DMVPN Features and Benefits
Best Regards,
Aung Cho Htwe
Best Regards,
Aung Cho Htwe
Dynamic
Routing Over VPN
DMVPN
Network ကို
တည္ေဆာက္ရာတြင္ mGRE
ကို
အေျခခံ၍ တည္ေဆာက္သည့္အတြက္
၄င္း GRE
VPN network(DMVPN cloud) ေပၚမွတစ္ဆင့္
EIGRP,BGP,RIPv2,OSPF
စတဲ႔
routing protocols
တို႔၏
routing update
မ်ားကို
သယ္ပို႔ႏိုင္မွာ ျဖစ္ပါတယ္။
IP
Multicast Support
DMVPN network ဟာ
GRE ကိုအေျခခံျပီး
တည္ေဆာက္ႏိုင္ေၾကာင္း
ကၽြန္ေတာ္တို႔သိခဲ့ျပီးျဖစ္ပါတယ္။GRE
ဟာ IP
multicast packet ေတြကို
သယ္ေဆာင္ေပးႏိုင္တဲ့အတြက္
DMVPN network ေပၚကေန
multicast traffic ေတြကို
သယ္ေဆာင္ေပးႏိုင္မွာပဲျဖစ္ပါတယ္။
Reduced
Configuration Overhead
ဒီတစ္ခ်က္ဟာ
branch offices
ေပါင္းမ်ားစြာကို
secure VPN
ခ်ိတ္ဆက္ဖို႔
တာ၀န္ယူရတဲ့ Network
Enginner ေတြအတြက္
အေတာ္သက္သာသြားေစမယ့္
အခ်က္ပဲျဖစ္ပါတယ္။
အကယ္၍သာ
branch office
ေပါင္း(1000)ရွိတဲ႔
network
တစ္ခုအတြက္
point to point
vpn topology ကိုပဲ
အသံုးျပဳခဲ့မယ္ဆိုရင္ P2P
vpn tunnel ေပါင္း
1000
တည္ေဆာက္ရမွာျဖစ္ပါတယ္။
ဒီအခါမွာ ipsec
နဲ႔
ပတ္သက္တဲ႔ configuration
ေတြဟာ
P2P tunnel
တစ္ခုျခင္းစီမွာ
ထည့္ေပးဖို႔ လိုလာတဲ႔အခါမွာ
tunnel interface
မ်ားလာေလေလ
IPsec
နဲ႔
ပတ္သက္တဲ႔ configuration
ေတြမ်ားမ်ား
ထည့္ရေလပဲျဖစ္ပါတယ္။
DMVPN
network မွာေတာ့
DMVPN Hub နဲ႔
spoke router
အားလံုးကို
mGRE
interface နဲ႔ခ်ိတ္ဆက္ျပီး
cloud network
တစ္ခုျဖစ္ေပၚေစတဲ႔အတြက္
ipsec
configuration ေတြကို
dmvpn router
တိုင္းရဲ႕
mGRE
interface မွာထည့္ေပးလိုက္ရင္ရျပီျဖစ္ပါတယ္။
ႏိႈင္းယွဥ္ၾကည့္မယ္ဆိုရင္
ipsec
configuration line ေပါင္း
(3000)ေလာက္ထည့္ရမယ့္ေနရာ
command line
ဆယ္ဂဏန္းေလာက္နဲ႔ျပီးစီးသြားမွာျဖစ္ပါတယ္။
Simplified Hub
Router Configuration
DMVPN
Hub Router မွာ
mGRE
Interface တစ္ခုၿဖင္႔
DMVPN
Spoke Routers အာလံုးကို ခ်ိတ္ဆက္ထားႏုိင္မွာၿဖစ္တဲ႔အတြက္
HUB
Router မွာ
vpn
configuration နဲ႔
IPSec
Policy Configuration ေတြတစ္ႀကိမ္ထည္႔ထားရင္လုံေလာက္ၿပီၿဖစ္ပါတယ္။
ေနာက္ထပ္ DMVPN
Spoke Router ေတြထပ္တိုးလာရင္
