ตัวอย่างการคอนฟิกใช้งาน Juniper Router J2300 สำหรับใช้งานกับ Frame Relay

โดย อดิศร ขาวสังข์, วิรัช วารุณโรจน์์
เขียนเมื่อ 01/06/2006
ทดลองโดยเชื่อมต่อกับ Internet แบบองค์กรของ CAT TELECOM ซึ่งเป็น Cisco 3600 Series (Enable Frame Relay Switching)

บทนำ
Juniper Router J2300 ที่จะกล่าวถึงนี้เป็นเราเตอร์ทีมี WAN Port แบบ V.35 จำนวน 2 พอร์ต์ มี LAN Port 2 พอร์ต ซึ่งสามารถจะประยุกต์ใช้งานได้หลายแบบ แต่ในที่นี้เป็นการทดลองคอนฟิกเพื่อใช้งานกับวงจรอินเตอร์เน็ตแบบ Frame Relay

สมมุติมีความต้องการของระบบดังนี้

ต้องการใช้ WAN Port จำนวน 1 พอร์ตเพื่ิอเชื่อมต่อกับ ISP เป็นแบบ Frame Relay ที่ความเร็ว 128 K โดยได้ IP มาเป็น 202.129.50.240/30
ต้องการใช้งาน LAN Port (Ethernet) จำนวน 2 พอร์ตคือ
1. พอร์ดหนึ่งสำหรับเครื่องคอมพิวเตอร์ที่เป็น Client โดยใช้ IP ปลอมเป็น 192.168.1.0/24
2. อีกพอร์ตสำหรับวงที่เป็น IP จริง ซึ่งจะใช้งานกับเครื่อง Server มีที่ ISP ให้มาเป็น 202.129.49.192/29
ต้องการให้มีการทำ NAT ที่วงของเครื่อง Client
ต้องการให้มีการทำ DHCP สำหรับวง Client

สิ่งที่ควรจะรู้ไว้่ก่อน

เราเตอร์ตัวนี้สามารถคอนฟิกผ่านเว็บ (web-based) ได้
ค่า IP Address ของ LAN Port (Port 0) ที่มาจากโรงงานเป็น 192.168.1.1
เราเตอร์ตัวนี้มี Stateful Firewall

