Enterprise အများစုဟာ သူတို့ရဲ့Private Network တွေကို Service Provider တွေကနေ MPLS/ VPLS/IPLC တွေကို ဈေးကြီးကြီးနဲ့ ငှားရမ်းပီး တစ်ရုံးနဲ့တစ်ရုံးချိတ်ဆက်ထားလေ့ရှိပါတယ်၊သူတို့ရဲ့ Internal application/ IntraNet ကို အဲဒီ Priviate Network ပေါ်ကနေအသုံးပြုကြပါတယ်၊
တစ်ချို့တွေဆို အရေးကြီးတဲ့နေရာတွေမှာ Circuit နှစ်ခုလောက်သုံးလေ့ရှိပါတယ်၊တစ်ချို့ကတော့ ပိုပီးသေချာအောင် Provider နှစ်ခုကနေ MPLS/VPLS Network/Ring နှစ်ခုဖန်တီးထားပီး Load Sharing/ Failover အနေနဲ့သုံးတာလဲရှိပါတယ်။ ပြဿနာက အဲဒီ Provider တွေရဲ့Core Network ဟာဘယ်လောက်ပဲကောင်းကောင်း နိုင်ငံတကာကိုချိတ်ဆက်ဖို့ရာအတွက် အဲဒီနိုင်ငံတွေရဲ့ Local Provider ကိုပြန်ပီး အသုံးပြုရတော့ သူတို့မကောင်းရင် Main Provider တွေကိုလဲထိခိုက်တာပါပဲ။ Customer network တစ်ခုမှာ ခုနကပြောသလို Provider နှစ်ခုကနေ VPLS Network တစ်ခုစီယူထားပီး Local provider ကိုလဲနှစ်ခုမတူအောင် Main proivder တွေကို သေချုာမှာထားပါတယ်၊ ဒီတော့ အတော်စိတ်ချရတယ်လို့ပြောလို့ရပါတယ်၊ ကိုယ်က Customer ဆိုရင်ဒါတွေဟာထည့်ပီးစဉ်းစား ထားရမယ့် အချက်တွေဖြစ်ပါတယ်၊
ဖြစ်ချင်တော့ မနှစ်က China က မြို့တမြို့မှာ Data Center တစ်ခုမီးလောင်ပါရော၊ Local provider နှစ်ခုရဲ့ Network Exchange နှစ်ခုလုံးဟာ အဲဒီ DataCenter မှာသွားဆုံပါတယ်၊ ဒီတော့ Network နှစ်ခုလုံး ထိတော့တာပေါ့၊ အဲဒီ Site ဟာလဲ သူတို့ရဲ့ Private Network ကိုဘယ်လိုမှချိတ်ဆက်လို့ မရတော့ပါဘူး၊ ကျွန်တော်တို့အဖွဲ့ကို Priority 1 Incident အနေနဲ့ရောက်လာပါတယ်၊ ကံကောင်းချင်တော့ အဲဒီ Site မှာ တစ်ခြား Provider တစ်ခုကနေယူထားတဲ့ Internet link တစ်ခုကတက်နေသေးတာတွေ့ရပါတယ်၊ ဒီတော့ အဲဒီအခွင့်အရေးကို အသုံးပြုပီး တစ်ခြား Site တစ်ခုနဲ့ Internet link ပေါ်ကနေ GRE Tunnel တစ်ခုဆောက်ပီး Routing run ပေးလိုက်ပါတယ်။ နာရီဝက်အတွင်းမှာ အဲဒီ Site ဟာ တစ်ခြား Site တွေနဲ့ပြန်ပီးချိတ်ဆက်လို့ရသွားပါတယ်။ Tunnel Configuration ဟာသိပ်မခက်ပေမယ့် ကျန်တဲ့ Site တွေအားလုံးကိုရောက်ဖို့ Routing ပိုင်းကတော့ အတော်လက်ဝင်တာပေါ့၊ ကြီးကြီးမားမား ကိစ္စတစ်ခုမဟုတ်ပေမယ့် သူတို့အရေးပေါ်အခ်ျိန်မှာ အချိန်တိုအတွင်း ပြန်လည်အသုံးပြုလို့ရသွားတဲ့အတွက် ကိုယ်လည်းနာမည်ကောင်းရသွားပါတယ်၊ ငွေကြေးအဖွဲ့အစည်းဖြစ်တဲ့ အတွက် သူတို့ အဆိုအရဒေါ်လာ ထောင်၊သောင်းချီတဲ့ ဆုံးရှုံးမှုမျိုးကို မကြုံလိုက်ရတော့ဘူးပေါ့၊ GRE ရဲ့အရေးပါ၊ အသုံးဝင်ပုံကိုလဲ အခုလိုအချိန်မှာပိုပီး ပေါ်လွင်သွားတာပေါ့။
