មេរៀនទី២១: IPv6

21.1 មូលដ្ឋាន IPv6
- IP ធម្មតាប្រើពីមុន មកហៅថា IPv4
- IPv6 ផ្ទុក 8បណ្តុំ ដែលគ្រប់បណ្តុំ មាន 16bit មានន័យថា IPv6 ផ្ទុកបាន 128bit (8×16=128)។ វា មានទំហំធំជាង IPv4 ដែលមានតែ 32bit។
- IPv6 interface អាចផ្តល់ចំនួន នៃ IPv6 address។
ឧទាហរណ៍ IPV6

2001:0003:1b53:76ba:f678:8261:43bd:3ab1

21.1.1 IPv6 address លោកអ្នកឃើញរូបភាពខាងលើ មានទំហំធំ  ដូច្នេះមានតួនាទីពីរ ដើម្បីអភិវឌ្ឍ អាចសរសេរ IPv6។
Rule 1: ដក ខ្ទង់ដែលមានសូន្យចេញ ពីគ្រប់បណ្តុំបួនលេខ
Rule 2: ប្តូរ បណ្តុំដាច់ ចេញពីសូន្យ ជាមួយសញ្ញាចុចពីរ ពីរដឹង ធ្វើតែម្តងគ្រប់ IPv6 address។ ប្រសិនបើ លោកអ្នកមាន បណ្តុំដាច់នៃលេខសូន្យ មួយដង។
ឧទាហរណ៍ សរសេរ IPv6 address ងាយ
2001:0000:0000:006b:0000:0000:0874:4c32
ដោះស្រាយ:
អនុវត្តតួនាទី rule1 2001:0:0:6b:0:0:874:4c32
អនុវត្តតួនាទី rule2 2001::6b:0:0:874:4c32
ដូច្នេះចម្លើយគឺ 2001::6b:0:0:874:4c32
21.2  IPv6 addressing IPv6 interface អាចទទួល IPv6 របស់វា ដោយ ប្រើវិធីពីរយ៉ាង ដោយប្រើដៃ និងស្វ័យប្រវត្តិ
21.2.1 អាស័យដ្ឋានដោយប្រើដៃ អ្នកគ្រប់គ្រងដោយ ប្រើដៃដំឡើង IPv6 មួយលើ IPv6 interface។
21.2.2 អាស័យដ្ឋានដោយស្វ័យប្រវត្តិ មានពីរ មធ្យោបាយដើម្បី ទទួល អាស័យដ្ឋាន តាម “Stateless addressing” និង “Stateful addressing”
“Stateless addressing”
-      ក្នុងវិធីនេះ interface អាចទាញ IPv6 address របស់វាពី MAC address របស់វា ហើយ “Network prefix” វាទទួលពី router ដែលត្រូវបានភ្ជាប់ក្នុងណែតវឺករបស់វា។
-      IPv6 address ត្រូវបានកំណត់ទម្រង់ពីរផ្នែក ដែលមាន 64bit network prefix និង 64bit interface ID។
-      64bit interface ID អាចហៅថា “EUI 64 address”
-  នៅក្នុង “Stateless addressing” 64bit interface ID អាចទាញដោយ interface វាផ្ទាល់ពី MAC address ដូចខាងក្រោម:
-   Interface អាចទទួល network prefix ពី router ដែលភ្ជាប់ទៅ Network ឆ្លងកាត់សារ ពី router ដែលហៅថា “router advertisement RA”
-      ដូច្នេះ ឥឡូវនេះ interface ដឹង network prefix របស់វា និង  interface ID។
-      interface IPv6 address គឺ 64bit network prefix ផ្សំគ្នាជាមួយ 64bit interface ID។
“Stateful addressing”
-      ប្រសិនបើ router ត្រូវបានរកឃើញ ឬ router advertisement RA ផ្ញើសារប្រាប់ថា DHCP និងប្រើ នោះ interface ទទួល IP​ ដែលប្រើ “Stateful addressing”។
-      ក្នុងវិធីនេះ DHCP server ត្រូវបានដំឡើង ក្នុងប្រព័ន្ធណែតវឺក network ដូច្នេះគ្រប់ interface អាចទទួល IPv6 address របស់វា ពី DHCP  ដែលប្រើ DHCPv6 protocol។
21.3 ការដំឡើង IPv6 address ដើម្បីដំឡើង ប្រើដៃ IPv6 address លើ interface យើងបង្កើតដូចខាងក្រោម
ទី១ យើង enable IPv6 routing លើ router ដោយប្រើបញ្ជា command ដូចខាងក្រោម
Router(config)#ipv6 unicast-routing
ទី២ យើងដំឡើង IPv6 address លើ IPv6 interface ដោយប្រើបញ្ជា command ខាងក្រោម
Router(config-if)#ipv6 address IPv6 address/mask
ដូច្នេះ ការដំឡើងពិតប្រាកដ៍ នឹងមាន
Router(config-if)#ipv6 address
2001:3:1b53:76ba:02c3:65ff:fe87:01b2/64
យើងអាចដំឡើង network port ហើយអនុញ្ញាត interface ទាញយក interface ID ពី MAC address ដែលប្រើបញ្ជា  command ដូចខាងក្រោម
Router(config-if)#ipv6 address 2001:3:1b53:76ba::/64 eui-64
ដើម្បីអនុញ្ញា interface ទទួល IP address ស្វ័យប្រវត្តិ យើងធ្វើដូចខាងក្រោម
ទី១ យើង enable IPv6 routing លើ router ដែលប្រើ បញ្ជាដូចខាងក្រោម
Router(config-if)#ipv6 unicast-routing
ទី២ យើង enable IPv6 លើគ្រប់ interface ទាំងអស់ ដែល នឹងស្វ័យប្រវត្តិ យក IPv6 address ដោយប្រើបញ្ជា command ខាងក្រោម
Router(config-if)#ipv6 enable
21.4 ប្រភេទ IPv6 address ខាងក្រោមនេះជាប្រភេទ នៃ IPv6 address:
Link local address
-      គ្រប់ IPv6 interface ផ្តល់​ភ្ជាប់ local address ទៅវាផ្ទាល់
-      គ្រប់ IPv6​ interface ត្រូវមាន link local address ប្រសិនបើ interface ត្រូវបានផ្តល់ address ផ្សេតទៀត។​
-      វាប្រើនៅខាងក្នុង ប្រព័ន្ធណែតវ
-      Link local address មានក្នុង “FE80::/10” នេះមានន័យថា link local IPv6 address ត្រូវចាប់ផ្តើមជាមួយ [1111 1110 10]
Unique local address
-      វាអាចប្រើ ណែតវឺកក្នុង គត់ វាមិនអាច route ឆ្លងកាត់ប្រព័ន្ធអ៊ីនធឺណែត ដូច private address ក្នុង IPv4។
-      Unique local address មានស្រេចក្នុង “FC00::/7” វាមានន័យថា unique local address ត្រូវតែចាប់ផ្តើមជាមួយ [1111 110]
Global unicast address
-      Global unicast address ដែលអាច route ឆ្លងកាត់ global internet
-      Global unicast address រួមមានក្នុង “2000::/3” មានន័យថាវាចាប់ផ្តើមជាមួយ [001]
21.4.1 IPv6 Communication modes មានបី communication mode នៅក្នុង IPv6 វាគឺជា unicast, multicast និង anycast មិនមាន broadcast ក្នុង IPv6។
Unicast: one to one communication
Multicast: one to many communication
Anycast: one to nearest communication
21.4.2  IPv6 address ពិសេស
“0:0:0:0:0:0:0:0)” (ស្មើរ “::”) នេះគឺជា ប្រភព address នៃ interface កាលណាស្នើរ IPv6 address ដោយប្រើ stateful addressing
“0:0:0:0:0:0:0:1)” (ស្មើរ “::1”)
វាគឺជា loop back address នៃ IPv6 interface “FF00::/8)”វាគឺជាលំដាប់នៃ IPv6 multicast address “3FFF:FFFF::/32” និង “2001:0DB8::/32”
21.5 IPv6 Routing protocols
- នៅក្នុង IPv6 មាន version ថ្មីនៃ routing protocol ដែលយើង នឹងប្រើ។
- Protocol បី អាចប្រើនៅក្នុង IPv6 វាគឺជា RIPng, OSPFv3 និង EIGRPv6។
21.5.1 RIPng នៅក្នុង protocol នេះ
-      Network update ត្រូវបានផ្ញើទៅ multicast IPv6 address “FF02::9”
-      ដើម្បីដំឡើង RIPng លើ router យើង enable វាលើគ្រប់ interface ដែលនឹងចូលរួមក្នុង RIPng routing ដែលប្រើ បញ្ជា command ខាងក្រោម
Router(config-if)#ipv6 rip process number enable
-      ដើម្បីផ្ទៀងផ្ទាត់ មុខងារ routing យើងអាចប្រើលើ បញ្ជា command ខាងក្រោម
Router#show ipv6 rip
Router#debug ipv6 rip
21.5.2 OSPFv3 នៅក្នុង Protocol នេះ
-      Network update ត្រូវបានផ្ញើទៅ “DR” លើ “FF02::6”
-      DR បញ្ជួន network update ទៅ adjacencies របស់វាលើ “FF02::5”
-      ដើម្បីដំឡើង OSPFv3 លើ router យើង enable វាលើគ្រប់ interface ដែលនឹងចូលរួមនៅក្នុង OSPFv3 routing ដែលប្រើ បញ្ជា command ខាងក្រោម
Router(config-if)#ipv6 ospf process number area area number
-      ដើម្បីផ្ទៀងផ្ទាត់ មុខងារ routing យើងអាចប្រើលើ បញ្ជា command ខាងក្រោម
Router#debug ipv6 ospf packet
21.5.3 EIGRPv6 នៅក្នុង protocol នេះ
-      Hello packet និង network update ត្រូវបានផ្ញើទៅ multicast IPv6 address “FF02::A”
-      ដើម្បីដំឡើង EIGRPv6 លើ router យើងដំបូងនាំវាលើ router​ ប្រើបញ្ជាដូចខាងក្រោម
Router(config)#ipv6 router eigrp AS number
Router(config-rtr)#no shutdown
ពេល យើង enable EIGRPv6 លើគ្រប់ interface ដែលនឹងចូល រួមក្នុង ដំណើរការ EIGRPv6 routing ដែលប្រើបញ្ជា command ខាងក្រោម
Router(config-rtr)#ipv6 eigrp AS number
21.6  បញ្ចូលពី IPv4 ទៅ IPv6 មានច្រើនបច្ចេកទេស ដែល អាច អោយ អ្នកគ្រប់គ្រងណែតវឺក ដើម្បីបញ្ចូល ណែតវឺក IPv4 ទៅក្នុង IPv6 ដោយមិនបង្កើតប្រតិបត្តិការនៃណែតវឺក។
Dual stack routing
-      ក្នុងវិធីការបញ្ចូល ទាំង IPv4 និង IPv6 ត្រូវរត់លើ router ដែលកើតឡើងដំណាលគ្នា។
ដូច្នេះ ទាំងឧបករណ៍ IPv4 និង IPv6 នឹងអាចធ្វើការលើ ប្រព័ន្ធ ណែតវឺក របស់អ្នក។
-      អ្នកគ្រប់គ្រងប្រព័ន្ធណែតវឺក អាចដំឡើងចំនួននស ឧបករណ៍ IPv6 រហូតដល់ទទួល IPv6 network។
21.6.2 Tunneling
- វិធីបញ្ចូលនេះ IPv6 packet ដាក់ក្នុង​ IPv4 packet ដើម្បីបង្កើត ឧបករណ៍ IPv6 អាចធ្វើការក្នុង IPv4 network។
- មាន tunneling ច្រើនប្រភេទ ដូចជា “6 ទៅ​ 4 tunneling” , “Teredo tunneling” និង “ISATAP tunneling”។
21.6.3 Proxy និង Translation
ក្នុងវិធីនេះ យើងប្រើឧបករណ៍ មួយដែលអាចបកប្រែរវាង IPv4 និង IPv6 ដើម្បីធ្វើដូចជាអ្នកបកប្រែរវាងឧបករណ៍ IPv4 និងឧបករណ៍ IPv6។
-      ដំណើរការនៃឧបករណ៍នេះ គឺដូចគ្នា ដំណើរការ NAT ក្នុង IPv4។ ដូច្នេះ NAT ដំណើរការរវាង IPv4 និង IPv6។

