ยินดีต้อนรับสู่ show running-config ครับ

บล็อก show running-config นี้สร้างไว้เพื่อเป็นแหล่งรวบรวมเทคนิคการตั้งค่าอุปกรณ์เครือข่าย Cisco ไม่ว่าจะเป็น Cisco IOS Router, Cisco Catalyst Swtich, Cisco ASA Firewall, Cisco Mars เป็นต้น รวมทั้งอาจจะมีเทคนิคการตั้งค่าอุปกรณ์ในยี่ห้ออื่น ๆ บ้างเล็กน้อยครับ

ซึ่งบทความในบล็อกนี้ก็จะรวบรวมมาจากประสบการณ์ส่วนตัวของกระผมเองครับ (หากมีข้อผิดพลาดก็ขออภัยไว้ล่วงหน้าเลยละกันนะครับ) และก็อยากใช้พื้นที่แห่งนี้เป็นแหล่งในการแลกเปลี่ยนความรู้ รวมไปถึงวิธีการหรือเทคนิคการตั้งค่าอุปกรณ์เครือข่าย กับทุก ๆ คนครับ

Tuesday, November 9, 2010

มาทำ VPN แบบง่าย ๆ บน Cisco IOS กับ GRE Tunnel กันเถอะ

GRE Tunnel

           สวัสดีครับเพื่อน ๆ ในวันนี้ผมจะขอแนะนำให้เพื่อน ๆ รู้จักกับการทำ VPN(Virtual Private Network) กันครับ โดยเทคโนโลยี VPN ในปัจจุบันได้เข้ามาเป็นอีกทางเลือกหนึ่ง ในการส่งข้อมูลระหว่างเครือข่าย ผ่านเครือข่ายสาธารณะ โดยใช้การสร้าง Tunnel ระหว่างต้นทางและปลายทาง ทำให้สามารถรับ-ส่งข้อมูลได้ เสมือนว่าเป็นเครือข่ายเดียวกัน โดย VPN ที่จะแนะนำให้เพื่อน ๆ รู้จักกันในวันนี้ นั้นสามารถตั้งค่าได้อย่างง่ายดาย รับรองว่าเพื่อน ๆ ทำการตั้งค่าไม่เกิน 3 นาทีก็สามารถใช้งาน VPN ได้ทันที ซึ่งก็คือการทำ VPN แบบ GRE Tunnel นั่นเองครับ

          การใช้งานโปรโตคอล GRE (Generic Routing Encapsulation) นั้นเป็นการทำ VPN โดยใช้การสร้าง Tunnel ขึ้นมาระหว่าง ต้นทางและปลายทาง ซึ่งจะไม่มีการตรวจสอบข้อมูลและรักษาความปลอดภัยใด ๆ ให้กับแพ็กเก็ต (ถ้าไม่มีการใช้ IPSec ในการทำงานร่วมด้วย) จุดเด่นของ GRE Tunnel ก็คือ มันสามารถที่จะทำงานร่วมกับ Dynamic Routing Protocol ได้ ซึ่งการใช้ IPSec VPN แบบธรรมดาจะไม่สามารถที่จะทำได้ และสามารถที่จะส่งข้อมูลได้ด้วยความรวดเร็วที่มากกว่าการใช้ IPSec VPN ครับ

          GRE ใช้โปรโตคอล IP หมายเลข 47 ลักษณะของแพ็กเก็ตของ GRE นั้น จะใช้การเพิ่ม GRE Header เข้าไปในไอพีแพ็กเก็ตในระดับ Layer 3 ทำให้แพ็กเก็ตที่ถูกห่อหุ้มด้วย GRE นั้นจะมีขนาดเพิ่มขึ้นอีก 24 bytes โดยจะประกอบไปด้วย IP Header ชุดใหม่ 20 bytes และ GRE Header 4 bytes

