Za dodatnu sigurnost, htio sam ograničiti pristup mom Cisco SG300-10 prebaciti na samo jednu IP adresu u mojoj lokalnoj podmreži. Nakon što sam početno konfigurirao svoj novi prekidač nekoliko tjedana, nisam bio sretan znajući da bi svatko povezan s mojom LAN-om ili WLAN-om mogao doći do stranice za prijavu znajući samo IP adresu uređaja.
Na kraju sam pregledao priručnik od 500 stranica kako bih shvatio kako blokirati sve IP adrese, osim onih koje sam htio za pristup upravljanju. Nakon puno testiranja i nekoliko postova na Cisco forumima, shvatio sam! U ovom članku, provest ću vas kroz korake za konfiguriranje profila pristupa i pravila profila za vaš Cisco prekidač.
Napomena : Sljedeći metod koji ću opisati također vam omogućuje da ograničite pristup bilo kojem broju omogućenih usluga na vašem prekidaču. Na primjer, možete ograničiti pristup uslugama SSH, HTTP, HTTPS, Telnet ili svim tim uslugama putem IP adrese.
Izradite profil i pravila pristupa upravljanju
Da biste započeli, prijavite se na web sučelje za svoj prekidač i proširite Sigurnost, a zatim proširite metodu Mgmt pristupa . Samo naprijed i kliknite Profili pristupa .
Prvo što trebamo učiniti je stvoriti novi pristupni profil. Prema zadanim postavkama trebali biste vidjeti samo profil konzole . Također, na vrhu ćete primijetiti da nijedan nije odabran pored profila aktivnog pristupa . Kada kreiramo svoj profil i pravila, morat ćemo ovdje odabrati ime profila kako bismo ga aktivirali.
Sada kliknite na gumb Dodaj i to bi trebalo dovesti do dijaloškog okvira u kojem ćete moći imenovati svoj novi profil i dodati prvo pravilo za novi profil.
Na vrhu navedite novi profil. Sva ostala polja odnose se na prvo pravilo koje će biti dodano novom profilu. Za Priority pravila morate odabrati vrijednost između 1 i 65535. Način na koji Cisco funkcionira jest da se prvo primjenjuje pravilo s najnižim prioritetom. Ako se ne podudara, primjenjuje se sljedeće pravilo s najnižim prioritetom.
U mom primjeru, odabrao sam prioritet 1 jer želim da se prvo obradi ovo pravilo. Ovo pravilo će biti ono koje dopušta IP adresu koju želim dati pristup prekidaču. Pod Način upravljanja možete odabrati određenu uslugu ili odabrati sve, što će sve ograničiti. U mom slučaju, ja sam izabrao sve jer sam samo SSH i HTTPS omogućen ionako i upravljam obje usluge s jednog računala.
Imajte na umu da ako želite osigurati samo SSH i HTTPS, morat ćete stvoriti dva zasebna pravila. Akcija se može odbiti ili odobriti . Za moj primjer, izabrao sam Permit jer će to biti za dopušteni IP. Zatim možete primijeniti pravilo na određeno sučelje na uređaju ili ga možete ostaviti na Sve, tako da se primjenjuje na sve portove.
U odjeljku Odnosi se na IP adresu izvora, ovdje moramo odabrati Korisnički definirano, a zatim odabrati verziju 4, osim ako radite u okruženju IPv6 u kojem slučaju biste odabrali verziju 6. Sada upišite IP adresu kojoj će biti dopušten pristup i unesite u mrežnoj maski koja odgovara svim bitnim bitovima za pregled.
Na primjer, budući da je moja IP adresa 192.168.1.233, potrebno je ispitati cijelu IP adresu i stoga mi je potrebna mrežna maska 255.255.255.255. Da sam htio da se pravilo primjenjuje na sve na cijeloj podmreži, koristio bih masku 255.255.255.0. To bi značilo da bi svatko s adresom 192.168.1.x bio dopušten. To očito nije ono što želim učiniti, ali nadam se da to objašnjava kako koristiti mrežnu masku. Imajte na umu da mrežna maska nije maska podmreže za vašu mrežu. Mrežna maska jednostavno kaže koje bitove Cisco treba gledati pri primjeni pravila.
Kliknite Primijeni i trebali biste imati novi pristupni profil i pravilo! Kliknite na Pravila profila u lijevom izborniku i trebali biste vidjeti novo pravilo na vrhu.
Sada moramo dodati naše drugo pravilo. Da biste to učinili, kliknite gumb Dodaj u tablici Pravila profila .
Drugo pravilo je stvarno jednostavno. Prvo, provjerite je li naziv profila pristupa isti onaj koji smo upravo stvorili. Sada, pravilo dajemo prioritetu od 2 i odabiremo Deny za akciju . Provjerite je li sve ostalo postavljeno na Sve . To znači da će sve IP adrese biti blokirane. Međutim, budući da će prvo biti obrađeno prvo pravilo, IP adresa će biti dopuštena. Kada se pravilo uskladi, druga pravila se zanemaruju. Ako se IP adresa ne podudara s prvim pravilom, doći će do drugog pravila, gdje će se podudarati i blokirati. Lijepo!
Konačno, moramo aktivirati novi pristupni profil. Da biste to učinili, vratite se na Profili pristupa i odaberite novi profil s padajućeg popisa na vrhu (pored profila Aktivni pristup ). Svakako kliknite na Apply i trebali biste biti spremni.
Zapamtite da je konfiguracija trenutno spremljena samo u konfiguriranom programu. Provjerite jeste li otišli u Administracija - Upravljanje datotekama - Kopiraj / Spremi konfiguraciju da biste kopirali pokrenutu konfiguraciju u konfiguriranje pri pokretanju.
Ako želite dopustiti pristup više od jedne IP adrese prekidaču, samo stvorite drugo pravilo kao prvo, ali dajte mu veći prioritet. Morat ćete također osigurati da promijenite prioritet pravila za zabranu, tako da on ima veći prioritet od svih pravila dopuštenja . Ako naiđete na bilo kakve probleme ili ne uspijete natjerati ovo da radi, slobodno postavite komentare i ja ću pokušati pomoći. Uživati!