មេរៀនទី២០: Wireless LAN

20.1 មូលដ្ឋាន Wireless LAN
-  ប្រព័ន្ធ Wireless LAN អនុញ្ញាតអោយអ្នកប្រើ ដើម្បីភ្ជាប់ទៅ ប្រព័ន្ធ ណែត វឺក ពេល ដែលពួកគេ ធ្វើចលនា ពីកន្លែងមួយទៅកន្លែងមួយ ដោយមិននៅនឹង។
- ប្រព័ន្ធ Wireless LAN មិនចាំបាច់ប្រើខ្សេ។
-  គុណប្រយោជន៍ នៃការប្រើ ប្រព័ន្ធ Wireless LAN គឺវាមាន ស្ថរភាព ដូច បណ្តាញប្រើខ្សែដែរ។
-  ប្រើអង់តែន ប្រភេទ ទិសដៅតែមួយ direction នៃឧបករណ៍ ប្រព័ន្ធ ណែតវឺក wireless LAN។
20.1.1 Wireless LAN protocols
- មាន protocol បីសំខាន់ៗ ដែលត្រូវបានប្រើក្នុង ប្រព័ន្ធណែតវឺក wireless LAN គឺ “IEEE802.1a”, “IEEE802.1b”, “IEEE802.1g”។
- “IEEE802.1a” គឺធ្វើការក្នុង ប្រេកង់ 5GHz ហើយវាអាចផ្គត់ ផ្គង់បាន ល្បឿន 54Mbps។
-  “IEEE802.1b” គឺធ្វើការក្នុង ប្រេកង់ 2.4GHz ហើយវាអាចផ្គត់ផ្គង់ បានល្បឿន 11Mbps។
- “IEEE802.1g” គឺធ្វើការក្នុង ប្រេកង់ 5GHz ហើយវាអាចផ្គត់ផ្គង់ បានល្បឿន 54Mbps។
20.1.2  Access Point (AP)
- ប្រព័ន្ធណែតវឺក wireless LAN ឧបករណ៍សំខាន់គឺ Access Point (AP)
Access Point (AP) គឺជាឧបករណ៍មជ្ឈមណ្ខល ក្នុងប្រព័ន្ធណែតវឺក wireless LAN វាផ្ញើ និងទទួល សញ្ញាជាមួយម៉ាស៊ីកូន wireless LAN។
BSS (Basic Service Set) នៅក្នុង “BSS” ម៉ាស៊ីនកូន wireless ប្រើ AP តែមួយដើម្បី ភ្ជាប់ទៅផ្សេងទៀត ដូចបង្ហាញក្នុងរូបភាពខាងលើ វាជាធម្មតា ប្រើក្នុងការិយាល័យតូច ឬនៅផ្ទះ។
ESS (Extended Service Set) នៅក្នុង “ESS” ប្រើពីរ ឬច្រើនជាង ត្រូវបានភ្ជាប់បែងចែក ប្រព័ន្ធ តាមធម្មតា ប្រើកាលណាមាន ភូមិសាស្រ្តធំ។

20.2  ការដំឡើង AP មានបីយ៉ាងមូលដ្ឋាន នៃការដំឡើង លើ AP វាគឺ ជា “SSID” ដែល “RF channel” និង “authentication method”។
20.2.1 SSID (Service Set Identifier)
-  គ្រប់ wireless LAN ត្រូវតែមាន SSID ផ្ទាល់ ដែលមានជាតួអក្សរ។
-  SSID ត្រូវបានដំឡើង លើ AP ហើយ AP broadcast ទៅម៉ាស៊ីនកូន wireless។
-  ប្រសិនបើ AP ត្រូវបានដំឡើង មិន broadcast SSID របស់វា ដែល SSID នេះ AP នឹងធ្វើដោយ ដៃ ដំឡើងលើម៉ាស៊ិនកូន wireless ដែល ត្រូវ ការដើម្បីភ្ចាប់ទៅ AP។
20.2.2 RF channel
-  RF channel ច្រើន អាចប្រើលើគ្រប់ AP
-  គ្រប់ AP អាចដំឡើងដើម្បីប្រើ RF channel ពិតប្រាកដ៍
-  ប្រសិនបើលោកអ្នកមានមួយ AP ក្នុងកន្លែងដូចគ្នា លោកអ្នកអាច ដំឡើងគ្រប់ AP របស់បណ្តា AP របស់អ្នក ដើម្បីប្រតិបត្តិការ លើកន្លែង ដែល មិនមាន RF channel ក្នុងគោលបំណងទៅ AP ផ្សេងទៀត។
20.2.3 Wireless security
- សុវត្ថិភាព wireless ការពារ ការចូលដោយគ្មានការអនុញ្ញាត ចូលមកលើប្រព័ន្ធណែតវឺក wireless។
- មានពីរប្រភេទ encryption គឺ “WEP” និង “WPA”
- “WPA” ប្រើលើ “WEP” ពីព្រោះ WPA ប្តូរ encryption key ដោយស្វ័យប្រវត្តិ ដែល ផ្តល់អោយ សុវត្ថិភាពច្រើន ទៅលើ wireless LAN។
- គ្រប់ម៉ាស៊ីនកូន wireless ទាំងអស់និងមាន encryption key ត្រឹមត្រូវក្នុងគោល បំណង ដើម្បី អាចចូលទំនាក់ទំនងជាមួយ AP។
- អ្នកគ្រប់គ្រងប្រព័ន្ធណែតវឺក អាចប្រើ “Open access” option។ នេះមានន័យថា វា កំណត់ authentication ត្រូវដើម្បីភ្ជាប់ទៅ wireless LAN នេះ។
-  “Open access” គឺតាមធម្មតាប្រើក្នុងកន្លែងសាធារណ:ដើម្បីអនុញ្ញាត អោយប្រើ ប្រព័ន្ធ wireless network។
-  អ្នកគ្រប់គ្រងប្រព័ន្ធណែតវឺក អាចកំណត់ ដែលបណ្តាលឧបករណ៍ អាចទំនាក់ទំនង ជា មួយ AP។ ដោយយោងតាម MAC address នៃឧបករណ៍បានអនុញ្ញាត លើ AP។ នេះហៅថា “MAC address authentication”។

