1997年时，纽西兰完成了一个全国性的商业网路，称作「智慧网（SmartNet）」，它将重要的商业人士、研究员、教授、行政立法官员、股东的电脑连接在一起，以达到知识与资讯共用的目的。纽西兰建立此「智慧网」具有下列的目标：

最近，Cisco也对外推出SmartNet咨询服务，标榜在时限内完成维修，不分国界、不分有线或无线装备、也不分软体或硬体。此外，许多ISP和企业的内部网路也号称是SmartNet。不管这些SmartNet的最终应用目的为何，它们都具有两个共同点：(1) 资讯都必须能够顺利地在各种环境中传输，不管使用何种技术和媒体；(2) 机密等级高的资讯，必须经过完善的保护。

本文针对企业行动网路的漫游技术做探讨，并介绍漫游（roaming）伺服器、漫游闸道器、漫游客户端（client）的功能。

既安全又无所不在

行动通讯已经逐渐被全球企业采用，而能提供既安全又无所不在的无线通讯网路，将成为关键。例如：在国外的业务人员使用行动电话和母公司通讯时，其漫游连结必须既安全又便利，完全不需要用户自己插手。这中间也许经过了LAN、WLAN、GPRS、cdma200/3G，但是对用户而言，它们全部都被视为一个网路。

为了达到上述的目标，企业需要漫游伺服器、漫游闸道器、漫游用户端（主要是指安装在用户端的软体），它们使用开放的标准，例如：行动（mobile）IP、IPSec和「无线网际网路服务供应者漫游（Wireless Internet Service Provider roaming，WISPr）」。行动IP能为用户提供无缝的行动通讯（seamless mobility）体验，不管他们是位于公司网路内，或出差在外。当用户到达一个可能不安全的网路环境时，IPSec和WISPr会结合行动IP，自动产生安全连结。

漫游闸道器是一种很高阶的「行动VPN」闸道器，它为资讯安全把关。漫游客户端是一种加值软体，安装在用户的行动装置中，提供一个无缝的、安全的通道（tunnel），此通道是连接到漫游闸道器。漫游伺服器对漫游用户端提供自动化的更新服务，它自动分配漫游用户端所需要的软体和用户的组态设定资料，使通讯服务变得容易管理和维护。 (图一)是企业行动网路的简易架构。在此图中，漫游闸道器和每个行动装置之间的VPN通道，是以小圆柱线条表示。

《图一 企业行动网络的简易架构》

漫游闸道器

其实，漫游闸道器才是企业行动网路的基石。它集结远端（网际网路）所有节点的资讯量，并转送至漫游用户端。它具有处理行动和安全的功能，可透过多种存取方式达成目的。在它的VPN通道里，资料是经过压缩的（或加密的）；它能管理用户的存取权限。漫游闸道器也可以和RADIUS伺服器（譬如：漫游伺服器）连接，以进行记帐（accounting）、辨认（authentication）、授权（authorization）作业，这也简称作AAA作业。

此外，漫游闸道器有提供「网际网路存取控制（Internet access control；IAC）」的功能，能让用户透过「热点（hotspot）」或公司提供的网页，登录（login）到网际网路。

漫游闸道器所支援的功能和技术标准，详列如下：

漫游用户端

用户端软体可以安装在笔记型电脑或PDA上，形成漫游用户端。它管理到达公司网站的安全连结，和通讯「无缝」程度的选择…..全部不需要用户插手，亦即「透明的」；或需要用户插手。不管是短距离通讯（LAN、WLAN）或长距离通讯（PWLAN、GPRS、cdma200/3G），它都可以维持良好的行动性和安全性。

当拔除LAN电缆线之后，漫游用户端会自动切换到WLAN，并开始对资料流加密。漫游用户端不会增加使用者的操作与设定负担，因为下载和安装此软体很容易。在安装的过程中，特定用户的所有设定值，会被自动地和安全地下载到漫游用户端。

