VPN คืออะไร
VPN คือ ระบบเครือข่ายส่วนบุคคลที่มีการรักษาความปลอดภัย ซึ่งทำงานอยู่บนระบบเครือข่ายสาธารณะ โดยเครือข่ายทั้งสองนี้มีจุดเข้า-ออกร่วมกัน เช่น ระบบ WAN ส่วนบุคคลบนอินเทอร์เน็ตที่มีอยู่เดิม ช่วยให้คุณเสียค่าบำรุงรักษาระบบ WAN เพียงอย่างเดียว แทนที่จะต้องเสียค่าใช้จ่ายกับระบบอินเทอร์เน็ตด้วย
บางที คุณอาจเคยได้ยินการเปรียบเทียบข้อมูลที่ถูกส่งผ่านอินเทอร์เน็ต ว่าเหมือนกับข้อความที่ถูกเขียนลงบนโปสการ์ด โดยหากคุณส่งโปสการ์ดแบบไม่ใส่ซองปิดผนึก ไม่ว่าใครก็ตามที่หยิบจับมันก็สามารถอ่านข้อความนั้นได้ เช่นเดียวกับการส่งข้อมูลบนเครือข่ายอินเทอร์เน็ตทั่วไป ไม่ว่าใครก็ตามที่มีฝีมือมากพอ ก็สามารถแอบอ่านข้อมูลของคุณได้เหมือนกัน ซึ่งไม่ปลอดภัย
ดังนั้น ถ้าต้องการความปลอดภัยมากขึ้น คุณก็ต้องเขียนข้อความบนกระดาษ แล้วใส่ซองปิดผนึกก่อนที่จะหย่อนลงตู้ไปรษณีย์ ซึ่งถึงแม้เป็นวิธีที่ต้องใช้ความพยายามเพิ่มอีกนิด แต่ก็ไม่มีผู้ใดเห็นข้อความนั้นอีก เช่นเดียวกับระบบ VPN ที่สามารถปกป้องข้อมูลของคุณได้ ขณะที่เดินทางจากฝั่งหนึ่งไปยังอีกฝั่งหนึ่งของระบบเครือข่าย
เชื่อมต่อสำนักงานเข้าด้วยกัน
ลองพิจารณาบริษัทที่ประกอบด้วยสำนักงานใหญ่ และสำนักงานสาขาย่อย ซึ่งระบบเครือข่ายทั้งคู่เชื่อมต่อกับอินเทอร์เน็ต สำนักงานเหล่านี้ จะมีทางเลือกในการสื่อสารข้อมูลได้สองทาง ได้แก่ การใช้อุปกรณ์จำพวก ISDN สายเคเบิล T1 หรือเฟรมรีเลย์เชื่อมแต่ละไซต์เข้าหากัน ซึ่งเป็นกรรมวิธีที่นิยมใช้กันทั่วไป แต่เสียค่าธรรมเนียมในการเช่าสายสูง
อีกทางเลือกหนึ่ง ถ้าสำนักงานทั้งคู่มีการเชื่อมต่ออินเทอร์เน็ต และ LAN ในเวลาเดียวกัน คุณก็เพียงกำหนดให้เซิร์ฟเวอร์ที่รันวินโดวส์ 2000 ในแต่ละแห่งลิงก์เข้ากันด้วย VPN ได้ ดังภาพที่ 1 ที่แสดงตัวอย่างของระบบ WAN ที่ประกอบด้วยเซิร์ฟเวอร์ชื่อ MAIN-OFFICE และ REMOTEOFFICE จะเห็นว่าเครื่องฝั่งสำนักงานใหญ่มีซับเน็ต (Subnet) อยู่ในช่วงระหว่าง 172.16.0.1 ถึง 172.16.0.254 และฝั่งสำนักงานสาขาย่อยก็มีช่วงซับเน็ตที่ 192.168.0.1 ถึง 192.168.0.254 พร้อมทั้งมีอินเทอร์เน็ตคั่นกลาง ซึ่งคุณสามารถใช้สร้างเครือข่าย VPN ได้ โดยในบทความฉบับนี้ แอดเดรสใดที่อยู่ในช่วง 10.x.x.x จะหมายถึงแอดเดรสที่เป็นของอินเทอร์เน็ตสาธารณะ
