计算机与编程移动ip技术详解

本章讨论移动IP的其他功能和应用。首先，描述当移动节点连接在只能路由IP包的网络上时，移动IP如何为IP以外的网络层协议提供路由机制。然后，看一下移动节点如何支持移动网络，即一些主机和路由器的集合作为一个整体，对因特网的其他部分来说是移动的。最后，我们还将介绍一些移动IP的应用，这些应用对网络的最终用户可能是不可见的，但它们却地为这些用户提供了有用的服务，如安全和有效的移动拨号。这种结构由虚拟隧道协议（VirtualTunnelingProtocol）给出，我们还就它与第二层隧道协议（Layer2TunnelingProtocol）作了比较，后者目前正在标准化的进程中。在这一节，研究移动IP对因特网协议（IP）以外的协议提供路由的能力。利用TCP/IP以外的协议栈的移动节点可以在离开家乡链路后继续利用那些协议进行通信。虽然因特网和TCP/IP协议出尽了风头，但仍然有很大数目的机构仍然在它们的网络中运行其他议簇这些议包括Novelletare、Ap 、、和ET。移动办公人员经常要求对数据进行，而这些数据又只能用运行其他协议的应用来。例如，一个用户的文件被存放在AppleShare的文件服务器上，这台文件服务器NFS（NetworkFileSystem）[RFC1813]或文件传输协议FTP（FileTransferProtocol）[RFC959]支持TCP/IP，而只能用Applealk协议簇进行。因此，在许多情况下，为离开家乡链路的移动节点路由其他协议簇的网络层数据包，与向这些节点路由IP包一样重要。在下的几中，介绍移动IP的一个扩展如何为IP以外的协议提供这种包路由服务。这些其他协议簇有着与TCP/IP协议簇类似的分层结构，也有像IP那样的网络层协议，在源节点和目的节点间提供端到端的包传送。这些网络层协议也定义了地址，这些地址提供了节点在网络中的逻辑选址方式。更进一步地，这些逻辑地址也经常包括网络前缀部分和主机部分，就像IP地址一样。由器，表明它们可以同时转发许多协议的网络层数据包。可以发送和接收其他协议的数据包、但不能对它们进行转发的节点称为支持其他协议的主机。 下一节将介绍集成移动扩展（IntegratedMobilityExtension），它提供的法使得移动节点可以通知家乡它们所支持的其他协议。在以后的各节中，描述这个扩展如何使用，以及当移动节点连接在外地链时，其他协议的数据包是如何进行路TonyLi和Cisco的YakovRekhter提交了一份因特网草案，称为集成移动扩展（IntegratedMobilityExtension）[draft-ietf- ip-integrated-00.txt]，其中详尽描述了在移动IP框架中支持其他协议的一种机制。这里，集成一词指可以同时支持多种协议。图11-1表明了集成移动扩展的一般格式。移动节点利用这个扩展通知它的家乡它所支持的协簇，这扩展的理过程在第11.1.5“用其他协议”中说明。这个扩展的各个域如下所述：类型（Type）和长度（Length）域分别表示扩展的种类和大小；协议簇（ProtocolSuite）域表明协议地址（ProtocolAddress）域属于哪种网络层协议（如AppleTalk还是Netware等），其取值定义在通用路由封装GRE（GenericRoutingEncapsulation）[RFC1701]中，是从[RFC1700]中所列的以太网的类型(Type)域发展来的。图11-1其他域都和特定的协议簇有关。在大多数情况下，协议地址域中放置的是在相关协议簇中移动节点的网络层地址，移动节点还可以通过将协议地址域置为零请求家乡分配一个合适的地址。集成移动扩展中其他域的出现则与具体的协议簇有关。例如，图11-2中表明了对于AppleTalk而言集成移动扩展的取值。这时，协议簇域为（hex，表明这个扩展提供了AppleTalk的信息，移动节点将它的AppleTalkDatagramDeliveryProtocol(DDP)让家乡返回它的AppleTalk地址给移动节点非常有用，因为移动节点把这个地址作为它AppleTalk缺省路由器，这个值在图11-2

