หายไปนาน

ผมไม่ได้ update blog มาเป็นปีรู้สึกอายจริงๆ เพราะมีหลายคนที่อ่านแล้วก็ email หาผมเพื่อสอบถามข้อมูลเพิ่มเติม ผมก็ตอบเท่าที่ตอบได้นะครับ เอาเป็นว่าผมจะหาเวลามา update เรื่อยๆ เรื่อง technology ใหม่ๆแล้วก็เรื่องที่นอกเหนือจากเทคนิคเช่น project management, การ implement ระบบ, การขาย solution ที่ได้จากประสบการณ์ผมในช่วงหลังๆนี้ครับ

wireless lan Facts & Trend : Part I

ต้องขอโทษอีกครั้งสำหรับผู้ที่ติดตามอ่าน blog ของผมนะครับที่หายไปนานมาก เนื่องจากยุ่งกับเรื่องงานและส่วนตัวมากมาย ตอนนี้พอมีเวลานิดหน่อยเลยขอใช้เวลาตรงนี้มา update สิ่งที่ผมได้เจอะเจอมา

ตอนนี้ผมหันมาจับ wireless lan มากขึ้นเพราะลูกค้าหลายๆรายของผมสนใจใน technology นี้มากขึ้นแบบเห็นได้ชัด เลยขออนุญาตมาแลกเปลี่ยนมุมมองเรื่องนี้กัน

wireless lan คืออะไร
คำตอบง่ายๆก็คือการที่เราต่อเชื่อม network และส่งข้อมูลโดยใช้คลื่นความถี่เป็น medium แทนที่จะเป็นสาย cable เพราะฉะนั้นอุปกรณ์ที่สำคัญก็คือ อุปกรณ์ที่ทำหน้าที่เป็นสถานนีส่งและรับคลื่นซึ่งเรียกว่า Access point ซึ่งส่วนใหญ่เจ้า access point ก็จะถูกต้องเชื่อมกับ LAN ธรรมดาแบบที่มีสายอีกที อีกอุปกรณ์นึงที่สำคัญก็คือตัว adaptor ที่ติดตั้งที่ PC หรือ client เพื่อใช้ในการส่งรับข้อมูลกับ Access point ผมคงไม่ลงรายละเอียดมากนักเพราะหลายๆท่านคงทราบดีแล้ว หรือหาได้จาก Internet

การติดตั้งเครือข่าย wireless lan ขนาดใหญ่
ผมคงแนะนำอีกทีให้หาอ่านจาก Internet หรือหนังสือทั่วไปเกี่ยวกับวิธีการติดตั้ง wireless lan เพราะจะมีรายละเอียกมากกว่า แต่ที่ผมอยากจะเล่าให้่ฟังก็คือปัญหาหรือ lesson learned ที่ได้จากการลงมือทำจริง สำหรับฝากไว้ให้ผู้ที่คิดอยากจะ implement จะได้วางแผนไว้ล่วงหน้า

เรื่องแรกคงเป็นเรื่องของตำแหน่งติดตั้ง Access point
การติดตั้ง access point ในจำนวนมากๆเป็นร้อยๆตัวเนี่ย ปวดหัวมากจะครับว่าเราจะติดตรงไหนดี ให้สัญญาณมันครอบคลุม ยิ่งโดยเฉพาะ office สำนักงานใหม่ที่มีกระจกหรือโลหะอยู่เยอะๆเนี่ย น่าปวดหัวจริงๆ ถ้าใช้่ access point แรงๆก็จะมีเรื่องของ สัญญาณสะท้อนและหักล้างกันเอง สรุปผมแนะนำให้ใช้ access point แบบปรับความแรงคลื่นได้ จะทำให้ชีวิตดีขึ้น และก่อนติดตั้งจริงเนี่ยะ ทำ RF site survey บ้างก็ดีนะครับ ผมว่าคุ้มกว่าการมาย้าย access point ไปมาตอนหลัง ไหนจะเรื่องความยาวสาย cable เรื่องปลั๊กไฟในกรณีที่ไม่ได้ใช้ Power over Ethernet นะครับ

เรื่องที่สองที่ต้องระวังคือเรื่องการรับสัญญาณ
นี่ก็ปวดหัว เพราะเชื่อไม๊ครับ laptop ยี่ห้อเดียวกัน รุ่นเดียวกัน แต่ซื้อจากร้านต่างกัน ความสามารถของ wireless adaptor (ซึ่งใช้มาตรฐาน centrino เหมือนกัน) ยังรับสัญญาณไวไม่เท่ากันเลย ทีนี้ลองคิดดูว่าถ้ามี laptop ต่างยี่ห้อ ต่างรุ่นกัน แล้วจะทำให้ทุกๆคนได้สัญญาณดีเท่ากัน จะน่าปวดหัวขนาดไหน เรื่องนี้ผมยังแก้ไม่ตก ได้แต่บอก user ว่ามันเป็ีนธรรมชาติอย่างนี้เอง ไม่ีรู้จะช่วยไงแล้ว :-(

