a. VPN tự ý
IP VPN tự ý cho phép các người sử dụng ở xa có thể thiết lập một tunnel từ thiết bị đầu cuối của mình, chẳng hạn các máy điện thoại di động hay các PDA, đến một điểm kết cuối tunnel xác định, chẳng hạn một cổng VPN đặt trong mạng riêng. Các mạng riêng thường được bảo vệ bằng các tường lửa, như vậy cần có các cơ chế vượt qua tường lửa và các cơ chế an ninh đối với xliv
các người dùng hợp lệ, (chẳng hạn nhận thực người sử dụng, toàn vẹn số liệu và bảo mật) áp dụng cho lưu lượng truy nhập từ xa. Vì thế các thiết bị của người sử dụng ở xa phải hỗ trợ các giao thức thích hợp để thỏa mãn các yêu cầu này. Chẳng hạn một người sử dụng ở xa được trang bị PDA có thể thiết lập một tunnel IPSec ESP đến mạng của hãng bằng cách sử dụng phân phối khoá dựa trên PKI (được gọi là phương pháp khóa không đối xứng). Tất cả số liệu giữa các trạm di động và mạng riêng khi này phải được đóng bao trong tunnel IPSec đầu cuối-đầu cuối đảm bảo an ninh. Truyền tunnel đầu cuối-đầu cuối trong trường hợp này chỉ tồn tại trong thời gian của phiên và bị cắt kết nối khi người sử dụng không yêu cầu truy nhập mạng riêng hoặc dựa trên một tập các sự kiện quy định như thời gian phiên hay các giới hạn quyền truy nhập.
Kiểu dịch vụ VPN này được mô tả trên Hình 2.6. Dịch vụ VPN trên hình này sử dụng truy nhập quay số trên mạng GSM cho một mạng riêng sau khi đã được nhà khai thác vô tuyến cho phép truy nhập Internet.
Hình 2.6. VPN tự ý trên mạng TTDĐ [2]
Lưu ý rằng cả truy nhập vô tuyến và hữu tuyến đến Internet đều cho phép người sử dụng chuyển mạng sử dụng kiểu VPN này, "tự ý" mở một kênh thông tin đến mạng riêng khi họ cần, do đó phương pháp này có tên là VPN tự ý.
VPN tự ý có một số ưu điểm, đối với các nhà quản lý IT mạng riêng và đối với các người sử dụng ở xa, đây là cách đơn giản nhất để thiết lập truy nhập VPN từ xa. Các người sử dụng ở xa chỉ việc truy nhập vào Internet hoặc một mạng IP công cộng bất kỳ và một VPN client trong thiết bị cố định hoặc di động của họ. Điều duy nhất mà phòng IT của mạng riêng phải làm là cung cấp một cổng VPN nối đến Internet và có khả năng kết cuối một kiểu truyền tunnel nhất định và thiết lập một tập các chính sách và các thủ tục an ninh. Nhà cung cấp dịch vụ truy nhập Internet không thể truy nhập vào số liệu từ đầu cuối-đầu cuối đã được mật mã hóa giữa người sử dụng đầu xa và mạng riêng, vì thế sẽ không xẩy ra xâm hại số liệu. VPN tự ý cũng không đòi hỏi bất kỳ quan hệ nào được thiết lập trước giữa các hãng và các nhà cung cấp dịch vụ. Vì thế sẽ không có các SLA và các thỏa thuận quy định về bảo mật số liệu. Tuy nhiên người sử dụng và hãng phải luôn sẵn sàng tiếp nhận dịch vụ truy nhập mạng mặc dù khó dự báo trước dịch vụ này và thường chất lượng thấp hơn dịch vụ được cung cấp cho các phía khi sử dụng SLA, trừ phi nhà cung cấp cung cấp các mức dịch vụ quy định trước ở dạng một tùy chọn truy nhập Internet "loại kinh doanh".
Các VPN tự ý yêu cầu ấn định các địa chỉ IP công cộng đúng theo cấu hình topo cho thiết bị của người sử dụng ở xa. Yêu cầu này (cùng với các thuộc tính khác của truyền tunnel đầu cuối-đầu cuối) dẫn đến một số nhược điểm tiềm ẩn của dịch vụ VPN tự ý. Sự thiếu hụt địa chỉ IP v4 do các thiết bị di động kết nối Internet thường xuyên, vì thế các nhà cung cấp phải dựa trên các sơ đồ đánh địa chỉ riêng để bảo toàn không gian địa chỉ IP quý giá, kết hợp với các các kỹ thuật chia mạng con và phiên dịch địa chỉ như NAT (Network Address Translation).
Một nhược điểm khác của VPN tự ý xuất phát từ bản chất của truyền tunnel đầu cuối-đầu cuối có đảm bảo an ninh. Trong phương pháp này, nội dung của các gói truyền tunnel được đóng bao và vì thế không thể kiểm tra tại các nút trên tuyến tunnel trừ các điểm cuối tunnel. Vì thế QoS, CoS (Class of xlvi
Service) và các cơ chế tạo dạng lưu lượng đòi hỏi kiểm tra gói tại nhiều điểm là không thể thực hiện được. Giám sát thiết bị và các chức năng tường lửa cũng không làm việc tốt.
Khi các MVPN được thực hiện trong một môi trường thông tin di động, truyền tunnel sẽ dẫn đến một lớp đóng bao bổ sung ở trên đoạn truyền vô tuyến chặng cuối cùng. Điều này sẽ tiêu tốn hơn các tài nguyên vô tuyến đắt tiền và quí hiếm. Ngoài ra mật mã hóa và các giải thuật an ninh phức tạp có thể không phù hợp cho việc áp dụng trong các thiết bị vô tuyến nhỏ do khả năng xử lý và nguồn acqui có hạn của chúng.