图11-2AppleTalk(DDP)这一节描述在移动IP规程中集成移动扩展的作用。移动节点在它的请求消息中为它支持的每一种其他协议产生一个集成移动扩展，在其中放入它在相应协议簇中的网络层地址。当家乡接收到请求消息时，它将对这些扩展进行分析，看自己能否将相应协议簇的数据包路由到移动节点上。对于那些家乡可以传送数据包的协议簇，家乡将相应的集成移动扩展拷贝到应答中，然后将应答送给移动节点。在发送之前，家乡还要填写这些扩展中的一些域，比如，对于那些移动节点将地址填为零的扩展，家乡要为它们分配网络层对于那些家乡无法提供数据包传送的协议簇，家乡就不将相应的集成移动扩展拷贝到应答中。移动节点检查应答中的扩展，来决定哪些协议簇的数据包可以由家乡进行路由。例如，我们在MacIntoshPowerBook上实现的移动节点可以同时支持TCP/IP和AppleTalkAppleTalk(DDP)地址。如果移动节点没有这种地址，它就将扩展中的相应域置成零，请求家乡为它分配一个DDP地址。如果收这请消家也一台AppleTalk路由器，那么，它就在送给移动节点的应答中的相应域放入自己的Applealk本节将描述当移动节点在外地链时，其他协议簇的数据包是如何路由到移动节点上的。这里，我们假设移动节点已经用前一节中介绍的机制，向家乡 了一个其他协的地址。其他协议的数据包路由到移动节点上的基本方法无疑也是采用隧道，对家乡的要求也大多和前面所讲的相同，即家乡必须能截获送往移动节点的其他协议地址的数据包，并将它们送给移动节点。图11-3给出了通过隧道为位于外地链的移动节点收发其他协议数据包的机制，隧道的具体形式与移动节点使用的是外地转交地址还是配置转交地址有关。注意，所有的转交地址都是IP地址，而不是其他协议簇的地址。加上GRE头之后的数据包被封装在第一个（内层）IP包内，这个IP包的源地址为家乡，目的地址为移动节点的本地（IP）地址。之后，数据包又被封装进第二层（外层）IP包，这个包的源地址是家乡，目的地址是移动节点的（IP）转交地址。

外地IP拓扑(如

家乡Apple

家乡

⋯⋯

Link

=图11-3其他协议的选路（如采用多重封装的原因与我们在第5.4.7之3“用外地转交地址接收广播”中所讨论的似，它使得外地不用支持IP以外的协议，即其他协议只在家乡和移动节点那里才看得出来。外地解开外层IP包时，只看到一个送往移动节点家乡地址的内层IP包，这和家乡通过隧道传送其他IP包时一样。在相反方向，由移动节点产生的其他协议的数据包通过隧道到达家乡。这要求移动将加了GRE头的数据包封装进一个内层IP包中，这个包的源地址为移动节点的家乡地址，目的地址为家乡的IP地址。注意，如果移动节点担心它的数据包被方向的过滤丢弃，那么移动节点可以从外地那里申请一个反向隧道。这时，离开外地的数据包将加有一层额外的IP报头，其中的转交地址为外地的地址，目的地址为家乡的IP地址。由于这个包从拓扑上看具有正确的源地址和目的地址，因此不会被具有过滤的路由器过滤掉。如果移动节点采用了配置转交地址，那么家乡将原始数据包封装在一个IP包内，方加了GRE报头的数据包被封装进了一个单独的IP包，包的源地址为家乡的IP地址，这里，原始数据包只需进行一次封装，因为移动节点自己就是隧道的出口。