ေတာင္မွ DMVPN
HUB မွာ configuration
ထပ္ထည္႔စရာမလိုပါဘူး
၊ ထပ္တိုးတဲ႔ Spoke
router ေတြမွာပဲ
dmvpn
configuration ထည္႔ၿ႔ပီးေတာ႔
DMVPN
Network ကို၀င္ေရာက္ခိ
်တ္ဆက္လိုက္ရင္ရၿပီၿဖစ္ပါတယ္။
Optional Strong
Security with IPSec
IPsecurity
protocol ဟာ
DMVPN
Network မွာ
essential
မဟုတ္ပါဘူး။
Optional
Protocol တစ္ခုသာလ်ွင္
ျဖစ္ပါတယ္။ IPsec
Protocol မပါဘဲနဲ႔လည္း
DMVPN
Network ကို
တည္ေဆာက္ႏိုင္မွာ ျဖစ္ပါတယ္။
DMVPN
Network မွာ
ဘာေၿကာင္႔ IPSec
Protocol ကိုသံုးသလဲလို႔ေမးရင္ေတာ႔
၄င္း DMVPN
Network ေပၚမွာသြားတဲ႔
IP
Packets ေတြကို
Secure
ၿဖစ္ေစဖို႔ပဲၿဖစ္ပါတယ္။
ဒီေနရာမွာ IPsec
protocol က
အဓိကလုပ္ေပးတာက IP
packet ေတြ
ပို႔လြတ္တဲ့အခါမွာ ၄င္း IP
packet တစ္ခုခ်င္းစီကို
encrypted
packet အေနျဖင့္
ပို႔လႊတ္ႏိုင္တဲ့အတြက္
Network
Layer မွာ
secure
transmission ကိုရရွိေစပါတယ္။
-Dynamic
spoke to spoke connectivity
DMVPN network
ဟာစတင္တည္ေဆာက္တဲ႔အခ်ိန္မွာ
သူ႕ရဲ႕ topology
ဟာ
hub and spoke
design ျဖစ္ပါတယ္။ဆိုလိုခ်င္တာက
spoke router
တစ္လံုးခ်င္းစီဟာ
့hub router
ဆီသို႔ပဲ
always on tunnel
ေဆာက္ထားဖို႔လိုပါတယ္။spoke
router တစ္လံုးကေန
အျခား spoke
router မ်ားအားလံုးဆီကို
always on tunnel
တည္ေဆာက္ထားစရာမလိုပါဘူး။
spoke to spoke
tunnel ဟာ
လိုအပ္ေသာအခါမွသာ တည္ေဆာက္မွာျဖစ္ျပီး
မလိုအပ္တဲ႔အခါမွာလည္း
အလိုအေလ်ာက္ ၄င္း tunnel
ကိုျပန္ျဖဳတ္ခ်မွာျဖစ္ပါတယ္။
ထိုကဲ႔သို႔
spoke router
ေတြရဲ႕ၾကားမွာ
လိုအပ္တဲ႔ direct
tunnel ကို
dynamic tunnel
မ်ားအျဖစ္
လိုသလိုတည္ေဆာက္တဲ႔နည္းပညာျဖစ္တဲ႔အတြက္
DMVPN
လို႔ေခၚဆိုရျခင္းပဲျဖစ္ပါတယ္။
-
ထို႔အျပင္ spoke router မ်ားမွာ မလိုအပ္တဲ့ tunnel ေတြမေဆာက္ထားတဲ့အတြက္္ processing power (CPU,RAM) အသံုးျပဳမႈ အေတာ္သက္သာသြားပါတယ္။
-
Spoke to spoke direct tunnel တည္ေဆာက္ႏိုင္တဲ႔အတြက္ branch office ႏွစ္ခုၾကားသြားတဲ့ traffic ေတြဟာ main office(DMVPN HUB Router)ကိုျဖတ္သြားစရာမလိုေတာ့ပါဘူး။
-
ထိို႔ေၾကာင့္ delay ပမာဏ နည္းနည္းနဲ႔ data ေတြကိုပိုေတြကိုပို႔ႏိုင္သြားပါတယ္။
