Dịch vụ MIP VPN được tiờu chuẩn húa bởi TIA và 3GPP2 để giải quyết nhiều nhược điểm của giải phỏp dựa trờn IP đơn giản bằng cỏch duy trỡ cỏc địa chỉ MIP khụng đổi khi MS chuyển động trong vựng được phục vụ bởi nhiều PDSN. Vỡ thế, cú thể coi MIP VPN là một dịch vụ thực sự di động theo phõn loại trong chương 2. MIP VPN cú thể được thực hiện theo hai cỏch trong cỏc hệ thống cdma2000 như hỡnh 3.15.
Cỏch thứ nhất (được gọi là HAVPN cụng cộng từ xa) coi rằng HA được đặt trong mạng riờng khỏc với mạng của nhà khai thỏc và được kết nối với một PDSN đặt trong mạng miền của nhà khai thỏc thụng qua một MIP tunnel thụng minh. Cỏch thứ hai (được gọi là HA VPN riờng địa phương) coi rằng HA được đặt trong cựng intranet như PDSN và thuộc sở hữu cũng như được bảo dưỡng bởi nhà khai thỏc vụ tuyến. Cỏc dịch vụ VPN trong trường hợp này sẽ được hỗ trợ bởi kết hợp của cỏc tunnel MIP và cỏc tựy chọn truyền tải (chẳng hạn chuỗi cỏc tunnel khỏc nhau, cỏc đường thuờ riờng hay cỏc ATM PVC). Trong phần tiếp theo ta sẽ xột cả hai phương phỏp này.
3.2.3.1. Phương phỏp HA VPN cụng cộng
Phương phỏp MIP VPN được trỡnh bầy cụ thể trong cỏc tiờu chuẩn IETF, 3GPP2 và TIA/EIA. Phương phỏp này cú triển vọng sẽ là kịch bản chớnh được hỗ trợ bởi phần lớn cỏc nhà khai thỏc cung cấp dịch vụ MVPN.
Như được trỡnh bầy trờn hỡnh 3.16, trong phương phỏp này tất cả cỏc lưu lượng đường xuống (đến MS) khởi đầu trong mạng riờng sẽ được truyền tunnel đến HA đặt trong mạng riờng, sau đú đến PDSN nằm trong mạng của nhà khai thỏc vụ tuyến.
Hỡnh 3.15. Cỏc phương phỏp MIP VPN
Lưu lượng đường lờn (khởi xướng từ MS) được truyền tunnel đến PDSN trong mạng nhà khai thỏc vụ tuyến, sau đú đến HA trong mạng khỏch hàng. Để vậy, PDSN cú thể thiết lập tunnel ngược tựy chọn theo định nghĩa trong [RFC3220]. Cả tunnel thuận và ngược đều dựa trờn cỏc giao thức IP/IP hay GRE và cú thể được kết hợp với tựy chọn IPSec.
Hỡnh 3.16. Kiến trỳc HA VPN cụng cộng
Địa chỉ IP của MS được ấn định từ khụng gian địa chỉ của mạng khỏch hàng, đỏnh địa chỉ cú thể dựa trờn cỏc sơ đồ đỏnh địa chỉ IP cụng cộng hoặc riờng để giảm nhẹ cụng việc quản lý địa chỉ IP của nhà cung cấp dịch vụ truy nhập vụ tuyến (giống như trong trường hợp IP VPN đơn giản). Theo định nghĩa trong [IS835], địa chỉ HA trong mạng riờng được phỏt hiện bằng cỏch sử dụng NAI trong RRQ khi HA được ấn định tĩnh (ấn định HA động sẽ được xột trong phần "Quản lý địa chỉ IP cdma2000" ở chương này). Trong trường hợp đú, MS phải đăng ký với cả AAA server khỏch và nhà và trải qua một thủ tục AAA với tham gia của cỏc AAA client trong cả PDSN và HA.
An ninh HA VPN cụng cộng
Cỏc MIP tunnel đến và từ cỏc mạng riờng (được thiết lập thụng qua cỏc mạng IP như Internet) thường khụng an ninh và đũi hỏi bảo vệ an ninh giống như trường hợp đối với cỏc tunnel L2TP trong trường hợp IP đơn giản. Cú thể cung cấp bảo vệ an ninh này bằng bộ giao thức IPSec cựng với một cơ chế phõn phối cỏc khúa như IKE (Internet Key Exchange) đó xột trong chương 2. Hỡnh 3.17 cho thấy một mụ hỡnh tham khảo giao thức cho phương phỏp VPN này.