មេរៀនទី១៩: WAN

19.1 មូលដ្ឋាន WAN
- WAN គឺជាប្រព័ន្ធណែតវឺក ដែលពង្រីលើ ទីតាំងភូមិសាស្រ្តធំទូលាយ
- ជាទូទៅ ប្រព័ន្ធណែតវឺក WAN ត្រូវបានប្រើដើម្បីភ្ជាប់រវាង ប្រព័ន្ធ ណែត វឺកតំបន់ LAN ជាច្រើនតាមក្រុមហ៊ុន ស្ថាប័ន អង្កការ….។
- ក្រុមហ៊ុនមិនមាន WAN ផ្ទាល់ខ្លួន ប៉ុន្តែវាតែងតែ ភ្ជាប់ WAN ពីសេវា ផ្គត់ផ្គង់ “Service
Provider”
CPE (Customer Premises Equipment)
​-​ ​ CPE គឺជាសៀគ្វី ឬឧបករណ៍ដែលស្ថិតនៅខាង​ customer ឧទាហរណ៍ ដូចជា router, computer ។ល។
Demarcation point
- គឺជាចំណុតស្ថិតនៅ សេវាអ្នកផ្គត់ផ្គង់ ទទួលខុសត្រូវបញ្ចប់ ហើយ អតិថិជន ទទួលខុស ត្រូវចាប់ផ្តើម
Local loop
- គឺជាការភ្ជាប់ physical link ដែលភ្ជាប់រវាង demarcation point និងព្រំដែនសេវា អ្នក ផ្គត់ផ្គង់។
DCE (Data Communication Equipment)
- DCE គឺជាឧបករណ៍មួយ ដែលផ្តល់សញ្ញា “clock signal” សម្រាប់ DTE
- DCE អាចជា “CSU/DSU” ក្នុងករណីវា ជាឧបករណ៍សៀគ្វីឌីជីថល ឧទាហរណ៍ ដូចជា “T1 circuit” ឬវាអាចជា “modem” ក្នុងករណី ដែលឧបករណ៍ analog ដូចជាខ្សែទូរស័ព្ទ។
DTE(Data Terminal Equipment)
- ប្រភេទ interface របស់ router ដែលភ្ជាប់ទៅ DEC គឺជា DTE មួយ វាចាប់យក សញ្ញា ម៉ោង ពី DCE។
CSU/DSU (Channel Service Unit/Data Service Unit)
- វាគឺជាឧបករណ៍ DCE ដែលផ្តល់ម៉ោងសម្រាប់ DTE និងភ្ជាប់ទៅសៀគ្វី ឌីជីថល។
Modem
- វាគឺជាឧបករណ៍ DCE ផ្តល់ម៉ោងសម្រាប់ DTE ហើយភ្ជាប់វាទៅបន្ទាត់ analog មួយ
- ឧបករណ៍ដែលប្តូរ សញ្ញាដែលមកឆ្លងតាមបន្ទាត់ analog ទៅជា ព័ត៌មាន ឌីជីថល ហើយជា decode ឌីជីថល ហើយប្តូរទៅជាសញ្ញាអាចបញ្ជួនបញ្ជួនលើបន្ទាត់ analog។
19.2 ប្រភេទ ការភ្ជាប់ WAN មានប្រភេទការភ្ជាប់ WAN ជាច្រើន ដែល អាចប្រើក្នុង ប្រព័ន្ធ ណែតវឺក WAN ភ្ជាប់ទៅរវាងណែតវឺក អតិថិជន។
19.2.1 Leased Line
- វាអាចហៅថា “dedicated connection” ឬ “point-to-point connection”
- វាគឺចា dedicated connection រវាង customer network ហើយវា ឆ្លងកាត់ WAN network ដែលត្រូវបានផ្គត់ផ្គង់ដោយសេវាអ្នកផ្គត់ផ្គង់។ – គុណសម្បត្តិ Leased line គឺជាគុណភាពខ្ពស់របស់វា។
- គុណវិបត្តិ Leased line គឺវាមានតម្លៃថ្លៃ ហើយការភ្ជាប់វាមានកំណត់។
19.2.2 Circuit switching
- ក្នុងការភ្ជាប់សៀគ្វី ផ្លូវ dedicated ត្រូវបានបង្កើតរវាង ណែតវឺក អតិថិជន មិនមាននរណា ម្នាក់ប្រើផ្លូវនេះ នៅពេលនេះលើកលេង customer នេះ។
- ផ្លូវ dedicated ត្រូវបានបង្កើតគ្រាន់តែក្នុងពេលមួយ កាលណា ណែតវឺកអតិថិជន ត្រូវការ ទំនាក់ ទំនងជាមួយផ្សេងទៀត។
- អតិថិជន ត្រូវបានគិតលុយ ដោយផ្អែកលើការប្រើប្រាស់ មិនមែន ចំនួនសរុបទិន្នន័យ ផ្ញើ។
- គុណសម្បត្តិ circuit switching វាមានសមត្ថភាព ពីព្រោះវាជាផ្លូវ អតិថិជន dedicated ដូច្នេះវាមានល្បឿនថេរ។
- គុណវិបត្តិ circuit switching វាមានល្បឿនយឺត។
9.2.3 Packet switching
- ក្នុងការភ្ជាប់ circuit switch ផ្លូវរវាងណែតវឺកអតិថិជន មិនមែនជា dedicated សម្រាប់ អតិថិជននេះ។
- ផ្លូវនេះ អាចចែកចាយជាមួយ ចរាចរណ៍ផ្សេងទៀតពី អតិថិជន ផ្សេងទៀត។
- នៅក្នុង Packet switching អតិថិជនត្រូវបានគិតលុយ ផ្អែកលើ ចំនួន ទិន្នន័យសរុប ដែល វាត្រូវបានបញ្ជួន។
- គុណសម្បត្តិ Packet switching វាទាប បើធៀបជាមួយ leased line ហើយវាអាចផ្តល់ ល្បឿន ទិន្នន័យ ខ្ពសធៀប និង circuit switching។
- គុណវិបត្តិ Packet switching វាមានលក្ខណ:សាមញ្ញាំ ក្នុងការ អនុវត្តន៍ ក្នុង ណែតវឺក សេវាអ្នកផ្តល់។
19.3 HDLC និង PPP protocol
- HDLC និង PPP protocol គឺត្រូវបានប្រើក្នុងករណីដែលអតិថិជន កំពុងប្រើភ្ជាប់ point-to-point ភ្ជាប់រវាងណែតវឺក។
- HDLC និង PPP protocol កំពុងធ្វើការក្នុងស្រទាប់ data link layer។
19.3.1 HDLC (High Level Data Link Control) protocol
- HDLC គឺជា protocol ដែលត្រូវបានប្រើ ជា default លើ serial interface របស់ router
- HDLC គឺជាកម្មសិទ្ធ protocol នេះមានន័យថា យ៉ាងហោចណាស់ មាន router របស់ អ្នក ទាំងអស់ ដែលមាន vendor ដូចគ្នា លោកអ្នក នឹងមិនមានសមត្ថភាពដើម្បីប្រើ protocol នេះ។
19.3.2 PPP (Point-to-point Protocol)
- PPP គឺមិនមែន protocol វាមានន័យថា ប្រសិនបើលោកអ្នកមាន router ច្រើនខុសគ្នាពី vendor លោកអ្នកនឹងប្រើ PPP។
- PPP ប្រើ NCP (Network Control Protocol) ដើម្បីអនុញ្ញាតអោយ ប្រើ network layer ខុសគ្នា។
PPP ផ្គត់ផ្គង់ជំរើសខាងក្រោម (មិនផ្គត់ផ្គង់ដោយ HDLC)
Authentication: បណ្តាល router កំណត់ជាមួយអ្វីមួយ មុនពេលបង្កើតការភ្ជាប់។ មានពីរ វិធីAuthentication អាចប្រើ PAP និង CHAP។
Multilink: router អាចពិចារណា physical interface ជាច្រើន ដូចជា logical interface មួយ ឧទារណ៍ router មួយមានបីខ្សែ 2Mbps យើងអាចដំឡើងវា ដល់ទៅ 1ខ្សែដែលមាន 6Mbps។
Compression: router បំណែន frame ផ្ញើដើម្បីដំឡើងការភ្ជាប់។
Error detection: router អាចស្គាល់ error ក្នុងពេលការបញ្ជួន frame។
19.4  ការដំឡើង PPP ដើម្បីដំឡើង PPP លើ interface របស់ router មួយយើងប្រើបញ្ជា command ដូចខាងក្រោម:
Router(config)#interface interface
Router(config)#encapsulation ppp
ការកំណត់ PPP Authentication
ឧបមាថា យើងមាន router ពីរត្រូវការកំណត់ជាមួយផ្សេងទៀត។ យើងនឹងដំឡើង router ពីរដូចខាងក្រោម:
យើងត្រូវដំឡើង password ដូចគ្នាលើ router ទាំងពីរ ដើម្បីអាច កំណត់ authenticate ជាមួយផ្សេងទៀត។
យើង ប្រើ បញ្ជា command ខាងក្រោមដើម្បីដំឡើង authentication router
Router(config)#username peer hostname password password
Router(config)#interface interface
Router(config)#ppp authentication {PAP | CHAP}
PAP: Password ត្រូវបានផ្ញើទៅទម្រង់ជាអក្សរ
CHAP: មានសុវត្ថិភាពច្រើនជា PAP វាមានបី វិធី authenticationក្នុងរូបខាងលើ ដើម្បី ដំឡើង router ដើម្បីកំណត់ authenticate ជាមួយផ្សេងទៀត។
ការដំឡើងរបស់ Router1
Router(config)#username Router2 password 123abc
Router(config)#interface ser 0/0
Router(config-if)#ppp authentication CHAP
ការដំឡើងរបស់ Router2
Router(config)#username Router1 password 123abc
Router(config)#interface ser 0/0
Router(config-if)#ppp authentication CHAP
19.5 Frame Relay (FR)
- Frame Relay (FR) គឺជាបច្ចេកវិជ្ជា packet switching វាត្រូវបានប្រើ ក្នុង ប្រព័ន្ធណែតវឺក របស់សេវាផ្គត់ផ្គង់។
- Frame Relay (FR) បច្ចេកវិជ្ជាដែលមានសមត្ថភាពខ្ពស់
19.5.1 Virtual Circuits
- Frame Relay (FR) អាចផ្តល់ VC(Virtual Circuit) មួយរវាង ប្រព័ន្ធ ណែតវឺកអតិថិជន customer network ដូច្នេះ អតិថិជនមានអារម្មណ៍ ចូល ចិត្តការភ្ជាប់ dedicated ឬ leased line រវាងប្រព័ន្ធវឺក។
- ពីរប្រភេទនៃ VC (Virtual Circuit) ដែលមាន, PVC(Permanent Virtual Circuit) និង SVC(Switched Virtual Circuit)។
PVC (Permanent Virtual Circuit) គឺជា virtual circuit ដែល មានស្រេចរវាង ប្រព័ន្ធ ណែតវឺក អតិថិជន customer network ដែលតែងតែប្រើក្នុងការទំនាក់ទំនងរវាង ប្រព័ន្ធ ណែតវឺក អតិថិជន customer network។
SVC (Switched Virtual Circuit) គឺជា virtual circuit ដែលមិនជាអចិន្ត្រៃយ៍។ VC ថ្មីមួយត្រូវបានបង្កើតសម្រាប់គ្រប់ session ថ្មីរវាង ប្រព័ន្ធ ណែតវឺក អតិថិជន customer network។
19.5.2  DLCI
- DLCI (Data Link Connection Identifiers) កំណត់អត្តសញ្ញាណ PVC ទៅ interface DTE របស់អតិថិជន។
 - ដូចដែលបាន បង្ហាញក្នុងរូបភាពខាងលើ អតិថិជន របស់ HQ Router serial interface អាច បែងចែកជាពីរ sub-interface ដែលគ្រប់ sub-interface ទាំងអស់នឹងប្រើ PVC មួយដើម្បីភ្ជាប់ទៅ សាខាមួយ នៃបណ្តាសាខា។
- គ្រប់ sub-interface និងផ្តល់អោយ DLCI ដែលត្រូវបានបង្ហាញទៅ PVC វាប្រើ។
- អ្នកផ្គត់ផ្គង់ផ្តល់សេវា DLCI នៃ PVC ទៅអតិថិជន។
19.5.3 LMI  LMI (Local Management Interface) ត្រូវបាន បង្កើត ដែលប្តូរព័ត៌មាន នៃ virtual circuit អតិថិជនរបស់ router (DTE) និងសេវាអ្នកផ្គត់ផ្គង់របស់ឧបករណ៍ DCE។
19.6 FR congestion control
19.6.1 CIR និង Access Rate
- កាលណាអតិថិជន ទាក់ទង ជាមួយអ្នកផ្តល់សេវា ដើម្បីភ្ជាប់រវាង ប្រព័ន្ធណែតវឺក អតិថិជន  ដែលមានតម្លៃពីរ CIR និង access rate។
- CIR (Committed Information Rate) គឺជាតម្លៃ bit ដែលត្រូវបាន ធានាដោយ អ្នកផ្គត់ ផ្គង់ បានផ្ញើទៅអោយ ការភ្ជាប់របស់អតិថិជន។
- Access rat គឺតម្លៃអតិបរិមា bit rate ដែលអាចប្រើដោយអតិថិជន។
19.6.2 DE (Discard Eligibility)
- DE( Discard Eligibility) គឺជា bit មួយនៅក្នុង FR header។
- កាលណាអតិថិជន ប្រើប្រាស់ CIR ក្នុងការភ្ជាប់ ហើយចាប់ផ្តើមផ្ញើ frame លើ CIR ពេលនោះ DE bit នៅក្នុង frame ទាំងនោះ នឹង បង្កើត។
- កាលណាមាន ការស្ទះក្នុងប្រព័ន្ធណែតវឺក នៃសេវាអ្នកផ្តល់ FR Switch ក្នុងសេវា ណែតវឺក អ្នកផ្តល់ និង បោះបង់ចោល frame ដែលមាន DE bit។
16.6.3 FECN និង BECN
-  FECN (forward explicit congestion notification) និង BECN (Backward explicit congestion notification) ដែលមានពីរ bit ក្នុង FR header។
- កាលណាមាន congestion នៅក្នុង ប្រព័ន្ធណែតវឺកសេវា អ្នកផ្គត់ផ្គង់។ FR Switch នឹង បង្កើត FECN bit បញ្ជួនឆ្ពោះទៅ destination DTE។
-  កាលណាមាន congestion ក្នុង ប្រព័ន្ធណែតវឺកសេវា អ្នកផ្គត់ផ្គង់។ FR Switch នឹង បង្កើត BECN bit បញ្ជួនឆ្ពោះទៅ ប្រភព DTE។
19.7 ការដំឡើង FR
ក្នុងរូបខាងលើ យើងត្រូវការដំឡើង serial interface របស់ router ដើម្បីភ្ជាប់ទៅ បណ្តា router ណែតវឺកសាខា តាម FR ណែតវឺក។
- ដំបូង យើងបានបែងចែក ser0 ជា physical interface ទៅក្នុងពីរ logical sub-interface (ser0.1, ser0.2)។
- កាលណា យើងដំឡើង ser0.1 sub-interface ដើម្បីប្រើ PVC_1 (DLCI=100) ដើម្បីភ្ចាប់ទៅ router របស់ branch 1។
- កាលណា យើងដំឡើង ser0 sub-interface ដើម្បីប្រើ PVC_2 (DLCI=200) ដើម្បីភ្ជាប់ទៅភ្ចាប់ទៅ router របស់ branch 2។
- ប្រើបញ្ជា command ដូចខាងក្រោមដើម្បីបង្កើតការដំឡើង
Router(config)#interface ser0
Router(config-if)#encapsulation frame-relay
Router(config-if)#no shutdown
ដើម្បីនាំ interface ឡើង
Router(config-if)#interface ser0.1 point-to-point
បង្កើត ser0.1 sub-interface ហើយកំណត់ប្រតិបត្តិការ ក្នុង point-to-point mode
Router(config-subif)#ip address 100.1.1.1 255.255.255.0
Router(config-subif)#frame-relay interface-dlci 100
ដើម្បីបង្កើត ser0.1 ប្រើ PVC_1 ភ្ជាប់ទៅ router សាខា 1
Router(config-subif)#interface ser0.2 point-to-point
បង្កើត ser0.2 sub-interface ហើយកំណត់ ប្រតិបត្តិការរបស់វាក្នុង point-to-point mode
Router(config-subif)#ip address 200.1.1.1 255.255.255.0
Router(config-subif)#frame-rely interface-dlci 200
ដើម្បីបង្កើត ser0.1 ប្រើ PVC_2 ដើម្បីភ្ជាប់ទៅ router សាខា 2។

