Objective!

บทความนี้เป็นส่วนหนึ่งของวิชา
ITM633: Information Security Management

นำเสนออาจารย์ พ.อ.รศ.ดร. เศรษฐพงศ์ มะลิสุวรรณ
โดย นายธัญญาวิทย์ เพชรพราว 5107516 (ITM0077
)

MSITM - Online รุ่น 1

วันจันทร์ที่ 9 มีนาคม พ.ศ. 2552

Digital Rights Management (DRM)


          เมื่อพูดถึง DRM หลายๆ ท่านคงจะนึกถึง ลิขสิทธิในการทำสำเนา MP3, Movie แต่ในบทความนี้ผมจะพูดถึงในส่วนข้อมูล ข่าวสารขององค์กร ซึ่งในหลายๆ องค์กรฯ มักจะประสปปัญหาหรือกังวลเกี่ยวกับการรับส่งเอกสารอิเลคโทรนิค การควบคุมการรั่วไหลของข้อมูลออกนอกองค์กร เช่น ข้อมูลการค้าตกอยู่ในมือคู่แข่ง, ข้อมูลเงินเดือน, ข้อมูลพนักงาน เป็นต้น แม้ว่าโดยทั่วๆ ไปแล้วเอกสารต่างๆ จะมีการพิสูจน์การใช้งาน และการควบคุมการเข้าถึงก่อนใช้งานก็ตาม ซึ่งก็อาจจะไม่ปลอดภัยเพียงพอเนื่องจากสิทธิในการเข้าถึงของผู้ใช้ยังคงอยู่ได้ เช่น นาย ก ได้รับอนุญาติให้มีสิทธิในการ อ่าน (read) บนแชร์ไดร์ ใดๆ บนเซิร์ฟเวอร์ แสดงว่า นาย ก สามารถทำสำนำเอกสารมาไว้บนเครื่องฯ ของตนเองได้เช่นกัน รวมถึงการแก้ไขเอกสาร หรือพิมพ์เอกสารนั้นๆ ออกมา ซึ่งจะไม่มีใครสามารถตรวจสอบหรือได้เลยว่าใครทำอะไรกับเอกสารนั้นๆ ซึ่งปัญหานี้ พบว่า พนักงาน 6 ใน 10 ขโมยข้อมูลบริษัทฯ ก่อนออกจากงาน



          ซิลิคอน แวลลีย์ 25 กพ.- ผลการศึกษาของ Ponemon Institute พบว่า เมื่อปีที่แล้ว มีพนักงานสหรัฐถึง 6 ใน 10 ที่ขโมยข้อมูลบริษัทก่อนที่ตัวเองจะออกจากงาน โดยอาจใช้ข้อมูลไปกับการสมัครงานใหม่ เริ่มต้นธุรกิจของตนเอง หรือทำไปเพื่อแก้เผ็ดบริษัทวิจัยการบริหารจัดการ Ponemon Institute ได้สำรวจเรื่องนี้กับผู้ใหญ่ 945 คนในสหรัฐ ซึ่งเป็นผู้ที่ถูกเลิกจ้าง ถูกไล่ออก หรือต้องเปลี่ยนงานในช่วง 12 เดือนที่ผ่านมา แต่ในช่วงที่ทำงานอยู่ พวกเขาสามารถเข้าถึงข้อมูลของบริษัท เช่น ข้อมูลลูกค้า รายชื่อผู้ติดต่อ ประวัติพนักงาน รายงานการเงิน เอกสารลับทางธุรกิจ ระบบซอฟต์แวร์ หรือข้อมูลด้านทรัพย์สินทางปัญญาผลการศึกษาพบว่า มีผู้ถูกสำรวจร้อยละ 59 ในนี้ ที่ยืนยันว่า จะต้องหยิบข้อมูลของบริษัทติดมือไปด้วยแน่นอน ถ้าต้องออกจากงานที่ทำอยู่ การรั่วไหลของข้อมูลอาจส่งผลให้สถานภาพทางการเงินของบริษัทตกอยู่ในภาวะเสี่ยงด้านบริษัทแมคอะฟี ผู้ดูแลความปลอดภัยของระบบคอมพิวเตอร์ ก็คาดว่า เศรษฐกิจโลกได้รับความเสียหายสูงถึง 1 ล้านล้านดอลลาร์สหรัฐ หรือประมาณ 36 ล้านล้านบาท เมื่อปีที่แล้ว จากการปล่อยให้ขบวนการอาชญากรรม พวกเจาะระบบ และคนวงใน เข้าไปขโมยข้อมูลของบริษัทได้อย่างง่ายดาย และมีบริษัทเพียงร้อยละ 15 เท่านั้น ที่ตรวจสอบเอกสารหรือแผ่นเก็บข้อมูลต่าง ๆ ของพนักงาน เพื่อให้แน่ใจว่า พวกเขาไม่ได้นำข้อมูลของบริษัทไปด้วย หากต้องออกจากงานที่ทำอยู่ ผู้เชี่ยวชาญยังระบุว่า มีแนวโน้มที่พนักงานจะแอบขโมยข้อมูลบริษัทมากขึ้นในช่วงที่เศรษฐกิจตกต่ำเช่นนี้. –สำนักข่าวไทย
(ที่มา : news.mcot.net)