เรื่อง roaming ระหว่าง access point
roaming คือการที่ wireless client มีการเคลื่อนที่ผ่าน access point มากกว่า 1 ตัว และมีการเปลี่ยนการติดต่อจาก access point ตัวนึงไปอีกตัวนึง ตรงนี้เรียกว่าการ roaming ซึ่งจะมีการ interrupt อยู่ช่วงหนึ่งเพราะต้องมีการ hand-off จาก access point ตัวแรกไปยังตัวที่สอง ซึ่งก็ต้องมีเรื่องที่ access point ต้องคุยกันเช่น การ authentication การเชื่อมต่อสัญญาณ etc.. ส่วนใหญ่ยังไม่เป็นปัญหารุนแรง อาจจะกระทบกับการ tranfer file บ้าง แต่ผมว่าส่วนใหญ่ถ้ามีการ tranfer file ผู้ใช้คงไม่เที่ยวยก laptop ไปไหนมาไหน แต่เรื่องนี้จะเป็นประเด็นใหญ่สำหรับการใช้ voice over wireless lan ซึ่งก็เริ่มมีการใช้กันแล้ว

เรื่อง roaming ระหว่าง subnet
ตอนนี้ก็มีสอง solution คือการใช้ Mobile IP ซึ่งเป็น RFC มาตรฐานแต่ไม่ค่อยจะเหมาะเพราะไม่ได้ออกแบบมาสำหรับ wireless ส่วนอีก solutionจะเป็น proprietary ของ vendor แต่ละเจ้า แต่ในอนาคตก็จะน่ามี standard ออกมารองรับ

โอ.. นี่ก็ 6 โมงเช้าแล้ว มิน่าตาผมทำไมหนักๆ ผมขออนุญาตต่อภาค 2 ละกันนะครับ ต้องขอตัวไปนอนก่อน ยังไม่ได้นอน จริงๆยังมีเรื่องสำคัญอีกเรื่องก็คือเรื่อง wireless switch vs wireless gateway เอาไว้คราวหน้านะครับ

รับสมัคร Network Engineer/ Consultant ครับ

ขอ update นิดนึงครับ (วันนี้วันที่ 12 july 2005) ว่ายังรับอยู่นะครับ ตอนนี้รับเพิ่มอีก 2 ตำแหน่งเป็น network consultant มีประสบการณ์ด้าน IT project management และสามารถเดินทางต่างจังหวัดเป็นครั้งคราวจะดีมากครับ

ถ้าได้ 2 ตำแหน่งนี้ผมคงมีเวลากลับมาเขียนเรื่องที่ผมค้างไว้ได้อีกครั้ง ตอนนี้งานเยอะมากครับ

ขอบคุณครับ

------------------------------------------------------------------------

วันนี้ขอนอกเรื่องนะครับ

ใครกำลังมองหางานด้าน network engineer หรือจะเป็น network consultant ส่ง resume มาที่ผมได้นะครับ

ตอนนี้บริษัทที่ผมทำงานซึ่งเป็น System Integrator กำลังขยายตัวอย่างมากและกำลังจะเป็น partner กับ บริษัทผลิตอุปกรณ์ network ที่ใหญ่และมีชื่อที่สุดของจีน เพื่อจะเจาะตลาด Networking กับ Wireless ในเมืองไทย

Qualification คร่าวๆก็

- เข้าใจ TCP/IP network และ LAN, WAN, Wireless, Security, VPN technologies เป็นอย่างดี
- คุ้นเคยกับการออกแบบ และ config อุปกรณ์ Cisco
- มีความคุ้นเคยในการทำงานแบบ Project Implementation ก็จะดีมากครับ
- CCNA มีก็ดี แต่ไม่เน้นครับ ส่ง Train ได้

ตำแหน่งที่รับก็จะมีตั้งแต่ network engineer, network specialist, และ network consultant ขึ้นอยู่กับประสบการณ์และความถนัดครับ
ี
ถ้าสนใจรายละเอียดก็ email มาหาผมได้ที่ Ciscoexpert2001@yahoo.com ครับ กำลังเปิดรับด่วนมากๆ

ขอบคุณครับ

ทำความเข้าใจกับ IEEE 802.1x and EAP

ที่จริงมีอีกหลายเรื่องมากที่ผมอยากเขียนถึงทั้งที่ตัวเองพอรู้และอยากรู้เพิ่มเติม แต่ดูเหมือนว่าตอนนี้คงไม่มีเรื่องไหน hot เท่าเรื่องเกี่ยวกับ security ผมก็เลยไปค้นๆดูว่าเรื่องไหนที่น่าสนใจดี ก็เลยเลือกเอาเรื่องของ IEEE 802.1x กับ EAP มาเล่าให้ฟังเพราะดูเป็นเรื่องที่มีคนพูดถึงมากทีเดียวโดยเฉพาะผู้ที่ต้องยุ่งเกี่ยวกับ security ใน wireless network โดยเฉพาะ security feature ที่ทุกคนกำลังรอคอยเช่น WPA, 802.11i ก็อาศัย 802.1x กับ EAP เป็นพื้นฐานของการทำ authentication ด้วย ในตอนท้ายของบทความนี้ ผมเอาตัวอย่างการ config มาให้ดูด้วย

เข้าใจที่มาของ IEEE 802.1x

ความคิดของการพัฒนา IEEE 802.1x ก็เพื่อการป้องกัน network ด้วยการที่เราสามารถระบุ(authenticate)ได้ว่าใครกำลังพยายามเข้ามาใช้ network หรือที่เรียกว่า Identity-based networking โดยรูปแบบที่ง่ายที่สุดก็คือการใช้ user ID (username + password) แต่ 802.1x ได้พัฒนาต่อยอดโดยเพิ่มความสามารถในการควบคุม access ในระดับ network และสามารถทำงานร่วมกับ authentication server ในการจำกัดความสามารถที่แต่ละคนได้รับ เช่น ถ้าเห็นว่า user เป็นวิศวกรก็ให้สามารถใช้ bandwidth ได้ 100 Mbps แต่ถ้า user เป็นนักบัญชีก็อาจให้ใช้ได้แค่ 10 Mbps

