บทความนี้จะพูดถึง netflow ซึ่งเป็น protocol propietary ของ Cisco นะครับ ซึ่งก็คือ Cisco เป็น vendor เดียวที่พัฒนาโปรโตคอลนี้ขึ้นมาและนำมาใช้ในลักษณะการบริหารจัดการเครือข่ายผ่านอุปกรณ์ที่รองรับได้
เมื่อเราเปิดพอร์ตหรือ VLAN ให้เริ่มฟังก์ชั่นการทำงานของ Netflow ขึ้นบนอุปกรณ์ สิ่งที่เกิดขึ้นก็คือ พอร์ต หรือ VLAN นั้นๆ จะทำการพ่นข้อมูลตามตัวอย่างด้านล่างออกมาครับ
• IP source address
• IP destination address
• Source port
• Destination port
• Layer 3 protocol type
• Type of service
• Router or switch interface
ปัจจุบัน Netflow ได้ออก version มาหลายๆ version ได้แก่ V.1, 5, 7 (บน Cat6500) และ 9 ตามลำดับ ปกติแล้วทั่วๆ ไป admin มักจะเปิดการทำงาน version 5 ส่วน vesion 9 ก็จะเหมือน version 5 เกือบทุกอย่างครับ ยกเว้นสิ่งที่มันเพิ่มขึ้นมาก็คือ มันจะบอก Source และ Destination MAC Addresses ด้วยครับ
โดยปกติแล้ว Netflow สามารถ enable ได้บนเราเตอร์เกือบทุก Series ของ Cisco แต่บนสวิตซ์จะสามารถใช้งานได้บาง Series เท่านั้นนะครับ อย่างเช่นตระกูลของ Catalyst 4500+Sup V, Catalyst 4500+Sup IV+Netflow daughter card และ Catalyst 6500 Series เท่านั้นครับ
เอาหละครับ คราวนี้ก็เป็นตัวอย่างของการเปิด Netflow บน ios ของ Catalyst 6500 Series นะครับ ผมเชื่อว่าหลายๆ มหาวิทยาลัยก็ใช้งานกันอยู่เหมือนกัน เพราะ Netflow มันมีประโยชน์มากจริงๆ โดยเฉพาะหากเรามี Netflow Collector Software อยู่แล้วด้วย เช่น CS-MARS, Netflow Analyzer ของ Manage Engine เป็นต้น
IOS(config)# mls netflow
IOS(config)# mls flow ip interface-full
IOS(config)# mls flow ipv6 interface-full
IOS(config)# mls nde sender version 7
IOS(config)# ip flow-export source vlan 1
IOS(config)# ip flow-export destination 10.10.10.100 200
วิธีตรวจสอบบน ios นะครับ เราจะใช้คำสั่ง
IOS# sh mls netflow ip
ขอขอบคุณหนังสือ LAN Switching Security 2007 จาก Cisco Press ด้วยครับ :)
วันเสาร์ที่ 20 มิถุนายน พ.ศ. 2552
วันอาทิตย์ที่ 14 มิถุนายน พ.ศ. 2552
How do I connect multiple CallManager Express systems?
วิธีการเชื่อมต่อ CallManager Express ทั้ง 2 ฝั่งเข้าหากัน หรือการทำ SIP Trunk นะครับ สามารถทำได้โดยตัวอย่างด้านล่าง ซึ่งเราจะใช้คำสั่ง dial-peer บน ios ที่อยู่ในเราเตอร์ ISR ของ Cisco นะครับ
CCME-A
dial-peer voice 10 voip
description Connection to CCME-B
destionation-pattern 11..
session target ipv4:192.168.2.1
telephony-service
call-forward pattern 1...
transfer-system full-consult
transfer-pattern 1...
CCME-B
dial-peer voice 10 voip
description Connection to CCME-A
destionation-pattern 10..
session target ipv4:192.168.1.1
telephony-service
call-forward pattern 1...
transfer-system full-consult
transfer-pattern 1...
CCME-A
dial-peer voice 10 voip
description Connection to CCME-B
destionation-pattern 11..
session target ipv4:192.168.2.1
telephony-service
call-forward pattern 1...
transfer-system full-consult
transfer-pattern 1...
CCME-B
dial-peer voice 10 voip
description Connection to CCME-A
destionation-pattern 10..
session target ipv4:192.168.1.1
telephony-service
call-forward pattern 1...
transfer-system full-consult
transfer-pattern 1...