และ ยังเป็น 1 ใน 10 ภัยคุกคามอันดับต้นๆ ของปี 2008

คือ ภัยจากการถูกขโมยข้อมูล หรือ ข้อมูลความลับรั่วไหลออกจากองค์กร (Data Loss/Leakage and Theft) ปัญหาด้านความปลอดภัยที่ตัวไฟล์ข้อมูล หรือ "Data Security" นั้นกำลังกลายเป็นปัญหาใหญ่ในปัจจุบัน เนื่องจากข้อมูลขององค์กรส่วนใหญ่แล้วจะถูกจัดเก็บในรูปแบบของไฟล์ที่อยู่ในรูปแบบดิจิตอลฟอร์แมตเก็บไว้ในฮาร์ดดิสก์ หรือสื่อทางด้านดิจิตอลต่างๆ ไม่ว่าจะเป็น CD,DVD หรือ เก็บไว้ใน Storage ขนาดใหญ่ ก็สามารถถูกผู้ไม่หวังดีแอบทำสำเนา หรือ "Copy" ข้อมูลออกไปได้โดยง่าย จากสถิติพบว่า การขโมยข้อมูลโดยคนในองค์กรเองหรือ Insider Threat นั้นมีเปอร์เซ็นต์สูงกว่าการขโมยโดยคนนอก และส่วนใหญ่เกิดจากพนักงานที่ไม่ซื่อสัตย์ หรือมีทัศนคติไม่ดีกับบริษัท (Disgruntled Employee) การเข้ารหัสข้อมูล (Data Encryption) ก็เป็นอีกวิธีหนึ่งในการป้องกันข้อมูลรั่วไหลได้ แต่ในขณะเดียวกันกลับกลายเป็นเทคนิคของแฮกเกอร์ในการแอบซ่อนข้อมูลไม่ให้ เราสามารถทราบได้ว่าแฮกเกอร์กำลังแอบส่งข้อมูลกันอยู่ในกลุ่มของแฮกเกอร์ ด้วยกันเอง ซึ่งมักนิยมใช้เทคโนโลยีที่เรียกว่า "Steganography" ยกตัวอย่าง การเข้ารหัสข้อมูลของกลุ่มผู้ก่อการร้ายในการถล่มตึก World Trade ที่มหานครนิวยอร์ค (911) เมื่อหลายปีก่อน เป็นต้น
(ที่มา : Thaigoodview.com)


จากที่กล่าวมา เราสามารถควบคุมได้ 2 วิธี ใหญ่ๆ คือ
1. การควบคุมระดับ Physical Hardware โดยควบคุมการใช้งาน CD-R, Floppy Disk , Thumb drive, USB HDD เป็นต้น
2. การควบคุมในระดับ Application โดยใช้เทคโนโลยี DRM (Digital Rights Management)

เนื่องจากวิธีแรกยังสามารถสำเนาส่งข้อมูลออกจากองค์กรฯ ด้วยการส่งผ่าน E-mail, IM, FTP, การอัพขึ้นตามเวปที่ให้บริการเก็บข้อมูลต่างๆ หรืออาจจะนำ HardDisk มาต่อพ่วงได้ และวิธีอื่นๆ อีกมากมาย

ปัญหาในระดับ Physical จะไม่เกิดขึ้นหากมีการใช้งาน DRM เนื่องจาก DRM นั้นทำการเข้ารหัสไฟล์เอกสารที่ระดับPhysical ไม่ว่าจะทางพอร์ตใดหรือวิธีการใดๆ ก็ตาม จะไม่เป็นปัญหาอีกต่อไปเนื่องจากการถึงไฟล์ที่มีการใช้เทคโนโลยี DRM ต้องมีการพิสูจน์ตัวตนของผู้ใช้ในระดับ Application เสมอ นอกจากนี้ DRM ยังสามารถกำหนดสิทธิการเข้าถึงไฟล์ได้หลายๆ แบบ โดยสิทธิพื้นฐานคือสามารถอ่านเนื้อหาของเอกสารได้ (View) สิทธิอื่นๆ ที่เพิ่มเติมได้ เช่น Edit, Print, Screen Capture เป็นต้น โดยที่สิทธิบนเอกสารจะคงอยู่ตลอดอายุการใช้งานเอกสาร ไม่ว่าเอกสารนั้นจะอยู่ที่ใด ก็ตาม ซึ่งในท้องตลาดก็มีผลิตภัทณ์ที่ใช้เทคโนโลยี DRM ให้เลือกใช้งานตามความเหมาะสม เช่น Fasoo.com, AVOCO Secure ซึ่งผมจะขอยกตัวอย่างประสิทธิภาพของ Fasoo บางรุ่น พอสังเขป ดังนี้ครับ

