Cisco Training 200-125 CCNA v3.0။ Day 41- DHCP Snooping နှင့် ပုံသေမဟုတ်သော Native VLAN

ယနေ့တွင် ကျွန်ုပ်တို့သည် အရေးကြီးသောအကြောင်းအရာနှစ်ခုကို ကြည့်ပါမည်- DHCP Snooping နှင့် "ပုံသေမဟုတ်သော" Native VLANs များ။ သင်ခန်းစာကို မဆက်မီ၊ သင်၏မှတ်ဉာဏ်ကို တိုးတက်စေမည့် ဗီဒီယိုကို ကြည့်ရှုနိုင်သည့် ကျွန်ုပ်တို့၏ အခြား YouTube ချန်နယ်သို့ ဝင်ရောက်ကြည့်ရှုရန် ဖိတ်ခေါ်အပ်ပါသည်။ အဲဒီမှာ ကိုယ့်ကိုယ်ကို တိုးတက်အောင်လုပ်ဖို့ အသုံးဝင်တဲ့ အကြံပြုချက်တွေ အများကြီး တင်ထားတာကြောင့် ဒီချန်နယ်ကို စာရင်းသွင်းဖို့ အကြံပြုလိုပါတယ်။

ဤသင်ခန်းစာသည် ICND1.7 ခေါင်းစဉ်၏ အပိုင်းခွဲ 1.7b နှင့် 2c တို့ကို လေ့လာခြင်းအတွက် ရည်ရွယ်ပါသည်။ DHCP Snooping ကို မစတင်မီ၊ ယခင်သင်ခန်းစာများမှ အချက်အချို့ကို မှတ်သားကြပါစို့။ ကျွန်တော် မမှားရင် Day 6 နဲ့ Day 24 မှာ DHCP အကြောင်း လေ့လာခဲ့ပါတယ်။ ထိုနေရာတွင် DHCP ဆာဗာမှ IP လိပ်စာများ ပေးအပ်ခြင်းနှင့် သက်ဆိုင်ရာ မက်ဆေ့ချ်များ ဖလှယ်ခြင်းနှင့် စပ်လျဉ်း၍ အရေးကြီးသော ကိစ္စရပ်များကို ဆွေးနွေးခဲ့ပါသည်။

ပုံမှန်အားဖြင့်၊ အသုံးပြုသူသည် ကွန်ရက်တစ်ခုသို့ ဝင်ရောက်သည့်အခါ၊ ကွန်ရက်စက်ပစ္စည်းအားလုံးမှ “ကြားသည်” ဖြစ်သည့် ကွန်ရက်သို့ ထုတ်လွှင့်မှုတောင်းဆိုချက်တစ်ခုကို ပေးပို့သည်။ ၎င်းသည် DHCP ဆာဗာသို့ တိုက်ရိုက်ချိတ်ဆက်ပါက၊ တောင်းဆိုချက်သည် ဆာဗာသို့ တိုက်ရိုက်သွားမည်ဖြစ်သည်။ ကွန်ရက်ပေါ်တွင် ထုတ်လွှင့်သည့် စက်ပစ္စည်းများ - routers နှင့် switches များရှိပါက - ထို့နောက် ဆာဗာထံ တောင်းဆိုချက်သည် ၎င်းတို့မှတဆင့် သွားပါသည်။ တောင်းဆိုချက်ကိုလက်ခံရရှိပြီးနောက်၊ DHCP ဆာဗာသည် IP လိပ်စာတစ်ခုရယူရန် တောင်းဆိုချက်တစ်ခုကို ပေးပို့သော သုံးစွဲသူအား တုံ့ပြန်ပြီး၊ ထို့နောက် ဆာဗာမှ အဆိုပါလိပ်စာကို အသုံးပြုသူ၏စက်ပစ္စည်းသို့ ထုတ်ပေးပါသည်။ ဤသည်မှာ ပုံမှန်အခြေအနေများအောက်တွင် IP လိပ်စာတစ်ခုရယူခြင်းလုပ်ငန်းစဉ်ကို ဖြစ်ပေါ်စေပါသည်။ ပုံတွင်ပြထားသော ဥပမာအရ၊ အသုံးပြုသူသည် လိပ်စာ 192.168.10.10 နှင့် ဂိတ်ဝေးလိပ်စာ 192.168.10.1 ကို လက်ခံရရှိမည်ဖြစ်သည်။ ယင်းနောက်တွင်၊ အသုံးပြုသူသည် ဤတံခါးပေါက်မှတစ်ဆင့် အင်တာနက်ကို ဝင်ရောက်ကြည့်ရှုနိုင်သည် သို့မဟုတ် အခြားကွန်ရက်စက်ပစ္စည်းများနှင့် ဆက်သွယ်နိုင်မည်ဖြစ်သည်။

