疫情下面向大规模直播教学的组网技术研究

林俏伶，胡曦明,2*，李 鹏,2

(1.陕西师范大学 计算机科学学院，陕西 西安 710119；2.现代教学技术教育部重点实验室，陕西 西安 710119)

0 引 言

疫情防控期间，全国高校按照教育部《关于在疫情防控期间做好普通高等学校在线教学组织与管理工作的指导意见》(以下简称《指导意见》)的统一部署，全面实施网上教学；各地中小学按照教育部、工信部联合印发的《关于在中小学延期开学期间“停课不停学”有关工作安排的通知》(以下简称《通知》)要求，各地各校因地制宜实施多样化远程教学。从湖北[1]、山西[2]、浙江[3]等省教育主管部门发布的疫情期间教学指导意见并结合在线教学实践来看，线上直播、网络录播和点播是基于互联网开展远程教学的三大方案。据调查显示，最受师生欢迎和线上应用率最高的方案是在线直播。据黑龙江省高校统计，在29.6万个在线课堂中直播课堂约20.6万余个(占比近70%)，约70%的学生表示更喜欢直播课堂和包括直播课堂在内的混合式课堂[4]；另据江苏省高等教育学会面向苏南地区10所“双高计划”高职院校开展线上教学情况调研发现，教师使用腾讯课堂、钉钉等平台线上教学采用直播授课的占比最高[5]；厦门大学通过对6所新老不同的地方本科院校在线教学质量报告进行统计分析发现，不论是教师还是学生认可“直播+在线互动”的比例均超过了其他线上教学模式[6]。深入分析疫情下大规模线上直播教学对数据承载网络的组网性能需求，并针对性提出切实可行的组网技术解决方案，不断开拓适宜国内教育需要的信息化技术新路径，从而进一步释放“互联网+教育”巨大潜能和动力，使得主动服务国家教育现代化事业成为富有紧迫性、基础性和应用价值的重要现实课题。

1 大规模线上直播教学的组网需求

1.1 持续大规模高密度同步传输

按照教育部2020年5月20日发布的《2019年全国教育事业发展统计公报》，国内各级各类学校53.01万所，各级各类学历教育在校生规模达2.82亿人，其中高校在校生0.4亿人，中小学在校生1.8亿[7]。面向如此大规模的学生实施群体性的网络教学史无前例，与高校“一校一策、一校多策”在线直播采取分课程分班分阶段的分化分流实施方式不同，基础教育阶段直播教学通常在省级统一部署下按教育部《义务教育课程方案》和《普通高中课程方案》规定的课程和课时，按正常上课时间面向全地区中小学生进行同步课程直播教学。

例如，江西省教育厅印发《江西省中小学2020年寒假及春季学期延期开学期间线上教育教学实施方案》，按照全省统一课表、统一课程、统一进度的“三个统一”，从2月10日起开展除初三、高三外的全省622万中小学生统一同步在线教学，同步课程通过江西省中小学线上教学平台“赣教云”以及有线电视、江西IPTV等渠道进行直播[8]；西安市教育局1月30日印发《西安市2020年春季学期中小学幼儿园延期开学“停课不停学”工作方案》由市教育局统一组织，2月10日起全市中小学所有学科课程按统一的直播课表通过西安市优质教育资源共享平台和西安教育电视台向全市中小学生进行同步直播[9]。各地市集中性的同步网上教学给底层承载网络带来了持续性的大规模高密度用户同步数据传输流量，如此前所未有的海量同步数据承载负荷给网络传输服务带来巨大压力，由此造成2月10日开始线上直播教学当天各地频现网络卡顿、无响应甚至网络崩溃。从技术层面看，区域性大规模成建制在线直播教学业务对网络组网提出了承载持续性大规模高密度同步传输数据的新需求。

