Dear reader, please download one of Myanmar unicode font and install it on your PC to see my blog well.Thanks.

Quality of Service - Introduction to Policing

တကယ်တော့ ကျတော်တို့တွေက ISP ကနေ  Fiber Connection ဝန်ဆောင်မှု တခုယူတယ်ဆိုတာ သူ့ဆီကနေ 20Mbps, 50Mbps စသည်ဖြင့် bitrate ကို လစဉ်အခကြေးငွေ ပေးပြီးယူတာပါ။
တကယ့် Fiber Cable Connection တခုက ကျတော်တို့ကို ပေးထားတဲ့ bitrate ထက်ပိုပြီး ရနိုင်ပါတယ်။
ဒီတော့ ဒီလို Gigabit per second bit rate ရနိုင်တဲ့ Fiber Connection ကို ကျတော်တို့ subscribe လုပ်ထားတဲ့ bitrate အထိပဲ သုံးလို့ရအောင် ISP က ကန့်သတ်ထားရတာပေါ့။
ဒါကိုတနည်းအားဖြင့် Traffic Contract လို့လဲ ခေါ်ပါသေးတယ်။
ကျတော်တို့ subscribe လုပ်ထားတဲ့ bitrate ကိုပဲ Comitted Information Rate (CIR) လို့ လဲ ခေါ်ပါသေးတယ်။
အဲဒီ CIR ကို ကန့်သတ်ခြင်း ဆိုတဲ့ အလုပ်ကိုပဲ Policing ဒါမှ မဟုတ် Shaping ဆိုတာတွေနဲ့ လုပ်တာပါ။
Policing နဲ့ Shaping မတူတာ ကတော့ Policing က ပိုတဲ့ Traffic တွေကို Drop လုပ်ပြီး Shaping ကတော့ Buffer လုပ်တာပါပဲ။

ISP အနေနဲ့ သူ့ရဲ့ subscriber တွေရဲ့ Traffic တွေဟာ Traffic Contract နဲ့ ကိုက်ညီလား မညီဘူးလားဆိုတာကို  သူ့ဆီကို ရောက်လာတဲ့ packet တွေရဲ့ cumulative byte-rate ပေါ်မူတည်ပြီး စစ်ဆေးပြီး  ဆုံးဖြတ်ပါတယ်။
ဆုံးဖြတ်ပြီးတာနဲ့ policing ကို
၁) ဝင်လာတဲ့ packet ကို ဖြတ်သန်းခွင့်ပေးခြင်း (Pass)
၂) ဝင်လာတဲ့ packet ကို တားဆီးခြင်း (Drop)
၃) ဝင်လာတဲ့ packet ကို မတူညီတဲ့ DSCP သို့မဟုတ် IP precedence တန်ဖိုးတွေပေါ် မူတည်ပြီး Remark လုပ်ခြင်းတို့ပဲ ဖြစ်ပါတယ်။

Policing လုပ်တဲ့အခါ ဝင်လာတဲ့ Packet တွေဟာ Traffic Contract နဲ့ ကိုက်ညီ မညီဆိုတာကို စစ်တဲ့အခါမှာတော့
- ဝင်လာတဲ့ Packet ဟာ Traffic Contract နဲ့ ကိုက်ညီခြင်း (Conforming)
- ဝင်လာတဲ့ Packet ဟာ Traffic Contract ထက် အနည်းငယ် ကျော်လွန်နေခြင်း (Exceeding)
- ဝင်လာတဲ့ Packet ဟာ Traffic Contract နဲ့ မကိုက်ညီပဲ အလွန်အမင်း ကျော်လွန်နေခြင်း  (Violating) စသည် တို့ဖြင့် လုပ်ဆောင် စစ်ဆေးပါတယ်။

