W celu zwiększenia bezpieczeństwa chciałem ograniczyć dostęp do przełącznika Cisco SG300-10 tylko do jednego adresu IP w mojej lokalnej podsieci. Po kilku tygodniach początkowo konfigurowałem mój nowy przełącznik nie byłam szczęśliwa wiedząc, że ktoś podłączony do mojej sieci LAN lub WLAN może dostać się na stronę logowania, znając tylko adres IP urządzenia.
Skończyłem przeglądać 500-stronicową instrukcję, aby dowiedzieć się, jak zabezpieczyć wszystkie adresy IP, z wyjątkiem tych, które chciałem uzyskać dla dostępu do zarządzania. Po wielu testach i kilku postach na forach Cisco odkryłem to! W tym artykule poprowadzę Cię przez kolejne kroki, aby skonfigurować reguły dostępu i profile dla przełącznika Cisco.
Uwaga: Poniższa metoda mam zamiar opis pozwala także ograniczyć dostęp do dowolnej liczby włączonych usług na przełączniku. Na przykład możesz ograniczyć dostęp do SSH, HTTP, HTTPS, Telnet lub wszystkich tych usług według adresów IP.
Utwórz profil dostępu do zarządzania & amp; Reguły
Aby rozpocząć, zaloguj się do interfejsu sieciowego przełącznika i rozwiń węzeł Bezpieczeństwo, a następnie rozwiń menu Metoda dostępu Mgmt. Kliknij Profile dostępu.
Pierwszą rzeczą, którą musimy zrobić, to stworzyć nowy profil dostępu . Domyślnie powinien być widoczny profil Tylko konsola. Zauważysz też, że Brakjest wybrane obok Profil aktywnego dostępu. Po utworzeniu naszego profilu i reguł będziemy musieli wybrać nazwę profilu tutaj, aby go aktywować.
Teraz kliknij przycisk Dodaj, a to powinno wyświetl okno dialogowe, w którym będziesz mógł nazwać swój nowy profil, a także dodać pierwszą regułę dla nowego profilu.
At u góry, nadaj swojemu nowemu profilowi nazwę. Wszystkie pozostałe pola odnoszą się do pierwszej reguły, która zostanie dodana do nowego profilu. W przypadku Priorytetu regułymusisz wybrać wartość z zakresu od 1 do 65535. Sposób działania Cisco polega na tym, że reguła o najniższym priorytecie jest stosowana jako pierwsza. Jeśli się nie zgadza, stosowana jest następna reguła o najniższym priorytecie.
W moim przykładzie wybrałem priorytet 1, ponieważ chcę, aby ta reguła była przetwarzana pierwszy. Ta reguła będzie tą, która zezwala na adres IP, który chcę udostępnić przełącznikowi. W Metoda zarządzaniamożesz wybrać konkretną usługę lub wybrać wszystko, co ograniczy wszystko. W moim przypadku wybrałem wszystko, ponieważ mam włączone tylko SSH i HTTPS i zarządzam obydwoma usługami z jednego komputera.
Pamiętaj, że jeśli chcesz zabezpieczyć tylko SSH i HTTPS, musisz utworzyć dwie oddzielne reguły. Akcja może mieć tylko Odmówlub Zezwolenie. Na mój przykład wybrałem opcję Zezwalaj, ponieważ dotyczy to dozwolonego adresu IP. Następnie możesz zastosować regułę do określonego interfejsu na urządzeniu lub możesz po prostu zostawić go w Wszystko, aby dotyczyć wszystkich portów.
Pod Dotyczy adresu źródłowego IP, musimy wybrać Zdefiniowane przez użytkownikatutaj, a następnie wybrać Wersja 4, chyba że pracujesz w Środowisko IPv6, w którym to przypadku wybrałbyś wersję 6. Teraz wpisz adres IP, do którego będzie dozwolony dostęp i wpisz maskę sieci, która pasuje do wszystkich odpowiednich bitów, które mają być przeglądane.
Na przykład, ponieważ mój adres IP to 192.168.1.233, cały adres IP musi zostać zbadany i dlatego potrzebuję maski sieci 255.255.255.255. Jeśli chciałbym, aby ta reguła była stosowana dla wszystkich w całej podsieci, użyłbym maski 255.255.255.0. Oznaczałoby to, że każdy z adresem 192.168.1.x byłby dozwolony. Oczywiście nie o to mi chodzi, ale mam nadzieję, że wyjaśnia, w jaki sposób korzystać z maski sieci. Zwróć uwagę, że maska sieciowa nie jest maską podsieci dla twojej sieci. Maska sieci mówi po prostu, z jakich bitów powinien wyglądać Cisco podczas stosowania reguły.
Kliknij Zastosuj, a teraz powinieneś mieć nowy profil dostępu i regułę! Kliknij Reguły profiliw menu po lewej stronie i powinieneś zobaczyć nową regułę u góry.
Teraz musimy dodać naszą drugą zasadę. Aby to zrobić, kliknij przycisk Dodajwidoczny pod Tabela reguł profilu.
Druga reguła jest naprawdę prosta. Po pierwsze upewnij się, że nazwa profilu dostępu jest taka sama, jak właśnie stworzyliśmy. Teraz nadajemy regułę priorytetowi 2i wybieramy Odmówdla Akcji. Upewnij się, że wszystko inne jest ustawione na Wszystko. Oznacza to, że wszystkie adresy IP będą blokowane. Ponieważ pierwsza zasada zostanie najpierw przetworzona, dozwolony będzie adres IP. Po dopasowaniu reguły pozostałe reguły są ignorowane. Jeśli adres IP nie pasuje do pierwszej reguły, dojdzie do drugiej reguły, w której będzie pasował i będzie blokowany. Nice!
Na koniec musimy aktywować nowy profil dostępu. Aby to zrobić, wróć do Profile dostępui wybierz nowy profil z rozwijanej listy u góry (obok Aktywnego profilu dostępu). Pamiętaj, aby kliknąć Zastosuji powinieneś być dobry.
Pamiętaj, że konfiguracja jest obecnie zapisana tylko w uruchomionej konfiguracji. Upewnij się, że przechodzisz do Administracja- Zarządzanie plikami- Kopiuj / zapisz konfigurację, by skopiować uruchomioną konfigurację do konfiguracji uruchamiania.
Jeśli chcesz zezwolić na więcej niż jeden dostęp do adresu IP do przełącznika, po prostu stwórz kolejną regułę, taką jak pierwsza, ale nadaj jej wyższy priorytet. Musisz również upewnić się, że zmienisz priorytet dla reguły Odmów, aby miał wyższy priorytet niż wszystkie reguły Zezwalaj. Jeśli napotkasz jakiekolwiek problemy lub nie możesz tego uruchomić, możesz pisać w komentarzach, a ja postaram się pomóc. Ciesz się!