Từ điển
Dịch văn bản
 
Tất cả từ điển
Tra từ
Hỏi đáp nhanh
 
Gửi
 
 
Kết quả
Vietgle Tra từ
Cộng đồng
Bình luận
Chuyên ngành Anh - Việt
VPN (Virtual Private Network)
|
Tin học
Mạng riêng ảo Hiện nay người ta đang nhầm lẫn về thế nào là VPN, nhưng bạn sẽ thấy rằng sự nhầm lẫn nầy càng tệ hơn khi VPN thâm nhập vào những công nghệ mới của mạng. VPN được định nghĩa như là mạng dùng riêng cho âm và dữ liệu với các dịch vụ carrier. Tuy nhiên, trong thời gian gần đây VPN được mô tả như là đường hầm riêng, được mã hóa qua Internet để chuyển tải âm và dữ liệu giữa các điểm khác nhau của một cơ quan. Dưới đây là các định nghĩa khác nhau của VPN: Voice VPN. Trong kỹ thuật nầy, nhà cung cấp xử lý chuyển mạch mọi cuộc gọi. Từ virtual trong VPN ý nói rằng nhà cung cấp tạo cho bạn một mạng chuyển mạch âm ảo trong các thiết bị chuyển mạch của họ. Xem mục tiếp theo “Traditional Carrier-Based Voice VPN” để biết thêm chi tiết. Carrier-based voice/data VPN. Mạng chuyển mạch gói/khung/tế bào chuyển tải thông tin trong những bó được định hướng chuyển đi trong mạng các bộ chuyển mạch để đến đích. Nhiều người dùng chia sẻ mạng nầy. Các nhà cung cấp lập trình các mạch ảo trong mạng để mô phỏng kết nối chuyên dụng giữa các chi nhánh của công ty. Mạng các mạch ảo nầy tạo nên một VPN trên mạng chuyển mạch gói của nhà cung cấp. Để biết thêm chi tiết, xem mục “Carrier-Based Voice/Data VPN”. Internet VPN. Internet VPN cũng tương tự như VPN mô tả ở trên, chỉ khác là mạng IP được dùng. Xem mục “Internet VPN” trong phần nầy để biết thêm chi tiết. Ghi chú: VPN khác hẳn với mạng dùng riêng được xây dựng bằng cách liên kết các chi nhánh bằng các đường dây thuê bao. Xem “Private Network” để biết thêm chi tiết. Trong khi các VPN dựa trên vật mang (carrier-based) cung cấp dịch vụ bảo đảm bằng các mạch ảo, việc thiết đặt và sử dụng Internet VPN dễ dàng và rẻ hơn nhiều mặc dù để có được bảo đảm băng thông và dịch vụ là một vấn đề. Một khía cạnh quan trọng của Internet VPN là nó có thể được dùng để bổ sung vào carrier-based VPN hoặc ngay cả đường dây thuê bao và để thực hiện việc truyền với độ ưu tiên thấp. Tạp chí Data Communication (http://www.datacomm.com) đạ tạo một mạng giả thuyết liên kết đầy đủ các site ở Los Angeles, Houston và Boston để tạo nên số liệu trên bảng V-1. Xem bài viết “Secure VPNs, Lock the Data, Unlock the Savings” của Andrew Cray (5-21-97, p. 49) trên website của tạp chí nầy. Khác với mạng dùng riêng hay carrier-based VPN, liên kết các nơi khác nhau của một cơ quan, Internet VPN có thể bao trùm mọi người trong cơ quan, kể cả những người di động và nhân viên làm việc tại nhà. Người dùng bất cứ ở đâu chỉ cần gọi đến ISP địa phương chứ không phải gọi đến công ty, bằng cách dùng các số 800, modem pools, và máy chủ truy cập từ xa. Ngoài ra, người dùng có thể kết nối vào Internet bằng nhiều phương pháp, kể cả 28.8 Kbit/s modem hoặc đường thuê bao tốc độ cao. Internet VPN có thể thay thế thiết bị tại chỗ có liên kết với máy chủ điều khiển từ xa, về cơ bản là chuyển tất cả những chức năng đó cho ISP. Traditional Carrier-Based Voice VPN Như đã nói, voice VPN là