CCNA විසි අටවන පාඩම NAT (Network Address Translation)

CCNA විසි අටවෙනි පාඩම NAT (Network Address Translation)

                                         ඔන්න ගොඩ කාලෙකට පස්සෙ ආයෙමත් වෙලාවක් හම්බුන බ්ලොග් එක පැත්තට ඇවිත් ලිපියක් දාන්න.අද අපේ විසි අටවෙනි පාඩමෙන් කතාකරන්නෙ NAT එහෙමත් නැත්තම් Network Address Translation කියන වැදගත් පාඩමක්. වැදගත් කියන්න හේතුවක් තමයි CCNA විභාගයට මේ මාතෘකාව යටතේ ප්‍රායෝගික ප්‍රශ්නයක් (lab question) ඇතුලත් කර තිබීම. හොදට NAT කියන්නෙ මොකද්ද ඒක Router එකකට අවස්ථාවට අනුව සැකසුම් කරන්නෙ කොහොමද කියල තේරුම් ගත්තොත් ලේසියෙන්ම ප්‍රායෝගික ප්‍රශ්නය ගොඩදාගන්න පුළුවන්. NAT ඉගෙන ගන්න කලින් අපිට IP address පාඩම් වලදි මගහැරුනු පොඩි කොටසකුත් මෙතනදි සාකච්චා කරන්න වෙනව. ඒව තමයි Private හා Public IP address. ඉස්සෙල්ම මේ IP address වර්ග දෙක මොක්කද කියල අපි බලමු.

                      අපි දන්නව ඕනෑම network එකකට සම්බන්ද කරල තියෙන උපකරන එකිනෙක සම්බන්ධ වෙන්නනම් IP address එකක් කියන්නෙ අනිවාර්යෙන්ම තිබිය යුතු අංගයක් කියල. ඒ වගේම network එකකදි  එකම IP address එක උපකරන කිහිපයකට assign කරන්න බැහැ කියලත් දන්නවනෙ. අපි හිතුවොත් අපේ network (private network) එකක තියෙන උපකරණයකට assign කරල තියෙන IP address එකක්ම internet (public network) එකට සම්බන්ධ කරල තියෙන උපකරණයකටත් assign කරල තියෙනව කියල. ඒ වගේ අවස්තථාවක private network එක public network එකත් එක්ක සම්බන්ධ වීමේදී අනිවාර්යෙන්ම ඝට්ටනයක් (conflict) ඇතිවෙනව. අන්න ඒකට පිළියමක් විදියට තමයි IANA (Internet Assign Number Authority) මගින් Private හා Public වශයෙන් IP address පරාසයන් දෙකක් වෙන්කරල තියෙන්නෙ.

Private IP address :

           ඉහතින් කතාකරපු තොරතුරු වලට අනුව RFC1918 යටතේ එක් එක් IP address classes වලට පහත ආකාරයට IP address පරාසයන් වෙන් කරල තියෙනව.

            Class A(/8)     : 10.0.0.0         to  10.255.255.255
            Class B(/12)   : 172.16.0.0     to  172.31.255.255
            Class C(/16)   : 192.168.0.0   to  192.168.255.255

ඉහත IP address පරාසයන් තුල පවතින host එකකට assign කල හැකි සියළුම IP address අපට private network එක තුල ඇති උපකරණ සදහා බාවිතා කරන්න පුළුවන්. ඒ වගේම ඉහතින් සදහන් කරල තියෙන පාරාසයේ පවතින IP addresses Internet backbone එක තුල මාර්ග ගත (routed) ආකාරයට ක්‍රියාත්මක වෙන්නෙත් නැහැ. ඒ කියන්නෙ internet එක තුල ඉහත IP address පරාසයන්ගෙ IP address බාවිතා කරල එහි ඇති උපකරණ එකිනෙකට සම්බන්ධ කරන්න බැහැ කියලයි. CCNA වලදි private IP address පිළිබදව ප්‍රශ්න කිහිපයක් අහන්නත් ඉඩ තියෙනව.

Public IP address:           
               Internet එකට කෙලින්ම සම්බන්ධ networks හා උපකරණ  වලට බාවිතා කරන්න තමයි Public IP address හදුන්වල දුන්නෙ. IP address class A, B, C වලට අයත් IP address පරාසයන්ගෙන් ඉහතින් සදහන් කරපු Private IP address පරාසයන්ට අයත් නැති කොටසට තමයි අපි Public IP address කියල හදුන්වන්නෙ.            
              දැන් අපි හදුනගත්ත මොනවද Private හා Public IP address කියන්නෙ කියල. දැන් බලමු ප්‍රධාන මාතෘකාව උන NAT වලට කොහොමද මේ Private හා Public IP address සම්බන්ධ වෙන්නෙ හා NAT මොනවගේ රාජකාරියක්ද network එක ඇතුලෙ කරන්නෙ කියල. පහතින් දක්වල තියෙන්න NAT ප්‍රයෝජනයට ගන්න පුළුවන් අවස්ථාවන් කිහිපයක් (පහතින් දක්වල තියෙන අවස්ථාවන් තේරුනේ නැතත් අවුලක් නැහැ.ක්‍රියාකාරකම් කරද්දි හොදට තේරෙයි කොහොමද මේ අවස්ථාවන් NAT සමග ක්‍රියාත්මක වෙන්නෙ කියල).

• Internet access කිරීම සදහා ප්‍රමාණවත් Public IP address ප්‍රමාණයක් ඔබගේ network එකකට නොමැති අවස්ථාවක.
• ඔබගේ network එක තවත් ඒ හා සමානම (එකම subnet එකට අයත්, සමාන IP address ranges බාවිතා වන) network එකක් සමග සම්බන්ධ කරන අවස්ථාවක.
• Internal IP address පරාසය outside network වලට සැගවීමට අවශ්‍ය අවස්ථාවක.

                            ඉහතින් කියපු අවස්ථාවන්ට අමතරව තවත් විශේෂිත අවස්ථාවන් කිහිපයකට NAT සැකසුම් Routers සදහා යොදාගන්න පුළුවන්. NAT Routers සදහා සැකසුම් කරන ආකාරයන් තුනක් තියෙනව.

1. Static NAT
2. Dynamic NAT
3. NAT overloading (PAT)

Static NAT:

         අපිට අවශ්‍යයිනම් එක් IP adress එකක් තවත් වෙනස් IP address එකකට map (ගලපන්න) කරන්න නම් මේ ක්‍රමය වඩාත් සුදුසුයි(one to one mapping). වැදගත්ම දේ තමයි එක් වරකට එක් IP address එකක් තවත් IP address එකකට map කිරීම තමයි Static NAT වලින් කරන්නෙ. අපි හිතමු inside network එකේ උපකරණ 10 තියෙනව කියල, එහෙමනම් Router එකට  එකිනෙකට වෙනස් වු Static NAT සැකසුම් 10 කරන්න වෙනව (සැමවිටම map කරන්නේ එකම IP address එක බව මතක තියා ගන්න).

බොහෝවිට  Static NAT සැකසුම් යොදාගන්නේ inside network එකේ ඇති උපකරණයක් outside network එකට  access කිරීමට අවශ්‍ය අවස්ථාවකදීයි. උදාහරණයක් විදියට private network එකේ ඇති ඇති mail server එක පමනක් public network එකට access කිරීමට අවස්ථාව සලසා දීම දක්වන්න පුළුවන්. මේ ගැන වැඩිවිස්තර සහිතව NAT ක්‍රියාකාරකම් වලදී කතා කරමු.

Dynamic NAT:
           මෙහිදීත් සිදුවන්නේ අපි කලින් කථා කරපු static NAT වලදී සිද්ධඋන IP address map කිරිල්ලම තමයි. ඒත් Dynamic Nat වලදී එම map කිරීම කරන ආකාරයේ වෙනස්කම් කිහිපයක් තියෙනව. Dynamic NAT වලදී බාවිතා වෙනව IP address pool එකක්. ඒ කියන්නෙ NAT mapping සදහා කලින්ම වෙන්කරල තියෙන යම් කිසි IP address සංඛ්‍යාවක් නැත්තම් පරාසයක්.හරියට පහලින් පෙන්නල තියෙනව වගෙයි.

ගොඩක් වෙලාවට Dynamic NAT අපි භාවිතා කරන්නෙ inside network එකේ users ලට outside network එකේ යම් කිසි උපකරණයක් access කරන්න අවශ්‍ය උනහමයි. උදාහරණයකින් කියනවනම් inside network එකේ users ලට ඕන public network එකේ තියෙන web server එකක් හා mail server එකක් access කරන්න. අන්න ඒ වගේඅවස්ථාවක IP address pool එකක් සහිත Dynamic NAT අපිට Router එකට සැකසුම් කරන්න පුළුවන්. 

