Obmedzte prístup k prepínaču Cisco na základe adresy IP
Kvôli vyššej bezpečnosti som chcel obmedziť prístup k môjmu prepínaču Cisco SG300-10 iba na jednu IP adresu v mojej lokálnej podsieti. Po počiatočnej konfigurácii môjho nového prepínača(initially configuring my new switch) pred niekoľkými týždňami som nebol šťastný, keď som vedel, že ktokoľvek pripojený k mojej sieti LAN(LAN) alebo WLAN sa môže dostať na prihlasovaciu stránku tým, že bude poznať IP adresu zariadenia.
Nakoniec som prešiel 500-stranovým manuálom, aby som zistil, ako zablokovať všetky IP adresy okrem tých, ktoré som chcel pre prístup na správu. Po mnohých testoch a niekoľkých príspevkoch na fórach Cisco som na to prišiel! V tomto článku vás prevediem krokmi na konfiguráciu prístupových profilov a pravidiel profilov pre váš prepínač Cisco .
Poznámka: Nasledujúca metóda, ktorú popíšem, vám tiež umožňuje obmedziť prístup k akémukoľvek počtu povolených služieb na vašom prepínači. Môžete napríklad obmedziť prístup k SSH, HTTP, HTTPS, Telnet alebo všetkým týmto službám podľa IP adresy. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )
Vytvorte profil(Create Management Access Profile) a pravidlá prístupu pre správu(Rules)
Ak chcete začať, prihláste sa do webového rozhrania svojho prepínača a rozbaľte Zabezpečenie(Security) a potom rozbaľte Spôsob prístupu Mgmt(Mgmt Access Method) . Pokračujte a kliknite na Prístupové profily(Access Profiles) .
Prvá vec, ktorú musíme urobiť, je vytvoriť nový prístupový profil. V predvolenom nastavení by ste mali vidieť iba profil Console Only . V hornej časti si tiež všimnete, že vedľa položky Profil aktívneho prístupu je vybratá možnosť ( Active Access Profile)Žiadny(None) . Po vytvorení profilu a pravidiel si budeme musieť vybrať názov profilu, aby sme ho mohli aktivovať.
Teraz kliknite na tlačidlo Pridať(Add) a malo by sa zobraziť dialógové okno, v ktorom budete môcť pomenovať svoj nový profil a tiež pridať prvé pravidlo pre nový profil.
V hornej časti zadajte názov svojho nového profilu. Všetky ostatné polia sa týkajú prvého pravidla, ktoré sa pridá do nového profilu. Pre Prioritu pravidla( Rule Priority) musíte vybrať hodnotu medzi 1 a 65535. Spôsob, akým Cisco funguje, je taký, že pravidlo s najnižšou prioritou sa použije ako prvé. Ak sa nezhoduje, použije sa ďalšie pravidlo s najnižšou prioritou.
V mojom príklade som zvolil prioritu 1 , pretože chcem, aby sa toto pravidlo spracovalo ako prvé. Toto pravidlo bude pravidlom, ktoré umožní IP adrese, ktorej chcem dať prístup k prepínaču. V časti Spôsob správy(Management Method) si môžete vybrať konkrétnu službu alebo vybrať všetky, čím sa všetko obmedzí. V mojom prípade som si vybral všetky, pretože aj tak mám povolené len SSH a HTTPS a obe služby spravujem z jedného počítača.
Upozorňujeme, že ak chcete zabezpečiť iba protokoly SSH a HTTPS , budete musieť vytvoriť dve samostatné pravidlá. Akcia môže byť iba (Action)Zamietnuť(Deny) alebo Povoliť(Permit) . Pre môj príklad som si vybral Povoliť(Permit) , pretože to bude pre povolenú IP. Ďalej(Next) môžete pravidlo použiť na konkrétne rozhranie na zariadení alebo ho môžete nechať na Všetky(All) , aby sa vzťahovalo na všetky porty.
V časti Vzťahuje sa na zdrojovú IP adresu(Applies to Source IP Address) tu musíme vybrať možnosť Definované používateľom( User Defined) a potom vybrať verziu 4(Version 4) , pokiaľ nepracujete v prostredí IPv6 , v takom prípade by ste si vybrali verziu 6(Version 6) . Teraz zadajte IP adresu, ktorej bude povolený prístup, a zadajte sieťovú masku, ktorá sa zhoduje so všetkými relevantnými bitmi, na ktoré sa má pozerať.
