王湘渝

（湖南科技職業(yè)學(xué)院 湖南 長沙410118）

基于遠(yuǎn)程網(wǎng)絡(luò)訪問的VPN實(shí)驗(yàn)教學(xué)改進(jìn)*

王湘渝

（湖南科技職業(yè)學(xué)院 湖南 長沙410118）

分析了目前高職院校網(wǎng)絡(luò)技術(shù)專業(yè)VPN實(shí)驗(yàn)教學(xué)普遍采用的方案，指出了這種基于局域網(wǎng)的VPN實(shí)驗(yàn)教學(xué)方案的不足，設(shè)計(jì)了基于真實(shí)應(yīng)用場景的廣域網(wǎng)VPN實(shí)驗(yàn)教學(xué)方案。該方案成本低，適合學(xué)生自己搭建網(wǎng)絡(luò)環(huán)境，特別是學(xué)生能夠?yàn)槠髽I(yè)、公司提供VPN解決方案，從而實(shí)現(xiàn)工學(xué)結(jié)合的教學(xué)目的。

遠(yuǎn)程網(wǎng)絡(luò)訪問；VPN；DDNS；計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)

VPN（Virtual Private Network，虛擬專用網(wǎng)）可以讓遠(yuǎn)程用戶與局域網(wǎng)之間通過互聯(lián)網(wǎng)建立起一個(gè)安全的通信管道。當(dāng)遠(yuǎn)程的VPN客戶端通過互聯(lián)網(wǎng)連接到VPN服務(wù)器時(shí)，它們之間所傳送的信息會被加密，因此能確保信息的安全性。VPN操作簡單、方便，安裝和運(yùn)營成本都非常低，這些優(yōu)勢使之在企業(yè)中得到了廣泛應(yīng)用。計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用專業(yè)引進(jìn)VPN是為了適應(yīng)市場需要，更好地為社會服務(wù)。本文探索VPN實(shí)驗(yàn)教學(xué)的方法，無縫對接校內(nèi)學(xué)習(xí)和企業(yè)技能要求。

VPN實(shí)驗(yàn)教學(xué)分析

VPN是利用開放的公用網(wǎng)絡(luò)資源建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動辦公人員連接起來，并且提供安全的端到端數(shù)據(jù)通信的一種廣域網(wǎng)技術(shù)。它是在現(xiàn)有公用網(wǎng)絡(luò)平臺上構(gòu)筑的不受地域限制而由企業(yè)統(tǒng)一策略控制和管理的網(wǎng)絡(luò)。與普通企業(yè)網(wǎng)絡(luò)不同的是，VPN基礎(chǔ)平臺采用公用數(shù)據(jù)網(wǎng)，與其他用戶共享網(wǎng)絡(luò)資源而不是獨(dú)占。

（一）VPN關(guān)鍵技術(shù)

VPN使用隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備認(rèn)證技術(shù)，保證了通信的安全性?？蛻魴C(jī)向VPN服務(wù)器發(fā)送請求，VPN服務(wù)器響應(yīng)請求并向客戶機(jī)發(fā)送身份咨詢，客戶機(jī)將加密的響應(yīng)請求發(fā)送到VPN服務(wù)器，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，若賬戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問權(quán)限，若該用戶擁有遠(yuǎn)程訪問的權(quán)限，VPN服務(wù)器就接收此連接。在身份驗(yàn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用于對數(shù)據(jù)進(jìn)行加密。

VPN技術(shù)涉及計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、數(shù)學(xué)等多個(gè)學(xué)科。學(xué)生學(xué)好VPN技術(shù)將能增強(qiáng)對這些學(xué)科的理解，提高網(wǎng)絡(luò)綜合運(yùn)用能力。

（二）局域網(wǎng)VPN實(shí)驗(yàn)環(huán)境分析

VPN實(shí)驗(yàn)是高職院校網(wǎng)絡(luò)技術(shù)專業(yè)《Windows網(wǎng)絡(luò)服務(wù)》等課程的課程實(shí)驗(yàn)之一。目前，高職院校的網(wǎng)絡(luò)技術(shù)專業(yè)都十分重視實(shí)踐課程，實(shí)踐課程的比例很多達(dá)到了50%甚至更高，貫徹了邊學(xué)邊練的方針。但筆者在與兄弟院校的專業(yè)教師交流時(shí)發(fā)現(xiàn)，目前在進(jìn)行VPN實(shí)驗(yàn)教學(xué)時(shí)，所搭建的網(wǎng)絡(luò)環(huán)境是基于局域網(wǎng)的，這種網(wǎng)絡(luò)環(huán)境適合于VPN基礎(chǔ)的學(xué)習(xí)，學(xué)生還需要進(jìn)一步在互聯(lián)網(wǎng)環(huán)境下實(shí)現(xiàn)VPN網(wǎng)絡(luò)配置。