အပေါ်က သုံးမျိုး မှာ တကယ်တန်း သုံးတဲ့အခါ Conforming , Exceeding ၂ မျိုးပဲ သုံးတာမျိုး ရှိသလို။ Violating ကိုပါ ထည့်သုံးပြီး စစ်ဆေးတာမျိုးလဲ ရှိပါတယ်။
၂ မျိုးပဲ သုံးတဲ့အခါ မှာ Conforming ဖြစ်ရင် Packet ကို Pass လုပ်ပြီး Exceeding ဖြစ်ရင်တော့ Drop လုပ်မှာပါ။
၃ မျိုး သုံးရင်တော့ Conforming ဖြစ်ရင် Packet ကို Pass လုပ်၊ Exceeding ဖြစ်ရင် Remark လုပ်ပြီး Vilolating ဖြစ်တဲ့အခါမှာတော့ Drop လုပ်ပါတယ်။

Policing လုပ်တဲ့ နည်းလမ်း ၃ မျိုးရှိသေးတယ်ဗျ။
အဲဒါတွေကတော့
၁) Single rate, two-color (one token bucket)
၂) Single rate, three-color (two token buckets)
၃) Dual rate, three-color (two buckets) တို့ပဲ ဖြစ်ပါတယ်။

ဒီ ၃ မျိုးကို ရှင်းပြဖို့ကတော့ အတော်အသင့် ခက်ခဲတဲ့အတွက် ရှေ့ပိုင်း DSCP, IP Precedence Value တွေ ရှင်းပြပြီးမှပဲ ထပ်ရေးပါမယ်။

ခုတော့ ဒီလောက်နဲ့ပဲ ရပ်ပါမယ်။

တခြား QoS Post တွေကိုတော့ အောက်က လင့်တွေမှာ ဖတ်နိုင်ပါတယ်။
http://www.ictformyanmar.com/2016/05/quality-of-service-classification-in.html

http://www.ictformyanmar.com/2016/06/quality-of-service-classification-with.html

http://www.ictformyanmar.com/2016/06/quality-of-service-classification-with_16.html

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

Man-in-the-Browser

Man-in-the-Browser Attack ဆိုတာကို Info Security သမား မဟုတ်တဲ့သူတွေ သိပ်ကြားဖူးကြမယ် မထင်ဘူး။
Cyber Criminal Records တွေမှာ  Financial Sector ကို Attack လုပ်တဲ့စာရင်း ထဲမှာ  ဒီ Attack က နှစ်စဉ်လိုလို ရာခိုင်နှုန်း အတော်တော်များများနေရာယူထားပါတယ်။

Man-in-the-Browser Attack က endpoint user တွေက target ထားတာပါ။
ဘာလို့လဲဆိုတော့..
- Endpoint device တွေက Malware ထည့်ပြီး infect လုပ်ရတာ လွယ်ခြင်း
- Malware ရှိနေတာကို  သိဖို့ခက်ခဲခြင်း
- ပုံမှန် သမားရိုးကျ Strong Authentication နည်းလမ်းများဖြင့် မကာကွယ်နိုင်ခြင်း
- ပုံမှန် သမားရိုးကျ Anti-Fraud Mechanisms and Risk-based Tools ဖြင့်လဲ ထိရောက်စွာ မကာကွယ်နိုင်ခြင်း စသည်တို့ကြောင့်ပဲ ဖြစ်ပါတယ်။

ဒီတော့ ဒီလို Attack ကို ကာကွယ်မယ်ဆိုရင် နည်းလမ်းတွေက
- Out-of-Band (OOB) Authentication and Transaction Verification
- Certificate-based Authentication Combined with a Secure Browsing Environment
- Using endpoint Internet Security Software စသည်တို့ပဲ ဖြစ်ပါတယ်။

အပေါ်က နည်းလမ်း နှစ်ခုကတော့ Company/Organization တခုလုံး အတွက် ဖြစ်ပြီး၊ နောက်ဆုံးက နည်းလမ်းကတော့ တဉီးခြင်းစီအတွက် ပိုလို့အဆင်ပြေပါတယ်။