802.11N For Next Generation WIFI
ผมขออนุญาตพูดถึงเรื่องอุปกรณ์ WLAN นะครับ โดยเฉพาะ 802.11n standard ซึ่งเป็น มาตรฐานที่เราหลายคนรู้จักกันไปแล้วบ้างนะครับ ไม่มากก็น้อย อาจจะรู้จักผ่านทาง เครื่องคอมพิวเตอร์โน๊ตบุ๊คที่เราได้ซื้อมา เพราะการ์ด wireless เรารองรับ 802.11 b/g/n อะไรทำนองนี้นะครับ ก่อนอื่นผมขออนุญาตเล่าก่อนนะครับว่า 802.11n นี้มันจะเป็น generation ใหม่ของ WIFI ซึ่งสามารถให้ throuput ในการรับส่งข้อมูลระหว่างอุปกรณ์ได้ถึง 300 Mbps ซึ่งจะมากกว่ามาตรฐาน 802.11a/b/g ในปัจจุบันที่รองรับได้แค่เพียง 54 Mbps เกือบ 6 เท่าเลยทีเดียวครับ นึกภาพง่ายๆ ครับ เมื่อก่อนเราขับรถช่องทางเดียว แถมดินลูกรัง แต่ปัจจุบัน และอนาคตมีเลน หรือช่องทางเดินรถเพิ่มขึ้นมาเป็น 6 ช่องทาง แถมทางเรียบขึ้นอีก ก็จะทำให้รถวิ่งได้เร็วมากขึ้นนั่นเองครับ
ในช่วงนี้เราสามารถใช้งาน 11n แบบเป็น draft ก่อนนะครับ ซึ่ง vendor หลายๆ สำนักก็ได้ทำการผลิต chip ที่รองรับมาตรฐานตัวนี้ Feature ที่น่าสนใจก็คือ MIMO (Multiple Input Multiple Output) มันสามารถรวม channel และเร่งในการส่ง Frame ข้อมูลได้ อีกทั้งยังกันสัญญาณรบกวน Wireless Network ข้างเคียง รวมทั้งอุปกรณ์อื่นๆที่ใช้ความถี่เหมือนกัน ซึ่งตัว802.11n นี้รองรับความถี่ได้ที่ 2.4 และ 5 GHz ครับ
ที่เล่าๆ มาเนี่ย เพื่อจะมาจับโยงเข้ากับตัว Cisco SMB ตัวนึงครับ :) ก็คือ WAP4410N ซึ่งเหมาะสำหรับ SMB Solution ครับ หากเป็น Enterprise Solution Cisco จะใช้ product อีกตัว ซึ่งไว้มีโอกาสผมจะมาแนะนำให้ฟังนะครับ ตัว Access Point ที่เหมาะสำหรับ Enterprise Solution นั้น ถูก Implement ไปที่โรงแรมโอเรียลเต็ล ไปเรียบร้อยแล้วครับ
เอาหละผมจะอธิบาย Feature หลักๆ ที่มันสามารถทำได้นะครับ และเป็น key สำคัญของอุปกรณ์ตัวนี้ครับ
- มี LAN พอร์ตเป็นแบบ Gigabit Ethernet (เน้นนะครับว่าเป็น gigabit หากวิ่งได้เพียง 10/100Mbps ก็จะเป็น bottleneck นะครับ เนื่องจาก wireless มันรับอยู่ที่ 300 Mbps เพราะฉะนั้นแล้วต้องสังเกตดีๆ นะครับ บาง product เองบอกว่ารองรับ 802.11n แต่พอร์ตสวิตซ์ที่เชื่อมต่อเข้ากับ network switch นั้นรองรับเพียงแค่ 10/100 Mbps ก็อาจจะทำให้เกิดปัญหาเรื่องคอขวดขึ้นมาได้ครับ)
- รองรับ POE และ DC Power ครับ เพราะฉะนั้นเราสามารถใช้ power injector มาเสียบเข้ากับตัวนี้ได้ครับ แต่ต้องหา 3'rd party ที่รองรับ 802.3af นะครับ เพราะ Cisco SMB ไม่ได้ทำการผลิต power injector ครับ- รองรับทำ Multiple SSID ได้ไม่น้อยกว่า 4 SSID และสามารถ map เข้ากับ vlan ได้ มีประโยชน์ในการทำ policy แต่ละ SSID ครับ เช่น เราแยกวง guest ออกจากวง office นั่นเองครับ
- สามารถเลือกโหมดการทำงานอุปกรณ์ได้ดังนี้ครับ
1. Access Point Mode
2. Point-to-point Bridge Mode
3. Point-to-multipoint Bridge Mode
4. Repeater Mode
5. Wireless Client Mode
- รองรับระบบความปลอดภัยต่างๆ ดังนี้ครับ
1. WEP 64-Bit/128-Bit
2. WPA-PSK, WPA2-PSK
3. WPA2-ENT
4. WPA-ENT authentication
5. SSID Broadcast enable/disable
6. IEEE 802.1X, IEE 802.1X supplicant
- รองรับการทำ QoS 4 Queues และ WMM Wireless Priority
- Rogue AP detection สามารถ detect access point แปลกปลอมที่เข้ามา network ภายในบริษัท หรือสำนักงานของเราได้
