บทที่ 12ความปลอดภัยของข้อมูล
ในยุคที่การเชื่อมต่อเกิดขึ้นทั่วโลกอย่างอินเตอร์เน็ต ข้อมูลในคอมพิวเตอร์ก็ยิ่งเสี่ยงต่อการถูกลักลอบนำไปใช้โดยผู้ที่ไม่ได้รับอนุญาตมากขึ้น จนถึงกับมีคำกล่าวว่า "หากคอมพิวเตอร์ของเราเชื่อมต่อเข้ากับอินเตอร์เน็ต ข้อมูลในนั้นก็จะถูกผู้อื่นลักลอบนำไปใช้อย่างแน่นอน ถ้าข้อมูลนั้นสำคัญและมีค่ามากพอ" ซึ่งสะท้อนให้เห็นถึงปัญหาของความไม่ปลอดภัยของข้อมูลที่เก็บในคอมพิวเตอร์ที่เราควรเพิ่มความระมัดระวังให้มากขึ้น
จุดประสงค์ของระบบรักษาความปลอดภัย
1. เพื่อรักษาความลับของข้อมูล( Confidentiality )
2. เพื่อป้องกันการปลอมแปลงข้อมูล( Integrity )
3. เพื่อทำให้ระบบนั้นสามารถที่จะทำงานได้ตามปกติและเต็มประสิทธิภาพ ( Availability)
มาตรฐานสมุดสีส้ม (The Orange Books) หรือ (DOD 5200.28)
เป็นมาตรฐานที่นิยมใช้เป็นที่อ้างอิงถึงกันอย่างกว้างขวาง ซึ่งเป็นมาตรฐานทางด้านความปลอดภัยของระบบคอมพิวเตอร์ที่ออกโดย รัฐบาลสหรัฐฯ ในปี ค.ศ.1985 มาตรฐานเรียงลำดับความปลอดภัยต่ำสุดไปถึงสูงสุด โดยแยกเป็นระดับ D,C,B และ A เป็นมาตรฐานที่ใช้สำหรับประเมินผลตั้งแต่เครื่องคอมพิวเตอร์เมนเฟรม คอมพิวเตอร์ขนาดกลางไปจนถึงคอมพิวเตอร์ส่วนบุคคล รวมทั้งซอฟต์แวร์ระบบปฏิบัติการ ซอฟต์แวร์คลังข้อมูล และระบบเครือข่ายด้วย
ระดับความปลอดภัยของข้อมูลคอมพิวเตอร์
- ระดับ D1ความปลอดภัยของระบบคอมพิวเตอร์และซอฟต์แวร์ในระดับ d1 เป็นระบบที่มีระดับความปลอดภัยต่ำสุด หรือ "Minimal protection" คือไม่มีระบบความปลอดภัยเลย โดยตัวเครื่องในส่วนของฮาร์ดแวร์และซอฟต์แวร์ระบบปฏิบัติการ จะไม่มีป้องกันใดๆ ทั้งสิ้น
- ระดับ Cความปลอดภัยในระดับ C จะแบ่งย่อยออกเป็น 2 ระดับ คือ C1 และ C2 ดังนี้ระดับ C1 จะมีความปลอดภัยน้อยกว่าระดับ C2 กล่าวคือ C1 หมายถึงระบบคอมพิวเตอร์ที่มีความปลอดภัยเบื้องต้นรวมอยู่ในระบบปฏิบัติการ เรียกว่า "Discretionary Security Protection" ซึ่งสามารถแยกแยะผู้ใช้แต่ละคนออกจากกันได้โดยระบุชื่อผู้ใช้ และรหัสผ่านก่อนเข้าใช้งานคอมพิวเตอร์ ระดับ C2 ความปลอดภัยระดับ C2 จะเหมือนกับระดับ C1 ที่ได้ปรับปรุงความปลอดภัยเพิ่มขึ้นอีกเล็กน้อย คือมีการควบคุมการใช้งานของผู้ใช้มากขึ้นโดยการอ่านข้อมูล การแก้ไขข้อมูลในแต่ละไฟล์หรือแต่ละไดเรคทอรีนั้น จะถูกควคุมด้วยสิทธิการใช้งาน และอำนาจของผู้ใช้แต่ละคน ไม่ได้ถูกควบคุมโดยสิทธิการใช้งานเพียงอย่างเดียว
- ระดับ B ความปลอดภัยระดับ B จะแบ่งย่อยออกเป็น 3 ระดับย่อย เรียงจากระดับความปลอดภัยตำไปถึงความปลอดภัยสูงกว่าตามลำดับ ดังจะกล่าวในรายละเอียดต่อไปนี้
ระดับ B1 คือระบบคอมพิวเตอร์ที่มีความปลอดภัยผ่านมาตรฐานระดับ C2 และได้เพิ่มส่วนที่เรียกว่า Label ขึ้นมาเพื่อควบคุมการเรียกใช้งานโดยความปลอดภัยระดับ B1 นี้มีชื่อเรียกว่า Labeled Security Protection ระดับ B2 ความปลอดภัยในระดับ B2 จะเทียบเท่ากับระดับ B1 แต่จะมีส่วนควบคุมเพิ่มขึ้นคือ กำหนดให้ทุกข้อมูลและอุปกรณ์ในระบบคอมพิวเตอร์นี้ต้องมี Label กำกับการใช้งาน
