Enterprise Network Function Virtualization Infrastructure Software

ထုတ်ကုန်အချက်အလက်

သတ်မှတ်ချက်များ

• NFVIS ဆော့ဖ်ဝဲဗားရှင်း- 3.7.1 နှင့်အထက်
• RPM လက်မှတ်ရေးထိုးခြင်းနှင့် လက်မှတ်အတည်ပြုခြင်းတို့ကို ပံ့ပိုးထားသည်။
• လုံခြုံသော boot ကို ရနိုင်သည် (ပုံမှန်အားဖြင့် ပိတ်ထားသည်)
• Secure Unique Device Identification (SUDI) ယန္တရားကို အသုံးပြုသည်။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

NFVIS ဆော့ဖ်ဝဲသည် အမျိုးမျိုးသော လုံခြုံရေးကို အာမခံသည်။
ယန္တရားများ

• ပုံ Tamper Protection- RPM လက်မှတ်ထိုးခြင်းနှင့် လက်မှတ်အတည်ပြုခြင်း။
  ISO ရှိ RPM ပက်ကေ့ဂျ်အားလုံးအတွက် နှင့် ပုံများကို အဆင့်မြှင့်ပါ။
• RPM လက်မှတ်ရေးထိုးခြင်း- Cisco Enterprise NFVIS ISO ရှိ RPM ပက်ကေ့ဂျ်အားလုံး
  နှင့် အဆင့်မြှင့်ထားသော ပုံများကို ကုဒ်ဝှက်ခြင်းဆိုင်ရာ ခိုင်မာမှုရှိစေရန်နှင့် လက်မှတ်ရေးထိုးထားသည်။
  စစ်မှန်မှု။
• RPM လက်မှတ်အတည်ပြုခြင်း- RPM ပက်ကေ့ဂျ်အားလုံး၏ လက်မှတ်ဖြစ်သည်။
  ထည့်သွင်းခြင်း သို့မဟုတ် အဆင့်မြှင့်ခြင်းမပြုမီ စစ်ဆေးအတည်ပြုပါ။
• ရုပ်ပုံ ခိုင်မာမှု အတည်ပြုခြင်း- Cisco NFVIS ISO ပုံ၏ ဟက်ရှ်
  နှင့် အပိုဆောင်းများ၏ ခိုင်မာမှုရှိစေရန်အတွက် အဆင့်မြှင့်ထားသောပုံကို လွှင့်တင်ထားသည်။
  RPM မဟုတ်သော files.
• ENCS Secure Boot- UEFI စံနှုန်း၏ တစ်စိတ်တစ်ပိုင်း၊ သေချာပါသည်။
  စက်ပစ္စည်းသည် ယုံကြည်စိတ်ချရသောဆော့ဖ်ဝဲကို အသုံးပြု၍သာ စတင်သည်။
• Secure Unique Device Identification (SUDI)- စက်ပစ္စည်းကို ပံ့ပိုးပေးသည်။
  ၎င်း၏ စစ်မှန်မှုကို အတည်ပြုရန် မပြောင်းလဲနိုင်သော အထောက်အထားတစ်ခုနှင့်။

တပ်ဆင်ခြင်း။

NFVIS ဆော့ဖ်ဝဲကို ထည့်သွင်းရန်၊ ဤအဆင့်များကို လိုက်နာပါ-

1. ဆော့ဖ်ဝဲပုံသည် t မဟုတ်ကြောင်း သေချာပါစေ။ampဖြင့်ဖန်တီးခဲ့သည်။
   ၎င်း၏ လက်မှတ်နှင့် ခိုင်မာမှုကို စစ်ဆေးခြင်း။
2. Cisco Enterprise NFVIS 3.7.1 နှင့် နောက်ပိုင်းတွင် အသုံးပြုပါက သေချာပါစေ။
   တပ်ဆင်နေစဉ်အတွင်း လက်မှတ်အတည်ပြုခြင်း ဖြတ်သန်းသွားသည်။ အဆင်မပြေရင်၊
   installation ကိုဖျက်သိမ်းလိမ့်မည်။
3. Cisco Enterprise မှ NFVIS 3.6.x ကို အဆင့်မြှင့်တင်မည်ဆိုပါက ဖြန့်ချိရန်
   3.7.1၊ အဆင့်မြှင့်တင်မှုအတွင်း RPM လက်မှတ်များကို စစ်ဆေးအတည်ပြုပါသည်။ အကယ်၍
   လက်မှတ်အတည်ပြုခြင်း မအောင်မြင်ပါ၊ အမှားအယွင်းတစ်ခု မှတ်တမ်းဝင်ထားသော်လည်း အဆင့်မြှင့်ခြင်းဖြစ်ပါသည်။
   ပြီးပါပြီ။
4. Release 3.7.1 မှ နောက်ပိုင်းထွက်ရှိမှုများသို့ အဆင့်မြှင့်တင်ပါက RPM ရှိသည်။
   အဆင့်မြှင့်ထားသောပုံကို မှတ်ပုံတင်သည့်အခါ လက်မှတ်များကို အတည်ပြုသည်။ အကယ်လို့
   လက်မှတ်အတည်ပြုခြင်း မအောင်မြင်ပါ၊ အဆင့်မြှင့်တင်မှုကို ဖျက်သိမ်းလိုက်ပါသည်။
5. Cisco NFVIS ISO ပုံ၏ hash ကို စစ်ဆေးပါ သို့မဟုတ် အဆင့်မြှင့်ထားသော ပုံ
   command ကိုအသုံးပြု: /usr/bin/sha512sum
<image_filepath>. ထုတ်ဝေထားသော hash နှင့် နှိုင်းယှဉ်ပါ။
   သမာဓိရှိစေရန် hash။

လုံခြုံသော Boot

Secure boot သည် ENCS တွင်ရနိုင်သောအင်္ဂါရပ်တစ်ခု (မူလအားဖြင့်ပိတ်ထားသည်)
၎င်းသည် ယုံကြည်စိတ်ချရသောဆော့ဖ်ဝဲလ်ကို အသုံးပြု၍ စက်ကိုသာ boot တက်ကြောင်းသေချာစေသည်။ ရန်
လုံခြုံသော boot ကိုဖွင့်ပါ-

1. ပိုမိုသိရှိနိုင်စေရန်အတွက် Secure Boot of Host ပေါ်ရှိ စာရွက်စာတမ်းအား ကိုးကားပါ။
   အချက်အလက်
2. သင့်တွင် လုံခြုံသော boot ကိုဖွင့်ရန် ပေးထားသည့် ညွှန်ကြားချက်များကို လိုက်နာပါ။
   ကိရိယာ။

လုံခြုံသော သီးသန့်စက်ပစ္စည်း သက်သေခံခြင်း (SUDI)

SUDI သည် NFVIS ကို မပြောင်းလဲနိုင်သော အထောက်အထားတစ်ခုဖြင့် ပံ့ပိုးပေးသည်၊ ၎င်းကို အတည်ပြုသည်။
၎င်းသည် စစ်မှန်သော Cisco ထုတ်ကုန်တစ်ခုဖြစ်ပြီး ၎င်း၏အသိအမှတ်ပြုမှုကို အာမခံပါသည်။
ဖောက်သည်၏စာရင်းစနစ်။

အမြဲမေးလေ့ရှိသောမေးခွန်းများ

မေး- NFVIS ဆိုတာဘာလဲ။

A- NFVIS သည် Network Function Virtualization ကို ကိုယ်စားပြုသည်။
အခြေခံအဆောက်အဦဆော့ဖ်ဝဲ။ ၎င်းသည် အသုံးချရန် အသုံးပြုသည့် ဆော့ဖ်ဝဲပလပ်ဖောင်းတစ်ခုဖြစ်သည်။
နှင့် virtual network လုပ်ဆောင်ချက်များကို စီမံခန့်ခွဲပါ။

မေး- NFVIS ISO ရုပ်ပုံ၏ မှန်ကန်မှုကို မည်သို့အတည်ပြုနိုင်မည်နည်း။
ပုံအဆင့်မြှင့်မလား။

A- ခိုင်မာမှုကို အတည်ပြုရန်၊ အမိန့်ကို အသုံးပြုပါ။
/usr/bin/sha512sum <image_filepath> နှိုင်းယှဉ်ပါ။
Cisco မှ ထုတ်ပေးထားသော hash နှင့် hash။

မေး- ENCS တွင် မူရင်းအတိုင်း လုံခြုံသောဖွင့်ခြင်းကို ဖွင့်ထားပါသလား။

A- မဟုတ်ပါ၊ ENCS တွင် ပုံမှန်အားဖြင့် လုံခြုံသောဖွင့်ခြင်းကို ပိတ်ထားသည်။ အဲဒါ
ပိုမိုကောင်းမွန်သော လုံခြုံရေးအတွက် secure boot ကိုဖွင့်ရန် အကြံပြုထားသည်။

မေး- NFVIS မှာ SUDI ရဲ့ ရည်ရွယ်ချက်က ဘာလဲ။

A- SUDI သည် NFVIS ကို တစ်မူထူးခြားပြီး မပြောင်းလဲနိုင်သော အထောက်အထားတစ်ခုဖြင့် ပံ့ပိုးပေးသည်၊
Cisco ထုတ်ကုန်တစ်ခုအနေဖြင့် ၎င်း၏ စစ်မှန်မှုကို အာမခံပြီး ၎င်းကို လွယ်ကူချောမွေ့စေပါသည်။
ဖောက်သည်၏စာရင်းစနစ်တွင် အသိအမှတ်ပြုမှု။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ
ဤအခန်းသည် NFVIS ရှိ လုံခြုံရေးအင်္ဂါရပ်များနှင့် ထည့်သွင်းစဉ်းစားမှုများကို ဖော်ပြသည်။ အထက်တန်းအဆင့်ကို ပေးသည်။view သင့်အတွက် သီးခြားဖြန့်ကျက်မှုများအတွက် လုံခြုံရေးဗျူဟာတစ်ခုစီစဉ်ရန် NFVIS ရှိ လုံခြုံရေးဆိုင်ရာ အစိတ်အပိုင်းများ။ ကွန်ရက်လုံခြုံရေး၏ အဓိကအစိတ်အပိုင်းများကို လိုက်နာရန် လုံခြုံရေး အကောင်းဆုံးအလေ့အကျင့်များဆိုင်ရာ အကြံပြုချက်များလည်း ပါရှိသည်။ NFVIS ဆော့ဖ်ဝဲလ်သည် ဆော့ဖ်ဝဲလ်အလွှာအားလုံးမှတဆင့် တပ်ဆင်မှုမှ ချက်ချင်းထည့်သွင်းထားသော လုံခြုံရေးရှိသည်။ နောက်ဆက်တွဲအခန်းများသည် အထောက်အထားစီမံခန့်ခွဲမှု၊ သမာဓိနှင့်amper ကာကွယ်မှု၊ စက်ရှင်စီမံခန့်ခွဲမှု၊ လုံခြုံသောစက်ပစ္စည်းဝင်ရောက်ခွင့်နှင့် အခြားအရာများ။

· စာမျက်နှာ 2 တွင် ထည့်သွင်းခြင်း · စာမျက်နှာ 3 တွင် သီးသန့်ထူးခြားသော စက်ပစ္စည်း အထောက်အထားကို လုံခြုံအောင် တပ်ဆင်ခြင်း · စာမျက်နှာ 4 တွင် စက်ပစ္စည်းဝင်ရောက်ခြင်း

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

တပ်ဆင်ခြင်း။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

· စာမျက်နှာ 22 ရှိ အခြေခံအဆောက်အအုံ စီမံခန့်ခွဲမှုကွန်ရက် · ပြည်တွင်း၌ သိမ်းဆည်းထားသော အချက်အလက်ကာကွယ်ရေး၊ စာမျက်နှာ 23 · File စာမျက်နှာ 24 တွင် လွှဲပြောင်းခြင်း · စာမျက်နှာ 24 တွင် မှတ်တမ်းတင်ခြင်း · Virtual Machine လုံခြုံရေး၊ စာမျက်နှာ 25 ရှိ VM Isolation and Resource provisioning စာမျက်နှာ 26 · Secure Development Lifecycle၊ စာမျက်နှာ 29 ရှိ

တပ်ဆင်ခြင်း။
NFVIS ဆော့ဖ်ဝဲလ်သည် t မဟုတ်ကြောင်းသေချာစေရန်ampအောက်ဖော်ပြပါ ယန္တရားများကို အသုံးပြု၍ ထည့်သွင်းခြင်းမပြုမီ ဆော့ဖ်ဝဲပုံအား စစ်ဆေးအတည်ပြုပါသည်။

ပုံ Tamper ကာကွယ်မှု
NFVIS သည် ISO ရှိ RPM ပက်ကေ့ဂျ်အားလုံးအတွက် RPM လက်မှတ်ရေးထိုးခြင်းနှင့် လက်မှတ်အတည်ပြုခြင်းကို ပံ့ပိုးပေးပြီး ပုံများကို အဆင့်မြှင့်ပါ။

RPM လက်မှတ်ထိုးခြင်း။

Cisco Enterprise NFVIS ISO ရှိ RPM ပက်ကေ့ဂျ်အားလုံးနှင့် ပုံများကို အဆင့်မြှင့်ထားသော ပုံများကို ကုဒ်ဖော်ပြခြင်းဆိုင်ရာ သမာဓိနှင့် စစ်မှန်မှုရှိစေရန် လက်မှတ်ရေးထိုးထားသည်။ ၎င်းသည် RPM ပက်ကေ့ဂျ်များ t မဟုတ်ကြောင်းအာမခံသည်။ampered နှင့် RPM ပက်ကေ့ခ်ျများသည် NFVIS မှဖြစ်သည်။ RPM ပက်ကေ့ဂျ်များကို လက်မှတ်ထိုးရန်အတွက် အသုံးပြုသည့် သီးသန့်သော့ကို Cisco မှ ဖန်တီးပြီး လုံခြုံစွာ ထိန်းသိမ်းထားသည်။

RPM လက်မှတ်အတည်ပြုခြင်း။

တပ်ဆင်ခြင်း သို့မဟုတ် အဆင့်မြှင့်ခြင်းမပြုမီ NFVIS ဆော့ဖ်ဝဲသည် RPM ပက်ကေ့ဂျ်အားလုံး၏ လက်မှတ်ကို စစ်ဆေးသည်။ တပ်ဆင်မှု သို့မဟုတ် အဆင့်မြှင့်တင်မှုအတွင်း လက်မှတ်အတည်ပြုခြင်း ပျက်ကွက်သည့်အခါ အောက်ပါဇယားတွင် Cisco Enterprise NFVIS အပြုအမူကို ဖော်ပြသည်။

ဇာတ်လမ်း

ဖော်ပြချက်

Cisco Enterprise NFVIS 3.7.1 နှင့် နောက်ပိုင်း တပ်ဆင်မှုများ Cisco Enterprise NFVIS ကို ထည့်သွင်းစဉ် လက်မှတ်စစ်ခြင်း မအောင်မြင်ပါက၊ တပ်ဆင်မှုကို ဖျက်သိမ်းလိုက်ပါသည်။

Cisco Enterprise NFVIS ကို 3.6.x မှ Release 3.7.1 သို့ အဆင့်မြှင့်ထားသည်။

အဆင့်မြှင့်တင်မှု လုပ်ဆောင်နေချိန်တွင် RPM လက်မှတ်များကို စစ်ဆေးအတည်ပြုပါသည်။ လက်မှတ်အတည်ပြုခြင်း မအောင်မြင်ပါက၊ အမှားအယွင်းတစ်ခု မှတ်တမ်းဝင်ထားသော်လည်း အဆင့်မြှင့်တင်မှု ပြီးသွားပါပြီ။

Release 3.7.1 မှ Cisco Enterprise NFVIS အဆင့်မြှင့်တင်မှု အဆင့်မြှင့်တင်သည့်အခါ RPM လက်မှတ်များကို စစ်ဆေးအတည်ပြုသည်

နောက်ပိုင်းထွက်ရှိရန်

ပုံကို မှတ်ပုံတင်ထားသည်။ လက်မှတ်စစ်ခြင်း ပျက်ကွက်ပါက၊

အဆင့်မြှင့်တင်မှုကို ရပ်ဆိုင်းထားသည်။

ရုပ်ပုံ ခိုင်မာမှု အတည်ပြုခြင်း။
Cisco NFVIS ISO တွင် ရရှိနိုင်သော RPM ပက်ကေ့ဂျ်များနှင့် ပုံများကို အဆင့်မြှင့်တင်ရန်အတွက်သာ RPM လက်မှတ်ရေးထိုးခြင်းနှင့် လက်မှတ်အတည်ပြုခြင်းတို့ကို လုပ်ဆောင်နိုင်ပါသည်။ ထပ်လောင်းမဟုတ်သော RPM အားလုံး၏ သမာဓိရှိစေရန် fileCisco NFVIS ISO ပုံတွင် ရနိုင်သည်၊ Cisco NFVIS ISO ပုံ၏ hash ကို ပုံနှင့်အတူ ထုတ်ဝေထားသည်။ အလားတူ၊ Cisco NFVIS အဆင့်မြှင့်တင်မှုပုံ၏ hash ကို ပုံနှင့်အတူ လွှင့်တင်ထားသည်။ Cisco ၏ hash ကို စစ်ဆေးရန်

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

ENCS Secure Boot

NFVIS ISO ပုံ သို့မဟုတ် အဆင့်မြှင့်ထားသောပုံသည် Cisco ထုတ်ဝေသည့် hash နှင့် ကိုက်ညီသည်၊ အောက်ပါ command ကို run ပြီး hash ကို ထုတ်ဝေထားသော hash နှင့် နှိုင်းယှဉ်ပါ-
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Secure boot သည် Original Equipment Manufacturer (OEM) မှ ယုံကြည်စိတ်ချရသော ဆော့ဖ်ဝဲလ်ကို အသုံးပြု၍ စက်ပစ္စည်းတစ်ခု စတင်လည်ပတ်ကြောင်း သေချာစေသည့် Unified Extensible Firmware Interface (UEFI) စံနှုန်း၏ တစ်စိတ်တစ်ပိုင်းဖြစ်သည်။ NFVIS စတင်သောအခါ၊ Firmware သည် boot software နှင့် operating system ၏ လက်မှတ်ကို စစ်ဆေးသည်။ လက်မှတ်များသည် တရားဝင်ပါက၊ စက်သည် boot တက်ပြီး firmware သည် လည်ပတ်မှုစနစ်အား ထိန်းချုပ်မှုပေးပါသည်။
Secure Boot ကို ENCS တွင် ရနိုင်သော်လည်း ပုံမှန်အားဖြင့် ပိတ်ထားသည်။ Cisco က သင့်အား လုံခြုံသော boot ဖွင့်ရန် အကြံပြုထားသည်။ နောက်ထပ်အချက်အလက်များအတွက်၊ Host ၏ Secure Boot ကိုကြည့်ပါ။
သီးသန့် စက်ပစ္စည်း အထောက်အထားကို လုံခြုံအောင်ထားပါ။
NFVIS သည် Secure Unique Device Identification (SUDI) ဟု လူသိများသော ယန္တရားကို အသုံးပြု၍ ၎င်းအား မပြောင်းလဲနိုင်သော အထောက်အထားကို ပေးဆောင်သည်။ စက်သည် စစ်မှန်သော Cisco ထုတ်ကုန်ဖြစ်ကြောင်း အတည်ပြုရန်နှင့် စက်ပစ္စည်းသည် သုံးစွဲသူ၏စာရင်းစနစ်တွင် လူသိများကြောင်း သေချာစေရန်အတွက် ဤအထောက်အထားကို အသုံးပြုပါသည်။
SUDI သည် X.509v3 လက်မှတ်ဖြစ်ပြီး ဟာ့ဒ်ဝဲတွင် ကာကွယ်ထားသည့် ဆက်စပ်သော့အတွဲတစ်ခုဖြစ်သည်။ SUDI အသိအမှတ်ပြုလက်မှတ်တွင် ထုတ်ကုန်အမှတ်အသားနှင့် အမှတ်စဉ်နံပါတ်ပါရှိပြီး Cisco Public Key Infrastructure တွင် အမြစ်တွယ်ထားသည်။ သော့တွဲနှင့် SUDI လက်မှတ်ကို ထုတ်လုပ်နေစဉ်အတွင်း ဟာ့ဒ်ဝဲ မော်ဂျူးတွင် ထည့်သွင်းထားပြီး သီးသန့်သော့ကို ဘယ်သောအခါမှ ထုတ်ယူ၍မရပါ။
Zero Touch Provisioning (ZTP) ကို အသုံးပြု၍ စစ်မှန်ကြောင်းနှင့် အလိုအလျောက်ဖွဲ့စည်းမှုလုပ်ဆောင်ရန် SUDI အခြေခံအထောက်အထားကို အသုံးပြုနိုင်သည်။ ၎င်းသည် လုံခြုံစိတ်ချရသော၊ အဝေးထိန်းစနစ်ဖြင့် စက်များပေါ်တက်ခြင်းကို လုပ်ဆောင်စေပြီး စုစည်းမှုဆာဗာသည် စစ်မှန်သော NFVIS စက်ပစ္စည်းနှင့် စကားပြောနေကြောင်း သေချာစေသည်။ နောက်ခံစနစ်သည် ၎င်း၏အထောက်အထားကိုအတည်ပြုရန် NFVIS စက်ပစ္စည်းအား စိန်ခေါ်မှုတစ်ခုထုတ်ပေးနိုင်ပြီး စက်ပစ္စည်းသည် ၎င်း၏ SUDI အခြေခံအထောက်အထားကိုအသုံးပြု၍ စိန်ခေါ်မှုကိုတုံ့ပြန်မည်ဖြစ်သည်။ ၎င်းသည် နောက်ခံစနစ်အား မှန်ကန်သောစက်ပစ္စည်းသည် တည်နေရာမှန်ကန်ကြောင်း အတည်ပြုနိုင်ရုံသာမက သီးခြားစက်ပစ္စည်းမှဖွင့်နိုင်သော လျှို့ဝှက်ကုဒ်ပုံစံဖွဲ့စည်းမှုကိုလည်း ပေးစွမ်းနိုင်သောကြောင့် အကူးအပြောင်းတွင် လျှို့ဝှက်မှုကို သေချာစေသည်။
အောက်ဖော်ပြပါ လုပ်ငန်းအသွားအလာ ပုံကြမ်းများသည် NFVIS သည် SUDI ကို မည်သို့အသုံးပြုသည်ကို ဖော်ပြသည်-