Spoke
router မ်ားမွာ
အသံုးျပဳထားေသာ internet
ခ်ိတ္ဆက္မည့္
public ip address
ဟာ
static မဟုတ္ပဲ
dynamic ip
address ျဖစ္ခဲ႔ရင္လည္း
dmvpn network မွာ
အသံုးျပဳႏိုင္မွွာပဲျဖစ္ပါတယ္။
NHRP
protocol ဟာ
spoke router
တစ္လံုးရဲ႕
NBMA ip address
eg.(public ip address)နဲ႔
mGRE
interface မွာရွိတဲ႔
Tunnel ip address
တို႔ကို
ပံုမွန္ အခ်ိန္တစ္ခု ၾကာတိုင္း
NHRP server
ဆီသို႕
ပို႕ေပးေနသည္႕အတြက္ spoke
router ဘက္မွာ
public ip address
ကို
dynamic ip
အေနျဖင့္
အသံုးျပဳေနသည့္တိုင္ေအာင္
NHRP server မွာ
၄င္း ip
address ကို
ပံွမွန္္သိရွိေနမွာပဲျဖစ္ပါတယ္။
ယခု
Topic
နဲ႕ပတ္သက္ၿပီး
အဆင္မေျပတာ (သို႕မဟုတ္)
သိလိုတာမ်ား၊
ျဖည့္စြက္ ေဆြးေနြးလိုတာမ်ားရွိခဲ့ရင္ေတာ့
Comment
မွာျဖစ္ေစ၊
ACH Facebookpage မွျဖစ္ေစ
၀င္ေရာက္ေဆြးေႏြး ေမးျမန္း
အႀကံျပဳႏုိင္ပါတယ္။
၀င္ေရာက္ေလ့လာဖတ္ရွဴေပးတဲ့အတြက္
ေက်းဇူးပါခင္ဗ်ား။
Ref:
https://en.wikipedia.org/wiki/IPsec
Best Regards,
Aung Cho Htwe
Unicode Version
DMVPN Features and Benefits
Dynamic
Routing Over VPN
DMVPN
Network ကို
တည်ဆောက်ရာတွင် mGRE
ကို
အခြေခံ၍ တည်ဆောက်သည့်အတွက်
၄င်း GRE
VPN network(DMVPN cloud) ပေါ်မှတစ်ဆင့်
EIGRP,BGP,RIPv2,OSPF
စတဲ့
routing
protocols တို့၏
routing
update များကို
သယ်ပို့နိုင်မှာ ဖြစ်ပါတယ်။
IP
Multicast Support
DMVPN
network ဟာ
GRE
ကိုအခြေခံပြီး
တည်ဆောက်နိုင်ကြောင်း
ကျွန်တော်တို့သိခဲ့ပြီးဖြစ်ပါတယ်။GRE
ဟာ
IP
multicast packet တွေကို
သယ်ဆောင်ပေးနိုင်တဲ့အတွက်
DMVPN
network ပေါ်ကနေ
multicast
traffic တွေကို
သယ်ဆောင်ပေးနိုင်မှာပဲဖြစ်ပါတယ်။
Reduced
Configuration Overhead
ဒီတစ်ချက်ဟာ
branch
offices ပေါင်းများစွာကို
secure
VPN ချိတ်ဆက်ဖို့
တာဝန်ယူရတဲ့ Network
Enginner တွေအတွက်
အတော်သက်သာသွားစေမယ့်
အချက်ပဲဖြစ်ပါတယ်။
အကယ်၍သာ
branch
office ပေါင်း(1000)ရှိတဲ့
network
တစ်ခုအတွက်
point
to point vpn topology ကိုပဲ
အသုံးပြုခဲ့မယ်ဆိုရင် P2P
vpn tunnel ပေါင်း
1000
တည်ဆောက်ရမှာဖြစ်ပါတယ်။
ဒီအခါမှာ ipsec
နဲ့
ပတ်သက်တဲ့ configuration
