Như đó núi ở mở đầu của phần này, MVPN bắt buộc dựa trờn cỏc nguyờn tắc giống như VPN hữu tuyến. Tuy nhiờn trong khi VPN hữu tuyến dựa trờn một tunnel cố định duy nhất (hay rất ớt khi trờn một tập cỏc tunnel múc nối cố định), thỡ MVPN ỏp dụng trong mụi trường di động khụng như vậy và dựa trờn tổ hợp cỏc tunnel động hỗ trợ di động và cỏc tunnel cố định ở phớa hữu tuyến. Để đạt được chức năng này (được gọi là
chuyển mạch truyền tunnel động) cỏc nhà khai thỏc vụ tuyến phải triển khai cỏc phần tử
hạ tầng thụng minh cú khả năng hỗ trợ nhiều loại kỹ thuật truyền tunnel.
Chuyển mạch tunnel là một khỏi niệm khỏ mới, đầu tiờn được cỏc nhà cung cấp thụng tin số liệu hữu tuyến đưa ra để cạnh tranh trong thị trường cỏc dịch vụ IP. Cỏc thiết bị hỗ trợ khả năng chuyển mạch tunnel phải cú thể định tuyến số liệu đi qua cỏc tập tunnel bằng cỏch kết cuối cỏc tunnel mang số liệu và khởi đầu cỏc tunnel đúng bao số liệu ra. Điều này thường được xõy dựng trờn một tập cỏc chớnh sỏch được cung cấp trong mạng hay trong cỏc thiết bị cỏ lẻ bởi cỏc nhà khai thỏc vụ tuyến đại diện cho cỏc khỏch hàng kinh doanh. Một lựa chọn khỏc, thay vỡ sử dụng cỏc tunnel, cú thể triển khai một mạng riờng cú cỏc đường vật lý thuờ riờng hay cỏc VC ATM hay chuyển tiếp khung giữa cổng truy nhập của nhà khai thỏc vụ tuyến và hóng. Tuy nhiờn phương phỏp đường thuờ riờng này sẽ làm mất đi lợi thế giỏ cả của VPN và việc dễ dàng quản lý và cung cấp, điều này rất quan trọng trong mụi trường di động.
MVPN bắt buộc cú thể được ỏp dụng theo cỏc cỏch khỏc nhau phụ thuộc vào mẫu di động cho phộp. Chẳng hạn, cú thể xõy dựng một dịch vụ bắt buộc trong chế độ truy nhập IP đơn giản của cdma2000 khi di động của người sử dụng là hạn chế. Đõy là trường hợp thường xẩy ra đối với cỏc người kinh doanh khi truy nhập cỏc mạng của hóng từ cỏc điểm núng như nhà chờ sõn bay hay khỏch sạn. Dịch vụ này đũi hỏi thiết lập động một tunnel L2TP giữa PDSN phục vụ và mạng khỏc hàng. Thực tế, khụng thể phõn bổ một PDSN cụ thể nơi cú thể định nghĩa một tunnel bắt buộc cố định giữa hóng và nhà khai thỏc vụ tuyến, vỡ thuờ bao cú thể sử dụng mọi PDSN làm mạng truy nhập vụ tuyến nơi nú di chuyển đến.
Về mặt kiến trỳc, cú thể ỏp dụng dịch vụ bắt buộc trong cỏc hệ thống cdma2000 hay GPRS bằng cỏch cho phộp thiết bị là điểm cuối của cỏc giao thức hỗ trợ di động (như PDSN hay HA hay GGSN) cũng là điểm khởi đầu trao đổi lưu lượng với cỏc mạng khỏch hàng thụng qua một tập cỏc tunnel cố định.
2.6. KẾT LUẬN
Ta sẽ kết thỳc chương này bằng một biểu đồ mụ tả cõy phả hệ IP VPN (hỡnh 2.10). Mục đớch của chương này là nghiờn cứu cụng nghệ VPN núi chung, phõn loại cỏc thuật ngữ và sau đú bổ sung tớnh di động để giới thiệu MVPN. ở đõy chỳng ta đó nghiờn cứu cỏc thớ dụ tổng quan cỏc khả năng VPN như truyền tunnel và an ninh cũng như cỏc thớ dụ chớnh về cụng nghệ VPN, như cỏc site-to-site extranet và truy nhập từ xa sử dụng
phương tiện hóng khỏc. Hỡnh 2.10 tổng kết hầu hết cỏc nghiờn cứu được đề cập và tạo nờn một phõn cấp VPN rừ ràng. Phõn cấp này sẽ là nền tảng tốt cho cỏc nghiờn cứu trong cỏc chương sau đối với MVPN.
