Configuring Role Based CLI Access on Cisco Devices

Cisco ডিভাইসসমূহে ইউজারদের এ্যাকসেস নিয়ন্ত্রন করার জন্য Privilege Level ছাড়াও আরেকটি ফিচার রয়েছে, এটি হলো Role Based CLI Access । এই ফিচারটির মাধ্যমে কয়েকজন ইউজারের একটি গ্রুপকে একটু ভিন্নভাবে নিয়ন্ত্রন করা যায়। Role Based CLI Access এর মাধ্যমে একজন এ্যাডমিনিষ্ট্রেটর তার অধীনস্থ আলাদা আলাদা ইউজার গ্রুপের জন্য আলাদা আলাদা VIEW তৈরী করতে পারেন এবং এই VIEW এর মধ্যে কিছু স্পেসিফিক কমান্ড পারমিট বা রেসট্রিক্ট করতে পারেন। কোন একটি VIEW তে যে কমান্ডগুলো পারমিট করা হবে শুধুমাত্র ঐ কমান্ডগুলোই ইউজাররা দেখতে পাবে এবং এক্সিকিউট করতে পারবে।

Role Based CLI Access এ তিন ধরণের VIEW রয়েছে। যেমনঃ

i. Root View: ইহা এমন একটি VIEW যা Level 15 Privilege এর মতো কাজ করে যদিও প্রকৃতপক্ষে এটা Level 15 নয়। ডিভাইসে অন্যান্য VIEW তৈরী করার জন্য এ্যাডমিনিষ্ট্রেটরকে অবশ্যই Root View তে লগইন করা থাকতে হবে। শুধুমাত্র Root View এর ইউজারই কোন VIEW তৈরী বা ডিলিট এবং বিভিন্ন কমান্ডসমূহ VIEW এর মধ্যে পারমিট বা রেসট্রিক্ট করতে পারেন।

ii. CLI View: CLI View তে কিছু কমান্ডের একটি সেটকে নির্দিষ্ট করে দেওয়া হয়। শুধুমাত্র উক্ত কমান্ডগুলোই ইউজাররা ব্যবহার করতে পারবে।

iii. Superview: একটি Superview এর মধ্যে এক বা একাধিক CLI View থাকে। একটি Superview এর মাধ্যমে একজন এ্যাডমিনিষ্ট্রেটর একটি ইউজার গ্রুপকে একাধিক CLI View এর পরমিশন দিতে পারেন। Superview তে কোন কমান্ড পারমিট/রেসট্রিক্ট করা যায় না। কমান্ডসমূহকে প্রথমে একটি CLI View এর অধীনে কনফিগার করে উক্ত CLI View টি কে একটি Superview এর অধীনে রাখা হয়।

কনফিগারেশন

কনফিগারেশন শুরু করার আগে আমরা কনফিগারেশন অবজেকটিভগুলো দেখে নিই।

i. V1 নামে একটি CLI View থাকবে যার ইউজাররা শুধুমাত্র show কমান্ড এক্সিকিউট করতে পারবে, অন্য কোন কিছু কনফিগার করতে পারবে না।
ii. V2 নামে একটি CLI View থাকবে যার ইউজাররা ping, traceroute ইত্যাদি কমান্ড এক্সিকিউট করতে পারবে।
iii. V3 নামে একটি CLI View থাকবে যার ইউজাররা শুধুমাত্র ডিভাইসের interface সমূহ কনফিগার করতে পারবে। interface ব্যতীত অন্য কোন কিছু কনফিগার করতে পারবে না।
iv. V4 নামে একটি CLI View থাকবে যার ইউজাররা কনফিগারেশন ফাইল Write করতে পারবে এবং প্রয়োজনে ডিভাইস reload করতে পারবে।
v. অতঃপর আমরা USER নামে একটি Superview করবো যার মধ্যে V1 নামক CLI View টি অন্তর্ভূক্ত থাকবে, SUPPORT নামে একটি Superview করবো যার মধ্যে V2 ও V3 নামক CLI View সমূহ অন্তর্ভূক্ত থাকবে এবং NOC নামে একটি Superview করবো যার মধ্যে V4 নামক CLI View এর পারমিশন থাকবে।

Configuring CLI View

Step-1: যেকোন VIEW তৈরী করার আগে Cisco ডিভাইসে অবশ্যই এর AAA ফিচারটি চালু করতে হবে। এজন্য আমরা নিচের কমান্ডটি দিব।

Router#configure terminal
Router(config)#aaa new-model

Step-2: AAA ফিচারটি চালু করার পর আমরা অন্যান্য VIEW তৈরীর পূর্বে Root View তে লগইন করবো। আমরা একটি enable password সেট করবো যা Root View এর পাসওয়ার্ড হিসেবেও কাজ করবে।

Router(config)#enable secret root@123
Router(config)#exit

Root View তে ঢুকার জন্যঃ

Router#enable view
Password: xxxxx
*Mar 1 00:03:06.111: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.