- Auto-Channel selection มันสามารถเลือก channel เองได้ และ switch channel ไม่ชนกันครับ feature นี้จะคล้ายๆ กับ Cisco Aironet เลยครับ
- รองรับการบริหารจัดการอุปกรณ์ผ่าน WEB Brower (HTTP/HTTPS) และ SNMP Version 1, 2c ได้เผื่อใครจะเก็บ log ก็ใช้ SNMP sync ไปเก็บไว้ที่ Log Server ของเราครับ
- เป็น Linux fireware ดังนั้นมันจึงสามารถ upgrade หรือเขียน code ใส่เพิ่มให้มันได้ ซึ่งหลายๆ คนคงชอบครับ :)
รักษาสุขภาพด้วยนะครับ ปลอดภัยจากชิคุนกุนยา และหวัดใหญ่ 2009 โรคนี้มันเริ่มเข้ามาแถวบ้านเราเยอะขึ้น ผมได้รับฟังจากข่าว ที่สงขลาและภูเก็ตก็มีผู้ติดเชื้อหวัดใหญ่ 2009 แล้วด้วย ฝากไว้นิดหน่อยครับ กินของร้อน ช้อนกลาง ล้างมือบ่อยๆ ครับ ฉบับนี้ไว้แค่นี้ก่อนนะครับ ไว้เจอกันใหม่ฉบับหน้า สวัสดีครับ :)
ในช่วงนี้เราสามารถใช้งาน 11n แบบเป็น draft ก่อนนะครับ ซึ่ง vendor หลายๆ สำนักก็ได้ทำการผลิต chip ที่รองรับมาตรฐานตัวนี้ Feature ที่น่าสนใจก็คือ MIMO (Multiple Input Multiple Output) มันสามารถรวม channel และเร่งในการส่ง Frame ข้อมูลได้ อีกทั้งยังกันสัญญาณรบกวน Wireless Network ข้างเคียง รวมทั้งอุปกรณ์อื่นๆที่ใช้ความถี่เหมือนกัน ซึ่งตัว802.11n นี้รองรับความถี่ได้ที่ 2.4 และ 5 GHz ครับ
ที่เล่าๆ มาเนี่ย เพื่อจะมาจับโยงเข้ากับตัว Cisco SMB ตัวนึงครับ :) ก็คือ WAP4410N ซึ่งเหมาะสำหรับ SMB Solution ครับ หากเป็น Enterprise Solution Cisco จะใช้ product อีกตัว ซึ่งไว้มีโอกาสผมจะมาแนะนำให้ฟังนะครับ ตัว Access Point ที่เหมาะสำหรับ Enterprise Solution นั้น ถูก Implement ไปที่โรงแรมโอเรียลเต็ล ไปเรียบร้อยแล้วครับ
เอาหละผมจะอธิบาย Feature หลักๆ ที่มันสามารถทำได้นะครับ และเป็น key สำคัญของอุปกรณ์ตัวนี้ครับ
- มี LAN พอร์ตเป็นแบบ Gigabit Ethernet (เน้นนะครับว่าเป็น gigabit หากวิ่งได้เพียง 10/100Mbps ก็จะเป็น bottleneck นะครับ เนื่องจาก wireless มันรับอยู่ที่ 300 Mbps เพราะฉะนั้นแล้วต้องสังเกตดีๆ นะครับ บาง product เองบอกว่ารองรับ 802.11n แต่พอร์ตสวิตซ์ที่เชื่อมต่อเข้ากับ network switch นั้นรองรับเพียงแค่ 10/100 Mbps ก็อาจจะทำให้เกิดปัญหาเรื่องคอขวดขึ้นมาได้ครับ)
- รองรับ POE และ DC Power ครับ เพราะฉะนั้นเราสามารถใช้ power injector มาเสียบเข้ากับตัวนี้ได้ครับ แต่ต้องหา 3'rd party ที่รองรับ 802.3af นะครับ เพราะ Cisco SMB ไม่ได้ทำการผลิต power injector ครับ- รองรับทำ Multiple SSID ได้ไม่น้อยกว่า 4 SSID และสามารถ map เข้ากับ vlan ได้ มีประโยชน์ในการทำ policy แต่ละ SSID ครับ เช่น เราแยกวง guest ออกจากวง office นั่นเองครับ
- สามารถเลือกโหมดการทำงานอุปกรณ์ได้ดังนี้ครับ
1. Access Point Mode
2. Point-to-point Bridge Mode
3. Point-to-multipoint Bridge Mode
4. Repeater Mode
5. Wireless Client Mode
- รองรับระบบความปลอดภัยต่างๆ ดังนี้ครับ
1. WEP 64-Bit/128-Bit
2. WPA-PSK, WPA2-PSK
3. WPA2-ENT
4. WPA-ENT authentication
5. SSID Broadcast enable/disable
6. IEEE 802.1X, IEE 802.1X supplicant
- รองรับการทำ QoS 4 Queues และ WMM Wireless Priority
- Rogue AP detection สามารถ detect access point แปลกปลอมที่เข้ามา network ภายในบริษัท หรือสำนักงานของเราได้
- Auto-Channel selection มันสามารถเลือก channel เองได้ และ switch channel ไม่ชนกันครับ feature นี้จะคล้ายๆ กับ Cisco Aironet เลยครับ
