疫情下面向大規(guī)模直播教學的組網(wǎng)技術研究

林俏伶，胡曦明,2*，李 鵬,2

(1.陜西師范大學 計算機科學學院，陜西 西安 710119；2.現(xiàn)代教學技術教育部重點實驗室，陜西 西安 710119)

0 引 言

疫情防控期間，全國高校按照教育部《關于在疫情防控期間做好普通高等學校在線教學組織與管理工作的指導意見》(以下簡稱《指導意見》)的統(tǒng)一部署，全面實施網(wǎng)上教學；各地中小學按照教育部、工信部聯(lián)合印發(fā)的《關于在中小學延期開學期間“停課不停學”有關工作安排的通知》(以下簡稱《通知》)要求，各地各校因地制宜實施多樣化遠程教學。從湖北[1]、山西[2]、浙江[3]等省教育主管部門發(fā)布的疫情期間教學指導意見并結(jié)合在線教學實踐來看，線上直播、網(wǎng)絡錄播和點播是基于互聯(lián)網(wǎng)開展遠程教學的三大方案。據(jù)調(diào)查顯示，最受師生歡迎和線上應用率最高的方案是在線直播。據(jù)黑龍江省高校統(tǒng)計，在29.6萬個在線課堂中直播課堂約20.6萬余個(占比近70%)，約70%的學生表示更喜歡直播課堂和包括直播課堂在內(nèi)的混合式課堂[4]；另據(jù)江蘇省高等教育學會面向蘇南地區(qū)10所“雙高計劃”高職院校開展線上教學情況調(diào)研發(fā)現(xiàn)，教師使用騰訊課堂、釘釘?shù)绕脚_線上教學采用直播授課的占比最高[5]；廈門大學通過對6所新老不同的地方本科院校在線教學質(zhì)量報告進行統(tǒng)計分析發(fā)現(xiàn)，不論是教師還是學生認可“直播+在線互動”的比例均超過了其他線上教學模式[6]。深入分析疫情下大規(guī)模線上直播教學對數(shù)據(jù)承載網(wǎng)絡的組網(wǎng)性能需求，并針對性提出切實可行的組網(wǎng)技術解決方案，不斷開拓適宜國內(nèi)教育需要的信息化技術新路徑，從而進一步釋放“互聯(lián)網(wǎng)+教育”巨大潛能和動力，使得主動服務國家教育現(xiàn)代化事業(yè)成為富有緊迫性、基礎性和應用價值的重要現(xiàn)實課題。

1 大規(guī)模線上直播教學的組網(wǎng)需求

1.1 持續(xù)大規(guī)模高密度同步傳輸

按照教育部2020年5月20日發(fā)布的《2019年全國教育事業(yè)發(fā)展統(tǒng)計公報》，國內(nèi)各級各類學校53.01萬所，各級各類學歷教育在校生規(guī)模達2.82億人，其中高校在校生0.4億人，中小學在校生1.8億[7]。面向如此大規(guī)模的學生實施群體性的網(wǎng)絡教學史無前例，與高?！耙恍Ｒ徊?、一校多策”在線直播采取分課程分班分階段的分化分流實施方式不同，基礎教育階段直播教學通常在省級統(tǒng)一部署下按教育部《義務教育課程方案》和《普通高中課程方案》規(guī)定的課程和課時，按正常上課時間面向全地區(qū)中小學生進行同步課程直播教學。

例如，江西省教育廳印發(fā)《江西省中小學2020年寒假及春季學期延期開學期間線上教育教學實施方案》，按照全省統(tǒng)一課表、統(tǒng)一課程、統(tǒng)一進度的“三個統(tǒng)一”，從2月10日起開展除初三、高三外的全省622萬中小學生統(tǒng)一同步在線教學，同步課程通過江西省中小學線上教學平臺“贛教云”以及有線電視、江西IPTV等渠道進行直播[8]；西安市教育局1月30日印發(fā)《西安市2020年春季學期中小學幼兒園延期開學“停課不停學”工作方案》由市教育局統(tǒng)一組織，2月10日起全市中小學所有學科課程按統(tǒng)一的直播課表通過西安市優(yōu)質(zhì)教育資源共享平臺和西安教育電視臺向全市中小學生進行同步直播[9]。各地市集中性的同步網(wǎng)上教學給底層承載網(wǎng)絡帶來了持續(xù)性的大規(guī)模高密度用戶同步數(shù)據(jù)傳輸流量，如此前所未有的海量同步數(shù)據(jù)承載負荷給網(wǎng)絡傳輸服務帶來巨大壓力，由此造成2月10日開始線上直播教學當天各地頻現(xiàn)網(wǎng)絡卡頓、無響應甚至網(wǎng)絡崩潰。從技術層面看，區(qū)域性大規(guī)模成建制在線直播教學業(yè)務對網(wǎng)絡組網(wǎng)提出了承載持續(xù)性大規(guī)模高密度同步傳輸數(shù)據(jù)的新需求。