Napríklad, keďže moja IP adresa je 192.168.1.233, je potrebné preskúmať celú IP adresu, a preto potrebujem masku siete 255.255.255.255. Ak by som chcel, aby pravidlo platilo pre všetkých v celej podsieti, potom by som použil masku 255.255.255.0. To by znamenalo, že každý s adresou 192.168.1.x by bol povolený. To samozrejme nechcem robiť, ale dúfam, že to vysvetľuje, ako používať masku siete. Upozorňujeme, že maska siete nie je maskou podsiete pre vašu sieť. Sieťová maska jednoducho hovorí, na ktoré bity by sa malo Cisco pri aplikácii pravidla pozerať.
Kliknite na Použiť(Apply) a teraz by ste mali mať nový prístupový profil a pravidlo! Kliknite(Click) na Pravidlá profilu( Profile Rules) v ľavom menu a v hornej časti by ste mali vidieť nové pravidlo.
Teraz musíme pridať naše druhé pravidlo. Ak to chcete urobiť, kliknite na tlačidlo Pridať(Add) zobrazené pod tabuľkou pravidiel profilu(Profile Rule Table) .
Druhé pravidlo je naozaj jednoduché. Najprv sa uistite, že názov prístupového profilu(Access Profile Name) je rovnaký ako ten, ktorý sme práve vytvorili. Teraz dáme pravidlu prioritu 2 a zvolíme Zamietnuť(Deny) ako akciu(Action) . Uistite sa, že všetko ostatné je nastavené na All . To znamená, že všetky IP adresy budú zablokované. Keďže však naše prvé pravidlo bude spracované ako prvé, táto IP adresa bude povolená. Keď sa pravidlo nájde, ostatné pravidlá sa ignorujú. Ak adresa IP nezodpovedá prvému pravidlu, prejde na toto druhé pravidlo, kde sa zhoduje a bude zablokovaná. Pekný!
Nakoniec musíme aktivovať nový prístupový profil. Ak to chcete urobiť, vráťte sa do Prístupových profilov( Access Profiles) a vyberte nový profil z rozbaľovacieho zoznamu v hornej časti (vedľa položky Aktívny prístupový profil(Active Access Profile) ). Nezabudnite kliknúť na tlačidlo Použiť(Apply) a mali by ste začať.
Pamätajte(Remember) , že konfigurácia je momentálne uložená iba v spustenej konfigurácii. Uistite sa, že idete do Administrácia(Administration) – Správa súborov( File Management) – Copy/Save Configuration a skopírovať spustenú konfiguráciu do spúšťacej konfigurácie.
Ak chcete k prepínaču povoliť viac ako jednu adresu IP, vytvorte ďalšie pravidlo, ako je prvé, ale dajte mu vyššiu prioritu. Musíte sa tiež uistiť, že ste zmenili prioritu pre pravidlo Zamietnuť(Deny) tak, aby malo vyššiu prioritu ako všetky pravidlá povolenia(Permit) . Ak narazíte na nejaké problémy alebo sa vám to nedarí, pokojne napíšte do komentárov a ja sa vám pokúsim pomôcť. Užite si to!
Related posts
Ako nájsť IP adresu vašej WiFi tlačiarne v systéme Windows a Mac
Ako povoliť prístup SSH pre prepínače Cisco SG300
Ako nastaviť statickú IP adresu v systéme Windows 11/10
Ako nájsť IP adresu môjho smerovača?
Ako priradiť statickú IP adresu počítaču so systémom Windows 11/10
Ako nájsť IP adresu bezdrôtového prístupového bodu
Ako získať prístup k oddielom Linux v systéme Windows
Vytvorte klávesovú skratku na prístup do dialógového okna Bezpečné odstránenie hardvéru
HDG vysvetľuje: Čo je to vyhradená IP adresa a mám si ju zaobstarať?
Ako sledovať pôvodnú polohu e-mailu prostredníctvom jeho IP adresy
8 najlepších technologických nápadov na zvládnutie vlastnej izolácie
Ako aktualizovať Raspberry Pi
Ako robiť snímky obrazovky na Nintendo Switch
Aká je IP adresa môjho Raspberry Pi?
Ako si zostaviť svoj vlastný laptop
Ako opraviť chybu „Adresa IP servera sa nenašla“ v prehliadači Google Chrome
Manuálne pridajte kontakt do adresára Windows Live Mail
Vypnite kontrolu používateľských účtov (UAC) pre konkrétnu aplikáciu
Čo je 192.168.0.1 a prečo je to predvolená adresa IP pre väčšinu smerovačov?
Otvorte Poznámkový blok ako správca, aby ste sa vyhli „prístupu je odmietnutý“