Theo phân tích hai mô hình Full-Mesh IPSecVPN và Hub-and-Spoke IPSecVPN, nhóm nghiên cứu ở Nhật Bản đã đề xuất mô hình IPSecVPN động tận dụng được các ưu điểm của cả hai này.[3]
Hình 3. 6. Mô hình VPN động
Theo mô hình đề xuất, khi số lượng cổng kết nối IPSec tham gia chưa nhiều thì hệ thống sẽ làm việc theo mô hình Hub-and-Spoke, nhưng khi số lượng kết nối tăng lên nhiều thì các yêu cầu kết nối mới sẽ được chuyển sang kết nối trực tiếp mà không đi qua Hub-GW, do đó mô hình này còn được gọi là mô hình lai (hybrid).
Để triển khai mô hình đề xuất, phương pháp thiết lập kết nối IPSec động sử dụng MOBIKE mở rộng. Hoạt động của MOBIKE có thể được mô tả tóm tắt như sau: nếu có một kết nối IPSec trên địa chỉ A và B, và một địa chỉ C thông báo cho B một thông báo hợp lệ của IKEv2 bao gồm “UPDATA_SA_ADDRESSES” sau đó kết nối IPSec sẽ chuyển từ địa chỉ thành C và B. C phải có giá trị liên kết an toàn (SA – security association) IKE hợp lệ để thông báo cho C theo IKEv2, và đó là điều cần thiết cho việc thông báo cho mỗi đầu kết nối MOBIKE_SUPPORTED khi IKE/IPSec được thiết lập. Chức năng chính của MOBIKE là cho phép chuyển mạch kết nối giữa nhiều giao diện khác nhau sử dụng IKE/IPSec.
Hình 3. 7. Mô hình lai (hybrid)
Quá trình hoạt động của mô hình này có thể được mô tả theo các trạng thái như sau:
Trạng thái thông thường: khi mạng A kết nối với mạng E thông qua Hub- GW theo mô hình Hub-and-Spoke.
Khi số lượng các giao dịch IPSec qua Hub-GW tăng lên đáng kể: lưu lượng thông tin giao dịch giữa mạng A và mạng E tăng, Hub-GW thiết lập một kết nối VPN mở rộng từ chính nó tới địa chỉ của cổng mạng E. Có 2 vấn đề cần lưu ý: thứ nhất là do không thể thiết lập kết nối IKE/IPSec giữa hai điểm cùng địa chỉ, Hub-GW cần phải có địa chỉ IP “A2” cho kết nối mở rộng, ngoài địa chỉ “A1”. Kết nối IKE/IPSec giữa “U” và “A2” cần có cùng chính sách kết nối như kết nối giữa “U” và
“A1”; thứ hai là thông báo MOBIKE_SUPPORTED phải được gửi khi bắt đầu kết nối IKEv2/IPSec do đó MOBIKE có thể gửi sau.
Yêu cầu thực hiện MOBIKE: Hub-GW gửi thông báo cho mạng A với nội dung là các thông tin về kết nối an toàn IKE/IPSec mở rộng và yêu cầu thực hiện kết nối MOBIKE tới mạng E theo kết nối an toàn trên, yêu cầu được định nghĩa là “DO_MOBIKE_WITH_THIS_SA”
Tạo kết nối trực tiếp thông qua MOBIKE: GW trong mạng A, khi nhận được thông báo “DO_MOBIKE_WITH_THIS_SA”, sẽ gửi thông báo cho mạng E với nội dung là “UP_DATE_SA_ADDRESSES” theo kết nối IKE SA nhận được. GW mạng E trả lời yêu cầu kết nối từ mạng A và địa chỉ kết nối IKE/IPSec mở rộng sẽ chuyển từ U tới A2 thành từ U tới S.
Bắt đầu trao đổi thông qua kết nối trực tiếp: Lúc này, dữ liệu trao đổi từ mạng nội bộ E với đám mây A sẽ được truyền trực tiếp mà không bị giữ chậm tại Hub-GW.