Access Control List (ACL)

          ACL ကို Firewall function သဖြယ္အလုပ္လုပ္ေစဖို႕အတြက္ cisco ကေန develop လုပ္ခဲ့တယ္။ ACL မွာဘာလုပ္ရမယ္ဆိုတဲ့ ညႊန္ၾကားခ်က္ေတြကို အစီစဥ္အလိုက္စုစည္းထားတယ္။ ဒါေပမဲ့ ACL ရဲ႕လုပ္ေဆာင္ႏိုင္စြမ္းကေတာ့ ကန္႕သန္႕ခ်က္ရွိတယ္ဗ်။ ဒါ့ေၾကာင့္ ACL ကိုအသံုးျပဳမယ္ဆိုရင္ host အနည္းငယ္သာလွ်င္ filter လုပ္ခ်င္တဲ့ network မ်ိဳးမွာသာသံုးပါလို႕ recommend ေပးထားပါတယ္။ maximum ဆိုရင္ class network တစ္ခုေပါ့ဗ်ာ။ ဒီေတာ့ ACL မွာပါ၀င္တဲ့ ညႊန္ၾကားခ်က္ေတြဆိုတာဘာေတြလဲ။ ဒါေတြကေတာ့ ဘယ္ traffic ကိုေတာ့ျဖင့္ filter လုပ္မယ္ဆိုတဲ့ deny ဆိုတဲ့ ညႊန္ၾကားခ်က္ေတြနဲ႕ ဘယ္ traffic ကိုေတာ့ျဖင့္ allow လုပ္မယ္ဆိုတဲ့ permit ဆိုတဲ့ ညႊန္ၾကားခ်က္ေတြပဲျဖစ္ပါတယ္။

ACL ႏွစ္မ်ိဳးရွိတယ္။

1)    Standard ACL နဲ႕

2)    Extended ACL တို႕ပဲျဖစ္ပါတယ္။

ဒီေတာ့ ကၽြန္ေတာ္တို႕အေနနဲ႕ ACL ကိုဖန္တီးရာမွာ ႏွစ္မ်ိဳးရွိတယ္လို႕သိထားရမွာေပါ့။ ေယဘုယအားျဖင့္ဆိုရရင္ standard ACL က source ကိုအဓိကထားၿပီး filter လုပ္ပါတယ္။ ၿပီးေတာ့ သူက အေသးစိတ္ filtering ေတာ့မလုပ္ႏိုင္ဘူးဗ်။ ဥပမာ ကၽြန္ေတာ့္ network ထဲမွာရွိတဲ့ computer အခ်ိဳ႕ကို အျခား network ေတြနဲ႕ မခ်ိတ္ဆက္ေစခ်င္ဘူးဆိုတဲ့ ရိုးရွင္းတဲ့ filter လုပ္ခ်င္တယ္ဆိုရင္ေတာ့ standard ACl ကိုသံုးႏိုင္ပါတယ္။ ဒါေပမဲ့ ကၽြန္ေတာ္က သူတို႕ကို အျခား mail တို႕ ftp server တို႕ကိုေတာ့ ေပးသံုးခ်င္တယ္၊ ဒါေပမဲ့ အင္တာနက္ေတာ့ ေပးမသံုးခ်င္ဘူးဆိုတဲ့ အေသးစိတ္က်တဲ့ filtering လုပ္ျခင္းမွာေတာ့ standard ACL ကေဆာင္ရြက္ေပးႏိုင္မွာမဟုတ္ေတာ့ပါဘူး။ ဘာ့ေၾကာင့္လဲဆိုေတာ့ standard ACL source ကိုသာပိတ္ျပစ္တာျဖစ္ပါတယ္။ extended ACL ကေတာ့ destination ip ေတြနဲ႕ port ေတြ protocol ေတြကိုပါပိတ္ျပစ္တာပါ။ ဘယ္လိုလဲဆိုေတာ့ အျခား network မွာရွိတဲ့ mail service တို႕ FTP service တို႕ကိုေတာ့ ေပးသံုးလိုက္မယ္။ ဒါေပမဲ့ http https စတဲ့ port no 80 နဲ႕ 443 တို႕နဲ႕ လာတဲ့ traffic ေတြကိုေတာ့ သံုးခြင့္မေပးဘူးလို႕ အေသးစိတ္သတ္မွတ္ထားလို႕ပါပဲ။ အိုေခး? ကၽြန္ေတာ္တို႕က standard တို႕ extended ACL တို႕သာေျပာေနတာ router မွာ configure လုပ္တဲ့အခါက်ရင္ သူက number ေတြနဲ႕ သတ္မွတ္ထားတာဗ်။ ဒီလိုေပါ့။

1)    Standard ACL ( 1-99)

2)    Extended ACL (100-199)

အဲ့ေတာ့ ACL တည္ေဆာက္တဲ့အခါမွာ no 1 ကေန 99 အတြင္းသံုးခဲ့ရင္ ဒါကို router က standard ACL လို႕သိတယ္။ မဟုတ္ပဲ 100 ကေန 199 အတြင္းသံုးတယ္ဆိုရင္ေတာ့ extended ACL လို႕သိၿပီး filter လုပ္ေပးတာေပါ့။ ဒါ့အျပင္ standard နဲ႕ extended ACL no ေတြကို ေနာက္ပုိင္း devices ေတြမွာခ်ဲ႕ထြင္ေပးခဲ့တယ္ဗ်။ ဒါကို expanded standard ACL နဲ႕ expanded extended ACL လို႕ေခၚတာေပါ့။ သူတို႕ရဲ႕ no ေတြကေတာ့

1)    Expanded standard ACL (1300-1999)

2)    Expanded extended ACL (2000- 2699) တို႕ပဲျဖစ္ပါတယ္။

ဒီေတာ့ ကၽြန္ေတာ္တို႕က standard ACL ကုိသံုးခ်င္ရင္ 1-99 အျပင္ 1300-1999 အထိသံုးလို႕ရမယ္။ extended ACL ကိုသံုးခ်င္ရင္ေတာ့ 100-199 အျပင္ 2000-2699 အထိသံုးလို႕ရတယ္လို႕သိထားရမယ္ေပါ့။ ၿပီးေတာ့ ထပ္သိထားရမွာက ACL ကိုတည္ေဆာက္ၿပီးတာနဲ႕ filter ခ်က္ခ်င္းလုပ္မွာမဟုတ္ပါဘူး။ ဒီ့အတြက္ interface ေတြမွာ assingn လုပ္ဖို႕လိုအပ္ပါတယ္။ ACL ကိုတည္ေဆာက္တဲ့အခါသံုးရမယ့္ command syntax ကေတာ့ ေအာက္ပါအတိုင္းျဖစ္ပါတယ္။

Configuration Syntax

access-list access-list-number {permit | deny} source {source-mask}

Apply ACL to an interface

ip access-group access-list-number {in | out}