毕业设计（论文）-移动VPN的研究与应用.doc

1 目 录 1 引言.1 1.1 研究的意义和目的.1 1.2VPN 现状.2 2 虚拟专用网技术.3 2.1 虚拟专用网的概念.3 2.2 虚拟专用网原理.4 2.3 虚拟专用网的分类.5 2.3.1 Access VPN.5 2.3.2 Internet VPN.6 2.3.3 Extranet VPN.7 2.4 移动(Mobile) VPN.8 2.4.1 基于 UMTS（3G 网络的一种模式）网络中的移动 VPN 实现技术.8 2.4.1.1 UMTS 的 ALL-IP 架构.8 2.4.1.2 在 UMTS 中实现 VPN 的几种方案.8 2.4.1.3 基于 L2TP 的移动 VPN 架构.9 2.4.1.4 基于 MPLS 的移动 VPN 的架构.9 2.4.1.5 基于 IPSec 的移动 VPN 的架构.10 2.4.1.6 实现中的关键技术讨论.10 2.4.1.6.1 自愿模式和强制模式在移动 VPN 中的比较.10 2.4.1.6.2 移动 VPN 端到端的安全措施.11 2.4.1.6.3 引入移动 IP 来构造“移动的”VPN 的考虑.12 2.4.1.6.4 移动 VPN 的管理.12 2.4.2 基于 GPRS 网络的 VPN.12 2 2.4.3 移动 VPN 中关于 IPv4 和 IPv6 过渡策略的考虑.13 2.4.4 总结.14 2.5 VPN 涉及的关键技术.14 2.5.1 隧道技术.14 2.5.2 相关隧道协议.18 3 VPN 的配置.21 3.1 L2TP 协议配置.21 3.1.1 LAC 配置.21 3.1.2 创建 L2TP 组.21 3.1.3 设置发起 L2TP 连接请求及 LNS 地址 .22 3.1.4 启用隧道验证及设置密码.22 3.1.5 设置用户名、密码及配置用户验证.23 3.2 L2TP 显示和调试.24 3.3 L2TP 典型配置举例.25 3.3.1 NAS-Initialized VPN.25 3.3.2 Client-Initialized VPN.27 3.4 L2TP 故障诊断与排错.28 3.5 构建公司的小 VPN 网络.30 4 问题与对策.31 5 结论.31 参考文献与网站：.33 3 移动移动 VPNVPN 的研究与应用的研究与应用 概要：概要：越来越多的用户认识到，随着 Internet 和电子商务的蓬勃发展，经济全球化的最佳、最快 捷途径是发展基于 Internet 的商务应用。基于 Internet 的电子商务活动面临着恶意的信息威胁和 安全隐患。用户的需求正是 VPN 技术诞生的直接原因。人们越来越认识到利用 VPN 技术能为他 们带来更多方便、更好的安全。 本文从VPN的概念开始，介绍了VPN的分类，发展过程以及所涉及的技术，然后重点介绍了 移动VPN的发展现状、应用领域与前景，并讨论了VPN技术与网络安全的问题。 Summary: More and more users realize, with the flourishing development of Internet and e-commerce, the best , swiftest way of the economic globalization is to develop business application based on Internet. The electronic commercial activity based on Internet faces the hostile information threatenning and potential safety hazard. Users demand is exactly an immediate cause why VPN technology emerges. People realize more and more that utilize VPN technology to bring more convenient , better security to them. This text begins from the concept of VPN, introduce the classification of VPN , the evolution and technology