A nagyobb biztonság érdekében a Cisco SG300-10^{(Cisco SG300-10)} kapcsolómhoz való hozzáférést csak egy IP-címre akartam korlátozni a helyi alhálózaton. Miután néhány hete konfiguráltam az új kapcsolómat^{(initially configuring my new switch)} , nem voltam boldog, mert tudtam, hogy bárki, aki csatlakozik a LAN -hoz vagy WLAN -hoz, elérheti a bejelentkezési oldalt az eszköz IP-címének ismeretében.

Végül átnéztem az 500 oldalas kézikönyvet, hogy kitaláljam, hogyan blokkolhatom le az összes IP-címet, kivéve azokat, amelyeket a felügyeleti hozzáféréshez akartam. Sok-sok tesztelés és a Cisco -fórumokon írt bejegyzések után rájöttem! Ebben a cikkben végigvezetem a hozzáférési profilok és a Cisco kapcsolóhoz tartozó profilszabályok beállításának lépésein.

Megjegyzés: A következő módszer, amelyet le fogok ismertetni, azt is lehetővé teszi, hogy korlátozza a hozzáférést a switch-en tetszőleges számú engedélyezett szolgáltatáshoz. Például korlátozhatja az SSH-hoz, HTTP-hez, HTTPS-hez, Telnethez vagy ezekhez a szolgáltatásokhoz való hozzáférést IP-cím alapján. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Hozzon létre felügyeleti hozzáférési profilt^{(Create Management Access Profile)} és szabályokat^(Rules)

A kezdéshez jelentkezzen be a kapcsoló webes felületére, és bontsa ki a Security , majd az Mgmt Access Method elemet^{(Mgmt Access Method)} . Menjen tovább, és kattintson a Hozzáférési profilok^{(Access Profiles)} elemre .

Az első dolog, amit tennünk kell, egy új hozzáférési profil létrehozása. Alapértelmezés szerint csak a Csak konzol^{(Console Only)} profilt kell látnia. Azt is észre fogja venni a tetején, hogy az Aktív hozzáférési profil mellett a ^{( Active Access Profile)}Nincs^(None) lehetőség van kiválasztva . Miután létrehoztuk profilunkat és szabályainkat, itt ki kell választanunk a profil nevét az aktiváláshoz.

Most kattintson a Hozzáadás^(Add) gombra, és ennek meg kell jelennie egy párbeszédpanelen, ahol el tudja nevezni az új profilt, és hozzáadhatja az első szabályt az új profilhoz.

Felül adjon nevet új profiljának. Az összes többi mező az új profilhoz hozzáadott első szabályhoz kapcsolódik. A Rule Priority beállításhoz 1 és 65535 közötti értéket kell választania. A Cisco úgy működik, hogy először a legalacsonyabb prioritású szabály kerül alkalmazásra. Ha nem egyezik, akkor a következő, legalacsonyabb prioritású szabály kerül alkalmazásra.

Példámban 1⁽¹⁾ -es prioritást választottam, mert azt szeretném, hogy először ezt a szabályt dolgozzák fel. Ez a szabály lesz az, amely lehetővé teszi, hogy az az IP-cím, amelynek hozzáférést kívánok adni a kapcsolóhoz. A Kezelési mód^{(Management Method)} alatt választhat egy adott szolgáltatást, vagy választhat az összeset, ami mindent korlátoz. Az én esetemben az összeset választottam, mert amúgy is csak az SSH és a HTTPS van engedélyezve, és mindkét szolgáltatást egy számítógépről kezelem.

Vegye figyelembe, hogy ha csak az SSH^(SSH) -t és a HTTPS - t szeretné biztonságossá tenni , akkor két külön szabályt kell létrehoznia. Az Akció^(Action) csak Megtagadás^(Deny) vagy Engedélyezés^(Permit) lehet . Példámban az Engedélyt^(Permit) választottam, mivel ez az engedélyezett IP-re vonatkozik. Ezután^(Next) alkalmazhatja a szabályt az eszköz egy adott interfészére, vagy egyszerűen hagyhatja az Összes^(All) beállításnál, hogy az minden portra vonatkozzon.

Az Applies to Source IP Address (Forrás IP -címre vonatkozik) részben itt kell kiválasztanunk a Felhasználó által meghatározott^{( User Defined)} lehetőséget , majd a 4-es verziót , hacsak nem ^{(Version 4)}IPv6 -os környezetben dolgozik, ebben az esetben a 6-os verziót^{(Version 6)} választja . Most írja be az IP-címet, amelyhez hozzáférhet, és adjon meg egy hálózati maszkot, amely megfelel az összes megtekintendő bitnek.

