លក្ខណៈសុវត្ថិភាពរបស់ Cisco Switch ចំនួន ៥ ដែលអ្នកគួរបើកប្រើ

លក្ខណៈសុវត្ថិភាពសំខាន់ៗសម្រាប់ការពារបណ្តាញសហគ្រាស

នៅក្នុងបរិយាកាសអាជីវកម្មដែលត្រូវបានតភ្ជាប់គ្នាយ៉ាងខ្លាំងក្នុងសម័យបច្ចុប្បន្ន សុវត្ថិភាពបណ្តាញបានក្លាយជាកាន់តែសំខាន់ជាងមុន។ នៅចំណុចកណ្តាលនៃបណ្តាញសហគ្រាសជាច្រើន គឺជា Cisco switch ដែលជាឧបករណ៍ដ៏មានឥទ្ធិពលមួយ ដែលធ្វើជាមូលដ្ឋានសម្រាប់ការតភ្ជាប់ និងសុវត្ថិភាព។ ទោះបីជាឧបករណ៍ទាំងនេះមានលក្ខណៈសុវត្ថិភាពច្រើនក៏ដោយ ក៏ស្ថាប័នជាច្រើនមិនបានប្រើប្រាស់សក្តានុពលរបស់វាទាំងស្រុង ដែលធ្វើឱ្យបណ្តាញមានភាពងាយរងគ្រោះចំពោះការគំរាមកំហែងផ្សេងៗ។

ការយល់ដឹង និងការអនុវត្តលក្ខណៈសុវត្ថិភាពត្រឹមត្រូវលើហេដ្ឋារចនាសម្ព័ន្ធម៉ាស៊ីនភ្លើង Cisco របស់អ្នក អាចពង្រឹងយ៉ាងខ្លាំងនូវយន្តការការពារបណ្តាញរបស់អ្នក។ លក្ខណៈទាំងនេះធ្វើការរួមគ្នាដើម្បីបង្កើតស្រទាប់ការពារច្រើន ធានាថាទិន្នន័យរបស់អង្គភាពអ្នកនៅមានសុវត្ថិភាព ខណៈពេលដែលរក្សាប្រសិទ្ធភាពបណ្តាញឱ្យបានល្អបំផុត។

ការអនុវត្ត​សុវត្ថិភាព​ច្រក

ការគ្រប់គ្រងអាសយដ្ឋាន MAC

មួយក្នុងចំណោមលក្ខណៈសុវត្ថិភាពមូលដ្ឋានដែលមាននៅលើម៉ាស៊ីនភ្លើង Cisco គឺសុវត្ថិភាពច្រក (port security)។ លក្ខណៈនេះអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញគ្រប់គ្រងថាឧបករណ៍ណាខ្លះអាចតភ្ជាប់ទៅកាន់ច្រកម៉ាស៊ីនភ្លើងជាក់លាក់ ដោយផ្អែកលើអាសយដ្ឋាន MAC របស់វា។ ដោយការអនុវត្តសុវត្ថិភាពច្រក អ្នកអាចការពារកុំឱ្យឧបករណ៍ដែលមិនបានអនុញ្ញាតចូលប្រើបណ្តាញរបស់អ្នក ទោះបីជាវាតភ្ជាប់ដោយផ្ទាល់ទៅច្រកម៉ាស៊ីនភ្លើងក៏ដោយ។

ដំណើរការកំណត់រចនាសម្ព័ន្ធគឺរាប់បញ្ចូលការកំណត់កំហិតអាសយដ្ឋាន MAC ក្នុងមួយច្រក និងការកំណត់សកម្មភាពនៅពេលមានការរំលោភ។ នៅពេលមានការរំលោភ ម៉ាស៊ីនភ្លើងអាចបិទច្រកដោយស្វ័យប្រវត្តិ ផ្ញើការជូនដំណឹង ឬគ្រាន់តែកត់ត្រាករណីនោះ អាស្រ័យលើតម្រូវការសុវត្ថិភាពរបស់អ្នក។