ขั้นตอนการคอนฟิก

ตั้งค่า IP ของเครื่อง PC ที่จะเซ็ตเราเตอร์ให้มี IP อยู่ในกลุ่ม 192.168.1.0/24 (อย่าให้เป็น 192.168.1.1 เพราะจะชนกับ IP ของ LAN Port)
เชื่อมต่อสาย LAN ของ PC เข้ากับ LAN Port 0 ของเราเตอร์ โดยใช้ได้ทั้งสาย cross และ through
ให้ ping ไปยัง 192.168.1.1 ดู ถ้า ping ได้แสดงว่าพร้อมที่จะคอนฟิกผ่าน web-based ได้
ถ้า ping ไม่ได้แสดงว่าค่า IP ของ LAN Port 0 ถูกเปลี่ยนไปเป็นค่าือื่นโดยคนที่เซ็ตก่อนหน้านี้ สามารถจะ reset ค่าให้กลับสู่ค่าโรงงานได้ด้วยการกดปุ่ม Config ด้านหน้าของเครื่องประมาณ 15 วินาที จนกว่า LED จะกระพริบสีแดงขึ้นมา
เปิดบราวเซอร์ขึ้นมาให้เรียกไปที่ http://192.168.1.1 แล้วป้อนค่าข้อมูลที่จำเป็นในขั้นแรกดังรูป โดยค่าต่าง ประกอบด้วย
1. Host Name และ Domain Name ก็ควรจะตรงกับองค์กรของผู้ใช้บริการ
2. Root Password เป็นรหัสผ่านที่ใช้ในการเข้าเซ็ตผ่านเว็บ จะเห็นว่าการเข้าเซ็ตผ่านเว็บในครั้งแรกไม่มีการถามรหัสผ่านเนื่องจากเรายังไม่ได้เซ็ต แต่หลังจากนี้จะมีการถาม user และ password แล้ว
3. DNS Name Servers : เครื่องเราเตอร์เครื่องนี้ก็เปรียบเสมือนเครื่อง PC เครื่องหนึ่งถ้าจะใช้คำสั่งบนเราเตอร์ที่เกี่ยวพันกับระบบชื่อ (DNS) เช่นการ ping ที่เป็นชื่อก็ต้องใ่ส่ค่า Name Servers ให้ด้วย
4. Default Gateway เป็นค่า Default Route (0.0.0.0 0.0.0.0) ของเราเตอร์นั่นเองก็ให้ชี้ไปยังเราเตอร์ฝั่งตรงข้าม
5. fe-0/0/0.0 Address ก็เป็น IP ของ LAN Port 0 ซึ่งถ้าไปดูในหัวข้อความต้องการจะเห็นว่าตรงกับความต้องการของเราแล้วก็ไม่ต้องเปลี่ยนนะ
6. Time Zone ก็ให้เลือกเป็น Asia/Bangkok
7. NTP Server ถ้ามีก็ให้ป้อน NTP Server เข้าไป
8. Allow Telnet Access ก็กำหนดว่าจะให้สามารถ Telnet เข้าเราเตอร์ได้หรือไม่
9. Allow SSH Access กำหนดว่าอนุญาตให้มีการ Access แบบ SSH ได้หรือไม่
เมื่อป้อนค่าครบแล้วก็ให้คลิ๊กปุ่ม Apply
ต่อไปเป็นการเซ็ตค่าของ WAN port ให้คลิ๊กเมนู Interfaces ด้านซ้ายมือแล้วจะเห็น Interface ต่าง ๆ ดังรูป จากนั้นให้คลิ๊กที่พอร์ต WAN ที่ต้องการใช้งานซึ่งในที่นี้ขอใช้พอร์ต se-0/0/2
เมื่อคลิ๊กแล้วจะได้ดังรูปข้างล่าง ก็ให้ป้อนค่าที่จำเป็นดังนี้
1. Physical Interface Description : เป็นข้อมูลของ WAN Port เพื่อความเข้าใจของผู้เซ็ตซึ่งไม่มีผลต่อระบบ
2. MTU ในที่นี้ไม่ป้อน
3. Encapsulation ต้องเซ็ตให้ตรงกับเราเตอร์ฝั่งตรงข้าม ในที่นี้เป็น Frame Relay
4. Clock Rate ในที่นี้ไม่ป้อน
ทำำการสร้าง Logical Interface ของ WAN Port นี้ ด้วยการคลิ๊กปุ่ม Add ของรูปข้่างบนแล้วจะได้ดังรูปข้างล่าง ก็ให้ทำการป้อนค่า Description , ค่า IP Address ของ WAN Port ที่ได้มากจาก ISP ซึ่งในที่นี้คือ 202.129.50.242/30 (ถ้าเป็นของยี่ห้ออื่นอา่จกำหนดเป็น 202.129.50.242/255.255.255.252) และค่า Frame Relay DLCI ที่ำกำำหนดมาจากผู้ให้บริการซึ่งในที่นี้เป็น 200 ดังรูป
เืื่มื่อคลิ๊กปุ่ม OK ของรูปข้างบนแล้วจะได้ผลดังรูปข้างล่าง (รูปแรก) ซึ่งจะเห็นว่า Link State มีการ Up แล้ว และเมื่อคลิ๊กปุ่ม OK จะได้ดังรูปข้างล่างถัดไป
เรื่องของ WAN ยังไม่เสร็จนะครับ จะต้องทำการกำหนดค่า Lmi Type ของ Frame Relay ก่อน โดย
1. ให้คลิ๊กเมนู View and Edit ด้านซ้ายมือ
2. คลิ๊กเมนูย่อยชื่อ Edit Configuration
3. คลิ๊กที่เมนูย่อยที่ชื่อ Interface ด้านซ้ายมือให้ได้ผลดังรูป
4. ให้คลิ๊กที่คำว่า Edit ของอินเตอร์เฟสที่เป็น Serial ซึ่งในที่นี้คือ se-0/0/2 แล้วจะได้ดังรูํป
5. จากรูปข้างบนให้คลิ๊กที่คำว่า Configure หลัง Lmi แล้วให้เลือก Lmi type เป็น ansi เพื่อให้ตรงกับผู้ให้บริการ ดังรูป
6. จากรูปข้างบนให้คลิ๊กปุ่ม Commit และเมื่อปรากฎหน้าต่าง Summary of changes ให้คลิ๊กปุ่ม OK แล้วจะมีข้อความบอกว่า Sucess ก็ให้คลิ๊กปุ่ม OK อีกครั้ง ก็เป็นอันเสร็จสิ้นการคอนฟิกในส่วนของ WAN
ต่อไปก็กำหนด IP ให้กับ LAN Port อีกพอร์ตที่จะ้ใ้ช้งานสำหรังวงของ Server โดยให้คลิ๊กที่เมนู Interfaces ด้านซ้ายมือ (เป็นเมนูย่อยของ Configuration) แล้วเลือกคลิ๊ก Interface ที่เป็น fe-0/0/1
1. ให้ป้อนค่า Description
2. จากนั้นให้คลิ๊กปุ่ม Add เพื่อเิ่พิ่ม Logical Interface แล้วป้อนค่าที่ำจำเป็นดังรูป
ต่อไปเป็นการทำ Firewall/NAT ซึ่งให้คลิ๊กที่เมนู Firewall/NAT ด้านซ้ายมือ (เป็นเมนูย่อยของ Configuration) และให้ป้อนค่าต่าง ๆ ดังนี้
1. ถ้าต้องการ enable NAT จะต้องทำการ Enable Stateful Firewall ซึ่งถูกบังคับให้ทำ Firewall โดยอัตโนมัติ ไม่สามารถทำ NAT โดยปราศจาก Stateful Firewall ได้
2. Untrusted Interfaces ให้ใส่ Interface ที่ไม่ปลอดภัยในที่นี้คือ Interfaces ที่ชื่อมต่อกับ Internet ซึ่งก็คือ WAN Port
3. Trusted Interfaces เป็นอินเตอร์เฟสที่ปลอดภัยคืออินเตอร์เฟสของวงเครื่อง Client และอินเตอร์เฟสของวง Server
4. ให้เลือก enable NAT
5. ให้ป้อน Public IP สำหรับการทำ NAT ในที่นี้เลือก IP เดียวคือ IP ของ WAN
6. ให้ทำการกำหนด Application ที่อนุญาตให้เข้าใช้จาก Untrusted Network ไปยัง Trusted Network ซึ่งจะเห็นว่าตรงนี้จะเจอปัญหาคือ Application ที่มีอยู่ในรายการไม่ครบทั้งหมด ดังนั้นถ้าเราตั้ง Server ไว้ในวง LAN ที่เป็น IP จริงเช่น DNS Server, FTP Server หรืออื่นๆ ข้างนอกจะเข้ามาใช้งานไม่ได้ วิธีการแก้ปัญหาคือต้องไปทำการเพิ่ม Application โดยผ่านเมนู Configuration --> View and Edit --> Edit Configuration Text ซึ่งจะกล่าวถึงในหัวข้อ 16
ต่อไปเป็นการกำหนดว่าจะอนุญาตให้เครื่องจากภายนอกสามารถเข้ามา manage เราเตอร์ผ่านเว็บได้หรือไม่ ซึ่งค่าโดย Default จะไม่สามารถ manage มาจากเครือข่ายภายนอกได้ ดังนั้นถ้าจะให้ข้างนอกสามารถเข้ามา manage ผ่านเว็บได้ก็ต้องกำหนด Secure Access ซึ่งเป็นเมนูย่อยของ Configuration โดยสามารถกำหนดได้ทั้ง HTTP Access และ HTTPS Access และอย่าืลืมว่าค่านี้จะสัมพันธ์กับค่าของ Outside Application Allowed (Firewall/NAT) ด้วย นันคือถึงแม้เราจะอนุญาตตรงนี้ แต่ไม่ได้อนุญาตที่ Outside Application Allowed ก็จะไม่มีความหมายใด ๆ

