Begränsa åtkomst till Cisco Switch baserat på IP-adress

För ökad säkerhet ville jag begränsa åtkomsten till min Cisco SG300-10 switch(Cisco SG300-10) med endast en IP-adress på mitt lokala subnät. Efter att först ha konfigurerat min nya switch för några veckor sedan var jag inte nöjd med att veta att någon som var ansluten till min lokal(LAN) eller trådlös(WLAN) nätverk, kan komma till inloggningssidan bara genom att veta enhetens IP-adress.

Det slutade med att jag gick igenom en guide på 500 sidor för att ta reda på hur man blockerar alla IP-adresser utom de jag behövde för åtkomst till ledningen. Efter mycket testande och flera inlägg på forumet Cisco jag kom på det! (Cisco)I den här artikeln ska jag visa dig hur du ställer in åtkomstprofiler och profilregler för din Cisco switch(Cisco).

Notera. Nästa metod jag ska beskriva låter dig också begränsa åtkomsten till valfritt antal aktiverade tjänster på din Switch. Du kan till exempel begränsa åtkomsten till SSH, HTTP, HTTPS, Telnet eller alla dessa tjänster efter IP-adress. (Obs: Följande metod jag ska beskriva låter dig också begränsa åtkomsten till valfritt antal aktiverade tjänster på din switch. Du kan till exempel begränsa åtkomsten till SSH, HTTP, HTTPS, Telnet eller alla dessa tjänster via IP adress.)

Skapa en profil(Skapa Management Access Profile) och kontrollera åtkomstregler(Regler)

För att komma igång, logga in på din Switchs webbgränssnitt och utöka ” Säkerhet(Säkerhet)” och expandera sedan “Management Access Method”(Mgmt Access Method) . Gå vidare och klicka på ” Tillgång till profiler(Åtkomst till profiler) » .

Det första vi behöver göra är att skapa en ny åtkomstprofil. Som standard ska du bara se profilen Endast konsol. Du kommer också att märka överst att bredvid Aktiv åtkomstprofil vald (Active Access Profile)Ingen . När vi har skapat vår profil och våra regler måste vi välja ett profilnamn här för att aktivera det.

Klicka nu på ” Lägg till(Lägg till)” och detta bör öppna en dialogruta där du kan namnge din nya profil och även lägga till den första regeln för den nya profilen.

Ge din nya profil ett namn högst upp. Alla andra fält hänvisar till den första regeln som ska läggas till i den nya profilen. För Regelprioritet( Regelprioritet), måste du välja ett värde från 1 till 65535. Hur det fungerar Cisco är att regeln med lägst prioritet tillämpas först. Om den inte matchar, tillämpas nästa regel med lägst prioritet.

I mitt exempel valde jag prioritet ett , eftersom jag vill att denna regel ska behandlas först. Denna regel kommer att vara den som tillåter IP-adressen som jag vill ge åtkomst till switchen. I kapitlet ” Kontroll metod(Management Method) » du kan välja en specifik tjänst eller välja alla, vilket kommer att begränsa allt. I mitt fall valde jag alla, eftersom jag fortfarande bara har SSH och HTTPS och jag hanterar båda tjänsterna från samma maskin.(https)

Observera: om du bara vill skydda SSH och HTTPS måste du skapa två separata regler. Handlingen kan vara endast (Handling)Förneka eller Tillåta . I mitt exempel valde jag tillåta(Permit) , eftersom det skulle vara för en tillåten IP-adress. Ytterligare(Nästa) du kan tillämpa regeln på ett specifikt gränssnitt på enheten, eller bara lämna den på Allt att gälla alla hamnar.

I kapitel “Gäller källans IP-adress(Gäller källans IP-adress) “vi måste välja här” Användardefinierad(Användardefinierad) “, och välj sedan ” Version 4(Version 4)” om du inte kör en IPv6 i så fall bör du välja ” Version 6″(Version 6). Ange nu IP-adressen som kommer att tillåtas åtkomst och ange nätmasken som matchar alla relevanta bitar att se.