စစ်မှန်သော DHCP ဆာဗာအပြင်၊ ကွန်ရက်ပေါ်တွင် မသမာသော DHCP ဆာဗာတစ်ခု ရှိနေသည်၊ ဆိုလိုသည်မှာ တိုက်ခိုက်သူသည် ၎င်း၏ကွန်ပျူတာပေါ်တွင် DHCP ဆာဗာကို ရိုးရိုးရှင်းရှင်း ထည့်သွင်းသည်ဟု ယူဆကြပါစို့။ ဤကိစ္စတွင်၊ အသုံးပြုသူသည် ကွန်ရက်ထဲသို့ ဝင်ရောက်ပြီးပါက router နှင့် switch သည် စစ်မှန်သော ဆာဗာသို့ ပေးပို့မည့် အသံလွှင့်မက်ဆေ့ဂျ်ကိုလည်း ပေးပို့ပါသည်။

သို့သော်၊ လူဆိုးဆာဗာသည် ကွန်ရက်ကို “နားဆင်” ပြီး ထုတ်လွှင့်သည့် မက်ဆေ့ချ်ကို လက်ခံရရှိပြီးနောက်၊ အသုံးပြုသူအား ၎င်း၏အစစ်အမှန် DHCP ဆာဗာအစား ၎င်း၏ကိုယ်ပိုင်ကမ်းလှမ်းချက်ဖြင့် တုံ့ပြန်မည်ဖြစ်သည်။ ၎င်းကိုလက်ခံရရှိပြီးနောက်၊ အသုံးပြုသူသည် ၎င်း၏သဘောတူညီချက်ကို ပေးဆောင်မည်ဖြစ်ကာ ၎င်းအနေဖြင့် တိုက်ခိုက်သူ 192.168.10.2 နှင့် ဂိတ်ဝေးလိပ်စာ 192.168.10.95 ထံမှ IP လိပ်စာတစ်ခု လက်ခံရရှိမည်ဖြစ်သည်။

IP လိပ်စာတစ်ခုရယူခြင်းလုပ်ငန်းစဉ်ကို DORA အဖြစ် အတိုချုံ့ပြီး အဆင့် ၄ ဆင့် ပါဝင်သည်- Discovery၊ Offer၊ Request and Acknowledgment။ သင်တွေ့မြင်ရသည့်အတိုင်း၊ တိုက်ခိုက်သူသည် စက်အား ရရှိနိုင်သော ကွန်ရက်လိပ်စာများအကွာအဝေးတွင်ရှိသော တရားဝင် IP လိပ်စာကို ပေးလိမ့်မည်၊ သို့သော် အစစ်အမှန် gateway လိပ်စာ 4 အစား ၎င်းကို လိပ်စာအတု 192.168.10.1 ဖြင့် “ချော်လဲလိမ့်မည်”၊ ဆိုလိုတာက သူ့ကွန်ပျူတာရဲ့ လိပ်စာပါ။

ယင်းပြီးနောက်၊ အင်တာနက်သို့ ဦးတည်သော အဆုံးအသုံးပြုသူ လမ်းကြောင်းအားလုံးကို တိုက်ခိုက်သူ၏ ကွန်ပျူတာမှတဆင့် ဖြတ်သန်းသွားမည်ဖြစ်သည်။ တိုက်ခိုက်သူသည် ၎င်းအား ထပ်မံလမ်းကြောင်းလွှဲပေးမည်ဖြစ်ပြီး၊ အသုံးပြုသူသည် ဤဆက်သွယ်ရေးနည်းလမ်းနှင့် ကွာခြားမှုမရှိကြောင်း ခံစားရမည်ဖြစ်ပြီး၊ သူသည် အင်တာနက်ကို ဆက်လက်ဝင်ရောက်နိုင်ဦးမည်ဖြစ်သောကြောင့်၊

