Z důvodu vyšší bezpečnosti jsem chtěl omezit přístup ke svému přepínači Cisco SG300-10 pouze na jednu adresu IP v mé místní podsíti. Po nejprve konfigurovat svůj nový přepínač několik týdnů zpět jsem nebyl šťastný, protože jsem věděl, že někdo, kdo je připojen k síti LAN nebo WLAN, se může dostat na přihlašovací stránku právě tím, že znal IP adresu zařízení.
Nakonec jsem prošla přes 500stranovou příručku, abych zjistila, jak zablokovat všechny adresy IP s výjimkou těch, které jsem chtěl pro přístup k řízení. Po hodně testování a několik příspěvků na fórach Cisco jsem si to uvědomil! V tomto článku vás provede kroky pro konfiguraci profilů přístupu a profilů pro přepínač Cisco.
Poznámka: Následující způsob, popsat také umožňuje omezit přístup k libovolnému počtu aktivovaných služeb na vašem přepínači. Můžete například omezit přístup k SSH, HTTP, HTTPS, Telnetu nebo všem těmto službám podle adresy IP.
Vytvořte profil řízení přístupu & amp; Pravidla
Chcete-li začít, přihlaste se do webového rozhraní přepínače a rozbalte položku Zabezpečenía poté rozbalte položku Metoda přístupu Mgmt. Pokračujte a klikněte na Přístupové profily.
. Ve výchozím nastavení byste měli vidět pouze profil Pouze konzole. V horní části zjistíte, že vedle profilu aktivního přístupuje vybrána možnost Žádná. Jakmile vytvoříme náš profil a pravidla, budeme muset vybrat jméno profilu pro jeho aktivaci.
Nyní klikněte na tlačítko Přidata toto by mělo otevřete dialogové okno, kde budete moci pojmenovat nový profil a také přidat první pravidlo pro nový profil.
v horní části udělejte nový název profilu. Všechna ostatní pole se vztahují k prvnímu pravidlu, které bude přidáno do nového profilu. Pro Priorita pravidlamusíte vybrat hodnotu od 1 do 65535. Způsob, jakým Cisco funguje, je, že pravidlo s nejnižší prioritou je aplikováno jako první. Pokud se neodpovídá, použije se další pravidlo s nejnižší prioritou.
V mém příkladu jsem zvolil prioritu 1, protože chci, aby bylo toto pravidlo zpracováno První. Toto pravidlo bude pravidlo, které umožní IP adresu, kterou chci umožnit přístup k přepínači. V části Metoda správymůžete buď zvolit určitou službu, nebo vybrat vše, což vše omezí. V mém případě jsem si vybral vše proto, že mám pouze SSH a HTTPS a řídím obě služby z jednoho počítače.
Všimněte si, že pokud chcete zabezpečit pouze SSH a HTTPS, pak budete muset vytvořit dvě samostatná pravidla. Akcemůže být pouze Odmítnoutnebo Povolit. Pro můj příklad jsem zvolil Povolit, protože to bude pro povolenou adresu IP. Dále můžete pravidlo použít na konkrétní rozhraní zařízení nebo ho můžete nechat na adrese Vše, aby se vztahovalo na všechny porty.
V části Platí pro adresu IP zdrojemusíme vybrat Uživatel definovanýa pak zvolit Verze 4IPv6, v takovém případě byste zvolili verzi 6. Nyní zadejte adresu IP, která bude mít přístup a zadejte síťovou masku, která odpovídá všem relevantním bitům, které je třeba zkontrolovat.
Například od mou IP adresu je 192.168.1.233, musí být zkoušena celá IP adresa, a proto potřebuji síťovou masku 255.255.255.255. Pokud bych chtěl, aby se pravidlo vztahovalo na všechny v celé podsíti, pak bych použil masku 255.255.255.0. To by znamenalo, že by někdo s adresou 192.168.1.x byl povolen. To samozřejmě nechci dělat, ale doufám, že to vysvětluje, jak používat síťovou masku. Mějte na paměti, že síťová maska není maskou podsítě pro vaši síť. Síťová maska jednoduše říká, na které bity se má Cisco při uplatňování pravidla podívat.
Klepněte na tlačítko Použíta nyní byste měli mít nový přístupový profil a pravidlo! V levém menu klikněte na Pravidla profilua měli byste vidět nové pravidlo uvedené nahoře.
Teď musíme přidat naše druhé pravidlo. Chcete-li to provést, klikněte na tlačítko Přidatzobrazené v části Tabulka pravidel profilu.
p>Druhé pravidlo je opravdu jednoduché. Nejprve se ujistěte, že název profilu Access je stejný, který jsme právě vytvořili. Nyní udělíme pravidlo 2a zvolíme OdmítnoutAkce. Zkontrolujte, zda je vše ostatní nastaveno na Vše. To znamená, že všechny adresy IP budou blokovány. Nicméně, protože naše první pravidlo bude zpracováno jako první, bude tato IP adresa povolena. Jakmile je pravidlo splněno, ostatní pravidla jsou ignorována. Pokud adresa IP neodpovídá prvnímu pravidlu, přijde na toto druhé pravidlo, kde se bude shodovat a bude zablokováno. Pěkné!
Nakonec musíme aktivovat nový přístupový profil. Chcete-li to provést, přejděte zpět na Přístupové profilya v rozbalovacím seznamu v horní části (vedle profilu aktivního přístupu) vyberte nový profil. Ujistěte se, že jste klikli na tlačítko Použíta měli byste být dobré.
v konfiguračním souboru. Chcete-li zkopírovat spuštěnou konfiguraci do konfigurace při spouštění, ujistěte se, že chcete kopírovat spuštěnou konfiguraci do konfigurace spouštění Správa- Správa souborů- Konfigurace kopírování / uložení
p>Chcete-li povolit přístup k přepínači více než jedna adresa IP, stačí vytvořit další pravidlo jako první, ale dát vyšší prioritu. Budete také muset ujistit, že změníte prioritu pravidla Odmítnouttak, aby měla vyšší prioritu než všechna pravidla Povolení. Pokud narazíte na nějaké problémy nebo to nemůžete dostat do práce, neváhejte a vložte se do komentářů a pokusím se vám pomoci. Užijte si!