移动VPN介绍

　　点对点隧道协议(PPTP)， IPsec 及 SSL VPN都可以通过IP地址在隧道远端识别不同的网络设备。在这个识别过程中，如果用户为固定设备设置安全加密通道的话效果会非常好，这些设备包括连接民用宽带的家庭电脑，连接宾馆LAN的笔记本电脑，或者是连接WiFi热点的PDA。但如果要移动这些设备及物理链接，网络架构以及IP地址都可能会改变。传统的VPN客户端很难做到这一系列的改变。在隧道中断，应用会话断开，或发生超时时，用户必须及时重新启动业务通信系统。一些供应商的移动VPN解决方案都是在这些挑战下孕育而生的，这些供应商包括Columbitech、Ecutel、IBM、ipUnplugged、Motorola、NetMotion、Nokia、Padcom 以及Radio IP等。在移动VPN中，VPN服务器仍然部署在企业边缘网络，用于保证已验证的、经授权的VPN客户端的隧道访问。移动VPN隧道并不和物理IP地址绑定在一起，而是和逻辑IP地址绑定在一起的。无论VPN客户端移到到什么地方，逻辑IP地址会始终和客户端绑定在一起。移动客户端能够实现以下几个方面：

　　•在公共WiFi热点区域从一个 无线 AP 漫游至另一个无线AP

　　•支持从WiFi连接转换为3G连接(如 EV-DO)

　　•支持从3G连接转换为2G连接(如1xRTT)

　　•可恢复办公连接，并支持使用以太网LAN连接

　　在这个例子中，当保留一个逻辑IP地址时，移动VPN客户端将会涉及到四至五个不同的物理IP地址。当有应用程序运行在移动设备中时，企业网络的通信是通过其中一个逻辑IP地址进行的，而用户的移动情况以及相关的物理与网络转换就无需去关注。

　　拥有大型无线 LANs 管理经验的读者一定都对处理接入点(AP)漫游问题非常熟悉。事实上，许多WLAN交换机都是用快速的转换和子网漫游机制，来减少专用WLAN中的潜在安全风险，避免重验证Wi-Fi客户端带来的麻烦。但是，这些解决方案并不利于那些需要在分离网络之间漫游的企业用户，特别是那些把运营交付给第三方的公司。

　　从长远来看，对于移动用户来说，子网漫游只是千千万万困难中的一小部分。许多移动VPN都通过以下方法来缓解新技术带来的挑战：

　　•在AP至AP的转换时，漫游中的Wi-Fi可能会有几十到几百毫秒的断网。然而一个移动用户在通过一个无网络覆盖的区域时，很可能会几分钟，几小时，甚至是几天都无网络连接。

　　•Wi-Fi客户端在一个给定的ESSID中漫游会面临整个WLAN的安全问题。但是一个移动用户从一个公共Wi-Fi漫游至一个负载3G网络再到一个安全企业网络时，需要完成三个独立网络的登录，以及应用程序的重复登录。

　　•Wi-Fi客户端可以使用802.11实现睡眠模式，还可以在不减少AP连接的前提下节省对电池电量的消耗。但是睡眠模式中的PDA或智能手机，无法通过一些机制来支持应用程序的运行，想要运行应用程序，必须要有充足的供电。

　　•根据信号强度或误码率，Wi-Fi客户端可自动选择性能最佳的最合适的AP。但是支持多种网络连接选项的移动设备需要考虑这些因素，比如成本、安全性以及参数设置等。

　　•Wi-Fi标准可保证动态速率调整；网络管理人员可以设置最小可接受速率。相比之下，在更广泛的网络参数和性能约束下，移动设备更难去预测，更不要说是去控制。

　　当今的移动VPN产品解决这些困难就是这样的状况。特别是，移动VPN交付网络和应用程序的保存。当移动VPN客户端漫游在子网、交换适配器、睡眠或进入一种短期的无覆盖状态时，VPN服务器就会替代客户端。该服务器会保持客户端的网络连接状态，避免域或应用程序的重验证。服务器会触发API呼叫，防止应用程序阻塞，或者会把消息及时发送至客户端。当确认送达的信号返回后，移动用户就可以及时开始之前断开的工作，这其中的交互作用就可以很好地提高每个应用程序的进程。