呂小剛

（中移鐵通有限公司 萊蕪分公司，山東 濟(jì)南 271100）

0 引 言

VPN是實(shí)現(xiàn)網(wǎng)絡(luò)通道傳輸?shù)挠行緩剑瑒?chuàng)建的虛擬專(zhuān)有網(wǎng)絡(luò)中，可以通過(guò)隧道通信在VPN的隧道協(xié)議中建立通信傳輸機(jī)制，以滿(mǎn)足通信傳輸控制的綜合需求。VPN框架中，隧道模型的搭建分為強(qiáng)制隧道和自發(fā)隧道，其中強(qiáng)制隧道可以解決局域網(wǎng)接入的移動(dòng)用戶(hù)，但是具有一定的局限性。實(shí)際應(yīng)用中，移動(dòng)IP技術(shù)的實(shí)際操作以及通信傳輸，提高通信數(shù)據(jù)傳輸與信息處理的綜合水平[1]。虛擬專(zhuān)用撥號(hào)網(wǎng)（Virtual Private Dial-up Networks，VPDN）應(yīng)用中，可以解決VPN中的移動(dòng)用戶(hù)問(wèn)題，并利用強(qiáng)制隧道，發(fā)射通信數(shù)據(jù)信號(hào)，提高移動(dòng)IP技術(shù)VPN中的實(shí)際應(yīng)用效果[2]。

1 VPN的隧道協(xié)議

隧道通信是VPN的核心技術(shù)，公用網(wǎng)絡(luò)中的通信可通過(guò)私有數(shù)據(jù)進(jìn)行安全傳輸。隧道通信可通過(guò)原始數(shù)據(jù)信息進(jìn)行加密和壓縮處理，協(xié)議封裝后嵌入到另一協(xié)議的數(shù)據(jù)包中，并實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的傳輸與控制。IP隧道機(jī)制中，可以建立多種協(xié)議，對(duì)通信協(xié)議的傳輸進(jìn)行優(yōu)化時(shí)，可通過(guò)應(yīng)用隧道通信在封包地址域中提取轉(zhuǎn)發(fā)信息，并將不透明幀作為包載荷通過(guò)IP網(wǎng)絡(luò)進(jìn)行傳輸。其中，第二層隧道協(xié)議（Layer 2 Tunneling Protocol，L2TP）的前身是 Mi-crosoft公司的點(diǎn)到點(diǎn)隧道協(xié)議以及轉(zhuǎn)發(fā)協(xié)議，建立隧道協(xié)議后，可通過(guò)隧道通信傳輸提高通信傳輸?shù)木C合控制水平。但是，VPN隧道協(xié)議實(shí)際應(yīng)用中，隧道終端實(shí)體需進(jìn)行身份驗(yàn)證，避免出現(xiàn)地址欺騙的情況。此外，L2TP本身不提供加密手段，數(shù)據(jù)保護(hù)需要其他技術(shù)進(jìn)行保護(hù)。不對(duì)每個(gè)數(shù)據(jù)包的完整性進(jìn)行校驗(yàn)，可能會(huì)受到拒絕服務(wù)攻擊的限制[3]。

IP安全（IP Security，IPSec）協(xié)議與L2TP相比，主要區(qū)別是用戶(hù)數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議棧中，封裝層數(shù)存一定的差異。L2TP本身存一定的安全缺陷，報(bào)文與數(shù)據(jù)分析處理中，通過(guò)監(jiān)聽(tīng)數(shù)據(jù)包對(duì)不同用戶(hù)身份進(jìn)行識(shí)別。隧道通信傳輸與信息處理中，移動(dòng)IP中的VPN應(yīng)用過(guò)程進(jìn)行優(yōu)化，提高數(shù)據(jù)信息的綜合處理水平。通過(guò)監(jiān)聽(tīng)數(shù)據(jù)，并對(duì)數(shù)據(jù)連接以及數(shù)據(jù)傳輸安全等進(jìn)行綜合控制，提高VPN的安全控制水平。隧道通信傳輸?shù)倪^(guò)程中，數(shù)據(jù)安全控制的前提下，可提高數(shù)據(jù)傳輸以及信息安全管理的綜合水平。加密數(shù)據(jù)認(rèn)證與安全管理的過(guò)程中，數(shù)據(jù)機(jī)密性和安全傳輸是保證VPN通信傳輸質(zhì)量的關(guān)鍵[4]。

