計(jì)算機(jī)與編程移動(dòng)ip技術(shù)詳解

本章討論移動(dòng)IP的其他功能和應(yīng)用。首先，描述當(dāng)移動(dòng)節(jié)點(diǎn)連接在只能路由IP包的網(wǎng)絡(luò)上時(shí)，移動(dòng)IP如何為IP以外的網(wǎng)絡(luò)層協(xié)議提供路由機(jī)制。然后，看一下移動(dòng)節(jié)點(diǎn)如何支持移動(dòng)網(wǎng)絡(luò)，即一些主機(jī)和路由器的集合作為一個(gè)整體，對(duì)因特網(wǎng)的其他部分來(lái)說(shuō)是移動(dòng)的。最后，我們還將介紹一些移動(dòng)IP的應(yīng)用，這些應(yīng)用對(duì)網(wǎng)絡(luò)的最終用戶(hù)可能是不可見(jiàn)的，但它們卻地為這些用戶(hù)提供了有用的服務(wù)，如安全和有效的移動(dòng)撥號(hào)。這種結(jié)構(gòu)由虛擬隧道協(xié)議（VirtualTunnelingProtocol）給出，我們還就它與第二層隧道協(xié)議（Layer2TunnelingProtocol）作了比較，后者目前正在標(biāo)準(zhǔn)化的進(jìn)程中。在這一節(jié)，研究移動(dòng)IP對(duì)因特網(wǎng)協(xié)議（IP）以外的協(xié)議提供路由的能力。利用TCP/IP以外的協(xié)議棧的移動(dòng)節(jié)點(diǎn)可以在離開(kāi)家鄉(xiāng)鏈路后繼續(xù)利用那些協(xié)議進(jìn)行通信。雖然因特網(wǎng)和TCP/IP協(xié)議出盡了風(fēng)頭，但仍然有很大數(shù)目的機(jī)構(gòu)仍然在它們的網(wǎng)絡(luò)中運(yùn)行其他議簇這些議包括Novelletare、Ap 、、和ET。移動(dòng)辦公人員經(jīng)常要求對(duì)數(shù)據(jù)進(jìn)行，而這些數(shù)據(jù)又只能用運(yùn)行其他協(xié)議的應(yīng)用來(lái)。例如，一個(gè)用戶(hù)的文件被存放在AppleShare的文件服務(wù)器上，這臺(tái)文件服務(wù)器NFS（NetworkFileSystem）[RFC1813]或文件傳輸協(xié)議FTP（FileTransferProtocol）[RFC959]支持TCP/IP，而只能用Applealk協(xié)議簇進(jìn)行。因此，在許多情況下，為離開(kāi)家鄉(xiāng)鏈路的移動(dòng)節(jié)點(diǎn)路由其他協(xié)議簇的網(wǎng)絡(luò)層數(shù)據(jù)包，與向這些節(jié)點(diǎn)路由IP包一樣重要。在下的幾中，介紹移動(dòng)IP的一個(gè)擴(kuò)展如何為IP以外的協(xié)議提供這種包路由服務(wù)。這些其他協(xié)議簇有著與TCP/IP協(xié)議簇類(lèi)似的分層結(jié)構(gòu)，也有像IP那樣的網(wǎng)絡(luò)層協(xié)議，在源節(jié)點(diǎn)和目的節(jié)點(diǎn)間提供端到端的包傳送。這些網(wǎng)絡(luò)層協(xié)議也定義了地址，這些地址提供了節(jié)點(diǎn)在網(wǎng)絡(luò)中的邏輯選址方式。更進(jìn)一步地，這些邏輯地址也經(jīng)常包括網(wǎng)絡(luò)前綴部分和主機(jī)部分，就像IP地址一樣。由器，表明它們可以同時(shí)轉(zhuǎn)發(fā)許多協(xié)議的網(wǎng)絡(luò)層數(shù)據(jù)包?？梢园l(fā)送和接收其他協(xié)議的數(shù)據(jù)包、但不能對(duì)它們進(jìn)行轉(zhuǎn)發(fā)的節(jié)點(diǎn)稱(chēng)為支持其他協(xié)議的主機(jī)。 下一節(jié)將介紹集成移動(dòng)擴(kuò)展（IntegratedMobilityExtension），它提供的法使得移動(dòng)節(jié)點(diǎn)可以通知家鄉(xiāng)它們所支持的其他協(xié)議。在以后的各節(jié)中，描述這個(gè)擴(kuò)展如何使用，以及當(dāng)移動(dòng)節(jié)點(diǎn)連接在外地鏈時(shí)，其他協(xié)議的數(shù)據(jù)包是如何進(jìn)行路TonyLi和Cisco的YakovRekhter提交了一份因特網(wǎng)草案，稱(chēng)為集成移動(dòng)擴(kuò)展（IntegratedMobilityExtension）[draft-ietf- ip-integrated-00.txt]，其中詳盡描述了在移動(dòng)IP框架中支持其他協(xié)議的一種機(jī)制。這里，集成一詞指可以同時(shí)支持多種協(xié)議。圖11-1表明了集成移動(dòng)擴(kuò)展的一般格式。移動(dòng)節(jié)點(diǎn)利用這個(gè)擴(kuò)展通知它的家鄉(xiāng)它所支持的協(xié)簇，這擴(kuò)展的理過(guò)程在第11.1.5“用其他協(xié)議”中說(shuō)明。這個(gè)擴(kuò)展的各個(gè)域如下所述：類(lèi)型（Type）和長(zhǎng)度（Length）域分別表示擴(kuò)展的種類(lèi)和大小；協(xié)議簇（ProtocolSuite）域表明協(xié)議地址（ProtocolAddress）域?qū)儆谀姆N網(wǎng)絡(luò)層協(xié)議（如AppleTalk還是Netware等），其取值定義在通用路由封裝GRE（GenericRoutingEncapsulation）[RFC1701]中，是從[RFC1700]中所列的以太網(wǎng)的類(lèi)型(Type)域發(fā)展來(lái)的。圖11-1其他域都和特定的協(xié)議簇有關(guān)。在大多數(shù)情況下，協(xié)議地址域中放置的是在相關(guān)協(xié)議簇中移動(dòng)節(jié)點(diǎn)的網(wǎng)絡(luò)層地址，移動(dòng)節(jié)點(diǎn)還可以通過(guò)將協(xié)議地址域置為零請(qǐng)求家鄉(xiāng)分配一個(gè)合適的地址。集成移動(dòng)擴(kuò)展中其他域的出現(xiàn)則與具體的協(xié)議簇有關(guān)。例如，圖11-2中表明了對(duì)于AppleTalk而言集成移動(dòng)擴(kuò)展的取值。這時(shí)，協(xié)議簇域?yàn)椋╤ex，表明這個(gè)擴(kuò)展提供了AppleTalk的信息，移動(dòng)節(jié)點(diǎn)將它的AppleTalkDatagramDeliveryProtocol(DDP)讓家鄉(xiāng)返回它的AppleTalk地址給移動(dòng)節(jié)點(diǎn)非常有用，因?yàn)橐苿?dòng)節(jié)點(diǎn)把這個(gè)地址作為它AppleTalk缺省路由器，這個(gè)值在圖11-2