局域網(wǎng)VPN實(shí)驗(yàn)環(huán)境基本服務(wù)的搭建過程是：準(zhǔn)備常用軟件VMware、Windows 2003 Server、Windows XP，每個(gè)學(xué)生利用VMware虛擬軟件在自己的電腦上安裝兩個(gè)虛擬操作系統(tǒng)，一個(gè)是Windows 2003服務(wù)器、一個(gè)是Windows XP客戶機(jī)。在Windows Server 2003服務(wù)器上安裝、配置VPN服務(wù)，并創(chuàng)建遠(yuǎn)程訪問賬號和策略。在XP客戶端上配置VPN撥號，輸入Windows Server 2003服務(wù)器局域網(wǎng)IP地址、用戶名和密碼，就可以撥號了。撥號成功后，將在狀態(tài)欄里顯示網(wǎng)絡(luò)連接圖標(biāo)。

這種局域網(wǎng)VPN實(shí)驗(yàn)環(huán)境優(yōu)點(diǎn)是搭建簡單、成本低、學(xué)生能夠掌握VPN配置步驟。但筆者認(rèn)為這種網(wǎng)絡(luò)環(huán)境有諸多問題。

一是與VPN技術(shù)實(shí)際應(yīng)用環(huán)境不符。VPN是解決企業(yè)遠(yuǎn)程安全接入的技術(shù)，是在互聯(lián)網(wǎng)環(huán)境下提供分支機(jī)構(gòu)或個(gè)人安全訪問的，所以必須在廣域網(wǎng)環(huán)境下進(jìn)行實(shí)驗(yàn)。在局域網(wǎng)環(huán)境下搭建VPN網(wǎng)絡(luò)環(huán)境盡管配置簡單，但學(xué)生不能感受到VPN提供的強(qiáng)大功能和便利的網(wǎng)絡(luò)訪問。

二是不便于學(xué)生對VPN測試和理解。在局域網(wǎng)環(huán)境下，學(xué)生配置VPN服務(wù)成功后是不便于測試和理解的。VPN客戶端連接到VPN服務(wù)器時(shí)，服務(wù)器會分配一個(gè)內(nèi)網(wǎng)IP地址。在局域網(wǎng)環(huán)境中，學(xué)生會認(rèn)為在局域網(wǎng)里通過私有IP地址可以通信，不需要VPN再來分配一個(gè)私有IP地址，也不知道網(wǎng)絡(luò)連接成功是哪個(gè)地址在起作用。VPN配置成功后只是通過客戶端狀態(tài)圖標(biāo)和服務(wù)器的連接參數(shù)進(jìn)行判斷，學(xué)生不好做VPN連接成功后的進(jìn)一步操作。VPN服務(wù)測試需要多個(gè)用戶長時(shí)間同時(shí)進(jìn)行連接測試才能發(fā)現(xiàn)問題，而這種局域網(wǎng)環(huán)境不適合多用戶同時(shí)測試。

三是不能提供真實(shí)的VPN服務(wù)。職業(yè)教育是要求工學(xué)結(jié)合的，要求學(xué)生用課堂上所學(xué)的知識為企業(yè)服務(wù)，而這種局域網(wǎng)VPN環(huán)境與實(shí)際運(yùn)行的網(wǎng)絡(luò)環(huán)境有較大區(qū)別，學(xué)生在實(shí)際VPN操作時(shí)會感到束手無策。

搭建基于廣域網(wǎng)的VPN實(shí)驗(yàn)環(huán)境，與實(shí)際網(wǎng)絡(luò)環(huán)境無縫對接，同時(shí)又節(jié)省實(shí)驗(yàn)費(fèi)用是本文研究的目的。

基于廣域網(wǎng)的VPN實(shí)驗(yàn)設(shè)計(jì)

在互聯(lián)網(wǎng)上實(shí)現(xiàn)VPN網(wǎng)絡(luò)服務(wù)，需要公網(wǎng)地址和在公網(wǎng)注冊的域名。公網(wǎng)IP地址是非常緊缺的，學(xué)校不可能為每一個(gè)網(wǎng)絡(luò)專業(yè)學(xué)生都申請公網(wǎng)IP地址，而在公網(wǎng)注冊域名也需要較高的費(fèi)用。因此，創(chuàng)建適合學(xué)生使用的公網(wǎng)域名方式，是搭建互聯(lián)網(wǎng)VPN服務(wù)的關(guān)鍵。