2 VPN中移動(dòng)用戶(hù)問(wèn)題分析

VPN中，經(jīng)常會(huì)出現(xiàn)移動(dòng)用戶(hù)訪問(wèn)專(zhuān)用內(nèi)部網(wǎng)的情況。這一過(guò)程中，信息的訪問(wèn)機(jī)制具有一定的特殊性。由于VPN中的IP地址不能直接公用網(wǎng)絡(luò)上使用，移動(dòng)用戶(hù)移出VPN直接連接的公用網(wǎng)時(shí)，IP地址會(huì)發(fā)生改變。IP地址的改變促使VPN中的安全網(wǎng)關(guān)會(huì)拒絕主機(jī)的訪問(wèn)。VPN中，安全網(wǎng)關(guān)需要對(duì)IP包進(jìn)行處理，并將數(shù)據(jù)存儲(chǔ)安全策略數(shù)據(jù)庫(kù)中。安全策略數(shù)據(jù)庫(kù)中，對(duì)IP地址的配置、軟件傳輸以及通信數(shù)據(jù)傳輸?shù)冗M(jìn)行優(yōu)化，并通過(guò)地址分配提高網(wǎng)絡(luò)數(shù)據(jù)的傳輸與控制水平[5]。

VPN內(nèi)，傳輸信息的封裝和認(rèn)證等問(wèn)題通過(guò)安全網(wǎng)關(guān)進(jìn)行處理。主機(jī)上無(wú)需配置IPSec等協(xié)議的程序組件，并解決封裝/解包、加密/解密、認(rèn)證、訪問(wèn)控制等問(wèn)題，提高VPN的通信傳輸安全與控制水平。強(qiáng)制隧道的實(shí)際應(yīng)用可以通過(guò)用戶(hù)的通信傳輸需求處理隧道通信中的IP信號(hào)，優(yōu)化通信傳輸。

公 共 私 營(yíng) 合 作 制（Public-Private Partnership，PPP）會(huì)話(huà)的數(shù)據(jù)傳輸可有效解決VPN的移動(dòng)用戶(hù)問(wèn)題。建立VPDN協(xié)議下，優(yōu)化強(qiáng)制隧道模型，連接IP網(wǎng)絡(luò)的L2TP網(wǎng)絡(luò)服務(wù)器（L2TP Network Server，LNS）網(wǎng)關(guān)，提高通信傳輸能力。自發(fā)隧道是一個(gè)用戶(hù)通過(guò)host發(fā)起的隧道連接遠(yuǎn)端站點(diǎn)，不需要中間網(wǎng)絡(luò)站點(diǎn)介入。點(diǎn)對(duì)點(diǎn)隧道協(xié)議（Point to Point Tunneling Protocol，PPTP）規(guī)范是在自發(fā)隧道模型的視角下對(duì)LNS網(wǎng)關(guān)接入過(guò)程進(jìn)行連接[6]。位置區(qū)編碼（Location Area Code，LAC）主機(jī)撥號(hào)，將信息傳輸?shù)骄W(wǎng)絡(luò)附屬存儲(chǔ)（Network Attached Storage，NAS），并通過(guò)IP網(wǎng)絡(luò)進(jìn)行通信傳輸。

