淺談ＣＤＭＡ２０００　１Ｘ－ＶＰＤＮ網(wǎng)絡(luò)在行業(yè)用戶中的應(yīng)用

孫　軍

摘要：隨著企業(yè)信息化和移動(dòng)通信的發(fā)展，傳統(tǒng)企業(yè)基于固定地點(diǎn)的專線連接方式，已難以適應(yīng)現(xiàn)代企業(yè)的需求，基于CDMA 1X 無(wú)線數(shù)據(jù)通信技術(shù)和VPDN技術(shù)可向企業(yè)提供隨時(shí)隨地、靈活、安全、可靠的信息數(shù)據(jù)傳輸應(yīng)用。

關(guān)鍵詞：CDMA；2000 1X；VPDN；隧道技術(shù)；接入方式

一、背景

隨著CDMA2000 1X網(wǎng)絡(luò)的逐步完善，其在數(shù)據(jù)業(yè)務(wù)方面的優(yōu)勢(shì)也日益顯現(xiàn)出來(lái)，由于其穩(wěn)定性和速度上已經(jīng)遠(yuǎn)遠(yuǎn)的超過(guò)了GPRS，因此許多企業(yè)已經(jīng)考慮將其應(yīng)用在經(jīng)常出差的員工訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)，以及企業(yè)網(wǎng)點(diǎn)中有線網(wǎng)絡(luò)不能到達(dá)或不方便布放有線網(wǎng)絡(luò)的地方，然而在使用這種接入方式之前，企業(yè)往往出于對(duì)自身網(wǎng)絡(luò)以及數(shù)據(jù)安全性的考慮而提出此種組網(wǎng)方式的安全性問(wèn)題，下面就接入方式及其安全問(wèn)題談?wù)勎业囊恍┛捶ê陀^點(diǎn)。

二、 VPDN原理

VPDN(Virtual Private Dial Network)虛擬撥號(hào)專網(wǎng)技術(shù)采用專用的網(wǎng)絡(luò)加密和通信協(xié)議，可以使企業(yè)在公共IP網(wǎng)絡(luò)上建立安全的虛擬專網(wǎng)。企業(yè)出差人員可以從遠(yuǎn)程經(jīng)過(guò)公共IP網(wǎng)絡(luò)，通過(guò)虛擬的加密通道與企業(yè)內(nèi)部的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上的用戶則無(wú)法穿過(guò)虛擬通道訪問(wèn)該企業(yè)的內(nèi)部網(wǎng)絡(luò)。VPDN的技術(shù)核心主要在于隧道技術(shù)和安全技術(shù)。

三、 CDMA 1X-VPDN介紹

1.基本組網(wǎng)介紹

（1）用戶端設(shè)備(CPE: Customer Premises Equipment)：用戶端需具備作為VPDN的網(wǎng)關(guān)功能的設(shè)備，它位于用戶總部，可以由企業(yè)網(wǎng)內(nèi)部的路由器實(shí)現(xiàn)，具體可以選用同時(shí)具備路由功能和VPDN功能的網(wǎng)絡(luò)設(shè)備。CPE是VPDN呼叫發(fā)起和結(jié)束的地方，也是用戶方需要設(shè)置的唯一VPDN硬件設(shè)備。

（2）接入服務(wù)器（NAS：Network access server）：NAS由聯(lián)通公司提供并承擔(dān)運(yùn)維工作，其作用是作為VPDN的接入服務(wù)器，可以提供廣域網(wǎng)接口，負(fù)責(zé)與企業(yè)專用網(wǎng)的VPN連接，并支持各種LAN局域網(wǎng)協(xié)議，支持安全管理和認(rèn)證，支持隧道及相關(guān)技術(shù)。

（3）企業(yè)端認(rèn)證服務(wù)器：用于用戶一次認(rèn)證，對(duì)認(rèn)證通過(guò)的用戶將其資料發(fā)送給相應(yīng)的LNS設(shè)備的認(rèn)證系統(tǒng)進(jìn)行二次認(rèn)證。

（4）用戶終端：具備能使用CDMA1X上網(wǎng)的終端設(shè)備。

（5）用戶端認(rèn)證服務(wù)器：用戶端認(rèn)證服務(wù)器是可選的設(shè)備，用于對(duì)登錄用戶做鑒權(quán)認(rèn)證，為了便于對(duì)用戶的賬戶密碼資料進(jìn)行管理，一般情況下建議設(shè)置。

