Failure Detection ရဲ့ အရေးပါမှုနှင့် BFD

Failure Detection ဟာ Network တခုအတွက် ဘယ်လောက် အရေးပါလည်း ဆိုတာနဲ့ Bidirectional Forwarding Detection (BFD) ဆိုတာ ဘာလဲ။ ဘယ်လို အခြေအနေမျိုးမှာ ဘာကြောင့် သုံးကြ တယ်ဆိုတာ လေ့လာ ကြည့်ရအောင်။ ကိုယ်တာဝန်ယူထားရတဲ့ Network တခုမှာ တခုခုပြဿနာဖြစ်ပီ ဆိုရင် ဘယ် နေရာမှာ ဘာဖြစ်နေတယ်ဆိုတာကို အရင်ဆုံးသိဖို့က အရေးကြီးပါတယ်။ ဒါမှသာ ဘာဆက်လုပ်သင့်တယ်၊ ဘယ်နေရာတွေ ပြင်ရမယ်ဆိုတာ သိမှာပါ။ ဘယ်နေရာက ဘာဖြစ်နေမှန်းမသိဘူးဆိုရင် ဖြေရှင်းဖို့မလွယ်ကူသလို၊ ဖြေရှင်းရမဲ့ အချိန်ကိုပါ ကြာမြင့်စေပါတယ်။ တနည်းအားဖြင့်ပြောရရင် ပြတ်တောက်ချိန် Outage ကိုကြာမြင့်စေတဲ့အတွက် မလိုလားအပ်တဲ့ ကိစ္စတွေ ပေါ်ပေါက်နိုင်စေပါတယ်။

ဒီနေရာမှာ အချက် ၂ ချက်က အရေးကြီးပါတယ်။ ပထမတခုက Failure detection နဲ့ ဒုတိယတခုက Time ပါ။ ပထမ အချက်က အဓိကပေမဲ့ အချိန်ကလဲ အရေးကြီးပါတယ်။ ကိုယ်ရဲ့ Network နဲ့ SLA အပေါ်မူတည်ပါတယ်။ Failure Detection အတွက် NMS တွေ၊ Devices' syslog တွေ၊ traps တွေတခြားလိုအပ်တဲ့ အချက်အလက် တွေနဲ့ Admin တယောက်အတွက် မြင်သာအောင် စီစဉ်ထားရပါတယ်။ အဲဒါတွေကလည်း ကိုယ်အသုံးပြုနေတဲ့ Device/Link/Protocols တွေရဲ့ သဘာဝအပေါ်မူတည်ပါတယ်။ သူတို့က ပေးပို့တာ နောက်ကျရင် NMS နဲ့ Syslog ကသိတာလည်း နောက်ကျပါတယ်။ Poll Method ဖြစ်ဖြစ်၊ Push Method ဖြစ်ဖြစ် အတူတူပါပဲ။

နောက်တခုက Network outage တွေမှာ ပြဿနာဖြစ်ရင် Admin/user fault ရယ်၊ Links/ Circuits outage က equipment/device failure ကပိုပါတယ်။ တော်ရုံ Device တွေဟာ Power ကြောင့်ကလွဲရင် hardwar ကြောင့်   ဖြစ်တာ နဲပါတယ်။ ဒီတော့ အများအားဖြင့် Link/Circuit တွေ၊ Configuration error တွေကိုအဓိက စောင့်ကြည့်ရတာများပါတယ်။ Link/Circuit တွေရဲ့ အခြေအနေကိုကြည့်ပြီး အပေါ်က Protocol တွေက Neighbor တွေဆောက် ၊ Routing တွေ ဖလှယ်ကြပါတယ်။ အဲဒီနေရာမှာ Protocol တွေရဲ့ Hello တို့ Hold time တို့က အဓိက အလုပ် လုပ်တယ်။ Protocol တခုနဲ့တခု၊ Link အမျိုးအစား တခုနဲ့တခု Hold time တွေမတူကြပါဘူး။ အဲဒီ Hello ပျောက်သွားပြီ Hold time ကျော်သွားပြီဆိုတော့မှ Neighbor ပျောက်ပီဆိုပြီးတော့ Failover ကိစ္စတွေ စလုပ်ပါတယ်။ အဲဒီ Hold time အတွင်းမှာ traffic တွေဟာ black hole အထဲကို ရောက်သွားပါတယ်။ ပြန်ကောင်းသွားလို့ပဲဖြစ်ဖြစ် Failover ကအလုပ်လုပ်သွားတာပဲ ဖြစ်ဖြစ် ရတော့မှ ပြန်အဆင်ပြေသွားပါတယ်။ ပြန်မကောင်းခင် အချိန်အတွင်းမှာ ဖြစ်သွားတာကတော့ Packet loss ပေါ့။ Convergence time နှေးလေ Outage ကြာချိန်များလေပါပဲ။

Failure detect ဖြစ်တယ် dynamic Failover အလုပ်လုပ်တယ်ဆိုရင် ပြည့်စုံပြီလို့ ဆိုလို့ရပေမယ့် အဲဒီ protocol တွေရဲ့ တမိနစ်လောက်ရှိတဲ့ hold time ကို မစောင့်နိုင်တဲ့ အခြေအနေတွေရှိပါတယ်။ နောက်တခါ multiple protocols တွေရှိနေတဲ့ အချိန်မျိုးမှာ Failure detection ကိုတတ်နိုင်သလောက် တူညီအောင် Circuit/Link တွေကို စောင့်ကြည့်မယ်ဆိုရင်တော့ protocol တခုစီရဲ့ hello နဲ့ hold time တွေကို လိုက်ညှိရပါလိမ့်မယ်။ OSPF fast hello မျိုးပေါ့။ ဒါပေမယ့် တကယ့်လက်တွေ့မှာ သိပ်မလွယ်ပါဘူး။ နောက်တခါ dynamic protocol မသုံးထားတဲ့လင့်မျိုးမှာ hello မရှိရင် Layer 2 ရဲ့ hardware alarm ကိုပဲအားထားရပါတယ် ဒါပေမဲ့ Ethernet လိုမျိုး interface အတွက် အဆင် မပြေပြန်ဘူး။ အထူး သဖြင့် Metro Ethernet Link တွေမှာ MUX/MC/Switch က ခံနေတဲ့ အတွက် interface down stage ကိုဘယ်တော့မှ မရောက်ပါဘူး။ Interface down မဖြစ်တဲ့အတွက် Failover ကလဲ အလုပ်မလုပ်ပါဘူး။

ဒီကိစ္စကိုဖြေရှင်းဖို့အတွက် IP LSA တို့ EEM တို့သုံးပြီး Failure detection ရအောင်လုပ်ကြပါတယ်။ Point to point link တွေအတွက်တော့ ပေါ့ပါးပီး မြန်ဆန်တဲ့ Bidirectional Forwarding Detection ခေါ် BFD ကိုလည်းသုံးကြပါတယ်။ BFD ရဲ့ timer ဟာ msec အထိဆင်းပြီး လုပ်ဆောင်နိုင်တဲ့အတွက် IGP hello တွေ လုပ်ဆောင်နိုင်တဲ့ အချိန်နဲ့ အများကြီး ကွာပါတယ်။ နောက် dynamic protocol မရှိတဲ့ နေရာမျိုးအတွက်လည်း overhead နဲနဲနဲ့ Failure detection ကို လုပ်ဆောင်ပေးပါတယ်။ Interface level နဲ့ routing protocols level မှာ အသုံးပြုရပါတယ်။ ဒါပေမဲ့ ကိုယ်အသုံးပြုနေတဲ့ IOS က support လုပ်ဖို့တော့လိုပါတယ်။

သူ့ရဲ့အလုပ်လုပ်ပုံကလည်း ရှင်းရှင်းလေးပါ။ Timer တွေပါတဲ့ BFD control packet ကို တဖက်ကနေ တဖက်ပို့ပေးရင်း Neighbor ရှိနေသေးလားကြည့်ပေးတာပါ။ packet ရောက်မလာရင် Down ပေါ့။ Operations mode အနေနဲ့ ၂ မျိုးရှိတယ်။ Asynchronous mode ရယ် Demand mode ရယ်။ Primary mode ဖြစ်တဲ့ Asynchronous mode က ၂ ဖက်စလုံးက peer တွေက control packet ကို ပုံမှန်ပေးပို့ပြီး စောင့်ကြည့်တယ်။ Demand mode ကတော့ neighbor ဖြစ်ပြီးသွားရင် ပုံမှန်မပို့ပဲ လိုအပ်တယ်လို့ထင်မှ ထပ်ပို့ကြတယ်။ သူတို့တွဲသုံးတဲ့ လုပ်ဆောင်ချက်တခုကတော့ Echo function လို့ခေါ်တယ်။ သူကတော့ ဒီဖက်ကပို့လိုက်တဲ့ Control packet က Loop ပေးသလိုမျိုး Echo ပြန်ရောက်လာတဲ့ ပုံစံမျိုး။ ဘယ် Mode ကိုသုံးရမလဲဆိုတာကတော့ ကိုယ့် Network အခြေအနေ ကိုယ်သုံးတဲ့ Device နဲ့ OS အပေါ်မှမူတည်ပါတယ်။ Aggressive detection အတွက်တော့ Asynchronous နဲ့ Echo သုံးကြပြီး Overhead လျော့ချင်ရင်တော့ Demand mode ကိုသုံးကြပါတယ်။

BFD ဟာ Failure Detection အတွက် အထောက်အကူပြုတဲ့ Protocol ဖြစ်ပါတယ် ဒါပေမဲ့ သေချာစဉ်းစားပြီး ကိုယ့် Network အတွက် တကယ်လိုအပ်မှသာ အသုံးပြုသင့်ပါတယ်။ Failure Detection ဟာ မြန်နိုင်သလောက်ကောင်းလေ ဆိုပေမယ့် တဖက်မှာတော့ Network stability ကိုလည်း ပြန်ကြည့် ရပါတယ်။ Convergence time ဟာ Protocol default setting တွေနဲ့လုံလောက်တယ်ဆိုရင်တော့ Network Stability အတွက်ပိုပြီး ဦးစားပေး စဉ်းစားသင့်ပါတယ်။ အခုလောက်ဆို Failure Detection ဟာ ဘယ်လောက်အရေးပါလည်းဆိုတာ ကိုသိလောက်ပါပြီ။ ဒါနဲ့အတူ BFD ဆိုတဲ့ Protocol အကြောင်းကိုပါ တီးမိခေါက်မိ ရှိလောက်ပြီလို့ထင်ပါတယ်။ BFD ရဲ့ အသေးစိတ်ကိုထပ်ဖတ်မယ်ဆိုရင်တော့ RFC 5880 မှာဖတ်ကြည့်ပါ။ Configuration အတွက်ကတော့ ကိုယ်သုံးတဲ့ Device နဲ့ OS ပေါ်မူတည်ပြီး Cisco Documentation မှာရှာကြည့်ပါ။

ကိုဖြိုး

Dynamic ACL

Lock and Key ခေါ် Dynamic ACL လို့ခေါ်တဲ့ ACL နောက်တမျိုးကိုထပ်ကြည့်ကြတာပေါ့။ လုပ်ငန်းခွင်အနေနဲ့တော့ သိပ်ပြီးအသုံးပြုလေ့မရှိပါဘူး၊ ဒါပေမယ့် အရေးကြုံလို့လိုအပ်လာတဲ့အချိန်၊ စာမေးပွဲဖြေတဲ့ အချိန်တွေမှာ သုံးတတ်အောင်လို့တော့ သိထားသင့်ပါတယ်။ အသုံးမပြုကြဘူးဆိုတာက သူ့ရဲ့ လုပ်ဆောင်ပုံဟာ VPN အသုံးပြုပုံနဲ့သွားတူနေတာကြောင့်လည်းဖြစ်ပါတယ်။ VPN အထိ အသုံးပြု ရအောင် လည်း မရပါဘူး။ VPN သုံးတဲ့အခါမှာ Mobile users VPN အနေနဲ့Client သုံးပြီး VPN Login ဝင်၊ ပြီးရင် အတွင်းက Network/ Resource ကိုအသုံးပြုရသလိုမျိုး၊ ACL ကိုဖွင့်ပေးဖို့အတွက် Authentication အရင်လုပ်၊ Login ရပြီးမှ ACL ကို Dynamic ဖွင့်ပေးပြီး အတွင်းက Network/ Resource ကိုအသုံးပြု ခွင့်ပေးတာမျိုးပါ။

Dynamic ACL ကို လက်ရှိအသုံးပြုနေတဲ့ Extended ACL နဲ့ တွဲသုံးပြီး ကိုယ်ဖွင့်ပေးချင်တဲ့ Protocol/ Destination ကိုခွင့်ပြုထားရပါတယ်၊ ဒါပေမဲ့ အဲ့ဒီ Dynamic Entry ဟာ Authentication/ Login ဝင်လို့ရတဲ့ Source အတွက်သာ ယာယီဖွင့်ပေးပါတယ်။ သူရဲ့သတ်မှတ်တဲ့ အချိန် Timeout ဖြစ်သွားရင် သူ့အလိုလို ပြန်ပိတ်သွားပါတယ်။ ထပ်သုံးချင်ရင်တော့ Login ထပ်ဝင်ရပါတယ်။ Show run configuration အနေနဲ့ ကြည့်ရင် အသေးစိတ်မမြင်ရပဲ၊ Dynamic ACL active ဖြစ်နေတဲ့ အချိန်မှသာ ဘာကိုဖွင့်ထားတယ်ဆိုတာကို Show access-list ကနေကြည့်လို့ရပါတယ်။ Dynamic ACL တစ်ကြောင်းသာ Extended ACL အောက်မှာ ရေးလို့ရတဲ့ အတွက် များသောအားဖြင့် General အနေနဲ့သာ ရေးလေ့ရှိပါတယ်။ ဥပမာ permit IP any any ဆိုတာမျိုး။ Permit any ဆိုပေမဲ့ Authentication ထပ်ခံထားတဲ့အတွက် ကြောက်စရာမလိုပါဘူး။ ဒီနေရာမှာ အရေးကြီးတာက Timeout ပါ။ Absolute Timeout နဲ့ idle timeout ဆိုပြီးရှိပါတယ်။ Timeout မရှိရင် တခါဝင်ထားတဲ့ Login user ဟာအမြဲတမ်း ဝင်ခွင့်ရနေပြီး လုံခြုံရေးအရ ACL ရဲ့ အနှစ်သာရကို ပျက်ဆီး စေပါတယ်။

အသုံးပြုတဲ့ နမူနာနဲ့ တွဲမကြည့်ရင် သိပ်မရှင်းပဲ နားလည်ရခက်နိုင်ပါတယ်။ ဥပမာ တစ်ခုနဲ့ကြည့်ရအောင်။ ကိုယ်အတွင်းမှာရှိတဲ့ Server/ Application တစ်ခုကို တခြား Network ကနေ ယာယီအသုံးပြုဖို့ တောင်းဆိုလာတယ်ဆိုပါတော့။ အသုံးပြုချင်တဲ့ သူရဲ့ Source IP က အတိအကျမသိရဘူး။ DHCP ကနေချပေးတဲ့ IP ဆိုတော့ ဒီနေ့ တမျိုး၊ နောက်တနေ့ တမျိုးဖြစ်နေတယ်။ Subnet တစ်ခုလုံး ဖွင့်ပေးဖို့ ကြတော့လဲ သိပ်အဆင်မပြေပြန်ဘူး၊ သုံးမည့်သူက တစ်ယောက်တည်း။ VPN ပေးသုံးဖို့ကလည်း Firewall နဲ့ VPN Gateway ကမရှိ။ ရှိရင်လည်း သူအတွက် ယာယီ အသုံးပြုဖို့အတွက် AD မှာ User ထည့်ဖို့၊ Token ပေးဖို့အတွက်ကလည်း Resource တွေသုံးရမှာ သိပ်မတန် ဖြစ်နေတယ်။ ဒီလိုအခြေနေမျိုးမှာ Border router ရဲ့ အဝင်မှာ သုံးထားတဲ့ Extended ACL မှာ Dynamic ACL ဝင်ထည့်ပြီး Local user တစ်ခုဝင်ရေးပြီး ပေးလိုက်တာက အမြန်ဆုံးနဲ့ အဆင်ပြေဆုံးဖြစ်ပါလိမ်မယ်။ Local user တင်မကပဲ Authentication server တွေဖြစ်တဲ့ TACACS+ တို့နဲ့လည်း သုံးလို့ရပါတယ်။ ဒါပေမဲ့ အပေါ်မှာ ပြောခဲ့သလိုပဲ Timeout ကတော့ အရေးကြီးပါတယ်။ အဲဒါမပါရင် ကိုယ့် Network ကိုလာဖို့Tunnel ဖောက်ပေးလိုက်သလိုဖြစ်သွားပါလိမ့်မယ်။

Configuration နဲ့တွဲကြည့်လိုက်ပြီး Lab တစ်ခုလောက်လုပ်လိုက်ရင်တော့ ပိုပြီး နားလည်သွားပါလိမ့်မယ်။ Cisco ရဲ့ Config ကို ဆက်လေ့လာကြည့်ပါ။

Lock-and-Key with Local Authentication Example

This example shows how to configure lock-and-key access, with authentication occurring locally at the router. Lock-and-key is configured on the Ethernet 0 interface.

username user-name password password

interface ethernet0
 ip address 172.18.23.9 255.255.255.0
 ip access-group 101 in

access-list 101 permit tcp any host 172.18.21.2 eq telnet
access-list 101 dynamic mytestlist timeout 120 permit ip any any

line vty 0
login local
autocommand access-enable timeout 5

The first access-list entry allows only Telnet into the router. The second access-list entry is always ignored until lock-and-key is triggered.
In the access-list command, the timeout is the absolute timeout. In this example, the lifetime of the mytestlist ACL is 120 minutes; that is, when a user logs in and enable the access-enable command, a dynamic ACL is created for 120 minutes (the maximum absolute time). The session is closed after 120 minutes, whether or not anyone is using it.
In the autocommand command, the timeout is the idle timeout. In this example, each time the user logs in or authenticates there is a 5-minute session. If there is no activity, the session closes in 5 minutes and the user has to reauthenticate. If the user uses the connection, the absolute time takes affect and the session closes in 120 minutes.
After a user opens a Telnet session into the router, the router will attempt to authenticate the user. If authentication is successful, the autocommand executes and the Telnet session terminates. The autocommand creates a temporary inbound access list entry at the Ethernet 0 interface, based on the second access-list entry (mytestlist). This temporary entry will expire after 5 minutes, as specified by the timeout.

ကိုဖြိုး

Time-Based ACL

ACL အကြောင်းထပ်ဆက်ရမယ်ဆိုရင် အချိန်နဲ့အလုပ်လုပ်တဲ့ Time-Based ACL အကြောင်းကို ဆက်လေ့လာကြည့်တာပေါ့။ တကယ်တော့ Time-Based ACL ဟာ ထူးထူးခြားခြားမဟုတ်ပါဘူး။ ACL ကို Time-Range လို့ခေါ်တဲ့ အချိန်အပိုင်းအခြားကိုထည့်ပေါင်းပြီး အသုံးပြုလိုက်တာပါပဲ။ အပြင်မှာ တကယ် အသုံးပြုလားဆိုရင်တော့ သိပ်ပြီးအသုံးပြုလေ့မရှိပါဘူး ဒါပေမယ့် တခါတလေမှာ လိုအပ်ချက်ကြောင့် ထည့်ပြီးအသုံးပြုလို့ရအောင် သိထားသင့်ဖို့တော့လိုအပ်ပါတယ်။ နမူနာ အနေနဲ့ပြောရရင် ရုံးမှာရှိတဲ့ အင်တာနက်လင့်က သေးတယ် Bandwidth ကသိပ်မရှိဘူး၊ ရုံးချိန်အတွင်းမှာ ဝန်ထမ်းတွေက အလုပ်နဲ့ မသက်ဆိုင်တဲ့ အင်တာနက်ကြည့်နေတာကြောင့် အဓိက ရုံးလုပ်ငန်းအတွက်သုံးရမည့် လုပ်ငန်းဆိုင်ရာ Business Application တွေကိုနှေးစေတယ်။ တဖက်ကလည်း ကိုယ့်ရဲ့ဝန်ထမ်းတွေကို ထမင်းစားချိန်၊ အားလပ်ချိန်နဲ့ အလုပ်ပြီးချိန်တွေမှာတော့ ကြိုက်သလို အသုံးပြုဖို့ခွင့်ပြုထားချင်တယ်။ ဒီလိုအခြေအနေမျိုးမှာ Network Admin ကသူကိုယ်တိုင် အဖွင့်အပိတ် လုပ်ပေးနေမည့်အစား အချိန်ပေါ်မူတည်ပြီး အဖွင့်အပိတ်လုပ်ပေးနိုင်တဲ့ Time-Based ACL ကို အသုံးပြုသင့်ပါတယ်။

ဒီလိုအဖြစ်မျိုး တကယ်ရှိရဲ့လားဆိုရင် ရှိတယ်လို့ပြောရမှာပဲ။ Bandwidth တစ်ခုတည်းကြောင့်မဟုတ်ပဲ ရုံးရဲ့ စည်းကမ်းပိုင်းအရလည်း အသုံးပြုတာမျိုးဖြစ်ပါတယ်။ ဒါမျိုးကို Firewall တွေမှာလည်း အသုံးပြုလေ့ ရှိပါ တယ်။ URL Control တွေ၊ Content Filter တွေပါတဲ့ Firewall တွေမှာ ပိုပြီးအသုံးဝင်ပါတယ်။ တကယ်လို့ ကိုယ့်မှာ FW မရှိဘူး၊ အထက်ကလည်း ဒါမျိုးကို လုပ်ခိုင်းလာတဲ့ အချိန်မျိုးမှာ Router ကနေ Time-Based ACL နဲ့အဆင်ပြေအောင် လုပ်ပေးထားလို့ရပါတယ်။ ဒါဟာ CCNA Level ဖြစ်တဲ့အတွက် စာမေးပွဲဖြေမည့် သူများအနေနဲ့လည်းသိထားသင့်ပါတယ်။

ဘာကိုသိထားသင့်သလဲဆိုရင်တော့ အချိန်နဲ့ အလုပ်လုပ်မှာ ဖြစ်တဲ့အတွက် ကိုယ့်ရဲ့ Router ဟာ အချိန်မှန် ရဲ့လား၊ ကိုယ်သုံးနေတဲ့ Time-Zone နဲ့ကိုက်ရဲ့လား စစ်ဆေးသင့်ပါတယ်။ Time-zone လွဲရင်လည်း ကိုယ်ရေး မည့်အချိန်နဲ့ လွဲတတ်တာ ကြောင့် သတိထားသင့်ပါတယ်။ NTP သုံးထားရင်လည်း Sync ဖြစ်မဖြစ် သေချာ ကြည့်ပါ။ ပြီးရင် ကိုယ့်ရဲ့ လိုအပ်ချက်အရ အချိန်အတိအကျနဲ့တစ်ကြိမ်သာ လိုအပ်တာလား၊ အထက်က ပြောခဲ့သလို ပုံမှန် အချိန်အပိုင်းနဲ့အမြဲတမ်းသုံးမှာလား ဆိုပြီး Time-Range ကိုရေးရပါတယ်။ သတ်မှတ်ချိန် အတိအကျနဲ့သုံးမယ်ဆိုရင် absolute ကိုသုံးပြီး အချိန်အပိုင်းအခြားအလိုက် recurring time ဆိုရင်တော့ Periodic ကိုသုံးရပါတယ်။ Time-range ရပြီဆိုရင် လိုအပ်တဲ့ ACL ကိုရေးပါ။ ရေးတဲ့ အချိန်မှာ အနောက် ကနေ Time-Range     ဆိုပြီးတော့ ကိုယ်ရေးထားတဲ့ Time-range ကိုပေါင်းပေးလိုက်ရင် Time-based ACL တစ်ခုရပါပြီ။ နောက်ဆုံးအဆင့်အနေနဲ့ ဘယ်နေရာမှာ သုံးမယ်ဆိုတာ တွဲပေးလိုက်ရင် ပြီးပါပြီ။

Configuration အနေနဲ့လည်းရိုးရှင်းပါတယ်။ Cisco ကပေးထားတဲ့ နမူနာကို ကြည့် ကြည့်ပါ။

!--- Defines a named time range.

time-range time-range-name

!--- Defines the periodic times.

periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
      

!--- Or, defines the absolute times.

absolute [start time date] [end time date]

!--- The time range used in the actual ACL.

ip access-list name|number <extended_definition>time-rangename_of_time-range 

In this example, a Telnet connection is permitted from the inside to outside network on Monday, Wednesday, and Friday during business hours:

interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 101 in     

access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255       
eq telnet time-range EVERYOTHERDAY 

time-range EVERYOTHERDAY
periodic Monday Wednesday Friday 8:00 to 17:00

ကိုဖြိုး

ACL (Standard vs Extended)

ACL အကြောင်းတီးမိခေါက်မိရှိသွားပြီဆိုရင်တော့ နောက်ထပ်လေ့လာဖို့အတွက် အရှိန်ရသွားပါပြီ။ Cisco Devices တွေမှာအသုံးပြုတဲ့ ACL အမျိုးမျိုးထဲက အခြေခံကြတဲ့ Standard ACL နဲ့ Extended ACL အကြောင်းကိုဆက်ပြီး လေ့လာကြတာပေါ့။ နံပါတ်စဉ်အနေနဲ့ကတော့ အရင်ပို့စ်မှာ ဖော်ပြခဲ့သလိုပါပဲ။ ကိုယ်အသုံးလိုတဲ့ ACL ကိုကြည့်ပြီး Standard ဆိုရင် သူအသုံးပြုလို့ရတဲ့နံပါတ်စဉ်အတွင်းကနေသုံးရသလို၊ Extended ဆိုရင်လည်း သူ့အတွက်သတ်မှတ်ထားတဲ့ အစဉ်ထဲကနေသုံးရပါတယ်။
Standard: 1-99, 1300-1999
Extended:100-199, 2000-2699

