Để bảo mật hơn, tôi muốn hạn chế quyền truy cập vào thiết bị chuyển mạch Cisco SG300-10 của tôi chỉ một địa chỉ IP trong mạng con cục bộ của tôi. Sau khi định cấu hình công tắc mới của tôi một vài tuần, tôi không vui khi biết rằng bất kỳ ai kết nối với mạng LAN hoặc WLAN của tôi đều có thể truy cập trang đăng nhập chỉ bằng cách biết địa chỉ IP cho thiết bị.
Cuối cùng tôi đã chọn qua hướng dẫn 500 trang để tìm ra cách chặn tất cả các địa chỉ IP ngoại trừ những địa chỉ mà tôi muốn để truy cập quản lý. Sau rất nhiều thử nghiệm và một số bài đăng trên các diễn đàn của Cisco, tôi đã tìm ra nó! Trong bài viết này, tôi sẽ hướng dẫn bạn các bước để định cấu hình cấu hình truy cập và quy tắc cấu hình cho thiết bị chuyển mạch Cisco của bạn.
Lưu ý : Phương pháp sau đây tôi sẽ mô tả cũng cho phép bạn hạn chế quyền truy cập vào bất kỳ số lượng dịch vụ được kích hoạt nào trên công tắc của bạn. Ví dụ: bạn có thể hạn chế quyền truy cập vào SSH, HTTP, HTTPS, Telnet hoặc tất cả các dịch vụ này theo địa chỉ IP.
Tạo hồ sơ và quy tắc truy cập quản lý
Để bắt đầu, hãy đăng nhập vào giao diện web cho công tắc của bạn và mở rộng Bảo mật và sau đó mở rộng Phương thức truy cập Mgmt . Đi trước và nhấp vào Hồ sơ truy cập .
Điều đầu tiên chúng ta cần làm là tạo một hồ sơ truy cập mới. Theo mặc định, bạn chỉ nên xem hồ sơ Chỉ bảng điều khiển . Ngoài ra, bạn sẽ nhận thấy ở đầu rằng Không ai được chọn bên cạnh Hồ sơ truy cập hoạt động . Khi chúng tôi đã tạo hồ sơ và quy tắc của mình, chúng tôi sẽ phải chọn tên của hồ sơ ở đây để kích hoạt nó.
Bây giờ bấm vào nút Thêm và điều này sẽ xuất hiện một hộp thoại trong đó bạn sẽ có thể đặt tên cho hồ sơ mới của bạn và cũng thêm quy tắc đầu tiên cho hồ sơ mới.
Ở trên cùng, đặt tên cho hồ sơ mới của bạn. Tất cả các trường khác liên quan đến quy tắc đầu tiên sẽ được thêm vào hồ sơ mới. Đối với Ưu tiên Quy tắc, bạn phải chọn giá trị trong khoảng từ 1 đến 65535. Cách thức hoạt động của Cisco là quy tắc có mức ưu tiên thấp nhất được áp dụng trước tiên. Nếu nó không khớp, thì quy tắc tiếp theo có mức ưu tiên thấp nhất sẽ được áp dụng.
Trong ví dụ của tôi, tôi đã chọn mức độ ưu tiên là 1 vì tôi muốn quy tắc này được xử lý trước. Quy tắc này sẽ là quy tắc cho phép địa chỉ IP mà tôi muốn cấp quyền truy cập vào chuyển đổi. Trong Phương thức quản lý, bạn có thể chọn một dịch vụ cụ thể hoặc chọn tất cả, điều này sẽ hạn chế mọi thứ. Trong trường hợp của tôi, tôi đã chọn tất cả vì dù sao tôi chỉ bật SSH và HTTPS và tôi quản lý cả hai dịch vụ từ một máy tính.
Lưu ý rằng nếu bạn chỉ muốn bảo mật SSH và HTTPS, thì bạn cần tạo hai quy tắc riêng biệt. Hành động chỉ có thể là Từ chối hoặc Cho phép . Ví dụ của tôi, tôi đã chọn Permit vì điều này sẽ dành cho IP được phép. Tiếp theo, bạn có thể áp dụng quy tắc cho một giao diện cụ thể trên thiết bị hoặc bạn chỉ có thể để nó ở Tất cả để áp dụng cho tất cả các cổng.
