Đồ án Công nghệ nối mạng riêng ảo di động MVPN cho 3G

hiệp. Ngoài ra sự xuất hiện mạng dựa trên IPv6 và sự chuyển đổi dần sang IPv6 Internet trong tương lai sẽ giải quyết vấn đề thiếu hụt địa chỉ. Một nhược điểm khác của VPN tự ý xuất phát từ bản chất của truyền tunnel đầu cuối-đầu cuối có đảm bảo an ninh. Trong phương pháp này, nội dung của các gói truyền tunnel được đóng bao và vì thế không thể kiểm tra tại các nút trên tuyến tunnel trừ các điểm cuối tunnel. Vì thế QoS, CoS (Class of Service) và các cơ chế tạo dạng Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN Đoàn Hồng Huệ - Lớp D01VT 36 lưu lượng đòi hỏi kiểm tra gói tại nhiều điểm là không thể thực hiện được. Giám sát thiết bị và các chức năng tường lửa cũng không làm việc tốt. Khi các MVPN được thực hiện trong một môi trường thông tin di động, truyền tunnel sẽ dẫn đến một lớp đóng bao bổ sung ở trên đoạn truyền vô tuyến chặng cuối cùng. Điều này sẽ tiêu tốn hơn các tài nguyên vô tuyến đắt tiền và quí hiếm. Ngoài ra mật mã hóa và các giải thuật an ninh phức tạp có thể không phù hợp cho việc áp dụng trong các thiết bị vô tuyến nhỏ do khả năng xử lý và nguồn acqui có hạn của chúng. Hơn nữa các điều kiện vô tuyến dễ thay đổi và môi trường vô tuyến gây tổn hao không thuận lợi cho việc thiết lập và bảo tồn các IPSec tunnel. Điều này có thể gây ra thời gian thiết lập tunnel lâu hay trong các trường hợp cực đoan dẫn đến sự cố hoàn toàn và dẫn đến phải chuyển đến vùng phủ sóng tốt hơn. Lưu ý rằng điều này không chỉ ảnh hưởng lên các hệ thông thông tin di động mà còn ảnh hưởng lên các mạng truy nhập dựa trên WLAN. Vì các lý do trên, nên mặc dù truyền tunnel tự ý đảm bảo giải pháp đầu cuối-đầu cuối an ninh và trong suốt để truy nhập đến các mạng riêng, nhưng hiệu suất cao hơn của VPN và các dịch vụ duy nhất lại chỉ có thể đạt được với sự tham ra của các nhà cung cấp dịch vụ dẫn đến việc đưa ra một kiểu VPN khác. 2.4.1.2. VPN bắt buộc Nhà cung cấp dịch vụ có thể cung cấp dịch vụ VPN bắt buộc bằng cách móc nối nhiều tunnel hay cung cấp một tunnel duy nhất cho một đoạn của tuyến số liệu giữa hai điểm cuối tham dự. Chẳng hạn, VPN bắt buộc có thể được xây dựng trên một tunnel được tạo lập giữa mạng riêng và nhà cung cấp dịch vụ mà không kéo dài trên toàn tuyến số liệu đến người sử dụng ở xa sử dụng dịch vụ này. Vì thế với dịch vụ VPN bắt buộc, người sử dụng ở xa không cần tham dự vào quá trình thiết lập VPN mà bị "buộc" sử dụng dịch vụ được cung cấp trước mỗi khi cần truy nhập đến mạng và đây cũng là tên của phương pháp này. Kiểu VPN này cho rằng cơ sở hạ tầng mạng của nhà khai thác có tính năng thông minh và các chức năng cần thiết để hỗ trợ các dịch vụ VPN dựa trên tunnel hay các tập tunnel được trang bị giữa mạng riêng và các mạng của nhà cung cấp dịch vụ và tunnel không tồn tại trên toàn tuyến đến tận người sử dụng đầu cuối. Trong cả hai trường hợp, hãng (hay xí nghiệp) phải thiết lập một SLA chi tiết với nhà cung cấp dịch vụ chịu trách nhiệm về dịch vụ VPN và phải tin tưởng nhà cung cấp dịch vụ trong việc xử lý số liệu giá trị với trách