ยินดีต้อนรับสู่ show running-config ครับ

บล็อก show running-config นี้สร้างไว้เพื่อเป็นแหล่งรวบรวมเทคนิคการตั้งค่าอุปกรณ์เครือข่าย Cisco ไม่ว่าจะเป็น Cisco IOS Router, Cisco Catalyst Swtich, Cisco ASA Firewall, Cisco Mars เป็นต้น รวมทั้งอาจจะมีเทคนิคการตั้งค่าอุปกรณ์ในยี่ห้ออื่น ๆ บ้างเล็กน้อยครับ

ซึ่งบทความในบล็อกนี้ก็จะรวบรวมมาจากประสบการณ์ส่วนตัวของกระผมเองครับ (หากมีข้อผิดพลาดก็ขออภัยไว้ล่วงหน้าเลยละกันนะครับ) และก็อยากใช้พื้นที่แห่งนี้เป็นแหล่งในการแลกเปลี่ยนความรู้ รวมไปถึงวิธีการหรือเทคนิคการตั้งค่าอุปกรณ์เครือข่าย กับทุก ๆ คนครับ

Wednesday, June 1, 2011

มาทำความรู้จักกับ Cisco WebVPN (SSL VPN) กันเถอะ

Cisco SSL VPN

          ในสมัยก่อน การติดต่อสื่อสารระหว่างเครือข่ายส่วนตัวที่อยู่ห่างไกลกันนั้น จะต้องใช้บริการอย่างเช่น leased-line หรือ frame relay ที่มีราคาที่ค่อนข้างสูง แต่ในปัจจุบันนี้ ได้มีการใช้งาน VPN ซึ่งมีความสามารถในการเชื่อมต่อเครือข่ายส่วนตัวเข้าด้วยกันผ่านเครือข่ายสาธารณะได้ โดยมีค่าใช้จ่ายที่น้อยกว่าการใช้งาน leased-line พร้อมทั้งมีการรักษาความปลอดภัยในการส่งข้อมูล โดยการเข้ารหัสข้อมูลที่ทำการส่งออกไป ซึ่งโปรโตคอลที่นำมาใช้ในการเข้ารหัสข้อมูลนี้ก็มีหลากหลายรูปแบบ ยกตัวอย่างเช่น IPSec ที่เคยได้แนะนำให้เพื่อน ๆ ได้ทำความรู้จักกันไปบ้างแล้วในบทความเก่า ๆ แต่ในวันนี้ ผมจะขอแนะนำให้เพื่อน ๆ ได้รู้จักกับ VPN อีกประเภทหนึ่ง ที่ใช้ SSL (Secure Socket Layer) ในการรักษาความปลอดภัยของขัอมูล นั่นก็คือการใช้งาน WebVPN นั่นเองครับ

          การใช้งาน WebVPN หรือ SSL VPN จะทำให้ผู้ใช้ที่ต้องการเชื่อมต่อในลักษณะ Remote access สามารถเชื่อมต่อมายังเครือข่ายส่วนตัวได้ โดยไม่ต้องทำการติดตั้งซอฟต์แวร์พิเศษใด ๆ เพิ่มเติมลงบนเครื่องคอมพิวเตอร์ของผู้ใช้ โดยสามารถเชื่อมต่อมายังเครือข่ายส่วนตัวได้ผ่านการใช้งาน Web Browser ที่มีการใช้งานอยู่ทั่วไป เช่น Internet Explorer โดยจะใช้โปรโตคอล SSL (Secure Socket Layer) และ TLS (Transport Layer Security) ในการเข้ารหัสข้อมูล เพื่อรักษาความปลอดภัยในการติดต่อสื่อสาร ทำให้มีความยืดหยุ่นต่อการนำมาปรับใช้งาน โดยสามารถที่จะเชื่อมต่อจากเครื่องคอมพิวเตอร์เครื่องใดก็ได้ที่มีการใช้งาน Web Browser และเชื่อมต่อสู่อินเทอร์เน็ตอยู่ ซึ่งจะแตกต่างจากการใช้งาน Cisco IPSec VPN Client (บทความ:การตั้งค่า Client to Site IPSec VPN แบบ Pre-Shared Key Authentication บน Cisco IOS Router) ที่ในฝั่งของผู้ใช้จะต้องทำการติดตั้งและตั้งค่าซอฟต์แวร์พิเศษ (Cisco IPSec VPN Client)เพื่อที่จะใช้ในการเชื่อมต่อมายัง Cisco IPSec VPN Server ทำให้ค่อนข้างลำบากต่อการนำมาปรับใช้งานในบางครั้ง ตัวอย่างเช่น ต้องการเชื่อมต่อจากเครื่องที่ไม่ใช่เครื่องคอมพิวเตอร์ขององค์กร หรือจากเครื่องคอมพิวเตอร์ที่ไม่ได้มีการติดตั้งซอฟต์แวร์ Cisco IPSec VPN Client เอาไว้ เช่น การเชื่อมต่อจากเครื่องคอมพิวเตอร์ส่วนบุคคล หรือการเชื่อมต่อจากเครื่อง kiosks เป็นต้น