- รองรับการบริหารจัดการอุปกรณ์ผ่าน WEB Brower (HTTP/HTTPS) และ SNMP Version 1, 2c ได้เผื่อใครจะเก็บ log ก็ใช้ SNMP sync ไปเก็บไว้ที่ Log Server ของเราครับ
- เป็น Linux fireware ดังนั้นมันจึงสามารถ upgrade หรือเขียน code ใส่เพิ่มให้มันได้ ซึ่งหลายๆ คนคงชอบครับ :)
รักษาสุขภาพด้วยนะครับ ปลอดภัยจากชิคุนกุนยา และหวัดใหญ่ 2009 โรคนี้มันเริ่มเข้ามาแถวบ้านเราเยอะขึ้น ผมได้รับฟังจากข่าว ที่สงขลาและภูเก็ตก็มีผู้ติดเชื้อหวัดใหญ่ 2009 แล้วด้วย ฝากไว้นิดหน่อยครับ กินของร้อน ช้อนกลาง ล้างมือบ่อยๆ ครับ ฉบับนี้ไว้แค่นี้ก่อนนะครับ ไว้เจอกันใหม่ฉบับหน้า สวัสดีครับ :)
วันศุกร์ที่ 12 มิถุนายน พ.ศ. 2552
From Linksys COBO to Cisco SMB
เป็นที่ทราบกันดีว่า Cisco ได้ทำการซื้อ Linksys มาเป็นกรรมสิทธิ์ในการทำตลาด SOHO และ SMB (Small and Middle Business) ในช่วง 4-5 ปีที่ผ่านมา โดยตั้งแต่เดือนมิถุนายนนี้ (2009) Linksys COBO เดิม จะเริ่มทยอยเปลี่ยนโลโก้ไปเป็น Cisco System เต็มตัวแล้วนะครับ อย่างไรก็ตาม Linksys SOHO ที่มีอยู่เดิมเช่น WAP54G, WRT54GL ก็จะยังคงเป็นฝั่ง Linksysbycisco เป็นคนดูแลเหมือนเดิมครับ
โดยการเปลี่ยนแปลงนี้มีผลทำให้ warranty ต่างๆ ของ Linksys COBO (Cisco SMB) เดิมนั้นกลายมาเป็นหน้าที่ความรับผิดชอบของ Cisco เต็มตัว.... แต่ ครับแต่ แต่ตัว Cisco SBM นี้ไม่สามารถซื้อ SMARTNet ได้นะครับ (ยกเว้นตัว Virus and Spam Blocker ที่ต้องซื้อ SMARTNet) มันจะเป็นอุปกรณ์ที่ติด warranty มาแล้วเช่น
รับประกัน 1 ปี - ส่วนใหญ่ก็จะเป็นอุปกรณ์ประเภท IP Camera, NAS (Network Attached Storage), Router ตระกูล RV ต่างๆ ที่หลายคนเอาไปทำ Load balance Link กัน และอุปกรณ์ VoIP ต่างๆ
รับประกัน 3 ปี - ส่วนใหญ่จะเป็นอุปกรณ์ WLAN
รับประกัน 5 ปี - ส่วนใหญ่จะเป็นอุปกรณ์ Switch ตระกูล SGE, SR, SRW เป็นต้น
Lifetime warranty - ก็คือ รับประกันตลอดอายุการใช้งานแบบมีข้อจำกัด :) ส่วนใหญ่จะเป็นอุปกรณ์ Switch ตัวเล็กตระกูล SD
สามารถเข้าไปดูรายละเอียดเพิ่มเติมได้ที่ http://www.cisco.com/go/smb
โดยการเปลี่ยนแปลงนี้มีผลทำให้ warranty ต่างๆ ของ Linksys COBO (Cisco SMB) เดิมนั้นกลายมาเป็นหน้าที่ความรับผิดชอบของ Cisco เต็มตัว.... แต่ ครับแต่ แต่ตัว Cisco SBM นี้ไม่สามารถซื้อ SMARTNet ได้นะครับ (ยกเว้นตัว Virus and Spam Blocker ที่ต้องซื้อ SMARTNet) มันจะเป็นอุปกรณ์ที่ติด warranty มาแล้วเช่น
รับประกัน 1 ปี - ส่วนใหญ่ก็จะเป็นอุปกรณ์ประเภท IP Camera, NAS (Network Attached Storage), Router ตระกูล RV ต่างๆ ที่หลายคนเอาไปทำ Load balance Link กัน และอุปกรณ์ VoIP ต่างๆ
รับประกัน 3 ปี - ส่วนใหญ่จะเป็นอุปกรณ์ WLAN
รับประกัน 5 ปี - ส่วนใหญ่จะเป็นอุปกรณ์ Switch ตระกูล SGE, SR, SRW เป็นต้น
Lifetime warranty - ก็คือ รับประกันตลอดอายุการใช้งานแบบมีข้อจำกัด :) ส่วนใหญ่จะเป็นอุปกรณ์ Switch ตัวเล็กตระกูล SD
สามารถเข้าไปดูรายละเอียดเพิ่มเติมได้ที่ http://www.cisco.com/go/smb
วันศุกร์ที่ 5 มิถุนายน พ.ศ. 2552
New Cisco IP Phone 69XX Series
วันนี้ผมมาอัพเดทข้อมูลเกี่ยวกับหัว phone ของ Cisco ครับ ซึ่งได้ออก IP Phone ตัวใหม่ออกมาอีก Series นึงแล้วครับซึ่งจะประกอบไปด้วย 3 รุ่นคือ 6921, 6941และ 6961 ส่วน Datasheet ก็สามารถ download ได้จาก url ด้านล่างนี้ครับ