圖11-2AppleTalk(DDP)這一節(jié)描述在移動(dòng)IP規(guī)程中集成移動(dòng)擴(kuò)展的作用。移動(dòng)節(jié)點(diǎn)在它的請(qǐng)求消息中為它支持的每一種其他協(xié)議產(chǎn)生一個(gè)集成移動(dòng)擴(kuò)展，在其中放入它在相應(yīng)協(xié)議簇中的網(wǎng)絡(luò)層地址。當(dāng)家鄉(xiāng)接收到請(qǐng)求消息時(shí)，它將對(duì)這些擴(kuò)展進(jìn)行分析，看自己能否將相應(yīng)協(xié)議簇的數(shù)據(jù)包路由到移動(dòng)節(jié)點(diǎn)上。對(duì)于那些家鄉(xiāng)可以傳送數(shù)據(jù)包的協(xié)議簇，家鄉(xiāng)將相應(yīng)的集成移動(dòng)擴(kuò)展拷貝到應(yīng)答中，然后將應(yīng)答送給移動(dòng)節(jié)點(diǎn)。在發(fā)送之前，家鄉(xiāng)還要填寫(xiě)這些擴(kuò)展中的一些域，比如，對(duì)于那些移動(dòng)節(jié)點(diǎn)將地址填為零的擴(kuò)展，家鄉(xiāng)要為它們分配網(wǎng)絡(luò)層對(duì)于那些家鄉(xiāng)無(wú)法提供數(shù)據(jù)包傳送的協(xié)議簇，家鄉(xiāng)就不將相應(yīng)的集成移動(dòng)擴(kuò)展拷貝到應(yīng)答中。移動(dòng)節(jié)點(diǎn)檢查應(yīng)答中的擴(kuò)展，來(lái)決定哪些協(xié)議簇的數(shù)據(jù)包可以由家鄉(xiāng)進(jìn)行路由。例如，我們?cè)贛acIntoshPowerBook上實(shí)現(xiàn)的移動(dòng)節(jié)點(diǎn)可以同時(shí)支持TCP/IP和AppleTalkAppleTalk(DDP)地址。如果移動(dòng)節(jié)點(diǎn)沒(méi)有這種地址，它就將擴(kuò)展中的相應(yīng)域置成零，請(qǐng)求家鄉(xiāng)為它分配一個(gè)DDP地址。如果收這請(qǐng)消家也一臺(tái)AppleTalk路由器，那么，它就在送給移動(dòng)節(jié)點(diǎn)的應(yīng)答中的相應(yīng)域放入自己的Applealk本節(jié)將描述當(dāng)移動(dòng)節(jié)點(diǎn)在外地鏈時(shí)，其他協(xié)議簇的數(shù)據(jù)包是如何路由到移動(dòng)節(jié)點(diǎn)上的。這里，我們假設(shè)移動(dòng)節(jié)點(diǎn)已經(jīng)用前一節(jié)中介紹的機(jī)制，向家鄉(xiāng) 了一個(gè)其他協(xié)的地址。其他協(xié)議的數(shù)據(jù)包路由到移動(dòng)節(jié)點(diǎn)上的基本方法無(wú)疑也是采用隧道，對(duì)家鄉(xiāng)的要求也大多和前面所講的相同，即家鄉(xiāng)必須能截獲送往移動(dòng)節(jié)點(diǎn)的其他協(xié)議地址的數(shù)據(jù)包，并將它們送給移動(dòng)節(jié)點(diǎn)。圖11-3給出了通過(guò)隧道為位于外地鏈的移動(dòng)節(jié)點(diǎn)收發(fā)其他協(xié)議數(shù)據(jù)包的機(jī)制，隧道的具體形式與移動(dòng)節(jié)點(diǎn)使用的是外地轉(zhuǎn)交地址還是配置轉(zhuǎn)交地址有關(guān)。注意，所有的轉(zhuǎn)交地址都是IP地址，而不是其他協(xié)議簇的地址。加上GRE頭之后的數(shù)據(jù)包被封裝在第一個(gè)（內(nèi)層）IP包內(nèi)，這個(gè)IP包的源地址為家鄉(xiāng)，目的地址為移動(dòng)節(jié)點(diǎn)的本地（IP）地址。之后，數(shù)據(jù)包又被封裝進(jìn)第二層（外層）IP包，這個(gè)包的源地址是家鄉(xiāng)，目的地址是移動(dòng)節(jié)點(diǎn)的（IP）轉(zhuǎn)交地址。

外地IP拓?fù)?如

家鄉(xiāng)Apple

家鄉(xiāng)

??

Link

=圖11-3其他協(xié)議的選路（如采用多重封裝的原因與我們?cè)诘?.4.7之3“用外地轉(zhuǎn)交地址接收廣播”中所討論的似，它使得外地不用支持IP以外的協(xié)議，即其他協(xié)議只在家鄉(xiāng)和移動(dòng)節(jié)點(diǎn)那里才看得出來(lái)。外地解開(kāi)外層IP包時(shí)，只看到一個(gè)送往移動(dòng)節(jié)點(diǎn)家鄉(xiāng)地址的內(nèi)層IP包，這和家鄉(xiāng)通過(guò)隧道傳送其他IP包時(shí)一樣。在相反方向，由移動(dòng)節(jié)點(diǎn)產(chǎn)生的其他協(xié)議的數(shù)據(jù)包通過(guò)隧道到達(dá)家鄉(xiāng)。這要求移動(dòng)將加了GRE頭的數(shù)據(jù)包封裝進(jìn)一個(gè)內(nèi)層IP包中，這個(gè)包的源地址為移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)地址，目的地址為家鄉(xiāng)的IP地址。注意，如果移動(dòng)節(jié)點(diǎn)擔(dān)心它的數(shù)據(jù)包被方向的過(guò)濾丟棄，那么移動(dòng)節(jié)點(diǎn)可以從外地那里申請(qǐng)一個(gè)反向隧道。這時(shí)，離開(kāi)外地的數(shù)據(jù)包將加有一層額外的IP報(bào)頭，其中的轉(zhuǎn)交地址為外地的地址，目的地址為家鄉(xiāng)的IP地址。由于這個(gè)包從拓?fù)渖峡淳哂姓_的源地址和目的地址，因此不會(huì)被具有過(guò)濾的路由器過(guò)濾掉。如果移動(dòng)節(jié)點(diǎn)采用了配置轉(zhuǎn)交地址，那么家鄉(xiāng)將原始數(shù)據(jù)包封裝在一個(gè)IP包內(nèi)，方加了GRE報(bào)頭的數(shù)據(jù)包被封裝進(jìn)了一個(gè)單獨(dú)的IP包，包的源地址為家鄉(xiāng)的IP地址，這里，原始數(shù)據(jù)包只需進(jìn)行一次封裝，因?yàn)橐苿?dòng)節(jié)點(diǎn)自己就是隧道的出口。