KoPhyoCCIE: 2017

Sunday 24 December 2017

၂၀၁၇ မှရှေ့သို့။

၂၀၁၇ ကတော့ ရက်အနည်းငယ် အတွင်းမှာ ကုန်ဆုံးတော့မှာဖြစ်ပါတယ်။ ကုန်သွားတာ မြန်တယ်လို့ထင်ရပေမဲ့ ဒီနှစ်အတွင်းမှာ ဖြစ်သွားခဲ့တဲ့ အဖြစ်အပျက်တွေကတော့ အတော်များပါတယ်။ သက်ရောက်မှု အများဆုံးကိစ္စတွေကတော့ Wannacry attack နဲ့ IoT industry တို့က အရှေ့ဆုံး ကနေပါဝင်ခဲ့တာတွေ့ရပါတယ်။ Wannacry ကြောင့် လုံခြုံရေးသမားတွေ အပါအဝင် အ်ိုင်တီသမားတွေ အတော်ပဲ အလုပ်ရှုပ်ခဲ့သလို IoT Devices တွေကြောင့် အိုင်တီသမားတွေသာ မက တခြား အလုပ်သမား တွေပါ အလုပ်ပြုတ်ခဲ့တာတွေ့ရပါတယ်။

IoT devices တွေရဲ့ လုပ်ဆောင်နိုင်မှု၊ အိုင်တီစနစ်တွေမှာ ပါဝင်လာမှုဟာ အရှိန်မြင့်လာတဲ့အတွက် အလုပ်နေရာ အတော်များများမှာ ကုန်ကျစရိတ် လျော့ချတဲ့အနေနဲ့ လူအင်အားအသုံးပြုမှုကို လျော့ချ လာပါတယ်။ ဥပမာ Supermarket တွေမှာ အရောင်းဝန်ထမ်း၊ ငွေကိုင် တွေအစား ကိုယ်တိုင် ငွေပေးချေတဲ့ စက်တွေနဲ့ အသုံးပြုမှု၊ လေဆိပ်မှာ ကိုယ်တိုင် Check in ဝင်တဲ့စနစ်တွေကြောင့် Ground staff တွေ သိပ်မလိုတော့တာတွေ၊ IoT devices တချို့ကြောင့် SOHO/SME တွေမှာ အိုင်တီဝန်ထမ်းတွေ သိပ်မလိုတော့တာတွေ၊ စတာတွေအပြင် နောက်ဆုံး အလိုအလျောက် ကြမ်းပြင်သန့်ရှင်းရေးလုပ်တဲ့ စက်ကလေးတွေကြောင့် တချို့ရုံးတွေမှာ သန့်ရှင်းရေး ဝန်ထမ်းတွေ အမြောက်အများ ထားစရာ မလိုလောက် တော့ အထိ သက်ရောက်မှု ရှိခဲ့ပါတယ်။

အိုင်တီသမားတွေကတော့ IoT အပြင် Cloud Computing ရဲ့ ရိုက်ခတ်မှုကိုပါ ထပ်မံခံစားရပါတယ်။ အကုန်လုံးကို မိုးပေါ်က Cloud ကိုသာ ထိုးပို့နေကြတော့တဲ့ အတွက် အိုင်တီနဲ့ ပက်သက်တဲ့ အလုပ်အကိုင်တွေ အတော်နည်းသွားတာကိုလည်းတွေ့ရပါတယ်။ In-house application တွေအစား Cloud based apps တွေနဲ့ subscription နဲ့ အသုံးပြုတဲ့ လပေး၊ နှစ်စဉ်ပေး စနစ်နဲ့ Capex ကို တတ်နိုင်သလောက် လျော့ချပြီး အသုံးပြုကြပါတယ်။ In-House data center တွေ၊ Co-location တွေအစား AWS/Azure တို့လို Cloud ပေါ်က Computing resource ကို ငှားသုံးလာကြပါတယ်။ ဒီတော့ Application ၊ Systems ၊ Network ရှိသမျှ Layer 1-7 မှာ အလုပ်လုပ်နေတဲ့ အိုင်တီသမား အားလုံး ထိခိုက် ကုန်ပါတယ်။ နည်းပညာ တိုးတက်မှု ကြောင့်ဆိုပေမဲ့ အဖွဲ့အစည်း အတော်အများများရဲ့ ရွေးချယ်မှုကတော့ ကုန်ကျစရိတ်၊ ငွေကြေးကြောင့်ပါ။ အဆုံးအဖြတ်ပေးရတဲ့ C-Level သမားတွေမှာ Financial Figure တွေနဲ့တွဲပြီး ဆုံးဖြတ်ရတဲ့ အတွက် Presentation slide တွေပေါ်က ကိန်းဂဏန်းတွေရဲ့ ကွာခြားမှုကို မလွန်ဆန်နိုင်တာ တွေ့ရပါတယ်။

ဒါတွေဟာ တကယ်ရော အသုံးဝင် အဆင်ပြေကြရဲ့လား ဆိုတာ အဲဒီအပြောင်းအလည်းထဲမှာ ပါဝင်တဲ့သူတွေက ပိုပြီးသိပါလိမ့်မယ်။ အဆင်ပြေတာတွေ ရှိသလို ပြဿနာတွေလည်း အများအပြားပါ။ IoT Devices တွေရဲ့ ဖြစ်သလိုလုပ်လာတဲ့ Firmware/application ကြောင့် ပြဿနာတွေတက်ခဲ့သလို၊ Cloud လို့ဆိုပြီး တကယ်တမ်းမှာ စာရွက်ပေါ်မှာ ရေးထားတဲ့ Cloud အစစ်ရဲ့ facility မရပဲ ရှေ့တိုးမရ၊ နောက်ဆုတ်မရနဲ့ Migration phase မှာပြဿနာတွေ တက်နေတာတွေလည်း ဒုနဲ့ဒေးပါ။ Cloud မှာအဆင်ပြေတာများတာကတော့ SaaS ပါ။ ဒီတော့ Cloud ဆိုတဲ့အတိုင်း အားလုံးအဆင်ပြေသွားမယ်လို့ တွက်ထားလို့မရပါဘူး။ သေသေချာချာ အိမ်စာလုပ်ပြီး စနစ် တကျ ပြောင်းမှာသာလျှင် အဆင်ပြေမှာပါ။ ကိုယ့်အဖွဲ့အစည်းအတွင်းမှာလည်း ရှေ့မှီ၊ နောက်မှီ နည်းပညာ အားလုံးကို နားလည်ထားတဲ့သူ ရှိဖို့လည်း လိုပါတယ်။ မဟုတ်ရင် Cloud Provider ဖက်က စကားလုံးအသစ်တွေနဲ့လာမဲ့ Pre-sales Engineer နဲ့ ကိုယ့်ဖက်က ခေါင်းမာတဲ့ Old school day Engineer တွေနဲ့တွေ့ရင် ပိုပြီး နှောင့်နှေးပါလိမ့်မယ်။

ဟာ…ဒါဆိုကျုပ်တို့က ဘာဆက်လုပ်ရမှာလဲ။ မေးလာနိုင်ကတော့ အခုမှ CCNA တက်ပြီး Networking လောကကို ဝင်လာမဲ့လူငယ်တစ်ယောက်။ အဖြေကတော့ ဆက်လုပ်ပါ။ IoT တွေ၊ Cloud တွေ အစားထိုးလာပေမဲ့ အဲဒါတွေဟာ Physical Backbone တွေမှာ မှီခိုနေရသေးတယ်ဆိုတာ အသိသာကြီးပါ။ Cloud Infrastructure ကို လုပ်ဆောင်တဲ့နေရာမှာလည်း Physical DC/ circuit တွေကကို ကိုင်တွယ်တဲ့ Back-end Engineer တွေ ရှိနေသေးတယ်ဆိုတာလည်း မမေ့စေလိုပါဘူး။ နောက်တခါ Internetworking မှာ အသုံးပြုတဲ့ Layers တွေ IP Addressing တွေ၊ Routing တွေဟာလည်း အသုံးဝင်နေဆဲပါ။ လုံး၀ပျောက်ကွယ်သွားတဲ့ နည်းပညာတွေ မဟုတ်ပါဘူး။ ဒီတော့ Cloud computing ပဲလုပ်မယ်၊ Systems/Network တွေ ဆက်ပြီး မလေ့လာတော့ဘူးဆိုတဲ့သူတွေဟာ Cloud Computing အကြောင်းကို သေသေချာချာ မလေ့လာရသေးတဲ့ သူတွေလို့ဆိုနိုင်ပါတယ်။ ဒီလိုပြောလို့ Traditional Network/Systems တွေဖက်ကလိုက်ပြောတာမဟုတ်ပါဘူး။ Systems/Network သမားတွေ အနေနဲ့ အခုသင်ယူနေတဲ့ CCNA/ MCSE တို့ဟာ အခြေခံဖြစ်သွားပါပြီ။ Special Skillets အဆင့်မှာ မရှိတော့ဘူးလို့ပြောလို့ရပါတယ်။ အဲဒီ အခြေခံတွေ အပေါ်ကနေ အခုခေတ်ပေါ် နည်းပညာတွေကို လိုက်လုပ်နိုင်မှသာလျင် ရှားပါးလာတဲ့ အလုပ်ခွင် တွေထဲမှာ ရှိနေတဲ့ သူတွေ၊ စက်တွေနဲ့ ယှဉ်ပြိုင်နိုင်မှာဖြစ်ပါတယ်။

ပြန်ကြည့်မယ်ဆိုရင်တော့ ၂၀၁၇ ဟာ နည်းပညာအသစ်တွေတိုးတက်လာတာနဲ့ အတူ အိုင်တီနဲ့ အသက်မွေးဝမ်းကြောင်း ပြုနေတဲ့သူတွေအတွက် အထိနာတဲ့ နှစ်လို့မြင်ပါတယ်။ ခေတ်အပြောင်း အလဲဟာလည်း ပိုပြီးမြန်ဆန်လာသလို ရေရှည်ရပ်တည်ဖို့အတွက် အပြောင်းအလဲတွေကို အသိအမှတ်ပြုပြီး အဲဒီအပြောင်းအလဲ လမ်းကြောင်းကြီးမှာ လိုက်ပါသွားနိုင်အောင် ကိုယ့်ရဲ့ အရည်အသွေးတွေကို နေရာစုံကနေ လိုက်ပြီး မြှင့်တင်ကြဖို့ လိုလာပြီလို့ ပြောပြနေတဲ့ နှစ်လို့ဆိုရင် မှားမယ်မထင်ပါဘူး။ ဒါတွေကို စိတ်ပျက်စရာအနေနဲ့ ဘေးထွက်ပြီး ကြည့်နေမဲ့ အစား ရှေ့သို့ဘယ်လို ဆက်လှမ်းမယ်ဆိုတာကို သုံးသပ်ပြီး ၂၀၁၈ အတွက် ပြင်ဆင်ကြပါစို့။

ကိုဖြိုး။

pic-1 Self check out machine in Singapore

pic-2 Foodcourt tray return Robot in Singapore

pic-3 Self check-in machine in Singapore

pic-3 Tablet attached toilet in Switzerland

Sunday 10 December 2017

CISSP CAT EXAM

CISSP စာမေးပွဲကို CAT(Computerized Adaptive Testing) ပုံစံ ပြောင်းတော့မယ်ဆိုတာ (ISC)² Membership Reception ပွဲသွားတုန်းက ကြားခဲ့ပါတယ်။ အခုတော့ အတည်ဖြစ်သွားပါပြီ။ လာမည့် ၁၈ ရက် ဒီဇင်ဘာ မှစပြီး CAT ပုံစံနဲ့သာ စတင်ဖြေဆိုရတော့မှာ ဖြစ်ပါတယ်။ Course Outline အနေနဲ့တော့ ၂၀၁၈ ၄လ ပိုင်းမှသာ ပြောင်းလဲမယ်လို့ဆိုထားတဲ့ အတွက် အခု CAT EXAM ဟာ လက်ရှိ Course Outline ဖြင့်သာ ဖြေဆိုရမှာပါ။ မဖြေခင်မှာတော့ Course Outline ကို သေချာ ပြန်ကြည့်ပါ။

CAT မှာ ဘာတွေပြောင်းသွားမလဲ...

အရင်က မေးခွန်း ၂၅၀ နဲ့ ၆နာရီ ဖြေဆိုရတဲ့ ပုံစံအစား မေးခွန်း ၁၀၀ ကနေ ၁၅၀ အထိ သာပါဝင်တဲ့ ၃နာရီ မေးခွန်းကို ဖြေဆိုရမှာ ဖြစ်ပါတယ်။ ဖြေဆိုသူရဲ့ ဖြေနိုင်တဲ့ အပေါ်မှာ မူတည်ပြီး နောက်ထပ်ရလာမဲ့ မေးခွန်းနဲ့ အရေအတွက် က ပြောင်းလဲ သွားမှာ ဖြစ်ပါတယ်။ မေးခွန်း ၁၅၀ ဆိုပေမဲ့ အဲဒီအထဲမှာ ၂၅ ခု က pre-test လို့ ခေါ်တဲ့ အမှတ်မရတဲ့ မေးခွန်းတွေနဲ့ ရောထားမှာ ဖြစ်ပါတယ်။ ဒါပေမဲ့ ဖြေဆိုတဲ့သူ အနေနဲ့ ခွဲခြားနိုင်မှာ မဟုတ်ပဲ အကုန်ဖြေဆိုရမှာပါ။ Exam Result ကို သိရဖို့ အတွက်တော့ အနည်းဆုံး ၇၅ ခု ဖြေဆိုရမယ်လို့ ဆိုထားပါတယ်။ ဒီတော့ အစပိုင်း မေးခွန်းတွေမှာ သေချာဖြေနိုင်ခဲ့မယ်ဆိုရင် မေးခွန်းအရေအတွက် အနည်းငယ်နဲ့မြန်မြန်ပြီးသွားနိုင်မယ်လို့ ခန့်မှန်းရပါတယ်။ မရတဲ့သူတွေအနေနဲ့လည်း ဒုက္ခဆက်ခံစရာမလိုတော့ပဲ မေးခွန်း ၁၀၀ ပြည့်တာနဲ့ ပြန်နိုင်မှာပါ။

ဘာကြောင့် CAT ပုံစံကို ပြောင်းရတာလဲ ဆိုတာကိုတော့ (ISC)² က အခုလိုဖော်ပြထားပါတယ်။ နှစ်ဦး နှစ်ဖက်လုံး အကျိုးရှိတဲ့ ပြောင်းလဲမှုလို့ ယူဆရပါတယ်။

* A more precise and efficient evaluation of a candidate’s competency
* More opportunities for examination administration
* Shorter test administration sessions
* Enhanced exam security

အမှတ်ပေးတဲ့ စနစ်ကတော့ အဓိက စည်းမျဉ်း ၃ ခု အပေါ်မူတည်ပြီး ဆုံးဖြတ်ပါမယ်။ ဒီသုံးခုမှာ ပထမ စည်းမျဉ်းက အရေးပါဆုံးဖြစ်ပါတယ်။ အဲဒီမှာ ပြတ်သွားခဲ့ရင် အကောင်းဆုံးပါ။ အဲဒီအဆင့်မှာ အဆုံးအဖြတ် မပေးနိင်ခဲ့ရင် ကျန်နဲ့ စည်းမျဉ်း နှစ်ခု ကနေဆက်ပြီး ဆုံးဖြတ်ပါလိမ့်မယ်။

Confidence Interval Rule
Maximum-Length Exam Rule
Run-Out-of-time (R.O.O.T) Rule

အောင်၊ မအောင် ဘယ်အချိန်မှာ သိနိုင်မလဲ..

