Road to CCNP - ENT ตอนที่ 1

 เส้นทางสู้ CCNP - ENT ตอนที่ 1

เนื่องจากผู้เขียน ได้ทำงานอยู่ที่ บ. Cisco Systems มาเป็นระยะเวลา 4 ปีกว่า ๆ แล้ว แต่ยังไม่มี Cisco Certificate เลยสักใบ และแน่นอนว่า การจะก้าวขึ้นไปสู่อีกระดับ จำเป็นจะต้องมีใบเซอร์การันตี ด้วย นี่จึงเป็นเหตุผลที่ผู้เขียน จะต้องทำอะไรสักอย่างแล้ว 

เริ่มต้นจากการเปิดดูว่า มันจะต้องทำอะไรบ้าง จะได้จัดสรรว่าอะไรทำก่อนทำหลังได้ถูกต้อง ก็ต้องเริ่มจากไปที่ https://www.cisco.com/c/en/us/training-events/training-certifications/certifications/professional/ccnp-enterprise.html

และแน่นอนว่า เราต้องสอบ 350-401 ENCOR exam ให้ผ่านเสียก่อนอันดับแรก โดยไปที่ https://learningnetwork.cisco.com/s/encor-exam-topics

ซึ่งเจ้าการสอบ ENCOR นี้ ก็มีหลายหัวข้อ เรามาเริ่มต้นที่ อันดับแรกกันก่อนดีกว่า

นั่นก็คือ The Hierarchical Network Model หรือเรียกกันง่าย ๆ คือ สถาปัตยกรรมของระบบเครือข่าย นั่นเอง

หัวข้อนี้ ก็จะกล่าวถึงว่า อะไรคือ The Hierarchical Network Model มันมีความสำคัญอย่างไร ประกอบไปด้วยอะไรบ้าง และแต่ละอย่างเป็นอย่างไร หุหุ แค่เริ่มต้นมาก็เดือดซะแล้ว

เอาหล่ะ มาเริ่มต้นกันก่อนดีกว่า

ก่อนที่เราจะรู้จักกับ Hierarchical Network Model เราทำกันอย่างไร

เราก็บอกว่า เรามีเครื่องคอมพิวเตอร์ มีอุปกรณ์ต่อพ่วง ที่ต้องการเชื่อมต่อหากัน มีอินเตอร์เนต มีบลา บลา บลา... ทำยังไงหล่ะ เราก็เชื่อมต่อสาย ​LAN สิ 

ถ้าไม่พอ เราก็เติม Switch/Hub เข้าไป ใช่มั๊ย ... ใช่ครับ และเราอาจจะบอกว่า เฮ้ย ถ้าเชื่อมเส้นเดียวมันอาจจะเสี่ยง เราต้องการ redundancy นะ ก็โยงไปหลาย ๆ เส้น

มันก็จะต่อกันเป็นพวง ๆ ยวง ๆ ประมาณนี้

เมื่อเจอการเชื่อมต่อใยแมงมุมแบบนี้ เราอาจจะบอกว่า โอ้ พระเจ้า ใครมันคิดนะ ไม่สงสารคนดูแลเลยหรือไง อันนี้แหละ จะเป็นจุดเริ่มต้นของคำว่า Hierarchical Network Model ที่ได้เริ่มต้นขึ้น 

โดยจะเป็นการจัดระเบียบสังคม เอ้ย จัดระเบียบของการเชื่อมต่อ ให้มีแบบแผน ที่ชัดเจน เรียบง่าย ให้ผู้ดูและ หรือ ผู้ใช้งาน ไม่ต้องปวดหัว ปวดกระบาลกัน เอาหล่ะลองมาดูว่า เมื่อมีการจัดการ สถาปัตยกรรมระบบเครือข่ายแล้ว มันจะดูง่ายขึ้นอย่างไรกัน

โดยเราจะมีแกนกลาง ที่เรียกว่า "Core" จะเป็นจุดศูนย์กลางของระบบเครือข่าย ทำหน้าที่ เชื่อมต่อ "กล่อง" ที่อยู่รอบ ๆ เข้าด้วยกัน โดยแต่ละ กล่อง ก็จะแทนการเชื่อมต่อที่แตกต่างกัน เข่น กล่องผู้ใช้งานแผนก A, แผนก B, กล่องของกลุ่ม Server, กล่องของ Internet เป็นต้น ซึ่งถ้าต้องการเพิ่มกล่อง เราก็สามารถเติม ๆ ๆ ๆ เข้าไปได้เรื่อย ๆ จนกว่า

- Port จะเต็ม

- Performance หรือ Bandwidth ของ Core ถึงขีดจำกัด

เอาหล่ะ ระบบการเชื่อมต่อของเรา มันเริ่มเรียบง่าย และสบายตาขึ้นมาแล้ว ทีนี้ เรามาดูว่า ระบบของ Hierarchical Network Model มันประกอบไปด้วยอะไรบ้างกัน

1. Access Layer

2. Distribution Layer

3. Core Layer

ก่อนจะจบตอนที่ 1 ขอแถม Access Layer กันก่อนละกัน

Access Layer คือ จุดเชื่อมต่อของ อุปกรณ์ client ต่าง ๆ เช่น PC, IP Phone, Printer, Access Point, CCTV, Video conference device เป็นต้น

ส่วนใหญ่อุปกรณ์ Switch ที่เอามาทำ Access Layer นี้ จะทำงานระดับ Layer 2 แต่ในบางครั้ง เราก็อาจจะเห็นการทำ Layer 3 บ้าง แต่ค่อนข้างจะน้อยมาก ๆ

รูปแบบของ Switch ใน Access Layer นี้ 

1. ส่วนใหญ่ ๆ ก็จะเป็นแบบ Fixed port Switch นั้นคือ จะมี Port มาพร้อมใช้งานเลย เช่น 8, 16, 24 หรือ 48 port เป็นต้น 

2. ในบางกรณี ซึ่งก็น้อยมาก ๆ ที่จะเป็นรูปแบบ Modular Chassis switch ที่เป็นตู้ และจะมี Line card ติดตั้งอยู่ ส่วนใหญ่ไม่ค่อยจะเจอแบบนี้สักเท่าไหร่นะ 

3. และสุดท้ายคือแบบ Stackable Switch มันก็จะมีหน้าตาเหมือน ๆ กับแบบแรก คือ Fixed port Switch นั่นแหละ แต่มันสามารถเอามาเชื่อมต่อกันเอง เพื่อให้มองว่าเป็นเสมือน Switch ตัวเดียว สามารถจัดการ command ที่ตัวเดียว ได้เลย แบบนี้ก็จะสามารถเจอได้ใน Switch ระดับ Enterprise grade ขึ้นไป เราะตัวอุปกรณ์เองจะมีการออกแบบมาให้ซับซ้อน และมีความสามารถที่สูงกว่า Fixed port Switch นั่นเอง

โดยเจ้า Switch ทั้ง 3 รูปแบบ ก็จะมีแบบ non-PoE และ PoE เพื่อให้สามารถจ่ายไฟ แก่อุปกรณ์เชื่อมต่อ เช่น IP Phone, Access Point, CCTV เป็นต้น

Service ที่จำเป็นสำหรับ Access Layer ที่จะต้องมี

- VLAN assignment เพื่อทำการ "แยก" การใช้งานออกจากกัน เข่น แยกการเชื่อมต่อ ในแต่ละแผนก แยกการเชื่อมต่อของอุปกรณ์ในแต่ละประเภท เช่น PC, Printer, CCTV เป็นต้น โดยในการแยก ก็จะกำหนดว่า อะไร อยู่ด้วยกัน เชื่อมต่อกันได้ ก็จะอยู่ VLAN ID เดียวกัน เราเรียก การตั้งค่า Port แบบนี้ว่า Access Port

ในบางกรณี เช่น อุปกรณ์ IP Phone ที่จะมี Port LAN Uplink กับ Downlink อยู่ เราก็สามารถที่จะ "แยก" ซ้อน เพิ่มเข้าไปอีก เช่น ถ้าเป็นการใช้งาน ​IP Phone ก็อยู่ VLAN 20 และ Computer ที่เชื่อมต่อกับ IP Phone ให้อยู่ VLAN 10 แบบนี้ เราเรียกว่า Trunk Interface ซึ่ง Cisco command จะใช้เป็น Switchport voice command ในการตั้งค่า 

- QoS Tagging การการจัดลำดับความสำคัญของการส่งข้อมูล แน่นอนว่า ข้อมูลที่ใช้ส่งในระบบเครือข่าย มีหลายประเภท แตกต่างกันไป ข้อมูลบางประเภท ถ้าหากว่า ติดขัด ในการรับ-ส่ง ก็จะส่งผลต่อการใช้งาน เช่น Voice หากมีการติดขัด สะดุด สิ่งที่ตามมาคือ คุยแล้ว เสียงขาด ๆ หาย ๆ มันก็จะคุยกันไม่รู้เรื่อง , Video ก็จะคล้าย ๆ กัน แต่ Video มันก็จะมี Buffer อยู่ คือ มันจะ Download ข้อมูลล่วงหน้าไปก่อน จากนั้น การ Play มันก็จะดึงข้อมูลที่ download มาเล่น ให้ดู Youtube เป็นตัวอย่างชัด ๆ เราจะเห็นขีดสีขาว ๆ วิ่งนำเส้นสีแดง (คือ จุดที่กำลังเล่นวิดีโออยู่)

และสุดท้ายคือ Data traffic ทั่ว ๆ ไป เช่น การใช้งาน Internet Web Browser, Messaging เป็นต้น แบบนี้ คือ ข้อมูลที่ สามารถค่อย ๆ download มา แล้วค่อย ๆ มาประกอบร่างกัน ทีหลัง

ดังนั้น การจัดลำดับความสำคัญของการส่งข้อมูล เราก็จะให้ Voice service เป็นอันดับแรก ตามด้วย Video และ ข้อมูล ทั่ว ๆ ไป นั่นเอง

ท้ายสุด แต่ก็สำคัญ นั่นคือ Security

Security คือ การป้องกันระบบเครือข่ายของเรา เราคงไม่อยากจะให้ ใครก็ได้ มาจากไหนก็ไม่รู้ เอาอะไรมาต่อพ่วงกันอุปกรณ์ของเราแน่ ๆ ไม่ว่าจะผ่านทาง Switch หรือ Access Point ก็ตาม Security จึงเป็นด่านแรก ที่จะมาตรวจสอบว่า จะอนุญาตให้ทำการเชื่อมต่อระบบเครือข่ายของเรา หรือไม่ นั่นเอง

หลัก ๆ ที่ทำ Security ใน Enterprise Network ก็จะมี 802.1X ที่จะทำการตรวจสอบการเชื่อมต่อ ด้วยการถาม Username และ Password ว่ามีสิทธิ์ในการใช้งาน ในการเชื่อมต่อหรือไม่ โดย Switch จะทำงานร่วมกัน Authorize, Authenticatiion and Accounting Server หรือ ที่เราเรียกกันย่อ ๆ ว่า AAA Server (ออกเสียงว่า ทริปเปิ้ลเอ) หากว่า มีสิทธิ์ในการเชื่อมต่อ AAA Server ก็จะบอกกับ Switch ว่า ให้ทำการเชื่อมต่อได้

วิธีที่สองคือ Port Security สำหรับอุปกรณ์บางชนิด ที่ไม่สามารถ กรอก Username กับ Password ได้ เช่น CCTV, Printer พวกนี้ มันไม่ได้ออกแบบมาให้สามารถโต้ตอบ กับ AAA Server ได้ ดังนั้น ทำไงดี ที่จะอนุญาตให้อุปกรณ์พวกนี้ เชื่อมต่อ แต่ต้องการ Security ด้วยนะ นั่นก็คือ ใช้ Port Security บวกกับ MAC Address Bypass นั่นเอง โดยการตั้งค่าให้ port นั้น ๆ ทำการ Authentication อุปกรณ์ด้วยการตรวจสอบ MAC Address นั่นเอง

เอาหล่ะ ร่ายมายาวพอสมควรแล้ว ไว้มาต่อ ตอนที่ 2, 3 ,4 และไปเรื่อย ๆ กันอีกในโอกาศต่อไปครับ เอาเป็นว่า เราจำ Key word ในตอนนี้ให้แม่น ๆ ก็น่าจะเพียงพอ เตร๊ง เตรง เตรงงงงง เตร๊งงงงง 

วิชานินจา พลางกาย สลับร่าง Randomized MAC address

วิชานินจา พลางกาย สลับร่าง Randomized MAC address

ช่วงก่อนปี 2020 นั้น การเชื่อมต่อผ่านระบบเครือข่ายไร้สาย (Wireless LAN) อุปกรณ์จะเชื่อมต่อกับ Access Point (AP) ด้วย MAC address ของเครื่อง ซึ่งผลิตมาจากโรงงาน และมันจะไม่ซ้ำกับใครในโลกนี้ เราจะเรียก MAC address แบบนี้ว่า Burn-in Address (BIA)

และเราก็เชื่อมต่อ Wireless LAN แบบนี้มาเรื่อย ๆ ซึ่งก็ดูเหมือนว่าจะไม่ได้มีปัญหาอะไร... ใช่มั๊ย ?

แน่นอนว่า เรื่องของข้อมูล มันย่อมมีการพัฒนา จนมาถึงยุคที่ ให้ความสำคัญกับข้อมูลส่วนบุคคล (Personal Data Privacy) เกิดขึ้น เมื่อผู้ใช้งาน มีสิทธิ์ ที่จะเปิดเผย หรือ ปกปิดข้อมูลการใช้งาน อันนี้ เลยนำมาซึ่ง เทคโนโญลี ที่มีชื่อว่า Randomized MAC address นั่นเอง

และแน่นอนว่า อุปกรณ์ที่ได้ทำการ  Upgrade Software Version ใหม่ ก็จะเพิ่มความสามารถทางด้าน Personal Data Privacy ขึ้นนั่นเอง โดยจะมี Windows 10, Android 10 และ iOS 14 นั่นเอง

เอาหล่ะ กลับไปสู่ ทฤษฏี ข้างบนนี้อีกรอบ อุปกรณ์ของเรา จะสามารถ เลือกได้ว่า จะเปิดเผย หรือ ปกปิดข้อมูลส่วนตัวได้แล้ว นั่นก็คือการ Turn on หรือ Turn off Privacy ได้แล้ว 

ถ้าเราเลือกที่จะ Turn off Privacy อุปกรณ์ของเรา ก็จะใช้เจ้า BIA ในการเชื่อมต่อ แต่ถ้า เราเลือกที่จะ Turn on Privacy อุปกรณ์ของเรา ก็จะเปลี่ยนมาใช้ Local Administered MAC address (LAA) แทน ซึ่งเจ้า LAA ก็คือ Randomized MAC address นั่นเอง...