類(lèi)似地，在相反方向，移動(dòng)節(jié)點(diǎn)只需簡(jiǎn)單地將其他協(xié)議的數(shù)據(jù)包封裝進(jìn)一個(gè)IP包就可以了，這個(gè)IP包的源址移節(jié)的地，的址鄉(xiāng)的IP地址。注意，這種經(jīng)過(guò)封裝的包由于源地址和目的地址從拓?fù)渖峡炊际钦_的，所以不會(huì)被包過(guò)濾路由器過(guò)濾掉。由于采用配置轉(zhuǎn)交地址時(shí)只需要一層封裝，所以對(duì)那些需要支持IP以外的協(xié)議的移動(dòng)節(jié)點(diǎn)來(lái)說(shuō)，寧愿采用配置轉(zhuǎn)交地址而不是外地轉(zhuǎn)交地址。一節(jié)中，我們注意到，其他協(xié)議的數(shù)據(jù)包在封裝進(jìn)IP包前都要先用GRE封裝。在這一節(jié)中，說(shuō)明為什么要選用GRE，然后研究采用GRE，對(duì)申請(qǐng)GRE封裝而不是IP的IP封裝的請(qǐng)求消息中的G比特有何影響。（關(guān)于請(qǐng)求消息中的各個(gè)域可以參見(jiàn)第5.3.1如第6.4“通用路由封裝”中所描述的，GRE是特意為不同協(xié)議簇的數(shù)據(jù)包之間互相封裝而設(shè)計(jì)的，因此，在移動(dòng)IP的多協(xié)議支持中很自然地選擇了GRE。另外，GRE還有專(zhuān)門(mén)的機(jī)制來(lái)防止遞歸封裝，這在第6.3.5“防止遞歸封裝”中已經(jīng)看到了。至于在請(qǐng)求消息中G轉(zhuǎn)交地址，那么，再檢查移動(dòng)節(jié)點(diǎn)是否將請(qǐng)求消息中的G比特置位。如果置位，則進(jìn)一步的封裝只能采用GRE，否則必須采用IP的IP送往移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)地址的IP數(shù)據(jù)包和以前一樣進(jìn)處理。如果移動(dòng)節(jié)點(diǎn)將請(qǐng)求消息中的G比特置位了，那么家鄉(xiāng)采用GRE來(lái)封裝送往移動(dòng)節(jié)點(diǎn)的轉(zhuǎn)交地址的數(shù)據(jù)包，有兩種原因，使得移動(dòng)IP用上面所說(shuō)的方法采用隧道將其他協(xié)議的數(shù)據(jù)包送往移動(dòng)我們假設(shè)因特網(wǎng)遲早會(huì)覆蓋所有地方，而它只提供IP路由。當(dāng)在因特網(wǎng)中有一些拓?fù)渖系摹皪u”采用其他協(xié)議來(lái)對(duì)數(shù)據(jù)包進(jìn)行路由時(shí)（如AppleTalk，這種路由不會(huì)覆蓋IP路由覆蓋的所有區(qū)域。因此，無(wú)論移動(dòng)節(jié)點(diǎn)在哪里，IP路由總是可以得到。這樣，采用IP隧道可以許多協(xié)議沒(méi)有全球的地址管理機(jī)構(gòu)，這種地址管理機(jī)構(gòu)負(fù)責(zé)為各個(gè)機(jī)構(gòu)和個(gè)人分配只由它們使用的地址。在這種情況下，無(wú)法保證所用的網(wǎng)絡(luò)層地址（如ApplealkDDP地址）不另使，IP隧道使得屬于不同組織的移動(dòng)節(jié)點(diǎn)可以利用其他協(xié)議分別與各自網(wǎng)上的節(jié)點(diǎn)進(jìn)行通信，即使它們共用一個(gè)IP網(wǎng)絡(luò)（即因特網(wǎng)。顯然，這種機(jī)制不允許采用其他協(xié)議進(jìn)行各組織間的通信，除非它們的協(xié)議地址是唯一的。在這一節(jié)中，我們描述了如何利用隧道，向離開(kāi)家鄉(xiāng)鏈路的移動(dòng)節(jié)點(diǎn)傳送除TCP/IP以外的其他協(xié)議的數(shù)據(jù)包。移動(dòng)節(jié)點(diǎn)通過(guò)在它們的請(qǐng)求消息中加入集成移動(dòng)擴(kuò)展來(lái)表示對(duì)某個(gè)協(xié)議的支持。在擴(kuò)展中，移動(dòng)節(jié)點(diǎn)還放入了它在這種協(xié)議簇中的地址。如果家鄉(xiāng)可以支持其他協(xié)議的多協(xié)議路由器，那么它通過(guò)向移動(dòng)節(jié)點(diǎn)返回集成移動(dòng)擴(kuò)展來(lái)表示對(duì)某個(gè)協(xié)議的支持。家鄉(xiāng)截獲送往移動(dòng)節(jié)點(diǎn)的其他協(xié)議地址的數(shù)據(jù)包，并通過(guò)隧道傳送給移動(dòng)節(jié)點(diǎn)。GRE封裝用來(lái)將其他協(xié)議封裝進(jìn)IP中，隧道的具體類(lèi)型與移動(dòng)節(jié)點(diǎn)采用配置轉(zhuǎn)交地址還是外地轉(zhuǎn)交地址有關(guān)。我們還討論了隧道如何保證移動(dòng)節(jié)點(diǎn)在任何能得到IP路由服務(wù)的地方都能進(jìn)行通信，以及隧道如何使不同組織可以在它們的網(wǎng)內(nèi)進(jìn)行通信，即使它們的地址可能是不唯一的。移動(dòng)網(wǎng)絡(luò)（不是移動(dòng)主機(jī)到目前為止，你可能會(huì)覺(jué)得疑惑，如果移動(dòng)IP只是允許移動(dòng)主機(jī)（如筆記本電腦）在任何地點(diǎn)都可以通信，那么為什么要用移動(dòng)節(jié)點(diǎn)這個(gè)術(shù)語(yǔ)？你可能已經(jīng)猜到了，移動(dòng)節(jié)點(diǎn)不僅可以給單個(gè)移動(dòng)主機(jī)提供連接，還可以給整個(gè)移動(dòng)網(wǎng)絡(luò)提供連接。移動(dòng)網(wǎng)絡(luò)是指它們的主機(jī)和路由器之間的相對(duì)位置通常是固定的，但作為一個(gè)整體，它們相對(duì)因特網(wǎng)的其他（固定）部分來(lái)說(shuō)卻是移動(dòng)的。圖11-4給出了一個(gè)移動(dòng)網(wǎng)絡(luò)的例子，在這個(gè)例子中，一個(gè)移動(dòng)節(jié)點(diǎn)(這里是一臺(tái)移動(dòng)路由器)為船上區(qū)域網(wǎng)SHANK（SHipAreaNetwork）上的所有節(jié)點(diǎn)提供連接。船上的各個(gè)節(jié)點(diǎn)之由器通過(guò)無(wú)線(xiàn)方法與外地通信，外地則由移動(dòng)路由器當(dāng)前所在的位置決定。移動(dòng)路由器的家鄉(xiāng)和家鄉(xiāng)鏈路也在圖中做了標(biāo)示。 地圖11-4移動(dòng)IP在這種情況下是如何工作的呢？