HA cần phải kiểm tra nhận dạng cỏc PDSN của nhà khai thỏc vụ tuyến vỡ chỳng sẽ truy nhập đến số liệu của người sử dụng khụng được bảo vệ trong thời gian phiờn. PDSN cũng cần phải kiểm tra nhận dạng của HA để lưu lượng của người sử dụng khụng bị chuyển sai dến một vị trớ khụng an toàn chưa biết trước. Trong trường hợp HA VPN cụng cộng, HA thuộc sở hữu và được khai thỏc bởi mạng riờng mà người sử dụng nhận được truy nhập và HA này sẽ quản lý cả an ninh và di động của người sử dụng bằng cỏch tạo ra cỏc liờn kết an ninh động với cỏc PDSN phục vụ thay đổi.
Hỡnh 3.17. Ngăn xếp giao thức HA VPN cụng cộng
Thụng thường cỏc nhà khai thỏc vụ tuyến triển khai an ninh IP để truyền thụng liờn vựng và để bảo vệ bỏo hiệu MIP. Nhằm giảm thiểu hơn nữa khả năng vi phạm an ninh, cú thể mật mó húa lưu lượng đến và đi từ HA bằng cỏch sử dụng một trong số cỏc kỹ thuật được giới thiệu trong chương 2. PDSN cú thể quyết định ỏp dụng chớnh sỏch nào dựa trờn thụng số của RADIUS về mức an ninh theo định nghĩa trong [IS825]. Trong quỏ trỡnh thiết lập tunnel an ninh IP giữa PDSN và HA, IKE được sử dụng để kiểm tra nhận dạng của PDSN và HA. Khúa liờn kết an ninh cú thể là:
+ Một số bớ mật được lập cấu hỡnh tĩnh cho việc mở rộng nhận thực MIP HA-FA. + Một số bớ mật dựng chung IKE được lập cấu hỡnh động.
+ Một số bớ mật dựng chung IKE động được AAA nhà phõn phối. + PKI với cỏc chứng chỉ.
Theo thứ tự ưu tiờn thỡ đầu tiờn là mở rộng nhận thực MIP HA-FA, sau đú là số bớ mật IKE tĩnh, rồi đến số bớ mật dựng chung được phõn phối động và cuối cựng là chứng chỉ PKI. Tiờu chuẩn [IS835] hiện nay chi phối hầu hết cỏc yờu cầu của hạ tầng lừi cdma2000 đũi hỏi cung cấp trước khoỏ dựng chung MN-HA. Thụng tin lập khúa được phõn phối trong quỏ trỡnh đăng ký AAA phải được bảo vệ chống nghe trộm. Nếu một kẻ tấn cụng cú thể tỡm được cỏc khoỏ này, nú cú thể thực hiện cỏc tấn cụng từ chối dịch vụ hay ăn cắp chỳng là cỏc MN. Bảo vệ này cú thể được cung cấp trờn cơ sở từng chặng, chẳng hạn bằng cỏch sử dụng IPSec giữa cỏc AAA server khỏch trong phần cũn lại của hạ tầng AAA.
Khi sử dụng liờn kết khúa bớ mật dựng chung, trao đổi giai đoạn đầu được nhận thực bằng cỏc mó nhận thực bản tin. Sử dụng cỏc khoỏ bớ mật dựng chung cú thể đơn giản khi khai thỏc, vỡ nú trỏnh được cần thiết xử lý và xỏc nhận cỏc chứng chỉ. Tuy nhiờn cỏc liờn kết này cú thể đưa vào tải bổ sung vỡ phải thiết lập chỳng trong cỏc cặp PDSN-HA. Vỡ thế, [IS835] cung cấp một cơ chế cho phõn phối khoỏ dựng chung động thụng qua hạ tầng AAA trong quỏ trỡnh đăng ký MN. Trong khi AAA nhà xử lý và xỏc
nhận khẩu lệnh-trả lời, nú cú thể tạo ra một bớ mật dựng chung và phõn phối nú bằng trả lời của AAA đến PDSN. Khi này PDSN cú thể sử dụng bớ mật này cựng với một nhận dạng được cấu trỳc từ trả lời để thực hiện đàm phỏn với HA. Điều này cho phộp thiết lập IPSec an ninh giữa PDSN và HA với lập cấu hỡnh tự động cho cỏc khúa giữa tất cả cỏc cặp cú thể cú.