nhiệm và bí mật cần thiết. Nhà cung cấp dịch vụ thường tham dự vào điều khiển truy nhập mạng và hãng phải tin tưởng nhà cung cấp này trong việc từ chối truy nhập đối với các người sử dụng trái phép theo chính sách truy nhập mạng do nhà quản lý mạng hãng quy định. Hình 2.5 cho thấy thí dụ kịch bản áp dụng VPN bắt buộc trong cdma2000. Trong hình này số liệu của người sử dụng chỉ được đóng Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN Đoàn Hồng Huệ - Lớp D01VT 37 bao vào MIP tunnel giữa PDSN của cdma2000 của nhà cung cấp dịch vụ và HA thuộc sở của hãng. Hình 2.5. VPN bắt buộc Việc phải có một đoạn tuyến số liệu riêng không được bảo vệ, phải tin vào nhà cung cấp dịch vụ và thiết lập các SLA và các thỏa thuận bảo mật số liệu phức tạp là một số các nhược điểm của VPN bắt buộc. Trong môi trường di động, các vấn đề an ninh thậm chí quan trọng hơn, vì lưu lượng được phát trên các kênh vô tuyến khó đảm bảo an ninh. Khi chuyển mạng số liệu gói, lưu lượng không được bảo vệ đến và đi từ máy di động phải đi qua mạng khách (mạng có thể không thiết lập SLA với hãng ở mạng nhà) trước khi được truyền tunnel đến mạng khởi xướng. Nếu có các đoạn truyền không an ninh trong mạng này, đặc biệt là các đoạn không được mật mã hóa trong đường trục, có thể xẩy ra các vấn đề an ninh nghiêm trọng. Rất khó xử lý các vấn đề này trừ phi nhà cung cấp cài đặt dịch vụ một cách cẩn thận. Ví dụ các IPSec tunnel cổng-cổng tại các điểm quan trọng của mạng có thể giải quyết vấn đề này. Ưu điểm của phương pháp bắt buộc đó là sử dụng tốt hơn giao diện vô tuyến nhờ không cần chi phí cho đóng bao trên giao diện vô tuyến, điều này đặc biệt có lợi cho các hệ thống thông tin di động và nhờ đó đơn giản hóa thiết bị của người sử dụng. Khi sử dụng VPN bắt buộc, thiết bị người sử dụng đầu cuối không phải hỗ trợ bất kỳ một VPN client nào hoặc phải truyền tunnel hoặc phải có khả năng an ninh vì các client này đòi hỏi CPU xử lý mạnh và tiêu thụ nguồn. Ngoài ra người sử dụng không tham gia vào việc tạo lập VPN và chỉ cần yêu cầu dịch vụ khi truy nhập mạng của nhà cung cấp dịch vụ. VPN bắt buộc có nhiều ưu điểm giá trị khác đối với các nhà cung cấp dịch vụ. Chào hàng và tiếp thị VPN bắt buộc như là một tính năng có thể sẽ cho phép các mô hình dịch vụ mới và cung cấp các dịch vụ kênh mang mới. Với phương pháp tự ý, các nhà cung cấp dịch vụ không tham dự vào quá trình cung cấp thậm chí nhiều khi cũng không biết về sự tồn tại lưu lượng được đóng gói và được mật mã hóa, nếu như họ không cung cấp các điểm truy nhập đến Internet liên quan đến các địa chỉ IP có khả năng định tuyến công cộng hay các thiết bị nối ngang NAT. Trái lại, cung cấp truy nhập VPN bắt buộc có thể được các nhà cung cấp dịch vụ mang tiếp thị ở các dạng khác nhau cho các hãng (xí nghiệp) riêng và các ISP quan tâm đến việc phát đi các chức năng truy nhập xa của họ. Điều này sẽ đem lại các lợi nhuận mới và khả năng phân biệt lớn hơn giữa các chào hàng dịch vụ cạnh tranh. Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN Đoàn Hồng Huệ - Lớp D01VT 38 Một lợi ích khác của VPN bắt buộc đối với các nhà cung cấp dịch vụ là có thể kiểm soát lớn hơn đối với người sử dụng. Trong mô hình bắt buộc, nhà cung cấp dịch vụ thường tham dự vào nhận thực và ấn định địa chỉ IP, như vậy họ có thể kiểm soát phần lớn việc cung cấp cho người sử dụng. Các địa chỉ IP thường được ấn định đến người sử dụng ở xa từ không gian địa chỉ riêng của mạng khách hàng vì thế tiết kiệm được sự sử dụng các địa chỉ IP định tuyến công cộng từ phía nhà cung cấp. 2.4.1.3. VPN tunnel móc nối Kiểu VPN thứ ba không thể coi là VPN bắt buộc hay tự ý mà được gọi là VPN tunnel móc nối (Chainned Tunnel VPN). VPN này bao gồm một tập các tunnel móc nối để kéo dài toàn bộ đường truyền đến thiết bị đầu cuối. VPN tunnel móc nối có thể có nhiều dạng như thấy trên hình 2.6. Hình này cho thấy một số cách móc nối tunnel trong mạng GPRS. Giống như phương pháp tự ý, VPN tunnel móc nối đảm bảo bảo vệ số liệu đầu cuối-đầu cuối của người sử dụng và người sử dụng tham gia vào khởi đầu tunnel. Giống như VPN bắt buộc, nhà cung cấp dịch vụ tham dự vào cung cấp và cấu trúc VPN tunnel móc nối và có thể dễ dàng áp dụng QoS và tạo dạng lưu lượng tại các điểm móc nối tunnel. Tuy nhiên sự tham gia này không cần SLA và các thỏa thuận xử lý số liệu. Máy di động SGSN SGSN CN GGSN Internet/ PLMN khác Máy trạm GTP/IPSec (Gp) MPLS IPSec GTP (Gn) PPTP GTP (Gp) L2TP/IPSec L2TP Hình 2.6. Một số tùy chọn VPN móc nối (trong môi trường GPRS). Các dạng VPN nói trên đều có các ưu và nhược và sẽ đồng thời tồn tại trong các mạng riêng tương lai. Các nhà cung cấp dịch vụ có thể cung cấp chúng tùy thuộc vào công nghệ khả dụng, khả năng phù hợp với nhiệm vụ và môi trường kinh doanh Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN Đoàn Hồng Huệ - Lớp D01VT 39 2.4.2. Phân loại theo kiến trúc: Site-to-Site VPN và truy nhập từ xa Trong phần này, chúng ta sẽ xem xét việc phân loại VPN từ quan điểm kiến trúc chứ không phải từ quan điểm truyền tunnel. Chúng ta cũng phân tích phân loại IP VPN hữu tuyến và khả năng ứng dụng nó cho môi trường di động. Các kiến trúc IP VPN có thể được phân loại thành hai kiểu chính: các Site-to-Site VPN (còn được gọi là LAN đến LAN hay POP đến POP ) và các VPN truy nhập từ xa. Các Site-to-Site VPN bao gồm các các phương án như: Extranet VPN và Intranet VPN, các phương án này đều có chung các thuộc tính nhưng được thiết kế để giải quyết tập các vấn đề khác nhau. VPN truy nhập từ xa bao gồm các phương pháp truy nhập quay số và truy nhập gói trực tiếp, các phương pháp này cũng sẽ được đề cập ở dạng khung kiến trúc chính. Tất cả các kiểu VPN này đều có thể được áp dụng (ít nhất là lý thuyết) trên các mạng thông tin di động, tuy nhiên nghiên cứu sẽ tập trung lên các vấn đề liên quan đến các MVPN đối với kiểu truy nhập từ xa, vì thông thường mạng vô tuyến nối một máy trạm ở xa đến một mạng mà nó muốn truy nhập. 2.4.2.1. Site-to-site VPN Site-to-Site VPN được sử dụng để nối các site của các hãng phân tán về mặt địa lý, trong đó mỗi site có các địa chỉ mạng riêng được quản lý sao cho bình thường không xẩy ra sự va chạm. Trong