首先，移動(dòng)路由器和移動(dòng)節(jié)點(diǎn)一樣有一個(gè)家鄉(xiāng)地址，移動(dòng)路由器家鄉(xiāng)地址的網(wǎng)絡(luò)前綴與它的家鄉(xiāng)鏈路的網(wǎng)絡(luò)前綴很可能相等。當(dāng)連接在家鄉(xiāng)鏈時(shí)，移動(dòng)路由器和家鄉(xiāng)只是相鄰的路由器，根據(jù)動(dòng)態(tài)路由協(xié)議，它們將交換路由更新信息。當(dāng)移動(dòng)路由器連接在外地鏈時(shí)，路由器之間將仍然互相交換路由更新信息，只是這時(shí)是通過(guò)一條雙向的隧道。圖11-5給出了一個(gè)只包含一條鏈路的移動(dòng)網(wǎng)絡(luò)，這條鏈路的網(wǎng)絡(luò)前綴為7.7.7，接在這條鏈的主機(jī)具有IP地址。而移動(dòng)路由器的家鄉(xiāng)地址為，它的家鄉(xiāng)的IP地址為，移動(dòng)路由器和它的家鄉(xiāng)采用了某種動(dòng)態(tài)路由協(xié)議（如OSPF。移動(dòng)路由圖11-5中上面分所為移路由器(當(dāng)然也就是移動(dòng)網(wǎng)絡(luò))連接在家鄉(xiāng)鏈的情況。這時(shí)，移動(dòng)路由器就和其他固定路由器一樣工作。此時(shí)的移動(dòng)路由器和家鄉(xiāng)是鄰接的路由器，它們之間互相轉(zhuǎn)發(fā)數(shù)據(jù)包，并交換路由更新信息。圖11-5的上面部分還表明了從因特網(wǎng)固定部分的主機(jī)發(fā)出的數(shù)據(jù)包，到達(dá)位于移動(dòng)網(wǎng)絡(luò)上的主機(jī)時(shí)的情況。當(dāng)移動(dòng)路由器連接在它的家鄉(xiāng)鏈時(shí)，這些數(shù)據(jù)包只是簡(jiǎn)單地在家鄉(xiāng)和移動(dòng)路由器間轉(zhuǎn)發(fā)，不需要隧道，就像在不移動(dòng)的（固定）的路由器中一樣。如圖11-5的下面部分所示，當(dāng)移動(dòng)路由器連接在外地鏈時(shí)，移動(dòng)路由器和家鄉(xiāng)仍然交換路由更新信息并轉(zhuǎn)發(fā)數(shù)據(jù)包，但這時(shí)是通過(guò)一條雙向的隧道。這時(shí)，送往移動(dòng)網(wǎng)絡(luò)上的主機(jī)的數(shù)據(jù)包被通過(guò)隧道送到移動(dòng)路由器的轉(zhuǎn)交地址，在那里被從隧道中拆封，并轉(zhuǎn)發(fā)11-5的下面部分還通過(guò)標(biāo)出數(shù)據(jù)包從因特網(wǎng)固定部分的主機(jī)發(fā)送到移動(dòng)網(wǎng)絡(luò)的主機(jī)上的路徑，表示出了隧道。圖11-5表示的情形是移動(dòng)路由器采用配置轉(zhuǎn)交地址的情況，移動(dòng)路由器也可以采用外地轉(zhuǎn)交地址，但這要求家鄉(xiāng)采用多重封裝，就像圖11-4的上半部分所示的那樣。在相反的方向，移動(dòng)路由器可以將外地作為移動(dòng)網(wǎng)絡(luò)上的主機(jī)產(chǎn)生的數(shù)據(jù)包的缺省路由器。然而，在存在過(guò)濾路由器時(shí)，移動(dòng)路由器應(yīng)將數(shù)據(jù)包通過(guò)隧道送給家鄉(xiāng)。在任何情況下，移動(dòng)路由器和家鄉(xiāng)都繼續(xù)交換路由更新信息，這些更新信息必須通過(guò)隧道傳送，以防止讓移動(dòng)路由器和家鄉(xiāng)之間的路由器感到疑惑。家鄉(xiāng)路由 下一跳端 / /

b

/ / / ab a a 圖11-5在這一節(jié)中，我們研究移動(dòng)路由器連接在外地鏈時(shí)，家鄉(xiāng)和移動(dòng)路由器的路由表。第5.4.2之2“通過(guò)虛擬端口進(jìn)行路由表的合成”中介紹的鏈的虛擬端口為移動(dòng)路由器和移動(dòng)主機(jī)提供了同樣便的機(jī)制。圖1-5中給出了家鄉(xiāng)的路由表的一個(gè)部分，包括移動(dòng)路由器在外地鏈路前后的情況。下面幾節(jié)將研究這個(gè)表的和移動(dòng)路由器的路由表的各項(xiàng)。到所有連接在家鄉(xiāng)鏈的節(jié)點(diǎn)的路由是一條通過(guò)物理端口“a”的直接路由，雖然這通過(guò)移動(dòng)路由器（）到位于移動(dòng)網(wǎng)絡(luò)（/24）上的所有節(jié)點(diǎn)的路由通過(guò)無(wú)a”。通過(guò)外地（）到達(dá)位于外地的無(wú)線(xiàn)鏈路（/24）上的所有節(jié)點(diǎn)的路由經(jīng)過(guò)另一個(gè)物理端口“b”。表11- a(無(wú)線(xiàn)端口a(無(wú)線(xiàn)端口b相似地，在移動(dòng)路由器的路由表中，到家鄉(xiāng)鏈的所有節(jié)點(diǎn)和移動(dòng)網(wǎng)絡(luò)中的所有節(jié)點(diǎn)也有直接路由和網(wǎng)絡(luò)前綴路由。移動(dòng)路由器還有一個(gè)通過(guò)家鄉(xiāng)到達(dá)所有節(jié)點(diǎn)的缺省路由，這些表項(xiàng)如表11-2表11- a(無(wú)線(xiàn)端口b(以太網(wǎng)接口等(家鄉(xiāng)a(無(wú)線(xiàn)端口當(dāng)一個(gè)要去往的移動(dòng)網(wǎng)絡(luò)上的節(jié)點(diǎn)的數(shù)據(jù)包到達(dá)家鄉(xiāng)時(shí)，家鄉(xiāng)在表11-1中的第二行找到一條匹配的路由，并將這個(gè)數(shù)據(jù)包通過(guò)無(wú)線(xiàn)的家鄉(xiāng)鏈路送給移動(dòng)路由器。移動(dòng)路由器接收到這個(gè)數(shù)據(jù)包，并在表11-2中的第二行找到一條匹配的路由，然后將數(shù)據(jù)包通過(guò)b”送到目的主機(jī)。在相反的方向，由移動(dòng)網(wǎng)絡(luò)上的主機(jī)產(chǎn)生的數(shù)據(jù)包，要去往不在移動(dòng)網(wǎng)絡(luò)上的節(jié)點(diǎn)，這些數(shù)據(jù)包先被轉(zhuǎn)發(fā)到移動(dòng)路由器上。移動(dòng)路由器根據(jù)包的目的地址，對(duì)送往家鄉(xiāng)鏈的節(jié)點(diǎn)的包采用網(wǎng)絡(luò)前綴路由，或通過(guò)缺省路由通過(guò)家鄉(xiāng)將這些數(shù)據(jù)包轉(zhuǎn)發(fā)到最終目的地。如圖11-5的下半部分所示，當(dāng)移動(dòng)路由器連接在外地鏈時(shí)，情況就變得復(fù)雜多了。