文/陶晉

自助服務(wù)系統(tǒng)讓校園網(wǎng)申請更便捷

文/陶晉

在當(dāng)前國內(nèi)高校的數(shù)字化建設(shè)中, 網(wǎng)絡(luò)服務(wù)始終是最基礎(chǔ)最重要的部分，如何使師生能更方便地申請和使用網(wǎng)絡(luò)，同時規(guī)范網(wǎng)絡(luò)申請的管理流程，上海財經(jīng)大學(xué)網(wǎng)絡(luò)中心對此問題做了專門研究，設(shè)計并建設(shè)了校園網(wǎng)絡(luò)自助服務(wù)系統(tǒng)。

對上海財經(jīng)大學(xué)的學(xué)生來說，以往，如要申請校園網(wǎng)需首先登錄網(wǎng)上平臺提交申請訂單，然后管理員根據(jù)訂單在校內(nèi)Radius服務(wù)器中添加對應(yīng)的賬號。隨后根據(jù)用戶申請的賬號類型劃分不同的VLAN，因此管理員還需手工找出用戶的網(wǎng)絡(luò)端口，登錄到對應(yīng)的網(wǎng)絡(luò)交換機修改VLAN標(biāo)識號。用戶提交完訂單后還需到學(xué)生服務(wù)中心pos機上去刷校園卡，全部完成后通知用戶到系統(tǒng)中去獲取最新的賬號密碼。整個網(wǎng)絡(luò)服務(wù)的申請流程不夠智能化，需要建設(shè)一個高效自動化的服務(wù)系統(tǒng)，既可以簡化用戶的申請過程，獲得更好的使用體驗，也可以減輕網(wǎng)絡(luò)管理員的工作量，提高管理效率。

上海財經(jīng)大學(xué)網(wǎng)絡(luò)中心設(shè)計并建設(shè)了一套校園網(wǎng)絡(luò)自助服務(wù)系統(tǒng)。該系統(tǒng)整合了相關(guān)公司的智能管理平臺，用于網(wǎng)絡(luò)賬號的管理。同時，為師生提供了電信和聯(lián)通多個運營商的接入選擇，針對不同的接入網(wǎng)絡(luò)劃分不同的VLAN虛擬局域網(wǎng)，因此系統(tǒng)也整合了VLAN的自動切換功能，用于接入網(wǎng)絡(luò)的轉(zhuǎn)化。考慮到移動終端的日益普及，系統(tǒng)除了傳統(tǒng)的B/S網(wǎng)頁架構(gòu)，還結(jié)合上海財經(jīng)大學(xué)微信企業(yè)號部署了移動端的應(yīng)用接入，并設(shè)計建設(shè)了支付平臺，支持用戶通過網(wǎng)上微信支付。將部分重要的網(wǎng)絡(luò)監(jiān)控集成進微信應(yīng)用，通過微信通知管理員及時進行處理。

圖1 相關(guān)系統(tǒng)框架下設(shè)計的接口方案

校園網(wǎng)自助服務(wù)系統(tǒng)Radius解決方案

上海財經(jīng)大學(xué)的有線網(wǎng)絡(luò)使用了802.1x認(rèn)證協(xié)議，Radius采用了相關(guān)公司的IMC智能管理平臺。在這樣的系統(tǒng)框架下，設(shè)計了接口方案，如圖1所示。自助服務(wù)系統(tǒng)后臺采用Java開發(fā)，通過SOAP協(xié)議進行跨語言、跨操作系統(tǒng)的互操作。智能管理平臺采用了SOA基于服務(wù)的架構(gòu)，設(shè)計采用了Apache Axis2的WebService框架。

下面描述下接口調(diào)用的具體過程：

1.首先使用Axis2中的ConfigurationContextFactory類獲得配置上下文，創(chuàng)建一個用于保持Session狀態(tài)的ServiceClient實體，使多個Service可在同一個Session中處理。