đề nghị trong đó các dịch vụ chuyển mạch âm cho một cơ quan được thực hiện bởi các nhà cung cấp như AT&T hoặc MCI. Thuê bao Frame relay VPN Internet VPN Cước phí hàng năm $133.272 $89.998 $38.400 Cài đặt $2.700 $.70 N/A Bốn thiết bị mã hóa VPN N/A $16.000 $16.000 Tổng chi phí trong năm đầu tiên $135.972 $111.758 $54.400 Bảng V-1. So sánh giá thuê bao và VPN (nguồn: Data Communication Magazine) Đường thuê bao đường dài cho thoại giữa các công ty được thay thể bởi những đường ngắn nối đến hệ thống chuyển mạch của nhà cung cấp. Ví dụ tốt nhất là SDN (Software-Defined Network) của AT&T sẽ được thào luậnở đây, nhưng bạn đọc cũng nên biết các nhà cung cấp khác như MCI (http://www.mci.com). Xem danh sách các nhà cung cấp dưới tên “Telecommunication Companies” trong phụ lục A. SDN cho phép khách hàng dùng các phần của mạng chuyển mạch cùng với mạng đường dây riêng chuyên dụng để truy cập đến mạng diện rộng. Dịch vụ nầy là chọn lựa tốt cho các công ty có văn phòng phân tán về địa lý. Một thành phần tùy chọn gọi là SDDN (Software-Defined Data Network) cho phép người dùng thỏa thuận về băng thông bổ sung để truyền dữ liệu trong mạng chuyển mạch của AT&T. Dịch vụ SDN có thể cung cấp băng thông theo yêu cầu với tốc độ 64Kbits/s, 384 Kbits/s và 1.5 Kbit/s. Nó tương thích với các mạng dùng riêng đang có và càc PBX, và cũng thường được dùng để dự phòng cho đường chuyên dụng khi có tai nạn xảy ra. Giá cuộc gọi dựa trên thời gian gọi và khoảng cách, có giảm giá theo giờ gọi, theo ngày gọi (trong tuần) và theo các tùy chọn khác. Dịch vụ nầy có khắp trên toàn nước Mỹ và kể cả gọi quốc tế. Còn nhiều thông tin khác về SDN và bạn đọc nên thăm trang web của AT&T (www.att.com) để biết thêm chi tiết. Carrier-Based Voice/Data VPN Các mạch ảo có thể mô phỏng chất lượng đường thuê bao và ngoài ra còn có tính mềm dẻo và tiết kiệm. Một mạch ảo được tạo trong một bó (X.25), khung (Frame Relay), hay mạng chuyển mạch tế bào (ATM). Nó theo đường dẫn đã lập trình sẵn qua các bộ chuyển mạch và các rơle của mạng chuyển mạch. Frame relay hiện nầy là dịch vụ chuyển mạch phổ biến nhất, mặc dù ATM đang phát triển. Có hai loại là PVC (permanent virtual circuit) và SVC (switched virtual circuit). PVC là mạch được lập trình trước giữa hai điểm xác định, còn SVC là mạch được thiết đặt giữa hai điểm bấy cứ lúc nào trong mạng. PVC là phổ biến nhất, một số nhà cung cấp không chào dịch vụ SVC. Hợp đồng với các nhà cung cấp dịch vụ PVC và/hoặc SVC được thỏa thuận theo nhu cầu. Cả hai chỉ được định nghĩa trong mạng chuyển mạch bó của nhà cung cấp. Bạn vẫn cần dùng đến đường dữ liệu từ mỗi văn phòng đến mạng, xem hình V-7. Đây có thể là đường dây dial-up hay thuê bao với dung lượng theo nhu cầu của văn phòng. Có nhiều ưu điểm khi dùng carrier-based VPN. Trước hết là khả năng xử lý luồng dữ liệu vượt trội. Vì mạng là chia sẻ, một số người dùng có thể không dùng băng thông mà học được cấp phát. Băng thông nầy được những người khác sử dụng, nếu cần thiết, với chi phí bổ sung. Ngược lại, mạch chuyên dụng như đường dây T1 có dung lượng cố định (1.544 Mbit/s). Nếu luồng dữ liệu của bạn dưới