Pentru securitate suplimentară, am vrut să restricționez accesul la comutatorul meu Cisco SG300-10 la o singură adresă IP din subnetul meu local. După configurarea inițială a noului comutator cu câteva săptămâni în urmă, nu eram fericit știind că oricine este conectat la LAN sau WLAN poate ajunge pe pagina de conectare doar prin cunoașterea adresei IP a dispozitivului.
Am ajuns să trec prin manualul de 500 de pagini pentru a afla cum să blochez toate adresele IP, cu excepția celor pe care le-am dorit pentru accesul la management. După o mulțime de teste și câteva postări pe forumurile Cisco, mi-am dat seama! În acest articol, vă voi parcurge pașii pentru a configura profilurile de acces și regulile de profil pentru comutatorul dvs. Cisco.
Notă: Următoarea metodă descrie, de asemenea, vă permite să restricționați accesul la orice număr de servicii activate pe comutatorul dvs. De exemplu, puteți restricționa accesul la SSH, HTTP, HTTPS, Telnet sau la toate aceste servicii prin adresa IP.
Creați un profil de acces de gestionare și & amp; Reguli
Pentru a începe, conectați-vă la interfața web pentru comutator și extindeți Securitate, apoi extindeți Metoda de acces Mgmt. Mergeți mai departe și dați clic pe Profile de acces.
Primul lucru pe care trebuie să-l faceți este să creați un nou profil de acces . În mod implicit, ar trebui să vedeți profilul numai pentru consolă. De asemenea, veți observa în partea superioară că Niciunanu este selectată lângă Profilul de acces activ. După ce ne-am creat profilul și regulile, trebuie să selectăm numele profilului pentru a-l activa.
Faceți clic pe butonul Adăugațiaduceți o casetă de dialog în care veți putea să vă numiți noul profil și să adăugați, de asemenea, prima regulă pentru profilul nou.
în partea de sus, dă-i noului profil un nume. Toate celelalte câmpuri se referă la prima regulă care va fi adăugată la noul profil. Pentru Prioritate de regulă, trebuie să alegeți o valoare cuprinsă între 1 și 65535. Modul în care Cisco funcționează este că regula cu cea mai mică prioritate este aplicată mai întâi. Dacă nu se potrivește, se aplică următoarea regulă cu cea mai mică prioritate.
În exemplul meu, am ales o prioritate a 1deoarece vreau ca această regulă să fie procesată primul. Această regulă va fi cea care permite adresei IP pe care doresc să o accesez la comutator. Sub Metoda de gestionare, puteți alege fie un anumit serviciu, fie alegeți toate, ceea ce va restricționa totul. În cazul meu, am ales toate pentru că am SSH și HTTPS activat oricum și am gestionat ambele servicii de la un computer.
Rețineți că dacă doriți să securizați numai SSH și HTTPS, atunci va trebui să creați două reguli separate. Acțiuneapoate fi Neagăsau Permiteți. Pentru exemplul meu, am ales Permitedeoarece aceasta va fi pentru adresa IP permisă. Apoi, puteți aplica regula unei interfețe specifice pe dispozitiv sau o puteți lăsa la Toate, astfel încât să se aplice tuturor porturilor.
Sub Se aplică adresei IP sursă, trebuie să alegeți Definit de utilizatoraici, apoi alegeți Versiunea 4Mediul IPv6, caz în care ați alege versiunea 6. Acum introduceți adresa IP care va permite accesul și introduceți o mască de rețea care să corespundă tuturor biților relevanți care trebuie examinați. De exemplu, deoarece adresa mea IP este 192.168.1.233, întreaga adresă IP trebuie să fie examinată și de aceea am nevoie de o mască de rețea de 255.255.255.255. Dacă aș fi vrut ca regula să se aplice tuturor pentru întreaga subrețea, atunci aș folosi o mască de 255.255.255.0. Asta ar însemna că orice persoană cu o adresă 192.168.1.x ar fi permisă. Nu este ceea ce vreau să fac, evident, dar, sperăm, aceasta explică modul de utilizare a măștii de rețea. Rețineți că masca de rețea nu este masca de subrețea pentru rețeaua dvs. Masca de rețea indică pur și simplu ce biți Cisco ar trebui să se uite la aplicarea regulii.
Faceți clic pe Aplicațiși acum trebuie să aveți un nou profil de acces și o regulă! Faceți clic pe Regulile profiluluidin meniul din partea stângă și ar trebui să vedeți noua regulă afișată în partea de sus.
Acum trebuie să adăugăm cea de-a doua regulă. Pentru a face acest lucru, faceți clic pe butonul Adăugațiafișat sub tabelul de reguli de profil.
p>A doua regula este foarte simpla. În primul rând, asigurați-vă că numele profilului de acces este același cu cel pe care tocmai l-am creat. Acum, dăm regula o prioritate a 2și alegeți Respingețipentru Acțiunea. Asigurați-vă că orice altceva este setat la Toate. Aceasta înseamnă că toate adresele IP vor fi blocate. Cu toate acestea, deoarece prima noastră regulă va fi procesată mai întâi, acea adresă IP va fi permisă. Odată ce o regulă este potrivită, celelalte reguli sunt ignorate. Dacă o adresă IP nu se potrivește cu prima regulă, va ajunge la această regulă secundară, unde se va potrivi și va fi blocată. Nisa!
În cele din urmă, trebuie să activați noul profil de acces. Pentru aceasta, reveniți la Profilurile de accesși selectați noul profil din lista derulantă din partea de sus (de lângă Profilul de acces activ). Asigurați-vă că faceți clic pe Aplicațiși ar trebui să fiți bine să mergeți.
în configurarea de funcționare. Asigurați-vă că accesați Administrare- Gestionarea fișierelor- Copiere / salvare configurațiep>Dacă doriți să permiteți accesul mai multor adrese IP la comutator, creați doar o altă regulă ca prima, dar acordați o prioritate mai mare. De asemenea, trebuie să vă asigurați că schimbați prioritatea pentru regula Respingețiastfel încât să aibă o prioritate mai mare decât toate regulile Permiteți. Dacă întâmpinați probleme sau nu puteți obține acest lucru, nu ezitați să postați în comentarii și voi încerca să vă ajut. Bucurați-vă!