(fā)展趨勢愈發(fā)明顯[9]，高校聯(lián)盟也在不斷拓展深化自身的教育功能和合作模式。2018年教育部發(fā)布的《關(guān)于加快建設(shè)高水平本科教育，全面提高人才培養(yǎng)能力的意見》明確提出“要推進現(xiàn)代信息技術(shù)與教育教學深度融合，構(gòu)建全方位全過程深融合的協(xié)同育人新機制[10]，基于網(wǎng)絡(luò)信息技術(shù)支撐的開放化、細分化和輕量級的人才培養(yǎng)合作項目成為新時代高校聯(lián)盟的新發(fā)展”。例如，2017年5月陜西師范大學、西北大學、西安外國語大學等5所陜西高校組成“長安聯(lián)盟”[11]，專門針對課程教學這一細分領(lǐng)域，以線上+線下相結(jié)合的運作模式實現(xiàn)優(yōu)質(zhì)資源的共建共享，為大規(guī)模在校本科生提供跨校課程共享和校際學分互認，以教育信息化推動高校間優(yōu)質(zhì)辦學資源的精準協(xié)同。

● 基于“L2TP VPN+Radius”的組網(wǎng)設(shè)計

綜上所述，東西部高校對口支援、高校集群和高校聯(lián)盟教育資源共建共享協(xié)同化發(fā)展的教育資源共享等新型高校遠程教育資源共享的典型場景都存在遠程訪問基礎(chǔ)上實現(xiàn)跨域互訪和統(tǒng)一安全認證的關(guān)鍵性技術(shù)難題。就此而言，當前教育行業(yè)普遍采用的虛擬專用網(wǎng)絡(luò)MPLS VPN[12]、IPSec VPN[13]等傳統(tǒng)VPN技術(shù)不能夠動態(tài)分配跨域訪問權(quán)限，難以突破教育資源共建共享普及化過程中存在的用戶認證、權(quán)限管理、信息不對稱等關(guān)鍵性技術(shù)，為此本文針對高校新型遠程教育應(yīng)用場景需求提出切實可行的VPN組網(wǎng)解決方案——基于“L2TP VPN+Radius”組網(wǎng)。

從數(shù)據(jù)網(wǎng)絡(luò)組網(wǎng)設(shè)計的層面來審視上述東西部高校對口支援、高校集群協(xié)同化發(fā)展的教育資源共享和高校聯(lián)盟教育資源共建共享三種新型高校遠程教育資源共享的典型場景（如圖1），可以基于“L2TP VPN+Radius”組網(wǎng)技術(shù)對照三種場景構(gòu)建出典型組網(wǎng)方案。具體設(shè)計方案如圖2所示，將對口幫扶高校組合、某區(qū)域高校集群與同一高校聯(lián)盟分別劃分在同一VPN之下。

當跨域用戶想要獲取其他區(qū)域的資源或在區(qū)域間實現(xiàn)信息交互等跨區(qū)域訪問活動時，就需要經(jīng)過如下過程：

（1）L2TP VPN隧道建立：首先在Radius服務(wù)器中注冊該用戶的用戶名、口令、密碼等認證信息，然后跨域用戶利用已注冊的用戶名和密碼通過路徑①向VPN網(wǎng)關(guān)發(fā)起L2TP VPN隧道建立請求。

（2）Radius服務(wù)器認證：VPN網(wǎng)關(guān)作為Radius客戶端利用用戶名、密碼等認證信息和端口標識通過路徑②產(chǎn)生跨域訪問接入請求并發(fā)送給Radius服務(wù)器。

（3）跨域虛接口分配：Radius服務(wù)器會根據(jù)訪問請求包中的用戶名來查找數(shù)據(jù)庫是否有相同的數(shù)據(jù)與此匹配。[19]待上述訪問請求通過認證后，Radius服務(wù)器再根據(jù)已配置的用戶所屬跨域目標訪問組分配虛接口，此后跨域用戶便可通過該虛接口轉(zhuǎn)接實現(xiàn)訪問路徑的跨域跳轉(zhuǎn)。

可以看到，該方案通過L2TP VPN隧道在實現(xiàn)用戶遠程訪問資源的基礎(chǔ)上，采用Radius服務(wù)器對跨域用戶在本域內(nèi)和跨域間的資源訪問進行統(tǒng)一的認證、授權(quán)、計費和配置等安全控制，從而為域內(nèi)和域間教育資源共建共享過程的信息安全保障和知識產(chǎn)權(quán)保護提供了切實可行的組網(wǎng)設(shè)計途徑。

● 組網(wǎng)方案的仿真實驗

為實際驗證、測試組網(wǎng)方案的功能與性能，采用H3C Cloud Lab平臺對“L2TP VPN+Radius”組網(wǎng)設(shè)計進行仿真實驗。H3C Cloud Lab是網(wǎng)絡(luò)仿真平臺，實驗首先在該平臺中通過虛擬網(wǎng)絡(luò)設(shè)備進行組網(wǎng)，然后將平臺與外置Radius服務(wù)器實現(xiàn)交互，進而搭建出完整的仿真環(huán)境開展實驗。