មេរៀនទី១៨: សុវត្ថិភាពណែតវឺក

18.1 ការគំរាម កំហែង សុវត្ថិភាព មានការគំរាមកំហែងសុវត្ដិភាព ដែលអាច ប៉ះពាល់ ណែតវឺករបស់យើង ហើយអ្នកគ្រប់គ្រង ប្រព័ន្ធ ណែតវឺក ត្រូវតែ ការពារ ការគំរាម កំហែង សុវត្ថិភាពទាំងនោះ មិនអោយ អន្តរាយណែតវឺក។
មានប្រភេទមួយចំនួន នៃសុវត្ថិភាពគំរាមកំហែងត្រូវបានរាយបញ្ជី:
*  ការវាយប្រហាតាម DOS (Denial of Service) និង DDoS (Distributed Denial of Service): អ្នកវាយប្រហារ network server ជាមួយចរន្តធ្វើចរាចរណ៍ ដែលចរាចរណ៍ អាចស្នើរ ping ឬប្រភេទ ស្នើរ ផ្សេងទៀត ដែលរក្សាទុក server វាធ្វើអោយ សណ្ឋាន ណែតវឺកយឺត ហើយខាច់ខូច
*  IP spoofing: អ្នកវាយប្រហារ ធ្វើជាមាន IP address ដែលខុស ប្លែក ពីគ្នាពី IP address ពិតរបស់វា។ ធ្វើជាមាន IP address អាចជាអាស្រ័យ ដ្ឋាន នៃឧបករណ៍ ប្រភព ដើម ដែលជឿថាប្រព័ន្ធណែតវឺក ឬអាស្រ័យ ដ្ឋានដែលអនុញ្ញាតអោយ អ្នកវាយ ប្រហារ ចូលដល់។
* Packet sniffers: វាជាកម្មវិធីដែលអាច ចាប់បានចរាចរណ៍ប្រព័ន្ធ ណែតវឺក ហើយ វិភាគ។ អ្នកវាយប្រហារ អាចប្រើកម្មវិធី Packet sniffer ដើម្បីចាប់ចរាចរណ៍ប្រព័ន្ធ ណែត វឺក ដែលប្រុងផ្ញើទៅ ហើយដឹងពី ព័ត៌មាន ដែលនឹង មិនដឹង។
* Password attacks: អ្នកវាយប្រហារ ព្យាយាមដើម្បីចូល account password ដើម្បីធ្វើ ជា អ្នកមានសិទ្ធ។ ពួកគេអាច ទទួលលេខសម្ងាត់ ដោយស្មាន ដោយសាកល្បង និង error ឬដោយ ទាមទារសិទ្ធ ដែល បាន ភ្លេចលេខសម្ងាត់ ឬមានមធ្យោបាយជាច្រើនដែល បញ្ឆោតបន្លំ លើប្រព័ន្ធ។
* Brute force attacks:អ្នកវាយប្រហារ ព្យាយាមដើម្បី ដោះកូដទិន្នន័យ ដែលប្រើវិធី ជាច្រើន ដោយដោះលេខកូដទិន្នន័យ គេអាចដឹងព័ត៌មាន លេខសម្ងាត់ និងអាចដឹង ទិន្នន័យ ដែលលោកអ្នកមិនដឹង។
* មេរោគ virus: មេរោគគឺជាកម្មវិធីព្យាបាទ ដែលអាចធ្វើអោយ អន្តរាយ ដល់កុំព្យូទ័រ។ វាអាច ភ្ជាប់ចូលកុំព្យូទ័រឆ្លងកាត់តាមអ៊ីនធឺណែត និងតាមមធ្យោបាយផ្សេងៗ។
*  មេរោគ Trojan horse: មេរោគ Trojan horse គឺជាកម្មវិធីមួយដែល ធ្វើជាកម្មវិធី ផ្តល់ អោយលោកអ្នក ដែលមានមុខងារច្រើន។ ទោះជា យ៉ាង ណា ក៍ដោយកម្មវិធីនេះ កូដ ព្យាបាទ ដែលអាច ធ្វើអោយ ខូច កុំព្យូទ័រ។
18.2 ការសម្រាល ការគំរាមកំហែងសុវត្ថិភាព អ្នកគ្រប់គ្រងប្រព័ន្ធណែតវឺក អាចប្រើ ប្រាស់ អាចដំឡើងលើ ប្រព័ន្ធ ណែតវឺក របស់គេក្នុងគោលបំណងសម្រាល ការគំរាម កំហែង ប៉ះពាល់ ដល់ប្រព័ន្ធណែតវឺក។
ជញ្ជាំងបាំង Firewall វាគឺជាឧបករណ៍ ដែលត្រូវបានដំឡើង លើប្រព័ន្ធណែតវឺក ឬ កម្មវិធី ដែលត្រូវបានដំឡើងលើ ឧបករណ៍។ firewall ការពារប្រព័ន្ធណែតវឺកពី អ្នកដែល គ្មានសិទ្ធ អនុញ្ញាត្តចូល ពីខាងក្រៅប្រព័ន្ធ  ណែតវឺក។ វាត្រួតពិនិត្យការទំនាក់ទំនង រវាងប្រព័ន្ធ ណែតវឺក និងភ្ជាប់ពីក្រៅពិភពលោកដើម្បី អនុញ្ញាតអ្នកមានសិទ្ធ ការ ទំនាក់ ទំនងដើម្បីឆ្លងកាតវា។
IDS(Intrusion Detection System) ឧបករណ៍ ឬកម្មវិធីទន់ វា រកឃើញ សកម្មភាព ហើយបង្ហាញអ្នកគ្រប់អ្នកគ្រប់គ្រង។
IDS(Intrusion Prevention System)
គឺជាឧបករណ៍ ឬកម្មវិធីទន់ រកឃើញ ហើយការពារ រាល់សកម្មភាព និងប្រាប់ អ្នកគ្រប់ គ្រងប្រព័ន្ធ។ Antivirus  គឺជាកម្មវិធីមួយ ដែល រកឃើញនិងដោះចេញ spyware ដែល ប្រមូលផ្តុំផ្ទាល់ពី កុំព្យូទ័រ។
18.3 Access Control List (ALC) Access Control List (ALC) គឺជាឧបករណ៍ ដែលមានអនុភាព ដែលអាចអោយអ្នកគ្រប់គ្រង ដើម្បីត្រួតពិនិត្យ ចរាចរណ៍ នៅ ក្នុង ប្រព័ន្ធ ណែតវឺករបស់ពួកគេ។ ប្រើ ALC អ្នកគ្រប់គ្រងណែតវឺក អាចមានសិទ្ធ លើ ណែតវឺក ច្បាស់ លាស់ អាចអនុញ្ញាតអោយចូលប្រភពដើម្បីពិតប្រាកដ៍។ ឧបមាថា យើងមាន ប្រព័ន្ធណែតវឺក។

ដោយ ប្រើ ACL អ្នកគ្រប់គ្រងប្រព័ន្ធណែតវឺក អាចមានសិទ្ធ ចូលផ្នែក លក់ “sales” ណែត វឺក ដើម្បីអនុញ្ញាតចូល server ពេលការពារ ប្រព័ន្ធ ណែតវឺកកុំព្យូទ័រហរិញ្ញាវត្ថុ “finance” ដែលអនុញ្ញាតពី server ដូចគ្នា។ លើនោះ អ្នកគ្រប់គ្រងណែតវឺក អាចកំណត់ជាក់ ច្បាស់ ដែល protocol លើ server អាចអនុញ្ញាតពីប្រព័ន្ធណែតវឺកកុំព្យូទ័រ ផ្នែកលក់ “sales”។

18.3.1 Standard access list គ្រប់ ACL ទាំងអស់ នឹងមានចំនួន តែមួយ។ ស្តង់ដា ACL ចំនួនអាចពី (1:99)

ស្តង់ដា ACL ប្រើប្រភពដើម IP address តែមួយគត់ ដើម្បីកំណត់ ប្រសិន បើ packet ពិតប្រាកដ៍ ត្រូវបានអនុញ្ញាត ឬមិនត្រូវបាន អនុញ្ញាត ចូលប្រភពដើម។
ដើម្បីដំឡើង ACL យើងប្របញ្ជា command ខាងក្រោម
Router(config)# access-list ACL number {deny | permit} source IP wildcard mask
ដើម្បីអនុវត្ត ACL interface របស់ router យើងប្របញ្ជា command ខាងក្រោម
Router(config-if)#ip access-group ACL number {in | out}
(in/out គឺជា ACL ផ្ទាល់ និងអនុវត្តប្រើ)
ក្នុងរូបភាពខាងលើ ឧបមានថា យើងត្រូវការដំឡើង router ដើម្បី ការពារ បណ្តា packet ដែលចូលមក ពីណែតវឺ ផ្នែក ហិរញ្ញវត្ថុ “finance” (11.0.0.0 255.255.255.0) ចូល អនុញ្ញាតពី server ដែលអនុញ្ញាត ចូលប្រភពដើម IP address។
បញ្ជា command ខាងក្រោមបង្ហាញពីរបៀបដំឡើង ACL និងរបៀប អនុវត្តវា លើ interface របស់ router។
Router(config)#​ access-list 1 deny 11.0.0.0 0.0.0.255
ប្រសិនបើ deny IP គឺមានតែ IP address មួយគត់ ឧទាហរណ៍ 11.0.0.1 យើងអាចសរសេរ host 11.0.0.1 ជំនួសអោយ 11.0.0.1 0.0.0.0)
Router(config)#​ access-list 1 permit any
(any: មានន័យថា IP address ជំនួស យើងអាចសរសេរ 0.0.0.0 255.255.255.255)
ដើម្បីអនុវត្តដំឡើង ACL លើ interface ពិត
Router(config)#​ interface fa 0/2
Router(config)#​ ip access-group 1 out

(out: មានន័យថា ACL និងអនុវត្តលើ packet ដែលមានរួចស្រេចពី interface fa0/2)
ចំណាំ: ក្នុង ACL ឧបករណ៍ router នឹង បញ្ជួន packet ជាមួយ តួនាទី ដែលបានដំឡើងរួច គោរពពីតួនាទីដំបូង ប្រសិនបើបានរកឃើញ packet វានឹងអនុវត្ត ប្រសិនបើរកមិនឃើញ packet និង deny ចោល។ ដូច្នេះ វាមានសារ:សំខាន់ណាស់ ដើម្បីសរសេរតួនាទី (access-list ACL number permit any) ដូចជាតួនាទីចុងក្រោយនៃ access list។

http://www.youtube.com/watch?feature=player_detailpage&v=XdBjnLppxB0#t=0

18.3.2 Extended access list
គ្រប់ ACL និងមានចំនួន ដែលចំនួននោះចាប់ពី (100:199) ដែល បាន បន្ត access list អាចប្រើ IP address ប្រភពដើមមួយ និង destination IP address បណ្តា protocol និងចំនួន port ដើម្បីកំណត់ ប្រសិនបើ packet ពិតប្រាកដ៍ ត្រូវបានអនុញ្ញាត ឬមិន អនុញ្ញាត។ ដើម្បីដំឡើង extended ACL យើងត្រូវប្រើបញ្ជា command ដូចខាងក្រោម

Router(config)#​ access-list ACL number protocol source IP wild card mask destination
IP wild card mask eq {the port number | the protocol name)

ACL number: ពី 100 ទៅ​ 199
Protocol: អាចជា TCP, UDP ឬ IP
Source IP: ប្រភព IP address
Wild card mask: wild card mask នៃប្រភព IP address
Destination IP: IP address ឆ្ពោះទៅ ចំនួន port ឬ ឈ្មោះ protocol: ចំនួន port នៃ protocol ឬករណីដែលវា ធ្លាប់ប្រើចំនួន port យើងអាចសរសេរ ឈ្មោះ protocol។ ដូច ឧទាហរណ៍ ប្រសិនបើចំនួន port គឺ 23 យើងអាចសរសេរ ឈ្មោះ protocol telnet ជំនួស ចំនួន port។
ដើម្បីអនុវត្ត ACL ទៅ interface របស់ router យើងប្រើបញ្ជា command ដូចខាងក្រោម

Router(config-if)#​ ip access-group ACL number {in | out}

(in/out គឺជា ACL ផ្ទាល់នឹងអនុវត្ត)

http://www.youtube.com/watch?feature=player_detailpage&v=cG13AoeBVLA#t=0

18.3.3  សិក្សាពីដំណើរការ រូបឧទាហរណ៍ខាងលើ
ក្នុងរូបខាងលើ ឧបមាថា អ្នកគ្រប់គ្រងណែតវឺក ត្រូវការអនុញ្ញាត អោយ ផ្នែក sales ណែត វឺកចូល ទៅម៉ាស៊ីនមេ server គ្រាន់តែប្រើ telnet protocol ដែល telnet ប្រើលេខ port 23។ អ្នកគ្រប់គ្រងនិង ដំឡើង router ដោយបញ្ជា command ខាងក្រោម
Router(config)#​access-list 101 permit tcp 10.0.0.0  0.0.0.255 20.0.0.0.2 0.0.0.0 eq 23
Router(config)#interface fa 0/2
Router(config-if)#​ ​ip access-group 101 out

 18.4  NAT (Network Address Translation)

NAT គឺជា ដំណើរការនៃការប្តូរ ប្រភព IP address នៃ packet ពេល ដែលផ្ញើឆ្លងកាត់វា ឧបករណ៍ ស្រទាប់ “layer 3” ដូចជា router។ NAT ត្រូវបានអភិវឌ្ឍន៍ ហើយប្រើពីព្រោះ បណ្តា IP address លើពិភព លោកច្រើន។
18.4.1 Private IP និង Public IP

