För ökad säkerhet ville jag begränsa åtkomsten till min Cisco SG300-10-switch till endast en IP-adress i mitt lokala delnät. Efter att jag ursprungligen konfigurerat min nya switch några veckor tillbaka var jag inte glad att veta att alla som är anslutna till mitt LAN eller WLAN kunde komma till inloggningssidan genom att bara veta IP-adressen för enheten.
Jag slutade siktning genom 500-sidiga manualen för att räkna ut hur man går till att blockera alla IP-adresser, förutom de som jag ville ha för åtkomst till administrationen. Efter mycket testning och flera inlägg till Cisco-forumen, tänkte jag ut det! I den här artikeln går jag igenom stegen för att konfigurera åtkomstprofiler och profiler för din Cisco-switch.
Obs! Följande metod som jag beskriver beskriver också att du kan begränsa åtkomsten till ett antal aktiverade tjänster på din strömbrytare. Till exempel kan du begränsa åtkomsten till SSH, HTTP, HTTPS, Telnet eller alla dessa tjänster via IP-adress.
Skapa Management Access Profile & Rules
För att komma igång loggar du in i webbgränssnittet för din strömbrytare och utökar Säkerhet och expanderar sedan Mgmt Access Method . Fortsätt och klicka på Access profiler .
Det första vi behöver göra är att skapa en ny åtkomstprofil. Som standard bör du bara se profilen Konsol endast . Du märker också överst att None är markerat bredvid Active Access Profile . När vi har skapat vår profil och regler måste vi välja profilens namn här för att aktivera det.
Klicka nu på Add- knappen och detta ska hämta en dialogruta där du kan namnge din nya profil och lägga till den första regeln för den nya profilen.
Överst, ge din nya profil ett namn. Alla andra fält gäller den första regeln som läggs till i den nya profilen. För regelprioritet måste du välja ett värde mellan 1 och 65535. Hur Cisco fungerar är att regeln med den lägsta prioriteten tillämpas först. Om det inte matchar, tillämpas nästa regel med den lägsta prioriteten.
I mitt exempel valde jag en prioritet på 1 eftersom jag vill att denna regel ska behandlas först. Denna regel kommer att vara den som tillåter den IP-adress som jag vill ge tillgång till strömbrytaren. Under hanteringsmetod kan du antingen välja en viss tjänst eller välja allt, vilket begränsar allt. I mitt fall valde jag allt eftersom jag bara har SSH och HTTPS aktiverad och jag hanterar båda tjänsterna från en dator.
Observera att om du bara vill säkra SSH och HTTPS måste du skapa två separata regler. Åtgärden kan bara nekas eller tillåtas . För mitt exempel valde jag Tillåt eftersom det här kommer att vara för den tillåtna IP-adressen. Därefter kan du tillämpa regeln på ett visst gränssnitt på enheten eller du kan bara lämna det alls så att det gäller alla portar.
Under Applikation till käll-IP-adress måste vi välja Användardefinierad här och välj sedan Version 4, såvida inte du arbetar i en IPv6-miljö, i vilket fall du skulle välja Version 6. Skriv nu i IP-adressen som får åtkomst och typ i en nätverksmask som matchar alla relevanta bitar som ska ses på.
Till exempel, eftersom min IP-adress är 192.168.1.233, måste hela IP-adressen undersökas och därför behöver jag en nätverksmask av 255.255.255.255. Om jag ville att regeln skulle gälla för alla på hela delnätet skulle jag använda en mask på 255.255.255.0. Det skulle innebära att alla med en 192.168.1.x-adress skulle tillåtas. Det är inte vad jag vill göra, självklart, men förhoppningsvis förklarar man hur man använder nätverksmasken. Observera att nätverksmasken inte är subnätmasken för ditt nätverk. Nätverksmasken säger helt enkelt vilka bitar Cisco ska titta på när man tillämpar regeln.
Klicka på Apply och du ska nu ha en ny åtkomstprofil och regel! Klicka på Profilregler i menyn till vänster och du bör se den nya regeln som visas längst upp.
Nu måste vi lägga till vår andra regel. För att göra detta klickar du på knappen Lägg till som visas under profilerabellen .
Den andra regeln är väldigt enkel. För det första, se till att Access Profile Name är samma som vi just skapat. Nu, vi ger bara regeln en prioritet på 2 och väljer Neka åt åtgärden . Se till att allt annat är inställt på Alla . Det innebär att alla IP-adresser blockeras. Men eftersom vår första regel kommer att behandlas först kommer den IP-adressen att tillåtas. När en regel matchas ignoreras de andra reglerna. Om en IP-adress inte överensstämmer med den första regeln kommer den till denna andra regel, där den kommer att matcha och blockeras. Trevlig!
Slutligen måste vi aktivera den nya åtkomstprofilen. För att göra det, gå tillbaka till Åtkomstprofiler och välj den nya profilen från rullgardinsmenyn högst upp (bredvid Aktiv åtkomstprofil ). Se till att klicka på Använd och du borde vara bra att gå.
Kom ihåg att konfigurationen för närvarande bara sparas i körkonfigurationen. Se till att du går till Administration - Filhantering - Kopiera / Spara konfiguration för att kopiera körkonfigurationen till startkonfigurationen.
Om du vill tillåta mer än en IP-adressåtkomst till omkopplaren, skapa bara en annan regel som den första, men ge den högre prioritet. Du måste också se till att du ändrar prioriteten för neka regeln så att den har högre prioritet än alla tillståndsregler . Om du stöter på några problem eller inte kan få det här att fungera, skriv gärna in i kommentarerna och jag försöker hjälpa. Njut av!