ระดับ B3 ความปลอดภัยระดับ B3 จะมีส่วนที่เพิ่มจากระดับ B2 คือภาพรวมของระบบคอมพิวเตอร์ ทั้งฮาร์ดแวร์และซอฟต์แวร์ จะถูกออกแบบมาเป็นพิเศษ มีการป้องกันการเจาะระบบและป้องกันการถูกลักลอบนำข้อมูลไปใช้โดยเฉพาะ ระบบความปลอดภัยระดับนี้มีชื่อเรียกว่า Security Domians- ระดับ Aความปลอดภัย
ระดับ A ถือว่าเป็นระบบที่มีความปลอดภัยสูงที่สุดของ Orange Book ซึ่งคุณสมบัติของระบบคอมพิวเตอร์ทั้งฮาร์ดแวร์ ซอฟต์แวร์ และระบบเครือข่ายจะเหมือนกับความปลอดภัยในระดับ B3 ทุกประการ ซึ่งในแต่ละระดับจะมีคุณสมบัติและรายละเอียดสรุปได้ดังนี้
ระดับความปลอดภัย
คำจำกัดความ
ลักษณะโดยสรุป
Dไม่มีความปลอดภัยของข้อมูลในระบบทุกคนสามารถเรียกใช้ข้อมูลอย่างไม่จำกัด และไม่มีการตรวจสอบว่าใครเป็นผู้ใช้งาน
C1มีระบบป้องกันไฟล์และไดเร็คทอรีผู้ใช้แต่ละคนจะถูกตรวจสอบและมีสิทธิการใช้งานในแต่ละไฟล์/ไดเร็คทอรี
C2มีระบบป้องกันไฟล์และไดเร็คทอรีพร้อมกับบันทึกการใช้งานของผู้ใช้แต่ละคนผู้ใช้แต่ละคนจะถูกกำหนดสิทธิและอำนาจในการใช้งานไฟล์/ไดเร็คทอรี ผู้ดูแลระบบจะถูกแยกออกจากผู้ใช้ปกติอย่างเด็ดขาดและถูกตรวจสอบได้เช่นกัน
B1มีการควบคุมการใช้งานอุปกรณ์ต่างๆในระบบแยกกันข้อมูลและอุปกรณ์ต่างๆจะมี Label ควบคุมการใช้งานกำกับผู้ใช้ต้องมีอำนาจและสิทธิการใช้งานที่มากกว่าหรือเท่ากันจึงจะสามารถเข้าไปใช้งานอุปกรณ์นั้นได้
B2มีการควบคุมการใช้งานอุปกรณ์ต่างๆในระบบทุกชิ้นมี Label ควบคุมการใช้งานกำกับข้อมูลและอุปกรณ์ทุกชิ้นในระบบ รวมถึงระบบเครือข่ายที่ใช้รับส่งข้อมูลและสายส่งต้องมีความปลอดภัยด้วย
B3ระบบรักษาความปลอดภัยถูกกำหนดในทุกส่วนตั้งแต่ตอนออกแบบจนถึงใช้งานมี Label ควบคุมการใช้งานกำกับข้อมูลและอุปกรณ์ทุกชิ้นพร้อมกับป้องกันการรั่วไหลของข้อมูลตั้งแต่ขั้นตอนการออกแบบระบบไปจนถึงการใช้งานและการกู้ระบบ
Aเหมือน B3คุณสมบัติเหมือน B3 แต่เพิ่มการตรวจสอบและควบคุมให้ทุกขั้นตอนเป็นตามที่ระบุในมาตรฐาน
มาตรฐานการเข้ารหัสข้อมูล (Data Encryption)
การเข้ารหัสแบบสมมาตร(Symmetric Encryption) เป็นการเข้ารหัสข้อมูลแบบพื้นฐาน โดยนำข้อมูลตัวอักษรและรหัสลับที่กำหนดขึ้นมาเข้ารหัสทางคณิตศาสตร์ เพื่อให้ได้ผลลัพธ์ออกมาเป็นข้อมูลที่เข้ารหัสแล้ว ซึ่งสามารถทำให้อยู่ในรูปของฟังก์ชั่นทางคณิตศาสตร์ได้ดังนี้
ข้อมูลที่เข้ารหัสแล้ว=ฟังก์ชั่นการเข้ารหัส(ข้อมูลดิบ, รหัสลับ)
ข้อดีของ Symmetric Encryption
- สามารถทำการเข้ารหัสและถอดรหัสได้อย่างรวดเร็ว
ข้อเสียของ Symmetric Encryption
- การเก็บรักษารหัสลับที่ใช้สำหรับเข้ารหัสและถอดรหัสนั้นทำได้ยาก โดยเฉพาะในระบบใหญ่ๆ ที่มีผู้ใช้เป็นจำนวนมาก หากมีใครรู้รหัสลับที่ใช้ ก็จะสามารถถอดรหัสมาอ่านข้อความและแก้ไขข้อความได้โดยไม่มีใครรู้
Data Encryption Standard(DES)
การเข้ารหัสของ DES เป็นการเข้ารหัสที่มีความปลอดภัยสูง ยากแก่การเดาถอดรหัสหากมีผู้ต้องการถอดรหัสก็จะต้องเดารหัสหลายหมื่นล้านล้านรหัสกว่าจะพบรหัสที่ถูกต้องInternational Data Encryption Algorithm(IDEA)ข้อดีของ IDEA คือ (1) มีความเร็วในการทำงานมากกว่า DES ซึ่งเมื่อใช้ซอฟต์แวร์ในการเข้ารหัสและถอดรหัสข้อมูล DES จะทำงานได้ช้ากว่า IDEA (2) การเข้ารหัสของ IDEA มีการทำงานได้สูงกว่า RSA ถึง 4,000 เท่าในจำนวนบิตของรหัสลับที่เท่ากัน
RC2 และ RC4