Packet

ขั้นตอนการตั้งค่า GRE Tunnel

  1. ทำการสร้างอินเทอร์เฟส Tunnel
  2. ตั้งค่าที่อยู่ของต้นทาง Tunnel
  3. ตั้งค่าที่อยู่ของปลายทาง Tunnel
  4. เปิดใช้งานอินเทอร์เฟส
  5. (option)ตั้งค่า routing

diagram

ตัวอย่างคอนฟิกบนเราเตอร์ Running-config-01
Running-config-01(config)#interface tunnel 0
Running-config-01(config-if)#ip address 172.16.10.253 255.255.255.252
Running-config-01(config-if)#tunnel source fastEthernet 0/0  //ใส่อินเทอร์เฟสที่เชื่อมต่อสู่ wan
Running-config-01(config-if)#tunnel destination 89.53.127.65 //ใส่ ip add ของเราเตอร์อีกฝั่ง
Running-config-01(config-if)#no shut
Running-config-01(config-if)#exit
Running-config-01(config)#router ospf 1
Running-config-01(config-router)#network 172.16.10.0 0.0.0.255 area 0
Running-config-01(config-router)#network 10.0.0.0 0.255.255.255 area 0
Running-config-01(config-router)#exit
Running-config-01(config)#exit

ตัวอย่างคอนฟิกบนเราเตอร์ Running-config-02
Running-config-02(config)#interface tunnel 0
Running-config-02(config-if)#ip address 172.16.10.254 255.255.255.252
Running-config-02(config-if)#tunnel source fa0/0
Running-config-02(config-if)#tunnel destination 115.121.34.129
Running-config-02(config-if)#no shut
Running-config-02(config-if)#exit
Running-config-02(config)#router ospf 1
Running-config-02(config-router)#network 172.16.10.0 0.0.0.255 area 0
Running-config-02(config-router)#network 10.0.0.0 0.255.255.255 area 0
Running-config-02(config-router)#exit
Running-config-02(config)#exi

การ show ip route บนเราเตอร์ Running-config-01 เมื่อทำการตั้งค่าเสร็จแล้ว
Running-config-01#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 115.121.34.130 to network 0.0.0.0

     115.0.0.0/30 is subnetted, 1 subnets
C       115.121.34.128 is directly connected, FastEthernet0/0
     172.16.0.0/30 is subnetted, 1 subnets
C       172.16.10.252 is directly connected, Tunnel0
     10.0.0.0/24 is subnetted, 2 subnets
C       10.75.10.0 is directly connected, FastEthernet0/1
O       10.75.20.0 [110/11121] via 172.16.10.254, 00:00:08, Tunnel0
S*   0.0.0.0/0 [1/0] via 115.121.34.130

การ show ip route บนเราเตอร์ Running-config-02 เมื่อทำการตั้งค่าเสร็จแล้ว
Running-config-02#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 89.53.127.66 to network 0.0.0.0

     172.16.0.0/30 is subnetted, 1 subnets
C       172.16.10.252 is directly connected, Tunnel0
     10.0.0.0/24 is subnetted, 2 subnets
O       10.75.10.0 [110/11121] via 172.16.10.253, 00:00:06, Tunnel0
C       10.75.20.0 is directly connected, FastEthernet0/1
     89.0.0.0/30 is subnetted, 1 subnets
C       89.53.127.64 is directly connected, FastEthernet0/0
S*   0.0.0.0/0 [1/0] via 89.53.127.66

wireshark

           เป็นไงครับ เพียงทำการตั้งค่าเท่านี้ เราก็สามารถใช้งาน VPN ได้แล้วนะครับ แต่เป็น VPN แบบที่ไม่มีการรักษาความปลอดภัยของข้อมูลนะครับ แต่มีข้อดีก็คือความรวดเร็วในการส่งข้อมูลครับ เหมาะสำหรับการใช้งานกับข้อมูลที่ไม่ได้ให้ความสำคัญกับการรักษาความปลอดภัยมากนัก แต่มุ่งเน้นไปที่ความรวดเร็วในการส่งข้อมูลมากกว่าครับ

1 comment :

  1. AnonymousMarch 1, 2012 at 11:53 AM

    อยากทราบว่าเราสามารถประยุกต์ใช้ GRE Tunnel กับ MLPS L3

    อย่างไร เซ็ทอย่างไรให้ทำ dynamic routing ได้ครับ

    ReplyDelete

Subscribe to: Post Comments (Atom)