Computer help - file server


[ Blog ] - [ File Server ] - [ Удаленная компьютерная помощь ]

დამატებითი უსაფრთხოების მიზნით, მსურდა შემეზღუდა ჩემი Cisco SG300-10 გადართვის შესვლა მხოლოდ ერთი IP მისამართით ჩემს ადგილობრივ ქვე ქსელში. რამდენიმე კვირის უკან ჩემი ახალი ჩამრთველის თავდაპირველი კონფიგურაციის შემდეგ, ბედნიერი არ ვიყავი, რომ ჩემს LAN ან WLAN ქსელთან დაკავშირებულ პირებს შეეძლოთ შესვლის გვერდზე გადასვლა მოწყობილობის IP მისამართის ცოდნით.

მე დასრულდა 500 გვერდიანი სახელმძღვანელოს გამოკვლევა იმის გასარკვევად, თუ როგორ უნდა გადამეხვია ყველა IP მისამართის დაბლოკვა, გარდა იმ მისამართებისა, რომლებიც მენეჯმენტზე წვდომისთვის მინდოდა. უამრავი ტესტირებისა და Cisco– ს ფორუმებზე რამდენიმე პოსტის შემდეგ, მივხვდი! ამ სტატიაში მე გავალ ნაბიჯებს, რომ დააკონფიგურიროთ წვდომის პროფილები და პროფილების წესები თქვენი Cisco შეცვლისთვის.

შენიშვნა: შემდეგი მეთოდი, რომლის აღწერასაც ვაპირებ, ასევე საშუალებას გაძლევთ შეზღუდოთ წვდომა ნებისმიერი ჩართული სერვისით თქვენს გადამრთველზე. მაგალითად, შეგიძლიათ შეზღუდოთ SSH, HTTP, HTTPS, Telnet ან ყველა ამ სერვისზე წვდომა IP მისამართით. შექმენით მენეჯმენტის წვდომის პროფილი და წესები

დასაწყებად, შედით ვებ – ინტერფეისში თქვენი გადართვისთვის და გააფართოვეთ უსაფრთხოება, შემდეგ კი გააფართოვეთ Mgmt წვდომის მეთოდი. გააგრძელეთ და დააწკაპუნეთ წვდომის პროფილებზე.



პირველი, რაც უნდა გავაკეთოთ, არის ახალი წვდომის პროფილის შექმნა.სტანდარტულად, თქვენ უნდა ნახოთ მხოლოდ კონსოლის მხოლოდ პროფილი. ასევე, ზემოდან შეამჩნევთ, რომ არცერთი არ არის არჩეული აქტიური წვდომის პროფილის გვერდით. მას შემდეგ, რაც შევქმენით ჩვენი პროფილი და წესები, აქ უნდა ავირჩიოთ პროფილის სახელი, რომ გავააქტიუროთ.

ახლა დააჭირეთ ღილაკს დამატება და უნდა გახსნათ დიალოგური ფანჯარა, სადაც შეძლებთ დაასახელოთ თქვენი ახალი პროფილი და ასევე დაამატოთ პირველი წესი ახალი პროფილისთვის.



ზედა ნაწილში დაარქვით თქვენს ახალ პროფილს სახელი. ყველა სხვა ველი ეხება პირველ წესს, რომელიც დაემატება ახალ პროფილს.წესის პრიორიტეტისთვის, თქვენ უნდა აირჩიოთ მნიშვნელობა 1 – დან 65535 – მდე. Cisco– ს მუშაობის მეთოდია, რომ პირველ რიგში გამოყენებულია ყველაზე დაბალი პრიორიტეტის წესი. თუ იგი არ ემთხვევა, მაშინ გამოიყენება შემდეგი ყველაზე დაბალი პრიორიტეტი.

ჩემს მაგალითში მე ავირჩიე პრიორიტეტი 1, რადგან მსურს ჯერ ამ წესის დამუშავება. ეს წესი იქნება ის, რაც საშუალებას მისცემს IP მისამართს, რომლის შეცვლაზე წვდომა მინდა. მენეჯმენტის მეთოდით შეგიძლიათ აირჩიოთ კონკრეტული სერვისი ან აირჩიოთ ყველა, რაც ყველაფერს ზღუდავს.ჩემს შემთხვევაში, მე ავირჩიე ყველა, რადგან მხოლოდ SSH და HTTPS ჩართული მაქვს და ორივე სერვისს ვმართავ ერთი კომპიუტერიდან.

გაითვალისწინეთ, რომ თუ გსურთ დაიცვას მხოლოდ SSH და HTTPS, მაშინ უნდა შექმნათ ორი ცალკეული წესი. მოქმედება მხოლოდ უარყოფა ან ნებართვაა. ჩემი მაგალითისთვის მე ავირჩიე ნებართვა, რადგან ეს იქნება ნებადართული IP- სთვის. შემდეგ, თქვენ შეგიძლიათ გამოიყენოთ წესი სპეციფიკურ ინტერფეისზე მოწყობილობაზე ან შეგიძლიათ დატოვოთ იგი საერთოდ ისე, რომ იგი ვრცელდებოდეს ყველა პორტზე.

