Kvôli vyššej bezpečnosti som chcel obmedziť prístup k môjmu prepínaču Cisco SG300-10 iba na jednu IP adresu v mojej lokálnej podsieti. Po počiatočnej konfigurácii môjho nového prepínača^{(initially configuring my new switch)} pred niekoľkými týždňami som nebol šťastný, keď som vedel, že ktokoľvek pripojený k mojej sieti LAN^(LAN) alebo WLAN sa môže dostať na prihlasovaciu stránku tým, že bude poznať IP adresu zariadenia.

Nakoniec som prešiel 500-stranovým manuálom, aby som zistil, ako zablokovať všetky IP adresy okrem tých, ktoré som chcel pre prístup na správu. Po mnohých testoch a niekoľkých príspevkoch na fórach Cisco som na to prišiel! V tomto článku vás prevediem krokmi na konfiguráciu prístupových profilov a pravidiel profilov pre váš prepínač Cisco .

Poznámka: Nasledujúca metóda, ktorú popíšem, vám tiež umožňuje obmedziť prístup k akémukoľvek počtu povolených služieb na vašom prepínači. Môžete napríklad obmedziť prístup k SSH, HTTP, HTTPS, Telnet alebo všetkým týmto službám podľa IP adresy. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Vytvorte profil^{(Create Management Access Profile)} a pravidlá prístupu pre správu^(Rules)

Ak chcete začať, prihláste sa do webového rozhrania svojho prepínača a rozbaľte Zabezpečenie^(Security) a potom rozbaľte Spôsob prístupu Mgmt^{(Mgmt Access Method)} . Pokračujte a kliknite na Prístupové profily^{(Access Profiles)} .

Prvá vec, ktorú musíme urobiť, je vytvoriť nový prístupový profil. V predvolenom nastavení by ste mali vidieť iba profil Console Only . V hornej časti si tiež všimnete, že vedľa položky Profil aktívneho prístupu je vybratá možnosť ^{( Active Access Profile)}Žiadny^(None) . Po vytvorení profilu a pravidiel si budeme musieť vybrať názov profilu, aby sme ho mohli aktivovať.

Teraz kliknite na tlačidlo Pridať^(Add) a malo by sa zobraziť dialógové okno, v ktorom budete môcť pomenovať svoj nový profil a tiež pridať prvé pravidlo pre nový profil.

V hornej časti zadajte názov svojho nového profilu. Všetky ostatné polia sa týkajú prvého pravidla, ktoré sa pridá do nového profilu. Pre Prioritu pravidla^{( Rule Priority)} musíte vybrať hodnotu medzi 1 a 65535. Spôsob, akým Cisco funguje, je taký, že pravidlo s najnižšou prioritou sa použije ako prvé. Ak sa nezhoduje, použije sa ďalšie pravidlo s najnižšou prioritou.

V mojom príklade som zvolil prioritu 1 , pretože chcem, aby sa toto pravidlo spracovalo ako prvé. Toto pravidlo bude pravidlom, ktoré umožní IP adrese, ktorej chcem dať prístup k prepínaču. V časti Spôsob správy^{(Management Method)} si môžete vybrať konkrétnu službu alebo vybrať všetky, čím sa všetko obmedzí. V mojom prípade som si vybral všetky, pretože aj tak mám povolené len SSH a HTTPS a obe služby spravujem z jedného počítača.

Upozorňujeme, že ak chcete zabezpečiť iba protokoly SSH a HTTPS , budete musieť vytvoriť dve samostatné pravidlá. Akcia môže byť iba ^(Action)Zamietnuť^(Deny) alebo Povoliť^(Permit) . Pre môj príklad som si vybral Povoliť^(Permit) , pretože to bude pre povolenú IP. Ďalej^(Next) môžete pravidlo použiť na konkrétne rozhranie na zariadení alebo ho môžete nechať na Všetky^(All) , aby sa vzťahovalo na všetky porty.

V časti Vzťahuje sa na zdrojovú IP adresu^{(Applies to Source IP Address)} tu musíme vybrať možnosť Definované používateľom^{( User Defined)} a potom vybrať verziu 4^{(Version 4)} , pokiaľ nepracujete v prostredí IPv6 , v takom prípade by ste si vybrali verziu 6^{(Version 6)} . Teraz zadajte IP adresu, ktorej bude povolený prístup, a zadajte sieťovú masku, ktorá sa zhoduje so všetkými relevantnými bitmi, na ktoré sa má pozerať.

