ACL (Access Control List)
ACL এর পূর্ণ রুপ হল Access Control List. অ্যাক্সেস কন্টোল লিষ্ট সাধারণত ইউজ করা হয় প্যাকেট ফিল্টারিং এর জন্য । যদি আমরা চাই কোন পার্টিকুলার কম্পিউটার নিদিষ্ট কোন হোস্ট বা সার্ভারের সাথে কমিউনিকেশন করতে পারবে না তখন সেখানে আমরা ACL এর মাধ্যমে এই কাজটি করে থাকি। ACL এর মাধ্যমে আমরা যে কোন হোস্ট কে অন্য যে কোন হোস্ট এর সাথে যোগাযোগ করা থেকে বিরত রাখতে পারি। ACL এর মাধ্যমে কোন হোস্ট কে অন্য কোন হোস্ট এর জন্য শুধু ব্লক করাই নয় আমরা চাইলে কোন হোস্ট এর জন্য কোন প্রোটকলকেও ব্লক করে রাখতে পারি।ACL করার উদ্দেশ্যগুলো কি?
- ট্রাফিক নিয়ন্ত্রণ করার জন্য অথার্ৎ ACL এর মাধ্যমে বলে দেয়া যায় কোন ট্রাফিক গুলো আগে access পাবে আর কোন গুলি পাবে না।
- রাউটিং আপডেট কমানো অথার্ৎ রাউটারগুলো তাদের নিজেদের মধ্যে রাউটিং আপডেট বিনিময় করে । বাহির থেকে কোন রাউটার এর আপডেট যেন রাউটিং টেবিলে যুক্ত হয়ে কোন ট্রাফিক তৈরি না করে সেজন্য একসেস কন্ট্রোল লিস্ট ব্যবহার করা হয়।
- আইপি প্যাকেট ফিল্টারিং অথার্ৎ একসেস কন্ট্রোল লিস্ট এর মাধ্যমে অর্ন্তমূখী ও বর্হিগামী প্যাকেটগুলো ফিল্টার করে নেটওয়ার্কে হাইলি সিকিউর করা যায়।
- Standard ACL
- Extended ACL
Standard ACL
Standard ACL শুধুমাত্র সোর্স অ্যাড্রেস নিয়ে কাজ করে । Standard ACL এ আমরা সোর্স অ্যাড্রেস কো কোন পার্টিকুলার হোস্ট এর জন্য ব্লক করতে পরি । Standard ACL ইমপ্লিমেন্ট করার সময় যতটা সম্ভব Destination এর কাছে ইমপ্লিমেন্ট করতে হবে। আর একটি বিষয় বলে রাখি তা হল ACL রাউটারের ইন্টারফেসে ইমপ্লিমেন্ট করতে হয়। চলুন আমরা নিচের চিত্রটির মাধ্যামে Standard ACL কে ভালভাবে বুঝার চেষ্ট করি।আমরা যদি উপরের চিত্রের দিকে লক্ষ করি তাহলে দেখতে পাব এখানে তিনটি রাউটার Router A, Router B এবং Router C রয়েছে এবং এই রাউটার গুলি একে অপরের সাথে Redundant Connection এর মাধ্যমে যুক্ত। Router C এর সাথে সুইচ এর মাধ্যমে ৩টি কম্পিউটার এবং Route B এর সাথে সুইচ এর মাধ্যমে ১টি কম্পিউটার এবং Router A এর সাথে সুইচ এর মাধ্যমে ২টি সার্ভার SERVER-1 এবং SERVER-2 রয়েছে।
এখন আমরা চাইতেছিযে PC-2 SERVER-1 এর সাথে কমিউনিকেশন করতে পারবে না । এখানে আমরা PC-2 এর জন্য Standard ACL ইমপ্লিমেন্ট করব । PC-2 এর জন্য ACL কে আমরা কয়েক জায়গায় ইমপ্লিমেন্ট করতে পারি। যেমন:-
আমরা যদি PC-2 এর জন্য Router C এর FastEthernet ইন্টারফেস E0 তে Standard ACL কে ইমপ্লিমেন্ট করি, তাহলে PC-2 এর সমস্থ প্যাকেটকে Router C এর FastEthernet E0 ইন্টারফেসে ব্লক করে দিবে ফলে PC-2 PC-A এবং PC-B ছাড়া আর অন্য কোন PC বা SERVER এর সাথে যোগাযোগ করতে পারবে না ।
এবার যদি আমরা Router C এর Serial Interface S0 তে তে Standard ACL কে ইমপ্লিমেন্ট করি তাহলে PC-2 এর সমস্থ পাকেটগুলি Router C এর Serial Interface S0 তে ব্লক হবে কিন্তু প্যাকেটগুলি Router C এর Serial Interface S1 দিয়ে বের হয়ে যেতে পারবে এবং Router B হয়ে Router A এর মাধ্যমে SERVER-1 এর সাথে কমিউনিকেশন করতে পারবে। এখানে ACL কে ইমপ্লিমেন্ট করে কোন লাভ হবে না । ঠিক তেমনি Router C এর Serial Interface S1 যদি PC-2 এর জন্য সমস্থ প্যাকেটকে ব্লক করে দিই তাহলে সমস্থ প্যাকেট আবার Serial Interface S0 দিয়ে বের হয়ে যেতে পারবে।