เราลองมาสมมติกันว่า ไซต์ทั้งคู่ล้วนมีการเชื่อมต่ออินเทอร์เน็ตแบบถาวร และมีหมายเลขไอพีที่ตายตัวจากไอเอสพี ถึงแม้คุณจะสามารถเซต VPN ให้ทำงานกับการเชื่อมต่ออินเทอร์เน็ตแบบ Dial-up ได้ แต่การใช้การเชื่อมต่อแบบถาวรจะทำได้ง่ายกว่า และหมายเลขไอพีที่ตายตัวก็จำเป็นสำหรับไซต์แต่ละแห่ง เพราะว่าคุณจะต้องเจาะจงเส้นทางเดินข้อมูลที่แน่นอน ซึ่งต้องอาศัยแอดเดรสที่ตายตัวด้วย
ส่วนบรรดาเซิร์ฟเวอร์ที่รันวินโดวส์ 2000 ในตัวอย่างเป็นเครื่องที่ทำงานแบบสแตนอโลน (ไม่ใช่เครื่องที่เป็นสมาชิกของโดเมน หรือ แอ็กทีฟไดเรกทอรี : AD ใดๆ ) และมีเพียงระบบปฏิบัติการวินโดวส์ 2000 เซิร์ฟเวอร์ ติดตั้งอยู่เท่านั้น ด้วยเหตุผลด้านความปลอดภัย เซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต ควรมีบัญชีผู้ใช้ให้น้อยที่สุดเท่าที่จะน้อยได้ ซึ่งทำให้หลีกไม่พ้นที่จะใช้เครื่องสแตนอโลนดังที่กล่าวมา นอกจากนี้ การที่เราแนะนำให้ในเครื่องมีเพียงวินโดวส์ 2000 ก็เนื่องจากการติดตั้งโปรแกรมต่างๆ เช่น Microsoft Proxy Server, Microsoft Exchange Server, RRAS หรือ Microsoft IIS บนเซิร์ฟเวอร์เดียวกันนั้น ทำให้คอนฟิกูเรชันที่แต่ละโปรแกรมสร้างขึ้นตีกันยุ่งเหยิงเกิดปัญหาได้
ขั้นตอนและวิธีการ
ตอนนี้ เรามาทำความเข้าใจขั้นตอนและวิธีการสร้างระบบ VPN ในภาพรวมกัน โดยเริ่มแรกที่แต่ละไซต์ คุณต้องกำหนดอินเทอร์เฟซ Demand-Dial (เป็นศัพท์เทคนิคที่ทางไมโครซอฟท์ใช้เรียกอินเทอร์เฟซการเชื่อมต่ออินเทอร์เน็ตระหว่างเซิร์ฟเวอร์ - ไม่ใช่การเชื่อมต่อผ่านสายโทรศัพท์อย่างที่บางคนเข้าใจ) ซึ่งชี้ไปยังเซิร์ฟเวอร์วินโดวส์ 2000 ของฝั่งตรงข้าม และเส้นทางตายตัว (Static Route) ที่นำไปสู่ระบบเครือข่ายฝั่งตรงข้ามก่อน จากนั้น คุณสร้างบัญชีผู้ใช้ที่แต่ละไซต์สำหรับให้เราเตอร์เรียกใช้ เมื่อถึงคราวเชื่อมต่อไซต์เข้าด้วยกัน สุดท้าย คุณก็กำหนดคอนฟิกให้เวิร์กสเตชันต่างๆ บนแต่ละเครือข่ายให้ใช้เซิร์ฟเวอร์วินโดวส์ 2000 ที่ผ่านการอีนาเบิล VPN แล้วเป็นดีฟอลต์เกตเวย์ เท่านี้เป็นอันเสร็จพิธี
ถึงแม้การสร้าง VPN เชื่อมต่อระหว่างเครือข่ายบนวินโดวส์ 2000 จะทำได้ง่ายกว่าบนเอ็นทีเล็กน้อย แต่ตัววิซาร์ดที่มียังคงขาดการคอนฟิกไอเท็มบางตัวที่จำเป็นอยู่ ดังนั้น เราจึงขอแนะนำให้คุณคอนฟิกระบบโดยเริ่มจากไซต์ของสำนักงานสาขาย่อยก่อน แล้วจึงไปทำที่ไซต์ของสำนักงานใหญ่ดังแสดงในภาพที่ 1 แบบดำเนินทีละขั้นตอนเองจะดีกว่า