2.調(diào)用login(imcEndpointStr,sc)接口登錄IMC服務(wù)器，使用stub.toOM(login, true)方法構(gòu)造SOAP報文，然后通過stub轉(zhuǎn)換為OMElement，再使用之前的ServiceClient對象發(fā)送該SOAP報文。發(fā)送結(jié)束后，還會收到回應(yīng)SOAP報文，用Stub創(chuàng)建的回應(yīng)實體Response來解析這個SOAP報文。在對操作員的身份驗證及ACL合法性檢查通過之后，才能調(diào)用后續(xù)的其他接口進行業(yè)務(wù)處理。

3.接下來就可以使用同樣的方式調(diào)用其他接口進行相應(yīng)的業(yè)務(wù)處理了。業(yè)務(wù)功能接口中，提供了接入用戶的增刪改查等功能，還包括按賬號進行服務(wù)申請或服務(wù)注銷等操作。

4.當(dāng)客戶端程序退出或是客戶端注銷時，需調(diào)用logout(imcEndpointStr,sc)接口，進行操作員注銷。

如圖2所示，考慮到客戶端在與IMC服務(wù)器通信過程中需對用戶的賬號密碼等敏感數(shù)據(jù)進行加密，為了保證用戶可鑒別性和交互信息的安全性，設(shè)計采用了非對稱密鑰的加密體制，即公鑰和私鑰。由IMC自己生成client.ks和service.ks，service.ks通過client.cer獲得client的公鑰，client.ks通過service.cer獲取到server的公鑰，同時完成雙方的cer信息認(rèn)可。之后我們就可以對傳輸?shù)腟OAP報文進行簽名和3DES加密。

在整合了IMC服務(wù)接口模塊后，自助服務(wù)系統(tǒng)就能對用戶賬號進行智能的管理了，在前端門戶系統(tǒng)中增加對后臺Radius服務(wù)器操作的支持，既方便了廣大師生用戶維護自己的賬號，又減輕了網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)，提高了管理效率。

圖2 設(shè)計采用了非對稱密鑰的加密體制

校園網(wǎng)自助服務(wù)系統(tǒng)網(wǎng)絡(luò)切換方案

在網(wǎng)絡(luò)切換方案中，首先在之前所述的Radius服務(wù)器上通過接口得到認(rèn)證數(shù)據(jù)包，然后綁定用戶名與發(fā)送上來的終端設(shè)備MAC物理地址間的對應(yīng)關(guān)系。接著需要遍歷整個校園網(wǎng)的網(wǎng)絡(luò)交換機，找到上述MAC與交換機網(wǎng)絡(luò)端口間的關(guān)系。通過MAC這個橋梁，就能實時得到用戶與網(wǎng)絡(luò)端口的映射表，以及該端口上的VLAN標(biāo)識號。最后系統(tǒng)就能自動根據(jù)用戶申請的某個具體網(wǎng)絡(luò)業(yè)務(wù)，配置相應(yīng)的VLAN，進行網(wǎng)絡(luò)切換。

在自助服務(wù)系統(tǒng)中，設(shè)計通過SNMP網(wǎng)絡(luò)管理協(xié)議去獲取MAC與網(wǎng)絡(luò)設(shè)備端口的映像表。采用該協(xié)議是考慮到它是當(dāng)前網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)，絕大多數(shù)設(shè)備廠商都提供了對它的支持，且該協(xié)議基于UDP，面向無連接，傳輸數(shù)據(jù)效率較高。而上海財經(jīng)大學(xué)校園網(wǎng)本身網(wǎng)絡(luò)設(shè)備眾多，且需不時地進行掃描更新，因此在這樣的體系架構(gòu)下采用此協(xié)議比較合適。