နောက်တခုကွာခြားချက်က Standard က Source Network ကိုပဲကြည့်ပြီး IP Protocol အားလုံးကို ခွင့်ပြုမလား၊ ပိတ်မလားဆိုပြီး လုပ်ဆောင်ပါတယ်။ Extended ကတော့ Protocols တွေကအထဲက ဘယ် Protocol ကိုပဲ ရွေးပြီး အသုံးပြုချင်တယ်ဆိုတာ ရွေးလို့ရသလို Source Network သာမက Destination Network ကိုပါ ရွေးလို့ရပါတယ်။ ဒါဆိုရင် ဘယ်လိုအချိန်မျိုးမှာ Standard ACL ကိုသုံးနေကြသေး လဲဆိုရင် တော့ Protocol Level အထိအသေးစိတ်ကြည့်နေစရာမလိုတဲ့ ကိစ္စမျိုးဖြစ်တဲ့ Line တွေမှာသုံးတဲ့ နေရာမျိုး၊ Routing process တွေအတွက် Route Filter လုပ်ရတဲ့ အခါမှာ Route-map တွေအတွက် Match လုပ်ရမဲ့ နေရာမျိုးတွေမှာသုံးကြပါတယ်။ (Route-map အကြောင်းကို ပို့စ်အဟောင်းတွေမှာ ပြန်ဖတ်ကြည့်နိုင်ပါတယ်။)

နမူနာ အနေနဲ့ Standard ACL နဲ့ Router ရဲ့ Telnet/ SSH သုံးဖို့အတွက် Line vty မှာသုံးတာကြည့်ရအောင်။ Standard ACL ဖြစ်တဲ့အတွက် ကိုယ်ခွင့်ပြုမဲ့ Network/host ကို ပေးရင်ရပါပြီ။ Telnet/SSH ကိုစဉ်းစားစရာမလိုပါ။

access-list 1 permit 10.1.1.0 0.0.0.255
access-list 1 permit host 192.168.10.1

Line vty 0 4
access-class 1 in

ဒီ ACL ဟာဘာကိုပြောတာလဲဆိုရင် ACL No.1 မှာပါတဲ့ 10.1.1.0/24 Network နဲ့ 192.168.10.1 IP ကနေ လာမှသာ Router ရဲ့ vty line ကို လာခွင့်ပြုမှာဖြစ်ပါတယ်။ ACL မှာ  Subnet mask အစား၊ Wildcard ကိုသုံးရပါတယ်။ (0.0.0.255) သာ /24 ရဲ့ Wildcard ပါ။ အရင်ကပြောခဲ့သလိုပဲ IP addressing နဲ့ Subnetting ကိုမသိရင် ACL ရေးတဲ့အခါ အခက်တွေ့ပါလိမ့်မယ်။ နောက်တခုကတော့ Host တခုတည်းဖြစ်တဲ့ အတွက် Host ဆိုတာ သုံးထားတာ တွေ့မှာပါ။ Permit ကတော့ Action ပါ။ ပိတ်မယ်ဆိုရင်တော့ Deny ပါ။ ဒီ ACL ရဲ့ အောက်ဆုံးမှာ Default implicit deny ပါတဲ့အတွက် ထပ်ရေးစရာမလိုပါဘူး။
အကယ်၍ Line vty အစား Interface အဝင်မှာသုံးမယ်၊ Telnet ကိုပိတ်ထားပြီး SSH ကိုသာပေးသုံးမယ် ဆိုရင် တော့ Standard ACL အစား Extended ACL သုံးမှာသာ အဆင်ပြေပါလိမ့်မယ်။ အောက်က နမူနာကိုကြည့်ပါ။

access-list 100 deny tcp any any eq telnet
access-list 100 permit ip any any       

interface <interface>
ip access-group <acl-number> in

ဒီ ACL မှာတော့ Telnet ကိုပိတ်ဖို့အတွက် သူအသုံးပြုတဲ့ tcp 23 (telnet) ကိုအရင်ပိတ်ထားပါတယ်။ ပြီးတော့မှ ကျန်တဲ့ Packets တွေအားလုံးသွားလို့ရအောင် ပြန်ဖွင့်ထားပါတယ်။ မဟုတ်ရင် အားလုံး implicit deny နဲ့ညှိပြီး ပိတ်ကုန်မှာပါ။ တကယ်တော့ ဒါက Extended ACL အကြောင်း နမူနာအနေနဲ့ ပြတာပါ။ Line မှာ Telnet ပေးမသုံးပဲ ssh သာပေးသုံးမယ်ဆိုရင် Line အောက်မှာ Transport input ssh တခုပေးလိုက်ပြီး Standard ACL နဲ့သုံးလေ့ရှိပါတယ်။

နောက်ထပ် အနေနဲ့ ACL တွေကိုထပ်ထည့်တာ၊ ပြင်တာ လုပ်ရင် သတိထားရမဲ့ အရာတွေဖြစ်ပါတယ်။ Cisco Config တွေကို မသုံးချင်ရင် no နဲ့ ပြန်ဖျောက်လေ့ရှိပါတယ်။ ACL မှာမလိုချင်တဲ့ Line တစ်ခုကို ဖျက်မယ်ဆိုပြီး no access-list ဆိုပြီး သုံးလိုက်ရင် ကိုယ်မလိုချင်တဲ့ Line သာမကပဲ ACL တခုလုံး ပျောက်သွားပါတယ်။ ဒီတော့ ဘယ်လိုလုပ်ရမလဲဆိုရင် ACL ကို Notepad/Wordpad တို့လိုပြင်လို့ရတဲ့ နေရာမှာ အရင်ကူး၊ အဲဒီမှာဖျက်၊ပြင်၊ ပီးရင် အရင် ACL ကိုဖျက်ပီး အသစ်ရေးထားတဲ့ ACL ကိုပြန်သုံး ရပါတယ်။ တကယ်လို့ ကိုယ်အသုံးပြုနေတဲ့ IOS ဟာ Number ACL sequence ကိုနားလည်တယ် ဆိုရင်တော့ ကိုယ်ဖျက်မဲ့ sequence ကိုဖျက်ရင်ရပါတယ်။ အသစ်ထည့်မယ်ဆိုရင်လဲ ကိုယ်ထပ်ထည့်မယ့် sequence နေရာကိုကြည့်ပြီး ထည့်လို့ရပါတယ်။ ACL ဟာ sequence လိုက်အစဉ်အတိုင်း အလုပ်လုပ်တဲ့ အတွက် ဘယ်နေရာမှာ ထည့်မယ်ဆိုတာကို သေချာကြည့်ဖို့လိုပါတယ်။

Number ACL လို့သုံးသွားတာက ဒီ ACL တွေကို နာမည်ပေးပြီး named ACL အနေနဲ့လဲ သုံးလို့ရ ပါသေးတယ်။ Standard ရော Extended ကိုပါ named ACL ရေးလို့ရပါတယ်။ named ACL ဟာ sequence ကိုနားလည်ပြီး ပြင်ရ ထပ်ထည့်ရ လွယ်ကူသလို ကိုယ်ဘာအတွက် သုံးမယ်ဆိုတဲ့ အမည်၊ အမှတ်အသား အနေနဲ့ပါ ပြန်ကြည့်ရတာ အဆင်ပြေပါတယ်။ Number ACL သုံးရင် အချိန်ကြာလာတာနဲ့ အမျှ ကိုယ် ဘာကြောင့်၊ ဘာအတွက် ဒီ ACL ကိုရေးခဲ့မှန်း မသိတော့ဘူး။ ကိုယ်က စနစ်တကျနဲ့ remark တွေ ဘာတွေ ရေးခဲ့ရင်တော့ ကောင်းတာပေါ့။ အခုနောက်ပိုင်းမှာတော့ named ACL သာ သုံးကြတာများပါတယ်။ ရေးရတာလည်း သိပ်မကွာပါဘူး။ နမူနာတွေကြည့်ပြီး ရေးကြည့်ရင် သဘောပေါက်သွားပါလိမ့်မယ်။

ACL ဟာ အခြေခံကျတဲ့ အရာတခုလို့ဆိုပေမယ့် သေသေချာချာ မသိထားဘူးဆိုရင် အလုပ်မှာ အခက်တွေ့ စေပါလိမ့်မယ်။ အတော်များများက Lab လုပ်နေတဲ့ အချိန်မျိုးမှာ ပေါ့ပေါ့လေးလုပ်တတ်ကြပါတယ်။ ဒါပေမယ့် အလုပ်ထဲရောက်ရင်တော့ ပီးစလွယ်လုပ်လို့မရတဲ့အထဲမှာပါတဲ့ ကိစ္စတခုပါ။ တကယ်လို့ ကိုယ်ပြင်ရမဲ့ Router ရဲ့ ACL ဟာ remote မှာ၊ တခြားမြို့မှာဆိုရင် ကိုယ်မှားလုပ်မိလို့ ပြန်ဝင်လို့မရတော့ တာမျိုးကြုံရတတ်သလို သုံးထားတဲ့ Interface ဟာ $ တွေသွားလာနေတဲ့ Trading လုပ်နေတဲ့ နေရာမျိုးမှာ ကိုယ်ရဲ့ ACL အမှားတခုကြောင့် ခွင့်ပြုထားတဲ့ Network တခုလောက်ပျောက်သွားခဲ့မယ်ဆိုရင် ဘယ်လောက် အထိ ပြဿနာကြီးသွားနိုင်တယ်ဆိုတာကို ခန့်မှန်းလို့ရပါတယ်။ ဒါကြောင့် သေသေချာချာ လေ့လာပြီး Router ၃ လုံးလောက်နဲ့ အမျိုးမျိုးလေ့ကျင့်ထားသင့်ပါတယ်လို့ အကြံပေးလိုပါတယ်။

ကိုဖြိုး

Access Control List (ACL)

Access Control List (ACL) ကို Operation Systems တွေ၊ Applications တွေနဲ့ Network တွေမှာ အသုံးပြုကြပြီး အသုံးပြုနိုင်ခွင့်ကို ထိမ်းချုပ်ကိုင်တွယ်ထားတဲ့ အရာလို့ ပြောလို့ရပါတယ်။ ဒါပေမဲ့ အသုံးပြုတဲ့ ပုံစံခြင်းမတူညီတဲ့အတွက်ကြောင့် ဘာ ACL လဲဆိုတာ ကို ထည့်ပြောမှသာ ပြည့်စုံပါလိမ့်မယ်။ အခုပြောမည့် အကြောင်းအရာကတော့ Network ACL ဖြစ်ပြီး Cisco Devices တွေမှာ အသုံး ပြုတဲ့ IP Access List ဖြစ်ပါတယ်။ IP ACL ဖြစ်တဲ့အတွက် IP addressing နဲ့ Subnets တွေအကြောင်း၊ TCP/UDP Ports တွေအကြောင်းကိုသိထားရင် ACL ကိုအလွယ် တကူနားလည်နိုင်မှာဖြစ်ပါတယ်။ ဒါတွေမသိထားသေးရင်တော့ ACL ကိုလိုအပ်သလိုရေးဖို့၊ အသုံးပြုဖို့အတွက် အခက်အခဲ ဖြစ်နိုင်ပါတယ်။

ACL ကို Cisco Devices တွေမှာ Access Control လုပ်ယုံအတွက်သာ မက၊ တခြား Routing Process တွေ၊ Route-map တွေအတွက် Traffic classification တွေအတွက်လည်း သုံးလေ့ရှိပါတယ်။ ဒါကြောင့် ACL ဆိုတာ Traffic Control/ Access Control လုပ်တာပဲလို့ အသေမှတ်မထားတာကောင်းပါတယ်။ နောက်တနည်းပြောရရင်တော့ စာရင်းဆိုပါတော့။ ကျွန်တော်တို့စာရင်းပြုစုတဲ့ အခါမှာ အကြောင်းအမျိုးမျိုးနဲ့ ပြုစုကြတာ ကြုံဖူးကြမှာပါ။ ဥပမာ ကျောင်းသားတွေ အနေနဲ့အရင်းနှီးဆုံးဖြစ်တဲ့ အကြောင်းနဲ့ ပြောပြရမယ်ဆိုရင် ကျေားင်းမှာရှိတဲ့ ကျောင်းသားကျောင်းသူတွေရဲ့ အမည်စာရင်းဆိုပါတော့။ အနည်းဆုံးအနေနဲ့ဘာတွေပါမလဲဆိုရင် အမည်ပါမယ်၊ ကျား မ ခွဲထားတာပါတယ်။ ဒါဟာ ACL ပါပဲ။ ကျောင်းသူသက်သက် ကျောင်းသားသက်သက်ခွဲထားတဲ့ စာရင်း ၂ခုဆိုပါတော့။  ဒါပေမယ့် ACL တစ်ခုဟာ ဘာလုပ်မယ်ဆိုတဲ့ အကြောင်းအရာမပါရင် ဘာမှ အလုပ်မဖြစ်သေးပါဘူး။ ဒီတော့ Action/Apply ထည့်ကြည့်လိုက်မယ်။ ဥပမာ စာရင်းမှာ ကျောင်းသူ (မ) တွေသာ ကျောင်းသူနားနေခန်းသို့ သွားနိုင်တယ်။ အလားတူပဲ ကျောင်းသား(ကျား) တွေသာ ကျောင်းသားနားနေခန်းသို့သွားနိုင်တယ်။ စာကြည့်တိုက်ကိုတော့ ကျောင်းသားရော ကျောင်းသူပါ ဝင်နိုင်တယ်ဆိုတာမျိုးနဲ့ တွဲလိုက်မှသာ ACL က အသက်ဝင်လာမှာဖြစ်ပါတယ်။

ဒါက အပြင်လောကမှာမြင်နိုင်တဲ့ ACL တွေပါ။ လူတွေအတွက် သုံးတာဆိုတော့ လူတွေကို မှတ်သားခွဲခြားထားတဲ့ ကျား၊မ တို့ အသက်တို့၊ အမည်တို့ပါသလို IP ACL မှာတော့ Host/Node/Network တွေကို သတ်မှတ်ထားတဲ့ IP address တွေ၊ Subnets တွေနဲ့ အသုံးပြုတဲ့ Applications တွေရဲ့ TCP/UDP ports တွေနဲ့ တခြား IP ပေါ်မှာသတ်မှတ်လို့ရတဲ့ဟာတွေပါတာပေါ့။ ACL သတ်မှတ်ပြီးရင် တော့ ခုနက ဥပမာ ပေးခဲ့သလို ဘယ်နေရာမှာ အသုံးချမယ်ဆိုတာပြောရပါတယ်။ Interface/ Router/ Route-map/ Line စတဲ့နေရာတွေမှာ အသုံးပြုလိုက်တာပါပဲ။ စတင်လေ့လာသူတွေအတွက်ကတော့ Interface နဲ့ Line တွေမှာစပြီး အသုံးပြုတတ်အောင် လေ့လာရပါတယ်။ ဒါမှသာ Traffic flow ကိုကြည့်ပြီး ACL ရေးတဲ့အခါ Inbound လား၊ Outbound လား၊ Source ကဘာလဲ၊ Destination ကဘာလဲ၊ ဘယ်နေရာမှာ အသုံးပြုရမလဲဆိုတာကို ပိုပြီး နားလည်မှာဖြစ်ပါတယ်။ နောက်တခုကတော့ ACL ဟာ ရေးထားတဲ့ အစီစဉ် အတိုင်းအလုပ်လုပ်တာဖြစ်တတ်တဲ့ အတွက် ကိုယ့်ခွင့်ပြုချင်တဲ့ Flow တွေကို အရင်ရေးပေးရပါတယ်။ ပြီးရင်အောက်ဆုံးမှာ အားလုံးကိုပိတ်ထားတဲ့ လိုင်းရှိတယ်ဆိုတာကိုလည်း သတိပြုရမှာဖြစ်ပါတယ်။

ဥပမာ ဒီအောက်မှာပြထားတဲ့ ACL ၂ ခုဟာ အတူတူပါပဲ။ Deny ကိုအောက်မှာထည့်မရေးထားလည်း Default implicit deny ဆိုတာရှိတဲ့အတွက် မရေးလည်း လုပ်ဆောင်ပုံခြင်း အတူတူပါပဲ။

access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255

access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 101 deny ip any any

ဒီ ACL ဟာဘာကိုပြောတာလဲဆိုရင် Source Network 192.168.1.0/24 တစ်ခုသာ Destination Network ဖြစ်တဲ့ 172.16.0.0/16 ကိုသွားခွင့်ရှိတယ်လို့ရေးထားတာဖြစ်ပါတယ်။ အခုလို Source ရော Destination ပါပါအောင်ရေးထားတဲ့ ACL ကို Extended ACL ကိုခေါ်ပါတယ်။ ACL number အနေနဲ့တော့ 100-199 အထိရယ်၊ 2000-2699 အတွင်းရယ်သုံးလို့ရပါတယ်။ တကယ်လို့ Source တစ်ခုထဲသာလိုအပ်မယ်၊ Destination တို့၊ protocol မလိုရင်တော့ Standard ACL ကိုသုံးရင်ရပါတယ်။ Standard ACL က Source ကိုပဲ ကြည့်တဲ့ ACL ဖြစ်ပါတယ်။ ACL number အနေနဲ့တော့ 1-99 အထိရယ် 1300-1999 အတွင်းမှာသုံးရပါတယ်။ ဒီတော့ ကိုယ်ရေးမဲ့ ACL အမျိုးစားပေါ်မူတည်ပြီး သင့်တော်တဲ့ နံပါတ်သုံးရပါတယ်။

အထက်မှာပြောခဲ့သလိုပဲ ACL ရေးတာနဲ့ အလုပ်မလုပ်သေးပါဘူး။ အခုရေးထားတာက Traffic flow filter လုပ်မယ့် ACL ဖြစ်တဲ့အတွက် Router ရဲ့  Interface မှာသွားမဲ့ ဦးတည်ဖက် (Direction) ကိုကြည့်ပြီး Inbound လား Outbound လားရွေးပြီး ip access-group (number) in/out ဆိုပြီး ရေးပေးရပါတယ်။ Direction ကိုကြည့်တဲ့နေရာမှာ Source to Destination flow မှာ ဘယ်ကဝင်ပီး ဘယ်ကထွက်တယ်ဆိုတာကိုကြည့်ရပါတယ်။ ဥပမာ R1ကနေ R3 ကို သွားရင် R2 ကနေဖြတ်သွားမယ်၊ ခုနက ACL ကို R2 မှာသုံးမယ်။
ဆိုပါစို့။ R1 က R2 ရဲ့ e1 interface ကိုချိတ်ထားပီး၊ R2 e2 interface က R3 ကိုချိတ်ထားမယ်။

R1 —> (e1)R2(e2) —> R3

R2 (e1) Interface မှာဆိုရင် direction က inbound ဖြစ်ပီး R2(e2) မှာဆိုရင်တော့ outbound ဖြစ်ပါတယ်။ ကိုယ်သုံးတဲ့ Interface နဲ့ Traffic flow direction ကိုကြည့်ပြီး in / out ကိုရွေးပါ။

interface Ethernet0/1
ip address 10.1.1.1 255.255.255.0
ip access-group 100 in

ဘာကြောင့် e1 ကိုရွေးရလဲဆိုရင်တော့ အဝင်မှာကတည်းက စပြီး ပိတ်လိုက်တော့ router ကိုဖြတ်စရာမလိုတော့ဘူးပေါ့။ e2 ဆိုရင် e1 ကနေအရင် ဝင်လာအုံးမယ် ပြီးမှအထွက်မှသာ စစ်သလိုဖြစ်နေမှာပါ။  နောက်တနေရာ အနေနဲ့ဆိုရင် R3 အဝင်မှာလည်းပိတ်နိုင်တာပါပဲ။ ဒါဆိုရင် အဲဒီ traffic ဟာ မလိုအပ်ပဲ R2 ကိုဖြတ်၊ R2 နဲ့ R3 ကြားက လင့်ကိုပါ အသုံးပြုပြီး R3 အဝင်မှ ပိတ်လိုက်တော့ မလိုအပ်တဲ့ Resource တွေကို ပေးသုံးလိုက်သလိုဖြစ်သွားတာပေါ့။ အပေါ်က ကျောင်းသားတွေ အကြောင်းပြောတဲ့ ACL အရဆို ကျောင်းသားတွေကို ကျောင်းသူနားနေခန်းအဝအထိပေးသွားပြီး အဝကျမှ မဝင်ရဘူးပြောသလိုဖြစ်သွားမှာပေါ့။ တကယ်ဆို ကျောင်းသူတွေ နားနေခန်းသွားတဲ့ လမ်း၊ လှေကားတို့မှာကတည်းက စပြီး ကျောင်းသားများမဝင်ရဆိုပြီး ပြောသင့်တာပေါ့။

ဘာကြောင့် R1 အထွက်မှာ မသုံးလဲဆိုတာကိုတော့ စိတ်ဝင်စားတဲ့သူတွေအတွက် စဉ်းစားစရာဖြစ်အောင် ထားခဲ့လိုက်မယ်။
အခုလောက်မြင်သွားပြီဆိုရင် ACL ကိုကိုယ်တိုင်စမ်းသပ်လို့ရပါပြီ။ ဒါက အစပဲရှိပါသေးတယ်။ အသေးစိတ်ကို နောက်ပို့စ်တွေမှာဆက်ဖတ်ပါ။


ကိုဖြိုး

Stop.Think.Connect.

US နဲ့နိုင်ငံတချို့မှာ အောက်တိုဘာလကို National Cyber Security Awareness Month (NCSAM), The European Cyber Security Month (ECSM) ဆိုပြီး ဆိုင်ဘာလုံခြုံရေးနဲ့ပက်သက်ပြီး အသိပညာပြန့်ပွား ရေးတွေလုပ်ကြပါတယ်။ စင်ကာပူမှာလည်း Singapore International Cyber Week (SICW) ဆိုပြီး ကျင်းပ သွားပါတယ်။ Cloud ပွဲသွားဖို့ရွေးချယ်လိုက်တာကြောင့် အဲဒီပွဲကို မရောက်ဖြစ်လိုက်ပါဘူး။ မြန်မာ အပါ အဝင်  အာဆီယံ နိုင်ငံအတော်များများလာရောက်ပါဝင်ခဲ့တယ်လို့သိရပါတယ်။

အခုခေတ်မှာ လူတိုင်းလက်ထဲမှာ အင်တာနက်နဲ့ချိတ်ဆက်ဖို့ပစ္စည်းတွေ အလွယ်တကူရှိနေပါပြီ။ အနည်းဆုံး တော့ လူတိုင်းမှာဖုံးရှိနေပြီး အင်တာနက်ကို အလွယ်တကူ အသုံးပြုနေကြပါပြီ။ အိုင်တီဖက်က သူတွေအနေ နဲ့အင်တာနက် ချိတ်ဆက်မှု၊ အသုံးပြုမှာဟာ ထမင်းစားရေသောက်လိုဖြစ်နေပေမယ့် တချို့ အိုင်တီနဲ့ မရင်းနှီးသေးတဲ့ သူတွေအဖို့တော့ အဆန်းတွေပါပဲ။ ဆိုကြပါစို့ ကိုယ့်အတွက် အီးမေး တစ်ခုအသစ် ဖွင့်တာ ဟာ သူတို့အတွက်တော့ ရှုပ်ထွေးတဲ့ ကိစ္စတစ်ခု အနေနဲ့ဖြစ်နေပြီး နားလည်တဲ့သူ၊ ဒါမှမဟုတ် ဆိုင်ကသူရဲ့ အကူအညီနဲ့ဖွင့်ရပါတယ်။ ဒီမှာတင် ကိုယ့်ရဲ့ ကိုယ်ရေးက်ိုယ်တာ အသုံးပြုမဲ့ အီးမေး password ကို တခြားသူတယောက်က သိထား၊ ပိုင်ဆိုင်ထားပါပြီ။ အလားတူပဲ Facebook လို Social Networking အကောင့်တွေမှာလည်း အတူတူပါပဲ။ ဒီကတဆင့်လည်း မလိုလားအပ်တဲ့ ပြဿနာတွေ ပေါ်ပေါက်လာ နိုင်ပါတယ်။

ဒါကဥပမာတစ်ခုအနေနဲ့ ပြောပြတာပါ။ မိသားစုအတွင်းမှလည်း ကိုယ့်အပြင် အရွယ်မရောက်သေးတဲ့ ကလေး၊ ကျောင်းသား၊ နည်းပညာနဲ့အလှမ်းဝေးစပြုလာတဲ့ လူကြီးသူမများဟာလည်း အင်တာနက်နဲ့ အနည်းနဲ့အများတော့ ပက်သက်လာကြပါတယ်။ ဒီတော့ သူတို့အတွက် အင်တာနက်ရဲ့ ကောင်းကျိုးတွေကိုပဲ ပြောပြနေမယ့်အစား၊ အင်တာနက်ကနေ မိသားစုဘ၀ ကိုထိခိုက်လာန်ိုင်တဲ့ အန္တရယ်တွေကို သိထားရ အောင်၊ ဘယ်လိုရှောင်လွှားရအောင် ဆိုတာတွေကို ပညာပေး ပြောပြသင့်ပါတယ်။ ဒါတွေကို မသိသေး ရင်တော့ မသိနားမလည်တဲ့ သူတွေအတွက် အင်တာနက် သားကောင်အဖြစ်သို့ရောက်သွားစေနိုင်ပါတယ်။ ဒီအတွက်ကြောင့် နိုင်ငံတကာမှာ အစိုးရနဲ့အိုင်တီလုံခြုံရေးအဖွဲ့အစည်းအတွေက အခုလို ပညာပေး အစီအစဉ်တွေကို ကျင်းပပြီး နားလည်လာအောင်၊ အင်တာနက်ပေါ်က ကျရောက်လာမည့်ရန်တွေက ရှောင်ဖယ်နိုင်အောင် အသိပေးရပါတယ်။

စင်ကာပူမှာဆိုရင် အစိုးရကနေပြီး Cyber Security Agency website အောက်မှာ GoSafeOnline ဆိုပြီး https://www.csa.gov.sg/gosafeonline အင်တာနက်ကို လုံခြုံစွာ သုံးနိုင်ဖို့အတွက် ကျောင်းသားအတွက်၊ လူကြီးသူမတွေအတွက်၊ လုပ်ငန်းခွင်အတွက် စသဖြင့် ပညာပေးအနေနဲ့အကြောင်းအရာတွေ ရှင်းပြထား ပါတယ်။ US မှာလည်း ၂၀၀၄ ကနေစပြီး  NCSAM  မှာဟောပြောပွဲ၊ ပြပွဲတွေကျင်းပပြီး ဆိုင်ဘာလုံခြုံရေးနဲ့ ပက်သက်ပြီး အသိပေး ပညာပေးပွဲတွေလုပ်ကြပါတယ်။ https://staysafeonline.org/ncsam/  မှာ အသေးစိတ်ဖတ်ကြည့်နိုင်ပါတယ်။ ဥရောပမှာတော့ ECSM https://cybersecuritymonth.eu ဆိုပြီး လုပ်ကြပါတယ်။

ကျွန်တော်တို့မြန်မာပြည်မှာလည်း အင်တာနက် သုံးစွဲမှုကျယ်ပြန့်လာတာနဲ့အမျှ၊ ကြုံတွေ့လာရမည့် ဆိုင်ဘာ မှုခင်းတွေရဲ့ သားကောင်မဖြစ်ရအောင်၊ ပြဿနာ မဖြစ်အောင် ရှောင်ကျဉ်ရအောင် အစိုးရနဲ့တကွ ကွန်ပြူတာ အသင်းတွေ၊ ဆိုင်ဘာလုံခြုံရေးအဖွဲ့တွေနဲ့ရဲတပ်ဖွဲ့တွေအနေနဲ့အသိပေး၊ ပညာပေးပွဲတွေကို အရှိန် အဟုန်မြှင့်ပြီး စတင်လုပ်ဆောင်သင့်နေပြီလို့အကြံပေးလိုပါတယ်။ ဆိုင်ဘာလုံခြုံရေးဟာ လူတိုင်းနဲ့ သက်ဆိုင်လာပြီ ဖြစ်တဲ့အတွက် ကိုယ်နဲ့မဆိုင်တဲ့ ကိစ္စတစ်ခုလို မထားသင့်တော့ပဲ၊ ကိုယ့်ပတ်ဝင်းကျင်၊ ကိုယ့်မိသားစုနေစပြီး သိသလောက်၊ တတ်သလောက် ဝေမျှ၊ ပညာပေးရင်း ကူညီကြပါစို့။

We live in a world that is more connected than ever before. The Internet touches almost all aspects of everyone’s daily life, whether we realize it or not. Stop.Think.Connect and go safe, stay safe online.