ဒီတော့ သင်လဲ သင့်ရဲ့ ငွေကြေးဆိုင်ရာ အချက်အလက်တွေ ဆုံးရှုံးခြင်း မဖြစ်ခင် ကြိုတင်ကာကွယ်တဲ့အနေနဲ့  အနည်းဆုံးတော့ Internet Security Software လေးတွေ သုံးကြပါလို့ အကြံပြုတိုက်တွန်းလိုက်ပါရစေ။
ဘာလို့လဲဆိုတော့ Internet Security Software တွေက သင့် Internet Browsing ကို Secure and Private လုပ်ပေးမှာဖြစ်လို့ပါပဲ။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

OSPF “max-metric router-lsa” command

Cisco IOS ရဲ့ OSPF Feature တွေထဲမှာ stub router advertisement ဆိုတဲ့ feature တခုပါပါတယ်။
ဒါကို ကျတော် CCIE လုပ်တဲ့အခါမှာ စသိရတာပါ။ တခြားမသိသေးတဲ့သူတွေလဲ သိရအောင် ပြန်ဝေမျှချင်ပါတယ်။
သူကဘာလဲဆိုတော့ အောက်က ပုံကိုကြည့်ပါ။


R1 ကနေ R4 ကိုသွားဖို့ R2 နဲ့ R3 လမ်းကြောင်း ၂ ခုရှိပါတယ်။
ပုံမှန် OSPF အတိုင်းဆို R2 ကနေပဲ Traffic တွေက သွားပါလိမ့်မယ်။ Cost နဲ တဲ့ Best Path မို့လို့ပါ။
ဒီအတိုင်း အဆင်ပြေနေတာကနေ R2 ကို Hardening လုပ်လို့ IOS upgrade လုပ်ရပါပြီတဲ့။ ကျတော်တို့ Network ခဏ Down ရပါတော့မယ်။ ခဏလေးတောင် Down မရတဲ့ Network မှာဆိုရင် ကျတော်တို့ Route တွေကို R3 ကနေသွားခိုင်းဖို့လိုလာပါပြီ။
ဒီလို အခြေအနေမျိုးအတွက် stub router advertisement လို့ခေါ်တဲ့ Metric Value ကို Maximum ထိ မြှင့်ပြီး neighbor router တွေကို advertise လုပ်ပေးရတာမျိုး R2 မှာ လုပ်ပေးဖို့လိုလာပါတယ်။
ဒီတော့ ဘယ်လိုလုပ်ထားလဲ့ ဆိုတာ အောက်က Before နဲ့ After ဆိုတဲ့ ပုံလေးတွေကိုကြည့်ကြည့်လိုက်ပါ။

Before Configuring Stub Router Advertisement



After Configured Stub Router Advertisement




ဒါက အခြေခံအကျဆုံး configuration ပါ။ ဒီထက်ပိုပြီး အသေးစိတ်ကျကျ configure လုပ်လို့ရပါသေးတယ်။ ဥပမာ R2 reload လုပ်ပြီး ၅ မိနစ်နေတော့မှ R3 ရဲ့ Route Advertisement တွေကို R2 ဖက်က ပြန် take over ယူပါဆိုတာမျိုး starup delay feature တွေထပ်ထည့်လို့ရပါသေးတယ်။

ဘယ်လိုလုပ်နိုင်လဲ ဆိုတာကိုတော့ အောက်က မူရင်း Cisco link မှာ သွားဖတ်ကြည့်နိုင်ပါတယ်။

ပျော်ရွှင်ပါစေဗျာ။

(Be knowledgeable, pass it on then)