Standard ACL এর ক্ষেত্রে আমরা জানি Destination এর যতটা কাছে সম্ভব এক ইমপ্লিমেন্ট করতে হয় । তাহলে এখানে Destination SERVER-1 এর সবচেয়ে কাছের ইন্টারফেস হল Router A এর FastEthernet E0 ইন্টারফেসটি। তাহলে আমরা Router A এর FastEthernet E0 ইন্টারফেসটিতে Standard ACL কে ইমপ্লিমেন্ট করতে পারি। আমরা যদি Router A এর FastEthernet E0 ইন্টারফেসে PC-2 এর জন্য সকল প্যাকেটকে ব্লক করে দিই তাহলে PC-2 SERVER-1 এর সাথে ত যোগাযোগ করতে পারবে না সেই সাথে SERVER-2 এর সাথেও যোগাযোগ করতে পারবে না । কারণ Router A এর FastEthernet E0 ইন্টারফেস দিয়ে PC-2 এর কোন প্যাকেট বের হতে দিবে না । সেখানে Router A PC-2 সকল প্যাকেটকে ব্লক করে দিবে। এটি হল Standard ACL এর একটি সিমাবদ্ধতা।
Extended ACL
Extended ACL একই সাথে Source IP Address, Destination IP Address, Source Port Address, Destination Port Address এবং Specific Protocol নিয়ে কাজ করতে পারে। Extended ACL কে আমরা যতটুকু সম্ভব সোর্স এর নিকটে ইনপ্লিমেন্ট করতে হবে।Extended ACL এর মাধ্যমে আমরা চাইলে যে কোন হোস্টকে অন্য যে কোন হোস্ট এর জন্য ব্লক করা যায় । এবং চাইলে Specific কোন Protocol কেও ব্লক করে রাখা যায় । যা Standard ACL এর মাধ্যমে সম্ভব না । চাইলে আমরা Port Address নিয়ে ও কাজ করতে পারি। এবং সহজেই যে কোন Port Address কে ব্লক করা যাবে।
আমরা যদি উপরের এই চিত্রের দিকে খেয়াল করি, তাহলে এখানে আমরা আগের মতই PC-2 কে SERVER-2 এর জন্য ব্লক করতে চাই তাহলে খুব সহজে এই কাজটি করতে পারি। Extended ACL কে যেহেতু যত সম্ভব Source এর নিকটে ইমপ্লিমেন্ট করতে হয় । এখানে যেহেতু আমাদের Source হল PC-2 এবং তার সবচেয়ে নিকটের ইন্টারফেসটি হল Router C এর FastEthernet E0 ইন্টারফেসটি। সুতরাং আমরা E0 ইন্টারফেসে PC-2 এর জন্য ACL কে ইমপ্লিমেন্ট করতে পারি। আমরা যদি এখানে ACL কে ইমপ্লিমেন্ট করি তাহলে এখানে সোর্স হবে PC-2 এবং Destination হবে SERVER-2। এখন এখানে যদি PC-2 এর কোন প্যাকেট আসে তাহলে প্রথমে Router C তা চেক করবে তার Destination কি যদি Destination SERVER-2 হয় তাহলে তাকে এখানে ব্লক করে দিবে। তাকে আর সামনে যেতে দিবে না । যখন রাউটারের কোন ইন্টারফেসে ACL কে ইমপ্লিমেন্ট করা হয় তখন তার কাছে যদি কোন প্যাকেট আসে তাহলে রাউটার চেক করবে প্যাকেটটির Source ও Destination Address ইমপ্লিমেন্ট করা ACL এর Source ও Destination Address যদি একই হয় তাহলে সেই প্যাকেটটিকে এখানেই ব্লক করে দিবে ।
এখন যদি আমরা চাই যে PC-2 SERVER-1 এর সাথে ping করতে পারবে কিন্তু তার Web Page ওপেন করতে পারবে না । আমরা Extended ACL ব্যবহার করে খুব সহজে এই কাজটি করতে পারি। আমরা যদি Router C এর FastEthernet E0 ইন্টারফেস PC-2 এর জন্য https/http প্রোটকলকে ব্লক করে দিতে হবে এবং এর Destination হবে SERVER-1। এখন PC-2 SERVER-1 এর সাথে Ping করতে পারবে কিন্তু তার Web Page ওপেন করতে পারবে না । এভাবে আমরা ACL কে ব্যাবহার করে খুব সহজে যে কোন প্যাকেটকে ফিল্টারিং করা যায় ।
এখন একটি প্রশ্ন আমাদের মনে আসতে পারে তা হল প্রতিটি ইন্টারফেসে কয়টি করে ACL ইমপ্লিমেন্ট কর যাবে? Per Interface – Per Protocol – Per Direction – একটি মাত্র ACL কে কনফিগার করা যাবে । একটি ইন্টরফেসে অনেকগুলি ACL কে ইমপ্লিমেন্ট করা যেতে পারে তবে একই Protocol এবং একই Direction এ দুটি বা তার বেশি ACL ইমপ্লিমেন্ট করা যাবে না । আমরা একই ইন্টারফেসে ভিন্ন ভিন্ন Protocol ও Direction এর জন্য আলাদা আলাদা অনেক ACL কে ইমপ্লিমেন্ট করতে পারি।
Range Of ACL
প্রতিটির্ ACL এর একটি রেঞ্জ রয়েছে। এই রেঞ্জ এর নাম্বার দেখেই রাউটার বুঝতে পারে যে এটি কোন ধরণের ACL। নিচে ACL এর রেঞ্জ নাম্বার উল্লেখ করা হল।- Range For Standard ACL: 1-99 and 1300-1999
- Range For Extended ACL: 100-199 and 2000-2699
আমরা ACL সম্পর্কে বিস্তারিত আলোচনা করার চেষ্টা করেছি। আশা করি আপনারা ACL সম্পর্কে বিস্তারিত ধারণা পেয়েছেন । আর যদি কোন প্রবলেম হয় তাহলে অবশ্যেই কমেন্ট করে জানাবেন।
No comments:
Post a Comment