Cú thể thực hiện tất cả cỏc IP VPN bằng cỏch sử dụng cỏc phương phỏp truyền tunnel cơ sở:
Đầu cuối-đầu cuối, hay tự ý.
Dựa trờn mạng (network-based), hay bắt buộc.
Cỏc tunnel trung gian.
Đối với cỏc VPN dựa trờn phương thức truyền tunnel ta cú thể phõn loại chỳng thành tự ý (voluntary), bắt buộc (compulsory) hay kết hợp (combined). Bõy giờ ta xột cụ thể hơn cả ba phương phỏp này.
2.4.1.1. VPN tự ý
IP VPN tự ý cho phộp cỏc người sử dụng ở xa cú thể thiết lập một tunnel từ thiết bị đầu cuối của mỡnh, chẳng hạn cỏc mỏy điện thoại di động hay cỏc PDA, đến một điểm kết cuối tunnel xỏc định, chẳng hạn một cổng VPN đặt trong mạng riờng. Cỏc mạng riờng thường được bảo vệ bằng cỏc tường lửa, như vậy cần cú cỏc cơ chế vượt qua tường lửa và cỏc cơ chế an ninh đối với cỏc người dựng hợp lệ, (chẳng hạn nhận thực người sử dụng, toàn vẹn số liệu và bảo mật) ỏp dụng cho lưu lượng truy nhập từ xa. Vỡ thế cỏc thiết bị của người sử dụng ở xa phải hỗ trợ cỏc giao thức thớch hợp để thỏa món cỏc yờu cầu này. Chẳng hạn một người sử dụng ở xa được trang bị PDA cú thể thiết lập một tunnel IPSec ESP đến mạng của hóng bằng cỏch sử dụng phõn phối khoỏ dựa trờn PKI (được gọi là phương phỏp khúa khụng đối xứng). Tất cả số liệu giữa cỏc trạm di động và mạng riờng khi này phải được đúng bao trong tunnel IPSec đầu cuối-đầu cuối đảm bảo an ninh. Truyền tunnel đầu cuối-đầu cuối trong trường hợp này chỉ tồn tại trong thời gian của phiờn và bị cắt kết nối khi người sử dụng khụng yờu cầu truy nhập mạng riờng hoặc dựa trờn một tập cỏc sự kiện quy định như thời gian phiờn hay cỏc giới hạn quyền truy nhập.
Kiểu dịch vụ VPN này được mụ tả trờn hỡnh 2.2. Dịch vụ VPN trờn hỡnh này sử dụng truy nhập quay số trờn mạng GSM cho một mạng riờng sau khi đó được nhà khai thỏc vụ tuyến cho phộp truy nhập Internet.
Bộ xử lý gúi số liệu di động 2G IWF Chuyển mạch CS MSC BSC Internet Modem (truyền số liệu di động CS) GSM RAN Tunnel IPSec Cổng VPN Hỡnh 2.4. VPN tự ý trờn mạng TTDĐ 2G
Lưu ý rằng cả truy nhập vụ tuyến và hữu tuyến đến Internet đều cho phộp người sử dụng chuyển mạng sử dụng kiểu VPN này, "tự ý" mở một kờnh thụng tin đến mạng riờng khi họ cần, do đú phương phỏp này cú tờn là VPN tự ý.
VPN tự ý cú một số ưu điểm, đối với cỏc nhà quản lý IT mạng riờng và đối với cỏc người sử dụng ở xa, đõy là cỏch đơn giản nhất để thiết lập truy nhập VPN từ xa. Cỏc người sử dụng ở xa chỉ việc truy nhập vào Internet hoặc một mạng IP cụng cộng bất kỳ và một VPN client trong thiết bị cố định hoặc di động của họ. Điều duy nhất mà phũng IT của mạng riờng phải làm là cung cấp một cổng VPN nối đến Internet và cú khả năng kết cuối một kiểu truyền tunnel nhất định và thiết lập một tập cỏc chớnh sỏch và cỏc thủ tục an ninh. Nhà cung cấp dịch vụ truy nhập Internet khụng thể truy nhập vào số liệu từ đầu cuối-đầu cuối đó được mật mó húa giữa người sử dụng đầu xa và mạng riờng, vỡ thế sẽ khụng xẩy ra xõm hại số liệu. VPN tự ý cũng khụng đũi hỏi bất kỳ quan hệ nào được thiết lập trước giữa cỏc hóng và cỏc nhà cung cấp dịch vụ. Vỡ thế sẽ khụng cú cỏc SLA và cỏc thỏa thuận quy định về bảo mật số liệu. Tuy nhiờn người sử dụng và hóng phải luụn sẵn sàng tiếp nhận dịch vụ truy nhập mạng mặc dự khú dự bỏo trước dịch vụ này và thường chất lượng thấp hơn dịch vụ được cung cấp cho cỏc phớa khi sử dụng SLA, trừ phi nhà cung cấp cung cấp cỏc mức dịch vụ quy định trước ở dạng một tựy chọn truy nhập Internet "loại kinh doanh".