1. Fasoo Secure Node (DRM for PC)
สามารถปกป้องข้อมูนในคอมพิวเตอร์ส่วนบุคคลในโดนเมนได้




หน้าที่การทำงาน
1. เข้ารหัสเอกสาร (Document Encryption)
     - เข้ารหัสอัตโนมัติทันทีทีมีเอกสารสร้างขึ้น
     - ปกป้องข้อมูลถาวรทั้งในขณะที่ส่งหรือหลังจากส่งไปแล้ว


2. การควบคุมการเข้าถึงเอกสาร (Access Control Management)
     - สามารถกำหนดสิทธิการเข้าใช้งานได้ตามบาทบาทของผู้ใช้งาน (Role based access control)

- สามารถกำหนดสิทธิกลุ่มผู้ใช้งานได้หลายระดับ
     - สามารถกำหนดสิทธิการใช้เอกสารได้ตามชนิดของเอกสาร (Document based access control)
     - สามารถความคุมการเข้าถึงเอกสารได้หลายแบบ เช่น Open, Edit, Save Print, Copy/Paste, Screen capture, Decryption, Change permission
     - สามารถกำหนดจำนวนวันหรือวันที่อนุญาตให้ใช้งานเอกสารได้

3. ตรวจสอบการใช้เอกสาร (Auditing & Tracking)
     - ตรวจสอบได้ว่าเอกสารใดถูกใช้งานเมื่อเวลาใด โดยใคร รวมทั้งวิธีการใช้ (Edit, Print, etc)
     - สามารถบันทึกผลไว้สำหรับตรวจสอบและค้นหาในภายหลังได้

คุณสมบัติ
1. Usability
     - ติดตั้งใช้งานได้ง่ายกับระบบที่มีอยู่แล้ว
     - เจ้าของเอกสารสามารถกำหนดสิทธิการใช้งานเอกสารได้เอง

2. Security
     - ปกป้องสิทธของเอกสารตลอดอายุการใช้งาน (สิทธิจะไม่เปลี่ยนแปลงไม่ว่าเอกสารจะอยู่อทีใดก็ตาม)
     - มีการพิสูจน์ตัวตนก่อนใช้งานเอกสารแบบ Single-Sign-On

3. Stability
     - รองรับการทำงาน (Transaction) ได้เป็นจำนวนมาก (up to 100,000 users or unlimited)

4. High availability
     - สามารถเพิ่มจำนวนเซิร์ฟเวอร์ได้ตามขนาดขององค์กรที่เพิ่มขึ้น
     - มีความสามารถในการทำ Load balancing ระหว่างกันได้

5. Compatibility
     - สามารถทำงานร่วมกันกับ DRM for P2P ได้ (เป็นผลิตภัณฑ์หนึ่งของ Fasoo)

2. Fasoo Secure Exchange (DRM for P2P)

ใช้สำหรับปกป้องข้อมูลที่รับส่งระหว่างเครื่องในอินเตอร์เนต (To protect files exchanged)

หน้าที่การทำงาน
1. เข้ารหัสเอกสาร (Document Encryption)
     - สามารถทำการเข้ารหัสก่อนที่จะส่งเอกสารให้กับบุคคลภายนอก
     - สามารถรักษาสิทธิการเข้าถึงเอกสารได้ตลอดอายุการใช้งานเอกสาร

2. การควบคุมการเข้าถึงเอกสาร (Access Control Management)
     - กำหนดการเขาถึงเอกสารตามบทบาทผู้รับ (Recipient based access control)
     - ความคุมสิทธิ Open, Edit, Save, Print, Copy/Paste, Screen capture ได้แบบ Real-time
     - สามารถกำหนดจำนวนครั้งและจำนวนเครื่องคอมพิวเตอร์ที่อนุญาตให้ใช้งานเอกสารได้
     - สามารติดตามและตรวจสอบการใช้งานเอกสารที่ส่งไปแล้วได้
     - สามารถทำลายสิทธิในการเข้าถึงเอกสารได้ (Revocation)

3. การตรวจสอบการใช้เอกสาร (Auditing & Tracking)
     - ตรวจสอบได้ว่าเอกสารใดถูกใช้งานเมื่อเวลาใด โดยใคร รวมทั้งวิธีการใช้ (Edit, Print, etc)
     - สามารถบันทึกผลไว้สำหรับตรวจสอบและค้นหาในภายหลังได้

คุณสมบัติ
1. Usability
     - ติดตั้งใช้งานได้ง่ายกับระบบที่มีอยู่แล้ว
-      สามารถพิสูจน์ตัวตนได้โดยใช้อีเมลล์แอดเดรส โดยไม่ต้องใช้มีการใช้ Digital Certificate เพิ่มเติม
     - สามารถส่งเอกสารได้ทุกวิธี เช่น E-mail, IM, File Sharing, Flash-drive, etc.