選擇SNMP4J開源包來實現(xiàn)底層協(xié)議傳輸。找到MIB樹中的dot1qTpFdbTable表，經(jīng)過某個網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)的單播物理地址信息被保存在該表中，dot1qTpFdbTable還包含了dot1qTpFdbPort和dot1qTpFdbStatus等只讀屬性的OID節(jié)點，分別表示終端設(shè)備MAC物理地址，交換機端口，端口上的VLAN標(biāo)識號等。系統(tǒng)對這張表進行讀取，將SNMP協(xié)議報文中的PDU類型設(shè)置成GETNEXT，不斷進行輪詢直到讀取表的最后一行。

在設(shè)置網(wǎng)絡(luò)設(shè)備中的VLAN時，選擇了dot1qPortVlanTable表中的dot1qPvid節(jié)點進行操作。該OID節(jié)點表示經(jīng)過該設(shè)備端口轉(zhuǎn)發(fā)的tagged和ntagged幀的VLAN標(biāo)識號，是可讀寫的。找到該表中需要設(shè)置的某行端口，將SNMP協(xié)議報文中的PDU類型設(shè)置成SET，數(shù)據(jù)類型為Integer32，執(zhí)行寫入操作。最后操作完成后還需對該設(shè)備上的MIB配置保存節(jié)點進行寫入操作，將RAM內(nèi)存中的配置文件寫入到NVRAM啟動配置文件中，以免RAM中的配置內(nèi)容斷電后丟失。

另外，在設(shè)置完成后，也需要定期將前面網(wǎng)絡(luò)設(shè)備各端口上的VLAN信息進行保存，當(dāng)設(shè)備出現(xiàn)故障時方便網(wǎng)絡(luò)管理員進行替換。對此，設(shè)計采用了Tftp協(xié)議，當(dāng)系統(tǒng)中保存網(wǎng)絡(luò)設(shè)備配置的線程被喚醒時，在服務(wù)器上啟動該協(xié)議的服務(wù)端守護進程，自助服務(wù)系統(tǒng)則通過Telnet協(xié)議登錄到各網(wǎng)絡(luò)設(shè)備中，執(zhí)行保存到該Tftp服務(wù)器的操作。

網(wǎng)絡(luò)設(shè)備管理軟件與移動微信應(yīng)用的協(xié)同配合

根據(jù)上文所述，自助服務(wù)系統(tǒng)會根據(jù)用戶申請的不同網(wǎng)絡(luò)業(yè)務(wù)，自動在網(wǎng)絡(luò)設(shè)備端口上配置對應(yīng)的VLAN標(biāo)識。在絕大多數(shù)情況下，這種模式都是正確的。但不能排除某些意外的場景，比如用戶名本身有問題等，這時就需要管理員的干預(yù)了。對此，專門設(shè)計了解決方案，在學(xué)校的微信企業(yè)號應(yīng)用中添加了一個網(wǎng)絡(luò)管理模塊，只有擁有該權(quán)限的用戶方可進入，該模塊對一般用戶是不可見的。網(wǎng)絡(luò)管理員在應(yīng)用菜單中手工輸入用戶名等信息，系統(tǒng)會根據(jù)網(wǎng)絡(luò)管理協(xié)議的掃描結(jié)果找出與之對應(yīng)的網(wǎng)絡(luò)設(shè)備端口。然后管理員就可根據(jù)用戶的實際情況，在微信菜單提供的幾種網(wǎng)絡(luò)業(yè)務(wù)切換選項中進行操作。