แล้วอะไรคือ IEEE 802.1x
802.1x เป็นมาตรฐานรับรองโดย IEEE สำหรับ port-based network access control หรือมาตรฐานที่ใช้ในการควบคุมการใช้งาน (access control) ทั้งการระบุผู้ที่สามารถเข้าใช้networkได้ (authentication) และระบุสิ่งหรือ resource ที่ผู้ใช้งานได้รับอนุญาติให้ใช้ได้ (authorization) ในระดับ port

port ในที่นี้ ถ้าเป็น wired LAN ก็จะหมายถึง physical port ของ switch ถ้าเป็น wireless LAN ก็คือการ association (ก็คือความสามารถในการติดต่อสื่อสาร) ระหว่าง client กับ access point ใน network แบบ …ไม่ใช่ TCP/IP port นะครับ


สังเกตุนิดนึงนะครับว่า 802.1X จะทำงานที่ layer 2 จึงทำให้อุปกรณ์networkจำเป็นต้องเป็น switch และเน้นการคุยกันแบบ point-to-pointเพราะฉะนั้นถ้ามี PCs หลายๆตัวต่อกับ Hub แล้วต่อกับ switch อีกที อย่างนี้ 802.1X ไม่work ครับ

Terminology
ก่อนจะลง details กัน เราต้องมารู้จักคำศัพท์ต่างๆที่ใช้ในโลกของ 802.1x ดูรูปประกอบนะครับ

(ถ้ารูปไม่ขึ้น ให้ไปที่ http://tnet.50megs.com/image002.jpg )




Supplicant คือ end-device ที่จะต้องถูก authenticate โดยส่วนใหญ่ก็คือ PC หรือ laptops ที่ users ใช้
Authenticator คือ อุปกรณ์ที่ทำหน้าที่ authenticate โดยจะคุยกับ Authentication server ว่าจะดำเนินการอย่างไรกับ supplicant ที่ต่อเข้ามา
Authentication Server คือ server ที่เก็บ database ของสิทธิ์ของ end-device หรือ users ต่างๆ ส่วนใหญ่ก็จะใช้ RADIUS server

อีกคำศัพท์ที่ควรรู้คือ PAE หรือ Port Access Entity ซึ่งหมายถึงส่วนที่ฝังอยู่ในอุปกรณ์ทั้ง 3 ตัวด้านบนที่ใช้ในกระบวนการที่เกี่ยวข้องกับ 802.1x เช่น software agent ที่ลงที่ supplicant หรือ service ใน authenticator (เช่น switch) เพราะฉะนั้น PAE จะไม่ได้เฉพาะเจาะจงถึง software หรืออุปกรณ์ใด

สุดท้ายก็คือ EAP หรือ Extensible Authentication Protocol ซึ่งเป็นหัวใจของ 802.1x ที่เราจะพูดถึงต่อไป


แล้ว 802.1x ทำงานอย่างไร

เริ่มต้นด้วยภาพการ authenticate ทั้ง flow คือตั้งแต่ supplicant (PC/ User) ผ่าน Authenticator (Switch หรือ Access point) จนถึง Authentication server (เช่น RADIUS server)

802.1x จะเน้น “วิธีการส่ง” “ข้อมูลการของการ authenticate” ระหว่าง supplicant (PC/User) กับ Authenticator (Switch/ Access point) ทีนี้คงพอเดาออกใช้ไม๊ครับว่า “ข้อมูลของการ authenticate” ก็คือ EAP นั่นเอง และ “การส่ง” ข้อมูล EAP นี้ 802.1x ใช้ protocol ที่เรียกว่า EAPOL หรือ EAP encapsulation over LAN

ทีนี้ระหว่าง Authenticator (Switch/ Access point) กับ Authentication server (เช่น RADIUS server) ก็จะคุยกันด้วย authentication protocol เช่น Radius โดย EAP จะถูก encapsulate ใน Radius อีกที

ดูรูปดีกว่านะครับ
(ถ้ารูปไม่ขึ้น ให้ไปที่ http://tnet.50megs.com/image003.gif )



ทีนี้มาดูกันใน details ว่า EAP ทำงานอย่างไรบ้างจากรูปนะครับ จะเห็นว่าเป็น 2-way challenge และ Authenticator จะเป็นคล้ายๆตัว relay message โดย supplicant จะถูก challenge ให้บอกข้อมูลว่าเป็นใคร (Identity) ซึ่งอาจเป็นได้ตั้งแต่ MAC address, ID, หรือ Certificate ต่างๆ แล้ว authenticator จะส่งข้อมูลนี้ผ่านไปยัง Authentication server (เส้นประสีเขียวในรูป)เพื่อตรวจสอบว่าจะอนุญาติให้ supplicant นี้ใช้งาน network ได้หรือไม่อย่างไร ถ้าถูกต้อง authenticator ก็จะเปิดให้ใช้ได้

OTP คือ One Time Password นะครับ

(ถ้ารูปไม่ขึ้น ให้ไปที่ http://tnet.50megs.com/image005.jpg)




การ configuration
เป็นตัวอย่างการ config ที่ Cisco switch นะครับ โดยเราต้อง enable AAA ซะก่อน และระบุว่าเราจะใช้ authentication แบบ 802.1x (“dot1x” ในชุดคำสั่ง) และใช้ Radius ( “group radius” ในชุดคำสั่ง)