http://www.cisco.com/en/US/products/ps10326/index.html
http://www.cisco.com/en/US/products/ps10326/index.html
ผมสรุป Feature หลักๆ มาให้นะครับ
- รองรับภาษาไทย
- รองรับมาตรฐานโปรโตคอลชนิด SCCP รวมทั้ง version ล่าสุดของ Callmanager คือ v7.1.2 (ไม่รองรับ SIP ต้องระวังตอนเสนอลูกค้านะครับ)
- รองรับการโปรแกรมปุ่มฟังก์ชั่น (programmable soft key) 4 ปุ่ม
- เป็น Full duplex speakerphone ซึ่งดีกว่าพวกตระกูล 39xx ที่เป็นแบบ half duplex ครับ
- มี 2 ethernet ซึ่งหลายๆ คนคงอยากได้มากๆ เนื่องจากจะได้นำมาต่อ PC หาจะซื้อตระกูล 79xx ต้องเริ่มที่ 7911 แต่ IP Phone series ใหม่นี้มีราคาที่ถูกกว่า
- codec ที่รองรับ G.711a, G.711, G.729a, G.729b, และ G.729ab
- รองรับ Cisco Power Inline และ IEEE802.3af ได้
- รองรับมาตรฐาน CDP สามารถรู้จักอุปกรณ์ข้างเคียงได้, IEEE 802.1p/q มีประโยชน์ในการจัด qos เพื่อคุณภาพเสียงที่ดี
- รองรับคุณสมบัติ silent suppression หรือ voice activity detection เพื่อลดปริมาณของ bandwidth เมื่อไม่มีข้อมูลเสียง และสามารถสร้าง comfort noise เมื่อไม่มีการส่งเสียงได้ ซึ่งถ้าใครเคยใช้ หัว phone cisco โทรคุยจะได้ยินคุณภาพเสียงที่ค่อนข้างดีมากๆ สังเกตได้ครับจากการที่เจ้าหน้าที่ของ Cisco โทรเข้ามาที่เรา (ซึ่งจะใช้ IP Phone รุ่น 79xx) เสียงจะชัดเลยทีเดียวครับ
- รองรับภาษาไทย
- รองรับมาตรฐานโปรโตคอลชนิด SCCP รวมทั้ง version ล่าสุดของ Callmanager คือ v7.1.2 (ไม่รองรับ SIP ต้องระวังตอนเสนอลูกค้านะครับ)
- รองรับการโปรแกรมปุ่มฟังก์ชั่น (programmable soft key) 4 ปุ่ม
- เป็น Full duplex speakerphone ซึ่งดีกว่าพวกตระกูล 39xx ที่เป็นแบบ half duplex ครับ
- มี 2 ethernet ซึ่งหลายๆ คนคงอยากได้มากๆ เนื่องจากจะได้นำมาต่อ PC หาจะซื้อตระกูล 79xx ต้องเริ่มที่ 7911 แต่ IP Phone series ใหม่นี้มีราคาที่ถูกกว่า
- codec ที่รองรับ G.711a, G.711, G.729a, G.729b, และ G.729ab
- รองรับ Cisco Power Inline และ IEEE802.3af ได้
- รองรับมาตรฐาน CDP สามารถรู้จักอุปกรณ์ข้างเคียงได้, IEEE 802.1p/q มีประโยชน์ในการจัด qos เพื่อคุณภาพเสียงที่ดี
- รองรับคุณสมบัติ silent suppression หรือ voice activity detection เพื่อลดปริมาณของ bandwidth เมื่อไม่มีข้อมูลเสียง และสามารถสร้าง comfort noise เมื่อไม่มีการส่งเสียงได้ ซึ่งถ้าใครเคยใช้ หัว phone cisco โทรคุยจะได้ยินคุณภาพเสียงที่ค่อนข้างดีมากๆ สังเกตได้ครับจากการที่เจ้าหน้าที่ของ Cisco โทรเข้ามาที่เรา (ซึ่งจะใช้ IP Phone รุ่น 79xx) เสียงจะชัดเลยทีเดียวครับ
- มีช่องสำหรับรองรับการต่อเชื่อมกับ Headset
วันจันทร์ที่ 18 พฤษภาคม พ.ศ. 2552
Cisco Telepresence System
เทคโนโลยีเรื่องการติดต่อสื่อสาร นับว่าปัจจุบันมีผลในการ drive business มากขึ้นเรื่อยๆ โดยเฉพาะยุคน้ำมันแพงในช่วงจังหวะเวลานี้ ย้อนกลับไปสัก 5-7 ปีที่ผ่านมา ผมมองการใช้ video conference เป็นเรื่องไกลตัวมากๆ เนื่องจากข้อจำกัดเรื่องของ bandwidth และตัวอุปกรณ์ที่ใช้สำหรับ conference มีราคาค่อนข้างสูง แต่ปัจจุบันกำแพงราคาเริ่มพังทลายลง บ้านแต่ละหลังมี ADSL ความเร็วอย่างต่ำๆ 2 Mbps ใช้กันในราคาเพียงแค่ 490-590 ต่อเดือนเท่านั้น ส่งผลให้การทำงานสะดวกสบายขึ้นกว่าเดิม การติดต่อสื่อสารผ่านทาง IP เป็นเรื่องง่ายมากขึ้นตามไปด้วย
