Ради додатне безбедности, желео сам да ограничим приступ свом Цисцо СГ300-10^{(Cisco SG300-10)} прекидачу на само једну ИП адресу у мојој локалној подмрежи. Након што сам пре неколико недеља првобитно конфигурисао свој нови прекидач^{(initially configuring my new switch)} , нисам био срећан што сам знао да свако ко је повезан са мојом ЛАН^(LAN) или ВЛАН мрежом^(WLAN) може доћи до странице за пријаву само знајући ИП адресу уређаја.

На крају сам прегледао приручник од 500 страница да бих схватио како да блокирам све ИП адресе осим оних које сам желео за приступ управљању. После много тестирања и неколико постова на Цисцо^(Cisco) форумима, схватио сам! У овом чланку ћу вас провести кроз кораке за конфигурисање профила приступа и правила профила за ваш Цисцо^(Cisco) прекидач.

Напомена: Следећи метод који ћу описати такође вам омогућава да ограничите приступ било ком броју омогућених услуга на вашем прекидачу. На пример, можете ограничити приступ ССХ, ХТТП, ХТТПС, Телнет или свим овим услугама путем ИП адресе. ^{(Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. )}

Креирајте профил^{(Create Management Access Profile)} и правила за приступ менаџменту^(Rules)

Да бисте започели, пријавите се на веб интерфејс за свој прекидач и проширите Сецурити^(Security) , а затим проширите Мгмт Аццесс Метход^{(Mgmt Access Method)} . Само напред и кликните на Приступ профилима^{(Access Profiles)} .

Прва ствар коју треба да урадимо је да креирамо нови приступни профил. Подразумевано, требало би да видите само профил Само конзола . ^{(Console Only)}Такође, приметићете на врху да је Нема^(None) изабрано поред профила активног приступа^{( Active Access Profile)} . Када креирамо наш профил и правила, мораћемо да изаберемо име профила овде да бисмо га активирали.

Сада кликните на дугме Додај^(Add) и ово би требало да отвори дијалошки оквир у којем ћете моћи да дате назив свом новом профилу и да додате прво правило за нови профил.

На врху дајте име свом новом профилу. Сва остала поља се односе на прво правило које ће бити додато новом профилу. За Приоритет правила^{( Rule Priority)} морате да изаберете вредност између 1 и 65535. Начин на који Цисцо^(Cisco) функционише је да се прво примењује правило са најнижим приоритетом. Ако се не подудара, примењује се следеће правило са најнижим приоритетом.

У мом примеру, изабрао сам приоритет 1 јер желим да се ово правило прво обради. Ово правило ће бити оно које дозвољава ИП адреси којој желим да дам приступ прекидачу. У оквиру Метод управљања^{(Management Method)} можете или да изаберете одређену услугу или да изаберете све, што ће ограничити све. У мом случају, изабрао сам све јер ионако имам омогућене само ССХ^(SSH) и ХТТПС и управљам обема услугама са једног рачунара.^(HTTPS)

Имајте на уму да ако желите да обезбедите само ССХ^(SSH) и ХТТПС^(HTTPS) , онда ћете морати да креирате два одвојена правила. Радња може бити само Одбијање^(Deny) или Дозволи ^(Permit). ^(Action)За мој пример, изабрао сам Дозволу^(Permit) јер ће ово бити за дозвољени ИП. Затим^(Next) , можете применити правило на одређени интерфејс на уређају или га можете једноставно оставити на Све^(All) тако да се примењује на све портове.

У оквиру Односи се на изворну ИП адресу^{(Applies to Source IP Address)} , морамо да изаберемо Дефинисано корисником^{( User Defined)} овде, а затим да изаберемо верзију 4^{(Version 4)} , осим ако не радите у ИПв6^(IPv6) окружењу, у ком случају бисте изабрали верзију 6^{(Version 6)} . Сада унесите ИП адресу којој ће бити дозвољен приступ и унесите мрежну маску која одговара свим релевантним битовима које треба погледати.