类似地，在相反方向，移动节点只需简单地将其他协议的数据包封装进一个IP包就可以了，这个IP包的源址移节的地，的址乡的IP地址。注意，这种经过封装的包由于源地址和目的地址从拓扑上看都是正确的，所以不会被包过滤路由器过滤掉。由于采用配置转交地址时只需要一层封装，所以对那些需要支持IP以外的协议的移动节点来说，宁愿采用配置转交地址而不是外地转交地址。一节中，我们注意到，其他协议的数据包在封装进IP包前都要先用GRE封装。在这一节中，说明为什么要选用GRE，然后研究采用GRE，对申请GRE封装而不是IP的IP封装的请求消息中的G比特有何影响。（关于请求消息中的各个域可以参见第5.3.1如第6.4“通用路由封装”中所描述的，GRE是特意为不同协议簇的数据包之间互相封装而设计的，因此，在移动IP的多协议支持中很自然地选择了GRE。另外，GRE还有专门的机制来防止递归封装，这在第6.3.5“防止递归封装”中已经看到了。至于在请求消息中G转交地址，那么，再检查移动节点是否将请求消息中的G比特置位。如果置位，则进一步的封装只能采用GRE，否则必须采用IP的IP送往移动节点的家乡地址的IP数据包和以前一样进处理。如果移动节点将请求消息中的G比特置位了，那么家乡采用GRE来封装送往移动节点的转交地址的数据包，有两种原因，使得移动IP用上面所说的方法采用隧道将其他协议的数据包送往移动我们假设因特网迟早会覆盖所有地方，而它只提供IP路由。当在因特网中有一些拓扑上的“岛”采用其他协议来对数据包进行路由时（如AppleTalk，这种路由不会覆盖IP路由覆盖的所有区域。因此，无论移动节点在哪里，IP路由总是可以得到。这样，采用IP隧道可以许多协议没有全球的地址管理机构，这种地址管理机构负责为各个机构和个人分配只由它们使用的地址。在这种情况下，无法保证所用的网络层地址（如ApplealkDDP地址）不另使，IP隧道使得属于不同组织的移动节点可以利用其他协议分别与各自网上的节点进行通信，即使它们共用一个IP网络（即因特网。显然，这种机制不允许采用其他协议进行各组织间的通信，除非它们的协议地址是唯一的。在这一节中，我们描述了如何利用隧道，向离开家乡链路的移动节点传送除TCP/IP以外的其他协议的数据包。移动节点通过在它们的请求消息中加入集成移动扩展来表示对某个协议的支持。在扩展中，移动节点还放入了它在这种协议簇中的地址。如果家乡可以支持其他协议的多协议路由器，那么它通过向移动节点返回集成移动扩展来表示对某个协议的支持。家乡截获送往移动节点的其他协议地址的数据包，并通过隧道传送给移动节点。GRE封装用来将其他协议封装进IP中，隧道的具体类型与移动节点采用配置转交地址还是外地转交地址有关。我们还讨论了隧道如何保证移动节点在任何能得到IP路由服务的地方都能进行通信，以及隧道如何使不同组织可以在它们的网内进行通信，即使它们的地址可能是不唯一的。移动网络（不是移动主机到目前为止，你可能会觉得疑惑，如果移动IP只是允许移动主机（如笔记本电脑）在任何地点都可以通信，那么为什么要用移动节点这个术语？你可能已经猜到了，移动节点不仅可以给单个移动主机提供连接，还可以给整个移动网络提供连接。移动网络是指它们的主机和路由器之间的相对位置通常是固定的，但作为一个整体，它们相对因特网的其他（固定）部分来说却是移动的。图11-4给出了一个移动网络的例子，在这个例子中，一个移动节点(这里是一台移动路由器)为船上区域网SHANK（SHipAreaNetwork）上的所有节点提供连接。船上的各个节点之由器通过无线方法与外地通信，外地则由移动路由器当前所在的位置决定。移动路由器的家乡和家乡链路也在图中做了标示。 地图11-4移动IP在这种情况下是如何工作的呢？