การประชุมเป็นเรื่องปกติของคนทำงาน แต่สำหรับองค์กร หรือบริษัทไหน มีสาขาและต้องจำเป็นต้องติดต่อสื่อสารถึงกันนั้น ตัวระบบ video conference มีส่วนช่วยในการประหยัดค่าใช้จ่ายในการเดินทาง ความปลอดภัยในการเดินทางบนท้องถนน หรือบนฟ้าก็ตาม และยังเซฟเวลาในการเดินทางได้อีกด้วย ว่าด้วยเรื่องของไอพีจึงช่วยขยายขอบเขตการสื่อสาร เพื่อรองรับการพบปะพูดคุยและการทำงานร่วมกันของผู้คน โดยไม่จำเป็นต้องเดินทางไปถึงที่นั่น ซึ่งเมื่อมองถึงภาพอนาคต มันประหยัดค่าใช้จ่ายอย่างมหาศาลเลยทีเดียว เพราะฉะนั้น การที่ CEO ของบริษัทจะ invest อะไรก็ตาม มักจะดู ROI (Return of Investment) ที่ได้กลับมา และส่วนใหญ่ก็มักจะเอาเงินไปลงทุนในเรื่อง IT โดยเฉพาะช่วงวิกฤตน้ำมันแพงขณะนี้ตัว VoIP, Video confernce solution จึงเข้ามามีบทบาทเยอะเลยทีเดียวครับ
แต่สิ่งหนึ่งที่ซิสโก้พัฒนาขึ้นมาจากมุมมองของ video conference ก็คือระบบ Telepresence ระบบนี้เองเป็นการผสมผสานระบบเสียงคุณภาพสูง, วิดีโอความละเอียดสูง และระบบอินเตอร์แอคทีฟ เข้าด้วยกันเพื่อสร้างระบบการประชุมแบบตัวต่อตัวผ่านทางเครือข่าย IP นั่นเอง ดังนั้นเราจึงสามารถพบปะ ทำงาน และเรียนรู้ได้ทุกสถานที่ทั่วโลกผ่านการติดต่อระหว่างระบบ Cisco TelePresence โดยส่วนตัวผมเคยไปดูเทคโนโลยีนี้ที่สิงคโปร์ และฮ่องกงมาแล้ว พูดง่ายๆ ก็คือเหมือนเรานั่งอยู่ในห้องประชุมเดียวกันเลยทีเดียว แต่แท้ที่จริงแล้ว อยู่กันคนละประเทศกันเลยหล่ะครับ ตอนนี้เข้าใจว่าทางซิสโก้ ประเทศไทย ได้นำระบบนี้ติดตั้งที่ออฟฟิสในเมืองไทยไปเสร็จเรียบร้อยด้วยเหมือนกันนะครับ ใครอยากจะเห็น solution นี้แบบเต็มก็ลองติดต่อผ่านไปยังบริษัทที่เป็น partner ของซิสโก้ดูนะครับ ที่พูดมามากมายซะขนาดนี้ก็เพื่อจะโยงให้เข้ากับ youtube ที่ผมจะให้ดูนะครับ เป็นงาน Cisco Expo ที่ประเทศเยอรมัน พิธีเปิดเค้าใช้วงออเคสตร้ามาบรรเลง โดยให้นักร้อง ร้องเพลงผ่านระบบ Cisco Telepresence มาครับ เห็นแล้วอึ้งมากๆ ครับ ....
การประชุมเป็นเรื่องปกติของคนทำงาน แต่สำหรับองค์กร หรือบริษัทไหน มีสาขาและต้องจำเป็นต้องติดต่อสื่อสารถึงกันนั้น ตัวระบบ video conference มีส่วนช่วยในการประหยัดค่าใช้จ่ายในการเดินทาง ความปลอดภัยในการเดินทางบนท้องถนน หรือบนฟ้าก็ตาม และยังเซฟเวลาในการเดินทางได้อีกด้วย ว่าด้วยเรื่องของไอพีจึงช่วยขยายขอบเขตการสื่อสาร เพื่อรองรับการพบปะพูดคุยและการทำงานร่วมกันของผู้คน โดยไม่จำเป็นต้องเดินทางไปถึงที่นั่น ซึ่งเมื่อมองถึงภาพอนาคต มันประหยัดค่าใช้จ่ายอย่างมหาศาลเลยทีเดียว เพราะฉะนั้น การที่ CEO ของบริษัทจะ invest อะไรก็ตาม มักจะดู ROI (Return of Investment) ที่ได้กลับมา และส่วนใหญ่ก็มักจะเอาเงินไปลงทุนในเรื่อง IT โดยเฉพาะช่วงวิกฤตน้ำมันแพงขณะนี้ตัว VoIP, Video confernce solution จึงเข้ามามีบทบาทเยอะเลยทีเดียวครับ
แต่สิ่งหนึ่งที่ซิสโก้พัฒนาขึ้นมาจากมุมมองของ video conference ก็คือระบบ Telepresence ระบบนี้เองเป็นการผสมผสานระบบเสียงคุณภาพสูง, วิดีโอความละเอียดสูง และระบบอินเตอร์แอคทีฟ เข้าด้วยกันเพื่อสร้างระบบการประชุมแบบตัวต่อตัวผ่านทางเครือข่าย IP นั่นเอง ดังนั้นเราจึงสามารถพบปะ ทำงาน และเรียนรู้ได้ทุกสถานที่ทั่วโลกผ่านการติดต่อระหว่างระบบ Cisco TelePresence โดยส่วนตัวผมเคยไปดูเทคโนโลยีนี้ที่สิงคโปร์ และฮ่องกงมาแล้ว พูดง่ายๆ ก็คือเหมือนเรานั่งอยู่ในห้องประชุมเดียวกันเลยทีเดียว แต่แท้ที่จริงแล้ว