1.2 分组式成员动态管理

面对网络拥堵难以保障在线直播教学服务的实际情况，各地加大基于电视的“空中课堂”投放力度，对网络直播教学实施分流。例如，江西广电有线电视和中国电信江西IPTV等电视运营商先后安排了30个电视频道，总共免费开通120个专用频道，同时省教育厅特别推荐使用电视收看同步课程，通过分流用户极大缓解了“赣教云”平台在线直播遭遇的“卡、堵”[10]。通过调整或新开通电视频道架设同步课程教学，“空中课堂”来保障“停课不停学”成为疫情期间全国各地的普遍做法和有益经验。据5月14日教育部疫情期间大中小学在线教育情况和下一步工作考虑发布会上教育部基础教育司司长吕玉刚介绍，为确保网络畅通，教育部在工信部和国家广播电视总局的大力支持下，于2月17日正式开通中国教育电视台空中课堂。疫情防控期间，中国教育电视台空中课堂收视率大幅跃升，在全国各大卫视关注度排名中进入前十[11]。由于电视的数据传输方式采用“一对多”的广播方式，网络的数据承载量不会由于用户规模的增加而线性增长，因此可以承载海量用户。但是不论是基于有线电视还是IPTV的“空中课堂”都存在处于源端的老师无法对处于电视终端的学生进行个性化学习管理的技术性短板，这与早期的“电视大学”局限十分相似。想要从教学质量和教学管理上保证线上直播教学与线下实体课堂教学实质等效，就需要线上直播教学能支持分学科分班级分课程等分组方式基础之上的成员动态管理，例如创建学习群、群组成员加入与退出等，从而有效支撑在线直播教学过程中线上发布作业、分组讨论、答疑辅导等教学活动。

1.3 资源跨域共享安全控制

疫情期间，按照政府主导、高校主体、社会参与的方式，线上优质教育教学资源共享除了通过由国家、省市各级政府主导的国家中小学网络云平台、国家精品在线开放课程以及27个省级网络学习平台等直接输出型供给之外，以高校为主体、社会广泛参与的校际合作，跨校课程和校地协同等各主体间交互型资源共享与直接输出型供给实现了优势互补，成为新的亮点。例如，清华大学先后与华中科技大学、武汉大学、华中农业大学、新疆大学、太原理工大学等5所高校通过校际合作对接、跨校域及地域共享资源，实现了5校学生云端同上清华[11]。主体之间跨校域及地域的资源共享，对于构建更大范围的开放学习体系具有广阔的应用前景，但在资源跨域共享过程中也存在安全隐患。由于各主体的安全控制策略不尽相同，主体间的资源跨域共享过程中必然面临域间的安全协商与安全准入、资源跨域安全传输以及信息安全保密等安全性挑战，尤其对于面向未成年人的基础教育资源跨域共享的安全控制更值得高度关注，为此《指导意见》在工作保障部分将“确保在线教学安全平稳运行”单列为一条予以特别强调。

2 基于“VPN+组播”的组网技术

疫情期间在线教学实践表明，一是，线上直播深得一线师生认可，但同时带来持续大规模高密度同步传输需求给底层数据承载网络造成巨大压力；二是，基于电视的“空中课堂”通过一对多的传输方式能够有效保障远程直播教学，但又存在不支持分组式成员动态管理的技术性短板；再者，主体间的资源跨域共享安全控制的需求愈发强烈。该文以实践经验为基础、以问题为导向，探索将VPN的安全性与组播数据传输的高效性相结合的“VPN+组播”组网技术，既可为当前大规模线上直播教学提供关键性基础网络技术支撑，又能为面向未来线上教育发展开拓切实可行的技术途径。

2.1 方案设计

(1)方案一：域内组播。

在虚拟专用网(virtual private network，VPN)的隧道技术中，大部分隧道协议支持数据单播，这使得利用VPN单播成为跨公网传输数据的优先选择。针对直播教学课堂中的视频数据可先通过单播的方式从VPN隧道源端口点对点传送到目的端口，进而使目的端口处的路由器在接收到视频数据后通过域内组播的方式发送给目的域中需要该视频数据的接收者，形成一种VPN跨公网单播、局部域内网组播的组网方式，详见图1学校A与对接学校B或对接学校C之间的数据传输方式。

(2)方案二：全域组播。

随着VPN业务的深入，不同的实际应用对VPN组播业务提出了新的需求。利用传统的VPN技术与组播技术相结合，使得VPN能支持组播数据流跨公网安全传输，且无需进行单播到组播的数据转换，直接将组播数据送达至组播接收方所在的目标网络，既可以提高组播数据的传输效率，也能够增强VPN隧道对不同数据的兼容性，详见图1学校A与对接学校D之间的数据传输方式。