RC2 และRC4 เป็นมาตรฐานการเข้ารหัสข้อมูลประเภท Symmetric Encryption ที่คิดค้นโดย Ron Rivest เพื่อใช้เป็นทางเลี่ยงของ DES ในการส่งออกไปจำหน่ายนอกประเทศสหรัฐฯ โดยคำว่า RC ย่อมาจาก "Rivest Cipher" โดย RC2 ได้ถูกออกแบบมาให้ใช้แทน DES เพื่อส่งออกไปจำหน่ายนอกสหรัฐอเมริกา ซึ่งสามารถทำงานได้เร็วกว่า DES ถึงสามเท่าเมื่อใช้ซอฟต์แวร์เป็นตัวเข้ารหัส
Asymmetric Encryption
การเข้ารหัสแบบไม่สมมาตร (Asymmetric Encryption)กลไกการเข้าและถอดรหัสแบบคีย์สารธารณะ (Public key)ระบบการเข้าและถอดรหัสแบบคีย์สาธารณะนี้จะใช้แนวคิดของการมีคีย์เป็นคู่ๆ ที่สามารถเข้าและถอดรหัสของกันและกันเท่านั้นได้ คีย์แรกจะทราบหรือมีอยู่ที่เฉพาะเจ้าของคีย์นั้นเอง ซึ่งเรียกว่า “คีย์ส่วนตัว (Private key)” และจะมีคู่ของคีย์ดังกล่าวที่จะส่งให้ผู้อื่นได้ ซึ่งเรียกว่า “คีย์สาธารณะ (Public key)” โดยคีย์สาธารณะนี้จะถูกแจกจ่ายให้ผู้อื่นที่ต้องการส่งข้อความถึง
RSA
RSA เป็นมาตรฐานการเข้ารหัสข้อมูลในอินเตอร์เน็ต การเข้ารหัสแบบ RSA นั้น ถือได้ว่าเป็นการเข้ารหัสแบบพับลิกคีย์ที่นิยมใช้มากที่สุด โดยมีความสามารถในการทำงานมากกว่า เพราะสามารถทำงานได้ทั้งเข้ารหัสถอดรหัส ใช้ทำ "ลายเซ็นดิจิตอล" และใช้ในการแลกเปลี่ยนคีย์ก็ได้
Digital Signature Standard (DSS)
Digital Signature Standard หรือ DSS เป็นมาตรฐานการสร้างรหัสเพื่อยืนยันตัวผู้ส่งข้อมูลซึ่งกำหนดขึ้นโดยรัฐบาลสหรัฐฯ เพื่อใช้เป็นมาตรฐานในการยืนยันการรับส่งข้อมูลทางอิเล็กทรอนิคส์ โดยเริ่มใช้งานในปี ค.ศ. 1994 มีความยาวของรหัส 512 หรือ 1,024 บิต มีจุดประสงค์เพื่อให้ผู้รับสามารถแน่ใจได้ว่าข้อมูลที่ได้รับนั้นถูกส่งมาจากใคร โดยผู้อื่นไม่สามารถปลอมแปลงได้เท่านั้น ไม่ใช่มีไว้สำหรับการเข้ารหัสข้อมูลป้องกันผู้อื่นนำไปใช้แต่อย่างใด ซึ่ง DSS จะถูกนำมาใช้แทน RSA ในการสร้าง Digital Signature
Authenticode
Authenticode เป็นเทคนิคการตรวจสอบรหัสในโปรแกรม ซึ่ง Microsoft ได้ประยุกต์เอาการเข้ารหัสข้อมูลประเภท Asymmetric Encryption มาใช้ในการตรวจสอบความถูกต้องของโปรแกรมต่างๆ ว่าข้อมูลในโปรแกรมหรือรหัสในซอฟต์แวร์นั้น ถูกแก้ไขจากผู้อื่นหรือไม่ ซึ่งเป็นประโยชน์อย่างมากในการตรวจสอบความถูกต้องของข้อมูลที่เรา Download มาจาก Internet และเพื่อป้องกันไม่ให้ผู้อื่นแก้ไขรหัสในซอฟต์แวร์หรือแอบใส่ไวรัสเข้าไปในซอฟต์แวร์เหล่านั้นได้
Secure Electronic Transaction (SET)
ระบบ SET ถูกออกแบบมาเพื่อใช้กับลักษณะของกิจกรรมการทำ E-Commerce โดยระบบนี้จะสามารถรักษาความลับของข้อมูลข่าวสารที่ถูกส่งผ่านระบบเครือข่ายคอมพิวเตอร์ได้เป็นอย่างดี และยังสามารถรับประกันความถูกต้องโดยไม่มีการปลอมแปลงของข้อมูลที่เกี่ยวกับการเบิกจ่ายเงินได้เป็นอย่างดี ระบบ SET สามารถบ่งบอกได้ชัดว่าใครเป็นผู้ซื้อและผู้ค้าได้อย่างถูกต้องโดยไม่มีการปลอมแปลง
ข้อดีขอระบบ SET
- ใช้วิธีการเข้ารหัสลับที่ดีกว่าจึงให้ความปลอดภัยที่สูงกว่า
- ร้านค้าสามารถพิสูจน์ทราบลูกค้าได้ทันทีว่าเป็นผู้ที่ได้รับอนุญาตใน
- ระบบหรือไม่ และเป็นผู้ที่มีเครดิตเพียงพอในการซื้อหรือไม่
- สามารถปกปิดความลับ หรือข้อมูลการทำธุรกิจของลูกค้าจากร้านค้า
- และจากธนาคารผู้ออกบัตรได้