Trong Áp dụng cho Địa chỉ IP nguồn, chúng tôi phải chọn Người dùng xác định tại đây và sau đó chọn Phiên bản 4, trừ khi bạn đang làm việc trong môi trường IPv6, trong trường hợp đó bạn sẽ chọn Phiên bản 6. Bây giờ, hãy nhập địa chỉ IP sẽ được phép truy cập và nhập trong một mặt nạ mạng phù hợp với tất cả các bit có liên quan được xem xét.
Ví dụ: vì địa chỉ IP của tôi là 192.168.1.233, toàn bộ địa chỉ IP cần được kiểm tra và do đó tôi cần mặt nạ mạng là 255.255.255.255. Nếu tôi muốn quy tắc áp dụng cho mọi người trên toàn bộ mạng con, thì tôi sẽ sử dụng mặt nạ 255.255.255.0. Điều đó có nghĩa là bất cứ ai có địa chỉ 192.168.1.x đều được phép. Rõ ràng đó không phải là điều tôi muốn làm, nhưng hy vọng điều đó giải thích cách sử dụng mặt nạ mạng. Lưu ý rằng mặt nạ mạng không phải là mặt nạ mạng con cho mạng của bạn. Mặt nạ mạng chỉ đơn giản cho biết các bit mà Cisco nên xem xét khi áp dụng quy tắc.
Nhấp vào Áp dụng và bây giờ bạn sẽ có một hồ sơ và quy tắc truy cập mới! Nhấp vào Quy tắc hồ sơ trong menu bên trái và bạn sẽ thấy quy tắc mới được liệt kê ở trên cùng.
Bây giờ chúng ta cần thêm quy tắc thứ hai của chúng tôi. Để thực hiện việc này, nhấp vào nút Thêm được hiển thị trong Bảng Quy tắc Cấu hình .
Quy tắc thứ hai thực sự đơn giản. Đầu tiên, hãy đảm bảo rằng Tên hồ sơ truy cập giống với tên chúng ta vừa tạo. Bây giờ, chúng tôi chỉ ưu tiên quy tắc là 2 và chọn Từ chối cho hành động . Hãy chắc chắn rằng mọi thứ khác được đặt thành Tất cả . Điều này có nghĩa là tất cả các địa chỉ IP sẽ bị chặn. Tuy nhiên, vì quy tắc đầu tiên của chúng tôi sẽ được xử lý trước, địa chỉ IP đó sẽ được cho phép. Khi một quy tắc được khớp, các quy tắc khác sẽ bị bỏ qua. Nếu một địa chỉ IP không khớp với quy tắc đầu tiên, nó sẽ đến quy tắc thứ hai này, nơi nó sẽ khớp và bị chặn. Tốt đẹp!
Cuối cùng, chúng ta phải kích hoạt hồ sơ truy cập mới. Để làm điều đó, hãy quay lại Hồ sơ truy cập và chọn hồ sơ mới từ danh sách thả xuống ở trên cùng (bên cạnh Hồ sơ truy cập hoạt động ). Hãy chắc chắn nhấp vào Áp dụng và bạn sẽ tốt để đi.
Hãy nhớ rằng cấu hình hiện chỉ được lưu trong cấu hình đang chạy. Đảm bảo bạn đi đến Quản trị - Quản lý tệp - Sao chép / Lưu cấu hình để sao chép cấu hình đang chạy vào cấu hình khởi động.
Nếu bạn muốn cho phép nhiều hơn một địa chỉ IP truy cập vào chuyển đổi, chỉ cần tạo quy tắc khác như quy tắc đầu tiên, nhưng ưu tiên cao hơn. Bạn cũng phải đảm bảo rằng bạn thay đổi mức độ ưu tiên cho quy tắc Từ chối để nó có mức độ ưu tiên cao hơn tất cả các quy tắc Giấy phép . Nếu bạn gặp phải bất kỳ vấn đề nào hoặc không thể giải quyết vấn đề này, vui lòng gửi bình luận và tôi sẽ cố gắng giúp đỡ. Thưởng thức!