2.VPDN的隧道技術(shù)

目前隧道技術(shù)有很多種，但從根本上來(lái)講可分為兩類：第二層隧道協(xié)議PPTP、L2F、L2TP和第三層隧道協(xié)議GRE、IPsec。它們的本質(zhì)區(qū)別在于提供的是第二層協(xié)議的穿透還是第三層協(xié)議的穿透。

隧道協(xié)議有很多好處，例如在撥號(hào)網(wǎng)絡(luò)中，用戶大都接受ISP分配的動(dòng)態(tài)IP地址，而企業(yè)網(wǎng)一般均采用防火墻、NAT等安全措施來(lái)保護(hù)自己的網(wǎng)絡(luò)，企業(yè)員工通過(guò)ISP撥號(hào)上網(wǎng)時(shí)就不能穿過(guò)防火墻訪問(wèn)企業(yè)內(nèi)部網(wǎng)資源。采用隧道協(xié)議后，企業(yè)撥號(hào)用戶就可以得到企業(yè)內(nèi)部網(wǎng)IP地址，通過(guò)對(duì)PPP幀進(jìn)行封裝，用戶數(shù)據(jù)包可以穿過(guò)防火墻到達(dá)企業(yè)內(nèi)部網(wǎng)。

（1） PPTP——點(diǎn)對(duì)點(diǎn)隧道協(xié)議

PPTP提供PPTP客戶機(jī)和PPTP服務(wù)器之間的加密通信。PPTP客戶機(jī)是指運(yùn)行了該協(xié)議的PC機(jī)，如啟動(dòng)該協(xié)議的Windows95/98；PPTP服務(wù)器是指運(yùn)行該協(xié)議的服務(wù)器，如啟動(dòng)該協(xié)議的WindowsNT服務(wù)器。PPTP可看作是PPP協(xié)議的一種擴(kuò)展。它提供了一種在Internet上建立多協(xié)議的安全虛擬專用網(wǎng)（VPN）的通信方式。遠(yuǎn)端用戶能夠透過(guò)任何支持PPTP的ISP訪問(wèn)公司的專用網(wǎng)絡(luò)。

通過(guò)PPTP，客戶可采用撥號(hào)方式接入公共IP網(wǎng)絡(luò)Internet。撥號(hào)客戶首先按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器（NAS），建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號(hào)建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道，實(shí)質(zhì)上是基于IP協(xié)議上的另一個(gè)PPP連接，其中的IP包可以封裝多種協(xié)議數(shù)據(jù)，包括TCP／IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的數(shù)據(jù)加密方法，保證了虛擬連接通道的安全性。對(duì)于直接連到Internet上的客戶則不需要第一重PPP的撥號(hào)連接，可以直接與PPTP服務(wù)器建立虛擬通道。PPTP把建立隧道的主動(dòng)權(quán)交給了用戶，但用戶需要在其PC機(jī)上配置PPTP，這樣做既增加了用戶的工作量又會(huì)造成網(wǎng)絡(luò)安全隱患。另外PPTP只支持IP作為傳輸協(xié)議。

（2）L2F——第二層轉(zhuǎn)發(fā)協(xié)議

L2F是由Cisco公司提出的可以在多種介質(zhì)如ATM、幀中繼、IP網(wǎng)上建立多協(xié)議的安全虛擬專用網(wǎng)（VPN）的通信方式。遠(yuǎn)端用戶能夠透過(guò)任何撥號(hào)方式接入公共IP網(wǎng)絡(luò)，首先按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器（NAS），建立PPP連接；NAS根據(jù)用戶名等信息，發(fā)起第二重連接，通向HGW服務(wù)器。在這種情況下隧道的配置和建立對(duì)用戶是完全透明的。

（3）L2TP——第二層隧道協(xié)議

L2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或訪問(wèn)服務(wù)器端發(fā)起VPN連接。L2TP是把鏈路層PPP幀封裝在公共網(wǎng)絡(luò)設(shè)施如IP、ATM、幀中繼中進(jìn)行隧道傳輸?shù)姆庋b協(xié)議。