首先，移动路由器和移动节点一样有一个家乡地址，移动路由器家乡地址的网络前缀与它的家乡链路的网络前缀很可能相等。当连接在家乡链时，移动路由器和家乡只是相邻的路由器，根据动态路由协议，它们将交换路由更新信息。当移动路由器连接在外地链时，路由器之间将仍然互相交换路由更新信息，只是这时是通过一条双向的隧道。图11-5给出了一个只包含一条链路的移动网络，这条链路的网络前缀为7.7.7，接在这条链的主机具有IP地址。而移动路由器的家乡地址为，它的家乡的IP地址为，移动路由器和它的家乡采用了某种动态路由协议（如OSPF。移动路由图11-5中上面分所为移路由器(当然也就是移动网络)连接在家乡链的情况。这时，移动路由器就和其他固定路由器一样工作。此时的移动路由器和家乡是邻接的路由器，它们之间互相转发数据包，并交换路由更新信息。图11-5的上面部分还表明了从因特网固定部分的主机发出的数据包，到达位于移动网络上的主机时的情况。当移动路由器连接在它的家乡链时，这些数据包只是简单地在家乡和移动路由器间转发，不需要隧道，就像在不移动的（固定）的路由器中一样。如图11-5的下面部分所示，当移动路由器连接在外地链时，移动路由器和家乡仍然交换路由更新信息并转发数据包，但这时是通过一条双向的隧道。这时，送往移动网络上的主机的数据包被通过隧道送到移动路由器的转交地址，在那里被从隧道中拆封，并转发11-5的下面部分还通过标出数据包从因特网固定部分的主机发送到移动网络的主机上的路径，表示出了隧道。图11-5表示的情形是移动路由器采用配置转交地址的情况，移动路由器也可以采用外地转交地址，但这要求家乡采用多重封装，就像图11-4的上半部分所示的那样。在相反的方向，移动路由器可以将外地作为移动网络上的主机产生的数据包的缺省路由器。然而，在存在过滤路由器时，移动路由器应将数据包通过隧道送给家乡。在任何情况下，移动路由器和家乡都继续交换路由更新信息，这些更新信息必须通过隧道传送，以防止让移动路由器和家乡之间的路由器感到疑惑。家乡路由 下一跳端 / /

b

/ / / ab a a 图11-5在这一节中，我们研究移动路由器连接在外地链时，家乡和移动路由器的路由表。第5.4.2之2“通过虚拟端口进行路由表的合成”中介绍的链的虚拟端口为移动路由器和移动主机提供了同样便的机制。图1-5中给出了家乡的路由表的一个部分，包括移动路由器在外地链路前后的情况。下面几节将研究这个表的和移动路由器的路由表的各项。到所有连接在家乡链的节点的路由是一条通过物理端口“a”的直接路由，虽然这通过移动路由器（）到位于移动网络（/24）上的所有节点的路由通过无a”。通过外地（）到达位于外地的无线链路（/24）上的所有节点的路由经过另一个物理端口“b”。表11- a(无线端口a(无线端口b相似地，在移动路由器的路由表中，到家乡链的所有节点和移动网络中的所有节点也有直接路由和网络前缀路由。移动路由器还有一个通过家乡到达所有节点的缺省路由，这些表项如表11-2表11- a(无线端口b(以太网接口等(家乡a(无线端口当一个要去往的移动网络上的节点的数据包到达家乡时，家乡在表11-1中的第二行找到一条匹配的路由，并将这个数据包通过无线的家乡链路送给移动路由器。移动路由器接收到这个数据包，并在表11-2中的第二行找到一条匹配的路由，然后将数据包通过b”送到目的主机。在相反的方向，由移动网络上的主机产生的数据包，要去往不在移动网络上的节点，这些数据包先被转发到移动路由器上。移动路由器根据包的目的地址，对送往家乡链的节点的包采用网络前缀路由，或通过缺省路由通过家乡将这些数据包转发到最终目的地。如图11-5的下半部分所示，当移动路由器连接在外地链时，情况就变得复杂多了。