NAT overloading (PAT):
            කලින් කථා කරපු NAT අවස්ථා දෙකේදිම සිද්ධවුනේ Router එක මගින් inside network එකේ තියෙන  IP address එකකට outside network එකේ IP address එකක් map කිරීමයි. ඒත් අපිට inside network එකේ ඇති IP address ගණනට සාපේක්ෂව map කිරීම සදහා ප්‍රමානවත්  outside IP address ප්‍රමානයක් නොමැති විටකදි තමයි NAT overloading එහෙමත් නැත්තම් PAT (Port Address Translation) අවශ්‍ය වෙන්නෙ.

                         මෙහි තියෙන විශේෂත්වය තමයි inside network එක outside network එක වෙත ගමන් කිරීමේදී සිදුවන NAT translation එහෙමත් නැත්තම් inside IP address outside IP address වලට map කිරීමේ ක්‍රියාවලිය සදහා එක් outside IP address එකක් පමණක් ප්‍රමානවත් වීම. එයට හේතුව තමයි PAT වලදී සිද්ධ වෙන්නෙ එකම IP address එකට එකිනෙකට වෙනස් වු port assign කරමින් inside IP address outside network එකට යොමු කිරීමයි.එකනේ අපි මේකට Port Address Translation කියලත් කියන්නෙ.මේ ක්‍රමය තමයි බොහෝදුරට යම් private network එකක් public network(internet) එක හා සම්බන්ධ වෙන්න යොදාගන්නෙ.එයට හේතුව තමයි මෙම ක්‍රමයේදී එක් public IP address එකක් හරහා සියළු Private network උපකරණ වලට public network එක සමග සම්බන්ධතාවය ගොඩනගාගත හැකි වීම. PAT ගැනත් සවිස්තරව ක්‍රියාකාරකම්වලදී කථා කරමු.

NAT addressing terminology (NAT address වර්ග):
             NAT ගැන පැහැදිලිව ඉගෙන ගන්නනම් අනිවාර්යෙන්ම NAT address වර්ග ගැන හොද අවබෝදයකුත් තියෙන්න ඕන. NAT සැකසුම් කිරීමේදී හා ගැටළු නිරාකරණයේදී NAT address පිළිබද දැනුම ගොඩක් ප්‍රයෝජනවත් වෙනව.
සැලකිය යුතුයි: පහලින් ඇති දේ ඔබට හරියටම තේරුම් ගත නොහැකි උවත් අවුලක් නැත. NAT ක්‍රියාකාරම් වලදී මෙම NAT address ඔබට "show" command එක හරහා පහසුවෙන්ම බලාගත හැකිවන අතරම තේරුම් ගතද හැකිය.අනිවා..

• Inside local: inside network එකේ ඇති උපකරණ වලට assign කර ඇති IP address NAT තුලදී inside local ලෙස හදුන්වනව.
• Inside Global: outside network එකට inside network එකේ ඇති උපකරණ හදුනිගැනීමට (inside network එකට ඇතුළු වීමට බාවිතා කරන) IP address NAT වලදී inside global විදියට හදුන්වනව.

• Outside local:  inside network එකට outside network එකේ ඇති උපකරණ හදුනාගැනීමට (outside network එකට ඇතුළු වීමට බාවිතා කරන) IP address NAT වලදී outside local විදියට හදුන්වනව

• Outside Global:  outside network එකේ ඇති උපකරන වලට assign කර ඇති IP address NAT තුලදී outside global විදියට හදුන්වනව.

මෙතෙක් වෙලා අපි කතාකරපු දේවල් වල නොතේරුනු තැනක් තිබුනොත් අහන්න. වැඩිදුරටත් NAT ක්‍රයාකාරකම් පාඩමේදී මේ පිළිබද ඔබට හොදින් වැටහෙනු ඇත. එහෙනම් ඉක්මනින්ම NAT ක්‍රියාකාරකම් තුලින් හමුවෙමු. ඔබ සැමට...

***** ජය ශ්‍රී *****

CCNA විසිහත්වන පාඩම Extended Access Control List

CCNA විසිහත්වන පාඩම Extended Access Control List

                                         අපි කලින් Access Control List පාඩම්  දෙකකින් කතා කරල ඉතුරු උන Extended Access Control List ගැන තමයි මේ පාඩමෙන් කතා කරන්නෙ‍. ඊට කලින් කස්ටියන්ටම ස්තුති වෙනව  විශාල ලිපි සංඛ්‍යාවක් නොමැතිවත් බ්ලොග් එකේ හිට්ස් 100000 කටත් වඩා වැඩි ගණනක් දක්වා රැගෙන විත් බ්ලොගේ සාර්ථකව කරගෙන යන්න ඔබ දැක්වු සහයෝගයට. අපි දැන් මුලික ACL සැකසුම් හා ඒවාහිදී අපි පිළිපැදිය යුතු නීති රීති ගැන කලින් පාඩම් වලදි හොද දැනුමක් ලබාගෙන තියෙන හින්ද මේ පාඩමේදි ඒ ගැන වැඩිදුර සදහන් කිරීමක් කරන්නෙ නැහැ. ඒ වගේම ACL තුලදි wildcard mask එක බාවිතාකරන හැටිත් එය ACL තුලදි ක්‍රියාත්මක වන හැටිත් කලින් පාඩම් බලල තේරුනානම් මේ පාඩමේදි ඒක ගොඩක් ප්‍රයෝජනවත් වෙයි.පසුගිය ACL පාඩම් බලන්න පහල ලින්කු භාවිතා කරන්න.
CCNA විසිපස්වෙනි පාඩම Access Control List(ACL) බැදපු නැති කෙල්ලත් සමග.
CCNA විසිහයවෙනි පාඩම Access Control List Configuration.

**Extended Access Control List ලක්ෂණ:

• Standard ACL සැකසුම කරද්දි අපි යොදාගත්තෙ source information (source IP හෝ source network address) පමනයි. නමුත් Extended ACL වලදි අපිට පහතින් දක්වල තියෙන කිහිපයක් හෝ සියල්ල යොදා‍ගෙන සැකසුම් කරන්න පුළුවන්.

                 .. Source IP/Network address

                 .. Destination IP/Network address

                 .. Protocol (eg:- TCP, UDP)

                 .. Port numbers (eg:- telnet 23, HTTP 80, FTP 21)

                 .. Other parameters

• Extended ACL එකක් සැකසුම් කර එය යොදවන්නේ source එකට ආසන්න Interface එකකටයි.
• කලින් පාඩම් වලදි කතා කරපු විදියට Router එකට අපි සැකසුම් කරන්නේ Extended ACL එකක් කියල හරියටම හදුනාගන්න එයට number එකක් assign කරනව. එම number එක 100 - 199 ත් හා 2000 - 2699 අතර නම් Router එක නිශ්ච්තවම එය Extended access control list එකක් විදියට හදුනා ගන්නව.  

**Extended Access Control List අපට යොදාගතහැකි අවස්ථා:

• එක් computer/network එකකට  වෙනත් network එකකට හෝ වෙනත් network එකක ඇති විශේෂිත computer එකකට අතුළුවීම වැලැක්වීමට (deny) හෝ අවසරදීමට (permit).
• යම් computer එකකට හෝ network එකකට අතුළුවන හෝ පිටවන විශේෂිත protocol එකකට අයත් network traffic පමනක් වැලැක්වීම (deny) හෝ අවසර දීමට (permit).