dung lượng nầy, bạn phải trả cho băng thông không sử dụng. Nếu vượt quá dung lượng nầy, bạn có thể mất các bó dữ liệu. Khi thỏa thuận với nhà cung cấp về mạch ảo, mạng đặc tả CIR (commited information rate), đây là yêu cầu về tốc độ dữ liệu trung bình đối với mạch ảo. Nhà cung cấp bảo đảm mức dịch vụ nầy bằng cách quản lý hạ tầng của mạng. Nếu nhà cung cấp không thể bảo đảm, họ có thể đưa ra các dịch vụ miễn phí khác nhau. Hình V-7. Mạng VPN carrier-based Để xử lý quá tải đường truyền, bạn thỏa thuận một tỉ lệ “nổ” để trả cho đường truyền theo CIR. Công thức nầy có tính mềm dẻo cao và tiết kiệm vì bạn chỉ trả cho những gì bạn dùng, và vẫn có thể dùng phụ trội nếu cần thiết. Để ý rằng chỉ xảy ra “nổ” nếu nếu mạng có băng thông chưa được dùng. Ưu điểm của chia sẻ mạng với những người khác là một số người dùng có thể dùng ít hơn họ được cấp phát. Nhược điểm là mạng có thể trở nên quá tải. Ngay cả khi mạng chuyển mạch bó có nhiều tính mềm dẻo, đường thuê bao vào nó từ nơi của bạn có thể là điểm thắt. Bạn phải cài đặt đường truyền thỏa yêu cầu của nơi đang kết nối. Internet VPN Internet VPN cung cấp phương pháp an toàn để chuyển các bó dữ liệu qua Internet. Có hai phương pháp thể thực hiện điều nầy: Chế độ vận tải (transport mode) Kỹ thuật nầy chỉ mã hóa phần trọng tải của bó IP để truyền qua Internet. Phần tiêu đề được giữ nguyên và có thể đọc được để cho các bộ định tuyến có thể chuyển tiếp qua Internet. Đây là kỹ thuật thuần túy IP. Chế độ đường hầm (tunnel mode) Với kỹ thuật nầy, các bó IP, IPX, SNA và các bó khác được mã hóa, sau đó được bao bọc vào bó dữ liệu mới để truyền qua Internet. Kỹ thuật nầy có ưu điểm là dấu địa chỉ nguồn và đích của bó dữ liệu ban đầu và làm tăng độ an toàn. Trong cả hai trường hợp, Internet VPN phải thỏa hiệp giữa dung lượng bảo đảm và khả năng tính trước trên mạch ảo Frame Relay hay ATM để tạo các VPN giá thấp trên Internet. Ngoài ra, chúng rẻ hơn nhiều so với đường thuê bao, xem bảng V-1. Mặc dù không đắt, việc mở rộng mạng dùng riêng qua Internet có hệ quả về an toàn và tính riêng tư. Tuy vậy, các nhà cung cấp Internet VPN đã tiến xa trong việc bảo đảm an toàn và tính riêng tư. Mã hóa tạo an toàn; nhưng phải dùng thêm kiểm tra tính hợp lệ (authentication) để bảo đảm người dùng hoặc thiết bị được quyền sử dụng kết nối. Có hai loại kết nối trong kịch bản Internet VPN: (xem hình V-8) Kết nối site-to-site Kết nối nầy truyền qua đường hầm một lượng lớn dữ liệu giữa hai mạng. Dịch vụ dial-up ảo Đây là đường hầm cho từng người dùng riêng lẻ vào mạng. Cả hai loại khai thác ưu điểm của kết nối cục bộ đến ISP và các kết nối diện rộng cung cấp bởi Internet. Mỗi lọai được mô tả trong phần tiếp theo. Kết nối Trạm-Trạm (Site-to-Site) Kết nối trạm-trạm là phương pháp phổ biến nhất để thiết đặt Internet VPN giữa hai mạng. Cần dùng 2 bộ định tuyến, và một kết nối SA (Security Association) giữa chúng. Kết nối SA là kết nối đối xứng trong đó độ phát và bộ nhận dùng cùng một kỹ thuật an toàn (mã hóa, giải mã, và kiểm tra tính hợp lệ). Trong thiết đặt đơn giản nhất, cần tạo hai khóa riêng để xử lý mã hóa và giải mã theo