ထိုနည်းအတူပင်၊ အင်တာနက်မှပြန်လာသောအသွားအလာများသည် တိုက်ခိုက်သူ၏ကွန်ပြူတာမှတဆင့် သုံးစွဲသူထံသို့ စီးဆင်းသွားမည်ဖြစ်သည်။ Man in the Middle (MiM) တိုက်ခိုက်မှုကို အများအားဖြင့် ခေါ်သည်။ အသုံးပြုသူအသွားအလာအားလုံးသည် ဟက်ကာ၏ကွန်ပြူတာမှတစ်ဆင့် ဖြတ်သန်းသွားမည်ဖြစ်ပြီး၊ သူပေးပို့သည့် သို့မဟုတ် လက်ခံရရှိမှုအားလုံးကို ဖတ်နိုင်မည်ဖြစ်သည်။ ၎င်းသည် DHCP ကွန်ရက်များတွင် ဖြစ်ပွားနိုင်သော တိုက်ခိုက်မှုအမျိုးအစားတစ်ခုဖြစ်သည်။

ဒုတိယ တိုက်ခိုက်မှုအမျိုးအစားကို Denial of Service (DoS) သို့မဟုတ် "ဝန်ဆောင်မှုကို ငြင်းပယ်ခြင်း" ဟုခေါ်သည်။ ဘာဖြစ်တာလဲ? ဟက်ကာ၏ကွန်ပြူတာသည် DHCP ဆာဗာအဖြစ် လုပ်ဆောင်တော့မည်မဟုတ်ပါ၊ ၎င်းသည် ယခုအခါ တိုက်ခိုက်ရေးကိရိယာတစ်ခုသာဖြစ်သည်။ ၎င်းသည် စစ်မှန်သော DHCP ဆာဗာထံသို့ Discovery တောင်းဆိုချက်ကို ပေးပို့ပြီး တုံ့ပြန်မှုအနေဖြင့် ကမ်းလှမ်းချက်မက်ဆေ့ဂျ်ကို လက်ခံရရှိပြီးနောက် ဆာဗာထံသို့ တောင်းဆိုချက်တစ်ခုပေးပို့ကာ ၎င်းထံမှ IP လိပ်စာကို လက်ခံရရှိမည်ဖြစ်သည်။ တိုက်ခိုက်သူ၏ကွန်ပျူတာသည် IP လိပ်စာအသစ်တစ်ခုလက်ခံရရှိသည့်အချိန်တိုင်း ၎င်းကို မီလီစက္ကန့်အနည်းငယ်တိုင်း ပြုလုပ်သည်။

ဆက်တင်များပေါ် မူတည်၍ တကယ့် DHCP ဆာဗာတွင် လစ်လပ်နေသော IP လိပ်စာ ရာပေါင်းများစွာ သို့မဟုတ် ရာနှင့်ချီသော အစုအဝေးများ ရှိသည်။ ဟက်ကာ၏ကွန်ပြူတာသည် လိပ်စာများ လုံးလုံးမကုန်မချင်း IP လိပ်စာ .1၊ .2၊ .3 စသည်တို့ကို လက်ခံရရှိမည်ဖြစ်သည်။ ၎င်းပြီးနောက်၊ DHCP ဆာဗာသည် ကွန်ရက်ပေါ်ရှိ သုံးစွဲသူအသစ်များအတွက် IP လိပ်စာများကို ပေးဆောင်နိုင်တော့မည် မဟုတ်ပါ။ အသုံးပြုသူအသစ်သည် ကွန်ရက်ထဲသို့ ဝင်ရောက်ပါက အခမဲ့ IP လိပ်စာကို ရရှိနိုင်မည် မဟုတ်ပါ။ ဤသည်မှာ DHCP ဆာဗာပေါ်တွင် DoS တိုက်ခိုက်မှု၏အချက်ဖြစ်သည်- သုံးစွဲသူအသစ်များသို့ IP လိပ်စာများထုတ်ပေးခြင်းမှကာကွယ်ရန်။