involved, then the key introduction moves the current situation of the development , application and prospect of VPN, have discussed VPN technology and question of the network security 关键词：VPN IPsec PPTP L2F L2TP GPRS UMTS 4 1 引言引言 1.1 研究的意义和目的研究的意义和目的 随着 Internet 技术的发展和普及，企业和个人在 Internet 上的交易获得日益频繁，随之而来 的安全问题日益突出。人们以往要想构建企业内部(Intranet)或企业与企业之间(Extranet)交易的安 全环境，必须通过自建通信主干道或者至少租用电缆或光缆组成骨干网，利用 Modem、ISDN、DDN 等设备和技术来构建自己的专用网，其费用巨大。要构建高性能、高速 度、高安全性和高可靠性的专用网的费用是普通企业或部门难于承受的。在这种环境下，虚拟 专用网技术应运而生。虚拟专用网技术，给企业提供了一种更安全，更廉价的构造企业 Extranet 的网络应用形式。利用 VPN 技术，在廉价的、无处不在的 Internet 上建立虚拟专用网络，为企 业提供了一个高安全性、高性能、高可用性和多协议的网络环境。使得 Internet 上的任意两个节 点之间均可以建立一条安全的数据传输“隧道” 。 据行业分析机构 Infonetics Research 公司预测，基于 IP VPN 的远程接入服务在今后几年内将 呈现快速增长的态势。最新的市场预测显示，全球用于 VPN 产品及服务的开支将从 2000 年的 60 亿美元增至 2004 年的 390 亿美元。市场调研机构 IPC 公司曾预测，在未来的两三年内，IP- VPN 业务在全球许多地区将出现爆炸性增长，年复合增长率将达到 300%。到 2004 年，该 IP VPN 业务在亚太地区的市场规模也将至少达到 7 亿美元。 由于 IP-VPN 远程接入服务充分利用了因特网技术的灵活性及广泛性的特点，因而可使一个 企业的员工及其同事在世界上任何能够接入公共 IP 网络的地方均能顺利接入包括公司外部网、 电子邮件及多种办公应用在内的各种企业服务。此外，远程接入 VPN 的灵活性还表现在它不易 受地面网络局限性的影响。由于 IP 具有统一和灵活的特点，故可采用 GPRS 这类新技术将 VPN 的功能扩展为移动 VPN。采用移动 VPN 解决方案后，远程接入企业的各项服务或应用将变得像 打一个移动电话那般容易；远在外地出差的员工无需采用酒店的因特网连接即可直接拨号接入 公司的 VPN 并安全地享用到公司网络的各种应用；远在客户现场的销售人员甚至不必离开客户 的办公场所就能从某个供应商的远程数据库中够准确地核查库存情况和交货日期；通过移动 VPN 还可下载各种经过更新的新闻和讯息。 移动 VPN 技术并不十分依赖于一般的消费者，但却向运营商提供了一个逐渐走向盈利的有 效手段。因此，对处于困境中的运营商来说的 5 确不失为一个重要的收益来源。随着固定运营商与移动运营商之间的界线变得日益模糊，VPN 为全球许多地区的运营商提供了一个可同时涉足固定与移动业务的方式。尽管目前整个亚太地 区移动服务市场渗透率显得参差不齐，但移动电话长期以来一直是该地区职业人员的主要通讯 工具。在过去的两年里，亚太地区在挖掘新型移动服务的方向和潜力方面一直表现出十分浓厚 的兴趣，而且已经取得了可喜的进展。i-Mode 在日本市场取得的成功就是一个可圈可点的例证。 运营商或商业企业在实施 IP VPN 或移动 VPN 之前，需要对许多细节问题进行仔细斟酌。 VPN 的实施有多种不同的方案可供选择，其中也会涉及到多种不同的技术。在移动环境中设计 并部署一个有效的 VPN 的关键在于对每种最佳的技术选型方案作出分析和决策，并始终将网络 保护与信息安全这类重要问题考虑其中。 一个集语音与数据于一体的 VPN 方案首先应确保服务质量(QoS)并对服务等级协议(SLA)中 设定的各项参数指标给予充分的重视。因此，在具体的选型方案中对涉及的主要技术、各种技 术所发挥的作用及优缺点有一个全面的了解和认识是十分必要的 1.2VPN 现状现状 VPN 以其高可扩展性及宽带网络的基础迅速在这个领域崛起。