這里，我假設(shè)移路由器家鄉(xiāng)了I地址55..1為配轉(zhuǎn)交地，當(dāng)成功，動(dòng)必它由完所雙如表11-3所示，與移動(dòng)主機(jī)時(shí)的情況相似，家鄉(xiāng)將增加一條通過(guò)轉(zhuǎn)交地址和虛擬端口到達(dá)移動(dòng)路由器的特定主機(jī)路由。另外，家鄉(xiāng)必須改變那些下一跳為移動(dòng)路由器的表項(xiàng)，將它們修改成指向移動(dòng)路由器的轉(zhuǎn)交地址和虛擬端口。到移動(dòng)網(wǎng)絡(luò)的網(wǎng)絡(luò)前綴路由就是1-3表11- a(轉(zhuǎn)交地址（外地b相類(lèi)似地，當(dāng)移動(dòng)路由器連接在外鏈時(shí)，它必須改變它的路由表中的一些表項(xiàng)。移動(dòng)路由器將把以前指向家鄉(xiāng)鏈路的路由改成通過(guò)隧道到達(dá)家鄉(xiāng)。另外，移動(dòng)路由器必須增加一條到達(dá)家鄉(xiāng)的特定主機(jī)路由，這條路由通過(guò)外地在外地鏈的物理端口，再經(jīng)過(guò)外地（其中的原因在后面就會(huì)變得清楚了表11-所示。表11-4中4個(gè)表項(xiàng)中的目標(biāo)的一個(gè)子集，而且這兩個(gè)表項(xiàng)的下一跳和端口兩列都一樣。表11- (家鄉(xiāng)鏈的所有節(jié)點(diǎn)(家鄉(xiāng)(家鄉(xiāng)（外地a(無(wú)線(xiàn)端口b(以太網(wǎng)接口等(其他(家鄉(xiāng)家鄉(xiāng)在表11-3的第三行發(fā)現(xiàn)了一條匹配的路由表項(xiàng)，于是將數(shù)據(jù)包進(jìn)行封裝送入移動(dòng)路由器的轉(zhuǎn)交地址。然后家鄉(xiāng)用表11-3中的第4個(gè)表項(xiàng)來(lái)向移動(dòng)路由器的外地轉(zhuǎn)發(fā)經(jīng)過(guò)封裝的數(shù)據(jù)包，封裝后的數(shù)據(jù)包（外層的）IP地址為。外地發(fā)現(xiàn)數(shù)據(jù)包是送往的，這是一個(gè)在外地鏈的地址，于是將包轉(zhuǎn)發(fā)給移動(dòng)路由器。外地并不知道也不關(guān)心這個(gè)數(shù)據(jù)包還包含了一個(gè)被封裝的IP包。在相反方向，移動(dòng)網(wǎng)絡(luò)上的主機(jī)產(chǎn)生的數(shù)據(jù)包，如果是送往不在移動(dòng)網(wǎng)絡(luò)上的節(jié)點(diǎn)，這個(gè)數(shù)據(jù)包也將被送到移動(dòng)路由器上。假設(shè)數(shù)據(jù)包不是去往家鄉(xiāng)的，那么移動(dòng)路由器將用它的路由表中的第一項(xiàng)或第四項(xiàng)來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包。這時(shí)，表11-4中規(guī)定移動(dòng)路由器應(yīng)將數(shù)據(jù)包封裝進(jìn)一個(gè)新的包中，這個(gè)新包的目的IP地址為家鄉(xiāng)的地址。然后移動(dòng)路由器采用表11-4中第二行的特定主機(jī)路由將經(jīng)過(guò)封裝的數(shù)據(jù)包通過(guò)外地鏈路送給外地。外地將經(jīng)過(guò)封裝的包轉(zhuǎn)發(fā)給家鄉(xiāng)，在那里，數(shù)據(jù)包被拆封，然后路由到它的最終目的地。注意，去往家鄉(xiāng)的特定主機(jī)路由為移動(dòng)路由器提供了一個(gè)物理端口，經(jīng)過(guò)封裝要送往家鄉(xiāng)的數(shù)據(jù)包可以經(jīng)過(guò)這個(gè)端口進(jìn)行轉(zhuǎn)發(fā)。但是，一些由移動(dòng)路由器自己產(chǎn)生并送往家鄉(xiāng)的數(shù)據(jù)包也會(huì)和這條特定主機(jī)路由匹配，因而這些數(shù)據(jù)包就不可能通過(guò)隧道到達(dá)家鄉(xiāng)。這些數(shù)據(jù)括路由更新信息，應(yīng)通過(guò)隧道到達(dá)家鄉(xiāng)，但根據(jù)路由表，這些路由更新消息將被放在一個(gè)源地址為移動(dòng)路由器、目的地址為家鄉(xiāng)的IP包內(nèi)，然后不經(jīng)封裝就被轉(zhuǎn)發(fā)給了外地。因此，移動(dòng)路由器在轉(zhuǎn)發(fā)送往家鄉(xiāng)的數(shù)據(jù)包時(shí)必須特別注意，這些數(shù)據(jù)包是從位于移動(dòng)網(wǎng)絡(luò)上的某臺(tái)主機(jī)送過(guò)來(lái)的還是由移動(dòng)路由器自己產(chǎn)生的，沒(méi)有經(jīng)過(guò)封裝的數(shù)據(jù)包還需要加一層IP報(bào)頭的封裝，已經(jīng)經(jīng)過(guò)封裝的則不必再封裝，必須通過(guò)外地鏈路轉(zhuǎn)發(fā)給外地或在鏈路另一端的任一個(gè)路由器。一節(jié)中，我們考慮了為移動(dòng)網(wǎng)絡(luò)上的其他主機(jī)和路由器提供連接能力的移動(dòng)路由器。我們假設(shè)這些主機(jī)和路由器相互之間是固定的，而且對(duì)移動(dòng)路由器來(lái)說(shuō)也是固定的，但這個(gè)移動(dòng)網(wǎng)絡(luò)作為一個(gè)整體相對(duì)于因特網(wǎng)來(lái)說(shuō)是移動(dòng)的。[RFC2002]的4.5節(jié)中研究了一個(gè)更復(fù)雜的情況，這時(shí)移動(dòng)網(wǎng)絡(luò)中的主機(jī)和路由器相對(duì)移動(dòng)網(wǎng)絡(luò)來(lái)說(shuō)也可能是運(yùn)動(dòng)的，比如一位旅客將一臺(tái)筆記本電腦帶上船或飛機(jī)時(shí)的情況，這時(shí)這臺(tái)筆記本電腦相對(duì)于船或飛機(jī)上的（固定）主機(jī)和路由器來(lái)說(shuō)也是運(yùn)動(dòng)的，而整個(gè)船或飛機(jī)相對(duì)于因特網(wǎng)的其他部分來(lái)說(shuō)也是運(yùn)動(dòng)的。移動(dòng)主機(jī)和移動(dòng)路由器分別發(fā)現(xiàn)了它們各自的家鄉(xiāng)，并向其了它們發(fā)外地移動(dòng)主機(jī)的家鄉(xiāng)通過(guò)隧道將數(shù)據(jù)包送到了移動(dòng)主機(jī)的轉(zhuǎn)交地址。注意，移動(dòng)主機(jī)的轉(zhuǎn)交地址是移動(dòng)路由器的本地IP地址。