1.實驗拓撲

實驗拓撲如下頁圖3所示，對口幫扶高校組合、某區(qū)域高校集群與同一高校聯(lián)盟屬于同一個VPN域，選取VPN2中的跨域用戶對VPN1資源發(fā)起訪問，以驗證“L2TP VPN+Radius”組網(wǎng)方案實現(xiàn)教育資源跨共享的設(shè)計目標。

2.關(guān)鍵技術(shù)實現(xiàn)

RTF路由器既作為L2TP VPN隧道的LNS來接收客戶端請求，又作為Radius服務(wù)器訪問機制中的NAS來提供接入和交互服務(wù)，主要配置與操作如下。

（1）L2TP VPN隧道

圖3所示的跨域用戶向設(shè)備RTF發(fā)起L2TP隧道建立請求，RTF作為LNS來處理隧道建立請求，從而建立起跨域訪問的VPN隧道，主要配置操作如表1所示。

跨域用戶作為L2TP VPN客戶端需要將本機IP地址配置為與RTF相連接口GE_0/0在同一網(wǎng)段，并將網(wǎng)關(guān)指向該接口。當客戶端需要使用VPN連接時，需要將本機網(wǎng)絡(luò)配置屬性中工作區(qū)的地址更新為跨域用戶主機的網(wǎng)關(guān)地址，利用預(yù)設(shè)的L2TP VPN用戶名和密碼進行驗證即可連接RTF，從而建立起L2TP VPN隧道。

（2）Radius用戶認證

在跨域訪問過程中，不僅需要構(gòu)建L2TP VPN隧道作為傳輸通道，還需要對資源訪問進行安全認證。將Radius服務(wù)器與L2TP VPN隧道中的LNS連接，使得RTF 既作為隧道LNS，又作為Radius的NAS提供安全認證管理，主要配置操作如表2所示。

3.功能驗證與性能測試

（1）L2TP VPN隧道連通性測試

從RTF的GE_0/0接口（地址1.1.1.1）抓取報文，跨域用戶（地址1.1.1.2）發(fā)起隧道建立請求，發(fā)送用戶名user@abc.com和密碼hello?？梢钥吹絃2TP VPN隧道已經(jīng)在跨域用戶與RTF之間連通，建立過程如下頁圖4所示。

（2）Radius用戶管理

Radius服務(wù)器的種類有很多，如在網(wǎng)絡(luò)設(shè)備管理中常用的TekRadius[15]、在高校圖書館用戶認證中常用的FreeRadius[16]、在電信平臺常用的WinRadius，這三種認證服務(wù)器性能對比分析如表3所示。

TekRadius適用于Windows環(huán)境，并且能夠有效控制賬號在線數(shù)。該軟件需要在相應(yīng)的數(shù)據(jù)庫（以SQL Server 2005為例）連接下進行使用。首先，開啟SQL Server 2005后，在TekRadius的Settings目錄下，選擇DB Connection進行數(shù)據(jù)庫連接，當界面顯示“SQL? connection successful”則表示連接成功，即可進行用戶信息的輸入和認證。接下來，在TekRadius的Groups目錄下增添新的組別“vpn1”，并將用戶user放入vpn1的組別之下，從而實現(xiàn)用戶的分組管理，如圖5所示。

（3）跨域VPN訪問的動態(tài)認證

VPN2中的用戶實現(xiàn)對VPN1的跨域訪問流程如下頁圖6所示。

①在Radius服務(wù)器上新建Client和User的認證賬戶，Client即為Radius服務(wù)器的客戶端，User即需要訪問VPN1的用戶。

②跨域用戶以認證賬戶的用戶名和密碼通過撥號方式向設(shè)備RTF發(fā)起L2TP VPN隧道建立請求;設(shè)備RTF接收到請求后，會建立相應(yīng)虛接口;隨后Radius服務(wù)器利用存儲的數(shù)據(jù)庫信息檢查用戶名和口令。

③如果該用戶的信息匹配，Radius服務(wù)器會向RTF反饋認證成功。設(shè)備RTF根據(jù)該用戶的后綴名將虛接口轉(zhuǎn)移到VPN1中，待用戶接收到反饋信息后，便可以與設(shè)備RTF建立L2TP VPN隧道，從而訪問VPN1中的信息。

● 總結(jié)

發(fā)展公平而有質(zhì)量的高等教育需要以現(xiàn)代網(wǎng)絡(luò)與信息化技術(shù)為支撐，重點突破優(yōu)質(zhì)教育資源共享過程中面臨的安全性和開放性問題。筆者提出了“L2TP VPN+Radius”組網(wǎng)的設(shè)計方案，可以滿足東西部高校對口支援、高校聯(lián)盟教育資源共建共享和高校集群協(xié)同化發(fā)展等新應(yīng)用場景下教育資源共享對VPN隧道搭建、用戶認證和權(quán)限管理等相關(guān)技術(shù)需求。仿真實驗表明該方案具有組網(wǎng)靈活、結(jié)構(gòu)簡捷和安全可控的優(yōu)點，為面向未來的高等教育遠程資源共享提供了切實可行的途徑。

參考文獻：

[1]中共中央國務(wù)院印發(fā)《中國教育現(xiàn)代化2035》[J].人民教育，2019（05）：7-10.