2001 年更是 VPN 技术突飞 猛进并走向成熟的一年，技术的成熟和可靠使得 VPN 在全世界的应用越来越广泛，并成为许多 欧美企业专网组网的首选方案，如国际著名厂商 ATT、Level3、MCI World Com、UUNET， 以及国内知名企业网通、盈通等都已经组建了 VPN 网络。2002 年，中国电信在中国大陆建立其 高密度的 IP/MPLS 网络。该网络在同一物理网络上支持对传统业务和 IP/MPLS 新业务，并可快 速提供用户业务。比如对等接入、IPVPN、城域以太网，通过二层 VPN 的方式承载 FR、ATM、DDN 业务的等。中国电信美国公司则将向在中国有业务的美国公司提供 VPN、通 达中国内地各处的专线业务和到 CHINANET 的直接 IP 接入等业务。与此同时，众多不同行业 的大型企业如 Shell、Unilever、Sakura Bank、BBC、雀巢、丰田等都采用了这种服务并从中获 益。与国外的企业一样，中国的众多机构和企业如政府部门、教育部门、保险公司都已经大量 采用 VPN 服务。未来网络发展的趋势是三网合一，因此 IP 的应用将会越来越普遍，越来越重 要。而随着 IP 运用的深入，应用与带宽的矛盾将会激化，企业原有的以专线或电路为主的组网 方式将不能适应未来的发展。VPN 服务的推出，将大大改变、加速推动这一市场的发展，进而 推动国内电子商务的进程。目前，VPN 在国内的发展正处于迅猛上升的势头，据网通数据产品 6 管理部高级经理高寅介绍，VPN 业务在网通同类型的业务中所占比例达到了 40%的增长率。 基于 PSTN 的固定线路 VPN 的问世虽然已有不短的历史，但与专门的租线接入相比，VPN 显然具有节省成本和易于扩展等多方面的综合优势。VPN 的实现方式主要可分为基于用户端设 备的 VPN 解决方案和由提供商实施的 VPN 解决方案。由于 VPN 采用的多是像 ATM 和帧中继 这样的传输技术， 故传统的实现方式一直表现为基于特定的客户端设备(CPE)的解决方案。 近年来，基于网络的 VPN 逐渐被行业所看好。从本质上讲，它将 CPE 中的“智能”转移 到运营商的网络中。这一方式也免去了对具体站点的 VPN 设备的需求，此外，还意味着将 VPN 的管理和维护也转移给了运营商。企业用户可享受到的利益包括可扩展性的增强(因为多种远程 业务升级、维护及排障将由运营商来执行)、降低成本和缩短与现场巡视有关的时间等等。 在过去的几年中，基于 IP 的 VPN 的引入已成为 VPN 领域的一项重要革新。IP 无处不在的 特性使得“任何时间、任何地点”的连接成为可能。IP 还具备支持包括语音、视频和数据在内 日趋复杂的多种融合业务。另外，IP 电话的问世不仅对移动通信造成了深远的影响，也极大地 便利了移动互联网的诞生并且为广泛而新颖的各种应用与服务开辟了巨大的市场空间。 2 虚拟专用网技术虚拟专用网技术 2.1 虚拟专用网的概念虚拟专用网的概念 虚拟专用网 VPN(Virtual Private Network)的定义有多种形式，如“是建立在实际网络(或物 理网络)基础上的一种功能性网络” ， “是通过公用网络实现远程用户或远程 LAN 之间互连，但 仍具有专网化点的一种技术” ， “在 Internet 上实现的一个专用网”等等。在这里我们引用 Internet 工程任务组(IETF)对虚拟专用网 VPN 的定义：借助于公用 Internet 和专用 IP 网而建立的 虚拟广域网(WAN)。 作为虚拟的专用网，VPN 是一个虚信道，该信道可以用来连接两个专用网；可以通过可靠 的加密技术方法保证其安全性；可以作为公共网络系统的一部分存在。 早期的虚拟专用网是使用帧中继或 ATM 的 PVC 来建构的，它们提供的都是二层服务。现 在新的虚拟专用网技术是基于三层的 IP 协议，它可以使 VPN 完全建构在公用的 Internet 或 IP 网之上。 7 2.2 虚拟专用网原理虚拟专用网原理 图 1 VPN 接入示意图 远程用户通过拨号经由 PSTN 接入企业服务器，拨号用户和企业远程访问服务器之间通过 PSTN 建立直接的物理连接。这样，在企业局域网端，就要求服务器能提供对数据链路层的控制 (LCP)；对请求的认证和对网络层的控制(NCP)。 LAC 和 LNS 合起来完成了原来由企业访问服务器完成的工作。