Для дополнительной безопасности я хотел ограничить доступ к моему коммутатору Cisco SG300-10^{(Cisco SG300-10)} только одним IP-адресом в моей локальной подсети. После первоначальной настройки моего нового коммутатора^{(initially configuring my new switch)} несколько недель назад я не был счастлив, зная, что любой, кто подключен к моей локальной^(LAN) или беспроводной^(WLAN) сети , может попасть на страницу входа, просто зная IP-адрес устройства.

В конце концов я просмотрел 500-страничное руководство, чтобы выяснить, как заблокировать все IP-адреса, кроме тех, которые мне нужны для доступа к управлению. После долгих тестов и нескольких сообщений на форумах Cisco я понял это! ^(Cisco)В этой статье я расскажу вам, как настроить профили доступа и правила профилей для вашего коммутатора Cisco^(Cisco) .

Примечание. Следующий метод, который я собираюсь описать, также позволяет вам ограничить доступ к любому количеству включенных служб на вашем коммутаторе. Например, вы можете ограничить доступ к SSH, HTTP, HTTPS, Telnet или ко всем этим службам по IP-адресу. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Создание профиля^{(Create Management Access Profile)} и правил доступа к управлению^(Rules)

Чтобы начать работу, войдите в веб-интерфейс своего коммутатора и разверните раздел « Безопасность^(Security) », а затем разверните «Метод доступа к управлению»^{(Mgmt Access Method)} . Идем дальше и нажмите « Доступ к профилям^{(Access Profiles)} » .

Первое, что нам нужно сделать, это создать новый профиль доступа. По умолчанию вы должны видеть только профиль Console Only . Кроме того, вы заметите вверху, что рядом с профилем Active Access выбрано ^{( Active Access Profile)}None . После того, как мы создали наш профиль и правила, нам нужно будет выбрать здесь имя профиля, чтобы активировать его.

Теперь нажмите кнопку « Добавить^(Add) » , и это должно открыть диалоговое окно, в котором вы сможете назвать свой новый профиль, а также добавить первое правило для нового профиля.

Вверху дайте вашему новому профилю имя. Все остальные поля относятся к первому правилу, которое будет добавлено в новый профиль. Для Приоритета правила^{( Rule Priority)} необходимо выбрать значение от 1 до 65535. Принцип работы Cisco заключается в том, что правило с самым низким приоритетом применяется первым. Если оно не совпадает, применяется следующее правило с наименьшим приоритетом.

В моем примере я выбрал приоритет 1 , потому что я хочу, чтобы это правило обрабатывалось первым. Это правило будет тем, которое разрешает IP-адрес, которому я хочу предоставить доступ к коммутатору. В разделе « Метод управления^{(Management Method)} » вы можете выбрать конкретную службу или выбрать все, что ограничит все. В моем случае я выбрал все, потому что у меня все равно включены только SSH и HTTPS , и я управляю обеими службами с одного компьютера.^(HTTPS)

Обратите внимание: если вы хотите защитить только SSH и HTTPS , вам нужно создать два отдельных правила. Действие может быть только ^(Action)Deny или Permit . В моем примере я выбрал Разрешить^(Permit) , так как это будет для разрешенного IP-адреса. Далее^(Next) вы можете применить правило к определенному интерфейсу на устройстве или просто оставить его на All , чтобы оно применялось ко всем портам.

В разделе «Применимо к исходному IP-адресу^{(Applies to Source IP Address)} » мы должны выбрать здесь « Определено пользователем^{( User Defined)} », а затем выбрать « Версия 4^{(Version 4)} », если только вы не работаете в среде IPv6 , и в этом случае вы должны выбрать « Версию 6»^{(Version 6)} . Теперь введите IP-адрес, которому будет разрешен доступ, и введите сетевую маску, которая соответствует всем соответствующим битам для просмотра.