cách nối mạng thông thường, các văn phòng hãng ở xa có thể kết nối với nhau bằng các mạng cấu hình lưới trên cơ sở các đường thuê riêng T1/E1 hay các kênh lớp liên kết như các PVC ATM hay chuyển tiếp khung trong nối mạng của nhà cung cấp dịch vụ. Một cách khác là sử dụng mạng định tuyến riêng hay các tuyến chuyển mạch theo nhãn MPLS. Các mạng định tuyến riêng đòi hỏi các router có khả năng phân biệt lưu lượng từ các Intranet khác dựa trên các bảng định tuyến dẫn đến các vấn đề về khả năng định lại cỡ. Cấu trúc này được gọi là intranet. Cũng có thể đạt được các kết quả tương tự bằng cách cung cấp các IP VPN tunnel an ninh trên mạng internet công cộng hay các mạng IP của nhà cung cấp dịch vụ. IP VPN có các ưu điểm lớn về giá cả và sự đơn giản. Giá thành thông tin giảm vì khách hàng chỉ phải trả cho truy nhập vào mạng IP của mạng nhà cung cấp dịch vụ hay truy nhập internet. Các văn phòng ở xa được nối với nhau qua các tunnel được cung cấp trên mạng IP dùng chung, chẳng hạn internet hay mạng IP thương mại dùng chung được các nhà cung cấp dịch vụ cung cấp như WorldCom hay AT&T. Cùng với truy nhập mạng IP công cộng, áp dụng VPN đòi hỏi CPE ở dạng các cổng VPN có khả năng hỗ trợ số lượng khá lớn các đoạn tunnel riêng tại từng site. Các Site-to-Site VPN vẫn có thể thực hiện trong môi trường di động, nhưng giá trị của các mô hình này từ quan điểm thuê bao vô tuyến vẫn chưa rõ ràng và nó nằm ngoài nghiên cứu của đề tài này. Tuy nhiên kiểu VPN này có thể được triển khai trong các mạng lõi vô tuyến như GPRS PLMN và GRX, khi nhà cung cấp dịch vụ muốn phát triển kết nối lựa chọn đến các đối tác chuyển mạng của nó. Ngoài ra, một điểm Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN Đoàn Hồng Huệ - Lớp D01VT 40 truy nhập GPRS đến một mạng hãng có thể được xem như là trường hợp Site-to-Site VPN. Thực chất, một nhà cung cấp dịch vụ có thể đảm bảo kết nối đầy đủ đến tất cả các site của hãng và thậm chí các gói của tuyến trực tiếp đến site khách hàng tương ứng qua các IP tunnel nối chúng đến một điểm truy nhập. Extranet VPN Extranet (truyền thông giữa các hãng) là một thuật ngữ mới có trong nối mạng vô tuyến. Nó thường được sử dụng khi một hãng cần tương tác không chỉ với các văn phòng ở xa của mình mà cả với các site trực thuộc các khách hàng của nó, các nguồn cung cấp và các thực thể khác liên quan đến các giao dịch hay trao đổi thông tin. Các thực thể này thường được gọi là các mạng đối tác. Để hỗ trợ các loại truyền thông này, các tunnel VPN có thể được thiết lập giữa các mạng riêng trực thuộc các thực thể riêng khác nhau. Các chức năng VPN như điều khiển truy nhập, nhận thực và các dịch vụ an ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyên cần thiết cho kinh doanh. Các vấn đề an ninh đối với extranet (bao gồm cả tuy nhập tài nguyên trái phép) lớn hơn trong intranet, vì thế VPN và extranet phải được thiết kế cẩn thận với các chính sách điều khiển truy nhập đa lớp và các sắp xếp an ninh duy nhất giữa các thành viên extranet. . Khả năng IP VPN cung cấp động các tunnel và các ưu tiên điều khiển