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

စက်ပစ္စည်းဝင်ရောက်ခွင့် ပုံ 1- ပလပ်နှင့်ကစားခြင်း (PnP) ဆာဗာအထောက်အထားစိစစ်ခြင်း။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

ပုံ ၂

ကိရိယာလက်လှမ်းမီမှု
NFVIS သည် ကွန်ဆိုးလ်အပြင် HTTPS နှင့် SSH ကဲ့သို့သော ပရိုတိုကောများအပေါ်အခြေခံ၍ အဝေးမှဝင်ရောက်ခွင့်အပါအဝင် မတူညီသောဝင်ရောက်ခွင့်ယန္တရားများကို ပံ့ပိုးပေးသည်။ လက်လှမ်းမီသည့် ယန္တရားတစ်ခုစီကို ဂရုတစိုက် ပြန်လည်လုပ်ဆောင်သင့်သည်။viewed နှင့် configured ။ လိုအပ်သောဝင်ရောက်ခွင့်ယန္တရားများကိုသာဖွင့်ထားပြီး ၎င်းတို့ကို ကောင်းစွာလုံခြုံကြောင်းသေချာပါစေ။ NFVIS သို့ အပြန်အလှန်အကျိုးသက်ရောက်မှုနှင့် စီမံခန့်ခွဲမှုဝင်ရောက်ခွင့် နှစ်ခုစလုံးကို လုံခြုံစေမည့် အဓိကခြေလှမ်းများမှာ စက်ပစ္စည်း၏ အသုံးပြုခွင့်ကို ကန့်သတ်ရန်၊ ခွင့်ပြုထားသော အသုံးပြုသူများ၏ လုပ်ဆောင်နိုင်စွမ်းများကို လိုအပ်သည်များကို ကန့်သတ်ရန်နှင့် ခွင့်ပြုထားသော နည်းလမ်းများကို ကန့်သတ်ရန်ဖြစ်သည်။ NFVIS သည် ဝင်ရောက်ခွင့်ကို စစ်မှန်ကြောင်း အတည်ပြုထားသော အသုံးပြုသူများကိုသာ ခွင့်ပြုထားပြီး ၎င်းတို့သည် ခွင့်ပြုထားသည့် လုပ်ဆောင်ချက်များကိုသာ လုပ်ဆောင်နိုင်ကြောင်း သေချာစေသည်။ စက်ပစ္စည်းဝင်ရောက်ခွင့်ကို စာရင်းစစ်ရန်အတွက် မှတ်တမ်းတင်ထားပြီး NFVIS သည် စက်တွင်းသိမ်းဆည်းထားသော အရေးကြီးသောဒေတာများ၏ လျှို့ဝှက်ချက်ကို သေချာစေသည်။ NFVIS သို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်းကို တားဆီးရန်အတွက် သင့်လျော်သော ထိန်းချုပ်မှုများကို ထူထောင်ရန် အရေးကြီးပါသည်။ အောက်ပါကဏ္ဍများသည် ၎င်းကိုအောင်မြင်ရန် အကောင်းဆုံးအလေ့အကျင့်များနှင့် ဖွဲ့စည်းမှုပုံစံများကို ဖော်ပြသည်-
လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

ပထမဦးစွာဝင်ရောက်ခြင်းတွင် စကားဝှက်ပြောင်းခြင်းကို တွန်းအားပေးခဲ့သည်။

ပထမဦးစွာဝင်ရောက်ခြင်းတွင် စကားဝှက်ပြောင်းခြင်းကို တွန်းအားပေးခဲ့သည်။
မူရင်းအထောက်အထားများသည် ထုတ်ကုန်လုံခြုံရေးဆိုင်ရာ အဖြစ်အပျက်များ မကြာခဏဖြစ်ပွားသည့် အရင်းအမြစ်တစ်ခုဖြစ်သည်။ ဝယ်ယူသူများသည် ၎င်းတို့၏စနစ်များကို တိုက်ခိုက်ရန်အတွက် ဖွင့်ထားခဲ့သော ပုံသေဝင်ရောက်မှုအထောက်အထားများကို ပြောင်းလဲရန် မကြာခဏ မေ့လျော့တတ်ကြသည်။ ၎င်းကိုကာကွယ်ရန်၊ NFVIS အသုံးပြုသူသည် ပုံသေအထောက်အထားများ (အသုံးပြုသူအမည်- စီမံခန့်ခွဲသူနှင့် စကားဝှက် Admin123#) ကိုအသုံးပြုပြီး ပထမဆုံးဝင်ရောက်ပြီးနောက် စကားဝှက်ကို ပြောင်းလဲခိုင်းသည်။ ပိုမိုသိရှိလိုပါက၊ NFVIS ဝင်ရောက်ခြင်းကို ကြည့်ပါ။
Login Vulnerabilities ကို ကန့်သတ်ခြင်း။
အောက်ပါအင်္ဂါရပ်များကိုအသုံးပြုခြင်းဖြင့် အဘိဓာန်နှင့် ဝန်ဆောင်မှုငြင်းပယ်ခြင်း (DoS) တိုက်ခိုက်မှုများအတွက် အားနည်းချက်ကို သင်တားဆီးနိုင်သည်။
ခိုင်မာသော စကားဝှက်ကို ကျင့်သုံးခြင်း။
အထောက်အထားစိစစ်ခြင်း ယန္တရားသည် ၎င်း၏အထောက်အထားများကဲ့သို့သာ ခိုင်မာသည်။ ဤအကြောင်းကြောင့်၊ အသုံးပြုသူများသည် ခိုင်မာသော စကားဝှက်များရှိကြောင်း သေချာစေရန် အရေးကြီးပါသည်။ NFVIS သည် အောက်ပါစည်းမျဉ်းများအတိုင်း ခိုင်မာသော စကားဝှက်ကို ပြင်ဆင်သတ်မှတ်ထားကြောင်း စစ်ဆေးသည်- စကားဝှက်တွင် ပါဝင်ရမည်-
· အနည်းဆုံး စာလုံးကြီး တစ်လုံး · အနည်းဆုံး စာလုံးသေး တစ်လုံး · အနည်းဆုံး ဂဏန်း တစ်ခု · အနည်းဆုံး ဤ အထူး စာလုံးများ − hash (#), underscore (_), တုံးတို (-), asterisk (*) သို့မဟုတ် မေးခွန်း
အမှတ်အသား (?) · အက္ခရာ ခုနစ်လုံး သို့မဟုတ် ထို့ထက်ပို၍ · စကားဝှက်အရှည်သည် စာလုံးရေ 7 လုံးမှ 128 လုံးကြား ဖြစ်သင့်သည်။
စကားဝှက်များအတွက် အနည်းဆုံး အရှည်ကို ပြင်ဆင်သတ်မှတ်ခြင်း။
စကားဝှက်ရှုပ်ထွေးမှု၊ အထူးသဖြင့် စကားဝှက်အရှည်မရှိခြင်းသည် တိုက်ခိုက်သူများသည် အသုံးပြုသူစကားဝှက်များကို ခန့်မှန်းရန်ကြိုးစားသည့်အခါ brute-force attacks များကို ပိုမိုလွယ်ကူစေရန်အတွက် ရှာဖွေမှုနေရာကို သိသိသာသာ လျော့နည်းစေသည်။ စီမံခန့်ခွဲသူအသုံးပြုသူသည် အသုံးပြုသူအားလုံး၏ စကားဝှက်များအတွက် လိုအပ်သော အနိမ့်ဆုံးအရှည်ကို စီစဉ်သတ်မှတ်နိုင်သည်။ အနိမ့်ဆုံးအရှည်မှာ အက္ခရာ 7 လုံးမှ 128 လုံးကြားရှိရမည်။ ပုံမှန်အားဖြင့်၊ စကားဝှက်များအတွက် လိုအပ်သော အနိမ့်ဆုံးအရှည်ကို အက္ခရာ 7 လုံး သတ်မှတ်ထားသည်။ CLI-
nfvis(config)# rbac authentication min-pwd-length 9
API-
/api/config/rbac/authentication/min-pwd-length
စကားဝှက်ကို တစ်သက်တာ ပြင်ဆင်သတ်မှတ်ခြင်း။
စကားဝှက်၏သက်တမ်းသည် အသုံးပြုသူအား ပြောင်းလဲရန်မလိုအပ်မီ စကားဝှက်တစ်ခုအား မည်မျှကြာကြာအသုံးပြုနိုင်ကြောင်း ဆုံးဖြတ်သည်။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

ယခင်စကားဝှက်ကို ပြန်လည်အသုံးပြုခြင်းကို ကန့်သတ်ပါ။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

စီမံခန့်ခွဲသူအသုံးပြုသူသည် အသုံးပြုသူအားလုံးအတွက် စကားဝှက်များအတွက် အနည်းဆုံးနှင့် အမြင့်ဆုံး တစ်သက်တာတန်ဖိုးများကို စီစဉ်သတ်မှတ်နိုင်ပြီး အဆိုပါတန်ဖိုးများကို စစ်ဆေးရန် စည်းမျဉ်းကို ပြဋ္ဌာန်းနိုင်သည်။ ပုံသေ အနိမ့်ဆုံး တစ်သက်တာတန်ဖိုးကို 1 ရက် သတ်မှတ်ထားပြီး မူရင်းအမြင့်ဆုံး သက်တမ်းတန်ဖိုးကို ရက် 60 သတ်မှတ်ထားသည်။ အနည်းဆုံး တစ်သက်တာတန်ဖိုးကို ပြင်ဆင်သတ်မှတ်သောအခါ၊ သတ်မှတ်ထားသော ရက်အရေအတွက်ကျော်လွန်သည်အထိ အသုံးပြုသူသည် စကားဝှက်ကို ပြောင်းလဲ၍မရပါ။ အလားတူ၊ အမြင့်ဆုံး တစ်သက်တာတန်ဖိုးကို ပြင်ဆင်သတ်မှတ်သည့်အခါ၊ အသုံးပြုသူတစ်ဦးသည် သတ်မှတ်ထားသော ရက်အရေအတွက် မကျော်လွန်မီ စကားဝှက်ကို ပြောင်းလဲရပါမည်။ အကယ်၍ အသုံးပြုသူသည် စကားဝှက်ကို မပြောင်းလဲဘဲ သတ်မှတ်ထားသော ရက်အရေအတွက် ကျော်လွန်သွားပါက၊ အသုံးပြုသူထံ အကြောင်းကြားချက် ပေးပို့မည်ဖြစ်သည်။
မှတ်ချက် အနိမ့်ဆုံးနှင့် အများဆုံး တစ်သက်တာတန်ဖိုးများနှင့် ဤတန်ဖိုးများကို စစ်ဆေးရန် စည်းမျဉ်းသည် စီမံခန့်ခွဲသူအသုံးပြုသူအပေါ် သက်ရောက်မှုမရှိပါ။
CLI
terminal rbac စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း စကားဝှက်ကို သတ်မှတ်သတ်မှတ်ခြင်း မှန်ကန်သော min-days 2 max-days 30 commit
API-
/api/config/rbac/authentication/password-lifetime/
ယခင်စကားဝှက်ကို ပြန်လည်အသုံးပြုခြင်းကို ကန့်သတ်ပါ။
ယခင် စကားဝှက်များကို အသုံးပြုခြင်းအား တားဆီးခြင်းမရှိဘဲ၊ အသုံးပြုသူများသည် စကားဝှက်ကို ရိုးရှင်းစွာ ပြောင်းလဲနိုင်ပြီး မူရင်းသို့ ပြန်ပြောင်းနိုင်သောကြောင့် စကားဝှက် သက်တမ်းကုန်ဆုံးခြင်းသည် အလွန်အသုံးမကျပါ။ NFVIS သည် စကားဝှက်အသစ်သည် ယခင်အသုံးပြုခဲ့သည့် စကားဝှက် ၅ ခုအနက်မှ တစ်ခုနှင့် မတူကြောင်း စစ်ဆေးသည်။ ဤစည်းမျဉ်း၏ခြွင်းချက်တစ်ခုမှာ စီမံခန့်ခွဲသူအသုံးပြုသူသည် ယခင်ကအသုံးပြုခဲ့သည့် စကားဝှက် 5 ခုအနက်မှတစ်ခုဖြစ်သည့်တိုင် စကားဝှက်ကို မူရင်းစကားဝှက်သို့ ပြောင်းလဲနိုင်သည်။
အကောင့်ဝင်ရန် ကြိုးစားမှုအကြိမ်ရေကို ကန့်သတ်ပါ။
အဝေးမှ သက်တူရွယ်တူတစ်ဦးကို အကြိမ်ရေ အကန့်အသတ်မရှိ အကောင့်ဝင်ခွင့်ပြုပါက၊ ၎င်းသည် နောက်ဆုံးတွင် အကောင့်ဝင်ခြင်းဆိုင်ရာ အထောက်အထားများကို ရိုင်းစိုင်းသော အင်အားဖြင့် ခန့်မှန်းနိုင်မည်ဖြစ်သည်။ စကားဝှက်များသည် မကြာခဏ ခန့်မှန်းရလွယ်ကူသောကြောင့်၊ ၎င်းသည် သာမာန်တိုက်ခိုက်မှုတစ်ခုဖြစ်သည်။ သက်တူရွယ်တူများ အကောင့်ဝင်ရန် ကြိုးစားနိုင်သည့်နှုန်းကို ကန့်သတ်ခြင်းဖြင့်၊ ကျွန်ုပ်တို့သည် ဤတိုက်ခိုက်မှုကို ကာကွယ်ပါသည်။ ဝန်ဆောင်မှု Denial of Service တိုက်ခိုက်မှုကို ဖန်တီးနိုင်သည့် ဤ brute-force အကောင့်ဝင်ရန် ကြိုးပမ်းမှုများကို မလိုအပ်ဘဲ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းအတွက် စနစ်အရင်းအမြစ်များကို သုံးစွဲခြင်းကိုလည်း ရှောင်ကြဉ်ပါသည်။ အကောင့်ဝင်ရန် ကြိုးပမ်းမှု 5 ကြိမ် မအောင်မြင်ပြီးနောက် NFVIS သည် အသုံးပြုသူအား 10 မိနစ်ကြာ လော့ခ်ချခြင်းကို တွန်းအားပေးသည်။
အသုံးမပြုသော အသုံးပြုသူအကောင့်များကို ပိတ်ပါ။
အသုံးပြုသူ၏ လုပ်ဆောင်ချက်ကို စောင့်ကြည့်ခြင်းနှင့် အသုံးမပြုသော သို့မဟုတ် ပျက်နေသော အသုံးပြုသူအကောင့်များကို ပိတ်ခြင်းသည် စနစ်အတွင်းပိုင်းတိုက်ခိုက်မှုများမှ လုံခြုံစေပါသည်။ အသုံးမပြုသောအကောင့်များကို နောက်ဆုံးတွင် ဖယ်ရှားသင့်သည်။ အက်ဒ်မင်အသုံးပြုသူသည် အသုံးမပြုသောအသုံးပြုသူအကောင့်များကို လှုပ်ရှားမှုမရှိဟု အမှတ်အသားပြုရန်နှင့် အသုံးမပြုသောအသုံးပြုသူအကောင့်ကို မလုပ်ဆောင်ကြောင်း အမှတ်အသားပြုသည့်ရက်အကြာတွင် အရေအတွက်ကို စီစဉ်သတ်မှတ်နိုင်သည်။ လှုပ်ရှားမှုမရှိဟု အမှတ်အသားပြုပြီးသည်နှင့် ထိုအသုံးပြုသူသည် စနစ်သို့ လော့ဂ်အင်လုပ်၍မရပါ။ အသုံးပြုသူကို စနစ်သို့ အကောင့်ဝင်ခွင့်ပြုရန်၊ စီမံခန့်ခွဲသူအသုံးပြုသူသည် အသုံးပြုသူအကောင့်ကို အသက်သွင်းနိုင်သည်။
မှတ်ချက် လှုပ်ရှားမှုမရှိသောကာလနှင့် လှုပ်ရှားမှုမရှိသောကာလကို စစ်ဆေးရန် စည်းမျဉ်းသည် စီမံခန့်ခွဲသူအသုံးပြုသူအပေါ် သက်ရောက်မှုမရှိပါ။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

အသုံးမပြုသောအသုံးပြုသူအကောင့်ကို အသက်သွင်းခြင်း။

အကောင့်လှုပ်ရှားမှုမရှိခြင်း၏ တွန်းအားပေးမှုကို သတ်မှတ်ရန်အတွက် အောက်ပါ CLI နှင့် API ကို အသုံးပြုနိုင်ပါသည်။ CLI-
terminal rbac စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း အကောင့်-လှုပ်ရှားမှုမရှိခြင်း-စစ်မှန်သောလှုပ်ရှားမှုမရှိခြင်း-ရက်ပေါင်း 30 ကျူးလွန်ခြင်းကို သတ်မှတ်ပါ
API-
/api/config/rbac/authentication/account-inactivity/
လှုပ်ရှားမှုမရှိသောရက်များအတွက် မူရင်းတန်ဖိုးမှာ 35 ဖြစ်သည်။
အသက်မဝင်သောအသုံးပြုသူအကောင့်ကို အသက်သွင်းခြင်း စီမံခန့်ခွဲသူအသုံးပြုသူသည် အောက်ပါ CLI နှင့် API ကိုအသုံးပြု၍ မတက်ကြွသောအသုံးပြုသူ၏အကောင့်ကို အသက်သွင်းနိုင်သည်- CLI-
terminal rbac authentication အသုံးပြုသူများကို configure အသုံးပြုသူ guest_user activate commit
API-
/api/operations/rbac/authentication/users/user/username/activate လုပ်ပါ။

BIOS နှင့် CIMC စကားဝှက်များ ဆက်တင်ကို တွန်းအားပေးပါ။

ဇယား 1- အင်္ဂါရပ်မှတ်တမ်း ဇယား

အင်္ဂါရပ်အမည်

သတင်းထုတ်ပြန်ချက်

BIOS နှင့် CIMC NFVIS 4.7.1 စကားဝှက်များ ဆက်တင်ကို တွန်းအားပေးပါ။

ဖော်ပြချက်
ဤအင်္ဂါရပ်သည် သုံးစွဲသူအား CIMC နှင့် BIOS အတွက် မူရင်းစကားဝှက်ကို ပြောင်းလဲရန် တွန်းအားပေးသည်။

BIOS နှင့် CIMC စကားဝှက်များ ဆက်တင်ကို တွန်းအားပေးခြင်းအတွက် ကန့်သတ်ချက်များ
· ဤအင်္ဂါရပ်ကို Cisco Catalyst 8200 UCPE နှင့် Cisco ENCS 5400 ပလပ်ဖောင်းများတွင်သာ ပံ့ပိုးထားပါသည်။
· ဤအင်္ဂါရပ်ကို NFVIS 4.7.1 နှင့်နောက်ပိုင်းထွက်ရှိမှုများ၏ အသစ်သောထည့်သွင်းမှုတွင်သာ ပံ့ပိုးထားသည်။ အကယ်၍ သင်သည် NFVIS 4.6.1 မှ NFVIS 4.7.1 သို့ အဆင့်မြှင့်ပါက၊ ဤအင်္ဂါရပ်ကို ပံ့ပိုးမထားပါ။ BIOS နှင့် CIMS စကားဝှက်များကို ပြင်ဆင်သတ်မှတ်မထားသော်လည်း BIOS နှင့် CIMS စကားဝှက်များကို ပြန်လည်သတ်မှတ်ရန် သင့်အား သတိပေးခြင်း မရှိပါ။

BIOS နှင့် CIMC စကားဝှက်များ သတ်မှတ်ခြင်းကို တွန်းအားပေးခြင်းဆိုင်ရာ အချက်အလက်
NFVIS 4.7.1 ကို အသစ်ထည့်သွင်းပြီးနောက် BIOS နှင့် CIMC စကားဝှက်များကို ပြန်လည်သတ်မှတ်ခြင်းဖြင့် ဤအင်္ဂါရပ်သည် လုံခြုံရေးကွာဟချက်ကို ဖြေရှင်းပေးသည်။ မူရင်း CIMC စကားဝှက်သည် စကားဝှက်ဖြစ်ပြီး မူရင်း BIOS စကားဝှက်သည် စကားဝှက်မဟုတ်ပါ။
လုံခြုံရေးကွာဟချက်ကို ပြုပြင်ရန်အတွက် သင်သည် ENCS 5400 တွင် BIOS နှင့် CIMC စကားဝှက်များကို ပြင်ဆင်သတ်မှတ်ရန် ပြဌာန်းထားသည်။ NFVIS 4.7.1 ကို အသစ်ထည့်သွင်းစဉ်အတွင်း၊ BIOS နှင့် CIMC စကားဝှက်များကို မပြောင်းလဲရသေးပါက၊

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

ဖွဲ့စည်းမှု ထွampBIOS နှင့် CIMC စကားဝှက်များကို အတင်းအကြပ် ပြန်လည်သတ်မှတ်ခြင်းအတွက် les