數(shù)據(jù)包經(jīng)過(guò)隧道到達(dá)了移動(dòng)路由器的家鄉(xiāng)，因?yàn)橐苿?dòng)路由器的家鄉(xiāng)或它的家鄉(xiāng)鏈的某臺(tái)主機(jī)總會(huì)廣播對(duì)移動(dòng)路由器家鄉(xiāng)地址的可達(dá)性。移動(dòng)路由器的家鄉(xiāng)截獲數(shù)據(jù)包，并進(jìn)一步通過(guò)隧道將它送到移動(dòng)路由器的轉(zhuǎn)交地址。注意，這個(gè)轉(zhuǎn)交地址是在因特網(wǎng)固定部分的外地的地址。當(dāng)經(jīng)過(guò)兩條隧道的數(shù)據(jù)包到達(dá)移動(dòng)路由器的外地時(shí)，最外一層封裝被剝?nèi)ィ玫揭粋€(gè)要送往移動(dòng)路由器的經(jīng)過(guò)封裝的數(shù)據(jù)包，外地將這個(gè)數(shù)據(jù)包經(jīng)過(guò)無(wú)線(xiàn)鏈路送給移動(dòng)個(gè)要送往移動(dòng)主機(jī)的數(shù)據(jù)包。因?yàn)橐苿?dòng)主機(jī)是通過(guò)作為外地的移動(dòng)路由器的，所以由移動(dòng)路由器將原始數(shù)據(jù)包經(jīng)過(guò)移動(dòng)網(wǎng)絡(luò)上的鏈路送給移動(dòng)主機(jī)。

圖11-6一個(gè)同時(shí)提供外地功能的移動(dòng)路由在這一節(jié)中，我們研究了移動(dòng)IP如何為移動(dòng)網(wǎng)絡(luò)而不是移動(dòng)主機(jī)提供連接，移動(dòng)網(wǎng)絡(luò)定義成一些主機(jī)和路由器的集合，它們相對(duì)之間是固定的，但作為一個(gè)整體相對(duì)于因特網(wǎng)的其他部分來(lái)說(shuō)卻是移動(dòng)的。我們介紹了移動(dòng)路由器，它是一個(gè)為移動(dòng)網(wǎng)絡(luò)提供連接性的移動(dòng)節(jié)點(diǎn)。我們假設(shè)移動(dòng)路由器采用動(dòng)態(tài)路由協(xié)議與它的家鄉(xiāng)交換路由更新信息，而且當(dāng)移動(dòng)路由器連接在外地鏈時(shí)，這種信息交換通過(guò)一條雙向的隧道完成。另外，我們還看到了當(dāng)移動(dòng)路由器了一個(gè)在外地鏈的轉(zhuǎn)交地址時(shí)，家鄉(xiāng)和移動(dòng)路由器修改它們各自的路由表的方式。許多公司采用的網(wǎng)絡(luò)結(jié)構(gòu)允許移動(dòng)辦公人員能通過(guò)PPP或其他接入?yún)f(xié)議連接到網(wǎng)絡(luò)上。對(duì)許多公司來(lái)說(shuō)，調(diào)制解調(diào)器、線(xiàn)、接入服務(wù)器費(fèi)用以及這種網(wǎng)絡(luò)的管理成本變得非常大。最近，IETF定義了一些相關(guān)的協(xié)議，使得公司可以通過(guò)因特網(wǎng)提供的價(jià)格低廉這里我介紹中的種協(xié)—虛隧道議VTP（VirtualTunnelingProtocol）[draft-calhoun-vtp-protocol-00.txt]，這是對(duì)在BayNetwork的BayStreamDial Service實(shí)現(xiàn)一個(gè)更新版本。VTP采用移動(dòng)IP動(dòng)態(tài)地建立穿過(guò)因特網(wǎng)的雙向隧道，使得公司可以將它們的撥號(hào)接入設(shè)備和運(yùn)營(yíng)放到外部來(lái)。此外，我們還將介紹另一種撥號(hào)服務(wù)的提議。AscendTunnelManagementProtol(ATMP)[RFC2107]Point-to-PointTunnelingProtocol(PPTP)[draft-itef-ppext-pptp-00.txt]LayerTwoForwarding(L2F)[draft-ietf-ppext-lwf-03.txt]LayerTwoTunnelingProtocol(L2TP)。這是L2F和PPTP的一種混合，它很可能成為最終的二層隧道技術(shù)的因特網(wǎng)標(biāo)準(zhǔn)[draft-ietf-pppext-l2tp-03.txt]。在后面更詳細(xì)地介紹二層隧道協(xié)議。本章中我們的重點(diǎn)放在虛擬隧道協(xié)議上，因?yàn)樗捎昧艘苿?dòng)IP。尤其是最終用戶(hù)和采用虛擬隧道技術(shù)的用戶(hù)可能根本意識(shí)不到移動(dòng)IP的使用。也就是說(shuō)，為使用這種網(wǎng)絡(luò)，移動(dòng)用戶(hù)的計(jì)算機(jī)中并不需要有移動(dòng)IP軟件。更進(jìn)一步地說(shuō)，連接到采用虛擬隧道協(xié)議網(wǎng)上的移動(dòng)用戶(hù)不再具有保留它的IP地址、連接到任意鏈路或媒介上等的功能，而在計(jì)算機(jī)上安裝了移動(dòng)IP的移動(dòng)節(jié)點(diǎn)軟件的移動(dòng)用戶(hù)則可以有這些功能。因此，虛擬隧道協(xié)議提供的是漫游而不是移動(dòng)，從下面幾節(jié)中可以更清楚地看到這一點(diǎn)。許多機(jī)構(gòu)的移動(dòng)辦公人員越來(lái)越多，這些雇員經(jīng)常要求存在他們所在機(jī)構(gòu)的網(wǎng)絡(luò)中或因特網(wǎng)中的信息，因此，許多機(jī)構(gòu)采用的網(wǎng)絡(luò)結(jié)構(gòu)允許移動(dòng)辦公人員通過(guò)PPP等數(shù)據(jù)鏈路層協(xié)議連接到網(wǎng)絡(luò)上，這多數(shù)是通過(guò)線(xiàn)來(lái)實(shí)現(xiàn)的。移動(dòng)辦公人員通過(guò)PPP連接到他們的網(wǎng)絡(luò)上的方法與我們前面所舉的ISP的例子相似。在這里，移動(dòng)辦公人員撥入屬于公司或園區(qū)的接入設(shè)備，而不是由ISP運(yùn)營(yíng)的接入假設(shè)從辦公計(jì)算機(jī)到它的網(wǎng)的 連接比穿過(guò)因特網(wǎng)公共部分的連接要安全，特別地，一般認(rèn)為對(duì) 線(xiàn)上的信息進(jìn)行偷聽(tīng)或要比對(duì)因特網(wǎng)上的數(shù)據(jù)進(jìn)行偷聽(tīng)或要難。假設(shè)這些安全約定是正確的，那就要在撥入設(shè)備網(wǎng)的其他部分之間設(shè)置，這要求接入設(shè)備可以對(duì)用戶(hù)進(jìn)行認(rèn)證，并能防止他們?cè)?