Switch(config)# aaa new-model

Switch(config)# aaa authentication dot1x default group radius

หลังจากนั้นก็เข้าไปที่ระดับ interface เพื่อใช้งาน 802.1x

Switch(config)# interface fastethernet0/1

Switch(config-if)# dot1x port-control auto

ส่วนสุดท้ายก็ต้องระบุว่า Radius server ของเรา IP address อะไร และ encryption key คืออะไร

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123

ในตัวอย่างนี้ IP address ของ Radius server คือ 172.120.39.46 และ encryption key คือ rad123 ในตัวอย่างเราบอกว่าให้ใช้ port 1612 ในการคุยกับ Radius server

ถ้าเป็น Aironet ก็ง่ายมากเลยเพราะใช้ Web เข้าไป config ได้ครับ


ที่เหลือคือการ config ตัว supplicant (PC) กับ Radius server ซึ่งก็แตกต่างกันไป ขึ้นอยู่กับ software หรือ OS ที่ใช้ครับ

คิดว่าคงพอจะได้อะไรไปบ้างนะครับ ถ้าสงสัยอะไรก็ email ที่ ciscoexpert2001@yahoo.com อย่างเคย

การได้ Certificate จำเป็นแค่ไหน

การได้ Certificate จำเป็นแค่ไหน

ผมได้รับ comment ซึ่งpostใน blog ของผมเรื่องของการได้ certificateว่าคุ้มค่าหรือดีจริงแค่ไหน ที่จริงมันเป็นเรื่อง ที่เถียงกันมานานแล้วก็คงจะเถียงกันต่อไปอีกนาน พอดีช่วงนี้งานผมค่อนข้างเยอะ ว่าจะเขียนเกี่ยวกับ MPLS กับพวก wireless LAN ก็คงต้องขอเป็นคราวหน้า เลยคิดว่าจะขอคั่นด้วยเรื่องอ่าน (และเขียน :-) ) ง่ายๆ เกี่ยวกับมุมมองของผมในเรื่องนี้ให้อ่านกันเล่นๆ

ต้องบอกก่อนว่าผมมองจากประสบการณ์ของผมที่ได้ certificate ของ Cisco เป็นหลักนะครับ ท่านที่ได้ cert อย่างอื่นอาจมีมุมมองต่างไป

ทีนี้ถ้าถามผมว่า จำเป็นต้องได้ cert รึเปล่าในการทำงาน ผมคงตอบได้เลยว่าไม่จำเป็น แต่ถ้ามี cert ก็จะทำให้การทำงานใน หลายๆด้านง่ายขึ้น โดยเฉพาะเรื่องความน่าเชื่อถือ (แต่จะทำได้จริงรึเปล่าก็เป็นอีกประเด็นนึงนะครับ)

ทีนี้การได้ cert ดียังไง ผมก็ขอแบ่งเป็นมุมมองย่อยๆดังนี้

มุมมองแรก : ความภูมิใจส่วนตัว

ผมว่าทุกคนคงมีความรู้สึกเดียวกันคือความภูมิใจเวลาสอบผ่านแล้วได้ cert ไม่ว่าจะผ่านมาด้วยการอ่านหนังสือ แต่ไม่เคยทำ หรือทำแต่พวก test king แต่ถ้าถำด้วยตนเอง มันก็ภูมิใจใช่ไม๊ครับ

มุมมองสอง : การทำงาน

ผมอยากเปรียบเทียบระหว่างเมืองไทยกับอเมริกาก่อน คนที่ได้cert ที่อเมริกาดูจะได้ความนับถือมากกว่า ในเมืองไทยถ้าดูจากค่าตอบแทนและความง่าย ในการสมัครงาน อันนี้ผมคิดว่าเป็นเพราะธุรกิจที่นู่นให้ความสำคัญกับระบบIT มากกว่าเมืองไทยมาก เลยทำให้ตลาดงานใหญ่และบริษัทจะให้ความสำคัญกับบุคลากรIT มากกว่า ตอนผมทำงานที่นู่น การได้certificate เป็นการเบิกทางการทำงานที่ดีมากวิธีหนึ่ง โดยเฉพาะถ้าทำด้าน technical โดยตรง เพราะอย่างน้อย ก็เป็นสิ่งที่บอกได้ว่าอย่างน้อยเราก็รู้อะไรบ้าง

ทีนี้ในเมืองไทย ผมว่าตลาดให้ความสำคัญกับ certificate แต่ยังไม่ถึงจุดที่จะยอมให้ค่าตอบแทนที่ดึงดูดใจเพื่อให้คนมาสอบกันเยอะๆ ผมว่าตรงนี้เรายังน้อยกว่า Singapore หรือแม้กระทั่ง Malaysia ซะอีก

แต่อย่างไรก็ตามผมเชื่อว่าการมี cert ก็ทำให้ได้เปรียบกว่าคนที่ไม่มี คือมัน “sell” ตัวเองได้ง่ายว่าอย่างน้อยเราก็มีพื้นฐานสำหรับการทำงานใน field network แต่ตรงนี้ต้องเปรียบเทียบในกรณีที่ประสบการณ์หรือ ความสามารถด้านๆอื่นๆใกล้เคียงกันนะครับ อย่าไปเอาแบบว่าพึ่งจบได้ CCNA ไปเทียบกับคนทำงานเป็น 10 ปี เทียบไม่ได้นะครับ