Például, mivel az IP-címem 192.168.1.233, a teljes IP-címet meg kell vizsgálni, ezért szükségem van egy 255.255.255.255-ös hálózati maszkra. Ha azt szeretném, hogy a szabály mindenkire vonatkozzon a teljes alhálózaton, akkor a 255.255.255.0 maszkot használnám. Ez azt jelentené, hogy bárki, akinek 192.168.1.x címe van, engedélyezve lenne. Nyilvánvalóan nem ezt akarom csinálni, de remélhetőleg ez megmagyarázza a hálózati maszk használatát. Vegye figyelembe, hogy a hálózati maszk nem a hálózat alhálózati maszkja. A hálózati maszk egyszerűen azt mondja meg, hogy a Ciscónak^(Cisco) mely bitekre kell figyelnie a szabály alkalmazásakor.

Kattintson az Alkalmaz^(Apply) gombra , és most már rendelkeznie kell egy új hozzáférési profillal és szabállyal! Kattintson^(Click) a Profilszabályok^{( Profile Rules)} elemre a bal oldali menüben, és látnia kell az új szabályt a tetején.

Most hozzá kell adnunk a második szabályunkat. Ehhez kattintson a Profilszabály táblázat alatt látható ^{(Profile Rule Table)}Hozzáadás^(Add) gombra .

A második szabály nagyon egyszerű. Először is győződjön meg arról, hogy a hozzáférési profil neve^{(Access Profile Name)} megegyezik az imént létrehozott névvel. Most csak adjunk 2 -es prioritást a szabálynak, és válasszuk a művelet ^(Action)elutasítását^(Deny) . Győződjön meg arról, hogy minden más beállítása Mind^(All) értékre van állítva . Ez azt jelenti, hogy az összes IP-cím blokkolva lesz. Mivel azonban az első szabályunk kerül feldolgozásra először, ez az IP-cím engedélyezett. Ha egy szabály megegyezik, a többi szabály figyelmen kívül marad. Ha egy IP-cím nem egyezik az első szabállyal, akkor ehhez a második szabályhoz érkezik, ahol megegyezik, és blokkolva lesz. Szép!

Végül aktiválnunk kell az új hozzáférési profilt. Ehhez lépjen vissza a Hozzáférési profilokhoz^{( Access Profiles)} , és válassza ki az új profilt a tetején található legördülő listából (az Aktív hozzáférési profil^{(Active Access Profile)} mellett ). Győződjön meg róla, hogy kattintson az Alkalmaz^(Apply) gombra , és készen kell állnia.

Ne feledje^(Remember) , hogy a konfiguráció jelenleg csak a futó konfigurációban van elmentve. Győződjön meg arról, hogy az Adminisztráció^{(Administration)} – Fájlkezelés^{( File Management)} – Copy/Save Configuration másolja a futó konfigurációt az indítási konfigurációba.

Ha egynél több IP-címhez szeretne hozzáférést engedélyezni a kapcsolóhoz, csak hozzon létre egy másik szabályt, mint az első, de adjon neki magasabb prioritást. Gondoskodnia kell arról is, hogy módosítsa a Megtagadási^(Deny) szabály prioritását, hogy az magasabb prioritású legyen, mint az összes engedélyezési szabályé^(Permit) . Ha bármilyen problémába ütközik, vagy nem tudja elérni, hogy ez működjön, nyugodtan írja meg a megjegyzésekben, és megpróbálok segíteni. Élvezd!

Restrict Access to Cisco Switch Based on IP Address

For added security, I wanted to restrict access to my Cisco SG300-10 switch to only one IP address in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. 

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Related posts

• Hogyan találja meg WiFi nyomtatója IP-címét Windows és Mac rendszeren

• Az SSH hozzáférés engedélyezése a Cisco SG300 kapcsolókhoz

• Statikus IP-cím beállítása a Windows 11/10 rendszerben

• Hogyan találhatom meg a routerem IP-címét?

• Statikus IP-cím hozzárendelése Windows 11/10 PC-hez

• A Google Hitelesítő áthelyezése új telefonra a hozzáférés elvesztése nélkül

• Névjegy manuális hozzáadása a Windows Live levelezési címjegyzékéhez

• A HDG elmagyarázza: Mi az IP-cím, és valóban nyomon követhet-e engem az ajtómig?

• Hogyan találhat MAC-címet iPhone-on (iOS) és Android-eszközökön

• Hogyan lehet elrejteni IP-címét Androidon

• IP-cím megváltoztatása Windows 10 rendszeren (és miért szeretné)

• Könyvismertető – Útmutató a Windows 8-hoz

• A Raspberry Pi frissítése

• Hogyan alakítsunk át egy dinamikus lemezt alaplemezvé

• Hozzon létre billentyűparancsot a Hardver biztonságos eltávolítása párbeszédpanel eléréséhez

• A Google Chrome Offline (önálló) telepítő letöltése

• Az 5 legjobb IP-címrejtő alkalmazás Android 2022-hez

• A Windows parancssorához való hozzáférés megakadályozása

• Hogyan találja meg nyilvános IP-címét

• IP-címütközés elhárítása