ဖြေပြီးတာနဲ့ ချက်ချင်းသိနိုင်ပါတယ်။ မအောင်ရင်တော့ အနည်းဆုံး ရက် ၃၀ စောင့်ပြီးမှ သာ ထပ်မံဖြေဆိုနိုင်မှာ ဖြစ်ပါတယ်။ ဒုတိယ အကြိမ်ထပ်ကျရင် ရက် ၉၀၊ နောက်တကြိမ် ဆို ရက် ၁၈၀ စောင့်ပြီးမှသာ ဖြေလို့ရမှာပါ။ တနှစ်ကို အများဆုံး ၃ ကြိမ်သာ ဖြေလို့ရပါတယ်။ ဒီလိုပုံစံမျိုးကို Cisco Exam တွေမှာလည်း စတင် အသုံးပြုနေပါပြီ။

ဘာပဲပြောပြော အခု CAT EXAM အသစ် ပြောင်းလဲသွားတာ စိတ်ဝင်စားစရာပါ၊ Adaptive က ဘယ်လောက်အထိ ဖြေဆိုသူရဲ့ အဆင့်ကို လိုက်ညှိပြီး ဘယ်လိုမေးခွန်းတွေနဲ့ ဆုံးဖြတ်မလဲဆိုတာကတော့ ဖြေဆိုသူတွေရဲ့ Exam Feedback တွေအပေါ်မှာ စောင့်စားဖတ်ရှုရင်းနဲ့သာ သိနိုင်ပါလိမ့်မယ်။

https://www.isc2.org/Certifications/CISSP/CISSP-CAT

ကိုဖြိုး။

Sunday 19 November 2017

RIB failure

အမေးများတဲ့ RIB failure အကြောင်းပြောကြတာပေါ့။ RIB failure ဆိုတာ နံရိုးကျိုးတဲ့ အကြောင်း ပြောတာ မဟုတ်ပါဘူး။ BGP မှာ မြင်တွေ့ရလေ့ရှိတဲ့ r ဆိုတဲ့ routing information base failure ဆိုတဲ့ အကြောင်းပါ။

အဓိက ကတော့ BGP table မှာ r အနေနဲ့ မြင်ရတဲ့ route တွေဟာ routing table ထဲကို မဝင်ရောက်နိုင်တာဖြစ်ပါတယ်။ ဘာကြောင့် မဝင်ရောက်နိုင်လဲဆိုရင်တော့ သူထက် AD သာတဲ့ IGP route တွေရှိနေလို့ပါပဲ။ ဒီနေရာမှာ ဖြစ်လေ့ရှိတာက iBGP routes တွေပါ။ သူရဲ့ AD က 200 ဆိုတော့ ဘယ် IGP နဲ့ ယှဉ်ယှဉ် အမြဲရှုံးနေမှာပါ။ IGP တွေဟာ AD အရမ်းမြင့်တဲ့ eBGP ကိုတော့ ကျော်နိုင်ဖို့ မလွယ်ပါဘူး။

Rib failure ဖြစ်ရတဲ့ အကြောင်းရင်းကို Cisco မှာ အကြောင်း ၃ ခု အနေနဲ့ ပြထားပါတယ်။ ဒါပေမဲ့ အပြင်မှာ အတွေ့များတာကတော့ iBGP vs IGP ကြောင့်ပါ။ ဒါကလည်း သဘာဝကျပါတယ်။ BGP အနေနဲ့ အောက်ခံ IGP ကို အားပြုရင်းသာ အလုပ်လုပ်ရတာဆိုတော့ IGP ထဲမှာ လိုအပ်တဲ့ route ရှိနေပီးသားဆိုရင် BGP route ကို သုံးစရာ မလိုတော့ဘူးဆိုတဲ့ သဘောပေါ့။

ဥပမာ ပြရရင် လက်ရွေးစင် ဘောလုံးအသင်း လူရွေးသလိုမျိုးပေါ့။ လက်ရွေးစင် အသင်းဟာ Routing table သာ ဖြစ်ခဲ့မယ်ဆိုရင် routing table တွေထဲကို ရောက်ဖို့အတွက် အကောင်းဆုံး route ဖြစ်ဖို့လိုပါတယ်။ ဒီလိုပဲ လက်ရွေးစင် ဖြစ်ဖို့အတွက် အကောင်းဆုံး ဖြစ်ဖို့လိုပါတယ်။ ဒီနေရာမှာ အနယ်နယ် အရပ်ရပ်က အကောင်းဆုံးလို့ ထင်ရတဲ့ ကစားသမားတွေကို လက်ရွေးစင် ရွေးမဲ့ အဖွဲ့ကို စေလွှတ်ကြပါတယ်။ Router ထဲမှာ OSPF EIGRP iBGP eBGP ဆိုတဲ့ route တွေ လာစု နေသလိုမျိုး။ အဲဒီကမှ နေရာတူ ကစားကြတဲ့ ကစားသမားတွေအကြား အကောင်းဆုံးကို ရွေးပီး ကျန်တဲ့ ကစားသမားတွေက ပြုတ်တဲ့သူပြုတ် အရံဖြစ်တဲ့သူဖြစ်ပေါ့။ Router မှာကျတော့ Same destination/network/prefix ကို သွားလို့ရတဲ့ route တွေအချင်းချင်း ယှဉ်ကြည့်ပီး အကောင်းဆုံးကို RIB ထဲထည့်လိုက်ပါတယ်။ ကျန်တဲ့ route တွေထဲကမှ ဒုတိယ တတိယ စသဖြင့် အကောင်းဆုံး route တွေကို အရံအဖြစ် သက်ဆိုင်ရာ Table/database အတွင်းမှာ အရံသင့် ချန်ထားပါတယ်။

BGP ရဲ့ r route ကတော့ အရံအဖြစ်သာ ရွေးခံရတဲ့ BGP route တစ်ခုပါပဲ။ Reserve ဆိုပါတော့။ ပထမ နေရာယူထားတဲ့ IGP route တွေသာ အကြောင်းတခုခုကြောင့် ပျောက်သွားခဲ့မယ်ဆိုရင် Reserve route က သူ့နေရာ ဝင်လာမှာ ဖြစ်ပါတယ်။ Routing table ထဲမှာ မရှိပေမဲ့ BGP route တွေ ဖလှယ်တဲ့အခါမှာ rib failure route တွေကိုလည်း ထည့်ပီး ဖလှယ်ကြပါတယ်။ အဲဒါကို မကြိုက်ရင်တော့ Suppress-inactive command အသုံးပြုပီး တားလို့ရပါတယ်။ ဘာကြောင့် RIB Failure ဖြစ်ရလည်း ဆိုတာကိုတော့

show ip bgp rib-failure ဆိုပြီး ကြည့်ရင်ရပါတယ်။ AD ကြောင့်ဆိုရင် Higher admin distance ဆိုပြီး မြင်ရမှာပါ။

အရှင်းဆုံးပြောရရင်တော့ ဘာကြောင့် အရွေးမခံရလဲဆိုရင် သူထက်သာတဲ့သူ ရှိလို့ပါ။ Route တွေကို ဘာနဲ့ယှဉ်လဲ ဆိုရင် AD နဲ့ပါ။ ဒီတော့ AD နိမ့်တဲ့သူက ရှုံးပါတယ်။ ဒါလောက်ဆို Rib failure အကြောင်း သဘောပေါက်လောက်ပီလို့ ထင်ပါတယ်။

Cisco Ref:

What does r RIB-Failure mean in the show ip bgp command output?

R1> show ip bgp
BGP table version is 5, local router ID is 200.200.200.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
r> 6.6.6.0/24       10.10.13.3               0    130      0 30 i
*> 7.7.7.0/24       10.10.13.3               0    125      0 30 i

When BGP tries to install the bestpath prefix into Routing Information Base (RIB) (for example, the IP Routing table), RIB might reject the BGP route due to any of these reasons:

* Route with better administrative distance already present in IGP. For example, if a static route already exists in IP Routing table.
* Memory failure.
* The number of routes in VPN routing/forwarding (VRF) exceeds the route-limit configured under the VRF instance.
In such cases, the prefixes that are rejected for these reasons are identified by r RIB Failure in the show ip bgp command output and are advertised to the peers. This feature was first made available in Cisco IOS Software Release 12.2(08.05)T.

ကိုဖြိုး။

Sunday 22 October 2017

BGP LAB

BGP နဲ့ပက်သက်ပြီး LAB တစ်ခုကို လုပ်ကြည့်ရအောင်။ ဒီ LAB ကို ပြီးခဲ့တဲ့ Workshop တုန်းက လုပ်ဖို့ အတွက် စီစဉ်ထားတာဖြစ်ပါတယ်။ BGP အကြောင်းအရာဖက်က ကြည့်မယ်ဆိုရင် အခြေခံ သဘောတရား လောက်သာပါမှာ ဖြစ်ပါတယ်။ ဒါပေမဲ့ BGP အတွက် လုပ်ရင်းနဲ့ တခြားသိထား လေ့လာထားတဲ့ အရာတွေဟာ ဘယ်လို အသုံးဝင်လာမလဲ ဆိုတာတွေကို ပြန်ပြီး ပေါင်းစပ်မိဖို့အတွက်ကိုလည်း ရည်ရွယ် ထားပါတယ်။

ဒီပုံမှာ အဖွဲ့အစည်း နှစ်ခုဟာ ISP ကို BGP နဲ့ ချိတ်ဆက်ထားပြီးတော့ သူတို့ရဲ့ Public IP Address တွေကို ISP ကနေ တဆင့် Advertise လုပ်ထားပါတယ်။ AS100 နဲ့ AS200 ဟာ Public IP အချင်းချင်းသာ ဆက်သွယ်လို့ ရမှာ ဖြစ်ပါတယ်။ ပေးထားတဲ့ နမူနာ အတိုင်း လိုက်လုပ်ကြည့်ရင်း တခြား စဉ်းစားစရာ တွေကို စဉ်းစားကြည့်ရင်း သိထားတာတွေကို ပြန်အသုံးချကြည့်တာပေါ့။

- EIGRP မှာ no auto-summary မပါရင် ဘယ်လိုအကျိုးသက်ရောက်မှုတွေ ဖြစ်လာနိုင်သလဲ။
- AS100/AS200 နဲ့ ကြားက Subnet ကို အတွင်းက Router တွေက သိဖို့လိုသလား။
- Static IP route ကို Null 0 သုံးထားခြင်းဟာ Routing ကိုထိခိုက်စေနိုင်လား။ ဘာကြောင့် သုံးထားသလဲ။
- အတွင်းက Router တွေကနေ Source IP မပါပဲနဲ့ ဘာကြောင့် အပြင်ထွက်လို့ မရသလဲ။ အပြင်ထွက်လို့ရဖို့အတွက် ဘာကို အသုံးပြုရမလဲ။

BGP နဲ့ ပက်သက်ပြီး တော့ စဉ်းစားစရာတွေကတော့
- ISP နဲ့ Peer လုပ်တဲ့အခါမှာ တိုက်ရိုက်ချိတ်ထားတဲ့ Interface IP အစား Loopback IP သုံးမယ်ဆိုရင် ဘယ်လိုလုပ်ရမလဲ။
- Network statement နဲ့ Advertise လုပ်လိုက်တာနဲ့ Network advertisement အတွက် လုံလောက်ပြီလား။
- BGP default weight နဲ့ Local preference Value က ဘာလဲ။ ဘယ်လို သိနိုင်မလဲ။
- AS200 မှာ Route-reflector သုံးထားတဲ့ အကျိုးကျေးဇူးက ဘာဖြစ်နိင်မလဲ။
- iBGP တွေမှာ next-hop-self ဘာကြောင့် သုံးရတာလဲ။
- Neighbour ကနေ Prefix ဘယ်နှစ်ခု လက်ခံရသလဲဆိုတာကို ဘယ်လိုသိနိုင်မလဲ။
- BGP best route ဖြစ်ကြောင်းကို ဘာကိုကြည့်ရင် သိနိုင်သလဲ။
- Prefix တစ်ခုဟာ ဘယ် AS ကနေ အစပြုလာသလဲဆိုတာ ဘယ်လိုသိနိုင်မလဲ။

ဒီမေးခွန်းတွေကို ဖြေနိုင်ပြီဆိုရင် Routing နဲ့ BGP အခြေခံကို နားလည်သဘောပေါက်ထားပြီလို့ ယူဆလို့ ရပါပြီ။

ကိုဖြိုး။

Configuring Interfaces IP address for IGP and BGP

ISP

interface FastEthernet0/0
 ip address 121.121.121.1 255.255.255.252
 
interface FastEthernet0/1
 ip address 122.122.122.1 255.255.255.252

interface Loopback1
 ip address 100.100.100.1 255.255.255.255
 
interface FastEthernet0/0
 ip address 192.168.100.1 255.255.255.0
 
interface FastEthernet0/1
 ip address 121.121.121.2 255.255.255.252

interface Loopback1
 ip address 100.100.100.2 255.255.255.255
 
interface FastEthernet0/0
 ip address 192.168.100.2 255.255.255.0

interface Loopback1
 ip address 200.200.200.1 255.255.255.255
 
interface FastEthernet0/0
 ip address 192.168.200.1 255.255.255.0
 
interface FastEthernet0/1
 ip address 122.122.122.2 255.255.255.252

interface Loopback1
 ip address 200.200.200.2 255.255.255.255
 
interface FastEthernet0/0
 ip address 192.168.200.2 255.255.255.0

interface Loopback1
 ip address 200.200.200.3 255.255.255.255
 
interface FastEthernet0/0
 ip address 192.168.200.3 255.255.255.0

Configuring IGP in AS 100 and AS 200 and verify peers/routes

AS100 (EIGRP)

A1(config)#router eigrp 100
A1(config-router)#network 100.100.100.1 0.0.0.0
A1(config-router)#network 192.168.100.1 0.0.0.0
A1(config-router)#no auto-summary
 
