Hadkan akses ke suis Cisco berdasarkan alamat IP

Untuk keselamatan tambahan, saya ingin menyekat akses ke suis Cisco SG300-10 saya ke hanya satu alamat IP di subnet tempatan saya. Setelah pada mulanya mengkonfigurasi suis baru saya beberapa minggu lalu, saya tidak gembira mengetahui bahawa sesiapa yang disambungkan ke LAN atau WLAN saya boleh sampai ke halaman log masuk dengan hanya mengetahui alamat IP untuk peranti tersebut.

Saya akhirnya menyaring manual 500 halaman untuk mengetahui cara menyekat semua alamat IP kecuali yang saya mahukan untuk akses pengurusan. Setelah banyak ujian dan beberapa jawatan ke forum Cisco, saya menganggapnya! Dalam artikel ini, saya akan memandu anda melalui langkah -langkah untuk mengkonfigurasi Profil Akses dan Profil Peraturan untuk Switch Cisco anda.

Catatan: Kaedah berikut yang akan saya jelaskan juga membolehkan anda menyekat akses kepada sebilangan perkhidmatan yang diaktifkan pada suis anda. Sebagai contoh, anda boleh menyekat akses kepada SSH, HTTP, HTTPS, TELNET, atau semua perkhidmatan ini melalui alamat IP. 

Buat Profil & Peraturan Akses Pengurusan

Untuk memulakan, log masuk ke antara muka web untuk suis anda dan berkembang Keselamatan dan kemudian berkembang Kaedah Akses MGMT. Teruskan dan klik Profil akses.

Di bahagian atas, berikan nama baru anda nama. Semua bidang lain berkaitan dengan peraturan pertama yang akan ditambah ke profil baru. Untuk Keutamaan peraturan, anda mesti memilih nilai antara 1 dan 65535. Cara Cisco berfungsi ialah peraturan dengan keutamaan terendah digunakan terlebih dahulu. Sekiranya ia tidak sepadan, maka peraturan seterusnya dengan keutamaan terendah digunakan.

Dalam contoh saya, saya memilih keutamaan 1 kerana saya mahu peraturan ini diproses terlebih dahulu. Peraturan ini akan menjadi yang membolehkan alamat IP yang saya ingin berikan kepada suis. Di bawah Kaedah Pengurusan, Anda boleh memilih perkhidmatan tertentu atau memilih semua, yang akan menyekat semuanya. Dalam kes saya, saya memilih semua kerana saya hanya mempunyai SSH dan HTTPS yang diaktifkan dan saya menguruskan kedua -dua perkhidmatan dari satu komputer.

Perhatikan bahawa jika anda ingin mengamankan hanya SSH dan HTTPS, maka anda perlu membuat dua peraturan berasingan. The Tindakan hanya boleh Menafikan atau Izin. Contoh saya, saya memilih Izin Oleh kerana ini adalah untuk IP yang dibenarkan. Seterusnya, anda boleh menggunakan peraturan ke antara muka tertentu pada peranti atau anda hanya boleh meninggalkannya di Semua supaya ia berlaku untuk semua pelabuhan.

Di bawah Berkenaan dengan alamat IP sumber, Kita mesti memilih Pengguna ditakrifkan di sini dan kemudian pilih Versi 4, Kecuali anda bekerja di persekitaran IPv6 di mana anda akan memilih versi 6. Sekarang taipkan alamat IP yang akan dibenarkan akses dan taipkan topeng rangkaian yang sepadan dengan semua bit yang berkaitan.

Contohnya, kerana alamat IP saya adalah 192.168.1.233, keseluruhan alamat IP perlu diperiksa dan oleh itu saya memerlukan topeng rangkaian 255.255.255.255. Sekiranya saya mahu peraturan itu memohon kepada semua orang di seluruh subnet, maka saya akan menggunakan topeng 255.255.255.0. Itu bermaksud sesiapa yang mempunyai tahun 192.168.1.Alamat x akan dibenarkan. Itu bukan apa yang saya mahu lakukan, jelas, tetapi mudah -mudahan yang menerangkan cara menggunakan topeng rangkaian. Perhatikan bahawa topeng rangkaian bukan topeng subnet untuk rangkaian anda. Topeng rangkaian hanya mengatakan Bits Cisco harus dilihat ketika memohon peraturan.

Klik Memohon dan kini anda harus mempunyai profil dan peraturan akses baru! Klik pada Peraturan profil di menu kiri dan anda harus melihat peraturan baru yang disenaraikan di bahagian atas.

Sekarang kita perlu menambah peraturan kedua kita. Untuk melakukan ini, klik pada Tambah butang ditunjukkan di bawah Jadual Peraturan Profil.

Peraturan kedua sangat mudah. Pertama, pastikan nama profil akses adalah yang sama yang kami buat. Sekarang, kami hanya memberi peraturan sebagai keutamaan 2 dan pilih Menafikan untuk Tindakan. Pastikan semua yang lain ditetapkan Semua. Ini bermaksud bahawa semua alamat IP akan disekat. Walau bagaimanapun, kerana peraturan pertama kami akan diproses terlebih dahulu, alamat IP akan dibenarkan. Sebaik sahaja peraturan dipadankan, peraturan lain diabaikan. Sekiranya alamat IP tidak sepadan dengan peraturan pertama, ia akan datang ke peraturan kedua ini, di mana ia akan sepadan dan disekat. Bagus!

Akhirnya, kita mesti mengaktifkan profil akses baru. Untuk melakukan itu, kembali ke Profil akses dan pilih profil baru dari senarai drop down di bahagian atas (di sebelah Profil akses aktif). Pastikan untuk mengklik Memohon Dan anda harus baik untuk pergi.

Ingat bahawa konfigurasi pada masa ini hanya disimpan dalam konfigurasi berjalan. Pastikan anda pergi ke Pentadbiran - Pengurusan fail - Salin/simpan konfigurasi Untuk menyalin konfigurasi berjalan ke konfigurasi permulaan.

Sekiranya anda ingin membenarkan lebih daripada satu akses alamat IP ke suis, buatlah peraturan lain seperti yang pertama, tetapi berikan keutamaan yang lebih tinggi. Anda juga perlu memastikan bahawa anda mengubah keutamaan untuk Menafikan memerintah supaya ia mempunyai keutamaan yang lebih tinggi daripada semua Izin peraturan. Sekiranya anda menghadapi sebarang masalah atau tidak dapat berfungsi, jangan ragu untuk menghantar di dalam komen dan saya akan berusaha membantu. Nikmati!