Computer help - file server


[ Blog ] - [ File Server ] - [ Удаленная компьютерная помощь ]

Для дополнительной безопасности я хотел ограничить доступ к моему коммутатору Cisco SG300-10 только одним IP-адресом в моей локальной подсети. После первоначальной настройки моего нового коммутатора несколько недель назад я был недоволен, узнав, что любой, кто подключен к моей локальной или беспроводной локальной сети, может попасть на страницу входа, просто зная IP-адрес устройства.

В итоге я просмотрел 500-страничное руководство, чтобы выяснить, как заблокировать все IP-адреса, кроме тех, которые мне нужны для доступа к управлению. После долгого тестирования и нескольких сообщений на форумах Cisco я понял это! В этой статье я расскажу вам, как настроить профили доступа и правила профилей для вашего коммутатора Cisco.

Примечание. Следующий метод, который я собираюсь описать, также позволяет вам ограничить доступ к любому количеству включенных служб на вашем коммутаторе. Например, вы можете ограничить доступ к SSH, HTTP, HTTPS, Telnet или всем этим службам по IP-адресу. Создание профиля и правил доступа к управлению

Чтобы начать работу, войдите в веб-интерфейс коммутатора и разверните «Безопасность», а затем разверните «Метод доступа управления». Идите вперед и нажмите "Профили доступа".



Первое, что нам нужно сделать, это создать новый профиль доступа.По умолчанию вы должны видеть только профиль «Только консоль». Кроме того, вы заметите вверху, что рядом с профилем активного доступа выбрано значение «Нет». После того, как мы создали наш профиль и правила, нам нужно будет выбрать имя профиля здесь, чтобы активировать его.

Теперь нажмите кнопку «Добавить», и это должно вызвать диалоговое окно, в котором вы сможете назвать свой новый профиль, а также добавить первое правило для нового профиля.



Вверху дайте вашему новому профилю имя. Все остальные поля относятся к первому правилу, которое будет добавлено в новый профиль.Для приоритета правила вы должны выбрать значение от 1 до 65535. Принцип работы Cisco заключается в том, что первым применяется правило с самым низким приоритетом. Если не совпадает, применяется следующее правило с наименьшим приоритетом.

В моем примере я выбрал приоритет 1, потому что хочу, чтобы это правило обрабатывалось первым. Это правило будет тем, которое разрешает IP-адресу, который я хочу предоставить доступ к коммутатору. В разделе «Метод управления» вы можете выбрать конкретную услугу или все, что ограничит все.В моем случае я выбрал все, потому что у меня в любом случае включены только SSH и HTTPS, и я управляю обеими службами с одного компьютера.

Обратите внимание: если вы хотите защитить только SSH и HTTPS, вам нужно создать два отдельных правила. Действие может быть только «Запретить» или «Разрешить». В моем примере я выбрал Permit, так как это будет для разрешенного IP. Затем вы можете применить правило к определенному интерфейсу на устройстве или просто оставить его как All, чтобы оно применялось ко всем портам.

В разделе «Применяется к исходному IP-адресу» мы должны выбрать здесь «Определено пользователем», а затем выбрать версию 4, если вы не работаете в среде IPv6, и в этом случае вы бы выбрали версию 6.Теперь введите IP-адрес, к которому будет разрешен доступ, и введите сетевую маску, которая соответствует всем значимым битам, которые необходимо просмотреть.

Например, поскольку мой IP-адрес 192.168.1.233, необходимо проверить весь IP-адрес, и, следовательно, мне нужна сетевая маска 255.255.255.255. Если бы я хотел, чтобы правило применялось ко всем во всей подсети, я бы использовал маску 255.255.255.0. Это будет означать, что будет разрешен любой, у кого есть адрес 192.168.1.x. Очевидно, я не хочу этого делать, но, надеюсь, это объясняет, как использовать сетевую маску.Обратите внимание, что маска сети не является маской подсети для вашей сети. Сетевая маска просто говорит, на какие биты следует обратить внимание Cisco при применении правила.

Нажмите "Применить", и теперь у вас должен быть новый профиль и правило доступа! Нажмите «Правила профиля» в левом меню, и вы должны увидеть новое правило, указанное вверху.



Теперь нам нужно добавить наше второе правило. Для этого нажмите кнопку «Добавить» под таблицей правил профиля.



Второе правило действительно простое.Во-первых, убедитесь, что имя профиля доступа совпадает с тем, которое мы только что создали. Теперь мы просто даем правилу приоритет 2 и выбираем Deny для действия. Убедитесь, что все остальное установлено на Все. Это означает, что все IP-адреса будут заблокированы. Однако, поскольку наше первое правило будет обработано первым, этот IP-адрес будет разрешен. После совпадения с правилом другие правила игнорируются. Если IP-адрес не соответствует первому правилу, он переходит ко второму правилу, где он будет соответствовать и заблокирован.Ницца!

Наконец, мы должны активировать новый профиль доступа. Для этого вернитесь в «Профили доступа» и выберите новый профиль из раскрывающегося списка вверху (рядом с «Профиль активного доступа»). Обязательно нажмите Применить, и все будет в порядке.



Помните, что конфигурация в настоящее время сохраняется только в текущей конфигурации. Убедитесь, что вы зашли в Администрирование - Управление файлами - Копировать/сохранить конфигурацию, чтобы скопировать текущую конфигурацию в конфигурацию запуска.

Если вы хотите разрешить доступ к коммутатору более чем одному IP-адресу, просто создайте другое правило, подобное первому, но дайте ему более высокий приоритет.Вы также должны убедиться, что вы изменили приоритет правила запрета, чтобы оно имело более высокий приоритет, чем все правила разрешения. Если вы столкнетесь с какими-либо проблемами или не можете заставить это работать, не стесняйтесь писать в комментариях, и я постараюсь помочь. Наслаждайтесь!

.
SETUP UA COMPUTER BLOG