Sticky MAC Learning

ការរៀនសូត្រ MAC បែបជាប់គា្លះបង្កើនសុវត្ថិភាពនៃច្រកបញ្ជូនដោយរៀនសូត្រ និងរក្សាទុកអាស័យដ្ឋាន MAC នៅក្នុងការកំណត់រចនាសម្ព័ន្ធដែលកំពុងដំណើរការរបស់ស្វីតឆ៍។ លក្ខណៈពិសេសនេះមានប្រយោជន៍ជាពិសេសក្នុងបរិស្ថានដែលអ្នកចង់រក្សាសុវត្ថិភាព ខណៈពេលដែលកាត់បន្ថយការងារកំណត់រចនាសម្ព័ន្ធដោយដៃ។ នៅពេលបានបើក ស្វីតឆ៍ Cisco នឹងរៀនសូត្រអាស័យដ្ឋាន MAC របស់ឧបករណ៍ដែលភ្ជាប់ដោយស្វ័យប្រវត្តិ ហើយចាត់ទុកថាយើងបានកំណត់រចនាសម្ព័ន្ធដោយស្ថិតិ។

វិធីសាកសួរនេះផ្តល់នូវតុល្យភាពល្អប្រសើររវាងសុវត្ថិភាព និងប្រសិទ្ធភាពប្រតិបត្តិការ ជាពិសេសក្នុងបណ្តាញធំៗ ដែលការកំណត់រចនាសម្ព័ន្ធអាស័យដ្ឋាន MAC ដោយដៃនឹងចំណាយពេលច្រើន និងងាយនឹងកើតកំហុស។

វិធានការសុវត្ថិភាព VLAN

បញ្ជីការគ្រប់គ្រងការចូលប្រើ VLAN

បញ្ជីការគ្រប់គ្រងការចូលប្រើ VLAN (VACLs) ផ្តល់ការគ្រប់គ្រងលម្អិតលើចរាចរណ៍នៅក្នុង និងរវាង VLAN នៅលើបណ្តាញស្វិಚ Cisco របស់អ្នក។ បញ្ជី​ការ​ចូល​ប្រើ​ទាំង​នេះ​អាច​ត្រួតពិនិត្យ​ចរាចរណ៍​ដោយ​ផ្អែក​លើ​លក្ខខណ្ឌ​ផ្សេងៗ រួម​ទាំង​អាសយ​ដ្ឋាន​ប្រភព និង​គោលដៅ ប្រូតូកោល និង​លេខ​ព្យាត់។ ការ​អនុវត្ត VACLs ជួយ​បំបែក​បណ្តាញ​របស់​អ្នក​ឱ្យ​បាន​មាន​ប្រសិទ្ធភាព ហើយ​ការពារ​ការ​ចូល​ប្រើ​ដោយ​គ្មាន​ការ​អនុញ្ញាត​រវាង​ផ្នែក​បណ្តាញ​ផ្សេងៗ​គ្នា។

នៅពេល​កំណត់រចនាសម្ព័ន្ធ VACLs វាចាំបាច់​ត្រូវ​ធ្វើ​តាម​គោល​ការណ៍​នៃ​សិទ្ធិ​អប្បបរមា ដោយ​អនុញ្ញាត​ឱ្យ​មាន​តែ​ចរាចរណ៍​ដែល​ចាំបាច់​ប៉ុណ្ណោះ ខណៈ​ដែល​បិទ​ចរាចរណ៍​ផ្សេងៗ​ទាំង​អស់។ វិធីសាកសួរ​នេះ​បន្ថយ​ផ្ទៃ​វាយ​ប្រហារ​ដែល​អាច​កើត​មាន​ដល់​កម្រិត​ខ្លាំង។