1.2 分組式成員動態(tài)管理

面對網(wǎng)絡擁堵難以保障在線直播教學服務的實際情況，各地加大基于電視的“空中課堂”投放力度，對網(wǎng)絡直播教學實施分流。例如，江西廣電有線電視和中國電信江西IPTV等電視運營商先后安排了30個電視頻道，總共免費開通120個專用頻道，同時省教育廳特別推薦使用電視收看同步課程，通過分流用戶極大緩解了“贛教云”平臺在線直播遭遇的“卡、堵”[10]。通過調(diào)整或新開通電視頻道架設同步課程教學，“空中課堂”來保障“停課不停學”成為疫情期間全國各地的普遍做法和有益經(jīng)驗。據(jù)5月14日教育部疫情期間大中小學在線教育情況和下一步工作考慮發(fā)布會上教育部基礎教育司司長呂玉剛介紹，為確保網(wǎng)絡暢通，教育部在工信部和國家廣播電視總局的大力支持下，于2月17日正式開通中國教育電視臺空中課堂。疫情防控期間，中國教育電視臺空中課堂收視率大幅躍升，在全國各大衛(wèi)視關注度排名中進入前十[11]。由于電視的數(shù)據(jù)傳輸方式采用“一對多”的廣播方式，網(wǎng)絡的數(shù)據(jù)承載量不會由于用戶規(guī)模的增加而線性增長，因此可以承載海量用戶。但是不論是基于有線電視還是IPTV的“空中課堂”都存在處于源端的老師無法對處于電視終端的學生進行個性化學習管理的技術性短板，這與早期的“電視大學”局限十分相似。想要從教學質(zhì)量和教學管理上保證線上直播教學與線下實體課堂教學實質(zhì)等效，就需要線上直播教學能支持分學科分班級分課程等分組方式基礎之上的成員動態(tài)管理，例如創(chuàng)建學習群、群組成員加入與退出等，從而有效支撐在線直播教學過程中線上發(fā)布作業(yè)、分組討論、答疑輔導等教學活動。

1.3 資源跨域共享安全控制

疫情期間，按照政府主導、高校主體、社會參與的方式，線上優(yōu)質(zhì)教育教學資源共享除了通過由國家、省市各級政府主導的國家中小學網(wǎng)絡云平臺、國家精品在線開放課程以及27個省級網(wǎng)絡學習平臺等直接輸出型供給之外，以高校為主體、社會廣泛參與的校際合作，跨校課程和校地協(xié)同等各主體間交互型資源共享與直接輸出型供給實現(xiàn)了優(yōu)勢互補，成為新的亮點。例如，清華大學先后與華中科技大學、武漢大學、華中農(nóng)業(yè)大學、新疆大學、太原理工大學等5所高校通過校際合作對接、跨校域及地域共享資源，實現(xiàn)了5校學生云端同上清華[11]。主體之間跨校域及地域的資源共享，對于構建更大范圍的開放學習體系具有廣闊的應用前景，但在資源跨域共享過程中也存在安全隱患。由于各主體的安全控制策略不盡相同，主體間的資源跨域共享過程中必然面臨域間的安全協(xié)商與安全準入、資源跨域安全傳輸以及信息安全保密等安全性挑戰(zhàn)，尤其對于面向未成年人的基礎教育資源跨域共享的安全控制更值得高度關注，為此《指導意見》在工作保障部分將“確保在線教學安全平穩(wěn)運行”單列為一條予以特別強調(diào)。

2 基于“VPN+組播”的組網(wǎng)技術

疫情期間在線教學實踐表明，一是，線上直播深得一線師生認可，但同時帶來持續(xù)大規(guī)模高密度同步傳輸需求給底層數(shù)據(jù)承載網(wǎng)絡造成巨大壓力；二是，基于電視的“空中課堂”通過一對多的傳輸方式能夠有效保障遠程直播教學，但又存在不支持分組式成員動態(tài)管理的技術性短板；再者，主體間的資源跨域共享安全控制的需求愈發(fā)強烈。該文以實踐經(jīng)驗為基礎、以問題為導向，探索將VPN的安全性與組播數(shù)據(jù)傳輸?shù)母咝韵嘟Y(jié)合的“VPN+組播”組網(wǎng)技術，既可為當前大規(guī)模線上直播教學提供關鍵性基礎網(wǎng)絡技術支撐，又能為面向未來線上教育發(fā)展開拓切實可行的技術途徑。

