肖漫漫 劉驥琛 李艷麗 馬迎

摘? ?要：在線教育直播平臺(tái)是未來(lái)線上線下教育模式相結(jié)合的最主要的技術(shù)模式。文章針對(duì)直播平臺(tái)占用帶寬高、多終端并發(fā)接入困難的現(xiàn)象，從網(wǎng)絡(luò)架構(gòu)出發(fā)，采用了公有云與私有云結(jié)合的專屬云網(wǎng)絡(luò)接入模型，解決了校外訪問(wèn)直播平臺(tái)高并發(fā)情況下帶寬不足的問(wèn)題，并從數(shù)據(jù)安全的角度采用GRE隧道技術(shù)，確保專屬云架構(gòu)下直播平臺(tái)的數(shù)據(jù)安全傳輸，最終在校園網(wǎng)直播平臺(tái)的基礎(chǔ)上實(shí)現(xiàn)了基于專屬云網(wǎng)絡(luò)架構(gòu)的直播平臺(tái)。

關(guān)鍵詞：直播平臺(tái);專屬云;云專線;高并發(fā)

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-8454（2021）03-0088-04

一、引言

在新冠肺炎疫情的影響下，我國(guó)在線教育呈現(xiàn)爆發(fā)式增長(zhǎng)，據(jù)統(tǒng)計(jì)，2020年我國(guó)在線教育用戶規(guī)模達(dá)4.23億。[1]由于全國(guó)大中小學(xué)校推遲開(kāi)學(xué)，在線網(wǎng)絡(luò)教學(xué)取代了傳統(tǒng)教室教學(xué)模式，教學(xué)直播平臺(tái)進(jìn)入飛速發(fā)展階段，由此帶來(lái)的校園網(wǎng)直播平臺(tái)的網(wǎng)絡(luò)接入問(wèn)題也呈現(xiàn)在高校信息化建設(shè)者的面前。

由于教學(xué)直播平臺(tái)涉及數(shù)據(jù)范圍廣、安全要求高，傳統(tǒng)教學(xué)直播平臺(tái)多部署在校園網(wǎng)私有云架構(gòu)上，由于直播數(shù)據(jù)高帶寬傳輸?shù)奶攸c(diǎn)，部署在校園網(wǎng)內(nèi)的傳統(tǒng)教學(xué)直播平臺(tái)會(huì)受校園網(wǎng)出口帶寬的限制，因此存在無(wú)法滿足全體校外學(xué)生訪問(wèn)的高并發(fā)要求以及校內(nèi)資源不足等問(wèn)題。同時(shí)，隨著云計(jì)算技術(shù)的日趨成熟，包括公有云、私有云、專屬云在內(nèi)的云計(jì)算具有的業(yè)務(wù)靈活、成本低、安全性高、可擴(kuò)展性強(qiáng)和容量大等優(yōu)勢(shì)逐漸突顯。

為實(shí)現(xiàn)全校師生在校外流暢地訪問(wèn)校內(nèi)直播平臺(tái)以及直播平臺(tái)數(shù)據(jù)安全的要求，本文在網(wǎng)絡(luò)架構(gòu)上提出了基于私有云與公有云結(jié)合、云資源物理隔離的IP-RAN（IP Radio Access Network，IP的無(wú)線接入網(wǎng)）專屬云網(wǎng)絡(luò)接入模型，解決了校外訪問(wèn)校內(nèi)直播平臺(tái)高并發(fā)情況下帶寬不足的問(wèn)題，并從數(shù)據(jù)安全的角度在校園網(wǎng)與專屬云互聯(lián)節(jié)點(diǎn)之間采用GRE（Generic Routing Encapsulation，通用路由封裝）隧道技術(shù)，從而確保了專屬云架構(gòu)下直播平臺(tái)的數(shù)據(jù)安全傳輸，最終在校園網(wǎng)直播平臺(tái)的基礎(chǔ)上實(shí)現(xiàn)了基于專屬云網(wǎng)絡(luò)架構(gòu)的直播平臺(tái)。

二、關(guān)鍵技術(shù)