Cisco、Ascend、Microsoft和RedBack公司的專家們?cè)谛薷牧耸畮讉€(gè)版本后，終于在1999年8月公布了L2TP的標(biāo)準(zhǔn)RFC2661。（可以從ftp://ftp.isi.net.edu/ innotes/rfc2661.txt下載該標(biāo)準(zhǔn)內(nèi)容。）

目前用戶撥號(hào)訪問(wèn)Internet時(shí)，必須使用IP協(xié)議，并且其動(dòng)態(tài)得到的IP地址也是合法的。L2TP的好處就在于支持多種協(xié)議，用戶可以保留原有的IPX、Appletalk等協(xié)議或公司原有的IP地址。L2TP還解決了多個(gè)PPP鏈路的捆綁問(wèn)題，PPP鏈路捆綁要求其成員均指向同一個(gè)NAS，L2TP可以使物理上連接到不同NAS的PPP鏈路，在邏輯上的終結(jié)點(diǎn)為同一個(gè)物理設(shè)備。L2TP擴(kuò)展了PPP連接，在傳統(tǒng)方式中用戶通過(guò)模擬電話線或ISDN/ADSL與網(wǎng)絡(luò)訪問(wèn)服務(wù)器(NAS)建立一個(gè)第2層的連接，并在其上運(yùn)行PPP，第2層連接的終結(jié)點(diǎn)和PPP會(huì)話的終結(jié)點(diǎn)在同一個(gè)設(shè)備上(如NAS)。L2TP作為PPP的擴(kuò)展提供更強(qiáng)大的功能，包括第2層連接的終結(jié)點(diǎn)和PPP會(huì)話的終結(jié)點(diǎn)可以是不同的設(shè)備。

L2TP主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)構(gòu)成，LAC(L2TP訪問(wèn)集中器)支持客戶端的L2TP，他用于發(fā)起呼叫，接收呼叫和建立隧道；LNS(L2TP網(wǎng)絡(luò)服務(wù)器)是所有隧道的終點(diǎn)。在傳統(tǒng)的PPP連接中，用戶撥號(hào)連接的終點(diǎn)是LAC，L2TP使得PPP協(xié)議的終點(diǎn)延伸到LNS。

L2TP的建立過(guò)程是：

①遠(yuǎn)程用戶使用CDMA1X撥入LAC（PDSN），例如撥打號(hào)碼為＃777，并輸入username@XXX.133VPDN.HA和密碼。

②LAC將username@XXX.133VPDN.HA送到分組網(wǎng)AAA服務(wù)器，由AAA服務(wù)器向LAC（PDSN）提供LNS(用戶網(wǎng)關(guān))信息，包括LNS IP地址等。

③若XXX.133VPDN.HA信息為正確的VPDN用戶信息，則返回LNS信息，再由AAA送給LAC。

④LAC開(kāi)始與LNS之間直接進(jìn)行L2TP隧道建立，并將username@XXX.133VPDN.HA全部送給LNS，由LNS進(jìn)行認(rèn)證。

⑤LNS將username@XXX.133VPDN.HA送給自己的RADIUS服務(wù)器(認(rèn)證服務(wù)器)。

⑥如果是合法用戶則允許接入并保持L2TP隧道。

⑦LAC通知本地AAA進(jìn)行計(jì)費(fèi)。

⑧VPDN本身與LNS之間進(jìn)行PPP握手，LNS與遠(yuǎn)程用戶交換PPP信息，分配IP地址。LNS可采用企業(yè)專用地址(未注冊(cè)的IP地址)或服務(wù)提供商提供的地址空間分配IP地址。因?yàn)閮?nèi)部源IP地址與目的地IP地址實(shí)際上都通過(guò)服務(wù)提供商的IP網(wǎng)絡(luò)在PPP信息包內(nèi)傳送，企業(yè)專用地址對(duì)提供者的網(wǎng)絡(luò)是透明的。

⑨完成VPDN操作，用戶可以利用PPP協(xié)議透過(guò)L2TP隧道進(jìn)行互聯(lián)，端到端的數(shù)據(jù)從撥號(hào)用戶傳到LNS。

