呂小剛

（中移鐵通有限公司 萊蕪分公司，山東 濟南 271100）

0 引 言

VPN是實現(xiàn)網(wǎng)絡(luò)通道傳輸?shù)挠行緩剑瑒?chuàng)建的虛擬專有網(wǎng)絡(luò)中，可以通過隧道通信在VPN的隧道協(xié)議中建立通信傳輸機制，以滿足通信傳輸控制的綜合需求。VPN框架中，隧道模型的搭建分為強制隧道和自發(fā)隧道，其中強制隧道可以解決局域網(wǎng)接入的移動用戶，但是具有一定的局限性。實際應(yīng)用中，移動IP技術(shù)的實際操作以及通信傳輸，提高通信數(shù)據(jù)傳輸與信息處理的綜合水平[1]。虛擬專用撥號網(wǎng)（Virtual Private Dial-up Networks，VPDN）應(yīng)用中，可以解決VPN中的移動用戶問題，并利用強制隧道，發(fā)射通信數(shù)據(jù)信號，提高移動IP技術(shù)VPN中的實際應(yīng)用效果[2]。

1 VPN的隧道協(xié)議

隧道通信是VPN的核心技術(shù)，公用網(wǎng)絡(luò)中的通信可通過私有數(shù)據(jù)進行安全傳輸。隧道通信可通過原始數(shù)據(jù)信息進行加密和壓縮處理，協(xié)議封裝后嵌入到另一協(xié)議的數(shù)據(jù)包中，并實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的傳輸與控制。IP隧道機制中，可以建立多種協(xié)議，對通信協(xié)議的傳輸進行優(yōu)化時，可通過應(yīng)用隧道通信在封包地址域中提取轉(zhuǎn)發(fā)信息，并將不透明幀作為包載荷通過IP網(wǎng)絡(luò)進行傳輸。其中，第二層隧道協(xié)議（Layer 2 Tunneling Protocol，L2TP）的前身是 Mi-crosoft公司的點到點隧道協(xié)議以及轉(zhuǎn)發(fā)協(xié)議，建立隧道協(xié)議后，可通過隧道通信傳輸提高通信傳輸?shù)木C合控制水平。但是，VPN隧道協(xié)議實際應(yīng)用中，隧道終端實體需進行身份驗證，避免出現(xiàn)地址欺騙的情況。此外，L2TP本身不提供加密手段，數(shù)據(jù)保護需要其他技術(shù)進行保護。不對每個數(shù)據(jù)包的完整性進行校驗，可能會受到拒絕服務(wù)攻擊的限制[3]。

IP安全（IP Security，IPSec）協(xié)議與L2TP相比，主要區(qū)別是用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧中，封裝層數(shù)存一定的差異。L2TP本身存一定的安全缺陷，報文與數(shù)據(jù)分析處理中，通過監(jiān)聽數(shù)據(jù)包對不同用戶身份進行識別。隧道通信傳輸與信息處理中，移動IP中的VPN應(yīng)用過程進行優(yōu)化，提高數(shù)據(jù)信息的綜合處理水平。通過監(jiān)聽數(shù)據(jù)，并對數(shù)據(jù)連接以及數(shù)據(jù)傳輸安全等進行綜合控制，提高VPN的安全控制水平。隧道通信傳輸?shù)倪^程中，數(shù)據(jù)安全控制的前提下，可提高數(shù)據(jù)傳輸以及信息安全管理的綜合水平。加密數(shù)據(jù)認證與安全管理的過程中，數(shù)據(jù)機密性和安全傳輸是保證VPN通信傳輸質(zhì)量的關(guān)鍵[4]。

2 VPN中移動用戶問題分析

VPN中，經(jīng)常會出現(xiàn)移動用戶訪問專用內(nèi)部網(wǎng)的情況。這一過程中，信息的訪問機制具有一定的特殊性。由于VPN中的IP地址不能直接公用網(wǎng)絡(luò)上使用，移動用戶移出VPN直接連接的公用網(wǎng)時，IP地址會發(fā)生改變。IP地址的改變促使VPN中的安全網(wǎng)關(guān)會拒絕主機的訪問。VPN中，安全網(wǎng)關(guān)需要對IP包進行處理，并將數(shù)據(jù)存儲安全策略數(shù)據(jù)庫中。安全策略數(shù)據(jù)庫中，對IP地址的配置、軟件傳輸以及通信數(shù)據(jù)傳輸?shù)冗M行優(yōu)化，并通過地址分配提高網(wǎng)絡(luò)數(shù)據(jù)的傳輸與控制水平[5]。