2. Security
     - ใช้กุญแจเข้ารหัสที่ต่างกันสำหรับผู้รับเอกสาร
     - วิธีการเข้ารหัสเป็นของ Fasoo ร่วมกับ วิธีการเข้ารหัสมาตรฐาน
     - มีการใช้ Agent (Small software) มีหน้าที่ป้องกันการลักลอบใช้เอกสาร

3. Stability
     - รองรับการทำงาน (Transaction) ได้เป็นจำนวนมาก (up to 100,000 users or unlimited)

4. High availability
     - ติดตั้งใช้งานง่ายกับระบบที่มีอยู่แล้ว โดยไม่ต้องรวมกับ CMS
     - รองรับเอกสารได้หลายประเภท เช่น MS Office, Acrobat, Photoshop, Illustrator, ACDSee, AutoCAD, etc.


3. DRM for File-Server

ปกป้องเอกสารที่มีในไฟล์เซิร์ฟเวอร์ (Shared folder)

หน้าที่การทำงาน
1. เข้ารหัสเอกสาร (Document Encryption)
     - เข้ารหัสอัตโนมัติทันทีทีมีเอกสารสร้างขึ้นหรือทันทีที่มีการนำเอกสารจากเซิร์ฟเวอร์ไปใช้
     - ปกป้องข้อมูลถาวรทั้งในขณะที่ส่งหรือหลังจากส่งไปแล้ว

2. การควบคุมการเข้าถึงเอกสาร (Access Control Management)
     - ใช้การพิสูจน์ตัวตนแบบ SSO (Single-Sign-on)
     - ควบคุมการเข้าถึงโดยใช้ RBAC (Role based access control)
     - สามารถทำงานร่วมกับ LDAP ได้
     - สามารถควบคุมสิทธิโดยกำหนดที่ระดับเซิร์ฟเวอร์
     - ความคุมสิทธิ Open, Edit, Save Print, Copy/Paste, Screen capture, Decryption, Change permission
     - สามารถกำหนดครั้งและจำนวนเครื่องคอมพิวเตอร์ที่อนุญาตให้ใช้งานเอกสารได้
     - สามารถติดตามตรวจตรวจสอบการใช้งานเอกสารที่นำออกจากเซิร์ฟเวอร์ไปแล้วได้

3. ตรวจสอบการใช้เอกสาร (Auditing & Tracking)
     - ตรวจสอบได้ว่าเอกสารใดถูกใช้งานเมื่อเวลาใด โดยใคร รวมทั้งวิธีการใช้ (Edit, Print, etc)
     - สามารถบันทึกผลไว้สำหรับตรวจสอบและค้นหาในภายหลังได้

4. Document Security for External Usage
     - สามารถทำลายสิทธิในการเข้าถึเอกสารได้

คุณสมบัติ
1. Usability
     - ติดตั้งใช้งานได้ง่ายกับระบบที่มีอยู่แล้ว
     - ใช้การพิสูจน์ตัวตนแบบ SSO

2. Security
     - ปกป้องข้อมูลถาวรทั้งขณะที่เอกสารอยู่ในเซิร์ฟเวอร์หรือนำออกจาเซิร์ฟเวอร์ไปแล้ว
     - วิธีการเข้ารหัสเป็นของ Fasoo ร่วมกับ วิธีการเข้ารหัสมาตรฐาน

3. Stability
     - รองรับการทำงาน (Transaction) ได้เป็นจำนวนมาก (up to 100,000 users or unlimited)

4. High availability
     - สามารถเพิ่มจำนวนเซิร์ฟเวอร์ได้ตามขนาดขององค์กรที่เพิ่มขึ้น
     - มีความสามารถในการทำ Load balancing ระหว่างกันได้

สรุป จากตัวอย่างผลิตภัณฑ์ของ Fasoo จะเห็นได้ว่าสามารถปกป้อง รวมถึงตรวจสอบ ข้อมูลขององค์กรที่อยู่ในรูปแบบ Digital ได้ หากผู้อ่านสนใจเพิ่มเติมเกี่ยวกับเรื่อง DRM สามารถค้นหาโดยใช้ Search Engine ได้ครับ ไม่ว่าจะเป็นบทความตีพิมพ์ กรณีศึกษาต่างๆ มีให้ศึกษามากมายเลยครับ

อ้างอิง :
- Microcomputer, October 2008
- www.fasoo.com

วันอังคารที่ 5 สิงหาคม พ.ศ. 2551

Next Generation Network (NGN)


Multi Protocol Label Switching (MPLS)

