Рецоммендед, 2024

Избор Уредника

Ограничите приступ Цисцо Свитцх-у на основу ИП адресе

За додатну сигурност, хтио сам ограничити приступ свом Цисцо СГ300-10 прекидачу на само једну ИП адресу у локалној подмрежи. Након што сам конфигурисао нови прекидач неколико седмица уназад, нисам био сретан знајући да би сватко повезан с ЛАН-ом или ВЛАН-ом могао доћи до странице за пријаву тако што ће знати само ИП адресу уређаја.

На крају сам прегледао приручник од 500 страница да бих открио како блокирати све ИП адресе осим оних које сам желио за приступ управљању. Након много тестирања и неколико постова на Цисцо форумима, схватио сам! У овом чланку, проћи ћу кроз кораке за конфигурирање профила приступа и правила профила за ваш Цисцо прекидач.

Напомена : Следећи метод који ћу описати вам такође дозвољава да ограничите приступ било ком броју омогућених услуга на вашем прекидачу. На пример, можете ограничити приступ ССХ, ХТТП, ХТТПС, Телнет или свим овим услугама путем ИП адресе.

Креирајте профил и правила приступа за управљање

Да бисте започели, пријавите се на Веб интерфејс за свој прекидач и проширите Безбедност, а затим проширите Мгмт метод приступа . Само напред и кликните на Профили приступа .

Прво што треба да урадимо је да направимо нови приступни профил. Подразумевано би требало да видите само профил конзоле . Такође, на врху ћете приметити да ниједан није изабран поред профила активног приступа . Када креирамо наш профил и правила, мораћемо да изаберемо име профила да бисмо га активирали.

Сада кликните на дугме Додај и ово би требало да прикаже оквир за дијалог у којем ћете моћи да именујете свој нови профил и да додате прво правило за нови профил.

На врху, дајте свом новом профилу име. Сва остала поља се односе на прво правило које ће бити додато новом профилу. За Приорити правила морате изабрати вредност између 1 и 65535. Начин на који Цисцо функционише је да се прво примењује правило са најнижим приоритетом. Ако се не подудара, примењује се следеће правило са најнижим приоритетом.

У мом примјеру, изабрао сам приоритет 1 јер желим да се ово правило прво обради. Ово правило ће бити оно које дозвољава ИП адреси коју желим дати приступ прекидачу. Под методом управљања можете одабрати одређену услугу или одабрати све, што ће ограничити све. У мом случају, ја сам изабрао све јер имам само ССХ и ХТТПС омогућен ионако и управљам обе услуге са једног рачунара.

Имајте на уму да ако желите да обезбедите само ССХ и ХТТПС, онда ћете морати да направите два одвојена правила. Акција се може одбити или дозволити . За мој пример, изабрао сам Дозволу јер ће то бити за дозвољени ИП. Затим, можете применити правило на одређени интерфејс на уређају или га можете оставити на Све, тако да се примењује на све портове.

У оквиру Односи се на ИП адресу извора, овде морамо да изаберемо Кориснички дефинисано, а затим изаберемо верзију 4, осим ако не радимо у окружењу ИПв6, у ком случају би изабрали верзију 6. Укуцајте ИП адресу којој ће бити дозвољен приступ и унесите у мрежној маски која одговара свим битним битовима за преглед.

На пример, пошто је моја ИП адреса 192.168.1.233, потребно је испитати целу ИП адресу и зато ми је потребна мрежна маска 255.255.255.255. Ако бих желео да се правило примени на све на целој подмрежи, онда бих користио маску од 255.255.255.0. То би значило да би свако ко има адресу 192.168.1.к био дозвољен. То није оно што желим да урадим, очигледно, али надам се да то објашњава како да користим мрежну маску. Имајте на уму да мрежна маска није подмрежна маска за вашу мрежу. Мрежна маска једноставно каже које битове Цисцо треба да погледа када примењује правило.

Кликните на Аппли и требало би да имате нови приступни профил и правило! Кликните на Профиле Рулес у левом менију и требало би да видите ново правило које се налази на врху.

Сада морамо додати наше друго правило. Да бисте то урадили, кликните на дугме „ Додај“ приказано испод табеле правила правила .

Друго правило је стварно једноставно. Прво, уверите се да је име профила приступа исти онај који смо управо креирали. Сада, само дајемо правило као приоритет од 2 и одабиремо Дени за акцију . Уверите се да је све остало постављено на Све . То значи да ће све ИП адресе бити блокиране. Међутим, пошто ће прво бити обрађено наше прво правило, та ИП адреса ће бити дозвољена. Када се правило подудара, друга правила се игноришу. Ако се ИП адреса не подудара с првим правилом, доћи ће до другог правила, гдје ће се поклопити и блокирати. Леп!

Коначно, морамо активирати нови приступни профил. Да бисте то урадили, вратите се на Профили приступа и изаберите нови профил из падајуће листе на врху (поред профила Активни приступ ). Обавезно кликните на Аппли и требало би да будете добро да идете.

Запамтите да је конфигурација тренутно сачувана само у покренутој конфигурацији. Уверите се да идете на Администратион - Филе Манагемент - Цопи / Саве Цонфигуратион да бисте копирали покренуту конфигурацију у стартуп цонфиг.

Ако желите да дозволите приступ више од једне ИП адресе прекидачу, само креирајте друго правило као прво, али дајте му већи приоритет. Такође ћете морати да проверите да ли сте променили приоритет правила Дени, тако да он има већи приоритет од свих правила дозволе . Ако наиђете на било какве проблеме или не успијете натерати ово да ради, слободно поставите коментаре и ја ћу покушати помоћи. Уживати!

Top