基于远程网络访问的VPN实验教学改进*
2012-10-25王湘渝
王湘渝
(湖南科技职业学院 湖南 长沙410118)
基于远程网络访问的VPN实验教学改进*
王湘渝
(湖南科技职业学院 湖南 长沙410118)
分析了目前高职院校网络技术专业VPN实验教学普遍采用的方案,指出了这种基于局域网的VPN实验教学方案的不足,设计了基于真实应用场景的广域网VPN实验教学方案。该方案成本低,适合学生自己搭建网络环境,特别是学生能够为企业、公司提供VPN解决方案,从而实现工学结合的教学目的。
远程网络访问;VPN;DDNS;计算机网络技术专业
VPN(Virtual Private Network,虚拟专用网)可以让远程用户与局域网之间通过互联网建立起一个安全的通信管道。当远程的VPN客户端通过互联网连接到VPN服务器时,它们之间所传送的信息会被加密,因此能确保信息的安全性。VPN操作简单、方便,安装和运营成本都非常低,这些优势使之在企业中得到了广泛应用。计算机网络应用专业引进VPN是为了适应市场需要,更好地为社会服务。本文探索VPN实验教学的方法,无缝对接校内学习和企业技能要求。
VPN实验教学分析
VPN是利用开放的公用网络资源建立私有数据传输通道,将远程的分支机构、商业伙伴、移动办公人员连接起来,并且提供安全的端到端数据通信的一种广域网技术。它是在现有公用网络平台上构筑的不受地域限制而由企业统一策略控制和管理的网络。与普通企业网络不同的是,VPN基础平台采用公用数据网,与其他用户共享网络资源而不是独占。
(一)VPN关键技术
VPN使用隧道技术、加密解密技术、密钥管理技术、使用者与设备认证技术,保证了通信的安全性。客户机向VPN服务器发送请求,VPN服务器响应请求并向客户机发送身份咨询,客户机将加密的响应请求发送到VPN服务器,VPN服务器根据用户数据库检查该响应,若账户有效,VPN服务器将检查该用户是否具有远程访问权限,若该用户拥有远程访问的权限,VPN服务器就接收此连接。在身份验证过程中产生的客户机和服务器公有密钥将用于对数据进行加密。
VPN技术涉及计算机网络、网络安全、数学等多个学科。学生学好VPN技术将能增强对这些学科的理解,提高网络综合运用能力。
(二)局域网VPN实验环境分析
VPN实验是高职院校网络技术专业《Windows网络服务》等课程的课程实验之一。目前,高职院校的网络技术专业都十分重视实践课程,实践课程的比例很多达到了50%甚至更高,贯彻了边学边练的方针。但笔者在与兄弟院校的专业教师交流时发现,目前在进行VPN实验教学时,所搭建的网络环境是基于局域网的,这种网络环境适合于VPN基础的学习,学生还需要进一步在互联网环境下实现VPN网络配置。
局域网VPN实验环境基本服务的搭建过程是:准备常用软件VMware、Windows 2003 Server、Windows XP,每个学生利用VMware虚拟软件在自己的电脑上安装两个虚拟操作系统,一个是Windows 2003服务器、一个是Windows XP客户机。在Windows Server 2003服务器上安装、配置VPN服务,并创建远程访问账号和策略。在XP客户端上配置VPN拨号,输入Windows Server 2003服务器局域网IP地址、用户名和密码,就可以拨号了。拨号成功后,将在状态栏里显示网络连接图标。
这种局域网VPN实验环境优点是搭建简单、成本低、学生能够掌握VPN配置步骤。但笔者认为这种网络环境有诸多问题。
一是与VPN技术实际应用环境不符。VPN是解决企业远程安全接入的技术,是在互联网环境下提供分支机构或个人安全访问的,所以必须在广域网环境下进行实验。在局域网环境下搭建VPN网络环境尽管配置简单,但学生不能感受到VPN提供的强大功能和便利的网络访问。
二是不便于学生对VPN测试和理解。在局域网环境下,学生配置VPN服务成功后是不便于测试和理解的。VPN客户端连接到VPN服务器时,服务器会分配一个内网IP地址。在局域网环境中,学生会认为在局域网里通过私有IP地址可以通信,不需要VPN再来分配一个私有IP地址,也不知道网络连接成功是哪个地址在起作用。VPN配置成功后只是通过客户端状态图标和服务器的连接参数进行判断,学生不好做VPN连接成功后的进一步操作。VPN服务测试需要多个用户长时间同时进行连接测试才能发现问题,而这种局域网环境不适合多用户同时测试。
三是不能提供真实的VPN服务。职业教育是要求工学结合的,要求学生用课堂上所学的知识为企业服务,而这种局域网VPN环境与实际运行的网络环境有较大区别,学生在实际VPN操作时会感到束手无策。
搭建基于广域网的VPN实验环境,与实际网络环境无缝对接,同时又节省实验费用是本文研究的目的。
基于广域网的VPN实验设计
在互联网上实现VPN网络服务,需要公网地址和在公网注册的域名。公网IP地址是非常紧缺的,学校不可能为每一个网络专业学生都申请公网IP地址,而在公网注册域名也需要较高的费用。因此,创建适合学生使用的公网域名方式,是搭建互联网VPN服务的关键。
(一)DDNS的工作原理
通过DDNS(Dynamic Domain Name Server,动态域名服务)软件,可以将个人服务器上动态变化的IP与域名相捆绑,从而满足个人服务器在互联网上发布的需求。