結(jié)合VPN移動(dòng)用戶(hù)的通信傳輸過(guò)程，兩種隧道模式綜合處理的過(guò)程中，強(qiáng)制隧道的撥號(hào)傳輸與信號(hào)連接水平更高，可以通過(guò)本地區(qū)域網(wǎng)接入專(zhuān)用網(wǎng)絡(luò)。隧道傳輸過(guò)程中需要通過(guò)數(shù)據(jù)平面對(duì)數(shù)據(jù)安全、信息處理過(guò)程等進(jìn)行優(yōu)化，并傳輸IPSec數(shù)據(jù)，提高VPN移動(dòng)用戶(hù)的綜合處理水平?？傊?，對(duì)比分析強(qiáng)制隧道和自發(fā)隧道可知，擇優(yōu)選擇強(qiáng)制隧道進(jìn)行數(shù)據(jù)處理能夠提高數(shù)據(jù)信息的綜合處理水平。

3 VPN中移動(dòng)IP的應(yīng)用策略分析

3.1 VPDN

VPDN實(shí)際應(yīng)用中可利用公共網(wǎng)絡(luò)的撥號(hào)接入網(wǎng)實(shí)現(xiàn)虛擬通信的傳輸與控制。建立強(qiáng)制隧道模型的基礎(chǔ)上，用戶(hù)可以通過(guò)相移發(fā)射分集（Phase Sweeping Transmit Diversity，PSTD）或者綜合業(yè)務(wù)數(shù)字 網(wǎng)（Integrated Services Digital Networ，ISDN） 撥 號(hào)到NAS，NAS可通過(guò)PPP將隧道延伸，并通過(guò)IP網(wǎng)絡(luò)的通信傳輸對(duì)網(wǎng)關(guān)進(jìn)行優(yōu)化，提高通信傳輸?shù)木C合控制水平。VPDN可通過(guò)通信隧道完善移動(dòng)IP用戶(hù)的傳輸過(guò)程以及用戶(hù)認(rèn)證、信息安全等，提高移動(dòng)IP節(jié)點(diǎn)的綜合處理水平[7]。

3.2 VPN中移動(dòng)IP的引入

VPN中引入移動(dòng)IP技術(shù)時(shí)，需要在用戶(hù)訪問(wèn)中將多個(gè)主機(jī)連接到以用戶(hù)為前提的訪問(wèn)設(shè)備，對(duì)以太網(wǎng)的通信傳輸過(guò)程進(jìn)行完善，提高網(wǎng)絡(luò)配置水平，并在控制設(shè)備引入成本的基礎(chǔ)上提高VPN的通信控制水平。與此同時(shí)，可以通過(guò)IPSec解決通信傳輸效率低的問(wèn)題，利用移動(dòng)IP技術(shù)有效解決局域網(wǎng)接入、單獨(dú)使用IPSec等問(wèn)題。具體的通信框架如圖1所示。

圖1 通信框架

VPDN中對(duì)PPP參數(shù)進(jìn)行調(diào)整，并在數(shù)據(jù)壓縮處理后根據(jù)并行線路的數(shù)據(jù)傳輸過(guò)程調(diào)整數(shù)據(jù)信號(hào)，提高數(shù)據(jù)信息的綜合處理水平。對(duì)數(shù)據(jù)包的數(shù)據(jù)處理中，自發(fā)隧道可以采用序列號(hào)的方式，整合數(shù)據(jù)傳輸過(guò)程，提高數(shù)據(jù)信息的綜合處理水平[8]。

3.3 移動(dòng)IP用戶(hù)的節(jié)點(diǎn)信息處理

移動(dòng)IP數(shù)據(jù)傳輸與控制的過(guò)程中，可通過(guò)Internet控 制 報(bào) 文 協(xié) 議（Internet Control Message Protoco，ICMP）路由對(duì)路由廣告以及路由請(qǐng)求信息等進(jìn)行處理，移動(dòng)節(jié)點(diǎn)可以定期發(fā)送代理請(qǐng)求和地址信息等。通過(guò)注冊(cè)請(qǐng)求以及注冊(cè)應(yīng)答等方式，對(duì)代理關(guān)系進(jìn)行綁定與處理，并轉(zhuǎn)交地址信息。不同地址可以直接通過(guò)隧道的終點(diǎn)進(jìn)行處理，并完善參數(shù)數(shù)據(jù)之間的關(guān)系、地址分配協(xié)議以及網(wǎng)絡(luò)傳輸過(guò)程等，提高數(shù)據(jù)信息的綜合處理水平。地址信息不同，隧道的終點(diǎn)也存在一定的差異性，地址分配與信息處理的過(guò)程中，需要在對(duì)數(shù)據(jù)包進(jìn)行拆分與信息處理的基礎(chǔ)上優(yōu)化隧道的信息傳輸過(guò)程、數(shù)據(jù)交換處理等，提高通信數(shù)據(jù)的綜合傳輸與控制效果[9]。