1.IP-RAN專屬云

專屬云是一種以公有云為基礎(chǔ)、在公有云上物理隔離出來(lái)的專屬虛擬化資源池。專屬云內(nèi)提供專用的服務(wù)器或服務(wù)器集群，并通過(guò)虛擬私有網(wǎng)絡(luò)等技術(shù)實(shí)現(xiàn)計(jì)算和網(wǎng)絡(luò)資源的隔離，同時(shí)使用可靠先進(jìn)的存儲(chǔ)和安全技術(shù)，實(shí)現(xiàn)專屬云的安全和高可用性。目前應(yīng)用較為廣泛的專屬云網(wǎng)絡(luò)接入模型主要包含IPSec（IP Security，IP安全）云專線、EPON（Ethernet Passive Optical Network，以太網(wǎng)無(wú)源光網(wǎng)絡(luò)）云專線、IP-RAN云專線，本文主要采用的是基于IP-RAN技術(shù)的專屬云網(wǎng)絡(luò)接入模型（即IP-RAN云專線）。[2]

IP-RAN即無(wú)線接入網(wǎng)IP化，[3]是一種應(yīng)用場(chǎng)景較多的移動(dòng)IP承載技術(shù)，IP-RAN技術(shù)基于IP/MPLS（多協(xié)議標(biāo)記交換）技術(shù)標(biāo)準(zhǔn)體系，并支持MPLS-TP（傳送多協(xié)議標(biāo)記交換）標(biāo)準(zhǔn)協(xié)議。相對(duì)于傳統(tǒng)的電路交換傳送網(wǎng)絡(luò)，IP-RAN是基于包交換的分組傳送網(wǎng)絡(luò)，并引入了BFD（Bidirectional Forwarding Detection，雙向轉(zhuǎn)發(fā)檢測(cè)）、FRR（Fast Reroute，快速重路由）、PWE3（Pseudo-Wire Emulation Edge to Edge，邊緣到邊緣的偽線仿真）、IEEE 1588v2、RSVP（Resource ReSerVation Protocol，資源預(yù)留協(xié)議）、BGP/OSPF/IS-IS等協(xié)議，實(shí)現(xiàn)了快速連通性檢測(cè)、業(yè)務(wù)快速保護(hù)、TDM業(yè)務(wù)仿真、業(yè)務(wù)時(shí)鐘同步、保留帶寬路徑、多路由協(xié)議支持等功能，同時(shí)兼容傳統(tǒng)SDH、ATM、幀中繼、以太網(wǎng)等業(yè)務(wù)。

2.GRE隧道技術(shù)

隧道技術(shù)是一種VPN（Virtual Private Network，虛擬專用網(wǎng)）組網(wǎng)常用的報(bào)文封裝技術(shù)，隧道利用一種協(xié)議封裝另一種協(xié)議，將其他協(xié)議產(chǎn)生的數(shù)據(jù)報(bào)文封裝在自己的報(bào)文內(nèi)進(jìn)行網(wǎng)絡(luò)傳輸，報(bào)文到達(dá)對(duì)端之后，再通過(guò)解封裝還原出原始數(shù)據(jù)報(bào)文。隧道技術(shù)基于隧道協(xié)議來(lái)實(shí)現(xiàn)，GRE協(xié)議是一種三層隧道協(xié)議，其隧道由其兩端的源IP地址和目的IP地址來(lái)定義，它允許用戶使用IP封裝IP，并支持全部的路由協(xié)議，如路由信息協(xié)議（RIP）、開(kāi)放式最短路徑優(yōu)先（OSPF）協(xié)議、內(nèi)部網(wǎng)關(guān)路由協(xié)議（IGRP）和增強(qiáng)型內(nèi)部網(wǎng)關(guān)路由協(xié)議（EIGRP）。[4]通過(guò)GRE封裝，用戶可以使用保留地址進(jìn)行網(wǎng)絡(luò)互聯(lián)，或者對(duì)公網(wǎng)隱藏私有IP地址，從而在隧道兩端建立一條安全的網(wǎng)絡(luò)傳輸通道。[5]

三、傳統(tǒng)直播平臺(tái)

1.傳統(tǒng)直播平臺(tái)的網(wǎng)絡(luò)架構(gòu)

傳統(tǒng)直播平臺(tái)部署在校園網(wǎng)內(nèi)，通過(guò)校園網(wǎng)內(nèi)網(wǎng)環(huán)境與學(xué)校統(tǒng)一身份認(rèn)證平臺(tái)、教務(wù)系統(tǒng)等信息管理系統(tǒng)實(shí)現(xiàn)對(duì)接，傳統(tǒng)直播平臺(tái)架構(gòu)如圖1所示。

