肖漫漫 劉驥琛 李艷麗 馬迎

摘? ?要：在線教育直播平臺是未來線上線下教育模式相結合的最主要的技術模式。文章針對直播平臺占用帶寬高、多終端并發(fā)接入困難的現(xiàn)象，從網(wǎng)絡架構出發(fā)，采用了公有云與私有云結合的專屬云網(wǎng)絡接入模型，解決了校外訪問直播平臺高并發(fā)情況下帶寬不足的問題，并從數(shù)據(jù)安全的角度采用GRE隧道技術，確保專屬云架構下直播平臺的數(shù)據(jù)安全傳輸，最終在校園網(wǎng)直播平臺的基礎上實現(xiàn)了基于專屬云網(wǎng)絡架構的直播平臺。

關鍵詞：直播平臺;專屬云;云專線;高并發(fā)

中圖分類號：TP393.1 文獻標志碼：A 文章編號：1673-8454（2021）03-0088-04

一、引言

在新冠肺炎疫情的影響下，我國在線教育呈現(xiàn)爆發(fā)式增長，據(jù)統(tǒng)計，2020年我國在線教育用戶規(guī)模達4.23億。[1]由于全國大中小學校推遲開學，在線網(wǎng)絡教學取代了傳統(tǒng)教室教學模式，教學直播平臺進入飛速發(fā)展階段，由此帶來的校園網(wǎng)直播平臺的網(wǎng)絡接入問題也呈現(xiàn)在高校信息化建設者的面前。

由于教學直播平臺涉及數(shù)據(jù)范圍廣、安全要求高，傳統(tǒng)教學直播平臺多部署在校園網(wǎng)私有云架構上，由于直播數(shù)據(jù)高帶寬傳輸?shù)奶攸c，部署在校園網(wǎng)內(nèi)的傳統(tǒng)教學直播平臺會受校園網(wǎng)出口帶寬的限制，因此存在無法滿足全體校外學生訪問的高并發(fā)要求以及校內(nèi)資源不足等問題。同時，隨著云計算技術的日趨成熟，包括公有云、私有云、專屬云在內(nèi)的云計算具有的業(yè)務靈活、成本低、安全性高、可擴展性強和容量大等優(yōu)勢逐漸突顯。

為實現(xiàn)全校師生在校外流暢地訪問校內(nèi)直播平臺以及直播平臺數(shù)據(jù)安全的要求，本文在網(wǎng)絡架構上提出了基于私有云與公有云結合、云資源物理隔離的IP-RAN（IP Radio Access Network，IP的無線接入網(wǎng)）專屬云網(wǎng)絡接入模型，解決了校外訪問校內(nèi)直播平臺高并發(fā)情況下帶寬不足的問題，并從數(shù)據(jù)安全的角度在校園網(wǎng)與專屬云互聯(lián)節(jié)點之間采用GRE（Generic Routing Encapsulation，通用路由封裝）隧道技術，從而確保了專屬云架構下直播平臺的數(shù)據(jù)安全傳輸，最終在校園網(wǎng)直播平臺的基礎上實現(xiàn)了基于專屬云網(wǎng)絡架構的直播平臺。

二、關鍵技術

1.IP-RAN專屬云

專屬云是一種以公有云為基礎、在公有云上物理隔離出來的專屬虛擬化資源池。專屬云內(nèi)提供專用的服務器或服務器集群，并通過虛擬私有網(wǎng)絡等技術實現(xiàn)計算和網(wǎng)絡資源的隔離，同時使用可靠先進的存儲和安全技術，實現(xiàn)專屬云的安全和高可用性。目前應用較為廣泛的專屬云網(wǎng)絡接入模型主要包含IPSec（IP Security，IP安全）云專線、EPON（Ethernet Passive Optical Network，以太網(wǎng)無源光網(wǎng)絡）云專線、IP-RAN云專線，本文主要采用的是基于IP-RAN技術的專屬云網(wǎng)絡接入模型（即IP-RAN云專線）。[2]

IP-RAN即無線接入網(wǎng)IP化，[3]是一種應用場景較多的移動IP承載技術，IP-RAN技術基于IP/MPLS（多協(xié)議標記交換）技術標準體系，并支持MPLS-TP（傳送多協(xié)議標記交換）標準協(xié)議。相對于傳統(tǒng)的電路交換傳送網(wǎng)絡，IP-RAN是基于包交換的分組傳送網(wǎng)絡，并引入了BFD（Bidirectional Forwarding Detection，雙向轉發(fā)檢測）、FRR（Fast Reroute，快速重路由）、PWE3（Pseudo-Wire Emulation Edge to Edge，邊緣到邊緣的偽線仿真）、IEEE 1588v2、RSVP（Resource ReSerVation Protocol，資源預留協(xié)議）、BGP/OSPF/IS-IS等協(xié)議，實現(xiàn)了快速連通性檢測、業(yè)務快速保護、TDM業(yè)務仿真、業(yè)務時鐘同步、保留帶寬路徑、多路由協(xié)議支持等功能，同時兼容傳統(tǒng)SDH、ATM、幀中繼、以太網(wǎng)等業(yè)務。