NAT បានចែកចាយ IP address ជាពីរប្រភេទ Private IP address និង Public IP address ដែល Private IP គឺជាបណ្តា address នៅក្នុង លំដាប់ ដូចខាងក្រោម:
10.0.0.0 : 10.255.255.255
172.16.0.0: 172.31.255.255
192.168.0.0: 192.168.255.255
បណ្តា IP address ផ្សេងទៀត គឺជា Public IP address
Public IP address អាចហៅថា “Real IP” ឬ “Global IP”
Private IP address អាចហៅថា “Virtual IP” ឬ “Local IP”
ក្នុងការដំឡើង NAT យើងអាចផ្តល់ Private IP address​ ទៅអោយ ឧបករណ៍ផ្សេងទៀត ដែលមិនមានលើអ៊ីនធឺណែត។ ខណ:ដែល ឧបករណ៍ផ្សេងដែលមាន ស្រេចលើ អ៊ីន ធឺណែត នឹង  ផ្តល់ Public IP address។
ក្នុងរូបខាងលើ Private IP address នឹងផ្តល់ទៅឧបករណ៍ ទាំងអស់ ដែលមានស្រេច នៅ ក្នុង ណែតវឺកខាងក្នុង internal network ដូចចា PC_1, PC_2 ម៉ាស៊ីន Printer, ម៉ាស៊ីន Server និង interface របស់ router ខាងក្នុង fa 0/0។ ទោះជាយ៉ាងណាក៍ដោយ “Public IP address” នឹងផ្តល់ឧបករណ៍ ទាំងអស់ដែលមានស្រេចលើអ៊ីនធឺណែត ដូចជា interface របស់ router ខាងក្រៅ ser 0/0។
ក្រៅពីនេះ interface ជាច្រើន ឬឧបករណ៍ដែលនឹងអនុញ្ញាតពី អ៊ីនធឺ ណែតត្រូវបានផ្តល់ public IP address។ ខណ:ឧបករណ៍ជាច្រើន ឬ interface ដែលនឹងមិនអនុញ្ញាតពី អ៊ីនធឺ ណែត ត្រូវបានផ្តល់ Private IP address។
18.4.2  តើ NAT ដំណើរការរបៀបណា? ក្នុងរូបភាពខាងលើ កាលណាឧបករណ៍ ខាងក្រៅ ត្រូវការទំនាក់ទំនង ជាមួយឧបករណ៍ មួយដែលមានស្រេចលើ អ៊ីនធឺណែត (ដូចជា web server) ឧបករណ៍ខាងក្នុងនឹងផ្ញើ packet ទៅ interface របស់ router “fa 0/0”។ ពេល router និងប្តូរប្រភព IP address ដែលមានស្រេចក្នុង packet ទៅ​ public IP address ហើយពេលផ្ញើ packet ទៅ web server ដូច្នេះ កាលណា web server ត្រូវការដើម្បីឆ្លើយតប ទៅ packet វានឹងផ្ញើឆ្លើយតប public IP address នេះ។ ខណ: router នឹងផ្ញើ ឆ្លើយតបទៅ ឧបករណ៍ខាងក្រៅ។
18.5  Static NAT, Dynamic NAT និង PAT
18.5.1 Static NAT
នៅក្នុង Static NAT គ្រប់ private IP address ស្ថិតិបានបង្ហាញ ទៅ public IP addressអ្នកគ្រប់គ្រង ប្រព័ន្ធណែតវឺក ស្ថិតិដំឡើង router ដើម្បីប្តូរគ្រប់ private IP address ទៅ public IP address ពិតប្រាកដ៏។
សិក្សាប្រព័ន្ធណែតវឺក
ក្នុងរូបភាព ខាងក្រោម ឧបមាថា PC_1 ត្រូវការទំនាក់ទំនងជាមួយ web server លើប្រព័ន្ធ អ៊ីនធឺណែត។
Router និងប្តូរប្រភព IP address ក្នុង packet ដែលមកពី PC_1។ វានឹង បង្កើត ប្រភព IP address ក្នុង packet ទៅ “50.0.0.6” ជំនួស “10.0.0.3”។
ដូច្នេះ កាលណា web server ត្រូវការដើម្បីឆ្លើយតបទៅ PC_1 វានឹង ឆ្លើយតប “50.0.0.6” ហើយពេល router នឹងបញ្ជួនបន្ត ការឆ្លើយ តបនេះ ទៅ PC_1។
ការដំឡើង Static NAT
ដើម្បីដំឡើង static NAT លើ router យើងប្រើបញ្ជា command ដូចខាងក្រោម
Router(config)#​ ​ip nat inside source static private IP public IP
ដើម្បីដំឡើង NAT ក្នុង network យើងត្រូវប្រើបញ្ជា command ខាងក្រោម
Router(config)#​ ​ip nat inside source static 10.0.0.2 50.0.0.5
Router(config)#​ ​ip nat inside source static 10.0.0.3 50.0.0.6
Router(config)#​ ​interface fa 0/0
Router(config)#​ ​ip nat inside
នេះមានន័យថាការដំឡើង NAT នឹងអនុវត្តទៅ packet នៃប្រព័ន្ធ ណែតវឺក ខាងក្នុង ឆ្លងកាត interface នេះ។
Router(config-if)#​ interface ser 0/0
Router(config-if)#​ ip nat outside
នេះមានន័យថាការដំឡើង NAT នឹងអនុវត្តទៅបណ្តា​បណ្តា packet នៃប្រព័ន្ធណែតវឺក ខាងក្រៅឆ្លងកាត​ interface។
18.5.2  Dynamic NAT ក្នុង dynamic NAT អ្នកគ្រប់គ្រង ប្រព័ន្ធ ណែតវឺក ដំឡើង IP pool លើ router។ ដែល pool នេះផ្ទុកលំដាប់ public IP នឹងប្រើក្នុងដំណើរការ NAT។
ការដំឡើង Dynamic NAT យើងប្រើបញ្ជា command ដើម្បី ដំឡើង dynamic NAT
Router(config)#​ ip nat outside source list ACL number  pool pool name
ដើម្បីដំឡើងណែតវឺក ដែលមានស្រេចដូចក្នុងរូបខាងលើ ដើម្បីប្រើ dynamic NAT យើងប្រើបញ្ជ command ខាងក្រោម:
Router(config)#​ access-list 1permit 10.0.0.0 255.255.255.0
ដំឡើង Access list ដែលផ្ទុក private IP ដែលមាន NAT នឹងអនុវត្ត
Router(config)#​ ip nat inside source list 1 pool abc
ដំឡើង ប្រតិបត្តិការ NAT រវាង private IP ដែលបានផ្ទុកក្នុង “access-list 1” និង public IP ដែលបានផ្ទុកក្នុង pool “abc”។
Router(config)#​​interface fa 0/0
Router(config-if)#ip nat inside
​នេះមានន័យថា ការដំឡើង NAT និងអនុវត្ត packet នៃប្រព័ន្ធ ណែតវឺក ខាងក្នុង ឆ្លងកាត់ interface នេះ។
Router(config-if)#​​interface ser 0/0
Router(config-if)#​​ip nat outside
នេះមានន័យថា ការដំឡើង NAT និងអនុវត្ត packet នៃប្រព័ន្ធ ណែតវឺកខាងក្រៅ ឆ្លងកាត់ interface នេះ។
18.5.3  PAT (Port Address Translation) វាក៏ដូចជា “overloading” ឬ “ច្រើន ទៅ NAT មួយ” ក្នុងប្រភេទ NAT នេះ យើងអាច បង្ហាញ ចំនួននៃ private IP address ទៅ public IP address មួយគត់។
ដូច្នេះ PAT រក្សាទុកចំនួននៃ public IP address ដែលប្រើក្នុង ណែតវឺក។ លើសពីនេះ វាជាបច្ចេកវិជ្ជាដែលគេប្រើបំផុត។ PAT បង្ហាញ private IP ទៅ public IP មួយគត់ដោយ ប្រើ port address ដូចខាងក្រោម:
ក្នុងរូបភាពខាងលើ ឧបមាថា PC_1 និង PC_2 ត្រូវការដើម្បីទំនាក់ ទំនងជាមួយ web server ដែលមានស្រេចលើអ៊ីនធឺណែត ហើយវា មាន IP address នៃ “136.123.1.45”។
router នឹងបង្ហាញទាំងម៉ាស៊ីន PC_1 និង PC_2 IP ចេញទៅ តែមួយ គត់​ public IP “50.0.0.5”
ទោះជាយ៉ាងណាក៍ដោយ router នឹងផ្តល់ប្រភព លេខ port ទៅ packet នៃគ្រប់ session នៃពីរ session។ ដូចមើល ឃើញ លើ រូបខាងលើ router និងផ្តល់ប្រភពលេខ port “1234” ទៅ packet នៃ session របស់ PC_1 ជាមួយ web server។
បន្ថែមលើ router និងផ្តល់អោយប្រភពលេខ “1475” ទៅ packet នៃ session របស់ PC_2 ជាមួយ web server។ ដូច្នេះ កាលណា web server ឆ្លើយតបទៅ router និងដឹងតម្រូវ ការឆ្ពោះទៅខាងក្នុង ដោយរកមើល លេខ port ដែលឆ្ពោះទៅ។
ប្រសិនបើ port number ឆ្ពោះទៅគឺ “1342” router នឹងឆ្ពោះទៅ packet ទៅ PC_1
ប្រសិនបើ port number ឆ្ពោះទៅគឺ “1475” router និងបញ្ជួន packet ទៅ PC_2
អត្ថប្រយោជន៍នៃ PAT គ្រប់ឧបករណ៍ ខាងក្នុងអាចអនុញ្ញាត អ៊ីនធឺណែតដែលប្រើ public IP address។
ការដំឡើង PAT
ដើម្បីដំឡើង ណែតវឺក ដូចរូបខាងលើ យើងត្រូវប្រើបព្ជា command ដូចខាងក្រោម
Router(config)#​​access-list 1permit 10.0.0.0 255.255.255.0
ដំឡើង Access list ដែលផ្ទុក private IP ដែល NAT នឹងអនុវត្ត
Router(config)#​​ip nat pool abc 50.0.0.2 netmask 255.255.255.0
ដំឡើង pool របស់ IP​ public ដែលផ្ទុក IP មួយគត់ អាចជាលេខនៃ IP
Router(config)#​​ip nat inside source list 1 pool abc
ដំឡើងប្រតិបត្តិការ NAT រវាង private IP ដែលបានផ្ទុកក្នុង access-list 1 និង public IP ដែលបានផ្ទុក ក្នុង pool abc។
Router(config)#​​interface fa 0/0
Router(config-if)#​​ip nat inside
នេះមានន័យថាការដំឡើង NAT នឹងអនុវត្តទៅ packet នៃប្រព័ន្ធ ណែតវឺកខាងក្រៅ ឆ្លង កាត់ interface នេះ។

មេរៀនទី១៧: STP

ដើម្បីចៀសវាង loop  switch ក្នុងប្រព័ន្ធណែតវឺក យើងប្រើ STP (Spanning Tree Protocol) ដោយអាច បិទការធ្វើចរាចរណ៍ លើ់ភ្ជាប់ ដែលលើស, ដែលមិនត្រូវការ។ loop switch ប្រព័ន្ធណែតវឺក ដែល បណ្តាលមកពី “broadcast storm” វានិងបំផ្លាញទម្រង់ សណ្ឋាន ណែតវឺក ដែលប្រើប្រាស់ network bandwidth។
Broadcast storm នៅក្នុងប្រព័ន្ធណែតវឺក ខាងក្រោម ឧបមាថា “កុំព្យូទ័រ A” ផ្ញើ broadcast
កាលណា “កុំព្យូទ័រ A” ផ្ញើ broadcast frame ដែល switch និងផ្ញើបន្ត ឆ្លងកាត់ port ទាំង អស់។ ដូច្នេះ វានិងភ្ជាប់ “SW2” កាត់តាមពីរ link ដែល ភ្ជាប់ “SW2” ជាមួយ “SW1”។ ពេល “SW2” នឹងបាត់ការផ្សាយ broadcast frame ចេញ port ទាំងអស់។ ដូច្នេះ វានឹងភ្ជាប់ “SW1” ឆ្លងកាត់ពីរ link ដែលភ្ជាប់វាជាមួយ “SW2”។
យើងមាន broadcast storm
STP និងបិទចរាចរណ៍ លើមួយ នៃពីរ link ដែលភ្ជាប់រវាង “SW1” និង “SW2” ដែលនឹងការពារ broadcast storm។
BPDU (Bridge Protocol Data Unit): បណ្តា switch រត់ដំណើរការ STP ផ្ញើ BPDU frame គ្រប់ពេលដោយ ប្រក្រតី។ ធ្វើដើម្បីប្តូរ ព័ត៌មានជាមួយ switch ផ្សេងទៀត។
Bridge ID (BID): មានន័យថា BID រួមផ្សំនៃ switch priority ដែលមានអតិភាព និង MAC address របស់ switch។
“BID= Switch ដែលមានអតិភាព​, switch MAC address” ដោយប្រើ default switch អតិភាព=32768 ដែលស្មើប្រព័ន្ធគោល ១៦ 0×8000  អ្នកគ្រប់គ្រង អាច ដំឡើង ដោយផ្ទាល់ដៃ switch priority អតិភាព ដោយប្រើបញ្ជា command ដូចខាងក្រោម:

Switch(config)# spanning-tree vlan 1 priority Switch priority
Port ID: គ្រប់ switch port មាន port ID មួយ ដែល port ID រួមផ្សំជាមួយ port អតិភាព និង ចំនួន port។
“Port ID=port priority.port number” port priority អាចជាចំនួន ក្នុងលំដាប់ “0:255” ដែល default port priority=128
Link cost: វាគឺជាតម្លៃ ដែផបានផ្តល់អោយ គ្រប់ link ពឹងពាក់លើ bandwidth (BW)

