Để bảo mật hơn, tôi muốn hạn chế quyền truy cập vào công tắc Cisco SG300-10 của tôi chỉ với một địa chỉ IP trong mạng con cục bộ của tôi. Sau ban đầu định cấu hình công tắc mới của tôi vài tuần trước, tôi không vui khi biết rằng bất kỳ ai kết nối với mạng LAN hoặc WLAN của tôi đều có thể truy cập trang đăng nhập bằng cách chỉ biết địa chỉ IP cho thiết bị.
Tôi đã chọn lọc qua 500 trang hướng dẫn để tìm hiểu cách chặn tất cả các địa chỉ IP trừ những địa chỉ mà tôi muốn truy cập quản lý. Sau nhiều thử nghiệm và một số bài đăng trên diễn đàn của Cisco, tôi đã tìm ra nó! Trong bài viết này, tôi sẽ hướng dẫn bạn qua các bước để định cấu hình các cấu hình truy cập và quy tắc tiểu sử cho công tắc Cisco của bạn.
Lưu ý: Phương pháp sau tôi sẽ mô tả cũng cho phép bạn hạn chế quyền truy cập vào bất kỳ số lượng dịch vụ nào được bật trên chuyển đổi của bạn. Ví dụ: bạn có thể giới hạn quyền truy cập vào SSH, HTTP, HTTPS, Telnet hoặc tất cả các dịch vụ này theo địa chỉ IP.
Tạo Hồ sơ Truy cập Quản lý & amp; Quy tắc
Để bắt đầu, hãy đăng nhập vào giao diện web cho nút chuyển của bạn và mở rộng Bảo mậtrồi mở rộng Phương pháp truy cập quản lý. Hãy tiếp tục và nhấp vào Cấu hình truy cập.
Điều đầu tiên chúng tôi cần làm là tạo hồ sơ truy cập mới . Theo mặc định, bạn chỉ nên xem tiểu sử Chỉ giao diện điều khiển. Ngoài ra, bạn sẽ nhận thấy ở trên cùng rằng Không cóđược chọn bên cạnh Hồ sơ truy cập hoạt động. Khi chúng tôi đã tạo tiểu sử và quy tắc của mình, chúng tôi sẽ phải chọn tên hồ sơ tại đây để kích hoạt.
Bây giờ, hãy nhấp vào nút Thêmvà điều này nên đưa ra một hộp thoại nơi bạn có thể đặt tên cho tiểu sử mới của mình và cũng thêm quy tắc đầu tiên cho tiểu sử mới.
Tại trên cùng, đặt tên cho hồ sơ mới của bạn. Tất cả các trường khác liên quan đến quy tắc đầu tiên sẽ được thêm vào cấu hình mới. Đối với Mức độ ưu tiên của quy tắc, bạn phải chọn giá trị từ 1 đến 65535. Cách hoạt động của Cisco là quy tắc có mức độ ưu tiên thấp nhất được áp dụng trước tiên. Nếu không khớp, quy tắc tiếp theo có mức độ ưu tiên thấp nhất được áp dụng.
Trong ví dụ của tôi, tôi đã chọn mức độ ưu tiên 1vì tôi muốn quy tắc này được xử lý Đầu tiên. Quy tắc này sẽ là quy tắc cho phép địa chỉ IP mà tôi muốn cấp quyền truy cập cho công tắc. Trong Phương thức quản lý, bạn có thể chọn một dịch vụ cụ thể hoặc chọn tất cả, sẽ hạn chế mọi thứ. Trong trường hợp của tôi, tôi đã chọn tất cả vì tôi chỉ bật SSH và HTTPS và tôi quản lý cả hai dịch vụ từ một máy tính.
Lưu ý rằng nếu bạn chỉ muốn bảo mật SSH và HTTPS, thì bạn sẽ cần tạo hai quy tắc riêng biệt. Hành độngchỉ có thể Từ chốihoặc Giấy phép. Đối với ví dụ của tôi, tôi đã chọn Giấy phépvì điều này sẽ dành cho IP được cho phép. Tiếp theo, bạn có thể áp dụng quy tắc cho một giao diện cụ thể trên thiết bị hoặc bạn chỉ có thể để nó ở Tất cảđể nó áp dụng cho tất cả các cổng.