A2(config)#router eigrp 100
A2(config-router)#network 100.100.100.2 0.0.0.0
A2(config-router)#network 192.168.100.2 0.0.0.0
A2(config-router)#no auto-summary
 
A1#sh ip eigrp neighbors
IP-EIGRP neighbors for process 100
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   192.168.100.2           Fa0/0             13 00:01:38   20   200  0  9
 
A1#sh ip route eigrp
     100.0.0.0/32 is subnetted, 2 subnets
D       100.100.100.2 [90/409600] via 192.168.100.2, 00:00:15, FastEthernet0/0
 
A2#sh ip eigrp neighbors
IP-EIGRP neighbors for process 100
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                           
                                            (sec)         (ms)       Cnt Num
0   192.168.100.1           Fa0/0             14 00:02:00  432  2592  0  10
 
A2#sh ip route eigrp
     100.0.0.0/32 is subnetted, 2 subnets
D       100.100.100.1 [90/409600] via 192.168.100.1, 00:00:56, FastEthernet0/0

AS200 (OSPF)

 
B1(config)#router ospf 1
B1(config-router)#router-id 200.200.200.1
B1(config-router)#network 200.200.200.1 0.0.0.0 are 0
B1(config-router)#network 192.168.200.1 0.0.0.0 are 0

B2(config)#router ospf 1
B2(config-router)#router-id 200.200.200.2
B2(config-router)#network 200.200.200.2 0.0.0.0 are 0
B2(config-router)#network 192.168.200.2 0.0.0.0 are 0

B3(config)#router ospf 1
B3(config-router)#router-id 200.200.200.3
B3(config-router)#network 200.200.200.3 0.0.0.0 are 0
B3(config-router)#network 192.168.200.3 0.0.0.0 are 0

B1#sh ip ospf neighbor
 
Neighbor ID     Pri   State           Dead Time   Address         Interface
200.200.200.2     1   FULL/BDR        00:00:34    192.168.200.2   FastEthernet0/0
200.200.200.3     1   FULL/DROTHER    00:00:37    192.168.200.3   FastEthernet0/0
 
B1#sh ip route ospf
     200.200.200.0/32 is subnetted, 3 subnets
O       200.200.200.2 [110/11] via 192.168.200.2, 00:01:46, FastEthernet0/0
O       200.200.200.3 [110/11] via 192.168.200.3, 00:01:06, FastEthernet0/0
 
B2#sh ip ospf neighbor
 
Neighbor ID     Pri   State           Dead Time   Address         Interface
200.200.200.1     1   FULL/DR         00:00:38    192.168.200.1   FastEthernet0/0
200.200.200.3     1   FULL/DROTHER    00:00:30    192.168.200.3   FastEthernet0/0
 
B2#sh ip route ospf
     200.200.200.0/32 is subnetted, 3 subnets
O       200.200.200.1 [110/11] via 192.168.200.1, 00:01:59, FastEthernet0/0
O       200.200.200.3 [110/11] via 192.168.200.3, 00:01:19, FastEthernet0/0
 
B3#sh ip ospf neighbor
 
Neighbor ID     Pri   State           Dead Time   Address         Interface
200.200.200.1     1   FULL/DR         00:00:35    192.168.200.1   FastEthernet0/0
200.200.200.2     1   FULL/BDR        00:00:34    192.168.200.2   FastEthernet0/0
 
B3#sh ip route ospf
     200.200.200.0/32 is subnetted, 3 subnets
O       200.200.200.1 [110/11] via 192.168.200.1, 00:01:51, FastEthernet0/0
O       200.200.200.2 [110/11] via 192.168.200.2, 00:01:51, FastEthernet0/0

Configuring EBGP between ISP and AS 100, AS 200

 
ISP(config)#int l1
ISP(config-if)#ip add 120.120.120.120 255.255.255.255
 
ISP(config)#router bgp 120
ISP(config-router)#bgp router-id 120.120.120.120
ISP(config-router)#neighbor 121.121.121.2 remote-as 100

ISP(config-router)#neighbor 122.122.122.2 remote-as 200
ISP(config-router)#network 120.120.120.120 mask 255.255.255.255
 
A1(config)#router bgp 100
A1(config-router)#bgp router-id 100.100.100.1
A1(config-router)#neighbor 121.121.121.1 remote-as 120
 
B1(config)#router bgp 200
B1(config-router)#bgp router-id 200.200.200.1
B1(config-router)#neighbor 122.122.122.1 remote-as 120
 
ISP#sh ip bgp summary | B Nei
Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
121.121.121.2   4   100      14      16        2    0    0 00:02:46        0
122.122.122.2   4   200       5       6        2    0    0 00:01:05        0
 
A1#sh ip bgp su | b Nei
Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
121.121.121.1   4   120      17      15        2    0    0 00:03:10        1
 
B1#sh ip bgp su | b Nei
Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
122.122.122.1   4   120       6       5        2    0    0 00:01:49        1

Configuring iBGP in AS 100 and AS 200

 
A1(config)#router bgp 100
A1(config-router)#neighbor 192.168.100.2 remote-as 100
A1(config-router)#neighbor 192.168.100.2 next-hop-self

A2(config)#router bgp 100
A2(config-router)#bgp router-id 100.100.100.2
A2(config-router)#neighbor 192.168.100.1 remote-as 100
A2(config-router)#neighbor 192.168.100.1 next-hop-self

 
A1#sh ip bgp summary | b Nei
Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
121.121.121.1   4   120      69      67        2    0    0 00:55:21        1
192.168.100.2   4   100       4       5        2    0    0 00:00:45        0
 
A2#sh ip bgp summary | b Nei
Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
192.168.100.1   4   100       5       4        2    0    0 00:00:50        1
 
B1(config)#router bgp 200
B1(config-router)#neighbor 192.168.200.2 remote-as 200
B1(config-router)#neighbor 192.168.200.2 next-hop-self
B1(config-router)#neighbor 192.168.200.2 route-reflector-client
B1(config-router)#
B1(config-router)#neighbor 192.168.200.3 remote-as 200
B1(config-router)#neighbor 192.168.200.3 next-hop-self
B1(config-router)#neighbor 192.168.200.3 route-reflector-client
 
B2(config)#router bgp 200
B2(config-router)#bgp router-id 200.200.200.2
B2(config-router)#neighbor 192.168.200.1 remote-as 200
B2(config-router)#neighbor 192.168.200.1 next-hop-self
 
B3(config)#router bgp 200
B3(config-router)#bgp router-id 200.200.200.3
B3(config-router)#neighbor 192.168.200.1 remote-as 200
B3(config-router)#neighbor 192.168.200.1 next-hop-self
 
B1#sh ip bgp su | b Nei
Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
122.122.122.1   4   120      62      61        2    0    0 00:57:34        1
192.168.200.2   4   200       5       6        2    0    0 00:01:29        0
192.168.200.3   4   200       4       5        2    0    0 00:00:33        0
 
B3#sh ip bgp summary | b Nei
Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
192.168.200.1   4   200       5       4        2    0    0 00:00:51        1
 
B2#sh ip bgp summary | b Nei
Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
192.168.200.1   4   200       7       6        2    0    0 00:02:04        1

Advertise Public IP range to ISP and verify routing test between AS100 and 200

 
A1(config)#router bgp 100
A1(config-router)#network 100.100.100.0 mask 255.255.255.0
A1(config-router)#exit
A1(config)#
A1(config)#ip route 100.100.100.0 255.255.255.0 null 0
 
B1(config)#router bgp 200
B1(config-router)#network 200.200.200.0 mask 255.255.255.0
B1(config-router)#exit
B1(config)#
B1(config)#ip route 200.200.200.0 255.255.255.0 null 0
 
ISP#sh ip bgp su | b Nei
Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
121.121.121.2   4   100      75      78        4    0    0 01:02:50        1
122.122.122.2   4   200      66      68        4    0    0 01:01:10        1
 
ISP#sh ip bgp
BGP table version is 4, local
router ID is 120.120.120.120
Status codes: s suppressed, d
damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
 
   Network          Next Hop            Metric LocPrf Weight Path
*> 100.100.100.0/24 121.121.121.2            0             0 100 i
*> 120.120.120.120/32
                    0.0.0.0                  0         32768 i
*> 200.200.200.0    122.122.122.2            0             0 200 i
 
A2#sh ip bgp
BGP table version is 4, local
router ID is 100.100.100.2
Status codes: s suppressed, d
damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP,? - incomplete
 
   Network          Next Hop            Metric LocPrf Weight Path
*>i100.100.100.0/24 192.168.100.1            0    100      0 i
*>i120.120.120.120/32
                    192.168.100.1            0   100      0 120 i
*>i200.200.200.0    192.168.100.1            0   100      0 120 200 i
 
B3#sh ip bgp
BGP table version is 4, local
router ID is 200.200.200.3
Status codes: s suppressed, d
damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP,? - incomplete
 
   Network          Next Hop            Metric LocPrf Weight Path
*>i100.100.100.0/24 192.168.200.1            0    100      0 120 100 i
*>i120.120.120.120/32
                    192.168.200.1            0   100      0 120 i
*>i200.200.200.0    192.168.200.1            0   100      0 i
 
A2#ping 200.200.200.3 source
100.100.100.2
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echosto 200.200.200.3, timeout is 2 seconds:
Packet sent with a sourceaddress of 100.100.100.2
!!!!!
Success rate is 100 percent
(5/5), round-trip min/avg/max = 40/49/56 ms
 
B3#ping 100.100.100.2 source 200.200.200.3
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.2, timeout is 2 seconds:
Packet sent with a source address of 200.200.200.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 40/56/68 ms

Sunday 8 October 2017

စိတ်ချပါရစေ။ 

ကျွန်တော်တို့ ငယ်စဉ်က ဘောလုံး ကစားကြတဲ့အခါ ရှိတဲ့သူငယ်ချင်းတွေနဲ့ အရေအတွက် ညီမျှစွာ လူခွဲပြီး နှစ်ဖက်ခွဲကန်လေ့ရှိပါတယ်။ အဲဒီလို ခွဲတဲ့အခါ ကန်တတ်တဲ့သူ အကန်ကောင်းတဲ့သူဆိုရင် ကိုယ့်ဖက်က ကစားဖို့ လုကြပါတယ်။ ဒါမှသာ ကိုယ့်ဖက်က နိုင်ဖို့ အခြေအနေ ပိုသာမှာ ဖြစ်ပါတယ်။ နိုင်ဖို့ အပြင် တခြားအဓိက တစ်ချက် ကျန်ပါသေးတယ်။ ငယ်တုန်းအခါကတော့အဲဒီအချက်ကို သတိပြုမိမယ် မထင် ပါဘူး။ သူပါရင် ကိုယ်ဖက်က သာမယ်၊ မရှုံးနိုင်ဘူးဆိုတာလောက်ပဲ မြင်တာလေ။ အဲဒီမှာ မသိစိတ်က သူ့ကို ယုံကြည်မှု၊ စိတ်ချမှုဆိုတာက အဓိက တွန်းအားပေးတဲ့ အချက်ပါ။ ယုံကြည်မှုပေါ့။ အသင်းဖော် အဖြစ် အားထား ယုံကြည်ရသူ တစ်ယောက်အဖြစ်ပေါ့။

နောက်တခါ ကောင်းကောင်းမကစားတတ်တဲ့သူ၊ ငယ်တဲ့သူ တွေပါလာရင် သိပ်မလိုချင်ကြသလို အာလူး ဘူးသီးဆိုပြီး ထည့်မတွက်ပဲ ပေးကစားခဲ့ရတဲ့ ကစားဖော်တွေလဲ ရှိပါတယ်။ အဲဒါက ဘာလဲဆိုတော့ သူတို့ကို အပြည့်အဝ မယုံကြည်ရလို့ဖြစ်ပါတယ်။ ဘယ်အချိန်မှာ ကိုယ့်ဂိုးကိုယ်ပြန်သွင်းလိုက်မလဲ၊ အငယ်တွေ ဆိုရင်လဲ တဖက်က သဘာရင့် ကစားသမားရဲ့ လှည့်ကွက်ကို သိနိုင်ပါ့မလား၊ အတွေ့အကြုံ ရှိပါ့မလားဆိုတဲ့ စိုးရိမ်မှုတွေ ထားနေရတဲ့ အတွက် မခေါ်ချင်ကြပါဘူး။ ဒါ အားလုံးကြုံခဲ့ဖူးကြမယ့် ငယ်ဘဝ က အခြေအနေ တစ်ခုပါ။

အခု လုပ်ငန်းခွင်ထဲ ရောက်လာပြီ၊ လုပ်ဖော်ကိုင်ဖက်တွေ အများကြီးနဲ့ လုပ်နေရတဲ့ အချိန်မှာ ငယ်ငယ်က ကြုံခဲ့ရတဲ့ အားထားရတဲ့ ကစားသမားလား အာလူး ဘူးသီးလားဆိုတဲ့ ခွဲခြားမှုဟာ ပိုပြီးသိသာ ပြင်းထန်လာပါတယ်။ ငယ်ငယ်က ကစားတာဆိုတော့ ဘာဖြစ်ဖြစ် အဆင်ပြေသလို ကစားခဲ့ကြပေမဲ့ အလုပ်လုပ်လာရတဲ့ အချိန်မှာတော့ တာဝန် ဆိုတဲ့ အရာကြောင့် လက်ခံလို့မရတော့တဲ့ အခြေနေမျိုးတွေ ကြုံတွေ့လာပါတယ်။ တခါတလေမှာ အာလူး ဘူးသီးတွေကို ဖယ်ထုတ်ရတဲ့ အထိ ဖြစ်လာတာ တွေ့ရပါတယ်။ ဒီနေရာ စဉ်းစားဖို့လိုလာတာက ကိုယ်ကပဲ ရွေးချယ်ရတဲ့သူ အဖြစ် အမြဲရှိနေနိုင်မလား၊ ကိုယ်ကရော အရွေးချယ်ခံ ကစားသမား တစ်ယောက် ဖြစ်နိင်ချေ ရှိလားဆိုတဲ့ အချက်ပါ။ သေချာတာကတော့ အရွေးချယ်ခံ ဖြစ်ဖို့က ရာခိုင်နှုန်း ပိုများတယ်ဆိုတာပါပဲ။