На пример, пошто је моја ИП адреса 192.168.1.233, целу ИП адресу треба испитати и стога ми је потребна мрежна маска од 255.255.255.255. Ако бих желео да се правило примењује на све у целој подмрежи, онда бих користио маску 255.255.255.0. То би значило да би било коме дозвољено да има адресу 192.168.1.к. То није оно што желим да радим, очигледно, али надамо се да то објашњава како се користи мрежна маска. Имајте на уму да мрежна маска није маска подмреже за вашу мрежу. Мрежна маска једноставно говори које битове Цисцо^(Cisco) треба да погледа када примењује правило.

Кликните на Примени^(Apply) и сада би требало да имате нови приступни профил и правило! Кликните^(Click) на Правила профила^{( Profile Rules)} у левом менију и требало би да видите ново правило наведено на врху.

Сада морамо додати наше друго правило. Да бисте то урадили, кликните на дугме Додај^(Add) приказано испод табеле правила профила^{(Profile Rule Table)} .

Друго правило је заиста једноставно. Прво, уверите се да је име Аццесс профила^{(Access Profile Name)} исти онај који смо управо креирали. Сада само дајемо правилу приоритет 2 и бирамо Одбиј^(Deny) за акцију^(Action) . Уверите се да је све остало подешено на Све^(All) . То значи да ће све ИП адресе бити блокиране. Међутим, пошто ће наше прво правило бити прво обрађено, та ИП адреса ће бити дозвољена. Када се правило подудара, остала правила се игноришу. Ако ИП адреса не одговара првом правилу, доћи ће до овог другог правила, где ће се подударати и бити блокирана. Леп!

Коначно, морамо да активирамо нови приступни профил. Да бисте то урадили, вратите се на Приступни профили^{( Access Profiles)} и изаберите нови профил са падајуће листе на врху (поред Ацтиве Аццесс Профиле^{(Active Access Profile)} ). Обавезно кликните на Примени^(Apply) и требало би да сте спремни.

Запамтите^(Remember) да је конфигурација тренутно сачувана само у конфигурацији која ради. Обавезно идите на Администрација^{(Administration)} – Управљање датотекама^{( File Management)} – Copy/Save Configuration да бисте копирали покренуту конфигурацију у конфигурацију за покретање.

Ако желите да дозволите више од једне ИП адресе за приступ прекидачу, само креирајте друго правило попут првог, али му дајте већи приоритет. Такође ћете морати да се уверите да сте променили приоритет за правило забране^(Deny) тако да оно има већи приоритет од свих правила дозволе^(Permit) . Ако наиђете на било какве проблеме или не можете да натерате ово да функционише, слободно опишите у коментарима и покушаћу да вам помогнем. Уживати!

Restrict Access to Cisco Switch Based on IP Address

For added secυrity, I wanted to restrict acсess to my Cisco SG300-10 switch to only one IP addresѕ in my lоcal subnet. After initially configuring my new switch a few weeks backs, I wasn’t happy knowing that anyone connected to my LAN or WLAN could get to the login page by just knowing the IP address for the device.

I ended up sifting through the 500-page manual to figure out how to go about blocking all IP addresses except the ones that I wanted for management access. After a lot of testing and several posts to the Cisco forums, I figured it out! In this article, I’ll walk you through the steps to configure access profiles and profiles rules for your Cisco switch.

Note: The following method I am going to describe also allows you to restrict access to any number of enabled services on your switch. For example, you can restrict access to SSH, HTTP, HTTPS, Telnet, or all of these services by IP address. 

Create Management Access Profile & Rules

To get started, log into the web interface for your switch and expand Security and then expand Mgmt Access Method. Go ahead and click on Access Profiles.

The first thing we need to do is create a new access profile. By default, you should only see the Console Only profile. Also, you’ll notice at the top that None is selected next to Active Access Profile. Once we have created our profile and rules, we’ll have to select the name of the profile here in order to activate it.

Now click on the Add button and this should bring up a dialog box where you’ll be able to name your new profile and also add the first rule for the new profile.

At the top, give your new profile a name. All the other fields relate to the first rule that will be added to the new profile. For Rule Priority, you have to choose a value between 1 and 65535. The way Cisco works is that the rule with the lowest priority is applied first. If it doesn’t match, then the next rule with the lowest priority is applied.