这里，我假设移路由器家乡了I地址55..1为配转交地，当成功，动必它由完所双如表11-3所示，与移动主机时的情况相似，家乡将增加一条通过转交地址和虚拟端口到达移动路由器的特定主机路由。另外，家乡必须改变那些下一跳为移动路由器的表项，将它们修改成指向移动路由器的转交地址和虚拟端口。到移动网络的网络前缀路由就是1-3表11- a(转交地址（外地b相类似地，当移动路由器连接在外链时，它必须改变它的路由表中的一些表项。移动路由器将把以前指向家乡链路的路由改成通过隧道到达家乡。另外，移动路由器必须增加一条到达家乡的特定主机路由，这条路由通过外地在外地链的物理端口，再经过外地（其中的原因在后面就会变得清楚了表11-所示。表11-4中4个表项中的目标的一个子集，而且这两个表项的下一跳和端口两列都一样。表11- (家乡链的所有节点(家乡(家乡（外地a(无线端口b(以太网接口等(其他(家乡家乡在表11-3的第三行发现了一条匹配的路由表项，于是将数据包进行封装送入移动路由器的转交地址。然后家乡用表11-3中的第4个表项来向移动路由器的外地转发经过封装的数据包，封装后的数据包（外层的）IP地址为。外地发现数据包是送往的，这是一个在外地链的地址，于是将包转发给移动路由器。外地并不知道也不关心这个数据包还包含了一个被封装的IP包。在相反方向，移动网络上的主机产生的数据包，如果是送往不在移动网络上的节点，这个数据包也将被送到移动路由器上。假设数据包不是去往家乡的，那么移动路由器将用它的路由表中的第一项或第四项来转发数据包。这时，表11-4中规定移动路由器应将数据包封装进一个新的包中，这个新包的目的IP地址为家乡的地址。然后移动路由器采用表11-4中第二行的特定主机路由将经过封装的数据包通过外地链路送给外地。外地将经过封装的包转发给家乡，在那里，数据包被拆封，然后路由到它的最终目的地。注意，去往家乡的特定主机路由为移动路由器提供了一个物理端口，经过封装要送往家乡的数据包可以经过这个端口进行转发。但是，一些由移动路由器自己产生并送往家乡的数据包也会和这条特定主机路由匹配，因而这些数据包就不可能通过隧道到达家乡。这些数据括路由更新信息，应通过隧道到达家乡，但根据路由表，这些路由更新消息将被放在一个源地址为移动路由器、目的地址为家乡的IP包内，然后不经封装就被转发给了外地。因此，移动路由器在转发送往家乡的数据包时必须特别注意，这些数据包是从位于移动网络上的某台主机送过来的还是由移动路由器自己产生的，没有经过封装的数据包还需要加一层IP报头的封装，已经经过封装的则不必再封装，必须通过外地链路转发给外地或在链路另一端的任一个路由器。一节中，我们考虑了为移动网络上的其他主机和路由器提供连接能力的移动路由器。我们假设这些主机和路由器相互之间是固定的，而且对移动路由器来说也是固定的，但这个移动网络作为一个整体相对于因特网来说是移动的。[RFC2002]的4.5节中研究了一个更复杂的情况，这时移动网络中的主机和路由器相对移动网络来说也可能是运动的，比如一位旅客将一台笔记本电脑带上船或飞机时的情况，这时这台笔记本电脑相对于船或飞机上的（固定）主机和路由器来说也是运动的，而整个船或飞机相对于因特网的其他部分来说也是运动的。移动主机和移动路由器分别发现了它们各自的家乡，并向其了它们发外地移动主机的家乡通过隧道将数据包送到了移动主机的转交地址。注意，移动主机的转交地址是移动路由器的本地IP地址。数据包经过隧道到达了移动路由器的家乡，因为移动路由器的家乡或它的家乡链的某台主机总会广播对移动路由器家乡地址的可达性。移动路由器的家乡截获数据包，并进一步通过隧道将它送到移动路由器的转交地址。注意，这个转交地址是在因特网固定部分的外地的地址。当经过两条隧道的数据包到达移动路由器的外地时，最外一层封装被剥去，得到一个要送往移动路由器的经过封装的数据包，外地将这个数据包经过无线链路送给移动个要送往移动主机的数据包。因为移动主机是通过作为外地的移动路由器的，所以由移动路由器将原始数据包经过移动网络上的链路送给移动主机。