**Extended Access Control List configuration commands:

• access-list [access list number] [permit | deny] [protocol] [source address] [source wildcard mask] [destination address] [destination wildcard mask] [operator <port>] 

                        command එක දිගයි වගේ පෙනුනට එක් එක් කොටස පැහැදිලිව තේරුම් ගත්තට පස්සෙ අපිට පුළුවන් ලේසියෙන්ම මේ ගැන commandතේරුම් ගන්න. command එකේ මුලින්ම තියෙන access-list යන කොටස අනිවාරයෙන්ම කුමන ආකාරයක ACL එකක් සැකසුම් කිරීමේදී මුලින්ම යෙදිය යුත්තක්.
access list number:
        Router එකට ACL සැකසුම් කිරීමේදි එය කුමන ආකාරයක ACL එකක්ද කියල Router එක විසින් හදුන ගන්නෙ මේ කොටසට දමන number එකට අනුවයි. අපි දැන් මෙතනදි ඉගෙන ගන්නෙ Extended ACL හින්ද මේ කොටසට දැමිය යුතු වන්නෙ 100-199 ත් 2000-2699 ත් අතර සංඛ්‍යාවකුයි.  
permit | deny:
        කලින් පාඩම් වලදි කතා කලා වගේම මෙතනදිත් අපිට ACL එක හරහා Router එක තුලට ඇතුළු වීමට හෝ පිටවීමට අවසර දිය යුතු network traffic සදහා permit විධානයත් වැලැක්විය යුතු network traffic සදහා deny විධානයත් බාවිතා කරනව.මේ විධානයන් දෙකම එකවර බාවිතා කරන්න බෑ කියලත් මතක තියා ගන්න.
protocol:
     යම් කිසි network එකකට හෝ computer එකකට ඇතුළුවීමට හෝ පිටවීමට එක්  විශේෂිත protocol එකක් සැකසුම් කිරීම තමයි මෙහිදී කරන්නෙ. මෙතනදි protocol කියන ස්ථානයට අපට අවශ්‍ය protocol එකේ නම දැමිය යුතු වෙනව (IP,TCP,UDP,ICMP...). මෙහිදී අපි සැලකිලිමත් විය යුතු කරුණක් තියෙනව. ඒ තමයි එක් protocol එකකට සම්බන්ධ අනෙකුත් protocol සියල්ලටම මෙම අවස්ථාවට පෙර අපි කතා කරපු permit හෝ deny කියන අවස්ථාවේදී සිදුවන දේ බලපානව. උදාහරණයක් විදියට කියනවනම් අපි යම් network එකකට අතුළු විමට IP protocol එකට පමනක් අවසර දෙන්න ඕන කියල. එවිව පෙරනිමිතියෙන්ම TCP හා UDP protocol වලටත් ඊට අතුළුවීමට අවසර ලැබෙනව.ඒයට හේතුව තමයි TCP හා UDP protocol දෙක පිහිටන්නෙත් IP protocol එක ඇතුලෙ නිසා. එම නිසා අපට permit කිරීමට හෝ deny කිරීමට අවශ්‍ය නිශ්චිත protocol එක හදුනාගෙන මෙතනදි දැමිය යුතු වෙනව.
source address:
        කලින් පාඩම් වලිදිත් මේ ගැන කතාකලානෙ.සරලව කියනවනම් මෙතනදි දාන්නෙ ACL එකට සැකසුම් කල යුතු විශේෂිත වු source computer එකේ හෝ source network එකේ address එකයි. මේ ස්ථානයටම අපිට any කියන විධානයත් දාන්න පුළුවන්. එයින් සියළුම source computer හා source network යන්න නියෝජනය කරනව (සියළුම source). කලින් සදහන් කරපු විධානයන්ට අමතරව host කියන විධානයත් මෙහිදී යොදාගන්න පුළුවන්.එමගින් එක් විශේෂිත වු computer එකක් පමණක් source එක විදියට හදුන්වල දෙනව.
source wildcard mask:
        ACL තුල wildcard mask එක යොදාගන්න හැටි හා එය ක්‍රියාත්මක වෙන හැටි අපි විසිහයවෙනි පාඩමෙන් කතාකලා මතක ඇති.source address යටතේ දාපු ip address එකට හෝ network address එකට අදාල wildcard mask එක තමයි මෙතනදි දාන්නෙ.source address යන ස්ථානයට any හෝ host කියන විධානය දාල තිබුනොත් wildcard mask එකක් දැමිය යුතු වන්නේ නැහැ.
destination address:
         දන්නවනෙ data packet ලබාගන්නා (receiver) අපි destination එක විදියට හදුන්වන්නෙ. එහෙනම් අපි මෙතනදි දැමිය යුතු වන්නෙ destination IP address එක හෝ network address එකයි. කලින් source address යටතෙ කතාකලා වගේම මෙතනදිත් අපිට any කියන විධානය පාවිච්චි කරන්න පුළුවන්. එතකොට ඒකෙන් කියවෙන්නෙ සියළුම destination computers හා networks ගැනයි.තවත් විදියකින් කියනවනම් ඕනෑම destination එකක් කියලයි.ඒ වගේම අපිට මෙතනදි host කියන විධානයත් පාවිච්චි කරන්න පුළුවන් එමගින් එක් විශේෂිත වු computer එකක් පමනක් destination එක විදියට හදුන්වන්න පුළුවන්.
destination wildcard mask:
         කලින් wildcard mask එක ගැන කතාකරපු දේමයි මෙතනදි කියන්න තියෙන්නෙ.වෙනසකට තියෙන්නෙ මෙතනදි දාන්නෙ destination IP address එකේ හෝ network address එකේ wildcard mask එකයි. destination address යන ස්ථානයට any  හෝ host කියන විධානය දාල තිබුනොත් destination wildcard mask යන ස්ථානයට අපි කිසිවක් ඇතුලත් කලයුතු වන්නේ නැහැ.
operator:
        ACL එක තුල වැදගත් කාර්යබාර්යක් අපට මේ කොටස තුලින් කරගන්න පුළුවන්. පාඩම පටන්ගද්දිම කිව්වනෙ විශේෂිත protocol එකකට පමණක් extended ACL හරහා යම් network එකකකට හෝ computer එකකට ඇතුළුවීම වළක්වන්නට හෝ අවසර දෙන්නට සැකසුම් කරන්න පුළුවන් කියල. අන්න ඒ කොටස කරන්නෙ මෙතනින් තමයි.protocol යටතෙ අපි දාන මුළු protocol එකටම Extended ACL එක මගින් බලපෑමක් ඇති කරන්න අවශ්‍යනම් අපිට operator කියන අවස්ථාව නැතුවම Extended ACL command එක අවසන් කරන්න පුළුවන්.කලින් protocol යටතෙ කතාකරපු විදියට එතනට දමන protocol එකේ අඩංගු වෙන විශේෂිත protocol එකක් හෝ කිහිපයක් තෝරාගැනීම තමයි මෙතනදි සිද්ධ වෙන්නෙ. මෙතනදි අපිට operator යන කොටස තුල භාවිතා කරන්න පුළුවන් විධානයන් කිහිපයක්ම තියෙනව.ඒ අතරින් CCNA වලදි පහතින් දැක්වෙන විධානයන් ටික දැනගෙන තිබීම හොදටම ප්‍රමාණවත්.
Extended ACL සැකසුම් කිරීමේදී පහත සදහන් දේ ඔබට හොදින්ම වැටහෙනු ඇත......

• eq : equal (සමාන) කියන තේරුම තමයි eq කියන විධානයෙන් ලබාදෙන්නෙ. අපි operator යන ස්ථානයට eq විධානය ලබාදීල protocol ස්ථානයේදී ලබාදුන්නු protocol එකක් යටතේ තියෙන port number එකක් මෙතනදි ලබාදුනොත් එම port number එකට අදාල protocol එකට පමනක් Extended ACL සැකසුම් අන්තර් ගතවෙනව.
• gt : greater than (වඩා වැඩි) මෙය operator ස්ථානයට ලබාදීමෙන් කලින් සදහන් කල පරදි අපි ලබාදෙන port number එකට වඩා වැඩි අගයක් ගන්නා protocol වලට පමනක් Extended  ACL සැකසුම් අන්තර්ගගත වෙනව.
• lt : less than (වඩා අඩු) මෙහිදී Extended ACL මගින් සිදුකරන ලද සැකසුම් බලපාන්නේ අප ලබාදෙන port number එකට වඩා අඩු අගයක් ගන්නා සියළුම protocol සදහා පමනයි.
• range : දන්නවනෙ මෙතනදි සිද්ධවෙන්නෙ අපි ලබාදෙන port number යුගලයක් ඇතුලත පරාසයේ ඇති protocol වලට පමණක් Extended ACL එක මගින් කරන ලද සැකසුම් අන්තර්ගත වීමයි.

                    දැන් අපි Extended ACL සැකසුම් කිරීමේදී අපට අවශ්‍ය වන ප්‍රධාන command එක ගැන කතා කරල ඉවරයි. දැන් තියෙන්නෙ Extended ACL එකක් සැකසුම් කිරීමේදී අනිවාරය නැති නමුත් බොහෝ විට භාවිතා කරන command එකක් ගැන සාකච්චා කරන්නයි.ඕනෑම ACL සැකසුමක අවසානයේදී සියළුම network traffic deny වෙනව කියල ඔයාල දැනටමත් දන්නවනෙ. අන්න ඒ අවස්ථාව නැති කරන්න තමයි මේ command එක භාවිතා කරන්නෙ.    අපි මේ command එකම Standard ACL තුලදිත් බාවිතා කලා ඔයාලට මතක ඇති. ඒ හින්ද Standard ACL configuration පාඩමේදි පැහැදිලි කරල තියෙන විදියටම තමයි Extended ACL තුලත් මේ command එක ක්‍රියාත්මක වෙන්නෙ

• access-list [access list number] permit IP any any

                මේ command එක අපි Standard ACL වලදි යොදාගත්තෙ access-list [access list number] permit any යන ආකාරයටයි. ඒ අනුව Extended ACL වලදි IP හා any යන විධානයන් අමතර වශයෙන් මෙහි යොදාගෙන තියෙනව. දැන් අපි බලමු ඒ විධානයන්ගෙන් මොකද වෙන්නෙ කියල.