2.1 方案設計

(1)方案一：域內(nèi)組播。

在虛擬專用網(wǎng)(virtual private network，VPN)的隧道技術中，大部分隧道協(xié)議支持數(shù)據(jù)單播，這使得利用VPN單播成為跨公網(wǎng)傳輸數(shù)據(jù)的優(yōu)先選擇。針對直播教學課堂中的視頻數(shù)據(jù)可先通過單播的方式從VPN隧道源端口點對點傳送到目的端口，進而使目的端口處的路由器在接收到視頻數(shù)據(jù)后通過域內(nèi)組播的方式發(fā)送給目的域中需要該視頻數(shù)據(jù)的接收者，形成一種VPN跨公網(wǎng)單播、局部域內(nèi)網(wǎng)組播的組網(wǎng)方式，詳見圖1學校A與對接學校B或?qū)訉W校C之間的數(shù)據(jù)傳輸方式。

(2)方案二：全域組播。

隨著VPN業(yè)務的深入，不同的實際應用對VPN組播業(yè)務提出了新的需求。利用傳統(tǒng)的VPN技術與組播技術相結(jié)合，使得VPN能支持組播數(shù)據(jù)流跨公網(wǎng)安全傳輸，且無需進行單播到組播的數(shù)據(jù)轉(zhuǎn)換，直接將組播數(shù)據(jù)送達至組播接收方所在的目標網(wǎng)絡，既可以提高組播數(shù)據(jù)的傳輸效率，也能夠增強VPN隧道對不同數(shù)據(jù)的兼容性，詳見圖1學校A與對接學校D之間的數(shù)據(jù)傳輸方式。

圖1 方案設計拓撲

(3)方案三：域間混合組播。

針對不同網(wǎng)段的多元化需要，可將VPN中單播和VPN中組播的方式相結(jié)合，形成一種混合式組網(wǎng)方案，即部分VPN采用的是僅支持單播的隧道協(xié)議，數(shù)據(jù)到達目標網(wǎng)絡后再進行組播；其他采用的是支持組播的VPN，組播數(shù)據(jù)直接通過VPN隧道到達目標網(wǎng)絡及其組播接收方，具體如圖1學校A與各對接學校間的數(shù)據(jù)傳輸所示。這種混合式的組網(wǎng)方案與前兩種方案相比靈活性和可擴展性更強，適合不同網(wǎng)絡傳輸視頻數(shù)據(jù)。

2.2 工作機制

如圖2所示，基于“VPN+組播”的組網(wǎng)方案的工作過程分為三個階段：

圖2 組網(wǎng)方案工作過程

(1)階段一：組成員管理。

組播接收方需要向組播組注冊成為該組的成員，以告知組播源自身所需的數(shù)據(jù)及所處的目標網(wǎng)絡。通常由連接組播接收方的最后一跳路由器完成Internet組管理協(xié)議(internet group management protocol，IGMP)的管理，即對組播組成員進行加入、離開、查詢等行為的組播組注冊信息管理[12-13]，如圖2階段一所示，其中隧道邊緣路由器A將同時充當組播接收方的最后一跳路由器。IGMP管理能夠提高數(shù)據(jù)分發(fā)的準確性和針對性，提出分組分級的概念，協(xié)助完成組播數(shù)據(jù)一對多高效傳輸?shù)娜蝿铡?/p>

(2)階段二：交互式安全協(xié)商。

VPN隧道技術可以有效緩解數(shù)據(jù)在組播網(wǎng)絡傳輸中每段單播網(wǎng)絡內(nèi)的安全漏洞所帶來的影響。在明確組播組成員所處的目標網(wǎng)絡后，通過在組播源服務器和目標網(wǎng)絡之間搭建VPN網(wǎng)絡，能夠進一步實現(xiàn)跨區(qū)域的數(shù)據(jù)傳播和資源共享。而交互式的協(xié)商是搭建VPN隧道過程中必不可少的一步。如圖2階段二所示，安全組播隧道雙方需要動態(tài)建立安全連接，該過程由IPSec安全協(xié)議中的Internet密鑰交換(internet key exchange，IKE)協(xié)議完成[14]，作為后續(xù)數(shù)據(jù)加密、認證、完整性校驗等安全服務的前提。