在这里，访问集中器 LAC、网络服务器 LNS 是当使用 L2TP 协议时的命名；当使用其它隧道协议时，访问集中器和 网络服务器就以相对应的名字命名(如 PAC 和 PNS 对应于 PPTP 协议)。 当远程 VPN 用户通过拨号访问企业局域网时，LAC 首先通过 Internet 和 LNS 建立隧道(此 时假定为合法用户，不考虑认证问题)。该条隧道的建立分为两个阶段：(1)控制连接的建立；(2) 会话的建立。LAC 和 LNS 必须为每一位拨号用户建立一个会话，但多个会话可以复用同一条隧 道。因此对所有会话只需建立一个控制连接；所有会话的建立、维持和终止都通过这个控制连 接来传送控制消息。为保证在控制连接上传输控制消息的正确性，控制连接是基于面向连接的 传输层控制协议 TCP 会话建立的。 当 LAC 和 LNS 间的隧道建立后，远程 VPN 用户就可以与 LNS 进行 PPP 握手，握手成功 后建立起 PPP 连接。在此 PPP 连接建立的过程中要完成数据链路层认证和 IP 地址分配等任务。 在这里，LNS 经认证后分配给用户的是内部网地址，而不是 Internet 的全局 IP 号。这样，远程 VPN 用户就与 LNS 成功建立了 PPP 连接，从而可以开始通信。由于用户端发出的数据(即发给 LNS 的 PPP 帧)先要在 LAC 处被封装成 L2TP 帧格式，此种帧在通过 Internet 隧道发送之前又要 被再次封装到 IP 数据报文中。该报文中的源 IP 地址即为 LAC 的全局 IP 地址；目的 IP 地址即 为 LNS 的全局 IP 地址。 由于在虚拟专用网中数据传送要频繁通过 Internet，所以数据传输的安全性显得十分重要。 目前保证安全传输采用的是 IP Sec 协议。IP Sec 使用两组协议：(1) 验证报头(AH)；(2) 封装安 8 全有效负载(ESP)。 AH 是对 IP 报文用某种认证算法进行计算，将计算后的结果作为 AH 插在 IP 首部和数据字 段之间；报文被目的终端接收后，按照认证算法重新对 IP 报文进行计算，将计算后的结果和认 证首部中的内容进行比较：若相符，表示 IP 报文在传输过程中未受损，否则认为已被破坏。AH 只能保证报文的完整性和可靠性，但不对 IP 数据加密。 ESP 是将 IP 报文的数据字段内容进行加密，加密后的结果才真正作为 IP 报文的负荷封装在 IP 报文中。IP 报文被目的终端接收后，由目的终端重新对 IP 报文的负荷进行解密，还原成原始 的数据字段内容。通过选择好的加密算法，ESP 可以保证 IP 报文的完整性、可靠性和保密性。 2.3 虚拟专用网的分类虚拟专用网的分类 共有三种类型的 VPN，它们分别是远程访问虚拟专网(Access VPN)、企业内部虚拟专网 (Intranet VPN)和扩展的企业内部虚拟专网(Extranet VPN)，这三种类型的 VPN 分别与传统的远程 访问网络、企业内部的 Intranet 以及企业网和相关合作伙伴的企业网所构成的 Extranet 相对应。 2.3.12.3.1 Access VPN 随着当前移动办公的日益增多，远程用户需要及时地访问 Intranet 和 Extranet。Access VPN 向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的 Intranet 和 Extranet 建立私有的网络连接。Access VPN 的应用如图 2 所示。在 Access VPN 的应用中，利用 了一种二层网络遂穿技术在公用网络上建立 VPN 隧道(Tunnel)连接来传输私有网络数据。 Access VPN 的结构有两种类型，一种是用户发起(client-initiated)的 VPN 连接，另一种是接 入服务器发起(NAS-initiated)的 VPN 连接。 用户发起的 VPN 连接指的是以下的这种情况：首先，远程用户通过服务提供点(POP)拨入 Internet 访问企业网，接着，用户通过网络隧道协议与企业网建立一条加密的 IP 隧道连接从而安 全地访问企业网内部资源。在这种情况下，用户端必须维护与管理发起隧道连接的有关协议和 软件。 出差员工LNS 接入服务器 PSINInternet 公司总部 Tunnel 9 图 2 Client-Initialized VPN 组网图 在接入服务器发起的 VPN 连接应用中，用户通过本地号码或免费号码拨入 ISP，然后 ISP 的 NAS 再发起一条隧道连接连到用户的企业网。