在實(shí)際應(yīng)用中，LAC將撥號(hào)用戶的PPP幀封裝后，傳送到LNS，LNS去掉封裝包頭，得到PPP幀，再去掉PPP幀頭，得到網(wǎng)絡(luò)層數(shù)據(jù)包。

L2TP這種方式給服務(wù)提供商和用戶帶來(lái)了許多好處。用戶不需要在PC上安裝專門的客戶端軟件，企業(yè)可以使用保留IP地址，并在本地管理認(rèn)證數(shù)據(jù)庫(kù)，從而降低了使用成本和培訓(xùn)維護(hù)費(fèi)用。

與PPTP和L2F相比，L2TP的優(yōu)點(diǎn)在于提供了差錯(cuò)和流量控制；L2TP使用UDP封裝和傳送PPP幀。面向非連接的UDP無(wú)法保證網(wǎng)絡(luò)數(shù)據(jù)的可靠傳輸，L2TP使用Nr（下一個(gè)希望接受的消息序列號(hào)）和Ns（當(dāng)前發(fā)送的數(shù)據(jù)包序列號(hào)）字段控制流量和差錯(cuò)。雙方通過(guò)序列號(hào)來(lái)確定數(shù)據(jù)包的次序和緩沖區(qū)，一旦數(shù)據(jù)丟失根據(jù)序列號(hào)可以進(jìn)行重發(fā)。

作為PPP的擴(kuò)展，L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進(jìn)行用戶身份認(rèn)證。L2TP定義了控制包的加密傳輸，每個(gè)被建立的隧道生成一個(gè)獨(dú)一無(wú)二的隨機(jī)鑰匙，以便抵抗欺騙性的攻擊，但是它對(duì)傳輸中的數(shù)據(jù)并不加密。

（4）GRE——通用路由封裝

GRE在RFC1701/RFC1702中定義，它規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來(lái)定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，并支持全部的路由協(xié)議如RIP、OSPF、IGRP、EIGRP。通過(guò)GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互聯(lián)，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。

GRE在包頭中包含了協(xié)議類型，這用于標(biāo)明乘客協(xié)議的類型；校驗(yàn)和包括了GRE的包頭和完整的乘客協(xié)議與數(shù)據(jù)；密鑰用于接收端驗(yàn)證接收的數(shù)據(jù)；序列號(hào)用于接收端數(shù)據(jù)包的排序和差錯(cuò)控制；路由用于本數(shù)據(jù)包的路由。

GRE只提供了數(shù)據(jù)包的封裝，它并沒(méi)有加密功能來(lái)防止網(wǎng)絡(luò)偵聽(tīng)和攻擊。所以在實(shí)際環(huán)境中它常和IPsec在一起使用，由IPsec提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。

（5）IPSec

PPTP、L2F、L2TP和GRE各自有自己的優(yōu)點(diǎn)，但是都沒(méi)有很好地解決隧道加密和數(shù)據(jù)加密的問(wèn)題。而IPSec協(xié)議把多種安全技術(shù)集合到一起，可以建立一個(gè)安全、可靠的隧道。這些技術(shù)包括DiffieHellman密鑰交換技術(shù)，DES、RC4、IDEA數(shù)據(jù)加密技術(shù)，哈希散列算法HMAC、MD5、SHA，數(shù)字簽名技術(shù)等。

IPSec實(shí)際上是一套協(xié)議包而不是一個(gè)單個(gè)的協(xié)議，這一點(diǎn)對(duì)于我們認(rèn)識(shí)IPSec是很重要的。自從1995年開(kāi)始IPSec的研究工作以來(lái)，IETFIPSec工作組在它的主頁(yè)上發(fā)布了幾十個(gè)Internet草案文獻(xiàn)和12個(gè)RFC文件。其中，比較重要的有RFC2409IKE互連網(wǎng)密鑰交換、RFC2401IPSec協(xié)議、RFC2402AH驗(yàn)證包頭、RFC2406ESP加密數(shù)據(jù)等文件。

IPSec安全結(jié)構(gòu)包括3個(gè)基本協(xié)議：AH協(xié)議為IP包提供信息源驗(yàn)證和完整性保證；ESP協(xié)議提供加密保證；密鑰管理協(xié)議(ISAKMP)提供雙方交流時(shí)的共享安全信息。ESP和AH協(xié)議都有相關(guān)的一系列支持文件，規(guī)定了加密和認(rèn)證的算法。最后，解釋域（DOI）通過(guò)一系列命令、算法、屬性、參數(shù)來(lái)連接所有的IPSec組文件。