truy nhập trong vài phút, thậm chí vài giây và thường không cần thông báo cho nhà cung cấp truy nhập (nếu các cho phép này là bộ phận của SLA trong trường hợp VPN bắt buộc) là đặc biệt hữu ích trong môi trường extranet. Hiện nay, cung cấp động là tối quan khi các nhu cầu và tình trạng kinh doanh có thể thay đổi nhanh chóng, đòi hỏi nhanh chóng thiết lập lại các sắp đặt nối mạng mới. Khả năng này khắc phục các nhược điểm của các công nghệ nối mạng: thời gian cung cấp khá lâu và các thủ tục cung cấp phức tạp. Hình 2.7 cho thấy một hãng chính thiết lập quan hệ động với các nguồn cung cấp và các đối tác kinh doanh khác Lưu ý rằng sử dụng các mạng đối tác kết nối IP VPN chỉ có nghĩa khi cần trao đổi một khối lượng lớn thông tin giữa các mạng. Khi tương tác giữa các đối tác có thể thực hiện qua các ứng dụng dựa trên Web, tốt nhất là nên thiết lập các giao diện Web được bảo vệ bởi TLS hay SSL cho các ứng dụng và các kho lưu thông tin. Hiện nay các tương tác kinh doanh dựa trên các cổng chính của khách hàng và của nhà cung cấp hàng cũng phổ biến. Intranet VPN Một hãng có thể quyết định thiết lập một VPN không chỉ để kết nối các site trực thuộc hãng mà còn để định nghĩa các mạng ảo ngay trong miền quản lý của mình. Không phải hầu hết thời gian đều cần đến điều này, vì có thể định nghĩa các vùng an ninh bằng trang bị thích hợp lọc tường lửa và các chính sách điều khiển truy nhập tài nguyên tại mức ứng dụng. Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN Đoàn Hồng Huệ - Lớp D01VT 41 Hình 2.7. Extranet VPN động Tuy nhiên trong các môi trường công tác quan trọng, có thể các tổ chức (đặc biệt là các tổ chức lớn) quyết định thi hành các biện pháp an ninh bằng cách cách ly lưu lượng và các vùng mạng đặc biệt quan trọng thông qua các tunnel được mật mã hóa IPSec và thi hành các chính sách nhận thực và điều khiển truy nhập bổ sung cho các vùng này. Các công ty cần đảm bảo bảo mật cho số liệu như các bản ghi cá nhân của nhân viên cũng như thông tin về các sự kiện sẽ xẩy ra chẳng hạn phát hành các sản phẩm mới hay tổ chức lại. Mục đích chính của intranet VPN trong mạng hãng là thiết lập và quản lý các mức khác nhau của truy nhập bên trong đến thông tin đặc thù. Với khả năng này, Intranet VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lý các nhóm người sử dụng vào các mạng con LAN khác nhau được kết nối bởi các cầu hay các router. 2.4.2.2. VPN truy nhập từ xa Nối mạng truy nhập từ xa ban đầu được coi là một cách đảm bảo các máy trạm ở xa truy nhập các tài nguyên thông tin và các dịch vụ đặt trong mạng riêng. Truy nhập từ xa hữu ích cho cả các người tiêu dùng và các nhân viên ở xa hoặc nhà kinh doanh Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN Đoàn Hồng Huệ - Lớp D01VT 42 hay các tổ chức khác. Các hãng và các thực thể khác từng phải duy trì các phương tiện phù hợp, thông thường gồm các RAS (Remote Access Server: Server truy nhập từ xa) và thiết bị an ninh tương ứng để duy trì mức khả dụng và tin cậy dịch vụ cho các người sử dụng ở xa. Kết nối quay số từng được xem là riêng tư và phù hợp