IP:

        IP කියන විධානයෙන් තමයි IP protocol තුල ඇති සියළුම අනෙකුත් protocol නියෝජනය කරන්නෙ. දන්නවනේ IP කියන්නෙ protocol stack එකක් කියල. ඒ කියන්නේ අපි පාවිච්චි කරන protocol සියලලන්ගේම පාදම(base එක) කියල කියන්න පුළුවන්.ඒ හින්ද තමයි මෙතනදි IP කියන විධානය භාවිතා කරල තියෙන්නෙ.

any any :

        මෙතනදා any any යනුවෙන් අදහස් කරන්නෙ any source any destination කියලයි.අපි මේ මුළු command එකම සරලව විමසා බැළුවොත් කියවෙන්නෙ යම් කිසි අංකයකින් දැක්වෙන Extended ACL එකට IP protocol එක හරහා ඕනෑම source එකකකින් ඕනෑම destination එකක් වෙත යන හෝ එන සියළු network traffic සදහා අවසර දෙන්න කියලයි.

Extended ACL එක interface එකකට සැකසුම් කරන්නේ පෙර පාඩමේදී කතාකල විදියටමයි. එහි කිසිදු වෙනසක් සිදුවන්නේ නැහැ.ක්‍රියාකාරකම් වලදී මේ පිළිබදව තවදුරටත් විමසා බලමු.

**Extended ACL ක්‍රියාකාරකම්:
සැමවිටම ක්‍රියාකාරකම් සිදුකිරීමේදී command එක type කර ?(ප්‍රශ්ණාර්ථ ලකුණ) ගසා Enter කිරීමෙන් ඊලගට යෙදිය හැකි command එක කුමක්දැයි සොයා බලන්න.

             මෙහි සිදු කරන සියළු ක්‍රියාකාරනම් පහතින් දක්වා ඇති පිංතූර අංක1 පාදක කරගෙන සිදුක ඇත.මෙය full convergence network (සියළු network එකිනෙකට සම්බන්ධ) එකක් බව සලකන්න.

පිංර්‍තර අංක 1

ක්‍රියාකාරකම් 1:

172.168.10.0/16 network එකට internet access කිරීම වැලැක්වීම.(අපි ඉහත සදහන් network එකෙන් පිටතට යන සියළුම http traffic වැලැක්කුවොත් ක්‍රියාකාරකම් 1 හි සදහන් දේ සිදුකරගත හැක.)

R1(config)#access-list 101 deny tcp 172.168.10.0 0.0.255.255 any eq 80
R1(config)#access-list 101 permit ip any any

******Router එකෙහි interface එකට ඉහත access-list 101 සැකසුම් කිරීම******

R1(config)#interface s1/0
R1(config-if)#ip access-group 101 out

                          මෙහිදී Extended ACL හි access list number එක විදියට 101 යොදාගෙන ඇත. ඉන් පසු යම් network traffic එකක්  වැලැක්විය යුතු නිසා deny යන්න යොදාගෙන තියෙනව. http යනු TCP තුල අඩංගු protocol එකක් වන නිසා මෙහිදී TCP කියන විධානය යොදල තියෙනව. ඉන්පසු source network address එක හා ඊට අදාල wildcard mask එක command එකට එකතු කරල තියෙනව. ඊට පසුව any යන විධානයෙන් නියොජනය කරනව ඕනෑම destination එකකට යන අර්ථය. eq යන්නෙන් සමානයි යන්නත් 80(80 වෙනුවට www යන්නද යෙදවිය හැකියි) ලෙස http protocol එකේ TCP  port number එකත් දක්වල තියෙනව.
සරලව කියනවනම් පළවෙනි command එකෙන් කියන්නෙ Extended ACL 101 න් වලක්වන්න TCP protocol එක හරහා  172.168.10.0/16 network එකෙන් ඕනෑම destination එකක් වෙත යන සියළුම http traffic.
දෙවනි command එකෙන් වෙන දේ  කලින් පැහැදිලි කරල තියෙනව.ඉන්පසු Extended ACL එක destination එකට ආසන්න interface එකකට සැකසුම් කරන නිසා මම R1 වල serial interface එකට එය සැකසුම් කරල තියෙනව. අවශ්‍යනම් අපිට පුළුවන් මෙය R1 වල f 2/0 interface එකට inbound ආකාරයට සකසන්නත්.
ක්‍රියාකාරකම් 2:
computer4 එකට අනෙක් network එකේ ඇති mail sever එක පමණක් access කල නොහැකි පරිදි ACL සැකසුම් කරන්න.මෙම සැකසුම් මගින් network එකේ අනෙක් computer හා servers අතර සම්බන්ධතාවට බධා නොවිය යුතු අතර computer4 ට mail server එක හැර අනෙක් computers අතර සම්බන්ධතාවය පෙර පරිදිම තිබිය යුතයි (මෙම ක්‍රියාකාරකමේදී අප සිදුකල යුත්තේ computer4 වෙතින් mail server එක වෙත යන සියළුම network traffic නතර කිරීමයි).

R2(config)#access-list 102 deny ip host 10.120.114.3 host 172.168.10.5
R2(config)#access-list 102 permit ip any any

****** ඉහත සැකසුමම Extended ACL තුල පහත ආකාරයටද සැකසුම් කල හැක ******

R2(config)#access-list 102 deny ip 10.120.114.3 0.0.0.0 172.168.10.5 0.0.0.0
R2(config)#access-list 102 permit ip any any

****** access-list 102 interface එකට සැකසුම් කිරීම ******

R2(config)#interface s 1/0
R2(config-if)#ip access-group 102 out

ඉහත ක්‍රයාකාරකමේ ආකාරයට ඕනෑම අවස්ථාවක යම් source එකක සිට destination එකකට යන සියළු network traffic වැලැක්වීමට අවශ්‍යනම් අප කල යුත්තේ එම network එකට හෝ host එකට අදාල IP protocol එක deny කිරීමයි.
ක්‍රියාකාරකම් 3:
172.168.10.0/16 network එකට අනෙක් network එකේ ඇති ftp server එකේ ftp service එක පමනක් access කල හැකි ආකාරයට ACL සැකසුම් කරන්න.එසේම එම network එකෙන් අනෙක් සියළු network වෙත යන සියළු traffic වළක්වන්න.

R1(config)#access-list 150 permit tcp 172.16.10.0 0.0.255.255 host 10.120.114.4 eq 21

****** ඉහත Extended ACL එක Router interface එකට සැකසුම් කිරීම ****** 

R1(config)#interface f 2/0
R1(config-if)#ip access-group 150 in

මෙම ක්‍රියාකාරකම කිරීමේදී ACL වලදී අන්තිමට සියළුම network traffic deny වීම ප්‍රයෝජනයට ගෙන සැකසුම් කර ඇත.තේරුනේ නැත්තම් පසුගිය ACL පාඩම් ටික බලන්න.
                                 දැන් අපි CCNA වලදි දැනගතයුතු Access Control List ගැන හොද අවබෝදයක් ලබාගෙනයි තියෙන්නෙ.තේරුනේ නැති දෙයක් තිනෙවනම් අනිවාර්යෙන් අහන්න.CCNA විභාගයේදී name ACL ගැන න්‍යායික ප්‍රශ්න කිහිපයක් අහන්නත් ඉඩ තියෙනව.ඒක හින්ද මෙතනින් ගිහින් power point presentation(මේක මම හදපු එකක් නෙමෙයි මෙහි අයිතිය කතෘ සතුයි කේස් එකක් ආවොත් ඔන්න මමනම් දන්නෙ නෑ) එක බාගෙන ඒකෙ අන්තිමට තියෙන name ACL ගැනත් ටිකක් බලාගන්න. එහෙනම් තවත් පාඩමකින් නැවතොත් හමුවෙමු.ඔබ සැමට

***** ජය ශ්‍රී *****

C# සිංහලෙන්ම පාඩම් සෙට් එකක්.

C# සිංහලෙන්ම පාඩම් සෙට් එකක්.