CHƯƠNG 3: GIẢI PHÁP MVPN CHO GPRS/UMTS VÀ CDMA2000
3.1. GIẢI PHÁP VPN CHO GPRS VÀ UMTS
Số liệu chuyển mạch kờnh CSD (Circuit-Switched Data) là một trong những tiờu chuẩn trong cỏc mạng thụng tin di động. Trong GSM, 9,6kbps và 14,4kbps là cỏc kờnh mang khả dụng. Tốc độ bit của cỏc kờnh này khụng đủ để cung cấp hỗ trợ phự hợp cho cỏc ứng dụng đũi hỏi băng thụng cao hiện nay. Tuy nhiờn chỳng được coi là đủ tại thời điểm khi GSM CSD được định nghĩa, vỡ tại thời điểm này tốc độ của cỏc modem hữu tuyến cũng là tương tự. Sau đú UMTS định nghĩa cỏc kờnh mang CSD 64kbps và cỏc tốc độ cao hơn. Cả kờnh mang cho cỏc dịch vụ số liệu gúi của GSM và UMTS đều do vựng PS của GPRS và UMTS hỗ trợ và đều cú thể được sử dụng để cung cấp cỏc dịch vụ số liệu và là nền tảng cho cỏc MVPN. Hiện nay CSD chủ yếu được phục vụ cho cỏc ứng dụng dựa trờn WAP.Triển khai cỏc VPN dựa trờn CSD khụng phải là hướng chớnh trong tương lai, vậy nờn trong chương này chỳng ta sẽ chỉ đi tỡm hiểu về cỏc cụng nghệ VPN dựa trờn cỏc giải phỏp số liệu gúi.
3.1.1. Cỏc giải phỏp cụng nghệ số liệu gúi
Cả hệ thống GSM/GPRS và UMTS đều cú khả năng cung cấp cỏc dịch vụ số liệu gúi. Hệ thống GSM trước đõy được thiết kế và tối ưu húa để hỗ trợ cỏc dịch vụ tiếng và số liệu kờnh đó được tăng cường cỏc khả năng số liệu gúi bằng cỏch bổ sung GPRS. Vỡ thế hệ thống GPRS khụng cung cấp thường xuyờn truyền dẫn tối ưu hoặc cung cấp hiệu năng cao cỏc dịch vụ số liệu thụng lượng lớn. Trỏi lại UMTS ngay từ đầu đó được thiết kế để hỗ trợ cỏc dịch vụ gúi số liệu thụng qua miền gúi PS của mỡnh, nờn sẽ truyền hiệu quả hơn và tốc độ số liệu cao hơn GPRS. Chương 1 đó trỡnh bầy kỹ về cỏc khả năng hỗ trợ dịch vụ số liệu gúi của GPRS và miền UMTS PS. Cỏc khỏc biệt về dịch vụ VPN giữa cỏc hệ thống GPRS và UMTS hầu như khụng đỏng kể đối với hầu hết cỏc trường hợp. Tuy nhiờn cú một số ngoại lệ là:
Một số tớnh năng mới được đưa vào cỏc tiờu chuẩn 3GPP R99 khụng cú trong cỏc hệ thống GPRS R99, như: nhiều mức QoS trờn một phiờn số liệu.
Chuyển tiếp DHCP tại GGSN và MIP FA được hỗ trợ tại GGSN.
Cỏc tớnh năng này mở rộng đỏng kể dải dịch vụ của cỏc nhà cung cấp dịch vụ và là đặc điểm chung cho cả hệ thống GPRS và UMTS từ R99 trở đi. Tuy nhiờn sau cỏc dịch vụ số liệu gúi R99, cỏc mạng sẽ khụng được tập trung lờn GSM/GPRS và vỡ thế cỏc khả năng này sẽ phổ biến hơn ở cỏc hệ thống UMTS. Vỡ cỏc lý do này nờn chương này sẽ chỉ núi về cỏc VPN chung của GPRS và miền UMTS PS. Khi một dịch vụ VPN chỉ ỏp dụng cho một phỏt hành hệ thống nào đú ta sẽ giải thớch cụ thể nú.
Trước hết ta sẽ tập trung lờn GGSN. GGSN được đặt giữa mạng vụ tuyến và cỏc mạng hữu tuyến giao diện với nú. Phần tử mạng này là chung cho cả cỏc hệ thống GPRS và UMTS. Đõy cũng là phần tử mạng quan trọng để đảm bảo cỏc dịch vụ số liệu tiờn tiến như MVPN. HLR, cỏc hệ thống AAA, cỏc SGSN, lý lịch người sử dụng và cỏc hệ thống con quản lý quan hệ khỏch hàng là cỏc phần tử quan trọng trong cung cấp cỏc dịch vụ IP, nhưng mức độ thụng minh của cỏc dịch vụ IP được tập trung tại GGSN, và đõy là điểm xử lý cỏc gúi của người sử dụng tại lớp mạng và cú thể ở cỏc lớp cao hơn. GGSN là phần tử mạng kết cuối cỏc GTP tunnel từ SGSN nơi cú người sử dụng khi người này di động trong mạng truy nhập vụ tuyến. GGSN cung cấp cỏc điểm truy nhập đến cỏc mạng số liệu gúi (PDN). Mỗi điểm truy nhập được nhận dạng thụng qua một tờn logic hay APN (Access Point Name). SGSN, tại thời điểm thiết lập phiờn, phõn giải APN thụng qua DNS thành một địa chỉ IP hay một danh sỏch cỏc địa chỉ IP trực thuộc một hay nhiều GGSN để cung cấp điểm truy nhập mong muốn. Thực tế, để đảm bảo tớnh khả dụng dịch vụ, để cú thể định cỡ hay chia sẻ tải, cần cho phộp phõn bố một điểm truy nhập dịch vụ tới nhiều GGSN. Điều này dẫn đến việc chọn lựa một địa chỉ IP để sử dụng cho việc thiết lập GTP tunnel. Giải thuật được sử dụng để chọn địa chỉ IP từ một danh sỏch cỏc địa chỉ IP được thực hiện bởi DNS. Nú cú thể là chọn theo thứ tự hay "chọn số thứ nhất và quột danh sỏch thay cho việc thử lại cựng một địa chỉ khi khụng cú trả lời từ GGSN".
Thiết lập GPRS tunnel là điểm để cung cấp cỏc dịch vụ VPN và dưới đõy ta sẽ giải thớch kỹ quỏ trỡnh này. Bản tin đầu tiờn được sử dụng để thiết lập GTP tunnel chứa nhận dạng người sử dụng, nhận được từ IMSI (International Mobile Subscriber Identity) hay MSISDN (Mobile Subscriber ISDN Number). Ngoài ra, nú cũn mang hai thụng tin quan trọng nữa: phần nhận dạng mạng (Network Identifier) của APN và chế độ chọn (Selection Mode). Cú thể nhận thực người sử dụng dựa trờn IMSI hay MSISDN, chẳng hạn bằng cỏch chuyển IMSI hay MSISDN và APN đến AAA server, cú thể kiểm tra thụng tin nhận dạng này khi nú đến từ mụi trường vụ tuyến. Là một bộ phận của quỏ trỡnh này, GGSN cú thể thu thụng tin lý lịch của người sử dụng ở dạng cỏc bản tin nhận được từ hệ thống con AAA. Sau đú thụng tin này cú thể được sử dụng tại GGSN để nhận cỏc thụng số và cỏc chớnh sỏch liờn quan đến dịch vụ IP từ cỏc cơ sở dữ liệu bờn ngoài như cỏc danh mục của LDAP và COPS, để cú thể thực hiện cỏc chớnh sỏch phự hợp.
Bộ phận NI (Network Identifier) của APN được sử dụng tại GGSN để liờn kết phiờn với một mạng ngoài tương ứng và quyết định phương phỏp nhận thực người sử dụng và giao thức sẽ được sử dụng (IPv4, IPv6 hay PPP), cũng như cú cần thiết xử lý phiờn PPP tại GGSN khụng, hay chỉ đơn giản chuyển tiếp đến một LNS qua một L2TP tunnel (trong trường hợp sau, GGSN sẽ hoạt động như một LAC). Ngoài ra tổ chức xử lý gúi, cỏc chớnh sỏch, cỏc địa chỉ IP của cỏc server bờn ngoài, thụng tin cấu hỡnh mỏy trạm và cỏc thụng tin khỏc cú thể được liờn kết với APN. Vỡ thế một GGSN mạnh cú thể cho
phộp lập cấu hỡnh một khối lượng thụng tin đỏng kể trờn một APN để quyết định cỏch xử lý cỏc phiờn đến cho từng nhu cầu của APN. Cú nhiều phương phỏp để chọn dịch vụ và lập cấu hỡnh như: lấy thụng tin cấu hỡnh từ miền mà một người sử dụng đặc tả cựng với tờn của người sử dụng tại thời điểm đăng nhập. Ta sẽ xột cỏc vấn đề này sau trong phần này.