ការកំណត់រចនាសម្ព័ន្ធ​ VLAN ឯកជន

បណ្តាញផ្ទាល់ខ្លួន (PVLANs) ផ្តល់នូវសុវត្ថិភាពបន្ថែមដោយការបង្កើតបណ្តាញដែលបានដាច់ដោយឡែកនៅក្នុង VLAN តែមួយ។ លក្ខណៈពិសេសនេះមានតម្លៃជាពិសេសក្នុងបរិស្ថានដែលអតិថិជនច្រើនត្រូវការការចូលប្រើប្រាស់ធនធានដែលចែករំលែក ខណៈពេលដែលនៅដាច់ពីគ្នាទៅវិញទៅមក។ ស្វិច Cisco អាចត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីគាំទ្រ VLAN បឋម និង VLAN ទុតិយភូមិ ដែលបង្កើតបានជាផ្នែកតូចៗនៅក្នុងបណ្តាញរបស់អ្នក។

ដោយការអនុវត្ត PVLANs ស្ថាប័នអាចសម្រេចបាននូវការដាច់ដោយឡែកនៃបណ្តាញបានល្អជាងមុន ដោយមិនចាំបាច់ប្រើប្រាស់ធនធានច្រើនក្នុងការគ្រប់គ្រង VLANs ប្រពៃណីច្រើន ដែលនាំឱ្យមានសុវត្ថិភាពកើនឡើង និងការគ្រប់គ្រងបណ្តាញកាន់តែសាមញ្ញ។

ការការពារផែនការគ្រប់គ្រង

ការគ្រប់គ្រងផែនការគ្រប់គ្រង

ការគ្រប់គ្រងផែនការគ្រប់គ្រង (CoPP) គឺជាលក្ខណៈសុវត្ថិភាពសំខាន់មួយ ដែលការពារផែនការគ្រប់គ្រងរបស់ស្វិច Cisco ពីការវាយប្រហារបដិសេធ​សេវាកម្ម និងចរាចរណ៍អាក្រក់ផ្សេងៗ។ ដោយការអនុវត្ត CoPP អ្នកអាចធានាថាធនធាន CPU របស់ស្វិចនៅតែអាចប្រើប្រាស់បានសម្រាប់មុខងារគ្រប់គ្រង និងគ្រប់គ្រងសំខាន់ៗ ទោះបីនៅក្រោមបន្ទុកធ្ងន់ ឬកំពុងកើតការវាយប្រហារក៏ដោយ។

ការកំណត់រចនាសម្ព័ន្ធគឺពាក់ព័ន្ធនឹងការបង្កើតគោលការណ៍ជាក់លាក់ដែលកំណត់​ល្បឿន​សម្រាប់​ចរាចរណ៍​ដែល​ទៅ​កាន់​ផ្នែក​គ្រប់គ្រង​នៃ​ឧបករណ៍​បញ្ជា។ វាធានាថា​ចរាចរណ៍​គ្រប់គ្រង​ស្របច្បាប់ ដូចជា​ការធ្វើបច្ចុប្បន្នភាព​អំពី​បណ្តាញ និង​ការចូលប្រើ​គ្រប់គ្រង ទទួល​បាន​អាទិភាព ខណៈ​ដែល​ចរាចរណ៍​ដែល​អាច​បង្ក​គ្រោះថ្នាក់​នឹង​ត្រូវ​បាន​រារាំង។

ការការពារផ្នែកគ្រប់គ្រង

ការធានាសុវត្ថិភាពផ្នែកគ្រប់គ្រងគឺមានសារៈសំខាន់ខ្លាំងណាស់ក្នុងការរក្សាភាពសុចរិតនៃហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញរបស់អ្នក។ ឧបករណ៍បញ្ជារបស់ Cisco ផ្តល់នូវលក្ខណៈពិសេសជាច្រើនដើម្បីការពារការចូលប្រើប្រាស់ផ្នែកគ្រប់គ្រង រួមទាំងការអ៊ិនគ្រីប SSH ការផ្ទៀងផ្ទាត់អត្តសញ្ញាណ TACACS+ ឬ RADIUS និងការគ្រប់គ្រងការចូលប្រើប្រាស់ដោយផ្អែកលើតួនាទី។ លក្ខណៈទាំងនេះធ្វើការរួមគ្នាដើម្បីធានាថា មានតែអ្នកគ្រប់គ្រងដែលបានអនុញ្ញាតប៉ុណ្ណោះដែលអាចចូលប្រើ និងកំណត់រចនាសម្ព័ន្ធឧបករណ៍បណ្តាញបាន។