在这种情况下，所建立的 VPN 连接对远端用 户是透明的，构建 VPN 所需的软件均由 ISP 负责管理和维护。 图 3 NAS-Initialized VPN 组网图 2.3.22.3.2 Internet VPN 越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个 分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛 时，网络结构趋于复杂，费用昂贵。利用 VPN 特性可以在 Internet 上组建世界范围内的 Intranet VPN。利用 Internet 的线路保证网络的互联性，而利用隧道、加密等 VPN 特性可以保证信息在 整个 Intranet VPN 上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施，连接企业 总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、 可管理性和可靠性。 Intranet VPN 的优点如下： (1) 减少 WAN 带宽的费用； (2) 能使用灵活的拓扑结构，包括全网孔连接； (3) 新的站点能更快、更容易地被连接； VPN用户 PSIN/ISDN Internet Tunnel NAS LNS 公司总部 10 (4) 通过设备供应商 WAN 的连接冗余，可以延长网络的可用时间。 图 4 Intranet VPN 应用示意图 2.3.32.3.3 Extranet VPN 随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷 方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多， 信息交换日益频繁。Internet 为这样的一种发展趋势提供了良好的基础，而如何利用 Internet 进 行有效的信息管理，是企业发展中不可避免的一个关键问题。利用 VPN 技术可以组建安全的 Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证身的内部网络的安全。 Extranet VPN 通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体 连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和 可靠性。如图 3 所示。Extranet VPN 结构的主要好处是，能容易地对外部网进行部署和管理， 外部网的连接可以使用与部署内部网和远端访问 VPN 相同的架构和协议进行部署。主要的不同 是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。 Service Vroider Main Office Remote Office pop pop pop Intemet/ IP,FR,ATM Business Portner Suppller Customer Remote Office pop pop pop Intemet/ IP,FR,ATM Service Vroider Main Office Remote Office pop pop pop Intemet/ IP,FR,ATM 11 图 5 Extranet VPN 应用示意图 2.4 移动移动(Mobile) VPN 2.4.12.4.1 基于基于 UMTS（3G 网络的一种模式）网络中的移动网络的一种模式）网络中的移动 VPN 实现技术实现技术 VPN 的基本思想就是利用 Internet 公网来传输私有信息而形成逻辑上的专网，从而为企业 级用户提供比专线价格低廉和高安全性的资源共享和互连服务。在传统的 VPN 中，为了保证数 据的完整性和安全性采用了几项关键的技术：隧道（tunneling）技术、加解密（encryption & decryption）技术、密钥管理（key management）技术、使用者与设备身份认证（authentication） 技术。 现在着重讨论在 UMTS（也即欧盟命名的 WCDMA）中实现移动的 VPN 的一些关键技术。 UMTS 中实现移动 VPN，在技术上借鉴了基于 Internet 的传统 VPN 的思想和其中的关键技术。 