What is VPN?
ဒီနေ့ Knowledge Sharing လုပ်ပေးချင်တဲ့ အကြောင်းအရာလေးကတော့ VPN အကြောင်းအရာလေးပဲ ဖြစ်ပါတယ်။ VPN ဆိုတာကတော့ Virtual Private Network ကိုဆိုလိုတာဖြစ်ပြီး ကနေ့ခေတ်မှာဆိုရင် လူတိုင်းလည်း VPN နဲ့ရင်းနှီးကြလိမ့်မယ်လို့ထင်ပါတယ်။ VPN ဆိုတာကတော့ မတူညီတဲ့ Local Area Network နှစ်ခုက Public Internet ကိုဖြတ်ပြီး တစ်ဖက်နဲ့တစ်ဖက် Communicate လုပ်လို့ရတဲ့ Wide Area Network (WAN) Technologies တစ်ခုပဲဖြစ်တယ်။ ဆိုတော့ VPN မသုံးပဲရော Site တစ်ခုနဲ့တစ်ခု တစ်နည်းအားဖြင့် မတူညီတဲ့ LAN နှစ်ခုအဆက်သွယ်လုပ်လို့ရလားဆိုရင်တော့ ရပါတယ်။ ISP ကလက်ရှိပေးနေတဲ့ DPLC, DLLS, IPLC စတဲ့ Special Circuit တွေဝယ်ပြီးတော့ ချိတ်ဆက်မယ်ဆိုရင်လည်းရပါတယ်။ ဒါပေမယ့် ISP ဆီက Special Circuit တွေဝယ်သုံးရတာက လစဉ်ကြေးနဲ့တင် ဈေးကြီးပါတယ်။ Connectivity နဲ့ပတ်သက်လို့ကတော့ အာမခံချက်ရှိပေမယ့် ဈေးကြီးတယ် တော်ရုံ Budget နဲ့ဆိုရင်အဆင်မပြေဘူး အဲ့ဒီတော့ နောက်ပိုင်း Leased Line Services တွေဝယ်မယ့်အစား Budget သက်သာတဲ့ VPN ကိုပဲအသုံးပြုကြတော့တယ်။ VPN ကဘာလို့ Budget သက်သာတာလဲဆိုရင် ISP ဆီက Special Circuit တွေဝယ်စရာမလိုပဲ Site နှစ်ခုစလုံးမှာပဲဖြစ်စေ၊ Site တစ်ခုတည်းမှာပဲဖြစ်စေ Public IP ရှိရုံနဲ့ တစ်ဖက်နဲ့တစ်ဖက် အဆက်သွယ်လုပ်လို့ရလို့ပဲဖြစ်တယ်။ ဒါပေမယ့်တချို့ Enterprise Network တွေမှာတော့ DPLC Service ရော VPN ရော Primary/Secondary အနေနဲ့နှစ်မျိုးလုံး အသုံးပြုတာတွေလည်းရှိတယ်။ VPN ကိုတော့ အခြေခံအားဖြင့် Site To Site VPN နဲ့ Remote Access VPN ဆိုပြီး နှစ်မျိုးခွဲထားတယ်။
Site To Site VPN
Head Office နဲ့ Branch office နဲ့ဖြစ်စေ၊ Branch Office အချင်းချင်းပဲဖြစ်စေ၊ Data Center နဲ့ Data Recovery (DC/DR) ကို Primary/Secondary ပုံစံမျိုးနဲ့ဖြစ်စေ၊ ချိတ်ဆက်တဲ့ အခါမှာ Site To Site VPN ကိုအသုံးပြုရမှာ ဖြစ်ပါတယ်။ Topology Point Of View ကကြည့်မယ်ဆိုရင် Point To Point ချိတ်မလား၊ Point To Multipoint ချိတ်ဆက်မလားဆိုတဲ့ Option နှစ်ခုလည်းရှိပါတယ်။ Point To Point ချိတ်ဆက်မယ်ဆိုရင်တော့ Cisco Vendor မှာဆိုရင်တော့ Generic Routing Encapsulation ဆိုတဲ့ GRE ရှိပါတယ်။ ဒါပေမယ့် GRE က Public Internet ပေါ်ကို Actual IP Header မှာ GRE Header အုပ်ပြီးသွားတဲ့ Encapsulation Method ပဲရှိတာဖြစ်ပြီး Data Integrity, Data Encryption, Authentication စတာတွေအတွက် Internet Protocol Security ကိုအသုံးပြုမှ Security Point Of View ကနေကြည့််ရင် secure ဖြစ်မှာဖြစ်ပါတယ်။ IPSec ကတော့ IETF Standard ဖြစ်တဲ့အတွက် Cisco မှမဟုတ်ဘဲ ဘယ် Vendor မဆိုအသုံးပြုလို့ရပါတယ်၊။ Configuration Point Of View အပေါ်မူတည်ပြီး IPSec Only ကိုပဲ Routing ကအစ Policy-Based နဲ့သွားမှာလား၊ Cisco မှာဆိုရင် IPsec Over GRE ဒါမှမဟုတ် GRE Over IPsec စသဖြင့် GRE နဲ့အတူပူးတွဲပြီးအလုပ်လုပ်မှာလား၊ GRE မပါပဲ Tunnel Interface ကိုပဲ IPsec ပဲထားပြီး Tunnel ပေါ်မှာ Route စိတ်ကြိုက်ကစားလို့ရတဲ့ Virtual Tunnel Interface (VTI) ပုံစံနဲ့သွားမှာလား စသဖြင့် သက်ဆိုင်ရာ Customer Requirement ပေါ်မူတည်ပြီး Configuration အမျိုးမျိုး ပြုလုပ်နိုင်ပါတယ်။
Point To Multipoint ချိတ်ဆက်မယ်ဆိုရင်တော့ Cisco မှာဆိုရင် Multipoint GRE ဆိုခေါ်တဲ့ mGRE Protocol သုံးပြီး Encapsulate လုပ်ထားတဲ့ Dynamic Multipoint VPN လို့ခေါ်တဲ့ DMVPN ကိုအသုံးပြုနိုင်ပါတယ်။ တခြား Vendor တွေမှာဆိုရင်လည်း IPSec ကိုအခြေခံပြီးတော့မှ မိမိကြိုက်နှစ်သက်ရာ Topology (Point To Point, Point To Multipoint & Full Mesh) ဆိုပြီး တည်ဆောက်လို့ရပါတယ်။ Phase 1, 2, 3 စတဲ့ Traffic Flow အပေါ်အခြေခံပြီး Hub and Spoke နဲ့ Full-Mesh ဆိုပြီးလည်းနှစ်မျိုးထပ်ကွဲပါတယ်။
တစ်ခုရှိတာက Site To Site VPN မှာဆိုရင် Point To Point ပဲဖြစ်ဖြစ်၊ Point To Multipoint ပဲဖြစ်ဖြစ်၊ သက်ဆိုင်ရာ Site တွေရဲ့ Router တွေရဲ့ WAN Interface တွေမှာ ရှိမယ့် IP သည် Public IP ဖြစ်မှရပါမယ်။ အဲအတွက် ISP ဆီကနေ Direct Internet Access (DIA) လိုင်းတော့ဝယ်ရမယ်၊ သာမန် ISP ကချပေးထားတဲ့ CPE Router ရဲ့ WAN Interface မှာရှိတဲ့ IP ကတော့ Public IP မဟုတ်ပါဘူး၊ ဘာကြောင့် Public IP ဖြစ်မှရတာလဲ ဆိုရင် Public IP က ISP-to-ISP BGP Route Connection တွေအကူညီနဲ့ တစ်ကမ္ဘာလုံးမှာရှိတဲ့ ISP တိုင်းရဲ့ BNG Router တိုင်းရဲ့ Routing Table ထဲမှာ Public Route အနေနဲ့ရောက်ရှိနေလို့ပဲဖြစ်ပါတယ်၊ ဆိုတော့ Router နှစ်လုံးရဲ့ WAN Interfaces နှစ်ခုစီကတော့ Public IP ကိုယ်စီရှိတဲ့အတွက် Ping လို့ရမယ်၊ ဒါပေမယ့် အတွင်းက LAN Network ဖက်အထိတော့မရောက်ဘူး၊ အဲအတွက် VPN Tunnel ထိုးပေးရမယ်။ အဲတာကို Site To Site VPN လို့ခေါ်ပါတယ်။ တကယ်လို့များ Router တစ်လုံးမှာပဲ Public IP ရှိပြီး တစ်ဖက် Site က Router မှာတော့ Public IP မရှိဘူးဆိုရင်လည်း Public IP Direct Access ရတဲ့ CPE Router တစ်လုံးကို အရှေ့မှာထား NAT Traversal ကိုသုံးပြီး အနောက်က Router ရဲ့ WAN Interface က Private IP ကို Port Forward လုပ်လို့ရပါတယ်။ UDP 4500 နဲ့ UDP 500 နှစ်ခုကို Forward လုပ်ရမှာဖြစ်ပါတယ်။ ဒီတစ်ပတ်ကတော့ ဒီလောက်ပါပဲ။ နောက်တပတ်မှ Remote Access VPN အကြောင်းနဲ့အတူ တစ်ဖန်ပြန်ဆက်ပါမယ်။
Written By Aung Khant MoeLast updated