MIP cung cấp một trong số cỏc mức di động, trong khi vẫn giữ nguyờn địa chỉ IP của MS khi MS thay đổi PDSN phục vụ của mỡnh. Khi khụng hỗ trợ dịch vụ MIP vỡ bất cứ một lý do nào, dịch vụ IP đơn giản được sử dụng. Trong IP đơn giản, cỏc phiờn PPP do mỏy di động khởi xướng được kết cuối tại PDSN theo cỏch giống như MIP. Tuy
nhiờn nếu MS sử dụng IP đơn giản cần thay đổi PDSN phục vụ, thỡ phiờn PPP bị kết thỳc và MS phải nhận được một địa chỉ IP mới khi nhập vào PDSN phục vụ mới.
Cỏc nhà cung cấp thiết bị hạ tầng cdma2000 đó rất cố gắng giải quyết vấn đề này trờn cỏc lớp vật lý và liờn kết. Một giải phỏp thụng dụng là kết nối hoàn toàn cỏc PCF (Packet Control Function: Chức năng điều khiển gúi) vào cỏc PDSN. Giải phỏp này sẽ đảm bảo rằng MS luụn neo tại một PDSN ngay cả khi PCF phục vụ nú thay đổi. Cú thể thực hiện được điều này vỡ kết nối PPP được thiết lập giữa MS và PDSN và nếu mạng cơ sở cú thể giữ nguyờn sự tồn tại kết nối này thỡ phiờn PPP vẫn được bảo toàn. Bằng cỏch đú, địa chỉ IP của MS khụng đổi và thậm chớ cú thể giữ nguyờn khi chuyển qua biờn giới MSC. Mặc dự phải tốn kộm đường trục và cỏc hạn chế ấn định địa chỉ IP, giải phỏp này chỉ hoạt động trong thời gian phiờn. Núi một cỏch khỏc sau khi mất phiờn cần cú cỏc địa chỉ IP động mới và sau đú được MS đặt lại nhất là khi vựng phủ hẹp. Vỡ thế IP đơn giản khụng được coi là phương phỏp truy nhập chủ yếu cung cấp cho cỏc khỏc hàng cdma2000 VPN khi họ đũi hỏi cung cấp cỏc mẫu di động cao trong cỏc yờu cầu sử dụng dịch vụ của mỡnh. Do cỏc hạn chế này, cỏc thuờ bao hóng sử dụng cỏc mỏy di động làm việc ở chế độ IP đơn giản thường khụng thể nhận được dịch vụ MVPN thực sự. Trong nhiều trường hợp cỏc MS kết nối với cỏc mạng cdma2000 trong chế độ IP đơn giản khụng thể duy trỡ cả cỏc kết nối bắt buộc lẫn tự nguyờn, nếu PDSN phục vụ thay đổi. Đối với cỏc người sử dụng "khụng may mắn" này, cú thể phỏng tạo cảm giỏc MVPN bằng cỏc ứng dụng được thiết kế đặc biệt hay cỏc tăng cường hạ tầng đặc biệt (sẽ bàn trong phần sau), nhưng khụng bao giờ được hỗ trợ thực sự tại lớp mạng. Ngoài trở ngại trờn, việc chuyển mạng đến cỏc mạng sử dụng cỏc cụng nghệ khỏc cũng sẽ là cỏc vấn đề lớn. Vỡ thế cú thể phõn loại trường hợp IP đơn giản vào loại VPN vụ tuyến thỡ đỳng hơn là MVPN. Túm lại, truy nhập IP đơn giản chỉ tối ưu cho truy nhập đến cỏc mạng đũi hỏi di động hạn chế hoặc khụng di động.
3.2.2.1. Kiến trỳc VPN của IP đơn giản
Ta đi xột mụ hỡnh kiến trỳc IP đơn giản như cho trờn hỡnh 3.12.