3.CDMA 1X-VPDN技術(shù)實(shí)現(xiàn)

VPDN有兩種實(shí)現(xiàn)方法：通過(guò)NAS與VPDN網(wǎng)關(guān)建立隧道；客戶機(jī)與VPN網(wǎng)關(guān)直接建立隧道方式。

（1）NAS與VPDN網(wǎng)關(guān)建立隧道

這種方式是NAS通過(guò)Tunnel協(xié)議，與VPDN網(wǎng)關(guān)建立通道，將客戶的PPP連接直接連到企業(yè)網(wǎng)的網(wǎng)關(guān)上，目前使用的協(xié)議有L2F，L2TP。這種方式結(jié)構(gòu)如下：

這種方式的好處在于：對(duì)用戶是透明的，用戶只需要登錄一次就可以接入企業(yè)網(wǎng)，由企業(yè)網(wǎng)進(jìn)行用戶認(rèn)證和地址分配，不占有公共地址，用戶可以使用各種平臺(tái)上網(wǎng)。這種方式需要NAS支持VPDN協(xié)議，需要認(rèn)證系統(tǒng)支持VPDN屬性，網(wǎng)關(guān)一般使用路由器(Cisco 11.3后開(kāi)始支持L2F)，專用網(wǎng)關(guān)，NT服務(wù)器(5.0開(kāi)始支持L2TP)。

（2）客戶機(jī)與VPDN網(wǎng)關(guān)建立隧道

這種方式是由客戶機(jī)首先先建立與Internet的連接，如撥號(hào)方式，LAN方式等，再通過(guò)專用的客戶軟件(Win 98支持PPTP)與網(wǎng)關(guān)建立通道連接，一般使用PPTP, IPSec協(xié)議。結(jié)構(gòu)如下：

這種方式的好處在于：用戶上網(wǎng)的方式地點(diǎn)沒(méi)有限制，不需要ISP的介入。缺點(diǎn)是需要安裝專用的軟件，一般都是Windows平臺(tái)，限制了用戶使用的平臺(tái)；用戶需要兩次認(rèn)證，一次上ISP，一次接入企業(yè)網(wǎng)；用戶同時(shí)接入Internet和企業(yè)網(wǎng)，存在著潛在的安全隱患。這種方式一般使用防火墻和專用網(wǎng)關(guān)作為VPDN網(wǎng)關(guān)。

4.VPDN的安全技術(shù)

基于Internet的VPDN首先要考慮的就是安全問(wèn)題。能否保證VPDN的安全性，是VPDN網(wǎng)絡(luò)能否實(shí)現(xiàn)的關(guān)鍵。可以采用下列技術(shù)保證VPDN的安全：

·口令保護(hù)；

·用戶認(rèn)證技術(shù)；

·一次性口令技術(shù)；

·用戶權(quán)限設(shè)置；

·在傳輸中采用加密技術(shù)；

·采用防火墻把用戶網(wǎng)絡(luò)中的對(duì)外服務(wù)器和對(duì)內(nèi)服務(wù)器隔離開(kāi)。

四、幾種不同接入方式安全性的闡述

1.公網(wǎng)接入方式

用戶端網(wǎng)關(guān)設(shè)備直接與公網(wǎng)了連接，用戶通過(guò)公網(wǎng)方式與企業(yè)內(nèi)部取得聯(lián)系。適用于對(duì)安全性要求不高的用戶，比如一般移動(dòng)辦公用戶，適用的企業(yè)用戶應(yīng)大致有以下要求：

A.企業(yè)用戶為達(dá)到某種目的需要使用CDMA1X無(wú)線上網(wǎng)；

B.用戶需要使用無(wú)線上網(wǎng)方式進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行某些操作；

C.用戶的網(wǎng)關(guān)本身具備一定的安全措施，可以與互聯(lián)網(wǎng)連接并且用戶上網(wǎng)操作對(duì)數(shù)據(jù)安全性要求不苛刻。