cho tất cả các ý đồ và mục đích. VPN truy nhập từ xa quay số Truy nhập từ xa quay số đắt tiền và đòi hỏi sự hỗ trợ lớn từ các phòng IT của hãng. Thông thường, người sử dụng từ xa ở cách xa các cơ quan đầu não của hãng hay các trung tâm số liệu và đòi hỏi cuộc gọi đường dài. Cuộc gọi này trở nên rất đắt đối với các chủ gọi quốc tế khi họ định kết nối lâu. Các hãng dựa trên công nghệ này thường phải tạo ra (hay sử dụng phương tiện hãng khác) nhiều trung tâm số liệu vùng và duy trì hỗ trợ tại chỗ để tránh cước đường dài cao. Truy nhập quay số cũng đòi hỏi các thiết bị RAS đắt tiền, phức tạp và đôi khi cũng bị sự cố. Các VPN truy nhập từ xa quay số có thể được xây dựng trên các phương pháp truyền tunnel bắt buộc hay tự ý. Trong một kịch bản truy nhập quay số sử dụng phương tiện của hãng khác (là bắt buộc), người sử dụng quay số đến các POP địa phương của các nhà cung cấp dịch vụ Internet, thiết lập kết nối PPP. Sau khi người sử dụng đã được nhận thực và liên kết PPP được thiết lập nhà cung cấp dịch vụ thiết lập theo cách bắt buộc (nghĩa là trong suốt đối với người sử dụng) một tunnel đến một cổng trong mạng riêng mà người sử dụng ở xa muốn truy nhập đến. Mạng riêng thực hiện nhận thực người sử dụng lần cuối và thiết lập kết nối. Kiến trúc này được mô tả trên hình 2.8. IPSec Client ISDN Modem DSL Chuyển mạch DSLAM PSTN RAS Cổng SS7 RADIUS L2TP (bắt buộc ) IPSec (tự ý) LNS ISP Cổng IPSec Hãng DNS DHCP RADIUS ACCT LNS: L2TP Network Server- Server mạng L2TP L2TP: Layer Two Tunneling Protocol- Giao thức truyền tunnel lớp 2 RAS: Remote Access Server- Server truy nhập xa DSLAM: DSL Access Multiplex- Ghép kênh truy nhập DSL Internet Hình 2.8. Truy nhập từ xa hữu tuyến sử dụng phương tiện hãng khác Trong quay số trực tiếp truyền thống buộc người sử dụng phải quay số đến một ngân hàng modem, một RAS hay một bộ tập trung đặt tại trung tâm số liệu của hãng. Công nghệ truyền tunnel được lựa chọn cho VPN truy nhập quay số theo phương tiện Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN Đoàn Hồng Huệ - Lớp D01VT 43 của hãng khác là L2TP. Công nghệ này được tiếp nhận rộng rãi bởi cả các nhà cung cấp dịch vụ hữu tuyến và các hãng. Để chọn lựa VPN này cho các nhân viên ở xa, các hãng phải thiết lập các SLA chi tiết (chẳng hạn, phải lập cấu hình một danh sách các LNS, các đặc điểm an ninh và các mức QoS), với một hay nhiều nhà cung cấp dịch vụ sẽ chịu trách nhiệm cho các phương tiện kết cuối quay số địa phương. VPN tự ý là một công nghệ truy nhập độc lập, vì thế nó có thể dễ dàng được hỗ trợ trên mọi kết nối quay số kể cả vô tuyến. Tất cả các người sử dụng đầu cuối phải thiết lập một kết nối quay số đến ISP theo lựa chọn của họ và sau đó thông qua một VPN client thiết lập một tunnel lớp mạng đảm bảo an ninh đến một mạng riêng cụ thể. Có các ISP toàn cầu cung cấp khả năng này trong nối mạng số liệu hữu tuyến. VPN tự ý dựa trên truyền tunnel đầu cuối- đầu cuối đòi hỏi đóng bao bổ sung trên đoạn truyền của chặng vô tuyến cuối cùng vì thế làm giảm hơn nữa thông lượng vốn dĩ đã thấp và làm cho chọn lựa này thích