Background Scanning การตรวจจับสัญญาณ กับผลกระทบของมัน

 Background Scanning การตรวจจับสัญญาณ กับผลกระทบของมัน

ในการใช้งานระบบเครือข่ายไร้สาย (Wireless LAN) ตัว Access Point: AP จะมีหน้าที่หลัก คือ การรับส่งข้อมูล ของเครื่อง Client นี่คือ ภารกิจที่สำคัญที่สุดของ AP แน่นอน ใคร ๆ ก็ต้องมองหา AP ที่สามารถรับส่งข้อมูลได้เร็ว ๆ แรง ๆ เพื่อให้การใช้งานไหลลื่น ไม่สะดุด แต่.....

รู้หรือไม่ว่า จริง ๆ แล้ว AP เอง ก็มีหน้าที่อย่างอื่นด้วย

นั่นก็คือ การตรวจจับ การโจมตี ต่าง ๆ เช่น Rogue Detection, Rogue Containment, Wireless Intrusion Prevention System: WIPS แน่นอนว่า หน้าที่นี้ ก็สำคัญไม่ด้อยไปกว่าการรับส่งข้อมูลเลย

แต่จริง ๆ ก็ยังมีหน้าที่อื่น ๆ อีก แต่อาจจะไม่ค่อยได้ใช้กัน เช่น ตรวจหาตำแหน่งของอุปกรณ์ (Asset location tracking), หลบสัญญาณ Radar ที่ สนามบินส่งมา อีกด้วย แต่ Function นี้ อาจจะใช้ในบางที่บางแห่ง แต่หลัง ๆ เรื่องการทำ Asset location tracking ก็เริ่ม ๆ นิยมขึ้น เนื่องจากมีการทำ Smart Workplace กันมากขึ้น ไว้จะมาอธิบายกัน ในคราวหน้า

โอเค เรากลับมาเรื่องของ หน้าที่อื่น ๆ ที่ AP ควรจะทำกันบ้าง เริ่มจากเรื่อง ความปลอดภัยของระบบเครือข่ายไร้สาย (Wireless LAN Security)

แน่นอนว่า ถ้าแบบสาย (Wired LAN) เราก็จะมีพวก Firewall, IPS, IDS, หรืออาจจะมีพวก Network Behavior Analytics (NBA) หรือ Network Detection & Response (NDR) ในการตรวจจับ การโจมตี ซึ่ง อุปกรณ์เหล่านี้ มันทำงานตลอดเวลา มันสามารถตรวจสอบข้อมูลที่รับส่ง ในระบบสาย LAN ได้ทันที 

แล้วสำหรับ ระบบไร้สายหล่ะ ????

อย่างที่ได้เกริ่นนำไปแล้วตอนหัว คือ AP ก็ทำนะ แต่... มันจะทำเป็น หน้าที่ "รอง". ก็แหงหล่ะ หน้าที่หลักก็คือ รับส่งข้อมูล นั่นเอง

แล้ว AP จะทำหน้าที่รองนี้ เมื่อไหร่ ?

โดยปกติ ทุก ๆ ยี่ห้อในตลาด (ขอนับเฉพาะที่เป็น Enterprise Grade นะครับ) ตัว AP หรือ Wireless LAN Controller: WLC ก็ทำหน้าที่นี้อยู่ แต่ว่า มันเป็นแค่หน้าที่รอง ก็คือ มันจะทำเป็นช่วงเวลา (Interval) และจำทำเมื่อ AP ว่าง จากการรับส่งข้อมูล นั่นเอง เราเรียกว่า การทำ Background Scanning นั่นเอง

เอาหล่ะ เราลองไปแอบส่อง Configuration Guide กันบ้าง ว่ามันเป็นยังไง

ยี่ห้อแรก

ยี่ห้อที่สอง

นี่คือตัวอย่างคร่าว ๆ ของข้อมูลการทำ Background Scan นั่นเอง เราก็จะเห็นว่า ถ้าเราไปเพิ่ม การทำงานของ Background scan มันก็จะทำให้ AP ลดการรับส่งข้อมูล แล้วมาทำหน้าที่ด้าน Security มากขึ้น ก็จะส่งผลให้ เกิดความล่าช้า และลดประสิทธิภาพ ในการรับส่งข้อมูลมากขึ้นนั่นเอง

เอ แล้วแบบนี้ เรายังควรจะมี Background Scanning กันอยู่มั๊ย ????

แน่นอน มันก็ต้องมีแหละ เพียงแค่ว่า การปรับจูนแบบไหน จะเหมาะสมมากที่สุดเท่านั้นเอง

เอ้า ตอบแบบห้วน ๆ กวน ๆ ซะงั้น

จริง ๆ แล้ว มันก็มีหนทางอยู่ ในบางหน่วยงาน ที่ให้ความสำคัญเรื่องความปลอดภัย จะยังคงมุ่งเน้นหรือ ให้ความสำคัญอยู่ และจำไม่ปล่อยให้การโจมตี ลอบเล้น เข้ามาในหน่วยงานแน่นอน

ดังนั้น การแก้ไขช่องโหว่ ของ Background Scanning ก็จะมีคำตอบมาให้เลือกใช้งานได้หลากหลาย มาดูตัวอย่างกัน

ตัวอย่างที่ 1. เพิ่ม AP ที่ทำหน้าที่ Scanning อย่างเดียวเลย โดย AP ตัวนี้ จะไม่ทำหน้าที่รับส่งข้อมูล เลย อันนี้ คือ การเพิ่ม AP เข้าไป เพื่อทำหน้าที่ ตรวจจับล้วน ๆ ส่วน AP ตัวอื่น ๆ รอบข้าง ก็รับส่งข้อมูลอย่างเดียวไปเลยเช่นกัน โดยวิธีนี้ ก็เคยได้รับความนิยมในยุคหนึ่ง ที่เริ่ม ๆ ให้ความสำคัญเรื่อง Wireless Security แต่การ ติดตั้ง Deployment ก็ค่อนข้างยาก เพราะในการออกแบบจุดติดตั้ง AP Scan นี้ จะต้องติดตั้งในจุดที่ สามารถเห็นสัญญาณของ AP รอบ ๆ ด้วย และจะต้องติดตั้ง AP Scan ให้ครอบคลุม AP ทั้งหมดที่ใช้งานด้วย เพื่อให้ AP Scan นี้ คอยดูแล AP ที่รับส่งข้อมูลนั่นเอง ตัวอย่างรูปข้างล่าง เสริม AP TOMM ที่เข้าไป

ตัวอย่างที่ 2. เพิ่มความถี่ของการทำ Background Scan กับ AP ที่ใช้งานอยู่ แน่นอนว่า อันนี้ แทบจะไม่ต้องลงทุนเพิ่มเติมอะไร ก็แค่ให้ AP คอยตรวจสอบบ่อยขึ้นเท่านั้นเอง แต่ต้องแลกมาด้วย Performance ที่อาจจะลดลง

ตัวอย่างที่ 3. หา AP ที่มีเสาสัญญาณพิเศษ !!!! มาเพื่อทำหน้าที่ Background Scanning โดยเฉพาะ แน่นอน มันมีจริง โดยอุปกรณ์ AP จะมีเสาสัญญาณพิเศษ แยกออกมาจาก เสาสัญญาณที่รับส่งข้อมูล ซึ่ง มันก็จะคล้าย ๆ กับตัวอย่างที่ 1. แต่เราไม่ต้องไปเพิ่มจุดติดตั้ง AP แต่ ก็ต้องแลกมาด้วย การเปลี่ยน AP ให้มีเสาสัญญาณพิเศษนี้นั่นเอง ลองดูตัวอย่างข้างล่างนี้

ส่งท้าย

แน่นอนว่า ณ เวลานี้ เรามาถึงยุค Wi-Fi 6E กันแล้ว แม้ว่า ในประเทศไทย ยังไม่ได้ประกาศใช้งาน คลื่น 6 GHz จาก กสทธ อย่างเป็นทางการ แต่ยังไงซะ 6 GHz มันก็ต้องมาแน่ ๆ รวมไปถึงลากยาวไปถึง 7 GHz ในอนาคต แน่นอนว่า ถ้าเรากำลังมองหา Access Point ที่มี "เสาพิเศษ" นี้ อย่าลืม เช็คดู Spec กันด้วยนะ ว่า เจ้า เสาพิเศษ นี้ สามารถทำงานได้ที่ ย่านความถี่ไหนบ้าง บางรุ่น บางยี่ห้อ ทำงานได้เฉพาะ 2.4 GHz และ 5 GHz เท่านั้น ไม่สามารถไป Scan ย่านความถี่ 6-7 GHz ได้ แต่ในบางรุ่น บางยี่ห้อ ก็สามารถทำได้ทั้ง 2.4 GHz, 5 GHz, 6 GHz รวมถึง 7 GHz เลย ดังนั้น ถ้ามองกันยาว ๆ ไปถ้าจะให้คุ้มค่าการลงทุน ก็ควรจะเลือกที่มัน Support Technology ไปอีกซัก 5 ปีเลย จะดีกว่า

โดยส่วนใหญ่ Technology Access Point อายุการใช้งานก็จะราว ๆ 5 ปี นับตั้งแต่วันเปิดตัว นั่นเพราะ ตอนนี้ ระบบ Wi-Fi มันยังมีพื้นที่ ในการพัฒนาอีกเยอะ ถ้าเทียบกับ Wired LAN เพราะเครื่อง Client ส่วนใหญ่ จะเชื่อมต่อกันแบบ ไร้สาย แทนกัน แทบจะทุกเครื่องแล้ว ว่าแต่ ยังมีใครใช้ PC, Laptop แล้วเสียบสาย LAN กันอยู่มั๊ยครับ ? 

ลองจับ HPE OfficeConnect 1950 กัน

 วันนี้ Admin ได้ทดลอง HPE OfficeConnect 1950 โดยโจทย์คือ ต้องการจะทำ Backup Configure จาก Switch HPE OfficeConnect 1950 ตัวเก่า และไป Restore ยัง ตัวใหม่

เริ่มแรก ตัวเก่า เราสามารถ Login เข้าไป เพื่อ Export Configure ออกมาได้ แต่ Switch ตัวใหม่ เรายังไม่ได้ทำอะไรกับมันเลย เพิ่งจะแกะออกมาจากกล่อง

แล้วเราจะไป Manage มันได้ยังไงกันนะ

เริ่มแรก เข้า Web site เพื่อไปอ่านคู่มือกันก่อน

HPE OfficeConnect 1950 Series User Guide

ซึ่งที่เราจะต้องรู้ไว้ก่อน คือ การจะไปจัดการกับ Configuration ของเจ้า HPE OfficeConnect 1950 นี้ กว่า 90% จะต้องทำผ่าน Web GUI โดยการเข้าไปที่ CLI นั้น ทำได้ไม่กี่คำสั่ง (ซึ่งจะเป็นการ Show ซะมากกว่า ไม่ค่อยจะทำ Configure ได้เลย)

อันดับแรก เรามาเริ่มจาก การดู IP Address กันก่อน

การดู IP Address จะมี 2 รูปแบบคือ รับ IP จาก DHCP Server และ Default IP Address 

ถ้าเรามี DHCP Server อยู่แล้ว เราก็ไปดูที่ IP Address Pool ที่สร้างไว้ได้เลย

แต่ถ้า เราไม่มี เราก็มาดูวิธีการดู Default IP Address กัน

ในคู่มือ หน้าที่ 11 จะบอกวิธีการดู Default IP Address 

จะขึ้นต้นด้วย 169.254.xx.yy และ Subnet Mask 255.255.0.0

โดยเราจะต้องไปดูที่ Switch ว่ามีเลข MAC Address อะไร โดยจะมี สติ๊กเกอร์ แปะ อยู่ด้านหลัง เราก็ไปเอา 4 หลักสุดท้ายมา

ตัวอย่าง ที่ได้มาคือ 362E ทีนี้ เราก็เอามาเข้าสูตร คือ 169.254.xx.yy

• 2 ตัวแรก จะเป็น xx
• 2 ตัวหลัง จะเป็น yy

เอาเลข 36 และ 2E ที่เป็นเลข ฐาน 16 มาแปลงเป็นเลข ฐาน 10 จะได้ 54 และ 46

ดังนั้น IP default จะเป็น 169.254.54.46 นั่นเอง

หรือ ถ้าเรามีสาย Console ก็สามารถเข้าไปดูทาง CLI ได้เช่นกัน แต่ขอฝากไว้นิดนึงคือ HPE OfficeConnect 1950 นี้ใช้ค่า Bit rate 38400 นะครับ อย่าลืมไปแก้ไขก่อนหล่ะ

คำสั่งที่ใช้คือ summary

เมื่อเรารู้เลข IP Address ของอุปกรณ์แล้ว ก็ไปจัดการกัน ผ่านทาง Web GUI กันเลย

[Security] Zero Trust ฉันไม่เชื่อเธอ

[Security] Zero Trust ฉันไม่เชื่อเธอ

ว่ากันว่า เรื่องของความปลอดภัยของระบบคอมพิวเตอร์ ที่มีแนวคิดว่า Zero Trust หรือ ทำยังไง ฉันก็ไม่เชื่อถือเธอ

โดยปกติที่เราใช้งานระบบเครือข่ายคอมพิวเตอร์ในหน่วยงาน ในองค์กร หรือ ในบริษัท นั้น ปกติแล้ว ระบบเหล่านี้ ก็จะมีอุปกรณ์รักษาความปลอดภัย เช่น Firewall, IPS, Next Gen Firewall อะไรพวกนี้อยู่แล้ว แต่... นั่นคือ กำแพงที่ปกป้องการโจมตีจากภายนอก ก็เปรียบเสมือนรั้วที่แข็งแกร่ง ป้องกันการโจมตีจากภายนอก แต่เดี๊ยวนี้ มันเปลี่ยนไปแล้ว การโจมตีจากภายใน ที่เหมือนม้าโทรจัน (Trojan horse) ที่เป็นการโจมตีจากภายใน ทำให้กรุงทรอย แตกพ่ายในคืนเดียว ก็เช่นเดียวกัน

ดังนั้นแล้ว การรักษาความปลอดภัย ก็จะใช้หลักการว่า Zero Trust คือ แม้จะนั่งทำงานในออฟฟิศ ก็ไม่เชื่อถือว่า นี่คือพนักงานของบริษัทจริง ๆ

เอาหล่ะ การรักษาความปลอดภัยของข้อมูล ก็จะแบ่งเป็น
1. Data at rest
2. Data in transit
3. Data in use