ဒီလိုဆို ကိုယ်က ဘယ်လိုလူမျိုးဖြစ်သင့်လဲ ဆိုတာ မေးစရာ မလိုတဲ့ မေးခွန်းတစ်ခုပါ။ ဘယ်သူမှအာလူး ဘူးသီး အဖြစ်မခံချင်ပါဘူး။ ဒါပေမဲ့ ကိုယ့်ရဲ့ လုပ်ပုံ ကိုင်ပုံ၊ အတတ်ပညာ၊ အသိပညာကျွမ်းကျင်နှံ့စပ်ပုံ၊ အလုပ်ပေါ် တာဝန်ယူမှု စတာတွေကို ကြည့်ပြီး ကျန်တဲ့ လုပ်ဖော် ကိုင်ဖက်၊အထက်လူကြီးတွေက ဆုံးဖြတ်မှာပါ။ ကိုယ်က ပါးစပ်နဲ့ အောင်လက်မှတ်တွေနဲ့ ငါ အာလူး ဘူးသီး မဟုတ်ဘူးကွဆိုပြီး ပြောယုံနဲ့မရပါဘူး။ ဒါဆို ခရမ်းသီးပေါ့ဆိုပြီး လှောင်ပြောင်ကြပါလိမ့်မယ်။ဘာနဲ့ သက်သေ ပြရမလဲ ဆိုရင်တော့ အလုပ်နဲ့ သက်သေပြရပါမယ်။ ဒါက အတိုပြောတာပါ။ ဘယ်လို အလုပ်နဲ့ သက်သေ ပြရမလဲဆိုတာ တွေက အချက်အလက်တွေ အများကြီးနဲ့ ပေါင်းစပ်ထားတာပါ။  

အခြေခံကျတဲ့ အချက်တွေ ပြောပါဆိုရင်တော့ အရင်ဆုံး အမှားကင်း/နဲ ရပါမယ်။ မမှားတဲ့သူ မရှိဘူးဆိုပေမယ့် မကြာခဏ မှားနေတဲ့သူကိုတော့ ဘယ်သူမှ မကြိုက်ပါဘူး။ ၂၀၁၇ နှစ်ဆန်းပိုင်းက Amazon က ဝန်ထမ်း တစ်ယောက်ရဲ့ အမှားကြောင့် AWS service down သွားပြီး ထိခိုက်ပျက်စီးမှု အများကြီး ဖြစ်သွားပါတယ်။ သူမှားတာ Command တစ်ကြောင်း မှားသုံးမိသွားလို့ပါ။ဒီတော့ ကိုယ့်အမှားဟာ ဘယ်လောက်အတိုင်းအတာ အထိ သွားမယ်ဆိုတာ မှန်းဆဖို့ လိုအပ်ပါတယ်။ ဥပမာ ပြောရရင် Network Change တွေ ကိုယ်တွယ်တဲ့အခါမှာ အဲ့ဒီ Change ကြောင့်ဘာတွေထိခိုက်နိင်လဲဆိုတဲ့ Impact analysis ကို ထည့်တွက်ရပါတယ်။ AWS ကိစ္စဖတ်ကြည့်ချင်ရင်

Amazon human error

https://www.recode.net/2017/3/2/14792636/amazon-aws-internet-outage-cause-human-error-incorrect-command 

https://aws.amazon.com/message/41926/

နောက်ထပ် ကြည့်မယ်ဆိုရင် ဘာကြောင့်မှားတာလဲ ဆိုတဲ့ ကိစ္စပါ။ ကျွမ်းကျင်မှုမရှိလို့ သို့မဟုတ် မသေချာလို့၊ ပေါ့ဆလို့၊ အလေးထားမှု ပေါ့လျော့လို့ဆိုတဲ့ နောက်ဆက်တွဲ ကိစ္စတွေပါလာပါတယ်။ ကျွမ်းကျင်မှု မရှိတာက လေ့လာသင်ယူလို့ရပေမဲ့ ကျန်တဲ့ကိစ္စတွေက မသိမသာ အသားကျ နေခဲ့တဲ့ ကိုယ့်ရဲ့လုပ်ပုံ ကိုင်ပုံ တွေနဲ့ အကျင့်ကြောင့် ဆိုရင်တော့ သင်ယူယုံနဲ့မရ ကိုယ်တိုင် ပြင်ယူမှ ရမှာ ဖြစ်ပါတယ်။ ဒါမှာသာ ကိုယ်ရှေ့ဆက်ရမဲ့ လမ်းကြောင်းအတွက် အဆင်ပြေမှာ ဖြစ်ပါတယ်။ ဒါတွေက ပြင်လို့ရတဲ့ ကိစ္စတွေ၊ လုပ်ဖော်ကိုင်ဖက် တွေရဲ့ ကောင်းတဲ့ အချက်တွေကနေ အတုယူလို့ ရတဲ့ ကိစ္စတွေပါ။

အခြားအချက်တွေဖြစ်တဲ့ တာဝန်ယူမှု၊ အချိန်တိကျမှု၊ စေ့စပ်သေချာမှု၊ လိုက်လျောညီထွေရှိမှု၊ခေါင်းဆောင် နောက်လိုက် သူ့နေရာသူ လုပ်ဆောင်တတ်မှု စတဲ့ ကိစ္စတွေအပြင် စကားပြော၊အရေးအသား ကျွမ်းကျင်မှု၊ ကိုယ့် အလုပ်နဲ့ ပတ်သက်တဲ့ နည်းပညာ နယ်ပယ်မှာ ကျွမ်းကျင်မှု၊ဆက်စပ်နေတဲ့ နည်းပညာများအပေါ် ဖတ်ရှုလေ့လာထားမှု တွေက လုပ်ဖော်ကိုင်ဖက်ချင်း၊ အဖွဲ့အစည်း တစ်ခု အတွင်း ယုံကြည် အားကိုး အားထားရတဲ့ သူတစ်ယောက် အဖြစ်ကို တွန်းပို့ပေးမဲ့ အရာတွေ ဖြစ်ပါတယ်။

ကိုယ်တိုင်လဲ ဒါတွေကို ကြိုးစားဖြည့်တင်းနေဆဲဖြစ်သလို အခုမှ လုပ်ငန်းခွင်ကို ဝင်လာကြမဲ့ လူငယ် ခြေတက်တွေကို အရောင် တောက်ပလာစေချင်တဲ့ ရည်ရွယ်ချက်နဲ့ ပြောပြရတာ ဖြစ်ပါတယ်။ အချိန်တွေ ကြာလာပေမဲ့ အာလူး ဘူးသီး ဘဝ ကနေ မတက်ဆိုရင်တော့ မကောင်းပါဘူး။အလုပ်တွေ ပြောင်းသွား သည့်တိုင် ကိုယ့်ရဲ့ လုပ်ဖော်ကိုင်ဖက်ဟောင်းတွေ၊ ဆရာတွေက ငယ်ငယ်က ဘောလုံးအသင်း လူလုတဲ့ ပုံစံအတိုင်း မင်းနဲ့ငါ နောက်တကြိမ်လောက် အတူတူ ပြန်လုပ်ချင်သေးတယ်၊ မင်းနဲ့ဆို အချိန်မရွေး ပြန်လုပ်ဖို့ အသင့်ပဲ ဆိုတဲ့ စကားမျိုးတွေ ပြန်ကြားရတဲ့ပီတိဟာ ဘယ်လောက်ကောင်းသလဲ ဆိုတာ တချိန်မှာ သိလာနိင်သလို၊ ဒါတွေဟာ ကိုယ့်ရဲ့ အောင်မြင်မှုကို ပြသနေတဲ့ အချက်တွေဆိုတာ အငြင်းပွားဖွယ်ရာ မရှိပါဘူး။ ဒီတော့ ကိုယ့်အတွက် အလုပ်အကိုင် အခွင့်အရေးရဖို့ လက်မှတ်တွေဖြေ၊ လေ့လာ လိုက်စားမှုတွေ ပြီးလို့ အလုပ်ထဲစတင်ဝင်ရောက်တဲ့ အချိန်ကစပြီး အားထားရတဲ့ Reliable person အဖြစ် ရပ်တည် နိုင်အောင် ကြိုးစားကြဖို့ တိုက်တွန်းလိုပါတယ်။

ကိုဖြိုး

Saturday 23 September 2017

CISSP EXAM အပြောင်းအလဲ။

CISSP EXAM ဖြေဆိုဖို့ အစီအစဉ်ရှိတဲ့သူများ အနေနဲ့ သိထားသင့်တဲ့ ကိစ္စပါ။ ၂၀၁၈၊ ၄ လပိုင်းကနေစပြီး Course Outline အသစ်ဖြင့် ဖြေဆိုရမှာဖြစ်ပါတယ်။ DCO (Detailed Course Outline) အသေးစိတ်ကို သိချင်တယ်ဆိုရင်တော့ ဒီလင့်ကနေ ကြည့်နိုင်ပါတယ်။

https://cert.isc2.org/cissp-exam-outline-form/clkn/https/downloads.isc2.org/credentials/cissp/CISSP-Detailed-Content-Outline.pdf

ဖြေဆိုရမည့် ပုံစံကတော့ မပြောင်းပါဘူး။ အရင်လို မေးခွန်း ၂၅၀ ပါဝင်တဲ့ ၆ နာရီကြာ ဖြေဆိုရတဲ့ ပုံစံ ဖြစ်ပါတယ်။ CISSP ဆိုတာ ဘာလဲ၊ ဖြေဆိုရတဲ့ ပုံစံက ဘယ်လိုလဲ ဆိုတာကို စိတ်ဝင်စားတယ်ဆိုရင် အရင် ရေးခဲ့တဲ့ ပိုစ့် အဟောင်းတွေမှာ ပြန်ဖတ်ကြည့်နိုင်ပါတယ်။

စာမေးပွဲကြေး အနေကတော့ ၂၀၁၇၊ ၁၀ လပိုင်းက စပြီးတော့ စာမေးပွဲကြေး အသစ်နဲ့ ဖြေဆိုရမှာ ဖြစ်ပါတယ်။ USD 100 ဈေးတက်သွားတာ တွေ့ရပါတယ်။ UK မှာ ပိုဈေးကြီးသွားပါတယ်။ ၁၀ လပိုင်းက စမှာဖြစ်တဲ့ အတွက် ဖြေဆိုမည့်သူ အများစုက တော့ စာမေးပွဲကြေး အသစ်နဲ့သာ ဖြေဆိုရမှာ ဖြစ်ပါတယ်။

အခုလို အပြောင်းအလဲဟာ ဒီမှာတင် ရပ်သွားမှာ မဟုတ်ပါဘူး။ နောက် ၁-၂ နှစ်အတွင်းမှာ CAT (Computerized Adaptive Testing) ဆိုတဲ့ ပုံစံနဲ့ ပြောင်းလဲ သွားမှာ ဖြစ်ပါတယ်။ ပြီးခဲ့တဲ့ အပတ်က စင်ကာပူမှာ ကျင်းပသွားတဲ့ အဖွဲ့ဝင်တွေ တွေ့ဆုံပွဲ မှာ အဲဒီ အကြောင်းကို ပြောပြသွားပါတယ်။ ဘယ်တော့ ပြောင်းမယ်ဆိုတဲ့ အချိန်အတိအကျကို တော့ မသိခဲ့ပါဘူး။ CAT Exam ပုံစံက အရင်လို မေးခွန်း ၂၅၀ ဖြေဆိုရမဲ့ အစား ဖြေဆိုတဲ့သူရဲ့ အရည်အချင်းပေါ်မူတည်ပြီး ချပေးမဲ့ မေးခွန်းနဲ့ အရေအတွက် ကို ပြောင်းလဲသွားမှာ ဖြစ်ပါတယ်။ ၆ နာရီ ကြာမဲ့ အစား မေးခွန်း ၁၀၀ လောက်နဲ့ ၁-၂ နာရီအတွင်းမှာတောင် အဆုံးအဖြတ် ပေးသွားနိုင်လိမ့်မယ်လို ဆိုပါတယ်။

အခုလို ပြောပြရတဲ့ကိစ္စကတော့ ဖြေဖို့ပြင်ဆင်နေတဲ့သူတွေ မသိလိုက်ပဲ အခက်အခဲ ကြုံတွေ့မှာဆိုးလို့ ဖြစ်ပါတယ်။ CISSP EXAM ဖြေကြပါလို့ တိုက်တွန်းနေတာ မဟုတ်ပါဘူး။ CISSP ဖြေဆိုဖို့ အတွက် လုပ်ငန်း အတွေ့အကြုံ အနည်းဆုံး ၅ နှစ် ရှိဖို့လိုအပ်ပါတယ်။ အတွေ့အကြုံ မရှိသေးရင် စာမေးပွဲ အောင်ရင် တောင် CISSP မဖြစ်သေးပဲ Associate အဖြစ်သာ သတ်မှတ် ပေးမှာဖြစ်ပါတယ်။ ပြီးရင် ၆ နှစ်အတွင်း အတွေ့ အကြုံယူနိုင်မှ CISSP ဖြစ်ပါတယ်။ သူရဲ့ Role ကလဲ Leadership Role ဖြစ်တဲ့ အတွက် သိပ်ငယ်ပြီး အတွေ့အကြုံ မရှိသေးတဲ့ သူတွေအတွက် မသင့်သေးပါဘူး။

Security အပိုင်းကို စိတ်ဝင်စားတယ်၊ Security Professional အဖြစ်နဲ့ အဲဒီ လမ်းကြောင်းကို သွားချင်တယ် ဆိုရင်တော့ IT Administration အတွက် ရည်ရွယ်ထားတဲ့ SSCP Exam ကို အရင် ဖြေဆိုသင့်တယ်လို့ ထင် ပါတယ်။ SSCP ဖြေဆိုဖို့ အတွက်လဲ လုပ်ငန်းအတွေ့အကြုံ အနည်းဆုံး ၁ နှစ်လိုပါတယ်။ မြန်မာပြည် အနေ နဲ့ လည်း သင့်တော်တဲ့ လက်မှတ်တခုလို့ ထင်ပါတယ်။ စိတ်ဝင်စားသူတွေအနေနဲ့ ဒီလင့်မှာ လေ့လာကြည့်ပါ။ https://www.isc2.org/Certifications/SSCP

IT Certificate တွေ ဖြေဆိုမယ်ဆိုရင် ကိုယ်ဖြေမဲ့ စာမေးပွဲ အကြောင်း၊ ကိုယ်နဲ့ အဆင်ပြေနိင် မပြေနိင်၊ ဈေးကွက်လိုအပ်ချက်၊ စိတ်ဝင်စားမှုနဲ့ ဝါသနာ စတာတွေကို သေသေချာချာ လေ့လာပြီးမှာ ဖြေဆိုကြပါလို့ ထပ်မံ တိုက်တွန်းလိုပါတယ်။