ข้อเสียขอระบบ SET
- ระบบ SET ยังอยู่ในระหว่างการพัฒนาและใกล้จะเสร็จสมบูรณ์แล้ว
- ยังไม่มีการทดสอบ และทดลองใช้อย่างเพียงพอ
- ยังไม่มีการนำไปใช้เชิงธุรกิจในวงกว้างมากนัก
Secure Socket Layer (SSL)
เป็นมาตรฐานการรับส่งข้อมูลผ่านอินเตอร์เน็ตให้มีความปลอดภัย โดยใช้การเข้ารหัสคล้ายๆ SET แต่ SSL นี้คิดค้นโดยบริษัท Netscape และต่อมาได้รับการสนับสนุนจากบริษัท Microsoft ซึ่งหลักการทำงานจะคล้ายๆ กับ SET คือ ก่อนการรับส่งข้อมูลจะเริ่มขึ้น ทั้งคอมพิวเตอร์ตัวรับและตัวส่งจะตกลงแลกเปลี่ยนรหัสลับ และวิธีการเข้ารหัสข้อมูลกัน โดยการเข้ารหัสลับของ SSL จะใช้การเข้ารหัสตามมาตรฐาน RSA ที่ใช้ Public Key และ Private key ในการเข้ารหัส
ข้อดีของระบบ SSL
- มีการลงทุนน้อย หรือแทบไม่มีเลย เนื่องจากปัจจุบันเป็นระบบที่ใช้ในวงกว้าง
- สามารถควบคุมการเข้าถึงข้อมูลส่วนต่าง ๆ ภายในระบบของผู้ใช้ได้หลังจากที่ผู้ใช้ได้รับอนุญาตให้เข้ามาในระบบ
- สามารถใช้ข้อมูลร่วมกันได้ระหว่างสองจุด (Share Information)
- มีระบบในการป้องกัน และตรวจสอบความถูกต้องของข้อมูลได้
ข้อเสีย ของระบบ SSL
- ใช้วิธีการเข้ารหัสที่ล้าสมัย และใช้กุญแจเข้ารหัสที่มีขนาดเล็ก ดังนั้นความปลอดภัยอาจไม่เพียงพอ
- ทำการสื่อสารอย่างปลอดภัยได้เพียงสองจุดในแต่ละครั้ง แต่ในระบบพาณิชย์อิเล็กทรอนิกส์ที่ใช้บัตรเป็นสื่อนั้น ต้องใช้มากกว่าสองจุดในเวลาเดียวกัน
- มีความเสี่ยงสูงเนื่องจากไม่มีการรับรองทางอิเล็กทรอนิกส์ระหว่างทุกฝ่ายที่ทำการซื้อขายในขณะนั้น ดังนั้นจึงอาจมีการปลอมแปลงเข้ามาในระบบได้
- มีความเสี่ยงในการรั่วไหลของข้อมูลที่สำคัญของลูกค้า เช่น หมายเลขบัตรเครดิต เนื่องจากร้านค้าสามารถเห็นข้อมูลเหล่านี้ได้
Private Communication Technology (PCT)
Private Communication Technology หรือ PCT เป็นการเข้ารหัสข้อมูลเพื่อเพิ่มความปลอดภัยในการติดต่อผ่าน Internet อีกมาตรฐานหนึ่งเช่นเดียวกันกับ SET และ SSL โดยคอมพิวเตอร์ที่ทำหน้าที่เป็น Server จะถูกตรวจสอบก่อนทำการรับส่งข้อมูลทุกครั้ง ส่วนเครื่องที่เป็นเครื่องผู้ใช้หรือ Client อาจเลือกว่าจะตรวจสอบหรือไม่ก็ได้
วันพุธที่ 3 กันยายน พ.ศ. 2551
วันอาทิตย์ที่ 10 สิงหาคม พ.ศ. 2551
Multiprotocal Label Switching (MPLS)
MPLS - Multiprotocol Label Switching เป็นโปรโตคอลที่ถูกพัฒนาขึ้นมาโดย The Internet Engineering Task Force (IETF) เพื่อให้การส่งต่อข้อมูลโดย IP แพ็กเก็ตนั้นลดกระบวนการต่าง ๆลง ให้คล้ายกับการส่งข้อมูลด้วยสวิตช์ และยังช่วยให้หน่วยประมวลผลหรือ ซีพียูของอุปกรณ์ทำงานลดลงตามไปด้วย สุดท้ายผลที่ได้คือ การส่งข้อมูลจากจุดหนึ่งไปอีกจุดหนึ่งโดยไม่เกิดการล่าช้า
หลักการทำงานของ MPLS โดยสังเขปคือการสร้างระบบจัดเส้นทางของ Packet หรือการ Routing ขึ้นใหม่ภายในบริเวณของเครือข่ายที่กำหนด ซึ่งจะขอเรียกเส้นทางนี้ว่า LSP (Label Switch Path) โดยภายนิขอบเขตนี้ Packet ที่วิ่งเข้ามาจะถูกกำหนด Label ประจำตัวให้ใหม่ โดยไม่สนใจ Header เดิม (ซึ่งอาจเป็นของ TCP/IP) จากนั้นจึงวิ่งไปตามเส้นทางที่กำหนดไว้ใน LSP สำหรับ Label ชุดนั้นๆ ซึ่งเส้นทางนี้เป็นไปได้ทั้งการกำหนดตายตัวล่วงหน้า