Например, поскольку мой IP-адрес 192.168.1.233, необходимо проверить весь IP-адрес, поэтому мне нужна маска сети 255.255.255.255. Если бы я хотел, чтобы правило применялось ко всем во всей подсети, я бы использовал маску 255.255.255.0. Это означало бы, что любой с адресом 192.168.1.x будет разрешен. Это не то, что я хочу сделать, конечно, но, надеюсь, это объясняет, как использовать сетевую маску. Обратите внимание, что маска сети не является маской подсети для вашей сети. Сетевая маска просто указывает, на какие биты Cisco следует обращать внимание при применении правила.

Нажмите « Применить^(Apply) », и теперь у вас должен быть новый профиль доступа и правило! Нажмите^(Click) « Правила профиля»^{( Profile Rules)} в меню слева, и вы должны увидеть новое правило в списке вверху.

Теперь нам нужно добавить наше второе правило. Для этого нажмите кнопку « Добавить^(Add) » , показанную под таблицей правил профиля^{(Profile Rule Table)} .

Второе правило очень простое. Во-первых, убедитесь, что имя профиля доступа^{(Access Profile Name)} совпадает с именем, которое мы только что создали. Теперь мы просто даем правилу приоритет 2 и выбираем Deny для Action . Убедитесь, что все остальное установлено на All . Это означает, что все IP-адреса будут заблокированы. Однако, поскольку наше первое правило будет обработано первым, этот IP-адрес будет разрешен. Как только правило сопоставляется, другие правила игнорируются. Если IP-адрес не соответствует первому правилу, он попадет во второе правило, где он будет соответствовать и будет заблокирован. Ницца!

Наконец, мы должны активировать новый профиль доступа. Для этого вернитесь в « Профили доступа»^{( Access Profiles)} и выберите новый профиль из раскрывающегося списка вверху (рядом с профилем Active Access^{(Active Access Profile)} ). Обязательно нажмите « Применить»^(Apply) , и все будет готово.

Помните^(Remember) , что в настоящее время конфигурация сохраняется только в текущей конфигурации. Убедитесь, что вы перешли в « Администрирование^{(Administration)} » — « Управление файлами»^{( File Management)} — « Copy/Save Configuration » , чтобы скопировать текущую конфигурацию в конфигурацию запуска.

Если вы хотите разрешить доступ к коммутатору более чем одному IP-адресу, просто создайте еще одно правило, подобное первому, но присвойте ему более высокий приоритет. Вам также необходимо убедиться, что вы изменили приоритет правила « Запретить^(Deny) », чтобы оно имело более высокий приоритет, чем все правила « Разрешение ». ^(Permit)Если вы столкнулись с какими-либо проблемами или не можете заставить это работать, не стесняйтесь писать в комментариях, и я постараюсь помочь. Наслаждаться!

Restrict Access to Cisco Switch Based on IP Address

For added security, I wanted to restrict accesѕ to my Cisco SG300-10 switch to only one IP address in my local subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. 

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Related posts

• Как найти IP-адрес вашего WiFi-принтера на Windows и Mac

• Как включить SSH-доступ для коммутаторов Cisco SG300

• Как установить статический IP Address в Windows 10

• Как найти My Router's IP Address?

• Как назначить статический IP-адрес ПК с Windows 11/10

• Как перенести Google Authenticator на новый телефон без потери доступа

• Как собрать свой собственный ноутбук

• Как освободить и обновить IP-адрес

• Как делать скриншоты на Nintendo Switch

• Как загрузить автономный (автономный) установщик Google Chrome

• Как получить доступ и изменить настройки WiFi-маршрутизатора

• Как исправить ошибку «Не удалось получить IP-адрес» на Android

• Включить аутентификацию с открытым ключом для SSH на коммутаторах Cisco SG300

• Как Fix IP Address Conflict

• Как установить свой домашний адрес в Картах Google

• 5 лучших приложений для скрытия IP-адресов для Android 2022

• Рецензия на книгу — Руководство для гиков по Windows 8

• Как найти IP-адрес беспроводной точки доступа

• Как обновить Raspberry Pi

• HDG объясняет: что такое выделенный IP-адрес и стоит ли его получать?