ကိုဖြိုး

Cloud Expo Asia သို့နောက်တခေါက်။

ဒီနှစ်တော့ သွားကြည့်ဖြစ်တယ်။ မနှစ်ကတော့ အလုပ်မအားတာနဲ့ မရောက်ဖြစ်ခဲ့ဘူး။ မှတ်မိသလောက်ဆိုရင် ၂၀၁၄ တုန်းက Cloud နဲ့ Data Centre နှစ်ခုပဲပေါင်းလုပ်တယ်ထင်တယ်။ ဒီနှစ်မှာတော့ Cloud Security နဲ့ Smart IOT ဆိုပြီး လေးမျိုးဖြစ်သွားတယ်။ Cloud ဖက်က အရင်တခါကြည့်ထားတော့ အခုတခေါက်မှာ Security Product တွေဖက်ကို အဓိကထားကြည့်ဖြစ်တယ်။ Product တွေကတော့ ထုံးစံအတိုင်း အစုံပါပဲ၊ ဒါပေမဲ့ AWS ကသီးသန့်အခန်းအနေနဲ့ မပါတော့ဘူး။ ကြည့်ရတာ သူ့ကိုယ်ပိုင်ပွဲတွေမှာပဲ အဓိက ပြတော့မယ်နဲ့ တူတယ်။

ရှေ့မျက်နှာစာမှာတော့ IBM HUAWEI DELL/EMC NTT နဲ့ Akamai တို့က နေရာအကြီးတွေယူထားတာတွေ့တယ်။ ကိုယ်ရောက်နေတုန်း Akamai ပြခန်းမှာ သူတို့ရဲ့ CND နဲ့ Cloud အကြောင်းပြောနေတာတွေ့လို့ နားထောင်ဖြစ်သေးတယ်။ သူတို့ရဲ့ Content delivery network service ကိုသုံးပြီး DNS တွေ၊ Web Servers တွေကိုဘယ်လို ကာကွယ်ထားတယ်ဆိုတာတွေ ရှင်းပြသွားတယ်။ Akamai service ကိုမရင်းနှီးသေးတဲ့ သူတွေအဖို့ သူတို့ရဲ့ Website မှာသွားပြီး နဲနဲပါးပါးဖတ်ထားသင့်တယ်လို့ထင်တယ်။ ကြုံတုန်း CDN(Content Delivery Network) အကြောင်းဆက်ပြောကြတာပေါ့။

အခုနောက်ပိုင်း Cloud ခေတ်ဖြစ်လာတော့ CDN ဟာပိုပြီး အရေးပါလာတယ်။ ပြီးတော့ Client တွေဟာ အရင်လို PC Laptop Tablet တွေသာ မကတော့ပဲ Mobile phone နဲ့ IoT devices တွေပါ ပါလာတော့ Content တွေကိုပေးတဲ့အခါမှာ Location တစ်ခုနဲ့တင် မလုံလောက်တော့ပဲ Request လာတဲ့ Client ကဘာလဲ၊ သူနဲ့သင့်တော်တဲ့ Content ကိုပါပေးဖို့လိုအပ်လာတယ်။ အရင်ခေတ်ကတော့ Akamai သုံးရင် အဓိကသုံးချင်တာ Client ရဲ့ နေရာပေါ်မူတည်ပြီး အနီးဆုံးနေရာက Content ကိုပေးဖို့အတွက်ပဲ။

CDN အကြောင်းကို မသိသေးသူတွေအတွက် မြင်သာအောင် Facebook နဲ့ဆက်စပ်ပြီးပြောကြတာပေါ့။ Facebook ရဲ့ Servers ဟာနေရာတခုတည်းမှာ ရှိတာမဟုတ်ပဲ ကမ္ဘာအနှံမှာရှိပါတယ်။ အသုံးပြုတဲ့သူက ဘယ်ကအသုံးပြုတာလည်းဆိုတဲ့ အပေါ်မူတည်ပြီး ဘယ် နေရာ၊ Data Centre က Server တွေကနေ Content ကိုချပေးမယ်ဆိုပြီး ဆုံးဖြတ်တာပါ။ ဒီတော့ မြန်မာပြည်ကနေ www.facebook.com ကို PING ကြည့်ရင် ရလာမဲ့ IP address နဲ့ US ကနေ PING ကြည့်ရင် မြင်ရမဲ့ IP က မတူပါဘူး။ ကိုယ့်စက်ကနေ PING ကြည့်၊ ပြီးရင် Online tools တွေက PING တို့၊ Nslookup တို့လုပ်ကြည့်ပေါ့။ ဥပမာ http://centralops.net/co/nslookup.aspx

နောက်တခုက ကိုယ်သုံးတဲ့ Client က PC browser လား၊ iOS devices တွေလား၊ Android Apps လား စသဖြင့် Client ရဲ့ အပေါ်မူတည်ပြီး Facebook Content ကို မြင်ရတာခြင်းမတူပါဘူး။ ပြီးတော့ Video Content တွေမှာဆိုရင် Client Network Speed နဲ့ Latency ကို တွက်ဆပြီး ဘယ်လောက် အရည်အသွေးရှိတဲ့ Video Quality မျိုးကိုသာ အဆင်ပြေအောင် ချပေးပါတယ်။ ဒါကြောင့် တခါတလေမှာ Video တွေကြည့်ရင် ထစ်နေတာမျိုးမရှိပဲ အရုပ်တွေသာ ဝါးသွားတာမျိုး တွေ့ရလေ့ရှိပါတယ်။ တခြားနာမည်ကြီး Online Streaming ဖြစ်တဲ့ Netflix တို့လည်း ဒီလိုပါပဲ။ တခါတလေ Network speed မကောင်းရင် HD Quality ကြည့်လို့မရပါဘူး။ အဓိက ကတော့ Client ရဲ့ အနီးဆုံး Edge ကနေပြီး Client နဲ့ အသင့်တော်ဆုံး Content ကိုပေးတဲ့ လုပ်ဆောင်မှုပါ။ ဒီလောက်ဆို CDN အကြောင်း အပေါ်ယံလောက် သိလောက်ပါပြီ။

Cloud နဲ့ပက်သက်လို့ကတော့ Product အတော်များများကပေးတဲ့ Services တွေကတော့ သိပ်မကွာပါဘူး။ DC ပိုင်းအားသာတဲ့သူတွေက DC service ကိုဦးစားပေးပြောကြပြီး Carrier တွေ၊ Operator တွေကတော့ Connectivity နဲ့တွဲကြော်ငြာကြတာပဲ။ DC ဖက်မှာတော့ ၂၀၁၄ ကလာပြသွားတဲ့ IO ကိုပိုသဘောကြတယ်။ ဒီနှစ်မှာ သူ့လိုမျိုး Mobile DC/ Modular DC product တစ်ခုလာပြတာ သတိထားမိတယ်။ Container နောက်တွဲပေါ်မှာ တင်ပြီး Mini DC လုပ်ထားတာ။ ဒါကတော့ အရင်မြန်မာပြည်မှာနေကတည်းက မန္တလေးမှာ သုံးခဲ့တာဆိုတော့ သိပ်တော့ မဆန်းပါဘူး။ ဘာပဲပြောပြော အခုလိုပွဲတွေသွားကြည့်ရတာ နည်းပညာ အသစ်အဆန်းလေးတွေ၊ Product အသစ်တွေကိုပါ လေ့လာခွင့်ရတော့ သွားရတာအကျိုးရှိပါတယ်။

ကိုဖြိုး

စင်္ကာပူ နဲ့သက်ဆိုင်သောမေးခွန်းများ။

ကျွန်တော့်ရဲ့စကားဝိုင်း အမေးအဖြေတွေအထဲက အများစိတ်ပါဝင်စားကြတဲ့ အကြောင်းအရာ တခုပါ။ အဲဒီမေးခွန်းတွေ မဖြေခင်မှာ SG MOM (Ministry of Manpower) ကတရားဝင်ထုတ်ပြန်ထားတဲ့ ဗီဒီယိုလေးကို အရင်ဖွင့်ပြခဲ့ပါတယ်။ အဓိက ပြချင်တာကတော့ ကျွန်တော်တို့ အိုင်တီသမားတွေနဲ့ သက်ဆိုင်တဲ့ EP နဲ့ SPass အကြောင်းကို သိစေချင်လို့ပါ။

အိုင်တီသမားတွေကို Work Permit နဲ့ အလုပ်ခန့်ထားလို့ မရပါဘူး။ အနဲဆုံး SPass အနေနဲ့သာ ခန့်ထားလို့ရပါတယ်။ SPass လျောက်ဖို့အတွက် အနဲ့ဆုံးလစာ ကန့်သတ်ချက်က SGD 2,200 ပါ။ ဒီတော့ စင်္ကာပူမှာ အိုင်တီနဲ့ အလုပ်ရမယ်၊ SPass ရမယ်ဆိုရင် မိမိရဲ့လစာ အနဲဆုံး 2200 ရပီလို့ဆိုနိင်ပါတယ်။ ဒါပေမဲ့ တချို့အလုပ်ရှင်နဲ့ ပွဲစားတွေက အပြည့်မပေးပဲ နားလည်မှုနဲ့လျော့ယူရတဲ့ ကိစ္စမျိုးတွေ ကြးဖူးပါတယ်။ SPass ရအောင်သာ MOM ကို 2200 နဲ့တင်ပြီး ဝန်ထမ်းကို လျော့ပေးပါတယ်။ တကယ်တော့ တရားမဝင်ပါဘူး။ ခက်တာက အခုမှရောက်ပြီး အလုပ်ရှာရသူတယောက်အဖို့ နေထိုင်ခွင့်နဲ့ အလုပ်လုပ်ခွင့် Pass ရရှိရေးက အရေးကြီးတာကြောင့် မျက်စိမှိတ်ပြီး လုပ်ခဲ့ရတဲ့သူတွေရှိပါတယ်။ SPass ကို ခေါ်ဆိုနိုင်ဖို့ သူတို့ရဲကုမ္ဗဏီမှာ နိုင်ငံသား/ပီအာ အရေအတွက်နဲ့ နိုင်ငံခြားသား ခန့်ထားနိုင်မှု သတ်မှတ်ချက် (ကိုတာ/quota) လိုအပ်ပါတယ်။ ဒါကြောင့် တချို့ကုမ္ဗဏီ အသေးတွေဟာ အေးဂျင့် (Agent) က တဆင့်သာ ခန့်ထားနိုင်ကြပါတယ်။

နောက်တခုကတော့ EP ပါ။ အခုမှအလုပ်လာရှာစ လူငယ်တွေအဖို့ ရဖို့ခက်ပါတယ်။ အနိမ့်ဆုံးလစာ 3,300 ရဖို့ လိုအပ်သလို လုပ်ငန်းအတွေ့အကြုံ၊ ပညာအရည်အချင်း၊ စတဲ့ လိုအပ်ချက်တွေ ပြည့်စုံမှသာ ရရှိနိုင်ပါတယ်။ ကိုယ်ရနိုင် မရနိုင်ကို SAT ခေါ် (Self-Assessment Tool) နဲ့ အရင်ဖြည့်ကြည့်နိုင်ပါတယ်။ SPass အတွက်လဲရှိပါတယ်၊ ဒါပေမဲ့ Quota ရှိနေတဲ့အတွက် ကိုယ့်ဖက်က ပြည့်စုံနေတာတောင် မသေချာလို့ပါ။ EP အတွက်တော့ (ကိုတာ/quota) မလိုသလို၊ တခြားခံစားခွင့်တွေလည်း ပိုရပါတယ်။ အများအားဖြင့် ဒုတိယ အလုပ်ပြောင်းတဲ့အချိန်မှသာ EP ရကြလေ့ရှိပါတယ်။ ဒါပေမဲ့ အဲဒီ အဆင့်လို အလုပ်မျိုးတွေမှာ စင်္ကာပူ နိုင်ငံသားများနဲ့ တခြားနိုင်ငံများမှ အတွေ့အကြုံရှိတဲ့ ပညာရှင်များ ပါဝင်ကြတဲ့အတွက် အလုပ်အတွက် ပြိုင်ဆိုင်မှု ပိုများပါတယ်။ EP နဲ့ SPass အပြင် PEP ကဲ့သို့တခြား အလုပ်လုပ်ခွင့်များ ရှိပါသေးတယ်။ ဒါပေမဲ့ ကျွန်တော်တို့ မြန်မာနိုင်ငံသား ပညာရှင်အများစုက EP နဲ့ SPass သာ ရရှိမှုများတဲ့အတွက် ကျန်တာတွေ မပြောတော့ပါဘူး။

ကုမ္ဗဏီတွေအနေနဲ့ အလုပ်ခေါ်ရာမှာ စင်္ကာပူ နိုင်ငံသားများကို ဦးစားပေးရွေးချယ်ဖို့ အစိုးရအနေနဲ့ ညွှန်ကြားချက်ပေးထားပါတယ်။ အရင်က အလုပ်ခေါ်ရာမှာ အလုပ်ရှင်တွေအနေနဲ့ကိုယ်ကြိုက်နှစ်သက်သလို ကြော်ငြာ၊ ကြိုက်သလို ရွေးချယ်နိုင်ခဲ့ပေမယ့် ပြီးခဲ့တဲ့တနှစ်လောက်က စပြီး အစိုးရရဲ့ ညွှန်ကြားချက်အရ PR/စင်္ကာပူနိုင်ငံသားများအတွက်သီးသန့် တည်ထောင်ပေးထားတဲ့ Website မှာ အရင်ကြော်ငြာရပါတယ်။ သုံးပတ်လောက်နေပီး လျှောက်ထားမဲ့သူ မရှိမှသာ နိုင်ငံခြားသားများကို ခေါ်ဆိုခွင့်ရှိပါတယ်။ ဒီအတွက်ကြောင့် အရင်ကထက်စာရင် ပိုပီးခက်ခဲသွားတာကို တွေ့ရပါတယ်။ အလုပ်ရှင်တွေ အနေနဲ့လည်း နိုင်ငံခြားသားကို ဈေးချိုချိုနဲ့ ခန့်ချင်ရင်တောင် တန်းခန့်လို့ မရတော့ပါဘူး။

၂၀၁၄ အကုန်လောက်ကစပြီး ကျဆင်းလာတဲ့ နိုင်ငံတကာရဲ့ စီးပွားရေးဟာလည်း စင်္ကာပူမှာရှိတဲ့ ပညာရှင်များ ၊ ဝန်ထမ်းများကို တိုက်ရိုက်ထိခိုက်မှုတွေ ဖြစ်လာပါတယ်။ အလုပ်အတော်များများမှာ ဝန်ထမ်းလျှော့ချရေးအစီအစဉ်တွေဆွဲပြီး ဝန်ထမ်းတွေကို အလုပ်မှ ရပ်ဆဲကြပါတယ်။ အဲဒီအထဲမှာ ကျွန်တော်တို့ မြန်မာပညာရှင် အိုင်တီသမားတွေလည်း ပါခဲ့ပါတယ်။ EP/SPass သမားတွေသာမက PR တွေလည်းပါပါတယ်။ တချို့တလေလည်း အလုပ်ပြန်ရှာရတဲ့ အခက်အခဲကြောင့် Pass ကုန်တဲ့အချိန်မှာ ပြန်သွားရတဲ့ သူတွေရှိပါတယ်။ အခု ၂၀၁၆ နှစ်လည်ပိုင်းအထိ တွေ့နေရဆဲပါ။ ပိုမိုကောင်းမွန်လာဖို့ အရိပ်အယောင်ကလည်း နဲသေးတာမို့ အခုမှ စပြီးအလုပ်လာရှာမဲ့ သူတွေအတွက် အခက်တွေ့စေနိုင်ပါတယ်။ ဒါပေမဲ့ တကယ်လိုအပ်တဲ့နေရာမှ ခေါ်နေဆဲအလုပ်တွေကတော့ ရှိပါတယ်။ ဒါလက်ရှိ စင်္ကာပူ အခြေအနေပါ။

နောက်ထပ်မေးခွန်းထဲက တခုကတော့ မြန်မာအများစုရှိတဲ့ ကုမ္ဗဏီမှာလုပ်ရင် အဆင်ပြေနိုင်ပါသလား၊ မြန်မာအများစုလုပ်ကိုင်နေတဲ့ နေရာတွေကို သိချင်ပါတယ်မေးခွန်းပါ။ တကယ်တော့ အပြင်ထွက်လာပြီဆိုရင် ကိုယ်အဓိကထားရမဲ့ ဘာသာစကားဟာ အင်္ဂလိပ်စာပါ၊ အင်္ဂလိပ်လို ပြောတတ် ဖတ်တတ် ရေးတတ် ပေါင်းသင်းဆက်ဆံတတ်ရင် မြန်မာရှိရှိမရှိရှိ အဆင်ပြေမှာပါ။ ကိုယ့်မြန်မာအချင်းချင်းဆို ပိုပြီးအကူအညီရနိုင်တယ်ဆိုတာ မှန်ပါတယ်၊ ဒါပေမဲ့ အဲဒါကို မျှော်ပြီး အားကိုးချင်တဲ့စိတ်ကို ဖျောက်ပစ်ဖို့လိုအပ်ပါတယ်။ ကိုယ့်တက်လမ်း ကိုယ့်မိသားစုအတွက် ကိုယ့်နိုင်ငံကတောင် အရဲစွန့်ပြီး ထွက်လာခဲ့ပြီပဲ။ ကိုယ့်အနေနဲ့ ပြောတတ်ဆိုတတ်ပြီး ကိုယ်ယူရတဲ့ တာဝန်ကို ကျေအောင်လုပ်နိုင်ရင် ရပါပြီ။ မြန်မာ အိုင်တီပညာရှင် အများစုကတော့ SI လို့ခေါ်တဲ့ System Integrators တွေမှာ အရများပါတယ်။ အဲ့ဒီ SI တွေက လူများများခန့်လေ့ရှိပြီး စွယ်စုံရတဲ့ မြန်မာလူငယ်အများစုကို သဘောကျကြပါတယ်။ အင်္ဂလိပ်စကားပြောသာတဲ့ ဖိလစ်ပိုင်တွေကတော့ Call Center တွေ၊ ISP တွေရဲ့ Level 1 NOC ဒါမှမဟုတ် Customer service လိုနေရာမျိုးတွေမှာ တွေ့ရများပါတယ်။

အခုလောက်ဆို လက်ရှိစင်္ကာပူရဲ့ အခြေအနေနဲ့ အလုပ်နဲ့နေထိုင်ခွင့်လျှောက်ထားမှုကိစ္စတွေအတွက် ခန့်မှန်းလို့ရလောက်ပြီလို့ ယူဆပါတယ်။ အသေးစိတ်ထပ်သိချင်ရင်တော့ www.mom.gov.sg မှာ လေ့လာကြည့်ပါ။

SAT
http://www.mom.gov.sg/eservices/services/employment-s-pass-self-assessment-tool

Video- Guide to Singapore's work pass
http://www.mom.gov.sg/passes-and-permits
https://www.youtube.com/embed/jO-6hPoOk4k?rel=0


ကိုဖြိုး

CCENT/CCNA ICND1

CCNA ဖြေဆိုရန်အတွက် Accelerated exam ဖြစ်တဲ့ CCNA V3.0 ကိုတိုက်ရိုက်ဖြေဆိုလို့ရသလို ICND exam အတွဲနှစ်ခုကို ပေါင်းစပ်ပီးလည်း ဖြေဆိုလို့ရပါတယ်။ အဲဒီ နှစ်ခုကနေ ICND1 ဖြစ်တဲ့ CCNET exam အကြောင်းကိုလေ့လာကြည့်ရအောင်။

CCENT ဆိုတာကတော့ Cisco Certified Entry Networking Technician ကိုပြောတာဖြစ်ပီး CCNA အောက်တဆင့် Entry Level စာမေးပွဲတစ်ခုပါ။ CCNA ကိုတိုက်ရိုက်လေ့လာဖို့အတွက် အခက်အခဲရှိ တဲ့သူတွေ၊ Networking ဖက်ကို အသက်မွေးဝမ်းကြောင်း အနေနဲ့စတင်ပြောင်းလဲချင်သူတွေ အတွက် ဖြေးဖြေးမှန်မှန်နဲ့ အခြေခံတွေရရှိနိင်ဖို့အတွက် သွားနိုင်တဲ့လမ်းကြောင်းတစ်ခုလည်းဖြစ်ပါတယ်။ CCENT ပီးထားခြင်းအတွက် CCNA ဖြစ်ဖို့ ၅၀% လောက်ပီးမြောက်သွားပီလို့လဲဆိုနိုင်ပါတယ်။ CCNA တိုက်ရိုက် တန်းဖြေလို့ရရဲ့သားနဲ့ ဘာကြောင့်တန်းမဖြေလည်းဆိုတာကလည်း မေးစရာပါ။ ရွေးချယ်ရာမှာ ကိုယ့်ရဲ့ အခြေခံနားလည်နိုင်မှု၊ လေ့လာနိုင်မှု၊ အချိန်ပေးနိုင်မှုတွေနဲ့ သက်ဆိုင်သလို တခြား Specialist Exam တွေဖြစ်တဲ့ CCNA Security, CCNA Wireless, CCDA စတဲ့ စာမေးပွဲတွေကို ဖြေဆိုနိုင်ဖို့အတွက် CCNA ဖြစ်စရာမလိုပဲ CCENT ဖြစ်ရုံနဲ့တင် ဆက်လက်ဖြေဆိုလို့ရတာကလည်း CCENT ရွေးချယ်မှုအတွက် အကြောင်းအရာတခုဖြစ်ပါလိမ့်မယ်။

အခုလက်ရှိ CCENT version ကတော့ 100-105 ICND1 V3.0 ပါ။ မေးခွန်းအရေအတွက် ၄၅-၅၅ ရှိတဲ့ မိနစ် ၉၀ ကြာစာမေးပွဲကို ဖြေရမှာဖြစ်ပါတယ်။ CCNA နဲ့ယှဉ်ရင်တော့ မေးခွန်းအနဲငယ်သာ လျော့နဲပါတယ်။ ICND1 မှာပါဝင်တဲ့ အကြောင်းအရာတွေကို အခုနောက်ဆုံးထွက်တဲ့ Wendell Odom ရဲ့ Official Cert Guide ကိုလေ့လာကြည့်ကြတာပေါ့။ အဓိက အခန်းကြီးအနေနဲ့ စုစုပေါင်း ၁၁ ခုပါဝင်ပါတယ် ဒါပေမယ့် နောက်ဆုံးနှစ်ခုက Review နဲ့ Appendixes ဖြစ်တဲ့အတွက် ပထမ ၉ ခန်းကိုသာ အဓိက လေ့လာရမှာ ဖြစ်ပါတယ်။

Part I: Networking Fundamentals
Part II: Implementing Basic Ethernet LANs
Part III: Ethernet LANs: Design, VLANs, and Troubleshooting
Part IV: IP Version 4 Addressing and Subnetting
Part V: Implementing IPv4
Part VI: IPv4 Design and Troubleshooting
Part VII: IPv4 Services: ACLs and NAT
Part VIII: IP Version 6
Part IX: Network Device Management

