CCNA විසිහයවෙනි පාඩම Access Contril List configuration
කලින් Access Control List පාඩම බලපු නැති කස්ටිය ඉන්නවනම් මෙතනින් ගිහින් ඒ පාඩම බලලම මේ පාඩමට එන්න. අපිට මේ පාඩමෙන් බලන්න තියෙන්නෙ ACL කොහොමද Router එක තුල සැකසුම් කරන්නෙ කියලයි. පළමු පාඩමේ කතාකලා මතකයිනෙ ACL වර්ග දෙකක් ගැන (තවත් ACL වර්ග කිහිපයක්ම තියෙනව, ප්රධාන වශයෙන් CCNA වලදි වැදගත් වෙන්නෙ මම කලින් පාඩමේදි සදහන් කරපු ACL වර්ග දෙකයි).
***Standard හා extended ACL packet tracer මෘදුකාංගය භාවිතයෙන් සැකසුම් කර ඔබට ඉදිරිපත් කරන්න හැදුවත් ඒවා packet tracer 5.3.3 මෘදුකාංගය තුල නිසියාකාරයෙන් ක්රියාත්මක වීමේදි යම් යම් ගැටළු මතු වු නිසා සමහර ACL සැකසුම් පමනක් (packet tracer configuration file නොමැතිව) මේ පාඩමේදී ඔබට ඉදිරිපත් කරන්නට සිදුවීම පිලිබද මගේ කනගාටුව ප්රකාශ කරමි. gns3 Router simulation මෘදුකාංගය භාවිතයෙන් උත්සහ කලද ඉහත ගැටළුවම මතුවිය. කෙසේ වෙතත් මෙහිදී දක්වන ACL වලට අදාල සියළුම සැකසුම් CCNA විභාගයේදී ඔබට හමුවෙන ගැටළු සදහා සාර්ථකව පිළිතුරු ලබාදීමට ඔබට යොදාගත හැක. (කාට හරි packet tracer මගින් නිවරදිව සමහර ACL සැකසුම කරන හැටි හම්බුනොත් මටත් කියපල්ල හොදද ).
Standard Access Control List සැකසුම් කිරීම ..
**Standard Access Control List ලක්ෂණ:
- Network එකක් තුල data එක් ස්ථානයක සිට තවත් ස්ථානයකට යැවීමේදී යවන්නා source ලෙසත් තොරතුරු ලබන්නා destination එක ලෙසත් හදුන්වනව කියල ඔයාල දන්නවනෙ. standard access control list එකක් සැලසුම් කිරීමේදී එහි අඩංගු වෙන්නෙ source ගේ තොරතුරු පමනයි.
- සැම විටම network එකක් තුල standard access control list එකක් සැකසුම් කිරීමේදී destination එකට ආසන්න Router එකේ interface එකකට තමයි සැකසුම් කරන්නෙ.
- Router එකට ACL එකක් සැකසුම් කලාට පසු එය standard access control list එකක්ද කියා හදුනා ගන්නට ACL සැකසුම් කිරීමේදී එයට number එකක්ද assign කරයි. එම number එක 1 - 99 ත් හා 1300 - 1999 අතර නම් Router එක නිශ්ච්තවම එය standard access control list එකක් ලෙස හදුනා ගනියි.
**Standard Access Control List අපට යොදාගතහැකි අවස්ථා:
- එක් computer එකකට වෙනත් network එකකට අතුළුවීම වැලැක්වීමට (deny) හෝ අවසරදීමට (permit).
- එක් network එකකට වෙනත් network එකකට
අතුළුවීම වැලැක්වීමට (deny) හෝ අවසරදීමට (permit).
