Toegang tot Cisco Switch beperken op basis van IP-adres

Voor extra veiligheid wilde ik de toegang tot mijn Cisco SG300-10- switch beperken tot slechts één IP-adres in mijn lokale subnet. Nadat ik een paar weken geleden mijn nieuwe switch voor het eerst had geconfigureerd , was ik niet blij te weten dat iedereen die op mijn (initially configuring my new switch)LAN of WLAN was aangesloten, op de inlogpagina kon komen door alleen het IP-adres van het apparaat te kennen.

Uiteindelijk bladerde ik door de 500 pagina's tellende handleiding om erachter te komen hoe ik alle IP-adressen moest blokkeren, behalve degene die ik wilde voor managementtoegang. Na veel testen en verschillende berichten op de Cisco - forums, kwam ik erachter! In dit artikel zal ik u door de stappen leiden om toegangsprofielen en profielregels voor uw Cisco - switch te configureren.

Opmerking: met de volgende methode die ik ga beschrijven, kunt u ook de toegang tot een willekeurig aantal ingeschakelde services op uw switch beperken. U kunt bijvoorbeeld de toegang tot SSH, HTTP, HTTPS, Telnet of al deze services per IP-adres beperken. (Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )

Profiel(Create Management Access Profile) en regels voor beheertoegang maken(Rules)

Log om te beginnen in op de webinterface van uw switch en vouw Beveiliging(Security) uit en vouw vervolgens Mgmt Access Method uit . Ga je gang en klik op Toegangsprofielen(Access Profiles) .

Het eerste dat we moeten doen, is een nieuw toegangsprofiel maken. Standaard zou u alleen het profiel Alleen console(Console Only) moeten zien . U zult ook bovenaan zien dat Geen(None) is geselecteerd naast Actief toegangsprofiel( Active Access Profile) . Zodra we ons profiel en onze regels hebben aangemaakt, moeten we hier de naam van het profiel selecteren om het te activeren.

Klik nu op de knop Toevoegen(Add) en er zou een dialoogvenster moeten verschijnen waarin u uw nieuwe profiel een naam kunt geven en ook de eerste regel voor het nieuwe profiel kunt toevoegen.

Geef je nieuwe profiel bovenaan een naam. Alle andere velden hebben betrekking op de eerste regel die aan het nieuwe profiel wordt toegevoegd. Voor Rule Priority moet je een waarde kiezen tussen 1 en 65535. De manier waarop Cisco werkt, is dat de regel met de laagste prioriteit eerst wordt toegepast. Als het niet overeenkomt, wordt de volgende regel met de laagste prioriteit toegepast.

In mijn voorbeeld heb ik prioriteit 1 gekozen omdat ik wil dat deze regel als eerste wordt verwerkt. Deze regel is degene die het IP-adres toestaat dat ik toegang wil geven tot de switch. Onder Beheermethode(Management Method) kunt u een specifieke service kiezen of alles kiezen, waardoor alles wordt beperkt. In mijn geval heb ik alles gekozen omdat ik sowieso alleen SSH en HTTPS heb ingeschakeld en ik beide services vanaf één computer beheer.

Houd er rekening mee dat als u alleen SSH(SSH) en HTTPS wilt beveiligen , u twee afzonderlijke regels moet maken. De actie(Action) kan alleen Weigeren(Deny) of Toestaan(Permit) ​​zijn . Voor mijn voorbeeld heb ik Permit gekozen, omdat dit voor het toegestane IP-adres is. Vervolgens(Next) kunt u de regel toepassen op een specifieke interface op het apparaat of u kunt deze gewoon op All laten staan , zodat deze op alle poorten van toepassing is.

Onder Van toepassing op bron-IP-adres(Applies to Source IP Address) moeten we hier Door gebruiker gedefinieerd( User Defined) kiezen en vervolgens Versie 4(Version 4) kiezen , tenzij u in een IPv6 - omgeving werkt, in welk geval u Versie 6(Version 6) zou kiezen . Typ nu het IP-adres dat toegang krijgt en typ een netwerkmasker dat overeenkomt met alle relevante bits die moeten worden bekeken.