          สำหรับอุปกรณ์ที่รองรับกับการนำมาใช้งานเป็น WebVPN Server นั้น สามารถใช้ได้ทั้ง Cisco IOS Router หรือจะใช้ Cisco ASA Firewall ก็ได้ โดยจะมีรูปแบบการใช้งานที่เหมือนกัน แต่จะแตกต่างกันในรายละเอียดในการตั้งค่า ซึ่งจะกล่าวถึงในบทความต่อ ๆ ไปนะครับ

1-6-2554 3-04-15 

Cisco WebVPN มีรูปแบบการใช้งานอยู่ 3 รูปแบบ ดังนี้

  1. Clientless
  2. Thin-client (Port-forwarding Java applet)
  3. Tunnel mode (SVC)

Clientless Mode

          ผู้สามารถเชื่อมต่อเข้าสู่ WebVPN Server เพื่อใช้งานทรัพยากรภายในเครือข่ายได้ด้วยการใช้งาน Web Browser โดยไม่ต้องทำการติดตั้งซอฟต์แวร์พิเศษใด ๆ เพิ่มเติม แต่จะสามารถใช้งานทรัพยากรของเครือข่ายภายใน ได้ในรูปแบบของ Web Application เท่านั้น เช่น การใช้งานเวปไซต์ภายใน intranet หรือการใช้ CIFS ผ่านหน้าเวปไซต์ เป็นต้น เป็นการเชื่อมต่อเข้าใช้งานในระดับ Application Layer ซึ่งรองรับการใช้งานเฉพาะบาง Application เท่านั้น ไม่สามารถใช้งานทรัพยากรของเครือข่ายภายในได้ทุก ๆ อย่าง

ข้อดีของการใช้งาน Clientless Mode

  • ผู้ใช้สามารถเชื่อมต่อเพื่อใช้งานทรัพยากรต่าง ๆ ในรูปแบบ Web Based จากที่ใดก็ได้ที่สามารถเชื่อมต่อสู่อินเทอร์เน็ตได้
  • ผู้ใช้ไม่จำเป็นที่จะต้องลงซอฟต์แวร์พิเศษใด ๆ เพิ่มเติม เพียงแค่ใช้งาน Web Browser ทั่วไปก็ได้
  • รองรับการใช้งาน Web Application ทั้งแบบ HTML และ JavaScript
  • รองรับการใช้งานในรูปแบบ ดังนี้ Intranet, Citrix, Windows file share(Common Internet File System(CIFS))
  • รองรับการใช้งานร่วมกับ Web Browser ที่หลากหลาย

Thin-Client Mode (Port-forwarding)

          ในโหมดนี้ จะสามารถใช้ Web Browser ในการเชื่อมต่อเข้ามา เพื่อใช้งาน Application ในรูปแบบ TCP-Based ได้ ต่างจาก Clientless Mode ที่สามารถใช้งานได้เฉพาะ Web Application เท่านั้น โดย Application ที่รองรับจะต้องใช้งาน TCP Well-known port ที่ใช้ Static Port เท่านั้น (ไม่รองรับการใช้งานกับ Application ที่ใช้ Dynamic port) โดยทั่วไป Application ที่ใช้งานโหมดนี้จะเป็นพวก e-mail เช่น POP3, SMTP, IMAP หรือจำพวก Application ที่ใช้งาน Static port เช่น Telnet, SSH, SNMP เป็นต้น