图1 方案设计拓扑

(3)方案三：域间混合组播。

针对不同网段的多元化需要，可将VPN中单播和VPN中组播的方式相结合，形成一种混合式组网方案，即部分VPN采用的是仅支持单播的隧道协议，数据到达目标网络后再进行组播；其他采用的是支持组播的VPN，组播数据直接通过VPN隧道到达目标网络及其组播接收方，具体如图1学校A与各对接学校间的数据传输所示。这种混合式的组网方案与前两种方案相比灵活性和可扩展性更强，适合不同网络传输视频数据。

2.2 工作机制

如图2所示，基于“VPN+组播”的组网方案的工作过程分为三个阶段：

图2 组网方案工作过程

(1)阶段一：组成员管理。

组播接收方需要向组播组注册成为该组的成员，以告知组播源自身所需的数据及所处的目标网络。通常由连接组播接收方的最后一跳路由器完成Internet组管理协议(internet group management protocol，IGMP)的管理，即对组播组成员进行加入、离开、查询等行为的组播组注册信息管理[12-13]，如图2阶段一所示，其中隧道边缘路由器A将同时充当组播接收方的最后一跳路由器。IGMP管理能够提高数据分发的准确性和针对性，提出分组分级的概念，协助完成组播数据一对多高效传输的任务。

(2)阶段二：交互式安全协商。

VPN隧道技术可以有效缓解数据在组播网络传输中每段单播网络内的安全漏洞所带来的影响。在明确组播组成员所处的目标网络后，通过在组播源服务器和目标网络之间搭建VPN网络，能够进一步实现跨区域的数据传播和资源共享。而交互式的协商是搭建VPN隧道过程中必不可少的一步。如图2阶段二所示，安全组播隧道双方需要动态建立安全连接，该过程由IPSec安全协议中的Internet密钥交换(internet key exchange，IKE)协议完成[14]，作为后续数据加密、认证、完整性校验等安全服务的前提。

(3)阶段三：数据加密传输。

为保障组播数据传输的可靠性与安全性，安全组播隧道综合了GRE VPN和IPSec VPN两种技术的优势[15-17]。利用GRE技术对用户数据和路由协议报文进行隧道封装，使得VPN支持组播；然后使用IPSec技术来保护GRE隧道的安全[18]，由此构成可运用到组播应用中的GRE over IPSec VPN技术，加密数据报文在隧道传输中的封装过程如图2阶段三所示。

3 仿真实现

在上述给出的设计方案的基础上，该文采用由华为提供的图形化网络设备仿真平台eNSP，主要对网络路由器、服务器等设备进行软件仿真，模拟大型网络。该平台引用了VLC(video LAN client)跨平台多媒体播放器工具，允许组播源服务器播放多媒体文件模拟发送组播数据；同时利用Wireshark网络封包分析软件进行报文撷取和数据测量，为后续性能分析提供数据基础。

3.1 组网拓扑

在上述分析需求的基础上，由于域内组播和域间混合组播均是全域组播的变形与拓展，故该文选取具有代表性的GRE over IPSec VPN及全域组播方案进行仿真模拟。对于三个对接学校而言，GRE over IPSec VPN的功能实现是相同的，所以仿真实现以其中一个分支的网络配置为例做具体描述。仿真拓扑如图3所示，路由器R1代表学校A，路由器R9代表对接学校D，其余路由器模拟Internet网络，由OSPF协议实现网络互联互通，其中对接学校网络D内存在组播接收者和普通用户。

图3 “VPN+组播”全域组播方案的仿真拓扑

3.2 技术实现

3.2.1 实现步骤

仿真实现的内容包括配置组播信息、配置GRE隧道和配置GRE over IPSec VPN，具体步骤如图4所示。

图4 实现步骤

(1)配置组播信息。

结合图3分析，与组播相关的配置包括给组播网络设备，如学校A中的组播源服务器和对接学校D中的PC6、PC8设置组播组地址、开启路由器，如路由器R1、R9的组播功能以及IGMP使能。

(2)配置GRE隧道。

分别对路由器R1和R9配置GRE隧道虚拟源接口和虚拟目的接口的信息，并在组播源所在的学校A网络中配置静态路由，令其下一跳指向隧道口，将组播报文流量引入GRE隧道，使得数据流只通过隧道到达组播接收方所在的网络。

