基于虚拟网络的智慧校园上网解决方案

邓华 周凯

摘要：随着校园信息化建设的快速发展，将日新月异的互联网、云计算等技术融入智慧校园建设成为教育信息化发展的主要方向。基于互联网应用中的第三方应用授权登录、云计算平台中的虚拟网络等技术，提出了基于虚拟网络的智慧校园上网解决方案，对校园网的网络建设、上网方式等进行了改进。

关键词关键词：智慧校园；虚拟网络；VLAN；Web认证；微信

DOIDOI：10.11907/rjdk.161289

中图分类号：TP393文献标识码：A文章编号文章编号：16727800（2016）007016103

0引言

自教育信息化十二五规划中提出智慧校园概念以来，校园信息化建设不断推进。随着计算机技术的日新月异，如何将校园网建设与当下流行的物联网、云计算等技术结合，构建新一代的智慧校园，成为教育信息化发展的重要课题。

智慧校园是为广大师生提供一个全面的智能感知环境和综合信息服务平台，为学校与外部世界提供一个相互交流和相互感知的接口。简言之就是打造一个安全、稳定、环保、节能的校园[1]。

本文运用微信扫码、虚拟网络等在物联网、云计算中具有代表性的技术，提出了一种基于虚拟网络的智慧校园上网解决方案，利用互联网及现有数字化校园网环境对传统的校园网拨号上网、网络传输等方式作出改进，以期提供更加便捷、安全的信息化服务。

1虚拟网络

虚拟网络是一种包含至少部分是虚拟网络链接的计算机网络，VLAN是一种最常见的虚拟网络形式，它的全称是Virtual Local Area Network，即虚拟局域网。

IEEE于1999年颁布了以标准化VLAN实现方案的802.1Q协议标准草案。运用VLAN技术，管理员能够根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，或者把不同物理局域网的不同用户逻辑地划分成相同广播域。在每个VLAN中都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其它VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

采用VLAN技术进行网络工作组划分可突破共享网络中地理位置的限制，大大提高网络规划和重组功能。如图1所示，在同一个VLAN中的工作站，不论与哪个交换机连接，它们之间的通讯都好像在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，不会传输到其它的 VLAN中。

在校园网中采用VLAN组网，利用不同VLAN之间不能相互通讯的特性，可将不同用途的接入点（如教室、办公室、实验室等）划分到不同的VLAN当中，从而增加不同接入点的安全性，避免产生大面积感染病毒、不必要的广播风暴等网络安全问题。

2上网方式改进

传统的校园上网方式虽然也是自动化的，但由于需要用户安装额外客户端，故需要针对不同的操作系统做适配，客户端如有更新，则需通知所有用户升级，较为繁琐和碎片化。另外，这种方式的数据在校园网内部传输中易被恶意监听，安全得不到保障。

为了解决这些问题，笔者采用Web认证[2]作为用户身份验证入口。该种方式不需要安装客户端软件，用户登录流程如有变更只需要服务端更新即可，无需用户参与，使用方便。在数据传输过程中为每个用户创建专用VLAN，保证数据安全。

3智慧校园上网系统设计

将Web认证方式和虚拟网络通道等技术整合，从而实现完整的基于虚拟网络的上网解决方案。系统核心架构分为6大模块，分别是身份管理、认证模块、订阅管理、拓扑模块、路由管理、指令代理。核心架构与模块间业务流程如图2所示。计费管理、监控管理、开放接口等功能都可根据实际需求逐步扩展。

3.1身份管理

本模块用来接收用户开通网络申请。除了常规开通网络申请环节，增加了微信账号绑定流程，用于在身份验证环节使用微信登录[3]。微信绑定用户上网账号技术流程如下：①使用微信接口生成二维码链接返回给前台页面，并建立场景值A与用户的对应关系；②管理员或业务审查员向用户提供二维码；③用户扫描二维码，并点击关注微信公众号（假如已关注，直接跳到④；④后台接收微信服务器推送的场景值A；⑤后台根据场景值A，查询到对应的用户ID（依赖于①中建立的对应关系）；⑥建立用户userid与微信用户openid的对应关系；⑦推送“绑定成功”提示到微信客户端；⑧通知前台页面绑定已完成，刷新页面，并返回微信账户信息，完成绑定。