Networking ကိုလုံးဝမသိသေးသူအတွက် အခြေခံတွေကို အဓိကအလေးပေးထားပီး နဲနဲပိုပြီးခက်ခဲနိုင်တဲ့ Dynamic Routing တို့လိုအကြောင်းအရာတွေကိုထည့်မထားပါဘူး။ ဒါပေမယ့် CCENT ပီးထားတဲ့ သူတယောက်အတွက် Technician Level အလုပ်လုပ်နိုင်အောင်တော့ တကယ်အသုံးတည့်မဲ့ အခြေခံတွေကို အသေးစိတ်ထည့်ထားတာတော့ သူရဲ့တန်ဖိုးကိုမြင့်တက်စေပါတယ်။ ဒါကြောင့်လည်း တချို့က CCNA ကိုတန်းမဖြေပဲ ICND1 ICND2 လမ်းကြောင်းကို ရွေးချယ်ကြတာပါ။ ကျွန်တော့ကို အကြံတောင်းရင်တော့ အချိန်ပေးနိုင်တယ်၊ ပိုက်ဆံအနည်းငယ်ပိုအကုန်ခံနိုင်တယ်ဆိုရင် ရွေးချယ်မယ်ဆိုရင် ရွေးလို့သင့်တဲ့ လမ်းကြောင်းပါ။ လက်မှတ် အနေနဲ့ကတော့ CCNA လောက် အသုံးဝင်မှာ မဟုတ်ပါဘူး။ ဒါပေမယ့် CCNA ကိုမေးခွန်းတွေကျက်ပီးဖြေတာထက်စာရင် ICND တွေကို အချိန်ပေးပီး ပေါ့ပေါ့ပါးပါးနဲ့ သေချာဖတ်၊ လေ့လာ၊လေ့ကျင့် ဖြေဆိုခဲ့မယ်ဆိုရင် အလုပ်ထဲရောက်တဲ့အချိန်ကြရင် ကိုယ့်ကိုအကျိုးပြုလာပါလိမ့်မယ်။ CCNA ကိုသေချာလုပ်မယ်ဆိုရင်လည်း ICND1/2 ပေါင်းလောက်အချိန်ပေးရမှပါပဲ ဒါပေမဲ့ စာမေးပွဲအတွက် လေ့လာရတဲ့ ခေါင်းစဉ်တွေကတော့ နဲ့သွားတာပေါ့။ ICND1/ICND2 ကိုလေ့လာပီး CCNA ကိုတိုက်ရိုက် ဖြေကြတဲ့သူတွေလည်းရှိပါတယ်။ နောက်အချိန်ရရင် CCENT မှာပါဝင်တဲ့ အကြောင်းအရာကို ထပ်ပီးရေးပေးပါမယ်။

ကိုဖြိုး

မေးခွန်းများစွာနဲ့ CCIE

CBT Nuggets Blog မှာ Certificates တွေရဲ့ခက်ခဲမှု့အဆင့်ကို ဖော်ပြထားတဲ့ ပို့စ်တခုမှာ CCIE ကို အခက်အခဲဆုံးဆိုပြီးဖော်ပြထားတာ ဖတ်ရပါတယ်။ ဒါနဲ့ပက်သက်ပီးကျွန်တော့ အမြင်နဲ့ အတွေ့အကြုံကို ပြောပြလိုပါတယ်။ ကျွန်တော့်ကိုလာမေးထားတဲ့ မေးခွန်းတွေလည်းဖြေပီးသားဖြစ်သွားတာပေါ့။

ကျွန်တော်ဖြေဘူးသမျှ IT certification exam တွေအထဲမှာ CCIE ဖြေခဲ့ရတာ အခက်ခဲဆုံးပါ။ ကျွန်တော်ဒီလက်မှတ်ကို လက်ရှိကိုင်ထားလို့ လူအထင်ကြီးအောင်ပြောတာမဟုတ်ပါ။ မကြာသေးခင်ကပဲ CBT ရဲ့စာရင်းမှာပါတဲ့ CISSP ကိုလဲဖြေခဲ့ပီးပါပြီ။ ဘယ်ဟာပိုခက်လဲဆိုရင် CCIE လို့ပြောရမှာပါ။ ဒီလိုပြောလို့ CISSP ကိုလွယ်တယ်လို့ပြောတာမဟုတ်ပါ။ ဒါပေမယ့် ဖြေဆိုရတဲ့ပုံစံက မတူတဲ့အတွက် Apple to Apple သွားချိန်ကြည့်လို့မရပါဘူး။ CISSP က အတွေ့အကြုံကို အခြေခံပီး ကိုယ်ဘယ်လောက်သိသလဲဆိုတဲ့ပုံစံမျိုးမေးတာဖြစ်ပီး၊ မေးခွန်းဖတ် အဖြေ ရွေး ၊ ကလစ်နှိပ်ပုံစံနဲ့ ဖြေရတဲ့ MCQ exam ပါ။ CCIE ကတော့ လက်တွေ့ကိုအဓိကထားတဲ့ပုံစံပါ။ နည်းပညာနဲ့ပက်သက်ပြီး ဘယ်လောက်သိသလဲဆိုတာကို လက်တွေ့နဲ့ အချိန်ကန့်သတ်ပီး မေးတဲ့ပုံစံပါ။ နှစ်ခုစလုံးဟာ ဖြေရတာခက်ခဲပေမယ့် လက်တွေ့ပါတဲ့၊ အချိန် ၂ နာရီပိုကြာတဲ့ CCIE က ပိုခက်ပါတယ်။ ဒီလက်မှတ်နှစ်ခုရဲ့ အဓိကရည်ရွယ်ချက်ကလည်း မတူပါဘူး။ CCIE တွေကို လက်တွေ့မှာတကယ်ကျွမ်းကျင်တဲ့ Expert တယောက်ဖြစ်အောင်မေးထားတဲ့ပုံစံဖြစ်တဲ့အတွက် CCIE လို့ဆိုလိုက်တာနဲ့ ဒီလူဟာ သူနဲ့သက်ဆိုင်တဲ့အပိုင်းမှာ လက်တွေ့လုပ်နိုင်တဲ့သူလို့ ဆိုလို့ရပါတယ်။ CISSP ကျတော့ စီမံခန့်ခွဲဖို့၊ အကြံဉာဏ်ပေးဖို့၊ ပူပေါင်းလုပ်ဆောင်ဖို့အတွက် ရည်ရွယ်ထားပုံရပါတယ်။ ဒီလိုလုပ်နိုင်ဖို့အတွက် အိုင်တီနဲ့ပက်သက်တဲ့ကိစ္စအားလုံးအပြင် တခြားလုံခြုံရေးဆိုင်ရာကိစ္စများအထိဘက်ပေါင်းစုံပါဝင်ပီး ကျယ်ပြန့်ပါတယ်။

ဒါပေမဲ့ နှစ်ခုစလုံးဟာ သူတို့လိုချင်တဲ့ ပုံစံကို မတူညီတဲ့နည်းနဲ့ စာမေးပွဲကို ခက်အောင်လုပ်ထားပါတယ်။ CISSP ဆိုရင် မေးခွန်းပေါင်းများစွာနဲ့ အင်္ဂလိပ်စာကို လှည့်ပတ်ပီး မေးထားသလို CCIE ဆိုရင်လည်း အချိန်အကန့်အသတ်နဲ့ ကျဉ်းမြောင်းတဲ့ ဘောင်ထဲကနေ မရ ရအောင်လုပ်ခိုင်းပါတယ်။ CCIE ကို ၈ နာရီအစား ၃ ရက်နဲ့အပီးဖြေဆိုရင် အတွေ့အကြုံရှိတဲ့ Network သမားတိုင်း ဝင်ဖြေလို့ရနိုင်ပါတယ်။ Open book ပါ။ ဒါပေမဲ့ Expert လို့ဆိုထားတဲ့အတွက် သူများ ၃ ရက်နဲ့လုပ်ရမဲ့ကိစ္စကို ကိုယ်က ၈ နာရီနဲ့ပီးအောင်လုပ်နိုင်တယ်လို့လဲ ယူဆလို့ရပါတယ်။
အငြင်းပွားဖွယ်ကိစ္စကတော့ ဒီလက်မှတ်တွေရဲ့တန်ဖိုးပါ။ တကမ႓ာလုံးမှာလည်း အမြဲငြင်းနေကြတာပါပဲ။ ဒီဂရီနဲ့ ဘယ်ဟာပိုအသုံးဝင်လဲ၊ ဘယ်လက်မှတ်က ပိုပြီး အသိမှတ်ပြုလဲ၊ လစာဘယ်လောက်ရလဲ စသဖြင့်ပေါ့။ ဒီနေရာ ကျွန်တော့အမြင်ကတော့ ဒါတွေကို ခွဲခြားပြီး မြင်စေချင်ပါတယ်။ NDA ကိုချိုးဖေါက်ပီး သင်ကြားပေးတဲ့ သင်တန်းအများစုကြောင့် (အထူးသဖြင့် India/ China) အဲဒီဖက်တွေကနေ CCIE တွေ အမြောက်အများထွက်ပေါ်လာပီး CCIE ဟာလုံးဝဥဿုံ ယုံကြည်ရတဲ့ အဆင့်မဟုတ်တော့ဘူးဆိုတာ သေချာပါတယ်။ အဲဒီဖက်က CCIE တချို့ကို အလုပ်လုပ်ရင်း တွေ့ကြုံခဲ့ဖူးပါတယ်။ တချို့က တကယ်တော်ပီး တချို့ကတော့ ထိုသင်တန်းများကို တက်ပီးရထားတဲ့ စာရွက်သမားတွေပါ။ ဒါကြောင့်လဲ အခုနောက်ပိုင်းမှာ CCIE ဈေးကွက်ကျလာပီး လစာတွေလဲ နဲလာပါတယ်။ ဒါပေမဲ့ အဲဒါတွေကြောင့် CCIE ဟာ စာရွက်တခု၊ မခက်ပါဘူးလို့ဆိုရင်တော့ မှားပါတယ်။ CCIE စာမေးပွဲအနေနဲ့ကတော့ ခက်မြဲခက်ဆဲပါ။ ကိုယ်ဘယ်လိုလူလဲ၊ ဘယ်လိုပုံစံမျိုးနဲ့ ရအောင်ယူမှာလဲ၊ အဓိကလိုချင်တဲ့ ရည်ရွယ်ချက်ကဘာလဲဆိုတာတွေနဲ့ တိုင်းတာရမှာပါ။ အဲဒီသူတွေကြောင့် Brian တို့၊ Jeremy တို့၊ Scot Morris တို့၊ Wendell Odom တို့ရဲ့ CCIE အရှိန်အဝါဟာ ကျမသွားပါဘူး။ ဒီဂရီဘက်မှာလည်း အောင်မှတ်လောက်နဲ့အောင်လာတဲ့သူတွေ၊ သူများကို ပိုက်ဆံပေးပီး စာတမ်းတင်ဖို့ရေးခိုင်းပီး ဘွဲ့ယူလာသူတွေလဲ ဒုနဲ့ဒေးပါ။ ကျက်ဖြေယုံမဟုတ်ပဲ တကယ်တော်ပြီးကိုယ်တိုင် သုတေသနပြု၊ ထိုက်ထိုက်တန်တန်ယူလာခဲ့သူတွေလည်း အများကြီးပါ။

နောက်တခုကလစာပါ။ ကျွန်တော့ကို လာမေးကြတဲ့မေးခွန်းတွေထဲက အများဆုံးတစ်ခုပါ။ CCNA ရပီးရင် လစာဘယ်လောက်ရမလဲ၊ CCIE ဆိုရင်ဘယ်လောက်ရလဲ ဆိုတာပါ။  ဒီနေရာမှာ နားလည်ထားရမှာက လက်မှတ်တွေဟာ လစာနဲ့တိုက်ရိုက်အချိုးချထားတဲ့ ညီမျှခြင်းမရှိပါဘူး။ ကိုယ်ဘယ်ရောက်နေလဲ၊ ဘယ်အဖွဲ့အစည်းမှာလဲ၊ အတွေ့အကြုံဘယ်လောက်ရှိလဲ၊ တခြား Soft Skill လို့ဆိုတဲ့ ဘယ်လောက်အလုပ်လုပ်တတ်လဲဆိုတဲ့ကိစ္စတွေပါဝင်ပါတယ်။ CCIE ရထားပေမယ့် တခြား Skill တွေမရှိဘူး၊ ကိုယ်ရဲ့အဖွဲ့အစည်းက အဖွဲ့အစည်းအကြီးကြီး မဟုတ်ဘူး၊ ကိုယ့်ရာထူးက အပေါ်ပိုင်းဖက်မှာ မရှိဘူး၊ ကိုယ့်ရဲ့အဖွဲ့အစည်းရဲ့ (Key Player) အဓိကအားထားရတဲ့သူတွေထဲမှာမပါဘူး၊ စတဲ့ အရာတွေမကိုက်ညီဘူးဆိုရင် CCIE လစာလို့ပြောတဲ့ လစာကို မရပါဘူး။ အခု CCIE ပြီးလို့ နောက်တပတ်မှာ ကိုယ့်ကို လစာ အများကြိးတိုးပေးတဲ့ အဖွဲ့အစည်း၊ ဒေါ်လာ ၅၀၀၀-၆၀၀၀ ချက်ချင်းလာပေးတဲ့ အဖွဲ့အစည်းမရှိပါဘူး။ ရှိရင်လည်း အတော်ရှားပါလိမ့်မယ်။ ဒါပေမဲ့ ကိုယ်လုပ်နေတဲ့ အဖွဲ့အစည်းမှာ အဲဒီလောက်ကို သွားနိုင်တဲ့လမ်းကြောင်းရှိမယ်၊ အခွင့်အရေးရှိမဲ့ နေရာတခုအတွက် ယှဉ်လုရတော့မဲ့ အချိန်မျိုးမှာ CCNA သမားကိုရွေးမလား CCIE သမားကိုရွေးမလားဆိုခဲ့ရင် တော့ ခက်ခက်ခဲခဲရွေးဖို့မလိုပါဘူး။ ကျွန်တော့်တို့ အခြင်းခြင်းစနောက်ရင်းပြောတဲ့ နံပါတ်နဲ့လူ ပါ။

အဲဒီတော့ CCIE ကို လစာတခုထဲသာကြည့်ပီးလုပ်မယ်ဆိုရင်တော့ CCIE ရလာတဲ့အခါ ကိုယ်အရင်အိပ်မက်မက်ခဲ့သလို လေး၊ ငါး၊ ခြောက်ထောင်ရမလာတဲ့အခါ မှန်းချက်နဲ့နှမ်းထွက်မကိုက်ဆိုတာမျိုးဖြစ်တတ်ပါတယ်။ ဒါပေမဲ့ CCIE exam ကတော့ ခက်မြဲခက်နေဆဲပါ CCIE လစာလို့ခေါ်တဲ့ ဒေါ်လာ ဂဏန်းငါးလုံးလစာရနေတဲ့သူတွေလည်းရှိနေဆဲပါ။ အင်တာနက်မှာ Salary Survey တွေ ရှာကြည့်ရင်လဲ တွေ့နေရမှာပါ။ ဒါတွေက အချက်အလက်ပေါင်းစုံကို အခြေခံပီး ပြုစုထားတာတွေဖြစ်တဲ့အတွက် ဒါတွေကိုမှားတယ်လို့ပြောလို့မရပါဘူး။
နောက်ထပ်မေးခွန်းအနေနဲ့မေးမယ်ဆိုရင်တော့ CCIE ဟာ လက်တွေ့လုပ်ငန်းခွင်မှာ တကယ်ကော လိုအပ်သေးရဲ့လား၊ အရေးပါသေးရဲ့လားဆိုတဲ့မေးခွန်းပါ။ မြင်သာအောင် ရီစရာအနေနဲ့ပြောရမယ်ဆိုရင်တော့ ရုပ်ရှင်မင်းသားတွေလိုပါပဲ။ ရုပ်ရှင်မင်းသားတွေငယ်စဉ်၊ နာမည်ကြီးစဉ် အားပေးတဲ့ပရိသတ်တွေများပေမယ့်၊ နာမည်ကျလာပီ၊ အသက်ကြီးလာပီဆိုရင်တော့ အရင်လောက် အားပေးမှုရတော့မှာ မဟုတ်ပါဘူး။ ဒါပေမယ့် အပြင်မှာ၊ လူကြားထဲမှာ သွားလာတဲ့အခါ ကိုယ့်ကို မင်းသားကြီးအဖြစ်နဲ့ အသိမှတ်ပြုနေကြတာပါပဲ။ တခြားလူတွေထက်တော့ ထူခြားပြီး မြင်သာနေဆဲပါပဲ။ ဒီလိုပါပဲ CCIE ဈေးကွက်ကျလာပေမဲ့ ကိုယ့်အဖွဲ့အစည်းထဲမှာ CCIE လို့ဆိုလိုက်တာနဲ့ လုပ်ဖော်ကိုင်ဖက်တွေရဲ့လေးစားမှု၊ အထက်အရာရှိရဲ့ယုံကြည်မှုတွေ ရနေသေးသလို HR တွေရဲ့ မတန်တဆ ဈေးနှိမ်မဲ့အရေးကလည်း ကင်းဝေးနေဆဲပါပဲ။ ဒါ MNC လို့ခေါ်ကြတဲ့ နိုင်ငံတကာ အဖွဲ့အစည်းတွေမှာ ကိုယ်တိုင်တွေ့ကြုံခဲ့ဘူးတဲ့ အတွေ့အကြုံပါ။

ဒီတော့ ကိုယ်ဘယ်လို CCIE လဲ၊ ဘယ်လိုပြင်ဆင်လာခဲ့လဲဆိုတာက အဓိကကျပါတယ်။ လက်မှတ်ရရင်ပီးရောဆိုပီး ကြားဖြတ်နည်းလမ်းတွေနဲ့ယူခဲ့တဲ့သူအဖို့တော့ CCIE ဟာ လွယ်ကူတဲ့ပြောလို့ရပေမဲ့ သေသေချာချာလေ့လာလိုက်စားပီး CCIE တယောက်မှာရှိသင့်ရှိထိုက်တဲ့ အရည်အချင်းပြည့် CCIE တွေအတွက်တော့ ခက်ခဲပင်ပန်းတဲ့ လက်မှတ်တစ်ခုလို့ ယူဆလို့ရပါတယ်။ အကောင်းဆုံးကတော့ ကိုယ်တိုင်ကြိုးစားပြီး ဖြေကြည့်၊ ရအောင်ယူ၊ ပီးမှဆုံးဖြတ်ပါ။ အဲဒီနေရာမှာလည်း ဘာကြောင့်ဖြေမယ်ဆိုတာကို အရင်ဆုံးဦးတည်ချက်ထားပါ။ လခတိုးဖို့အတွက်၊ ပိုက်ဆံများများရဖို့အတွက်တခုတည်းဆိုရင်တော့ CCIE ရခဲ့ပီးရင်တာင် ကိုယ့်ကိုကိုယ် ကျေနပ်မိမယ်လို့မထင်ပါဘူး။ ဒါပေမဲ့သေချာတာတခုကတော့ စင်ကာပူမှာ CCNA/CCNP  နဲ့ အလုပ်ရှာရခက်ပီး တလ$3000-4000 လောက်ရဖို့မသေခြာချိန်မှာ CCIE ရထားရင် အလုပ်ရဖို့လွယ်ကူပီး အဲလောက်ကတော့ အသာလေးရပါတယ်။ CCIE ရထားပီး အလုပ်ရှာမရဘူး၊ အနဲဆုံး $3000 လာက် မှမရနိုင်ဘူးဆိုရင် အဲဒီအပြာရောင်ကျောက်ပြားကို ကိုယ်နေတဲ့တိုက် အပေါ်ဆုံးထပ်ကနေတက်ပီး အောက်သာလွှတ်ချလိုက်ပါ။ ဆိုလိုချင်တာကတော့ CCIE လက်မှတ်ကိုင်ထားရင် အလုပ်ရဖို့အခွင့်အလမ်းပိုကောင်းသလို အနဲဆုံးလစာကိုပါ သတ်မှတ်ပေးထားသလို ဖြစ်စေပါတယ်။ အများဆုံးဘယ်လောက်ရနိုင်သလဲဆိုတာ အရင်ကပို့စ်အဟောင်းမှာ ဖတ်ကြည့်ပါ။

Payscale က လုပ်ထားတဲ့ စင်ကာပူက CCIE Salary Survey ပါ။ ရာထူး၊ အတွေ့အကြုံ ပေါ်မူတည်ပီး လစာခြားနားမှုကို ကြည့်နိုင်ပါတယ်။ ဒီလောက်ဆို CCIE အငြင်းပွားဖွယ်မေးခွန်းတွေထဲက တချို့ကိုဖြေပီးပီလို ယူဆပါတယ်။

ကိုဖြိုး

CISSP - Certified Information Systems Security Professional မိတ်ဆက်

CISSP ဆိုတာဘာလဲ၊ ဘာကြောင့် CISSP တွေလိုအပ်နေလဲ၊ CISSP ဖြစ်ဖို့ဘာတွေလိုအပ်သလဲ။ ဒီမေးခွန်းတွေရဲ့အဖြေကို အပေါ်ယံလောက် လေ့လာကြည့်ရအောင်။

ယနေ့အိုင်တီခေတ်ကြီးမှာ အဖွဲ့အစည်းတွေ၊ ကုပ္မဏီတွေ အတွက် သတင်းအချက်အလက်ဆိုင်ရာလုံခြုံရေးစနစ်ဟာ ဘယ်လောက်အထိအရေးပါလာပြီလဲဆိုတာ အဖွဲ့အစည်းတွေရဲ့ အကြီးအကဲတွေ၊ ဦးစီးဆောင်ရွက်နေတဲ့သူတွေ တဖြည်းဖြည်းနဲ့သဘောပေါက်လာကြပြီဖြစ်ပါတယ်။ အပြည်ပြည်ဆိုင်ရာ သတင်းတွေမှာလည်း လုံခြုံရေးပေါ့ဆမှု၊ အလေးမထားမှုတွေကြောင့် ဆုံးရှုံးမှုတွေဖြစ်ပေါ်နေတာကိုလဲ ကြားနေမြင်နေကြမှပါ။ မထင်မှတ်တဲ့ ပေါ့ဆမှုအသေးလေးကနေတောင် ကြီးမားတဲ့ဆုံးရှုံးမှုတွေဖြစ်ပေါ်လာနိုင်သလို အဖွဲ့အစည်းတခုလုံးတောင်ပျက်သွားတဲ့အထိ ဆိုးရွားမှုတွေဖြစ်စေနိုင်ပါတယ်။ ဒီတော့ မိမိအဖွဲ့အစည်းရဲ့သတင်းအချက်အလက်လုံခြုံရေးနဲ့ ကာကွယ်ရေးစနစ်တွေဟာ အဖွဲ့အစည်းအတွင်းမှာ ရှိတဲ့သူတိုင်း၊ ဝန်ထမ်းတိုင်းအတွက် သိထားလိုက်နာသင့်တဲ့ အရေးကြီးကိစ္စဖြစ်လာပါတယ်။ ဒီကိစ္စကို ဘယ်သူတွေက ဦးဆောင်မှာလဲ၊ ဘာတွေကိုဘယ်လိုဆောင်ရွက်ရမလဲ ဆိုတာ လိုအပ်လာပါတယ်။ ဒါတွေကို နားလည်တဲ့သူ၊ အကြီးအကဲတွေ၊ ဌာနမျိုးစုံက ဝန်ထမ်းတွေနဲ့ အတူတကွ ပူပေါင်းလုပ်ဆောင် သွားရမဲ့သူတွေကတော့ CISSP လက်မှတ်ကိုင်ဆောင်ထားသူတွေ ဖြစ်ပါတယ်။ CISSP ဟာ Non-Profit Organization ဖြစ်တဲ့ (ISC)2 အဖွဲ့အစည်းရဲ့ ပရော်ဖက်ရှင်နယ် လက်မှတ်တစ်ခုဖြစ်ပီး တကမ္ဘာလုံး အသိမှတ်ပြုထားတဲ့ Vendor-neutral certificate လည်း တခုဖြစ်ပါတယ်။

CISSP တွေဟာ ကိုယ့်အဖွဲ့အစည်းကို ကာကွယ်ဖို့အတွက် အဖွဲ့အစည်းတွေ၊ အကြီးအကဲတွေရဲ့ ပံပိုးမှုကိုယူပီး ဌာနပေါင်းစုံက ဝန်ထမ်းများနဲ့ပူပေါင်းဆောင်ရွက်ကာ ကျရောက်လာနိုင်တဲ့ အန္တရယ်နဲနိုင်သမျှနဲအောင် လျော့ကျလာအောင်လုပ်ဆောင်ပေးရပါတယ်။ အသုံးပြုနေတဲ့ hardware/ software/ applications/ server/ network/ process စတဲ့အရာတွေမှာ လုံခြုံမှုရှိအောင်၊ ဘေးအန္တရယ်ကျရောက်ချိန်မှာ လုပ်ငန်းဆက်လက်လည်ပတ်နိုင်အောင် ပြင်ဆင်မှုတွေ (Disaster recovery planning/ Business continuity process) စီစဉ်ဖို့၊ ရုံးတွေ၊ စက်ရုံတွေ၊ Data Center တွေရဲ့ လုံခြုံရေးစနစ်များ၊ အဖွဲ့အစည်းရဲ့ ဝန်ထမ်းများ ဘေးအန္တရယ် ကင်းဝေးရေး စတဲ့ကိစ္စများအတွက်လည်း တာဝန်ရှိပါတယ်။ ဒီတော့ အိုင်တီတခုသာ မက တခြားနည်းပညာများ၊ ကိစ္စများကိုလည်း သိထားရပါတယ်။ ဒါတွေအားလုံးကို အသေးစိ်တ်၊ အတွင်းကျကျသိဖို့ဆိုတာမဖြစ်နိင်ပါဘူး၊ ဒါပေမဲ့ CISPP တစ်ယောက် အနေနဲ့တော့ အပေါ်ယံ အားလုံးကို သိထားဖို့လိုအပ်ပြီး သက်ဆိုင်ရာ ကျွမ်းကျင်သူတွေဖြစ်တဲ့ SME (Subject-Matter Expert) တွေနဲ့ ပူးပေါင်းလုပ်ဆောင်ရပါတယ်။ ဒါကြောင့်လည်း CISSP Exam ကို အလွန်ကျယ်ပြန့်တဲ့ Domain ၈ခုနဲ့အခြေခံထားပါတယ်။ ဒါပေမဲ့ အကုန်လုံးကို အသေးစိတ် ကျွမ်းကျင်နေဖို့တော့ မလိုပါဘူး။ Official Study Guide မှာလည်း ဒီလိုရေးထားပါတယ်။
“It is very broad but not very deep. To successfully complete this exam, you’ll need to be familiar with every domain but not necessarily be a mater of each domain”

ဘယ်လိုလူမျိုးတွေအတွက် သင့်တော်သလဲဆိုရင်တော့ လုပ်ငန်းခွင်အတွေ့အကြုံ ၄၊၅ နှစ်အနဲဆုံးရှိတဲ့ သူများအတွက်သာ အသင့်တော်ဆုံးလို့ဆိုရမှာပါ။ (ISC)2 မှာလည်း CISSP ရဖို့အတွက်ဆိုရင် Domain ၈ခုအထဲကနေ ၂ခုနဲ့ကိုက်ညီတဲ့ အချိန်ပြည့်အလုပ်မှာ ၄၊၅ နှစ်ရှိမှာသာ CISSP ဖြစ်မယ်လို့ရေးထားပါတယ်။ အတွေ့အကြုံမလုံလောက်ရင်တော့ စာမေးပွဲအောင်တာတောင် Associate ပဲဖြစ်မှာပါ။
“Candidates must have a minimum of 5 years of paid full-time work experience in 2 of the 8 domains of the CISSP CBK, which covers critical topics in security today including risk management, cloud computing, mobile security, application development security, and more. “

ဒါဆို အတွေ့အကြုံမရှိတဲ့ အငယ်တွေ လုပ်လို့မရဘူးလားဆိုတော့လည်း မဟုတ်ပါဘူး။ စာမေးပွဲအရင်ဖြေ၊ ပီးမှအတွေ့အကြုံရအောင် ၅နှစ်လောက်လုပ်၊ ပီးရင် အတွေ့အကြုံတင်ပြပြီး CISSP အဖြစ်တောင်းဆိုနိုင်ပါတယ်။ ဒါပေမဲ့ လေ့လာတဲ့အချိန်မှာ အခက်အခဲရှိနိုင်ပါတယ်။ အတွေ့အကြုံရှိသူတွေ အတွက်ဆိုရင် ၅၀% / ၇၀% လောက်က ကိုယ်သိပြီးသားတွေဖြစ်နေတော့ ဖတ်ရတာပိုနားလည်ပါတယ်။ ပြီးရင် ကိုယ်ဘယ်လုပ်ငန်းခွင်ကလာသလဲဆိုတာက Domain တခုခြင်းကို အထောက်အကူပြုပါတယ်။ Network အားသားတဲ့သူအတွက် Network အကြောင်းဖတ်ဖို့သက်သာသလို၊ Software ဖက်ကလာတဲ့သူတွေ၊ Database Admin တွေ၊ FW Security သမားတွေ၊ ITIL/ PMP  ရရှိပီးသား Process ကျွမ်းကျင်သူတွေအတွက်လည်း သက်ဆိုင်ရာ Domain အတွက် အဆင်ပြေစေပါတယ်။

ဒီလောက်ဆို CISSP အကြောင်းကိုတီးမိခေါက်မိရှိလောက်ပီလို့ယူဆပါတယ်။

ကိုဖြိုး

CISSP Exam အတွေ့အကြုံ။

CISSP ( Certified Information Systems Security Professional) စာမေးပွဲအကြောင်းစိတ်ဝင်စားသူတွေအတွက် ဗဟုသုတရအောင်လို့ ပါ။ ဒီစာမေးပွဲအတွက် လုံးပန်းနေရတာနဲ့ စာမရေးဖြစ်တာတောင်ကြာပြီပေါ့။ အခုအကြောင်းအရာက စာမေးပွဲဖြေဆိုတဲ့ အကြောင်းပါ နောက်အချိန်ရမှ CISSP ဆိုတာဘာလဲဆိုတဲ့ အကြောင်းသပ်သပ်ထပ်ရေးပါ့မယ်။

(ISC)2 က ခွင့်ပြုထားတဲ့ VUE Exam Center မှာဖြေရပါတယ်။ စင်ကာပူမှ အရင်က စင်တာ ၂ ခုရှိခဲ့ပေမယ့် အခု NTUC ၁ ခုထဲမှာသာ ဖြေလို့ရပါတော့တယ်။ နောက်တခုက ဘာဖြစ်သွားလဲ မသိပါ။ တစ်ခုပဲ ကျန်တော့တဲ့အတွက် နေရာရဖို့ ၃ ပတ်ကနေ ၁လ လောက်အထိစောင့်ရလေ့ရှိပါတယ်။ တခါတလေလဲ အရင်ယူထားတဲ့သူလူ အချိန်ပြောင်းလိုက်တဲ့အတွက် လွတ်နေတတ်ပါတယ်။ ကျွန်တော့်တုန်းကလဲ ပထမရက်မှာ ဖြေဖို့သိပ်အားမရသေးတာနဲ့ ရက်ပြန်ပြောင်းပြီးမှ ဖြေဖြစ်ခဲ့တယ်။ အလကားတော့ မရပါဘူး $50 ထပ်ပေးရပါတယ်။ ပုံမှန် စာမေးပွဲကြေးက $599 (USD) ပါ။ ရန်ကုန်မှာတော့ ဖြေလို့မရလောက်သေးဘူးထင်တယ်။

ဖြေဆိုချိန်ကို ကိုယ်ကြိုက်တဲ့အချိန်ကနေစလို့ရပါတယ်။ ဒါပေမယ့် ၆ နာရီကြာတဲ့အတွက် နောက်ဆုံးရွေးလို့ရတဲ့အချိန်က ၁၁:၀၀ လို့ထင်တယ်။ သေချာတော့ မမှတ်ထားလိုက်မိဘူး။ ကျွန်တော်က အိပ်ယာအစောကြီးထပြီး မသွားချင်လို့ ၁၀ နာရီရွေးလိုက်ပါတယ်။ ဒါပေမယ့် အတော်များများက အဲ့အချိန်ရွေးကြလို့ စာရင်းသွင်းတဲ့နေရာမှာ လူများပြီး စောင့်ရပါတယ်။ ၉နာရီဆို ပိုအဆင်ပြေမယ်ထင်တယ်။ တကယ်စဖြေတော့ ၁၀:၁၅ လောက်ဖြစ်နေပါပြီ။

စုစုပေါင်း ၆နာရီခွင့်ပြုထားပါတယ်။ ထမင်းစားချိန်သီးသန့်ပေးမထားပဲ ကိုယ်ကြိုက်တဲ့အချိန် နားပြီးစားရပါတယ်။ အပြင်မှာထွက်စားခွင့်မပြုတဲ့အတွက် မနက်ထဲက ထမင်းဘူး ယူသွားရပါတယ်။ စားနေတဲ့အချိန်ကိုလည်းထည့်တွက်တဲ့အတွက် အချိန်ကုန်သက်သာအောင် မြန်မြန်စားရပါတယ်။ ကျွန်တော်တော့ ၁၀ မိနစ်နဲ့ အမြန်သွတ်ပြီး ရှင်းလိုက်ပါတယ်။ စာမေးပွဲခန်းအတွင်းကို နာရီတောင်ယူလို့မရပါဘူး။ ဖြစ်ချင်တော့ အဲ့နေ့ကနေမကောင်းဖြစ်ပြီး ချောင်းဆိုနေတာ ဆေးပေးမယူပါဘူး။ အပြင်မှာ ထွက်သောက်ရပါတယ်။ ကြားမှာ ရေသောက်ခ်ျိန်၊ အပေါ့သွားဖို့အချိန်တိုင်း လက်မှတ်ထိုး ပြီးထွက်ရပါတယ်။ မှတ်ထားသလောက်တော့ ၃ ခါထွက်ခဲ့ပြီး တကြိမ်ကို ၅ မိနစ်ခဲ့ကြာခဲ့ပါတယ်။ ထမင်းစားတာနဲ့ဆို စုစုပေါင်း ၂၅ မိနစ်လောက် ကုန်သွားတဲ့အတွက် ဖြေဆိုချိန် ၅:၃၀ လောက်ကျန်ပါတယ်။

စုစုပေါင်းမေးခွန်း ၂၅၀ ပါပြီး အကုန်လုံးဟာ MCQ နဲ့ Drag-drop နဲနဲလောက်ပါပါတယ်။ ၅:၃၀ ကို မေးခွန်း ၂၅၀ ဆိုတဲ့အတွက် တစ်ခုကို ၁.၃ မိနစ်လောက် အသုံးပြုလို့ရပါတယ်။ ကျွန်တော်ကတော့ ထမင်းမစားခင် ၁၅၀ လောက်ကို ၂နာရီခွဲလောက်နဲ့ ရအောင်ဖြတ်လိုက်ပါတယ်။ စာဖတ်တာမြန်ဖို့လိုသလို ဦးနှောက်ကို အလုပ်များများလုပ်ခိုင်းဖို့လိုပါတယ်။ CCIE ဖြေတုန်းက ၈ နာရီလောက်ကို အနောက်က ကျားလိုက်သလိုဖြေခဲ့ရတဲ့အတွက် အခုတခေါက်မှာ အချိန်နဲ့ပက်သက်ပြီး သိပ်အခက်အခဲတော့ မရှိခဲ့ပါဘူး။ ဒါပေမယ့် အင်္ဂလိပ်စာကို လှည့်ပတ်ပြီးရေးထားတဲ့အတွက် ဘာကိုမေးတာလဲဆိုတာကို နားလည်ဖို့လိုပါတယ်။ မေးခွန်းနားမလည်ရင် ကျိန်းသေကျမှာပါ။ နောက်ပြီးစာဖတ်တဲ့အခါ တစ်လုံးချင်းဖတ်မနေပဲ Skimming လုပ်ပြီး မျက်လုံးနှစ်ဖက်လုံးကိုခိုင်းပြီး စာပုဒ်တစ်ခုလုံးကို ခြုံမိအောင်ဖတ်ရပါတယ်။ အဓိပ္ပါယ်ပြန်နေတုန်း တဖက်ကလည်း မေးခွန်းမှာပါတဲ့ Keyword ကို ရအောင်ဖမ်းရပါတယ်။ အဲဒါကို သတင်းစာဖတ်ရင်းလေကျင့်ရပါတယ်။ BC က အင်္ဂလိပ်ဆရာ သင်ပေးခဲ့တာပါ။ ပုံမှန်စာဖတ်မြန်တဲ့သူအတွက် လေ့ကျင့်နေစရာ မလိုပါဘူး။ ဘာလို့အဲ့ဒါကို ထဲ့ပြောရလဲဆိုတာ အချိန်မမှီမှာစိုးလို့ပါ။ မေးခွန်းက ၄၊ ၅ ကြောင်းနဲ့ အဖြေ ၄ ခုကိုဖတ် စဉ်းစားပြီး အဖြေမှန်ရွေး စတဲ့ ကိစ္စအားလုံးကို ၁ မိနစ်ခန့်လောက်နဲ့ရအောင်လုပ်ရတာ သိပ်မလွယ်ပါ။ မသိတဲ့၊ ခက်တဲ့မေးခွန်း တွေဆို စဉ်းစားရင်း ၂-၃မိနစ်လောက်ကြာသွားတဲ့အတွက် အဲဒါတွေပြန်ဖြည့်ဖို့ လိုပါတယ်။

နောက်ထပ်အဓိကပြဿနာကတော့ ဦးနှောက်ပါ။ မေးခွန်းတွေများလွန်းတဲ့အတွက် မေးခွန်းပေါင်း ရာကျော်လာတဲ့အချိန်မှာ ဦးနှောက်က သိပ်မကြိုက်ချင်တော့ပါဘူး။ စိတ်မရှည်တော့ပဲ စဉ်းစားနိုင်စွမ်းကို ကျဆင်းသွားစေပါတယ်။ ဒါကြောင့် ၁၅၀ ပြီးတဲ့အချိန်မှာ ရပ်ပြီးထမင်းစားလိုက်ပါတယ်။ မယုံရင်စမ်းကြည့်ပါ။ ဒီလိုစဉ်းစားရတဲ့စာတွေကို မမေးပဲ လူတစ်ယောက်က ကိုယ့်ကိုထိုင်ပြီး ၂ နာရီဆက်တိုက်လောက် ထမင်းစားပီးပြီလား၊ ဘယ်သွားမလို့လဲ စတဲ့ဟာတွေ မေးတာတွေကို ဖြေကြည့်ပါ။ ဦးနှောက်က တုံပြန်မှုတွေ ကျလာပြီး စိတ်တိုလာပါလိမ့်မယ်။ ဒီတော့ စိတ်ရှည်ရှည်ထားပြီး ကိုယ်မရတော့တဲ့အချိန်လောက်ကို နားသင့်ပါတယ်။ တစ်ယောက်နဲ့တစ်ယောက် ခံနိုင်ရည်ချင်း မတူပါဘူး။ စာမေးပွဲအတွက် ပြင်ဆင်မှု တစ်ခုအနေနဲ့ သိထားသင့်ပါတယ်။ တချို့က မေးမှာပါ၊ အရင်ကလည်း CCNA တို့ MCSE တို့ကို ၃ နာရီလောက်ဖြေခဲ့တာပဲ ဘာဆန်းလို့လဲဆိုရင် အရင်ဆုံးပြောခြင်တာကတော့ ကိုယ်တခါမှ မမြင်ဘူးတဲ့ မေးခွန်းတွေကိုပဲ ဆက်တိုက်တွေ့ရမှာပါ။ နောက်တခုက သူရဲ့အဖြေ၄ခုမှာ ၂ ခုလောက်သာ မှားမှန်းဖယ်ရှားနိုင်ပြီး ကျန်တဲ့ ၂ ခုလောက်ဟာ အမြဲလိုရွေးရခက်အောင် ရေးထားလေ့ရှိပါတယ်။ အဲလိုမျိုး အခု ၁၀၀ လောက်ဖြတ်သန်းပြီးတဲ့အချိန်မှာ စိတ်တိုလာပါလိမ့်မယ်။ ကျွန်တော်ဖြေနေတုန်း အနောက်က လူရဲ့ ကီးဘုတ်ရိုက်သံဟာ အလွန်ကျယ်လောင်လာသလို ခံစားရပြီး စင်တာကပေးတဲ့ နားပိတ်နဲ့ပိတ်ထားတာတောင် မရပါဘူး။ အဲဒီလူကြောင့် ၁၀ မိနစ်ခန့် နှောင့်နှေးသွားခဲ့ပါသေးတယ်။ NTUC center ရဲ့ မကောင်းတဲ့အချက်ပါ။ ခုံစီစဉ်မှုဟာ သင်တန်းနဲ့တူနေပြီး လာဖြေတဲ့သူ အရမ်းများပါတယ်။ တခြားစာမေးပွဲများအတွက်တော့ သူတို့ကို ထပ်ရွေးဖြစ်တော့မယ် မထင်ပါဘူး။ ဒီဦးနှောက်နဲ့ပက်သက်တဲ့ အကြောင်းအရာကို လျော့မတွက်သင့်ပါဘူး။ အများစုကျကြတာ နည်းပညာကြောင့်၊ စာမရတာကြောင့် မဟုတ်ပါဘူး။ အဲဒီ ၆ နာရီကို စိတ်မထိန်းနိုင်ပဲ မစဉ်းစားနိုင်တော့လို့ပါ။

ဖြေဆိုတဲ့အချိန်မှာ တခြားစာမေးပွဲများလို နောက်ပြန်သွားခွင့်ပိတ်ထားတာမျိုးမရှိပဲ ကြိုက်သလို ဖြေနိုင်ပါတယ်။ မသေချာတဲ့မေးခွန်းတွေ ပြန်ကြည့်ဖို့ Flag လုပ်ခဲ့လို့ရပါတယ်။ အချိန်ပိုရင် ပြန်စစ်လို့ရတာပေါ့။ ကျွန်တော့်အနေနဲ့ ၁ နာရီခန့်လောက်ကျန်အောင်ဖြေပြီး Flag မေးခွန်းတွေပြန်ဖြေခဲ့ပါတယ်။ အခု ၄၀ လောက်ရှိပြီး ၁၀ ခုခန့်အဖြေပြန်ပြောင်းနိုင်ခဲ့ပါတယ်။ ထပ်မစစ်တော့ဘူးဆိုရင်တော့ End Exam နှိပ်ပြီး ရပ်လိုက်ယုံပါပဲ။ အောင်မအောင်ကို CCNA တို့လို တန်းမပြပဲ ပြန်ထွက်တော့မှ စာရေးမက Score report ပေးတာပါ။ အောင်မယ် လို့သေချာပေါက်မပြောနိုင်ခဲ့ပဲ စာရေးမက Congratulations ပြောမှ အောင်မှန်းသိပါတော့တယ်။ အမှတ် ၁၀၀၀ မှ ၇၀၀ ရရင်အောင်တယ်ဆိုပေမယ့် ဘယ်လောက်ရတယ်ဆိုတာ မပါပါဘူး။ ကျရင်တော့ ဘယ်လောက်နဲ့ ကျတယ်ဆိုတာပါတယ်လို့ ဖိုရမ်တွေထဲမှာ ဖတ်ဖူးပါတယ်။ နောက်ပီးတော့ မေးခွန်း ၂၅၀ မှာ ၂၅ ခုက အမှတ်မပေးပဲ သုတေသနလုပ်ဖို့အတွက် ထည့်ထားတဲ့အတွက် ကိုယ်မှန်တယ်ထင်တဲ့ မေးခွန်းတွေဟာ အဲ့ထဲပါသွားရင် အမှတ်မရနိုင်ပါဘူး။ အမှားတွေပါသွားရင်တော့ ကောင်းတာပေါ့။ ဒီတော့ ဘယ်နှစ်ခု မှန်ရင်အောင်လောက်ပီဆိုတာ တွက်ရခက်သွားပီး တတ်နိုင်သလောက်များများဖြေဖို့လိုပါတယ်။

အခုလောက်ဆို CISSP Exam ပုံစံနဲ့ ဖြေဆိုပုံကို ခန့်မှန်းလို့ရလောက်ပီလိုထင်ပါတယ်။

ကိုဖြိုး

CCNA V3.0

Cisco ရဲ့အဓိက Certificate တစ်ခုဖြစ်တဲ့ CCNA Certificate ဟာ Network နဲ့လုပ်ငန်းခွင်ဝင်မဲ့သူတွေ အတွက် မရှိမဖြစ်လို့ဆိုရလောက်အောင် ရှိထားသင့်တဲ့ အဖိုးတန်လက်မှတ်တစ်ခုဖြစ်ပါတယ်။ စာမေးပွဲမဖြေ၊ လက်မှတ်မရရင်တောင် CCNA စာအုပ်ထဲက အကြောင်းအရာတွေကို မသိမဖြစ် သိထား၊ ဖတ်ထား လေ့လာ ထားသင့်ပါတယ်။ သူ့အထက်မှာ CCNP CCIE စတာတွေရှိပေမယ့် လုပ်ငန်းခွင်မှာ နေ့စဉ်လုပ်ကိုင် ရမဲ့ ကိစ္စတွေ၊ အခြေခံတွေဟာ CCNA ကိုသေချာပိုင်နိုင်ထားတဲ့သူအတွက် လုံလောက်ပါတယ်။ CCNA မှာပါတဲ့ အကြောင်းအရာတွေဟာ လုပ်ငန်းခွင်မှာတိုက်ရ်ိုက်အသုံးချနိုင်ဖို့ကို ခေတ်ရဲ့လိုအပ်ချက်နဲ့အညီ အမြဲတမ်း  လိုက်ပြောင်းလဲနေပြီး အခုဆိုရင်လည်း လက်ရှိ CCNA V2 ကိုမကြာခင်မှာ အဆုံးသတ်ပြီး CCNA V3 နဲ့အစားထိုးတော့မှာ ဖြစ်ပါတယ်။ လက်ရှိ V2 ကိုတော့ ဩဂုတ်လ ၂၀ ရက်နေ့မှာ နောက်ဆုံးဖြေဆိုရမှာ ဖြစ်ပါတယ်။ ဒီတော့ နောက်အသစ်ဖြစ်တဲ့ CCNA V3 အကြောင်းကို လေ့လာကြည့်ကြတာပေါ့။

CCNA V3 ဆိုတာထက် CCNA Routing and Switching V3.0 ဆိုရင်ပိုမှန်ပါလိမ့်မယ်။ အရင်တုန်းက CCNA တစ်မျိုးသာရှိခဲ့ပေမယ့် အခုဆိုရင် Cloud/ Collaboration/ Data Center Service provider/ Security/ Wireless အပြင် Industrial ဆိုပြီးတော့ပါ လမ်းကြောင်းတွေအမျိုးမျိုးခွဲထားပါတယ်။ မူရင်းကိုတော့ Routing and Switching ဆိုပြီးပြောင်းခေါ်ခဲ့ပါတယ်။ အခုလေ့လာကြည့်မယ်ဆိုတဲ့ CCNA ဆိုတာ မူရင်းဖြစ်တဲ့ CCNA R&S ကိုပြောတာဖြစ်ပါတယ်။ အရင်က အဓိကအကြောင်းအရာ ၈ခုအစား အခု ၇ ခုနဲ့ပြောင်းလဲပြီး ဖွဲ့စည်းထားတာတွေ့ရပါတယ်။ အခုအသစ်မှာ ပြောင်းထားတဲ့ ခေါင်းစဉ်တွေဟာ အရင်ထက်စာရင် ပိုပြီး ဖွဲ့စည်းပုံကောင်းလာတာကိုတွေ့ရပါတယ်။

1.0 Network Fundamentals    15%
2.0 LAN Switching Technologies    21%
3.0 Routing Technologies    23%
4.0 WAN Technologies    10%
5.0 Infrastructure Services    10%
6.0 Infrastructure Security    11%
7.0 Infrastructure Management    10%

OSI TCP/IP IP Addressing စတဲ့အခြေခံတွေကို Network Fundamentals အောက်မှာ အကုန်စုထား လိုက်ပြီး  Cloud တို့ Virtual Networking တို့အကြောင်းတွေကိုပါရောထည့်ထားတာတွေ့ရပါတယ်။ Troubleshooting ကိုသီးသန့်အခန်းအနေနဲ့ မခွဲတော့ပဲ ခေါင်းစဉ်အားလုံးရဲ့အောက်မှာ တွဲထားပါတယ်။ အခြေခံကို ၁၅% ထည့်ထားပြီး သူရဲ့အဓိကဖြစ်တဲ့ Routing Switching ကို ၂၃% နဲ့ ၂၁% အနေနဲ့ အများဆုံးထည့်ထားပါတယ်။ Switching ပိုင်းအနေနဲ့ ပိုများလာသလိုထင်ရပေမယ့် အများကြီး ပြောင်းလဲသွားတာမျိုးမတွေ့ရပါဘူး။ Exam Topics တွေကိုသာယှဉ်ကြည့်ပြီးပြောတာဖြစ်တဲ့အတွက် အသေးစိတ်မမြင်သေးတာလဲဖြစ်နိုင်ပါတယ်။ အပြင်လုပ်ငန်းခွင်မှာ တကယ်အသုံးပြုနေတဲ့ Etherchannel တွေ၊ Stacking and Chasis aggregation အကြောင်းသီးသန့်ခေါင်းစဉ်နဲ့ ပါလာတာကတော့ ပိုကောင်းပါတယ်။ Routing ပိုင်းလည်းအလားတူပါပဲ။ စုစည်းထားပုံသာ ကွာခြားပုံရပါတယ်။ ဒါပေမယ့် အရင်ကမိတ်ဆက်ယုံသက်သက်သာပါတာ IPv6 Routing တွေကိုတော့ သေချာထည့်လာပြီလို့ထင်ပါတယ်။ အပြင်မှာလည်း IPv6 အသုံးပြုမှုတွေဟာ များလာပြီဖြစ်တဲ့အတွက် V6 Addressing နဲ့ Routing ကိုသိထားတာ ပိုကောင်းပါတယ်။

WAN Technologies အနေနဲ့ကတော့ ပိုပြီးကောင်းလာတယ်လို့ထင်ပါတယ်။ ကျွန်တော်မှတ်မိသလောက် အရင်က CCNA မှာ BGP တို့ QoS မပါပဲ အခုမှသာ ထည့်လာတယ်လို့ထင်ပါတယ်။ WAN မှာ အဓိကသုံးတဲ့ Protocol ဖြစ်တဲ့ BGP ကိုသိထားသင့်သလို Congestion တွေ၊ Quality ပြဿနာတွေအများဆုံးတွေ့ရတဲ့ WAN links တွေပေါ်မှာ QoS ရဲ့အရေးပါပုံကို သိထားရမှာဖြစ်တဲ့အတွက် အခုလို WAN ခေါင်းစဉ်အောက်မှာ ပါလာတာ အလွန်ကောင်းပါတယ်။ နောက်ပြီး GRE တို့ DMVPN တို့လိုအပြင်မှာ တကယ်အသုံးဝင်တဲ့ အရာတွေများများပါတာ အလုပ်အတွက် အလွန်ပဲ အထောက်အကူဖြစ်စေပါတယ်။ အရင် IP service တို့ Device security အစား Infrastructure ဆိုပြီးပြောင်းလိုက်တာပိုကောင်းပါတယ်။ နောက်ပိုင်းမှာလည်း အဲဒီအခန်းတွေမှာ ဒီထက်ပိုပြီး အကြောင်းအရာတွေထပ်ပြီး ထည့်လာနိုင်တဲ့ လို့လည်းထင်ပါတယ်။ CCIE exam တွေမှာလည်း Services တွေကိုအမျိုးစုံအောင်မေးပြီး အောင်မှတ်ကို အဲဒါတွေနဲ့ထိန်းထားပါတယ်။ တကယ်လည်း အလုပ်ထဲမှာ အရေးပါတဲ့ ကိစ္စတွေဖြစ်လို့ သေချာလေ့လာထားသင့်ပါတယ်။

