Configuring Privilege Levels on Cisco Devices

কোন একটি বিজনেস/কর্পোরেট নেটওয়ার্ক ম্যানেজ করার জন্য একাধিক নেটওয়ার্ক প্রফেশনাল থাকতে পারে। এদের মধ্যে কেউ নেটওয়ার্ক এ্যাডমিনিষ্ট্রেটর আবার কেউ সাপোর্ট ইঞ্জিনিয়ার। এই একাধিক ব্যক্তির কাজের ধরণ আবার একই রকম নয়। একজন এ্যাডমিনিষ্ট্রেটরের জন্য নেটওয়ার্কে যে ধরণের পারমিশন থাকে, একজন সাপোর্ট ইঞ্জিনিয়ারের জন্য তা থাকে না। কাজের ধরণের উপর ভিত্তি করে Cisco ডিভাইসসমূহে বিভিন্ন ইউজারদেরকে বিভিন্ন লেভেলের পারমিশন দেওয়া যায়। অর্থাৎ একজন এ্যাডমিনিষ্ট্রেটর ডিভাইসসমূহে সব ধরণের কমান্ড এক্সিকিউট করতে পারবে কিন্তু একজন সাপোর্ট ইঞ্জিনিয়ার তা পারবে না, সে শুধু দেখতে পারবে। কোন একটি নেটওয়ার্ক সংশ্লিষ্ট ব্যক্তির কাজের উপর ভিত্তি করে বিভিন্ন ধরণের Privilege Level কনফিগার করা নেটওয়ার্ক সিকিউরিটির একটি অন্যতম গুরুত্বপূর্ণ অংশ। একটি একেবারে ছোট আকারের নেটওয়ার্কে ডিভাইসসমূহে কিভাবে বিভিন্ন ব্যক্তিকে বিভিন্ন পারমিশন দেওয়া হয় এখন আমরা তা দেখবো।

Cisco ডিভাইসসমূহে 0 থেকে শুরু করে 15 পর্যন্ত মোট 16 টি Privilege Level রয়েছে। এর মধ্যে Level 0, Level 1 ও Level 15 হলো Pre-defined । আর Level 2 থেকে Level 14 পর্যন্ত লেভেলগুলো Customizable ।

Level 0 : ইহা সর্বনিম্ন লেভেল। এই লেভেলে সাধারণত disable, enable, exit ও logout ছাড়া অন্য কোন কমান্ড কাজ করে না।

Level 1 : এই লেভেলে কোন ইউজার ডিভাইসের কনফিগারেশন পরিবর্তন করতে পারে না এবং ডিভাইসের Running Configuration ফাইলও দেখতে পারে না।

Level 2 – 14 : 2 থেকে 14 এই লেভেলগুলো ইউজারের কাজের উপর ভিত্তি করে কাষ্টমাইজ করা হয়। Privilege Level যত বেশি হয় কাজের পারমিশনও তত বেশি হয়। উদাহরণস্বরূপঃ Level 5 এ যে কমান্ডগুলো পারমিট করা থাকে সে কমান্ডগুলো শুধুমাত্র Level 5 বা তার উপরের লেভেলে কাজ করে। উক্ত কমান্ডগুলো কখনো Level 2 থেকে Level 4 এ এক্সিকিউট হবে না।

Level 15 : ইহা সর্বোচ্চ Privilege level । এই লেভেলে সব ধরণের কমান্ড এক্সিকিউট করা যায়। একে Super Admin লেভেল বলা হয়।

Cisco ডিভাইসসমূহে বাই ডিফল্ট Level 1 ও Level 15 এই দুইটি Privilege Level এনাবল থাকে। আমরা যখন কোন Cisco ডিভাইসে লগইন করি তখন User EXEC Mode এ থাকি (> প্রম্পট)। এই User EXEC Mode এ Level 1 এর পারমিশন থাকে। এখান থেকে আমরা enable 15 অথবা শুধু enable কমান্ডের মাধ্যমে Global Configuration Mode এ ঢুকি (# প্রম্পট) যেখানে Level 15 পারমিশন থাকে। User EXEC Mode এ আমরা চাইলে enable 4 কমান্ড দিয়ে Privilege Level 4 এ ঢুকতে পারি। কিন্তু সে জন্য আমাদের ডিভাইসে অবশ্যই Privilege Level 4 কনফিগার করা থাকতে হবে। আমরা যখন যে Privilege Level এ থাকি না কেন show privilege কমান্ডের মাধ্যমে সে লেভেল নাম্বার দেখতে পারি।