เอาหล่ะ มาดูทีละอันกันดีกว่า
1. Data at rest คือ การรักษาความปลอดภัยของข้อมูลที่เก็บรักษาไว้ ไม่ว่าจะเก็บไว้ที่ Hard disk, Laptop, PC หรือแม้แต่ในระบบ SAN storage ข้อมูลเหล่านี้ จะต้องทำการเข้ารหัสไว้ (Encryption) เพื่อป้องกันไม่ให้ใครมา copy ข้อมูลไปแล้วเปิดใช้งานได้เลย

2. Data in transit คือ การรักษาความปลอดภัยของข้อมูลในช่วงการรับส่งข้อมูล เมื่อมีการใช้งานระบบเครือข่าย มันก็จะมีการส่งข้อมูลระหว่างกัน ไม่ว่าจะเป็น ระหว่าง Client-Server, Client-Client, Client-internet การเชื่อมต่อพวกนี้ จะต้องมีการเข้ารหัสไว้ด้วยเสมอ เพื่อป้องกันการทำ Sniffer หรือ การทำ Man in the Middle และทำทั้งระบบ Wired และ Wireless ด้วย และถ้ามีการส่งข้อมูลออกไปยัง WAN Link ก็จะต้องเข้ารหัส ด้วยเช่นกัน เช่น IPSec, SSL VPN

3. Data in use คือ ไฟล์ข้อมูลที่เรากำลังเปิดใช้งานอยู่ ปกป้องไม่ให้มีการลักลอบส่งข้อมูลออกไป หรือ เรียกกันว่า Data leak prevention หรือ Data loss prevention ป้องกัน ไม่ให้แอบมีคนมา copy หรือ ส่งแนบไปกับ email ไปข้างนอก

แล้วทำไมเราต้องทำ Zero Trust ด้วยนะ อะไรเป็น ตัวแปร ที่มาทำให้เกิดแนวคิดเช่นนี้

ข้อมูลที่สำคัญ เป็นปัจจัยแรกเลย ที่มีผลต่อการป้องกันข้อมูล

สิ่งที่เป็นตัวแปรเพิ่ม นั่นก็คือ IoT นั่นเอง พวกอุปกรณ์ IoT ทั้งหลายส่วนใหญ่ มันจะไม่มี security อะไรเลย ทำหน้าที่รับส่งข้อมูลเท่านั้น ซึ่งนี่ก็เป็นอีกจุดนึง ที่เป็นจุดอ่อนที่สามารถเจาะระบบเครือข่ายเข้ามาได้

ก็เสมือนว่า คุกที่แน่นหนา แต่มี สาย LAN ห้อยอยู่ที่กำแพงนั่นเอง

ถ้าสนใจแบบลึก ๆ ก็สามารถศึกษาเพิ่มเติมได้ที่ URL ด้านล่างนี้

https://www.checkpoint.com/downloads/products/infographic-9-steps-absolute-zero-trust-security.pdf

ปัจจัยความเร็ว ระบบ Wireless LAN

ปัจจัยความเร็ว ระบบ Wireless LAN

เคยสงสัยกันมั๊ยว่า เวลาเราเชื่อมต่อ Network ด้วย Wireless Network มันจะมีความเร็วเท่าไหร่ และจะออกแบบกันอย่างไร เพื่อให้ได้ความเร็วที่ต้องการ

ความเร็วของการเชื่อมต่อของระบบ Wireless LAN นั้น มีปัจจัย หลาย ๆ อย่าง เช่น
1. เทคโนโลยีของ Access Point
2. เทคโนโลยีของอุปกรณ์ที่ใช้งาน (Station)
3. คลื่นที่ใช้งาน (Frequency) และความกว้างของช่องสัญญาณ (Channel width)
4. ความเข้มของสัญญาณ
5. จำนวนอุปกรณ์ที่ใช้งาน
6. ค่าสัญญาณรบกวน (Noise)

เอาหล่ะ เรามาเริ่ม ขยี้ ทีละจุดกันดีกว่า
1. เทคโนโลยีของ Access Point
ปัจจุบัน อุปกรณ์ Access Point ที่มีวางขายกัน จะเป็นเทคโนโลยี ที่เราเรียกกันว่า Wi-Fi 6 (จากก่อนหน้านี้เราจะได้ยินแต่คำว่า 11ac นั่นก็เพราะว่า 11ax ยังไม่ประกาศเป็นทางการ) ซึ่ง ไอ้เจ้า Wi-Fi 6 ที่ว่านี้ ก็แจ้งว่า ที่ความถี่ 5 GHz สามารถทำความเร็วได้สูงสุด คือ 1.2 Gbps ต่อ 1 เสาสัญญาณ นั้นก็แปลว่า ถ้าอุปกรณ์ Access Point มีจำนวนเสาที่มากกว่า 1 ต้น เช่น 2, 4, 8 ต้น ก็สามารถเอา 1.2 Gbps ไป คูณ จำนวนเสา เพื่อให้รู้ถึง ค่าความเร็วสูงสุด ที่อุปกรณ์ Access Point ตัวนั้น สามารถทำได้

ตัวอย่างของ Specification ของ Cisco และ Aruba

แต่ อย่าเพิ่งชะล่าใจไป ไอ้เจ้าความเร็วของเสาสัญญาณ มันไม่ได้เป็นคำตอบทั้งหมดว่า จะได้ความเร็วเท่านั้น เพราะอย่าลืมว่า ระบบ Network มันไม่ใช่แค่การเชื่อมต่อ ระหว่าง Access Point กับ อุปกรณ์ที่ใช้งาน (Station) มันยังมีระบบ Wired LAN ด้วย ซึ่ง ที่ตัว Access Point แต่ละตัว มันก็จะมี Port LAN ไว้สำหรับเชื่อมต่อไปยัง Wired Network ด้วย
เราก็มาดูต่อที่ Port LAN ของ Access Point กันต่อเลย
ปัจจุบัน ส่วนใหญ่ อุปกรณ์ Access Point ก็จะมี Port LAN ที่มีความเร็ว อย่างน้อย ๆ คือ 1 Gbps และบางรุ่น ก็สามารถใช้งานแบบ mGIG ได้อีก และสามารถเชื่อมต่อด้วยความเร็ว 2.5 Gbps - 5 Gbps กันเลยทีเดียว

นั่นก็แปลว่า อุปกรณ์ Switch ที่จะเชื่อมต่อจาก Access Point นั้น ก็ควรจะต้องทำงานในแบบ mGIG ได้เช่นกัน เพื่อไม่ให้เกิดปัญหาว่า ทำไป Access Point มี Wireless Performance ตั้ง 4.8 Gbps แต่วิ่งจริง ๆ ได้แค่ 1 Gbps (ซึ่งดันไปเสียบกับ Port ความเร็ว 1 Gbps นั้นเอง)

2. เทคโนโลยีของอุปกรณ์ที่ใช้งาน (Station)
แน่นอน แม้ว่าจะมี Access Point ที่เทพเพียงใด ถ้าเอาอุปกรณ์ไก่กา มีเชื่อมต่อ มันก็ทำให้ ความเร็วที่ได้ ไม่ได้เร็วสมใจหวัง
อุปกรณ์ที่ใช้งาน (Station) ก็จะเป็นอะไรที่ จุกจิก พอสมควร เอายกตัวอย่างง่าย ๆ คือ Notebook ที่ติดตั้ง OS Microsoft Windows 10 ซึ่ง โดยปกติ เวลาเชื่อมต่อ WiFi แล้ว ก็มักจะเจอปัญหาว่า ทำไม มันช้าจัง ซึ่งเราอาจจะต้องทำการปรับแต่งกันเพิ่มเติม เช่น กำหนด Preferred Band ให้ไปใช้ความถี่ 5 GHz เป็นต้น

แน่นอนว่า มันไม่สามารถสั่งการจากศูนย์กลางได้ เราจะต้องไปดูการตั้งค่าแบบนี้ แต่ละเครื่องเอง เพื่อให้แน่ใจว่า มีการปรับตั้งค่า configure ให้ได้ performance ที่ดีที่สุด

สำหรับ อุปกรณ์ชนิด Mobile ก็เช่นเดียวกัน ถ้า iOS ก็จะฉลาดหน่อย มันจะเลือกเกาะคลื่น 5GHz ให้ แต่อุปกรณ์ชนิด Android ก็อาจจะต้องไปตั้งค่าเพิ่มเติมอีกที

อีกข้อคือ อุปกรณ์ iOS ถ้านำมาใช้งานกับ Access Point ของ Cisco ก็จะได้ performance ที่ดีกว่า อุปกรณ์อื่นๆ นั่นก็เพราะว่า Apple กับ Cisco ได้พัฒนาเทคโนโลยีร่วมกัน ง่าย ๆ คือ เป็น Technology Partner กันนั่นเอง สิ่งที่จะได้พิเศษคือ Fast Lane หรือว่า เลนพิเศษ ถ้าหากว่า อุปกรณ์ Access Point Cisco พบว่า อุปกรณ์ที่ใช้งานเป็น iOS เค้าก็จะให้ช่องทางการเชื่อมต่อพิเศษ  และยังได้ Adaptive 802.11r สำหรับการ Roaming ที่ไหลลื่นยิ่งขึ้นอีกด้วย

สามารถหาข้อมูลเพิ่มเติมได้นี่ URL นี้นะ
https://support.apple.com/th-th/HT207308

3. คลื่นที่ใช้งาน (Frequency) และความกว้างของช่องสัญญาณ (Channel width)
แน่นอน คลื่นความถี่ที่ใช้งาน ก็มีผลต่อความเร็ว คลื่นความถี่ที่ใช้งานของระบบ Wireless LAN ณ ตอนนี้ (APR 2020) คือ คลื่น 2.4 GHz และ 5 GHz ซึ่งในอนาคต จะมีการนำคลื่น 6 GHz มาใช้ แต่ตอนนี้ ยังไม่มา ก็ขอข้ามไปก่อนละกัน
คลื่น 2.4 GHz มีข้อดีคือ เป็นคลื่นความถี่น้อย ทำให้ สามารถส่งไปได้ระยะทางไกล แต่จากการที่มีความถี่น้อย ทำให้ ความเร็ว มันก็น้อยตามไปด้วย
คลื่น 5 GHz มีข้อดีคือ เป็นคลื่นความถี่สูง ดังนั้น ความเร็ว ก็จากสูงขึ้นด้วย จากการที่มีค่า QAM ที่เยอะกว่า ทำให้การส่งข้อมูลทำได้สูงกว่า แต่จะมีข้อเสียคือ ระยะสัญญาณ จะไปได้ไม่ไกล เมื่อเทียบกับคลื่น 2.4 GHz

ซึ่งจากเทคโนโลยี ของ WiFi 6 นั้น ความเร็วสูงสุดของแต่ละคลื่นมีดังนี้ (ความเร็วต่อ 1 เสา และ 1 Spatial Stream)
2.4 GHz ความเร็วสูงสุด 143.3 Mbps
5 GHz ความเร็วสูงสุด 1.2 Gbps

อู้หู มันต่างกัน เกือบ ๆ จะ 10 เท่าเลยนะเนี่ย แล้วทำไม WiFi 6 ถึงจะยังใช้ คลื่น 2.4 GHz อยู่อีก
เมื่อเราลองเทียบกับ 802.11n ที่ทำได้ 150 Mbps เอ้า ทำไป WiFi 6 มันยังน้อยกว่าเลยนะเนี่ย แต่อย่าลืมว่า เอา 802.11n นั้น เป็นความเร็วสูงสุดที่ทำได้ เมื่อเชื่อมต่อด้วย อุปกรณ์ แค่ 1 เครื่องเท่านั้น  แต่ WiFi 6 นั้น มีความสามารถอื่น ๆ มาเสริม เช่น MU-MIMO, OFDMA, BSS Coloring นั่นเอง ทำให้ Overall Performance โดยรวม ทำได้เร็วกว่านั้นเอง และในยุคต่อไป เค้าบอกว่า จะเป็น IoT ERA ซึ่งอุปกรณ์จะคุยกันมากขึ้น และแน่นอนว่า ก็เชื่อมต่อผ่าน Wireless LAN นี่แหละ

และอีกหัวข้อคือ ความกว้างของช่องสัญญาณ (Channel Width)
โดยปกติ ช่องสัญญาณ ก็จะมี 20, 40, 80 และ 160 MHz channel แน่นอนว่า ความกว้างนี้ ก็เทียบได้กับ ขนาดของ "ท่อ" เมื่อท่อมีขนาดใหญ่ เราก็สามารถส่งน้ำได้เยอะนั่นเอง

สำหรับ Channel Width ของความถี่ 2.4 GHz คือ 20 MHz และ 5 GHz สามารถเลือกใช้ได้ ตั้งแต่ 20, 40, 80 และมากสุดคือ 160 MHz

นั่นก็เป็นเหตุหนึ่งที่ ทำให้ คลื่นความถี่ 5 GHz นั่น มีความเร็วที่สูงกว่า 2.4 GHz นั่นเอง
แต่อย่าลืมนะว่า หากเรากำหนดค่า Channel Width มากกว่าที่ อุปกรณ์ Station รับได้ มันจะเชื่อมต่อไม่ได้นาจา

4. ความเข้มของสัญญาณ
ปัจจัยนี้ คือสิ่งที่จับต้องได้มากที่สุด เวลาเราเชื่อมต่อระบบ Wireless LAN สิ่งที่เรามักจะชายตาไปมอง นั่นคือ ระดับความเข้มของสัญญาณที่ได้ บางทีเรามักจะมองว่ามันเป็นประเด็นที่สำคัญที่สุดของระบบ Wireless LAN เลยก็ว่าได้ เช่น ทำไป อุปกรณ์ Access Point ตัวเก่า เราได้สัญญาณ 4 ขีด แต่ทำไป ตัวใหม่ มันได้แค่ 3 ขีด แปลว่า มันห่วยกว่าเดิม มั๊ยนะ ???