（一）DDNS的工作原理

通過DDNS（Dynamic Domain Name Server，動態(tài)域名服務(wù)）軟件，可以將個(gè)人服務(wù)器上動態(tài)變化的IP與域名相捆綁，從而滿足個(gè)人服務(wù)器在互聯(lián)網(wǎng)上發(fā)布的需求。

其操作步驟如下：（1）為每臺個(gè)人服務(wù)器申請一個(gè)域名，以便讓DDNS服務(wù)器識別不同的個(gè)人服務(wù)器。用戶可以向DDNS供應(yīng)商申請免費(fèi)的二級、三級域名，也可以購買專門的一級域名。在這方面，投資比較少，靈活性很強(qiáng)。（2）每當(dāng)個(gè)人服務(wù)器連接到網(wǎng)絡(luò)，從ISP供應(yīng)商（如電信、網(wǎng)通）處獲取公網(wǎng)IP后，DDNS客戶端程序會把個(gè)人服務(wù)器上的動態(tài)IP地址傳送給DDNS服務(wù)器。（3）DDNS服務(wù)器接收到相關(guān)信息后，對DNS服務(wù)器提出申請，對綁定的個(gè)人服務(wù)器的域名與IP進(jìn)行更新。（4）當(dāng)互聯(lián)網(wǎng)上的其他用戶要訪問個(gè)人服務(wù)器的時(shí)候，首先會向DNS服務(wù)器查詢個(gè)人服務(wù)器的IP地址，獲取個(gè)人服務(wù)器的IP地址后，互聯(lián)網(wǎng)上的用戶就可以獲取個(gè)人服務(wù)器的相關(guān)服務(wù)了。DDNS網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 DDNS網(wǎng)絡(luò)拓?fù)鋱D

目前，DDNS軟件應(yīng)用最多的是花生殼動態(tài)域名軟件，花生殼動態(tài)域名是全球用戶量最大的完全免費(fèi)的動態(tài)域名解析軟件。使用花生殼服務(wù)，可以在任何地點(diǎn)、任何時(shí)間、任何線路，通過固定的花生殼域名訪問遠(yuǎn)程主機(jī)服務(wù)。我們采用花生殼軟件申請免費(fèi)的域名來搭建互聯(lián)網(wǎng)VPN服務(wù)，它能實(shí)現(xiàn)VPN服務(wù)功能，并能節(jié)省網(wǎng)絡(luò)搭建環(huán)境費(fèi)用。

（二）采用DDNS搭建廣域網(wǎng)的VPN網(wǎng)絡(luò)實(shí)驗(yàn)

實(shí)驗(yàn)環(huán)境要求：實(shí)驗(yàn)要求選用一臺能連接互聯(lián)網(wǎng)的計(jì)算機(jī)作為VPN服務(wù)器，可以采用筆記本電腦來作服務(wù)器，方便移動測試。服務(wù)器上安裝Windows Server 2003操作系統(tǒng)。另外選擇一臺計(jì)算機(jī)作為VPN客戶端。網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

圖2 廣域網(wǎng)VPN實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D

實(shí)現(xiàn)步驟：（1）在VPN服務(wù)器端下載、安裝花生殼客戶端軟件，申請、注冊免費(fèi)的域名，用申請到的賬戶登錄到花生殼軟件，并激活域名。（2）VPN服務(wù)器連接到互聯(lián)網(wǎng)將獲得一個(gè)動態(tài)的公網(wǎng)IP地址?；ㄉ鷼ぼ浖袃煞N方法實(shí)現(xiàn)將申請的域名和動態(tài)的公網(wǎng)IP地址關(guān)聯(lián)起來。一種是在連接廣域網(wǎng)的路由器上做端口映射，廣域網(wǎng)VPN服務(wù)端口是1723，將這個(gè)端口和局域網(wǎng)VPN服務(wù)器之間建立映射關(guān)系，所有對該廣域網(wǎng)服務(wù)端口的訪問將會被重定位給通過IP地址指定的局域網(wǎng)VPN服務(wù)器上。另一種方法是VPN服務(wù)器通過PPPOE撥號上網(wǎng)，直接實(shí)現(xiàn)域名和公網(wǎng)IP地址關(guān)聯(lián)，就不需要端口映射配置了。（3）廣域網(wǎng)VPN服務(wù)器端配置和局域網(wǎng)VPN配置要求基本一致。VPN客戶端在連接VPN服務(wù)器時(shí)需要輸入通過花生殼申請的域名或VPN服務(wù)器的公網(wǎng)IP地址。這樣就可以建立公網(wǎng)VPN連接了。