                         CCNA පාඩම් මාලාවට තිත තියන්න නෙමෙයි ඔන්න මේ වැඩේ කරන්නෙ. මම BIT කරනවනෙ ඉතින් මටත් හිතුන C# තනියම ඉගෙන ගන්න ඕන කියල. BIT වලදි programming ඉගෙන්නුවට C# උගන්නන්නෙ නෑනෙ ඉතින්. මට යාළුවෙක් ලග තිබිල විජය පරිගණක සගරාවෙ ගිය C# පාඩම් මාලාවෙ සේරම පාඩම් ටික හම්බුන. ඉතින් මමත් නිකම් ඉන්න වෙලාවට බලන්න කියල ඒ කොල ටික scan කරල pdf කරගත්ත. ඉතින් අපිට තනියම කාල පුරුද්දක් නෑනෙ (දැනුම විතරයි හරිද බොලව්) ඒක හින්ද  පහල තියෙන සබැදියන්ගෙන් ඔයාලටත් පුළුවන් ඒ පාඩම් ටික බාගන්න. එහෙනම් ඉක්මනින්ම CCNA පාඩම් මාලාවෙ Extended Access Control list configuration සමග ඊලග පාඩමෙන් හමුවෙමු.......

• පළමු කොටස
• දෙනව කොටස
• තුන්වන කොටස

පසු සටහන: සබැදියන් තුනට අපු traffic වැඩි නිසා dropbox මගින් තාවකාලිකව අවලංගු කර ඇත. තවත් දින කීපයකින් උත්සහ කර බලන්න.

දැඩි ඉල්ලීම පරිදි mediafire වලට upload කරන ලදි.පහත සබැදියන්ගෙන් බාගන්න..

• http://www.mediafire.com/?dd8vxxthm5c9154
• http://www.mediafire.com/?9biz2ae4q46sb1d
• http://www.mediafire.com/?n6m8idf0239g9gv

***** ජය ශ්‍රී *****

CCNA විසිහයවන පාඩම Access Control List configuration

CCNA විසිහයවෙනි පාඩම Access Contril List configuration

                                      කලින් Access Control List පාඩම බලපු නැති කස්ටිය ඉන්නවනම්  මෙතනින් ගිහින් ඒ පාඩම බලලම මේ පාඩමට එන්න. අපිට මේ පාඩමෙන් බලන්න තියෙන්නෙ ACL කොහොමද Router එක තුල සැකසුම් කරන්නෙ කියලයි. පළමු පාඩමේ කතාකලා මතකයිනෙ ACL වර්ග දෙකක් ගැන (තවත් ACL වර්ග කිහිපයක්ම තියෙනව, ප්‍රධාන වශයෙන් CCNA වලදි වැදගත් වෙන්නෙ මම කලින් පාඩමේදි සදහන් කරපු ACL වර්ග දෙකයි).

***Standard හා extended ACL packet tracer මෘදුකාංගය භාවිතයෙන් සැකසුම් කර ඔබට ඉදිරිපත් කරන්න හැදුවත් ඒවා packet tracer 5.3.3 මෘදුකාංගය තුල නිසියාකාරයෙන් ක්‍රියාත්මක වීමේදි යම් යම් ගැටළු මතු වු නිසා සමහර ACL සැකසුම් පමනක් (packet tracer configuration file නොමැතිව) මේ පාඩමේදී ඔබට ඉදිරිපත් කරන්නට සිදුවීම පිලිබද මගේ කනගාටුව ප්‍රකාශ කරමි. gns3 Router simulation මෘදුකාංගය භාවිතයෙන් උත්සහ කලද ඉහත ගැටළුවම මතුවිය. කෙසේ වෙතත් මෙහිදී දක්වන ACL වලට අදාල සියළුම සැකසුම් CCNA විභාගයේදී ඔබට හමුවෙන ගැටළු සදහා සාර්ථකව පිළිතුරු ලබාදීමට ඔබට යොදාගත හැක. (කාට හරි packet tracer මගින් නිවරදිව සමහර ACL සැකසුම කරන හැටි හම්බුනොත් මටත් කියපල්ල හොදද ). 

Standard Access Control List සැකසුම් කිරීම ..
**Standard Access Control List ලක්ෂණ:

• Network එකක් තුල data එක් ස්ථානයක සිට තවත් ස්ථානයකට යැවීමේදී  යවන්නා source ලෙසත් තොරතුරු ලබන්නා destination එක ලෙසත් හදුන්වනව කියල ඔයාල දන්නවනෙ. standard access control list එකක් සැලසුම් කිරීමේදී එහි අඩංගු වෙන්නෙ source ගේ තොරතුරු පමනයි.
• සැම විටම network එකක් තුල standard access control list එකක් සැකසුම් කිරීමේදී destination එකට ආසන්න Router එකේ interface එකකට තමයි සැකසුම් කරන්නෙ.
• Router එකට ACL එකක් සැකසුම් කලාට පසු එය standard access control list එකක්ද කියා හදුනා ගන්නට ACL සැකසුම් කිරීමේදී එයට number එකක්ද assign කරයි. එම number එක 1 - 99 ත් හා 1300 - 1999 අතර නම් Router එක නිශ්ච්තවම එය standard access control list එකක් ලෙස හදුනා ගනියි.

**Standard Access Control List අපට යොදාගතහැකි අවස්ථා:

• එක් computer එකකට  වෙනත් network එකකට අතුළුවීම වැලැක්වීමට (deny) හෝ අවසරදීමට (permit).
• එක් network එකකට වෙනත් network එකකට   අතුළුවීම වැලැක්වීමට (deny) හෝ අවසරදීමට (permit).

**Standard Access Control List commands:

• access-list access-list-number {permit |deny} {host | source-wildcard | any}

                 ඉහත command එකේ access-list යන්න සෑම විටම වෙනස් නොවේ. සෑම ACL එකක් සැකසීමේදී මෙම command එක නිත්‍ය වශයෙන්ම ආරම්භයේදී භාවිතා කල යුතුය.access-list-number යන්නට ඉහතින් Standard Access Control List ලක්ෂණ යටතේ අපි කතාකරපු number range එකට අයත් වන number එකකුයි මෙතන දාන්නෙ. එතකොට Router එක හදුන ගන්නව මේ සැකසුම් කරන්නෙ standard access control list එකක් කියල. {permit|deny} මෙතනදි කියන්නේ network traffic එකට අවසර දෙනවාද වලක්වනවාද කියලයි. අවසර දෙනවානම් permit යන්නද වලක්වනවානම් deny යන්නද යෙදිය යුතුයි. {host | source-wildcard | any} අපි එක් computer එකකින් එන හෝ යන network traffic එක වලක්වනවානම් හෝ අවසරදෙනවානම්  එවනි අවස්ථාවක host යන command එකත් සමග එම computer එකේ IP address එක යෙදිය යුතුයි. නැතිනම් host කියන command එක නැතුව කෙලින්ම computer එකේ IP address එක දමා 0.0.0.0 ලෙස wildcard mask එක යෙදිය යුතුයි.(wildcard mask ACL තුල යොදාගන්නා ආකාරය පසුව සවිස්තරව පාඩම ඉදිරියේදී හම්වනු ඇත). එසේම network එකකින් එන හෝ යන network traffic එකක් වලක්වනවානම් හෝ අවසර දෙනවානම් කෙලින්ම එම network එකේ network address එක දමා ඊට අදාල wildcard mask එක දැමිය යුතුයි. අපි මේ සාකච්චා කරන command එකේ අවසානයට host හෝ network සැකසුම් නොකොට any යන්න යෙදුවොත් එයින් කියන්නෙ Router එකේ මෙම ACL එක සැකසුම් කරන interface එක හරහා යන හෝ එන සියළුම network traffic වලට අවසර දෙන්න හෝ වලක්වන්න කියලයි.

• Router(config)#  access-list access-list-number permit any 

                       කලින් පාඩමේදි Access Control List හැසිරීම කියන කොටසෙ අනිතිම පොයින්ට් එකෙන් කියල තියෙන දේ හොදට බලන්න. ඒකෙන් කියන්නෙ ACL එකක් Router එකේ interface එකකට සැකසුම් කලාට පස්සෙ එම ACL එක මගින් interface එක හරහා යන සේරම traffic deny කරනව කියලනෙ. අන්න එ නිසා තමයි අපි සැකසුම් කරන ACL එකේ අන්තිම command එක හැටියට ඉහලින් තියෙන command එක යොදාගන්නෙ.මේ command එකෙන් කියන්නෙ access-list-number කියන ස්ථානයේ දමන number එක ඇති ACL එක හරහා යන අ‍නෙක් සියළුම network traffic සදහා අවසර දෙන්න කියලයි(permit any). ACL එකක මෙම ලක්ෂණය අපිට වාසියක් වෙන අවස්තාවකුත් තියෙනව. අපි හිතමු අපිට ඕන Router එකේ interface එක හරහා යන මොනව හරි  network traffic එකක් හෝ කිහිපයකට, ACL සැකසුම් මගින් එම interface එක හරහා යන්න අවසර (permit) දෙන්න හා අනෙක් සියළුම network traffic එම interface එක හරහා ගමන් කිරීම වලක්වන්න(deny). ඒ වගේ අවස්ථාවකදි කරන්න තියෙන්නෙ ACL එක මගින් පළමුවෙන් සාකච්චා කරපු command එක පාවිච්චි කරල අවශ්‍ය network traffic ටිකට අවසර දෙන එක විතරයි. එතකොට ACL එක මගින් පෙරනිමිත්යෙන්ම (default) අනිත් සියළුම network traffic deny කරල දානව. ඒ කියන්නෙ අපි දැන් කතාකරපු command එක පාවිච්චි කිරීමේ අවශ්‍යතාවයක් නෑ කියලයි. 