โดยในที่นี้จะขอกำหนดในส่วนของ HTTP Access เท่านั้น เพราะ HTTPS จะมีรายละเอียดลึกลงไปอีก และจากรูปกำหนดให้มีการ Access ผ่านอินเตอร์เฟสที่เป็น WAN ได้ และจากที่ได้ทดลองพบว่าสามารถที่เรียก manage ผ่านเว็บได้ทั้งผ่าน IP ของ WAN และ IP ของ LAN ที่เป็น IP จริง
ต่อไปเป็นการเพิ่ม user ที่จะสามารถ Telnet เข้าไป manage เราเตอร์ได้ ซึ่ง user ที่มีอยู่ตอนนี้คือ root นั้นไม่สามารถ tenet ได้ เพิ่ม user ได้โดยเลือกเมนูย่อยของ Configuration ทีชื่อว่า User หลังจากนั้นคลิ๊กปุ่ม Add ในส่วนของ Users แล้วป้อนชื่อ user ดังรูป
ต่อไปเป็นการกำหนด DHCP ซึ่งค่าของ Configure Global DHCP Parameters อาจเป็นดังนี้

และค่าของ DHCP Pool อาจเป็นดังนี้ ส่วนค่าอื่น ๆ ถ้าไม่เซ็ตก็จะเป็นการเอาค่าจาก Configure Global DHCP Parameters มาใช้งาน

