За допълнителна сигурност исках да огранича достъпа до моя комутатор Cisco SG300-10^{(Cisco SG300-10)} само до един IP адрес в моята локална подмрежа. След като първоначално конфигурирах новия ми превключвател^{(initially configuring my new switch)} преди няколко седмици, не бях доволен от факта, че всеки, свързан към моята LAN или WLAN , може да стигне до страницата за вход, като просто знае IP адреса на устройството.

В крайна сметка прегледах ръководството от 500 страници, за да разбера как да блокирам всички IP адреси, освен тези, които исках за достъп за управление. След много тестове и няколко публикации във форумите на Cisco разбрах! В тази статия ще ви преведа през стъпките за конфигуриране на профили за достъп и правила за профили за вашия превключвател Cisco .

Забележка: Следният метод, който ще опиша също ви позволява да ограничите достъпа до произволен брой активирани услуги на вашия превключвател. Например, можете да ограничите достъпа до SSH, HTTP, HTTPS, Telnet или всички тези услуги чрез IP адрес. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Създайте профил^{(Create Management Access Profile)} и правила за достъп до управление^(Rules)

За да започнете, влезте в уеб интерфейса за вашия превключвател и разгънете Защита^(Security) и след това разгънете Mgmt Access Method . Продължете и щракнете върху Профили за достъп^{(Access Profiles)} .

Първото нещо, което трябва да направим, е да създадем нов профил за достъп. По подразбиране трябва да виждате само профила само за конзолата . ^{(Console Only)}Освен това ще забележите в горната част, че до Профил за активен достъп^{( Active Access Profile)} е избран Няма^(None) . След като създадем нашия профил и правила, ще трябва да изберем името на профила тук, за да го активираме.

Сега щракнете върху бутона Добавяне^(Add) и това трябва да изведе диалогов прозорец, в който ще можете да наименувате новия си профил, както и да добавите първото правило за новия профил.

В горната част дайте име на новия си профил. Всички останали полета се отнасят до първото правило, което ще бъде добавено към новия профил. За Приоритет на правилото^{( Rule Priority)} трябва да изберете стойност между 1 и 65535. Начинът , по който Cisco работи е, че първо се прилага правилото с най-нисък приоритет. Ако не съвпада, тогава се прилага следващото правило с най-нисък приоритет.

В моя пример избрах приоритет 1 , защото искам това правило да бъде обработено първо. Това правило ще бъде това, което позволява на IP адреса, на който искам да дам достъп до превключвателя. Под Метод^{(Management Method)} на управление можете да изберете конкретна услуга или да изберете всички, което ще ограничи всичко. В моя случай избрах всички, защото така или иначе имам активирани само SSH и HTTPS и управлявам и двете услуги от един компютър.

Имайте предвид, че ако искате да защитите само SSH и HTTPS , тогава ще трябва да създадете две отделни правила. Действието може да бъде само ^(Action)Отказ^(Deny) или Разрешаване^(Permit) . За моя пример избрах Permit , тъй като това ще бъде за разрешения IP. След^(Next) това можете да приложите правилото към конкретен интерфейс на устройството или просто да го оставите на Всичко^(All) , така че да се прилага за всички портове.

Под Прилага се към IP адреса на източника^{(Applies to Source IP Address)} трябва да изберем User Defined тук и след това да изберем версия 4^{(Version 4)} , освен ако не работите в IPv6 среда, в който случай бихте избрали версия 6^{(Version 6)} . Сега въведете IP адреса, до който ще бъде разрешен достъп, и въведете мрежова маска, която съответства на всички съответни битове, които трябва да бъдат разгледани.

Например, тъй като моят IP адрес е 192.168.1.233, целият IP адрес трябва да бъде проверен и следователно имам нужда от мрежова маска от 255.255.255.255. Ако исках правилото да се прилага за всички в цялата подмрежа, тогава бих използвал маска от 255.255.255.0. Това би означавало, че всеки с адрес 192.168.1.x ще бъде разрешен. Очевидно не това искам да направя, но се надявам, че това обяснява как да използвам мрежовата маска. Имайте предвид, че мрежовата маска не е маската на подмрежата за вашата мрежа. Мрежовата маска просто казва кои битове Cisco трябва да гледа, когато прилага правилото.