Till exempel, eftersom min IP-adress är 192.168.1.233 måste hela IP-adressen kontrolleras, så jag behöver en nätmask på 255.255.255.255. Om jag ville att regeln skulle gälla för alla på hela undernätet skulle jag använda masken 255.255.255.0. Detta skulle innebära att alla med adressen 192.168.1.x skulle tillåtas. Det är naturligtvis inte vad jag vill göra, men förhoppningsvis förklarar detta hur man använder nätmasken. Observera att nätmasken inte är subnätmasken för ditt nätverk. Nätmasken indikerar helt enkelt vilka bitar Cisco bör beaktas vid tillämpningen av regeln.

Klick ” Tillämpa(Ansök)” och du bör nu ha en ny åtkomstprofil och regel! Klick(Klick) ” Profilregler»( Profilregler) i menyn till vänster, och du bör se den nya regeln listad överst.

Nu måste vi lägga till vår andra regel. För att göra detta, klicka på knappen ” Lägg till(Lägg till)” visas under profilreglertabell(Profilregeltabell).

Den andra regeln är väldigt enkel. Kontrollera först namnet åtkomstprofil(Access Profile Name) matchar namnet vi just skapade. Nu ger vi bara regeln prioritet 2 och välj Förneka för handling . Se till att allt annat är inställt på Allt . Detta innebär att alla IP-adresser kommer att blockeras. Men eftersom vår första regel kommer att behandlas först, kommer denna IP-adress att lösas. När en regel har matchats ignoreras andra regler. Om IP-adressen inte matchar den första regeln kommer den att falla in i den andra regeln där den matchar och blockeras. Trevlig!

Slutligen måste vi aktivera den nya åtkomstprofilen. För att göra detta, gå tillbaka till Få åtkomst till profiler»( Åtkomstprofiler) och välj en ny profil från rullgardinsmenyn högst upp (bredvid Active Access-profil(Active Access Profile) ). Se till att klicka på ” Tillämpa”(Ansök) så är du klar.

Kom ihåg(Kom ihåg) att konfigurationen för närvarande endast sparas i den aktuella konfigurationen. Se till att du går till ” Administrering(Administrering) ” – ” Filhantering”(Filhantering) – ” Kopiera/spara konfiguration » för att kopiera den aktuella konfigurationen till körkonfigurationen.

Om du vill tillåta mer än en IP-adress att komma åt switchen, skapa helt enkelt en annan regel som liknar den första, men ge den högre prioritet. Du måste också se till att du ändrar prioritet för regeln ” förbjuda(Neka)” så att den har högre prioritet än alla regler ” Tillstånd “. (Tillstånd) Om du stöter på några problem eller inte kan få det här att fungera, skriv gärna i kommentarerna så ska jag försöka hjälpa till. Njut av!

För ökad säkerhet ville jag begränsa åtkomsten till min Cisco SG300-10-switch till endast en IP-adress i mitt lokala subnät. Efter att ha konfigurerat min nya switch för några veckor sedan, var jag inte nöjd med att veta att någon som var ansluten till mitt LAN eller WLAN kunde komma till inloggningssidan genom att bara veta enhetens IP-adress.

Det slutade med att jag sållade igenom den 500 sidor långa manualen för att ta reda på hur jag skulle gå tillväga för att blockera alla IP-adresser utom de jag ville ha för åtkomst till ledningen. Efter mycket testande och flera inlägg på Cisco-forumen kom jag på det! I den här artikeln går jag igenom stegen för att konfigurera åtkomstprofiler och profilregler för din Cisco-switch.

Skapa hanteringsåtkomstprofil och regler

För att komma igång, logga in på webbgränssnittet för din switch och expandera säkerhet och expandera sedan Mgmt åtkomstmetod. Gå vidare och klicka på Åtkomst till profiler.

Det första vi behöver göra är att skapa en ny åtkomstprofil. Som standard bör du bara se Endast konsol profil. Det märker du också högst upp Ingen väljs bredvid Aktiv åtkomstprofil. När vi har skapat vår profil och våra regler måste vi välja namnet på profilen här för att aktivera den.

