|
|
VPN คือ
คือ ระบบเครือข่ายส่วนบุคคลที่มีการรักษาความปลอดภัย ซึ่งทำงานอยู่บนระบบเครือข่ายสาธารณะ โดยเครือข่ายทั้งสองนี้มีจุดเข้า-ออกร่วมกัน เช่น ระบบ WAN ส่วนบุคคลบนอินเทอร์เน็ตที่มีอยู่เดิม ช่วยให้คุณเสียค่าบำรุงรักษาระบบ WAN เพียงอย่างเดียว แทนที่จะต้องเสียค่าใช้จ่ายกับระบบอินเทอร์เน็ตด้วย
บางที คุณอาจเคยได้ยินการเปรียบเทียบข้อมูลที่ถูกส่งผ่านอินเทอร์เน็ต ว่าเหมือนกับข้อความที่ถูกเขียนลงบนโปสการ์ด โดยหากคุณส่งโปสการ์ดแบบไม่ใส่ซองปิดผนึก ไม่ว่าใครก็ตามที่หยิบจับมันก็สามารถอ่านข้อความนั้นได้ เช่นเดียวกับการส่งข้อมูลบนเครือข่ายอินเทอร์เน็ตทั่วไป ไม่ว่าใครก็ตามที่มีฝีมือมากพอ ก็สามารถแอบอ่านข้อมูลของคุณได้เหมือนกัน ซึ่งไม่ปลอดภัย
ดังนั้น ถ้าต้องการความปลอดภัยมากขึ้น คุณก็ต้องเขียนข้อความบนกระดาษ แล้วใส่ซองปิดผนึกก่อนที่จะหย่อนลงตู้ไปรษณีย์ ซึ่งถึงแม้เป็นวิธีที่ต้องใช้ความพยายามเพิ่มอีกนิด แต่ก็ไม่มีผู้ใดเห็นข้อความนั้นอีก เช่นเดียวกับระบบ VPN ที่สามารถปกป้องข้อมูลของคุณได้ ขณะที่เดินทางจากฝั่งหนึ่งไปยังอีกฝั่งหนึ่งของระบบเครือข่าย
เชื่อมต่อสำนักงานเข้าด้วยกัน
ลองพิจารณาบริษัทที่ประกอบด้วยสำนักงานใหญ่ และสำนักงานสาขาย่อย ซึ่งระบบเครือข่ายทั้งคู่เชื่อมต่อกับอินเทอร์เน็ต สำนักงานเหล่านี้ จะมีทางเลือกในการสื่อสารข้อมูลได้สองทาง ได้แก่ การใช้อุปกรณ์จำพวก ISDN สายเคเบิล T1 หรือเฟรมรีเลย์เชื่อมแต่ละไซต์เข้าหากัน ซึ่งเป็นกรรมวิธีที่นิยมใช้กันทั่วไป แต่เสียค่าธรรมเนียมในการเช่าสายสูง
อีกทางเลือกหนึ่ง ถ้าสำนักงานทั้งคู่มีการเชื่อมต่ออินเทอร์เน็ต และ LAN ในเวลาเดียวกัน คุณก็เพียงกำหนดให้เซิร์ฟเวอร์ที่รันวินโดวส์ 2000 ในแต่ละแห่งลิงก์เข้ากันด้วย VPN ได้ ดังภาพที่ 1 ที่แสดงตัวอย่างของระบบ WAN ที่ประกอบด้วยเซิร์ฟเวอร์ชื่อ MAIN-OFFICE และ REMOTEOFFICE จะเห็นว่าเครื่องฝั่งสำนักงานใหญ่มีซับเน็ต (Subnet) อยู่ในช่วงระหว่าง 172.16.0.1 ถึง 172.16.0.254 และฝั่งสำนักงานสาขาย่อยก็มีช่วงซับเน็ตที่ 192.168.0.1 ถึง 192.168.0.254 พร้อมทั้งมีอินเทอร์เน็ตคั่นกลาง ซึ่งคุณสามารถใช้สร้างเครือข่าย VPN ได้ โดยในบทความฉบับนี้ แอดเดรสใดที่อยู่ในช่วง 10.x.x.x จะหมายถึงแอดเดรสที่เป็นของอินเทอร์เน็ตสาธารณะ
เราลองมาสมมติกันว่า ไซต์ทั้งคู่ล้วนมีการเชื่อมต่ออินเทอร์เน็ตแบบถาวร และมีหมายเลขไอพีที่ตายตัวจากไอเอสพี ถึงแม้คุณจะสามารถเซต VPN ให้ทำงานกับการเชื่อมต่ออินเทอร์เน็ตแบบ Dial-up ได้ แต่การใช้การเชื่อมต่อแบบถาวรจะทำได้ง่ายกว่า และหมายเลขไอพีที่ตายตัวก็จำเป็นสำหรับไซต์แต่ละแห่ง เพราะว่าคุณจะต้องเจาะจงเส้นทางเดินข้อมูลที่แน่นอน ซึ่งต้องอาศัยแอดเดรสที่ตายตัวด้วย
ส่วนบรรดาเซิร์ฟเวอร์ที่รันวินโดวส์ 2000 ในตัวอย่างเป็นเครื่องที่ทำงานแบบสแตนอโลน (ไม่ใช่เครื่องที่เป็นสมาชิกของโดเมน หรือ แอ็กทีฟไดเรกทอรี : AD ใดๆ ) และมีเพียงระบบปฏิบัติการวินโดวส์ 2000 เซิร์ฟเวอร์ ติดตั้งอยู่เท่านั้น ด้วยเหตุผลด้านความปลอดภัย เซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ต ควรมีบัญชีผู้ใช้ให้น้อยที่สุดเท่าที่จะน้อยได้ ซึ่งทำให้หลีกไม่พ้นที่จะใช้เครื่องสแตนอโลนดังที่กล่าวมา นอกจากนี้ การที่เราแนะนำให้ในเครื่องมีเพียงวินโดวส์ 2000 ก็เนื่องจากการติดตั้งโปรแกรมต่างๆ เช่น Microsoft Proxy Server, Microsoft Exchange Server, RRAS หรือ Microsoft IIS บนเซิร์ฟเวอร์เดียวกันนั้น ทำให้คอนฟิกูเรชันที่แต่ละโปรแกรมสร้างขึ้นตีกันยุ่งเหยิงเกิดปัญหาได้