Cỏc VPN tự ý yờu cầu ấn định cỏc địa chỉ IP cụng cộng đỳng theo cấu hỡnh topo cho thiết bị của người sử dụng ở xa. Yờu cầu này (cựng với cỏc thuộc tớnh khỏc của truyền tunnel đầu cuối-đầu cuối) dẫn đến một số nhược điểm tiềm ẩn của dịch vụ VPN tự ý. Do số lượng địa chỉ IPv4 khả dụng đối với cỏc nhà cung cấp dịch vụ cú hạn (nhất là đối với cỏc nhà khai thỏc thụng tin di động vỡ họ phải cung cấp nối mạng IP "thường xuyờn" cho cỏc khỏch hàng của họ), nờn phải dựa trờn cỏc sơ đồ đỏnh địa chỉ riờng để bảo toàn khụng gian địa chỉ IP quý giỏ, kết hợp với cỏc cỏc kỹ thuật chia mạng con và phiờn dịch địa chỉ như NAT (Network Address Translation) là rất phổ biến. Thời gian gần đõy việc sử dụng cỏc địa chỉ IP cụng cộng này làm cho việc truyền tunnel đầu cuối-đầu cuối khụng khả thi. Chẳng hạn, chế độ IPSec AH khụng tương thớch với NAT và thậm chớ NAT cũn khụng cho phộp thiết lập tunnel. Tuy nhiờn mới đõy một số cơ chế cho phộp truyền qua NAT đó được IETF đưa ra và đang được sử dụng rộng rói trong cụng nghiệp. Ngoài ra sự xuất hiện mạng dựa trờn IPv6 và sự chuyển đổi dần sang IPv6 Internet trong tương lai sẽ giải quyết vấn đề thiếu hụt địa chỉ.
Một nhược điểm khỏc của VPN tự ý xuất phỏt từ bản chất của truyền tunnel đầu cuối-đầu cuối cú đảm bảo an ninh. Trong phương phỏp này, nội dung của cỏc gúi truyền tunnel được đúng bao và vỡ thế khụng thể kiểm tra tại cỏc nỳt trờn tuyến tunnel trừ cỏc điểm cuối tunnel. Vỡ thế QoS, CoS (Class of Service) và cỏc cơ chế tạo dạng lưu lượng đũi hỏi kiểm tra gúi tại nhiều điểm là khụng thể thực hiện được. Giỏm sỏt thiết bị và cỏc chức năng tường lửa cũng khụng làm việc tốt.
Khi cỏc MVPN được thực hiện trong một mụi trường thụng tin di động, truyền tunnel sẽ dẫn đến một lớp đúng bao bổ sung ở trờn đoạn truyền vụ tuyến chặng cuối cựng. Điều này sẽ tiờu tốn hơn cỏc tài nguyờn vụ tuyến đắt tiền và quớ hiếm. Ngoài ra mật mó húa và cỏc giải thuật an ninh phức tạp cú thể khụng phự hợp cho việc ỏp dụng trong cỏc thiết bị vụ tuyến nhỏ do khả năng xử lý và nguồn acqui cú hạn của chỳng. Hơn nữa cỏc điều kiện vụ tuyến dễ thay đổi và mụi trường vụ tuyến gõy tổn hao khụng thuận lợi cho việc thiết lập và bảo tồn cỏc IPSec tunnel. Điều này cú thể gõy ra thời gian thiết lập tunnel lõu hay trong cỏc trường hợp cực đoan dẫn đến sự cố hoàn toàn và dẫn đến phải chuyển đến vựng phủ súng tốt hơn. Lưu ý rằng điều này khụng chỉ ảnh hưởng lờn cỏc hệ thụng thụng tin di động mà cũn ảnh hưởng lờn cỏc mạng truy nhập dựa trờn WLAN.
