基于远程网络访问的VPN实验教学改进

摘要：分析了目前高职院校网络技术专业VPN实验教学普遍采用的方案，指出了这种基于局域网的VPN实验教学方案的不足，设计了基于真实应用场景的广域网VPN实验教学方案。该方案成本低，适合学生自己搭建网络环境，特别是学生能够为企业、公司提供VPN解决方案，从而实现工学结合的教学目的。

关键词：远程网络访问；VPN；DDNS；计算机网络技术专业

中图分类号：G712 文献标识码：A 文章编号：1672-5727（2012）08-0173-02

VPN（Virtual Private Network，虚拟专用网）可以让远程用户与局域网之间通过互联网建立起一个安全的通信管道。当远程的VPN客户端通过互联网连接到VPN服务器时，它们之间所传送的信息会被加密，因此能确保信息的安全性。VPN操作简单、方便，安装和运营成本都非常低，这些优势使之在企业中得到了广泛应用。计算机网络应用专业引进VPN是为了适应市场需要，更好地为社会服务。本文探索VPN实验教学的方法，无缝对接校内学习和企业技能要求。

VPN实验教学分析

VPN是利用开放的公用网络资源建立私有数据传输通道，将远程的分支机构、商业伙伴、移动办公人员连接起来，并且提供安全的端到端数据通信的一种广域网技术。它是在现有公用网络平台上构筑的不受地域限制而由企业统一策略控制和管理的网络。与普通企业网络不同的是，VPN基础平台采用公用数据网，与其他用户共享网络资源而不是独占。

（一）VPN关键技术

VPN使用隧道技术、加密解密技术、密钥管理技术、使用者与设备认证技术，保证了通信的安全性。客户机向VPN服务器发送请求，VPN服务器响应请求并向客户机发送身份咨询，客户机将加密的响应请求发送到VPN服务器，VPN服务器根据用户数据库检查该响应，若账户有效，VPN服务器将检查该用户是否具有远程访问权限，若该用户拥有远程访问的权限，VPN服务器就接收此连接。在身份验证过程中产生的客户机和服务器公有密钥将用于对数据进行加密。

VPN技术涉及计算机网络、网络安全、数学等多个学科。学生学好VPN技术将能增强对这些学科的理解，提高网络综合运用能力。

（二）局域网VPN实验环境分析

VPN实验是高职院校网络技术专业《Windows 网络服务》等课程的课程实验之一。目前，高职院校的网络技术专业都十分重视实践课程，实践课程的比例很多达到了50%甚至更高，贯彻了边学边练的方针。但笔者在与兄弟院校的专业教师交流时发现，目前在进行VPN实验教学时，所搭建的网络环境是基于局域网的，这种网络环境适合于VPN基础的学习，学生还需要进一步在互联网环境下实现VPN网络配置。

局域网VPN实验环境基本服务的搭建过程是：准备常用软件VMware、Windows 2003 Server、Windows XP，每个学生利用VMware虚拟软件在自己的电脑上安装两个虚拟操作系统，一个是Windows 2003服务器、一个是Windows XP客户机。在Windows Server 2003服务器上安装、配置VPN服务，并创建远程访问账号和策略。在XP客户端上配置VPN拨号，输入Windows Server 2003服务器局域网IP地址、用户名和密码，就可以拨号了。拨号成功后，将在状态栏里显示网络连接图标。

这种局域网VPN实验环境优点是搭建简单、成本低、学生能够掌握VPN配置步骤。但笔者认为这种网络环境有诸多问题。

一是与VPN技术实际应用环境不符。VPN是解决企业远程安全接入的技术，是在互联网环境下提供分支机构或个人安全访问的，所以必须在广域网环境下进行实验。在局域网环境下搭建VPN网络环境尽管配置简单，但学生不能感受到VPN提供的强大功能和便利的网络访问。

二是不便于学生对VPN测试和理解。在局域网环境下，学生配置VPN服务成功后是不便于测试和理解的。VPN客户端连接到VPN服务器时，服务器会分配一个内网IP地址。在局域网环境中，学生会认为在局域网里通过私有IP地址可以通信，不需要VPN再来分配一个私有IP地址，也不知道网络连接成功是哪个地址在起作用。VPN配置成功后只是通过客户端状态图标和服务器的连接参数进行判断，学生不好做VPN连接成功后的进一步操作。VPN服务测试需要多个用户长时间同时进行连接测试才能发现问题，而这种局域网环境不适合多用户同时测试。

三是不能提供真实的VPN服务。职业教育是要求工学结合的，要求学生用课堂上所学的知识为企业服务，而这种局域网VPN环境与实际运行的网络环境有较大区别，学生在实际VPN操作时会感到束手无策。

搭建基于广域网的VPN实验环境，与实际网络环境无缝对接，同时又节省实验费用是本文研究的目的。

基于广域网的VPN实验设计

在互联网上实现VPN网络服务，需要公网地址和在公网注册的域名。公网IP地址是非常紧缺的，学校不可能为每一个网络专业学生都申请公网IP地址，而在公网注册域名也需要较高的费用。因此，创建适合学生使用的公网域名方式，是搭建互联网VPN服务的关键。

（一）DDNS的工作原理

通过DDNS（Dynamic Domain Name Server，动态域名服务）软件，可以将个人服务器上动态变化的IP与域名相捆绑，从而满足个人服务器在互联网上的需求。

其操作步骤如下：（1）为每台个人服务器申请一个域名，以便让DDNS服务器识别不同的个人服务器。用户可以向DDNS供应商申请免费的二级、三级域名，也可以购买专门的一级域名。在这方面，投资比较少，灵活性很强。（2）每当个人服务器连接到网络，从ISP供应商（如电信、网通）处获取公网IP后，DDNS客户端程序会把个人服务器上的动态IP地址传送给DDNS服务器。（3）DDNS服务器接收到相关信息后，对DNS服务器提出申请，对绑定的个人服务器的域名与IP进行更新。（4）当互联网上的其他用户要访问个人服务器的时候，首先会向DNS服务器查询个人服务器的IP地址，获取个人服务器的IP地址后，互联网上的用户就可以获取个人服务器的相关服务了。DDNS网络拓扑如图1所示。