ការអនុវត្តន៍យន្តការផ្ទៀងផ្ទាត់អត្តសញ្ញាណដ៏រឹងមាំ និងការអ៊ិនគ្រីបចរាចរណ៍គ្រប់គ្រង អាចជួយការពារការចូលប្រើដោយគ្មានការអនុញ្ញាត និងការពារព័ត៌មានកំណត់រចនាសម្ព័ន្ធដែលមានភាពប្រុងប្រយ័ត្នមិនឱ្យត្រូវបានចាប់យក។

ការអនុវត្តន៍ការគ្រប់គ្រងអាកាសធាតុ

ការពារស្ទុះរលក

អាចារពិរុទ្ធបណ្តាញអាចប៉ះពាល់យ៉ាងធ្ងន់ធ្ងរដល់សកម្មភាព និង​ការ​អាច​ប្រើ​បាន​នៃ​បណ្តាញ​។ លក្ខណៈ​ពិសេស​គ្រប់គ្រង​អាចារ​នៅ​លើ​ឧបករណ៍​ផ្លាស់​ប្តូរ Cisco ជួយ​ការពារ​ការរំខាន​ទាំង​នេះ​ដោយ​តាមដាន និង​កំណត់​ដែន​កំណត់​កម្រិត​ចរាចរណ៍​ប្រែង​ប្រួល​, ចរាចរណ៍​ច្រើន​ និង​ចរាចរណ៍​តែ​មួយ​។ នៅ​ពេល​ដែល​បាន​កំណត់​យ៉ាង​ត្រឹម​ត្រូវ​, ការគ្រប់គ្រង​អាចារ​នឹង​ធ្វើ​សកម្មភាព​ដោយ​ស្វ័យ​ប្រវត្តិ​នៅ​ពេល​កម្រិត​ចរាចរណ៍​លើស​ពី​ដែន​កំណត់​ដែល​បាន​កំណត់​។

លក្ខណៈ​ពិសេស​នេះ​មាន​សារៈ​សំខាន់​ជាពិសេស​ក្នុង​ការ​ការពារ​អាចារ​ចរាចរណ៍​ដោយ​ចៃ​ដន្យ និង​អាចារ​ចរាចរណ៍​ដោយ​ចេតនា​ ដែល​អាច​នឹង​ធ្វើ​ឲ្យ​បណ្តាញ​របស់​អ្នក​ដាច់​ ឬ​ធ្វើ​ឲ្យ​សកម្មភាព​របស់​វា​ធ្លាក់​ចុះ​យ៉ាង​ធ្ងន់ធ្ងរ​។

បច្ចេកទេសបំបាត់ចរាចរណ៍

លើស​ពី​ការគ្រប់គ្រង​អាចារ​មូលដ្ឋាន​, បច្ចេកទេស​បំបាត់​ចរាចរណ៍​កម្រិត​ខ្ពស់​អាច​ត្រូវ​បាន​អនុវត្ត​នៅ​លើ​ឧបករណ៍​ផ្លាស់​ប្តូរ Cisco របស់​អ្នក​ ដើម្បី​ផ្តល់​ការគ្រប់គ្រង​ចរាចរណ៍​បណ្តាញ​ដោយ​លម្អិត​ជាង​មុន​។ ទាំង​នេះ​រួម​មាន​ការកំណត់​អត្រា​ចរាចរណ៍​ប្រភេទ​ជាក់លាក់​មួយ​, ការ​អនុវត្ត​គោល​នយោបាយ​គុណភាព​សេវាកម្ម (QoS) និង​ការ​ប្រើ​ប្រាស់​លក្ខណៈ​ពិសេស​រូប​រាង​ចរាចរណ៍​ ដើម្បី​ធានា​នូវ​ស្ថេរភាព​បណ្តាញ​។

ដោយការកំណត់រចនាសម្ព័ន្ធដោយប្រុងប្រយ័ត្ននូវលក្ខណៈពិសេសទាំងនេះ អ្នកអាចរក្សាប្រសិទ្ធភាពបណ្តាញ ខណៈពេលដែលការពារហេតុការណ៍សុវត្ថិភាពដែលអាចកើតមានដោយសារតែភាពខុសធម្មតានៃចរាចរណ៍។

សំណួរដែលត្រូវបានសួរប្រចាំ

តើខ្ញុំគួរពិនិត្យ និងធ្វើបច្ចុប្បន្នភាពការកំណត់សុវត្ថិភាពផ្លាស់ប្តូរ Cisco របស់ខ្ញុំញឹកប៉ុន្មាន?