ထိုသို့သောတိုက်ခိုက်မှုများကို တန်ပြန်ရန်အတွက် DHCP Snooping သဘောတရားကို အသုံးပြုထားသည်။ ၎င်းသည် ACL ကဲ့သို့ လုပ်ဆောင်သည့် OSI အလွှာ XNUMX လုပ်ဆောင်ချက်ဖြစ်ပြီး ခလုတ်များတွင်သာ လုပ်ဆောင်သည်။ DHCP Snooping ကိုနားလည်ရန်၊ သင်သည် အယူအဆနှစ်ခုကို ထည့်သွင်းစဉ်းစားရန် လိုအပ်သည်- ယုံကြည်စိတ်ချရသော ခလုတ်တစ်ခု၏ ယုံကြည်စိတ်ချရသော ဆိပ်ကမ်းများနှင့် အခြားသော ကွန်ရက်စက်ပစ္စည်းများအတွက် စိတ်မချရသော အပေါက်များ။

ယုံကြည်စိတ်ချရသော အပေါက်များသည် မည်သည့် DHCP မက်ဆေ့ဂျ် အမျိုးအစားကိုမဆို ဖြတ်သန်းခွင့်ပြုသည်။ စိတ်မချရသော ဆိပ်ကမ်းများသည် သုံးစွဲသူများနှင့် ချိတ်ဆက်ထားသည့် ဆိပ်ကမ်းများဖြစ်ပြီး DHCP Snooping သည် ၎င်း ports များမှလာသော မည်သည့် DHCP မက်ဆေ့ချ်များကို ဖယ်ရှားပစ်မည်နည်း။

ကျွန်ုပ်တို့သည် DORA လုပ်ငန်းစဉ်ကို ပြန်လည်အမှတ်ရပါက၊ မက်ဆေ့ချ် D သည် client မှ ဆာဗာထံသို့ဖြစ်ပြီး O မက်ဆေ့ခ်ျသည် ဆာဗာမှ သုံးစွဲသူထံသို့ ရောက်ရှိလာပါသည်။ ထို့နောက်၊ မက်ဆေ့ခ်ျ R ကို client မှ ဆာဗာသို့ ပေးပို့ပြီး ဆာဗာသည် ကလိုင်းယင့်ထံသို့ မက်ဆေ့ခ်ျ A ပေးပို့သည်။

လုံခြုံမှုမရှိသော ဆိပ်ကမ်းများမှ မက်ဆေ့ချ်များ D နှင့် R တို့ကို လက်ခံပြီး O နှင့် A ကဲ့သို့သော မက်ဆေ့ချ်များကို စွန့်ပစ်ထားသည်။ DHCP Snooping လုပ်ဆောင်ချက်ကို ဖွင့်ထားသောအခါ၊ ခလုတ်အပေါက်များအားလုံးကို ပုံမှန်အားဖြင့် မလုံခြုံဟု ယူဆပါသည်။ ဤလုပ်ဆောင်ချက်ကို switch တစ်ခုလုံးနှင့် VLAN တစ်ခုချင်းစီအတွက် နှစ်မျိုးလုံးအသုံးပြုနိုင်ပါသည်။ ဥပမာအားဖြင့်၊ VLAN10 ကို ဆိပ်ကမ်းတစ်ခုသို့ ချိတ်ဆက်ထားပါက၊ သင်သည် ဤအင်္ဂါရပ်ကို VLAN10 အတွက်သာ ဖွင့်နိုင်ပြီး၊ ထို့နောက် ၎င်း၏ port သည် စိတ်မချရတော့မည်ဖြစ်သည်။

DHCP Snooping ကို သင်ဖွင့်သောအခါတွင်၊ စနစ်စီမံခန့်ခွဲသူအနေဖြင့် သင်သည် ခလုတ်ဆက်တင်များသို့သွားကာ ဆာဗာနှင့်ဆင်တူသော ချိတ်ဆက်ထားသည့် ကိရိယာများကိုသာ ချိတ်ဆက်ထားသည့် ports များကို စိတ်မချရဟု ယူဆသည့်ပုံစံဖြင့် ချိတ်ဆက်မှုဆက်တင်များသို့ သွားရပါမည်။ ၎င်းသည် DHCP တစ်ခုတည်းမဟုတ်ဘဲ မည်သည့်ဆာဗာအမျိုးအစားကိုမဆို ဆိုလိုသည်။
ဥပမာအားဖြင့်၊ အခြားသော ခလုတ်၊ router သို့မဟုတ် စစ်မှန်သော DHCP ဆာဗာကို ဆိပ်ကမ်းတစ်ခုသို့ ချိတ်ဆက်ထားပါက၊ ဤ port ကို ယုံကြည်စိတ်ချရသည့်အဖြစ် စီစဉ်သတ်မှတ်ထားသည်။ အသုံးပြုသူစက်ပစ္စည်းများ သို့မဟုတ် ကြိုးမဲ့ဝင်ရောက်ချိတ်ဆက်သည့်နေရာများသို့ ချိတ်ဆက်ထားသည့် ကျန်ရှိသော ခလုတ်များကို လုံခြုံမှုမရှိဟု သတ်မှတ်ရပါမည်။ ထို့ကြောင့်၊ အသုံးပြုသူများ ချိတ်ဆက်ထားသည့် access point ကဲ့သို့သော မည်သည့်စက်ပစ္စည်းသည် စိတ်မချရသော port မှတဆင့် switch သို့ ချိတ်ဆက်သည်။