ค่าความเข้มของสัญญาณ ในทางเทคนิค มันคือค่า dBm และมันก็จะ ติดลบ ด้วยนะ
เช่น -80 dBm, -75 dBm, -67 dBm, -60 dBm แบบนี้เป็นต้น
ยิ่งติดลบน้อย ก็แปลว่า ได้สัญญาณที่เข้มมาก

โดยทางการออกแบบของ Wireless Design เราก็จะแบ่งได้ ดังนี้
1. ที่ -67 dBm เหมาะสำหรับงานชนิด Voice Service
2. ที่ -72 dBm เหมาะสำหรับการใช้งานทั่ว ๆ ไป เช่น Internet Serve
3. ที่ -80 dBm ให้ถือว่าเป็นจุด Cut off ของสัญญาณ เพราะถ้ามีความเข้มน้อยกว่า นี้ จะถือว่า ไม่เหมาะสมกับการใช้งานแล้ว

ถึงแม้ว่า ความเข้มที่น้อยกว่า -80 dBm นั้น มันก็สามารถใช้งานได้อยู่ก็ตาม
อย่างในรูป ก็บอกว่า ที่ -94 dBm ก็เถอะ นั่นมันคือ ข้อมูลทางการค้า เป็นกันทุกยี่ห้อ ไม่ต้องแปลกใจ

5. จำนวนอุปกรณ์ที่ใช้งาน
แน่นอน อย่าลืมนะว่า การเชื่อมต่อกับระบบ Wireless LAN มันยังไม่ได้เป็น Full Duplex เหมือนการเชื่อมต่อด้วยสาย Wired Network นะครับ ซึ่ง ในทางทฤษฏี มันสูงสุดอยู่ที่ 8 Station ต่อช่วงเวลา (Time Slot) และจะไปถึง 8 Station per Time Slot ได้ ก็จะต้องมี Access Point และ Station device ที่สามารถทำงานได้ด้วยนะ ถ้าหากว่า มีเครื่องใดทำไม่ได้ มันก็จะตัดลดจำนวนลงไปอีก
นั่นแปลว่า ถ้าอยากจะได้อะไรที่มันสุด ๆ ติ่งจริง ๆ เราจะต้องมี Technology เดียวกัน ทั้งฝั่ง Access Point และ Station นั่นเอง

โดยในทางทฤษฏีแล้ว เอาแบบง่าย ๆ คือ Wireless LAN มันเป็นการ แชร์ทรัพยากร (Share Resource) ยิ่งมีจำนวนคนมาแชร์มาก ประสิทธิภาพ มันก็จะน้อยลงไปเท่านั้นแล

6. ค่าสัญญาณรบกวน (Noise)
ค่าสัญญาณรบกวน ก็มีผลต่อความเร็ว ว่าแต่ว่า ไอ้เจ้าสัญญาณรบกวน คืออะไร ????
สัญญาณรบกวน ก็เหมือนเวลาเราคุยกับเพื่อน แต่มันมีเสียงแทรก มากวน ทำให้เราไม่ค่อยได้ยินเสียงของกันนั่นแหละ เมื่อเราไม่รู้เรื่อง เราก็จะขอให้เพื่อนพูดซ้ำ ก็เหมือนกับระบบ Wireless LAN ที่ต้องของให้มีการส่งข้อมูลซ้ำ (retransmission) นั่นแล

อะไรทำให้เกิด สัญญาณรบกวน ???
เนื่องจากระบบ Wireless LAN ใช้คลื่นความถี่ 2.4 GHz และ 5 GHz อะไรที่ใช้คลื่นความถี่นี้ ก็ถือว่าเป็น สัญญาณรบกวนทั้งหมดนะ เช่น Bluetooth, Microwave และรวมถึง Access Point ของเพื่อนๆข้างบ้านเราก็เช่นกัน

โดยเอาง่าย ๆ มันจะมี ตัวแปรที่เราเรียกว่า SNR ที่ย่อมาจากคำว่า Signal to Noise Ratio นั่นเอง มันคือการเอา ค่าความเข้มของสัญญาณ มาลบกับ สัญญาณรบกวน เอาตัวอย่างเช่น

Signal Strength = -65 dBm แต่มีสัญญาณรบกวนอยู่ที่ -80 dBm

ค่า SNR ก็จะเท่ากับ เอา (-65 dBm) - (-80 dBm) ก็จะเหลือ 15 (ไม่มีหน่วยนะจ๊ะ)

โดย ค่า SNR ที่ดี ควรจะมีประมาณ 15 - 20 ขึ้นไป ถึงจะดีนะครับ

เอาหล่ะ หมดแรงอ่านกันหรือยัง นั่นแค่ น้ำจิ้มนะ ยังไม่ลงถึง สูตรการคำนวณความเร็ว ระบบ Wireless LAN เลยนะเนี่ย เราจะมาเล่าให้ฟังกันใน โอกาสต่อไป

Blog นี้ เริ่มมีเนื้อหา สำหรับ ไอทีเดนตาย แทนที่จะเป็น มือใหม่ไอที กันหรือยังครับ

[Wi-Fi] OFDMA พลังที่ยิ่งใหญ่ ของ Wi-Fi 6

[Wi-Fi] OFDMA พลังที่ยิ่งใหญ่ ของ Wi-Fi 6

หลังจากที่ ปล่อยให้ Wi-Fi 5 หรือที่เรียกว่า 802.11ac ปล่อยออกมาสร้างกระแสซักพัก ต่อจากนี้ไป จะเป็นยุดของ Wi-Fi 6 หรือ 802.11ax กันแล้ว

ก่อนจะเข้าเรื่อง มากล่าวถึงที่มาที่ไปกันก่อน ทำไมเมื่อก่อน เราพูดกันแต่ 11a, b, g, n, ac กัน แล้วไอ้เลข 5, 6 มาจากไหน นั้นก็เพราะว่า มาตรฐานการเชื่อมต่อแบบไร้สาย Wireless LAN นี้ มันมี หน่วยงานยักษ์ใหญ่ที่คอยกำกับความสามารถ ฟีเจอร์ มาตรฐานอยู่ หลัก ๆ คือค่าย IEEE ซึ่งทำให้ เราก็เรียกกันว่า 11a, b, g, n, ac อย่างที่ผ่าน ๆ มา แต่จริงๆ แล้ว มันยังมีอีกค่าย คือ Wi-Fi Alliance หรือที่เรามักจะเห็น Logo คำว่า Wi-Fi กันนั่นเอง มาคราวนี้ ค่าย Wi-Fi Alliance (WFA) ได้ออกมาประกาศมาตรฐานก่อนค่าย IEEE เราจึงจะได้ยิน Marketing Word ก็คือคำว่า Wi-Fi 6 นั่นเอง ส่วนใครอยากจะเรียก IEEE802.11ax นั้น รอประมาณปี 2020 ก่อนนะครับ ทาง IEEE ถึงจะประกาศอย่างเป็นทางการ

เอาหล่ะมาเข้าเรื่องตามหัวข้อกันดีกว่า

OFDMA ย่อมาจาก Orthogonal Frequency-Division Multiple Access ...
แค่คำแปลก็ชวนนอนหลับแล้ว

เอาเป็นว่า มันมาช่วยตอบโจทย์ จุดอ่อนของ Wi-Fi 5 หรือ 802.11ac นั่นเอง โดยเจ้า Wi-Fi 5 นี้ จุดแข็งคือ High Speed Wireless Network สามารถส่งข้อมูลได้อย่างรวดเร็ว มี Throughput การส่งข้อมูลที่สูง
เมื่อต้องการส่งข้อมูลขนาดใหญ่ ๆ ก็จะสามารถส่งได้อย่างรวดเร็ว
แต่........
ปัญหาคือ ในโลกแห่งความจริง การเชื่อมต่อแบบไร้สายนี้ มันเป็นแบบ Single User คือ ใช้งานได้ทีละคน และไอ้เจ้า Traffic ที่เรา ๆ ใช้กันเนี่ย มันเป็นข้อมูลขนาดเล็ก ๆ นั่นเพราะ เพื่อให้การใช้งานของ client ที่มีความเร็วต่ำ ๆ นั้น สามารถใช้งานได้อย่างลื่นไหล และไอ้การที่ส่งข้อมูลชิ้นเล็ก ๆ จำนวนมาก ๆ นี้แหละ มันเลยทำให้จุดแข็ง กลายมาเป็นจุดอ่อน

ทำไมหน่ะหรือ นั่นก็เพราะว่า Wi-Fi 5 ได้สร้างตู้สำหรับส่งข้อมูลขนาดใหญ่ (ศัพท์เทคนิค เรียกว่า Resource Unit: RU) แต่ ดันมีเฉพาะข้อมูลขนาดเล็กใส่ลงไป อ้าว แล้วที่ว่าง ๆ ที่เหลืออยู่ละ ทำไง ก็เหลือที่เสียทิ้งยังไงหล่ะ

ลองคิดถึง ถนน ที่มีรถบรรทุกคันใหญ่ ๆ วิ่งเต็มถนนสิ แล้วไอ้รถบรรทุกแต่ละกัน ก็บรรทุกของนิดเดียวอีก

มันจะแออัดกันแค่ไหน

มันเลยมีเทคโนโลยี ที่ชื่อว่า OFDMA เกิดขึ้นมานั่นเอง เพราะคำว่า Multiple Access นี่แหละ มันแปลว่า สามารถใช้งานได้หลายคนพร้อมกัน

จากเดิม ที่บอกว่า มีตู้ขนาดใหญ่ มันก็ทำการปรับปรุงใหม่ ย่อให้ตู้มันเล็กลง และยัดเอาข้อมูลขนาดเล็ก จากหลาย ๆ client เข้าไปในตู้นี้ (สูงสุดคือ 9 client ใน 1 ตู้) นี่แหละเป็นการเพิ่มประสิทธิภาพของการเชื่อมต่อแบบไร้สาย

และถ้ายังนึกภาพไม่ออก ไม่เป็นไร ดูภาพด้านล่างนี้เพิ่มเติม

แต่ ๆ  ๆๆ ๆ ๆ
แล้วบทความก่อน ๆ นี้ ที่เคยกล่าวถึง MU-MIMO หล่ะ ?????

แน่นอนว่า OFDMA กับ MU-MIMO นั้น ถ้าอ่านแบบคร่าว ๆ มันก็จะคล้าย ๆ กัน นั้นคือ การที่สามารถใช้งานได้พร้อม ๆ กัน แต่ OFDMA นั้น มันทำที่ระดับความถี่ (Frequency) แต่ MU-MIMO นั้น ทำงานที่ระดับ Spartial Stream ซึ่ง เป็นคนละแบบกัน แต่ในยุคของ Wi-Fi 6 นั้น ทั้ง 2 เทคโนโลยีนี้ มันสามารถมาทำงานร่วมกันได้ คือทำทั้ง OFDMA และ MU-MIMO เลย นี่แหละ ทำไม Wi-Fi 6 จึงได้ชื่อว่า High-Efficiency Wireless นี่เอง

[Review] Welcome to Cisco's Universe

[Review] Welcome to Cisco's Universe

ตอนแรกบทความนี้ ทางผู้เขียน ได้ร่างเอาไว้ ตั้งแต่ช่วงเดือน ก.พ. 2562 แต่ใช้เวลาในการตกผลึกกว่า 6 เดือน กว่าจะเขียนบทความนี้จบ

ผู้เขียน ได้มีโอกาสในการก้าวเข้ามาสู่จักรวาลของ Cisco จึงอยากจะเล่าประสบการณ์และเส้นทางในการเดินทางมาสู่จักรวาลแห่งนี้

เริ่มต้นจากการได้รับการติดต่อจากทีม Cisco Recruiter เข้ามา เพื่อแจ้งว่า เราเข้าตาในตำแหน่งงานที่กำลังจัดหา จากนั้นก็จะมีการ Confirm เวลานัดหมายสำหรับการสัมภาษณ์งาน ซึ่งตัวผู้เขียนได้รับการสัมภาษณ์ผ่านระบบ WebEx อันมีข้อดีคือ ไม่ต้องเดินทางไปเอง

การสัมภาษณ์งานในรอบแรก ทีม Cisco Engineer และ Manager
รอบแรกนี้ ไม่ได้ลงลึกอะไรมากมายเกี่ยวกับเทคโนโลยี แต่จะเป็นการ introduce myself ซะมากกว่า เราทำอะไรมาบ้าง ผ่านการทำงานมากี่ที่ มีลักษณะงานที่รับผิดชอบอย่างไร ถนัดเทคโนโลยีด้านไหนเป็นพิเศษ มี attitude อย่างไร อะไรชอบอะไรไม่ชอบ มีความรู้ และคิดอย่างไรเกี่ยวกับ Cisco อย่างไรบ้าง
ซึ่งตอนท้าย ทาง Manager ได้ทิ้งการบ้านว่า ให้ไปศึกษาด้านอะไรมาเพิ่มเติม ซึ่งจะมีผลต่อการสัมภาษณ์ในรอบที่สองนั่นเอง หลังจากเสร็จสิ้นแล้ว ทางทีม Recruiter จะรอ feedback จากทีมงาน ว่าเป็นอย่างไร มีแนวโน้น หรือสิ้นสุดแค่นี้ หลังจากที่ได้ feedback แล้ว ก็จะติดต่อกลับมา เพื่อทำนัดหมายสัมภาษณ์รอบที่สองนั้นเอง

การสัมภาษณ์งานในรอบที่สอง ทีม Cisco Engineer และ Technical Lead
ครั้งนี้ ไม่ต่างอะไรกับการสอบในระดับ JNCIP เลยทีเดียว เริ่มจากการทวนพื้นฐาน Networking กันก่อน ค่อยๆ ไล่รายละเอียดจากระดับ Layer 1 ของ OSI 7 Layer ไล่ขึ้นมาเรื่อย ๆ แน่นอนว่า หาก resume ที่เราเขียนไปนั้น over เกินจริง จะได้รับการคัดกรองจากการสัมภาษณ์รอบนี้เลย ตอนนี้ลองหันกลับไป แล้วถามตัวเองว่า รู้สึกอย่างไร ก็ต้องตอบเลยว่า เร้าใจ และท้าทายมาก ๆ ผ่านด่านความรู้พื้นฐานแล้ว ก็จะค่อยๆ ไล่ไปในแต่ละ เทคโนโลยี เช่น Switching/Routing, Wireless LAN, Security, WAN จริงๆ ก็มีมากกว่านี้ แต่เกรงว่ามันจะเยอะเกินไป 55555 แน่นอนว่า เค้าได้ถามตั้งแต่ การออกแบบ การเข้าใจปัญหา การแก้ไขปัญหา การนำเสนอ บางอย่างถ้าเราสามารถรู้ได้ลึกถึงระดับการติดตั้ง และ Troubleshooting ด้วย ก็จะดีมาก.
ซึ่งในแต่ละเทคโนโลยี เราจะได้ยินถึง Proprietary Technology ต่าง ๆ ของ Cisco ซึ่งตอนนั้น ทางผู้เขียนเอง ไม่ได้มีประสบการณ์ทางด้าน Cisco มามากนั้น ก็ได้ขอ guide ว่า ศัพท์นี้เกี่ยวกับอะไร และผู้เขียนก็ได้อธิบายไปว่า ถ้า technology นี้ มี standard ที่ใกล้เคียงเป็นอย่างไร มีการทำงานอย่างไร ซึ่งจะมีบาง Proprietary บางตัวที่ ผู้เขียน ก็ตอบไม่ถูกอยู่เหมือนกัน (หลังสัมภาษณ์ ก็ได้ไปหาข้อมูลว่า มันคืออะไร 55555+) 