ការកំណត់សុវត្ថិភាពគួរត្រូវបានពិនិត្យយ៉ាងហោចណាស់រៀងរាល់ត្រីមាសម្តង ដោយធ្វើបច្ចុប្បន្នភាពតាមការត្រូវការដោយផ្អែកលើគ្រោះថ្នាក់ថ្មីៗ ការផ្លាស់ប្តូររបស់អង្គការ ឬការអនុវត្តល្អបំផុតខាងសុវត្ថិភាព។ ជាពិសេស ត្រូវធ្វើការពិនិត្យភ្លាមៗបន្ទាប់ពីមានហេតុការណ៍សុវត្ថិភាព ឬការផ្លាស់ប្តូរបណ្តាញធំៗណាមួយ។

តើលក្ខណៈពិសេសសុវត្ថិភាពទាំងនេះមានផលប៉ះពាល់អ្វីខ្លះដល់ប្រសិទ្ធភាពផ្លាស់ប្តូរ?

នៅពេលដែលកំណត់រចនាសម្ព័ន្ធយ៉ាងត្រឹមត្រូវ លក្ខណៈពិសេសសុវត្ថិភាពភាគច្រើនមានផលប៉ះពាល់អប្បបរមាដល់ប្រសិទ្ធភាពផ្លាស់ប្តូរ។ ទោះបីជាយ៉ាងណាក៏ដោយ លក្ខណៈពិសេសដូចជាបញ្ជីការចូលប្រើប្រាស់ច្រើន ឬគោលនយោបាយ QoS ស្មុគស្មាញ អាចតម្រូវឱ្យមានធនធាន CPU បន្ថែម។ វាមានសារៈសំខាន់ណាស់ក្នុងការតាមដានម៉ែត្រីការប្រតិបត្តិការផ្លាស់ប្តូរបន្ទាប់ពីអនុវត្តលក្ខណៈពិសេសសុវត្ថិភាពថ្មីៗ ហើយកែតម្រូវការកំណត់រចនាសម្ព័ន្ធតាមការត្រូវការ។

តើខ្ញុំអាចអនុវត្តលក្ខណៈពិសេសសុវត្ថិភាពទាំងនេះទាំងអស់ក្នុងពេលដំណាលគ្នាបានដែរឬទេ?

ទោះបីជាអាចអនុវត្តលក្ខណៈសម្បត្តិសុវត្ថិភាពច្រើនក្នុងពេលដំណាលគ្នាក៏ដោយ គេ​ណែនាំ​ឱ្យ​ធ្វើ​តាម​វិធីសាស្ត្រ​ជា​ដំណាក់​កាល។ វិធីនេះ​អនុញ្ញាត​ឱ្យ​ធ្វើ​ការ​សាកល្បង និង​ផ្ទៀងផ្ទាត់​ឥទ្ធិពល​របស់​លក្ខណៈ​សម្បត្តិ​នីមួយៗ​ទៅ​លើ​បណ្ដាញ​របស់​អ្នក​បាន​យ៉ាង​ត្រឹមត្រូវ។ ចាប់ផ្តើម​ដោយ​លក្ខណៈ​សម្បត្តិ​សុវត្ថិភាព​មូលដ្ឋាន​ដូច​ជា​សុវត្ថិភាព​ច្រក​ (port security) និង VLANs បន្ទាប់មក​អនុវត្ត​លក្ខណៈ​សម្បត្តិ​កាន់តែ​ទំនើប​ឡើង​ដោយ​ការ​តាមដាន​ស្ថេរភាព​បណ្តាញ។