BW	Cost
10Gbps	2
1Gbps	4
100Mbps	19
10Mbps	100

Root Bridge: គឺជា switch ដែលមាន bridge ID (BID) ទាបក្នុង switch ណែត   វឺក។
Root port: គឺជា port ដែលមានផ្លូវខ្លីបំផុត shortest part (least cost path) ទៅ root bridge
Designated port: គឺជា port ដែលមាន ផ្លូវខ្លីបំផុត shortest part (least cost path) ទៅ root bridge គ្រប់ network segment។
17.1 ការប្រតិបត្តិការ STP ដើម្បីរៀន ប្រតិបត្តិការ STP ឧបមាថា យើងមាន ណែតវឺកដូចរូបខាងក្រោម
រូបភាពខាងលើ គ្រប់ switch មាន BID ដែលបានសរសេរលើវា ហើយគ្រប់ link ដែលមាន BW របស់វា គិតជា Mbps សរសេរលើវា។
ខាងក្រោម គឺជាការប្រតិបត្តិការ នៃ STP ដើម្បីដោះចេញ link លើសពី តម្រូវការ។
1. Switch ជាមួយ BID ទាបបំផុត ត្រូវបានជ្រើសរើស ដូច “Root Bridge” និង port ទាំងអស់ នៅក្នុង switch នេះត្រូវបានពិចារណា “designated ports” ដូចបង្ហាញ រូបខាងក្រោម:
2. គ្រប់ switch ជ្រើសរើស “root port” របស់វា ដោយរក port ដែលមានតម្លៃ តូចបំផុត root bridge ដូចបង្ហាញរូបខាងក្រោម:
3. Port ជាមួយ cost path តូចបំផុត ទៅ root bridge ក្នុងគ្រប់ network segment ត្រូវបាន ជ្រើសរើស “designated port” ដូច បង្ហាញ ក្នុងរូបខាងក្រោម:
4. គ្រប់ non-root និង non-designated port គឺបញ្ចូលក្នុង “blocking state” កន្លែង ដែលវា មិនបញ្ជួនឆ្ពោះទៅ ដូចបង្ហាញរូបខាងក្រោម
ឥឡូវនេះ STP បានដោះចេញ ទាំងអស់ពី link ដែលលើស ដែលមាន ស្រេចក្នុង switch ណែតវឺក។ ដើម្បីអាចមើល ស្ថិតិ STP ដោយប្រើ បញ្ជា command ខាងក្រោម
Switch(config)# show spanning-tree
17.2  STP port states បណ្តា port នៅក្នុង STP protocol ដែលមានស្រេច ក្នុងការ បញ្ចេញ ខាងក្រោម ដែលមាន blocking state, listening state, learning state, forwarding state។
17.2.1 “Blocking” state នៅក្នុង state នេះ port មិនបញ្ជួន frame វាគ្រាន់តែទទួល BPDU
ប្រសិន បើ port ដែលនៅក្នុង “Blocking state” មិនទទួល BPDU អំឡុង “maximum age time” ដែល ប្រើ default ស្មើរ 20វិនាទី port និងបញ្ចូលទៅ “listening state”
17.2.2 “listening” state
នៅក្នុង state នេះ port មិនបញ្ជួន frame វាទទួល BRDU ដើម្បីកំណត់ តួនាទី port នៅក្នុង STP។ port និងនៅ សល់ “listening state” សម្រាប់ “forward delay time” ដែលប្រើ default ស្មើរនឹង 15វិនាទី ហើយ port និងបញ្ចូល “learning” state
17.2.3 “learning” state
នៅក្នុង state នេះ port មិនបញ្ជួន frame វាទទួល BRDU ដើម្បីរៀន network path ទាំងអស់។ port និងនៅសល់ “learning state សម្រាប់ “forward delay time” ដែលប្រើ default ស្មើរនឹង 15វិនាទី ហើយ port និងបញ្ចូល “forwarding state”។
17.2.4 “forwarding” state
នៅក្នុង port នេះ port បញ្ជួន និងទទួល frame ទាំងអស់ តាមធម្មតា STP port អាចស្ថិតនៅក្នុង “forwarding state” គឺជា state មិនស្ថិត ស្ថរ ឬនៅក្នុង “forwarding state”។
17.3  Port លឿន STP Port លឿន STP ត្រូវបានគេប្រើ ដើម្បីបង្កើត ល្បឿន ពេល រួម គ្នាលើ port ពិតប្រាកដ៍។ នេះប្រើ សម្រាប់អ្នក គ្រប់ គ្រង់ ប្រព័ន្ធណែតវឺក ដែលធ្វើអោយ ច្បាស់ port នេះមិនកំណត់ទម្រង់ switch loop ដូចក្នុងឧទាហរណ៍ បណ្តាល port ដែល ភ្ជាប់ ទៅ ឧបករណ៍ ចុងក្រោយ។ Port លឿន STP អនុញ្ញាតអោយ port បញ្ជួន ដោយ ផ្ទាល់ពី “blocking state” ទៅ “forwarding state” ដោយមិន ឆ្លងកាត់ “listening state” និង “learning state” ដែលបន្ថយ ពេលបញ្ជួន។
17.3.1 ការដំឡើង Port fast
ឧបមាថា យើងមានប្រព័ន្ធណែតវឺកខាងក្រោម

អ្នកគ្រប់គ្រង ប្រព័ន្ធណែតវឺក អាចដំឡើង “STP Port fast” លើ “fa0/0” លើ “SW2” ព្រោះថា port នេះត្រូវបានភ្ជាប់ទៅ ឧបករណ៍ ចុងក្រោយ។
ដើម្បីដំឡើង “Port fast” យើងត្រូវប្រើបញ្ជា command ខាងក្រោម
Switch(config)# interface interface number
Switch(config)# spanning-tree portfast
17.3.2  ការណែនាំលក្ខណ:ពិសេស ដើម្បីប្រើលើបណ្តា port ដែលអាចប្រើ “STP Port fast”
ការពារ BPDU guard ប្រសិនបើ BPDU ត្រូវបានទទួលលើ port ដែលអាចប្រើ “STP Port fast”​ នោះ “BPDU guard” បញ្ចូល port នេះក្នុង “error disabled”។ ព្រោះថា ប្រសិន បើ BPDU បានទទួល លើ port មួយ មានន័យថា port នេះត្រូវបានភ្ជាប់ទៅ switch ផ្សេង ដែល port នេះអាចជាទម្រង់ loop។
ត្រងច្រោះ BPDU filter ប្រសិនបើ BPDU ត្រូវបានទទួលលើ port ដែលអាចប្រើ “STP Port fast”​ ហើយ “BPDU filter” ចាប់យក port ចេញក្រៅនៃ “STP Port fast”​។

ពីព្រោះថា ប្រសិនបើ BPDU បានទទួលលើ port មួយ នេះមានន័យថា port នេះត្រូវបាន ភ្ជាប់ទៅ switch ផ្សេងទៀត ហើយ port នេះអាចជា ទម្រង loop មួយ។
17.4 “RSTP”,”PVSTP+” និង “PVRST+”
17.4.1 “RSTP” (Rapid STP)
RSTP ដែលជា “IEEE802.1w” protocol បង្កើនល្បឿន រយ:ពេលខ្លី។ នេះមានន័យថា switch មួយដែលរត់ដំណើរការ RSTP ប្រើរយ:ពេល លឿន ជា switch រត់ដំណើរការ STP។
RSTP ធ្វើដូចខាងក្រោម:
វាបង្កើត “alternative port” ដែលត្រូវបានពិចារណា ផ្លាស់ប្តូរគ្នាទៅ “root port” លើគ្រប់ switch។ ធ្វើនេះដើម្បី ប្រើ port ផ្លាស់ប្តូរគ្នា កាល ណា “root port” មិនស្គាល់។
ការបង្កើត “backup port” អោយក្លាយជា “designated port”។
បណ្តាល switch ដែលកំពុងដំណើរការ RSTP អាចធ្វើការជា មួយ បណ្តាល switch ដែលកំពុងរត់ ដំណើរការ STP។ ពីព្រោះថា RSTP អាចយល់ព្រមជាមួយ STP។
RSTP port states
បណ្តាល port ដែលមានស្រេចលើ switch ដែលកំពុងដំណើរការ RSTP អាចជា state មួយដូច ខាក្រោម។
Discarding  គ្រប់ frame ដែលចូលមក ត្រូវបានដកចេញ។
Learning  មិនធ្វើការបញ្ជួន frame គ្រាន់តែទទួល BPDU ដើម្បីសិក្សាផ្លូវណែតវឺក។
Forwarding  បញ្ជួនបន្ត ឬទទួល frame ទាំងអស់។
ការដំឡើង RSTP
ដើម្បីដំឡើង RSTP លើ switch យើងប្រើបញ្ជា command ដូចខាងក្រោម
Switch(config)# spanning-tree mode rapid-pvst
17.4.2  “PVSTP+” (Per-VLAN STP+) តាមធម្មតា STP បញ្ចូលលើ ប្រព័ន្ធ ណែតវឺក ទាំងមូល គ្រាន់តែ STP កើតឡើងម្តងមួយ ក្នុង PVSTP+ គ្រប់ VLAN ក្នុងប្រព័ន្ធ ណែតវឺក មានកើតឡើង STP វាផ្ទាល់។
ឧបមាថា យើងមានប្រព័ន្ធណែតវឺកខាងក្រោម:
ដោយប្រើ PVSTP+, VLAN1 នឹងមានការកើតឡើង STP វាផ្ទាល់ និង VLAN2 និងមានការកើតឡើង STP វាផ្ទាល់
-  PVSTP+ អាចធ្វើដោយ default លើបណ្តា switch ដែលកំពុងរត់ដំណើរការ STP។
-  PVSTP+ ប្រើ “Extended BID” ជំនួស “BID” ដែលនៅក្នុង STP។
“Extended BID=Switch priority.VLAN ID(VID).MAC address”
17.4.3  “PVSTP+” (Per-VLAN RSTP+)
នៅក្នុង PVSTP+ គ្រប់ VLAN នៅក្នុងប្រព័ន្ធណែតវឺ មាន RSTP វាផ្ទាល់
ឧបមាថា យើងមាន ប្រព័ន្ធណែតវឺកដូចខាងក្រោម
ដោយប្រើ PVSTP+, VLAN1 និងកើតមាន RSTP របស់វាផ្ទាល់ ហើយ VLAN2 នឹងកើតមាន RSTP វាផ្ទាល់។

មេរៀនទី១៦: Virtual LAN (VLAN)