Router Interface සදහා Access Control List සැකසුම් කිරීම.
                       කලින් කතාරපු command බාවිතා කරල හදාගත්තු ACL එක කොහොමද Router එකේ interface එකට සැකසුම් කරන්නෙ කියල දැන් බලමු. standard හෝ extended යන ඕනෑම වර්ගයක ACL එකක් interface එකකට සැකසුම් කරන්නෙ එකම විදිහටයි.

• Router(config-if)#ip access-group access-list-number {in/out}

                පළමුවෙන්ම අපට අවශ්‍ය interface එකට global configuration mode (මොකද්ද මේ mode කතාව කියල හිතුනොත් එහෙම අනිව පහුගිය පාඩම් ටික බලලම මේ පාඩමට ආවොත් හොදයි පුතෝ) එක හරහා ඇතුළු වෙනව. ඊට පස්සෙ ඒ interface එකට ip access-group කියන command එකට පස්සෙ access-list-number කියන තැනට අපි කලින් සැකසුම් කරපු ACL එකේ number එක දානව. ඊටත් පස්සෙ CCNA විසි හයවනි පාඩමේදි කතාකරපු විදියට inbound විදියටනම් ACL එක interface එකට සැකසුම් කරන්න ඕන in කියලත් outbound විදියටනම් out කියලත් දාල command එක අවසන් කරනව. හොදට මතක තියාගන්න in හා out යන command දෙකම එකවර දාල ACL එක interface එකකට සැකසුම් කරන්න බැහැ කියල.  

Standard Access Control List ක්‍රියාකාරකම්.
         මෙතන ඉදල බලමු අපි මෙච්චර වෙලා ඉගෙන ගත්තු දේවල් වලින් කොහොමද ACL සැකසුම් කරන්නෙ කියල. මේ පහලින් තියෙන්නෙ කිසිම ACL සැකසුමක් කරපු නැති full convergence (සමුපූර්ණයෙන්ම එකිනෙකට සම්බන්ධ) network එකක්. මේ network එකේ routing protocol එක හැටියට යොදාගෙන තියෙන්නෙ RIP v2 යි.

• Packet tracer file
• Configuration text file

ක්‍රියාකාරකම් 01:

** Tom computer (192.168.10.2) එකට Router2 හි 200.100.10.0/25 network එක access කල නොහැකි වන ලෙස ACL එකක් සැකසුම් කිරීම.

මෙහිදී අප standard ACL එකක් සැකසුම් කරන නිසා පාඩම ආරම්බයේදී කී පරිදි destination එකට ආසන්න ස්ථානයකට ACL සැකසුම් කරමු. ඒ අනුව Router2 හි Se 0/0 interface එකට inbound ආකාරයට හෝ එහිම Fa 0/0 interface එකට outbound ආකාරයට අපට ACL සැකසුම් කල හැකියි. මෙය ක්‍රම දෙකකට සිදුකල හැකියි.

# පළමු ක්‍රමය:

Router2(config)#access-list 10  deny host 192.168.10.2 
Router2(config)#access-list 10  permit any

Router2(config)#interface serial 0/0
Router2(config-if)#ip access-group 10 in

#දෙවන ක්‍රමය:

Router1#sho ip rou
Router2(config)#access-list 20 deny 192.168.10.2 0.0.0.0
Router2(config)#access-list 20 permit any

Router2(config)#int se 0/0
Router2(config-if)#ip access-group 20 in

පහලින් තියෙන්නෙ මම ඉහතින් තියෙන විදියට සැකසුම් කරපු Packet tracer simulation එකක්.ඒක බාගෙන Tom computer එකේ ඉදල අනෙක් network එකට data packet යවල බලන්න successful විදියට ඒවා send වෙනවද කියල. 

• Packet tracer file (මෙහි සමහර ACL සැකසුම් නිවරදිව ක්‍රියාත්මක නොවේ)

ක්‍රියාකාරකම් 02:

** 192.168.10.0/29 network එකට 200.100.10.0/25 network එක access කල නොහැකිවන පරිදි ACL සැකසුම් කිරීම.

මෙහිදී අපට Router2 හි Fa 0/0 interface එකෙන් 192.168.10.0./29 network එකට අයත්වන traffic පිටවන (out)අවස්ථාවේදී deny කිරීමෙන් ක්‍රියාකාරකම් 02 තුලින් බලාපොරොත්තු වන දේ සිදුකරගත හැක. මෙම ක්‍රියාකාරකම් මීට වඩා වෙනස් ආකාරයෙන්ද සිදුකල හැක.ඔබත් උත්සහ කර බලන්න.

Router1#sho ip rou
Router2(config)#access-list 90 deny 192.168.10.0 0.0.0.7
Router2(config)#access-list 90 permit any

Router2(config)#interface fa 0/0
Router2(config-if)#ip access-group 90 out

මෙහදි 0.0.0.7 ලෙස යොදාගෙන තියෙන්නේ 192.168.10.0/29 කියන network එකේ wildcard mask එකයි.wildcard mask එක ACL යොදාගන්න හැටි මේ පාඩමේදිම අපි කතාකරමු..

• Packet tracer file (මෙහි සමහර ACL සැකසුම් නිවරදිව ක්‍රියාත්මක නොවේ)

ඉහත packet tracer file එක බාගෙන බලන්න 192.168.10.0/29 network එකේ ඉදල 200.100.10.0/25 network එකට data packet යවල බලන්න successful reply එනවද කියල.
ක්‍රියාකාරකම් 03:

මෙන්න මේ command එක මතකද?

 Router(config)#  access-list access-list-number permit any 

මම කිව්ව නේද මේ command එක දාන්නෙ නැතුවත් අපිට ACL සැකසුම් කරන්න පුළුවන් කියල.අන්න ඒ වගේ ක්‍රියාකාරකමක් තමයි මේ.

**Jerry computer එකට පමනක්  192.168.10.0/25 network එක access කිරීමට අවසර දීම හා එම network එකට පැමිනෙන අනෙක් සියළුම traffic වැලැක්වීම.

මෙහිදී destination එක වන්නේ Router 1 හි network එකක් නිසා එහි interface එකකට ACL සැකසුම් කරමු.

Router1#sho ip rou
Router1(config)#access-list 15 permit host 200.100.10.3

Router1(config)#interface fa 0/0
Router1(config-if)#ip access-group 15 out

පහලින් තියෙන packet tracer file එක බාගෙන බලන්න Jerry computer එකේ ඉදල අනෙක්  network එකේ computers වලට data packet යනවද කියල(අනිවාර්යෙන් යා යුතුයි). ඒ වගේම Jerry computer එක තියෙන network එකේම අනිත් computers වලින් data packet යවල බලන්න successful reply ලැබෙනවද කියල(නොලැබේ).

• Packet tracer file (මෙහි සමහර ACL සැකසුම් නිවරදිව ක්‍රියාත්මක නොවේ)

ACL තුල wildcard mask යොදාගැනීම:

                                       මතකනෙ අපි OSPF පාඩමේදි wildcard mask එක හෙව්ව. ඇයි ACL වල wildcard mask එක network address සමග යොදාගන්නෙ. ඊට කලින් මතක නැති කට්ටිය පහත බලල තේරුම් ගන්න කොහොමද wildcard mask එක හොයාගන්නෙ කියල.

උදා-: 172.16.32.0/19 හි wildcard mask එක සොයන්න.

                                           255.255.255.255

               subnet mask      : 255.255.224.0          (අඩුකිරීම)

               wildcard mask   : 0.   0.  31. 255    

ACL එකත් සමග wildcard mask එක යොදාගැනීමට ප්‍රධාන හේතූන් දෙකක් තියෙනව. පළවෙනි එක තමයි ACL එකට පුළුවන් Wildcard mask එක පාවිච්චි කරල සොයාගන්න IP address එකක යම් කොටසක් පමනක් හරියටම ගැලපුනොත් විතරක් ඒ හරහා එන network traffic එක deny කරන්න හෝ permit කරන්න. දෙවනි එක තමයි IP address එකේ ඉහතින් සදහන් කල කොටසට පසු ඉතිරිවන කොටසට කුමන network traffic එකක් ගැලපුනත් එම network traffic එක deny හෝ permit කරන්න. කියපු දේ තේරුනේ නැත්තම් පහතින් කියල තියනදේ බලපුවාම මේ කියල තියෙන දේ හොදට තේරෙයි.