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

မူရင်းစကားဝှက်များ၊ ထို့နောက် BIOS နှင့် CIMC စကားဝှက်နှစ်ခုလုံးကို ပြောင်းလဲရန် သင့်အား သတိပေးထားသည်။ ၎င်းတို့အနက်မှ တစ်ခုသာ ပြန်လည်သတ်မှတ်ရန် လိုအပ်ပါက၊ အဆိုပါ အစိတ်အပိုင်းအတွက် စကားဝှက်ကို ပြန်လည်သတ်မှတ်ရန် သင့်အား တောင်းဆိုထားသည်။ Cisco Catalyst 8200 UCPE သည် BIOS စကားဝှက်ကိုသာ လိုအပ်ပြီး မသတ်မှတ်ရသေးပါက BIOS စကားဝှက် ပြန်လည်သတ်မှတ်ခြင်းကိုသာ အချက်ပြမည်ဖြစ်သည်။
မှတ်ချက် သင်သည် ယခင်ထုတ်လွှတ်မှုမှ NFVIS 4.7.1 သို့မဟုတ် နောက်ပိုင်းထွက်ရှိမှုများသို့ အဆင့်မြှင့်ပါက၊ hostaction change-bios-password newpassword သို့မဟုတ် hostaction change-cimc-password newpassword commands များကိုအသုံးပြု၍ BIOS နှင့် CIMC စကားဝှက်များကို သင်ပြောင်းလဲနိုင်သည်။
BIOS နှင့် CIMC စကားဝှက်များအကြောင်း နောက်ထပ်အချက်အလက်များအတွက်၊ BIOS နှင့် CIMC စကားဝှက်များကို ကြည့်ပါ။
ဖွဲ့စည်းမှု ထွampBIOS နှင့် CIMC စကားဝှက်များကို အတင်းအကြပ် ပြန်လည်သတ်မှတ်ခြင်းအတွက် les
1. သင် NFVIS 4.7.1 ကို ထည့်သွင်းသောအခါ၊ သင်သည် ပထမဦးစွာ မူရင်း စီမံခန့်ခွဲသူ စကားဝှက်ကို ပြန်လည်သတ်မှတ်ရပါမည်။
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
NFVIS ဗားရှင်း- 99.99.0-1009
2015-2021 ခုနှစ်၏ မူပိုင်ခွင့် (ဂ) Cisco Systems, Inc. Cisco, Cisco Systems, နှင့် Cisco Systems လိုဂိုများသည် Cisco Systems, Inc. ၏ မှတ်ပုံတင်ထားသော ကုန်အမှတ်တံဆိပ်များနှင့်/သို့မဟုတ် အမေရိကန်နှင့် အခြားနိုင်ငံအချို့တွင် ၎င်း၏လုပ်ငန်းခွဲများဖြစ်သည်။
ဤဆော့ဖ်ဝဲတွင်ပါရှိသော အချို့သောအလုပ်များအတွက် မူပိုင်ခွင့်များကို အခြားတတိယပါတီများမှ ပိုင်ဆိုင်ပြီး ပြင်ပအဖွဲ့အစည်းလိုင်စင်သဘောတူညီချက်များအောက်တွင် အသုံးပြုကာ ဖြန့်ဝေပါသည်။ ဤဆော့ဖ်ဝဲ၏ အချို့သောအစိတ်အပိုင်းများကို GNU GPL 2.0၊ GPL 3.0၊ LGPL 2.1၊ LGPL 3.0 နှင့် AGPL 3.0 အောက်တွင် လိုင်စင်ရထားသည်။
10.24.109.102 မှ ssh တွင် nfvis admin တွင် ssh ကိုအသုံးပြု၍ admin မှ ချိတ်ဆက်ထားပြီး မူရင်းအထောက်အထားများနှင့်အတူ ကျေးဇူးပြု၍ အောက်ပါသတ်မှတ်ချက်များနှင့် ကိုက်ညီသည့် စကားဝှက်ကို ပေးဆောင်ပါ-
1.အနည်းဆုံး စာလုံးသေး တစ်လုံး 2.အနည်းဆုံး စာလုံးကြီး တစ်လုံး 3.အနည်းဆုံး နံပါတ် 4.# _ – * မှ အနည်းဆုံး အထူးစာလုံး တစ်လုံး ? 5.Length စာလုံး 7 လုံးမှ 128 လုံးကြားရှိရပါမည် ကျေးဇူးပြုပြီး password ကိုပြန်လည်သတ်မှတ်ပါ ကျေးဇူးပြုပြီး password ကိုပြန်ထည့်ပါ :
စီမံခန့်ခွဲသူ စကားဝှက်ကို ပြန်လည်သတ်မှတ်ခြင်း။
2. Cisco Catalyst 8200 UCPE နှင့် Cisco ENCS 5400 ပလပ်ဖောင်းများတွင် NFVIS 4.7.1 သို့မဟုတ် နောက်ပိုင်းထွက်ရှိမှုများကို အသစ်ထည့်သွင်းသည့်အခါ၊ မူရင်း BIOS နှင့် CIMC စကားဝှက်များကို ပြောင်းလဲရပါမည်။ BIOS နှင့် CIMC စကားဝှက်များကို ယခင်က ပြင်ဆင်သတ်မှတ်မထားပါက၊ Cisco ENCS 5400 အတွက် BIOS နှင့် CIMC စကားဝှက်များကို ပြန်လည်သတ်မှတ်ရန်နှင့် Cisco Catalyst 8200 UCPE အတွက် BIOS စကားဝှက်များကိုသာ စနစ်က သတိပေးပါသည်။
စီမံခန့်ခွဲသူ စကားဝှက်အသစ်ကို သတ်မှတ်ပေးထားသည်။
အောက်ပါစံနှုန်းများနှင့် ကိုက်ညီသည့် BIOS စကားဝှက်ကို ကျေးဇူးပြု၍ ပေးဆောင်ပါ- 1. အနည်းဆုံး စာလုံးသေးတစ်လုံး 2. အနည်းဆုံး စာလုံးအကြီးတစ်လုံး 3. အနည်းဆုံး နံပါတ်တစ်ခု 4. အနည်းဆုံး #၊ @ သို့မဟုတ် _ မှ အထူးစာလုံးတစ်လုံး 5. အရှည်ကြားရှိသင့်သည် 8 နှင့် 20 အက္ခရာ 6. အောက်ပါ strings များ မပါဝင်သင့်ပါ (case sensitive): bios 7. ပထမစာလုံးသည် # မဖြစ်ရပါ။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

BIOS နှင့် CIMC စကားဝှက်များကို အတည်ပြုပါ။

ကျေးဇူးပြု၍ BIOS စကားဝှက်ကို ပြန်လည်သတ်မှတ်ပါ- ကျေးဇူးပြု၍ BIOS စကားဝှက်ကို ပြန်ထည့်ပါ- အောက်ပါသတ်မှတ်ချက်များနှင့် ကိုက်ညီသည့် CIMC စကားဝှက်ကို ကျေးဇူးပြု၍ ပေးဆောင်ပါ-
1. အနည်းဆုံး စာလုံးသေး တစ်လုံး 2. အနည်းဆုံး စာလုံးအကြီး တစ်လုံး 3. အနည်းဆုံး နံပါတ် တစ်ခု 4. #၊ @ သို့မဟုတ် _ 5 မှ အနည်းဆုံး အထူးစာလုံး တစ်လုံး။ အရှည် 8 နှင့် 20 အကြား ဖြစ်သင့်သည် 6. မည်သည့်အရာမှ မပါဝင်သင့်ပါ။ အောက်ဖော်ပြပါ စာကြောင်းများ (စာလုံးအကြီးအသေး)- admin ကျေးဇူးပြု၍ CIMC စကားဝှက်ကို ပြန်လည်သတ်မှတ်ပါ- ကျေးဇူးပြု၍ CIMC စကားဝှက်ကို ပြန်ထည့်ပါ-

BIOS နှင့် CIMC စကားဝှက်များကို အတည်ပြုပါ။
BIOS နှင့် CIMC စကားဝှက်များကို အောင်မြင်စွာပြောင်းလဲခြင်းရှိမရှိ အတည်ပြုရန်၊ show log nfvis_config.log ကိုသုံးပါ | BIOS ပါ၀င်ပါ သို့မဟုတ် မှတ်တမ်း nfvis_config.log | ကိုပြသပါ။ CIMC အမိန့်များ ပါဝင်သည်-

nfvis# မှတ်တမ်း nfvis_config.log | ပြရန် BIOS ပါဝင်သည်။

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS စကားဝှက်ကို ပြောင်းလဲခြင်း။

အောင်မြင်သည်။

nfvis_config.log ကိုလည်း ဒေါင်းလုဒ်လုပ်နိုင်ပါသည်။ file စကားဝှက်များကို အောင်မြင်စွာ ပြန်လည်သတ်မှတ်ခြင်း ရှိ၊ မရှိ စစ်ဆေးပါ။

ပြင်ပ AAA ဆာဗာများနှင့် ပေါင်းစည်းခြင်း။
အသုံးပြုသူများသည် ssh သို့မဟုတ် အဆိုပါမှတစ်ဆင့် NFVIS သို့ ဝင်ရောက်သည်။ Web UI။ မည်သည့်အခြေအနေမျိုးတွင်မဆို၊ အသုံးပြုသူများကို စစ်မှန်ကြောင်းအထောက်အထားပြရန် လိုအပ်သည်။ ဆိုလိုသည်မှာ၊ အသုံးပြုသူတစ်ဦးသည် ဝင်ရောက်အသုံးပြုခွင့်ရရန် စကားဝှက်အထောက်အထားများကို တင်ပြရန် လိုအပ်သည်။
အသုံးပြုသူတစ်ဦးအား စစ်မှန်ကြောင်းအထောက်အထားပြပြီးသည်နှင့်၊ ထိုအသုံးပြုသူလုပ်ဆောင်သည့် လုပ်ဆောင်မှုအားလုံးကို ခွင့်ပြုချက်ရရှိရန် လိုအပ်ပါသည်။ ဆိုလိုသည်မှာ၊ အချို့သောအသုံးပြုသူများသည် အချို့သောလုပ်ငန်းဆောင်တာများကို လုပ်ဆောင်ရန် ခွင့်ပြုနိုင်သော်လည်း အခြားအရာများမဟုတ်ပေ။ ဒါကို ခွင့်ပြုချက်လို့ ခေါ်တယ်။
NFVIS အသုံးပြုခွင့်အတွက် AAA အခြေခံ အကောင့်ဝင်ခြင်း စစ်မှန်ကြောင်း အတည်ပြုခြင်းအား တွန်းအားပေးရန် ဗဟိုချုပ်ကိုင်ထားသော AAA ဆာဗာကို အသုံးပြုရန် အကြံပြုထားသည်။ NFVIS သည် ကွန်ရက်ဝင်ရောက်မှုကို ပြေလည်စေရန် RADIUS နှင့် TACACS ပရိုတိုကောများကို ပံ့ပိုးပေးသည်။ AAA ဆာဗာတွင်၊ ၎င်းတို့၏ သီးခြားဝင်ရောက်ခွင့် လိုအပ်ချက်များအရ စစ်မှန်ကြောင်း အတည်ပြုထားသော သုံးစွဲသူများအား အနည်းဆုံး ဝင်ရောက်ခွင့်များကိုသာ ခွင့်ပြုသင့်သည်။ ၎င်းသည် အန္တရာယ်ရှိသော နှင့် မရည်ရွယ်ဘဲ လုံခြုံရေးဆိုင်ရာ အဖြစ်အပျက်များ နှစ်ခုလုံး၏ ထိတွေ့မှုကို လျော့နည်းစေသည်။
ပြင်ပစစ်မှန်ကြောင်းအထောက်အထားပြခြင်းဆိုင်ရာ နောက်ထပ်အချက်အလက်များအတွက်၊ RADIUS ကို ပြင်ဆင်ခြင်းနှင့် TACACS+ ဆာဗာကို ပြင်ဆင်ခြင်းတို့ကို ကြည့်ပါ။

External Authentication Server အတွက် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း Cache

အင်္ဂါရပ်အမည်

သတင်းထုတ်ပြန်ချက်

ပြင်ပ NFVIS 4.5.1 စစ်မှန်ကြောင်းအထောက်အထားပြဆာဗာအတွက် စစ်မှန်ကြောင်းသက်သေပြခြင်း ကက်ရှ်

ဖော်ပြချက်
ဤအင်္ဂါရပ်သည် NFVIS ပေါ်တယ်ရှိ OTP မှတဆင့် TACACS စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို ပံ့ပိုးပေးပါသည်။

NFVIS ပေါ်တယ်သည် ကနဦးအထောက်အထားစိစစ်ပြီးနောက် API ခေါ်ဆိုမှုအားလုံးအတွက် တစ်ကြိမ်သုံးစကားဝှက် (OTP) ကို အသုံးပြုသည်။ OTP သက်တမ်းကုန်သည်နှင့်အမျှ API ခေါ်ဆိုမှုများသည် ပျက်ကွက်သည်။ ဤအင်္ဂါရပ်သည် TACACS OTP စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို NFVIS ပေါ်တယ်ဖြင့် ပံ့ပိုးပေးသည်။
OTP ကိုအသုံးပြု၍ TACACS ဆာဗာမှတဆင့် အောင်မြင်စွာစစ်မှန်ကြောင်းအထောက်အထားပြပြီးနောက် NFVIS သည် အသုံးပြုသူအမည်နှင့် OTP ကိုအသုံးပြု၍ hash entry ကိုဖန်တီးပြီး ဤ hash တန်ဖိုးကို စက်တွင်း၌ သိမ်းဆည်းထားသည်။ ဤစက်တွင်းသိမ်းဆည်းထားသော hash တန်ဖိုး ရှိသည်။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

အခန်းကဏ္ဍအခြေခံ Access Control

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

သက်တမ်းကုန်ဆုံးချိန် stamp ၎င်းနှင့်ဆက်စပ်သည်။ အချိန်က stamp 15 မိနစ်ဖြစ်သော SSH session idle timeout value နှင့် တူညီသောတန်ဖိုးရှိသည်။ တူညီသောအသုံးပြုသူအမည်ဖြင့် နောက်ဆက်တွဲစစ်မှန်ကြောင်းအထောက်အထားပြတောင်းဆိုမှုများအားလုံးကို ဤဒေသခံ hash တန်ဖိုးနှင့် ဦးစွာ စစ်မှန်ကြောင်းသက်သေပြပါသည်။ ဒေသန္တရ hash ဖြင့် အထောက်အထားစိစစ်ခြင်း မအောင်မြင်ပါက NFVIS သည် ဤတောင်းဆိုချက်ကို TACACS ဆာဗာဖြင့် စစ်မှန်ကြောင်းအထောက်အထားပြပြီး အထောက်အထားစိစစ်ခြင်းအောင်မြင်သောအခါ hash entry အသစ်ကို ဖန်တီးပေးပါသည်။ hash entry ရှိနှင့်ပြီးပါက၊ ၎င်း၏အချိန် stamp 15 မိနစ်သို့ပြန်လည်သတ်မှတ်သည်။
အကယ်၍ သင်သည် portal သို့အောင်မြင်စွာဝင်ရောက်ပြီးနောက် TACACS ဆာဗာမှဖယ်ရှားခံရပါက၊ သင်သည် NFVIS တွင် hash entry သက်တမ်းကုန်ဆုံးသည်အထိ portal ကိုဆက်လက်အသုံးပြုနိုင်ပါသည်။
သင်သည် NFVIS ပေါ်တယ်မှ ပြတ်သားစွာ ထွက်ခြင်း သို့မဟုတ် အလုပ်မလုပ်သည့်အချိန်ကြောင့် ထွက်သည့်အခါ၊ ပေါ်တယ်သည် NFVIS နောက်ကွယ်တွင် hash entry ကို အသိပေးရန် API အသစ်ကို ခေါ်သည်။ NFVIS ပြန်လည်စတင်ခြင်း၊ စက်ရုံထုတ် ပြန်လည်သတ်မှတ်ခြင်း သို့မဟုတ် အဆင့်မြှင့်ခြင်းများ ပြုလုပ်ပြီးနောက် အထောက်အထားစိစစ်ခြင်း ကက်ရှ်နှင့် ၎င်း၏ ထည့်သွင်းမှုများအားလုံးကို ရှင်းလင်းသွားပါမည်။

အခန်းကဏ္ဍအခြေခံ Access Control

ကွန်ရက်အသုံးပြုခွင့်ကို ကန့်သတ်ခြင်းသည် ဝန်ထမ်းများစွာရှိသော၊ ကန်ထရိုက်တာများကို ခန့်အပ်ခြင်း သို့မဟုတ် ဖောက်သည်များနှင့် ရောင်းချသူများကဲ့သို့သော ပြင်ပအဖွဲ့အစည်းများသို့ ဝင်ရောက်ခွင့်ပြုသည့် အဖွဲ့အစည်းများအတွက် အရေးကြီးပါသည်။ ထိုသို့သော အခြေအနေမျိုးတွင်၊ ကွန်ရက်ဝင်ရောက်မှုကို ထိထိရောက်ရောက် စောင့်ကြည့်ရန် ခက်ခဲသည်။ ယင်းအစား၊ အထိခိုက်မခံသောဒေတာနှင့် အရေးကြီးသောအပလီကေးရှင်းများကို လုံခြုံစေရန်အတွက် အသုံးပြုနိုင်သည့်အရာကို ထိန်းချုပ်ခြင်းသည် ပိုကောင်းသည်။
Role-based access control (RBAC) သည် လုပ်ငန်းတစ်ခုအတွင်းရှိ သုံးစွဲသူတစ်ဦးချင်းစီ၏ အခန်းကဏ္ဍအပေါ်အခြေခံ၍ ကွန်ရက်ဝင်ရောက်ခွင့်ကို ကန့်သတ်သည့်နည်းလမ်းတစ်ခုဖြစ်သည်။ RBAC သည် အသုံးပြုသူများအား ၎င်းတို့လိုအပ်သော အချက်အလက်များကိုသာ ဝင်ရောက်ကြည့်ရှုခွင့်ပေးပြီး ၎င်းတို့နှင့် မသက်ဆိုင်သော အချက်အလက်များကို ဝင်ရောက်ကြည့်ရှုခြင်းမှ တားဆီးပေးသည်။
အခွင့်ထူးနည်းပါးသောဝန်ထမ်းများသည် ထိလွယ်ရှလွယ်သောအချက်အလက်များကိုရယူ၍မရပါ သို့မဟုတ် အရေးကြီးသောအလုပ်များကိုမဆောင်ရွက်နိုင်ကြောင်းသေချာစေရန်အတွက် ပေးအပ်ထားသောခွင့်ပြုချက်များကိုဆုံးဖြတ်ရန် လုပ်ငန်းတွင်းဝန်ထမ်းတစ်ဦး၏အခန်းကဏ္ဍကိုအသုံးပြုသင့်သည်။
အောက်ဖော်ပြပါ သုံးစွဲသူများ၏ အခန်းကဏ္ဍနှင့် အခွင့်အရေးများကို NFVIS တွင် သတ်မှတ်ထားပါသည်။

အသုံးပြုသူအခန်းကဏ္ဍ

ခံစားခွင့်

အုပ်ချုပ်ရေးမှူးများ

ရနိုင်သောအင်္ဂါရပ်အားလုံးကို စီစဉ်သတ်မှတ်နိုင်ပြီး အသုံးပြုသူအခန်းကဏ္ဍများကို ပြောင်းလဲခြင်းအပါအဝင် အလုပ်အားလုံးကို လုပ်ဆောင်နိုင်သည်။ စီမံခန့်ခွဲသူသည် NFVIS အတွက် အခြေခံကျသော အခြေခံအဆောက်အဦများကို ဖျက်၍မရပါ။ စီမံခန့်ခွဲသူအသုံးပြုသူ၏ အခန်းကဏ္ဍကို ပြောင်းလဲ၍မရပါ။ အမြဲတမ်း "စီမံခန့်ခွဲသူများ" ဖြစ်သည်။

လုပ်ငန်းရှင်များ

VM ကို စတင်နိုင်၊ ရပ်တန့်နိုင်သည်။ view အချက်အလက်အားလုံး။

စာရင်းစစ်များ

၎င်းတို့သည် အခွင့်ထူးခံအနည်းဆုံး အသုံးပြုသူများဖြစ်သည်။ ၎င်းတို့တွင် Read-only ခွင့်ပြုချက်ရှိသောကြောင့် မည်သည့်ပုံစံကိုမျှ ပြင်ဆင်၍မရပါ။

RBAC ၏အကျိုးကျေးဇူးများ
အဖွဲ့အစည်းတစ်ခုအတွင်းရှိ လူများ၏ အခန်းကဏ္ဍအပေါ် အခြေခံ၍ မလိုအပ်သော ကွန်ရက်ဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် RBAC ကို အသုံးပြုခြင်းအတွက် အကျိုးကျေးဇူးများစွာ ရှိပါသည်။
· လုပ်ငန်းဆောင်ရွက်မှု စွမ်းဆောင်ရည်ကို မြှင့်တင်ခြင်း။
RBAC တွင် ကြိုတင်သတ်မှတ်ထားသော အခန်းကဏ္ဍများရှိခြင်းသည် သုံးစွဲသူအသစ်များကို မှန်ကန်သောအခွင့်အရေးများ သို့မဟုတ် လက်ရှိအသုံးပြုသူများ၏ အခန်းကဏ္ဍများကို ပြောင်းရန် လွယ်ကူစေသည်။ အသုံးပြုသူခွင့်ပြုချက်ပေးသည့်အခါတွင်လည်း အမှားအယွင်းဖြစ်နိုင်ချေကို လျှော့ချပေးသည်။
· လိုက်နာမှုကို မြှင့်တင်ခြင်း။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

