Computer help - file server


[ Blog ] - [ File Server ] - [ Удаленная компьютерная помощь ]

Voor extra veiligheid wilde ik de toegang tot mijn Cisco SG300-10-switch beperken tot slechts één IP-adres in mijn lokale subnet. Nadat ik mijn nieuwe switch een paar weken geleden aanvankelijk had geconfigureerd, was ik niet blij wetende dat iemand die op mijn LAN of WLAN was aangesloten, naar de inlogpagina kon gaan door alleen het IP-adres van het apparaat te kennen.

Uiteindelijk heb ik de handleiding van 500 pagina's doorgenomen om erachter te komen hoe ik alle IP-adressen moet blokkeren, behalve degene die ik wilde voor beheertoegang. Na veel testen en verschillende posts op de Cisco-forums, kwam ik erachter! In dit artikel zal ik u door de stappen leiden om toegangsprofielen en profielregels voor uw Cisco-switch te configureren.

Opmerking: met de volgende methode die ik ga beschrijven, kunt u de toegang tot een willekeurig aantal ingeschakelde services op uw switch beperken. U kunt bijvoorbeeld de toegang tot SSH, HTTP, HTTPS, Telnet of al deze services op IP-adres beperken. Beheer toegangsprofiel en regels maken

Log om te beginnen in op de webinterface van uw switch en vouw Beveiliging uit en vouw vervolgens Mgmt Access Method uit. Ga je gang en klik op Toegangsprofielen.



Het eerste dat we moeten doen is een nieuw toegangsprofiel aanmaken.Standaard zou u alleen het Console Only-profiel moeten zien. U zult bovenaan ook opmerken dat Geen is geselecteerd naast Actief toegangsprofiel. Zodra we ons profiel en onze regels hebben aangemaakt, moeten we hier de naam van het profiel selecteren om het te activeren.

Klik nu op de knop Toevoegen en dit zou een dialoogvenster moeten openen waarin u uw nieuwe profiel een naam kunt geven en ook de eerste regel voor het nieuwe profiel kunt toevoegen.



Geef je nieuwe profiel bovenaan een naam. Alle andere velden hebben betrekking op de eerste regel die aan het nieuwe profiel wordt toegevoegd.Voor regelprioriteit moet u een waarde kiezen tussen 1 en 65535. De manier waarop Cisco werkt, is dat de regel met de laagste prioriteit eerst wordt toegepast. Als het niet overeenkomt, wordt de volgende regel met de laagste prioriteit toegepast.

In mijn voorbeeld heb ik een prioriteit van 1 gekozen omdat ik wil dat deze regel eerst wordt verwerkt. Deze regel is degene die het IP-adres toestaat dat ik toegang wil geven tot de switch. Onder Beheermethode kunt u een specifieke service kiezen of alles kiezen, waardoor alles wordt beperkt.In mijn geval heb ik alles gekozen omdat ik sowieso alleen SSH en HTTPS heb ingeschakeld en ik beide services vanaf één computer beheer.

Merk op dat als u alleen SSH en HTTPS wilt beveiligen, u twee afzonderlijke regels moet maken. De actie kan alleen weigeren of toestaan ​​zijn. Voor mijn voorbeeld heb ik voor Toestaan ​​gekozen omdat dit voor het toegestane IP-adres is. Vervolgens kunt u de regel toepassen op een specifieke interface op het apparaat of u kunt deze gewoon op All laten staan ​​zodat deze van toepassing is op alle poorten.

Onder Van toepassing op bron-IP-adres moeten we hier door gebruiker gedefinieerd kiezen en vervolgens versie 4, tenzij u in een IPv6-omgeving werkt, in welk geval u versie 6 kiest.Typ nu het IP-adres dat toegang zal krijgen en typ een netwerkmasker dat overeenkomt met alle relevante bits die moeten worden bekeken.

Omdat mijn IP-adres bijvoorbeeld 192.168.1.233 is, moet het hele IP-adres worden onderzocht en daarom heb ik een netwerkmasker van 255.255.255.255 nodig. Als ik wilde dat de regel van toepassing was op iedereen op het hele subnet, dan zou ik een masker van 255.255.255.0 gebruiken. Dat zou betekenen dat iedereen met een 192.168.1.x-adres zou worden toegestaan. Dat is natuurlijk niet wat ik wil doen, maar hopelijk legt dat uit hoe je het netwerkmasker moet gebruiken.Merk op dat het netwerkmasker niet het subnetmasker voor uw netwerk is. Het netwerkmasker geeft eenvoudig aan naar welke bits Cisco moet kijken bij het toepassen van de regel.

Klik op Toepassen en u zou nu een nieuw toegangsprofiel en regel moeten hebben! Klik op Profielregels in het linkermenu en je zou de nieuwe regel bovenaan moeten zien.



Nu moeten we onze tweede regel toevoegen. Om dit te doen, klikt u op de knop Toevoegen die wordt weergegeven onder de Profielregeltabel.



De tweede regel is heel eenvoudig.Zorg er allereerst voor dat de toegangsprofielnaam dezelfde is die we zojuist hebben gemaakt. Nu geven we de regel een prioriteit van 2 en kiezen we Weigeren voor de actie. Zorg ervoor dat al het andere is ingesteld op Alle. Dit betekent dat alle IP-adressen worden geblokkeerd. Aangezien onze eerste regel echter eerst wordt verwerkt, is dat IP-adres toegestaan. Zodra een regel is afgestemd, worden de andere regels genegeerd. Als een IP-adres niet overeenkomt met de eerste regel, komt het bij deze tweede regel, waar het overeenkomt en wordt geblokkeerd.Leuk!

Ten slotte moeten we het nieuwe toegangsprofiel activeren. Ga hiervoor terug naar Toegangsprofielen en selecteer het nieuwe profiel in de vervolgkeuzelijst bovenaan (naast Actief toegangsprofiel). Zorg ervoor dat u op Toepassen klikt en u zou klaar moeten zijn om te gaan.



Onthoud dat de configuratie momenteel alleen wordt opgeslagen in de actieve configuratie. Zorg ervoor dat je naar Beheer - Bestandsbeheer - Configuratie kopiëren/opslaan gaat om de actieve configuratie naar de opstartconfiguratie te kopiëren.

Als u meer dan één IP-adres toegang tot de switch wilt geven, maakt u gewoon een andere regel zoals de eerste, maar geeft u deze een hogere prioriteit.U moet er ook voor zorgen dat u de prioriteit voor de regel Weigeren wijzigt, zodat deze een hogere prioriteit heeft dan alle regels voor Toestemming. Als je problemen tegenkomt of dit niet kunt laten werken, kun je een bericht plaatsen in de comments en ik zal proberen te helpen. Geniet ervan!

.
SETUP UA COMPUTER BLOG