2.GRE隧道技術

隧道技術是一種VPN（Virtual Private Network，虛擬專用網(wǎng)）組網(wǎng)常用的報文封裝技術，隧道利用一種協(xié)議封裝另一種協(xié)議，將其他協(xié)議產(chǎn)生的數(shù)據(jù)報文封裝在自己的報文內(nèi)進行網(wǎng)絡傳輸，報文到達對端之后，再通過解封裝還原出原始數(shù)據(jù)報文。隧道技術基于隧道協(xié)議來實現(xiàn)，GRE協(xié)議是一種三層隧道協(xié)議，其隧道由其兩端的源IP地址和目的IP地址來定義，它允許用戶使用IP封裝IP，并支持全部的路由協(xié)議，如路由信息協(xié)議（RIP）、開放式最短路徑優(yōu)先（OSPF）協(xié)議、內(nèi)部網(wǎng)關路由協(xié)議（IGRP）和增強型內(nèi)部網(wǎng)關路由協(xié)議（EIGRP）。[4]通過GRE封裝，用戶可以使用保留地址進行網(wǎng)絡互聯(lián)，或者對公網(wǎng)隱藏私有IP地址，從而在隧道兩端建立一條安全的網(wǎng)絡傳輸通道。[5]

三、傳統(tǒng)直播平臺

1.傳統(tǒng)直播平臺的網(wǎng)絡架構

傳統(tǒng)直播平臺部署在校園網(wǎng)內(nèi)，通過校園網(wǎng)內(nèi)網(wǎng)環(huán)境與學校統(tǒng)一身份認證平臺、教務系統(tǒng)等信息管理系統(tǒng)實現(xiàn)對接，傳統(tǒng)直播平臺架構如圖1所示。

如圖1所示，教學直播平臺主要由直播業(yè)務平臺、流媒體服務器、錄播服務器、音視頻服務器、存儲服務器五個部分組成。其中直播業(yè)務平臺對接學校統(tǒng)一身份認證平臺和教務系統(tǒng)，主要功能是用戶的統(tǒng)一身份認證、權限分配、直播教室分配等;流媒體服務器負責音視頻數(shù)據(jù)流的推流、拉流、監(jiān)控管理等;錄播服務器提供資源的點播、下載等功能;音視頻服務器對接學校教務系統(tǒng)，實現(xiàn)音視頻、文檔等教學數(shù)據(jù)在直播平臺和教務系統(tǒng)之間的轉解碼功能;存儲服務器實現(xiàn)直播平臺資源的存儲;以上直播平臺各功能服務器均部署在校園網(wǎng)內(nèi)，經(jīng)校園網(wǎng)出口與互聯(lián)網(wǎng)連接。

2.傳統(tǒng)直播平臺面臨的問題

基于上述傳統(tǒng)直播平臺網(wǎng)絡架構，直播平臺部署在校園私有云內(nèi)，面臨以下幾個問題：

（1）出口帶寬資源不足

師生在校外訪問直播平臺時均需經(jīng)過校園網(wǎng)出口，因此在高并發(fā)用戶的使用場景中，校園網(wǎng)出口帶寬遠不足以支撐直播平臺。以中國人民大學為例，為保障直播視頻流的清晰度，直播單用戶帶寬需為2Mbps，我校整體出口帶寬為10Gbps，在校園網(wǎng)全部出口帶寬均用于直播平臺的情況下，也僅能支持最多5000人同時在線參與直播教學，遠不能滿足實際用戶需求。

set ip 10.12.40.10 255.255.255.252 //配置防火墻和校園網(wǎng)之間互聯(lián)地址

直播平臺部署在專屬云VPC內(nèi)，一個VPC配置一個vRouter作為網(wǎng)關，因此在校園網(wǎng)數(shù)據(jù)中心防火墻一側，配置了校園網(wǎng)vRouter與專屬云vRouter互聯(lián)，同時配置vRouter之間的GRE隧道，確保云專線虛擬鏈路的安全傳輸，詳細配置如下：

edit "vRouter1" //配置校園網(wǎng)側對應vRouter

set vdom "TeleCloud"