hợp cho các ứng dụng đặc biệt chứ không để triển khai hàng loạt. Truy nhập từ xa trực tiếp Trong thập niên vừa qua, các công nghệ truy nhập mới như ISDN, DSL (Digital Subsscriber Line) và cáp đã trở nên khả dụng cho các người làm việc ở xa là lưu động có truyền thống sử dụng truy nhập quay số. Cả các nhà cung cấp dịch vụ và các hãng đã có một tùy chọn công nghệ truy nhập từ xa cho phép sử dụng hiệu quả hơn cả VPN bắt buộc lẫn tự ý để truy nhập mạng riêng an ninh. Các hệ thống số liệu gói vô tuyến được thiết kế sát hơn với các dịch vụ số liệu tốc độ cao như DSL và cáp vì thế cung cấp cùng mức độ tiện lợi cho các người sử dụng như các khả năng luôn nối mạng tự động, các tùy chon tính cước và loại bỏ đăng nhập thường xuyên. 2.5. CHUYỂN TỪ HỮU TUYẾN SANG VÔ TUYẾN VÀ DI ĐỘNG Bây giờ ta đã có thể áp dụng các phương pháp của công nghệ VPN cho môi trường vô tuyến di động. Trong phần trước, ta đã bàn về các thuộc tính và các phương pháp thiết kế VPN sử dụng trong các môi trường quay số khác nhau, bao gồm cả các hệ thống số liệu vô tuyến chuyển mạch kênh. Phần còn lại của chương này sẽ tập trung lên hỗ trợ VPN trên các mạng số liệu gói vô tuyến di động như các mạng có trong các hệ thống 2,5G và 3G. 2.5.1. Tầm quan trọng của VPN trong môi trường số liệu gói vô tuyến Nhắc lại rằng công nghệ số liệu gói thông tin di động dựa trên khái niệm truyền tunnel động, trong đó các tunnel liên tiếp được tạo lập và rỡ bỏ giữa các mạng ngoài mà MS làm khách và mạng nhà. Tính phức tạp của công việc này khi cung cấp dịch vụ VPN trong môi trường này là ở cách kết hợp kỹ thuật với cấu hình tunnel cố định hay "tựa cố định" cần thiết ở phía mạng hữu tuyến để cho phép các người sử dụng di động có thể truy nhập mạng riêng an ninh. Nhiệm vụ này trở nên đặc biệt phức tạp khi cần Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN Đoàn Hồng Huệ - Lớp D01VT 44 dịch vụ VPN bắt buộc. Trong trường hợp này, nhà khai thác phải có thiết bị có khả năng không chỉ hỗ trợ truyền tunnel động mà cả chuyển mạch tunnel động giữa các phần cố định và di động trong hạ tầng của họ. Hình 2.9 cho thấy kiến trúc minh họa yêu cầu này. Trong trường hợp VPN tự ý, nhiệm vụ này được đơn giản hơn một chút, vì địa chỉ IP của điểm cuối giữ cố định. Các sơ đồ di động số liệu sử dụng trong GPRS và cdma2000 phải giải quyết yêu cầu này. Hình 2.9. VPN trong các môi trường vô tuyến Trước hết phải phân tích tại sao cần MVPN trong các hệ thống số liệu gói. Hỗ trợ MVPN đòi hỏi các nút mạng có khả năng chuyển mạch các tunnel phức tạp và các thiết bị di động. Trong số liệu gói vô tuyến, các cơ chế lớp mạng cho phép các MS thay đổi vị trí và điểm nối mạng của chúng trong khi vẫn duy trì kết nối đến mạng nhà. Thường xuyên MS chuyển đến một mạng khác trực thuộc một nhà khai thác khác với nhà khai thác ban đầu. Khi chuyển mạng, MS vẫn giữ kết nối đến mạng nhà thông qua sử dụng các sơ đồ truyền tunnel để hỗ trợ di động như GPRS trong GSM và các hệ thống UMTS hay MIP trong hệ thống cdma2000. Trong các môi trường này, không thể thiết lập mọi kết nối kênh cố định kiểu