另外，將設(shè)備端口上的進出流量及廣播組播等監(jiān)控參數(shù)集成了進來。通過對MIB樹中ifXTable表里的ifHCInOctets、ifHCOutOctets、ifHCInBroadcastPkts、ifHCOutBroadcastPkts等參數(shù)進行定時采樣，獲取網(wǎng)絡(luò)設(shè)備端口上各數(shù)值在一段時間內(nèi)的增量，進而得出這段時間內(nèi)網(wǎng)絡(luò)設(shè)備端口上的流量及廣播包數(shù)據(jù)。該表將原先的32位類型數(shù)據(jù)升級到了64位，擴充了對高流量網(wǎng)絡(luò)設(shè)備端口的支持。當(dāng)系統(tǒng)通過監(jiān)控發(fā)現(xiàn)某設(shè)備端口流量出現(xiàn)異?；蚴菑V播組播包數(shù)目異常，就會觸發(fā)服務(wù)告警，通過微信消息推送到相關(guān)人員進行處理，同時該微信網(wǎng)絡(luò)管理應(yīng)用菜單中也包含了對該端口的斷開等操作，由管理員根據(jù)實際情況決定是否斷開某個異常端口，以保證校園網(wǎng)整體的穩(wěn)定運行。利用該系統(tǒng)，曾經(jīng)成功處理過一起故障。當(dāng)時系統(tǒng)偵測到某個交換機設(shè)備端口上廣播包數(shù)目異常，在5秒內(nèi)收到30多萬個廣播數(shù)據(jù)包，通過微信消息通知，網(wǎng)絡(luò)管理員在1分鐘內(nèi)就鎖定了該端口。然后通過觀察，發(fā)現(xiàn)該端口下存在環(huán)路。因為大量的數(shù)據(jù)包需要處理，進而導(dǎo)致核心設(shè)備CPU使用率上升到了百分之六十多，全網(wǎng)出現(xiàn)故障。網(wǎng)絡(luò)管理員當(dāng)即斷開該端口，隨后整網(wǎng)恢復(fù)正常。正因為微信通知及時，操作方便，整個故障從出現(xiàn)到解決沒有超過2分鐘。

上述管理模塊是提供給網(wǎng)絡(luò)管理員使用的，隨著移動微信的日益普及，上海財經(jīng)大學(xué)微信企業(yè)號的注冊師生用戶數(shù)已有16000多人，普及率超過95%，因此在設(shè)計自助服務(wù)系統(tǒng)時通過建立消息型應(yīng)用和配置自定義菜單，將自助服務(wù)系統(tǒng)用戶端的功能和網(wǎng)絡(luò)事件的通知也集成到了學(xué)校的微信企業(yè)號中，給一般用戶使用。

用戶點擊該微信企業(yè)號的自助服務(wù)應(yīng)用，通過手機相冊上傳身份證照片，補全個人信息，然后根據(jù)自己需要來選擇電信或聯(lián)通的上網(wǎng)卡，能直接使用手機微信來完成支付，系統(tǒng)后臺處理完成之后會將賬號密碼通過微信消息通知該用戶，完成整個流程。整個過程可隨身通過手機在1至2分鐘內(nèi)完成，簡化了之前繁瑣的申請流程，給廣大師生帶來了極大方便。在日后使用過程中，用戶如遺忘了自己的賬號，也隨時可通過該微信應(yīng)用找到自己名下所有的賬戶信息。當(dāng)某些網(wǎng)絡(luò)網(wǎng)段出現(xiàn)故障需要維護，系統(tǒng)也會提前通過消息通知給相關(guān)用戶，讓他們獲知當(dāng)前網(wǎng)絡(luò)出現(xiàn)故障將中斷多長時間，管理員正在盡快解決，增加了網(wǎng)絡(luò)服務(wù)的透明度。

微信網(wǎng)上支付方案

支付方面，原先采用校園一卡通在pos機上刷卡的方式。效率低下，需要人工干預(yù)，往往造成每年學(xué)生入學(xué)高峰期間長時間的排隊。因此在設(shè)計自助服務(wù)系統(tǒng)的支付功能時，摒棄了原先的做法，統(tǒng)一使用微信網(wǎng)上支付的方案。在架構(gòu)中添加了支付平臺這一層，它將前端業(yè)務(wù)商戶系統(tǒng)和后端微信支付系統(tǒng)隔離開來，對業(yè)務(wù)系統(tǒng)來說只需向支付平臺發(fā)送支付請求即可，不用關(guān)心財務(wù)賬號歸屬等細節(jié)問題，降低了系統(tǒng)的耦合性。在自助服務(wù)系統(tǒng)中統(tǒng)一使用POST提交表單的方式，將參數(shù)傳遞到支付平臺，支付平臺支持兩種模式JSAPI和微信掃碼支付。使用JSAPI用戶可以在微信內(nèi)打開網(wǎng)頁，調(diào)起微信支付控件后輸入密碼完成訂單支付，支付平臺返回支付結(jié)果并跳轉(zhuǎn)到指定的頁面。而微信掃碼支付中支付平臺會返回訂單號和二維碼字符串給自助服務(wù)系統(tǒng)，由系統(tǒng)將該字符串生成二維碼并顯示在網(wǎng)頁上，供用戶掃描二維碼進行支付。

