Để hỗ trợ người dùng Mobile IP, kiến trúc Cisco VPN trên cần được bổ
sung hai thành phần sau đây để tạo nên kiến trúc Cisco Mobile VPN: - Bộđịnh tuyến HA Router (Home Agent Router).
- Phần mềm Mobile IP Client cho nút Mobile VPN.
Để xây dựng các mạng thực tế theo kiến trúc này, các thiết bị định tuyến của Cisco từ dòng thiết bị định tuyến Cisco 1700 Series tới dòng thiết bị Cisco 7200 series đều có thể giữ vai trò là các HA router. Phần mềm hệ điều hành mạng Cisco IOS trong các dòng sản phầm hiện tại (Cisco IOS Release 12.4) đã hỗ trợ
Mobile IP. Do đó, các dòng thiết bị định tuyến này đều có thể được sử dụng làm HA. Bộ phận Mobile IP Client tại nút di động – người dùng Mobile IP – có thể sử
dụng phần mềm Cisco Mobile Client.
Thành phần HA sẽđóng vai trò một “điểm neo” cho mỗi nút Mobile VPN (từ đây, tài liệu này sẽ gọi ngắn gọn là MN). Cho dù MN nằm ởđâu, phần còn lại của mạng đều xem như MN vẫn đang ở tại mạng thường trú của nó. Do đó các gói tin hướng tới MN sẽ được chuyển tới HA. Tiếp đó, HA sẽ chuyển tiếp các gói tin tới vị trí thực tế của MN thông qua tunnel Mobile IP giữa bản thân HA và MN.
Thành phần phần mềm Mobile IP Client sẽ làm nhiệm vụ thiết lập tunnel Mobile IP. Khi phần mềm khởi động, nó sẽ kết nối tới HA đểđăng ký vị trí hiện tại của MN. Quá trình đăng ký này sẽ tạo nên tunnel Mobile IP giữa HA và MN. Hai
đầu của tunnel này là địa chỉ IP của HA và địa chỉ CCOA (Care-of-Address) của MN. Khi HA nhận thấy các gói tin gửi tới MN, HA sẽ bổ sung vào gói tin các tiêu
đề thích hợp và chuyển nó tới đầu bên kia của tunnel.
4.3.3. Cơ chế tương hỗ giữa IPsec và Mobile IP
Về mặt logic, MN được xem như vẫn đang ở trong mạng thường trú. Khi MN khởi tạo một IPsec tunnel, thì về mặt logic, tunnel này được tạo giữa địa chỉ thường trú của MN và IPsec VPN Gateway của chính MN. Bởi vì HA biết rằng MN
thực ra ở tại đầu kia của Mobile IP tunnel, HA chỉ cần mở rộng IPsec tunnel thông qua Mobile IP tunnel tới MN.