Ограничете достъпа до Cisco Switch въз основа на IP адрес

За допълнителна сигурност исках да огранича достъпа до моя комутатор Cisco SG300-10(Cisco SG300-10) само до един IP адрес в моята локална подмрежа. След като първоначално конфигурирах новия ми превключвател(initially configuring my new switch) преди няколко седмици, не бях доволен от факта, че всеки, свързан към моята LAN или WLAN , може да стигне до страницата за вход, като просто знае IP адреса на устройството.

В крайна сметка прегледах ръководството от 500 страници, за да разбера как да блокирам всички IP адреси, освен тези, които исках за достъп за управление. След много тестове и няколко публикации във форумите на Cisco разбрах! В тази статия ще ви преведа през стъпките за конфигуриране на профили за достъп и правила за профили за вашия превключвател Cisco .

Забележка: Следният метод, който ще опиша също ви позволява да ограничите достъпа до произволен брой активирани услуги на вашия превключвател. Например, можете да ограничите достъпа до SSH, HTTP, HTTPS, Telnet или всички тези услуги чрез IP адрес. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

Създайте профил(Create Management Access Profile) и правила за достъп до управление(Rules)

За да започнете, влезте в уеб интерфейса за вашия превключвател и разгънете Защита(Security) и след това разгънете Mgmt Access Method . Продължете и щракнете върху Профили за достъп(Access Profiles) .

Първото нещо, което трябва да направим, е да създадем нов профил за достъп. По подразбиране трябва да виждате само профила само за конзолата . (Console Only)Освен това ще забележите в горната част, че до Профил за активен достъп( Active Access Profile) е избран Няма(None) . След като създадем нашия профил и правила, ще трябва да изберем името на профила тук, за да го активираме.

Сега щракнете върху бутона Добавяне(Add) и това трябва да изведе диалогов прозорец, в който ще можете да наименувате новия си профил, както и да добавите първото правило за новия профил.

В горната част дайте име на новия си профил. Всички останали полета се отнасят до първото правило, което ще бъде добавено към новия профил. За Приоритет на правилото( Rule Priority) трябва да изберете стойност между 1 и 65535. Начинът , по който Cisco работи е, че първо се прилага правилото с най-нисък приоритет. Ако не съвпада, тогава се прилага следващото правило с най-нисък приоритет.

В моя пример избрах приоритет 1 , защото искам това правило да бъде обработено първо. Това правило ще бъде това, което позволява на IP адреса, на който искам да дам достъп до превключвателя. Под Метод(Management Method) на управление можете да изберете конкретна услуга или да изберете всички, което ще ограничи всичко. В моя случай избрах всички, защото така или иначе имам активирани само SSH и HTTPS и управлявам и двете услуги от един компютър.

Имайте предвид, че ако искате да защитите само SSH и HTTPS , тогава ще трябва да създадете две отделни правила. Действието може да бъде само (Action)Отказ(Deny) или Разрешаване(Permit) . За моя пример избрах Permit , тъй като това ще бъде за разрешения IP. След(Next) това можете да приложите правилото към конкретен интерфейс на устройството или просто да го оставите на Всичко(All) , така че да се прилага за всички портове.

Под Прилага се към IP адреса на източника(Applies to Source IP Address) трябва да изберем User Defined тук и след това да изберем версия 4(Version 4) , освен ако не работите в IPv6 среда, в който случай бихте избрали версия 6(Version 6) . Сега въведете IP адреса, до който ще бъде разрешен достъп, и въведете мрежова маска, която съответства на всички съответни битове, които трябва да бъдат разгледани.

Например, тъй като моят IP адрес е 192.168.1.233, целият IP адрес трябва да бъде проверен и следователно имам нужда от мрежова маска от 255.255.255.255. Ако исках правилото да се прилага за всички в цялата подмрежа, тогава бих използвал маска от 255.255.255.0. Това би означавало, че всеки с адрес 192.168.1.x ще бъде разрешен. Очевидно не това искам да направя, но се надявам, че това обяснява как да използвам мрежовата маска. Имайте предвид, че мрежовата маска не е маската на подмрежата за вашата мрежа. Мрежовата маска просто казва кои битове Cisco трябва да гледа, когато прилага правилото.

Щракнете върху Прилагане(Apply) и вече трябва да имате нов профил и правило за достъп! Щракнете(Click) върху Правила за профила( Profile Rules) в лявото меню и трябва да видите новото правило, изброено в горната част.

Сега трябва да добавим нашето второ правило. За да направите това, щракнете върху бутона Добавяне(Add) , показан под таблицата с правила за профил(Profile Rule Table) .

Второто правило е наистина просто. Първо, уверете се, че името на профила за достъп(Access Profile Name) е същото, което току-що създадохме. Сега просто даваме на правилото приоритет 2 и избираме Отказ(Deny) за действието(Action) . Уверете се, че всичко останало е настроено на Всичко(All) . Това означава, че всички IP адреси ще бъдат блокирани. Въпреки това, тъй като първото ни правило ще бъде обработено първо, този IP адрес ще бъде разрешен. След като дадено правило е съпоставено, другите правила се игнорират. Ако даден IP адрес не съответства на първото правило, той ще стигне до това второ правило, където ще съвпадне и ще бъде блокиран. Хубаво!

Накрая трябва да активираме новия профил за достъп. За да направите това, върнете се към Профили за достъп( Access Profiles) и изберете новия профил от падащия списък в горната част (до Профил за активен достъп(Active Access Profile) ). Уверете се, че щракнете върху Приложи(Apply) и трябва да сте готови.

Не забравяйте(Remember) , че конфигурацията в момента се записва само в текущата конфигурация. Уверете се, че отидете на Администриране(Administration)Управление на файлове( File Management)Copy/Save Configuration , за да копирате текущата конфигурация в конфигурацията за стартиране.

Ако искате да разрешите повече от един IP адрес за достъп до превключвателя, просто създайте друго правило като първото, но му дайте по-висок приоритет. Също така ще трябва да се уверите, че сте променили приоритета на правилото за отказ(Deny) , така че то да има по-висок приоритет от всички правила за разрешаване . (Permit)Ако срещнете някакви проблеми или не можете да накарате това да работи, не се колебайте да публикувате в коментарите и аз ще се опитам да помогна. Наслади се!



About the author

аудиофил инженер и специалист по аудио продукти с повече от 10 години опит. Специализирам се в създаването на качествени музикални високоговорители и слушалки от началото до края. Аз съм експерт в отстраняването на аудио проблеми, както и в проектирането на нови високоговорители и системи за слушалки. Моят опит надхвърля просто правенето на добри продукти; Също така имам страст да помагам на другите да бъдат възможно най-добрите, независимо дали това е чрез образование или общественополезен труд.



Related posts