          การทำงานในโหมดนี้ เครื่องของผู้ใช้จะต้องทำการดาวน์โหลด Java Applet โดยการคลิ้กลิ้งค์ที่มีอยู่บนหน้าเวปเพจ เพื่อนำมาใช้งานเสมือนเป็น TCP Proxy บนเครื่องของผู้ใช้ เพือให้ผู้ใช้สามารถใช้งานตาม Application ที่ได้กำหนดไว้ได้

1-6-2554 3-07-43

ข้อดีของการใช้งาน Thin-Client Mode

  • ผู้ใช้สามารถใช้งาน Application ที่อยู่นอกเหนือจากรูปแบบ Web Based ได้ ยกตัวอย่างเช่น
    POP, SMTP, IMAP e-mail
  • Instant messaging
  • Calendar
  • Client-initiated TCP-based applications อย่างเช่น Telnet

ข้อจำกัดในการใช้งาน Thin-Client Mode

  • ผู้ใช้จะต้องอนุญาตและทำการติดตั้ง Java Applet
  • ไม่สามารถใช้งานกับ Application ที่มีการใช้งานแบบ Dynamic Port ได้ เช่น FTP
  • ในบาง Application ต้องการสิทธิการใช้งานในระดับ Administrator เพื่อการใช้งานที่ต่อเนื่อง

Tunnel Mode (SVC)

          ในโหมดนี้ ผู้ใช้จะทำการสร้าง SSL Tunnel เข้ามายัง WebVPN Server โดยจะเป็นการเชื่อมต่อในระดับ Network Layer ซึ่งจะต่างกับ Clientless Mode ที่จะเป็นการเชื่อมต่อในระดับ Application Layer เท่านั้น ทำให้ Tunnel Mode นี้ รองรับการใช้งาน Application ได้ทุก ๆ อย่าง ที่ทำงานในรูปแบบ IP-Based เหมือนกับการใช้งาน IPSec VPN โดยเมื่อผู้ใช้ทำการเชื่อมต่อเข้ามาใช้งาน จะเสมือนว่ากำลังใช้งานอยู่บนเครือข่ายเดียวกันกับเครือข่ายภายในขององค์กร จะสามารถใช้งาน Application ได้ทุกอย่าง เหมือนกับเครื่องที่ติดตั้งใช้งานอยู่ภายในองค์กร ซึ่งเราสามารถที่จะทำการกำหนดสิทธิการใช้งานของผู้ใช้ที่ทำการเชื่อมต่อผ่าน WebVPN เข้ามาได้ ด้วยการตั้งค่า Group Policy เพื่อควบคุมการใช้งานต่าง ๆ ของผู้ใช้ได้

          การที่จะใช้งาน WebVPN ในโหมดนี้ บนเครื่องคอมพิวเตอร์ของผู้ใช้จะต้องทำการดาวน์โหลด Cisco SVC(SSL VPN Client) ซึ่งเป็น Application ที่ใช้สำหรับสร้าง SSL Tunnel ไปยัง WebVPN Server ที่มีขนาดประมาณ 250 KB ไปติดตั้งในเครื่องคอมพิวเตอร์ของผู้ใช้ เพื่อให้สามารถทำการเชื่อมต่อเข้ามายัง WebVPN Server ได้ และโดยปกติ Cisco SVC จะถูกถอนการติดตั้งออกไปเมื่อ ยกเลิกหรือหยุดการเชื่อมต่อ

1-6-2554 3-33-23

          ในวันนี้ผมก็ขอแนะนำให้เพื่อน ๆ ได้รู้จักกับ Cisco WebVPN (SSL VPN) เพียงเท่านี้ก่อนนะครับ ในโอกาสหน้าจะมาแนะนำการตั้งค่า WebVPN ในรูปแบบต่าง ๆ บนอุปกรณ์ Cisco กันต่อไปครับ… ^_^

No comments:

Post a Comment