當企業需要透過 Internet 使用 Routing Protocol 進行 Route 交換時,通常會在 Site 與 Site 之間建立 GRE Tunnel。但 GRE Tunnel 並無加密功能,流經 Internet 的資訊變得不安全,這時候 GRE 可與 IPSec 一起應用。本文會介紹兩種非常相似的技術,分別是:GRE over IPSec 及 IPSec over GRE。閱讀本文前讀者需掌握 IPSec VPN 設定,及對 EIGRP 有基本認識。
Jan Ho 2018-12-09
Posted In: menu-tall-2-zh-hant, 虛擬私人網路 VPN
Cisco 的 Group Encrypted Transport VPN (GETVPN) 技術可以簡化 IPSec 設定,讓網管人員更容易管理和配置 IPSec。為了建立 Fully Mesh IPSec 網絡,每隻 Router 都要對其餘所有 Router 建立 IPSec Tunnel,涉及大量的 ISAKMP Key 管理及 IPSec 組態。試計算一下,如網絡裡有 n 隻 Router 之間需要 IPSec 保護,IPSec Tunnel 總數為 n(n-1)/2,設定極為費時及容易出錯,網管人員生活大打折扣 😭 。本文將會介紹 GETVPN 的原理和設定,假設讀者已對 IPSec 理論有所了解。
Jan Ho 2018-10-27
Posted In: 虛擬私人網路 VPN
用 Tunnel 來連接不同 Site 並建立 Virtual Private Network (VPN) 的傳統做法是使用 Generic Routing Encapsulation (GRE)。但如果大家已經看過本網關於 GRE 的文章,就知道用 GRE 來建立 Spoke-to-spoke Topology 所要設定的 Tunnel 數量相當龐大,比較理想的方法是使用 Dynamic Multipoint VPN (DMVPN)。閱讀本文前讀者必需深入了解 GRE Tunnel 與 Routing Protocol 的運作,例如:EIGRP 和 OSPF 等。
Jan Ho 2017-07-09
Posted In: 虛擬私人網路 VPN
Generic Routing Encapsulation (GRE) 可以在兩個 Physical Interface 之間建立點對點 Tunnel,多用於設置 Virtual Private Network (VPN) 去保護資訊。本文會先介紹 GRE Tunnel 的設定方法,最後在 GRE 上加上 IPSec 設定去做認證和加密。
Jan Ho 2017-07-02
Posted In: 虛擬私人網路 VPN
越來越多公司用 IPSEC 來建立 Site to Site VPN,普遍應用於透過 Internet 建立連線,因為價錢便宜,設定上相對簡單得多。IPSEC VPN 用 IKE (Internet Key Exchange) 進行參數交換和建立連線,因此在設定 IPSEC VPN 前應先了解 IKE 的運作。
Jan Ho 2014-11-24
Posted In: 虛擬私人網路 VPN
MPLS (Multi-Protocol Label Switching) 的概念是在一個封包之中加入 Label (標籤),所謂 Label,是加在 Layer 2 Header 與 Layer3 Header 之間的一串 32 bits 標示 (所以 MPLS 又稱為 Layer 2.5),其中 20bits 為 Label 值。路由器會依據這個 Label 值去判斷封包的 Next Hop,用了這個方法,路由器不用再查找 Route Table 便可以決定怎樣處理封包,傳送效率便可大大提升,此技術於 ISP 的 Backbone Network 中被廣泛使用。
Jan Ho 2014-02-09
Posted In: menu-tall-2-zh-hant, 虛擬私人網路 VPN