VPN內(nèi)，傳輸信息的封裝和認證等問題通過安全網(wǎng)關(guān)進行處理。主機上無需配置IPSec等協(xié)議的程序組件，并解決封裝/解包、加密/解密、認證、訪問控制等問題，提高VPN的通信傳輸安全與控制水平。強制隧道的實際應(yīng)用可以通過用戶的通信傳輸需求處理隧道通信中的IP信號，優(yōu)化通信傳輸。

公 共 私 營 合 作 制（Public-Private Partnership，PPP）會話的數(shù)據(jù)傳輸可有效解決VPN的移動用戶問題。建立VPDN協(xié)議下，優(yōu)化強制隧道模型，連接IP網(wǎng)絡(luò)的L2TP網(wǎng)絡(luò)服務(wù)器（L2TP Network Server，LNS）網(wǎng)關(guān)，提高通信傳輸能力。自發(fā)隧道是一個用戶通過host發(fā)起的隧道連接遠端站點，不需要中間網(wǎng)絡(luò)站點介入。點對點隧道協(xié)議（Point to Point Tunneling Protocol，PPTP）規(guī)范是在自發(fā)隧道模型的視角下對LNS網(wǎng)關(guān)接入過程進行連接[6]。位置區(qū)編碼（Location Area Code，LAC）主機撥號，將信息傳輸?shù)骄W(wǎng)絡(luò)附屬存儲（Network Attached Storage，NAS），并通過IP網(wǎng)絡(luò)進行通信傳輸。

結(jié)合VPN移動用戶的通信傳輸過程，兩種隧道模式綜合處理的過程中，強制隧道的撥號傳輸與信號連接水平更高，可以通過本地區(qū)域網(wǎng)接入專用網(wǎng)絡(luò)。隧道傳輸過程中需要通過數(shù)據(jù)平面對數(shù)據(jù)安全、信息處理過程等進行優(yōu)化，并傳輸IPSec數(shù)據(jù)，提高VPN移動用戶的綜合處理水平?？傊瑢Ρ确治鰪娭扑淼篮妥园l(fā)隧道可知，擇優(yōu)選擇強制隧道進行數(shù)據(jù)處理能夠提高數(shù)據(jù)信息的綜合處理水平。

3 VPN中移動IP的應(yīng)用策略分析

3.1 VPDN

VPDN實際應(yīng)用中可利用公共網(wǎng)絡(luò)的撥號接入網(wǎng)實現(xiàn)虛擬通信的傳輸與控制。建立強制隧道模型的基礎(chǔ)上，用戶可以通過相移發(fā)射分集（Phase Sweeping Transmit Diversity，PSTD）或者綜合業(yè)務(wù)數(shù)字 網(wǎng)（Integrated Services Digital Networ，ISDN） 撥 號到NAS，NAS可通過PPP將隧道延伸，并通過IP網(wǎng)絡(luò)的通信傳輸對網(wǎng)關(guān)進行優(yōu)化，提高通信傳輸?shù)木C合控制水平。VPDN可通過通信隧道完善移動IP用戶的傳輸過程以及用戶認證、信息安全等，提高移動IP節(jié)點的綜合處理水平[7]。

3.2 VPN中移動IP的引入

VPN中引入移動IP技術(shù)時，需要在用戶訪問中將多個主機連接到以用戶為前提的訪問設(shè)備，對以太網(wǎng)的通信傳輸過程進行完善，提高網(wǎng)絡(luò)配置水平，并在控制設(shè)備引入成本的基礎(chǔ)上提高VPN的通信控制水平。與此同時，可以通過IPSec解決通信傳輸效率低的問題，利用移動IP技術(shù)有效解決局域網(wǎng)接入、單獨使用IPSec等問題。具體的通信框架如圖1所示。