如圖1所示，教學(xué)直播平臺(tái)主要由直播業(yè)務(wù)平臺(tái)、流媒體服務(wù)器、錄播服務(wù)器、音視頻服務(wù)器、存儲(chǔ)服務(wù)器五個(gè)部分組成。其中直播業(yè)務(wù)平臺(tái)對(duì)接學(xué)校統(tǒng)一身份認(rèn)證平臺(tái)和教務(wù)系統(tǒng)，主要功能是用戶的統(tǒng)一身份認(rèn)證、權(quán)限分配、直播教室分配等;流媒體服務(wù)器負(fù)責(zé)音視頻數(shù)據(jù)流的推流、拉流、監(jiān)控管理等;錄播服務(wù)器提供資源的點(diǎn)播、下載等功能;音視頻服務(wù)器對(duì)接學(xué)校教務(wù)系統(tǒng)，實(shí)現(xiàn)音視頻、文檔等教學(xué)數(shù)據(jù)在直播平臺(tái)和教務(wù)系統(tǒng)之間的轉(zhuǎn)解碼功能;存儲(chǔ)服務(wù)器實(shí)現(xiàn)直播平臺(tái)資源的存儲(chǔ);以上直播平臺(tái)各功能服務(wù)器均部署在校園網(wǎng)內(nèi)，經(jīng)校園網(wǎng)出口與互聯(lián)網(wǎng)連接。

2.傳統(tǒng)直播平臺(tái)面臨的問(wèn)題

基于上述傳統(tǒng)直播平臺(tái)網(wǎng)絡(luò)架構(gòu)，直播平臺(tái)部署在校園私有云內(nèi)，面臨以下幾個(gè)問(wèn)題：

（1）出口帶寬資源不足

師生在校外訪問(wèn)直播平臺(tái)時(shí)均需經(jīng)過(guò)校園網(wǎng)出口，因此在高并發(fā)用戶的使用場(chǎng)景中，校園網(wǎng)出口帶寬遠(yuǎn)不足以支撐直播平臺(tái)。以中國(guó)人民大學(xué)為例，為保障直播視頻流的清晰度，直播單用戶帶寬需為2Mbps，我校整體出口帶寬為10Gbps，在校園網(wǎng)全部出口帶寬均用于直播平臺(tái)的情況下，也僅能支持最多5000人同時(shí)在線參與直播教學(xué)，遠(yuǎn)不能滿足實(shí)際用戶需求。

set ip 10.12.40.10 255.255.255.252 //配置防火墻和校園網(wǎng)之間互聯(lián)地址

直播平臺(tái)部署在專屬云VPC內(nèi)，一個(gè)VPC配置一個(gè)vRouter作為網(wǎng)關(guān)，因此在校園網(wǎng)數(shù)據(jù)中心防火墻一側(cè)，配置了校園網(wǎng)vRouter與專屬云vRouter互聯(lián)，同時(shí)配置vRouter之間的GRE隧道，確保云專線虛擬鏈路的安全傳輸，詳細(xì)配置如下：

edit "vRouter1" //配置校園網(wǎng)側(cè)對(duì)應(yīng)vRouter

set vdom "TeleCloud"

set ip 10.254.0.2 255.255.255.255 //配置GRE隧道校園網(wǎng)側(cè)地址

set type tunnel

set remote-ip 10.254.0.1 255.255.255.255 //配置GRE隧道專屬云側(cè)地址

set interface "portA"

config system gre-tunnel //配置GRE隧道

edit "vRouter1" //

set interface "portA"

set remote-gw 10.1.8.21? //配置專屬云vRouter作為GRE隧道專屬云側(cè)網(wǎng)關(guān)地址

set local-gw 192.168.248.6 //配置校園網(wǎng)vRouter作為GRE隧道校園網(wǎng)側(cè)網(wǎng)關(guān)地址

2.校園網(wǎng)內(nèi)至數(shù)據(jù)中心防火墻的路由配置

基礎(chǔ)信息配置完成之后，為保障校內(nèi)用戶經(jīng)校園網(wǎng)訪問(wèn)云側(cè)直播平臺(tái)，校園網(wǎng)側(cè)還需配置校園網(wǎng)至專屬云VPC的路由信息，配置示例如下：

config router static

set dst 10.40.0.0 255.255.248.0 //目的地址為專屬云VPC服務(wù)器地址

set device "vRouter1" //由vRouter1轉(zhuǎn)發(fā)

set dst 10.1.8.21 255.255.255.255? //目的地址為專屬云vRouter

set gateway 192.168.248.5 //下一跳為專屬云側(cè)POP交換機(jī)

set device "portA" //由校園網(wǎng)側(cè)防火墻A轉(zhuǎn)發(fā)