3.2认证模块

本模块以Web认证加微信授权登录方式提供用户上网身份验证功能。流程如下：①用户连接网络；②认证系统通过Portal服务器返回认证页面；③手机登录微信，利用“扫一扫”功能扫描网页上的二维码；④手机扫描成功后，网页上显示“成功扫描，请在手机点击确认以登录”；⑤手机端点击“登录网页版微信”，浏览器跳转到授权回调URL；⑥通知网关对此用户授权；⑦网关对此用户授权，用户设备可访问网络。

这种登录方式的原理是：浏览器加载的认证页面从服务端获得一个唯一的、临时的uid，通过长连接，客户端扫描带有此uid的二维码后，从长连接中获得客户端上报给服务器的帐号信息。在客户端点击确认后，获得服务器授信的令牌，随后进行信息交互。 在超时、网络断开、其它设备上登录后，此前获得的令牌或丢失、或失效，对授权过程形成有效的安全防护。

3.3订阅管理

本模块是系统核心模块，用来维护虚拟通道的生命周期，处理虚拟通道的创建、销毁、时长、带宽等要素[4]。在该模块中可以查看所有用户使用的虚拟通道，并对这些虚拟通道进行管理，用户完成身份验证后启动本模块。

计费功能可融入本模块，或由本模块扩展。

3.4拓扑模块

本模块是系统核心模块，用来维护校园网的网络拓扑结构，为路由计算提供数据。需要使用本系统开通网络访问的区域都须纳入网络拓扑结构中。当实际网络结构发生变化时，管理员需要对已有拓扑结构进行调整，或新增/移除设备、或更新设备信息/路由配置等。网络中如有静态路由也需要在本模块中定义，否则路由计算可能出现异常。

3.5路由计算

当订阅管理模块中某一虚拟通道生命周期开启时，即某一虚拟通道开始创建时，模块会收到从用户设备到目标网络的路径计算请求。此时会先从拓扑模块获取网络结构，根据路由计算规则计算出符合用户要求的虚拟网络通道路线，然后调用指令代理模块，对相应设备下发命令，完成整个虚拟通道的配置。这个虚拟通道实际上就是为用户创建的专用VLAN。

本模块支持静态路由计算、全局遍历搜索等方式计算路径，动态路由的计算方法还在规划中。

3.6指令代理

本模块实际上是对规划出的虚拟通道实现，也就是对若干设备的命令代理。在各级设备上配置相关VLAN指令，从而让设备感知这条虚拟通道。

设备传输VLAN通道数据原理如下：

（1）接收数据。如果是Untagged数据，按照PVID打上tag然后寻找相同VLAN ID的端口转发；如果是Tagged数据，VLAN ID在Tagged Port有定义时直接寻找相同VLAN ID的端口转发，VLAN ID在Untagged Port有定义时去掉tag后寻找相同VLAN ID的端口转发，否则丢弃。

（2）发送数据。如果是Untagged数据，按照PVID打上tag然后发出；如果是Tagged数据，VLAN ID在Tagged Port有定义时直接发出，VLAN ID在Untagged Port有定义时去掉tag后发出，否则丢弃。

这里通过示例来描述该原理，如图3所示。圆圈表示交换机上的port（端口），port类型以标注的形式列出。

4结语

基于虚拟网络的智慧校园上网解决方案，融合了多种先进技术，在校园网建设中有良好的使用前景和较高的前瞻性。笔者进行了小范围的应用测试，核心功能效果良好。若要进行大面积推广，系统还有很多工作要做，比如构建基础信息数据库、支持多种接入方式、更智能的路由计算规则、容灾预警等功能都要纳入改进计划中。

随着教育信息化需求的不断变化，更多的互联网新技术、云计算等技术会融入到智慧校园建设。如何在追求智慧校园建设技术的同时，提高整体效率、改善用户体验、避免投资冗余，是后期在优化系统架构时需要重点考虑的。

参考文献：

[1]程艳旗.浙江大学智慧型校园探索[EB/OL].http：//wenku.baidu.com/view/dfe4352c2af90242a895e5e9.html

[2]杜民.802.1 X和web/portal认证协同打造校园网认证系统 [J].河南科技，2010（24）：104107.

[3]腾讯公司.微信公众平台开发者文档[EB/OL]. http：//mp.weixin.qq.com/wiki/home/index.html

[4]ZHOU KAI.Ondemand transmission path providing system and method[M].US53455，2015.

责任编辑（责任编辑：杜能钢）