အခန်းကဏ္ဍအခြေခံ Access Control

အဖွဲ့အစည်းတိုင်းသည် ဒေသန္တရ၊ ပြည်နယ်နှင့် ပြည်ထောင်စု စည်းမျဉ်းများကို လိုက်နာရမည်ဖြစ်သည်။ အမှုဆောင်များနှင့် အိုင်တီဌာနများသည် ဒေတာကို မည်သို့ဝင်ရောက်အသုံးပြုပုံအား ပိုမိုထိရောက်စွာ စီမံခန့်ခွဲနိုင်သောကြောင့် ကုမ္ပဏီများသည် ယေဘုယျအားဖြင့် လျှို့ဝှက်ရေးနှင့် ကိုယ်ရေးကိုယ်တာအတွက် စည်းမျဉ်းစည်းကမ်းနှင့် ပြဌာန်းထားသော လိုအပ်ချက်များကို ပြည့်မီစေရန် RBAC စနစ်များကို အကောင်အထည်ဖော်လိုကြသည်။ ၎င်းသည် အရေးကြီးသော အချက်အလက်များကို စီမံခန့်ခွဲသော ဘဏ္ဍာရေးအဖွဲ့အစည်းများနှင့် ကျန်းမာရေးစောင့်ရှောက်မှုကုမ္ပဏီများအတွက် အထူးအရေးကြီးပါသည်။
· ကုန်ကျစရိတ် လျှော့ချခြင်း။ အချို့သော လုပ်ငန်းစဉ်များနှင့် အပလီကေးရှင်းများသို့ အသုံးပြုသူအား ဝင်ရောက်ခွင့်မပြုခြင်းဖြင့် ကုမ္ပဏီများသည် ကွန်ရက်ဘန်းဝဒ်၊ မန်မိုရီနှင့် သိုလှောင်မှုကဲ့သို့သော အရင်းအမြစ်များကို ကုန်ကျစရိတ်သက်သာစွာဖြင့် ထိန်းသိမ်း သို့မဟုတ် အသုံးပြုနိုင်သည်။
· ပေါက်ကြားမှုနှင့် ဒေတာပေါက်ကြားမှုအန္တရာယ်ကို လျှော့ချပေးသည်။ RBAC ကို အကောင်အထည်ဖော်ခြင်းသည် အရေးကြီးသော အချက်အလက်များကို ဝင်ရောက်ခွင့်ကို ကန့်သတ်ထားခြင်းဖြစ်ပြီး ဒေတာချိုးဖောက်မှုများ သို့မဟုတ် ဒေတာယိုစိမ့်မှု ဖြစ်နိုင်ချေကို လျှော့ချနိုင်သည်။
အခန်းကဏ္ဍအခြေခံဝင်ရောက်ထိန်းချုပ်မှုအကောင်အထည်ဖော်ဆောင်ရွက်မှုများအတွက် အကောင်းဆုံးအလေ့အကျင့်များ · စီမံခန့်ခွဲသူတစ်ဦးအနေဖြင့် အသုံးပြုသူများစာရင်းကို ဆုံးဖြတ်ပြီး အသုံးပြုသူများအား ကြိုတင်သတ်မှတ်ထားသော အခန်းကဏ္ဍများအဖြစ် သတ်မှတ်ပေးပါ။ ဟောင်းအတွက်ampထို့ကြောင့်၊ အသုံးပြုသူ "networkadmin" ကိုဖန်တီးပြီးအသုံးပြုသူအုပ်စု "စီမံခန့်ခွဲသူများ" သို့ပေါင်းထည့်နိုင်သည်။
terminal rbac authentication အသုံးပြုသူများကို configure ဖန်တီး-အသုံးပြုသူအမည် networkadmin စကားဝှက် Test1_pass အခန်းကဏ္ဍ စီမံခန့်ခွဲသူများ ကျူးလွန်
မှတ်ချက် အသုံးပြုသူအုပ်စုများ သို့မဟုတ် အခန်းကဏ္ဍများကို စနစ်က ဖန်တီးထားသည်။ အသုံးပြုသူအုပ်စုကို သင်ဖန်တီးခြင်း သို့မဟုတ် ပြင်ဆင်ခြင်းမပြုနိုင်ပါ။ စကားဝှက်ကိုပြောင်းလဲရန်၊ ကမ္ဘာလုံးဆိုင်ရာဖွဲ့စည်းပုံမုဒ်တွင် rbac အထောက်အထားစိစစ်ခြင်းအသုံးပြုသူများ အသုံးပြုသူပြောင်းလဲခြင်း-စကားဝှက်အမိန့်ကို အသုံးပြုပါ။ အသုံးပြုသူအခန်းကဏ္ဍကိုပြောင်းရန်၊ ကမ္ဘာလုံးဆိုင်ရာဖွဲ့စည်းပုံမုဒ်တွင် rbac အထောက်အထားစိစစ်ခြင်းအသုံးပြုသူများ အသုံးပြုသူပြောင်းလဲမှု-အခန်းကဏ္ဍ ညွှန်ကြားချက်ကို အသုံးပြုပါ။
· အသုံးပြုခွင့် မလိုအပ်တော့သော သုံးစွဲသူများအတွက် အကောင့်များကို ရပ်ဆိုင်းပါ။
terminal rbac authentication users delete-user name test1
· အခန်းကဏ္ဍများ၊ ၎င်းတို့အား တာဝန်ပေးအပ်ထားသော ဝန်ထမ်းများနှင့် အခန်းကဏ္ဍတစ်ခုစီအတွက် ခွင့်ပြုထားသည့် ဝင်ရောက်ခွင့်တို့ကို အကဲဖြတ်ရန် အချိန်အခါအလိုက် စာရင်းစစ်များ ပြုလုပ်ပါ။ အသုံးပြုသူတစ်ဦးသည် အချို့သောစနစ်သို့ မလိုအပ်ဘဲဝင်ရောက်ခွင့်ရှိသည်ကို တွေ့ရှိပါက၊ အသုံးပြုသူ၏အခန်းကဏ္ဍကို ပြောင်းလဲပါ။
နောက်ထပ်အသေးစိတ်အချက်အလက်များအတွက်၊ အသုံးပြုသူများ၊ ရာထူးများနှင့် အထောက်အထားစိစစ်ခြင်းတို့ကို ကြည့်ပါ။
Granular Role-Based Access Control NFVIS 4.7.1 မှစတင်၍ Granular Role-Based Access Control အင်္ဂါရပ်ကို မိတ်ဆက်ပေးခဲ့ပါသည်။ ဤအင်္ဂါရပ်သည် VM နှင့် VNF ကို စီမံခန့်ခွဲသည့် အရင်းအမြစ်အဖွဲ့မူဝါဒအသစ်ကို ပေါင်းထည့်ပြီး VNF ဖြန့်ကျက်စဉ်အတွင်း အသုံးပြုသူများကို အုပ်စုတစ်ခုသို့ အပ်နှံခွင့်ပြုသည်။ ပိုမိုသိရှိလိုပါက၊ Granular Role-Based Access Control ကို ကြည့်ပါ။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

စက်ပစ္စည်းအသုံးပြုခွင့်ကို ကန့်သတ်ပါ။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

စက်ပစ္စည်းအသုံးပြုခွင့်ကို ကန့်သတ်ပါ။
အသုံးပြုသူများသည် အဆိုပါအင်္ဂါရပ်များကိုဖွင့်ထားသည်ကိုမသိသောကြောင့် ၎င်းတို့မကာကွယ်ထားသောအင်္ဂါရပ်များကိုတိုက်ခိုက်ခြင်းဖြင့်သတိမထားမိဘဲအကြိမ်ကြိမ်ဖမ်းဆီးခံခဲ့ရသည်။ အသုံးမပြုသော ဝန်ဆောင်မှုများသည် အမြဲတမ်း မလုံခြုံသော ပုံသေဖွဲ့စည်းပုံများဖြင့် ကျန်နေတတ်သည်။ ဤဝန်ဆောင်မှုများသည် မူရင်းစကားဝှက်များကို အသုံးပြုနေနိုင်ပါသည်။ အချို့သောဝန်ဆောင်မှုများသည် တိုက်ခိုက်သူအား ဆာဗာလည်ပတ်နေပုံ သို့မဟုတ် ကွန်ရက်စနစ်ထည့်သွင်းပုံဆိုင်ရာ အချက်အလက်များကို လွယ်ကူစွာဝင်ရောက်ခွင့်ပေးနိုင်သည်။ အောက်ဖော်ပြပါ ကဏ္ဍများသည် NFVIS သည် ထိုကဲ့သို့သော လုံခြုံရေးအန္တရာယ်များကို မည်သို့ရှောင်ရှားကြောင်း ဖော်ပြသည်-

တိုက်ခိုက်မှု အားနည်းချက်ကို လျှော့ချခြင်း။
မည်သည့်ဆော့ဖ်ဝဲလ်မဆို လုံခြုံရေးအားနည်းချက်များ ပါဝင်နိုင်သည်။ ပိုဆော့ဖ်ဝဲလ်သည် တိုက်ခိုက်ရန် လမ်းကြောင်းများ ပိုများသည်။ ပါဝင်သည့်အချိန်တွင် လူသိရှင်ကြားသိထားသော အားနည်းချက်များမရှိသော်လည်း၊ အားနည်းချက်များကို အနာဂတ်တွင် ရှာဖွေတွေ့ရှိနိုင်သည် သို့မဟုတ် ထုတ်ဖော်နိုင်မည်ဖြစ်သည်။ ထိုသို့သောအခြေအနေများကိုရှောင်ရှားရန် NFVIS လုပ်ဆောင်ချက်အတွက် မရှိမဖြစ်လိုအပ်သော ဆော့ဖ်ဝဲလ်ပက်ကေ့ခ်ျများကိုသာ ထည့်သွင်းထားသည်။ ၎င်းသည် ဆော့ဖ်ဝဲလ် အားနည်းချက်များကို ကန့်သတ်ရန်၊ အရင်းအမြစ်သုံးစွဲမှုကို လျှော့ချရန်နှင့် ထိုပက်ကေ့ဂျ်များနှင့် ပြဿနာများကို တွေ့ရှိပါက အပိုအလုပ်များကို လျှော့ချရန် ကူညီပေးသည်။ NFVIS တွင် ပါဝင်သော ပြင်ပအဖွဲ့အစည်း ဆော့ဖ်ဝဲအားလုံးကို Cisco ရှိ ဗဟိုဒေတာဘေ့စ်တွင် မှတ်ပုံတင်ထားသောကြောင့် Cisco သည် ကုမ္ပဏီအဆင့် ဖွဲ့စည်းထားသော တုံ့ပြန်မှု (ဥပဒေ၊ လုံခြုံရေး၊ စသည်) ကို လုပ်ဆောင်နိုင်မည်ဖြစ်သည်။ လူသိများသော Common Vulnerabilities and Exposures (CVEs) အတွက် ထုတ်ဝေမှုတိုင်းတွင် ဆော့ဖ်ဝဲပက်ကေ့ချ်များကို အခါအားလျော်စွာ ဖာထေးထားပါသည်။

ပုံမှန်အားဖြင့် မရှိမဖြစ် port များကိုသာ ဖွင့်ပါ။

NFVIS ကို စနစ်ထည့်သွင်းရန်နှင့် စီမံခန့်ခွဲရန် လုံးဝလိုအပ်သော ဝန်ဆောင်မှုများကို မူရင်းအတိုင်း ရရှိနိုင်ပါသည်။ ၎င်းသည် firewall များကို configure လုပ်ရန်နှင့် မလိုအပ်သော ဝန်ဆောင်မှုများသို့ ဝင်ရောက်ခွင့်ကို ငြင်းပယ်ရန် လိုအပ်သော အသုံးပြုသူ၏ ကြိုးစားအားထုတ်မှုကို ဖယ်ရှားသည်။ ပုံသေအားဖြင့် ဖွင့်ထားသည့် တစ်ခုတည်းသောဝန်ဆောင်မှုများကို ၎င်းတို့ဖွင့်ထားသည့် ဆိပ်ကမ်းများနှင့်အတူ အောက်တွင်ဖော်ပြထားပါသည်။

Port ကိုဖွင့်ပါ။

ဝန်ဆောင်မှု

ဖော်ပြချက်

22 / TCP

SSH

NFVIS သို့ အဝေးထိန်းအမိန့်ပေးလိုင်းဝင်ရောက်ခွင့်အတွက် Secure Socket Shell

80 / TCP

HTTP

NFVIS ပေါ်တယ်ဝင်ရောက်ခွင့်အတွက် Hypertext Transfer Protocol NFVIS မှရရှိသော HTTP အသွားအလာအားလုံးကို HTTPS အတွက် port 443 သို့ ပြန်ညွှန်းသည်။

443 / TCP

HTTPS

Hypertext Transfer Protocol သည် လုံခြုံသော NFVIS ပေါ်တယ်ဝင်ရောက်ခွင့်အတွက် လုံခြုံသည်။

830 / TCP

NETCONF-ssh

SSH မှတဆင့် Network Configuration Protocol (NETCONF) အတွက် ပို့တ်ကို ဖွင့်ထားသည်။ NETCONF သည် NFVIS ၏ အလိုအလျောက် ဖွဲ့စည်းမှုပုံစံအတွက် အသုံးပြုသည့် ပရိုတိုကောတစ်ခုဖြစ်ပြီး NFVIS မှ အပျက်သဘောဆောင်သည့် ဖြစ်ရပ်သတိပေးချက်များကို လက်ခံရရှိရန်အတွက် အသုံးပြုသည်။

161/UDP

SNMP

ရိုးရှင်းသောကွန်ရက်စီမံခန့်ခွဲမှုပရိုတိုကော (SNMP)။ အဝေးထိန်း ကွန်ရက် စောင့်ကြည့်ရေး အပလီကေးရှင်းများနှင့် ဆက်သွယ်ရန်အတွက် NFVIS မှ အသုံးပြုသည်။ ပိုမိုသိရှိလိုပါက၊ SNMP အကြောင်း နိဒါန်းကို ကြည့်ပါ။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

အခွင့်အာဏာရထားသော ဝန်ဆောင်မှုများအတွက် ခွင့်ပြုထားသော ကွန်ရက်များသို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ပါ။

အခွင့်အာဏာရထားသော ဝန်ဆောင်မှုများအတွက် ခွင့်ပြုထားသော ကွန်ရက်များသို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ပါ။

တရားဝင်ခွင့်ပြုထားသော မူလအစပြုသူများကိုသာ စက်ပစ္စည်းစီမံခန့်ခွဲမှုဝင်ရောက်ခွင့်ကိုပင် ကြိုးပမ်းရန် ခွင့်ပြုသင့်ပြီး ဝင်ရောက်သုံးစွဲခွင့်သည် ၎င်းတို့အသုံးပြုခွင့်ရှိသည့် ဝန်ဆောင်မှုများအတွက်သာ ဖြစ်သင့်သည်။ NFVIS ကို သိရှိပြီး ယုံကြည်စိတ်ချရသော သတင်းရင်းမြစ်များနှင့် မျှော်မှန်းထားသော စီမံခန့်ခွဲမှုအသွားအလာ လိုလားသူများထံသို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ထားသောကြောင့် NFVIS ကို ပြင်ဆင်သတ်မှတ်နိုင်သည်။file၎။ ၎င်းသည် ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်နိုင်မှုနှင့် brute force၊ အဘိဓာန် သို့မဟုတ် DoS တိုက်ခိုက်မှုများကဲ့သို့သော အခြားတိုက်ခိုက်မှုများနှင့် ထိတွေ့မှုအန္တရာယ်ကို လျှော့ချပေးသည်။
NFVIS စီမံခန့်ခွဲမှု အင်တာဖေ့စ်များကို မလိုအပ်ဘဲ အန္တရာယ်ဖြစ်စေနိုင်သော အသွားအလာများမှ ကာကွယ်ရန်၊ အက်ဒ်မင်အသုံးပြုသူတစ်ဦးသည် လက်ခံရရှိသည့် ကွန်ရက်အသွားအလာအတွက် Access Control Lists (ACLs) ကို ဖန်တီးနိုင်သည်။ ဤ ACL များသည် အသွားအလာအစပြုသည့် အရင်းအမြစ် IP လိပ်စာများ/ကွန်ရက်များနှင့် ဤရင်းမြစ်များမှ ခွင့်ပြုထားသော သို့မဟုတ် ငြင်းပယ်ခံရသည့် လမ်းကြောင်းအမျိုးအစားကို သတ်မှတ်ပေးပါသည်။ ဤ IP အသွားအလာ စစ်ထုတ်မှုများကို NFVIS ရှိ စီမံခန့်ခွဲရေး အင်တာဖေ့စ်တစ်ခုစီတွင် သက်ရောက်သည်။ အောက်ဖော်ပြပါ ကန့်သတ်ချက်များကို IP လက်ခံရရှိခြင်း ထိန်းချုပ်မှုစာရင်း (ip-receive-acl) တွင် ပြင်ဆင်သတ်မှတ်ထားပါသည်။

ကန့်သတ်ချက်

တန်ဖိုး

ဖော်ပြချက်

အရင်းအမြစ်ကွန်ရက်/Netmask

ကွန်ရက်/ကွန်ရက်ဖုံး။ ဟောင်းအတွက်ample- 0.0.0.0/0
၅/၅

ဤအကွက်သည် လမ်းကြောင်းမှအစပြုသည့် IP လိပ်စာ/ကွန်ရက်ကို သတ်မှတ်ပေးသည်။

ဝန်ဆောင်မှု လုပ်ဆောင်ချက်

https icmp netconf scpd snmp ssh လက်ခံ drop reject

သတ်မှတ်ထားသော အရင်းအမြစ်မှ လမ်းကြောင်းအမျိုးအစား။
အရင်းအမြစ်ကွန်ရက်မှ အသွားအလာကို အရေးယူရန်။ လက်ခံခြင်းဖြင့် ချိတ်ဆက်မှုအသစ်များ ကြိုးပမ်းမှုများကို ခွင့်ပြုပါမည်။ ငြင်းပယ်ခြင်းဖြင့် ချိတ်ဆက်မှုကြိုးပမ်းမှုများကို လက်ခံမည်မဟုတ်ပါ။ စည်းမျဉ်းသည် HTTPS၊ NETCONF၊ SCP၊ SSH ကဲ့သို့သော TCP အခြေခံဝန်ဆောင်မှုအတွက်ဖြစ်ပါက၊ အရင်းအမြစ်သည် TCP ပြန်လည်သတ်မှတ်ခြင်း (RST) ပက်ကတ်ကို ရရှိမည်ဖြစ်သည်။ SNMP နှင့် ICMP ကဲ့သို့သော TCP မဟုတ်သော စည်းမျဉ်းများအတွက်၊ ပက်ကတ်ကို ဖြုတ်ချပါမည်။ ကျဆင်းသွားသည်နှင့်အမျှ ပက်ကေ့ခ်ျများအားလုံးကို ချက်ခြင်းပြုတ်ကျမည်ဖြစ်ပြီး သတင်းအရင်းအမြစ်သို့ ပေးပို့ခြင်းမရှိပါ။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

အခွင့်ထူးခံ Debug Access

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

ကန့်သတ် ဦးစားပေး

တန်ဖိုး A ဂဏန်းတန်ဖိုး

ဖော်ပြချက်
စည်းမျဥ်းစည်းကမ်းများဆိုင်ရာ အမိန့်ကို ချမှတ်ရန် ဦးစားပေးကို အသုံးပြုသည်။ ဦးစားပေးအတွက် ပိုမိုမြင့်မားသော ဂဏန်းတန်ဖိုးရှိသော စည်းမျဉ်းများကို ကွင်းဆက်တွင် ထပ်မံထည့်သွင်းပါမည်။ စည်းမျဉ်းတစ်ခုကို နောက်တစ်ခုပြီးနောက် ပေါင်းထည့်မည်ကို သေချာလိုပါက၊ အောက်ပါအတွက် ပထမဦးစားပေးနံပါတ်နှင့် ပိုမိုမြင့်မားသော ဦးစားပေးနံပါတ်ကို အသုံးပြုပါ။

အောက်ပါ sample configurations သည် သီးခြားအသုံးပြုမှုကိစ္စများအတွက် လိုက်လျောညီထွေဖြစ်စေနိုင်သော အချို့သောအခြေအနေများကို သရုပ်ဖော်သည်။
IP လက်ခံ ACL ကို ပြင်ဆင်သတ်မှတ်ခြင်း။
ACL ကို ပိုမိုတင်းကျပ်လေ၊ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ရန် ကြိုးပမ်းမှုများကို ပိုမိုကန့်သတ်လေလေဖြစ်သည်။ သို့သော်၊ ပိုမိုတင်းကျပ်သော ACL သည် စီမံခန့်ခွဲမှုအပေါ်မှ ဖန်တီးပေးနိုင်ပြီး ပြဿနာဖြေရှင်းခြင်းလုပ်ဆောင်ရန် ဝင်ရောက်နိုင်မှုကို အကျိုးသက်ရောက်နိုင်သည်။ ထို့ကြောင့် ချိန်ခွင်လျှာကို ထည့်သွင်းစဉ်းစားရန် လိုအပ်ပါသည်။ အပေးအယူတစ်ခုသည် အတွင်းပိုင်းကော်ပိုရိတ် IP လိပ်စာများသို့သာ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန်ဖြစ်သည်။ ဖောက်သည်တစ်ဦးစီသည် ၎င်းတို့၏ကိုယ်ပိုင်လုံခြုံရေးမူဝါဒ၊ ဘေးအန္တရာယ်များ၊ ထိတွေ့မှုနှင့် လက်ခံမှုတို့နှင့်စပ်လျဉ်း၍ ACL များ၏ အကောင်အထည်ဖော်မှုကို အကဲဖြတ်ရမည်ဖြစ်သည်။
subnet တစ်ခုမှ ssh traffic ကို ငြင်းပယ်ပါ-

nfvis(config)# စနစ်ဆက်တင်များ ip-receive-acl 171.70.63.0/24 ဝန်ဆောင်မှု ssh လုပ်ဆောင်ချက် ငြင်းပယ်ခြင်း ဦးစားပေး 1