其操作步骤如下:(1)为每台个人服务器申请一个域名,以便让DDNS服务器识别不同的个人服务器。用户可以向DDNS供应商申请免费的二级、三级域名,也可以购买专门的一级域名。在这方面,投资比较少,灵活性很强。(2)每当个人服务器连接到网络,从ISP供应商(如电信、网通)处获取公网IP后,DDNS客户端程序会把个人服务器上的动态IP地址传送给DDNS服务器。(3)DDNS服务器接收到相关信息后,对DNS服务器提出申请,对绑定的个人服务器的域名与IP进行更新。(4)当互联网上的其他用户要访问个人服务器的时候,首先会向DNS服务器查询个人服务器的IP地址,获取个人服务器的IP地址后,互联网上的用户就可以获取个人服务器的相关服务了。DDNS网络拓扑如图1所示。
图1 DDNS网络拓扑图
目前,DDNS软件应用最多的是花生壳动态域名软件,花生壳动态域名是全球用户量最大的完全免费的动态域名解析软件。使用花生壳服务,可以在任何地点、任何时间、任何线路,通过固定的花生壳域名访问远程主机服务。我们采用花生壳软件申请免费的域名来搭建互联网VPN服务,它能实现VPN服务功能,并能节省网络搭建环境费用。
(二)采用DDNS搭建广域网的VPN网络实验
实验环境要求:实验要求选用一台能连接互联网的计算机作为VPN服务器,可以采用笔记本电脑来作服务器,方便移动测试。服务器上安装Windows Server 2003操作系统。另外选择一台计算机作为VPN客户端。网络拓扑如图2所示。
图2 广域网VPN实验网络拓扑图
实现步骤:(1)在VPN服务器端下载、安装花生壳客户端软件,申请、注册免费的域名,用申请到的账户登录到花生壳软件,并激活域名。(2)VPN服务器连接到互联网将获得一个动态的公网IP地址。花生壳软件有两种方法实现将申请的域名和动态的公网IP地址关联起来。一种是在连接广域网的路由器上做端口映射,广域网VPN服务端口是1723,将这个端口和局域网VPN服务器之间建立映射关系,所有对该广域网服务端口的访问将会被重定位给通过IP地址指定的局域网VPN服务器上。另一种方法是VPN服务器通过PPPOE拨号上网,直接实现域名和公网IP地址关联,就不需要端口映射配置了。(3)广域网VPN服务器端配置和局域网VPN配置要求基本一致。VPN客户端在连接VPN服务器时需要输入通过花生壳申请的域名或VPN服务器的公网IP地址。这样就可以建立公网VPN连接了。
(三)VPN服务测试
配置成功后,要在服务器和远程客户端分别进行测试。测试步骤如下。
第一,在VPN服务器上首先测试申请的动态域名和获得公网IP地址之间是否绑定,测试结果如图3所示。
图3 动态域名和公网IP地址绑定示意图
第二,在VPN服务器创建登录用户账号user1,并授予远程登录权限,启动VPN服务,测试结果如图4所示。
图4 授予账号user1远程访问权限示意图
第三,在VPN客户端上进行VPN拨号,输入登录域名或者VPN服务器广域网的IP地址,以及用户名和密码,就可以连接了。测试状态如图5所示。
图5 VPN客户端输入域名进行登录示意图
第四,连接成功后VPN服务器端状态。测试结果如图6所示。
图6 连接成功后VPN服务器端状态示意图
结语
通过搭建互联网VPN实验环境,可使学生能够在真实的网络环境中提供VPN服务,能给企事业单位、个人提供远程安全连接服务。在该实验环境下还可以做远程文件共享、远程桌面控制、视频监控等服务。该实验环境极大地提高了学生对网络的兴趣,使学生在技术上更加精益求精,增加了学生的就业信心。
[1]龙鹏飞,刘清君,史长琼.基于VPN的公路网规划集成系统安全设计与实现[J].计算机工程与设计,2007(13).
[2]欧阳凯.基于虚拟服务的SSL VPN研究[J].小型微型计算机系统,2006(2).
[3]刘建伟.网络安全实验教程[M].北京:清华大学出版社,2007:286-291.
[4]王风茂.基于IT服务外包职业领域构建专业学习领域的创新与实践——以高职院校计算机网络技术专业为案例[J].中国成人教育,2010(20):105-106.
[5]刘永宽.高职计算机网络技术专业人才培养模式的实践研究[J].教育与职业,2010(33):108-110.
[6]蒋一川.校企合作背景下高职计算机网络技术专业实训系统的开发[J].职业技术教育,2011(11):20-22.
[7]邱春荣.计算机专业群“工学结合”实施模型研究[J].职业教育研究,2009(4):138-139.
[8]王湘渝.基于“ARP攻击与防范”课程实验设计[J].实验室研究与探索,2009(5):175-177.
[9]戎成.校企合作校园网络运维校内顶岗实习的改革与实践[J].青岛职业技术学院学报,2011(2):40-42.
[10]姚东铌.基于VPN的校园网络建设[J].电脑知识与技术,2010(8).
□有话职说
一个人对社会的价值首先取决于他的感情、思想和行动对增进人类利益有多大的作用。
——爱因斯坦
G712文献标识码:A文章编号:1672-5727(2012)08-0173-02
*本文系湖南省职业教育与成人教育学会2011年科研规划项目立项课题 《计算机网络技术专业校内顶岗实习平台开发与研究》(项目编号:1148)的主要成果
王湘渝(1974—),男,湖南长沙人,硕士,湖南科技职业学院软件学院讲师,网络工程师,研究方向为计算机网络与信息安全。