เมื่อผ่านการสัมภาษณ์ทั้งสองรอบมาได้ คราวนี้คือ การรอคอยที่แสนยาวนาน รอเป็นเดือนเลยทีเดียว ระหว่างที่รอ บังเอิญว่า ผู้เขียน มีเหตุที่จะต้องไปศึกษางาน Technology ใหม่ ที่เพิ่งจะเข้ามาในประเทศไทย ทางบริษัท ได้แจ้งว่า ในการไป train ครั้งนี้ มีค่าใช้จ่าย ซึ่งจำเป็นจะต้องมีการเซนต์สัญญา ทางผู้เขียน จึงได้ติดต่อสอบถามไปยังทีม Recruiter และอธิบายถึงเรื่องดังกล่าว เพื่อขอให้เร่งกระบวนการพิจารณาว่า ได้หรือไม่ได้ โดยให้เวลา dead line ไป ซึ่งทางทีม recruiter ก็เร่งประสานงานให้อย่างรวดเร็ว และแล้ว ก็ได้มาซึ่ง email ตอบรับ

ทางผู้เขียน จึงได้เข้าไปคุยกับทาง Manager ที่ทำงานอยู่ แจ้งว่า ผู้เขียน ขอไปผจญสู่โลกกว้าง ซึ่งโชคดีมาก ๆ ที่ Manager ของผู้เขียน เข้าใจ เปิดใจ และยินดีกับก้าวต่อไปของผู้เขียน

ผู้เขียน ใช้ประสบการณ์ในการทำงานมากว่า 13 ปี ก่อนที่จะได้เข้ามาสู้ Cisco's Universe นี้ ขอเป็นกำลังใจให้แก่ผู้ผ่านทุกท่าน ที่ทำงานด้านระบบ IT ว่า แม้จะไม่ได้เรียนจบมาจาก สถาบันที่มีชื่อเสียง ไม่ได้มีเกียรตินิยมพ่วงมา ขอเพียงแค่ตั้งใจทำงาน เก็บเกี่ยวประสบการณ์ ความรู้ให้ได้มาก ๆ รู้ให้จริง รู้ให้ลึก มีทัศนคติที่ดี แต่ที่สำคัญคือเรื่องของ ภาษา และการสื่อสาร เพราะตำแหน่งงานที่ผู้เขียนได้ เป็นการทำงานร่วมกับทีมงาน Global Asia Pacific เพราะ ฉนั้นแล้ว นอกจากจะทำงานได้ มีความรู้ ยังจะต้องสามารถสื่อสารให้แก่คนหมู่มากได้ด้วย

สู้ต่อไป นี่เป็นแค่หนึ่งในความท้าทาย เข้ามาได้แล้ว สิ่งที่ต้องทำต่อไปคือ การเอาตัวรอด แน่นอนว่า คำว่า "ก้าวต่อไป ไม่หยุดก้าว" สำหรับ Cisco's Universe นี้ มันไม่พอ มันต้องเป็นคำว่า "วิ่งไปข้างหน้า วิ่งให้เร็ว อย่าให้ใครแซงเราได้"

ปัญญาประดิษฐ์ A.I. - Machine Learning M.L. - Deep Learning D.L. คืออะไร

ปัญญาประดิษฐ์ A.I. - Machine Learning M.L. - Deep Learning D.L. คืออะไร

ก่อนหน้าที่ อาจจะได้ยินคำว่า Robot ที่เข้ามาทำงานแทนมนุษย์ เช่น ใน ไลน์ผลิตในโรงงาน นั่นเพราะ พวกมันสามารถทำงานได้ โดยไม่มีเหน็ดเหนื่อย และงานส่วนใหญ่จะมีคุณภาพที่ใกล้เคียงกันทุกชิ้นงาน
แต่นั่นมันคือในอดีต เพราะ เจ้า Robot เหล่านั้น มันก็สามารถทำงานได้แค่เพียงที่เราตั้งโปรแกรมเอาไว้เท่านั้นเอง เช่น ให้หยิบจับชิ้นงานมาประกอบกัน มันก็จะทำได้เพียงแค่นั้น และปัจจุบัน เราได้คิดค้นวิธีที่จะทำให้ Robot มันฉลาดขึ้น สามารถสอน และเรียนรู้ได้ เพื่อให้มันมาช่วยงานเราได้ในอนาคต

มันมาพร้อมกับศัพท์ ที่ว่า Artificial Intelligent, Machine Learning และ Deep Learning

ในปัจจุบันนี้ เราจะได้ยินคำทั้ง 3 คำเหล่านี้เข้ามา แล้วอาจจะเกิดอาการงง ว่า มันคืออะไร แตกต่างกันยังไง

วันนี้ จะมาเล่าให้ฟังว่า มันคืออะไร และแตกต่างกันอย่างไร

เริ่มต้นจาก ปัญญาประดิษฐ์ Artificial Intelligent กันก่อน

มันคือระบบสมองกล ที่สามารถตอบโต้ (Interactive) กับส่งที่มันเจอได้ เช่น เจอทางเลี้ยว มันก็ตอบสนองด้วยการเลี้ยว เป็นต้น ซึ่งรูปแบบของการตอบโต้ มันก็สามารถมีได้หลายรูปแบบ ซึ่งจะมีการเก็บข้อมูลว่า เจออะไร และสามารถตอบโต้ได้ด้วยวิธีอะไรบ้าง เช่น เจอกำแพง อาจจะอ้อมไป หรือปีนข้ามไป เป็นต้น

ต่อมา Machine Learning

เรียกว่าเป็น หน่วยย่อย ๆ ของ AI นั่นเอง การที่ AI จะตอบโต้ด้วยรูปแบบที่หลากหลาย และรวมถึงการเพิ่มรูปแบบใหม่ ๆ ได้ ก็มาจากการทำ Machine Learning นั่นเอง ซึ่ง การ Learning นี้ การจะทำได้จากการเลียนแบบพฤติกรรมของมนุษย์ สัตว์ หรือธรรมชาติ ขึ้นอยู่กับว่า เจ้าเครื่องจักรนี้ ไปทำงานที่ส่วนไหน การทำ Machine Learning ก็จะมาช่วยให้ ระบบ A.I มันสามารถเลือกวิธีที่หลากหลายในการตอบโต้

สุดท้าย Deep Learning

มันคือ หน่วยย่อย ๆ ของ Machine Learning อีกที กล่าวง่าย ๆ คือ การเรียนรู้และวิเคราะห์ในเชิงลึก เช่น ระบบคณิตศาสตร์ เราอาจจะเรียนรู้ผิวเผิน เช่น การ บวก ลบ คูน หาร ยกกำลัง เศษส่วน แต่ในเชิงลึก ยังมี พีทากอรัส พีชคณิต แคลคูลัส เอ็กโพเน่นเชี่ยล อีกมากมาย การทำ Deep Learning คือการย่อยลงไปในเชิงลึก เพื่อให้สามารถคิดได้อย่างซับซ้อนขึ้น ซึ่งครอบคลุมถึง การคิดตั้งแต่สาเหตุ วิธีการโต้ตอบ และผลลัพธ์ที่จะได้ เพื่อให้ระบบ A.I. สามารถเลือกวิธีการที่ดีที่สุดในการโต้ตอบได้นั่นเอง

ในท้ายนี้ ก็สรุปง่าย ๆ ว่า ทั้งหมดทั้งมวลนี้ A.I. คือ คำกว้าง ๆ ของการให้เครื่องจักสามารถคิด วิเคราะห์ แยกแยะได้ สามารถโต้ตอบกับสิ่งเร้าต่างๆ ได้ และในเชิงลึกลงไปคือ Machine Learning ที่จะช่วยให้มีทางเลือกในการตัดสินใจวิธีมากขึ้น รวมถึงท้ายสุด Deep Learning เป็นการวิเคราะห์ถึงผลพวงที่จะเกิดขึ้น เพื่อให้เลือกวิธีการตัดสินใจที่ดีที่สุดนั่นเอง

เอวังด้วยประการฉะนี้ แล....

ข้อมูลทางชีวมาตร [BioMetric]

ข้อมูลทางชีวมาตร [Bio Metric]

ข้อมูลทางชีวมาตร [Bio Metric] คือ การนำเอาข้อมูลทางกายภาพของบุคคล มาประยุกต์ใช้กับระบบเทคโนโลยีสารสนเทศ เช่น การนำไปใช้ทางด้านการตรวจสอบลักษณะบุคคล (Identified) การเปรียบเทียบทางกายภาพ (Recognize) เป็นต้น

Bio Metric มีอะไรบ้าง
1. ลายนิ้วมือ (Finger print) อันนี้ พื้น ๆ เลย ใช้กันมานาน เป็นที่ยอมรับ แต่ก็ปลอมแปลงง่าย
2. ม่านตา (Iris) ไม่ค่อยจะนิยมมากนัก เพราะ ผู้ใช้ไม่อยากให้มีแสงมายิงใส่ตา
3. ภาพถ่าย (Picture) ใช้งานง่าย ๆ แต่ก็มีเรื่ององศา ของใบหน้า ณ ปัจจุบัน รองรับที่มุมก้ม-เงย
4. DNA ปลอมแปลงไม่ได้ แต่ใครจะให้มาเจาะเอา DNA ไปตรวจทุกครั้งหล่ะเนี่ย

ซึ่งจริงๆ แล้ว ข้อมูลบางส่วนนี้ ได้มีการจัดเก็บลงใน Security Printing เช่น บัตรประจำตัวประชาชน, Passport แล้ว ซึ่งแน่นอนว่า การเข้าถึงข้อมูลเหล่านี้จะต้องใช้ เครื่องมือเฉพาะ และมีการเก็บข้อมูลไว้ที่หน่วยงานทะเบียนราษฎร์ แน่นอนว่า ไม่เปิดให้คนทั่วๆไป เข้าถึง

แล้วถ้าไม่ใช่หน่วยงานภาครัฐ จะสามารถใช้งาน Bio Metric ได้หรือไม่

คำตอบคือ ได้ แต่....

มันก็ต้องมีเงื่อนไข เพราะว่า หน่วยงานเอกชน ไม่ได้มีสิทธิ ในการเข้าไปใช้ข้อมูลของหน่วยงานภาครัฐ ดังนั้น ก็จะต้องสร้างฐานข้อมูลขึ้นมาเอง และใช้งานเอง

ตัวอย่างเช่น บริษัท AAA ได้มีการเก็บข้อมูลของ คนที่ เข้า-ออก ประตู และที่ประตู ก็จะมีอุปกรณ์ กล้องวงจรปิด ระบบ Access Control, ระบบ Card Reader, Finger Scan เพื่อบันทึกการเข้าออก

โดยระบบเหล่านี้ จะสามารถบันทึกข้อมูล เช่น ชื่อผู้ใช้งาน รหัสผ่าน ลายนิ้วมือ ภาพถ่ายใบหน้า คีย์การ์ด ก็จะสามารถกำหนดสิทธิ์การเข้าออกได้ โดยอ้างอิงจากข้อมูลข้างต้น ซึ่งอาจจะเลือกใช้งานอย่างใดอย่างหนึ่ง หรือ ใช้หลาย ๆ ข้อมูลประกอบกันได้ เช่น เอาเฉพาะคีย์การ์ด เอาเฉพาะลายนิ้วมือ อย่างเดียว หรืออาจจะใช้ข้อมูล 2 อย่างรวมกัน เช่น คีย์การ์ด และลายนิ้วมือ หรือ คีย์การ์ดและใบหน้า


ซึ่งถ้าระบบนั้น ๆ มีความสามารถในการวิเคราะห์ขั้นสูงได้ เช่น หากไม่หันหน้ามายังกล้อง ก็จะส่งเสียงแจ้งเตือนให้ บุคคล หันหน้ามองกล้อง ไม่เช่นนั้น ก็จะไม่สามารถให้ผ่านไปได้

แน่นอนว่า ข้อมูล Bio Metric นี้ จะเริ่มเข้านาในชีวิตของคนไทย ในอีกไม่นาน เราต้องรู้ให้ทัน และไปให้ทันกับเทคโนโลยีนี้

เอวัง ด้วยประกาลฉะนี้แล....

บริการของเครือข่ายไร้สาย "VoLTE"

บริการของเครือข่ายไร้สาย "VoLTE" 

ก่อนจะไปถึงคำว่า VoLTE เรามาดู ก่อนว่า เวลาเราใช้ โทรศัพท์มือถือ เชื่อมต่อ internet ผ่าน Mobile Data ไม่ว่าจะ เล่น internet หรือ เล่นเกม เมื่อมีคนโทรเข้ามา เราจะเห็นว่า มันตัดสัญญาณ internet ลง และเป็นสัญญาณโทรศัพท์แทน

แน่นอนว่า ถ้าตีป้อม หรือ โดดร่มอยู่ ตัดกลับมาอีกที อาจจะนอนไปแล้วก็ได้

นั่นก็เพราะว่า สัญญาณโทรศัพท์ กับ สัญญาณ Mobile Data มันเป็นคนละ ชนิด ซึ่งต้องใช้งานอย่างใดอย่างหนึ่งในเวลานั้น ๆ

มันเลยมีเทคโนโลยี ที่เปลี่ยนสัญญาณโทรศัพท์ ไปเป็นสัญญาณ Mobile Data หรือ เรียกง่าย ๆ ก็คือ เปลี่ยนเป็นสัญญาณแบบ IP Network นั่นเอง

นี่แหละ คือที่มาของ VoLTE

แล้วเจ้า VoLTE มันคืออะไร

แน่นอนว่า ถ้าเราเปิดหัวมาด้วยรูป Diagram อันนี้ หลายคน คงจะคลิก ปิดหน้านี้ทิ้งไปแล้ว แต่ช้าก่อน !!!!

ที่เอามาให้ดูนั้น เรา Focus กันแค่ด้านขวาแล้วกัน เราจะเห็นว่า ปลายทาง มันจะแบกเป็น ระบบโทรศัพท์ กับระบบ IP Network

Voice over Long Term Evolution หรือ VoLTE หรือ อ่านว่า โวลเต้ ก็ได้
มันคือ เทคโนโลยี ที่มาพร้อมกับ ระบบ 4G ของระบบเครือข่าย ซึ่งก่อนหน้านี้ เช่น 2G, 3G มันจะเป็นแบบที่กล่าวมา แต่ใน 4G นอกเหนือจากความเร็วของสัญญาณ Mobile Data แล้ว ยังมีเจ้า VoLTE พ่วงมาด้วยเช่นกัน

ว่าแล้ว ทุก ๆ คน สามารถใช้เจ้า VoLTE ได้หรือไม่
คำตอบคือ "ได้" แต่.... เจ้าโทรศัพท์มือถือที่เราใช้อยู่ มันรองรับ การทำงานแบบนี้หรือไม่ ?
เราสามารถหาข้อมูลจาก Web Site ของ ผู้ให้บริการเครือข่าย เช่น AIS, True หรือ DTAC ได้ เค้าก็จะเขียนว่า รุ่นไหน ยี่ห้อไหน ทำได้บ้าง ถ้าเราใช้อุปกรณ์ที่ว่า ก็สามารถโทรไปแจ้งขอเปิดการใช้งาน VoLTE ได้ด้วยเช่นกัน

เอาหล่ะ ตอนนี้ เราก็สามารถ Serf internet และ รับสายโทรเข้าออกได้ โดยไม่สะดุดแล้ววววววว

เล่นตีป้อม และรับสายไปได้พร้อม ๆ กัน 555555...