နောက်ဆုံးတစ်ခုကတော့ Infrastructure Management ပါ။ ဒီခေါင်းစဉ်ဟာ Network Operations Engineer တစ်ယောက်အတွက် နေ့စဉ်လုပ်ကိုင်ရဲ့ကိစ္စအများစုပါပဲ။ အခုလိုစုစည်းပေးထားတာ အလွန်ကောင်းတဲ့ ပေါင်းစပ်မှုပါပဲ။ Operations သမားတွေဟာ Network devices တွေကိုဘယ်လိုကိုင်တွယ်မလဲ၊ Monitor ဘယ်လိုလုပ်မလဲ၊ ပြဿနာဖြစ်လာရင် ဘယ်လို အဖြေရှာမလဲ ဆိုတဲ့ အရာတွေကို နေ့စဉ်ဖြေရှင်းနေရတာ ဖြစ်တဲ့အတွက် ဒီအခန်းမှာပါတဲ့ အကြောင်းအရာတွေဟာ လက်တွေ့မှာ အလွန်သုံးဝင်လာပါလိမ့်မယ်။ SDN အကြောင်းမိတ်ဆက်ကို ဒီခေါင်းစဉ်အောက်မှာ ထည့်ထားတာလည်း စိတ်ဝင်စားစရာပါ။ နောက်ပိုင်းမှာ အသုံးများနိုင်လာသလို CCIE Exam တွေမှာလည်းပါလာတဲ့အတွက် အခုလို CCNA ကစပြီးပါလာတာ ကောင်းပါတယ်။ ခြုံကြည့်ရရင်တော့ အခုပြောင်းမဲ့ V3 ဟာ လုပ်ငန်းခွင်ဝင်ဖို့အတွက်ပိုပြီးနီးစပ်လာတယ် လို့ထင်ပါတယ်။ အကြံပေးချင်တာကတော့ စာမေးပွဲအတွက်တင်မဟုတ်ပဲသေချာနည်းလည်အောင် လေ့လာသင့်ပါတယ်။ ဒါမှသာ CCNA Certificate လဲရ၊ လုပ်ငန်းခွင်ဝင်ဖို့အတွက်လည်း အဆင်သင့် ဖြစ်နေပါလိမ့်မယ်။

 ကိုဖြိုး

ရောင်းသူမဲ့ဆိုင်များ သို့မဟုတ် Honeypots

လွန်ခဲ့တဲ့တစ်နှစ်လောက်က FB ပိုစ့်မှာတွေ့မိတာတစ်ခုနဲ့ ဆက်ပြီးစဉ်းစားစရာတွေပေါ်လာမိတယ်။
ဆရာမတစ်ယောက်က ရောင်းသူမဲ့ဆိုင်လေးတစ်ခုကို ကျောင်းကကျောင်းသူကျောင်းသားတွေအတွက် ဖွင့်ခဲ့တယ်။ ဝယ်ချင်တာဝယ် ကျသလောက်ကို ဘေးကခြင်းလေးထဲထည့်ခဲ့ပေါ့။ ဒီလိုဆိုင်လေးကိုကျောင်းကကျောင်းသားကျောင်းသူတွေစာရိတ္တကောင်းအောင်ရည်ရွယ်ပြီးလုပ်တာပဲလို့ထင်တယ်၊ ကောင်းလဲ ကောင်းပါတယ်။ သူများပစ္စည်းကိုပိုင်ရှင်မရှိတောင်မှ အလကားမယူသင့်ဘူး၊ ပစ္စည်းတစ်ခုကို ဝယ်တယ်ဆိုရင်လည်း ပစ္စည်းရဲ့တန်ရာတန်ကြေးကို ပေးဖို့လိုတယ်ဆိုတာ ကလေးတွေရဲ့ စိတ်ထဲမှာသိဖို့လိုတယ်။ ဒါပေမယ့် အဲဒီလို သိဖို့အတွက်ကို ဆရာမအနေနဲ့ ကျောင်းသူကျောင်းသားတွေကိုတော့ အရင်ဆုံးပြောပြဖို့၊ နားလည်အောင်၊ သိအောင် ရှင်းပြဖို့လိုပါတယ်။ သူပြောပြခဲ့မယ်လို့လဲ ယုံကြည်ပါတယ်။
ဒါပေမယ့် မပြောပြခဲ့မိလို့၊ ကလေးတွေက အဲဒီဆရာမရဲ့ ရည်ရွယ်ချက်ကိုမသိပဲ၊ ဘောပင်လေးတွေလှလိုက်တာ ယူသွားမှပဲဆိုပြီး တစ်ချောင်းတလေလောက် ယူသွားခဲ့ပြီဆိုပါတော့။ ဒါဆိုရင် ယူသွားတဲ့ ကလေးဟာ စာရိတ္တမကောင်းဘူးလို့ဆိုလို့ရမလား။ မပြောပြခဲ့တဲ့ ဆရာမကိုပဲ အပြစ်တင်ရမလား။ ကလေးရဲ့စိတ်ထဲမှာကော၊ ဆရာမရဲ့စိတ်ထဲမှာကော ဘယ်လိုတွေ ရှိနေခဲ့မယ်ဆိုတာ သိချင်စရာ၊ စဉ်းစာစရာပါ။

သိပ်မကြာခင်ကပဲ FB မှာရောင်းသူမဲ့အအေးဆိုင်လေးတွေ ဖွင့်တယ်ဆိုပြီး တက်လာတာတွေ့ရပြန်တယ်။ ဆိုင်ဖွင့်တဲ့သူရဲ့ရည်ရွယ်ချက်ကို မသိပေမယ့် အခုလိုလမ်းမဘေးမှာဒီလိုဆိုင်မျိုးဖွင့်တာကိုတော့ သိပ်အားမပေးချင်ဘူး။ ဒါကကျွန်တော့အမြင်သက်သက်ပါ။ (လွတ်လပ်စွာသဘောထားကွဲလွဲလို့ရပါတယ်) ဆိုင်ဖွင့်တဲ့သူအနေနဲ့ ရှိသမျှအကုန်ကုန်သွားလဲ ဘာမှမဖြစ်ဘူး၊ အဲဒီ အရင်းအနှီးလောက်ကိုလည်း အဆုံးခံနိုင်တယ်။ အဓိက က လူတွေ အကျင့်စာရိတ္တကောင်းကောင်းနဲ့ ဝယ်သောက်ရင်ပြီးရော၊ အလကားယူချင်တဲ့စိတ်မရှိပဲ တန်ရာတန်ကြေးပေးဝယ်ရမယ်ဆိုတဲ့ အသိတရားရှိရင်ပြီးရင်ဆိုတဲ့ ရည်ရွယ်ချက်ကောင်းကောင်းထားခဲ့မယ်ဆိုတာ အသေချာပါပဲ။ ဒါပေမယ့် လုပ်ငန်းတစ်ခုအနေနဲ့ကြည့်ရင်တော့ အဆင်မပြေလောက်ဘူး။ နေ့တိုင်းသာ ရောင်းသမျှပြန်မရဘူးဆိုရင် ဘယ်လိုလုပ်မလဲ။ နောက် ဘယ်လောက်ကြာကြာဆက်ပြီးအဆုံးရှုံးခံနိုင်မလဲဆိုတာလဲပါတာပေါ့။ ဒီနေရာမှာ ခုနက ကျောင်းမှာဖွင့်ခဲ့တဲ့ ဆရာမနဲ့မတူပါဘူး။ ဆရာမက ကျောင်းဝင်းထဲမှာ၊ ဝယ်မဲ့သူတွေက ကျောင်းသားတွေ၊ သူသင်ပြပြောပြလို့ရတဲ့ ကလေးတွေ။ ဒါတောင်မှ ၁၀၀% သေချာတယ်လို့ ပြောလို့မရသေးဘူး။ တခြားကျောင်းသားမဟုတ်တဲ့သူတွေ ဝင်လာနိုင်ပြီး ယူသွားနိုင်သေးတယ်။ ဒါဟာ IT security ဖက်မှာဆိုရင် Threat နဲ့တူလိမ့်မယ်။ Threat တွေဟာ အမြဲရှိနေမှာပဲ၊ ဘယ်တော့မှ Zero ဖြစ်သွားမှာ မဟုတ်ဘူး။ ဒါပေမယ့် ကျောင်းဝင်းထဲမှာဖြစ်တဲ့အတွက် Vulnerability ရှိပေမယ့် ဖြစ်နိုင်ချေနဲ့ ထိခိုက်နိင်တဲ့ အတိုင်းအတာကတော့ နဲလိမ့်မယ်။ Impact နဲ့ Risk သိပ်မရှိဘူးလို့ဆိုရမှာပေါ့။ အပြင်မှာကြတော့ အဲဒီလိုမဟုတ်ဘူး။ လူတွေကလည်းအများကြီး၊ နေရာစုံကသူတွေ၊ ဖြစ်သွားဖြတ်လာသူတွေ၊ အချောင်သမားတွေ၊ စသဖြင့်ရှိနေမှာ။ အဲဒီသူတွေအားလုံးကို အကျင့်စာရိတ္တကောင်းလာအောင် ပြုပြင်ဖို့ဆိုတာ မလွယ်ဘူး။ Zero Threat ဖြစ်အောင်လုပ်နေသလိုဖြစ်နေမှာ။ မဖြစ်နိုင်ဘူး။ အခုလို ထိန်းချုပ်မှုမဲ့တဲ့(နည်းပညာမပါဝင်တဲ့) ဆိုင်ကို ဒီလိုအပြင်မှာ ဖွင့်တာဟာ Risk အများကြီးယူလိုက်တာပဲ။  (High Theats, High Vulnerability, High Impact)

ဒါပေမယ့် သူရဲ့ရည်ရွယ်ချက်က အမြတ်ရဖို့မဟုတ်ဘူး၊ အသိပေးယုံ၊ စိတ်ဓါတ်ကောင်းလာအောင်၊ လူတွေရဲ့အကြောင်းကိုသိလာအောင်လုပ်ဖို့က အဓိကဖြစ်ပါလိမ့်မယ်။ ဒါမျိုးကို Security ဖက်မှာ Honeypots ဆိုတာတွေသုံးပြီး ဟက်ကာတွေ ဝင်ရောက်နိုင်အောင်၊ သူတို့တွေ ဘာတွေဝင်လုပ်သလဲ၊ ကိုယ့်ရဲ့ System/ Applications တွေကို ဘယ်လောက်အထိ ဝင်ရောက်နိုင်သလဲဆိုတာတွေကို သိသိကြီးနဲ့ ဖွင့်ထားပေးလေ့ရှိပါတယ်။ သိချင်ယုံသက်သက် Log ယူယုံလောက်ပါပဲ။ ထောင်ဖမ်းဖို့ အတွက်မဟုတ်ပါဘူး။ ဒီတော့ ရောင်းသူမဲ့ဆိုင်တွေ အနေနဲ့လည်း ကင်မရာနဲ့ ဓါတ်ပုံ၊ ဗွီဒီယိုတွေရိုက်ထားပြီး စောင့်ကြည့်တာတွေ လုပ်ကောင်းလုပ်ကြပါလိမ့်မယ်။ ဆိုင်ရှင်ကိုယ်တိုင်မလုပ်ရင်တောင် ဘေးက စိတ်ဝင်စားတဲ့သူတွေက လုပ်ပါလိမ့်မယ်၊ အဲဒီမှာယူတဲ့သူရဲ့ ပုံတွေဘာတွေ တောင်တင်ထားတွေ တွေ့ပါတယ်။ ဒီအထိကတော့ ပြဿနာမရှိပါဘူး၊ ဆဲကြဆိုကြနဲ့ပဲ ပြီးသွားရင်ပေါ့။ ဒါပေမယ့် အဲဒါထက်ပိုပြီး ဖမ်းမယ်ဆီးမယ်လုပ်လာရင်တော့ မကောင်းပါဘူး။ ဒါဟာ ထောင်ချောက်ဆင်မှုနဲ့ (Entrapment) တူသွားပါလိမ့်မယ်။ တခါမှာ ပြစ်မှုမရှိခဲ့တဲ့သူတောင် အလွယ်ရနိုင်တဲ့ အနေအထားဖန်တီးပေးထားတာကြောင့် စိတ်ကွယ်ရာမှာ လုပ်ကောင်းလုပ်မိပါလိမ့်မယ်။ လုံခြုံရေးရှုထောင့်ကကြည့်ရင် မိမိရဲ့ ပေါ့ဆမှုပါပဲ။ ဒီဆိုင်ပိုင်ရှင်တွေအနေနဲ့ Enticement နဲ့ Entrapment ကိုသေချာခွဲခြားသိမြင်ပြီး မလုပ်သင့်တာကို မလုပ်ဖို့လိုအပ်ပါတယ်။

ဒီရောင်းသူမဲ့ကိစ္စတွေကို မကောင်းဘူး လို့မဆိုခြင်ပါ၊ ဒါပေမယ့် ကိုယ့်ရဲ့ရည်ရွယ်ချက်က ဘာလဲဆိုတာ အရင်ရှင်းအောင် လုပ်ထားဖို့လိုပါတယ်။ နေရာတကာမှာ ရောင်းသူမဲ့ဆိုင်တွေ ရှိပါတယ် ဒါပေမယ့် အဓိကရည်ရွယ်ချက်ကိုလိုက်ပြီး ပုံစံအမျိုးမျိုးနဲ့ ရှိနေတာပါ။ ဥပမာ အအေးဘူးတွေကို အကြွေစေ့ထည့်ပြီးသောက်ရတဲ့ Vending Machine တွေ၊ Shopping mall တွေက ကိုယ်တိုင် ငွေပေးချေစက်တွေ၊ ရုံးတွေမှာ ထားတဲ့ အကြွေစေ့ထည့်သုံးရတဲ့ မိတ္တူကူးစက်တွေ (မြန်မာသံရုံး စင်ကာပူမှာတောင်ရှိပါတယ်) စသဖြင့်(နည်းပညာပါဝင်တဲ့) ပုံစံမျိုးစုံနဲ့ ရှိကြပါတယ်။ ဒါပေမယ့် Risk နဲအောင်လို့ Vending Machine အနားမှာ လုံခြုံရေးကင်မရာတပ်ထားတာမျိုး၊ Shopping Mall ရဲ့ငွေပေးချေစက်အနားမှာ အစောင့်တစ်ယောက်ထားတာမျိုး၊ သံရုံးက ကော်ပီစက်ဆိုရင်လဲ ရုံးခန်းအတွင်းမှာ၊ ရုံးဝင်ထမ်းတွေရဲ့ လှမ်းကြည့်လို့ရတဲ့ နေရာမျိးတွေ၊ ထည့်ပီးသားပိုက်ဆံကို ပြန်ထုတ်လို့မရအောင် စီစဉ်ထားမှုတွေကို သထိထားပြီး ကြည့်နိုင်ပါတယ်။ အခုလိုရေးမိတာကတော့ ဝေဖန်ရေး လုပ်တဲ့ပုံစံမျိုးမဟုတ်ပဲ၊ လုံခြုံရေးရှုထောင့်အမြင်နဲ့သာရေးထားခြင်းဖြစ်ပါတယ်။ သူများလုပ်လို့ လိုက်လုပ်မဲ့သူတွေ အတွက် မိမိရဲ့ ရည်ရွယ်ချက်ကို အရင်ရှင်းအောင် လုပ်ထားပြီးမှာဖွင့်ပါလို့ အကြံပေးပါတယ်။ အဲလိုမှ မဟုတ်ရင်တော့ ဘယ်သူအတွက်မှ ကောင်းဖို့မရှိပဲ ပြစ်မှုကျူးလွန်မိအောင်စီစဉ်ထားတဲ့ ထောင်ချောက်ဆိုင် သက်သက်သာ ဖြစ်သွားနိုင်ပါတယ်။

ကိုဖြိုး

NGFW, PAN & NIR ZUK

Firewall အကြောင်း နောက်ဆက်တွဲအနေနဲ့ NGFW ခေါ် Next Generation Firewall ဆိုတာကို ဆက်ကြည့်ရအောင်။ အရင်က ရေးခဲ့ဘူးသလို FW တွေဟာ အခုခေတ်မှာ သာမန်Packet Filtering လောက်နဲ့ Network တစ်ခုကို လုံခြုံအောင် ကာကွယ်မပေးနိုင်တော့ဘူး။ Layer 2-4 လောက်မှာ ကာကွယ်တာနဲ့ မလုံလောက်တော့ဘူး။OSI Layers အားလုံးကို နားလည်တဲ့ FW ဖြစ်ဖို့လိုအပ်တဲ့အပြင် Application layer က Application တွေ၊ အပြင်ကော အတွင်းကပါလာတဲ့ တိုက်ခိုက်မှုတွေရဲ့ Pattern တွေ၊ Signature တွေကိုလည်း သိထားဖို့လိုအပ်လာပါတယ်။ ဒီတော့ NGFW တွေမှာ အဲဒါတွေပေါင်းစပ်လာပြီး Antivirus၊ IPS ခေါ် Intrusion Prevention System ၊ URL filtering လို့ခေါ်တဲ့ web traffic တွေဝင်စစ်တဲ့ဟာတွေ၊ DPI (deep packets Inspection)၊ SSL Interception တွေ အကုန်လုံးပါလာပါတယ်။ ဒါတင်မကသေးပဲ တခြား ပစ္စည်း၊ နည်းပညာတွေနဲ့ပေါင်းစပ်နိုင်ဖို့၊ ကိုယ့်FW အထဲကထွက်သွားတဲ့ Traffic ကို လိုသလိုပြောင်းလဲပေးနိင်ဖို့ (ဥပမာ QoS) ၊ NAT တို့ Dynamic routing တွေကိုလည်း ပါတယ်ဆိုတာထက်  Router တစ်လုံးနီပါး အဆင်ပြေအောင် လုပ်ဆောင်နိုင်ဖို့ (အရင်က FW တွေမှာ Static နဲ့ RIP သာပါပြီး နောက်ပိုင်းမှသာ OSPF/BGP တို့ကို အခြေခံလောက်သာ လုပ်ဆောင်နိုင်ပါတယ်) အထိရလာပါတယ်။ အဲဒါတွေလုပ်ဆောင်နိင်တဲ့ FW တွေကို NGFW လို့ခေါ်ကြပါတယ်။ ကျွန်တော့အမြင်ကတော့ ဒါတွေကိုလုပ်ဆောင်နိုင်ဖို့ကာ Application တွေကို နားလည်လာတာက အဓိကကျတယ်လို့ ထင်ပါတယ်။ ခြုံပြောရရင်တော့ Applications Awareness ဖြစ်လာတဲ့ FW တွေပါ။

ဒီဟာတွေကို အရင်က FW တွေလဲ ရအောင်ထိန်းချုပ်နိုင်ခဲ့ပါတယ်ဆိုရင်တော့ မှားပါတယ်ဆိုရပါမယ်။ နမူနာ အနေနဲ့ စဉ်းစားကြည့်ရအောင်။ ဒါကျွန်တော်ကိုယ်တိုင်ကြုံခဲ့ဘူးတဲ့ Customer Requirement တစ်ခုပါ။ သူတို့က ဘာလိုချင်လဲဆိုရင် Yahoo Messenger ကိုဖွင့်ထားချင်တယ် ဒါပေမယ့် အဲဒီ YM အထဲက File transfer လုပ်တဲ့ကိစ္စနဲ့ Audio Chat ကိုတော့ ပိတ်ထားချင်တယ်။ နောက်တစ်ခုအနေနဲ့ URL Filtering လုပ်ချင်တယ် ဒါပေမယ့် ဒါရိုက်တာတွေကိုတော့ မပိတ်စေချင်ဘူး၊ သူတို့ရဲ့ Network မှာလည်း DHCP ပဲသုံးနေတာမို့ Static မပြောင်းပေနိုင်ဘူး။ ဒါတင်လားဆိုတော့ မဟုတ်သေးဘူး၊ သူတို့ရုံးက Bandwidth အများကြီး မရှိတဲ့အတွက် အရေးကြီးတဲ့ URL တစ်ချို့ကို Priority ပေးထားပြီး အလုပ်နဲ့မဆိုင်တဲ့ ကိစ္စတွေအားလုံးကို Bandwidth နဲနဲသာပေးထားပြီး ထိန်းချုပ်ထားချင်သေးတယ်။ လစဉ်အသုံးပြုမှု မှတ်တမ်းအပြင် အချိန်နဲ့တပြေးညီပြနိုင်တဲ့ Monitoring console လဲလိုချင်သေးတယ်။ မပြီးသေးဘူး အောက်ကလာချိတ်ထားတဲ့ Router တွေက Static Route သုံးထားရတဲ့အတွက် သူတို့သုံးထားတဲ့ OSPF နဲ့ ချိတ်လို့ရရင် ချိတ်ချင်သေးတယ်။ အဲဒီအချိန်က သူတို့မှာ ရှိတဲ့FW သီးသန့်နဲ့ဘယ်လိုမှ မလုပ်ပေးနိုင်ခဲ့ဘူး။ တခြား Proxy တွေ၊ NMS တွေ၊ Router တွေနဲ့ပေါင်းစပ်ပြီး တတ်နိုင်သလောက်လုပ်ပေးခဲ့ရတယ်။ အခုအချိန်မှာတော့ဒါတွေကို NGFW တစ်ခုနဲ့တင် အကုန်ထိန်းချုပ်လို့ရနေပါပြီ။

တီထွင်မှုတွေဟာ လိုအပ်ချက်တွေကြောင့်ဖြစ်ပေါ်လာတယ်ဆိုသလိုပဲ အခုလို လိုအပ်ချက်တွေကြောင့် NGFW တွေပေါ်ပေါက်လာခြင်းဖြစ်ပါတယ်။ ကျွန်တော် CCIE အတွက်စတင်ပြင်ဆင်ကာစက Cisco Press ကစာအုပ်အထူကြီးတွေဖတ်ရင်း စာအုပ်တွေကို သက်တောင့်သက်သာနဲ့ ပေါ့ပေါ့ပါးပါးလေးကိုင်ပြီးသာဖတ်ရရင်အတော်ကောင်းမှာပဲ စဉ်းစားခဲ့ကြည့်ဖူးတယ်။ Laptop နဲ့ ဖတ်ပြန်တော့လဲ ကြာလာတော့ လေးပြီး ပေါင်တွေပူလာပြန်ရော။ ပေါင်တွေပူဆိုတာက ခုံပေါ်မှာ စာဖတ်လေ့မရှိပဲ အိပ်ယာပေါ် ဆိုဖာပေါ်တင်ပြီးဖတ်လို့ပါ။ ပျင်းတယ်ပဲဆိုပါတော့။ အဲဒီအချိန်မှာ ကျွန်တော်လိုချင်နေတာအဲဒါပဲ ဘာမှန်းတော့မသိဘူး။ နောက်သိပ်မကြာခင်မှာပဲ iPAD ထွက်လာပါလေရော။ ကျွန်တော့ထွင်တာတော့ မဟုတ်ဘူး။ Apple ကထုတ်လိုက်တာ။ ထင်တာကတော့ Steve Jobs လဲကျွန်တော့လို့ အိပ်ယာထဲစာဖတ်ရင်းနဲ့ ခံစားခဲ့ရပုံပဲ။ ဒီလိုပဲ FW အသုံးပြုသူတွေရဲ့ လိုအပ်ချက်ကြောင့် NGFW တွေခေတ်စားလာချိန်မှာ ဈေးကွက်ထဲမှာ Paloalto ဆိုတဲ့ FW ခေတ်စားလာတယ်။ Juniper Checkpoint Cisco ASA တွေရဲ့နေရာမှာ အရှိန်အဟုန်နဲ့ အစားထိုးလာကြတယ်။ ကံအားလျှော်စွာနဲ့ ကိုယ်တိုင်အသုံးပြုဖို့ အခွင့်အရေးရလာတဲ့ အချိန်မှာ NGFW တွေရဲ့ အစွမ်းထက်မှုကိုပိုပြီးသဘောပေါက်သွားတယ်။ အရင်က Customer Requirement တောင်းတဲ့အချိန်ကသာ အဲဒီ FW ရခဲ့ရင် ၂ပတ်လောက်ပြာခဲ့မှာမဟုတ်ဘူး။ နောက်တစ်ခုက ဒီ Paloalto FW ဟာ ဘာကြောင့် အချိန်တိုအတွင်းမှာ အောင်မြင်လာသလဲဆိုတာ စိတ်ဝင်စားမိသွားတယ်။ ဒါနဲ့လိုက်ရှာကြည့်ရင်းနဲ့ သူတို့ရဲ့ CTO အကြောင်းကိုဖတ်မိတယ်။ စိတ်ဝင်စားစရာ အားကြစရာပါကောင်းတဲ့အတွက် ITworld မှာ အင်တာဗျူးထားတဲ့ သူအကြောင်းအနည်းငယ်ပါ ဖော်ပြပေးလိုက်ပါတယ်။

သူ့နာမည်က Nir Zuk တဲ့ အစ္စရေးကပါ။ ၁၆ နှစ်သားကတည်းက Virus ရေးတတ်ခဲ့ပါတယ်။ ပြီးတော့ စစ်မှုမထမ်းမနေရ ပေါ်လစီအရ စစ်ထဲရောက်တဲ့အချိန်မှာ ပရိုဂရမ်တွေ ရေးတတ်တဲ့ လူငယ်တွေ ကိုရွေးရှာတဲ့ အဖွဲ့ထဲမှာအလုပ်လုပ်ခဲ့ပါတယ်။သင်္ချာနဲ့ ကျောင်းမပြီးခင်မှာပဲ Checkpoint ကအလုပ်ခေါ်တာနဲ့ အလုပ်ရပြီး အချိန်မရတော့တာကြောင့် ကျောင်းဆက်မတက်နိုင်တော့ဘူး။ အဲဒီမှာ Checkpoint အနေနဲ့ Stateful Inspection ကိုထွင်ခဲ့ပါတယ်။ နောက်ပိုင်း အမေရိကကိုပြောင်းရွေ့ခဲ့ပါတယ်။ အဲဒီမှာပဲ သူတို့အဖွဲ့ထွင်ထားတဲ့ နည်းပညာအသစ်တစ်ခုကို Checkpoint ကမထုတ်ပေးတာနဲ့ အဲလိုပြောတဲ့နေ့မှပဲ Checkpoint ကနေထွက်ခဲ့ပါတယ်။ အဲဒီနောက် ကိုယ်ပိုင်လုပ်ငန်းလေးထောင်ပြီး IPS ကိုထွင်ခဲ့ပါတယ်။ သိပ်မကြာခင်မှာပဲ သူ့ကုပ္မဏီကို Netscreen ကဝယ်လိုက်ပါတယ်။ ၁နှစ်အတွင်းမှပဲ Netscreen ဟာ Checkpoint ထက်အရှေ့ကိုရောက်သွားတယ်လို့ဆိုပါတယ်။ ဖြစ်ချင်တော့ Netscreen ကို Juniper ကထပ်ဝယ်လိုက်တဲ့ အချိန်မှာ Netscreen ကနည်းပညာကို Juniper မှာပြောင်းသုံးပြီး Netscreen product line ကိုရပ်ပစ်ဖို့၊ အသစ်ထပ်မထွင်ဖို့ကိစ္စနဲ့ပက်သက်ပြီး အဆင်မပြေတာကနေ Juniper ကနေပါထွက်ပြီး သူနဲ့အတူ Juniper ကနောက်ထပ် ၂၅ ဦးနဲ့အတူ Paloalto ကိုတည်ထောင်ပြီး Paloalto FW ထွင်ခဲ့ပါတယ်။ သိပ်မကြာခင်မှာပဲ Paloalto ဟာ သူတွက်ထားခဲ့သလို Juniper ကိုကျော်ပြီး တက်လာတာကို တွေ့ရပါတယ်။ ၂၀၁၅ ရဲ့ Enterprise Network Firewall စာရင်းမှာ သက်တမ်းရင့် Checkpoint နဲ့အတူ Leaders အဖြစ်ရပ်တည်နေတာကို တွေ့ရပါလိမ့်မယ်။
သူရဲ့အတွေ့အကြုံနဲ့ အရင်ကထုတ်ခဲ့တဲ့ ပစ္စည်းတွေရဲ့ လစ်ဟာနေတဲ့ကိစ္စတွေ၊ Customer တွေရဲ့လိုအပ်ချက်တွေကို နားလည်ပြီး လိုအပ်သလို တီထွင်ထုတ်လုပ်နိုင်ခဲ့ခြင်းတွေဟာ အောင်မြင်မှုရဲ့ နောင်ကွယ်က အဓိက အချက်တစ်ချက်ဖြစ်တယ်ဆိုတာ ငြင်းလို့ရမယ်မထင်ပါဘူး။ အင်တာဗျူးကို ဖတ်ချင်ရင်တော့ ဒီလင့်မှာဆက်ဖတ်ပါ။
http://www.itworld.com/article/2756415/careers/how-i-got-here--nir-zuk--cto--palo-alto-networks.html