16.1 លក្ខណ:ពិសេស VLAN VLAN ប្រើសម្រាប់កំណត់ ទម្រង់សណ្ឋានណែតវឺក និងសុវត្ថិភាព network security ហើយ បញ្ចូល បន្ថែមការគ្រប់គ្រង មានលទ្ធភាព រឹងមាំ របស់ណែតវឺក។
16.1.1 VLAN បញ្ចូលការចាត់ចែង network
ឧបមាថា ដែលយើងមានប្រព័ន្ធណែតវឺកដូចខាងក្រោម:
នៅក្នុងរូបភាពខាងលើ ឧបករណ៍ទាំងអស់ មាន broadcast domain ដូចគ្នាស្រេច នៅ ក្នុង។ នេះព្រោះថា Switch មិនចែក broadcast domain។ យើងអាច ចែក LAN នេះទៅ VLAN ជាច្រើន ដែលផ្តល់ គ្រប់ port switch ទៅ VLAN បានច្បាស់   គ្រប់ VLAN និង មាន broadcast domain ផ្ទាល់ខ្លួន ដូចបង្ហាញរូបខាងក្រោម:
ចែក broadcast domain មួយនៅក្នង broadcast domain ជាច្រើន បញ្ចូលសណ្ឋាន ណែតវឺក។
16.1.2  VLAN បញ្ចូល សុវត្ថិភាពណែតវឺក network security គ្រប់ផ្នែក ក្នុងក្រុមហ៊ុន នឹងមាន LAN ផ្ទាល់ស្រេច ដូចបង្ហាញរូបខាង ក្រោម:
ការបញ្ចូល សុវត្ថិភាពណែតវឺកពីព្រោះ:
1. ផ្សាយ packet បានផ្ញើពី ផ្នែកនិមួយៗ និងភ្ជាប់ជាច្រើនទៅ ផ្នែក ផ្សេង ទៀត។ ដូច ឧទាហរណ៍ រូបខាងលើ ប្រសិនបើកុំព្យូទ័រមួយ ក្នុង ផ្នែក “លក់” ផ្ញើផ្សាយ វានិងភ្ជាប់ ទៅកុំព្យូទ័រទាំងអស់ នៅក្នុងផ្នែក “លក់” LAN។ ទោះជាយ៉ាងណាក៍ដោយ វាមិនភ្ជាប់ កុំព្យូទ័រក្នុង “ហិរញ្ញវត្ថុ” LAN។
2. យើងអាចត្រួតពិនិត្យ អនុញ្ញាតចូលទៅប្រភពប្រព័ន្ធណែតវឺក ដូចក្នុងរូបខាងលើ យើង អាចដំឡើង ណែតវឺករបស់យើង ដើម្បី អនុញ្ញាតអោយចូល ក្នុងផ្នែក “លក់” LAN (10.0.0.0/24) ដើម្បីអនុញ្ញាត អោយចូល “20.0.0.2” ខណ:មិនអនុញ្ញាតចូលផ្នែក “ហិរញ្ញវត្ថុ” LAN (11.0.0.0/24) ដើម្បីអនុញ្ញាតចូល បានទៅលើ server ដូចគ្នា។
ដូចលោកអ្នកបានឃើញ នៅក្នុងរូបខាងលើ ដើម្បីបញ្ចូល ផ្នែកក្នុង LAN ផ្ទាល់ យើងត្រូវ ដំឡើងលើ Switch ដើម្បីអោយគ្រប់ផ្នែក ហើយ ដើម្បីភ្ជាប់ LAN គ្រប់ផ្នែកដើម្បី interface របស់ router ផ្ទាល់។ ដូច្នេះ ប្រសិនបើយើងមាន ១០ផ្នែក យើងនឹងត្រូវការ ១០ router interface ដែលនឹងចំណាយអស់តម្លៃថ្លៃ។ VLAN អនុញ្ញាតអោយ យើងចែក LAN មួយ ទៅ ជាច្រើន VLAN។ គ្រប់ VLAN និងមាន network IP ដោយផ្ទាល់ ហើយវានឹងធ្វើកា ដាច់ដោយឡែក LAN ហើយនឹងមាន ជម្រើសច្រើនដែល មាន LAN។ បន្ថែមលើនេះ គ្រប់ VLAN ទាំងអស់ អាចភ្ជាប់ទៅ interface របស់ router តែមួយគត់ ដូចបង្ហាញក្នុង រូបខាង ក្រោម។
ដូច្នេះ VLAN បញ្ចូលសុវត្ថិភាពណែតវឺក ដោយអនុញ្ញាតអោយយើង បញ្ចូលកុំព្យូទ័រ គ្រប់ ផ្នែក  ក្នុង VLAN កម្មសិទ្ធផ្ទាល់។
16.1.3  បញ្ចូល VLAN ក្នុងគ្រប់គ្រងអោយមានភាពរឹងមាំ
VLAN អនុញ្ញាតអោយអ្នកគ្រប់គ្រងណែតវឺក បញ្ចូលកុំព្យូទ័រច្រើន ក្នុង VLAN ដោយ មិន ចំណាយច្រើន។ ឧបមាថា ក្រុមហ៊ុនរបស់យើងមាន បីជាន់ ហើយមាន បីផ្នែកការិយាល័យ ផ្នែកលក់ ផ្នែកហិរញ្ញវត្ថុ និងផ្នែក HR។ យើងអាចដំឡើង បី VLAN ដែលមាន VLAN ផ្នែក លក់ VLAN ហិរញ្ញវត្ថុ និង VLAN HR លើគ្រប់ switchក្នុងគ្រប់ជាន់ដូច បង្ហាញក្នុង រូបក្រោម។
ធ្វើដូចនេះ នឹងអនុញ្ញាតអោយ យើងភ្ជាប់ កុំព្យូទ័រ ផ្នែកលក់ ទៅ VLAN ផ្នែកលក់ កុំព្យូទ័រនេះ មាននៅជាន់ទី១ ឬ ជាន់ទី២ ឬជាន់ទី៣។ នេះអាច អនុវត្ត ទៅផ្នែកកុំព្យូទ័រផ្សេង ដែលបញ្ចូលការគ្រប់គ្រង អោយមាន សមត្ថភាពរឹងមាំ។
16.2  VLAN switch port membership គ្រប់ port នៅក្នុង switch អាចផ្តល់ទៅ VLAN ជាក់ស្តែង
Static port អ្នកគ្រប់គ្រងប្រើដៃ បញ្ចូល switch port ទៅ VLAN ជាក់ស្តែង
Dynamic port គឺជា port ដោយស្វ័យប្រវត្តិ ដែលបានផ្តល់ទៅ VLAN ជាក់ស្តែង ស្រេច តែនឹង ឧបករណ៍ភ្ជាប់ទៅ port។ ទង្វើនេះ ដោយប្រើ server មួយដែលត្រូវ បានហៅថា “VMPS” (VLAN Membership Policy Server)។
Trunk port Switch ប្រើ trunk port ដើម្បីឆ្លង frame ពីគ្រប់ VLAN ទាំងអស់ទៅ switch ផ្សេងទៀត ធ្វើចប់ បន្ទាប់មក គ្រប់ frame ជាមួយចំនួន VLAN របស់វា។
មានអ្វីកើតឡើង ប្រសិនបើកុំព្យូទ័រ ក្នុង “VLAN1” លើ “SW1” ផ្ញើទិន្នន័យ មួយចំនួន ទៅអោយ      កុំព្យូទ័រ ក្នុង “VLAN1” លើ “SW2”?
“SW1” និងយក frame ជាមួយ “VLAN1” ពេល “SW1” នឹងផ្ញើ frame ឆ្លងកាត់តាម trunk port របស់វាទៅភ្ជាប់ “SW2”
ហើយ “SW2” នឹងទទួល frame ហើយវានឹងរក “VLAN1” ដែលមានលើវា។
ដូច្នោះ “SW2” នឹងឆ្លងការ frame ទាំងនោះទៅ “VLAN1” port។ ដូចនេះ វានឹងភ្ជាប់ ឆ្ពោះទៅ      កុំព្យូទ័រ ។
ញាត្តិសន្តាន Native VLAN  កាលណា switch មួយទទួលបាន frame ពី trunk port របស់វា វានឹងពិចារណា វាគឺជាកម្មសិទ្ធ “Native VLAN”។
default native VLAN គឺជា “VLAN1” ទោះជាយ៉ាណាក៍ដោយ អ្នកគ្រប់គ្រងអាចដំឡើង VLAN បានច្រើនលើ switch ដើម្បីធ្វើជា native VLAN។
16.3  ការដំឡើង VLAN
16.3.1 ការដំឡើង VLAN លើ switch