কাষ্টমাইজড Privilege Level (2-14) কনফিগার করার জন্য প্রথমে আমাদেরকে কাজের ধরণের উপর ভিত্তি করে কয়েকটি Level তৈরী করতে হবে এবং তাতে বিভিন্ন কমান্ড এ্যাসাইন করতে হবে।

Router>show privilege
Current privilege level is 1
Router>enable 
Router#show privilege 
Current privilege level is 15
Router#configure terminal 
Router(config)#enable secret level 15 0 cisco15
Router(config)#enable secret level 2 0 cisco2
Router(config)#enable secret level 4 0 cisco4
Router(config)#enable secret level 8 0 cisco8
Router(config)#privilege exec level 4 ping
Router(config)#privilege exec level 8 reload

প্রথমে আমরা Level 2, Level 4 ও Level 8 নামে তিনটি কাষ্টমাইজড লেভেল করলাম। উদাহরণস্বরূপ, Level 4 ও এর উপরের লেভেলগুলোর জন্য আমরা ping কমান্ডটি পারমিট করলাম এবং Level 8 ও এর উপরের লেভেলগুলোর জন্য আমরা reload কমান্ডটি পারমিট করলাম।

এখন যদি আমরা Privilege Level 2 তে ঢুকে কোন আই.পি কে ping করতে চাই তাহলে তা পারবো না। কারণ ping কমান্ডটি শুধুমাত্র Level 4 ও এর উপরের লেভেলগুলোর জন্য পারমিট করা হয়েছে।

Router>enable 2
Password: 
Router#show privilege 
Current privilege level is 2
Router#ping 192.168.1.2
            ^
% Invalid input detected at '^' marker.

আবার আমরা Privilege Level 4 এ ঢুকে কোন আই.পি কে ping করতে চাই তাহলে তা পারবো কিন্তু ডিভাইসটি reload করতে পারবো না। কারণ reload কমান্ডটি শুধুমাত্র Level 8 ও এর উপরের লেভেলগুলোর জন্য পারমিট করা হয়েছে।

Router>enable 4
Password: 
Router#ping 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/1/6 ms

Router#reload
Translating "reload"
% Unknown command or computer name, or unable to find computer address

সবশেষে আমরা Privilege Level 8 এ ঢুকে কোন আই.পি কে ping করতে চাই তা পারবো, ডিভাইসটি প্রয়োজনে reload করতে পারবো।

Router>enable 8
Password: 
Router#show privilege 
Current privilege level is 8
Router#reload
Proceed with reload? [confirm]
System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.

Self decompressing the image:
########################################################################## [OK]

এখন আমরা দেখবো কিভাবে আলাদা আলাদা ইউজারনেম তৈরী করে আলাদা আলাদাভাবে পারমিশন দেওয়া যায়। এজন্য আমরা আলাদা Privilege Level দিয়ে একাধিক ইউজার তৈরী করবো।

Router#configure terminal 
Router(config)#username admin privilege 15 secret admin123
Router(config)#username noc privilege 8 secret noc123
Router(config)#username system privilege 4 secret system123
Router(config)#username support privilege 2 secret support123

যেহেতু তৈরী হওয়া ইউজারনেমগুলো ডিভাইসের লোকাল ডাটাবেসে থাকে তাই প্রতিটি এ্যাকসেস পোর্টে আমরা login local কমান্ডটি দিবো।

Router(config)#line console 0
Router(config-line)#login local
Router(config)#exit
Router(config)#line aux 0
Router(config-line)#login local
Router(config)#exit
Router(config)#line vty 0 4
Router(config-line)#login local

এভাবে আমরা চাইলে একটি ছোট নেটওয়ার্কের বিভিন্ন ডিভাইসগুলোতে Privilege Level কনফিগার করতে পারি।

আশাকরি আপনারা এই টিউটোরিয়ালটি দেখে Cisco ডিভাইসসমূহকে কিভাবে Privilege Level এর মাধ্যমে ইউজারদের এ্যাকসেস নিয়ন্ত্রন করা যায় সে সম্পর্কে কিছুটা ধারণা পাবেন। আল্লাহ হাফেজ।