උදා-: 172.16.32.0 /19 අපි මේ network එක හරහා එන සියළුම network traffic  ACL එකක් මගින් permit හෝ deny කරන්න සැකසුම් කරනව කියල හිතමු. හරියට 

පහතින් තියෙනව වගේ..

Router1(config)#access-list 50 {permit/deny} 172.16.32.0 0.0.31.255

                    මේ වගේ ACL එකේ සැකසුම් කරපුවාම Router එක කරන්නෙ network address එකයි wildcard mask එකයි binary වලට පරිවර්තනය කරල network address එකෙන් wildcard mask එක අඩුකරන එකයි. හැබැයි අඩු කරන්නෙ wildcard mask එකේ තියෙන 0 වලින් විතරයි. පහලින් තියෙන්නෙ ඒ විදියට අඩුකරල ගත්තු පිළිතුරයි.

network address:10101100.00010000.00100000.00000000

wildcard mask   :00000000.00000000.00011111.11111111

                           10101100.00010000.001                         

මේ පිළිතුර decimal වලට පරිවර්තනය කලොත් අපිට ලැබෙන්නෙ 172.16.32 කියන අගයයි. මෙන්න මේ අගයට ගැලපෙන සියළුම IP address වලින් එන network traffic ACL එකේ සැකසුම් අනුව permit හෝ deny කරනව. තවත් කියනවනම් අපේ උදාහරනෙ විදියටනම් ACL සැකසුම් කරපු interface එකකට එන network traffic එකේ source හෝ destnation IP address එකේ මුල් ඉලක්කම් කාණ්ඩ තුන අපිට ලබුන පිළිතුරට සමානනම් ACL සැකසුම අනුව එම network traffic එක permit හෝ deny කරනව. දැන් ඔයාලට තේරෙනව ඇති අපි මොකටද ACL එකක් සැකසුම් කිරීමේදී wildcard mask එක යොදාගන්නෙ කියල.

Standard Access Control List මේ පාඩමෙන් අවසන් වෙනව. ඊලග පාඩමෙන් බලමු කොහොමද extended Access Control List එකක් සැකසුම් කරන්නෙ කියල. මොනව හරි අපහැදිලි තැනක් තියෙනවනම් අහන්නත් අමතක කරන්න එපා. ඊලග පාඩමෙන් හමුවෙමු. ඔබ සැමට

***** ජය ශ්‍රී ****

CCNA විසිපස්වෙනි පාඩම Access Control List(ACL) බැදපු නැති කෙල්ලත් සමග..

CCNA විසිපස්වෙනි පාඩම Access Control List(ACL) බැදපු නැති කෙල්ලත් සමග. 

• සැලකිය යුතුයි : මේ පාඩමේ තිබෙන සියළු දේ තේරුම් ගත යුතු නැත. සමරහ විට තේරෙන්නේ නැති වන්නටද පුළුවන. 10% පමනක් ලාවට මතක තබා ගැනීම ප්‍රමානවත්ය. විසිහයවෙනි පාඩමේදී ACL සැකසුම් සමගින් මෙහි ඇති සියළු දේ ඔබ සැමට මනාව වැටහෙනු ඇත. අත්දුටුයි ප්‍රත්‍යක්ෂයි.

                                          අද මේ පාඩමෙන් කතාකරන්නෙ CCNA වලදි වැදගත්ම පාඩමක් වෙන Access Control List ගැනයි. මේ පාඩම ගොඩක්ම වැදගත් වෙන්න හේතුවක් තමයි CCNA විභාගයේදී ACL වලින් ප්‍රායෝගික ක්‍රියාකාරකමක් එහෙමත් නැත්තන් lab question එකක් අනිවාර්යෙන්ම ලැබීම. ඒ හින්ද CCNA විභාගෙට යනවනම් ACL වල syntax ටික මතක තියෙන්න ඕන හොද අවබෝදයකුත් එක්කම.

                                      network එකේ තියෙන Router එකකට ACL එකක් සැකසුම් කිරීමෙන් බලාපොරොත්තු වෙන්නෙ network එක තුල යම් ආරක්ෂාවක් ඇතිකිරීමයි. හරියට බැදපු නැති කෙල්ලෙක් ඉන්න ගෙදරක දෙමවිපියො ඉන්නව වගේ අවස්ථාවක්:). ACL සැකසුම් කල Router එකක් මගින් එම Router එකට සම්බන්ද network වලට හෝ එක් එක් computers වලට, වෙනත් network එකක් සමග හෝ වෙනත් network එකක ඇති computer එකක් සමග සම්බන්ධතාවයක් ගොඩනගාගන්න බැරිවෙන විදියට හෝ එක් විශේෂිත network එකක් සමග හෝ computer එකක් සමග පමනක් සම්බන්ධතාවයක් ගොඩනගාගැනීමට හැකිවෙන විදියට හා නොහැකිවෙන විදියට  සැකසුම් කරන්න පුළුවන්. ඒ වගේම විවිධ protocol හරහා පැමිනෙන data packet උනත් ACL මගින් වලක්වන්නට හෝ network එක හරහා ගමන් කිරීමට අවසර දෙන්නත් ACL යොදාගන්න පුළුවන්. මෙච්චර වෙලා කයවපු දේවල් සංෂිප්ත කරල අපිට මෙන්න මේ විදියට කියන්න පුළුවන්. Router එකට පිටතින් එන (incoming) හා පිටතට යන (outgoing) network traffic control කරන්න ACL යොදාගන්න පුළුවන්. ACL එක ප්‍රාථමික ගනයේ firewall එකක් විදියටත් අපිට හදුන්වන්න පුළුවන්.

                                         කලින් උදාහරණයෙන් කිව්ව වගේම බැදපු නැති කෙල්ලෙක් ඉන්න ගෙදරකට අදුනන්නැති කොල්ලෙක් ආවොත් කෙල්ලගෙ දෙමව්පියෝ ඒ කොල්ලව ගෙට ඇතුලත් කරගන්නෙ නෑනෙ. ඒ උනත් කෙල්ලව බදින්න යෝජනාවකින් වගේ විශේෂිත දේකට එන කොල්ලෙක්ව දෙමව්පියො ගෙට ඇතුලත් කරගන්නව ඒ උනාට විශේෂිත දේකට උනත් පැමිනෙන බඩු කාරයෙක්ව (කෙල්ලගෙ නැමැත්තෙන් උනත්) දෙමව්පියො ගෙට ගන්න නෑ වගේම ACL එකත් විවිධ දේවල් වලක්වන්ටත් (deny) අවසරදෙන්නටත් (permit) යොදාගන්න පුළුවන්. හැබැයි ඉතින් කෙල්ල ගෙදරින් එලියට ගියාමනම් හරියට ACL එකක් නැති Router එකක් වගේ තමයි. ඕනෑම අයෙකුට කෙල්ලත් සමග සම්බන්ධතාවයක් ගොඩනගාගන්න පුළුවන් වෙනව. මෙම උදාහරනයේදී බාවිතා කල දෙමව්පියන් ACL එක විදියටත් ගෙදර Router එක විදියටත් කෙල්ල Router එකට සම්බන්ධ network එකක් විදියටත් කොල්ලා network traffic එක විදියටත් සලකනු මැනවි (මෙතැන් පටන් ඉදිරියේදි හමුවන උදාහරණ වලදීද එසේම වනු ඇත). මීට අමතරව ACL එක assign කරන interface එක ගෙදර දොර වශයෙන්ද  අපට පාඩම ඉදිරියේදී හමුවනු ඇත. 

Access Control List ප්‍රබේදයන්:   
 ACL ප්‍රධාන වශයෙන් වර්ග දෙකක් තියෙනව.
                         1. Standard Access Control List
                         2. Extended Access Control List
        මේ ACL වර්ග දෙක ගැනම ඉදිරියේදි අපි සවිස්තරව කතා කරමු. ඉහත අකාර දෙකෙන් කුමන අකාරයකට ACL එකක් Router එකට සැකසුම් කලත් එම ACL එක Router එකේ interface එකකට සම්බන්ධ කලේ නැත්නම් ACL එක අපට අවශ්‍ය අකාරයට ක්‍රියාත්මක වෙන්නේ නැහැ. ඒ වගේම ACL එකක් Router එකේ interface වලට සම්බන්ධ කරන අකාරත් වර්ග දෙකක් තියෙනව.
                         1. Inbound
                         2. Outbound
මේ වර්ග දෙක වැඩිදුර විස්තර කතාකරන්න කලින් පහලින් තියෙන පිංතූරය ටිකක් බලන්න.