Giống như cỏc mạng truy nhõp từ xa hữu tuyến, phiờn PPP do MS khởi xướng được kết cuối bởi NAS (trong trường hợp này chức năng của NAS được hỗ trợ bởi PDSN ) và sau đú được chuyển tiếp qua tunnel đến điểm cuối tunnel phớa xa nằm sau tường lửa trong mạng riờng. Giao thức truyền tunnel được khuyến nghị bởi IS 835 trong trường hợp này là L2TP đó được trỡnh bầy trong chương 2. Chức năng LAC (L2TP Access Concentrator) do PDSN hỗ trợ sẽ đúng bao phiờn PPP của MS và mang nú trờn một mạng IP đến LNS (L2TP Network Server) phớa xa. Đến lượt mỡnh LNS kết cuối liờn kết PPP trong mạng riờng.
Hỡnh 3.12. Mụ hỡnh kiến trỳc của IP VPN đơn giản
VPN vụ tuyến dựa trờn IP đơn giản với L2TP khởi đầu từ PDSN cú thể được coi là loại truyền tunnel bắt buộc. Liờn kết PPP của người sử dụng di dộng được chuyển tiếp qua một L2TP tunnel đến một LNS ở xa nơi kết cuối liờn kết PPP. LNS kết hợp với AAA Server nhà đảm bảo cỏc chức năng nhận thực sơ cấp và ấn định địa chỉ để cho phộp cỏc người sở hữu mạng riờng điều khiển nhận thực MS và ấn định địa chỉ (vỡ thế nhà khai thỏc cú thể cung cấp dịch vụ mà khụng cần lo đến cỏc cụng việc này). PDSN và AAA Server khỏc liờn kết với nú chỉ cần hoàn thiện cỏc đàm phỏn CHAP để phỏt hiện địa chỉ của LNS riờng. Khỏc với MIP, phương phỏp truy nhập IP đơn giản khụng yờu cầu HA (Home Agent) nhưng vẫn dựa trờn hạ tầng AAA phõn bố dựa trờn bộ mụi giới (Brocker) để truy nhập cỏc AAA Server ở xa liờn kết với LNS trong cỏc mạng riờng. Chi tiết về hệ thống con cdma2000 AAA và cỏc tựy chọn ấn định địa chỉ IP sẽ được xột muộn hơn trong chương này. Nếu dịch vụ VPN khụng được yờu cầu trong giai đoạn đàm phỏn IP, PDSN trở thành một phần tử chịu trỏch nhiệm cho ấn định địa chỉ IP và nhận thực người sử dụng.
Mụ hỡnh tham khảo giao thức IP VPN đơn giản được cho trờn hỡnh 3.13. Trờn hỡnh này, L2TP được tăng cường bởi bảo vệ IPSec tựy chọn. Cỏc nhà khai thỏc vụ tuyến thường ưa thớch tựy chọn này, vỡ như đó xột trong chương 2, bản thõn L2TP khụng phải là giao thức an ninh và khụng đảm bảo an ninh số liệu và nhận thực nguồn gốc số liệu. Truyền tunnel L2TP là phương thức mềm dẻo, quen thuộc với cỏc phũng IT trờn toàn thế giới và thường được sử dụng để đảm bảo cỏc dịch vụ đặc biệt như truy nhập từ xa bằng phương tiện của hóng khỏc, truy nhập IP diện rộng v.v.. đến cỏc đối tỏc thứ ba: ISP và ASP.
Hỡnh 3.13. Mụ hỡnh tham khảo giao thức IP VPN đơn giản
VPN dựa trờn IP cũng cú thể được cỏc nhà khai thỏc vụ tuyến sử dụng để cho phộp cỏc người sử dụng được chọn (cỏn bộ bảo dưỡng ) truy nhập đến intranet riờng của họ. Chẳng hạn cỏc kỹ thuật viờn hiện trường của nhà khai thỏc sẽ cú khả năng truy nhập thụng tin hệ thống quan trọng hay quột hỏi trạng thỏi của một số cỏc phần tử hạ tầng và cỏc chức năng bỏo cỏo lỗi. Mạng con intranet riờng này sẽ gồm cả LNS riờng, cỏn bộ bảo dưỡng cú thể truy nhập đến LNS này bằng cỏch nhập tổ hợp tờn người sử dụng/NAI. Vỡ cỏc bản tin thanh toỏn cho truy nhập này chứa NAI (Network Access Indentifier) được cỏn bộ của hóng khai thỏc vụ tuyến sử dụng, nờn hệ thống tớnh cước của hóng khai thỏc cú thể xử lý cỏc bản tin này như "khụng tớnh cước" hay tớnh cước nội bộ với biểu cước riờng từ cỏc dịch vụ khỏc.