ကိုဖြိုး

Firewall

Firewall ဆိုတာဘာလဲ။
အရှင်းဆုံးဖွင့်ဆိုရရင်တော့ အကာအရံလိုဆိုရမယ်ထင်ပါတယ်။ ကိုယ့်ရဲ့လုံခြုံစိတ်ချစွာ ထားချင်တဲ့ အရာတွေ၊ သတင်းအချက်တွေကို တခြားအပြင်က မဆိုင်တဲ့သူတွေ၊ ဖျက်လိုဖျက်ဆီးလုပ်ချင်တဲ့သူတွေဝင်လာလို့မရအောင် ကာရံထားတဲ့အရာဖြစ်ပါတယ်။ Firewall ကို ကွန်ပြူတာ တစ်လုံးချင်းစီမှာဖြစ်ဖြစ်၊ Network တစ်ခုနဲ့တစ်ခုချိတ်ဆက်ကြရာမှာဖြစ်ဖြစ် အသုံးပြုကြပါတယ်။ ကွန်ပြူတာ တစ်လုံးချင်းစီမှာသုံးတဲ့ Firewall ကိုတော့ Personal Firewall လို့ခေါ်ပါတယ်။ Network ဖက်ကသူတွေအနေနေကတော့ Firewall လို့ဆိုလိုက်ရင် Network Infrastructure အတွင်းမှာ အသုံးပြုတဲ့ Network Security System တစ်ခုလို့ပဲ နားလည်ကြပါတယ်။ Personal Firewall ကိုတော့ Desktop ဖက်ကသူတွေနဲ့ End point security ဖက်ကသူတွေကသာ ကိုင်တွယ်တာများပါတယ်။

တကယ်တော့ Firewall ဆိုတဲ့ အခေါ်အဝေါ်ကို Network Security ဖက်ကသူတွေက ယူသုံးထားတာပါ။ တကယ့် Firewall က မီးမကူးဆက်အောင် အသုံးပြုတဲ့ နံရံကိုခေါ်တာဖြစ်ပါတယ်။ အဆောက်အအုံတွေ၊ စက်ရုံတွေမှာ မီးလောင်ရင် တစ်နေရာကနေ တစ်နေရာကိုအလွယ်တကူ မကူးဆက်အောင် ခံထားတဲ့ နံရံတွေပဲဆိုပါတော့။ အဲဒါကို နမူနာယူပြီး IT ဖက်ကို သယ်လာတာဖြစ်ပါတယ်။ ဒါပေမယ့် တကယ်အလုပ်လုပ်ပုံကြတော့ မြို့တွေကို ကာရံထားတဲ့ မြို့ရိုးကြီးတွေနဲ့တူပါတယ်။ ဘာတွေကိုကာကွယ်ထားတာလဲဆိုရင်တော့ မြို့ထဲက ပြည်သူပြည်သားတွေ၊ အဖိုးတန်ပစ္စည်း၊ အဆောက်အအုံတွေ ဆိုပါစို့။ အဲဒါတွေဟာ အဲဒီမြို့ရိုးရဲ့ အတွင်းဖက်မှာ ရှိတာပါ။ အဲဒီလိုပဲ Firewall မှာ အတွင်းဖက် Network ကို Trust Network/ Inside Network လို့ခေါ်ပါတယ်။ ဒါဆိုအပြင်က Untrust Network/ Outside Network ပေါ့။ Firewall က အဲဒီ Network အချင်းချင်းဖြတ်သွားနေတဲ့ Network Traffic ကိုစောင့်ကြည့်နေပြီး၊ စိတ်ချရတဲ့ ခွင့်ပြုထားတဲ့ Traffic တွေပေးသွား၊ စိတ်မချရတဲ့ ဘယ်ကမှန်းမသိတဲ့ Traffic တွေကိုတော့ပိတ်ပေးတဲ့အလုပ်ကိုလုပ်ပါတယ်။ ဒါကို ဘာတွေကလုပ်ပေးလဲ၊ ဘာတွေကိုကြည့်ပြီးလုပ်ပေးလဲဆိုရင်တော့ Firewall Policy/ Rules ကိုကြည့်ပြီးဆုံးဖြတ်ပေးပါတာဖြစ်ပါတယ်။ မြို့ရိုးကြီးတွေမှာ စောင့်နေတဲ့ အစောင့်တွေဟာ အထက်ကညွှန်ကြားတဲ့ စီမံချက်တွေ၊ သွားလာခွင့်ပြုထားတဲ့ စာရင်းတွေကို ကြည့်ပြီး ဝင်ထွက်သွားလာခွင့်ကို စောင့်ကြည့်ထိန်းချုပ်နေတဲ့ ပုံစံမျိုးနဲ့တူပါတယ်။

နောက်တူသေးတာကတော့ အတွင်းကသူတွေ အပြင်သွားရင် သိပ်ပြီးစီစစ်လေ့ မရှိပြီး အပြင်က ဝင်လာတဲ့သူတွေကို ပိုပြီးစစ်ဆေးလေ့ရှိပါတယ်။ အလားတူပဲ Firewall မှာ အတွင်းက အပြင်သွားရင် ( Trust Network ကနေ Untrust Network ) Firewall အတော်များများမှာ ပေးသွားထားပါတယ်။ Default Allow ပါ။ အပြင်က ဝင်လာတဲ့ Traffic တွေကတော့ အကုန်လုံးကို အရင်ပိတ်ထားပြီး Policy/ Rule ထည့်ပေးမှာသာ ပေးဖြတ်ခွင့်ပြုပါတယ်။ ဒါပေမယ့် Firewall ဆိုတာ အပြင်ကလာတဲ့ Traffic တွေကိုသာ ပိတ်ပြီး စစ်ဆေးတာမဟုတ်ပါဘူး၊ အတွင်းက မသုံးစေချင်တဲ့ Application တွေ၊ နေရာတွေကိုလဲ ပိ်တ်ထားပြီး ခွင့်ပြုထားတဲ့ အရာတွေကိုသာ ပေးသုံးလေ့လဲရှိပါတယ်။ ဒါကတော့ Porn site တွေကြည့်တာ၊ Crack site တွေကနေ P2P Download တွေပိတ်တာမျိုးပေါ့။ အပြင်မှာဆိုရင်လဲ ခွင့်ပြုထားတာ မဟုတ်တဲ့ ပစ္စည်းတွေအပြင်ကိုယူသွားတာမျိုးကိုခွင့်မပြုတာ၊ ညအချိန်မတော် အပြင်ပေးမထွက်တော့တာမျိုးပါ။ ဒီတော့ Firewall လို့ဆိုလိုက်ရင် အပြင်ကအရာတွေကိုပိတ်ဆို့ဖို့သာလို့ မြင်မနေပဲ Network Segment တစ်ခုကနေတစ်ခုကိုသွားတဲ့ အခါမှာ ထိန်းချုပ်စောင့်ကြည့်ပေးတာလို့မြင်ရင် ပိုပြီးပြည့်စုံပါလိမ့်မယ်။

Firewall တွေကို Packet Filter ကနေစခဲ့တာဖြစ်ပါတယ်။ အဝင်အထွက် Packet မှန်သမျှကို စစ်တဲ့ပုံစံပါ။ အတွင်းကနေ အပြင်သွားတာပဲဖြစ်ဖြစ် အပြင်ကပြန်လာတဲ့ဖြစ်ဖြစ်အကုန်စစ်ပါတယ်။ အတွင်းကနေအပြင်ထွက်သွားပြီး Retrun traffic လို့ခေါ်တဲ့ တဖက်ကပြန်လာတဲ့ Traffic အတွက်လဲ Policy/Rule နဲ့ခွင့်ပြုထားမှသာ ပြန်လာလို့ရပါတယ်။ Firewall ရဲ့ Interface တိုင်းမှာ Policy/Rule ထားပေးရပါတယ်။ အဲဒီကမှ တဆင့် Packet Filter Firewall ကနေ Stateful Firewall တွေထွင်လာကြပါတယ်။ ဘာကွာသွားသလဲဆိုရင်တော့ Firewall ကနေ ဖြတ်သွားတဲ့ Traffic Flows (TCP/UDP Flows) တွေကို State/Session တွေအဖြစ်မှတ်ထားတာဖြစ်ပါတယ်။ ဒီတော့ အခုနကပြောခဲ့တဲ့ အခြေနေမျိုးမှာ အတွင်းကထွက်သွားတဲ့ Traffic ရဲ့ Retrun Traffic က အတွင်းကိုပြန်ဝင်ရောက်ဖို့ရာအတွက် Rule/ Policy မလိုတော့ပါဘူး။ Firewall က အဲဒီ Session ကိုမှတ်ထားပြီး ပြန်လာတဲ့ Traffic ကိုမှတ်ထားတဲ့ State ကိုကြည့်ပြီး ခွင့်ပြုတဲ့ပုံစံမျိုးပါ။ အပြင်မှာဆိုရင်လဲ အတွင်းကထွက်သွားတဲ့သူကို မှတ်ထားပြီး သူပြန်လာတဲ့အခါ အစစ်အဆေးမရှိတော့ပဲ ပြန်ဝင်ခွင့်ပြုလေ့ရှိပါတယ်။ Stateful Firewall တွေပေါ်လာတာဟာ Redudnacy အတွက်လည်းပိုကောင်းလာပါတယ်။ Firewall နှစ်လုံးအသုံးပြုတဲ့အခါမှာ Active FW ကနေ Standy FW ကိုပြောင်းတဲ့အခါမှာ လက်ရှိသွားနေတဲ့ State တွေကို Standby FW ကပါသိနေပြီး Session ပြတ်မသွားပဲ Traffic flow ဟာဆက်ပြီး သွားနေနိင်ခြင်းဖြစ်ပါတယ်။

ဒါပေမယ့် Stateful Firewall တွေဟာ Layer4 အထိသာလုပ်ဆောင်နိုင်တဲ့အတွက် နောက်ပိုင်းပေါ်လာတဲ့ Attack တွေထိန်းချုပ်ဖို့ခက်ခဲလာပါတယ်။ Firewall တွေအနေနဲ့ Application တွေနားလည်နုင်ဖို့လိုအပ်လာတာကြောင့် Application Filter Firewall တွေပေါ်လာပါတယ်။ ဒီတော့ TCP/UDP Flow တွေသာမကပဲ Application Level အထိပါထိန်းချုပ်လာနိုင်ပါတယ်။ အခုချိန်ထိအသုံးများဆုံး Firewall တွေဟာ Application Filter Firewall တွေပါ။ ဒါပေမယ့် နည်းပညာတွေမြင့်လာတဲ့အခါမှာ Firewall တွေဟာ ဒီလောက်နဲ့တင် ရပ်နေလို့မရတော့ပဲ အလုပ်ပိုလုပ်ရပြီး တခြားဟာတွေပါအကုန်လိုက်လုပ်ရပါတယ်။ Application တွေကိုစစ်တဲ့အခါမှာလည်း Attack Signature တွေကိုပါနားလည်ဖို့လိုအပ်လာသလို၊ Operations ပိုင်းအရလည်း IT Admin တွေရဲ့လိုအပ်ချက်တွေ ဖြည့်ဆည်းပေးဖို့အတွက် Directroy service တွေနဲ့ပေါင်းစပ်မှုတွေ၊ Dynamic URL Filtering တွေ၊ Encrypted Traffic တွေအထိဖွင့်ကြည့်နိုင်ဖို့အတွက်တွေ စတဲ့လုပ်ဆောင်မှုတွေကိုပါလုပ်ကြရပါတယ်။ ဒါတွေကို လုပ်ဆောင်ပေးနိုင်တဲ့ Firewall တွေကိုတော့ Next Generation Firewall တွေလို့ခေါ်ကြပါတယ်။ Enterprise တွေမှာတော့ Application Filter Firewall တွေကို Next Generation Firewall တွေနဲ့ ပြောင်းလဲပြီး အသုံးပြုနေကြပြီးဖြစ်ပါတယ်။

အခုလောက်ဆိုရင် Firewall ဆိုတာဘာလဲဆိုတာ အခြေခံလောက်တော့ သိနိုင်မယ်လို့ယူဆပါတယ်။ စာရှည်နေပြီဖြစ်လို့နောက်မှ ခွဲပြီးထပ်ရေးပါအုံးမယ်။

ကိုဖြိုး

Router on a stick

CCNA/NP လေ့လာနေသူတစ်ယောက်အတွက် Router on a stick ဆိုတာကိုသိထားသင့်ပါတယ်။ Configuration ပိုင်းအရလဲ လွယ်ကူပြီး လက်တွေ့မှာလဲ အသုံးဝင်တဲ့အတွက် ပေါ်ပြူလာဖြစ်တဲ့ Setup တစ်ခုလဲဖြစ်ပါတယ်။ Small Office Setup တွေမှာ အသုံးအများဆုံးပါ။ ဒီဟာကို အသုံးပြုဖို့အတွက် ဘာတွေသိထားသင့်သလဲဆိုတာ လေ့လာကြည့်ရအောင်။

အရင်ဆုံး VLAN ဆိုတာကို နားလည်ထားရပါမယ်။ Router on a stick ရဲ့အဓိကလုပ်ဆောင်ပေးတာက VLAN တွေကိုဆက်သွယ်ပေးတာဖြစ်ပါတယ်။ Inter Vlan Routing ဆိုပါတော့။ VLAN တွေခွဲထားပြီးပြီဆိုရင် အဲဒီ VLAN တွေ တစ်ဖက်နဲ့တစ်ဖက် ဆက်သွယ်ဖို့ရာအတွက် Layer 3 Interface လိုအပ်ပါတယ်။ ပုံမှန်ဆိုရင် VLAN  တစ်ခုစီရဲ့ Layer 3 Interface နဲ့ Physical port တွေကိုချိတ်ဆက်ရပါတယ်။ ဥပမာ VLAN ၃ခုအတွက်ဆိုရင် Physical Port ၃ခုလိုပါတယ်။ Router on a stick ကအဲဒီ Physical port ၃ခုအစား Port တစ်ခုကိုပဲ အသုံးပြုလိုက်ပါတယ်။ ဒါကြောင့် သူကို One-armed Router setup လို့လဲခေါ်ပါတယ်။ Physical port တစ်ခုရဲ့အောက်မှာ လိုအပ်သလောက် Sub-Interfaces တွေကို ခွဲပြီး သုံးလိုက်တာဖြစ်ပါတယ်။

ဒါဆို Router နဲ့ Switch ကြားမှာ ဘယ်လိုချိတ်ဆက်ရမလဲဆိုရင်တော့ Trunk အနေနဲ့ ချိတ်ရမှာဖြစ်ပါတယ်။ ဒီတော့ Trunk ဆိုတာနဲ့ 802.1Q အကြောင်းကို နားလည်းထားရပါမယ်။ ဒါမှသာ Sub-Interfaces တွေမှာသုံးတဲ့ encapsulation ဆိုတဲ့ Command နဲ့ အနောက်ကတွဲသုံးမဲ့ VLAN ID တွေရဲ့ အကြောင်းကို နားလည်မှာဖြစ်ပါတယ်။ Router on a stick setup မှာပါဝင်မဲ့ ပစ္စည်းအနေနဲ့ Router တစ်လုံး၊ Switch တစ်လုံးပါပဲ။ Switch တစ်ခုထက်ပိုလာရင်လဲ အဲဒီနောက်ထက်ချိတ်ဆက်လာမဲ့ Switch ဟာ အရင်ရှိပြီးသား Switch ကို Trunk အနေနဲ့ လာပြီးချိတ်ဆက်ရမှာဖြစ်ပါတယ်။ Router ကိုသွားချိတ်ဆက်စရာမလိုပါဘူး။ ချိတ်ဆက်လို့လဲမရပါဘူး။ ဘာဖြစ်လို့လဲဆိုရင် Router မှာ ရှိတဲ့ Interface တစ်ခုစီဟာ မတူညီတဲ့ Network အောက်မှာပဲရှိရပါတယ်။ Interfaces တွေကို Network တစ်ခုထဲအောက်မှာ အသုံးပြုချင်ရင် Bridge Group နဲ့တွဲသုံးရပါတယ်။

ဒီနေရာမှာ Router ကဘယ်လိုအလုပ်လုပ်လဲ၊ Routing ဆိုတာဘာလဲသိဖို့လိုလာပြန်ရော။ ဒီ VLAN တွေ Inter VLAN Routing လုပ်ဖို့ Routing ရေးဖို့လိုအပ်သလား၊ Dynamic Routing protocol တွေကို အသုံးပြုဖို့လိုသလားဆိုရင်တော့ မလိုအပ်ဘူးလို့ပြောရပါမယ်။ အဲဒီ Sub-Interfaces တွေဟာ Connected Routes တွေအနေနဲ့ ရှိနေမှာဖြစ်ပြီး Router ဟာ သူရဲ့ တိုက်ရိုက်ချိတ်ဆက်ထားတဲ့ Network တွေကို ဘယ်လိုသွားရမလဲဆိုတာ သိပါတယ်။ မေးစရာ ရှိလာတာက ဒီအလုပ်ဟာ Layer 3 Switch လဲ လုပ်လို့ရတာပဲ၊ အပေါ်က Router သုံးစရာလိုသေးလို့လားဆိုခဲ့ရင် YES and NO လို့ပဲဖြေရမှာပါ။ Inter VLAN Routing သီးသန့်အတွက်သုံးမယ်ဆိုရင်တော့ NO ပါ၊ Router ထပ်သုံးနေစရာမလိုပါဘူး။ ဒါပေမယ့် တကယ့်အပြင်မှာ Inter VLAN Routing ပဲသီးသန့်သုံးတာမဟုတ်ပဲ UPlink လို့ခေါ်ကြတဲ့ Internet Port/ Intranet(WAN) Port တွေကိုပါချိတ်ဆက်ပြီးသုံးလေ့ရှိပါတယ်။ ဒါမှာသာ အဲဒီNetwork သာ တခြားNetwork တွေကို သွားနိုင်မှာပါ။ ဒီလိုအခြေအနေမျိုးအတွက်ဆိုရင်တော့ YES ပါ။ ဥပမာ Internet ကိုချိတ်ဆက်ဖို့အတွက် NAT အသုံးပြုရတော့မယ်ဆိုပါစို့။ L3 Switch ဟာ NAT မလုပ်ပေးနိုင်ပါဘူး။

Configuration ပိုင်းအရကြည့်ရင် Switch မှာ VLAN ခွဲ၊ Trunk Port လုပ်၊ Router မှာ Sub-Interfaces တွေခွဲ၊ IP ပေးပြီး Switch ရဲ့ Trunk port ကိုချိတ်လိုက်ရင်ပြီးသွားပါပြီ။ ဒါပေမယ့် သူအသုံးပြုသွားတဲ့ နည်းပညာတွေကို ဆက်စပ်ပြီးလေ့လာမယ်ဆိုရင် စိတ်ဝင်စားဖို့ကောင်းတာကိုတွေ့ရပါလိမ့်မယ်။ ဒီလင့်ထဲမှာ အဲဒီ Configuration ကို စိတ်ရှည်လက်ရှည်နဲ့ ရှင်းပြထားတာတွေ့ပါတယ်။

https://learningnetwork.cisco.com/docs/DOC-23481





ကိုဖြိုး

ISSU

IOS Upgrade လုပ်ကြမယ်လို့ဆိုလိုက်တိုင်း ခေါင်းခဲရတာကတော့ Operations ဖက်မှာ အလုပ်လုပ်တဲ့ Network Admin တွေပေါ့။ အထူးသဖြင့် Core Router/Switch လိုမျိုးအဓိကကျတဲ့ နေရာမျိုး။ မပြောင်းခင် ပြင်ဆင်ရတာက တစ်မျိုး၊ ပြောင်းမဲ့အချိန် Maintenance Window နဲ့ သက်ဆိုင်တဲ့လူတွေနဲ့ ညှိရတာတစ်မျိုး၊ စီစဉ်ရတာမလွယ်ဘူး။ ပြီးတော့ ပြောင်းပြီးတဲ့အခါ အဆင်မပြေလို့ ပြန်ပြောင်းရတဲ့ (Fall-back) ကိစ္စတွေကရှိသေးတယ်။ ပြောရမယ်ဆိုရင် လွယ်တယ်လို့ထင်ရတဲ့ အလုပ်ပေမဲ့ တစ်ကယ်တမ်းကြတော့ သိပ်မလွယ်ပါဘူး။ နောက်တစ်ခုက ကြာချိန်ပေါ့ Down time ကနဲနိင်သမျှနဲမှရမှာ၊ Customer တွေကတော့ Down-time ဆို မရှိရင်အကောင်းဆုံးပဲလို့ပဲ သတ်မှတ်မှာပဲ။ ဒီတော့ Maintenance Window နဲ့ Downtime ကို အနဲဆုံးရအောင်စီစဉ်ရပါတယ်။ ဒါကြောင့်လဲ Redundancy တွေ၊ HA တွေ၊ Active-Passive တွေ စသဖြင့် အသုံးပြုရတာပေါ့။

အဲဒါတွေအပြင် ISSU လို့ခေါ်တဲ့ In-Service Software Upgrade က IOS Upgrade လုပ်တဲ့အချိန်မှာ Downtime အနဲဆုံးဖြစ်အောင်၊ မရှိအောင် router/switch တွေကို Reboot လုပ်စရာမလိုပဲ Upgrade လုပ်ပေးပါတယ်။ နည်းပညာလို့ဆိုတာထက် Procedure လို့ဆိုရင်ပိုမှန်ပါလိမ့်မယ်။ ဘာလို့လဲဆိုတော့ သူတကယ်အသုံးပြုသွားကတော့ NSF (Non-stop Forwarding) နဲ့ SSO (State-full Switch Over) ပါ၊ အဲဒါကို Redundant Route Processor ဒါမှမဟုတ် Redundant Supervisor Engine တို့နဲ့ တွဲသုံးထားတဲ့ Procedure ပါ။ မြင်သာအောင် ပြောရရင်တော့ Upgrade/Downgrade လုပ်နေတဲ့ အချိန်မှာ Packet forwarding ကိုမထိခိုက်စေတဲ့ လုပ်ဆောင်မှု ဆိုပါတော့။ Redundant RP/ Sup-Engine မရှိရင်တော့ မရပါဘူး၊ ဒါကိုကြည့်ရင် Router/switch အသေးလေးတွေမှာ မရဘူးဆိုတဲ့သဘောပါ။ အဓိက နေရတွေမှာ အသုံးပြုတဲ့ Modular Core Router/ Core Switch တွေမှသာ အသုံးပြုလို့ရနိုင်ပါလိမ့်မယ်။

သူကဘာလုပ်ပေးလဲဆိုရင်တော့ အရင်ဆုံး အသုံးပြုမဲ့ IOS ကို Active ကော၊ Standby မှပါ ထည့်ထား၊ ပြီးရင် Standby မှာ အဲ့ဒီ IOS အသစ်ကို ပြောင်း၊ ပြောင်းပြီးရင် Active/Standby ကို Switch-over လုပ်၊ ဒီတော့ အရင် Active က Standby အဖြစ်ပြောင်းသွားပြီး Active အသစ်က IOS အသစ်နဲ့တက်လာမှာဖြစ်ပါတယ်။ နောက်တော့မှာ အရင် Active အဟောင်း(လက်ရှိ Standby ဖြစ်သွားတဲ့) ကို IOS အသစ်ပြောင်း လိုက်တာပါ။ ဒါများ ဘာဆန်းလို့လဲဆိုရင်တော့ အဲဒီလိုအပြောင်းအလဲလုပ်နေတဲ့ အချိန်အတွင်းမှာ Packet forwarding ကိုမထိခိုက်ပဲ Downtime/Outage ကိုနဲသွားစေတာပါပဲ၊ နောက်တစ်ခုကတော့ အဆင်မပြေလို့ပဲဖြစ်ဖြစ်၊ ဆက်မလုပ်ချင်တော့ပဲဖြစ်ဖြစ် တစ်ဝက်လောက်ကနေ Auto-Rollback ပြန်လုပ်နိုင်တာပါပဲ။ ပုံမှန်အတိုင်းလုပ်မယ်ဆိုရင် အဆင်မပြေမှ ပြန်ပြောင်းရင် နောက်ထပ် Reboot တစ်ကြိမ်အတွက် အချိန်ထပ်ပေးရမယ်၊ Module တွေများရင်များသလို ကြာချိန်ပိုလိမ့်မယ်။ နောက်တစ်ခုအနေနဲ RP/Sup-Engine ကတော့ ဟုတ်ပီ Line card/ Module ကောဆိုရင်တော့ MDR လို့ခေါ်တဲ့ Minimum Disruption Restart က Ports တွေကိုအတက်အကျ(Flapping) မဖြစ်စေပဲ အသစ်တက်လာတဲ့ IOS နဲ့ ကိုက်ညီအောင် Upgrade လုပ်ပေးသွားပါလိမ့်မယ်။