此種實(shí)現(xiàn)方式較為成熟，目前全國(guó)分組網(wǎng)PDSN均已支持，只需要在分組網(wǎng)AAA設(shè)置相應(yīng)的域名以及LNS IP地址等數(shù)據(jù)。公網(wǎng)接入方式由于網(wǎng)絡(luò)條件成熟，實(shí)現(xiàn)快速，成本較低，是聯(lián)通公司向一般1X-VPDN客戶推薦的首選接入方式。

網(wǎng)絡(luò)拓?fù)洌阂?jiàn)接入組網(wǎng)圖中企業(yè)用戶C。

2.長(zhǎng)途專線接入

用戶端網(wǎng)關(guān)與公網(wǎng)完全隔離，LNS以獨(dú)立專線方式接入聯(lián)通分組網(wǎng)LAC服務(wù)器前端的用戶接入?yún)R接交換機(jī)，交換機(jī)根據(jù)不同的用戶劃分不同的VLAN保證用戶相互在邏輯上隔離。適用于對(duì)安全性極度苛刻的用戶，一般此類用戶不允許與公網(wǎng)有連接，比如銀行業(yè)、國(guó)家機(jī)密機(jī)關(guān)的秘密數(shù)據(jù)傳輸需求，適用的企業(yè)用戶應(yīng)大致有以下要求：

A.企業(yè)用戶為達(dá)到某種目的需要使用CDMA1X無(wú)線上網(wǎng)；

B.用戶需要使用無(wú)線上網(wǎng)方式進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行某些操作；

C.企業(yè)用戶的網(wǎng)關(guān)設(shè)備安全要求非常苛刻并且不允許與公網(wǎng)有鏈路連接；

D.企業(yè)用戶使用1X無(wú)線上網(wǎng)所傳輸?shù)臄?shù)據(jù)保密性要求非常高；

范例：見(jiàn)接入組網(wǎng)圖中企業(yè)用戶B。

3.互聯(lián)網(wǎng)專線接入方式

由于完全專線接入的成本較高，一般用戶不能承受，但是用戶同時(shí)希望自己的LNS設(shè)備不要直接暴露在公網(wǎng)上，以避免來(lái)自公網(wǎng)的各種各樣攻擊，同時(shí)用戶實(shí)際上對(duì)于應(yīng)用的數(shù)據(jù)并不是需要極度保密；此時(shí)，用戶可以選擇互聯(lián)網(wǎng)專線接入達(dá)到以上要求。這種接入方式不是嚴(yán)格意義上的物理隔絕的數(shù)據(jù)包，盡管在省內(nèi)公網(wǎng)傳輸部分又封裝到一個(gè)隧道中，降低了數(shù)據(jù)被監(jiān)聽(tīng)的風(fēng)險(xiǎn)，但無(wú)法完全避免該風(fēng)險(xiǎn)；但我們也應(yīng)該看到，如果VPDN業(yè)務(wù)要允許用戶利用互聯(lián)網(wǎng)進(jìn)行省外漫游，現(xiàn)有的各方案中，數(shù)據(jù)包在省外傳送部分是無(wú)法避免被監(jiān)聽(tīng)的，適用的企業(yè)用戶應(yīng)大致有以下要求：

A.企業(yè)用戶為達(dá)到某種目的需要使用CDMA1X無(wú)線上網(wǎng)；

B.用戶需要使用無(wú)線上網(wǎng)方式進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行某些操作

C.企業(yè)用戶的網(wǎng)關(guān)設(shè)備安全要求較為嚴(yán)格，不允許LNS直接與公網(wǎng) 連接；

D.企業(yè)用戶使用1X無(wú)線上網(wǎng)所傳輸?shù)臄?shù)據(jù)保密性要求不是太苛刻。

參考文獻(xiàn)：

[1]胡錚.《網(wǎng)絡(luò)與信息安全》.清華大學(xué)出版社.2006.5

[2][美]Vijay Bollapragada Mohamed Khalid Scott Wainner IPSec VPN設(shè)計(jì).人民郵電出版社.2006.5

[3]王達(dá).《虛擬專用網(wǎng)（VPN）精解》.清華大學(xué)出版社.2004.1

[4]康桂霞，田輝，朱禹濤，杜娟.《CDMA2000 1x無(wú)線網(wǎng)絡(luò)技術(shù)》.人民郵電出版社.2007.12