မေးစရာတစ်ခုက IPSec VPN ဆိုရင်ကောမရဘူးလား။ အတိုင်းအတာတစ်ခုအထိတော့ရနိုင်ပါတယ်၊ ဒါပေမယ့် အခုလိုအနေအထားမျိုးမှာ Dynamic Routing သုံးဖို့အတွက် GRE ဟာအသင့်အတော်ဆုံးဖြစ်ပါတယ်၊ IPsec လို Interesting traffic တွေသတ်မှတ်၊ Static routes တွေရေးနေဖို့အချိန်မရပါဘူး၊ ဒါဟာ GRE ရဲ့ Multicast ကို support လုပ်တဲ့ အဓိကအားသာချက်လည်းဖြစ်ပါတယ်၊ အဲဒီ Site တွေရဲ့တစ်ဖက်စီမှာ IPv6 Network တွေသာ ရှိခဲ့မယ်ဆို GRE ရဲ့အသုံးတဲ့ပုံကို လာနှိုင်းဖို့ကိုလိုမယ်မထင်ပါ။ တစ်ဖက်ကလဲ GRE ဟာ Encapsulation သက်သက်ပဲ Security အပိုင်းအရ အားနည်းချက်ရှိတယ်လိုဆိုနိုင်ပါတယ်။ ဒီအတွက်တော့ GRE ဟာ IPsec နဲ့ပူးပေါင်းပီး လုပ်ဆောင်နိုင်တဲ့အတွက် ပြဿနာ မရှိပါဘူး၊ ဒါကိုတော့ GRE over IPSec လို့ခေါ်ပါတယ်။ Router တစ်လုံးထဲမှာ အတူသုံးသုံး၊ တစ်ခြား Router မှာ ခွဲပီးလို့ပဲသုံးသုံး၊ ဒါမှမဟုတ်ရင် Firewall IPsec အနောက်မှာပဲထားပီးသုံးချင်သုံး အကုန်အဆင်ပြေပါတယ်။ Internet ပေါ်က Tunnel တွေမှာ GRE over IPsec ကိုပဲသုံးလေ့ရှိပါတယ်။ အတွင်း Private Network/ WAN တွေမှာတော့ IPsec မသုံးလဲရပါတယ်။ နောက်ထပ်မေးစရာတစ်ခုထပ်ပေါ်လာမှာက ဘာကြောင့် Local LAN/WAN တွေမှာ GRE သုံးတာလဲ၊ လိုလို့လားဆိုရင် လိုပါတယ်၊ ဥပမာ Corporate Network ထဲမှာ အပြင်လူတွေအတွက် Guest Network ပေးချင်ရင် VLAN ခွဲသုံးတာထက် GRE ပါရောသုံးရင် Administration အရပိုပီးသက်သာတာပေါ့၊ နောက်တစ်ခုအနေနဲ့ဆိုရင် လက်ရှိ Network မှာသုံးနေတဲ့ Routing protocol ကိုမသုံးချင်လို့လိုအပ် ချက်အရ Site အချင်းချင်းရဲ့အတွင်းက Network Segment တွေကို GRE နဲ့ပိုပီးနီးစပ်တဲ့ Network တွေအဖြစ် မြင်စေချင်တာမျိုး၊ စတာတွေမှာအသုံးပြုနိုင်လိုသလို Admin ရဲ့ Design အမြင်အရလိုရင်လိုသလို အသုံးပြုနိုင်ပါတယ်။
Configuration ပိုင်းအရပြောရရင်တော့ အဓိက က Tunnel source/Destination IP တွေဟာ တစ်ဖက်နဲ့တစ်ဖက် Reachability ရှိရပါမယ်၊ အရေးကြီးတာက အဲဒီ IP တွေကို Tunnel ကရလာမယ့် Route ထဲမှာ မပါဖို့လိုပါတယ်၊ Tunnel destination IP ကို Tunnel Interface ကနေပြန်သွားရင် Tunnel flapping ဖြစ်ပီးပြဿနာတက်နိုင်ပါတယ်၊ ဒါကို GRE Tunnel Recursive Routing လို့ခေါ်ပါတယ်။ နောက်တစ်ခုက MTU ပြဿနာမဖြစ်အောင် MTU နဲ့MSS ပြောင်းပီးထည့်ပေးရပါတယ်၊ Tunnel Interface IP နှစ်ခု Reachability ရသွားပီ၊ Tunnel Interface up သွားပီဆိုရင်တော့ ကျန်တာက Routing ပိုင်းပဲရှိပါတယ်။
စိတ်ဝင်စားသူများအတွက်
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/interface/configuration/15-mt/ir-15-mt-book/ir-impl-tun.html#GUID-BDADC8EF-90C1-4F2A-9899-33DE36D823CB
http://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/WAN_and_MAN/P2P_GRE_IPSec/P2P_GRE_IPSec/2_p2pGRE_Phase2.html
ကိုဖြိုး
No comments:
Post a Comment