（三）VPN服務(wù)測試

配置成功后，要在服務(wù)器和遠(yuǎn)程客戶端分別進(jìn)行測試。測試步驟如下。

第一，在VPN服務(wù)器上首先測試申請的動態(tài)域名和獲得公網(wǎng)IP地址之間是否綁定，測試結(jié)果如圖3所示。

圖3 動態(tài)域名和公網(wǎng)IP地址綁定示意圖

第二，在VPN服務(wù)器創(chuàng)建登錄用戶賬號user1，并授予遠(yuǎn)程登錄權(quán)限，啟動VPN服務(wù)，測試結(jié)果如圖4所示。

圖4 授予賬號user1遠(yuǎn)程訪問權(quán)限示意圖

第三，在VPN客戶端上進(jìn)行VPN撥號，輸入登錄域名或者VPN服務(wù)器廣域網(wǎng)的IP地址，以及用戶名和密碼，就可以連接了。測試狀態(tài)如圖5所示。

圖5 VPN客戶端輸入域名進(jìn)行登錄示意圖

第四，連接成功后VPN服務(wù)器端狀態(tài)。測試結(jié)果如圖6所示。

圖6 連接成功后VPN服務(wù)器端狀態(tài)示意圖

結(jié)語

通過搭建互聯(lián)網(wǎng)VPN實(shí)驗(yàn)環(huán)境，可使學(xué)生能夠在真實(shí)的網(wǎng)絡(luò)環(huán)境中提供VPN服務(wù)，能給企事業(yè)單位、個(gè)人提供遠(yuǎn)程安全連接服務(wù)。在該實(shí)驗(yàn)環(huán)境下還可以做遠(yuǎn)程文件共享、遠(yuǎn)程桌面控制、視頻監(jiān)控等服務(wù)。該實(shí)驗(yàn)環(huán)境極大地提高了學(xué)生對網(wǎng)絡(luò)的興趣，使學(xué)生在技術(shù)上更加精益求精，增加了學(xué)生的就業(yè)信心。

[1]龍鵬飛，劉清君，史長瓊.基于VPN的公路網(wǎng)規(guī)劃集成系統(tǒng)安全設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007（13）.

[2]歐陽凱.基于虛擬服務(wù)的SSL VPN研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2006（2）.

[3]劉建偉.網(wǎng)絡(luò)安全實(shí)驗(yàn)教程[M].北京：清華大學(xué)出版社，2007：286-291.

[4]王風(fēng)茂.基于IT服務(wù)外包職業(yè)領(lǐng)域構(gòu)建專業(yè)學(xué)習(xí)領(lǐng)域的創(chuàng)新與實(shí)踐——以高職院校計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)為案例[J].中國成人教育，2010（20）：105-106.

[5]劉永寬.高職計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)人才培養(yǎng)模式的實(shí)踐研究[J].教育與職業(yè)，2010（33）：108-110.

[6]蔣一川.校企合作背景下高職計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)實(shí)訓(xùn)系統(tǒng)的開發(fā)[J].職業(yè)技術(shù)教育，2011（11）：20-22.

[7]邱春榮.計(jì)算機(jī)專業(yè)群“工學(xué)結(jié)合”實(shí)施模型研究[J].職業(yè)教育研究，2009（4）：138-139.

[8]王湘渝.基于“ARP攻擊與防范”課程實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索，2009（5）：175-177.

[9]戎成.校企合作校園網(wǎng)絡(luò)運(yùn)維校內(nèi)頂崗實(shí)習(xí)的改革與實(shí)踐[J].青島職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2011（2）：40-42.

[10]姚東鈮.基于VPN的校園網(wǎng)絡(luò)建設(shè)[J].電腦知識與技術(shù)，2010（8）.

□有話職說

一個(gè)人對社會的價(jià)值首先取決于他的感情、思想和行動對增進(jìn)人類利益有多大的作用。

——愛因斯坦

G712文獻(xiàn)標(biāo)識碼：A文章編號：1672-5727（2012）08-0173-02

*本文系湖南省職業(yè)教育與成人教育學(xué)會2011年科研規(guī)劃項(xiàng)目立項(xiàng)課題 《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)校內(nèi)頂崗實(shí)習(xí)平臺開發(fā)與研究》（項(xiàng)目編號：1148）的主要成果

王湘渝（1974—），男，湖南長沙人，碩士，湖南科技職業(yè)學(xué)院軟件學(xué)院講師，網(wǎng)絡(luò)工程師，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)與信息安全。