Step-3: অতঃপর আমরা প্রতিটি CLI View তৈরী করবো, এদের পাসওয়ার্ড সেট করবো এবং নির্ধারিত কমান্ডসমূহ পারমিট করবো।

Router#configure terminal
Router(config)#parser view V1
*Mar 1 00:03:46.411: %PARSER-6-VIEW_CREATED: view 'V1' successfully created.
Router(config-view)#secret View1@123
Router(config-view)#commands exec include all show
Router(config-view)#exit
Router(config)#parser view V2
*Mar 1 00:04:33.203: %PARSER-6-VIEW_CREATED: view 'V2' successfully created.
Router(config-view)#secret View2@123
Router(config-view)#commands exec include ping
Router(config-view)#commands exec include traceroute
Router(config-view)#exit
Router(config)#parser view V3
*Mar  1 00:06:38.807: %PARSER-6-VIEW_CREATED: view 'V3' successfully created.
Router(config-view)#secret View3@123
Router(config-view)#commands exec include configure terminal
Router(config-view)#commands configure include all interface
Router(config-view)#exit
Router(config)#parser view V4
*Mar  1 00:08:21.079: %PARSER-6-VIEW_CREATED: view 'V4' successfully created.
Router(config-view)#secret View4@123
Router(config-view)#commands exec include all copy
Router(config-view)#commands exec include reload
Router(config-view)#exit

Configuring Superview

Step-4: এখন আমরা USER, SUPPORT ও NOC নামে তিনটি Superview তৈরী করবো এবং কনফিগারেশন অবজেকটিভ অনুসারে CLI View সমূহকে Superview এর মধ্যে রাখবো।

Router#enable view
Password: xxxxx
*Mar  1 00:02:54.135: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.
Router#configure terminal
Router(config)#parser view USER superview
*Mar  1 00:06:46.571: %PARSER-6-SUPER_VIEW_CREATED: super view 'USER' successfully created.
Router(config-view)#secret User@123
Router(config-view)#view V1
*Mar  1 00:07:06.383: %PARSER-6-SUPER_VIEW_EDIT_ADD: view V1 added to superview USER.
Router(config-view)#exit
Router(config)#parser view SUPPORT superview
*Mar  1 00:07:21.851: %PARSER-6-SUPER_VIEW_CREATED: super view 'SUPPORT' successfully created.
Router(config-view)#secret Support@123
Router(config-view)#view V2
*Mar  1 00:07:56.867: %PARSER-6-SUPER_VIEW_EDIT_ADD: view V2 added to superview SUPPORT.
Router(config-view)#view V3
*Mar  1 00:09:26.499: %PARSER-6-SUPER_VIEW_EDIT_ADD: view V3 added to superview SUPPORT.
Router(config-view)#exit
Router(config)#parser view NOC superview
*Mar  1 00:09:36.979: %PARSER-6-SUPER_VIEW_CREATED: super view 'NOC' successfully created.
Router(config-view)#secret Noc@123
Router(config-view)#view V4
*Mar  1 00:10:02.971: %PARSER-6-SUPER_VIEW_EDIT_ADD: view V4 added to superview NOC.

Root View থেকে অন্যান্য View তে সুইচ করার জন্যঃ

Router#enable view NOC
Password: xxxxx
*Mar  1 00:29:24.299: %PARSER-6-VIEW_SWITCH: successfully set to view 'NOC'.

অন্যান্য VIEW থেকে Root View তে সুইচ করার জন্যঃ

Router#enable view
Password: xxxxx

*Mar  1 00:02:54.135: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.

আমরা বর্তমানে কোন VIEW তে আছি তা দেখার জন্যঃ

Router#show parser view
Current view is 'root'

ডিভাইসে মোট কতটি VIEW কনফিগার করা আছে তা দেখার জন্যঃ

Router#show parser view all
Views/SuperViews Present in System:
 V1
 V2
 V3
 V4
 USER *
 SUPPORT *
 NOC *
-------(*) represent superview-------

* চিহ্নিত VIEW গুলো হলো Superview । আর * ব্যতীত VIEW গুলো হলো CLI View ।

এভাবে আমরা Cisco ডিভাইসের Role Based CLI Access ফিচারটির মাধ্যমে ইউজারদের এ্যাকসেস নিয়ন্ত্রন করতে পারি।

আশাকরি আপনারা এই টিউটোরিয়ালটি দেখে Cisco ডিভাইসসমূহে Role Based CLI Access ফিচারটির মাধ্যমে কিভাবে ইউজারদের এ্যাকসেস নিয়ন্ত্রন করা যায় সে সম্পর্কে কিছুটা ধারণা পাবেন। আল্লাহ হাফেজ।