มุมมองสาม : ความต้องการจากทางด้านธุรกิจ

ผมว่าตรงนี้เป็นจุดผลักดันที่สำคัญที่จะช่วยส่งเสริมเรื่องของความสำคัญของการได้ certificate ตัวอย่างที่เห็นได้ง่ายๆก็คือ Cisco จะกำหนดประเภทของ Partner ไว้เช่นแบบ Silver, Gold, Premier ซึ่งก็จะมีrequirements ว่า บริษัทที่จะเป็น partner ต้องมี CCNA, CCNP, CCIE, etc.. อย่างละกี่คน คล้ายๆว่าเป็นการบอกว่าเรามีคนเพียงพอที่สามารถทำงานได้จริงๆนะ หรืออย่างลูกค้าที่ผม deal ด้วยหลายรายก็จะถามว่า คุณมี CCIE อยู่ในทีมรึเปล่า อะไรทำนองนี้ เพื่อเป็นการสร้างความมั่นใจให้กับเค้า

สรุป

ถ้าทำงานด้าน technical นะครับ ผมก็สนับสนุนให้มี cert ติดตัวไว้ไม่เสียหาย (แต่อาจเสียตังบ้าง) คิดซะว่าเป็นการทดสอบความสามารถเรา แล้วถ้าได้ cert มันก็เป็นประวัติที่ได้เปรียบชาวบ้านเค้านิดนึง แต่อย่าลืมว่าต้องพัฒนาความสามารถด้านอื่นๆด้วยนะครับ อย่าคิดว่าเรามี cert แล้วเก่งที่สุดในโลก คงไม่ใช่นะครับเพราะมีอีกหลายๆคนที่เค้าไม่มี cert แต่ก็เก่งเหมือนกัน

ลองอ่านดู : ประสบการณ์จากการสอบ CCIE

ผมพึ่งได้ email จากเพื่อนชาวอเมริกาว่าเค้าสอบได้ CCIE แล้ว น่าตื่นเต้นและ
ยินดีมากๆสำหรับผมและเพื่อน เพื่อนผมคนนี้รู้จักกันสมัยผมทำงานด้าน network ที่ Chicago 4-5 ปีมาแล้ว ผมได้สอบ CCIE ก่อนแต่ไม่ผ่านแล้วก็เลิกพยายามไปโดยปริยาย ส่วนเพื่อนผมสอบ CCIE 3 ครั้งแล้วพึ่งมาได้ครั้งที่ 3 นี้เอง ผมเลยคิดว่าน่าจะเอาประสบการณ์การสอบ CCIE มาเล่าสู่กันฟัง

อะไรคือ CCIE

CCIE หรือ Cisco Certified Internetwork Expert เป็น certificate ขั้นสูงสุดของ Cisco ปัจจุบันมีแยกออกเป็นหลาย track เช่น Routing/Switching, Security, Voice, Service Provider, และ Storage Networking.. ผู้ที่ได้ CCIE จะได้ความยอมรับอย่างมากๆ เพราะเป็น certificate ที่มีมานานและขึ้นชื่อว่าข้อสอบหินมาก ผู้ที่สอบผ่านย่อมไม่ใช่ธรรมดา J

ทำไมต้อง CCIE

ในอเมริกา (และอีกหลายๆที่ในโลก แต่ผมไม่แน่ใจสำหรับเมืองไทย ใครรู้ช่วยบอกมาด้วยก็ดีครับ) คนที่ได้ CCIE เนี่ยะจะได้เงินเดือนเยอะมาก ขั้นต่ำก็ 100,000USD ต่อปี (ถ้าอยากรู้ว่ามาก ยังไงก็ลอง เปรียบเทียบ กับค่าครองชีพง่ายๆว่า Honda Accord ขายใน อเมริกาประมาณ 20,000 USD เพราะฉะนั้น CCIE ก็ซื้อรถ Accord ได้ 5 คัน แต่ตอนนี้เงินเดือนผมทั้งปีในเมืองไทยยังซื้อ Accord ซักคันยังไม่ได้เลย แฮะๆๆ) และหางานได้ง่ายมากๆด้วยเพราะที่ไหนก็รับ หรือบางทีก็เป็น Freelance consultant ก็ได้

CCIE ยากยังไง

การสอบเพื่อที่จะได้ CCIE จะมี 2 ส่วนคือสอบข้อเขียนและสอบ lab ซึ่งเป็นการพิสูจน์ว่าไม่ใช่เข้าใจแค่ theory หรือแค่จำมา แต่ต้องสามารถนำมาใช้จริงได้ด้วย

สอบข้อเขียนก็ประมาณ 100 ข้อ 2 ชั่งโมง เนื้อหาครอบคลุม networking technology ที่ใช้ใน ปัจจุบัน เกือบทั้งหมด ตั้งแต่ OSI theory, IP, IP routing protocols ทั้งหมด, WAN protocols, DLSW, VLAN, security, VPN, voice, wireless, multicast, etc.. ถ้าสอบผ่าน คุณก็จะมีสิทธิ์ได้สอบ CCIE lab ซึ่งต้องจองวันสอบล่วงหน้าเพราะสถานที่สอบจะมีประมาณแค่ 10 ที่ทั่วโลกแล้วก็จะเต็มเร็ว สำหรับใน Asia ก็จะมีที่ Hong Kong, จีน, India (ไม่แน่ใจว่า Singapore มีรึเปล่า)

