Begræns adgang til Cisco Switch baseret på IP-adresse

For at øge sikkerheden ønskede jeg at begrænse adgangen til min Cisco SG300-10- switch til kun én IP-adresse i mit lokale undernet. Efter at have konfigureret min nye switch for(initially configuring my new switch) et par uger siden, var jeg ikke glad for at vide, at enhver, der var tilsluttet mit LAN eller WLAN , kunne komme til login-siden ved blot at kende enhedens IP-adresse.

Jeg endte med at gennemsøge den 500 sider lange manual for at finde ud af, hvordan man blokerer alle IP-adresser undtagen dem, som jeg ønskede til administrationsadgang. Efter en masse test og adskillige indlæg til Cisco - foraene fandt jeg ud af det! I denne artikel vil jeg lede dig gennem trinene til at konfigurere adgangsprofiler og profilregler for din Cisco- switch.

Bemærk: Den følgende metode, jeg vil beskrive, giver dig også mulighed for at begrænse adgangen til et hvilket som helst antal aktiverede tjenester på din switch. For eksempel kan du begrænse adgangen til SSH, HTTP, HTTPS, Telnet eller alle disse tjenester efter IP-adresse. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

Opret ledelsesadgangsprofil(Create Management Access Profile) og regler(Rules)

For at komme i gang skal du logge ind på webgrænsefladen til din switch og udvide Sikkerhed(Security) og derefter udvide Mgmt Access Method . Gå videre og klik på Adgang til profiler(Access Profiles) .

Det første, vi skal gøre, er at oprette en ny adgangsprofil. Som standard bør du kun se profilen Kun konsol . (Console Only)Du vil også bemærke øverst, at Ingen(None) er valgt ud for Aktiv adgangsprofil( Active Access Profile) . Når vi har oprettet vores profil og regler, skal vi vælge navnet på profilen her for at aktivere den.

Klik nu på knappen Tilføj(Add) , og dette skulle vise en dialogboks, hvor du vil være i stand til at navngive din nye profil og også tilføje den første regel for den nye profil.

Giv din nye profil et navn øverst. Alle de andre felter vedrører den første regel, der vil blive tilføjet til den nye profil. For Regelprioritet( Rule Priority) skal du vælge en værdi mellem 1 og 65535. Den måde Cisco fungerer på er, at reglen med den laveste prioritet anvendes først. Hvis det ikke stemmer overens, anvendes den næste regel med den laveste prioritet.

I mit eksempel valgte jeg en prioritet på 1 , fordi jeg ønsker, at denne regel skal behandles først. Denne regel vil være den, der tillader den IP-adresse, som jeg vil give adgang til switchen. Under Management Method , kan du enten vælge en specifik service eller vælge alle, hvilket vil begrænse alt. I mit tilfælde valgte jeg alt, fordi jeg alligevel kun har SSH og HTTPS aktiveret, og jeg administrerer begge tjenester fra én computer.

Bemærk, at hvis du kun vil sikre SSH og HTTPS , skal du oprette to separate regler. Handlingen kan kun være (Deny)Afvis(Action) eller Tillad(Permit) . For mit eksempel valgte jeg Tilladelse(Permit) , da dette vil være for den tilladte IP. Dernæst(Next) kan du anvende reglen til en specifik grænseflade på enheden, eller du kan bare lade den blive stående(All) , så den gælder for alle porte.

Under Gælder for kilde-IP-adresse(Applies to Source IP Address) skal vi vælge Brugerdefineret( User Defined) her og derefter vælge Version 4 , medmindre du arbejder i et IPv6 - miljø, i hvilket tilfælde du ville vælge Version 6 . Indtast nu den IP-adresse, der vil få adgang, og indtast en netværksmaske, der matcher alle de relevante bits, der skal ses på.

For eksempel, da min IP-adresse er 192.168.1.233, skal hele IP-adressen undersøges, og jeg har derfor brug for en netværksmaske på 255.255.255.255. Hvis jeg ønskede, at reglen skulle gælde for alle på hele undernettet, ville jeg bruge en maske på 255.255.255.0. Det ville betyde, at alle med en 192.168.1.x-adresse ville være tilladt. Det er selvfølgelig ikke det, jeg vil gøre, men det forklarer forhåbentlig, hvordan man bruger netværksmasken. Bemærk, at netværksmasken ikke er undernetmasken for dit netværk. Netværksmasken siger blot, hvilke bits Cisco skal se på, når reglen anvendes.

Klik på Anvend(Apply) , og du skulle nu have en ny adgangsprofil og regel! Klik(Click)Profilregler( Profile Rules) i menuen til venstre, og du skulle se den nye regel øverst.

Nu skal vi tilføje vores anden regel. For at gøre dette skal du klikke på knappen Tilføj(Add) under profilregeltabellen(Profile Rule Table) .

Den anden regel er virkelig enkel. For det første skal du sørge for, at adgangsprofilnavnet(Access Profile Name) er det samme, som vi lige har oprettet. Nu giver vi bare reglen en prioritet på 2 og vælger Afvis(Deny) for handlingen(Action) . Sørg for, at alt andet er indstillet til Alle(All) . Det betyder, at alle IP-adresser vil blive blokeret. Men da vores første regel vil blive behandlet først, vil denne IP-adresse være tilladt. Når en regel er matchet, ignoreres de andre regler. Hvis en IP-adresse ikke matcher den første regel, kommer den til denne anden regel, hvor den matcher og bliver blokeret. Pæn!

Til sidst skal vi aktivere den nye adgangsprofil. For at gøre det skal du gå tilbage til Adgangsprofiler( Access Profiles) og vælge den nye profil fra rullelisten øverst (ved siden af ​​Active Access Profile ). Sørg for at klikke på Anvend(Apply) , og du burde være godt i gang.

Husk(Remember) at konfigurationen i øjeblikket kun er gemt i den kørende konfiguration. Sørg for at gå til AdministrationFilhåndtering( File Management)Copy/Save Configuration for at kopiere den kørende konfiguration til startkonfigurationen.

Hvis du vil tillade mere end én IP-adresse adgang til switchen, skal du bare oprette en anden regel som den første, men give den en højere prioritet. Du skal også sørge for, at du ændrer prioritet for Afvisningsreglen(Deny) , så den har en højere prioritet end alle Tilladelsesreglerne(Permit) . Hvis du støder på problemer eller ikke kan få dette til at virke, er du velkommen til at skrive i kommentarerne, så skal jeg prøve at hjælpe. God fornøjelse!



Jette Johansson

About the author

I erhvervslivet handler det om at skabe værdi for dine kunder og kunder. Jeg fokuserer på at give trin-for-trin instruktioner, der hjælper mine læsere med at få mest muligt ud af deres hardware og software ved hjælp af Microsoft Office. Mine færdigheder omfatter installation af tastatur og drivere, samt Microsoft Office-support. Med min mange års erfaring i branchen kan jeg hjælpe dig med at dække ethvert hardware- eller softwarebehov, du måtte have.


Related posts