მიმართავს წყაროს IP მისამართს, ჩვენ უნდა ავირჩიოთ მომხმარებლის მიერ განსაზღვრული აქ და შემდეგ ავირჩიოთ ვერსია 4, თუ არ მუშაობთ IPv6 გარემოში, ამ შემთხვევაში აირჩევთ 6 ვერსიას.ახლა აკრიფეთ IP მისამართი, რომელზეც დაშვებული იქნება და აკრიფეთ ქსელის ნიღაბი, რომელიც ემთხვევა ყველა შესაბამის ბიტს, რომლის ნახვაც შეიძლება.

მაგალითად, ვინაიდან ჩემი IP მისამართია 192.168.1.233, საჭიროა მთელი IP მისამართის შემოწმება, ამიტომ ქსელის ნიღაბი მჭირდება 255.255.255.255. თუ მსურდა ეს წესი ვრცელდებოდეს ყველას მთელ ქვექსელში, მაშინ გამოვიყენებდი 255.255.255.0 ნიღაბს. ეს ნიშნავს, რომ ყველას, ვისაც აქვს 192.168.1.x მისამართი, ნებადართული იქნება. ცხადია, ეს არ არის ის, რისი გაკეთებაც მსურს, მაგრამ იმედია, ეს ხსნის ქსელის ნიღბის გამოყენებას.გაითვალისწინეთ, რომ ქსელის ნიღაბი არ არის თქვენი ქსელის ქვე ქსელის ნიღაბი. ქსელის ნიღაბი უბრალოდ ამბობს, თუ რომელ ბიტებს უნდა დაათვალიეროს წესის გამოყენებისას.

დააჭირეთ მიმართვას და ახლა უნდა გქონდეთ ახალი წვდომის პროფილი და წესი! დააჭირეთ პროფილის წესებს მარცხენა მენიუში და ზედა ნაწილში უნდა ნახოთ ახალი წესი.



ახლა ჩვენ უნდა დავამატოთ ჩვენი მეორე წესი. ამისათვის დააჭირეთ ღილაკს დამატება, რომელიც ნაჩვენებია პროფილის წესების ცხრილის ქვეშ.



მეორე წესი მართლაც მარტივია.პირველ რიგში, დარწმუნდით, რომ წვდომის პროფილის სახელი იგივეა, რაც ჩვენ ახლახან შევქმენით. ახლა, ჩვენ უბრალოდ ვაძლევთ წესს პრიორიტეტს 2 და ვირჩევთ უარყოფს მოქმედებას. დარწმუნდით, რომ ყველა დანარჩენი დაყენებულია ყველას. ეს ნიშნავს, რომ ყველა IP მისამართი დაიბლოკება. ამასთან, რადგან პირველი ჩვენი წესი დამუშავდება, IP მისამართი ნებადართული იქნება. წესის შესაბამისობის შემდეგ, სხვა წესები იგნორირებულია. თუ IP მისამართი არ ემთხვევა პირველ წესს, ის მოვა ამ მეორე წესთან, სადაც ის ემთხვევა და დაიბლოკება.სასიამოვნოა!

დაბოლოს, ჩვენ უნდა გავააქტიუროთ წვდომის ახალი პროფილი. ამისათვის დაბრუნდით Access Profiles- ზე და აირჩიეთ ახალი პროფილი ჩამოსაშლელი სიიდან (Active Access Profile- ს გვერდით). დარწმუნდით, რომ დააწკაპუნეთ მიმართვაზე და უნდა იყოთ კარგი.



გახსოვდეთ, რომ კონფიგურაცია ამჟამად მხოლოდ შენახულ კონფიგურაციაშია შენახული. დარწმუნდით, რომ გადადით ადმინისტრაციაში - ფაილების მენეჯმენტი - დააკოპირეთ/შეინახეთ კონფიგურაცია გაშვებული კონფიგურაციის დასაწყისის კონფიგურაციაში კოპირებისთვის.

თუ გსურთ ჩართოთ შეცვლაზე ერთზე მეტი IP მისამართი, უბრალოდ შექმენით სხვა წესი, როგორც პირველი, მაგრამ მიანიჭეთ მას უფრო მეტი პრიორიტეტი.თქვენ ასევე უნდა დარწმუნდეთ, რომ შეცვალეთ უარყოფის წესის პრიორიტეტი ისე, რომ მას უფრო მეტი პრიორიტეტი ჰქონდეს, ვიდრე ნებართვის ყველა წესი. თუ რაიმე პრობლემა შეგექმნათ ან ვერ შეძლებთ ამ საკითხის მოგვარებას, შეგიძლიათ განათავსოთ კომენტარი და ვეცდები დაგეხმაროთ. ისიამოვნეთ!


SETUP UA COMPUTER BLOG