過(guò)認(rèn)證時(shí)接入網(wǎng)絡(luò)。為向用戶(hù)提供撥入，公司必須和管理與ISP相似的許多設(shè)備，包括線(xiàn)要為同時(shí)撥入的每個(gè)用戶(hù)提供一 調(diào)制解調(diào)器在這 處理PPP數(shù)據(jù)鏈路層協(xié)議的接入服務(wù)器也可能還處理網(wǎng)絡(luò)層協(xié)議認(rèn)證服務(wù)器接入服務(wù)器用它們對(duì)撥入的用戶(hù)進(jìn)行認(rèn)證，然后才允許用戶(hù)接入網(wǎng)另外，由于用戶(hù)一般通過(guò)線(xiàn)接入，他們往往希望公司在許多地方提供接入，否則許多呼叫就成了長(zhǎng)途呼叫。因此，許多公司希望采用因特網(wǎng)而不是系統(tǒng)來(lái)為用戶(hù)接入網(wǎng)。這樣可使用戶(hù)先用本地?fù)艿奖镜豂SP上，然后將數(shù)據(jù)路由到專(zhuān)網(wǎng)在這一節(jié)中，我們來(lái)看一下虛擬隧道協(xié)議如何為用戶(hù)提供這種業(yè)務(wù)，我們還將了解虛擬隧道協(xié)議如何利用移動(dòng)IP的規(guī)程來(lái)動(dòng)態(tài)地為撥入的用戶(hù)生成隧道。這個(gè)解決方法與前面在第9.4中介紹的方法的主要區(qū)別是：虛擬隧道協(xié)議只需要在一些特定的業(yè)務(wù)提供商和網(wǎng)絡(luò)設(shè)備上實(shí)現(xiàn)，而不需要在移動(dòng)計(jì)算機(jī)（即移動(dòng)節(jié)點(diǎn)）上實(shí)現(xiàn)。在這一節(jié)中，描述虛擬隧道協(xié)議如何利用移動(dòng)IP為移動(dòng)用戶(hù)動(dòng)態(tài)地建立和拆除隧道，虛擬隧道協(xié)議還允許公司建立穿過(guò)因特網(wǎng)的。在這里，重點(diǎn)放在為單個(gè)用戶(hù)提供撥號(hào)接入；還將重點(diǎn)放在通過(guò)PPP的撥號(hào)，而忽略其他的點(diǎn)對(duì)點(diǎn)數(shù)據(jù)鏈路層協(xié)議，如串行IP協(xié)議SLIP（SerialLineIP）[RFC1055]。圖11-7是虛擬隧道協(xié)議的參考圖，這表明了移動(dòng)用戶(hù)利用計(jì)算機(jī)撥到由ISP運(yùn)營(yíng)的網(wǎng)絡(luò)接入服務(wù)器（NetworkAccessServer）上。網(wǎng)絡(luò)接入服務(wù)器作為線(xiàn)和PPP鏈路的一個(gè)端網(wǎng)絡(luò)接入服務(wù)器通過(guò)因特網(wǎng)連接到一個(gè)網(wǎng)關(guān)上，網(wǎng)關(guān)可以放在業(yè)務(wù)提供商那里，也可以放在用戶(hù)的網(wǎng)中，圖11-7所示的為后一種情況。網(wǎng)關(guān)對(duì)于網(wǎng)來(lái)說(shuō)就像一臺(tái)多協(xié)議路由器，還可完成擬隧和移動(dòng)IP家鄉(xiāng)的功能。因?yàn)榫W(wǎng)絡(luò)接入服務(wù)器總是采用配置轉(zhuǎn)交地址，所以在虛擬隧道協(xié)議的結(jié)構(gòu)中不需要外地。圖11-7還給出了兩臺(tái)RADIUS（RemoteAuthenticationDialInUserService）服務(wù)器，一臺(tái)業(yè)提商有一由擁。RADIUS[RFC2058]是用在網(wǎng)絡(luò)接入服務(wù)器和認(rèn)證服務(wù)器之間，用于對(duì)撥入的用戶(hù)進(jìn)行認(rèn)證的一種協(xié)議，它使得撥號(hào)和認(rèn)證這兩種功能放在兩個(gè)分離的網(wǎng)絡(luò)設(shè)備上。網(wǎng)網(wǎng)網(wǎng)

圖11-7這里將描述移動(dòng)節(jié)點(diǎn)通過(guò)虛擬隧道協(xié)議連接到它的網(wǎng)的過(guò)程，那些對(duì)PPP不熟悉的讀者可以在繼續(xù)閱讀之前回頭看一下10.2.2中的內(nèi)容。這個(gè)連接的過(guò)程如下： 在PPP的LCP（LinkControlProtocol）PPP設(shè)協(xié)商的結(jié)果是使用CHAP（ChallengeHandshakeAuthenticationProtocol）來(lái)進(jìn)行認(rèn)證。在認(rèn)證階段，網(wǎng)絡(luò)接入服務(wù)器產(chǎn)生一個(gè)CHAPChallenge送給用戶(hù)計(jì)算機(jī)上的PPP客戶(hù)客戶(hù)響應(yīng)CHAPResponse，其中有移動(dòng)用戶(hù)的用戶(hù)名和消 送到本地的RADIUS服務(wù)器上，由它來(lái)檢查用戶(hù)本地RADIUS服務(wù)器用它與RADIUS服務(wù)器共有的密鑰重新計(jì)算消息，然后將用戶(hù)名和消息送給RADIUS服務(wù)器。RADIUS可以假設(shè)是放在RIS服務(wù)器檢查消息，并向本地RIS服務(wù)器回答一個(gè)消息對(duì)用戶(hù)進(jìn)行認(rèn)證。RIS服務(wù)器還在應(yīng)答消息中包括了網(wǎng)關(guān)的IP地址（為建立隧道用）和各種其他本地RADIUS服務(wù)器對(duì)RADIUS送來(lái)的消息加入的與隧道建立有關(guān)信息，然后假設(shè)用戶(hù)通過(guò)了認(rèn)證，網(wǎng)絡(luò)接入服務(wù)器將向PPP客戶(hù)返回一條CHAPSuccess消息，從在完成認(rèn)證過(guò)程后，PPP客戶(hù)和網(wǎng)絡(luò)接入服務(wù)器開(kāi)始網(wǎng)絡(luò)控制協(xié)議NCP（NetworkControlProtocol）階段，這時(shí)雙方協(xié)商對(duì)移動(dòng)計(jì)算機(jī)與網(wǎng)通信時(shí)想用的那些網(wǎng)絡(luò)層協(xié)議所需的參數(shù)進(jìn)行配置。一旦NCP階段結(jié)束，即移動(dòng)計(jì)算機(jī)已經(jīng)得到了在IPCP（InternetProtocolControlProtocol）中所需的IP地址，網(wǎng)絡(luò)接入服務(wù)器（移動(dòng)節(jié)點(diǎn)）就采用移動(dòng)IP向網(wǎng)關(guān)（家鄉(xiāng)）在請(qǐng)求消息中加入隧道標(biāo)識(shí)（TunnelIdentifier）作為移動(dòng)IP擴(kuò)展，用來(lái)將新隧道與據(jù)最終就是通過(guò)這個(gè)隧道傳送的。