MPLS - Multiprotocol Label Switching เป็นโปรโตคอลที่ถูกพัฒนาขึ้นมาโดย The Internet Engineering Task Force (IETF) เพื่อให้การส่งต่อข้อมูลโดย IP แพ็กเก็ตนั้นลดกระบวนการต่าง ๆลง ให้คล้ายกับการส่งข้อมูลด้วยสวิตช์ และยังช่วยให้หน่วยประมวลผลหรือ ซีพียูของอุปกรณ์ทำงานลดลงตามไปด้วย สุดท้ายผลที่ได้คือ การส่งข้อมูลจากจุดหนึ่งไปอีกจุดหนึ่งโดยไม่เกิดการล่าช้า

โดยปกติการรับส่งข้อมูลด้วยเราเตอร์ที่ใช้ IP แพ็กเก็ตในการรับส่งข้อมูลนั้น จะมีส่วนหัวของแพ็กเก็ตที่ระบุที่อยู่ของต้นทางและปลายทาง การส่งต่อของแพ็กเก็ตจากต้นทางไปยังปลายทางสามารถเกิดความล่าช้าขึ้นได้ ปัญหาความล่าช้าที่สามารถเกิดขึ้นได้จากความเร็วในการค้นหาเส้นทางของที่อยู่ปลายทางของเราเตอร์ ไปจนถึงขั้นตอนและวิธีการส่งต่อ แพ็กเก็ตจากอุปกรณ์ตัวหนึ่งไปยังอีกตัวหนึ่ง

กระบวนการของ MPLS นั้นได้เพิ่มขั้นตอนอย่างหนึ่งเข้าไปใน IP แพ็กเก็ตเพื่อให้การส่งต่อแพ็กเก็ตเร็วขึ้น คือการใส่ป้ายชื่อหรือ Label เข้าไป การใส่ป้ายชื่อนี้เปรียบเสมือนกับการใส่รหัสไปรษณีย์เพิ่มเข้าไปในหน้าซองจดหมาย ผู้คัดแยกจดหมายไม่จำเป็นต้องดูว่าผู้รับเป็นใคร เพียงแต่แยกว่ารหัสไปรษณีย์รหัสไหนจะส่งต่อไปภาคไหน หรือจังหวัดไหนเท่านั้น จะเห็นได้ว่าการเพิ่มขั้นตอนเพียงบางส่วนเข้าไป จะสามารถไปลดเวลาการทำงานโดยรวมให้น้อยลงได้ แนวความคิดแบบนี้คล้ายกับวิธีการของ MPLS ที่เกิดขึ้นมาก็เพื่อลด Overhead ในการใช้งาน Virtual Circuit บนเครือข่าย TCP/IP ลงให้มากที่สุด ซึ่งจะเป็นการผนวกเครือข่าย ATM ซึ่งเป็นเครือข่ายแบบ Virtual Circuit Switching และใช้ ATM Switch ในเลเยอร์ที่ 2 เป็นหลัก เข้ากับเครือข่าย TCP/IP ซึ่งเป็นเครือข่ายแบบ Packet Switching และใช้ Router ในเลเยอร์ที่ 3 เป็นหลักเข้าด้วยกัน ประโยชน์ที่ได้รับก็คือการทำวิศวกรรมควบคุมการจรจรบนเครือข่ายที่มีประสิทธิภาพ จากเดิมที่โปรโตคอลสำหรับการกำหนดเส้นทางส่วนใหญ่ในเครือข่ายจะมองในส่วนของระยะทางเป็นหลัก แต่สำหรับ MPLS แล้ว จะมองที่ความสามารถในการไหลไปยังปลายทางของข้อมูลเป็นหลักแทน และมีกระบวนการกำหนดเส้นทางที่ฉลาดว่าผสมกับการใช้งานแบบ Virtual Circuit ที่มีลักษณะการส่งแบบ Streamline แทนการส่งแบบ Connectionless ทำให้สามารถแก้ปัญหาการจราจรบนเครือข่ายได้เป็นอย่างดี

เนื่องจาก MPLS มีการส่งแบบ Streamline ทำให้สามารถรับประกันเกี่ยวกับปริมาณข้อมูลต่อเวลาได้เป็นอย่างดี เพื่อใช้งานในลักษณะ Real-Time เช่น การถ่ายทอดภาพและเสียงผ่านเครือข่ายอินเตอร์เน็ต ได้โดยทั้งภาพและเสียงมีคุณภาพใกล้เคียงกับ คุณภาพที่ได้จากการชมโทรทัศน์หรือฟังวิทยุเลยทีเดียว รวมทั้งสามารถที่จะกำหนดระดับของ QoS ให้เหมาะกับผู้ใช้งานแต่ละรายได้โดยง่าย สามารถใช้งานเป็น Tunnel ให้ VPN ได้เป็นอย่างดี เนื่องจาก ISP ที่ต้องการให้บริการ VPN กับลูกค้าของตนสามารถกำหนด Virtual Circuit ระหว่าง ISP กับลูกค้าเพื่อเพิ่มคุณภาพให้กับ Tunnel แทน VPN แบบเดิม ๆ ที่วิ่งไปบนเครือข่ายตามมีตามเกิด เนื่องจากใช้งานแบบ Connectionless นั่นเอง สนับสนุนโปรโตคอลได้หลากหลาย ปัจจุบันนอกจากที่สนับสนุนเครือข่าย TCP/IP แล้วยังสามารถนำ MPLS ไปใช้กับเครือข่าย ATM และ Frame Relay หรือแม้กระทั้งใช้บนเครือข่ายทั้งสามซึ่งทำ Overlay Network กันอยู่ก็ได้