Vỡ cỏc lý do trờn, nờn mặc dự truyền tunnel tự ý đảm bảo giải phỏp đầu cuối-đầu cuối an ninh và trong suốt để truy nhập đến cỏc mạng riờng, nhưng hiệu suất cao hơn của VPN và cỏc dịch vụ duy nhất lại chỉ cú thể đạt được với sự tham ra của cỏc nhà cung cấp dịch vụ dẫn đến việc đưa ra một kiểu VPN khỏc.
2.4.1.2. VPN bắt buộc
Nhà cung cấp dịch vụ cú thể cung cấp dịch vụ VPN bắt buộc bằng cỏch múc nối nhiều tunnel hay cung cấp một tunnel duy nhất cho một đoạn của tuyến số liệu giữa hai điểm cuối tham dự. Chẳng hạn, VPN bắt buộc cú thể được xõy dựng trờn một tunnel được tạo lập giữa mạng riờng và nhà cung cấp dịch vụ mà khụng kộo dài trờn toàn tuyến số liệu đến người sử dụng ở xa sử dụng dịch vụ này. Vỡ thế với dịch vụ VPN bắt buộc, người sử dụng ở xa khụng cần tham dự vào quỏ trỡnh thiết lập VPN mà bị "buộc" sử dụng dịch vụ được cung cấp trước mỗi khi cần truy nhập đến mạng và đõy cũng là tờn của phương phỏp này.
Kiểu VPN này cho rằng cơ sở hạ tầng mạng của nhà khai thỏc cú tớnh năng thụng minh và cỏc chức năng cần thiết để hỗ trợ cỏc dịch vụ VPN dựa trờn tunnel hay cỏc tập tunnel được trang bị giữa mạng riờng và cỏc mạng của nhà cung cấp dịch vụ và tunnel khụng tồn tại trờn toàn tuyến đến tận người sử dụng đầu cuối. Trong cả hai trường hợp, hóng (hay xớ nghiệp) phải thiết lập một SLA chi tiết với nhà cung cấp dịch vụ chịu trỏch nhiệm về dịch vụ VPN và phải tin tưởng nhà cung cấp dịch vụ trong việc xử lý số liệu giỏ trị với trỏch nhiệm và bớ mật cần thiết. Nhà cung cấp dịch vụ thường tham dự vào điều khiển truy nhập mạng và hóng phải tin tưởng nhà cung cấp này trong việc từ chối truy nhập đối với cỏc người sử dụng trỏi phộp theo chớnh sỏch truy nhập mạng do nhà quản lý mạng hóng quy định. Hỡnh 2.5 cho thấy thớ dụ kịch bản ỏp dụng VPN bắt buộc trong cdma2000. Trong hỡnh này số liệu của người sử dụng chỉ được đúng bao vào MIP tunnel giữa PDSN của cdma2000 của nhà cung cấp dịch vụ và HA thuộc sở của hóng.
cdma 2000 RAN
Internet Mạng
hóng
PSDN/FA HA
Cỏc tunnel bắt buộc (MIP)
Lưu lượng khụng được bảo vệ
Hỡnh 2.5. VPN bắt buộc
Việc phải cú một đoạn tuyến số liệu riờng khụng được bảo vệ, phải tin vào nhà cung cấp dịch vụ và thiết lập cỏc SLA và cỏc thỏa thuận bảo mật số liệu phức tạp là một số cỏc nhược điểm của VPN bắt buộc. Trong mụi trường di động, cỏc vấn đề an ninh thậm chớ quan trọng hơn, vỡ lưu lượng được phỏt trờn cỏc kờnh vụ tuyến khú đảm bảo an ninh. Khi chuyển mạng số liệu gúi, lưu lượng khụng được bảo vệ đến và đi từ mỏy di động phải đi qua mạng khỏch (mạng cú thể khụng thiết lập SLA với hóng ở mạng nhà) trước khi được truyền tunnel đến mạng khởi xướng. Nếu cú cỏc đoạn truyền khụng an ninh trong mạng này, đặc biệt là cỏc đoạn khụng được mật mó húa trong đường trục, cú thể xẩy ra cỏc vấn đề an ninh nghiờm trọng. Rất khú xử lý cỏc vấn đề này trừ phi nhà cung cấp cài đặt dịch vụ một cỏch cẩn thận. Vớ dụ cỏc IPSec tunnel cổng-cổng tại cỏc điểm quan trọng của mạng cú thể giải quyết vấn đề này.