တိုက်ခိုက်သူ၏ကွန်ပြူတာသည် ခလုတ်သို့ အမျိုးအစား O နှင့် A မက်ဆေ့ခ်ျများ ပေးပို့ပါက ၎င်းတို့ကို ပိတ်ဆို့သွားမည်ဖြစ်ပြီး၊ ဆိုလိုသည်မှာ ထိုလမ်းကြောင်းသည် ယုံကြည်စိတ်ချရသော ပို့တ်ကို ဖြတ်သန်းသွားနိုင်မည်မဟုတ်ပါ။ ဤသည်မှာ DHCP Snooping သည် အထက်တွင်ဖော်ပြထားသော တိုက်ခိုက်မှုအမျိုးအစားများကို တားဆီးသည့်နည်းဖြစ်သည်။

ထို့အပြင်၊ DHCP Snooping သည် DHCP binding ဇယားများကို ဖန်တီးသည်။ ဖောက်သည်သည် ဆာဗာမှ IP လိပ်စာကို လက်ခံရရှိပြီးနောက်၊ ဤလိပ်စာကို လက်ခံရရှိသော စက်၏ MAC လိပ်စာနှင့်အတူ DHCP Snooping ဇယားထဲသို့ ထည့်သွင်းသွားပါမည်။ ဤအင်္ဂါရပ်နှစ်ခုသည် ကလိုင်းယင့်ချိတ်ဆက်ထားသည့် မလုံခြုံသောဆိပ်ကမ်းနှင့် ဆက်စပ်နေမည်ဖြစ်သည်။

ဥပမာအားဖြင့်၊ ၎င်းသည် DoS တိုက်ခိုက်မှုကို ကာကွယ်ရန် ကူညီပေးသည်။ ပေးထားသော MAC လိပ်စာရှိ client သည် IP လိပ်စာတစ်ခုကို လက်ခံရရှိပြီးဖြစ်ပါက၊ ၎င်းသည် အဘယ်ကြောင့် IP လိပ်စာအသစ် လိုအပ်သင့်သနည်း။ ဤကိစ္စတွင်၊ ဇယားရှိထည့်သွင်းမှုကိုစစ်ဆေးပြီးပါက၊ ထိုသို့သောလုပ်ဆောင်မှုတွင်ကြိုးပမ်းမှုမှန်သမျှကို တားဆီးပါမည်။
ကျွန်ုပ်တို့ ဆွေးနွေးရန် လိုအပ်သည့် နောက်တစ်ခုမှာ ပုံသေမဟုတ်သော သို့မဟုတ် “ပုံသေမဟုတ်သော” Native VLAN များဖြစ်သည်။ ဤကွန်ရက်များတွင် ဗီဒီယိုသင်ခန်းစာ 4 ခုကို မြှုပ်နှံထားသည့် VLAN များ၏ ခေါင်းစဉ်ကို ကျွန်ုပ်တို့ အကြိမ်ကြိမ် ထိတွေ့ခဲ့ပါသည်။ ဒါက ဘာလဲဆိုတာ မေ့သွားပြီဆိုရင် ဒီသင်ခန်းစာတွေကို ပြန်သုံးသပ်ဖို့ အကြံပြုချင်ပါတယ်။