(3)階段三：數(shù)據(jù)加密傳輸。

為保障組播數(shù)據(jù)傳輸?shù)目煽啃耘c安全性，安全組播隧道綜合了GRE VPN和IPSec VPN兩種技術的優(yōu)勢[15-17]。利用GRE技術對用戶數(shù)據(jù)和路由協(xié)議報文進行隧道封裝，使得VPN支持組播；然后使用IPSec技術來保護GRE隧道的安全[18]，由此構成可運用到組播應用中的GRE over IPSec VPN技術，加密數(shù)據(jù)報文在隧道傳輸中的封裝過程如圖2階段三所示。

3 仿真實現(xiàn)

在上述給出的設計方案的基礎上，該文采用由華為提供的圖形化網(wǎng)絡設備仿真平臺eNSP，主要對網(wǎng)絡路由器、服務器等設備進行軟件仿真，模擬大型網(wǎng)絡。該平臺引用了VLC(video LAN client)跨平臺多媒體播放器工具，允許組播源服務器播放多媒體文件模擬發(fā)送組播數(shù)據(jù)；同時利用Wireshark網(wǎng)絡封包分析軟件進行報文擷取和數(shù)據(jù)測量，為后續(xù)性能分析提供數(shù)據(jù)基礎。

3.1 組網(wǎng)拓撲

在上述分析需求的基礎上，由于域內(nèi)組播和域間混合組播均是全域組播的變形與拓展，故該文選取具有代表性的GRE over IPSec VPN及全域組播方案進行仿真模擬。對于三個對接學校而言，GRE over IPSec VPN的功能實現(xiàn)是相同的，所以仿真實現(xiàn)以其中一個分支的網(wǎng)絡配置為例做具體描述。仿真拓撲如圖3所示，路由器R1代表學校A，路由器R9代表對接學校D，其余路由器模擬Internet網(wǎng)絡，由OSPF協(xié)議實現(xiàn)網(wǎng)絡互聯(lián)互通，其中對接學校網(wǎng)絡D內(nèi)存在組播接收者和普通用戶。

圖3 “VPN+組播”全域組播方案的仿真拓撲

3.2 技術實現(xiàn)

3.2.1 實現(xiàn)步驟

仿真實現(xiàn)的內(nèi)容包括配置組播信息、配置GRE隧道和配置GRE over IPSec VPN，具體步驟如圖4所示。

圖4 實現(xiàn)步驟

(1)配置組播信息。

結(jié)合圖3分析，與組播相關的配置包括給組播網(wǎng)絡設備，如學校A中的組播源服務器和對接學校D中的PC6、PC8設置組播組地址、開啟路由器，如路由器R1、R9的組播功能以及IGMP使能。

(2)配置GRE隧道。

分別對路由器R1和R9配置GRE隧道虛擬源接口和虛擬目的接口的信息，并在組播源所在的學校A網(wǎng)絡中配置靜態(tài)路由，令其下一跳指向隧道口，將組播報文流量引入GRE隧道，使得數(shù)據(jù)流只通過隧道到達組播接收方所在的網(wǎng)絡。

(3)配置GRE over IPSec VPN。

在GRE VPN實現(xiàn)的基礎上繼續(xù)對路由器R1和R9進行IPSec配置，采用IKE動態(tài)協(xié)商方式建立IPSec隧道。在IPSec安全提議的配置中，將封裝模式定義為傳輸模式，與隧道模式相比，傳輸模式下的封裝可以避免因新增IP包頭導致報文長度增加而造成的分片問題；同時采用算法安全性高的對稱加密算法和驗證算法進一步保障隧道的安全。最后，在隧道接口處調(diào)用安全策略并發(fā)起數(shù)據(jù)。

3.2.2 實現(xiàn)過程

GRE over IPSec VPN對組播數(shù)據(jù)的處理如圖5所示。

圖5 組播數(shù)據(jù)穿越隧道傳輸過程及加密報文格式

經(jīng)檢測判斷隧道連通性良好后，由組播源服務器向隧道發(fā)送組播數(shù)據(jù)，從而觸發(fā)GRE隧道感興趣流。組播數(shù)據(jù)進入隧道后先由GRE封裝原始報文的IP包頭信息，產(chǎn)生的新IP包頭的源IP和目的IP均變?yōu)樗淼牢锢斫涌诘刂?。?jīng)過IPSec安全協(xié)商后，由ESP對新IP包頭后的數(shù)據(jù)部分進行加密再封裝，并在加密數(shù)據(jù)尾部提供校驗認證數(shù)據(jù)，這使得被GRE封裝后的原始報文再次被封裝形成加密報文，最終穿越隧道傳輸?shù)竭_隧道目的接口并被解封裝成原始報文發(fā)送給下游的組播接收方。

