王湘渝

（湖南科技職業(yè)學院 湖南 長沙410118）

基于遠程網(wǎng)絡訪問的VPN實驗教學改進*

王湘渝

（湖南科技職業(yè)學院 湖南 長沙410118）

分析了目前高職院校網(wǎng)絡技術專業(yè)VPN實驗教學普遍采用的方案，指出了這種基于局域網(wǎng)的VPN實驗教學方案的不足，設計了基于真實應用場景的廣域網(wǎng)VPN實驗教學方案。該方案成本低，適合學生自己搭建網(wǎng)絡環(huán)境，特別是學生能夠為企業(yè)、公司提供VPN解決方案，從而實現(xiàn)工學結合的教學目的。

遠程網(wǎng)絡訪問；VPN；DDNS；計算機網(wǎng)絡技術專業(yè)

VPN（Virtual Private Network，虛擬專用網(wǎng)）可以讓遠程用戶與局域網(wǎng)之間通過互聯(lián)網(wǎng)建立起一個安全的通信管道。當遠程的VPN客戶端通過互聯(lián)網(wǎng)連接到VPN服務器時，它們之間所傳送的信息會被加密，因此能確保信息的安全性。VPN操作簡單、方便，安裝和運營成本都非常低，這些優(yōu)勢使之在企業(yè)中得到了廣泛應用。計算機網(wǎng)絡應用專業(yè)引進VPN是為了適應市場需要，更好地為社會服務。本文探索VPN實驗教學的方法，無縫對接校內(nèi)學習和企業(yè)技能要求。

VPN實驗教學分析

VPN是利用開放的公用網(wǎng)絡資源建立私有數(shù)據(jù)傳輸通道，將遠程的分支機構、商業(yè)伙伴、移動辦公人員連接起來，并且提供安全的端到端數(shù)據(jù)通信的一種廣域網(wǎng)技術。它是在現(xiàn)有公用網(wǎng)絡平臺上構筑的不受地域限制而由企業(yè)統(tǒng)一策略控制和管理的網(wǎng)絡。與普通企業(yè)網(wǎng)絡不同的是，VPN基礎平臺采用公用數(shù)據(jù)網(wǎng)，與其他用戶共享網(wǎng)絡資源而不是獨占。

（一）VPN關鍵技術

VPN使用隧道技術、加密解密技術、密鑰管理技術、使用者與設備認證技術，保證了通信的安全性?？蛻魴C向VPN服務器發(fā)送請求，VPN服務器響應請求并向客戶機發(fā)送身份咨詢，客戶機將加密的響應請求發(fā)送到VPN服務器，VPN服務器根據(jù)用戶數(shù)據(jù)庫檢查該響應，若賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問權限，若該用戶擁有遠程訪問的權限，VPN服務器就接收此連接。在身份驗證過程中產(chǎn)生的客戶機和服務器公有密鑰將用于對數(shù)據(jù)進行加密。

VPN技術涉及計算機網(wǎng)絡、網(wǎng)絡安全、數(shù)學等多個學科。學生學好VPN技術將能增強對這些學科的理解，提高網(wǎng)絡綜合運用能力。

（二）局域網(wǎng)VPN實驗環(huán)境分析

VPN實驗是高職院校網(wǎng)絡技術專業(yè)《Windows網(wǎng)絡服務》等課程的課程實驗之一。目前，高職院校的網(wǎng)絡技術專業(yè)都十分重視實踐課程，實踐課程的比例很多達到了50%甚至更高，貫徹了邊學邊練的方針。但筆者在與兄弟院校的專業(yè)教師交流時發(fā)現(xiàn)，目前在進行VPN實驗教學時，所搭建的網(wǎng)絡環(huán)境是基于局域網(wǎng)的，這種網(wǎng)絡環(huán)境適合于VPN基礎的學習，學生還需要進一步在互聯(lián)網(wǎng)環(huán)境下實現(xiàn)VPN網(wǎng)絡配置。

局域網(wǎng)VPN實驗環(huán)境基本服務的搭建過程是：準備常用軟件VMware、Windows 2003 Server、Windows XP，每個學生利用VMware虛擬軟件在自己的電腦上安裝兩個虛擬操作系統(tǒng)，一個是Windows 2003服務器、一個是Windows XP客戶機。在Windows Server 2003服務器上安裝、配置VPN服務，并創(chuàng)建遠程訪問賬號和策略。在XP客戶端上配置VPN撥號，輸入Windows Server 2003服務器局域網(wǎng)IP地址、用戶名和密碼，就可以撥號了。撥號成功后，將在狀態(tài)欄里顯示網(wǎng)絡連接圖標。

這種局域網(wǎng)VPN實驗環(huán)境優(yōu)點是搭建簡單、成本低、學生能夠掌握VPN配置步驟。但筆者認為這種網(wǎng)絡環(huán)境有諸多問題。

一是與VPN技術實際應用環(huán)境不符。VPN是解決企業(yè)遠程安全接入的技術，是在互聯(lián)網(wǎng)環(huán)境下提供分支機構或個人安全訪問的，所以必須在廣域網(wǎng)環(huán)境下進行實驗。在局域網(wǎng)環(huán)境下搭建VPN網(wǎng)絡環(huán)境盡管配置簡單，但學生不能感受到VPN提供的強大功能和便利的網(wǎng)絡訪問。

二是不便于學生對VPN測試和理解。在局域網(wǎng)環(huán)境下，學生配置VPN服務成功后是不便于測試和理解的。VPN客戶端連接到VPN服務器時，服務器會分配一個內(nèi)網(wǎng)IP地址。在局域網(wǎng)環(huán)境中，學生會認為在局域網(wǎng)里通過私有IP地址可以通信，不需要VPN再來分配一個私有IP地址，也不知道網(wǎng)絡連接成功是哪個地址在起作用。VPN配置成功后只是通過客戶端狀態(tài)圖標和服務器的連接參數(shù)進行判斷，學生不好做VPN連接成功后的進一步操作。VPN服務測試需要多個用戶長時間同時進行連接測試才能發(fā)現(xiàn)問題，而這種局域網(wǎng)環(huán)境不適合多用戶同時測試。

三是不能提供真實的VPN服務。職業(yè)教育是要求工學結合的，要求學生用課堂上所學的知識為企業(yè)服務，而這種局域網(wǎng)VPN環(huán)境與實際運行的網(wǎng)絡環(huán)境有較大區(qū)別，學生在實際VPN操作時會感到束手無策。

搭建基于廣域網(wǎng)的VPN實驗環(huán)境，與實際網(wǎng)絡環(huán)境無縫對接，同時又節(jié)省實驗費用是本文研究的目的。

基于廣域網(wǎng)的VPN實驗設計

在互聯(lián)網(wǎng)上實現(xiàn)VPN網(wǎng)絡服務，需要公網(wǎng)地址和在公網(wǎng)注冊的域名。公網(wǎng)IP地址是非常緊缺的，學校不可能為每一個網(wǎng)絡專業(yè)學生都申請公網(wǎng)IP地址，而在公網(wǎng)注冊域名也需要較高的費用。因此，創(chuàng)建適合學生使用的公網(wǎng)域名方式，是搭建互聯(lián)網(wǎng)VPN服務的關鍵。

（一）DDNS的工作原理

通過DDNS（Dynamic Domain Name Server，動態(tài)域名服務）軟件，可以將個人服務器上動態(tài)變化的IP與域名相捆綁，從而滿足個人服務器在互聯(lián)網(wǎng)上發(fā)布的需求。

其操作步驟如下：（1）為每臺個人服務器申請一個域名，以便讓DDNS服務器識別不同的個人服務器。用戶可以向DDNS供應商申請免費的二級、三級域名，也可以購買專門的一級域名。在這方面，投資比較少，靈活性很強。（2）每當個人服務器連接到網(wǎng)絡，從ISP供應商（如電信、網(wǎng)通）處獲取公網(wǎng)IP后，DDNS客戶端程序會把個人服務器上的動態(tài)IP地址傳送給DDNS服務器。（3）DDNS服務器接收到相關信息后，對DNS服務器提出申請，對綁定的個人服務器的域名與IP進行更新。（4）當互聯(lián)網(wǎng)上的其他用戶要訪問個人服務器的時候，首先會向DNS服務器查詢個人服務器的IP地址，獲取個人服務器的IP地址后，互聯(lián)網(wǎng)上的用戶就可以獲取個人服務器的相關服務了。DDNS網(wǎng)絡拓撲如圖1所示。

圖1 DDNS網(wǎng)絡拓撲圖

目前，DDNS軟件應用最多的是花生殼動態(tài)域名軟件，花生殼動態(tài)域名是全球用戶量最大的完全免費的動態(tài)域名解析軟件。使用花生殼服務，可以在任何地點、任何時間、任何線路，通過固定的花生殼域名訪問遠程主機服務。我們采用花生殼軟件申請免費的域名來搭建互聯(lián)網(wǎng)VPN服務，它能實現(xiàn)VPN服務功能，并能節(jié)省網(wǎng)絡搭建環(huán)境費用。

（二）采用DDNS搭建廣域網(wǎng)的VPN網(wǎng)絡實驗

實驗環(huán)境要求：實驗要求選用一臺能連接互聯(lián)網(wǎng)的計算機作為VPN服務器，可以采用筆記本電腦來作服務器，方便移動測試。服務器上安裝Windows Server 2003操作系統(tǒng)。另外選擇一臺計算機作為VPN客戶端。網(wǎng)絡拓撲如圖2所示。

圖2 廣域網(wǎng)VPN實驗網(wǎng)絡拓撲圖

實現(xiàn)步驟：（1）在VPN服務器端下載、安裝花生殼客戶端軟件，申請、注冊免費的域名，用申請到的賬戶登錄到花生殼軟件，并激活域名。（2）VPN服務器連接到互聯(lián)網(wǎng)將獲得一個動態(tài)的公網(wǎng)IP地址?；ㄉ鷼ぼ浖袃煞N方法實現(xiàn)將申請的域名和動態(tài)的公網(wǎng)IP地址關聯(lián)起來。一種是在連接廣域網(wǎng)的路由器上做端口映射，廣域網(wǎng)VPN服務端口是1723，將這個端口和局域網(wǎng)VPN服務器之間建立映射關系，所有對該廣域網(wǎng)服務端口的訪問將會被重定位給通過IP地址指定的局域網(wǎng)VPN服務器上。另一種方法是VPN服務器通過PPPOE撥號上網(wǎng)，直接實現(xiàn)域名和公網(wǎng)IP地址關聯(lián)，就不需要端口映射配置了。（3）廣域網(wǎng)VPN服務器端配置和局域網(wǎng)VPN配置要求基本一致。VPN客戶端在連接VPN服務器時需要輸入通過花生殼申請的域名或VPN服務器的公網(wǎng)IP地址。這樣就可以建立公網(wǎng)VPN連接了。

（三）VPN服務測試

配置成功后，要在服務器和遠程客戶端分別進行測試。測試步驟如下。

第一，在VPN服務器上首先測試申請的動態(tài)域名和獲得公網(wǎng)IP地址之間是否綁定，測試結果如圖3所示。

圖3 動態(tài)域名和公網(wǎng)IP地址綁定示意圖

第二，在VPN服務器創(chuàng)建登錄用戶賬號user1，并授予遠程登錄權限，啟動VPN服務，測試結果如圖4所示。

圖4 授予賬號user1遠程訪問權限示意圖

第三，在VPN客戶端上進行VPN撥號，輸入登錄域名或者VPN服務器廣域網(wǎng)的IP地址，以及用戶名和密碼，就可以連接了。測試狀態(tài)如圖5所示。

圖5 VPN客戶端輸入域名進行登錄示意圖

第四，連接成功后VPN服務器端狀態(tài)。測試結果如圖6所示。

圖6 連接成功后VPN服務器端狀態(tài)示意圖

結語

通過搭建互聯(lián)網(wǎng)VPN實驗環(huán)境，可使學生能夠在真實的網(wǎng)絡環(huán)境中提供VPN服務，能給企事業(yè)單位、個人提供遠程安全連接服務。在該實驗環(huán)境下還可以做遠程文件共享、遠程桌面控制、視頻監(jiān)控等服務。該實驗環(huán)境極大地提高了學生對網(wǎng)絡的興趣，使學生在技術上更加精益求精，增加了學生的就業(yè)信心。

[1]龍鵬飛，劉清君，史長瓊.基于VPN的公路網(wǎng)規(guī)劃集成系統(tǒng)安全設計與實現(xiàn)[J].計算機工程與設計，2007（13）.

[2]歐陽凱.基于虛擬服務的SSL VPN研究[J].小型微型計算機系統(tǒng)，2006（2）.

[3]劉建偉.網(wǎng)絡安全實驗教程[M].北京：清華大學出版社，2007：286-291.

[4]王風茂.基于IT服務外包職業(yè)領域構建專業(yè)學習領域的創(chuàng)新與實踐——以高職院校計算機網(wǎng)絡技術專業(yè)為案例[J].中國成人教育，2010（20）：105-106.

[5]劉永寬.高職計算機網(wǎng)絡技術專業(yè)人才培養(yǎng)模式的實踐研究[J].教育與職業(yè)，2010（33）：108-110.

[6]蔣一川.校企合作背景下高職計算機網(wǎng)絡技術專業(yè)實訓系統(tǒng)的開發(fā)[J].職業(yè)技術教育，2011（11）：20-22.

[7]邱春榮.計算機專業(yè)群“工學結合”實施模型研究[J].職業(yè)教育研究，2009（4）：138-139.

[8]王湘渝.基于“ARP攻擊與防范”課程實驗設計[J].實驗室研究與探索，2009（5）：175-177.

[9]戎成.校企合作校園網(wǎng)絡運維校內(nèi)頂崗實習的改革與實踐[J].青島職業(yè)技術學院學報，2011（2）：40-42.

[10]姚東鈮.基于VPN的校園網(wǎng)絡建設[J].電腦知識與技術，2010（8）.

□有話職說

一個人對社會的價值首先取決于他的感情、思想和行動對增進人類利益有多大的作用。

——愛因斯坦

G712文獻標識碼：A文章編號：1672-5727（2012）08-0173-02

*本文系湖南省職業(yè)教育與成人教育學會2011年科研規(guī)劃項目立項課題 《計算機網(wǎng)絡技術專業(yè)校內(nèi)頂崗實習平臺開發(fā)與研究》（項目編號：1148）的主要成果

王湘渝（1974—），男，湖南長沙人，碩士，湖南科技職業(yè)學院軟件學院講師，網(wǎng)絡工程師，研究方向為計算機網(wǎng)絡與信息安全。