อยู่กันคนละประเทศกันเลยหล่ะครับ ตอนนี้เข้าใจว่าทางซิสโก้ ประเทศไทย ได้นำระบบนี้ติดตั้งที่ออฟฟิสในเมืองไทยไปเสร็จเรียบร้อยด้วยเหมือนกันนะครับ ใครอยากจะเห็น solution นี้แบบเต็มก็ลองติดต่อผ่านไปยังบริษัทที่เป็น partner ของซิสโก้ดูนะครับ ที่พูดมามากมายซะขนาดนี้ก็เพื่อจะโยงให้เข้ากับ youtube ที่ผมจะให้ดูนะครับ เป็นงาน Cisco Expo ที่ประเทศเยอรมัน พิธีเปิดเค้าใช้วงออเคสตร้ามาบรรเลง โดยให้นักร้อง ร้องเพลงผ่านระบบ Cisco Telepresence มาครับ เห็นแล้วอึ้งมากๆ ครับ ....
วันอังคารที่ 5 พฤษภาคม พ.ศ. 2552
ทำไม Management VLAN ที่เป็น VLAN1 ถึงไม่ปลอดภัย?
เมื่อเราซื้อสวิตซ์มาใหม่แกะกล่อง สวิตซ์จะมี VLAN 1 ซึ่งเป็น default vlan ที่มาจากโรงงาน และทุกพอร์ตก็จะเป็นสมาชิกของ vlan1 ไปโดยปริยาย กรณีนี้ยังเหมารวมไปถึง unmanage switch ด้วยนะครับ
ที่ผ่านมาผมจะเจอลูกค้า ส่วนใหญ่มักจะเอา VLAN 1 เป็น Management VLAN ซึ่งส่งผลทำให้ เมื่อมีใครสักคน อาจจะเป็น attacker นำสวิตซ์ตัวใหม่มาเสียบเข้ากับสวิตซ์ที่มีอยู่เดิมในระบบ และทำเป็น trunk port เชื่อมต่อเข้าหากัน พอร์ตที่เหลือทั้งหมดบนสวิตซ์ตัวใหม่ของ attacker ก็จะอยู่ใน vlan1 ทั้งหมด อีกทั้งยังสามารถติดต่อ vlan อื่นๆ ผ่าน trunk line ไปได้ พอจะนึกออกแล้วใช่มั้ยครับว่า จะเกิดอะไรขึ้นตามมา ผลที่ตามมาก็คือ เป็นช่องโหว่ให้ Attacker เหล่านี้เข้ามาในระบบเราได้ง่าย สามารถเข้าถึงอุปกรณ์ของเราได้โดยตรง และสามารถสร้างความเสียหายแก่ระบบเครือข่ายตามมาได้ โดยเฉพาะ Layer2 attack เช่น
1. CAM table overflow attack จะทำให้ MAC Address Table ภายในสวิตซ์เต็ม และทำให้สวิตซ์หยุดชะงักในการทำงานได้
2. Rogue DHCP server เป็นการทำให้มี unauthorized IP เกิดขึ้นสู่ network ของเราได้
3. ARP attack ทำตัวเป็น MAN-In-the middle โดยจะเข้าไปบอกว่า IP ของผู้ใช้งานในระบบของเรา เป็น MAC Address ของ Attacker ดังนั้น Attacker ก็จะได้รับข้อมูลของผู้ใช้งานภายในไปด้วย
4.Spoofing Attack เป็นการกระทำของ Attacker พยายามหลอกระบบว่าตัวเองเป็น IP ที่อยู่ในระบบของเราด้วย
Note. วิธีแก้ไขแบบเบื้องต้นสุดๆ เลยก็คือ Management VLAN เราจะต้อง create ขึ้นมาใหม่ ซึ่งเราต้องย้ายอุปกรณ์สวิตซ์จาก vlan 1 เข้ามาอยู่ใน vlan วงนี้ และเปลี่ยน default-gateway ไปชี้ที่ interface vlan ที่เราสร้างขึ้นมาใหม่เช่นเดียวกันนะครับ ทำแบบนี้ก็เพื่อความปลอดภัยในการบริหารจัดการอุปกรณ์เครือข่ายของเรา แต่ก็ยังไม่ 100% ผมจึงขออนุญาตเสนอเพิ่มเติมโดยใช้ Access List ในการ filter อีกชั้นนึง ลองดูตัวอย่างที่ผมยกมาให้สัก 2 ตัวอย่างนะครับ
1.vty ACLs
switch(config)#access-list 10 permit host 192.168.1.77
switch(config)#line vty 0 4
switch(config-line)#access-class 10 in
ตามตัวอย่างด้านบนนี้เป็นการระบุให้เพียงไอพี 192.168.1.77 เท่านั้นที่สามารถ telnet เข้ามาที่ switch ได้
2.Restricting Web Interface Sessions with ACLs
switch(config)#access-list 10 permit host 192.168.1.77
switch(config)#ip http server
switch(config)#ip http access-class 10
ตามตัวอย่างที่ 2 เป็นการอนุญาตให้เพียงไอพี 192.168.1.77 เท่านั้น ที่สามารถ http เข้ามาบริหารจัดการสวิตซ์ได้
หวังว่าคงได้ไอเดียในการจัดการบริหารอุปกรณ์เครือข่ายของเราไม่มากก็น้อยนะครับ ผิดพลาดตรงไหนยังไง รบกวนแนะนำกลับมาได้เลยครับ ...
