Aby zwiększyć bezpieczeństwo, chciałem ograniczyć dostęp do mojego przełącznika Cisco SG300-10 tylko do jednego adresu IP w mojej lokalnej podsieci. Po wstępnej konfiguracji mojego nowego przełącznika^{(initially configuring my new switch)} kilka tygodni wstecz, nie byłem zadowolony, wiedząc, że ktokolwiek podłączony do mojej sieci LAN^(LAN) lub WLAN może uzyskać dostęp do strony logowania po prostu znając adres IP urządzenia.

Skończyło się na tym, że przejrzałem 500-stronicową instrukcję, aby dowiedzieć się, jak zablokować wszystkie adresy IP z wyjątkiem tych, które chciałem uzyskać w celu uzyskania dostępu do zarządzania. Po wielu testach i kilku postach na forach Cisco zrozumiałem! W tym artykule przeprowadzę Cię przez kolejne etapy konfigurowania profili dostępu i reguł profili dla przełącznika Cisco .

Uwaga: Poniższa metoda, którą zamierzam opisać, pozwala również ograniczyć dostęp do dowolnej liczby usług włączonych na przełączniku. Na przykład możesz ograniczyć dostęp do SSH, HTTP, HTTPS, Telnet lub wszystkich tych usług według adresu IP. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Utwórz profil^{(Create Management Access Profile)} i zasady dostępu do zarządzania^(Rules)

Aby rozpocząć, zaloguj się do interfejsu internetowego swojego przełącznika i rozwiń Security , a następnie rozwiń Mgmt Access Method . Śmiało i kliknij Profile dostępu^{(Access Profiles)} .

Pierwszą rzeczą, którą musimy zrobić, to utworzyć nowy profil dostępu. Domyślnie powinieneś widzieć tylko profil Tylko konsola . ^{(Console Only)}Zauważysz też, że u góry obok Active Access Profile jest wybrana opcja ^{( Active Access Profile)}Brak^(None) . Po utworzeniu naszego profilu i reguł, będziemy musieli wybrać nazwę profilu tutaj, aby go aktywować.

Teraz kliknij przycisk Dodaj^(Add) , co powinno otworzyć okno dialogowe, w którym będziesz mógł nazwać swój nowy profil, a także dodać pierwszą regułę dla nowego profilu.

U góry nadaj nazwę swojemu nowemu profilowi. Wszystkie pozostałe pola odnoszą się do pierwszej reguły, która zostanie dodana do nowego profilu. W przypadku opcji Rule Priority^{( Rule Priority)} należy wybrać wartość z zakresu od 1 do 65535. Sposób działania firmy Cisco^(Cisco) polega na tym, że reguła o najniższym priorytecie jest stosowana jako pierwsza. Jeśli nie pasuje, stosowana jest następna reguła o najniższym priorytecie.

W moim przykładzie wybrałem priorytet 1 , ponieważ chcę, aby ta reguła została przetworzona jako pierwsza. Ta reguła będzie zezwalać adresowi IP, który chcę dać dostęp do przełącznika. W metodzie zarządzania^{(Management Method)} możesz wybrać konkretną usługę lub wybrać wszystkie, co ograniczy wszystko. W moim przypadku wybrałem wszystkie, ponieważ i tak mam włączone tylko SSH i HTTPS i zarządzam obydwoma usługami z jednego komputera.

Pamiętaj, że jeśli chcesz zabezpieczyć tylko SSH i HTTPS , musisz utworzyć dwie osobne reguły. Akcją może być tylko ^(Action)Odmowa^(Deny) lub Zezwolenie^(Permit) . W moim przykładzie wybrałem Zezwolenie^(Permit) , ponieważ będzie to dotyczyło dozwolonego adresu IP. Następnie^(Next) możesz zastosować regułę do określonego interfejsu na urządzeniu lub po prostu pozostawić ją na Wszystkie^(All) , aby miała zastosowanie do wszystkich portów.

W sekcji Dotyczy źródłowych adresów IP^{(Applies to Source IP Address)} , musimy wybrać tutaj Zdefiniowany przez użytkownika^{( User Defined)} , a następnie wybrać Wersję 4^{(Version 4)} , chyba że pracujesz w środowisku IPv6 , w którym to przypadku wybierzesz Wersję 6^{(Version 6)} . Teraz wpisz adres IP, który będzie miał dostęp, i wpisz maskę sieci, która pasuje do wszystkich odpowiednich bitów, które mają być oglądane.