應(yīng)答還可以指明移動(dòng)計(jì)算機(jī)的IP地址是否已被其他節(jié)點(diǎn)使用。注意，移動(dòng)計(jì)算機(jī)的IP地址最初是由網(wǎng)絡(luò)服務(wù)器分配的，它并不知道其他網(wǎng)絡(luò)服務(wù)器上擁有從這時(shí)起，移動(dòng)計(jì)算機(jī)產(chǎn)生的IP包可以被網(wǎng)絡(luò)接入服務(wù)器放在GREIP和GRE報(bào)頭，并將內(nèi)層的數(shù)據(jù)包路由到它的目的地址。當(dāng)移動(dòng)計(jì)算機(jī)要斷開(kāi)連接時(shí)，網(wǎng)絡(luò)接入報(bào)務(wù)器就向網(wǎng)關(guān)發(fā)送一條移動(dòng)IP的注銷(xiāo)消息（即生存時(shí)間域虛擬隧道協(xié)議還允許二層幀（如帶有IP包的PPP幀）通過(guò)隧道從網(wǎng)絡(luò)接入服務(wù)器送到網(wǎng)關(guān)用戶(hù)經(jīng)過(guò)PPPCHAP或其他認(rèn)證機(jī)制認(rèn)證，從而防止未的用戶(hù)網(wǎng)或從業(yè)務(wù)隧道本身也可以利用IP的安全協(xié)議——EP（EncapulationSecurityPayload）AH（AuthenticationHeader）進(jìn)行加密或認(rèn)證。如果使用得當(dāng)，這些協(xié)議可以防止從網(wǎng)絡(luò)接入服務(wù)器到網(wǎng)關(guān)的路徑上的偷聽(tīng)和主動(dòng)會(huì)話(huà)竊取。這樣，在移動(dòng)計(jì)算機(jī)和網(wǎng)絡(luò)接入服務(wù)器之間的網(wǎng)上的PPP鏈路成了唯一的薄弱環(huán)節(jié)。如果你認(rèn)為在網(wǎng)絡(luò)上進(jìn)行偷聽(tīng)和主動(dòng)的會(huì)話(huà)竊取是很的（與因特網(wǎng)相比），然而，網(wǎng)系統(tǒng)并不像許多人相信的那么安全。通信安全方面的工程師，用任何天線(xiàn)，在10s內(nèi)就可以分接一條線(xiàn)[Atki96]！另外，大約有16種的方法，包括竊、分接和其他損害。精巧的方法只通過(guò)打一個(gè)本地就可以進(jìn)攻大公司內(nèi)的用戶(hù)小交換機(jī)[Ster92]因此，在有敏感信息需要保護(hù)時(shí)，應(yīng)將它進(jìn)行加密再經(jīng)過(guò)線(xiàn)和因特網(wǎng)傳輸，最好采虛擬隧道比起移動(dòng)IP來(lái)確實(shí)有一些強(qiáng)大的優(yōu)勢(shì)。首先，它只要求在移動(dòng)計(jì)算機(jī)上有TCP/IP和PPP軟件，而這些在現(xiàn)在的大多數(shù)新計(jì)算機(jī)上都已經(jīng)有了。移動(dòng)計(jì)算機(jī)不需要安裝完成移動(dòng)IP的移動(dòng)節(jié)點(diǎn)功能的軟件，這是一個(gè)非常大的優(yōu)勢(shì)，因?yàn)橐苿?dòng)IP軟件還沒(méi)有在大多數(shù)新計(jì)算機(jī)上安裝，我們希望以后這種情況會(huì)有所改變。另一個(gè)優(yōu)點(diǎn)是虛擬隧道協(xié)議能提供對(duì)IP以外的協(xié)議的支持，并允許采用私有地址的公司在公用網(wǎng)中仍然使用私有地址。然而，在第9.4和第11.1中，我們了移動(dòng)IP也可以為有這種需求的公司和用戶(hù)提供同樣的功能。移動(dòng)IP的這種功能目前還正在由移動(dòng)IP工作組進(jìn)行定當(dāng)然，如果人們系統(tǒng)并比因特網(wǎng)安全那么這兩個(gè)“優(yōu)勢(shì)”就不那么強(qiáng)了。為了保證在PPP鏈傳送的數(shù)據(jù)安全，需要?jiǎng)佑?jì)算機(jī)安裝密軟，這并比安裝帶功能移動(dòng)IP軟件更好，因?yàn)楹笳呤沟靡苿?dòng)計(jì)算機(jī)可以安全地連接到任何類(lèi)型的媒介上，而不僅僅是通過(guò)PPP鏈路和 線(xiàn)。L2TP（LayerTwoTunnelingProtocol）與虛擬隧道協(xié)議相比較。第二層隧道這個(gè)術(shù)語(yǔ)是指穿過(guò)公用網(wǎng)絡(luò)的隧道傳送的是PPP幀，而不是網(wǎng)絡(luò)層的包。一節(jié)中，在進(jìn)入隧道前，網(wǎng)絡(luò)層的數(shù)據(jù)包（如IP包）被從PPP的幀中抽取圖11-8表明了利用第二層隧道協(xié)議的網(wǎng)絡(luò)的結(jié)構(gòu)。L2TP接入集中器的功能與虛擬隧道協(xié)議結(jié)構(gòu)中的網(wǎng)絡(luò)接入服務(wù)器相似，L2TP接入集中器是通過(guò)和調(diào)制解調(diào)器到移動(dòng)計(jì)算機(jī)連接的端點(diǎn)。L2TP網(wǎng)絡(luò)服務(wù)器則和虛擬隧道協(xié)議結(jié)構(gòu)中的網(wǎng)關(guān)相似，L2TP網(wǎng)絡(luò)服務(wù)器為PPP鏈L2TP接入集中器和L2TP網(wǎng)絡(luò)服務(wù)器構(gòu)成了第二層隧道的兩個(gè)端點(diǎn)。在圖11-8中沒(méi)有標(biāo)出1)用戶(hù)發(fā)起一個(gè)本地呼叫，并啟動(dòng)一個(gè)PPP連接，去往因特網(wǎng)服務(wù)提供商的L2TP接入集中器從移動(dòng)計(jì)算機(jī)收集足夠的信息來(lái)決定提供的業(yè)務(wù)類(lèi)型是標(biāo)準(zhǔn)的因特網(wǎng)服務(wù)還是去往L2TP網(wǎng)絡(luò)服務(wù)器的第二層隧道。如果網(wǎng)允許的話(huà)，集中器可以利用主叫用戶(hù)號(hào)碼來(lái)完成這個(gè)判定；否則，集中器可能必須通過(guò)許多PPP鏈路和認(rèn)證過(guò)程得到用戶(hù)名（如PAP或CHAP提供的，從而進(jìn)一步找到用戶(hù)。如果結(jié)果表明用戶(hù)要求第二層隧道服務(wù)，那么同時(shí)還可找到用戶(hù)的L2TP網(wǎng)絡(luò)服務(wù)器。L2TP接入集中器建立一條連接L2TP定的那一臺(tái)，并且假設(shè)事先這條隧道不存在。圖11-8表明的這條隧道的媒介是因特網(wǎng)上的UDP/IP，實(shí)際上第二層隧道協(xié)議結(jié)構(gòu)幾乎可以支持任何類(lèi)型的公用或交換網(wǎng)，包括幀中繼、X.