การทำงานของ MPLS

ตัวอย่างวิศวกรรม ควบคุมการจราจรบนเครือข่ายด้วย MPLS

หลักการทำงานของ MPLS โดยสังเขปคือการสร้างระบบจัดเส้นทางของ Packet หรือการ Routing ขึ้นใหม่ภายในบริเวณของเครือข่ายที่กำหนด ซึ่งจะขอเรียกเส้นทางนี้ว่า LSP (Label Switch Path) โดยภายนิขอบเขตนี้ Packet ที่วิ่งเข้ามาจะถูกกำหนด Label ประจำตัวให้ใหม่ โดยไม่สนใจ Header เดิม (ซึ่งอาจเป็นของ TCP/IP) จากนั้นจึงวิ่งไปตามเส้นทางที่กำหนดไว้ใน LSP สำหรับ Label ชุดนั้นๆ ซึ่งเส้นทางนี้เป็นไปได้ทั้งการกำหนดตายตัวล่วงหน้า และการกำหนดแบบเปลี่ยนแปลงไปเรื่อยๆ ตามความเหมาะสม ซึ่งมีความซับซ้อนมากกว่าโปรโตคอลในการกำหนดเส้นทางของข้อมูลที่ใช้อยู่เดิมในเครือข่าย TCP/IP เช่นมีการคำนวณจากจำนวน hop ที่ส่งคำนวณจากเวลาที่ใช้น้อยที่สุด หรือพยายามให้ได้ตามเวลาจริง (Real-Time) เช่นสำหรับการส่งข้อมูลมัลติมีเดียและอื่นๆอีกมาก การทำงานจะทำได้เร็วกว่า Routing แบบเดิมเพราะ การคำนวณเพื่อจัดเส้นทางจะทำไว้ล่วงหน้า และเป็นอิสระจากการรับส่งข้อมูลแต่ละ Packet คือมีหน้าที่จัดเส้นทางใหม่ก็จัดไป เมื่อจัดเสร็จก็เก็บไว้ใช้งาน ส่วนหน้าที่รับส่งข้อมูลก็ทำไปเช่นกันไม่ยุ่งเกี่ยวกัน เมื่อมีข้อมูลเข้ามาถึงจะนำเส้นทางที่ได้เตรียมไว้มาใช้รับส่งข้อมูล เมื่อข้อมูลวิ่งมาถึงปลายสุดของ LSP ก็จะนำ Label ออกจาก Packet และปล่อยให้เป็นหน้าที่ของ Header เดิมของ Packet ทำหน้าที่นำข้อมูลส่งถึงปลายทางที่แท้จริง


MPLS แก้ปัญหาเรื่อง Network Traffic

การจราจรบนเครือข่ายที่มีความคับคั่ง หรือที่เรียกว่ามีคนใช้งานบนเครือข่ายเพื่อการส่งข้อมูลหากันมากจนเกินไป เป็นสาเหตุที่อาจจะส่งผลให้เกิดการติดขัดของข้อมูล ทำให้ข้อมูลที่ต้องการไปส่งถึงเป้าหมายล่าช้าลงกว่าเดิม จากที่ตั้งเป้าหมายไว้

ก่อนหน้านี้หลายปี ปัญหาเครื่องการใช้งานเครือข่ายมากจนเกินไป จนส่งผลต่อการส่งข้อมูลระหว่างกันนั้น เกิดขึ้นให้เห็นบ่อยมาก โดยเฉพาะการเชื่อมต่อกันระหว่าง Router ที่ใช้ T1 (1.544 Mbps) และ T3 (45 Mbps) เป็นหลัก และเลือกใช้ Interior Gateway Protocol หรือ IGP เป็น protocol สำหรับกำหนดเส้นทางของข้อมูลให้ packet ข้อมูลไหลไปในเส้นทางที่สั้นที่สุดระหว่างข้อมูลต้นทางและปลายทาง

การเลือกใช้วิธีการนี้ทำให้เกิดปัญหาการใช้งานบางเส้นทางบนเครือข่ายมากเกินไป ขณะที่ทรัพยากรเครือข่ายบางเส้นทางกลับไม่ได้รับการใช้งานมากมายนัก ประสิทธิภาพในการใช้งานเครือข่ายจึงไม่สมดุล