และการกำหนดแบบเปลี่ยนแปลงไปเรื่อยๆ ตามความเหมาะสม ซึ่งมีความซับซ้อนมากกว่าโปรโตคอลในการกำหนดเส้นทางของข้อมูลที่ใช้อยู่เดิมในเครือข่าย TCP/IP เช่นมีการคำนวณจากจำนวน hop ที่ส่งคำนวณจากเวลาที่ใช้น้อยที่สุด หรือพยายามให้ได้ตามเวลาจริง (Real-Time) เช่นสำหรับการส่งข้อมูลมัลติมีเดียและอื่นๆอีกมาก การทำงานจะทำได้เร็วกว่า Routing แบบเดิมเพราะ การคำนวณเพื่อจัดเส้นทางจะทำไว้ล่วงหน้า และเป็นอิสระจากการรับส่งข้อมูลแต่ละ Packet คือมีหน้าที่จัดเส้นทางใหม่ก็จัดไป เมื่อจัดเสร็จก็เก็บไว้ใช้งาน ส่วนหน้าที่รับส่งข้อมูลก็ทำไปเช่นกันไม่ยุ่งเกี่ยวกัน เมื่อมีข้อมูลเข้ามาถึงจะนำเส้นทางที่ได้เตรียมไว้มาใช้รับส่งข้อมูล เมื่อข้อมูลวิ่งมาถึงปลายสุดของ LSP ก็จะนำ Label ออกจาก Packet และปล่อยให้เป็นหน้าที่ของ Header เดิมของ Packet ทำหน้าที่นำข้อมูลส่งถึงปลายทางที่แท้จริง
ข้อดีของ Multi Protocal Label Switching (MPLS)
1. มีความเสถียรและปลอดภัยสูงในการรับ-ส่งข้อมูล
2. มีปริมาณช่องสัญญาณ (Bandwidth) มากถึง 10 Gbps เพื่อรองรับลูกค้ากลุ่มธุรกิจโดยเฉพาะ
3. สามารถเลือกความเร็วได้ตั้งแต่ 64 Kbps-1 Gbps
4. พร้อมรองรับ IP Application ต่างๆ ไม่ว่าจะเป็น VOIP, Routing Protocol, QoS, Multicast และ VDO Conference เพื่อตอบสนองชีวิตการทำงาน แบบที่จะเป็นที่นิยมในอนาคต โดยการรวมเทคโนโลยีต่างๆ ไว้เข้าด้วยกัน เพื่ออำนวยความสะดวกในการทำงาน
หลักการทำงานของ MPLS โดยสังเขปคือการสร้างระบบจัดเส้นทางของ Packet หรือการ Routing ขึ้นใหม่ภายในบริเวณของเครือข่ายที่กำหนด ซึ่งจะขอเรียกเส้นทางนี้ว่า LSP (Label Switch Path) โดยภายนิขอบเขตนี้ Packet ที่วิ่งเข้ามาจะถูกกำหนด Label ประจำตัวให้ใหม่ โดยไม่สนใจ Header เดิม (ซึ่งอาจเป็นของ TCP/IP) จากนั้นจึงวิ่งไปตามเส้นทางที่กำหนดไว้ใน LSP สำหรับ Label ชุดนั้นๆ ซึ่งเส้นทางนี้เป็นไปได้ทั้งการกำหนดตายตัวล่วงหน้า และการกำหนดแบบเปลี่ยนแปลงไปเรื่อยๆ ตามความเหมาะสม ซึ่งมีความซับซ้อนมากกว่าโปรโตคอลในการกำหนดเส้นทางของข้อมูลที่ใช้อยู่เดิมในเครือข่าย TCP/IP เช่นมีการคำนวณจากจำนวน hop ที่ส่งคำนวณจากเวลาที่ใช้น้อยที่สุด หรือพยายามให้ได้ตามเวลาจริง (Real-Time) เช่นสำหรับการส่งข้อมูลมัลติมีเดียและอื่นๆอีกมาก การทำงานจะทำได้เร็วกว่า Routing แบบเดิมเพราะ การคำนวณเพื่อจัดเส้นทางจะทำไว้ล่วงหน้า และเป็นอิสระจากการรับส่งข้อมูลแต่ละ Packet คือมีหน้าที่จัดเส้นทางใหม่ก็จัดไป เมื่อจัดเสร็จก็เก็บไว้ใช้งาน ส่วนหน้าที่รับส่งข้อมูลก็ทำไปเช่นกันไม่ยุ่งเกี่ยวกัน เมื่อมีข้อมูลเข้ามาถึงจะนำเส้นทางที่ได้เตรียมไว้มาใช้รับส่งข้อมูล เมื่อข้อมูลวิ่งมาถึงปลายสุดของ LSP ก็จะนำ Label ออกจาก Packet และปล่อยให้เป็นหน้าที่ของ Header เดิมของ Packet ทำหน้าที่นำข้อมูลส่งถึงปลายทางที่แท้จริง
ข้อดีของ Multi Protocal Label Switching (MPLS)
1. มีความเสถียรและปลอดภัยสูงในการรับ-ส่งข้อมูล
2. มีปริมาณช่องสัญญาณ (Bandwidth) มากถึง 10 Gbps เพื่อรองรับลูกค้ากลุ่มธุรกิจโดยเฉพาะ
3. สามารถเลือกความเร็วได้ตั้งแต่ 64 Kbps-1 Gbps