ACL များကို ဖယ်ရှားခြင်း-
ip-receive-acl မှ entry ကိုဖျက်လိုက်သောအခါ၊ အရင်းအမြစ် IP လိပ်စာသည် သော့ဖြစ်သောကြောင့် ထိုရင်းမြစ်သို့ ဖွဲ့စည်းမှုအားလုံးကို ဖျက်လိုက်ပါသည်။ ဝန်ဆောင်မှုတစ်ခုတည်းကို ဖျက်ရန် အခြားဝန်ဆောင်မှုများကို ထပ်မံသတ်မှတ်ပါ။

nfvis(config)# စနစ်ဆက်တင်များ မရှိပါ ip-receive-acl 171.70.63.0/24
နောက်ထပ်အသေးစိတ်အချက်အလက်များအတွက်၊ IP လက်ခံ ACL ကို ပြင်ဆင်သတ်မှတ်ခြင်းကို ကြည့်ပါ။
အခွင့်ထူးခံ Debug Access
NFVIS ရှိ စူပါအသုံးပြုသူအကောင့်အား ကန့်သတ်မထားဘဲ၊ ဆိုးရွားနိုင်ချေရှိသော၊ စနစ်တစ်ခုလုံးဆိုင်ရာ အပြောင်းအလဲများအားလုံးကို တားဆီးရန်နှင့် NFVIS သည် အသုံးပြုသူအား စနစ်အခွံကို မဖော်ပြနိုင်စေရန်အတွက် ပုံမှန်အားဖြင့် ပိတ်ထားသည်။
သို့သော်၊ NFVIS စနစ်တွင် အမှားရှာရန်ခက်ခဲသော ပြဿနာအချို့အတွက် Cisco နည်းပညာအကူအညီစင်တာအဖွဲ့ (TAC) သို့မဟုတ် ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့သည် ဖောက်သည်၏ NFVIS သို့ shell ဝင်ရောက်ခွင့် လိုအပ်နိုင်သည်။ NFVIS တွင် နယ်ပယ်အတွင်းရှိ စက်ပစ္စည်းတစ်ခုသို့ အခွင့်ထူးခံ အမှားရှာပြင်ခြင်းဝင်ရောက်ခွင့်ကို ခွင့်ပြုထားသည့် Cisco ဝန်ထမ်းများအား ကန့်သတ်ထားကြောင်း သေချာစေရန်အတွက် NFVIS တွင် လုံခြုံသောသော့ဖွင့်အခြေခံအဆောက်အအုံတစ်ခုရှိသည်။ ဤအပြန်အလှန် အမှားရှာပြင်ခြင်းမျိုးအတွက် Linux shell ကို လုံခြုံစွာဝင်ရောက်နိုင်ရန်၊ Cisco မှ ထိန်းသိမ်းထားသော အပြန်အလှန် အမှားရှာပြင်ခြင်းဆာဗာကြားတွင် စိန်ခေါ်မှု-တုံ့ပြန်မှု စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း ယန္တရားကို အသုံးပြုပါသည်။ စက်ပစ္စည်းကို ဝယ်ယူသူ၏ခွင့်ပြုချက်ဖြင့် ဝင်ရောက်ကြည့်ရှုကြောင်းသေချာစေရန် စိန်ခေါ်မှု-တုံ့ပြန်မှုထည့်သွင်းမှုအပြင် စီမံခန့်ခွဲသူအသုံးပြုသူ၏ စကားဝှက်ကိုလည်း လိုအပ်ပါသည်။
Interactive Debugging အတွက် Shell ကို ဝင်ရောက်ရန် အဆင့်များ-
1. စီမံခန့်ခွဲသူအသုံးပြုသူတစ်ဦးသည် ဤလျှို့ဝှက်အမိန့်ကို အသုံးပြု၍ ဤလုပ်ငန်းစဉ်ကို စတင်သည်။

nfvis# စနစ် shell-access

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

လုံခြုံသော မျက်နှာပြင်များ

2. စခရင်သည် ဥပမာအားဖြင့် စိန်ခေါ်မှု စာကြောင်းတစ်ခုကို ပြသပါမည်။ample-
Challenge String (ခရေပွင့်မျဉ်းများကြားရှိ အရာအားလုံးကို သီးသန့်ကူးယူပါ)
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco အဖွဲ့ဝင်သည် Cisco မှ ထိန်းသိမ်းထားသော အပြန်အလှန် တုံ့ပြန်မှုရှိသော အမှားရှာပြင်ဆာဗာတွင် Challenge စာကြောင်းသို့ ဝင်ရောက်သည်။ ဤဆာဗာသည် Cisco အသုံးပြုသူအား Shell ကို အသုံးပြု၍ NFVIS ကို အမှားရှာရန် အခွင့်အာဏာရှိကြောင်း အတည်ပြုပြီး တုံ့ပြန်မှုစာကြောင်းကို ပြန်ပေးသည်။
4. ဤအမှာစာအောက်ရှိ မျက်နှာပြင်ပေါ်ရှိ တုံ့ပြန်မှုစာကြောင်းကို ထည့်သွင်းပါ- အဆင်သင့်ဖြစ်သောအခါတွင် သင်၏တုံ့ပြန်မှုကို ထည့်သွင်းပါ-
5. တောင်းဆိုသောအခါ၊ ဝယ်ယူသူသည် စီမံခန့်ခွဲသူ စကားဝှက်ကို ထည့်သွင်းသင့်သည်။ 6. စကားဝှက်မှန်ကန်ပါက သင်သည် shell-access ကိုရရှိမည်ဖြစ်သည်။ 7. Development သို့မဟုတ် TAC အဖွဲ့သည် အမှားရှာပြင်ခြင်းကို ဆက်လက်လုပ်ဆောင်ရန် shell ကို အသုံးပြုသည်။ 8. shell-access မှထွက်ရန် Exit ကိုရိုက်ပါ။
လုံခြုံသော မျက်နှာပြင်များ
NFVIS စီမံခန့်ခွဲမှု ဝင်ရောက်ခွင့်ကို ပုံတွင်ပြထားသည့် အင်တာဖေ့စ်များကို အသုံးပြု၍ ခွင့်ပြုထားသည်။ အောက်ပါကဏ္ဍများသည် ဤအင်တာဖေ့စ်များအတွက် NFVIS အတွက် လုံခြုံရေးအကောင်းဆုံးအလေ့အကျင့်များကို ဖော်ပြသည်။

Console SSH

ကွန်ဆိုးလ်အပေါက်သည် ကနဦးဖွဲ့စည်းပုံပြင်ဆင်မှုအတွက် NFVIS CLI သို့ ချိတ်ဆက်နိုင်စေမည့် အညီအမျှ အမှတ်စဉ် ဆိပ်ကမ်းတစ်ခုဖြစ်သည်။ အသုံးပြုသူတစ်ဦးသည် NFVIS သို့ ရုပ်ပိုင်းဆိုင်ရာဝင်ရောက်ခွင့် သို့မဟုတ် terminal ဆာဗာကိုအသုံးပြုခြင်းဖြင့် ကွန်ဆိုးလ်ကို ဝင်ရောက်ကြည့်ရှုနိုင်သည်။ terminal server မှတဆင့် console port access ကို လိုအပ်ပါက၊ လိုအပ်သော source လိပ်စာများမှသာ ဝင်ရောက်ခွင့်ပြုရန် terminal server တွင် access lists များကို configure လုပ်ပါ။
အသုံးပြုသူများသည် အဝေးမှဝင်ရောက်ခြင်း၏ လုံခြုံသောနည်းလမ်းအဖြစ် SSH ကိုအသုံးပြုခြင်းဖြင့် NFVIS CLI ကို ဝင်ရောက်ကြည့်ရှုနိုင်ပါသည်။ စီမံခန့်ခွဲရေးပရိုတိုကောများသည် ကွန်ရက်ကို ထိုးဖောက်ရန် သို့မဟုတ် နှောင့်ယှက်ရန် အသုံးပြုနိုင်သည့် သတင်းအချက်အလက်များကို မကြာခဏသယ်ဆောင်လာသောကြောင့် NFVIS စီမံခန့်ခွဲမှုလမ်းကြောင်း၏ ခိုင်မာမှုနှင့် လျှို့ဝှက်ထားမှုသည် စီမံခန့်ခွဲထားသော ကွန်ရက်၏လုံခြုံရေးအတွက် မရှိမဖြစ်လိုအပ်ပါသည်။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

CLI စက်ရှင် အချိန်ကုန်သွားပါပြီ။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

NFVIS သည် Cisco ၏ SSH ဗားရှင်း 2 ဖြစ်ပြီး အပြန်အလှန် တုံ့ပြန်ဝင်ရောက်မှုများအတွက် အင်တာနက်၏ de facto စံပရိုတိုကောကို အသုံးပြုကာ Cisco အတွင်း လုံခြုံရေးနှင့် Trust အဖွဲ့မှ အကြံပြုထားသော ခိုင်မာသောကုဒ်ဝှက်ခြင်း၊ hash နှင့် သော့လဲလှယ်မှုဆိုင်ရာ အယ်လဂိုရီသမ်များကို အသုံးပြုပါသည်။

CLI စက်ရှင် အချိန်ကုန်သွားပါပြီ။
SSH မှတစ်ဆင့် လော့ဂ်အင်ဝင်ခြင်းဖြင့်၊ အသုံးပြုသူတစ်ဦးသည် NFVIS နှင့် ဆက်ရှင်တစ်ခုကို တည်ထောင်သည်။ အသုံးပြုသူသည် လော့ဂ်အင်ဝင်နေချိန်တွင်၊ အသုံးပြုသူသည် လော့ဂ်အင်ဝင်ဆက်ရှင်ကို ပိုင်ရှင်မရှိဘဲ ထွက်သွားပါက၊ ၎င်းသည် ကွန်ရက်ကို လုံခြုံရေးအန္တရာယ်အဖြစ် ဖော်ထုတ်နိုင်သည်။ စက်ရှင်လုံခြုံရေးသည် အခြားအသုံးပြုသူ၏ စက်ရှင်ကို အသုံးပြုရန် ကြိုးစားနေသည့် သုံးစွဲသူတစ်ဦးကဲ့သို့ စက်တွင်းတိုက်ခိုက်မှုများ၏ အန္တရာယ်ကို ကန့်သတ်ထားသည်။
ဤအန္တရာယ်ကို လျော့ပါးစေရန် NFVIS သည် 15 မိနစ်မျှ လှုပ်ရှားမှုမရှိပြီးနောက် CLI ဆက်ရှင်များကို အချိန်ကုန်စေပါသည်။ စက်ရှင် အချိန်ကုန်သွားသောအခါ၊ အသုံးပြုသူသည် အလိုအလျောက် ထွက်ခွာသွားပါမည်။

NETCONF

Network Configuration Protocol (NETCONF) သည် ကွန်ရက်စက်ပစ္စည်းများ၏ အလိုအလျောက်ဖွဲ့စည်းမှုများအတွက် IETF မှ တီထွင်ပြီး စံသတ်မှတ်ထားသော ကွန်ရက်စီမံခန့်ခွဲမှုပရိုတိုကောတစ်ခုဖြစ်သည်။
NETCONF ပရိုတိုကောသည် ဖွဲ့စည်းမှုဒေတာအပြင် ပရိုတိုကောမက်ဆေ့ချ်များအတွက် Extensible Markup Language (XML) ကို အခြေခံသည့် ဒေတာကုဒ်ကို အသုံးပြုသည်။ ပရိုတိုကောမက်ဆေ့ဂျ်များကို လုံခြုံသောသယ်ယူပို့ဆောင်ရေးပရိုတိုကော၏ထိပ်တွင် ဖလှယ်ထားသည်။
NETCONF သည် NFVIS ကို SSH တွင် လုံခြုံစွာ သတ်မှတ်၍ သတ်မှတ်ပြီး ဒေတာနှင့် ဖြစ်ရပ်သတိပေးချက်များကို ရယူရန် ကွန်ရက်အော်ပရေတာ အသုံးပြုနိုင်သည့် XML-based API ကို ဖော်ထုတ်ခွင့်ပြုသည်။
ပိုမိုသိရှိလိုပါက၊ NETCONF Event Notifications ကို ကြည့်ပါ။

REST API

HTTPS မှတဆင့် RESTful API ကို အသုံးပြု၍ NFVIS ကို ပြင်ဆင်သတ်မှတ်နိုင်သည်။ REST API သည် တောင်းဆိုသည့်စနစ်များအား NFVIS ဖွဲ့စည်းမှုပုံစံအား တူညီပြီး နိုင်ငံမဲ့လုပ်ဆောင်မှုများ၏ ကြိုတင်သတ်မှတ်ထားသော အစုအဝေးကို အသုံးပြုခြင်းဖြင့် NFVIS ဖွဲ့စည်းမှုပုံစံကို ဝင်ရောက်ကြည့်ရှုရန်နှင့် ကိုင်တွယ်ရန် ခွင့်ပြုသည်။ REST API များအားလုံး၏အသေးစိတ်အချက်အလက်များကို NFVIS API အကိုးအကားလမ်းညွှန်တွင် တွေ့နိုင်ပါသည်။
အသုံးပြုသူက REST API ကိုထုတ်ပေးသောအခါ၊ စက်ရှင်တစ်ခုကို NFVIS ဖြင့်ဖွဲ့စည်းသည်။ ဝန်ဆောင်မှု တိုက်ခိုက်မှုများကို ငြင်းဆိုခြင်းနှင့် ပတ်သက်သည့် အန္တရာယ်များကို ကန့်သတ်ရန်အတွက် NFVIS သည် တစ်ပြိုင်တည်း REST ဆက်ရှင်များ၏ စုစုပေါင်းအရေအတွက်ကို 100 အထိ ကန့်သတ်ထားသည်။

NFVIS Web မုခ်ဦး
NFVIS ပေါ်တယ်သည် တစ်ခုဖြစ်သည်။ webNFVIS နှင့်ပတ်သက်သောအချက်အလက်များကိုပြသသည့် -based ဂရပ်ဖစ်အသုံးပြုသူအင်တာဖေ့စ်။ ပေါ်တယ်သည် သုံးစွဲသူအား NFVIS CLI နှင့် API ကို သိရှိရန်မလိုဘဲ HTTPS တွင် NFVIS ကို သတ်မှတ်ပြီး စောင့်ကြည့်ရန် လွယ်ကူသောနည်းလမ်းများဖြင့် တင်ဆက်ပေးပါသည်။

ကဏ္ဍစီမံခန့်ခွဲမှု
HTTP နှင့် HTTPS ၏ နိုင်ငံမဲ့သဘောသဘာဝသည် ထူးခြားသော session ID များနှင့် cookies များကို အသုံးပြုခြင်းအားဖြင့် သုံးစွဲသူများကို တမူထူးခြားစွာ ခြေရာခံသည့်နည်းလမ်းတစ်ခု လိုအပ်ပါသည်။
NFVIS သည် အသုံးပြုသူ၏ စက်ရှင်ကို စာဝှက်ထားသည်။ AES-256-CBC လျှို့ဝှက်စာဝှက်ကို HMAC-SHA-256 စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းဖြင့် စက်ရှင်အကြောင်းအရာများကို စာဝှက်ရန်အသုံးပြုသည် tag. ကုဒ်ဝှက်ခြင်းလုပ်ဆောင်မှုတစ်ခုစီအတွက် ကျပန်း 128-ဘစ်အစပြုခြင်း Vector ကို ထုတ်ပေးပါသည်။
ပေါ်တယ်စက်ရှင်ကို ဖန်တီးသောအခါ စာရင်းစစ်မှတ်တမ်းကို စတင်သည်။ အသုံးပြုသူမှ ထွက်သည့်အခါ သို့မဟုတ် စက်ရှင်အချိန်ကုန်သွားသည့်အခါ စက်ရှင်အချက်အလက်ကို ဖျက်လိုက်ပါသည်။
ပေါ်တယ်စက်ရှင်များအတွက် ပုံသေ idle အချိန်ကုန်သည် 15 မိနစ်ဖြစ်သည်။ သို့သော်၊ ၎င်းကို ဆက်တင်များစာမျက်နှာရှိ 5 နှင့် 60 မိနစ်အကြားတန်ဖိုးအဖြစ် လက်ရှိစက်ရှင်အတွက် ပြင်ဆင်သတ်မှတ်နိုင်သည်။ ၎င်းပြီးနောက်တွင် အလိုအလျောက် ထွက်ထွက်ခြင်းကို စတင်ပါမည်။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

HTTPS

HTTPS

ကာလ။ ဘရောက်ဆာတစ်ခုတည်းတွင် ဆက်ရှင်များစွာကို ခွင့်မပြုပါ။ တစ်ပြိုင်တည်း ဆက်ရှင်များ၏ အများဆုံး အရေအတွက်ကို 30 ဟု သတ်မှတ်ထားသည်။ NFVIS ပေါ်တယ်သည် အသုံးပြုသူနှင့် ဒေတာချိတ်ဆက်ရန် ကွတ်ကီးများကို အသုံးပြုသည်။ ပိုမိုကောင်းမွန်သောလုံခြုံရေးအတွက် ၎င်းသည် အောက်ပါ cookie ဂုဏ်သတ္တိများကို အသုံးပြုသည်-
· ဘရောက်ဆာကိုပိတ်ထားသည့်အခါ cookie သက်တမ်းကုန်ကြောင်းသေချာစေရန်အတွက် ပေါ်ပင်ဖြစ်ပါသည် · httpOnly ကွတ်ကီးကို JavaScript မှလက်လှမ်းမမီစေရန်အတွက် · SSL မှ cookie ကိုသာပေးပို့နိုင်စေရန်အတွက် secureProxy။
စစ်မှန်ကြောင်းအထောက်အထားပြပြီးနောက်တွင်ပင်၊ Cross-Site Request Forgery (CSRF) ကဲ့သို့သော တိုက်ခိုက်မှုများ ဖြစ်နိုင်သည်။ ဤအခြေအနေတွင်၊ အသုံးပြုသူသည် မလိုလားအပ်သော လုပ်ဆောင်ချက်များကို မရည်ရွယ်ဘဲ လုပ်ဆောင်နိုင်သည်။ web ၎င်းတို့ကို လောလောဆယ် စစ်မှန်ကြောင်း အတည်ပြုထားသည့် အက်ပ်။ ၎င်းကိုကာကွယ်ရန်၊ NFVIS သည် စက်ရှင်တစ်ခုစီအတွင်း တောင်းဆိုထားသည့် REST API တိုင်းကို တရားဝင်အတည်ပြုရန် CSRF တိုကင်များကို အသုံးပြုသည်။
URL Redirection သည် ပုံမှန်ဖြစ်သည်။ web ဆာဗာများပေါ်တွင် စာမျက်နှာတစ်ခုကို ရှာမတွေ့သောအခါ၊ web ဆာဗာ၊ အသုံးပြုသူသည် 404 မက်ဆေ့ခ်ျကိုရရှိသည်; တည်ရှိနေသော စာမျက်နှာများအတွက် ၎င်းတို့သည် လော့ဂ်အင်စာမျက်နှာကို ရရှိသည်။ ဤအရာ၏ လုံခြုံရေး သက်ရောက်မှုမှာ တိုက်ခိုက်သူသည် brute force scan ကို လုပ်ဆောင်နိုင်ပြီး မည်သည့် စာမျက်နှာနှင့် ဖိုင်တွဲများ ရှိသည်ကို အလွယ်တကူ သိရှိနိုင်ခြင်းကြောင့် ဖြစ်သည်။ NFVIS တွင် ၎င်းကို ကာကွယ်ရန်၊ အားလုံးသည် နတ္ထိ URLစက်ပစ္စည်း IP နှင့် ရှေ့ဆက်ထားသော s ကို 301 အခြေအနေတုံ့ပြန်ကုဒ်ဖြင့် ပေါ်တယ်ဝင်ရောက်ခြင်းစာမျက်နှာသို့ ပြန်ညွှန်းပါသည်။ ဆိုလိုတာက မသက်ဆိုင်ပါဘူး။ URL တိုက်ခိုက်သူမှ တောင်းဆိုထားသော၊ ၎င်းတို့သည် ၎င်းတို့ကို စစ်မှန်ကြောင်းအထောက်အထားပြရန် လော့ဂ်အင်စာမျက်နှာကို အမြဲရရှိမည်ဖြစ်သည်။ HTTP ဆာဗာ တောင်းဆိုချက်အားလုံးကို HTTPS သို့ ပြန်ညွှန်းပြီး အောက်ဖော်ပြပါ ခေါင်းစီးများကို ပြင်ဆင်သတ်မှတ်ပေးသည်-
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Portal ကိုပိတ်ခြင်း NFVIS ပေါ်တယ်ဝင်ရောက်ခွင့်ကို မူရင်းအတိုင်းဖွင့်ထားသည်။ အကယ်၍ သင်သည် ပေါ်တယ်ကို အသုံးပြုရန် စီစဉ်ခြင်းမရှိပါက၊ ဤအမိန့်ကို အသုံးပြု၍ portal ဝင်ရောက်မှုကို ပိတ်ရန် အကြံပြုလိုသည်-
terminal စနစ်ပေါ်တယ်ဝင်ရောက်ခွင့်ကို ပိတ်ထားရန် စီစဉ်သတ်မှတ်ခြင်း။
NFVIS သို့ HTTPS ဒေတာအားလုံးကို ကွန်ရက်တစ်လျှောက် ဆက်သွယ်ရန်အတွက် Transport Layer Security (TLS) ကို အသုံးပြုသည်။ TLS သည် Secure Socket Layer (SSL) ၏ ဆက်ခံသူဖြစ်သည်။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

HTTPS

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ
TLS လက်ဆွဲနှုတ်ဆက်ခြင်းတွင် ကလိုင်းယင့်သည် ဆာဗာ၏ SSL လက်မှတ်ကို ထုတ်ပေးသည့် လက်မှတ်အာဏာပိုင်ဖြင့် အတည်ပြုပေးသည့်အတောအတွင်း အထောက်အထားစိစစ်ခြင်း ပါဝင်ပါသည်။ ၎င်းသည် ဆာဗာသည် ၎င်းအား မည်သူဖြစ်သည်ကို အတည်ပြုကြောင်းနှင့် client သည် ဒိုမိန်းပိုင်ရှင်နှင့် အပြန်အလှန် ဆက်သွယ်နေခြင်းဖြစ်ကြောင်း အတည်ပြုသည်။ မူရင်းအားဖြင့်၊ NFVIS သည် ၎င်း၏ဖောက်သည်များအား ၎င်း၏အထောက်အထားကို သက်သေပြရန် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်ကို အသုံးပြုသည်။ ဤလက်မှတ်တွင် TLS ကုဒ်ဝှက်ခြင်း၏ လုံခြုံရေးကို တိုးမြှင့်ရန် 2048-ဘစ် အများသူငှာသော့ ပါရှိပါသည်။
လက်မှတ်စီမံခန့်ခွဲမှု NFVIS သည် ပထမဆုံးထည့်သွင်းသောအခါတွင် ကိုယ်တိုင်ရေးထိုးထားသော SSL လက်မှတ်ကို ထုတ်ပေးသည်။ ကိုက်ညီသော လက်မှတ်အာဏာပိုင် (CA) မှ လက်မှတ်ရေးထိုးထားသော တရားဝင်လက်မှတ်ဖြင့် ဤလက်မှတ်ကို အစားထိုးရန် လုံခြုံရေး အကောင်းဆုံး အလေ့အကျင့်တစ်ခုဖြစ်သည်။ ပုံသေကိုယ်တိုင်လက်မှတ်ထိုးထားသောလက်မှတ်ကိုအစားထိုးရန် အောက်ပါအဆင့်များကိုအသုံးပြုပါ- 1. NFVIS တွင် လက်မှတ်လက်မှတ်ထိုးခြင်းတောင်းဆိုချက် (CSR) ကိုဖန်တီးပါ။
Certificate Signing Request (CSR) သည် တစ်ခုဖြစ်သည်။ file SSL Certificate ကို လျှောက်ထားရာတွင် လက်မှတ် အာဏာပိုင်ထံ ပေးအပ်သည့် ကုဒ်လုပ်ထားသော စာသား ပိတ်ဆို့ခြင်း ဒီ file အဖွဲ့အစည်းအမည်၊ ဘုံအမည် (ဒိုမိန်းအမည်)၊ ဒေသန္တရနှင့် နိုင်ငံကဲ့သို့သော သက်သေခံလက်မှတ်တွင် ထည့်သွင်းသင့်သည့် အချက်အလက် ပါရှိသည်။ ဟိ file လက်မှတ်တွင် ထည့်သွင်းသင့်သည့် အများသူငှာသော့လည်း ပါရှိသည်။ NFVIS သည် 2048-ဘစ် အများသူငှာသော့ကို အသုံးပြု၍ ကုဒ်ဝှက်ခြင်းစွမ်းအားသည် ပိုမိုမြင့်မားသော သော့အရွယ်အစားဖြင့် ပိုမိုမြင့်မားသောကြောင့် ဖြစ်သည်။ NFVIS တွင် CSR တစ်ခုဖန်တီးရန်၊ အောက်ပါ command ကို run ပါ။
nfvis# စနစ်လက်မှတ် လက်မှတ်ရေးထိုးခြင်း-တောင်းဆိုချက် [ဘုံ-အမည် နိုင်ငံ-ကုဒ် နေရာဒေသ အဖွဲ့အစည်း-ယူနစ်-အမည် အခြေအနေ] CSR file /data/intdatastore/download/nfvis.csr အဖြစ် သိမ်းဆည်းထားသည်။ . 2. CSR ကို အသုံးပြု၍ CA မှ SSL လက်မှတ်ကို ရယူပါ။ ပြင်ပအိမ်ရှင်တစ်ခုမှ၊ လက်မှတ်လက်မှတ်ထိုးခြင်းတောင်းဆိုချက်ကို ဒေါင်းလုဒ်လုပ်ရန် scp အမိန့်ကို အသုံးပြုပါ။
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-name>
ဤ CSR ကို အသုံးပြု၍ SSL ဆာဗာ လက်မှတ်အသစ်ထုတ်ပေးရန် လက်မှတ်အာဏာပိုင်တစ်ဦးထံ ဆက်သွယ်ပါ။ 3. CA Signed Certificate ကို ထည့်သွင်းပါ။
ပြင်ပဆာဗာတစ်ခုမှ၊ လက်မှတ်ကို အပ်လုဒ်လုပ်ရန် scp အမိန့်ကို အသုံးပြုပါ။ file NFVIS သို့ data/intdatastore သို့/uploads/ လမ်းညွှန်။
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
အောက်ပါ command ကို အသုံးပြု၍ NFVIS တွင် လက်မှတ်ကို ထည့်သွင်းပါ။
nfvis# စနစ် လက်မှတ် တပ်ဆင်- လက်မှတ် လမ်းကြောင်း file///data/intdatastore/uploads/<certificate file>
4. CA Signed Certificate ကို အသုံးပြု၍ ပြောင်းပါ။ ပုံသေ ကိုယ်တိုင်ရေးထိုးထားသော လက်မှတ်အစား CA လက်မှတ်ထိုးထားသော လက်မှတ်ကို စတင်အသုံးပြုရန် အောက်ပါ command ကို သုံးပါ။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

