移動IP技術在VPN中的應用

呂小剛

（中移鐵通有限公司 萊蕪分公司，山東 濟南 271100）

0 引 言

VPN是實現網絡通道傳輸的有效途徑，創建的虛擬專有網絡中，可以通過隧道通信在VPN的隧道協議中建立通信傳輸機制，以滿足通信傳輸控制的綜合需求。VPN框架中，隧道模型的搭建分為強制隧道和自發隧道，其中強制隧道可以解決局域網接入的移動用戶，但是具有一定的局限性。實際應用中，移動IP技術的實際操作以及通信傳輸，提高通信數據傳輸與信息處理的綜合水平[1]。虛擬專用撥號網（Virtual Private Dial-up Networks，VPDN）應用中，可以解決VPN中的移動用戶問題，并利用強制隧道，發射通信數據信號，提高移動IP技術VPN中的實際應用效果[2]。

1 VPN的隧道協議

隧道通信是VPN的核心技術，公用網絡中的通信可通過私有數據進行安全傳輸。隧道通信可通過原始數據信息進行加密和壓縮處理，協議封裝后嵌入到另一協議的數據包中，并實現網絡數據的傳輸與控制。IP隧道機制中，可以建立多種協議，對通信協議的傳輸進行優化時，可通過應用隧道通信在封包地址域中提取轉發信息，并將不透明幀作為包載荷通過IP網絡進行傳輸。其中，第二層隧道協議（Layer 2 Tunneling Protocol，L2TP）的前身是 Mi-crosoft公司的點到點隧道協議以及轉發協議，建立隧道協議后，可通過隧道通信傳輸提高通信傳輸的綜合控制水平。但是，VPN隧道協議實際應用中，隧道終端實體需進行身份驗證，避免出現地址欺騙的情況。此外，L2TP本身不提供加密手段，數據保護需要其他技術進行保護。不對每個數據包的完整性進行校驗，可能會受到拒絕服務攻擊的限制[3]。

IP安全（IP Security，IPSec）協議與L2TP相比，主要區別是用戶數據在網絡協議棧中，封裝層數存一定的差異。L2TP本身存一定的安全缺陷，報文與數據分析處理中，通過監聽數據包對不同用戶身份進行識別。隧道通信傳輸與信息處理中，移動IP中的VPN應用過程進行優化，提高數據信息的綜合處理水平。通過監聽數據，并對數據連接以及數據傳輸安全等進行綜合控制，提高VPN的安全控制水平。隧道通信傳輸的過程中，數據安全控制的前提下，可提高數據傳輸以及信息安全管理的綜合水平。加密數據認證與安全管理的過程中，數據機密性和安全傳輸是保證VPN通信傳輸質量的關鍵[4]。

2 VPN中移動用戶問題分析

VPN中，經常會出現移動用戶訪問專用內部網的情況。這一過程中，信息的訪問機制具有一定的特殊性。由于VPN中的IP地址不能直接公用網絡上使用，移動用戶移出VPN直接連接的公用網時，IP地址會發生改變。IP地址的改變促使VPN中的安全網關會拒絕主機的訪問。VPN中，安全網關需要對IP包進行處理，并將數據存儲安全策略數據庫中。安全策略數據庫中，對IP地址的配置、軟件傳輸以及通信數據傳輸等進行優化，并通過地址分配提高網絡數據的傳輸與控制水平[5]。

VPN內，傳輸信息的封裝和認證等問題通過安全網關進行處理。主機上無需配置IPSec等協議的程序組件，并解決封裝/解包、加密/解密、認證、訪問控制等問題，提高VPN的通信傳輸安全與控制水平。強制隧道的實際應用可以通過用戶的通信傳輸需求處理隧道通信中的IP信號，優化通信傳輸。

公 共 私 營 合 作 制（Public-Private Partnership，PPP）會話的數據傳輸可有效解決VPN的移動用戶問題。建立VPDN協議下，優化強制隧道模型，連接IP網絡的L2TP網絡服務器（L2TP Network Server，LNS）網關，提高通信傳輸能力。自發隧道是一個用戶通過host發起的隧道連接遠端站點，不需要中間網絡站點介入。點對點隧道協議（Point to Point Tunneling Protocol，PPTP）規范是在自發隧道模型的視角下對LNS網關接入過程進行連接[6]。位置區編碼（Location Area Code，LAC）主機撥號，將信息傳輸到網絡附屬存儲（Network Attached Storage，NAS），并通過IP網絡進行通信傳輸。