Command အနေနဲ့ သိပ်အခက်ခဲမရှိပဲ ကြည့်ပြီးလိုက်လုပ်ရင် အဆင်ပြေနိုင်ပါတယ်၊ အဓိက ကတော့ Planning ပါ။ သူ့ကိုအသုံးပြုဖို့ရာအတွက် လိုအပ်ချက်တွေဖြစ်တဲ့ Redundant RP/Sup-Engine တွေနဲ့ Active RP/Sup-Engine တွေရဲ့ သုံးထားတဲ့ IOS တူဖို့၊ အရင်အသုံးပြုထားတဲ့ IOS ဟာအသစ်အသုံးပြုမဲ့ IOS ကိုတိုက်ရိုက် Upgrade လုပ်လို့ရမရ၊ ပြီးရင် SSO mode စတာတွေကို အသေးစိတ်ပြင်ဆင်ထားဖို့လိုအပ်ပါတယ်။ သူ့ရဲ့ Process Flow ကို Cisco Documentation တွေမှာပြထားတဲ့ ပုံတွေကို ကြည့်ရင်ပိုပြီးရှင်းသွားပါလိမ့်မယ်။ ဒါကို အသုံးပြုချင်းအားဖြင့် Network Admin ရဲ့အားစိုက်ထုတ်ရမှုကတော့ လျော့သွားမှာ မဟုတ်ပါဘူး၊ ဒါပေမယ့် Maintenance Window အတွင်းမှာ ဖြစ်ပေါ်နိုင်တဲ့ ပြတ်တောက်မှု၊ Downtime ကိုနဲသွားစေပြီး၊ Fallback လုပ်ဖို့ လိုအပ်လာတဲ့ အခြေအနေမျိုးမှာ အချိန်ကို ပိုမိုပြီး အသုံးချလို့ရမှာဖြစ်ပါတယ်။

 

ကိုဖြိုး

IPJ

IPJ

A Quarterly Technical Publication for Internet and Intranet Professionals

IPJ ကိုမသိသေးသူတွေအတွက် အထင်ကရ ဂျာနယ်တစ်ခုဖြစ်တဲ့ IPJ နဲ့မိတ်ဆက်ပေးချင်ပါတယ်။ Cisco ကအရင်ထုတ်ဝေခဲ့တာဖြစ်ပြီး အင်တာနက်နည်းပညာများကို ရှုထောင့်စုံကနေ ရေးထားတဲ့ ဂျာနယ်တစ်ခုဖြစ်ပါတယ်။ Cisco ကထုတ်တာဆိုပေမယ့် သူ့ရဲ့ပစ္စည်းပိုင်းကိုကြော်ငြာတာမျိုးမဟုတ်ပဲ နည်းပညာသက်သက်ကိုသာ အလေးထားပြီးဆွေးနွေးထားတာဖြစ်ပါတယ်။ ဟိုးအရင်ကလုပ်ခဲ့တဲ့အလုပ်မှာ Printed copy ပုံမှန်ယူထားတဲ့အတွက် ၃လတစ်ကြိမ် ဖတ်ခဲ့ရပါတယ်။ ကျွန်တော်မှတ်မိသလောက်တော့ Online version ကိုမဖတ်ဖြစ်ခဲ့ပါဘူး၊ ကိုယ့်လက်ထဲ စာအုပ်ရနေတာကြောင့်လဲပါပါလိမ့်မယ်။ စာရွက်နဲ့ Online ဆိုရင်အခုချိန်ထိ စာရွက်၊ စာအုပ်နဲ့ဖတ်ရတာကိုပိုသဘောကြနေဆဲပါ။ နောက်ပိုင်းအလုပ်ပြောင်းသွားတော့ IPJ နဲ့ အလှမ်းဝေးသွားခဲ့ပါတယ်။ တစ်ခါလောက် သတိရလို့ ရှာကြည့်တော့ Cisco ကထပ်မထုတ်တော့ဘူးလို့သိရတယ်။ ဒီတော့လဲ ပြီးပြီပေါ့။

OCTOBER 2013: TO OUR READERS

At this time, Cisco Systems, Inc. has decided not to continue publishing The Internet Protocol Journal (IPJ) effective immediately.
Cisco wishes to thank Ole Jacobsen, the Editor and Publisher of IPJ for his tireless and professional efforts to inform the community of the Internet, its varied protocols, and its impact upon the world through this publication. Cisco also wishes to thank the authors of the published articles, and all those who submitted articles. A special note of thanks goes to the IPJ Editorial Advisory Board and the article reviewers who have helped to maintain the very high standards of journalistic and technical quality of IPJ.

တစ်နေ့က စာဖတ်ဖို့ရှာရင်းနဲ့ Google မှာ IPJ ဆိုတာသွားပြန်တွေ့တယ်။ ဒါနဲ့ သွားကြည့်တော့ Protocol Journal ဆိုပြီးရောက်သွားတယ်။ ဒီတခါတော့ Cisco တစ်ခုထဲမဟုတ်တော့ပဲ အဖွဲ့အစည်းအများစုရဲ့ ပံ့ပိုးမှုနဲ့ စက်တင်ဘာ ၂၀၁၄ မှာပြန်စပြီး ထုတ်နေပြန်တယ်လို့ဆိုတယ်။  ခုနောက်ဆုံးထုတ်ထားက ဒီဇင်ဘာ ၂၀၁၅ ဆိုတော့ကာ အခုလာမဲ့ မတ်လမှာ နောက်ထပ်တစ်စောင်ထွက်တော့မယ်။ နောက်ဆုံးထုတ်ထားတဲ့ စာစောင်မှာ IoT Network and Security Architecture အကြောင်းရေးထားတယ်။ သေချာတော့ မဖတ်ရသေးဘူး။ တခြားအဟောင်းတွေအားလုံးကိုလဲ စုပေါင်းပြီး download ပေးထားတဲ့အတွက် အချိန်ရတဲ့သူတွေအတွက်ကတော့ ပြန်ဖတ်ကြည့်လို့ရတာပေါ့။ သူ့အထဲကအကြာင်းအရာတွေက သိပ်ပြီးပေါ့ပေါ့ပါးပါးမရှိတဲ့အတွက်ကြောင့် တစ်ချို့အနေနဲ့ ဖတ်ရတာကြိုက်မှာမဟုတ်ပါဘူး၊ ကျွန်တော့လိုဖတ်နေရင်းနဲ့လဲ ငိုက်သွားနိုင်ပါတယ် ဒါပေမယ့် တစ်ချို့အကြောင်းအရာတွေဟာ စိတ်ဝင်စားဖို့ကောင်းပါတယ် (ဥပမာ Fog-Computing ဆိုတာမျိုး) တခါတလေမှာ ကိုယ်တခါမှ မကြားဖူး မမြင်ဖူးတဲ့ ကိစ္စတွေပါတဲ့ အတွက်ကြောင့် ဗဟုသုတအနေနဲ့ ဖတ်ကြည့်သင့်တဲ့ ဂျာနယ်တစ်စောင်ဖြစ်ကြောင်းဝေမျှလိုက်ပါတယ်။

http://protocoljournal.org/


ကိုဖြိုး

WireShark

Network Admin တစ်ယောက်ဖြစ်လာပြီဆိုရင် တစ်ချိန်မဟုတ်တစ်ချိန် ကြုံတွေ့ရမှာကတော့ Application Layer issue တွေပါပဲ။ အထူးသဖြင့် Network Operation ပိုင်းမှာ အလုပ်လုပ်သူအများစုပေါ့။ Implementation သမားတွေကြတော့ တပ်ဆင်ပြီးသွားရင် သူတို့အပိုင်းကပြီးပြီလေ။ နေ့စဉ်အသုံးပြုတဲ့ ကိစ္စတွေ၊ User/Customer တွေနေ့တိုင်းအသုံးပြုရာမှာ ကြုံတွေ့လာမဲ့ အခက်အခဲတွေ၊ အဆင်မပြေဖြစ်တာတွေကြတော့ Operation ဖက်ကသူတွေက ပိုပြီးဖြေရှင်းပေးရလေ့ရှိပါတယ်။ ဥပမာအားဖြင့် Application နှေးနေတာတို့၊ ဖိုင်ကူးနေရင်းပြတ်သွားတာတို့၊ (Intermittent) ရလိုက်မရလိုက်ဖြစ်နေတာတို့ စသဖြင့်ပေါ့။ ဒါမျိုးတွေဖြစ်လာပြီဆိုရင် Router/Switch တွေက Show command တွေသုံးရုံနဲ့ အဖြေရှာဖို့သိပ်မလွယ်တော့ဘူး။ တခြားအကူအညီတွေလိုလာပြီ။ Application/ Protocol Level အထိလိုက်ကြည့်ရတော့မှာ။ ဒီလိုနေရာမှာ Protocol Analyzer ဆိုတာကို အသုံးပြုမှသာ ဘယ်မှာဘာဖြစ်နေတယ်ဆိုတာကို TCP/UDP flows တွေကိုလိုက်ကြည့်ရင်းနဲ့ အဖြေထုတ်ရတော့မှာဖြစ်ပါတယ်။

အခုလိုကိစ္စတွေ အတွက်သိထားသင့်တဲ့ Tools တစ်ခုကတော့ WireShark ပါ။ အရင်က Etherreal အနေနဲ့ လူသိများခဲ့ပြီး နောက်ပိုင်းမှာ WireShark ဆိုပြီးပြောင်းသွားပါတယ်။ နာမည်ပြောင်းသွားသလို လုပ်ဆောင်မှုတွေလည်းပိုပြီးကောင်းလာပါတယ်။ ကျွန်တော့သူငယ်ချင်းတစ်ယောက်ပြောသလို ပြန်ပြောရရင် ငါးလေးတွေ ငါးကန်ထဲမှာကူးခတ်နေတာကို မြင်နေရသလို Data တွေ Wire အထဲမှာ ဘယ်လိုသွားနေသလဲဆိုတာကို မြင်နိင်ပါတယ်။ WireShark နဲ့တွဲပြီးပါလာတာကတော့ Winpcap ပါ၊ တွဲပါလာတယ်ဆိုတာထက် အဲဒါပါမှသုံးလို့ရတာဖြစ်ပါတယ်။ Hardware level အထိဆင်းသုံးဖို့လိုအပ်တဲ့ libraries Set တွေပါ။ အဲဒါကိုထုတ်တဲ့အဖွဲ့အစည်းက Cacetech ပါ။ ဒါပေမယ့် သူ့ကိုအခုနာမည်ကြီး တစ်ခုဖြစ်တဲ့ Riverbed ကဝယ်ထားပါတယ်။ Wireshark ကိုအခုအဓိက အထောက်အပံ့ပေးနေတာလဲ Riverbed ပါပဲ။ Riverbed product တွေရဲ့ အားသာချက်ဖြစ်တဲ့ Application level control တွေဟာ အရမ်းကောင်းပါတယ်။ Report တွေဆိုရင်လည်း ခုနကပြောသလိုငါးဘယ်နှစ်ကောင် ကန်ထဲမှာရှိလဲ ဘယ်အရောင်ကဘယ်နှစ်မျိုးဆိုတာမျိုးကို ပြောနိုင်လောက်တဲ့အထိ Application တွေကိုပြောပြနိင်ပါတယ်။ CACE ရဲ့နည်းပညာအထောက်အကူကြောင့်လို့ဆိုရင်လဲ မမှားပါဘူး။ ကျွန်တော့်အထင်သက်သက်ပါ။

Wireshark အတွက် OS platform အမျိုးမျိုးရှိပါတယ်။ ကိုယ်တိုင်အနေနဲ့တော့ Linux ပေါ်မှာ Ethereal အနေနဲ့သုံးခဲ့ဖူးပြီး၊ Wireshark အနေနဲ့ကတော့ Windows ပေါ်မှာပဲ သုံးဖြစ်ပါတယ်။ Application Install လုပ်ပြီးတာနဲ့ တန်းသုံးလို့ရပါပြီ။ Default အနေနဲ့ အသုံးပြုရတာတော့ အခက်အခဲသိပ်မရှိပဲ တခြား Filter တွေဘာတွေသုံးမှသာ သေချာလေ့လာဖို့လိုပါတယ်။ သူ့အနေနဲ့ ပြဿနာကိုဖြေရှင်းပေးတာမဟုတ်ပဲ Network အထဲမှာဘာတွေဖြစ်နေတယ်ဆိုပဲဖော်ပြပေးပါမှာပါ။ ကျန်တာက Network Admin ရဲ့အပိုင်းပါ။ Admin ရဲ့ Network Knowledge ရှိသလောက် အထောက်အကူဖြစ်ပါတယ်။ ငါးအလှမွေးဆိုင်က ရောင်းတဲ့သူတစ်ယောက်လိုပေါ့ ကန်ထဲမှာ ငါးပေါင်းစုံရှိနေတဲ့ အထဲက ဘယ်ငါးကဘာအမျိုးအစား ဘယ်လောက်တန် တန်းသိနေသလိုပေါ့။ မကျွမ်းကျင်တဲ့ သူအဖို့တော့ ငါးတွေမြင်နေရပေမယ့်လည်း ဆိုတေးဆိုတာဘာရောင်မှန်းမသိ၊ ရွှေငါးလား ပုလဲငါးလား မသိလိုဖြစ်နေမှာ။ ဒီတော့ TCP/UDP Flows တွေ တွေ့နေပေမယ့် TCP Hand shake လောက်ကို Trace မလိုက်နိုင်ရင် ဘာဖြစ်နေလဲဆိုတာ သိဖို့မလွယ်ပါဘူး။ Telnet application အလုပ်လုပ်တဲ့အခါ Client နဲ့ Server ဘယ်လိုစကားပြောလဲဆိုတာမျိုး၊ DHCP client တွေဘယ်လိုပုံစံမျိုးနဲ့ IP address တောင်းဆိုကြသလဲ စတာတွေကို Wireshark သုံးပြီးကြည့်လိုက်ရင် သီအိုရီတွေဖတ်တုန်းကနားမလည်တွေတောင် ပြန်ပြီးရှင်းသွားပါလိမ့်မယ်။

ဟုတ်ပီ။ ညွှန်းတာတွေတော့များနေပြီ ဘယ်လိုကြည့်ရမလဲလုပ်အုံးဆိုရင်တော့ ကိုယ့်ရဲ့ PC NIC ကို promiscuous mode ကိုရွေးလိုက်ပြီး Capture လို့လုပ်လိုက်တာနဲ့ စတွေ့ရမှာပါ။ ဒါပေမဲ့ ကိုယ့်ရဲ့ NIC ကမြင်ရတဲ့ Data တွေကိုသာမြင်ရမှာဖြစ်ပါတယ်။ Network အတွင်းကတခြားဟာတွေမြင်ချင်ရင်တော့ Switch မှာ ကိုယ်ကြည့်ချင်တဲ့ Source port ကိုရွေး၊ Mirror port/ SPAN port စတာတွေလုပ်ပြီးကိုယ့် NIC ကို Destination port မှထားသုံးလိုက်ရင်ရပါပြီ။ ဒီနေရာမှာ ဆက်စပ်ပြီးလေ့လာရမှာ၊ လေ့လာခဲ့ဖူးတာတွေကို ပေါင်းစပ်ပစ်ရတော့မှာ။ အရင်က SPAN အကြောင်းလေ့လာတုန်းက Source port Destination port ဆိုပြီးသိခဲ့တယ်။ အခုအဲ့ဒါကို အသုံးပြုတာက Wireshark လို Protocol Analyzer/ Packet sniffer တွေပါပဲ။ ဒါသုံးဖို့တော့ ဘာမှထွေထွေထူးထူးမလိုပါဘူး။ အခုပဲ Download လုပ် Install လုပ်ပြီး ကိုယ့် PC/Laptop က NIC မှာဘာတွေမြင်ရသလဲဆိုတာတာ ကြည့်လိုက်ကြပါစို့။ SPAN ဆိုတာဘာလဲသိချင်ရင်တော့ ကျွန်တော့အရင်ပို့စ် အဟောင်းတွေမှာ ပြန်ရှာဖတ်ကြည့်နိုင်ပါတယ်။ 



ကိုဖြိုး

VSS Dual-Active

VSS အကြောင်းပြောရင် Dual-active ကိစ္စကိုထည့်ပြောဖို့လိုအပ်ပါတယ်။ Dual-active detection configuration မပါတဲ့ VSS Setup ဟာတစ်နေ့တစ်ချိန်မှာ ပြဿနာအကြီးကြီးဖြစ်ပေါ်အောင် ဖန်တီးထားသလိုနဲ့တူပါလိမ့်မယ်။ VSS ပြုလုပ်ပြီးတဲ့အချိန်မှာလည်း အဲဒီ Dual-active detection ဟာ တကယ်အလုပ်ဖြစ်မဖြစ် စမ်းသပ်ကြည့်ဖို့လိုပါတယ်။ ဒါမှသာ ပြဿနာဖြစ်လာရင် ကိုယ်တွက်ချက်မှန်းဆထားတဲ့အတိုင်း ဖြစ်လာမှာပါ။ ဒီတော့ Dual-Active ဆိုတာဘာလဲ ဘာကြောင့်ဖြစ်ရလဲဆိုတဲ့ ကိစ္စကို အရင်သိထားမှဖြစ်မယ်။ VSS ဟာ Catalyat Switch နှစ်လုံးကိုပေါင်းစပ်ထားတဲ့ Virtual System ဖြစ်ပြီး Control ပိုင်းကိုတစ်လုံးက Active အနေနဲ့ ထိန်းချုပ်ပြီး Switch နှစ်ခုစလုံးက Line Card တွေကိုအသုံးပြုတာဖြစ်တဲ့အတွက် ဘယ်သူက Active Control လဲဆိုတာ အဓိကပါ။ Line card တွေအနေနဲ့တော့ အကုန်လုံး Active ပါပဲ။ ဒီနေရာမှာ VSL ကအသက်ပါ။ VSL ပြတ်သွားရင် အရင်စီစဉ်ထားတဲ့ အတိုင်း ဘယ်သူက Active ဘယ်သူက Standby အနေနဲ့ ရှိမနေတော့ပဲ နှစ်လုံးစလုံးက Active Control ဖြစ်လာပြီး ကျန်တဲ့ Stanby ပျောက်သွားတယ်ဆိုပြီး ယူဆမှပါ။ သူတို့အနေနဲ့တော့ ဘာမှမဖြစ်ပေမယ့် အောက်ကချိတ်ဆက်ထားတဲ့ Router တွေ၊ Switch တွေ၊ Server တွေအဖို့ကတော့ ပြဿနာဖြစ်လာပါပြီ။

အဲဒီလိုအချိန်မျိုးမှာ သူတို့ကိုပြန်ပြီး အသိပေးဖို့အတွက် Dual-active detection ကိုအသုံးပြုရပါတယ်။ Network ထဲမှာ ဆရာနှစ်ယောက်ဖြစ်နေပြီ၊ ကျန်တဲ့သူတွေ ဘယ်သူ့ဆရာခေါ်ရမလဲ မသိတော့ဘူး တစ်ခုခုတော့လုပ်အုံးဆိုပြီး ပြောပေးရပါတယ်။ ဒါပေမယ့် သူရဲ့သဘာဝအရ Standby အနေနဲ့ နေလာတဲ့သူက Active အဖြစ်ဆုပ်ကိုင်ထားပါတယ်။ သူ့ဖက်ကကြည့်ရင် ပထမ ဆရာလုပ်တဲ့သူကတော့ ပြန်တက်လာပြီ ဒါပေမယ့် Network တည်ငြိမ်ရေးအတွက် ငါ့မှာတာဝန်ရှိတယ် Standby အနေနဲ့ ပြန်မဆင်းပေးနိုင်ဘူးပေါ့။ အရင် Active အဖြစ်နေလာတဲ့ သူကတော့ ကြားက VSL ပယောကကြောင့် ငါတော့ ခံလိုက်ရပြီ ပြန်လည်နေရာယူဖို့ချက်ချင်းတော့မဖြစ်သေးဘူးဆိုပြီး Recovery mode ကိုပြောင်းလိုက်ပါတယ်။ အခြေအနေကောင်းပြီဆိုမှ ကိုယ်တိုင် Reboot လုပ်လိုက်ပြီး ပြန်လည်ဝင်ရောက်ဖို့ကြိုးစားရပါတယ်။ ဒါပေမယ့် သူ့အနေနဲ့ Standby mode ကိုသာ ပြန်ရရှိနိုင်ပါတယ်။ လက်ရှိ Active ယူထားတဲ့ သူကလည်း Network တည်ငြိမ်ရေး အကြောင်းပြပြီး Priority အနိမ့်အမြင့်တွေရေးထားပေမယ့် ဂရုမစိုက်ပဲ Active အနေနဲ့သာ ဆက်ယူထားပါတယ်။

ဒီအချိန်မှာ အရင်က ဆရာလုပ်ခဲ့တဲ့သူက Active ပြန်ဖြစ်ဖို့ရာအတွက် အနုနည်းပဲသုံးရပါတယ်။ လက်ရှိ Active ဖြစ်နေတဲ့သူကို ပြေပြေလည်လည် လွှဲပြောင်းပေဖို့ အကူအညီတောင်းရပါတယ်။ ဘာလို့လဲဆိုတော့ Standby conole ကနေဘာမှလုပ်လို့မရလို့ပါ။ လက်ရှိ Active console ကိုင်ထားတဲ့သူကသာ Command တွေသုံးလို့ရတာပါ။ ဒါမှမဟုတ် အကြမ်းနည်းနဲ့ VSL ဆွဲဖြုတ်၊ Power ဆွဲပိတ်လုပ်ရင်တော့ ရတာပေါ့၊ ဒါပေမယ့် ခံရမဲ့သူတွေက ကိုယ်တိုင်မဟုတ်ပဲ အောက်က ကိုယ့်ကိုချိတ်ဆက်ထားတဲ့သူတွေဖြစ်တဲ့ အတွက် ရင်ကြားစေ့ရေးနဲ့သာ အသုံးပြုသင့်ပါတယ်။ လက်ရှိ Active ယူထားတဲ့သူကို Redundancy force-swithover ဆိုတဲ့ Command ကိုအသုံးပြုပြီး Active control ကိုပြန်ယူရပါတယ်။ ဆင်းပေးရတဲ့သူကလည်း Standby mode ကိုတန်းသွားလို့မရပါဘူး အရင်ဆုံး ကိုယ်တိုင် Reboot လုပ်ပြီးမှ Standby အဖြစ်ပြန်တက်လာတာပါ။ ဒီတော့ သူကိုချိတ်ထားတဲ့ Server တွေ၊ Switch တွေအနေနဲ့ Network ပြတ်တောက်တာ ခဏတော့ ခံလိုက်ရအုံးမှာပါ။ အခုလို ဟိုပြောင်းဒီပြောင်းဖြစ်တဲ့ ကိစ္စတွေအတွက် အကြမ်းအားဖြင့် ၈မိနစ်၊ ၉ မိနစ်ခန့် ကြာပါတယ်။ အဲဒီဖြစ်နေတဲ့ အချိန်အတွင်းမှာ နှစ်ဖက်စလုံးကို ချိတ်ထားခြင်း မရှိတဲ့ သူတွေအဖို့တော့ Network ပြတ်တောက်တာနဲ့ ကြုံရမှပါ။ ဒါကြောင့် အရင်ရေးဖူးသလိုပဲ Dual-home/Dual-link မရှိတဲ့ server/router တွေအဖို့ VSS ရဲ့ အသုံးဝင်မှုကို ခံစားရမှာ မဟုတ်ပါဘူး။ Network ဖက်မှာတောင် ပါဝါအပြောင်းအလဲလုပ်ရတာ မလွယ်ပါဘူး၊ အပြင်မှာဆိုရင်တော့ စဉ်းစားသာ ကြည့်ပေတော့။ 

ဒါတွေကို အပြင်ကစောင့်ကြည့်သူဖြစ်တဲ့ Network Admin တစ်ယောက်အနေနဲ့တော့ နှစ်လုံးစလုံးမှာ Console တတ်ထားပြီး ကြည့်ရတာ အတော်ကြည့်ကောင်းပါတယ်။ အရင်မှတ်ထားတဲ့ Logs တွေထဲက အရေးပါတဲ့ အကြောင်းအရာတွေကို အောက်မှာ ပြထားပေးပါတယ်။

Dual-Active PAGP detection Log

%VSLP-SW1-2-VSL_DOWN:   All VSL links went down while switch is in ACTIVE role
%DUAL_ACTIVE-SW1-1-DETECTION: PAGP running on Te1/4/5 detected dual-active condition:
%DUAL_ACTIVE-SW1-1-RECOVERY: Dual-active condition detected: Starting recovery-mode, all non-VSL and non-excluded interfaces have been shut down

Dual-Active Fast-Hello Detection Log

%VSLP-SW1-2-VSL_DOWN:   All VSL links went down while switch is in ACTIVE role
%DUAL_ACTIVE-SW1-1-DETECTION: Fast-hello running on Gi1/2/1 detected dual-active condition
%DUAL_ACTIVE-SW1-1-RECOVERY: Dual-active condition detected: Starting recovery-mode, all non-VSL and non-excluded interfaces have been shut down
After the dual-active detection, it rebooted and went into recovery-mode

SW1(recovery-mode)#

VSL recovered and switch reloaded and back into Standby mode

%DUAL_ACTIVE-SW1-1-VSL_RECOVERED: VSL has recovered during dual-active situation: Reloading switch 1
%RF-SW1-5-RF_RELOAD: Shelf reload. Reason: dual-active

%SYS-SW1-5-RELOAD: Reload requested by Delayed Reload. Reload Reason: dual-active
SW1-sdby>
Standby console disabled
To switch-over to another switch

SW2#redundancy force-switchover
This will reload the active unit and force switchover to standby[confirm]
Preparing for switchover..


ကိုဖြိုး