set ip 10.254.0.2 255.255.255.255 //配置GRE隧道校園網(wǎng)側地址

set type tunnel

set remote-ip 10.254.0.1 255.255.255.255 //配置GRE隧道專屬云側地址

set interface "portA"

config system gre-tunnel //配置GRE隧道

edit "vRouter1" //

set interface "portA"

set remote-gw 10.1.8.21? //配置專屬云vRouter作為GRE隧道專屬云側網(wǎng)關地址

set local-gw 192.168.248.6 //配置校園網(wǎng)vRouter作為GRE隧道校園網(wǎng)側網(wǎng)關地址

2.校園網(wǎng)內(nèi)至數(shù)據(jù)中心防火墻的路由配置

基礎信息配置完成之后，為保障校內(nèi)用戶經(jīng)校園網(wǎng)訪問云側直播平臺，校園網(wǎng)側還需配置校園網(wǎng)至專屬云VPC的路由信息，配置示例如下：

config router static

set dst 10.40.0.0 255.255.248.0 //目的地址為專屬云VPC服務器地址

set device "vRouter1" //由vRouter1轉發(fā)

set dst 10.1.8.21 255.255.255.255? //目的地址為專屬云vRouter

set gateway 192.168.248.5 //下一跳為專屬云側POP交換機

set device "portA" //由校園網(wǎng)側防火墻A轉發(fā)

數(shù)據(jù)中心防火墻配置完成之后，校園網(wǎng)和數(shù)據(jù)中心核心設備需添加相應路由，以滿足校內(nèi)用戶到云側直播平臺服務器之間的互聯(lián)互通。

3.防火墻安全策略

校內(nèi)直播平臺的專屬云架構在設計時，從安全角度出發(fā)，針對校內(nèi)校外訪問直播平臺的路徑和功能不同，制定了不同的訪問策略：校內(nèi)用戶訪問直播平臺時，不需訪問認證，屬于校園網(wǎng)內(nèi)網(wǎng)訪問;而校外用戶訪問直播平臺時，經(jīng)云側互聯(lián)網(wǎng)入口直接訪問專屬云即可。

因此，在數(shù)據(jù)中心防火墻制定安全策略時，放行校內(nèi)至云側全部數(shù)據(jù)報文，而云側訪問校園網(wǎng)時，僅放行直播平臺相關服務訪問流量，以及專屬云直播平臺至校內(nèi)統(tǒng)一身份認證、教務系統(tǒng)的部分訪問流量，其他專屬云至校園網(wǎng)側的訪問流量均不予放行，具體配置如下：

config firewall policy

edit 1

set name "From Trust To Untrust" //校園網(wǎng)至云側直播平臺

set srcaddr "all"

set dstaddr "all"

set action accept

set schedule "always"

set service "ALL" //放行全部數(shù)據(jù)

next

edit 2

set name "From Untrust to Trust" //云側訪問校園網(wǎng)

set srcaddr "all"

set dstaddr "all"

set action accept

set schedule "always"

set service "電信云視頻會議" "ALL_ICMP" "NFS" //僅允許訪問直播平臺相關服務

next

專屬云訪問統(tǒng)一身份認證等配置不再贅述。

六、總結

針對傳統(tǒng)直播平臺網(wǎng)絡架構占用帶寬高、多終端并發(fā)接入困難等缺點，本文結合當前流行的專屬云技術和服務模式，設計并實現(xiàn)了針對校內(nèi)直播平臺的專屬云網(wǎng)絡架構，并從網(wǎng)絡架構設計、網(wǎng)絡架構實現(xiàn)、專屬云網(wǎng)絡安全的角度闡述了專屬云架構下直播平臺的實現(xiàn)方案，也為在網(wǎng)絡帶寬受限的條件下提高流媒體直播平臺的高可用性和穩(wěn)定性提供了參考思路。目前，基于專屬云架構的直播平臺已應用在校內(nèi)20余間教室，供全校國內(nèi)外3萬余師生使用，因此該平臺更深層次的安全保障機制仍待深入研究。

參考文獻：

[1]中國互聯(lián)網(wǎng)絡信息中心（CNNIC）.第45次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告[R].2020-4-28.

[2]董錚等.公有云承載的多種網(wǎng)絡場景下的專屬云網(wǎng)絡接入模型[C].2019電力行業(yè)信息化年會論文集，2019.

[3]楊興東.淺談IP RAN關鍵技術及其應用前景[J].電子世界，2017（11）：46.

[4]李軍、勞鳳丹等.GRE隧道技術在一卡通專網(wǎng)中的應用研究[J].華中師范大學學報（自然科學版），2017（s1）：161-164.

[5]秦磊華.VPN隧道技術研究[J].計算機工程與科學，2003，25（2）：16-19.

（編輯：王天鵬）