**Inbound :
                      Inbound ආකාරයට Router එකකට ACL එකක් සම්බන්ධ කල විට සිද්ධවන්නේ Router එක තුලට එන ඔනෑම network traffic එකක්  පළමුවෙන්ම ACL එක මගින් පරීක්ෂාවට ලක්කිරිමයි. ඉනිපසුව එම network traffic එක ACL එකට අනුව Router එක තුලට පැමිනීමට අවසරලත් (permit) එකක්නම් එම network traffic එක Router එකේ අනෙක් කටයුතු සදහා යාමු කරනව. ඒ කිව්වෙ best path එක ඔස්සේ නියමිත destination එක දක්වා ගමන් කිරීමට සලස්වන එකටයි. එහෙම නැත්තම් කලින් අපි කතාකරපු network traffic එක ACL එක මගින් පරීකෂා කලාට පස්සෙ එය Router එක තුලට අතුල්වීමට අවසර නොලත් (deny) එකක් විදියට හදුනාගත්තොත් එම network traffic එක තවදුරටත් Router එක හරහා ගමන්කිරීම නවත්වල දානව. එ කිව්වෙ විනාශ කරල දානව. උඩින් තියෙන රූපයෙ bit bucket කියල තියෙන්නෙ ඒක තමයි.

          ඔන්න බැදපු නැති කෙල්ලව බලන්න කොල්ලෙක් එනව. කෙල්ලගෙ අම්මයි තාත්තයි ගෙයි දොර ලග ඉදන් කොල්ලත්  එක්ක කතාකරද්දි තේරෙනව මු හොද කොල්ලෙක් කියල. ඊට පස්සෙ තමයි කෙල්ලව පෙන්නල කොල්ලට ඉදිරි වැඩකටයුතු කරගෙන යන්න ඉඩදෙන්නෙ.හැබැයි මේක හොද එකෙක් වගේ පෙනුනට කෙල්ලගෙ දෙමව්පියන්ට තේරුනොත් මේක හොද බඩුකාරයෙක් කියල මුට ගෙයි දොරකඩදිම හොදට නෙලල ගේ අතුලට ගන්නැතුව එලවනව. ඔන්න ඔය විදිටය තමයි inbound ආකාරයට Router එකේ interface  එකකට ACL එකක් සැකසුම් කලාම වැඩ කරන්නෙ.
                                 inbound ආකාරයට Router එකේ interface එකකට ACL එකක් සැකසීමෙන් අපට ලැබෙන වාසියකුත් තියෙනව.ඒ තමයි Router එකට එන අනවශ්‍ය network traffic  පළමුවෙන්ම ACL එක මගින් ඉවත් කරල දාන නිසා Router overhead එක අවම වෙනව.ඒ වගේම කාර්යක්ෂම විදියට Router resources අනෙක් වැඩකටයුතු සදහා යොදාගන්නත් පුළුවන්.

**Outbound:
                            ACL එකක් Router එකේ interface එකට outbound ආකාරයට සැකසුවාම පළමුවෙන්ම සිද්ධවෙන්නෙ  Router එකට එන සෑම network traffic එකක්ම  router interfaces හරහා Router එකට ඇතුල් කරගැනීමයි. ඒ වගේම routing process මගින් යා යුතු නියම මාර්ගයටත්  එම network traffic යොමු කරනව. ඒ විදියට යොමුකරපු network traffic එකක් Router එකෙන් යන්නේ අපි කලින් outbound ආකාරයට ACL එක සැකසුම් කරපු interface එක හරහානම් එතනදි තමයි ACL එක කියාත්මක වෙන්නෙ. එහිදී ACL එකට අපි සැකසුම් කරල තිබුනනම් මේ network traffic එක interface එක හරහා පිටතට යා යුතු නැති එකක් විදියට, ACL එක මගින් එම network traffic එකේ ගමනාන්තය අවලංගු කරල දානව (deny).එහෙම නැත්තම් එම router interface එක හරහාම අපි කතාකරපු network traffic එක එලියට යවනව(permit).
                                        උදාහරණයකින් කියනවනම් මෙහෙමයි. කෙල්ල කොහොම හරි කලින් ඉදලම කොල්ලෙක් එක්ක යාළුවෙලා ඉදල තියෙනව. හැබැයි කෙල්ලගෙ අම්මයි තාත්තයි මේ සිද්ධිය දන්නෙ නෑ. දවසක් කොල්ල කාටත් හොරෙන් කෙල්ලව හම්බවෙන්න යනව. ඔන්න මු දොරෙන් ගේ ඇතුලටත් ඇතුල් වෙනව. ඊට පස්සෙ පොර හෙන කට්ටක් කාල කෙල්ලගෙ කාමරෙත් හොයාගන්නව. මාර කේස් එක  කොල්ල කෝමහරි කෙල්ලගෙ කාමරේ දොර ලගට යද්දිම  කෙල්ගෙ අම්මයි තාත්තයි ‍මාට්ටු වෙනව. මොනව උනත් දෙමව්පියො විදියට දුරදිග බලල මේ කොල්ලගෙන් විස්තර ටිකක් එහෙම අහල කෙල්ලගෙ අම්මයි තාත්තයි තේරුම් ගත්තොත් මු ගෙදරට හොරෙන් පැන්නත් හොද කොල්ලෙක් කියල ඌට කෙල්ල ලගට යන්න දෙනව. ඒත් කොල්ලගෙ අවාසනාවට කෙල්ලගෙ දෙමව්පියන්ට තේරුනොත් මු හෙන චාටර් පොරක් කියල මුට ගහල පන්නල දානව. ඔන්න ඔය වගේ සිද්දියකුයි ACL එකක් router interface එකකට outbound විදියට සැකසුම් කලොත් හැසිරෙන්නෙ.       

Access Control List හැසිරීම:

•  ACL එකට එක් එක් command line මගින් අපට permit හෝ deny කල යුතු  අවස්ථාවන් අපි සැකසුම් කරනව. ඒ වගේම ACL එකක් ක්‍රියාත්මක වෙන්නේත් පළමු line එකෙන් පටන් ගෙන අවසාන line එක දක්වා පිළිවෙලටයි.
• ACL සැකසුම් කරපු interface එකකට පැම්නෙන(inbound) හෝ පිටව යන(outbound) traffic එකක් ACL මගින් පරීක්ෂාකරන්නෙ කලින් සදහන් කරපු ආකාරයට පිළිවෙලකටයි. එසේ පිළිවෙලට පරීක්ෂාකරගෙන යාමේදී එම network traffic එකට ගැලපෙන deny හෝ permit command line එකක් හම්බුනු ගමන්ම ACL එක නවතිනව. ඊට පහලින් එම network traffic එකට අදාල තවත් command line තිබුනත් ඒවා ක්‍රියාත්මක වෙන්නේ නෑ.
• අපි router interface එකකට ACL එකක් සැකසුම් කලාට පස්සෙ cisco IOS එක මගින් එම ACL එක හරහා යන සෑම network traffic එකක්ම deny (වලක්කනව). ඒ කියන්නෙ එම interface  එක වෙත එන හෝ යන සෑම network traffic එකක්ම නවතිනව. එම නිසා අපි සෑම ACL එකක් අවසනයේදී එය වලක්වන්නට තවත් command කිහිපයක් ACL එකට එකතු කරනව. (ඒව කරන්නෙ කොහොමද කියල ඊලග පාඩමෙන් බලමු).

Access Control List සැකසීමේදී සැලකිය යුතු දේ :

• එක් ACL එකක් Router එකේ එක් interface එකකට සැකසීමේදී එය inbound හෝ outbound  යන ආකාර දෙකෙන් එක් ආකාරායකට පමනක් සැකසුම් කල යුතුයි.
• සැකසුම් කල ACL එකකින් එක් line එකක් පමනක් අපිට අයින් කරන්න බැහැ. එහෙම අයින් කරන්න අවශ්‍යනම් මුළු ACL එකම අපට අයින් කරල දාන්න වෙනව.
• අපට අළුතෙන් line එකක් ACL එකේ මැදට එකතු කරන්න බැහැ. එසේ එකතු කරනවානම් ACL එකේ අවසානයට තමයි ඒ line එක එකතු කරන්න වෙන්නෙ.        

එහෙනම් ඊලගපාඩමෙන් ඉක්මනින්ම හමුවෙමු

ඔබ සැමට

*****ජය ශ්‍රී*****