Ograničite pristup Cisco Switchu na temelju IP adrese

Radi dodatne sigurnosti, želio sam ograničiti pristup svom Cisco SG300-10 prekidaču na samo jednu IP adresu u mojoj lokalnoj podmreži. Nakon što sam prije nekoliko tjedana prvobitno konfigurirao svoj novi prekidač(initially configuring my new switch) , nisam bio sretan znajući da bi bilo tko spojen na moj LAN ili WLAN mogao doći do stranice za prijavu samo znajući IP adresu uređaja.

Na kraju sam pregledao priručnik od 500 stranica kako bih shvatio kako da blokiram sve IP adrese osim onih koje sam želio za pristup upravljanju. Nakon puno testiranja i nekoliko postova na Ciscovim(Cisco) forumima, shvatio sam! U ovom članku provest ću vas kroz korake za konfiguriranje profila pristupa i pravila profila za vaš Cisco switch.

Napomena: Sljedeća metoda koju ću opisati također vam omogućuje da ograničite pristup bilo kojem broju omogućenih usluga na vašem prekidaču. Na primjer, možete ograničiti pristup SSH, HTTP, HTTPS, Telnet ili svim ovim uslugama putem IP adrese. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

Stvorite profil(Create Management Access Profile) i pravila za pristup upravljanju(Rules)

Za početak, prijavite se na web sučelje za svoj prekidač i proširite Sigurnost(Security) , a zatim proširite Način pristupa Mgmt(Mgmt Access Method) . Samo naprijed i kliknite na Pristup profilima(Access Profiles) .

Prvo što trebamo učiniti je stvoriti novi pristupni profil. Prema zadanim postavkama, trebali biste vidjeti samo profil Samo konzola . (Console Only)Također, primijetit ćete pri vrhu da je uz Profil aktivnog pristupa odabrano ( Active Access Profile)Ništa(None) . Nakon što kreiramo svoj profil i pravila, morat ćemo odabrati naziv profila ovdje kako bismo ga aktivirali.

Sada kliknite na gumb Dodaj(Add) i ovo bi trebalo otvoriti dijaloški okvir u kojem ćete moći imenovati svoj novi profil i dodati prvo pravilo za novi profil.

Na vrhu dajte naziv svom novom profilu. Sva ostala polja odnose se na prvo pravilo koje će biti dodano novom profilu. Za Prioritet pravila( Rule Priority) morate odabrati vrijednost između 1 i 65535. Način na koji Cisco radi je da se prvo primjenjuje pravilo s najnižim prioritetom. Ako se ne podudara, primjenjuje se sljedeće pravilo s najnižim prioritetom.

U mom primjeru odabrao sam prioritet 1 jer želim da se ovo pravilo prvo obradi. Ovo će pravilo biti ono koje dopušta IP adresi kojoj želim dati pristup prekidaču. Pod Način upravljanja(Management Method) možete odabrati određenu uslugu ili odabrati sve, što će ograničiti sve. U mom slučaju, izabrao sam sve jer ionako imam omogućene samo SSH i HTTPS i upravljam objema uslugama s jednog računala.(HTTPS)

Imajte na umu da ako želite osigurati samo SSH i HTTPS , morat ćete stvoriti dva zasebna pravila. Radnja može biti samo (Action)Odbijanje(Deny) ili Dopusti(Permit) . Za svoj primjer, izabrao sam Dozvolu(Permit) jer će to biti za dopušteni IP. Zatim(Next) možete primijeniti pravilo na određeno sučelje na uređaju ili ga možete jednostavno ostaviti na Sve(All) tako da se primjenjuje na sve portove.

U odjeljku Primjenjuje se na izvornu IP adresu(Applies to Source IP Address) moramo odabrati Ovdje definirano korisnikom( User Defined) , a zatim odabrati verziju 4(Version 4) , osim ako ne radite u IPv6 okruženju u kojem slučaju biste odabrali verziju 6(Version 6) . Sada upišite IP adresu kojoj će biti dopušten pristup i upišite mrežnu masku koja odgovara svim relevantnim bitovima koje treba pogledati.

Na primjer, budući da je moja IP adresa 192.168.1.233, potrebno je ispitati cijelu IP adresu i stoga mi je potrebna mrežna maska ​​od 255.255.255.255. Ako želim da se pravilo primjenjuje na sve u cijeloj podmreži, koristio bih masku 255.255.255.0. To bi značilo da bi bilo tko s adresom 192.168.1.x bio dopušten. To nije ono što želim učiniti, očito, ali nadamo se da to objašnjava kako koristiti mrežnu masku. Imajte na umu da mrežna maska ​​nije maska ​​podmreže za vašu mrežu. Mrežna maska ​​jednostavno govori koje bi bitove Cisco trebao gledati pri primjeni pravila.

Kliknite Primijeni(Apply) i sada biste trebali imati novi pristupni profil i pravilo! Kliknite(Click) na Pravila profila( Profile Rules) na lijevom izborniku i trebali biste vidjeti novo pravilo navedeno na vrhu.

Sada moramo dodati naše drugo pravilo. Da biste to učinili, kliknite na gumb Dodaj(Add) prikazan ispod Tablice pravila profila(Profile Rule Table) .

Drugo pravilo je stvarno jednostavno. Prvo, provjerite je li naziv Access profila(Access Profile Name) isti onaj koji smo upravo stvorili. Sada samo dajemo pravilu prioritet 2 i odabiremo Odbij(Deny) za radnju(Action) . Provjerite je li sve ostalo postavljeno na Sve(All) . To znači da će sve IP adrese biti blokirane. Međutim, budući da će naše prvo pravilo biti prvo obrađeno, ta će IP adresa biti dopuštena. Nakon što se pravilo podudara, ostala pravila se zanemaruju. Ako IP adresa ne odgovara prvom pravilu, doći će do ovog drugog pravila, gdje će se podudarati i biti blokirana. Lijepo!

Konačno, moramo aktivirati novi pristupni profil. Da biste to učinili, vratite se na Profili pristupa( Access Profiles) i odaberite novi profil s padajućeg popisa na vrhu (pored Active Access Profile ). Obavezno kliknite Primijeni(Apply) i trebali biste krenuti.

Zapamtite(Remember) da je konfiguracija trenutno spremljena samo u konfiguraciji koja radi. Provjerite jeste li otišli na Administracija(Administration)Upravljanje datotekama( File Management)Copy/Save Configuration kako biste kopirali pokrenutu konfiguraciju u konfiguraciju za pokretanje.

Ako prekidaču želite dopustiti pristup više od jedne IP adrese, samo stvorite drugo pravilo poput prvog, ali mu dajte veći prioritet. Također ćete se morati pobrinuti da promijenite prioritet za pravilo zabrane(Deny) tako da ono ima veći prioritet od svih pravila za dopuštenje . (Permit)Ako naiđete na bilo kakve probleme ili ne možete ovo pokrenuti, slobodno opišite u komentarima, a ja ću pokušati pomoći. Uživati!



Nika Vuković

About the author

U poslu je sve u stvaranju vrijednosti za vaše klijente i kupce. Usredotočen sam na pružanje uputa korak po korak koje pomažu mojim čitateljima da izvuku najviše iz svog hardvera i softvera, koristeći Microsoft Office. Moje vještine uključuju instalaciju tipkovnice i upravljačkih programa, kao i podršku za Microsoft Office. Uz svoje dugogodišnje iskustvo u industriji, mogu vam pomoći da pokrijete sve hardverske ili softverske potrebe koje možda imate.


Related posts