ขั้นตอนและวิธีการ
ตอนนี้ เรามาทำความเข้าใจขั้นตอนและวิธีการสร้างระบบ VPN ในภาพรวมกัน โดยเริ่มแรกที่แต่ละไซต์ คุณต้องกำหนดอินเทอร์เฟซ Demand-Dial (เป็นศัพท์เทคนิคที่ทางไมโครซอฟท์ใช้เรียกอินเทอร์เฟซการเชื่อมต่ออินเทอร์เน็ตระหว่างเซิร์ฟเวอร์ - ไม่ใช่การเชื่อมต่อผ่านสายโทรศัพท์อย่างที่บางคนเข้าใจ) ซึ่งชี้ไปยังเซิร์ฟเวอร์วินโดวส์ 2000 ของฝั่งตรงข้าม และเส้นทางตายตัว (Static Route) ที่นำไปสู่ระบบเครือข่ายฝั่งตรงข้ามก่อน จากนั้น คุณสร้างบัญชีผู้ใช้ที่แต่ละไซต์สำหรับให้เราเตอร์เรียกใช้ เมื่อถึงคราวเชื่อมต่อไซต์เข้าด้วยกัน สุดท้าย คุณก็กำหนดคอนฟิกให้เวิร์กสเตชันต่างๆ บนแต่ละเครือข่ายให้ใช้เซิร์ฟเวอร์วินโดวส์ 2000 ที่ผ่านการอีนาเบิล VPN แล้วเป็นดีฟอลต์เกตเวย์ เท่านี้เป็นอันเสร็จพิธี
ถึงแม้การสร้าง VPN เชื่อมต่อระหว่างเครือข่ายบนวินโดวส์ 2000 จะทำได้ง่ายกว่าบนเอ็นทีเล็กน้อย แต่ตัววิซาร์ดที่มียังคงขาดการคอนฟิกไอเท็มบางตัวที่จำเป็นอยู่ ดังนั้น เราจึงขอแนะนำให้คุณคอนฟิกระบบโดยเริ่มจากไซต์ของสำนักงานสาขาย่อยก่อน แล้วจึงไปทำที่ไซต์ของสำนักงานใหญ่ดังแสดงในภาพที่ 1 แบบดำเนินทีละขั้นตอนเองจะดีกว่า โดยบนเซิร์ฟเวอร์ฝั่งสาขาย่อย ให้เลือกออปชัน Routing and Remote Access จากเมนู Administrative Tools ซึ่งถ้าระบบของคุณไม่มี RRAS คุณก็ต้องติดตั้งมันเข้าไปด้วย เนื่องจากตามปกติ วินโดวส์ 2000 เซิร์ฟเวอร์ จะไม่ติดตั้งหรือคอนฟิก RRAS ให้เอง แต่ถ้าคุณได้ติดตั้ง RRAS อยู่ก่อนแล้ว ก็สามารถจัดการเซต VPN บนคอนฟิกูเรชันที่คุณสร้างไว้ได้ทันที
เอาล่ะ หลังจากที่คุณบอกวิซาร์ดว่าคุณต้องการจะคอนฟิกระบบเองเรียบร้อยแล้ว RRAS ก็จะโหลดขึ้นมา จากนั้นให้คลิ้กขวาที่ชื่อเซิร์ฟเวอร์ในฝั่งซ้ายมือของหน้าต่าง MMC อีกครั้งหนึ่ง แต่ตอนนี้ ให้เลือก Properties เพื่อเปิดหน้า REMOTEOFFICE Properties จากนั้นไปที่แท็บ General แล้วเลือกออปชันอีนาเบิล LAN และอินเทอร์เฟซ Demand-Dial
สำหรับขั้นตอนถัดไป คือ การเลือกโพรโตคอลสำหรับส่งข้อมูลแก่เซิร์ฟเวอร์ ซึ่ง VPN จะเข้ารหัสและรวบรวมข้อมูลไว้ภายในแพ็กเก็ต IP ทำให้สามารถขนส่งโพรโตคอลชนิดต่างๆ ที่ปกติจะไม่สามารถวิ่งข้ามอินเทอร์เน็ต เช่น NWLink IPX/SPX ให้วิ่งข้ามอินเทอร์เน็ตไปได้ ในการเลือกโพรโตคอลที่ต้องการนั้น ให้คุณคลิ้กที่แท็บชื่อโพรโตคอล เลือกออปชัน Enable IP routing กับ Allow IP-based remote access and demand-dial connections แล้วคลิ้ก Apply ดังภาพที่ 2 ส่วนโพรโตคอลใดที่ไม่ต้องการใช้ ให้ลบเครื่องหมายหน้าออปชันสองตัวนี้ออกไปด้วย
| Create Date : 03 กุมภาพันธ์ 2551 |
| Last Update : 4 กุมภาพันธ์ 2551 21:20:36 น. |
|
0 comments
|
| Counter : 313 Pageviews. |
 |
|
|
|
|
|
ฝากข้อความหลังไมค์
Rss Feed
ผู้ติดตามบล็อก : 1 คน [