結合VPN移動用戶的通信傳輸過程，兩種隧道模式綜合處理的過程中，強制隧道的撥號傳輸與信號連接水平更高，可以通過本地區域網接入專用網絡。隧道傳輸過程中需要通過數據平面對數據安全、信息處理過程等進行優化，并傳輸IPSec數據，提高VPN移動用戶的綜合處理水平。總之，對比分析強制隧道和自發隧道可知，擇優選擇強制隧道進行數據處理能夠提高數據信息的綜合處理水平。

3 VPN中移動IP的應用策略分析

3.1 VPDN

VPDN實際應用中可利用公共網絡的撥號接入網實現虛擬通信的傳輸與控制。建立強制隧道模型的基礎上，用戶可以通過相移發射分集（Phase Sweeping Transmit Diversity，PSTD）或者綜合業務數字 網（Integrated Services Digital Networ，ISDN） 撥 號到NAS，NAS可通過PPP將隧道延伸，并通過IP網絡的通信傳輸對網關進行優化，提高通信傳輸的綜合控制水平。VPDN可通過通信隧道完善移動IP用戶的傳輸過程以及用戶認證、信息安全等，提高移動IP節點的綜合處理水平[7]。

3.2 VPN中移動IP的引入

VPN中引入移動IP技術時，需要在用戶訪問中將多個主機連接到以用戶為前提的訪問設備，對以太網的通信傳輸過程進行完善，提高網絡配置水平，并在控制設備引入成本的基礎上提高VPN的通信控制水平。與此同時，可以通過IPSec解決通信傳輸效率低的問題，利用移動IP技術有效解決局域網接入、單獨使用IPSec等問題。具體的通信框架如圖1所示。

圖1 通信框架

VPDN中對PPP參數進行調整，并在數據壓縮處理后根據并行線路的數據傳輸過程調整數據信號，提高數據信息的綜合處理水平。對數據包的數據處理中，自發隧道可以采用序列號的方式，整合數據傳輸過程，提高數據信息的綜合處理水平[8]。

3.3 移動IP用戶的節點信息處理

移動IP數據傳輸與控制的過程中，可通過Internet控 制 報 文 協 議（Internet Control Message Protoco，ICMP）路由對路由廣告以及路由請求信息等進行處理，移動節點可以定期發送代理請求和地址信息等。通過注冊請求以及注冊應答等方式，對代理關系進行綁定與處理，并轉交地址信息。不同地址可以直接通過隧道的終點進行處理，并完善參數數據之間的關系、地址分配協議以及網絡傳輸過程等，提高數據信息的綜合處理水平。地址信息不同，隧道的終點也存在一定的差異性，地址分配與信息處理的過程中，需要在對數據包進行拆分與信息處理的基礎上優化隧道的信息傳輸過程、數據交換處理等，提高通信數據的綜合傳輸與控制效果[9]。

3.4 建立VPN的應用模型

移動IP傳輸與處理中，結合VPN移動用戶的綜合需求，通過搭建通信傳輸模型，完善移動用戶與VPN外部的通信過程，可轉交地址的傳輸信號，提高通信傳輸的綜合水平。移動節點的通信傳輸處理與信息分析中，優化外部用戶和內部用戶的通信傳輸過程，在數據拆分與信息處理的基礎上對通信數據的傳輸過程、移動主機以及VPN內部主機的通信反向隧道進行處理，提高移動IP的反向隧道的通信控制。

移動IP的反向隧道搭建需要在內部網的通信傳輸中根據LAC與主機之間的通信關系，搭建通信應用模型，提高移動節點的綜合控制水平[10]。VPN外部用戶視角下，可通過移動節點整合通信位置和主機位置的相關數據，提高主機的綜合處理效果。具體的通信傳輸模型如圖2所示。

圖2 移動IP通信協議

從安全性的角度分析，移動IP技術在實際應用中可以通過移動節點與秘鑰認證，控制隧道通信中的IP信號。利用應用模型可以排除潛對移動IP認證協議的攻擊，與此同時，移動IP技術視角下，可以通過認證算法與認證模式的應用控制注冊請求過程、移動IP的通信傳輸過程以及重放保護機制。移動節點與VPN通信過程的數據分析中，通過應用中繼設備完善移動節點的數據包、數據處理過程以及隧道串聯機制等，提高隧道傳輸與信息控制的綜合效果。

4 結 論

移動IP是通過網絡層搭建，利用隧道通信傳輸IP信號。通過VPDN的移動用戶，可利用NAS提供以及VPN內部通信的隧道實現遠程連接，提高局域網的綜合傳輸水平與控制水平。通信傳輸與隧道連接中，可通過控制移動IP用戶的數據傳輸過程，利用隧道模型優化VPDN的通信傳輸速率，提高移動用戶的通信傳輸水平。