CCIE Lab Exam

สมัยก่อน CCIE Lab จะสอบ 2 วันแยกกันชัดเจนว่าวันแรกเป็นการ setup complex IP network ส่วนวันที่สองจะเป็น troubleshooting กับ Non-IP labs แต่เมื่อประมาณปี 2001 Cisco ตัดสินใจลดให้ CCIE lab เหลือเพียง 1 วัน (8 ชั่วโมง) ซึ่งตอนนั้นฮือฮามากในแวดวงคนnetwork บางคนก็บอกว่าสงสัย CCIE Lab จะง่ายขึ้นและความ”ศักดิ์สิทธิ์” ของ CCIE ก็จะน้อยลง ส่วนCiscoก็ได้เงินเพิ่มแหงๆ เพราะ ศูนย์สอบจะว่างเร็วขึ้น ค่าสอบ lab นี่ 1,250 USD นะครับ เป็นรายได้เสริมของ Cisco ที่ไม่เลวมีเดียว

ทีนี้ในห้องสอบก็จะคล้ายๆกับ data center จะมี rack ให้กับผู้สอบ 1 rack ต่อ 1 คน ใน rack ก็จะมี ีอุปกรณ์ของ Cisco ใน rack เป็น router รุ่น 2600, 3600, 3700, switch รุ่น 3550 แล้วก็จะมี CD Doc จาก Cisco ให้เผื่อต้องการหาข้อมูล

ใน lab ก็จะมีผู้ดูแลที่เรียกว่า Proctor ซึ่งจะเป็นคนให้โจทย์ คอยตอบคำถามที่เราไม่แน่ใจ แต่ห้ามถาม ว่าข้อนี้ทำยังไงนะครับ คงโดนด่ากลับมา แล้วก็เป็นคนตรวจว่าเราทำถูกกี่ข้อได้กี่คะแนน ที่สำคัญคือไม่มี partial grade นะครับ คือต้องทำให้ถูกสมบูรณ์เท่านั้นแล้วจะได้คะแนนเต็ม ถ้าไม่สมบูรณ์ก็ศูนย์ (ผมโดน มาแล้ว คำสั่งให้มีการconfig access-list แบบพิศดาร ผมก็มั่นใจว่าทำได้แน่ๆ แต่ปรากฎว่าได้ศูนย์เพราะลืม apply ที่ระดับ Interface!!! เจ็บใจมากๆๆๆ) ปัจจุบันพอสอบเสร็จ Cisco ก็จะ email ผลให้ในวันรุ่งขึ้นว่า คุณได้หรือตก ถ้าได้ ได้CCIE number อะไร แต่ยังไม่จบครับ คนได้CCIE ต้องสอบข้อเขียนเพื่อ recertify ทุกๆ 2 ปี ไม่งั้นโดนยึดCCIEคืน

คำถามก็จะไม่บอกตรงๆนะครับว่าต้องconfig อย่างนู้นอย่างนี้ แต่คล้ายๆให้ requirements แล้วต้องตีโจทย์ออกมาเช่น

1) Configure R2, R3 and R4 as BGP peers such that, R2 and R3 only speak to R4. R2 should not exchange BGP updates with R3. Use the loopback addresses as the neighbor addresses for these three routers, and make sure that the router ID that appears in BGP updates is always the loopback interface. Do not configure BGP to advertise any networks found inside of AS200, and do not disable BGP synchronization on any routers.

อันนี้ไม่ใช้ข้อสอบจริงนะครับ ผมลอกมาจากพวก CCIE boot camp lab เพื่อให้เห็นว่า คำถามเป็น ลักษณะยังไง

ประสบการณ์สอบจริง !!

ทีนี้มาเล่าของจริง เริ่มของผมก่อนละกัน ตอนนั้น (4-5 ปีที่แล้วนะครับ) ผมอยู่ Chicago และต้อง บินไปสอบที่ RTP (Research Triangle Park) ซึ่งเป็นศูนย์สอบ ทางด้านตะวันออก ของอเมริกาและเป็น regional office ที่ใหญ่มากของ Cisco ผมไปถึงก่อนหนึ่งคืนเพื่อเตรียมตัว คืนนั้นนอน ไม่ค่อยหลับ เพราะตื่นเต้นมาก ตอนเช้าตื่นและขับรถจากโรงแรมไปถึงที่สอบแต่เช้าประมาณ 7 โมง ปรากฎว่า ไม่ได้เป็นคนแรกแฮะ มีคนรออยู่แล้ว 3-4 คน ทักทายกันเป็นพิธีให้หายตื่นเต้น แล้วผมก็เดินสำรวจ facility ที่สอบเพื่อรอ proctor เรียกเข้าห้อง ระหว่างสำรวจผมเห็น VoIP phone ของ Cisco ที่เอามาใช้ใน officeจริงๆเป็นครั้งแรกก็ร้องโอโหในใจว่าทันสมัยจริงๆ ว่าจะลองโทร check คุณภาพเสียง แต่ proctor ออกมาเรียกเข้าห้องก่อน