Router IP Traffic Export (RITE) for IDS



Router IP Traffic Export ဆိုတာကတော့ IP Packet တွေကို Interface သို့မဟုတ် VLAN တခုပေါ်ကို export လုပ်ပေးတဲ့ နည်းလမ်းတခုပါ။ သူ့ကို IP Traffic Export လို့လဲ ခေါ်ပါသေးတယ်။
ဘယ်နေရာမှာ အသုံးဝင်လဲ ဆိုတော့ Intrusion Detection System (IDS) တွေကို switch ကနေတဆင့်ချိတ်မသုံးချင်ပဲ Router ကနေ တိုက်ရိုက် ချိတ်ပြီး IP Packet တွေကို Sniffing and Inspection လုပ်ချင်တဲ့အခါမျိုးမှာ သုံးပါတယ်။
ဒီ RITE က Switch တွေမှာ သုံးတဲ့ SPAN configuration နဲ့ ဆင်တူပါတယ်။

အောက်မှာ ကျတော် Router လေးလုံးနဲ့ Topology လေးဆောက်ထားပါတယ်။ Internet, RITE, Client နဲ့ IDS ဆိုပြီးတော့ပါ။
IP address ၊ Interface နဲ့ Routing တွေကို configure လုပ်ထားပါတယ်။
အခု ကျတော် RITE router မှာ အောက်က Command တွေ ရိုက်ပြီး configure လုပ်ပါမယ်။



လိုင်းနံပါတ် ၃ က တော့ RITE profile ဆောက်တာပါ။
ပြီးတာနဲ့ ကိုယ့် RITE enable လုပ်ထားတဲ့ Router ရဲ့ နောက်မှာ IDS အပြင် တခြား Equipment တွေပါ ရှိသေးရင် Packet ကို capture လုပ်ချင်တဲ့ IDS ရဲ့ MAC address ကို output interface မှာ bind ထားပေးရပါတယ်။ လိုင်းနံပါတ် ၄ နဲ့ ၅ မှာ လုပ်ထားတာပါ။
ပြီးရင် အဲဒီ interface မှာပဲ IP Packet ကို incoming or outgoing or bidirectional ရွေးပေးလို့ရပါတယ်။
ကျတော်ကတော့ အဝင်အထွက် နှစ်ခုလုံးကို စစ်ချင်လို့ လိုင်းနံပါတ် ၆ အတိုင်း bidirectional လုပ်ထားပါတယ်။
အဝင် IP packet ၁၀ ခုထဲက ၁ ခုကို စစ်မယ်၊ အထွက် IP packet ၅ ခုထဲက ၁ ခုကို စစ်မယ်ဆိုပြီး လိုင်းနံပါတ် ၇ နဲ့ ၈ မှာ လုပ်ထားပါတယ်။
ပြီးတာနဲ့ User/Client နဲ့ ချိတ်ထားတဲ့ Router Interface မှာ လိုင်းနံပါတ် ၁၁ နဲ့ ၁၂ မှာပြထားသလို RITE profile ကို သွားပြီး apply လုပ်ပါတယ်။
လုပ်လိုက်တာနဲ့ လိုင်းနံပါတ် ၁၄ နဲ့ ၁၅ မှာ ပြထားသလို Notification message မြင်ရမှာပါ။
ဒါဆို RITE configuration အဆင့်ပြီးသွားပါပြီ။

IDS မှာ Packet Sniffing အလုပ်လုပ် မလုပ်သိရအောင် ကျတော် debug ကို On ထားပါမယ်။
ပြီးတာနဲ့ Client ဖက်ကနေ Internet Router ကို ping ကြည့်ပါမယ်။
IDS မှာ debug log တွေမြင်ရပါလိမ့်မယ်။ ဒါဆို အကြမ်းဖျင်းအားဖြင့် ကျတော်တို့ RITE configuration အလုပ်လုပ်တယ်လို့ ယူဆနိုင်ပါပြီ။
ပုံတွေကို ကြည့်ပါ။




