Begränsa åtkomst till Cisco Switch baserat på IP-adress

För ökad säkerhet ville jag begränsa åtkomsten till min Cisco SG300-10- switch till endast en IP-adress i mitt lokala subnät. Efter att ha konfigurerat min nya switch för(initially configuring my new switch) några veckor sedan, var jag inte nöjd med att veta att någon som var ansluten till mitt LAN eller WLAN kunde komma till inloggningssidan genom att bara veta enhetens IP-adress.

Det slutade med att jag sållade igenom manualen på 500 sidor för att ta reda på hur jag skulle gå tillväga för att blockera alla IP-adresser utom de jag ville ha för åtkomst till ledningen. Efter mycket testande och flera inlägg på Cisco- forumen kom jag på det! I den här artikeln går jag igenom stegen för att konfigurera åtkomstprofiler och profilregler för din Cisco- switch.

Obs: Följande metod jag ska beskriva låter dig också begränsa åtkomsten till valfritt antal aktiverade tjänster på din switch. Du kan till exempel begränsa åtkomsten till SSH, HTTP, HTTPS, Telnet eller alla dessa tjänster efter IP-adress. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

Skapa hanteringsåtkomstprofil(Create Management Access Profile) och regler(Rules)

För att komma igång, logga in på webbgränssnittet för din switch och expandera Säkerhet(Security) och expandera sedan Mgmt Access Method . Gå vidare och klicka på Åtkomstprofiler(Access Profiles) .

Det första vi behöver göra är att skapa en ny åtkomstprofil. Som standard bör du bara se profilen Endast konsol . (Console Only)Du kommer också att märka högst upp att Ingen(None) är markerad bredvid Profil för aktiv åtkomst( Active Access Profile) . När vi har skapat vår profil och våra regler måste vi välja namnet på profilen här för att aktivera den.

Klicka nu på knappen Lägg till(Add) och detta bör ta upp en dialogruta där du kan namnge din nya profil och även lägga till den första regeln för den nya profilen.

Ge din nya profil ett namn högst upp. Alla andra fält hänför sig till den första regeln som kommer att läggas till i den nya profilen. För Regelprioritet( Rule Priority) måste du välja ett värde mellan 1 och 65535. Ciscos(Cisco) sätt att arbeta är att regeln med lägst prioritet tillämpas först. Om det inte stämmer överens tillämpas nästa regel med lägst prioritet.

I mitt exempel valde jag prioritet 1 eftersom jag vill att denna regel ska behandlas först. Denna regel kommer att vara den som tillåter IP-adressen som jag vill ge åtkomst till switchen. Under Hanteringsmetod(Management Method) kan du antingen välja en specifik tjänst eller välja alla, vilket kommer att begränsa allt. I mitt fall valde jag allt eftersom jag ändå bara har SSH och HTTPS aktiverat och jag hanterar båda tjänsterna från en dator.

Observera att om du bara vill säkra SSH och HTTPS måste du skapa två separata regler. Åtgärden kan endast vara Neka(Deny) eller Tillåta (Action). (Permit)Som mitt exempel valde jag Permit eftersom detta kommer att vara för den tillåtna IP-adressen. Därefter(Next) kan du tillämpa regeln på ett specifikt gränssnitt på enheten eller så kan du bara lämna den alls(All) så att den gäller för alla portar.

Under Gäller källans IP-adress(Applies to Source IP Address) måste vi välja Användardefinierad( User Defined) här och sedan välja Version 4 , såvida du inte arbetar i en IPv6- miljö i vilket fall du skulle välja Version 6 . Skriv nu in IP-adressen som kommer att tillåtas åtkomst och skriv in en nätverksmask som matchar alla relevanta bitar som ska tittas på.

Till exempel, eftersom min IP-adress är 192.168.1.233, måste hela IP-adressen undersökas och därför behöver jag en nätverksmask på 255.255.255.255. Om jag ville att regeln skulle gälla för alla på hela undernätet skulle jag använda en mask på 255.255.255.0. Det skulle innebära att alla med en 192.168.1.x-adress skulle tillåtas. Det är naturligtvis inte det jag vill göra, men förhoppningsvis förklarar det hur man använder nätverksmasken. Observera att nätverksmasken inte är subnätmasken för ditt nätverk. Nätverksmasken säger helt enkelt vilka bitar Cisco ska titta på när regeln tillämpas.

Klicka på Använd(Apply) och du bör nu ha en ny åtkomstprofil och regel! Klicka(Click)Profilregler( Profile Rules) i menyn till vänster och du bör se den nya regeln listad överst.

Nu måste vi lägga till vår andra regel. För att göra detta klickar du på knappen Lägg till(Add) som visas under profilregeltabellen(Profile Rule Table) .

Den andra regeln är väldigt enkel. Se först till att namnet på åtkomstprofilen(Access Profile Name) är detsamma som vi nyss skapade. Nu ger vi bara regeln prioritet 2 och väljer Neka(Deny) för åtgärden(Action) . Se till att allt annat är inställt på Alla(All) . Det betyder att alla IP-adresser kommer att blockeras. Men eftersom vår första regel kommer att behandlas först, kommer den IP-adressen att tillåtas. När en regel har matchats ignoreras de andra reglerna. Om en IP-adress inte matchar den första regeln kommer den till denna andra regel, där den matchar och blockeras. Trevlig!

Slutligen måste vi aktivera den nya åtkomstprofilen. För att göra det, gå tillbaka till Access Profiler( Access Profiles) och välj den nya profilen från rullgardinsmenyn högst upp (bredvid Active Access Profile ). Se till att klicka på Apply och du bör vara igång.

Kom ihåg(Remember) att konfigurationen för närvarande endast sparas i den pågående konfigurationen. Se till att du går till AdministrationFilhantering( File Management)Copy/Save Configuration för att kopiera den körande konfigurationen till startkonfigurationen.

Om du vill tillåta mer än en IP-adress åtkomst till switchen, skapa bara en annan regel som den första, men ge den högre prioritet. Du måste också se till att du ändrar prioritet för Neka-(Deny) regeln så att den har högre prioritet än alla Permit- regler. Om du stöter på några problem eller inte kan få det här att fungera, skriv gärna i kommentarerna så ska jag försöka hjälpa till. Njut av!



Martin Gustafsson

About the author

Jag är en webbutvecklare med över 10 års erfarenhet av att arbeta med webbläsarna Firefox och Google Docs. Jag är specialist på att skapa enkla men kraftfulla onlineapplikationer och har utvecklat webbaserade lösningar för både små företag och stora organisationer. Min kundbas inkluderar några av de största företagen, inklusive FedEx, Coca Cola och Macy's. Mina kunskaper som utvecklare gör mig till en idealisk kandidat för alla projekt som behöver slutföras snabbt och effektivt - från att utveckla anpassade webbplatser till att skapa robusta e-postmarknadsföringskampanjer.


Related posts