พอเข้าห้อง proctor ก็ให้booklet ที่เป็นโจทย์มา แน่นอนว่าอ่านเสร็จก็มึนตึ้บ ก็เล่นให้ config BGP, EIGRP, OSPF, RIP แล้วก็ทำ mutually redistribution แบบไม่ธรรมดาระหว่าง classfull vs classless (ไม่ใช่แค่พวก distribution-list หรือ route-map นะครับ) summarization แถมมี authentication ด้วย คือต้องรู้จักแทบทุก features ของ routing protocols โดยเฉพาะ BGP กับ OSPF เนียะมีทุกfeatures แต่ก็ผ่านวันแรกด้วยดี วันรุ่งขึ้นกลับมา Proctor ก็บอกว่าคะแนนผมผ่านเข้าไปทำlabวันที่สองได้ ซึ่งมีแค่ 2 คนในกลุ่มผมจาก 7 คน วันที่สองนี่โจทย์จะว่ายากก็ยาก ง่ายก็ง่ายนะครับคือมันเป็น lab ที่ต้องconfig technology ที่ผมไม่คุ้นคือ DLSw, VoIP, Multicast ซึ่งถ้าใครใช้อยู่ในชีวิตประจำวันก็คงจะทำได้โดยง่าย กับพวกfeatureที่ผมคิดว่ามัน “basic” เช่น access-list, logging, ntp, snmp, nat, เช่นให้ config access-list ที่ blockเฉพาะ network ที่เป็นเลขคู่ access-listบรรทัดเดียวนะครับ หรืออย่างconfig ntp และมี authenticationด้วย แต่ปรากฏว่าทำไม่ได้ ก็เลยตกในวันที่สองนี่เอง โชคดีที่บริษัท ผมออก ค่าใช้จ่ายทั้งหมดถึงแม้ว่าจะไม่ผ่าน ก็บินกลับChicagoเย็นวันนั้นเลย

ทีนี้ประสบการณ์ของเพื่อนผมซึ่งสอบมาทั้งแบบ 2-day format และแบบปัจจุบัน 1-day format จากที่คุยกันเพื่อนผมเค้าชอบแบบ 1-day format มากกว่า เพราะง่ายกว่า J แฮะๆ พูดเล่นครับ คือมันก็ยังยากอยู่ดี แต่ว่ามัน “compressed and challenge” ผมก็เลยไม่รู้ว่าจะแปลว่าอะไรดี ข้อสอบที่เค้าได้จะโดนเรื่อง BGP กับ OSPF แบบลึกๆเลย แล้วก็แน่นอนว่าต้องเป็น Frame relay สำหรับ run OSPF มีการ setup VLAN/Trunking กับเรื่องของ bridging บน 3550 ด้วย แต่ที่น่าสนใจคือการ config IPv6 ซึ่งเป็นเรื่องใหม่ แต่เพื่อนผมบอกว่าไม่ยาก แค่ basic setup (!!) ที่เหลือก็เป็นfeaturesบน router ที่ไม่ใช่การ routing เช่น ipsec, nat, mobile ip, qos, etc.. เพื่อนผมทำเสร็จก่อนประมาณ 30 นาทีแต่เค้าบอกว่าเค้าไม่ตรวจเพราะคิดว่าถึงผิดก็คงแก้ไขไม่ได้แล้วเพราะconfigมันพันนัวเนียไปหมด ก็เลยออกจากห้องสอบคนแรก!! แต่ในที่สุดเค้าก็ผ่านหลังจากการพยายาม 3 ครั้ง และเตรียมตัว 6 เดือนเต็มสำหรับการสอบครั้งนี้ สุดยอดมากๆ

สรุป

สำหรับผู้ที่อยู่ในการเดินทางเพื่อจะเป็น CCIE ผมก็ขอให้กำลังใจช่วยเพราะรู้ดีว่าต้องเหนื่อย ลงทุนลงแรกและอดทนในการเตรียมตัวอย่างไร แต่จากประสบการณ์การทำงานในแวดวง IT จนถึงปัจจุบัน การเป็นCCIEก็อาจไม่ใช่คำตอบที่ถูกต้องที่สุดสำหรับทุกคนในชีวิตการทำงานนะครับ ผมเคยทำงานกับ CCIE หลายสิบคน (แต่ยังไม่เคยทำงานกับ CCIE คนไทยนะครับ) ผมว่าการทำให้ CCIEทำงาน เพื่อเรานี่สนุกกว่า และท้าทายกว่านะครับ ความคิดส่วนตัวนะครับแฮะๆๆ แต่ไม่สงวนลิขสิทธิ์

มีwebsite ที่ดีมากสำหรับผู้ที่จะสอบ Cisco certificate ทั้งหลาย ลองเข้าไปดูที่ www.groupstudy.com แล้วเข้าไปดูที่ Archive นะครับ

Tips น่ารู้สำหรับCisco router

พอดีช่วงนี้ผมเตรียมสอน course BSCI เลยยังไม่มีเวลาอย่างที่ใจอยากเพื่อเขียน article ยาวๆ เพราะต้องใช้เวลาเตรียมตัวมากในการ setup lab และทบทวนความรู้ด้วย โดยเฉพาะ IS-IS เนี่ยะต้องรื้อฟื้นนานหน่อย ก็เลยคิดว่าจะเขียนอะไรสั้นๆ ให้อ่านกันเล่นๆก่อนนะครับ โดยรวบรวมคำสั่งเล็กๆน้อยๆที่น่าจะทำให้การ config และใช้งาน router สะดวกมากขึ้น

Alias
คำสั่งนี้ผมต้องมีติดตัวตลอดเลย เป็นคำสั่งที่ช่วยทำให้เราไม่ต้องพิมพ์คำสั่งยาวๆโดยเฉพาะพวกคำสั่งของ OSPF และ BGP หรืออื่นๆ รูปแบบคำสั่งคือ alias exec [ชื่อที่เราต้องการ ตามใจเราครับ] [คำสั่งจริงของ router] เช่น ผมใช้
!
alias exec sr show ip route
!
ทีนี้ผมแค่พิมพ์
Router#sr
ก็จะได้เหมือนกับคำสั่ง show ip route

