Sự khác biệt cơ bản trong phương thức này là đường liên kết từ GGSN tới nút mạng tương ứng được bảo vệ bằng công nghệ đường hầm. Điều đó có nghĩa là các ch c n ng nh xác th c và n nh c tính có th tri n khai h p lý trên c s h
tầng của nhà khai thác di động như minh họa trên hình 3.2.
Trong hình 3.2, một kết nối IPsec đơn giản được thấy giữa GGSN và điểm truy nhập tới mạng công ty. Máy chủ xác thực người sử dụng cũng có thể cung cấp dịch vụ người sử dụng quay số vào truy nhập từ xa ( RADIUS – Remote-access dial-in user service) với khả năng cho nhiều người sử dụng. Điều này cho phép nhà khai thác chạy máy chủ tại dịa điểm của mình nhưng cho phép mỗi người sử dụng duy trì và quản lý cơ sở người sử dụng thuê bao của anh ta theo cách mà một nhà cung cấp dịch vụ ứng dụng thực hiện. GGSN có thể cũng hỗ trợ các nhóm địa chỉ trên cơ sở nhiều khách hàng và là hỗ trợ các không gian nhiều địa chỉ thông qua DHCP.
Hình 3.2: GPRS không trong suốt
Trong cấu hình này, việc xác thực và ấn định đặc tính ngày càng có thể xảy ra ởđịa điểm xảy ra của nhà cung cấp dịch vụ khách hàng hoặc công ty. Trong trường hợp này, GGSN trong mạng nhà khai thác đóng vai trò như bộ phận tập trung truy nhập L2TP ( LAC ) và tạo ra một đường hầm L2TP được bảo vệ theo IPsec tới máy
chủ VPN đích ( hình 3.3).
Để dành được truy nhập qua mạng này, người sủ dụng cần nhập tên và mật khẩu của anh ta vào thiết bị di động. Các thông tin này sau đó được gửi tới máy chủ xác thực phù hợp như được cấu hình trong định nghĩa APN không trong suốt cho VPN công ty.
Hình 3.3: Truy nhập GPRS không trong suốt với L2TP Được bảo vệ theo IPsec
Thanh toán và cung cấp
Trong cả hai trường hợp, một bản ghi thanh toán kiểu RADIUS với tên người sử dụng và mật khẩu định hướng dữ liệu được viết ra ( đối nghịch với bản ghi dựa trên IMSI được viết ra trong trường hợp trong suốt ) . Trong trường hợp L2TP được bảo vệ theo IPsec điều này làm cho hệ thống GPRS của nhà khai thác trông giống như một bộ tập trung truy nhập khác vào phương tiện của một nhà cung cấp dịch vụ đã được thiết lập. Sự tồn tại của các bản ghi tính cước theo kiểu RADIUS, gắn với tên người sử dụng giúp cho nhà cung cấp dịch vụ hoặc nhà khai thác dịch vụ dễ
dàng hơn trong việc lập hóa đơn tích hợp, bao gồm các mô hình tính cước theo thời gian kết nối hoặc dung lượng được sử dụng.
Trong phương thức không trong suốt, nhà khai thác không phải phân bổ không gian địa chỉ cho thuê bao. Một và chỉ một địa chỉđược ấn định cho thiết bị di động của người sử dụng từ không gian địa chỉ công ty của người sử dụng. Do đó, địa chỉ thường trú của người sử dụng di động được sở hữu và kiểm soát bởi tổ chức của anh ta chứ không phải một bên thứ ba.
Với phương thức không trong suốt, GGSN của nhà khai thác được kết nối đến mạng Internet công cộng với cùng một mức bảo an như trường hợp đó. Nhiệm vụ chủ yếu của nhà khai thác là quản lý dung lượng và chất lượng của mạch này.
Tượng tự trong mô hình toàn trình ( trong đó người sử dụng cần tải phần mềm máy khách trên máy PC của họ để truy nhập tới mạng công ty của họ ), nhà khai khác di động có một thị trường đặt trước điều kiện cho các dịch vụ VPN đối với các khách hàng đã từng sử dụng VPN qua các công nghệ khác. Các công ty trong điều kiện này đã vận dụng cơ sở hạ tầng VPN riêng của họ ( các máy chủ có chức năng đánh địa chỉ và xác thực ). Một chiến lược kinh doanh khôn ngoan ởđây có thể là hợp tác với một nhà cung cấp VPN chuyên nghiệp để bổ sung phần truy nhập vô tuyến vào hồ sơ dịch vụ.
Một khác biệt so với mô hình toàn trình nêu trên là không cần triển khai phần mềm trên các thiết bị được kết nối tới nhà khai thác di dộng. Với một VPN không trong suốt, người sử dụng bị hạn chế và không được tự do chuyển vùng tới các dịch vụ Internet khác ( trừ khi được phép truy nhập qua kết nối Internet của họ ).
Khía cạnh bảo an
Đường hầm không trong suốt kết nối mạng lõi của nhà khai thác tới máy chủ VPN của công ty có thể sử dụng công nghệ IPsec và do đó cũng có thể triển khai mã hóa mạnh. Tuy nhiên, mã hóa này, không thực hiện trên toàn trình. Dữ liệu chuyển tự do đến mạng của nhà khai khác dịch vụ và được mã hóa bởi giao thức
mã hóa vô tuyến dành riêng ( với chiều dài mã 56 bit ) qua giao diện không gian. Một thiết bị di động đầy đủ chức năng có thể gia tăng khả năng bảo an ( sử dụng mã 56 bit và giao thức lớp cổng bảo đảm ( SSL – Secure Socket Layer ) với bất kỳ số nào của cơ chế toàn trình, bao gồm SSL hoặc IPsec phương thức vận chuyển ).
Một khía cạnh bảo an quan trọng cho bất kỳ tổ chức nào sử dụng truy nhập GPRS không trong suốt là khi người sử dụng được xác thực, họ trở thành một phần của môi trường Intranet và được coi là nằm trong bức tường lửa của công ty. Do đó, tổ chức đó không phải để lộ ra Internet công cộng bất kỳ máy chủ tương ứng nào do chỉ những người sử dụng đã được xác thực mới có thể truy cập tới các ứng dụng VPN.