Napríklad, keďže moja IP adresa je 192.168.1.233, je potrebné preskúmať celú IP adresu, a preto potrebujem masku siete 255.255.255.255. Ak by som chcel, aby pravidlo platilo pre všetkých v celej podsieti, potom by som použil masku 255.255.255.0. To by znamenalo, že každý s adresou 192.168.1.x by bol povolený. To samozrejme nechcem robiť, ale dúfam, že to vysvetľuje, ako používať masku siete. Upozorňujeme, že maska ​​siete nie je maskou podsiete pre vašu sieť. Sieťová maska ​​jednoducho hovorí, na ktoré bity by sa malo Cisco pri aplikácii pravidla pozerať.

Kliknite na Použiť^(Apply) a teraz by ste mali mať nový prístupový profil a pravidlo! Kliknite^(Click) na Pravidlá profilu^{( Profile Rules)} v ľavom menu a v hornej časti by ste mali vidieť nové pravidlo.

Teraz musíme pridať naše druhé pravidlo. Ak to chcete urobiť, kliknite na tlačidlo Pridať^(Add) zobrazené pod tabuľkou pravidiel profilu^{(Profile Rule Table)} .

Druhé pravidlo je naozaj jednoduché. Najprv sa uistite, že názov prístupového profilu^{(Access Profile Name)} je rovnaký ako ten, ktorý sme práve vytvorili. Teraz dáme pravidlu prioritu 2 a zvolíme Zamietnuť^(Deny) ako akciu^(Action) . Uistite sa, že všetko ostatné je nastavené na All . To znamená, že všetky IP adresy budú zablokované. Keďže však naše prvé pravidlo bude spracované ako prvé, táto IP adresa bude povolená. Keď sa pravidlo nájde, ostatné pravidlá sa ignorujú. Ak adresa IP nezodpovedá prvému pravidlu, prejde na toto druhé pravidlo, kde sa zhoduje a bude zablokovaná. Pekný!

Nakoniec musíme aktivovať nový prístupový profil. Ak to chcete urobiť, vráťte sa do Prístupových profilov^{( Access Profiles)} a vyberte nový profil z rozbaľovacieho zoznamu v hornej časti (vedľa položky Aktívny prístupový profil^{(Active Access Profile)} ). Nezabudnite kliknúť na tlačidlo Použiť^(Apply) a mali by ste začať.

Pamätajte^(Remember) , že konfigurácia je momentálne uložená iba v spustenej konfigurácii. Uistite sa, že idete do Administrácia^{(Administration)} – Správa súborov^{( File Management)} – Copy/Save Configuration a skopírovať spustenú konfiguráciu do spúšťacej konfigurácie.

Ak chcete k prepínaču povoliť viac ako jednu adresu IP, vytvorte ďalšie pravidlo, ako je prvé, ale dajte mu vyššiu prioritu. Musíte sa tiež uistiť, že ste zmenili prioritu pre pravidlo Zamietnuť^(Deny) tak, aby malo vyššiu prioritu ako všetky pravidlá povolenia^(Permit) . Ak narazíte na nejaké problémy alebo sa vám to nedarí, pokojne napíšte do komentárov a ja sa vám pokúsim pomôcť. Užite si to!

Restrict Access to Cisco Switch Based on IP Address

For added security, I wanted to restrіct access to my Cisco ЅG300-10 switch to only one IP address in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. 

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Related posts

• Ako nájsť IP adresu vašej WiFi tlačiarne v systéme Windows a Mac

• Ako povoliť prístup SSH pre prepínače Cisco SG300

• Ako nastaviť statickú IP adresu v systéme Windows 11/10

• Ako nájsť IP adresu môjho smerovača?

• Ako priradiť statickú IP adresu počítaču so systémom Windows 11/10

• Ako nájsť IP adresu bezdrôtového prístupového bodu

• Ako získať prístup k oddielom Linux v systéme Windows

• Vytvorte klávesovú skratku na prístup do dialógového okna Bezpečné odstránenie hardvéru

• HDG vysvetľuje: Čo je to vyhradená IP adresa a mám si ju zaobstarať?

• Ako sledovať pôvodnú polohu e-mailu prostredníctvom jeho IP adresy

• 8 najlepších technologických nápadov na zvládnutie vlastnej izolácie

• Ako aktualizovať Raspberry Pi

• Ako robiť snímky obrazovky na Nintendo Switch

• Aká je IP adresa môjho Raspberry Pi?

• Ako si zostaviť svoj vlastný laptop

• Ako opraviť chybu „Adresa IP servera sa nenašla“ v prehliadači Google Chrome

• Manuálne pridajte kontakt do adresára Windows Live Mail

• Vypnite kontrolu používateľských účtov (UAC) pre konkrétnu aplikáciu

• Čo je 192.168.0.1 a prečo je to predvolená adresa IP pre väčšinu smerovačov?

• Otvorte Poznámkový blok ako správca, aby ste sa vyhli „prístupu je odmietnutý“