3.4 建立VPN的應(yīng)用模型

移動(dòng)IP傳輸與處理中，結(jié)合VPN移動(dòng)用戶(hù)的綜合需求，通過(guò)搭建通信傳輸模型，完善移動(dòng)用戶(hù)與VPN外部的通信過(guò)程，可轉(zhuǎn)交地址的傳輸信號(hào)，提高通信傳輸?shù)木C合水平。移動(dòng)節(jié)點(diǎn)的通信傳輸處理與信息分析中，優(yōu)化外部用戶(hù)和內(nèi)部用戶(hù)的通信傳輸過(guò)程，在數(shù)據(jù)拆分與信息處理的基礎(chǔ)上對(duì)通信數(shù)據(jù)的傳輸過(guò)程、移動(dòng)主機(jī)以及VPN內(nèi)部主機(jī)的通信反向隧道進(jìn)行處理，提高移動(dòng)IP的反向隧道的通信控制。

移動(dòng)IP的反向隧道搭建需要在內(nèi)部網(wǎng)的通信傳輸中根據(jù)LAC與主機(jī)之間的通信關(guān)系，搭建通信應(yīng)用模型，提高移動(dòng)節(jié)點(diǎn)的綜合控制水平[10]。VPN外部用戶(hù)視角下，可通過(guò)移動(dòng)節(jié)點(diǎn)整合通信位置和主機(jī)位置的相關(guān)數(shù)據(jù)，提高主機(jī)的綜合處理效果。具體的通信傳輸模型如圖2所示。

圖2 移動(dòng)IP通信協(xié)議

從安全性的角度分析，移動(dòng)IP技術(shù)在實(shí)際應(yīng)用中可以通過(guò)移動(dòng)節(jié)點(diǎn)與秘鑰認(rèn)證，控制隧道通信中的IP信號(hào)。利用應(yīng)用模型可以排除潛對(duì)移動(dòng)IP認(rèn)證協(xié)議的攻擊，與此同時(shí)，移動(dòng)IP技術(shù)視角下，可以通過(guò)認(rèn)證算法與認(rèn)證模式的應(yīng)用控制注冊(cè)請(qǐng)求過(guò)程、移動(dòng)IP的通信傳輸過(guò)程以及重放保護(hù)機(jī)制。移動(dòng)節(jié)點(diǎn)與VPN通信過(guò)程的數(shù)據(jù)分析中，通過(guò)應(yīng)用中繼設(shè)備完善移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)包、數(shù)據(jù)處理過(guò)程以及隧道串聯(lián)機(jī)制等，提高隧道傳輸與信息控制的綜合效果。

4 結(jié) 論

移動(dòng)IP是通過(guò)網(wǎng)絡(luò)層搭建，利用隧道通信傳輸IP信號(hào)。通過(guò)VPDN的移動(dòng)用戶(hù)，可利用NAS提供以及VPN內(nèi)部通信的隧道實(shí)現(xiàn)遠(yuǎn)程連接，提高局域網(wǎng)的綜合傳輸水平與控制水平。通信傳輸與隧道連接中，可通過(guò)控制移動(dòng)IP用戶(hù)的數(shù)據(jù)傳輸過(guò)程，利用隧道模型優(yōu)化VPDN的通信傳輸速率，提高移動(dòng)用戶(hù)的通信傳輸水平。