4. พร้อมรองรับ IP Application ต่างๆ ไม่ว่าจะเป็น VOIP, Routing Protocol, QoS, Multicast และ VDO Conference เพื่อตอบสนองชีวิตการทำงาน แบบที่จะเป็นที่นิยมในอนาคต โดยการรวมเทคโนโลยีต่างๆ ไว้เข้าด้วยกัน เพื่ออำนวยความสะดวกในการทำงาน
วันอาทิตย์ที่ 27 กรกฎาคม พ.ศ. 2551
บทที่ 3. โครงสร้างของโปรโตคอล TCP/IP
แบ่งออกเป็น 3 ส่วนหลักๆ คือส่วนกรรมวิธีปฎิบัติการหรือโปรเซส(Process) โฮสต์ (Host) และเครือข่าย (Network) มีการทำงานที่สัมพันธ์กัน ทำให้สามารถจัดรูปแบบของสถาปัตยกรรม TCP/IP ได้เป็น 4 เลเยอร์ ซึ่งได้แก่
1.เลเยอร์ Network Access จะประกอบด้วยโปรโตคอลที่ทำหน้าที่ติดต่อสื่อสารเข้ากับเครือข่าย หน้าที่ของโปรโตคอลนี้คือจัดเส้นทางของข้อมูลให้ระหว่างโฮสต์กับโฮสต์ ควบคุมการไหลของข้อมูล และควบคุมความผิดพลาดของข้อมูล
2.เลเยอร์ Internet ประกอบด้วยขั้นตอนการอนุญาติให้ข้อมูลไหลผ่านไปมาระหว่างโฮสต์ของเครือข่าย 2 เครือข่ายหรือมากกว่า มีหน้าที่จัดเส้นทางของข้อมูล และยังต้องทำหน้าที่เป็นเกตเวย์สำหรับการติดต่อกับเครือข่ายอื่นอีกด้วย
3.เลเยอร์ Host-to-Host ประกอบด้วยโปรโตคอลที่ทำหน้าที่ส่งผ่านแลกเปลี่ยนข้อมูลระหว่างเอนทิตี้ของโฮสต์ต่างเครื่องกัน และยังมีหน้าที่ในการควบคุมการไหลของข้อมูลและควบคุมความผิดพลาดของข้อมูลด้วย โปรโตคอลที่ใช้กันโดยทั่วไปในเลเยอร์ชั้นนี้ได้แก่ 1. โปรโตคอล Reliable Connection-Oriented ทำหน้าที่จัดลำดับของข้อมูล ตรวจสอบตำแหน่งของต้นทางและปลายทางของข้อมูล 2. โปรโตคอล Datagram เพื่อลดขนาดของ Overhead ของข้อมูล และจัดเส้นทางการสื่อสาร3. โปรโตคอล Speed เพื่อเพิ่มความเร็วในการสื่อสารข้อมูลโดยการลดเวลาประวิง (Delay) ให้เหลือน้อยที่สุด4. โปรโตคอล Real-time เป็นการรวมลักษณะของโปรโตคอล Reliable Connection-oriented กับโปรโตคอล Speed
4.เลเยอร์ Process/Application ประกอบด้วยโปรโตคอลที่ทำหน้าที่แชร์แลกเปลี่ยนข้อมูลซึ่งกันและกันระหว่างคอมพิวเตอร์กับคอมพิวเตอร์ หรือคอมพิวเตอร์กับเทอมินัลที่อยู่ไกลออกไป
1.เลเยอร์ Network Access จะประกอบด้วยโปรโตคอลที่ทำหน้าที่ติดต่อสื่อสารเข้ากับเครือข่าย หน้าที่ของโปรโตคอลนี้คือจัดเส้นทางของข้อมูลให้ระหว่างโฮสต์กับโฮสต์ ควบคุมการไหลของข้อมูล และควบคุมความผิดพลาดของข้อมูล
2.เลเยอร์ Internet ประกอบด้วยขั้นตอนการอนุญาติให้ข้อมูลไหลผ่านไปมาระหว่างโฮสต์ของเครือข่าย 2 เครือข่ายหรือมากกว่า มีหน้าที่จัดเส้นทางของข้อมูล และยังต้องทำหน้าที่เป็นเกตเวย์สำหรับการติดต่อกับเครือข่ายอื่นอีกด้วย
3.เลเยอร์ Host-to-Host ประกอบด้วยโปรโตคอลที่ทำหน้าที่ส่งผ่านแลกเปลี่ยนข้อมูลระหว่างเอนทิตี้ของโฮสต์ต่างเครื่องกัน และยังมีหน้าที่ในการควบคุมการไหลของข้อมูลและควบคุมความผิดพลาดของข้อมูลด้วย โปรโตคอลที่ใช้กันโดยทั่วไปในเลเยอร์ชั้นนี้ได้แก่ 1. โปรโตคอล Reliable Connection-Oriented ทำหน้าที่จัดลำดับของข้อมูล ตรวจสอบตำแหน่งของต้นทางและปลายทางของข้อมูล 2. โปรโตคอล Datagram เพื่อลดขนาดของ Overhead ของข้อมูล และจัดเส้นทางการสื่อสาร3. โปรโตคอล Speed เพื่อเพิ่มความเร็วในการสื่อสารข้อมูลโดยการลดเวลาประวิง (Delay) ให้เหลือน้อยที่สุด4. โปรโตคอล Real-time เป็นการรวมลักษณะของโปรโตคอล Reliable Connection-oriented กับโปรโตคอล Speed