2.4.1.12.4.1.1 UMTSUMTS 的的 ALL-IPALL-IP 架构架构 在 UMTS 中，整个网络架构，无论是以后的业务还是网络的承载都向 ALL-IP 方向发展， 而且各种接入网络技术不断融合。UMTS 的 ALL-IP 结构如图 1 所示。在图 1 的架构中，所有的 接入网络技术都是基于 IP 技术。这样，很好地解决了网络之间的互联互通，并且给用户的漫游 带来了极大的方便。在目前，UMTS 融合 WLAN 的技术正在开发中。 在 UMTS 中，UE 在 PS 域内与外部 PDN 通信有两种方式：一种是透明方式，另外一种是 非透明方式。选择透明访问和非透明访问是在用户签约的时候确定。 下面主要讨论在 UMTS 的 ALL-IP 架构下，基于透明访问方式和非透明访问方式的 UE 来构 造移动 VPN 的方案及其关键技术。 2.4.1.22.4.1.2 在在 UMTSUMTS 中实现中实现 VPNVPN 的几种方案的几种方案 在 UMTS 中，移动 VPN 的一般构造如图 2 所示，其中有几个网络实体：宿主网络、移动节 点（在 UMTS 中称为 UE） 、UMTS 网络和防火墙。UE 附着到 UMTS 网络的时候，除了进行身 份的验证外，UMTS 网络通过存在 HLR 中的信息，根据 UE 发起的 PDP 中的 APN 请求参数建 立移动 VPN。 12 移动 VPN 的隧道有两种工作模式可供选择，一种是自愿模式，另外一种是强制模式。对于 自愿模式来说，也称端到端的隧道模式，是由 UE 发起到宿主网络端点的隧道。而强制模式，也 称为基于网络的隧道模式，是由 UE 连接到 VPLMN 的接入点（在 UMTS 中为 GGSN） ，由 GGSN 根据 HLR 签约信息建立（或者共享）隧道到宿主网络端点。 在 UMTS 中，构造移动 VPN 有两种隧道技术：移动隧道技术和公网隧道技术（在自愿模式下只是采用公网隧道技术） 。 公网隧道技术有二层隧道技术和三层隧道技术。其中，二层的隧道技术有 PPTP、L2F、L2TP、MPLS、VLAN/ATM 等。三层的隧道技术有 IPSec 等。本文将简要介绍 L2TP，MPLS 和 IPSec 构造移动 VPN 的解决方案。隧道模式的选择和具体建立 VPN 的隧道技 术的选择是作为签约信息存在 HLR 中 2.4.1.32.4.1.3 基于基于 L2TPL2TP 的移动的移动 VPNVPN 架构架构 LT2P 是由 IETF 制定的标准 RFC 2661 中详细规定的，它是一个第二层的隧道技术。基于 L2TP 的移动 VPN 的架构一般是基于非透明方式的强制模式（当然也可以由 UE 发起 L2TP 的隧 道连接构造自愿模式 VPN） ，如图 3 所示。在此架构中，UE 的数据（PDP 类型必须为 PPP 类型） 通过无线信道和 GTP 隧道到达 GGSN。GGSN 作为 L2TP 的 LAC，根据 UE 的 PDP 激活请求的 APN 中的参数决定是否发起与对端的宿主网络端点（LNS）建立可靠的数据传送隧道，这种隧 道是双向的。如果同样的隧道已经存在，则共享这条隧道。而且，这种 VPN 结构可以将几个 L2TP 隧道同时绑定使用，提高传输的速率。 在非透明访问方式中，移动 VPN 在 UMTS 部分的安全、鉴权是由 UMTS 接入的时候进行， 并由其相关的策略保证。相比较而言，重要的安全需求是在 GGSN 和宿主网络之间的公网上， 也是由 L2TP 的隧道所涉及的部分。虽然，L2TP 提供了 PAP 和 CHAP 的安全机制并不能完全解 决安全性问题，但是还可以通过 L2TP 下层应用 IPSec 的安全机制来加强安全性。因为这种移动 VPN 实现了上层的 PPP 连接，所以用户层面上的地址可以使用内部地址，而且，用户的鉴权可 以完全采用 RADIUS。移动网络和外部网络（包括宿主网络）之间进行的 SLA 协商，有关 UE 建立 VPN 的信息存在 HLR 之中。 2.4.1.42.4.1.4 基于基于 MPLSMPLS 的移动的移动 VPNVPN 的架构的架构 基于 MPLS 的移动 VPN 一般也是非透明访问方式的强制模式。因为 MPLS 能在一般的路由 器平台上实现，所以得到厂家的支持。图 4 是一个典型结构，其中 GGSN 作为 MPLS 域的 13 LER（CE） ，外部网络是一个典型的 MPLS 域，与 GGSN 相连接的是 PE（同样是 LER） 。