Nếu tunnel ngược được hỗ trợ bởi HA theo chỉ thị của AAA Server trong thuộc ngữ (thụng số) của RADIUS ở đặc tả tunnel ngược [IS835], an ninh IPSec được cho phộp đối với số liệu truyền tunnel. Cỏc tunnel ngược được thiết lập khi nỳt di động thiết lập bit "T" trong yờu cầu đăng ký của nú. Điều này dẫn đến tất cả cỏc gúi gửi đi từ MN được đúng bao và được chuyển đến HA bởi PDSN. Cỏc tunnel này cho phộp MN sử dụng cỏc địa chỉ riờng khụng duy nhất, và tựy theo yờu cầu của miền nhà cỏc tunnel ngược (cũng như cỏc tunnel thuận) cú thể được bảo vệ bởi IPSec.
3.2.3.2. HA VPN riờng
Cỏc nhà khai thỏc cú thể khụng muốn mở rộng ý tưởng chia sẻ hạ tầng số liệu của họ với phần cũn lại của thế giới giống như mụ hỡnh HA VPN cụng cộng. Điều này cú thể đặc biệt gõy lỳng tỳng khi một số phần tử hạ tầng như HA thuộc sở hữu phớa thứ ba được nối đến mạng lừi của họ qua Internet cụng cộng dựng chung. Ngoài ra cỏc cỏc nhà khai thỏc cú thể khụng muốn từ bỏ việc kiểm soỏt quản lý thuờ bao của mỡnh và do dự trở thành chỉ là cỏc nhà cung cấp truy nhập số liệu vụ tuyến. Cỏc vấn đề này rất quan trọng đối với cỏc nhà khai thỏc GPRS và cỏc cơ quan tiờu chuẩn như 3GPP đó khuyến nghị họ đặt tất cả cỏc phần tử cơ sở hạ tầng GPRS trong miền của nhà khai thỏc. Tương tự như cỏc nhà khai thỏc GPRS và UMTS, cỏc nhà khai thỏc cdma2000 đang triển khai tựy chọn HA VPN riờng cũng sở hữu cả PDSN và cỏc phần tử hạ tầng HA.
Trong khi cần phải đảm bảo cỏc khối lượng lớn dung lượng HA trong mạng của nhà khai thỏc vụ tuyến cho việc sử dụng khụng phải VPN, thỡ việc sử dụng cỏc HA của nhà khai thỏc cho cỏc dịch vụ VPN vẫn chưa được cỏc tiờu chuẩn đề cập và vỡ thế cần phõn tớch một cỏch kỹ lưỡng. Đường truyền số liệu thuờ bao cdma2000 phải gồm cả PDSN và HA (ớt nhất là ở một chiều). Lưu lượng số liệu đường xuống phải đi qua HA trong mạng nhà của MS và PDSN phục vụ. Lưu lượng đường lờn (từ MS) phải đi qua PDSN chỉ khi MS yờu cầu truy nhập Internet thụng thường và qua cặp PDSN/HA được kết hợp bởi MIP tunnel ngược nếu MS yờu cầu truy nhập mạng riờng. Để thỏa món cỏc yờu cầu này, cỏc nhà khai thỏc vụ tuyến phải triển khai đủ dung lượng HA để hỗ trợ cỏc MIP MS mỗi khi chỳng yờu cầu truy nhập mạng riờng hay chỉ yờu cầu truy nhập Internet thụng thường.