圖1 通信框架

VPDN中對PPP參數(shù)進行調(diào)整，并在數(shù)據(jù)壓縮處理后根據(jù)并行線路的數(shù)據(jù)傳輸過程調(diào)整數(shù)據(jù)信號，提高數(shù)據(jù)信息的綜合處理水平。對數(shù)據(jù)包的數(shù)據(jù)處理中，自發(fā)隧道可以采用序列號的方式，整合數(shù)據(jù)傳輸過程，提高數(shù)據(jù)信息的綜合處理水平[8]。

3.3 移動IP用戶的節(jié)點信息處理

移動IP數(shù)據(jù)傳輸與控制的過程中，可通過Internet控 制 報 文 協(xié) 議（Internet Control Message Protoco，ICMP）路由對路由廣告以及路由請求信息等進行處理，移動節(jié)點可以定期發(fā)送代理請求和地址信息等。通過注冊請求以及注冊應(yīng)答等方式，對代理關(guān)系進行綁定與處理，并轉(zhuǎn)交地址信息。不同地址可以直接通過隧道的終點進行處理，并完善參數(shù)數(shù)據(jù)之間的關(guān)系、地址分配協(xié)議以及網(wǎng)絡(luò)傳輸過程等，提高數(shù)據(jù)信息的綜合處理水平。地址信息不同，隧道的終點也存在一定的差異性，地址分配與信息處理的過程中，需要在對數(shù)據(jù)包進行拆分與信息處理的基礎(chǔ)上優(yōu)化隧道的信息傳輸過程、數(shù)據(jù)交換處理等，提高通信數(shù)據(jù)的綜合傳輸與控制效果[9]。

3.4 建立VPN的應(yīng)用模型

移動IP傳輸與處理中，結(jié)合VPN移動用戶的綜合需求，通過搭建通信傳輸模型，完善移動用戶與VPN外部的通信過程，可轉(zhuǎn)交地址的傳輸信號，提高通信傳輸?shù)木C合水平。移動節(jié)點的通信傳輸處理與信息分析中，優(yōu)化外部用戶和內(nèi)部用戶的通信傳輸過程，在數(shù)據(jù)拆分與信息處理的基礎(chǔ)上對通信數(shù)據(jù)的傳輸過程、移動主機以及VPN內(nèi)部主機的通信反向隧道進行處理，提高移動IP的反向隧道的通信控制。

移動IP的反向隧道搭建需要在內(nèi)部網(wǎng)的通信傳輸中根據(jù)LAC與主機之間的通信關(guān)系，搭建通信應(yīng)用模型，提高移動節(jié)點的綜合控制水平[10]。VPN外部用戶視角下，可通過移動節(jié)點整合通信位置和主機位置的相關(guān)數(shù)據(jù)，提高主機的綜合處理效果。具體的通信傳輸模型如圖2所示。

圖2 移動IP通信協(xié)議

從安全性的角度分析，移動IP技術(shù)在實際應(yīng)用中可以通過移動節(jié)點與秘鑰認證，控制隧道通信中的IP信號。利用應(yīng)用模型可以排除潛對移動IP認證協(xié)議的攻擊，與此同時，移動IP技術(shù)視角下，可以通過認證算法與認證模式的應(yīng)用控制注冊請求過程、移動IP的通信傳輸過程以及重放保護機制。移動節(jié)點與VPN通信過程的數(shù)據(jù)分析中，通過應(yīng)用中繼設(shè)備完善移動節(jié)點的數(shù)據(jù)包、數(shù)據(jù)處理過程以及隧道串聯(lián)機制等，提高隧道傳輸與信息控制的綜合效果。

4 結(jié) 論

移動IP是通過網(wǎng)絡(luò)層搭建，利用隧道通信傳輸IP信號。通過VPDN的移動用戶，可利用NAS提供以及VPN內(nèi)部通信的隧道實現(xiàn)遠程連接，提高局域網(wǎng)的綜合傳輸水平與控制水平。通信傳輸與隧道連接中，可通過控制移動IP用戶的數(shù)據(jù)傳輸過程，利用隧道模型優(yōu)化VPDN的通信傳輸速率，提高移動用戶的通信傳輸水平。