(3)配置GRE over IPSec VPN。

在GRE VPN实现的基础上继续对路由器R1和R9进行IPSec配置，采用IKE动态协商方式建立IPSec隧道。在IPSec安全提议的配置中，将封装模式定义为传输模式，与隧道模式相比，传输模式下的封装可以避免因新增IP包头导致报文长度增加而造成的分片问题；同时采用算法安全性高的对称加密算法和验证算法进一步保障隧道的安全。最后，在隧道接口处调用安全策略并发起数据。

3.2.2 实现过程

GRE over IPSec VPN对组播数据的处理如图5所示。

图5 组播数据穿越隧道传输过程及加密报文格式

经检测判断隧道连通性良好后，由组播源服务器向隧道发送组播数据，从而触发GRE隧道感兴趣流。组播数据进入隧道后先由GRE封装原始报文的IP包头信息，产生的新IP包头的源IP和目的IP均变为隧道物理接口地址。经过IPSec安全协商后，由ESP对新IP包头后的数据部分进行加密再封装，并在加密数据尾部提供校验认证数据，这使得被GRE封装后的原始报文再次被封装形成加密报文，最终穿越隧道传输到达隧道目的接口并被解封装成原始报文发送给下游的组播接收方。

3.3 数据测量与性能分析

3.3.1 组成员管理

IGMP组管理主要针对最后一跳路由器对组成员的查询和管理，具体体现为组成员通过发送成员关系报告报文和成员离开报文实现申请加入和离开操作。在GRE隧道实现的基础上，组播源服务器在发起组播数据后由组播接收方依次执行成员的加入和离开操作。

此时捕捉GRE隧道中的报文，观察到组播组成员的加入和离开操作分别引起PIM协议对上游组播网络发起的加入和剪枝操作，具体如图6所示。

图6 PIM协议加入与剪枝实现组成员管理

由此可知，IGMP能够对组播组成员进行有效的动态成员信息管理，与PIM协议相辅相成，及时将组成员信息反馈给上游网络中的路由器完成组播网络的加入和剪枝操作。

3.3.2 交互式安全协商

当GRE隧道接口应用IPSec安全策略后，抓包发现，IKE协商过程分为主模式和快速模式两个阶段，如图7所示。其中主模式由六个数据包完成策略交换、密钥信息交换和身份和认证信息交换；快速模式由三个数据包建立双方的IPSec安全连接，进一步保障了交互的安全，完成安全协商。IKE协商过程及部分抓包结果如图8所示。

图7 IKE协商报文

图8 IKE交互协商过程

3.3.3 数据加密传输

当网络中仅搭建GRE隧道时，此时发起组播流量，在隧道端口处抓包发现UDP数据包，说明组播报文能够通过GRE隧道穿越公网更高效地传输，其抓包结果如图9中上侧报文所示。

图9 组播加密报文

分析捕获的数据报文可知，GRE隧道为原始报文添加了新的IP包头，允许组播流量通过隧道传输，但同时数据被暴露，说明此时隧道并不安全，容易造成信息泄露，故需要在传输中对数据进行加密操作以保障隧道安全。

当完成GRE over IPSec VPN的搭建及进行过安全协商后再次发起组播流量，抓包得到ESP数据包，如图9中下侧报文所示，其源地址和目的地址均是隧道的物理接口地址，无组播源地址和组播组地址。仿真结果说明GRE over IPSec VPN对组播数据进行了加密，增强了数据传输的保密性和安全性。

4 结束语

疫情防控期间，全国范围的大中小学校普遍开设线上直播课堂，如此大规模持续性的线上直播业务给数据承载网络带来海量数据同步传输的巨大压力并由此导致网络大面积拥塞。该文充分认识此次大规模、成建制开展在线教育教学实践对底层信息网络提出的持续大规模高密度同步传输、分组式成员动态管理和资源跨域共享安全控制等组网性能需求，基于将VPN的安全性与组播数据传输的高效性相结合的设计思路给出了域内组播、全域组播和域间混合组播等三种“VPN+组播”组网技术设计方案，并通过仿真实现了GRE over IPSec VPN上的全域组播。仿真结果表明，“VPN+组播”组网技术能够实现组成员管理、交互式安全协商和数据加密传输，既可有效支持疫情防控期间大规模线上直播教学业务，又可为建设适应未来教学资源共享常态化发展的基础网络提供关键技术支撑。