In my example, I chose a priority of 1 because I want this rule to be processed first. This rule will be the one that allows the IP address that I want to give access to the switch. Under Management Method, you can either choose a specific service or choose all, which will restrict everything. In my case, I chose all because I only have SSH and HTTPS enabled anyway and I manage both services from one computer.

Note that if you want to secure only SSH and HTTPS, then you’ll need to create two separate rules. The Action can only be Deny or Permit. For my example, I chose Permit since this will be for the allowed IP. Next, you can apply the rule to a specific interface on the device or you can just leave it at All so that it applies to all ports.

Under Applies to Source IP Address, we have to choose User Defined here and then choose Version 4, unless you are working in an IPv6 environment in which case you would choose Version 6. Now type in the IP address that will be allowed access and type in a network mask that matches all the relevant bits to be looked at.

For example, since my IP address is 192.168.1.233, the whole IP address needs to be examined and hence I need a network mask of 255.255.255.255. If I wanted the rule to apply to everyone on the entire subnet, then I would use a mask of 255.255.255.0. That would mean anyone with a 192.168.1.x address would be permitted. That’s not what I want to do, obviously, but hopefully that explains how to use the network mask. Note that the network mask is not the subnet mask for your network. The network mask simply says which bits Cisco should look at when applying the rule.

Click Apply and you should now have a new access profile and rule! Click on Profile Rules in the left-hand menu and you should see the new rule listed at the top.

Now we need to add our second rule. To do this, click on the Add button shown under the Profile Rule Table.

The second rule is really simple. Firstly, make sure that the Access Profile Name is the same one we just created. Now, we just give the rule a priority of 2 and choose Deny for the Action. Make sure everything else is set to All. This means that all IP addresses will be blocked. However, since our first rule will be processed first, that IP address will be permitted. Once a rule is matched, the other rules are ignored. If an IP address doesn’t match the first rule, it’ll come to this second rule, where it will match and be blocked. Nice!

Finally, we have to activate the new access profile. To do that, go back to Access Profiles and select the new profile from the drop down list at the top (next to Active Access Profile). Make sure to click Apply and you should be good to go.

Remember that the configuration is currently only saved in the running config. Make sure you go to Administration – File Management – Copy/Save Configuration to copy the running config to the startup config.

If you want to allow more than one IP address access to the switch, just create another rule like the first one, but give it a higher priority. You’ll also have to make sure that you change the priority for the Deny rule so that it has a higher priority than all of the Permit rules. If you run into any problems or can’t get this to work, feel free to post in the comments and I’ll try to help. Enjoy!

Related posts

• Како пронаћи ИП адресу вашег ВиФи штампача на Виндовс-у и Мац-у

• Како омогућити ССХ приступ за Цисцо СГ300 прекидаче

• Како поставити статичку ИП адресу у Виндовс 11/10

• Како пронаћи ИП адресу мог рутера?

• Како доделити статичку ИП адресу рачунару са оперативним системом Виндовс 11/10

• Како да поправите конфликт ИП адреса

• Како претворити динамички диск у основни диск

• Како напунити Нинтендо Свитцх контролере

• Како преузети Гоогле Цхроме ван мреже (самостални) инсталациони програм

• 5 најбољих апликација за скривање ИП адресе за Андроид 2022

• Како да преместите Гоогле Аутхентицатор на нови телефон без губитка приступа

• Како ослободити и обновити ИП адресу

• Ручно додајте контакт у Виндовс Ливе Маил адресар

• Пет ствари које треба да урадите након што укључите свој нови Цисцо Свитцх

• Отворите Нотепад као администратор да бисте избегли „Приступ је одбијен“

• Како пронаћи ИП адресу рутера у оперативном систему Виндовс 10 - Проналажење ИП адресе

• Како пронаћи МАЦ адресу на иПхоне (иОС) и Андроид уређајима

• Како приступити Самсунг Цлоуд-у и максимално искористити услугу

• Направите пречицу на тастатури за приступ дијалогу за безбедно уклањање хардвера

• Како сакрити своју ИП адресу на Андроиду