通过 MPLS 域内给 UE 分配的唯一的 VPNID，LER 分配给 UE 的数据适当的标签（label） ，而 MPLS 域内的 LSR 通过 label 转发数据,相当于构造了一条隧道。 按照 MPLS 的标准，GGSN 可以是 MPLS 设备（推荐） ，也可以不是 MPLS 设备。但是，必 须和外部的相连 MPLS 域协商相关的协议，确定 MPLS 给 UE 分配的 VPNID 及相应 label 的分 配方案。GGSN 和 PE 之间的路由通常使用 BGP 路由协议，结合 BGP 和 MPLS 构造 VPN。PE 必须知道 MPLS 域内所支持的所有 CE 的可达性信息和支持的 VPN 的信息。 对于大多数业务来说，基于 BGP、VPNID 和 IP 地址的结合可以提供足够的安全性，但是 也可以通过 IPSec 的加密措施来提高进一步的安全。IPSec 的加密一般在 GGSN（CE）来进行， 并在宿主网络端 CE 解密。这种额外的安全性措施是以降低网络的性能为代价的，不过在高带宽 的骨干网中，这种代价是值得的。 2.4.1.52.4.1.5 基于基于 IPSecIPSec 的移动的移动 VPNVPN 的架构的架构 IPSec 协议族是由 IETF 制定的开放性 IP 安全标准。它在网络层（第二层）中提供了一个安 全传送数据的机制。IPSec 的安全性在于两个协议：AH 和 ESP。每个协议都有两种传输模式： 透明传输和隧道传输。移动 VPN 中的 IPSec 隧道可选任意一种模式，但是两种模式在穿越防火 墙（包括 UMTS 侧的防火墙和宿主网络侧的防火墙）的策略是不一样的，因此，选择哪种模式 应该和具体的防火墙技术结合考虑。 基于 IPSec 的移动 VPN 可以是自愿模式也可以是强 制模式， 在自愿模式中，UE 作为隧道的发起点，同远端的宿主网络节点建立一条 IPSec 的隧道，这 种隧道的建立只能在透明访问方式中存在，而且对 UMTS 网络设备没有特殊的要求，要求 UE 支持 IPSec 隧道方式。UMTS 网络部分只是在 UE 附着和 PDP 激活的过程中对用户进行鉴权。 在强制模式中，UE 首先连接到 GGSN，由 GGSN 作为隧道的发起点，要求 GGSN 必须支 持 IPSec 隧道。 14 2.4.1.62.4.1.6 实现中的关键技术讨论实现中的关键技术讨论 2.4.1.6.12.4.1.6.1 自愿模式和强制模式在移动自愿模式和强制模式在移动 VPNVPN 中的比较中的比较 无线资源对移动通信系统来说是非常有限的，也是非常重要的。在自愿模式中，UE 作为隧 道的起点，所有的封装开销都会在无线信道上传输，加重了无线资源的负担。而且在 UMTS 网 络中，安全性是有保证的，端到端建立隧道在某种程度上来说是没有必要的。而且，UE 必须支 持隧道协议，用户也必须能够正确配置 VPN。 但是如果在 UMTS 的运营商没有提供移动 VPN 业务的情况下，建立在透明传输方式下的自 愿模式是唯一比较好的选择，因为它需要更加少的移动网络对移动 VPN 的支持。而且宿主网络 可以在这种模式下更有效地管理移动 VPN，包括为 UE 提供 VPN 内私有地址，提高通信的安全 性。 2.4.1.6.22.4.1.6.2 移动移动 VPNVPN 端到端的安全措施端到端的安全措施 移动 VPN 中的节点有移动的特性，所访问网络的安全环境并不一样，如何保护 VPN 中数 据的安全性是最为重要的技术之一。 移动 VPN 在安全方面的要求有两个：一是建立的 VPN 本身必须安全，VPN 内部的数据传 输安全并且有一定的 QoS 保证。二是 VPN 的节点进入 UMTS 不会给移动网络带来安全性问题。 第二个问题可以通过 UMTS 的安全措施和签约时的约定来约束。第一个问题中最为主要的是 GGSN 到宿主网络之间公网部分的安全问题。 公网中隧道的安全性有以下几种： L2TP 的安全性有 PAP 和 CHAP 两种认证方式。其中 PAP 采用明文的用户名、密码来 验证接入用户的权限，这种方式没有防护能力，往往在要求不高的地方采用。而且，往往和其 他安全措施结合使用。CHAP 采用加密方式（MD5 算法）将在链路上传送的验证信息进行加密 传输，具体的可参见有关文献。基于透明访问自愿模式的端到端 L2TP 隧道建立的移动 VPN 可 以采用完全的 RADUIS 安全策略。 IPSec 的