Cisco တွင် မူရင်း Native VLAN သည် VLAN1 ကိုပြောင်းထားသည်ကို ကျွန်ုပ်တို့သိပါသည်။ VLAN Hopping လို့ ခေါ်တဲ့ တိုက်ခိုက်မှုတွေရှိတယ်။ ပုံသေ ဇာတိကွန်ရက် VLAN1 ဖြင့် မြေပုံရှိ ကွန်ပျူတာသည် ပထမခလုတ်ကို ချိတ်ဆက်ထားပြီး နောက်ဆုံးခလုတ်ကို VLAN10 ကွန်ရက်ဖြင့် ကွန်ပျူတာသို့ ချိတ်ဆက်ထားသည်ဟု ယူဆကြပါစို့။ ခလုတ်များကြားတွင် ပင်စည်ကို တပ်ဆင်ထားသည်။

ပုံမှန်အားဖြင့် ပထမကွန်ပြူတာမှ အသွားအလာများသည် switch သို့ရောက်ရှိသောအခါ၊ ဤကွန်ပျူတာနှင့်ချိတ်ဆက်ထားသည့် port သည် VLAN1 ၏အစိတ်အပိုင်းဖြစ်ကြောင်း သိရှိပါသည်။ ထို့နောက်၊ ဤလမ်းကြောင်းသည် ခလုတ်နှစ်ခုကြားရှိ ပင်စည်သို့သွားသည်၊ ပထမခလုတ်သည် ဤကဲ့သို့ထင်သည်- "ဤအသွားအလာသည် Native VLAN မှလာသောကြောင့် ကျွန်ုပ်က ၎င်းကို tag ရန်မလိုအပ်ပါ၊" နှင့် ပင်စည်တစ်လျှောက် တဂ်မထားသောလမ်းကြောင်းကို ထပ်ဆင့်ပို့သည်။ ဒုတိယ switch ကိုရောက်ရှိ။

Switch 2 သည် တဂ်မထားသော အသွားအလာကို လက်ခံရရှိပြီးနောက် ဤကဲ့သို့ ယူဆသည်- "ဤအသွားအလာကို တဂ်မရသေးသောကြောင့်၊ ၎င်းသည် VLAN1 နှင့် သက်ဆိုင်သောကြောင့် ၎င်းကို VLAN10 ကျော်သို့ မပို့နိုင်ပါ။" ရလဒ်အနေဖြင့် ပထမကွန်ပြူတာမှ ပေးပို့သောလမ်းကြောင်းသည် ဒုတိယကွန်ပျူတာသို့ မရောက်နိုင်ပါ။

လက်တွေ့တွင်၊ ၎င်းသည် မည်သို့ဖြစ်သင့်သည် - VLAN1 အသွားအလာသည် VLAN10 သို့မ၀င်သင့်ပါ။ အခု ပထမကွန်ပြူတာရဲ့နောက်ကွယ်မှာ VLAN10 tag နဲ့ frame တစ်ခုကို ဖန်တီးပြီး switch ဆီကို ပို့ပေးတဲ့ attacker တစ်ယောက်ရှိနေတယ်ဆိုတာ တွေးကြည့်ရအောင်။ VLAN အလုပ်လုပ်ပုံကို သတိရပါက၊ tagged traffic သည် switch သို့ရောက်ရှိပါက frame နှင့် ဘာမှမလုပ်ဘဲ၊ trunk တစ်လျှောက်တွင် ၎င်းကို ထပ်ဆင့်ပို့ပေးကြောင်း သင်သိပါသည်။ ရလဒ်အနေဖြင့်၊ ဒုတိယခလုတ်သည် တိုက်ခိုက်သူမှဖန်တီးထားသည့် tag တစ်ခုဖြင့် အသွားအလာကို လက်ခံရရှိမည်ဖြစ်ပြီး ပထမခလုတ်ဖြင့်မဟုတ်ဘဲ တိုက်ခိုက်သူမှ ဖန်တီးထားသည်။

ဆိုလိုသည်မှာ သင်သည် Native VLAN ကို VLAN1 မှလွဲ၍ အခြားအရာတစ်ခုဖြင့် အစားထိုးနေခြင်းဖြစ်သည်။

ဒုတိယ switch သည် VLAN10 tag ကိုဘယ်သူဖန်တီးခဲ့သည်ကိုမသိသောကြောင့်၎င်းသည်ဒုတိယကွန်ပျူတာထံသို့လမ်းကြောင်းများကိုရိုးရှင်းစွာပေးပို့သည်။ တိုက်ခိုက်သူသည် ကနဦးတွင် သူလက်လှမ်းမမီသော ကွန်ရက်တစ်ခုကို ထိုးဖောက်ဝင်ရောက်သည့်အခါ VLAN Hopping တိုက်ခိုက်မှု ဖြစ်ပွားပုံဖြစ်သည်။