**Standard Access Control List commands:
- access-list access-list-number {permit |deny} {host | source-wildcard | any}
ඉහත command එකේ access-list යන්න සෑම විටම වෙනස් නොවේ. සෑම ACL එකක් සැකසීමේදී මෙම command එක නිත්ය වශයෙන්ම ආරම්භයේදී භාවිතා කල යුතුය.access-list-number යන්නට ඉහතින් Standard Access Control List ලක්ෂණ යටතේ අපි කතාකරපු number range එකට අයත් වන number එකකුයි මෙතන දාන්නෙ. එතකොට Router එක හදුන ගන්නව මේ සැකසුම් කරන්නෙ standard access control list එකක් කියල. {permit|deny} මෙතනදි කියන්නේ network traffic එකට අවසර දෙනවාද වලක්වනවාද කියලයි. අවසර දෙනවානම් permit යන්නද වලක්වනවානම් deny යන්නද යෙදිය යුතුයි. {host | source-wildcard | any} අපි එක් computer එකකින් එන හෝ යන network traffic එක වලක්වනවානම් හෝ අවසරදෙනවානම් එවනි අවස්ථාවක host යන command එකත් සමග එම computer එකේ IP address එක යෙදිය යුතුයි. නැතිනම් host කියන command එක නැතුව කෙලින්ම computer එකේ IP address එක දමා 0.0.0.0 ලෙස wildcard mask එක යෙදිය යුතුයි.(wildcard mask ACL තුල යොදාගන්නා ආකාරය පසුව සවිස්තරව පාඩම ඉදිරියේදී හම්වනු ඇත). එසේම network එකකින් එන හෝ යන network traffic එකක් වලක්වනවානම් හෝ අවසර දෙනවානම් කෙලින්ම එම network එකේ network address එක දමා ඊට අදාල wildcard mask එක දැමිය යුතුයි. අපි මේ සාකච්චා කරන command එකේ අවසානයට host හෝ network සැකසුම් නොකොට any යන්න යෙදුවොත් එයින් කියන්නෙ Router එකේ මෙම ACL එක සැකසුම් කරන interface එක හරහා යන හෝ එන සියළුම network traffic වලට අවසර දෙන්න හෝ වලක්වන්න කියලයි.
- Router(config)# access-list access-list-number permit any
කලින් පාඩමේදි Access Control List හැසිරීම කියන කොටසෙ අනිතිම පොයින්ට් එකෙන් කියල තියෙන දේ හොදට බලන්න. ඒකෙන් කියන්නෙ ACL එකක් Router එකේ interface එකකට සැකසුම් කලාට පස්සෙ එම ACL එක මගින් interface එක හරහා යන සේරම traffic deny කරනව කියලනෙ. අන්න එ නිසා තමයි අපි සැකසුම් කරන ACL එකේ අන්තිම command එක හැටියට ඉහලින් තියෙන command එක යොදාගන්නෙ.මේ command එකෙන් කියන්නෙ access-list-number කියන ස්ථානයේ දමන number එක ඇති ACL එක හරහා යන අනෙක් සියළුම network traffic සදහා අවසර දෙන්න කියලයි(permit any). ACL එකක මෙම ලක්ෂණය අපිට වාසියක් වෙන අවස්තාවකුත් තියෙනව. අපි හිතමු අපිට ඕන Router එකේ interface එක හරහා යන මොනව හරි network traffic එකක් හෝ කිහිපයකට, ACL සැකසුම් මගින් එම interface එක හරහා යන්න අවසර (permit) දෙන්න හා අනෙක් සියළුම network traffic එම interface එක හරහා ගමන් කිරීම වලක්වන්න(deny). ඒ වගේ අවස්ථාවකදි කරන්න තියෙන්නෙ ACL එක මගින් පළමුවෙන් සාකච්චා කරපු command එක පාවිච්චි කරල අවශ්ය network traffic ටිකට අවසර දෙන එක විතරයි. එතකොට ACL එක මගින් පෙරනිමිත්යෙන්ම (default) අනිත් සියළුම network traffic deny කරල දානව. ඒ කියන්නෙ අපි දැන් කතාකරපු command එක පාවිච්චි කිරීමේ අවශ්යතාවයක් නෑ කියලයි.
Router Interface සදහා Access Control List සැකසුම් කිරීම.
කලින් කතාරපු command බාවිතා කරල හදාගත්තු ACL එක කොහොමද Router එකේ interface එකට සැකසුම් කරන්නෙ කියල දැන් බලමු. standard හෝ extended යන ඕනෑම වර්ගයක ACL එකක් interface එකකට සැකසුම් කරන්නෙ එකම විදිහටයි.
