Συνιστάται, 2024

Επιλογή Συντάκτη

Περιορίστε την πρόσβαση στο Cisco Switch με βάση τη διεύθυνση IP

Για πρόσθετη ασφάλεια, θέλησα να περιορίσω την πρόσβαση στον διακόπτη Cisco SG300-10 μου σε μία μόνο διεύθυνση IP στο τοπικό υποδίκτυο. Μετά την αρχική διαμόρφωση του νέου μου διακόπτη μερικές εβδομάδες πίσω, δεν ήμουν ευτυχής γνωρίζοντας ότι οποιοσδήποτε συνδεόταν με το LAN ή το WLAN μου θα μπορούσε να φτάσει στη σελίδα σύνδεσης μόλις γνώριζε τη διεύθυνση IP της συσκευής.

Καταλήξαμε να εξετάζουμε το εγχειρίδιο των 500 σελίδων για να καταλάβουμε πώς μπορούμε να μπλοκάρουμε όλες τις διευθύνσεις IP εκτός από αυτές που ήθελα για πρόσβαση διαχείρισης. Μετά από πολλές δοκιμές και πολλές δημοσιεύσεις στα φόρουμ της Cisco, το κατάλαβα! Σε αυτό το άρθρο, θα σας καθοδηγήσω στα βήματα για να ρυθμίσετε τα προφίλ προφίλ πρόσβασης και τους κανόνες προφίλ για το διακόπτη Cisco.

Σημείωση : Η παρακάτω μέθοδος που θα περιγράψω επίσης σας επιτρέπει να περιορίσετε την πρόσβαση σε οποιονδήποτε αριθμό ενεργοποιημένων υπηρεσιών στον διακόπτη σας. Για παράδειγμα, μπορείτε να περιορίσετε την πρόσβαση σε SSH, HTTP, HTTPS, Telnet ή σε όλες αυτές τις υπηρεσίες μέσω διεύθυνσης IP.

Δημιουργία προφίλ και κανόνες κανόνων διαχείρισης

Για να ξεκινήσετε, συνδεθείτε στην διεπαφή ιστού για τον διακόπτη σας και αναπτύξτε την επιλογή Ασφάλεια και έπειτα επεκτείνετε τη μέθοδο πρόσβασης Mgmt . Συνεχίστε και κάντε κλικ στα Προφίλ πρόσβασης .

Το πρώτο πράγμα που πρέπει να κάνουμε είναι να δημιουργήσουμε ένα νέο προφίλ πρόσβασης. Από προεπιλογή, θα πρέπει να βλέπετε μόνο το προφίλ " Κονσόλα μόνο" . Επίσης, θα δείτε στην κορυφή ότι δεν έχει επιλεγεί Κανένα δίπλα στο Προφίλ ενεργού πρόσβασης . Μόλις δημιουργήσουμε το προφίλ και τους κανόνες μας, θα πρέπει να επιλέξετε εδώ το όνομα του προφίλ για να το ενεργοποιήσετε.

Τώρα κάντε κλικ στο κουμπί Προσθήκη και θα εμφανιστεί ένα παράθυρο διαλόγου στο οποίο θα μπορείτε να ονομάσετε το νέο προφίλ σας και επίσης να προσθέσετε τον πρώτο κανόνα για το νέο προφίλ.

Στην κορυφή, δώστε στο νέο σας προφίλ ένα όνομα. Όλα τα άλλα πεδία σχετίζονται με τον πρώτο κανόνα που θα προστεθεί στο νέο προφίλ. Για την Προτεραιότητα του Κανόνου, πρέπει να επιλέξετε μια τιμή μεταξύ 1 και 65535. Ο τρόπος λειτουργίας της Cisco είναι ότι εφαρμόζεται ο κανόνας με τη χαμηλότερη προτεραιότητα πρώτα. Εάν δεν ταιριάζει, τότε εφαρμόζεται ο επόμενος κανόνας με τη χαμηλότερη προτεραιότητα.

Στο παράδειγμά μου, επέλεξα μια προτεραιότητα 1 επειδή θέλω πρώτα να επεξεργαστεί αυτόν τον κανόνα. Αυτός ο κανόνας θα είναι αυτός που επιτρέπει τη διεύθυνση IP που θέλω να δώσω πρόσβαση στον διακόπτη. Κάτω από τη μέθοδο διαχείρισης, μπορείτε είτε να επιλέξετε μια συγκεκριμένη υπηρεσία είτε να επιλέξετε όλα, τα οποία θα περιορίσουν τα πάντα. Στην περίπτωσή μου, επέλεξα όλα επειδή έχω ενεργοποιήσει μόνο SSH και HTTPS και διαχειρίζομαι και τις δύο υπηρεσίες από έναν υπολογιστή.

Σημειώστε ότι αν θέλετε να εξασφαλίσετε μόνο SSH και HTTPS, τότε θα πρέπει να δημιουργήσετε δύο ξεχωριστούς κανόνες. Η Δράση μπορεί να αρνείται ή να επιτρέπεται μόνο . Για παράδειγμα, επέλεξα Άδεια, δεδομένου ότι αυτό θα είναι για το επιτρεπόμενο IP. Στη συνέχεια, μπορείτε να εφαρμόσετε τον κανόνα σε μια συγκεκριμένη διεπαφή της συσκευής ή απλά να την αφήσετε στο All έτσι ώστε να ισχύει για όλες τις θύρες.