4.เลเยอร์ Process/Application ประกอบด้วยโปรโตคอลที่ทำหน้าที่แชร์แลกเปลี่ยนข้อมูลซึ่งกันและกันระหว่างคอมพิวเตอร์กับคอมพิวเตอร์ หรือคอมพิวเตอร์กับเทอมินัลที่อยู่ไกลออกไป
วันพุธที่ 23 กรกฎาคม พ.ศ. 2551
หลักการทำงานของTCP/IP
เครื่องคอมพิวเตอร์บนเครือข่ายอินเทอร์เน็ตสื่อสารระหว่างกันโดยใช้ Transmission Control Protocol (TCP) และ Internet Protocol (IP) รวมเรียกว่า TCP/IP ข้อมูลที่ส่งจะถูกตัดออกเป็นส่วน ๆ เรียกว่า packet แล้วจ่าหน้าไปยังผู้รับด้วยการกำหนด IP Address เช่น สมมติเราส่งอีเมล์ไปหาใครสักคน อีเมล์ของเราจะถูกตัดออกเป็น packet ขนาดเล็กหลาย ๆ อัน ซึ่งแต่ละอันจะจ่าหน้าถึงผู้รับเดียวกัน packets พวกนี้ก็จะวิ่งไปรวมกับ packets ของคนอื่น ๆ ด้วย ทำให้ในสายของข้อมูล packets ของเราอาจจะไม่ได้เรียงติดกัน packets พวกนี้จะวิ่งผ่านชุมทาง (gateway) ต่าง ๆ โดยชุมทาง gateway (อาจเรียก router) จะอ่านที่อยู่จ่าหน้าแล้วจะบอกทิศทางที่ไปของแต่ละ packet ว่าจะวิ่งไปในทิศทางไหน packet ก็จะวิ่งไปตามทิศทางนั้นเมื่อไปถึง gateway ใหม่ก็จะกำหนดเส้นทางให้วิ่งไปยัง gateway ใหม่ที่อยู่ถัดไป จนกว่าจะวิ่งถึงปลายทางเมื่อ packet วิ่งมาถึงปลายทางแล้วเครื่องปลายทางก็จะเอา packets เหล่านั้นมาเก็บสะสมจนกว่าจะครบ จึงจะต่อกลับคืนให้เป็น e-mail
TCP/IP ตัดข้อมูลออกเป็น packets เล็ก ๆ ส่งไปบนสายส่งข้อมูลเมื่อไปถึงปลายทางจับมารวมกันอีกครั้ง
การที่ข้อมูลมีลักษณะเป็น packet ทำให้สายสื่อสารสามารถส่งข้อมูลโดยไม่ต้องจอง (occupices) สายไว ้สายจึงสามารถใช้ร่วมกันกับข้อมูลที่ส่งจากเครื่องอื่นได้ รูปแบบการทำงานของโปรโตคอล TCP/IP ที่มีการแบ่งข้อมูลออกเป็น packet นั้น จะช่วยป้องกันความผิดพลาดที่จะเกิดขึ้นในการติดต่อสื่อสาร เช่น ถ้าข้อมูลเกิดการสูญหาย ก็จะสูญหายไปเพียงบางส่วนเท่านั้น นอกจากนี้คอมพิวเตอร์ที่อยู่ปลายทางยังสามารถตรวจหาข้อมูลที่สูญหายไป และติดต่อให้คอมพิวเตอร์ต้นทางส่งข้อมูลในส่วนที่หายไปมาใหม่ได้ เมื่อมีเส้นทางที่เสียหายเร้าท์เตอร์ก็จะทำการเปลี่ยนเส้นทางให้ใหม่ทันที
TCP/IP ตัดข้อมูลออกเป็น packets เล็ก ๆ ส่งไปบนสายส่งข้อมูลเมื่อไปถึงปลายทางจับมารวมกันอีกครั้ง
การที่ข้อมูลมีลักษณะเป็น packet ทำให้สายสื่อสารสามารถส่งข้อมูลโดยไม่ต้องจอง (occupices) สายไว ้สายจึงสามารถใช้ร่วมกันกับข้อมูลที่ส่งจากเครื่องอื่นได้ รูปแบบการทำงานของโปรโตคอล TCP/IP ที่มีการแบ่งข้อมูลออกเป็น packet นั้น จะช่วยป้องกันความผิดพลาดที่จะเกิดขึ้นในการติดต่อสื่อสาร เช่น ถ้าข้อมูลเกิดการสูญหาย ก็จะสูญหายไปเพียงบางส่วนเท่านั้น นอกจากนี้คอมพิวเตอร์ที่อยู่ปลายทางยังสามารถตรวจหาข้อมูลที่สูญหายไป และติดต่อให้คอมพิวเตอร์ต้นทางส่งข้อมูลในส่วนที่หายไปมาใหม่ได้ เมื่อมีเส้นทางที่เสียหายเร้าท์เตอร์ก็จะทำการเปลี่ยนเส้นทางให้ใหม่ทันที
วันพุธที่ 9 กรกฎาคม พ.ศ. 2551
บริษัทผู้ผลิตการ์ดเครือข่าย (vendor)
บริษัทผู้ผลิตการ์ดเครือข่าย (Vendor)
00-40-58-61-2f-0a
Prefix 00-40-58
vendor kronos ,inc
00-40-59-62-3f-o9
Prefix 00-40-59
Vendor Yoshida kogyo K.K.