- Router(config-if)#ip access-group access-list-number {in/out}
පළමුවෙන්ම අපට අවශ්ය interface එකට global configuration mode (මොකද්ද මේ mode කතාව කියල හිතුනොත් එහෙම අනිව පහුගිය පාඩම් ටික බලලම මේ පාඩමට ආවොත් හොදයි පුතෝ) එක හරහා ඇතුළු වෙනව. ඊට පස්සෙ ඒ interface එකට ip access-group කියන command එකට පස්සෙ access-list-number කියන තැනට අපි කලින් සැකසුම් කරපු ACL එකේ number එක දානව. ඊටත් පස්සෙ CCNA විසි හයවනි පාඩමේදි කතාකරපු විදියට inbound විදියටනම් ACL එක interface එකට සැකසුම් කරන්න ඕන in කියලත් outbound විදියටනම් out කියලත් දාල command එක අවසන් කරනව. හොදට මතක තියාගන්න in හා out යන command දෙකම එකවර දාල ACL එක interface එකකට සැකසුම් කරන්න බැහැ කියල.
Standard Access Control List ක්රියාකාරකම්.
මෙතන ඉදල බලමු අපි මෙච්චර වෙලා ඉගෙන ගත්තු දේවල් වලින් කොහොමද ACL සැකසුම් කරන්නෙ කියල. මේ පහලින් තියෙන්නෙ කිසිම ACL සැකසුමක් කරපු නැති full convergence (සමුපූර්ණයෙන්ම එකිනෙකට සම්බන්ධ) network එකක්. මේ network එකේ routing protocol එක හැටියට යොදාගෙන තියෙන්නෙ RIP v2 යි.
ක්රියාකාරකම් 01:
** Tom computer (192.168.10.2) එකට Router2 හි 200.100.10.0/25 network එක access කල නොහැකි වන ලෙස ACL එකක් සැකසුම් කිරීම.
මෙහිදී අප standard ACL එකක් සැකසුම් කරන නිසා පාඩම ආරම්බයේදී කී පරිදි destination එකට ආසන්න ස්ථානයකට ACL සැකසුම් කරමු. ඒ අනුව Router2 හි Se 0/0 interface එකට inbound ආකාරයට හෝ එහිම Fa 0/0 interface එකට outbound ආකාරයට අපට ACL සැකසුම් කල හැකියි. මෙය ක්රම දෙකකට සිදුකල හැකියි.
# පළමු ක්රමය:
#දෙවන ක්රමය:
පහලින් තියෙන්නෙ මම ඉහතින් තියෙන විදියට සැකසුම් කරපු Packet tracer simulation එකක්.ඒක බාගෙන Tom computer එකේ ඉදල අනෙක් network එකට data packet යවල බලන්න successful විදියට ඒවා send වෙනවද කියල.
ක්රියාකාරකම් 02:
** 192.168.10.0/29 network එකට 200.100.10.0/25 network එක access කල නොහැකිවන පරිදි ACL සැකසුම් කිරීම.
මෙහිදී අපට Router2 හි Fa 0/0 interface එකෙන් 192.168.10.0./29 network එකට අයත්වන traffic පිටවන (out)අවස්ථාවේදී deny කිරීමෙන් ක්රියාකාරකම් 02 තුලින් බලාපොරොත්තු වන දේ සිදුකරගත හැක. මෙම ක්රියාකාරකම් මීට වඩා වෙනස් ආකාරයෙන්ද සිදුකල හැක.ඔබත් උත්සහ කර බලන්න.
මෙහදි 0.0.0.7 ලෙස යොදාගෙන තියෙන්නේ 192.168.10.0/29 කියන network එකේ wildcard mask එකයි.wildcard mask එක ACL යොදාගන්න හැටි මේ පාඩමේදිම අපි කතාකරමු..
ඉහත packet tracer file එක බාගෙන බලන්න 192.168.10.0/29 network එකේ ඉදල 200.100.10.0/25 network එකට data packet යවල බලන්න successful reply එනවද කියල.
ක්රියාකාරකම් 03:
මෙන්න මේ command එක මතකද?
Router(config)# access-list access-list-number permit any
මම කිව්ව නේද මේ command එක දාන්නෙ නැතුවත් අපිට ACL සැකසුම් කරන්න පුළුවන් කියල.අන්න ඒ වගේ ක්රියාකාරකමක් තමයි මේ.
**Jerry computer එකට පමනක් 192.168.10.0/25 network එක access කිරීමට අවසර දීම හා එම network එකට පැමිනෙන අනෙක් සියළුම traffic වැලැක්වීම.
මෙහිදී destination එක වන්නේ Router 1 හි network එකක් නිසා එහි interface එකකට ACL සැකසුම් කරමු.