SNMP အသုံးပြုခွင့်

nfvis(config)# စနစ်လက်မှတ်အသုံးပြုမှု-cert cert-type ca-signed

SNMP အသုံးပြုခွင့်

ရိုးရှင်းသော ကွန်ရက်စီမံခန့်ခွဲမှုပရိုတိုကော (SNMP) သည် IP ကွန်ရက်များပေါ်တွင် စီမံခန့်ခွဲထားသော စက်ပစ္စည်းများအကြောင်း အချက်အလက်များကို စုဆောင်းခြင်းနှင့် စုစည်းခြင်းနှင့် စုစည်းခြင်းအတွက် အင်တာနက် စံပရိုတိုကောတစ်ခုဖြစ်ပြီး၊ စက်ပစ္စည်း၏အပြုအမူကို ပြောင်းလဲရန် ထိုအချက်အလက်များကို ပြင်ဆင်ခြင်းအတွက် ဖြစ်သည်။
SNMP ၏ သိသာထင်ရှားသော ဗားရှင်းသုံးမျိုးအား တီထွင်ခဲ့သည်။ NFVIS သည် SNMP ဗားရှင်း 1၊ ဗားရှင်း 2c နှင့် ဗားရှင်း 3 တို့ကို ပံ့ပိုးပေးပါသည်။ SNMP ဗားရှင်း 1 နှင့် 2 သည် စစ်မှန်ကြောင်းအထောက်အထားအတွက် ကွန်မြူနတီကြိုးများကို အသုံးပြုထားပြီး ၎င်းတို့ကို စာသားသက်သက်ဖြင့် ပေးပို့ပါသည်။ ထို့ကြောင့်၊ ၎င်းသည် SNMP v3 အစား လုံခြုံရေးအကောင်းဆုံးအလေ့အကျင့်တစ်ခုဖြစ်သည်။
SNMPv3 သည် ကဏ္ဍသုံးရပ်ကို အသုံးပြုခြင်းဖြင့် စက်ပစ္စည်းများသို့ လုံခြုံစွာဝင်ရောက်ခွင့်ကို ပံ့ပိုးပေးသည်- အသုံးပြုသူများ၊ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းနှင့် ကုဒ်ဝှက်ခြင်း SNMPv3 သည် SNMP မှတစ်ဆင့် ရရှိနိုင်သော အချက်အလက်များကို ဝင်ရောက်ခွင့်ကို ထိန်းချုပ်ရန်အတွက် USM (User-based Security Module) ကို အသုံးပြုသည်။ SNMP v3 အသုံးပြုသူကို အထောက်အထားစိစစ်ခြင်းအမျိုးအစား၊ ကိုယ်ရေးကိုယ်တာအမျိုးအစားအပြင် စကားဝှက်တစ်ခုဖြင့် ပြင်ဆင်သတ်မှတ်ထားသည်။ အဖွဲ့ကို မျှဝေအသုံးပြုသူအားလုံးသည် တူညီသော SNMP ဗားရှင်းကို အသုံးပြုသော်လည်း၊ သတ်မှတ်ထားသော လုံခြုံရေးအဆင့်ဆက်တင်များ (စကားဝှက်၊ ကုဒ်ဝှက်ခြင်းအမျိုးအစား၊ စသည်ဖြင့်) ကို အသုံးပြုသူတိုင်း သတ်မှတ်ထားပါသည်။
အောက်ပါဇယားသည် SNMP အတွင်း လုံခြုံရေးရွေးချယ်စရာများကို အကျဉ်းချုပ်ဖော်ပြသည်။

မော်ဒယ်

အဆင့်

အထောက်အထားပြခြင်း။

စွယ်စုံကျမ်း

ရလဒ်

v1

noAuthNoPriv

အသိုင်းအဝိုင်း စာတန်းအမှတ်

အသိုင်းအဝိုင်းကို အသုံးပြုသည်။

string match for

စစ်မှန်ကြောင်းအထောက်အထားပြ။

v2c

noAuthNoPriv

အသိုင်းအဝိုင်း စာတန်းအမှတ်

အထောက်အထားစိစစ်ခြင်းအတွက် ကွန်မြူနတီစာကြောင်းကို အသုံးပြုသည်။

v3

noAuthNoPriv

အသုံးပြုသူအမည်

မရှိ

အသုံးပြုသူအမည်ကို အသုံးပြုသည်။

ပွဲအတွက်

စစ်မှန်ကြောင်းအထောက်အထားပြ။

v3

authNoPriv

Message Digest 5 No

ပေးသည်။

(MD5)

စစ်မှန်ကြောင်းအထောက်အထားအခြေခံ

or

HMAC-MD5-96 သို့မဟုတ်

Hash ကို လုံခြုံအောင်ထားပါ။

HMAC-SHA-96

အယ်လဂိုရီသမ် (SHA)

algorithms

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

ဥပဒေသတိပေးချက် ဆိုင်းဘုတ်များ

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

မော်ဒယ် v3

အဆင့် authPriv

စစ်မှန်ကြောင်းအထောက်အထား MD5 သို့မဟုတ် SHA

စွယ်စုံကျမ်း

ရလဒ်

Data Encryption ပေးပါသည်။

စံ (DES) သို့မဟုတ် စစ်မှန်ကြောင်းအထောက်အထားအခြေခံ

အဆင့်မြင့်သည်။

ပေါ်မှာ

ကုဒ်ဝှက်ခြင်းစံနှုန်း HMAC-MD5-96 သို့မဟုတ်

(AES)

HMAC-SHA-96

algorithms

Cipher Block Chaining Mode (CBC-DES) တွင် DES Cipher algorithm ကို ပေးသည်

or

128-bit သော့အရွယ်အစား (CFB128-AES-128) ဖြင့် Cipher FeedBack မုဒ် (CFB) တွင် AES ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ်

NIST မှ မွေးစားလိုက်ကတည်းက၊ AES သည် လုပ်ငန်းနယ်ပယ်တစ်လျှောက်တွင် လွှမ်းမိုးထားသော ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အယ်လဂိုရီသမ် ဖြစ်လာခဲ့သည်။ MD5 နှင့် SHA သို့ စက်မှုလုပ်ငန်း၏ ရွေ့ပြောင်းမှုကို လိုက်နာရန်၊ ၎င်းသည် SNMP v3 အထောက်အထားစိစစ်ခြင်းပရိုတိုကောကို SHA နှင့် AES အဖြစ် ကိုယ်ရေးကိုယ်တာပရိုတိုကောအဖြစ် သတ်မှတ်ရန် လုံခြုံရေးအကောင်းဆုံးအလေ့အကျင့်တစ်ခုဖြစ်သည်။
SNMP ၏အသေးစိတ်အချက်အလက်များအတွက်၊ SNMP အကြောင်း နိဒါန်းကို ကြည့်ပါ။

ဥပဒေသတိပေးချက် ဆိုင်းဘုတ်များ
အသုံးပြုသူများသည် လုံခြုံရေးမူဝါဒကို ကျင့်သုံးနေပြီး ၎င်းတို့နှင့်သက်ဆိုင်သည့် အကြောင်းအရာများကို အကြောင်းကြားကြောင်း သေချာစေရန် အပြန်အလှန်တုံ့ပြန်သည့် ဆက်ရှင်များအားလုံးတွင် တရားဝင် အသိပေးချက်နဖူးစည်းတစ်ခု ရှိနေကြောင်း အကြံပြုအပ်ပါသည်။ အချို့သောတရားစီရင်ပိုင်ခွင့်များတွင်၊ စနစ်အတွင်းသို့ဖောက်ထွင်းဝင်ရောက်တိုက်ခိုက်သူအား အရပ်ဘက်နှင့်/သို့မဟုတ် ရာဇ၀တ်မှုဆိုင်ရာတရားစွဲဆိုမှုသည် ပိုမိုလွယ်ကူသည် သို့မဟုတ် တရားဝင်အသိပေးချက်နဖူးစည်းတစ်ခုတင်ပြပါက ၎င်းတို့၏အသုံးပြုမှုသည် အမှန်တကယ်ခွင့်ပြုချက်မရှိဘဲဖြစ်ကြောင်း တရားဝင်ခွင့်ပြုချက်မရှိသောအသုံးပြုသူများအား အသိပေးခြင်း။ အချို့သောတရားစီရင်ပိုင်ခွင့်များတွင်၊ ခွင့်ပြုချက်မရှိဘဲအသုံးပြုသူ၏လုပ်ဆောင်မှုကို စောင့်ကြည့်ရန် တားမြစ်ထားနိုင်သည်။
ဥပဒေသတိပေးချက်လိုအပ်ချက်များသည် ရှုပ်ထွေးပြီး စီရင်ပိုင်ခွင့်နှင့် အခြေအနေတစ်ခုစီတွင် ကွဲပြားပါသည်။ တရားစီရင်ပိုင်ခွင့်များအတွင်း၌ပင် ဥပဒေဆိုင်ရာ သဘောထားများ ကွဲပြားသည်။ အသိပေးချက်နဖူးစည်းသည် ကုမ္ပဏီ၊ ပြည်တွင်း၊ နိုင်ငံတကာ ဥပဒေဆိုင်ရာ လိုအပ်ချက်များနှင့် ကိုက်ညီကြောင်း သေချာစေရန် ဤပြဿနာကို သင့်ကိုယ်ပိုင် ဥပဒေအကြံပေးနှင့် ဆွေးနွေးပါ။ လုံခြုံရေးချိုးဖောက်မှုတစ်ခုဖြစ်ပွားသည့်အခါ ၎င်းသည် သင့်လျော်သောလုပ်ဆောင်ချက်ကို လုံခြုံစေရန်အတွက် အရေးကြီးသည်။ ကုမ္ပဏီဥပဒေအကြံပေးနှင့် ပူးပေါင်းဆောင်ရွက်ရာတွင် ဥပဒေသတိပေးချက်နဖူးစည်းတွင် ထည့်သွင်းနိုင်သည့် ထုတ်ပြန်ချက်များ ပါဝင်သည်။
· အထူးအခွင့်အာဏာရှိသူမှသာလျှင် စနစ်ဝင်ရောက်အသုံးပြုမှုနှင့် အသုံးပြုမှုကို ခွင့်ပြုကြောင်းနှင့် အသုံးပြုခွင့်ရှိသူများ၏ အချက်အလက်ဖြစ်ကောင်းဖြစ်နိုင်သည် ။
· စနစ်အား ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်အသုံးပြုခြင်းနှင့် အသုံးပြုခြင်းသည် ဥပဒေနှင့်မညီဘဲ အရပ်ဘက်နှင့်/သို့မဟုတ် ရာဇ၀တ်မှုဆိုင်ရာ ပြစ်ဒဏ်များ ချမှတ်ခံရနိုင်သည်ဟု အကြောင်းကြားခြင်း။
· နောက်ထပ်သတိပေးချက်မပါဘဲ စနစ်၏ဝင်ရောက်အသုံးပြုမှုနှင့် အသုံးပြုမှုကို မှတ်တမ်းတင်ထားနိုင်သည် သို့မဟုတ် စောင့်ကြည့်နိုင်ကြောင်း အသိပေးချက်နှင့် ထွက်ပေါ်လာသောမှတ်တမ်းများကို တရားရုံးတွင် သက်သေအဖြစ် အသုံးပြုနိုင်သည်။
· သက်ဆိုင်ရာ ဒေသန္တရဥပဒေများအတွက် လိုအပ်သော ထပ်လောင်း သီးခြားသတိပေးချက်များ။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

Factory Default Reset

တရားဥပဒေဆိုတာထက် လုံခြုံရေးတစ်ခုကနေပြီးတော့မှ viewတရားဝင် အသိပေးချက်နဖူးစည်းတစ်ခုတွင် ၎င်း၏အမည်၊ မော်ဒယ်၊ ဆော့ဖ်ဝဲလ်၊ တည်နေရာ၊ အော်ပရေတာ သို့မဟုတ် ပိုင်ရှင်ကဲ့သို့ စက်ပစ္စည်းနှင့်ပတ်သက်သည့် သီးခြားအချက်အလက်များ မပါဝင်သင့်ပါ။
အောက်ပါအတိုင်းဖြစ်ပါသည်။ampအကောင့်ဝင်ခြင်းမပြုမီ ပြသနိုင်သည့် တရားဝင် အသိပေးချက်နဖူးစည်းပုံ-
ဤစက်ပစ္စည်းအား ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ကို တားမြစ်ထားပါသည် သင့်တွင် ဤစက်ပစ္စည်းကို အသုံးပြုရန် သို့မဟုတ် ပြင်ဆင်သတ်မှတ်ရန် တိကျပြတ်သားသော၊ ခွင့်ပြုချက်ရှိရပါမည်။ ရယူရန် သို့မဟုတ် အသုံးပြုရန် ခွင့်ပြုချက်မရှိဘဲ ကြိုးပမ်းမှုများနှင့် လုပ်ဆောင်ချက်များ
ဤစနစ်သည် အရပ်ဘက်နှင့်/သို့မဟုတ် ပြစ်မှုပြစ်ဒဏ်များ ချမှတ်နိုင်သည်။ ဤစက်ပစ္စည်းပေါ်တွင် လုပ်ဆောင်ခဲ့သော လုပ်ဆောင်ချက်အားလုံးကို မှတ်တမ်းဝင်ပြီး စောင့်ကြည့်ထားသည်။

မှတ်ချက် ကုမ္ပဏီဥပဒေအကြံပေးမှ အတည်ပြုထားသော တရားဝင်အကြောင်းကြားစာနဖူးစည်းကို တင်ပြပါ။
NFVIS သည် နေ့စဥ်နဖူးစည်းပုံနှင့် Message of the Day (MOTD) ၏ဖွဲ့စည်းပုံကို ခွင့်ပြုသည်။ အသုံးပြုသူ လော့ဂ်အင်မဝင်မီတွင် နဖူးစည်းကို ပြသထားသည်။ အသုံးပြုသူသည် NFVIS သို့ ဝင်ရောက်ပြီးသည်နှင့် စနစ်သတ်မှတ်ထားသော နဖူးစည်းတစ်ခုသည် NFVIS နှင့်ပတ်သက်သည့် မူပိုင်ခွင့်အချက်အလက်ကို ပေးဆောင်ပြီး ပြင်ဆင်သတ်မှတ်ထားပါက ယနေ့ခေတ် မက်ဆေ့ဂျ် (MOTD) သည် ပေါ်လာမည်ဖြစ်ပြီး ၎င်းနောက်တွင်၊ command line prompt သို့မဟုတ် portal viewအကောင့်ဝင်နည်းလမ်းပေါ် မူတည်.
အကောင့်ဝင်ခြင်းအမှာစာမပြမီ စက်ပစ္စည်းစီမံခန့်ခွဲမှုဝင်ရောက်ခြင်းဆိုင်ရာ ဆက်ရှင်များအားလုံးတွင် တရားဝင်အကြောင်းကြားချက်နဖူးစည်းကိုပြသကြောင်းသေချာစေရန် အကောင့်ဝင်နဖူးစည်းတစ်ခုကို အကောင်အထည်ဖော်ရန် အကြံပြုအပ်ပါသည်။ နဖူးစည်းနှင့် MOTD ကို configure လုပ်ရန် ဤအမိန့်ကိုသုံးပါ။
nfvis(config)# နဖူးစည်းပုံ-motd နဖူးစည်းပုံ motd
နဖူးစည်းအမိန့်နှင့်ပတ်သက်သည့် နောက်ထပ်အချက်အလက်များအတွက်၊ သတ်မှတ်ပုံစံနဖူးစည်းပုံ၊ နေ့၏မက်ဆေ့ဂျ်နှင့် စနစ်အချိန်ကို ကြည့်ပါ။

Factory Default Reset
Factory Reset သည် ၎င်း၏ ပို့ဆောင်ချိန်မှစပြီး စက်ပစ္စည်းသို့ ထည့်ထားသည့် သုံးစွဲသူ၏ သီးခြားဒေတာအားလုံးကို ဖယ်ရှားသည်။ ဖျက်လိုက်သောဒေတာတွင် ဖွဲ့စည်းမှုပုံစံများ၊ မှတ်တမ်းများ ပါဝင်သည်။ files၊ VM ရုပ်ပုံများ၊ ချိတ်ဆက်မှုအချက်အလက်နှင့် အသုံးပြုသူ အကောင့်ဝင်ခြင်းဆိုင်ရာ အထောက်အထားများ။
၎င်းသည် စက်ပစ္စည်းကို စက်ရုံထုတ်-မူရင်းဆက်တင်များသို့ ပြန်လည်သတ်မှတ်ရန် အမိန့်တစ်ခုပေးထားပြီး အောက်ပါအခြေအနေများတွင် အသုံးဝင်သည်-
· စက်ပစ္စည်းတစ်ခုအတွက် Return Material Authorization (RMA)-- အကယ်၍ သင်သည် စက်ပစ္စည်းတစ်ခုကို Cisco အတွက် RMA သို့ ပြန်ပေးရပါက၊ ဝယ်ယူသူ၏ သီးခြားဒေတာအားလုံးကို ဖယ်ရှားရန် Factory Default ပြန်လည်သတ်မှတ်ခြင်းကို အသုံးပြုပါ။
· ပျက်စီးသွားသော စက်ပစ္စည်းကို ပြန်လည်ရယူခြင်း- စက်ပစ္စည်းတစ်ခုပေါ်တွင် သိမ်းဆည်းထားသော အဓိကပစ္စည်း သို့မဟုတ် အထောက်အထားများကို အခိုးခံရပါက၊ စက်ပစ္စည်းကို စက်ရုံဖွဲ့စည်းပုံပုံစံသို့ ပြန်လည်သတ်မှတ်ပြီးနောက် စက်ပစ္စည်းကို ပြန်လည်ပြင်ဆင်ပါ။
· တူညီသောကိရိယာကို ပုံစံအသစ်ဖြင့် မတူညီသောဆိုက်တစ်ခုတွင် ပြန်လည်အသုံးပြုရန် လိုအပ်ပါက၊ ရှိပြီးသားဖွဲ့စည်းပုံကိုဖယ်ရှားပြီး သန့်ရှင်းသောအခြေအနေသို့ရောက်စေရန် Factory Default ပြန်လည်သတ်မှတ်ခြင်းကို လုပ်ဆောင်ပါ။

NFVIS သည် Factory default reset အတွင်း အောက်ပါရွေးချယ်စရာများကို ပံ့ပိုးပေးသည်-

Factory Reset Option

ဒေတာ ဖျက်လိုက်ပါပြီ။

ဒေတာသိမ်းဆည်းထားသည်။

အားလုံး

အားလုံးဖွဲ့စည်းပုံ၊ အပ်လုဒ်လုပ်ထားသောပုံ စီမံခန့်ခွဲသူအကောင့်ကို ထိန်းသိမ်းထားပြီး၊

files၊ VM နှင့် မှတ်တမ်းများ။

စကားဝှက်ကို ပြောင်းလဲသွားပါမည်။

စက်ပစ္စည်းသို့ ချိတ်ဆက်နိုင်မှုသည် စက်ရုံထုတ် စကားဝှက်ဖြစ်ပါမည်။

ဆုံးရှုံး

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

အခြေခံအဆောက်အဦစီမံခန့်ခွဲမှုကွန်ရက်

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

ပုံများ မှလွဲ၍ အားလုံးကို စက်ရုံထုတ် ပြန်သတ်မှတ်ခြင်း ရွေးချယ်မှု
all-exception-images-connectivity
ကုန်ထုတ်လုပ်မှု

ဒေတာ ဖျက်လိုက်ပါပြီ။

ဒေတာသိမ်းဆည်းထားသည်။

ရုပ်ပုံဖွဲ့စည်းပုံဖွဲ့စည်းပုံမှလွဲ၍ ဖွဲ့စည်းမှုအားလုံး၊ မှတ်ပုံတင်ထားသည်။

ဖွဲ့စည်းမှုစနစ်၊ VM နှင့် အပ်လုဒ်လုပ်ထားသော ပုံများနှင့် မှတ်တမ်းများ

ပုံ files.

စီမံခန့်ခွဲသူအကောင့်ကို ထိန်းသိမ်းထားပြီး၊

စက်ပစ္စည်းသို့ ချိတ်ဆက်မှုမှ စကားဝှက်သို့ ပြောင်းလဲသွားမည်ဖြစ်သည်။

ဆုံးရှုံး

စက်ရုံသုံး စကားဝှက်။

ရုပ်ပုံ၊ ရုပ်ပုံများ၊ ကွန်ရက်နှင့် ချိတ်ဆက်မှုမှလွဲ၍ ဖွဲ့စည်းမှုအားလုံး

ကွန်ရက်နှင့်ချိတ်ဆက်မှု

ဆက်စပ်ဖွဲ့စည်းပုံ၊ မှတ်ပုံတင်

ဖွဲ့စည်းမှုစနစ်၊ VM နှင့် အပ်လုဒ်လုပ်ထားသော ပုံများနှင့် မှတ်တမ်းများ။

ပုံ files.