ส่วนวิธีใช้คำสั่งต่างๆ ในการแก้ไข Layer 2 attack จะมาเล่าเพิ่มเติมในครั้งต่อไปนะครับ
ที่ผ่านมาผมจะเจอลูกค้า ส่วนใหญ่มักจะเอา VLAN 1 เป็น Management VLAN ซึ่งส่งผลทำให้ เมื่อมีใครสักคน อาจจะเป็น attacker นำสวิตซ์ตัวใหม่มาเสียบเข้ากับสวิตซ์ที่มีอยู่เดิมในระบบ และทำเป็น trunk port เชื่อมต่อเข้าหากัน พอร์ตที่เหลือทั้งหมดบนสวิตซ์ตัวใหม่ของ attacker ก็จะอยู่ใน vlan1 ทั้งหมด อีกทั้งยังสามารถติดต่อ vlan อื่นๆ ผ่าน trunk line ไปได้ พอจะนึกออกแล้วใช่มั้ยครับว่า จะเกิดอะไรขึ้นตามมา ผลที่ตามมาก็คือ เป็นช่องโหว่ให้ Attacker เหล่านี้เข้ามาในระบบเราได้ง่าย สามารถเข้าถึงอุปกรณ์ของเราได้โดยตรง และสามารถสร้างความเสียหายแก่ระบบเครือข่ายตามมาได้ โดยเฉพาะ Layer2 attack เช่น
1. CAM table overflow attack จะทำให้ MAC Address Table ภายในสวิตซ์เต็ม และทำให้สวิตซ์หยุดชะงักในการทำงานได้
2. Rogue DHCP server เป็นการทำให้มี unauthorized IP เกิดขึ้นสู่ network ของเราได้
3. ARP attack ทำตัวเป็น MAN-In-the middle โดยจะเข้าไปบอกว่า IP ของผู้ใช้งานในระบบของเรา เป็น MAC Address ของ Attacker ดังนั้น Attacker ก็จะได้รับข้อมูลของผู้ใช้งานภายในไปด้วย
4.Spoofing Attack เป็นการกระทำของ Attacker พยายามหลอกระบบว่าตัวเองเป็น IP ที่อยู่ในระบบของเราด้วย
Note. วิธีแก้ไขแบบเบื้องต้นสุดๆ เลยก็คือ Management VLAN เราจะต้อง create ขึ้นมาใหม่ ซึ่งเราต้องย้ายอุปกรณ์สวิตซ์จาก vlan 1 เข้ามาอยู่ใน vlan วงนี้ และเปลี่ยน default-gateway ไปชี้ที่ interface vlan ที่เราสร้างขึ้นมาใหม่เช่นเดียวกันนะครับ ทำแบบนี้ก็เพื่อความปลอดภัยในการบริหารจัดการอุปกรณ์เครือข่ายของเรา แต่ก็ยังไม่ 100% ผมจึงขออนุญาตเสนอเพิ่มเติมโดยใช้ Access List ในการ filter อีกชั้นนึง ลองดูตัวอย่างที่ผมยกมาให้สัก 2 ตัวอย่างนะครับ
1.vty ACLs
switch(config)#access-list 10 permit host 192.168.1.77
switch(config)#line vty 0 4
switch(config-line)#access-class 10 in
ตามตัวอย่างด้านบนนี้เป็นการระบุให้เพียงไอพี 192.168.1.77 เท่านั้นที่สามารถ telnet เข้ามาที่ switch ได้
2.Restricting Web Interface Sessions with ACLs
switch(config)#access-list 10 permit host 192.168.1.77
switch(config)#ip http server
switch(config)#ip http access-class 10
ตามตัวอย่างที่ 2 เป็นการอนุญาตให้เพียงไอพี 192.168.1.77 เท่านั้น ที่สามารถ http เข้ามาบริหารจัดการสวิตซ์ได้
หวังว่าคงได้ไอเดียในการจัดการบริหารอุปกรณ์เครือข่ายของเราไม่มากก็น้อยนะครับ ผิดพลาดตรงไหนยังไง รบกวนแนะนำกลับมาได้เลยครับ ...
ส่วนวิธีใช้คำสั่งต่างๆ ในการแก้ไข Layer 2 attack จะมาเล่าเพิ่มเติมในครั้งต่อไปนะครับ
สมัครสมาชิก:
บทความ (Atom)