3.3 數(shù)據(jù)測量與性能分析

3.3.1 組成員管理

IGMP組管理主要針對最后一跳路由器對組成員的查詢和管理，具體體現(xiàn)為組成員通過發(fā)送成員關系報告報文和成員離開報文實現(xiàn)申請加入和離開操作。在GRE隧道實現(xiàn)的基礎上，組播源服務器在發(fā)起組播數(shù)據(jù)后由組播接收方依次執(zhí)行成員的加入和離開操作。

此時捕捉GRE隧道中的報文，觀察到組播組成員的加入和離開操作分別引起PIM協(xié)議對上游組播網(wǎng)絡發(fā)起的加入和剪枝操作，具體如圖6所示。

圖6 PIM協(xié)議加入與剪枝實現(xiàn)組成員管理

由此可知，IGMP能夠?qū)M播組成員進行有效的動態(tài)成員信息管理，與PIM協(xié)議相輔相成，及時將組成員信息反饋給上游網(wǎng)絡中的路由器完成組播網(wǎng)絡的加入和剪枝操作。

3.3.2 交互式安全協(xié)商

當GRE隧道接口應用IPSec安全策略后，抓包發(fā)現(xiàn)，IKE協(xié)商過程分為主模式和快速模式兩個階段，如圖7所示。其中主模式由六個數(shù)據(jù)包完成策略交換、密鑰信息交換和身份和認證信息交換；快速模式由三個數(shù)據(jù)包建立雙方的IPSec安全連接，進一步保障了交互的安全，完成安全協(xié)商。IKE協(xié)商過程及部分抓包結(jié)果如圖8所示。

圖7 IKE協(xié)商報文

圖8 IKE交互協(xié)商過程

3.3.3 數(shù)據(jù)加密傳輸

當網(wǎng)絡中僅搭建GRE隧道時，此時發(fā)起組播流量，在隧道端口處抓包發(fā)現(xiàn)UDP數(shù)據(jù)包，說明組播報文能夠通過GRE隧道穿越公網(wǎng)更高效地傳輸，其抓包結(jié)果如圖9中上側(cè)報文所示。

圖9 組播加密報文

分析捕獲的數(shù)據(jù)報文可知，GRE隧道為原始報文添加了新的IP包頭，允許組播流量通過隧道傳輸，但同時數(shù)據(jù)被暴露，說明此時隧道并不安全，容易造成信息泄露，故需要在傳輸中對數(shù)據(jù)進行加密操作以保障隧道安全。

當完成GRE over IPSec VPN的搭建及進行過安全協(xié)商后再次發(fā)起組播流量，抓包得到ESP數(shù)據(jù)包，如圖9中下側(cè)報文所示，其源地址和目的地址均是隧道的物理接口地址，無組播源地址和組播組地址。仿真結(jié)果說明GRE over IPSec VPN對組播數(shù)據(jù)進行了加密，增強了數(shù)據(jù)傳輸?shù)谋Ｃ苄院桶踩浴?/p>

4 結(jié)束語

疫情防控期間，全國范圍的大中小學校普遍開設線上直播課堂，如此大規(guī)模持續(xù)性的線上直播業(yè)務給數(shù)據(jù)承載網(wǎng)絡帶來海量數(shù)據(jù)同步傳輸?shù)木薮髩毫Σ⒂纱藢е戮W(wǎng)絡大面積擁塞。該文充分認識此次大規(guī)模、成建制開展在線教育教學實踐對底層信息網(wǎng)絡提出的持續(xù)大規(guī)模高密度同步傳輸、分組式成員動態(tài)管理和資源跨域共享安全控制等組網(wǎng)性能需求，基于將VPN的安全性與組播數(shù)據(jù)傳輸?shù)母咝韵嘟Y(jié)合的設計思路給出了域內(nèi)組播、全域組播和域間混合組播等三種“VPN+組播”組網(wǎng)技術設計方案，并通過仿真實現(xiàn)了GRE over IPSec VPN上的全域組播。仿真結(jié)果表明，“VPN+組播”組網(wǎng)技術能夠?qū)崿F(xiàn)組成員管理、交互式安全協(xié)商和數(shù)據(jù)加密傳輸，既可有效支持疫情防控期間大規(guī)模線上直播教學業(yè)務，又可為建設適應未來教學資源共享常態(tài)化發(fā)展的基礎網(wǎng)絡提供關鍵技術支撐。