သေချာအောင် RITE enabled router ကိုသွားစစ်ပါမယ်။
အောက်ကပုံမှာ ကြည့်ပါ။ 


ထွက်လာတဲ့ output ကို ကြည့်ပြီး RITE အလုပ်လုပ်နေတယ်ဆိုတာ သိနိုင်ပါတယ်။
ကဲ… ဒီလောက်ဆို နားလည်ပြီလို့ ယုံကြည်ပါတယ်။

ဒီ နည်းလမ်းကို အပြင်မှာ သိပ်သုံးတာ မတွေ့ရပေမယ့် လိုအပ်လာတဲ့အခါ Testing လုပ်လို့ရအောင် သိစေချင်တဲ့အတွက် ပြန်လည်ဝေမျှခြင်းပဲ ဖြစ်ပါတယ်။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

Decrypting Type 7 Password using Key-Chain in Cisco



Type 7 Password တွေဟာ မလုံခြုံဘူး၊ အလွယ်တကူ Decrypt လုပ်လို့ရတယ်ဆိုတာ Network သမား၊ System သမားတိုင်း သိကြပါတယ်။
ဘယ်လောက်တောင် မလုံခြုံလဲဆို ကိုယ့်မှာ Encrypt လုပ်ထားတဲ့ Type 7 Password လည်းရှိတယ်၊ Packet Tracer လို GNS3 လို Simulator/Emulator လေး ရှိတယ်ဆိုရင်ပဲ ဘာအင်တာနက်မှ မလိုပဲ Decrypt ပြန်လုပ်လို့ရနေလို့ပါပဲ။
ဒါကြောင့် Configuration File တွေပေးတဲ့အခါ Encrypt လုပ်ထားတဲ့ Password ကိုတောင် ထည့်မပေးသင့်တာပါ။
အခု ကျတော် အောက်မှာ ပြထားတဲ့ Encrypt လုပ်ထားပြီးသား Type 7 Password ကို GNS3 Simulator နဲ့ Router သုံးပြီး Decrypt လုပ်ပြပါမယ်။

line vty 0 4
 password 7 051B0903284F5743
 login

GNS3 ကိုဖွင့်၊ Router တလုံးကို Run လိုက်ပြီး အောက်က အတိုင်း Key Chain configure လုပ်ပြီး Password ကို ပြန်ကြည့်လို့ရတာကို တွေ့ရပါလိမ့်မယ်။

Key Chain နဲ့ Key String configure လုပ်မယ်။

R1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#key chain Decrypt-Type-7-Password
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string 7 051B0903284F5743
R1(config-keychain-key)#end

Decrypt လုပ်ထားတဲ့ Password ကို ကြည့်မယ်။
R1#
R1#show key chain Decrypt-Type-7-Password
Key-chain Decrypt-Type-7-Password:
    key 1 -- text "policy*"
        accept lifetime (always valid) - (always valid) [valid now]
        send lifetime (always valid) - (always valid) [valid now]
R1#

ကဲ Password ကို Highlight လုပ်ပြထားတာ မြင်လားဗျာ။

ဒီလောက်ဆိုရင် Type 7 Password ကို ဘယ်လောက်လွယ်လွယ်နဲ့ Decrypt လုပ်လို့ရတယ်ဆိုတာ သိလောက်ပါပြီ။ တကယ်တော့ အင်တာနက်မှာ Decrypt Type 7 Password လို့ရှာလိုက်ရင် များပြားလှတဲ့ Tool တွေ တွေ့ရမှာပါ။
ဒီနည်းကတော့ အင်တာနက် မရနိုင်တဲ့နေရာမျိုးမှာ အလုပ်လုပ်ရတဲ့ သူတွေအတွက် လုပ်ငန်းလိုအပ်ချက်အရ Type 7 Password  ကို Decrypt လုပ်ဖို့ လိုလာတဲ့အခါ အသုံးဝင်တယ်ဗျ။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)