ကိုဖြိုး

Monday 21 August 2017

TACACS+ vs RADIUS

မိမိရဲ့ အဖွဲ့အစည်းအတွင်းမှာ AAA အသုံးပြုဖို့ ဆုံးဖြတ်လိုက်ပီ ဆိုရင်ပဲ ပထမဆုံး အနေနဲ့ အလွန်ပဲသင့်တော်တဲ့ ဆုံးဖြတ်ချက် တစ်ခုကို ချမှတ်ပြီးပြီလို့ဆိုနိုင်ပါတယ်။ နောက်တဆင့် အနေနဲ့ AAA ကို ဘယ်နေရာတွေမှာ အသုံးပြု မယ်ဆိုတာ သတ်မှတ်ရပါမယ်။ Network Access အတွက်လား Devices Administration အတွက်လား ဆိုတာ ကြည့်ရပါမယ်။ အဲဒီအပေါ်မှာ မူတည်ပြီးတော့ ကိုယ့်အသုံးပြုမဲ့ AAA Server နဲ့ AAA Protocol ကို ရွေးချယ်ရပါ လိမ့်မယ်။ အဲဒီမှာ လိုအပ်ချက် နှစ်မျိုးစလုံးအတွက် AAA စနစ် နှစ်မျိုး အသုံးပြုမလား၊ တစ်မျိုးသာ သုံးမလားဆိုတာ ဆုံးဖြတ်ရပါတယ်။ ဒီတော့ RADIUS လား TACACS+ လား၊ ဘာသုံးမလဲဆိုတာက မေးခွန်းဖြစ်လာပါတယ်။

ဒီနှစ်ခုရဲ့ အဓိက အသုံးပြုပုံကို လေ့လာကြည့်ရင် RADIUS ကို Network Access အနေနဲ့ အသုံးပြုတာဖြစ်ပြီး TACACS+ ကိုတော့ Devices Administration မှာ အသုံးပြုကြပါတယ်။ အရင်က TACACS+ ကို Cisco Devices တွေကိုသာ အသုံးပြုကြတယ်လို့ ထင်ရပေမယ့် Vendors အများစုဟာလည်း TACACS+ ကို အသုံးပြုလို့ ရပါတယ်။ နောက်တမျိုးအနေနဲ့ ကြည့်မယ်ဆိုရင် RADIUS ဟာ Subscriber AAA အတွက် အဓိက ဖန်တီးထား တာဖြစ်ပြီး TACACS+ ကိုတော့ Administrator AAA အတွက် တည်ဆောက်ထားတယ်လို့ ဆိုလို့ရပါတယ်။ TACACS+ ရဲ့ အားသာချက်ကတော့ Authorization ပုံစံမတူလို့ ဖြစ်ပါတယ်။ RADIUS က Authentication နဲ့ Authorization ကို တွဲထားပြီး TACACS+ ကတော့ Authorization ကို ခွဲထားလို့ ဖြစ်ပါတယ်။ RADIUS ဟာ Authentication reply လုပ်တဲ့ အချိန်မှာ အဲဒီ Client ရဲ့ ရသင့်တဲ့ Authorization Level ကို တွဲပြီး ပေးလိုက်ပါ တယ်။ အဲဒီ Level အတွင်းမှာ ကြိုက်တာလုပ်ပေါ့။ TACACS+ ကတော့ ဒီလိုမဟုတ်၊ Authentication ပြီးတဲ့ အခါ မှာ Authorization အတွက် Authorization Policy ကိုသုံးပြီး သီးသန့် ထပ်စစ်ပါတယ်။ Administrator က အသုံး ပြုတဲ့ Command Level အထိကို စစ်လို့ရပါတယ်။

မြင်သာအောင် ဥပမာနဲ့ ထပ်ကြည့်ရမယ်ဆိုရင်တော့ တည်းခိုခန်းမှာ တည်းတဲ့ ပုံစံနဲ့ ဟိုတယ်မှာ တည်းတဲ့ ပုံစံကွာ သလို ပါပဲ။ တည်းခိုခန်းဟာ အခြေခံကြတဲ့ AAA ဖြစ်တဲ့ လာတည်းတဲ့ ဧည့်သည်ကို စာရင်းသွင်းမယ်၊ သူတည်းမဲ့ အခန်းကိုသော့ပေးမယ်၊ အခန်းအတွင်းမှာ ရေဘူးပေးရင်ပေးထားမယ်၊ ဒါဆို သူရဲ့ ဝန်ဆောင်မှုက ပြည့်စုံပြီ။ အဲဒီ ဧည့်သည် အပြင်သွားလို့ပြန်လာရင် စာရင်းသွင်း ထားတဲ့ သူမှန်ရင်သူ့အတွက်သတ်မှတ်ထား တဲ့ အခန်းသော့ကိုပြန် ပေးမယ်။ ဧည့်သည်ပြန်သွားရင် စာရင်းထဲကနေ ဖျက်လိုက်မယ်။ ဟိုတယ် ကတော့ အဲဒီထက်ပိုတဲ့ ဝန်ဆောင်မှုကို ပေးနိုင်တယ်။ ဧည့်သည် တစ်ယောက်ရောက်လာရင် သူဝယ်ထားတဲ့ အဆင့်ပေါ်မူတည်ပြီး မနက်စာ ပါသလား၊ရေ ချိုးကန်ရှိတဲ့ အခန်းယူမှာလား၊ အခန်းအတွင်းက မီနီဘားအသုံးပြုမလား၊ အထပ်မြင့်ယူမလား၊မြင်ကွင်းကောင်းတဲ့ အခန်းနေမလား စသဖြင့် ခွင့်ပြုနိုင်တဲ့ ကိစ္စတွေကို ခွဲခြားပြီး ထပ်ပေးလို့ရတယ်။ အဲဒီမှာလည်း အနိမ့်ဆုံးဝင်ဆောင် မှုတွေဖြစ်တဲ့ ရေကူးကန် အသုံးပြုခွင့်၊ Gym သုံးခွင့် စတာတွေကို အားလုံးကိုပေးထားလို့ရတယ်။ Privilege level ဆိုပါတော့။ အဲဒီပေးလိုက်တဲ့ Authorization အပေါ်မူတည်ပြီး ဧည့်သည်က ဘာဟာဖြစ်လုပ်လို့ရတယ်၊ ဘာဟာ ကတော့ မရဘူးဆိုတဲ့ဟာမျိုးကို ပိုမို ထိန်းချုပ်လို့ရသလို၊ ပိုမိုဝန်ဆောင်မှုပေးနိုင်တယ်။ တည်းခိုခန်းမှာ သုံးတဲ့စနစ်၊ Protocol နဲ့ ဟိုတယ်မှာ သုံးတဲ့ စနစ် Protocol မတူတာကို တွေ့ရလိမ့်မယ်။ TACACS+ က ဟိုတယ်မှာ သုံးတဲ့ Protocol လိုမျိုး ဘယ် Admin ဆိုရင်တော့ ဘယ် Devices တွေ ကိုင်လို့ရတယ်၊ ဘယ် Command တွေ သုံးလို့ရ တယ်ဆိုတာမျိုးကိုပါ အသေးစိတ် စစ်ဆေးလုပ်ဆောင်ပေးနိုင်တယ်။ ဒါကြောင့် Devices Administration အတွက် ဆိုရင် TACACS+ က အားသားတယ်။ ပေါ့ပေါ့ပါးပါး Network Access အတွက်ပဲဆိုရင်တော့ RADIUS ကိုသုံးပေါ့။

ပေါ့ပေါ့ပါးပါးလို့ဆိုတဲ့နေရာမှာလည်း သူတို့ Transport အနေနဲ့ သုံးတဲ့ Protocol က မတူဘူး။ RADIUS က UDP ကိုသုံးတယ်၊ TACACS+ က TCP ကို သုံးတယ်။ ထုံးစံအတိုင်းက TCP က overhead ပိုများတာပေါ့။ TCP က Connection oriented ဆိုတော့ကာ Reliability မှာ အားသာပြန်တယ်။ တဖန် RADIUS က TACACS+ လို the whole packet ကို encryption မလုပ်တဲ့အတွက် လုံခြုံရေးအရလည်း အားနည်းပြန်တယ်။ ဒါတွေက TACACS+ ကို ဇောင်းပေးပြီး ပြောထားတဲ့ အကြောင်းအရာတွေ၊ RADIUS မှာလည်း သူရဲ့ အားသာချက်တွေ ရှိတယ်။ အဓိက ကတော့ ကိုယ်အဖွဲ့အစည်းက လိုအပ်ချက်နဲ့ အခြေအနေပေါ်မူတည်ပြီး ဘာသုံးမလဲဆိုတာ ရွေးရမှာပဲ။ Authorization ကိစ္စကို လျော့ပေါ့ ပြီး စနစ် တစ်ခုတည်း အသုံးပြုရင်လည်း ရတာပဲ။ ဒါမှ မဟုတ် Network Access Control အတွက် RADIUS ကိုသုံး၊ Devices Administration အတွက် TACACS+ ကိုသုံးကြတာတွေ လည်း ဒုနဲ့ဒေးပါပဲ။ ဒါပေမဲ့ Server သက်သာအောင် RADIUS ရော၊ TACACS+ ကို တစ်လုံးထဲမှာ မထားကြဖို့ ကိုတော့ အကြံပေးထားတာတွေ ဖတ်ရတယ်။ အဲဒီလိုလည်း နှစ်ခုစလုံးကို Server တစ်လုံးထဲမှာ တင်ပြီး မသုံးခဲ့ဘူးတော့ ဘာပြဿနာ တွေဖြစ်ကြမလဲဆိုတာတော့ မပြောတတ်ဘူး။

ဒီလောက် ဆိုရင်တော့ ဘာဆိုရင် ဘာသုံး ဆိုတာလောက်တော့ အင်တာဗျူးတွေမှာ ဖြေလို့ရလောက်ပါပြီ။ ဟိုတယ် ဆားဗစ်တွေက နမူနာပါ၊ တကယ်ဆို ဟိုတယ် စနစ်က ဒီထက်ပိုပြီးရှုပ်ထွေးပါတယ်။ တခြား ဘာဝန်ဆောင်မှုတွေ ရှိသေးလည်းဆိုတာ ဆက်စဉ်းစားမနေပါနဲ့။

ကိုဖြိုး။

Saturday 12 August 2017

AAA

Routers/Switches တွေကိုဝင်ရောက်တဲ့အခါ အခြေခံအဖြစ် Enable password/ Line password တို့ကို အသုံး ပြုကြပါတယ်။ ပထမအဆင့် အနေနဲ့ Authentication အတွက်ပါ။ အဲဒီကမှ တဆင့် Local လို့ခေါ်တဲ့ Devices တွေအတွင်းမှာ ထည့်ရေးရတဲ့ User name ကို Privilege Level ခွဲပြီး အသုံးပြုကြပါတယ်။ Authorization အတွက်ပါ။ ပြီးရင် Logging on ပြီးတော့ ဘယ်သူတွေ ဝင်သွားတယ်ဆိုတဲ့ အခြေခံအကျဆုံး Accounting အလုပ်အတွက်ပါ။ AAA (Authentication, Authorization, Accounting) ကို အနိမ့်ဆုံးအနေနဲ့ အသုံးပြုထားတဲ့ ပုံစံလို့ပြောရင် ရပါတယ်။

ဒီလိုအသုံးပြုတဲ့ပုံစံဟာ အရေအတွက်အနည်းငယ် အတွက်တော့ အဆင်ပြေပါတယ်။ ဒါပေမဲ့ ကိုယ့်အဖွဲ့ အစည်း အတွင်းမှာရှိတဲ့ Network Devices တွေရဲ့ အရေအတွက်က များလာပြီ၊ အသုံးပြုတဲ့ ဝန်ထမ်းတွေ များလာပြီ ဆိုရင်တော့ အဆင်မပြေတော့ပါဘူး။ ဥပမာ Router/Switch တွေ အခု ၅၀ လောက်ရှိတဲ့ နေရာမျိုး ဆိုပါတော့။ အဲဒီ အလုံး ၅၀ အတွက် Login AAA အတွက် လိုက်ပြီး ထည့်ဖို့ရာ ခရီးမရောက်ပါဘူး။ Password ပြောင်းဖို့ ကိစ္စတစ်ခုကို အရင်စဉ်းစားကြည့်ပါ။ အကြိမ် ၅၀ လိုက်ပြောင်းရမှာပါ။ နောက်တစ်ခါ ဝန်ထမ်းတစ်ယောက် ထွက်သွားပြီ၊ အသစ် တစ်ယောက်ဝင်လာပြီ ဆိုရင်ကော။ ရှိသမျှ Devices တွေ အားလုံးမှာ လိုက်ပြင်၊ လိုက်ထည့်ရမှာပေါ့။ ဒါဆိုရင် တော့ အဆင်မပြေဘူး၊ အကုန်လုံးကို Enable/Line password နဲ့သာ ပေးဝင်လိုက်ဆိုရင်တော့ အရင်က ရခဲ့တဲ့ အခြေခံ အကျဆုံး AAA လေးပါ ပျောက်သွားမှာ ဖြစ်ပါတယ်။ ဒီကိစ္စကို ဖြေရှင်းဖို့အတွက်ဆိုရင်တော့ AAA server ကို အသုံးပြုရမှာဖြစ်ပါတယ်။

AAA ဆိုဘာလဲ၊ ဘာကြောင့်အရေးကြီးတာလဲဆိုတာကိုတော့ အရင်သိထားဖို့လိုပါလိမ့်မယ်။ AAA ဆိုတာ Authentication, Authorization, Accounting ကိုပြောတာပါ။ မြင်သာအောင် ဥပမာ ပြရမယ်ဆိုရင် အစိုးရ ရုံးတွေကို တစ်ခါလောက် သွားကြည့်လိုက်ပါ။ ရုံးအတွင်းကို ဝင်ဖို့အတွက် ဝန်ထမ်းတွေက ဝန်ထမ်းကဒ်ပြပြီး ဝင်ကြပါတယ်။ ဝန်ထမ်းကဒ်မှာ ဘယ်သူ ဘယ်ဝါဆိုပြီးတော့ အမည်၊ ဌာန၊ ဓါတ်ပုံ တွေနဲ့ သတ်မှတ်ထားတာ ကို တွေ့မှာပါ။ အဲဒါ User Identify လုပ်တာပါ။ လုံခြုံရေးက အဲဒီကဒ်နဲ့ လူနဲ့ကို တိုက်ကြည့်ပြီး ပေးဝင်ပါ တယ်။ ဒါဟာ Identification နဲ့ Authentication process ပါ။ အဲဒီဝန်ထမ်းရဲ့ အချက်အလက်တွေကိုတော့ သူအလုပ်စဝင်တဲ့ အချိန်တုန်းက သတ်မှတ်ပေးပြီး တော့ ဗဟိုထိန်းချုပ်တဲ့ ဖိုင်တွေမှာမှတ်ထားပါတယ်။ AAA server ရဲ့ အစိတ်အပိုင်းတစ်ခုဆိုပါတော့။ အဲဒီ ဗဟိုဖိုင်မှာပဲ သူရဲ့ ရာထူး၊ ဌာနခွဲ အရ သူသွားနိုင်နဲ့ နေရာတွေ၊ လုပ်ပိုင်ခွင့် ရှိတဲ့အရာတွေကို သတ်မှတ်ထားပါတယ်။ အဲဒါကတော့ Authorization ပါ။ ရုံးထဲကို Authenticate လုပ်ပြီး ဝင်လာရုံနဲ့ လုပ်ချင်တာ လုပ်လို့မရပါဘူး။ Authorization နဲ့ ပြန်ခွဲ၊ ပြန်ထိန်းထား ပါတယ်။ ‘Who is trusted to perform which operations’ ။ ပြီးရင် သူရဲ့ ရုံးတက်မှတ်တမ်း၊ လုပ်ပိုင်ခွင့်ရတဲ့ ကိစ္စတွေမှာ ထိုးရတဲ့ လက်မှတ်၊ စတာတွေဟာ သက်သေခံ အချက်အလက်တွေဖြစ်တဲ့ အတွက် Accounting လို့ ဆိုရမှာပါ။ Accounting ဆိုတာက Accountability ကိုပြောတာပါ။ သူရဲ့လုပ်ဆောင်မှုတွေကို စောင့်ကြည့် ဖို့၊ ပြန်လည်စစ်ဆေးနိုင်ဖို့အတွက်ပါ။ Auditing, Logging and monitoring ဆိုတဲ့ အချက်တွေနဲ့ ပြည့်စုံရမှာ ဖြစ်ပါတယ်။