3.2.2.2. Kịch bản cuộc gọi IP VPN đơn giản
Ta xột chuỗi thiết lập kết nối IP VPN đơn giản được mụ tả trờn hỡnh 3.14. Lưu ý là kịch bản này coi rằng MS được nhập vào mạng nhà, nghĩa là mạng nơi địa chỉ IP ban đầu được ấn định.
Tồn tại hai giai đoạn thiết lập kết nối VPN: Giữa MS và PDSN phục vụ và thiết lập phiờn L2TP để đúng bao lưu lượng PPP giữa chức năng LAC và LNS trong mạng riờng. Do cỏc nhà cung cấp thiết bị ngày càng cú xu thế kết hợp cỏc chức năng của PDSN và LAC trờn cựng một nền tảng duy nhất và để đơn giản ta sẽ núi về kết hợp này ở dạng PDSN/LAC trong chương này.
Tại đầu giai đoạn 1, đường truyền vụ tuyến được thiết lập giữa MS và BSS và sau đú lớp liờn kết được thiết lập giữa MS và PCF. Để nhận thực người sử dụng, PDSN yờu cầu nhận thực đến AAA Server địa phương. AAA Server gửi trả lời nhận thực để chỉ ra rằng yờu cầu cú được tiếp nhận hay khụng. Bản tin từ AAA Server cũng chứa kiểu tunnel (L2TP trong trường hợp của ta) và địa chỉ IP nơi nhận của LNS trong mạng riờng. Nếu người sử dụng được nhận thực đỳng, truy nhập mạng riờng được cho phộp và liờn kết PPP được thiết lập.
Hỡnh 3.14. Thiết lập kết nối IP VPN đơn giản
Trong giai đoạn sau, PDSN/LAC tạo lập một tunel L2TP đến LNS trong mạng riờng (nếu trước khi sự kiện này xẩy ra nú chưa cú) để tạo ra một phiờn duy nhất cho lưu lượng của một người sử dụng. Sau khi đàm phỏn bằng LCP bổ sung và nhận thực, LNS cú thể ấn định địa chỉ IP cho MS từ khụng gian cỏc địa chỉ thuộc sở hữu của mạng riờng thụng qua RADIUS và DCHP hay cỏc cơ chế ấn định địa chỉ động khỏc tại giai đoạn thiết lập NCP. Tiếp theo, LNS tỏch ra cỏc đầu đề bao và định tuyến gúi IP đến mỏy trạm nơi nhận trong mạng riờng của nú. Tại hướng ngược lại cỏc gúi IP từ mỏy trạm cần gửi đến MS sẽ đến LNS. Ở đõy chỳng được đúng bao vào cỏc khung PPP và được gửi đến PDSN/LAC, nơi neo giữ MS thụng qua tunnel L2TP. PDSN/LAC loại bỏ tiờu đề L2TP và chuyển cỏc khung PPP đến MS. Như đó núi ở trờn, IPSec cú thể được tăng cường trong trường hợp này để bảo vệ an ninh cho cỏc tunnel L2TP bằng chế độ truyền tải ESP. Nếu MS thay đổi vị trớ và nhập đến một PDSN khỏc, cần phải làm lại toản bộ thủ tục núi trờn và cỏc địa chỉ IP mới cú thể được ấn định, điều này cú thể bất tiện cho nhiều thuờ bao sử dụng dịch vụ MVPN.