Restringir o acesso ao comutador Cisco com base no endereço IP

Para maior segurança, eu queria restringir o acesso à minha chave Cisco SG300-10 para apenas um endereço IP na minha sub-rede local. Depois de configurar inicialmente meu novo interruptor em algumas semanas, não fiquei feliz sabendo que alguém conectado à minha LAN ou WLAN poderia chegar à página de login apenas sabendo que o endereço IP do dispositivo.

Acabei examinando o manual de 500 páginas para descobrir como bloquear todos os endereços IP, exceto os que eu queria para acesso à gerência. Depois de muitos testes e várias postagens nos fóruns da Cisco, descobri! Neste artigo, vou guiá -lo pelas etapas para configurar perfis de acesso e regras de perfis para o seu switch Cisco.

Observação: O método a seguir que vou descrever também permite que você restrinja o acesso a qualquer número de serviços ativados no seu interruptor. Por exemplo, você pode restringir o acesso a SSH, HTTP, HTTPS, TELNET ou todos esses serviços por endereço IP. 

Criar perfil de acesso de gerenciamento e regras

Para começar, faça login na interface da web para o seu switch e expanda Segurança e então expanda Método de acesso MGMT. Vá em frente e clique em Perfis de acesso.

No topo, dê um nome ao seu novo perfil. Todos os outros campos estão relacionados à primeira regra que será adicionada ao novo perfil. Para Prioridade da regra, Você tem que escolher um valor entre 1 e 65535. A maneira como a Cisco funciona é que a regra com a menor prioridade é aplicada primeiro. Se não corresponder, a próxima regra com a menor prioridade será aplicada.

No meu exemplo, escolhi uma prioridade de 1 Porque eu quero que esta regra seja processada primeiro. Esta regra será a que permite o endereço IP que eu quero dar acesso ao interruptor. Sob Método de gerenciamento, Você pode escolher um serviço específico ou escolher tudo, o que restringirá tudo. No meu caso, escolhi tudo porque só tenho SSH e HTTPs ativados de qualquer maneira e gerenciei os dois serviços de um computador.

Observe que, se você deseja proteger apenas SSH e HTTPS, precisará criar duas regras separadas. O Ação Só pode ser Negar ou Permitir. Para o meu exemplo, eu escolhi Permitir já que isso será para o IP permitido. Em seguida, você pode aplicar a regra a uma interface específica no dispositivo ou simplesmente deixá -la em Todos para que se aplique a todas as portas.

Sob Aplica -se ao endereço IP de origem, Temos que escolher Usuário definido aqui e depois escolher Versão 4, A menos que você esteja trabalhando em um ambiente IPv6, caso em que você escolheria a versão 6. Agora digite o endereço IP que poderá acessar e digitar uma máscara de rede que corresponda a todos os bits relevantes a serem analisados.

Por exemplo, como meu endereço IP é 192.168.1.233, todo o endereço IP precisa ser examinado e, portanto, preciso de uma máscara de rede de 255.255.255.255. Se eu quisesse que a regra se aplique a todos em toda a sub -rede, então eu usaria uma máscara de 255.255.255.0. Isso significaria qualquer pessoa com 192.168.1.O endereço X seria permitido. Não é isso que eu quero fazer, obviamente, mas espero que isso explique como usar a máscara de rede. Observe que a máscara de rede não é a máscara de sub -rede para sua rede. A máscara de rede simplesmente diz que bits Cisco deve olhar ao aplicar a regra.

Clique Aplicar E agora você deve ter um novo perfil de acesso e regra! Clique em Regras de perfil no menu esquerdo e você verá a nova regra listada no topo.

Agora precisamos adicionar nossa segunda regra. Para fazer isso, clique no Adicionar botão mostrado em Tabela de regras de perfil.

A segunda regra é realmente simples. Em primeiro lugar, verifique se o nome do perfil de acesso é o mesmo que acabamos de criar. Agora, apenas damos à regra uma prioridade de 2 e escolha Negar para o Ação. Verifique se tudo está definido como Todos. Isso significa que todos os endereços IP serão bloqueados. No entanto, como nossa primeira regra será processada primeiro, esse endereço IP será permitido. Uma vez que uma regra é correspondente, as outras regras são ignoradas. Se um endereço IP não corresponder à primeira regra, ele chegará a esta segunda regra, onde combinará e será bloqueado. Legal!

Finalmente, temos que ativar o novo perfil de acesso. Para fazer isso, volte para Perfis de acesso e selecione o novo perfil na lista suspensa no topo (ao lado de Perfil de acesso ativo). Certifique -se de clicar Aplicar E você deve estar pronto para ir.

Lembre -se de que a configuração está atualmente salva apenas na configuração em execução. Certifique -se de ir para Administração - Gerenciamento de arquivos - Copiar/salvar configuração Para copiar a configuração em execução para a configuração de inicialização.

Se você deseja permitir mais de um acesso de endereço IP ao Switch, basta criar outra regra como a primeira, mas dê uma prioridade mais alta. Você também terá que garantir que mude a prioridade para o Negar regra para que tenha uma prioridade mais alta do que todos os Permitir regras. Se você tiver algum problema ou não conseguir que isso funcione, sinta -se à vontade para postar nos comentários e tentarei ajudar. Aproveitar!