Ưu điểm của phương phỏp bắt buộc đú là sử dụng tốt hơn giao diện vụ tuyến nhờ khụng cần chi phớ cho đúng bao trờn giao diện vụ tuyến, điều này đặc biệt cú lợi cho cỏc hệ thống thụng tin di động và nhờ đú đơn giản húa thiết bị của người sử dụng. Khi sử dụng VPN bắt buộc, thiết bị người sử dụng đầu cuối khụng phải hỗ trợ bất kỳ một VPN client nào hoặc phải truyền tunnel hoặc phải cú khả năng an ninh vỡ cỏc client này đũi hỏi CPU xử lý mạnh và tiờu thụ nguồn. Ngoài ra người sử dụng khụng tham gia vào việc tạo lập VPN và chỉ cần yờu cầu dịch vụ khi truy nhập mạng của nhà cung cấp dịch vụ.
VPN bắt buộc cú nhiều ưu điểm giỏ trị khỏc đối với cỏc nhà cung cấp dịch vụ. Chào hàng và tiếp thị VPN bắt buộc như là một tớnh năng cú thể sẽ cho phộp cỏc mụ hỡnh dịch vụ mới và cung cấp cỏc dịch vụ kờnh mang mới. Với phương phỏp tự ý, cỏc nhà cung cấp dịch vụ khụng tham dự vào quỏ trỡnh cung cấp thậm chớ nhiều khi cũng khụng biết về sự tồn tại lưu lượng được đúng gúi và được mật mó húa, nếu như họ khụng cung cấp cỏc điểm truy nhập đến Internet liờn quan đến cỏc địa chỉ IP cú khả năng định tuyến cụng cộng hay cỏc thiết bị nối ngang NAT. Trỏi lại, cung cấp truy nhập VPN bắt buộc cú thể được cỏc nhà cung cấp dịch vụ mang tiếp thị ở cỏc dạng khỏc nhau cho cỏc hóng (xớ nghiệp) riờng và cỏc ISP quan tõm đến việc phỏt đi cỏc chức năng truy nhập xa của họ. Điều này sẽ đem lại cỏc lợi nhuận mới và khả năng phõn biệt lớn hơn giữa cỏc chào hàng dịch vụ cạnh tranh.
Một lợi ớch khỏc của VPN bắt buộc đối với cỏc nhà cung cấp dịch vụ là cú thể kiểm soỏt lớn hơn đối với người sử dụng. Trong mụ hỡnh bắt buộc, nhà cung cấp dịch vụ thường tham dự vào nhận thực và ấn định địa chỉ IP, như vậy họ cú thể kiểm soỏt phần
lớn việc cung cấp cho người sử dụng. Cỏc địa chỉ IP thường được ấn định đến người sử dụng ở xa từ khụng gian địa chỉ riờng của mạng khỏch hàng vỡ thế tiết kiệm được sự sử dụng cỏc địa chỉ IP định tuyến cụng cộng từ phớa nhà cung cấp.
2.4.1.3. VPN tunnel múc nối
Kiểu VPN thứ ba khụng thể coi là VPN bắt buộc hay tự ý mà được gọi là VPN tunnel múc nối (Chainned Tunnel VPN). VPN này bao gồm một tập cỏc tunnel múc nối để kộo dài toàn bộ đường truyền đến thiết bị đầu cuối. VPN tunnel múc nối cú thể cú nhiều dạng như thấy trờn hỡnh 2.6. Hỡnh này cho thấy một số cỏch múc nối tunnel trong mạng GPRS.
Giống như phương phỏp tự ý, VPN tunnel múc nối đảm bảo bảo vệ số liệu đầu cuối- đầu cuối của người sử dụng và người sử dụng tham gia vào khởi đầu tunnel. Giống như VPN bắt buộc, nhà cung cấp dịch vụ tham dự vào cung cấp và cấu trỳc VPN tunnel múc nối và cú thể dễ dàng ỏp dụng QoS và tạo dạng lưu lượng tại cỏc điểm múc nối tunnel. Tuy nhiờn sự tham gia này khụng cần SLA và cỏc thỏa thuận xử lý số liệu.
Mỏy di động SGSN SGSN CN GGSN Internet/ PLMN khỏc Mỏy trạm GTP/IPSec (Gp) MPLS IPSec GTP (Gn) PPTP GTP (Gp) L2TP/IPSec L2TP
Hỡnh 2.6. Một số tựy chọn VPN múc nối (trong mụi trường GPRS).
Cỏc dạng VPN núi trờn đều cú cỏc ưu và nhược và sẽ đồng thời tồn tại trong cỏc mạng riờng tương lai. Cỏc nhà cung cấp dịch vụ cú thể cung cấp chỳng tựy thuộc vào cụng nghệ khả dụng, khả năng phự hợp với nhiệm vụ và mụi trường kinh doanh