Chỉ khi đó cú cơ sở hạ tầng HA đủ lớn như vậy, cỏc nhà khai thỏc vụ tuyến muốn điều khiển tối đa việc hỗ trợ thuờ bao mới cú thể hoàn toàn cấm truy nhập đến cỏc HA trong cỏc mạng riờng, bằng cỏch buộc tất cả lưu lượng đến và từ cỏc mạng riờng đi qua
cỏc HA của mỡnh sau đú chuyển chỳng giữa cỏc mạng riờng thụng qua việc sử dụng cụng nghệ khỏc như hỡnh 3.18. Trong trường hợp này, cỏc mạng riờng khụng cần duy trỡ HA và kết cuối cỏc MIP tunnel. Thay vào đú, nhà khai thỏc vụ tuyến và mạng riờng phải dựa trờn một tập cỏc tunnel (hay cỏc cụng nghệ khỏc) múc nối nhau tại HA thuộc sở hữu của mỡnh kết hợp với cỏc thỏa thuận đồng cấp riờng và cỏc SLA để cú thể cung cấp VPN an ninh.
Hỡnh 3.18. Kiến trỳc HA VPN riờng và ngăn xếp
Cỏc quy tắc triển khai HA VPN riờng hoàn toàn khỏc với cỏc quy tắc HA VPN cụng cộng và dẫn đến một số hệ quả đối với cỏc nhà khai thỏc. Cú thể biện luận rằng HA VPN riờng cú thể đơn giản việc ấn định địa chỉ IP cho cỏc người sử dụng di động nhờ việc chỉ một thực thể (nhà khai thỏc vụ tuyến) thực hiện điều khiển thủ tục này, ngoài ra ớt nhất về mặt lý thuyết cỏc nhà khai thỏc này cú thể kết hợp quỏ trỡnh ấn định địa chỉ vào một vị trớ: Một tổ hợp HA giả định kết hợp với kho địa chỉ IP và cỏc DCHP và AAA server siờu cỡ. Ngoài ra cỏc nhà khai thỏc vụ tuyến vẫn được quyền điều khiển việc cung cấp cho người sử dụng và cả an ninh lưu lượng bỏo hiệu lẫn tải tin, vỡ thế cú thể giảm thiểu cỏc nguy hiểm vi phạm an ninh mạng lừi của họ. Tuy nhiờn điểm đỏng quan tõm ở đõy đối với cả nhà khai thỏc mới và lõu đời là cỏc nhược điểm của
giải phỏp này (nếu khụng đỏnh giỏ quỏ) ngang bằng với cỏc ưu điểm. Ta cú thể kể ra một số nhược điểm. Cỏc nhà khai thỏc thiờn về HA VPN riờng cú thể gập phải gỏnh nặng cung cấp cho khỏch hàng (hoàn toàn tham gia vào kinh doanh kiểu ISP và cạnh tranh) với việc phải chịu trỏch nhiệm cung cấp hàng triệu địa chỉ IP cho cỏc người sử dụng di động của mỡnh và phải chuẩn bị hạn chế cỏc cung cấp của họ đối với hóng và từ bỏ cỏc ưu điểm và tớnh đơn giản của HA VPN cụng cộng được xõy dựng trờn tiờu chuẩn.
Trỏch nhiệm ấn định địa chỉ IP cú thể đặt nhà khai thỏc cdma2000 vào tỡnh thế khú xử. Cỏc nhà khai thỏc này phải quyết định cú nờn cung cấp cho cỏc thuờ bao của họ một địa chỉ cụng cộng hoặc riờng "khụng đỳng theo cấu hỡnh topo" hay cả hai. Cả hai trường hợp đều cú cỏc vấn đề như nhau. Cỏc địa chỉ IPv4 cụng cộng là tài sản quý giỏ và khụng chắc đó cú hàng triệu. Cú thể đỏnh địa chỉ riờng là cỏch giải quyết dễ hơn, nhưng cỏch này sẽ ngăn chặn cỏc thuờ bao di động truy nhập cỏc mạng riờng sử dụng VPN tự nguyờn dựa trờn truyền tunnel đầu cuối-đầu cuối, vỡ nú đũi hỏi cỏc địa chỉ IP định tuyến cụng cộng (trừ phi sử dụng cỏc sơ đồ truyền ngang NAT phức tạp và khụng được định nghĩa thớch hợp). Trong mọi trường hợp, cỏc khỏch hàng sẽ cú cảm giỏc buộc phải sử dụng cỏc HA VPN riờng và thường kộo theo cỏc thỏa thuận bắt buộc giữa khỏch hàng và nhà khai thỏc rằng đõy chỉ là tựy chọn cho truy nhập intranet riờng.