ข้อดีเยอะขนาดนี้ แล้วทำไม ตัวผู้เขียน เลิกใช้ VoLTE แล้วกลับไปใช้ 4G แบบเดิม ????

ข้อดีของ VoLTE ก็มี แต่ !!! ตัวผู้เขียนเอง มีพฤติกรรมของงาน ที่ต้องเดินทางระหว่างวันค่อนข้างเยอะ พอใช้งาน VoLTE แล้ว ถ้าเดินทาง ขับรถ ขึ้นรถไฟฟ้า ก็จะเจอปัญหาทันที คือ เนื่องจากสัญญาณ VoLTE เป็นการเชื่อมต่อผ่านระบบ IP Network เมื่อเรา เดินทาง "ข้าม" เสาสัญญาณ จะเกิดการ Roaming ขึ้น เพื่อย้ายการเชื่อมต่อ จากเสาสัญญาณต้นแรก ไปอีกต้น ซึ่งไอ้การ Roaming ณ ตอนนี้ มันยังไม่เนียนพอ และสัญญาญแบบการรับสายโทรออก มันค่อนข้าง Sensitive แน่นอนกว่า เมื่อมีการ Roaming เกิดขึ้น มันก็เลยเกิดการสะดุด จะเกิดการ Hold ของสัญญาณ ช่วงขณะหนึ่ง สัก 3 วินาที จะได้ยินเสียงเหมือนการรอสายเกิดขึ้น ซึ่งการใช้งาน VoLTE อาจจะไม่เหมาะกับการใช้งานที่ต้องเดินทางนั่นเอง

และอีกข้อคือ VoLTE มันใช้สัญญาณ Mobile Data ในการโทร ดังนั้น ใครจะใช้ VoLTE อย่าลืมนะครับ ต้องมี package Internet ไว้ด้วย

ท้ายสุดนี้ จะใช้ VoLTE หรือไม่ ก็อยู่ที่เรา ใช้แล้วโอเค กับมันรึป่าว

ทั้งหมดนี้ก็เอวัง ด้วยประการฉะนี้แล....

ตารางวิเศษเอ๊ย จงบอกข้าเถิด ใครแหล่มเลิศในปฏฐี Magic Quadrant for the Wired and Wireless LAN Access Infrastructure

ตารางวิเศษเอ๊ย จงบอกข้าเถิด ใครแหล่มเลิศในปฏฐี Magic Quadrant for the Wired and Wireless LAN Access Infrastructure

มาว่ากันเรื่องของ ตาราง Magic Quadrant จาก Gartner กัน

เจ้าตารางสี่ช่องนี้ หลาย ๆ หน่วยงาน ก็จะเอามาไว้สำหรับการอ้างอิงถึงยี่ห้อ ของอุปกรณ์ในระบบ IT ซึ่งมันก็มีหลาย ๆ หมวดหมู่ แต่ละหมวดหมู่ ก็จะมีการคิดเกณฑ์การให้คะแนนที่แตกต่างกันไป

วันนี้ มาลองวิเคราะห์ในหัวข้อ Wired and Wireless LAN Access Infrastructure ของปี 2018 กัน (ออกเดือน JUNE นะครับ)

เกณฑ์การให้คะแนน 

เอาส่วนของเทคโนโลยี มีอะไรบ้าง
1. Hardware
2. Software

ลงรายละเอียดทีละหัวข้อกัน
1. Hardware จะต้องมี
- Wireless Access Point
- Wired switch
- Controller (จะเป็น physical appliance หรือ virtual ก็ได้)

2. Software จะต้อง
- Network management, monitoring
- Performance management
- Guest Access
- On boarding services
- Authentication, authorization and accounting (AAA) security
- Policy enforcement
- Intrusion detection system/wireless intrusion detection system
- Location service
- Application visibility
- Network and vertical market analytics
- Security, including behavioral analysis

จะเห็นว่า เน้นๆ ไปทางความสามารถของ Software เป็นหลักเลย

เรามาดูการวิเคราะห์จาก Gartner กันว่า (ขอคัดมาเฉพาะบางยี่ห้อนะ)

Cisco เจ้าพ่อตลาดวงการ IT

ยี่ห้อนี้ ใครไม่รู้จักนี่แปลกมาก มีอุปกรณ์ทั้งหมดทั้งยวง wired switching และ wireless roduct
และส่งแนวรุกอย่าง Cisco Catalyst 9000 และ Aironet 4800 บุกตีตลาดเต็มที่
DNA-C หรือ Digital Network Architecture Center เป็นระบบบริหารจัดการสำหรับ Aironet และ Catalyst แต่ยังน่าเสียดายที่ กลุ่ม Product Wireless อีกตัว คือ Miraki ซึ่งเป็น Cloud Based Access Point นั้น ยังไม่สามารถบริหารจัดการได้ ณ ตอนนี้ใน DNA-C v1.1
จุดแข็ง
- ใน 2H18 นี้ Cisco กำลังจะทำให้ DNA-C สามารถบริหารจัดการให้ได้ทั้งหมด
- อุปกรณ์รองรับ IoT เต็มรูปแบบ
- อุปกรณ์ iOS จากค่าย Apple ก็รองรับการใช้งาน Wi-Fi iOS analytics ได้ด้วย

ข้อด้อย
- DNA-C ที่จะบริหารจัดการทั้ง Aironet และ Miraki นั้น เนื่องจากว่า Miraki ทาง Cisco ไปซื้อเค้ามา ในส่วนของ feature ต่าง ๆ อาจจะแตกต่างกันในเรื่องของการบริหารจัดการ ซึ่งต้องคอยดูว่า ถ้าเอามาบริหารจัดการร่วมกันแล้วจะราบรื่นแค่ไหน
- License ของ Cisco One Software นั้น แยกย่อยเยอะ ซึ่งก่อนจะทำการสั่งซื้อ ต้องคำนวนให้ถี่ถ้วนก่อน ไม่งั้นอาจจะบานปลายภายหลัง
- มีการรายงานจากลูกค้าว่า การติดตั้ง IoT โดยการใช้ SD-Access นั้น ค่อนข้างซับซ้อน

HPE (Aruba) หน้ากากใหม่ของพ่อมด WiFi

Aruba ย้ายบ้านใหม่ มาอยู่ภายใต้ Hewlett Packard Enterprise ก็เรียกว่า เป็นการเติมเต็มให้กับ HPE ซึ่งแน่นอน ของเค้ามีครบเช่นกันกับ Cisco และมีจุดแข็งอีกอันคือ ClearPass access control and policy ใช้สำหรับการจัดการด้านความปลอดภัยของการใช้งานระบบเครือข่าย Network ซึ่งเรียกว่าเป็น 360 Secure Fabric เพราะต่อยอดไปถึง IntroSpect ได้กันเลยทีเดียว อันนี้คือว่าเป็นจุดแข็งโป๊กของพี่ HPE
จุดแข็ง
- License ของ AirWave ก็สามารถทำ connectivity analytics ได้ และ AP License ก็รวมเอา guest access software มาให้ด้วย ก็ช่วยลดต้น/ทุนไปได้เยอะ
- สำหรับ Core หรือ Aggregation เช่นรุ่น 8400/8320 ก็รวมเอา network analytics,policy-based integration with monitoring และ security tool ให้แล้ว ก็ลดต้นทุนลงเช่นกัน
- มี Solution เรื่องของ Network Service Assurance นั่นคือ NetInsight ซึ่งเป็น Cloud-based ที่ประมวลผลเรื่องของ machine learning คลื่นความถี่จากทั่วโลก และสามารถแนะนำได้ว่า ควรจะต้องตั้งค่าระบบ Network อย่างไร และควรจะปรับแก้ไขอย่างไร เพื่อให้ได้ประสิทธิภาพสูงสุด

ข้อด้อย
 - HPE ไม่ค่อยให้ความสำคัญกับ Operational Technology (OT)
- Cloud management ของ HPE นั้น มี feature ไม่ครบ เมื่อเทียบกับการใช้ ClearPass และ AirWave

Extreme Networks ถ้าคิดค้นเองมันยาก เราก็ซื้อมันมาซะเลย

Extreme Networks เสี่ยใหญ่มาแรง เรียกได้ว่า acquire หลาย ๆ บริษัทกันเลยทีเดียว ซึ่งมีอุปกรณ์ตั้งแต้ ต้นน้ำ กลางน้ำ และปลายน้ำเลย (edge-to-core infrastructure)
แต่ที่แปลกใจคือ แผนกหลังบ้าน ที่ให้บริการด้านเทคนิคที่สุดแจ่ จน Gartner ให้นิยามว่า "Extreme continues to provide strong customer service through a 100% insourced service and support team."
จุดแข็ง
- Extreme มีทีมงานที่หิวโหยความเป็น Leader ทั้งด้านทีม Sale และทีม Technic
- Extreme Fabric เป็นเทคโนโลยีการทำ Fabric ของระบบเครือข่ายที่ช่วยลดความซับซ้อนของการ configuration อุปกรณ์ เช่น ต้องการติดตั้ง IP CCTV ปกติ จะต้องไปตั้งค่า VLAN ไล่ไปตั้งแต่ Access -> Access Hub --> Building Aggregation --> ... --> Service Switch เราทำแค่ กำหนดว่า ต้นทาง Port Interface อะไร และปลายทางอยู่ Port Interface อะไร จากนั้น Extreme Fabric ก็จะไปทำการตั้งค่า (Provision) อุปกรณ์ทั้่งหมดให้ รวมถึงสร้างเส้นทางสำรองให้ด้วย (Redundant Path)
- ระบบบริหารจัดการที่เรียกว่า สมองเพชร อันเนื่องจากการซื้อ หลาย ๆ ยี่ห้อเข้ามา Avaya, Zebra, Allied telesis และของเดิมๆ แต่กลับสามารถบริหารจัดการได้ด้วย Software Management ตัวเดียวกัน
ข้อด้อย
- User Entity Behavior Analytics (UEBA) ยังมีปัญหาในเคสที่ ติดตั้งแบบ Hybrid คือ ทั้ง Cloud และ On-premises แต่ในบ้านเรา ยังไม่เห็นใครทำแบบนี้นะครับ ข้อนี้ อาจจะตัดไปได้
- เทคโนโลยีเรื่อง Location service ยังด้อย เมื่อเทียบกับยี่ห้ออื่น ๆ
- ลูกค้าเดิม ที่ใช้งาน Avaya หรือ Zebra ต้องวางแผนเรื่องของ Migration รวมถึง Integration Plan เพราะเมื่อวันนึง ซื้อของใหม่ในนาม Extreme จะต้องคำนึงในเรื่องการใช้งานร่วมกัน

จบไปแล้วสำหรับ 3 ผู้นำ Leader Quadrant
สำหรับรายอื่น ๆ ขอหยิบมาบางยี่ห้อนะครับ

ARRIS เจ้าของน้องหมา Ruckus

ARRIS ได้จบดีล Ruckus Wireless และ Brocade ICX มาครอบครอง ซึ่งก่อนนี้เค้าเป็นเจ้าตลาดด้าน Service Provider วันนี้จะเล่นตลาด Enterprise ก็เลยจะเน้น sale จากตลาดของ Ruckus ในส่วนของ WiFi technology ที่ Enterprise Service Provider ใช้กัน ในเมืองไทย ก็ใช้นะเออ รู้มั๊ย และการได้ ICX ก็มาเติมเต็มในส่วนของ wired switching product ด้วย เพื่อให้ไปเป็น Total Solution wired and wireless lan system
จุดแข็ง
- Ruckus Cloud สามารถบริหารจัดการทั้ง Access Point และ Switch ได้ด้วย
- Cloudpath เป็นระบบ WiFi onboarding ที่รองรับทั้ง พนักงาน, Visitor มีทั้งแบบ Cloud และ On premises
- IoT Solution ก็มี เพราะได้ built-in มาใน Access Point แล้ว รองรับ Zigbee, BLE และ LoRa ครบครัน
- ระบบ Location Technology ที่ยอดเยี่ยม ใช้งานได้จริง พิสูจน์มาแล้ว

ข้อด้อย
- ความชัดเจนในส่วนของ Road map ของอุปกรณ์ ICX
- ด้าน feature ที่ใช้ใน Large Enterprise ยังด้อย เมื่อเทียบกับคู่แข่ง
- ระบบ Cloud Management ไม่สามารถจัดการยี่ห้ออื่นได้เลย (ยี่ห้ออื่น มันก็ทำไม่ได้นะ ทำไป Gartner เอาข้อนี้มายิง ARRIS)

JUNIPER NETWORKS เล็กๆ JNP ไม่ ใหญ่ ๆ JNP ทำ

Juniper Network อ่านดีๆ ไม่ใช่ จูปิเตอร์ นะ  หลังจากที่ มุ่งเน้น การ config ผ่าน Command Line Interface (CLI) ของอุปกรณ์ Junos ทั้งหลาย (ทั้ง switch และ security product) สร้างความสับสน ยุ่งยาก และซับซ้อน ยากแก่การเข้าใจ ทาง Juniper ก็ออก Juniper Sky Enterprise ที่เป็น cloud-management มา เพื่อให้สามารถบริหารจัดการผ่านทาง GUI ได้ (เดือน January 2018) และการสร้าง Security Solution ที่เรียกว่า software-Defined Secure Networks (SDSN) อย่าไปสับสนกับ Girl Group เกาหลีนะ 5555

สำหรับ Wireless LAN ทาง Juniper ก็ไปจับมือกับ Aerohive, Samsung, Mist System, LANCOM และ HPE (Aruba)

จุดแข็ง

- Sky Enterprise สามมารถบริหารจัดการได้ทั้ง SRX, NFX แล EX devices

- SDSN สามารถต่อยอดระบบเครือข่ายเดิม ให้มีความปลอดภัยที่สูงขึ้นได้

- Junos Fusion เป็นเทคโนโลยีของการเชื่อมต่ออุปกรณ์ทั้งหมด เพื่อให้สามารถบริหารจัดการเหมือนเป็นอุปกรณ์ใหญ่ๆ ชิ้นเดียว

ข้อด้อย

- แน่นอน การตลาดไม่มีมิตรแท้ และศัตรูถาวร ทางด้าน Wireless LAN ต้องพึ่งพาคนอื่นอยู่

- หากมองหา Complete wired and wireless แล้วหล่ะก็ แน่นอน Juniper Network ไม่ใช่คำตอบ

ยี่ห้อหลักๆ  ในตลาด Enterprise Network บ้านเรา ก็คงไม่พ้น แบรนด์เหล่านี้ เอวัง ด้วยประการ ฉะนี้แล...

