Для дополнительной безопасности я хотел ограничить доступ к своему коммутатору Cisco SG300-10 только одним IP-адресом в моей локальной подсети. После первоначальной настройки моего нового коммутатора несколько недель назад я не обрадовался, узнав, что любой, кто подключен к моей локальной или беспроводной локальной сети, может попасть на страницу входа, просто зная IP-адрес устройства.
В итоге я просмотрел руководство на 500 страниц, чтобы выяснить, как блокировать все IP-адреса, кроме тех, которые мне нужны для доступа к управлению. После многих испытаний и нескольких сообщений на форумах Cisco я понял это! В этой статье я расскажу вам, как настроить профили доступа и правила профилей для вашего коммутатора Cisco.
Примечание . Следующий метод, который я собираюсь описать, также позволяет вам ограничить доступ к любому количеству включенных служб на вашем коммутаторе. Например, вы можете ограничить доступ к SSH, HTTP, HTTPS, Telnet или всем этим службам по IP-адресу.
Создать профиль доступа к управлению и правила
Для начала войдите в веб-интерфейс своего коммутатора, разверните Security и затем разверните Mgmt Access Method . Идите дальше и нажмите на Профили доступа .
Первое, что нам нужно сделать, это создать новый профиль доступа. По умолчанию вы должны видеть только профиль Console Only . Кроме того, в верхней части вы увидите, что рядом с профилем Active Access выбран вариант « Ни один» . После того, как мы создали наш профиль и правила, нам нужно выбрать здесь имя профиля, чтобы активировать его.
Теперь нажмите кнопку Добавить, и это должно вызвать диалоговое окно, где вы сможете назвать свой новый профиль, а также добавить первое правило для нового профиля.
Вверху дайте вашему новому профилю имя. Все остальные поля относятся к первому правилу, которое будет добавлено в новый профиль. Для Приоритета правила вы должны выбрать значение от 1 до 65535. Cisco работает так, что правило с наименьшим приоритетом применяется первым. Если он не совпадает, то применяется следующее правило с самым низким приоритетом.
В моем примере я выбрал приоритет 1, потому что я хочу, чтобы это правило обрабатывалось первым. Это правило будет тем, которое разрешает IP-адрес, который я хочу дать доступ к коммутатору. В разделе « Метод управления» вы можете выбрать конкретную услугу или выбрать все, что будет ограничивать все. В моем случае я выбрал все, потому что у меня все равно включены только SSH и HTTPS, и я управляю обеими службами с одного компьютера.
Обратите внимание: если вы хотите защитить только SSH и HTTPS, вам нужно создать два отдельных правила. Действие может быть только Запретить или Разрешить . Для моего примера я выбрал Permit, так как это будет для разрешенного IP. Затем вы можете применить правило к определенному интерфейсу на устройстве или просто оставить его на Все, чтобы оно применялось ко всем портам.
В разделе « Применяется к исходному IP-адресу» мы должны здесь выбрать « Определено пользователем», а затем выбрать « Версия 4», если только вы не работаете в среде IPv6, в этом случае вы выбрали бы версию 6. Теперь введите IP-адрес, для которого будет разрешен доступ, и введите в маске сети, которая соответствует всем соответствующим битам, которые нужно посмотреть.
Например, так как мой IP-адрес - 192.168.1.233, необходимо проверить весь IP-адрес, и, следовательно, мне нужна маска сети 255.255.255.255. Если бы я хотел, чтобы правило применялось ко всем во всей подсети, я бы использовал маску 255.255.255.0. Это будет означать, что любой с адресом 192.168.1.x будет разрешен. Это не то, что я хочу сделать, очевидно, но, надеюсь, это объясняет, как использовать маску сети. Обратите внимание, что маска сети не является маской подсети для вашей сети. Маска сети просто говорит, на какие биты Cisco должна обращать внимание при применении правила.
Нажмите Применить, и теперь у вас должен быть новый профиль доступа и правило! Нажмите на Правила профиля в левом меню, и вы должны увидеть новое правило, перечисленное в верхней части.
Теперь нам нужно добавить наше второе правило. Для этого нажмите кнопку « Добавить», показанную под таблицей правил профиля .
Второе правило действительно простое. Во-первых, убедитесь, что имя профиля доступа совпадает с тем, которое мы только что создали. Теперь мы просто даем правилу приоритет 2 и выбираем « Запретить действие» . Убедитесь, что все остальное установлено на Все . Это означает, что все IP-адреса будут заблокированы. Однако, поскольку наше первое правило будет обработано первым, этот IP-адрес будет разрешен. Как только правило соответствует, другие правила игнорируются. Если IP-адрес не соответствует первому правилу, он перейдет ко второму правилу, где он будет совпадать и будет заблокирован. Ницца!
Наконец, мы должны активировать новый профиль доступа. Для этого вернитесь в Профили доступа и выберите новый профиль в раскрывающемся списке вверху (рядом с Профилем активного доступа ). Убедитесь, что нажали кнопку « Применить», и все будет хорошо.
Помните, что конфигурация в настоящее время сохраняется только в текущей конфигурации. Убедитесь, что вы идете в Администрирование - Управление файлами - Копировать / Сохранить конфигурацию, чтобы скопировать текущую конфигурацию в конфигурацию запуска.
Если вы хотите разрешить нескольким IP-адресам доступ к коммутатору, просто создайте другое правило, подобное первому, но дайте ему более высокий приоритет. Вам также необходимо убедиться, что вы изменили приоритет правила Deny, чтобы он имел более высокий приоритет, чем все правила Permit . Если у вас возникнут какие-либо проблемы или вы не сможете заставить их работать, не стесняйтесь оставлять в комментариях, и я постараюсь помочь. Наслаждайтесь!