တွေဟာ
P2P
tunnel တစ်ခုခြင်းစီမှာ
ထည့်ပေးဖို့ လိုလာတဲ့အခါမှာ
tunnel
interface များလာလေလေ
IPsec
နဲ့
ပတ်သက်တဲ့ configuration
တွေများများ
ထည့်ရလေပဲဖြစ်ပါတယ်။
DMVPN
network မှာတော့
DMVPN
Hub နဲ့
spoke
router အားလုံးကို
mGRE
interface နဲ့ချိတ်ဆက်ပြီး
cloud
network တစ်ခုဖြစ်ပေါ်စေတဲ့အတွက်
ipsec
configuration တွေကို
dmvpn
router တိုင်းရဲ့
mGRE
interface မှာထည့်ပေးလိုက်ရင်ရပြီဖြစ်ပါတယ်။
နှိုင်းယှဉ်ကြည့်မယ်ဆိုရင်
ipsec
configuration line ပေါင်း
(3000)လောက်ထည့်ရမယ့်နေရာ
command
line ဆယ်ဂဏန်းလောက်နဲ့ပြီးစီးသွားမှာဖြစ်ပါတယ်။
Simplified
Hub Router Configuration
DMVPN
Hub Router မှာ
mGRE
Interface တစ်ခုဖြင့်
DMVPN
Spoke Routers အာလုံးကို
ခ ျိတ်ဆက်ထားနိုင်မှာဖြစ်တဲ့အတွက်
HUB
Router မှာ
vpn
configuration နဲ့
IPSec
Policy Configuration တွေတစ်ကြိမ်ထည့်ထားရင်လုံလောက်ပြီဖြစ်ပါတယ်။
နောက်ထပ် DMVPN
Spoke Router တွေထပ်တိုးလာရင်
တောင်မှ DMVPN
HUB မှာ
configuration
ထပ်ထည့်စရာမလိုပါဘူး
၊ ထပ်တိုးတဲ့ Spoke
router တွေမှာပဲ
dmvpn
configuration ထည့်ြ့ပီးတော့
DMVPN
Network ကိုဝင်ရောက်ခိ
ျတ်ဆက်လိုက်ရင်ရပြီဖြစ်ပါတယ်။
Optional
Strong Security with IPSec
IPsecurity
protocol ဟာ
DMVPN
Network မှာ
essential
မဟုတ်ပါဘူး။
Optional
Protocol တစ်ခုသာလျှင်
ဖြစ်ပါတယ်။ IPsec
Protocol မပါဘဲနဲ့လည်း
DMVPN
Network ကို
တည်ဆောက်နိုင်မှာ ဖြစ်ပါတယ်။
DMVPN
Network မှာ
ဘာကြောင့် IPSec
Protocol ကိုသုံးသလဲလို့မေးရင်တော့
၄င်း DMVPN
Network ပေါ်မှာသွားတဲ့
IP
Packets တွေကို
Secure
ဖြစ်စေဖို့ပဲဖြစ်ပါတယ်။
ဒီနေရာမှာ IPsec
protocol က
အဓိကလုပ်ပေးတာက IP
packet တွေ
ပို့လွတ်တဲ့အခါမှာ ၄င်း IP
packet တစ်ခုချင်းစီကို
encrypted
packet အနေဖြင့်
ပို့လွှတ်နိုင်တဲ့အတွက်
Network
Layer မှာ
secure
transmission ကိုရရှိစေပါတယ်။
-Dynamic
spoke to spoke connectivity
DMVPN
network ဟာစတင်တည်ဆောက်တဲ့အချိန်မှာ
သူ့ရဲ့ topology
ဟာ
hub
and spoke design ဖြစ်ပါတယ်။ဆိုလိုချင်တာက
spoke
router တစ်လုံးချင်းစီဟာ
့hub
router ဆီသို့ပဲ