ဒီလုပ်ဆောင်ပုံတွေဟာ Privilege ရှိတဲ့ ဝန်ထမ်းတွေမှာတောင် အဆင့်ဆင့် ခွဲထားပြီး ထိန်းချုပ်ထားတဲ့ ပုံစံပါ။ ဒါဆို ဧည့်သည်တွေဆိုရင်ရော။ သူတို့ကိုတော့ Privilege အနိမ့်ဆုံးဖြစ်တဲ့ Read-only user အဖြစ် မြင်ကြည့်နိုင်ပါတယ်။ ဧည့်သည်တွေလာတဲ့အခါ သူတို့ရဲ့ ကိုယ်ရေးအချက်အလက်တွေကို ယူထားပြီး အနိမ့်ဆုံး Privilege ဖြစ်တဲ့ ရုံးအတွင်း ဝင်ရောက်ခွင့် Visitor pass ကိုသာ ပေးလေ့ရှိပါတယ်။ အခုပြောခဲ့တဲ့ ရုံးအတွင်းဝင်ရောက်တဲ့ပုံစံကို အသုံးပြုတဲ့ Manual documentation process အစား Computerized system နဲ့ အစားထိုးလိုက်မယ်ဆိုရင် ကျွန်တော်တို့ Devices တွေကို Login ဝင်တဲ့ပုံစံနဲ့ ပိုပြီးယှဉ်ကြည့်လို့ ရပါ လိ်မ့်မယ်။ အဲဒီတော့ အပေါ်က ပြဿနာကို ဖြေရှင်းဖို့ ဆက်ရမယ်ဆိုရင် အဲဒီ Devices တွေကိုဝင်ရောက် ဖို့အတွက် Centralized Control ဖြစ်တဲ့ AAA server ထားရှိရပါမယ်။ အဲဒီ Server အတွင်းမှာ Devices list, user list, privilege level စသဖြင့် ထည့်ထားပြီး Devices အားလုံးကနေ အဲဒီ Server ကိုလှမ်းချိတ်ထား ရပါတယ်။ တခုခု အပြောင်းအလည်း လုပ်ချင်ရင် Server မှာ ပြောင်းလိုက်တာနဲ့တင် အကုန်လုံးကို ပြင်ထား ပြီးသွားဖြစ်သွားပါလိမ့်မယ်။ Devices/Clients to Server ကို RADIUS သို့မဟုတ် TACACS+ protocol အသုံးပြုပြီး ချိတ်ဆက်ရပါတယ်။ အဲဒီ အကြောင်းကို သီးသန့်ထပ်ရေးပါအုံးမယ်။

အခုလောက်ဆိုရင် Devices Administration အတွက် AAA server အသုံးပြုရတဲ့ အကြောင်း၊ AAA ဆိုတာ ဘာလဲဆိုတာကို တီးမိခေါက်မိ ရှိလောက်ပြီလို့ ထင်ပါတယ်။

ကိုဖြိုး

Sunday 23 July 2017

INTERPOL WORLD 2017 ပြပွဲအတွင်းမှ အတွေးများ။

Myanmar in the list

ဇူလိုင်လ ၅ရက်နေ့ကနေ ၇ရက်နေ့အထိ ကျင်းပခဲ့တဲ့ INTERPOL WORLD 2017 ကိုရောက်ခဲ့တဲ့ အကြောင်း ဗဟုသုတ အဖြစ် ပြန်လည် ဝေမျှပေးလိုပါတယ်။ အင်တာပို ဆိုတဲ့ အဖွဲ့အစည်းကို ရုပ်ရှင်တွေမှာ၊ သတင်းတွေမှာသာ ကြားဖူးတာပါ။ မြန်မာပြည်က သတင်းတွေမှာလည်း တခါတလေ တွေ့ဖူးပါတယ်။ အစိုးရ ရဲတပ်ဖွဲ့ တွေနဲ့သာ သက်ဆိုင်တဲ့ အဖွဲ့အစည်းဆိုတော့ သေချာသိဖို့လည်း အလှမ်းဝေးပါတယ်။ ဒါပေမဲ့ CISSP ရပြီးတဲ့ အခါမှာ လုံခြုံရေးနဲ့ သက်ဆိုင်တဲ့ ပွဲတွေ၊ ဟောပြောပွဲတွေဆိုရင် CPE point ရဖို့အတွက် သွားရောက်နားထောင်ရသလို၊ IT security ပိုင်းအရလည်း ကိုယ်တိုင်က စိတ်ဝင်စားမှုပိုများလာတဲ့ အတွက် အချိန်ရရင် ရသလို သွားဖြစ်ပါတယ်။ အခုလည်း လုပ်ဖော်ကိုင်ဖက် သူငယ်ချင်းတစ်ယောက်က သွားကြည့်ရ အောင်ဆိုတာနဲ့ ရောက်ဖြစ်ခဲ့တာဖြစ်ပါတယ်။

နိုင်ငံတကာက လာတဲ့ အစိုးရ အဖွဲ့အစည်းတွေ၊ နည်းပညာဆိုင်ရာ အဖွဲ့အစည်းတွေ၊ လုံခြုံရေးနဲ့ပက်သက်ပြီး အသုံးပြုရတဲ့ ပစ္စည်းထုတ်လုပ်သူတွေ၊ IT security ဖက်က Hardware/Software ထုတ်လုပ်သူတွေနဲ့ အတော် စုံလင်ပါတယ်။ အင်တာပိုမှာ အဖွဲ့ဝင်နိုင်ငံပေါင်း ၁၉၀ ရှိတယ်ဆိုပေမဲ့ ပြပွဲအနေနဲ့ ပြတဲ့ နိုင်ငံတွေက အခု ၂၀ လောက်ပဲ ရှိမယ်လို့ ခန့်မှန်းရပါတယ်။ Congress လာတက်တဲ့ အဖွဲ့တွေကတော့ ပိုများမှာပါ။ မြန်မာစကား ပြောသံ အချို့ကိုလည်း ကြားခဲ့ရပါတယ် ဒါပေမဲ့ ကိုယ်တွေလို ပွဲလာကြည့်တာလား၊ မြန်မာပြည်က အစိုးရ အဖွဲ့ ကိုယ်စားပြုလာတာလားတော့ မသိခဲ့ပါ။ ရင်ဘတ်က နာမည်နဲ့ အဖွဲ့ အစည်းကို သေချာမမြင်ခဲ့တာ ကြောင့်ပါ။ အင်တာပိုရဲ့ အဖွဲ့ဝင်နိုင်ငံ ၁၉၀ မှာ မြန်မာနိုင်ငံ ပါပါတယ်။ အင်တာပိုရဲ့ Website မှာလည်း မြန်မာနိုင်ငံ ရဲတပ်ဖွဲ့ အကြောင်းကို ဖော်ပြထားပါတယ်။

https://www.interpol.int/Member-countries/Asia-South-Pacific/Myanmar

အင်တာပိုကိစ္စတွေ၊ ရဲတပ်ဖွဲ့ ကိစ္စတွေ၊ မှုခင်းတွေက ကိုယ့်ကျွမ်းကျင်ရာ၊ ကိုယ့်အပိုင်းမဟုတ်တော့ ထပ်မပြော တော့ပါဘူး။ ကိုယ်နဲ့တိုက်ရိုက်သက်ဆိုင်နေတဲ့ IT Security အကြောင်းပြောကြတာပေါ့။ လွန်ခဲ့တဲ့ ၁၀ နှစ် ၁၅ နှစ်လောက်က Software သမား၊ Hardware သမား၊ Network သမား၊ ရယ်လို့ ကိုယ့်အပိုင်းနဲ့ကိုယ် နေခဲ့ ကြတဲ့ အချိန်ရှိခဲ့ပါတယ်။ အဲဒီအချိန်လောက်မှာ IT Security ပိုင်းက သိပ်ပြီး အရေးပါတဲ့ နေရာမှာ မရှိခဲ့ပါဘူး။ (ကျွန်တော့ သိခဲ့သလောက်နဲ့၊ အမြင်ပါ)။ အင်တာနက် အသုံးပြုမှု အရှိန်တက်လာတဲ့အတူ Security ရဲ့ အရေးပါမှုဟာ ပိုပြီးသိသာ ထင်ရှားလာတယ်လို့ ပြောလို့ရပါတယ်။ အရင်က Antivirus နဲ့ Firewall လောက်သာ အသုံးပြုကြတဲ့ အခြေအနေမျိုးကနေ IPS/IDS တွေ၊ Application တွေအထိ ဝင်ရောက်စစ်ပေးနိုင်တဲ့ ပစ္စည်းမျိုးစုံတွေ တစ်စ တစ်စ နဲ့ ပိုမိုများပြားလာပါတယ်။ တဖက်ကလည်း အင်တာနက်ကို အသုံးပြုပြီး တိုက်ခိုက်လာမှုတွေဟာလည်း ပိုမိုပြင်းထန်လို့လာပါတယ်။ အခုနောက်ဆုံး တိုက်ခိုက်မှုအရ DNS security အပိုင်းဟာ ခေတ်စားလာသလို ပစ္စည်းထုတ်လုပ်သူတွေ အများစုကလည်း အဲဒီအပိုင်းကို လုပ်နိုင်ကြောင်း ကြောငြာလာကြပါတယ်။

နောက်တခါ လုံခြုံရေးအတွက် အရေးကြီးတဲ့ ကိစ္စတစ်ခုဖြစ်တဲ့ Monitoring နဲ့ သက်ဆိုင်တဲ့ ပစ္စည်းတွေဟာ လည်း အဆင့်မြင့်လာကြပါတယ်။ Physical Security အတွက် အဆင့်မြင့် CCTV တွေ၊ Detector တွေ ပေါ်လာသလို၊ IT/Network Security ဖက်မှာလည်း အခြေခံ အရေးကြီးဆုံးဖြစ်တဲ့ Visibility ရအောင် Software တွေသုံး၊ Monitoring အတွက် အမြန်ဆုံးနဲ့ အထိရောက်ဆုံးဖြစ်အောင် ဖော်ပြနိုင်လာတဲ့ ပစ္စည်းတွေ ပေါ်လာပါတယ်။ အဲဒါတွေ အကုန်လုံးကို အင်တာပို ပွဲမှာ တွေ့မြင်ခဲ့ရပါတယ်။ အဲဒီပစ္စည်းတွေ၊ သူတို့ပြောပြတဲ့ ဖြစ်စဉ်တွေကိုကြည့်ပြီး ကျွန်တော်တို့ မြန်မာပြည် အတွက်လည်း ရင်လေးမိပါတယ်။ အထူးသဖြင့် အစိုးရ ရုံးတွေရဲ့ အိုင်တီစနစ်၊ ဘဏ်တွေ၊ ငွေကြေးဆိုင်ရာအဖွဲ့အစည်းတွေအတွက်ပါ။ အဲဒီလိုပြောလို့ ကျန်တဲ့ အဖွဲ့အစည်းတွေအတွက် အရေးမကြီးဘူးလို့ ဆိုလိုခြင်း မဟုတ်ပါ။ Security ဟာ အားလုံးနဲ့ သက်ဆိုင်တဲ့ ကိစ္စပါ။ အဖွဲ့အစည်းတွေသာမက မိမိအိမ်၊ လမ်း၊ မြို့ ၊ နိုင်ငံအတွက် ပါ အလွန် အရေးကြီးပါတယ်။ အစိုးရ အဖွဲ့တွေမှာ Gmail အသုံးပြုနေမှုတွေ၊ အစိုးရရဲ့ လုပ်ငန်းကိစ္စတွေ Facebook ပေါ် အကန့်အသတ်မရှိ ရောက်နေတာတွေဟာ ကျွန်တော်တို့ မြန်မာပြည်မှာ လုံခြုံရေး အသိ အရမ်းနည်းပါး နေတယ် ဆိုတာကို ပြနေသလိုပါပဲ။ မကြာသေးခင်ကပဲ Google က နောက်ဆို Email တွေ ဝင်မဖတ်တော့ ပါဘူးလို့ ကြေငြာသွားပါတယ်။ ဒီတော့ အရင်က ဘယ်သူတွေကို ဘယ်လောက်အထိ ဘာတွေ ဝင်ကြည့်ခဲ့သလို သူတို့ဘာတွေ ရသွားပြီလည်း၊ အဲဒီ အချက်အလက်တွေ ဘယ်တွေကို ထပ်ပို့ပေးသေး လဲဆိုတာ စိတ်ဝင်စားစရာပါ။ အသေချာတော့ အထောက်အထား မရှိတဲ့ အတွက် မပြောနိုင်ပါဘူး။ ဥပမာ တစ်ခု အနေနဲ့ ပြရရင် Gmail အသုံးပြုပြီး ခရီးတစ်ခုသွားဖို့အတွက် လေယာဉ်လက်မှတ် ဝယ်ခဲ့ပါတယ်။ ကျွန်တော် ဘယ်သွားမယ်၊ ဘာလေယာဉ်နဲ့ ဘာအချိန်သွားမယ်ဆိုတာ လက်မှတ်အထဲမှာပဲ ပါပါတယ်။ ဒါပေမဲ့ အဲဒီခရီးသွားမဲ့နေ့ မနက်မှာ Google Reminder တက်လာပါတယ်။ ကျွန်တော် ဘယ်ကို ဘယ်အချိန်သွားဖို့ရှိတယ်၊ မမေ့နဲ့ ဆိုတာမျိုး။ ဘယ်လို နည်းပညာတွေ၊ Data analysis tools တွေ၊ Keywords တွေနဲ့ နည်းပညာပိုင်းအရဖော်ပြနိုင်တယ်ပဲထားအုံး ကျွန်တော့ လက်မှတ်အတွင်းက အချက်ကို မှီငြမ်းထား တာ ရာခိုင်နှုန်းများပါတယ်။ အင်တာနက်မှာလည်း အဲဒီကိစ္စကို အကြိမ်ကြိမိ ဖော်ပြထားတာတွေ တွေ့ရမှာပါ။