图11-6一个同时提供外地功能的移动路由在这一节中，我们研究了移动IP如何为移动网络而不是移动主机提供连接，移动网络定义成一些主机和路由器的集合，它们相对之间是固定的，但作为一个整体相对于因特网的其他部分来说却是移动的。我们介绍了移动路由器，它是一个为移动网络提供连接性的移动节点。我们假设移动路由器采用动态路由协议与它的家乡交换路由更新信息，而且当移动路由器连接在外地链时，这种信息交换通过一条双向的隧道完成。另外，我们还看到了当移动路由器了一个在外地链的转交地址时，家乡和移动路由器修改它们各自的路由表的方式。许多公司采用的网络结构允许移动办公人员能通过PPP或其他接入协议连接到网络上。对许多公司来说，调制解调器、线、接入服务器费用以及这种网络的管理成本变得非常大。最近，IETF定义了一些相关的协议，使得公司可以通过因特网提供的价格低廉这里我介绍中的种协—虚隧道议VTP（VirtualTunnelingProtocol）[draft-calhoun-vtp-protocol-00.txt]，这是对在BayNetwork的BayStreamDial Service实现一个更新版本。VTP采用移动IP动态地建立穿过因特网的双向隧道，使得公司可以将它们的拨号接入设备和运营放到外部来。此外，我们还将介绍另一种拨号服务的提议。AscendTunnelManagementProtol(ATMP)[RFC2107]Point-to-PointTunnelingProtocol(PPTP)[draft-itef-ppext-pptp-00.txt]LayerTwoForwarding(L2F)[draft-ietf-ppext-lwf-03.txt]LayerTwoTunnelingProtocol(L2TP)。这是L2F和PPTP的一种混合，它很可能成为最终的二层隧道技术的因特网标准[draft-ietf-pppext-l2tp-03.txt]。在后面更详细地介绍二层隧道协议。本章中我们的重点放在虚拟隧道协议上，因为它采用了移动IP。尤其是最终用户和采用虚拟隧道技术的用户可能根本意识不到移动IP的使用。也就是说，为使用这种网络，移动用户的计算机中并不需要有移动IP软件。更进一步地说，连接到采用虚拟隧道协议网上的移动用户不再具有保留它的IP地址、连接到任意链路或媒介上等的功能，而在计算机上安装了移动IP的移动节点软件的移动用户则可以有这些功能。因此，虚拟隧道协议提供的是漫游而不是移动，从下面几节中可以更清楚地看到这一点。许多机构的移动办公人员越来越多，这些雇员经常要求存在他们所在机构的网络中或因特网中的信息，因此，许多机构采用的网络结构允许移动办公人员通过PPP等数据链路层协议连接到网络上，这多数是通过线来实现的。移动办公人员通过PPP连接到他们的网络上的方法与我们前面所举的ISP的例子相似。在这里，移动办公人员拨入属于公司或园区的接入设备，而不是由ISP运营的接入假设从办公计算机到它的网的 连接比穿过因特网公共部分的连接要安全，特别地，一般认为对 线上的信息进行偷听或要比对因特网上的数据进行偷听或要难。假设这些安全约定是正确的，那就要在拨入设备网的其他部分之间设置，这要求接入设备可以对用户进行认证，并能防止他们在 过认证时接入网络。