支付平臺的輸入及回調(diào)參數(shù)方面，設(shè)計了業(yè)務(wù)系統(tǒng)接入碼、業(yè)務(wù)系統(tǒng)訂單號、商品ID與描述、收費金額、交費人編號姓名、跳轉(zhuǎn)頁面的URL、時間戳等參數(shù)，以及通過md5方式對上述參數(shù)進行數(shù)據(jù)加密。平臺還設(shè)計提供了對賬統(tǒng)計功能，可通過api實時獲取微信支付平臺的信息，包括交易的金額與筆數(shù)、交易時間、支付方式等信息，與自助服務(wù)系統(tǒng)進行比對，核實兩者之間的數(shù)據(jù)是否匹配一致。

圖3是設(shè)計的自助服務(wù)系統(tǒng)后臺商戶JSAPI支付的整個流程。由系統(tǒng)生成圖文消息，展示給用戶。用戶打開微信客戶端點擊該圖文消息，在該客戶端網(wǎng)頁內(nèi)請求生成支付訂單，并向支付平臺發(fā)送支付請求，再由支付平臺向微信支付系統(tǒng)發(fā)起支付請求。微信支付系統(tǒng)生成預(yù)付單并將該信息返回支付平臺，支付平臺根據(jù)預(yù)付單信息生成支付參數(shù)并將參數(shù)返回微信客戶端。

隨后用戶在微信客戶端發(fā)起支付并將參數(shù)傳遞給微信支付系統(tǒng)，支付系統(tǒng)校驗參數(shù)合法性和授權(quán)，返回微信客戶端校驗結(jié)果，并要求支付授權(quán)。微信客戶端提示用戶輸入密碼，用戶確認(rèn)訂單信息并支付，客戶端將支付授權(quán)發(fā)送給微信支付系統(tǒng)。微信支付系統(tǒng)異步通知支付平臺支付結(jié)果，同時支付平臺通知微信支付系統(tǒng)處理的結(jié)果，支付系統(tǒng)再通知微信客戶端支付結(jié)果，并發(fā)送微信消息提示。支付平臺異步通知自助服務(wù)系統(tǒng)支付結(jié)果，同時通知微信客戶端跳轉(zhuǎn)到指定頁面完成整個流程。

圖3 設(shè)計的自助服務(wù)系統(tǒng)后臺商戶JSAPI支付的流程

自助服務(wù)系統(tǒng)應(yīng)用效果

通過設(shè)計建設(shè)自助服務(wù)系統(tǒng)，上海財經(jīng)大學(xué)網(wǎng)絡(luò)信息中心將網(wǎng)絡(luò)申請維護過程中一些原本孤立繁瑣的操作，包括管理員對Radius賬號的管理、查找文檔并登錄到網(wǎng)絡(luò)交換機中修改配置、對網(wǎng)絡(luò)環(huán)境的監(jiān)控、人工進行pos刷卡繳費、定時統(tǒng)計核實賬務(wù)情況、通知用戶綁定的賬號信息等過程進行了優(yōu)化整合，實現(xiàn)了自動化和智能化，且以該系統(tǒng)為核心統(tǒng)一進行管理。

（作者單位為上海財經(jīng)大學(xué)教育技術(shù)中心）