ในที่สุดก็มีการคิดค้นวิธีการแก้ปัญหาดังกล่าว ด้วยการเสนอแนวความคิดในการสร้างสิ่งที่เรียกว่า “Overlay network” โดยอาศัยการนำเอาเครือข่าย เครืองข่าย TCP/IP ไปใช้งานแบบซ้อนทับบนเครืองข่าย Asynchronous Transfer Mode หรือ ATM เพราะเป็นที่ทราบกันดีว่า เครือข่าย ATM นั้นเป็นเครือข่ายแบบ Virtual Circuits Switching ประสิทธิภาพในการทำงานเหนือกว่า TCP/IP ค่อนข้างมาก และการทำแบบนี้ก็ช่วยแก้ปัญหาความล่าช้าในการรับและส่งข้อมูลระหว่าเครือข่ายได้เป็นอย่างดี

ในขณะเดียวกันก็ช่วยจัดสรรเส้นทางในการส่งผ่านข้อมูลได้อย่างสมดุล ทำให้เส้นทางบางเส้นทางไม่ถูกใช้งานมากหรือน้อยจนเกินไปเสถียรภาพของเครือข่ายถึงดีกว่าแบบ TCP/IP เพียงอย่างเดียว

นอกจากนี้ขณะที่เกิด Overlay Network ขึ้นมายังมีการกำหนดมาตรฐานหรือ Protocal ใหม่ที่เรียกว่า Open Shortest path First หรือ OSPF ขึ้นมาเพื่อเป็นตั่วยส่งต่อข้อมูลที่ได้รับไปยังปลายทาง

จนกระทั่งปี 2544 หน่วยงาน IETF (Internet Engineering Task Force) ก็ได้กำหนดมาตรฐานใหม่ในการแก้ไขปัญหา ในการส่งข้อมูลบนเครือข่ายที่อาจจะ คับคั่งหรือถึงช้าด้วยปัญหาหลายๆ อย่าง โดยเฉพาะปัญหาเรื่องการเติบโตของเครือข่าย ATM ซึ่งในภายหลัง ได้เกิดจากการซ้อนทับหรือมี Overhead ปนกันด้วย

มาตรฐานใหม่ที่ IETF นำมาใช้ก็คือ MPLS หรือ Multiprotocol Label Switching นั้นเอง จุดประสงค์หลักในการเกิดของ MPLS ก็คือช่วยลด Overhead จากการส่ง Virtual Circuit บนเครือข่าย TCP/IP เป็นหลัก แต่อย่างไรก็ตาม MPLS ช่วยแก้ปัญหาได้ดียิ่งขึ้น เมื่อการใช้งานนั้นอยู่บนเครือข่ายเสมือน หรือ Virtual Circuit Switching และใช้ ATM Switch ในเลเยอร์ที่ 2 ต่อพ่วงเข้ากับ TCP/IP ซีงเป็นเครือข่ายแบบ Packet Switching และใช้ Router ในเลเยอร์ที่ 3 เป็นหลัก

เมื่อทั้งหมดต่อพวงเข้าด้วยกัน ก็ทำให้ MPLS นั้นช่วยให้ข้อมูลถึงปลายทาง ได้เร็วยิ่งขึ้น ด้วยหลักากรส่งข้อมูลบบ streamline ของ MPLS ทำให้มีการับประกันข้อมูลในการส่งอยู่ตลอดเวลา หรือที่เรียกว่า ความสามารถในการควบคุมคุณภาพการบริการ (QoS : Quality of Service)

ซึ่งภายหลังก้พบว่ามีการนำข้อดีของ MPLS มาใช้งานหลากหลายยิ่งขึ้น โดยเฉพาะ การใช้ MPLS เป็น Tunnel ให้กับ Virtual Private Network (VPN) หลายครั้ง ISP ที่ต้องการให้บริการ VPN สามารถกำหนด Virtual circuit ระหว่าง ISP และลูกค้าของตน เพื่อรับประกันการส่งข้อมูลไปยังเป้าหมายได้ จึงมั่นใจได้ว่าการใช้เครือข่ายในการสื่อสารทั้งภาพ เสียง และข้อมูลผ่านระบบเครือข่ายเดียวกัน ไม่ได้แยกช่องทางการสื่อสาร และถึงเป้าหมายที่ต้องการ ได้อย่างมีประสิทธิภาพ


รูปแบบบริการ MPLS เพื่อองค์กร

1. MPLS point to point (VLL) เหมาะสำหรับการเชื่อมต่อจากสาขาหนึ่งไปยังสาขาหนึ่ง (รูป)
2. MPLS point to multipoint (VPN) เหมาะสำหรับเป็นการเชื่อมต่อระหว่างสำนักงานใหญ่กับหลายๆ สาขา หรือแต่ละสาขาเชื่อมต่ออันเอง
3. MPLS point to multipoint (VPN) เหมาะสำหรับเป็นการเชื่อมต่อระหว่างสำนักงานใหญ่กับหลายๆ สาขา หรือแต่ละสาขาเชื่อมต่ออันเอง


