Daha fazla güvenlik için, yerel alt ağımdaki Cisco SG300-10 anahtarına erişimi yalnızca bir IP adresine kısıtlamak istedim. 0'dan birkaç hafta sonra, LAN veya WLAN'ımla bağlantı yapan herhangi birinin cihaz için sadece IP adresini bilmesiyle giriş sayfasına ulaşabileceğini bilmekten mutlu değildim.
Yönetim erişimi için istediklerim dışındaki tüm IP adreslerini engellemeye nasıl karar vereceğimi anlamak için 500 sayfalık el kitabından elemeyi bitirdim. Cisco forumlarına bir çok test ve birkaç mesajdan sonra anladım! Bu makalede, Cisco anahtarınız için erişim profilleri ve profil kurallarını yapılandırmak için adım adım size yol göstereceğim.
Not: Aşağıdaki yönteme gideceğim açıkla, anahtarınızdaki herhangi bir etkinleştirilmiş hizmete erişimi kısıtlamanıza da olanak tanır. Örneğin, SSH, HTTP, HTTPS, Telnet veya bu hizmetlerin tümüne IP adresi ile erişimi kısıtlayabilirsiniz.
Yönetim Erişimi Profili Oluştur & amp; Kurallar
Başlamak için anahtarınız için web arayüzüne giriş yapın ve Güvenlik'i genişletin ve ardından Mgmt Erişim Yöntemi' ni genişletin. Devam edin ve Erişim Profilleri'ni tıklayın.
Yapmamız gereken ilk şey yeni bir erişim profili oluşturmaktır. . Varsayılan olarak, yalnızca Yalnızca Konsol Sadeceprofilini görmelisiniz. Ayrıca, Etkin Erişim Profili'nin yanında Hiçbiriseçeneğinin en üstte olduğunu görürsünüz. Profilimizi ve kurallarımızı oluşturduktan sonra, onu etkinleştirmek için profilin adını seçmemiz gerekecek.
Şimdi Ekledüğmesini tıklayın. Yeni profilinizi adlandırabileceğiniz ve yeni profil için ilk kuralı ekleyebileceğiniz bir iletişim kutusu açın.
At Üstte, yeni profilinize bir isim verin. Diğer tüm alanlar, yeni profile eklenecek ilk kuralla ilgilidir. Kural Önceliğiiçin, 1 ile 65535 arasında bir değer seçmeniz gerekir. Cisco'nun çalışma şekli, en düşük önceliğe sahip kuralın önce uygulanmasıdır. Eşleşmiyorsa, en düşük önceliğe sahip sonraki kural uygulanır.
Örneğimde, bu kuralın işlenmesini istediğim için 1önceliğini seçtim. ilk. Bu kural, anahtara erişim vermek istediğim IP adresine izin veren kural olacaktır. Yönetim Yöntemialtında, belirli bir hizmeti seçebilir veya tümünü seçerek her şeyi kısıtlayabilirsiniz. Benim durumumda, herşeyi seçtim çünkü sadece SSH ve HTTPS'yi etkinleştirdim ve her iki hizmeti de tek bir bilgisayardan yönetiyorum.
Sadece SSH ve HTTPS'yi güvenceye almak istiyorsanız, bunu yapmanız gerektiğini unutmayın. iki ayrı kural oluştur. Eylemyalnızca Reddetveya İzin Verolabilir. Örneğimde, izin verilen IP için bu yana İzin Ver'i seçtim. Ardından, kuralı cihazdaki belirli bir arayüze uygulayabilir veya tüm bağlantı noktalarına uygulanabilmesi için Tümü'de bırakabilirsiniz.
Kaynak IP Adresine Uygulanıraltında, burada Kullanıcı Tanımlı'yı seçmemiz ve ardından Sürüm 4' ü seçmeniz gerekir. Bu durumda IPv6 ortamı Sürüm 6'yı seçecektir. Şimdi erişilmesine izin verilecek IP adresine girin ve bakılacak tüm ilgili bitlerle eşleşen bir ağ maskesini yazın.
Örneğin, IP adresim 192.168.1.233, tüm IP adresinin incelenmesi gerekiyor ve dolayısıyla 255.255.255.255 ağ maskesine ihtiyacım var. Kuralın tüm alt ağdaki herkese uygulanmasını istemiş olsaydım, 255.255.255.0 maskesini kullanırdım. Bu, 192.168.1.x adresine sahip olan herkesin kullanılabileceği anlamına gelir. Yapmak istediğim bu değil tabii ki, ama umarım ağ maskesinin nasıl kullanılacağını açıklar. Ağ maskesinin ağınız için alt ağ maskesi olmadığını unutmayın. Ağ maskesi, kural uygularken Cisco'nun hangi bitlere bakması gerektiğini belirtir.
Uygula'yı tıklayın ve şimdi yeni bir erişim profiliniz ve kuralınız olmalıdır! Soldaki menüde Profil Kuralları'nı tıklayın ve en üstte listelenen yeni kuralı görmelisiniz.
Şimdi ikinci kuralımızı eklememiz gerekiyor. Bunu yapmak için Profil Kuralı Tablosualtında gösterilen Ekledüğmesini tıklayın.
İkinci kural gerçekten çok basit. İlk olarak, Erişim Profili Adının yeni oluşturduğumuzla aynı olduğundan emin olun. Şimdi, kuralı 2önceliğine veriyoruz ve Eylemiçin Reddet'i seçiyoruz. Diğer her şeyin Tümüolarak ayarlandığından emin olun. Bu, tüm IP adreslerinin engelleneceği anlamına gelir. Ancak, ilk kuralımız ilk işleneceğinden, bu IP adresine izin verilecektir. Bir kural eşleştirildiğinde, diğer kurallar dikkate alınmaz. Bir IP adresi ilk kuralla eşleşmezse, eşleşeceği ve engelleneceği bu ikinci kurala gelir. Güzel!
Son olarak, yeni erişim profilini aktif hale getirmeliyiz. Bunu yapmak için Erişim Profilleri'ye geri dönün ve açılan listeden en üstteki yeni profili seçin (Etkin Erişim Profili' nin yanındaki). Uygula'yı tıkladığınızdan emin olun. Gitmek için iyi olmalısınız.
Konfigürasyonun sadece kaydedildiğini unutmayın. çalışan yapılandırmada. Çalışan yapılandırmayı başlangıç yapılandırmasına kopyalamak için Yönetim- Dosya Yönetimi- Yapılandırmayı Kopyala / Kaydet'e gittiğinizden emin olun.
Anahtara birden fazla IP adresi erişimine izin vermek istiyorsanız, ilkine benzer bir kural oluşturun, ancak daha yüksek bir öncelik verin. Ayrıca, İzin Verkuralının önceliğini değiştirdiğinizden emin olmanız gerekir. Böylece, İzinkurallarının hepsinden daha yüksek bir önceliğe sahiptir. Herhangi bir sorunla karşılaşırsanız veya bunu işe yaramazsa, yorumlarda yayınlamaktan çekinmeyin ve yardımcı olmaya çalışacağım. Tadını çıkarın!