Klicka nu på Lägg till knappen och detta bör ta upp en dialogruta där du kommer att kunna namnge din nya profil och även lägga till den första regeln för den nya profilen.

Ge din nya profil ett namn högst upp. Alla andra fält hänför sig till den första regeln som kommer att läggas till i den nya profilen. För Regelprioritet, måste du välja ett värde mellan 1 och 65535. Så som Cisco fungerar är att regeln med lägst prioritet tillämpas först. Om det inte stämmer överens tillämpas nästa regel med lägst prioritet.

I mitt exempel valde jag en prioritering av ett eftersom jag vill att denna regel ska behandlas först. Denna regel kommer att vara den som tillåter IP-adressen som jag vill ge åtkomst till switchen. Under Ledningsmetod, kan du antingen välja en specifik tjänst eller välja alla, vilket kommer att begränsa allt. I mitt fall valde jag alla eftersom jag ändå bara har SSH och HTTPS aktiverat och jag hanterar båda tjänsterna från en dator.

Observera att om du bara vill säkra SSH och HTTPS, måste du skapa två separata regler. De handling bara kan vara Förneka eller Tillåta. För mitt exempel valde jag Tillåta eftersom detta kommer att vara för den tillåtna IP-adressen. Därefter kan du tillämpa regeln på ett specifikt gränssnitt på enheten eller så kan du bara lämna den på Allt så att det gäller alla hamnar.

Under Gäller källans IP-adressvi måste välja Användardefinierad här och sedan välja Version 4såvida du inte arbetar i en IPv6-miljö i vilket fall du skulle välja version 6. Skriv nu in IP-adressen som kommer att tillåtas åtkomst och skriv in en nätverksmask som matchar alla relevanta bitar som ska tittas på.

Till exempel, eftersom min IP-adress är 192.168.1.233, måste hela IP-adressen undersökas och därför behöver jag en nätverksmask på 255.255.255.255. Om jag ville att regeln skulle gälla för alla på hela undernätet skulle jag använda en mask på 255.255.255.0. Det skulle innebära att alla med en 192.168.1.x-adress skulle tillåtas. Det är naturligtvis inte det jag vill göra, men förhoppningsvis förklarar det hur man använder nätverksmasken. Observera att nätverksmasken inte är subnätmasken för ditt nätverk. Nätverksmasken säger helt enkelt vilka bitar Cisco ska titta på när regeln tillämpas.

Klick tillämpa och du bör nu ha en ny åtkomstprofil och regel! Klicka på Profilregler i menyn till vänster och du bör se den nya regeln listad överst.

Nu måste vi lägga till vår andra regel. För att göra detta, klicka på Lägg till knappen som visas under Profil Regeltabell.

Den andra regeln är väldigt enkel. Se först till att namnet på åtkomstprofilen är samma som vi nyss skapade. Nu ger vi bara regeln en prioritet 2 och välj Förneka för handling. Se till att allt annat är inställt på Allt. Detta innebär att alla IP-adresser kommer att blockeras. Men eftersom vår första regel kommer att behandlas först, kommer den IP-adressen att tillåtas. När en regel har matchats ignoreras de andra reglerna. Om en IP-adress inte matchar den första regeln kommer den till denna andra regel, där den matchar och blockeras. Trevlig!

Slutligen måste vi aktivera den nya åtkomstprofilen. För att göra det, gå tillbaka till Åtkomst till profiler och välj den nya profilen från rullgardinsmenyn högst upp (bredvid Aktiv åtkomstprofil). Se till att klicka tillämpa och du borde vara bra att gå.

Kom ihåg att konfigurationen för närvarande endast sparas i den pågående konfigurationen. Se till att du går till Administrering FilhanteringKopiera/spara konfiguration för att kopiera den körande konfigurationen till startkonfigurationen.

Om du vill tillåta mer än en IP-adress åtkomst till switchen, skapa bara en annan regel som den första, men ge den högre prioritet. Du måste också se till att du ändrar prioritet för Förneka regel så att den har högre prioritet än alla Tillåta regler. Om du stöter på några problem eller inte kan få det här att fungera, skriv gärna i kommentarerna så ska jag försöka hjälpa till. Njut av!