always
on tunnel ဆောက်ထားဖို့လိုပါတယ်။spoke
router တစ်လုံးကနေ
အခြား spoke
router များအားလုံးဆီကို
always
on tunnel တည်ဆောက်ထားစရာမလိုပါဘူး။
spoke
to spoke tunnel ဟာ
လိုအပ်သောအခါမှသာ တည်ဆောက်မှာဖြစ်ပြီး
မလိုအပ်တဲ့အခါမှာလည်း
အလိုအလျောက် ၄င်း tunnel
ကိုပြန်ဖြုတ်ချမှာဖြစ်ပါတယ်။
ထိုကဲ့သို့
spoke
router တွေရဲ့ကြားမှာ
လိုအပ်တဲ့ direct
tunnel ကို
dynamic
tunnel များအဖြစ်
လိုသလိုတည်ဆောက်တဲ့နည်းပညာဖြစ်တဲ့အတွက်
DMVPN
လို့ခေါ်ဆိုရခြင်းပဲဖြစ်ပါတယ်။
ထို့အပြင်
spoke
router များမှာ
မလိုအပ်တဲ့ tunnel
တွေမဆောက်ထားတဲ့အတွက််
processing
power (CPU,RAM) အသုံးပြုမှု
အတော်သက်သာသွားပါတယ်။
Spoke
to spoke direct tunnel တည်ဆောက်နိုင်တဲ့အတွက်
branch
office နှစ်ခုကြားသွားတဲ့
traffic
တွေဟာ
main
office(DMVPN HUB Router)ကိုဖြတ်သွားစရာမလိုတော့ပါဘူး။
ထိို့ကြောင့်
delay
ပမာဏ
နည်းနည်းနဲ့ data
တွေကိုပိုတွေကိုပို့နိုင်သွားပါတယ်။
Dynamic
Addressing For Spoke Routers
Spoke
router များမှာ
အသုံးပြုထားသော internet
ချိတ်ဆက်မည့်
public
ip address ဟာ
static
မဟုတ်ပဲ
dynamic
ip address ဖြစ်ခဲ့ရင်လည်း
dmvpn
network မှာ
အသုံးပြုနိုင်မှှာပဲဖြစ်ပါတယ်။
NHRP
protocol ဟာ
spoke
router တစ်လုံးရဲ့
NBMA
ip address eg.(public ip address)နဲ့
mGRE
interface မှာရှိတဲ့
Tunnel
ip address တို့ကို
ပုံမှန် အချိန်တစ်ခု ကြာတိုင်း
NHRP
server ဆီသို့
ပို့ပေးနေသည့်အတွက် spoke
router ဘက်မှာ
public
ip address ကို
dynamic
ip အနေဖြင့်
အသုံးပြုနေသည့်တိုင်အောင်
NHRP
server မှာ
၄င်း ip
address ကို
ပှံမှန််သိရှိနေမှာပဲဖြစ်ပါတယ်။
ယခု Topic နဲ့ပတ်သက်ပြီး အဆင်မပြေတာ (သို့မဟုတ်) သိလိုတာများ၊ ဖြည့်စွက် ဆွေးနွေးလိုတာများရှိခဲ့ရင်တော့ Comment မှာဖြစ်စေ၊ ACH Facebookpage မှဖြစ်စေ ဝင်ရောက်ဆွေးနွေး မေးမြန်း အကြံပြုနိုင်ပါတယ်။
ဝင်ရောက်လေ့လာဖတ်ရှူပေးတဲ့အတွက် ကျေးဇူးပါခင်ဗျား။
ဝင်ရောက်လေ့လာဖတ်ရှူပေးတဲ့အတွက် ကျေးဇူးပါခင်ဗျား။
Ref:
https://en.wikipedia.org/wiki/IPsec
Best Regards,
Aung Cho Htwe
Comments
Post a Comment