Vì các lý do trên, nên mặc dù truyền tunnel tự ý đảm bảo giải pháp đầu cuối-đầu cuối an ninh và trong suốt để truy nhập đến các mạng riêng, nhưng hiệu suất cao hơn của VPN và các dịch vụ duy nhất lại chỉ có thể đạt được với sự tham gia của các nhà cung cấp dịch vụ dẫn đến việc đưa ra một kiểu VPN khác [4].
b. VPN bắt buộc
Nhà cung cấp dịch vụ có thể cung cấp dịch vụ VPN bắt buộc bằng cách móc nối nhiều tunnel hay cung cấp một tunnel duy nhất cho một đoạn của tuyến số liệu giữa hai điểm cuối tham dự. Chẳng hạn, VPN bắt buộc có thể được xây dựng trên một tunnel được tạo lập giữa mạng riêng và nhà cung cấp dịch vụ mà không kéo dài trên toàn tuyến số liệu đến người sử dụng ở xa sử dụng dịch vụ này. Vì thế với dịch vụ VPN bắt buộc, người sử dụng ở xa không cần tham dự vào quá trình thiết lập VPN mà bị "buộc" sử dụng dịch vụ được cung cấp trước mỗi khi cần truy nhập đến mạng và đây cũng là tên của phương pháp này.
Kiểu VPN này cho rằng cơ sở hạ tầng mạng của nhà khai thác có tính năng thông minh và các chức năng cần thiết để hỗ trợ các dịch vụ VPN dựa trên tunnel hay các tập tunnel được trang bị giữa mạng riêng và các mạng của nhà cung cấp dịch vụ và tunnel không tồn tại trên toàn tuyến đến tận người sử
dụng đầu cuối. Trong cả hai trường hợp, hãng (hay xí nghiệp) phải thiết lập một SLA chi tiết với nhà cung cấp dịch vụ chịu trách nhiệm về dịch vụ VPN và phải tin tưởng nhà cung cấp dịch vụ trong việc xử lý số liệu giá trị với trách nhiệm và bí mật cần thiết. Nhà cung cấp dịch vụ thường tham dự vào điều khiển truy nhập mạng và hãng phải tin tưởng nhà cung cấp này trong việc từ chối truy nhập đối với các người sử dụng trái phép theo chính sách truy nhập mạng do nhà quản lý mạng hãng quy định.
Hình 2.7. Mô hình VPN bắt buộc [2]
Việc phải có một đoạn tuyến số liệu riêng không được bảo vệ, phải tin vào nhà cung cấp dịch vụ và thiết lập các SLA và các thỏa thuận bảo mật số liệu phức tạp là một số các nhược điểm của VPN bắt buộc. Trong môi trường di động, các vấn đề an ninh thậm chí quan trọng hơn, vì lưu lượng được phát trên các kênh vô tuyến khó đảm bảo an ninh. Khi chuyển mạng số liệu gói, lưu lượng không được bảo vệ đến và đi từ máy di động phải đi qua mạng khách (mạng có thể không thiết lập SLA với hãng ở mạng nhà) trước khi được truyền tunnel đến mạng khởi xướng. Nếu có các đoạn truyền không an ninh trong mạng này, đặc biệt là các đoạn không được mật mã hóa trong đường trục, có thể xẩy ra các vấn đề an ninh nghiêm trọng. Rất khó xử lý các vấn đề này trừ phi nhà cung cấp cài đặt dịch vụ một cách cẩn thận. Ví dụ các IPSec tunnel cổng-cổng tại các điểm quan trọng của mạng có thể giải quyết vấn đề này.
Ưu điểm của phương pháp bắt buộc đó là sử dụng tốt hơn giao diện vô tuyến nhờ không cần chi phí cho đóng bao trên giao diện vô tuyến, điều này đặc biệt có lợi cho các hệ thống thông tin di động và nhờ đó đơn giản hóa
thiết bị của người sử dụng. Một lợi ích khác của VPN bắt buộc đối với các nhà cung cấp dịch vụ là có thể kiểm soát lớn hơn đối với người sử dụng. Trong mô hình bắt buộc, nhà cung cấp dịch vụ thường tham dự vào nhận thực và ấn định địa chỉ IP, như vậy họ có thể kiểm soát phần lớn việc cung cấp cho người sử dụng. Các địa chỉ IP thường được ấn định đến người sử dụng ở xa từ không gian địa chỉ riêng của mạng khách hàng vì thế tiết kiệm được sự sử dụng các địa chỉ IP định tuyến công cộng từ phía nhà cung cấp [4].
c. VPN tunnel móc nối
Kiểu VPN thứ ba không thể coi là VPN bắt buộc hay tự ý mà được gọi là VPN tunnel móc nối (Chainned Tunnel VPN). VPN này bao gồm một tập các tunnel móc nối để kéo dài toàn bộ đường truyền đến thiết bị đầu cuối. VPN tunnel móc nối có thể có nhiều dạng. Hình này cho thấy một số cách móc nối tunnel trong mạng GPRS.
Hình 2.8. Một số tùy chọn VPN móc nối (trong môi trường GPRS) [2]
Giống như phương pháp tự ý, VPN tunnel móc nối đảm bảo bảo vệ số liệu đầu cuối-đầu cuối của người sử dụng và người sử dụng tham gia vào khởi đầu
tunnel. Giống như VPN bắt buộc, nhà cung cấp dịch vụ tham dự vào cung cấp và cấu trúc VPN tunnel móc nối và có thể dễ dàng áp dụng QoS và tạo dạng lưu lượng tại các điểm móc nối tunnel. Tuy nhiên sự tham gia này không cần SLA và các thỏa thuận xử lý số liệu [4].