យើងអាចដំឡើង VLAN មួយលើ Switch ដោយប្រើបញ្ជា command ដូចខាងក្រោម
Switch(config)#vlan vlan number
Switch(config-vlan)#name vlan name
ដើម្បីមើល ព័ត៌មាន VLAN
Switch(config)#show vlan brief
ព័ត៌មាន VLAN ត្រូវបានផ្ទុកក្នុង ទិន្នន័យ VLAN database ជា file (vlan.dat) ដែលត្រូវបានផ្ទុកក្នុង flash memory របស់ Switch។
16.3.2 ការដំឡើង VLAN access port
យើងអាចដំឡើង switch port ដូចជា access port ដូចខាងក្រោមនេះ:
Switch(config)#interface port number
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan vlan number
16.3.3 ការដំឡើង VLAN trunk port
យើងអាចដំឡើង switch port ដូចជា trunk port ដូចខាងក្រោមនេះ:
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation {dot1q | is1|negotiate}
“Dot1q” ដើម្បីបង្កើត Switch ប្រើ “IEEE802.1Q” ទៅ frame
“isl1” ដើម្បីបង្កើត Switch ប្រើ “ISL” ទៅ frame
Negotiate: ដើម្បីសន្ទនា រវាងពីរ Switch
បញ្ជា command ខាងក្រោមអនុញ្ញាតអោយ យើងចូល VLAN បាន និងអាចឆ្លងកាតើ trunk port។ ដោយប្រើ default គ្រប់ VLANs ត្រូវបានអនុញ្ញាតឆ្លងកាត់តាម trunk port។
មានមធ្បោយបាយផ្សេងទៀត ដើម្បីដំឡើង trunk port បាន យើងឧបមាថា យើងមាន switch ពីរ ដែលបានភ្ជាប់ ជាមួយគ្នា ដូច បង្ហាញ ក្នុងរូបភាព ខាងក្រោម
តាមធម្មតា trunk port ត្រូវបានប្រើដើម្បីភ្ជាប់រវាង switch ច្រើន។
ឧបមថា យើងមាន switch ពីរ គ្រប់ switch ផ្ទុក VLAN ពីរ (VLAN1 និង VLAN1) ដូចបង្ហាញក្នុងរូបភាពខាងក្រោម។
យើងអាចប្រើបញ្ជា command ដូចខាងក្រោមនេះ:
Switch(config-if)# switchport mode dynamic {desirable | auto}
Desirable: មានន័យថា port របស់ SW1 ធ្វើសកម្មភាព ព្យាយាម ភ្ជាប់ រវាងវា និង SW2 តាម port trunk។
Auto: SW1 និងអនុញ្ញាតឆ្លងកាត់ ដើម្បីបង្កើតភ្ជាប់ trunk link មួយ។
ប្រសិនយើង ត្រូវការ បង្កើត port របស់ SW1 មិនមែនជា trunk port យើងអាចប្រើបញ្ជា command ដូចខាងក្រោមនេះ:
Switch(config-if)# switchport no negotiate
ក្នុងករណីនេះ SW1 នឹងមិនដែរប្តូរ port នេះទៅ trunk port។
16.4  Routing រវាង VLAN ដូចដែល លោកអ្នកធ្លាប់ដឹង គ្រប់ VLAN មាន network IP របស់វាផ្ទាល់ បន្ថែមលើនេះ ប្រសិនបើយើង មានពីរ VLAN យើងត្រូវការ ឧបករណ៍ “layer 3” មាន router មួយដើម្បី បញ្ជួន route ទិន្នន័យរវាង ពីរ VLAN នោះ។
16.4.1  វិធី Routing ធម្មតាងាយ
ក្នុងវិធីនេះ យើងត្រូវការ interface របស់ router សម្រាប់គ្រប់ VLAN យើងផ្តល់អោយ IP ទៅ interface ទីមួយ (fa0/0) ដែលជាកម្មសិទ្ធ VLAN1 (IP=10.0.0.1)
ក្នុងការបន្ថែមលលើនេះ យើងអាចផ្តល់ IP ទៅ interface ទីពីរ របស់ router (fa0/1) ដែលជាកម្ម សិទ្ធ VLAN2 (IP=20.0.0.1)
យើងភ្ជាប់ port មួយនៃ switch ដែលជាកម្មសិទ្ធ VLAN1 ទៅ (fa0/0)
យើងភ្ជាប់ port មួយនៃ switch ដែលជាកម្មសិទ្ធ VLAN2 ទៅ (fa0/1)
គ្រប់ ឧបករណ៍ VLAN1 និងបានផ្តល់អោយ default gateway IP address “10.0.0.1”
គ្រប់ ឧបករណ៍ VLAN2 និងបានផ្តល់អោយ default gateway IP address “20.0.0.1”
ដូច្នេះ router ឃើញការភ្ជាប់ពីរ ដែលបានភ្ជាប់ទៅប្រព័ន្ធណែតវឺក ដែលវាអាច ដំណើរការបញ្ជួន route រវាងវា។
ការដំឡើង Router និងបង្ហាញដូចខាងក្រោមនេះ:
Router(config)# interface fa0/0
Router(config-if)# ip address 10.0.0.1  255.255.255.0
Router(config-if)# no shutdown
Router(config)# interface fa0/1
Router(config-if)# ip address 20.0.0.1  255.255.255.0
Router(config-if)# no shutdown
16.4.2  វិធី បិទលើ Router
ក្នុងវិធីនេះ យើងចែកតាម ឡូស៊ីច interface របស់ router “fa0/0” នៅក្នុង sub-interface “fa0/0.1” និង “fa0/0.2”។
បន្ថែមលើនេះ យើងផ្តល់អោយ IP ទៅ sub-interface ទីពីរ “fa0/0.2” ដែលជាកម្មសិទ្ធ VLAN2
(IP=20.0.0.1)
យើងដំឡើង port switch ដូចជា port trunk និងភ្ជាប់វា ទៅ interface របស់ router។
គ្រប់ ឧបករណ៍ VLAN1 និងបានផ្តល់អោយ default gateway IP address “10.0.0.1”
គ្រប់ ឧបករណ៍ VLAN2 និងបានផ្តល់អោយ default gateway IP address “20.0.0.1”
ដូច្នេះ router ឃើញការភ្ជាប់ពីរ ដែលបានភ្ជាប់ទៅប្រព័ន្ធណែតវឺក ដែលវាអាច ដំណើរការបញ្ជួន route រវាងវា។
ការដំឡើង Router និងបង្ហាញដូចខាងក្រោមនេះ:
Router(config)# interface fa0/0
Router(config-if)# no ip address
Router(config-if)# no shutdown
Router(config)# interface fa0/0.1
Router(config-subif)# encapsulation dot1q 1
(1 គឺជាចំនួន VLAN)
Router(config-subif)# ip address 10.0.0.1  255.255.255.0
Router(config-subif)# interface fa0/0.2
Router(config-subif)# encapsulation dot1q 2
(2 គឺជាចំនួន VLAN)
Router(config-subif)# ip address 20.0.0.1  255.255.255.0
16.5  VLAN Trunking Protocol (VTP) VTP ត្រូវបានប្រើដើម្បី ថែទាំព័ត៌មាន VLAN រវាង Switch ដែលមាន នៅក្នុង VTP domain។
ឧបមាថា យើងមាន switch ជាច្រើននៅក្នុងប្រព័ន្ធណែតវឺករបស់ យើង ហើយយើងអាចបញ្ចូល switch ទាំងនោះទៅក្នុង VTP domain។ ពេលយើង មិនត្រូវការដំឡើង VLAN របស់យើង លើ switch ទាំង នោះ យើងគ្រាន់តែដំឡើង VLAN របស់យើងតែមួយ លើ switch មួយ VTP server និង ព័ត៌មាន VLAN និងផ្សាយឆ្លងកាត់ ទៅបណ្តាល switch ទាំងអស់នៅក្នុង VTP domain។
16.5.1  VTP mode
គ្រប់ switch នៃបណ្តា switch ដែលមាននៅក្នុង VTP domain អាច ដំឡើង ធ្វើការក្នុង VTP mode មួយ។
“Server” VTP mode
បណ្តា switch ធ្វើការក្នុង server mode ផ្សាយ ព័ត៌មាន VLAN ទៅអោយ បណ្តា switch ដែលប្រើ “VTP advertisement”។ គ្រប់ “VTP advertisement” មាន “VTP revision number” ដែលជួយ switch ផ្សេងទៀតដើម្បីកំណត់ “VTP advertisement” នេះគឺថ្មី ឬចាស់។
នៅក្នុង mode នេះ
ü ព័ត៌មាន VLAN អាចផ្លាស់ប្តូច យើងអាចភ្ជាប់ទៅ switch ដែលធ្វើ ការដូចជា VTP server និងប្តូរ ការដំឡើង VLAN ដែលមានស្រេចលើវា។
* ម្យ៉ាងទៀតការប្តូរ កើតមានឡើងក្នុងទិន្នន័យ VLAN database “VTP revision number” គឺចំនួនបន្ថែម និង “VTP advertisement”​ ត្រូវបានផ្ញើទៅបណ្តា switch ទាំងអស់ក្នុង “VTP domain”។
* គ្រប់ “VTP domain” ត្រូវតែផ្ទុកយ៉ាងហោចណាស់ VTP server មួយដែរ។
“Client” VTP mode
បណ្តា switch ធ្វើការក្នុង client mode ចាប់យកព័ត៌មាន VLAN ពីបណ្តា switch ដែលកំពុងធ្វើការ ក្នុង server mode។
នៅក្នុង mode នេះ
* ព័ត៌មាន  VLAN មិនអាចផ្លាស់ប្តូរទីកន្លែង
* switch បង្កើតព័ត៌មាន VLAN របស់វា ពី “VTP advertisement”​ បានទទួលពី VTP server។
“Transparent” VTP mode
នៅក្នុង mode នេះ
* បណ្តា switch ទាំងអស់មិនអនុវត្ត ព័ត៌មាន VLAN ដែលទទួលបានពី VTP server លើវាផ្ទាល់។
ü នៅក្នុង VTPv2 (VTP version 2) បណ្តា switch ធ្វើការក្នុង “Transparent” VTP mode ផ្ញើ ឆ្ពោះទៅ ព័ត៌មាន VTP ដែលទទួលបានពី VTP server ទៅបណ្តា switch ផ្សេងៗទៀត។
16.5.2 លក្ខណ:ពិសេស VTP
- ដើម្បី ទំនាក់ទំនង ព័ត៌មាន VLAN រវាងបណ្តា switch ដែល “VTP domain name” និង “VTP password” ត្រូវតែដូចគ្នា VTP domain លើ switch ទាំងអស់។ លើសពីនេះទៀត យ៉ាងហោចណាស់ក៍ មាន switch មួយត្រូវតែធ្វើការក្នុង “VTP server mode”។
- “VTP advertisement”​ ត្រូវបានផ្ញើលើ trunk link។
- “VTP advertisement”​ ផ្ទុក “VTP domain name” និង “VTP revision number”
16.5.3   ការដំឡើង VTP ដើម្បីដំឡើង VTP លើ switch មួយ យើងអាចប្រើបញ្ជា command ដូចខាងក្រោម:
Switch(config)# vtp domain domain name
Switch(config)# vtp password vtp password
Switch(config)# vtp mode {server | client | transparent}
Switch(config)# vtp version 2
(ដើម្បីប្រើបាន enable VTP version 2)
Switch(config)# vtp pruning
(ដើម្បីប្រើបាន enable VTP pruning) ដើម្បីមើល ព័ត៌មាន VTP យើងអាចប្រើបញ្ជា command ដូចខាងក្រោម
Switch(config)# show vtp status
ប្រើ default VTP ដំឡើងលើ switch
VTP mode: server, VTP version: version 1, VTP pruning: disabled
16.5.3    VTP pruning  កាលណា VTP pruning អាចប្រើបានលើ switch មួយដែល មាន ស្រេចលើ VTP domain ការផ្សាយចេញ មិនត្រូវបានបញ្ជួនបន្ត ទៅ switch យ៉ាង ហោច ណាស់ មាន port ច្រើន ដែល ជាកម្មសិទ្ធ VLAN ដែលផ្សាយនៅក្នុង។ ដោយប្រើ default VTP pruning ត្រូវបាន បោះ បង់ចោលលើ switch។
ឧបមាថា យើងមាន ណែតវឺក ដូចក្នុងរូបខាងក្រោម ផ្សាយ នឹងដល់ក្នុង VLAN5។ ពីព្រោះ ថាកុំព្យូទ័រ ដែលបានបង្កើតការផ្សាយនេះ មាន ស្រេច លើ VLAN5។ ការផ្សាយ ឆ្លងកាត់ SW1, SW2 និង SW3 ព្រោះ ថា switch ទាំងនោះ មាន port ច្រើនដែលជា កម្មសិទ្ធ VLAN5។
Broadcast និងមិនផ្សាយឆ្លងកាត់តាម SW5 និង SW4 ពីព្រោះ បណ្តា switch ទាំងនោះ មិនធ្វើការ មាន port ដែលជាកម្មសិទ្ធ VLAN5។

មេរៀនទី១៥: ការប្រតិបត្តិការ Switch

15.1 ការប្រតិបត្តិការរបស់ Switch និងលក្ខណ:ពិសេស ឧបករណ៍ Switch គឺ ប្រតិបត្តិការដំណើរការលើស្រទាប់ “layer 2” ដែលបញ្ជួន frame រវាង បណ្តា ឧបករណ៍ ដែលបានភ្ជាប់ ទៅលើ port របស់វាដែលប្រើតារាង MAC address ដែលមាន ស្រេចលើ Switch។
ក្នុងរូបភាពខាងលើ ឧបមាថា កុំព្យូទ័រ “A” ត្រូវការដើម្បីផ្ញើ frame មួយ ទៅ កុំព្យូទ័រ “C”
កុំព្យូទ័រ “A” នឹងផ្ញើ frame មួយជាមួយ MAC address ដែលឆ្ពោះទៅ ស្មើរ “CC” ទៅ Switch។ Switch នឹងរក MAC address ដែលបានភ្ជាប់ទៅ port វា “fa0/2”។
ដូច្នេះ Switch និងបញ្ជួន frame ឆ្លងកាត់តាម port “fa0/2” ដើម្បីភ្ជាប់ ទៅ កុំព្យូទ័រដែលឆ្ពោះទៅ កុំព្យូទ័រ “C”។
15.1.1 លក្ខណ:ពិសេស Switch


បណ្តាល Switch ប្រើ hardware ASIC(Application Specific Integrated Circuits) ទៅ Switch frame រវាងបណ្តា port របស់វា។ ដូច្នេះ បណ្តា Switch គឺលឿនជាង router ( ឧបករណ៍ Switch ដំណើរ ការលើ ស្រទាប់ “layer 2” និងឧបករណ៍ router គឺដំណើរ ការ លើ ស្រទាប់ “layer 3” )។ ឧបករណ៍ Switch បែងចែក Collision domain ខណ:ដែលវា មិនបែងចែក broadcast domain។
15.2 មុខងារ Switch “layer 2”
15.2.1  សិក្សាពីអាស្រ័យដ្ឋាន Address
បណ្តា Switch បង្កើតឡើង ដោយមានតារាង MAC address របស់វា ដោយយោង តាម ប្រភព MAC address សម្រាប់គ្រប់ frame វាទទួល បាន រួមជាមួយចំនួន port ដែល frame ត្រូវបានទទួលលើ។ ដើម្បី មើល តារាង MAC address លើ Switch យើងអាច ប្រើបញ្ជា command តាមខាងក្រោម:
Switch# show mac address-table
យើងអាចបញ្ចូល ដោយដៃវាយបញ្ចូល តារាង MAC address ដោយប្រើបញ្ជា command តាមខាងក្រោម:
Switch(config)# mac address-table static mac-address vlan vlan-id interface port no
ចំណាំ “VLAN” ពេលកំណត់ និងបានបង្ហាញក្នុង ម៉ោងបន្ទាប់។
15.2.2  ការបញ្ជួន frame
បណ្តាឧបករណ៍ Switch ចាប់យក បញ្ជួនព័ត៌មានដែលមានក្នុងតារាង MAC address របស់វា។ កាលណា Switch ទទួល frame មួយ Switch និងរកមើល MAC address ឆ្ពោះទៅក្នុង frame  ហើយវិនិច្ឆ័យ ឆ្លង់កាត ដែល port វានឹង បញ្ជួន frame។ នេះដោយរកមើល MAC address នៅក្នុងតារាង MAC address។ ប្រសិនបើ Switch រកមិនឃើញ MAC address ឆ្ពោះទៅក្នុង តារាង MAC address របស់វា នោះ frame និងបាត់ចេញក្រៅ ឆ្លងតាម Switch interface ទាំងអស់ លើកលេង interface ដែល frame បានចូលមក។
15.3 Port security
Port security ត្រូវបានប្រើដើម្បីការពារ ដែលអ្នកប្រើប្រាស់ ចង់បិទ លើឧបករណ៍ដែល មិនអនុញ្ញាតសិទ្ធិទៅលើប្រព័ន្ធណែតវឺក។ Port security មានតួនាទី កំណត់ចំនួន MAC address ដែល ត្រូវបាន អនុញ្ញាត អោយគ្រប់ Switch port។
ក្នុងរូបភាព ខាងលើ ឧបមាថា port security ត្រូវបានដំឡើងលើ interface “fa0/3” ដើម្បីកំណត់ ចំនួន MAC address ដែលអនុញ្ញាត អោយ ភ្ជាប់ port នេះទៅ MAC address ពីរគត់។
ឥឡូវនេះ មាន MAC address ពីរបានភ្ជាប់ “fa0/3” ដែលជា “DD” និង “EE”។
ដូច្នេះ មិនមានឧបករណ៍ ដែលអនុញ្ញាត អោយភ្ជាប់ទៅ port “fa0/3”។
15.3.1  ការដំឡើង port security
ដើម្បីដំឡើង port security លើ Switch port យើងអាចប្រើបញ្ជា ដូចខាងក្រោម:
Switch(config)# interface port type/number
Switch(config-if)# switchport port-security maximu number of allowed MACs addresses
Switch(config-if)# switchport port-security violation {shutdown | restrict}
លើ command ចុងក្រោយលោកអ្នក អាចប្រើ “shutdown” ពាក្ស គន្លឹះ និង ពាក្សគន្លឹះ “restrict”
“shutdown” port នឹង shutdown ហើយអ្នកគ្រប់គ្រងនឹង ប្រើ ដោយដៃ។
“restrict” port និងមិន shutdown ប៉ុន្តែវានឹង មិនព្រមទទួល ទិន្នន័យផ្សេងៗ ឬ ផ្ញើ ផ្សេងៗ ឧបករណ៍កំណត់។