Pre zvýšenú bezpečnosť som chcel obmedziť prístup k môjmu prepínaču Cisco SG300-10 len na jednu IP adresu v mojom lokálnom podsiete. Po začiatočnej konfigurácii môjho nového prepínača niekoľko týždňov späť, nebol som šťastný vedel, že ktokoľvek pripojený k mojej LAN alebo WLAN by sa mohol dostať na prihlasovacej stránke tým, že len poznal IP adresu pre zariadenie.
Nakoniec som prešiel cez 500-stranovú príručku, aby som zistil, ako zablokovať všetky adresy IP s výnimkou tých, ktoré som chcel pre prístup manažmentu. Po mnohých testoch a niekoľkých príspevkoch na fórach Cisco som to pochopil! V tomto článku vás budem prechádzať krokmi konfigurácie prístupových profilov a pravidiel profilov vášho prepínača Cisco.
Poznámka : Nasledujúca metóda, ktorú chcem popísať, vám umožňuje obmedziť prístup k akémukoľvek počtu aktivovaných služieb na prepínači. Napríklad môžete obmedziť prístup na SSH, HTTP, HTTPS, Telnet alebo na všetky tieto služby pomocou IP adresy.
Vytvorte profil a pravidlá prístupu k riadeniu
Ak chcete začať, prihláste sa do webového rozhrania prepínača a rozbaľte položku Security a potom rozbaľte metódu prístupu Mgmt . Pokračujte a kliknite na položku Prístupové profily .
Prvá vec, ktorú musíme urobiť, je vytvoriť nový profil prístupu. V predvolenom nastavení by sa mal zobraziť iba profil Console Only . Tiež si všimnete, že na začiatku nie je zaškrtnuté Žiadne vedľa profilu aktívneho prístupu . Po vytvorení nášho profilu a pravidiel budeme tu musieť vybrať meno profilu, aby sme ho aktivovali.
Teraz kliknite na tlačidlo Pridať a toto by malo priniesť dialógové okno, kde budete môcť pomenovať nový profil a tiež pridať prvé pravidlo pre nový profil.
V hornej časti uveďte názov nového profilu. Všetky ostatné polia sa týkajú prvého pravidla, ktoré sa pridá do nového profilu. Pre Prioritu pravidla musíte vybrať hodnotu od 1 do 65535. Spôsob, akým Cisco funguje, je, že najprv platí pravidlo s najnižšou prioritou. Ak sa nezhoduje, použije sa nasledujúce pravidlo s najnižšou prioritou.
V mojom príklade som si zvolil prioritu 1, pretože chcem, aby sa toto pravidlo najprv spracovalo. Toto pravidlo bude pravidlo, ktoré umožňuje adresu IP, ktorú chcem umožniť prístup k prepínaču. V časti Správa metód môžete vybrať konkrétnu službu alebo vybrať všetko, čo obmedzí všetko. V mojom prípade som si vybral všetko, pretože mám aj naďalej povolené SSH a HTTPS a spravujem obe služby z jedného počítača.
Ak chcete zabezpečiť iba protokoly SSH a HTTPS, musíte vytvoriť dve samostatné pravidlá. Akcia môže byť iba odmietnutie alebo povolenie . Pre môj príklad som si vybral povolenie, pretože to bude pre povolenú IP. Ďalej môžete pravidlo použiť na konkrétne rozhranie v zariadení alebo ho môžete jednoducho nechať na All tak, aby sa vzťahovalo na všetky porty.
V časti Požiadavky na adresu IP zdroja musíme vybrať položku Definovaný používateľom a potom zvoliť verziu 4, pokiaľ nepracujete v prostredí protokolu IPv6, v takom prípade by ste si vybrali verziu 6. Teraz napíšte adresu IP, ktorá bude mať povolený prístup a typ v sieťovej maske, ktorá zodpovedá všetkým relevantným bitom, ktoré sa majú pozrieť.
Napríklad, pretože moja IP adresa je 192.168.1.233, je potrebné preskúmať celú IP adresu, a preto potrebujem sieťovú masku 255.255.255.255. Ak by som chcel, aby sa pravidlo vzťahovalo na všetkých v celej podsieti, potom by som použil masku 255.255.255.0. To by znamenalo, že ktokoľvek s adresou 192.168.1.x by bol povolený. To nie je to, čo chcem robiť, samozrejme, ale dúfajme, že to vysvetľuje, ako používať sieťovú masku. Všimnite si, že sieťová maska nie je maskou podsiete pre vašu sieť. Sieťová maska jednoducho hovorí, na ktoré bity sa má Cisco pri uplatňovaní pravidla pozerať.
Kliknite na tlačidlo Použiť a mali by ste mať nový prístupový profil a pravidlo! V ľavej ponuke kliknite na položku Pravidlá profilu a mali by ste vidieť nové pravidlo uvedené hore.
Teraz musíme pridať naše druhé pravidlo. Ak to chcete urobiť, kliknite na tlačidlo Pridať, ktoré je uvedené v tabuľke pravidiel profilu .
Druhé pravidlo je naozaj jednoduché. Najprv sa uistite, že názov prístupového profilu je ten istý, ktorý sme práve vytvorili. Teraz dávame pravidlo prioritu 2 a vyberieme možnosť Zakázať akciu . Uistite sa, že všetko ostatné je nastavené na možnosť Všetko . To znamená, že všetky adresy IP budú zablokované. Keďže prvé pravidlo bude spracované ako prvé, táto IP adresa bude povolená. Po splnení pravidla sa ostatné pravidlá ignorujú. Ak sa adresa IP nezhoduje s prvým pravidlom, príde k tomuto druhému pravidlu, kde sa bude zhodovať a bude zablokované. Pekný!
Nakoniec musíme aktivovať nový profil prístupu. Ak to chcete urobiť, vráťte sa do profilov programu Access a z rozbaľovacieho zoznamu v hornej časti (vedľa profilu aktívneho prístupu ) vyberte nový profil. Nezabudnite kliknúť na tlačidlo Použiť a mali by ste byť dobre.
Nezabudnite, že konfigurácia je v súčasnosti uložená iba v bežiacej konfigurácii. Uistite sa, že prejdete do časti Správa - Správa súborov - Kopírovať / Uložiť konfiguráciu, aby ste skopírovali konfiguráciu spustenia do konfiguračného štartu.
Ak chcete povoliť prístup k prepínačom viacerých IP adries, stačí vytvoriť ďalšie pravidlo ako prvé, ale dať mu vyššiu prioritu. Budete tiež musieť zabezpečiť, aby ste zmenili prioritu pravidla Deny tak, aby mala vyššiu prioritu ako všetky pravidlá povolenia . Ak narazíte na nejaké problémy alebo nemôžete dostať to do práce, neváhajte a postaňte sa do komentárov a pokúsim sa pomôcť. Užite si to!