ပွဲအကြောင်း ဆက်ကြရအောင်။ အဲဒီပွဲမှာ ဟောပြေခန်းမ ၂ ခုခွဲထားပြီး အဖွဲ့အစည်း အမျိုးမျိုးကနေ လုံခြုံရေးနဲ့ သက်ဆ်ိုင်တဲ့ အကြောင်းအရာတွေ တက်ရောက် ဟောပြောကြပါတယ်။ တချို့ က အတွေ့အကြုံရင့် သဘာတွေပါသလို့၊ ပွဲအတွေ့အကြုံသိပ်မရှိတဲ့ အငယ်တွေလည်း ပါပါတယ်။ ဒါပေမဲ့ သူတို့လည်း တတ်နိုင်သလောက် စင်ပေါ်တက်ပြီး အရဲစွန့်ကြတာတွေ့ရပါတယ်။ ဒါလဲ အရေးကြီးတဲ့ အတွေ့အကြုံတစ်ခုပါ။ ကျွန်တော်တို့ နားထောင်တဲ့နေ့မှာ ဂျပန်နိုင်ငံကအဖွဲ့တွေ ၃ ကြမ်လောက် တက်ပြောပါတယ်။ သူတို့ရဲ့ အဓိက စကားဟာ အင်္ဂလိပ်မဟုတ်တဲ့ အတွက် အားလုံးနားလည်အောင် အတော်ကို ကြိုးစားပြီး ပြေပြကြပါတယ်။ ထူးခြားမှုတစ်ခု အနေနဲ့ ကျွန်တော်တို့ မြန်မာထဲက တစ်ယောက်ပါပါတယ်။ စင်ကာပူ နန်ယန်းပိုလီကျောင်းက IT Security က ဆရာတင်အောင်ဝင်း ပါ။ သူက ISC2 ကိုယ်စားပြု အနေနဲ့ (Cloud Security - Trends in Threat Monitoring & Intelligence ) အကြောင်း ဟောပြောသွားပါတယ်။ အတွေ့ အကြုံရင့် ဆရာတစ်ယောက် ဖြစ်လို့ စကားပြော ကောင်းသလို၊ ပြောပြသွားတဲ့ အကြောင်းအရာကလည်း စိတ်ဝင်စား ဖို့ကောင်းပါတယ်။ အခုလိုပွဲမျိုးမှာ ရှားပါး မြန်မာပညာရှင် တစ်ယောက်ကို စင်ပေါ်မှာ တွေ့ခဲ့ရတာ အားရစရာပါ။ သူပြောပြသွားတဲ့ အထဲမှာရော၊ အရင် ဂျပန်တစ်ယောက် ပြောပြသွားတဲ့ အထဲမှာရော တူနေတာ တစ်ခုက တော့ IT Security ကျွမ်းကျင်တဲ့ ပညာရှင်တွေ မလောက်ငတဲ့ အကြောင်းပါ။ ဂျပန်အနေနဲ့ရော၊ စင်ကာပူရော၊ ရှိသမျှနိုင်ငံတွေ အားလုံမှာပါ လိုအပ်နေတာဖြစ်ပါတယ်။ ကျွန်တော်တို့ မြန်မာပြည်မှာဆိုရင် ပိုပြီးတောင် လိုအပ်မှာပါ။

U Tin Aung Win

ပွဲအတွင်းမှာ ထိုင်နေရင်း၊ နားထောင်နေရင်းနဲ့ အတွေးမျိုးစုံပေါ်လာခဲ့သလို၊ ဘယ်ပွဲရောက်ရောက် ကျွန်တော်တို့ မြန်မာပြည်ရောက်ရှိနေတဲ့ အနေအထားကို ယှဉ်ကြည့်မိပါတယ်။ အိုင်တီနဲ့ ပက်သက်လို့ပါ။ တခြားကိစ္စတွေမပါပါဘူး။ ကျွန်တော့် စိတ်ထဲမှာလည်း ကိုယ့်လူတွေ ရှေ့ရောက်လာအောင်၊ လူငယ်တွေ မြင်လာအောင်၊ လုပ်ချင်တဲ့ စိတ်တွေပေါ်လာပြီး နေရာစုံ၊ ထောင့်စုံမှာ ကျွန်တော့်တို့ လူငယ်တွေ နေရာရလာအောင်ဆိုတဲ့ စိတ်တွေ အရမ်းဖြစ်ပေါ်လာပါတယ်။ Networking နဲ့ ပက်သက်လို့ Telco တွေဝင်မလာခင် ကတည်းက လှုံဆော်ခဲ့ပါတယ်။ Network Skillsets တွေဖြည့်ထားဖို့၊ လုပ်ထားကြဖို့။ အခုဆို Network နဲ့ ပက်သက်တဲ့ အခွင့်အလမ်းတွေ ပေါ်လာပါပြီ။ ISP အသစ်တွေက ခေါ်နေတာတွေလည်း တွေ့လာပါပြီ။ ဒါတွေပြီးရင် နောက်ထပ်လိုက်လာမှာကတော့ အခုပြောပြခဲ့တဲ့ IT Security အလုပ်တွေပါ။ အနှေးနဲ့ အမြန်လိုလာမှာပါပဲ။ ဒီတော့ အားလုံးက Network အခြေခံတွေရပြီ၊ Systems အကြောင်းတွေခိုင်ပြီ၊ Virtualization အကြောင်းတွေ တီးမိခေါက်မိ ရှိပြီဆိုရင် Security ပိုင်းကိုလည်း နည်းနည်းပါးပါးလောက်တော့ လေ့လာထားသင့်ပြီလို အကြံပေးလိုပါတယ်။ Certificate ဖြေဖို့ ပြောတာမဟုတ်ပါ။ Certificate ဟာ Knowledge/ Experience/ Skillset က ရတယ်ပြောပေမဲ့ လွဲမှားတဲ့ လမ်းကြောင်းတွေကနေ လက်မှတ်ရရေးသာ ဦးစားပေးမဖြစ်ဖို့တော့ အရေးကြီးပါတယ်။ ဘာပဲပြောပြော အခုလိုပွဲတွေ သွားခြင်းဟာ ကျွန်တော့်အတွက် အကျိုးရှိသလို ကျွန်တော်မြင်ခဲ့ရတဲ့၊ သိခဲ့ရတဲ့ ကိစ္စတွေကို ပြန်လည်ပြောရတာလည်း မြန်မာပြည်က ညီ၊ညီမ တွေအတွက် ဗဟုသုတ ရနိုင်လိမ့်မယ်လို့ ယူဆပါတယ်။

https://www.interpol-world.com/

ကိုဖြိုး

Saturday 1 July 2017

BGP on XR

IOS XR အပေါ်မှာ BGP ကိုစမ်းကြည့်ဖို့အတွက် iBGP နဲ့ EBGP ပါဝင်တဲ့ ရှင်းလင်းတဲ့ LAB တစ်ခု လုပ်ကြည့်တာပေါ့။ Router ၃ လုံးကို အသုံးပြုထားပြီး ISP အတွက် တစ်လုံး ISP ကိုတိုက်ရိုက်ချိတ်ဆက် ထားတဲ့ CE အနေနဲ့ တစ်လုံး၊ CE ကနေ အတွင်းကို iBGP နဲ့ ပြန်သွားတဲ့ Core အနေနဲ့တစ်လုံး သုံးထား ပါတယ်။ ISP Router ကနေ Public Routes တွေအဖြစ် 10.xx.xx.xx ကနေ 50.xx.xx.xx အထိ ကြေညာ ထားပါတယ်။ CE ဖက်ကလည်း အတွင်းမှာ အသုံးပြုတဲ့ Public Routes တွေ ဖြစ်တဲ့ 100.xx.xx.xx နဲ့ 192.1.1.x. ကို ပြန်လည် ကြေညာမှာ ဖြစ်ပါတယ်။ CE နဲ့ Core အကြားမှာတော့ iBGP အပြင် အောက်ခံ အဖြစ် ISIS ကို အသုံးပြုထားပါတယ်။ ဒါမှသာ iBGP အချင်းချင်း Loopback Interface တွေကနေ တစ်လုံးနဲ့ တစ်လုံး စကားပြောနိုင်မှာ ဖြစ်ပါတယ်။

Configuration ပိုင်းအနေနဲ့ကတော့ သိပ်မကွာပါဘူး။ Address-family တွေရဲ့ အောက်မှာပဲ ရေးပေး ရပါတယ်။ အခြေခံဖြစ်တဲ့ Configuration မှာ သိသိသာသာ ကွာခြားသွားတာကတော့ eBGP အသုံးပြုတဲ့ ပုံပါ။ ရိုးရိုး IOS မှာ BGP Neighbour ဖြစ်ပြီဆိုတာနဲ့ တစ်ဖက်နဲ့ တစ်ဖက် Configuration မှာ ရေးထားတဲ့ အတိုင်း၊ BGP advertisement တွေအတိုင်း Routes တွေ ဖလှယ်ကြပါတယ်။ အဲဒါကို အလွယ်တကူ ကြည့် ချင်ရင် summary နဲ့ ကြည့်လိုက်ယုံပါပဲ။ Prefix ဘယ်နှစ်ခုရတယ် ဆိုတာ ချက်ချင်းသိနိုင်ပါတယ်။ XR မှာတော့ ဒီအတိုင်းဆိုရင် 0 Prefix အနေနဲ့မြင်ရပါလိမ့်မယ်။ တစ်ဖက်နဲ့ တစ်ဖက် Routes တွေ အပြန်အလှန် ပို့ဖို့အတွက် RPL လို့ ခေါ်တဲ့ Route policy ထည့်ပေးမှသာ Routes တွေကိုမြင်ရမှာ ဖြစ်ပါတယ်။ iBGP အချင်းချင်းဆိုရင်တော့ မလိုပါဘူး။

IOS မှာ အဲဒီလိုမျိုး ထိန်းချုပ်ဖို့ အတွက် Route-map တွေနဲ့ အသုံးပြုရပါတယ်။ RPL က route-map ထက် ပိုမိုကောင်းမွန်ပြီး လိုချင်တဲ့ Route attributes တွေပေါ်မူတည်ပြီး ဘာလုပ်မလဲဆိုတာမျိုးကို If/else statement တွေနဲ့ တွဲပြီး ဘာဖြစ်ရင် ဘာလုပ်မယ်၊ ဘယ်လိုပြောင်းမယ် ဆိုပြီး ကိုယ်ကြိုက်တဲ့ ပုံစံအတိုင်း အသုံးပြုလို့ ရပါတယ်။ RPL ကိုတော့ အစုံသုံးတတ်အောင် သီးသန့်ထပ်ပြီး လေ့လာရပါလိမ့်မယ်။ အခု LAB မှာတော့ ISP က လာတဲ့ Routes တွေကနေ 10.xx.xx.xx ကို လက်မခံပဲ တခြား Routes များကိုသာ လက်ခံတဲ့ ပုံစံ အနေနဲ့ စမ်းထားပါတယ်။ BGP ရဲ့ အလုပ်လုပ်ပုံ၊ IOS မှာ အသုံးပြုခဲ့တဲ့ အခြေခံတွေကိုသာ သိထားမယ် ဆိုရင် XR ပေါ်မှာလည်း လိုအပ်တဲ့ Configuration တွေကို လိုက်လုပ်နိုင်မှာ ဖြစ်ပါတယ်။

အခုအခြေအနေက CE နဲ့ CORE အကြားမှာ ISIS သုံးထားပြီး CORE မှာ ရှိတဲ့ Public routes ဖြစ်တဲ့ 192.168.1.2 နဲ့ 192.168.1.3 ကို ISIS ကနေ ပို့ထားတာဖြစ်ပါတယ်။ 100.100.100.1 နဲ့ .2 ကိုတော့ BGP ကနေ တင်မှာဖြစ်ပါတယ်။

RP/0/0/CPU0:CExrv#sh ip route

L    192.1.1.1/32 is directly connected, 00:05:23, Loopback1
i L2 192.1.1.2/32 [115/10] via 192.168.1.2, 00:02:16, GigabitEthernet0/0/0/1
i L2 192.1.1.3/32 [115/10] via 192.168.1.2, 00:02:16, GigabitEthernet0/0/0/1
C    192.168.1.0/30 is directly connected, 00:05:23, GigabitEthernet0/0/0/1
L    192.168.1.1/32 is directly connected, 00:05:23, GigabitEthernet0/0/0/1
C    200.200.200.0/30 is directly connected, 00:07:53, GigabitEthernet0/0/0/0
L    200.200.200.2/32 is directly connected, 00:07:53, GigabitEthernet0/0/0/0

Core-VXR#sh ip route

      100.0.0.0/32 is subnetted, 2 subnets
C        100.100.100.1 is directly connected, Loopback3
C        100.100.100.2 is directly connected, Loopback4
      192.1.1.0/32 is subnetted, 3 subnets
i L2     192.1.1.1 [115/10] via 192.168.1.1, 00:19:42, FastEthernet0/0
C        192.1.1.2 is directly connected, Loopback1
C        192.1.1.3 is directly connected, Loopback2
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/30 is directly connected, FastEthernet0/0
L        192.168.1.2/32 is directly connected, FastEthernet0/0

iBGP တက်သွားရင်တော့ 100.x.x.x routes တွေကို BGP Routes တွေအနေနဲ့ တွေ့ရမှာဖြစ်ပါတယ်။ အပြင် ISP ကို summary routes အနေနဲ့ ပို့ဖို့အတွက် Null0 ကို ထောက်ထားတဲ့ Static routes တွေကို တွေ့ပါလိမ့်မယ်။ XR မှာ Static route ကိုလည်း address-family ပုံစံမျိုးနဲ့ပဲ ရေးပါတယ်။

router static
address-family ipv4 unicast
100.100.100.0/30 Null0
192.1.1.0/24 Null0

RP/0/0/CPU0:CExrv#sh ip route

S    100.100.100.0/30 is directly connected, 00:00:07, Null0
B    100.100.100.1/32 [200/0] via 192.1.1.2, 00:04:13
B    100.100.100.2/32 [200/0] via 192.1.1.2, 00:04:13
S    192.1.1.0/24 is directly connected, 00:00:07, Null0
L    192.1.1.1/32 is directly connected, 00:45:03, Loopback1
i L2 192.1.1.2/32 [115/10] via 192.168.1.2, 00:41:55, GigabitEthernet0/0/0/1
i L2 192.1.1.3/32 [115/10] via 192.168.1.2, 00:41:55, GigabitEthernet0/0/0/1
C    192.168.1.0/30 is directly connected, 00:45:03, GigabitEthernet0/0/0/1
L    192.168.1.1/32 is directly connected, 00:45:03, GigabitEthernet0/0/0/1
C    200.200.200.0/30 is directly connected, 00:47:32, GigabitEthernet0/0/0/0
L    200.200.200.2/32 is directly connected, 00:47:32, GigabitEthernet0/0/0/0

BGP အားလုံးတက်သွားပြီဆိုရင် iBGP က ရတဲ့ Prefix count 2 ကိုမြင်ရပေမယ့် eBGP မှာတော့ 0 ကိုပဲ တွေ့ နေရမှာပါ။ ဒါကတော့ RPL အသုံးမပြုရသေးလို့ ဖြစ်ပါတယ်။

RP/0/0/CPU0:CExrv#sh bgp ipv4 unicast summary
BGP router identifier 192.1.1.1, local AS number 192
BGP generic scan interval 60 secs
BGP table state: Active
Table ID: 0xe0000000   RD version: 6
BGP main routing table version 6
BGP scan interval 60 secs

BGP is operating in STANDALONE mode.