පහලින් තියෙන packet tracer file එක බාගෙන බලන්න Jerry computer එකේ ඉදල අනෙක් network එකේ computers වලට data packet යනවද කියල(අනිවාර්යෙන් යා යුතුයි). ඒ වගේම Jerry computer එක තියෙන network එකේම අනිත් computers වලින් data packet යවල බලන්න successful reply ලැබෙනවද කියල(නොලැබේ).
ACL තුල wildcard mask යොදාගැනීම:
මතකනෙ අපි OSPF පාඩමේදි wildcard mask එක හෙව්ව. ඇයි ACL වල wildcard mask එක network address සමග යොදාගන්නෙ. ඊට කලින් මතක නැති කට්ටිය පහත බලල තේරුම් ගන්න කොහොමද wildcard mask එක හොයාගන්නෙ කියල.
උදා-: 172.16.32.0/19 හි wildcard mask එක සොයන්න.
255.255.255.255
subnet mask : 255.255.224.0 (අඩුකිරීම)
wildcard mask : 0. 0. 31. 255
ACL එකත් සමග wildcard mask එක යොදාගැනීමට ප්රධාන හේතූන් දෙකක් තියෙනව. පළවෙනි එක තමයි ACL එකට පුළුවන් Wildcard mask එක පාවිච්චි කරල සොයාගන්න IP address එකක යම් කොටසක් පමනක් හරියටම ගැලපුනොත් විතරක් ඒ හරහා එන network traffic එක deny කරන්න හෝ permit කරන්න. දෙවනි එක තමයි IP address එකේ ඉහතින් සදහන් කල කොටසට පසු ඉතිරිවන කොටසට කුමන network traffic එකක් ගැලපුනත් එම network traffic එක deny හෝ permit කරන්න. කියපු දේ තේරුනේ නැත්තම් පහතින් කියල තියනදේ බලපුවාම මේ කියල තියෙන දේ හොදට තේරෙයි.
උදා-: 172.16.32.0 /19 අපි මේ network එක හරහා එන සියළුම network traffic ACL එකක් මගින් permit හෝ deny කරන්න සැකසුම් කරනව කියල හිතමු. හරියට
පහතින් තියෙනව වගේ..
Router1(config)#access-list 50 {permit/deny} 172.16.32.0 0.0.31.255
මේ වගේ ACL එකේ සැකසුම් කරපුවාම Router එක කරන්නෙ network address එකයි wildcard mask එකයි binary වලට පරිවර්තනය කරල network address එකෙන් wildcard mask එක අඩුකරන එකයි. හැබැයි අඩු කරන්නෙ wildcard mask එකේ තියෙන 0 වලින් විතරයි. පහලින් තියෙන්නෙ ඒ විදියට අඩුකරල ගත්තු පිළිතුරයි.
network address:10101100.00010000.00100000.00000000
wildcard mask :00000000.00000000.00011111.11111111
10101100.00010000.001
මේ පිළිතුර decimal වලට පරිවර්තනය කලොත් අපිට ලැබෙන්නෙ
172.16.32 කියන අගයයි. මෙන්න මේ අගයට ගැලපෙන සියළුම IP address වලින් එන
network traffic ACL එකේ සැකසුම් අනුව permit හෝ deny කරනව. තවත් කියනවනම් අපේ උදාහරනෙ විදියටනම් ACL සැකසුම් කරපු interface එකකට එන network traffic එකේ source හෝ destnation IP address එකේ මුල් ඉලක්කම් කාණ්ඩ තුන අපිට ලබුන පිළිතුරට සමානනම් ACL සැකසුම අනුව එම network traffic එක
permit හෝ
deny කරනව. දැන් ඔයාලට තේරෙනව ඇති අපි මොකටද ACL එකක් සැකසුම් කිරීමේදී
wildcard mask එක යොදාගන්නෙ කියල.
Standard Access Control List මේ පාඩමෙන් අවසන් වෙනව. ඊලග පාඩමෙන් බලමු කොහොමද
extended Access Control List එකක් සැකසුම් කරන්නෙ කියල. මොනව හරි අපහැදිලි තැනක් තියෙනවනම් අහන්නත් අමතක කරන්න එපා. ඊලග පාඩමෙන් හමුවෙමු. ඔබ සැමට
***** ජය ශ්රී ****