Phần thụng tin về chế độ chọn (Selection Mode) được mang trong yờu cầu Create PDP Context (tạo lập ngữ cảnh PDP) sẽ quyết định cỏch thức đến của phiờn người sử dụng đối với một điểm truy nhập đặc thự, nghĩa là mạng (hay SGSN) cho phộp người sử dụng sử dụng APN theo tiờu chớ nào. Thực ra, APN cú thể do MS đặc tả hoặc mạng đặc tả (trong trường hợp mặc định, APN do SGSN đặc tả), hay là một bộ phận của lý lịch đăng ký thuờ bao và được tạo ra bởi MS hay bởi mạng. Trong phần sau chỳng ta sẽ nghiờn cứu kĩ hơn việc sử dụng chế độ chọn và cỏc điều kiện để nú hữu ớch khi cung cấp cỏc dịch vụ VPN an ninh.
Dựa trờn APN và việc tra cứu thụng tin xử lý phiờn được sử dụng để lập cấu hỡnh cho APN này, cỏc dịch vụ truy nhập mạng khỏc nhau cú thể được cung cấp tại GGSN. Cỏc dịch vụ này cú thể được phõn loại thành:
Kiểu IP PDP:
Simple IP (IP đơn giản).
IP với cỏc tựy chọn cấu hỡnh giao thức. Chuyển tiếp DHCP và MIPv4.
Kiểu PPP PDP (bắt đầu cú từ R98): Chuyển tiếp PPP.
PPP kết cuối tại GGSN.
Trong cỏc tiờu chuẩn, truy nhập trong suốt được định nghĩa là truy nhập khi GGSN khụng tham gia vào nhận thực người sử dụng. GGSN khụng yờu cầu server ngoài để nhận thực người sử dụng và nhận thực để truy nhập mạng chỉ đơn giản dựa trờn nhận thực mạng truy nhập vụ tuyến. Nhận thực mạng truy nhập vụ tuyến chỉ thực hiện khi người sử dụng đăng nhập PMM (Packet Mobility Management) tại SGSN hay khi người sử dụng thay đổi SGSN khi di chuyển (dựa trờn sự tin tưởng vào thụng tin nhận được từ SGSN cũ hay dựa trờn sự nhận thực lại của MS tại SGSN mới). Núi rộng ra, phương phỏp truy nhập này thuộc về chế độ IP đơn giản (phần dưới sẽ trỡnh bầy kỹ hơn chế độ truy nhập này). Nhưng ta sẽ chỉ ra rằng trong chế độ truy nhập IP cỏc server ngoài cũ cú thể được sử dụng và GGSN vẫn cú thể tham dự vào nhận thực người sử dụng.
Trong trường hợp này chỉ cú SIM (hay USIM) card trong MS là được nhận thực chứ khụng phải người sử dụng SIM. Ngay cả khi nhập số PIN khi khởi đầu MS để đảm bảo nhận dạng người sử dụng tại mức độ người sử dụng, thụng thường người sử dụng muốn bỏ qua giai đoạn này và lập cấu hỡnh MS theo nhớ tự động và sử dụng PIN, vỡ thế làm mất tớnh năng nhận thực mức độ người sử dụng cú trong hệ thống. Ngoài ra, PIN là một bớ mật dựng chung (nghĩa là mạng ngoài khụng thể nhận thực người sử dụng theo PIN
dựng cho nhận thực vụ tuyến). Vỡ thế cỏc mạng ngoài cung cấp "dịch vụ truy nhập trong suốt" phải dựa trờn quan hệ tin tưởng với nhà khai thỏc di động. (adsbygoogle = window.adsbygoogle || []).push({});
Trong cỏc tiờu chuẩn, truy nhập khụng trong suốt đề cập đến tất cả cỏc phương phỏp truy nhập khỏc khi GGSN cũng tham dự vào nhận thực người sử dụng. Tuy nhiờn sau khi hiểu chi tiết cỏc tiờu chuẩn, vẫn cũn nhiều vấn đề khụng rừ ràng liờn quan đến thế nào là trong suốt và khụng trong suốt. Thực chất, PPP Relay trờn cỏc L2TP tunnel cú vẻ theo phõn loại là truy nhập khụng trong suốt, tuy nhiờn nhận thực người sử dụng thường được thực hiện tại LNS khụng đặt tại GGSN vỡ thế, theo định nghĩa, ta phải coi đõy là một chế độ truy nhập trong suốt. Sau đõy ta sẽ xột cụ thể từng loại dịch vụ.