Zur Erhöhung der Sicherheit wollte ich den Zugriff auf meinen Cisco SG300-10-Switch auf nur eine IP-Adresse in meinem lokalen Subnetz beschränken. Nachdem ich meinen neuen Switch vor ein paar Wochen konfiguriert hatte, war ich nicht glücklich darüber, dass jeder, der mit meinem LAN oder WLAN verbunden war, die Anmeldeseite erreichen konnte, indem er lediglich die IP-Adresse des Geräts kannte.
Am Ende durchsuchte ich das 500 Seiten lange Handbuch, um herauszufinden, wie alle IP-Adressen gesperrt werden können, mit Ausnahme derjenigen, die ich für den Verwaltungszugriff wollte. Nach vielen Tests und mehreren Posts in den Cisco-Foren habe ich es herausgefunden! In diesem Artikel gehe ich durch die Schritte zum Konfigurieren von Zugriffsprofilen und Profilregeln für Ihren Cisco-Switch.
Hinweis: Die folgende Methode, die ich beschreiben werde, ermöglicht Ihnen auch, den Zugriff auf eine beliebige Anzahl aktivierter Dienste auf Ihrem Switch zu beschränken. Sie können beispielsweise den Zugriff auf SSH, HTTP, HTTPS, Telnet oder alle diese Dienste nach IP-Adresse einschränken.
Managementzugriffsprofil und Regeln erstellen
Melden Sie sich zunächst bei der Weboberfläche Ihres Switches an und erweitern Sie ihn Sicherheit und dann erweitern Verwaltungszugriffsmethode. Fahren Sie fort und klicken Sie auf Zugriffsprofile.
Als erstes müssen wir ein neues Zugangsprofil erstellen. Standardmäßig sollte nur das angezeigt werden Nur Konsole Profil. Das merkt man auch oben Keiner wird neben ausgewählt Aktives Zugangsprofil. Nachdem wir unser Profil und unsere Regeln erstellt haben, müssen wir hier den Namen des Profils auswählen, um es zu aktivieren.
Klicken Sie nun auf die Hinzufügen und es sollte ein Dialogfeld angezeigt werden, in dem Sie Ihr neues Profil benennen und die erste Regel für das neue Profil hinzufügen können.
Geben Sie Ihrem neuen Profil oben einen Namen. Alle anderen Felder beziehen sich auf die erste Regel, die dem neuen Profil hinzugefügt wird. Zum RegelprioritätSie müssen einen Wert zwischen 1 und 65535 auswählen. Cisco arbeitet so, dass die Regel mit der niedrigsten Priorität zuerst angewendet wird. Wenn es nicht passt, wird die nächste Regel mit der niedrigsten Priorität angewendet.
In meinem Beispiel habe ich eine Priorität von gewählt 1 weil ich möchte, dass diese Regel zuerst verarbeitet wird. Diese Regel gibt die IP-Adresse an, über die ich Zugriff auf den Switch erhalten möchte. Unter VerwaltungsmethodeSie können entweder einen bestimmten Dienst auswählen oder alle auswählen, wodurch alles eingeschränkt wird. In meinem Fall habe ich alles ausgewählt, weil ich sowieso nur SSH und HTTPS aktiviert habe und beide Dienste von einem Computer aus verwalte.
Wenn Sie nur SSH und HTTPS sichern möchten, müssen Sie zwei separate Regeln erstellen. Das Aktion kann nur sein Verweigern oder Erlauben. Für mein Beispiel habe ich gewählt Erlauben da dies für die erlaubte IP sein wird. Als Nächstes können Sie die Regel auf eine bestimmte Schnittstelle auf dem Gerät anwenden oder einfach belassen Alles so dass es für alle Ports gilt.
Unter Gilt für die Quell-IP-AdresseWir müssen wählen Benutzerdefinierten hier und dann wählen Version 4Wenn Sie nicht in einer IPv6-Umgebung arbeiten, wählen Sie in diesem Fall Version 6. Geben Sie nun die IP-Adresse ein, der Zugriff gewährt werden soll, und geben Sie eine Netzwerkmaske ein, die allen relevanten Bits entspricht, die betrachtet werden sollen.
Da meine IP-Adresse beispielsweise 192.168.1.233 lautet, muss die gesamte IP-Adresse geprüft werden. Daher brauche ich eine Netzwerkmaske von 255.255.255.255. Wenn ich wollte, dass die Regel auf alle im gesamten Subnetz angewendet wird, würde ich eine Maske von 255.255.255.0 verwenden. Das würde bedeuten, dass jeder mit einer 192.168.1.x-Adresse zulässig wäre. Das will ich natürlich nicht, aber hoffentlich erklärt das, wie man die Netzwerkmaske benutzt. Beachten Sie, dass die Netzwerkmaske nicht die Subnetzmaske für Ihr Netzwerk ist. Die Netzwerkmaske gibt einfach an, welche Bits Cisco bei der Anwendung der Regel betrachten sollte.
Klicken Sich bewerben und Sie sollten jetzt ein neues Zugangsprofil und eine neue Regel haben! Klicke auf Profilregeln Im linken Menü sollte die neue Regel oben angezeigt werden.
Nun müssen wir unsere zweite Regel hinzufügen. Klicken Sie dazu auf die Schaltfläche Hinzufügen Taste unter der Profil-Regeltabelle.
Die zweite Regel ist sehr einfach. Stellen Sie zunächst sicher, dass der Zugriffsprofilname derselbe ist, den wir gerade erstellt haben. Jetzt geben wir der Regel nur eine Priorität von 2 und wähle Verweigern für die Aktion. Stellen Sie sicher, dass alles andere eingestellt ist Alles. Dies bedeutet, dass alle IP-Adressen gesperrt werden. Da jedoch unsere erste Regel zuerst verarbeitet wird, ist diese IP-Adresse zulässig. Sobald eine Regel abgeglichen wird, werden die anderen Regeln ignoriert. Wenn eine IP-Adresse nicht mit der ersten Regel übereinstimmt, wird diese zweite Regel verwendet, in der sie übereinstimmt und blockiert wird. Nett!
Zum Schluss müssen wir das neue Zugangsprofil aktivieren. Um das zu tun, gehe zurück zu Zugriffsprofile und wählen Sie das neue Profil aus der Dropdown-Liste oben (neben Aktives Zugangsprofil). Stellen Sie sicher, dass Sie auf klicken Sich bewerben und du solltest gut sein.
Beachten Sie, dass die Konfiguration derzeit nur in der laufenden Konfiguration gespeichert wird. Stellen Sie sicher, dass Sie zu gehen Verwaltung - Dokumentenverwaltung - Konfiguration kopieren / speichern um die laufende Konfiguration in die Startkonfiguration zu kopieren.
Wenn Sie mehr als eine IP-Adresse für den Switch zulassen möchten, erstellen Sie einfach eine andere Regel wie die erste, weisen Sie ihm jedoch eine höhere Priorität zu. Sie müssen auch sicherstellen, dass Sie die Priorität für ändern Verweigern Regel, so dass es eine höhere Priorität hat als alle Erlauben Regeln. Wenn Sie auf Probleme stoßen oder das Problem nicht beheben können, können Sie es gerne in den Kommentaren posten und ich werde versuchen zu helfen. Genießen!