โร๊กเอพี วายร้าย ไร้สาย: Rogue Access Point Attack

ว่ากันด้วยภัยคุกคามทางระบบเครือข่าย

ในสมัยก่อน ในยุคที่การใช้งานระบบเครือข่าย เป็นแบบเชื่อมต่อผ่านสาย Wired Network นั้น การโจมตีต่าง ๆ มันก็ต้องทำผ่านสายสัญญาณ เช่น หน่วยงานเรา เชื่อมต่อกับระบบ Internet ผ่านทาง Router ผ่าน Firewall ถึงจะมายังระบบเครือข่ายภายใน ถ้าผู้ไม่ประสงค์ดีจะเข้ามาก่อกวนเรา ก็จะยิงโจมตี ผ่านทางอุปกรณ์ Router, Firewall ถ้าทะลุมาได้ก็จะเข้าถึงระบบภายใน

แต่.... ปัจจุบันนี้ ระบบ Wired LAN นั้น แทบจะถูกทดแทนด้วยระบบไร้สาย Wireless LAN แล้ว จะมีแค่บางอุปกรณ์ที่ยังใช้งานผ่านสายสัญญาณ (นั่นก็เพราะต้องการความสเถียรในการเชื่อมต่อสูง)
บาง Office พนักงาน ใช้งาน Notebook และเชื่อมต่อด้วย WiFi เกือบจะหมดแล้ว

นี่ก็เป็นอีกหนึ่งจุดที่ทำให้ การเชื่อมต่อนั้น ไม่ได้ทำผ่านระบบเครือข่ายภายในอย่างเดียว ยิ่งถ้าอยู่ในตัวเมือง จะพบว่า นอกจาก SSID ที่หน่วยงานใช้อยู่ ก็ยังสามารถมองเห็น SSID อื่น ๆ รอบๆ ตัวเราด้วย เราเรียก พวก SSID เหล่านี้ว่า Neighbor WLAN

แล้วเราทำอะไรกับเจ้า Neighbor WLAN เหล่านี้ได้บ้าง ???

มี Tools มากมายที่สามารถไปยุ่งวุ่นวายกับ Neighbor WLAN เช่น การยิง De-Authen packet ไปยัง Neighbor WLAN เพื่อตัดสัญญาณการ authentication ระหว่าง Access Point กับ Client เป็นต้น

นั่นคือ ตัวอย่างเล็กๆ น้อยๆ ถ้าเขียนมากไปจะเป็นการชี้โพรงให้กระรอก

ในเชิงกฎหมายนั้น ก็คุ้มครองในส่วนของการใช้งานของแต่ละหน่วยงาน ว่า ห้ามไม่ให้ไปละเมิดการใช้งานของคนอื่นด้วยนะ และแน่นอนว่า การไปวุ่นวายแบบนี้ ก็ผิดกฎหมายเช่นกัน

ซึ่ง ถ้าเอาแบบบ้านๆ เลย เราก็ชอบเหมารวบ Neighbor WLAN นี้ว่า Rogue Access Point แล้วคำว่า Rogue AP ที่แท้ทรูคืออะไร

จากทฤษฎีนั้น Rogue AP เรา จำแนก เป็น 2 จำพวก ใหญ่ๆ คือ
1. Access Point ที่แอบเอามาเสียบเอง ในระบบ Network ของเราเอง
2. Access Point ที่แอบตั้งชื่อ เดียวกัน กับที่ หน่วยงานของเราใช้งาน

มาลง detail ในแต่ละแบบกัน
1. Access Point ที่แอบเอามาเสียบเอง ในระบบ Network ของเราเอง
ลองคิดดูว่า หน่วยงานใหญ่ๆ ที่ให้พนักงาน ใช้งาน WiFi แน่นอนว่า ทางหน่วยงาน ก็ต้องการให้การใช้งานนี้ ใช้งานได้เฉพาะพนักงานเท่านั้น แน่นอนว่า คงไม่มีหน่วยงานไหน ที่เป็นเป็น Free Wi-Fi ให้ พ่อค้า แม่ค้า หรือคนเดินผ่านไปมา ใช้งานได้ฟรีๆ ดังนั้น การคัดกรอกผู้ใช้งานด้วยการ Authentication ก่อนการใช้งาน อาจจะทำด้วยการใช้ Web Portal ให้ใส่ User name + Password หรือใช้แบบ IEEE802.1X ก็ได้ ซึ่งแน่นอนว่า เมื่อมี Security มาเกี่ยวข้อง ความสะดวกสบายในการใช้งาน มันก็ต้องน้อยลง ก็เป็นได้ว่า อาจจะมีใครสักคน อยากจะหลบหลีกการใช้งานแบบนี้ โดยการไปซื้อ Access Point มาใช้งานเอง 555555+
แน่นอน แค่เสียบ LAN เข้าไป Setup นิดหน่อย ก็สามารถใช้งานได้ง่าย ๆ แล้ว

แบบแรกเพื่อความสะดวกสบายในการใช้งาน แต่แบบที่ 2 นี่คือ ตัวพ่อ

2. Access Point ที่แอบตั้งชื่อ เดียวกัน กับที่ หน่วยงานของเราใช้งาน
ลองคิดดูว่า ระบบ WiFi ที่มี Security แน่นหนา แต่สามารถโดนล้วงข้อมูลง่ายๆ แน่นอน มันมีวิธี นั่นคือการสร้าง SSID เลียนแบบมันซะเลย เรียกง่าย ๆ คือ ทำ Phishing SSID ขึ้นมา ให้เหมือน Phishing Web Site นั่นเอง

ผู้ประสงค์ดี แต่เจตนาร้าย สร้าง SSID ชื่อเดียวกับหน่วยงาน แอบไปเปิดใช้งานในบริเวณใกล้ๆ กัน และแน่นอนว่า ผู้ใช้งาน Client บางคน อาจจะตกเป็นเหยื่อ

เค้าทำยังไงบ้างนะ แน่นอน นอกจากการสร้าง SSID ที่ชื่อเดียวกันแล้ว ยังสร้างการ Authentication เลียนแบบด้วย ให้กรอกข้อมูล เพื่อพิสูจน์ตัวตน และเก็บข้อมูลเหล่าไว้เพื่อเป็นข้อมูลในการเจาะทะลวงระบบ Security


แล้วเราจะทำยังไง กับภัยคุกคามเหล่านี้
ระบบ Enterprise WLAN ที่ดี นอกจากจะสามารถให้บริการระบบเครือข่ายไร้สายที่ดีแล้ว ยังควรจะต้องมีระบบที่สามารถปกป้องการโจมตี ที่กล่าวมาได้ด้วย
มันคือ Feature ที่เรียกว่า Rogue AP detection and containment หรือบางยี่ห้อ ก็จะใช้เป็น Rogue AP detection and prevention แล้วแต่กรณีไป

ซึ่งจะต้องสามารถ ตรวจจับ "detection" ได้ว่า มีเจ้า Rogue AP ทั้ง 2 ชนิดที่กล่าวมาหรือไม่ และต้องสามารถป้องกัน "containment/prevention" ปัญหาที่เจอได้ด้วย

หากมีเวลา จะมาเจาะลึกให้ครับว่า แต่ละแบบ มีวิธีการ Algorithm แบบละเอียดๆยังไงบ้าง

เอวังด้วยประการฉะนี้แล.....

ขุดบิตคอยน์กันไปแล้ว คราวนี้ มาดูการขุดข้อมูลกันบ้าง Data Mining

ขุดบิตคอยน์กันไปแล้ว คราวนี้ มาดูการขุดข้อมูลกันบ้าง Data Mining

คำว่า Data Mining คืออะไร
Big Data
ทำไปต้องไปขุดมัน
เอาอะไรมาขุด
ขุดแล้วเอาไปทำอะไร

ก่อนเขียนบทความนี้ ทาง Admin ก็ มีความสงสัยอยู่ ได้ยินมา แต่ก็ไม่รู้ว่ามันคืออะไร จนกระทั่ง ได้มีโอกาสไปคุยกับ คนที่ทำงานด้านนี้ (คนนี้ เค้าทำให้กับ ธนาคาร แห่งหนึ่งในไทย) จึงได้ค่อย ๆ  Get ว่า มันคืออะไร

คำว่า Data Mining คืออะไร
มันคือ การเอาข้อมูลจากหลาย ๆ แห่ง มากองรวม ๆ กัน จากนั้น ก็ค่อย ๆ คัดแยก และเอามาหาความสัมพันธ์กัน และได้ผลลัพธ์ออกมา เพื่อเอาไปใช้ประโยชน์จากผลลัพธ์ที่ได้มา

ตัวอย่าง

เคสของ บัตรเครดิต
เอาข้อมูล Transection  การรูดบัตรของทุกคนในธนาคารมา จากนั้น คัดกรองว่า เจ้าของบัตร เป็น ผู้ชาย หรือ ผู้หญิง แค่คัดกรองเท่านั้น ก็สามารถรู้ได้แล้วว่า เพศใด ใช้งานบัตรมากกว่ากัน
จากนั้นไปเพิ่มเงื่อนไขการใช้งานเพิ่ม เช่น ช่วงอายุ 20-25 ปี 25-30ปี 35-35ปี 35-40ปี 40-45ปี 45-50ปี เป็นต้น  นี่ก็ได้มาอีกข้อมูลนึงแล้วว่า ช่วงอายุใด ใช้งานบัตร
สามารถยิงลงลึกไปอีกว่า ช่วงอายุเท่านี้ รูดบัตรที่ร้านอะไร ร้านอาหาร ร้านเสื้อผ้า ห้างสรรพสินค้า ร้านค้าปลีก

นี่คือตัวอย่างง่าย ๆ ของการทำ Data Mining

ถามว่า ข้อมูลพวกนี้ เอาไปทำอะไรบ้าง

ก็เอาไปทำ แคมเปญ ให้แก่ ลูกค้า เพื่อเพิ่มการใช้งาน และเพิ่มจำนวนลูกค้านั่นเอง

สำหรับหน่วยงานอื่น ๆ ก็มีการทำ  Data Mining  เหมือนกันนะ เช่น ผู้ให้บริการระบบโทรศัพท์ ก็จะดูลักษณะการใช้งานของลูกค้า แล้วก็จัดทำโปรโมชั่น ให้ตรงกับลักษณะการใช้งาน ซึ่งตัว Admin เอง ก็เคยเจอมาว่า ทาง Call Center  โทรเข้ามาหา เพื่อแจ้งโปรตัวใหม่ ที่น่าจะตรงกับการใช้งานของเรา เช่น ใช้  internet  มากกว่าการโทร ก็จะมีแจ้งโปรตัวใหม่ที่เน้นการใช้ internet data  นั่นเอง

เอวังด้วยประการ ฉะนี้แล...

[Networking] SD-WAN เชื่อมต่อทุกที่เข้าหากัน

[Networking] SD-WAN เชื่อมต่อทุกที่เข้าหากัน

ณ วันนี้ ไปที่ไหน ๆ ก็จะเจอคำว่า Software Defined ... ซึ่ง จะเปลี่ยนจากการตั้งค่า configure ของอุปกรณ์แบบรายตัว มาเป็นการจัดการแบบรวมศูนย์ (Centralized Management) กัน ซึ่งวันนี้ ขอเสนอคำว่า SD-WAN


Software Defined WAN คือ การนำเอา Software มาช่วยในการสร้างการเชื่อมต่อระบบเครือข่าย ผ่านทาง Internet Link

ตัวอย่าง ความต้องการ
- เชื่อมต่อสาขา (Branch) มายัง Headqauarter (HQ) จำนวน 50 สาขา กระจายทั่วประเทศ (เหนือ กลาง อีสาน ใต้)
- ที่สาขา สามารถเข้ามาใช้งานระบบภายใน (Intranet) ที่ HQ ได้
- ที่สาขา สามารถใช้งาน internet โดยไม่จำเป็นต้องมาใช้ internet ที่ HQ
- ต้องการระบบ Firewall ที่สามารถตั้งค่าได้ถึงระดับ Application
- มีเส้นทางสำรอง (Backup Link)
- เส้นทางสำรอง สามารถทำงานได้ทั้ง 2 เส้นพร้อมกัน (Active-Active WAN Link)

จากความต้องการข้างบนนี้ ให้เราลองจินตนาการดูว่า เราจะต้องทำอะไรบ้าง
- ต้องส่งทีม Network Engineer ไปทั่วประเทศ
- ต้องมีการทำ IPsec VPN จากสาขา เข้ามายังสำนักงานใหญ่ (HQ)
- ต้องทำ Routing ในการใช้งาน Intranet ภายใน
- ต้องทำ Routing แยกการใช้งาน internet ให้ใช้งานที่ สาขา
- ต้องมีอุปกรณ์ Next Generation Firewall
- ต้องติดต่อ ISP 2 ราย เพื่อตั้งค่าร่วมกัน
- ต้องมีการทำ Link Load Balance เพื่อให้สามารถใช้งานได้ 2 เส้นพร้อมกัน

เอิ่ม ทีม Network Engineer ที่ส่งไปทั่วประเทศ ก็เหนื่อยน่าดู แถมในแต่ละสาขา อาจจะใช้เวลา ไม่น้อยกว่า 2 วัน แค่ยกตัวอย่างมา 50 สาขา ก็ปาไป 100 วัน กว่าจะติดตั้งเสร็จครบ ทีมงานอาจจะลาออกไปก่อนแล้วก็ได้

เพราะความต้องการในลักษณะแบบนี้ จึงเกิดแนวคิดขึ้นมาว่า ทำยังไง ที่จะสามารถติดตั้งได้เสร็จรวดเร็ว และง่ายในการจัดการ จึงเป็นที่มาของ Software Define WAN: SD-WAN นั่นเอง

หลักการมันคืออะไร ?