และเมื่อเซ็ตค่าเสร็จแล้วจะได้ดังรูปข้างล่าง

ต่อไปก็เป็นการกำหนดให้เครือข่ายจากภายนอกเข้ามาใช้งาน Server ที่ตั้งอยู่ในองค์กรได้ ซึ่งถ้าเรากลับไปดูการคอนฟิกในเรื่องของ Firewall/NAT --> Outside Applications Allowed จะเห็นดังรูปข้างล่างว่า Application ที่จะอนุญาตให้เข้ามาใช้งานได้นั้นมีไม่ครบ ซึ่งตอนนี้ถ้าเราตั้ง Web Server อยู่ภายใน เครือข่ายข้างนอกก็สามารถเข้ามาใช้งานได้แล้วเพราะจากรูปมีรายการของ http อยู่ แต่ถ้าเรามี FTP Server และ DNS Server เป็นต้น อยู่ในองค์กรของเรา ข้างนอกจะเข้ามาไม่ได้ วิธีการที่จะอนุึญาตให้เข้ามาใช้งาน Application อื่น ๆ ได้ ก็สามารถทำได้ด้วยการเลือกเมนู Configuration --> View and Edit --> Edit Configuration Text หรือถ้าใครถนัดใช้ command ก็ใช้ command ได้นะครับ

เมื่อเปิดเนูดังกล่าวขึ้นมาแล้วและดูที่ค่าของ Configuration (ดังตารางข้างล่าง) ในส่วนของ Stateful Firewall จะเห็นว่ามี Application ที่ได้เราได้อนุญาตไว้แล้วเช่น icmp-ping, telnet, https, ssh, http ซึ่งมีชื่อเป็น jweb-wan-app-0 จนถึง jweb-wan-app-4 และสุดท้ายก็เป็นการ discard (jweb-discard-all) ทั้งหมด ในที่นี้ผู้เขียนได้เลียนแบบด้วยการเพิ่ม Application อีกอันสองอย่างคือ ftp และ dns (dns ทำงานทั้ง tpc และ udp จึงเป็น dns-tcp, dns-udp) ซึ่งตั้งชื่อให้สัมพันธ์กับของเดิมเป็น jweb-wan-app-5 และ jweb-wan-app-6 ดังส่วนข้อความที่เป็นสีแดง และถ้าต้องการเพิ่มเพื่ออนุญาต Application อื่น ๆ อีก ก็สามารถเพิ่มได้ก่อน rule สุดท้าย (jweb-discard-all) ที่เป็น discard

term jweb-wan-app-0 {
from {
source-address {
any-unicast;
}
destination-address {
any-unicast;
}
applications junos-icmp-ping;
}
then {
accept;
}
}
term jweb-wan-app-1 {
from {
source-address {
any-unicast;
}
destination-address {
any-unicast;
}
applications junos-telnet;
}
then {
accept;
}
}
term jweb-wan-app-2 {
from {
source-address {
any-unicast;
}
destination-address {
any-unicast;
}
applications junos-https;
}
then {
accept;
}
}
term jweb-wan-app-3 {
from {
source-address {
any-unicast;
}
destination-address {
any-unicast;
}
applications junos-ssh;
}
then {
accept;
}
}
term jweb-wan-app-4 {
from {
source-address {
any-unicast;
}
destination-address {
any-unicast;
}
applications junos-http;
}
then {
accept;
}
}
term jweb-wan-app-5 {
from {
source-address {
any-unicast;
}
destination-address {
any-unicast;
}
applications junos-ftp;
}
then {
accept;
}
}
term jweb-wan-app-6 {
from {
source-address {
any-unicast;
}
destination-address {
any-unicast;
}
applications [ junos-dns-tcp junos-dns-udp ];
}
then {
accept;
}
}
term jweb-discard-all {
then {
discard;
}
}
}

สุดท้ายก็มาตรวจสอบกันว่าเราเตอร์ที่เราได้คอนฟิกเสร็จแล้วนั้นสามารถใช้งานได้หรือไม่ ซึ่งในเมนูผ่าน Web Interface ของ Juniper นี้ได้จัดให้มีเมนูการตรวจสอบ (Diagnose) เราสามารถทดสอบการ Ping ได้ โดยเรียกใช้งานเมนู Diagnose แล้วป้อน IP หรือชื่อ Host ปลายทางที่ต้องการ Ping ดังรูปซึ่งเป็นผลลัพท์ของการ Ping www.yahoo.com ครับ

จบครับ