Licensing matter in Network and System Field

IT Field ထဲမှာ အလုပ်လုပ်နေတဲ့ System, Network  သမားတွေ အနေနဲ့ Product License တွေအကြောင်းကို သိကိုသိရမှာပဲ ဖြစ်ပါတယ်။
ဒါမှ ကိုယ့်အလုပ်ထဲမှာ လိုအပ်တဲ့ Product တွေကို လိုအပ်တဲ့ License ဝယ်သုံးနိုင်မှာပဲဖြစ်ပါတယ်။
မသိထားရင်တော့ လိုအပ်လာလို့ IT Manager လို Management တွေက ပြန်မေးလာတဲ့အခါ အခက်တွေ့မှာကတော့ ကိုယ်တိုင်ပါပဲ။
ဝယ်ယူခြင်းကိစ္စကတော့ Admin, Procurement တွေက လုပ်မှာ ဖြစ်ပေမယ့် ဘာတွေတော့ဖြင့်လိုတယ် ဘာတွေကတော့ မလိုဘူးဆိုတာကို ဆုံးဖြတ်ပေးရမှာကတော့ ကိုယ်တိုင်ပါပဲ။
ဒါပေမယ့် ဒီလောကထဲက Product တွေရဲ့ License တွေအကြောင်းကို ထဲထဲဝင်ဝင်သိဖို့ဆိုတာကလဲ အတော်လေးမလွယ်ကူပါဘူး။
ဥပမာ အနေနဲ့ Palo Alto, Checkpoint, Cisco လို Firewall တွေ၊ Cisco, ​HP, Mikrotik လို Router, Switch တွေ၊
Microsoft, VMware လို System ပိုင်းမှာသုံးတဲ့ OS တွေ ရဲ့ License အမျိုးအစားတွေကို သေချာနားလည်ဖို့ဆိုတာ Pre-Sale တွေ၊ Sale တွေကို အားကိုးလို့ မရပါဘူး။
သူတို့လဲ ပစ္စည်းရောင်းရရေးအတွက် "Yes" "Can" တွေထပ်အောင်ပြောပြီး ကိုယ်ဝယ်ပြီးတာနဲ့ ကိုယ့်ကို လှည့်ကြည့်တော့မှာ မဟုတ်လို့ပါပဲ။
ဒီတော့ Product License တွေရဲ့ လိုအပ်ချက်နဲ့ အသုံးဝင်ပုံတွေ၊ ရွေးချယ်ပုံတွေကို အနည်းငယ် တီးမိခေါက်မိဖို့အတွက်
ကိုအောင်နိုင်မိုး (CCIE#50505, R&S) ရေးသားထုတ်ဝေထားတဲ့ Cisco Essentials Networking Notes စာအုပ်ထဲက Cisco IOS Licensing အကြောင်းလေးကို လေ့လာချင်သူများအတွက် ဝေမျှပေးလိုက်ပါတယ်။
ဒီအပိုင်းကို ကိုအောင်နိုင်မိုး ကိုယ်တိုင် Cisco Myanmar Group မှာ သူ့စာအုပ်မထုတ်ခင် အမြည်းသဘောမျိုး အခမဲ့ တင်ပေးထားခဲ့တာဖြစ်တဲ့အတွက် လွတ်လပ်စွာ ပြန်လည် ဝေမျှပေးနိုင်ပါတယ်။
မူရင်း စာရေးဆရာ ကိုအောင်နိုင်မိုးနဲ့ သူ့ရဲ့ စာအုပ်နာမည်ကိုသာ Credit အနေနဲ့ ဖော်ပြပေးပါလို့ မေတ္တာရပ်ခံပါတယ်။

Cisco IOS Licensing အကြောင်းရေးထားတဲ့ စာပိုဒ်ကိုတော့ အောက်က Mediafire လင့်မှာ ရယူနိုင်ပါတယ်။

https://www.mediafire.com/?9e7kwjjc61h63jf

ကျေးဇူးတင်ပါတယ်။

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

Contact Form for ictformyanmar.com

Name

Email *

Message *