为向用户提供拨入，公司必须和管理与ISP相似的许多设备，包括线要为同时拨入的每个用户提供一 调制解调器在这 处理PPP数据链路层协议的接入服务器也可能还处理网络层协议认证服务器接入服务器用它们对拨入的用户进行认证，然后才允许用户接入网另外，由于用户一般通过线接入，他们往往希望公司在许多地方提供接入，否则许多呼叫就成了长途呼叫。因此，许多公司希望采用因特网而不是系统来为用户接入网。这样可使用户先用本地拨到本地ISP上，然后将数据路由到专网在这一节中，我们来看一下虚拟隧道协议如何为用户提供这种业务，我们还将了解虚拟隧道协议如何利用移动IP的规程来动态地为拨入的用户生成隧道。这个解决方法与前面在第9.4中介绍的方法的主要区别是：虚拟隧道协议只需要在一些特定的业务提供商和网络设备上实现，而不需要在移动计算机（即移动节点）上实现。在这一节中，描述虚拟隧道协议如何利用移动IP为移动用户动态地建立和拆除隧道，虚拟隧道协议还允许公司建立穿过因特网的。在这里，重点放在为单个用户提供拨号接入；还将重点放在通过PPP的拨号，而忽略其他的点对点数据链路层协议，如串行IP协议SLIP（SerialLineIP）[RFC1055]。图11-7是虚拟隧道协议的参考图，这表明了移动用户利用计算机拨到由ISP运营的网络接入服务器（NetworkAccessServer）上。网络接入服务器作为线和PPP链路的一个端网络接入服务器通过因特网连接到一个网关上，网关可以放在业务提供商那里，也可以放在用户的网中，图11-7所示的为后一种情况。网关对于网来说就像一台多协议路由器，还可完成拟隧和移动IP家乡的功能。因为网络接入服务器总是采用配置转交地址，所以在虚拟隧道协议的结构中不需要外地。图11-7还给出了两台RADIUS（RemoteAuthenticationDialInUserService）服务器，一台业提商有一由拥。RADIUS[RFC2058]是用在网络接入服务器和认证服务器之间，用于对拨入的用户进行认证的一种协议，它使得拨号和认证这两种功能放在两个分离的网络设备上。网网网

图11-7这里将描述移动节点通过虚拟隧道协议连接到它的网的过程，那些对PPP不熟悉的读者可以在继续阅读之前回头看一下10.2.2中的内容。这个连接的过程如下： 在PPP的LCP（LinkControlProtocol）PPP设协商的结果是使用CHAP（ChallengeHandshakeAuthenticationProtocol）来进行认证。在认证阶段，网络接入服务器产生一个CHAPChallenge送给用户计算机上的PPP客户客户响应CHAPResponse，其中有移动用户的用户名和消 送到本地的RADIUS服务器上，由它来检查用户本地RADIUS服务器用它与RADIUS服务器共有的密钥重新计算消息，然后将用户名和消息送给RADIUS服务器。RADIUS可以假设是放在RIS服务器检查消息，并向本地RIS服务器回答一个消息对用户进行认证。RIS服务器还在应答消息中包括了网关的IP地址（为建立隧道用）和各种其他本地RADIUS服务器对RADIUS送来的消息加入的与隧道建立有关信息，然后假设用户通过了认证，网络接入服务器将向PPP客户返回一条CHAPSuccess消息，从在完成认证过程后，PPP客户和网络接入服务器开始网络控制协议NCP（NetworkControlProtocol）阶段，这时双方协商对移动计算机与网通信时想用的那些网络层协议所需的参数进行配置。一旦NCP阶段结束，即移动计算机已经得到了在IPCP（InternetProtocolControlProtocol）中所需的IP地址，网络接入服务器（移动节点）就采用移动IP向网关（家乡）在请求消息中加入隧道标识（TunnelIdentifier）作为移动IP扩展，用来将新隧道与据最终就是通过这个隧道传送的。应答还可以指明移动计算机的IP地址是否已被其他节点使用。