Щракнете върху Прилагане^(Apply) и вече трябва да имате нов профил и правило за достъп! Щракнете^(Click) върху Правила за профила^{( Profile Rules)} в лявото меню и трябва да видите новото правило, изброено в горната част.

Сега трябва да добавим нашето второ правило. За да направите това, щракнете върху бутона Добавяне^(Add) , показан под таблицата с правила за профил^{(Profile Rule Table)} .

Второто правило е наистина просто. Първо, уверете се, че името на профила за достъп^{(Access Profile Name)} е същото, което току-що създадохме. Сега просто даваме на правилото приоритет 2 и избираме Отказ^(Deny) за действието^(Action) . Уверете се, че всичко останало е настроено на Всичко^(All) . Това означава, че всички IP адреси ще бъдат блокирани. Въпреки това, тъй като първото ни правило ще бъде обработено първо, този IP адрес ще бъде разрешен. След като дадено правило е съпоставено, другите правила се игнорират. Ако даден IP адрес не съответства на първото правило, той ще стигне до това второ правило, където ще съвпадне и ще бъде блокиран. Хубаво!

Накрая трябва да активираме новия профил за достъп. За да направите това, върнете се към Профили за достъп^{( Access Profiles)} и изберете новия профил от падащия списък в горната част (до Профил за активен достъп^{(Active Access Profile)} ). Уверете се, че щракнете върху Приложи^(Apply) и трябва да сте готови.

Не забравяйте^(Remember) , че конфигурацията в момента се записва само в текущата конфигурация. Уверете се, че отидете на Администриране^{(Administration)} – Управление на файлове^{( File Management)} – Copy/Save Configuration , за да копирате текущата конфигурация в конфигурацията за стартиране.

Ако искате да разрешите повече от един IP адрес за достъп до превключвателя, просто създайте друго правило като първото, но му дайте по-висок приоритет. Също така ще трябва да се уверите, че сте променили приоритета на правилото за отказ^(Deny) , така че то да има по-висок приоритет от всички правила за разрешаване . ^(Permit)Ако срещнете някакви проблеми или не можете да накарате това да работи, не се колебайте да публикувате в коментарите и аз ще се опитам да помогна. Наслади се!

Restrict Access to Cisco Switch Based on IP Address

For added security, I wanted to restrict access to my Cisco SG300-10 switch to only one IP address in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. 

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Related posts

• Как да намерите IP адреса на вашия WiFi принтер на Windows и Mac

• Как да активирате SSH достъп за превключватели Cisco SG300

• Как да зададете статичен IP адрес в Windows 11/10

• Как да намеря IP адреса на моя рутер?

• Как да присвоите статичен IP адрес на компютър с Windows 11/10

• Пет неща, които трябва да направите, след като включите новия си Cisco Switch

• Как да получите достъп до Samsung Cloud и да извлечете максимума от услугата

• Отворете Notepad като администратор, за да избегнете „Достъпът е отказан“

• Как да получите достъп и да промените настройките на вашия WiFi рутер

• Активирайте удостоверяването с публичен ключ за SSH на комутатори Cisco SG300

• Как да освободите и подновите IP адрес

• Как да актуализирате Raspberry Pi

• Как да правите екранни снимки на Nintendo Switch

• Как да коригирате конфликт на IP адрес

• HDG обяснява: Какво е IP адрес и може ли наистина да ме проследи до вратата ми?

• Предотвратете достъпа до командния ред в Windows

• 5 най-добри приложения за скриване на IP адреси за Android 2022

• HDG обяснява: Какво е специален IP адрес и трябва ли да го взема?

• Инсталиране на GIMP Plugins: Ръководство с инструкции

• Как да намерите MAC адрес на iPhone (iOS) и Android устройства