Στην ενότητα Ισχύει για τη διεύθυνση IP προέλευσης, πρέπει να επιλέξετε εδώ καθορισμένο χρήστη και στη συνέχεια να επιλέξετε την έκδοση 4, εκτός εάν εργάζεστε σε ένα περιβάλλον IPv6, οπότε θα επιλέξετε την έκδοση 6. Τώρα πληκτρολογήστε τη διεύθυνση IP που θα επιτρέπεται η πρόσβαση και ο τύπος σε μια μάσκα δικτύου που ταιριάζει με όλα τα σχετικά bits που πρέπει να εξεταστούν.

Για παράδειγμα, επειδή η διεύθυνση IP μου είναι 192.168.1.233, πρέπει να εξεταστεί ολόκληρη η διεύθυνση IP και επομένως χρειάζομαι μια μάσκα δικτύου 255.255.255.255. Εάν ήθελα να ισχύει ο κανόνας σε όλους σε ολόκληρο το δευτερεύον δίκτυο, τότε θα χρησιμοποιούσα μια μάσκα 255.255.255.0. Αυτό θα σήμαινε ότι οποιοσδήποτε με διεύθυνση 192.168.1.x θα επιτρεπόταν. Αυτό δεν θέλω να κάνω, προφανώς, αλλά ελπίζω ότι εξηγεί πώς να χρησιμοποιήσετε τη μάσκα δικτύου. Σημειώστε ότι η μάσκα δικτύου δεν είναι η μάσκα υποδικτύου για το δίκτυό σας. Η μάσκα δικτύου λέει απλά ποια κομμάτια πρέπει να εξετάσει η Cisco κατά την εφαρμογή του κανόνα.

Κάντε κλικ στην επιλογή Εφαρμογή και τώρα θα πρέπει να έχετε ένα νέο προφίλ πρόσβασης και κανόνα! Κάντε κλικ στους κανόνες προφίλ στο αριστερό μενού και θα δείτε τον νέο κανόνα που αναφέρεται στην κορυφή.

Τώρα πρέπει να προσθέσουμε τον δεύτερο κανόνα μας. Για να το κάνετε αυτό, κάντε κλικ στο κουμπί Προσθήκη που εμφανίζεται στον Πίνακα κανόνων προφίλ .

Ο δεύτερος κανόνας είναι πραγματικά απλός. Πρώτον, βεβαιωθείτε ότι το όνομα προφίλ πρόσβασης είναι το ίδιο που μόλις δημιουργήσαμε. Τώρα, δίνουμε στον κανόνα μια προτεραιότητα 2 και επιλέγουμε Άρνηση για τη Δράση . Βεβαιωθείτε ότι οτιδήποτε άλλο έχει οριστεί σε Όλα . Αυτό σημαίνει ότι όλες οι διευθύνσεις IP θα αποκλειστούν. Ωστόσο, δεδομένου ότι ο πρώτος κανόνας θα επεξεργαστεί πρώτα, αυτή η διεύθυνση IP θα επιτρέπεται. Μόλις συμφωνηθεί ένας κανόνας, οι άλλοι κανόνες αγνοούνται. Εάν μια διεύθυνση IP δεν ταιριάζει με τον πρώτο κανόνα, θα έρθει σε αυτόν τον δεύτερο κανόνα, όπου θα ταιριάζει και θα μπλοκάρεται. Ομορφη!

Τέλος, πρέπει να ενεργοποιήσουμε το νέο προφίλ πρόσβασης. Για να το κάνετε αυτό, μεταβείτε στα Προφίλ πρόσβασης και επιλέξτε το νέο προφίλ από την αναπτυσσόμενη λίστα στην κορυφή (δίπλα στο Προφίλ ενεργού πρόσβασης ). Βεβαιωθείτε ότι έχετε κάνει κλικ στο κουμπί Εφαρμογή και θα πρέπει να είστε καλός.

Θυμηθείτε ότι η διαμόρφωση αυτή τη στιγμή αποθηκεύεται μόνο στον τρέχοντα config. Βεβαιωθείτε ότι έχετε μεταβεί στη Διαχείριση - Διαχείριση αρχείων - Αντιγραφή / Αποθήκευση διαμόρφωσης για να αντιγράψετε τον τρέχοντα config στο config startup.

Εάν θέλετε να επιτρέψετε περισσότερες από μία διευθύνσεις IP να έχουν πρόσβαση στον διακόπτη, απλώς δημιουργήστε έναν άλλο κανόνα όπως ο πρώτος, αλλά δώστε την υψηλότερη προτεραιότητα. Θα πρέπει επίσης να βεβαιωθείτε ότι αλλάζετε την προτεραιότητα του κανόνα Deny, ώστε να έχει υψηλότερη προτεραιότητα από όλους τους κανόνες της άδειας . Αν αντιμετωπίζετε προβλήματα ή δεν μπορείτε να το κάνετε αυτό, μην διστάσετε να δημοσιεύσετε σχόλια και θα προσπαθήσω να σας βοηθήσω. Απολαμβάνω!

Top