Process       RcvTblVer   bRIB/RIB   LabelVer ImportVer SendTblVer StandbyVer
Speaker               6          6          6          6           6           6

Neighbor        Spk    AS MsgRcvd MsgSent   TblVer InQ OutQ Up/Down St/PfxRcd
192.1.1.2         0   192      15      13        6    0    0 00:09:43          2
200.200.200.1     0   200      29      27        6    0    0 00:00:05          0!

RPL အသုံးပြုပြီးသွားရင်တော့ eBGP ကနေ ရလာတဲ့ Prefix counts 5 ကိုမြင်ရပါလိမ့်မယ်။ AS 200 ကနေလာတဲ့ Routes ၅ ခုတွေ့ရပါတယ်။ လက်ရှိပုံစံမှာ ဘာလာလာ အကုန်လက်ခံတဲ့ ပုံစံမျိုးနဲ့ သုံးထားတဲ့ Pass All RPL ဖြစ်ပါတယ်။

P/0/0/CPU0:CExrv#sh bgp ipv4 unicast summary

Neighbor        Spk    AS MsgRcvd MsgSent   TblVer InQ OutQ Up/Down St/PfxRcd
192.1.1.2         0   192      16      15       11    0    0 00:10:59          2
200.200.200.1     0   200      31      29       11    0    0 00:01:21          5

RP/0/0/CPU0:CExrv#sh bgp ipv4 unicast

Origin codes: i - IGP, e - EGP, ? - incomplete
   Network            Next Hop            Metric LocPrf Weight Path
*> 10.10.10.0/24      200.200.200.1            0             0 200 ?
*> 20.20.20.0/24      200.200.200.1            0             0 200 ?
*> 30.30.30.0/24      200.200.200.1            0             0 200 ?
*> 40.40.40.0/24      200.200.200.1            0             0 200 ?
*> 100.100.100.0/30   0.0.0.0                  0         32768 i
*>i100.100.100.1/32   192.1.1.2                0    100      0 i
*>i100.100.100.2/32   192.1.1.2                0    100      0 i
*> 192.1.1.0/24       0.0.0.0                  0         32768 i
*> 200.200.200.0/30   200.200.200.1            0             0 200 ?

အဲဒီကမှ တဆင့် eBGP ကလာတဲ့ Routes တွေကနေ 10.x.x.x ကို လက်မခံတော့ပဲ ကျန်တာတွေကိုသာ လက်ခံမယ်ဆိုတဲ့ RPL နဲ့ အစားထိုးလိုပါမယ်။ ဒါဆိုရင်တော့ 10.x.x.x ပျောက်သွားတာကိုတွေ့ရပါလိမ့်မယ်။

Origin codes: i - IGP, e - EGP, ? - incomplete
   Network            Next Hop            Metric LocPrf Weight Path
*> 20.20.20.0/24      200.200.200.1            0             0 200 ?
*> 30.30.30.0/24      200.200.200.1            0             0 200 ?
*> 40.40.40.0/24      200.200.200.1            0             0 200 ?
*> 100.100.100.0/30   0.0.0.0                  0         32768 i
*>i100.100.100.1/32   192.1.1.2                0    100      0 i
*>i100.100.100.2/32   192.1.1.2                0    100      0 i
*> 192.1.1.0/24       0.0.0.0                  0         32768 i
*> 200.200.200.0/30   200.200.200.1            0             0 200 ?

CE router မှာ အသုံးပြုထားတဲ့ RPL နဲ့ BGP Configuration ပုံစံပါ။ CE config ကိုကြည့်လိုက်တာနဲ့ ISP Router ကို အလွယ်တကူ ခန့်မှန်းလို့ ရနိုင်သလို CORE ကလည်း IOS အသုံးပြုထားတဲ့အတွက် မဖော်ပြတော့ပါဘူး။

CExrv

prefix-set 10Route
10.10.10.0/24
end-set
!
route-policy PASS
pass
end-policy
!
route-policy Block10
if destination in 10Route then
    drop
else
    pass
endif
end-policy
!

router bgp 192
address-family ipv4 unicast
network 100.100.100.0/30
network 192.1.1.0/24
!
neighbor 192.1.1.2
remote-as 192
update-source Loopback1
address-family ipv4 unicast
   next-hop-self
   soft-reconfiguration inbound
!
!
neighbor 200.200.200.1
remote-as 200
address-family ipv4 unicast
   route-policy Block10 in
   route-policy PASS out

ကိုဖြိုး

Sunday 11 June 2017

ဝမ်းသာရမှာလား ဝမ်းနည်းရမှာလား CCEP

မကြာသေးခင်ကပဲ Cisco ကနေ Cisco Continuing Education Program ဆိုပြီး မိတ်ဆက်လိုက်တာ ဖတ်လိုက်ရတယ်။ CCIE/CCDE တို့ရထားတဲ့ Expert Level Certificates holders အတွက် စာမေးပွဲဖြေဆိုစရာမလိုပဲ သက်တမ်းတိုးဖို့အတွက်ပါ။ လက်ရှိ စနစ်ဖြစ်တဲ့ စာမေးပွဲတွေ ဖြေဆိုပြီး သက်တမ်းပြန်ယူရတဲ့ ပုံစံ အပြင် နောက်ထပ် ပုံစံတမျိုးနဲ့ သွားလို့ရသွားတာပေါ့။ လိုအပ်ချက်တွေကတော့ အခုလို ဖော်ပြထားကို တွေ့ရပါတယ်။

    •    Agree to the Terms and Conditions associated with the Continuing Education Program as part of the enrollment process
    •    Earn 100 credits required by completing any of the preapproved Continuing Education offerings
    •    Pay the Continuing Education administrative fee

သက်တမ်းမကုန်ခင်မှာ CEP Credit ၁၀၀ ပြည့်အောင်လုပ်ရမယ်။ ပြီးရင် Admin Fee $300 ပေးရမယ်။ ဒါဆိုရင် စာမေးပွဲဖြေစရာ မလိုပဲ သက်တမ်းတိုးပြီးသား ဖြစ်သွားပါမယ်။ Credit ၁၀၀ ပြည့်ဖို့အတွက် နည်းလမ်း အမျိုးမျိုးရှိပါတယ်။ သင်တန်းတွေ တက်မလား၊ စာရေးမှာလား၊ Cisco Live က နည်းပညာ ဟောပြောပွဲတွေ တက်မလား စသဖြင့် ကိုယ်အဆင်ပြေတဲ့ နည်းလမ်းနဲ့ ဖြည့်လို့ရပါတယ်။ ဒါပေမယ့် Credit ပေးတာ အများဆုံးကတော့ သင်တန်းတွေ တက်တာပါပဲ။

Cisco သင်တန်းတွေဟာ အများအားဖြင့်ဈေးကြီးပါတယ်။ US $3000 လောက် ကနေ စပြီး အဆင့်ဆင့် ရှိပါတယ်။ ကျွန်တော် CCIE Bootcamp တက်ခဲ့တုန်းကဆိုရင် $5000 လောက်ရှိပါတယ်။ တခြား Product training တွေလည်း အတူတူပါပဲ။ ဒါပေမယ့် Partner Company တွေအနေနဲ့ အလကား တက်ခွင့်ရှိပါတယ်။ ဒီတော့ အဲဒီလို အဖွဲ့အစည်းတွေမှာ အလုပ်လုပ်နေတဲ့ သူတွေအတွက်တော့ အဆင်ပြေပါတယ်။ အဲဒီလို တက်ခွင့် မရှိသူတွေအဖို့ကတော့ Credit ၁၀၀ ပြည့်အောင် ခန့်မှန်း အနေနဲ့ $10000 လောက် အသုံးပြုရမလို ဖြစ်နေပါတယ်။ Cisco Live တက်ရင်လည်း ဝင်ကြေး၊ ခရီးစရိတ်၊ တည်းခိုခနဲ့ ပေါင်းလိုက်ရင် $5000 လောက် တော့ သွားမှာပါပဲ။ နောက်ပြီးတော့ Cisco Live က ရမဲ့ Credit ကို ၇၀ အထိသာ ကန့်သတ် ထားပါတယ်။

အရင်က PEC (Partner Education Connection) ဆိုပြီး ရှိပါတယ်။ အဲဒီမှာ အွန်လိုင်းသင်တန်းတွေ၊ လက်တွေ့ လုပ်ဖို့အချိန်တွေ အလကား အသုံးပြုခွင့် ရှိပါတယ်။ ပီးခဲ့တဲ့ နှစ်အနည်းငယ်က PEC အစား Cisco SalesConnect ဆိုပြီး ပြောင်းလိုက်ပါတယ်။ PEC မှာရခဲ့တဲ့ အတိုင်း ရသေးသလားတော့ သေသေချာချာ မကြည့်ရသေးဘူး။ အဲဒါတွေကနေပြီး Credit အတွက် ရနိုင်မယ်ဆိုရင်တော့ ငွေကြေးအားဖြင့် အနည်းငယ် သက်သာစေနိုင်ပါတယ်။ ဒါပေမယ့် ဒါလည်း Partner Level Company မှာ ရှိနေတဲ့သူအတွက်ပဲ အဆင်ပြေ မှာပါ။ Cisco Live website မှာ အရင့် အရင်ပွဲတွေက ဟောပြောထားတဲ့ နည်းပညာ ဟောပြောပွဲတွေ အများကြီးရှိပါတယ်။ အလွန်ကောင်းပါတယ်။ ဒါပေမယ့် အဲဒီ အကြောင်းအရာတွေ (Offline archive videos/presentation) တွေကို အသုံးပြုပြီး Credit ယူလို့ ရ မရဆိုတာတော့ သေသေချာချာရှင်းပြထားတာ မတွေ့မိသေးပါဘူး။ အဲဒီဟာတွေကနေ Credit ပေးသင့်ပါတယ်။

ဒီလိုပုံစံမျိုးကို (ISC)² ရဲ့ Certificates တွေဖြစ်တဲ့ CISSP လိုမျိုး လက်မှတ်တွေမှာအသုံးပြုနေတာ ကြပါပြီ။ CPE (Continuing Professional Education) လို့ခေါ်တယ်။ တစ်နှစ်ကို အခု ၄၀ နဲ့ ၃ နှစ်အတွက် စုစုပေါင်း ၁၂၀ ပြည့်အောင် တင်ပေးရတယ်။ သူကတော့ Vendor Specific မဟုတ်တဲ့အတွက် ကြိုက်တဲ့ဟာ လေ့လာ လို့ရပါတယ်။ Security နဲ့ ပက်သက်တာတွေရော မပက်သက်တာတွေကိုပါ ခွင့်ပြုပါတယ်။ စာရေးလို့ရတယ်၊ စာအုပ်ဝယ်ဖတ်ပြီး ကိုယ်ဘယ်လောက် နားလည်တယ်ဆိုတာ ရေးတင်လို့ရတယ်၊ အွန်လိုင်းဟောပြောပွဲတွေ နားထောင်လို့ရတယ် စသဖြင့် နည်းလမ်းမျိုးစုံရှိပါတယ်။ အများစုက အခမဲ့ပါ။ အလကားပါ။ တပြားမှ မပေးရပါ။ နှစ်စဉ်ကြေး $85 သွင်းရပါတယ်။ အခမဲ့ CPE တွေက Credit ပေးတာနည်းတယ်ဆိုရင် ကိုယ်ကြိုက် တဲ့ သင်တန်းကို ပိုက်ဆံပေးတက်၊ ပြီးရင် Credit ရဖို့အတွက် တင်ပြရင်လည်း ရနိင်ပါတယ်။ 1hr session = 1 CPE ပါ။ အခပေးရော အခမဲ့ ပါ နှစ်မျိုးစလုံးနဲ့ CPE ကို ဖြည့်လို့ရပါတယ်။

ဒီတော့ Cisco အနေနဲ့လည်း တကယ်သာ ဖြစ်စေချင်ရင် အခုထက်ပိုတဲ့ Resource တွေထပ်မံဖြည့်တင်းပြီး အခမဲ့ ရနိုင်မဲ့ နည်းလမ်းများကို လည်းထပ်ထည့်ပေးသင့်တယ်လို့ထင်ပါတယ်။ အဲဒီလိုမှ မဟုတ်ရင်တော့ ရည်ရွယ်ချက်က သိပ်ပြီးတော့ အားရစရာမရှိပါဘူး။ တနည်းအားဖြင့် အခပေး သင်တန်းများကို တက်လာအောင်၊ Cisco Live ကို ပိုပြီး လူလာအောင် လုပ်တဲ့ Marketing နဲ့ ဆက်နွယ်တဲ့ အစီအစဉ်တစ်ခုလို့ ထင်ရပါတယ်။ ဒီအတိုင်းဖြေရင် Written exam အတွက် စာအုပ်ဝယ်ဖတ်တာ၊ စာမေးပွဲကြေး သွင်းတာ $1000 ဆို လောက်ပါပြီ။ ဒီတော့ အခုလို အစီအစဉ်မျိုး ပြောင်းလာတာ ဝမ်းသာစရာဆိုပေမယ့် $$$ Focus ဖြစ်နေပုံထောက် တာကတော့ သိပ်မနိပ်ပါဘူး။

https://learningnetwork.cisco.com/community/certifications/cisco-continuing-education-program