Trong Áp dụng cho Địa chỉ IP nguồn, chúng tôi phải chọn Người dùng xác địnhtại đây và sau đó chọn Phiên bản 4, trừ khi bạn đang làm việc trong Môi trường IPv6 trong trường hợp này bạn sẽ chọn Phiên bản 6. Bây giờ, hãy nhập địa chỉ IP sẽ được phép truy cập và nhập vào mặt nạ mạng khớp với tất cả các bit có liên quan cần xem.
Ví dụ: địa chỉ IP của tôi là 192.168.1.233, toàn bộ địa chỉ IP cần phải được kiểm tra và do đó tôi cần một mặt nạ mạng 255.255.255.255. Nếu tôi muốn quy tắc áp dụng cho tất cả mọi người trên toàn bộ mạng con, thì tôi sẽ sử dụng mặt nạ 255.255.255.0. Điều đó có nghĩa là bất kỳ ai có địa chỉ 192.168.1.x đều được phép. Đó không phải là những gì tôi muốn làm, rõ ràng, nhưng hy vọng điều đó giải thích cách sử dụng mặt nạ mạng. Lưu ý rằng mặt nạ mạng không phải là mặt nạ mạng con cho mạng của bạn. Mặt nạ mạng chỉ cần nói những bit mà Cisco sẽ xem xét khi áp dụng quy tắc.
Nhấp vào Áp dụngvà bây giờ bạn sẽ có cấu hình và quy tắc truy cập mới! Nhấp vào Quy tắc tiểu sửtrong menu bên trái và bạn sẽ thấy quy tắc mới được liệt kê ở trên cùng.
Bây giờ chúng ta cần thêm quy tắc thứ hai của mình. Để thực hiện việc này, hãy nhấp vào nút Thêmđược hiển thị trong Bảng quy tắc hồ sơ.
Quy tắc thứ hai thực sự đơn giản. Trước tiên, hãy đảm bảo rằng Tên hồ sơ truy cập giống với tên chúng tôi vừa tạo. Bây giờ, chúng tôi chỉ ưu tiên cho quy tắc 2và chọn Từ chốicho Hành động. Đảm bảo mọi thứ khác được đặt thành Tất cả. Điều này có nghĩa là tất cả các địa chỉ IP sẽ bị chặn. Tuy nhiên, vì quy tắc đầu tiên của chúng tôi sẽ được xử lý trước tiên, địa chỉ IP đó sẽ được cho phép. Khi quy tắc được đối sánh, các quy tắc khác sẽ bị bỏ qua. Nếu địa chỉ IP không khớp với quy tắc đầu tiên, nó sẽ đến quy tắc thứ hai này, nơi nó sẽ khớp và bị chặn. Tốt!
Cuối cùng, chúng tôi phải kích hoạt hồ sơ truy cập mới. Để thực hiện điều đó, hãy quay lại Truy cập tiểu sửvà chọn hồ sơ mới từ danh sách thả xuống ở trên cùng (bên cạnh Hồ sơ truy cập hoạt động). Đảm bảo nhấp vào Áp dụngvà bạn nên làm việc tốt.
Hãy nhớ rằng cấu hình hiện chỉ được lưu trong cấu hình đang chạy. Đảm bảo bạn truy cập Quản trị- Quản lý tệp- Sao chép / lưu cấu hìnhđể sao chép cấu hình đang chạy vào cấu hình khởi động.
Nếu bạn muốn cho phép nhiều hơn một địa chỉ IP truy cập vào công tắc, chỉ cần tạo một quy tắc khác như quy tắc đầu tiên, nhưng ưu tiên cao hơn. Bạn cũng sẽ phải đảm bảo rằng bạn thay đổi mức độ ưu tiên cho quy tắc Từ chốiđể nó có mức độ ưu tiên cao hơn tất cả các quy tắc Giấy phép. Nếu bạn gặp phải bất kỳ sự cố nào hoặc không thể thực hiện việc này, vui lòng đăng trong nhận xét và tôi sẽ cố gắng trợ giúp. Hãy tận hưởng!