Omdat mijn IP-adres bijvoorbeeld 192.168.1.233 is, moet het hele IP-adres worden onderzocht en daarom heb ik een netwerkmasker van 255.255.255.255 nodig. Als ik wilde dat de regel van toepassing was op iedereen op het hele subnet, dan zou ik een masker van 255.255.255.0 gebruiken. Dat zou betekenen dat iedereen met een 192.168.1.x-adres zou worden toegestaan. Dat is natuurlijk niet wat ik wil doen, maar hopelijk verklaart dat hoe je het netwerkmasker moet gebruiken. Merk op dat het netwerkmasker niet het subnetmasker voor uw netwerk is. Het netwerkmasker zegt eenvoudig naar welke bits Cisco moet kijken bij het toepassen van de regel.

Klik op Toepassen(Apply) en u zou nu een nieuw toegangsprofiel en nieuwe regel moeten hebben! Klik(Click) op Profielregels( Profile Rules) in het linkermenu en je zou de nieuwe regel bovenaan moeten zien staan.

Nu moeten we onze tweede regel toevoegen. Om dit te doen, klikt u op de knop Toevoegen(Add) die wordt weergegeven onder de tabel met profielregels(Profile Rule Table) .

De tweede regel is heel eenvoudig. Zorg er eerst voor dat de toegangsprofielnaam(Access Profile Name) dezelfde is die we zojuist hebben gemaakt. Nu geven we de regel een prioriteit van 2 en kiezen voor Weigeren(Deny) voor de actie(Action) . Zorg ervoor dat al het andere is ingesteld op Alles(All) . Dit betekent dat alle IP-adressen worden geblokkeerd. Aangezien onze eerste regel echter eerst wordt verwerkt, is dat IP-adres toegestaan. Zodra een regel overeenkomt, worden de andere regels genegeerd. Als een IP-adres niet overeenkomt met de eerste regel, komt het naar deze tweede regel, waar het overeenkomt en wordt geblokkeerd. Leuk!

Ten slotte moeten we het nieuwe toegangsprofiel activeren. Ga hiervoor terug naar Toegangsprofielen( Access Profiles) en selecteer het nieuwe profiel in de vervolgkeuzelijst bovenaan (naast Actief toegangsprofiel(Active Access Profile) ). Zorg ervoor dat je op Toepassen(Apply) klikt en je zou goed moeten zijn om te gaan.

Onthoud(Remember) dat de configuratie momenteel alleen wordt opgeslagen in de actieve configuratie. Zorg ervoor dat u naar Beheer(Administration) - Bestandsbeheer( File Management) - Copy/Save Configuration gaat om de actieve configuratie naar de opstartconfiguratie te kopiëren.

Als u meer dan één IP-adres toegang tot de switch wilt toestaan, maakt u gewoon een andere regel zoals de eerste, maar geeft u deze een hogere prioriteit. U moet er ook voor zorgen dat u de prioriteit voor de weigerregel(Deny) wijzigt , zodat deze een hogere prioriteit heeft dan alle toestemmingsregels(Permit) . Als je problemen tegenkomt of dit niet werkend krijgt, plaats dan gerust een bericht in de reacties en ik zal proberen te helpen. Genieten van!



Marinus Hermans

About the author

Ik ben een professionele audio engineer met meer dan 10 jaar ervaring. Ik werk de afgelopen jaren in de muziekindustrie en heb daarbinnen een sterke reputatie opgebouwd. Ik ben ook een zeer ervaren gebruikersaccount en operator voor gezinsveiligheid. Mijn verantwoordelijkheden omvatten het beheren van gebruikersaccounts, het bieden van ondersteuning aan klanten en het geven van veiligheidsadviezen voor het gezin aan werknemers.


Related posts