หรืออีกตัวอย่างนึงเช่น
!
alias exec son show ip ospf neighbor
!
ผมแค่พิมพ์
Router#son
ก็จะเหมือนคำสั่ง show ip ospf neighbor หรือผมพิมพ์
Router#son detail
ก็จะได้เหมือนคำสั่ง show ip ospf neighbor detail

Logging synchronous
เคยไม๊ครับเวลาที่เราพิมพ์คำสั่งอยู่ยังไม่จบ แล้วมี log output มาขัดจังหวะ ทำให้เราต้องเสียเวลามานั่งพิมพ์ใหม่ เราแก้ปัญหาได้โดยการใช้คำสั่ง logging synchronization โดยrouterจะเอาคำสั่งที่เราพิมพ์ค้างไว้มาขึ้นให้เราใหม่ รูปแบบคำสั่งเช่น
!
line con 0
logging synchronous
!
ลองดูครับ คิดว่าน่าจะชอบกัน

Ctrl+Shift+6, x
อันนี้เอาไว้ใช้เวลาที่ต้องการหยุดหรือ abortการทำงานของ process บน router เช่นสมมุติเราtraceroute แล้วต้องการที่จะหยุดก่อนที่tracerouteจะครบถ้วน เราก็กดปุ่ม Ctrl ปุ่ม Shift และปุ่ม 6 ค้างไว้ (3 ปุ่มค้างนะครับ) ปล่อย แล้วก็ปุ่ม x ต่อทันที หรืออย่างกรณีที่เราlog onอยู่ที่ router A และtelnetจากrouterA ไปrouterB แล้วต้องการกลับมาที่ routerA โดยไม่ได้terminate session ของrouterB เราก็ทำ Ctrl+Shift+6, x ได้เหมือนกัน

Loopback interface
Loopback interface เป็น interfaceเสมือน คือไม่ใช่interfaceที่จับต้องได้จริงๆ เป็นinterface ที่เราสามารถสร้างขึ้นมาด้วยการพิมพ์คำสั่ง interface แล้วต่อด้วย loopback 0 เช่น
!
interface loopback 0
ip address 1.1.1.1 255.255.255.0
!
ถ้าต้องการมากกว่าหนึ่ง loopback interface เราก็สามารถมี loopback1, loopback2, loopback3.. ได้ (ผมไม่แน่ใจว่ามี limit หรือเปล่า แต่ก็ได้เป็น 100 นะครับ)

ทีนี้คุณสมบัติของ loopback interface ก็คือ status ของมันจะ “up, up” เสมอตราบใดที่routerยังทำงานอยู่ปกติ สมมุติrouterเรามี 2 serial interfaces แล้วผมต้องการที่จะ telnetไปที่ router แทนที่ผมจะ telnet โดยใช้ ip address ของ serial interfaces ผมก็ใช้ ip address ของ loopback interface โดยที่ผมไม่ต้องคำนึงว่า serial interface ของผมจะ up หรือเปล่า (อย่าลืมว่าคุณต้องconfigให้ routing protocol รวม ip address ของ loopback address ใน routing update ซะก่อน)

สำหรับ network ที่ใช้ routing protocol เช่น OSPF, EIGRP, BGP, หรือ IS-IS ผมแนะนำอย่างยิ่งว่าควรใช้ loopback interface เพราะ routing protocol เหล่านี้ใช้addressของ loopback interface เป็น router-ID อย่าปล่อยให้routing protocol เลือก router-ID เองจาก ip addressของ interfaces อื่น (โดยปกติถ้าrouter ไม่มี loopback interface routing protocol จะเลือกip address ที่สูงที่สุดบน router เป็น router-ID) เพราะจะทำให้การ troubleshoot ลำบากโดยเฉพาะ network ขนาดใหญ่ ดังนั้นในการออกแบบ ip address scheme ที่ดี เราควรต้องคิดถึง address range สำหรับ loopback interfaces ด้วย


Clear ip route *
อันนี้เอาไว้ใช้ troubleshootนะครับและไม่ควรลองเล่นบน production router เพราะคำสั่งนี้จะ clear routing table ทั้งหมดและเหมือนสั่งให้ routing protocol ทำการ update routing ใหม่ทั้งหมด เวลาที่ผม troubleshoot ผมก็จะเปิด debug ที่ผมต้องการแล้วก็ใช้ clear ip route * แล้วเราก็จะเห็นการupdate routingว่าเป็นไปอย่างที่เราต้องการหรือมีอะไรตกหล่นไป

DNS
ก็ง่ายๆนะครับ ถ้าไม่มีความจำเป็นต้องใช้ DNS ในการ resolve name ก็ปิด DNS name resolution ใน router ด้วยคำสั่ง no ip domain-lookup ซะเพราะไม่งั้นถ้าเราพิมพ์คำสั่งผิด routerจะคิดว่าคำสั่งที่พิมพ์ผิดนั้นเป็นชื่อของ hostตัวใดตัวหนึ่ง และจะพยายามติดต่อกับ DNS server เพื่อ resolveชื่อ และถ้าเราไม่ได้ config ให้ router รู้จัก DNS แล้ว เราจะต้องรอจนกว่า router จะรู้ว่ามันไม่รู้จักDNS server และปล่อยให้เราพิมพ์คำสั่งต่อไป

ถ้าเรามี DNS serverและต้องการให้routerคุยกับDNS server เพื่อ resolveชื่อ เราก็สามารถทำได้โดยใช้คำสั่ง ip name-server เช่น
ip name-server 1.2.3.4