Pro větší bezpečnost jsem chtěl omezit přístup k přepínači Cisco SG300-10 na pouze jednu IP adresu v místní podsíti. Poté, co jsem zpočátku konfiguroval svůj nový přepínač o několik týdnů zpět, nebyl jsem rád, když jsem věděl, že každý, kdo je připojený k mé síti LAN nebo k síti WLAN, se může dostat na přihlašovací stránku, když zná jen adresu IP zařízení.
Skončil jsem prosévání přes 500-stranovou příručku, abych zjistil, jak jít o blokování všech IP adres kromě těch, které jsem chtěl pro správu přístupu. Po spoustě testů a několika příspěvků na fórach Cisco jsem na to přišel! V tomto článku vás provedu kroky ke konfiguraci přístupových profilů a pravidel profilu pro přepínač Cisco.
Poznámka : Následující metoda, kterou budu popisovat, také umožňuje omezit přístup k libovolnému počtu povolených služeb ve vašem přepínači. Můžete například omezit přístup k SSH, HTTP, HTTPS, Telnetu nebo všem těmto službám podle adresy IP.
Vytvořit profil a pravidla pro správu přístupu
Chcete-li začít, přihlaste se do webového rozhraní pro přepínač a rozbalte položku Zabezpečení a poté rozbalte položku Metoda přístupu Mgmt Access . Pokračujte a klepněte na Profily přístupu .
První věc, kterou musíme udělat, je vytvořit nový přístupový profil. Ve výchozím nastavení by se měl zobrazit pouze profil Pouze konzola . Nahoře si všimnete, že vedle položky Active Access Profile je vybrán None . Jakmile vytvoříme náš profil a pravidla, budeme zde muset vybrat název profilu, abychom jej mohli aktivovat.
Nyní klikněte na tlačítko Přidat a toto by mělo vyvolat dialog, ve kterém budete moci pojmenovat nový profil a také přidat první pravidlo pro nový profil.
V horní části zadejte svému novému profilu jméno. Všechna ostatní pole se týkají prvního pravidla, které bude přidáno do nového profilu. Pro prioritu pravidla musíte zvolit hodnotu mezi 1 a 65535. Způsob, jakým společnost Cisco pracuje, je, že pravidlo s nejnižší prioritou je aplikováno jako první. Pokud se neshoduje, použije se další pravidlo s nejnižší prioritou.
V mém příkladu jsem si vybral prioritu 1, protože chci, aby bylo toto pravidlo zpracováno jako první. Toto pravidlo bude ten, který umožňuje IP adresu, kterou chci dát přístup k přepínači. V části Metoda správy můžete vybrat konkrétní službu nebo vybrat vše, což vše omezí. V mém případě jsem si vybral všechny, protože jsem měl SSH a HTTPS stejně povolen a spravuji obě služby z jednoho počítače.
Pokud chcete zabezpečit pouze protokoly SSH a HTTPS, musíte vytvořit dvě samostatná pravidla. Akce může být pouze Zakázat nebo Povolit . Pro můj příklad jsem zvolil Permit, protože to bude pro povolenou IP. Dále můžete pravidlo aplikovat na konkrétní rozhraní v zařízení nebo ho můžete nechat na All, aby se vztahovalo na všechny porty.
V části Použije se na zdrojovou adresu IP, musíme zvolit zde definovaný uživatel a poté zvolit verzi 4, pokud nepracujete v prostředí IPv6, v takovém případě zvolíte verzi 6. Nyní zadejte adresu IP, ke které bude povolen přístup a typ v masce sítě, která odpovídá všem relevantním bitům, na které se má podívat.
Například, protože má IP adresa 192.168.1.233, je třeba prozkoumat celou IP adresu, a proto potřebuji masku sítě 255.255.255.255. Kdybych chtěl, aby pravidlo platilo pro všechny v celé podsíti, pak bych použil masku 255.255.255.0. To by znamenalo, že by mohl být kdokoli s adresou 192.168.1.x. To samozřejmě nechci, ale doufejme, že to vysvětluje, jak používat masku sítě. Síťová maska není maskou podsítě vaší sítě. Síťová maska jednoduše říká, které bity by měla aplikace Cisco při použití pravidla sledovat.
Klikněte na tlačítko Použít a nyní byste měli mít nový přístupový profil a pravidlo! Klikněte na Pravidla profilu v levém menu a měli byste vidět nové pravidlo uvedené nahoře.
Nyní musíme přidat naše druhé pravidlo. Chcete-li to provést, klepněte na tlačítko Přidat zobrazené v tabulce Pravidla profilu .
Druhé pravidlo je opravdu jednoduché. Nejprve se ujistěte, že název profilu přístupu je stejný, jaký jsme právě vytvořili. Nyní jen dáme pravidlu prioritu 2 a zvolíme Deny pro akci . Zkontrolujte, zda je vše ostatní nastaveno na hodnotu Vše . To znamená, že všechny adresy IP budou blokovány. Jelikož však bude naše první pravidlo zpracováno jako první, bude tato adresa IP povolena. Jakmile je pravidlo uzavřeno, ostatní pravidla jsou ignorována. Pokud adresa IP neodpovídá prvnímu pravidlu, dojde k tomuto druhému pravidlu, kde bude odpovídat a bude blokována. Pěkný!
Nakonec musíme aktivovat nový přístupový profil. Chcete-li to provést, přejděte zpět do seznamu Profily přístupu a vyberte nový profil z rozevíracího seznamu v horní části (vedle položky Aktivní přístupový profil ). Ujistěte se, že kliknete na tlačítko Použít a měli byste být dobrý.
Nezapomeňte, že konfigurace je aktuálně uložena pouze v běžící konfiguraci. Ujistěte se, že jste na stránce Správa - Správa souborů - Kopírovat / Uložit konfiguraci zkopírovali běžící konfigurační soubor do konfiguračního souboru pro spuštění.
Chcete-li k přepínači povolit více než jeden přístup k IP adresám, vytvořte další pravidlo jako první, ale dejte mu vyšší prioritu. Také se musíte ujistit, že změníte prioritu pravidla Odepřít tak, aby měla vyšší prioritu než všechna pravidla Oprávnění . Pokud narazíte na nějaké problémy nebo se vám to nepodaří do práce, můžete v komentářích napsat a pokusím se pomoci. Užívat si!