Несколько месяцев назад я приобрел новый 10-портовый управляемый коммутатор Gigabit Ethernet Cisco SG300, и это была одна из лучших инвестиций для моей небольшой домашней сети. Коммутаторы Cisco имеют так много функций и опций, которые вы можете настроить для детального управления вашей сетью. В плане безопасности их продукция выделяется.
С учетом вышесказанного очень интересно, как небезопасный коммутатор Cisco является новым из коробки. Когда вы подключаете его, он либо получает IP-адрес с сервера DHCP, либо назначает себе IP-адрес (обычно 192.168.1.254) и использует cisco для имени пользователя и пароля. Хлоп!
Поскольку в большинстве сетей используется идентификатор сети 192.168.1.x, ваш коммутатор полностью доступен для всех в сети. В этой статье я расскажу о пяти немедленных шагах, которые вы должны предпринять после подключения коммутатора. Это обеспечит безопасность вашего устройства и его правильную настройку.
Примечание. Эта статья предназначена для пользователей домашних или небольших офисов, которые являются новичками в коммутаторах Cisco. Если вы инженер Cisco, вы найдете все это очень упрощенным.
Шаг 1 - Изменить имя пользователя и пароль по умолчанию
Это, очевидно, первый шаг и самый важный. Как только вы войдете в коммутатор, разверните Администрирование и затем нажмите на Учетные записи пользователей .
Первое, что вам нужно сделать, это добавить еще одну учетную запись пользователя, чтобы затем вы могли удалить исходную учетную запись пользователя Cisco. Убедитесь, что вы даете новой учетной записи полный доступ, который является доступом для чтения / записи (15) на языке Cisco. Используйте надежный пароль, а затем выйдите из учетной записи cisco и войдите под своей новой учетной записью. Теперь вы сможете удалить учетную запись по умолчанию.
Также, возможно, стоит включить службу восстановления паролей, на случай, если вы забудете пароль, который вы установили. Вам потребуется консольный доступ к устройству для сброса пароля.
Шаг 2 - Назначьте статический IP-адрес
По умолчанию у коммутатора уже должен быть статический IP-адрес, но если нет, вам следует установить его вручную. Это также будет необходимо, если вы не используете сетевой идентификатор 192.168.1. Для этого разверните Администрирование - Интерфейс управления - Интерфейс IPv4 .
Выберите « Статический» для « Тип IP-адреса» и введите статический IP-адрес. Это также облегчит управление вашим коммутатором. Если вы знаете шлюз по умолчанию для вашей сети, добавьте его также в разделе « Административный шлюз по умолчанию» .
Стоит также отметить, что IP-адрес назначен интерфейсу виртуальной локальной сети, то есть вы можете получить доступ к устройству с помощью IP-адреса независимо от того, какой порт подключен к коммутатору, если эти порты назначены управляющей VLAN, выбранной в верхней части., По умолчанию это VLAN 1, и все порты по умолчанию в VLAN 1.
Шаг 3 - Обновление прошивки
Так как мой дешевый маршрутизатор Netgear может проверять наличие обновлений программного обеспечения в Интернете, автоматически загружать и устанавливать его, вы можете подумать, что необычный коммутатор Cisco может сделать то же самое. Но ты ошибаешься! Вероятно, по соображениям безопасности, почему они этого не делают, но это все равно раздражает.
Чтобы обновить коммутатор Cisco новой микропрограммой, необходимо загрузить его с веб-сайта Cisco, а затем загрузить его на коммутатор. Кроме того, вы должны изменить активный образ на новую версию прошивки. Мне действительно нравится эта функция, так как она обеспечивает небольшую защиту на случай, если что-то пойдет не так.
Чтобы найти новую прошивку, просто введите в Google свою модель коммутатора со словом «прошивка» в конце. Например, в моем случае я просто гуглил прошивку Cisco SG300-10.
Я напишу еще одну статью о том, как обновить микропрограмму для маршрутизатора Cisco, так как есть несколько вещей, о которых вы должны знать, прежде чем сделать это.
Шаг 4 - Настройте безопасный доступ
Следующим шагом, который я рекомендую, является включение только безопасного доступа к вашему коммутатору. Если вы профессионал из командной строки, вам действительно следует полностью отключить веб-интерфейс и включить только SSH-доступ. Однако, если вам нужен интерфейс GUI, вы должны по крайней мере настроить его на использование HTTPS, а не HTTP.
Прочтите мой предыдущий пост о том, как включить SSH-доступ для вашего коммутатора, а затем войдите в систему, используя инструмент, например puTTY. Для еще большей безопасности вы можете включить аутентификацию с открытым ключом с помощью SSH и войти в систему с помощью закрытого ключа. Вы также можете ограничить доступ к интерфейсу управления по IP-адресу, о котором я напишу в следующем посте.
Шаг 5 - Скопируйте Running Config в Startup Config
Последнее, к чему вы хотите привыкнуть при использовании любого устройства Cisco, - это копирование рабочей конфигурации в конфигурацию запуска. По сути, все сделанные вами изменения хранятся только в оперативной памяти, что означает, что при перезагрузке устройства все настройки будут потеряны.
Чтобы окончательно сохранить конфигурацию, вы должны скопировать текущую конфигурацию в конфигурацию запуска, последняя из которых хранится в NVRAM или энергонезависимой памяти. Для этого разверните Администрирование, затем Управление файлами, а затем нажмите Копировать / Сохранить конфигурацию .
Настройки по умолчанию должны быть правильными, поэтому все, что вам нужно сделать, это нажать « Применить» . Опять же, убедитесь, что вы делаете это каждый раз, когда вносите какие-либо изменения в свой переключатель.
Это были некоторые действительно базовые этапы настройки для начальной настройки и защиты вашего коммутатора. Я скоро опубликую более продвинутые учебники по другим аспектам коммутатора. Если у вас есть какие-либо вопросы, не стесняйтесь комментировать. Наслаждайтесь!