mỗi hướng. Một khóa dùng để mã hóa dữ liệu khi rời khỏi bộ định tuyến và giải mã khi đến đích. Khóa kia được dùng để mã hóa và giải mã theo hướng ngược lại. Người quản lý mạng lập trình các khóa vào các thiết bị và gởi chúng đến các nơi theo ý muốn. Hình V-8. Các phương pháp kết nối Internet VPN Một khi các bộ định tuyến được thiết đặt và kết nối vào Internet được thiết lập, tất cả dữ liệu qua kết nối nầy được mã hóa. Một số chuẩn đang được phát triển cho loại kết nối nầy. IETF đang làm việc về IPSec (IP Security), để cung cấp tính vận hành qua lại giữa các sản phẩm khác nhau của các nhà cung cấp. An toàn dữ liệu kiểu RSA đã hỗ trợ thiết lập về S/WAN trong 1995 để tạo diễn đàn công nghiệp về cài đặt chuẩn hóa của IPSec. Những giao thức nầy được thiết kế để vận hành trong tầng 3 (tầng mạng) của ngăn xếp giao thức và mã hóa tất cả dữ liệu qua kết nối nầy. Xem “IPSec (IP Security)” và “S/WAN (Secure WAN).” Dịch vụ quay số ảo (Virtual Dial-up Services) Các giao thức gọi ảo (virtual dial-up) được thiết kế để hỗ trợ người dùng từ xa truy cập mạng qua các đường hầm cá nhân. Nếu bạn xem Internet VPN như xa lộ nối các văn phòng chi nhánh của một công ty với đường hầm, thì các đường hầm cá nhân giống như các lộ kết nối từng người dùng vào Internet VPN. Các giao thức gọi ảo giúp các công ty quản lý tốt hơn khả năng truy cập từ xa và giảm cước phí kết nối bằng cách khai thác ưu điểm của Internet. Thay vì gọi vào máy chủ truy cập từ xa, người dùng gọi vào ISP cục bộ. Một đường hầm sau đó được thiết lập giữa khách hàng từ xa và công ty thông qua ISP đó và đến Internet. Những giao thức nầy được thảo luận trong mục “Virtual Dial-up Services”. TỪ MỤC LIÊN QUAN ATM (Asynchronous Transfer Mode); Firewall; Frame Relay; IPSec (IP Security); PPP (Point-to-Point Protocol); PPTP (Point-to-Point Tunelling Protocol); Private Network; Routers; Security; S/WAN (Secure WAN); Telecommunications and Telephone Systems; Tunnels; Virtual Dialup Services; va2 WAN (Wide Area Network) THÔNG TIN TRÊN INTERNET MAS NET’s VPN paper http://www.masnet.net/internet/issues/vpn.html Goodman’s Telecom Bookmarks http://www.wp.com/goodmans Yahoo!’s Telecommunication links page http://www.yahoo.com/Science/Engineering/Electrical_Engineering/Telecommunications ITU’s Telecom links http://www.itu.int/Sites/web-sites.html Prof. Jeffrey Mackie-Mason’s telecommunication links http://www.spp.umich.edu/telecom Pacific Telephony Design’s PhoneZone http://www.phonezone.com IETF IPSec chater http://www.ietf.cnri.reston.va.us/html.chater/ipsec-charter.html IETF Point-to-Point Protocol Extensions charter http://www.ietf.org/html.charters/pppext-charter.html AT&T Corp. http://www.att.com Aventail Corp. http://www.aventail.com/simpresnet/sld022.htm Cylink Corp. http://www.cylink.com Data Fellows Inc. http://www.datafellows.com DEC’s Internet Tunnel Products site http://www.digital.com/info/internet/whitepapers/tunnelprod_abstract.html IntraShield Corp. http://www.intrashield.com Signal 9 Solutions, Inc. http://www.signal9.com Timestep Corp. http://www.timestep.com VPNet, Inc. http://www.vpnet.com