00-07-53-df-68-of
Prefix 00-07-53
Vendor Beijing Qxcomm Techno
00-08-65-fa-68-of
Prefix 00-08-65
Vendor JASCOM CO.,LTD
00-50-f6-9c-9f-0f
Prefix 00-50-f6
Vendor pan-international
วันจันทร์ที่ 7 กรกฎาคม พ.ศ. 2551
อุปกรณ์เครือข่าย
ฮับ (hub) เป็นอุปกรณ์ที่รวมสัญญาณที่มาจากอุปกรณ์รับส่งหลายๆ สถานี เข้าด้วยกัน ฮับเปรียบเสมือนเป็นบัสที่รวมอยู่ที่จุดเดียวกัน ฮับที่ใช้งานอยู่ภายใต้มาตรฐานการรับส่งแบบอีเทอร์เน็ต หรือ IEEE802.3 ข้อมูลที่รับส่งผ่านฮับจากเครื่องหนึ่งจะกระจายไปยังทุกสถานีที่ต่ออยู่บนฮับนั้น ดังนั้น ทุกสถานีจะรับสัญญาณข้อมูลที่กระจายมาได้ทั้งหมด แต่จะเลือกคัดลอกเฉพาะข้อมูลที่ส่งมาถึงตนเท่านั้น การตรวจสอบข้อมูลจึงต้องดูที่แอดเดรส (address) ที่กำกับมาในกลุ่มของข้อมูลหรือแพ็กเก็ต
อุปกรณ์สวิตซ์ (switch) เป็นอุปกรณ์รวมสัญญาณที่มาจากอุปกรณ์รับส่งหลายสถานีเช่นเดียวกับฮับ แต่มีข้อแตกต่างจากฮับ กล่าวคือ การรับส่งข้อมูลจากสถานี (อุปกรณ์) ตัวหนึ่ง จะไม่กระจายไปยังทุกสถานี (อุปกรณ์) เหมือนฮับ ทั้งนี้เพราะสวิตช์จะรับกลุ่มข้อมูล(แพ็กเก็ต) มาตรวจสอบก่อน แล้วดูว่ามา แอดเดรสของสถานีปลายทางไปที่ใด สวิตช์จะนำแพ็กเก็ตหรือกลุ่มข้อมูลนั้นส่งต่อไปยังสถานี (อุปกรณ์) เป้าหมายให้อย่างอัตโนมัติ สวิตช์จะลดปัญหาการชนกันของข้อมูลเพราะไม่ต้องกระจายข้อมูลไปทุกสถานี และยังมีข้อดีในเรื่องการป้องกันการดักจับข้อมูลที่กระจายไปในเครือข่าย
อุปกรณ์จัดเส้นทาง (router)ในการเชื่อมโยงเครือข่ายหลายๆ เครือข่ายเข้าด้วยกัน หรือเชื่อมโยงอุปกรณ์หลายอย่างเข้าด้วยกัน ดังนั้นจึงมีเส้นทางการเข้าออกของข้อมูลได้หลายเส้นทาง และแต่ละเส้นทางอาจใช้เทคโนโลยีเครือข่ายที่ต่างกัน อุปกรณ์จัดเส้นทางจะหาเส้นทางที่เหมาะสมให้การที่อุปกรณ์จัดหาเส้นทางเลือกเส้นทางได้ถูกต้องเพราะแต่ละสถานีภายในเครือข่ายมีแอดเดรสกำกับ อุปกรณ์จัดเส้นทางต้องรับรู้ตำแหน่งและสามารถนำข้อมูลออกทางเส้นทางได้ถูกต้องตามตำแหน่งแอดเดรสที่กำกับอยู่ในเส้นทางนั้น 
เกตเวย์ (Gateway) เป็นอุปกรณ์ฮาร์ดแวร์ที่เชื่อมต่อเครือข่ายต่างประเภทเข้าด้วยกัน เช่น การใช้เกตเวย์ในการเชื่อมต่อเครือข่าย ที่เป็นคอมพิวเตอร์ประเภทพีซี (PC) เข้ากับคอมพิวเตอร์ประเภทแมคอินทอช (MAC) เป็นต้นLayer 3 Switch จะสามารถทำ Routing (รับส่งข้อมูลระหว่างเน็ตเวิร์ก) ได้ด้วย Layer 3 Switch เหมาะสมในการนำไปใช้ในระบบเน็ตเวิร์กที่มีการใช้งาน VLAN (VLAN เป็นการแบ่งพอร์ตต่างๆ ที่มีอยู่ในสวิทช์ ให้เป็นเสมือนแยกกันอยู่คนละเน็ตเวิร์ค) และต้องการให้อุปกรณ์ Computer ที่อยู่ในแต่ละ VLAN สามารถติดต่อกันได้ ส่วนการจ่าย IP Address นั้น เป็นหน้าที่ของ DHCP Server ซึ่งไม่เกี่ยวข้องกับหน้าที่ของอุปกรณ์สวิทช์
สมัครสมาชิก:
บทความ (Atom)