โดยบนเซิร์ฟเวอร์ฝั่งสาขาย่อย ให้เลือกออปชัน Routing and Remote Access จากเมนู Administrative Tools ซึ่งถ้าระบบของคุณไม่มี RRAS คุณก็ต้องติดตั้งมันเข้าไปด้วย เนื่องจากตามปกติ วินโดวส์ 2000 เซิร์ฟเวอร์ จะไม่ติดตั้งหรือคอนฟิก RRAS ให้เอง แต่ถ้าคุณได้ติดตั้ง RRAS อยู่ก่อนแล้ว ก็สามารถจัดการเซต VPN บนคอนฟิกูเรชันที่คุณสร้างไว้ได้ทันที
เอาล่ะ หลังจากที่คุณบอกวิซาร์ดว่าคุณต้องการจะคอนฟิกระบบเองเรียบร้อยแล้ว RRAS ก็จะโหลดขึ้นมา จากนั้นให้คลิ้กขวาที่ชื่อเซิร์ฟเวอร์ในฝั่งซ้ายมือของหน้าต่าง MMC อีกครั้งหนึ่ง แต่ตอนนี้ ให้เลือก Properties เพื่อเปิดหน้า REMOTEOFFICE Properties จากนั้นไปที่แท็บ General แล้วเลือกออปชันอีนาเบิล LAN และอินเทอร์เฟซ Demand-Dial
สำหรับขั้นตอนถัดไป คือ การเลือกโพรโตคอลสำหรับส่งข้อมูลแก่เซิร์ฟเวอร์ ซึ่ง VPN จะเข้ารหัสและรวบรวมข้อมูลไว้ภายในแพ็กเก็ต IP ทำให้สามารถขนส่งโพรโตคอลชนิดต่างๆ ที่ปกติจะไม่สามารถวิ่งข้ามอินเทอร์เน็ต เช่น NWLink IPX/SPX ให้วิ่งข้ามอินเทอร์เน็ตไปได้ ในการเลือกโพรโตคอลที่ต้องการนั้น ให้คุณคลิ้กที่แท็บชื่อโพรโตคอล เลือกออปชัน Enable IP routing กับ Allow IP-based remote access and demand-dial connections แล้วคลิ้ก Apply ดังภาพที่ 2 ส่วนโพรโตคอลใดที่ไม่ต้องการใช้ ให้ลบเครื่องหมายหน้าออปชันสองตัวนี้ออกไปด้วย
สร้างอินเทอร์เฟซ Demand-Dial
ภายหลังจากที่คุณเลือกโพรโตคอลให้เครื่องฝั่งสำนักงานสาขาย่อยแล้ว ต่อไปคุณก็ต้องกำหนดอินเทอร์เฟซ Demand-dial ชี้ไปยังเครื่องฝั่งสำนักงานใหญ่ เพื่อสร้างการเชื่อมต่ออินเทอร์เน็ตระหว่างทั้งสองฝั่ง โดยในหน้าต่าง MMC Routing and Remote Access Window ให้คลิ้กขวาที่ออปชัน Routing Interfaces ภายใต้ชื่อเซิร์ฟเวอร์ REMOTEOFFICE และเลือก New Demand-Dial Interface
เข้ามาที่ขั้นตอนแรกของวิซาร์ด Demand-Dial คือการตั้งชื่ออินเทอร์เฟซ จะเป็นขั้นตอนที่สำคัญอย่างมาก เพราะชื่อที่คุณตั้งขึ้นนั้นจะต้องตรงกับชื่อบัญชีผู้ใช้ของเครื่องฝั่งสำนักงานใหญ่ ด้วยเหตุผลง่ายๆ คือเมื่อเซิร์ฟเวอร์ฝั่งสำนักงานใหญ่ได้รับสัญญาณเรียกเข้า (Call : เป็นศัพท์เทคนิคอีกตัวที่บ่งบอกถึงการที่คอมพิวเตอร์ใดๆ เชื่อมต่อเข้ากับเซิร์ฟเวอร์ผ่านอินเทอร์เน็ต) วินโดวส์ 2000 จะต้องแยกให้ออกว่าสัญญาณที่เรียกเข้านั้นมาจากผู้ใช้ทั่วไปๆ บนเครือข่ายอินเทอร์เน็ตสาธารณะ หรือเราเตอร์ของสำนักงานสาขาย่อยกันแน่ โดยถ้าเปรียบชื่อผู้ใช้ที่เรียกเข้ามากับรายชื่ออินเทอร์เฟซ Demand-Dial ที่มีอยู่แล้วพบว่าตรงกัน วินโดวส์ 2000 ก็จะตีความว่าผู้ที่เรียกเข้าเป็นเราเตอร์ แล้วดำเนินกรรมวิธีสื่อสารตามแบบฉบับของ VPN ต่อไป (ในตัวอย่างนี้ คุณต้องตั้งชื่ออินเทอร์เฟซว่า MAIN-OFFICE) หลังจากตั้งชื่ออินเทอร์เฟซ Demand-Dialเสร็จให้คุณคลิ้ก Next ซึ่งถึงตรงนี้ วินโดวส์ 2000 จะมีทางเลือกให้คุณใช้อินเทอร์เฟซ Demand-Dial เชื่อมเส้นทางเดินข้อมูลผ่านสายโทรศัพท์ธรรมดาและวงจร ISDN หรือเชื่อมเส้นทางเดินข้อมูลผ่านอินเทอร์เน็ต แต่กรณีนี้เนื่องจากเรากำลังสร้างระบบ VPN คุณก็ต้องเลือกออปชันอันหลังสุด จากนั้นให้คลิ้ก Next
PPTP และ Layer 2 Tunneling Protocol (L2TP) สำหรับ PPTP ไมโครซอฟท์ได้พัฒนาขึ้นตามข้อกำหนดของ IETF RFC 2637 ซึ่งเปิดตัวครั้งแรกพร้อมเอ็นที 4.0 ในปี 2539 และ PPTP จะใช้ TCP port 1723 กับ IP protocol 47 (Generic Routing Encapsulation - GRE) ในขณะเดียวกับที่ Cisco System ได้พัฒนาโพรโตคอล Layer 2 Forwarding (L2F) เพื่อใช้กับอุปกรณ์ VPN ของตนเองขึ้น แต่ในที่สุด ทั้งสองบริษัทก็ร่วมมือพัฒนาโพรโตคอล L2TP ซึ่งใช้ UDP port 500 และ 1701 โดยผสมผสานข้อดีของ PPTP และ L2F เข้าด้วยกัน ถ้ามองกันทั่วไปแล้ว L2TP มีภาษีเหนือกว่า PPTP เนื่องจากสนับสนุนการเข้ารหัสข้อมูลตามมาตรฐาน IP Security (IPSec) ซึ่งปลอดภัยกว่า Microsoft Point-to-Point Encryption (MPPE) แต่อย่างไรก็ตาม การเซตอัพ PPTP จะทำได้ง่ายกว่า ดังนั้น เราจึงขออนุญาตใช้ PPTP สำหรับตัวอย่างนี้
| << | กุมภาพันธ์ 2008 | >> | ||||
| อา | จ | อ | พ | พฤ | ศ | ส |
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | |
- Lan คืออะไร
- Wan คืออะไร
- Intranet คืออะไร
- Email Address คืออะไร
- Protocol คืออะไร
- HTML คืออะไร
- HTTP คืออะไร
- TCP/IP คืออะไร
- VPN คืออะไร
- XML คืออะไร
- SOAP คืออะไร
- POP คืออะไร
- SSL คืออะไร
- JPEG คืออะไร
- GIF คืออะไร
- Wikipedia คืออะไร
- Web Design คืออะไร
- URL คืออะไร
- Pay pal คืออะไร
- Open source คืออะไร
- Mailing List คืออะไร
- Google.com คืออะไร
- Google Earth คืออะไร
- Free Host คืออะไร
- blog คืออะไร