數(shù)據(jù)中心防火墻配置完成之后，校園網(wǎng)和數(shù)據(jù)中心核心設(shè)備需添加相應(yīng)路由，以滿足校內(nèi)用戶到云側(cè)直播平臺(tái)服務(wù)器之間的互聯(lián)互通。

3.防火墻安全策略

校內(nèi)直播平臺(tái)的專屬云架構(gòu)在設(shè)計(jì)時(shí)，從安全角度出發(fā)，針對(duì)校內(nèi)校外訪問(wèn)直播平臺(tái)的路徑和功能不同，制定了不同的訪問(wèn)策略：校內(nèi)用戶訪問(wèn)直播平臺(tái)時(shí)，不需訪問(wèn)認(rèn)證，屬于校園網(wǎng)內(nèi)網(wǎng)訪問(wèn);而校外用戶訪問(wèn)直播平臺(tái)時(shí)，經(jīng)云側(cè)互聯(lián)網(wǎng)入口直接訪問(wèn)專屬云即可。

因此，在數(shù)據(jù)中心防火墻制定安全策略時(shí)，放行校內(nèi)至云側(cè)全部數(shù)據(jù)報(bào)文，而云側(cè)訪問(wèn)校園網(wǎng)時(shí)，僅放行直播平臺(tái)相關(guān)服務(wù)訪問(wèn)流量，以及專屬云直播平臺(tái)至校內(nèi)統(tǒng)一身份認(rèn)證、教務(wù)系統(tǒng)的部分訪問(wèn)流量，其他專屬云至校園網(wǎng)側(cè)的訪問(wèn)流量均不予放行，具體配置如下：

config firewall policy

edit 1

set name "From Trust To Untrust" //校園網(wǎng)至云側(cè)直播平臺(tái)

set srcaddr "all"

set dstaddr "all"

set action accept

set schedule "always"

set service "ALL" //放行全部數(shù)據(jù)

next

edit 2

set name "From Untrust to Trust" //云側(cè)訪問(wèn)校園網(wǎng)

set srcaddr "all"

set dstaddr "all"

set action accept

set schedule "always"

set service "電信云視頻會(huì)議" "ALL_ICMP" "NFS" //僅允許訪問(wèn)直播平臺(tái)相關(guān)服務(wù)

next

專屬云訪問(wèn)統(tǒng)一身份認(rèn)證等配置不再贅述。

六、總結(jié)

針對(duì)傳統(tǒng)直播平臺(tái)網(wǎng)絡(luò)架構(gòu)占用帶寬高、多終端并發(fā)接入困難等缺點(diǎn)，本文結(jié)合當(dāng)前流行的專屬云技術(shù)和服務(wù)模式，設(shè)計(jì)并實(shí)現(xiàn)了針對(duì)校內(nèi)直播平臺(tái)的專屬云網(wǎng)絡(luò)架構(gòu)，并從網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)架構(gòu)實(shí)現(xiàn)、專屬云網(wǎng)絡(luò)安全的角度闡述了專屬云架構(gòu)下直播平臺(tái)的實(shí)現(xiàn)方案，也為在網(wǎng)絡(luò)帶寬受限的條件下提高流媒體直播平臺(tái)的高可用性和穩(wěn)定性提供了參考思路。目前，基于專屬云架構(gòu)的直播平臺(tái)已應(yīng)用在校內(nèi)20余間教室，供全校國(guó)內(nèi)外3萬(wàn)余師生使用，因此該平臺(tái)更深層次的安全保障機(jī)制仍待深入研究。

參考文獻(xiàn)：

[1]中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）.第45次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R].2020-4-28.

[2]董錚等.公有云承載的多種網(wǎng)絡(luò)場(chǎng)景下的專屬云網(wǎng)絡(luò)接入模型[C].2019電力行業(yè)信息化年會(huì)論文集，2019.

[3]楊興東.淺談IP RAN關(guān)鍵技術(shù)及其應(yīng)用前景[J].電子世界，2017（11）：46.

[4]李軍、勞鳳丹等.GRE隧道技術(shù)在一卡通專網(wǎng)中的應(yīng)用研究[J].華中師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2017（s1）：161-164.

[5]秦磊華.VPN隧道技術(shù)研究[J].計(jì)算機(jī)工程與科學(xué)，2003，25（2）：16-19.

（編輯：王天鵬）