ထိုသို့သောတိုက်ခိုက်မှုများကိုကာကွယ်ရန်၊ သင်သည် တိုက်ခိုက်သူလုံးဝအသုံးမပြုနိုင်သော VLAN999၊ VLAN666၊ VLAN777 စသည်တို့ကို Random VLAN သို့မဟုတ် ကျပန်း VLAN များဖန်တီးရန်လိုအပ်ပါသည်။ တစ်ချိန်တည်းမှာပင်၊ ကျွန်ုပ်တို့သည် switches များ၏ trunk ports သို့သွားကာ၊ ဥပမာ၊ Native VLAN666 ဖြင့် အလုပ်လုပ်ရန် ၎င်းတို့ကို configure လုပ်ပါ။ ဤကိစ္စတွင်၊ ကျွန်ုပ်တို့သည် VLAN1 မှ VLAN66 သို့ trunk ports အတွက် Native VLAN ကိုပြောင်းသည်၊ ဆိုလိုသည်မှာ၊ ကျွန်ုပ်တို့သည် VLAN1 မှလွဲ၍ အခြားမည်သည့်ကွန်ရက်ကိုမဆို Native VLAN အဖြစ်အသုံးပြုပါသည်။

ပင်စည်၏နှစ်ဖက်စလုံးရှိ port များကို တူညီသော VLAN တွင် configure လုပ်ထားရမည်ဖြစ်ပြီး၊ သို့မဟုတ်ပါက VLAN နံပါတ်မတူညီသော error ကိုရရှိပါမည်။

ဤစနစ်ထည့်သွင်းပြီးနောက်၊ ဟက်ကာတစ်ဦးသည် VLAN Hopping တိုက်ခိုက်မှုကို လုပ်ဆောင်ရန် ဆုံးဖြတ်ပါက၊ မူရင်း VLAN1 ကို switches များ၏ trunk ports များတွင် တာဝန်မပေးထားသောကြောင့် သူအောင်မြင်မည်မဟုတ်ပါ။ ဤသည်မှာ ပုံသေမဟုတ်သော မူရင်း VLAN များကို ဖန်တီးခြင်းဖြင့် တိုက်ခိုက်မှုများကို ကာကွယ်သည့်နည်းလမ်းဖြစ်သည်။

ကျွန်ုပ်တို့နှင့်အတူရှိနေသည့်အတွက် ကျေးဇူးတင်ပါသည်။ ကျွန်ုပ်တို့၏ဆောင်းပါးများကို သင်နှစ်သက်ပါသလား။ ပိုစိတ်ဝင်စားစရာကောင်းတဲ့ အကြောင်းအရာတွေကို ကြည့်ချင်ပါသလား။ မှာယူမှုတစ်ခုပြုလုပ်ခြင်း သို့မဟုတ် သူငယ်ချင်းများကို အကြံပြုခြင်းဖြင့် ကျွန်ုပ်တို့အား ပံ့ပိုးကူညီပါ၊ သင့်အတွက်ကျွန်ုပ်တို့တီထွင်ခဲ့သော ဝင်ခွင့်အဆင့်ဆာဗာများ၏ ထူးခြားသော analogue တွင် Habr အသုံးပြုသူများအတွက် 30% လျှော့စျေး- VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps သို့မဟုတ် $20 မှ ဆာဗာတစ်ခုမျှဝေပုံနှင့်ပတ်သက်သော အမှန်တရားတစ်ခုလုံး။ (RAID1 နှင့် RAID10၊ 24 cores အထိနှင့် 40GB DDR4 အထိ)။

Dell R730xd က ၂ ဆ ပိုစျေးသက်သာလား။ ဒီမှာသာ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV ကို $199 မှ နယ်သာလန်မှာ Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99 မှ။ အကြောင်းဖတ်ပါ။ Infrastructure Corp ကို ဘယ်လိုတည်ဆောက်မလဲ။ တစ်ပြားတစ်ချပ်အတွက် ယူရို ၉၀၀၀ တန် Dell R730xd E5-2650 v4 ဆာဗာများကို အသုံးပြုခြင်း။

source: www.habr.com