Na przykład, ponieważ mój adres IP to 192.168.1.233, cały adres IP musi zostać zbadany i dlatego potrzebuję maski sieci 255.255.255.255. Gdybym chciał, aby reguła dotyczyła wszystkich w całej podsieci, użyłbym maski 255.255.255.0. Oznaczałoby to, że każdy z adresem 192.168.1.x byłby dozwolony. Oczywiście nie to chcę robić, ale mam nadzieję, że wyjaśnia to, jak używać maski sieci. Zauważ, że maska ​​sieci nie jest maską podsieci dla Twojej sieci. Maska sieci mówi po prostu, na które bity powinien zwracać się Cisco podczas stosowania reguły.

Kliknij Zastosuj^(Apply) , a teraz powinieneś mieć nowy profil dostępu i regułę! Kliknij ^(Click)Zasady profilu^{( Profile Rules)} w menu po lewej stronie i powinieneś zobaczyć nową regułę wymienioną na górze.

Teraz musimy dodać naszą drugą regułę. Aby to zrobić, kliknij przycisk Dodaj^(Add) widoczny pod Tabelą reguł profilu^{(Profile Rule Table)} .

Druga zasada jest naprawdę prosta. Po pierwsze, upewnij się, że nazwa profilu dostępu^{(Access Profile Name)} jest taka sama, jaką właśnie utworzyliśmy. Teraz po prostu nadajemy regule priorytet 2 i wybieramy Deny dla akcji^(Action) . Upewnij się, że wszystko inne jest ustawione na Wszystkie^(All) . Oznacza to, że wszystkie adresy IP zostaną zablokowane. Ponieważ jednak nasza pierwsza reguła zostanie przetworzona jako pierwsza, ten adres IP będzie dozwolony. Po dopasowaniu reguły pozostałe reguły są ignorowane. Jeśli adres IP nie pasuje do pierwszej reguły, dojdzie do drugiej reguły, gdzie zostanie dopasowany i zablokowany. Ładny!

Na koniec musimy aktywować nowy profil dostępu. Aby to zrobić, wróć do Profili dostępu^{( Access Profiles)} i wybierz nowy profil z listy rozwijanej u góry (obok Profilu aktywnego dostępu^{(Active Access Profile)} ). Pamiętaj, aby kliknąć Zastosuj^(Apply) i powinieneś być gotowy.

Pamiętaj^(Remember) , że konfiguracja jest obecnie zapisywana tylko w bieżącej konfiguracji. Upewnij się, że przechodzisz do Administracja^{(Administration)} – Zarządzanie plikami^{( File Management)} – Copy/Save Configuration , aby skopiować bieżącą konfigurację do konfiguracji startowej.

Jeśli chcesz zezwolić więcej niż jednemu adresowi IP na dostęp do przełącznika, po prostu utwórz kolejną regułę, taką jak pierwsza, ale nadaj jej wyższy priorytet. Musisz także upewnić się, że zmieniłeś priorytet reguły Odmów^(Deny) , aby miała ona wyższy priorytet niż wszystkie reguły Zezwól . ^(Permit)Jeśli napotkasz jakiekolwiek problemy lub nie możesz tego uruchomić, możesz publikować w komentarzach, a postaram się pomóc. Cieszyć się!

Restrict Access to Cisco Switch Based on IP Address

Fоr added security, I wanted to restrict access to my Cisco SG300-10 switch to onlу one IР addrеss in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. 

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Related posts

• Jak znaleźć adres IP drukarki WiFi w systemie Windows i Mac?

• Jak włączyć dostęp SSH dla przełączników Cisco SG300

• Jak ustawić statyczny adres IP w Windows 11/10?

• Jak znaleźć adres IP mojego routera?

• Jak przypisać statyczny adres IP do komputera z systemem Windows 11/10?

• Jak zmienić adres IP w systemie Windows 10 (i dlaczego chcesz)

• Recenzja książki — przewodnik po systemie Windows 8 „Jak to zrobić”

• Jak ustawić adres domowy w Mapach Google

• Jak ukryć swój adres IP na Androidzie?

• Jak ładować kontrolery Nintendo Switch

• Jak uzyskać dostęp i zmienić ustawienia routera Wi-Fi?

• Jak robić zrzuty ekranu na Nintendo Switch

• HDG wyjaśnia: Co to jest adres IP i czy naprawdę może namierzyć mnie do moich drzwi?

• Jak naprawić konflikt adresów IP?

• Jak znaleźć adres MAC na urządzeniach iPhone (iOS) i Android

• Jak otworzyć zablokowany plik, gdy używa go inny program?

• Blokuj dostęp do wiersza poleceń w systemie Windows

• Jak zaktualizować Raspberry Pi

• Jak naprawić błąd „Nie udało się uzyskać adresu IP” na Androidzie?

• Jak śledzić oryginalną lokalizację wiadomości e-mail za pomocą jej adresu IP?