စီမံခန့်ခွဲသူအကောင့်ကို ထိန်းသိမ်းထားပြီး၊

ကိရိယာနှင့်ချိတ်ဆက်မှု

ယခင်ပြင်ဆင်ထားသော စီမံခန့်ခွဲသူ

ရရှိနိုင်

စကားဝှက်ကို ထိန်းသိမ်းထားပါမည်။

ပုံဖွဲ့စည်းပုံစနစ်၊ VMs၊ အပ်လုဒ်လုပ်ထားသောပုံမှလွဲ၍ စီစဉ်မှုအားလုံး files နှင့် မှတ်တမ်းများ။
စက်ပစ္စည်းသို့ ချိတ်ဆက်မှု ပြတ်တောက်သွားပါမည်။

ပုံသဏ္ဍာန်ဖွဲ့စည်းပုံနှင့် မှတ်ပုံတင်ထားသောပုံများ
စီမံခန့်ခွဲသူအကောင့်ကို ထိန်းသိမ်းထားပြီး စကားဝှက်ကို စက်ရုံထုတ် စကားဝှက်အဖြစ် ပြောင်းလဲသွားပါမည်။

အသုံးပြုသူသည် Factory Default ပြန်လည်သတ်မှတ်ခြင်း၏ ရည်ရွယ်ချက်အပေါ်အခြေခံ၍ သင့်လျော်သောရွေးချယ်မှုကို ဂရုတစိုက်ရွေးချယ်ရပါမည်။ နောက်ထပ်အချက်အလက်များအတွက်၊ Factory Default သို့ ပြန်လည်သတ်မှတ်ခြင်းကို ကြည့်ပါ။

အခြေခံအဆောက်အဦစီမံခန့်ခွဲမှုကွန်ရက်
အခြေခံအဆောက်အဦစီမံခန့်ခွဲမှုကွန်ရက်သည် အခြေခံအဆောက်အအုံဆိုင်ရာစက်ပစ္စည်းများအတွက် ထိန်းချုပ်မှုနှင့် စီမံခန့်ခွဲမှုလေယာဉ်အသွားအလာ (ဥပမာ NTP၊ SSH၊ SNMP၊ syslog စသည်) ကို သယ်ဆောင်သည့် ကွန်ရက်ကို ရည်ညွှန်းသည်။ စက်ပစ္စည်းဝင်ရောက်ခွင့်သည် ကွန်ဆိုးလ်မှတဆင့်အပြင် အီသာနက်အင်တာဖေ့စ်များမှတစ်ဆင့်လည်း ဖြစ်နိုင်သည်။ ဤထိန်းချုပ်မှုနှင့် စီမံခန့်ခွဲမှု လေယာဉ်အသွားအလာသည် ကွန်ရက်လည်ပတ်မှုများအတွက် အရေးကြီးပြီး ကွန်ရက်ကို မြင်နိုင်စွမ်းနှင့် ထိန်းချုပ်မှုကို ပေးစွမ်းသည်။ ထို့ကြောင့်၊ ကောင်းမွန်စွာ ဒီဇိုင်းထုတ်ထားပြီး လုံခြုံသော အခြေခံအဆောက်အအုံ စီမံခန့်ခွဲမှုကွန်ရက်သည် ကွန်ရက်တစ်ခု၏ အလုံးစုံလုံခြုံရေးနှင့် လုပ်ဆောင်ချက်များအတွက် အရေးကြီးပါသည်။ လုံခြုံသောအခြေခံအဆောက်အဦစီမံခန့်ခွဲမှုကွန်ရက်အတွက် အဓိကအကြံပြုချက်တစ်ခုမှာ ဝန်ထုပ်ဝန်ပိုးများပြီး ယာဉ်ကြောအသွားအလာများသည့်အခြေအနေအောက်တွင်ပင် အဝေးထိန်းစနစ်ဖြင့် စီမံခန့်ခွဲနိုင်စေရန်အတွက် စီမံခန့်ခွဲမှုနှင့် ဒေတာအသွားအလာကို ပိုင်းခြားခြင်းဖြစ်သည်။ သီးသန့်စီမံခန့်ခွဲမှု အင်တာဖေ့စ်ကို အသုံးပြု၍ ၎င်းကို အောင်မြင်နိုင်သည်။
အောက်ပါတို့သည် အခြေခံအဆောက်အအုံ စီမံခန့်ခွဲမှုကွန်ရက် အကောင်အထည်ဖော်ရေး ချဉ်းကပ်နည်းများဖြစ်သည်။
တီးဝိုင်းပြင်ပစီမံခန့်ခွဲမှု
Out-of-band Management (OOB) စီမံခန့်ခွဲမှုကွန်ရက်တွင် ၎င်းသည် စီမံခန့်ခွဲရန် ကူညီပေးသည့် ဒေတာကွန်ရက်နှင့် လုံးဝလွတ်လပ်ပြီး ရုပ်ပိုင်းဆိုင်ရာ ကွဲပြားနေသည့် ကွန်ရက်တစ်ခု ပါဝင်သည်။ ၎င်းကို တစ်ခါတစ်ရံတွင် Data Communications Network (DCN) အဖြစ်လည်း ရည်ညွှန်းသည်။ ကွန်ရက်စက်ပစ္စည်းများသည် OOB ကွန်ရက်သို့ မတူညီသောနည်းလမ်းများဖြင့် ချိတ်ဆက်နိုင်သည်- NFVIS သည် OOB ကွန်ရက်သို့ ချိတ်ဆက်ရန် အသုံးပြုနိုင်သည့် built-in စီမံခန့်ခွဲမှု အင်တာဖေ့စ်ကို ပံ့ပိုးပေးသည်။ NFVIS သည် သီးသန့်စီမံခန့်ခွဲမှုအင်တာဖေ့စ်အဖြစ် ENCS ရှိ ကြိုတင်သတ်မှတ်ထားသော ရုပ်ပိုင်းဆိုင်ရာအင်တာဖေ့စ်၏ဖွဲ့စည်းပုံအား ခွင့်ပြုသည်။ သတ်မှတ်ထားသော အင်တာဖေ့စ်များဆီသို့ စီမံခန့်ခွဲရေးပက်ကတ်များကို ကန့်သတ်ခြင်းသည် စက်ပစ္စည်းတစ်ခု၏ စီမံခန့်ခွဲမှုအပေါ် ပိုမိုကောင်းမွန်သော ထိန်းချုပ်မှုကို ပေးစွမ်းနိုင်ပြီး ထိုကိရိယာအတွက် ပိုမိုလုံခြုံမှုကို ပေးစွမ်းသည်။ အခြားအကျိုးခံစားခွင့်များတွင် စီမံခန့်ခွဲမှုမဟုတ်သော အင်တာဖေ့စ်များရှိ ဒေတာပက်ကေ့ခ်ျများအတွက် စွမ်းဆောင်ရည်မြှင့်တင်ပေးခြင်း၊ ကွန်ရက်ချဲ့ထွင်နိုင်မှုအတွက် ပံ့ပိုးမှု၊

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

Pseudo out-band Management

စက်ပစ္စည်းတစ်ခုသို့ဝင်ရောက်ခွင့်ကိုကန့်သတ်ရန်နှင့် CPU သို့ရောက်ရှိရန်စီမံခန့်ခွဲမှုပက်ကေ့ချ်ရေကြီးခြင်းမှကာကွယ်ရန်ဝင်ရောက်ခွင့်ထိန်းချုပ်မှုစာရင်းများ (ACLs) အနည်းငယ်လိုအပ်သည်။ ကွန်ရက်စက်ပစ္စည်းများသည် သီးခြားဒေတာအင်တာဖေ့စ်များမှတစ်ဆင့် OOB ကွန်ရက်သို့လည်း ချိတ်ဆက်နိုင်သည်။ ဤကိစ္စတွင်၊ သီးသန့်အင်တာဖေ့စ်များမှသာလျှင် စီမံခန့်ခွဲမှုအသွားအလာကို ကိုင်တွယ်ကြောင်းသေချာစေရန် ACLs များကို အသုံးချသင့်သည်။ နောက်ထပ်အချက်အလက်များအတွက်၊ IP လက်ခံ ACL နှင့် Port 22222 နှင့် Management Interface ACL ကို ပြင်ဆင်သတ်မှတ်ခြင်းကို ကြည့်ပါ။
Pseudo out-band Management
pseudo တီးဝိုင်းပြင်ပစီမံခန့်ခွဲမှုကွန်ရက်တစ်ခုသည် ဒေတာကွန်ရက်ကဲ့သို့ တူညီသောရုပ်ပိုင်းဆိုင်ရာအခြေခံအဆောက်အအုံကိုအသုံးပြုသော်လည်း VLANs ကိုအသုံးပြုခြင်းဖြင့် လမ်းကြောင်းအတုအယောင်ခွဲထွက်ခြင်းမှတစ်ဆင့် ယုတ္တိပိုင်းခြားမှုကို ပေးဆောင်သည်။ NFVIS သည် မတူညီသော အသွားအလာ အရင်းအမြစ်များကို ရှာဖွေဖော်ထုတ်ရန်နှင့် VMs များကြား သီးခြားအသွားအလာများကို ကူညီရန် VLAN များနှင့် virtual တံတားများ ဖန်တီးခြင်းကို ပံ့ပိုးပေးပါသည်။ သီးခြားတံတားများနှင့် VLAN များရှိခြင်းသည် virtual machine network ၏ data traffic နှင့် management network ကို သီးခြားခွဲထုတ်ထားသောကြောင့် VM နှင့် host အကြား traffic segmentation ကို ပံ့ပိုးပေးပါသည်။ နောက်ထပ်အချက်အလက်များအတွက် NFVIS Management Traffic အတွက် VLAN ပြင်ဆင်ခြင်းကို ကြည့်ပါ။
အဖွဲ့တွင်းစီမံခန့်ခွဲမှု
in-band စီမံခန့်ခွဲမှုကွန်ရက်တစ်ခုသည် ဒေတာလမ်းကြောင်းများကဲ့သို့ ရုပ်ပိုင်းဆိုင်ရာနှင့် ယုတ္တိလမ်းကြောင်းများကို အသုံးပြုသည်။ အဆုံးစွန်အားဖြင့်၊ ဤကွန်ရက်ဒီဇိုင်းသည် အကျိုးခံစားခွင့်များနှင့် ကုန်ကျစရိတ်များနှင့် စွန့်စားရသည့် ဖောက်သည်တစ်ဦးချင်းခွဲခြမ်းစိတ်ဖြာမှု လိုအပ်သည်။ အချို့သော ယေဘူယျ စဉ်းစားချက်များ ပါဝင်သည်။
· သီးခြား OOB စီမံခန့်ခွဲမှုကွန်ရက်သည် အနှောင့်အယှက်ဖြစ်စေသောဖြစ်ရပ်များအတွင်းပင် ကွန်ရက်ကို မြင်နိုင်စွမ်းနှင့် ထိန်းချုပ်မှုကို တိုးမြှင့်ပေးသည်။
· OOB ကွန်ရက်မှတဆင့် ကွန်ရက်တယ်လီမီတာကို ပို့လွှတ်ခြင်းသည် အရေးကြီးသော ကွန်ရက်ကို မြင်နိုင်စွမ်းကို ပေးဆောင်သည့် အချက်အလက်များ၏ အနှောင့်အယှက်ဖြစ်နိုင်ခြေကို နည်းပါးစေသည်။
· ကွန်ရက်အခြေခံအဆောက်အအုံ၊ တန်ဆာပလာများ၊ စသည်တို့ကို ချိတ်ဆက်မှုအတွင်း စီမံခန့်ခွဲမှုဝင်ရောက်ခွင့်သည် ကွန်ရက်ဖြစ်ရပ်တစ်ခုဖြစ်ပွားသည့်အခါတွင် ကွန်ရက်ကိုမြင်နိုင်မှုနှင့် ထိန်းချုပ်မှုအားလုံးကို ဖယ်ရှားပစ်ရန် ဆုံးရှုံးသွားနိုင်သည်။ ဤဖြစ်ပွားမှုကို လျော့ပါးစေရန် သင့်လျော်သော QoS ထိန်းချုပ်မှုများကို ထည့်သွင်းသင့်သည်။
· NFVIS တွင် အမှတ်စဉ် ကွန်ဆိုးလ် ပေါက်များနှင့် အီသာနက် စီမံခန့်ခွဲမှု အင်တာဖေ့စ်များ အပါအဝင် စက်ပစ္စည်း စီမံခန့်ခွဲမှုအတွက် ရည်စူးထားသည့် အင်တာဖေ့စ်များ ပါဝင်သည်။
· စီမံခန့်ခွဲမှုကွန်ရက်အသွားအလာမှာ ပုံမှန်အားဖြင့် မြင့်မားသော bandwidth နှင့် စွမ်းဆောင်ရည်မြင့်မားသောစက်ပစ္စည်းများကို တောင်းဆိုလေ့မရှိသောကြောင့် OOB စီမံခန့်ခွဲမှုကွန်ရက်ကို ပုံမှန်အားဖြင့် ကျိုးကြောင်းဆီလျော်သော ကုန်ကျစရိတ်ဖြင့် ဖြန့်ကျက်ထားနိုင်သည်၊
ဒေသအလိုက် သိမ်းဆည်းထားသော အချက်အလက်ကာကွယ်ရေး
ထိလွယ်ရှလွယ် သတင်းအချက်အလက်ကို ကာကွယ်ခြင်း။
NFVIS သည် စကားဝှက်များနှင့် လျှို့ဝှက်ချက်များ အပါအဝင် အရေးကြီးသော အချက်အလက်အချို့ကို စက်တွင်းတွင် သိမ်းဆည်းထားသည်။ စကားဝှက်များကို ယေဘူယျအားဖြင့် ဗဟိုချုပ်ကိုင်ထားသော AAA ဆာဗာတစ်ခုမှ ထိန်းသိမ်းပြီး ထိန်းချုပ်ထားသင့်သည်။ သို့သော်၊ ဗဟိုချုပ်ကိုင်မှုရှိသော AAA ဆာဗာကို အသုံးပြုထားလျှင်ပင်၊ AAA ဆာဗာများ မရရှိနိုင်ခြင်း၊ အထူးအသုံးပြုသူအမည်များ စသည်တို့အတွက် ဒေသဆိုင်ရာ စကားဝှက်များနှင့် အခြားအထိခိုက်မခံသည့် ကိစ္စများတွင် ဒေသအလိုက် သိမ်းဆည်းထားသော စကားဝှက်အချို့ လိုအပ်ပါသည်။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

File အပြောင်းအရွှေ့

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

အချက်အလက်များကို NFVIS တွင် ဟက်ကာများအဖြစ် သိမ်းဆည်းထားသောကြောင့် မူလအထောက်အထားများကို စနစ်မှ ပြန်လည်ရယူရန် မဖြစ်နိုင်ပါ။ Hashing သည် ကျယ်ပြန့်စွာလက်ခံထားသော လုပ်ငန်းဆိုင်ရာစံနှုန်းတစ်ခုဖြစ်သည်။

File အပြောင်းအရွှေ့
FileNFVIS စက်များသို့ လွှဲပြောင်းရန်လိုအပ်နိုင်သည့် s တွင် VM ရုပ်ပုံနှင့် NFVIS အဆင့်မြှင့်တင်မှုတို့ ပါဝင်သည်။ file၎။ လုံခြုံသောလွှဲပြောင်း files သည် network infrastructure လုံခြုံရေးအတွက် အရေးကြီးပါသည်။ NFVIS ၏လုံခြုံရေးကိုသေချာစေရန် Secure Copy (SCP) ကို ပံ့ပိုးပေးသည်။ file လွှဲပြောင်း။ SCP သည် လုံခြုံသော စစ်မှန်ကြောင်းနှင့် သယ်ယူပို့ဆောင်ရေးအတွက် SSH ကို မှီခိုအားထားကာ၊ လုံခြုံပြီး စစ်မှန်ကြောင်း မိတ္တူကူးခြင်းကို အထောက်အကူပြုသည်။ files.
NFVIS မှ လုံခြုံသောမိတ္တူကို scp အမိန့်ဖြင့် စတင်သည်။ လုံခြုံသောမိတ္တူ (scp) ညွှန်ကြားချက်သည် စီမံခန့်ခွဲသူအသုံးပြုသူကိုသာ လုံခြုံစွာကူးယူခွင့်ပြုသည်။ files NFVIS မှ ပြင်ပစနစ်သို့ သို့မဟုတ် ပြင်ပစနစ်မှ NFVIS သို့။
scp command အတွက် syntax သည်-
scp
ကျွန်ုပ်တို့သည် NFVIS SCP ဆာဗာအတွက် port 22222 ကိုအသုံးပြုသည်။ မူရင်းအားဖြင့်၊ ဤဆိပ်ကမ်းကို ပိတ်ထားပြီး အသုံးပြုသူများသည် ကော်ပီကို လုံခြုံအောင် မလုပ်နိုင်ပါ။ files သည် ပြင်ပ client မှ NFVIS သို့။ SCP လုပ်ဖို့ လိုအပ်ရင် file ပြင်ပ client တစ်ခုမှ၊ အသုံးပြုသူသည် အသုံးပြု၍ port ကိုဖွင့်နိုင်သည်-
စနစ်ဆက်တင်များ ip-receive-acl (လိပ်စာ)/(mask lenth) ဝန်ဆောင်မှု scpd ဦးစားပေး (နံပါတ်) လုပ်ဆောင်ချက် လက်ခံသည်
ကျူးလွန်သည်။
အသုံးပြုသူများသည် စနစ်လမ်းညွှန်များကို ဝင်ရောက်ကြည့်ရှုခြင်းမှ ကာကွယ်ရန်၊ ရရှိပါက လုံခြုံသောမိတ္တူကို intdatastore:, extdatastore1:, extdatastore2:, usb: နှင့် nfs: သို့သာ လုပ်ဆောင်နိုင်သည်။ မှတ်တမ်းများမှ လုံခြုံသောမိတ္တူကိုလည်း လုပ်ဆောင်နိုင်သည်- နှင့် နည်းပညာပံ့ပိုးမှု-

သစ်ခုတ်ခြင်း။

NFVIS အသုံးပြုခွင့်နှင့် ဖွဲ့စည်းမှုဆိုင်ရာ အပြောင်းအလဲများကို စာရင်းစစ်မှတ်တမ်းများအဖြစ် မှတ်တမ်းတင်ထားပါသည်- · စက်ပစ္စည်းကို မည်သူဝင်ရောက်အသုံးပြုခဲ့သည် · အသုံးပြုသူတစ်ဦးသည် မည်သည့်အချိန်တွင် လော့ဂ်အင်ဝင်ခဲ့သည် · အသုံးပြုသူသည် အိမ်ရှင်ဖွဲ့စည်းပုံပုံစံနှင့် VM ဘဝလည်ပတ်မှုဆိုင်ရာ သတ်မှတ်ချက်များ၌ အဘယ်အချိန်တွင် လုပ်ဆောင်ခဲ့သနည်း · အသုံးပြုသူတစ်ဦးသည် မည်သည့်အချိန်တွင် မှတ်တမ်းဝင်ခဲ့သနည်း။ ပိတ်ထားသည် · ဝင်ရောက်ရန် ကြိုးပမ်းမှုများ မအောင်မြင်ခဲ့သည် · အထောက်အထားစိစစ်ခြင်း မအောင်မြင်သော တောင်းဆိုမှုများ · ခွင့်ပြုချက်တောင်းခံမှုများ မအောင်မြင်ပါ။
ခွင့်ပြုချက်မရှိဘဲ ကြိုးပမ်းမှုများ သို့မဟုတ် ဝင်ရောက်ကြည့်ရှုမှုများအပြင် ဖွဲ့စည်းမှုပြောင်းလဲခြင်းဆိုင်ရာ ပြဿနာများနှင့် အဖွဲ့စီမံခန့်ခွဲရေးဆိုင်ရာ အပြောင်းအလဲများကို စီစဉ်ရာတွင် ကူညီရန်အတွက် ဤအချက်အလက်များသည် တန်ဖိုးမဖြတ်နိုင်သော အချက်အလက်များဖြစ်သည်။ တိုက်ခိုက်မှုတစ်ခု ဖြစ်ပွားနေကြောင်း ညွှန်ပြနိုင်သည့် မမှန်မကန်လုပ်ဆောင်မှုများကို ဖော်ထုတ်ရန် ၎င်းကို အချိန်နှင့်တပြေးညီ အသုံးပြုနိုင်သည်။ ဤခွဲခြမ်းစိတ်ဖြာချက်သည် IDS နှင့် firewall မှတ်တမ်းများကဲ့သို့သော ပြင်ပအရင်းအမြစ်များမှ အချက်အလက်များနှင့် ဆက်စပ်နိုင်သည်။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

Virtual Machine လုံခြုံရေး

NFVIS ပေါ်ရှိ အဓိကဖြစ်ရပ်များအားလုံးကို NETCONF စာရင်းသွင်းသူများထံ အဖြစ်အပျက် အသိပေးချက်များအဖြစ် နှင့် configured central logging servers များသို့ syslogs အဖြစ် ပေးပို့ပါသည်။ syslog မက်ဆေ့ဂျ်များနှင့် ဖြစ်ရပ်သတိပေးချက်များဆိုင်ရာ နောက်ထပ်အချက်အလက်များအတွက် နောက်ဆက်တွဲကို ကြည့်ပါ။
Virtual Machine လုံခြုံရေး
ဤကဏ္ဍသည် NFVIS ရှိ Virtual Machines များ၏ မှတ်ပုံတင်ခြင်း၊ ဖြန့်ကျက်ခြင်းနှင့် လုပ်ဆောင်ခြင်းဆိုင်ရာ လုံခြုံရေးအင်္ဂါရပ်များကို ဖော်ပြသည်။
VNF လုံခြုံသော boot
NFVIS သည် လုံခြုံသော boot ကိုပံ့ပိုးပေးသည့် Virtual Machines အတွက် UEFI လုံခြုံသော boot ကိုဖွင့်ရန်အတွက် Open Virtual Machine Firmware (OVMF) ကို ပံ့ပိုးပေးပါသည်။ VNF Secure boot သည် bootloader၊ operating system kernel နှင့် operating system drivers များအပါအဝင် VM boot software အလွှာတစ်ခုစီကို လက်မှတ်ထိုးထားကြောင်း အတည်ပြုသည်။