ระบบ MPLS ในการติดตั้ง INTERNET

ภาพการให้บริการ MPLS จาก www.juniper.net



ตัวอย่างการให้บริการของ True Corporation แบบ MPLS (point to multi point)




ตัวอย่างการให้บริการของ True Corporation แบบ VLL (Point to Point)


กำเนิด MPLS

MPLS เริ่มต้นมาจากเทคนิคที่พัฒนาขึ้นโดยบริษัท Ipslon และ Cisco ในยุคที่ ATM มีบทบาทและเริ่มนิยมใช้เป็นอุปกรณ์เครือข่ายทดแทนเราเตอร์ในอินเตอร์เน็ต แบ็กโบน แต่ปัญหาคือ ATM เป็นอุปกรณ์เครือข่ายในระดับชั้นที่ 2 ซึ่งไม่มีกลไกของการเลือกเส้นทางตามหลักการที่ใช้อยู่ในเราเตอร์ ATM เป็นเทคโนโลยีสื่อสารข้อมูลแบบ Cell Switch และการมัลติเพล็กซ์ เชิงเวลาแบบอะซิงโครนัส (Asynchronous Time Division Multiplex) เมื่อมีข้อมูลที่ต้องส่งออก สถานี ATM จะแบ่งข้อมูออกเป็นชิ้นย่อยๆ เรียกว่า “เซลล์” (Cell) มีขนาด 53 ไบต์ต่อเซลล์ การส่งเซลล์ข้อมูลจะต้องมีการกำหนดเส้นทางเอมโยงระหว่างสถานีส่งและสถานีรับผ่านสายสื่อสารไว้ก่อน (วงจร) ลักษณะเช่นนี้เราจึงกล่าวว่า ATM ทำงานตามรูปแบบที่มีการเชื่อมต่อ (Connection-Orented) รูปแบบนี้ต่างจากเราเตอร์ซึ่งทำงานโดยแลกเปลี่ยนข้อมูลเส้นทางกับเราเตอร์ข้างเคียง

การส่งแพ็กเก็ตต้องอาศัยการวิเคราะห์ส่วนหัวของแพ็กเก็ต IP ร่วมก้บการ ตรวจหาเส้นทางจากตารางเส้นทาง แพ็กเก็ตจะถูกลำเลียงจากเราเตอร์หนึ่งไปยัง เราเตอร์ ถัดไปทีละชั้น (Hob by Hob) จนกระทั่งถึงปลายทางโดยไม่มีการกำหนดเส้นทางล่วงหน้า เราเรียกการทำงานแบบนี้ ว่า “ไร้การเชื่อมต่อ” (Connectionless) ซึ่งเป็นลักษณะปกติของโปรโตคอล IP เมื่อ ATM กลายมาเป้นแบ็กโบนแทนเราเตอร์ เครือข่ายส่วนกลางก็ถูกแทนที่ด้วย ATM โดยมีเราเตอร์เป็นตัวเชื่อม ลักษณะเช่นนี้เปนการเชื่อมเครือข่ายแบบไร้การเชื่อมต่อเข้ากับเครือข่ายที่มีการเชื่อมต่อ ซึ่งต้องกำหนดวิธีการว่าจะลำเลียงแพ็กเก็ตผ่านโครงข่ายแบบนี้อย่างไร


สรุป ข้อดีของ Multi Protocal Label Switching (MPLS)

• มีความเสถียรและปลอดภัยสูงในการรับ-ส่งข้อมูล
• มีปริมาณช่องสัญญาณ (Bandwidth) มากถึง 10 Gbps เพื่อรองรับลูกค้ากลุ่มธุรกิจโดยเฉพาะ
• สามารถเลือกความเร็วได้ตั้งแต่ 64 Kbps-1 Gbps
• พร้อมรองรับ IP Application ต่างๆ ไม่ว่าจะเป็น VOIP, Routing Protocol, QoS, Multicast และ VDO Conference
• จัดการ การใช้งานเครือข่ายได้อย่างมีประสิทธิภาพมากขึ้น
ปัจจุบันหลายๆ องค์กร ได้หันมาใช้ MPLS มากขึ้นเนื่องจากราคาที่สมเหตุสมผล ถูกกว่า Frame Relay หรือ Leased Line แบบเดิมมาก และประสิทธิภาพที่ดีและปลอดภัย

ตัวอย่างบริษัทฯ ที่ให้บริการ MPLS ให้ประเทศไทย

1. True Corporation
2. ADC (Advance Data Communication)
3. UIH (United Information Highway)
4. Samart InfoNet

Source: