基于遠程網絡訪問的VPN實驗教學改進*

王湘渝

（湖南科技職業學院 湖南 長沙410118）

基于遠程網絡訪問的VPN實驗教學改進*

王湘渝

（湖南科技職業學院 湖南 長沙410118）

分析了目前高職院校網絡技術專業VPN實驗教學普遍采用的方案，指出了這種基于局域網的VPN實驗教學方案的不足，設計了基于真實應用場景的廣域網VPN實驗教學方案。該方案成本低，適合學生自己搭建網絡環境，特別是學生能夠為企業、公司提供VPN解決方案，從而實現工學結合的教學目的。

遠程網絡訪問；VPN；DDNS；計算機網絡技術專業

VPN（Virtual Private Network，虛擬專用網）可以讓遠程用戶與局域網之間通過互聯網建立起一個安全的通信管道。當遠程的VPN客戶端通過互聯網連接到VPN服務器時，它們之間所傳送的信息會被加密，因此能確保信息的安全性。VPN操作簡單、方便，安裝和運營成本都非常低，這些優勢使之在企業中得到了廣泛應用。計算機網絡應用專業引進VPN是為了適應市場需要，更好地為社會服務。本文探索VPN實驗教學的方法，無縫對接校內學習和企業技能要求。

VPN實驗教學分析

VPN是利用開放的公用網絡資源建立私有數據傳輸通道，將遠程的分支機構、商業伙伴、移動辦公人員連接起來，并且提供安全的端到端數據通信的一種廣域網技術。它是在現有公用網絡平臺上構筑的不受地域限制而由企業統一策略控制和管理的網絡。與普通企業網絡不同的是，VPN基礎平臺采用公用數據網，與其他用戶共享網絡資源而不是獨占。

（一）VPN關鍵技術

VPN使用隧道技術、加密解密技術、密鑰管理技術、使用者與設備認證技術，保證了通信的安全性?？蛻魴C向VPN服務器發送請求，VPN服務器響應請求并向客戶機發送身份咨詢，客戶機將加密的響應請求發送到VPN服務器，VPN服務器根據用戶數據庫檢查該響應，若賬戶有效，VPN服務器將檢查該用戶是否具有遠程訪問權限，若該用戶擁有遠程訪問的權限，VPN服務器就接收此連接。在身份驗證過程中產生的客戶機和服務器公有密鑰將用于對數據進行加密。

VPN技術涉及計算機網絡、網絡安全、數學等多個學科。學生學好VPN技術將能增強對這些學科的理解，提高網絡綜合運用能力。

（二）局域網VPN實驗環境分析

VPN實驗是高職院校網絡技術專業《Windows網絡服務》等課程的課程實驗之一。目前，高職院校的網絡技術專業都十分重視實踐課程，實踐課程的比例很多達到了50%甚至更高，貫徹了邊學邊練的方針。但筆者在與兄弟院校的專業教師交流時發現，目前在進行VPN實驗教學時，所搭建的網絡環境是基于局域網的，這種網絡環境適合于VPN基礎的學習，學生還需要進一步在互聯網環境下實現VPN網絡配置。

局域網VPN實驗環境基本服務的搭建過程是：準備常用軟件VMware、Windows 2003 Server、Windows XP，每個學生利用VMware虛擬軟件在自己的電腦上安裝兩個虛擬操作系統，一個是Windows 2003服務器、一個是Windows XP客戶機。在Windows Server 2003服務器上安裝、配置VPN服務，并創建遠程訪問賬號和策略。在XP客戶端上配置VPN撥號，輸入Windows Server 2003服務器局域網IP地址、用戶名和密碼，就可以撥號了。撥號成功后，將在狀態欄里顯示網絡連接圖標。

這種局域網VPN實驗環境優點是搭建簡單、成本低、學生能夠掌握VPN配置步驟。但筆者認為這種網絡環境有諸多問題。

一是與VPN技術實際應用環境不符。VPN是解決企業遠程安全接入的技術，是在互聯網環境下提供分支機構或個人安全訪問的，所以必須在廣域網環境下進行實驗。在局域網環境下搭建VPN網絡環境盡管配置簡單，但學生不能感受到VPN提供的強大功能和便利的網絡訪問。

二是不便于學生對VPN測試和理解。在局域網環境下，學生配置VPN服務成功后是不便于測試和理解的。VPN客戶端連接到VPN服務器時，服務器會分配一個內網IP地址。在局域網環境中，學生會認為在局域網里通過私有IP地址可以通信，不需要VPN再來分配一個私有IP地址，也不知道網絡連接成功是哪個地址在起作用。VPN配置成功后只是通過客戶端狀態圖標和服務器的連接參數進行判斷，學生不好做VPN連接成功后的進一步操作。VPN服務測試需要多個用戶長時間同時進行連接測試才能發現問題，而這種局域網環境不適合多用戶同時測試。

三是不能提供真實的VPN服務。職業教育是要求工學結合的，要求學生用課堂上所學的知識為企業服務，而這種局域網VPN環境與實際運行的網絡環境有較大區別，學生在實際VPN操作時會感到束手無策。

搭建基于廣域網的VPN實驗環境，與實際網絡環境無縫對接，同時又節省實驗費用是本文研究的目的。

基于廣域網的VPN實驗設計

在互聯網上實現VPN網絡服務，需要公網地址和在公網注冊的域名。公網IP地址是非常緊缺的，學校不可能為每一個網絡專業學生都申請公網IP地址，而在公網注冊域名也需要較高的費用。因此，創建適合學生使用的公網域名方式，是搭建互聯網VPN服務的關鍵。

（一）DDNS的工作原理

通過DDNS（Dynamic Domain Name Server，動態域名服務）軟件，可以將個人服務器上動態變化的IP與域名相捆綁，從而滿足個人服務器在互聯網上發布的需求。

其操作步驟如下：（1）為每臺個人服務器申請一個域名，以便讓DDNS服務器識別不同的個人服務器。用戶可以向DDNS供應商申請免費的二級、三級域名，也可以購買專門的一級域名。在這方面，投資比較少，靈活性很強。（2）每當個人服務器連接到網絡，從ISP供應商（如電信、網通）處獲取公網IP后，DDNS客戶端程序會把個人服務器上的動態IP地址傳送給DDNS服務器。（3）DDNS服務器接收到相關信息后，對DNS服務器提出申請，對綁定的個人服務器的域名與IP進行更新。（4）當互聯網上的其他用戶要訪問個人服務器的時候，首先會向DNS服務器查詢個人服務器的IP地址，獲取個人服務器的IP地址后，互聯網上的用戶就可以獲取個人服務器的相關服務了。DDNS網絡拓撲如圖1所示。

圖1 DDNS網絡拓撲圖

目前，DDNS軟件應用最多的是花生殼動態域名軟件，花生殼動態域名是全球用戶量最大的完全免費的動態域名解析軟件。使用花生殼服務，可以在任何地點、任何時間、任何線路，通過固定的花生殼域名訪問遠程主機服務。我們采用花生殼軟件申請免費的域名來搭建互聯網VPN服務，它能實現VPN服務功能，并能節省網絡搭建環境費用。

（二）采用DDNS搭建廣域網的VPN網絡實驗

實驗環境要求：實驗要求選用一臺能連接互聯網的計算機作為VPN服務器，可以采用筆記本電腦來作服務器，方便移動測試。服務器上安裝Windows Server 2003操作系統。另外選擇一臺計算機作為VPN客戶端。網絡拓撲如圖2所示。

圖2 廣域網VPN實驗網絡拓撲圖

實現步驟：（1）在VPN服務器端下載、安裝花生殼客戶端軟件，申請、注冊免費的域名，用申請到的賬戶登錄到花生殼軟件，并激活域名。（2）VPN服務器連接到互聯網將獲得一個動態的公網IP地址?；ㄉ鷼ぼ浖袃煞N方法實現將申請的域名和動態的公網IP地址關聯起來。一種是在連接廣域網的路由器上做端口映射，廣域網VPN服務端口是1723，將這個端口和局域網VPN服務器之間建立映射關系，所有對該廣域網服務端口的訪問將會被重定位給通過IP地址指定的局域網VPN服務器上。另一種方法是VPN服務器通過PPPOE撥號上網，直接實現域名和公網IP地址關聯，就不需要端口映射配置了。（3）廣域網VPN服務器端配置和局域網VPN配置要求基本一致。VPN客戶端在連接VPN服務器時需要輸入通過花生殼申請的域名或VPN服務器的公網IP地址。這樣就可以建立公網VPN連接了。

（三）VPN服務測試

配置成功后，要在服務器和遠程客戶端分別進行測試。測試步驟如下。

第一，在VPN服務器上首先測試申請的動態域名和獲得公網IP地址之間是否綁定，測試結果如圖3所示。

圖3 動態域名和公網IP地址綁定示意圖

第二，在VPN服務器創建登錄用戶賬號user1，并授予遠程登錄權限，啟動VPN服務，測試結果如圖4所示。

圖4 授予賬號user1遠程訪問權限示意圖

第三，在VPN客戶端上進行VPN撥號，輸入登錄域名或者VPN服務器廣域網的IP地址，以及用戶名和密碼，就可以連接了。測試狀態如圖5所示。

圖5 VPN客戶端輸入域名進行登錄示意圖

第四，連接成功后VPN服務器端狀態。測試結果如圖6所示。

圖6 連接成功后VPN服務器端狀態示意圖

結語

通過搭建互聯網VPN實驗環境，可使學生能夠在真實的網絡環境中提供VPN服務，能給企事業單位、個人提供遠程安全連接服務。在該實驗環境下還可以做遠程文件共享、遠程桌面控制、視頻監控等服務。該實驗環境極大地提高了學生對網絡的興趣，使學生在技術上更加精益求精，增加了學生的就業信心。

[1]龍鵬飛，劉清君，史長瓊.基于VPN的公路網規劃集成系統安全設計與實現[J].計算機工程與設計，2007（13）.

[2]歐陽凱.基于虛擬服務的SSL VPN研究[J].小型微型計算機系統，2006（2）.

[3]劉建偉.網絡安全實驗教程[M].北京：清華大學出版社，2007：286-291.

[4]王風茂.基于IT服務外包職業領域構建專業學習領域的創新與實踐——以高職院校計算機網絡技術專業為案例[J].中國成人教育，2010（20）：105-106.

[5]劉永寬.高職計算機網絡技術專業人才培養模式的實踐研究[J].教育與職業，2010（33）：108-110.

[6]蔣一川.校企合作背景下高職計算機網絡技術專業實訓系統的開發[J].職業技術教育，2011（11）：20-22.

[7]邱春榮.計算機專業群“工學結合”實施模型研究[J].職業教育研究，2009（4）：138-139.

[8]王湘渝.基于“ARP攻擊與防范”課程實驗設計[J].實驗室研究與探索，2009（5）：175-177.

[9]戎成.校企合作校園網絡運維校內頂崗實習的改革與實踐[J].青島職業技術學院學報，2011（2）：40-42.

[10]姚東鈮.基于VPN的校園網絡建設[J].電腦知識與技術，2010（8）.

□有話職說

一個人對社會的價值首先取決于他的感情、思想和行動對增進人類利益有多大的作用。

——愛因斯坦

G712文獻標識碼：A文章編號：1672-5727（2012）08-0173-02

*本文系湖南省職業教育與成人教育學會2011年科研規劃項目立項課題 《計算機網絡技術專業校內頂崗實習平臺開發與研究》（項目編號：1148）的主要成果

王湘渝（1974—），男，湖南長沙人，碩士，湖南科技職業學院軟件學院講師，網絡工程師，研究方向為計算機網絡與信息安全。