Một thỏch thức quan trọng khỏc liờn quan đến HA VPN riờng là việc cần thiết tạo lập hạ tầng chuyển mạch tunnel xung quanh HA. Tỡnh trạng này khụng được đề cập trong cỏc tiờu chuẩn và sẽ đũi hỏi một khung kiến trỳc mới liờn quan đến cỏc nhà khai thỏc vụ tuyến lẫn cỏc hóng khỏch hàng của họ. Việc tạo khung như vậy sẽ khụng phải là một cụng việc dễ vỡ nú liờn quan đến cỏc kiểu định nghĩa SLA mới, cỏch sắp xếp tớnh cước mới và cỏc yờu cầu mới đối với cỏc nền tảng HA để hỗ trợ chuyển mạch tunnel và cỏc cụng nghệ WAN trờn phạm vi nhà khai thỏc cựng với cỏc nhiệm vụ khỏc.
Kiến trỳc mẫu trờn hỡnh 3.18 cú thể dựa trờn một trong cỏc cụng nghệ truyền tunnel được IETF định nghĩa chằng hạn IPSec được triển khai trong chế độ tunnel hay kết hợp với MPLS. Trong kịch bản này, cỏc MIP tunnel đến và đi từ cỏc PDSN phõn bố theo lónh thổ phải kết cuối tại HA riờng trong mạng của nhà khai thỏc và sau đú múc nối với cỏc IPSec tunnel được tạo lập cho từng hóng với giả thiết đó cú cỏc quan hệ quy định trước với nhà khai thỏc. Kịch bản này coi rằng khụng chỉ ấn định địa chỉ IP mà cả nhận thực cỏc MS đều được thực hiện trong mạng của nhà khai thỏc. Như đó đề cập, 3GPP đó định nghĩa rừ ràng tựy chọn PPP Relay (chuyển tiếp PPP) ở phương phỏp truy nhập IP khụng trong suốt cho trường hợp "chuyển mạch tunnel" trong GPRS và UMTS, đõy cú thể sẽ là một trong số cỏc tựy chọn VPN phổ biến. Một phương phỏp khỏc cú thể dựa trờn sử dụng cỏc đường riờng hay ATM hay cỏc PVC chuyển tiếp khung để truyền số liệu người sử dụng đến và từ mạng hóng.
Ta sẽ kết thỳc phần này bằng bàn luận về một trong những vấn đề được tranh luận nhiều nhất của giải phỏp HA VPN, vấn đề này khụng liờn quan đến cụng nghệ mà liờn quan đến cảm nhận của cộng đồng kỹ thuật về giải phỏp này. Cỏc cơ quan tiờu chuẩn như IETF MIP Working Group ( cơ quan này định nghĩa kiến trỳc cỏc hệ thống MIP và AAA) và TIA [TR45.6] (định nghĩa mạng lừi số liệu gúi cdma2000) nghiờn cứu tiờu chuẩn với giả thiết về tớnh trong suốt của mạng truy nhập và tớnh độc lập tương đối của thuờ bao với cỏc cỏc nhà cung cấp truy nhập. Cỏc nghiờn cứu của họ tập trung lờn cỏc phương phỏp truy nhập mạng riờng dựa trờn IP cụng cộng cho IP đơn giản hay MIP, cả hai phương phỏp này đều dành quyền điều khiển cho xớ nghiệp ở mức độ nhất định đối với việc cung cấp dịch vụ cho người sử dụng.
Cỏc nghiờn cứu này đưa ra giả thiết rằng cỏc mạng riờng muốn cung cấp cho cỏc thành viờn của mỡnh truy nhập di động phải cú khả năng đạt được mục đớch này thụng qua một tập cỏc thỏa thuận dựa trờn cỏc tiờu chuẩn với cỏc nhà khai thỏc vụ tuyến với điều kiện cỏc nhà khai thỏc này khụng làm mất quyền tham gia của họ vào AAA, ấn định địa chỉ IP và cỏc chức năng quản lý người sử dụng ở xa. Như vậy trong khi khụng vi phạm trực tiếp cỏc tiờu chuẩn truy nhập mạng riờng của cdma2000, phương phỏp HA VPN riờng hoạt động chống lại tinh thần của cỏc tiờu chuẩn này. Cỏc tranh luận