A nagyobb biztonság érdekében a helyi alhálómban csak egy IP-címet akartam korlátozni a Cisco SG300-10 kapcsolóhoz való hozzáférést. Néhány héttel ezelőtt először konfiguráltam az új kapcsolót utánnem tudtam, hogy bárki, aki csatlakozott a LAN-hoz vagy a WLAN-hoz, csak a készülék IP-címét tudta elérni a bejelentkezési oldalon.
Végre vetettem az 500 oldalas kézikönyvet, hogy kiderítsem, hogyan kell megakadályoznia az IP-címek blokkolását, kivéve azokat, amelyeket a kezelési hozzáféréshez akartam. Sok tesztelés és több hozzászólás után a Cisco fórumokon kitaláltam! Ebben a cikkben megismerkedhetek a Cisco kapcsoló hozzáférési profiljaival és profiljaival kapcsolatos lépésekkel.
Megjegyzés: leírása lehetővé teszi a hozzáférést a kapcsoló bármely engedélyezett szolgáltatásához. Például korlátozhatja az SSH, HTTP, HTTPS, Telnet vagy az összes ilyen szolgáltatás IP-címhez való hozzáférését.
Kezelési hozzáférési profil létrehozása & amp; Szabályok
A kezdéshez jelentkezzen be a kapcsoló webes felületére, és bontsa ki a Biztonságlehetőséget, majd bontsa ki a Mgmt hozzáférési módlehetőséget. Menj előre, és kattints a Hozzáférési profilokgombra.
Az első dolog, . Alapértelmezés szerint csak a Csak konzolprofilt kell megjeleníteni. Azt is észreveszi, hogy a tetején a Nincsa Aktív hozzáférési profilmellett van kiválasztva. Miután létrehoztuk profilunkat és szabályainkat, itt be kell állítanunk a profil nevét annak aktiválásához.
Most kattintsunk a Hozzáadásgombra, és ez párbeszédpanelt hozhat létre, ahol új profilt adhat meg, és az első szabályt is hozzáadhatja az új profilhoz.
a felső, adjon nevet új profiljának. Az összes többi mező az első olyan szabályhoz kapcsolódik, amelyet az új profilhoz kell hozzáadni. A Szabály prioritásesetében 1 és 65535 közötti értéket kell választania. A Cisco működésének módja az, hogy a legalacsonyabb prioritású szabályt először alkalmazzák. Ha ez nem egyezik, akkor a következő legalacsonyabb prioritású szabály kerül alkalmazásra.
A példámban a 1prioritást választottam, mert ezt a szabályt első. Ez a szabály az, amely lehetővé teszi az IP-címet, hogy hozzáférést biztosítsam a kapcsolóhoz. A Kezelési módalatt kiválaszthat egy adott szolgáltatást, vagy kiválaszthat egyet, ami mindent korlátozni fog. Az én esetemben mindent választottam, mert csak az SSH és a HTTPS engedélyezve van, és mindkét szolgáltatást egy számítógépből kezelhetem.
Ha csak SSH-t és HTTPS-t akarsz biztonságossá tenni, akkor hozzon létre két külön szabályt. A Műveletcsak Megtagadásvagy Engedélyezés. Az én példámban a Engedélyezemválasztást választottam, mivel ez az engedélyezett IP számára lesz. Ezután alkalmazhatja a szabályt az eszköz valamelyik felületére, vagy csak az Mindenelemre hagyhatja, hogy minden portra érvényes legyen.
A Forrás IP-címalatt a Felhasználó által definiáltlehetőséget kell választanunk, majd válasszuk a 4. verziólehetőséget, hacsak nem IPv6 környezetben, amely esetben a 6-os verziót választja. Most írja be azt a IP-címet, amelyhez engedélyezni kell a hozzáférést, és írjon be egy olyan hálózati maszkot, amely megfelel az összes releváns bitnek, amelyet meg kell vizsgálnia.
az IP-címem 192.168.1.233, az egész IP-címet meg kell vizsgálni, ezért szükségem van egy 255.255.255.255 hálózati maszkra. Ha azt akarom, hogy a szabály mindenkire kiterjedjen az egész alhálózaton, akkor 255.255.255.0 maszkot használnék. Ez azt jelentené, hogy bárki, akinek 192.168.1.x címe lenne engedélyezve. Ez nem az, amit akarok, természetesen, de remélhetőleg ez magyarázza meg, hogyan kell használni a hálózati maszkot. Vegye figyelembe, hogy a hálózati maszk nem a hálózat alhálózati maszkja. A hálózati maszk egyszerűen megmondja, hogy mely biteket kell a Cisco a szabály alkalmazása során nézni.
Kattintson az Applygombra, és most új hozzáférési profilt és szabályt kell létrehoznia! A bal oldali menüben kattintson a Profilszabályoklehetőségre, és megjelenik az új szabály a tetején.
Profilszabály táblázatalatt látható Hozzáadásgombra.
A második szabály nagyon egyszerű. Először is győződjön meg róla, hogy a Hozzáférési Profil neve ugyanaz, amilyet csak létrehoztunk. Most csak a 2prioritást adjuk a szabálynak, és a MűveletMegtagadjuklehetőséget. Győződjön meg arról, hogy minden más beállítás Minden. Ez azt jelenti, hogy minden IP-cím blokkolva lesz. Azonban, mivel az első szabályt először feldolgozzuk, az IP-cím engedélyezett. Miután egy szabály egyeztetésre került, a többi szabályt figyelmen kívül hagyja. Ha egy IP-cím nem egyezik meg az első szabálysal, akkor ez a második szabály lesz, ahol megegyezik és blokkolva lesz. Szép!Végül be kell kapcsolnunk az új hozzáférési profilt. Ehhez lépjen vissza a Hozzáférési profilokelemre, és válassza ki az új profilt a legördülő listából (az Aktív hozzáférési profilmellett). Ügyeljen rá, hogy kattintson a Alkalmazgombra, és jónak kell lenned.
a futó konfigurációban. Győződjön meg arról, hogy az indító konfigurációhoz Adminisztráció- Fájlkezelés- Konfiguráció másolása / mentésep>Ha egynél több IP-címet szeretne hozzáférni a kapcsolóhoz, akkor csak egy új szabályt hozzon létre, mint az első, de nagyobb prioritást adjon neki. Azt is meg kell bizonyosodnia arról, hogy a Megtagadniszabály prioritását megváltoztatja annak érdekében, hogy magasabb prioritást élvezzen, mint az összes Engedélyezésszabály. Ha bármilyen probléma merül fel, vagy nem tud működni, akkor ossza meg a hozzászólásokat, és megpróbálok segíteni. Enjoy!