注意，移动计算机的IP地址最初是由网络服务器分配的，它并不知道其他网络服务器上拥有从这时起，移动计算机产生的IP包可以被网络接入服务器放在GREIP和GRE报头，并将内层的数据包路由到它的目的地址。当移动计算机要断开连接时，网络接入报务器就向网关发送一条移动IP的注销消息（即生存时间域虚拟隧道协议还允许二层帧（如带有IP包的PPP帧）通过隧道从网络接入服务器送到网关用户经过PPPCHAP或其他认证机制认证，从而防止未的用户网或从业务隧道本身也可以利用IP的安全协议——EP（EncapulationSecurityPayload）AH（AuthenticationHeader）进行加密或认证。如果使用得当，这些协议可以防止从网络接入服务器到网关的路径上的偷听和主动会话窃取。这样，在移动计算机和网络接入服务器之间的网上的PPP链路成了唯一的薄弱环节。如果你认为在网络上进行偷听和主动的会话窃取是很的（与因特网相比），然而，网系统并不像许多人相信的那么安全。通信安全方面的工程师，用任何天线，在10s内就可以分接一条线[Atki96]！另外，大约有16种的方法，包括窃、分接和其他损害。精巧的方法只通过打一个本地就可以进攻大公司内的用户小交换机[Ster92]因此，在有敏感信息需要保护时，应将它进行加密再经过线和因特网传输，最好采虚拟隧道比起移动IP来确实有一些强大的优势。首先，它只要求在移动计算机上有TCP/IP和PPP软件，而这些在现在的大多数新计算机上都已经有了。移动计算机不需要安装完成移动IP的移动节点功能的软件，这是一个非常大的优势，因为移动IP软件还没有在大多数新计算机上安装，我们希望以后这种情况会有所改变。另一个优点是虚拟隧道协议能提供对IP以外的协议的支持，并允许采用私有地址的公司在公用网中仍然使用私有地址。然而，在第9.4和第11.1中，我们了移动IP也可以为有这种需求的公司和用户提供同样的功能。移动IP的这种功能目前还正在由移动IP工作组进行定当然，如果人们系统并比因特网安全那么这两个“优势”就不那么强了。为了保证在PPP链传送的数据安全，需要动计算机安装密软，这并比安装带功能移动IP软件更好，因为后者使得移动计算机可以安全地连接到任何类型的媒介上，而不仅仅是通过PPP链路和 线。L2TP（LayerTwoTunnelingProtocol）与虚拟隧道协议相比较。第二层隧道这个术语是指穿过公用网络的隧道传送的是PPP帧，而不是网络层的包。一节中，在进入隧道前，网络层的数据包（如IP包）被从PPP的帧中抽取图11-8表明了利用第二层隧道协议的网络的结构。L2TP接入集中器的功能与虚拟隧道协议结构中的网络接入服务器相似，L2TP接入集中器是通过和调制解调器到移动计算机连接的端点。L2TP网络服务器则和虚拟隧道协议结构中的网关相似，L2TP网络服务器为PPP链L2TP接入集中器和L2TP网络服务器构成了第二层隧道的两个端点。在图11-8中没有标出1)用户发起一个本地呼叫，并启动一个PPP连接，去往因特网服务提供商的L2TP接入集中器从移动计算机收集足够的信息来决定提供的业务类型是标准的因特网服务还是去往L2TP网络服务器的第二层隧道。如果网允许的话，集中器可以利用主叫用户号码来完成这个判定；否则，集中器可能必须通过许多PPP链路和认证过程得到用户名（如PAP或CHAP提供的，从而进一步找到用户。如果结果表明用户要求第二层隧道服务，那么同时还可找到用户的L2TP网络服务器。L2TP接入集中器建立一条连接L2TP定的那一台，并且假设事先这条隧道不存在。图11-8表明的这条隧道的媒介是因特网上的UDP/IP，实际上第二层隧道协议结构几乎可以支持任何类型的公用或交换网，包括帧中继、X.