နောက်ထပ်အချက်အလက်များအတွက်၊ Secure Boot of VNFs ကိုကြည့်ပါ။
VNC Console Access Protection
NFVIS သည် အသုံးပြုသူအား ဖြန့်ကျက်ထားသော VM ၏ အဝေးထိန်း ဒက်စ်တော့ကို ဝင်ရောက်ကြည့်ရှုရန် Virtual Network Computing (VNC) စက်ရှင်ကို ဖန်တီးခွင့်ပြုသည်။ ၎င်းကိုဖွင့်ရန်၊ NFVIS သည် ၎င်းတို့ကိုအသုံးပြု၍ အသုံးပြုသူနှင့်ချိတ်ဆက်နိုင်သည့် port တစ်ခုကို ဒိုင်းနမစ်ဖြင့်ဖွင့်သည်။ web ဘရောက်ဆာ။ VM သို့ စက်ရှင်တစ်ခုစတင်ရန် ပြင်ပဆာဗာတစ်ခုအတွက် ဤဆိပ်ကမ်းကို စက္ကန့် 60 သာဖွင့်ထားခဲ့သည်။ ဤအချိန်အတွင်း မည်သည့်လုပ်ဆောင်ချက်မျှ မတွေ့ပါက၊ ဆိပ်ကမ်းကို ပိတ်ထားသည်။ ပို့တ်နံပါတ်ကို ဒိုင်းနမစ်ဖြင့်သတ်မှတ်ထားပြီး ထို့ကြောင့် VNC ကွန်ဆိုးလ်သို့ တစ်ကြိမ်သာဝင်ရောက်ခွင့်ကို ခွင့်ပြုသည်။
nfvis# vncconsole စတင်ဖြန့်ကျက်ခြင်း-အမည် 1510614035 vm-အမည် ROUTER vncconsole-url :6005/vnc_auto.html
သင့်ဘရောက်ဆာ https:// ကိုညွှန်ပြနေသည် :6005/vnc_auto.html သည် ROUTER VM ၏ VNC ကွန်ဆိုးလ်သို့ ချိတ်ဆက်မည်ဖြစ်သည်။
လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

ကုဒ်ဝှက်ထားသော VM config data variables

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

ကုဒ်ဝှက်ထားသော VM config data variables
VM ဖြန့်ကျက်စဉ်တွင်၊ အသုံးပြုသူက day-0 ဖွဲ့စည်းမှုပုံစံကို ပေးပါသည်။ file VM အတွက် ဒီ file စကားဝှက်များနှင့် သော့များကဲ့သို့ အရေးကြီးသော အချက်အလက်များ ပါဝင်နိုင်သည်။ ဤအချက်အလက်ကို ရှင်းလင်းသောစာသားအဖြစ် ကျော်သွားပါက၊ ၎င်းသည် မှတ်တမ်းတွင် ပေါ်နေပါသည်။ files နှင့် အတွင်းပိုင်းဒေတာဘေ့စ်မှတ်တမ်းများကို ရှင်းလင်းသောစာသားဖြင့် ဖော်ပြထားသည်။ ဤအင်္ဂါရပ်သည် သုံးစွဲသူအား config data variable ကို အကဲဆတ်သည့်အဖြစ် အလံပြရန် ခွင့်ပြုထားသောကြောင့် ၎င်း၏တန်ဖိုးကို AES-CFB-128 encryption ဖြင့် သိမ်းဆည်းခြင်း သို့မဟုတ် အတွင်းပိုင်းစနစ်ခွဲများသို့ မလွှဲပြောင်းမီ ၎င်း၏တန်ဖိုးကို ကုဒ်ဝှက်ထားသည်။
ပိုမိုသိရှိလိုပါက၊ VM ဖြန့်ကျက်မှု ကန့်သတ်ချက်များကို ကြည့်ပါ။
အဝေးထိန်းရုပ်ပုံမှတ်ပုံတင်ခြင်းအတွက် Checksum စစ်ဆေးမှု
အဝေးမှတည်ရှိသော VNF ပုံတစ်ပုံကို မှတ်ပုံတင်ရန်၊ အသုံးပြုသူက ၎င်း၏တည်နေရာကို သတ်မှတ်ပေးသည်။ ပုံအား NFS ဆာဗာ သို့မဟုတ် အဝေးထိန်း HTTPS ဆာဗာကဲ့သို့သော ပြင်ပအရင်းအမြစ်မှ ဒေါင်းလုဒ်လုပ်ရန် လိုအပ်ပါသည်။
ဒေါင်းလုဒ်လုပ်ထားခြင်းရှိမရှိ သိရန် file တပ်ဆင်ရန် အန္တရာယ်ကင်းသည်၊ ၎င်းကို နှိုင်းယှဉ်ရန် မရှိမဖြစ်လိုအပ်ပါသည်။ fileအသုံးမပြုမီ 's checksum. checksum ကိုစစ်ဆေးခြင်းသည် မှန်ကန်ကြောင်း သေချာစေပါသည်။ file သင် ဒေါင်းလုဒ်မလုပ်မီ ကွန်ရက် ထုတ်လွှင့်မှုအတွင်း ပျက်စီးသွားခြင်း မရှိပါ သို့မဟုတ် အန္တရာယ်ရှိသော ပြင်ပအဖွဲ့အစည်းမှ ပြုပြင်မွမ်းမံပါ။
NFVIS သည် အသုံးပြုသူအတွက် checksum နှင့် checksum_algorithm ရွေးစရာများကို ပံ့ပိုးပေးထားပြီး ဒေါင်းလုဒ်လုပ်ထားသောပုံ၏ checksum ကိုစစ်ဆေးရန်အတွက် အသုံးပြုရန် မျှော်လင့်ထားသော checksum နှင့် checksum algorithm (SHA256 သို့မဟုတ် SHA512) ကို ပံ့ပိုးပေးပါသည်။ checksum နှင့် မကိုက်ညီပါက ပုံဖန်တီးမှု မအောင်မြင်ပါ။
အဝေးထိန်းရုပ်ပုံမှတ်ပုံတင်ခြင်းအတွက် အသိအမှတ်ပြုလက်မှတ်အတည်ပြုခြင်း။
HTTPS ဆာဗာတွင်ရှိသော VNF ပုံတစ်ပုံကို မှတ်ပုံတင်ရန်၊ ပုံအား အဝေးမှ HTTPS ဆာဗာမှ ဒေါင်းလုဒ်လုပ်ရန် လိုအပ်ပါသည်။ ဤပုံကို လုံခြုံစွာဒေါင်းလုဒ်လုပ်ရန်၊ NFVIS သည် ဆာဗာ၏ SSL လက်မှတ်ကို အတည်ပြုသည်။ အသုံးပြုသူသည် လက်မှတ်သို့ လမ်းကြောင်းကို သတ်မှတ်ရန် လိုအပ်သည်။ file သို့မဟုတ် ဤလုံခြုံသောဒေါင်းလုဒ်ကိုဖွင့်ရန် PEM ဖော်မတ်လက်မှတ်အကြောင်းအရာများ။
ဓါတ်ပုံမှတ်ပုံတင်ခြင်းအတွက် လက်မှတ်အတည်ပြုခြင်းဆိုင်ရာ ကဏ္ဍတွင် အသေးစိတ်အချက်အလက်များကို ကြည့်ရှုနိုင်ပါသည်။
VM ကို သီးခြားခွဲထုတ်ခြင်းနှင့် အရင်းအမြစ် စီမံဆောင်ရွက်ခြင်း
Network Function Virtualization (NFV) ဗိသုကာတွင်-
· Router၊ firewall၊ load balancer အစရှိသည့် ကွန်ရက်လုပ်ဆောင်နိုင်စွမ်းများကို ပေးဆောင်သည့် Virtual Machines များဖြစ်သည့် Virtualized Network Functions (VNFs) များ။
· လိုအပ်သောဆော့ဖ်ဝဲလ်နှင့် hypervisor ကို ပံ့ပိုးပေးသည့် ပလပ်ဖောင်းတစ်ခုပေါ်တွင် အခြေခံအဆောက်အအုံ အစိတ်အပိုင်းများ-ကွန်ပျူတာ၊ မှတ်ဉာဏ်၊ သိုလှောင်မှုနှင့် ကွန်ရက်ချိတ်ဆက်မှုတို့ပါ၀င်သည့် ကွန်ရက်လုပ်ဆောင်ချက်သည် virtualization အခြေခံအဆောက်အအုံဖြစ်သည်။
NFV ဖြင့်၊ ကွန်ရက်လုပ်ဆောင်ချက်များကို ဆာဗာတစ်ခုတည်းတွင် လုပ်ဆောင်နိုင်စေရန်အတွက် ကွန်ရက်လုပ်ဆောင်ချက်များကို virtualized ပြုလုပ်ထားသည်။ ရလဒ်အနေဖြင့်၊ အရင်းအမြစ် စုစည်းမှုကို ခွင့်ပြုရန် ရုပ်ပိုင်းဆိုင်ရာ ဟာ့ဒ်ဝဲ လိုအပ်မှု နည်းပါးသည်။ ဤပတ်ဝန်းကျင်တွင်၊ ရုပ်ပိုင်းဆိုင်ရာ ဟာ့ဒ်ဝဲစနစ်တစ်ခုမှ VNF အများအပြားအတွက် သီးခြားအရင်းအမြစ်များကို အတုယူရန် အရေးကြီးပါသည်။ NFVIS ကို အသုံးပြု၍ VM များကို VM တစ်ခုစီက ၎င်းလိုအပ်သော အရင်းအမြစ်များကို လက်ခံရရှိသည့် ထိန်းချုပ်မှုပုံစံဖြင့် အသုံးချနိုင်သည်။ အရင်းအမြစ်များကို ရုပ်ပိုင်းဆိုင်ရာပတ်ဝန်းကျင်မှ virtual ဝန်းကျင်များစွာအထိ လိုအပ်သလို ပိုင်းခြားထားသည်။ VM ဒိုမိန်းများသည် သီးခြားခွဲထုတ်ထားသောကြောင့် ၎င်းတို့သည် သီးခြားအရင်းအမြစ်များ၊ ကွဲပြားပြီး လုံခြုံသောပတ်ဝန်းကျင်များဖြစ်သောကြောင့် ၎င်းတို့သည် မျှဝေထားသောအရင်းအမြစ်များအတွက် အချင်းချင်းမပြိုင်ပါ။
VM များသည် ပေးထားသည့် အရင်းအမြစ်များထက် ပိုမို၍ အသုံးမပြုနိုင်ပါ။ ၎င်းသည် အရင်းအမြစ်များကို အသုံးပြုနေသည့် VM တစ်ခုမှ ဝန်ဆောင်မှုငြင်းပယ်ခြင်းအခြေအနေကို ရှောင်ရှားသည်။ ရလဒ်အနေဖြင့် CPU၊ Memory၊ Network နှင့် Storage ကို ကာကွယ်ထားပါသည်။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ
CPU Isolation

CPU Isolation

NFVIS စနစ်သည် host ပေါ်တွင်လည်ပတ်နေသောအခြေခံအဆောက်အအုံဆော့ဖ်ဝဲလ်အတွက် cores များကိုသိမ်းဆည်းထားသည်။ ကျန်တဲ့ Core တွေကို VM ဖြန့်ကျက်မှုအတွက် ရနိုင်ပါတယ်။ ၎င်းသည် VM ၏စွမ်းဆောင်ရည်သည် NFVIS လက်ခံဆောင်ရွက်ပေးသည့်စွမ်းဆောင်ရည်ကိုမထိခိုက်စေကြောင်းအာမခံပါသည်။ Low-latency VMs NFVIS သည် ၎င်းတွင်အသုံးပြုထားသည့် latency နည်းပါးသော VM များအတွက် သီးခြား Core များကို အတိအလင်းသတ်မှတ်ပေးပါသည်။ VM သည် vCPU 2 ခု လိုအပ်ပါက၊ ၎င်းကို သီးခြား core 2 ခု သတ်မှတ်ထားသည်။ ၎င်းသည် cores များကို မျှဝေခြင်းနှင့် စာရင်းသွင်းခြင်းတို့ကို တားဆီးပြီး latency နည်းသော VM များ၏ စွမ်းဆောင်ရည်ကို အာမခံပါသည်။ ရရှိနိုင်သော cores အရေအတွက်သည် အခြားသော latency နည်းပါးသော VM မှ တောင်းဆိုထားသော vCPU အရေအတွက်ထက်နည်းပါက၊ ကျွန်ုပ်တို့တွင် လုံလောက်သောအရင်းအမြစ်များမရှိသောကြောင့် ဖြန့်ကျက်ခြင်းကို တားဆီးထားသည်။ low-latency မဟုတ်သော VMs NFVIS သည် low latency မဟုတ်သော VM များသို့ မျှဝေနိုင်သော CPU များကို သတ်မှတ်ပေးသည်။ VM သည် vCPU 2 ခု လိုအပ်ပါက၊ ၎င်းကို CPU 2 ခု သတ်မှတ်ထားသည်။ ဤ CPU 2 ခုသည် အခြား latency မဟုတ်သော VM များကြားတွင် မျှဝေနိုင်ပါသည်။ ရရှိနိုင်သော CPU အရေအတွက်သည် အခြားသော latency မဟုတ်သော VM မှ တောင်းဆိုထားသော vCPU အရေအတွက်ထက် နည်းပါက၊ ဤ VM သည် ရှိပြီးသား latency မဟုတ်သော VM များနှင့် CPU ကို မျှဝေပေးမည်ဖြစ်သောကြောင့် ဖြန့်ကျက်မှုကို ခွင့်ပြုဆဲဖြစ်သည်။
Memory ခွဲဝေခြင်း။
NFVIS အခြေခံအဆောက်အအုံသည် သတ်မှတ်ထားသော မှတ်ဉာဏ်ပမာဏတစ်ခု လိုအပ်သည်။ VM ကိုအသုံးပြုသောအခါ၊ အခြေခံအဆောက်အအုံနှင့်ယခင်အသုံးပြုထားသော VM များအတွက် လိုအပ်သောမှတ်ဉာဏ်ကို သိမ်းဆည်းပြီးနောက် ရရှိနိုင်သောမှတ်ဉာဏ်သည် VM အသစ်အတွက် လုံလောက်ကြောင်းသေချာစေရန်စစ်ဆေးချက်တစ်ခုရှိပါသည်။ VM များအတွက် memory oversubscribe လုပ်ခြင်းကို ကျွန်ုပ်တို့ ခွင့်မပြုပါ။
လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

Storage Isolation
VM များသည် host ကို တိုက်ရိုက်ဝင်ရောက်ခွင့်မပြုပါ။ file စနစ်နှင့်သိုလှောင်မှု။
Storage Isolation

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

ENCS ပလပ်ဖောင်းသည် အတွင်းဒေတာစတိုး (M2 SSD) နှင့် ပြင်ပဒစ်များကို ပံ့ပိုးပေးသည်။ NFVIS ကို internal datastore တွင် ထည့်သွင်းထားသည်။ VNF များကို ဤအတွင်းပိုင်းဒေတာစတိုးတွင် အသုံးချနိုင်သည်။ ၎င်းသည် ဖောက်သည်ဒေတာကို သိမ်းဆည်းရန်နှင့် ဖောက်သည်အပလီကေးရှင်း Virtual Machines များကို ပြင်ပဒစ်များတွင် အသုံးပြုရန် လုံခြုံရေးအကောင်းဆုံးအလေ့အကျင့်တစ်ခုဖြစ်သည်။ စနစ်အတွက် သီးခြား disk များ ရှိခြင်း။ files vs လျှောက်လွှာ files သည် စနစ်ဒေတာကို အဂတိလိုက်စားမှုနှင့် လုံခြုံရေးပြဿနာများမှ ကာကွယ်ပေးသည်။
·
Interface Isolation
Single Root I/O Virtualization သို့မဟုတ် SR-IOV သည် Ethernet port ကဲ့သို့သော PCI Express (PCIe) အရင်းအမြစ်များကို သီးခြားခွဲထုတ်ခွင့်ပြုသည့် သတ်မှတ်ချက်တစ်ခုဖြစ်သည်။ SR-IOV ကိုအသုံးပြုခြင်းဖြင့် Virtual Functions ဟုခေါ်သော မျိုးစုံ၊ သီးခြား၊ ရုပ်ပိုင်းဆိုင်ရာ ကိရိယာများအဖြစ် Ethernet အပေါက်တစ်ခုတည်းကို ဖန်တီးနိုင်သည်။ ထို adapter ပေါ်ရှိ VF စက်များအားလုံးသည် တူညီသော ရုပ်ပိုင်းဆိုင်ရာ ကွန်ရက်ပေါက်ကို မျှဝေပါသည်။ ဧည့်သည်တစ်ဦးသည် ဤ Virtual Functions တစ်ခု သို့မဟုတ် တစ်ခုထက်ပို၍ အသုံးပြုနိုင်သည်။ Virtual Function သည် ကွန်ရက်ကတ်တစ်ခုအနေဖြင့် ဧည့်သည်ကို မြင်တွေ့ရပြီး ပုံမှန်ကွန်ရက်ကတ်ကဲ့သို့ လည်ပတ်မှုစနစ်တစ်ခုတွင် ပေါ်လာမည်ဖြစ်သည်။ Virtual Functions များသည် မူရင်းအတိုင်း စွမ်းဆောင်ရည်ရှိပြီး para-virtualized drivers များနှင့် emulated access များထက် ပိုမိုကောင်းမွန်သော စွမ်းဆောင်ရည်ကို ပေးစွမ်းပါသည်။ Virtual Functions များသည် ဒေတာကို ဟာ့ဒ်ဝဲက စီမံခန့်ခွဲပြီး ထိန်းချုပ်ထားသောကြောင့် တူညီသောရူပဆာဗာရှိ ဧည့်သည်များအကြား ဒေတာကို အကာအကွယ်ပေးပါသည်။ NFVIS VNF များသည် WAN နှင့် LAN Backplane ports များသို့ချိတ်ဆက်ရန် SR-IOV ကွန်ရက်များကို အသုံးပြုနိုင်သည်။
လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

လုံခြုံသောဖွံ့ဖြိုးတိုးတက်မှုဘဝသံသရာ

ထိုသို့သော VM တစ်ခုစီသည် VM များကြားတွင် ဒေတာကာကွယ်မှုရရှိစေရန် virtual interface နှင့် ၎င်း၏ဆက်စပ်အရင်းအမြစ်များကို ပိုင်ဆိုင်ပါသည်။
လုံခြုံသောဖွံ့ဖြိုးတိုးတက်မှုဘဝသံသရာ
NFVIS သည် ဆော့ဖ်ဝဲလ်အတွက် Secure Development Lifecycle (SDL) ကို လိုက်နာသည်။ ၎င်းသည် အားနည်းချက်များကို လျှော့ချရန်နှင့် Cisco ဖြေရှင်းချက်များ၏ လုံခြုံရေးနှင့် ခံနိုင်ရည်အား မြှင့်တင်ရန် ဒီဇိုင်းထုတ်ထားသော ထပ်ခါတလဲလဲ၊ တိုင်းတာနိုင်သော လုပ်ငန်းစဉ်ဖြစ်သည်။ Cisco SDL သည် နယ်ပယ်မှရှာဖွေတွေ့ရှိထားသော ထုတ်ကုန်လုံခြုံရေးဖြစ်ရပ်များနည်းပါးသော ယုံကြည်စိတ်ချရသော ဖြေရှင်းချက်များအား တည်ဆောက်ရန်အတွက် လုပ်ငန်းဆိုင်ရာ ဦးဆောင်အလေ့အကျင့်များနှင့် နည်းပညာများကို အသုံးပြုပါသည်။ NFVIS ထုတ်ဝေမှုတိုင်းသည် အောက်ပါလုပ်ငန်းစဉ်များကို ဖြတ်သန်းပါသည်။
· Cisco-အတွင်းပိုင်းနှင့် စျေးကွက်အခြေပြု ထုတ်ကုန်လုံခြုံရေး လိုအပ်ချက်များကို လိုက်နာခြင်း · အားနည်းချက် ခြေရာခံခြင်းအတွက် Cisco တွင် ပြင်ပအဖွဲ့အစည်း ဆော့ဖ်ဝဲလ်ကို ဗဟိုသိုလှောင်မှုဖြင့် မှတ်ပုံတင်ခြင်း · CVEs အတွက် လူသိများသော ပြင်ဆင်မှုများဖြင့် ဆော့ဖ်ဝဲလ်ကို အချိန်အခါအလိုက် ဖာထေးခြင်း။ · လုံခြုံရေးစိတ်ထဲရှိ ဆော့ဖ်ဝဲလ်ကို ဒီဇိုင်းဆွဲခြင်း · CiscoSSL ကဲ့သို့ စစ်ဆေးထားသော ဘုံလုံခြုံရေး module များကို အသုံးပြုခြင်းကဲ့သို့သော လုံခြုံသော coding အလေ့အကျင့်များကို လိုက်နာဆောင်ရွက်ခြင်း၊
တည်ငြိမ်သော ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် အမိန့်ပေးစာထိုးခြင်းကို တားဆီးခြင်း စသည်တို့အတွက် ထည့်သွင်းအတည်ပြုခြင်းကို အကောင်အထည်ဖော်ခြင်း။ · IBM AppScan၊ Nessus နှင့် အခြားသော Cisco စက်တွင်းတူးလ်များကဲ့သို့သော အက်ပ်လီကေးရှင်းလုံခြုံရေးကိရိယာများကို အသုံးပြုခြင်း။

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

လုံခြုံသောဖွံ့ဖြိုးတိုးတက်မှုဘဝသံသရာ

လုံခြုံရေး ထည့်သွင်းစဉ်းစားမှုများ

လုံခြုံရေး ထည့်သွင်းစဉ်းစားချက်များ ၁

စာရွက်စာတမ်းများ / အရင်းအမြစ်များ

CISCO Enterprise Network Function Virtualization Infrastructure ဆော့ဖ်ဝဲ [pdf] အသုံးပြုသူလမ်းညွှန် Enterprise Network Function Virtualization Infrastructure Software၊ Enterprise၊ Network Function Virtualization Infrastructure Software၊ Virtualization Infrastructure Software၊ Infrastructure Software

ကိုးကား

• အသုံးပြုသူလက်စွဲ