quay số giữa MS và mạng riêng. Vì nó sẽ làm hỏng mục đích chuyển từ môi trường chuyển mạch kênh sang chuyển mạch gói. Công nghệ tốt nhất cho truy nhập mạng riêng trong môi trường này là MVPN, hoặc bắt buộc hoặc tự ý dựa trên các giao thức truyền tunnel phù hợp di động ít nhất là trên một đoạn của tuyến số liệu đầu cuối-đầu cuối. Vì thế, MVPN trong các hệ thống số liệu gói không chỉ đơn giản là một tùy chọn truy nhập (như trong nối mạng hữu tuyến cùng với các kiểu truy nhập khác như quay số trực tiếp, các đường thuê riêng, ATM và chuyển tiếp khung) mà là cần thiết. Sau khi đã tổng kết tầm quan trọng của các MVPN, bây giờ ta có thể xét chi tiết hơn các kiểu MVPN chính. Đồ án tốt nghiệp đại học Chương II: Tổng quan MVPN Đoàn Hồng Huệ - Lớp D01VT 45 2.5.2. MVPN tự ý MVPN dựa trên truyền tunnel tự ý được áp dụng gần giống như VPN hữu tuyến. Cũng như với VPN hữu tuyến, cần xét xem nhà cung cấp dịch vụ sử dụng sơ đồ đánh địa chỉ IP riêng hay công cộng và cơ chế biên dịch địa chỉ IP nào (nếu cần) được sử dụng. Một cách xem xét khác riêng cho môi trường vô tuyến là tính ổn định của địa chỉ IP được ấn định cho thiết bị di động. Tổng quát, các giao thức truyền tunnel để hỗ trợ di động trong các hệ thống số liệu gói hiện đại cho phép giữ nguyên các địa chỉ IP ấn định cho một MS. Một số thậm chí còn cho phép cung cấp trước các địa chỉ IP cố định cho các thiết bị của người sử dụng đầu cuối, đây là điều kiện tuyệt vời để các tunnel đầu cuối-đầu cuối ổn định tạo thành nền tảng cho VPN tự ý ổn định. Tuy nhiên trong một số hệ thống vô tuyến, một số chế độ truy nhập chỉ cung cấp di động IP hạn chế. Các người sử dụng ở xa và các nhà quản lý IT cần lưu ý đến điều này khi đặt hàng dịch vụ vô tuyến với ý định sử dụng nó cho VPN tự nguyện. Chẳng hạn trong cdma2000, chế độ truy nhập IP đơn giản (Simple IP) chỉ đảm bảo di động trong biên giới của cùng một PDSN/FA. Ở đây không thể duy trì các tunnel đầu cuối-đầu cuối khi thay đổi PDSN phục vụ, vì kênh mang số liệu gói cần được thiết lập lại đến PDSN mới và MS phải nhận được địa chỉ IP mới. Điều này cũng đòi hỏi MS client phải khởi động lại phiên với địa chỉ IP mới. Điều này có thể không phải là vấn đề quan trọng khi cho rằng một PDSN điển hình có thể phủ các diện tính đến hàng trăm cây số vuông, nhưng đối với các người sử dụng di chuyển dọc biên giới thì đây sẽ là một thách thức. Sử dụng công nghệ VPN bắt buộc với chế độ truy nhập IP đơn giản sẽ không cải thiện hơn tình trạng này, vì kết nối đầu cuối-đầu cuối bị mất và cần phải thiết lập lại truy nhập mạng từ xa mới mỗi khi MS chuyển vào PDSN mới. Điều này sẽ thay đổi nếu sử dụng chế độ truy nhập dựa trên MIP. Chế độ truy nhập MIP có thể được sử dụng theo hai cách. Cách thứ nhất cung cấp truy nhập trực tiếp đến mạng mà người sử dung cần truy nhập nhưng vẫn đảm bảo di động. Cách thứ hai đơn giản nhưng nhà khai thác có thể cung cấp truy nhập không gián đoạn, trong đó người sử dụng có thể chọn để thiết lập tự ý một tunnel đầu cuối-đầu cuối bằng cách sử dụng một VPN client chung. Một điểm đáng quan tâm khác của truy nhập M