[2]解群.中國高校對口支援政策分析[D].上海：華東師范大學，2012.

[3]王學男，江長州.教育援藏：從“單打獨斗式”向“組團式”支援轉(zhuǎn)變[J].人民教育，2019（01）：35-37.

[4]張懷英，黃昕，蔣輝.對口支援西部高校的典型模式與運行機制[J].教育現(xiàn)代化，2019，6（45）：104-106.

[5]徐姍姍，羌洲.新時期教育扶貧模式的重大創(chuàng)新：“組團式”教育人才援藏[J].中國藏學，2018（03）：134-144.

[6]王克，田宇，何梓燕.對口支援整體性與受援高校人才培養(yǎng)質(zhì)量體系建設(shè)[J].教育教學論壇，2019（50）：74-75.

[7]向飛，向青果.利用信息技術(shù)促進區(qū)域?qū)W校教育資源均衡化的途徑淺析[J].中國信息技術(shù)教育，2015（22）：142-144.

[8]陳寶生.在新時代全國高等學校本科教育工作會議上的講話[J].中國高等教育，2018（Z3）：4-10.

[9]程婷婷.加強高校信息化建設(shè)促進高校教育內(nèi)涵式發(fā)展[J].中國信息技術(shù)教育，2014（08）：1.

[10] 教育部.教育部關(guān)于加快建設(shè)高水平本科教育全面提高人才培養(yǎng)能力的意見.[EB/OL]http：//www.moe.gov.cn/srcsite/A08/s7056/201810/t20181017_351887.html，2018-10-8.

[11] 任小朋，楊希.陜西省五所高校共建“長安聯(lián)盟”[J].陜西教育：高教，2017（06）：80.

[12] I. Martinez-Yelmo， D. Larrabeiti， I. Soto and P. Pacyna， "Multicast traffic aggregation in MPLS-based VPN networks，" in IEEE Communications Magazine， vol. 45， no. 10， pp. 78-85， October 2007.

[13] 王霞俊.基于H3C HCL的IPSec VPN實驗設(shè)計與仿真[J].實驗室研究與探索，2018，37（03）：118-121.

[14] 徐波，張勤慧.基于802.1x協(xié)議的Radius認證原理及分析[J].計算機與現(xiàn)代化，2012（06）：106-108.

[15] 巫俊峰.應(yīng)用TekRADIUS零成本構(gòu)建網(wǎng)絡(luò)設(shè)備統(tǒng)一認證系統(tǒng)[J].電信技術(shù)，2012（08）：25-29.

[16] 王政軍，俞小怡，金玉玲.利用開源軟件FreeRADIUS構(gòu)建圖書館統(tǒng)一認證平臺的研究與實現(xiàn)[J].現(xiàn)代情報，2016，36（05）：104-109+127.

作者簡介：宋澳華（1999.11—），第一作者，女，河北滄州人，陜西師范大學計算機科學學院創(chuàng)新實驗班本科生;胡曦明（1978.9—），通訊作者，男，四川南充人，博士，講師，教育碩士導師，主要研究領(lǐng)域為智慧教育、計算機教育;李鵬（1981.11—），男，陜西扶風人，博士，副教授，碩導，現(xiàn)任陜西師范大學計算機科學學院教學副院長，主要研究領(lǐng)域：移動計算、教育信息化，lipeng@snnu.edu.cn;馬苗（1977.4—）女，漢族，山東聊城人，博士，教授，博導，現(xiàn)任陜西師范大學計算機科學學院科研副院長，主要研究領(lǐng)域為數(shù)據(jù)處理、智能系統(tǒng)等。

基金項目：國家自然科學基金項目“基于移動社會網(wǎng)絡(luò)的校園協(xié)作學習交互與微視頻擴散關(guān)鍵技術(shù)研究”（61877037）;中央高校基本科研業(yè)務(wù)費專項資金資助項目“面向教育云的數(shù)據(jù)中心網(wǎng)絡(luò)關(guān)鍵技術(shù)研究”（GK201503065）;陜西師范大學2020年教師教學模式創(chuàng)新與實踐研究專項基金項目“金課導向下計算機網(wǎng)絡(luò)協(xié)議課程體驗式教學改革與實踐”（JSJX2020Z28）;陜西師范大學2019年教師教學模式創(chuàng)新與實踐研究專項基金項目“人工智能背景下《深度學習》實踐教學探索與創(chuàng)新”（JSJX2019Z47）。