Für zusätzliche Sicherheit wollte ich den Zugriff auf meinen Cisco SG300-10-Switch auf nur eine IP-Adresse in meinem lokalen Subnetz beschränken. Nachdem Zunächst konfiguriere ich meinen neuen Switch einige Wochen zurück war, war ich nicht glücklich zu wissen, dass jeder, der mit meinem LAN oder WLAN verbunden war, auf die Anmeldeseite gelangen konnte, wenn er die IP-Adresse des Geräts kannte.
Ich habe das 500-seitige Handbuch durchgelesen, um herauszufinden, wie man alle IP-Adressen blockiert, außer denen, die ich für den Management-Zugriff verwenden wollte. Nach vielen Tests und mehreren Posts in den Cisco Foren habe ich es herausgefunden! In diesem Artikel führen wir Sie durch die Schritte zum Konfigurieren von Zugriffsprofilen und Profilregeln für Ihren Cisco-Switch.
Hinweis: Die folgende Methode, die ich verwenden werde Mit Beschreibung können Sie auch den Zugriff auf beliebig viele aktivierte Dienste auf Ihrem Switch beschränken. Beispielsweise können Sie den Zugriff auf SSH, HTTP, HTTPS, Telnet oder alle diese Dienste über die IP-Adresse einschränken.
Verwaltungszugriffsprofil erstellen & amp; Regeln
Loggen Sie sich zunächst in das Webinterface für Ihren Switch ein und erweitern Sie Sicherheitund erweitern Sie dann die Mgmt-Zugriffsmethode. Fahren Sie fort und klicken Sie auf Zugriffsprofile.
Als Erstes müssen Sie ein neues Zugriffsprofil erstellen . Standardmäßig sollten Sie nur das Profil Nur Konsolesehen. Außerdem werden Sie oben bemerken, dass Keineneben Aktives Zugriffsprofilausgewählt ist. Sobald wir unser Profil und unsere Regeln erstellt haben, müssen wir hier den Namen des Profils auswählen, um es zu aktivieren.
Klicke nun auf Hinzufügenund das sollte Öffnet ein Dialogfeld, in dem Sie Ihr neues Profil benennen und die erste Regel für das neue Profil hinzufügen können.
At Geben Sie Ihrem neuen Profil einen Namen. Alle anderen Felder beziehen sich auf die erste Regel, die dem neuen Profil hinzugefügt wird. Für Regelprioritätmüssen Sie einen Wert zwischen 1 und 65535 auswählen. Cisco arbeitet so, dass die Regel mit der niedrigsten Priorität zuerst angewendet wird. Wenn es nicht übereinstimmt, wird die nächste Regel mit der niedrigsten Priorität angewendet.
In meinem Beispiel habe ich eine Priorität von 1gewählt, weil diese Regel verarbeitet werden soll zuerst. Diese Regel wird diejenige sein, die die IP-Adresse zulässt, die ich dem Switch zuweisen möchte. Unter Verwaltungsmethodekönnen Sie entweder einen bestimmten Dienst auswählen oder alle auswählen, wodurch alles eingeschränkt wird. In meinem Fall habe ich alle gewählt, weil ich nur SSH und HTTPS aktiviert habe und ich beide Dienste von einem Computer aus verwalte.
Beachten Sie, dass Sie, wenn Sie nur SSH und HTTPS sichern möchten Erstelle zwei separate Regeln. Die Aktionkann nur Verweigernoder Erlaubensein. Für mein Beispiel wählte ich Erlaube, da dies für die erlaubte IP sein wird. Als Nächstes können Sie die Regel auf eine bestimmte Schnittstelle auf dem Gerät anwenden oder Sie können sie einfach auf Allebelassen, damit sie für alle Ports gilt.
Unter Gilt für Quell-IP-Adressemüssen Sie hier Benutzerdefiniertauswählen und dann Version 4auswählen, es sei denn, Sie arbeiten in einem IPv6-Umgebung. In diesem Fall würden Sie Version 6 wählen. Geben Sie nun die IP-Adresse ein, auf die Zugriff gewährt werden soll, und geben Sie eine Netzwerkmaske ein, die alle relevanten Bits berücksichtigt.
Zum Beispiel seit meine IP-Adresse ist 192.168.1.233, die gesamte IP-Adresse muss untersucht werden und daher brauche ich eine Netzwerkmaske von 255.255.255.255. Wenn ich wollte, dass die Regel für alle im gesamten Subnetz gilt, würde ich eine Maske von 255.255.255.0 verwenden. Das würde bedeuten, dass jemand mit einer 192.168.1.x Adresse erlaubt wäre. Das ist natürlich nicht das, was ich tun möchte, aber hoffentlich erklärt das, wie man die Netzwerkmaske benutzt. Beachten Sie, dass die Netzwerkmaske nicht die Subnetzmaske für Ihr Netzwerk ist. Die Netzwerkmaske sagt einfach, welche Bits Cisco beim Anwenden der Regel betrachten sollte.
Klicken Sie auf Anwendenund Sie sollten jetzt ein neues Zugriffsprofil und eine neue Regel haben! Klicken Sie im linken Menü auf Profilregelnund Sie sollten die neue Regel oben sehen.
Jetzt müssen wir unsere zweite Regel hinzufügen. Klicken Sie dazu auf die Schaltfläche Hinzufügen, die unter Profilregeltabelleangezeigt wird.
Die zweite Regel ist wirklich einfach. Stellen Sie zunächst sicher, dass der Name des Zugriffsprofils derselbe ist, den wir gerade erstellt haben. Nun geben wir der Regel eine Priorität von 2und wählen Verweigernfür die Aktion. Stellen Sie sicher, dass alles andere auf Alleeingestellt ist. Dies bedeutet, dass alle IP-Adressen blockiert werden. Da jedoch unsere erste Regel zuerst verarbeitet wird, ist diese IP-Adresse zulässig. Sobald eine Regel übereinstimmt, werden die anderen Regeln ignoriert. Wenn eine IP-Adresse nicht mit der ersten Regel übereinstimmt, kommt es zu dieser zweiten Regel, wo sie übereinstimmt und blockiert wird. Nett!
Schließlich müssen wir das neue Zugangsprofil aktivieren. Wechseln Sie dazu zu Zugriffsprofileund wählen Sie das neue Profil oben in der Dropdownliste (neben Aktives Zugriffsprofil) aus. Stellen Sie sicher, dass Sie auf Anwendenklicken, und Sie sollten loslegen können.
Denken Sie daran, dass die Konfiguration derzeit nur gespeichert wird in der laufenden Konfiguration. Stellen Sie sicher, dass Sie zu Verwaltung- Dateiverwaltung- Konfiguration kopieren / speicherngehen, um die laufende Konfiguration in die Startkonfiguration zu kopieren.
Wenn Sie mehr als einen IP-Adresszugriff auf den Switch zulassen möchten, erstellen Sie einfach eine andere Regel wie die erste, geben Sie ihr jedoch eine höhere Priorität. Sie müssen außerdem sicherstellen, dass Sie die Priorität für die Regel Verweigernändern, damit sie eine höhere Priorität als alle Genehmigen-Regeln hat. Wenn Sie auf irgendwelche Probleme stoßen oder dies nicht zur Arbeit bringen können, zögern Sie nicht, in den Kommentaren zu posten und ich werde versuchen zu helfen. Viel Spaß!