ตอนนี้ ยังไม่มีมาตรฐานกลางมาครอบว่า SD-WAN จะต้องมีคุณสมบัติ 1, 2, 3, 4 .... บลา ๆ ดังนี้ ตอนนี้ (FEB 2018) ทุกๆ ยี่ห้อ จึงมีแนวทางของตัวเอง ซึ่งอาจจะเหมือนกันบ้าง แตกต่างกันบ้าง แต่... อย่างน้อย ๆ เค้าก็มีกำหนดไว้อย่างหลวม ๆ ดังนีี้
- จะต้องสามารถบริหารจัดการได้ง่าย (Easy to manage)
- จะต้องเชื่อมต่อกับ internet ได้มากกว่า 1 เส้นทาง (Multiple WAN Links)
- จะต้องจัดการลำดับความสำคัญของข้อมูลได้ (QoS)
- จะต้องง่ายในการติดตั้ง (no local engineer)

ซึ่งแน่นอนว่า ณ วันนี้ Solution SD-WAN ที่เห็นในท้องตลาดนั้น มีสิ่งที่เหมือนๆ กันคือ
- ที่สำนักงานใหญ่ ตั้งค่าการเชื่อมต่อ
- ส่งอุปกรณ์ไปยังแต่ละสาขา
- เสียบปลั๊ก เสียบสาย LAN
- ปิ๊ง เสร็จเรียบร้อย

แค่ 4 ขั้นตอนข้างบนนี้ ที่สาขา ทั้ง 50 สาขา ก็สามารถใช้งานได้ตาม Requirement
- เชื่อมต่อสาขา (Branch) มายัง Headqauarter (HQ) จำนวน 50 สาขา กระจายทั่วประเทศ (เหนือ กลาง อีสาน ใต้)
- ที่สาขา สามารถเข้ามาใช้งานระบบภายใน (Intranet) ที่ HQ ได้
- ที่สาขา สามารถใช้งาน internet โดยไม่จำเป็นต้องมาใช้ internet ที่ HQ
- ต้องการระบบ Firewall ที่สามารถตั้งค่าได้ถึงระดับ Application
- มีเส้นทางสำรอง (Backup Link)
- เส้นทางสำรอง สามารถทำงานได้ทั้ง 2 เส้นพร้อมกัน (Active-Active WAN Link)

หุหุ เรียกได้ว่า สามารถจ้าง Grab Bike ไปส่งที่แต่ละสาขาเลยก็ได้ ไม่ต้องส่ง Network Engineer ไปเลย

เป็นไปได้หรือไม่
สำหรับแนวโน้นบ้านเรา จะเป็นไปได้หรือไม่นั้น ก็ต้องพิจารณาในหลาย ๆ ด้าน แต่สิ่งที่สำคัญคือ "เงิน"

ต้องลงทุนเท่าไหร่จะได้ SD-WAN มาใช้งาน ลงทุนไปแล้ว ผลที่ได้คุ้มค่าการลงทุนมั๊ย และมีจุดคุ้มทุนเป็นอย่างไร
เพราะค่าเช่า Link ในบ้านเรา ราคาไม่ได้สูงมากนัก (MPLS, FTTx, xDSL, 3G/4G LTE...) เมื่อเทียบกับประเทศต้นกำเนินอย่าง USA. รวมถึง Bandwidth ถ้านับเอาแค่ "งาน" จริง ๆ ก็ใช้ traffic ไม่สูงมาก เพราะส่วนใหญ่จะเป็น traffic สำหรับการใช้งาน internet ทั่วไปสะมากกว่า
ระบบ Public cloud ในหน่วยงาน หรือ องค์การ บ้านเราก็ไม่ค่อยนิยม เช่น Office 356, Saleforce, Azure หรือ AWS ทำให้ ความจำเป็นหรือ ความต้องการที่ต้องการ การันตี bandwidth การใช้งาน cloud เหล่านี้ ไม่ได้สูงมากนัก

จะเกิดได้มั๊ย

ธุรกิจที่จะผลักดันระบบ SD-WAN คือ บรรดา Public Cloud ต้องพยายามดึงให้มีผู้ใช้งานเยอะมากขึ้น รวมถึงจะต้องมีเนื้อหาที่ต้องการความเร็วในการใช้งาน ตัวอย่างเช่น บริการ content online เช่น การดูหนัง Hi-Def Online ถ้าหากผู้ใช้งาน ต้องการดูหนังความละเอียดสูง อาจจะระดับ 2K หรือ 4K จะดู online แบบไม่สะดุดไม่กระตุก  ก็ต้องมีความเร็วที่สูง และต้องมีการการันตีคุณภาพ รวมถึงจะต้องมีการจัดการในการส่งข้อมูลที่ดี

อีกระบบที่จะผลักดันไปสู่ SD-WAN ได้ เช่น หน่วยงานจัดการประชุม Video Conferrence ที่มีผู้เข้าฟังจำนวนมาก หรือแม้กระทั่ง Stream ให้ทุกคน ผ่านระบบ Internet เช่น การแสดง Concert, การแถลงข่าว เหล่านี้คือสิ่งที่ทำให้ ผู้ใช้งาน ต้องการ ความเร็วในการเชื่อมต่อ, การเชื่อมต่อที่มีคุณภาพสูง เพิ่มมากขึ้น

เอวังด้วยประการ ฉะนี้แล...

[Certification] มารู้จักกับ Certification ของ Juniper Networks กัน

[Certification] มารู้จักกับ Certification ของ Juniper Networks กัน

ในการสอบใบประกาศนียบัตร (เรียกกันง่ายๆว่า ใบเซอร์: Cert) ของ Products นั้น เราจะต้องทำการไปสอบที่ศูนย์สอบ อย่างของ Juniper Networks นั้น ก็ต้องไปสมัครที่ http://www.pearsonvue.com/junipernetworks/ เพื่อทำการลงชื่อสอบ และไปทำการสอบในเวลาที่ได้สมัครไว้ ตามศูนย์สอบต่าง ๆ ซึ่งถ้าอยู่ใน กทม. จะมีให้เลือกสอบหลายแห่ง แต่ถ้าเป็น ต่างจังหวัด อันนี้ต้องเช็คอีกทีครับว่า มีที่ไหนบ้าง

ทำไมถึงต้องสอบ ? สอบไปทำไม ?
- เพื่อวัดระดับความรู้
- เพื่อเพิ่มเงินเดือน
- เพื่อเพิ่มมูลค่า !!!

ถ้าให้พูดกันตรง ๆ นะครับ สาย IT การที่จะเพิ่มค่าตัว หรือเพื่อสมัครงานในตำแหน่ง และเงินเดือนที่สูงขึ้น สิ่งที่เป็น Key นั้นคือ Certificate ใครที่มี Certificate จำนวนมาก ซึ่งอาจจะมาจากหลาย ๆ Products หรือ Product เดียวหลายๆ ใบ แน่นอนว่า เป็นสิ่งที่บ่งบอกถึงระดับความสามารถได้ชัดเจน มากกว่า ประสบการณ์เสียอีก แน่นอนครับว่า บางคนก็คิดแหละว่ามี Cert เยอะแล้วทำงานจริงได้แค่ไหน ข้อนี้มันเอาไปวัดกัน หลังจากรับทำงานแล้ว ดังนั้น ใครที่คิดจะเพิ่มค่าหัว ก็แนะนำครับให้สอบไว้

ซึ่งในเส้นทางแห่ง Certificate นี้ ก็จะแบ่งเป็นหลาย ๆ เทคโนโลยี และแบ่งเป็นหลายระดับ เริ่มจาก ระดับพื้นฐาน(Associate) ระดับชำนาญพิเศษ(Specialist) ระดับมืออาชีพ(Professional) และระดับบรรลุ (Expert) ซึ่งการจะได้ระดับสูงๆ เราต้องเริ่มจากพื้นฐานเสียก่อน

สำหรับ Juniper Networks เองนั้น จะแบ่งหลักๆ ออกเป็น 2 สาย คือ
1. Product and Technology Certifications
2. Design Certifications

เรามาเริ่มจากสายแรกกัน
Product and Technology Certifications
จะเป็น Certificate ที่เน้นไปยังอุปกรณ์ และ Technology ของ Juniper Networks
ซึ่งการจะเริ่มต้นของเส้นทาง Product and Technology Certifications นี้ ก็ต้องเริ่มจาก พื้นฐาน โดยจะเริ่มจาก Juniper Junos, Associate (JNCIA-Junos)
และเมื่อผ่านขั้นพื้นฐานมาแล้ว ขั้น Specialist ขึ้นไปนั้น จะแยกย่อยเป็น สายต่าง ๆ ดังนี้
- Enterprise Routing and Switching
- Security
- Service Provider Routing and Switching
- Data Center

เรียกได้ว่า สายนี้ มีให้สอบกันเยอะเลยทีเดียว ซึ่งต้องทำการบ้านหนักพอสมควรในการทำข้อสอบแต่ละครั้ง เพราะจะมีทั้งทฤษฎี และ Command Line มาถามด้วย

และสายที่สอง คือ
Desigh Certifications
สายนี้ จะมุ่งเน้นในเรื่องของการออกแบบ การมองภาพรวมของระบบ เพื่อให้สามรถออกแบบระบบให้สอดคล้องกับความต้องการ และยังตอบโจทย์ของมาตรฐานในหลาย ๆ ด้าน ซึ่งก็จะมีการเริ่มต้นด้วย ระดับพื้นฐาน เช่นเดียวกับสายแรก โดยจะเริ่มต้นจาก Design, Associate (JNCDA) และเช่นเดียวกัน ในระดับ Specialist ก็จะแยกสายย่อยไปอีกคือ
- Data Center
- Security
- WAN
* สำหรับตอนที่เขียนบทความนี้ 01/29/2018 จะยังมีถึงแค่ระดับ Specialist ยังไม่มีระดับ Professional

ซึ่งอ่านมาซะยืดยาว เอาสั้น ๆ ด้วยรูปนี้แทนแล้วกันครับ

ค่าเสียหายในการสอบ ของ Certification
1. ระดับ Associate ครั้งละ $200
2. ระดับ Specialist ครั้งละ $300
3. ระดับ Professional ครั้งละ $400


ทริปเล็กๆ น้อยๆ สำหรับ Juniper Networks Certification Program (JNCP)
1. ใบ Certification แต่ละใบ มีอายุ 3 ปี
2. เมื่อสอบเสร็จแล้ว ผลสอบจะเป็น Provision Pass ให้รอผลสอบทางการประมาณ 3 วันทำการ 
3. ในการสอบ หากสอบตก ครั้งที่ 1 สามารถลงสอบครั้งที่ 2 ได้เลย แต่หากสอบตก หัวข้อเดิมครั้งที่ 2 จะต้องรออีก 14 วัน นับจากวันที่สอบตก ครั้งที่ 2 ถึงจะลงสอบใหม่อีกครั้ง (และถ้าตกอีกครั้ง ก็จะนับเป็นสอบตกครั้งที่ 1 ใหม่อีกรอบ)

4. เมื่อสอบ Certification ระดับสูงขึ้นไปผ่าน จะสามารถ ต่ออายุ ใบที่ระดับต่ำกว่าได้
        เช่น สอบผ่าน Associate ไปวันที่ 01/05/2016 จะหมดอายุอีก 3 ปี คือ หมด 01/05/2019
                แต่เราไปสอบระดับ Specialist ผ่าน ในวันที่ 01/01/2018 จะหมดอายุอีก 3 ปีคือ 01/01/2021 และยังไปทำการต่ออายุให้ใบระดับ Associate ไปหมดเป็นวันที่ 01/01/2021 เช่นกัน
5. ค่าสอบแสนแพง แต่ !!! เรามีวิธี
       วิธีแรก ขอหัวหน้างาน 5555
       วิธีที่สอง จ่ายตังค์เอง หุหุ
       วิธีที่สาม ขอฟรี ๆ จาก Juniper Learning Academy (Wowwwwwwww)
       ซึ่งวิธีนี้ ต้องมี account สำหรับ Learning Academy เสียก่อน จากนั้น สอบ Online ให้ผ่านตามขั้นตอน โดยในแต่ละ Champion Level ก็จะได้ Voucher สำหรับการสอบมานั่นเอง

รายละเอียดเพิ่มเติม
       https://www.juniper.net/assets/uk/en/local/pdf/training/certification-paths-by-credential.pdf
       https://www.juniper.net/us/en/local/pdf/datasheets/1000242-en.pdf

[RuckusNetworks] Unleashed 200.5 Preferred Master AP

[RuckusNetworks] Unleashed 200.5 Preferred Master AP

กลางเดือน ตุลาคม 2017 ทาง Ruckus Networks ได้ออก Firmware Unleashed version 200.5 มา ซึ่งสิ่งที่เป็นหัวใจหลักคือ Preferred Master ที่ทำให้เราสามารถกำหนดได้ว่า จะเอา Access Point Unleashed ตัวไหน มาทำหน้าที่เป็น Master Unleashed

มาเข้าถึง LAB Hand on กัน
เราจะสร้าง Unleashed Domain ดังรูป

ซึ่งการ Setup Preferred Master ทำได้โดยการ Edit Access Point ในแบบ Global Policy
จะมี Tab เพิ่มขึ้นมาคือ Preferred Master ให้เราสามารถเลือกได้ว่าจะตั้ง Master ไว้ที่ Access Point ตัวใด

ทดสอบ Network ว่าเรียบร้อยหรือยัง

และดู Status ใน Unleashed GUI

หลังจากนั้น จะทำการทดสอบ Failover โดยการปิด Preferred Master ไป
ตรวจสอบ Network จะเห็นว่า Preferred Master IP ได้ หายไปแล้ว

แต่ระบบ Unleashed ยังคงสามารถใช้งานได้อยู่

ตรวจสอบ Unleashed GUI ก็จะเห็นว่า Member ขึ้น take role Master แทน อีกตัวที่เป็น Preferred Master จะขึ้นว่า Disconnected จากระบบจัดการ

จากนั้น จะทดสอบทำการ Switch Over การทำงานกลับเป็นระบบเดิม ในเคสที่ Preferred Master กลับมาใช้งานได้ ซึ่งจะทำการ Power on Preferred Master Access Point กลับมาอีกครั้ง

อุปกรณ์ที่เป็น Preferred Master จะแจ้งกับระบบ Unleashed Domain ว่า กลับมาใช้งานได้แล้ว โดยสังเกตไฟ DIR จะกระพริบ และเมื่อพร้อมที่จะเปลี่ยนการทำงานกลับมานั้น ตัว Member ทีทำหน้าที่ role Master ก็จะ reboot ตัวเอง 1 ครั้ง เพื่อเปลี่ยน role กลับมาเป็น Member Access Point

สรุปก็คือเป็น Feature ที่มาช่วยในการ Operate ระบบ Unleashed Domain เพื่อให้สามารถแก้ไขปัญหาที่เมื่อ Master Access Point มีปัญหา หรือเกิดปัญหาไฟฟ้าดับทั้งระบบ แล้วเมื่อไฟฟ้ากลับมาใช้งานได้ แต่ เกิดปัญหากับระบบ Management

ดังนั้น แนะนำเลย ใช้ที่ใช้งาน Unleashed อยู่ เปลี่ยนเถิด เปลี่ยนมาเป็น version 200.5 นะครัช

เอวังด้วยประการละฉะนี้แล...