漫游用户端具有下列的功能：

漫游伺服器

漫游伺服器提供可升级的、强大的、好用的网路设定工具，以及安全管理和用户资料处理工具。它具有完整的AAA作业功能，可以在多个存取网路中「无缝地」漫游。它能将选择好的设定项目，转换成复杂的防火墙规则，并将它们分配给用户端。

它与漫游闸道器连接之后，可以处理所有与控制存取相关的功能，这包含公司网路或公众「热点」的大规模AAA作业。

漫游伺服器具有下列的功能和单元：

漫游技术相关标准

WISPr标准

上述的漫游技术都是使用WISPr标准。 WISPr是Wi-Fi联盟制定的开放式标准，它是针对无线网际网路供应商（WISP）的漫游业务而设计的。 (图二)是WISP漫游作业的示意图。

@内文：使用者必须在当地机构（home entity）注册，才能成为漫游用户，使用漫游服务之后，还必须支付费用。在图二中，当用户在「热点」利用笔记型电脑透过Wi-Fi桥接器（access point），到达「公众存取控制闸道器（public access control gateway）」，此时必须经过热点的RADIUS伺服器来辨认用户身份。若热点的RADIUS伺服器能和当地的RADIUS伺服器沟通，它们就会开始执行辨认作业；否则必须透过第三者（roaming intermediary）来执行。通过辨认之后，用户即可存取网际网路的资讯。

在这个模式中，有三个主要营运商：热点营运商、当地业者、漫游仲介商。当地业者具有用户的帐户资料和存取热点的认证资料，当地业者可能是WISP、企业、或其它的服务供应商。漫游仲介商是可有可无的，它在数个热点、WISP或当地业者之间，提供AAA和帐目查核作业，它可能是商务中介商或银行。

此外，还有三种人虽然没有直接插手AAA作业，但也是此模式的参予者。他们是：用户、内容供应商、热点场地拥有者（地主）。内容供应商提供用户所需的内容和应用程式，他们必须和当地业者合作。热点场地拥有者为热点营运商提供场地和基本设备，并管制用户或消费者的人数，他们必须互相合作，但也可能是同一家公司。

IEEE 802.21

前面所介绍的WISPr漫游技术是Wi-Fi所制定和提倡的。不过，对用户在IEEE 802.11/15/16/20系统之间的漫游切换问题，WIPSr显然是无法完全解决的。因此，在2004年3月IEEE 802.21工作小组正式被成立，它就是为了使行动装置在不同网路之间漫游时，能自动选择最好用的网路连接类型，并无缝地切换通讯路径，而且不需要用户插手。

802.21工作小组成立的一个重要原因是，目前的行动IP在执行漫游时，会存在：不容易「发现目标网路（discover target network）」和网路延时…等问题，该工作小组将致力于网路底层（第一、二层）的改良，来克服这些问题。

IEEE 802.21能够解决802系列中各种有线、无线、固定、行动网路（Wi-Fi、WiMAX和有线的乙太网路…等），以及行动电话之间，使用行动IP通讯协定执行漫游和切换作业所产生的问题。这种技术符合「全IP化」的发展趋势，具有优越的性能。

结语

目前有人预言，未来的漫游切换标准（IEEE 802.21）可能会在一至三年内正式制定完成。在这段等待的时间里，WISPr技术可能就是WISP、热点营运商、企业的唯一选择。而本文所介绍的漫游伺服器、漫游闸道器、漫游用户端正是采用WISPr标准的具体表现。

WISPr标准的特色是，对网路上层的作业，规定的很清楚，但是并没有对网路底层做规范。因此，当IEEE 802.21标准完成之后，为了促成PWLAN网路和其它现存网路的通讯，WISPr的网路底层势必要新增或换成具有IEEE 802.21功能的介面。如此才能真正实现「全IP化」的理想。

＜作者联络方式：su2b08@saturn.seed.net.tw＞